Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 NetscreenがScreenOS打ち切りでこっちに流れ着いた forti一台でsnatとdnatかますダブルnatできる? ftpにあがってるfirmは大丈夫なんだろうか・・・ netscreenとfortigateどっちがいいの? 80Cを中央に置いて、WANポート側に、192.168.100.0/24のネットワーク、
Internal側に192.168.0.0/24を設定。
双方向、permit_allにして、WAN側から、internal側にあるドメコンに参加させようとしたら、
ミスったwww
切替失敗、最悪な1日だった…orz NATの問題ですかね?
基本NATは使わず、ルーティング処理させているのですが…
ドメインに参加できたり、できなかったりのPCが多発www
pingは双方向、必ず返ってくるので、上位レイヤかなぁ、と考えたり、
permit_allだから、それは関係ないだろうと、関係あれば、どのPCも参加できないだろう?と考えたり…です あっ、NATのチェックは外してないです…orz
両セグメントがダイレクトコネクトだから、
自動的にルーティング処理になると思っていました…orz
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1155273516 60Cが安かったから買っちゃった
どうやってOS手に入れようかな >>11
なんか適当にネットから落としてくれば・・・
ftp fortigate firmwareでぐぐると出てくるよ。
使えるかどうかは知らんけど。 >>12
最悪その方向で
サポートに入れれば入りたいですね 注文していた60Cが届いた
2週間で到着
FWが5.00 MR6だ
使い古しだとか言ってたのに
どっちにしてもバージョンアップしないと
Heartbleed対策完了しないからなあ MR6じゃないよ。パッチ6な。
5.0MR2のGAがもうすぐリリース。 fortigate60-cの電源アダプタを探しています。
純正でなくても代替できるアダプターないでしょうか Forti ASICが凄すぎて 俺のPCルータが嫉妬中・・・orz
60CのRAM 1G モデルほすぃ! 検証機として40Cを2台買ってもらった
時間ができたらNGN網内折り返しのIPv6トンネルと、ISP経由のIPv4トンネルで冗長組んでみる >>18
安いFWアプライアンスをホームルータ代わりに使うのは鉄板だな
FortiやJuniperの旧netscreenとか >>15
サポート入ってないからとりあえず練習機として弄ってる
情報あり
>>16
輸入したときについてきたACアダプタ
パーツナンバー検索してきたら出てきた
original AC Adapter For FSP FSP036 RAB 12V 3A 36W 9NA0361612 AD036RAB FTN3-in Laptop Adapter from Electronics on Aliexpress.com
ttp://www.aliexpress.com/item/original-AC-Adapter-For-FSP-FSP036-RAB-12V-3A-36W-9NA0361612-AD036RAB-FTN3/1724479260.html これまでSSG使ってたが、勉強がてら80Cを手に入れて使ってみた。
netscreenでのscreenがIDSとIPSに分かれてるのね。
基本DBお任せでって感じなのか。。。
にしても、IDSの設定がCLIでしか出来ない上に、なんだ、この超絶わかりにくいCLIは・・・ あ…ありのまま 今 起こった事を話すぜ!
Fortigate80Cをヤフオクで買ったら、2018年まで有効なライセンスがフルで入っていた…
何を言ってるのかわからねーと思うが(ry >>22
しかもバージョン変わるとコマンド変わったりするんだぜ? >>23
よくあるよ。俺も60c買ったら2017だったし。 会社で30Dいれようか悩んでるのだけど、何故60並みのカタログスペックで
下位機種扱いなんでしょうか。
教えてエロイ人! >>23 >>25
いいなあ、オクで落とした場合、代理店名が基本的には不明だろうから、
保守契約が移管できないらしい。数年分最初からついてる状態なら、
その分まるまる得したようなものだね。 80CはUNKNOWN問題とか7GB問題とかあるのでしてー Fortiは自分は今まで800台くらい
セキュリティ アプライアンス入れてきたけど、一回も障害がない。
営業だけど、イイ感じだ。
みんなの意見は? >>29
でも障害ないと障害対応の保守費で儲けられないじゃない。いいの?
