Fortigateについて語ろう5
■ このスレッドは過去ログ倉庫に格納されています
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>666
出来ないと思うよ
IPアドレスじゃなくてIDベースで制御するリモートアクセスとしてIAPって製品分野が出来上がってる
zscaler ZPA, akamai EAP, netskope NPA とかそのあたり
必須要件だったらそういうの検討してもいいかもね >>666
ポリシーを細かく分ければできないことはないはず トラフィックシェイパーについて、教えてください。
設定する事で、下限の帯域は確保しつつ、上限帯域に制限した通信が可能という認識で
間違いないでしょうか。
業務ネットワークと同じネットワーク内で、インスタライブ配信を実施してるんですが
ブロックノイズが出るのがどうしても気になって。
LAN⇔WANのポリシーにトラフィックシェイパー設定して、改善するもんでしょうか。
動画配信の為に、ネットワークを別にした方がいいのか、お知恵をお借りしたく。
回線はN○○PC系です。
プロバイダはIPv6非対応。 >>661
うちは60Eで出来てるよ。
ただPPPoEしゃべってるInterfaceでは定義はできるんだけど何をやっても動かず、
2ポートをONU側に接続して片方はPPPoE用、もう片方をDHCPv6-PD用として使ってる。 >>671
動作情報ありがとうございます、
同じWANポートでPPPoEとの共存できないって事ですね… >>670
構成がわからないからなんともいえませんがフルHDの動画であれば30Mbpsくらい常時確保できてれば問題ないんじゃないですかね
それが無理ならネットワーク分けるなりしたほうがいいように思えます
FTTHでIPoEだったら余裕そうだけど >>676
670です。
ありがとうございます。
参考にします。 もし分かる方いらっしゃればご意見を頂けないでしょうか
teams、googleハングアウトのようなWeb会議を行った際に、
その通信がudp_flood判定をされて、パケットが大量にドロップされている事が
ログのアノマリを見て分かりました(多いと1日数百件のudp_floodログ)
とりあえずはIPv4 DoSポリシーにて、当該通信でのudp_floodに関するアクションを
モニタとする事で対応しているのですが、これはよく有る事象なのでしょうか?
または、Fortiの設定に問題が有るのでしょうか? 運用でfortiにポリシー追加とかやってるんだけどfortiのスキルあると思われるようになるには何すれば良い?
fortiの資格とかもあるようだが何かマイナーで評価されなそうだし >>680
最近コマンドラインじゃないと設定出来ない項目いじったので触っています。
getとshowの使い分けはわかるようになりました。 terraformみたいなんで管理してIaCやってる感を出す >>679
fortiの資格がマイナーなら、forti自体もマイナーなんだと思うがな。
cliでwebフィルタのカテゴリ設定してたら、ある意味凄いと思う CLIも良いんだけどさ
Webで設定したら10分で終わるところをCLIで1時間以上掛かってると格好悪いぞ 食っていけるという意味でFWの将来性はどうなの
ゼロトラストとかいうのがFWやVPNは古いとうたってるみたいだが何が凄いのかよくわからん
各サーバ使う時に認証があるのは普通だろ LAN内部は安全みたいに信頼できるとかできないに分けて考えず、ドコでも危険だから片っ端からUTM導入しておけば、有事の際にも言い訳たつって事だから… >>688
僕は逆にUTMは減ってくるんじゃないかと思います。
LAN内部が安全ではないから全てのデータはクラウドにて管理するようになるかと思います。
オンプレ側はインターネットへの通信とクラウドへの通信さえあればいいように変わっていくのではないかと思います。 awsだってたまに止まるけど
まぁ仕方ないよねで済ましてる
こういうのでいいんだよ >>689
ゼロトラスト売る側だけどこれが正解
FWやUTMで守っていたものは、今後は各PCやサーバ単位でEDR入れて守るようになる
データもオンプレに置くよりクラウドに置いて Azure AD で認証する方が安全 >>694
情報系システムはそうなんだけど、基幹系は、、、ね? >>695
時間の問題かなあって思ってる
銀行ですら勘定系をAzureに持ってって、お国もクラウドファースト言ってGSS持ってく算段してる時代だもの
Fortigate とかこの手のアプライアンス触って飯食ってる仕事の給料が下がることはあっても上がることはないよねー >>694
将来はそうなるとは思うんだけど…。
現状、EDR入らないネットワーク機器やら複合機とかIoT機器の脆弱性はどう防御できる筋書きでお話してるんかなぁ…。
そのへんがまず突っ込まれると思うんだけんど、どう詰めてますか?
