■ このスレッドは過去ログ倉庫に格納されています
Fortigateについて語ろう5
- 1 :anonymous@fusianasan:2020/07/05(日) 00:58:45 ID:???.net
- FortiGateシリーズは、ネットワーク全体を総合的に保護するハードウェアベースの
ネットワーク・プロテクション・ゲートウェイ(NPG)です。
Fortinet社独自開発のABACASTM(Accelerated Behavior and Content Analysis System)
テクノロジと独自のASIC(FortiAsic)ベースアーキテクチャを採用した、次世代
ネットワークプロテクション・アプライアンスです。
ファイアウォール、不正侵入、VPN、トラフィックシェーピングなどネットワークレベル
のサービスに加え、ウィルスプロテクションやコンテンツフィルタリングなどの
アプリケーションレベルのサービス機能も搭載しており、効果的にネットワークを保護します。
FortiGateは、4種類のICSA認定取得をしています。
アンチウイルス、ファイアウォール、IPSec、IDS
セールスポイントは非常に魅力的ですばらしいのですが、
非常に個性的な製品ですので、皆さん助け合って安定稼働に努めましょう。
フォーティネットジャパン
http://www.fortinet.co.jp/
FortiProtect Center
http://www.fortinet.com/FortiProtectCenter/
質問する際には必ずFortiGateの機種、FortiOSのバージョン、 ネットワーク構成・環境を報告してください。
- 490 :anonymous@fusianasan:2021/10/02(土) 00:38:32.21 ID:???.net
- >>488
FortiのSSLインスペクション用の証明書は外部から買えないよ
サイト名が*(全てのサイト)なんてサーバ証明書を発行する証明機関なんかないから
- 491 :487:2021/10/02(土) 02:16:12.35 ID:???.net
- >>489
その二つはあなたの問題とは関係ないので読む必要ありません。
Let's Encrypt から発行されたサーバ証明書を
Fortigate の certificate-inspection が信用しなくなったという問題で、
以前はつながっていたサイトが10月1日から見られなくなったという話です。
- 492 :anonymous@fusianasan:2021/10/02(土) 02:20:41.20 ID:???.net
- deep-inspectionでも出ますね
- 493 :anonymous@fusianasan:2021/10/05(火) 02:41:03.14 ID:???.net
- >>467
遅レスだが地球に穴あけて反対側に行く話を思い出したw
- 494 :anonymous@fusianasan:2021/10/06(水) 08:50:27.31 ID:???.net
- IPSの挙動テストを評価版でしたいのだけど
"Web.Server.Password.Files.Access"
のシグネチャがない。
他にテストする方法ないだろうか?
- 495 :anonymous@fusianasan:2021/10/13(水) 20:32:45.99 ID:mb7TIAK8.net
- ddnsサーバって今障害が出てます?
ネットワーク - dns - fortiguard DDNS
をオンにすると、通常はサーバ欄にfortiddns.comなどが選べるはずなんですが、「DDNSサーバ情報をfortigurardサービスから取得できません」と表示され、サーバ欄が空欄となっています
- 496 :>>484:2021/10/15(金) 23:29:31.05 ID:???.net
- 証明書エラー、Foritgate40Fのファームを最新にしたら起こらなくなりました。
プロキシベースにしてcustom_deep_inspectionをONにするとニコニコ生放送・Youtubeが
見れなくなっていましたが、こちらは当該アドレスをSSLインスペクションから除外、で対応できました
- 497 :>>496:2021/10/27(水) 00:34:38.44 ID:???.net
- Fortigate40Fの証明書問題、動画サイトはSSL除外で表示されるようになってましたが
他サイトでエラー画面が出てきていました。サポセンに相談してみたところ、
>期限切れのルートCAへのフォールバックを防ぐ
という対処を教えていただき、CLIで実行したところうまく行きました。
- 498 :>>496:2021/10/27(水) 00:36:14.06 ID:???.net
- 公開されているブログだからいいのかな?
