[v6.0.1, v5.6.5, v5.4.9] FortiOS Cook & Research (第14頁)

HIMALAYAS
個人積分：230分
文章編號：55263006

230分

131樓

2015-04-09 7:25

用你註冊在FortiNet官方的Account登入客戶服務支援網頁，
下載FortiGuard Updates(Virus Definition & Attack Definition & VCM)
也可以將最新版的Firmware Image下載回來。
FORTINET CUSTOMER SERVICE & SUPPORT

bigjoe185 wrote:
想請問各位大大一個很初級的問題:
我的fortigate設備license將在2015/06到期.
如果我在到期前把所有更新都升到最新版,但是日後做了factory reset是不是就會回復到舊版無法更新了?
如果日後無法更新,那有辦法把目前的病毒碼,ips定義等先備份起來嗎?

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

M.M.SW

M.M.SW
個人積分：143分
文章編號：55274300

143分

132樓

2015-04-09 20:30

bigjoe185 wrote:
想請問各位大大一個...(恕刪)

factory reset是只會回復到你正在使用的OS版本的出廠預設值
當然，所有的特徵值資料庫也都回到出廠時內定的狀態
過了保固期所以沒法再繼續更新，那時也沒法再去下載任何東西
如果在保固期內有下載AV,IPS資料，是可以有用
但如果這樣，就不要factory reset好啦
AV,IPS是可以繼續使用最後日期的資料的
只是現在零日攻擊那麼多，
這些特徵辨識值一段時間沒更新，防護就容易出現漏洞
建議版大還是找適合的廠商繼續提供服務為宜

bigjoe185

bigjoe185
個人積分：103分
文章編號：55288826

103分

133樓

2015-04-10 18:09

想請問一下:
一般家用防火牆有所謂的SPI（Static Packet Inspection）靜態封包檢測,是不是就是fortios的Stateful Packet Inspection (SPI)? 還是這是不一樣的東西?

如果我下了:
config system settings
set ses-denied-traffic enable
set block-session-timer 60
end

是不是就是開啟了SPI功能?

小弟看了cookbook半天還是不太懂,就是想把fortigate設定成和家用一樣的一般基本防護(例如:SPI 封包狀態檢測,防止 DoS 攻擊,ARP 攻擊防禦).DoS-policy已經解決了,現在正在試其他2樣.

對了我的UTM全關掉.

還有,如果想把CLI輸入的指令刪掉要怎麼刪?

我真的是fortinet超級初學者....

vxr

vxr
個人積分：400分
文章編號：55290036

400分

樓主

2015-04-10 19:36

bigjoe185 wrote:
想請問一下:一般家...(恕刪)

SPI不會牽涉到內容檢查..

你policy的UTM一個功能都不啟用..
就不會拖入到flow/proxy-inspection的UTM檢測...

haw23

haw23
個人積分：5分
文章編號：55292892

5分

135樓

2015-04-10 22:42

jacky111 wrote:
剛上 5.2.3 發...(恕刪)

+1
好像是憑證的問題，卻又沒辦法使用5.2.2的self-sign的憑證，困擾中。降級為5.2.2又正常了！
================================
今天架設vdom，結果可以用了！

M.M.SW

M.M.SW
個人積分：143分
文章編號：55297144

143分

136樓

2015-04-11 9:43

bigjoe185 wrote:
一般家用防火牆...(恕刪)

這兩個作用是不太一樣的
找了一篇ZyXEL的文章給你參考
http://www.zyxel.com/web/news/issue01/office_networking_tips_3.html

看不出大大那兩條命令想發揮的用處
而且應該不在同一個指令之下(應該不能這樣設)
如果大大是有DDoS的問題，防火牆的功用不大(很快就會掛掉)
您得另找專屬的DDoS設備，如FortiDDoS
至於CLI的命令都可以用"?"，詢問可下的命令
如果還沒下end回存之前，一般打abort即可退出
想知道什麼命令生效了，就打get去顯示
其他還有unset,unselect,purge等等命令可用
如果真的覺得細節設定或功能有疑問
建議找專業的廠商尋求協助

vxr

vxr
個人積分：400分
文章編號：55517223

400分

樓主

2015-04-25 1:52

5.4.0 beta1 已發...
諸多各種改進...

HIMALAYAS

HIMALAYAS
個人積分：230分
文章編號：55518111

230分

138樓

2015-04-25 7:56

FortiOS新版本發表的速度越來越快，這不是一個好現象...

vxr wrote:
5.4.0 beta1 已發...
諸多各種改進...

≡≡ 覺人之詐，不憤于言；受人之侮，不動于色；察人之過，不揚于他；施人之惠，不記于心 ≡≡

vxr

vxr
個人積分：400分
文章編號：55518331

400分

樓主

2015-04-25 8:30

HIMALAYAS wrote:
FortiOS新版...(恕刪)

這只是BETA...
以往按照這種速度..
差不多都是這樣..

beta有各種新功能上的改進..
例如address object新增的wildcard FQDN...
Feature set可以針對每個VDOM設定...
WLB被改進...
各種GUI被改進...

whats-new-for-fortios-540beta1(pdf):
201504/mobile01-06d089eb6a2f64c012ef278f696046fc.zip
新增的configuring policy names / IDs功能是讓人火大的功能..
不知道他從哪家產品學來的...
這個功能根本是浪費時間...

wenwenwen

wenwenwen
個人積分：131分
文章編號：55613259

131分

140樓

2015-05-01 22:49

V5.2 的 VPN Wizard 真是不錯用。
建立給手機連線用的 Dialup VPN 真方便。

不過有兩個問題
1. Wizard 建立的 IOS Native IPSEC VPN, Android 的手機無法連
這好像是 Android 的問題, 不支援 IPSEC PSK XAUTH 連線方式。
所以若要讓 Anroid跟IOS 的手機都能連，我只能建 Android Native L2TP/IPSEC VPN。
IOS 的用戶就選擇 L2TP 的方式來做 VPN 的連線。
這部份是否是如此或是我的設定不對，再請前輩們告知。

2. 我建了一個 Android Native L2TP/IPSEC VPN, 來連接到內網的網段 A。iPhone跟Android 都可順利連上。
然後我再建另一個 Android Native L2TP/IPSEC VPN (不同的 Pre Share Key), 來連接到內網的網段 B。

這樣兩個 VPN 就都不能連了，手機上出現「認證失敗」的錯誤訊息。網路上找資料，說進 CLI 中將第2個 VPN, config vpn ipsec phase1-Interface 中
set local-gw 改成外網IP中的另一個。不過改了還是一樣的不能連線(認證失敗)。
把 VPN 2 刪掉, VPN 1 還是無法連線(認證失敗)。重開機也是一樣。只好把 VPN 1 也再刪掉，再重建 VPN 1。這樣才恢復 VPN 1 的功能。

是否有辦法同時建兩個 Dialup VPN 來讓用戶連不同的網段呢？

不想唸物理了...