본문 바로가기

IT/정보보안

Fortigate Session Clear 사용방법



Fortigate Session Clear 사용방법


Fortigate 장비 운영중 특정 IP에서 과도한 Session 이 발생하거나 신규 정책 적용 등으로

인해 기존 정책과의 Session 을 임의로 해제 해야 하는 경우 Session Clear 를 사용 합니다.

Filter 설정을 하지 않으면 Fortigate 에 연결된 네트워크 전체 Session 을 끊기 때문에 특정

IP나 정책에 부분적으로 사용하기 위해서는 반드시 Filter 를 설정 해야 하며 사용전 확인

을 통해 연결이 유지되어야 하는 통신에 영향을 주지 않도록 사용에 주의가 필요 합니다.


[Session Clear 사용방법]

Fortigate 5.2 이상 버전에서는 GUI 접속 후 'Dashboard -> FortiView -> All Session' 메뉴

를 통해 Session 별 확인이 가능 하고, GUI 에서 Session Clear 조작이 가능 하지만 세부적

인 Filter 조작 등은 CLI 에서 보다 편리하게 사용 할 수 있습니다.


- GUI Session Clear 사용방법

  장비 GUI 접속 후 'Dashboard -> FortiView -> All Session' 메뉴를 선택 합니다.

  장비에 연결된 전체 Session 확인이 가능하고, 'Add Filter' 기능을 통해 특정 Session 만

  Filter 해서 확인하는 기능은 지원 하지만 Filter 기능을 이용하면 'Session Remove' 기능이

  비활성 되기 때문에 사실상 의미가 없습니다.

  어떠한 IP 에서 Session 을 많이 사용하는지 확인하는 용도로 사용하는 것이 좋고, 만약

  All Session 페이지에서 과도한 Session 유발 IP 가 확인 된다면 별도 Filter 를 사용 하지

  않고, 해당 페이지에서 선택한 Session 을 Remove 하는 기능을 지원 합니다.

  Session Clear 와 동일한 효과를 주기는 하지만 하나의 IP 에서 여러개 목적지로 Session

  연결이 되어 있는 경우 일일히 하나씩 선택해서 Remove 해줘야 하기 때문에 번거로운

  작업 입니다만 사용하는 방법은 아래 그림과 같습니다.

  거듭 강조를 하지만 그냥 편하게 현재 사용하는 Session 에 대해 좀더 편하게 '확인' 하는

  용도로 사용하는 것이 좋습니다.

 

 


- CLI Session Clear 사용방법

  GUI 에서 별도 상세한 Filter 설정이 불가하고, 특정 IP 에 대해서 선택적인 Session Clear

  를 할수 없는 반면에 CLI 에서는 Filter 설정을 통해 출발지/목적지 IP 및 Port 를 별도로

  지정하거나 Policy 별로 Session Clear 를 진행 할 수도 있습니다.

  좀더 상세하게 Interface, NAT IP, Port 등 세부적인 Filter 도 설정 할수 있기 때문에 기존

  통신에 영향을 최소화 할 수 있는 장점이 있으나 한번 실행하면 Filter 의 내용만 참조하기

  때문에 Filter 설정에 주의 해야 합니다.


  1. Session Clear Filter 설정 확인 및 초기화

     우선 현재 설정된 Session Clear Filter 설정부터 확인 합니다.

     만약 설정된 내용이 있으면 두번째 명령어를 사용하여 Filter 를 Clear 합니다.

     #diag sys session filter

     #diag sys session filter clear

     *상기 명령어에서 filter 부분을 생략하면 바로 Session Clear 가 실행 됩니다.

     




   2. Session Clear Filter 설정

      기존에 설정된 Filter 확인 후 불필요한 Filter 설정이 되어 있다면 Clear 를 하고, 원하는

      Filter 를 설정 합니다.

      예) 출발지 192.168.100.100 목적지 Port 80 Filter 설정

      #diag sys session filter src 192.168.100.100

      #diag sys session filter dport 80

      #diag sys session filter

        Filter 내용 확인

      #diag sys session clear

        Session Clear 실행


     

Session Clear 를 실행 하더라도 재부팅과 같이 2~3분 정도 통신이 안되는 상태가 되는것은

아니지만 고객사에서 사용하는 장비라면 Session Clear 실행 전에 반드시 Filter 확인을 통해

실행 후 어떤 영향이 있는지 가늠하고 관련없는 통신에 영향을 주지 않도록 주의 하여 진행

해야 합니다.


많이 사용할 일은 없지만 트러블 슈팅 목적으로 간혹 사용하는 경우가 있으니 관련 상황에

참고하셔서 도움 되었으면 좋겠습니다.


감사합니다.