はじめに
FortiGate は米国 Fortinet 社製のファイアウォール(UTM)です。
ファイアウォールは主に内部ネットワークと外部ネットワークの境界に設置され、
- 外部ネットワークからのサイバー攻撃を遮断する
- 内部から外部の有害サイトへのアクセスを遮断する
- ゾーン間での通信を制限してウイルスの拡散を防止する
など、セキュリティを高める目的で設置されます。
型番(モデル)について
処理能力などの性能やポート数などが異なる複数の型番(モデル)があります。
一般的には導入先のネットワークの規模に合わせて型番が選定されます。
型番は「FortiGate ○○▲」となっています。
- ○○の部分 → 数字が入ります。値が大きい方が高性能になります。
- ▲の部分 → D,Eなどのアルファベットが入ります。辞書順で後ろに行くほど新しい型になります。
型番例
- FortiGate 50E
- FortiGate 100E
- FortiGate 200E など
ライセンスについて
ライセンスモデルは主に以下の3種類があります。いずれも1年毎(または契約年数毎)に更新する必要がありますが、ベース機能はライセンスが切れても使用できます。
ベースモデル
ファイアウォール機能と VPN 機能などのベース機能のみ使用できます。
200E 以上の型番であれば、オプションでアンチウイルス機能、アンチスパム機能、Web フィルタリング機能、IPS 機能を個別に追加することも可能です。
バンドルモデル
ベースモデルの機能に加えて、アンチウイルス機能、アンチスパム機能、Web フィルタリング機能、IPS 機能が含まれます。
機器ベンダによっては「UTM プロテクション」などと呼ばれている場合もあります。
Enterprise バンドルモデル
バンドルモデルの機能に加えて、セキュリティレーティング、FortiCASB、Industrial Security などが含まれます。
ユーザのセキュリティポリシーにもよりますが、小規模ネットワークにおいてはベースモデルを採用しているケースが多いのではないかと思います。
※Fortinet 社公式の各バンドルライセンスの内容は以下ページで確認できます。
ライセンスのアクティベーションについて
ライセンスについては、クラウド上のサーバ(FortiGuard)で管理されているため、FortiGate をインターネット接続できる環境で動作させるだけで自動でクラウド上の管理サーバと同期してアクティベーションされます。
ファームウェアについて
FortiGate では FortiOS というファームウェアが使用されています。
FortiGate ではファームウェアのバージョンによって使用可能な機能や設定方法が異なる場合があるため、設定対象機器のファームウェアバージョンと参考にしようとしている情報が対象にしているファームウェアバージョンには注意しておくと良いと思います。
ファームウェアのバージョンアップについて
ファームウェアのバージョンアップを行う方法は以下の 2 つがあります。
- ファームウェアファイルを FortiGate へアップロードして行う
- ファームウェアファイルは機器ベンダから入手する必要があるため、ベンダとのサポート契約が必要です
- ファームウェアをクラウド上の FortiGuard からダウンロードして行う
- ファームウェアファイルを FortiGuard からダウンロードするためには FortiGate のベースライセンスが必要です
設定方法について
FortiGate を設定する方法としては以下の2つがあります。
GUI を使用する方法
対象 FortiGate にブラウザで http アクセスして、ブラウザ上の管理画面で設定する方法です。
直感的に設定できて比較的わかりやすいですが、設定できる項目が限定されます。
CLI を使用する方法
対象 FortiGate にコンソール接続または telnet/ssh 接続して、TeraTerm などを使用してコマンドベースで設定する方法です。
GUI よりもより細かい設定が実施できたり、機器の様々な状態の表示ができたりします。
コンフィグテキストの流し込みによって設定をまとめて実施することも可能です。
CLI とコンフィグについて
CLI で使用するコマンドは様々ありますが、ベースとなるコマンドは以下があります。
config Configure object.
get Get dynamic and system information.
show Show configuration.
diagnose Diagnose facility.
execute Execute static commands.- config ○○ → ○○項目の設定をするときに使用
- get ○○ → ○○項目の状態に関する情報を取得するときに使用
- show ○○ → ○○項目の設定を表示するときに使用
- diagnose ○○ → ○○項目の状態に関する情報やログを取得するときに使用
- execute ○○ → ○○を実行するときに使用
「show」コマンドを実行すると現在の階層の設定一覧が表示されます。
CLI で設定する場合の流れとしては
- 「config ○○」で設定したい項目の階層に移動
- 「set ○○」で詳細項目の値を設定
- 「end」で設定項目の階層から抜ける
という流れになります。
またコンフィグの階層としては大体は
- config ○○
- set ○○
または
- config ○○
- edit ○○
- set ○○
- edit ○○
のような構造となっていますが、設定項目によっては階層がより多くなっている場合もあります。
ちなみに Cisco 機器のように、設定後に write memory する、みたいなことは必要ありません。
※next,end コマンドで設定階層を抜けた時点で設定が保存されます
CLI でのヘルプテキストの表示
CLIで「?」を入力すると入力可能コマンド一覧と各コマンドのヘルプテキストを表示することができます。ヘルプテキストを見ると設定項目の意味が大体わかるので、うまく活用してみると良いと思います。
例として、CLI で「show」と打った後に「?」を入力した場合、以下のように表示されます。
FGT # show
alertemail Alert email configuration.
antivirus AntiVirus configuration.
application Application control configuration.
authentication authentication
dlp DLP configuration.
dnsfilter dnsfilter
endpoint-control Endpoint control configuration.
extender-controller extender-controller
firewall Firewall configuration.
ftp-proxy FTP proxy configuration.
icap ICAP client configuration.
ips IPS configuration.
log Log configuration.
router Router configuration.
spamfilter AntiSpam configuration.
ssh-filter SSH filter configuration.
switch-controller External FortiSwitch configuration.
system System operation configuration.
user Authentication configuration.
voip VoIP configuration.
vpn VPN configuration.
waf Web Application Firewall configuration.
web-proxy Web proxy configuration.
webfilter Web filter configuration.
wireless-controller Wireless access point configuration.
full-configuration show full configuration主な設定項目
FortiGate で設定する主な項目としては以下があります。
- ネットワーク設定
- インターフェース設定
- ルーティング設定
- DNS サーバ設定
- システム設定
- ユーザ設定
- ホスト名
- システム時刻
- 言語設定
- HA 設定(冗長化設定)
- SNMP 設定
- ポリシー関係
- アドレスオブジェクト設定
- サービスオブジェクト設定
- ポリシー設定
- セキュリティ設定(バンドルライセンスのみ)
- アンチウィルス
- Web フィルタ
- VPN設定
- IPsec / SSL
- ログ設定
―――――――――――――
次のステップ → 初期状態の FortiGate に管理アクセスする方法について
―――――――――――――
