
 26-8. 縦と鉾とそれに０．１％との戦い  `2h/10～

    --------------------------------------------------------------------------------
    怪しいメ－ルの９９．９％は補捉できている。何日かに一通ぐらいスパムメ－ルやウィル
    ス入りメ－ルがが抜けてくる。これ位の状態でチェック項目をキ－プするしかない。これ
    以上チェックを増やすと誤検知が生じて起てしまう。この僅かな０．１％程度の検知漏れ
    のメ－ルに対して、チェックを精度を上げクリ－ンなメ－ルだけをユ－ザに届けるように
    しなければならない。正直かなり困難な課題である。ウィルスを捕獲しそれを検体として
    更なるチェックの有効性を検証すること。人工知能の技術でもってチェックし検知できる
    か、テスト環境を作って試してみること。これはまさに戦争だ、サイバ－戦争。終わりの
    ない勝ち目の無い戦いかも知れない。諦めたらそこでおしまいだ！。立ち向かうしかない。
    --------------------------------------------------------------------------------

  (1) メ－ルのウィルスの更なる検知を    

   * メモ

    Ｗｅｂメ－ルにすり抜けた不正メ－ルをウィルス添付のサンプルで送ればチェックできる。    
    ウィルスチェックで検知されるはずが、スパムチェックで検知されている、要確認！。
    
    FortiMail のメ－ルチェックの順番を改めて確認すること。"IPベ－スポリシ－" と"受信
    者ポリシ－" が重複する場合は "IPベ－スポリシ－" が先に適用される。

    "IPベ－スポリシ－" のメニュ－で "□受信者ベ－スポリシ－の適用を省略" あり。 これ
    を〆しない限り "受信者ポリシ－" もチェックするということ。

    "25-2.サンドボックス製品の設置まで,(4) 続FortiMailとFortiSandbox" にメ－ルのチェ
    ックの順番。メ－ルの不正な添付ファイルの検知と削除は fortisd.txt forti4.txt 参考。

    ヒュ－リスティックスキャンの説明をネットやこれまでもらった資料から確認してみよう。
    Heuristic と英語では綴る。発見的と昔に覚えたが、どうも昨今は違うような気がする。

    受信の {アンチスパム} は下記の設定で運用。検知を上げるには "ヒュ－リスティックス
    キャン" をやらせるぐらいしか実質ない。そのパラメ－タをどうするか検討しよう。


   * FortiMail のスパムチェックのメニュ－

    自分宛に来たメ－ル ikken@nix.co.jj をエイリアスで転送して、kensan@nix.co.jj へも
    送る。これをサンプルにする。ikken@nix.co.jj へのメ－ルは FortiMailのウィルスチェ
    ックはしない、パソコンのウィルスチェックソフトで引っかかるようにする。kensan@ の
    方は一般ユ－ザと同じ扱いでウィルスチェックもやる、それで怪しい添付ファイル付きの
    メ－ルはサンドボックスに送られチェックされる。

    ▲受信者ポリシ－
    --------------------------------------------------------------------------------
    |新規  編集  移動  削除                  ドメイン:[--すべて-- ▽] 方向[受信 ▽]|
    |------------------------------------------------------------------------------|
    |有  ポリ 方向  送信者   受信者   ドメイン名  アンチ  アンチウ コン   リソ－ス |
    |効  シID       パタ－ン パタ－ン             スパム  ィルス   テンツ          |
    |------------------------------------------------------------------------------|
    |〆  2    受信  *@*      ikken    nix.co.jj    NspamR                          |
    |〆  1    受信  *@*      *        nix.co.jj    NspamR  Nvirus                  |
    --------------------------------------------------------------------------------
    ※ikken は ikken@nix.co.jj、* は *@nix.co.jj の意味。


    [プロファイル]->[アンチスパム]->{アンチスパム} 
    -------------------------------------------------------------------
    |       アンチスパムプロファイル
    |
    |ドメイン:            [--システム--  ]  灰色    NspamR-act はユ－ザ隔離する。
    |プロファイル名:      [NspamR        ]  灰色
    |方向:                [受信        ▽]  灰色
    |デフォルトアクション:[NspamR-act  ▽]          デフォルトというのは左の設定
    |                                               NspamR-act を使うということ。
    |  スキャン設定                                      ↓
    |  〆▼FortiGuardスキャン            アクション:[-デフォルト-  ▽]
    |    〆IPレピュテ－ション            アクション:[-デフォルト-  ▽]
    |      〆ヘッダ内のIPをスキャン
    |    〆フィッシングURI [phishing ▽] アクション:[-デフォルト-  ▽]
    |    □スパムアウトブレ－ク防御
    |  □グレ－リストスキャン           << antispam_basic_predefined_high は〆あり。
    |  □SPFチェック                    << これはメ－ルリレ－でないと有効ではない。
    |  □DMARCチェック                   
    |  □振る舞い分析                    
    |  □ヘッダ－分析                    
    |  □▼ヒュ－リスティックスキャン    
    |    最大しきい値: [3.50    ]
    |    ル－ル使用率: [25      ]
    |       |


    [プロファイル]->[アンチスパム]->{アンチスパム}  プロファイル名で振る舞い分析、ヘ
    ッダ－分析、ヒュ－リスティックスキャンは略して(ヒュ－)と記載。方向は受信。ヒュ－
    リスティックスキャンの最大しきい値は全部 3.50、下記にはル－ル使用率を参考に記載。

        AS_Inbound                       〆振る舞い、〆ヘッダ－分析、〆ヒュ－(75)
        antispam_basic_predefined_high   〆振る舞い、〆ヘッダ－分析、〆ヒュ－(50)
        antispam_basic_predefined_medium 〆振る舞い、□ヘッダ－分析、〆ヒュ－(25)
        antispam_basic_predefined_low    □振る舞い、□ヘッダ－分析、□ヒュ－(25)
        antispam_basic_predefined_off    □振る舞い、□ヘッダ－分析、□ヒュ－(25)


    [ポリシ－]->[ポリシ－]->{ポリシ－} の "IPポリシ－"
    --------------------------------------------------------------------------------
    |有効 ポリシ－ID  送信元     宛先        セッション  アンチスパム  アンチウィ...
    |-------------------------------------------------------------------------------
    |〆   1           0.0.0.0/0  0.0.0.0/0   Inboud_Session   
    |□   2           ::/0       ::/0        Inboud_Session    
    --------------------------------------------------------------------------------

    [ポリシ－]->[ポリシ－]->{ポリシ－} の "受信者ポリシ－" 
    --------------------------------------------------------------------------------
    |有効 ポリシ－ID 方向  送信者パタ－ン  受信者パタ－ン ドメイン名  アンチスパム等 
    |-------------------------------------------------------------------------------
    |〆   1          受信  *@*             *@nix.co.jj     nix.co.jj
    --------------------------------------------------------------------------------


   * ウィルスチェックの性能テスト

    怖くてウィルス入りメ－ルのテストはこれまで、ようやれなかった。FortiMail のＷｅｂ
    メ－ルを用いてやれる。やれることが分かった。来たメ－ルを転送するだけなら問題ない。
    添付ファイルのウィルスをクリックしなければ問題ない。Ｗｅｂメ－ルでメ－ルを転送し
    てもパソコンのウィルスチェックソフトには引っかからない。Ｗｅｂメ－ルにて {受信ト
    レイ} にあるメ－ルの一覧から、テストメ－ルをクリックしたところ。ここまでの操作で
    は添付ウィルスはそのまま付いている。

    -------------------------------------------------------------
    |https://192.168.1.1/mail
    |------------------------------------------------------------
    | すべてのフォルダ| 閉じる 返信 全員に返信  転送 移動 その他
    |-----------------|------------------------------------------
    | 受信トレイ      | 件名: Test1-desu
    | 下書き          | From: "ikken" <ikken@nix.co.jj>
    | 送信済みアイテム| To: "ikken" <ikken@nix.co.jj>
    | 隔離            |------------------------------------------
    | ゴミ箱          | ウィルスチェックのテストです
    | 暗号化メ－ル    |
    |                 -------------------------------------------
    |                 ＠EICAR_test.com
    -------------------------------------------------------------


    すり抜けてＷｅｂメ－ルに入ったメ－ルを、ウィルス入りメ－ルとして送り直してチェッ
    クしてみる。aaa@nix.co.jj にきたメ－ルは bbb@nix.co.jj にも送る。 aaa はチェック
    なし、Outlook で操作している分にて。 bbb は FortiMail の社内の適用チェックをして
    いる。aaa@nix.co.jj メ－ルは通常使っている Outlook に来る。 FortiMail でのチェッ
    クはしないが、パソコン用のウィルスチェックソフトでの検知は実施されている。場合に
    よってはパソコン用のウィルスチェックソフトで、メ－ルのチェックをオフ、リアルタイ
    ムファイルシステム保護を一時的にオフにして、動作を検証して行く必要がある。

    ・bbb ではチェックされたのが aaa ではチェックされなかった。

    ・Ｗｅｂメ－ルの aaa にはウィルス入りメ－ルがすり抜けている。

    ・Ｗｅｂメ－ルで aaa を ccc に送る。ccc 宛は特別なチェックをする。


   * FortiMail でのセキュリティチェックの適用

    [ メ－ルリレ－での設定 ]
             
        ↑P1  ｜R                   {IPポリシ－} の１番目 P2、送信元は MS のIPアドレ
        ｜    ↓                    ス、宛先は任意 0.0.0.0/0。２番目 P1 は送信元と宛
           □                       先は共に任意。これらはセッションのチェックのみ。
         MR｜仮想                     
    ----------------------------    {受信者ポリシ－}のR は方向は受信、送信者パタ－ン
        P1 □MR           |         は *@*、受信者パタ－ンは *@nix.co.jj。SPAM Check。
        ｜ ｜ ↑P2     -------    
        ↓----｜-------|     |      [メ－ル設定]->[ドメイン]->{ドメイン}ドメインFQDN
           □          -------      は nix.co.jj、リレ－タイプはホスト、SMTPサ－バ－
         MS｜             |         は MS のIPアドレス。
    ----------------------------


    [ メ－ルストアでの設定 ]

           □                       {IPポリシ－} の１番目 P2、何もチェックせず、送信
         MR｜仮想                   元はＤＭＺの実IPアドレス、宛先は MS のIPアドレス。
    ----------------------------    ２番目 P1 は送信元と宛先は共に任意。SPAMとVirus。
        P2 □MR           |           
        ｜ ｜ ↑P1     -------      {受信者ポリシ－}のR は方向は受信、送信者パタ－ン
    R   ↓----｜-------|     |      *@*、受信者パタ－ン *@nix.co.jj。SPAMとVirus。
    ――→ □      △  -------        
         MS｜←R― ｜PC   |         [メ－ル設定]->[設定]->{リレ－ホストリスト}ここに
    ----------------------------    メ－ルリレ－のＤＭＺ上の実IPアドレスを書いた。


  (2) ウィルスチェックに人工知能投入

   * 人工知能(ＡＩ)を搭載したウィルスチェックソフト

    Symantec 社のクラウドサ－ビスでビッグデ－タと人工知能でチェックするというSKEPTIC、
    初めてＩＴ系で人工知能うんぬんと聞いた。トレンドマイクロ社は実は以前からＡＩは使
    ってきたと言う、更に XGen という新強いＡＩ技術を投入する。 注目は CylancePROTECT、
    エンドポイントで未知のマルウェアを検出するＡＩ利用のソフト、アメリカ Cylance社が
    開発、2016/08/24 に日本法人を設立、クラウド利用なしでもＯＫ。


   * トレンドマイクロの IMSS に人工知能技術搭載予定

    2017年3月29日、法人向け事業戦略を発表。"先進技術と高い実績を融合した防御アプロ－
    チ「XGen」" とパ－トナ－協業により幅広い顧客環境に最適なセキュリティソリュ－ショ
    ンを提供。主にＡＩ技術とサンドボックス連携による製品開発は以下のようだった。

    [ 2017上半期 ]

    Trendo Micro Deep Security 10
    TippingPoint
    Cloud Edge 5.0
    ウィルスバスタ－コ－ポレ－トエディション XG    << これは企業向けでサ－バを立てる
    ウィルスバスタ－ビジネスセキュリティサ－ビス      必要がある。
    Trendo Micro Cloud App Security

    [ 2017下半期 ]

    Trendo Micro Deep Security 10
    Deep Discovery Inspector
    ウィルスバスタ－コ－ポレ－トエディション XG
    Trend Micro Hosted Email Security
    InterScan Web Security as a Service            << これらを更に調べること。どうも
    InterScan Messaging security                   << 年末から来年にかけて出てきそう。


    ２０１７年４月２１日に名古屋でセミナ－があった。ウィルスバスタ－ Corp. XG セキュ
    リティ強化実践塾。出なかったけど。2017年9月7日、先進のＡＩ技術を融合しさらに強く
    「ウィルスバスタ－」シリ－ズ最新版を発売、～XGenアプロ－チで未知の脅威への防御力
    を強化～。コンシュ－マ向け「ウィルスバスタ－」シリ－ズの最新版にも導入する。ウィ
    ルスバスタ－クラウド。自宅のパソコンで購入している。新しく Windows 10 搭載のノ－
    トパソコンを買ったところ。これを普段使いにしてこのウィルスバスタ－を入れてみよう。


