1read 100read
2013年17通信技術189: チェックポイントスレッド (188) TOP カテ一覧 スレ一覧 2ch元 削除依頼
今現在、インターネットは正常か? (176)
TCP/IPについてじっくり考えてみなか? (219)
電灯線インターネットの短波利用に反対! (274)
BBフォンの発番号通知は成りすましではないのか? (429)
ここで偉そうな事書いてるくせにNW落ちた奴の数→ (104)
メールやHPでのねずみ講勧誘について (200)

チェックポイントスレッド


1 :02/08/31 〜 最終レス :2013/03/21
・圧倒的なFireWall市場のシェアでユーザーも多いと思われるチェックポイント
・最近NetScreenの勢いに押されがちなチェックポイント
・ライセンス高すぎるぞチェックポイント
・ライセンスの種類多すぎるぞチェックポイント
・圧倒的に多機能だぞチェックポイント
・設定しやすいGUIという割に結構不可解な落とし穴があるぞチェックポイント
・もうすぐFP3が出てまた機能が増えるぞチェックポイント
・バージョンアップ作業は頭が痛いぞチェックポイント
こんなチェックポイント製品についてまたーりと語りましょう。
技術的な悩み・ライセンスへの悪口・NetScreenに勝てるのか?など・・・

2 :
新スレおめでとうございます。

3 :
リンク(オフィシャル)
http://www.checkpoint.com/
http://www.checkpoint.co.jp/
リンク(アンオフィシャル)
http://www.phoneboy.com/
http://www.deathstar.ch/security/fw1/
http://sec.spruce.se/fw1/
http://daniel.granlundkommunikation.nu/fw1/docs/joe/
http://www.enteract.com/~lspitz/

4 :
価格対性能比で単純に比べるとCheck Point+ハードはNetScreenに勝てませぬ。
ただ、例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。
ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。

5 :
>>4
>例えばNetScreenは3DESに比べてAESパフォーマンスが圧倒的に弱かったり・・・。
まあ、それ以前に実績が違うわな
スピード以外はあらゆる面でFirewall-1の圧勝だから
セキュリティを主に考慮した設計では普通はFirewall-1を使うべきだと思う
#ただしDoSに対してはどうしてもASICより弱いけどね
NetScreenはいろんな意味でバグだらけだよ
>ASIC全盛時代に基本的にソフトウェア処理なCheck Pointは何をウリに生き残ればいいんでしょうね。
ASFがある程度の答えをだしてるよね
専用バランサでロードバランスするってのが一番いいでしょう
ASFは評価したこと無いけど、AlteonとNetScreenの圧倒的な性能差から考えれば、
少なくともスピードはASFの圧勝なんじゃないかな?
ただ、セッション処理SPの振り分けロジックがAlteonといっしょだったりしたら萎えだな
あのロジックはあんまりFirewall向きではないと思う

6 :
NokiaIP + Fw1で年間保守料100マソって他界と思うんだがどうよ

7 :
なんか、Fw1と連携して動かすプラグインソフトがサードパーティから結構出てるんだよね。
そこラ変も売りなんですかね?
DHCPサーバーと連携させたり(あれはサードパーティじゃ無いけど)

8 :
>>6
機種が不明、高いか判断できん
初年度か次年度以降かも言ってみれ
9 :あぼーん:あぼーん
あぼーん

10 :
>>8
よんひゃくシリーズ、継続保守。
ハードが逝ったんで業者頼んだら、3ホップぐらい別会社を転々と回されたよ。
あとFw1本体は更に別会社のサポート範囲だそうだ。
これとは別件でグレード別のサポートとかがあるんかフォーバルに聞いたことがあるが、
質問チケット渡されるのに一週間、更に営業が回答をよこすのに半月かかった。

11 :
>>10
全然普通の値段

12 :
何と比べて?
同クラスの
PIX? | Sun Screen ? | NetScreen ?

13 :
たとえばこう言う事は出来るんでしょうか?
Active mode FTPの用にクライアントからトリガするが、
サーバーからもコネクションを張りに行くような場合、
FTPの用にメジャーなプロトコルであれば何処の製品でも
サポートしてると思うのですが、
マイナーなプロトコルの場合は如何してるのでしょう?
Fw-1のポリシーをGUI Clientではなくテキストで編集できれば、
その当たりも可能かと思うのですが、如何ですか?
私のところでは上記の需要は有りませんが、動画配信などでこーゆーシーケンスを辿る
プロダクトが有るような気がします。

14 :
>>13
いわゆるRelatedコネクションだな
そういえば組み込みポリシー以外のRelatedコネクションを
ユーザが定義できるFirewallって見たこと無いな
どっかにあるの?
#確かにFirewall-1はpfを自分で書けばできそうな気はする

