5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Fortigateについて語ろう

1 :anonymous:03/10/02 23:27 ID:???
世界初 ASICベースのアンチウイルス・セキュリティ・ゲートウェイ
オフィシャル(日本語はまだ無い・・・)
http://www.fortinet.com

みなさん語りませんかー。



2 :anonymous@ m023122.ppp.asahi-net.or.jp:03/10/03 00:15 ID:???











ちょっとエビフライ置きますよ・・・


              ,.、,、,..,、、.,、,、、..,_       /i
             ;'`;、、:、. .:、:, :,.: ::`゙:.:゙:`''':,'.´ -‐i
             '、;: ...: ,:. :.、.:',.: .:: _;.;;..; :..‐'゙  ̄  ̄
              `"゙' ''`゙ `´゙`´´´











3 :four tea:03/10/05 21:30 ID:???
ソフトバンクが取り扱いはじめたね。


4 :見習い:03/10/07 15:34 ID:3NePi4Mf
うちで使ってます

何か知りたいことありますか?解る範囲でよければ書きます

5 :nobody:03/10/07 17:44 ID:???
質問。

・この箱,どこが代理店として扱ってる?
・検知能力・処理速度,パターン更新頻度はどうよ?
・やっぱりFirewall機能セットかい?
・ところでやっぱり韓国系の箱?(いや,性能よくて壊れなければどこ製でもいいけど…)


6 : ◆JeYFCvvdow :03/10/07 23:17 ID:???
今日、検証機借りました。
設定方法はNetScreenに近いですね。
おおまかな設定は結構簡単に設定できました。

7 :anonymous@ wacc2s4.ezweb.ne.jp:03/10/08 07:48 ID:/m/MYYn2
ソリャあたりまえ。元Netscreenの健じぃが起こした会社。

8 :nobody:03/10/10 11:48 ID:???
>>7
うむ。NetScreenを立ち上げた人が興した会社なのね。
でもやっぱり胡散臭そうなのは気のせい?
代理店ハケーン
http://www.znw.co.jp/products/FortiGate/

9 :ハマり中:03/10/11 00:47 ID:iACt/+Mb
会社にFortigateキター!

・・・のはいいけど、初のVPN接続構築まかされて試行錯誤
なんとかPhase1は通ったけどPhase2でコケる

ルーティングの設定わかる方ヒントプリーズ
Ext Int
IKE    →     128.xxx.0.0/255.255.0.0
Ipsec  →     128.xxx.0.0/255.255.0.0

他に何か通すのってあるんですか?

10 : :03/10/11 21:22 ID:???
FortigateにVPN-GWをやらせるのなら通すも通さないもないが。

11 :ハマり中:03/10/14 22:28 ID:Z3yKDKWT
>>10
ありがとう
早速自分で勝手に作ったルーティング設定消しました
ってことは単純にPhase1,Phase2の設定のとこを作成してあげればいいのかなぁ?(今自宅なので名前忘れました)

テスト環境がフリープロバイダ経由のダイヤルアップで、FortigateRemoteVPNClient(中身はSSH Sentinel V1.4)使ってます
どなたかフレッツADSL&SSH Sentinel使ってFortigateをVPNゲートウェイにして使ってる方、設定のコツ教えてください。



12 :楽太郎:03/10/14 22:38 ID:???
放置ゲートに語られても困るなぁ・・・閉めといて。

13 : ◆JeYFCvvdow :03/10/15 00:01 ID:???
>>7
スマソ。当たり前なことはわかっていたけど、あえて書いてみた。

>>8
うちもそこから引っ張ってます。

14 :なりすまし:03/10/15 00:46 ID:???
>>4
何使ってます?FG50それともFG200でつか?

15 :ハマり中:03/10/15 16:43 ID:???
最新のFortigateRemoteVPNClientのマニュアルには
VPNポリシーを追加汁!と書いてあるのだが、ウチのFGT200にはそんなのないぞー
どうもコイツが設定できないせいでPhase2にいけないような気がしてきた。
ファームのアップデートが必要?

16 :いらいら:03/10/16 03:14 ID:EtFfJX/4
京都成安学園の先生たちはちゃんと事業を教えていない。

17 :anonymous:03/10/16 18:14 ID:???
>>4
うちもFortiの200か100を買うつもりなんですが、安定性はどうですか?
こけたりしますか?
VPNとしては使うつもりないのですが

18 :なりすまし:03/10/17 00:25 ID:???
Fortimanagerっていつでるんでつか?

19 :anonymous@ YahooBB218122062014.bbtec.net:03/10/17 23:29 ID:???
保守age


20 :anonymous:03/10/20 18:40 ID:???
>>4さんカムバァーック!!


21 :_:03/10/21 11:22 ID:???
>17
4じゃないけど...
5か月目になるけど特に問題はでていません。
うちの若いのが本稼働する前にスループット
測ってましたが結構よかったらしいです。
FW/1からの乗り換えなので上もコストが
下がって満足してます。。

なにか問題があった時に首がとぶのは私なんで
マイナー製品を使うのはやだったんですがねえ。

どなたかクライアントソフト経由のIPSecやっている
方みえませんか?クライアントの動作が不安定になると
こわいんですが。


22 :anonymous:03/10/21 19:08 ID:???
>>21
うほっ!
安心しました

他に気になるのはウィルスがスルーしちゃうとか噂あるけど、そこんとこどうなんでしょう?
実際に使っている方

23 :anonymous@ inuyama11198.ccnw.ne.jp:03/10/25 17:26 ID:TRwiCwg1
保守


24 :なりすまし:03/10/26 22:59 ID:???
22>
10M以上のファイルはスルーしまつ

25 : ◆JeYFCvvdow :03/10/26 23:18 ID:???
>>24
ウィルスファイルがスルーするかどうかのテストはやりそびれたのですが、
10MB以上がスルーするってのは、そういう設定なのではないでしょうか?
既に検証機を返してしまたので忘れましたが、スキャンするファイルサイズの
上限を設定するところがあったと思います。

ちなみに、指定するファイルサイズは、解凍後のファイルサイズです。

26 :なりすまし:03/10/28 00:48 ID:???
機器のバッファが10Mしかないと思われ・・・

27 : ◆JeYFCvvdow :03/10/28 20:06 ID:???
>>26
ひょっとすると、バージョンの違いとかあるのでしょうか・・・。
ちなみに私が使った機器は FortiGate400 Ver2.5 MR4です。

どこにあるかは忘れましたが、以下のような画面が無かったでしょうか?
ttp://www.geocities.co.jp/SiliconValley-Cupertino/5773/fortigate/img.jpg
ここに10と書かれているので、圧縮したウィルスファイルは解凍後10MBを超えると、
スルーすると代理店に聞いています。

ただ、>>26さんがいうようにバッファの容量の問題はあるかもしれませんね。
以前、NetScreenスレでFortiGateが話題になった時、HDDの無い機器だと
スルーするというレスがあったので、小さい機種だとあり得るかもしれません。
確か、上位機種はメモリの容量が大きかったと思います。

28 :なりすまし:03/10/29 02:00 ID:???
本当でつか?
Fortiはスルプシトをageるため10M以上はスルー汁と聞きまつたが・・・?

29 : ◆JeYFCvvdow :03/10/29 07:47 ID:???
>>28
全て代理店から聞いただけのうえ、記憶がやや曖昧で申し訳ないのですが、
確かにファイルサイズの指定は、スループットに影響があると言っていたと思います。
また、Fortinet曰く、10MBを超えるファイルの中にウィルスがあるということは、
まずありえないので、デフォが10MBということらしいです。

30 :なりすまし:03/10/30 00:12 ID:???
>>29
サンクスコ
ところでFortiユーザー?


31 : ◆JeYFCvvdow :03/10/30 00:39 ID:???
>>30
ユーザーというよりも、近々お客さんの所に導入するので、
検証機を借りてただけです。

32 :FG200:03/10/30 10:27 ID:???
会社のFG200を設置前に開けてみたことがある。
筐体でかい割にずいぶんコンパクトなボードで驚いた(ややがっかり)。
CPUもFortiASIC(FPGA?)もフィンがかぶっていて型式はわからなかった。
メモリは256MBのDIMMが一基。以前検証用に借りたFG100も全く同じボードと
メモリ構成。恐らくFG50もボードは同じではないか?(メモリは少ないかも)
FG60は後から出たのでわからないが違うかもしれない(ETHERポートの数とか)
下位機種のスループット、セッション数の制限はソフト的にかけてるのかな。
CFカードスロットがオンボードで実装されておりここからFortiOSがロードされる。
FortiOSのバイナリもAVパターンファイルもそれほど大きくないみたいだから
ワークメモリはかなり余裕がありそう。

33 :FG100:03/10/31 02:53 ID:???
アンチウィルスフィルタをSMTPにかけるとテスト用にウィルスを
送信してもエラーメールが送信者に返送されるだけで削除したって
文面が付加されない・・うちだけかな?
POP3にかけるとどうなるかはまだテストしてない。
設定した文面は日本語もOKだって代理店の人はいってたので
大丈夫だと思うけど・・


34 :なりすまし:03/11/01 21:43 ID:???
ウイルスチェックが働きすぎて、アプデートできませんですた。


35 :FG50:03/11/03 15:20 ID:???
BBで買った奴って、
Foreinetサイトユーザ登録いるんだろか?
(BBにはユーザ登録済み)
BBに聞いてみたが10日ほど放置されてます。

36 :anonymous@ 170.87.111.219.dy.bbexcite.jp:03/11/04 22:24 ID:???
日本語サイトまだ〜

Fsasのバリアパワーアップソリューションの基本パックって
FortiGate200だよ。
http://www.fsas.fujitsu.com/solution/s01nbsolution/nb01network/n01_02barrier/index.html

37 :なりすまし:03/11/05 23:58 ID:???
>>36
拡張パック、フルパックもFiortiなんでつか?

38 :Mr.X:03/11/11 15:18 ID:???
>>33
エラーメールを返すというより、smtp のセッション中に 500番台のエラーコード
を返しているだけです。エラーメールを作成しているのは、接続してきた smtp
server。

39 :中の人:03/11/11 16:38 ID:/rddgVM6
>>37
うんにゃ、拡張パックは定期的なセキュリティ診断とレポーティング。
フルパックは、サーバーとクライアントのウィルス対策を提供している。


40 :-:03/11/11 23:32 ID:???
金曜日、ケソ・ジーに会いに行きまつ。

41 :FortiGateHome(FTTH):03/11/12 21:57 ID:???
FortiGate Home(FTTH)出ないかなあ。
100BASE-TX x 2 port
同時ユーザ数:5
PPPoEスループット:90Mbps以上
FireWallスループット:90Mbps以上
VPN:なし
実売価格40千円以下希望。

42 :anonymous@ z29.220-213-46.ppp.wakwak.ne.jp:03/11/14 01:28 ID:R4U6Bfpu
httpのウイルスチェックも出来るみたいだけど
実際はどうなんだろう?

43 :anonymous@ p5006-ipad31sasajima.aichi.ocn.ne.jp:03/11/14 11:08 ID:/yn1h5pX
もう疲れたぽ(´へ`)

44 :anonymous@ AIRH03289016.ppp.infoweb.ne.jp:03/11/14 11:56 ID:Gce30DYE
>>42
サンプルのeicarで試してミレ。
httpだとエラーになる。

ただ、ルーターとして動かしておいて、Winの共有フォルダーの中に
ウィルス置いて、それをFortigate経由でコピーしようとすると
エラーにならない。
どうも、httpやftp、smtpなんかじゃないとチェックしないようだな。

最新のファームだとまたわからんけど。

45 :anonymous@:03/11/15 12:04 ID:???
ルータとファイアウォールの間に置く
FortiGateのIDSの能力はどの程度ですか。

46 :なりすまし:03/11/16 20:40 ID:???
>>45
ナンチャッテが良く似合う。(w

47 : ◆JeYFCvvdow :03/11/16 23:09 ID:???
>>45
>>46の言うようにナンチャッテが良く似合うというレベルですね。
IDS機能に関してはオマケだと思います。
そういえば、Ver2.5MR4.0ではIDS機能で攻撃パターンのON/OFFが
まともに動かないバグがありました。MR5.0では修正されるようです。

48 :45:03/11/17 21:09 ID:???
>>46
>>47
ありがとう。
やはり値段からすると妥当なところですね。
HTTP、FTPのアンチウィルスで使用します。
IDSはやはりISSですか?

それはそうと、こいつのPPPoEの実行スループットはどのくらいですか。
(値段が手頃な手頃なFotiGate200ぐらいで)

49 :anonymous@:03/11/17 22:49 ID:???
ttp://www.fortinet.com/jp/
日本語サイト、キタ━━━(゚∀゚)━( ゚∀)━(  ゚)━(  )━(  )━(゚  )━(∀゚ )━(゚∀゚)━━━!!

50 :なりすまし:03/11/18 01:42 ID:???
>>45
ナンチャッテIDSやウイルスチェシク、VPNをやったらかなり落ちると思われ。
情報キボンヌ

51 : ◆JeYFCvvdow :03/11/18 07:38 ID:???
>>48
ウイルススキャンのやり方次第ですね。
聞いた話ばかりで申し訳ないのですが、httpフルスキャンをやった場合は、
カタログ値の3DESの半分程度だそうです。
なので、FG200でhttpフルスキャンをすると25Mbps程度だということで・・・。
ま、SpeedTestのサイトや、Vectorからデカイのをダウソしないかぎり、
気にならない程度かと思います。

52 :anonymous@ Z213212.ppp.dion.ne.jp:03/11/27 20:27 ID:2xIUzeho
age

53 : ◆.p586Vj8xI :03/12/03 17:13 ID:???
>>44
アンチウィルスとして対応してるプロトコルがhttp・ftp・imap・smtp・pop3だけだな。
まぁポートの追加はできるからhttpだけど81使ってる〜とかいうとこでも平気らしいけど。

54 : ◆.p586Vj8xI :03/12/03 17:14 ID:nKgI8uT4
遅レスだが一応。

>>38
smtpのセッション中にエラー返すか、
受信者に文面追加して通すかは設定次第。

55 : ◆.p586Vj8xI :03/12/03 17:19 ID:nKgI8uT4
>>27
2.36までは10MBまでチェックでそれ超えたらスルー。
2.5からは容量可変になっていて、
搭載メモリの約14%を上限として1MB〜設定可能。
それ超えたらスルーするか止めるかは選択可能。

56 :○anonymous:03/12/03 19:38 ID:???
>55

搭載ディスクじゃなくて、メモリなんでしょうか?

