daily

Fortigate session ttl 설정 방법

Fortigate에서는 global, policy, service에 대해 session ttl 설정이 가능합니다.

1. global에서 session ttl 변경

CLI > config system session-ttl 진입

default 설정은 3600초이며 위 이미지 내 범위까지 설정 변경이 가능합니다

-

2. service에서 변경

GUI에서는 session ttl 변경이 불가능합니다.

CLI > config firewall policy > edit <>

set session-ttl

policy에서는 default가 0으로 설정되어 있고 300에서 2764800초까지 변경이 가능합니다.

-

3. service에서 변경하기

service도 CLI에서 변경해줍니다.

CLI > config firewall service custom > edit <>

service에서도 마찬가지로 set session-ttl 하셔서 변경해주시면 되고 default가 0으로 설정되어 있습니다

0의 의미는 상위 설정의 ttl값을 따른다는 의미입니다.

global > policy > service 순으로 global이 3600 policy,service 둘 다 0으로 설정되어 있으면 policy, service 3600초로 동작합니다.

추가로

위 모든 설정들에서 session ttl을 무한대로 설정할 수 있습니다.

set session-ttl <never> 로 설정해주시면 됩니다.

never는 히든 명령어라서 보이지 않고 직접 입력해 주셔야 합니다.

이상

Fortigate session ttl 설정 방법 알아보기 끝

Fortigate GUI 연결 안 될 때 확인사항

여러가지 경우에 따라 Fortigate GUI 액세스가 되지 않을 수 있습니다

1. Fortigate Interface allowaccess

Interface setting에서 allowaccess HTTPS/HTTP가 disable 되어 있는 경우

-

2. Trusted host가 설정되어 있는 경우

Trusted host가 설정되어 특정 접속이 불가능할 경우

-

3. Access Port가 변경되어 있는 경우

HTTPS/HTTP default Port 번호는 443/80인데 해당 Port가 변경되어 있어 접속이 되지 않는 경우

-

4번부터는 가능성이 조금 적습니다 보통 위에 경우에서 설정에 의한 접근 불가능은 웬만하면 해결이 됩니다.

4. VIP(Virtual IPs)가 설정되어 있는 경우

접근하려고 하는 Interface의 IP와 HTTPS/HTTP Port를 혹여나 잘못 설정해놓았을 경우

-

5. local-in-policy가 설정되어 있는 경우

local-in-policy의 경우 CLI에서만 설정이 가능합니다.

CLI > config firewall local-in-policy > edit <>

접근하려고 하는 Interface에 local 차단 policy가 설정되어 있는 경우

Fortigate GUI 연결 안 될 때 확인사항 알아보기 끝

Fortigate execute factoryreset 공장초기화 하기
Fortigate 공장초기화 하는 방법은 여러가지가 있습니다.
TFTP, GUI에서 Revisions, CLI 명령어등
1. TFTP의 경우 장비 리부팅 시 진행하는 방법입니다. 현재의 OS를 날려버리고 새로운 OS로 올리는거죠
어떻게 보면 초기화보단 재설치가 맞는 표현이기는 합니다..

2.GUI에서 Revisions

Fortigate GUI > 오른쪽 상단 Login 계정 클릭 > Configuration > Revisions으로 진입하면 Config를 장비 처음 on 했을 때 저장해놓고 공장초기화로 돌리고 싶으면 Revert를 해주면 됩니다.
그 외 Revisions 기능을 활용하여 저장된 config를 비교해볼수도 있습니다.
그다음 관리자가 로그아웃할 때마다 revision에 config를 저장하도록 설정할 수도 있습니다

3. CLI에서 명령어
- Fortigate CLI > execute factoryreset 명령어 입력
해당 명령어를 입력하면 Fortigate 구성에 대한 모든 변경 사항을 지우고 장비를 처음 on 하고 나서 세팅값(default IP만 세팅되어 있는 상태)으로 되돌립니다.
excute factoryreset2 명령어 입력은 위 execute factoryreset과 조금 다릅니다.
모든 변경 사항을 지우는 게 아닌 VDOM, Static Routing, Interface settings을 제외한 나머지 설정들을 초기화 시킵니다.
excute factoryreset2를 사용하여 초기화 시키면 Interface 정보가 남아 있어서 초기화 후에도 기존 IP로 Fortigate에 접근이 가능합니다.
Fortigate execute factoryreset 공장초기화 하기 끝

Forticlient 자동연결, 비밀번호 저장, 항상 연결 활성화 방법

먼저 Forticlient의 SSL-VPN Login 화면입니다.

위 자동연결, 비밀번호 저장, 항상 연결이 비활성화 된 상태!

영어 명칭은 auto-connect, save-password, always-up 입니다.

