FortiOS 7.2.12의 주요 새로운 기능 또는 개선 사항은 다음과 같습니다:
1. 시스템 관리자 암호 보안 강화 (PBKDF2)
◦ 시스템 관리자 암호의 보안을 강화하기 위해, FortiGate는 이제 PBKDF2를 무작위 솔트(randomized salts)와 함께 해싱 스키마로 사용하여 암호를 해시하고 저장합니다.
◦ 다운그레이드 지원을 유지하기 위해 새로운 CLI 명령이 도입되었습니다:
◦ .
2. Wi-Fi 5GHz UNII-3 채널 지원 확장
◦ Wi-Fi 5GHz UNII-3 채널 (149, 153, 157, 161, 165)이 유럽 국가 및 "E" 지역 코드 국가(일부 예외 제외)에서 허용되었습니다.
3. Flow 정책을 위한 SSL/SSH 프로파일 지원 개선
◦ 플로우 정책(flow policies)을 위해 firewall ssl-ssh-profile에 cert-probe-failure 지원이 추가되었습니다.
4. IPS Helper CPU 사용량 최적화
◦ 이 개선 사항은 데이터베이스 업데이트 프로세스 중에 ipshelper의 CPU 사용량을 줄여 시스템 성능을 최적화하고 더욱 원활한 운영을 보장합니다.
GUI 동작 변경 사항
• FortiCare 등록 강제: 새로 설치할 경우, 사용자가 GUI에 로그인하면 FortiCare 등록 대화 상자로 안내됩니다. 이는 사용자가 장치를 FortiCare에 등록하도록 보장합니다. 이 기능은 초기에는 FortiGate 900G 시리즈 및 200G 시리즈 장치에서 지원됩니다.
• SSL VPN 지원 제거: SSL VPN 웹 및 터널 모드 기능은 FortiGate G-시리즈 Entry-Level 모델(90G 및 변형 모델 포함)의 GUI 또는 CLI에서 더 이상 사용할 수 없습니다. 이전 버전의 설정도 업그레이드되지 않습니다. 이 경우 원격 액세스를 위해 IPsec Dialup VPN으로 마이그레이션하는 것이 권장됩니다.
업그레이드 시 참고 사항
• FortiAnalyzer 및 FortiManager 호환성: FortiOS 7.2.12는 FortiAnalyzer 7.2.11 및 FortiManager 7.2.11과의 상호 운용성을 크게 향상시킵니다.
• PBKDF2 관련 잠금 위험: PBKDF2 기반 암호 해싱이 7.2.11, 7.4.8, 7.6.1 버전부터 지원됩니다. 만약 이 버전들로 업그레이드된 후 자격 증명이 저장되고, 나중에 PBKDF2 지원 이전 버전으로 업그레이드 또는 다운그레이드할 경우 관리자 계정 잠금이 발생할 수 있으므로, 업그레이드/다운그레이드 전에 login-lockout-upon-downgrade 명령을 비활성화해야 합니다.
• SAML 인증서 확인: FortiOS 7.2.12부터 FortiGate는 SAML 응답 메시지의 서명을 확인합니다. 인증 실패를 방지하려면 해당 IDP 설정에서 Sign SAML response and assertion 또는 유사한 옵션을 켜야 합니다.