분노한 단타 브레이커

FortiGate 장비에서 vDOM (Virtual Domain)은 멀티 테넌트(Multi-Tenant) 환경을 지원하기 위해 도입된 가상화 기술로 하나의 장비 내에서 논리적으로 여러 개의 독립적인 방화벽 인스턴스로 분할할 수 있는 기능이다.

각 vDOM은 별도의 방화벽 인스턴스처럼 동작하며, 다음과 같은 요소를 개별적으로 관리할 수 있다.

  ㅡ 방화벽 정책(Firewall Policy)

  ㅡ 라우팅 테이블(Routing Table)

  ㅡ 인터페이스 설정(Interface Configuration)

  ㅡ VPN 설정(VPN Configuration)

  ㅡ 로그(Log) 및 모니터링(Monitoring)

vDOM의 주요 특징

■ 완전한 독립성

  - 각 vDOM은 독립적인 설정을 가짐

  - 개별적인 사용자 인증 및 관리 가능

  - 하나의 vDOM 변경이 다른 vDOM에 영향을 주지 않음

■  자원 할당 가능

  - CPU, 메모리, 세션 등의 시스템 리소스를 특정 vDOM에 할당 가능

■  관리자 역할 분리 가능

  - 특정 vDOM만 관리할 수 있는 Admin 사용자 생성 가능

  - 글로벌 관리자(Global Admin)와 개별 vDOM 관리자(vDOM Admin)로 구분 가능

■  vDOM 간 트래픽 제어 가능

  - vDOM 간에 트래픽을 주고받아야 할 경우, 인터-vDOM 링크(Inter-vDOM Link) 설정 가능

  - NAT 및 정책을 활용해 vDOM 간 통신을 제어 가능

vDOM의 종류

■ 루트 vDOM (Root vDOM) = 관리 vDOM

 ㆍvDOM 활성화시 기본적으로 존재하는 vDOM으로, FortiGate 장비를 처음 설정할 때 생성된다.(삭제 못 함)

 ㆍFortiGate 장비의 글로벌 설정 및 시스템 자원 관리를 담당한다.

 ㆍ관리자 계정(일반적으로 admin)이 기본적으로 이 vDOM에서 시작.

 ㆍ다른 vDOM을 생성하고 관리할 수 있으며, 글로벌 네트워크 설정 및 시스템 업데이트를 담당한다.

    물리적 인터페이스(Physical Interface) 를 기본적으로 포함.

 ㆍ시스템 데몬, NTP 트래픽과 같은 시스템/포티게이트에서 생성된 트래픽을 전달하는 데 사용됩니다. 포티게이트 방화벽의 모든 관리

    트래픽이 시작되는 VDOM입니다. 관리 VDOM은 다음과 같은 모든 글로벌 서비스에 대한 액세스 권한이 있어야 한다.

■ 사용자 정의 vDOM (Traffic vDOM)

 ㆍ관리자가 추가로 생성하는 vDOM으로, 트래픽을 처리하는 역할을 한다.

 ㆍ 각 vDOM은 독립적인 방화벽 인스턴스처럼 동작하며, 별도의 보안 정책과 네트워크 구성을 가질 수 있다.

 ㆍ 루트 vDOM과는 달리 시스템 전체를 관리하는 기능은 없다.

사용 예시:

 ㆍ여러 개의 네트워크 환경을 하나의 FortiGate 장비에서 논리적으로 분리

 ㆍISP(인터넷 서비스 제공자) 또는 MSSP(보안 서비스 제공자)가 고객별로 독립적인 방화벽을 운영할 때

 ㆍ기업에서 내부망, 외부망, DMZ를 각각 분리하여 보안 강화

※ 추가 개념: 인터 vDOM 링크 (Inter-VDOM Link) 서로 다른 vDOM 간 트래픽을 전달할 필요가 있을 때 사용 vDOM 간 직접 통신이 필요할 경우, 가상의 인터페이스를 생성하여 연결 가능 라우팅 및 정책을 통해 트래픽을 제어 가능

활용 예시:

 ㆍ내부망 vDOM과 인터넷 vDOM 간 트래픽을 전달

 ㆍVPN 전용 vDOM과 DMZ vDOM 간 데이터 흐름 설정

■ Independent vDOMs

 ㆍMulti vDOM 모드에서 각 vDOM이 완전히 독립적으로 동작하는 형태를 의미.

