Network×Network目次

スポンサードリンク

Fortigate バグ情報

作業でうまくいかないときなんでだろと悩むことは多々あります。
そんなとき環境や設定ではなくバグの可能性もあります。
バグ情報は暇な時間を使ってチェックしておくとあわてて
調べる必要はなくなります!事前チェックなんてまずできないけど・・・

以下がバグ情報が掲載されているサイトとなります。
けど基本的には登録が登録が必要となっています。

[Fortigateバグ情報]
*株式会社ネットワークバリューコンポーネンツ

*SoftBank C&S

*CTC

*FortinetGURU

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate Cookbook

COOKBOOK(クックブック)直訳すると料理本。
調理方法が記載されている本。
FortigateのCOOKBOOKといえば要はマニュアル本。

■Fortinet COOKBOOK
*THE FORTINET COOKBOOK
http://cookbook.fortinet.com/

*Fortinet Document Library
https://docs.fortinet.com/fortigate/cookbook

■Fortinet COOKBOOK 日本語
*FORTINET各種ダウンロードセンター
https://www.fortinet.co.jp/resource_center/
※英語版と違いクックブックというよりカタログが多い。

*Networld Fortinet ヘルプデスク
日本語版だと圧倒的にネットワールド様の
ページがおすすめですね。

それにしてもFortigate売れてますね〜
美味しく調理してあげましょう!!
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate パケットキャプチャCLI

FortigateでパケットキャプチャCLI編です。
今回は最初からASIC(NP)設定を無効にした状態
からパケットキャプチャを行いましょう!

FortigateのASICとは?

[Fortigate パケットキャプチャ手順 CLI編]
1.ASIC無効設定 ※詳細なパケットキャプチャを行うため
teratermで接続
Fortigate# config firewall policy
Fortigate(policy)# edit [ポリシー番号]
Fortigate(ポリシー番号)# unset auto-asic-offload
Fortigate(ポリシー番号)# end

2.パケットキャプチャ取得
Fortigate# diagnose sniffer packet "<interface>" "<filter>" "<verbose>" "<count>" "<tsformat>"

<interface>:キャプチャを行うポートを指定
<filter>: ホスト、ポート、VLAN、プロトコルを指定
すべてキャプチャする場合は"none"
<verbose>:ログ出力表示内容
1: print header of packets
2: print header and data from ip of packets
3: print header and data from ethernet of packets (if available)
4: print header of packets with interface name
5: print header and data from ip of packets with interface name
6: print header and data from ethernet of packets (if available) with intf name
<count>:パケット取得数
<tsformat>:タイムスタンプ表示
a: absolute UTC time, yyyy-mm-dd hh:mm:ss.ms
l: absolute LOCAL time, yyyy-mm-dd hh:mm:ss.ms
otherwise: relative to the start of sniffing, ss.ms

■実行例
※注意※
Enterで実行するとGUIと違い即時実行となります。
Fortigate# diagnose sniffer packet port1 none 4 10000 a

GUIにせよCLIにせよミラーポートを必要としないのは魅力的ですね。
いかんせんミラーポートを作るには無駄なポートが1つ必要となります。
以上

*Fortigate パケットキャプチャ GUI
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate パケットキャプチャGUI

最近では見ない日はないFortigate。
完全に時代が来てますね。
1台でなんでもできるし便利ですもんね。

そんなFortigateキャプチャも実はかなり便利なのです。
Cisco機器だとミラーポートの設定が必要ですが
Fortigateはミラーポートなしでもキャプチャできます!

