Fortigateについて語ろう4

**anonymous@**125.090.net5.hinocatv.ne.jp · 2014/02/09(日) 17:15:56.81

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、ネットワーク構成・環境を報告してください。

**hoge** · 2016/09/04(日) 23:43:40.91

>>193
君の知識だったら金払ってプロにお願いした方が良いね。

**anonymous@**KD182249240013.au-net.ne.jp · 2016/09/05(月) 09:15:56.22

ポート番号がなきゃ変換できないよ。

**anonymous@**106.237.69.115.shared.user.transix.jp · 2016/09/13(火) 18:44:45.10

勉強のために60Dをオクしようかと思ってるんだけど
契約切れてると制限されてる機能とかってありますかね？

**ななし** · 2016/09/13(火) 22:50:27.76

>>196
パターンファイルの更新とかファームのアップデートとか。

**anonymous@**106.237.69.115.shared.user.transix.jp · 2016/09/13(火) 23:12:09.45

>>197
ありがとうございます
評価や勉強としては十分な感じですね

**ななしさん** · 2016/09/14(水) 11:37:27.79

会社でのUTM導入を考えてスペックとにらめっこしてます
90Dいいなー、と思ったのですが、アンチウィルスのスループットが
フローで65Mbps/プロキシで35Mbpsと書かれてますけど
アンチウィルス機能をオンにするとそんなに遅くなりますか？

UTM導入は初経験なので、そこまで遅くなるのか実感が無いです

**ななし** · 2016/09/14(水) 12:33:39.95

UTMは単純捜査じゃないからASICとか効かないし
どこもそんなもん

**名無しさん** · 2016/09/14(水) 13:03:24.15

>>200
そんなもんですかー
実効速度がフローでも50Mbpsになりそうですけど
もう一段高い100Dを検討しようかな…

**ななっし** · 2016/09/14(水) 14:24:32.96

Sophosとかで評価版のソフトがあるから空きPCとかに入れて試してみたら？
UTMの感覚は掴めると思う

**名無しさん** · 2016/09/14(水) 14:44:35.58

>>202
このスレの趣旨と反してしまうかもだけど、面白い製品を紹介してくれて助かります
PCをUTMとして使えないのかとも考えていたので、これは是非試してみたい

**anonymous@**236.78.239.49.rev.vmobile.jp · 2016/09/14(水) 17:05:05.23

支社に60D.本社に200Dを想定して、回線使わず接続テストしてるんだ
支社からは外に出ず、本社経由で出てるっぽいけど、支社のPCからTracertすると、本社から外のgatewayのIPの前に200DのMGMTのIPが見える
なんだこりゃ
60Dと200Dの間には、インターネットの代わりにルーターを置いてる

**ななしさん** · 2016/09/15(木) 02:24:10.39

>>204
tracerouteはどのIPアドレスで返さなきゃいけないというような決まりはないじゃん。
だからそれは仕様なんだよ(藁

**anonymous@**225.179.138.210.rev.vmobile.jp · 2016/09/15(木) 06:08:07.53

200D自身ってことですか
納得

**ななしさん** · 2016/09/15(木) 14:42:39.74

5.2からNAT64使えるみたいだけど使ってる人いる？
スループットどれくらいでるのか知りたい

**あのにー** · 2016/09/16(金) 09:53:14.14

>>204
IPsecだと思うけど、トンネルにIPふってないなら、そうなるかもね

**anonymous@**192.176.138.210.rev.vmobile.jp · 2016/09/16(金) 16:42:47.32

ここは勉強になるわ

**anonymous@**KD182251243037.au-net.ne.jp · 2016/09/26(月) 10:10:46.33

100dで質問です。

新しいセグメント追加のためvlan追加したいのです。
すべて使用のポートを倫理で切っている為、元のvlanを切って新たに作る流れになると思いますがその場合、その切ったvlanは通信断等発生するでしょうか？

