Fortigateについて語ろう5
レス数が1000を超えています。これ以上書き込みはできません。
FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。 >>943
信用されていないだけ?
過去のやり取りで信頼感0なんだろう 皆さん
色々とアドバイス頂きましてありがとうございます。
弊職はサポート側の業務もしており、
Fortinet社へ問い合わせすることも可能ではありますが、ドキュメントに記載があり、解釈が不安な点はラボでも検証をしてはいるのですが、自分で仕様だと言い切る自信を持てず悩んでおりました。
検証もしてはおりますので、もう少し自分に自信をもてるように、精進していこうと思います。 upgrade pathのプルダウン何にも選べないんだけど俺だけ? fortigateのトラフィックシェーピングって制度は結構いい加減なんですかね? FGTのQOSはオマケみたいなものと捉えています。
ルータじゃなくて、しょせんFWですので。
なにを勘違いしてか、FGTでOQS実装されているからといって、Ciscoルータみたいにがっつり
使えると思われてしまうのが、しんどいですわ。 FGTでQOSの精度を求められるって、どんな案件なんだ?モデル何入れるん? QoSの精度とか求めるならCiscoの高いルータ(ASR1k以上とか?)使ってくださいですかね 細い閉域網を使うためにQoS云々って話はいまだにありますね
信頼性云々で閉域網が好まれることはあるけど、逼迫して特定のトラフィクだけ救えても
どのみち業務に支障がでるんですよね
ご家庭用でも10Gbpsが来てる時代にQoSって必要なんかなとは思います Fortigateはおまけ機能の詰め合わせで成ってる製品 使えない機能ならつけなくて結構
宣伝だけして使えませんって詐欺じゃん 何千人もいるのにベストエフォート1Gbp一本しか引かないでいつも回線パンパンなんだけど、シェーピングすればうまくいくって信じ込んでうまくいかなくて精度が悪いフォーティのせいみたいなのは何度も見た 法人だと回線を簡単には変えられないだろうから難しいよね
帯域保証になると値段が跳ね上がるしなぁ ベストエフォート1G一本しか引かないって見た事ないなぁ
そんな契約回線を複数企業で使うプランあると思えないし単体企業だったとしてもそんな1G回線が逼迫するほど色んなサービス引くかね、、、 ギャランティ100Mbpsで足りなくて困ってるからベストエフォート1Gbps敷設してそっちに逃がす的なのは時々聞くかな
そのギャランティ要らんやろ、とは思う
>>963
使えるけど利用者が高いルータと同等の精度を出せるって思ってるからな
大体、普通の通信って増減が都度あるから精度にこだわっても仕方ないんだけど スループットの考え方について質問させてください。
例えばFGT-60Fなのですが、ファイアウォールスループット(1518 udp) 10Gbpsとデータシートに記載されてます。
60Fって、インターフェイスが1G×10ポート搭載であり、10Gのポートを搭載してないです。
この10Gbpsというのは、1G×10ポートでLAGを組んで測定してると推測してるのですが、考え方はあってますでしょうか?
また、上り・下りの両方合計で10Gbpsと理解しています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
お客様環境でアップリンク(インターネット回線収容)を1G×1ポートで接続した場合は、Maxで1Gbpsしか出ないと理解しております。
(契約してる回線帯域が、仮に100Mbpsでしたら、MAX100Mbps) LAGってリンクアグリゲーション?
リンクアグリゲーションじゃなくても
各ポートが10個の独立したゾーンであれば
それぞれのポート(ゾーン)間の通信の送信と受信を足して最大で10Gbpsまで出るスペックですよ。
ってことじゃないかなぁ?
その類のスペックは実運用にはほぼ参考にならんと思うけど。 >>968
1ポートが1Gbpsなら、全二重通信すると2Gbps換算になるため5ポートかと思います。 ファイアーウォールの処理速度とインターフェースの転送速度は別物 なお実際は10Gbpsなんてただの理論値であって、精々その1/5ぐらい出れば良いぐらい >969
ありがとうございます。
リンクアグリゲーションを想定していました。
データシートのスループット表記は、上り・下り合計で最大10Gbpsであると理解しました。
>970
ありがとうございます。理解できました。 これは、大事かな。
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220025.html 外部に管理インターフェイスなんて公開しないから問題ないだろ?
