FortiManager
Special Notices
1. 로그 삽입 중단(업그레이드 시)
FortiManager를 버전 7.4.0/7.4.1에서 7.6.0으로 직접 업그레이드할 경우, 로그 삽입이 중단될 수 있습니다. 이 문제는 FortiManager에서 FortiAnalyzer 기능이 활성화된 경우에만 발생합니다. 이 문제를 피하려면 7.4.2 또는 7.4.3 같은 나중의 7.4 버전으로 업그레이드한 후 7.6.0으로 업그레이드하는 것이 좋습니다.
2. 쉘 접근 권한 제거
FortiManager 7.6.0부터 쉘 접근 권한이 제거되었습니다. 이에 따라 쉘 접근을 활성화하는 CLI 변수와 쉘에 접근하는 CLI 명령어가 제거되었습니다.
3. 백업 모드 ADOM에 대한 fcp-cfg-service 활성화
Backup Mode ADOM의 FortiGate에서 구성 백업을 수행할 때 FortiManager에서 "fcp-cfg-service"를 활성화해야 합니다.
4. FortiSOAR MEA 라이선스 활성화 필요
이전 버전에서는 FortiSOAR MEA가 활성화될 때 자동으로 체험 라이선스가 활성화되었습니다. FortiManager 7.6.0부터는 체험 라이선스를 직접 활성화하거나 라이선스를 업로드해야 합니다.
5. ADOM 업그레이드
7.4 버전의 ADOM에서 7.6으로 이동하기 위한 업그레이드 옵션이 없습니다. 7.6을 실행하는 FortiGate 장치를 관리하려면 장치를 7.6 ADOM에 추가해야 합니다.
6. 시스템 템플릿에 새 필드 추가
FortiManager 7.4.3부터 시스템 템플릿에 Hostname, Timezone, gui-device-latitude 및 gui-device-longitude 필드가 추가되었습니다. 이전에 생성된 시스템 템플릿은 업그레이드 후 이러한 필드를 지정하도록 재구성해야 합니다.
7. FortiGate 연결을 위한 사용자 정의 인증서 이름 확인
FortiManager 7.4.3에서는 FortiGate 관리자에 의해 업로드된 사용자 정의 인증서의 CN 또는 SAN을 확인하는 새로운 검증 기능이 도입되었습니다. 업그레이드 후 FortiManager는 FortiGate 인증서에 일치하는 일련번호가 포함되지 않으면 터널 연결이 실패할 수 있습니다.
8. SSO 사용자에 대한 추가 구성 필요
FortiManager 7.4.3부터 와일드카드 SSO 사용자로 선언된 FortiManager 사용자에 대해 추가 구성이 필요합니다.
9. IPSEC VPN CA 인증서 재발급 필요
FortiManager가 7.4.2로 업그레이드되면 새 CA <ADOMName>_CA3 인증서가 생성됩니다. 이로 인해 IPSEC VPN 인증서가 재키되고 인증 실패가 발생할 수 있습니다.
10. FortiGuard 웹 필터링 카테고리 v10 업데이트
Fortinet은 웹 필터링 카테고리를 v10으로 업데이트했습니다. 새 카테고리에는 AI 채팅 및 암호화폐 웹 사이트에 대한 두 가지 새로운 URL 카테고리가 포함됩니다.
11. FortiGuard에 FortiManager 7.2.3 및 이후 펌웨어가 설치되어 있습니다.
FortiManager 7.2.1부터 설치 마법사가 실행되어 사용자에게 다양한 구성 단계와 FortiCare 등록을 묻습니다.
실행 중에 FortiManager 장치는 FortiGuard와 통신하여 현재 FortiGuard에서 사용할 수 있는 FortiManager 펌웨어 이미지 목록(이전 및 최신)을 얻으려고 시도합니다.
FortiManager 7.2.2의 경우 GUI의 버그로 인해 마법사가 완료되지 않고 사용자가 FortiManager 장치에 액세스할 수 없습니다.
