投稿

FortiGateがDS-Lite(IPv6)に正式対応しました!

 FortiGateは 今までMAP-Eのみ公式対応しておりましたが FortiOS 7.0.2以降で vneトンネルに set brコマンドが追加されて正式DS-Liteに対応したそうです。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf 具体的な違いは以下となります。 FortiOS7.0.2以前(DS-Lite対応前) ・IPv6 Tunnelにて 定義 ・送信元のIPv6アドレスの指定が必要   ※Prefix変更時には設定変更が必要となる。 FortiOS7.0.3以降(DS-Lite対応後) ・VNE-Tunnelにて 定義 ・送信元となるIPv6アドレスの指定が必要ない IPOEがまだまだ普及していませんが FortiGateが対応したとなると 企業へのIPOE導入も増えてきそうですね。
コメントを投稿
Read more »

FortiGateCloud21.4.0がリリース(Release Note)

イメージ
 日本サイトでも FortiGateCloud21.4.0 がリリースされました。 機能の追加や変更点などを簡単にまとめていきます。 FortiGateCloudとFortiManagerの統合が進んでいそうです。 英語を読むのが苦手な方向けに 翻訳してみました。 製品の統合 Product integration and support ・FortiGate Cloud is designed and targeted for all FortiGate models with a form factor of up to two rack units (RU). All such models support all FortiOS 5.0 and later versions as firmware for log retention and analysis. → FortiGateクラウド は、最大2ラックユニット(RU)のフォームファクタを備えたすべてのFortiGateモデルを対象として設計および対象とされています。 このようなモデルはすべて、ログの保持と分析のためのファームウェアとして、すべてのFortiOS5.0以降のバージョンをサポートしています。 ・FortiGate and FortiWifi models and associated firmware listed on FortiGate Cloud Configuration Management Supported Models support the configuration management functionality. → FortiGateおよびFortiWifiモデルと、 FortiGateクラウド構成管理でサポート されているモデルにリストされている関連ファームウェアは、構成管理機能をサポートしています。 ・FortiGate Cloud has no restrictions regarding the device model when using FortiDeploy to deploy a FortiGate or FortiWiFi to FortiManager via FortiGate Cloud. As long as the devic...
コメントを投稿
Read more »

Cisco製品のルート証明書変更の製品別影響

  Cisco製品ではQuoVadis Root CA 2から発行されているサーバ証明書を利用していますが2021年4月1日よりIdenTrust Commercial Root CA 1から発行されるサーバ証明書に切り替えを行うとのことです。そのため サーバ証明書を使用している製品が影響を受けます。 影響を受ける機能 ・Smart Licence (オンライン認証のみ)が失敗することがあります。 ・SLPは90日毎のレポートが必要な場合は失敗することがあります。 影響を受ける製品 <スイッチ> ・Catalyst3650 ・Catalyst3850 ・Catalyst9200 ・Catalyst9200L ・Catalyst9300 ・Catalyst9300L ・Catalyst9400 https://www.cisco.com/c/en/us/support/docs/field-notices/723/fn72323.html <ファイアウォール> ・FirePowerシリーズ ・ASAシリーズ https://www.cisco.com/c/en/us/support/docs/field-notices/721/fn72103.html 対策 ・個別で証明書をインストールする。 ・対策済みのファームウェアへバージョンアップする。 FortiGateに続き、Ciscoでも有効期限切れが起きてしまいました。 開発時の人為的ミスとCisco社は認めているようです。
コメントを投稿
Read more »

FortiGate7.0からZTNA対応

 FortiGate7.0からZTNAに対応しました。 ZTNAを実装する上で必要になるコンポートネントは以下となります。 ・FortiGate  version7.0.X ・ FortiClient EMS  v7.0.x( VPN&ZTNA or Zero Trust Fabric AgentのSKUが必要) ・FortiClient  v7.0.x 従来のVPN接続のようなユーザー操作を必要とせず、社内リソースへアクセスできるようになります。 認証は以下の3つが可能なようです。LDAPなどの連携もできるみたいですよ。 ・クライアント証明書 ・ユーザID/PASS ・デバイスポスチャーチェック 実機でまた検証できる機会があったら 検証してみたいと思います。
コメントを投稿
Read more »

FortiGateのセキュリティグループの使用方法

イメージ
 FortiGateにセキュリティプロファイルをグループ化する方法が実装されていました。 Paloaltoでは 標準的に使う機能ですが FortiGateではあまり聞きません。 FortiGateの完全実装本などにも 記載はなかったと思います。 すごい便利な機能ですが デフォルトは非表示です。 6.0.0系から使えてたみたいです。 以下のコマンドでGUIを有効化します。 config system settings set gui-security-profile-group enable end GUIにプロファイルグループが表示されます。 名前と設定したいセキュリティプロファイルを選択します。 アンチウイルスとWebフィルタだけ有効にする組み合わせも可能です。 設定したら OKで確定します。 設定ができるとプロファイルグループが出来ています。 次はファイアウォールポリシーへ適用します。 適用したいファイアウォールポリシーへ移動します。 セキュリティプロファイルグループの使用というチェック項目が増えていますので 有効にします。指定したいプロファイルグループを設定し、OKです。 これで設定は完了です。 どうでしたでしょうか? 非常に便利な機能で運用がとても楽になります。 サーバ用ポリシーとクライアントポリシーを分けたり、管理者用、開発者用などでも 分けることができて非常に便利です。 ぜひお試しください。
コメントを投稿
Read more »