TTL3 Conserve mode를 피하기 위한 메모리 확보 방법 FortiGate는 메모리 사용률이 높아지면, FortiGate 스스로 자신을 보호하기 위해 Conserve mode에 들어가게 된다. Conserve mode에 들어가게 되면 FortiGate는 스스로 메모리를 낮추기위해, 새로운 세션을 연결을 차단하거나 연결을 허용하더라도 AV, IPS 등 보안 기능이 동작하지 않을 수 있다. 만약 자주 Conserve mode에 진입하게 되면, 트래픽이나 세션이 갑자기 많아진 이유나 현재 장비의 모델이 낮은것은 아닌지 이유를 파악하고 대처해야 한다. AV나 IPS 등 보안 기능을 해제하여 메모리를 낮출 수도 있지만, 본 포스팅에서는 보안 기능은 유지하고 공유메모리를 사용률을 낮추어 Conserve 모드에 진입하는 것을 피하는 방법이다. 아래 값은 예제일 뿐 현장 환.. 2022. 12. 30. session timeout 무한대로 설정하기 FortiOS 6.4에서 설정 가능 자동 재연결 기능이 없는 레거시 어플리케이션이나 시스템에 영구적으로 연결할 수 있도록 session-ttl 설정을 무한대로 설정 할 수 있다. 설정 대상은 방화벽 서비스, policy, VDOM에 대해 적용 가능하다. 메모리 사용률을 고려하여, 꼭 필요한 서비스 또는 policy에만 적용 하도록 주의 해야 한다. Custom service에 세션을 무한대로 설정 하는 예. config firewall service custom edit "tcp_23" set tcp-portrange 23 set session-ttl never next end 방화벽 정책에 사용 하는 예 CLI에서 "?"를 이용하여 확인하면 never는 설명에 표시되지 않는다. 무시하고 "never" .. 2021. 1. 7. FQDN을 사용한 정책에서 간헐적으로 deny 발생 Product : Fortigate Detail : 1. FQDN object를 방화벽 정책의 목적지로 사용할 때, 내부사용자가 해당 FQDN으로 간헐적으로 deny가 발생하는 경우. FQDN object에 대한 IP가 확인되었다가 cache된 시간이 지난후 일시적으로 확인되지 않아 발생. Solution : -1. 해당 FQDN object의 cache-ttl 값을 늘려서 확인된 IP를 더 오래 캐시되도록 설정. # config firewall address edit set cache-ttl https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-deal-with-FQDN-with-short.. 2020. 12. 31. 이전 1 다음
