事務所でUTMファイアウォールが買えない?ならAD-Guard DNSはどう?

-
 FortiGateやUTXを導入したくててもライセンス費用が。というとき、AD-Guard DNSはどうでしょう。

「FG40F」だとライセンスだけで年間10万円、「UTX100」だと年間7万円。 これが1拠点だけならいいのですが本社と支店で数拠点あると、かける拠点数の費用です。
国産メーカーの雄バッファローの「VR-U500X」が年間2万円と手ごろですね。

でももし、Windows-PCの保護だけなら、AD-Guard DNSも候補にいれてもいいかもしれません。なんといっても安いです。パーソナルプランだと年間3,000円からです。おまけに、広告ブロックを付けられます。(ON/OFF可)




AD-Guard DNSができることとできないこと
 できること
 DNSフィルタリングで名前ベースでPCや機器の通信先をブロック
 Androidスマホの広告まみれを防げる

 できないこと
 ルータを通る通信の行き先でIPベースで危険な行き先をブロック。


IoT機器に感染するウィルスはDNSを使わずIPで直接通信するものもあるのでDNSフィルタだけでは役不足ですが、何もないよりはぜんぜんいいでしょ?

ほかにはネットワークに新しい機器を加えなくても導入できるのもメリットです。


1.どのプランにするか?
プランの違いは、主に一か月のアクセス数です。ご家庭や2~3人の小さな事務所なら無料プランでもよさそうですが、IT系自宅勤務や数人の事務所なら約3千円のパーソナルプランにしましょう。それ以上なら約2万円のチームプランもありますがもしそうなら安価な国産UTMも検討できるかもしれません。ちなみに私の家では1日5万クエリ程度、1か月だと150万クエリになってパーソナルプランです。パーソナルプランは1000万クエリまでですのでまだまだ余裕があります。
 
2.サインアップ
無料プラン「今すぐ試してみる」をクリックします。


アカウントを作成します。
個人を選択し

プランを選びます。30日の試用期間付き年間2,900円のパーソナルプランの試用を始める。が表示されます。その下の「スキップ」を押すと無料プランになります。プランはどちらでも。

申し込みが完了するとダッシュボードが表示されます。管理はこの画面から行います。
これは無料プランの画面です。無料プランだとリクエスト数の最大は30万、デバイスは最大5台、サーバーは最大2台です。

デバイスとかサーバーという表現が少しわかりにくいので説明していきます。
リクエスト数は、DNSを引いた回数です。
デバイスは接続する機器の台数です。ルータを接続することも、PC個別やAndroid端末個別で接続することもできます。今回ルータを接続します。ルータが1台ならデバイス数は1です。
サーバーは、今回決めるルールの数です。たとえば事務所にルータが2台あって、事務所用とゲストWiFi用の2つのルールを個別に決めるならサーバーが2になります。ルーターが2台でも同じルールで運用するならサーバーは1のままです。

3.「デバイスを接続する」をクリックしてルータをAD-Guard DNSにつなぎます
AD-Guard の会社側から、こちらのルータを識別させる作業です。海外メーカーのルータはリストにありますが、バッファローやヤマハはありませんので、「その他」とします。

 デバイスタイプ:ルーター
 デバイスのメーカー:その他
 デバイス名:MyRouter(好きな名前)


こちらのルータを識別させる方法は主に次の3つです。
・固定IPv4アドレス・・・・・固定IPプロバイダ契約があるときおすすめ。
・ダイナミックDNS・・・・・PPPoE系プロバイダで各社ルータのおすすめ。
・IPv6でDNSクエリする・・・IPoE系プロバイダでヤマハルータのおすすめ

固定IPプロバイダや、PPPoEのプロバイダでちょっとお試しでというときは、この「IPアドレスをリンクする」をクリックすると自分の使っているルータのIPv4アドレスで認識されます。
PPPoEで動的IPのときは、ここで一度デバイス接続した後、ダイナミックDNSベースにここから変更もできますので安心してください。ダイナミックDNSはIPv4だけです。

