Special notices
1. 터널 및 웹 모드용 2GB RAM 모델에서 SSL VPN 제거
RAM이 2GB 이하인 FortiGate 모델에서는 SSL VPN 웹 및 터널 모드 기능을 더 이상 사용할 수 없습니다.
GUI 또는 CLI에서 설정이 업그레이드되지 않습니다.
영향을 받는 모델은 다음과 같습니다.
#FGT-40F/FWF-40F 및 변형
#FGT-60F/FWF-60F
#FGT-61F/FWF-61F
#FGR-60F 및 변형(2GB 버전만 해당)
FortiGate 모델에 RAM이 2GB인지 확인하려면 CLI에서 #diagnose hardware sysinfo conserve를 입력하고
총 RAM 값이 2000MB(1000MB = 1GB) 미만인지 확인합니다.
이러한 FortiGate 모델에서는 원격 액세스를 위해 IPsec Dialup VPN을 사용하도록 마이그레이션하는 것을 고려하세요.
자세한 내용은 SSL VPN에서 IPsec VPN으로 마이그레이션을 참조하세요.
2. 2GB RAM FortiGate 모델은 더 이상 FortiOS 프록시 관련 기능을 지원하지 않습니다
2GB RAM 이하의 FortiGate 모델에서 성능을 향상하고 메모리 사용을 최적화하기 위한 개선의 일환으로, FortiOS는 버전 7.4.4부터 프록시 관련 기능을 더 이상 지원하지 않습니다.
이 변경 사항은 FortiGate 40F 및 60F 시리즈 기기와 해당 변형 기기에 영향을 미칩니다.
자세한 내용은 FortiGate 2GB RAM 모델에서 더 이상 지원되지 않는 프록시 관련 기능을 참조하세요.
3. FortiGate VM 메모리 및 업그레이드
FortiGate 가상 머신(VM)은 메모리 크기에 제약을 받지 않으며 FortiOS 7.6.0으로 업그레이드한 후에도 사용 가능한 모든 기능을 계속 지원합니다.
그러나 최적의 성능을 위해 최소 4GB의 RAM으로 VM을 설정하는 것이 좋습니다.
4. 7.6.0의 FIPS-CC 모드에서는 PKCS12 인증서 파일 가져오기가 지원되지 않습니다.
FortiOS FIPS-CC 모드에서는 PKCS12 인증서 파일 가져오기를 지원하지 않습니다. PKCS12 인증서 파일이 7.4.x에서 가져온 경우, 가져온 후 버전 7.6.0으로 업그레이드하면 인증서 파일이 계속 유지되고 작동합니다.
변경 사항
1. 사용자는 FortiView 페이지와 Log Viewer에서 직접 IP 또는 MAC 주소를 사용하여 정책을 만들 수 있습니다.
이 기능은 정책 생성 프로세스를 간소화하여 더 효율적이고 사용자 친화적으로 만듭니다.
2. 인터넷 서비스 그룹 생성을 위한 GUI 지원이 추가되었습니다. 이를 통해 사용자는 인터넷 서비스 그룹을 보다 직관적이고 효율적으로 만들고 관리할 수 있어 사용자 친화적인 환경을 제공합니다.
3. 로컬-인 정책을 생성하기 위한 GUI 지원이 추가되었습니다.
이를 통해 사용자는 로컬-인 정책을 보다 직관적이고 효율적으로 만들 수 있어 사용자 친화적인 환경을 제공합니다.
4. 방화벽 정책 관리를 위한 GUI 향상. 사용자는 GUI 내에서 다양한 정책 개체 간에 논리적 및 연산을 적용할 수 있는 옵션을 제공하여 방화벽 정책 구성에 대한 보다 세부적인 수준의 제어를 제공합니다.
5. vCPU 수에 관계없이 FortiGate VM은 이제 IPS 전체 확장 데이터베이스를 받습니다. 최소 8개의 코어라는 이전 제한은 더 이상 적용되지 않습니다.
6. 엔트리 레벨 FortiGate 모델에서 40F 모델을 제외하고 정적 경로와 정적 경로6의 수를 100개에서 250개로 늘립니다.
7. 1032057 엔트리 레벨 FortiGate 모델에서 VIP와 VIP6의 수를 512개에서 4096개로 늘립니다.
8. 1038357 하이엔드 FortiGate 모델에서 정적 경로와 정적 경로6의 수를 10000개에서 20000개로 늘립니다.
새로운 기능
Cloud
1. 고가용성(HA) 장애 조치가 이제 GCP의 IPv6 네트워크에 지원됩니다.
NextHopInstance 경로 테이블 속성은 HA 장애 조치 이벤트 중에 사용됩니다.
GUI
1. Advanced Threat Protection Statistics 보안 위젯이 향상되어 per VDOM 기능, 더 많은 데이터 소스 옵션, 향상된 사용자 상호 작용성을 제공합니다.
이제 FortiView 통계를 데이터에 사용하고, 시간 범위를 선택할 수 있으며, 바이러스 백신 로그가 있는 확장된 보기를 제공하고, 로그 장치 설정을 지원합니다.
이를 통해 사용자는 보다 자세하고 사용자 정의 가능한 위협 보호 통계를 얻을 수 있습니다.
2. IPsec 터널을 만들고 편집하는 프로세스가 이제 더 논리적입니다.
마법사는 허브 및 스포크와 사이트 간 구성에 대한 IKE 버전 설정과 사이트 간 터널에 대한 기타 전송 관련 필드를 지원합니다.
또한 FortiClient 원격 액세스 터널에 보안 포스처 태그를 추가할 수 있습니다.
이러한 업데이트는 프로세스를 보다 직관적이고 효율적으로 만드는 것을 목표로 합니다.
3. 보안 평가 표시 및 통합이 보다 간소화된 사용자 경험을 위해 향상되었습니다.
보안 등급 페이지에는 이제 보안 제어 및 취약성 탭이 표시되며, 탐색을 개선하기 위해 재구성되고 분류된 제어가 제공됩니다.
PSIRT 자문/감염 감지에 대한 세부 정보가 이제 전용 카드에 표시됩니다.
새로운 기능인 보안 등급 인사이트는 중요한 보안 정보에 즉시 액세스할 수 있도록 합니다.
테스트된 개체 위에 마우스를 올리면 모범 사례 또는 산업 표준에 대한 불일치에 대한 자세한 정보가 포함된 도구 설명이 표시됩니다. 또한 관련 구성이 변경되면 보안 등급 검사가 이제 주문형으로 실행되어 이전 성능 문제를 해결합니다.
각 페이지의 보안 등급 인사이트 개요는 특정 기준에 실패한 항목에 대한 빠른 필터를 제공합니다.
4. FortiOS GUI가 개선되어 새로운 아이콘, 업데이트된 위젯 및 버튼 모양, 필드와 콘텐츠 간 간격 증가 등 더욱 현대적인 스타일을 표시합니다.
테이블이 조정되어 페이지 내에서 테이블을 둘러싸는 너비가 줄어들고, 테이블 디자인이 업데이트되고, 항목 체크박스가 선택될 때까지 편집 및 삭제와 같은 작업 버튼이 숨겨집니다.
또한 GUI에서 항목을 만들고 편집할 때 구성 필드가 이제 새 페이지 대신 창에 표시됩니다.
5. 장치 업그레이드 개선 사항.