社内にスーパーハッカーいるなら知らんけど。 公開するつもりはなくとも公開していたとかはあるだろ。
デフォルトは、adminへのip制限はいってないでしょ。 >>976
そんな奴は今回の脆弱性無くても大問題だろww SSL-VPNで443 開けててバイパスされるとやだな。 >>978
SSL-VPNのhttpsページは管理インターフェースではないので今回の対象ではないよ これ、うちでもざわついてるわ
FortiSwitchManager って、FortiSwitchとFortiManagerを間違えてるとおもったけど、
こんな製品あるんだね・・・・
おびっくり。 SD-WANについて、相談です。
FortiGateは、デフォルトだと出力IFと入力IFが異なる非対称通信はDropしますが、
SD-WANゾーンで束ねているIFに関しても、同じ動作になるのでしょうかね。
SD-WANで収容しているIFがインターネット回線であれば、BGPの世界でISPごとに広報している
グローバルIPが違うので、出力/入力IFが異なるケースは基本ないと考えています。
しかし、広域イーサネットなどの回線を収容していて、対抗のFortiGate(DC側)からインターネットに
抜けさせている構成の場合は、DC側FortiGateのルーテイング次第で非対称にもなりえるので、
どうなるか、気になりました。 DC側Fortiのルーティングで非対称になってるんだったら非対称になるから落とされるだけの話では
相手側が非対称ルーティングに対する対策をしてないんだったらこっちからどうこうする事は出来ない気がするけど
対抗の問題であってこっちの通信に関しては非対称にはならないと思うよ 7.0 と7.2系は、7.0.8と7.2.2が出てるね。 >>983
DC側のFGTはセッションテーブルみて、戻すので大丈夫でした!!
ありがとうございました! タイムサーバーとNTP同期差せると1分遅れるてる。治らん コンソールでntp status 確認してちゃんと同期取れてるなら他にする事はないかなー
あとntpってズレを徐々にあわせてくからひょっとしたらしばらくほっとくとそのうち合うかもしれないと雑な回答してみる 何をどう設定してどう確認したとか書かないからただの日記なんですよね すまぬ。
自然になおってた
機種 200E 2台と100F
いずれも 7.0.6
タイムサーバー fortinet
ntpサーバーとして機能
時刻同期間隔 60分
システム>設定 で表示される時刻
1分遅れ
なので
1.タイムサーバーをプロバイダにかえる
(同期間隔を1分にも変更)
→かわらず
2.時刻同期をやめてマニュアル設定に変更
し正しい時刻をいれる
→表示は1分遅れ変わらず。
3.コマンドで時刻設定
→システム>設定の表示は1分遅れかわらず。
時刻入力枠に正しい時刻が初期値で入っていた
2と3を何回か繰り返したが、変わらずあきらめ
2日後にみたら システム>設定
の表示は正しい時刻になってた。 これとciscoUmbrellaとどっちがいいのか教えてください
というかそもそも比較する対象なのかどうかもよく分らんです
端末数10台程度の零細企業です というかそんな小規模とすら呼べないレベルのNWにCiscoのお高い企業向けNWサービスとかアプライアンス導入する意味が分からない
知識もない電気店の店員に騙されて高い商品かわされるジジババじゃないんだから いやいや
大手の取引先からのセキュリティ監査に引っかかってUTMに準ずるものの設置を求められてるのです
これだけじゃなくてドキュメント類のの不備とか他にも指摘事項がてんこ盛りでてんやわんやです
「おたくの規模は関係ない」という認識で迫られてるので参ってます そら規模は関係ないわな
どこの何使うかは費用との相談じゃない? >>996
そこそこ知識がある専任入れたほうがいいかもしれんね、fw入れるだけですまなそうだし。 当然のリテラシーを求められて参ってるだの困ってるだの言うレベルの相手と良く取引するなぁその相手先 きちんと、選任の担当者を当てた方が良いでしょうね。
要件もわかりませんし。
要件に合わせた機器選定や設定投入などはお金がかかる話ですし、運用はそれとは別です。
その辺む含めた対策を要求されてるんだと思います
次スレ↓
https://mao.5ch.net/test/read.cgi/network/1667352872/ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 850日 10時間 20分 16秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。