Information of IT

A. Fortigate scripts 사용 방법 많은 양의 객체를 만들 때 사용하면 편리한 기능사용 방법 확인해 보기   - 먼저 Fortigate GUI > 오른쪽 상단 login 계정 > Configuration > Scripts  - Scripts 화면으로 넘어와서 Run Script를 클릭해 주면 되는데 하기 앞서 Script 파일을 만들어 줍니다.  메모장을 실행 한 다음 Fortigate CLI 명령어를 그대로 입력합니다. address를 생성하기 위해서는 CLI 접속 후config firewall address 입력 그다음edit 이러한 방식으로 순서대로 입력해서 만들어 주시면 됩니다. script를 통해서 address 뿐만 아니라 라우팅, vpn, 정책 등 거의 모든 생성할 수 있습니다...

A. Fortigate execute factoryreset 공장초기화 하기Fortigate 공장초기화 하는 방법은 여러 가지가 있습니다.(TFTP, GUI에서 Revisions, CLI 명령어 등) 1) TFTP의 경우 장비 리부팅 시 진행하는 방법현재의 OS를 날려버리고 새로운 OS로 올리는거죠. 어떻게 보면 초기화보단 재설치가 맞는 표현이기는 합니다..2) GUI에서 Revisions Fortigate GUI > 오른쪽 상단 Login 계정 클릭 > Configuration > Revisions으로 진입하면 Config를 장비 처음 on 했을 때 저장해 놓고 공장초기화로 돌리고 싶으면 Revert를 해주면 됩니다. 그 외 Revisions 기능을 활용하여 저장된 config를 비교해 볼 수도 있습..

A. Fortigate GUI 연결 안 될 때 확인사항여러 가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다 1) Fortigate Interface allow access  - Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우  2) Trusted host가 설정되어 있는 경우  - Trusted host가 설정되어 특정 접속이 불가능할 경우    3) Access Port가 변경되어 있는 경우 - HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우    4) VIP(Virtual IPs)가 설정되어 있는 경우- 접근하려고 하는 Interface의 IP..

A. Fortigate Session TTL 설정 방법 Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다. 1) global에서 session ttl 변경CLI > config system session-ttl 진입 default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다 2) service에서 변경 GUI에서는 session ttl 변경이 불가능합니다.CLI > config firewall policy > edit policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다. 3) service에서 변경하기 service도 CLI에서 변경해 줍니다.CLI > conf..

A. Fortigate ECMP (Equal Cost Multi-path) 동작 방식 ECMP에 앞서 fortigate에 목적지로 경로가 둘 이상인 경우 사용할 routing을 선택하는 프로세스는 1) 가장 작은 서브넷2) distance가 낮은 것3) priority가 낮은 것4) 마지막은 위 세 가지 조건이 모두 동일할 경우 ECMP로 동작합니다. ECMP는 static routing뿐만 아니라 dynamic routing에도 동일하게 적용되며 fortigate ECMP 설정은 CLI에서만 가능합니다. - fortigate CLI > config system settings > set v4-ecmp-mode / default 설정은 source-ip-based입니다.  source-ip-based ..

1. Windows11에서 Forticlient 설치하는 법 windows11에서는 forticlient가 특정 버전이상에서만 지원합니다. 그러므로 user가 windows 11을 사용하는 경우, forticlient 버전 6.4.x대에서는 6.4.7 이상의 forticlient 버전을 설치해서 사용해야 합니다.  아래는 forticlient 6.4.7에서 지원한다는 링크이고 Release notes에서 버전을 6.4.6으로 변경해서 보시면 windows11이 support OS 부분에서 빠져있습니다. https://docs.fortinet.com/document/forticlient/6.4.7/windows-release-notes/549781/product-integration-and-support ..

1. Fortigate maximum values 확인하기 fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.예를 들면 address 객체 수, profile 개수, fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠 https://docs.fortinet.com/max-value-table https://docs.fortinet.com/max-value-tableNote: All objects in the maximum values table have either a global limit, which applies to the entire FortiGate configuration, or a VDOM limit, which applies only..

A. Fortigate syslog 출발지 인터페이스 수동 설정 Syslog server는 internal 구간에 있는데 syslog server와의 통신 시도를 wan 인터페이스로 하는 경우, 수동으로 internal구간의 인터페이스로 변경하여 문제 해결 해당 설정은 GUI에서는 변경이 불가능하고 CLI에서만 가능합니다. - Fortigate CLI > config log syslogd setting 명령어 진입 후 set 명령어를 입력하면 syslog관련 설정 부분이 나옵니다.(server IP, syslog port 변경, format 등등) 여기서 interface 변경은 interface-select-method 설정입니다. default는 auto로 설정되어 있습니다. 해당 설정을 spec..

