[Information]/[Fortinet] Fortigate 46

[Fortinet] Fortigate GUI에서 Packet Capture하는 방법

A. fortigate GUI에서 Packet Capture 하는 방법 해당 방법은 fortiOS 7.2.x 기준입니다. 하지만 버전별로 위치 또는 이름만 변경될 뿐, 다른 버전에서나 하는 방법은 거의 똑같습니다.  1) fortigate GUI > Network > Diagnostics > Packet Capture 탭 7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.여기서 이제 Filter를 걸어서 사용해 주면 됩니다.   2) Filter 기입 - Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture- Host : 192.168.1.10 / 해당 IP만 Capture- Port : 443 / 해당 Port만 ..

[Fortinet] Fortigate deep-inspection이 필요한 Application Control 확인 방법

A. Fortigate deep-inspection이 필요한 application control 확인 방법 SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다. 1) certificate-inspection의 경우, 암호화된 트래픽을 검사하지 못하고 Header만으로 검사 수행2) application control의 경우, deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.  7.2.x대 license 없는 application signature list입니다.약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.  appli..

[Fortinet] CLI Command - Fortigate FQDN address IP list 확인

Fortigate FQDN address를 생성하고 생성된 FQDN address의 Resolve 된 IP list를 CLI로 확인하는 방법입니다. 1) CLI > diagnose firewall fqdn list-ip 입력 시 출력화면 2) diagnose firewall fqdn list-ip 뒤에 | grep -A10 login 명령어 입력  FQDN address와 Resolve 된 IP list가 출력됩니다. 개수가 많을 시 찾기 또는 확인이 힘들어 grep 명령어를 사용하여 필터링해 줍니다.* -A10은 아래 줄 수  3) GUI 확인물론 GUI에서도 FQDN address IP list 확인이 가능합니다.객체에서 직접 마우스로 확인 가능   [보안솔루션] 1. 보안 솔루션 시장 변화 분석 [..

[Fortinet] Fortigate API를 통한 Config backup 방법

A. Fortigate API를 통한 Config backup 방법 API개발 툴인 Postman을 사용하여 Fortigate Config backup 은 아래와 같습니다. 1) 먼저 API 계정을 만들어 줍니다.Fortigate GUI > System > Administratos > Create New > REST API Admin- username 입력- profile의 경우 일단 아무거나 선택을 해줍니다. / GUI에서는 admin_profile선택이 안됨 CLI에서 진행 * fortigate CLI > config system api-user > edit set accprofile 선택 (super_admin으로 선택하지 않은 경우 API에서 호출했을 때 admin user들이 backup c..

[Fortinet] Fortigate NAT mode VS Transparent 모드 비교

포티넷 포티게이트 방화벽에는 두 가지 모드가 있습니다.- NAT 모드- Transparent 모드  1. NAT 모드NAT 모드는 정책에 따라 IP를 변환하는 모드입니다. 기본적으로 사용하는 모드로 대부분 사설 IP를 공인 IP로 변환하는 목적으로 많이 사용합니다. 2. Transparent 모드 IP의 변환 없이 사용하는 모드입니다.해당 모드는 NAT장비와 백본 장비 사이에서 사용하거나 내부 기기들이 공인 IP를 사용할 때 사용합니다.  해당 표는 포티게이트의 NAT모드와 Transparent 모드의 사용 가능한 기능들을 정리한 표입니다.FeatureNATTransparent설명유니케스트 / 정책 기반 라우팅(rip,ospf,bgp)ox VIP/IP pools/ NAToo 멀티캐스트 라우팅ox L2 포..

[Fortinet] Fortigate NAT 설정 방법 - Virtual IP (VIP) & DNAT

1. Fortigate Virtual IP- 외부 IP 주소를 내부 IP주소로 NAT 하는 데 사용되며, 일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함  1) 설정화면 - GUI > Policy & Objects > Virtual IPs에서 설정 - Name부분에는 Virtual IP 객체 이름- Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용 * any로도 설정해서 사용이 가능하지만 예를 들어, wan1 wan2 두 개의 interface에 VIP가 정상 작동하지 않을 수 있으니 Interface를 지정해서 설정해주는게 좋다. 2) 설정 예시- wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정- 목..