https://www.fortinet.com/jp/blog/psirt-blogs/fortinet-and-expiring-lets-encrypt-certificates
ここの人たちはみんな既に対策してると思いますが一応
- 499 :anonymous@fusianasan:2021/10/27(水) 01:04:39.18 ID:???.net
- >>498
そこを提示するのは問題ないと思う
原因についてはCA証明書のクロスサインについて別に調べて理解すると原因の問題について理解しやすかった
原因の理解なんてしなくても対処は出来るけどね
- 500 :anonymous@fusianasan:2021/10/31(日) 00:07:23.08 ID:???.net
- 質問です。
fg50e、v6.29
wan1はマンションフリーインターネット向け
wan2は上位に固定ipを持つルータを配置し、ルータからdnatでwan2向けに転送しています。
wan2からforticlientにてssl-vpnを利用したいのですが、dgwがwan1に向いているため接続できず、一時的にdgwをwan2に向けることでvpnできることを確認しました。
dgwがwan1の状態で、wan2から来たグローバルipに対してはgwをwan2に向けたくポリシールートを利用しましたがうまく行きません。(以下切り分けのためまずは広めに設定しています)
※着信インターフェイスwan1、送信元アドレスall、宛先アドレスall、アクション転送先インターフェイスwan2
誤っている点、確認すべき点等あればアドバイスいただけますでしょうか。
- 501 :anonymous@fusianasan:2021/10/31(日) 04:47:41.91 ID:???.net
- >>500
デフォルトルート向けて動いた状態でデフォルトルート戻してスタティックルート書けば動きそうな気がするんだけど。
- 502 :anonymous@fusianasan:2021/10/31(日) 09:26:49.71 ID:???.net
- ポリシールートで実現出来るんかなぁ?使ったことないから知らんけど無理な気がする。
wan2の上位のルーターで、wan2への通信をソースnapt(ipマスカレード)してやればFortigateは何もしなくて良くて一番簡単やが。
- 503 :anonymous@fusianasan:2021/10/31(日) 09:28:02.17 ID:???.net
- そういうのはSDWANのfeature使うんじゃ
- 504 :anonymous:2021/10/31(日) 09:46:44.41 ID:???.net
- VDOMで別けてしまうのが簡単じゃない?
- 505 :anonymous@fusianasan:2021/10/31(日) 11:23:51.05 ID:???.net
- lan側は1個でもvdom別けれるんかのぅ?
- 506 :anonymous@fusianasan:2021/10/31(日) 12:37:30.53 ID:???.net
- ルータのlan側インターフェースでソースnaptする案で解決しました。
ポリシールートでは上手く行かない理由はいまいちわからずですが、、、
みなさま返信ありがとうございました!
>>502
なるほど、ソースipをローカルアドレスに置き換えて固定化するわけですね
ルータのlan側でnapt有効化するだけであっさり解決しました!
>>501
宛先が変動するグローバルipなのでスタティックルートを書くことができず、、、
wan2向けをdgwとしてwan1向けをポリシールートすれば可能であることは確認していましたが
メインのwan1側はできればポリシールートで書きたくないという気持ちがありました。
>>504
最終的にはVDOMでわけることを考えていましたが
経験がなくまずは今の構成での解決方法を考えていました
今後時間のあるときにVDOMにも挑戦します!
- 507 :anonymous@fusianasan:2021/11/03(水) 13:05:45.19 ID:???.net
- 中古ライセンスありのFortiGate50Eを買って、多分初歩的なところで躓いています
どうかお知恵をお貸しください。バージョンFortiOS v6.2.9 build1234 (GA)です。
Explicit Proxy 機能を使おうと思い、プロキシーポリシーから新規作成で
New Proxy Policyを作ろうとしているのですが、必須項目のサービスのエントリ
選択画面で「エントリーなし」とでて、選べません。
エントリを新規作成(例:myproxy1)しても空欄のままです。
ただし、サービスの一覧で見ると上記で作成した新エントリmyproxy1は存在します。
なぜかプロキシーポリシーの新規作成のエントリ選択画面には表示されません。
本来、このエントリ選択で「Web Proxy」または自作の「myproxy1」が選べるはずだと
思うのですが、どこかで誤りがあるのでしょうか。
よろしくお願いいたします。
- 508 :anonymous@fusianasan:2021/11/03(水) 13:38:02.08 ID:???.net
- すみません、自己解決しました。
サービスのエントリにFirewall/Explicit Proxyを選択するオプションがあり
最初からExplicit Proxyのためのサービスとして登録する必要がありました
初期状態ではすべてFirewallになっていたためエントリ画面に出ないだけでした
お騒がせして申し訳ないす
- 509 :anonymous@fusianasan:2021/11/10(水) 16:04:19.20 ID:???.net
- >>143
む。これの現象出た。
ファームバージョンは6.0.12
- 510 :anonymous@fusianasan:2021/11/20(土) 11:49:20.17 ID:fSgAFZMu.net
- FortiGateでtransixのDS-Lite使ってる方居ませんか?
ipv6トンネルのローカルアドレスを固定で設定すると、網側のメンテなどでプレフィックスが変わった時に追従出来ないと思うのですが、知見をお持ちの方がいらっしゃれば教えてください。
- 511 :anonymous@fusianasan:2021/11/20(土) 12:55:42.09 ID:???.net
- Fortigateはガラパゴス規格に弱い
大人しくヤマハかNECのルータ置いとけ
- 512 :anonymous@fusianasan:2021/11/20(土) 21:22:49.01 ID:fSgAFZMu.net
- やっぱりそうですよねー
ヤマハが半導体の影響で入手できなく、模索してました。
- 513 :anonymous@fusianasan:2021/11/20(土) 23:32:26.61 ID:dpAs2h0g.net
- PPPoEもそうだけどセッション保持がしつこくて嫌になる
- 514 :anonymous@fusianasan:2021/11/22(月) 11:57:35.75 ID:???.net
- DS lite使うだけならset autoconf enableじゃあかんの?
- 515 :anonymous@fusianasan:2021/11/22(月) 15:18:47.84 ID:???.net
- https://tadaup.jp/loda/1122151306214218.jpg
つたない図でごめん
この構成でX.X.X.4宛にSSL-VPN接続が出来ていたのに突然接続できなくなっちゃったんだけど何か原因思いつきますか……?
だいぶエスパー頼みになっちゃうんだけど考えられる可能性をば……
- 516 :anonymous@fusianasan:2021/11/22(月) 15:29:05.32 ID:???.net
- すみません
クライアント側のエラー表示はこんな感じでした
Unable to establish the VPN connection. The VPN server may be unreachable. (-14)
- 517 :anonymous@fusianasan:2021/11/22(月) 17:29:56.57 ID:SyGujHDe.net
- >>0514
IPv6アドレスが変わっても、絶対触らずにIPv4通信を継続させたい、という感じです。
- 518 :anonymous@fusianasan:2021/11/22(月) 17:32:31.15 ID:SyGujHDe.net
- >>0516
VPNサーバーが応答なしってエラーなので、機器のサービスが落ちてるか経路上の問題では無いでしょうか。あと、ONUにはIPアドレス無いはず
- 519 :anonymous@fusianasan:2021/11/22(月) 23:05:46.10 ID:???.net
- >>518
ONUと書いてあるけどアルテリアとかのメディコンなんじゃね
それならこの構成も普通に出来る
その場合、単にネットワーク外れてるとかSSL-VPNルータの障害とかな気がする
- 520 :anonymous@fusianasan:2021/11/22(月) 23:30:02.52 ID:???.net
- そもそもグローバルIPは固定の契約なのか??
