Fortigateについて語ろう4
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 日本よりUSの方がEoL長いのはなぜ?
アメリカ第一主義? FortiOS5.6の提供始めた国内ベンダーってある? ネットワールド、CTC、SCSK、NVC、図研ネットウエイブetc
いっぱいあるで
SCSKが国内販売台数No1だったはず 販売店は多いけど・・・・・
サポート体制は・・・・・・・
良いところを知らない
量販店で買っても一緒だわ 個人利用なら代理店とか使わないでebayで買うのがおすすめ。 Softbankは5.6のPatch2を10/6から提供してるね。 5.6.2を試したけど、ダッシュボードからコンフィグの保存が出来なくなってた
多分どこか別のところにあるんだろうけど、ここが変わるかーって感じ
1ポートで複数PPPoEをサポートするようになったの嬉しい 右上のユーザー名→Configuration→Backup 30Eは平均消費電力が13Wなのか。SSG5も殆ど負荷がないのに熱い。 SRX300もアイドルでも熱いし、ファンレスは熱持つよ FG40Cの発熱はゴム足着けてる粘着剤が溶けるレベルだよ FG40cはどこかで壊れたかと思うぐらい熱くなったとか書いてあったね。
機能は違うけどIx2501とか筐体が冷たい位。
OSがBSDベースだとどうしてもパワーのあるCPUじゃないと動かんのかな。 常時SSL化時代に向けてSSLインスペクションがどうにか使えないかと試行錯誤しているけど、
OS標準の証明書ストアを使わずSSL通信を行う行儀の悪いアプリが多すぎて挫折しそう。
まずはMacで検証しているけど、メジャーどこだとKindle、Dropbox、Google Backup and Sync、iTunes StoreはWiresharkで証明書警告出て通信できない。
OneDriveは問題なし。
SSLインスペクションの例外にすべてのアドレスを登録すれば問題は解決するけど、
いちいちWiresharkで超時間掛けて調べ上げないと行けないから企業での運用は現実的とは言い難いな−
てかAkamaiとかのCDN使われてると例外アドレス追加は無理ゲーだった。 >>619
周り見てる感じ、基本的にiOSで個別にアプリをリリースしてる系のサービスは軒並み
アウトだと思ったほうがよさげ。
やっぱり元々の仕組みに無理があるんだよね…
そんなわけで各社最近はもっぱらエンドポイント側に精を出してるね。 SSLは専用サーバが必要でクレカサイトぐらいしかなかった みたいな話ももう通じなくなってくんだろうな。 5.6に上げたらAVのログ出力設定なくなったんだけど、もしかして設定できなくなった? FG-90Dで勉強中なんですが
FGでPPPOE接続するとルータ接続するよりスループットが1/3くらいに落ちるんです。
気になるのでもう一台で試したけどやはり同じ・・・
PPPOE接続はFGではしないほうがいいんでしょうか
PPPOE down 300Mbps up 260Mbps
Rooter down 800Mbps up 750Mbps >>624
>>295あたりの話題で、PPPoEはASIC効かないって >>625
ありがとうございます。
前に出てた話題だったのですね
おかげでスッキリしました PPPとかNAPTとか噛ませたスループットはどのへんが早いのかね
ciscoブランチ>ヤマハ・NECブランチ>Buffaloなど家庭用
みたいなイメージなんだがどうだろ >>628
そもそもルータとL7見れるファイアウォールだと役割違うからな…
ルータとFGを多段にしてPPPは外に出すのが正しい姿な気がする。 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
HNGFTWYRHB Fortigateのシステム性能として、SSL-VPNスループットの記載があると思いますが、これはSSL-VPNを利用している環境だと、ファイアウォールスループットがこの値まで落ちますよ。という認識で良いのでしょうか? 割り込みすまん。
うちで導入しているFortiGate OS5.4のポリシーが急に全部消えたんだわ。
履歴で「ポリシー パージ」って出てて、ログにある利用者にパージするコマンド打ったって
聞いたが「そんなことはしてない」って言われたんだが、なにかほかに原因ってある? 300Dにあるかどうかわからんけど、GUIのウィザード使うときれいに全部消えるね >>636 確認したら「ウィザード」あったわ。
本人にも確認したらそれ触ったみたい。
教えてくれてありがとう。
質問ついでで悪いんだけど、ウィザードって消せるの?
