Poslední články
FortiGate Firewall politiky, NAT, Load Balancing, Debug
Základní vlastností Firewallu je řízení síťového provozu. To provádíme definováním bezpečnostních politik. V tomto článku se podíváme na základní vlastnosti politik. Dále rozebereme možnosti překladu adres (NAT - Network Address Translation). Jednak překlad zdrojové adresy pro komunikaci klientů do internetu. Pak také překlad cílové adresy pro publikaci serverů. S tím také souvisí rozvažování provozu na více serverů (Server Load Balancing). Popíšeme si základní objekty pro politiky, jako jsou služby a adresy. Na závěr je stručná zmínka o možnostech troubleshootingu provozu.
Outlook problémy s připojením na Exchange 2016 (ThrottlingPolicy)
Po přechodu na Exchange 2016 jsem dlouho řešil problém, že se občas MS Outlook 2016/2019 nemohl připojit na Exchange Server 2016 ve stejné lokální síti. Pokud se nechal běžet, tak se po určité době (odhadem 10 minut) připojil. Tento problém nastával, pokud Outlook korektně běžel, pak se opakovaně zavřel a znovu spustil. Nebo pokud uživatel přecházel mezi různými sítěmi (kabel a bezdrátová síť) s běžícím Outlookem. Nakonec jsem zjistil, že to patrně způsobuje limit RcaMaxConcurrency, který má defaultně hodnotu 40.
FortiGate dvě připojení k internetu (Dual WAN)
Připojení firmy k internetu je dnes zásadní věc a většinou se požaduje, aby bylo bezvýpadkové (v rámci možností). Můžeme využívat jednoho ISP, který řeší vysokou dostupnost (redundanci) svými prostředky (třeba přivedením dvou nezávislých optických tras). Nebo mít dva (či více) různé ISP, pak musíme řešit sami využití linek a případné přepínání. Také můžeme mít dvě linky k internetu a chtít manuálně rozdělit provoz. FortiGate má několik možností, jak tyto situace řešit. Nejvíce se zaměřujeme na SD-WAN. Docela důležitá je otázka, zda řešíme pouze přístup do internetu nebo také publikujeme nějaké služby na veřejných IP adresách.
FortiGate konfigurace, upgrade, mody provozu, síťová rozhraní, CLI
Článek se věnuje základní konfiguraci (instalace a upgrade) fyzické appliance Next Generation Firewall Fortinet Fortigate. Popisuje možné módy provozu (operační mód, inspekční mód a NGFW mód). Rozebírá fyzická i virtuální síťová rozhraní. Zmiňuje základy použití příkazové řádky (CLI). A na závěr možnost automatického zálohování konfigurace.
FortiAnalyzer základní konfigurace
FortiAnalyzer je nástroj pro centralizované logování, primárně pro FortiGate, ale podporuje i další Fortinet zařízení. Umožňuje shromažďovat logy z více zařízení (a seskupovat či rozdělovat je), nad nimi provádět analýzu a generovat reporty. Zaměřeno je na bezpečnost a poskytnutí vhledu do hrozeb. Má širší možnosti než logování lokálně na FortiGate a hlavně podporuje mnohem delší historii dat. Může se jednat o HW appliance nebo virtuální stroj.
FortiGate konfigurace SSL VPN
Po několika úvodních článcích, které se věnovali autentizaci uživatelů, je tu rozsáhlý díl o konfiguraci SSL VPN. Snažil jsem se udělat popis hodně komplexně, protože oficiální dokumentace je pro mne nedostatečná. Pro vytvoření základního VPN připojení stačí pár jednoduchých kroků (příklady jsou v oficiální dokumentaci). Tento článek by měl ukazovat i všechny speciální možnosti, které můžeme nastavit. Věnuje se vazbám mezi jednotlivými částmi konfigurace. A snaží se o globální pohled, který přechází do popisu detailů.
