FortiManager
Special Notices
이 섹션은 관리자가 FortiManager 7.2.7을 사용할 때 주의해야 할 몇 가지 운영 변경 사항을 강조합니다.
쉘 접근 권한 제거
FortiManager 7.2.6부터 쉘 접근 권한이 제거되었습니다.
이전에 쉘 접근을 활성화하기 위해 사용되던 다음 CLI 변수들이 제거되었습니다:
config system admin settingset shell-access {enable | disable}set shell-password <passwd>
쉘 접근이 활성화되었을 때 쉘에 접근하기 위해 사용되던 다음 CLI 명령어가 제거되었습니다:
execute shell
백업 모드 ADOM을 위한 fcp-cfg-service 활성화
Backup Mode ADOM에서 관리되는 FortiGate의 CLI를 통해 구성 백업을 수행할 때, FortiManager에서 "fcp-cfg-service"를 다음 명령어로 활성화해야 합니다:
bash코드 복사config system global
set fcp-cfg-service enable
end
FortiGate 연결을 위한 사용자 지정 인증서 이름 검증
FortiManager 7.2.5에서는 FortiGate 관리자가 업로드한 사용자 지정 인증서의 CN 또는 SAN에 대한 새로운 검증이 도입되었습니다. 이 사용자 지정 인증서는 FortiGate 장치가 FortiManager에 연결될 때 사용됩니다. FortiGate 및 FortiManager 관리자는 다음 CLI 명령어를 사용하여 사용자 지정 인증서 사용을 구성할 수 있습니다:
FortiGate 관련 CLI:
config system central-managementlocal-cert: FGFM 프로토콜에서 사용될 인증서.ca-cert: FGFM 프로토콜에서 사용될 CA 인증서.
FortiManager 관련 CLI:
config system globalfgfm-ca-cert: 추가 fgfm CA 인증서를 설정.fgfm-cert-exclusive: 로컬 또는 CA 인증서를 독점적으로 사용할지 여부를 설정.fgfm-local-cert: fgfm 로컬 인증서를 설정.
FortiManager 7.2.5로 업그레이드 후, FortiManager는 FortiGate 인증서에 FortiGate 시리얼 번호가 CN 또는 SAN에 포함되어야 한다고 요구합니다. 일치하는 시리얼 번호가 없으면 터널 연결이 실패할 수 있습니다. 터널 연결이 실패하면 관리자는 사용자 지정 인증서를 재발급하여 시리얼 번호를 포함시켜야 합니다.
대안으로, FortiManager 7.2.5에서는 이 검증을 비활성화할 수 있는 새로운 CLI 명령어를 제공합니다. Fortinet은 검증을 활성화 상태로 유지할 것을 권장합니다.
bash코드 복사config system global fgfm-peercert-withoutsn set
fgfm-peercert-withoutsn설정이 비활성화된 상태(기본값)에서는 FortiGate 장치의 인증서에 FortiGate 시리얼 번호가 CN 또는 SAN에 포함되어야 합니다.fgfm-peercert-withoutsn설정이 활성화된 경우, FortiManager는 CN 또는 SAN에 시리얼 번호를 포함하지 않아도 검증을 수행하지 않습니다.
구성 백업 시 암호 필요
FortiManager 7.2.5부터 구성 백업 파일이 자동으로 암호화되며, 암호를 설정해야 합니다. 이전 버전에서는 암호화 및 암호 설정이 선택 사항이었습니다.
자세한 내용은 FortiManager 관리 가이드를 참조하세요.
SSO 사용자에 대한 추가 구성 필요
7.2.5부터는 와일드카드 SSO 사용자로 선언된 FortiManager 사용자에 대해 추가 구성이 필요합니다.
관리자를 와일드카드 SSO 사용자로 구성할 때, SAML IdP에서 ADOM 목록 및/또는 권한 프로파일을 가져오려는 경우, 고급 옵션에서 ext-auth-accprofile-override 및/또는 ext-auth-adom-override 기능을 활성화해야 합니다.
IPSEC VPN CA 인증서는 업그레이드 후 모든 장치에 재발급해야 함
FortiManager를 7.2.5 또는 7.4.2로 업그레이드하면, 문제 해결을 위한 새로운 CA <ADOMName>_CA3 인증서가 생성됩니다. 이 인증서는 다음 정책 푸시 시 FortiGate 장치에 설치됩니다. 따라서 인증서 재키가 필요할 때마다, IPSEC VPN이 인증에 실패하여 재연결할 수 없게 됩니다.