- 521 :anonymous@fusianasan:2021/11/23(火) 00:02:11.70 ID:???.net
- >>515
下の装置のipアドレス消し忘れてるぞ。特定しました。
- 522 :anonymous@fusianasan:2021/11/23(火) 02:43:53.30 ID:???.net
- >>518
応答なしなのでやっぱりそうですかね……
一応X.X.X.6とX.X.X.5にはpingは届いてます。
>>519
すみません適当でそんな感じの構成だと思って下さい
>>520
固定です……
- 523 :anonymous@fusianasan:2021/11/23(火) 10:46:22.67 ID:???.net
- 6.4.8 きてたんだねー
うちはアップデートした方が良さそう
- 524 :anonymous@fusianasan:2021/11/23(火) 12:53:18.42 ID:???.net
- 6.4.8でLets EncryptのクロスルートCAの問題も解消されてるみたいね
6.2系だと6.2.10で対応されてたみたいだけど
- 525 :anonymous@fusianasan:2021/11/23(火) 13:26:25.98 ID:???.net
- >>517
ちょっと何を言ってるのかよく分からんけど素直に網側のpreferrd lifetimeに従うしか無いんじゃないの?
無瞬断で切替られると思ってる??
- 526 :anonymous@fusianasan:2021/11/23(火) 14:38:20.34 ID:/oGzFb22.net
- >>0525
すんません、変換ミスです
○設定
×絶対
切れるのはいいんですが、都度設定変更は避けたいという感じです。
- 527 :anonymous@fusianasan:2021/11/23(火) 14:58:51.89 ID:???.net
- >>526
いや、だからset autoconf enableじゃダメなん?って言ってんだけど。
設定の意味とか挙動が分かってないのかな。。
- 528 :anonymous@fusianasan:2021/11/23(火) 21:36:18.09 ID:qOHjJAMn.net
- >>0527
autoconf enableって、ipipトンネルのローカルipまで書き換えてくれるのですか?
- 529 :anonymous@fusianasan:2021/11/24(水) 01:32:37.75 ID:???.net
- >>524
やっぱり6.4系の対応の方がまだだったよね・・・
- 530 :anonymous@fusianasan:2021/11/25(木) 00:09:31.91 ID:???.net
- >>528
https://docs.fortinet.com/document/fortigate/6.4.8/cli-reference/7620/config-system-interface
set unique-autoconf-addr enable
IPv6 prefixが変わることはかなり稀だけど
- 531 :anonymous@fusianasan:2021/11/26(金) 18:44:11.51 ID:???.net
- fortigateは半導体不足の影響はないですか?
- 532 :anonymous@fusianasan:2021/11/26(金) 18:53:36.61 ID:???.net
- この状況で影響ありませんって言えるIT機器ベンダがあるなら聞いてみたい
- 533 :anonymous@fusianasan:2021/11/28(日) 22:11:17.20 ID:???.net
- fortiAP,fortiSwitchのエントリーモデル系はもう納期未定と言われた。
- 534 :anonymous@fusianasan:2021/11/30(火) 23:21:26.65 ID:???.net
- >>531
ないアルヨ!
- 535 :anonymous@fusianasan:2021/12/04(土) 05:29:52.55 ID:???.net
- 5chへの書き込みに固定IPで出たくないから、プロキシで書いてるんだけど
最近プロキシ通してるだけで怒られる事多くなってきた
FortiでPPPoEかモデムでLTE終端、SD-WAN通して5ch.net宛だけそこ経由、
他はメインのルータに流そうかなと思うんだけど
1.SD-WANはライセンス切れてても使える
2.SD-WANは性能指標のFW機能の一部(notIPS,SSLインスペクション)に該当する
で合ってますでしょうか
- 536 :anonymous@fusianasan:2021/12/04(土) 16:01:55.06 ID:???.net
- ライセンス残っている60Eをオークションで購入して、初めてFortigateを触ります。
新しい機能を覚えたほうが良いと考え、FortiOS 7.0.2に更新しました。
CLIからトランスペアレントモードに変更して、管理IPv4アドレスを割り当て済みで、
IPv4のインターネットへの通信と、WebからFortigate管理画面へログインできています。
インターネット側のルーターはNEC IX2207で、OCN IPoE (IPv4動的アドレス契約)、
ひかり電話なし、ONU直結、IPv6とIPv4 MAP-Eによるインターネット接続はできています。
PCには、IX2207からIPv6アドレスが割り振られています。
ここに、Fortigate 60Eを入れて、WAN1をIX2201-GE2に、LAN1をPC側につなぎます。
すると、IPv6アドレスがPCに割り振られなくなりました。
Fortigateに、IPv6を使う、WANからLANへRA通知も通す、という設定が必要だと思いますが、
どこをいじればよいか、わかる方教えてください。
- 537 :anonymous@fusianasan:2021/12/04(土) 16:16:10.59 ID:???.net
- よく知らんけど、NECからFortigateにprefix delegationとやらでFortigateのlan側用のipv6セグメントを移譲してやらなアカンて事かな?
