'분류 전체보기' 카테고리의 글 목록 (7 Page)

안녕하세요.

이번에는 Fortigate Passowrd Recovery에 대해서 알아보겠습니다.

1. 콘솔 케이블을 fortigate방화벽에 연결하고 부팅합니다.

2. 10초안에 정보를 입력해야지 로그인 가능 합니다.

username: maintainer

password: bcpb+serial number - bcpbFGT61E4QXXXXXXXX

serial 정보는 부팅할때 serial number를 확인 가능하고 또는 장비에서 뒷면에서 시리얼번호를 확인 가능 합니다.

FortiGate-61E (19:30-06.08.2016)
Ver:05000009
Serial number: FGT61E4QXXXXXX
CPU: 1000MHz
Total RAM: 2 GB
Initializing boot device...
Initializing MAC... nplite#0
Please wait for OS to boot, or press any key to display configuration menu......

Booting OS...
Reading boot image... 2939563 bytes.
Initializing firewall...

System is starting...
Starting system maintenance...
Scanning /dev/mmcblk0p1... (100%)
Scanning /dev/mmcblk0p3... (100%)

FW1 login: maintainer
maintainer
Password: ******************** -----> bcpb+serial number - bcpbFGT61E4QXXXXXXXX
Welcome !

WARNING: File System Check Recommended! Unsafe reboot may have caused inconsistency in disk drive.
It is strongly recommended that you check file system consistency before proceeding.
Please run 'execute disk scan 259'
Note: The device will reboot and scan during startup. This may take up to an hour

3. 패스워드를 변경합니다. 그리고 변경된 패스워드로 로그인 합니다.

MitsubishiFW1 # config system admin

MitsubishiFW1 (admin) # edit admin

MitsubishiFW1 (admin) # set password XXXXXXXXXX

MitsubishiFW1 (admin) # end

MitsubishiFW1 (global) # exit

MitsubishiFW1 login: admin
Password: *************
Welcome !

WARNING: File System Check Recommended! Unsafe reboot may have caused inconsistency in disk drive.
It is strongly recommended that you check file system consistency before proceeding.
Please run 'execute disk scan 259'
Note: The device will reboot and scan during startup. This may take up to an hour
FW1 #

지금까지 fortigate 방화벽 Password Recovery에 대해서 알아보았습니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#15]- Firmware Upgrade path (0)	2024.12.11
[Fortigate-#14]- firewall does not work after upgrading firmware (0)	2024.12.11
[Fortigate-#12]- LACP - Link Aggregate (0)	2024.11.27
[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27

안녕하세요.

오늘은 PaloAlto Global Protect cisco DUO PROXY redundancy에 대해서 알아보겠습니다.

https://itblog-kr.tistory.com/93

[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo

안녕하세요. 이번에는 PaloAlto Global Protect에서 2FA를 사용해보겠습니다. 2FA은 CISCO DUO입니다. okta도 가능 합니다. Windows Server 설치 아래를 참고 부탁드립니다. https://itblog-kr.tistory.com/66 VM생성/등

itblog-kr.tistory.com

Server01: Active Directory, DNS, Cisco DUO Proxy

Server02: Active Directory, DNS, cisco DUO proxy

Portal authentication - LDAP - Server 01, Server01 죽으면 Server02

Gateway Authentication - DUO Proxy 2FA - Server 01, Server 01 죽으면 server02

Cisco DUO Proxy Server01 설정

[ad_client]
host=192.168.10.224
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY
skey= DUO CLOYD에서 COPY
api_host= DUO CLOYD에서 COPY
radius_ip_1=192.168.10.93
radius_secret_1=XXXXX
failmode=safe
client=ad_client
port=1812

Cisco DUO Proxy Server02 설정

[ad_client]
host=192.168.10.225
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY
skey= DUO CLOYD에서 COPY
api_host= DUO CLOYD에서 COPY
radius_ip_1=192.168.10.93
radius_secret_1= XXXXX
failmode=safe
client=ad_client
port=1812

1. PALOALTO Radius 설정

2. Authentication Profile 설정

3. Authentication Sequence 설정

4. GP Portal Authentication Protal 설정

LDAP01 우선순위 죽으면 LDAP02

5. GP Gateway authentication 설정

Commit를 누르고 테스트를 진행합니다.

GP 연결 테스트

Server01 NIC를 Disable 하고 테스트를 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#14] - Kiwi Syslog install (0)	2025.01.18
[PaloAlto FW-#13] - SNMP site-to-site vpn snmp (0)	2025.01.17
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo (1)	2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy (0)	2024.12.10
[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory (0)	2024.12.10

안녕하세요.

이번에는 PaloAlto Global Protect에서 2FA를 사용해보겠습니다. 2FA은 CISCO DUO입니다. okta도 가능 합니다.

Windows Server 설치 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/66

[Win2019 Server][#1] - Windows Server 2019 Installation

안녕하세요. 오늘은 VMware Esxi에 Windows Server 2019 trial version를 설치 해서 공부 해보곘습니다. 1. VMware Esxi를 접속 합니다. 가상시스템을 클릭 -> VM생성/등록을 선택 합니다. 2. 다음을 클릭 합니

itblog-kr.tistory.com

Active Directory 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/68

[Win2019 Server][#3] - Active Directory Installation

안녕하세요. 이번에는 Windows Server 2019에서 Active Directory를 설치해보겠습니다. 1. Server Manager를 클릭 합니다. 2. Local Server -> Ethernet0를 선택합니다. 서버는 IP주소가 DHCP가 아닌 Static으로 설정 되

itblog-kr.tistory.com

PaloAlto Global Protect 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/89

[PaloAlto FW-#7]- Global Protect(Remote User)

안녕하세요. 이번에는 PaloAlto에서 Global Protect(remote user) 설정에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다. E1/1을 global protect를 설정 하고 팔로알토 로컬 유저를 통해서 인증을 시도

itblog-kr.tistory.com

https://itblog-kr.tistory.com/90

[PaloAlto FW-#8]- Global Protect(Remote User) with different port

안녕하세요. 오늘은 PaloAlto에서 Global Protect(Remote User) 설정하는데 디폴트 포트443이 아닌 다른 포트로 Global Protect를 설정하는 방법에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다. MGMT

itblog-kr.tistory.com

1. Cisco DUO Cloud 계정을 생성합니다. 10 Users까지는 무료로 사용 가능합니다.

Windows Server는 최소 2016이어야 합니다.

Cisco DUO Cloud

https://duo.com/

Identity Security, MFA & SSO

Protect your workforce with Cisco Duo’s industry leading suite of identity security solutions, Single Sign-On (SSO), and Multi-Factor Authentication (MFA).

duo.com

계정 생성하는 방법에 대해서는 생략 하겠습니다.

2. 로그인 합니다.

3. Applications -> Protect an application

paloalto를 Search하고 Protect버튼을 클릭합니다.

4. PaloAlto Documentation를 클릭합니다.

Detail에 Integration key와 Secret Key 그리고 API hostname은 나중에 설명하겠습니다.

5. 윈도우 서버에서 아래 duo proxy프로그램을 다운로드 받고 설치 합니다.

6. Cisco Duo authentication proxy manager를 실행합니다.

아래처럼 수정 합니다.

[ad_client]
host=192.168.10.224
service_account_username=administrator
service_account_password=XXXX
search_dn=DC=mylab,DC=local
timeout=2

[radius_server_auto]
ikey= DUO CLOYD에서 COPY
skey= DUO CLOYD에서 COPY
api_host= DUO CLOYD에서 COPY
radius_ip_1=192.168.10.93
radius_secret_1= XXXXX
failmode=safe
client=ad_client
port=1812

설정값을 저장하고, Restart를 실행합니다.

7. DUO Cloud 유저를 생성합니다.

AD에서 주기적으로 DUO CLOUD에 동기화 할수 있고 Manual하게 User를 설정 할 수도 있습니다.

휴대폰 정보를 입력합니다.

그리고 Cisco DUO 프로그램을 아이폰에서 다운로드 합니다.

그리고 휴대폰을 cisco DUO cloud에 등록 시킵니다.

휴대폰을 cisco DUO cloud에 정식적으로 등록하지 않으면 cisco DUO를 아이폰에서 실행해도 아무것도 보이지 않습니다.

등록해야지 아래처럼 정보값이 보입니다.

8. PaloAlto 에서 설정해보겠습니다.

Portal 인증은 AD01과 AD02를 통해서 인증 하도록 하겠습니다

Gateway은 Cisco DUO Proxy를 통해서 휴대폰 push notification을 이용해서 인증해보겠습니다.

Portal Authetication 설정값입니다.

9. Radius를 설정합니다.

10. Authentication Profile를 생성합니다.

11. Portal authentication 설정은 LADP을 통해서 인증합니다

12. Gateway를 설정합니다.

13. Commit하고 테스트를 진행 합니다.

Approve버튼을 클릭하면 아래처럼 GP가 연결이 완료 되었습니다.

지금까지 PaloAlto Global Protect -2FA에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#13] - SNMP site-to-site vpn snmp (0)	2025.01.17
[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy (0)	2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy (0)	2024.12.10
[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory (0)	2024.12.10
[PaloAlto FW-#8]- Global Protect(Remote User) with different port (1)	2024.12.10

안녕하세요.

이번에는 Active Directory 01 과 Active Directory 02를 설치 하고 PaloAlto 에서 Global Protect(Remote User) AD01, AD02 이중화 설정 하겠습니다.

PaloAlto입장에서는 AD01이 죽으면 AD02로 연결되게 설정 가능합니다.

L4 처럼 Load-Banlcing은 불가능 합니다. 만약에 Traffic를 분산화 하고 싶으면 L4 스위치를 구매해서 구성해야 합니다.