**ナナシサソ** · 2016/09/28(水) 02:14:42.65

もう少し具体的に書いてくれ。何がやりたいのかよくわからない

**anonymous@**217.76.239.49.rev.vmobile.jp · 2016/09/28(水) 06:10:00.61

倫理で切るって、ポリシーってことですか？
vlan切ったら、通信も斷かな
人のいない時に試してみたら？

**ナナシサソ** · 2016/10/02(日) 18:23:21.20

論理かと思えば倫理wwww

**anonymous@**pw126236032241.12.panda-world.ne.jp · 2016/10/07(金) 19:07:24.34

>>200
ASICがきかない？きくよ。
どのチップが入ってるかはモデルで
変わってくるから確認してください。

エントリーモデルクラスだとsoc
ある程度ミッドレンジになってくると
CP、NPが入ってるからパフォーマンス
があがってくる。

**anonymous@**26.76.239.49.rev.vmobile.jp · 2016/10/08(土) 11:10:00.47

ポリシーのセクションビューができない
デフォの暗黙のanyがあるから？

**ナナシサソ** · 2016/10/09(日) 19:29:59.66

>>215
ポリシーのコンフィグ貼ってみな

**anonymous@**219.125.148.210.rev.vmobile.jp · 2016/10/10(月) 15:26:18.30

すみません。
解決しました。
申し訳ない。

**anonymous@**FL1-118-110-235-132.hrs.mesh.ad.jp · 2016/10/16(日) 10:56:29.74

一部のGoogleサービスのみ利用を許可する制限を掛けたくて、
FortiGateの導入を検討しています(60D or 50E)。

規模的には60Dでも十分かと思ったのですが、NGFWスループットが
23Mbpsと低いのが気になっています。
※アプリケーションコントロール機能での制御を考えているため。

逆に、50EはNGFWスループットが220Mbpsと60Dより高く、
その他のスループットも60Dより高いのですが、ファイアウォール
レイテンシが180マイクロs(60Dは4マイクロs)と大きいのが
気になります。

NGFWスループットとファイアウォールレイテンシの間には、相反する関係があるのでしょうか？
※NGFW関連の機能を無効にしていても。

また、50Eの180マイクロsというレイテンシは、一般的なWeb閲覧や
Web会議のような使い方であれば、十分な値なのでしょうか？

**anonymous@**229.76.239.49.rev.vmobile.jp · 2016/10/16(日) 12:14:54.96

50E
チャレンジャーだな

**anonymous** · 2016/10/17(月) 17:18:32.01

そなの？うち50人ぐらいの製造業だけど30D使ってるよ
どうせアンチウィルスでスループットそんなに出ないでしょ？

**anonymous@**KD182251249047.au-net.ne.jp · 2016/10/17(月) 18:52:42.23

Eシリーズは5.4系だからじゃね

**anonymous** · 2016/10/17(月) 21:45:12.67

どのクラスからが、新のFortigate?

