FortiGate « guzik

Archiwum kategorii ‘FortiGate’

FortiGate: Identity based policy

środa, 2 Czerwiec 2010

Jak już stali czytelnicy doskonale wiedzą, tu i ówdzie używam zapory FortiGate. Używam też FSAE, czyli Fortinet Server Authentication Extensions, by kierować ruchem ze względu na przynależność danego użytkownika do grupy w Active Directory.

Wszystko było w porządku gdy były dwie grupy – ‘góra’ i ‘plebs’. Rozróżniani byli kategoriami stron, do których mieli dostęp i zakresem portów (drudzy mieli w zasadzie tylko HTTP i HTTPS). Problem zaczął się w momencie rozdrobnienia ‘plebsu’ – w końcu to ludzie, którzy zajmują się księgowością, zakupami czy nieruchomościami więc przy jednoczesnym ogólnym ograniczeniu dostępu do informacji trzeba konkretnym grupom ograniczyć możliwe kategorie.
(więcej…)

Tagi:Fortigate
Zaszufladkowany do FortiGate | Brak komentarzy »

Fortinet – aktualizacje oprogramowania i GUI

piątek, 9 Kwiecień 2010

Początek kwietnia przyniósł nowe wersje firmware dla FortiGate i FortiAnalyzer. Odpowiednio 4.0MR2 build 0272 z 1 kwietnia i 4.0MR2 build 198 z 8 kwietnia. Oprócz wielu zmian w silniku najbardziej widoczną jest zmian GUI.

Jeszcze nie miałem okazji sprawdzić tego w działaniu, ale na pierwszy rzut oka wygląda ładnie, a tego zazwyczaj się obawiam.

Zobacz także:

Firewall Guru: Software Update – 4.0 MR2
Firewall Guru: FortiOS 4.0 MR2 – Initial Impressions

Tagi:FortiAnalyzer, Fortigate, Fortinet
Zaszufladkowany do FortiGate | 1 komentarz »

Fortinet – aktualizacje oprogramowania

sobota, 9 Styczeń 2010

FortiGate 4.0MR1 patch 2 (build 0192)
FSAE 3.5.051 – dostępny jest też sam agent (zarówno dla 32- jak i 64-bit oraz .exe i .msi)
Release notes

Tagi:Fortigate, Fortinet, fsae
Zaszufladkowany do FortiGate | 1 komentarz »

Fortinet – aktualizacje

poniedziałek, 26 Październik 2009

FortiOS 4.0 MR1 4.1.1 Build 0185 22 października 2009 r. (+FSAE 3.5.048)
FortiOS 4.0 4.0.3 Build 0106 25 października 2009 r.
FortiOS 3.0 MR7 Patch 7 Build 0750 19 października 2009 r.
FortiManager 4.0 MR1 4.1.1 Build 214 21 października 2009 r.
FortiAnalyzer 4.0 MR1 4.1.1 Build 123 21 października 2009 r.
FortiClient 4.0 MR1 4.1.1 Build 0132 21 października 2009 r.

Tagi:FortiAnalyzer, Fortigate, Fortinet
Zaszufladkowany do FortiGate | 1 komentarz »

Border Gateway Protocol 4

czwartek, 24 Wrzesień 2009

Jakiś czas temu przejąłem serwer, który korzysta z BGP. Jako, że wcześniej z braku czasu ten temat zawsze spychałem gdzieś dalej, to teraz musiałem się w niego co najmniej lekko wgryźć. Dałem radę!

Oprócz tego, że zarządzam produkcyjnym serwerem, zrobiłem sobie poligon, gdzie testuję różne rzeczy. Poniżej schemat dla mojego przyszłego pracodawcy ;-)

(więcej…)

Tagi:BGP
Zaszufladkowany do FortiGate, Linux, OpenBSD, RTR / FW | Brak komentarzy »

Nowy FortiOS

środa, 26 Sierpień 2009

Oczywiście czuwam (czyt. aktualizuję), ale jestem na szkoleniu i nie mam czasu na opisywanie tego co robię. Niemniej nadrabiam teraz: Fortinet wydał nową wersję FortiOS – oznaczoną jako 4.0MR1 (v400-build0178). Poniżej odpowiednie odnośniki:

Wszystko działa (nie ma problemu ze zdalną aktualizacją z 4.0).