15 :
>>6
NOKIAもCheck Pointも単体製品として保守料を取るからあわせるとソフト・ハードが単一メーカーの場合よりどうしても高くなってしまう気がする。
NOKIAのOS(IPSO)だかFireWall-1だか原因がわからないようなトラブルだと結構たらい回しにされるし。
提携結んで戦略発表するのもいいけど、セット割引価格体系とかなんかないかな。安いものが売れる時代だし。
>>14
インスペクト言語というC言語に似たマクロによって$FWDIR/lib/user.defファイルに定義することができるらしいです。ただ、これに関してはリファレンスがあるだけで、私自身実例を持っているわけではありません。プログラマじゃないのでリファレンス見てもちんぷんかんぷん。
>>13
REALやQTのRTSPとかMS Media PlayerのNetshowなんかは対応済み。NetMeeting(H.323)なんかも対応している。
OracleとかRPC(Sun RPCやDCE-RPC)ベースのアプリもプログラム番号で制御できる。やったことないけど。
チェックポイントは定義済みのプロトコルが多いです。最新のVer NG FP2ではSIPへの対応をうたっていて、SIPメッセージに対応するRTPやRTCPストリームを安全に通すことができるそうな。
http://www.checkpoint.co.jp/pr/2002/20020611.html
次期バージョンのFP3では、HTTPポートで行われるSOAPとかXMLを利用したWebサービスをアプリケーションレイヤーで制御できるようにするそうな。この辺のプロトコルはよくわかりませんが。
http://www.checkpoint.com/press/2002/xmlsoap082702.html
逆に、NetScreenってASICベースでどのぐらいこのあたりについて柔軟性があるんでしょうね。柔軟性がなければいろんなアプリを通すならチェックポイントかなっていうことにもなるし。
FTPなんかで、今のバージョン(NG)だと別ポートをFTPサービス用として定義すれば、別ポートでもPORTコマンドやPASVコマンドリプライに応じてデータコネクションを開けるんですが、こういう設定ってNetScreenはできるんでしょうかね。

16 :
>>5
ASFってあんまりうわさ聞かないんですが、触った方おられます?見た目はACE DirectorとDell Power Edgeの1Uサーバの寄せ集めなんですが(笑)
N+Iでも静展示しかなかったような。
そういえば、N+IでNOKIAやっている阿須ジェントが別会社のX40Sっていうシャーシ型の大型アプライアンスを動展示してましたね。LINUXベースらしいですが。

17 :
機能に関してはソフトベースが圧勝するのは当然だと思いますよ
Relatedセッションの処理は最たるものでしょう
だから用途に応じて臨機応変に選定する必要があるかと
ただ、どうしてもソフトベースってDoSに弱いというイメージがあるんですけどどうですか?
特にUnixワークステーションに乗っけると、、、、
>Dell Power Edgeの1Uサーバの寄せ集め
よく知りませんが、Juniperだって中身はただのPCらしいですからね
PacketShaperなんてベンダが"これはパソコンです"ってのたまったし
ところで、Firewall-1は意外にNATの自由度が低いと思う
SrcIPとDstIPレベルの組み合わせしかNATのルールを定義できないけど
NetScreenはプロトコルごとに別のNATとかできるよね
その代わり双方向NATはできるわけだけど
#良スレなんで上げていこう
#自治厨がルータ気取るスレは板汚しなんで良スレで埋めましょう


18 :
>>17?
NetScreenやSonicWallがあってCheck Pointがないのも寂しいので
たててみました。反応もあるようでうれしいです。
用途に応じてってところをなかなか説得力を持って説明できる営業
とかコンサルって結構少ない。NetScreenの売り込みで使われてい
る比較表を元にするとNetScreen最強に見えてくるし。NetScreen
も覚えなきゃ食いっぱぐれるかなーなんて思ったり。
>ソフトベースってDoSに
OSの要塞化と自身を守るルールである程度防げるかと思っていま
すが。
デフォルト設定の同時25000セッション状態でセッションの多い
HTTPサーバを守っているとステートテーブルいっぱいってことが
あります。メモリ増設とカーネルチューニングである程度防げます
がね。でもこれをやってしまうと保守対応がいろいろと・・・。
あと、モジュール・マネージメント同居マシンでログを閲覧すると
fwmプロセスが逝っちゃうことが・・・。ログ閲覧が管理者による
DoS攻撃になるという笑えない事態も。