FortiGate SSL VPN Host Check - kontroly klienta při připojení
V tomto článku doplníme poslední část k dříve popsanému vytvoření SSL VPN na FortiGate. Budeme se věnovat kontrolám klienta při připojení do SSL VPN. Na klientovi můžeme ověřit řadu věcí a podle výsledku kontroly rozhodnout, zda se může nebo nemůže připojit do VPN. Kontroly můžeme provádět pouze na operačním systému Windows (něco málo na Macu). Ověřovat můžeme verzi operačního systému, přítomnost antiviru a firewallu, klientskou MAC adresu, existenci určitého souboru, procesu nebo klíče v registrech.
FortiGate dvoufaktorová autentizace s použitím OTP
Další pokračování, které se věnuje možnostem vícefaktorové autentizace (MFA) na FortiGate. Podíváme se na dvoufaktorovou autentizaci (2FA) pomocí OTP (One-time Password) zaslaného na email nebo jako SMS zpráva. Použití je pro přihlášení do SSL VPN, ale můžeme využít i jinde.
FortiGate autentizace certifikátem do SSL VPN
Minule jsme si popsali uživatelské účty na FortiGate a ověření lokálně či vůči vzdáleným serverům (LDAP). Dnes se podíváme na možnosti vícefaktorové autentizace (MFA). Speciálně využití digitálního certifikátu pro přihlášení do SSL VPN. Ukážeme si, jak můžeme využít běžnější uživatelský, ale také počítačový certifikát.
FortiGate uživatelé, skupiny a autentizace vůči LDAP (AD DS)
FortiGate podporuje různé typy uživatelů a uživatelských skupin. Uživatelé se mohou autentizovat nejen lokálně, ale také vůči externím serverům. Užitečná je autentizace vůči LDAP serveru, tak můžeme využít uživatele v Microsoft doméně (Active Directory Domain Services). Uživatele a skupiny můžeme používat v bezpečnostních politikách nebo pokud vytváříme VPN připojení. I správci FortiGate jednotky se mohou přihlašovat doménovým účtem.
Nejčtenější článek
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Poslední aktuality
Poslední fotogalerie
Instalace CUCM 8.6 Publisher
fotky z období: 12/2014
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
Fotočlánek, který dokumentuje čistou instalaci Cisco Unified Communications Manager (CUCM) serveru ve verzi 8.6.2.20000-2 jako Publisher.
Poslední komentáře
Statistiky
Stránky si zobrazilo 7,918,583 návštěvníků. Během dneška 111.
Právě tu je 24 hostů a 0 přihlášených uživatelů.
tel wtf co je to tu za kidos???? XDDDDDDDDDDDDDDDDDDDDDDDD
spolehlivá nabídka půjček do 24 hodin - kolečkových bruslích
Hledáte půjčku na restartování svých aktivit, ať už jde o realizaci projektu, nebo potřebujete peníze z jiných důvodů nebo cokoli chcete. Jsme připraveni zapůjčit každému, kdo má nárok na vrácení peněz. Sdělte mi prosím částku vaší žádosti o půjčku a její termín. Prosím kontaktujte mě
molikadom@seznam.cz
[2] Tyto dotazy nějak nechápu. Nevím, jestli jste ten článek četl.
Pro sledování dostupnosti cesty do internetu se u SD-WAN používá Performance SLA. Zadám si nějaký server v internetu, pokud nebude dostupná, tak se bere cesta jako nedostupná.
Čemu by mělo vadit, že někteří klienti komunikují z jedné IP adresy a jiní klienti z jiné IP adresy? Tak to v internetu normálně funguje.
Zdravíčko, zajímavý článek. Ale jak řešíte, pokud ISP nepadne přímo Vaše brána, ale něco po cestě mezi GW a ISP GW?
A jak se na 2 WAN tváří koncové aplikace? Není problém např. s tím, že jednou jdete v rámci komunikace z IP 1.1.1.1 a jindy z 2.2.2.2 pokud máte LB?
Pro pravidla pres nekolik interfacu, ktere maji shodnou funkci je mozne s uspechem vyuzit zony.
https://docs.fortinet.com/document/fortigate/6.2.3/cli-reference/69620/system-zone