Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 そんなに通信あるなら内部経由だろうが、ケーブル経由だろうがボトルネックになるだろ まあ確かに、そもそもWAN側も1Gbpsの一本で繋がってるだけだしな。
もともと知りたかったスイッチング容量はなさそうなんで諦める。
電気代の無駄だしポートが足りてるうちはFortigateの空きを使うわ。 >>427
スネークテストで
https://goo.gl/images/6Ghk83
やったことないし、よく分かってないけど(^_^;) 各ポートがNP直結してるモデルだとNPの性能によるんじゃね >>432
ありがとう、自分もやったことないけど、真剣に調べる気になったらコレやってみます。
>>433
>>434
そこんとこが知りたいけど、データシートみたいなのないね。 資料欲しいなら代理店に聞けばいいだろ
保守入ってんだろ つーかここ最近のFortinetの保守ライセンスの体系変更ちょっとエグくないか
保守更新ちょっと忘れたらアウトとか怖すぎるわ アウト? 契約更新できなくなる訳じゃないし、そんな変更あったっけ? >>438
そのまさかで一度保守切らせると契約更新できなくなるって聞いたけど俺の聞き間違え? 確か切れてた時の分も払えば契約できるよ
詳しくは代理店に聞け 100Dにおいて、社内LANに接続する前にwebフィルタサーバをおいているのですが、
このwebフィルタサーバ以外のIPアドレス通信を遮断する設定が記載されている
ようなホームページがありましたら教えていただけないでしょうか。
どうも無断で個人PCを接続されている節があるもので・・・・ ふつーはwebフィルターがproxyとして動いてるとおもうので、
Webフィルターだけ80/tcp (設計によっては443/tcpも)とおして、
残りはrejectすれぱいいんじゃね。 >>441
基本設計まずい匂いがプンプンする
オーソドックスな3層設計にして、DMZにプロキシを設置、
TrustゾーンからWANへのHTTP/HTTPSを許可するpolicy消しちゃえ
MTA社内で建ててるなら一切のInternetへの直接接続を禁止することも出来るんじゃね >>442
ありがとうございます。
fotigate側で受けている発信元がwebフィルタサーバ以外のアドレスも
あったので、webフィルタを経由していないPCがあるのかと思い無断接続を
疑いました。webフィルタを経由しないで来られるとだめなのかなと思いまして。
>>443
ありがとうござます。
零細企業なもので独学しながら管理しているものですから、教えて戴いた
内容が半分以上理解が・・・orz導入だけは、大塚商会に頼んだので
どういう構造になっているやらorz
教えていただいた内容をググって勉強してみます、ありがとうございます。 エンドポイントセキュリティーとしてFortiClientはどうなんでしょ
皆さん使われてます? >>445
試しにバージョンアップしてみたらOS起動しなくなった。おそろしや >>446
自宅でバンドル版使ってる時にVPN Client用途だかで入れたけど
アダルトサイトのカテゴリフェルタリングとか余計なもの入っててウザかった気がする
これ入れると競合してるAVソフトが無効になるから
よく分からんFortiClientを動かしてる方が不安が大きかった気がする
数年前に導入しててアンインストールするまで放置してたユーザとしての感想だから当てにならんだろうけど 今年の6月で5.2もEOESって言われても5.4や5.6なんかにする勇気はない バグに当たろうが脆弱性にひっかろうが、own riskだと言える人は古いバージョン使ってどうぞ まだ推奨バージョン自体が5.2なのにサポート終了とか言われてもどうすりゃいいのよ?って事だよ! そもそも5.4が動かない古いモデル使ってるとかだったりして。どこだか知らんけど、サポート終了せまってるのに推奨にしてるような代理店は… あのなあ、推奨してるのはfortinet社自身だからな?
そもそも5.4以降しか動かないEモデル以外の現行モデルすべての話しだ。 こんなことダッシュボードのシステム情報見てる奴なら誰でも知っている事だろうに。
ろくに使ってない奴ばかりだな。 5.2では表記がRecommendedだね、未だにそこへ5.4.xが表示されないのかな?
ただ、5.4.x,5.6.xではこの表記は無くなったよ。
結局のところは >>451 の言う通りかな。
>>448 今は VPN機能のみかフルバージョンにするかインストール時に選べる。 5.4は潜在バグ山盛りまもなく終息
5.6が安定するまで5.2推奨 潜在してるバグをご存知な >>459 様が推奨バージョンを5.2となされたぞー!
お前ら今すぐダウングレードしろー!! FortiのバグなんてJuniperのSSGに較べたらかわいいもんだよ。 >>461
SSGの安定感に適うものなし。
>>458
Fortinet 社が惰性で更新してないだけだろ。
2世代前のOSを積極的に推すはずがない。 ヤフオク見てると40Cが安いんですが、
性能的にはどうなんでしょう?