19 :
>>17
>NATの自由度
実はできますよ、ポートごとの設定。NAT Ruleを手動で定義すれ
ば。Ver 4.0までのfwuiのGUIだと設定できないんで知らない方も
いるかもしれません。MotifやWindowsのポリシーエディターで
NATタブにソースとデスティネーションのネットワークオブジェ
クトとサービスオブジェクトで定義。ネットワークオブジェクト
のNATタブは使わないこと。
Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな
ったのでGUIだけで設定を完了できるようになったところがGood。
NetScreenのNATパフォーマンスっていいんでしょうか?このあ
たりもASICで高速化とかやっているんでしょうか?FW1だとNo-
NAT比でスループットが5〜30%程度落ちる可能性があると某所
で聞きました。

20 :
穴らしい
http://www.securiteam.com/securitynews/5TP040U8AW.html

21 :
>>18-19
プロトコルベースのNATってできたんですか、、、、
かなり恥ずかしい
>Ver NGはProxy ARPや変なHost Static Routeの設定がいらなくな
>ったのでGUIだけで設定を完了できるようになったところがGood。
これ、重要ですね
別に書くのが面倒なわけじゃなくて、冗長組んでるところで
待機系FWの設定ミスとかがなくなるのがうれしいです。
#起動スクリプトをNFSで共有ってわけにはいかないですよね(W
>デフォルト設定の同時25000セッション状態でセッションの多い
>HTTPサーバを守っているとステートテーブルいっぱいってことが
>あります。メモリ増設とカーネルチューニングである程度防げます
>がね。でもこれをやってしまうと保守対応がいろいろと・・・。
ここなんですけど、NATのセッションリミットって
NATのハッシュサイズが16ビットが上限なので
NATセッションは最大でも5万だって思ってたんですけど、
これって間違いですか?
#もしくはNGで解消されている?
セッションテーブルの最大サイズはハッシュサイズが32ビットまでOKらしいので
メモリ増やせばいいんですが、NATセッションの上限が5万だと
NATしてる場合は結局こっちに足を引っ張られてしまいます。
#4.1のドキュメントにはNATは最大でも5万までと書いてあったので、、、
>NetScreenのNATパフォーマンス
かなり速いです。
NS-200以上であればNATで3000con/secいけます。


22 :
すいません
某製鉄屋のグループ企業のサポートが
全く役に立たないので質問させてください。
Firewall-1のFTP-DATAセッションのテーブル作成トリガと
削除トリガについて詳しい方はいらっしゃるでしょうか?
自分の認識ではテーブルの作成はPORTコマンド、PASVコマンドの通過で、
削除トリガは通常のTCPセッションに準ずると思っているのですが、
実際には、PORTコマンドが通過しても、続くRETRやNLSTにエラーが出れば、
FTP-DATAセッションは張られません。
この場合、セッションテーブルはタイムアウトまで残ってしまうのでしょうか?
FTPのバッチ処理を行っているところで、FTPの失敗が多発していたため調査したところ、
どうも、セッションエントリのあるポートを対象としたPORTコマンドをFirewall-1がRSTしているようなのです。
バッチであるために存在しないFileへのNLST要求等が多数あったりするため、
PORTコマンドとPORT_Succesfullは通過しても、実際にはDATAセッションが張れらないケースが多くあります。
この時のPORTコマンドで指定されたセッションが
セッションテーブル上に大量に残っているのが原因ではないかと考えているのですが、
実際のFirewall-1のFTPのハンドリングの仕様はどうなっているのでしょうか?
#鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちません

23 :
>22
> #鉄屋のサポートはFirewall-1以前にFTPの仕様自体を知らないような感じで、役に立ちませ
サポートしてた実力あるメンバーは、電話関係に回されたり、スピンアウトしたりしたからにゃ。

24 :
mj.pref.mie.jp (pri=10)
http://www.nanet.co.jp/rlytest/relaytest.html
<<< 220 CheckPoint FireWall-1 secure SMTP server
問題あり:不正な中継を受け付けます。
(61.114.229.2)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

http://uptime.netcraft.com/up/graph?mode_u=off&mode_w=on&site=www.pref.mie.jp
OS Server Last changed IP address Netblock Owner
Windows 2000 Microsoft-IIS/5.0 7-Mar-2002 210.229.192.3 Mie Prefectural Government

?????????????
http://www.pref.mie.jp/scripts/..%252f../winnt/system32/cmd.exe?/c+dir

25 :
Netsceenに押されようともFW-1はまだまだ安泰でしょう。
ちなみにRaptor(SEF)は絶滅危惧種です。
RED DATA BOOKにも載ってるので間違いないです。

26 :
しばらくぶりです。
>>21
冗長ソフトだとたまに実インターフェイスと違うARPをProxyARPで書
かなきゃならない場合があるけど、NGの自動設定は追従できるのか
、やってない(w
NGのセッションリミットって、なかなかいい資料が出てこない。NAT
テーブルlimitって設定自体NGではみあたんない。4.1まではNAT limit
50000/hash size 65535ってことだと思ってますが。
上記のような制限についてのNGに関する解説がない。でもこの制限が
なくなったというお知らせも見たことがない。歯切れのいい説明を→CP。


27 :
>>24
SMTP security serverのセキュリティーは設定次第と思うが。
ただ、Ver 4.0以前のSMTP security serverは普通の設定(*@foo.com宛を許可等)だと"%"文字を使ったソースルートリレーなんかが通っちゃうぞ。
>>25
絶滅危惧種といえばSunScreenとかborderware最近聞かないんですけど・・・。
SymantecもVirus対策なんかを積極的に取り込めばユニークな製品ができそうじゃないかと思っていたのですが・・・買収してどうするんだろ。Raptor Eagle,Axent Raptor,Symantec Enteprise FireWallとまさに流転。

28 :
>>22
製鉄屋といえばFW1に関しては老舗と思っていましたが・・・。
FTP連続実行で通らない場合は、FW-1のknown TCP servicesとPORT
コマンドの指定が重なった場合にそのポートのopenを拒否するとい
うFW-1の仕様に引っかかっている場合が多いですが、どうでしょう。
http://www.forvalcreative.com/jpn/support/fw-1/V4.0/faq/fwV4_faq_mg0001.htm
なかなかはた迷惑な仕様です。セキュリティーのためとはいいますが。
FTPのportコマンド後に実際にdata connectionが開かなかった場合、
どうなるのかというところまで突き詰めたことはないですね。TCPセ
ッションテーブルの常識から考えると3-way-handshakeが成立しなか
った時点でデフォルトのtcpstarttimeoutによって60秒でステートは
破棄されるはずですが。
ステートテーブルを疑うのであれば、とりあえず見てみないことには。
切れた時のポート番号と同じステートが存在しているのかどうか
を。"fw tab -t connections -u"で得られるHEX値から根性で見つけ出
すのも一興かと。以下を参考に読んでみるのがいいかも。
http://www.deathstar.ch/security/fw1/EnterpriseManagement/FAQ0133.htm

29 :
鉄屋だからってなめんなよ

30 :
>1氏
サンクスです!
解決しそうです。
FTP失敗のキャプチャを確認したところ、
Xwindowsで予約されてる6000番台と、
独自にサービス定義している特定のポートレンジで大量に失敗していました。
鉄屋は、
"セッションテーブルに存在するセッションとポートがかぶっているせいだから、
使用中ポートでも通す設定を入れれば直る"
といっていたので、セッションが長時間残留する可能性を色々考えて
>>22の質問をさせてもらったんですが、
どうやら実際は定義済みポートのせいだったようです。
#鉄屋の言うこと聞かなくてよかった
>>29
逝ってよし!

31 :
2台のFW-1をVRRPで冗長構成組んでる人いる? ちゃんと動いてる?
うちではマスタがよくハングアップする…
一応ちゃんとバックアップに切り替わるんだけどねー

32 :
>>31
よくぱたついてるYo!
このスレ、非常に興味あるんだけど、
あんまり細かいこと書くと身元ばれる危険性が....。
みんな、結構愚痴りたい事とか色々書きたい事あるんじゃない?

33 :
 

34 :
>31
NOKIAの場合
 インターフェース監視デーモンは停止してる??
FW−1一般の場合
 内部で、Dynamic Routing Protocolが動いていて、
ルーティングテーブルが変化すると、ぱたつくよ。。
その他にも、いろいろ原因あるけど。。

35 :
>32
まったく、同感。。
でも、ポリシーエディターは、他のFWに比べて使いやすいから、
複雑なルールを書く場合は、重宝します。。
しかし、資格試験の、メニューのどこに何があるかなんて
愚問は止めて欲しいな。。何の役にも立たない知識。。

36 :
>>35
既に身元ばればれというか確信犯なひともいるようですが、、、
>>34
昔、デフォルトルートの冗長化のためにFW-1でRIP使ってたとき、
VRRPじゃ無いけどとある冗長アプリでそんな感じの現象がありました
それ以来、FW-1ではダイナミックルーティングはご法度にしてます
今は大抵の機器にVRRPやHSRPがあるから
Firewallでは必ずしもダイナミックルーティングはいらないよね
ルーティングテーブル用のメモリももったいないし
NetScreenが頑なにスタティックにこだわるのもそのせいかも

37 :
私のところでは、>>32みたいにぱたつくんじゃくて、
マスタが突然だんまり(ハングアップ)になっちゃうので、
リブートするしかなくなるんですよ。
ハードウェア交換してもダメでした。
>>31 ノキアなんですが、
インターフェイス監視デーモンがいると何か悪さするんですか?