ipv6はムズいね。ワシには無理だ。
- 538 :anonymous@fusianasan:2021/12/04(土) 16:18:33.73 ID:???.net
- あ、光電話なしだからipv6プレフィックスは/64しかもらえないのか?
じゃぁprefix delegationじゃなくてfortigateでnd proxyしてやりゃいいのか?
- 539 :536:2021/12/04(土) 16:42:18.23 ID:???.net
- >>538
NECのIXルーターの設定は、 ttps://jpn.nec.com/univerge/ix/Support/ipv6/OCN-VC/index.html
の、「設定例1 OCNバーチャルコネクト(動的IP)の設定 - IPv6 RA」を使ったのですが、
interface GigaEthernet1.0
ipv6 nd ra enable
ipv6 nd ra other-config-flag
とあるので、IXルーターがすでにNDプロキシ使っているようです。
YouTubeであきみちが、NDプロキシは1回しか使えないって言っていたので、ダメなのかなと。
- 540 :anonymous@fusianasan:2021/12/04(土) 16:48:15.52 ID:???.net
- ググれば腐るほど出てくると思うけど……
そこを見ても設定できないのか
そもそもIPoE用のトンネルも設定したか
NDプロキシは有効化してるか
ND通知をポリシーで許可してるかとか色々情報が足りん
- 541 :536:2021/12/04(土) 17:33:08.77 ID:???.net
- ググっても「Fortigateをルーターとして使用+OCN MAP-E IPv4固定」ばかりで、
トランスペアレントモードで、すでに上位のルーターがND-Proxyとして動いている事例が
見つけられなかったのです。
MAP-E 動的IPなので、Fortigateをルーターとして使用しない前提で環境を作っています。
中古Fortigateなので故障したときは、L2SWとIXルーターを直結させて、
UTM機能はなくなるけれど、インターネット接続は維持できる環境を目指しています。
IPv6で、GoogleやMicrosoftのサービスとの通信速度が上がるので、
トランスペアレント+IPv6が必要です。
>ND通知をポリシーで許可
は探してみます。
NDプロキシ有効にして2段になっても、外部には迷惑はかけないだろうから、やってみます。
>そもそもIPoE用のトンネルも設定したか
は、わかっていないので、多分設定していません。
- 542 :anonymous@fusianasan:2021/12/04(土) 17:43:13.40 ID:???.net
- ライセンス切れのFortigateを使う神経が理解できんな
ファームウェアの更新できないし穴が開いたら開きっぱなしの危険物でしかない
そこらの市販WiFiルーターの方がマシ
頼むからやめてくれ
サポート終了したWindowsを使い続けるのは叩かれるのに碌にファームウェアも更新されないネットワーク機器を使い続けるのは叩かれないのは理解し難い
- 543 :anonymous@fusianasan:2021/12/04(土) 17:46:05.82 ID:???.net
- やめてくれも何もお前はどこの誰目線で話してんだよ(笑)
536の勝手だろうが
- 544 :anonymous@fusianasan:2021/12/04(土) 18:21:59.50 ID:???.net
- fortigate納期1年待ちってマジ?