57 : ◆.p586Vj8xI :03/12/03 20:32 ID:nKgI8uT4
>>56
FortiGateのウィルスチェックはメモリしかテンポラリに使用しないので、
メモリに依存します。
HDDは隔離された後のウィルスファイルとログ用です。

搭載メモリはFG50が64MB、FG60とFG100が128MB、FG200〜FG500が256MB、
FG1000が512MB、FG3000〜FG3600が1GBです。
ただしFG300の初期ロットは128MBのものがあります。
それぞれの約14%が上限。


58 :○anonymous:03/12/03 22:51 ID:???
>57

なるほど。
ということは、FG50は最大でもやはり10M
その他が18M,35M,70M,140Mといったところ?

なんか勿体無いな。HDD搭載している場合、速度犠牲にしても
ワークに使えるようなオプションが欲しいところだな。

ところで、このファイルサイズって、圧縮ファイルの場合は、
展開後のサイズですか?もしくは、圧縮ファイル自体+展開ファイルサイズ?
中身を見ているんだから、展開前というなら、gzみたいなストリーム圧縮ファイル
だけしかサポートできないよね。


59 : ◆.p586Vj8xI :03/12/04 13:12 ID:???
>>58
すんまそん、一部間違えてました。
FG100のメモリは256MBでした。

で、チェックできるサイズが、表記を見ると9MB、18MB、37MB、73MB、あと不明
となっています。
HDDは、たしかにもったいないですよね。
大きいサイズだけでもHDD使えるようにリクエスト出してみます。

圧縮ファイルの場合は展開後のサイズです。
ストリームでチェックしているわけではなく、いったんFortiGate内に取り込んで展開してから
スキャンかけます。
圧縮ファイルのサポートは「zip, lzh, rar, gzip, tar, upx」で、12階層まで展開します。
そんなに多重に圧縮するやついねーよ!って感じですな。

60 : ◆.p586Vj8xI :03/12/04 13:19 ID:WmXXgNMj
>>58
ウィルスチェックにオンメモリでしか動かない点については、
FortiNetの言い分としては、速度重視なのでできないと言われたことがあります。
まぁ、ウリの部分を犠牲にする意味があるのか?ってことだと思いますけど、
ユーザーに選択させるのもいいと思うんですけどね、自分としては。
でもあまりサイズを増やせてもデメリットもでてくるので、
実際に設定するサイズとしては10MB以下が妥当かにゃ。

61 :FG200手配中:03/12/04 17:01 ID:???
InfoSphereIP8タイプをADSLで使用中、CIDRなIPを8個もらっております。
現状は、ADSLモデム→ルータ→SonicWall DMZを繋いでいるんですが
FG200納入後は、ルータを省いてADSLモデム→FG200の直結にしようと
考えています。何処かで、FGのPPPOEではCIDRアドレスは扱えないと
見た覚えがあるのですが、現在のファームでも同様なのでしょうか?

ルータを省ければIPが1つ余るんで他に回そうと考えてます。

62 : ◆.p586Vj8xI :03/12/04 18:18 ID:WmXXgNMj
>>61
ダメなのは2.36の頃の話で、2.5では対応しています。
ただしWebUIからは設定できません。CLI(sshとかtelnetとかシリアルコンソール)で設定することになります。

63 :anonymous@ 166.137.210.220.dy.bbexcite.jp:03/12/04 20:55 ID:???
メモリ増設ってできるの?
開けて勝手に挿すなり挿し換えてok?
オプションでカスタマイズできるの?

64 :ねらってます:03/12/04 21:44 ID:???
こいつのアンチウィルスの実力はどうよ。
WildListのものは問題なく検知、駆除できるのかい。
カテゴリ外だけどVB100%とれる実力あんの。

65 : ◆.p586Vj8xI :03/12/05 12:34 ID:hp/xTy7e
>>63
モデルによってはDIMMスロットあったりしますが、さしたことはありません。
公式にはカスタマイズ不可です。有料オプションもありません。
月曜にでもさしてみます。

66 : ◆.p586Vj8xI :03/12/05 12:35 ID:hp/xTy7e
>>64
WildListのは100%検知できると言っています。メーカーが(w

実力っていうか、検知できるウィルスの数はトレンドマイクロとかに比べると極端に少ないです。
ただ、メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな。
新しい物・危険度が高い物に対応ってことらしいです。速度確保の為。

67 :○anonymous:03/12/05 13:59 ID:???
>66
>メーカーが言うには、DOSの頃のものとかもう出て回ってないウィルスとかは対象外だそうな

そのメーカコメントは前から聞いていたし、
現実に日本企業の社内NWには、古いウイルスが、ゴロゴロしている例も
多いことを伝えたんですけどね。

手持ちの(届いて隔離してあった)ウイルスを、試したところ、チラホラ抜けたし、
展開後のファイルサイズ制限を超えたらすり抜けるという仕様だと
困る例が多くて、なかなか薦められないでいます。

#実際、展開すると100M超えるけど、圧縮すると数十Kどまりなんて
#ファイルは、簡単に作れるし、これにウイルス付けて送られると。。なんですよね。
#ウイルスを送る人間は「悪意を持って」行うということを認識して欲しいんですけどね。
#(二次災害は除く)実際、特定のクライアント用アンチウイルスソフトだけ
#すり抜けたり、書き換えたりするウイルスは、良く転がってたりするぐらいですし。

補助的に使う分にはいいんですけど>Forti
アンチウイルス機能を売りにするには、まだ不満といったところです。


68 :anonymous@ AIRH03239023.ppp.infoweb.ne.jp:03/12/05 19:32 ID:WYRCt1Cf
>>67
つーか、外から急速に拡散してくるようなWarm対策がメインだからな。
社内ネットワークに蔓延するタイプの奴。httpやsmtpを介さない奴は
適用外だろう。
とりあえず、これまで別サーバーを立てないといけず、ネットワーク構成や
FireWall設定が複雑になる原因だった、VirsuWall並の機能を持ってれば
漏れは十分だけどな。

あと。その「抜けた」ウィルスがどういう奴で、どの様な構成だと通り抜けたのか?
そのウィルスはWildListにのってるのか?
というのはどうなんだろう。

69 :○anonymous:03/12/05 19:48 ID:???
>68

先にも書きましたが、ただのメール添付ファイル送受信テストですよ。
展開したらサイズが膨れるようにしたテキストファイルアーカイブに
ウイルスくっつけて送信。(もちろんリストにあるもの)

チェックできない添付ファイルは、削除するか弾いてくれる方が
提案しやすくてうれしいのだけど、そういうふうになったの?

70 : ◆.p586Vj8xI :03/12/05 23:34 ID:hp/xTy7e
>>69
55に書いたけど、チェックできない大きなサイズのファイルは
スルーするかブロックするかを設定で選択可能です。

71 :○anonymous:03/12/06 00:25 ID:???
>70

じゃあ、あとは、顧客の運用体系だけが問題になるだけですね。
良かった、良かった。


72 :anonymous@ EATcf-314p34.ppp15.odn.ne.jp:03/12/06 02:04 ID:3zy0lfYv
>>62
うっ!
コンソールから操作できるんだ
知らんかったよ
どっかにマニュアルとか上がってる??
きっと、暮れ!って言えばもらえるもんじゃないよね?

あと話変わるけど、ウィルスキターーー!!メールにメールのヘッダー情報とかって表示できないんでしょうか?
誰宛のメールだか知りたい場合もあるんですよね
誰か知らないかしら
マイナー製品?だから情報少ないよね

73 : ◆.p586Vj8xI :03/12/06 03:27 ID:O6qXa8Nj
>>72
CLIリファレンスあるけど、買った人にしか渡してないなぁ。Webとかには落ちてないし・・・
どっかのリセラーに聞いてみるとくれたりするかも??

うぃるすきたーーー!メールって管理者宛のアラートだよね?
だとしたら表示されますよ。

ウィルス名、プロトコル、SourceIP、DestIP、fromアドレス、Toアドレス が表示されます。
それぞれ変数になってて、メッセージ自体カスタマイズできるし。

やっぱまだマイナーっすよね。知らない人多いし。
自分はもう1年半さわってる。って言ったらバレそう・・・

74 :○anonymous:03/12/06 04:37 ID:???
>73

S.A.さんとこの人かなぁ。

75 :64:03/12/06 13:08 ID:???
>>66
ICSA Certified Anti-Virus Productsだからって
WildListのものを100%検出できるわけではない。
VB100%受賞は意外と難しい。

高速化のためのASICじゃないのかなあ。
ASICなんてパターンマッチングくらいしか
使い道なそうだし。
WildList以外を対象にするかは
ユーザーが選択することであって
ベンダーの決めることではないな。

76 :61:03/12/06 14:08 ID:???
>>62
遅ればせながら、情報ありがとうございました。納品されましたら設定チャレンジしてみます。
で、CLIリファレンスは製品に添付されて来ないんですか?

ちょっと、Googleってみたらフォーバルクリエイティブさんに技術情報が少し載ってるんですね
http://www.forvalcreative.com/jpn/support/fortigate/index.html
でも、FortiOS 2.36までしか情報公開されてない・・・

77 :72:03/12/06 22:22 ID:???
>>73
どうもです
月曜会社いったら試してみますよ

CLIリファレンスも>>76のところから古いけど落とせるみたいですね
あとで読んでみます

ところでフォーチやっぱりマイナーですよね
実際売れてるんでしょうか?
あの馬鹿みたいに高い上位機種とか(w
KDDIのサービスも加入者いるのかしら??

78 :なりすまし:03/12/07 01:17 ID:???
KDDIも売ってます、40GATE。
んでKDDIに機能的なこと聞いたけど、よくわかりませんって言われますた。

79 : ◆JeYFCvvdow :03/12/07 02:10 ID:???
>>77=72
>あの馬鹿みたいに高い上位機種とか(w
馬鹿みたいに高い上位機種もまだ増えるみたいでつ。

>>76
CLIリファレンスは添付のCD-ROMに入っているはずですが・・・。
もしかして、代理店によって違うの?
そういえば、うちにあるCD-ROMは手作りっぽかったな。

どうでもいいけど、pingやtracerouteの前にexecuteと入力しなければ
いけないのはダルい。

80 : ◆.p586Vj8xI :03/12/08 10:39 ID:1sWq5J5y
>>76
製品にCDついてるから、それにCLIリファレンスも入ってると思います。

>>79
FG4000とか5000のことでつか(w
そのまえにFG800が出てきますね、ぎがびっと持った機種が。

もともと添付されてるやつも手作りっぽいっすよね。まぁしゃーないけど。
exe pingぐらいの略で勘弁ってことで。

81 :名無平社員:03/12/08 12:43 ID:df4UmbwQ
Fortiのスレ発見ww

CLIリファレンスはfortiのSupportにログインすればあると思うんだが・・・



82 :61:03/12/08 13:10 ID:???
>>79,80
了解です。納品されたら確認してみまつ

>>81
Fortinet Japan社員さんの降臨でつか?
こちらもユーザ登録後確認してみまつ

値段だけなら↓がお安いかも
http://www.pasoq.co.jp/shopping/hard/maker/kind/000504010090000.html
ダイワ某さんの直販サイトですが、6掛け以下のお値段でつね
以前は出てこんかったけど、私が発注したんで取り扱い開始した悪寒

83 : ◆JeYFCvvdow :03/12/08 22:19 ID:???
>>80
>FG4000とか5000のことでつか(w
>そのまえにFG800が出てきますね、ぎがびっと持った機種が。

そうです。それです。先日永田町でその話を聞きました。
つうか、4000なんて売れねぇ。
1slot単価がForti100程度ならどうにかなるけど。

>exe pingぐらいの略で勘弁ってことで。
をを、知らんかった・・・(汗
ありがとうございます。


84 : ◆.p586Vj8xI :03/12/08 22:32 ID:1sWq5J5y
>>83
Fortiもそんなに売れるとは思ってないのかも<500とか
とりあえずラインナップそろえとかないとっていう表向きな面が強いっぽ。

CLIは普段から略しっぱなし。みょーに長くなるコマンド多いんで。
Intarfaceのあどれす決めるときなんて、
s s in internal m s i 1.1.1.1 255.255.255.0
で済んじゃいますよね。ってこれじゃ自分で何やってんだかわかんなくんなりますが(w

85 : ◆JeYFCvvdow :03/12/08 23:18 ID:???
>>84
>s s in internal m s i
既にInterfaceのアドレスを振った後なので、途中まで試してみたのですが
set s in internal m s i
でないと動かなかった。

っていうか、いやな現象を見てしまった。

*****fortigate # s
*****fortigate (set)# s
*****fortigate (set-sys)# interface
^
|
Ambiguous command.    <=★



*****fortigate # set
*****fortigate (set)# system
*****fortigate (set-sys)# interface
^
|
Incomplete command.    <=★

同じことをやっているのに、この★の行の違いは何だろう・・・。

86 :_:03/12/09 01:35 ID:???
>>85
yaccもlexもつかいこなせないSEなワタクシですが、CLI parser
の構文解析で、i) 複数の候補がある場合は`Ambiguous', ii) 該
当するものがない場合は`Incomplete', とふるまっているんじゃ
ないかなと思う次第です。

ネタにマジレスカッコワルですね...。

87 :anonymous@ 57.pool8.ftthtokyo.att.ne.jp:03/12/09 04:07 ID:1yLfaVXl
>85
ファームv2.50MR5の場合Menuには出てこないのがあるみたい
実際の最上位のコマンドには
diagnose
execute
exit
get
set
unset
sysctl < こいつが問題

がありました

s だと setとsysctlの区別が付かないんで
s s in の場合 Ambiguous Commandとなり
set s in の場合Incomplete Commandになるってことかな
確かMR4まではMenuに出てたんで気がついたけど
もしかしたら他にもMenuに出てこないCommandあんのかなぁ

CLIで省略形が使えるのなんて普通だとは思うけど、
こういう細かい部分に配慮して欲しいトコ

ところで誰か
diag system と diag test 〜 の効果と使い方教えてくれ
systemの方は後ろに何持ってきてもIncompleteだし
testの方もCommand打っても変化が無くて気になって仕方がない

88 : ◆JeYFCvvdow :03/12/09 07:42 ID:???
>>86
ネタのつもりじゃないのでカッコワルくないです。
複数の候補があるということは予想しましたが、なにせ表示が
(set-sys)# となっているので、set-sysに入っているものだと
思っていました。
まさかsysctlがあったとは・・・。

>>87
えーっと、sysctl・・・
CLIリファレンスに載ってない・・・。

89 : ◆.p586Vj8xI :03/12/09 11:52 ID:Bb3v8L/I
>>87
84は2.50 build160で確認してました。sysctlは無くなってるみたい。

diag system top
diag system matrix
とか・・・ってもしかして公開してないんだろうか。

90 : ◆.p586Vj8xI :03/12/10 12:24 ID:7uOXYYf2
>>72
いちおうサンプル。

Subject: Virus/Worm detected: W32/Klez_Family-mm

Virus/Worm detected: W32/Klez_Family-mm
Protocol: smtp
Source IP: 211.6.83.170
Destination IP: 203.14.2.123
Email Address From: total-eco@luck.ocn.ne.jp
Email Address To: aromaorder@happy.jp

ほぼそのまま引用。IPアドレスをメールアドレスは多少隠蔽。
こんな感じのが管理者(?)に届きます。


>>74
S.A.さんって誰だろう・・・思いつかないからたぶん違うと思う(笑)

>>76
もう納品されました?
そしてPPPoE あんなんばーどの設定できました?


メモリ増設のテストは忙しくてできてないです。
どなたかやってみて下さい(w

91 :61:03/12/10 13:53 ID:???
>>90
納期未定でつ _| ̄|○

92 : ◆.p586Vj8xI :03/12/11 18:56 ID:???
>>91
発注してるのに納期未定???
なんでじゃろ。

93 :@:03/12/13 02:01 ID:vmLvjxPQ
FortiOS 2.8 age

前回の2.3→2.5は情報が少なくて心細かったけど、今回はここのスレがあるから大丈夫(w

94 : ◆.p586Vj8xI :03/12/13 13:29 ID:gv/0blAL
>>93
2.8で管理画面のデザインががらっと変わりますよね。

95 : ◆JeYFCvvdow :03/12/13 13:38 ID:???
>>94
おっ! デザイン変わっちゃうんですね。
NetScreen3.Xから4.Xの時変更ぐらい変わっちゃいますか?

96 :@:03/12/13 22:17 ID:vmLvjxPQ
>>94
ガラっとって。。。。
2.3→2.5のときより変わってますか??w

2.5のときはIDSがだいぶ強化されたからすぐ入れたんだけど、今回はどんなもんでしょうか?

97 : ◆.p586Vj8xI :03/12/13 23:36 ID:gv/0blAL
>>95
すいません、NetScreen3.Xの画面を知りません(w

>>96
2.36->2.5よりも画面変わりますね。
機能も・・・
IDS・IDP部分も変わります。

98 :FG200:03/12/14 00:04 ID:vw0QlhMp
>>97
うちようやく先月2.5にしたばかりなのに(w

99 :名無しさん@お腹いっぱい:03/12/14 15:28 ID:JZMNlK3D
ヘルプやマニュアルの日本語訳版つてないのかな


100 : ◆JeYFCvvdow :03/12/15 01:03 ID:???
>>99
ないみたいですね。
管理画面は日本語対応しているのに、マニュアルが英語なので
結局は管理画面は英語を使ってしまう。

そういえば、某代理店で日本語マニュアルを作成中のようだけど、
多分2.8からでしょうね。

>>多分、このスレにいる某代理店の方、どうですか?

101 :anonymous@:03/12/15 06:46 ID:???
>>100
日本語マニュアルより、>>61-62みたいなFAQを充実してもらいたいと思ったり
マニュアルに書いてないことを知りたいことの方が多いんだよね

102 : ◆JeYFCvvdow :03/12/15 07:26 ID:???
>>101
確かに・・・。(汗

103 :61 ◆FG200xXuLw :03/12/15 10:01 ID:???
>>92
販社に発注は掛けてるけど、先週時点でそこへの納期が未定なのでつ
もしかすると、今日あたり納品されるかも知れません。
自社のリプレースPCとかも大量に納品されてきそうなので、
FGを触るのは後回しになりそうな悪寒

うちに来るのは、FortiOS 2.8になってるのかなぁ〜
私にとってはどのVer使っても初物なんで、2.8から入ります。
ところで、2.8でも、アンナンバード設定はCLIのままなのでしょうか?

104 : ◆.p586Vj8xI :03/12/15 20:23 ID:9DZtQtrD
>>100
うちは作ってないから違うな・・・(w
ちなみに2.26の頃は作ってました。
今作ってない理由は、バージョンアップが早すぎて、
金かけて日本語マニュアル作っても出来上がった頃には古くなってるから。
今2.5のマニュアルできあがったとしても短命に終わるし。

>>103
2.8のリリースは2月以降の予定なので、当分2.5で納品されると思われ。
いまMR5(build133)で、1月後半・・・にはMR6で出荷されると思う。

105 :@:03/12/15 21:30 ID:SpCCDxRM
>>104
MR5出てたんだ....

106 : ◆.p586Vj8xI :03/12/15 22:31 ID:9DZtQtrD
>>105
11月頭には。

107 :99:03/12/15 23:27 ID:GDeCzHYz
日曜日にはじめて触って(デモ機)SonicWallよりずっとイイ!(・∀・)
とおもつたのですが、ヘルプがすべて英語だったので (´・ω・`)シヨボーン

>>101
のおっしゃるとおり機能と制限のほとんどが理解できると
FAQがほしいのですが、最初にとっかかるときは、マニュアルとヘルプ
の日本語版はほしいです。
ヘルプだけでも日本語化キボーン!!
そうすればSonicに楽勝なり



108 :FG200:03/12/16 22:33 ID:???
皆さん分割メールってどう対策されてますか?

109 :なりすまし:03/12/17 00:37 ID:???
マニュアルって(´・ω・`)シヨボーンじゃないでつか?

110 : ◆.p586Vj8xI :03/12/17 10:07 ID:6p3NGfi7
>>108
自分とこは、スルーする設定にしてまつ。

111 :anonymous@ 69.87.111.219.dy.bbexcite.jp:03/12/18 20:23 ID:???
NECも始めますた。
ttp://www.necsoft.com/solution/fortigate/

112 : anonymous@:03/12/18 23:07 ID:rZ935GVF
>>90
遅くなりましたがサンプルども
Ver2.36だったから表示されないみたいですた
2.5では表示できるみたいですね

ついでにお聞きしちゃいますが、2.5だとHTTPでウィルス検知やブロックした場合に、そのURLを表示できますか?
いまはIPしか表示できなくて、結構不便だったりします

113 :-:03/12/18 23:35 ID:???
>>111
NECも図研ネットウエイブから仕入れてるんだね。

114 :_:03/12/19 09:50 ID:???
>113

図研は商社だからね。本気になるまでは、ボリュームメリットの方が大きいでしょう。
サポートは、当てにならんけど、安いからなぁ。


115 : ◆.p586Vj8xI :03/12/19 10:34 ID:aGdf/WUX
>>112
クライアントのブラウザ上ではURLでますけど、
管理者宛アラートでは出ません。2.5 build160でもIPaddressのみ。

>>114
こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

116 :_:03/12/19 11:20 ID:???
>115
> こなれた商品ならともかく、まだまだ発展途上の製品でサポートがあてにならないって痛いと思う・・・

いや、だから安く仕入れてサポートは自社で行うところには向いているかもってことです。
こなれているかどうか別にして、図研扱いのセキュリティ関連商品って、皆そうじゃない?
RSCP -> *S-Solとか。E/Uが安いからって引くと泣くけど。

商品こなれると、こんどはサポートしてた人員が、ごっそり切られたりするけどね
(FC/ASなど)

117 : anonymous@:03/12/19 23:15 ID:KTyRWcE/
>>115
IPだけですか
ちと残念です
ログには取られてるんだから、そのうち対応してくれるといいなぁ

118 :61 ◆FG200xXuLw :03/12/20 13:47 ID:???
FG200ようやく納品されますた。

リリースノートによると、OSは2.5MR4のようです。
手持ちの仕事が片付いたら、ぼちぼち設定を始めようと思います。
何分、初物なので設定に手間取るかも知れません、皆様のアドバイスを頂けますと助かります。
FAQになるかも知れませんが、作業経過等を備忘録代わりにカキコしてこうかとも思ってます。

119 :なりすまし:03/12/21 00:12 ID:???
皆さんはNSと比べてどう思いますか?

120 :anonymous@ EATcf-138p158.ppp15.odn.ne.jp:03/12/21 00:28 ID:XOKZ3uCw
>>119
どこを比べたらいいの?
VPN?

121 : ◆.p586Vj8xI :03/12/21 01:20 ID:FYx9AoEZ
>>118
おめでとうございます。
リリースのーとと製品に入ってるバージョンが違ってる可能性もあるので、
管理画面に入ったとこにバージョン出てるので、そこで見た方が確実かもです。
いちおう最新はMR5ですが、ちょっとバグバグなのでいやーんです。
だからといってMR4が大丈夫って意味ではないですが(w
MR6はやくしてくれ・・・

122 :anonymous@ exserver2.firnet.ne.jp:03/12/21 10:04 ID:???
Cerberianコンテンツフィルタのライセンスを国内で購入できるところありますか?

123 :61 ◆FG200xXuLw :03/12/22 16:29 ID:???
>>121
Fortigate-200 2.50,build133,031024 と出ました、日付が10月下旬なんでMR5なのかな?
添付CD内のマニュアル類は、中国語版と英語版でした。
納品されたのは、図研さん扱いの基本保守サービスのみ

とりあえず、internalのIPを変更してLANに接続して設定画面を眺めています。
CLIでも繋いでみて、set system interface内のPPPOE設定オプションの
ipunnumberedで設定できそうなのを確認。

さて、ISPに、10.1.1.1/29(10.1.1.1〜10.1.1.8)が割り当てられたとして(本当はGlobalアドレス)
externalインターフェースに、ipunnumbered enable borrow 10.1.1.2 と割り当てるとします
DMZインターフェースに、同様に、10.1.1.2 と割り当てるとします。

ここで、ちょっと不安になったので、図研さんのサポートにTelしてみました。
まずは、WEB-UIで基本的なPPPOEの設定をして、DMZにもアドレス付与
その後、CLIで上記設定を行って出来上がりのようです。

後は、既存のファイアウォールポリシーやNAPTの設定等を行えば、SonicWallと差換えられそうです。

#この手の設定って、かなりの所で必要だろうからペーパ一枚入れておいてくれれば助かるのになぁ〜

124 : ◆.p586Vj8xI :03/12/22 16:55 ID:9+Ygmmk0
>>123
build133はMR5ですね。
CLIでPPPoEの設定をしたら、WebUIでExternalの設定はいぢらないでください。
いぢったとたん、ipunnumberedはdisableになります。
アクセス制限など、あの画面で設定できる部分は先に行っといたほうがいいです。
んでもってCLIで。
べつにWebUIでPPPoEの設定を先に行う必要はありません。

この部分は、たぶんMR6でWebUIに追加されるんじゃないかなぁ・・・と予測。
でも予測を裏切られること多しなので期待してないけど。

125 :anonymous@ ZE129001.ppp.dion.ne.jp:03/12/22 17:34 ID:???
????

126 :なりすまし:03/12/23 23:54 ID:???
>>120
VPNとか、スルプトとか、安定性とか、です。

127 :FG100@:03/12/24 01:20 ID:???
>>126
うちはVPN他の製品使ってるからわからないなぁ
っていうか皆さんVPN使ってるんでしょうか?

安定性はいまのところ問題ないよ トラブルなし
スルプトはHTTPスキャンしてるせいか結構落ちるね
FG200ぐらいにしとけばよかった


128 : ◆JeYFCvvdow :03/12/24 01:35 ID:???
>>127
うちはIPSecとPPTPを使ってます。
IPSecは今の所問題ないです。
PPTPは若干問題ありってところです。(FG60 MR5)
この問題は通常起こらないとは思います。

っていうか、くだらないバグの多さはNetScreen並かと思います。

129 :FG100@:03/12/24 02:42 ID:vk0Vfv9l
>>128
バグってVPNがらみ?

130 :61 ◆FG200xXuLw :03/12/24 10:07 ID:???
>>124
うっ、MTU辺りをいじってしまったかも、CLIで再度設定しまつ
そうですね、出来る所はWebUIで設定してます。コマンド打つの案外面倒ですので

今日は、FireWallの辺りを少し触って見ることにします。

Internal(LAN)のあるマシンは、NAPTの設定が必要なんで
バーチャルIP部分でGlobalIPとInternal(LocalIP)を、スタティックNATで対応させます。
さて、この割り当てたバーチャルIPに対するポリシーは、From external/dmz To internal
From internal To external/dmz、つまりinternalを基点に設定すればよいのですよね?

あれば嬉しい機能:
SonicWallにはあるんですが、WebProxyを中継してくれる機能
トランスペアレント(クライアント側PROXY設定無しに)にProxyサーバに中継してくれます。
ディスク持ちモデルなら、FG自体がProxyになってくれてもいいかも

PPPOEマルチセッション対応
これは、インターフェース設定でVLANを追加すれば可能なのかなぁ〜

131 : ◆.p586Vj8xI :03/12/24 11:35 ID:AdFytk60
>>128
くだらないバグっていうと、ftpでアンチウィルスを有効にしてると
日本語ファイル名のやりとりができないってことですか(w

#MR5のみ

132 : ◆.p586Vj8xI :03/12/24 11:45 ID:AdFytk60
>>130
get system interface
ってコマンド打ってみて、Interface externalんとこが
desired ipunnumbered addr: disabled
ってなってたらWebからいぢっちゃったってことになりますね。
有効であればIPアドレスが入っています。

バーチャルIPでExternalとInternalの対で設定された場合は、
ポリシーではExternal to Internalの設定になりまつ。
って、あれ、unnumbered設定をしていてDMZにグローバルがありつつ、
ExternalからバーチャルIPですか?
ExternalInterfaceのアドレスをポートフォワーディングするのは試しましたが、
それ以外のアドレスをStaticNATする設定やったことないです。
ちと試してみますが、もしかしたらダメかも?

PPPoEマルチセッションは今はダメなはず。
でもってFortiUSAがあまりやる気なさそう。
日本以外で需要なさそうなので。

133 : ◆.p586Vj8xI :03/12/24 11:50 ID:AdFytk60
>>130
やっぱりバーチャルIPの設定で選んだInterface以外ではポリシーに選択が出てこないですね。

134 :61 ◆FG200xXuLw :03/12/24 16:55 ID:???
>>132
>>133
まだ、externalをInternetに繋いでいないので確認できませんが
バーチャルIPのテスト設定を行ってみた所、確かにexternal to internal/dmzの
ポリシーにバーチャルIP設定が現れることは確認しました。
ちょっと、気になるのはinternalのローカルIPを割り振ってるのに、dmzの所にも
宛先にバーチャルIP設定が現れることです。

staticNATで、external to internalの通信が出来ればOKなので
From external側でバーチャルIPに対してアクセス制限をかけ
From internal側でバーチャルIPに対応するローカルIPでアクセス制限をかければ
良いのだろうと解釈しておきます。
ローカルIPだけだと、判りにくいのでアドレス設定で判りやすい名前を付けて管理しまつ
現状だと、バーチャルIPとローカルIPの2つを意識してポリシーを設定しないと
いかんようなので、改善されると嬉しいですね。

上記設定での挙動は今のところわかりませんが、NAPTするホストはそれほど重要でないので
現時点でうまく通信できなくてもやむなしです。

PPPoEマルチセッションは現状むりですか、うちの環境だとフレッツスクエアを使うぐらいしか
現状用途はないですが、フレッツグループとか使いたい所には厳しいですね。

またまた、質問で恐縮です。
ポリシーの中のNAT設定の効用つうか用途は何なのでしょうか?

135 : ◆.p586Vj8xI :03/12/24 17:08 ID:AdFytk60
>>134
DMZにグローバルを振った状態でのExternal->Internalへのアクセスは
明日にでも試してみましゅ。余ってるunnumberedのアカウントとADSLがあるんで。
今日やらない理由は早く帰りたいから(w

ポリシーの中にあるNATのチェックボックスは、IPmasqするかどうかです。
どのポリシーにも存在してるのは、どのポリシーに対してもIPmasqできるから。
たとえばExternal to InternalのポリシーでNATのチェックボックスを有効にすると、
インターネット上のアドレスは全てFortiGateのInternalのアドレスへ変換されます。
Internalにある鯖(?)から見れば、アクセス元が全てFortiGateのInternalのアドレスになります。
Internal to Externalのポリシーで使えば普通のIPmasqの動作になりますね。
逆の使い道は。。。なんだろう? あんまり使わないですね。
Internalの鯖でデフォルトゲートウェイを設定しなくても使えるぐらいでしょうか。ってやっぱり意味無いですね。

136 : ◆.p586Vj8xI :03/12/24 17:10 ID:AdFytk60
>>134
バーチャルIPの先をInternalのローカルIPをふってるのにDMZのポリシーに出てますが、
そこで選択しても全く機能しません。
出ないようにしてほしいですよね。って言っときます。

137 :61 ◆FG200xXuLw :03/12/24 17:23 ID:???
>>135
明日にでも確認よろしくお願いします。今日はクリスマスイブですしね。

とりあえず、現状のセキュリティーポリシーを、サービス→グループ設定などを
使って構築しています。

138 : ◆.p586Vj8xI :03/12/25 17:58 ID:lB3trQBP
>>137
ごめんなさい、今日やる予定だった検証できてません(汗
今日突然MR6(2.50 build171)がリリースされて、そっちの検証が優先になってしまって・・・

139 : ◆JeYFCvvdow :03/12/25 22:11 ID:???
>>131
ここで書いたことの他に、pptpでアドレスの範囲を2つにすると、
次の3つ目がpptpクライアントに割り当てられてしまうことです。
Fortinetや図研さんでも現象の再現が出来たようなので、
対応してくれるようですが、出たばかりのMR6で改善されているのだろうか・・・。
# ま、こういうアドレスの割り当て方をした漏れも・・・(汗

140 :61 ◆FG200xXuLw :03/12/26 11:55 ID:???
>>138
うちのFG200は早速MR6にアップデートしますた。

既存のFirewallポリシー、NAPT設定等は一応完了し、後は繋いで見るだけですが動かなかったらピンチです。
検証結果お待ちしております。

141 : ◆.p586Vj8xI :03/12/26 15:38 ID:8f6lxic5
>>140
やってみますた。(MR6で)
ExternalはPPPoE unnumbered、DMZはぐろーばるをstatic、
InternalはローカルIPです。
で、バーチャルIPをExt->Intで書き、ポリシーにも書き、、、

それでExt->Intのアクセスできました。
ただ、やっぱりDMZ->IntのグローバルIPでのアクセスはできませんでした。
Ext->Intの許可をしているグローバルIPには、Extからしか入って来れません。
DMZからIntへの通信が必要な場合は、
実際にふられているローカルIPへのアクセスをする必要があります。
もちろんポリシーを書くことが前提です。

142 :61 ◆FG200xXuLw :03/12/26 16:15 ID:???
>>141
お忙しい所、検証ありがとうございます。
実は、◆.p586Vj8xIさんの検証を待たずに、接続してみました、こちらの環境での結果はOKでした。
今もFG200越しにカキコしてます。
検証いただいた条件と、私の環境は若干違うようなのでOKな例を書かせていただきます。

・ExternalはADSLモデム直結のunnubered設定
 仮に、10.1.1.1/29
・ExternalのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 External自身のIPは、10.1.1.2/29 バーチャルIP対応は、10.1.1.3/29:192.168.0.1
・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
 DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

私の環境では、DMZ内もグローバルIPという事です。

少しはまってしまったのが、ポリシーの設定でした。
Intenal to DMZは、通信できるのに、Internal to Externalの通信が出来ない。
はて?はて?と思いつつ、ログを眺めると、HTTP等のリクエストは送ってるが
戻り先が、External自身のIPで行き止まりになってました。
Internal to ExternalのポリシーにNATをチェックして解決です。ちゃんちゃん

次は、アンチウイルスの設定に行こうと思ってるんですが、またまた?です。
うちでは、基本的にHTTPのアクセスはDMZ内のPROXYサーバ経由です。
プロファイル内にはHTTP等のチェックボックスがあるわけですが、これは
サービス内の初期設定内のサービス名に対応してるんですよね?
初期設定ではHTTPはtcp/80となっていて、PROXYは違うポートなんで
チェックから外れちゃうのでは?と思っています。じゃあ、カスタムでHTTPの所に
ポート追加したろと思ったら、FGに駄目って怒られてしまいました。
これも、CLI設定行きのパターンなんでしょうか?それとも、ポートとか関係なく
パケットの中身を見て、FGがうまいことやってくれるんでしょうか?

143 :61 ◆FG200xXuLw :03/12/26 16:18 ID:???
>>142
> ・DMZのグローバルIPを、InternalのローカルIPにバーチャルIPでStaticNAT
>  DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.4/29:192.168.0.2

ここ間違いでした。
DMZ内鯖IPは、10.1.1.4/29 バーチャルIP対応は、10.1.1.5/29:192.168.0.2

144 : ◆.p586Vj8xI :03/12/26 18:10 ID:8f6lxic5
>>142
「HTTP」という名前のサービス(デフォルトで入ってるやつ)は、あくまで80/tcpのみです。
で、アンチウィルスの機能として対応しているhttpも、80/tcpのみを見ています。
ただし、アンチウィルスのhttpとしてのポートを追加することは可能で、
これはCLIのみになります。
上記2つの「http」の名前の対応は別々になります。

今回のケースでは、クライアントがInternalにいて、DMZにproxyサーバがあり、
そこからInternetに出て行くだけだと思われますので、
Internal->DMZへの通信はウィルスチェックせず素通しして
DMZ->Externalへの80/tcpをウィルスチェックすれば大丈夫だと思います。
proxy用に使用しているポートを追加する手もありますが、それだと手間かかると思うので。

ポリシーとして必要なのは、Internal->DMZのproxy用のサービス、
DMZ->Externalの80/tcpのサービス。
(DNSが必要とか、そのへんはあたりまえとして)
でいいんじゃないでしょか?


ちなみにCLIでアンチウィルスのhttpとして認識するポートの追加コマンドは、
set antivirus service http port add 8080
です。(8080は例)

145 :61 ◆FG200xXuLw :03/12/27 16:23 ID:???
>>144
いつもありがとうございます。
了解しました、やはりCLIで設定ですね。

ポリシーの方は色々あるんで、CLIやWebUIで色々ごにょごにょやる必要がありそうです。
さしあたり当面の運用に差し障りの無い設定は出来ましたので、その他の機能はマターリ
触っていこうと思います。

146 :FG200ユーザ:03/12/28 21:35 ID:HNZyxu4r
誰か管理コンソールのログインURL誰か教えてくれませんか?
https://xxx.xxx.xxx.xxx〜だったと記憶してるんですが・・・
またIDSセンサーの設定が飛んだみたいです。
頻繁になりますが誰か同じ症状で悩んでる人いませんか?
私今帰省中で会社に行いけないし、ベンダー休みだし・・・
このままだとアラートメールが止まりません。
本当に困っています。

147 : ◆JeYFCvvdow :03/12/29 01:55 ID:???
>>146
https://FG2000のIFのIPアドレス/
でしょ?

> またIDSセンサーの設定が飛んだみたいです。
> 頻繁になりますが誰か同じ症状で悩んでる人いませんか?

またってことは以前も飛んだのですか?
っていうか、飛ぶものなんでしょうか?
そういえば、以前書いたIDSのチェックのON/OFFが効かない件はMR5で
修正されたはずなのに、まだ改善されていないっぽい。
もしかして、うちもその飛んだのだろうか・・・。

148 :FG200ユーザ:03/12/29 08:28 ID:XcoV/UD/
導入後半年位です。
飛んだのは3回目です。IDSセンサーのところで200番、212番ってチェック
いれますよね。あれです。
設定が飛ぶのはこれだけです。
その他のポリシー設定とかは飛んでないです。
https://FG200のIFのIPアドレス/の後に何か付くんです。
誰か知ってる人いないかなー・・・




149 : ◆.p586Vj8xI :03/12/29 14:44 ID:EBPEF17U
>>147
MR5でもまだ設定が反映されないあたりの不具合残ってます。
MR6で修正されたと聞いています。

>>148
200番?212番?なんで番号??
そもそもどのバージョンを使用されていますか?
アドレスは最後の/の後は何もつけなくて大丈夫です。
何も付けないで見えないなら、何かを付けても見えません。

150 :61 ◆FG200xXuLw :03/12/29 16:55 ID:???
うちのFG200だけなのか、時計がやたらと遅れて行きます。
ntpの同期設定は行っているのですが、同期してないように思われます。
ntpサーバは、ntp1.jst.mfeed.ad.jp を設定、同期周期は60分にしてあります。

本年は皆様ご助言ありがとうございました、よいお年を、、、

151 : ◆.p586Vj8xI :03/12/29 18:17 ID:EBPEF17U
>>150
MR6の段階でも、NTP鯖はFQDNで認識できないバグが存在します。
とりあえずIPアドレスで入力しておくしか今は手がありません。

152 : ◆JeYFCvvdow :03/12/29 19:10 ID:???
>>150-151
FortiGateに限った話ではないですが、IPアドレスで指定するか、
FQDNで指定するかって結構悩むんですよね。
IPアドレスだとアドレスが変更になった場合接続できないし、
DNSだとDNS鯖が氏ぬと接続できない。

IPアドレスで指定する方がリスクは低いと思うのですが、
Y!Japanのように年1ぐらいでアドレスが変わっているところを
見てしまうと考えてしまいます。
# 私はY!のDNSRRでババを引かないようにhostsに書いているので、
# こういうアホな悩みを持ってしまうわけなのですが・・・。
スレ違いスマソ。

153 :FG200ユーザ:03/12/31 11:31 ID:tcJRXMXV
管理コンソールに入れました。
やはりIPアドレス指定だけでOKでした。
ご迷惑おかけしました。
ベンダーから指定されたのはIPアドレスのあとに何かついていたので・・・
NIDS ALERT: ICMP PING CyberKit 2.2 Windowsってなアラートが
5秒に一回来てアラートメールが2万件以上で大変です。
今は設定をしてOKなのでアラートメールはとまっています。
ちなみにベンダーからは年末にバージョンをあげろと言われたので
新年早々にバージョンアップして様子見です。