Active Directory01

IP: 192.168.10.224

Domain: mylab.local

User: Kevin1, Kevin2

Active Directory02

IP: 192.168.10.225

Domain: mylab.local

User: Kevin1, Kevin2

1. LDAP01을 설정합니다.

2. LDAP02를 설정합니다.

3. Authentication Profile를 설정 합니다.

4. Authentication Sequence를 설정합니다.

5. Global Protect Portal에서 Authentication 정보를 수정합니다.

6. Global Protect- Gateway에서 Authentication를 수정합니다.

7. Commit를 실행합니다.

8. 테스트를 진행 합니다.

Active Directory01, Active Directory02가 모두다 정상인 상태

Active Directory01 LAN카드를 Disable 합니다.

그리고 다시 GP를 테스트 합니다. AD01이 Down되었다는걸 인지 해야하기 때문에, GP가 연결되기까지 2배 이상에 시간이 걸립니다.

AD01이 다운되어도 AD02를 통해서 GP USER 인증이 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#12]- Global Protect(Remote User) with 2FA cisco duo redundancy (0)	2024.12.10
[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo (1)	2024.12.10
[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory (0)	2024.12.10
[PaloAlto FW-#8]- Global Protect(Remote User) with different port (1)	2024.12.10
[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03

안녕하세요.

이번에는 PaloAlto Global Protect(Remote User)를 인증할때 PaloAlto User를 사용하는게 아니라 Active Directory을 통해서 GP User를 인증해 보겠습니다.

1. Windows Server 설치 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/66

[Win2019 Server][#1] - Windows Server 2019 Installation

안녕하세요. 오늘은 VMware Esxi에 Windows Server 2019 trial version를 설치 해서 공부 해보곘습니다. 1. VMware Esxi를 접속 합니다. 가상시스템을 클릭 -> VM생성/등록을 선택 합니다. 2. 다음을 클릭 합니

itblog-kr.tistory.com

2. Active Directory 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/68

[Win2019 Server][#3] - Active Directory Installation

안녕하세요. 이번에는 Windows Server 2019에서 Active Directory를 설치해보겠습니다. 1. Server Manager를 클릭 합니다. 2. Local Server -> Ethernet0를 선택합니다. 서버는 IP주소가 DHCP가 아닌 Static으로 설정 되

itblog-kr.tistory.com

3. PaloAlto Global Protect 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/89

[PaloAlto FW-#7]- Global Protect(Remote User)

안녕하세요. 이번에는 PaloAlto에서 Global Protect(remote user) 설정에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다. E1/1을 global protect를 설정 하고 팔로알토 로컬 유저를 통해서 인증을 시도

itblog-kr.tistory.com

https://itblog-kr.tistory.com/90

[PaloAlto FW-#8]- Global Protect(Remote User) with different port

안녕하세요. 오늘은 PaloAlto에서 Global Protect(Remote User) 설정하는데 디폴트 포트443이 아닌 다른 포트로 Global Protect를 설정하는 방법에 대해서 알아보겠습니다. 토폴로지는 아래와 같습니다. MGMT

itblog-kr.tistory.com

Active Directory 서버 정보 입니다.

IP: 192.168.10.224

Domain: mylab.local

User생성 합니다.

1. PALOALTO LADP를 설정합니다

Type: active-directory

Base DN: DC=mylab,DC=local

Bind DN: administrator@mylab.local

그리고 패스워드를 입력합니다

bind timeout: 2 seconds

search timeout 2 seconds

2. Authentication Profile

3. Global Protect Portal를 Authentication 수정 합니다.

4. Global Protect Gateway에서 Authentication 수정 합니다.

그리고 Commit를 실행합니다.

5. PaloAlto SSH로 연결 합니다.

admin@PA-VM> test authentication authentication-profile LADP01 username kevin1 password
Enter password :

Target vsys is not specified, user "kevin1" is assumed to be configured with a shared auth profile.

Do allow list check before sending out authentication request...
name "kevin1" is in group "all"

Authentication to LDAP server at 192.168.10.224 for user "kevin1"
Egress: 192.168.10.93
Type of authentication: plaintext
Starting LDAP connection...
Succeeded to create a session with LDAP server
DN sent to LDAP server: CN=kevin1,CN=Users,DC=mylab,DC=local
User expires in days: never

Authentication succeeded for user "kevin1"

admin@PA-VM>

Profile 테스트 했을때 위에 처럼 성공하였습니다.

이번에는 GP 프로그램을 이용해서 직접 테스트 해보겠습니다

192.168.10.97 55555

연결이 완료 되었습니다

지금까지 Global Protect 인증할때 Active Directory를 사용해서 인증해보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#11]- Global Protect(Remote User) with 2FA cisco duo (1)	2024.12.10
[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy (0)	2024.12.10
[PaloAlto FW-#8]- Global Protect(Remote User) with different port (1)	2024.12.10
[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03
[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03

안녕하세요.

오늘은 PaloAlto에서 Global Protect(Remote User) 설정하는데 디폴트 포트443이 아닌 다른 포트로 Global Protect를 설정하는 방법에 대해서 알아보겠습니다.

토폴로지는 아래와 같습니다.

MGMT 192.168.10.93/24 GW 192.168.10.253

E1/1 192.168.10.97/24 GW 192.168.10.253
E1/3 30.1.1.254/24

1. Zone를 생성합니다.

Network -> Zones - Add

Name: GP

Log Setting: None

Type: Layer3:

그리고 Okay버튼을 클릭 합니다.

2. E1/1 Interface를 설정합니다.

3. Default Gateway를 설정합니다

4. Tunnel Interface를 생성합니다.

5. Loopback주소를 생성 합니다. GP 주소로 사용 될 예정입니다.

6. Certificate를 생성합니다.

192.168.10.71은 DNAT될 주소입니다.

192.168.10.97 55555로 GP패킷이 들어오면, 192.168.10.71 443으로 포트포워딩 합니다.

그래서 GP gateway에서 사용할 certificate주소는 192.168.10.71이 필요합니다.

이 certificate은 GP_ROOT_CA로 인증되어야 합니다.

7. SSL/TLS Service Profile를 생성 합니다.

8. Local User를 생성 합니다.

9. Authentication Profile 생성

10. Global Portal를 생성합니다.

11. Global Protect Gateway 생성

12. DNAT생성 합니다.

13. Policy 정책을 생성합니다.

Commit를 실행 합니다.

14. Test

테스트 PC에서 telnet 192.168.10.97 55555 실행합니다.

포트가 정상적으로 동작합니다.

정상적으로 동작합니다.

192.168.10.97 55555 입력하면 DNAT를 통해서 192.168.10.71 443 Global Portal and gateway에 접속하여 GP 연결을 완료 하였습니다.

이번에는

192.168.10.97 55555 Production GP USER를 사용한다고 가정합니다. GP USER IP - 80.1.1.100-80.1.1.200

192.168.10.97 55556 Test GP USER또는 파트너 들이 사용한다고 가정합니다. GP USER IP - 90.1.1.100-90.1.1.200

IP주소가 다르기때문에, IP기반으로 방화벽 정책을 가능합니다.

1. Loopback 222를 생성합니다.

2. Tunnel를 생성합니다.

3. Certificate를 생성합니다.

4. SSL/TLS Service Profile를 생성합니다.

5. Global Protal를 생성합니다.

6. Gateway를 생성합니다.

7. DNAT를 생성합니다.

8. 방화벽 정책은 이전에 생성 하였기 때문에 생략합니다.

9. 테스트를 진행합니다.

192.168.10.97 55556

IP주소가 90.1.1.x/24이기 떄문에, 이 대역은 TEST구간에 장비들만 접속가능하게 설정해서 Test USER 또는 파트너사들에게 제공 가능합니다.

가장 좋은 방법은 공인 IP가 두개 있으면 공인 IP주소로 사용 해도 상관없습니다.

공인 IP주소가 1개인경우 DNAT를 이용해서 이렇게 사용 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#10]- Global Protect(Remote User) with Active Director redundancy (0)	2024.12.10
[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory (0)	2024.12.10
[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03
[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03

안녕하세요.

이번에는 PaloAlto에서 Global Protect(remote user) 설정에 대해서 알아보겠습니다.

토폴로지는 아래와 같습니다.

E1/1을 global protect를 설정 하고 팔로알토 로컬 유저를 통해서 인증을 시도해보겠습니다.

1. Global Protect사용할 Zone를 생성

Network -> Zones -> Add

Name: GP

Type: Layer3

Enable user identification: Check

2. Tunnel Interface 생성

3. Certificate 생성

아래 처럼 입력하고 Generate버튼을 클릭 합니다.

Root CA 생성 하였습니다.

5. SSL/TLS Service Profile 생성

아까 생성한 Certificate를 선택합니다.

6. GP에 사용할 User를 생성하고 Auth-Profile를 생성합니다.

AUTH-PROFILE 생성

7. Global Protect Protal Configuration

아까 생성한 SSL/TLS profile를 선택하고 Add버튼을 클릭 합니다.

Username아니면 Certificate 방식 두개중 한개 인증되면 허용 하게 선택 합니다.

Add버튼을 클릭 합니다.

Add버튼을 클릭 합니다.

8. Gateway configuration

Add를 클릭 합니다.

User가 GP에 연결되었을때 받아갈 IP주소를 선택합니다.

30.1.1.0/24에 대해서만 Tunnel을 이용해서 GP내부에 통신 가능하게 설정

Split Tunnel 그리고 Okay버튼 클릭

9. 방화벽 정책 추가

OK 버튼을 클릭합니다.

10. Commit를 실행하고 테스트를 진행 합니다.

IP주소를 설정하고 GW를 INT_ROUTER로 설정합니다.

