Fortinetowe rozważania

wszystko inne - NIE licząc sprzętu typu SOHO!!!
Wiadomość
Autor
Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#1

#1 Post autor: Rilke »

W sumie trochę znam się na FG i pracuję na nich parę lat, mogę odpowiedzieć na jakieś pytania jeśli chcecie:
- zasady licencjonowania
Licencje obejmują support, licencje NGFW (czyli subskrypcję ips, webfilter, antivirus), licencję clouda oraz dodatkowe licencje na ilość VDOMów (czyli kontekstów wirtualnych) i urządzeń dodatkowych (FortiClient czy FortiToken)
- co "pudełko" robi samo a co w chmurze i z czym zostajesz jak wygasną licencje
pudełko chmurę ma jako opcję a nie jako must. Jak wygasną licencję zostajesz z firewallem na który nie przychodzą update szczepionek IPSowych czy Antywirusowych. Webfilter nie bedzie funkcjonalny, bo przy filtrowaniu stron odpytuje na bierząco chumrę o rating danej strony.
- co "pudełko" robi a do czego wymaga osobnych "pudełek" jak FortiAnalyzer czy FortiManager
Manager zarządza konfiguracją wielu FG i robi jako cache dla niektórych usług. FortiAnalyzer przechowuje logi przez dłuższy czas (na FG nie ma bardzo dużo miejsca na logi), raporciki i agregację
- jak popsuli soft programiści z Indii po tym, jak przeniesiono tamże rozwój oprogramowania
Obecnie są wersje 5.0 i 5.2. Początki wersji 5 były słabe przyznaję, ale obecnie używam produkcyjnie u klientów wesji 5.0.9 i wyższych i nie ma problemów ze stabilnością. Wersji 5.2 nie używałem i nie labowałem z braku czasu głównie.
- jak granularnie możesz kontrolować mechanizmy działania tego "pudełka"
do poziomu reguły firewall. Czyli np. możesz przypiąć ips czy antywirus do jednej reguły, do drugiej już nie.
Jarek Rowiński

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#2

#2 Post autor: saiqard »

Rilke pisze: licencję clouda oraz dodatkowe licencje na ilość VDOMów (czyli kontekstów wirtualnych)
Czyli po wygaśnięciu licencji nie mamy możliwości tworzenia kontekstów wirtualnych?

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#3

#3 Post autor: Rilke »

saiqard pisze:
Rilke pisze: licencję clouda oraz dodatkowe licencje na ilość VDOMów (czyli kontekstów wirtualnych)
Czyli po wygaśnięciu licencji nie mamy możliwości tworzenia kontekstów wirtualnych?
to akurat jest licencja perpetual. Raz kupisz i masz na urządzeniu na zawsze możliwość tworzenia VDOMów. W podstawową licencję jest wbudowane 10 VDOMów, licencją dokupujesz więcej.
Licencje czasowe to support i subskrypcje na usługi typu update IPS, Antivir itp.
Jarek Rowiński

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#4

#4 Post autor: Kyniu »

Rilke pisze:Licencje czasowe to support i subskrypcje na usługi typu update IPS, Antivir itp.
Nie śledzę tego aż tak dokładnie i być może coś się zmieniło, ale z tego co pamiętam to nie były licencje na update tylko na usługę - czyli klient nie zostawał z działającym ale nie aktualizowanym IPS'em czy AV tylko zostawał z niczym. Usługa wygasała i koniec.

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#5

#5 Post autor: Rilke »

Kyniu pisze:
Rilke pisze:Licencje czasowe to support i subskrypcje na usługi typu update IPS, Antivir itp.
Nie śledzę tego aż tak dokładnie i być może coś się zmieniło, ale z tego co pamiętam to nie były licencje na update tylko na usługę - czyli klient nie zostawał z działającym ale nie aktualizowanym IPS'em czy AV tylko zostawał z niczym. Usługa wygasała i koniec.
Bazy stare zostają i możesz z nich korzystać. Na LABowych FG spokojnie włączam usługi tego typu na regułach. Jedyne co wypada to rzeczy typu webfilter, gdzie usługa na bierząco odpytuje o rating strony "chmurę"
Jarek Rowiński

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#6

#6 Post autor: saiqard »

Rilke pisze:
Kyniu pisze:
Rilke pisze:Licencje czasowe to support i subskrypcje na usługi typu update IPS, Antivir itp.
Nie śledzę tego aż tak dokładnie i być może coś się zmieniło, ale z tego co pamiętam to nie były licencje na update tylko na usługę - czyli klient nie zostawał z działającym ale nie aktualizowanym IPS'em czy AV tylko zostawał z niczym. Usługa wygasała i koniec.
Bazy stare zostają i możesz z nich korzystać. Na LABowych FG spokojnie włączam usługi tego typu na regułach. Jedyne co wypada to rzeczy typu webfilter, gdzie usługa na bierząco odpytuje o rating strony "chmurę"
Słyszałem, że wystarczy jeden checkbox i web-filtering działa bez "rating service" możesz to potwierdzić?

