TY-Network & FirewallNote

FortiGate 이중화 구성시 기본 요구 조건 1. 동일한 하드 디스크 구성 2. 동일한 슬롯에 설치된 동일한 AMC 또는 FMC 카드 3. FortiGate 장치에 스위치 인터페이스가 포함된 경우 동일한 인터페이스/허브/스위치 모드 4. 동일한 소프트 스위치 구성 또한 다음 사항을 확인해야 한다. 1. DHCP 또는 PPPoE 주소 지정을 위해 구성된 FortiGate 인터페이스는 없다. 2. 두 FortiGate 유닛 모두 동일한 펌웨어 빌드를 가지고 있다. 3. FortiGate 장치 두 개가 모두 동일한 작동 모드(NAT 또는 Transparent)로 설정됨 4. FortiGate 장치 두 개가 동일한 VDOM 모드로 설정됨. FGCP Active - Standby - FortiGate의 FGC..

- Port Forwarding 설정 (1.1.1.6 -> 100.100.100.101 port2323 통신 시 목적지 IP 10.1.1.3 Port 23 변경후 TELNET통신 되 도록 설정) 1. Virtual IP 및 NAT 정책 설정 - [Policy&Objects] - [Virtual IPs]에서 Virtual IP Pool 설정 - [Policy&Objects] - [IPv4 Policy] - [+Create New]에서 정책 설정 2. 출발지와 목적지 간의 통신을 확인 - 확인 방법으로 방화벽에서 Packet DUMP 확인. (traffic) # diagnose sniffer packet 패킷 덤프 확인 명령어 입력 후 - 출발지 1.1.1.6 -> 목적지 100.100.100.100 Por..

- DNAT 설정 (1.1.1.6 -> 100.100.100.100 통신 시 목적지 IP를 10.1.1.2 변경 후 통신되도록 설정) 1. Virtual IP 및 NAT 정책 설정 - [Policy&Objects] - [Virtual IPs]에서 Virtual IP Pool 설정 - [Policy&Objects] - [IPv4 Policy] - [+Create New]에서 정책 설정 2. 출발지와 목적지 간의 통신을 확인 - 확인 방법으로 방화벽에서 Packet DUMP 확인. (traffic) # diagnose sniffer packet 패킷 덤프 확인 명령어 입력 후 - 출발지 1.1.1.6 -> 목적지 100.100.100.100 통신시 목적지 IP가 10.1.1.2로 변경 후 통신이 되는지 확인..

SNAT 설정 (1.1.1.6 -> 10.1.1.1 통신 시 출발지 IP를 100.100.100.100으로 변경 후 통신되도록 설정) 1. IPv4 Pool 및 NAT 정책 설정 - [Policy&Objects] - [IP Pools]에서 IP Pool 설정 - [Policy&Objects] - [IPv4 Policy] - [+Create New]에서 정책 설정 2. 출발지와 목적지 간의 통신을 확인 - 확인 방법으로 방화벽에서 Packet DUMP 확인. (root) # diagnose sniffer packet 패킷 덤프 확인 명령어 입력 후 - 출발지 1.1.1.6 -> 목적지 10.1.1.1 통신시 출발지 IP가 변경되는 것을 확인. 3. 세션 확인 - 통신 중 세션 리스트 확인 명령어를 입력하여..

Stateful inspection - 컴퓨팅에서 상태 저장 방화벽은 통과하는 네트워크 연결의 작동 상태와 특성을 추적하는 네트워크 방화벽입니다. 방화 벽은 다양한 유형의 연결에 대해 합법적 인 네트워크 패킷을 구별하도록 구성되어 있습니다. 알려진 활성 연결과 일치 하는 패킷 만 방화벽을 통과 할 수 있습니다. session-helper - 주로 FTP Passive Mode 를 사용하는 경우 Well Known Port 가 아닌 임의로 지정된 Port 를 사용 하게 되는데 이때 해당 Port 를 정책에서 허용 하였음에도 불구하고 FTP 연결이 불가 한 경우가 있습니다. 이러한 경우 해당 Port 가 FTP 용도로 사용된다는 것을 Fortigate 장비 에서 설정 해야 하는데 이 설정이 바로 Sessio..

차단 정책 설정 (1.1.1.6 --> 10.1.1.2 TCP_23) 1. IPv4 Policy 설정 - [Policy&Objects]에서 IP Address 및 Service 입력 - [Policy&Objects] - [IPv4 Policy] - [+Create New]에서 정책 설정 2. 출발지와 목적지 간의 통신을 확인 - 확인 방법으로 방화벽에서 Packet DUMP 확인. (root) # diagnose sniffer packet 패킷 덤프 확인 명령어 입력 후 - 출발지 1.1.1.6 -> 목적지 10.1.1.2 로 TCP 23번 포트로 접속이 차단 되는지 확인 3. 세션 확인 - 통신 중 세션 리스트 확인 명령어를 입력하여 세션 확인. (root) # diagnose sys session l..

허용 정책 1.1.1.6 --> 10.1.1.1 TCP - 23 1. IPv4 Policy 설정 - [Policy&Objects]에서 IP Address 및 Service 입력 - [Policy&Objects] - [IPv4 Policy] - [+Create New]에서 정책 설정 2. 출발지와 목적지 간의 통신을 확인 - 확인 방법으로 방화벽에서 Packet DUMP 확인. (root) # diagnose sniffer packet 패킷 덤프 확인 명령어 입력 후 - 출발지 1.1.1.6 -> 목적지 10.1.1.1 로 TCP 23번 포트로 접속이 되는지 확인 3. 세션 확인 - 통신 중 세션 리스트 확인 명령어를 입력하여 세션 확인. (root) # diagnose sys session list 4...

LACP간 통신 확인 및 최소 2개의 링크가 업 상태일 경우 작동 확인 LACP : 여러 개의 물리적인 링크를 하나로 묶어서 하나의 논리적 링크로사용하는 기술 (대역폭 확대 , 포트가 속한 LAN의 프레임만 수용가능) 1. LACP 설정 - [Network] - [Interfaces] * +Create New를 통하여 LACP 추가 Switch 이중화 구성 > en # conf t # int range fa 0/13 - 14 # channel-group 1 mode active # int port-channel 1 # ip address 100.100.100.254 255.255.255.0 - CLI 환경에서 인터페이스에 LACP 모드 설정. (root) # config system interface (..

LLCF : Link를 감지해서 상 , 하단 Link 중 어느 하나가 Down되면 나머지 하나의 Link도 Down을 시켜 상 , 하단 장비에서 경로 정보를 변경할 수 있도록 지원해주는 역할을 함 Port1에 LLCF를 구성하여 Link Down시 Port2도 다운 되어야 하며 반대의 경우도 작동하도록 설정 1. LLCF 설정 - CLI 환경에서 인터페이스에 LLCF 설정. # config vdom (vdom) # edit root (root) # config system interface (interface) # edit port1 (port1) # set fail-detect enable (인터페이스 실패 탐지 옵션 활성화) (port1) # set fail-detect-option link-down..

구성도 1. VLAN 100, 200 구성 - [Network] - [Interfaces] * +Create New를 통하여 VLAN 추가 - 방화벽과 연결된 스위치에서도 VLAN 구성 ------------------------------------------- Switch 구성 ---------------------------------------------------- > en # conf t # vlan 4 # name VLAN_100 # int vlan 4 # ip add 192.168.100.254 255.255.255.0 # vlan 5 # name VLAN_200 # ip add 192.168.200.254 255.255.255.0 Switch FortiGate (Port : 19) (Po..