E1/1 GP IP에 Ping테스트

GP를 설치하고 아래처럼 IP주소 입력

그리고 Username과 Password를 입력 합니다.

그리고 VPC에 30.1.1.1에 Ping이 가능합니다.

지금까지 Global Protect(Remote VPN)에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#9]- Global Protect(Remote User) with Active Directory (0)	2024.12.10
[PaloAlto FW-#8]- Global Protect(Remote User) with different port (1)	2024.12.10
[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03

안녕하세요.

이번에는 PaloAlto에서 Internet 회선이 두개있을때 ISP01이 Main ISP02가 Backup으로 동작할 수 있도록 설정해보겠습니다.

E1/1 10.1.1.254 - Main Internet Metric 10

E1/2 20.1.1.254 - Backup Internet Metric 100

Forwarding Table를 확인하면 아래처럼 GW01이 Metric10이어서 선택되었습니다.

1. GW01에서 8.8.8.8 Moniter를 설정 하겠습니다.

2. commit를 실행 합니다.

3. VPC에서 Ping를 무한으로 실행합니다.

VPCS> ping 8.8.8.8 -c 10000

84 bytes from 8.8.8.8 icmp_seq=1 ttl=55 time=25.751 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=55 time=8.481 ms

4. PaloAlto에서 확인해보면 현재 모니터링이 잘 되고 있습니다.

5. E1/1를 Disable 합니다.

그리고 VPC Ping를 모니터링 합니다.

6. 팔로알토 방화벽 Static Monitering를 확이합니다.

8.8.8.8 모니터링이 실패하고 Default Gateway가 바뀌었습니다.

7. 이번에는 E1/1 Enable해보겠습니다.

8. 82초 이후로 GW01로 변경됩니다.

Monitor이 UP이 되고 GW01로 변경되었습니다. VPC에서 Ping도 정상적으로 잘 동작합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#8]- Global Protect(Remote User) with different port (1)	2024.12.10
[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03

안녕하세요.

이번에는 30.1.1.1 PC가 외부에 인터넷이 가능 하도록 설정해 보겠습니다.

토폴로지는 아래와 같습니다.

1. INT_Router를 설정 하도록 하겠습니다.

en
conf t
ho INT_Router
int g0/0
ip add 192.168.10.92 255.255.255.0
no sh
int g0/1
ip add 10.1.1.1 255.255.255.0
no sh
int g0/2
ip add 20.1.1.1 255.255.255.0
no sh
ip route 0.0.0.0 0.0.0.0 192.168.10.253

2. Check INT_Router

Router#show ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0         192.168.10.92   YES manual up                    up
GigabitEthernet0/1         10.1.1.1        YES manual up                    up
GigabitEthernet0/2         20.1.1.1        YES manual up                    up
GigabitEthernet0/3         unassigned      YES unset  administratively down down
Router#

Router#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.10.253
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, GigabitEthernet0/1
L        10.1.1.1/32 is directly connected, GigabitEthernet0/1
      20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        20.1.1.0/24 is directly connected, GigabitEthernet0/2
L        20.1.1.1/32 is directly connected, GigabitEthernet0/2
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, GigabitEthernet0/0
L        192.168.10.92/32 is directly connected, GigabitEthernet0/0
Router#

3. ping 8.8.8.8

Router#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/4 ms
Router#

4. INT_Router에서 SNAT를 설정 합니다.

int g0/0
ip nat outside
int g0/1
ip nat inside
int g0/2
ip nat inside

access-list 1 permit any
ip nat inside source list 1 interface g0/0 overload

5. Test - Source를 변경해서 외부로 Ping를 하면 제대로 동작 합니다.

INT_ROUTER#ping 8.8.8.8 source g0/1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms
INT_ROUTER#ping 8.8.8.8 source g0/2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/7 ms
INT_ROUTER#

6. Router에서 NAT table test

INT_ROUTER#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 192.168.10.92:3   10.1.1.1:3         8.8.8.8:3          8.8.8.8:3
icmp 192.168.10.92:4   20.1.1.1:4         8.8.8.8:4          8.8.8.8:4
INT_ROUTER#

이제 PaloAlto에서 확인해보겠습니다.

1. Static route를 설정합니다.

2. Add를 클릭 합니다.

3. GW01를 설정합니다. Metric 10

4. GW02를 설정합니다.

5. NAT를 설정합니다.

6. 이번에는 SNAT02를 만듭니다.

7. Policy를 설정합니다

7. VPC 에서 Ping 8.8.8.8 시도 합니다.

VPCS> ping 8.8.8.8

84 bytes from 8.8.8.8 icmp_seq=1 ttl=55 time=30.465 ms
84 bytes from 8.8.8.8 icmp_seq=2 ttl=55 time=6.784 ms
84 bytes from 8.8.8.8 icmp_seq=3 ttl=55 time=7.433 ms
84 bytes from 8.8.8.8 icmp_seq=4 ttl=55 time=6.824 ms
84 bytes from 8.8.8.8 icmp_seq=5 ttl=55 time=6.570 ms

VPCS>

방화벽에서 Policy 그리고 NAT hit count 확인

지금까지 PaloAlto에서 SNAT에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#7]- Global Protect(Remote User) (0)	2024.12.03
[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03

안녕하세요.

이번에는 PaloAlto Interface Mgmt에 대해서 알아보겠습니다.

PaloAlto interface에 Ping, http, https등 Enable하기위해서는 Interface Mgmt Profile를 만들고 interface에 할당 해야 합니다.

토폴로지는 아래와 같습니다.

1. VPC에서 30.1.1.254 ping를 시도 합니다.

VPCS> ping 30.1.1.254

30.1.1.254 icmp_seq=1 timeout
30.1.1.254 icmp_seq=2 timeout
30.1.1.254 icmp_seq=3 timeout
30.1.1.254 icmp_seq=4 timeout
30.1.1.254 icmp_seq=5 timeout

VPCS>
VPCS>

실패 합니다.

2. Interface Mgmt Profile를 설정 합니다.

Network ->Interface Mgmt -> Add

Trust-Profile 설정

Untrust-Profile 설정

3. Interface에 할당합니다.

E1/1 - Untrust-Profile

E1/2 -Untrust-Profile

E1/3 - Trust-Profile

4. Commit를 실행 합니다.

5. VPC에서 다시 Default Gateway로 PIng를 시도 합니다.

VPCS> ping 30.1.1.254

84 bytes from 30.1.1.254 icmp_seq=1 ttl=64 time=18.113 ms
84 bytes from 30.1.1.254 icmp_seq=2 ttl=64 time=2.498 ms
84 bytes from 30.1.1.254 icmp_seq=3 ttl=64 time=2.753 ms
84 bytes from 30.1.1.254 icmp_seq=4 ttl=64 time=2.241 ms
84 bytes from 30.1.1.254 icmp_seq=5 ttl=64 time=3.220 ms

VPCS>

지금까지 PaloAlto Interface Mgmt Profile에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

이번에는 Zone에 대해서 알아보겠습니다.

PaloAlto 방화벽은 Zone based 방화벽 입니다.

Interface는 Zone에 할당되어야 하고 방화벽 정책에 적용 할때는 Zone를 기준으로 정책이 할당 됩니다.

이번에는 Zone를 생성하고 Zone를 Interface에 할당 하는 방법에 대해서 알아보겠습니다.

1. 장비에 접속 합니다.

https://192.168.10.91

2. Network -> Zones -> Add

3. Trust Zone를 생성합니다.

4. Untrsut Zone를 생성 합니다.

5.Interface에 IP주소를 설정하고 Zone를 할당 합니다.

E1/1

IP: 10.1.1.254/24

Zone: Untrust

E1/2

IP: 20.1.1.254/24

Zone: Untrust

E1/3

IP: 30.1.1.254/24

Zone: Trust

5-1 E1/1 설정

5-2 E1/2 서정

5-3 E1/3 설정

6. 설정을 다 하고 Commit를 실행합니다.

아래처럼 링크가 활성화 되었습니다.

VPC IP를 설정 합니다.

VPCS> ip 30.1.1.1 255.255.255.0 30.1.1.254
Checking for duplicate address...
VPCS : 30.1.1.1 255.255.255.0 gateway 30.1.1.254

VPCS> save
Saving startup configuration to startup.vpc
. done

VPCS> ping 30.1.1.254

30.1.1.254 icmp_seq=1 timeout
30.1.1.254 icmp_seq=2 timeout
30.1.1.254 icmp_seq=3 timeout
30.1.1.254 icmp_seq=4 timeout
30.1.1.254 icmp_seq=5 timeout

VPCS>

하지만 위와 같이 Default Gateway로 Ping를 실패하였습니다.

팔로알토는 보안 장비이기 때문에 Interface mgmt profile이 Interface에 적용 되어야지 PIng이 가능 합니다.

이 부분은 다음글에서 확인하겠습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

이번에는 admin password를 reset하는 방법에 대해서 알아보겠습니다.

admin@PA-VM>configure
admin@PA-VM# set mgt-config users admin password
Enter password :

새로운 패스워드를 입력합니다.

그리고 GUI에 장비 접속해서 새로운 패스워드를 입력하면 접속 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#1]-MGMT Interface Configuration (0)	2024.12.03

안녕하세요.

오늘은 PaloAlto 방화벽 MGMT Interface를 설정해 보겠습니다.

EVE-NG를 실행하고 아래와 같이 구성도를 만들고 장비들을 실행합니다.

MGMT IP: 192.168.10.91

Subnet Mask: 255.255.255.0

GW: 192.168.10.253

Default 로그인 정보

admin/admin

1. 로그인하고 password를 수정 합니다.