 ㆍ기본적으로 vDOM 간 트래픽이 차단된다.(필요시 Inter-vDOM Link 사용)

 ㆍ개별적인 라우팅 테이블, 방화벽 정책, VPN 설정 적용 가능.

 ㆍvDOM 마다 별도의 관리자(vDOM Admin)를 지정하여 개별적으로 관리 가능.

■ Split vDOM

 ㆍ두 개의 vDOM(root vDOM + traffic vDOM)만 운영하는 방식

 ㆍRoot vDOM은 장비의 글로벌 설정 및 관리를 담당

 ㆍTraffic vDOM은 실제 네트워크 트래픽을 처리

 ㆍ기본적으로 Root vDOM과 Traffic vDOM 간 인터 vDOM 링크(Inter-VDOM Link) 가 자동 생성됨

■ Multi vDOM

 ㆍ여러 개의 독립적인 vDOM으로 나누어 운영하는 방식

 ㆍfortigate 장비에서 기본적으로 10개의 vDOM 지원함

 ㆍ각 vDOM이 독립적인 방화벽 인스턴스로 동작

 ㆍ각 vDOM마다 독립적인 보안 정책, 라우팅, VPN 설정 가능

 ㆍ필요에 따라 vDOM 간 트래픽을 주고받을 수 있다.(IVL 사용)

 ㆍ다중 VDOM 모드가 처음 활성화되면 모든 VDOM 구성이 기본적으로 루트 VDOM으로 이동

※ 사용 사례

기업 내부 네트워크 분리 (부서별, 내부망/DMZ 분리)

MSSP(보안 서비스 제공자) 환경에서 고객별 방화벽 인스턴스 제공

ISP(인터넷 서비스 제공자) 가 고객별 개별 네트워크 운영

■ vDOM 간 라우팅

 ㆍ vDOM 간 라우팅은 Inter-VDOM Link(IVL)라는 가상의 인터페이스를 활용하여 구성한다.

 ㆍ vDOM 간 라우팅 구성

    1. Inter-VDOM Link 생성 → vDOM 간 연결을 위한 가상 인터페이스 생성

    2. IP 주소 할당 → vDOM 간 통신을 위해 인터페이스에 IP 주소 설정

    3. Static Route 설정 → 각 vDOM에서 상대 vDOM을 알 수 있도록 정적 라우트 설정

    4. Firewall Policy 설정 → vDOM 간 트래픽을 허용하도록 방화벽 정책 추가

config system ntp
    set ntpsync enable
    set type custom
    set server-mode enable
    set interface "fortilink"
    config ntpserver
        edit 1
            set server "time.google.com"
        next
        edit 2
            set server "time.nist.gov"
        next
    end
end

set server [ ] : NTP 서버의 IP 조소 또는 도메인 네임 설정

set syncinterval [ ] : NTP 서버와 동기화되는 간격

set ntpsync enable : 지정된 NTP 서버와 동기화하도록 설정

set server-mode enable : NTP 서버로 동작하도록 설정, 내부 네트워크의 다른 장치에 시간 정보를 제공.

set interface "fortilink" : fortilink 인터페이스를 통해 내부 장비들에게 시간 동기화를 제공.