38 :
>37
インターフェース監視デーモンがある状態で、VRRPをしていると、
DRだけじゃなくて、NTPの同期や、それ以外の場合でも、
ルーティングテーブルが変化したと、誤認識して、トラぶります。
(FAQレベルのお話ですが)
基本的に、VRRPでは止めましょう。。
副作用は、インターフェース増設時に、自動で認識しないこと。。だけですし。
(いらんわな。。ふつう)増設時だけONにして、認識後、オフにしても
OK..(手動だと、コマンド長いけど)

39 :
>36
> 既に身元ばればれというか確信犯なひともいるようですが、、、
お仲間??

40 :
>>36
NS の営業から OSPF 喋るようになったと聞いたんだけど。
まぁ、全然期待していないし、 FW-1 のほうが好きだし(くたばれ、 NS! )。

41 :
>40
OSPF使って、VPNの冗長化が可能になったみたいよ。。

42 :
久々にきたらレスがついている。NSスレの勢いには負けるが・・・。
>31
ifwd停止はNOKIAの常識かも・・・。存在意義よりリスクの方が遙かに高い。デフォルトOnなのが鬱。
それとはずしているかもしれないけど、NOKIAのパフォーマンス向上機能flowsに要注意(w
FireWall-1 4.1 SP2(Build24)〜SP5(無印)でflowsを動かす(というかデフォルトで容赦なく動いている)と結構問題あるぞ。特にstate sync(VRRPやるときは設定するよね)していると原因不明停止散発(多発じゃないのがミソ)。
上記のバージョンでコマンドラインからipsofwd listとコマンドを打ってflowpathと返ってきたら、いつハングアップするかわからない(w。
スループットはIPSO3.2.1並に低下するけどipsofwd slowpathって打てばとりあえず安心。リブートしたら戻っちゃうから起動スクリプトあたりを編集してみたりなんかして。
どうもflowsとstate syncの組み合わせには問題があるっぽいっていうことでhotfix出たり一年ぐらいばたばたやって、前代未聞のfor NOKIA専用サービスパック4.1SP5a登場。これ以降のトラブル事例は知らない。
現状だと4.1SP6+OpenSSL hotfix+IPSO3.5-FCS10!これサイキョウ。NGならぼちぼちFP3かなとも思うけどまだ信用できないのでFP2+hotfix特盛り。

43 :
>36
RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。
>41
OSPFでVPNが切り替わるって大変なことだと思います。だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ?)が書き変わるってことですよね。どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。
Ver NGにはMEPっていう技があるがこれはうごくんだろか(w

44 :
>>43
>RIPの偽パケットなんかはお手軽に作れるから、FireWallでRIPってのはやっぱり御法度じゃないかと。偽パケット送信で簡単にルーティングが狂う。
設定ミスにしろ、悪意にしろ、内部の機器がいいかげんなRIPをはいたり、
リモートからのブロードキャストが届くようなネットワークは
その時点でネットワーク自体が終わってるとおもうのですが
ユニキャストのRIPがどう扱われるかは試した事は無いけど、
FW-1でユニキャストのRIPをフィルタしてれば問題ないですよね

>OSPFでVPNが切り替わるって大変なことだと思います。
>だって、OSPFで、IPSecのSPD(Security Policy Databaseだっけ?)が書き変わるってことですよね。
>どういうインプリなんだろう。NOKIAやGatedつっこんだSolaris+VPN-1には真似のできない技。
OSPFはUnnumberd用のロジックがあるので、
TunnelにOSPFのせてTunnelに結びついた経路を切り替えるとおもいます。
IPSecとしては全く変化していなくても、ルーティングテーブルが変わればいい訳ですから。
でも、Tunnelを切替えるのではなくて、単にTunnelのNextHopを切りかえるだけかもしれませんね(W
#詳細知ってる人は教えてほしい
ただ、NetScreenってセッションごとにNextHopのMACをキャッシュすることで速度をだしてるんで、
OSPFで冗長化するには経路に変化があるたびに、
全セッションのキャッシュをフラッシュして作り直さなければなければ成ならないような気がします。
#関連セッションだけ書き換えるような実装ができるとは思えない
正直、NetScreenが何を思ってOSPFを実装したかがわからないです。

45 :
>44
Ref.
http://www.netscreen.com/support/app_notes.html
Dynamic Routing Protocols via Route Based VPN's

