Ports freischalten Foritgate 60C

Liebe Community!

Wir sind im Besitz der Adobe Creative Suite und darüber laufen auch sämtliche Download der Adobe Softwarepakete.
Diese dauern ewig und brechen immer wieder ab d.h. Installation unmöglich.
Nun vermute ich, dass die Firewall da etwas blockiert und habe im Internet nach zu freischaltenden Ports recherchiert und wollte diese nun freischalten.

Am Heimrouter hakt man einfach die zu freischaltenden Ports an und fertig.
Auf der Firmenfirewall "Fortigate 60C" gibt es natürlich die Port Forwarding Funktion, welche mir aber gerade nicht ganz weiterhilft.

Ich möchte einfach Ports zu einer Adobe Site (nicht IP) freischalten:
ccmdl.adobe.com:80
swupmf.adobe.com:80
swupdl.adobe.com:80

Wenn ich IP extern auf IP intern mit Port 80 auswähle ist das ja schon bei einem anderen Forwarding vergeben und geht nicht.

Vielleicht stehe ich gerade auf der Leitung und finde es nicht, ist ja ein eigentlich leichter Schritt.
Wie ist hier vorzugehen, dass ich das freischalte?

Vielen Dank im Voraus!

Ähm Port 80 ist der Port für HTTP und der ist immer offen... wie solltest du sonst surfen?!

Wie r0ck3r schon sagt, Port 80 ist auf jeden Fall frei, da dies der http-Port ist!
Nutzt Ihr evt. einen Http-Proxy mit Filterregeln? Dann musste die angegebenen adobe.com Url´s dort whitelisten.

Es kann durchaus sein, dass eine Firewall den http Traffic nicht durchlässt. Also pauschal unterstellen sollte man das hier nicht Zum Beispiel könnte man im Regelwerk definieren, dass weder ausgehend noch eingehend http Traffic für eine bestimmte Gruppe zugelassen wird.

Ich kenne das von meiner Checkpoint, dass du das Regelwerk spezifischer machen musst, oder die Reihenfolge anpassen musst.

Z.B. die spezifischere Regel
Source (adobe) destination (Clientpc) Services http
vor die Regel
Source(*) Destination (xyz) Services http

Ich kenne es so, dass das Regelwerk als letzte Regel die "ich verbiete alles" Regel hat. Er durchläuft also das Regelwerk von oben nach unten bis eine passende Regel gefunden wird. Grundsätzlich ist ein "Portforwarding" auch auf mehrere Ziele möglich, sofern man es entweder in einer Regel gemeinsam durchführen kann, oder die Regel spezifisch genug sind.

Bietet die Fortigate denn keinen Monitor, in dem du selektieren kannst nach Quelle, oder Ziel, oder Dienst, oder erfolgreich/gescheitert,... Dort könntest du ja erstmal schauen ob es ein Problem der Firewall ist.

Grüße

Genau Service Policy anstatt Port Forwarding wars.
Habe ich nun wie im Anhang zu sehen durchgeführt und wollte nachfragen ob die Werteinstellung wie z.B. Webacces, TCP etc. so passen oder etwas anders gehört?
Die Downloads sind nämlich noch immer zu langsam und brechen immer wieder ab.

Ich denke das Prinzip passt, nur 1-2 Werte gehören anders definiert.

Und *.adobe.com \443 wird der * nicht akzeptiert von der Firewall, da keine IP oder FQDN

Greetz

Also ich würde trotzdem im Monitor schauen, was bei der Firewalls los ist, wenn die Downloads so problematisch sind. Solange die Fortigate kein IDS System aktiv hat und eine reine Firewalls ist, gibt es eigentlich nur 2 mögliche Zustände. Entweder die Verbindung wird aufgebaut, oder nicht. Spät abbrechende Downloads passen nicht in die Funktionsweise der Firewall eher in den Bereich IDS.

Was ich noch sehe, dass die CPU Auslastung der Firewall auf 100% geht, währendem ich über Adobe etwas runterladen möchte.
Bzgl. IDS, denke ich meinst du die Sicherheitsfeatures wie z.B. Applicaiton Control. Web Filter etc. der Firewall - diese sind aktiv - siehe Anhang
...habe sie zum Test nun deaktiviert und dennoch steigt die CPU Auslasung auf 100% und beim Download geht nichts weiter (2% nach 10min).

Im Monitor fand ich außer bei Policy Monitor keine Einträge - muss ich das Logging wo aktivieren?

Mhm, weiß echt nicht was da Schuld ist...