원문출처 : https://ebt-forti.tistory.com/618
Wildcard FQDN의 DNS resolve 방식
FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다. 일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인
ebt-forti.tistory.com
FortiGate에서는 " *.etevers.com " 처럼 wildcard FQDN을 이용하여 방화벽 정책이나, SSL inspection의 예외처리등에 사용 할 수 있다.
일반적인 FQDN(예 : www.eteversebt.com)과 wildcard FQDN의 IP를 DNS query를 통해 확인하게 되는데, 그 방식이 서로 다르다.
일반적인 FQDN의 경우 FortiGate에 설정된 DNS를 이용하여 FortiGate에서 출발하는 DNS query방식이고, wildcard FQDN의 경우 FortiGate를 통과하는 트래픽에서 IP를 획득한다. 즉 사용자 트래픽의 DNS query에서 IP를 획득하는 방식이다.
내부에서 외부로의 허용되는 방화벽 정책이 disable 된 예이다.
내부에서 외부로 방화벽 정책 disable
이 상황에서 일반적인 FQDN은 FortiGate가 스스로 IP를 resolve 하지만, FortiGate를 통과하는 트래픽이 없는 상태라서 wildcard FQDN은 IP를 획득하지 못한다.
외부로의 트래픽을 허용하고, 내부에서 wildcard FQDN에 대해서 DNS query가 발생하면 할수록 IP를 계속해서 획득하게 된다.
FortiGate를 통과하는 DNS query에서 IP resolve
위에서와 같이 Wildcard FQDN은 FortiGate를 통과하는 DNS query에 대해 session helper를 처리하면서 IP를 획득하게 된다.
따라서 DNS에 대해 Session Helper가 삭제 되어 있다면 Wildcard FQDN은 IP를 얻지 못한다.
'IT > 네트워크(Network)' 카테고리의 다른 글
| Fortigate v7.2.4 : policy 설정 화면에서 flow/proxy inspection 설정 없음 (0) | 2023.10.24 |
|---|---|
| Fortigate FortiCare 계정과 FortiCloud 계정 다르게 설정하는 방법(등록된 계정변경 방법) (0) | 2023.10.24 |
| Fortigate FQDN Wildcard address가 제대로 동작하지 않을 경우 (0) | 2023.10.24 |
| Fortigate FQDN Object의 IP를 얻는 방법 (0) | 2023.10.24 |
| Fortigate WebFIlter 기능을 이용한 검색엔진에서 검색하는 특정 단어를 차단하는 방법 (0) | 2023.10.24 |