- 545 :536:2021/12/04(土) 18:30:04.26 ID:???.net
- >>542
中古購入だけど、最初に書き込んだ通り、
ライセンス残っているものを選んだので、その批判は該当しません。
ライセンスが切れたらまた別の個体を探します。
そもそも、AntiVirusやWebFilterが使いたくて購入する製品なのに、
ライセンス切れの個体を使っていると思い込む人がいるのは、不思議ですね。
- 546 :anonymous@fusianasan:2021/12/04(土) 19:27:45.99 ID:???.net
- >>542
なんだ?あんたwwww
人にもの頼む態度じゃねーなwww
- 547 :anonymous@fusianasan:2021/12/04(土) 21:17:56.30 ID:???.net
- >>541
トランスペアレントで動かしてるなら、とりあえずIPv6のファイアウォールポリシー(ユニキャストとマルチキャスト)を許可するポリシー書いてみればいいかと
- 548 :anonymous@fusianasan:2021/12/04(土) 21:33:41.42 ID:???.net
- >>541
トランスペアレントモードじゃなくてバーチャルワイヤーペアではダメ?
ルーティングやIPv6配布等は上位ルータで、通信制御とUTMだけはインラインでFortigateが行う、という構成がとれるはず
- 549 :anonymous@fusianasan:2021/12/04(土) 23:17:39.33 ID:???.net
- Fortigateの証明書でcustom_deep_inspectionしてるけど、いつも見れてるウェブサイトがなぜか急に
「証明書の問題があり、セキュリティ的に危ないです!」って出てくるときがある。何度かリロードすると
アクセスできるようになるんだけど、これって侵入されたりとかしてるのかな
- 550 :anonymous@fusianasan:2021/12/05(日) 00:32:41.88 ID:???.net
- 侵入wwwwwww
- 551 :anonymous@fusianasan:2021/12/05(日) 00:39:51.72 ID:???.net
- されてるかもしれないしされてないかもしれない
とりあえずウイルススキャンしよう
- 552 :anonymous@fusianasan:2021/12/05(日) 00:47:06.55 ID:???.net
- FortiGateいれてるのにログは見ないんかね
- 553 :>>549:2021/12/05(日) 01:31:04.42 ID:???.net
- >>551
CylanceProtectは何も検知してないみたいです
>>552
証明書のエラーログってどこでみたらいいですか?証明書のエラーが出た時と、
そうでない時とで比較できたらいいんですが
- 554 :anonymous@fusianasan:2021/12/05(日) 04:43:03.55 ID:???.net
- FortiGateの差し替えメッセージで出てる証明書エラーとかじゃないの?
そのFGを管理してる人に訊いたほうが良いかと
- 555 :536:2021/12/05(日) 11:32:34.72 ID:???.net
- >>547
IPv6ファイアウォールポリシーですね。
ログインしているノートPCの解像度低くて、メニュー構成が頭に入らず迷子になっています。
WebGUIから設定できますか、CLIでのコマンド投入必須ですか。
初期化してCLIでトランスペアレント モードを有効にした後は、
標準ではすべてのパケットを通すようになっているかと思うのですが、
IPv6のユニキャストやマルチキャストを落とすようになっているのでしょうか。
大きい画面を外付けして、あとでIPv6許可のポリシーのやりかた、探してみます。
>>548
バーチャルワイヤー、初めて聞きました。今のところは、
VDOMもVLANも必要ないので、よさそうです。
トランスペアレントモードでのIPv6しばらくやってみてダメそうだったら、
バーチャルワイヤーを試してみます。
- 556 :anonymous@fusianasan:2021/12/05(日) 12:31:06.31 ID:???.net
- Certificate-inspectionでは、httpsのAnti-Virusができないことは確認できました。
ttps://www.eicar.org/?page_id=3950 からeicar.comをダウンロードすると、
Fortigateのブロック画面は出ずに、WindowsDefenderで検出されました。
逆に、Certificate-inspectionでも、httpならばAnti-Virusが使えることを示したいのですが、
httpで提供されているeicar.comが見つけられません。どなたかご存じないでしょうか。
