討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆

[UPGRADED: 201407300634] FortiGate NPU&FortiOS v5.0.x Learning...

  • 2012-09-08 10:34
  • 157553
HIMALAYAS
HIMALAYAS
230分
201樓
HIMALAYAS
HIMALAYAS
個人積分:230分
文章編號:47730213
謝謝大大的分享。
Fortigate的SSLVPN有二種client方式可以連線上,
一種是使用瀏覽器,另一種是使用FortiClient SSLVPN,
使用瀏覽器的部分只能使用IE Browser,我目前使用的FortiOS是4.0MR3,
預設的port是10443,也就是使用https後面還要指定10443 port才能連接上,
Fortigate在這方面做的很好,使用https加密外還要知道port才能連接VPN,
安全性無敵,我在大陸連線時非常穩定,也從來不會被阻擋。
vxr wrote:
How to setup SSLVPN for web mode....
≡≡ 覺人之詐,不憤于言;受人之侮,不動于色;察人之過,不揚于他;施人之惠,不記于心 ≡≡
2013-12-15 13:55 #201
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48051330
Interface - Zone
FortiOS的介面物件中, 其中一個稱為zone的物件可以將多個介面組合成一個區域, 使得設定policy時選擇介面指向Zone代表該多個介面. 其有助於減少policy的數量.

透過介面項目下選擇Zone, 如下畫面所示:

點擊後會跳轉到zone的設定畫面, 其中Block intra-zone traffic選取後, 表示zone下的所有介面將無法相互通訊. 完成zone的建立即可在policy進行選擇.

ex: 建立名為zone-VLAN.Intranet的內部用Zone, 包含了兩個VLAN介面. 設定Zone進行對vlan254.ext1的轉發動作(透過policy).

從上圖來看, 這代表著只要選擇zone的zone-VLAN.Intranet, 其下的所有介面都會透過該policy轉發到vlan254.wan1. 特點是不必重複產生一樣的policy指向不同介面.
在zone下面的介面如果要相互通訊, 在建立policy時, 來源與目的介面指向一樣的zone即可.

PS: 再次提醒! 如果zone下的介面要相互溝通, 在建立zone物件時, 請勿勾選Block intra-zone traffic.
2014-01-03 23:07 #202
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48094932
Better disk logging performance
在1U之後機種的產品可以加入FSM模組額外提供儲存裝置, 可以提供更好的logging和report性能(根據所使用的儲存控制器).

如上圖200B機種插入FSM模組後, 經過格式化(formatdisklog). 加入相關的widget顯示storage資訊:

從Advanced項目查可以看儲存空間的分配:

如果沒有使用FSM模組只能使用如下的widget檢查Interface頻寬使用:

當加入FSM模組之後, 便可以使用額外powerful的widget監視介面流量:

透過context menu來檢視相關的流量資訊, 以下是Show Sessions的詳細資訊:

近代某些機種額外配置mPCIe模組, 應該也是提供使用與FSM模組一樣的機能.
ex: FortiGate 90D?!...
2014-01-06 22:35 #203
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48102884
Policy List View
在FortiOS v5的其中一項重大改革就是policy list, 這個改革使得policy list提供更友善的GUI視感. 在v5的policy list大量使用AJAX技術, 因此在policy list上任何一個object都有可能做AJAX callback. partial rendering是AJAX的最大特點, 非基於傳統的postback. 雖然AJAX可以實作更友善的GUI介面, 但是大量的應用將會考驗browser的JQ/JS效率. (如果Firefox遭遇到嚴重的凍結, 請更換瀏覽器, 它的JQ/JS效率不太好. Google Chrome可以提供更好的體驗.)

除此之外, 豐富化的Web應用會提升系統記憶體的負載量.
透過欄位上的context menu可以增加顯示欄位. 選取後在按下Apply便會顯示指定的欄位.

如果需要指定欄位的顯示順序, 可以按住勾選的欄位往上或往下移動:

欄位資訊會儲存在cookie上, 因此當清除cookie之後, 便會回預設值. 如果要將自訂的欄位呈現成為永久狀態, 使用以下CLI操作.

如果你需要移動某一policy, 將滑鼠移到指定的Seq.#下, 按住不放進行拖曳. 或著使用context menu.

在Seq.#下的context menu可以進行對policy的相關操作, 新增/修改/刪除:

policy的各種object都有可能進行互動式操作, 使用context menu:

對欄位的篩選點擊欲篩選的欄位上的漏斗圖案, 會出現相關的對話方塊進行操作:

default deny policy可以從feature隱藏掉, 不過這只是隱藏, 非停用(建議不要隱藏掉):

Section View可以提供另一種GUI視感, 一種ingoing<=>outgoing的介面式policy list:

PS: 使用Section View, 來源介面與目的介面不可以是多重選取以及Any.
全預的智能化搜尋可以篩選存於關鍵字上的相關policy(對於複雜的policy list會較有幫助.):
2014-01-07 12:00 #204
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48122056
v5.2.0b1已經發佈,放置在beta portal(需有測試使用者資格)...
有眾多改進(一狗票)...
當然由於是beta1, 難免就是有bug(s)...
MR0的v5.0.6正式版於下星期1~2發佈...

