チェックポイントスレッド
■ このスレッドは過去ログ倉庫に格納されています
・圧倒的なFireWall市場のシェアでユーザーも多いと思われるチェックポイント ・最近NetScreenの勢いに押されがちなチェックポイント ・ライセンス高すぎるぞチェックポイント ・ライセンスの種類多すぎるぞチェックポイント ・圧倒的に多機能だぞチェックポイント ・設定しやすいGUIという割に結構不可解な落とし穴があるぞチェックポイント ・もうすぐFP3が出てまた機能が増えるぞチェックポイント ・バージョンアップ作業は頭が痛いぞチェックポイント こんなチェックポイント製品についてまたーりと語りましょう。 技術的な悩み・ライセンスへの悪口・NetScreenに勝てるのか?など・・・ 価格対性能比で単純に比べるとCheck Point+ハードはNetScreenに勝てませぬ。 ただ、例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。 ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。 >>4 >例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。 まあ、それ以前に実績が違うわな スピード以外はあらゆる面でFirewall-1の圧勝だから セキュリティを主に考慮した設計では普通はFirewall-1を使うべきだと思う #ただしDoSに対してはどうしてもASICより弱いけどね NetScreenはいろんな意味でバグだらけだよ >ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。 ASFがある程度の答えをだしてるよね 専用バランサでロードバランスするってのが一番いいでしょう ASFは評価したこと無いけど、AlteonとNetScreenの圧倒的な性能差から考えれば、 少なくともスピードはASFの圧勝なんじゃないかな? ただ、セッション処理SPの振り分けロジックがAlteonといっしょだったりしたら萎えだな あのロジックはあんまりFirewall向きではないと思う NokiaIP + Fw1で年間保守料100マソって他界と思うんだがどうよ なんか、Fw1と連携して動かすプラグインソフトがサードパーティから結構出てるんだよね。 そこラ変も売りなんですかね? DHCPサーバーと連携させたり(あれはサードパーティじゃ無いけど) >>6 機種が不明、高いか判断できん 初年度か次年度以降かも言ってみれ >>8 よんひゃくシリーズ、継続保守。 ハードが逝ったんで業者頼んだら、3ホップぐらい別会社を転々と回されたよ。 あとFw1本体は更に別会社のサポート範囲だそうだ。 これとは別件でグレード別のサポートとかがあるんかフォーバルに聞いたことがあるが、 質問チケット渡されるのに一週間、更に営業が回答をよこすのに半月かかった。 何と比べて? 同クラスの PIX? | Sun Screen ? | NetScreen ? たとえばこう言う事は出来るんでしょうか? Active mode FTPの用にクライアントからトリガするが、 サーバーからもコネクションを張りに行くような場合、 FTPの用にメジャーなプロトコルであれば何処の製品でも サポートしてると思うのですが、 マイナーなプロトコルの場合は如何してるのでしょう? Fw-1のポリシーをGUI Clientではなくテキストで編集できれば、 その当たりも可能かと思うのですが、如何ですか? 私のところでは上記の需要は有りませんが、動画配信などでこーゆーシーケンスを辿る プロダクトが有るような気がします。 >>13 いわゆるRelatedコネクションだな そういえば組み込みポリシー以外のRelatedコネクションを ユーザが定義できるFirewallって見たこと無いな どっかにあるの? #確かにFirewall-1はpfを自分で書けばできそうな気はする >>6 NOKIAもCheck Pointも単体製品として保守料を取るからあわせるとソフト・ハードが単一メーカーの場合よりどうしても高くなってしまう気がする。 NOKIAのOS(IPSO)だかFireWall-1だか原因がわからないようなトラブルだと結構たらい回しにされるし。 提携結んで戦略発表するのもいいけど、セット割引価格体系とかなんかないかな。安いものが売れる時代だし。 >>14 インスペクト言語というC言語に似たマクロによって$FWDIR/lib/user.defファイルに定義することができるらしいです。ただ、これに関してはリファレンスがあるだけで、私自身実例を持っているわけではありません。プログラマじゃないのでリファレンス見てもちんぷんかんぷん。 >>13 REALやQTのRTSPとかMS Media PlayerのNetshowなんかは対応済み。NetMeeting(H.323)なんかも対応している。 OracleとかRPC(Sun RPCやDCE-RPC)ベースのアプリもプログラム番号で制御できる。やったことないけど。 チェックポイントは定義済みのプロトコルが多いです。最新のVer NG FP2ではSIPへの対応をうたっていて、SIPメッセージに対応するRTPやRTCPストリームを安全に通すことができるそうな。 http://www.checkpoint.co.jp/pr/2002/20020611.html 次期バージョンのFP3では、HTTPポートで行われるSOAPとかXMLを利用したWebサービスをアプリケーションレイヤーで制御できるようにするそうな。この辺のプロトコルはよくわかりませんが。 http://www.checkpoint.com/press/2002/xmlsoap082702.html 逆に、NetScreenってASICベースでどのぐらいこのあたりについて柔軟性があるんでしょうね。柔軟性がなければいろんなアプリを通すならチェックポイントかなっていうことにもなるし。 FTPなんかで、今のバージョン(NG)だと別ポートをFTPサービス用として定義すれば、別ポートでもPORTコマンドやPASVコマンドリプライに応じてデータコネクションを開けるんですが、こういう設定ってNetScreenはできるんでしょうかね。 >>5 ASFってあんまりうわさ聞かないんですが、触った方おられます?見た目はACE DirectorとDell Power Edgeの1Uサーバの寄せ集めなんですが(笑) N+Iでも静展示しかなかったような。 そういえば、N+IでNOKIAやっている阿須ジェントが別会社のX40Sっていうシャーシ型の大型アプライアンスを動展示してましたね。LINUXベースらしいですが。 機能に関してはソフトベースが圧勝するのは当然だと思いますよ Relatedセッションの処理は最たるものでしょう だから用途に応じて臨機応変に選定する必要があるかと ただ、どうしてもソフトベースってDoSに弱いというイメージがあるんですけどどうですか? 特にUnixワークステーションに乗っけると、、、、 >Dell Power Edgeの1Uサーバの寄せ集め よく知りませんが、Juniperだって中身はただのPCらしいですからね PacketShaperなんてベンダが"これはパソコンです"ってのたまったし ところで、Firewall-1は意外にNATの自由度が低いと思う SrcIPとDstIPレベルの組み合わせしかNATのルールを定義できないけど NetScreenはプロトコルごとに別のNATとかできるよね その代わり双方向NATはできるわけだけど #良スレなんで上げていこう #自治厨がルータ気取るスレは板汚しなんで良スレで埋めましょう >>17 ? NetScreenやSonicWallがあってCheck Pointがないのも寂しいので たててみました。反応もあるようでうれしいです。 用途に応じてってところをなかなか説得力を持って説明できる営業 とかコンサルって結構少ない。NetScreenの売り込みで使われてい る比較表を元にするとNetScreen最強に見えてくるし。NetScreen も覚えなきゃ食いっぱぐれるかなーなんて思ったり。 >ソフトベースってDoSに OSの要塞化と自身を守るルールである程度防げるかと思っていま すが。 デフォルト設定の同時25000セッション状態でセッションの多い HTTPサーバを守っているとステートテーブルいっぱいってことが あります。メモリ増設とカーネルチューニングである程度防げます がね。でもこれをやってしまうと保守対応がいろいろと・・・。 あと、モジュール・マネージメント同居マシンでログを閲覧すると fwmプロセスが逝っちゃうことが・・・。ログ閲覧が管理者による DoS攻撃になるという笑えない事態も。 >>17 >NATの自由度 実はできますよ、ポートごとの設定。NAT Ruleを手動で定義すれ ば。Ver 4.0までのfwuiのGUIだと設定できないんで知らない方も いるかもしれません。MotifやWindowsのポリシーエディターで NATタブにソースとデスティネーションのネットワークオブジェ クトとサービスオブジェクトで定義。ネットワークオブジェクト のNATタブは使わないこと。 Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな ったのでGUIだけで設定を完了できるようになったところがGood。 NetScreenのNATパフォーマンスっていいんでしょうか?このあ たりもASICで高速化とかやっているんでしょうか?FW1だとNo- NAT比でスループットが5〜30%程度落ちる可能性があると某所 で聞きました。 >>18-19 プロトコルベースのNATってできたんですか、、、、 かなり恥ずかしい >Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな >ったのでGUIだけで設定を完了できるようになったところがGood。 これ、重要ですね 別に書くのが面倒なわけじゃなくて、冗長組んでるところで 待機系FWの設定ミスとかがなくなるのがうれしいです。 #起動スクリプトをNFSで共有ってわけにはいかないですよね(W >デフォルト設定の同時25000セッション状態でセッションの多い >HTTPサーバを守っているとステートテーブルいっぱいってことが >あります。メモリ増設とカーネルチューニングである程度防げます >がね。でもこれをやってしまうと保守対応がいろいろと・・・。 ここなんですけど、NATのセッションリミットって NATのハッシュサイズが16ビットが上限なので NATセッションは最大でも5万だって思ってたんですけど、 これって間違いですか? #もしくはNGで解消されている? セッションテーブルの最大サイズはハッシュサイズが32ビットまでOKらしいので メモリ増やせばいいんですが、NATセッションの上限が5万だと NATしてる場合は結局こっちに足を引っ張られてしまいます。 #4.1のドキュメントにはNATは最大でも5万までと書いてあったので、、、 >NetScreenのNATパフォーマンス かなり速いです。 NS-200以上であればNATで3000con/secいけます。 すいません 某製鉄屋のグループ企業のサポートが 全く役に立たないので質問させてください。 Firewall-1のFTP-DATAセッションのテーブル作成トリガと 削除トリガについて詳しい方はいらっしゃるでしょうか? 自分の認識ではテーブルの作成はPORTコマンド、PASVコマンドの通過で、 削除トリガは通常のTCPセッションに準ずると思っているのですが、 実際には、PORTコマンドが通過しても、続くRETRやNLSTにエラーが出れば、 FTP-DATAセッションは張られません。 この場合、セッションテーブルはタイムアウトまで残ってしまうのでしょうか? FTPのバッチ処理を行っているところで、FTPの失敗が多発していたため調査したところ、 どうも、セッションエントリのあるポートを対象としたPORTコマンドをFirewall-1がRSTしているようなのです。 バッチであるために存在しないFileへのNLST要求等が多数あったりするため、 PORTコマンドとPORT_Succesfullは通過しても、実際にはDATAセッションが張れらないケースが多くあります。 この時のPORTコマンドで指定されたセッションが セッションテーブル上に大量に残っているのが原因ではないかと考えているのですが、 実際のFirewall-1のFTPのハンドリングの仕様はどうなっているのでしょうか? #鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちません >22 > #鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちませ サポートしてた実力あるメンバーは、電話関係に回されたり、スピンアウトしたりしたからにゃ。 mj.pref.mie.jp (pri=10) http://www.nanet.co.jp/rlytest/relaytest.html <<< 220 CheckPoint FireWall-1 secure SMTP server 問題あり:不正な中継を受け付けます。 (61.114.229.2) ORDB database...登録されていません。 maps realtime blackhole list...登録されていません。 