이 개선 사항은 FortiGates, FortiAP, FortiSwitches 및 FortiExtenders를 포함한 모든 지원 장치의 업그레이드 프로세스를 간소화합니다.
통합되고 일관된 접근 방식을 제공하여 고객이 직관적인 인터페이스를 통해 업그레이드 진행 상황을 손쉽게 관리하고 모니터링할 수 있도록 지원합니다.
또한 업그레이드 과정을 간소화하여 원활하고 매끄러운 사용자 경험을 보장합니다.
6. 위협 피드 업데이트를 위한 향상된 로깅.
위협 피드 시스템 이벤트 로그에 두 개의 새로운 필드가 추가되었습니다. 이 필드는 위협 피드의 총 항목 수와 유효하지 않은 항목 수를 표시합니다.
이러한 새로운 필드의 추가 정보는 구성 오류를 감지하고 위협 피드의 크기에 대한 중요하고 잠재적으로 비정상적인 변경 사항을 발견하기 위한 알림을 설정하는 데 도움이 될 수 있습니다.
LAN Edge
1. FOS는 스위치 컨트롤러에 QinQ를 지원하여 MSSP가 각 클라이언트에 대해 고유한 고객 VLAN을 갖고 여러 클라이언트 네트워크를 관리할 수 있으며 각 클라이언트는 가상 도메인에서 자체 관리형 4K VLAN 범위를 가질 수 있습니다.
이를 통해 네트워크 트래픽에 대한 더 나은 분리 및 제어가 보장됩니다.
2. 사용자는 이제 FortiSwitch 이벤트 로그 ID를 자동화 스티치의 트리거로 사용할 수 있습니다. 이를 통해 스위치 그룹 수정 또는 위치 변경과 같은 이벤트에 대한 응답으로 콘솔 알림, 스크립트 실행 및 이메일 알림과 같은 자동화된 작업이 가능합니다. 이를 통해 자동화 및 시스템 관리 효율성이 향상됩니다.
3. FortiOS WiFi 컨트롤러를 사용하면 고객이 FortiGuest 자체 등록 포털을 사용하여 MPSK 키를 생성할 수 있습니다. 이 추가 기능을 통해 고객은 장치에 MPSK 키를 독립적으로 생성하고 할당하여 프로세스를 간소화하고 보안을 강화할 수 있습니다.
4. FortiExtender의 WiFi 액세스 포인트에 연결된 사용자는 이제 FortiGate가 LAN 확장 모드에 있을 때에도 인터넷에 액세스할 수 있습니다. 이는 FortiGate LAN 확장 인터페이스를 사용하는 WiFi 클라이언트에 대한 원활한 인터넷 연결을 보장합니다.
5. FortiOS WiFi 컨트롤러는 WiFi 스테이션의 802.1X 인증 중 Radius 통신을 위한 TCP 및 TLS 프로토콜을 모두 지원하도록 향상되었습니다. 이는 특히 UDP가 충분하지 않을 수 있는 복잡한 네트워크 인프라에서 안정적이고 안전한 인증 프로세스가 필요한 고객에게 문제를 해결합니다.
6. 무선 데이터 속도 및 스티키 클라이언트 제거 임계값에 대한 GUI 지원이 추가되었습니다.
이를 통해 클라이언트 임계값 및 속도 제어를 보다 직관적이고 효율적으로 관리하여 접근성과 사용 편의성을 위한 사용자 경험을 향상시킵니다.
7. FortiAP K 시리즈는 이제 FAP441K, FAP-443K, FAP-241K 및 FAP-243K 모델에 대해 IEEE 802.11be(Wi-Fi 7이라고도 함)를 지원합니다. 이를 통해 장치 호환성이 확장되고 네트워크 성능이 향상되며 사용자 경험이 향상됩니다.
8. FortiOS는 OWE 및 WPA3-SAE 종류와 같은 최신 무선 인증 방법에 대한 캡티브 포털 지원을 확장합니다. 이를 통해 사용자는 사용 가능한 가장 진보되고 안전한 인증 방법의 이점을 누릴 수 있습니다.
9. FortiAP에 대한 OpenRoaming 표준 지원. 이는 게스트 Wi-Fi 온보딩을 자동화하고, Wi-Fi와 LTE/5G 네트워크 간의 안전한 로밍을 가능하게 하며, 기업에 통찰력 있는 고객 분석을 제공함으로써 Wi-Fi 관리 및 사용자 경험을 향상시킵니다.
10. FortiOS는 호환되는 FortiAP 모델에서 USB 포트 상태 관리를 지원합니다.
conf wireless-controller wtp-profile
edit <name>
set usb-port {enable | disable}
next
end
11. FortiOS는 비콘 보호를 지원하여 비콘 프레임을 보호하여 Wi-Fi 보안을 개선합니다.
이를 통해 장치가 합법적인 네트워크에 연결하여 공격 위험을 줄일 수 있습니다.
config wireless-controller vap
edit <name>
set beacon-protection {enable | disable}
next
end
12. FortiAP에 802.11mc 프로토콜에 대한 지원이 추가되어 FortiAP 라디오가 802.11mc 응답자 모드에서 작동할 수 있고, 모바일 기기가 802.11mc 내의 Wi-Fi 왕복 시간(RTT) 기능을 사용하여 AP까지의 거리를 측정할 수 있습니다.
conf wireless-controller wtp-profile
edit FAP433G-default
config radio-1
set 80211mc [enable | disable]
end
next
end
이 기능을 지원하려면 FortiAP 기기에서 펌웨어 버전 7.6.0을 실행해야 합니다.
13. WiFi 802.1X 인증에 성공한 후 NAS-Filter-Rule 속성을 수신할 수 있습니다.
이러한 규칙은 FortiAP로 전달되어 WiFi 스테이션에 대한 동적 액세스 제어 목록(dACL)을 만들어 네트워크 액세스 제어 및 보안을 강화할 수 있습니다.
14. Bonjour 프로필은 마이크로 위치를 지원하여 한 위치에서 발생하는 mDNS 트래픽이 다른 위치와 격리되도록 합니다. 이를 통해 네트워크 관리와 보안이 강화됩니다.
config wireless-controller bonjour-profile
edit <name>
set micro-location {enable | disable}
end
15. DPP 정책 우선순위에 따른 향상된 장치 매칭 로직. 이제 사용자는 CLI를 사용하여 동적 포트 또는 NAC 정책에 대한 매칭된 장치의 보존 기간을 지정하여 장치 관리를 더욱 효과적으로 제어할 수 있습니다.
16. FortiOS WiFi 컨트롤러 MPSK 기능에 이제 WPA2-Personal 및 WPA3-SAE 보안 모드가 모두 포함됩니다.
이를 통해 고객은 최신 WPA3-SAE 보안 모드와 함께 MPSK 기능을 활용하여 보다 다양한 보안 옵션을 사용할 수 있습니다.
17. FortiAP에 대한 로컬 LAN 분리 지원. 활성화하면 LAN 포트의 유선 클라이언트와 SSID의 무선 스테이션이 모두 동일한 레이어 2 브리지 내에 유지됩니다.
그러나 로컬 트래픽은 FAP의 WAN 측에서 분리됩니다. 이를 통해 사용자는 네트워크 트래픽을 더 잘 제어할 수 있어 보안과 네트워크 관리가 개선됩니다.
config wireless-controller vap
edit <name>
set local-lan-partition {enable | disable}
next
end
18. FortiExtender에 대한 빠른 장애 조치를 지원합니다. 이 개선 사항을 통해 FortiGate는 장애 조치 시 데이터 세션을 신속하게 복구하여 다운타임을 줄이고 안정성을 높일 수 있습니다.
19. 독립 실행형 모드에서 정적 RADIUS NAS-ID 지원. 이 기능을 통해 FortiOS WiFi 컨트롤러는 nas-id-type 설정을 관리되는 FortiAP에 푸시할 수 있습니다.
결과적으로 FortiAP는 이 설정을 준수하고 원격 RADIUS 서버로 WiFi 스테이션을 인증할 때 Access-Request 패킷에 NAS-Identifier 값을 포함할 수 있습니다.
이 개선 사항은 인증 프로세스에 대한 유연성과 제어력을 높여 전반적인 네트워크 보안을 개선합니다.
20. FortiAP 스니퍼에는 개선된 패킷 감지 기능이 포함되어 있으며, 320MHz에서 20MHz 범위의 지정된 채널 대역폭에서 모든 프레임 유형을 캡처합니다.
이는 심층적인 네트워크 분석 및 문제 해결에 필수적이며, 더 나은 네트워크 관리 및 보안을 위해 포괄적인 무선 트래픽 검사를 보장합니다.
21. FortiAP IPsec VPN에서 IKEv2 지원. IKEv2를 추가하면 FortiAP가 FortiGate와 IPsec VPN 터널을 설정할 때 성능이 향상됩니다.
이 개선 사항은 보다 안전하고 효율적인 VPN 연결에 대한 필요성을 해결하여 잠재적인 보안 위험을 방지하고
더욱 원활한 사용자 경험을 보장합니다.
Log & Report
1.FortiOS는 MAC 주소 플래핑 이벤트를 기록합니다.
이 로그는 관련된 특정 MAC 주소, 플래핑이 발생한 포트, 이벤트의 정확한 시간과 같은 이벤트에 대한 포괄적인 세부 정보를 제공합니다.
이 개선 사항은 네트워크 관리자가 관련 문제를 신속하게 식별하고 해결하는 데 도움이 되므로 네트워크 안정성과 성능이 향상됩니다.
2. MessageId 필드의 로깅을 지원합니다. FortiAnalyzer(FAZ)는 MessageId를 로깅하여 원치 않는 이메일을 효과적으로 출처까지 추적할 수 있으며, 이는 네트워크 모니터링 및 이메일 트래픽 분석에 도움이 됩니다.
이는 여러 FortiGate가 네트워크의 아웃바운드 궤적을 따라 FortiMail과 통합되어 있고 로깅을 위한 FAZ가 있는 복잡한 네트워크 설정에 유용합니다.
3. 패킷 캡처 및 TCP 덤프 작업에 대한 로그 메시지를 소개합니다. GUI를 사용하여 패킷 캡처 작업을 시작하거나 중지할 때마다 시스템 이벤트 로그가 생성되고, CLI 스니퍼 작업의 시작 및 중지 이벤트에 대한 로그도 생성됩니다.
이 향상된 기능은 사용자에게 패킷 캡처 및 tcpdump 활동에 대한 명확한 감사 추적을 제공하여 투명성과 제어를 개선합니다.
4. FOS는 이제 syslog/netflow 설정에 대한 소스 인터페이스를 설정하는 기능을 제공합니다.
이 향상된 기능을 통해 syslog 및 NetFlow는 메시지를 보낼 때 지정된 인터페이스의 IP를 소스로 활용할 수 있습니다.
이를 통해 소스 IP를 더 쉽게 변경할 수 있어 프로세스가 더 효율적이고 시간이 덜 소모됩니다. 특히 고객이 수천 개의 원격 위치를 관리하는 경우 더욱 그렇습니다.
config log syslogd setting
set status enable
set source-ip-interface <name>
end
config system netflow
config collectors
edit <id>
set source-ip-interface <name>
next
end
end
5. FortiOS는 이제 비관리 VDOM의 로그를 글로벌 및 vdomoverride syslog 서버로 보낼 수 있도록 허용합니다. 이전에는 비관리 VDOM에서 오버라이드 syslog 서버를 구성하면 글로벌 syslog 서버로의 로그 전송이 중단되었습니다.
이렇게 하면 글로벌 서버로의 중단 없는 로그 전송이 보장되어 로그 관리 경험이 향상됩니다.
config syslog override-setting
set use-management-vdom {enable | disable}
end
6. 중복 IP 로그 생성을 지원합니다. 이를 통해 시스템의 IP 충돌 감지 및 기록 기능이 향상되어 네트워크 관리가 개선되고 사용자의 문제 해결이 용이해집니다.
config system global
set ip-conflict-detection {enable | disable}
end
7. 로컬 인 정책에 따른 로컬 트래픽 로깅 지원.
이를 통해 로컬 인 정책에 따라 로깅을 구성하여 보다 정확하고 타겟팅된 로깅을 사용할 수 있습니다.
이를 통해 사용자의 지나치게 일반화된 로깅을 해결하여 사용자의 요구 사항과 가장 관련이 있는 특정 로컬 인 정책에 집중할 수 있습니다.
config log setting
set local-in-policy-log {enable | disable}
end
config firewall local-in-policy
edit <id>
set logtraffic {enable | disable}
end
end
Network
1. 기본적으로 2GB 이하의 RAM이 있는 FortiGate 모델에서 모든 프록시 기능을 비활성화합니다. 필수 및 기본 필수 범주 프로세스는 2GB 메모리 플랫폼에서 시작합니다. 프록시 종속성 및 여러 작업자 범주 프로세스는 2GB 메모리 플랫폼에서 구성 변경에 따라 시작됩니다.
2. FortiOS는 MAC이 FortiSwitch 포트에서 추가, 이동 또는 제거될 때 SNMP 트랩을 보내는 것을 지원합니다. 이를 통해 FortiGate의 네트워크 모니터링 기능이 향상되어 네트워크 관리자가 실시간으로 MAC 주소 변경을 모니터링하고 전반적인 네트워크 보안을 강화할 수 있습니다.
3. NP7 플랫폼에 대한 내부 스위치 패브릭(ISF) 해시 구성 지원. 이를 통해 NP7 플랫폼 사용자에게 새로운 수준의 유연성과 제어 기능을 제공하여 최적의 성능과 보안을 위해 네트워크 설정을 미세 조정할 수 있습니다. 다음 NP7 FortiGate 모델이 이 기능을 지원합니다: FG-1800F, FG-2600F, FG-3500F, FG-4200F, FG-4400F.
다음 명령을 사용하여 NPU 포트 매핑을 구성합니다.
config system npu-post
config port-npu-map
edit <인터페이스 이름>
set npu-group <그룹 이름>
next
next
end
다음 명령을 사용하여 ISF에서 인터페이스가 수신한 트래픽을 FortiGate의 NP7 프로세서 인터페이스로 분산하는 데 사용하는 부하 분산 알고리즘을 구성합니다.
config system interface
edit <인터페이스>
set sw-algorithm {l2 | l3 | eh | default}
next
end
4. 명시적 웹 프록시 전달 서버에서 IPv6 주소에 대한 GUI 지원이 추가되었습니다.
이 개선 사항을 통해 사용자는 IPv6 전달 서버를 보다 직관적이고 효율적으로 만들고 관리할 수 있어 보다 사용자 친화적인 환경을 제공합니다.
5. DHCPv6 서버/클라이언트는 여러 DHCP 옵션을 수용할 수 있습니다. 공급업체 클래스 옵션이라고도 하는 옵션 16에 대한 지원이 DHCPv6에 추가되었습니다.
이를 통해 DHCPv6 서버 및 클라이언트에 대한 VCI 일치를 기반으로 IP 풀 및 옵션 할당이 가능합니다.
6. BGP 접두사는 방화벽 주소(ipmask 및 인터페이스-서브넷 유형)와 그룹을 활용하여 구성할 수 있습니다.
이를 통해 구성 처리가 간소화되어 사용자가 BGP 네트워크 접두사를 구성할 때 기존 방화벽 주소와 그룹을 활용할 수 있습니다.
7. Socks 프록시는 이제 UTM 스캐닝, 인증 및 전달 서버를 지원하여 더욱 다재다능해졌습니다.
이는 운영에 이러한 기능이 필요한 고객에게 유용합니다.
8. 이제 인증 서버를 사용할 수 없을 때 사용자에게 할당할 태그가 지정된 VLAN을 지정할 수 있습니다. 이전에는 태그가 지정되지 않은 VLAN만 지정할 수 있었습니다.
이 기능은 802.1x MAC 기반 인증에서 사용할 수 있습니다. EAP(Extensible Authentication Protocol) 및 MAB(MAC authentication bypass)와 모두 호환됩니다.
9. FortiOS에서는 VRRP(Virtual Router Redundancy Protocol)의 hello 타이머를 밀리초 단위로 구성할 수 있습니다. 이 타이머는 VRRP 광고가 전송되는 속도를 결정합니다.
이 향상된 제어를 통해 사용자는 필요한 경우 빠른 장애 조치와 고가용성을 보장할 수 있습니다.
10. 이제 OSPF 프로토콜에서 LSA(Link State Advertisement) 새로 고침 간격을 사용자 지정할 수 있어 네트워크 내의 타이밍 매개변수에 대한 유연성과 제어가 향상되었습니다.
또한 OSPF 기능이 확장되어 VLAN 인터페이스에서 빠른 링크 다운 감지가 포함되어 네트워크 응답성과 신뢰성이 향상되었습니다.
config router ospf
set lsa-refresh-interval <integer>
config ospf-interface
edit <name>
set interface <string>
set linkdown-fast-failover {enable | disable}
next
end
end
11. FortiOS는 네트워크 접두사 변환(NPTv6)을 지원하여 엔드투엔드 연결과 주소 독립성을 위한 일대일 주소 매핑을 보장합니다.
이를 통해 네트워크 확장성이 향상되고 효율적인 IPv6 네트워크 관리가 용이해집니다.
12. 새로운 CLI 옵션을 사용하면 사용자가 NP7 플랫폼에서 체크섬이 0인 IPv4 SCTP 패킷을 삭제하거나 허용하도록 선택할 수 있습니다.
config system npu
config fp-anomaly
set sctp-csum-err {allow | drop | trap-to-host}
end
end
13. 사용자는 FortiGuard에서 직접 LTE 모뎀 펌웨어를 업그레이드할 수 있습니다.
이렇게 하면 수동으로 다운로드하고 업로드할 필요가 없고 사용자는 업그레이드 일정을 유연하게 조정할 수 있습니다.
14. FortiOS는 이제 Netflow 샘플링 지원을 통합합니다. 이 향상된 기능을 통해 FortiGate는 특정 인터페이스에 대해 샘플링된 패킷 또는 바이트 수를 유지할 수 있습니다.
세션의 패킷 수가 NetFlow 지원 인터페이스에서 전송되거나 수신된 트래픽에 대해 netflow-sample-rate에서 설정한 임계값을 초과하면 NetFlow 보고서가 내보내집니다.
이 프로세스는 수집기의 부하를 효과적으로 줄입니다.
config system interface
edit <name>
set netflow-sampler {tx | rx | both}
set netflow-sample-rate <integer>
set netflow-sampler-id <integer>
next
end
15. 패킷 캡처 기능 향상
이 기능은 패킷 캡처 기준을 저장하는 기능을 추가하여 인터페이스, 필터 등과 같은 동일한 매개변수를 사용하여 패킷 캡처를 여러 번 다시 시작할 수 있으므로 패킷 캡처 관리가 간소화됩니다.
또한 이 기능은 GUI 패킷 캡처를 나열, 시작, 종료 및 제거하는 진단 명령을 통합하여 사용자가 패킷 캡처 작업을 제어할 수 있는 수준을 향상시킵니다.
16. 트래픽 로그 및 세션 로그 출력에서 UDP-Lite(IP 프로토콜 번호 136) 트래픽, IPv4 및 IPv6 정책 경로의 CLI 구성, 사용자 지정 세션 TTL, 사용자 지정 방화벽 서비스 설정 및 정책 및 개체 > 서비스 페이지에서 사용자 지정 방화벽 서비스의 GUI 구성에 대한 지원이 추가되었습니다. UDP-Lite 트래픽은 활성화된 경우 연결 없는 세션에 대한 HA 세션 동기화와 활성화된 경우 잘못된 헤더 형식 또는 잘못된 체크섬 오류가 있는 UDP-Lite 패킷을 자동으로 삭제하기 위한 엄격한 헤더 검사로 지원됩니다.
17. FortiOS를 사용하면 AS 경로 목록을 사용하여 여러 원격 자율 시스템(AS)을 단일 BGP 이웃 그룹에 할당할 수 있습니다. 이 개선 사항은 특히 복잡한 네트워크 환경에서 BGP 구성을 관리하는 데 있어 유연성과 효율성을 높여줍니다.
18. RFC 4601에 따라 PIM 조인/정리 메시지에 그룹 세트를 포함하도록 지원합니다.
FortiGate는 그룹 세트가 포함된 PIM 조인/정리 메시지를 보내 라우터로 보내는 메시지 수를 줄일 수 있습니다.
이 개선 사항은 광범위한 멀티캐스트 환경에서 라우터 과부하 문제를 해결하여 네트워크 운영의 안정성과 효율성을 높여줍니다.
19. FortiGate가 IPv4 BGP 이웃으로 작동하고 상태 저장 DHCPv6를 사용하는 경우 온링크 접두사에 속하는 IPv6 다음 홉으로 BGP 경로를 학습하고 이 접두사는 RA를 사용하여 광고됩니다.
기본적으로 학습된 커널 경로(현재는 RA 경로만 해당)의 거리는 255이며 현재 경로 선택을 방해하지 않습니다.
BGP에서 RA 경로를 사용할 수 있도록 하려면 새로운 CLI 명령 set kernel-route-distance를 사용하여 거리를 255 미만(예: 254 이하)으로 설정합니다.
config router setting
set kernel-route-distance <1-255>(기본값은 255)
end
같은 접두사를 가진 다른 사용자 공간 경로가 있는 경우, 거리를 기준으로 최상의 경로가 선택됩니다.
20. FOS에는 넷플로우 샘플링을 위한 필터링 메커니즘이 포함되어 있습니다. 사용자는 소스 IP, 소스 포트, 대상 IP, 대상 포트 및 IP 프로토콜과 같은 다양한 기준에 따라 넷플로우 샘플링에 제외 필터를 적용할 수 있습니다.