기존 CA <ADOMName>_CA2는 삭제할 수 없습니다. 기존 인증서가 해당 인증서를 검증에 의존하고 있기 때문입니다. 마찬가지로 새로운 CA <ADOMName>_CA3도 문제 해결에 필요하기 때문에 삭제할 수 없습니다. 따라서 이 변경 사항으로 영향을 받는 고객은 FortiManager를 v7.4.2로 업그레이드한 후 다음 해결 방법을 따라야 합니다.
IPSEC VPN 서비스 중단을 방지하기 위해 유지 보수 기간 동안 작업을 수행하는 것이 좋습니다.
해결 방법: 모든 장치에 대해 모든 인증서를 다시 발급한 후, 모든 장치에서 이전 CA <ADOMName>_CA2를 삭제하고 VPN 인증서를 재생성하세요.
FortiManager에서 CA2를 제거하려면, Policy & Objects > Advanced > CA Certificates를 기능 가시성에서 활성화해야 합니다.
Apache 모드가 prefork에서 event로 변경됨
7.2.3 버전 이전에는 기본 "apache-mode"가 "prefork" 모드를 사용했습니다. 그러나 7.2.4 버전부터는 기본 설정이 "event" 모드로 변경되었습니다.
이 변경은 HTTP/2.0 프로토콜을 지원하기 위한 것입니다. HTTP/2.0에서는 HTTP 요청의 최대 동시 실행에 제한이 없으므로, 클라이언트 환경이 제한을 부과할 경우 GUI 성능이 느려질 수 있습니다. HTTP/2는 HTTP/1에 비해 성능이 저하될 수 있으며, 구현이 복잡합니다. 고객이 GUI 속도 저하를 경험할 경우, 다음 명령어를 사용하여 "prefork" 모드로 되돌릴 수 있습니다:
bash코드 복사config system global (global)# set apache-mode prefork
(global)# end
FortiGuard 웹 필터링 카테고리 v10 업데이트
Fortinet은 AI 챗 및 암호화폐 웹사이트에 대한 두 개의 새로운 URL 카테고리를 포함하는 웹 필터링 카테고리를 v10으로 업데이트했습니다. 새로운 카테고리를 사용하려면 Fortinet 제품을 아래 버전 중 하나로 업그레이드해야 합니다.
- FortiManager - 6.0.12, 6.2.9, 6.4.7, 7.0.2, 7.2.0, 7.4.0에서 수정됨.
- FortiOS - 7.2.8 및 7.4.1에서 수정됨.
- FortiClient - Windows 7.2.3, macOS 7.2.3, Linux 7.2.3에서 수정됨.
- FortiClient EMS - 7.2.1에서 수정됨.
- FortiMail - 7.0.7, 7.2.5, 7.4.1에서 수정됨.
- FortiProxy - 7.4.1에서 수정됨.
Install On column for policies
버전 7.2.3 이전에는 정책 블록에서 정책의 '설치 위치(Install-on)' 열이 아무런 효과가 없었습니다. 그러나 버전 7.2.3부터 '설치 위치' 열이 동작하며, 정책의 동작 및 설치 프로세스에 큰 영향을 미치게 되었습니다. 정책 블록에서 '설치 위치'를 사용하는 것은 권장되지 않으며, 필요할 경우 이 설정은 스크립트나 JSON API를 통해서만 구성할 수 있습니다.
FortiGuard의 FortiManager 7.2.3 이상 펌웨어
FortiManager 7.2.1부터 설치 마법사가 실행되어 사용자에게 다양한 구성 단계와 FortiCare 등록을 묻습니다.
실행 중에 FortiManager 장치는 FortiGuard와 통신하여 현재 FortiGuard에서 사용할 수 있는 FortiManager 펌웨어 이미지 목록(이전 및 최신)을 얻으려고 시도합니다.
FortiManager 7.2.2의 경우 GUI의 버그로 인해 마법사가 완료되지 않고 사용자가 FortiManager 장치에 액세스할 수 없습니다.