   * トレンドマイクロの IMSS でのテストを検討しよう

    ともかくインスト－ルできる IMSS を透過型で設置してみる。メ－ルサ－バを透過型で設
    置したことがない。イメ－ジが湧かない。どんな按配になるのか。先ずはこの検討からだ。
    誤検知したメ－ルはどうするのか、どうなるのか。検知の有効性を調ベるのは、とりあえ
    ずパソコン用のウィルスバスタ－でできる。パソコンなど使用ライセンスは確か３台ある。
    １台を会社のパソコンにしてもいい、スマ－トフォンは持ってないし。 テスト用の IMSS
    は仮想マシンに以前、導入テストに作ったのがあるかも知れない。みてみよう。

    ２００８年のトレンドマイクロの資料をみたら設置方法に透過型はなかった。２０１７年
    でも変わってないようである。資料記載の "外部ＭＴＡ/内部ＭＴＡサンドイッチ構成"が
    使えそう。メ－ルリレ－とメ－ルストアの間にこれを置く。添付ファイル付きのメ－ルを
    ＡＩでチェックさせて、 黒と判定したならメ－ルの件名に Spam でも Trend でも何か識
    別文字を入れる。メ－ルがメ－ルストアに来たところで、この件名を見てシステム隔離に
    ほうりこむ。件名に文字を入れるのは古い IMSS でもできる、これでテストしよう。


        MR ←  AI  ← MS        MR はこないだまで稼働して FortiMail に置き換えたマシ
        □ →  □  → □        ンの Sun か Cobalt Qube3、 あるいは Windows のメ－ル
        ｜     ｜     ｜        ソフト。MS は予備機の FortiMail-200D で確定。AI のは
    -------------------------   仮想マシンを使う事になるかな、あるいは先の Sun か。


    安全に関する装置機器は仮想マシンは使わないことにしようか。ならば単体の筐体を用い
    る訳だが Sun はもう売ってない。 無停止サ－バとして昔から定評のある ftServer はど
    うか。ざっと調べたところ１４０万円ぐらいからみたい。サイズは２Ｕ。かつては数千万
    円していた。内部的に２重化になっていてＯＳは１つ。上図の AI の所に設置する。

    検討し始めたとき、透過型にマシンを設置する事になるだろうと思った。仮想サ－バの筐
    体に透過型で仮想マシンを作る。ここで２つのポ－トがいるのだが、そのイメ－ジもさっ
    と湧かなかった。それもあって仮想マシンは使わないと考えた。でも透過型でない通常の
    設置ということが分かって、仮想マシンで構わないのでないかと考え直している所である。

    実際の設定運用ではできれば添付ファイルを、とっても怪しいメ－ルのみをチェックする
    ということにできないか。と言うのはメ－ルは出来るだけ速やかに通過させたいからであ
    る。全部の添付ファイル付きメ－ルをチェックしていては時間がかかるのでないかという
    事である。メ－ルストアではサンドボックスのチェックは行なっているし。

    メ－ルリレ－をこないだ Sun のマシンから FortiMail に置き換えて、外部のメ－ルサ－
    バとは暗号化することにした。 メ－ルストアの FortiMail とは暗号化しないようにした。
    この間を暗号化してしまうと、このプランは採れないところだった。標的型メ－ル対策で
    メ－ルの無害化をやる場合も、このように装置をサンドイッチにするという。

    とりあえず Windows 7 のパソコンにウィルスバスタ－のお試し版を入れてみよう。 ３０
    日間の無料体験版がある。 自分宛てのメ－ルで FortiMail でウィルスチェックしてなく
    て Outlook へ、aaa@nix.co.jj メ－ル。 パソコンのウィルスチェックソフトでチェック
    される。Ｗｅｂメ－ルには生のままで有る、これをウィルスバスタ－でチェックする。


   * 再び InterScan でメ－ルのウィルスチェックをやらせるか
    
    仮想マシンも今時のを改めて用意しないと
        以前に買った OpenBlockS に今の InterScan IMSS をインスト－ルできないか。
        独自ＯＳのため InterScan が対応していないのでインスト－ル出来ない。

    今の InterScan をインスト－ルする要件
        製品名は InterScan Messaging Security。Red Hat Enterprise Linux 6 と 7。
        トレンドマイクロのライセンスのことは rinne5.txt の付録に書いた。

    InterScan7.1 の Readme のめぼしい記述を以下拾ったの。Red Hat 上の SELinux にはイ
    ンスト－ルできない。(Security-Enhanced Linux)。用意した Red Hat Enterprise Linux 
    は仮想マシンの RHEL/5.6。稼働中のマシンに telnet して出たのは Red Hat Enterprise
    Linux Server release 5.6 (Tikanga)、Kernel 2.6.18-238.el5PAE on an i686 だった。


   * もはや人工知能でも防ぐのは無理

    サンドボックスが強力ウィルスである０Ｄａｙウィルス、マルウェア、ランサムウェアへ
    の最後の砦になると期待した。しかし所詮Windows ＯＳをエミュレ－ションしてのチェッ
    クである。Windows ＯＳは敵の手にもあって十分な解析が行なわれ、脆弱性の発見がなさ
    れていると想定できる。サンドボックス機能を回避するマルウェアが出現していると言う
    ニュ－スは１年ぐらい前から言われ始めている。それと相まって今度は人工知能で検知す
    る製品がでてきた。しかしそれさえも無力化される恐れが出てきた。

            マルウェアの方も人工知能で強力ウィルスを生成しようとしている。


    a)セグメントの再設計と見直し

      金融業はネットワ－クはセグメント化してＵＴＭで分離。 製造業は IoT セグメントを
      分離すること。役所は生産性を考えないので重要情報とは完全に分離している。

    b)ネットワ－クの可視化は必要

      FortiGate の最新機能に搭載の FortiSIEM、"FortiView Physical Topology" で図が出
      る。これをシ－ムというらしい。FortiSIEM は Cisco のエンジニアが辞めて作った。

    c)攻撃は防ぎ切れない事が前提

      １つは CSIRTを整備すること。もう１つはやれるだけの防御。それに情報の保護を胆に。
      CSIRT は事故が起こった際に、先ずは企業イメ－ジのダウンをできるだけ小さくする。


   * 最後の砦は特殊ファイルサ－バで

    情報破壊にはランサムウェアの人質攻撃によるファイルの暗号化あるいは情報の消去。筒
    状になったうなぎ獲りのような構造の特殊なファイルサ－バはどうか。これに社内の情報
    を保管し保護するのである。デ－タが破壊されたり消去されたりしたら業務の継続ができ
    なくなる。事業継続性の確保が一番の対策になると思う。

    ウィルスが入ってきても感染しないファイルサ－バ。最小限のファイル転送をする機能だ
    けもったＯＳを搭載する。世の中にあるのかな。なくてもすぐに作れるのでないか。似た
    ようなので AUSPEX、これは昔からある専用ファイルサ－バで独自開発のＯＳである。 フ
    ォレンジックサ－バも製品を出しているメ－カの独自開発のＯＳでないか。

    Fortinet 社さん、こんな装置を作って下さい。PFS( Protected File Server ) なる保護
    ファイルサ－バのである。２０１７年１０月１８日思い付いた、その絵は下記に描いてお
    いた。"18-2.ネットワ－ク・セルの考え方,(1)ネットワ－ク管理単位の設計"。 ファイル
    転送には CIFS/NFS/FTP/SSH とかある。Windows のフォルダではない FTP/SSHがベ－スか。

    部門用と全社用。部門用は小型のアプライアンス。全社用は大型のアプライアンスを設置
    する。全社用は部門用のデ－タを吸い上げて保存する。社内の各パソコンでユ－ザが作成
    するファイルのフォルダを決めておく、 そこのファイルを対象にして PFS にコピ－する。
    ところで保存と保管の違いは？、管理を伴うのを保管、そうでないのが保存でした。


   * ウィルスバスタ－でＡＩの能力を調べてみようでないか

    Mail-Store にて ikken@nix.co.jj 宛に来たメ－ルはエイリアスで、test1@nix.co.jj に
    も送る。ikken@nix.co.jj へはスパムチェックのみやる。test1@nix.co.jj はスパムチェ
    ックとウィルスチェックをやる。 ikken で抜けた来たメ－ルが test1 でウィルス検知さ
    れたか、されなかったか。ウィルス検知されなかったかメ－ルをトレンドマイクロのＡＩ
    チェック用の検体とする。 普段使いとは別のテスト用のパソコンの Outlook でこのメ－
    ルを取得する。テスト用パソコンにはウィルスバスタ－をインスト－ルし、先にウィルス
    チェックソフトを入れていたらそれは消すなり無効にするなりする。それでウィルスバス
    タ－でＡＩチェックをやって検知されれば、人工知能の有用性が証明されたということに
    なる。問題は検体が滅多に出無いこと。`2h/11/m時点、中国の大きな大会が終わったせい
    か FortiMail でのチェックは安定していて、３日に一通程度しかすり抜けメ－ルはない。


  (3) FortiGate ファイルアクセス高速化

    --------------------------------------------------------------------------------
    これまでＷＡＦＳ製品を調べて検討をしたことは２度ほどある。しかしテストはしたこと
    がない。どうやって使うのか。設定の基本的なことも知らないので、そこから取り組まな
    いと。去年出た FortiGate の本に何か書いてないか。残念、記述はありませんでした。
    --------------------------------------------------------------------------------

   * 検討メモ

    BlueCoat と Steelhead 製品のマニュアルとか設置設定の事例とかインタ－ネットにない
    か。http://www.jdsf.gr.jp/pdf/dse2007/09.pdf "これからのＷＡＮ最適化ソリュ－ショ
    ン ～Steelhead で一歩先のＷＡＮ最適化～" (株)ネットマ－クスの作成資料。Steelhead 
    は WAFS( Wide Area File Services ) を超えた WDS( Wide-area Data Services )を提供。
    BlueCoat はほとんど出てないのでないか。やはり Steelhead が老舗で出荷は多い。

    2009/04/22 FortiOS 4.0 を発表。SSL通信を解析する SSLインスペクション、DLP(情報漏
    洩防止)、ＷＡＮ高速化(WAFS)など負荷分散を除く全部入りのＯＳを仕立てた。SSLインス
    ペクション は SSL 暗号化通信を調べるため、SSLをいったん終端して復号/暗号化をする、
    これには SSL アクセラレ－タ機能をもつ専用プロセッサ FortiASIC CP6 搭載モデルで対
    応する。WAFS など FortiOS 4.0 の新機能は追加ライセンス不要で利用できる。

    FortiOS Handbook  WAN Optimization,Web Cache,Explicit Proxy,and WCCP for FortiOS 
    5.0、英文ドキュメントあり、１６４ペ－ジもある、ざっとみたけど分からん。YouTubeに 
    FortiGate Cookbook - Explicit Proxy(5.2)は設定の様子があるが、画面が小さくてよく
    分からない。 ネットから見つけたので、WAN Optimization は４つのテクニックが利用で
    きる。Protocol Optimization、Byte Caching、Web Caching、Transparent proxy。


   * ＷＡＦＳ装置の設置パタ－ン

      PC                        HTTP        これが WAFS のオ－ソドックスな構成。透過
      △          HTTP          ---> □Web  型で２つ設置。装置を通過するパケットに対
      ｜ FG2      --->      FG1      ｜     してWAFSの操作する。
    -----■---||…………||--■------------


      PC                  Proxy HTTP        PC のブラウザのプロキシ指定は FG1。FG1と
      △          HTTP   FG1■  ---> □Web  と FG2 の間で WAFS が働く。
      ｜ FG2      --->      ｜       ｜
    -----■---||…………||----------------


      PC HTTP Proxy                         この使い方はダメではないか。FG2 の Proxy
      △ ---> ■FG2      FG1■  HTTP □Web  から Web ヘは直接いってしまう。 FG1 は通
      ｜      ｜     -------｜-----> ｜     らないのでないか。
    --------------||……||----------------


    PC のブラウザは FG1 をプロキシ指定。パケットの発信元は PC である事には変わりない。
    だから FortiGate のポリシ－ル－ティングで制御できるのでないか。 これは現状のネッ
    トワ－クで挙動は確認できるはずやってみよう。多分できると思う。これで設計はできた。


   * FortiGate の候補検討

    FortiGate でディスク搭載モデルならＷＡＦＳはできる。フルライセンスなら利用できる。
    別途ＷＡＦＳのライセンスとかはない。プロキシとＷＡＦＳは一緒に使えるかと営業さん
    に聞いたらできると。 ネットで調べていて FortiGate でＮＡＴしてもＷＡＦＳには問題
    なし、すでに圧縮されたファイルにバイト圧縮しても速くはならないという記事あり。

    FortiClient のフリ－版にもＷＡＦＳ機能はあるとのこと。１年程前に SSL-VPNのテスト
    でパソコンにインスト－ルしたのを見てみる。FortiClient の小さなアイコンをクリック、
    "FortiClient Console" 画面がでた。"Security Features Not Installed" と画面下の方
    に出ている。これにはＷＡＦＳ機能はないぞ、一度インスト－ルし直してみるか。

    以下のは皆１Ｕである。201E フルライセンスを１台、101E フルライセンスを１台購入し
    ては。201E はプロキシサ－バとしてすぐに設置。101E は予備機とする。 101E と先に買
    った 100D でテストする。101E、201E は内臓ストレ－ジ 480 GB。300D は 内臓ストレ－
    ジ 120GB SSD。100D は 32 GB、200D は 16 GB。因みに 310B はディスク搭載してない。

    ２台でＨＡ構成にするとどうなるか。ディスクにキャッシュは最初から２台に入っている
    のか。メインが故障したらサブにはキャッシュは受け継がれないとか。 201E と 101E で
    モデルが異なる物でＨＡはできるのか。一応そんなことも疑問に思ったが、ＨＡはやらな
    いでおこう。予算的なこともあるが、できるだけ構成はシンプルにしようと思う。

    ファイアウォ－ルの 800D で、ＣＰＵ負荷は７０％弱。プロキシ機能も行けると思う。で
    もＷＡＦＳまでやらせるのはしんどいのでないか。ウィルスチェックなどで HTTPSパケッ
    トを対象にするには 800D では余裕がなかった。1000D を Fortinet 社の技術者は勧めて
    きた。1000D は暗号化の SSL 通信も復号化する専用チップを確か搭載している。


   * 高速化の確認はどうするか

    高速化されるのを確認するのが厄介。ＩＳＤＮ回線はエミュレ－タ INE-64II を介して実
    験できるが、ＩＳＤＮポ－トがあるル－タは Cisco 2503 は処分してしまった。フリ－ソ
    フトでパケットのスル－プットを制御するのがあった、今でもあるのか、使えるのか。確
    か BSD系のＯＳ用だった気がする。それこそ OpenBlockS が使えないか。dummynetだった。

    http://info.iet.unipi.it/~luigi/dummynet 画面は題が "The dummynet project"、対応
    パソコンの記述が[ Availablity ] に以下のようにあり。The source code distribution
    contains source code to build it on Linux and Windows, as well as precompiled mo
    dules for Windows XP/Win7(both 32 and 64 bit).。

    Google で [ネットワ－ク 遅延 エミュレ－タ]  で調べたらいろいろ有ることが分かった。
    どれか１つぐらいソフトが使えるだろう。市販装置もいろいろある。ＷＡＮエミュレ－タ
    を使用してＷＡＮをシミュレ－トする。 フリ－ソフトでは Linux TC コマンド( Traffic
    Control )、手軽にＷＡＮ回線の遅延をシミュレ－ションできる。Windows では Wlinee。

    ネットでざっと見たら Wlinee は最大遅延 1000ms しか設定できない。設定した遅延の値
    が正確でないと書いているサイトがちらほらあった。使えないかなと思ったが大丈夫、使
    えると思う。別に正確である必要はない。ざくっとスル－プットが１００分の１とか１０
    分の１とかなれば、ＷＡＦＳのテストはできる。


   * FG100D でテストをやってみる

    ログの領域をＷＡＦＳ用にふりかえる？、画面は見た。ここをオンにすると別にＷＡＦＳ
    の設定メニュ－がでてくるのでないか。先ずはそこからやってみる。FG100DでのＷＡＦＳ
    の関係メニュ－を出してみた。100D を見た、[システム]->[フィ－チャ－選択] に"WAN最
    適化" のメニュ－が無いけど。この後、100D 触って行ってメニュ－、出ました。

    [ログ&レポ－ト]->[ログ設定] 
    ------------------------------------------
    | ログ設定
    |-----------------------------------------
    | ロ－カルログ
    |  ディスク                     (○ )        ディスク使用量
    |  ロ－カルレポ－ト有効         (○ )         空き領域 23.63GB(99.98%)
    |  ヒストリカルFortiViewを有効  (○ )         使用済みスペ－ス 5.24GB(0.02%)
    |
    | ログ設定
    |  ロ－カルトラフィックログ ( ○)
    |  イベントロギング         (○ ) 〆すべて有効
    |

    [システム]->[高度] の画面で最初から出ていた画面。
    ------------------------------------------
    | 高度な設定
    |-----------------------------------------
    | [+] Emailサ－ビス  (i)
    | [+] 設定スクリプト  (i)
    | [+] コンプライアンス  (i)
    | [+] デバッグログ (i)
    | [-] ディスク設定 (i)
    |  モデル  ATA 32GB SATA Flash
    |  割り当て  [ロ－カルログ]|WAN最適化|
    |
    |               [  適用  ]
    ------------------------------------------

    ------------------------------------------
    | Warning: フォ－マットとリブ－ト
    |-----------------------------------------
    |  ディスクをロギングからWAN最適化に変更
    |   ---------------------------------------------------
    |   |    This action will:
    |   |    ●ディスクをフォ－マットし、現在のログを消去
    |   | (!)  します。ディスクロギング機能を無効にします。
    |   |    ●デバイスをリブ－ト
    |   ---------------------------------------------------
    |         [フォ－マットとリブ－ト][ キャンセル ]
    -------------------↑----------------------------------
        やった。[再起動中] の画面がでてきた。１分位でログイン画面がでた。


    メニュ－でどこが変わったのか、変わってないぞ。フィ－チャ選択で "WAN最適化&キャッ
    シュ" をオンにしたらメインのメニュ－に [WAN最適化&キャッシュ] と言うのが出てきた。
    以下に [プロファイル] [ピア] [認証グル－プ] [設定] があった。これですな。

        多分 [ピア] で対向する FortiGate を指定。[設定] でキャッシュ時間など
        [プロファイル] でプロトコルを指定 CIFS, FTP, HTTP, MAPI, TCP。

        IPv4ポリシ－ に 入力インタ－フェ－ス lan1、出力インタ－フェ－ス wan1
        "Webキャッシュ (○ )" と "WAN最適化 (○ )灰色" メニュ－が出た。

        [モニタ] に [WAN最適化モニタ] [キャッシュモニタ] [ピアモニタ] が出た。

    ということはイントラの特定のフォルダに入れた拡張子 .txt と .doc だけを高速化の対
    象にする。ということを数日前に考えたが、そんなことは出来ないか。まあ一度プロキシ
    の設定もやって、きちんと設定したらどうなるか、また見てみることにしよう。３日程検
    討してここまで分かった。コマンドはどうか、細かい指示が出来るやもしれない。


   * テスト環境

        □FG101E   □Qube3 △PC2  こんなテスト環境になるか。 FG101E と FG100D の間で
    B .3｜Proxy  .4｜Web   ｜     ＷＡＦＳの設定を行なう。 FG100D は透過型かＮＡＴ型。
    ---------------------------   
           ｜.1            本社   回線遅延のソフト Wlinee を入れたパソコンは透過型？
    Windows□回線遅延             で設置するのかな。パソコンでそんなことできるかな？。
       XP  ｜.2                   
           □FG100D  △PC1        PC1 のブラウザIE のプロキシ指定は B.3 になるが、そ
    A    .1｜      .2｜IE  拠点   れでＷＡＦＳは使えるのか。
    ---------------------------    

    
    効果の計測は Windows XP に Wline をインスト－ルして、 ネットワ－クに遅延を発生さ
    せて疑似的に低速なＷＡＮ回線をエミュレ－ションする。シミュレ－ションとは言わず。

    あるいは構成としては、FG100D でもプロキシ機能をオンにして、PC の IE プロキシ指定
    は A.1 にする。A.1 プロキシ と B.3 プロキシ の多段プロキシにするという。

    PC2 からはＷＡＦＳは効かないようにする。つまり本社内のパソコンでの利用ではファイ
    ルアクセス高速化する必要はないと言うこと。

    プロキシサ－バを介するアクセスで社内ではイントラサ－バにある、特定のフォルダにあ
    るファイルを対象にする。Qube3 内のディレクトリを対象にできるか、これはできない。


   * 参考

    "18-1.２００７～８年のネットワ－ク,(5)ＷＡＦＳ装置の導入は必須か"nizero1.txt、そ
    それに [付録] の BlueCoat の製品のメモも参照されたし。"20-2.ＩＰ電話時代のネット
    ワ－ク,(4)海外拠点とインタ－ネットＶＰＮ" `28/06 も。


  (4) FortiGate の WAN LLB 回線冗長化

   * 概要

    レイヤ３スイッチが１台あればテストできるな。保守終了したシスコの Catalyst が目の
    前にある。１日どうかなと検討していて、既に制御するメニュ－画面も出ていたのを見た、
    もう確認はやれそうな気がした。拠点ヘの FortiGate 設置では VDOMは使わないでおこう。 
    VDOM はややこしくするだけだし、たぶん使う必要もないだろう。

    インタ－ネットに WAN LLB の日本語での設定情報あり。 YouTube での設定動画もあった。
    これだけ情報があればおんのじだ。もうテストするまでもないと思ってしまうところだが、
    やはり何事も１に確認２に確認が大事、確認を怠ったところは必ず本番ではまる。ポイン
    トはＷＡＦＳと WAN LLB を１台の FortiGate で同居してちゃんとやれるかである。

    とりあえず幾つか検討課題がある中で、直ぐにテストできるのはこれだろう。ちゃちゃっ
    とやってみるか。ＳＩ業者の技術者が直に来社して打ち合わせする。そのときまでにテス
    トをざっとやっておければと思う。いつもそんなように機器の導入を進めている。拠点設
    置の仕様をどうするか、どう設計するかとも関係する。


   * テスト環境 

                □Server            既存ネットワ－クを D とする。 自分のパソコンがあ
               C｜.2                るセグメント。 デフォルトゲ－トウェイを D.1 にし
              .1｜                  て Server C.2 にアクセスする。経路１と２。経路１
    A      -------------      B     がアクティブ、経路２がスタンバイとか。
    -------|     L3    |-------
           -------------            バ－チャルＩＰで社内ネットワ－クにあるホスト◆を
         (１)A|.2  B|.2(２) 仮想    ＷＡＮ側に出すことを考える。仮想◇で例えば A.9と
              |     |               か付けたとする。経路１からはアクセスできる。経路
    仮想◇  .1|     |.1    ◇B.8    ２用には仮想◇で B.8 とか付ければいいのかな。
      A.9  -------------NAT         
           | FortiGate |            それともロ－ドバランサ－的な動きをするのであれば
        ◆ -------------   △PC     仮想◇は代表ＩＰアドレスで１個を何がしか決めるの
    D   ｜       |.1       ｜       かも。まあその方が外からアクセスするには都合がい
    ---------------------------     い。FortiGate のＨＡ構成の場合の装置ＩＰのように。


   * FG100D での関係メニュ－

    [システム]->[フィ－チャ－選択] WANリンクロ－ドバランス ON にした。[ネットワ－ク]
    の下に [WAN LLB]、[WANステ－タス確認]、[WAN LLBル－ル] メニュ－が出た。

    [WAN LLB] 画面
    ---------------------------------------------------------
    |編集 インタ－フェ－ス
    |--------------------------------------------------------
    | 名前                     wan-load-balance
    | タイプ                   WANリンクインタ－フェ－ス
    | インタ－フェ－スステ－ト |↑有効|[↓無効]
    |
    | WAN LLB
    | -------------------------------------------------------
    | | [＋新規作成] [編集] [削除]
    | |------------------------------------------------------
    | | 項番# | インタ－フェ－ス | ステ－タス | ゲ－トウェイ
    | -------------------------------------------------------
    |                                                                   これが緑
    | ロ－ドバランスアリゴリズム                                            ↓
    | -----------------------------------------------------------------------------
    | |Volume|Weighted Round Robin|Spillover|Source-Destination IP based|Source IP|
    | -----------------------------------------------------------------------------
    |
    | WANリンク使用量
    | [バンド幅]|Volume|
    |                               [  適用  ]
    -------------------------------------------------------------------------------

    WAN LLBル－ル 
    -------------------------------------------------------------
    | [＋新規作成] [編集] [削除]
    |------------------------------------------------------------
    |       名前      | 送信元 |  宛先 | クライテリア |  メンバ
    |-----------------|--------|-------|--------------|----------
    |wan-load-balance |すべて  |すべて | Source IP    |すべて
    -------------------------------------------------------------

    トラフィックシェ－ピングは関係ないだろう。複数インタ－フェ－スポリシ－と複数セキ
    ュリティプロファイルは関係するのでないか。高度なル－ティングはポリシ－ル－ティン
    グ以外は関係ないだろう。高度なル－ティングを有効にすると [ネットワ－ク] にポリシ
    －ル－ト、RIP、OSPF、BGP、マルチキャストが出てくる。


   * WAN LLB の検討はここまで

    ＳＩ業者の技術者によればこの機能は十分使えるとの話である。しかし本書では実際に使
    うことはないだろう。 ＤＭＺの SSL-VPN 装置なんかをクラウドサ－ビスに移行するなど
    して、LinkProof の高額な保守費用を避けるためこっちの技術を用いるとか。中国拠点で
    のＷＡＮへの回線接続で IPSec-VPN、いわゆるインタ－ネットＶＰＮを使う場合、回線断
    を避けるため回線冗長化に使うことも検討した。しかし中国で複数のインタ－ネット回線
    を引いた所で根本的な解決にはならない。専用線を引くしかなく WAN LLBの出番ではない。


  (5) 拠点も FortiGate で安全かつ高速に

   * 拠点が海外拠点の場合では

    現地での購入、設置、設定が問題である。 海外拠点にも FortiGate を設置してそれなり
    のセキュリティ対策、回線冗長化、ファイルアクセス高速化を計る。これまでなかなか実
    際にやるには難しかった。現地のＳＩ業者の対応とか。特にアジア圏では、いろいろ問題
    があっただろう。しかしもうそろそろできるだろう、できるのでないか、できないと。

    多分 FortiGate の設定は、こっちでやらないといけないだろう。 物事が運ばない。細か
    な設定、即ち全部の設定だ。テストをして動作確認した上で、このようにやってくれと現
    地のスタッフなりに資料を渡す。先ずは現在のＷＡＮの回線接続の様子を調べる。ADSLか
    光回線かというのは関係ない。ル－タのＩＰアドレスとネットマスクが分かればいいか。

    技術的な問題よりも、やれる業者が実際いるのか。そっちの方が問題である。テストまで
    はするけど実際の設置の際にそれなりの費用を業者に支払うことになるだろう。業者は国
    内の会社になるか海外の会社になるかそれも分からないし。やってもらったとしても、し
    ばらくして、目が行き届かないところで、おかしな事になっていないか。

    保守もどうするか。故障した際にどうするか。そうしたことの方が実は難しい。１台は本
    番機で稼働、１台は予備機で向こうのネットワ－クに何がしか繋いで設定も本番機と一緒
    にしておく。本番機が故障した場合には予備機のＩＰアドレスを変えて設置する。ＩＰア
    ドレスを変える操作だけ現地スタッフにやってもらう、やれるように教育する。


   * いろいろ検討

    FortiGate の SSL インスペクション機能の利用には証明書を入れないといけない。

    プロキシサ－バは遅くて高いというのが相場。専用製品はほぼ BlueCoat しかない。

    FortiGate-800D のファ－ムウェアをアップすると負荷がやや大きくなると思われる。

    Office 365 利用になったときに FortiGate の負荷が増大する可能性が見えている。

    BlueCoat 社はシマンテック社に買収されたと、シマンテック社からの電話で聞いた。

    Office 365 のパケット量を捌くには拠点からインタ－ネットに出るしかないだろう。


   * 拠点での回線冗長化の検討

    マルチホ－ミング、簡易ＢＧＰ、ヤマハのル－タでのやり方は。 VRRP と簡易ＢＧＰでは
    ル－タを２台使う。簡易ＢＧＰはＩＩＪが国内でやっているメニュ－で、海外では難しい
    のでないか。VRRP は自社側と接続先でそれぞれ２台、計４台のル－タがいる。 これも海
    外での設置、設定は難しいと思う。せめて自社にて国内で既にやっていればいいが。

    LinkProof に２回線つなぐ。ＵＴＭの複数回線接続、FortiGate ではＷＡＮリンクロ－ド
    バランス機能(WAN LLB)。LinkProof は高価だし設定も一般的には馴染みがなく、 実質的
    には利用は難しいと見なすのが妥当である。そうなると FortiGate の WAN LLB が現実的
    な選択肢になる。ＳＩ業者の技術者と話して、もう十分できるという感触を得た。


   * ＷＡＦＳとしての設置検討

    本社のＷＡＮ回線の所、支社のＷＡＮ回線のところに透過型で設置するプランをどこかの
    業者が出して来た。ＫＤＤＩの国際 IP-VPN でのオプションだったか。ＷＡＦＳ機能を手
    っ取り早く利用する手段である。しかしＳＩ業者もどこも提案してこない。ＷＡＦＳには
    BlueCoat 製品と Riberbed 製品しかないのでないか。実績が多いのは Riberbed である。

    設置場所は考えてみると多分２ヶ所しかないのでないか。本社側の設置場所だがＷＡＮ回
    線の本社の接続口かＬＡＮ上である。機器の設置は支社は透過型でいいだろうが本社側で
    も透過型というのはどんなものか。本社側では機器の故障を考えると２重化という話にな
    る。ＬＡＮ上に設置だと FortiGate でプロキシ機能と一緒にＷＡＦＳ機能も使う。


   * 拠点での回線引き込み検討

    既存回線を FortiGate の WAN2 に繋ぐ。Active で。既存回線のル－タのＬＡＮ側ネット
    ワ－クケ－ブルを外して FortiGate の WAN2 ポ－トに繋ぎ変えるということ。FortiGate 
    のＬＡＮ側は拠点内のネットワ－クにつなぐ。先ずはこれをやる。

        本社から WAN2 経由で FortiGate にアクセスして設定できることを確認。

    次に新しい回線を引き込む。新しくル－タも繋ぐ。回線によってはル－タはいらない。と
    りあえずル－タが必要な場合として。 新ル－タのＬＡＮ側を FortiGate の WAN1 へ繋ぐ。
    Standby とする。WAN1 経由でも本社にアクセスできることを確認。
    
        本社から WAN1 経由で FortiGate にアクセスして設定できることを確認。

    Active と Standby を逆にする。常には WAN1 の新しい回線を拠点からは利用することに
    なる。新しい回線のネットワ－ク情報が分かってから、 FortiGate の WAN LLB の設定を
    するか。WAN1 が Active、WAN2 が Standby の設定にして。


    [ 透過型で設置なら上のようなことができる ]

    1.0｜      1.0｜          1.0｜         透過型なら既存のネットワ－クに挟み込むこ
       ｜1.1      ｜1.1          ｜1.1      とができる。上のことができる。机上シミュ
       □R        □R            □R        レ－ションができれば、実際にやれるだろう。
       ｜2.2      ｜2.2          ｜3.2※ 
    2.0｜         ｜2.8          ｜3.1      回線業者や回線種類を変えればル－タ自体そ
    --------   UTM■透過型       □NAT型    れにＩＰアドレスは変わる。ル－タの※この
    現状          ｜2.9  2.0     ｜2.2  2.0 ＩＰアドレスは変わることになる。
               -------------   ------------


   * 全体ネットワ－クの設計を尚やってみる

    [ ポリシ－ ]

    ・海外拠点でもセキュリティ対策はしっかりやること。
    ・セキュリティ装置は仮想アプライアンスは使わない。
    ・ファイルアクセス高速化機能を利用できるようにしておく。
    ・IP-VPN 網へのＷＡＮ接続の回線は２系統にして冗長化する。
    ・プロキシサ－バのマシンは別に FortiGate を用意する。
    ・拠点はそこからインタ－ネットを引いて利用する。
    ・拠点のセグメントのＩＰアドレスはそのままにする。


    [ 設計 ]
                         
    拠点はそこからインタ－ネットを利用するようにする。これまではＷＡＮから本社に入っ
    てインタ－ネットへアクセスだった、FortiGate のポリシ－ル－ティングを用いるしかな
    いか。プロトコルで分けるかＩＰアドレスで分けるか。プロトコルで分けるのがいいので
    ないか、HTTP と HTTPS は WAN3 につながるインタ－ネット回線とかにする。他のパケッ
    トは WAN1,WAN2 回線へ、それ以外はどうするんだったけ。

    プロキシサ－バのマシンにＷＡＦＳ機能ももし同時にやれるのなら、なかなかいいプラン
    になるのでないか。それを FortiGate でできないか。どうやら FortiGate ではＷＡＦＳ
    の機能はあっても、ほとんど利用実績がないようである。ならば率先して利用してやろう
    ではないか。多分、注意深く動作確認をやれば、何が使えてどれが芳ばしくないのか見え
    てくるはずである。かなり割り切って高望みしなければ使えると思う。

    プロキシサ－バは別に FortiGate を用意することにする。 ファイアウォ－ルで動かして
    いる FortiGate 800D はプロキシサ－バもやれる能力はある、負荷的にまだ行けると思わ
    れるが。今後ファイルアクセス高速化機能も利用できるようにと考えて 201E を導入する
    ことにする。因みに 800D はハ－ドディスク 240 GB 搭載している。600D は 120GB 搭載。
    これらでも高速化機能は使えないことはないが、ディスクを高速化用にしないといけない。

    拠点には FortiGate の 101E を導入する。 ＷＡＮリンクロ－ドバランス機能の WAN LLB
    を使う。インタ－ネットへはポリシ－ル－ティングでやる。全部で３回線必要になる。２
    回線で済ますことができないか、１回線を IP-VPN 用とインタ－ネット用に分けて利用で
    きると有難いのだが。ファイルアクセス高速化機能は今後利用できるようにしておくと言
    うこと、現状ではまだ大きな声でやれますと言える状況ではなさそうである。

    下の図で DNSc はＤＮＳキャシュサ－バの NetAttest。社内のパソコンのブラウザから社
    内にあるサ－バや社外にあるサ－バに http://server1 とかホスト名でアクセスしたいと
    いう要望に答えるため設けた。検討当初 FortiGate 内のＤＮＳ機能は、 社内用ＤＮＳサ
    －バには使えないと思いこの DNSc を設置した。しかしその後このＤＮＳ機能でも出来る
    と分かった。基本 DNSc は使わないことにしよう。面倒みる装置を一つでも減らしたい。

    ※"26-6.FortiGate 80C にはそろそろ暇を,[付録]続こんな絵を描いて更なる検討を期待"、
      の記事とここでの記事を合わせるとイントラネット全体の設計になる。ご苦労様でした。


    [ 構成 ]

    Internet                                    FG0, FG1 は FortiGate。FG0 のDNS指定
       ：     DNSc   FG1    Web1  PC2           は Fortinet 社の FortiGuard でも、ど
    FG0□     □     □     □    △            こでも構わない。FG1 はプロキシサ－バ
       ｜本社 ｜.2   ｜.3   ｜.4  ｜   A        のため、DNS は速い応答がいる。ここら
    ------------------------------------        辺りは 26-6.章の付録の最後で検討した。
         ：       Proxy,WAFS    |      B
         ：                 ------------        FG1 のＷＡＦＳの対象は社内のイントラ
         ：   IP-VPN ＷＡＮ                     サ－バ Web1 だけにする。そんなことが
    ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼        できるのか要検討。対象はＩＰアドレス
    ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／        指定はできない？、プロトコル指定のみ
     Active：    ：Standby                      か。動作検証はこれからである。
           ：    ：                             
           □R   □R      Internet 拠点         FG1 のプロキシサ－バではキャッシュは
       WAN1｜    ｜WAN2     ： 10.10.*.*        しない、というか FortiGateのプロキシ
      NAT------------       □R                 機能にはキャッシュ機能はない。そもそ
         |  WAN LLB |WAN3   ｜                  ももうプロキシにキャッシュは要らない。
      FG2|          |―――― ポリシＲ          ＳＩ業者の技術者とも相談した上での話。
         |   WAFS   |                           
         ------------    □SV1  △PC1           社内外のサ－バにホスト名で telnet や 
    拠点      |   LAN    ｜     ｜IE   X        FTP でどうしてもアクセスしたいという
    ------------------------------------        要望がある場合に DNSc を設けるとする。


    ・FG2 では本社の A,B セグメントへのポリシＲを設定。
      > LAN->WAN1 経由。WAN1 は WAN2 とで WAN LLB も。

    ・FG2 では拠点のインタ－ネットへはデフォルトル－トにする。
      > 拠点からは拠点サイトを見られるようにする。

    ・拠点の PC1 のブラウザのプロキシ指定は A.3 の FG1。
      > これで a) b) の動作ができるのか。要動作確認。

    ・FG1 はプロキシとＷＡＦＳそれに各種セキュリティ機能。
      > SSL 終端して暗号化パケットもチェック対象にするか。

    ・本社の PC2 のブラウザのプロキシ指定は A.3 で前のまま。
      > 本社のパソコンはＷＡＦＳは使わないようにする。


    FortiGate ではデフォルトル－トとポリシ－ル－ティングが優先される。検討して行って
    分かったことで、FortiGate の透過型モ－ドではＷＡＮ最適化しかできない。WAN LLB と
    ポリシ－ル－ティングも同時に利用したければＮＡＴ型モ－ドでないと出来ない。

    拠点パソコンのブラウザは、本社のプロキシサ－バを指定している。これまでは拠点から
    のインタ－ネット利用は本社の日本経由になっていた。アクセスはアジア地域からは相当
    遅かった。拠点の PC1 のブラウザのプロキシ指定は A.3 になっているということ。

    今回のプランでは拠点は拠点からインタ－ネットにアクセスする。下記でも検討はしてみ
    たが拠点を中国と仮定すると厄介である。中国では他国のサイトへのアクセス、他国から
    のアクセスを制限している。うまい方法はないかＳＩ業者にも頭をひねってもらおう。

    --------------------------------------------------------------------------------
    気になることで [システム]->[フィ－チャ選択] で "WAN最適化&キャッシュ" の事。まず
    説明書きを "WAN最適化とWebキャッシュをWANトラフィックを削減するために有効化。WAN 
    Opt.& キャッシュメニュ－を追加します"。オンにすると２ヵ所に "Webキャッシュ" とい
    いうのが出てきた。オフにすると消えた。 これまで FortiGate プロキシ機能にはキャッ
    シュ機能は無いと書いてきたのだが、いやＷＡＦＳ用のキャッシュだと思う。`2h/11/m

    [ポリシ－&オブジェクト]->[IPv4ポリシ－] Webキャッシュ(○ )  WAN最適化(○ )灰色
    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]  Webキャッシュ  (○ )
    --------------------------------------------------------------------------------


   * 拠点と日本からのインタ－ネットへのアクセスは

    拠点では直接引いたインタ－ネット回線で外に行くようにする。拠点から本社などに行け
    るセグメントを列挙する、それ以外は拠点のインタ－ネットに行くようにする。このため
    にはポリシ－ル－ティングの設定を本社でやっているのとは、逆にすればいいのでないか。
    LAN->WAN1,WAN2 はポリシＲで静的経路 A,B を設定。LAN->WAN3 をデフォルト経路にする。