이 기능을 추가하면 수집된 데이터의 관련성이 향상되고, 데이터 관리 프로세스가 간소화되며, 불필요한 네트워크 트래픽이 최소화됩니다.
config system netflow
configclusion-filters
edit <id>
set source-ip <IP_address>
set destination-ip <IP_address>
set source-port <port>
set destination-port <port>
set protocol <protocol_ID>
next
end
21. FOS는 이제 재귀적 DNS 리졸버로 구성되는 것을 지원합니다. 리졸버로서 FortiGate는 루트 이름 서버, 최상위 도메인(TLD) 이름 서버 및 마지막으로
권한 있는 이름 서버와 직접 상호 작용하여 DNS 쿼리를 해결할 수 있습니다.
또한 FortiOS는 루트 이름 서버의 우선 순위 지정 지원도 추가합니다.
기본 서버 목록에서 루트 서버를 선택하거나 사용자 지정 루트 이름 서버를 구성할 수 있습니다.
22. 464XLAT 환경을 위한 FTP 세션 도우미 지원. 이 향상을 통해 FortiOS는 464XLAT 환경에서 수동 및 활성 모드를 모두 지원할 수 있습니다.
23. 고객이 RADIUS, LDAP 및 DNS 구성에서 소스 IP를 정의하기 위해 IP 주소뿐만 아니라 인터페이스 이름을 사용할 수 있도록 합니다. 이는 SDWAN 규칙에 의해 관리되는 것과 같은 동적 IP 변경에 대처합니다. FortiOS는 인터페이스의 현재 IP를 소스 IP로 사용하여 네트워크 유연성을 향상하고 잠재적인 연결 문제를 해결합니다.
24. 자동 LTE 연결 설정.
이 향상된 기능은 LTE 연결 설정 프로세스를 자동화합니다.
SIM 카드를 삽입하면 FortiOS(FOS)는 서비스 제공업체의 무선 타워에서 모바일 국가 코드(MCC)와 모바일 네트워크 코드(MNC)를 얻을 수 있습니다.
FOS는 이러한 코드를 사용하여 미리 정의된 표에서 SIM 카드에 적합한 APN을 조회하고 자동으로 무선 프로필을 만듭니다. 이렇게 하면 사용자가 수동으로 구성할 필요가 없어 LTE 연결을 설정하는 프로세스가 간소화됩니다.
25. Hyperscale을 사용하여 소프트웨어 및 하드웨어 세션에 대한 IPv6/64 접두사 세션 할당량과 IPv4 접두사 세션 할당량을 소개합니다. 이 새로운 기능을 사용하면 세션 제한을 보다 정확하게 제어할 수 있습니다.
이 기능은 NAT가 없는 정책에만 작동합니다.
IPv6 세션에 대한 글로벌 세션 할당량을 구성하려면:
config system npu
set ipv6-prefix-session-quota {disable | enable}
set ipv6-prefix-session-quota-high <high-threshold>
set ipv6-prefix-session-quota-low <low-threshold>
end
NAT가 비활성화된 방화벽 정책에서 허용하는 IPv4 세션에 대한 세션 할당량을 구성하려면:
config system npu
set ipv4-session-quota {disable | enable}
set ipv4-session-quota-high <high-threshold>
set ipv4-session-quota-low <low-threshold>
end
Policy & Objects
1. FortiOS는 로컬-인 정책에서 소스 주소로 인터넷 서비스를 허용합니다.
이를 통해 로컬 트래픽을 관리하는 데 더 많은 유연성과 제어가 가능해져 네트워크 보안과 효율성이 향상됩니다.
2. MAP-E가 동일한 VDOM 내에서 여러 VNE 인터페이스를 지원하도록 개선되어 보다 다양한 네트워크 설정이 가능합니다.
3. 사용자는 PBA(Port Block Allocation) 및 FPR(Fixed Port Range) 유형의 IPPool에 대해 사용자 지정 포트 범위를 구성할 수 있습니다. 이를 통해 사용자는 1024에서 65535까지 포트 범위를 지정할 수 있는 유연성을 제공하여 네트워크 구성에서 사용자 제어와 적응성을 향상시킵니다.
config firewall ippool
edit <name>
set type {fixed-port-range | port-block-allocation}
set startport <integer>
set endport <integer>
next
end
4. 고정 포트 범위 IP 풀에 NAT64 지원이 추가되었습니다. 내부 IPv6 범위는 NAT64 고정 포트 범위 IP 풀에서 구성할 수 있습니다. 이 추가 기능은 접두사 기반 제한을 허용하여 네트워크 트래픽 관리에 대한 더 큰 제어 및 보안을 제공하기 때문에 중요합니다.
5. HTTP 트랜잭션 로깅 지원. 이를 통해 HTTP 트래픽이 프록시를 통해 라우팅될 때 새로운 유형의 트래픽 로그에서 HTTP 트랜잭션 세부 정보를 사용할 수 있으므로 HTTP 상호 작용의 포괄적인 로깅이 보장되어 모니터링 및 분석이 개선됩니다.
6. NGFW 정책에 대한 7일 정책 적중 카운터 소개.
이 기능은 지난 7일 동안 정책이 트리거된 횟수를 누적 집계합니다.
사용자는 시간 경과에 따른 정책 사용 패턴에 대한 보다 포괄적이고 역동적인 통찰력을 제공하여 사용자 경험을 향상시키고 효율적인 리소스 관리를 촉진합니다.
7. 고정 포트 범위 IP 풀에 Full Cone 네트워크 주소 변환(NAT)(Endpoint Independent Filtering(EIF)과 유사)에 대한 지원이 추가되었습니다.
이를 통해 모든 외부 호스트가 매핑된 외부 IP 주소와 포트를 통해 내부 호스트로 패킷을 보내 연결성과 통신 효율성을 향상할 수 있습니다.
config 방화벽 ippool
edit <name>
set type fixed-port-range
set permit-any-host {enable | disable}
next
end
SD-WAN
1. SD-WAN에 대한 전반적인 ADVPN 2.0 작동을 개선하기 위해 다음을 포함한 개선 사항이 추가되었습니다.
l 로컬 스포크는 ADVPN 2.0 경로 관리가 경로 결정을 내린 후 바로가기를 트리거하기 위해 바로가기 쿼리를 원격 스포크로 직접 보냅니다.
l ADVPN 2.0 경로 관리가 부하 분산 SD-WAN 규칙에 대한 여러 바로가기를 트리거할 수 있습니다.
트래픽은 이러한 여러 바로가기를 통해 부하 분산되어 유휴 링크가 정상인 경우 낭비하지 않고 사용 가능한 WAN 대역폭을 최대한 활용할 수 있습니다.
부하 분산 서비스에 대한 여러 바로가기를 계산하는 알고리즘은 로컬 및 원격 부모 오버레이에 대한 전송 그룹 및 inSLA 상태를 고려합니다.
l 스포크는 지정된 시간 간격 동안 사용자 트래픽이 관찰되지 않으면 동일한 스포크에 연결된 모든 바로가기를 자동으로 비활성화할 수 있습니다.
이는 연관된 오버레이에 대한 IPsec VPN 1단계 인터페이스 설정에서 공유 유휴 시간 초과 설정을 구성하여 활성화할 수 있습니다.
2. IPv6 멀티캐스트 트래픽이 SD-WAN 규칙에 따라 조정되도록 허용합니다. SD-WAN 멤버가 SLA에서 벗어나는 경우 멀티캐스트 트래픽은 다른 멤버로 페일오버되도록 설계되었습니다.
원래 멤버가 복구되어 SLA를 다시 충족하면 멀티캐스트 트래픽이 다시 전환되어 최적의 네트워크 성능과 안정성이 보장됩니다.
config router multicast6
config pim-sm-global
set pim-use-sdwan {enable | disable}
end
end
3. 루프백 설계에서 BGP와 함께 작동하는 최상의 경로 선택을 위해 ICMP 프로브에서 IPsec 오버레이 및 일치하는 SLA 우선순위에 대한 SD-WAN SLA 상태(SLA 내 또는 SLA 외)를 포함합니다.
다음과 같은 부분으로 구성됩니다.
A. Spokes 구성 상태 검사 항목이 embed-measured-health가 활성화된 상태로 구성되고, 새로운 CLI 명령 sla-id-redistribute <id>가 SLA 설정의 <id>로 구성되고 SLA 설정이 일치할 때 Spokes가 허브로 보내는 ICMP 프로브에서 IPsec 오버레이에 대한 Spokes SLA 상태(SLA 내 또는 SLA 외)를 포함합니다.
B. 새로운 CLI 명령 set priority-in-sla 및 set priority-out-sla가 IPsec 오버레이에 대한 Spokes 구성 멤버에서 구성될 때 Spokes를 SLA 내 및 SLA 우선순위 외로 포함합니다.
C. 허브에서 set detect-mode remote가 구성되고 허브 상태 검사 slaid-redistribute가 set link-cost-factor remote와 SLA 설정과 일치하는 경우 수신된 SLA 상태가 IPSec 터널의 SLA 상태를 표시하는 데 사용되고 일치하는 SLA 우선순위가 ICMP 패킷이 들어오는 IPSec 오버레이와 연관된 경로에 적용됩니다.
이 기능은 또한 Spoke에서 시작한 속도 테스트 사례를 지원하는데, 여기서 테스트 링크는 SLA에서 설정되고 SLA에서 벗어난 우선순위가 허브로 전송되어 트래픽이 속도 테스트 중에 다른 경로를 사용하게 됩니다.
마이그레이션 프로세스를 용이하게 하기 위해 많은 Spoke가 배포된 경우 허브는 하이브리드 모드에서 작동할 수 있습니다. 여기서 set sla-id-redistribute가 Spoke에서 구성되지 않은 경우 허브는 자체 SLA 설정을 사용하여 경로 우선순위를 결정합니다.
4. SD-WAN Overlay-as-a-Service(OaaS)에서 구성을 조율할 때 FortiGate 스포크 트래픽이 중단되지 않도록 하기 위해 FortiGate에 OaaS 에이전트에 대한 지원이 추가되었습니다.
OaaS 에이전트는 FortiCloud의 OaaS 컨트롤러와 통신하고, FortiOS 구성을 검증하고 비교하며, OaaS 포털에서 조율되면 FortiOS 구성을 FortiGate에 트랜잭션으로 적용합니다.
구성 변경 사항이 적용되지 않으면 OaaS 에이전트는 조율된 모든 구성 변경 사항을 롤백합니다.
OaaS 에이전트와 OaaS 컨트롤러 간의 보안 통신은 FGFM 관리 터널을 사용하여 달성됩니다. 새로운 CLI 명령 get oaas status는 자세한 OaaS 상태를 표시합니다.
Security Fabric
1. FortiOS는 이제 출력이 64K자를 초과하면 CLI 스크립트 작업 출력 결과를 첨부 파일로 이메일로 보낼 수 있습니다.
2. 외부 리소스 항목 제한은 이제 글로벌입니다.
또한 파일 크기 제한은 이제 장치 모델에 따라 조정됩니다.
이를 통해 다양한 장치 모델의 특정 기능과 요구 사항에 맞게 리소스를 보다 유연하고 최적화하여 사용할 수 있습니다.
3. FortiOS는 중앙 SNAT에서 소스 주소로 위협 피드 커넥터를 적용할 수 있도록 합니다.
이 향상을 통해 보다 동적이고 반응성이 뛰어난 네트워크 보안 구성이 가능합니다.
Security Profiles
1.FortiOS 바이러스 백신은 이제 CDR 기능을 통해 Microsoft OneNote 파일을 지원합니다.
FortiGate는 하이퍼링크 및 내장 미디어와 같은 활성 콘텐츠를 제거하여 이러한 파일을 정리하고 텍스트는 보존합니다.
이 기능은 네트워크 관리자가 사용자를 악성 문서로부터 보호하기 위한 추가 도구를 제공합니다.
2. 데이터 손실 방지를 위한 Exact Data Match(EDM)에 대한 GUI 지원. 이를 통해 데이터 관리를 최적화하고 거짓 양성을 최소화합니다.
3. FortiOS Carrier는 GTPv0 트래픽에 대한 관리 기능을 강화했습니다.
이를 통해 GTPv0 트래픽을 허용하거나 제한할 수 있는 유연성을 제공하여 GTPv0 트래픽을 관리하기 위한 보다 안전하고 적응 가능한 전략을 보장합니다.
이 옵션은 기본적으로 거부로 설정되어 새 GTP 프로필을 만들 때 모든 GTTPv0 트래픽을 차단합니다.
다음 명령을 사용하여 GTP 프로필에서 모든 GTPv0 트래픽을 허용하거나 차단할 수 있습니다.
config 방화벽 gtp
edit <이름>
set gtpv0 {allow | deny}
next
end
4. DoH 응답을 수정하여 클라이언트가 ECH가 아닌 TLS 연결로 전환하도록 차단, 허용 또는 강제하는 옵션이 있는 Encrypted Client Hello(ECH)를 활용하는 TLS 연결을 제어하는 지원을 추가합니다.
이를 통해 TLS 연결을 관리하는 데 필요한 제어와 유연성이 향상됩니다.
5. 프록시 정책에 대한 DNS 필터링 지원. 이 향상 기능은 DNS 필터링을 프록시 정책에 적용할 수 있는 기능을 추가했습니다.
이 추가 기능은 프록시 뒤에서 작동하는 클라이언트에 대한 추가 보호 계층을 제공하여 보안을 강화합니다.
이는 클라이언트 애플리케이션이 DoH 및 DoT 프로토콜을 사용하도록 구성되어 있고 DNS 필터링의 추가 보안이 필요한 시나리오에서 특히 유용합니다.
6. FortiOS는 흐름 모드에서 HTML 및 Javascript 파일에 대한 스트림 기반 스캐닝을 제공합니다.
이를 통해 AV 엔진은 버퍼링할 파일 페이로드의 필요한 양을 결정하고 특정 인스턴스에서 부분 버퍼를 스캔하여 전체 파일을 캐시할 필요가 없고 잠재적으로 메모리 사용량이 향상될 수 있습니다.
7. 웹필터 UTM 로그 개선으로 호스트 이름 및 MAC 주소를 포함한 엔드포인트 장치 데이터를 통합하여 네트워크 활동 통찰력을 강화할 수 있습니다.
config log setting
set extended-utm-log {enable | disable}
end
8. FortiGuard 관리 DLP 사전의 향상.
이제 사용자는 특정 요구 사항에 따라 다양한 신뢰 수준으로 FortiGuard 사전을 선택할 수 있는 유연성을 갖게 되었습니다. 높은 수준은 최대 정밀도를 제공하고, 중간 수준은 일치 수량과 정밀도의 균형을 맞추고, 낮은 수준은 거짓 양성의 가능성이 있는 대부분의 일치를 포착합니다.
이 기능은 데이터 트래픽 정밀도와 볼륨의 균형을 맞춰 사용자 경험을 향상시키는 것을 목표로 합니다.
9. 웹 콘텐츠에 대한 Zstandard(zstd) 압축 알고리즘을 지원합니다.
이 향상을 통해 FortiOS는 프록시 기반 정책에서 zstd로 인코딩된 웹 콘텐츠를 디코딩, 스캔 및 전달할 수 있습니다.
그런 다음 UTM 프로필 설정에 따라 콘텐츠를 전달하거나 차단할 수 있습니다. 이를 통해 원활하고 안전한 브라우징 환경이 보장됩니다.
10. 명시적 프록시 및 프록시 기반 방화벽 정책 모두에 대한 도메인 프런팅 보호 소개.
이 기능을 통해 FortiGate는 요청 도메인이 HTTP 헤더의 실제 호스트 도메인과 일치하는지 확인할 수 있습니다. 도메인 불일치로 인해 발생할 수 있는 무단 액세스를 방지하여 보안이 강화되었습니다.
config firewall profile-protocol-options
edit protocol
config http
set domain-fronting {allow | block | monitor}
next
end
end
11. DNS 변환은 이제 DNS 필터 프로필을 통한 서비스(SRV) 레코드를 지원하여 네트워크 관리자에게 더 광범위한 적용 범위와 더 정교한 제어를 제공합니다.
System
1.FortiOS Carrier에 대한 GTPv2 옵션에 대한 GUI 지원이 추가되었습니다.
이제 GTPv0/v1 및 GTPv2에 대한 개별 필터와 메시지 속도 제한을 관리하기 위한 개별 설정이 있습니다.
또한 IE 허용 목록 구성에 대한 지원이 추가되었습니다.
이 기능은 사용자에게 GTP 프로필을 보다 정밀하게 제어할 수 있는 권한을 부여하여 전반적인 사용성을 향상시킵니다.
2. 이전에는 자동 업그레이드가 비활성화되었을 때 사용자에게 exec federated-upgrade cancel을 실행하여 예약된 업그레이드를 제거하라는 경고가 표시되었습니다.
그러나 새로운 업데이트에서는 시스템이 보류 중인 업그레이드를 자동으로 취소할 수 있으므로 수동 사용자 작업이 필요 없습니다.
3. 과도한 CPU 사용을 방지하기 위해 NP7 프로세서가 ICMPv4 및 ICMPv6 오류 패킷을 생성하는 속도를 제어하는 새로운 기능입니다. 이 기능은 기본적으로 활성화되어 있으며, 네트워크 조건에 따라 필요한 경우 다음 옵션을 사용하여 구성을 변경할 수 있습니다.
config system npu
config icmp-error-rate-ctrl
set icmpv4-error-rate-limit {disable | enable}
set icmpv4-error-rate <packets-per-second>
set icmpv4-error-bucket-size <token-bucket-size>
set icmpv6-error-rate-limit {disable | enable}
set icmpv6-error-rate <packets-per-second>
set icmpv6-error-bucket-size <token-bucket-size>
next
end
4. FOS 캐리어에서 패킷 전달 제어 프로토콜(PFCP)에 대한 FGSP 지원.
FortiCarrier의 견고성과 안정성은 모든 FGSP 피어에서 일관된 PFCP 세션 정보를 보장함으로써 강화됩니다.
또한 새로 통합된 피어에 대한 PFCP 세션 정보의 원활한 동기화를 용이하게 합니다.
이 기능은 새로운 피어를 FGSP 클러스터에 손쉽게 통합하여 시스템 확장성을 개선하고 비대칭 라우팅 지원을 통해 네트워크 유연성과 효율성을 증가시킵니다.
5. 관리자 프로필에서 CLI 명령 사용을 제어하기 위해 GUI 지원이 추가되었습니다.
6. FGSP 피어 간에 RSSO(Radius Single Sign-On) 인증 사용자 로그온 정보를 동기화하기 위한 지원. 이를 통해 모든 FGSP 피어에서 일관된 사용자 경험이 보장됩니다.
7. FortiGate는 이제 HA 그룹 ID 수를 넘어 HA 가상 MAC 주소 수를 늘리기 위해 3가지 VMAC 정의 방법을 지원합니다. 이러한 방법은 다음과 같습니다.
1. 인터페이스당 수동 VMAC
2. 자동 VMAC 할당
3. 그룹 ID 기반 할당(기존)
수동 VMAC는 물리적, EMAC 또는 FortiExtender 인터페이스에서 구성할 수 있으며, 이는 다른 VMAC 할당 옵션을 재정의합니다.
자동 VMAC 할당은 로컬 관리 비트(U/L 비트)가 1로 변경된 기본 장치의 하드웨어 MAC 주소를 활용합니다. 예를 들어, 00:xx:xx:xx:xx:xx는 02:xx:xx:xx:xx:xx가 됩니다.
이 옵션은 물리적 인터페이스에서만 지원됩니다.
config system ha
set auto-virtual-mac-interface <interface list>
end
config system interface
set virtual-mac <mac address>
end
8. GTP-U 패킷용 동적 소스 포트가 이제 NP7 플랫폼에서 지원됩니다.
이 기능은 소스 포트에 관계없이 양방향 트래픽에 대해 두 개의 세션을 설정합니다. 세션 수를 줄임으로써 메모리 사용량이 크게 감소합니다.
이는 특히 대량의 GTP-U 트래픽을 처리하는 고객에게 유용하며, 메모리 효율적이고 간소화된 솔루션을 제공합니다.
config system global
set gtpu-dynamic-source-port {enable | disable}
end
9. 세션 페일오버가 이제 비대칭 트래픽에 지원됩니다. FortiGate는 이제 세션의 첫 번째 패킷을 처음 수신한 원래 FGSP 피어가 사용할 수 없게 되더라도 활성 FGSP 피어에서 세션을 계속할 수 있습니다.
원래 FGSP 피어가 다시 온라인 상태가 되면 세션이 다시 해당 피어로 전환됩니다.
이 향상 기능은 장치 장애가 발생하더라도 네트워크 세션의 연속성과 안정성을 보장합니다.
10. 하트비트 인터페이스가 다운되거나 극심한 지연이나 혼잡이 발생하여 보조 장치가 기본 장치로 승격되는 경우 FGCP HA 스플릿 브레인 시나리오가 발생할 수 있습니다.
이 상황을 방지하기 위해 이 향상 기능은 보조 장치가 일반 하트비트 인터페이스를 통해 기본 장치에서 하트비트를 감지하지 못할 때만 사용되는 전용 인터페이스인 백업 하트비트 인터페이스를 도입합니다.
config system ha
set backup-hbdev <interface list>
end
11. FortiOS는 원격 인증 서버에 도달할 수 있을 때 콘솔을 통해 로컬 관리자 로그인을 제한할 수 있습니다.
이를 통해 로컬 관리자 로그인에 대한 보다 광범위한 제어가 가능해져 시스템 보안이 향상됩니다.
config system global
set admin-restrict-local {all | non-console-only | disable}
end
12. 이 향상을 통해 SNMP 클라이언트는 새로운 OID 1.3.6.1.4.1.12356.101.4.1.38을 사용하여 FortiGate의 BIOS 보안 수준을 쿼리할 수 있습니다.
