Fortigateについて語ろう5

[0001 anonymous@fusianasan 2020/07/05(日) 00:58:45.94 ID:???]

FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ（NPG）です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC（FortiAsic）ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS

セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。

フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/

質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。

[0002 anonymous 2020/07/08(水) 09:44:46.31 ID:???]

前スレ>>998
（998レス目で質問する時点で知能が低そうだが）

50E（v5.4/v6.2）ですら
スタティックルートの設定数上限数は100だから

スタティックルートの設定数上限8というのが
何の機種/Verで何を根拠に言っているのか不明


もしECMPのアクティブ経路数のことを言ってるのだとしても
v4.x/v5.xはデフォルト10/最大10で
v6.xはデフォルト255/最大255

【v4.x / v5.x】
(settings) # set ecmp-max-paths (10 is default)

【v6.x】
　 (settings) # set ecmp-max-paths
　　ecmp-max-paths Enter an integer value from <1> to <255> (default = <255>).

[0003 anonymous 2020/07/08(水) 09:45:51.66 ID:???]

[誤]　v4.x/v5.xはデフォルト10/最大10

[正]　v4.x/v5.xはデフォルト10/最大100

[0004 anonymous@fusianasan 2020/07/08(水) 13:25:37.18 ID:???]

>>2
すまんね
50E 6.2.4 のGUIでipv4,6 それぞれで9個目いれるとエラーになるから
そうなのかと思いこんだだけでした
CLIで入れたら普通にはいったよ

[0005 anonymous@fusianasan 2020/07/08(水) 13:27:38.70 ID:???]

>>4
入れようとしてたのは
config router static

[0006 dog 2020/07/08(水) 21:51:04.24 ID:???]

v6.2どうよ？

[0007 anonymous@fusianasan 2020/07/09(木) 15:31:45.12 ID:???]

SSL-VPNで接続したとき、
URLが /proxy/(セッションごとの8文字の文字列)/(vpn内のターゲットアドレス)
という感じになりますが
セッション毎の文字列がアドレスに入らないようにすることは可能でしょうか

[0008 anonymous 2020/07/10(金) 23:57:24.91 ID:???]

Webフィルタリングやアプリケーション制御を設定すると
SSLインスペクションの有効化する必要があると出る

FQDNでのURLフィルタリングや
URLを元にしたアプリ種別の識別だけ（詳細アクションまでや制御は不要）
SSLインスペクションしなくても使える認識だけど
この場合はどう設定すれば良い？

[0009 anonymous@fusianasan 2020/07/12(日) 14:58:35.48 ID:???]

https://licensecounter.jp/engineer-voice/blog/articles/20190529__vol4ipsecvpn.html
こちらを参考に拠点間VPNで、Lan <-> Lan は出来たのですが、特定のグローバルIPのみ
リモートからセンターのWANに流す方法がわかりません。
リモートから特定のサイトにアクセスしたときに、センター経由で接続させたいのです。

素人質問で申し訳ないのですが、教えて頂けないでしょうか。
Fortigate 50E、ファームウェア v6.2.4 を使用しています。

[0010 anonymous@fusianasan 2020/07/13(月) 16:35:34.23 ID:oSmKuldJ]

すみません、fortigateのipsec vpnのフェーズ1認証方式で、「シグネチャ」というのがありますが、これはどういった挙動となるのでしょうか。

[0011 anonymous@fusianasan 2020/07/13(月) 16:41:19.00 ID:oSmKuldJ]

>>10
すみません、解決しました。
デジタル署名方式のことですかね。
UTM等のシグネチャに頭がいっておりました。

[0012 anonymous@fusianasan 2020/07/13(月) 16:57:08.18 ID:???]

