Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>553
sslでもどこに繋ぐに行くかはわかるだろ >>554
SSLではURLは暗号化されてるよ。
何のためにcertificate-inspectionがあると思ってるん? >>555
証明書使って暗号化された後は見えないけど、証明書自体は見えるから
CN≒FQDNまでは見えるよ
*使われててもまあドメインまではなんとか 5.6にしてしばらく使ってるけど、今のところ問題なし。
5.4がイマイチだった分警戒してたけど、意外と安定してるかも。 50EのスペックはDシリーズと比べてなんであんなに桁違いに良いの? SoCの世代が違うからじゃ?
というか、Dシリーズが遅すぎた、とも言えるけど。
D系ってC系チップのクロックちょっと上げただけの物だったよーな? ファイアウォールスループットなんて倍になってるもんな。1.5 Gbps > 3.0Gbps
今更だけど、ファイアウォールスループットって、本体が同時に処理できる最大処理容量っていう意味であってる? >>559
なるほど…
>>560
オレはその理解 >>562
NPUで処理されてるセッションの数(割合)だっけ?確か。 問題は価格とGUIの作り込みだよね
専任の管理者を配置できない中小企業〜SOHOで運用できるレベルで
ワールドワイドで実績がある機種ってFortigateくらいじゃないかな
PAは機能と性能は良いけど設定は結構複雑、
SRXもJunOSでお手軽とは言いにくい HTTPSでログインするときのブラウザ証明書警告、消すにはFGに証明書インストールするしか方法ない? ブラウザとかOSに証明書インストールすればいいんじゃね 一応FGの既存証明書を全部インストールしてみたんだけど、だめっぽい。 2年ぐらい使ったけど、うちでは透過モードの保険的な使い道しかないな
このウィルスチェックはほぼ役に立たないと思う 情シスな人からしたらPalo altoの方が幸せになれる
インフラエンジニアならFortigate fortigateのアンチウイルスが特段良いとも思わんが、パロがfortigateより良いとも思わんけどな 5.6のFortiview、Forti自身のローカルトラフィック見れなくなってるやんけ。
5.2では設定変更すれば見れたのに。 情シスの立場なら運用性が高いPaloが
インフラ屋からすると、(簡単なので)手離れがいいForti ってことでは? 運用する奴に選ばせて運用する奴に金を出させる、みたいな。 情シスはただのユーザさん
インフラエンジニアは技術売って食ってる人 Fortiwifi-30Dのデザインがかわいくて好きなのですが、個人で本体だけ購入できないでしょうか? 米amazonなら買えるんじゃない?
E世代はちっこくても結構パワーあっていいね >>585
楽天で買えるんじゃね?
https://search.rakuten.co.jp/search/mall/Fortiwifi%EF%BC%8D30D/
会社で使うのを楽天で買ってライセンス更新の時にソフトバンクに移管したわ
最初からちゃんとした代理店で買えばよかった
多分もう使うことないと思うけど >>587 >>588
ありがとうございます。
アンテナは折っちゃいそうで怖くて、
Eシリーズ、アンテナ内蔵のデザイン、ラインナップして欲しかったなぁ。 Ver5.6.1で、5分毎にシステムイベントに出力されるリソース情報(System performance statistics)の出力間隔を変更したいんだけど、
もしかして変更不可能?無効にすることはできたけど、間隔は設定する項目が見当たらなかった。 >>590
config system global
sys-perf-log-interval x
end >>498
ディープインスペクションONにするとYahooウォレットの明細ページが表示できないね。バグかな? >>593
誤検知っぽいね。
問題ないページを除外するように申告するページなかったっけ? 60D買いました、ネットへの接続全てをExpressVPN経由のみにして、他への/からのパケットは全て破棄する
みたいな設定ってできないかな? 実家と自宅のsite-to-siteのIPSec VPNを格安で実現したいんだが、
Fortigate 60Dあたりでやるとどのくらいスループットが出るのだろうか。
UTMは不要です。 FG60D(5.5)の/24からASA5505(9.1)の/32を二個へipsecでVPN貼りたいんですが
(仕事場の機器なので細かいverが今確認できません)
ASAのACLを二行で
src:172.16.0.1/32 dst:192.168.1.0/24
src:172.16.1.1/32 dst:192.168.1.0/24
FGにはPh2ifのスピードセレクタで
src:192.168.1.0/24
dst:172.16.0.1/32,172.16.1.1/32(アドレスグループ)
のようにすると、一つは張れるんですが、一つしか張れません
張れない方は延々phase2のエラーを吐いています
phase2のセレクタを2つにわけて作ってもダメでした。
他に書き方とかあるでしょうか? >>596
PPPoEさえFGに処理させなければFG側の処理落ちは
気にしないでよいレベルだと思う。 >>596
PPPoEの環境じゃないので、買って試してみます。
15,000円くらいで500Mbps以上でるなら、安い! 回線側で500Mbps以上出るキャリアってどんなのよ? 実家側はフレッツ光ネクスト ギガファミリー・スマートタイプで、
ダウン、アップ共に600Mbps以上でます。 すげーな
うちは50Mbpsしか出ない
500Mも出る地域あるなんてうらやましい 日本よりUSの方がEoL長いのはなぜ?
