Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>98-99
なんか根本から考え方がちょっと変な気がするけど、
じゃあ他のメーカーでFortigate100Fと同じ値段でSSLオフロードしてIPSかけて必要な実効速度出るアプライアンス入れりゃいいんじゃん?
で、そんなんあるの?って話
>>100
一応上り下り合わせて2Gbpsのスループット出ればOKだから、
Fortigateのミッドレンジモデルでも対応は出来るのよ
ただ、ネットワークでセキュリティ担保しようとする考え方がもう古いし
そんな不毛な投資するならMicrosoft365E5よ HTTPSトラフィック検査のスループット目安がわからないのですが
200人規模だと、何ギガくらいスループットある機種なら無難なのでしょうか? >>101
FortiGate使いやすいから苦言です
Fortiバンザイではない書き込みはダメでしたか?
ASICから外れたHTTPS SSLオフロードを何とかASICの対応に入れてほしいし、そう思っている
ユーザーや納品業者は多いですよ、たぶん
100Fと同じ価格帯でSSLオフロード出せるのはWatchguardT70なら十分ですよ
まあユーザー数と設定によって速度はまちまちで、一つの答えは出ませんがね
FortiGateバンザイない書き込みですいません >>103
FireboxT70のことだとしたら、100Fよりスループット出ないよ?
それと何を勘違いしてるのか知らんけど、SSLオフロードってASIC使ってるよ? >>101
MerakiやJuniperの様に、ナンチャッテHTTPS対応でユーザーを胡麻化そうと
しないFortiGateの方が良いと思うので、Asic対応何とかするべきだと思うので書き込んじゃいました
気を悪くされたなら御免なさい
北の電力会社のデータセンターや、公共施設のネットワーク機器にFortiGateあるもので
触るんですが、何処もHTTPSスルーで動いてますからね、仕方ないですが >>102
凄く難しい
SSL解いた上で、何の機能をONにするのか明確に定めた上で、検証データ持ってるベンダに相談するしかない
俺が知ってる限りだと自社でしっかり検証してるのってSB C&Sとか
200人規模っていうところで、回線の帯域が1Gbps上限、上り下りあわせて2Gbpsしっかり出しとけばクレームにはならんだろう、って感じでサイジングすると、どうしても300E以上の機種になる
そんなには金出せないよって言うならNATと最低限のフィルタリングをするルータなりFWと組み合わせるとか
Office365とか主要クラウドトラフィックはブレイクアウトさせるとか工夫も必要になってくる HTTPS対応で使うなら、フルUTM機能使いたいよね。 >>104
それはFireWallとVPNですよね?
AV、IPS、UTMはT70が圧勝ですよ
AV,IPS、UTMで比べるとT70は200Eと良い勝負ですよ
FireWallとVPNの速度ほしいならYamahaで良いです >>108
そんなわけないじゃん
100F舐めすぎ
100回読み直して土下座してくれる?
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100F_DS.pdf >>108
あとYAMAHAってなんだよw
とことん分かってねえ素人だな >>109
Forti USからのWatchGuardとの対比資料ですが、Fortiの人間は基本FireWallとVPNで勝負なんで
UTMを購入するユーザーと納品する立場の人間の気持ちがわかっていない
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 2500 1200 1100 1600
IPS 500 2200 1500 2300
UTM導入する場合は、フルで機能ONにしたいんですよ
Asicの守備範囲以外は、良い数字が出なくて仕方ないので、何回も書いてますがHTTPSはAsicで対応してほしい
土下座とかうっとおしいから書き込まないです
FortiはフルでUTM掛けれないことで有名なんだから仕方ないでしょう?
Asicで速度出そうとしているFortiとIntelAtomで動作させているWatchGuardの設計思想でしょ?
受け入れないと仕方ない
仮想UTMはAsic使用できないからFortiは性能悲惨でしょう? >>111
Forti 100E 200E WG T70 M270
VPN 4000 9000 740 1600
FrreWall 7400 20000 4000 4900
AV 250 1200 1200 2100
UTM 250 1200 1100 1600
IPS 500 2200 1500 2300
ゼロ一つ多かったです >>111
なんで一世代古い100E、まして、穴のある検証資料持ち出してんだよ
あと何度でも言ってやるがAESのデコードエンコードにASIC使ってないわけ無いだろド素人め >>113
UTM機能フルでオンにして使えますで大々的に宣伝すれば?
FortiはUTMの細かいオプションもチェック一つつけるだけでAsic対象から外れるから、事前に確認するのにフルでAsic対応なの?