通年保守費は置いといて。営業としてそこのとこどうなの?
fortiは構成上困ったことになって仮想機能で切り抜けることができたので
助かりました。いまどき仮想なんてどこの奴もあるけど
改めて仮想機能は便利だと思った 障害が無いのは障害が無いような使い方しかしてないからじゃ? >>29
FW付ルータとして使うとうーんとなるときが結構ある
WANーLANの設定に癖がある
内部FW単体として使うと問題ない 調査不足のまま90D導入して難儀してる
LACPや冗長インタフェース作れるのは100D以上だけなんだな 質問です。
マニュアル見ながらVPN組めるぐらいの素人に毛が生えたぐらいのレベルで
UTMの設定もマニュアル見て何とかなるレベルに仕上げることできます? まずはやってみなよ
自分への投資だ
金かけたくなければ先にOpenWRTでも触ってみたら? >>34
ん〜俺もFGは最近使い始めたんだが、
ScreenOSから移ってきたんで、正直良く分からん、特に使い方がw
VPNを組めるかどうかより、
TCP/IPとEtherを理解できるかどうかじゃない?そこが分かれば、
後は使い方だけな気がする。
中古80C使ってるけど、たまにコンサバモードに入って、むーんって思ってたら、
丁度、80CのGeneration2品を発見したので、速攻ポチった。
FortiOS 5以降だと、内蔵Flashのlog diskは使えないが、とりあえずメモリー倍になったので、
コンサバモードに落ちることなくなって、いやっほー<今w
ちなみにライセンスは2017/12まで残ってた。 >>34
シグネチャタイプのIPSを設定するだけなら、単にポリシーでチェックボックス一つ入れるだけ
AVもほぼ同様 では、何とかなりそうなのかな。
今はv6でVPN環境は出来上がってて、IPS・AVの導入を考えているとこ。
一度貸し出しで試してみるサンクス。 FortiGuard.com | CVE-2014-8730 "Poodle for TLS" vulnerability
http://www.fortiguard.com/advisory/CVE-2014-8730--Poodle-for-TLS--vulnerability/
の対策でvirtual-server-hardware-acceleration持ってる機種って何か分かる?
60Cと200Bは持ってなかった
現行のDとかは持ってんのかな
300Dは持ってそうだけど
しかし、
うちのサポートは使えないなあ >>39
US公式のリファレンスマニュアルの下に、機種と使える機能のマトリクス表がある
SSL Offloadingの有無を調べるよろし >>40
ありがとう
Feature/Platform Matrixってやつね
とりあえず4.3ではない?機能なのね
ていうかなんでうちのサポートは4.3も対象って言ってきたんだろう
調べないで言ってきてるなあ
5.0以上のFortiOSで60Cは無理で200Bは出来ると
200Bはアップグレードしたら防ぐ必要があるのか
まあ、次の更改まで止めらんねーとか
訳わからないこと言ってるからアップグレードはやらなそうだな
200Bは昔は8万ぐらいで中古が輸入できたんだがもう無理だしなあ
80Cでも出来るのか でもライセンスがなあ
オークションで起動ログでVer5書いてるやつ探すわ 80Cのヤフオク見たがVer4しかないなあorz
ま、いっか
UTM買っても個人で使う分にはルータにしかならんしな >>41
そうとも言い切れないかもしれない
デバイス自身の管理画面へのログインもSSL/TLSを使う以上、SSLアクセラレータが使えない機種でもPOODLEに該当するって意味かもね >>43
だからワークアラウンドなのかね
FortiOSもファームウェアがアップグレードしやすければいいんだけどなあ FortiOSのバージョン違い(4.x <=> 5.x)でIPSec VPNをされた方は、いらっしゃいませんか?
機種交換で数週間、この組み合わせで使用しようかと思ってるんですが
3.x <=> 4.x の時は、目立った問題はなかった覚えが有ります >>45
大した設定してないけどやってるよ。
認証は事前共有鍵。 >>46
ありがとうございます
出入り業者は、異バージョンだと駄目だから・・・と言ってますが
やってみます
というか、出入り業者切ったほうが良さそうかな?
3台しかクライアントの無い場所に30Dを入れようかと言ったら、
一次代理店が30Dは止めておけと言ったから入れられないとか
確かに30Dのサポート体制は落ちるみたいですが
未輸入だった20Cでも良いレベルなんですがね 何これ、買ったけどマニュアルも何もないじゃん、どうすんのこれ・・・orz わかる人がいたら教えてほしいです。
Fortigate600CでトランスペアレントのHA(A-P)構成
アンチウイルスのセキュリティプロファイルを二つ作成したとする。
それぞれをA、Bというルール名と仮定。
Aはフローベースのモニタ
Bはフローベースのブロック
とした場合
Aのセキュリティプロファイルが適用されているところに、
Bのセキュリティプロファイルへ変更した場合即時に反映されないでeicar素通りしちゃいます…
長文すんません。 「FG-60D-US」を個人で購入しようと思うのだけど、
Q1:ベース製品だけの購入は可能?この場合、HW故障の保証は?
Q2:○○保守[e.g.平日先出しセンドバック保守] と Forticare の違いは?
Q3:FortiOSの更新をする場合、Forticareが必要になる?
わかる人がいたら助けてください(> <) >>50
1.可能。ただし、保証は別
2.ごめん、そこはなんとなくしか分からん
3.代理店の保証が必要 日本でForticareに入るっけ?
