Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 ディープインスペクション使ってる人いる?
常時SSL時代に向けて今機能検証しているんだけど、OS提供の証明書ストアを用いないHTTPクライアントへの対策ってどうしてる?
無数に存在するHTTPクライアントをそれぞれ検証するとか非現実的だし、なんか良い方法知っている人がいたら教えておくれ。 >>498
証明書エラー気にしないなら別にって感じ fortigate購入前のものですが、DLPは基本ライセンス外で、
オプションを購入する必要がありますか?
ライセンス関係が、いまいち、よくわからないです。 >>500
必要だよ。
購入元に必要ライセンス確認したほうがいい >>494.497
ありがとうございます。ファンレスかどうかカタログではわからなかったので・・・
>>498
うちも検証中です。古い機種(80C)だと処理がもたつく感じ。
機種に入ってるCA証明書をクライアントに配布するのはドメイン環境+windowsなら可能ですが
タブレット・スマホなどは手動対応いりそうなので、大量にあるのでどうしようかと。
また常時SSLのサイトが増えてきたので、webフィルタや経路のウイルススキャン、ログ取りなどを考えると
今後必須になってくるのでしょう。 >>499
証明書エラーは、素人が見るととんでもないことが起こってる、とすぐ連絡してくるので
都度の対応が大変な予感がします。
また、エラーを無視して進めるとwindows+IE11だと、レイアウトが崩れるサイトがあります。
これはfortigate側の問題なのでしょうか。 >>503
スマホやタブレットはまだマシな方だと思うよ。
Androidでの証明書展開はよくわからんけど、iOSの方は構成プロファイルとそのインストール手順を用意すれば最悪何とかなる。
気掛かりなのはアプライアンス装置とかwget・curl等の
CUIタイプのHTTPクライアントとかかな。
社内SEやってると常時SSL時代とか嫌がらせにしか思えなくなる。 されてるが、本来のサイトの証明書ではなく、fortigateの証明書になるのでエラーが出る。
ディープインスペクション使うと、Android7.0でPlayストアに繋がらなかったり、
マクドナルドのアプリで画像だけが表示されないなど、こちらの環境では不具合多数。 TorからのアクセスをブロックするってWebフィルタ機能の標準フィルタで出来る?
内部からTorをブロックする場合はアプリケーションコントロールにあるけど
ていうかTor使って攻撃すんなよなあ
まあ悪用されるソフトだけどさ >>508
Torって内部からのセッション使って通信するんではないの? そのへんはスマホ側の実装の影響なので、明示proxyでDIに逃げるしかないかな、今のところ。
Torを止めるのはAPPでいけるけど、Torの終端からアタックっぽいモノといわれるとIPSじゃない?
後、DLPはライセンス必要?いらなくない? IPSは通信速度をかなり犠牲にするからやりたくない派 >>509
お客様のシステムでエンドユーザーの閲覧ランキングがあるんだけど
一部のエンドユーザーがTor経由で不正に大量の閲覧をTor経由で実施してるんだよね
それを止めたいらしい
エンドユーザー特定できてんだからそのエンドユーザー追い出せばいいんだけど
まあ施設系のシステムもお客様管理してるから
施設管理とWebサービス担当で調整つけられないからインフラ的にやれってさ
閲覧ランキングの仕様が糞なんだけど直さないって言ってるんだよな
集計方法に画像のアクセスも一緒にしちゃってるから
外部サービスと集計とお客様で実装した集計システムと差分が出てんのになあ
まあエンドユーザーはそんなこと知らんだろうけど
内部は簡単なんだけどね >>514
グループポリシーやセキュリティ対策ソフトでexeの実行をブロックできないん? >>515
外部からのアクセスの集計なのでちょっと違う
内部からだったら簡単なんだけどね >>517
セキュリティデバイス扱うスレでそういうのは勘弁してくれ >>513
IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 サービス証書見直せよ。
ちゃんとURLとかIDが記載されてるぞ。 >>520
IPS使うのは中規模ネットワークだけよね tls decryptしなきゃ見せ掛けポリシー違反な
通信が入り込む >>522
サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな?
でも、それならUTMじゃなくてもいい気もするけど >>527
クライアントソフトウェアの脆弱性に対する定義もあるからなんとも
小規模ネットワークは予算の都合からIPSは使えないし、
大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い Windows2008R2サーバADにLDAPSで認証しています。
「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。
FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。
ファームはv5.2.5build701です。何方かヒントをお願い致します。 そりゃ、新しいパスワードをいきなり入れても・・・・ いきなりじゃなくて、新しいパスワードを2回入れてもエラーになるってことでしょ こいつ通すとメールの送受信がエラーになるようになった
大丈夫かこれ? 80Cってかなり古いのに、保守の終了時期未定なんだね かなり売れたからじゃないの
俺はそれを毎日のように撤去して歩いてる 80Cを毎日のように設置している日々もあったのですね。 80Cは新ファームが出ても平気で何も問題なく動いてたからなー。
40Cとか60C60Dは不具合出まくった v6リンクローカルアドレスの最初みたいで気になる? >>528
サンクス
ある程度はエンドポイントに任せていいってことか
ルータでパケットフィルタとIDS動作させて、
安いForti入れてたけど効果が疑問で外すか悩んでたけどもう外す方向で決めた 社内プロキシサーバーとゲートウェイの間に挟んでUTMとして使うって一般的でしょうか? >>542
ゲートウェイがインターネットゲートウェイを指すなら一般的
クライアントのインターネット通信はプロキシに向けさせて、プロキシからインターネット向けの通信をUTMで管理する FW挟んでるのにプロキシサーバ使う意味ってそんなにある? FWはIPアドレスでしかログとれないけど
プロキシならURLでログ取れる。
接続先がバーチャルホストやCDNの場合、
ログがIPアドレスだけでは困ることがある。 >>544
プロキシというよりwebフィルタというかi-filterのためかな >>547
全て網羅してるわけじゃ無いからな
ASAで出来るのにFortiじゃ出来ない事はいっぱいある >>547
fortiのwebフィルタは国内で使おうとするとガバガバ
俺がテストした時はDMMのエロ動画見れた(笑) てかDMM動画ってSSLじゃないの?