154 :61 ◆FG200xXuLw :04/01/05 17:10 ID:???
あけましておめでとうございます、本年もよろしくお願いいたします。

>>151
MR6のリリースノートを見てみたら既知の不具合と書いてありますた。
IPアドレス指定でしのぎます。

>>142で設定した、NAPTの設定を少しいじってみたら通信できない
ケースがあるようです、具体的には以下の通りです。

ヴァーチャルIPで、Ext→IntのStaticNAT設定を、ポートフォワーディングで
ポート指定すると、dmzに対してアクセスしようとしているようです。
ポートを限定すれば、ポリシーに書かなくて済むと思ったんですが
現状無理そうなんで、StaticNAT+アクセス制限ポリシーで運用します。

155 : ◆.p586Vj8xI :04/01/05 17:35 ID:TnVwugPA
>>154
ポートフォワーディングでもポリシーに書くのは必須になります。
ポリシーに書かなかったらDMZに行ってしまったのは、
もともとそのアドレスがDMZのセグメントだからだと思います。たぶん。

156 :anonymous@ gatekeeper-tky.datacontrol.co.jp:04/01/08 12:07 ID:???
age

157 :-:04/01/08 19:44 ID:???
>>156
ヲイヲイ・・・。代理店がふしあなさんでageるなよ。
思わず笑っちゃったじゃないか。

158 :_:04/01/08 23:08 ID:???
>157

受けた、受けた。
CheckPointスレのJ社とN社のやり取りみたいなこと起きないかなぁ(藁


159 :@:04/01/10 07:00 ID:???
>>156
たまにですがお世話になっておりますw

160 :anonymous@ fuelup.infocom.co.jp:04/01/10 12:40 ID:???
どうでもいいが、oracle位まともに通るFW作れよなw
今時、WAN間に使えないって業務で使えねえジャンかよ;;

161 :161:04/01/10 14:27 ID:???
>>160
WANにFWおかなければいいじゃん。まさかインターネットに???
ちなみに160のお客さんの話だよね。自分の会社でやろうとした?

162 ::04/01/10 15:43 ID:???
>160
いまどき、動的Portでしか動かないOracleを使う方が
問題では?
(どうしても使いたければ、FW-1導入してください)

固定Portで動くようにしてあれば、大抵のFW通りますので。
(今のOracleは、固定が普通)



163 : ◆.p586Vj8xI :04/01/10 22:32 ID:???
MR5使ってる人はMR6にしましょう〜♪

164 :anonymous@:04/01/11 01:22 ID:0C3EfkH+
>>163
うちはまだMR4なんだけど、リリース情報とかってどこ見ればわかるのでしょうか?
フォーチのメールニュースは購読しているのですが、そういう情報来ないし(2.8は来たけど)

165 : ◆.p586Vj8xI :04/01/11 03:16 ID:vGTeIQLT
>>164
fortinetのwebにアカウント登録してるのであれば、
ファームウェアといっしょにリリースノートも見れたと思います。
たぶん。。。。
なければ買ったところ(or サポートしてくれるところ)に聞いてみるのがいいかと。

166 :anonymous@ ZH017114.ppp.dion.ne.jp:04/01/14 15:30 ID:0Hbxgykc
質問です
FG200へVPN接続するのに、他拠点からADSL+Routerで各クライアントにクライアントソフト(SSH Sentinel)入れて
同時に接続なんて出来るのですか? 拠点のIPは非固定で。
同一IPでのダイヤルアップVPN接続は蹴られちゃうかな?

167 :164:04/01/15 01:14 ID:???
>>165
レスありがとうございます
メールでお知らせが理想だったんですがダメみたいですね
このスレちょくちょくチェックするようにすればOKかなw

168 :anonymous@ p5046-ipbffx02souka.saitama.ocn.ne.jp:04/01/22 11:27 ID:???
FG300って構成した内容をファイルに出力できますか?

壊れた時、このファイルを読み込むだけで設定が復帰できたらうれしいのですが。

169 :souka.ocn:04/01/22 11:44 ID:???
>>166
たぶん出来ないと思います。

170 : ◆.p586Vj8xI :04/01/22 15:08 ID:???
>>168
設定ファイルは保存可能です。
ただ、アンチウィルス検知時のメッセージ等、一部保存されない部分もあります。

171 :souka.ocn:04/01/22 15:53 ID:???
ありがd>◆.p586Vj8xI

仮に設定クリア状態になっても、保存したファイルから戻せます?

172 : ◆.p586Vj8xI :04/01/22 21:24 ID:???
>>171
ファイルから戻せば、現状の設定は全てクリアされてファイルに保存してある設定になります。

173 : ◆JeYFCvvdow :04/01/22 22:17 ID:???
MR6にうpしますた。
以前書いたくだらないバグがなくなりますた。

設定ファイル保存で思い出したのですが、adminユーザーでないと設定ファイルを
保存出来ないのですね・・・。adminにtrusthost制限をかけたので、バックアップを
リモートで出来なくて鬱でした。

174 :souka.ocn:04/01/22 23:01 ID:???
重ね重ねありがd>◆.p586Vj8xI

さて、どこから買おうかなぁ〜。やっぱマクニカでしょうかね。



175 : ◆.p586Vj8xI :04/01/22 23:11 ID:???
>>173
adminとread&writeユーザーの違いってあんまり無いけど、
設定バックアップできないのは不便ですよね。
adminのtrusthostに複数かければいいんですが、1個しか書けないから中書くと外が書けない・・・
WebUIではread&writeユーザーはFGの再起動も出来ないですが、
sshで入ったら普通に再起動できちゃいます(w
設定とるときは、sshで入ってget configで取ってます。
ヘッダつければそのまま戻せるファイルになるので、まぁそれでもよいかなと。

176 :61 ◆FG200xXuLw :04/01/23 08:04 ID:???
>>174
うちは図研扱いのを、付き合いのある商社から購入しました。
設定はFG200に付属してきたUSBメモリにバックアップしています。

177 :anonymous@ 061196101081.cidr.odn.ne.jp:04/01/28 09:16 ID:???
ぷらっとホームでも取扱い始めたね
仕入れは図研からみたいだけど

178 :-:04/01/29 07:40 ID:???
図研のサポートの方ごめんなさい。
リリースノートでfixされたバグと、対応中のバグを混同したバカは漏れです。_| ̄|○

179 : ◆.p586Vj8xI :04/01/29 18:41 ID:???
みんな図研からなのかぁ。

180 :for〜:04/01/30 06:18 ID:???
>>177
それは、去年の春くらいから扱っていたと思う。
調べたら、平成15年5月28日開催のイベントの案内が来ていたよ。

181 :fushianasan:04/01/30 14:52 ID:???
すみません、知っている方がいたら教えて頂きたいのですが、

購入後一年経つと、本体のアンチウィルス機能が停止してしまうのでしょうか。
それとも新規の定義をとる為のアカウントが無効になってしまうイメージですか?

あと、パソQ(www.pasoq.co.jp)などで次年度以降のハードウェア保証を
買えば更新できるのでしょうか?

182 : ◆.p586Vj8xI :04/01/30 14:58 ID:???
>>181
1年?
とりあえず製品だけを買った場合のアンチウィルスのライセンスは90日ですが・・・
で、期限がきても機能自体は動いてます。定義ファイルが取得できなくなるだけです。

パソQのことはよくわからないので、パソQに聞いてみてくだされ・・・

183 :fushianasan:04/01/30 15:13 ID:???
ありがとうございます。
たとえばFG200で、これを買って ttp://store.nttx.co.jp/_II_FG10960488
一年切れる前にこちらを買えばOKです? ttp://store.nttx.co.jp/_II_FG10960307

184 : ◆.p586Vj8xI :04/01/30 15:53 ID:???
>>183
それだと、アンチウィルスのライセンスが90日で切れて、次の1年のを買うまで
アップデートができなくなってしまう気がします。
nttxが仕入れてる販社がどういう扱いにしてるかにもよりますが、
本来、定価638000円のFG200自身は、ファームウェアアップデートが1年ありますが、
アンチウィルスidsのシグネチャデータベースの更新期限は90日に設定されています。

もしかしたら初年度分は販社が製品に含んだ形で販売してる可能性もありますので、
買うところに問い合わせてみてください。

あんまり答えになってないみたいでスマソ

185 :61 ◆FG200xXuLw :04/01/31 10:33 ID:???
>>181
私はパソQつうかここの出資会社のひとつから購入した口です。
パソQから購入しようとすると、多分私と同じ扱いになるかと思われます。
NTT-Xでも同様かも知れません。
(商品構成とか価格を見ると大本のDBは同じように見受けられるんで、、、)

FGは図研さん扱い

初年度基本(センドバック)保守サービス込み、内容は以下
・保障期間1年
・ハードウェア故障時のセンドバック対応
・ファームウェアの最新バージョン提供
・AntiVirus/NIDSデータベースの提供(更新権利)
・技術問い合わせへの対応

で、次年度以降1年間ハードウェア保障を購入すると上記が継続されるのだと思います。

186 :-:04/02/02 02:31 ID:???
うちに出入りしてる図研さんの担当さんは、
このスレ見てるって言ってたな。降臨キボンヌ。

187 :61 ◆FG200xXuLw :04/02/04 10:04 ID:???
MyDoomとかもしっかり弾いてくれていい仕事をしてくれている
うちのFG200ですが、アラートメールをちっとも送ってくれません、、、

DNSはDMZ上のと、Externalのプロバイダのを指定しています。
SMTP ServerにはFQDNでDMZ上のメールサーバを指定し
SMTP Userにもちゃんと、user@domain.comで指定しているのに適用しても
テストボタンが無効のままでテストメールすら送れない始末です。

何故なんだ〜〜

閑話休題
Virusチェック等で一度取り込むみたいなんで、FG自体のRWINとかの
TCPパラメータをチューニングしようと思ったんですけど設定項目が
ないみたいですね残念。

diagしてみたら、CPUはCeleron300MhzだったりNICは蟹8139だったりで
高い割には案外チープな作りなんですな。

188 :○anonymous:04/02/04 10:26 ID:???
>187
> 高い割には案外チープな作りなんですな。

NOKIAやRSに比べれば、高性能CPUだね(w;
やはり、ウイルススキャンのためだろうね。
NICは気にいらないけど。>蟹
トラブルの元だから。


189 :2.8待ち:04/02/04 13:08 ID:???
>187

適用おしてるかい?

190 :61 ◆FG200xXuLw :04/02/04 13:38 ID:???
>>188
ウイルススキャンとかはF32つうASICがやってるんじゃないのかなぁ〜
書庫の解凍とかはCPUのお仕事だと思いますけど

>>189
適応ボタン押しまくりですよ、、、

191 :_:04/02/04 13:46 ID:???
>190
実際のところ、どうなんでしょ。
ベースOSがLinuxとかだったら、ソース要求すれば公開義務あるんだけど。
見れば判る。(見たい)


192 :fushianasan:04/02/04 14:13 ID:???
>>187
◆FG200xXuLwさん、ありがとうございます。

切れる前に、更新ライセンスを買えばいいってことで、とりあえずFG200
買ってみます。
でもなんで大本のDB同じなんだろう???パソQ

193 :61 ◆FG200xXuLw :04/02/04 14:54 ID:???
>>191
diagで色々情報見てみたけど、ベースOSの痕跡とか私には判りませんでした。

>>192
お〜仲間が増えそうだ。
サポート条件とかが同じって事が前提になりますが、http://support.fortinet.com/registration.aspx
では、個別の製品登録は出来ません。図研さんの代表IDのような物に紐付きで登録されるそうです。
http://support.fortinet.com/へのログインは、この代表IDで行うことになってます。
(何人で共有しているか知らないけど、パスワード変更してくれるなと言われてまつ)

>でもなんで大本のDB同じなんだろう???パソQ
出資会社のBtoBシステムのDBが大本なんだと思います。
で、ASPサービスか何かをやっていて、NTT-Xとかも物流まで面倒みているんじゃないかな。

194 :Q:04/02/05 09:45 ID:???
次期OSからは全機種PPPoE対応になるって

195 : ◆.p586Vj8xI :04/02/06 12:14 ID:DquQSpP/
>>187
それってFG200ですか?FG100じゃなくて?
上位機種のNICはIntelだったり。

>>194
現時点の2.5でも全機種PPPoE対応なんですが・・・

196 :Q:04/02/06 15:09 ID:???
>>195
ってことはこのデータシートのスペック表は古いってことなのか
http://www.fortinet.com/jp/doc/FortinetBroch.pdf

販売代理店からは「次のOSから」ってアナウンスがあったけど

197 :61 ◆FG200xXuLw :04/02/06 15:28 ID:???
>>195
はい、FG200です。以下diagの抜粋

FG200 # d h g s c
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 8
model name : Celeron (Coppermine)
stepping : 10
cpu MHz : 300.687
cache size : 128 KB
後略

FG200 # d h g s iop
前略
8800-88ff : Realtek Semiconductor Co., Ltd. RTL-8139
8800-88ff : 8139too
8c00-8cff : Realtek Semiconductor Co., Ltd. RTL-8139 (#2)
8c00-8cff : 8139too
9000-90ff : Realtek Semiconductor Co., Ltd. RTL-8139 (#3)
9000-90ff : 8139too
9400-94ff : PCI device 15bc:4001 (Agilent Technologies)
9400-94ff : FortiASIC32

>>187
自己解決しますた、SMTPユーザ名に変な物が入っていたようです。

198 : ◆.p586Vj8xI :04/02/06 19:10 ID:DquQSpP/
>>196
それは古いです。
たぶん日本語訳する人が古い資料でも見ながらやっちゃったクチでしょう。
英語のほう見たほうがいいです。
http://www.fortinet.com/doc/FortinetBroch.pdf

