[Fortigate] v7.0.8 –> v7.2.12로 펌웨어 업그레이드 후 web filter 동작 오류(모든 web 사이트 접근 불가)
이슈 내용
FortiGate는 TLS 기반 연결을 검사할 때 TLS 인증서 탐색할때
서버의 인증서를 가져오고 사용자가 액세스하려는 대상을 확인해야 합니다.
어떤 이유로든 이 TLS 탐색에 실패하면
FortiGate는 해당 연결을 차단할지 허용할지 결정해야 합니다.
이러한 동작을 제어하기 위해 SSL 검사 프로필에 cert-probe-failure라는 옵션이 도입되었으며,
기본 동작은 차단으로 설정되어 있습니다.
그러나 이 옵션은 이전에는 프록시 기반 검사를 사용하는 방화벽 정책에 대해서만 동작을 제어했습니다.
흐름 기반 방화벽 정책을 사용하는 경우에는 cert-probe-failure 옵션이 무시되었고,
프로브가 실패하더라도 항상 연결을 허용하는 동작이 적용되었습니다.
버전 7.2.11, 7.4.5, 7.6.1 이상부터 cert-probe-failure 설정이 Flow-based 검사를 사용하는 방화벽 정책에도 적용됩니다.
해결방법
config firewall ssl-ssh-profile
edit “profile_name”
config https
set cert-probe-failure allow
end
참고사항
1) v7.2.11, v7.4.5, v7.6.1 버전에서는 cert-probe-failure가 Flow-based 검사와 Proxy-based 검사 모두에 영향을 미칩니다.
2) GUI에서 모든 포트 검사(또는 CLI에서 inspect-all 설정)가 활성화된 경우, cert-probe-failure 옵션을 사용할 수 없습니다.
이 옵션은 방화벽 정책에 Proxy-based 검사를 사용하는 경우에만 적용됩니다
참고자료
https://community.fortinet.com/t5/FortiGate/Troubleshooting-Tip-How-to-fix-SSL-connection-is-blocked-due-to/ta-p/362052