FotiOS 6.2に以降したのでこちらは更新終了です。大して更新しなかったけど・・
メモ。
バージョン:v5.6.2 build1486 (GA)→v5.6.3,build1547,171204 (GA)
■雑記
・デフォルトAVはExtended DB?(5.0の時からAV定義が1.00000だったから90D固有?)
・PaloAltoライクなアプリケーションベースのポリシーを書くには設定が必要。AVとかのフローベースとは別にフローベースにする。後でキャプチャを貼る。
・微妙なWAF機能が追加された?けど、これNGFWモードだと使えない。
・インダストリアルアタック定義とはなんぞや・・・業界ごとのなんかなのか?
・DNSフィルタ機能確認
・NGFWモードは正直イマイチっぽい。あとからもとに戻したらはじけ飛びそう。FortiGateの良さであるポリシー単位のNATができずセントラルNATテーブルになる。よりPaloっぽい。
・ポリシーのアクションのLEARNってなんや。
■NGFWモード
PaloAltoライクなアプリケーションベースのポリシーを書くためには設定の変更が必要。
システム->設定のインスペクションモードを「フローベース」かつNGFWモードを「ポリシーベース」に。
※VDOMごとに変更できる。
こんなポリシーが作れるようになる
従来なら443/tcpを許可した中でアプリケーションコントロールで制御する、という方式だがいきなりアプリケーションが使える。
※このため5.6以降ではライセンスが無くてもアプリケーションコントロールは使える・・・らしい。
これ、設定でプロキシモードに戻すと、「アプリケーション」のところが飛んでしまう模様。。。
なので、このままモードをプロキシに戻すと「test1」 のポリシーは全許可になってしまう。恐ろしい。
で、フローとプロキシで使えるセキュリティプロファイルの違いは以下の通り。
※GUIベースで確認。Feature Visibilityは全部有効にした状態。
これはどっちでいくか迷うけど、せっかく5.6にしたんだからフローだよなー。
FortiGateらしいなんでも来いな使い方ができないかなー。
| プロキシモード | フローモード |
|---|---|
| アンチウイルス | アンチウイルス |
| Webフィルタ | DNSフィルタ |
| DNSフィルタ | 侵入防止 |
| アプリケーションコントロール | ForitClientプロファイル |
| 侵入防止 | SSLインスペクション |
| アンチスパム | Webレーティングオーバーライド |
| 情報漏えい防止 | カスタムシグネチャ |
| VoIP | |
| ICAP | |
| Webアプリケーションファイアウォール | |
| FortiClientプロファイル | |
| プロキシオプション | |
| SSLインスペクション | |
| Webレーティングオーバーライド | |
| Webプロファイルオーバーライド | |
| ICAPサーバ | |
| カスタムシグネチャ |
ポリシーの編集画面はこんな感じ。NATがポリシーごとに変えられない模様。
ポリシー続き。プロファイルはだいぶ減る。
アンチウイルス(AV)については設定が若干変わる。
プロキシモードの場合はプロトコルを決められる。
フローモードの場合は、スキャンモードにフルとクイックが選択できる。
スキャンできる通信はどういうものになるのか、特殊なポート(8080とか)もスキャンできるのかは要調査かな。
フル(Full)とクイック(Quick)の違いはこんな感じ(ヘルプより引用)。
Flow AV in FortiOS 5.4 and 5.6
In FortiOS 5.4 and 5.6, there are two modes available for flow-based virus scanning: Quick and Full scan mode. Full mode is the same as flow-based scanning in FortiOS 5.2 (see below). Quick mode uses a compact antivirus database and advanced techniques to improve performance. You can designate quick or full scan mode when configuring the antivirus profile in the GUI. Alternatively, use the following CLI
■VDOM
90Dは(とういか2桁台?デスクトップモデル?)は、GUIからVDOMが切れないので、CLIでVDOMを有効化する。
config system global
set vdom-admin enable
end
お!VDOMごとにインスペクションモード変更できる!
■WAF(Webアプリケーションファイアウォール)
プロキシモードのみ利用可能。
VDOMごとにインスペクションモードは変えられるので、うまいこと設定すれば、ヴァーチャルワイヤにしてWAFだけ有効にしたVDOMを通せばフローモードでも使えるかな?
でもやっぱりあやしい・・・。
■VXLAN
FortiOS 5.6.2からサポートされたらしい。
設定方法:http://kb.fortinet.com/kb/documentLink.do?externalID=FD38614
IPSec over VXLANのみ対応。あれ、これならL2TPとあんま変わらないきがしないでもない?
IPSecのインターフェースをソフトウェアスイッチで実インターフェースとまとめてしまう感じかな?
FortiOS 5.6.3ではVTEPも使える模様だが、config system vxlanコマンドがVDOM環境では使えない?
VXLANの参考になりそうなSlide
■IPSec
IPSsecを2本はって、両方ともプロキシID(セレクタ?)を「0.0.0.0/0」「0.0.0.0/0」にすると片方しかアップしない?
※設定変えてしまって後から「0.0.0.0/0」に戻すには以下のコマンドで
set src-subnetset dst-subnet
■その他関連記事