사용장비 : Fortigate 100D
안녕하세요, 저는 중소기업에서 전산업무도 하고 이것저것 잡일도 하고 있는 입사 5년차 사원입니다.
3년 전에 저희 회사에 국가 사업으로 들여 놓고 관리를 안하던 방화벽이 있는데요.
최근 모르는 PC들이 사내에 많이 연결이 되서 IP 충돌이 미친 듯이 일어나던 찰나
Fortigate 100D 장비에 MAC 주소 컨트롤 기능이 있다는 걸 알게 되서 작업을 해봤습니다.
우선 사용자&장치-장치 그룹에서 파악한 PC를 등록하고
네트워크-인터페이스에서 등록한 PC의 MAC 주소를 등록해서 작동이 되나 보고 있는데요.
이상하게도 분명 MAC 주소에 Block을 걸어놓은 PC가 여전히 잘만 연결되고 있네요...
혹시 재부팅을 해야 적용되나 싶어서 해당 PC를 껐다 켜봐도 여전히 연결이 됩니다...?
저희가 해당 장비의 유지보수 계약을 안하고 있어서 펌웨어라던가 업데이트가 안되고 있긴 한데요.
혹시 Fortinet 방화벽 쓰시는 분들 중에 저 같은 현상 안계실까요..
간만에 힘 좀 내봤는데 안되니까 슬프네요 ㅠ
7개의 답변이 있습니다.
디바이스 탐지한다음에
디바이스 마다 이름 지정해두시고
지정안되어있는 장비는 차단 하시면 될거 같아여
화면에서의 block은 DHCP 설정에서의 IP 자동 할당 block 기능인 듯 합니다만...
내부에서 제어하려면 NAC이나 IP관리 솔루션 사용하면 됩니다.
다만 MAC clone까지 한다면 방법이 없습니다..
그래도 MAC 필터링을 하기 때문에 가격대비 유용한게 IP관리 솔루션입니다.
Fotigate 100D 와 Fotiage 50D를 직접운영 했고
Fotiage 50D에 내부 사용자 PC를 등록하게 되면 내부 PC 모델명부터 사용자 정보가 나옵니다.
업체 실사 대응으로 해당 PC가 외부 통신을 못 하겠끔 하기 위해 설정을 했습니다.
어떻게 보면 전문적인 NAC 기능이 아니라 선택적이 NAC 기능이라고 보면 됩니다.
방화벽은 정책 우선순위에 따라 달라요 위에서 차단되면 아래 정책에 영향을 주죠
요즘 방화벽 기능적으로 추가된게 많죠~ 그걸 모르고 애기 하신분들도 많구요
유지보수 비용이 얼마 안됩니다. 쪽지 보내드릴께요
방화벽은 외부 세계와 내부 세계의 중간에서 접근 제어 역할을 하는 장비이기 때문에...
방화벽 장비에서 접근 제어란 개념은 내부와 외부 사이의 접근 제어라고 봐야 할 것 같아 보이네요.
방화벽 장비가 DHCP 역할을 한다면 내부 네트워크에 MAC을 기반으로 IP 할당에 대한 제어를 하는 정도는 가능하겠지만...
방화벽 장비가 내부 컴퓨터들의 내부 네트워크 접근에 대한 제어는 하기 힘들죠.
내부 네트워크에 대한 접근 제어를 하려면 NAC 솔루션을 도입해서 처리해야 겠고...
NAC 솔루션도 내부 네트워크에 대한 접근 제어를 하기 위해 각 단말 장치에 Agent 소프트웨어를 설치해서 제어를 해야 하는 걸로 알고 있고요.
IP 충돌 문제는,
전산 관리자가 IP를 체계적으로 관리하는게 가장 좋은 방법이라 생각되네요.
권한 없는 사용자가 임의 할당해서 사용하지 못하게 해서 정해진 체계로 할당해서 관리하는게 여러가지 장점이 많다고 생각되네요.
내부PC에 NAT면 고정으로 등록을해놓고 방화벽에서 해당 IP로 블락을 등록해놓으면되지 않나요? 저희는 그렇게 해서 등록해놓으면 해당PC는 인터넷이랑 네트워크가 아예안되더라구요
포티게이트를 동일하게 사용했고
특정 사용자에대해 블락을 걸어 외부통신이 안되게끔 했어요
정책에 빠진부분이 있어서 그런겁니다
업체에서 함 봐달라하세요
방화벽은 내부에서 외부로 통신, 외부에서 내부로 서로다른 네트워크간의 통신을 제어하는 목적입니다.
원하시는 기능은 NAC(Network Access Control)의 기능으로 보여지네요.
포티게이트 방화벽에서 NAC 기능을 제공하는지는 정확히 모르겠습니다.
아마도 지원이 안될거라 생각되네요.
올리신 이미지는 다른 네트워크와 통신을 컨트롤하는 역활로 보여지네요.
IP 자체를 사용하게하고 못하게하는 용도는 아닌것 같습니다.
NAC 장비를 알아보세요.