이 문제는 7.2.3 이상에서 해결되었으며 로그인 시 설치 마법사를 우회하는 CLI 명령이 추가되었습니다.
config system admin setting set firmware-upgrade-check disable end
Fortinet은 GUI 버그를 해결하기 위해 FortiGuard에 FortiManager 7.2.3 이상 펌웨어를 업로드하지 않았지만 Fortinet 지원 웹사이트에서 펌웨어를 다운로드할 수 있습니다.
정책을 복사할 때 권한 검사를 활성화하는 옵션
7.2.3부터 CLI에 새 명령이 추가되었습니다.
config system global
set no-copy-permission-check {enable | disable}
end
기본적으로 이 설정은 비활성화로 설정되어 있습니다. 활성화로 설정하면 사용자에게 권한이 없는 경우 글로벌 장치 개체를 변경하지 못하도록 정책을 복사할 때 검사가 수행됩니다.
GUI에서 관리 확장 기능 가시성
FortiManager 7.2.3부터 관리 확장 기능 창은 docker 상태가 활성화되고 최소 하나의 관리 확장 기능 애플리케이션(MEA)이 활성화되어 다운로드된 경우에만 GUI에서 볼 수 있습니다. MEA 활성화 및 사용에 대한 자세한 내용은 FortiManager 문서 라이브러리의 관리 확장 기능 설명서를 참조하세요.
FortiManager가 PP 가져오기 중에 VPN 관리자 인터페이스에 대한 잘못된 동적 매핑을 생성합니다. 정책이 FortiGates에서 직접 변경된 경우 후속 PP 가져오기에서 VPN 관리자에 대한 잘못된 동적 매핑이 생성됩니다.
이 해결 방법을 적용하기 전에 FortiManager 구성의 새 백업을 만드는 것이 좋습니다.
다음 명령을 수행하여 FortiManager의 구성 데이터베이스를 확인하고 복구합니다.
diagnose cdb check policy-packages <adom>
이 명령을 실행한 후 FortiManager는 vpnmgr 인터페이스의 잘못된 매핑을 제거합니다.
7.2에서 SD-WAN Orchestrator 제거
7.2.0부터 SD-WAN Orchestrator는 더 이상 FortiManager에서 사용할 수 없습니다. 대신 SDWAN 오버레이 템플릿 마법사를 사용하여 SD-WAN 오버레이 네트워크를 구성할 수 있습니다.
자세한 내용은 FortiManager 관리 가이드의 SD-WAN 오버레이 템플릿을 참조하세요.
FortiManager 메타 필드 변경
7.2.0부터 FortiManager는 정책 개체 메타데이터 변수를 지원합니다.
FortiManager 7.0에서 7.2.0 이상으로 업그레이드할 때 FortiManager는 이전에 시스템 설정에서 구성한 메타 필드에 대해 장치별 매핑 구성이 감지된 ADOM 수준 메타데이터 변수 정책 개체를 자동으로 생성합니다.
CLI 템플릿과 같이 메타 필드를 사용하는 개체는 새 메타데이터 변수 정책 개체를 사용하도록 자동으로 업데이트됩니다.
시스템 설정의 메타 필드는 구성에 대한 주석/태그로 계속 사용할 수 있습니다.
자세한 내용은 스크립트, 템플릿 및 모델 장치에서 일반적으로 사용되는 ADOM 수준 메타 변수를 참조하세요.
설치 마법사는 FortiCare 등록을 요구합니다.
FortiManager 7.2.1부터 FortiManager 설치 마법사는 FortiManager 어플라이언스 또는 VM에 액세스하기 전에 FortiCare에 등록 단계를 완료해야 합니다.
이전에는 이 단계가 선택 사항이었습니다.
폐쇄된 환경에서 작동하는 FortiManager 장치의 경우 고객 서비스에 문의하여 자격 파일을 받은 다음 CLI를 사용하여 자격 파일을 FortiManager에 로드합니다.
ADOM 수준 개체로서의 액세스 목록
7.2.0부터 FortiManager는 FortiGate의 ADOM 수준 개체 구성으로 IPv4 및 IPv6 액세스 목록 방화벽 정책을 지원합니다. 이전에는 이러한 액세스 목록이 장치 데이터베이스/FortiGate 구성에 의해 제어되었습니다.
이전 릴리스에서 7.2.0으로 업그레이드한 후 IPv4 또는 IPv6 액세스 목록 방화벽 정책(config firewall acl/acl6)이 있는 FortiGate 장치에 변경 사항을 설치하면 FortiManager가 이전에 액세스 목록이 포함되었을 수 있는 장치 데이터베이스/FortiGate 구성을 제거합니다.