保証形態はCiscoと似てるんじゃないかな?
代理店経由でFortiから保証貰って運用する
Fottiの場合、OSも代理店経由でしか手に入んないけど
アメリカ輸入品を日本の代理店で保証はつけられる
一応 >>51 ありがとうございました。
Forticareはネット通販等でも買えるようですね。
本体はAmazon.com辺りでは買えなかったので、
輸入できないと思ってましたが、個人輸入的なところですかね。 30Dだけど、2、3ヶ月に一度ぐらいCPU100%になっててネットに繋がらなくなる。
同じような人いませんか? それだけじゃなんとも
30DはCPU弱いから、そういうこともあるかもね程度のことしか言えない
事象発生時にtop叩けば何か分かるかもね fortigate60Cv4.0でvipでソースipレンジにwanインターフェイス(pppoe動的ip)を割り当てたいのですがどうしたら良いでしょうか
動的ipでvipでフォワーディングするにはその都度変動ipに変更しないと行けないですか? >>55
何かおかしなこと言ってる気がする
多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?
出来ないわけないだろと思うんだけど手元にある検証機にFortiOS4.0入れるのまんどい >>56
>多分一般的な動的IPアドレス環境でサーバ公開したいってことだよね?
ですです
今のとこvipにpppoeで取ってきたグローバルIPを当てて公開しているのですが、再起動時などにIPが変わってしまったらまた設定し直さないといけないので、それをどうにか設定し直さずに運用できないかなと >>57
VIPじゃなくてstatic natで書くとか
VIPのexternalに0.0.0.0指定するとか何か方法あるんじゃないかな
cookbookかhabdbook調べてみな FWのポリシーでサービスでallだけを選択しても全部通らない?
ping通らないなぁと思ってall icmpを追加したら通ったけど
allにはall icmpとかall tcpとかall udpは含まれないということでしょうか?
OSは5.2.3。4の頃はなんか全部通ってた気がする。 >>62
英語が苦手なのは否定しないが結局はコレだった。
5.2.2を経由してると5.2.3でもそのままだった。 >>63
全く内容読めてないだろ
ICMPに何の関わりもない記事じゃん
別個に許可しなければICMP通らないのは知ってる限りでも5.0で既に仕様だった 横からすまんが
5.0ではサービスオブジェクト"ALL"はIPすべてを指してた。
5.2.2で"ALL"にプロトコル番号6が指定された。
"ALL_TCP"というサービスオブジェクトがあるのに、
"ALL"でIPの6が設定されているのは明らかにバグだわ。
英語読めてないのは>>64の方な。 すみません、トラブルでハマっていて困っています。
Fortigate 60Cで、最新のファーム5.2.3 にあげたら
(ファイル名 FGT_60C-v5-build0670-FORTINET.out)
それまで出来ていた、ブラウザからGUIでのアクセスが出来なくなってしまいました。
configにはちゃんと「set allowaccess ping http https ssh」としているのですが
なぜでしょうか。PCからfortigateへのpingは帰ってきますので、物理生涯ではなさそうなのですが。
こんなトラブルで残業です・・・お助けください。 >>66
ブラウザのVerが対応してないんじゃないの? >>66 バーチャルIPとインターフェースのIPが一緒で、pingやら管理画面へのアクセスが通らなくなったことはあった。けど、それは違いそうだな…。 最新版でアクセス出来ないのは原因不明で、ファームを古いものにお落としたらちゃんとアクセスが出来るのです・・・。
IE11なのですが、IEは問題が多いのですかね。クロームで試してみます。 自分は5.2系の不具合と認識してる。
100D/200Dでも頻繁に起きてる そいや5.2.3のWebUIなんかやたら遅かったりするね
筐体が白くなってから随分マシになたっと思ったけど相変わらずぶれるなあ 今まで色々FW扱ってきたけど、これが一番設定しやすいね。
150人規模の会社だと、200Dくらいを入れた方がいいのかしら?
担当者は予算がないので100Dで、と言われてるけど。 40C使ってるけど5.2に上げたらメモリが90%近くに張り付くんで4に戻した。
こんなもん? 60cなのですが、vipの設定最大数っていくつになるか誰かわかりますか?
仕様からじゃよくわからなかったもので。 /:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
http://y2u.be/z2qK2lhk9O0 なにがと〜る〜、もりがと〜る、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、
ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボア〜ル
https://www.facebook.com/tour.mori なんとっ、Fortigateの書籍出てたのでポチった 前の書籍からだいぶ開いたねぇ。
WAN最適化あたりが入ってればよかったのに。 書籍に書いていないということはどういうことかわかるだろ? すみません、ここで聞いていいのかわからないんですが
先日リコーの営業にFG-60Dバンドル版+リコーの設定やハード保守を
それぞれ5年で約60万(本体+ライセンスで約40万、保守5年で25万から割引)
というのを勧められ (内容はたぶんこれ↓と同じだと思います)
https://www.ricoh.co.jp/itkeeper/gateway/service.html
経理担当がマイナンバーの扱い怖いし導入してほしいという流れからの
自社の規模や業態的にオーバースペックか調べてと上司に頼まれたんですが、
自力では各モデル及びライセンス内容の違いが判断できませんでした お聞きしたいのは、下に書いた条件でFG-60Dは妥当なのかどうかと
設定やハード的な保守を依頼するほど扱いの難しい機器なのかという点です
説明書+上に出てた書籍などで調べられる程度の知識で大丈夫そうなら
リコー保守は不要かなと思ってます
規模と業態としては、常時ネット接続してるPCは8台で
もちろんセキュリティソフトは入ってます
業務上ネット使用は給与振込み時のネットバンキングと調べごとくらいで
取引会社からの特別な企業秘密などは扱ってません
ちなみに従業員のネット閲覧はとくに制限はありません
説明不足はあると思うのですが、アドバイス頂けると助かります >>85
ライセンス内容(Full IPSのみ とか)保守内容が解らないと価格の返事は出来ないよ
オーバースペックかどうかは、総接続台数が解らない
30D なら30台 60D なら60台 が目安
但し速度は変わるけど UTM使うなら60Dだと20台が限度だと思う。
その下の40Cだと5台くらいが限度だから、機種選定は妥当だと思う セキュリティ対策って設定して終わりじゃないから
設定だけしてもらってもあんま意味ないかと。
保守も故障対応とかアップデート程度っぽいし。 85です
色々アドバイスありがとうございます!
機種として60Dは妥当な感じでしょうか
すぐ決めなくてはというわけではないので
業態的に合ってるかと設定や保守の依頼については
上に出てた本を読んでもう一度考えてみようと思います 最近こぞってリコーを初め複合機屋がFortiに手出してる。
UTM多機能、トランスペアレントで挟み込むだけだから導入が楽、
テンプレ設定でばらまけるから内容を理解してないレベルの事務機屋にも販売させることができる。
価格設定は我々中小SIerから見たら羨ましいレベルのぼったくり、さすが大手の看板使うと違うなぁと思います。
もし他に出入り業者が居たら相談したらもっと安く済むかもしれないし、
注意して欲しいのはFortiはあくまで対策の1つと考え、これで万全!と過信はしない方が良いかなと思います。 連続で失礼、
セキュリティ設定の変更なら管理画面も日本語GUIだし難しくはないと思う、
というかWebフィルタやDLP使わないならほとんど設定変更もないと思うけど。
初期状態からの設定は自分ではしない方が良いかと思います。
あと導入するならハードウェア保守はケチらない方がいいです、壊れやすいものではないけど
万が一壊れたら笑い話にもならないので。 すんません
自宅から書き込み
会社のISPが遅すぎて
Forti(OS 5.x)のVPNから、フレッツVPNへの変更を思案中
Fortiだけで、フレッツVPNされているところ、有りますか?
フレッツVPNはRTX使わないと と業者に言われて 単純にトンネル機能だけ使うならRTXのほうが信頼性はあるわな
別にPPPoEしゃべれてトンネル機能持ってるならなんでもいい >>94
なんでだろ?
うちはRTX1200or1100で問題おきてないけどな >>94
フレッツ回線でispとフレッツvpnワイド使うなら、hub噛ませてwan1とwan2に接続して両方使えば良いかも。
pppoeのマルチセッションは出来なかったするからfortiだと。vdom使うのは負荷がたかいし。
フレッツvpnワイドだとネットワークは超えれないから、内部でvpnかけるといいかも?
今ならrtxよりcisco startの方が安くてオススメ くっそー30Dまた固まってる定期レポートこねー
おそらくウィルすチェックの定義ファイル更新だろうけど、
これってスケジュールで更新時間何とかできたっけ?
>>94
うちはNECのIXルータでフレッツ光ネクストのIPv6でVPNやってる。
接待頼んだ数社のベンダには全部断れたから自分でやったけど。w >>95-99
いろいろ、教えていただき有難うございます
我ながら情報不足だと反省
従来、FortigateのVPN機能で各拠点を接続
リース期間が切れたので、総入れ替え
内訳は、200D 90D 30D
で、その際NTT Bフレッツから光ネクストファミリー 1Gタイプに切り替え
ISPがO●Nと言う地雷 当然のごとく夜間は遅くて使えない状態
30Dのせいで、98氏の案もダメ (90DもVDOMは不可)
切り替え直後なので、追加のハード申請もしにくい状況です
トホホ ■ このスレッドは過去ログ倉庫に格納されています