Fortigate

Fortigate 방화벽을 구성하고 Glasswall Halo ICAP 서버와 통합하려면 이 구성 가이드를 따르세요.

참고: 이 단계는 Fortigate v7.4 기준으로 문서화되었습니다.

인터페이스 및 경로 구성​

내부 인터페이스에 고정 IP 구성​

두 개의 네트워크 인터페이스가 VM에 연결됩니다:

• 관리 인터페이스 - 이는 VM이 생성될 때 VM에 연결되는 기본 네트워크 인터페이스입니다. 기본적으로 인터페이스의 고정 사설 IP 주소가 방화벽에 등록됩니다.
• 내부 인터페이스 - 이는 VM이 생성된 후 VM에 추가로 연결되는 인터페이스입니다. 기본적으로 방화벽에서 이 인터페이스에는 IP 주소가 표시되지 않을 수 있습니다.

방화벽에서 내부 인터페이스에 고정 IP를 구성하려면:

1. 관리 포털에 로그인한 후 Network -> Interfaces로 이동합니다.
2. 내부 인터페이스를 선택하고 편집합니다.
3. IP/netmask를 입력하고 OK를 클릭합니다.

고정 경로 생성​

모든 포트의 트래픽이 지정된 게이트웨이 IP 주소와 인터페이스를 통해 인터넷으로 나가도록 하려면 방화벽에 고정 경로가 필요합니다. 고정 경로를 생성하려면:

1. Network -> Static routes로 이동하여 새 경로를 생성합니다.
2. Subnet을 Destination으로 선택하고 0.0.0.0/0.0.0.0을 입력합니다.
3. Gateway address 아래에 서브넷의 게이트웨이 IP 주소를 입력합니다. 일반적으로 서브넷의 첫 번째 번호가 게이트웨이입니다. 예: 192.168.xx.1.
4. 게이트웨이 IP 주소에 도달하는 데 사용할 인터페이스를 선택하고 OK를 클릭합니다.

ICAP 구성​

기본적으로 Fortigate 방화벽의 ICAP 기능은 비활성화되어 있으므로 활성화해야 합니다.

1. 관리 포털에 로그인한 후 System -> Feature visibility로 이동하여 additional feature 아래의 ICAP를 활성화합니다.
2. Security profiles -> ICAP servers로 이동하여 새 서버를 생성해 ICAP 서버를 만듭니다.
3. ICAP 서버의 이름, IP 주소 및 포트(기본값 1344)를 입력한 다음 OK를 클릭합니다.

ICAP profile 생성​

1. Security profiles -> ICAP로 이동하여 새 profile을 생성합니다.
2. profile 이름을 입력합니다.
3. 요청에서 전송된 파일을 처리하려면 Request processing을 활성화합니다.
4. 드롭다운에서 이전 단계에서 생성한 Server를 선택합니다.
5. Path에서 req-cdr-service를 입력합니다. 선택적으로 ICAP profile을 전달할 수 있습니다. 예: req-cdr-service?profile=test-profile1.
6. ICAP가 파일 처리에 실패할 경우의 옵션 중 하나를 선택합니다. error 또는 bypass.
7. 응답에서 수신되는 파일을 처리하려면 Response processing을 활성화합니다.
8. 드롭다운에서 이전 단계에서 생성한 Server를 선택합니다.
9. Path에서 resp-cdr-service를 입력합니다. 선택적으로 ICAP profile을 전달할 수 있습니다. 예: `resp-CDR-service?profile=test-profile1.
10. ICAP가 파일 처리에 실패할 경우의 옵션 중 하나를 선택합니다. Error 또는 Bypass.
11. Streaming media bypass를 활성화합니다.

방화벽 policy 생성 또는 업데이트​

1. Policy & objects -> Firewall policy로 이동하여 ICAP 통합을 활성화할 방화벽 policy를 생성하거나 편집합니다.
2. Inspection mode에서 Proxy-based 옵션을 선택합니다.
3. SSL inspection 드롭다운에서 Deep-inspection 또는 Custom-deep-inspection을 선택합니다.
4. ICAP 옵션을 활성화하고 이전 단계에서 생성한 ICAP profile을 선택합니다.
5. OK를 클릭합니다.

CA 인증서 다운로드​

이제 방화벽에서 SSL inspection을 활성화했으므로, CA 인증서를 다운로드하여 사용자 컴퓨터 또는 브라우저에 가져와야 합니다. 이렇게 하면 사용자가 인터넷에 접속할 때 SSL 오류를 보지 않게 됩니다.

1. Security profiles -> SSL/SSH inspection으로 이동한 다음, 방화벽 policy에서 사용 중인 profile을 선택합니다.
2. Download를 CA certificate 옆에서 클릭합니다.
3. 이를 사용자 컴퓨터에 복사하고 CA 인증서 아래의 신뢰 목록에 추가합니다.

웹사이트를 SSL inspection에서 제외​

SSL inspection이 활성화될 때 발생하는 호환성 문제 등 여러 이유로 특정 웹사이트를 SSL inspection에서 제외할 수 있어야 합니다. 기본적으로 일부 특정 주소는 이미 SSL inspection에서 제외되어 있습니다.

1. Security profiles -> SSL/SSH inspection으로 이동합니다.
2. 방화벽이 이러한 제외 사항을 모두 기록하도록 Log SSL exemptions를 선택합니다.
3. 필요한 경우, 이 섹션에서 특정 웹 카테고리를 추가하여 SSL inspection에서 제외합니다.