自宅でpppoe+FWとして使いたいのですが速度でますかね?
回線はフレッツ光のギガです。
ルールはinsideからの通信(戻り含む)のみ許可といった感じです。 >>464
ありがとうございます。
値段なりってことですね。。 40Cは中古流通で単価100円〜500円。今見たけどヤフオクのはちょっと高い。
速度はそもそも200Mbpsまでの製品だ、PPPoEを使う場合はもっと落ちる。奈落まで落ちる。
市販の一般向けルーターでPPPoEを処理する前提なら40Cで良いと思うよ。UTMを使うのは論外で。
PPPoEを併用してギガ出したいならせめて300D。200Dでもぎりぎりいけるかも知れない。
FW用途ということなので、100Dは論外。90D/60DでもPPPoE併用だとちときつい。
ギガを期待するなら、PPPoE受け用の市販ルーター+FG60Cが現実的な解かと。
長文すまん。 utmもpppoeもしゃぶれないなんて
forti使う意味がまっわくわからないじゃないかw でもPPPoEはハードウェア支援ないんだろ?
だったら別の箱でやらせたほうがいいんじゃないかね。
なんつうかNPが勿体ない。 FWだろ?NGFW/UTMでもルーターでも無いよな
UTMでギガ越えってカタログ値ですら300Dからか。 エンタープライズなネットワークだとfortigateはFW専用機として設置することが多いよね
FWとして見れば頭一つ抜けて安くて速い PPPoEとかって、そんなに思い処理なのか?
数千円のルータでも出来るのに 重くはないけど非力なSoCがまともに演算しちゃうと遅い
FWとして始まったOSだから小規模CPEとしての機能は弱いとこある その数千円の製品は、日本のPPPoE事情向けに専用カスタムされたチップを積んでるんだよ。
ベースチップはわりと多機能なんだけど、その辺りを犠牲にしてね。
業務用各社が見えるところにスループットをあまり書いていない辺りで察してあげてくれ。 FLETSはIPv6-IPoE使える感じになって来た 試しにLAN上にPPPoEサーバ作ってテストしてみたけど
単純にPPPoE+NATでFGT60Dが160Mbps程度、RTX1210が180Mbps程度だった
どっちもDHCP+NATの場合は900Mbps超えている うちのLinuxのPPPoEサーバが低速なだけの可能性はあるがな! ごめんやっぱPPPoEサーバが低速な可能性が高いので忘れてください rp-pppoeをカーネルモードにしてやりなおした
RTX1210は900Mbps程度、FGT60Dは170Mbps程度
スレ汚しすまんかった 自宅運用中の60D(5.4.4)はBNRでこんなもん。回線はOCNでPPPoE+NAT。
1.NTTPC(WebARENA)1: 175.99Mbps (22.00MB/sec)
2.NTTPC(WebARENA)2: 197.86Mbps (24.73MB/sec)
推定転送速度: 197.86Mbps (24.73MB/sec) 数千円のバッファロー以下です。
本当にありがとうございました。 anony君がいみじくも踏んでいる通り、
ユーザーモードのPPPoEは重い。 俺も自宅で60Dつかってたけど自作ルータに乗り換えた 60Dてそんなにダメかな?
UTM無しなら、結構使えると思うけど むしろL4のFWとして使うのが一番コスパいいんじゃないの GUIでポリシーいじれて手ごろな機械って今おすすめある? 60DはUTM諸々かけたら20Mbps程度?が公開された製品スペックなんだが
数千円のバッファローと比べて何を期待したいか教えてくれ
手頃=値段の理解でいいならsophosのUTMが個人利用に限りライセンス無料発行 >>486 みたいな用途がいいんじゃないかなーHA構成も簡単だし? >>488
個人で使うには評価用というか仕事で触ってる人が適当に触りたいから、という用途が
一番じゃないのかな。
先にも書かれてるように単なるPPPoE+NAT箱として使うだったら
バッファローのほうがいいよ。
あとゲートウェイ型のUTM箱で手軽で速度以外はまとも、という切り口でも
FGになりそうだな。 家の100mbps DHCPな環境では40Cが大活躍してるぞよ
FW、VPN、AV、URLフィルタを使ってる
AVはフローベースだがSSLを復号化してないからザルなんだろうけど フローベースはSSL複合化してなくてもザルなモード 小規模事務所内に90D置きたいのですが、動作音というか、ファンの音うるさいですか? >>493
まぁまぁ音出してた気がする。
3mも離れたらさほど気にならない程度だったような・・・人によるだろうけど SSL-VPNの認証をLDAP(Windows AD)でやってます。ADサーバーからのパスワード変更要求に対して、ポータル画面で出来ないんですが、いい方法はないでしょうか? CLIでやってみます
ろくに調べもせず、書き込んでごめんちゃい ディープインスペクション使ってる人いる?