恥ずかしい質問かもね。すまん EDRって感染した後の挙動を止める事後対応じゃないのか?
なんかイマイチパッとしないように見えるけど進んでいる技術なのか? 挙動とかを監視してる分、従来のパターンファイルで引っ掛けるだけのアンチウイルスよりは進んでると言えるんじゃない? >>698
凄く初歩的なところで言うと、アプライアンスでどうにかなるもんじゃなくて脆弱性守るのってパッチ当てるしかないからね
Fortigate の脆弱性守ってくれるのは誰?ってなるじゃん
まあ、そこら辺の機器だと基本は SIEM/SOAR の領域になるかね >>698
IoTだとAWS IoT Device Defenderというクラウドの監視サービスがあるようです。 >>701
そーゆーお話だとまだEDRだけは難しいのかなぁ
セキュリティ機器はパッチ適用は当然として。社内に転がってる全IoT機器をこまめにアップデートするのは多くの会社で現実的ではないしね。
UTMのIPSパターンファインで、いろんなIoT機器の脆弱性を突く通信があった場合検知してくれるしね >>699
ファイルそのものは検出しなくてもランサムウェアのプロセスを検知して暗号化実行をブロックしたりするかと > EDR >>703
社内に転がってるIoT機器が外から自由に突かれるってどういうアーキテクチャなん?
根本から色々理解が浅い気がすんだが 外から自由に突かれるって話はどこから出てきたんだろう・・・ >>706
ん?実装箇所がアプライアンスなのか組み込みLinuxのFirewallかはともかくとして、
ゼロトラストはわざわざ他所からの通信許可しておくことを推奨してるわけじゃないぞ 要はUTM業者の飯の種としてはしばらく必要ってことでしょ
カメラとかのIoT機器はONU時点で別として社内LANには物理的に入らない設計の要求増えそう
複合機はインターネット出なくてもいいよなってなったり そもそも上司へのゼロトラストなんて何10年も前から実践している httpsの通信が主流なのに、アンチウイルスできます!とか大爆笑。どうやってるんですかね? >>713
ディープインスペクションでhttpsでもアンチウイルスは効くだろ
パフォーマンスは知らん >>713
これって常駐してるアンチUTMの人だから、ほっといた方がいい UTM でわざわざアンチウィルスやる意味ってもう無いだろ 初心者で恐縮なのですが、
以下のサイトのとおり、fortigate+楽天ひかり回線で、ipv4 over ipv6接続をしたいです。
機種選定でおすすめがあれば教えて頂けないでしょうか。(中古でコスパ良だと助かります)
https://naitwo2.hateblo.jp/entry/FortiGate-DS-Lite 性能の指標が無いと選べなくない?
OSを7系に上げなくて良ければ家庭用ならば50Eくらいで十分じゃないかな?
ライセンスが無いと普通はOS上げられないしシグネチャーも受け取れない
ちょっと高機能なルーターになっちゃいますが 6.4.9 でったんだねー
でも、6.4.8 が入ってるけど
6.4.9 への有効なアップグレードパスがあれへんってメッセージでとるわ >>719
中間パス無しで一回でアップグレード出来る場合もそう出る気がする
気になるならUpgrade Path Toolで調べれば確実だよ 以下サイトを参考に、
fortigate60E(ver7.0.2)を利用したDS-Liteのインターネット接続を構築しています。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-fixed-ip_fos702.pdf
インターネットアクセス確認まではOKとなっているのですが、
iphone(×3台)が接続できない事象が発生しています。
他のwinPC端末や、google機器や、alexa機器などはインターネット接続が出来ているのですが...
iphoneの通信をパスする設定等で思いつくものはありますでしょうか。 100Dです。通信量が増えるとダッシュボードのCPU使用率が1コアだけ100%に張り付くんですけど原因や調査方法がわかる方いますか?他の3コアは25%ぐらいで負荷が偏り過ぎてます。。 >>722
PCと同じような挙動なので特におかしくないんじゃないかな >>721
OKとNGは具体的に書かないと誰もわからない
>>722
100Dは実コア2つだからただの使いすぎじゃない? >>724
iphoneだけが、インターネットに接続出来ないという事象になります。
インターネットアクセスOK⇒windowsPCやAlexaやgoogle機器
インターネットアクセスNG⇒iphoneのみ
※構成
ONU⇔fortigate⇔無線AP⇔クライアント端末群 >>725
デバイスインベントリにiphoneはいるか?