そして対応した代理店も日本語サイトのPDF見て答えちゃったクチなのか?
画面見たらわかるのに。

199 : ◆.p586Vj8xI :04/02/06 19:13 ID:DquQSpP/
>>197
あらん、FG100とFG200ってCPU一緒だったのか。
FG100がCel300ってのは覚えてたので、FG200はてっきり別かと思ってました。すんまそん。

200 :@:04/02/07 19:54 ID:sPlihXdt
MyDoomがスルーしまくるんだけど!って思ってFG覗いてみたら
ウイルスパターンが12/13から更新されてなかったよ
そのあたりの自動処理は信用してたんでガックシ

201 :ななしさん:04/02/07 23:38 ID:sapUk0n/
>>191,193
x86系のlinux 2.4だと思われます。diagで見える各種メッセージが
kernel 2.4系のlinuxのそれと全く同じです(w
Flashのデバイス名も/dev/hdaだったような気が…


202 :-:04/02/08 11:24 ID:???
>>200
それはきちんと管理していない藻前が悪い。

203 :岸朝子:04/02/08 13:20 ID:???
ウイルスパターンが更新されない不具合あったね
手動アップデートしたら直ったけど、あれはフォーチの方でもっと大きく発表してもいい不具合なんじゃないかと思ったよ

204 :for〜:04/02/08 13:29 ID:???
もし、情報持っていたら教えて下さい。
FortiGate 60 の上位版みたいな機種は出ないんでしょうか?
200を検討しているけど、3ポートしかないのが気になっているんで…

205 :ななし :04/02/08 21:27 ID:???
>201
じゃあ、Fortigateに言えば、ユーザで無くても
「ソース頂戴」で貰える筈だよね。
ましてや、ユーザや代理店なら。
少なくともカーネル組込みした部分は。

貰って公開してくださいな。
(守秘義務は無い筈)


206 :Q:04/02/09 09:45 ID:???
>>198
なるほど,納得しました
ありがとうございました

しかし某代理店はこの製品あまり詳しくないってことだな

207 :61 ◆FG200xXuLw :04/02/09 15:58 ID:???
>>205
洒落でソース要求してみましょっか?
仮にもらえても私にはメリットも利用価値も何もないですけどね。

どんな文面を送ればよいのでしょうか?テンプレキボン

208 :ななし :04/02/09 16:09 ID:???
>207

こんな感じで、どうでしょう?

FortiGate各製品は、内部でLinuxカーネルを利用していると
見受けられます。
GNU Public Licenseに基づき、ソースを入手したいので、
メールに添付して送っていただけますでしょうか?

うだうだ言ってくれなかったら、

なお、内部にLinuxを使っているにも関わらず、著作権者表示が
無い様子が見受けられます(マニュアルにあれば削除)
これに関しては、改善されなければ、GNUに連絡を取らせて
いただくことになると思います。


209 :動詞:04/02/10 07:56 ID:???
>>207
洒落はやめたほうがよい。本気で欲しいと思う人が米国本社へアクセス
してみるのがよいと思う。ちなみに、Linksysも最初黙っていてLKML他
で騒ぎになり公開されて、今ではOpenWRTプロジェクトもできました。

210 : ◆.p586Vj8xI :04/02/18 01:35 ID:???
もうすぐ2.50MR7がリリースされるらしい。

211 :@:04/02/22 16:45 ID:???
2.8の話はその後全然でないね

212 : ◆.p586Vj8xI :04/02/22 23:44 ID:???
>>211
2.8は4月予定と聞いています。

213 :名無しさん@お腹いっぱい。:04/02/23 16:59 ID:???
>>210
いつごろですつか?

こいつはぬるぽワームに対応していますか?

214 : ◆.p586Vj8xI :04/02/23 18:19 ID:N9Y8wOHP
>>213
2月中には出ると聞いていますが、遅れる可能性もあります。
ぬるぽワームとはなんでしょう?

215 :61 ◆FG200xXuLw :04/02/24 10:58 ID:???
>>210
変更点とかリークキボン

216 :ぬるぽ:04/02/24 20:10 ID:???
>>214

ぬるぽワーム
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_ANTINNY.A

217 :初心者:04/02/24 20:17 ID:???
ウィルススキャンでタイムアウトになりまつ。
特定のサイトからのダウンロードを
スキャン対象から外すことはできまつか。

218 : ◆.p586Vj8xI :04/02/24 21:45 ID:oqv+RFwF
>>216
今は対応リストにないですね。
そもそもwinny経由だとウィルスチェックできません。

219 : ◆JeYFCvvdow :04/02/25 00:03 ID:???
>>217
そんなもん、特定のサイトをウィルススキャンしないルールを書けばいいじゃん。
って、これじゃダメ?

220 :217:04/02/25 11:45 ID:???
>>219
やり方がわかりませんのでお手数ですがご教授願います。

221 : ◆.p586Vj8xI :04/02/25 13:52 ID:QeraCVoq
>>220
ポリシーで書いてください。
その特定のサイトのIPアドレスのポリシーを書いて、そのポリシーではウィルススキャンしない設定にして。

222 :217:04/02/25 19:49 ID:???
>>221
ありがとうございます。
やってみまつ。

223 : ◆JeYFCvvdow :04/02/25 22:37 ID:???
>>222
>>219で「これじゃダメ?」と書いたのは理由があってですな、
Y!JapanみたいにDNSラウンドロビンしているところでは、
ある日突然ウィルススキャンするようになるんですよ。

>>221
このあたりの回避策ってURLフィルタとかで上手く出来ないもんですかね?
DstやSrcにDNS名を使えればいいのですが・・・。

224 : ◆.p586Vj8xI :04/02/26 10:22 ID:gzu7KdYY
>>223
今の仕様だと無理ですな。IPアドレスで処理してるので・・・
ちょっと中の人に聞いてみます。

225 :( `∀´)y-~~:04/02/26 21:32 ID:???
ウイルスパターンファイル 4.229
キタ━━━━━━(゚∀゚)━━━━━━!!!!!

ここでは誰もうpだて情報はやらないのですか?

226 :61 ◆FG200xXuLw :04/02/27 08:25 ID:???
>>225
ウイルス/アタックデータベース更新はFGの中の人が勝手にやってくれるんで
私はあんまり気にしてませんね。
かきこ時点で、ウイルスパターンは4.230になってますた。

Firmの方は手作業なんで、キタ━━━━━━(゚∀゚)━━━━━━!!!!! と
言ってもらうと助かります。MR7はそろそろかな?


227 : ◆.p586Vj8xI :04/02/27 14:52 ID:E9jfqxAZ
FortiWiFi-60って、名前もっと考えられんかったんかのぅ・・・
そしてFortiLogが復活してる。過去にラインナップにあったけど消え去ったやつ。

228 :初心者:04/02/27 20:42 ID:???
FortiGateのまとめサイトやナレッジベース、FAQ、
ドキュメントなどはどこかにないものですか。
何をどのように設定すればよいかわからなくて困っています。

229 : ◆JeYFCvvdow :04/02/27 23:33 ID:???
そういえば、MR6にしてから1回目のログオンに
必ず失敗するのですが、そういう仕様なんでしょうか?

230 : ◆.p586Vj8xI :04/02/28 01:30 ID:5WIlSe7K
>>229
MR6にしてから・・・というより、IE6のパッチをあててからだと思います。たぶん。

231 :& ◆RdmUjfVKqQ :04/02/29 23:34 ID:???
W32/Bagle.C-mm対応ウイルスパターンファイル 4.231
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
W32/Bagle.D-mm,E-mmはまだこない。
新種ウィルスの対応は他のベンダーに比べてだいぶ遅いね。
1分1秒を争うワーム全盛の現在では安心できないね。

232 :61 ◆FG200xXuLw :04/03/01 10:04 ID:???
>>228
何がどう判らないのか、判りませんが、、、
基本的には次の手順で最低限使えるようになると思います。

・ネットワーク構成を決めて、「システム→ネットワーク」でインターフェースの設定とかを行って通信できるようにする。
・何処から何処に何の通信を通す/通さないかを決めて「ファイアウォール→ポリシー」に書く。
 事前に「ファイアウォール→アドレス」の所で、IPアドレスとそれに対応する名前を登録しておく。
 また、「ファイアウォール→サービス」の所で、サービスグループを作っておくとポリシーをたくさん登録しないで済む。

それぞれ個別の設定方法は、マニュアル・オンラインヘルプを参照の事
どうしても判らない時は、このスレの詳しい人が教えてくれるでしょう。
私も色々教えて頂きました。Thanks>>ALL

233 :for〜:04/03/01 12:52 ID:???
>>231
まだ導入検討中なんだけど、Gateway(Fortigate)のウイルス対策とは別に、
クライアントとかサーバーのウイルス対策が必要なのは、常識では無いの?
それと、Gateway側のウイルス対策ソフトと、他のはメーカーを分けると、
セキュリティが上がると聞いた事があったけど、それも常識では無いの?

それほど、詳しくは無いので、どこかで聞いた知識で申しわけないけど、
そういうものかなぁと思ってたんで、詳しい人教えて下さい。

234 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/01 15:43 ID:???
人(企業)それぞれでしょう

235 : ◆.p586Vj8xI :04/03/01 17:54 ID:0fzqyV/c
>>233
自分は、ゲートウェイとPC(クライアント)は両方必要と思っています。
PCだけ or ゲートウェイだけ は避けます。

236 :228:04/03/01 18:57 ID:???
>>232
ありがとうございます。
今困っているのはノートン先生のLiveUpdateが
タイムアウトになってパターンファイルが更新できないことです。

237 :231:04/03/01 20:27 ID:???
>>233
うちはPC、サーバー、グループウェアサーバー
SMTPゲートウェイでウィルススキャンをしています。
今回HTTPゲートウェイのスキャンをやりたくてFortigateを買ったのですが、
欲が出てSMTPゲートウェイも置き換えられないかと思っているのですが、
>>231 に書いたとおり対応の遅さにあきらめています。

238 : ◆JeYFCvvdow :04/03/01 21:41 ID:???
>>237
いやいや、FortiGateの方が対応が早いものもあれば逆もある。
Fortiの方が早くても目立たないが、遅い方は目立ってしまう。
新参者の扱いってこんなもんだと思いますよ。

239 :61 ◆FG200xXuLw :04/03/02 11:01 ID:???
MR7
キタ━━━━━━(゚∀゚)━━━━━━!!!!!
リリースノートはまだなのね

240 :61 ◆FG200xXuLw :04/03/02 11:44 ID:???
>>236
Fortinet Technical Discussion Forumに以下の記事がありました。

Symantec Updates -- Use URL Exemptlist

A PC/server behind a FGT with HTTP scanning enabled will sometimes encounter problems obtaining Symantec/Norton updates.

The simplest workaround is to use the URL exemptlist to disable AV scanning for that one site.

Put the following in the URL exemptlist:
symantecliveupdate.com

RE: Symantec Updates -- Use URL Exem... (in reply to chall)

According to Symantec, they could use update servers from any of the following URLs:

The domains that LiveUpdate accesses are:
HTTP: symantec.com, symantecliveupdate.com, and akamai.net.
FTP: speedera.net


241 :61 ◆FG200xXuLw :04/03/02 11:50 ID:???
MR7を早速入れてみました。
細かい変更点はリリースノートが無いので判りませんが
FG200の場合、ウイルススキャン上限ファイルサイズが100MBに拡張されてました。

242 : ◆.p586Vj8xI :04/03/02 12:21 ID:IPezf5Bu
>>241
拡張された分、メモリをどんどん食っていくので気をつけたほうがいいです。


243 :不明なデバイスさん:04/03/02 21:50 ID:???
>>241
ソフトバンクBBはまだみたい。

>>242
前に話題になったメモリ増設は無理なのかな。

244 :61 ◆FG200xXuLw :04/03/03 10:32 ID:???
>>243
ソフトバンクBBのは、http://support.fortinet.com/にログインできないんですか?