이를 해결하기 위해 관리자는 FortiGate 정책 구성을 ADOM의 정책 패키지로 다시 가져오거나 원래 패키지에서 IPv4/IPv6 액세스 목록 방화벽 정책을 다시 만들 수 있습니다.
정책 블록을 사용할 때 정책에서 보기 모드가 비활성화됨
정책 블록이 정책 패키지에 추가되면 보기 모드 옵션을 더 이상 사용할 수 없으며, 테이블의 정책을 인터페이스 쌍 보기로 정렬할 수 없습니다. 이는 정책 블록에 일반적으로 여러 인터페이스가 있는 정책이 포함되어 있기 때문에 발생하지만, 정책 블록이 인터페이스 쌍을 존중하더라도 보기 모드는 여전히 비활성화됩니다.
가상 와이어 쌍(VWP) 재구성
관리되는 FortiGate에 가상 와이어 쌍(VWP)을 설치하면 장치 데이터베이스에 이미 구성된 VWP가 있는 경우 ADOM 데이터베이스와 장치 데이터베이스 간에 충돌이 발생할 수 있습니다. 이는 기존 VWP가 재구성되거나 교체된 경우 발생할 수 있습니다.
VWP를 설치하기 전에 먼저 장치 데이터베이스에서 이전 VWP를 제거해야 합니다. 그렇지 않으면 설치 중에 정책 및 개체 검증 오류가 발생할 수 있습니다. 장치 관리자 > 장치 및 그룹으로 이동하여 관리되는 장치를 선택하고 시스템 > 인터페이스에서 VWP를 제거하면 장치 데이터베이스에서 VWP를 제거할 수 있습니다.
Fortinet 검증된 게시자 docker 이미지
FortiManager docker 이미지는 dockerhub의 Fortinet 검증된 게시자 공개 저장소에서 다운로드할 수 있습니다.
dockerhub에서 FortiManager 이미지를 다운로드하려면:
1. https://hub.docker.com/에서 dockerhub로 이동합니다.
dockerhub 홈페이지가 표시됩니다.
2. 배너에서 탐색을 클릭합니다.
3. 검색 상자에 Fortinet을 입력하고 Enter를 누릅니다.
fortinet/fortimanager 및 fortinet/fortianalyzer 옵션이 표시됩니다.
4. fortinet/fortimanager를 클릭합니다.
fortinet/fortimanager 페이지가 표시되고 두 개의 탭을 사용할 수 있습니다. 개요 및 태그. 개요 탭은 기본적으로 선택되어 있습니다.
5. 개요 탭에서 docker pull 명령을 복사하여 이미지를 다운로드합니다.
개요 탭의 CLI 명령은 사용 가능한 최신 이미지를 가리킵니다. 태그 탭을 사용하여 사용 가능한 경우 다른 버전에 액세스합니다.
관리되는 장치에 대한 펌웨어 업그레이드 예약
FortiManager 7.0.0부터 펌웨어 템플릿을 사용하여 관리되는 FortiGates에서 펌웨어 업그레이드를 예약해야 합니다. 레거시 방법을 사용하여 FortiManager GUI에서 펌웨어 업그레이드를 시도하면 예약 업그레이드 옵션이 무시되고 FortiGates가 즉시 업그레이드될 수 있습니다.
CLI로 인터페이스 상태 수정
버전 7.0.1부터 인터페이스 상태를 수정하는 CLI가 up/down에서 enable/disable로 변경되었습니다.
예:
config system interface
edit port2
set status <enable/disable>
next
end
7.0으로 업그레이드한 SD-WAN
SD-WAN Template의 설계 변경으로 인해 FortiManager 7.0으로 업그레이드하면 모든 SD-WAN 인터페이스 멤버에 대한 동적 매핑을 유지하지 못할 수 있습니다. 업그레이드 후 누락된 모든 인터페이스 매핑을 재구성하세요.
Citrix XenServer 기본 제한 및 업그레이드
Citrix XenServer는 기본적으로 램디스크를 128M으로 제한합니다. 그러나 FMG-VM64-XEN 이미지는 128M보다 큽니다.
FortiManager 6.4로 업데이트하기 전에 Citrix XenServer에서 램디스크 설정 크기를 늘리세요.