A. Fortigate Web Rating Overrides 설정 방법Web Rating Overrides 기능은 보통 URL 오분류 또는 fortiguard에서 rating이 되지 않는 URL(사내 주차장 사이트 등등) 사용합니다. - fortigate GUI > Security Profiles > Web Rating Overrides 해당 TAP에서 설정해 주면 되고, 이 기능을 사용하시려면 Webfilter License가 필요합니다. - Create New 클릭 Web Rating Override뿐만 아니라 해당 URL이 어느 Fortiguard web category에 속해 있는지 확인할 수도 있습니다.  네이버의 경우 General Interest - Business > Search Engin..

A. fortigate web filter action 및 allow와 monitor 차이점이 부분은 fortigate web filter > URL filter action에 관련된 내용입니다. 1) URL Filter - Action 종류 - 4가지 (Exempt, Block, Allow, Monitor)Allow : URL에 대한 트래픽 허용Block : URL 차단Monitor : Allow와 action 자체는 동일하지만 Log를 남깁니다. / Allow는 Log를 남기지 않음Exempt : URL 예외 처리 2) Web filter의 검사 순서 Web filter의 검사 순서는 URL filter > Fortiguard categry > Content Filter 순으로 검사를 합니다. 예를..

A. Cli Command - Fortigate diangnose debug rating- diagnose debug rating 명령어로 연결된 FortiGuard Server 확인 또는 통신 해결하기 위해 사용하는 명령어입니다.  - Service 상태와 Fortiguard와 어떤 프로토콜을 사용하는지 몇 번 포트를 사용하는지 등 관련 설정도 확인이 가능합니다.  아래에 있는 IP들은 해당 장비와 인접해 있는 Fortiguard Server들의 IP입니다. (나오는 IP List들은 장비마다 다를 수 있음)  B. Flags 값여러 Fortiguard Server List 중 어느 Server와 통신하여 라이선스가 활성화 되어 있는지는 Flags를 보시면 됩니다. D : 해당 장비가 DNS query..

A. fortigate GUI에서 Packet Capture 하는 방법 해당 방법은 fortiOS 7.2.x 기준입니다. 하지만 버전별로 위치 또는 이름만 변경될 뿐, 다른 버전에서나 하는 방법은 거의 똑같습니다.  1) fortigate GUI > Network > Diagnostics > Packet Capture 탭 7.0.x 버전에서는 Diagnostic가 아닌 Packet Capture 탭이 따로 있을겁니다.여기서 이제 Filter를 걸어서 사용해 주면 됩니다.   2) Filter 기입 - Interface : Wan1 / 해당 Interface로 통신하는 Packet만 Capture- Host : 192.168.1.10 / 해당 IP만 Capture- Port : 443 / 해당 Port만 ..

A. Fortigate deep-inspection이 필요한 application control 확인 방법 SSL/TLS로 암호화된 트래픽을 검사하기 위해서는 deep-inspection이 필요합니다. 1) certificate-inspection의 경우, 암호화된 트래픽을 검사하지 못하고 Header만으로 검사 수행2) application control의 경우, deep-inspection이 필요한 application과 필요하지 않은 application 시그니처가 있습니다.  7.2.x대 license 없는 application signature list입니다.약 2400개 정도가 있고 license가 있다면 약 5000개의 application signature로 업데이트가 됩니다.  appli..

A. Fortigate API를 통한 Config backup 방법 API개발 툴인 Postman을 사용하여 Fortigate Config backup 은 아래와 같습니다. 1) 먼저 API 계정을 만들어 줍니다.Fortigate GUI > System > Administratos > Create New > REST API Admin- username 입력- profile의 경우 일단 아무거나 선택을 해줍니다. / GUI에서는 admin_profile선택이 안됨 CLI에서 진행 * fortigate CLI > config system api-user > edit set accprofile 선택 (super_admin으로 선택하지 않은 경우 API에서 호출했을 때 admin user들이 backup c..

1. Fortigate Virtual IP- 외부 IP 주소를 내부 IP주소로 NAT 하는 데 사용되며, 일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함  1) 설정화면 - GUI > Policy & Objects > Virtual IPs에서 설정 - Name부분에는 Virtual IP 객체 이름- Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용 * any로도 설정해서 사용이 가능하지만 예를 들어, wan1 wan2 두 개의 interface에 VIP가 정상 작동하지 않을 수 있으니 Interface를 지정해서 설정해주는게 좋다. 2) 설정 예시- wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정- 목..