2. 아래처럼 수동으로 IP를 설정 합니다.

admin@PA-VM>configure
admin@PA-VM#set deviceconfig system type static
admin@PA-VM#set deviceconfig system ip-address 192.168.10.91 netmask 255.255.255.0 default-gateway 192.168.10.253
admin@PA-VM# commit

....55%98%............100%
configuration committed successfully

3. PC에서 PIng를 시도 합니다.

4. 장비에 접속합니다.

https://192.168.10.91

아래 버튼을 클릭 합니다.

5. 장비를 로그인 합니다.

6. 아래처럼 정상적으로 로그인 하였습니다.

7. PaloAlto CLI에서 MGMT Interface IP 확인 하는 방법

admin@PA-VM> show interface management

-------------------------------------------------------------------------------
Name: Management Interface
Link status:
  Runtime link speed/duplex/state: 1000/full/up
  Configured link speed/duplex/state: auto/auto/auto
MAC address:
  Port MAC address 50:00:00:57:00:00

Ip address: 192.168.10.91
Netmask: 255.255.255.0
Default gateway: 192.168.10.253
Ipv6 address: unknown
Ipv6 link local address: fe80::5200:ff:fe57:0/64
Ipv6 default gateway:
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------
Logical interface counters:
-------------------------------------------------------------------------------
bytes received                    1125962
bytes transmitted                 38322540
packets received                  10374
packets transmitted               20812
receive errors                    0
transmit errors                   0
receive packets dropped           7
transmit packets dropped          0
multicast packets received        0
-------------------------------------------------------------------------------

admin@PA-VM>

지금까지 PaloAlto 방화벽에서 MGMT IP설정하는 방법에 대해서 알아보았습니다.

글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'PaloAlto > Firewall' 카테고리의 다른 글

[PaloAlto FW-#6]- Two ISP monitor (0)	2024.12.03
[PaloAlto FW-#5]- SNAT Configuration (0)	2024.12.03
[PaloAlto FW-#4]- Interface Mgmt (0)	2024.12.03
[PaloAlto FW-#3]- Zone Configuration (0)	2024.12.03
[PaloAlto FW-#2]- admin password re-configure (0)	2024.12.03

안녕하세요.

이번에는 Fortigate LACP에 대해서 알아보겠습니다.

Fortigate 설정 입니다.

1. LACP Interface를 설정합니다.

name: LACP01

Alias: LACP01

Type: 802.3ad aggregate

Interface member: port5 and port6

Role: Lan

IP: none

그리고 Save를 클릭 합니다.

2. VL10 Interface를 설정합니다.

Name: VL10

Alias: VL10

Type: VLAN

Interface LACP01

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2. VL20 Interface를 설정합니다.

Name: VL20

Alias: VL20

Type: VLAN

Interface LACP01

VLAN ID: 20

Role: LAN

IP: 10.10.10.254/24

Interface를 확인 합니다.

SW 설정입니다.

1. LACP 설정

Switch(config)#int range g1/0/1-2
Switch(config-if-range)#channel-group 1 mode active
Creating a port-channel interface Port-channel 1

Switch(config-if-range)#int po 1
Switch(config-if)#sw mode tr
Switch(config-if)#

2. VLAN and SVI 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#int vlan 10
Switch(config-if)#ip add 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end
Switch#

3. Status 상태 확인

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/1, Gi1/0/2, Gi1/0/3
                                                Gi1/0/4, Gi1/0/5, Gi1/0/6
                                                Gi1/0/7, Gi1/0/8, Gi1/0/9
                                                Gi1/0/10, Gi1/0/11, Gi1/0/12
                                                Gi1/0/13, Gi1/0/14, Gi1/0/15
                                                Gi1/0/16, Gi1/0/17, Gi1/0/18
                                                Gi1/0/19, Gi1/0/20, Gi1/0/21
                                                Gi1/0/22, Gi1/0/23, Gi1/0/24
                                                Te1/1/1, Te1/1/2, Te1/1/3
                                                Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active

Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  down                  down
Vlan10                 10.10.10.253    YES manual down                  down
Vlan20                 20.20.20.253    YES manual down                  down

4. 케이블 연결

5. LACP 확인

Switch#show etherchannel summary
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      f - failed to allocate aggregator

        M - not in use, minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG

Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP        Gi1/0/1(P)      Gi1/0/2(P)

Switch#

6. Ping 테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 20.20.20.254 sou
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#

지금까지 fortigate인터페이스를 LACP설정하고 VLAN10 and VLAN20 interface 만들어서 Cisco Switch랑 통신 하는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#14]- firewall does not work after upgrading firmware (0)	2024.12.11
[Fortigate-#13]- password recovery (1)	2024.12.11
[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch) (0)	2024.11.27

안녕하세요.

이번에는 VLAN를 Port에 할당해서 설정하는 방법에 대해서 알아보겠습니다.

방화벽 설정

1. Create New버튼을 클릭 합니다.

2. VL10 interface를 설정합니다.

Name: VL10

Alias: VL10

Type: VLAN

Interface: Port6

VLAN ID: 10

Role: LAN

IP: 10.10.10.254/24

2. VL20 interface를 설정합니다.

Name: VL20

Alias: VL20

Type: VLAN

Interface: Port6

VLAN ID: 20

Role: LAN

IP: 20.20.20.254/24

아래처럼 Port6에 VLAN interface들이 생성 되었습니다.

Switch에서 설정합니다.

1. Vlan 설정

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#end

2 Trunk 설정 Gi1/0/1

interface GigabitEthernet1/0/1
switchport mode trunk
end

3. SVI 설정

Switch(config)#int vlan 10
Switch(config-if)#ip address 10.10.10.253 255.255.255.0
Switch(config-if)#int vlan 20
Switch(config-if)#ip add 20.20.20.253 255.255.255.0
Switch(config-if)#end

케이블을 연결 합니다.

Fortigate port6 <---> port g1/0/1 SW

4. Switch에서 상태 확인. VLAN and interface

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
10   VLAN0010                         active
20   VLAN0020                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan10                 10.10.10.253    YES manual up                    up
Vlan20                 20.20.20.253    YES manual up                    up

5. Ping테스트

Switch#ping 10.10.10.254 source vlan 10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.254, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 20.20.20.254 source vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.20.20.254, timeout is 2 seconds:
Packet sent with a source address of 20.20.20.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms

지금까지 방화벽 Port6에 VLAN interface를 생성해서 동작하는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#13]- password recovery (1)	2024.12.11
[Fortigate-#12]- LACP - Link Aggregate (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch) (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22

안녕하세요.

이번에는 Fortigate STP에 대해서 알아보겠습니다.

Software-Switch 또는 VLAN-switch(Hardware-Switch)에 포함된 Port가 스위치에 2개 이상 연결 되었을때 Layer2 Loop가 발생합니다.

이 Layer2 Loop를 방지하기 위해서 Spanning-Tree가 동작하여 Layer2 Loop를 방지 하게 됩니다.

Fortigate 방화벽 입장에서는 어떻게 동작하는지 확인해보겠습니다.

모든 firewall 벤더가 똑같이 동작하는 것이 아닙니다. 벤더 문서를 꼭 읽어주시길 바랍니다.

1. network -> Interface -> Create New를 클릭하시면 아래 같이 Interface Type를 선택 할수 있습니다.

Software Switch - STP 미동작

VLAN switch(hardware switch) - STP 동작

위에 두가지 차이점은 나중에 자세히 설명하겠습니다.

https://itblog-kr.tistory.com/79

[Fortigate-#9]- VLAN-Switch(Hardware-Switch)

안녕하세요. 오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다. Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다. 아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로

itblog-kr.tistory.com

기본 설정은 위에 글을 참고 부탁드립니다. 이번 글에서 STP 설정에 대해서만 다루겠습니다.

1. Switch에서 G1/0/1 and G1/0/2를 Trunk를 설정 합니다.

interface GigabitEthernet1/0/1
switchport mode trunk
end

Switch#show run int g1/0/2
Building configuration...

Current configuration : 61 bytes
!
interface GigabitEthernet1/0/2
switchport mode trunk
end

2. Fortigate에서 stp설정을 확인 합니다.

디폴트롤 STP enable입니다.

FortiGate-90G # config system interface

FortiGate-90G (interface) # edit lan

FortiGate-90G (lan) # show
config system interface
    edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15
    next
end

FortiGate-90G (lan) #

3. Switch에서 STP를 확인 합니다.

디폴트로 STP enable 입니다. 그리고 G1/0/2가 Blocking Port입니다.

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/1             Desg FWD 4         128.1    P2p
Gi1/0/2             Back BLK 4         128.2    P2p

Switch#

Switch#show run | in span
spanning-tree mode rapid-pvst
spanning-tree extend system-id

4. Ping테스트를 해보겠습니다.

정상적으로 동작 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

5. 포티넷 방화벽에서 port1 케이블을 제거 합니다.

6. Switch에서 STP상태를 확인 합니다.

Switch#show spanning-tree vlan 70

VLAN0070
  Spanning tree enabled protocol rstp
  Root ID    Priority    32838
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32838  (priority 32768 sys-id-ext 70)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 71

VLAN0071
  Spanning tree enabled protocol rstp
  Root ID    Priority    32839
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32839  (priority 32768 sys-id-ext 71)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 72

VLAN0072
  Spanning tree enabled protocol rstp
  Root ID    Priority    32840
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32840  (priority 32768 sys-id-ext 72)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#show spanning-tree vlan 73

VLAN0073
  Spanning tree enabled protocol rstp
  Root ID    Priority    32841
             Address     084f.a946.6900
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32841  (priority 32768 sys-id-ext 73)
             Address     084f.a946.6900
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Gi1/0/2             Desg FWD 4         128.2    P2p

Switch#

7. Ping 테스트를 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

정상적으로 동작합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#12]- LACP - Link Aggregate (0)	2024.11.27
[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch) (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#6]- License 종류 (0)	2024.11.22

안녕하세요.