램디스크 설정 크기를 늘리려면:
1. Citrix XenServer에서 다음 명령을 실행합니다.
xenstore-write /mh/limits/pv-ramdisk-max-size 536,870,912
2. xenstore-ls를 실행하여 설정이 적용되는지 확인합니다.
-----------------------
limits = ""
pv-kernel-max-size = "33554432"
pv-ramdisk-max-size = "536,870,912"
boot-time = ""
---------------------------
3. /run/xen/pygrub에 남아 있는 보류 중인 파일을 제거합니다.
다단계 펌웨어 업그레이드
FortiManager를 사용하여 다단계 펌웨어 업그레이드를 푸시하기 전에 업그레이드 경로가 지원 사이트에 설명된 경로와 일치하는지 확인하십시오. 경로를 확인하려면 다음을 실행하십시오.
dia fwmanager show-dev-upgrade-path <장치 이름> <대상 펌웨어>
또는 한 번에 한 펌웨어 단계를 푸시할 수 있습니다.
AMD CPU에서 실행되는 Hyper-V FortiManager-VM
AMD CPU가 있는 PC에서 실행되는 Hyper-V FMG-VM은 커널 패닉을 경험할 수 있습니다. Fortinet은 Intel 기반 PC에서 VM을 실행할 것을 권장합니다.
FortiManager-VM64-AWS의 SSLv3
SSLv3 프로토콜의 알려진 취약성으로 인해 FortiManager-VM64-AWS는 기본적으로 TLSv1만 활성화합니다. 다른 모든 모델은 TLSv1과 SSLv3를 모두 활성화합니다. SSLv3 지원을 비활성화하려면 다음을 실행하십시오.
config system global
set ssl-protocol t1sv1
end
FortiAnalzyer
Special Notices
이 섹션에서는 FortiAnalyzer 버전 7.2.7에서 관리자들이 알아야 할 운영 변경 사항을 강조합니다.
셸 액세스 제거됨
FortiAnalyzer 7.2.6부터 셸 액세스가 제거되었습니다.
다음 CLI 변수가 제거되었으며, 이전에는 셸 액세스를 활성화하는 데 사용되었습니다:
bash코드 복사config system admin setting
set shell-access {enable | disable}
set shell-password <passwd>
다음 CLI 명령이 제거되었으며, 이전에는 셸이 활성화된 경우 접근하는 데 사용되었습니다:
lua코드 복사execute shell
FortiAnalyzer에서 생성된 경고 알림 및 syslog로 전송됨
7.2.6부터, FortiAnalyzer에서 생성된 경고 알림이 syslog로 전송될 때 RFC-5424 형식을 사용하게 됩니다.
구성 백업에 암호 필요
FortiAnalyzer 7.2.5부터 구성 백업 파일이 자동으로 암호화되며 암호를 설정해야 합니다. 이전 버전에서는 암호화 및 암호 설정이 선택적이었습니다.
자세한 내용은 FortiAnalyzer 관리 가이드를 참조하십시오.
SSO 사용자에 대한 추가 구성 필요
7.2.5부터, 와일드카드 SSO 사용자로 선언된 FortiAnalyzer 사용자에게 추가 구성이 필요합니다.
관리자를 와일드카드 SSO 사용자로 구성할 때, SAML IdP에서 ADOM 목록 및/또는 권한 프로필을 가져오려는 의도가 있는 경우, 고급 옵션에서 ext-auth-accprofile-override 및/또는 ext-auth-adom-override 기능을 활성화해야 합니다.
FGT-siem 명령 v7.2.5에서 제거됨
FortiAnalyzer 7.2.5부터 다음 명령이 제거되었습니다:
arduino코드 복사config system sql config ts-index-field edit "FGT-siem"
이 명령은 버그 914320에 대한 수정의 일부로 제거되었습니다. 자세한 내용은 51페이지의 해결된 문제 섹션을 참조하십시오.
Apache 모드가 prefork에서 event로 변경됨
7.2.3 이전 버전에서는 기본 "apache-mode"가 "prefork" 모드를 사용했습니다. 그러나 7.2.4부터 기본 설정이 "event" 모드로 변경됩니다.
이 변경은 HTTP/2.0 프로토콜을 지원하기 위한 것입니다. HTTP/2.0에서는 HTTP 요청의 최대 동시성이 제한되지 않아, 클라이언트 환경이 네트워크나 구현 관련 제한을 가하는 경우 GUI 성능이 느려질 수 있습니다. HTTP/2는 헤드 오브 라인 블로킹과 리소스 우선순위와 같은 문제를 겪을 수 있으며, 암호화된 헤더를 처리하는 서버 푸시 및 중개자는 문제를 더욱 복잡하게 만들 수 있습니다. HTTP/2를 구현하려면 더 많은 계산 자원이 필요하므로 응답 시간이 영향을 받을 수 있습니다. 이러한 복잡성으로 인해 일부 상황에서는 HTTP/1이 HTTP/2보다 성능이 우수할 수 있습니다.
고객이 GUI 성능 저하를 경험하는 경우 다음 명령을 사용하여 "prefork" 모드로 되돌릴 수 있습니다:
sql코드 복사config system global
(global)# set apache-mode prefork (global)# end
FortiGuard에서 FortiAnalyzer 7.2.3 및 이후 펌웨어
FortiAnalyzer 7.2.1부터, 설정 마법사가 실행되어 다양한 구성 단계와 FortiCare 등록을 사용자에게 요청합니다. 실행 중에 FortiAnalyzer 장치는 FortiGuard와 통신하여 FortiAnalyzer 펌웨어 이미지 목록을 확인합니다 - 구버전 및 최신 버전 모두 포함됩니다.
FortiAnalyzer 7.2.2의 경우, GUI에서의 버그로 인해 마법사가 완료되지 않고 사용자가 FortiAnalyzer 장치에 접근하지 못하게 됩니다. 이 문제는 7.2.3 및 이후 버전에서 수정되었으며, 로그인 시 설정 마법사를 우회할 수 있는 CLI 명령이 추가되었습니다:
sql코드 복사config system admin setting
set firmware-upgrade-check disable
end
Fortinet은 GUI 버그를 우회하기 위해 FortiGuard에 FortiAnalyzer 7.2.3 및 이후 펌웨어를 업로드하지 않았지만, 해당 펌웨어는 Fortinet 지원 웹사이트에서 다운로드할 수 있습니다.
GUI에서 관리 확장 기능 가시성
FortiAnalyzer 7.2.3부터, docker 상태가 활성화되고 하나 이상의 관리 확장 응용 프로그램(MEA)이 활성화 및 다운로드된 경우에만 관리 확장 기능 창이 GUI에 표시됩니다. MEA 활성화 및 사용 방법에 대한 자세한 내용은 FortiAnalyzer 문서 라이브러리의 관리 확장 문서를 참조하십시오.
FortiManager 기능 제거됨
FortiAnalyzer 7.2.1 및 이후 버전에서는 FortiManager 기능을 지원하지 않습니다. FortiAnalyzer 7.2.1로 업그레이드하기 전에 FortiManager 기능을 활성화한 경우, 업그레이드 후 FortiManager 기능이 영구적으로 비활성화됩니다.
설정 마법사에서 FortiCare 등록 필수
FortiAnalyzer 7.2.1부터, FortiAnalyzer 설정 마법사는 FortiAnalyzer 장치 또는 VM에 접근하기 전에 FortiCare 등록 단계를 완료해야 합니다. 이전에는 이 단계가 선택 사항이었습니다.
닫힌 환경에서 작동하는 FortiAnalyzer 장치의 경우, 고객 서비스에 문의하여 자격 파일을 받은 다음, CLI를 사용하여 자격 파일을 FortiAnalyzer에 로드하십시오.
FortiManager가 닫힌 환경에서 FortiAnalyzer를 관리하는 경우, FortiManager에 FortiAnalyzer 계약 정보가 포함되어 있으며, FortiAnalyzer를 FortiManager로 포인팅할 수 있습니다.
Fortinet 인증 게시자 도커 이미지
FortiAnalyzer 7.0.1 도커 이미지는 dockerhub의 Fortinet 인증 게시자 공개 리포지토리에서 다운로드할 수 있습니다.
dockerhub에서 FortiAnalyzer 이미지를 다운로드하려면:
- dockerhub에 https://hub.docker.com/로 이동하십시오. dockerhub 홈페이지가 표시됩니다.
- 배너에서 탐색을 클릭합니다.
