[Hardware] Fortigate 60DとPRIMERGY TX140 S1

実家環境の困りごと

実家環境をDR環境として使ってみたり、弟のタブレットを活用して、Webアクセス制限をかけてみたりなど様々な用途に使っていたりするのですが、現在の構成はこんな感じになっています。

実家環境の中核はPrimergy TX140 S1を使用していますが、この中でSophos XG Firewallを動かしています。

そんなにたくさん昨日は動かしておらず、NAT、Firewall、DHCPぐらいだと思う。

この構成、やっかいなポイントが一つありまして、災対環境の中核が「仮想アプライアンス」であること。こいつが落ちると、例えESXiが生存していようとも、環境が全滅することになるわけでして。それはまずいよなということで、この部分を改めて物理アプライアンスにしようと取り組んだと。

ブツはこちらになります

Fortigate 60Dです。ライセンス状態が有効となっているものを選択しました。UTM機能が一通り有効になっていました。

ファームウェアのバージョンアップ

ライセンスが有効であるため、FortiGuardからファームウェアをダウンロードすることができるので、まずはこのバージョンを上げることから始めました。初期状態で5.0GAが導入されていたのですが、ここから5.6.11→6.0.5へ上げていきました。

5.0->5.6.11へ引き上げる過程で、見た目が大分変わりました。5.0では4系とそれほど違いを感じなかったのですが、5.6.11へバージョン引き上げたところでまぁ、それまでの面影がなくなりました。

以前のバージョンFortiViewだと、単なる表だった箇所が、アバターつけて見せる事が可能になってました。

6.0.5に上げたときの見た目はそれほど変わっていませんでした。

VDOMの有効化はコマンド実行が必要

VDOMを有効にするには、コマンド実行が必要になったようです。4.0系だとGUIからできたんですが・・

# config system global
# set vdom-admin enable
# end

これを実行することでVDOMが使えるようになりました。一体GUIをやらせたいのか、CLIをやらせたいのかよくわかりませんな(笑)

SSL インスペクションの意味合いが少し違うらしい

IPSやApplication Controlを動かそうとした際、「SSLインスペクションが有効」になる現象を確認しました。当方としては、クライアント証明の実装が一部デバイスで難しく、ちょっと苦手意識があったんですが、どうも世間一般でいうSSLインスペクションはFortigateでは「ディープインスペクション」と呼ぶそうで。

一応復号化をバイパス可能なSNI/CAインスペクションというのがFortigateの言う「SSLインスペクション」と言うそうです。

構成

はい、これがそれ。
UTMをそのままそっくりFortigateに置き換える構成になりました。

実は、クライアントセグメントのネットワークアドレスを変えました。本来は既存のUTMであるSophos XGFは残す予定だったのですが、ちょっとした手違いでVMを喪失しました。本来は2つ構成するはずのクライアントセグメントが片方まるごと吹っ飛んだという話です。何はともあれ一通りの通信環境ができたので、それで現在いろいろ眺めている状態です。

サーバの増強

PRIMERGY TX140 S1。E3-1220搭載サーバです。3年ほど使っていて、とうとう埃が積もってきたので、節目って事で埃取りを行うとともにサーバ増強をしました。

やった内容としては、

  • RAIDコントローラの交換(D2607→D2616-A22)
    • D2607 -> LSI SAS 2008/No Cache
    • D2616 -> LSI SAS 2108/512MB Cache
  • Memory増設
    • 24GB ECC Unbuffered -> 32GB ECC Unbuffered (8GB 増設)

併せて6.0U3を導入した環境をFujitsu Customizedありの最新である6.7Update1にバージョンを上げました。最終的にXGFが消えたこともあって、それなりに広大な領域を構成することができました。(奴は6GBほどメモリ消費をしておりましたので・・?)

ディスクパフォーマンスの向上は顕著で、結構なパフォーマンスがでています。
当面は安定重視でいきたいと思います。