13. 폐쇄형 네트워크 VM 라이선스에 대한 보안 향상. CMS 서명은 이제 라이선스가 로드된 직후에 확인됩니다.
이를 통해 라이선스가 Forticare에서 제공되었는지 확인하고 콘텐츠와 계약의 진위성을 확인하여 라이선스 무결성과 고객 신뢰를 향상합니다.
14. 구성 파일은 이제 시스템이 재부팅되거나 종료될 때 eCryptfs 파일 시스템에서 암호화되고 시스템이 부팅되어 구성을 CMDB에 로드해야 할 때 암호가 해독됩니다.
eCryptfs 암호화 키는 TPM이 장치 모델에서 지원되는 경우 개인 데이터 암호화 키와 동일한 방식으로 TPM에 생성되어 저장됩니다. 그렇지 않은 경우 CSPRNG에서 생성되어 디스크에 저장됩니다.
15. FortiOS에서는 delay-tcp-npu-session enable 옵션을 전역적으로 적용할 수 있으므로 각 방화벽 정책에 대한 명령을 설정할 필요가 없고 리소스를 보존할 수 있습니다.
config system global
set delay-tcp-npu-session {enable | disable}
end
16. FortiOS는 원격 네트워크 모니터링(RMON)을 위한 이더넷 통계 그룹을 지원하여 드롭 이벤트 및 충돌과 같은 이더넷 인터페이스를 통과하는 트래픽에 대한 자세한 통계를 제공합니다.
17. print tablesize 명령이 업데이트되어 개체 사용량을 표시하여 관리자가 제한을 모니터링하고 시스템 관리를 개선하는 데 도움이 됩니다.
18. SNMP 트랩에 대한 인터페이스 선택 방법 지원.
이 향상을 통해 SNMP 트랩이 SD-WAN 규칙을 활용할 수 있습니다.
이 기능은 이전에 가장 효율적인 SD-WAN 경로를 통해 SNMP 트랩을 라우팅하는 것이 어려웠던 대규모 SD-WAN 환경에서 특히 유용합니다.
19. 이 향상을 위해서는 커널이 부팅 중에 중요한 파일 시스템 및 개체 파일의 서명된 해시를 확인해야 합니다.
이렇게 하면 파일 시스템에 대한 무단 변경이 마운트되지 않고 부팅 시 다른 무단 개체가 사용자 공간에 로드되지 않습니다.
서명된 해시 확인에 실패하면 시스템이 중지됩니다.
20. 비관리 vdom이 SNMPv3를 사용하여 쿼리를 수행하도록 허용합니다.
이 향상은 비관리 vdom의 쿼리 기능을 확장하여 시스템의 다양성을 개선합니다.
config system snmp sysinfo
set non-mgmt-vdom-query {enable | disable}
end
User & Authentication
1. FortiOS를 사용하면 802.1x와 MAC 인증 우회(MAB)가 모두 활성화된 경우 인증 방법이 실행되는 순서를 사용자가 지정할 수 있습니다.
2. 사용자는 특정 네트워크 보안 요구 사항에 따라 한 방법을 다른 방법보다 우선시할 수 있습니다.
3. 클라이언트 인증서 검증 및 EMS 태그 매칭에 대한 지원이 명시적 프록시 정책에 추가되어 사용자 경험과 보안이 향상되었습니다.
4. FortiGate에서 SCIM 서버 지원. 이 향상을 통해 FortiGate는 SCIM 2.0 프로토콜을 사용하여 IdP와 통신하여 FortiGate에서 사용자 및 그룹을 자동으로 프로비저닝할 수 있습니다.
5. 시스템 및 사용자 암호 정책에 모두 적용할 수 있는 사용자 지정 가능한 암호 재사용 임계값에 대한 지원이 추가되었습니다. 이를 통해 사용자는 암호 재사용 빈도를 결정하여 암호 관리를 강화하고 보안을 강화할 수 있습니다.
6. RADIUS 인증을 트리거할 수 있는 프로토콜 범위를 확장하여 이제 DNS 및 ICMP 쿼리를 포함합니다.
이 개선 사항은 고객에게 보다 유연한 솔루션을 제공합니다.
7. FortiOS는 이제 방화벽 재부팅 후에도 인증 세션을 보존합니다.
이 기능은 방화벽 재부팅 후 재인증이 필요 없도록 하여 사용자 경험을 향상시킵니다.
config system global
set auth-session-auto-backup {enable | disable}
set auth-session-auto-backup-interval {1min | 5min | 15min | 30min |
1hr}
end
VPN
1.시작 시 OpenSSL FIPS 공급자의 글로벌 설치를 통합합니다.
이 향상을 통해 모든 OpenSSL 애플리케이션이 FIPS 규정을 자동으로 준수합니다.
또한 시스템은 이제 보다 안전한 TLS1.2 및 TLS1.3 프로토콜로 기본 설정됩니다.
또한 2048비트 이상의 Diffie-Hellman 매개변수만 허용됩니다.
이를 통해 강력한 보안 포스처가 보장되고 업계 표준과 일치합니다.
2. IPsec 다이얼업 VPN 구성에서 IKEv2 VPN 터널을 설정하기 전에 ZTNA 보안 포스처 태그 일치를 적용하는 옵션이 추가되었습니다. 다음 설정이 추가되었습니다.
config vpn ipsec phase1-interface
edit <name>
set ike-version 2
set remote-gw-match {any | ipmask | iprange | geography | ztna}
set remote-gw-ztna-tags <IPv4 ZTNA 포스처 태그>
next
end
set remote-gw-match ztna가 활성화되면 remote-gw-ztna-tags를 구성할 수 있습니다.
3. FortiOS는 이제 사용자가 IPSec 터널링 프로토콜에 대한 자동 선택 메커니즘을 활성화할 수 있는 기능을 제공합니다. IKE는 처음에 UDP 캡슐화를 사용합니다.
UDP 설정이 설정된 임계값 내에서 성공하지 못하면 전송 계층 프로토콜이 TCP로 원활하게 전환되어 최적의 성능과 안정성을 보장합니다.
config vpn ipsec phase1-interface
edit <name>
set ike-version 2
set transport {auto | udp | tcp}
set auto-transport-threshold <integer>
next
end
4. FortiOS는 이제 IPSec 터널 버전 2에 대한 세션 재개를 지원합니다.
이것은 터널을 유휴 상태로 유지하여 사용자 경험을 향상시키고, 클라이언트가 절전 모드에서 재개되거나 중단 후 연결이 복구된 후에도 중단 없는 사용을 허용합니다.
또한 다시 연결할 때 재인증의 필요성을 제거하여 프로세스의 효율성을 높입니다.
5. 웹 모드와 터널 모드에서만 사용되는 HTTP 메시지를 제한하고 검증하여 SSL VPN 보안을 강화했습니다.
ZTNA
1.ZTNA 서버 객체 내의 서비스/서버 매핑 내에서 SaaS 애플리케이션을 지정하기 위한 GUI 지원이 추가되었습니다.
이 향상을 통해 사용자는 서비스 유형 SaaS로 ZTNA 서버를 보다 직관적이고 효율적으로 생성하고 관리할 수 있어 보다 사용자 친화적인 경험을 제공합니다.