Special notices
1. IPsec phase 1 interface type cannot be changed after it is configured
FortiOS 7.2.0 및 이후 버전에서는 IPsec 단계 1 인터페이스 유형을 구성 후 변경할 수 없습니다. 이는 트래픽을 전달하기 위해 IPsec 터널과 경로를 일치시키는 데 사용되는 터널 ID 매개 변수(tun_id) 때문입니다. IPsec 단계 1 인터페이스 유형을 변경해야 하는 경우 새 인터페이스를 구성해야 합니다.
2. IP pools and VIPs are now considered local addresses
FortiOS 7.2.6 및 이후 버전에서는 IP 풀과 VIP로 사용되는 모든 IP 주소가 이러한 외부 IP 주소에 대한 ARP 요청에 응답하도록 설정된 경우(기본적으로 set arp-reply enable) 로컬 IP 주소로 간주됩니다. 이러한 경우 FortiGate는 해당 IP 주소의 목적지로 간주되며, 애플리케이션 계층에서 응답 트래픽을 받을 수 있습니다. 이전 FortiOS 7.2.0~7.2.5 버전에서는 그렇지 않았습니다. FortiOS의 IP 풀 및 VIP 동작 변경 내역에 대한 자세한 내용 및 관련 FortiOS 버전에 대한 문제 및 해결 방법에 대해서는 기술 팁을 참조하십시오
3. FortiGate 6000 and 7000 incompatibilities and limitations See the following links for information about FortiGate 6000 and 7000 limitations and incompatibiliti
4. Hyperscale incompatibilities and limitations
FortiOS 7.2.9 기능과 관련된 제한 사항 및 호환성 문제에 대한 자세한 내용은 하이퍼스케일 방화벽 가이드에서 확인할 수 있습니다. 하이퍼스케일 방화벽 가이드
5. Remove support for SHA-1 certificate used for web management interface (GUI)
FortiOS 7.2.5부터 사용자는 웹 관리 인터페이스에서 내장된 Fortinet_GUI_Server 인증서나 SHA-256 이상의 인증서를 사용해야 합니다. 예를 들어:
config system global
set admin-server-cert Fortinet_GUI_Server
end
6. SMB drive mapping with ZTNA access proxy
FortiOS 7.2.5 및 이후 버전에서는 TCP 포워딩을 사용하는 액세스 프록시로 구성된 ZTNA를 통해 Windows PC에서 SMB 드라이브 매핑을 수행한 경우, PC가 재부팅된 후 액세스 프록시가 FQDN으로 구성된 경우 SMB 드라이브에 접근할 수 없습니다. SMB 트래픽을 위해 IP로 구성된 경우에는 동일한 문제가 발생하지 않습니다.
이 문제를 해결하는 한 가지 방법은 Windows 자격 증명 관리자에 도메인\사용자 이름 형식으로 자격 증명을 입력하는 것입니다.
또 다른 방법은 KDC 프록시를 활용하여 원격 사용자에게 TGT(케르베로스) 티켓을 발급하는 것입니다. 이 방법을 통해 자격 증명 관리자에 대한 응답이 더 이상 필요하지 않으며, 사용자가 DC에 대해 인증됩니다. 자세한 내용은 ZTNA 액세스 프록시와 KDC를 통한 공유 드라이브 액세스를 참조하십시오.
7. Console error message when FortiGate 40xF boots
FortiOS 7.2.5 및 이후 버전에서 BIOS 버전 06000100을 사용하는 FortiGate 400F 및 401F 장치가 부팅될 때 콘솔에 오류 메시지가 표시됩니다.
콘솔에 "Write I2C bus:3 addr:0xe2 reg:0x00 data:0x00 ret:-121." 메시지가 표시되며, FortiGate는 트랜시버 정보를 가져올 수 없습니다.
이 문제는 BIOS 버전 06000101에서 수정되었습니다.
8. FortiGate models with 2 GB RAM cannot be a Security Fabric root
Security Fabric 토폴로지는 FortiGate 루트 장치와 트리의 중간 또는 가장 낮은 부분에 있는 하위 장치로 구성된 트리 토폴로지입니다. 2GB RAM을 가진 FortiGate 모델의 메모리 사용량을 줄이기 위한 개선 사항의 일환으로, 이 버전의 FortiOS에서는 이러한 모델이 Security Fabric 토폴로지의 루트 또는 중간 부분이 될 수 없습니다. 따라서 2GB RAM을 가진 FortiGate 모델은 Security Fabric의 하위 장치나 독립형 장치로만 사용할 수 있습니다.
