반응형
방화벽 정책을 변경하게 되면 연결된 기존 세션에 영향을 줄 수도 있기 때문에, default로는 정책이 변경되면 기존 active session에 대해 모두 방화벽 정책을 다시 검사한다.
허용되던 기존 세션이 차단 될 수 도 있기 때문이다.
만약 동시 세션이 굉장히 많은 장비일 경우, 방화벽 정책이 변경되면 모든 세션에 대해 재평가를 해야하기 때문에 CPU 사용률이 증가하게 된다.
다음 명령어를 이용하여 옵션을 변경할 수 있다.
config system settings
set firewall-session-dirty { check-all | check-new | check-policy-option }
end
check-all : 모든 세션을 비우고, CPU가 다시 재 평가한다.(default)
check-new : 기존 세션은 그대로 유지하고 새로운 세션에 대해서만 확인. CPU 부하를 줄일수 있음
check-policy-option : 각 policy에 설정된 firewall-session-dirty 설정을 따른다.
반응형
'IT > 방화벽' 카테고리의 다른 글
| Fortigate VLAN 구성 (0) | 2025.02.16 |
|---|---|
| Fotigate 정의 정책 구성 (0) | 2025.02.16 |
| Fortigate SSLmac address 체크 (0) | 2025.02.16 |
| Fortigate의 정책 첫 사용 날짜와 마지막 사용된 날짜 확인 (0) | 2025.02.16 |
| Fortigate packet sniffer (0) | 2025.02.16 |