常時SSL時代に向けて今機能検証しているんだけど、OS提供の証明書ストアを用いないHTTPクライアントへの対策ってどうしてる?
無数に存在するHTTPクライアントをそれぞれ検証するとか非現実的だし、なんか良い方法知っている人がいたら教えておくれ。 >>498
証明書エラー気にしないなら別にって感じ fortigate購入前のものですが、DLPは基本ライセンス外で、
オプションを購入する必要がありますか?
ライセンス関係が、いまいち、よくわからないです。 >>500
必要だよ。
購入元に必要ライセンス確認したほうがいい >>494.497
ありがとうございます。ファンレスかどうかカタログではわからなかったので・・・
>>498
うちも検証中です。古い機種(80C)だと処理がもたつく感じ。
機種に入ってるCA証明書をクライアントに配布するのはドメイン環境+windowsなら可能ですが
タブレット・スマホなどは手動対応いりそうなので、大量にあるのでどうしようかと。
また常時SSLのサイトが増えてきたので、webフィルタや経路のウイルススキャン、ログ取りなどを考えると
今後必須になってくるのでしょう。 >>499
証明書エラーは、素人が見るととんでもないことが起こってる、とすぐ連絡してくるので
都度の対応が大変な予感がします。
また、エラーを無視して進めるとwindows+IE11だと、レイアウトが崩れるサイトがあります。
これはfortigate側の問題なのでしょうか。 >>503
スマホやタブレットはまだマシな方だと思うよ。
Androidでの証明書展開はよくわからんけど、iOSの方は構成プロファイルとそのインストール手順を用意すれば最悪何とかなる。
気掛かりなのはアプライアンス装置とかwget・curl等の
CUIタイプのHTTPクライアントとかかな。
社内SEやってると常時SSL時代とか嫌がらせにしか思えなくなる。 されてるが、本来のサイトの証明書ではなく、fortigateの証明書になるのでエラーが出る。
ディープインスペクション使うと、Android7.0でPlayストアに繋がらなかったり、
マクドナルドのアプリで画像だけが表示されないなど、こちらの環境では不具合多数。 TorからのアクセスをブロックするってWebフィルタ機能の標準フィルタで出来る?
内部からTorをブロックする場合はアプリケーションコントロールにあるけど
ていうかTor使って攻撃すんなよなあ
まあ悪用されるソフトだけどさ >>508
Torって内部からのセッション使って通信するんではないの? そのへんはスマホ側の実装の影響なので、明示proxyでDIに逃げるしかないかな、今のところ。
Torを止めるのはAPPでいけるけど、Torの終端からアタックっぽいモノといわれるとIPSじゃない?
後、DLPはライセンス必要?いらなくない? IPSは通信速度をかなり犠牲にするからやりたくない派 >>509
お客様のシステムでエンドユーザーの閲覧ランキングがあるんだけど
一部のエンドユーザーがTor経由で不正に大量の閲覧をTor経由で実施してるんだよね
それを止めたいらしい
エンドユーザー特定できてんだからそのエンドユーザー追い出せばいいんだけど
まあ施設系のシステムもお客様管理してるから
施設管理とWebサービス担当で調整つけられないからインフラ的にやれってさ
閲覧ランキングの仕様が糞なんだけど直さないって言ってるんだよな
集計方法に画像のアクセスも一緒にしちゃってるから
外部サービスと集計とお客様で実装した集計システムと差分が出てんのになあ
まあエンドユーザーはそんなこと知らんだろうけど
内部は簡単なんだけどね >>514
グループポリシーやセキュリティ対策ソフトでexeの実行をブロックできないん? >>515
外部からのアクセスの集計なのでちょっと違う
内部からだったら簡単なんだけどね >>517
セキュリティデバイス扱うスレでそういうのは勘弁してくれ >>513
IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 サービス証書見直せよ。
ちゃんとURLとかIDが記載されてるぞ。 >>520
IPS使うのは中規模ネットワークだけよね tls decryptしなきゃ見せ掛けポリシー違反な
通信が入り込む >>522
サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな?
でも、それならUTMじゃなくてもいい気もするけど >>527
クライアントソフトウェアの脆弱性に対する定義もあるからなんとも
小規模ネットワークは予算の都合からIPSは使えないし、
大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い Windows2008R2サーバADにLDAPSで認証しています。
「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。
FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。
ファームはv5.2.5build701です。何方かヒントをお願い致します。 そりゃ、新しいパスワードをいきなり入れても・・・・ ■ このスレッドは過去ログ倉庫に格納されています