FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate トラブルシューティング シグネチャアップデートできない アンチウイルス、侵入防止、Webフィルタリング、スパムフィルタリングにおけるFortiGuardの問題を調査

2017.08.23 (Wed)


システム>ダッシュボード>ステータス>ライセンス情報の下で、
ウイルス対策(AV)、侵入防御(IPS)、Webフィルタリング、
およびスパムフィルタリングのアップデート問題のトラブルシューティング


このフロー図は、アップデートの問題の
トラブルシューティングに使用する手順を示しています。

FortiGate トラブルシューティング シグネチャアップデートできない アンチウイルス、侵入防止、Webフィルタリング、スパムフィルタリングにおけるFortiGuardの問題を調査










◯トラブルシューティングの手順

1.
現在有効な契約がFortiGateに登録されていることを確認してください。
購入後、登録コード/契約番号はhttps://support.fortinet.comに登録することができます。


2.
UTMプロファイルとFortiGuard Webフィルタリングを有効にして
ファイアウォールポリシーを作成します。


3.
FortiGuardネットワークがアクティブになると、
契約情報がすべてのサーバーに伝達されます。
これは完了するまでに24-48時間かかることがあります。
過去1日以内に契約が有効になった場合は、
24
時間待ってからさらに進んでください。

4.
サーバーは正しい契約情報を持っていますが、
FortiGateはそれを入手していないだけです。


実行する最初のテストは次のとおりです。

exec ping

は、pingに応答する既知のIPです。
※例えば8.8.8.8


pingが失敗すると、FortiGateはインターネットに出ることができません。
FortiGateがインターネットに接続されていない場合を除いて、
FortiGateがローカルに生成されたすべてのトラフィックを
VPNトンネルに送信していることが最も一般的な問題です。

トラブルシューティングに役立つコマンドは次のとおりです。


diag debug enable
diag debug flow show console en
diag debug flow show function en
diag debug flow filter addr
diag debug flow filter protocol 1
diag debug flow trace start 20
exec ping


出力には、パケットが使用しているルートとVPNトンネルが表示されます。

トラフィックが実際にVPNトンネルを通過している場合は、
VPNトンネルのファイアウォールポリシーを編集し、
送信元および宛先アドレスを送信元および宛先サブネットに一致するように変更します。

テストが完了したら、
次のコマンドを使用してデバッグ出力を無効にする必要があります。


diag debug flow trace stop
diag debug reset
diag debug disable


これは、FortiGateがIPによってインターネットに出ることができることを証明します。

次のステップは、FortiGateがDNS名を解決できるかどうかを確認することです。


xec ping fortinet.com




重要なのは、応答が受信されるかどうかではなく
(一部のサイトでは単にpingをブロックする可能性があるため)、
FortiGateがDNS名を解決できるかどうかではありません。

できない場合は、GUIの
DNS settings from System > Network > DNS
を確認してください。




[AV / IPSアップデートのみ]
ポート443(HTTPSと同じ)を使用してAVおよびIPSアップデートを行います。

SSL層が正しく機能するように、
システム時刻を正しく設定する必要があります。

[システム]> [ダッシュボード]> [ステータス]> [システム情報]ウィジェットに移動して、
システム時刻が正しく設定されていることを確認します。



[Webフィルタ/スパムフィルタのみ]
Webフィルタとスパムフィルタは、利用可能な2つのポート53,8888のいずれかを使用します
FortiGateがFortiGuardサーバーのいずれかを使用してアクセスできない場合は、
もう一方を試してみる価値があります。
使用するポートは、GUIの
システム>設定> FortiGuard> Webフィルタリングおよび電子メールフィルタオプション>ポート選択
に移動することで切り替えることができます。



ソースポートは、
FortiGuardサーバーに接続するときにFortiGateが使用するポートです。

問題は、一部のISPがFortiGateが使用する下位ポートの一部をブロックすることです。
これは、次のコマンドを実行することで変更できます。


config system global
set ip-src-port-range 1050-25000
end




完了したら、次のコマンドを使用してサービスを再起動します。


diag test app url 99



FortiGateはデフォルトで「service.fortiguard.net」
に接続してアップデートを入手します。

この設定は上書きすることができ、
サーバーIPは手動で設定しますが、これはお勧めできません。

次のコマンドを実行すると、すべての上書きを無効にすることができます。



config system fortiguard
set srv-ovrd disable
end




それでも問題が解決しない場合は、次のコマンドを使用できます。


diag debug enable
diag debug application update 255
exec update-now



snifferコマンドを使用して、
パケットレベルのトラフィックを確認することもできます。

[AV / IPS用]

diag sniff packet any 'port 443'


[Web filter/Spam filter用]

diag sniff packet any 'port 53 or port 8888'



関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック