분류 전체보기865 v7.0.1 : SSLVPN 인터페이스를 다른 인터페이스와 함께 Zone 설정 FortiOS v7.0.1 이상에서 SSLVPN 인터페이스를 다른 인터페이스와 함께 Zone으로 구성 가능하다. Mutiple Interface가 설정되어 있더라도, Source 인터페이스에 SSL 인터페이스와 다른 인터페이스가 함께 사용하면 아래와 같이 에러가 표시면서 설정이 불가능하다.SSLVPN policy가 SSL VPN 프로세스와 연결되어 있어 다른 인터페이스와 같은 방식으로 처리할 수 없기 때문이다. FortiOS v7.0.1이상에서는 zone으로 설정하여 다른 인터페이스와 함께 정책을 만들 수 있다. 해당 방화벽 정책에는 SSLVPN 때문에 사용자 인등이 포함되어 있다.따라서, SSLVPN이 아닌 다른 인터페이스에서의 통신도 동일한 사용자 인증을 받아야 한다. 2024. 8. 7. 펌웨어의 무결성 체크하는 방법(windows) Windows에서 Support 사이트에서 다운로드 받은 FortiGate의 펌웨어가 손상되지 않고 안전한지 무결성(integrity)을 확인하는 방법이다. 1. Support 사이트에서 다운로드 받을때 파일의 hash 값을 확인한다. 2. Windows에서 CMD 창을 열어 아래의 명령어로 다운받은 펌웨어의 hash 값을 확인 한다. certutil -hashfile 3. Support 사이트의 hash값과 CMD 명령어 결과값을 비교한다. 2개의 hash값을 다 비교할 필요는 없다.1개만 (sha256 권장) 일치하면 무결성은 확인된다. 2024. 8. 7. Flow mode에서 SSL mirroring이 동작하는 않는 경우 FortiGate가 SSL inspection을 통해 암호화된 데이터를 풀어서 검사할 수 있다. 이 때 암호화 풀어진 평문 데이터를 다른 인터페이스로 복사해서 전달하는 SSL mirroring 기능을 사용 할 수 있다. Flow mode에서 SSL mirroring 기능을 설정 했지만 평문 데이터를 전달하지 못하는 경우가 있다. 방화벽 정책에 security profile이 적용되어 있는지 확인해야 한다. Flow mode에서는 암호화된 packet을 decryption 하기위해서는 적어도 하나의 security profile(AV, IPS, App control 등)이 적용 되어야 한다. 2024. 8. 5. 10G → 1G 로의 트래픽 속도 문제 FortiGate의 10G 인터페이스에서 1G 인터페이스로의 트래픽 흐름에서 TCP 트래픽 처리의 성능이 저하 된다. 10G에서 오는 트래픽을 1G로 내보낼때 NP6의 패킷 버퍼 오버플로우가 발생하여 패킷이 삭제되고, 속도 문제가 발생하게 된다. 가장 좋은 방법은 10G →10G로의 트래픽 흐름을 만드는 것이다. 물지적 인터페이스가 부족하다면 VLAN 인터페이스를 설정하는 방법도 있다.실제로 오버플로우가 발생하면 NPU 가속을 중단하여 해결 할수도 있으나, 특정 조건에서는 계속해서 트래픽 문제가 발생 할 수 있다. 10G 인터페이스에서 1G이하의 트래픽이 들어오더라도 위 문제는 동일하게 발생한다.트래픽이 10G 인터페이스에 들어오면 10G 속도로 처리되므로, NP6 버퍼 오버플로우는 여전히 발생하게 된다. 2024. 8. 2. L2TP에서 2FA 또는 MFA 지원 안함 L2TP 프로토콜 표준은 공식적으로 사용자 이름 및 비밀번호 인증만 지원하므로 2단계 인증은 지원되지 않는다.아래와 같이 기본 제공 Windows 앱에는 토큰/MFA 정보를 추가하는 옵션이 없다. 일부 벤더에서는 Password 칸에 실제 password와 함께 2FA 코드를 입력하는 방식을 지원하지만, 현재 Fortinet은 지원하지 않는다. 2024. 8. 2. 이전 1 ··· 5 6 7 8 9 10 11 ··· 173 다음
