본문 바로가기
728x90
반응형

Firewall

[Fortinet] 포티게이트 방화벽 정책 빠르게 이동하는 방법
IT 이야기/방화벽(VPN) 2021. 2. 6. [Fortinet] 포티게이트 방화벽 정책 빠르게 이동하는 방법 안녕하세요. 아이홀입니다. 포티 방화벽 정책을 수정하다보면 가끔 정책 위치를 이동해야하는 경우가 있습니다. 방화벽 정책은 순차적으로 위에서부터 적용되기 때문인데요. 바로 한칸위, 또는 한칸 아래 이동하는 거야 GUI 상에서 드래그하면 편하게 이동가능하지만, 이동해야할 정책이 많거나, 한 번에 많은 위치를 옮겨야 할 경우에는 오히려 CLI 를 통해 이동하는 게 훨씬 수월합니다. 방법은 CLI 로 접속한 후 아래와 같이 진행 가능합니다. FW01 (eyehole) # config firewall policy FW01 (policy) # move 282 after move after before move before FW01 (policy) # move 282 after 126 FW01 (policy) # m..
[Fortinet] 방화벽 로그 출력 오류 원인과 해결방법 / Fortigate firewall forward traffic logs are not displayed
IT 이야기/방화벽(VPN) 2021. 2. 5. [Fortinet] 방화벽 로그 출력 오류 원인과 해결방법 / Fortigate firewall forward traffic logs are not displayed Fortigate 방화벽 로그 출력 오류 해결 방법 안녕하세요. Fortigate 방화벽에서 Traffic 조회를 위해 Log 확인을 하였는데요. 온통 Deny 관련된 Log 만 출력되어 정상 Traffic 에 대한 Log 조회가 불가하였습니다. 한참 헤매다 원인을 찾고 해결한 내용을 공유합니다. 증상 Fortigate > Log&Report > Forward Traffic 에서 Deny 관련 Log 만 확인되는 증상 원인 log memory filter 에 severity 설정에 따른 log 표출 방화벽 장비의 CLI 로 접속하여 아래와 같이 log filter 를 확인해보면 severity 설정을 확인할 수 있습니다. # config log memory filter (filter) # show ful..
[Fortigate] Session-helper / 비정규포트를 이용한 ftp 설정
IT 이야기/방화벽(VPN) 2020. 8. 28. [Fortigate] Session-helper / 비정규포트를 이용한 ftp 설정 포티게이트 방화벽의 Sesison-Helper 안녕하세요. 오늘은 Fortigate 방화벽의 Session-helper 기능에 대해 알아보고자 합니다. Fortigate 방화벽은 Session-helper 를 사용하여 특별한 요구사항이 있는 세션을 처리합니다. Session-helper 는 세션에서 필요한 지원 기능을 Proxy 처럼 작동하여 수행합니다. Session-helper 를 통해 SIP, FTP, TNS, TFTP 등 여러가지 설정을 정의할 수 있습니다. 예를 들어 FTP Session-helper 는 단일 FTP Session 에서 시작된 Multi Session 을 추적할 수 있습니다. FTP Server 가 Client Program 에 대한 연결을 열도록 허용합니다. Session-He..
[FORTINET] Fortigate LDAP Server 연동 방법
IT 이야기/방화벽(VPN) 2020. 3. 27. [FORTINET] Fortigate LDAP Server 연동 방법 Fortigate 방화벽에 LDAP Server 연동 방법입니다. User & Device > LDAP Servers 해당 메뉴에서 설정 가능합니다. Name : 임의의 LDAP 서버 명칭을 지정합니다. Server IP / Name : AD 서버의 IP 또는 dns 를 입력합니다. IP 로 지정하는 걸 추천합니다. Server Port : LDAP 통신을 위한 Service Port 를 입력합니다. LDAP 표준은 UDP 389 번을 사용합니다. Common Name Identifier : 이 부분은 보통 "sAMAccountName" 이렇게 넣던데, Default 로 "cn" 이라고 입력해도 정상적으로 되는 걸로 보아 큰 의미는 없는 것 같습니다. Distingushed Name : ad 서버의 주소..
[FORTINET] Fortigate SSL VPN Configuration / fortiguard
IT 이야기/방화벽(VPN) 2020. 3. 26. [FORTINET] Fortigate SSL VPN Configuration / fortiguard Fortigate 방화벽을 통한 SSL VPN 설정 방법입니다. Fortigate 방화벽은 별도의 License 없이 무제한으로 SSL VPN 을 사용할 수 있으며, 운영자의 입장에서 직관적으로 설정을 할 수 있어 큰 어려움 없이 SSL VPN 을 사용할 수 있습니다. 설정을 위한 절차는 다음과 같습니다. IP대역 정의 사용자 계정 생성 사용자 그룹 생성 SSL VPN Portals 설정 SSL VPN Settings 설정 Policy 설정 Routing 설정 1. IP 대역 정의 (Policy & Objects > Addresses) VPN 접속 후 사용자 PC 가 받아갈 IP 대역을 정의하고, 필요에 따라 VPN 을 통해 통신할 내부 서버 대역 등도 미리 정의해 줍니다. 2. 사용자 계정 생성 (Us..