영향을 받는 모델은 FortiGate 40F, 60E, 60F, 80E, 90E 시리즈 장치 및 그 변형 모델입니다.
2GB RAM을 가진 FortiGate 모델이 FortiOS 7.4.2 이상을 실행하는 경우 Security Fabric 루트로 사용할 수 있습니다. 자세한 내용은 2GB RAM을 가진 FortiGate 모델이 Security Fabric 루트가 될 수 있음을 참조하십시오.
9. FortiGuard Web Filtering Category v10 update
FortiGuard v10.0에서는 여러 새로운 카테고리가 추가되었고 기존의 카테고리가 세분화되거나 병합되었습니다. 웹 필터링 정책 및 프로파일을 관리하는 관리자는 v10.0 카테고리 변경 사항을 검토하고 필요에 따라 설정을 조정해야 합니다.
업데이트에 대한 자세한 내용은 FortiGuard 웹 필터링 v10.0 가이드를 참조하십시오.
10. FortiAP-W2 models may experience bootup failure during federated upgrade process if they are powered by a managed FortiSwitch's PoE port
FortiAP-W2 장치가 FortiGate 또는 FortiSwitch의 PoE 포트에서만 전원을 공급받는 경우, 페더레이션 업그레이드(federated upgrade) 기능을 비활성화하십시오. 페더레이션 업그레이드 기능은 관리되는 FortiSwitch 및 FortiAP 장치의 업그레이드를 거의 동시에 시작합니다. 일부 FortiAP-W2 장치는 FortiSwitch 장치보다 업그레이드에 더 오랜 시간이 걸립니다. FortiSwitch가 업그레이드를 완료하면 재부팅을 하게 되는데, 이 때 FortiAP 장치에 전원을 공급하는 PoE가 중단될 수 있습니다. 만약 FortiAP 장치가 업그레이드 중에 전원이 중단되면, 부팅 실패가 발생할 수 있습니다.
수동으로 페더레이션 업그레이드를 트리거할 경우 이 문제가 발생할 수 있습니다. 7.2.8 버전부터는 자동 펌웨어 업그레이드 시 FortiSwitch 및 FortiAP의 업그레이드를 더 이상 트리거하지 않습니다.
페더레이션 업그레이드에 대한 자세한 내용은 "Upgrading Fabric or managed devices"를 참조하십시오.
11. Remote access with write rights through FortiGate Cloud
이제 FortiGate Cloud를 통한 읽기 및 쓰기 권한이 있는 원격 액세스는 유료 FortiGate Cloud 구독이 필요합니다.
무료 등급의 FortiGate Cloud를 사용하면 FortiGate에 읽기 전용 상태로 여전히 액세스할 수 있습니다. 또는 FortiGate의 웹 인터페이스를 통해 접근할 수 있습니다.
FortiGate Cloud 서비스 구독 라이선스 구매에 대한 자세한 내용은 Fortinet 영업팀 또는 파트너에게 문의하십시오.
자세한 내용은 FortiGate Cloud 기능 비교 및 FortiGate Cloud 관리 가이드 FAQ를 참조하십시오.
12. Hyperscale NP7 hardware limitation
NP7 하드웨어의 제한으로 인해, 오버로드 포트 블록 할당(overload PBA) IP 풀을 포함하는 하이퍼스케일 방화벽 정책에 의해 수락된 CGN 트래픽의 경우, 클라이언트당 하나의 블록만 할당됩니다. 이로 인해 하이퍼스케일 방화벽 정책의 cgn-resource-quota 옵션 설정은 무시됩니다.
이 제한으로 인해 특정 희귀한 상황(예를 들어, 많은 세션이 단일 서버 측 IP 주소와 포트만을 사용하는 경우)에서, 클라이언트의 블록 사용량이 할당량보다 적음에도 불구하고 포트 할당이 실패할 수 있습니다. 이러한 경우, 클라이언트가 다른 서버나 포트를 향한 트래픽을 보유하고 있다면 추가 포트 할당이 성공할 수 있습니다. 또한, 이 문제를 해결하기 위해 IP 풀 블록 크기(cgn-block-size)를 늘리는 방법도 사용할 수 있습니다.
상세한 내용은 첨부파일을 참고하세요