HTTPSオンのお客さん見たことないですが
良く調べて法が良いよ >>114
うぜー素人だな
情報処理のイロハも知らんからASICの使われ方が想像できていない
ASIC対象外の処理が含まれたら一切ASICが使われなくなるとかあり得ないから
第一お前自信が挙げてる>>112 のFortigate200Eより100FはSSL解いた上でのIPSのスループット上がってんだよ
そんなに気に入ってるならHuaweiより酷い評価されてるwatchguard使ってりゃ良いんじゃないの? 最近のwatchguardは評判イイよ。
安くてスループット番長だし。
中身は、ちゃんぽん詰め合わせUTMだけどw >>116
Fortiダメだとは言っていないんですけどね
ブチ切れられてどうにもならないです
結構な頻度でAVエンジン等の入れ替わり激しくてSPAMエンジンのマーキングが変わったり等
ちょっとどうかなとと言う事もあります
UTMのパフォーマンスは確かに良いですよね はいどうぞ
ttps://blog.paloaltonetworks.com/2019/09/network-gartner-magic-quadrant-leader/ 常に俺様目線で聞く耳持たずでマウント取りたがる奴とは議論になんないよね
どんだけすごい技術者なのか知らんけど仕事では絶対に関わり合いたくないタイプ 言ってること出鱈目だしね
ASIC対応のサービスでオプション一つチェック入れるとそのサービスのASIC動作から
ソフトウエア動作になることは現場でさゎっている人間は周知の事実なのに
何回、担当SEや営業二確認する事か >>120
安い機種しか触ったこと無いとそう感じるかもね
※実際は間違っていて単にCPUで回される処理に律速されてるだけ
CP積んでる機種以上はHTTPSの復号化と再暗号化はASICでやるよ
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/194109/cp4-capabilities 横からすいませんが
>>120の人は、アンチウイルスや攻撃検出などのオプションを選択したらASICのアクセレーションから外れる時があると、書き込んでるよ?
私も営業の方からその話は聞いています
結構チェック入れても警告も無くASIC範囲を外れるとそのサービスごとソフト処理になるので注意点と言われた覚えがあります
その都度確認いただけたらと仰っていましたが
ローエンドだとHTTPSの複合化暗号化はASICで出来ないのですね?
参考までですが現行だとどのモデルから対応してますか?
安い機種しかと言われていますが、それもFORTIGATEですからね、そんな見下されても
客先では、その安い機種を一番よく見かけるよ?
横から申し訳ありません >>122
それ本当にFortinetのアカウントマネージャや担当SEから言われた?
適当なこと言ってる代理店じゃないの? >>122
全てかどうかは判らないけど40FはSSLインスペクションはASIC処理される
CPが独立搭載されてるのは200番台からだけどローエンドのSOCもCPを内包してるらしい
ttps://www.fortinet.com/jp/products/fortigate/fortiasic#soc4 SSLインスペクション有効時は、メモリ容量はあまり関係ないのでしょうか?
CPUのみ命!って感じかな? Androidスマホアプリの通信先など挙動を調べたいのですが、
Frotigateの証明書をインストールして、Deep-inspectionをかけると
アプリがエラー吐いて起動しない&正常に動作しないですね。
正規の証明書じゃないとだめなのでしょうか。
同じような悩みの方いらっしゃいますか?何か良い方法があれば教えていただきたいです。 セキュリティ面で証明書が公式のと一致するかチェックしてるアプリはそこそこある(Certificate Pinning)
また証明書の作り方次第でうまく行かない場合もある 40fのスペック見ると
50eどころか60eよりも上なんだけど
40fの方がお得なの? fortigate のカタログスペックは当てになんなくね?
このスレでも60DはPPPoEとかIPv6とかあったし。
まぁ当てにならんから聞いてるんだろうけど。 こんなバカッ速にはならないでしょう...,残念ですが
こんなこと書いてると、またヤヤコシイノに絡まれてた人見てるので、あれだけど
これまでもカタログスペックが全く出ないからね そうか、出た時期やスペックより
値段や型番を当てにしたほうがいいのかな。
レスありがトン IOSにforticlientと証明書いれてSSL-VPNしたい。
MAC無しでできますか?