ネットワークの勉強用にFGE50を入手しましたが、名前解決で躓いています。

FGE50の物理インターフェース設定を
LAN1：192.168.10.1(DHCP：10~250)
LAN2：192.168.20.1(DHCP：10~250)
として、ポート1にPC_A、ポート2にPC_Bを接続しました。
スタティックルート、IPv4ポリシーも設定し、PC_AからPC_B(逆も)へのipを指定したpingは通るのですが、
名前解決ができず、コンピュータ名でpingが通りません。

FG50EではDNSサーバの設定ができるようなのですが、
どのように設定すれば、異なるインターフェースの名前解決ができるように
なるでしょうか。
なお、FG50EもPCもDNS設定はデフォルトのFortiGuardサーバで、
GUIのDNSサーバ設定画面ではLAN1、LAN2ともにシステム設定DNSへ転送、
としています。

FortiGate 50E ファームは6.0.10です。

[0013 anonymous@fusianasan 2020/07/13(月) 17:44:52.05 ID:hyhunuNR]

wan出れる？
ポリシーで許可してる？

[0014 anonymous@fusianasan 2020/07/13(月) 19:06:04.03 ID:???]

そりゃプロバイダのDNS参照してて
レコードの無いじぶんのPCの名前解決なんぞ出来るわけないですよ。
自分でDNSサーバー建てないと。
Fortigate のDNSサーバー機能はどこまで出来るか知りませんがお勧めはしないです。

[0015 anonymous@fusianasan 2020/07/13(月) 19:30:49.27 ID:???]

>>12
mDNS とか、LLMNRといったプロトコルがどういうネットワークで動くのか考えてみようか

[0016 anonymous@fusianasan 2020/07/13(月) 21:19:33.85 ID:???]

>>15
ありがとう。調べてみます

[0017 anonymous@fusianasan 2020/07/13(月) 21:46:45.72 ID:???]

L3（FortiGate）越えられるんか？

[0018 dog 2020/07/13(月) 22:11:52.22 ID:???]

>>12
同セグメントでは無い為
NETBIOSで名前解決不可
FGのconfig→feature→DNS databaseを使う

[0019 anonymous@fusianasan 2020/07/13(月) 23:58:39.49 ID:???]

ファーム上げたら特定のメーカーのコピー機のSSLの通信通らなくなったんだけど意味分からん
別メーカーも全部同じようなhttpsのサイト行ってるはずなんだけど
インスペクションルールかと思って全部ルール外しても通らないのが謎過ぎる

[0020 anonymous 2020/07/14(火) 00:21:55.67 ID:???]

保守契約してるサポートに問い合わせしろよ無能カス

保守契約してない無能カスなら自己責任だから勝手になんとかしろ
もしくはファーム上げた無能の自分のせいなんだから
元のファームにダウングレードしろカス

[0021 anonymous@fusianasan 2020/07/14(火) 06:53:47.40 ID:???]

なんか嫌なことでもあったの？

[0022 anonymous@fusianasan 2020/07/14(火) 08:32:11.32 ID:???]

>>21
こーゆー20みたいなネット弁慶っていうか、専門板は精神疾患系の人多いよね。

[0023 anonymous@fusianasan 2020/07/14(火) 08:49:39.11 ID:nmdDBYwC]

FNDNのFreeプラン入ってるんだけど、評価用ライセンスって有料プラン契約しないともらえんの？

[0024 anonymous@fusianasan 2020/07/14(火) 09:09:54.82 ID:???]

>>20 は煽り運転みたいなもんだから放っておくべし

[0025 anonymous@fusianasan 2020/07/14(火) 11:06:17.03 ID:???]

>>19
6.0.4のリリースノートより
TLS1.2をデフォ値

[0026 anonymous@fusianasan 2020/07/14(火) 12:51:39.22 ID:1wtwb3BX]

HA組んでモニタポートに設定したIFがダウンしたときそのIFだけ2号機介して通信とか出来ないのかね

[0027 anonymous 2020/07/14(火) 13:07:46.20 ID:???]

FortigateのActive/Active HA構成は
UTM処理をStandby機でオフロードするだけで
通信処理は必ずActive機だけ

[0028 ↓ 2020/07/14(火) 13:54:45.34 ID:???]

