daily

FortiEMS download

위 링크는 저번에 포스팅했던 FortiClient 다운로드에 관한 내용인데 참고해야 할 부분이 있어서 첨부!

제일 중요한건.. 6.2부터 Forticlient license 구매시 활성화를 위하여 반드시 fortiems 설치가 필요하다.

license를 FortiEMS에 등록하고 user별 카운터를 FortiEMS에서 하기 때문

FortiEMS의 역할?

FortiClient Endpoint Management Server (EMS)

주로 license 활성화와 더불어 client 중앙 관리 및 보안정책 배포, 클라이언트 설치 파일 배포등등

위 내용은 Fortinet 홈페이지에서 캡쳐해 온 내용인데

중요 부분은 FortiEMS는 설치 시 3개의 client를 연동시켜서 사용할 수 있다.

즉 무료로 3개의 license를 제공하는 것

3개의 client를 연결시켜 거의 모든 기능을 테스트 가능

Fortinet support site 링크

support site에 login하여 FortiEMS 설치 파일을 다운 받을 수 있다 <support site 계정이 필요함>

FortiEMS 및 Forticlient download 시 확인해야할 부분!!

바로 version 문제

FortiEMS 설치 시 client 뿐만아니라 Fortigate OS version까지 신경써줘야 한다.해당 부분을 참고하지 않고 설치 시 연동관련 문제가 생길 수 있기 때문

위 이미지는 최신 firmware version까지 나와 있음

설치 시 주의사항이 기억나는건 여기까지..ㅠ추가로 생각나는 부분이 있으면 수정하겠습니다.

FortiEMS downloadCompatibility Chart는 꼭 확인하기

Fortigate Log Severity

Fortigate 기준으로 disk가 있는 장비와 없는 장비가 있다.

Ex. Fortigate-100F와 Fortigate-101F

뒤에 1이 있는 장비가 disk가 있는 장비

disk가 있는 장비는 로그를 쌓고 리부팅하여도 로그가 삭제되지 않는다.

disk가 없는 장비의 경우는 따로 저장소가 없어 memory에 로그를 쌓게 되는데 리부팅시 삭제되고

로그를 쌓는것도 아주 제한적이어서 실시간으로 트래픽이 많아 로그가 많이 쌓이게 되면 오버라이드되면서 로그 확인이 힘들 수도 있다

Fortigate log severity 관련 설정은 CLI에서만 가능하다.

CLI > config log memory filter > set serverity

disk나 fortianalyzer(포티넷 로그 저장 장치)는 memory 부분만 바꿔서 넣어주면 설정 변경 가능

emergency - 시스템이 비정상 상태에 대한 로그

alert - 즉각 조치가 필요(Security탐지등)한 로그

critical - 기능에 영향 주는 로그

error - 오류에 대한 로그

warning - 기능에 영향을 줄 수 있는 로그

notification - 이벤트에 관한 일반적인 로그

information - fortigate 설정변경에 대한 로그

debug - 디버깅을 위한 상세 로그

이 설정을 관련하여 포스팅하는 이유는

disk가 없는 포티게이트는 severity 설정이 default로 warning으로 되어 있을 수 있는데

이렇게 되어 있으면 일반적인 traffic로그는 쌓이지 않기 때문에

포티게이트를 처음 다뤄보는 입장에서 로그가 왜 안쌓이지? 라는 생각을 할 수 있다.

그땐 해당 설정을 information으로 바꿔주면 일반적인 traffic로그도 위에서 말씀드린 것처럼 보이는데 적재량이 아주 적고 리부팅시 지워진다.

그리고..

메모리에 로그가 계속 쌓이면 메모리에 부하를 줄 수 있어 시스템적인 장애를 발생 시킬 수 있다.

그래서 disk가 없는 장비에 severity를 낮게 설정해서 사용하는건 권장하지 않는다.

그래서 처음 장비 구매 시 로그에 대한 부분을 잘 고려해서 구매하는 게 좋다.

Fortigate Log Severity

Fortigate Virtual IP

EX. 외부 IP 주소를 내부 IP주소로 NAT하는데 사용됨

일반적으로 DNAT라고 부르고 Fortigate에서는 Virtual IP라고 함

Fortigate Virtual IP

설정화면

GUI > Policy & Objects > Virtual IPs에서 설정이 가능

Name부분에는 Virtual IP 객체 이름

Interface 선택은 해당 인터페이스로 들어오는 트래픽 DNAT 적용

any로도 설정해서 사용이 가능하지만

예를 들어, wan1 wan2 두개의 interface에 VIP가 정상 작동하지 않을 수 있으니

Interface를 지정해서 설정해주는게 좋다.

Fortigate Virtual IP 설정 예시

wan1 interface의 IP는 192.168.1.100으로 설정되어 있다고 가정하여 설정

목적지 IP(192.168.1.100)로 들어오는 모든 traffic은 NAT되어 10.10.10.1로 전달된다.

Fortigate Virtual IP Port Forwarding 예시

특정 Port에 대해서만 NAT 처리

목적지 IP 192.168.1.100 그리고 Port 10443으로 들어오는 traffic만 NAT처리

이 외 다른 traffic은 NAT처리하지 않음

Virtual IP에서 만들어주고 마지막으로 정책에 적용시켜 주어야 한다.

Incoming Interface - wan1(192.168.1.100)으로 적용되어야 하는게 맞음 / 현재 Test 장비가 SD-WAN 기능으로 wan1,2가 묶여있음

Outgoing Interface - 10.10.10.1이 포함된 internal interface

Source - All / 외부 어떤 사용자가 들어올지 모르기 때문

Destination - 만들었던 VIP 객체 선택

Service - Port Forwarding 했다면 해당 Port만 설정해놓으면 된다.

NAT - 비활성화 / NAT활성화 시 Source IP를 확인할 수 없음

이상 일반적인 Virtual IP 설정 알아보기 끝

FortiClient 다운로드

VPN 및 Endpoint 보안 기능을 제공하는 FortiClient

FortiClient 6.2이상부터는 License 부분이 크게 변경되었습니다. (현재 FortiClient 7.0 버전 배포 중)

VPN기능만 사용이 가능한 VPN Only 버전과 ZTNA, EPP등 여러 License 체계의 FortiClient

<FortiClient는 위 링크를 통해 다운로드가 가능>

위 링크는 공식적인 다운르도 site이고 Fortinet support site를 통해서도 다운로드 가능

FortiClient 다운로드 시 기능관련 주의사항

위 이미지가 FortiClient VPN Only 버전입니다.

이 버전은 License 비용이 들지 않고 VPN만 사용할 경우 다운로드하셔서 사용하시면 됩니다.

Host Check, 보안기능 사용불가능

Host Check는 Process, 파일위치, Host Mac등 이러한 설정으로 SSL-VPN접근을 제어할 수 있는 기능입니다.

이 외 ZTNA, EPP/APT, SASE FortiClient 버전은 User별 License비용이 들어갑니다.

각각의 License 기능 지원여부

필요한 기능에 맞춰 구매하시면 됩니다.

License Activation의 경우

FortiEMS(Endpoint management service) Software가 설치된 서버가 필요하며 device 개수에 따라 차감되고

Forticlient가 EMS와 연동이되면 EMS에서 정책을 내려줍니다.

안녕하세요

오늘은 포티넷 utm(fortinet fortigate)장비의 

이중화설정 테스트를 진행해 보겠습니다.

점점 IT 공부에대한 포스팅을 늘려가겠습니다!

포티게이트 이중화 프로토콜

FGCP, FGSP오늘은 FGCP로 테스트를 진행하겠습니다.

FGCP (FortiGateClusterProtocol)

- 구성이 가능한 모드는 A-A, A-P

해당 테스트는

포티게이트 200E 모델

포티게이트 OS 5.4.7

구성 시 참고사항은 완전히 동일한 모델이여야하고 

하드웨어 스펙도 같아야한다.

fortinet fortigate ha 설정은 아주 간단합니다.

mode에서 A-P로 바꿔줍니다.

Device Priority 값 ( 이중화 시 Master을 선점을 선택하는 값 )

이중화 그룹네임

password에 동일한 값 입력 / Passive 설정 시

Passive 설정 시 Priority 값을 제외하곤 동일하게 입력

Priority 값이 높은 쪽이 Master

동일 설정 시 장비 uptime 으로 Master 선점

port moniter : 하나의 포트라도 연결 다운 시 fail-over

ha : Heartbeat 인터페이스 체크

wan1 : 외부 interface port

port1 : 내부 interface port

A, P 모두 정상적으로 설정이 완료됬을때 Web UI HA 카테고리에서

A-P 확인가능

CLI에서 이중화 상태확인 명령어

get system ha status

설정하고 바로 확인한 상태

아래 쪽에 

Master : fw1

Slave : fw2

포티게이트 이중화 설정 완료

아직 초보라 틀린게 있다면 지적부탁드립니다.

fortinet fortigate ha configuration 설정 완료