メモリ増設できないかと少し調べてみたら、FG200はチップセットがIntel440MXで
これの最大メモリサイズは256MBなんで無理そうです。

245 :買いました。:04/03/03 14:16 ID:???
先輩方教えてください。
Default content profilesにStrict,Scan,Web,Unfilteredの4つがあるのですが、
それぞれどのような役割を設定するものですか。
設定画面はどれも同じなっているため使い分けがわかりません。
標準的な使い方であればデフォルトで問題はないのですか。
こちらではHTTP,FTP,SMTPのウイルススキャンができれば十分です。

246 : ◆.p586Vj8xI :04/03/03 16:12 ID:XinhBWLT
>>243
そういえば忙しさで忘れてました・・・<メモリ増設
244さんのいうとおりなのかもしれません。(って、また忙しさで未確認・・・

>>245
デフォルトで存在する4つは、それぞれを開けば項目わかるようになっていると思います。
「デフォルトで」って話なら、すべて設定が違うはずです。
全て同じになってるのなら、それは初期状態ではないです。
まずそれを確認してみてください。
あと、できればバージョンも書いていただいたほうがいいです。違う話をしてしまうと困るので。

「デフォルトの状態なら」の話ですが、Scanのプロファイルが一般的なのかと思われます。
自分で使うなら、Scanのプロファイルに分割メール転送を有効に修正してから使うかも。

247 :買いました。:04/03/03 16:54 ID:???
>>246
説明の仕方が悪くてすみません。
すべて同じと言うのは設定画面が同じで、チェックされているところは違います。
バージョンは、2.50,build171,031215です。
たとえば、Strictは、
アンチウィルススキャン〜Eメールコンテンツブロックまですべてチェックあり
上限サイズを超えるファイル/Eメールがすべてブロック
分割メール転送がすべてオフ
といったせっていになっています。
Scan、Web、Unfilteredは(意味があると思うのですが)まばらにチェックにされています。
よくわからないのが、Strict、Scan、Web、Unfilteredの優先順位というか
何に対してチェックが有効なのかということです。
StrictでほとんどチェックされているのでScanなどは重複するような気もするのですが、
実際は違うと思うのですが、そのへんが理解できていません。
情けない質問ですみませんが、詳しく教えてください。

248 : ◆.p586Vj8xI :04/03/03 17:19 ID:XinhBWLT
>>247
Strict
いちばん厳しい設定です。全プロトコルウィルスチェック有効なのはもちろんのこと、
上限サイズを超えたら止める設定や、Web・Eメールのコンテンツフィルタ等も全て有効です。
ファイルブロックも有効なので、設定されてる拡張子のファイルも全て止めます。
安全・・・なのかもしれませんが、これは不便すぎるとおもいます。zipもダウンロードできませんし。

Scan
ウィルススキャン用の設定です。
全プロトコルのウィルスチェック・隔離を有効にしてあるものです。
私はこれが無難だとは思いますが、抜けとして、設定サイズを超えたファイルがあったら
ウィルスチェックせずにスルーするのと、分割メールがブロックされるようになっているので、
そのあたり注意が必要かもしれません。

Web
Web(http)用の設定です。
httpのウィルスチェック・隔離と、コンテンツフィルタ系が有効になっています。
他のプロトコルの設定は無い状態です。

Unfiltered
Web対象外リストと、Eメールの対象外リストの設定だけが入ってるものです。
これは使う人いるのか?って設定かも。

てきとうな説明ですいません。
全項目を理解して、それぞれ有効か無効かを自分で設定するのがほんとは一番かと思いますので、
チェック項目でわからないのがありましたら書いてください。私のわかる範囲で説明します。

249 : ◆.p586Vj8xI :04/03/03 17:21 ID:XinhBWLT
>>247
ちょっと追加。
プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。

250 :買いました。:04/03/03 17:44 ID:???
>>248,>>249
丁寧に説明していただきありがとうございました。
>プロファイルで設定したものは、ポリシーで選択してはじめて有効になります。
>プロファイルは複数設定して、ポリシーごとに選ぶことが可能なので、
>クライアント->外、外->鯖 などなど、用途にあわせたプロファイルを作成するのがいいと思います。
そういうことなのですね。
ちょっといじってみます。
ありがとうございました。

251 :買いました。:04/03/03 18:05 ID:???
外→内用プロファイル
アンチウィルススキャン:HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

内→外プロファイル
アンチウィルススキャン:SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効

外→内ポリシー:外→内プロファイル
内→外ポリシー:内→外プロファイル
ちなみにファイアウォールとルータの間に
トランスペアレントモードでFortiGateを入れています。


に設定しました。
イントラPCのWeb利用時のHTTP、FTPウィルスチェックと
メール(SMTP)のウィルスチェックがしたいのでこれでよいような気がします。
間違っていたら指摘してください。

252 :買いました。:04/03/03 18:41 ID:???
こちらもノートン先生(企業用)を使っています。
社内LiveUpdateサーバーがシマンテックのLiveUpdateサーバーから
LiveUpdateでウィルス定義ファイルなどダウンロードするのですが、
>>236 さんと同じでタイムアウトになります。

>>221 さんのアドバイスどおり設定しようとすると、
シマンテックのLiveUpdateサーバーをIPアドレスで指定するようになるのですが、
>>223 さんの指摘のように、
サーバーが複数ありその上ラウンドロビンDNSで負荷分散しているため
すべてのIPアドレスを見つけるのは容易ではありません。
liveupdate.symantecliveupdate.com
というような指定は出来ないものなのですか。
シマンテックユーザーの方はどのように設定していますか。
何かうまい方法があるのですか。
トレンドマイクロやマカフィーではこのような問題はないのですか。

253 : ◆.p586Vj8xI :04/03/03 19:18 ID:XinhBWLT
>>251
あら?
「イントラPCのWeb利用時のHTTP、FTPウィルスチェック」の部分ですが、
イントラPCとは、プロファイルの「内」の部分のことですよね?
だとすると、プロファイルが逆かも。
たとえばInternalに接続されているPCがExternalから外にあるWeb(インターネット)を見てるときに
ウィルスチェックしたいのであれば、
内→外プロファイルにhttpのスキャンが必要になります。

処理の方向は、あくまで「セッションを張る方向」と思ってください。
クライアントがInternalにあって、メールサーバーがExternalの向こうにあって、
クライアントからPOP3でメールを取りに行くときにウィルスチェックしたいのであれば、
Internal→External のポリシーでウィルスチェックが有効になってなければいけません。

254 :243:04/03/03 20:00 ID:???
>>244
ソフトバンクBBはダメです。

255 :( `∀´)y-~~:04/03/03 20:55 ID:???
FortiGateは対応していないかな。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_WILDJP.A
この手のウィルスに有効なソリューションだともっと売れるね。

256 : ◆JeYFCvvdow :04/03/03 21:42 ID:???
>>252
うちもNortonAntiVirus企業版ですが、タイムアウトになったことはありませんね。

Web Exempt Listを上手く使えば、こういうことが出来るような気がするんですが、
うーん、考えつかない・・・。 (>_<)
ちなみに>>223で書いたラウンドロビンの問題はある日突然IPアドレスが
変わることなんですよね。

257 :228:04/03/03 22:01 ID:???
>>256
うちは1回のダウンロードで15個の更新ファイル数十MBをダウンロードします。
あとはファイアウォール(ForitGateではない)の設定かな。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp

258 :買いました。:04/03/04 09:02 ID:???
>>253
実は書き込んだ後ウィルステストをしたら効果がなくて
いろいろかんがえても原因がわからず、
内→外プロファイル
アンチウィルススキャン:SMTP有効 ⇒ HTTP、FTP、SMTP有効
隔離:SMTP有効
上限サイズ〜:すべて転送
分割メール転送:SMTP有効
にしてしまいました。
ご指摘の件を参考に、
外→内ポリシー:外→内プロファイル ⇒ 内→外プロファイル
内→外ポリシー:内→外プロファイル ⇒ 外→内プロファイル
に訂正したらうまくいきました。
あとは>>252 のノートン先生の問題が解決すればハッピーです。
ありがとうございました。

259 :61 ◆FG200xXuLw :04/03/04 09:35 ID:???
>>258
>>240に対処方法を書いてみましたが、試してみてはいかがでしょうか?

Webフィルタ>対象外Urlリストに、symantecliveupdate.comを追加
ファイアウォール>プロファイルで、Web 対象外リストにチェック

260 : ◆.p586Vj8xI :04/03/04 09:37 ID:JqFukwXd
>>258
うちにノートン先生が無いのでテストできないんですが、
257に書いてあるURLを見る限りではhttpかftpで外に出て行くだけだから
そのポリシーがあれば問題ないかと思うけど、そうじゃないんだよねぇ。
ウィルスチェックを無効にしてればのーとん先生ちゃんと動きますか?

261 :買いました。:04/03/04 10:10 ID:???
>>259
やってみます。

>>260
スキャンサイズを最低の1MBsにするとタイムアウトしないのはわかっています。

262 :買いました。:04/03/04 10:26 ID:???
>>261
無事に設定できました。
ttp://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?open&prod=&ver=&pcode=&src=&miniver=&tpre=jp&prev=&dtype=corp
に書かれている
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
*.akamai.net
を設定しました。

すでに60303iは今朝ダウンロードされているので、
次の更新があるまで結果がわかりません。
最近は日に数回更新があるので、
(新種発生ですのでよいことではありませんが)
この調子だと今日明日に結果が出るかもしれません。

263 :61 ◆FG200xXuLw :04/03/04 10:50 ID:???
>>262
akamai.netを対象外Urlリストに入れるのは微妙な所ですよね。
社内LiveUpdateサーバー用のプロファイルを作って、ポリシーに
社内LiveUpdateサーバーを書いてあげるのが良いような気がします。

対象外Urlリストもグループ化できるといいなと思いました。

264 :61 ◆FG200xXuLw :04/03/04 11:17 ID:???
MR7のリリースノートが出てました。

機能拡張
・RADIUS port numberが設定できるようになった。
・SYSLOG facility levelが設定できるようになった。
・アンチウイルスのスキャンサイズの上限を増やした。
 以前はシステムメモリの15%が上限だったが、40%が上限になった。
・BASE64エンコードされた添付ファイルをウイルススキャンできるようになった。
・新機種サポート(50A、FortiWIFI-60、4000)

バグフィックス26件詳細省略

既知のバグ8件詳細省略


265 :買いました。:04/03/04 11:30 ID:???
>>263
レベルが低くてすみませんが教えてください。
(1)プロファイル
新規作成のデフォルトに対し、Web対象外リスト有効
だけでよいのですか。
(2)ポリシー
送信元:Internal
宛先:External
で新規作成し、
送信元:すでにあるInternalのアドレス(0.0.0.0/0)
宛先:すでにあるExternalのアドレス(0.0.0.0/0)
スケジュール;Always
サービス:ANY
アクション:ACCEPT
コンテンツプロファイル:(1)でつくったプロファイル
でよいのですか。
何か違う気がするのですが。

266 : ◆.p586Vj8xI :04/03/04 11:43 ID:JqFukwXd
>>264
あきらかにバグフィックス項目少なすぎ。
リリースノートにのってない修正項目が多大にあると思われ。

>>265
送信元はInternal_Allではなく、LiveUpdateの鯖だけのアドレスグループを作成し、それを選んだほうがいいです。
それと、Internalのアドレスがプライベートアドレスで、NAT/RouteモードならばNATのチェックボックスは必須で。

267 :買いました。:04/03/04 11:54 ID:???
>>266
FortiGateはファイアウォールとルータの間にトランスペアレントモードで入れてます。
(グローバルです)
社内LiveUpdateサーバーはプライベートIPですが、有効になるのですか。

268 :買いました。:04/03/04 12:06 ID:???
>>267
ポリシーが
# ID 送信元 宛先
1 1 Internal_All External_All
2 2 External_All Internal_All
3 3 LiveUpdate External_All
という順になりましたが、順番(優先度など)はこれでよいのですか。

269 : ◆.p586Vj8xI :04/03/04 12:19 ID:JqFukwXd
>>267
FortiGateを通過する時点でのアドレスなので、グローバルアドレスでアドレスグループを作成してください。

>>267
それでは3番目のポリシーが有効に働きません。
優先順位は上からです。ポリシーを上から順に見ていって、該当するものがあれば処理されて下には行きません。

270 : ◆.p586Vj8xI :04/03/04 12:21 ID:JqFukwXd
>>268
ポリシーの表示はモデルによって違ったりする部分もあるので、
モデル名等も書いていただけると・・・

271 :買いました。:04/03/04 12:25 ID:???
>>269
そうするとNAT処理されていますので、Internal_Allと同じになってしまうと思います。

>>270
Fortigate-200 2.50,build171,031215です。

よろしくお願いします。

272 : ◆.p586Vj8xI :04/03/04 12:30 ID:JqFukwXd
>>271
そういえばそうか・・・・
じゃぁInternal_Allしか選択できないですね。Internal配下にグローバルアドレスで何かがなければ。
とりあえずポリシーの順番だけ変えればOKだと思います。

273 : ◆.p586Vj8xI :04/03/04 12:31 ID:JqFukwXd
>>271
NAT処理している機器の内側にFortiGate入れるのはどうだろう。と思ってみた。思ってみただけ・・・

274 :買いました。:04/03/04 12:37 ID:???
>>272
了解です。

>>273
こちらですとファイアウォール(内側)とスイッチの間になります。
どこに入れるのが一般的(もしくは効果的)なんですか。

275 :61 ◆FG200xXuLw :04/03/04 13:16 ID:???
>>274
私の所はそんなに規模が大きくないので、FG200のみで
ExternalはPPPoE、DMZはGlobal、InternalはプライベートIPのNAPTで運用しています。

Globalアドレスに余裕があるなら、既存FirewallでLiveUpdateサーバに1対1NATするとかどうですか?
大幅にネットワーク構成変えてもいいのなら、既存FirewallをやめてFG200にやらせるとか

276 :VPNってどお?:04/03/04 14:07 ID:Rl0t97k2
Fortigate-200 導入しようかとおもっているのだが
実際 VPN の安定性とかどおなのでしょうか?
使っている人います?

277 :anonymous@ p1035-ipad74marunouchi.tokyo.ocn.ne.jp:04/03/04 15:09 ID:???
導入検討中なのですが
コンテンツフィルタリングはどういう設定方法になるのでしょうか?
シマンテックのみたいにカテゴリー選択方式ですか?

278 : ◆.p586Vj8xI :04/03/04 15:17 ID:JqFukwXd
>>276
自分とこではVPN使ってますが、いまんとこべつに障害とかは無いですねぇ。
他の方どうでしょ?

