Fortigate60Dの使用方法について。

よろしくお願いします。
社員10名ほどの事業をしておりまして、
フレッツ光の1ギガプラン(ISP、OCN)で、
インターネットを利用しています。
(PPPoE接続)
ONUの配下にタイトルのF60Dをつけ、
そこにISP情報を入れ、ルータ機能と
アンチウイルス機能を同時に動作させています。

ただ速度が体感的に遅く、いろいろ相談したところ
ルータ機能はルータを購入しそこでおこない、
(ISP情報もそこに入力)
F60Dはアンチウイルス機能だけにし、
ルータ機能、アンチウイルス機能、
別々の機器で動作させた方が良いのではないか、
と言われました。
それで良いのか、または単にスペック不足なのか、
詳しい人の見解を教えて頂きたく思います。

またあたりをつけている何個かのルータのスペックを見ているのですが、F60DのCPUがわかりません。
(スループットの記載はファイアウォールスループットというのがありそれかと)
ご存じでしたら教えてください。

よろしくお願いします。

質問者からの補足コメント

• 詳しくなくてすいません。。
  IPoEはわかりますが、AVとはどんな略でしょうか。

  No.1の回答に寄せられた補足コメントです。 補足日時：2022/01/27 23:01

• 

  ありがとうございます。
  つまりF60DにV6プラスオプションの設定が出きるということですね。
  v6プラスというのはオプションで合った気がするので聞いてみます。
  
  すいません、もう少しお話しさせてください。
  このF60Dの配下にWi-Fiがついています。
  規格はac.axまで対応した最新機種です。
  更にその配下に防犯カメラをつけようと
  思っています。
  防犯カメラの現地調査にはきてもらい、
  F60Dでいくつかポート開放することにより
  画像(動画)がみれるようになりました。
  
  「ONU-F60D-wifi-カメラ」みたいになります。
  (この状態で現地調査をして画像が見れました)
  IPoE接続にした場合、何か気になるところは
  ありますか。(ポート開放とか)
  カメラはIPv6には対応していません。
  (IPv4 over IPv6でいけるのか、とも思っています。)

  No.3の回答に寄せられた補足コメントです。 補足日時：2022/01/29 14:48

No.1 ベストアンサー 回答者： wellow 回答日時： 2022/01/27 21:21

PPPoE自体はFGでやってもHGWでやっても同じ。

HGWでPPPoEターミネイトしても、直列接続されたFGでAVをするのだから、何も変わらない。

先ずは、ロスの大きいPPPoEをIPoEにすること。これで大体はレスポンス改善になる。OCNのIPoEはMAP-E系統だから、FGに設定するのは面倒かもしれない。そうであれば、HGWを追加で契約すること。

FGのAV仕様には詳しくないのだけど、FG自体がFortigate社からアクセスされる公開サーバである必要があるなら、IPoEはポート解放がほぼ絶望的だからやめたほうが良いかも。DS-LITEでよく見るのは1,024個のポート番号使い回し、MAP-Eでは240個のポート番号使い回し。

FGのCPUというか処理チップはFortigate社設計の専用ASICです。ネットワークチップは大筋世界の数社しかないので、どこのどんな製品でもそうそう変わりません。

この回答へのお礼

いろいろありがとうございました！
また機会がありましたら、よろしくお願いします。

お礼日時：2022/02/01 15:41

No.4 回答者： wellow 回答日時： 2022/01/29 15:23

＞つまりF60DにV6プラスオプションの設定が出きるということですね。

＞v6プラスというのはオプションで合った気がするので聞いてみます。

何にせよMAP-E系列のものであれば、基本的な通信仕様は共通なはず。それを担保できないから独自規格でしょうから、繋がらないはず。

＞「ONU-F60D-wifi-カメラ」みたいになります。

FG-60Dのwan1ポートに設定されたグローバルIPを、内部のIPにNATしているのですね。グローバルIPが固定であれば良し、そうなければ一々調べるか（もしくは変わっていないことを確認する）、DDNSに登録されるんでしょう。現状はPPPoEですから、ポートのマッピングは容易です。カメラにTCP/80だって割り当てられる。

でもMAP-Eになると、自身に割り当てられたIPv6アドレスの「----:----:----:XX--::/64」部分を使い、aXXb（16進数）、a=1～F、b=0～Fのポートしか使えません。この計算によって得られるポート番号には80とか443は存在しないので、例えばカメラ側で待ち受けポート番号を上述の割り当てポート番号の範囲を変えないとなりません。
うちの例ではいえば、XXは9dなので、6608-6623、10704-10719、14800-14815、18896-18911、22992-23007、27088-27103、31184-31199、35280-35295、39376-39391、43472-43487、47568-47583、51664-51679、55760-55775、59856-59871、63952-63967が開けられるポートです。

No.3 回答者： wellow 回答日時： 2022/01/29 13:27

FGでのv6プラスの設定がありました。

https://www.fortinet.com/content/dam/fortinet/as …

forti-avの概要はこれですが、概要過ぎて意味を為してない。

https://www.fortinet.com/jp/support/support-serv …

個人的には侵入対策、DoS対策としてはIDS/IPSで、メールセキュリティやWebアクセスはエンドポイントにAVソフトを入れた方が良いんじゃないかと思っています。中継経路での検知は、①暗号化されていると検知できない、②多段圧縮されているとアプライアンスは対応できない、とかの課題がありますし、アプライアンスに全てのクライアント側のサンドボックスが用意されている訳でもないので、安くやるにはエンドポイントかな、と思う次第です。

もちろんお金をかけれるのであれば、SASEプロバイダと契約して、全ての通信がそこを通るようにして対策させてしまうという手もあります。クライアントのログも詳細に取れますし、身内のビヘイビアな振る舞いも検知できます。

No.2 回答者： wellow 回答日時： 2022/01/27 23:03

AVはAnti-Virusの略語です。