46 :
>44
まあ、そうだとは思いますが・・・そういう終わっているネットワークとおつきあいするのがお仕事だったり。
そう、フィルタリングしておけばまともなネットワークなら問題ないです(w
>45
ちゃんと読んでないしそもそもNetScreenさわったことないけど、NetScreenだとルーティングテーブルでNextHopがIPsec Tunnelになるのね。これならできそうかも。
Check PointだとOS上のルーティングテーブルにはVPN系の経路は出てこないし、ダイナミックルーティングプロトコルの動きはVPNに影響ないでしょう。
L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとかポート番号とかアプリケーションレイヤー情報とかを全部含んだflowがセッションごとに作られる感じなんでしょうか。
世の中いろいろあるなぁ。

47 :
>L4スイッチ的な理解だとNetScreenってのはMACアドレスからIPアドレスとか
>ポート番号とかアプリケーションレイヤー情報とかを
>全部含んだflowがセッションごとに作られる感じなんでしょうか。
そうです。
既存セッションはセッションテーブルしか見ないのですが、
セッションテーブルにはセッションの識別情報以外は、
DstMacとActionと(NATの場合は)NATのIPが入っているだけなのです。
ですから経路が変わった時には、当然セッションテーブル内の情報も変わるはずなのですが、
DstにしろSrcにしろ、各エンドノードをNetworkとして把握しているわけではないので、
#速いルーティングでこれができるのってCEFだけのような気がします
おそらく全てのセッションを対象としてキャッシュの作り直しが必要だと思うんです。
これって物凄いオーバーヘッドになるような気がします。
NetScreenのOSPFはVPNに特化して使うべきなんでしょうね。
Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。
まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。

48 :
>47
> Firewallとしてのみの動作ではどう考えてもスタティックに勝るものはないと思います。
NSは、Staticルートの数の制限きついんで、、困ったりします。
> まあ、ScreenOS4.xは検証していないんで、今の時点では全て推測ですが。
4.0は、まだまだバグバグで、、困ってます。。
r5が飛んでr6が出たくらいですし

49 :
困った。教えてほしい。
NOKIA IP330 冗長化構成(F/W-1 NG FP2)問題は2つあるのよね。

1.MasterとBackupで構成とってるつもり、プライオリティもそれなりのつもり。
しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。
もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。。。
設定悪いのだろうね。デルタもちゃんと設定しているつもり。。片方死んだらちゃんと
切り替わるところまでは確認してんだけど。。

2.FireWall NG FP2
何者だコヤツは。。。CVPでSecureServer使ってるけどコンテンツのチェックが
厳しすぎ・・・見えないページ続出・・・FTPで転送できないファイル続出
おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って
reject・・・NGには負けました。。

誰か。。。。情報キボン

50 :
何となく盛り上がっている????

51 :
>49
> しかし、片方をshutdownしたりしてるとBackup側が3枚ある板の1枚を取ってしまう。
> もちろんMaster側は3枚掴んでるので、この状態で通信に障害が発生する。わからない。
VRIDの設定とかは?
VLAN切ったSwitchで接続するときに嵌まる人多いみたいだけど
モニターポートの設定は??
NTPの設定は?VRRP V2 or Monitored Circuit??
もう少し情報が無いと回答できないよ
> おまけに 1024 以下のソースポート使ってるから「通信させてあげない」って
> reject・・・NGには負けました。。
>
1024以下のポートのFTPを許すためには、直接設定ファイル書き換えてね。
FAQにあるから。。

52 :
>>51
ありがと!!!
>VRIDの設定とかは?
>VLAN切ったSwitchで接続するときに嵌まる人多いみたいだけど
うーーーん。まったくの初心者だから「わからない」ゾ!!明日設定見てみます。
>モニターポートの設定は??
>NTPの設定は?VRRP V2 or Monitored Circuit??
これはMonitored Circuitです。
>1024以下のポートのFTPを許すためには、直接設定ファイル書き換えてね。
>FAQにあるから。。
ごめん。どこにあるの? 教えてください。
なぜ、こんなにめんどくさいのだろ・・・修行します。。(T_T

53 :
mod_zapって何するもの?
といいつつ今日も黒いケーブルを探し回る厨なオレ

54 :
(^^)

55 :
身元バレない程度のネタキボン

56 :
Netscreenよりさらに触ってるやつかぎられるから・・・
身元ばれないネタって難しい。
みんなはnokia使ってるの? linux? sun?

