Fortigateについて語ろう4
レス数が900を超えています。1000を超えると表示できなくなるよ。
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 SSL-VPN使うことにしました。
ありがとうございました。 ケースバイケースってか予算が無かったりそもそも要件詰め忘れてたりの間に合わせだろ?
そんなん使う時点でエンジニアとしてどうよって思うわ 6.2.3リリース。
早速入れてみたが、ログイン画面文字化けするな。 ありゃ うちもリリース間近の400Eで6.2.2入れてるんだけどどうしようかな Fortinetに限らず、一般的に透過モードで設置した場合WAN側にあるPCとLAN側のPCって普通に通信できるものですか?
例えば共有フォルダが丸見えになりますか? >>839
ということは、透過モードのまま制限することは可能ではあるってことですかね?
インターネットのみ可能な来客用ネットワークをUTMの外側に作りたいのですが、UTMの設定はUTM設置業者にさせればいいでしょうか? >>841
できるはできるけど要件だけ聞くとわざわざ透過モードで
設計する理由が分からない。
雰囲気的に業者に設計方針から依頼したほうが幸せになると
思うよ。 SSL-VPN を利用する際に
FQDNを使わず直接IPアドレスを使ったアクセスを
拒否することは可能ですか? >>843
勿論、httpのhostnameヘッダが入ってない場合を想定してるんだろうが、確か出来ないはず。
想定が違うなら、httpプロトコルの勉強した方がいい。 >>843
俺はダイナミックIP使って、頻繁にIPアドレスを変更している。 >>844
そうですか。残念です。
Internet explorer 11 だと SSL-VPN ポータルが表示されないのですが
どうすればよろしいでしょうか >>846
最近のFortiOSはIEサポートしてないから大人しく対応ブラウザ使うべし。リリースノートに載ってるから。 自分でfortigateに証明書を入れず、FortiClientを使用してIPアドレス指定でSSL-VPNを繋いでいるのですが
この状態でも通信は暗号化はされるのでしょうか。
素人質問で申し訳ないです。 並行輸入品て日本国内のサポート受けることできますか 30Eのforticare 1yr 8時間x5日とかの安いライセンスをebayから買って更新しようとしたら$200とか高いのしか売ってなかったけど、最近方針って変わったのでしょうか?
もっともebayは時々品切れになるから、待ってると復活したりしますが、値上げされると困ります。
firewall.comなら普通に安いのですが、こちらから買ったことがないので評判探してます。 家で使ってる50Eは本体も更新ライセンスもここで買ったけど特に問題は無かったよ https://www.avfirewalls.com/ 100Dと60Eが同じ値段だったらみんなどっち買う? >859 レストン
其処でライセンス買ってみたけど、注文はキャンセルされました。
理由は、お前はウチから本体買ってないから登録されてない、からだそうです。
当然、fortinetには2台も登録済なんですけどね。 米とかドイツの尼でもFC-10-0030E-311-02-12は品切れみたい。
なんかサービス体系変えてきそう。
ebayでJPY 18,774てのがあったけど、どうするか。ライセンス切れはまだ先だけど。 FTPで嵌っていて、どうにも解決できない為お聞きしたく。
#どういう訳かngワードに引っかかって、全文を書けないので
分割して書き込みます。 (続き)
現在FG60Eという機種が入っていて、NATで運用しています。
firewallの内側からFTP接続するのですが、接続は出来るものの、
ファイルアップロードでかなりの確率で失敗します。(続く) (続き)
FTPサーバはAWSでvsftpdを使用しています。
highポートは、fortigate、EC2とも1024-65535全てを
開けて見ましたが結果は変わらず。
DMZからFTP接続すると問題なくファイル送受信出来るので
何か設定が間違ってると思うのですが、vsftp側の設定も含めて
ご教示頂ければ嬉しいです。 ありがとうございます。
連休明けに設定確認してみます。 質問なのですが。
LAN内の、FortiGateの真下などに
別メーカーのUTMを入れるセキュリティ強化は
企業ではあまりやらないのでしょうか?