- 검색 상자에 Fortinet을 입력하고 Enter를 누릅니다.
fortinet/fortimanager 및 fortinet/fortianalyzer 옵션이 표시됩니다. - fortinet/fortianalyzer를 클릭합니다.
fortinet/fortianalyzer 페이지가 표시되고 두 개의 탭이 제공됩니다. 개요 및 태그. 개요 탭은 기본적으로 선택되어 있습니다.
개요 탭에서 docker pull 명령을 복사하고 이를 사용하여 이미지를 다운로드합니다.
개요 탭의 CLI 명령은 사용 가능한 최신 이미지를 가리킵니다. 태그 탭을 사용하여 사용 가능한 경우 다른 버전에 액세스합니다.
하이퍼스케일 방화벽 모드
FortiAnalyzer는 하이퍼스케일 방화벽 모드와 netflow가 활성화된 경우 다음 모델의 로그를 지원하지 않습니다.
l FortiGate-1800F
l FortiGate-1801F
l FortiGate-2600F
l FortiGate-2601F
l FortiGate-4200F
l FortiGate-4201F
l FortiGate-4400F
l FortiGate-4401F
FortiAnalyzer는 표준 FortiGate 로깅이 활성화된 일반 방화벽 모드가 활성화된 경우에만 로그를 지원합니다.
CLI로 인터페이스 상태 수정
버전 7.0.1부터 인터페이스 상태를 수정하는 CLI가 up/down에서 enable/disable로 변경되었습니다.
예:
config system interface
edit port2
set status <enable/disable>
next
end
Citrix XenServer 기본 제한 및 업그레이드
Citrix XenServer는 기본적으로 램디스크를 128M으로 제한합니다. 그러나 FAZ-VM64-XEN 이미지는 128M보다 큽니다.
FortiAnalyzer 6.4로 업데이트하기 전에 Citrix XenServer에서 램디스크 설정의 크기를 늘리세요.
램디스크 설정의 크기를 늘리려면:
1. Citrix XenServer에서 다음 명령을 실행하세요.
xenstore-write /mh/limits/pv-ramdisk-max-size 536,870,912
2. xenstore-ls를 실행하여 설정이 적용되는지 확인하세요.
-----------------------
limits = ""
pv-kernel-max-size = "33554432"
pv-ramdisk-max-size = "536,870,912"
boot-time = ""
---------------------------
3. /run/xen/pygrub에 남아 있는 보류 중인 파일을 제거합니다.
FortiAnalyzer VM 업그레이드에 더 많은 메모리가 필요합니다
FortiAnalyzer VM 유닛을 이전 버전에서 FortiAnalyzer 7.2.2로 업그레이드할 때 메모리 할당으로 인해 업그레이드가 실패할 수 있습니다. FortiAnalyzer 7.2.2부터 FortiAnalyzer VM에는 16GB RAM과 4개의 CPU가 필요합니다.
해결 방법: FortiAnalyzer VM을 FortiAnalyzer 7.2.2로 업그레이드하기 전에 메모리 할당을 16GB RAM으로 변경합니다.
FortiAnalyzer의 최대 ADOM 한도
FortiAnalyzer 하드웨어 장치 및 VM은 최대 ADOM 수에 도달하거나 초과하면 경고를 표시합니다. 플랫폼은 한도를 적용하지 않지만, 더 많은 ADOM을 추가하면 장치의 성능에 영향을 미칠 수 있습니다. 자세한 내용은 54페이지의 부록 A - 지원되는 기본 및 최대 ADOM 수를 참조하세요.
포트 8443 예약됨
포트 8443은 Chromebook용 FortiClient EMS에서 https-로깅을 위해 예약되어 있습니다. Docs Library에서 FortiAnalyzer 7.0 포트 참조도 참조하세요.
AMD CPU에서 실행되는 Hyper-V FortiAnalyzer-VM
AMD CPU가 있는 PC에서 실행되는 Hyper-V FAZ-VM은 커널 패닉을 경험할 수 있습니다. Fortinet은 Intel 기반 PC에서 VM을 실행할 것을 권장합니다.
FortiAnalyzer-VM64-AWS의 SSLv3
SSLv3 프로토콜의 알려진 취약점으로 인해 FortiAnalyzer-VM64-AWS는 기본적으로 TLSv1만 활성화합니다. 다른 모든 모델은 TLSv1과 SSLv3를 모두 활성화합니다. SSLv3 지원을 비활성화하려면 다음을 실행하세요.
config system global
set ssl-protocol t1sv1
end