이 문제는 7.2.3 이상에서 수정되었으며 로그인 시 설치 마법사를 우회하는 CLI 명령이 추가되었습니다.
config system admin setting
set firmware-upgrade-check disable
end
Fortinet은 GUI 버그를 해결하기 위해 FortiManager 7.2.3 및 이후 버전의 펌웨어를 FortiGuard에 업로드하지 않았지만, Fortinet 지원 웹사이트에서 해당 펌웨어를 다운로드할 수 있습니다.
12. 구성 백업에는 비밀번호가 필요합니다.
FortiManager 7.4.2부터 구성 백업 파일은 자동으로 암호화되고 비밀번호를 설정해야 합니다.
이전 버전에서는 암호화와 비밀번호가 선택 사항이었습니다.
자세한 내용은 FortiManager 관리 가이드를 참조하세요.
13. FortiManager-400E 지원
FortiManager 7.4.2 이상은 FortiManager-400E 장치를 지원하지 않습니다.
FortiManager 7.4.2는 라이브러리의 알려진 취약점을 해결하기 위해 OpenSSL 라이브러리를 업그레이드했습니다.
그 결과 FortiManager-400E 장치와 Fortinet에서 호스팅하는 Google Map 서버 간에 설정된 SSL 연결은 SHA2(2048) 공개 키 길이를 사용합니다.
SSL 연결을 설정하는 동안 사용되는 BIOS에 저장된 인증서에는 SHA1 공개 키 길이가 포함되어 있어 연결 설정이 실패합니다.
다음 명령을 실행하면 키 길이가 표시됩니다.
FMG400E # conf sys certificate local
(local)# ed Fortinet_Local
(Fortinet_Local)# get
name : Fortinet_Local
password : *
comment : Default local certificate
private-key :
certificate :
Subject: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = FortiManager, CN
= FL3K5E3M15000074, emailAddress = support@fortinet.com
Issuer: C = US, ST = California, L = Sunnyvale, O = Fortinet, OU = Certificate
Authority, CN = support, emailAddress = support@fortinet.com
Valid from: 2015-03-06 16:22:10 GMT
Valid to: 2038-01-19 03:14:07 GMT
Fingerprint: FC:D0:0C:8D:DC:57:B6:16:58:DF:90:22:77:6F:2C:1B
Public key: rsaEncryption (1024 bits)
Signature: sha1WithRSAEncryption
Root CA: No
Version: 3
Serial Num:
1e:07:7a
Extension 1: X509v3 Basic Constraints:
CA:FALSE
...
(Fortinet_Local)#
14. Xen에서 FortiManager 배포를 위해 직렬 콘솔이 변경되었습니다.
FortiManager 7.4.1부터 Xen 배포를 위한 시리얼 콘솔이 hvc0(Xen 전용)에서 ttyS0(표준)으로 변경되었습니다.
15. PV 모드의 OpenXen은 FortiManager 7.4.1에서 지원되지 않습니다.
FortiManager 7.4.1부터 커널과 rootfs가 암호화됩니다. PV 모드의 OpenXen은 커널과 rootfs를 압축 해제하려고 하지만 실패합니다.
따라서 FortiManager 7.4.1을 배포하거나 업그레이드할 때 PV 모드의 OpenXen을 사용할 수 없습니다.
FortiManager 7.4.1의 OpenXen에서는 HVM(하드웨어 가상 머신) 모드만 지원됩니다.
16. 정책을 복사할 때 권한 확인을 활성화하는 옵션입니다.
7.4.0부터 CLI에 새로운 명령이 추가되었습니다.
config system global
set no-copy-permission-check {enable | disable}
end
기본적으로 이 설정은 비활성화로 설정되어 있습니다.
활성화로 설정하면 사용자에게 권한이 없는 경우 글로벌 장치 개체를 변경하지 못하도록 정책을 복사할 때 확인이 수행됩니다.
17. 정책에 대한 설치 열입니다.
버전 7.2.3 이전에는 정책 블록의 정책에 대한 '설치' 열이 효과가 없었습니다.
그러나 버전 7.2.3부터 '설치' 열이 작동하며 정책의 동작 및 설치 프로세스에 상당한 영향을 미칩니다.
정책 블록의 정책에 '설치'를 사용하는 것은 권장되지 않는다는 점에 유의하는 것이 중요합니다.
필요한 경우 이 설정은 스크립트 또는 JSON API를 통해서만 구성할 수 있습니다.
18. FortiManager 메타 필드가 변경되었습니다.
7.2.0부터 FortiManager는 정책 개체 메타데이터 변수를 지원합니다.
FortiManager 7.0에서 7.2.0 이상으로 업그레이드할 때 FortiManager는 장치별 매핑 구성이 감지된 시스템 설정에서 이전에 구성된 메타 필드에 대한 ADOM 수준 메타데이터 변수 정책 개체를 자동으로 생성합니다.
CLI 템플릿과 같이 메타 필드를 사용하는 개체는 자동으로 업데이트되어
새로운 메타데이터 변수 정책 개체를 사용합니다.
시스템 설정의 메타 필드는 구성에 대한 주석/태그로 계속 사용할 수 있습니다.
자세한 내용은 스크립트, 템플릿 및 모델 장치에서 일반적으로 사용되는 ADOM 수준 메타 변수를 참조하세요.
19. 정책 블록이 사용되는 경우 정책에서 보기 모드가 비활성화됩니다.
정책 블록이 정책 패키지에 추가되면 View Mode 옵션을 더 이상 사용할 수 없으며, 표의 정책을 Interface Pair View로 정렬할 수 없습니다.
이는 정책 블록에 일반적으로 여러 인터페이스가 있는 정책이 포함되어 있기 때문에 발생하지만, 정책 블록이 인터페이스 쌍을 존중하더라도 View Mode는 여전히 비활성화됩니다.
20. 가상 와이어 쌍 재구성(VWP)
관리되는 FortiGate에 가상 와이어 쌍(VWP)이 설치되고 장치 데이터베이스에 이미 구성된 VWP가 있는 경우 ADOM 데이터베이스와 장치 데이터베이스 간에 충돌이 발생할 수 있습니다.
기존 VWP가 재구성되거나 교체된 경우 발생할 수 있습니다.
VWP를 설치하기 전에 먼저 장치 데이터베이스에서 이전 VWP를 제거해야 합니다. 그렇지 않으면 설치 중에 정책 및 개체 검증 오류가 발생할 수 있습니다.
장치 관리자 > 장치 및 그룹으로 이동하여 관리되는 장치를 선택하고 시스템 > 인터페이스에서 VWP를 제거하면 장치 데이터베이스에서 VWP를 제거할 수 있습니다.
21. Citrix XenServer 기본 한도 및 업그레이드
Citrix XenServer는 기본적으로 램디스크를 128M으로 제한합니다. 그러나 FMG-VM64-XEN 이미지는 128M보다 큽니다.
FortiManager 6.4로 업데이트하기 전에 Citrix XenServer에서 램디스크 설정의 크기를 늘리십시오.
램디스크 설정의 크기를 늘리려면:
1. Citrix XenServer에서 다음 명령을 실행합니다.
xenstore-write /mh/limits/pv-ramdisk-max-size 536,870,912
2. xenstore-ls를 실행하여 설정이 적용되는지 확인합니다.
-----------------------
limits = ""
pv-kernel-max-size = "33554432"
pv-ramdisk-max-size = "536,870,912"
boot-time = ""
---------------------------
3. /run/xen/pygrub에 남아 있는 보류 중인 파일을 제거합니다.
22. 여러 단계에 걸친 펌웨어 업그레이드
FortiManager를 사용하여 여러 단계의 펌웨어 업그레이드를 푸시하기 전에 업그레이드 경로가 지원 사이트에 설명된 경로와 일치하는지 확인하십시오. 경로를 확인하려면 다음을 실행하십시오.
dia fwmanager show-dev-upgrade-path
또는 한 번에 한 펌웨어 단계를 푸시할 수 있습니다.
23. AMD CPU에서 실행되는 Hyper-V FortiManager-VM
AMD CPU가 있는 PC에서 실행되는 Hyper-V FMG-VM은 커널 패닉을 경험할 수 있습니다. Fortinet은 Intel 기반 PC에서 VM을 실행할 것을 권장합니다.