57 :
NGでマニュアルよく読まずに検証環境作ってたら、
FMとMMが全然通信できなくて、200回くらいput keyやったよ
そりゃあもうしつこくしつこくやってやったさ
まさかNGのput keyが下位互換のためだけにあるとはしらずに、、、
1日まるまる無駄にしたよ
マニュアルはちゃんと読もうね

58 :
>>57
すまんが、ワラタ

59 :
>57
よくきく話だな
前バージョンからputkeyが一回じゃうまくいかないことが結構あったから、
固定観念でputkeyに失敗してると思っちゃうんだろうな

60 :
Nokia IP 330でFW-1 NG FP2を使っている者です。
トラフィックを掛けながらCPU負荷を見ていて疑問に思ったのですが、
accept, deny, dropのそれぞれにマッチした時の負荷の重さが
(重い) deny > drop >> accept (軽い)
なんですね。
denyが重いのは直観に則しているのですが、なぜacceptよりもdropの方が重いのでしょうか。

61 :
すみません。
(誤)deny
(正)reject
の間違いです。
(重い) reject > drop >> accept (軽い)
になる理由がわからないんです...

62 :
>>60
トラフィックのかけ方次第のはずです。
単一のSrcIP/SrcPortからのIP(UDP含む)のバーストか、
普通に成立するTCP通信である程度大きなデータが流れている場合は、
Acceptした方が負荷が低いです。
一般的なFirewall(特に箱モノ)は、セッションテーブルの作成が一番高負荷で、
次にポリシーをなめる動作の負荷が高いです。
#Syn-Proxyみたいな論外な動作は除く
上記のような通信だと、ほとんどの通信がセッションテーブルにマッチするので
1パケ毎に毎回ポリシーをなめてパケットを捨てる方が負荷が高いはずです。
TCPセッションのジェネレータ(AveranceやPolygrah)で
1セッションのデータを抑えて大量のセッションを生成すると、
おそらくAcceptの方が高負荷になるはずです。
ただ、Firewall-1のロジックを真面目に追っかけたことが無いのである程度想像になります。
63 :あぼーん:あぼーん
あぼーん

64 :
>>62 謝謝。
acceptの方が軽かったのは、最初のパケットでセッションテーブルが作られて、
以後はポリシーを引かないからなんですね。
納得しました。
ということは、不特定多数のdstの1434/udpにパケットを送信するサーバが
firewall下にあると、非常に重くなりそうですね。
(ホンモノを捕まえて検証環境で飼ってみたひ...)

65 :
NOKIA IP330の adminパスワードを忘れたのですが、
リカバリーの方法を教えて下さい。

66 :
ip330なら電源入れた後、"1,ipso or 2,bootmgr"の選択で
bootmgrを選択する。
後はメニュー選んでけばOSリカバリできるんじゃない?
440とかなら付属のフロッピーで一発だけどね・・・

67 :
>>66
どうもありがとうございます。
試してみます。

68 :
http://pc.2ch.net/test/read.cgi/sec/1044552574/l50

69 :
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip
FINAL FANTASY X-2 店頭用プロモーション 公開中!!
http://grandmarnier.hp.infoseek.co.jp/FF10-2ver2.zip

70 :あぼーん:あぼーん
あぼーん

71 :
しばらくぶりにきてみました。
>>64
IPSO版だとセッションテーブルができた後のパケット処理はFireWall-1ではなく、OSのflows機能が使われるので、さらにCPU使用率が低くなるのかも。
ipsofwd slowpathコマンドでOFFにしてみたらAccept時のCPU使用率が上がるかもしれません。比較検証以外の意味はないですが;;;戻すときはipsofwd flowpathコマンド。
>>66
それだと再インストール手順ですね。設定が消えます。
以下の「How do I wipe the admin password?」ってのに載ってますが、boot:に-sを入力してシングルユーザーモードで起動した後、Ver 3.3.1以前では/etc/overpwコマンド、3.4以降ではdbpasswdコマンドで再設定。

72 :
>>71
リンク付け忘れた;;;
http://support.intersec.com/FAQs/firewalls/nokia/nokia.htm
>>53
ipso版のカーネルモジュールを書き換えるコマンドとしか・・・。
GUIやASCIIテキストの設定ファイル書き換えではできない特殊な設定をする場合だけ使うので、必要な場合だけサポートから指示された通りに使っています。
73 :あぼーん:あぼーん
あぼーん
74 :あぼーん:あぼーん
あぼーん

75 :
>>71
どうもありがとうございます。
前回、ご回答いただいた方の方法を参考にして、シングルユーザモードでシェルに入るところまでは、成功していたのですが、
IPSOには、BSD系UNIXに存在するpasswdコマンドが存在しなかった為、未だリカバリ出来ていない状態でした。
今回、ご回答いただいた方法で、再度試してみます。
76 :あぼーん:あぼーん
あぼーん

77 :
securemoteなる通信ソフトを取引先から渡されて、四苦八苦しています。
NAT付きルータ噛ませると通信できなくなるのですが、これってNATの内側からだと
通信できないんですか?
それにしても、httpしか使わないのになんでVPN張る必要があるのか…

