【構築者向け】FortiGateの概要【基礎知識】

ネットワーク

はじめに

FortiGate は米国 Fortinet 社製のファイアウォール(UTM)です。

ファイアウォールは主に内部ネットワークと外部ネットワークの境界に設置され、

  • 外部ネットワークからのサイバー攻撃を遮断する
  • 内部から外部の有害サイトへのアクセスを遮断する
  • ゾーン間での通信を制限してウイルスの拡散を防止する

など、セキュリティを高める目的で設置されます。

型番(モデル)について

処理能力などの性能やポート数などが異なる複数の型番(モデル)があります。
一般的には導入先のネットワークの規模に合わせて型番が選定されます。

型番は「FortiGate ○○▲」となっています。

  • ○○の部分 → 数字が入ります。値が大きい方が高性能になります。
  • ▲の部分 → D,Eなどのアルファベットが入ります。辞書順で後ろに行くほど新しい型になります。

型番例

  • FortiGate 50E
  • FortiGate 100E
  • FortiGate 200E など

ライセンスについて

ライセンスモデルは以下の3種類があります。いずれも1年毎に更新する必要がありますが、ベース機能はライセンスが切れても使用できます。

ベースモデル

ファイアウォール機能とVPN機能などのベース機能のみ使用できます。
200E以上の型番であれば、オプションでアンチウイルス機能、アンチスパム機能、Webフィルタリング機能、IPS機能を個別に追加することも可能です。

バンドルモデル

ベースモデルの機能に加えて、アンチウイルス機能、アンチスパム機能、Webフィルタリング機能、IPS機能が含まれます。

Enterpriseバンドルモデル

バンドルモデルの機能に加えて、セキュリティレーティング、FortiCASB、Industrial Securityなどが含まれます。

ユーザのセキュリティポリシーにもよりますが、小規模ネットワークにおいてはベースモデルを採用しているケースが多いのではないかと思います。

ファームウェアについて

FortiGateではFortiOSというファームウェアが使用されています。
FortiGateではファームウェアのバージョンによって使用可能な機能や設定方法が異なる場合があるため、設定対象機器のファームウェアバージョンと参考にしようとしている情報が対象にしているファームウェアバージョンには注意しておくと良いと思います。

設定方法について

FortiGateを設定する方法としては以下の2つがあります。

GUIを使用する方法

対象FortiGateにブラウザでhttpアクセスして、ブラウザ上の管理画面で設定する方法です。
直感的に設定できて比較的わかりやすいですが、設定できる項目が限定されます。

CLIを使用する方法

対象FortiGateにコンソール接続またはtelnet/ssh接続して、TeraTermなどを使用してコマンドベースで設定する方法です。
GUIよりもより細かい設定が実施できたり、機器の様々な状態の表示ができたりします。
コンフィグテキストの流し込みによって設定をまとめて実施することも可能です。

CLIとコンフィグについて

CLIで使用するコマンドは様々ありますが、ベースとなるコマンドは以下があります。

config      Configure object.
get         Get dynamic and system information.
show        Show configuration.
diagnose    Diagnose facility.
execute     Execute static commands.
  • config ○○ → ○○項目の設定をするときに使用
  • get ○○ → ○○項目の状態に関する情報を取得するときに使用
  • show ○○ → ○○項目の設定を表示するときに使用
  • diagnose ○○ → ○○項目の状態に関する情報やログを取得するときに使用
  • execute ○○ → ○○を実行するときに使用

「show」コマンドを実行すると現在の階層の設定一覧が表示されます。

show コマンドではデフォルトの設定値となっている項目については表示が省略されます。デフォルトとなっている設定項目も含めてすべて表示させるには show full-configuration コマンドを使用します。

CLIで設定する場合の流れとしては

  1. 「config ○○」で設定したい項目の階層に移動
  2. 「set ○○」で詳細項目の値を設定
  3. 「end」で設定項目の階層から抜ける

という流れになります。

またコンフィグの階層としては大体は

  • config ○○
    • set ○○

または

  • config ○○
    • edit ○○
      • set ○○

のような構造となっていますが、設定項目によっては階層がより多くなっている場合もあります。

ちなみにCisco機器のように、設定後にwrite memoryする、みたいなことは必要ありません。
※next,end コマンドで設定階層を抜けた時点で設定が保存されます

CLIでのヘルプテキストの表示

CLIで「?」を入力すると入力可能コマンド一覧と各コマンドのヘルプテキストを表示することができます。ヘルプテキストを見ると設定項目の意味が大体わかるので、うまく活用してみると良いと思います。

例として、CLIで「show」と打った後に「?」を入力した場合、以下のように表示されます。

FGT # show
alertemail             Alert email configuration.
antivirus              AntiVirus configuration.
application            Application control configuration.
authentication         authentication
dlp                    DLP configuration.
dnsfilter              dnsfilter
endpoint-control       Endpoint control configuration.
extender-controller    extender-controller
firewall               Firewall configuration.
ftp-proxy              FTP proxy configuration.
icap                   ICAP client configuration.
ips                    IPS configuration.
log                    Log configuration.
router                 Router configuration.
spamfilter             AntiSpam configuration.
ssh-filter             SSH filter configuration.
switch-controller      External FortiSwitch configuration.
system                 System operation configuration.
user                   Authentication configuration.
voip                   VoIP configuration.
vpn                    VPN configuration.
waf                    Web Application Firewall configuration.
web-proxy              Web proxy configuration.
webfilter              Web filter configuration.
wireless-controller    Wireless access point configuration.
full-configuration     show full configuration

主な設定項目

FortiGateで設定する主な項目としては以下があります。

  • ネットワーク設定
    • インターフェース設定
    • ルーティング設定
    • DNSサーバ設定
  • システム設定
    • ユーザ設定
    • ホスト名
    • システム時刻
    • 言語設定
    • HA設定(冗長化設定)
    • SNMP設定
  • ポリシー関係
    • アドレスオブジェクト設定
    • サービスオブジェクト設定
    • ポリシー設定
  • セキュリティ設定(バンドルライセンスのみ)
    • アンチウィルス
    • Webフィルタ
  • VPN設定
    • IPsec / SSL
  • ログ設定

―――――――――――――

次のステップ → 初期状態の FortiGate に管理アクセスする方法について

―――――――――――――

タイトルとURLをコピーしました