いるのならiphoneをwifiに継いだ状態で他の機器(Windowsとか)には接続できるか?
そのiphoneのIPはポリシーに入っているか?
対象ポリシーのログは確認しているか?
他のポリシー(暗黙等)、UTMポリシーでDropしていないか?
それにiphone使ってないから何とも言えないけどPingとかlookup出来るアプリってないの?
ヒントがおおざっぱ過ぎてエスパーでないと回答に困るな。 iCloud プライベートリレー とかそのへんかな。
うちのやつのログに何か記録されていたような覚えがあるが気にしてなかった。 プロキシモードとフローモードのどっちをみんな使っているの?
10MB以上検査出来ないならフローモードの方がマシだと思うんだがプロキシモードの最大値を変えてるのか? >>728
エスパーだと先に気になるのはMAC randomizationの方かな。 >>725
エスパーするとiPhoneが機内モードになってるんじゃないかな >>725
なんちゃってエスパーだけどiPhoneのアドレスを固定にすると直るんじゃないかな。 エスパーの皆さま情報不足ですいません。
iosの設定をいじったらインターネットに繋がるようになりました。ありがとうございました。
ただ、windowsはv6で接続出来ているのですが、
iphoneのみv4接続しかできない事象にハマりました。
iphoneのネットワークをみると、v6のアドレス(DNS含む)は貰えてるのですが、結局未解決です… そもそもiphoneからv6アドレスにpingが通らない… 構成図も情報も殆どなくて困ってますって話しかしないなら解決はしなさそうだね >>736
fortigateーAPーwin端末やiphone
AP接続ポート⇆WANポートは、
anyで許可ポリシー入れてます。
iphoneだけv6が見えないんですよね
再度ポリシー見直してみます。 >>734
無線APのせいじゃないの?
それにしてもほんっと情報出さないねw AP接続ポート、WANポート間がAnyってやばくねw FWって1000個ぐらい拒否IPアドレス設定しても負荷大丈夫? そんくらいじゃ問題ないけど良く来る所はマスクで締めた方が良いし、GioIPで閉めるのも考慮した方が良いと思う。 ライセンスの期限が25年1月までのものがあるんだが
同一モデルで今年ライセンス切れるやつがあって
期限長い方の権利でファーム取得して
期限切れのモデルに入れるとかできるのかな。
ファームに日付埋め込まれてて照合でダメって言われるやつかな? ファーム(OS)の更新は可能
シグネチャーの更新やWebフィルタは利用不可だよ エスパーの皆様
FortiGate transparent modeについて質問させて下さい。
transparent modeでは、L2として動作するのでルーティングは出来ない認識でいます。
そこで質問なのですが、transparent modeでもCLIでStatic route 設定可能なようなのですが、
transparent modeで、Static route の使い道が分からず・・
PC(192.168.1.1)から1.1.1.1に通信させたい場合、transparent modeで実現できるかをご教示頂きたく。
なお、PCに設定しているゲートウエイは、192.168.1.254で、PCにスタティックルート設定はなしが条件となります。
.1 .10 192.168.1.254/24
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32 すみません、構成図がずれてました・・・
.1 .254
PC--------FG---------RT1
|
| 192.168.1.253/24
RT2
| 1.1.1.1/32 ずれちゃう・・・
RT1 192.168.1.254/24
RT2 192.168.1.253/24
RT2 1.1.1.1/32(loopback)
です。。連投すみません。 Transparentモード使った事ないから知らんけど(じゃぁ答えるなって言われそうやけど)
普通に考えるとそれはFortigate自信がip通信する際に参照するルーティングテーブルじゃないの?
fortigateまたぐL2通信に関係無いやろ? ルーター間が通信できていればポリシーが許していれば通信可能ですよ
FGTのルーティングは他の人が書いている様に管理用
普通の環境だとFGTがインターネットに出られないとシグネチャーが更新できないからデフォルトルートを設定するよ 必要な設定をなしが条件となりますって言われても…
エスパーの皆様って煽りもやめたほうがいいよ。 >>747
他の方が回答出しちゃってますが
試しに構成を作ってみました。
RT1はFGTのWAN側でRT2はLAN側のポート接続ですよね?