**あのにー** · 2016/10/17(月) 22:18:39.39

300D

**anonymous@**FL1-118-110-235-132.hrs.mesh.ad.jp · 2016/10/18(火) 00:42:51.33

>>219
ネットで調べても、取り扱っているサイトが少ないように
思うのですが、あまり実績のない機器なのでしょうか？

>>221
5.4系はまだ安定していないのでしょうか？

**anonymous** · 2016/10/18(火) 01:54:11.16

>>224
一般には5.2系が安定版ってされてる
とりあえずFortiはサイジング含めて選定難しめの機器だから販社に検証機借りて試験導入する事を勧めるわ

**ななしさん** · 2016/10/19(水) 19:42:43.36

5.4サポートしてる販社ってどこよ？

**anonymous@**FL1-118-110-235-132.hrs.mesh.ad.jp · 2016/10/19(水) 23:15:26.31

>>225
ありがとうございます。
試験機での検証を考えたいと思います。

**anonymous@**KD182250243226.au-net.ne.jp · 2016/10/20(木) 19:23:54.80

FG300Dの導入を検討してて、相見積もりでウォッチガードの金額聞いたら安すぎてびっくり
スループットとかいいのになんで安いんだろ

**ななしさん** · 2016/10/21(金) 01:25:30.41

>>228
本当に300Dが必要？

**anonymous** · 2016/10/21(金) 10:08:37.77

俺も昨日ウォッチガードってのを見つけて値段調べてたら本当に安かった
ネットで調べてたら情報まったく出てこなくてびびったけどｗ

**anonymous** · 2016/10/21(金) 10:58:28.06

昔アキバのOTTO（PC-server1）で扱ってたことあったけどな＞ウォッチガード

**ななし** · 2016/10/21(金) 11:31:28.63

赤いやつってイメージしかない。
昔のは中身PCだったな。

**anonymous@**150.69.239.49.rev.vmobile.jp · 2016/10/21(金) 11:38:50.48

winNTが入ってて酷い代物だった

**ななしさん** · 2016/10/21(金) 11:49:52.13

ウォッチガードって今でも管理用PC用意しなきゃいけないの？

**210** · 2016/10/26(水) 21:29:41.26

100dで質問した者です。
すいません、自分でもなんかへんな文章で申し訳ない

LANインターフェイスとして12ポートを物理できっています。それを半分の6ポートを今の物理グループより削除して新たにインターフェイスグループを作成しLANを2つにしたいのです。
今のLANには一本だけでL3が繋がっており半分のポートをグループから削除しても問題ないとフォーティーより回答あったので削除実行したらネットワークが止まりました。慌ててすぐコンフィグを戻して復旧しましたが原因がよくわかりません。
LAN側pcよりpingを打っていましたがL3までは通っておりました。
fotiとL3間の通信が取れていないようで、ポリシーか物理インターフェイスを変更した為Macアドレス変化したのかのどちらかと思っているのですがどうでしょうか？
物理インターフェイスを分けるとMacアドレスって変化するでしょうか？
あとはポリシーを新たに分けたインターフェイスで適用し直しでしょうか？

**あのｎｙ** · 2016/10/26(水) 22:32:22.56

5.2系5.2.3以前のだとハードウェアスイッチのメンバー編集すると不具合起こす

**210** · 2016/10/26(水) 23:01:32.79

>>236
まじですか、、確認してみます。
その場合はやはり新たにポリシーの設定し直しですかね

**あのｎｙ** · 2016/10/27(木) 00:31:56.83

再起動で直る。
てかファームウェア上げような？

**210** · 2016/10/27(木) 05:29:58.14

>>238
そんなに古くなかったような気がしますが確認してみます。
ありがとうございます。
ちなみに5.2系5.2.3以前とありますが5.0系も対象でしょうか？

**anonymous@**79.250.149.210.rev.vmobile.jp · 2016/10/29(土) 11:35:17.42

細かいこと聞いても、答えられないよ
自分で試しなよ

**あのｎｙ** · 2016/10/29(土) 11:53:49.02

忘れてた。
5.0系はハードウェアスイッチの機能に制約が多くて、そのせいか不具合が少なかった。
たぶん5.0系は大丈夫だけど、メンバーの編集の自由度が低かった気がする

**anonymous** · 2016/10/29(土) 14:58:30.29

5.0系は初期化しないとスイッチの構成変更できなかったような

**ななしさん** · 2016/10/29(土) 16:45:17.81

お前らさっさと5.2にあげろよ

**anonymous@**78.251.149.210.rev.vmobile.jp · 2016/10/30(日) 13:24:54.49

5.4はチャレンジャー
5,2は常識人
5,0は⁇

**あのにま** · 2016/10/31(月) 11:16:27.62

5.4のGUIはもうネタの領域だわ・・

**sage** · 2016/11/10(木) 23:48:13.20

webフィルタの設定で教えていただきたいのですが、
www.yahoo.co.jpとyahoo.co.jpは許可とし、img.yahoo.co.jpなどのwww以外の文字列は禁止したい場合
正規表現でブロックをすれば良いと思うのですが、下記の記述でうまくいきません。
^(?!.*www).*(?=[0-9a-z]).*$\.yahoo\.co\.jp
設定教えていただけませんか。