오늘은 Fortigate 방화벽에서 VLAN Switch에 대해서 알아보겠습니다.

Fortigate Firewall은 시큐리티 장비이지만, 간단한 L2 스위치 기능을 지원 합니다.

아래처럼 Port1,2,3,4,5를 VLAN-SWITCH로 등록 하고, 아래 처럼 VLAN를 생성해서 IP를 설정 할수 있습니다.

그리고 Port 1,2,3,4,5 아무 포트나 연결해도 VLAN L3 Interface랑 통신 할수 있습니다.

동작 방식을 Cisco로 비교하면 Port를 Trunk로 설정하고 VLAN 생성하고 SVI를 만들어서 VLAN L3 Interface로 사용 할수 있습니다.

그럼 설정해보겠습니다.

방화벽 설정 - 테스트 장비는 Fortigate-90G입니다.

1. 장비로 로그인 합니다.

2. 디폴트로 VLAN Switch라는 인터페이스가 있습니다.

그리고 인터페이스 이륾은 lan으로 정의 되어져 있습니다.

Create New버튼을 클릭 합니다.

3. VLAN 70 SVI를 설정해 보겠습니다.

Name: VL70

Alias: VL70

Interface: lan

VLAN ID: 70

Role: LAN

IP: 172.16.70.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

4. VLAN 71 SVI를 설정해 보겠습니다.

Name: VL71

Alias: VL71

Interface: lan

VLAN ID: 71

Role: LAN

IP: 172.16.71.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

5. VLAN 72 SVI를 설정해 보겠습니다.

Name: VL72

Alias: VL72

Interface: lan

VLAN ID: 72

Role: LAN

IP: 172.16.72.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

6. VLAN 73 SVI를 설정해 보겠습니다.

Name: VL73

Alias: VL73

Interface: lan

VLAN ID: 73

Role: LAN

IP: 172.16.73.254/24

그리고 https, http, ping를 enable하고 Save버튼을 클릭 합니다.

7. Interface를 확인 합니다.

Cisco Switch을 설정 하겠습니다.

1. 아래처럼 설정 합니다.

interface GigabitEthernet1/0/1
switchport mode trunk
end

Switch(config)#vlan 70
Switch(config-vlan)#vlan 71
Switch(config-vlan)#vlan 72
Switch(config-vlan)#vlan 73

Switch(config)#int vlan 70
Switch(config-if)#ip add 172.16.70.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 71
Switch(config-if)#ip add 172.16.71.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 72
Switch(config-if)#ip add 172.16.72.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#int vlan 73
Switch(config-if)#ip add 172.16.73.253 255.255.255.0
Switch(config-if)#no sh
Switch(config-if)#
Switch(config-if)#end

2. 케이블을 연결 합니다.

Fortigate port1 <---> port 1/0/1 SW

3. SW설정값을 확인 합니다.

Switch#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0/2, Gi1/0/3, Gi1/0/4
                                                Gi1/0/5, Gi1/0/6, Gi1/0/7
                                                Gi1/0/8, Gi1/0/9, Gi1/0/10
                                                Gi1/0/11, Gi1/0/12, Gi1/0/13
                                                Gi1/0/14, Gi1/0/15, Gi1/0/16
                                                Gi1/0/17, Gi1/0/18, Gi1/0/19
                                                Gi1/0/20, Gi1/0/21, Gi1/0/22
                                                Gi1/0/23, Gi1/0/24, Te1/1/1
                                                Te1/1/2, Te1/1/3, Te1/1/4
4    VLAN0004                         active
70   VLAN0070                         active
71   VLAN0071                         active
72   VLAN0072                         active
73   VLAN0073                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
Switch#

Switch#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM  up                    up
Vlan70                 172.16.70.253   YES manual up                    up
Vlan71                 172.16.71.253   YES manual up                    up
Vlan72                 172.16.72.253   YES manual up                    up
Vlan73                 172.16.73.253   YES manual up                    up

4. 스위치에서 방화벽쪽으로 PING를 테스트 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

이번에는 포트를 변경해보겠습니다.

Fortigate port2 <-------> port1/0/1 SW

다시 Ping를 테스트 합니다.

Switch#ping 172.16.70.254 source vlan 70
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.70.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.70.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.71.254 source vlan 71
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.71.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.71.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms
Switch#ping 172.16.72.254 source vlan 72
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.72.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.72.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#ping 172.16.73.254 source vlan 73
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.73.254, timeout is 2 seconds:
Packet sent with a source address of 172.16.73.253
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
Switch#

VLAN-SWITCH에 포함된 PORT들은 아무 포트나 연결하면 VLAN 70 - IP, VLAN 71 - IP, VLAN 72 - IP, VLAN73 -IP랑 통신 가능 합니다.

VLAN-SWITCH<---> HARD-SWITCH랑 같습니다.

   edit "lan"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
        set allowaccess ping https ssh fabric
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 15

지금까지 Fortigate VLAN-SWITCH에 대해서 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#11]- VLAN on Port (0)	2024.11.27
[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#6]- License 종류 (0)	2024.11.22
[Fortigate-#5]-Security Profiles (0)	2024.11.22

안녕하세요.

오늘은 Fortigate에서 인증서를 설정하고 PC에 인증서를 설치 하는 방법에 대해서 알아보겠습니다.

방화벽 정책에 맨 아래에 표시면 SSL Inspection 항목이 있고 옵션들이 있습니다.

Certificate-inspection를 사용하면 따로 인증서를 피시에 설치할 필요는 없지만, 방화벽에 제대로 암호화된 패킷을 복호화해서 검사를 하지 않기 때문에, Deep-inspection를 선택해야합니다.

Profile들을 제대로 확인하기 위해서는 deep-inspection이 필수 입니다.

1. 방화벽에서 내부에서 외부로 가는 Traffic 방화벽 정책 합니다.

2. SSL inspection은 deep-inspection를 선택합니다.

3. PC에서 https 접속을 하면 아래처럼 경고 메시지가 발생합니다.

방화벽이 proxy역활을 하면서 인증서를 자체 인증서로 PC로 통신합니다.

PC입장에서는 인증되지 않은 인증서 입니다.

방화벽에서 자체 발급한 인증서 또는 외부 기관에서 인증된 인증서를 사용 해야 합니다.

저는 방화벽 인증서를 사용하고 PC에 인증서를 설치해서 위에 waring message를 제거 하겠습니다.

1. 방화벽에서 deep-inspection할때 어떤 인증서를 쓰는지 확인 합니다.

2. 인증서를 다운로드 받습니다.

3. 다운로드 받은 인증서를 PC에 설치 합니다.

4. 열기 버튼을 클릭 합니다.

5. 인증서 설치

6. 로컬 컴퓨터 선택하고 다음을 클릭 합니다.

7. 신뢰할 수 있는 루트 인증 기관 폴더를 선택 합니다.

8. 다음을 클릭 합니다.

9. 마침 버튼을 클릭 합니다.

10. 설치가 완료 되었습니다.

인증서가 제대로 설치 되었습니다 확인 합니다.

google chrome -> 설정 - > 개인 정보 보호 및 보안 -> 보안 -> 인증서 관리 -> 인증서 관리 창

아래처럼 인증서 확인 가능 합니다.

또는

윈도우에서

시작>실행>certmgr.msc

확인 가능 합니다.

피시에서 테스트 해보겠습니다.

정상적으로 동작 합니다.

인증서를 이미 Trust 폴더에 인증 했기때문에 정상적으로 동작합니다.

지금까지 Fortigate에서 인증서 설정하고 PC에 다운로드 받는 방법에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

안녕하세요.

오늘은 SSL Inspection기능에 대해서 알아보겠습니다.

오래전에 패킷들은 암호화 되지 않는 패킷들이었기 때문에 방화벽 입장에서는 패킷을 확인하고 정책에 의해서 차단 또는 허용이 가능 했습니다.

하지만 요즘 시대에는 대부분에 패킷들이 암호화되어서 통신 하기 때문에 방화벽 입장에서 암호화한 패킷을 복호화해서 패킷을 확인 해야지 차단 또는 허용 할 수 있고 Profile도 사용 가능 합니다.

대부분에 통신은 HTTPs, TLS and SSL을 사용 합니다.

이 기능을 사용 하기 위해서는 방화벽이 SSL Proxy처럼 동작합니다.

1. 암호화된 Traffic이 방화벽에 들어왔을때, 방화벽은 암호화된 패킷을 복호화 합니다.

2. 그리고 검사를 시작 합니다.

3. 이상이 없으면 다시 암호화해서 상대방쪽으로 전달 합니다.

4. 그리고 서버에서 패킷을 받으면 다시 PC에게 전달합니다

이 과정에서 방화벽 입장에서는 Certificate를 자기 자신으로 바꾸어서 사용 해야 합니다.

1. self signed certiicate

2. 외부에서 인증 받은 certificate

만약에 외부에서 인증 받은 certificate를 방화벽이 사용 한다면 PC입장에서는 이미 외부에서 공식적으로 인증 받은 certificate이기 때문에 Trust합니다.

하지만 만약에 방화벽 self signed certificate을 사용 하면 PC입장에서는 이 인증서를 trust폴더에 설치 해야 합니다.

설치를 않하면 인증서때문에 warning message가 계속 발생 합니다.

Wireshark를 통해서 패킷을 캡처해 보겠습니다.

wifi를 선택합니다.

일반적은 트래픽을 계속 발생 시키고 패킷을 보면 TLS패킷을 볼수 있습니다.

구글을 접속해 보면 아래 처럼 인증서를 확인 할수 있습니다.