http://uptime.netcraft.com/up/graph?mode_u=off&mode_w=on&site=www.pref.mie.jp OS Server Last changed IP address Netblock Owner Windows 2000 Microsoft-IIS/5.0 7-Mar-2002 210.229.192.3 Mie Prefectural Government ????????????? http://www.pref.mie.jp/scripts/..%252f../winnt/system32/cmd.exe?/c+dir Netsceenに押されようともFW-1はまだまだ安泰でしょう。 ちなみにRaptor(SEF)は絶滅危惧種です。 RED DATA BOOKにも載ってるので間違いないです。 しばらくぶりです。 >>21 冗長ソフトだとたまに実インターフェイスと違うARPをProxyARPで書 かなきゃならない場合があるけど、NGの自動設定は追従できるのか 、やってない(w NGのセッションリミットって、なかなかいい資料が出てこない。NAT テーブルlimitって設定自体NGではみあたんない。4.1まではNAT limit 50000/hash size 65535ってことだと思ってますが。 上記のような制限についてのNGに関する解説がない。でもこの制限が なくなったというお知らせも見たことがない。歯切れのいい説明を→CP。 >>24 SMTP security serverのセキュリティーは設定次第と思うが。 ただ、Ver 4.0以前のSMTP security serverは普通の設定(*@foo.com宛を許可等)だと"%"文字を使ったソースルートリレーなんかが通っちゃうぞ。 >>25 絶滅危惧種といえばSunScreenとかborderware最近聞かないんですけど・・・。 SymantecもVirus対策なんかを積極的に取り込めばユニークな製品ができそうじゃないかと思っていたのですが・・・買収してどうするんだろ。Raptor Eagle,Axent Raptor,Symantec Enteprise FireWallとまさに流転。 >>22 製鉄屋といえばFW1に関しては老舗と思っていましたが・・・。 FTP連続実行で通らない場合は、FW-1のknown TCP servicesとPORT コマンドの指定が重なった場合にそのポートのopenを拒否するとい うFW-1の仕様に引っかかっている場合が多いですが、どうでしょう。 http://www.forvalcreative.com/jpn/support/fw-1/V4.0/faq/fwV4_faq_mg0001.htm なかなかはた迷惑な仕様です。セキュリティーのためとはいいますが。 FTPのportコマンド後に実際にdata connectionが開かなかった場合、 どうなるのかというところまで突き詰めたことはないですね。TCPセ ッションテーブルの常識から考えると3-way-handshakeが成立しなか った時点でデフォルトのtcpstarttimeoutによって60秒でステートは 破棄されるはずですが。 ステートテーブルを疑うのであれば、とりあえず見てみないことには。 切れた時のポート番号と同じステートが存在しているのかどうか を。"fw tab -t connections -u"で得られるHEX値から根性で見つけ出 すのも一興かと。以下を参考に読んでみるのがいいかも。 http://www.deathstar.ch/security/fw1/EnterpriseManagement/FAQ0133.htm >1氏 サンクスです! 解決しそうです。 FTP失敗のキャプチャを確認したところ、 Xwindowsで予約されてる6000番台と、 独自にサービス定義している特定のポートレンジで大量に失敗していました。 鉄屋は、 "セッションテーブルに存在するセッションとポートがかぶっているせいだから、 使用中ポートでも通す設定を入れれば直る" といっていたので、セッションが長時間残留する可能性を色々考えて >>22 の質問をさせてもらったんですが、 どうやら実際は定義済みポートのせいだったようです。 #鉄屋の言うこと聞かなくてよかった >>29 逝ってよし! 2台のFW-1をVRRPで冗長構成組んでる人いる? ちゃんと動いてる? うちではマスタがよくハングアップする… 一応ちゃんとバックアップに切り替わるんだけどねー >>31 よくぱたついてるYo! このスレ、非常に興味あるんだけど、 あんまり細かいこと書くと身元ばれる危険性が....。 みんな、結構愚痴りたい事とか色々書きたい事あるんじゃない? >31 NOKIAの場合 インターフェース監視デーモンは停止してる?? FW−1一般の場合 内部で、Dynamic Routing Protocolが動いていて、 ルーティングテーブルが変化すると、ぱたつくよ。。 その他にも、いろいろ原因あるけど。。 >32 まったく、同感。。 でも、ポリシーエディターは、他のFWに比べて使いやすいから、 複雑なルールを書く場合は、重宝します。。 しかし、資格試験の、メニューのどこに何があるかなんて 愚問は止めて欲しいな。。何の役にも立たない知識。。 >>35 既に身元ばればれというか確信犯なひともいるようですが、、、 >>34 昔、デフォルトルートの冗長化のためにFW-1でRIP使ってたとき、 VRRPじゃ無いけどとある冗長アプリでそんな感じの現象がありました それ以来、FW-1ではダイナミックルーティングはご法度にしてます 今は大抵の機器にVRRPやHSRPがあるから Firewallでは必ずしもダイナミックルーティングはいらないよね ルーティングテーブル用のメモリももったいないし NetScreenが頑なにスタティックにこだわるのもそのせいかも 私のところでは、>>32 みたいにぱたつくんじゃくて、 マスタが突然だんまり(ハングアップ)になっちゃうので、 リブートするしかなくなるんですよ。 ハードウェア交換してもダメでした。 >>31 ノキアなんですが、 インターフェイス監視デーモンがいると何か悪さするんですか? >37 インターフェース監視デーモンがある状態で、VRRPをしていると、 DRだけじゃなくて、NTPの同期や、それ以外の場合でも、 ルーティングテーブルが変化したと、誤認識して、トラぶります。 (FAQレベルのお話ですが) 基本的に、VRRPでは止めましょう。。 副作用は、インターフェース増設時に、自動で認識しないこと。。だけですし。 (いらんわな。。ふつう)増設時だけONにして、認識後、オフにしても OK..(手動だと、コマンド長いけど) >36 > 既に身元ばればれというか確信犯なひともいるようですが、、、 お仲間?? >>36 NS の営業から OSPF 喋るようになったと聞いたんだけど。 まぁ、全然期待していないし、 FW-1 のほうが好きだし(くたばれ、 NS! )。 >40 OSPF使って、VPNの冗長化が可能になったみたいよ。。 久々にきたらレスがついている。NSスレの勢いには負けるが・・・。 >31 ifwd停止はNOKIAの常識かも・・・。存在意義よりリスクの方が遙かに高い。デフォルトOnなのが鬱。 それとはずしているかもしれないけど、NOKIAのパフォーマンス向上機能flowsに要注意(w FireWall-1 4.1 SP2(Build24)〜SP5(無印)でflowsを動かす(というかデフォルトで容赦なく動いている)と結構問題あるぞ。特にstate sync(VRRPやるときは設定するよね)していると原因不明停止散発(多発じゃないのがミソ)。 上記のバージョンでコマンドラインからipsofwd listとコマンドを打ってflowpathと返ってきたら、いつハングアップするかわからない(w。 スループットはIPSO3.2.1並に低下するけどipsofwd slowpathって打てばとりあえず安心。リブートしたら戻っちゃうから起動スクリプトあたりを編集してみたりなんかして。 どうもflowsとstate syncの組み合わせには問題があるっぽいっていうことでhotfix出たり一年ぐらいばたばたやって、前代未聞のfor NOKIA専用サービスパック4.1SP5a登場。これ以降のトラブル事例は知らない。 現状だと4.1SP6+OpenSSL hotfix+IPSO3.5-FCS10!これサイキョウ。NGならぼちぼちFP3かなとも思うけどまだ信用できないのでFP2+hotfix特盛り。 >36 RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。 >41 OSPFでVPNが切り替わるって大変なことだと思います。だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ?)が書き変わるってことですよね。どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。 Ver NGにはMEPっていう技があるがこれはうごくんだろか(w >>43 >RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。 設定ミスにしろ、悪意にしろ、内部の機器がいいかげんなRIPをはいたり、 リモートからのブロードキャストが届くようなネットワークは その時点でネットワーク自体が終わってるとおもうのですが ユニキャストのRIPがどう扱われるかは試した事は無いけど、 FW-1でユニキャストのRIPをフィルタしてれば問題ないですよね >OSPFでVPNが切り替わるって大変なことだと思います。 >だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ?)が書き変わるってことですよね。 >どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。 OSPFはUnnumberd用のロジックがあるので、 TunnelにOSPFのせてTunnelに結びついた経路を切り替えるとおもいます。 IPSecとしては全く変化していなくても、ルーティングテーブルが変わればいい訳ですから。 でも、Tunnelを切替えるのではなくて、単にTunnelのNextHopを切りかえるだけかもしれませんね(W #詳細知ってる人は教えてほしい ただ、NetScreenってセッションごとにNextHopのMACをキャッシュすることで速度をだしてるんで、 OSPFで冗長化するには経路に変化があるたびに、 全セッションのキャッシュをフラッシュして作り直さなければなければ成ならないような気がします。 #関連セッションだけ書き換えるような実装ができるとは思えない 正直、NetScreenが何を思ってOSPFを実装したかがわからないです。 >44 Ref. http://www.netscreen.com/support/app_notes.html Dynamic Routing Protocols via Route Based VPN's >44 まあ、そうだとは思いますが・・・そういう終わっているネットワークとおつきあいするのがお仕事だったり。 そう、フィルタリングしておけばまともなネットワークなら問題ないです(w >45 ちゃんと読んでないしそもそもNetScreenさわったことないけど、NetScreenだとルーティングテーブルでNextHopがIPsec Tunnelになるのね。これならできそうかも。 Check PointだとOS上のルーティングテーブルにはVPN系の経路は出てこないし、ダイナミックルーティングプロトコルの動きはVPNに影響ないでしょう。 L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとかポート番号とかアプリケーションレイヤー情報とかを全部含んだflowがセッションごとに作られる感じなんでしょうか。 世の中いろいろあるなぁ。 >L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとか >ポート番号とかアプリケーションレイヤー情報とかを >全部含んだflowがセッションごとに作られる感じなんでしょうか。 そうです。 既存セッションはセッションテーブルしか見ないのですが、 セッションテーブルにはセッションの識別情報以外は、 DstMacとActionと(NATの場合は)NATのIPが入っているだけなのです。 ですから経路が変わった時には、当然セッションテーブル内の情報も変わるはずなのですが、 DstにしろSrcにしろ、各エンドノードをNetworkとして把握しているわけではないので、 #速いルーティングでこれができるのってCEFだけのような気がします おそらく全てのセッションを対象としてキャッシュの作り直しが必要だと思うんです。 これって物凄いオーバーヘッドになるような気がします。 NetScreenのOSPFはVPNに特化して使うべきなんでしょうね。 Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。 まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。 >47 > Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。 NSは、Staticルートの数の制限きついんで、、困ったりします。 > まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。 4.0は、まだまだバグバグで、、困ってます。。 r5が飛んでr6が出たくらいですし 困った。教えてほしい。 NOKIA IP330 冗長化構成(F/W-1 NG FP2)問題は2つあるのよね。 