Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 FWだろ?NGFW/UTMでもルーターでも無いよな
UTMでギガ越えってカタログ値ですら300Dからか。 エンタープライズなネットワークだとfortigateはFW専用機として設置することが多いよね
FWとして見れば頭一つ抜けて安くて速い PPPoEとかって、そんなに思い処理なのか?
数千円のルータでも出来るのに 重くはないけど非力なSoCがまともに演算しちゃうと遅い
FWとして始まったOSだから小規模CPEとしての機能は弱いとこある その数千円の製品は、日本のPPPoE事情向けに専用カスタムされたチップを積んでるんだよ。
ベースチップはわりと多機能なんだけど、その辺りを犠牲にしてね。
業務用各社が見えるところにスループットをあまり書いていない辺りで察してあげてくれ。 FLETSはIPv6-IPoE使える感じになって来た 試しにLAN上にPPPoEサーバ作ってテストしてみたけど
単純にPPPoE+NATでFGT60Dが160Mbps程度、RTX1210が180Mbps程度だった
どっちもDHCP+NATの場合は900Mbps超えている うちのLinuxのPPPoEサーバが低速なだけの可能性はあるがな! ごめんやっぱPPPoEサーバが低速な可能性が高いので忘れてください rp-pppoeをカーネルモードにしてやりなおした
RTX1210は900Mbps程度、FGT60Dは170Mbps程度
スレ汚しすまんかった 自宅運用中の60D(5.4.4)はBNRでこんなもん。回線はOCNでPPPoE+NAT。
1.NTTPC(WebARENA)1: 175.99Mbps (22.00MB/sec)
2.NTTPC(WebARENA)2: 197.86Mbps (24.73MB/sec)
推定転送速度: 197.86Mbps (24.73MB/sec) 数千円のバッファロー以下です。
本当にありがとうございました。 anony君がいみじくも踏んでいる通り、
ユーザーモードのPPPoEは重い。 俺も自宅で60Dつかってたけど自作ルータに乗り換えた 60Dてそんなにダメかな?
UTM無しなら、結構使えると思うけど むしろL4のFWとして使うのが一番コスパいいんじゃないの GUIでポリシーいじれて手ごろな機械って今おすすめある? 60DはUTM諸々かけたら20Mbps程度?が公開された製品スペックなんだが
数千円のバッファローと比べて何を期待したいか教えてくれ
手頃=値段の理解でいいならsophosのUTMが個人利用に限りライセンス無料発行 >>486 みたいな用途がいいんじゃないかなーHA構成も簡単だし? >>488
個人で使うには評価用というか仕事で触ってる人が適当に触りたいから、という用途が
一番じゃないのかな。
先にも書かれてるように単なるPPPoE+NAT箱として使うだったら
バッファローのほうがいいよ。
あとゲートウェイ型のUTM箱で手軽で速度以外はまとも、という切り口でも
FGになりそうだな。 家の100mbps DHCPな環境では40Cが大活躍してるぞよ
FW、VPN、AV、URLフィルタを使ってる
AVはフローベースだがSSLを復号化してないからザルなんだろうけど フローベースはSSL複合化してなくてもザルなモード 小規模事務所内に90D置きたいのですが、動作音というか、ファンの音うるさいですか? >>493
まぁまぁ音出してた気がする。
3mも離れたらさほど気にならない程度だったような・・・人によるだろうけど SSL-VPNの認証をLDAP(Windows AD)でやってます。ADサーバーからのパスワード変更要求に対して、ポータル画面で出来ないんですが、いい方法はないでしょうか? CLIでやってみます
ろくに調べもせず、書き込んでごめんちゃい ディープインスペクション使ってる人いる?
常時SSL時代に向けて今機能検証しているんだけど、OS提供の証明書ストアを用いないHTTPクライアントへの対策ってどうしてる?
無数に存在するHTTPクライアントをそれぞれ検証するとか非現実的だし、なんか良い方法知っている人がいたら教えておくれ。 >>498
証明書エラー気にしないなら別にって感じ fortigate購入前のものですが、DLPは基本ライセンス外で、
オプションを購入する必要がありますか?
ライセンス関係が、いまいち、よくわからないです。 >>500
必要だよ。
購入元に必要ライセンス確認したほうがいい >>494.497
ありがとうございます。ファンレスかどうかカタログではわからなかったので・・・
>>498
うちも検証中です。古い機種(80C)だと処理がもたつく感じ。
機種に入ってるCA証明書をクライアントに配布するのはドメイン環境+windowsなら可能ですが
タブレット・スマホなどは手動対応いりそうなので、大量にあるのでどうしようかと。
また常時SSLのサイトが増えてきたので、webフィルタや経路のウイルススキャン、ログ取りなどを考えると
今後必須になってくるのでしょう。 >>499
証明書エラーは、素人が見るととんでもないことが起こってる、とすぐ連絡してくるので
都度の対応が大変な予感がします。
また、エラーを無視して進めるとwindows+IE11だと、レイアウトが崩れるサイトがあります。
これはfortigate側の問題なのでしょうか。 >>503
スマホやタブレットはまだマシな方だと思うよ。
Androidでの証明書展開はよくわからんけど、iOSの方は構成プロファイルとそのインストール手順を用意すれば最悪何とかなる。
気掛かりなのはアプライアンス装置とかwget・curl等の
CUIタイプのHTTPクライアントとかかな。
社内SEやってると常時SSL時代とか嫌がらせにしか思えなくなる。 されてるが、本来のサイトの証明書ではなく、fortigateの証明書になるのでエラーが出る。
ディープインスペクション使うと、Android7.0でPlayストアに繋がらなかったり、
マクドナルドのアプリで画像だけが表示されないなど、こちらの環境では不具合多数。 TorからのアクセスをブロックするってWebフィルタ機能の標準フィルタで出来る?