78 :
>>77
バージョンにもよると思うけど、 NAT越しの場合FireWall-1側で設定しないとだめかも。。。。

79 :
(^^)

80 :
>77
そのルータにはIPSECパススルー機能はありますか?−>あれば有効に。
ロングパケットによる通信の不具合ー>WINのレジストリを編集して、MTUを1300程度に変更
#ひさしぶりに来た

81 :
>>80
っとですね、ルータはLinux箱(OpenBlockS)をipchains+ipmasqadmで運用しています。
接続開始後しばらく経って以下のエラーが出力されます。
Error: Communication with gateway fw1 at site *.*.*.* failed.
http://www.phoneboy.com/fom-serve/cache/90.html
のページの解説を元に同じ設定にしてあるのですが、どうにも…
MTUの設定もタメしてみましたがダメでした。
相手によるとUDP500番を静的NATで通せば出来るはずとのことなのですが。

82 :
(^^)
83 :あぼーん:あぼーん
あぼーん

84 :
IP330 NGを使っています。
通常のCPU負荷率は、40%程度(Max.65%)なのですが、ある日突然80%以上、一時は
100%まで負荷率が上昇しました。(通信遅延発生)通信量は、通常とほぼ同程度でし
た。それが、4時間程度経過後、突然負荷率が下がり、平常通りに戻っています。
その後、1週間が経過しますが再発していません。
こんなことってあるのでしょうか?IP330で内部処理が走っているとか...
何かご存知の方いらっしゃったら教えてください。
85 :あぼーん:あぼーん
あぼーん

86 :
>>84
トラフィックやセッション数はとってないの?
ログは?
DoSくらってたってのが妥当な見方じゃないかな

87 :
トラフィックは通常と変わりませんでした。変なログも見当たりません。
DoSであれば、SYN packet for established connection でDropされている
のがログに残ると思うのですが、それらしきものはありません。
負荷が100%になったために、通信遅延が発生してManagerでログを受けきれ
なくなったのが見えますが...。困っています。
88 :あぼーん:あぼーん
あぼーん

89 :
ギャー
http://www.iss.net/security_center/static/11868.php
90 :あぼーん:あぼーん
あぼーん

91 :
良スレage
92 :あぼーん:あぼーん
あぼーん
93 :あぼーん:あぼーん
あぼーん

94 :
ここもあげとかないと
95 :あぼーん:あぼーん
あぼーん

96 :
>84
IPSOとNGのバージョンは?
IP330のメモリサイズと、構成は?
(インターフェースモジュールの追加の有無・FW module only or FW&MC?)

97 :あぼーん:あぼーん
あぼーん

98 :
VPN-1 NG FP3で、18264/tcpポートを閉じるには
どうすればいいのでしょうか?(特にwan側)
グローバル・プロパティのチェック全部外したり、
その他いろいろ試してみたのですが、
このポートだけ残ってしまいます。
99 :あぼーん:あぼーん
あぼーん
100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
ネットワークエンジニアが読む月刊誌は? (181)
GbE(GigabitEthernet)何処がいい? (334)
NTTの混線電話 (378)
IOデータの無線LAN、WN-B11/AXP (133)
メールについての質問スレ (415)
IPアドレスからMACアドレスを取得する方法は? (118)
--log9.info------------------
【ニコニコ】踊ってみた系について語るスレPart82【動画】 (451)
【ニコ生】ヤフミ take33【バイオ4】 (329)
石川典行 part51 (428)
youtubeの文化祭動画などをうp part7 (171)
ニコニコ動画 アニメ雑談スレ2653 (371)
【那奈】なあ坊豆腐Part7【ニコ生】 (600)
自作の動画を宣伝するスレ (541)
【パクリ】アンチ倭寇スレ【実況】 (132)
【ニコ生】 ちーめろでぃ アンチスレ Part22【木嶋めろでぃ】 (737)
【ナイスうpやで】宮助総合スレPart22【エージェント!】 (1001)
【ニコ生】 メンヘラ生主総合 5 【コミュ爆破】 (396)
【ニコ生】ミート源五郎 Part2【釣り】 (918)
カゲプロヲチスレ (101)
東方Project総合アンチスレ その23 (409)
【じへい】Youtubeパートナープログラム \4【電磁波】 (105)
【ニコニコ動画】赤飯を語るスレ Part.6 (251)
--log55.com------------------
空自の方、質問させてください
三沢基地☆三沢航空科学館B
【偽自衛官】マスターミラー(剣崎真琴)【ネカマ】
海上自衛官の艦艇乗組だけど質問ある?
【防府】航空教育隊スレPert3【熊谷】
帯広駐屯地
【ブス】アンチ女性自衛官隔離専用【豚】
【曹候】 補欠合格者スレ part4 【自候】