【構築者向け】FortiGateの概要【基礎知識】

ファイアウォール(UTM)

はじめに

FortiGate は米国 Fortinet 社製のファイアウォール(UTM)です。

ファイアウォールは主に内部ネットワークと外部ネットワークの境界に設置され、

  • 外部ネットワークからのサイバー攻撃を遮断する
  • 内部から外部の有害サイトへのアクセスを遮断する
  • ゾーン間での通信を制限してウイルスの拡散を防止する

など、セキュリティを高める目的で設置されます。

型番(モデル)について

処理能力などの性能やポート数などが異なる複数の型番(モデル)があります。
一般的には導入先のネットワークの規模に合わせて型番が選定されます。

型番は「FortiGate ○○▲」となっています。

  • ○○の部分 → 数字が入ります。値が大きい方が高性能になります。
  • ▲の部分 → D,Eなどのアルファベットが入ります。辞書順で後ろに行くほど新しい型になります。

型番例

  • FortiGate 50E
  • FortiGate 100E
  • FortiGate 200E など

ライセンスについて

ライセンスモデルは主に以下の3種類があります。いずれも1年毎(または契約年数毎)に更新する必要がありますが、ベース機能はライセンスが切れても使用できます。

ベースモデル

ファイアウォール機能と VPN 機能などのベース機能のみ使用できます。
200E 以上の型番であれば、オプションでアンチウイルス機能、アンチスパム機能、Web フィルタリング機能、IPS 機能を個別に追加することも可能です。

バンドルモデル

ベースモデルの機能に加えて、アンチウイルス機能、アンチスパム機能、Web フィルタリング機能、IPS 機能が含まれます。

機器ベンダによっては「UTM プロテクション」などと呼ばれている場合もあります。

Enterprise バンドルモデル

バンドルモデルの機能に加えて、セキュリティレーティング、FortiCASB、Industrial Security などが含まれます。

ユーザのセキュリティポリシーにもよりますが、小規模ネットワークにおいてはベースモデルを採用しているケースが多いのではないかと思います。

ライセンスモデルについては機器ベンダによって異なるため、詳しくは機器ベンダの情報を確認してください。

※Fortinet 社公式の各バンドルライセンスの内容は以下ページで確認できます。

セキュリティバンドル

ライセンスのアクティベーションについて

ライセンスについては、クラウド上のサーバ(FortiGuard)で管理されているため、FortiGate をインターネット接続できる環境で動作させるだけで自動でクラウド上の管理サーバと同期してアクティベーションされます。

ファームウェアについて

FortiGate では FortiOS というファームウェアが使用されています。
FortiGate ではファームウェアのバージョンによって使用可能な機能や設定方法が異なる場合があるため、設定対象機器のファームウェアバージョンと参考にしようとしている情報が対象にしているファームウェアバージョンには注意しておくと良いと思います。

ファームウェアのバージョンアップについて

ファームウェアのバージョンアップを行う方法は以下の 2 つがあります。

  • ファームウェアファイルを FortiGate へアップロードして行う
    • ファームウェアファイルは機器ベンダから入手する必要があるため、ベンダとのサポート契約が必要です
  • ファームウェアをクラウド上の FortiGuard からダウンロードして行う
    • ファームウェアファイルを FortiGuard からダウンロードするためには FortiGate のベースライセンスが必要です

設定方法について

FortiGate を設定する方法としては以下の2つがあります。

GUI を使用する方法

対象 FortiGate にブラウザで http アクセスして、ブラウザ上の管理画面で設定する方法です。
直感的に設定できて比較的わかりやすいですが、設定できる項目が限定されます。

CLI を使用する方法

対象 FortiGate にコンソール接続または telnet/ssh 接続して、TeraTerm などを使用してコマンドベースで設定する方法です。
GUI よりもより細かい設定が実施できたり、機器の様々な状態の表示ができたりします。
コンフィグテキストの流し込みによって設定をまとめて実施することも可能です。

CLI とコンフィグについて

CLI で使用するコマンドは様々ありますが、ベースとなるコマンドは以下があります。

config      Configure object.
get         Get dynamic and system information.
show        Show configuration.
diagnose    Diagnose facility.
execute     Execute static commands.
  • config ○○ → ○○項目の設定をするときに使用
  • get ○○ → ○○項目の状態に関する情報を取得するときに使用
  • show ○○ → ○○項目の設定を表示するときに使用
  • diagnose ○○ → ○○項目の状態に関する情報やログを取得するときに使用
  • execute ○○ → ○○を実行するときに使用

「show」コマンドを実行すると現在の階層の設定一覧が表示されます。

show コマンドではデフォルトの設定値となっている項目については表示が省略されます。デフォルトとなっている設定項目も含めてすべて表示させるには show full-configuration コマンドを使用します。

CLI で設定する場合の流れとしては

  1. 「config ○○」で設定したい項目の階層に移動
  2. 「set ○○」で詳細項目の値を設定
  3. 「end」で設定項目の階層から抜ける

という流れになります。

またコンフィグの階層としては大体は

  • config ○○
    • set ○○

または

  • config ○○
    • edit ○○
      • set ○○

のような構造となっていますが、設定項目によっては階層がより多くなっている場合もあります。

ちなみに Cisco 機器のように、設定後に write memory する、みたいなことは必要ありません。
※next,end コマンドで設定階層を抜けた時点で設定が保存されます

CLI でのヘルプテキストの表示

CLIで「?」を入力すると入力可能コマンド一覧と各コマンドのヘルプテキストを表示することができます。ヘルプテキストを見ると設定項目の意味が大体わかるので、うまく活用してみると良いと思います。

例として、CLI で「show」と打った後に「?」を入力した場合、以下のように表示されます。

FGT # show
alertemail             Alert email configuration.
antivirus              AntiVirus configuration.
application            Application control configuration.
authentication         authentication
dlp                    DLP configuration.
dnsfilter              dnsfilter
endpoint-control       Endpoint control configuration.
extender-controller    extender-controller
firewall               Firewall configuration.
ftp-proxy              FTP proxy configuration.
icap                   ICAP client configuration.
ips                    IPS configuration.
log                    Log configuration.
router                 Router configuration.
spamfilter             AntiSpam configuration.
ssh-filter             SSH filter configuration.
switch-controller      External FortiSwitch configuration.
system                 System operation configuration.
user                   Authentication configuration.
voip                   VoIP configuration.
vpn                    VPN configuration.
waf                    Web Application Firewall configuration.
web-proxy              Web proxy configuration.
webfilter              Web filter configuration.
wireless-controller    Wireless access point configuration.
full-configuration     show full configuration

主な設定項目

FortiGate で設定する主な項目としては以下があります。

  • ネットワーク設定
    • インターフェース設定
    • ルーティング設定
    • DNS サーバ設定
  • システム設定
    • ユーザ設定
    • ホスト名
    • システム時刻
    • 言語設定
    • HA 設定(冗長化設定)
    • SNMP 設定
  • ポリシー関係
    • アドレスオブジェクト設定
    • サービスオブジェクト設定
    • ポリシー設定
  • セキュリティ設定(バンドルライセンスのみ)
    • アンチウィルス
    • Web フィルタ
  • VPN設定
    • IPsec / SSL
  • ログ設定

―――――――――――――

次のステップ → 初期状態の FortiGate に管理アクセスする方法について

―――――――――――――

タイトルとURLをコピーしました