装置縮退したとき稼働系に全部寄って
性能不足に成りそうだな

[0029 anonymous 2020/07/14(火) 14:21:15.84 ID:???]

>>28
Active/Active構成なら当たり前の前提

故障縮退中の時間より
正常動作中の時間の方がはるかに長いから
それでも十分に意味がある

故障縮退中の一両日は性能低下してスローダウンすることは
運用条件として客と合意する必要はあるけどな

[0030 anonymous@fusianasan 2020/07/15(水) 06:44:53.19 ID:???]

>>25
マジでありがとう
海外ユーザーが勝手に管理画面からアップデートパス無視してファーム上げてて正直知らんって感じだった

[0031 anonymous 2020/07/15(水) 07:44:57.91 ID:???]

ユーザーが管理画面入って勝手に触れるとか
どんだけ無能なネットワーク管理者だよ

[0032 anonymous@fusianasan 2020/07/15(水) 14:10:20.64 ID:???]

>>31
納入時の保守内容に運用まで入れてねーんだよ

[0033 anonymous@fusianasan 2020/07/15(水) 16:42:42.77 ID:n0RD7BC8]

現在FortiGate60D(v6.0.6)を使ってるのですが、ゲームなどをダウンロードすると
CPU使用率が100%になってしまうのでFortiGate50Eに入れ替えようと思ってます。
下記のサイトで速度テストした際もCPU使用率が100%になります。
https://www.speedtest.net/

どなたかFortiGate50Eを使ってる人がいましたらCPU使用率がどのくらいになるか教えていただけないでしょうか。

[0034 anonymous@fusianasan 2020/07/15(水) 18:15:50.77 ID:???]

速度低下が起きてないなら変えなくてもいいんじゃね？

[0035 anonymous@fusianasan 2020/07/15(水) 18:35:52.93 ID:???]

>>33
PPPoEの設定をfortigate側でしてないです？
ルータですればCpuに余裕出るかも

[0036 anko 2020/07/15(水) 19:04:09.13 ID:???]

>>34
同意。
60Dにv6ファームはWebUIが重いだよ

[0037 anonymous 2020/07/15(水) 21:12:02.88 ID:???]

>>33
有効にするUTM機能と個々の詳細設定内容によって結果なんて全く変わるのに
何その頭が悪い無意味な質問？

[0038 anonymous@fusianasan 2020/07/16(木) 07:02:04.68 ID:???]

>>33

PPPoE使ってる？60DでPPPoE接続だとCPU100%になるよ。

[0039 anonymous@fusianasan 2020/07/16(木) 12:59:10.50 ID:SxOFZcPU]

そういう返信が1番頭悪いな

[0040 anonymous 2020/07/16(木) 13:04:21.99 ID:???]

>>39
何その頭が悪い無意味な返信？

[0041 anonymous@fusianasan 2020/07/16(木) 21:23:28.18 ID:???]

確かに何の意味も無い返信してる奴って
どんな頭の構造してるんだろな。

[0042 anonymous@fusianasan 2020/07/16(木) 21:57:48.82 ID:???]

頭が本当に悪いから、頭が悪いって罵ることしかできない。
人に必要とされない寂しい人なのでそっとしておいて。

[0043 anko 2020/07/17(金) 05:45:09.65 ID:???]

>>33のconfig晒せばいいんや

[0044 anonymous 2020/07/17(金) 13:14:43.95 ID:???]

>>41,42
じゃあお前が>>33に回答してやれよ？

無価値で無能なゴミ人間じゃないなら（笑）

何その頭が悪い無意味なレスするくらいならさあ（笑）

[0045 anonymous@fusianasan 2020/07/17(金) 13:50:22.83 ID:???]