동작 방식

이 설정을 적용하면 FortiGate는 두 가지 역할을 수행합니다:

1. NTP 클라이언트: FortiGate가 외부 NTP 서버와 동기화됨. (set ntpsync enable)
2. NTP 서버: FortiGate가 내부 네트워크 장치에 시간 정보를 제공함. (set server-mode enable)

mkdir /opt/unetlab/addons/qemu/fortinet-FGT-v7.2.11-build1740/

cd /opt/unetlab/addons/qemu/fortinet-FGT-v7.2.11-build1740/

unzip FGT_VM64_KVM-v7.2.11.M-build1740-FORTINET.out.kvm.zip 

mv fortios.qcow2 virtioa.qcow2

rm FGT_VM64_KVM-v7.2.11.M-build1740-FORTINET.out.kvm.zip

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

System is starting...
Starting system maintenance...
Scanning /dev/vda1... (100%) 
Scanning /dev/vda2... (100%) 
The config file may contain errors. 
Please see details by the command 'diagnose debug config-error-log read'.
Serial number is FGVMEV0IGQHQ4A2F

FortiGate-4400F login: admin
Password: 
You are forced to change your password. Please input a new password.
New Password: 
Confirm Password: 

FortiGate-VM64-KVM # get sys stat
Version: FortiGate-VM64-KVM v7.2.11,build1740,250210 (GA.M)
Security Level: High
Firmware Signature: certified
Virus-DB: 1.00000(2018-04-09 18:07)
Extended DB: 1.00000(2018-04-09 18:07)
Extreme DB: 1.00000(2018-04-09 18:07)
AV AI/ML Model: 0.00000(2001-01-01 00:00)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
FMWP-DB: 0.00000(2001-01-01 00:00)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 1.00001(2015-01-01 01:01)
IoT-Detect: 0.00000(2022-08-17 17:31)
Serial-Number: FGVMEV0IGQHQ4A2F
License Status: Invalid
VM Resources: 1 CPU/1 allowed, 984 MB RAM/2048 MB allowed
Log hard disk: Not available
Hostname: FortiGate-VM64-KVM
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 2
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1740
Release Version Information: GA
FortiOS x86-64: Yes
System time: Thu Mar 20 02:30:02 2025
Last reboot reason: power cycle

FortiGate-VM64-KVM # 
FortiGate-VM64-KVM # 
FortiGate-VM64-KVM # conf sys int

FortiGate-VM64-KVM (interface) # edit 
name    Name.
fortilink   static   0.0.0.0 0.0.0.0  10.255.1.1 255.255.255.0  up   disable   aggregate  
l2t.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel  
naf.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel  
port1   dhcp   0.0.0.0 0.0.0.0  192.168.56.135 255.255.255.0  up   disable   physical  
port2   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
port3   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
port4   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   physical  
ssl.root   static   0.0.0.0 0.0.0.0  0.0.0.0 0.0.0.0  up   disable   tunnel

FGVMEV0IGQHQ4A2F login: admin
Password: 
Verifying password...

Welcome!

FGVMEV0IGQHQ4A2F # 
FGVMEV0IGQHQ4A2F # get system status 
Version: FortiGate-VM64-KVM v7.2.11,build1740,250210 (GA.M)
Security Level: High
Firmware Signature: certified
Virus-DB: 1.00000(2018-04-09 18:07)
Extended DB: 1.00000(2018-04-09 18:07)
Extreme DB: 1.00000(2018-04-09 18:07)
AV AI/ML Model: 0.00000(2001-01-01 00:00)
IPS-DB: 6.00741(2015-12-01 02:30)
IPS-ETDB: 6.00741(2015-12-01 02:30)
APP-DB: 6.00741(2015-12-01 02:30)
FMWP-DB: 0.00000(2001-01-01 00:00)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 1.00001(2015-01-01 01:01)
IoT-Detect: 0.00000(2022-08-17 17:31)
Serial-Number: FGVMEV0IGQHQ4A2F
License Status: Valid
VM Resources: 1 CPU/1 allowed, 984 MB RAM/2048 MB allowed
Log hard disk: Not available
Hostname: FGVMEV0IGQHQ4A2F
Operation Mode: NAT
Current virtual domain: root
Max number of virtual domains: 2
Virtual domains status: 1 in NAT mode, 0 in TP mode
Virtual domain configuration: disable
FIPS-CC mode: disable
Current HA mode: standalone
Branch point: 1740
Release Version Information: GA
FortiOS x86-64: Yes
System time: Wed Mar 19 23:33:22 2025
Last reboot reason: warm reboot

1. 디렉토리 생성

mkdir /opt/unetlab/addons/qemu/fortinet-FGT-v6-4-build1579/

2. 이미지 업로드

3. 권한 수정

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

*ATTENTION*: Admin sessions removed because license registration status changed to 'INVALID' 발생 시

■ NTP 동기화 비활성화 후 reboot

config system ntp
set ntpsync disable
set type custom
end

execute reboot

GUI 접속 확인

eve-ng 사이트 vQFX 설치

mv /opt/unetlab/addons/qemu/vqfxpfe-10K-F-17.4R1.16/cosim_20180212.qcow2 /opt/unetlab/addons/qemu/vqfxpfe-10K-F-17.4R1.16/hda.qcow2

mv /opt/unetlab/addons/qemu/vqfxre-10K-F-17.4R1.16/jinstall-vqfx-10-f-17.4R1.16.img /opt/unetlab/addons/qemu/vqfxre-10K-F-17.4R1.16/hda.qcow2

1. 디렉토리 생성

- 버전 18.4R1.8
mkdir /opt/unetlab/addons/qemu/vqfxpfe-10-f-18.4R1.8
mkdir /opt/unetlab/addons/qemu/vqfxre-10-f-18.4R1.8
- 버전 17.4R1.16
mkdir /opt/unetlab/addons/qemu/vqfxpfe-10K-F-17.4R1.16
mkdir /opt/unetlab/addons/qemu/vqfxre-10K-F-17.4R1.16

2. 디렉토리에 PFE/RE 이미지 업로드
Upload the downloaded images to the EVE newly created directories using FileZilla or WinSCP.

cosim_20180212.qcow2 --->  /opt/unetlab/addons/qemu/vqfxpfe-10K-F-17.4R1.16
jinstall-vqfx-10-f-17.4R1.16.img --->  /opt/unetlab/addons/qemu/vqfxre-10K-F-17.4R1.16

3. 파일 형식 변경(qcow2)
cd /opt/unetlab/addons/qemu/vqfxpfe-10-f-18.4R1.8/
cp cosim_20180212.qcow2 hda.qcow2

cd /opt/unetlab/addons/qemu/vqfxre-10-f-18.4R1.8/
cp jinstall-vqfx-10-f-18.4R1.8.qcow2 hda.qcow2

4. 권한 수정
cd /opt/unetlab/wrappers/
:/opt/unetlab/wrappers#unl_wrapper -a fixpermissions

================================================

deactivate system syslog user * 

delete system login user vagrant

wildcard range delete interfaces xe-0/0/[0-71]
q
wildcard range delete interfaces et-0/0/[0-71]

wildcard delete interfaces xe-0/0/[0-71]
yes

delete interfaces xe-0/0/8:0
delete interfaces xe-0/0/8:1
delete interfaces xe-0/0/8:2
delete interfaces xe-0/0/8:3
delete interfaces xe-0/0/9:0
delete interfaces xe-0/0/9:1
delete interfaces xe-0/0/9:2
delete interfaces xe-0/0/9:3

commit

================================================

vQFX 정상 설치 후 ping 안되는 경우
pfe와 re RAM 할당 조정 필요

pfe : 1024
re : 4096

Log 자동 저장

라인 수 설정

세션 유지 설정

폰트 설정

설정 저장

Global Options > Terminal > Tabs/Tiling