**anonymous@**103.77.239.49.rev.vmobile.jp · 2016/11/12(土) 12:34:31.47

正規表現じゃなくてそのまま2つ書けばできないの？

**ななしさん** · 2016/11/12(土) 22:17:49.38

>>246
バージョンいくつ？正確にな！

**anonymous** · 2016/11/14(月) 12:56:39.70

エスケープ怪しい
正規表現チェッカーサイトなりでマッチするか確認してみたら？

**sage** · 2016/11/15(火) 06:58:49.68

>>247
なるべく1行ですませたいと考えました。
>>248
v5.4.1 build5447 です。機器は60Dです。

**ななしさん** · 2016/11/15(火) 20:58:11.49

>>250

5.4.2出たけどまだまだ不具合多い。
リリースノートの既知の不具合がてんこ盛りｗ

出荷時から5.4.1？

**sage** · 2016/11/15(火) 23:43:08.70

>>251
出荷時は5.2系統以前でした。最近5.4に変えたのですが、かなり変わりました。
動作も前とすこし違うような気がします。

**anonymous@**sp1-66-102-253.msc.spmode.ne.jp · 2016/11/16(水) 10:07:04.47

>>252
悪い事言わないから5.2系にもどした方がいいよ
5.4にしかない機能をどうしても使いたいとかあるの？

**anonymous@**12.6.138.210.rev.vmobile.jp · 2016/11/16(水) 15:08:39.34

5.2に戻せるんですか！

**ななしさん** · 2016/11/16(水) 22:58:20.26

>>252
チャレンジャーやのぉ。機器モデルと使ってる機能晒してくれよ。

**anonymous@**125x101x182x197.ap125.ftth.ucom.ne.jp · 2016/11/18(金) 00:09:59.98

fortigateでwebのブロック等の制限ではなく、閲覧履歴のみをを取りたいのですが可能ですか？

fg · 2016/11/18(金) 00:17:20.36

>>256
全部のカテゴリをモニターで登録しとけばいいよ

**anonymous@**125x101x182x197.ap125.ftth.ucom.ne.jp · 2016/11/18(金) 07:41:54.36

>>257
やってみます
ありがとうございました

**anonymous@**om126161116193.8.openmobile.ne.jp · 2016/11/18(金) 20:29:01.44

>>257
できました
…が、当然ですがユーザが意図して開いたページと広告とかの勝手にコネクション張る系がごちゃまぜでよく分かりませんでした…

正解はブラウザとユーザ本人のみぞ知るってことですかね

個人的な興味なので満足しました
あんまり嫁さんの閲覧履歴とか見ても不幸な事態に陥りそうなのでオフります
ありがとうございました

**anonymous** · 2016/11/18(金) 22:11:25.75

あんたの嫁さんにPacketBlackHoleとミラーリング用のスイッチをプレゼントして
セットアップまでしてやろうか

fg · 2016/11/19(土) 02:41:30.62

>>260
wwwwwww

**ななしさん** · 2016/11/20(日) 02:39:08.16

>>260
それって暗号化された通信も復号化できるの？

**anonymous** · 2016/11/20(日) 14:03:20.99

実装的にmitmproxyと考察してる人は居るね
メインのWebUIの方は、BackTrackにも含まれてるXplicoの独自カスタマイズだと思う
何れにしても目新しいソリューションでは無いはずだよ

**anonymous@**KD106159094009.ppp-bb.dion.ne.jp · 2016/11/21(月) 23:06:56.55

50bから50dへの入れ替えって、コンフィグバックアップからリストアで、移行できるもん？
fortigate以外は触ったことあるんだけど、今回初めて触ることに。

**anonymous@**KD106159094009.ppp-bb.dion.ne.jp · 2016/11/21(月) 23:07:21.94

移行先は50dじゃなくて50eだった。

fg · 2016/11/22(火) 01:30:08.63

>>265
機器が違ってもバージョンが一緒ならインタフェース以外の設定は流し込めるよ
ただFortiはインタフェースに紐付けてポリシーを書くから新しい機器に合わせて流し込む前に修正する必要があるね

あと50bは5.4.xのFotiOSに対応してないので、50eと同じバージョンに揃える事はできません
なのでコンフィグ移行は無理です

**anonymous@**KD106159094009.ppp-bb.dion.ne.jp · 2016/11/22(火) 01:43:54.19

>>266
ありがとう、やっぱりバージョン違いがネックかぁ。
別の人が特に資料も残さず書いたコンフィグを移行しなくちゃいけなくなったから、これは時間かけても勉強しながら手入力するよ。

**あのに** · 2016/11/22(火) 14:07:59.22

SCSKの出荷バージョンが5.4.1になっとる

**ななしさん** · 2016/11/22(火) 23:00:35.85

>>268
50Eってオチじゃねーの？

**あのに** · 2016/11/24(木) 11:57:48.74

>>269
60D

**anonymous** · 2016/11/24(木) 20:47:07.23

90F

**anonymous@**KD113144200135.ppp-bb.dion.ne.jp · 2016/12/01(木) 00:15:27.80

Ping通ってるのにNTP上手くいかんのなんでやろ？

**anonymous** · 2016/12/01(木) 06:53:31.58

相手のNTPサーバーが動いてないとかICMPは通ってるけどUDPが通っていないとか。

**anonymous@**233.76.239.49.rev.vmobile.jp · 2016/12/01(木) 16:40:19.13

ポリシーでNTP通せば、行くでしょ
FGからNTPして、他からリスン？

**anonymous** · 2016/12/02(金) 19:45:27.81

60Dでスループット計測してます。

LAN → WAN Any 許可の UTM 全オフのポリシーで
一世代前の家庭用ルータより 200Mbp 近く速度が落ちた。
カタログスペックでは圧勝しているはずが、なぜこんなに速度でないのか謎です。