なるほど、60DでPPPoE接続は糞遅いのか？しらんかった。家の構成がまさにそれだわ。

[0046 anonymous@fusianasan 2020/07/17(金) 15:46:43.26 ID:???]

diag sys top でCPU負荷の高いデーモンを特定してみるのが一番簡単かと。
ipsengine
scanunitd
pppoed
スペック低いと上記が高い実績あり。
pppoedが高負荷なら買い替えも有りかな。

自分も過去にFortiWifi60D使ってた時にpppoedの負荷が高かったので50Eに買い替えました。
これはうろ覚えだけど50Eからはpppoeはソフトウエア処理からハードウエアアクセラレーションに変わった気がする。

んでこの間40Fに買い替えた際にipoeとpppoeデュアルセッションにしたけど、現状だとCPU負荷はssl deep-inspectionを設定しなければ10%越えないかも。

>>ゴミの人
こんなもんで良い?

[0047 anonymous 2020/07/17(金) 15:54:47.09 ID:???]

>>46
遅えーよ無能カスのゴミ人間

>>33は特定できるようなスキルが無いから
頭悪い質問してきてるんだろ無能
>>33でも理解できて実行できるレベルに落として
丁寧に説明してやれよ無能

まず構成や設定の判断に必要な情報を
ヒアリングして確認するのが先だろ無能

＞　これはうろ覚えだけど50Eからはpppoeは
＞　ソフトウエア処理からハードウエアアクセラレーションに変わった気がする。

のソースを出せよ
バカのうろ覚えの妄言や思い込みじゃなくて

[0048 anonymous 2020/07/17(金) 16:10:36.26 ID:???]

無能>>46の変わりにソース貼ってやるよ

　Reponse du support fortinet :

　According to http://docs.fortinet.com/uploaded/files/2151/fortigate-hardware-accel-526.pdf page 74:
　"NP4 session fast path requirements:
　//...//
　Layer2 type/length must be 0x0800 (IEEE 802.1q VLAN specification is supported); link aggregation between any network interfaces sharing the same network processor(s) may be used (IEEE 802.3ad specification is supported)"
　0x0800 is Ethertype of IPv4 over Ethernet.
　Point-to-Point Protocol over Ethernet (PPPoE) is a network protocol for encapsulating PPP frames inside Ethernet frames and has ethertype 0x8863 and 0x8864, meaning that it cannot be offloaded.
　So all traffic hits CPU and throughput reached is much smaller due to CPU getting high when packets are handled by it (throughput values in the unit specifications are for offloaded traffic to NPU).
　In order to have better transfer results you will have to migrate from PPPOE type of external connectivity or use a bigger unit.
　Or, as you noted, you can use another unit in front of the FortiGate in bridge mode, to perform the PPPOE encapsulation.

解決策としてはPPPoE接続だけ別のルータを挟んでやらせる
（中古で数千円のCiscoやヤマハの古いルータでも可）

[0049 anonymous@fusianasan 2020/07/17(金) 18:24:56.57 ID:fLO/NbTk]

論破されてて草

[0050 anonymous@fusianasan 2020/07/17(金) 21:18:15.81 ID:???]

47と48は別人？

[0051 anonymous@fusianasan 2020/07/17(金) 22:09:23.43 ID:???]

fortigate50eと安い市販の無線ルーターを接続して、dhcpとかはfortigateで無線の接続だけ無線ルーターにしたいんだけど出来ますかね?
fortiAP買わないといけない?

[0052 anonymous@fusianasan 2020/07/17(金) 22:35:06.30 ID:???]

>>51

余裕でできる。
むしろ何故できないと思うのか不思議。

[0053 anonymous@fusianasan 2020/07/18(土) 08:27:12.37 ID:???]

>>52
thx

[0054 anonymous@fusianasan 2020/07/18(土) 12:13:34.42 ID:???]

>>38,48の内容に対して
なんの価値も無い内容じゃねーか>>47この無能ゴミ（失笑）

[0055 anonymous@fusianasan 2020/07/20(月) 18:27:00.66 ID:h3bkBWCy]

IPアドレスフィルタリング機能が使いたいためだけにfortigate-80eを使っているんだけど実は無駄だったりする？

[0056 anonymous@fusianasan 2020/07/20(月) 20:20:28.15 ID:???]