SSLインスペクションはちゃんと有効化していたのか? >>553
sslでもどこに繋ぐに行くかはわかるだろ >>554
SSLではURLは暗号化されてるよ。
何のためにcertificate-inspectionがあると思ってるん? >>555
証明書使って暗号化された後は見えないけど、証明書自体は見えるから
CN≒FQDNまでは見えるよ
*使われててもまあドメインまではなんとか 5.6にしてしばらく使ってるけど、今のところ問題なし。
5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? SoCの世代が違うからじゃ?
というか、Dシリーズが遅すぎた、とも言えるけど。
D系ってC系チップのクロックちょっと上げただけの物だったよーな? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps
今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? >>559
なるほど…
>>560
オレはその理解 >>562
NPUで処理されてるセッションの数(割合)だっけ?確か。 問題は価格とGUIの作り込みだよね
専任の管理者を配置できない中小企業〜SOHOで運用できるレベルで
ワールドワイドで実績がある機種ってFortigateくらいじゃないかな
PAは機能と性能は良いけど設定は結構複雑、
SRXもJunOSでお手軽とは言いにくい HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? ブラウザとかOSに証明書インストールすればいいんじゃね 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 2年ぐらい使ったけど、うちでは透過モードの保険的な使い道しかないな
このウィルスチェックはほぼ役に立たないと思う 情シスな人からしたらPalo altoの方が幸せになれる
インフラエンジニアならFortigate fortigateのアンチウイルスが特段良いとも思わんが、パロがfortigateより良いとも思わんけどな 5.6のFortiview、Forti自身のローカルトラフィック見れなくなってるやんけ。
5.2では設定変更すれば見れたのに。 情シスの立場なら運用性が高いPaloが
インフラ屋からすると、(簡単なので)手離れがいいForti ってことでは? 運用する奴に選ばせて運用する奴に金を出させる、みたいな。 情シスはただのユーザさん
インフラエンジニアは技術売って食ってる人 Fortiwifi-30Dのデザインがかわいくて好きなのですが、個人で本体だけ購入できないでしょうか? 米amazonなら買えるんじゃない?
E世代はちっこくても結構パワーあっていいね >>585
楽天で買えるんじゃね?
https://search.rakuten.co.jp/search/mall/Fortiwifi%EF%BC%8D30D/
会社で使うのを楽天で買ってライセンス更新の時にソフトバンクに移管したわ
最初からちゃんとした代理店で買えばよかった
多分もう使うことないと思うけど >>587 >>588
ありがとうございます。
アンテナは折っちゃいそうで怖くて、
Eシリーズ、アンテナ内蔵のデザイン、ラインナップして欲しかったなぁ。 Ver5.6.1で、5分毎にシステムイベントに出力されるリソース情報(System performance statistics)の出力間隔を変更したいんだけど、
もしかして変更不可能?無効にすることはできたけど、間隔は設定する項目が見当たらなかった。 >>590
config system global
sys-perf-log-interval x
end >>498
ディープインスペクションONにするとYahooウォレットの明細ページが表示できないね。バグかな? >>593
誤検知っぽいね。
問題ないページを除外するように申告するページなかったっけ? 60D買いました、ネットへの接続全てをExpressVPN経由のみにして、他への/からのパケットは全て破棄する
みたいな設定ってできないかな? 実家と自宅のsite-to-siteのIPSec VPNを格安で実現したいんだが、
Fortigate 60Dあたりでやるとどのくらいスループットが出るのだろうか。
UTMは不要です。 FG60D(5.5)の/24からASA5505(9.1)の/32を二個へipsecでVPN貼りたいんですが
(仕事場の機器なので細かいverが今確認できません)
ASAのACLを二行で
src:172.16.0.1/32 dst:192.168.1.0/24
src:172.16.1.1/32 dst:192.168.1.0/24
FGにはPh2ifのスピードセレクタで
src:192.168.1.0/24
dst:172.16.0.1/32,172.16.1.1/32(アドレスグループ)
のようにすると、一つは張れるんですが、一つしか張れません
張れない方は延々phase2のエラーを吐いています
phase2のセレクタを2つにわけて作ってもダメでした。
他に書き方とかあるでしょうか? ■ このスレッドは過去ログ倉庫に格納されています