ポリシー自体には適用していなくても、ライセンス入りだと裏で動いて
実通信にも影響でるんでしょか？
試しに Web フィルタを適用すると更に速度が落ちるので関係ないか。。

**anonymous** · 2016/12/02(金) 20:25:26.96

一世代前の家庭用ルーターの方がそのレギュレーションだと高速、でいいじゃん。

**anonymous** · 2016/12/02(金) 20:40:26.05

>>276
それ以外にも試してて、ジュニパーのSRX220と比較しても遅いのよ。
SRX220の方がクラスが上だけど、単純にFWスループットなら60Dの方が出るのかと思ったのだけどね。

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 10:31:30.65

どんな回線で、どれくらいの転送速度ですか？

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 12:20:27.83

一世代前の家庭用ルーターで200Bps出るって凄くない？

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 12:21:29.96

200Mbps

**anonymous** · 2016/12/03(土) 12:21:37.91

>>277
じゃあそもそも60Dが遅いということで。

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 12:44:45.97

Juniperオタクの荒らしやったんか
まんまと乗ってもた

**anonymous** · 2016/12/03(土) 13:47:54.90

>>282
いや、全然荒らすつもりもなければオタクでもないよ。
ジュニパーの方もUTM有効にすれば同等かそれ以下に落ちるから、
Fortiの方もUTMが動いててこれだけスループット悪いんだと思っているんだけどね。

GUI上で考えられるUTM、ログは全部オフにしたけど大きくは変わらず。
あとはCLIでなんかないか調べてるところ。

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 14:11:48.73

>279
に答えて頂けますか？

**anonymous@**254.125.148.210.rev.vmobile.jp · 2016/12/03(土) 14:13:27.49

間違った
>278

**anonymous** · 2016/12/03(土) 21:33:36.30

>>285
家庭用なら 500Mbps、60D が 300Mbps です。
ちなみに別時間帯、何種類かの方法で何度も計測していますが、だいたい差は同じぐらいです。

なんとなくわかったのが、PPPoE を使っていない WAN2 配下のサーバと計測すると他機器を上回る十分な速度がでました。
セッション情報みると WAN2 は FortiAsic が機能しているけど WAN1 の場合は全セッション機能しておらず。
切れそうな UTM は全部切ってるけど、やっぱりどこかで動いてるのかなと。
(回線については問題ではないことはわかったので省略します)

**ななし** · 2016/12/04(日) 07:13:37.00

MTUあたりじゃね。

**anonymous** · 2016/12/04(日) 10:00:30.24

>>287
mtu/mssは設定済みです（全機器共有）

**ななしさん** · 2016/12/04(日) 10:41:51.86

>>286

fortios 5.2 pppoe asic　でぐぐると　同様な症状が
ひょっとしたらPPPoEだとASICが効いていないの
かも？

ちなみにバージョンは？

**anonymous** · 2016/12/04(日) 12:47:35.23

>>289
情報ありがとう。
まさしく5.2系で、5.2.8でダメだったので最近でた5.2.10にアップグレードしたけど変わらずでした。
仕様なら諦めるしかないけど、5.2特有ならバグかな。。
5.4には他の面で支障が出てくるから上げたくないし、もうちょっと調べてみます。

**ななしさん** · 2016/12/04(日) 13:05:16.58

>>286
本家のスレッド読み進めていくとどうやらPPPoEの
フレームタイプはオフロードされないみたい。

CPUが非力な下位モデルでは厳しいかも。

前にPPPoE用のルータ置いてFortigateはブリッジモードで
使いしかないのかも。

**anonymous@**157.190.130.210.rev.vmobile.jp · 2016/12/04(日) 13:58:22.34

このスレの皆さんは、凄いね。

**anonymous** · 2016/12/04(日) 14:02:36.32

>>291
ありがとう、こちらでもスレッド確認しました。

容量5GB、500ファイル程度の圧縮データを流すと
CPU 使用率が一気に 100 % にもなるんで、
ASIC 効いてないのは間違いなさそうです。
で、PPPoE でなければ CPU 使用率も問題なし。

このラインの製品使うとこなら、わざわざ上位にルータ置くことも少ないし
この辺りは仕様に書いといて欲しいなあ。(基本 UTM ありきの製品とはいえ。)