釣りだろうけど、一応。
む・だ！

すっきりした？

[0057 anonymous@fusianasan 2020/07/20(月) 22:43:08.01 ID:???]

FortiGate 60Dのスループットって家庭用ルーターより遅くね？
せっかくIPoE導入したのに180Mbpsで頭打ち。測定中はCPUは100%張り付き

[0058 anonymous@fusianasan 2020/07/20(月) 23:08:20.31 ID:???]

>>57
PPPoEは家庭用ルーターなんて比にならないくらい遅い。
でもIPsecはめちゃくちゃ早い。

[0059 anonymous@fusianasan 2020/07/20(月) 23:14:17.27 ID:???]

UTMにルーターとしての性能を求めるなよ
60Fでも買って試せ

[0060 anonymous@fusianasan 2020/07/20(月) 23:44:52.89 ID:???]

UTMだけやらせろよ
他はオマケ

[0061 anonymous@fusianasan 2020/07/21(火) 00:28:22.16 ID:???]

>>58
IPoEだからPPPoEじゃない。
でも遅い。カタログ詐欺じゃねーか？

[0062 anonymous@fusianasan 2020/07/21(火) 10:54:24.28 ID:???]

IPoEそのものが遅いわけないと思うけど。

MAP-EとかDS-Lite使ってんじゃないの？

[0063 anko 2020/07/21(火) 20:19:01.62 ID:???]

IPSアリにしたら値段相応決まってんねん

[0064 anonymous@fusianasan 2020/07/22(水) 15:42:45.31 ID:???]

>>61
安いモデルはIPv6がASICじゃなくてCPUで処理するから遅いんだよ
IPv6をASICで処理してくれるのは200番台からじゃないかね

[0065 anonymous@fusianasan 2020/07/22(水) 15:55:32.97 ID:???]

↓にあるんだけど、NP4、もしくはSoCタイプでNP自体を積んでないモデルはIPv6をASICオフロードしてくれない
ttps://docs.fortinet.com/document/fortigate/6.0.0/hardware-acceleration/575471/network-processors-np6-np6lite-and-np4

そうするとIPv6使うIPoEは直ぐにCPU張り付いちゃうんだよねー

[0066 anonymous@fusianasan 2020/07/22(水) 19:55:40.75 ID:???]

なるほど、そういうことですか。
しかしCPU処理後するからってUTMもなにも使ってないのに定価10万円以上する機器が1万円の家庭用ルーターよりFWスループット遅いとはね。

[0067 anonymous@fusianasan 2020/07/22(水) 23:59:35.33 ID:???]

オフロードなしでそんな遅いとはよっぽど貧弱なCPU使ってんだな。

[0068 sage 2020/07/23(木) 00:21:14.32 ID:???]

60Dは2014年販売開始だよ

[0069 anonymous@fusianasan 2020/07/23(木) 01:49:30.05 ID:???]

>>66
そりゃ使い方間違ってんだからそうなるよ、
自分の要件に合う機械ちゃんと選ばんと。
業務用の物は特にピーキーなんだから。（金額相応とも言う）

[0070 anonymous@fusianasan 2020/07/23(木) 14:46:55.39 ID:???]

Fortigateはルータじゃなくてファイアウォールだからな
ご家庭だとルータとしての役割求められるから向いてないこともある
家庭用ルータとしてはNEC IXあたりがコスパいいんじゃないかね
NUCにpfSenseやVyOSもいいけど、日本で需要の多いv6plusは対応してないこと多いんだよね

[0071 anonymous@fusianasan 2020/07/23(木) 16:10:55.09 ID:???]

PPPoEも遅い。IPoEでもIPv6は遅い。
ゴミじゃんｗｗ

[0072 anonymous@fusianasan 2020/07/23(木) 16:18:43.18 ID:???]

