Fortigateについて語ろう4
レス数が1000を超えています。これ以上書き込みはできません。
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。 100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的IP
識別の為のPeer IDは、どうやって作るのでしょうか? FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能(AVなど)は無料
https://forticlient.com/downloads 数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね >>902
>>903
どうも有難うございました
結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした
数日前にはできなかったのですが、なんかミスってたんですね >>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います(されてる設定の通り)
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました Fortiって、FWスループットだけの
見掛け倒しじゃない? HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話 >>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。 60Fて、あの安さであの脅威スループットは凄くない?
ソニックウォールでも、同等スループット機種は倍はするよ。 ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる httpsまで保護するなら、同レンジの中では
60F 一択な気もする。 60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。 パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな 質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか? >>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。
>>919
NAT機器でSTATIC NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。 NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・ >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/pZ90Ptt.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) NAT-Tは500と4500のポート使うかどうかの話じゃないの? 50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。 CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの? リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの? 【告知】大阪で1番恥さらしな男!!これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界!!そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作!!
ノンフィクション自叙伝!!
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊!!
全国の書店&ネット通販でどうぞ!! LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか? 確かに贅沢だなw
VDOMも有りだけどPort01は1F、Port02は2Fとかに切るだけでも十分な気がしてきた。 forticare 8x5契約が切れそうなのですが、24x7の契約で継ぎ足すことはできたのでしょうか。
fortinet的には、本体買った当時から今までの分の24x7ライセンスも買え、と言いかねませんけど。 Port01は1F、Port02は2Fとかだと
IPS有効の場合、LAN内ファイルサーバーとかの
利用速度めっちゃ落ちそうだよねw そこは機種によるとしか言えないだろうね。
安くても最近出てるFシリーズとかはカタログスペックでワイヤスピード出てるし。 fortigateでNAPT(IPマスカレード)する時に変換後のSrcPortレンジの指定って出来ますか? >>935
IPv4だったらASIC処理で得意 v6は微妙 Fortigate60DにSSL-VPNで接続してRDPでWindowsにログインしてそのWindowsでインターネットからダウロードすると
帯域逼迫かなんか知らんけどRDPがまともに通信出来ない。
利用者は自分1人。
ショボ過ぎへんか?
ちなみにトラヒックシェーパーでSSLVPNの10Mbps帯域保証設定しても変わらず。 60DのSSL-VPN処理能力の低さを甘く見ないで 60dから50eに変えたが、グレード下がっても新しい方が処理早いな。SSL-VPNスループット測ってみるか… >>939
ありがとう。IPv4は得意なんですね。
構成の問題な気がしてきました。 https://www.avfirewalls.com/ ここで40FオーダーしたらもうUS外で売れないんだわスマンネって言われた。
どこか平行輸入で帰る所って有ります? 今さらきがついたが
50Eって6.4いけないんだな 今100F触ってるけど、カタログスペックはすげー伸びてるな FortiGateのカタログスペックって鵜呑みにしてええのん?
疑わしいんやが。 >>948
L4のパフォーマンスは信用してよい。
専用ASICでハードウェア処理するからそんなにブレない。
ただ頭いいことやらせようとするとね…それなりだよね… gei-ipでのブロック使ってる人いる?
いたら、ipv6だとどうしてるか教えて欲しい Captive Portal の認証でfacebookやgmail等のsocialなアカウントを利用した認証ってできますか? 945だけど
US Amazonで40F買えました。UTMライセンス3年つきで約12.7万円でした、参考までに。 金持ちやなぁ。
ワシには型落ち中古で1万円ぐらいの奴しか無理だわ 同じく中古の50Eを約1万で買った。ライセンスが約3年間が付いてたので、かなりお買い得だったと思う。 10万円かけて買って壊れたらどうすんやろ…
海外から買ってたら保守契約なんかもできないよね >>955
3年で1万はやすいね
それだけ安いと無意味にHAとか組みたくなりそう HAはいらんがLAGの為に自宅用に50E買ったんや…
ポート数すくないけど、下にそれなりなまぁなんとかなるな。
回線冗長の為に楽天LTEとかで繋ぎたいのだけど、USBモデムで接続できない… すまん。それなりなL2SWがあったら、ですな。逝ってきますorz >>959
使えるモデル少ないけど使えるのあるぞ。
CLIで有効にしてみた? >>961
持ってるLG-03は駄目だった。
使えるリストとかあれば是非教えてほしい 中古を買おうと思ってるんだけど
ライセンスが期限内で有効な状態なら
最新ファームウェアは
代理店のID/PWが無くてファイルでダウンロードできなくても
FortiGuard上からアップデートできるもの?
