NAC(Network Access Control) 개념 네트워크에 사용자 혹은 디바이스가 접근할 때 인가된 사용자만 접근하도록 정책을 구성할 필요가 있습니다. Firewall 장비와 비교했을 때 디바이스를 통제할 수 있다는 특징이 있지만 통제 및 검역을 하는 과정에서 여러 차이가 존재합니다. Pre-Connect 단말이 네트워크에 연결되어 정상적인 통신이 이루어지기 전 수행되는 작업을 의미합니다. 디바이스가 네트워크에 연결될 때 NAC은 ID/PWD, 인증서, Mac Address등 인증을 요구하여 디바이스를 식별하게 됩니다. 이러한 인증 요구는 Switch, AP에서 802.1X를 통해 제공되거나 ARP Proxy를 통해 제공될 수 있습니다. Post-Connect Pre-Connect를 충족한 디바이..

HA(High-Availbility) 구성이란? FortiGate는 FGCP(FortiGate Cluster Protocol)를 사용하여 이중화를 구성할 수 있습니다. 일반적으로 다운타임이 최소한으로 발생되어야 하는 시스템에서 사용되며 Active-Active, Active-Passive로 구성할 수 있습니다. FortiGate가 Cluster를 협상하고 다른 FortiGate를 찾게되면 Hostname, HA Prriority를 제외하고 구성을 동기화합니다. HA(High-Availbility) 필요 조건 1. FortiGate들은 Software Version과 Hardware Model이 일치해야합니다. 2. FortiGate에서 구성된 인터페이스 구성이 동일해야합니다. (VDOM, NAT or T..

Host Check 기능 FortiGate는 디바이스가 SSL VPN으로 연결을 시도하는 경우 Host Check 기능을 통해 더욱 안전한 연결 환경을 구성합니다. Realtime AntiVirus는 현재 디바이스에서 동작중인 백신을 탐지하여 허용된 백신일 경우에만 접근을 허용 및 차단합니다. Firewall은 디바이스에서 방화벽 기능이 켜져 있는지 꺼져 있는지를 기준으로 접근을 허용 및 차단합니다. - Windows 방화벽 활성화 여부 확인하기 - FortiOS7.2.4-HostCheck-Guide 해당 기능은 Windows OS에서만 제공되며, Only VPN버전을 사용하는 경우에는 7.0.3이상으로 시도해야합니다. MacOS에서는 Guid를 제외한 Process와 File 필터만 적용 가능합니다. ..

Host Check 기능 FortiGate는 디바이스가 SSL VPN으로 연결을 시도하는 경우 Host Check 기능을 통해 더욱 안전한 연결 환경을 구성합니다. Realtime AntiVirus는 현재 디바이스에서 동작중인 백신을 탐지하여 허용된 백신일 경우에만 접근을 허용 및 차단합니다. Firewall은 디바이스에서 방화벽 기능이 켜져 있는지 꺼져 있는지를 기준으로 접근을 허용 및 차단합니다. - Windows 방화벽 활성화 여부 확인하기 - FortiOS7.2.4-HostCheck-Guide 해당 기능은 Windows OS에서만 제공되며, Only VPN버전을 사용하는 경우에는 7.0.3이상으로 시도해야합니다. MacOS에서는 Guid를 제외한 Process와 File 필터만 적용 가능합니다. ..

HTTP, HTTPS 포트번호 설정 Axgate는 기본값일 때 ethernet 0를 제외한 모든 포트가 shutdown 상태입니다. 기본 아이피는 192.168.1.1를 사용중이지만 실제로 GUI로 접근을 시도하면 연결이 거부되는 것을 확인할 수 있습니다. Console를 사용하여 접근하면 바로 프롬프트가 열립니다. 이때 Configuration terminal를 통해 들어가면 Viewer권한처럼 동작하기 때문에 regain privilege명령어를 통해 전역 모드로 진입해야합니다. (regain privilege 명령어는 TAP를 통해 자동 완성이 되지 않습니다.) virtual terminal로 진입하여 HTTP, HTTPS, SSH, TELNET 등 포트번호를 입력할 수 있습니다. 이때 well-k..

Data/Time display 기능 System → Settings 메뉴를 보면 Data/Time display를 FortiGate timezone 혹은 Browser timezone으로 설정 가능합니다. FortiGate timezone은 FortiGate의 Current system time를 의미하며 Browser timezone은 디바이스 NTP를 가르킵니다. FortiGate에서 Forward Traafic이 기록될 때 로그 세부 정보에 시간이 표시되는데 이는 NTP를 따라 표기됩니다. NTP Server를 CLI로 설정하는 방법 FortiGate는 기본값으로 FortiGuard를 바라보고 있기 때문에 time.bora.net, ntp.kornet.net등으로 설정하고 싶다면 CLI를 통해 수..