APPにはでてこない。 事故解決
すくなくとも今は、Macがないとできないとわかった。
1000台位に入れてSSL-VPNしたかったけど無理だな。 >>130
全部一行空ける文体がまんまご本人のようだけど・・・w
適当なこと言って全部論破されてるだけじゃん どこまで調べたのか知らないけど、
Apple iOSのFortiClientは、iTunesからFortiClientアプリに入れたクライアント証明書しか認識しないよ
形式もPKCS#12とかだったかな
拡張子もチェックしてたかもしれない
なので、メール添付とかから開いて認識させるのはできない
前に試した時はMDMからも展開できなさそうだった
なので、力作業頑張ってくれ >>135
ありがとう。
販社サポにきいても同じだった。
Forticlientはあきらめた。
IPsecにするわ Fortigateでipv6 over ipv4設定する場合、
DS Liteは対応可能だが、map-eは対応不可との認識で良いのかな? Windowsの証明書サービスでクライアント証明書発行してipadに入れてIPsec接続したが繋がらん(;´д`)
共有鍵ではつながる。
Fortigateには、鯖証明書とCAをいれたんだが。 フレッツのひかり電話対応HGWの下にFortigateのwan1、wan2の両方接続してwan1はipv4のPPPoE、wan2はipoeのipv6プレフィックスを移譲してもらって、internalは固定のipv4と移譲してもらった64bitのipv6プレフィックスを割り当ててるつもりだが
internalの端末には
ipv6のアドレスがinternalのアドレスとwan側のアドレス両方割り当てられている。
ipv6わからん。
wan1とwan2を分けてるのは特に意味はなくはなんとなく。 >>140
windowsの証明書ストア間違ってない FortiOS6.0ですが、fortigateのDNS server機能で
「システム設定DNSへ転送」を選択すると
特定ドメインだけ別DNSサーバーに転送するいわゆる条件付きフォワーダー機能が働かなくなる。
「システム設定DNSへ転送」ではなく、「再帰的」にすると条件付きフォワーダー機能は働く。
仕様?
自分で名前解決せずに基本はフォワードしつつ
特定ドメインは別DNSにフォワードしたいんですが。 SSLインスペクション有効で使い物にならないって
具体的にどうなるのでしょうか?
ネット速度が1Mbpsくらいに落ちるとか? >>146
バージョン6.4以上か〜。60Eが中古市場に出回るのを待つしかないか。 >>148
60Eだと、やっても大して速度出ないよ >>149
市販のOCNバーチャルコネクト対応ルーターの方がスループット速いん? 60D (SoC2) から 60E (SoC3)になってNP6lite相当のipv6オフロードされるようになったのね
すまん知らなかったわ
ttps://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_FortiWiFi_60E_Series.pdf
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np7-np6-np6xlite-np6lite-and-np4 よい子のみんなは、ちゃんとファームウェアをうpしてるよね
ttps://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/ FortiOS 6.6 beta1がFNDNにリリースされたよー 金なくてFortigate60Dから更新できないワイ、低みの見物。 アップしたら、数時間後にWAN側からの通信が拒否される不具合が出て、
ロールバックせざるを得なかったでござる。 中古で販売されているFortiGate機器について質問です。
代理店・販売店ユーザー登録してなくても、ライセンス残っているFortiGateは、ファームアップデート更新できますか? ダッシュボードにアップデートできますって出るやつなら行けるんじゃね
個人で検証用ならともかく業務で使うならちゃんと代理店使った方がいい >167
ありがとうございました。
また質問です。
ライセンス切れた全く同じ他の機器へもコピーしたいのですが、可能ですか?
Web管理画面より、USBメモリ等へファームファイルコピーしたりできますか?
ファーム以外のウイルスとかファイヤーウォールとかは使用しないので必要ありません。 >>166
通常、代理店にユーザ登録しないとファームウェアは手に入らないはず。
中古でもライセンス有効期限内ならユーザ登録できるけど、有効期限切れたやつは扱ったことがないから知らない(ファームウェアが手元にあっても更新できないかもしれない。 >>168
fortigateにファームウェアを書き出す機能はない(少なくとも知る限りでは、だけど まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。 保守が残っていればオンラインアップデートは可能。
ファームウェアの書き出しはできない。
ライセンスのコピーは不可能。
というか、シリアル番号をオンラインでFortigate側のサーバに送信して、都度ライセンス情報を取得する方式だから、ライセンスというものがそもそも本体には保存されていない。 もちろん、ファームウェアイメージファイルが手元にあれば、ライセンスがなくても更新可能だが、協定的にOKであるかは分からない。 皆様アドバイスどうもありがとうございます。
>>173
>>まぁファームなんぞ適当に拾って来て好きに入れたったらええねん。
結構出回っているもんなんですか? ファームウェアを適当に引っ張って来ることに対する罪の意識が全くないのが驚き
やるなら他人に聞かないでこっそり自己責任でやれよ… ググれば出てくるみたいだが>>166が何をしたいのかがわからん
そもそもまだ実機持ってない様子か
零細企業で使うんなら、自称でもいいからライセンス更新しますって業者で買ってちゃんとしたほうがいいぞ
ここはサポートセンタではない おいらは何がしたいか十分わかるよ
自分で金出して勉強する人は必死なんだよ
それくらい理解してやれよな Upgrade Path Tool 使えます?