アメリカ第一主義? FortiOS5.6の提供始めた国内ベンダーってある? ネットワールド、CTC、SCSK、NVC、図研ネットウエイブetc
いっぱいあるで
SCSKが国内販売台数No1だったはず 販売店は多いけど・・・・・
サポート体制は・・・・・・・
良いところを知らない
量販店で買っても一緒だわ 個人利用なら代理店とか使わないでebayで買うのがおすすめ。 Softbankは5.6のPatch2を10/6から提供してるね。 5.6.2を試したけど、ダッシュボードからコンフィグの保存が出来なくなってた
多分どこか別のところにあるんだろうけど、ここが変わるかーって感じ
1ポートで複数PPPoEをサポートするようになったの嬉しい 右上のユーザー名→Configuration→Backup 30Eは平均消費電力が13Wなのか。SSG5も殆ど負荷がないのに熱い。 SRX300もアイドルでも熱いし、ファンレスは熱持つよ FG40Cの発熱はゴム足着けてる粘着剤が溶けるレベルだよ FG40cはどこかで壊れたかと思うぐらい熱くなったとか書いてあったね。
機能は違うけどIx2501とか筐体が冷たい位。
OSがBSDベースだとどうしてもパワーのあるCPUじゃないと動かんのかな。 常時SSL化時代に向けてSSLインスペクションがどうにか使えないかと試行錯誤しているけど、
OS標準の証明書ストアを使わずSSL通信を行う行儀の悪いアプリが多すぎて挫折しそう。
まずはMacで検証しているけど、メジャーどこだとKindle、Dropbox、Google Backup and Sync、iTunes StoreはWiresharkで証明書警告出て通信できない。
OneDriveは問題なし。
SSLインスペクションの例外にすべてのアドレスを登録すれば問題は解決するけど、
いちいちWiresharkで超時間掛けて調べ上げないと行けないから企業での運用は現実的とは言い難いな−
てかAkamaiとかのCDN使われてると例外アドレス追加は無理ゲーだった。 >>619
周り見てる感じ、基本的にiOSで個別にアプリをリリースしてる系のサービスは軒並み
アウトだと思ったほうがよさげ。
やっぱり元々の仕組みに無理があるんだよね…
そんなわけで各社最近はもっぱらエンドポイント側に精を出してるね。 SSLは専用サーバが必要でクレカサイトぐらいしかなかった みたいな話ももう通じなくなってくんだろうな。 5.6に上げたらAVのログ出力設定なくなったんだけど、もしかして設定できなくなった? FG-90Dで勉強中なんですが
FGでPPPOE接続するとルータ接続するよりスループットが1/3くらいに落ちるんです。
気になるのでもう一台で試したけどやはり同じ・・・
PPPOE接続はFGではしないほうがいいんでしょうか
PPPOE down 300Mbps up 260Mbps
Rooter down 800Mbps up 750Mbps >>624
>>295あたりの話題で、PPPoEはASIC効かないって >>625
ありがとうございます。
前に出てた話題だったのですね
おかげでスッキリしました PPPとかNAPTとか噛ませたスループットはどのへんが早いのかね
ciscoブランチ>ヤマハ・NECブランチ>Buffaloなど家庭用
みたいなイメージなんだがどうだろ >>628
そもそもルータとL7見れるファイアウォールだと役割違うからな…
ルータとFGを多段にしてPPPは外に出すのが正しい姿な気がする。 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
HNGFTWYRHB Fortigateのシステム性能として、SSL-VPNスループットの記載があると思いますが、これはSSL-VPNを利用している環境だと、ファイアウォールスループットがこの値まで落ちますよ。という認識で良いのでしょうか? 割り込みすまん。
うちで導入しているFortiGate OS5.4のポリシーが急に全部消えたんだわ。
履歴で「ポリシー パージ」って出てて、ログにある利用者にパージするコマンド打ったって
聞いたが「そんなことはしてない」って言われたんだが、なにかほかに原因ってある? 300Dにあるかどうかわからんけど、GUIのウィザード使うときれいに全部消えるね >>636 確認したら「ウィザード」あったわ。
本人にも確認したらそれ触ったみたい。
教えてくれてありがとう。
質問ついでで悪いんだけど、ウィザードって消せるの?
調べても、そんな感じの記述なくて >>637 「ウィザード消せるか」の意味は画面上から消せるのかって意味で。
言葉足らずでごめん 消せないっぽい。
config system globalとかでgui関連のコマンドを探してみたんだけど、ウィザード消すのは見つけられんかった >>639 そうなのか。
教えてくれてありがとうね。
policy消えた原因が分かって助かったよ。 そんな罠があるのか。知らんかった。
ここはためになるインターネットですね。
>>633
それ以上のスループットは出ないよということなので、認識の通りかと Fortigate シリーズの SSL-VPN のスループットって AES128 と SHA256 以外の組み合わせでも同じスループットでますか? >>639
消すのとはちょっと違うけど、新しいバージョンだとウィザード無くなってるよ 今後の保守を考えFortigate-60Eの購入を前提に、、
希望する構成が可能なのか?、色々ネット検索で調べてる途中でこのスレ見つけました。
このスレ全部見ましたが、
1.中古のFortigate-60D(ライセンス契約が残っている物)を中古購入して、
FortiOS5.2を入れる、又は入っている物を買う+保守契約は別途結ぶの方が安定性が良いのでしょうか?
家族経営の小さな事業規模です。
接続PCは、全部で6〜8台(内1台は、VPNを利用した外部から必要な時のみ接続)、常時稼働は3〜4台+ネットワークプリンタ2台です。
ポートベースVLAN+トランスペアレントモードを利用して2セグメント構成を検討しています。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN3.4→LACP(192.168.2.0/27)→LSSW→PC
※インターネットやVPN等の接続はIX2215に任せて、FortigateにはUTM機能を担って貰うつもりです。
トランスペアレントモードでは、LAN側がL3SWでは無くL2SWになるとの事なので、
2.Fortigate-60のLAN側にLACP組めるのか?
3.WAN1と2で別セグメントを入れ、出口側の指定LANポートとの間にリンクを張ること等で、
指定 WAN→指定LANポート間の経路が確保できるのか?
4.LANポート側へWANで入ってきたセグメンとをそのまま伝達できるのか?
長文で申し訳ありませんが、
1〜4について回答出来る人いらっしゃいましたら、レスお願いします。 構成の部分が上手く記載出来なかったので、再度その部分のみUPします。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2.3→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN4.5.6→LACP(192.168.2.0/27)→LSSW→PC >>646
レス有難うございます。
Forti OS 5.6には、リングアグリケーションについて機種指定は記載がなかったのですが、
FortiOS 5.6 Feature/Platform Matrixに100DorE以降のみと確かに書いてありました。
上記構成のLACP部分は諦めますが、それ以外の部分の構成は指定出来るのでしょうか? >>647
60EでVDOM使えばトランスペアレントの仮想FWでお望みのことができそうな気がする
サポートとかも考えると60Eで最新Verにでもしといた方がいいと思うけど >>644
5.2は2017/6にサポート終了してるし、5.4も2018/12までなのに何で今さら5.2?
保守契約を結ぶつもりなら60Eを新品で買って5.6を使うのが最善だと思うけど
FortiGateは販社を通して申請して保守会社と保守契約を結んだり、UTMライセンスを購入する必要があるから、契約更新をするつもりがあるなら新品以外の選択肢はないよ
あとe-trendとかの格安で売ってるとこは保守契約結べないというか、保守サービスを売ってないから注意 もしかして皆さん、日本代理店経由で買ってるの?ebayとかで買ったほうが安いし直接保守契約結べるのに。 個人で買ってるならともかく企業で利用してんなら代理店経由だろ 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw まあ中の人でもない限りはそこまで直マというわけでも。 ■ このスレッドは過去ログ倉庫に格納されています
