メモ。

バージョン:v5.6.2 build1486 (GA)→v5.6.3,build1547,171204 (GA)

 


■雑記

・デフォルトAVはExtended DB?(5.0の時からAV定義が1.00000だったから90D固有?)

・PaloAltoライクなアプリケーションベースのポリシーを書くには設定が必要。AVとかのフローベースとは別にフローベースにする。後でキャプチャを貼る。

・微妙なWAF機能が追加された?けど、これNGFWモードだと使えない。

・インダストリアルアタック定義とはなんぞや・・・業界ごとのなんかなのか?

・DNSフィルタ機能確認

・NGFWモードは正直イマイチっぽい。あとからもとに戻したらはじけ飛びそう。FortiGateの良さであるポリシー単位のNATができずセントラルNATテーブルになる。よりPaloっぽい。

・ポリシーのアクションのLEARNってなんや。

 


■NGFWモード

PaloAltoライクなアプリケーションベースのポリシーを書くためには設定の変更が必要。

システム->設定のインスペクションモードを「フローベース」かつNGFWモードを「ポリシーベース」に。
※VDOMごとに変更できる。

こんなポリシーが作れるようになる

従来なら443/tcpを許可した中でアプリケーションコントロールで制御する、という方式だがいきなりアプリケーションが使える。
※このため5.6以降ではライセンスが無くてもアプリケーションコントロールは使える・・・らしい。

これ、設定でプロキシモードに戻すと、「アプリケーション」のところが飛んでしまう模様。。。
なので、このままモードをプロキシに戻すと「test1」 のポリシーは全許可になってしまう。恐ろしい。

で、フローとプロキシで使えるセキュリティプロファイルの違いは以下の通り。
※GUIベースで確認。Feature Visibilityは全部有効にした状態。

これはどっちでいくか迷うけど、せっかく5.6にしたんだからフローだよなー。
FortiGateらしいなんでも来いな使い方ができないかなー。

プロキシモード フローモード
アンチウイルス アンチウイルス
Webフィルタ DNSフィルタ
DNSフィルタ 侵入防止
アプリケーションコントロール ForitClientプロファイル
侵入防止 SSLインスペクション
アンチスパム Webレーティングオーバーライド
情報漏えい防止 カスタムシグネチャ
VoIP  
ICAP  
Webアプリケーションファイアウォール  
FortiClientプロファイル  
プロキシオプション  
SSLインスペクション  
Webレーティングオーバーライド  
Webプロファイルオーバーライド  
ICAPサーバ  
カスタムシグネチャ  

ポリシーの編集画面はこんな感じ。NATがポリシーごとに変えられない模様。

ポリシー続き。プロファイルはだいぶ減る。

アンチウイルス(AV)については設定が若干変わる。

プロキシモードの場合はプロトコルを決められる。

フローモードの場合は、スキャンモードにフルとクイックが選択できる。
スキャンできる通信はどういうものになるのか、特殊なポート(8080とか)もスキャンできるのかは要調査かな。

フル(Full)とクイック(Quick)の違いはこんな感じ(ヘルプより引用)。

Flow AV in FortiOS 5.4 and 5.6

In FortiOS 5.4 and 5.6, there are two modes available for flow-based virus scanning: Quick and Full scan mode. Full mode is the same as flow-based scanning in FortiOS 5.2 (see below). Quick mode uses a compact antivirus database and advanced techniques to improve performance. You can designate quick or full scan mode when configuring the antivirus profile in the GUI. Alternatively, use the following CLI 

 

 


■VDOM

90Dは(とういか2桁台?デスクトップモデル?)は、GUIからVDOMが切れないので、CLIでVDOMを有効化する。

config system global
set vdom-admin enable
end

お!VDOMごとにインスペクションモード変更できる!

 


■WAF(Webアプリケーションファイアウォール)

プロキシモードのみ利用可能。
VDOMごとにインスペクションモードは変えられるので、うまいこと設定すれば、ヴァーチャルワイヤにしてWAFだけ有効にしたVDOMを通せばフローモードでも使えるかな?

でもやっぱりあやしい・・・。

 

 


■VXLAN

FortiOS 5.6.2からサポートされたらしい。

設定方法:http://kb.fortinet.com/kb/documentLink.do?externalID=FD38614

IPSec over VXLANのみ対応。あれ、これならL2TPとあんま変わらないきがしないでもない?
IPSecのインターフェースをソフトウェアスイッチで実インターフェースとまとめてしまう感じかな?

FortiOS 5.6.3ではVTEPも使える模様だが、config system vxlanコマンドがVDOM環境では使えない?

VTEP:VXLAN support (289354)

VXLANの参考になりそうなSlide


■IPSec

IPSsecを2本はって、両方ともプロキシID(セレクタ?)を「0.0.0.0/0」「0.0.0.0/0」にすると片方しかアップしない?
※設定変えてしまって後から「0.0.0.0/0」に戻すには以下のコマンドで

set src-subnet
set dst-subnet