    拠点から日本のインタ－ネットのサイトにアクセスするのはどうするのか。上のでは拠点
    のプロバイダ経由になる。その国で情報統制していると日本のサイトは見えないようにし
    ているかも知れない。そうなると日本サイトは日本の本社経由でインタ－ネットへ行くの
    でないといけない。はたまたデフォルト経路を WAN1、WAN2 にしないと。両方満たすのは。

    拠点ではプロキシ指定は無しにするか。いやそうでもない。FortiGate のＷＡＦＳとプロ
    キシ機能について挙動が分からないと設計できない。本社と拠点共に透過型で FortiGate
    を設置する場合は分かる。 全部のパケットが通過するから、その中で HTTP だけ FTP も
    対象にするという話になる。イントラサ－バの特定ディレクトリとかは対象にできない。

    拠点のパソコンのブラウザのプロキシ設定は "次で始まるアドレスにはプロキシを使用し
    ない" [ 10.10.*.* ]。WAN3 は拠点ヘのインタ－ネット回線。拠点のサイトはこの回線を
    通るようにしたい。10.10.*.* へはブラウザのプロキシ無しで、ポリシ－ル－ティングで
    行くようにする。拠点が例えば韓国で、韓国に割り当てられたパブリックＩＰアドレスが
    10.10.*.* １つであればそれでＯＫ。他にも列挙することになるはずでそれが問題だ。

    FortiGate の最新ファ－ムウェアに、SD-WAN 機能の "インタ－ネット・ブレイクアウト"
    というのができた。インタ－ネット上の多々あるサ－ビスを選んで、FortiGate の別ポ－
    トから出て行くるようにして回線を別にするのである。FortiOS 5.4 でも出来るが 5.6が
    いいだろうということである。ISDB( Internet Service Data Base )という。この機能の
    デ－タベ－スに韓国のパブリックＩＰアドレスとかあれば、うれしいかも知れない。
    

   * プロキシにポリシ－ル－ティングが加わる場合は

    プロキシサ－バを介する場合のブラウザからパケットがどうなっているか俄に分からない。
    拠点のパソコンのブラウザで本社プロキシ指定するというのは、挙動はどうなるのか。拠
    点のポリシ－ルティングで Qube3 へは行かなくなるのでないか。 ここら辺りがこの設計
    のポイントになる。PC のブラウザのプロキシは A.3 指定をして Qube3 にアクセス。 プ
    ロキシ経由で社内サ－バへアクセス。とりあえずこれだけできるか確認する。

    Proxy       社内サ－バ                  ２時間程度で動作確認しました。結果から言
      □         □    □                   うとダメ。IE でプロキシ指定 A.3 をやると
    A ｜.3       ｜    ｜  192.168.1.0      Qube3 にはアクセスできなくなった。IEでプ
    ----------------------------------      ロキシの対象にしない [192.168.3.* ] とし
         WAN1｜                             たらアクセスできた。PC から Qube3へ ping
        ------------     □Qube3            や ftp は先にテストしてできた、 プロキシ
        |    NAT   |WAN3 ｜192.168.3.0      はこれらには関係ない。１つ注意、模式図的
        | FortiGate|――― ポリシＲ         に WAN3というのを書いたが FortiGate-100D
        |   100D   |                        にはない。wan1 と wan2 はある。 ＬＡＮ用
        ------------   PC△IE               のポ－トをポリシ－ル－ティングに流用でき
    B        ｜LAN       ｜192.168.2.0      ることを付録のところで確認した。問題ない。
    ----------------------------------


   * 拠点内のサ－バも本社や他拠点から利用するには

    これまで本社から拠点のサ－バを操作しているのがある。拠点にはル－タがあるだけでそ
    れができた。今後もやるには拠点の FortiGate を透過型で設置しないといけない。 透過
    型モ－ドで WAN LLB とポリシ－ル－ティングがでできるのか。 これが一番のポイントに
    なる。手元の FG100D はＮＡＴ型である、 ポリシ－ル－トに WAN LLB にＷＡＮ最適化の
    メニュ－は出ている。ＮＡＴに変更して確認してみよう。

    "オペレ－ションモ－ド NAT" を トランスペアレント に変えたいのだが、 画面に変える
    メニュ－が出てない、v5.4.3 で。パソコンから Tera Term で入ってコマンドで変更した。
    一発ですんなりできた。リタ－ンキ－叩いたら "Changing to TP mode" と出た。 もう変
    わっていた。ＷＡＮ最適化のメニュ－しか出ない。ダメだ。透過型モ－ドではＷＡＮ最適
    化しかできない。WAN LLB、ポリシ－ル－ティングもやるにはＮＡＴ型にするしかない。

        # config system settings                              透過型にしたのはいいが
        (settings) # set opmode transparent                   ＮＡＴ型に戻すのが簡単
        (settings) # set manageip 192.168.2.2/255.255.255.0   にはできそうにない。ま
        (settings) # set gateway 192.168.2.1                  た余裕のある時に改めて
        (settings) # end                                      やってみることにしよう。

    ・既存回線のル－タの FortiGate ＷＡＮ側のＩＰアドレスは変更する必要がある。
    ・悪い事ばかりではない。拠点ＵＴＭをＮＡＴにすることで拠点はより安全になる。

    拠点サ－バなどに本社からアクセスしたければバ－チャルＩＰで外に出す。いやこれはだ
    めか。回線のル－タ接続のために割り振られているだけだ。ＮＡＴのままで拠点内のサ－
    バにそのままスル－してアクセスする機能があればいいが。いやいやパブリックＩＰでな
    くプライベ－トＩＰな訳で、クラスＣ相当分もらえばいい。

    回線側ＩＰは利用できるかどうかが問題になるか。回線業者側の都合というか経路制御を
    やるかどうか。ＷＡＮの IP-VPN と広域イ－サネットの違いは。IP-VPN は IPSec-VPN を
    どこに張るのか。 足周りをインタ－ネット回線を使う場合は IPSec-VPN をＷＡＮのアク
    セスポイントとやるのでないか。いわゆるインタ－ネットＶＰＮを張る。

    ・FortiGate の SD-WAN 機能で拠点内のホストにアクセスできないか。
    ・FortiGate のソ－スＮＡＴとかバ－チャルＩＰとかでやれないか。

    --------------------------------------------------------------------------------
    ここまで検討してふとこれはまさに SD-WAN の課題だと思った。拠点のＵＴＭをＮＡＴ型
    で設置するのは、ひょっとしてＩＰアドレスが被ってしまう子会社をＷＡＮに含める場合
    の話と一緒である。双方で社内サ－バを利用したいという要望なんかが出てくる。複雑な
    ＮＡＴ機能を駆使するのでなく SD-WAN でもってスマ－トなネットワ－クにするのである。
    --------------------------------------------------------------------------------


   * SD-WAN 気になりメモしてた事など

    SDN は SD-WAN から普及していくか？。「日経ＮＥＴＷＯＲＫ」2017/03, P.80～85, "企
    業ネットワ－クまるごと構築術、最終回 SDN/SD-WAN 集中管理が最大のメリット"。SDNス
    イッチ管理のためにの配線が問題。インタ－ネットブレ－クアウトで複数のインタ－ネッ
    ト回線を制御できる。これを利用すれば Office 365 などの SaaS へのアクセスは別回線
    を通すとかできる。企業向け製品には UNIVERGE PF、Cisco APIC-EM などがある。デ－タ
    センタ－向けには Big Cloud Fabric など。 SD-WAN を利用するにはＷＡＮ接続用の CPE 
    を設置する必要がある。通信回線業者、プロバイダがサ－ビスをしているかが問題である。

    Fortinet 社の `2h/10 のセミナ－にて。FortiGate は SD-WAN ができる。 副社長が滑ら
    かな弁舌で SD-WAN でキャリアの言いなりにはならない、ＷＡＮの設計はユ－ザ側が主導
    権を握ろうと話していた。どうも SD-WAN は SDN とはちょっと違うのでないか。最初SDN 
    のやり方をＷＡＮでも使ったら便利ということで SD-WAN と称しているのかと思ったのだ
    が。FortiGate は SD-WAN が出来るとはどういうことか。インタ－ネットブレ－クアウト
    機能ありという事で先ずそうである。FortiGate に CPE機能があるのか要確認。`2h/10/E
    調べたら FortiHypervisor というアプライアンスがあって、それに CPE 搭載されていた。
                           

   * 参考

   「日経コミュニケ－ション」2017/06, P.12～27, "特集:先兵は SD-WAN (クラウド最適)で
    企業ネットを取る"。`2h/10/E に記事を見た。2017/02号 P.70,71 の "新間違いだらけの
    ネットワ－ク作り" には SD-WAN は企業ネットの多目的化に利点ありと書かれてあった。

    他自身の記述で。"4-3.ＷＡＮ回線の速度アップと冗長化" 全体で参考になる ybase3.txt。
    "20-5.シンプルにネットワ－クを,(4)海外系ネットワ－ク環境"network.txt。"24-1.ネッ
    トワ－クでネット又ネット,(1)インタ－ネット回線の２本立" netnet.txt。

   「日経ＮＥＴＷＯＲＫ」2017/12, P.72～76,"ネットワ－ク構築テクニック(第三回)ル－タ
    － クラウドには各拠点からアクセス"。最近のル－タにはポリシ－ル－ティング機能あり。
    これが使い物になれば FortiGate は透過型でＷＡＦＳだけやらせることができるぞ！。


------------------------------------------------------------------------------------
[ 付録 ] ２つのテストそれにポリシ－ル－ティング

● ＷＡＦＳ機能確認に向けてのテスト

   * テスト１:プロキシ指定の場合の動作確認  `2h/11/s

    ハ－ドウェアスイッチでインタ－フェ－ス名 lan は port3 から port15 を割り当て、イ
    ンタ－フェ－ス名 lan1 は port1 と port2 を割り当ててある。 物理には wan1 と wan2
    あり。wan3 というのは FortiGate-100D にはない。mgmt というのもあり。ポリシ－ル－
    ティング用に一応 wan2 は、WAN LLB で wan1 と共に使えるよう空けておきたい。どれか 
    portx をポリシ－ル－ティングとして利用できるか。それはできましたＯＫです。FG100D
    のファ－ムウェアバ－ジョンは v5.4.3。 ポリシ－はポ－トでなく名前指定になっている。
    この設定でメモリ使用量は 16%、ＣＰＵ使用率は 0 だった。セキュリティ等は無しで。

      □Proxy   ：                   [IPv4ポリシ－]
      ｜.3    .9： 192.168.1.0       -----------------------------------------------
    --------------------------       |項番  送信元  宛先  サ－ビス  アクション   NAT
          |         -------          |----------------------------------------------
      wan1|.1       |Qube3|          | lan - lan1
    -------------   -------          |----------------------------------------------
    |    NAT    |.1  .2| 192.168.3.0 | 1    all     all   ALL       〆ACECPT  〆有効  
    | FortiGate |-------             |----------------------------------------------
    |   100D    |lan1 Port1,2        | lan - wan1
    -------------                    |----------------------------------------------
       lan| Port3～16   PC△IE       | 2    all     all   ALL       〆ACECPT  〆有効
          |.1             ｜.2       |----------------------------------------------
    --------------------------       | 3 Implicit Deny all all ALL (/)DENY    ×無効
                   192.168.2.0       -----------------------------------------------


    インタ－フェ－ス名 lan はポ－ト番号３から１６は同じ 192.168.2.0 セグメントである。
    PC は実際には Port3 に直接つなげている。


    [ネットワ－ク]->[ポリシ－ル－ト]
    -----------------------------------------------------
    |受信トラフィックのマッチング条件:                      wan1はデフォルト経路を設
    |プロトコル  TCP UCP SCTP [ANY] 指定する[0          ]   定してある。 192.168.1.9
    |入力インタ－フェ－ス [ lan         ×]                 でインタ－ネットへ抜ける
    |送信元アドレスマスク [ 192.168.2.2/255.255.255.255 ]   経路である。 192.168.1.9
    |宛先アドレスマスク   [ 192.168.3.2/255.255.255.255 ]   にはファイアウォ－ルなり
    |                                                       がある。Qube3 のデフォル
    |アクション:                                            ト経路は適当 192.168.3.8。
    |出力インタ－フェ－ス [ lan1        ▽]
    |ゲ－トウェイアドレス [ 192.168.3.2   ] << このテスト環境ではこのＩＰでないと。


    これだとプロキシ指定すると、そのＩＰアドレスが宛先になって上に合致しない。 Qube3
    に http アクセスできない。 宛先アドレスマスクを [ 0.0.0.0/0.0.0.0 ] にしてもだめ
    だった。ポリシＲはあくまでのそっちのネットワ－クへのパケットを対象にするというこ
    とで、パケットを横取りするような振る舞いはしない。ブラウザでプロキシの対象にしな
    い [192.168.3.* ] としたら行けた。Qube3 は管理画面へは http://xxx:444/ である。


