daily

fortigate Web Filter Cache 설정

fortigate Web Filter Cache는 사용자가 URL접속 후 Fortiguard에게 rating받은 정보를 메모리에 저장하여 동일한 URL 접속 시 Fortiguard로 Query하지 않고 저장된 정보를 보냅니다.

Fortigate GUI > system > Fortiguard > Filtering

해당 장비는 라이선스가 있는 상태이고 Default 설정값입니다.

Fortiguard로 rating한 결과값을 메모리에  저장하는 시간이 60분입니다.

무한대로 저장할 수 있는 건 아닙니다. 어느 정도 되면 override됩니다.

fortigate Web Filter Cache 설정

fortigate interface speed 변경 및 확인 방법

speed 변경은 GUI에서는 변경이 안되며 CLI에서만 가능합니다.

fortigate CLI > config system interface > edit <interface name> 진입 후 set speed <option>

일반적으로 fortigate interface speed default 값은 auto입니다.

auto 설정은 해당 interface와 연결된 인터페이스에 속도에 맞춰서 설정이 됩니다.

예를 들어 상대가 1000full이면 1000full로 맞춰지고 100full이면 100full로 맞춰집니다.

fortigate interface speed 확인 명령어는 diagnose hardware deviceinfo nic <interface name> 입력

speed 및 Duplex 확인

interface에서 속도를 수동으로 설정한 경우에는 확인이 필요 없지만 auto로 설정된 경우에 확인이 필요할 경우 위 명령어를 입력하여 확인하시면 됩니다.

fortigate interface speed 변경 및 확인 방법 끝

fortigate Web Rating Overrides 설정 방법

fortigate GUI > Security Profiles > Web Rating Overrides

해당 TAP에서 설정해 주면 되고.. 이 기능을 사용하시려면 Webfilter License가 필요합니다.

Create New 클릭

Web Rating Override뿐만 아니라 해당 URL이 어느 Fortiguard web category에 속해 있는지 확인할 수도 있습니다. 

네이버의 경우 General Interest - Business > Search Engines and Portals Category에 속해 있습니다.

Web Rating Override 기능은 해당 URL을 다른 Category에 Override시켜줍니다.

위 이미지처럼 설정하고 OK를 누르면,

General Interest - Business > Search Engines and Portals Category에 속해 있는 네이버를 Security Risk > Malicious Websites Category로 Override가 됩니다.

Status가 Enable이면 설정 완료

설정 방법은 어렵지 않지만 알아둬야 할 사항은 이 기능은 해당 fortigate에서만 적용되며 다른 fortigate에서는 General Interest - Business > Search Engines and Portals Category 속합니다.

Web Rating Overrides 기능은 보통 URL 오분류 또는 fortiguard에서 rating이 되지 않는 URL(사내 주차장 사이트등등) 사용합니다.

fortigate Web Rating Overrides 설정 방법 끝

fortigate maximum values 확인하기

fortigate는 모델 또는 OS 등의 따라 구성 관련된 객체에 제한 사항이 있습니다.

예를 들면 address 객체라던가.. profile 개수라던가 fortigate에 최대 몇 개까지 등록이 가능한지 제한이 있는 거죠

먼저 fortigate maximum value는 위 홈페이지에서 확인이 가능합니다.

위 홈페이지 접근 시 화면

Software Version과 Models을 선택 후 OK 버튼 클릭

FortiOS - 7.2.4

Fortigate 모델 - Fortigate 100F 

선택

빨간색 박스 show를 All로 바꿔주면 모든 1,2,3,4,5 탭이 나눠지지 않고 한 화면에 나오기 때문에 보기 편합니다.

fortigate-100F OS 7.2.4 기준 antivirus.profile은 32개까지 등록이 가능하고

VIP 및 address 객체, static routing, PBR 등 많이 사용하는 설정들을 최대 몇 개까지 설정이 가능한지 확인해 줍니다.

policy 또는 VPN은 datasheet를 통해서도 확인이 가능해서 여기서 첨부하지는 않았습니다.