UTM2段構えとか、より安全そうなイメージですが・・ ハイエンドな環境だと、パフォーマンス重視で用途で分ける場合があるのでは?
L4ACLはFortiで、サンドボックスはFireEyeにしたりとか UTM2段で入れるくらいなら冗長構成取るんじゃないかな
UTM2段、且つ冗長構成を取るってブルジョワなユーザならともかく 別メーカー多段だと、シグネイチャベースのIPSやアンチウイルスなら
効果ありそうな気もするけど、どうなんだろうね? 多段UTMとか誤検知やらなんやらでトラシューが大変になる未来しか見えない 当方は、
fortigate 60Fをルーターのみで利用、配下でfortigate 100eをトランスペアブリッジとセキュリティ検疫で利用してます。 ブラックリストで重ねる位ならホワイトリスト一重かな
ホワイトリストで重ねるなら効果あるだろうが設定が面倒くさいし
重ねるだけ可用性下がるが冗長構成にすれば金もかかる
ユーザーなり接続数ベースのライセンス形態と違って
FortiはHWベースなんで冗長組むと比例して高くつく Forti以外でもHWを冗長構成で2個並べればその分の費用はかかると思うけどな 2台分のライセンスより1台分+HAライセンスの方が安いって話じゃない? utmの管理者を翻弄するクラウド。
ホワイトリストもブラックリストもガンガン増える。 今は、セグメントUTMとかLAN内に階層で置いてるよね? 同じ製品の型番のfortigateとfortiwifiってファームウェアのイメージ同地物使えるの?やっぱりだめ? fortigateのSSL-VPNでAD参加のために
DNSをADサーバー2台が先にくるように設定しているんですが
拠点内サーバーへのアクセスのためにWS01 192.168.0.254
みたいなのをFortigateのDNSとして登録して先にこさせることって可能でしょうか?
その場合、多分DNSリレーが必要だと思うんですけど、先に挟み込みができるのか
GUIいじってみましたけどよくわからず・・・。
機種は60Dと50Eです。 Fortigateのクラウドサンドボックスって
検査中のファイルをFortigateで止めとく事できるのでしょうか?
とりあえずは、クライアントに流れるのかな?
ソニックウォールのサンドボックスは検査完了まで
止められるみたいですが。 >>889
FGのDNS参照先として特定のサーバを登録したければ、ネットワーク>DNSから設定可能です
SSL-VPNのAD参加の下りがわかりませんが、SSL-VPN接続してきたユーザに特定のDNSサーバのアドレスを
払い出すことは可能です。
>>891
クライアントに流れるはず
検査完了で止めておくとセッションタイムアウトになるし >>871
結果報告が遅れて申し訳ない。ビンゴでした。
機能をオフにしたら、問題が解消されました。
情報をありがとうございました。 >>889
ADサーバー側のDNSサーバーにルートヒントぶち込んでフルサービスリゾルバの役割も担わせれば良い >>892
それは設定しています。ありがとうございます。
もともとADサーバー2つをリモートクライアントのDNSとして登録しています。
この構成だと、VPN越しにAD参加が可能なのです。
で、ぶっちゃけADサーバーにレコード登録すればいいだろってのはあるんですが
[クライアント]---[FG50E]--[ADサーバー]--[PublicDNS]
という流れでFGにはDNSをリレーしてもらうようにするとして
1.これでAD参加可能か?
2.FG独自で名前登録して、そのFGを置いているところでだけ使えるレコードとして
使えないか?
