1. 하이퍼스케일 비호환성 및 제한 사항
FortiOS 7.4.5 기능과 관련된 제한 사항 및 비호환성 목록은 하이퍼스케일 방화벽 가이드의 하이퍼스케일 방화벽 비호환성 및 제한 사항에서 확인할 수 있습니다.
2. FortiGate 6000 및 7000 비호환성 및 제한 사항
FortiOS 7.4.5 기능과 관련된 FortiGate 6000 및 7000의 제한 사항 및 비호환성에 대한 정보는 아래 링크를 참조하세요.
3. OCVPN 지원 제거
IPsec 기반 OCVPN 서비스는 FortiOS 7.4.0부터 중단되었으며, 해당 서비스의 라이선스는 더 이상 구매할 수 없습니다. OCVPN에 대한 GUI, CLI 및 라이선스 확인 지원이 FortiOS에서 제거되었습니다. 업그레이드 후에도 OCVPN 서비스에 의해 생성된 모든 IPsec 1단계 및 2단계 구성, 방화벽 정책, 라우팅 구성은 그대로 유지됩니다. OCVPN의 대안으로는 FortiOS 7.2.4 이후 버전의 Fabric Overlay Orchestrator와 FortiManager 7.2.0 이후 버전의 SD-WAN 오버레이 템플릿을 사용할 수 있습니다.
4. 이전 FortiAP 모델에 대한 WTP 프로필 제거
FortiOS 7.4.0 및 이후 버전에서 FortiAP B, C, D 시리즈 모델과 FortiAP-S 모델에 대한 WTP 프로필 지원이 제거되었습니다. 이러한 모델들은 더 이상 FortiGate 무선 컨트롤러에서 관리하거나 구성할 수 없습니다. 해당 모델 중 하나가 FortiGate를 검색하려고 하면, FortiGate의 이벤트 로그에 해당 무선 컨트롤러가 지원되지 않아 관리할 수 없다는 메시지가 기록됩니다.
5. IP 풀과 VIP가 이제 로컬 주소로 간주됨
FortiOS 7.4.1 및 이후 버전에서는 IP 풀과 VIP로 사용되는 모든 IP 주소가, 해당 외부 IP 주소에서 ARP 요청에 대한 응답이 활성화된 경우(기본값: set arp-reply enable
), 로컬 IP 주소로 간주됩니다. 이러한 경우 FortiGate는 해당 IP 주소의 목적지로 간주되며, 애플리케이션 계층에서 응답 트래픽을 수신할 수 있습니다.
이전 FortiOS 7.4.0에서는 이러한 동작이 적용되지 않았습니다. IP 풀과 VIP의 동작 변경 내역, 해당 FortiOS 버전에서 발생한 문제 및 해결 방법에 대한 자세한 내용은 기술 팁: FortiOS 6.4, 7.0, 7.2, 7.4의 IP 풀 및 가상 IP 동작 변경 사항을 참조하세요.
6. 구성 가능한 DDNS 항목 수
FortiOS 7.4.0부터 구성할 수 있는 DDNS 항목의 수가 테이블 크기에 따라 제한됩니다. 제한은 각 모델에 따라 다르며, 엔트리 레벨 모델은 16개, 미드 레인지 모델은 32개, 하이엔드 모델은 64개의 DDNS 항목을 지원합니다.
FortiOS 7.4.0 또는 이후 버전으로 업그레이드한 후, 사용 중인 FortiGate 모델의 한도를 초과하는 이미 구성된 DDNS 항목은 삭제됩니다. 예를 들어, 사용자가 7.4.0으로 업그레이드하기 전에 20개의 DDNS 항목을 설정해 놓고 엔트리 레벨 FortiGate 모델을 사용하는 경우, 업그레이드 후 마지막 4개의 DDNS 항목이 삭제됩니다.
사용 중인 FortiGate 모델의 지원 한도를 초과하는 DDNS 항목 수가 있는 경우, 사용자는 더 높은 DDNS 항목 수를 지원하는 FortiGate 모델로 업그레이드할 수 있는 옵션이 있습니다.
7. 2 GB RAM이 있는 FortiGate 모델은 Security Fabric 루트가 될 수 있음
Security Fabric 토폴로지는 FortiGate 루트 장치와 중간 계층의 하위 장치 또는 가장 낮은 지점에 있는 하위(리프) 장치로 구성된 트리 형태의 토폴로지입니다.