HTTPS

외부 기간( WR2)에서 이미 공식적으로 인증 받은 인증서를 사용 하기 때문에, 아무런 warning 메시지 없이 사용 가능 합니다.

google chrome은

이렇게 인증서 확인이 가능 합니다.

자체적으로 인증서를 발급 할수도 있고, 외부에 인증서를 추가 할수도 있습니다.

외부 인증서 기관에서 인증서를 구매할 수 있습니다.

예제)

https://www.digicert.com/

TLS/SSL Certificate Authority | Leader in Digital Trust | DigiCert

Securing the world’s best brands DigiCert delivers certificate management and security solutions to the majority of the Global 2000.

www.digicert.com

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#10]- spanning-tree (0)	2024.11.27
[Fortigate-#9]- VLAN-Switch(Hardware-Switch) (0)	2024.11.27
[Fortigate-#6]- License 종류 (0)	2024.11.22
[Fortigate-#5]-Security Profiles (0)	2024.11.22
[Fortigate-#9]- Antivirus Profile - Test (0)	2024.11.22

안녕하세요.

오늘은 Fortigate 라이센스에 대해서 알아보도록 하겠습니다.

UTM 장비를 구매 할때 사용 하고자 하는 기능에 따라서 라이센스를 구매 해야 합니다.

24x7 FortiCare Contract

RMA(하드웨어 수리 서비스)
제조사의 S/W 업데이트 지원

Advanced Threat Protection(ATP)

24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
IPS, Advanced Malware Protection, Application Control

Unified Threat Protection(UTP)

24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam Service

Enterprise Protection

24x7 FortiCare (RMA(하드웨어 수리 서비스), 제조사의 S/W 업데이트 지원)
IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam, Security Rating, IoT Detection, Industrial Security, FortiConverter service

지금까지 라이센스에 대해서 알아보았습니다.

자세한 내용은 포티넷 공식 라이센스 문서를 참고 부탁드립니다.

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/og-fortiguard.pdf

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#9]- VLAN-Switch(Hardware-Switch) (0)	2024.11.27
[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#5]-Security Profiles (0)	2024.11.22
[Fortigate-#9]- Antivirus Profile - Test (0)	2024.11.22
[Fortigate-#4]-Site to Site VPN-Manual Setup (1)	2024.11.07

안녕하세요.

이번에는 포티넷 방화벽에 시큐리티 프로파일에 대해서 알아보겠습니다.

실제 장비에 접속해서 Security Profiles메뉴를 클릭하면 아래와 같은 정보들을 확인 할 수 있습니다.

이 기능들은 라이센스가 있어야지 사용 가능합니다. 라이센스 부분은 추후에 다시 설명 하도록 하겠습니다./

각 기능을 디폴트값으로 사용 할수도 있고 새로 만들어서 사용 할수도 있습니다.

이 기능을 적용은 방화벽 정책 맨 아래 부분에 Profile를 Enable하고 Profile를 선택 하면 됩니다.

1. Packet이 Interface에 Inbound 들어오거나 Outbound로 패킷을 Inspection 해서 Profile에 의해서 패킷을 검사합니다.

2. 방화벽 정책을 확인합니다.

3. 방화벽 정책안에 Profile을 확인 합니다.

4. Profile에 의해서 패킷이 차단 되었으면 Log를 발생 시킵니다.

** 방화벽 정책이 Allow설정 되었어도 Profile에서 바이러스 등 감지가 되면 패킷이 Drop 됩니다. **

UTM기능을 사용할떄 방화벽 정책에서 Inspection Mode 확인이 필요 합니다.

Flow-base 또는 proxy-base 확인 하는 방법은 방화벽 정책 에서 아래 사진처럼 확인 가능 합니다.

Profile기능을 사용 하기전에 Fortigate 장비를 Fortiguard에 등록해서 라이센스를 적용 시킵니다.

포티넷 방화벽이 fortiguard에 등록하고 라이센스가 적용 되면 아래 처럼 확인 가능 합니다.

System - > FortiGuard에서 확인 가능 합니다.

아래처럼 Every - 2hours으로 선택하면 2시간마다 Fortiguard를 통해서 백신 IPS등등 자동으로 업데이트 가능 합니다.

저는 Automatic를 선택합니다. 서버쪽에서 새로운 업데이트가 있으면 즉시 다운로드 받아서 적용 하게 합니다.

Profile에 의해서 패킷이 차단되었을때 user에서 표시될 페이지 입니다.

디폴트 값을 사용 해도 되고 수정해서 사용 해도 됩니다.

각 Profile 기능들에 대해서는 다음 글에서 다루도록 하겠습니다.

지금 까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#7]- SSL Inspection (0)	2024.11.22
[Fortigate-#6]- License 종류 (0)	2024.11.22
[Fortigate-#9]- Antivirus Profile - Test (0)	2024.11.22
[Fortigate-#4]-Site to Site VPN-Manual Setup (1)	2024.11.07
[Fortigate-#3]-Site to Site VPN with Wizard-Detail (0)	2024.11.07

Activirus Profile은 FortiGate에 In/out Traffic를 inspect해서 Viruses, Worms, and Trojans & Spyware download 등을 검사하고 방화벽 내부를 보호 합니다.

모든 프로토콜이 다 지원되는것은 아니고 HTTP, FTP, IMAP, POP3, SMTP, CIFS 및 NNTP 세션에 바이러스 백신 보호를 적용하도록 구성할 수 있고. 프록시 기반 프로필은 MAPI 및 SSH도 지원합니다. 바이러스 백신 검사는 잠재적으로 원하지 않는 악성 파일이 네트워크에 유입되는 것을 방지합니다. 바이러스 백신 프로필에는 파일의 바이러스 서명 검색, 지능형 지속 위협 검색, 외부 맬웨어 해시 목록 및 위협 피드 확인 등과 같은 다양한 기능이 포함되어 있습니다. 악성 파일을 차단하거나 모니터링하고 격리할 수 있습니다. 일부 바이러스 백신 프로필 옵션에는 라이선스 및/또는 기타 Fortinet 제품이 필요합니다. 일부 바이러스 백신 프로필 옵션은 CL에서만 구성할 수 있습니다.

Antivirus scan은 malware in executables, PDF files, and HTML, ㄴJavaScript viruses, inside compresessed files and data encoding schemes 포함 합니다.

Antivirus Profile은 Flow-based and Porxy-based antivirus를 모두 지원합니다.

하지만 flow base antivirus 방식이 더 좋은 performance를 제공합니다.

방식별로 지원되는 프로토콜 종류 입니다.

1. invirus Profile를 생성 하거나 디폴트 값을 사용 합니다.

2. 인터넷으로 나가는 방화벽 정책을 만들고 AV profile를 선택 합니다.

AntiVirus를 제대로 동작하기 위해서는 SSL Inspection -> mode가 deep-inspection이 필요합니다.

3. AntiVirus 라이센스가 있는지 꼭 확인 합니다.

4. PC에서 바이러스를 다운로드 받아서 실제로 Fortigate 방화벽이 인지를 하는지 확인해보겠습니다.

5. https://www.eicar.org/download-anti-malware-testfile/

Download Anti Malware Testfile - EICAR

Download Anti Malware Testfile, What is the eicar test file? Who needs the Anti-Malware Testfile, Download Anti Malware Testfile

www.eicar.org

아래 파일을 다운로드 받습니다.

방화벽이 인지하고 파일을 차단 합니다.

6. 차단 로그도 확인 가능 합니다.

7. 테스트를 위해서 다른 3개 파일들도 다운로드를 시도 합니다.

EICAR.TXT

EICAR.COM-ZIP 파일도 차단 되었습니다.

EICAR.COM2-ZIP 차단되었습니다.

Detail를 선택하면 더 많은 정보를 확인 할 수 있습니다.

다른 Profile Log를 확인 하고 싶으면, 다른 부분을 선택합니다.

지금까지 Fortigate Antiviurs profile를 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'FORTINET > FORTIGATE 방화벽' 카테고리의 다른 글

[Fortigate-#6]- License 종류 (0)	2024.11.22
[Fortigate-#5]-Security Profiles (0)	2024.11.22
[Fortigate-#4]-Site to Site VPN-Manual Setup (1)	2024.11.07
[Fortigate-#3]-Site to Site VPN with Wizard-Detail (0)	2024.11.07
[Fortigate-#2]-Site to Site VPN with Wizard (1)	2024.11.06

안녕하세요.

이번에는 Active Directory 유저를 자동으로 Cisco duo에 동기화 하는 방법에 대해서 알아보겠습니다.

1. cisco duo cloud에 로그인 합니다.

2. Users -> Config -> Directory Sync 에서 Add external Directory클릭 합니다.

3. Active Directory를 선택 합니다.

4. Add new connection를 선택하고 Continue를 선택 합니다.

5. Save 버튼을 클릭 합니다.

6. Cloud랑 동기활수 있게 AD Syncs관련 정보들을 입력합니다.

[ad_client]
host=192.168.10.226
service_account_username=administrator
service_account_password=Kenshin1022^^
search_dn=DC=mylab,DC=local

[radius_server_auto]
ikey=DIVFB4IALR11DO65EAZC
skey=K1hWnsGLEweqcEPl5ZMI2zY3077xHnOMVAWjftO8
api_host=api-8b8ecdd5.duosecurity.com
radius_ip_1=10.10.10.254
radius_secret_1=Kenshin1022^^
failmode=safe
client=ad_client
port=1812

[cloud] - AD 동기 관련
ikey=DIANXM46WVDOZMG8SMKM
skey=G2DzN5xd86MGWOrKjaD3S6zBiOZXNJL80EmFzB2f
api_host=api-8b8ecdd5.duosecurity.com

7. Test Connection를 클릭 합니다.

8. Connection이 성공 하였습니다.

9. Active Directory에서 Group를 생성합니다.

Cisco duo

10. user를 생성하고 cisco duo 그룹에 추가 합니다.

11. 그리고 AD Sync3에서 Groups를 클릭해서 cisco duo를 선택합니다.

12. 강제로 User들을 Syn 합니다.

13, User가 자동으로 생성 되었습니다.

AD에서 User01를 삭제하고 다시 동기화 하면 계정이 Cisco DUO Cloud에서 계정이 자동으로 사라집니다.

14. AD에서 user01삭제하기

15. Cisco DUO CLOUD에서 싱크를 합니다.

16. 유저를 확인합니다. User01이 없습니다.

*** 다른 AD에서 Sync된 유저들은 영향을 받지 않습니다. ***

테스트 Active Directory3에서 kevin1를 삭제하고 AD3에서 Syn를 합니다.

1. kevin1 삭제

2. DUO Cloud에서 AD3 강제 SYNC

3. Kevin1은 그대로 있습니다. 이유는 kevin1은 AD3에서 Syn되어서 배워온 계정이 아니기때문 입니다.

지금까지 테스트를 같이 해보았습니다.

감사합니다.

저작자표시 (새창열림)

'CISCO > Cisco DUO' 카테고리의 다른 글

[Cisco DUO][#5]- 윈도우서버에서 로그인시 에러메시지 - Bad request timestamp 0 [40105] (0)	2025.06.06
CISCO DUO - Service Port - RADIUS, LDAP 제약사항 (0)	2025.01.17
[Cisco DUO][#2]- Windows Server Login or RDP 2FA - Bypass function (0)	2024.11.15
[Cisco DUO][#1]- Windows Server Login or RDP 2FA인증 (1)	2024.11.15

안녕하세요.

windows server 2019를 설치하고 원격 리모트 데스크탑으로 연결해서 사용 할 경우 설정을 해야 합니다.

1. Properties를 클릭 합니다.

2. Remote Settings를 클릭 합니다.

3. Allow를 클릭하고 OK버튼을 선택합니다.

4. 테스틀를 합니다.

5. 접속 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'윈도우 > Windows Server 2019' 카테고리의 다른 글

[Windows Server 2019][#6] - PowerShell (0)	2025.01.01
[Windows Server 2019][#5] - 기초 windows command 명령어 (0)	2025.01.01
[Win2019 Server][#3] - Active Directory Installation (2)	2024.11.15
[Win2019 Server][#2] - Basic Configuration (0)	2024.11.15
[Win2019 Server][#1] - Windows Server 2019 Installation (0)	2024.11.15

안녕하세요.

저번에 windows server 2019에 cisco DUO RDP를 설치 후 2FA테스트 하였습니다.

이번에는 BYPASS기능을 테스트 해보겠습니다.

cisco duo에 설정값이나 어떤 변수에 의해서 cisco duo를 통해서 인증이 실패하여 windows server 2019에 로그인 못하는 상황입니다.

2FA인증 대신 그냥 로컬 계정으로 이용하여 로그인 해보겠습니다.

우선 로컬 계정으로 이용해서 로그인 할려면 인터넷을 차단해야 합니다.

Cisco DUO RDP프로그램이 인터넷을 통해서 cisco duo cloud에 주기적으로 패킷을 보내서 통신이 가능 하면 로컬 계정을 통해서 로그인이 불가능 합니다.

1. 저는 VMware Esxi를 사용중이기 떄문에 랜카드를 그냥 연결 해지 합니다.

2. 패스워드를 입력합니다.

3. 로그인 가능 합니다.

4. 다시 로그아웃을 하고 랜카드를 연결합니다.

5. 그리고 로그인 시도하면 DUO 프로그램이 동작하고 push notification 메시지가 휴대폰으로 전송 됩니다.

6. 로그인이 성공 하였습니다.

이 기능을 사용 하기위해서는 설치 할때 Bypass기능에 체크가 되어져 있어야지 가능 합니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'CISCO > Cisco DUO' 카테고리의 다른 글

[Cisco DUO][#5]- 윈도우서버에서 로그인시 에러메시지 - Bad request timestamp 0 [40105] (0)	2025.06.06
CISCO DUO - Service Port - RADIUS, LDAP 제약사항 (0)	2025.01.17
[Cisco DUO][#4]- synchronize active directory user to cisco duo cloud (0)	2024.11.16
[Cisco DUO][#1]- Windows Server Login or RDP 2FA인증 (1)	2024.11.15

안녕하세요.

이번에는 Windows Server 로그인 또는 RDP에 접속 했을때 Cisco DUO를 통해서 인증을 받는 방법에 대해서 알아보겠습니다.

Cisco DUO 웹페이지에서 회원 가입을 하시면 30일동안 trial version으로 기능들을 사용 할수 있습니다.

이 글에서는 회원가입하는 방법에 대해서는 생략 하겠습니다.

1. Cisco DUO cloud 접속합니다.

2. Applications -> Protect an Application 선택합니다.

3. 그리고 RDP를 검색합니다. 그리고 Protect버튼을 클릭 합니다.

4. RDP documentation를 클릭 합니다.

5. First Steps and Duo Authentication for windows logon installer 를 다운로드 받습니다.

6. 파일을 실행해서 설치 합니다.

7. Cisco DUO에서 RDP Detail에 보시면 아래 정보들이 3가지 입니다.

API를 COPY하고 프로그램에 붙여넣기 합니다.

8. 이번에는 integeration Key랑 Secret Key 복사합니다.

9. 만약에 Cisco DUO가 문제 있을때 랜선을 빼서 offline으로 만들면 Local User로 로그인 가능합니다.

꼭 체크 합니다.

10. enable를 체크하고 next를 선택합니다.

11. Next 를 눌러서 설치를 진행하고 설치가 완료 되면 Finish버튼을 클릭 합니다.

12. 서버를 log-out하고 로그인을 시도 합니다.

하지만 로그인이 실패하였습니다.

이유는 Cisco DUO에 administrator 계정이 없습니다.

설정 방법은 크게 2가지가 있습니다.

1. Active Directory랑 cisco DUO랑 연동해서 자동으로 User들을 cisco DUO cloud에 등록하는 방법

2. 또는 cisco duo에서 수동으로 user를 등록하는 방법.

13. cisco DUO에서 계정을 생성합니다.

오른쪽 위에 Add User를 선택합니다.

14. 유저 이름에 administrator입력합니다.

그리고 add phone를 클릭 합니다.

15. 휴대폰을 입력하고 add phone를 선택합니다.

16. 계정과 휴대폰 번호가 추가 되었습니다.

이제 테스트 해보겠습니다.

저는 이미 휴대폰에 cisco DUO를 설치 했고 activation 한 상태에서 그냥 administrator를 추가 적으로 등록 했기 떄문에 바로 테스트 가능 합니다.

17. 패스워드를 입력 합니다.

18. AD인증은 끝났고 이제 DUO 프로그램이 cisco duo cloud에 패킷을 보내서 휴대폰 번호를 확인후 휴대폰으로 push 메시지를 전송 합니다.

19. Approve버튼을 클릭 합니다.

20. 로그인이 성공 하였습니다.

지금까지 windows server 2019에 cisco DUO RDP프로그램을 설치해서 2FA 연동해보았습니다.

저작자표시 (새창열림)

'CISCO > Cisco DUO' 카테고리의 다른 글

[Cisco DUO][#5]- 윈도우서버에서 로그인시 에러메시지 - Bad request timestamp 0 [40105] (0)	2025.06.06
CISCO DUO - Service Port - RADIUS, LDAP 제약사항 (0)	2025.01.17
[Cisco DUO][#4]- synchronize active directory user to cisco duo cloud (0)	2024.11.16
[Cisco DUO][#2]- Windows Server Login or RDP 2FA - Bypass function (0)	2024.11.15

안녕하세요.

이번에는 Windows Server 2019에서 Active Directory를 설치해보겠습니다.

1. Server Manager를 클릭 합니다.

2. Local Server -> Ethernet0를 선택합니다.

서버는 IP주소가 DHCP가 아닌 Static으로 설정 되어져 있어야 합니다.

3. Active Directory를 설치하면 자동으로 DNS 서버도 설정이 됩니다.

DNS1 - 서버 IP주소 자신을 선택합니다. 이유는 User들이 Domain를 검색할때 1차적으로 windows server 2019 DNS를 선택하게 합니다.

DNS2 - Windows 서버도 외부 DNS를 선택해서 인터넷을 사용해야하기 때문에 Google DNS 8.8.8.8 입력합니다.

4. add role and features 선택 합니다.

5. next 버튼을 클릭 합니다.

6. next버튼을 클릭 합니다.

7. Next를 선택 합니다.

8. Active Directory Domain Services - 선택 합니다.

9. Add Features 선택 합니다.

10. DNS를 선택 합니다.

11. Add Features 버튼을 클릭 합니다.

12. next 버튼을 클릭 합니다.

13. NET Framework 3.5 Features를 선택하고 next버튼을 클릭 합니다.

14. Next 버튼을 클릭 합니다.

15. Next버튼을 클릭 합니다.

16. Restart The destination server 를 선택하고 Install 버튼을 클릭 합니다.

17. 설치가 완료 될때까지 기다립니다.

18. Close 버튼을 클릭 합니다.

19. 아래 ! 모양을 클릭 합니다.

20. Promote this server to a domain controller를 클릭 합니다.

21. Add a new forest를 선택하고

Root domain name: mylab.local를 입력합니다.

다른 이름을 사용해도 상관없습니다.

22. password를 입력하고 Next버튼을 클릭 합니다.

23. Next 버튼을 클릭 합니다.

24. Next를 선택합니다.

25. Next를 선택 합니다.

26. Next버튼을 클릭 합니다.

27. Install버튼을 클릭 합니다.

28. 설치가 진행 됩니다. 완료 될때까지 기다립니다.