1.MasterとBackupで構成とってるつもり、プライオリティもそれなりのつもり。 しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。 もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。。。 設定悪いのだろうね。デルタもちゃんと設定しているつもり。。片方死んだらちゃんと 切り替わるところまでは確認してんだけど。。 2.FireWall NG FP2 何者だコヤツは。。。CVPでSecureServer使ってるけどコンテンツのチェックが 厳しすぎ・・・見えないページ続出・・・FTPで転送できないファイル続出 おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って reject・・・NGには負けました。。 誰か。。。。情報キボン >49 > しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。 > もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。 VRIDの設定とかは? VLAN切ったSwitchで接続するときに嵌まる人多いみたいだけど モニターポートの設定は?? NTPの設定は?VRRP V2 or Monitored Circuit?? もう少し情報が無いと回答できないよ > おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って > reject・・・NGには負けました。。 > 1024以下のポートのFTPを許すためには、直接設定ファイル書き換えてね。 FAQにあるから。。 >>51 ありがと!!! >VRIDの設定とかは? >VLAN切ったSwitchで接続するときに嵌まる人多いみたいだけど うーーーん。まったくの初心者だから「わからない」ゾ!!明日設定見てみます。 >モニターポートの設定は?? >NTPの設定は?VRRP V2 or Monitored Circuit?? これはMonitored Circuitです。 >1024以下のポートのFTPを許すためには、直接設定ファイル書き換えてね。 >FAQにあるから。。 ごめん。どこにあるの? 教えてください。 なぜ、こんなにめんどくさいのだろ・・・修行します。。(T_T mod_zapって何するもの? といいつつ今日も黒いケーブルを探し回る厨なオレ Netscreenよりさらに触ってるやつかぎられるから・・・ 身元ばれないネタって難しい。 みんなはnokia使ってるの? linux? sun? NGでマニュアルよく読まずに検証環境作ってたら、 FMとMMが全然通信できなくて、200回くらいput keyやったよ そりゃあもうしつこくしつこくやってやったさ まさかNGのput keyが下位互換のためだけにあるとはしらずに、、、 1日まるまる無駄にしたよ マニュアルはちゃんと読もうね >57 よくきく話だな 前バージョンからputkeyが一回じゃうまくいかないことが結構あったから、 固定観念でputkeyに失敗してると思っちゃうんだろうな Nokia IP 330でFW-1 NG FP2を使っている者です。 トラフィックを掛けながらCPU負荷を見ていて疑問に思ったのですが、 accept, deny, dropのそれぞれにマッチした時の負荷の重さが (重い) deny > drop >> accept (軽い) なんですね。 denyが重いのは直観に則しているのですが、なぜacceptよりもdropの方が重いのでしょうか。 すみません。 (誤)deny (正)reject の間違いです。 (重い) reject > drop >> accept (軽い) になる理由がわからないんです... >>60 トラフィックのかけ方次第のはずです。 単一のSrcIP/SrcPortからのIP(UDP含む)のバーストか、 普通に成立するTCP通信である程度大きなデータが流れている場合は、 Acceptした方が負荷が低いです。 一般的なFirewall(特に箱モノ)は、セッションテーブルの作成が一番高負荷で、 次にポリシーをなめる動作の負荷が高いです。 #Syn-Proxyみたいな論外な動作は除く 上記のような通信だと、ほとんどの通信がセッションテーブルにマッチするので 1パケ毎に毎回ポリシーをなめてパケットを捨てる方が負荷が高いはずです。 TCPセッションのジェネレータ(AveranceやPolygrah)で 1セッションのデータを抑えて大量のセッションを生成すると、 おそらくAcceptの方が高負荷になるはずです。 ただ、Firewall-1のロジックを真面目に追っかけたことが無いのである程度想像になります。 >>62 謝謝。 acceptの方が軽かったのは、最初のパケットでセッションテーブルが作られて、 以後はポリシーを引かないからなんですね。 納得しました。 ということは、不特定多数のdstの1434/udpにパケットを送信するサーバが firewall下にあると、非常に重くなりそうですね。 (ホンモノを捕まえて検証環境で飼ってみたひ...) NOKIA IP330の adminパスワードを忘れたのですが、 リカバリーの方法を教えて下さい。 ip330なら電源入れた後、"1,ipso or 2,bootmgr"の選択で bootmgrを選択する。 後はメニュー選んでけばOSリカバリできるんじゃない? 440とかなら付属のフロッピーで一発だけどね・・・ >>66 どうもありがとうございます。 試してみます。 しばらくぶりにきてみました。 >>64 IPSO版だとセッションテーブルができた後のパケット処理はFireWall-1ではなく、OSのflows機能が使われるので、さらにCPU使用率が低くなるのかも。 ipsofwd slowpathコマンドでOFFにしてみたらAccept時のCPU使用率が上がるかもしれません。比較検証以外の意味はないですが;;;戻すときはipsofwd flowpathコマンド。 >>66 それだと再インストール手順ですね。設定が消えます。 以下の「How do I wipe the admin password?」ってのに載ってますが、boot:に-sを入力してシングルユーザーモードで起動した後、Ver 3.3.1以前では/etc/overpwコマンド、3.4以降ではdbpasswdコマンドで再設定。 >>71 リンク付け忘れた;;; http://support.intersec.com/FAQs/firewalls/nokia/nokia.htm >>53 ipso版のカーネルモジュールを書き換えるコマンドとしか・・・。 