作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.2.4
FortiGate の管理アクセス設定について
ここでいう管理アクセスとは、Web ブラウザでの GUI へのアクセス、SSH や Telnet での CLI へのアクセスなど、FortiGate 管理者が設定管理や機器管理のために FortiGate にアクセスすることを指しています。
- 管理アクセス設定はインターフェース毎に設定します
- 対象インターフェースの IP アドレス宛の通信について制御することになります
- 管理アクセス設定は HTTPS、SSH などのプロトコル別に設定できます
- セキュリティを意識して、不要な許可設定は行わないようにします
管理アクセス設定のデフォルト値について
インターフェースの設定項目の一つとして管理アクセス設定が存在します。各インターフェースのデフォルトの設定値は以下の通りです。
internal ハードウェアスイッチ
デフォルトで存在する、internal インターフェースをまとめた internal ハードウェアスイッチについては以下の通りです。
- HTTPS
- HTTP
- PING
- FMGアクセス
- Security Fabric Connection
internal ハードウェアスイッチから internal インターフェースを切り離した場合、その切り離したインターフェースのデフォルト設定については以下の通りです。
- 管理アクセス許可なし
wan インターフェース
wan インターフェースについては以下の通りです。
- PING
- FMGアクセス
dmz インターフェース
dmz インターフェースについては以下の通りです。
- HTTPS
- HTTP
- PING
- FMGアクセス
- Security Fabric Connection
CLI での管理アクセス設定方法について
CLI で設定する場合は、インターフェースの設定項目に該当する config system interface
で設定します。管理アクセスに該当する設定項目は set allowaccess
です。
config system interface
edit "インターフェース名"
set allowaccess <許可するプロトコルを"すべて"列挙>
next
end
例えば internal1 インターフェースで ping、https、ssh を許可する場合は以下のコマンドで設定します。
config system interface
edit "internal1"
set allowaccess ping https ssh
next
end
注意として、例えば ssh を追加的に設定したい場合に以下のコマンドで設定すると、ssh のみ許可する状態になってしまいます。
config system interface
edit "internal1"
set allowaccess ssh
next
end
追加的に設定したい場合でも、許可するすべてのプロトコルを列挙するようにしてください。
設定可能なプロトコル一覧
# set allowaccess
ping PING access.
https HTTPS access.
ssh SSH access.
snmp SNMP access.
http HTTP access.
telnet TELNET access.
fgfm FortiManager access.
radius-acct RADIUS accounting access.
probe-response Probe access.
fabric Security Fabric access.
ftm FTM access.
TELNET 接続のアクセス許可設定について
TELNET が許可されていない状態だと GUI では TELNET の設定項目が表示されませんが、CLI で設定を行うことができます。
TELNET が許可されている状態だと GUI 上でも TELNET の設定項目が表示されます。
各管理アクセスプロトコルについて
- HTTPS
- FortiGate GUI への安全な HTTPS 接続を許可します
- HTTP
- FortiGate GUI への HTTP 接続を許可します
- HTTPS が有効になっている場合にのみ有効にできます
- PING
- PING に応答するようになります
- インターフェースへの疎通確認を行う場合などに有効にします
- FMG-Access
- FortiManager と FortiGate デバイス間の通信交換中に FortiManager の認証を自動的に許可します
- FortiManager による管理を行う場合は有効にします
- SSH
- CLI への SSH 接続を許可します
- TELNET
- CLI への TELNET 接続を許可します
- SNMP
- リモート SNMP マネージャーからの SNMP クエリに応答するようになります
- SNMP による管理を行う場合は有効にします
- FTM
- FortiToken Mobile Push(FTM)アクセスを許可します
- RADIUS Accounting
- このインターフェイスで RADIUS アカウンティング情報を許可します
- Security Fabric Connection
- Security Fabricアクセスを許可します
- これにより FortiTelemetry と CAPWAP が有効になります
参考資料
―――――――――――――