内部からTorをブロックする場合はアプリケーションコントロールにあるけど
ていうかTor使って攻撃すんなよなあ
まあ悪用されるソフトだけどさ >>508
Torって内部からのセッション使って通信するんではないの? そのへんはスマホ側の実装の影響なので、明示proxyでDIに逃げるしかないかな、今のところ。
Torを止めるのはAPPでいけるけど、Torの終端からアタックっぽいモノといわれるとIPSじゃない?
後、DLPはライセンス必要?いらなくない? IPSは通信速度をかなり犠牲にするからやりたくない派 >>509
お客様のシステムでエンドユーザーの閲覧ランキングがあるんだけど
一部のエンドユーザーがTor経由で不正に大量の閲覧をTor経由で実施してるんだよね
それを止めたいらしい
エンドユーザー特定できてんだからそのエンドユーザー追い出せばいいんだけど
まあ施設系のシステムもお客様管理してるから
施設管理とWebサービス担当で調整つけられないからインフラ的にやれってさ
閲覧ランキングの仕様が糞なんだけど直さないって言ってるんだよな
集計方法に画像のアクセスも一緒にしちゃってるから
外部サービスと集計とお客様で実装した集計システムと差分が出てんのになあ
まあエンドユーザーはそんなこと知らんだろうけど
内部は簡単なんだけどね >>514
グループポリシーやセキュリティ対策ソフトでexeの実行をブロックできないん? >>515
外部からのアクセスの集計なのでちょっと違う
内部からだったら簡単なんだけどね >>517
セキュリティデバイス扱うスレでそういうのは勘弁してくれ >>513
IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 サービス証書見直せよ。
ちゃんとURLとかIDが記載されてるぞ。 >>520
IPS使うのは中規模ネットワークだけよね tls decryptしなきゃ見せ掛けポリシー違反な
通信が入り込む >>522
サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな?
でも、それならUTMじゃなくてもいい気もするけど >>527
クライアントソフトウェアの脆弱性に対する定義もあるからなんとも
小規模ネットワークは予算の都合からIPSは使えないし、
大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い Windows2008R2サーバADにLDAPSで認証しています。
「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。
FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。
ファームはv5.2.5build701です。何方かヒントをお願い致します。 そりゃ、新しいパスワードをいきなり入れても・・・・ いきなりじゃなくて、新しいパスワードを2回入れてもエラーになるってことでしょ こいつ通すとメールの送受信がエラーになるようになった
大丈夫かこれ? 80Cってかなり古いのに、保守の終了時期未定なんだね かなり売れたからじゃないの
俺はそれを毎日のように撤去して歩いてる 80Cを毎日のように設置している日々もあったのですね。 80Cは新ファームが出ても平気で何も問題なく動いてたからなー。
40Cとか60C60Dは不具合出まくった v6リンクローカルアドレスの最初みたいで気になる? >>528
サンクス
ある程度はエンドポイントに任せていいってことか
ルータでパケットフィルタとIDS動作させて、
安いForti入れてたけど効果が疑問で外すか悩んでたけどもう外す方向で決めた 社内プロキシサーバーとゲートウェイの間に挟んでUTMとして使うって一般的でしょうか? >>542
ゲートウェイがインターネットゲートウェイを指すなら一般的
クライアントのインターネット通信はプロキシに向けさせて、プロキシからインターネット向けの通信をUTMで管理する FW挟んでるのにプロキシサーバ使う意味ってそんなにある? FWはIPアドレスでしかログとれないけど
プロキシならURLでログ取れる。
接続先がバーチャルホストやCDNの場合、
ログがIPアドレスだけでは困ることがある。 >>544
プロキシというよりwebフィルタというかi-filterのためかな >>547
全て網羅してるわけじゃ無いからな
ASAで出来るのにFortiじゃ出来ない事はいっぱいある >>547
fortiのwebフィルタは国内で使おうとするとガバガバ
俺がテストした時はDMMのエロ動画見れた(笑) てかDMM動画ってSSLじゃないの?
SSLインスペクションはちゃんと有効化していたのか? >>553
sslでもどこに繋ぐに行くかはわかるだろ >>554
SSLではURLは暗号化されてるよ。
何のためにcertificate-inspectionがあると思ってるん? >>555
証明書使って暗号化された後は見えないけど、証明書自体は見えるから
CN≒FQDNまでは見えるよ
*使われててもまあドメインまではなんとか 5.6にしてしばらく使ってるけど、今のところ問題なし。
5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? SoCの世代が違うからじゃ?
というか、Dシリーズが遅すぎた、とも言えるけど。
D系ってC系チップのクロックちょっと上げただけの物だったよーな? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps
今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? >>559
なるほど…
>>560
オレはその理解 >>562
NPUで処理されてるセッションの数(割合)だっけ?確か。 問題は価格とGUIの作り込みだよね
専任の管理者を配置できない中小企業〜SOHOで運用できるレベルで
ワールドワイドで実績がある機種ってFortigateくらいじゃないかな
PAは機能と性能は良いけど設定は結構複雑、
SRXもJunOSでお手軽とは言いにくい HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? ブラウザとかOSに証明書インストールすればいいんじゃね 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 ■ このスレッドは過去ログ倉庫に格納されています