FortiGates는 HTTPS 및 SSH 관리 액세스에 SSL/TLS 암호화를 사용합니다. SSL/TLS 또는 SSH 연결을 설정할 때 보안 수준을 제어하기 위해 사용되는 암호 및 암호화 수준을 제어할 수 있습니다. (해당 내용은 펌웨어 v7.0.6 이상부터 적용 가능합니다.) HTTPS access HTTP 관리 액세스 암호화는 다음 명령을 사용하여 제어됩니다. config system global set strong-crypto {enable | disable} set […]
아래 내용에서는 명령어를 사용하여 원하는 packet을 탐지/분석할 수 있다. # diagnose sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat> <interface> ‘any’ 또는 wan1, port1 등과 같은 특정 인터페이스로 입력 할 수 있습니다. <filter> ‘host 8.8.8.8’, ‘port 80’, ‘host 8.8.8.8 or port 80’, ‘host 8.8.8.8 and port 80’, 등이 될 수 있습니다. […]
아래 설정은 통해 정책명(이름) 없이 정책을 생성할 수 있습니다. (Name란이 공란인 상태로 정책 생성) [CLI] To change the requirement in the CLI, use the following syntax: # config system settings set gui-allow-unnamed-policy [enable|disable] end [GUI] System -> Feature Visibility -> Additional Features -> Allowed Unnamed Policies
아래 설정을 통해 로그인 실패 횟수 및 계정잠금 시간을 변경할 수 있습니다. 해당 설정은 GUI가 아닌 CLI를 통해서만 가능합니다. # config system global set admin-lockout-duration 60 (sec) <—– 로그인 실패 시 잠기는 시간 (default: 60초) end # config system global set admin-lockout-threshold 3 (실패 횟수) <—– 실패 횟수 1 ~ 10까지 설정 가능 (default: 3회) […]
아래 설정을 통해 log 공간의 크기를 늘리거나 줄일 수 있습니다. FortiGate가 메모리 로깅과 함께 활성화되면 기본적으로 특정 양의 메모리 공간이 메모리 로깅에 할당됩니다. # config log memory global-setting set max-size (값) <—– 기본값은 바이트(byte)입니다. end # config log memory global-setting deltasys (global-setting) # set max-size? (최소/최소 값) <—– 설정할 수 있는 최소값과 최대값을 알 수 […]
Fortigate에서는 SSLVPN Enable Split Tunneling 설정을 통해 사용자 트래픽을 구분하여 사용할 수 있습니다. 경로: VPN -> SSL VPN Portals -> Edit SSL-VPN Portal ====================================================================== Enable Split Tunneling ON (활성화) routing address을 설정한 경우, 설정한 목적지 네트워크에 대한 라우팅 테이블이 생성됩니다. (metric 1로 정의) 설정하지 않거나 공란으로 두었을 경우, 해당 정책에 설정된 목적지에 따라 라우팅 […]
Fortigate는 default로 정책 UUID를 로그에 활용하도록 설정 되어 있습니다. 이는 상당한 양의 log 공간을 차지하므로 사용하지 않을 경우, 비활성화하여 여분의 공간을 확보할 수 있습니다. 또한 필요 시, 정책/주소 UUID를 활성화 시켜 로그 분석 및 보고에 사용할 수 있습니다. UUID를 비활성화 하려면, [GUI] Log Settings > UUIDs in Traffic Log 비활성화 ‘Policy and/or Address’ […]
Fortigate 장비에서 확인 가능한 session 통계 정보에 대한 설명입니다. 아래 명령어를 통해 현재 session 상태의 통계 정보를 확인 할 수 있습니다. # diag sys session stat 1. session_count: 현재 세션 수 (합계) 2. setup_rate: 현재 초당 생성된 세션 수 (CPS) 3. exp_count: 현재 예상되는 세션 수 4. clash: 총 세션 충돌 횟수(누적) 5. memory_tension_drop: 시스템 […]
사전 및 사후 로그인 배너 설정을 사용하려면, 다음 CLI 명령어를 입력하여 활성화 시켜야 합니다. (로그인 배너의 기본설정 값은 disable 입니다.) # config system global set pre-login-banner enable set post-login-banner enable end 로그인 배너 설정을 활성화 하게되면, login 전후로 아래와 같은 배너가 보여집니다. […]
FGCP(Fortigate Cluster Protocol) HA 구성의 경우, Backup의 configuration이 Primary에 자동 동기화 되어 Primary로 설정되어 있는 인터페이스IP로만 접근이 가능합니다. 장비 각각 직접 접근이 가능하도록 설정하려면, 아래의 방법으로 장비별 IP를 할당하여야 합니다. <GUI> 경로 : System -> HA, edit Master Foritgate -> Management Interface Reservation – Interface: 관리 접근을 위한 인터페이스 – Gateway: 장비에 접근할 경우 […]