29 설치가 완료되면 자동으로 재부팅 됩니다.

30. 재부팅 후 로그인 합니다.

31. DNS Manager를 선택하고 Reverse Lookup Zone를 생성합니다.

32. Next를 선택합니다.

33. Next를 선택합니다.

34. Next를 선택합니다.

35. Next를 선택 합니다.

36. IP주소를 입력합니다.

37. Next를 선택 합니다.

38. A레코드를 입력합니다.

39. New PTR를 클릭 합니다.

Name: Server

IP: 192.168.10.226 -자기 자신을 입력합니다.
그리고 PTR을 선택하고
Add host버튼을 클릭 합니다.

40. server라는 A레코드가 생겼습니다./

41. 자동으로 PTR영역도 생성 되었습니다.

42. cmd에서 nslookup를 해서 도메인을 확인 합니다.

정상적으로 동작합니다.

이번에는 AD에 User를 생성해보겠습니다.

43. Active Directory Users and Computer를 클릭 합니다.

43. 아래처럼 클릭 합니다.

44. Kevin1를 입력하고 Next버튼을 클릭 합니다.

45. 패스워드를 입려하고 아래처럼 체크 하고 Next를 입력 합니다.

46. User가 생성되었습니다.

지금까지 windows Server 2019 Active Directory에 대해서 알아보았습니다.

다음글은 PC를 Domain Controller에 등록 하는 방법에 대해서 알아보겠습니다.

저작자표시 (새창열림)

'윈도우 > Windows Server 2019' 카테고리의 다른 글

[Windows Server 2019][#6] - PowerShell (0)	2025.01.01
[Windows Server 2019][#5] - 기초 windows command 명령어 (0)	2025.01.01
[Windows Server 2019] - remote desktop - 원격 데스크톱 (0)	2024.11.16
[Win2019 Server][#2] - Basic Configuration (0)	2024.11.15
[Win2019 Server][#1] - Windows Server 2019 Installation (0)	2024.11.15

안녕하세요.

이번에는 Windows Server 2019에서 기본적인 설정에 대해서 알아보겠습니다.

1. IP설정

1-1 마우스 Right버튼을 클릭 합니다.

1-2 Open Network & Internet Settings를 선택 합니다.

1-3 Change Adapter options

1-4 Internet Protocol Version 4 (TCP/IPv4) 클릭 합니다.

1-5 IP주소를 설정합니다.

사용하시는 VMware Esxi또는 VMware Pro 또는 Workstation 또는 Virtual-box 상태에 따라 IP주소를 다를수 있습니다.

1-6 IP주소를 확인 합니다. 그리고 google dns으로 Ping를 시도 합니다.

2. 방화벽을 Disable 합니다. 공부 차원에서 Windows Server 2019를 설치 했기 때문에, 윈도우 방화벽때문에 통신상 문제가 발생 할수 있어서 사전에 Firewall를 Disable 합니다.

2-1 Windows Firewall를 선택 합니다.

2-2 Domain Network, Private Network, Public Network모두다 방화벽을 disable 합니다.

2-3 하나씩 클릭해서 아래 사진처럼 off버튼을 클릭 합니다.

2-4 방화벽을 모두 Disable하면 왼쪽 사진처럼 Ping이 성공 합니다.

3. 이번에는 internet Explorer를 Security Level를 수정해서 인터넷 접속할때마다 발생하는 아래 warming 메시지를 제거하겠습니다.

3-1 IE Enhanced Security Configuration 클릭 합니다.

3-2 모두다 Off를 선택 합니다.

3-3 그리고 다시 Internet 실행 합니다. 에러 메시지가 더이상 발생하지 않습니다.

이렇게 기본적인 설정에 대해서 알아보았습니다.

저작자표시 (새창열림)

'윈도우 > Windows Server 2019' 카테고리의 다른 글

[Windows Server 2019][#6] - PowerShell (0)	2025.01.01
[Windows Server 2019][#5] - 기초 windows command 명령어 (0)	2025.01.01
[Windows Server 2019] - remote desktop - 원격 데스크톱 (0)	2024.11.16
[Win2019 Server][#3] - Active Directory Installation (2)	2024.11.15
[Win2019 Server][#1] - Windows Server 2019 Installation (0)	2024.11.15

안녕하세요.

오늘은 VMware Esxi에 Windows Server 2019 trial version를 설치 해서 공부 해보곘습니다.

1. VMware Esxi를 접속 합니다.

가상시스템을 클릭 -> VM생성/등록을 선택 합니다.

2. 다음을 클릭 합니다.

3. 아래 정보들을 입력 합니다.

이름: WIN2019-SERVER03-KEVIN

호환성: ESXI7.0 -> 현재 사용중인 VMware ESXi버전을 선택 합니다.

게스트 운용 체제 제품군: Windows

게스트 운영 체제 버전: Microsoft Windows Server 2019(64bit)

그리고 다음 버튼을 클릭 합니다.

4. 스토리지를 선택하고 다음을 클릭 합니다.

5. CPU, 메모리, 하드디스크, 네트워크 어탭터, ISO파일을 선택하고 다음을 클릭 합니다.

6. 완료 버튼을 클릭 합니다.

7. 시작버튼을 클릭 해서 Windows Server 2019를 부팅 합니다.

8. Windows Server 2019를 설치 합니다.

9. Next를 클릭 합니다.

10. Install Now를 클릭 합니다.

11. 아래 버튼을 클릭 합니다.

12. Next버튼을 클릭 합니다.

13. 설치가 완료 될때까지 기다립니다.

14. 설치가 완료되면 아래와 같이 자동으로 부팅이 됩니다.

15. Password를 입력 합니다.

16. 패드워드를 입력하고 로그인 합니다.

17. 아래처럼 로그인이 완료 되었고 Windows Server 2019 사용 가능 합니다.

Windows Server 2019 설치에 대해서 알아보았습니다.

지금까지 글을 읽어주셔서 감사합니다.

저작자표시 (새창열림)

'윈도우 > Windows Server 2019' 카테고리의 다른 글

[Windows Server 2019][#6] - PowerShell (0)	2025.01.01
[Windows Server 2019][#5] - 기초 windows command 명령어 (0)	2025.01.01
[Windows Server 2019] - remote desktop - 원격 데스크톱 (0)	2024.11.16
[Win2019 Server][#3] - Active Directory Installation (2)	2024.11.15
[Win2019 Server][#2] - Basic Configuration (0)	2024.11.15

안녕하세요.

이번에는 FTD랑 FMC를 설치 후 FMC를 통해서 FTD를 관리해보겠습니다.

토폴리지는 아래와 같습니다.

FTD01: MGMT IP 10.20.20.1/24 GW 10.20.20.254

FTD02: MGMT IP 10.20.20.2/24 GW 10.20.20.254

FMC01: MGMT IP 10.20.20.3/24 GW 10.20.20.254

FTD01: outside interface g0/0 - 192.168.100.101/24 GW 192.168.100.254

FTD01: Inside Interface g0/1 - 10.100.100.254

Virtual PC: 10.100.100.1/24 GW 10.100.100.254

이번은 블로그에서는 FTD HA는 생략 하겠습니다.

MGMT SW설정입니다. 현재 사용하시는 EVE-NG 구성도에 따라서 기본적인 설정값은 다를수 있습니다.

en
conf t
vlan 10
!\
interface GigabitEthernet0/1
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/2
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/3
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet0/0
no switchport
ip address 192.168.10.233 255.255.255.0
negotiation auto
!nterface Vlan10
ip address 10.20.20.254 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.10.253
!

Vlan Check

MGMT_SW#show vlan brie

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi1/0, Gi1/1, Gi1/2, Gi1/3
10   VLAN0010                         active    Gi0/1, Gi0/2, Gi0/3
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
MGMT_SW#

Interface Status check

MGMT_SW#show ip int brie
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/1     unassigned      YES unset  up                    up
GigabitEthernet0/2     unassigned      YES unset  up                    up
GigabitEthernet0/3     unassigned      YES unset  up                    up
GigabitEthernet0/0     192.168.10.233  YES NVRAM  up                    up
GigabitEthernet1/0     unassigned      YES unset  up                    up
GigabitEthernet1/1     unassigned      YES unset  up                    up
GigabitEthernet1/2     unassigned      YES unset  up                    up
GigabitEthernet1/3     unassigned      YES unset  up                    up
Vlan10                 10.20.20.254    YES NVRAM  up                    up
MGMT_SW#

Routing Table check

MGMT_SW#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override

Gateway of last resort is 192.168.10.253 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.10.253
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.20.20.0/24 is directly connected, Vlan10
L        10.20.20.254/32 is directly connected, Vlan10
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, GigabitEthernet0/0
L        192.168.10.233/32 is directly connected, GigabitEthernet0/0
MGMT_SW#

Ping Test to Default Gateway

MGMT_SW# ping 192.168.10.253
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.253, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/7 ms
MGMT_SW#
MGMT_SW#

FTD01 MGMT 설정

default login information

admin/Admin123

로그인후 새로운 패스워드를 입력합니다.

MGMT IP주소를 입력 합니다.

show network 명령어를 통해서 MGMT IP주소를 확인합니다.

저작자표시 (새창열림)

'CISCO > FTD 방화벽' 카테고리의 다른 글

[FTD#6]-FPR FTD ASA Version Order - FPR3105-ASA-K9 (2)	2025.06.07
[FTD#5]-FPR FTD Convert to ASA Code (0)	2025.06.02
[FTD-#4]- cisco asa code (0)	2025.02.02
[FTD-#2]-FTD GUI 503 service unavailable issue troubleshoot (0)	2024.11.08
[FTD-#1]-FTD Basic Configuration (0)	2024.11.08