FortiGate でサービスオブジェクトを作成する手順(v6.2.4)

ネットワーク

FortiGate ではポリシーを作成する際に、あらかじめ作成されたサービスオブジェクト(プロトコルとポート番号の組)を指定します。ここではそのサービスオブジェクトの作成手順について記載します。

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.2.4

サービスオブジェクトの作成

GUI での設定

GUI 画面で [ポリシー&オブジェクト] → [サービス] と選択し、アドレス画面で [新規作成] → [サービス] と選択します。

以下の新規サービス画面で各項目を設定します。

  • 名前:わかりやすい表示名を指定
  • カテゴリ:作成するサービスオブジェクトのカテゴリを指定
  • プロトコルタイプ:通常は [TCP/UDP/SCTP] を選択
  • アドレス:アドレスまたはFQDN を指定する場合は設定
  • 宛先ポート:対象のプロトコルとポート番号の範囲を指定
    • 2つ以上指定する場合は [+] をクリックすると欄が追加される
  • 送信元ポートを指定:送信元ポートを限定したい場合は有効化した上で指定(以下画像)

各項目を指定できたら [OK] をクリックします。その後、サービス画面でサービスオブジェクトが作成されていることを確認します。

CLI でのコンフィグ確認

サービスの設定に該当するコンフィグ項目は config firewall service custom です。

上で記載している設定例の通り設定した後のコンフィグは以下の通りです。

# show full-configuration firewall service custom
config firewall service custom
#略
    edit "TCP_12345"
        set tcp-portrange 12345
    next
end

# show full-configuration firewall service custom
config firewall service custom
#略
    edit "TCP_12345"
        set proxy disable
        set category ''
        set protocol TCP/UDP/SCTP
        set helper auto
        set check-reset-range default
        set comment ''
        set color 0
        set visibility enable
        set iprange 0.0.0.0
        set fqdn ''
        set tcp-portrange 12345
        unset udp-portrange
        unset sctp-portrange
        set tcp-halfclose-timer 0
        set tcp-halfopen-timer 0
        set tcp-timewait-timer 0
        set udp-idle-timer 0
        set session-ttl 0
    next
end

GUI での 宛先ポート に対応する set tcp-portrangeset udp-portrange については、ポート番号を複数指定する場合や範囲で指定する場合は以下のように表記します。

        set tcp-portrange 554 7070 8554
        set udp-portrange 1024-5000

カテゴリについては、[未分類] だと以下のように空白になります。

        set category ''

サービスグループオブジェクトの作成

複数のサービスオブジェクトをまとめたサービスグループを作成することができます。

GUI での設定

GUI 画面で [ポリシー&オブジェクト] → [サービス] と選択し、アドレス画面で [新規作成] → [サービスグループ] と選択します。

以下の新規サービスグループ画面で名前とメンバーを指定します。

  • 名前:わかりやすい表示名を指定
  • メンバー:既存のサービスオブジェクトから指定

各項目を指定できたら [OK] をクリックします。その後、サービス画面でサービスグループオブジェクトが作成されていることを確認します。[ファイアウォールグループ] 配下に表記されます。

CLI でのコンフィグ確認

サービスの設定に該当するコンフィグ項目は config firewall service group です。

上で記載している設定例の通り設定した後のコンフィグは以下の通りです。

# show firewall service group
config firewall service group
#略
    edit "WebAccess"
        set member "HTTP" "HTTPS"
    next
end

# show full-configuration firewall service group
config firewall service group
#略
    edit "WebAccess"
        set member "HTTP" "HTTPS"
        set proxy disable
        set comment ''
        set color 0
    next
end

―――――――――――――

次のステップ → FortiGate のゾーンを使用したポリシー設定について

―――――――――――――

タイトルとURLをコピーしました