調べても、そんな感じの記述なくて >>637 「ウィザード消せるか」の意味は画面上から消せるのかって意味で。
言葉足らずでごめん 消せないっぽい。
config system globalとかでgui関連のコマンドを探してみたんだけど、ウィザード消すのは見つけられんかった >>639 そうなのか。
教えてくれてありがとうね。
policy消えた原因が分かって助かったよ。 そんな罠があるのか。知らんかった。
ここはためになるインターネットですね。
>>633
それ以上のスループットは出ないよということなので、認識の通りかと Fortigate シリーズの SSL-VPN のスループットって AES128 と SHA256 以外の組み合わせでも同じスループットでますか? >>639
消すのとはちょっと違うけど、新しいバージョンだとウィザード無くなってるよ 今後の保守を考えFortigate-60Eの購入を前提に、、
希望する構成が可能なのか?、色々ネット検索で調べてる途中でこのスレ見つけました。
このスレ全部見ましたが、
1.中古のFortigate-60D(ライセンス契約が残っている物)を中古購入して、
FortiOS5.2を入れる、又は入っている物を買う+保守契約は別途結ぶの方が安定性が良いのでしょうか?
家族経営の小さな事業規模です。
接続PCは、全部で6〜8台(内1台は、VPNを利用した外部から必要な時のみ接続)、常時稼働は3〜4台+ネットワークプリンタ2台です。
ポートベースVLAN+トランスペアレントモードを利用して2セグメント構成を検討しています。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN3.4→LACP(192.168.2.0/27)→LSSW→PC
※インターネットやVPN等の接続はIX2215に任せて、FortigateにはUTM機能を担って貰うつもりです。
トランスペアレントモードでは、LAN側がL3SWでは無くL2SWになるとの事なので、
2.Fortigate-60のLAN側にLACP組めるのか?
3.WAN1と2で別セグメントを入れ、出口側の指定LANポートとの間にリンクを張ること等で、
指定 WAN→指定LANポート間の経路が確保できるのか?
4.LANポート側へWANで入ってきたセグメンとをそのまま伝達できるのか?
長文で申し訳ありませんが、
1〜4について回答出来る人いらっしゃいましたら、レスお願いします。 構成の部分が上手く記載出来なかったので、再度その部分のみUPします。
WAN→IX2215→192.168.1.0/27→WAN1(Fortigate-60EorD)LAN1.2.3→LACP(192.168.1.0/27)→L2SW→PC
→192.168.2.0/27→WAN2(Fortigate-60EorD)LAN4.5.6→LACP(192.168.2.0/27)→LSSW→PC >>646
レス有難うございます。
Forti OS 5.6には、リングアグリケーションについて機種指定は記載がなかったのですが、
FortiOS 5.6 Feature/Platform Matrixに100DorE以降のみと確かに書いてありました。
上記構成のLACP部分は諦めますが、それ以外の部分の構成は指定出来るのでしょうか? >>647
60EでVDOM使えばトランスペアレントの仮想FWでお望みのことができそうな気がする
サポートとかも考えると60Eで最新Verにでもしといた方がいいと思うけど >>644
5.2は2017/6にサポート終了してるし、5.4も2018/12までなのに何で今さら5.2?
保守契約を結ぶつもりなら60Eを新品で買って5.6を使うのが最善だと思うけど
FortiGateは販社を通して申請して保守会社と保守契約を結んだり、UTMライセンスを購入する必要があるから、契約更新をするつもりがあるなら新品以外の選択肢はないよ
あとe-trendとかの格安で売ってるとこは保守契約結べないというか、保守サービスを売ってないから注意 もしかして皆さん、日本代理店経由で買ってるの?ebayとかで買ったほうが安いし直接保守契約結べるのに。 個人で買ってるならともかく企業で利用してんなら代理店経由だろ 自分は www.avfirewalls.com でfw60Cとfg50E買ったよ。ダイマだなこりゃw まあ中の人でもない限りはそこまで直マというわけでも。 >>652
個人購入する時は、そこで買って保守契約結んでる Fortigate 600C v5.4.4 の SSL-VPN の Web App (SSH、ファイル共有)
ですがメニューから選んで接続しようとすると、ブラウザの画面が真っ白になり
いくら待っても うんともすんとも言わなくなりました。
Win7、8.1、10各種、Java8 update161、Firefox 52.0 や Firefox 56、IE11 などの
環境です。
Win7、Java7、Firefox 47.0 32bit版 なんて古い環境のクライアントPCを引っ張
り出して試したところ、画面中央に黒い枠が出てターミナル接続ができます。
やっぱりクライアントの環境が(自動更新などで)変わってしまったせいでしょう
か? なぜ使えなくなってしまったのか、が原因が分からず困ってます。
どこそこに類似事例が載っていた等、なにかヒントないでしょうか? 聞いたけど
「クライアントの環境の問題かもしれないので切り分けてください」って回答しか来ない 最初からクライアント側の問題って分かってるじゃない 5.4.6より前だとSSL-VPNポータルにXSSの脆弱性有るから5.4.8に上げちゃえば良いんでね。ついでに治るかもよw >>660
だからその原因と対処方法はどうしたらいいですか? って質問しても、
その回答が「切り分けてください」 しか返ってこないので困ってるわけなのですが
>>661
保守会社で「検証済みリリース可」ってなってるバージョンしか提供してもらえないんですよね
それも客側のアップデートじゃなくて「検証含めてSE作業依頼してください(有償)」なので・・・ だって他のPCで使えるならクライアントの問題じゃん 証明書まわりじゃないの。
取り消し確認とか失効確認とか外してみたら? ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の
両院で、改憲議員が3分の2を超えております。
『憲法改正国民投票法』、でググってみてください。国会の発議は
すでに可能です。平和は勝ち取るものです。お願い致します。☆☆ ご存知であれば教えてください。
SSL-VPNでブラウザー接続した場合に外側へのpingが届かないのですが
対応方法あるでしょうか?
イントラネットページ内から外部へのリンクページに飛べません。
トンネルモードで入るしかないのでしょうか インターネットへのアクセスを許可するファイヤーウォールのルールの
発信元として定義されているIPアドレスの範囲(クライアントネットワーク)に
SSL-VPN のLAN側IPアドレスって含まれてますよね? (そんな理由じゃないとは思いつつ) >>669
ウィザードで設定しただけだと
ポリシーでSSL-VPN I/F -> internalだけだったのですが
SSL-VPN I/F -> Wanが必要だったようでした。
すごく初歩的な内容ですいませんでした トランスペアレントモードについて教えてください。
クライアント(192.168.0.11)
ルーター(192.168.0.1) ※クライアントのデフォルトゲートウェイ
の構成があったとして、ここにfortigateをトランスペアレントモードで組み込む場合
どのように配線と設定すればよいのですか?イメージがよくわかりませんので教えてください。
トランスペアレントモードでは、fortigateにはIPアドレスを割り当てないのですが
勝手にクライアントとルーターの間に入って通信を監視してくれるというイメージでしょうか?
それともクライアントに何か設定変更がいるのでしょうか?
クライアントのLAN配線をルーターのポートに直結せずに、fortigateに刺して運用するということでしょうか? >>671
イメージがわかないならトラペアは止めた方がよいのでは? >>671
どの型番のどのOS導入するか知らんけど、基本は変わらないだろう。
ttps://www.fortinet.co.jp/doc/FortiGate-Cookbook50_p139.pdf 年末の v5.2.13,build762 でパフォーマンス良くなった気がする
まだ戦わせられるな・・・ v5.2系からv5.6系までアップデートした方います?
特に不具合とかありませんか? なんでフルモデルチェンジレベルで変えるんだろうな
ファイナルファンタジーの開発チームかよ 6.0系リリースされたから入れてみたけど
見た目はあんまり変わらんのね。 30eですが安かったので輸入しました。実家へ配送したので今は試せません。
giga対応のfwとして頑張って貰うつもりで、うまくいけばssg5と交代させます。
どうやらipadではfortimanagerを使って管理できるようですが、lite版があるようです。
フル版とlite版では何が違うのでしょうか。 daily report はどうやったら止められるのでしょうか?