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#7

#7 Post autor: Rilke »

saiqard pisze:
Rilke pisze:
Kyniu pisze: Nie śledzę tego aż tak dokładnie i być może coś się zmieniło, ale z tego co pamiętam to nie były licencje na update tylko na usługę - czyli klient nie zostawał z działającym ale nie aktualizowanym IPS'em czy AV tylko zostawał z niczym. Usługa wygasała i koniec.
Bazy stare zostają i możesz z nich korzystać. Na LABowych FG spokojnie włączam usługi tego typu na regułach. Jedyne co wypada to rzeczy typu webfilter, gdzie usługa na bierząco odpytuje o rating strony "chmurę"
Słyszałem, że wystarczy jeden checkbox i web-filtering działa bez "rating service" możesz to potwierdzić?
Owszem, możesz nie korzystać z FortiNet categories i wtedy stosować własne, sztywne listy urli. Nie testowałem tego ale opcja jest :)
Jarek Rowiński

saiqard
wannabe
wannabe
Posty: 385
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#8

#8 Post autor: saiqard »

Rilke pisze:
saiqard pisze:
Rilke pisze: Bazy stare zostają i możesz z nich korzystać. Na LABowych FG spokojnie włączam usługi tego typu na regułach. Jedyne co wypada to rzeczy typu webfilter, gdzie usługa na bierząco odpytuje o rating strony "chmurę"
Słyszałem, że wystarczy jeden checkbox i web-filtering działa bez "rating service" możesz to potwierdzić?
Owszem, możesz nie korzystać z FortiNet categories i wtedy stosować własne, sztywne listy urli. Nie testowałem tego ale opcja jest :)
Ale wtedy korzystasz z własnych (ustawionych przez siebie) reguł, czy z reguł pobranych z serwerów FortiNet i po prostu nie bata raitingu na bieżąco?

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#9

#9 Post autor: Rilke »

saiqard pisze:
Rilke pisze:
saiqard pisze: Słyszałem, że wystarczy jeden checkbox i web-filtering działa bez "rating service" możesz to potwierdzić?
Owszem, możesz nie korzystać z FortiNet categories i wtedy stosować własne, sztywne listy urli. Nie testowałem tego ale opcja jest :)
Ale wtedy korzystasz z własnych (ustawionych przez siebie) reguł, czy z reguł pobranych z serwerów FortiNet i po prostu nie bata raitingu na bieżąco?
Z własnych, ustawionych przez siebie. Jest możliwość ustawienia cache na rating (tak żeby nie odpytywał za każdym razem o popularne strony), ale całego ratingu nie ściągniesz.
Jarek Rowiński

a326
rookie
rookie
Posty: 13
Rejestracja: 23 paź 2009, 14:55

#10

#10 Post autor: a326 »

A jak wygląda kwestia aktualizacji oprogramowania?
Trzeba mieć wykupiony jakiś support aby ściągać nowe wersje, czy każdy kto ma pudełko może zaktualizować się do najnowszej wersji?

tns
wannabe
wannabe
Posty: 62
Rejestracja: 31 lip 2009, 18:36

#11

#11 Post autor: tns »

trzeba mieć konto na support.fortinet.com z podpiętym urzadzeniem - wtedy możesz sciagać do dowolnego Forti-urzadzenia soft.

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#12

#12 Post autor: bart »

To co dobre jest w Forti to działanie firmware firewall w środowisku VM. Jeżeli chcemy robić upgrade do nowszej wersji to instalujemy sobie aktualny firmware swojego FW na VM i wrzucamy produkcyjny konfig. Ściągamy nowy firmware i robimy sobie upgrade - czyli mamy powiedzmy klasyczny LAB. Wiadomo, nie będzie to nam dawało 100% pewności ale mamy bardzo duże prawdopodobieństwo, że jak pójdzie w takim labie, to pójdzie i tak samo na produkcji.

Awatar użytkownika
Mike
wannabe
wannabe
Posty: 273
Rejestracja: 30 sie 2004, 18:31

#13

#13 Post autor: Mike »

bart pisze:To co dobre jest w Forti to działanie firmware firewall w środowisku VM. Jeżeli chcemy robić upgrade do nowszej wersji to instalujemy sobie aktualny firmware swojego FW na VM i wrzucamy produkcyjny konfig. Ściągamy nowy firmware i robimy sobie upgrade - czyli mamy powiedzmy klasyczny LAB. Wiadomo, nie będzie to nam dawało 100% pewności ale mamy bardzo duże prawdopodobieństwo, że jak pójdzie w takim labie, to pójdzie i tak samo na produkcji.
Czesc,
To o czym piszesz ma byc niby zaletą w przypadku FortiGate?
Lepiej byłoby miec porządnie napisane release notes i nie oczekiwac wielkiego wybuchu po upgrade na produkcji.
Poza tym, trzeba chyba rozróżnić upgrade (nowa wersja softu) od update (uaktualnienie obecnej wersji.

Mike

bart
wannabe
wannabe
Posty: 464
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#14

#14 Post autor: bart »

Mike pisze:
Czesc,
To o czym piszesz ma byc niby zaletą w przypadku FortiGate?
Lepiej byłoby miec porządnie napisane release notes i nie oczekiwac wielkiego wybuchu po upgrade na produkcji.
Poza tym, trzeba chyba rozróżnić upgrade (nowa wersja softu) od update (uaktualnienie obecnej wersji.

Mike
Nie siedzę tak mocno w Fortinet, więc nie wiem jak wygląda RN ale pewnie mniej więcej jak u każdego innego vendora. Jednak, skoro się tak czepiasz słówek, czy to update czy upgrade, to lepiej mieć więcej możliwości przetestowania niż mniej - proste.

Awatar użytkownika
balam
wannabe
wannabe
Posty: 977
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

#15

#15 Post autor: balam »

Ja tylko dodam, ze po raz drugi klasyfikacja app wywalila mi produkcje na jakis czas - dodali SSLv2 bez informacji wiec nie caly ruch sie lapal w policy. Wczesniej podobnie zrobili z przegladarka chrome (http_browser byl i dodali http_browser_chrome bez info) jak dobrze pamietam wiec problem end user'a.
Somewhere back in time.

ODPOWIEDZ