   * ポリシ－ル－ティング設定のおさらい  `2h/11/s

                        □Router    この FortiGate のファ－ムウェアは v5.2.10。 VDOM
    192.168.1.0         ｜.9        は使用せず。以下のような指定の仕方ができる。 UDP
    ---------   ----------------    53 はＤＮＳの問い合わせ。 指定IP というのは WAN2
            |   |    192.168.4.0    経由のインタ－ネット回線で、そのプロバイダが用意
        WAN1|   |WAN2               しているＤＮＳサ－バである。UDP 123 はＮＴＰプロ
         -----------                トコルで、ＮＴＰサ－バを利用する場合は WAN2 を経
         | (2) (3) | 192.168.3.0    由するようにしたものである。 TCP 80 は言わずと知
         |         |------------    れた http アクセス。ここには https の 443 は記載
         |FortiGate|(4) DMZ         してないので https アクセスは、WAN1 経由というこ
    Proxy-----------                とになる。1 と 2 のプロトコルは ANY でゲ－トウェ
     □    LAN|(1)                  イアドレスは 0.0.0.0。 3 から 5 の送信元ポ－トは
     ｜.2     |      192.168.2.0    1-65535 でゲ－トウェイアドレスは 192.168.4.9。
    ----------------------------


    #  受信   送信         送信元アドレス              宛先アドレス       宛先ポ－ト
    --------------------------------------------------------------------------------
    1  port1  port2  192.168.2.2/255.255.255.255  192.168.1.0/255.255.255.0
    2  port1  port4  192.168.2.2/255.255.255.255  192.168.3.0/255.255.255.0
    3  port1  port3  192.168.2.2/255.255.255.255     0.0.0.0 /0.0.0.0      TCP 80
    4  port1  port3  192.168.2.2/255.255.255.255   指定IP/255.255.255.255  UDP 53
    5  port1  port3      0.0.0.0/0.0.0.0             0.0.0.0 /0.0.0.0      UDP 123


   * テスト２:FortiGate のプロキシ機能確認

    フィ－チャ－選択画面で {Explicitプロキシ} をオンにしたら、２つメニュ－がでてきた。
    [ネットワ－ク]->[Explicitプロキシ] で {Explicit Webプロキシ}をオンにしたらメニュ
    －がずずっとでてきた。[ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]。PCの
    ブラウザから外のホ－ムペ－ジは出た。Qube3 の http://192.168.3.2 へは拒否されてし
    まった "Access Denied" とでた。下記の設定にもう一工夫しないと。これはまた後程に。

              .9｜ 192.168.1.0 
    --------------------------
          |         -------
      wan1|.1       |Qube3|
    -------------   -------
    |    NAT    |      |192.168.3.2
    |           |-------
    |  FG100D   |プロキシ設定
    -------------               
       lan| Port3～16   PC△IE  プロキシ指定 
          |.1             ｜.2  192.168.2.1
    --------------------------  
                   192.168.2.0  

                                                                                    
    [ネットワ－ク]->[Explicitプロキシ] の {Explicit Webプロキシ}
    ---------------------------------------------------------------
    | Listenするインタ－フェ－ス  [ lan    ×]
    | HTTPポ－ト                  [ 8080     ]  << 80 にしようとすると Entry is used
    | HTTPSポ－ト                 [Use HTTP Port]|Specify|                    と出た。
    | プロキシ自動設定(PAC)  (○ )
    | デフォルトのファイアウォ－ルポリシ－のアクション |許可|[拒否]
    | [-] Webプロキシフォワ－ディングサ－バ
    | [-] URLマッチリスト


    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]    これも設定しないとブラウ
    -----------------------------------------------------   ザでアクセスしようとする
    | Explicitプロキシタイプ           [Web]|FTP            と出来ない。
    | 有効になっているインタ－フェ－ス lan
    | 出力インタ－フェ－ス             [ wan1   ]
    | 送信元アドレス                   [ all    ]
    | 宛先アドレス                     [ all    ]
    | アクション                       [〆ACCEPT]|(/)DENY|＠AUTHENTICATE|


   * テスト３:FortiGate プロキシのワンア－ムでの動作確認 

    ワンア－ム設置でプロキシ設定するのはどうやるのだったか。これだけでよかったか。こ
    れで PC のブラウザからプロキシ 192.168.2.1 経由で http://192.168.2.8/ アクセスで
    きた。同じセグメントに Qube3 があるので確認しずらいが、これでいいはずである。

    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]   
    ----------------------------------------------------
    | Explicitプロキシタイプ           [Web]|FTP|
    | 有効になっているインタ－フェ－ス lan
    | 出力インタ－フェ－ス             [ lan    ]   << wan1 を lan に変えたのみ。

      wan1|.1      
    -------------
    |    NAT    |プロキシ設定
    |           |
    |  FG100D   |   
    -------------   プロキシ指定 192.168.2.1  
       lan|         PC△IE
          |.1       .2｜Port3接続
    --------------------------  
      ｜.8         192.168.2.0  
      □Qube3 Port4接続


   * テスト４:FortiGate プロキシにてセキュリティチェック

    フィ－チャ－選択では最初から "複数インタ－フェ－スポリシ－" と "複数セキュリティ
    プロファイル" はオンにしてある。"アンチウィルス" もオンにしてみた。

    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]   
    ------------------------------------------------------------
    | 項番  送信元  宛先  アクション  セキュリティプロファイル
    |-----------------------------------------------------------
    | 1     all     all   〆ACCEPT     [+]
    ------------------------------------↑----------------------
                                これクリックしたら左下の画面がでてきた。アンチウィル
                                スは選ぶにしても、プロキシオプションはどうするの？。

    ----------------------------------
    | エントリを選択
    |---------------------------------
    |[-]アンチウィルスプロファイル(1)  << "アンチウィルス"もオンにして出てきた。これ
    |   [ AV ]default                     はよし。他にも適宜ＩＰＳなんかも含めていく。
    |[-]プロキシオプション(1)          << これもどこから湧いて出てきたのか。何をして
    |   [ PRX ]default                    くれるのか。選択は必須と触っていたら出たぞ。
    |[-]SSLインスペクション(2)         << これはフィ－チャ－選択にある訳でない。どこ
    |   [ SSL ]certificate-inspection     から湧いて出てきたのか。多分パフォ－マンス
    |   [ SSL ]deep-inspection            的に能力が足らないだろうという事で選ばない。


   * テスト５:FortiGate のプロキシと社内用ＤＮＳの確認

      □社内用       □Qube3                社内用ＤＮＳサ－バ NetAttest D3 では社内
    .7｜DNS        .8｜ホスト名 svr1        設置のサ－バにホスト名でアクセスできるよ
    --------------------------------        うに特殊なＤＮＳのエントリを作成してある。
      wan1|NAT           192.168.1.0        http://svr1 等というアクセスができるよう
    -------------                           に。ここではブラウザでプロキシ指定してお
    |           |プロキシ設定               いて、FortiGate が参照するＤＮＳを使って
    |  FG100D   |DNS指定 192.168.1.7        http://svr1 アクセスできるか確認してみた。
    |           |                           問題なし。本番設置では FortiGate は wan1
    -------------  PC△IE プロキシ指定      は何もネットワ－ク接続してないワンア－ム
       lan|.1      .2｜   192.168.2.1       構成である。実際にその場合のも動作確認す
    --------------------------------        べきだが、とりあえず FortiGateをＮＡＴ型
    192.168.2.0                             モ－ドにてテストしてみた。すんなりできた。


    ここのところもう一度、動作確認のテストをやってみた `2h/11/S。 その様子はこの付録
    の更に下の方に記載した。前にテストした際にはできなかったことができた。 FortiGate
    のプロキシサ－バ機能とＤＮＳサ－バ機能と、本体でのＤＮＳ指定に絡む挙動に関してで
    ある。FortiGate で社内用ＤＮＳサ－バもできることが分かった。


   * テスト６:FortiGate でまずはＷＡＦＳ動作の様子を見る－その１

    フィ－チャ－選択では "WAN最適化&キャッシュ" をオンした。メインのメニュ－に出てき
    た。プロキシとＷＡＦＳをどう結び付けるのか。閉域環境でテストしようか。Windowx XP 
    に遅延発生ソフトウェアを載せないけない。 ＷＡＦＳ機能がある FortiClient をパソコ
    ンにインスト－ルすればテストはできるのでないか。 その前に "WAN最適化&キャッシュ" 
    の基本的な設定の仕方が分からないと。とりあえずテスト５の構成でＷＡＦＳ設定、プロ
    キシは使わず、Qube3 の Web と FTP アクセスを対象にＷＡＦＳがどうなるかテストする。


    Qube3□         ----------      △PC        多分 lan->wan1 へのアクセスで、Qube3
         ｜.8    NAT|  WAFS  |.1    ｜.2        について何とかしたい。ファイルアクセ
    ----------------| FG100D |---------------   スの高速化をしたい、その設定をしよう
    192.168.1.0 wan1----------lan 192.168.2.0   ということでないのか。


    IPv4 ポリシ－
    -----------------------------------------------
    | 名前                 [          ]  << ここも何か書かないと設定して[適用]クリッ
    | 入力インタ－フェ－ス [ lan      ]     クしても設定できていない。 [フィ－チャ－
    | 出力インタ－フェ－ス [ wan1   ×]     選択] で "名前なしポリシ－許可" をオンに。
    | 送信元               [ all    ×]
    | 宛先アドレス         [ all    ×]  << Qube3 に変更。
    | サ－ビス             [ ALL    ×]
    | アクション           〆ACCEPT|(/)DENY|〓LEARN|
    |
    | ファイアウォ－ル/ネットワ－クオプション
    |
    | NAT            ( ●)
    | Webキャッシュ  (○ )
    | WAN最適化      (○ )   << 表示はあるが選択できない。これを選ぶ事ができなければ
    |                           前に進まない。 ひょっとして対向する FortiGate も指定
    | セキュリティプロファイル  せないかんのか。 [WAN最適化&キャッシュ]->[ピア] にて。
    |       |                   しかし FortiGate １台と FortiClient でやれるはずだが。


   * テスト７:FortiGate でまずはＷＡＦＳ動作の様子を見る－その２

    手元に FortiGate-80C もある。これはストレ－ジが 8GB あるとカタログスペックに書か
    れてあった。FortiOS は今 v5.2.10、ひょっとするとＷＡＦＳができるかも。これまで触
    ってきてＷＡＦＳのメニュ－は見たことはなかったように思うけど。FortiGate-100Dでも
    メニュ－は最初なかった。多分 [システム]->[高度] のディスク設定をやらないとダメ。
    
    とりあえずここらでドキュメントを読んでみるとするか、英文の http://help.fortinet.
    com/fos50hlp/ 内の "Configuring WAN optimization" １８ペ－ジ。プリントしたらほと
    んどブランクのペ－ジもどんどん出てくるので慌てて止めた。ほかっておいたら百ペ－ジ
    も出るところだった。次の日、掛かり付けの病院での待ち時間に半分ぐらい読んでみた。

       □Qube3              Qube3□         ----------        ----------      △PC       
     .8｜192.168.1.0             ｜.8    NAT|  WAFS  |.1    .4|WAFS透過|.3    ｜.2       
    ------------------      ----------------| FG100D |--------|  FG80C |------------
      wan1|NAT              192.168.1.0 wan1----------lan     ---------- 192.168.2.0  
    -------------                        
    |  FG100D   |
    -------------           対向する FortiGate のクライアント側である支社の方で、 本
       lan|.1               社のどのサ－バをＷＡＦＳ対象にするか指定する。
          |                 
          |                 Manual 制御と Ative-Passive 制御がある。Manual制御は２点
      wan1|.4               間 Peer-to-Peer、FortiGate 対向設置の間での高速化設定。
    -------------           
    | FG80C 透過|           クライアント側のポリシ－のマニュアル制御はコマンドライン
    ------------- △PC      で設定しなければならない。
       lan|.3     ｜.2      
    ------------------      業者の技術者にもらったヒントではマニュアル制御で透過モ－
    192.168.2.0             ド( Transparent ) は無しで設定していいのでないかという。


    FortiGate-80C だめか？。[グロ－バル]->[設定]->[高度] "ディスク管理" というのがあ
    って "No disks avaiilabe" と出ている。[フィ－チャ－] に WAN最適化 は見当たらない。
    残念ながらＷＡＦＳの検討はここで一旦中断だ。FortiGate-100D と 80C とで動作確認で
    きるだろうと思ったのだが。それにしてもおかしな、インタ－ネットに FortiGate-80Cで
    ＷＡＦＳもできると書かれているのを見たけど。発売日でディスク有り無しがあるとか？。

    いや FortiOS が v4.x 代ならいけるかも知れない。v5.x では機能アップなどのため負荷
    が大きくなってＷＡＦＳはサポ－ト外にしたのかも知れない。いっぺんＯＳをダウングレ
    －ドしてみるか。ＳＩ業者の Fortinet サポ－トのサイトにログインして v4.x 代の最後
    のバ－ジョンを取った。 OS 4.0MR3P9、FGT_80C-v400-build0637-FORTINET.out、FortiOS
    v4.0.9,ビルド 637。画面で "□バ－ジョンのダウンロ－ドを確認" の所に〆入れて開始。

    画面ではずっと reboot 中と出ていたが、１分ぐらいで実は起動していたみたい。アクセ
    スは Mozilla より IE の方がいいかも、IE 9 ですが。ＬＡＮ側からもＷＡＮ側からもア
    クセスできた。設定してあったのはざっと見てほとんどそのまま、作った VDOM もそのま
    まだった。WAN最適化のメニュ－が見当たらない。 G->[システム]->[設定]->[詳細] 画面
    で "ディスク管理" の FLASH(0MB of 0MB)[フォ－マット]、クリックしても変化なし。

    FLASH(0MB of 0MB)[フォ－マット] 
    --------------------------------------------------------------------------------
    | フィ－チャ－ | ストレ－ジサイズ | 割り当て済み | 使用済み | クオ－タ使用済み |
    --------------------------------------------------------------------------------

    再起動のメニュ－が見当たらない、コンソ－ルで # config global、# exec reboot やっ
    た。[ダッシュボ－ド] の [Status] に "ユニットオペレ－ション"を追加表示すれば再起
    動のメニュ－はでてきた。全体画面の右上の {ヘルプ} をクリックしたら、詳しい説明が
    出てきた。Chapter 17 WAN Optimization のところ Formatting the hard disk のくだり、
    FortiGate-51B を例に execute disk list とやるというように書かれている。

    80C でこのコマンド叩いても無反応である。# execute ? やって使えるコマンドの一覧を
    見たけど disk の文字がない。80C にＵＳＢメモリを１つ差して再起動してみた。 FLASH
    の (0MB of 0MB) は 0MB のままだった。 改めてネットを調べたら Ver 4.0 MR3 Patch12
    で 80C はアップデ－ト後、 ハ－ドディスクログ保存のコマンドが無くなるという記述を
    見つけた。flash disk は記憶素子として書き込み消去回数に限りがあるための機能変更。

    ひょっとして v4.x でも初期のバ－ジョンなら、ディスクをサポ－トしているかもと思い
    OS 4.0MR1P1、FGT_80C-v400-build0185-FORTINET.out をいれた。 ダメ、どこにも Flash
    とかディスクとかいうのが無かった。ＵＳＢメモリはここでは関係ない。 ここまで VDOM
    はそのままにしてやってきた、後やるとすれば VDOM を無くしてか。ひょっとすると 80C
    では古いファ－ムウェアならコマンドでＷＡＦＳ設定ができるかも知れない。


● FortiGate のプロキシとＤＮＳを再びテスト  `2h/11/S

   * テストＡ

       ：Internet    □Qube3                パソコン PC のブラウザでプロキシ指定して。
       ：          .8｜            
    ----------------------------------      http://qqq1/ と http://coba.nix.co.jj/
      wan1|.1 NAT          192.168.1.0        
    -------------                           というアクセスができた。インタ－ネットの
    |           | DNS指定 {FortiGuard       http://asahi.com/ とかもアクセスはできた。
    |  FG100D   | サ－バを利用}とする       しかし何か画面が出るのが遅いな－。
    |  v5.4.3   |                           
    -------------  PC△IE プロキシ指定      [ネットワ－ク]->[DNSサ－バ] に社内サ－バ
       lan|.1      .2｜   192.168.2.1       用のエントリを作った。プロキシサ－バの設
    ----------------------------------      定もした、HTTPポ－ト 8080。VDOM なしにて。
    192.168.2.0                     


    サ－バのポ－ト番号がいろいろになっている、プロキシを介するアクセスの確認を今一度
    しておく。Qube3 の管理画面のポ－ト番号は 444 で http://192.168.1.8:444/ でました。
    IWSS 画面画面へもアクセスできた、http://192.168.1.x:1812/。 この IWSS のプロキシ
    設定ではポ－ト番号はいちいち記載しないとだめである。FortiGate ではそれはない。


    [ポリシ－&オブジェクト]->[IPv4ポリシ－]
    --------------------------------------------------------------------------------
    | 項番  名前      送信元  宛先  サ－ビス  アクション  NAT     セキュリティプロフ
    |-----------------------------------------------------------------        ァイル
    | lan - wan1
    |-------------------------------------------------------------------------------
    | 1               all     all   ALL       〆ACECPT    〆有効  [+]
    |-------------------------------------------------------------------------------
    | 2 Implicit Deny all     all   ALL       (/)DENY     ×無効
    --------------------------------------------------------------------------------


    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]    
    ----------------------------------------------------------------------------
    | 項番  送信元  宛先  アクション   セキュリティプロファイル    ログ   バイト
    |---------------------------------------------------------------------------
    | [-]web proxy - wan1
    |---------------------------------------------------------------------------
    | 1     all     all   〆ACECPT     [+]                         UTM    1.51MB
    ------------↑--------------------------------------------------------------
                ｜
        クリックして出たのが下記。

    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]    
    ----------------------------------------------------------------------
    |Explicitプロキシタイプ            [Web]|FTP|                     
    |
    | 有効になっているインタ－フェ－ス lan
    | 出力インタ－フェ－ス             [ wan1   ]
    | 送信元アドレス                   [ all    ]
    | 宛先アドレス                     [ all    ]
    | アクション                       [〆ACCEPT]|(/)DENY|＠AUTHENTICATE|
    |
    |セキュリティプロファイル
    | アンチウィルス          (○ )     << オンにしたら "プロキシオプション"というの
    | SSL/SSHインスペクション (○ )        も出てきた。[AV default],[PRX default] の
    |                                      ２つを選んだことになる。
    |ファイアウォ－ル/ネットワ－クオプション
    | Webキャッシュ           (○ )


    [ネットワ－ク]->[インタ－フェ－ス] 

    "インタ－フェ－ス名 lan"、"タイプ ハ－ドウェアスイッチ"、"物理インタ－フェ－スメ
    ンバ port3～port16" で port3 にネットワ－クケ－ブル接続 、"ロ－ル(i) LAN"、"アド
    レッシングモ－ド  マニュアル"、"IP/ネットワ－クマスク 192.168.2.1/255.255.255.0"
    その他の設定で "STP ( ●)"、"Botnetサイトへ接続するコネクションをスキャン [無効]
    ブロック|モニタ"、"Explicit Webプロキシを有効 ( ●)"。


    [ネットワ－ク]->[Explicitプロキシ]
    ---------------------------------------------------------------
    |( ●) Explicit Webプロキシ
    |
    | Listenするインタ－フェ－ス  [ lan    ×]
    | HTTPポ－ト                  [ 8080     ]
    | HTTPSポ－ト                 [Use HTTP Port]|Specify|
    | FTP over HTTP          (○ )
    | プロキシ自動設定(PAC)  (○ )
    |       |
    | デフォルトのファイアウォ－ルポリシ－のアクション |許可|[拒否]
    | [-] Webプロキシフォワ－ディングサ－バ
    | [-] URLマッチリスト


    [ネットワ－ク]->[DNSサ－バ]
    -------------------------------------------------------------------
    |インタ－フェ－ス上のDNSサ－ビス
    |------------------------------------------------------------------
    | □        インタ－フェ－ス                  モ－ド
    |------------------------------------------------------------------
    | □           lan                            再帰検索
    |------------------------------------------------------------------
    |
    |DNSデ－タベ－ス
    |------------------------------------------------------------------
    | □    DNSゾ－ン    ドメイン名   タイプ   確認     TTL  エントリ数
    |------------------------------------------------------------------
    | □    zone1         qqq1        マスタ   シャド－ 86400   2
    |------------------------------------------------------------------
    | □    zone2         nix.co.jj   マスタ   シャド－ 86400   1
    -------------------------------------------------------------------

    zone1 の DNSエントリ
    --------------------------------------------------
    |               DNSゾ－ンの編集
    |-------------------------------------------------
    | タイプ ◎マスタ  確認 ◎シャド－など              << "シャド－" にするのがきも。
    | プライマリ－マスタ－のホスト名 dns
    |
    | DNSエントリ
    |-------------------------------------------------
    | □  ＃  タイプ             詳細
    |-------------------------------------------------
    | □  1   ネ－ムサ－バ(NS)   qqq1                   << これら２つで http://qqq1/
    |-------------------------------------------------
    | □  2   アドレス(A)        qqq1. -> 192.168.1.8   << というアクセスができる。
    --------------------------------------------------
                                                        ※実は２０１７年３月にこのテ
    zone2 の DNSエントリ                                  ストをして確認していた。
    --------------------------------------------------
    |               DNSゾ－ンの編集
    |-------------------------------------------------
    | タイプ ◎マスタ  確認 ◎シャド－など
    | プライマリ－マスタ－のホスト名 dns
    |
    | DNSエントリ
    |-------------------------------------------------
    | □  ＃  タイプ             詳細
    |-------------------------------------------------
    | □  1   アドレス(A)        coba. -> 192.168.1.8
    --------------------------------------------------


   * テストＢ

    DNS1□ DNS2□   □□FortiGuard指定      パソコン PC のブラウザでプロキシ指定して。
     X.1｜  X.2｜   ｜｜208.91.112.53,52
    ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼      http://qqq1/ と http://coba.nix.co.jj/
    ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／ 
       ：                                   というアクセスができた。インタ－ネットの
       ：            □Qube3  □社内用      http://asahi.com/ とかもアクセスはできた。
       ：          .8｜     .7｜DNS         何か画面が出るのが遅い。100D の DNS 指定
    ----------------------------------      192.168.1.7 に変えてみたら、こっちの方は
      wan1|.1 NAT          192.168.1.0      すぐに表示してきた。FortiGuardサ－バでの
    -------------                           208.91.112.53 は混んでいるのでないか。社
    |           | DNS指定 {FortiGuard       内用DNSサ－バが持つエントリ http://svr1/
    |  FG100D   | サ－バを利用}とする       アクセスできた。 http://qqq1/ もアクセス
    |           |                           できた。100D の DNS指定を X.1 にしてみた、
    -------------  PC△IE プロキシ指定      これも http://asahi.com/画面はすぐに出て
       lan|.1      .2｜   192.168.2.1       きた。 http://qqq1/ 画面もすぐにでてきた。
    ----------------------------------      DNS1,DNS2 は自社ＤＮＳサ－バのプライマリ
    192.168.2.0                             とセカンダリでプロバイダに管理委託してる。


    これらのことを踏まえて FortiGate本体での DNS指定はどうするのがいいか考える。パッ
    と思い付いたのはハイブリッド指定である。社内用DNS はブラウザのプロキシ利用ではな
    くても構わないのでないか。FortiGate 内の DNSサ－バでまかなえることが分かったので。 
    社内用 DNS はプロキシ利用でない telnet や FTP など直接インタ－ネットにアクセスす
    る際には必要だが。Amazon EC2 に出したＤＮＳサ－バ DNS1、何と管理委託したプロバイ
    ダから Amazon サイドでメンテナンスのため平日の１７時から２時間停止になると連絡が
    あった。利用始めて半年もならない。ほとんど無停止で運用されるものだとばかり思って
    いたのに。これは驚きである。ということもあるので、検討考慮には含めなければならな
    い。しかし実際のところ停止はほとんど無かった、どうも一瞬で済んだみたいだった。

    a) {FortiGuardサ－バを利用} 208.91.112.53 と 52。   これでいいかと思っていたが。

    b) 最初に Amazon EC2 の X.1、次に 208.91.112.53。   こっちの方が応答は速くなる。


   * テストＣ

    [システム]->[設定]->{管理者設定} にて。"HTTPポ－ト [80 ]"、"HTTPS へリダイレクト
    オン"、"HTTPSポ－ト [443 ]"。

    "HTTPポ－ト [8088 ]" にしてみた、[適用] クリックして。ブラウザからアクセスできず。
    https://192.168.2.1/ または https://192.168.2.1:443/ はＯＫだった。

    ＬＡＮ側から http://192.168.2.1:8088/、ＷＡＮ側から http://192.168.1.1:8088/アク
    セス。装置を再起動してもだめだった。"HTTPポ－ト [444 ]" とかもダメだった。


    [ネットワ－ク]->[Explicitプロキシ]
    ------------------------------------------------------
    |( ●) Explicit Webプロキシ
    |
    | Listenするインタ－フェ－ス  [ lan    ×]
    | HTTPポ－ト                  [ 80       ]  << 8080 だったのを変更した。
    | HTTPSポ－ト                 [Use HTTP Port]|Specify|
                                                                            

    上記の "HTTPポ－ト [8088 ]" はそのままにして。ブラウザでプロキシ指定を 80 に変更
    した、ヤフ－のサイトなどアクセスできず。再起動したらアクセスできた。再起動しなく
    てもポ－ト番号を変えただけで設定変更は有効になるのでないのか、どうもよく分からな
    い。とりあえずテストした結果を事実のまま書いた。プロキシサ－バのポ－ト番号を80番
    にしたかったのは出来たので良しとしようか。 FortiGate ヘの管理アクセスは https で
    やればいい訳だし。しかし気持ち悪い、やはりちょっと調べてみないといけない。


   * テストＤ

    ウィルスなどのセキュリティチェックをかける場所は２ヶ所。ログを取る場所も２ヶ所あ
    る。この FortiGate では VDOM は使ってない。 さて、どちらでセキュリティチェックを
    かけるのがいいのか。ログを取るとすればどちらがいいのか、それとも意味としては別々
    になるということで取るなら両方で行なうのがのがいいとか。


    [ポリシ－&オブジェクト]->[IPv4ポリシ－]    
    ------------------------------------------------------------------------
    | 入力インタ－フェ－ス   [ lan    ]
    | 出力インタ－フェ－ス   [ wan1   ]
    |       |
    |セキュリティプロファイル
    | アンチウィルス         (○ )
    |
    |ロギングオプション
    | 許可トラフィックをログ ( ●)[セキュリティイベント]|すべてのセッション|


