FortiGate는 세션 기반의 방화벽입니다.

때문에 TCP/IP 기반 통신을 통한 세션을 생성하여 트래픽을 포워딩 합니다.

세션에 맞지 않은 패킷의 인입은 정책 매칭 전 단계에서 Drop 되게 됩니다. 


아래와 같이 PC1과 PC2 사이에 통신 할 수 있는 2개의 길이 있을 때를 가정 해보겠습니다.

TCP 패킷(비대칭 라우팅 비활성화)
시나리오 1: PC1이 PC2와 TCP 연결을 시작합니다.
  1. TCP SYN은 FortiGate에 의해 허용됩니다.
  2. TCP SYN/ACK는 FortiGate를 우회합니다.
  3. TCP ACK는 FortiGate에 의해 차단됩니다.
  4. 이후의 TCP 패킷은 FortiGate에 의해 차단됩니다.
시나리오 2: PC2가 PC1과 TCP 연결을 시작합니다.
  1. TCP SYN은 FortiGate를 우회합니다.
  2. TCP SYN/ACK는 FortiGate에 의해 차단됩니다.
  3. 이후의 TCP 패킷은 FortiGate에 의해 차단됩니다.


icmp 패킷(비대칭 라우팅 비활성화)
시나리오 1: PC1이 PC2에 ping을 보냅니다.
  1. ICMP 요청이 FortiGate를 통과합니다. 세션이 생성됩니다.
  2. ICMP 응답은 FortiGate를 우회하지만 PC1에는 도달합니다. ping은 성공적입니다.
  3. ICMP 요청은 FortiGate를 통과하며 이전 세션과 일치합니다.
  4. ICMP 응답은 FortiGate를 우회하지만 PC1에는 도달합니다. ping은 성공적입니다.
  5. 이후의 ICMP 요청은 FortiGate에 의해 허용됩니다.
시나리오 2: PC2가 PC1에 ping을 보냅니다.
  1. ICMP 요청은 FortiGate를 우회하지만 PC1에 도달합니다.
  2. ICMP 응답이 FortiGate를 통과합니다. 일치하는 세션이 없으므로 패킷은 삭제됩니다.
  3. 이후의 ICMP 응답은 FortiGate에 의해 차단됩니다.

ICMP 요청이 FortiGate를 통과하지 못하지만 응답이 FortiGate를 통과하는 경우 기본적으로 해당 패킷은 잘못된 패킷으로 차단됩니다.


비대칭 라우팅 허용

필요한 경우 FortiGate를 구성하여 비대칭 라우팅을 허용할 수 있습니다.


#config system settings

    #set asymroute enable

#end

TCP 패킷(비대칭 라우팅 활성화)
시나리오 1: PC1이 PC2와 TCP 연결을 시작합니다.
  1. TCP SYN은 FortiGate에 의해 허용됩니다. FortiGate는 세션을 생성하고 방화벽 정책을 확인한 후, 일치하는 정책(UTM 검사, NAT, 트래픽 셰이핑 등)의 구성을 적용합니다.
  2. TCP SYN/ACK는 FortiGate를 우회합니다.
  3. TCP ACK는 FortiGate에 의해 허용됩니다. 패킷은 이전에 생성된 세션과 일치합니다.
  4. 이후 TCP 패킷은 FortiGate에서 허용됩니다. 세션 내 패킷은 해당되는 경우 오프로드될 수도 있습니다.
시나리오 2: PC2가 PC1과 TCP 연결을 시작합니다.
  1. TCP SYN은 FortiGate를 우회합니다.
  2. TCP SYN/ACK는 FortiGate에 의해 허용됩니다. 
  3. 일치하는 세션이 없습니다. 
  4. 패킷은 CPU로 전달되어 라우팅 테이블에 따라 전달됩니다.
  5. TCP ACK는 FortiGate를 우회합니다.
  6. 이후 TCP 패킷은 FortiGate에서 허용됩니다.
  7. FortiGate는 라우팅 결정만 내리는 라우터 역할을 하며, 보안 검사는 수행되지 않습니다.
ICMP 패킷(비대칭 라우팅 활성화)
시나리오 1: PC1이 PC2에 ping을 보냅니다.
  1. 비대칭 라우팅이 비활성화된 경우와 차이가 없습니다.
시나리오 2: PC2가 PC1에 ping을 보냅니다.
  1. ICMP 요청은 FortiGate를 우회하지만 PC1에 도달합니다.
  2. ICMP 응답은 FortiGate를 통과합니다. 일치하는 세션이 없습니다. 
  3. 패킷은 CPU로 전달되어 라우팅 테이블에 따라 전달됩니다.
  4. 이후 ICMP 응답은 FortiGate에서 허용됩니다. 
  5. FortiGate는 라우팅 결정만 내리는 라우터 역할을 하며, 보안 검사는 수행되지 않습니다.
UDP 패킷

비대칭 라우팅은 UDP 패킷에 영향을 미치지 않습니다. UDP 패킷은 비대칭 라우팅 여부와 관계없이 세션 테이블에서 확인됩니다. UDP를 허용하려면 정책이 필요합니다.