원문출처 : https://www.tec-bite.ch/fortigate-some-features-no-longer-available/
Fortinet은 FortiOS 버전 7.4.4부터 2GB RAM 이하의 FortiGates가 FortiGate 모델에서 성능을 향상하고 메모리 사용을 최적화하기 위한 개선의 일환으로 프록시 관련 기능을 더 이상 지원하지 않을 것이라고 발표했습니다. 게다가 버전 7.6+에서는 2GB RAM 이하의 FortiGates에서 SSL-VPN 기능도 제거됩니다.
중요 참고 사항: FortiGate VM은 이 변경의 영향을 받지 않으며 7.4.4로 업그레이드한 후에도 프록시 기반 기능을 계속 지원합니다. 그러나 프록시 기반 기능을 사용할 때는 최소 4GB RAM을 사용하는 것이 좋습니다.
프록시 기반 기능
어떤 기기가 이에 영향을 받습니까? 이 변경 사항은 FortiGate/FortiWiFi에 영향을 미칩니다.
- 40F 시리즈 장치 및 그 변형 모델.
- 60E 시리즈 장치 및 그 변형 모델.
- 60F 시리즈 장치 및 그 변형 모델.
- 80E 시리즈 장치 및 그 변형 모델.
- 90E 시리즈 장치 및 그 변형 모델.
- 60F 및 변형(2GB 버전만 해당)
FortiOS 7.4.4 이상으로 업그레이드한 후에는 다음 프록시 기능이 더 이상 지원되지 않습니다.
- 제로 트러스트 네트워크 액세스(ZTNA)
- 프록시 기반 검사 모드를 갖춘 UTM 프로필
- 프록시 기반 검사 모드를 갖춘 방화벽 정책
- 명시적이고 투명한 프록시
- 가상 서버 부하 분산
- 프록시 전용 UTM 프로필
- 비디오 필터
- 인라인 CASB
- 국제캡(ICAP)
- 웹 애플리케이션 방화벽(WAF)
- SSH 필터
- WAN 최적화
이 문제가 시스템에 영향을 미치는지 확인하려면 CLI를 열고 diagnose hardware sysinfo conserve 명령을 입력한 뒤 RAM 값이 2000MB보다 큰지 확인하세요.
2GB 이하인 기기를 사용하는 경우 어떻게 해야 합니까?
프록시 기반 기능을 사용하고 FortiOS 7.4.4로 업데이트하기로 결정하면 모든 프록시 기반 설정이 흐름 기반 모드로 전환됩니다. 프록시 기반 검사 모드가 흐름 기반 모드로 변경됩니다. 프록시 기반 모드에 있는 방화벽 정책도 흐름 기반 모드로 전환됩니다. ZTNA, 명시적 프록시 또는 WAN 최적화와 같은 프록시 전용 기능은 제거됩니다.
프록시 기반 기능을 계속 사용하기로 결정한 경우 7.4.4 이전 버전을 고수하거나 현재 기기를 반납하고 더 큰 기기로 업그레이드하여 보안 업데이트를 계속 받고 프록시 기반 기능을 계속 사용해야 합니다.
프록시 기반 검사 모드와 흐름 기반 검사 모드의 차이점은 무엇입니까?
흐름 기반 검사는 단일 패스 직접 필터 접근 방식(DFA) 패턴을 사용하여 가능한 공격이나 위협을 식별합니다. 파일은 FortiGate를 통과할 때 흐름 기준으로 검사됩니다. 리소스가 덜 필요하고 검사 속도가 더 빠릅니다.
프록시 기반 검사에서 FortiGate는 프록시 역할을 하며 클라이언트와 서버 트래픽의 중간에 위치합니다. FortiGate에는 두 개의 TCP 연결이 있는데, 하나는 클라이언트에서 FortiGate로, 다른 하나는 FortiGate에서 서버로 연결됩니다. 통신은 4계층에서 종료됩니다. 이는 대기 시간을 늘리고 흐름 기반 검사보다 리소스를 더 많이 사용합니다. 그러나 전체 파일이 FortiGate에 버퍼링되고 맬웨어를 검사하는 동안 클라이언트로 동시에 전송되지 않으므로 더 높은 수준의 위협 보호를 제공합니다.
SSL VPN
버전 7.6+에서는 SSL-VPN 웹 및 터널 모드 기능을 더 이상 사용할 수 없습니다. 이는 다음 장치에 영향을 미칩니다.
- FGT/FWF-40F 및 변형
- FGT/FWF-60E 및 변형
- FGT/FWF-61E 및 변형
- FGT/FWF-60F
- FGT/FWF-61F
- FGT-80E 및 변형
- FGT-81E 및 변형
- FGT-90E
- FGT-91E
- FGR-60F 및 변형(2GB 버전만 해당)
이 문제가 시스템에 영향을 미치는지 확인하려면 CLI를 열고 diagnose hardware sysinfo conserve 명령을 입력한 뒤 RAM 값이 2000MB보다 큰지 확인하세요.
2GB 이하인 기기를 사용하는 경우 어떻게 해야 합니까?
현재 기기를 계속 사용하기로 결정한 경우 IPsec VPN으로 마이그레이션하거나 7.6+보다 낮은 버전을 사용해야 합니다.
버전 7.6+ 이후에도 SSL VPN을 계속 사용하려면 현재 기기를 반납하고 더 큰 기기로 업그레이드하여 보안 업데이트를 계속 받고 SSL VPN 기능을 사용할 수 있도록 고려해보세요.
결론
프록시 기반 및 SSL-VPN 기능이 2GB 미만의 RAM이 있는 기기에서 제거되는 이 변경 사항은 많은 기기에 영향을 미칠 것입니다. 기기의 RAM이 2GB 미만인 경우 7.4.4의 프록시 기반 기능 또는 7.6.+의 SSL VPN을 유지할 방법이 없습니다.
시간이 지나면서 보안 취약점으로 이어질 수 있는 낮은 버전을 고수하거나 더 큰 기기로 업그레이드합니다. 더 큰 기기로 업그레이드하기로 결정했다면 현재 기기를 트레이드인하고 더 낮은 가격으로 더 큰 모델을 구매하는 것을 고려할 수 있습니다.