[Fortigate パケットキャプチャ手順 GUI編]
1.パケットキャプチャ設定
システム>ネットワーク>パケットキャプチャ>Create Newを選択
Fortigate パケットキャプチャ手順 GUI編

インターフェース:どのインターフェースでキャプチャを行うか
保存する最大パケット数:最大で10000
フィルタを有効:チェックを入れると以下フィルタリングが可能
 ホスト
 ポート
 VLAN(s)
 プロトコル
IPv6パケットを含む
IPパケット以外も含む
>OKを選択
Fortigate パケットキャプチャ手順 GUI編

2.パケットキャプチャ開始
作成後に[進行]項目を確認すると停止中となっています。
▷を選択するとキャプチャが開始します。
□を選択するとキャプチャが停止します。
📥を選択してキャプチャしたファイルをダウンロードします。

3.パケットキャプチャ確認
Wiresharkをパソコンにインストールして
先ほどダウンロードしたキャプチャファイルを開きます。

結構簡単にキャプチャすることできます。
ただしASIC(NP)学習しているトラフィックは
CPU処理されないためパケットキャプチャする
ことができません。

---------------------------------------------------------
日立ソリューションズ FAQ(よくあるご質問)参照
Q:NP、CPとは何ですか。
フォーティネット社が独自に開発した
専用プロセッサ「FortiASIC」をさします。
NPは「FortiASIC ネットワークプロセッサ」の略称であり、
主にファイアウォール、IPsecVPNなどネットワークレベル
の防御機能の処理を行います。
CPは「FortiASIC コンテンツプロセッサ」の略称で、
主にウイルス対策やWebフィルタリングといった
コンテンツレベルでの防御機能の処理を実施します。
尚、FG-30D/60D/90Dは、それらを一つのチップに
統合したFortiSoCにより処理を実施しています。
---------------------------------------------------------

4.詳細パケットキャプチャ設定
teratermで接続
Fortigate# config firewall policy
Fortigate(policy)# edit [ポリシー番号]
Fortigate(ポリシー番号)# unset auto-asic-offload
Fortigate(ポリシー番号)# end

設定したポリシーの処理がASICからCPUとなり詳細な
パケットキャプチャを取得することが可能となります。
※負荷がかかるのでトラフィックを限定して行いましょう。

以上

*Fortigate パケットキャプチャ CLI
*NetScreen パケットキャプチャ
*Catalyst パケットキャプチャ

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate HA フェールバック設定

FortigateでHA構成を構築したときフェールバック
するかしないか凄く気になるところですね。

デフォルトでは自動でフェールバックいたしません。
マスター機が復旧したときに自動でフェールバックする
にはCLIで設定が必要となります。

下記のオーバーライド設定を有効にすることで
機器起動時間よりもプライオリティ設定が優先となります。
オーバーライド有効後は自動フェールバックします。

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-
config system ha
set override enable
end
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI routing table

Fortigateでコマンドラインから
ルーティングテーブルを確認する方法!!

ネクストホップというものはいつになっても
気になります。

[Fortigate Routing確認]
Fortigate#get router info routing-table all
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default

S* 0.0.0.0/0 [10/0] via 192.168.1.254, wan1
C 10.1.100.0/24 is directly connected, port1
C 10.2.200.0/24 is directly connected, port2
S 10.10.1.1/32 [10/0] via 10.10.3.1, wan1

こんな感じで表示されます。
allではなくstatic, connectedやプロトコルを
指定して表示させることもできます!!

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI traceroute

Fortigateのコマンドラインからtracerouteを実行!

[Fortigate CLI traceroute]
fortigate#execute traceroute 192.168.1.1
traceroute to 192.168.1.1(192.168.1.1), 32 hops max, 84 byte packets
1 10.100.100.254 0.797 ms 0.828 ms 2.170 ms
2 172.16.10.100 2.321 ms 0.415 ms 0.196 ms
3 172.16.10.1 3.311 ms 1.234 ms 2.232 ms
4 192.168.1.1 5.234 ms 8.297 ms 2.333 ms
fortigate#

こんな感じで表示されます。
PINGやtracerouteは非常に便利なコマンドなので
必ず覚えておきましょう!!