というところが聞きたいところです。
拠点内だとNetBiosで名前解決していたようなものがVPN越しだと
うまく動かず(そりゃそうですよね)
hostsの登録も難しいようなのでFGでなんとかできないかな?と。 >>895
DNS updateのフォワードはしない いまいちスループットの意味がわからないのですが
ベストエフォート100Mbps回線の、ネット接続用で使う場合は
ユーザー数が多くても、スループットはあまり気にする必要ないのでしょうか? 90D ライセンス切れ品が転がっていたから、SSL-VPN FortiClientのGWとして設定した。
テレワーク急に始める企業には神のような機械だな。
50人登録したけど何人まで使えるんだろう。 100D OS5.4 と FortiClientVPN6.2.4(これしか拾えない)で
自宅複数とIPsecVPNをはりたいのですが、
当然ながら相手は動的IP
識別の為のPeer IDは、どうやって作るのでしょうか? FortiClientは一応ここからDL出来るかと
6.0.Xまでならセキュリティ機能(AVなど)は無料
https://forticlient.com/downloads 数人しかいない別拠点ように40Fが欲しいんだが
日本だといつ頃かね >>902
>>903
どうも有難うございました
結果的には、拠点Fortiの様なPeer IDの設定は不要
枝番が出てFCとして、複数拠点の接続可能でした
数日前にはできなかったのですが、なんかミスってたんですね >>905
FortiClient使うときはIPアドレス不定でアクセスする場合が多いためアグレッシブモード使うから
ID設定はAnyが一般的かなと思います(されてる設定の通り)
>>901読んだとき、敢えてメインモード使いたいだろうなと思ってしまいました Fortiって、FWスループットだけの
見掛け倒しじゃない? HWオフロードできる部分はASIC処理なので速い
CPU処理になる機能を使えばその分パフォーマンスは落ちるってだけですな
他メーカでも同じ話 >>897
そうですか。
DNSキャッシュサーバーとしての機能は持たないんですね。
FortigateってDNSは完全な中継しかしないんですね。 60Fて、あの安さであの脅威スループットは凄くない?
ソニックウォールでも、同等スループット機種は倍はするよ。 ASIC搭載とはいえCPU使う機能であればスループットはそれなりに落ちる
でも、他ベンダもそれは一緒だから「あのデータシートは嘘だ」的な話はあまり聞かない どんな装置でも導入前にテストしようと考えるのが当たり前なんだよな
何も知らないまま選定して物だけ流してトラブって炎上とかみてて呆れる httpsまで保護するなら、同レンジの中では
60F 一択な気もする。 60Fは10Gbpsに対応しろとは言わないが、2.5か5には対応して欲しかったな。
中途半端すぎ。 パフォーマンスが出るからっつて小さいものに何でも付けてしまうと
マーケティングも何もあったもんじゃないしな 質問になります。
拠点間のIPSec-VPNだとNATトラバーサルで使えるようですが
forticlientでも、NAT内側にあるFortiGateに
外からVPN接続可能なのでしょうか? >>910
これだとActive Directory参加は難しそうなので
悩ましいんですよね。
1番目にADサーバーを入れないとむずかしく。
>>919
NAT機器でSTATIC NATでFortigateにポート転送してもらっていればできますけど
そうでなければ無理ですね。 NATトラバーサルって謎だよね。
ポートフォワードしなくても、なぜか使える製品もあるし・・ >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/pZ90Ptt.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) NAT-Tは500と4500のポート使うかどうかの話じゃないの? 50EでDS-Liteの設定をし、LAN側の端末からは快適にインターネットに出られるようになったのですが、FortiGuardへの接続がうまく行きません。 CPE側にIPv4アドレスを持たないDS-LiteでIPv4によるVPNってできるの? リモートVPN用にipsecトンネルを複数つくると繋がらなくなるんだけど、
こういうもんなの? 【告知】大阪で1番恥さらしな男!!これまで誰一人として語れなかった覚醒剤中毒者の泥沼の世界!!そして警察官、刑務官、裁判官のええ加減さを真実のみを赤裸々に語り最低中の最低の究極のゴキブリ男が恥を承知の上で書いた渾身の力作!!
ノンフィクション自叙伝!!
【ゴミと呼ばれて刑務所の中の落ちこぼれ】
中学2年の時に覚醒剤を覚え17歳から45歳まで【少年院1回、刑務所8回、合計20年】獄中生活を体験したが、ある女性との出逢いで生き方を180度変えて鉄の信念で覚醒剤を断ちきり見事に更生を果たした感動の奇跡の一冊!!
全国の書店&ネット通販でどうぞ!! LAN内のフロア毎に、透過型ブリッジモードで設置して
LAN内UTMにするって
利用方法おかしいのでしようか? レス数が900を超えています。1000を超えると表示できなくなるよ。