もしIPoE系プロバイダで、ヤマハルータを使っている時はルータにこの「専用IPv6アドレス」をDNSサーバとして設定するだけです。(*1) IPoE系の動的IPv4プランだとIPv4アドレスをシェアしていますのでIPv4は使わないほうがいいかと思います。

詳しい接続の仕方はこのページの説明で何とか・・・しましょう。

4.ルータを2台接続したダッシュボードがこちら
これはわたしの「パーソナル」プランのダッシュボードです。外出時用にスマホにアプリを入れてスマホ自身も登録していますのでデバイスは3台になっています。




5.フィルタルールを設定します
「サーバー」>「Default」と進みます。「Default」はこの画面に最初から用意されているものです。

ここから「サーバー」という単位でルールを個別に設定できます。

・ブロックリスト:「AD Guard DNSフィルタ」
・セキュリティ:「フィッシング、詐欺、悪質ドメインをブロック」
・ペアレンタルコントロール:「アダルト系サイトをブロックする」のほか、「カテゴリごとにウェブサイトをブロックする」から出会い系など、一般的なUTMのWebコンテンツフィルタと同じように制御できます。

事務所などなら、「AD Guard DNSフィルタ」は外したいと思うかもしれません。

以上です。


設定例

ヤマハRTXやNVRシリーズでIPoEプロバイダの時

ルータの使用するDNSサーバをAD-Guard DNSの専用IPv6アドレスに設定すると、DNSの利用とルータの登録が同時に完了します。
 
 ヤマハルータの追加コマンド設定
 dns server 2a10:50・・・・ 2a10:50・・・・
 
AD-Guard DNSのダッシュボードでルータ登録時に(*1)で表示される「専用IPv6アドレス」です。ほかのdns server行は削除します。もしdns server select行があればそれも削除します。

コメント

コメントを投稿

このブログの人気の投稿

OfficeのISOダウンロード直リンク

-
Outlookの動作検証用に、各バージョンのOfficeのISOインストーラが必要になりました。以下のMicrosoftサイトのリンクからISOファイルをダウンロードできます。 どれも試用版ではなくリテール製品版です。認証しないでインストールする場合は、5日間試用できるようでした。助かりました。   検証の結果ですが2016以降のバージョンだと、Outlookはどのバージョンのものをインストールしても、もちろんインストール直後のアップデート前の挙動は当然違うのですが、 しばらく放置してアップデートがかかると結局全部同じバージョンの最新版になることがわかりました。Office365のOutlookも同じです。いやほんとびっくりです。そういうものなんですね。 途中までリンクは同じで、最後をProPlus2024Retail.img とか ProPlus2021Retail.img とかすれば落ちてきます。将来バージョンが上がっても同じでいけそうです。 Office 2024 ProPlus https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2024Retail.img https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2024Retail.img Office 2021 ProPlus https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/ja-jp/ProPlus2021Retail.img https://officecdn.microsoft.com/db/492350f6-3a01-4f97-b9c0-c7c6ddf67d60/media/en-us/ProPlus2021Retail.img Office 2019 ProPlus https://officecdn.microsoft.com/pr/492350f6-3a01-4f97-b9c0-c7c6ddf...
続きを読む