二桁なんてそんなもんだろ安いんだから

[0073 anonymous@fusianasan 2020/07/23(木) 23:36:08.42 ID:???]

最近じゃ100F以上でないと要件に合わないわ

[0074 anonymous@fusianasan 2020/07/25(土) 00:04:01.59 ID:32NS3Jq6]

ウォッチガード評価機借りたけど
設定わけわからんw
使ってる企業いるんかいな。

[0075 anonymous@fusianasan 2020/07/25(土) 12:20:51.21 ID:Ro8Vgc3m]

60dってpppoeの速度、家庭用より遅いんか。。。ヤマハのファイアウォールfwx120からリプレイスしようと思ってたけどやめるか。。。

[0076 anonymous@fusianasan 2020/07/25(土) 12:39:16.04 ID:Ro8Vgc3m]

http://www.nosense.jp/fg60d-throughput-pppoe/
60dでpppoeの実測値計った人いるみたいやね。

60d買ってしまったから5000円ドブに捨てちまったな。

[0077 sage 2020/07/25(土) 12:50:45.07 ID:???]

PPPoEじゃ地域IP網のネックあるし
違う接続方式のルータ買えよ

[0078 anonymous@fusianasan 2020/07/25(土) 14:04:11.09 ID:???]

yahooだけ遅いわ

[0079 anonymous@fusianasan 2020/07/25(土) 18:23:29.43 ID:???]

>>74
お客さん先にWatchGuard入れて運用していますが、なかなか良い感じですよ

[0080 anonymous@fusianasan 2020/07/25(土) 22:08:08.90 ID:???]

市販の無線ルーターをブリッジモードにして、pppoe接続をfortitateでしたらyahooとヨドバシだけ繋がりがめちゃくちゃ不安定で???だったけど、どうやらMTUが原因だったらしい。
dhcpオプションでMTUの値をセットしたら問題なくなった！ポリシーのutmが悪いのかずっと悩んでたけど全く関係なかったわ

[0081 anonymous@fusianasan 2020/07/29(水) 22:52:21.99 ID:???]

SSL-VPNの接続手法について教えてください。
構成は、Fortigate200E/FortiOS6.4.1/FortiClient6.4です。

Win10端末よりSSL-VPN接続を試みると80%までは
進行するのですが、そこでエラーメッセージと共に切断されてしまいます。
同様の設定で別の機器Fortigate60D/FortiOS6.0.10への接続は可能ですので
基本的な設定に誤りはないのではないかと考えているのですが、80％時に切断される
原因か分からず困っています。
なにか考えられる点はありますか？
ちなみにWin10のバージョンをすぐ更新できる環境ではないため、
TSLv1.3は使用不可な環境です…

[0082 anonymous@fusianasan 2020/07/30(木) 01:58:48.49 ID:AdjVK7tS]

肝心のエラーメッセージをなぜ貼らない

[0083 81 2020/07/30(木) 21:58:21.14 ID:???]

お騒がせしました。自己解決しました。
GUIで無効化したつもりでいたホストチェックが設定上有効だったようで
CLIからホストチェック自体を削除したところ接続できるようになりました。
もっともWin10はホストチェックで許可はしていたのですが…

>82
FortiClientの80%時の切断メッセージです。
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)

[0084 anonymous@fusianasan 2020/07/31(金) 01:54:04.90 ID:???]

VPNのトラブルシューティングの基本はサーバ側(今回だとFrotigate)のログ確認よ
クライアント側からだと良く分からん

[0085 anonymous@fusianasan 2020/08/02(日) 09:17:04.29 ID:Oy+JUfq1]

マルウェア検知能力って、各UTMメーカーそんな変わらないレベルなのかな？
WatchGuardのCylance AIアンチウィルス凄そうだよね。

[0086 anonymous@fusianasan 2020/08/06(木) 10:34:15.59 ID:ka1cPpcf]

iPhone/iPad の VPN接続方式で
・タイプ：IKEv2
・ユーザ認証：証明書
でつないでる人いる？

「ユーザ認証：ユーザ名」は ナレッジがあるんだけど
「ユーザ認証：証明書」は ナレッジ含め 成功例が見当たらないんだよね

[0087 anonymous@fusianasan 2020/08/06(木) 21:05:44.75 ID:???]