FortiGate 모델에서 메모리 사용량을 줄이기 위한 개선의 일환으로, FortiOS 7.4.2 및 이후 버전에서는 2 GB RAM을 가진 모델이 Fabric 루트로 작동할 때 최대 5개의 장치를 인증할 수 있습니다.
영향을 받는 모델은 FortiGate 40F, 60E, 60F, 80E 및 90E 시리즈 장치 및 그 변형입니다. FortiGate 모델의 RAM이 2 GB인지 확인하려면 CLI에서 diagnose hardware sysinfo conserve
를 입력하고 총 RAM 값이 2000 MB(1000 MB = 1 GB) 미만인지 확인하세요.
8. prof_admin VDOM 관리자가 VDOM 구성을 복원하고 FortiGate를 재부팅한 후 admin 및 super_admin 관리자는 로그인할 수 없음
prof_admin 프로필을 사용하는 VDOM 관리자가 VDOM 구성을 복원한 후 FortiGate를 재부팅하면, super_admin 프로필을 사용하는 관리자는 (기본 admin 관리자 포함) FortiGate에 로그인할 수 없습니다.
따라서 FortiOS 7.4.1에서는 prof_admin VDOM 관리자가 VDOM 구성을 복원해서는 안 됩니다. (FortiOS 7.4.2 및 이후 버전은 영향을 받지 않습니다.)
우회 방법:
1. prof_admin VDOM 관리자가 이미 VDOM 구성을 복원한 경우, FortiGate를 재부팅하지 마세요. 대신, super_admin 관리자(예: 기본 admin)로 로그인하여 전체 구성을 백업하고 전체 구성을 복원하세요. 전체 구성 복원 및 재부팅 후, super_admin 관리자들은 FortiGate에 계속 로그인할 수 있습니다.
2. VDOM 구성을 복원하고 FortiGate를 재부팅한 후 super_admin 접근 권한을 복구하려면, 장치를 전원 껐다 켜고 콘솔 접근을 통해 백업 파티션에서 FortiGate를 부팅하세요.
#이 우회 방법을 수행한 후에도, prof_admin VDOM 관리자가 백업 및 복원을 다시 수행하면 FortiGate는 여전히 이 문제에 취약합니다. 이 문제를 완전히 해결하려면 해당 문제가 수정된 FortiOS 펌웨어 업그레이드가 필요합니다.
9. ZTNA 액세스 프록시를 통한 SMB 드라이브 매핑
FortiOS 7.4.1 및 이후 버전에서, FQDN으로 TCP 포워딩이 구성된 ZTNA 액세스 프록시를 통해 Windows PC에서 SMB 드라이브 매핑을 하면, PC가 재부팅된 후 해당 드라이브에 접근할 수 없습니다. SMB 트래픽에 대해 IP로 구성된 경우에는 같은 문제가 발생하지 않습니다.
이 문제를 해결하는 한 가지 방법은 Windows 자격 증명 관리자에 도메인\사용자 이름 형식으로 자격 증명을 입력하는 것입니다.
또 다른 방법은 KDC 프록시를 활용하여 원격 사용자에게 TGT(케르베로스) 티켓을 발급하는 것입니다. 공유 드라이브에 접근하기 위한 ZTNA 액세스 프록시와 KDC에 대한 자세한 내용은 해당 문서를 참조하세요. 이렇게 하면 더 이상 자격 증명 관리자에 응답이 없으며, 사용자는 도메인 컨트롤러에 대해 인증됩니다.
10. FortiGate Cloud를 통한 원격 접근 권한
FortiGate Cloud를 통해 읽기 및 쓰기 권한으로 원격 접근하려면 이제 유료 FortiGate Cloud 구독이 필요합니다. 그러나 FortiGate는 무료 요금제를 통해 읽기 전용 상태로 여전히 접근할 수 있습니다. 자세한 내용은 FortiGate Cloud 기능 비교를 참조하세요
11. CLI 시스템 권한
FortiOS 7.4.2부터 CLI 진단 명령어(cli-diagnose)의 사용이 기본적으로 비활성화되며, super_admin 프로필 사용자만 사용할 수 있습니다. 이를 통해 사용자는 CLI 명령어에 대해 보다 세분화된 제어를 할 수 있습니다. 자세한 내용은 CLI 시스템 권한을 참조하세요.
사용자가 FortiOS 7.4.2 또는 이후 버전으로 업그레이드할 경우, 시스템 진단이 FortiOS 7.4.1 또는 이전 버전에서 활성화되었는지 비활성화되었는지와 관계없이 CLI 옵션에 대한 다음 설정이 적용됩니다.