>>277
FortiOS2.5では、全て手入力でのコンテンツフィルタリングです。
Cerberianのエンジンはのってるんで、ライセンスあれば可なんですけどねほんとは。
正式対応(?)は2.8からになります。2.8からはカテゴリ選択で可。

279 :買いました。:04/03/04 15:23 ID:???
>>275
構成は変えられないです。

280 : ◆.p586Vj8xI :04/03/04 15:32 ID:JqFukwXd
>>274
そもそも構成がわからないのでなんとも言えないのですが、
FortiGateを入れるのは、「FortiGateで何かしたいトラフィックがある場所」ってことですよね。
プライベートアドレスをNATする箱の外のネットワークにいま付けてると思いますが、
そのNATされて出てくるパケット以外にFortiGateを通す必要なものがなければ、
NATの箱の内側にトランスペアレントモードで入れるのがいいかもしれません。

281 :買いました。:04/03/04 15:51 ID:???
>>280
1番の目的はHTTP、FTPのウィルスチェックです。
2番の目的はSMTPのウィルスチェックです。
これは現在やっているもの(DMZにある)を置き換えを狙っています。

で何かしたいトラフィックですが、
基本は内側で、欲を言うと+DMZです。
それでファイアウォールとルータの間に入れています。

282 :277:04/03/04 17:04 ID:???
>>277
回答ありがとうございます
現状ではURLを指定してブロックするしかないわけですね

283 :277:04/03/04 17:06 ID:???
上のは>>278さんへのレスでした

284 : ◆.p586Vj8xI :04/03/04 17:26 ID:JqFukwXd
>>282
コンテンツフィルタについて補足。
Cerberianのコンテンツフィルタリングのライセンスは別料金になると思います。

285 :VPNってどお?:04/03/04 17:34 ID:Rl0t97k2
回答ありがとうです。
HTTP、FTP、SMTPのウィルスチェックですが、実際すべてスキャン対象
とした場合、Fg200 だとどのくらいのスループットがでるでしょうか?
PC200台くらいなら問題ないですかね、ちなみに接続は、フレッツ100Mです。

286 : ◆.p586Vj8xI :04/03/04 17:57 ID:JqFukwXd
>>285
えぇと、PC200台で設置したことないので想像になってしまいますが、
FG200ではちときびしいのかと。
カタログ値のスループットはFirewallのみだし。
FG300・・・欲を言えばFG400かな。でも高い・・・
VPNも使うのですよね?

ちなみにIDS系ってけっこう処理重いらしいです。

287 :買いました。:04/03/04 19:51 ID:???
>>285
似たような環境ですが、問題ないと思いますよ。
速度測定サイトでは惨敗かもしれませんが、
日常的な業務使用では問題ないと思います。
こちらはVPNなしですのでそのへんは勘弁してください。

288 : ◆JeYFCvvdow :04/03/04 21:46 ID:???
>>276
>>278
うちも特に問題は無いです。IPSecはね。

話はそれますが、以前>>139で話していた、
PPTP clients assigned out of range IP addresses(Bug ID:0004195)
のバグですが、MR7のリリースノートを見たところ、闇に葬られたような気が・・・。
Open Bugsにも載ってない・・・。単なる書き忘れなら良いのですがね。
図研さん、後よろしく。

289 :買いました。:04/03/05 09:05 ID:???
60303alがアップされたので試したところ、
タイムアウトせずすべてダウンロードできました。
いろいろとアドバイスいただきありがとうございました。
ただ、ファイアウォールのNATもいじっていますので、
もしかしたらこちらが真因かもしれません。

290 :VPNってどお?:04/03/05 10:02 ID:oC11OFmr
いろいろと情報頂ありがとうございます。
導入の方向に向け、動いているので助かりました。


291 :61 ◆FG200xXuLw :04/03/05 11:00 ID:???
>>285
実効スループットは判りませんが、FG200を通すと以下のような感じになります。

DL元→FG200(AV対象ファイル取込&チェック)→クライアント

例えば、IEで何かをDLしようとした時、FG無しだとすぐにダイアログが出ますが
FG経由だと、取込&チェックが終わるまで応答してくれないので
大きいファイルをDLした時とかにストレスが溜まったりするかも知れないです。

ところで、AV自体は同時複数セッションで行われるようですが
同時セッション数の制限とかメモリを使い切った時の挙動とか教えてほしいです。

292 :買いました。:04/03/05 11:44 ID:???
ノートン先生の問題が解決して当初狙っていた内容は無事にクリアできました。
みなさまありがとうございました。

欲が出てきたというか、NIDSがどんなものか試してみようと思うのですが、
検知−一般−Externalチェック、IP、TCP、UDP、ICMPすべてチェック
検知−シグニチャリスト−有効すべてチェック
防御−防御を有効にするチェック、シグニチャ有効すべてチェック
などという設定でよいものですか。
実際に使われている方アドバイスお願いします。

293 : ◆.p586Vj8xI :04/03/05 11:45 ID:pKZtINQL
>>291
メモリを使い切ったら(一定以上になったら)新たなセッションがはれなくなります。
なので、あまり大きくするのは危険。

294 : ◆.p586Vj8xI :04/03/05 11:49 ID:pKZtINQL
>>292
検知のほうは、あくまで「検知」なので、ログに出すかアラートメールを送るかをしないと意味がありません。
それに、そのログ・アラートを見て自分が対処する必要があります。
ちなみに検知を全チェックすると、pingとかにも反応しますよ。

防御もむやみに全チェックするのはどうかなと。
攻撃じゃないパケットも防御されてしまう可能性もありますし・・・

295 :買いました。:04/03/05 13:25 ID:???
>>294
面倒なので(ダメな理由)
検知は外しました。
防御はデフォルトのシグニチャにしました。

296 :ソフトバンクBBだめぽ:04/03/05 19:55 ID:???
MR7はどんなでつか。
うちはソフトバンクBBなんでさっぱりアナウンスがない。
サポート、情報もひどくて最低でつ。
図研はどうなんだろ?

297 : ◆.p586Vj8xI :04/03/05 22:53 ID:pKZtINQL
>>296
とりあえず自分とこではMR7で運用中。いまんとこ問題はなさそう。

298 :61 ◆FG200xXuLw :04/03/06 09:26 ID:???
>>293
その様な仕様になっているんですね、了解しました。

>>296
うちもMR7で運用中、特に問題は出てません。VPNはやってませんが
Fortinet Technical Discussion ForumにはFG50、FG60に
適用したらPPTPが動かなくなったとか書かれてました。

図研さんからメールでリリースのお知らせとか来たことはないです。
一度設定についてサポートをお願いしましたがすぐに返事もらえましたよ。
◆.p586Vj8xI さんのリリース予告を見て、http://support.fortinet.com/をチェックしてます。
アカウントよこせ〜といっても駄目なんですか?

299 :ソフトバンクBBだめぽ:04/03/06 13:48 ID:???
>>299
図研のサポートもパッとしないんでつか。
きちんとサポートしてくれるとこってあるんでつか。
ttp://support.fortinet.com/
のアカウントはソフトバンクBBもダメでつ。
ふぉーち日本法人は何やっているんだろ?

300 :-_-:04/03/06 15:16 ID:???
>>298
>図研さんからメールでリリースのお知らせとか来たことはないです。
MR6の時にうちは来たよ。
ただし、図研さん内部での検証が終わってからですが。
だからMR7のリリースのアナウンスは、来月ぐらいに来ると思います。
っていうか、基本的に代理店は全て自社の検証が終わらないと
ユーザーには案内を出さないよ。

>>299
ソフトバンクBBは図研からサポートを受けてるとの噂です。
ということは自動的に
図研 > 超えられない壁 > SBB
という図式が成り立つと思われ。

301 :& ◆XEujnOSzoI :04/03/06 21:43 ID:???
フォーティーゲートは無名ですがシマンテックやマカフィーなどの
有名なところのアプライアンスと比べて本当にスキャンスピードが
速いのですか。
新種対応スピード、検出能力、駆除能力のウィルス性能はどうですか。
安定稼働してますか。
サポートは万全ですか。

302 :_:04/03/06 22:49 ID:???
>>301
荒らすつもりではないが、藻前欲張りすぎ。
ウダウダ言うのだったら検証機借りろ。

303 :301:04/03/07 22:37 ID:???
>>302
フォーティゲートを買った皆さんは当然ベンチマークして
その結果何らかの理由でフォーティゲートを選んだんですよね。
結果はともかくその過程で集めたデータがあったら教えて欲しいです。

304 :diagnose:04/03/07 23:15 ID:???
>>303=301
>フォーティゲートを買った皆さんは当然ベンチマークして
正直な話人柱になってくれるお客さんがいたので。ネタじゃなくて、マジな話。
イチイチ他社製品と比較してらんねぇよ。

> 有名なところのアプライアンスと比べて本当にスキャンスピードが
> 速いのですか。
俺達は監査機関じゃねぇんだ。カタログスペックと作った人を信用するしかねぇよ。
つーか、FortiGateの構造を考えたらどっちが早いかわかるだろう。

>新種対応スピード
Fortinetのエンジニアの力量次第だろう。
どこかにも書き込みがあったが、対応スピードは各社それぞれ早い時もあれば、遅い時もある。

>安定稼働
安定するかどうかってのは、使用環境によりけり。
何をもって安定していると言う? どういう環境で使うの?

>サポートは万全ですか。
代理店による。あと保守契約の内容次第。
サポートは金で買うものと思え!

>その過程で集めたデータがあったら教えて欲しいです。
こういう匿名掲示板では教えられん。販売代理店に直接聞け。
これも一種の商売道具だ。簡単には出せんわい。
藻前みたいな香具師は嫌われて教えてくれないことが多いので気おつけろ。

305 :277:04/03/08 10:23 ID:???
再びお伺いいたします

現行OS(2.5)上でのコンテンツフィルタリングに関してですが
特定のURLを指定する以外にも
禁止ワードを指定する方法もあるらしいのですが
これは「指定した単語を含むページの閲覧がブロックされる」
という解釈でいいのでしょうか?

306 : ◆.p586Vj8xI :04/03/08 11:45 ID:Yina/FPC
>>305
その解釈であっています。
ただし、かなーり抜けだらけになります。
キーワードフィルタは、はっきり言って使い物にならないぐらいです。

307 :anonymous:04/03/08 13:05 ID:???
Fortinet200使っているが、NetSkyの亜種が通り抜けた人いない?
VirusListみるとNetSky.Hまで対応してて通り抜けてるから
最新の亜種かな。
どこにVirus情報送ればいいんだろ

308 : ◆.p586Vj8xI :04/03/08 13:14 ID:Yina/FPC
>>307
最新の4.239のパターンにしても通り抜けるんであれば、
リセラーに送ったほうがいいのかと。
Fortinetの送り先をここに書いていいかわからんので・・・・
送るときはzipに圧縮してpassword付きで送るのがベター。
ま、送る前にリセラーに電話して「送りますよー?」って言ったほうがいいと思う。

#むしろ私が欲しいぐらい(w

309 :61 ◆FG200xXuLw :04/03/08 13:16 ID:???
>>307
サンプルはこちらから送れるようです。
http://www.fortinet.com/FortiResponseCenter/submit.html

310 :277=305:04/03/08 13:52 ID:???
>>306
ありがとうございます
URL指定と併用しないとダメですね

ちゃんとしたコンテンツフィルタリングは
OS2.8+Cerberian待ちですね

311 :61 ◆FG200xXuLw :04/03/08 14:00 ID:???
ところで、Cerberianのライセンスってお幾らぐらいなんでしょうか?
大体の目安が判れば予算化しときたいので。

312 :307:04/03/08 14:58 ID:???
>>308,309
ありがとん、送ってみるよ


313 :anonymous:04/03/08 20:12 ID:???
>>307
世の中じゃ W32.Netsky.I@mm まで出てるよ
まだFortiは未対応のようだね

314 :( `∀´)y-~~:04/03/09 11:33 ID:???
W32/Netsky.J-mm,W32/Netsky.K-mm
アンチウイルスパターン 4.241(03/08/2004 16:33)
キタ━━━━━━(゚∀゚)━━━━━━!!!!!


315 :anonymous@ EATcf-320p47.ppp15.odn.ne.jp:04/03/10 01:53 ID:nE1M4f40
Zまでいったら、次は何になるんだろうねw


316 : :04/03/10 09:35 ID:???
Z→ZZ→ν→V→V2→∀

317 :age:04/03/10 10:19 ID:li5WX85m
age

318 :買いました。:04/03/10 10:43 ID:???
ウィルスパターンの更新記録をログに残したいのですが、できないのですか。
イベントログの更新失敗、更新成功はチェックしてあります。
レベルはInformationです。

319 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:49 ID:j6JHtCbc
LAN内にあるマシンAから別のマシンBの
MACアドレスあるいはipアドレスを指定して
特定のポートを閉じ、Bから別のマシンCへのパケットを
遮断するwindowsのフリーソフトはありますか?


320 :anonymous@ ntibrk007066.ibrk.nt.adsl.ppp.infoweb.ne.jp:04/03/11 18:57 ID:j6JHtCbc
まちがいm(_ _)m

321 : ◆.p586Vj8xI :04/03/17 15:42 ID:Ew8eROHL
2.8なかなか出てこないですな・・・・

322 :61 ◆FG200xXuLw :04/03/17 16:08 ID:???
>>321
2.8そろそろ出る予定なんですか?

ところで、MRTGとかRRDtoolでFGの状態を可視化している方っています?
とりあえず、MRTGでTrafficグラフは作ってみたんですが、CPUとかMem使用状況等は
Private MIB内にあるようなんですよね、、、図研さんにMIBちょうだいってお願いはしましたが。

RRDtoolを素で使うのはちょっと骨が折れそうなんで、フロントエンドを物色中なんですが
漏れはこれだ!とかお勧めってありますでしょうか?

323 : ◆.p586Vj8xI :04/03/17 16:28 ID:Ew8eROHL
>>322
fortinetのftpサイト内(ファームウェアあるとこ)にMIB置いてあったと思ったのですが。
2.50のフォルダの中にMIBというフォルダがあるので、中のぞいてみてください。
それがご希望のものかはわからないですが・・・

自分もMRTGでトラフィックの状況だけは見ています。

324 :ななし :04/03/17 21:05 ID:???
>322
Nagios, BigBrother, 手抜きならWebminかな


325 :61 ◆FG200xXuLw :04/03/18 13:10 ID:???
>>323
あ、ftpサイトにMIBありました、見落としていたようです。
図研さんからも同じ物を頂けました。
とりあえず、手持ちのSNMPマネージャに食わせてCPU/MEM使用状況とか確認できました。

>>324
ありがとうございます、ご提示下さった物調べてみます。

116 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)