FortigateのVPNやめてSoftEtherでやってええか？

[0088 anonymous@fusianasan 2020/08/07(金) 01:45:07.20 ID:???]

いいよ

[0089 anonymous@fusianasan 2020/08/07(金) 08:24:33.33 ID:BPGrN510]

いいよん

[0090 anonymous@fusianasan 2020/08/07(金) 12:41:52.11 ID:???]

いいぜ

[0091 anonymous@fusianasan 2020/08/07(金) 14:26:39.38 ID:???]

うちは辞めたね。fortitoken使い始めた

[0092 anonymous@fusianasan 2020/08/07(金) 19:31:02.09 ID:???]

VPN張ること自体ださいからクラウド移行中

[0093 anonymous@fusianasan 2020/08/09(日) 11:24:12.00 ID:A3uX7Trc]

同一ネットワーク内に、UTM複数入れる時って
メーカーは、ばらけた方がセキュリティレベル上がるのかな？
同メーカーだと、シグネイチャも同じだし・・

[0094 anonymous@fusianasan 2020/08/09(日) 12:03:39.41 ID:???]

複数UTMの必要性がよくわからん？
UTMとエンドポイントセキュリティでは異なるメーカーにするのは一般的やと思うけど。

[0095 anonymous@fusianasan 2020/08/09(日) 22:20:07.69 ID:???]

FortiGateでHTTPSにIPSオンにするとパフォーマンスきつくなって結局使えないから、UTMとしては実用性が無い

残念です

[0096 anonymous@fusianasan 2020/08/09(日) 22:24:11.09 ID:+Z9XxEX2]

セキュリティ対策ってのは結局のところ費用対効果が重要だからなー
検出率の向上がどれだけリスク低減に寄与するのか、管理コストや教育コストがどんだけ増加するのか
検出率は間違いなく上がるだろうけど、セキュリティレベルは下がることもあるかもね

[0097 anonymous@fusianasan 2020/08/10(月) 02:44:21.11 ID:???]

>>95
サイズ次第よ
トラフィックにもよるけど、SSLオフロードしてIPSかけるなら最低でも300番台からってのが常識
それ未満のサイズでグダグダ言うのは間違い

[0098 anonymous@fusianasan 2020/08/10(月) 11:41:44.61 ID:???]

>>97

300番台ですか

それだと他の機能とHTTPSとのバランス取れていない気がします
ASIC依存に偏りすぎな気がします

ユーザーがHTTPSのIPS掛かっていなくてもUTM導入してWebブラウジングが安全になったと
勘違いしているし、リセラーも敢えて説明しないのが現状ですよね

無料の証明書が普及してイキなりマルウエアを送り込んでくるサイトもHTTPS化して
厄介に夏てきている現状考えるとFortiも、もうそろそろHTTPSへの対応を、せめて100辺りから
利用できないと厳しいですね

HPPTS使い物にならないところ以外は使いやすいし売りやすいのですが、正直自信をもってUTMを導入したい
ユーザーさんへの説明が厳しいです

[0099 anonymous@fusianasan 2020/08/10(月) 11:48:01.45 ID:???]

>>97

バンドル版で100万オーバーで次年度からも年間60万円オーバーだと厳しいです
現実には100までのFortiが一番目にしますし、そのお客さんもUTM導入しているつもりのユーザーさんが
たくさん居られますから..........

想定ターゲットが私の会社と違うのでしょうが,300番台以降だと100人以下の企業では厳しいですね

[0100 anonymous@fusianasan 2020/08/10(月) 13:29:06.06 ID:???]

企業ユーザーの全HTTPSトラフィックを復号・暗号して検査なんて無理っしょ。
エンドポイント側で対策でOKでしょ。