FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

指定期間 の記事一覧

FortiGateを運用するために知っておく必要があるクライアント・サーバ接続のパケットフロー例 パケット処理順序

2017.11.14 (Tue)


クライアントとWebサーバー間の
セッションの一部であるパケットの流れを例示します。

認証、FortiGuard Web Filtering、およびアンチウィルスが含まれています。



クライアントからWebサーバーへの接続の開始

1. クライアントはパケットをWebサーバーに送信します。
2. パックされたものはFortiGateインターフェイスにルーティングされます。
3. DoSセンサーは、送信者が有効であることを確認し、サービス拒否攻撃を試みないようにします。
4. IP整合性ヘッダー検査。パケットがOKであればそれが続き、それ以外の場合は破棄されます。
5. ルーティング
6. ポリシールックアップ
7.ユーザー認証
8.プロキシベースの検査:
- FortiGuard Webフィルタリング(FortiGuard Webフィルタルックアップ)
- アンチウイルス
9. ソースNATにより、ソースアドレスがFortiGate IPアドレスに変更されます
10. ルーティング
11. ネットワークへのインタフェース伝送
12. Webサーバーにパケットを転送







Webサーバーからの応答

1. Web Serverがクライアントに応答パケットを送信
2. FortiGateインターフェイスにルーティングされます。
3. DoSセンサーは、送信者が有効であることを確認し、サービス拒否攻撃を試みないようにします。
4. IP整合性ヘッダー検査。パケットがOKであればそれが続き、それ以外の場合は破棄されます。
ステートフル・インスペクションはパケットが一部であり確立されたセッションであることを認識します。
6.ソースNATにより、宛先アドレスがFortiGateインターフェースからクライアントIPアドレスに変更されます
7.プロキシベースの検査:
-FortiGuard Webフィルタリング(FortiGuard Web Filteringルックアップ)
-アンチウイルス
8.宛先NATは宛先アドレスをクライアントIPアドレスに変更します。
9.パケットはクライアントにルーティングされます。
10.ネットワークへのインタフェース伝送
11.パケットがクライアントに返されます。



フロー図






スポンサーサイト



FortiOS5.6.2のVM版をESXiでトライアルしてみる

2017.11.06 (Mon)

業務で使用している仮想基盤 VMware ESXi上のサーバを守るため、
UTMを導入することを検討しており、
保守ベンダーよりFortiGateのVM版(試用ライセンス)を入手した。

現在の主流はFortiOS5.4系であるが、
5.6系もリリースされているとのことで、
せっかくなので5.6.2を入手して簡単に動作確認してみた。


手順







1.
保守ベンダーのWebサイトよりダウンロード。

ファイル名:
FGT_VM64-v5-build1486-FORTINET.out.ovf.zip


2.
vCenterServerやESXiのWebクライアントから
OVFテンプレートのデプロイをする。



3.
コンソールよりネットワーク設定


FortiGate-VM64# config system interface
FortiGate-VM64# edit port1
FortiGate-VM64# set ip 10.0.0.2/24
FortiGate-VM64# end
FortiGate-VM64# config router static
FortiGate-VM64# edit 1
FortiGate-VM64# set gateway 10.0.0.254
FortiGate-VM64# set device port1
FortiGate-VM64# end

 | HOME |