ローカルにhttpサーバーを立ち上げて、DMZにおくしかないでしょうか。
今ほとんどのサイトがhttpsで提供されているので、deep-inspectionが必要だということを、
実例を見せて示したいです。
- 557 :anonymous@fusianasan:2021/12/05(日) 13:03:32.19 ID:???.net
- >>555
Admin guideを読みましょう
https://docs.fortinet.com/product/fortigate/7.0
>標準ではすべてのパケットを通すようになっているかと思うのですが
いや、それだったらセキュリティ装置としての意味がないかと
ファイアウォールポリシー書いて無ければ全部落とすのがデフォルトです
- 558 :anonymous@fusianasan:2021/12/05(日) 14:12:26.13 ID:???.net
- >>555
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-jpne-v6plus.pdf
ここの2-7以降読んでCLIで確認しなされ
画面小っちゃくてGUIじゃ見づらいならいい機会だしCLIで設定できるようになっとくのが便利
コンフィグみて何も無ければ暗黙で全部Denyしてるのは当然
>>557の言う通りホワイトリスト形式が基本なのは常識
- 559 :anonymous@fusianasan:2021/12/05(日) 14:36:24.25 ID:???.net
- >>556
現在から将来までの全従業員分の端末へ証明書のインストールもおまえがやってくれる料金込みで請け負ってる?
- 560 :anonymous@fusianasan:2021/12/05(日) 15:07:59.05 ID:???.net
- そんなん知らんがな
手作業でてめぇでやれって話だろそんなんセキュリティ構築担当のする話ではないわ
手作業じゃ無理です〜ってならADでもなんでも使えそしてそれは別単価でのお話ですわ
- 561 :.:2021/12/05(日) 17:28:37.89 ID:???.net
- カスペルスキー eicar
でググれ
- 562 :anonymous@fusianasan:2021/12/05(日) 18:46:20.33 ID:???.net
- >>561
ttp://www.virusanalyst.com/eicar.zip
が見つかった。ありがとう。
559は何言っているかよくわからない。
- 563 :anonymous@fusianasan:2021/12/05(日) 19:52:56.37 ID:???.net
- >>562
Deep Inspection使う場合は普通はプライベートCA建てたり端末へのCA証明書インストールなどの構築/運用/作業が必要ですが、
そこは検討されていますかってことじゃないでしょうか
- 564 :anonymous@fusianasan:2021/12/05(日) 21:28:01.42 ID:???.net
- そんな質問スルーでええやろ。
- 565 :anonymous@fusianasan:2021/12/05(日) 21:52:14.88 ID:???.net
- ビルトインの証明書でのdeep-inspectionの提案はしていないと思いたい
- 566 :anonymous@fusianasan:2021/12/06(月) 05:35:06.47 ID:???.net
- >>565
どうしてですか?
- 567 :anonymous@fusianasan:2021/12/06(月) 09:39:47.79 ID:???.net
- >>566
ビルトインの証明書はFortiGateのシリアル番号に紐付いていてコンフィグとして引き継げません
FortiGate交換時に端末へのCA証明書の再インストールが発生します
- 568 :anonymous@fusianasan:2021/12/06(月) 11:44:51.53 ID:???.net
- >>567
なるほどありがとうございます。
- 569 :anonymous@fusianasan:2021/12/06(月) 21:36:11.76 ID:???.net
- 最近Deep-inspectionの話多いけど60Fで性能足りるの?
このスレの上の方だと300以上は要るとか言われてるよね
- 570 :anonymous@fusianasan:2021/12/07(火) 21:55:36.84 ID:n+miFD4E.net
- >>567
それほんとですか?
リストアで戻せばもとシリアルナンバーの自己証明書が戻る様な気がするけど
- 571 :anonymous@fusianasan:2021/12/07(火) 22:31:56.06 ID:???.net
- セキュリティ構築たんとーさんはだいぶ呑気なもんだな。利便性や運用しらん!セキュリティ高いのが正義!そんな投げっぱな構築やってると顧客減るけど大丈夫?