이 외에도 여러 설정들의 최대 등록값 확인이 가능해서 유용한 홈페이지입니다.

fortigate maximum values 확인하기 끝

Fortigate GUI 연결 안 될 때 확인사항

여러가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다

1. Fortigate Interface allowaccess

Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우

-

2. Trusted host가 설정되어 있는 경우

Trusted host가 설정되어 특정 접속이 불가능할 경우

-

3. Access Port가 변경되어 있는 경우

HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우

-

4번부터는 가능성이 조금 적습니다 보통 위에 경우에서 설정에 의한 접근 불가능은 웬만하면 해결이 됩니다.

4. VIP(Virtual IPs)가 설정되어 있는 경우

접근하려고 하는 Interface의 IP와 HTTPS/HTTP Port를 혹여나 잘못 설정해놓았을 경우

-

5. local-in-policy가 설정되어 있는 경우

local-in-policy의 경우 CLI에서만 설정이 가능합니다.

CLI > config firewall local-in-policy > edit <>

접근하려고 하는 Interface에 local 차단 policy가 설정되어 있는 경우

Fortigate GUI 연결 안 될 때 확인사항 알아보기 끝

Fortigate SSL-VPN 10, 80, 98% 멈춤 현상 시

시도해 볼 만한 작업

10, 80, 98% 외 특정 %에서 Fortigate SSL-VPN 로그인이 멈추면 현상을 해결하는 방법이 있기는 합니다.

보통 구글 검색 시 Fortigate SSL-VPN <>% 이렇게만 검색을 하여도 해결 방법이 나오는 경우가 많습니다.

SSL-VPN 설정 문제라던가, host check 때문이라던가 등등!

10%의 경우

Forticlient가 설치된 PC의 네트워크 문제 Fortgate와 통신 확인

80%의 경우

SSL-VPN ID / PW 확인 또는 해당 사용자 portal Mapping과 정책 확인

98%의 경우 

먼저 해볼 수 있는 작업은

Forticlient 프로그램 삭제 후 재설치입니다. 삭제하고 나서 재부팅 후 설치해야 하고요

등등 여러가지가 있지만 확인하거나.. 또는 특정 %에서 멈춘 상황이 있으시면 댓글 남겨주시면 확인 후 내용 수정하도록 하겠습니다.

Forticlient 자동연결, 비밀번호 저장, 항상 연결 활성화 방법

먼저 Forticlient의 SSL-VPN Login 화면입니다.

위 자동연결, 비밀번호 저장, 항상 연결이 비활성화 된 상태!

영어 명칭은 auto-connect, save-password, always-up 입니다.

SSL-VPN에서 위 기능 활성화 방법의 경우

Fortigate CLI > config vpn ssl web portal > edit <설정하려면 SSL-VPN Portal Name> 진입

set 명령어를 사용하여 위 세 가지를 활성화시켜줍니다. (기본 설정은 비활성화)

활성화를 시켜주고 나서 SSL-VPN 접속했다가 로그아웃

로그아웃을 하고 다시 Forticlient 화면을 보면 세 가지 기능이 활성화된 걸 확인할 수 있습니다.

- 주의사항 -

해당 기능은 Forticlient 6.2이상 무료버전(Only-VPN)에서는 지원하지 않습니다. 

Forticlient 자동연결, 비밀번호 저장, 항상연결 활성화 방법 알아보기 끝

Fortigate GUI에서 Process List 확인 방법

현재 Fortigate 7.0.x 버전까지는 Fortigate에서 실행중인 Process를 보려면 CLI에서 확인해야 했습니다.

CLI에서 확인 명령어 : diagnose sys top <> <>

명령어 입력 시 위 이미지처럼 Process List들이 출력됩니다.

하지만

FortiOS 7.2 이상의 버전부터는 GUI에서도 Process 확인이 가능합니다.

Fortigate GUI에 접속 후 오른쪽 상단

admin > System > Process Monitor

Process Monitor 진입하면 확인이 가능합니다.