ちなみにtracerouteとtracertは正確には違います。

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate CLI ntp コマンド

Fortigate100DにてコマンドでNTP設定

[NTPサーバ指定設定]
Fortigate#config system ntp
Fortigate(ntp)#set ntpsync enable
Fortigate(ntp)#set type custom
Fortigate(ntp)#config ntpserver
Fortigate(ntpserver)#edit 1
Fortigate(1)#set server "131.107.1.10"
Fortigate(1)#end
Fortigate(ntp)#set interface "port2"
Fortigate(ntp)#end
Fortigate#

これでNTPクライアントとして動作します。
port2から131.107.1.10(アメリカNIST)へ時間を
デフォルトの1分間隔で確認しに行きます。
設定が正常にされているか確認しましょう。

[NTPサーバ設定確認]
Fortigate#config system ntp
Fortigate(ntp)#show
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate(ntp)#

NTPが有効になっているかどうかは以下でも確認できます。
NTP確認その1
Fortigate#get system ntp
ntpsync : enable
type : custom
syncinterval : 60
ntpserver:
== [ 1 ]
id: 1
source-ip : 0.0.0.0
server-mode : enable
interface:
== [ port2 ]
interface-name: port2

NTP確認その2
Fortigate#show system ntp
config system ntp
set ntpsync enable
set type custom
set syncinterval 60
config ntpserver
edit 1
set server "131.107.1.10"
next
end
set server-mode enable
set interface "port2"
end
Fortigate#

問題なく設定されていますね。
次は正常にNTPアップデートできているか
確認してみましょう。

[NTP同期確認]
Fortigate#diagnose sys ntp status
server (time-nw.nist.gov) 131.107.1.10 -- Clock is synchronized
server-version=4, stratum=1
reference time is ********.* -- UTC Mon Oct 12 00:00:00 2017
clock offset is -*.****** sec, root delay is 0 msec
root dispersion is 0 msec, peer dispersion is 10 msec

こんな感じで確認できます。
障害が発生したときなどログを見る上でも時間は
かなり重要になってきます。必ず時計は合わせておきましょう!!

TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigateとは

FortigateとはFortinet社が販売している
ファイアウォールである。

これ一台あれば大概のセキュリティ対策はできてしまう
非常に便利な優れものなのである!!

SSL-VPN冗長化UTM機能SSLオフロード
もちろんファイアウォールとしての基本的な機能や
ルーティングとオールマイティな力を発揮してくれる。

PPPoEなどの設定も可能なのでインターネットに接続する
最前線に設置して魑魅魍魎の世界から社内ネットワークを
がっちりと守ってもらいましょう!!

ここまで色んな設定ができるってことはさぞお高いんでしょう!?
と思う方も多いかもしれませんが意外とお安いんです。
もちろん個人的に家に導入を考えているのであれば多少高く
感じるかもしれません。そんな人いるのか??
ちなみに俺もフォーティゲートは持ってません。。。
人気商品だから中古でも出回らないんだよな〜

会社でセキュリティを強化するために導入するのであれば
FG60Dの10万(1年保守料込)は破格ではないでしょうか。
お勧めはもちろん100D以上の機種です。

CLIからしか設定できない機能もありますが
代替はGUIから設定可能なのである程度の知識が
あれば導入は可能だと思います。
無理だった場合は業者に依頼するか勉強しましょう!!

ってことで最近ファイアウォールを導入するときは
いの一番でFortigateをお薦めしております。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

Fortigate セッションピックアップ HA構成時に同期されるセッション情報

FortigateでHAを組んでる時にセッション情報を
スタンバイ機に引き継ぎたい場合は設定が必要である。

■GUIから設定
システム>設定>HA>クラスタ設定
[セッションピックアップを有効にする]にチェック入れる

セッションピックアップを有効にしてもすべてのセッション情報が
引き継がれるわけではないので注意が必要です。

同期されるセッション
・TCPセッション情報
・IPsec VPNセッション情報

同期されないセッション
・UDPセッション情報
・マルチキャストセッション情報
・ICMP
・SSL VPNセッション情報

■CLIから設定
config system ha
set session-pickup enable
end

以上。
TOP OF THE NETWORK×NETWORK
NETWORK×NETWORK
posted by シスコ | Comment(0) | TrackBack(0) | Fortigate | このブログの読者になる | 更新情報をチェックする

ブログパーツ
login

無料レンタル
login