Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>513
IPSなしでファイアウォールとWebフィルタだけあればいいっていう要件も多いけどなあ。 サービス証書見直せよ。
ちゃんとURLとかIDが記載されてるぞ。 >>520
IPS使うのは中規模ネットワークだけよね tls decryptしなきゃ見せ掛けポリシー違反な
通信が入り込む >>522
サーバー公開してなかったり固定IPはVPNでしか利用してなかったりするとIPSは不要かな?
でも、それならUTMじゃなくてもいい気もするけど >>527
クライアントソフトウェアの脆弱性に対する定義もあるからなんとも
小規模ネットワークは予算の都合からIPSは使えないし、
大規模ネットワークはFortigateにFWだけやらせてIPSは別途Macafeeとかって構成が多い Windows2008R2サーバADにLDAPSで認証しています。
「次回ログオン時パスワードの変更が必要」のチェックを入れたユーザーは、SSLVPNのログイン画面で新しいパスワードが設定できるのですが、30日経って有効期限が切れたユーザーは、新しいパスワードを入力してもエラーになります。
FortiGateのLDAP設定、セキュアな接続「LDAPS」で証明書は無しです。
ファームはv5.2.5build701です。何方かヒントをお願い致します。 そりゃ、新しいパスワードをいきなり入れても・・・・ いきなりじゃなくて、新しいパスワードを2回入れてもエラーになるってことでしょ こいつ通すとメールの送受信がエラーになるようになった
大丈夫かこれ? 80Cってかなり古いのに、保守の終了時期未定なんだね かなり売れたからじゃないの
俺はそれを毎日のように撤去して歩いてる 80Cを毎日のように設置している日々もあったのですね。 80Cは新ファームが出ても平気で何も問題なく動いてたからなー。
40Cとか60C60Dは不具合出まくった v6リンクローカルアドレスの最初みたいで気になる? >>528
サンクス
ある程度はエンドポイントに任せていいってことか
ルータでパケットフィルタとIDS動作させて、
安いForti入れてたけど効果が疑問で外すか悩んでたけどもう外す方向で決めた 社内プロキシサーバーとゲートウェイの間に挟んでUTMとして使うって一般的でしょうか? >>542
ゲートウェイがインターネットゲートウェイを指すなら一般的
クライアントのインターネット通信はプロキシに向けさせて、プロキシからインターネット向けの通信をUTMで管理する FW挟んでるのにプロキシサーバ使う意味ってそんなにある? FWはIPアドレスでしかログとれないけど
プロキシならURLでログ取れる。
接続先がバーチャルホストやCDNの場合、
ログがIPアドレスだけでは困ることがある。 >>544
プロキシというよりwebフィルタというかi-filterのためかな >>547
全て網羅してるわけじゃ無いからな
ASAで出来るのにFortiじゃ出来ない事はいっぱいある >>547
fortiのwebフィルタは国内で使おうとするとガバガバ
俺がテストした時はDMMのエロ動画見れた(笑) てかDMM動画ってSSLじゃないの?
SSLインスペクションはちゃんと有効化していたのか? >>553
sslでもどこに繋ぐに行くかはわかるだろ >>554
SSLではURLは暗号化されてるよ。
何のためにcertificate-inspectionがあると思ってるん? >>555
証明書使って暗号化された後は見えないけど、証明書自体は見えるから
CN≒FQDNまでは見えるよ
*使われててもまあドメインまではなんとか 5.6にしてしばらく使ってるけど、今のところ問題なし。
5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? SoCの世代が違うからじゃ?
というか、Dシリーズが遅すぎた、とも言えるけど。
D系ってC系チップのクロックちょっと上げただけの物だったよーな? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps
今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? >>559
なるほど…
>>560
オレはその理解 >>562
NPUで処理されてるセッションの数(割合)だっけ?確か。 問題は価格とGUIの作り込みだよね
専任の管理者を配置できない中小企業〜SOHOで運用できるレベルで
ワールドワイドで実績がある機種ってFortigateくらいじゃないかな
PAは機能と性能は良いけど設定は結構複雑、
SRXもJunOSでお手軽とは言いにくい HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? ブラウザとかOSに証明書インストールすればいいんじゃね 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 2年ぐらい使ったけど、うちでは透過モードの保険的な使い道しかないな
このウィルスチェックはほぼ役に立たないと思う 情シスな人からしたらPalo altoの方が幸せになれる
インフラエンジニアならFortigate fortigateのアンチウイルスが特段良いとも思わんが、パロがfortigateより良いとも思わんけどな 5.6のFortiview、Forti自身のローカルトラフィック見れなくなってるやんけ。
5.2では設定変更すれば見れたのに。 情シスの立場なら運用性が高いPaloが
インフラ屋からすると、(簡単なので)手離れがいいForti ってことでは? 運用する奴に選ばせて運用する奴に金を出させる、みたいな。 情シスはただのユーザさん
インフラエンジニアは技術売って食ってる人 Fortiwifi-30Dのデザインがかわいくて好きなのですが、個人で本体だけ購入できないでしょうか? 米amazonなら買えるんじゃない?