RT1に1.1.1.1向けのルーティングがあれば繋がりますね。
また、FGTのルーティングをRT2向け、PCのデフォルトGWをFGTしてもPCから1.1.1.1繋がらないので、他の方がおっしゃってる通りFGTのルーティングはFGT本体の通信用ですね。 >>756
求めいていた回答です。
PCでFortigateをゲートウエイにしても1.1.1.1に繋がらないのですね。
トランスペアレントの場合、完全にFrotigate自身のルーティングであること、理解できました。
アザマス。 少し質問させたください。
少し特殊な環境での構成になるのですが、
WAN接続の無いfortigateのLANポート(192.168.0.1)に、
WAN接続のあるRT@(192.168.0.11)と、
同じくWAN接続のあるRTA(192.168.0.12)が接続されています。
fortigateのデフォルトルートはRT@に向いており、
fortigate自身のDNSやfortiguard等の通信を含め、全てRT@経由でWANに抜けて行きます。
そこまではいいのですが、
RTAではRTAのWAN(pppoe)に外部から着信したhttp,https,icmpのパケットを
静的NAPTでfortigate(192.168.0.1)に転送するように設定されています。
しかしこのままでは、fortigateは返信パケットをデフォルトルートに従いRT@(192.168.0.11)に送信してしまいます。
何とかしてfortigateから発信する一部のプロトコル、ポートを持った通信をデフォルトルート以外に転送することは可能でしょうか。
PBRで色々試してみましたが上手くいきません。 >>758
SD-LAN?として、LAN側インターフェイスをsd-wanインターフェイスにぶちこんで。
sdwanルールで書くとかどーお? >>758
Fortigateというより一般的な戻りルートの問題なので
この場合RT①と②では一般的な静的NAPT(Fortigate LAN1に着信するパケットは送信元IPがグローバルIP)ではなく
Ciscoでいう双方向NAT(Fortigate LAN1に着信するパケットは送信元IPが192.168.0.11や12になる)を使うしかないと思います。 回答ありがとうございます
>>759
FortiManagerに属してるのでVDOM使うと別途ライセンスがいるのです・・・
>>760
試してみましたがPBRと同様に設定したルール道理には動けませんでした。
>>761
たしかにNATを使ったほうが楽なのかもしれません。
動的NATか、逆側IPマスカレードで試してみます。 >>758
192.168.0.0にもう一個インターフェイスだしてSD-WANかな。
RT2のNAPT先をもう一つのインターフェイスにすれば多分RT2に帰ってくれる。
FortiManagerは触ったことないから知らん。 初心者ですがlonkmonitorについて質問です
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/252877/remote-link-failover
上記構成で記載の設定+左のfortigateを高プライオリティ、overrideを設定した場合ですが、障害箇所が復旧しているかに関わらずpingserver-flip-timeout 分経過すれば切り戻ってしまう認識ですが、それを止める設定は何かあるでしょうか
flip-timeout が経過した際にプライマリ選定を行い、左がプライマリに戻ってしまうため通信断が起きるのを避けたいです。 >>764
flip-timeoutを最大値2147483647min=4083年にしておけばとりあえず自動で切り戻らなくなるのでは。使ったことないけど。
切り戻したいタイミングで手動で1にして、切り戻してからまた最大値にする運用すれば目的に近いということで。。。 >>765
回答ありがとうございます。
時間長くすればその間は切り戻らないのはそうなのですが、復旧してるなら最短で切り戻したいということでして、、
あまり資料も見つからず、使われていない設定なのですかね ■ このスレッドは過去ログ倉庫に格納されています