CLI보다 보기 편한 것 같아서 좋다고 느껴집니다.

Fortigate GUI에서 Process List 확인 방법 알아보기 끝

Fortigate Web Filtering cache 설정

Fortigate Web Filtering category based 사용 시 Fortigate는 FortiGuard로 URL 쿼리를 합니다.

동작 방식 아래 링크 rating service 참조

URL 쿼리 후 받은 결과값을 Fortigate는 cache 합니다.

사용자가 해당 URL로 재접속 시도를 할 경우 Fortiguard로 URL 쿼리하기 전에 먼저 cache를 확인하고 TTL 아직 남아있으면 cache된 결과값으로 응답합니다.

TTL Default값은 3600초입니다.

확인하는 명령어는 CLI > config system fortiguard로 진입 후 get

그 다음 스크롤을 내리게 되면

webfilter-cache : cache 활성화 / 비활성화 

webfilter-cache-ttl : cache 되는 시간 초 단위이고 최소 300초 최대 86400초까지 설정이 가능합니다.

주의할 점은 cache 목록이 너무 많이 늘어나게 되면 메모리에 영향을 줄 수 있습니다.

그럴땐 ttl값을 조정해주시거나 cache 목록을 clear 해주어야 합니다.

clear 명령어 : diagnose webfilter fortiguard statistics flush

cache 목록 확인 명령어 : diagnose webfilter fortiguard statistics list

이상

Fortigate Web filtering cache 설정 및 확인해보기 끝

Fortigate signature update 또는 rating service에는 각각의 다른 포트를 사용합니다.

먼저 Fortigate signature update는 Antivirus, IPS, Application등 Fortigurad로부터 signature를 update 받아 사용합니다.

정상적으로 signature update를 받기 위해선

Fortigate는 update.fortiguard.net과 통신이 되어야 하는데,

Fortiguard에서는 주기적으로 signature를 update하므로 update 마다 다운로드하기 위해서는 위 update.fortiguard.net과 주기적으로 통신이 되어야 하고 port는 HTTPS 443을 사용합니다.

signature update 확인 방법은 GUI와 CLI 둘 다 가능합니다.

GUI에서는 System > Fortiguard에서 확인하려고 하는 기능에 마우스를 올리면 언제 마지막으로 update가 되었는지 expired date가 나오는데 signature update는 expired date까지만 signature update가 가능합니다.

참고 아래 스크린샷은 라이선스가 없는 Fortigate입니다 ^^

CLI에서는 명령어 diagnose autoupdate versions 입력 시 확인이 가능합니다.

Fortigate rating service의 Antispam 및 web filtering은 Fortiguard에 쿼리를하고 결과값을 받아 정의된 Action에 따라 동작합니다.

쿼리하는 URL은 service.fortiguard.net입니다.

예를 들어 Fortigate 하단의 client가 www.naver.com을 접속합니다.

그러면 Fortigate는 Fortiguard에 www.naver.com라는 URL을 쿼리하고 Fortiguard URL DB에 정의된 값을 얻습니다.

www.naver.com은 Search Engines and Portals에 포함되어 있고 default Action은 pass입니다.

추가로 Fortiguard는 약 3억개의 URL DB를 가지고 있으며

그 중 약 6천개의 차단되는 악성, 피싱, 스팸 URL을 가지고 있습니다.

Fortigate rating service에 사용되는 Port는

- UDP 8888, 53

- HTTPS 8888, 53, 443

Fortigate rating service도 GUI System > Fortiguard에서 확인이 가능하며

rating service의 경우 expired date까지만 쿼리하므로 라이선스가 expire되면 쿼리를 하지 못해 web 접속이 되지 않아 장애상황이 발생할 수 있습니다.

그러므로 라이선스를 갱신하지 않는다면 expired date에 맞춰 기능을 꺼주시는 게 좋습니다.

마지막으로!

Fortigate signature update 및 rating service는 라이선스가 필요한 기능입니다.

Fortigate signature update 및 rating service use port

알아보기 끝