【FortiGate】各種管理アクセスの許可設定を行う方法について

ファイアウォール(UTM)

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.2.4

FortiGate の管理アクセス設定について

ここでいう管理アクセスとは、Web ブラウザでの GUI へのアクセス、SSH や Telnet での CLI へのアクセスなど、FortiGate 管理者が設定管理や機器管理のために FortiGate にアクセスすることを指しています。

  • 管理アクセス設定はインターフェース毎に設定します
    • 対象インターフェースの IP アドレス宛の通信について制御することになります
  • 管理アクセス設定は HTTPS、SSH などのプロトコル別に設定できます
  • セキュリティを意識して、不要な許可設定は行わないようにします

管理アクセス設定のデフォルト値について

インターフェースの設定項目の一つとして管理アクセス設定が存在します。各インターフェースのデフォルトの設定値は以下の通りです。

internal ハードウェアスイッチ

デフォルトで存在する、internal インターフェースをまとめた internal ハードウェアスイッチについては以下の通りです。

  • HTTPS
  • HTTP
  • PING
  • FMGアクセス
  • Security Fabric Connection

internal ハードウェアスイッチから internal インターフェースを切り離した場合、その切り離したインターフェースのデフォルト設定については以下の通りです。

  • 管理アクセス許可なし

wan インターフェース

wan インターフェースについては以下の通りです。

  • PING
  • FMGアクセス

dmz インターフェース

dmz インターフェースについては以下の通りです。

  • HTTPS
  • HTTP
  • PING
  • FMGアクセス
  • Security Fabric Connection

CLI での管理アクセス設定方法について

CLI で設定する場合は、インターフェースの設定項目に該当する config system interface で設定します。管理アクセスに該当する設定項目は set allowaccess です。

config system interface
    edit "インターフェース名"
        set allowaccess <許可するプロトコルを"すべて"列挙>
    next
end

例えば internal1 インターフェースで ping、https、ssh を許可する場合は以下のコマンドで設定します。

config system interface
    edit "internal1"
        set allowaccess ping https ssh
    next
end

注意として、例えば ssh を追加的に設定したい場合に以下のコマンドで設定すると、ssh のみ許可する状態になってしまいます。

config system interface
    edit "internal1"
        set allowaccess ssh
    next
end

追加的に設定したい場合でも、許可するすべてのプロトコルを列挙するようにしてください。

設定可能なプロトコル一覧

# set allowaccess
ping              PING access.
https             HTTPS access.
ssh               SSH access.
snmp              SNMP access.
http              HTTP access.
telnet            TELNET access.
fgfm              FortiManager access.
radius-acct       RADIUS accounting access.
probe-response    Probe access.
fabric            Security Fabric access.
ftm               FTM access.

TELNET 接続のアクセス許可設定について

TELNET が許可されていない状態だと GUI では TELNET の設定項目が表示されませんが、CLI で設定を行うことができます。

TELNET が許可されている状態だと GUI 上でも TELNET の設定項目が表示されます。

各管理アクセスプロトコルについて

  • HTTPS
    • FortiGate GUI への安全な HTTPS 接続を許可します
  • HTTP
    • FortiGate GUI への HTTP 接続を許可します
    • HTTPS が有効になっている場合にのみ有効にできます
  • PING
    • PING に応答するようになります
    • インターフェースへの疎通確認を行う場合などに有効にします
  • FMG-Access
    • FortiManager と FortiGate デバイス間の通信交換中に FortiManager の認証を自動的に許可します
    • FortiManager による管理を行う場合は有効にします
  • SSH
    • CLI への SSH 接続を許可します
  • TELNET
    • CLI への TELNET 接続を許可します
  • SNMP
    • リモート SNMP マネージャーからの SNMP クエリに応答するようになります
    • SNMP による管理を行う場合は有効にします
  • FTM
    • FortiToken Mobile Push(FTM)アクセスを許可します
  • RADIUS Accounting
    • このインターフェイスで RADIUS アカウンティング情報を許可します
  • Security Fabric Connection
    • Security Fabricアクセスを許可します
    • これにより FortiTelemetry と CAPWAP が有効になります

参考資料

Interface settings | Cookbook

―――――――――――――

タイトルとURLをコピーしました