PS C:\> Get-WmiObject -Class Win32_Product -computername DC | Where-Object { $_.name -like “Forti*” } IdentifyingNumber : {8BB826C4-4CB5-42B0-A124-AA9B69F8CB41} Name : Fortinet Server Authentication Extension (FSAE) Vendor : Fortinet Inc. Version : 3.5.047 Caption : Fortinet Server Authentication Extension (FSAE)

Tagi:Fortigate, Fortinet, FortiOS
Zaszufladkowany do FortiGate | 1 komentarz »

FortiGate i równoważenie obciążenia

czwartek, 28 Maj 2009

Równoważenie obciążenia (LB + HA) w FortiGate sprawdzone! Działa. Na razie w środowisku mocno testowym, produkcyjnie na razie nie mam potrzeby używania. Zanim opiszę jak używać, odnośniki do alternatywnych rozwiązań:

relayd z OpenBSD (i jakiś port dla FreeBSD),
LVS,
Heartbeat,
mod_jk – LB dla Apache Tomcat (vide mój projekt pracowniczy w P. I. Kamsoft AD 2005).

Produkcyjnie wykorzystywałem relayd, LVS i mod_jk. Heartbeat testowałem bardzo krótko.
Konfiguracja w FortiGate jest dość prosta (pomijam politykę zapory):

Konfigurujemy Virtual Server
W CLI konfigurujemy podobnie jak Virtual IP. Jako typ VIP ustawiamy server-load-balance. Rodzaj LB (server-type) możemy ustawić na: HTTP, TCP lub UDP oraz IP. Metod rozkładu obciążenia mamy do wyboru sześć: Static, Round Robin, Weighted, First Alive, Least RTT i Least Session. Do konfiguracji sprawdzania obecności (Health Check) trzeba wrócić później.
Definiujemy rzeczywiste serwery
Oprócz nazwy i adresu IP podajemy port usługi, a także wagę i maksymalną liczbę połączeń. Serwery rzeczywiste przypisujemy serwera wirtualnego.
Definiujemy sposób sprawdzania obecności (przypisać go należy do wirtualnego serwera)
Określamy typ (HTTP, TCP lub PING) i interwał oraz liczbę powtórzeń. W przypadku typu TCP podajemy port usługi, dla HTTP – URL i cią jaki ma być dopasowany do zawartości.
…no i możemy cieszyć się gotowym rozwiązaniem.

Przykładowa konfiguracja może wyglądać tak:

config firewall ldb-monitor edit "DEV-HCH" set type tcp set port 80 next end config firewall vip edit "DEV" set type server-load-balance set extip 192.168.1.230 set extintf "wan1" set server-type tcp set monitor "DEV-HCH" set ldb-method first-alive set extport 80 config realservers edit 1 set ip 10.1.0.1 set port 80 next edit 2 set ip 10.1.0.2 set port 80 next edit 3 set ip 10.1.0.3 set port 80 next end next end

Jedyny minus jaki dotychczas dostrzegłem, to brak jakiejkolwiek informacji w logach (pamięć, FortiAnalyzer) o tym, że dany serwer nie działa lub zmienił swój stan.

Poniżej wykres z JMeter – duży skok na początku to wyłączenie pierwszego serwera; metoda rozkładania obciążenia: First Alive i 10 sekund pomiędzy kolejnymi testami.

Innych testów nie chciało mi się robić. Środowisko testowe jeszcze trochę będzie stało (planuję m. in. testy MySQL w klastrze), więc jak ktoś chce wyniki testów LB przy konkretnych ustawieniach, proszę o kontakt.

Tagi:Fortigate, Fortinet, load balance
Zaszufladkowany do FortiGate | Brak komentarzy »

guzik