GUIやASCIIテキストの設定ファイル書き換えではできない特殊な設定をする場合だけ使うので、必要な場合だけサポートから指示された通りに使っています。 >>71 どうもありがとうございます。 前回、ご回答いただいた方の方法を参考にして、シングルユーザモードでシェルに入るところまでは、成功していたのですが、 IPSOには、BSD系UNIXに存在するpasswdコマンドが存在しなかった為、未だリカバリ出来ていない状態でした。 今回、ご回答いただいた方法で、再度試してみます。 securemoteなる通信ソフトを取引先から渡されて、四苦八苦しています。 NAT付きルータ噛ませると通信できなくなるのですが、これってNATの内側からだと 通信できないんですか? それにしても、httpしか使わないのになんでVPN張る必要があるのか… >>77 バージョンにもよると思うけど、 NAT越しの場合FireWall-1側で設定しないとだめかも。。。。 >77 そのルータにはIPSECパススルー機能はありますか?−>あれば有効に。 ロングパケットによる通信の不具合ー>WINのレジストリを編集して、MTUを1300程度に変更 #ひさしぶりに来た >>80 っとですね、ルータはLinux箱(OpenBlockS)をipchains+ipmasqadmで運用しています。 接続開始後しばらく経って以下のエラーが出力されます。 Error: Communication with gateway fw1 at site *.*.*.* failed. http://www.phoneboy.com/fom-serve/cache/90.html のページの解説を元に同じ設定にしてあるのですが、どうにも… MTUの設定もタメしてみましたがダメでした。 相手によるとUDP500番を静的NATで通せば出来るはずとのことなのですが。 IP330 NGを使っています。 通常のCPU負荷率は、40%程度(Max.65%)なのですが、ある日突然80%以上、一時は 100%まで負荷率が上昇しました。(通信遅延発生)通信量は、通常とほぼ同程度でし た。それが、4時間程度経過後、突然負荷率が下がり、平常通りに戻っています。 その後、1週間が経過しますが再発していません。 こんなことってあるのでしょうか?IP330で内部処理が走っているとか... 何かご存知の方いらっしゃったら教えてください。 >>84 トラフィックやセッション数はとってないの? ログは? DoSくらってたってのが妥当な見方じゃないかな トラフィックは通常と変わりませんでした。変なログも見当たりません。 DoSであれば、SYN packet for established connection でDropされている のがログに残ると思うのですが、それらしきものはありません。 負荷が100%になったために、通信遅延が発生してManagerでログを受けきれ なくなったのが見えますが...。困っています。 >84 IPSOとNGのバージョンは? IP330のメモリサイズと、構成は? (インターフェースモジュールの追加の有無・FW module only or FW&MC?) VPN-1 NG FP3で、18264/tcpポートを閉じるには どうすればいいのでしょうか?(特にwan側) グローバル・プロパティのチェック全部外したり、 その他いろいろ試してみたのですが、 このポートだけ残ってしまいます。 CSKのセミナー逝って、体験版のようなものをもらったのですが、使い方がわかりません。 確か、1ヶ月間ぐらいは使えるやつだと思うので、勉強用に入れようかと思うのですが。 >>101 すみません、CSKのセミナーは体験版を使うことが出来ないぐらいレベルが 低いのですか? >>102 いや、そうじゃなくて、帰りに体験版をもらったんだけど、CDROM1枚とメモみたいな紙1切れで、 Linuxマシンに入れてはみたものの、やっぱ体験版用のライセンスみたいのないと使えないのかなーと 思って書き込んださ。 あなたわかるならおしえてよー。 >>101 ,103 さん ネットワークセキュリティ版の [Check Point] VPN-1/FireWall-1 CF1 スレッド http://pc.2ch.net/test/read.cgi/sec/1044552574/ から出張に参りました。 m(_ _)m 体験版 CD-ROM のケースを開けると、裏蓋に Certificate Key が記載されて おりますので、User Center: usercenter.checkpoint.com でその Key から 評価用ライセンスを発行すれば使えるようになりますよ。 もっとも、CCSx を取得しなければ User Center へはアクセスできないと思い ますが・・・ では、ご成功をお祈りしております。 >81 解決されました?? 暇だったのでリンク先確認しましたが、相手先のFW-1のバージョンなどが どうなってるかによりますが、 NATルータ(FW)越えVPNで開けるポート一覧としては IKE: IP Protocol 50 Secure Client 4.1SP2以降: UDP Port 2746 Secure Client 4.1SP4 IKE over TCP: TCP Port 500 FW-1 4.1以降・Secure Client 4.1以降間のVPN:TCP Port 264 FW-1 4.0以前・Secure Client 4.0以前が混在する場合:TCP Port 256 FWZのencapsulationのため:IP Protocol 94 FWZのkey交換のため:UDP Port 259 という情報を、以前に貰ったことを思い出しました (今は当の情報をくれた方は居なくなっているので確認できませんでしたが) このうち、前半はリンク先に載っていましたが、後半は書かれていないようですね。 ∧_∧ ∧_∧ ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。 =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕 = ◎――――――◎ 山崎渉&ぼるじょあ >>115 HFA-325が実質それに当たるかと。。。 >>116 確かに、FP3のパッチはそろそろ打ち止めかもしれません。ですが、どのAIにするかが問題。 >>117 あまり根拠はありませんが、FP3は後1年は大丈夫と読んでいたのですが、 もう打ち止めになりそうですか? X11 サービス X11(X ウィンドウ・システム・バージョン11)グラフィックス表示システムはUnix の世界にお けるグラフィックス・システムの事実上の標準です。X11 を許可するには、X11 サービスを使用し て特定のルールを作成する必要があります。Services にAny を選択すると、X11 サービスは含ま れません。 ・・・・なんなんだこの仕様は。 何でこんなふうになってんの? F-1ってOracleのMTS対応を謳ってるけど、まともに動いてる? any-anyだと通ってるところに、SQLnetのルール一個入れたたらとたんに通信がドロップされてしまうのだが。 鉄屋に聞いてもまともな回答こねーし。 これ、詐欺じゃね?w VPN-1/FireWall-1どこから買うのがいいんですか。 Nokia IPってどうよ?最近なんかよくこわれませんかぁ? 2.5インチのHDDが立て続けてアウトになりました >>128 もしかして 機器がIP350だったりしませんかめぽ? IP350の初期ロットでハードディスクがアレな物が混じっている ので難癖つけて早めに交換してもらうめぽ。 >>129 まさにピンポ〜ン!です。ただそんなに古いもんじゃないんです(泣) こりゃちょっとグリグリせんとあかんですね。 >>130 余り詳しく言っちゃうと僕の身元がバレるのでアレだけど 難癖つける時のポイントとしてはハードディスク故障でも マザーボードも交換させるのがヒントですめぽ。 修復時にHDDのみ交換したんなら、2次トラブルが再発ぽ はっきりいって「ぶっちゃけありえない」めぽ(涙 >>131 貴重なアドバイスどもです 多謝、多謝 m(_ _)m トラブルのトラブルはゴメンなので本隊こーかん要求 でキマリですね。 >>128 そのHDDは鯖クラスでないものをつかってたんダス。 そんでHDDの交換はタダでやってるようダス。 しかしそんなん欠陥ダス。タダで当然。 トラぶったら損害請求してもいいくらいダス。 最近のVPN-1/FW-1ってサ、もう行くとこ逝ってしまって新しい のって無い気がしない?確かにSmartDefenseだのSSL-VPNが 入ってきてるがありゃあくまで付け足しであって本体は変わって ねー気がするのは俺だけですか。NGXはナンデ新しいライセンス なんだかな。 >>134 NGX のライセンスって今までとどう変わるの? もしや、バージョンアップも保守に入っていても有償? >>133 それって設計ミスですね。通信機メーカにしちゃちょっとなあ 最近IP130のHDDと電源アダプタを替えてったよ。 >>137 ウチはIP530の電源コードとIP130の電源アダプタをかえてった。なんだか わけわからんが日よつぶれ。 ↑コレッテ電安法違反じゃねーの。以前ソニーやNECもひっかかってたな。 いったいぜんたいどこがメジャーバージョンといえる程おニューに なったのでせうか? >>129 すみません。ちょっと教えてください。 去年の12月に1台IP350を入れたのですが、この時期のは大丈夫でしょうか? >>142 IP350が後期モデル(筐体が黒い物)なら多分問題はないぽ。 初期モデル(筐体が白っぽい物)だったら気をつけるぽ。 去年の12月頃なら不良在庫つかまされていなかったら 後期モデルのはずめぽ、参考になったら嬉いぽ。 そろそろ NGX for NOKIA の動作検証でもするぽ(w >>143 ありがとう。12月の1台、他の1台どちらも黒です。 俺もそろそろNGXの動作検証やらないと。 つーか、CDゲットしてねぇよ(汗 チェックポイントは門外漢です。 FW-1でログの中に現れる ログの発信元アドレスを変更することは可能でしょうか。 (その場合その方法は?) Netscree、PIXなどではできるようなのですが。 よろしこお願いします。 >>145 ありがとう。 ヤベッ! HDDの容量チェックしてねぇ。俺は報告書に何Gと書いたんだろ・・・(大汗 >>146 ログの発進元のアドレスってのは項目Originのことを言ってますか? >>147 ありがとうございます。 Origin fieldで検索して以下を見つけました。 ttp://oldfaq.phoneboy.com/gurus/200109/msg00184.html ダメだったらまたお願いします。m(__)m どなたかIP350/IP380+FW-1をトランスペアレントモードで 動かしている人居ませんか? カタログだけではどうにも信用出来ないんで >>149 なんでFW-1でトランスペアレントモードなんだろ。 まさか、IDPを入れるためにIPアドレスを持たせたくないという理由じゃないだろうな? http://pc8.2ch.net/test/read.cgi/sec/1044552574/l50 >>150 いやいや、IDPとかは関係無いです。 単にネットワークぶった切りたく無いというか、そのまま突っ込めるから。 ログの見易さと楽勝ポリシーから「FW-1を押したい」というだけ。 まあ販売店に聞いて見ます。 >>149 普通に動きます。 NATできません。(あれはルーティングの一種だから) AntiSpoofできません。(当然) ループ検出できません。(NOKIAの仕様) ブロードキャストストームにはお気を付けください。 >>152 dクス。代理店より2ちゃんの方が回答早いw > AntiSpoofできません。(当然) > スマソ、何故当然なのか理解出来ないorz ブリッジインターフェースには定義出来ない仕様あるんかな? AntiSpoofが出来ないのはちとマイナス・・・。 どういう事なのか教えて(´・ω・`) エロい人 >ループ検出できません。(NOKIAの仕様) これに関連してだけど、BPDU(というか非IP全般)は透過or遮断を設定できますか? NSは最近できるようになったみたいなんですが >>154 NSは、元々、BPDU無視だった希ガス Solaris 8/9のRecommended Patchを当てると、障害が起きるらしいぞ >>154 N0K1Aはぶりっじじゃないんでできんですな。 今はNSのfirewallも発達したんでCPじゃないとイカンというこはないでしょう。 CPライセンス高いし、 N0K1Aは実はパソコンのくせしてさらにお高い、お高い 気がすんだけどどうよ? >>157 確かにNOKIAはパソコンのくせして本体価格はまだしも 保守料ボリ杉・・・。 で、NOKIAがCISCOに買収されたらどうよ? >>155 NSは5.0(4.3?)から非IP&非ARPの透過/遮断を選べるみたいです 前は無条件で透過でした 以前、どこぞ売名セキュ屋が大騒ぎして失笑買ってましたね セキュリティ的にはどうでもいい話ですけど 非IPを自由に制御できると構成の自由度が上がる ルータモード、NATモードのときは、IP以外のプロトコルは、無視されると思ったが? スレの流れ虫で、すみませんでした。 でも、透過モードのときは、そのままブリッジされるのが、当たり前っていうか、当然の動作だとおも >>162 だから遮断できる機能があると便利で それをNSがVer5.0で実装したって話をしてるようにしか見えないわけだが 読解力ゼロ? ちゃんと読まない漏れが悪いんだが、 おまいも感じ悪いよ >>158 買収話はNOKIAは否定してるわけだが、どうなることだろうな・・・。 