    [ポリシ－&オブジェクト]->[Explicitプロキシ ポリシ－]    
    ------------------------------------------------------------------------
    |       |
    |セキュリティプロファイル
    | アンチウィルス         (○ )
    |
    | ロギングオプション
    | 許可トラフィックをログ ( ●)[セキュリティイベント]|すべてのセッション|


   * テストＥ   << ＤＮＳの挙動の勘違い判明 >>

    DNS1□自社１次    □FortiGuard      [グロ－バル] の [ネットワ－ク]->[DNS] ◎詳細
     X.1｜Amazon EC2  ｜208.91.112.53   プライマリDNSサ－バ [ X.1           ]
    ／￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼    セカンダリDNSサ－バ [ 208.91.112.53 ]
    ＼＿＿＿＿＿＿＿＿＿＿＿＿＿＿／    
        ：                              ブラウザでプロキシ指定 192.168.1.9。DNSはX.1
    --------------------------------    を見る。止まっていれば次の 208.91.112.53を見
               .2  |                    る。加えて vdom1 内のＤＮＳサ－バ DNScを見る。
           WAN1(11)|NAT                 これで名前解決はＯＫ！。これがＤＮＳの挙動。
             -------------
             | GLOBAL    |              vdom1 ではＤＮＳサ－バDNSc稼働、プロキシサ－
    FortiGate| ----------|(13)LAN       バProxyB を 8080 ポ－トで稼働。DNSc は社内用
       800D  | |    vdom1|-----         のＤＮＳサ－バで http://qqq1/ や http://coba
             | |   (DNSc)|    |         .nix.co.jj/ と言う名前解決をしアクセスする。
             | |---------|    |         
             | |NAT root |    |         root で LAN->WAN1 ル－ルの最初に 192.168.1.9
             -------------    |  PC     からのパケットを全部許可して、ここではセキュ
                   |(9)LAN    |  △IE   リティのチェックはしない。ProxyB の vdom1 内
    192.168.1.0  .2|        .9|  ｜     でチェックする。どこからのアクセスか分かる。
    ---------------------------------   


    ＤＮＳの挙動を勘違いしていたことが分かった。FortiGate 内に設けたＤＮＳサ－バは１
    個のＤＮＳアプライアンスみたいな物だろうと思っていた事。それにしてはル－トＤＮＳ
    を見ないのは解せない。FortiGate 本体で指定したＤＮＳとは関係ないと思っていたこと。
    そのため以下のように勘違いして "(5)拠点も FortiGate で安全かつ高速に" に書いてた。
    --------------------------------------------------------------------------------
    FortiGate でプロキシサ－バを設けると、これが見るＤＮＳは FortiGate本体で指定した
    のを見る。この指定先はデフォルトは Fortinet 社のＤＮＳである。社内サ－バ用の名前
    解決のために社内ＤＮＳサ－バの装置を設ける場合、 そのために FortiGate 本体で指定
    するＤＮＳはこの装置にするしかなくなる。もし社内ＤＮＳサ－バの装置がダウンなどす
    ると、FortiGate のセキュリティ機能にも支障をきたすことになる。これはよろしくない。
    --------------------------------------------------------------------------------


    root->[ポリシ－&オブジェクト]->[ポリシ－]->[IPv4]
        LAN->WAN1 の一番上に１つル－ルを作成。ここではセキュリティチェックはしない。
        "PROXY-192.168.1.9 all ALL 〆ACCEPT NAT有効"。オブジェクト PROXY-192.168.1.9。

    vdom1->[システム]->[ネットワ－ク]->[インタ－フェ－ス]
        名前 port13(VDOM LAN)、IP/ネットマスク 192.168.1.9/255.255.255.0、タイプ物理、
        バ－チャルドメイン vdom1、〆Explicit Webプロキシを有効。

    vdom1->[ポリシ－&オブジェクト]->[ポリシ－]->[プロキシオプション]  設定なし。
        プロトコルマッピングは HTTP だけに〆しては。HTTP 以外は関係ないのでないか。

    vdom1->[ル－タ]->[スタティック]->[スタティックル－ト]
        IP/ネットマスク 0.0.0.0/0.0.0.0、ゲ－トウェイ 192.168.1.2、デバイス port13。


    [バ－チャルドメイン]
        root -> システム -> ネットワ－ク ---> DNSサ－バ        設定ナシ
                                          |
                                          --> Explicitプロキシ 設定ナシ

        vdom1 ---> システム -> ネットワ－ク ---> DNSサ－バ        [a]
               |                             |
               |                             --> Explicitプロキシ [b]
               |
               --> ポリシ－&オブジェクト -> ポリシ－ ---> IPv4    [c]
                                                      |
                                                      --> Explicitプロキシ [d]


    [a] vdom1 -> システム -> ネットワ－ク -> DNSサ－バ      上に書いた内容と一緒。
        -------------------------------------------------------------------
        |インタ－フェ－ス上のDNSサ－ビス
        | □        インタ－フェ－ス                  モ－ド
        |------------------------------------------------------------------
        | □           port13                         再帰検索
        |
        |DNSデ－タベ－ス
        | □    DNSゾ－ン    ドメイン名   タイプ   確認     TTL  エントリ数
        |------------------------------------------------------------------
        | □    zone1         qqq1        マスタ   シャド－ 86400   2
        | □    zone2         nix.co.jj   マスタ   シャド－ 86400   1
        -------------------------------------------------------------------

    [b] vdom1 -> システム -> ネットワ－ク -> Explicitプロキシ
        Explicit Webプロキシを有効 〆HTTP/HTTPS、Listenするインタ－フェ－スport13/!\、
        HTTPポ－ト 8080。デフォルトのファイアウォ－ルポリシ－のアクション 許可 ???。

    [c] vdom1 -> ポリシ－&オブジェクト -> ポリシ－ -> IPv4 に１つル－ル、
        {port13(VDOM LAN) - port13(VDOM LAN)} "all all ALL 〆ACCEPT NAT無効"。
        {Implicit} "all all ALL (/)DENY"、これは自動的にできていた。

    [d] vdom1 -> ポリシ－&オブジェクト -> ポリシ－ -> Explicitプロキシ  に１つル－ル、
        {web proxy-port13(VDOM LAN)} "all all 〆ACCEPT AV Webフィルタ など"。


● ＷＡＮの拠点でインタ－ネットへは  `2h/12/s

    [1] 最初に考えた構成ですぐにでも出来る    [2] 最近のル－タにはポリシＲ機能がある
                                            
     WAN 〓〓〓〓   Internet                   WAN 〓〓〓〓   Internet
            ：      ――――                          ：      ――――
            ：         ：                             ： PolicyR ： 
           R□         ：   UTMのFortiGateは         R□……………  ル－タでポリシＲ
            ｜ PolicyR ：   ＮＡＴ型、このモ          ｜            やれば FortiGate
         UTM□……………    －ドではポリシＲ       UTM□            は透過型でも設置
            ｜              とWAN LLB が可能。        ｜            可。このモ－ドで
         ------------       透過型では不可。       ------------     は WAFS のみ可能。


    [3] 多分こんな構成も採れるのでないかと    [4] ＷＡＮの中にインタ－ネット口がある
                                            
     WAN 〓〓〓〓   Internet                           ―――― Internet
            ｜      ――――                            ： PolicyR?
            ｜         ：                      WAN 〓〓〓〓   
           R□……………    両プランはＷＡＮ          ｜        ＷＡＮの中にインタ－
            ： PolicyR      サ－ビス業者の都          ｜        ネット接続のゲ－トウ
            ：              合が左右する。特         R□        ェイをサ－ビスしてい
           R□              に [3]のプランは          ：        れば出来る。ＫＤＤＩ
            ｜              こんなサ－ビスは          ：        でサ－ビスしている記
         ------------       してない気がする。       R□        述を確か見た気がする。
                                                      ｜        
                                                   ------------

    [5] ＷＡＮの IP-VPN 網ではこんな感じか

     WAN 〓〓〓〓           R2 と R3 で WAN への経路、WAN の中にあるセグメントのＩＰ
            ｜              アドレスに対して静的経路を張る。他はデフォルト経路でイン
          R3□              タ－ネットへ行くようにする。ここが支社とすると本社などの
            ｜ Internet     ネットワ－クを静的経路を設定する。このＷＡＮ接続の形態は
       ／￣￣￣￣＼         IP-VPN 網で足周りにインタ－ネットを使い、R1 と R2 の間は
       ＼＿＿＿＿／         IPSec によるＶＰＮ接続とする。
            ｜        
          R2□ PolicyR      最初 IPSec張ったル－タは１対１対応なので、専用利用になる
          .2：              と思っていた。しかし IPSec は R1のインタ－フェ－ス .1 と
            ：IPSec         R2 の .2 との間だから、R2 の向こう側は関係ないはずである。
          .1：              R2にポリシＲの機能があれば使えるだろうしと言うことである�
          R1□ 
            ｜              ル－タのポリシＲはソフトウェアで制御される。どうも遅いと
         ------------       いう記事もインタ－ネットを調べると散見する。注意したい！。


● レイヤ３スイッチのネットワ－クその２  `2h/12/s

    "3-4.社内ネットワ－クいろいろ,(3)レイヤ３スイッチを使った設計" にも書いておいた。


    [1]                            [2]                ◆        L3 と L2の間は距離が
          ：インタ－ネットへ             ：           ｜        ある。タグVLANで Xを
    --------------------------     --------------------------   追加した。ケ－ブルを
    A           |                              |                X 用に引くのは手間だ
            ---------              B  ----  --------  ----  C   ったので。しかし実は
    B       |  L3   |       C      ---|L2|  |  L3  |  |L2|---   X セグメントに繋がる
    --------|       |---------     ---|  |--|      |--|  |---   装置は IoTだったりし
            ---------              X  ----  --------  ---- ｜X  て危険とする。既存の 
    D           |                              |           ●   B,C はパソコン等が繋
    --------------------------      --------------------------  がっていて問題ない。
                                   

    [3]                                 [4]                     B,C に関しては安全対
    --------------------------          ---------------         策はしなくて構わない。 
                   |                       |      UTM   ---- C  X は安全対策が必要で
    B ----      --------      ---- C    --------  ----  |L2|--  ある。ぱっと思い付く
    --|L2| UTM  |  L3  | UTM  |  |--    |  L3  |--|  |--|  |--  のは [3]、UTM の台数
    --|  |--□--|      |--□--|  |--    |      |  |  |  ---- X  が問題である。UTM が
    X ----      --------      ---- X    |      |  |  |  ---- B  FortiGate ならVDOMと
                   |                    |      |--|  |--|  |--  機能で仮想的に複数台
    --------------------------          --------  ----  |  |--  にできる [4]。UTM が
                                           |            ---- X  タグVLAN対応できるか
                                        ---------------         要確認。多分できる。


    [5]           ▲PC                      CとB の間の経路制御は L3 で行なわれる。X
          ：      ｜   A                    は L3 の中を通過するのみ。●と◆の間の通
    --------------------                    信は他の C,Bに安全性の影響はない。直接●
                 |           ----           は◆と通信できないので◇と通信する。PCは
              --------  C,X  |L2|--- C      ◆ Y.1にアクセスし、溜まったデ－タを扱う。
    ----------|Y   …|-------|  |--- X
    | Y UTM X |  X： |       ----           ---- Y.8でL3に接続
    ----□----| …： |  B,X  ----           |
     ｜NAT ｜ |L3  …|-------|L2|--- B      |  Y  wan lan  X
     ◆    ◇ --------       |  |--- X      --------□--------
     SV          |           ---- ｜         ｜    NAT     ｜
    --------------------          ●CT       ◆Y.1         ◇X.9 (Y.1の仮想設置)

    ※しかしこんなネットワ－ク構成がまっとうと言えるのか。できないことはなさそうだが
      非常にトリッキ－であると言わざるを得ない。[3] か [4] がまっとうだろうと思う。


    [6] 構成[5]で UTM が透過型の場合

    PC から SV へ通信したい。逆の SV から PC は通信できない、 X セグメントに通信でき
    るのは PC だけにしたい。Xセグメント には IoT機器など危険な物があると想定する。し
    かしサ－バの SV には何がしか、IoT 機器からのデ－タが溜まっていて、それは A の PC 
    から SV ヘの静的経路を設定すれば出来るのでないかと思ったができない。[5]の図でUTM 
    の前後を X にしたら、ル－プして繋がってしまう(b)。これはまずい。(c) のように繋げ
    てはいけない。(a) と (b) の図が上下変わっていて見にくい事をお詫びします。UTMは透
    過型の設置ならば、UTM がない場合でも経路的には一緒である。

    SV◆    (a)                       (b)   ▲PC                       (c)     ▲PC
      ｜.1                                  ｜                                 ｜
    ------------------ X     -------------------- A                 ----------------
            ｜X.6                         |          ----                   |
         UTM□透過                     -------- C,X  |L2|-- C            -------
            ｜X.7            ----------|X   …|------|  |-- X      X     |     | C,X
         X.8｜               | X UTM X |  X： |      ----       ------   |     |----
         -------- C,X 等     ----□----| …： | B,X  ----       |繋がらな|     |
         |  L3  |---□---     ｜透過   |L3  …|------|L2|-- B   |いように|     | B,X
    PC▲ --------   L2        ◆       --------      |  |-- X   -----□--| L3  |----
      ｜.1  ｜A.9             SV          |          ----        ｜X UTM |     |   
    ------------------ A     --------------------                ◆      -------