FortiGate 無料ハンズオン[4]: ファイアウォールポリシーを設定しよう

ファイアウォール(UTM)

このハンズオンについて

誰でも無料で使用できる FortiGate の仮想アプライアンスである FortiGate VM の評価ライセンスを使用して、FortiGate の実践的な学習をしていこうという講座です。

今回は、FortiGate でポリシーを設定して動作確認してみます。

作業環境

  • FortiGate VM 7.0.5
  • VMware Workstation Player 16.2.3
  • VMware ESXi 7.0.3

今回の実施内容

前回の ハンズオン[3]: 試験用の Windows 10 仮想端末をつくろう まで実施している場合、仮想ネットワーク環境は以下画像のようになっているはずです。

今回はホストオンリーネットワーク内に存在する Windows 10 仮想端末からインターネットへの Web アクセスを許可するポリシーを FortiGate に設定してみます。

ポリシーの設定

設定するポリシーの内容

ここでは以下の内容のポリシーを設定することとします。

ポリシーの内容
  • 送信元 IP: ホストオンリーネットワークのセグメント
  • 着信インターフェース: port2(ホストオンリーネットワークに接続するポート)
  • 宛先 IP: ALL(インターネット向けのためすべての IP)
  • 発信インターフェース: port3(インターネット向けのポート)
  • サービス: DNS、HTTP、HTTPS
  • NAT: 発信インターフェースの IP で送信元 NAT(オーバーロード)

アドレスオブジェクトの作成

ポリシー設定で IP アドレスを指定する際には、アドレスを直接入力するのではなく、あらかじめ作成しておいたアドレスオブジェクトを指定します。

そのため、まずホストオンリーネットワークのセグメントに該当するアドレスオブジェクトを作成します。

アドレスオブジェクトの作成は [ポリシー&オブジェクト > アドレス] 画面の [新規作成] から行います。

以下の新規アドレス画面が表示されるため各項目を設定します。

  • 名前: 任意のオブジェクト名を入力
  • カラー: 必要に応じて表示色を指定
  • タイプ: サブネットを指定
  • IP/ネットマスク: ネットワーク/マスク長を指定(マスク長の代わりにサブネットマスクでも可)
    • 設定する値は自分の環境のホストオンリーネットワークのセグメントに合わせてください
  • インターフェース: 指定したアドレスに接続するポートを指定(ここでは port2)
  • スタティックルート設定: OFF(これは基本 OFF と考えて良いです)
  • コメント: 必要に応じてコメントを入力

設定後、オブジェクトのリストに作成したオブジェクトが表示されていることを確認します。

サービスオブジェクトの確認

ポリシー設定でサービスを指定する際にも、直接ポート番号などを入力するのではなく、あらかじめ作成しておいたサービスオブジェクトを指定します。

ここでは DNS、HTTP、HTTPS をポリシーに設定したいため、これらのオブジェクトを作成する必要があるのですが、デフォルトで作成されているオブジェクトとしてこれらは存在します。

さらに、DNS、HTTP、HTTPS がグループ化された Web Access というサービスグループオブジェクトがデフォルトで存在するため、今回のケースではサービスオブジェクトを作成する必要はありません。

ポリシーの設定

アドレス・サービスオブジェクトの準備ができたらポリシーを作成します。

ポリシーの作成は [ポリシー&オブジェクト > アドレス] 画面の [新規作成] から行います。

新規ポリシー設定画面が表示されるため、各項目を設定していきます。

まず基本情報は以下のように設定します。

  • 名前: 任意のポリシー名を入力
  • 着信インターフェース: ホストオンリーネットワークにつながる port2 を指定
  • 発信インターフェース: インターネットにつながる port3 を指定
  • 送信元: ホストオンリーネットワークのセグメントに該当するアドレスオブジェクトを指定
  • 宛先: インターネット宛を対象にしたいため all を指定
  • スケジュール: always を指定
  • サービス: Web Access(DNS、HTTP、HTTPS のサービスグループ)
  • アクション: 許可を指定
  • インスペクションモード: フローベースを指定
    • プロキシベースはセキュリティプロファイルを使用する場合に使用します

[ファイアウォール / ネットワークオプション] では NAT の設定ができます。今回は発信インターフェースのアドレスで送信元 NAT(オーバーロード)をしたいため、NAT を有効にして、IPプール設定は [発信インターフェースのアドレスを使用] を指定します。その他はデフォルトのままとします。

セキュリティプロファイルについては使用しないため、デフォルトの OFF のままとします。

ロギングオプションについては、通信試験時にログ確認をしたいため [許可トラフィックをログ] を [すべてのセッション] に変更します。その他はデフォルトのままとします。

以上の設定ができたら画面下の OK をクリックしてポリシーを作成します。

ポリシー作成後、ポリシーリスト内にポリシーが追加されたことを確認します。

通信試験

ポリシーの設定ができたら通信試験をしてみます。

ホストオンリーネットワークに構築した Windows 10 仮想端末からブラウザでインターネットへの Web アクセスができることを確認します。

Windows 10 仮想端末の IP アドレス設定については、前回の ハンズオン[3]: 試験用の Windows 10 仮想端末をつくろう にて以下画像のように、FortiGate をデフォルトゲートウェイとするよう設定しました。

Windows 10 仮想端末にてブラウザを開き、当ブログ「https://nwengblog.com」にアクセスしてみます。

以下のようにアクセスに成功することを確認してください。

ポリシー適用状況の統計・トラフィックログの確認

対象ポリシーの設定画面の右にある統計情報欄で、アクティブセッション数やヒット数などを確認でき、その数値が上昇していることによってポリシーが適用されていることを確認できます。

[ログ&レポート > 転送トラフィック] 画面にて、トラフィックログを確認できます。

以下のように、ログ毎に適用されたポリシーの名前が表示されるため、どのポリシーが適用されて通信が許可されたのかを確認できます。

【参考】ポリシーの適用順序について

FortiGate に限らず、ファイアウォール機器においてはポリシーの適用順序が重要になってきます。許可ポリシーと拒否ポリシーが混在しているときは特に注意が必要です。

詳しくは以下の記事に記載しているため、興味がある人は確認してみてください。

今回のハンズオンは以上です


タイトルとURLをコピーしました