01.장비 접속
1-1.Console 접속 (
Windows)
1-2.GUI 접속
1-3.GUI 접속 방법 설정
1-4.GUI Menu
1-5.CLI 단축키
02.Interface 설정
FortiGate각Interface의Address설정은 직접 입력하는Manual과DHCP,PPPoE가 있다.- 필요에 따라 하나의
Interface에 여러 개의IP를 추가하는secondary IP기능과 가상의VLAN Interface를
생성하여VLAN설정 하는 방법이 있다.
2-1.Interface IP 설정
Manual:IP수동 입력DHCP:IP자동 할당
2-2.Interface Role 과 Alias
- Role
Role은Interface설정 그룹화Type:WAN,LAN,DMZ,Undefined(모든 설정 가능)Firewall Policy에 표시 되지 않음- Alias
Interface설명Policy에서 확인 가능
2-3.Interface 설정
2-4.Interface DHCP 서버 설정
2-5.Interface: Secondary IP 설정
Web GUI에서Network->Interface에서Secondary IP를 설정할Interface를 선택한 후[Edit]한다.Secondary IP는Addressing mode가Manual일 경우 가능하다.Secondary IP Address를enable하여 추가한다.
2-6.Interface: VLAN 설정
Web GUI에서Network->Interface에서[Create]-[Interface]한다.Name,Type,Interface,VLAN ID,IP를 입력한다.- 나머진
IP설정과 동일하다.
2-7.Interface: VLAN 설정
Web GUI에서 아래와 같이 설정된VLAN Interface를 확인 할 수 있다.
03.Routing 설정
Routing은Static Route(정적 라우팅)와Dynamic Route(동적 라우팅)를 지원한다.Dynamic Route는 라우팅 프로토콜 (RIP,OSPF,BGP) 등을 지원한다.
3-1.Sample Network 구성도
3-2.Static Routing 설정
Web GUI에서Network->Static Routes에서[Create New]한다.Destination: 목적지 네트워크 입력Interface: 목적지 네트워크 연결된 물리적인Interface지정GateWay Address: 목적지 네트워크Next Hop(게이트 웨이 주소) 설정
Address Object에서 설정 한Object Name및 미리 설정된Internet Service에 대해서 목적지로static route설정 가능
3-3.Advanced Routing 설정
Policy Route와Dynamic Route는System->Feature Visibility에서[Advanced Routing]을enable해야 한다.
3-4.Policy Route 설정
3-5.Routing Monitor 설정
Web GUI에서Dashboard->Routing Monitor위젯을 생성 가능
Web GUI에서Dashboard->Routing Monitor에서 현재 설정된Routing table을 확인 할 수 있다.
04.Address Object 설정
IP Address는Netmask를 이용한IP address설정 방법과IP Range및FQDN을 지원한다.- 설정된 여러 개의
Address Object들을 하나의Group으로 설정 가능하다.- ‘
162.10.2.10IP로TCP80번 포트만 허용한다’ 는 방화벽 정책을 추가한다면, ‘162.168.2.10’ 이 주소Object가 된다.
4-1.Address Group 설정
Web GUI에서Policy & Object->Address에서[Create new]-[Address Group]선택Members “+”아이콘을 선택한 후 오른쪽에 나타난“Select Entries”에서 원하는address들을 클릭하여group멤버에 추가- 아래
“+”아이콘을 클릭하여 현재 상태에서 새로운Address Object생성 가능
05.Service Object 설정
Service는 잘 알려진Service(HTTP,FTP등)에 대해서는 미리 정의되어 있다.- 그 외
Service port에 대해 관리자가 직접 추가 설정 가능하며, 여러Service port를 하나의 객체로 만들 수 있다.- 만들어진 여러가지
service object를Group할 수 있다.‘162.10.2.10IP로TCP 8080번port만 허용한다’ 는 방화벽 정책을 추가한다면,‘TCP8080번port’가 주소Object가 된다.
5-1.Service 설정
Web GUI에서Policy & Object->Service에, 미리 정의된service들이category별로 저장 되어 있음.[Create new]-[Service]선택하여 새로운service object생성Protocol,port range,Source port설정 등 다양한 방법으로 설정 가능+아이콘을 이용하여 추가 가능
5-2.Service Group 설정
06.Policy 설정
- 방화벽 정책은 세션 기반의 정책으로 세션 연결에 대한 정책 만 필요하고, 그 응답에 대한 정책은 불필요하다.
- 방화벽 정책의 우선순위는
‘Top-Bottom’방식으로 정책 리스트의 위쪽 정책 우선이다.
6-1.방화벽 정책
- 수정을 원하는 대상
policy에서 오른쪽 마우스 버튼을 누르면 아래와 같이policy관련pop-up menu표시
6-2.방화벽 정책 생성
- 정책은 세션 기반이고, 세션의 연결 출발지가
Source가 되며 세션의 연결 목적지가Destination이 됨Incoming Interface와Outgoing Interface를 정책의 세션 연결 방식에 따라 설정Address는Address Object에서 설정한Object들을 선택한다. - 보기와 같이Multiple객체 설정이 가능
- 해당 정책에서 허용 또는 차단할
Service를 선택한다.Multiple설정 가능
6-3.방화벽 정책 이동
07.펌웨어 업데이트: rebooting
TFTP를 이용한 펌웨어 업데이트GUI를 이용한 펌웨어 업데이트 (Upgrade path)HQIP테스트
7-1.TFTP를 이용한 펌웨어 Update
TFTP를 이용하여 펌웨어를Upgrade/Downgrade할 경우factory default (공장 초기화)되어 기존의config는 사라짐OS문제 해결이나 장비를factory reset상태에서config을 새로 할 경우 추천Serial cable과UTP cable을 동시에 연결해야 하며PC에는terminal client와TFTP server가 설치 되어야 함Serial cable을FortiGate와 연결한 후FortiGate rebooting.Rebooting중에“Please wait for OS to boot, or press any key to display configuration menu...”단계에서Key(any)입력.
“R” Key를 입력하여 현재TFTP설정이 어떻게 되어있는지 확인- 필요시
“C” Key를 입력하여TFTP설정 변경 가능PC의TFTP설정을FortiGate의 설정에 맞춤
“F” key를 입력하여Boot device영역format“T” key를 입력하여TFTP서버로 부터 펌웨어download
7-2.GUI를 이용한 펌웨어 업그레이드
GUI를 이용하여 펌웨어 업그레이드 하는 경우 기존config유지 됨Support portal에서upgrade path확인하여 단계적으로 업그레이드 할 것System->Firmware에서“Browse”클릭
forticloud에서 FortiGate Firmware 다운로드 가능
forticloud URL: https://login.forticloud.com/
일취월장(日就月將) - 「날마다 달마다 성장하고 발전한다.」