ちな3月で保守契約終わって更新してません。 個人的に集団凌辱があまり好きではないので
オーロラの前二作は見ていないのだが(評価は高いみたいだが)
今回のはやはりいいな、もうちょっと風呂で絡んでほしかったけど
ただ、またまたハメ撮りだけど…、ま、オーロラだしね
温泉物=ハメ撮り、って固定観念なんとかならんのかね
別に二人っきり体で別カメあってもええやん ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
5BZKL IPSとかアプリケーションフィルタって、感覚的に使用率どれぐらい?
自分の知る限り、誤検知とか通信遅延のデメリットの方が大きくて使ってるところ殆ど知らないんだが。 IPSあたりはSOCへ運用投げないと死ぬと思う。
あとFortigateにL4以上のことやらすなら最初から
脅威保護スループットとかしか見ないで
サイジングすれば
裏切られ感は少ないと思う。
L4スループットがベースじゃなく、あれはHWオフロード
した結果だから。 >>687
ありがとう、やっぱりそんな感じか。
デスクトップモデルでまともに機能全部使おうもんなら、あっという間に
CPU100パーで無事死亡するし、他所ではどうなのか気になったので。 パロっても使いこなせないだろ
FWX120のOEM提案してくるとこもあるよ >>675
今日サーバーメンテのついでにfortigate 100dのファームウェアを5.2.13 build 762へアップグレードしたんだけど、その後5.6へアップグレードしたら再起動後に見事に死んだよ
急いでコンソール繋いで電源OFF/ONしてリストアかけて事なきを得たけど滝汗だったw
識者らに教えてもらいたいのだけれど、Fortigate 100D(に限らないと思うけど)ファームウェアアップグレードはcurrent で使用してるファームウェアbuildからリリースされてる一つ上のbuildへしかアップグレードできない(しちゃいけない)んですかね? >>692
アップグレードパスに従わずにやれるのか?
Webからポチッとなはやったことないんだが
5.6は5.4経由しないとダメだった気が ttps://gold.nvc.co.jp/document/fortinet/OS/fgt/information/FortiOS_ver.5.0_MR6_Patch_3_Informations.pdf
こんなんとか >>693
そうそう、web管理画面からポチっとなです
なんとなくそんな気がしてたんだけど、やっぱり5.2→5.4→5.6のステップでやらないとだめなんですかね?
アップグレードパスというのが何を意味してるのかよくわからないけれどcuiでも同じ様なステップでアップグレードするもんなんですか? >>694
おー、理解しましたありがとうございますw
ちゃんとドキュメントを確認するべきでしたありがとうございます WAN LLBってどこの例を見ても
2回線の例しかないけど、3回線以上ってできないの? >>695
アップグレードパスは守った方がいいのでは。
コンフィグ変換を手堅くさせるためにも、
なにかサポートが必要になった時のためにも。
メーカーのページに書いてありますよ。
v5.2.a → v5.4.b → v5.4.c → v5.6.d → v5.6.e
のように、途中で細かなverupを経て
最新にする。みたいな流れが多いです。
v5.xのところが変わる時はログディスクを初期化した方がいい
など、お作法があることもあるので、
リリースノートなどを確認しましょう >>698
おお、ログディスク初期化は気になっていたんですが実施したほうがいいのですね
前回失敗コイてまだターゲットのverまでアップグレードできていないので、次回はアップグレードパスに従って進めようと思います
ありがとうございます >>699
細かくバージョンを上げるごとにコンフィグを
取得しておき、
都度比較するといいですよ。
。。結構変わるんだなってw
仕様変更である機能が無効になったり、もういろいろです。
ログの形式も少しずつ変わっていくので、
集計したり統計を取ってる時は気をつけた方がいいですね。 30eを買って遊んでるんですが、NGFWなし、アンチウイルス無しで一人で使ってる割にはスループットがssg5によりもたつく気がします。入れたポリシーもssg5よか少ないはずなんですが。
こんな物なんでしょうか。60e位に変えるべきですかね? FG60Dの5.6で検証してます、
FTPサーバをPASVモードでvirtualip越で公開したいんですが、
port21での接続ができたあと、dataセッションがport書換が原因でつながらない様なんですが、
policyはwanのanyからVIP宛てに、ftp、Get、Putと1024から65535のportを設定しました。 ■ このスレッドは過去ログ倉庫に格納されています