E世代はちっこくても結構パワーあっていいね >>585
楽天で買えるんじゃね?
https://search.rakuten.co.jp/search/mall/Fortiwifi%EF%BC%8D30D/
会社で使うのを楽天で買ってライセンス更新の時にソフトバンクに移管したわ
最初からちゃんとした代理店で買えばよかった
多分もう使うことないと思うけど >>587 >>588
ありがとうございます。
アンテナは折っちゃいそうで怖くて、
Eシリーズ、アンテナ内蔵のデザイン、ラインナップして欲しかったなぁ。 Ver5.6.1で、5分毎にシステムイベントに出力されるリソース情報(System performance statistics)の出力間隔を変更したいんだけど、
もしかして変更不可能?無効にすることはできたけど、間隔は設定する項目が見当たらなかった。 >>590
config system global
sys-perf-log-interval x
end >>498
ディープインスペクションONにするとYahooウォレットの明細ページが表示できないね。バグかな? >>593
誤検知っぽいね。
問題ないページを除外するように申告するページなかったっけ? 60D買いました、ネットへの接続全てをExpressVPN経由のみにして、他への/からのパケットは全て破棄する
みたいな設定ってできないかな? 実家と自宅のsite-to-siteのIPSec VPNを格安で実現したいんだが、
Fortigate 60Dあたりでやるとどのくらいスループットが出るのだろうか。
UTMは不要です。 FG60D(5.5)の/24からASA5505(9.1)の/32を二個へipsecでVPN貼りたいんですが
(仕事場の機器なので細かいverが今確認できません)
ASAのACLを二行で
src:172.16.0.1/32 dst:192.168.1.0/24
src:172.16.1.1/32 dst:192.168.1.0/24
FGにはPh2ifのスピードセレクタで
src:192.168.1.0/24
dst:172.16.0.1/32,172.16.1.1/32(アドレスグループ)
のようにすると、一つは張れるんですが、一つしか張れません
張れない方は延々phase2のエラーを吐いています
phase2のセレクタを2つにわけて作ってもダメでした。
他に書き方とかあるでしょうか? >>596
PPPoEさえFGに処理させなければFG側の処理落ちは
気にしないでよいレベルだと思う。 >>596
PPPoEの環境じゃないので、買って試してみます。
15,000円くらいで500Mbps以上でるなら、安い! 回線側で500Mbps以上出るキャリアってどんなのよ? 実家側はフレッツ光ネクスト ギガファミリー・スマートタイプで、
ダウン、アップ共に600Mbps以上でます。 すげーな
うちは50Mbpsしか出ない
500Mも出る地域あるなんてうらやましい 日本よりUSの方がEoL長いのはなぜ?
アメリカ第一主義? FortiOS5.6の提供始めた国内ベンダーってある? ネットワールド、CTC、SCSK、NVC、図研ネットウエイブetc
いっぱいあるで
SCSKが国内販売台数No1だったはず 販売店は多いけど・・・・・
サポート体制は・・・・・・・
良いところを知らない
量販店で買っても一緒だわ 個人利用なら代理店とか使わないでebayで買うのがおすすめ。 Softbankは5.6のPatch2を10/6から提供してるね。 5.6.2を試したけど、ダッシュボードからコンフィグの保存が出来なくなってた
多分どこか別のところにあるんだろうけど、ここが変わるかーって感じ
1ポートで複数PPPoEをサポートするようになったの嬉しい 右上のユーザー名→Configuration→Backup 30Eは平均消費電力が13Wなのか。SSG5も殆ど負荷がないのに熱い。 SRX300もアイドルでも熱いし、ファンレスは熱持つよ FG40Cの発熱はゴム足着けてる粘着剤が溶けるレベルだよ FG40cはどこかで壊れたかと思うぐらい熱くなったとか書いてあったね。
機能は違うけどIx2501とか筐体が冷たい位。
OSがBSDベースだとどうしてもパワーのあるCPUじゃないと動かんのかな。 常時SSL化時代に向けてSSLインスペクションがどうにか使えないかと試行錯誤しているけど、
OS標準の証明書ストアを使わずSSL通信を行う行儀の悪いアプリが多すぎて挫折しそう。
まずはMacで検証しているけど、メジャーどこだとKindle、Dropbox、Google Backup and Sync、iTunes StoreはWiresharkで証明書警告出て通信できない。
OneDriveは問題なし。
SSLインスペクションの例外にすべてのアドレスを登録すれば問題は解決するけど、
いちいちWiresharkで超時間掛けて調べ上げないと行けないから企業での運用は現実的とは言い難いな−
てかAkamaiとかのCDN使われてると例外アドレス追加は無理ゲーだった。 ■ このスレッドは過去ログ倉庫に格納されています