[FORTINET] How to count the total number of fortigate firewall policies _ 방화벽 정책 수량 확인
IT 이야기/방화벽(VPN) 2020. 3. 19. [FORTINET] How to count the total number of fortigate firewall policies _ 방화벽 정책 수량 확인 fortigate 방화벽 정책 수량 확인하는 방법입니다. 정책을 만들 때는 Policy ID 가 순차적으로 생성되지만, 중간에 정책을 삭제하거나 정리 작업을 하게 되면 이 Policy ID 는 삭제된 ID 에 신규 할당되기도 하기 때문에 뒤죽박죽 할당됩니다. 그래서 전체 수량을 확인 할려면 일일이 정책을 세어봐야 하는데요. 간단히 Cli 상에서 명령어를 쳐서 정책 수를 확인 할 수 있습니다. 'set status' 는 전체 정책 수량 확인 'set status enable' 은 활성화된 정책 수 확인 'set status disable' 은 비활성화된 정책 수를 확인할 수 있습니다. FW01 (D_EXT_FW) # show full-configuration firewall policy | grep -c ..
[FORTINET] Fortigate Console terminal length 0
IT 이야기/방화벽(VPN) 2020. 3. 18. [FORTINET] Fortigate Console terminal length 0 fortigate 방화벽을 cli 상에서 policy 를 긁어오던지 config 를 긁을 경우 --more-- 로 인해 1page 씩 나오는 것이 보기 싫다면 위 방법으로 한 번에 모두 출력할 수 있습니다. Cisco 장비의 terminal length 0 와 동일한 명령입니다. Fortigate_FW01 # config global Fortigate_FW01 (global) # config system console Fortigate_FW01 (console) # set output standard Fortigate_FW01 (console) # end vdom 으로 나누어져 있을 경우에도 global 에서 위 명령을 통해 모두 적용 가능 합니다. 다시 기본적으로 돌릴 경우에는 "standard" 를 ..
[Fortinet] Fortigate Allow Unnamed Policies_포티게이트 방화벽에서 Name 입력하지 않고 정책 생성하는 방법
IT 이야기/방화벽(VPN) 2020. 3. 5. [Fortinet] Fortigate Allow Unnamed Policies_포티게이트 방화벽에서 Name 입력하지 않고 정책 생성하는 방법 오늘 얘기할 내용은 Fortigate 방화벽 장비에서 정책을 생성할 때 입력하는 값 중에서 'Name' 이라는 Column 이 있는데요. 제가 알기로는 FortiOS 5.4 부터 생성된 것으로 알고 있습니다. 이 'Name' Column 의 경우 Description 과 비슷하면서도 다른데, 기존에 'Commnet' 라는 칼럼이 존재했었죠. 그래서 해당 정책에 대한 설명은 이 'Comment' 란에 보통 입력해서 각 정책에 대한 내용을 확인할 수 있도록 했습니다. 그런데 갑자기 'Name' 이라는 칼럼이 생겼습니다. '이 부분을 어떻게 활용을 할까?'... 라고 고민을 해봤는데요. 저는 그냥 사용하지 않기로 했습니다. 'Comment' 와 별개로 각 정책별 성격에 따라 구분을 한다던지 뭐 이런 용도로 사..
IT 이야기/방화벽(VPN) 2015. 3. 3. Juniper SRX240 VPN Configuration Example Juniper SRX240 장비 VPN 설정 관련 Config 예제입니다.IP 주소는 제가 임의대로 입력한 거라 큰 의미는 없습니다. admin@VPN_1> show configuration version 11.4R9.4;groups { node0 { system { host-name VPN_1; } interfaces { fxp0 { unit 0 { family inet { address 1.1.1.1/24; } } } } } node1 { system { host-name VPN_2; } interfaces { fxp0 { unit 0 { family inet { address 1.1.1.2/24; } } } } }}apply-groups "${node}";system { time-zone Asia/..
IT 이야기/방화벽(VPN) 2014. 2. 4. [Juniper] SRX_ssh Attack Block ***. Juniper SRX 방화벽에서 인가되지 않은 IP 로부터의 ssh 접근을 차단하기 위한 Config 입니다. [1단계] SSH 접근을 허용한 IP List 를 정의합니다. admin@VPN_1# show policy-options prefix-list SSH_IP { 10.10.10.0/24; } [2단계] 방화벽 접근 룰을 생성합니다. {primary:node0}[edit] admin@VPN_1# show firewall family inet { filter sshFilter {
728x90
반응형

티스토리툴바