UTMなんて一番最初に予算削られるとこですよ
- 572 :anonymous@fusianasan:2021/12/07(火) 22:35:35.91 ID:???.net
- >>567
知らんかった〜。
お客さんにビルトインCAのままADで端末に配布しとるわ〜
ま、担当外れたからどうでもええわ〜。
- 573 :anonymous@fusianasan:2021/12/08(水) 00:12:41.66 ID:???.net
- 今のご時世いの一番にコスト削減するのがUTM周りとか
そんな時代遅れか知恵遅れな顧客はこっちから願いさげですぅ〜
- 574 :anonymous@fusianasan:2021/12/08(水) 00:14:19.38 ID:???.net
- >>570
プライベートCAなりで作ってFortiGateにインポートしたものならコンフィグとして残るのでレストアは可能ですが
ビルトインの方はS/N固有になるのでレストアできないですね
同機種のFortiGateが2台あればすぐ試せるかと思います
- 575 :anonymous@fusianasan:2021/12/08(水) 08:21:02.46 ID:???.net
- プライベートCA建てた方がいいとは言われるけど、deep-inspection用の証明書はshow fullで秘密鍵ごと取れるから移せるよ。
- 576 :anonymous@fusianasan:2021/12/08(水) 09:22:49.17 ID:???.net
- FortigateのIPSテンプレートのhigh_securityってデフォルト状態で運用すると問題ある?
素人考えであれだけどハイセキュリティっていうくらいだからある程度安全性あるのかなって思うんだけど
- 577 :anonymous@fusianasan:2021/12/08(水) 12:37:50.73 ID:???.net
- FortigateのUTM機能なんておもちゃレベルじゃないの?
- 578 :anonymous@fusianasan:2021/12/08(水) 13:35:44.11 ID:???.net
- 具体的にどの辺がおもちゃレベルなんでしょうか?
- 579 :anonymous@fusianasan:2021/12/08(水) 13:43:10.48 ID:???.net
- 餅は餅屋と言われるぐらいのおもちやレベル
- 580 :anonymous@fusianasan:2021/12/08(水) 13:47:42.89 ID:???.net
- Fortinetは餅屋では???
- 581 :anonymous@fusianasan:2021/12/08(水) 18:51:38.68 ID:ZDOBlCwl.net
- >>574
やってみました。確かに引き継がないですね。
大変勉強になりました。
- 582 :anonymous@fusianasan:2021/12/08(水) 21:43:27.15 ID:???.net
- 中小企業でしか使われてないわな。fortigate
あとライセンス切れは家庭。
- 583 :anonymous@fusianasan:2021/12/08(水) 23:32:38.49 ID:???.net
- 国によって違うけどね
- 584 :anonymous@fusianasan:2021/12/09(木) 00:02:22.44 ID:???.net
- 結局どのあたりがどういう理由でおもちゃレベルなんでしょう??
- 585 :anonymous@fusianasan:2021/12/09(木) 00:23:40.39 ID:???.net
- それを言わないが、あるんだよと思わせたいパロアルトの思惑
- 586 :anonymous@fusianasan:2021/12/09(木) 01:02:40.78 ID:???.net
- ひと昔前に比べればだいぶ洗練されてきたけど
デカい案件ではやっぱりパロ使うわ
- 587 :anonymous@fusianasan:2021/12/11(土) 18:50:54.11 ID:???.net
- 具体的な技術議論なんて出来ないなんちゃってエンジニアの吹き溜まり
- 588 :anonymous@fusianasan:2021/12/11(土) 21:09:35.51 ID:???.net
- FortiDDNSの挙動がよくわからん。
故障交換後に「取得可!!」ってなったと思ったのにだめとか
- 589 :anonymous@fusianasan:2021/12/12(日) 01:01:01.56 ID:???.net
- >>588
Technical Note: FortiDDNS registration on another device using same FQDN
https://community.fortinet.com/t5/FortiGate/Technical-Note-FortiDDNS-registration-on-another-device-using/ta-p/193328
総レス数 1001
274 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200