それともファームウェアは個別にダウンロードして入手して
機器に転送する必要がある? FGT60C*** # diagnose sys modem query
USB status: Connected
manufacturer: Sierra Wireless, Incorporated
model: NI-760S
ダイアルアップ?使いみちが判らん行けそうだ
ttps://www.ncxx.co.jp/product/ni-760s >>963
ありがとう、と言いたいところだけど3G…LTE対応してる筈なんだけどなぁ。
メーカーサポートサイトでユーザ登録してる所は大概見てるので、6.xの新機能としてLTEか5G対応してほしい所 >>967
表記上だけの問題じゃないかな。LTE対応してると思うよ。
設定コマンドにlteって入ってるし。
config system lte-modem deep inspectionで使う証明書って
買ったやつは使えない?
もしくは使えるのは条件ある? ん?公的証明書が使えるか?という質問?
設定した事無いけど使えないなんてことありえなくね? >>970
買ったやつはクライアント証明書にはいるんだけど
deep inspectionのプロファイルで選択出来ない
選択できるのローカルCAのやつだけなんだよ
多分、自分がそもそも勘違いなんだとは思うんだが
FujiSSLみたいなとこで買ったやつが使いたい >>971
誤 クライアント証明書
正 ローカル証明書 使えない
deep inspectionする機器が
deep inspectionしてますよと
利用者に明示するためのものだから
公的証明書なんか使えたら偽装になる >>973
なるほど、そう言われてみるどこそうだよね
せめて証明書の名前とドメインを変えられれば良かったんだけど
ユーザーが見たときに自社のドメインの証明書なら
気にしないんだけど
fortinetでしかもコモンネームも乱数っぽく見えろから
説明しても気にする人いて あぁ、そうかユーザーが接続してる第三者のドメインの証明書がいるのか。 50e じゃdeep inspectionきついかね?
試しにONにして楽天のトップページ行くだけでCPU跳ね上がるんだけど
60eならASICで余裕? >>976
60Eは50Eの2倍強のSSLインスペクション性能
それで余裕かどうかは低能で頭が悪いお前次第 そうなのね
低脳だからもう少し教えて欲しいんだけど
2倍はセッション数、パケット数
とかどこで考えるといいの?
カタログ見るとSSL inspectionのスループット
2倍も変わらないからわからくて スループットであるベンダーのマルチプロトコルでの検証結果
信じるかどうかは低能で頭が悪いお前次第 >>979
あんがと
参考に買い替え含めて検討してみるよ 40Fでdeep inspection設定して楽天に繋いでみたらCPU負荷が20%位になった、メモリは変わらず。
まぁエントリーモデルだからこんなもんだろね。 >>981
Fシリーズでもか
SSL inspectionはやっぱ重いんだな フォワードプロキシでdeep inspectionしている人って
使ってるクライアント全部にFGのルート証明書いれてたりするの? >>983
パソコンは入れてるが、スマホ系はアプリがエラー出しまくるやつがあって使い物にならん。 >>984
なるほど・・・
Javaとかの独自の証明書ストアとかも考慮すると、かなり面倒だな そうなると、Deep Inspectionはエンドポイントでやろうよってなるんだよね SSLインスペクションは企業で利用しても
問題が出るサイトに関する問い合わせ対応と
除外運用がクソ面倒くさい >>987
でもやらなきゃ、やらないで
SSL通信で好き放題されるでしょ? エントリー、ミドルクラスだと、なんでもかんでも1台でやるのは無理だよなー。 ハイエンドでも利用ユーザが5000人以上とかの大規模だと
・SSL暗号
・IPS
・アンチウィルス
・SSL複合
は別筐体でやるな >>994
お金が、、、、
零細企業ほどリテラシー低くて
ゲートウェイでやりたいと思うのに 貧乏なら可視化はあきらメロン
URLドメインフィルタで締め上げる スタティックルートの設定数上限8
って変更可能ですか? レス数が1000を超えています。これ以上書き込みはできません。