http://headlines.yahoo.co.jp/hl?a=20050808-00000153-reu-bus_all 本当に買収されるのならCheckPointが黙ってないだろうな。 携帯電話の技術はCPも欲しいだろうし。 2ヶ月も閑古鳥が鳴いてるね。もうチェックポイントも終わったな。 最近、小さな会社を買って株価を大きく下げたし。 ノキアなんか買える訳ないっですよ、規模が違う。わたしゃ逆のほうに賭ける、10円 Fortigateは安かろう悪かろうですた。なんせCheck Pointの年間サービス費で 買えたんですがナントカの銭失いですた。 なので入れ替えます。しかしCheck Point高杉で戻せない。 >>167 CPもFortiも両方好きだけど何が問題だったんだ? もしかしてポリシー変更イパーイのところにForti入れたのかw 新しくVPN-1 POWER と VPN-1 UTM が出荷されたみたいだけどよくわからん safe@office との住み分けとかもどうすんだろ… UTM Edge とも比べてみたい 1年半ぶりにage ちなみに前回ageたのもワテだす・・・ 相変わらず「価格」「態度」「敷居」全てが高いから シェアどんどん喰われてますな >>170 以前は頑張ってCP製品を扱っていたけど、 今はお手軽さからFortigateかNetScreenがほとんどですな。 もうCPの新規案件は無いでしょうな。 >>171 NetScreen って安定してる?結構、不安定になるという話を聞くんだが・・・ >>152 : 透過モードだと、NATできませんか、、、 でも、インターフェースにIPアドレスが付いている場合は どうですか? >>173 透過モードってNATってあんた(w そんな時は上位のルータでNATさせるんだよ。 それはそうと誰かUTM-1試した人いますか? 同じくUTM-1なんですが ファイアウォールのログの形式は FW-1と同じか判る方いらっしゃいますか? >>176 お礼が遅くなりました。 ありがとうございます。 因みにご自身のご経験でしょうか。 どこかに情報ソースがありますでしょうか。 >>178 遅くなりました。ありがとうございます。 ESTABLISHEDな通信でも一定時間経過したら一度遮断する設定ってできますか? >>182 そうですか。 ベンダーに要求する前に調べようと思いまして。 もうちょっと調べます。 どうもありがとう。 ハローワークの紹介で面接を受けたんだけど、いきなり電話がかかってきてリファレンスの用意をしろって言われた。 でも内定は出なかった。エージェントにその事を伝えたら、行かなくて正解だったよって言われた。入ったら入ったで 大変なのか? >>184 ハローワークで紹介されるって、色んな意味ですげーな… ちなみに何で正解なんだろうな?? ここの会社の内情について詳しく教えてエロい人 働くにはよくないの? _ |O\ | \ キリキリ ∧|∧ \ キリキリ ググゥ>(;⌒ヽ \ ∪ | (~) ∪∪ γ´⌒`ヽ ) ) {i:i:i:i:i:i:i:i:} ( ( ( ´・ω・)、 (O ⌒ )O ⊂_)∪ ここ最近のUTM、Fortigateと比較してどうよ? 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。 グーグル検索⇒『加藤のセセエイウノノ』 3ABTU2E6N0 r''"''ー-,,_ | "''ー──‐---''ヽ | / | | 、--───‐ノ''ー-,,,_ | `ヽ \ "'''ー-,,,_ | \ \ "''''ー--┤ /\ "'''-,,,__ | / r‐\ "'''ー‐-.,,,__ |、 / ||,-`| \ "` \ / ヽYi | /`-,,_ \ | \ | | "''ー-,,,_ \ | ‖ | |"'''''┬--,,,_ \ | | | ゙、 | `ー-' | | ゙、 、 > | ゙、 /| ,、゙、 `ー- .,__ / ,へ / ノ,イ二ヽ、 ‐- ̄ / < ノ `''y''i|.r''⌒ヽヽヽ-、 人,,,/、 _,,,-‐'''"\ r'"‖| | | | ゙''" ゙、 / ,,--`-|| .(l| ゝ`ー‐' ,人-.,,_ \ | / ||) rヽ、゙、。/ ゙、 "''ヽ、 、 __ "''-,,_ .| / ,-─i゙、ヽ `''`i! ||、 ゙、. | `ゞ`=i-"、` ̄ | | / /ト、`Tヽ<||‖ \ ゙、|、 | ゙、 \ | | / / | `‐`r、 ゙i!()ー‐--、 ゙、ヽ、 | ゙、 \ | ゙、| / r''"" ̄ ̄ ̄ ̄| |"'''ヽ、_ヽ ゙、 Y二|゙、 ゙、 /| .| / | / 、.____|_|,,_ )) ゙、〈 ‐->| ゙、 / | | ゙、. 〉 ´ ̄ ̄ ̄ ̄ ̄""ヽ´ ゙、| || / | .| |゙、. 〉 _丿 ゙i ‖ / | r''"''ー-,,_ | "''ー──‐---''ヽ | / | | 、--───‐ノ''ー-,,,_ | `ヽ \ "'''ー-,,,_ | \ \ "''''ー--┤ /\ "'''-,,,__ | / r‐\ "'''ー‐-.,,,__ |、 / ||,-`| \ "` \ / ヽYi | /`-,,_ \ | \ | | "''ー-,,,_ \ | ‖ | |"'''''┬--,,,_ \ | | | ゙、 | `ー-' | | ゙、 、 > | ゙、 /| ,、゙、 `ー- .,__ / ,へ / ノ,イ二ヽ、 ‐- ̄ / < ノ `''y''i|.r''⌒ヽヽヽ-、 人,,,/、 _,,,-‐'''"\ r'"‖| | | | ゙''" ゙、 / ,,--`-|| .(l| ゝ`ー‐' ,人-.,,_ \ | / ||) rヽ、゙、。/ ゙、 "''ヽ、 、 __ "''-,,_ .| / ,-─i゙、ヽ `''`i! ||、 ゙、. | `ゞ`=i-"、` ̄ | | / /ト、`Tヽ<||‖ \ ゙、|、 | ゙、 \ | | / / | `‐`r、 ゙i!()ー‐--、 ゙、ヽ、 | ゙、 \ | ゙、| / r''"" ̄ ̄ ̄ ̄| |"'''ヽ、_ヽ ゙、 Y二|゙、 ゙、 /| .| / | / 、.____|_|,,_ )) ゙、〈 ‐->| ゙、 / | | ゙、. 〉 ´ ̄ ̄ ̄ ̄ ̄""ヽ´ ゙、| || / | .| |゙、. 〉 _丿 ゙i ‖ / | ユニークで個性的な嘘みたいに金の生る木を作れる方法 興味がある人はどうぞ グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 XBNHW ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる