チェックポイントスレッド

**NG(No Good)** · 02/08/31 01:36

・圧倒的なFireWall市場のシェアでユーザーも多いと思われるチェックポイント
・最近NetScreenの勢いに押されがちなチェックポイント
・ライセンス高すぎるぞチェックポイント
・ライセンスの種類多すぎるぞチェックポイント
・圧倒的に多機能だぞチェックポイント
・設定しやすいGUIという割に結構不可解な落とし穴があるぞチェックポイント
・もうすぐFP3が出てまた機能が増えるぞチェックポイント
・バージョンアップ作業は頭が痛いぞチェックポイント

こんなチェックポイント製品についてまたーりと語りましょう。

技術的な悩み・ライセンスへの悪口・NetScreenに勝てるのか？など・・・

**ルーター＠通信技術板** · 02/08/31 01:37

新スレおめでとうございます。

**NG(No Good)** · 02/08/31 01:51

リンク（オフィシャル）

http://www.checkpoint.com/
http://www.checkpoint.co.jp/

リンク（アンオフィシャル）

http://www.phoneboy.com/
http://www.deathstar.ch/security/fw1/
http://sec.spruce.se/fw1/
http://daniel.granlundkommunikation.nu/fw1/docs/joe/
http://www.enteract.com/~lspitz/

**NG(No Good)** · 02/08/31 01:59

価格対性能比で単純に比べるとCheck Point+ハードはNetScreenに勝てませぬ。

ただ、例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。

ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。

02/08/31 04:42

>>4
>例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。

まあ、それ以前に実績が違うわな
スピード以外はあらゆる面でFirewall-1の圧勝だから
セキュリティを主に考慮した設計では普通はFirewall-1を使うべきだと思う
#ただしDoSに対してはどうしてもASICより弱いけどね

NetScreenはいろんな意味でバグだらけだよ

>ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。

ASFがある程度の答えをだしてるよね
専用バランサでロードバランスするってのが一番いいでしょう
ASFは評価したこと無いけど、AlteonとNetScreenの圧倒的な性能差から考えれば、
少なくともスピードはASFの圧勝なんじゃないかな？

ただ、セッション処理SPの振り分けロジックがAlteonといっしょだったりしたら萎えだな
あのロジックはあんまりFirewall向きではないと思う

-- · 02/08/31 10:53

NokiaIP + Fw1で年間保守料100マソって他界と思うんだがどうよ

-- · 02/08/31 11:06

なんか、Fw1と連携して動かすプラグインソフトがサードパーティから結構出てるんだよね。
そこラ変も売りなんですかね？
DHCPサーバーと連携させたり（あれはサードパーティじゃ無いけど）

02/08/31 18:12

>>6
機種が不明、高いか判断できん
初年度か次年度以降かも言ってみれ

**あぼーん** · NG

あぼーん

-- · 02/08/31 23:01

>>8
よんひゃくシリーズ、継続保守。
ハードが逝ったんで業者頼んだら、３ホップぐらい別会社を転々と回されたよ。
あとFw1本体は更に別会社のサポート範囲だそうだ。
これとは別件でグレード別のサポートとかがあるんかフォーバルに聞いたことがあるが、
質問チケット渡されるのに一週間、更に営業が回答をよこすのに半月かかった。

02/09/01 03:22

>>10
全然普通の値段

**>> 11** · 02/09/01 08:54

何と比べて？
同クラスの
PIX? | Sun Screen ? | NetScreen ?

**なんかNetScreenに比べてsageてますね** · 02/09/03 21:59

たとえばこう言う事は出来るんでしょうか？
Active mode FTPの用にクライアントからトリガするが、
サーバーからもコネクションを張りに行くような場合、
FTPの用にメジャーなプロトコルであれば何処の製品でも
サポートしてると思うのですが、
マイナーなプロトコルの場合は如何してるのでしょう？

Fw-1のポリシーをGUI Clientではなくテキストで編集できれば、
その当たりも可能かと思うのですが、如何ですか？

私のところでは上記の需要は有りませんが、動画配信などでこーゆーシーケンスを辿る
プロダクトが有るような気がします。

02/09/03 22:04

>>13
いわゆるReｌatedコネクションだな
そういえば組み込みポリシー以外のReｌatedコネクションを
ユーザが定義できるFirewallって見たこと無いな
どっかにあるの？

#確かにFirewall-1はpfを自分で書けばできそうな気はする

1 · 02/09/04 01:24

>>6

NOKIAもCheck Pointも単体製品として保守料を取るからあわせるとソフト・ハードが単一メーカーの場合よりどうしても高くなってしまう気がする。

NOKIAのOS(IPSO)だかFireWall-1だか原因がわからないようなトラブルだと結構たらい回しにされるし。

提携結んで戦略発表するのもいいけど、セット割引価格体系とかなんかないかな。安いものが売れる時代だし。

>>14

インスペクト言語というC言語に似たマクロによって$FWDIR/lib/user.defファイルに定義することができるらしいです。ただ、これに関してはリファレンスがあるだけで、私自身実例を持っているわけではありません。プログラマじゃないのでリファレンス見てもちんぷんかんぷん。

>>13

REALやQTのRTSPとかMS Media PlayerのNetshowなんかは対応済み。NetMeeting(H.323)なんかも対応している。

OracleとかRPC(Sun RPCやDCE-RPC)ベースのアプリもプログラム番号で制御できる。やったことないけど。

チェックポイントは定義済みのプロトコルが多いです。最新のVer NG FP2ではSIPへの対応をうたっていて、SIPメッセージに対応するRTPやRTCPストリームを安全に通すことができるそうな。

http://www.checkpoint.co.jp/pr/2002/20020611.html

次期バージョンのFP3では、HTTPポートで行われるSOAPとかXMLを利用したWebサービスをアプリケーションレイヤーで制御できるようにするそうな。この辺のプロトコルはよくわかりませんが。

http://www.checkpoint.com/press/2002/xmlsoap082702.html

逆に、NetScreenってASICベースでどのぐらいこのあたりについて柔軟性があるんでしょうね。柔軟性がなければいろんなアプリを通すならチェックポイントかなっていうことにもなるし。

FTPなんかで、今のバージョン(NG)だと別ポートをFTPサービス用として定義すれば、別ポートでもPORTコマンドやPASVコマンドリプライに応じてデータコネクションを開けるんですが、こういう設定ってNetScreenはできるんでしょうかね。

1 · 02/09/04 01:37

>>5

ASFってあんまりうわさ聞かないんですが、触った方おられます？見た目はACE DirectorとDell Power Edgeの1Uサーバの寄せ集めなんですが（笑）

N+Iでも静展示しかなかったような。

そういえば、N+IでNOKIAやっている阿須ジェントが別会社のX40Sっていうシャーシ型の大型アプライアンスを動展示してましたね。LINUXベースらしいですが。

? · 02/09/04 09:38

機能に関してはソフトベースが圧勝するのは当然だと思いますよ
Reｌatedセッションの処理は最たるものでしょう
だから用途に応じて臨機応変に選定する必要があるかと

ただ、どうしてもソフトベースってDoSに弱いというイメージがあるんですけどどうですか？
特にUnixワークステーションに乗っけると、、、、

>Dell Power Edgeの1Uサーバの寄せ集め
よく知りませんが、Juniperだって中身はただのPCらしいですからね
PacketShaperなんてベンダが"これはパソコンです"ってのたまったし

ところで、Firewall-1は意外にNATの自由度が低いと思う
SrcIPとDstIPレベルの組み合わせしかNATのルールを定義できないけど
NetScreenはプロトコルごとに別のNATとかできるよね
その代わり双方向NATはできるわけだけど

#良スレなんで上げていこう
#自治厨がルータ気取るスレは板汚しなんで良スレで埋めましょう

1 · 02/09/04 23:20

>>17?

NetScreenやSonicWallがあってCheck Pointがないのも寂しいので
たててみました。反応もあるようでうれしいです。

用途に応じてってところをなかなか説得力を持って説明できる営業
とかコンサルって結構少ない。NetScreenの売り込みで使われてい
る比較表を元にするとNetScreen最強に見えてくるし。NetScreen
も覚えなきゃ食いっぱぐれるかなーなんて思ったり。

>ソフトベースってDoSに

OSの要塞化と自身を守るルールである程度防げるかと思っていま
すが。

デフォルト設定の同時25000セッション状態でセッションの多い
HTTPサーバを守っているとステートテーブルいっぱいってことが
あります。メモリ増設とカーネルチューニングである程度防げます
がね。でもこれをやってしまうと保守対応がいろいろと・・・。

あと、モジュール・マネージメント同居マシンでログを閲覧すると
fwmプロセスが逝っちゃうことが・・・。ログ閲覧が管理者による
DoS攻撃になるという笑えない事態も。

1 · 02/09/04 23:21

>>17

>NATの自由度

実はできますよ、ポートごとの設定。NAT Ruleを手動で定義すれ
ば。Ver 4.0までのfwuiのGUIだと設定できないんで知らない方も
いるかもしれません。MotifやWindowsのポリシーエディターで
NATタブにソースとデスティネーションのネットワークオブジェ
クトとサービスオブジェクトで定義。ネットワークオブジェクト
のNATタブは使わないこと。

Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな
ったのでGUIだけで設定を完了できるようになったところがGood。

NetScreenのNATパフォーマンスっていいんでしょうか？このあ
たりもASICで高速化とかやっているんでしょうか？FW1だとNo-
NAT比でスループットが5～30%程度落ちる可能性があると某所
で聞きました。

**anonymous@** i037022.ap.plala.or.jp · 02/09/05 00:53

穴らしい

http://www.securiteam.com/securitynews/5TP040U8AW.html

17 · 02/09/05 19:31

>>18-19
プロトコルベースのNATってできたんですか、、、、
かなり恥ずかしい

>Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな
>ったのでGUIだけで設定を完了できるようになったところがGood。
これ、重要ですね
別に書くのが面倒なわけじゃなくて、冗長組んでるところで
待機系FWの設定ミスとかがなくなるのがうれしいです。
#起動スクリプトをNFSで共有ってわけにはいかないですよね(W

>デフォルト設定の同時25000セッション状態でセッションの多い
>HTTPサーバを守っているとステートテーブルいっぱいってことが
>あります。メモリ増設とカーネルチューニングである程度防げます
>がね。でもこれをやってしまうと保守対応がいろいろと・・・。
ここなんですけど、NATのセッションリミットって
NATのハッシュサイズが16ビットが上限なので
NATセッションは最大でも5万だって思ってたんですけど、
これって間違いですか？
#もしくはNGで解消されている？

セッションテーブルの最大サイズはハッシュサイズが32ビットまでOKらしいので
メモリ増やせばいいんですが、NATセッションの上限が5万だと
NATしてる場合は結局こっちに足を引っ張られてしまいます。

#4.1のドキュメントにはNATは最大でも5万までと書いてあったので、、、

>NetScreenのNATパフォーマンス
かなり速いです。
NS-200以上であればNATで3000con/secいけます。

02/09/25 23:36

すいません

某製鉄屋のグループ企業のサポートが
全く役に立たないので質問させてください。

Firewall-1のFTP-DATAセッションのテーブル作成トリガと
削除トリガについて詳しい方はいらっしゃるでしょうか?

自分の認識ではテーブルの作成はPORTコマンド、PASVコマンドの通過で、
削除トリガは通常のTCPセッションに準ずると思っているのですが、
実際には、PORTコマンドが通過しても、続くRETRやNLSTにエラーが出れば、
FTP-DATAセッションは張られません。
この場合、セッションテーブルはタイムアウトまで残ってしまうのでしょうか？

FTPのバッチ処理を行っているところで、FTPの失敗が多発していたため調査したところ、
どうも、セッションエントリのあるポートを対象としたPORTコマンドをFirewall-1がRSTしているようなのです。

バッチであるために存在しないFileへのNLST要求等が多数あったりするため、
PORTコマンドとPORT_Succesfullは通過しても、実際にはDATAセッションが張れらないケースが多くあります。

この時のPORTコマンドで指定されたセッションが
セッションテーブル上に大量に残っているのが原因ではないかと考えているのですが、
実際のFirewall-1のFTPのハンドリングの仕様はどうなっているのでしょうか?

#鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちません

**anonymous@** t046.jscom.co.jp · 02/09/26 11:31

>22

> #鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちませ

サポートしてた実力あるメンバーは、電話関係に回されたり、スピンアウトしたりしたからにゃ。

**mj.pref.mie.jp** · 02/09/26 16:40

mj.pref.mie.jp (pri=10)
http://www.nanet.co.jp/rlytest/relaytest.html
<<< 220 CheckPoint FireWall-1 secure SMTP server
問題あり：不正な中継を受け付けます。
(61.114.229.2)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

http://uptime.netcraft.com/up/graph?mode_u=off&mode_w=on&site=www.pref.mie.jp
OS Server Last changed IP address Netblock Owner
Windows 2000 Microsoft-IIS/5.0 7-Mar-2002 210.229.192.3 Mie Prefectural Government

?????????????
http://www.pref.mie.jp/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

02/09/26 17:04

Netsceenに押されようともFW-1はまだまだ安泰でしょう。

ちなみにRaptor(SEF)は絶滅危惧種です。
RED DATA BOOKにも載ってるので間違いないです。

1 · 02/09/27 01:16

しばらくぶりです。

>>21

冗長ソフトだとたまに実インターフェイスと違うARPをProxyARPで書
かなきゃならない場合があるけど、NGの自動設定は追従できるのか
、やってない(w

NGのセッションリミットって、なかなかいい資料が出てこない。NAT
テーブルlimitって設定自体NGではみあたんない。4.1まではNAT limit
50000/hash size 65535ってことだと思ってますが。

上記のような制限についてのNGに関する解説がない。でもこの制限が
なくなったというお知らせも見たことがない。歯切れのいい説明を→CP。

1 · 02/09/27 01:16

>>24

SMTP security serverのセキュリティーは設定次第と思うが。

ただ、Ver 4.0以前のSMTP security serverは普通の設定(*@foo.com宛を許可等)だと"%"文字を使ったソースルートリレーなんかが通っちゃうぞ。

>>25

絶滅危惧種といえばSunScreenとかborderware最近聞かないんですけど・・・。

SymantecもVirus対策なんかを積極的に取り込めばユニークな製品ができそうじゃないかと思っていたのですが・・・買収してどうするんだろ。Raptor Eagle,Axent Raptor,Symantec Enteprise FireWallとまさに流転。

1 · 02/09/27 01:26

>>22

製鉄屋といえばFW1に関しては老舗と思っていましたが・・・。

FTP連続実行で通らない場合は、FW-1のknown TCP servicesとPORT
コマンドの指定が重なった場合にそのポートのopenを拒否するとい
うFW-1の仕様に引っかかっている場合が多いですが、どうでしょう。

http://www.forvalcreative.com/jpn/support/fw-1/V4.0/faq/fwV4_faq_mg0001.htm

なかなかはた迷惑な仕様です。セキュリティーのためとはいいますが。

FTPのportコマンド後に実際にdata connectionが開かなかった場合、
どうなるのかというところまで突き詰めたことはないですね。TCPセ
ッションテーブルの常識から考えると3-way-handshakeが成立しなか
った時点でデフォルトのtcpstarttimeoutによって60秒でステートは
破棄されるはずですが。

ステートテーブルを疑うのであれば、とりあえず見てみないことには。
切れた時のポート番号と同じステートが存在しているのかどうか
を。"fw tab -t connections -u"で得られるHEX値から根性で見つけ出
すのも一興かと。以下を参考に読んでみるのがいいかも。

http://www.deathstar.ch/security/fw1/EnterpriseManagement/FAQ0133.htm

**sage@** gw-s1.ns-sol.co.jp · 02/09/27 05:32

鉄屋だからってなめんなよ

22 · 02/09/27 07:10

>1氏
サンクスです！
解決しそうです。

FTP失敗のキャプチャを確認したところ、
Xwindowsで予約されてる6000番台と、
独自にサービス定義している特定のポートレンジで大量に失敗していました。

鉄屋は、
"セッションテーブルに存在するセッションとポートがかぶっているせいだから、
使用中ポートでも通す設定を入れれば直る"
といっていたので、セッションが長時間残留する可能性を色々考えて
>>22の質問をさせてもらったんですが、
どうやら実際は定義済みポートのせいだったようです。
#鉄屋の言うこと聞かなくてよかった

>>29
逝ってよし!

**age** · 02/10/17 00:57

2台のFW-1をVRRPで冗長構成組んでる人いる? ちゃんと動いてる?
うちではマスタがよくハングアップする…
一応ちゃんとバックアップに切り替わるんだけどねー

**anonymous@** m030008.ap.plala.or.jp · 02/10/18 00:14

>>31
よくぱたついてるYo！

このスレ、非常に興味あるんだけど、
あんまり細かいこと書くと身元ばれる危険性が....。
みんな、結構愚痴りたい事とか色々書きたい事あるんじゃない？

**三菱はよく使っている？** · 02/10/18 08:53

**○anonymous** · 02/10/19 03:54

>31

NOKIAの場合
　インターフェース監視デーモンは停止してる？？

ＦＷ－１一般の場合
　内部で、Dynamic Routing Protocolが動いていて、
ルーティングテーブルが変化すると、ぱたつくよ。。

その他にも、いろいろ原因あるけど。。

**○anonymous** · 02/10/19 03:57

>32

まったく、同感。。

でも、ポリシーエディターは、他のＦＷに比べて使いやすいから、
複雑なルールを書く場合は、重宝します。。

しかし、資格試験の、メニューのどこに何があるかなんて
愚問は止めて欲しいな。。何の役にも立たない知識。。

? · 02/10/19 20:21

>>35
既に身元ばればれというか確信犯なひともいるようですが、、、

>>34
昔、デフォルトルートの冗長化のためにFW-1でRIP使ってたとき、
VRRPじゃ無いけどとある冗長アプリでそんな感じの現象がありました
それ以来、FW-1ではダイナミックルーティングはご法度にしてます

今は大抵の機器にVRRPやHSRPがあるから
Firewallでは必ずしもダイナミックルーティングはいらないよね

ルーティングテーブル用のメモリももったいないし
NetScreenが頑なにスタティックにこだわるのもそのせいかも

31 · 02/10/19 23:01

私のところでは、>>32みたいにぱたつくんじゃくて、
マスタが突然だんまり(ハングアップ)になっちゃうので、
リブートするしかなくなるんですよ。
ハードウェア交換してもダメでした。

>>31 ノキアなんですが、
インターフェイス監視デーモンがいると何か悪さするんですか?

**○anonymous** · 02/10/20 00:42

>37

インターフェース監視デーモンがある状態で、ＶＲＲＰをしていると、
ＤＲだけじゃなくて、ＮＴＰの同期や、それ以外の場合でも、
ルーティングテーブルが変化したと、誤認識して、トラぶります。
（ＦＡＱレベルのお話ですが）

基本的に、ＶＲＲＰでは止めましょう。。

副作用は、インターフェース増設時に、自動で認識しないこと。。だけですし。
（いらんわな。。ふつう）増設時だけＯＮにして、認識後、オフにしても
ＯＫ．．（手動だと、コマンド長いけど）

35 · 02/10/20 00:44

>36
> 既に身元ばればれというか確信犯なひともいるようですが、、、

お仲間？？

**anonymous@** p7005-adsao01yokoni-acca.kanagawa.ocn.ne.jp · 02/10/20 21:30

>>36
NS の営業から OSPF 喋るようになったと聞いたんだけど。
まぁ、全然期待していないし、 FW-1 のほうが好きだし（くたばれ、 NS! ）。

**○anonymous** · 02/10/20 22:31

>40

ＯＳＰＦ使って、ＶＰＮの冗長化が可能になったみたいよ。。

1 · 02/11/04 00:53

久々にきたらレスがついている。NSスレの勢いには負けるが・・・。

>31

ifwd停止はNOKIAの常識かも・・・。存在意義よりリスクの方が遙かに高い。デフォルトOnなのが鬱。

それとはずしているかもしれないけど、NOKIAのパフォーマンス向上機能flowsに要注意(w

FireWall-1 4.1 SP2(Build24)～SP5(無印)でflowsを動かす(というかデフォルトで容赦なく動いている)と結構問題あるぞ。特にstate sync(VRRPやるときは設定するよね)していると原因不明停止散発(多発じゃないのがミソ)。

上記のバージョンでコマンドラインからipsofwd listとコマンドを打ってflowpathと返ってきたら、いつハングアップするかわからない(w。
スループットはIPSO3.2.1並に低下するけどipsofwd slowpathって打てばとりあえず安心。リブートしたら戻っちゃうから起動スクリプトあたりを編集してみたりなんかして。

どうもflowsとstate syncの組み合わせには問題があるっぽいっていうことでhotfix出たり一年ぐらいばたばたやって、前代未聞のfor NOKIA専用サービスパック4.1SP5a登場。これ以降のトラブル事例は知らない。
現状だと4.1SP6+OpenSSL hotfix+IPSO3.5-FCS10!これサイキョウ。NGならぼちぼちFP3かなとも思うけどまだ信用できないのでFP2+hotfix特盛り。

1 · 02/11/04 01:03

>36

RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。

>41

OSPFでVPNが切り替わるって大変なことだと思います。だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ？)が書き変わるってことですよね。どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。

Ver NGにはMEPっていう技があるがこれはうごくんだろか(w

? · 02/11/04 21:54

>>43
>RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。

設定ミスにしろ、悪意にしろ、内部の機器がいいかげんなRIPをはいたり、
リモートからのブロードキャストが届くようなネットワークは
その時点でネットワーク自体が終わってるとおもうのですが

ユニキャストのRIPがどう扱われるかは試した事は無いけど、
FW-1でユニキャストのRIPをフィルタしてれば問題ないですよね

>OSPFでVPNが切り替わるって大変なことだと思います。
>だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ？)が書き変わるってことですよね。
>どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。

OSPFはUnnumberd用のロジックがあるので、
TunnelにOSPFのせてTunnelに結びついた経路を切り替えるとおもいます。
IPSecとしては全く変化していなくても、ルーティングテーブルが変わればいい訳ですから。
でも、Tunnelを切替えるのではなくて、単にTunnelのNextHopを切りかえるだけかもしれませんね(W
#詳細知ってる人は教えてほしい

ただ、NetScreenってセッションごとにNextHopのMACをキャッシュすることで速度をだしてるんで、
OSPFで冗長化するには経路に変化があるたびに、
全セッションのキャッシュをフラッシュして作り直さなければなければ成ならないような気がします。
#関連セッションだけ書き換えるような実装ができるとは思えない

正直、NetScreenが何を思ってOSPFを実装したかがわからないです。

**○anonymous** · 02/11/06 00:03

>44
Ref.

http://www.netscreen.com/support/app_notes.html

Dynamic Routing Protocols via Route Based VPN's

1 · 02/11/06 01:34

>44

まあ、そうだとは思いますが・・・そういう終わっているネットワークとおつきあいするのがお仕事だったり。

そう、フィルタリングしておけばまともなネットワークなら問題ないです(w

>45

ちゃんと読んでないしそもそもNetScreenさわったことないけど、NetScreenだとルーティングテーブルでNextHopがIPsec Tunnelになるのね。これならできそうかも。
Check PointだとOS上のルーティングテーブルにはVPN系の経路は出てこないし、ダイナミックルーティングプロトコルの動きはVPNに影響ないでしょう。

L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとかポート番号とかアプリケーションレイヤー情報とかを全部含んだflowがセッションごとに作られる感じなんでしょうか。

世の中いろいろあるなぁ。

? · 02/11/06 06:51

>L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとか
>ポート番号とかアプリケーションレイヤー情報とかを
>全部含んだflowがセッションごとに作られる感じなんでしょうか。

そうです。
既存セッションはセッションテーブルしか見ないのですが、
セッションテーブルにはセッションの識別情報以外は、
DstMacとActionと（NATの場合は)NATのIPが入っているだけなのです。

ですから経路が変わった時には、当然セッションテーブル内の情報も変わるはずなのですが、
DstにしろSrcにしろ、各エンドノードをNetworkとして把握しているわけではないので、
#速いルーティングでこれができるのってCEFだけのような気がします
おそらく全てのセッションを対象としてキャッシュの作り直しが必要だと思うんです。
これって物凄いオーバーヘッドになるような気がします。

NetScreenのOSPFはVPNに特化して使うべきなんでしょうね。
Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。
まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。

**○anonymous** · 02/11/06 15:42

>47

> Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。

NSは、Ｓｔａｔｉｃルートの数の制限きついんで、、困ったりします。

> まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。

４．０は、まだまだバグバグで、、困ってます。。
r5が飛んでr6が出たくらいですし

**NOKIA** · 02/11/06 22:50

困った。教えてほしい。
NOKIA IP330 冗長化構成(F/W-1 NG FP2)問題は2つあるのよね。

1.MasterとBackupで構成とってるつもり、プライオリティもそれなりのつもり。
しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。
もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。。。
設定悪いのだろうね。デルタもちゃんと設定しているつもり。。片方死んだらちゃんと
切り替わるところまでは確認してんだけど。。

2.FireWall NG FP2
何者だコヤツは。。。CVPでSecureServer使ってるけどコンテンツのチェックが
厳しすぎ・・・見えないページ続出・・・FTPで転送できないファイル続出
おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って
reject・・・NGには負けました。。

誰か。。。。情報キボン

**５０!!!!!!!!!!!!!** · 02/11/06 23:22

何となく盛り上がっている？？？？

**○anonymous** · 02/11/07 00:11

>49

> しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。
> もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。

ＶＲＩＤの設定とかは？
ＶＬＡＮ切ったＳｗｉｔｃｈで接続するときに嵌まる人多いみたいだけど

モニターポートの設定は？？
ＮＴＰの設定は？ＶＲＲＰ　Ｖ２ or Monitored Circuit？？

もう少し情報が無いと回答できないよ

> おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って
> reject・・・NGには負けました。。
>

１０２４以下のポートのＦＴＰを許すためには、直接設定ファイル書き換えてね。
ＦＡＱにあるから。。

**NOKIA** · 02/11/07 00:43

>>51
ありがと!!!

>ＶＲＩＤの設定とかは？
>ＶＬＡＮ切ったＳｗｉｔｃｈで接続するときに嵌まる人多いみたいだけど
うーーーん。まったくの初心者だから「わからない」ゾ!!明日設定見てみます。

>モニターポートの設定は？？
>ＮＴＰの設定は？ＶＲＲＰ　Ｖ２ or Monitored Circuit？？
これはMonitored Circuitです。

>１０２４以下のポートのＦＴＰを許すためには、直接設定ファイル書き換えてね。
>ＦＡＱにあるから。。
ごめん。どこにあるの?　教えてください。
なぜ、こんなにめんどくさいのだろ・・・修行します。。(T_T

**名無しさん＠Ｅｍａｃｓ** · 02/11/18 23:17

mod_zapって何するもの?

といいつつ今日も黒いケーブルを探し回る厨なオレ

**山崎渉** · 03/01/15 22:36

（＾＾）

**ﾈﾀない？** · 03/02/06 02:56

身元ﾊﾞﾚない程度のﾈﾀｷﾎﾞﾝ

**名無しさん＠Ｍｅａｄｏｗ** · 03/02/10 00:55

Netscreenよりさらに触ってるやつかぎられるから・・・
身元ばれないネタって難しい。

みんなはnokia使ってるの? linux? sun?

03/02/10 01:58

NGでマニュアルよく読まずに検証環境作ってたら、
FMとMMが全然通信できなくて、200回くらいput keyやったよ
そりゃあもうしつこくしつこくやってやったさ
まさかNGのput keyが下位互換のためだけにあるとはしらずに、、、

1日まるまる無駄にしたよ
マニュアルはちゃんと読もうね

03/02/10 02:39

>>57
すまんが、ﾜﾗﾀ

**sage** · 03/02/10 08:56

＞57
よくきく話だな
前バージョンからputkeyが一回じゃうまくいかないことが結構あったから、
固定観念でputkeyに失敗してると思っちゃうんだろうな

**名無しさん＠Ｅｍａｃｓ** · 03/02/12 01:19

Nokia IP 330でFW-1 NG FP2を使っている者です。

トラフィックを掛けながらCPU負荷を見ていて疑問に思ったのですが、
accept, deny, dropのそれぞれにマッチした時の負荷の重さが
(重い) deny > drop >> accept (軽い)
なんですね。

denyが重いのは直観に則しているのですが、なぜacceptよりもdropの方が重いのでしょうか。

60 · 03/02/12 18:31

すみません。

(誤)deny
(正)reject

の間違いです。

(重い) reject > drop >> accept (軽い)

になる理由がわからないんです...

? · 03/02/13 00:00

>>60
トラフィックのかけ方次第のはずです。
単一のSrcIP/SrcPortからのIP(UDP含む)のバーストか、
普通に成立するTCP通信である程度大きなデータが流れている場合は、
Acceptした方が負荷が低いです。

一般的なFirewall（特に箱モノ）は、セッションテーブルの作成が一番高負荷で、
次にポリシーをなめる動作の負荷が高いです。
#Syn-Proxyみたいな論外な動作は除く
上記のような通信だと、ほとんどの通信がセッションテーブルにマッチするので
1パケ毎に毎回ポリシーをなめてパケットを捨てる方が負荷が高いはずです。

TCPセッションのジェネレータ（AveranceやPolygrah）で
1セッションのデータを抑えて大量のセッションを生成すると、
おそらくAcceptの方が高負荷になるはずです。

ただ、Firewall-1のロジックを真面目に追っかけたことが無いのである程度想像になります。

**あぼーん** · NG

あぼーん

**60=61** · 03/02/15 00:05

>>62 謝謝。

acceptの方が軽かったのは、最初のパケットでセッションテーブルが作られて、
以後はポリシーを引かないからなんですね。
納得しました。

ということは、不特定多数のdstの1434/udpにパケットを送信するサーバが
firewall下にあると、非常に重くなりそうですね。
(ホンモノを捕まえて検証環境で飼ってみたひ...)

**megudon** · 03/02/24 21:27

ＮＯＫＩＡ　ＩＰ３３０の　ａｄｍｉｎパスワードを忘れたのですが、
リカバリーの方法を教えて下さい。

**名無しさん＠Ｍｅａｄｏｗ** · 03/02/24 23:39

ip330なら電源入れた後、"1,ipso or 2,bootmgr"の選択で
bootmgrを選択する。
後はメニュー選んでけばOSリカバリできるんじゃない？
440とかなら付属のフロッピーで一発だけどね・・・

**megudon** · 03/02/25 21:04

>>66
どうもありがとうございます。
試してみます。

**同様のスレッド** · 03/02/26 22:57

http://pc.2ch.net/test/read.cgi/sec/1044552574/l50

03/02/27 01:31

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

FINAL FANTASY X-2 店頭用プロモーション　公開中！！
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

**あぼーん** · NG

あぼーん

1 · 03/03/06 01:19

しばらくぶりにきてみました。

>>64

IPSO版だとセッションテーブルができた後のパケット処理はFireWall-1ではなく、OSのflows機能が使われるので、さらにCPU使用率が低くなるのかも。

ipsofwd slowpathコマンドでOFFにしてみたらAccept時のCPU使用率が上がるかもしれません。比較検証以外の意味はないですが;;;戻すときはipsofwd flowpathコマンド。

>>66

それだと再インストール手順ですね。設定が消えます。

以下の「How do I wipe the admin password?」ってのに載ってますが、boot:に-sを入力してシングルユーザーモードで起動した後、Ver 3.3.1以前では/etc/overpwコマンド、3.4以降ではdbpasswdコマンドで再設定。

1 · 03/03/06 07:32

>>71

リンク付け忘れた;;;

http://support.intersec.com/FAQs/firewalls/nokia/nokia.htm

>>53

ipso版のカーネルモジュールを書き換えるコマンドとしか・・・。

GUIやASCIIテキストの設定ファイル書き換えではできない特殊な設定をする場合だけ使うので、必要な場合だけサポートから指示された通りに使っています。

**あぼーん** · NG

あぼーん

**あぼーん** · NG

あぼーん

65 · 03/03/07 08:22

>>71
どうもありがとうございます。
前回、ご回答いただいた方の方法を参考にして、シングルユーザモードでシェルに入るところまでは、成功していたのですが、
ＩＰＳＯには、BSD系UNIXに存在するpasswdコマンドが存在しなかった為、未だリカバリ出来ていない状態でした。
今回、ご回答いただいた方法で、再度試してみます。

**あぼーん** · NG

あぼーん

**anonymous@** global211-195.aitai.ne.jp · 03/03/10 08:27

securemoteなる通信ソフトを取引先から渡されて、四苦八苦しています。
NAT付きルータ噛ませると通信できなくなるのですが、これってNATの内側からだと
通信できないんですか?

それにしても、httpしか使わないのになんでVPN張る必要があるのか…

**anonymous@** p3065-ipbffx01chibmi.kanagawa.ocn.ne.jp · 03/03/10 10:32

>>77
バージョンにもよると思うけど、　NAT越しの場合FireWall-1側で設定しないとだめかも。。。。

**山崎渉** · 03/03/13 17:01

（＾＾）

**○anonymous** · 03/03/15 00:19

>77

そのルータにはIPSECパススルー機能はありますか？－＞あれば有効に。

ロングパケットによる通信の不具合ー＞WINのレジストリを編集して、MTUを１３００程度に変更

＃ひさしぶりに来た

77 · 03/03/20 18:23

>>80
っとですね、ルータはLinux箱(OpenBlockS)をipchains+ipmasqadmで運用しています。
接続開始後しばらく経って以下のエラーが出力されます。
Error: Communication with gateway fw1 at site *.*.*.* failed.

http://www.phoneboy.com/fom-serve/cache/90.html
のページの解説を元に同じ設定にしてあるのですが、どうにも…
MTUの設定もタメしてみましたがダメでした。

相手によるとUDP500番を静的NATで通せば出来るはずとのことなのですが。

**山崎渉** · 03/04/17 12:13

（＾＾）

**あぼーん** · NG

あぼーん

**anonymous@** nripx01.index.or.jp · 03/04/22 11:56

IP330 NGを使っています。
通常のCPU負荷率は、40%程度（Max.65%）なのですが、ある日突然80%以上、一時は
100%まで負荷率が上昇しました。（通信遅延発生）通信量は、通常とほぼ同程度でし
た。それが、4時間程度経過後、突然負荷率が下がり、平常通りに戻っています。
その後、1週間が経過しますが再発していません。
こんなことってあるのでしょうか？IP330で内部処理が走っているとか...
何かご存知の方いらっしゃったら教えてください。

**あぼーん** · NG

あぼーん

03/04/22 14:52

>>84
トラフィックやセッション数はとってないの？
ログは？

DoSくらってたってのが妥当な見方じゃないかな

**LaGuy** · 03/04/22 17:48

トラフィックは通常と変わりませんでした。変なログも見当たりません。
DoSであれば、SYN packet for established connection　でDropされている
のがログに残ると思うのですが、それらしきものはありません。
負荷が１００％になったために、通信遅延が発生してManagerでログを受けきれ
なくなったのが見えますが．．．。困っています。

**あぼーん** · NG

あぼーん

**X-Force** · 03/05/06 21:08

ｷﾞｬｰ
http://www.iss.net/security_center/static/11868.php

**あぼーん** · NG

あぼーん

**anonymous@** airh128008012.mobile.ppp.infoweb.ne.jp · 03/05/13 00:22

良ｽﾚage

**あぼーん** · NG

あぼーん

**あぼーん** · NG

あぼーん

**hoge** · 03/05/21 15:27

ここもあげとかないと

**あぼーん** · NG

あぼーん

**○anonymous** · 03/05/26 01:05

>84

IPSOとNGのバージョンは？
IP330のメモリサイズと、構成は？
（インターフェースモジュールの追加の有無・FW module only or FW&MC？）

**あぼーん** · NG

あぼーん

**aaa** · 03/06/03 02:19

VPN-1 NG FP3で、18264/tcpポートを閉じるには
どうすればいいのでしょうか？(特にwan側）
グローバル・プロパティのチェック全部外したり、
その他いろいろ試してみたのですが、
このポートだけ残ってしまいます。

**あぼーん** · NG

あぼーん

**あぼーん** · NG

あぼーん

**anonymous@** OFSfa-02p5-121.ppp11.odn.ad.jp · 03/06/03 05:33

CSKのセミナー逝って、体験版のようなものをもらったのですが、使い方がわかりません。
確か、1ヶ月間ぐらいは使えるやつだと思うので、勉強用に入れようかと思うのですが。

**-_-** · 03/06/04 00:10

>>101
すみません、CSKのセミナーは体験版を使うことが出来ないぐらいレベルが
低いのですか？

**anonymous@** OFSfa-02p5-121.ppp11.odn.ad.jp · 03/06/04 07:06

>>102
いや、そうじゃなくて、帰りに体験版をもらったんだけど、CDROM1枚とメモみたいな紙1切れで、
Linuxマシンに入れてはみたものの、やっぱ体験版用のライセンスみたいのないと使えないのかなーと
思って書き込んださ。

あなたわかるならおしえてよー。

**あぼーん** · NG

あぼーん

**あぼーん** · NG

あぼーん

**anonymous@** s25.HtokyoFL2.vectant.ne.jp · 03/06/19 16:47

保守挙げ

**1@[Check Point] VPN-1/FireWall-1 CF1 スレッド** · 03/06/20 00:24

　
>>101,103 さん

ネットワークセキュリティ版の
[Check Point] VPN-1/FireWall-1 CF1 スレッド
http://pc.2ch.net/test/read.cgi/sec/1044552574/
から出張に参りました。 m(_ _)m

体験版 CD-ROM のケースを開けると、裏蓋に Certificate Key が記載されて
おりますので、User Center: usercenter.checkpoint.com でその Key から
評価用ライセンスを発行すれば使えるようになりますよ。

もっとも、CCSx を取得しなければ User Center へはアクセスできないと思い
ますが・・・

では、ご成功をお祈りしております。

**あぼーん** · NG

あぼーん

**あぼーん** · NG

あぼーん

**○anonymous** · 03/07/27 01:01

>81

解決されました？？

暇だったのでリンク先確認しましたが、相手先のFW-1のバージョンなどが
どうなってるかによりますが、

NATルータ（FW)越えVPNで開けるポート一覧としては
IKE: IP Protocol 50
Secure Client 4.1SP2以降: UDP Port 2746
Secure Client 4.1SP4 IKE over TCP: TCP Port 500
FW-1 4.1以降・Secure Client 4.1以降間のVPN：TCP Port 264
FW-1 4.0以前・Secure Client 4.0以前が混在する場合：TCP Port 256
FWZのencapsulationのため：IP Protocol 94
FWZのkey交換のため：UDP Port 259
という情報を、以前に貰ったことを思い出しました
（今は当の情報をくれた方は居なくなっているので確認できませんでしたが）

このうち、前半はリンク先に載っていましたが、後半は書かれていないようですね。

**ぼるじょあ** ◆yBEncckFOU · 03/08/02 05:29

　　　　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　・３・） (　　＾＾）＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

**あぼーん** · NG

あぼーん

**(σ・∀・)σ** · 03/12/17 21:42

(σ・∀・)σ

**SmartDefence** · 04/05/05 17:17

揚げてみる。

**ロンガー** · 04/05/14 23:22

hotfix3でた？

? · 04/05/22 01:40

>>115
AIにしろと言われますた

**サポート要員** · 04/05/22 14:11

>>115

HFA-325が実質それに当たるかと。。。

>>116

確かに、FP3のパッチはそろそろ打ち止めかもしれません。ですが、どのAIにするかが問題。

◆JeYFCvvdow · 04/05/22 19:57

>>117
あまり根拠はありませんが、FP3は後1年は大丈夫と読んでいたのですが、
もう打ち止めになりそうですか？

**anonymous@** YahooBB219015054008.bbtec.net · 04/05/22 21:55

私も打ち止めと聞いております。

店長 · 05/01/01 23:41:33

保安電子のゲート買ったけど、なかなかよかったよ

**anonymous@** p23191-ipbffx02marunouchi.tokyo.ocn.ne.jp · 05/01/20 11:34:45

X11 サービス
X11（X ウィンドウ・システム・バージョン11）グラフィックス表示システムはUnix の世界にお
けるグラフィックス・システムの事実上の標準です。X11 を許可するには、X11 サービスを使用し
て特定のルールを作成する必要があります。Services にAny を選択すると、X11 サービスは含ま
れません。

・・・・なんなんだこの仕様は。
何でこんなふうになってんの？

**anonymous@** p5180-ipad30hodogaya.kanagawa.ocn.ne.jp · 05/02/18 00:37:24

F-1ってOracleのMTS対応を謳ってるけど、まともに動いてる？

any-anyだと通ってるところに、SQLnetのルール一個入れたたらとたんに通信がドロップされてしまうのだが。

鉄屋に聞いてもまともな回答こねーし。
これ、詐欺じゃね?ｗ

**anonymous@** YahooBB218128252053.bbtec.net · 2005/05/19(木) 23:13:47

VPN-1/FireWall-1どこから買うのがいいんですか。

**anonymous@** j094163.ppp.asahi-net.or.jp · 2005/05/21(土) 04:31:54

うち

**anonymous** · 2005/05/21(土) 12:50:25

NGX!NGX!NGX!

使った人います？

**たのにます** · 2005/05/25(水) 00:56:39

Nokia IPってどうよ？最近なんかよくこわれませんかぁ？

**anonymous** · 2005/05/25(水) 09:47:09

>>126
全然大丈夫ですが。

**たのにます** · 2005/05/25(水) 16:03:15

2.5インチのHDDが立て続けてアウトになりました

**Anonymous** · 2005/05/26(木) 08:29:34

>>128
もしかして機器がIP350だったりしませんかめぽ？
IP350の初期ロットでハードディスクがアレな物が混じっている
ので難癖つけて早めに交換してもらうめぽ。

**たのにます** · 2005/05/26(木) 12:00:55

>>129
まさにピンポ～ン！です。ただそんなに古いもんじゃないんです（泣）
こりゃちょっとグリグリせんとあかんですね。

**129** · 2005/05/26(木) 13:52:16

>>130
余り詳しく言っちゃうと僕の身元がバレるのでアレだけど
難癖つける時のポイントとしてはハードディスク故障でも
マザーボードも交換させるのがヒントですめぽ。

修復時にHDDのみ交換したんなら、２次トラブルが再発ぽ
はっきりいって「ぶっちゃけありえない」めぽ(涙

**たのにます** · 2005/05/27(金) 11:21:57

>>131
貴重なアドバイスどもです多謝、多謝　m(_ _)m
トラブルのトラブルはゴメンなので本隊こーかん要求
でキマリですね。

**ナイショダス** · 2005/05/30(月) 02:19:35

>>128
そのHDDは鯖クラスでないものをつかってたんダス。
そんでHDDの交換はタダでやってるようダス。
しかしそんなん欠陥ダス。タダで当然。
トラぶったら損害請求してもいいくらいダス。

**NGXってどうよ** · 2005/06/03(金) 00:52:44

最近のVPN-1/FW-1ってサ、もう行くとこ逝ってしまって新しい
のって無い気がしない？確かにSmartDefenseだのSSL-VPNが
入ってきてるがありゃあくまで付け足しであって本体は変わって
ねー気がするのは俺だけですか。NGXはナンデ新しいライセンス
なんだかな。

**anonymous** · 2005/06/03(金) 10:03:16

>>134
NGX のライセンスって今までとどう変わるの？
もしや、バージョンアップも保守に入っていても有償？

**anonymous@** L024145.ppp.dion.ne.jp · 2005/06/03(金) 18:13:48

>>133
それって設計ミスですね。通信機メーカにしちゃちょっとなあ

**admin** · 2005/06/05(日) 14:50:23

最近IP130のHDDと電源アダプタを替えてったよ。

**admin** · 2005/06/05(日) 16:54:56

確認終了、あーあ休出、シスアドも楽じゃない

**sage** · 2005/06/12(日) 15:58:59

>>137
ウチはIP530の電源コードとIP130の電源アダプタをかえてった。なんだか
わけわからんが日よつぶれ。

**METI** · 2005/06/23(木) 21:58:57

↑コレッテ電安法違反じゃねーの。以前ソニーやNECもひっかかってたな。

**NNNNNGX** · 2005/06/24(金) 02:05:55

いったいぜんたいどこがメジャーバージョンといえる程おニューに
なったのでせうか？

◆JeYFCvvdow · 2005/06/27(月) 21:23:32

>>129
すみません。ちょっと教えてください。
去年の12月に1台IP350を入れたのですが、この時期のは大丈夫でしょうか？

**129** · 2005/06/28(火) 10:23:44

>>142
IP350が後期モデル（筐体が黒い物）なら多分問題はないぽ。
初期モデル（筐体が白っぽい物）だったら気をつけるぽ。
去年の１２月頃なら不良在庫つかまされていなかったら
後期モデルのはずめぽ、参考になったら嬉いぽ。

そろそろ NGX for NOKIA の動作検証でもするぽ（ｗ

◆JeYFCvvdow · 2005/07/05(火) 23:27:03

>>143
ありがとう。12月の1台、他の1台どちらも黒です。
俺もそろそろNGXの動作検証やらないと。
つーか、CDｹﾞｯﾄしてねぇよ（汗

**ipso** · 2005/07/20(水) 02:21:03

↑HDDがF製40Gに鳴ってるのが盛会

**anonymous@** YahooBB218140242076.bbtec.net · 2005/07/21(木) 21:35:34

チェックポイントは門外漢です。
FW-1でログの中に現れる
ログの発信元アドレスを変更することは可能でしょうか。
(その場合その方法は?)
Netscree、PIXなどではできるようなのですが。
よろしこお願いします。

◆JeYFCvvdow · 2005/07/21(木) 23:08:07

>>145
ありがとう。
ヤベッ! HDDの容量チェックしてねぇ。俺は報告書に何Gと書いたんだろ・・・（大汗

>>146
ログの発進元のアドレスってのは項目Originのことを言ってますか？

**anonymous@** YahooBB218140242076.bbtec.net · 2005/07/22(金) 23:34:00

>>147
ありがとうございます。
Origin fieldで検索して以下を見つけました。
ttp://oldfaq.phoneboy.com/gurus/200109/msg00184.html

ダメだったらまたお願いします。m(__)m

＿ · 2005/08/01(月) 00:17:52

どなたかIP350/IP380＋FW-1をトランスペアレントモードで
動かしている人居ませんか？

カタログだけではどうにも信用出来ないんで

**-_-** · 2005/08/01(月) 08:06:53

>>149
なんでFW-1でトランスペアレントモードなんだろ。
まさか、IDPを入れるためにIPアドレスを持たせたくないという理由じゃないだろうな？
http://pc8.2ch.net/test/read.cgi/sec/1044552574/l50

＿ · 2005/08/01(月) 16:02:12

>>150
いやいや、IDPとかは関係無いです。
単にネットワークぶった切りたく無いというか、そのまま突っ込めるから。

ログの見易さと楽勝ポリシーから「FW-1を押したい」というだけ。
まあ販売店に聞いて見ます。

1 · 2005/08/03(水) 01:12:13

>>149

普通に動きます。

NATできません。（あれはルーティングの一種だから）
AntiSpoofできません。（当然）
ループ検出できません。（NOKIAの仕様）

ブロードキャストストームにはお気を付けください。

＿ · 2005/08/03(水) 02:02:39

>>152
㌧クス。代理店より２ちゃんの方が回答早いｗ

> AntiSpoofできません。(当然)
>
ｽﾏｿ、何故当然なのか理解出来ないorz
ブリッジインターフェースには定義出来ない仕様あるんかな？

AntiSpoofが出来ないのはちとマイナス・・・。
どういう事なのか教えて（´・ω・｀）エロい人

? · 2005/08/04(木) 20:40:08

>ループ検出できません。（NOKIAの仕様）

これに関連してだけど、BPDU(というか非IP全般)は透過or遮断を設定できますか？
NSは最近できるようになったみたいなんですが

**anonymous** · 2005/08/10(水) 00:44:37

>>154
NSは、元々、BPDU無視だった希ガス

**速報？** · 2005/08/10(水) 00:46:34

Solaris 8/9のRecommended Patchを当てると、障害が起きるらしいぞ

**N0K1A** · 2005/08/10(水) 01:33:25

>>154
N0K1Aはぶりっじじゃないんでできんですな。
今はNSのfirewallも発達したんでCPじゃないとイカンというこはないでしょう。
CPライセンス高いし、
N0K1Aは実はパソコンのくせしてさらにお高い、お高い　気がすんだけどどうよ？

＿ · 2005/08/10(水) 02:03:28

>>157
確かにNOKIAはパソコンのくせして本体価格はまだしも
保守料ボリ杉・・・。

で、NOKIAがCISCOに買収されたらどうよ？

**anonymous@** 243.115.150.220.ap.zero-isp.NET · 2005/08/11(木) 00:50:36

>>155
NSは5.0（4.3?）から非IP&非ARPの透過/遮断を選べるみたいです

前は無条件で透過でした
以前、どこぞ売名セキュ屋が大騒ぎして失笑買ってましたね

セキュリティ的にはどうでもいい話ですけど
非IPを自由に制御できると構成の自由度が上がる

? · 2005/08/11(木) 03:00:31

ルータモード、NATモードのときは、IP以外のプロトコルは、無視されると思ったが？

? · 2005/08/11(木) 20:55:54

>>160
はじめから透過モードの話をしてます

? · 2005/08/11(木) 23:29:45

スレの流れ虫で、すみませんでした。
でも、透過モードのときは、そのままブリッジされるのが、当たり前っていうか、当然の動作だとおも

2005/08/11(木) 23:36:38

>>162
だから遮断できる機能があると便利で
それをNSがVer5.0で実装したって話をしてるようにしか見えないわけだが

読解力ゼロ？

? · 2005/08/12(金) 00:11:21

ちゃんと読まない漏れが悪いんだが、
おまいも感じ悪いよ

**山師さん** · 2005/08/13(土) 01:14:52

>>158
買収話はNOKIAは否定してるわけだが、どうなることだろうな・・・。
http://headlines.yahoo.co.jp/hl?a=20050808-00000153-reu-bus_all

本当に買収されるのならCheckPointが黙ってないだろうな。
携帯電話の技術はCPも欲しいだろうし。

**Forti命** · 2005/10/26(水) 23:12:47

2ヶ月も閑古鳥が鳴いてるね。もうチェックポイントも終わったな。
最近、小さな会社を買って株価を大きく下げたし。
ノキアなんか買える訳ないっですよ、規模が違う。わたしゃ逆のほうに賭ける、１０円

**T_T** · 2005/11/05(土) 01:14:52

Fortigateは安かろう悪かろうですた。なんせCheck Pointの年間サービス費で
買えたんですがナントカの銭失いですた。
なので入れ替えます。しかしCheck Point高杉で戻せない。

＿ · 2005/11/05(土) 07:34:18

>>167
CPもFortiも両方好きだけど何が問題だったんだ？
もしかしてポリシー変更ｲﾊﾟｰｲのところにForti入れたのかｗ

**age** · 2006/05/12(金) 11:54:08

新しくVPN-1 POWER と VPN-1 UTM が出荷されたみたいだけどよくわからん
safe@office との住み分けとかもどうすんだろ… UTM Edge とも比べてみたい

＿ · 2007/04/07(土) 07:52:03

１年半ぶりにage
ちなみに前回ageたのもワテだす・・・

相変わらず「価格」「態度」「敷居」全てが高いから
シェアどんどん喰われてますな

**hage** · 2007/04/08(日) 00:49:57

>>170
以前は頑張ってCP製品を扱っていたけど、
今はお手軽さからFortigateかNetScreenがほとんどですな。

もうCPの新規案件は無いでしょうな。

**anonymous** · 2007/04/11(水) 19:18:23

>>171
NetScreen って安定してる？結構、不安定になるという話を聞くんだが・・・

**anonymous@**221x112x108x194.ap221.ftth.ucom.ne.jp · 2007/06/28(木) 21:06:28

>>152 ：
透過モードだと、NATできませんか、、、
でも、インターフェースにIPアドレスが付いている場合は
どうですか？

_ · 2007/06/30(土) 02:52:43

>>173
透過モードってNATってあんた（ｗ
そんな時は上位のルータでNATさせるんだよ。

それはそうと誰かUTM-1試した人いますか？

**anonymous** · 2007/06/30(土) 22:30:46

同じくUTM-1なんですが
ファイアウォールのログの形式は
FW-1と同じか判る方いらっしゃいますか？

__ · 2007/07/15(日) 04:13:17

同じだよ。

UTM Edgeは違うけどね。

**anonymous** · 2007/07/24(火) 02:14:17

>>176
お礼が遅くなりました。
ありがとうございます。
因みにご自身のご経験でしょうか。
どこかに情報ソースがありますでしょうか。

__ · 2007/08/13(月) 10:32:05

>>177

だって動いてるソフトは、UTM-1はFW-1と同じだし。

トレーニングやってるみたいだから、出てみれば？
http://www.checkpoint.co.jp/event/training/index.html

**anonymous** · 2007/09/04(火) 18:50:40

>>178
遅くなりました。ありがとうございます。

**anonymous@**05001011178317_ae · 2007/12/21(金) 00:39:24

一次店のサポートはどこがいいのかな

**anonymous@**ccjimu11.cc.ehime-u.ac.jp · 2009/07/17(金) 16:49:40

ESTABLISHEDな通信でも一定時間経過したら一度遮断する設定ってできますか？

**anonymous** · 2009/07/17(金) 19:33:37

>>181
出来る。
つーかベンダーに聞け

**181** · 2009/07/21(火) 09:11:56

>>182
そうですか。
ベンダーに要求する前に調べようと思いまして。
もうちょっと調べます。

どうもありがとう。

**anonymous@**FL1-119-242-96-34.kng.mesh.ad.jp · 2010/04/24(土) 22:03:46

ハローワークの紹介で面接を受けたんだけど、いきなり電話がかかってきてリファレンスの用意をしろって言われた。
でも内定は出なかった。エージェントにその事を伝えたら、行かなくて正解だったよって言われた。入ったら入ったで
大変なのか？

**anony** · 2010/06/22(火) 22:52:10

>>184
ハローワークで紹介されるって、色んな意味ですげーな…
ちなみに何で正解なんだろうな？？

**anonymous** · 2010/07/05(月) 23:57:27

ここの会社の内情について詳しく教えてエロい人
働くにはよくないの？

**anonymous** · 2011/06/11(土) 10:37:25.42

保守

**anonymous@**i114-191-200-213.s41.a033.ap.plala.or.jp · 2013/03/21(木) 21:14:24.67

　　　　　 _
　　　　　 |O＼
　　　　　 |　　＼　ｷﾘｷﾘ
　　　　∧|∧ 　　＼　ｷﾘｷﾘ
ｸﾞｸﾞｩ>（；⌒ヽ　　　＼
　　　　∪　　|　　　　(~)
　　　　　∪∪　　 γ´⌒｀ヽ
　　　　　）　）　　　{i:i:i:i:i:i:i:i:}
　　　　（　（　　　　(　´･ω･)、
　　　　　　　　　　　(O ⌒　)O
　　　　　　　　　　⊂＿)∪

**anonymous** · 2017/03/09(木) 18:44:20.78

ここ最近のUTM、Fortigateと比較してどうよ？

**anonymous@fusianasan** · 2017/12/28(木) 08:12:26.77

誰でも簡単にネットで稼げる方法など
参考までに、
⇒　『加藤のセセエイウノノ』というサイトで見ることができるらしいです。

グーグル検索⇒『加藤のセセエイウノノ』

3ABTU2E6N0

**anonymous@fusianasan** · 2018/02/15(木) 22:00:54.43

　　　　　　　　　　　　　 r''"''ｰ-,,_
　　　　　　　　　　　　　　 |　　　　 "''ｰ──‐---''ヽ
　　　　　　　　　　　　　　 |　　　　　　　　　　　　　 /
　　　　　　　　　　　　　　 |　　　　　　　　　　　 |
　　　　　　､--───‐ﾉ''ｰ-,,,_　　　　　　　　 |
　　　　　　　　 `ヽ　　　　＼　　　"'''ｰ-,,,_　　　　　|
　　　　　　　　＼　　　＼　　　　"''''ー--┤
　　　　　　　　／＼　　　　"'''-,,,__　　　　　　 |
　　　　　　　 /　　r‐＼　　　　　　 "'''ｰ‐-.,,,__　|､
　　　　　　　　 /　　 ||,-`| ＼　　　　　　　　　　　"` ＼
　　　　　　 /　　ヽYi |　 /`-,,_　　　　　　　　＼
　　　　　　　　|　　　　＼ |　|　　　"''ー-,,,＿　　　　　　　＼
　　　　　　 |　　　　 ∥ |　　　　　　　　　|"'''''┬--,,,＿　＼
　　　　　　　　 |　　　　　 |　 |　　　　　　　ﾞ､　 | 　　　 `ｰ-'
　　　　　　　 |　　　　 | 　ﾞ､　　､　　　　 >　|
　　　　　　　　　ﾞ､　　 /|　　,､ﾞ､　　`ｰ- .,__　　 /　　　　　　　
　　　　　　　　　 ,へ　/ ﾉ,イ二ヽ､　　　 ‐-￣　/　　　　　　＜　
　　　　　　ノ　 `''y''i|.r''⌒ヽヽヽ-､　人,,,/､　　　　　　　
　　　　_,,,-‐'''"＼　 r'"∥| |　　　| |　　ﾞ''"　　　ﾞ､
　　　/　　　 ,,--`-|| .（l| ゝ`ｰ‐' ,人-.,,_　　　　　　＼
　　 |　　／　　　 ||）　rヽ､ﾞ､｡/　　ﾞ､　"''ヽ､､　　__　"''-,,_
　　 .|　／　　 ,-─iﾞ､ヽ `''`i! ||､　　　ﾞ､.　|　｀ゞ`=i-"､`￣
　　 |　 |　　 /　　/ﾄ､`Tヽ<||∥ ＼　　ﾞ､|､　　　|　ﾞ､　＼
　　 |　 |　　/　　 / | `‐`r､ﾞi!()ｰ‐--､　ﾞ､ヽ､　　|　　ﾞ､　＼
　　 |　ﾞ､| /　r''""￣￣￣￣| |"'''ヽ､_ヽ　ﾞ､　Y二|ﾞ､　ﾞ､　 /|
　　 .|　 / |　/　　､.＿＿＿_|_|,,_　　 )）　　ﾞ､〈 ‐->|　　ﾞ､ / |
　　　|　ﾞ､.　〉　　 ´￣￣￣￣￣""ヽ´　　　ﾞ､|　　||　　　/　 |
　　　.|　 |ﾞ､. 〉　　　　　　　　　　　 _丿　　　ﾞi 　 ∥ 　 /　　 |

**anonymous@fusianasan** · 2018/02/15(木) 22:01:12.78

　　　　　　　　　　　　　 r''"''ｰ-,,_
　　　　　　　　　　　　　　 |　　　　 "''ｰ──‐---''ヽ
　　　　　　　　　　　　　　 |　　　　　　　　　　　　　 /
　　　　　　　　　　　　　　 |　　　　　　　　　　　 |
　　　　　　､--───‐ﾉ''ｰ-,,,_　　　　　　　　 |
　　　　　　　　 `ヽ　　　　＼　　　"'''ｰ-,,,_　　　　　|
　　　　　　　　＼　　　＼　　　　"''''ー--┤
　　　　　　　　／＼　　　　"'''-,,,__　　　　　　 |
　　　　　　　 /　　r‐＼　　　　　　 "'''ｰ‐-.,,,__　|､
　　　　　　　　 /　　 ||,-`| ＼　　　　　　　　　　　"` ＼
　　　　　　 /　　ヽYi |　 /`-,,_　　　　　　　　＼
　　　　　　　　|　　　　＼ |　|　　　"''ー-,,,＿　　　　　　　＼
　　　　　　 |　　　　 ∥ |　　　　　　　　　|"'''''┬--,,,＿　＼
　　　　　　　　 |　　　　　 |　 |　　　　　　　ﾞ､　 | 　　　 `ｰ-'
　　　　　　　 |　　　　 | 　ﾞ､　　､　　　　 >　|
　　　　　　　　　ﾞ､　　 /|　　,､ﾞ､　　`ｰ- .,__　　 /　　　　　　　
　　　　　　　　　 ,へ　/ ﾉ,イ二ヽ､　　　 ‐-￣　/　　　　　　＜　
　　　　　　ノ　 `''y''i|.r''⌒ヽヽヽ-､　人,,,/､　　　　　　　
　　　　_,,,-‐'''"＼　 r'"∥| |　　　| |　　ﾞ''"　　　ﾞ､
　　　/　　　 ,,--`-|| .（l| ゝ`ｰ‐' ,人-.,,_　　　　　　＼
　　 |　　／　　　 ||）　rヽ､ﾞ､｡/　　ﾞ､　"''ヽ､､　　__　"''-,,_
　　 .|　／　　 ,-─iﾞ､ヽ `''`i! ||､　　　ﾞ､.　|　｀ゞ`=i-"､`￣
　　 |　 |　　 /　　/ﾄ､`Tヽ<||∥ ＼　　ﾞ､|､　　　|　ﾞ､　＼
　　 |　 |　　/　　 / | `‐`r､ﾞi!()ｰ‐--､　ﾞ､ヽ､　　|　　ﾞ､　＼
　　 |　ﾞ､| /　r''""￣￣￣￣| |"'''ヽ､_ヽ　ﾞ､　Y二|ﾞ､　ﾞ､　 /|
　　 .|　 / |　/　　､.＿＿＿_|_|,,_　　 )）　　ﾞ､〈 ‐->|　　ﾞ､ / |
　　　|　ﾞ､.　〉　　 ´￣￣￣￣￣""ヽ´　　　ﾞ､|　　||　　　/　 |
　　　.|　 |ﾞ､. 〉　　　　　　　　　　　 _丿　　　ﾞi 　 ∥ 　 /　　 |

**anonymous@fusianasan** · 2018/05/21(月) 19:10:24.20

ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

XBNHW