FortiGateシリーズ 40F/50E/60E/60F/80F/90E/100E/100F/200FのCPU

-
イメージ
FortiGate使いやすくていいですね。でも機種選定するときメーカー公表のファイアウォールスループットだけでは、性能差がわかりにくいんですよね。サイジング難しい。 カタログ値だと50Eと60Eで同じだし。CPUとメモリはどうなってるの?と確認しようと思っても書いてない。。。。 というわけで実機にあたって調べてみたのがこれ。 機種 カタログ FWスループット ASIC CPU コア数 メモリ 40F 5Gbps SOC4 ARMv8 4コア 1918MB 50E 3Gbps なし ARMv7 2コア 2024MB 60E 3Gbps SOC3 ARMv7 4コア 1866MB 60F 10Gbps SOC4 ARMv8 8コア 1919MB 80F 10Gbps SOC4 ARMv8 8コア 3718MB 90E 4.0Gbps なし Atom C2338@1.74GHz 2コア 2010MB 100E 7.4Gbps SOC3 ARMv7 4コア 3039MB 100F 20Gbps SOC4 ARMv8 8コア 3616MB カタログ数値だけだと50Eも60Eも90Eも変わらなそうでしたがCPUが50Eは2コアなのが60Eは4コアに加えてASICも積んでるし! 90EのCPUはAtomの2コアでSOCなしってことはCPUパワーだけでゴリゴリするマッチョな機種。100Eは60Eと構成同じ。。。と興味深いです。世代が変わると60Fはいきなり8コア。100Eのスペック越えてきたけどホントかな。ルータやFWってカタログ値では劣る上位機種の方がやっぱりCPU性能が良くてトラブル発生時や高負荷に耐えられるとかままあるのでカタログ数値だけ鵜呑みにするのは危険だよね。高スループットは専用チップで負荷がオフロードされる時というのを忘れないようにします。 200FもXeonだ!!!D-1627 90Eまではランチボックス形状でファンレス。100Eからはラックマウントでファン付きです。100Eは結構ファン音しますからサーバ室に設置必須です。一方新しい100Fのファンはさすが静音化していて起動が完了するとファン音はほぼ聞こえなくなっています。これなら事務室にも置けますよ。90Eはあっとい...
続きを読む

ネクストのIPv6網内折り返し通信で高速VPN

-
(2021/04/08 ネクストをとりまく状況も変わっていますので書き直しました)  ネクストでは半固定で割り当てられるIPv6アドレスの網内折り返し通信が可能です。西日本では「v6オプション」の申込みが必要だったのが2021年5月11日の新規開通分からはデフォルト有効になり申込みの必要も無くなります。東日本では以前からデフォルト有効。 IPv6アドレス半固定 というのが若干問題 ですが最近のRTXシリーズではFQDNで張れば大丈夫です。 別途ダイナミックDNSを登録してFQDNでVPN、、、という記事もありますが、NTT西日本のサイトをよく読むと「v6ネーム」はIPv6アドレスが変わっても追従すると書いています。うちでも、ひかり電話を契約したり解約したり、IPv6プロバイダーを契約したり解約したり別のプロバイダーからもらい直したりを繰り返しそのたびにIPv6アドレスが変わりましたが、ちゃんと追従してくれていました。安心して「v6ネーム」を使って大丈夫。 以下はいまさらデフォルトゲートウェイがPPPoE設定ですが、汎用性があるということでそのまま残しておきます。いまうちで実際に運用サポートしているユーザ企業は、IPoEプロバイダーと固定IPv4の契約をしてIPv6とIPv4のVPNを2重化する構成で自動切り替え設定もしていますがまたそれは別途。良ければ声をかけてください。 Luaスクリプトの動くヤマハでないとIPoE系プロバイダで固定IP使えないし、古いRTXはこの際一掃して現行モデルを使います。今買うならRTX830/RTX1210。RTX1200もいい機種でしたがEMFS(メモリファイルシステム)使えないからlua入れるのが面倒だしそろそろメインからは引退。 RTXの設定 対向拠点の設定は192.168.1を192.168.0に入れ替えるだけで同じ。ひかり電話なし契約IPv6はRAです。ひかり電話があってもホームゲートウェイのLANポートに接続するのでこの例で大丈夫です。テストではホームゲートウェイの型番が400シリーズ以降なら速度低下はないようです。ひかり電話オフィスは別途。 <IPv4LAN関係> ip route default gateway pp 1 ip lan1 address 192.168.1.1/24 ip rout...
続きを読む