製品選択は出来るが、OSの選択が出来ない…。 >>181
前から反応悪いことあったけど今は完全にだめっぽいね
Chrome,IE,Flash環境でも見れないっぽい
昔ながらのリリースノートみながら控えていく感じで・・・ >>181
Firefoxで30秒ぐらい待てば表示される >>182
ありがとうございます。
最近ずっと調子悪かったけど
何とか使えてたんですけどねぇ。
>>183
ありゃ、Firefoxいけました?
一応いろんなブラウザで数分
放置したりして試したつもり
でしたが、抜けてたかな?
また試してみます。
ありがとうございます。 JPNE 「v6 プラス」固定 IP サービス利用時の. FortiGate 設定ガイド – Ver1.00
この設定ガイド作った人ちゃんと検証してるんかな?
CLIコマンドスペルミスもあるし、だいたいONUとHGWを同一で語ってるし、ひかり電話あり/なしで変わってくるとおもんだけど・・・
全然接続できないわ。 ひかり電話有り/なしでも基本はRAでプレフィックスもらうかと
DHCP-PDクライアントになるのは通常HGWだし、その配下のノードはHGWからRAでprefix払い出してもらうし 直接DHCPv6-PDをCPEで受けたいって話じゃなければ、HGWの有無に関係なくCPEはRAでprefixもらうね
なのでCPEのIPv6設定は基本変わらない
https://www.atmarkit.co.jp/ait/articles/1904/22/news019.html ひかり電話あり契約だけど、HGW使いたくないのでONU直下にFortigate接続しても、同じ設定でいいの? ひかり電話ありで契約してたらNGN側はDHCPv6-PD設定になってる
その状態でHGW外してCPEをONUに直結したいならDHCPv6-PDクライアント設定にする必要があるけどRAのパターンしか対応してないかと
あと、IPoEは固定IPサービスのみ対応 YAMAHA RTXの場合は、RAとDHCPv6-PDの場合は設定が違うんだけど・・・
もう少しFortigate-60Fいじくって勉強してみます。
ありがとうございました。 ipv6難し過ぎるわ〜
prefixをdelegationとか〜何言うてまんねん?wwwwwwww
って感じ🥺 >>192
同じく。
分からないからDHCPにしちゃってるけど、やっぱり割り当てられてない IPv6決めたときにDNS配るのは俺の仕事じゃねえ!とか意地張った奴らのせいなんだよな
いっそ飛ばしてインターネットに特化したIPv7とか作って欲しいレベル 基本はRAでもらうIPv6プレフィックスもらう前提だよ > FortiGate
だから、ひかり電話契約の場合はHGW/ひかり電話対応ルータなりの下につないでRAでIPv6プレフィックスもらう
ひかり電話契約なしの場合はONUに直結してRAでIPv6プレフィックスもらう
ひかり電話契約してて、ひかり電話対応のHGWというかルータ外して(ひかり電話つぶして)
ONUに別のルータ直結って需要はあんまりないんじゃないかね なんか変な文章になってた
「基本はRAでPv6プレフィックスもらう前提だよ > FortiGate」でした ひかり電話契約してONUと直結したいって人はDHCP-PDで複数セグメント分のv6アドレスが欲しいんじゃないかな
IPv4ならVLANで複数セグメントに分けてるけどv6は単一セグメントって気分的に微妙じゃない? ひかり電話ありの契約
ONU--<DHCPv6-PD(/56のprefix払い出し)>--HGW---<RAで/64のprefix払い出し>---CPE or PC
ひかり電話なしの契約
ONU--<RAで/64のprefix払い出し>---CPE or PC
くらいを知ってればいいと思う
>>197
そこまでわかって設計する人は多分ここで「繋がらない」とは言ってない気がする すみません、過去の流れを読んでみたのですが、結論が出なかったのでご質問です。
FortiGateでv6プラス(IPoE v4 over v6)に対応できるのはFOS v6.4からなんでしょうか。
また、下記手順書にあるような固定IPプランでないと駄目という事でしょうか。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-ocn-ipoe-fixip.pdf ■ このスレッドは過去ログ倉庫に格納されています