SSL-VPN에서 위 기능 활성화 방법의 경우

Fortigate CLI > config vpn ssl web portal > edit <설정하려면 SSL-VPN Portal Name> 진입

set 명령어를 사용하여 위 세 가지를 활성화시켜줍니다. (기본 설정은 비활성화)

활성화를 시켜주고 나서 SSL-VPN 접속했다가 로그아웃

로그아웃을 하고 다시 Forticlient 화면을 보면 세 가지 기능이 활성화된 걸 확인할 수 있습니다.

- 주의사항 -

해당 기능은 Forticlient 6.2이상 무료버전(Only-VPN)에서는 지원하지 않습니다. 

Forticlient 자동연결, 비밀번호 저장, 항상연결 활성화 방법 알아보기 끝

Fortigate scripts 사용 방법

많은 양의 객체를 만들 때 사용하면 편리한 기능

사용 방법 확인해보기

먼저 Fortigate GUI > 오른쪽 상단 login 계정 > Configuration > Scripts

Scripts 화면으로 넘어와서 Run Script를 클릭해 주면 되는데 하기 앞서 Script 파일을 만들어 줍니다.

메모장을 실행 한 다음 Fortigate CLI 명령어를 그대로 입력합니다.

address를 생성 하기 위해서는 CLI 접속 후

config firewall address 입력 그 다음

edit <address name>

이러한 방식으로 순서대로 입력해서 만들어 주시면 됩니다.

script를 통해서 address 뿐만 아니라 라우팅, vpn, 정책 등 거의 모든 생성할 수 있습니다.

만약 여러 대의 장비에 공통된 정책이나 객체가 필요할 시 Fortimanager가 있다면 한번에 내려줄 수 있겠지만

Fortimanager가 없다면 script를 사용하면 좋겠죠

이건 script를 넣기 전에 IP Range/Subnet 상태입니다.

위에 만들어 놓은 script 파일이 Local PC에 저장되어 있으니 Local > Browse 클릭하고 해당 파일을 선택해 줍니다.

위에 말씀드린 것처럼 Fortigate CLI 순서대로 입력만 잘 해놓으시면 script가 Success 상태로 나옵니다.

다시 address 탭으로 돌아가 script로 추가한 IP-Subnet 내역이 잘 생성되어 있는지 확인하면 됩니다.

이상

Fortigate scripts 사용 방법 확인하기 끝

Fortigate GUI에서 Process List 확인 방법

현재 Fortigate 7.0.x 버전까지는 Fortigate에서 실행중인 Process를 보려면 CLI에서 확인해야 했습니다.

CLI에서 확인 명령어 : diagnose sys top <> <>

명령어 입력 시 위 이미지처럼 Process List들이 출력됩니다.

하지만

FortiOS 7.2 이상의 버전부터는 GUI에서도 Process 확인이 가능합니다.

Fortigate GUI에 접속 후 오른쪽 상단

admin > System > Process Monitor

Process Monitor 진입하면 확인이 가능합니다.

CLI보다 보기 편한 것 같아서 좋다고 느껴집니다.

Fortigate GUI에서 Process List 확인 방법 알아보기 끝

Fortigate 초기화 및 펌웨어 업그레이드 방법

먼저 Fortigate 초기화 방법부터 알아보겠습니다.

기본적인거라 아주 간단합니다.

Fortigate 초기화는 CLI에서

#execute factoryreset

이라는 명령어를 입력해주시면 됩니다.

입력하시면 아래와 같이 메시지가 나오는데 해당 장비를 기본값으로 설정하겠습니까 ? 라는 알림입니다.

여기서 말하는 기본값은 처음 Fortigate 장비를 받았을 때 기본적인 IP(192.168.1.99)만 세팅되어 있는 상태입니다.

그 다음

Fortigate 펌웨어 업그레이드 방법

먼저 Fortigate 펌웨어를 다운 받아야 합니다.

ex) 6.2.x > 6.4.x로 업그레이드를 진행한다고 하면 upgrade path를 확인 후 path에 필요한 펌웨어를 다운 받아야 합니다.

upgrade path 관련은 위 링크 참조

다운로드 후 Fortigate GUI > System > Firmware으로 들어가

Browse 클릭하고 다운로드한 펌웨어를 올려주면 된다.

Fortigate 초기화 및 펌웨어 업그레이드 방법 알아보기 끝

Fortigate Web Filtering cache 설정

Fortigate Web Filtering category based 사용 시 Fortigate는 FortiGuard로 URL 쿼리를 합니다.

동작 방식 아래 링크 rating service 참조

URL 쿼리 후 받은 결과값을 Fortigate는 cache 합니다.

사용자가 해당 URL로 재접속 시도를 할 경우 Fortiguard로 URL 쿼리하기 전에 먼저 cache를 확인하고 TTL 아직 남아있으면 cache된 결과값으로 응답합니다.

TTL Default값은 3600초입니다.

확인하는 명령어는 CLI > config system fortiguard로 진입 후 get

그 다음 스크롤을 내리게 되면

webfilter-cache : cache 활성화 / 비활성화 

webfilter-cache-ttl : cache 되는 시간 초 단위이고 최소 300초 최대 86400초까지 설정이 가능합니다.

주의할 점은 cache 목록이 너무 많이 늘어나게 되면 메모리에 영향을 줄 수 있습니다.

그럴땐 ttl값을 조정해주시거나 cache 목록을 clear 해주어야 합니다.

clear 명령어 : diagnose webfilter fortiguard statistics flush

cache 목록 확인 명령어 : diagnose webfilter fortiguard statistics list

이상

Fortigate Web filtering cache 설정 및 확인해보기 끝

Fortigate signature update 또는 rating service에는 각각의 다른 포트를 사용합니다.

먼저 Fortigate signature update는 Antivirus, IPS, Application등 Fortigurad로부터 signature를 update 받아 사용합니다.

정상적으로 signature update를 받기 위해선

Fortigate는 update.fortiguard.net과 통신이 되어야 하는데,

Fortiguard에서는 주기적으로 signature를 update하므로 update 마다 다운로드하기 위해서는 위 update.fortiguard.net과 주기적으로 통신이 되어야 하고 port는 HTTPS 443을 사용합니다.

signature update 확인 방법은 GUI와 CLI 둘 다 가능합니다.

GUI에서는 System > Fortiguard에서 확인하려고 하는 기능에 마우스를 올리면 언제 마지막으로 update가 되었는지 expired date가 나오는데 signature update는 expired date까지만 signature update가 가능합니다.

참고 아래 스크린샷은 라이선스가 없는 Fortigate입니다 ^^

CLI에서는 명령어 diagnose autoupdate versions 입력 시 확인이 가능합니다.

Fortigate rating service의 Antispam 및 web filtering은 Fortiguard에 쿼리를하고 결과값을 받아 정의된 Action에 따라 동작합니다.

쿼리하는 URL은 service.fortiguard.net입니다.

예를 들어 Fortigate 하단의 client가 www.naver.com을 접속합니다.

그러면 Fortigate는 Fortiguard에 www.naver.com라는 URL을 쿼리하고 Fortiguard URL DB에 정의된 값을 얻습니다.

www.naver.com은 Search Engines and Portals에 포함되어 있고 default Action은 pass입니다.

추가로 Fortiguard는 약 3억개의 URL DB를 가지고 있으며

그 중 약 6천개의 차단되는 악성, 피싱, 스팸 URL을 가지고 있습니다.

Fortigate rating service에 사용되는 Port는

- UDP 8888, 53

- HTTPS 8888, 53, 443

Fortigate rating service도 GUI System > Fortiguard에서 확인이 가능하며

rating service의 경우 expired date까지만 쿼리하므로 라이선스가 expire되면 쿼리를 하지 못해 web 접속이 되지 않아 장애상황이 발생할 수 있습니다.

그러므로 라이선스를 갱신하지 않는다면 expired date에 맞춰 기능을 꺼주시는 게 좋습니다.

마지막으로!

Fortigate signature update 및 rating service는 라이선스가 필요한 기능입니다.

Fortigate signature update 및 rating service use port

알아보기 끝

Fortigate Route Selection Process

Fortigate routing 설정 시 경로가 둘 이상일 경우 라우팅을 선택하는 프로세스 알아보기

1. Most Specific route

먼저 Fortigate는 서브넷이 작은 경로를 선택합니다.

예를 들어,

1. 목적지 0.0.0.0/0 port1로 설정된 라우팅 경로

2. 목적지 192.168.1.0/24 port2로 설정된 라우팅 경로

위 처럼 설정되어 있을 시 192.168.1.0/24의 서브넷은 0.0.0.0/0에도 포함됩니다.

이럴 경우 192.168.1.0/24의 경로는 port2를 선택합니다.

2. Lowest distance

목적지가 동일한 경우

0.0.0.0/0의 wan1,2로 두 개의 라우팅 경로가 존재할 경우

라우팅 설정값인 distance를 보게되는데

더 낮은 distance값이 우선이 됩니다.

wan1 distance : 5

wan2 distance : 10

으로 설정된 경우 wan1의 경로 선택

3. Lowest metric(dynamic routes) and priority (static routes)

그 다음

목적지도 동일하고 distance값도 동일할 경우

dynamic route의 경우 metric

statice route의 경우 priority

값이 낮은 경로 보고 선택합니다.

4. ECMP (Equal cost multipath)

목적지 distance, metric 또는 priority가 모두 동일할 경우

ECMP로 트래픽을 분산하여 보내게 동작합니다.

ECMP에 대해선 나중에 따로 포스팅하겠습니다!!

이상

Fortigate Route Selection Process

알아보기 포스팅 끝