[Fortinet] Fortigate SNMP 설정, 서버 연동 방법 - FGT 방화벽

Fortigate SNMP 설정 방법 SNMP는 SNMP Manager가 FortiGate로 정보를 요청하는 Polling(UDP 161) 방식과 FortiGate에서 이벤트가 발생할 경우 SNMP Manager로 Trap(UDP 162) 방식이 있다.  위 구성도에서 만약 FortiGate와 SNMP Manager 사이에 다른 방화벽이 존재한다면, UDP 161/162에 대해 양방향 허용 정책이 필요하다.  1. SYSTEM - SNMP 설정Global 모드에서 SYSTEM - SNMP에서 설정 Snmp 버전 1 및 2c의 경우, 동일한 커뮤니티 문자열을 사용해야 하며, SNMP manager의 IP address 또는 IP address가 포함되는 range를 설정한다. 포트는 아래와 동일(UDP1..

[Fortinet] FortiAnalyer Log 분석 - Firewall Action

FortiAnalyer Firewall Action Log 분석 The status of the session It will generate a single log for a session. Always from the initiator to the responder (source is always the one that made the request - ie client), destination is always the responder (ie server). It doesn’t make a second log for reply traffic. - deny : Session was denied- accept : Allowed Forward session- start : Session starts (lo..

[Fortinet] Fortigate CLI 기본 Commands - 시스템 확인, PING, HA, DHCP, SESSION, DEBUG

1. 확인 명령어내용# get system performance status CPU, Memory, 트래픽, 내용 확인# get system interface physical 보안장비 인터페이스 상태 확인# get vpn ipsec tunnel summaryVPN 터널 상태 확인# get system ha status # diagnose sys ha status HA 이중화 상태 확인# diagnose netlink device list interface 별 패킷 사용량, error 카운트 등 확인 # diagnose sniffer packet [interface_name] '조건' [1~5] 조건에 대해서 패킷덤프# get system arparp 확인 # get hardware nic [포트이름]ma..

[Fortinet/TS] Procedure for HA manual synchronization (HA 동기화 절차 및 트러블슈팅)

DescriptionThis article describes the methods used to force the synchronization on the cluster before proceeding to rebuild the HA.ScopeHigh Availability synchronization.SolutionFor this procedure, it is recommended to have access to all units through SSH (i.e.. Putty).Note: It is possible to connect to the other units with 'exec ha manage X ' where X is the member ID(Available IDs can be found ..

[Fortinet] Fortigate CLI Commands - Schedule(스케줄) 생성

- Schedule 생성#config vdom #edit Vdom명 #config firewall schedule onetime#edit Schedule_Name - 날짜명으로 생성#set start hh:mm yyyy/mm/dd - 시:분 년/월/일#set end hh:mm yyyy/mm/dd #set expiraion-days Number - 스케줄 만료 전에 이벤트 로그 메시지 일정 #next / end - 연속된 저장은 next, 저장/상단나가기 end* schedule/set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall schedule onetimeFW(onetime)#edit 20241230F..

[Fortinet] Fortigate CLI Commands - Service Group(서비스 그룹) 생성 및 멤버 추가

- Service Group 생성 및 멤버 추가 #config vdom #edit Vdom명 #config firewall service group#edit Group_Name - Policy 생성 시, 해당 정책과 관련된 명칭으로 설정#set member Port_Name #append member Port_Name #end -저장하면서 상단으로 빠져나가기는 end* set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall service groupFW(group)#edit TEST_Port_GroupFW(TEST_Port_Group)#set member tcp_12344FW(TEST_Port_Group)#ap..

[Fortinet] Fortigate CLI Commands - Service Port(서비스 포트) 생성

- Service Port 생성 #config vdom #edit Vdom명 #config firewall service custom#edit Port_Name - 생성시 포트 종류와 포트번호를 같이 맵핑하는 것을 추천#set category General - 일반적인 포트는 General 카테고리에 넣어서 사용(당연히 카테고리도 개별 생성 가능)#set tcp-portrange Port -포트 한개만 설정 시, range가 아닌 최소값 하나만 설정해도 가능(범위 설정은 최소값 - 최대값 )#next / end - 연속된 저장은 next, 저장하면서 상단으로 빠져나가기는 end#set 옵션은 아래에서 확인예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#c..

[Fortinet] Fortigate CLI Commands - Address Group(객체 그룹) 생성 및 멤버 설정

- Address Group 생성 및 멤버 설정#config vdom #edit Vdom명 #config firewall addrgrp#edit Address그룹명 - Address그룹 이름 생성 시 자세한 설명 같이 사용#set member Address명 - IP주소가 아닌 Address명을 멤버로 설정#append member Address명 - 최초 멤버는 set 사용, 추가 member 등록은 append 사용#end - 저장하면서 상단으로 빠져나가기는 end예시)FW#config vdomFW(vdom)#edit TEST_vdomFW(TEST_vdom)#config firewall addrgrpFW(addrgrp)#edit AddressGroup_test_1FW(AddressGroup_test_..

반응형