업그레이드 후 CLI 진단 명령어 실행 권한을 활성화하려면 다음 명령을 입력하세요:
plaintext코드 복사config system accprofile
edit <name>
set cli-diagnose enable
next
end
여기서 <name>
은 권한을 변경할 액세스 프로필의 이름입니다.
많은 진단 명령어는 특권 접근을 요구합니다. 이로 인해 이러한 명령어를 사용할 경우 의도치 않게 예상치 못한 접근 권한이 부여되거나 심각한 문제가 발생할 수 있으므로, 관련된 위험을 이해하는 것이 중요합니다.
12. FortiCare에 등록된 장치에서 사용 가능한 기본 이메일 서버
FortiOS 7.4.5부터 기본 이메일 서버가 notification.fortinet.net에서 fortinetnotifications.com으로 변경되었습니다. 이 기본 서버는 활성 FortiCare 지원 계약이 있는 등록된 장치에서만 사용할 수 있습니다.
모든 서버(사용자 정의 서버 포함)에서 발신 이메일의 답장 필드는 자동으로 DoNotReply@fortinet-notifications.com으로 업데이트됩니다.
13. ECMP 경로를 사용하는 로컬 아웃 트래픽이 서버에 다른 포트 또는 경로를 사용할 수 있음
버전 7.4.1부터 ECMP 경로가 있을 경우, 로컬 아웃 트래픽이 서버에 연결하기 위해 다른 경로 또는 포트를 사용할 수 있습니다. 소스 IP 주소에 민감한 중요한 트래픽의 경우, FortiOS가 거의 모든 로컬 아웃 트래픽에 대해 interface-select-method
명령을 구현했으므로, 트래픽에 대해 인터페이스나 SD-WAN을 지정하는 것이 좋습니다.
다음 명령을 사용하여 설정할 수 있습니다:
plaintext코드 복사config system fortiguard
set interface-select-method specify
set interface "wan1"
14. 하이퍼스케일 NP7 하드웨어 제한 사항
NP7 하드웨어 제한으로 인해, 포트 블록 할당(Overload PBA) IP 풀을 포함한 하이퍼스케일 방화벽 정책에서 CGN 트래픽을 수용할 때 클라이언트당 하나의 블록만 할당됩니다. 하이퍼스케일 방화벽 정책의 cgn-resource-quota
옵션 설정은 무시됩니다.
이 제한으로 인해 특정 드문 상황(예: 다수의 세션을 위해 단일 서버 측 IP 주소와 포트만 사용되는 경우)에서는 클라이언트의 블록 사용량이 할당량보다 적더라도 포트 할당이 실패할 수 있습니다. 이러한 경우, 클라이언트가 다른 서버나 포트로 트래픽을 보내는 경우 추가 포트 할당이 성공할 수 있습니다. 이 문제를 해결하기 위해 IP 풀 블록 크기(cgn-block-size)를 늘리는 것도 가능합니다.
15. RADIUS 취약점
Fortinet은 CVE-2024-3596에 설명된 RADIUS 취약점을 해결했습니다. 이로 인해 방화벽 인증, FortiGate 관리 웹 UI 인증, WiFi 인증이 사용 환경의 RADIUS 서버 소프트웨어 기능에 따라 영향을 받을 수 있습니다. RFC 3579는 영향을 받는 RADIUS 속성인 message-authenticator
에 대한 정보를 포함하고 있습니다.
CVE-2024-3596에서 설명된 RADIUS 취약점으로부터 보호하기 위해 FortiGate는 RADIUS 클라이언트로서 다음을 수행합니다:
message-authenticator
의 유효성을 강제로 검증합니다.- 인식되지 않는
proxy-state
속성을 가진 RADIUS 응답을 거부합니다.
message-authenticator
검사는 UDP/TCP에서 의무화되지만, TLS를 사용할 때는 의무가 아닙니다. 사용자는 RADIUS 서버 구성에서 RADSEC 사용을 권장합니다. 자세한 내용은 RADSEC 클라이언트 구성을 참조하세요.
FortiGate가 UDP/TCP 모드에서 RADSEC 없이 사용되는 경우, RADIUS 서버는 RADIUS 메시지에서 message-authenticator
속성이 사용되도록 패치되어야 합니다.
영향을 받는 제품 통합:
- FortiAuthenticator 버전 6.6.1 및 이전 버전.
해결 방법:
- FortiAuthenticator를 버전 6.6.2로 업그레이드하고 업그레이드 지침을 따르세요.