[201401081252] policy邏輯改進
自v5.0發佈後, policy的操作邏輯一直有許多回饋. 在v5.2.0b1終於有了初步的實現.
policy不再區分類型, 合併成一種類型, 也打消了較為複雜的邏輯機制.

policy list更多的智能化欄位
在v5.2.0提供更多的欄位新增....

BYOD的重大變革
BYOD的改進也是基於持續的使用者回饋. policy操作邏輯的改善同樣也改進的BYOD機制.

多個device type終於可以做grouping了...

VPN的大規模強化
v5.2.0b1的GUI, VPN幾乎是整個打掉重做, 變得更為易用. IPsec VPN提供更強悍的精靈模式, 以匹配不同的client設備.

VPN從policy完全脫離, 使其更為直覺. 在v5.2.0b1的VPN邏輯已經從policy脫離, 而且更為強悍.
IPSec VPN透過智能化精靈模式使其設定更為簡單. SSL VPN提供獨立的控制介面, 另外GUI包含了IPv6的支持, 不需要再CLI另外打入.

SSL VPN另外GUI增加了對IPv6 DNS/WINS的配置.

Wireless monitoring強化
v5.2.0b1增加新的GUI monitoring圖形表機能, 使用者可以直接檢查無線訊號資訊.

VDOM GUI list強化
VDOM GUI在v5.2.0b1提供更豐富的GUI資訊.

SSL Inspection強化
SSL Inspection提供更多選擇, 也包括了一種豁免機制, 即使policy使用的SSL Inspection, 透過豁免機制可以將選取的網段隔離掉, 不需要操作SSL Inspection.

新的三種不同Dashboard
Dashboard增加了三種定型的dashboard提供各種查詢.
2014-01-08 11:56 #205
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48129639
UTM項目-NP4lite加速IPS與Application Control(confirmed...)
[201401090907, upgraded]
Fortinet's RD:
Confirmed, SoC2 has hardware to accelerate IPS.

60D上的SoC2內置了一顆NP4lite加速器, 自v5.0以來提供了使用NPU加速IPS的CLI項目.

到目前為止, 這個項目還不太確定是否有效(包括NP2/4), 不過目前測起來似乎有影響性.
這邊使用HiNet的HTTP測速網站進行暴力測試, VDSL2 100M下載400M檔案.

先強制用Proxy-mode進行干涉, Proxy-mode會強制引入到CP0加速器, 這會引發NPU對traffic加速的失效, CP0會需要透過CPU進行對traffic的相關handle.

從CPU loading來看, 由於使用AV(Proxy-mode)的關係以致大幅上升. 而當關掉純粹使用IPS項目(包括Application Control). 結果有出奇的變化:

透過UTM Monitor來觀察, Application Control似乎依然可以監測到, 另外透過Top Sessions的widget進行對相關session的捕捉, 應該是有扔到NP4lite的ASIC去handle.
對CPU loading的觀察發現巨觀性的下降, 這看起來似乎有扔到ASIC裡去操作.
Notes:
1. 沒有檢測過60C的SoC1, 不確定它是否能加速IPS和Application Control.
2. 到目前為止, SoC 1/2都無法提供H/W QoS, 它已經透過f/w被關掉了. 所以選擇如下的項目將會使用CP0和CPU去操作流量:
2014-01-08 18:32 #206
leoman892001
leoman892001
21分
207樓
leoman892001
leoman892001
個人積分:21分
文章編號:48144745
可以請問一下嗎
因為我一直無法在觀看log
下了get hardware status

得到 下面資料
Model name: FortiWiFi-60D
ASIC version: CP0
ASIC SRAM: 64M
CPU: FortiSOC2
Number of CPUs: 1
RAM: 1841 MB
Compact Flash: 12850 MB /dev/sda
Hard disk: not available
USB Flash: not available

這是表示我設備的hard disk是壞的嗎
2014-01-09 14:08 #207
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48145626

leoman892001 wrote:
可以請問一下嗎因為我...(恕刪)

try the following CLI command:

exe format
2014-01-09 14:55 #208
leoman892001
leoman892001
21分
209樓
leoman892001
leoman892001
個人積分:21分
文章編號:48146808

vxr wrote:
try the fo...(恕刪)


恩 剛開始我也試過
但是出現
hard disk is not available
剛剛升級新版韌體
目前回來了~
感謝
2014-01-09 15:56 #209
vxr
vxr
405分
樓主
vxr
vxr
個人積分:405分
文章編號:48147090

leoman892001 wrote:
恩 剛開始我也試過但...(恕刪)

早期的f/w不支援disk logging...
但是我不太建議使用disk logging...
2014-01-09 16:09 #210
我要回覆

小惡魔廣編特輯

Toyota bZ4X性能與續航力全面升級、質感與配備同時進化,最值得入手的超值進口純電休旅!
YAMAHA AUGUR 將科技智能融入日常騎乘!
Samsung Galaxy Tab S11 Ultra 輕薄AI旗艦平板|帶來S Pen 全新進化,效率與生產力雙滿點!
MSI Katana 15 / Katana 17 揮舞效能之刃,開啟電競新戰場!
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 35)
確定
留言回報
取消 確定

今日熱門文章 網友點擊推薦!