FortiGate のゾーンを使用したポリシー設定について(v6.0.6)

ネットワーク

はじめに

FortiGate のポリシー設定では、送信元と送信先のインターフェースを指定します。

ここで、あらかじめゾーンを作成しておくと、送信元インターフェースと送信先インターフェースの設定項目にてインターフェースの代わりにゾーンを指定することが可能となります。

インターフェースの代わりにゾーンを指定することで、複数のインターフェースについてまとめてポリシーを管理することが可能となります。

以下ではゾーンを使用したポリシー設定の例を示します。

作業環境について

FortiGateの型番とバージョン

  • 型番:FortiGate 60E
  • ファームウェアバージョン: v6.0.6 build0272 (GA)

ネットワーク構成

以下のようなネットワークを想定します。

要件

  1. クライアントAが属するサブネットからインターネットへのWebアクセスを許可する
  2. クライアントBが属するサブネットからインターネットへのWebアクセスを許可する

ゾーン設定について

ゾーンの設計

以下の図のように、LAN側のinternal1インターフェースとinternal2インターフェイスはTrustゾーンとし、WAN側のwan1インターフェースはUntrustゾーンとします。

ゾーンの設定

GUI画面で設定する方法を説明します。

各インターフェイスの設定

ゾーンに所属させる各インターフェースの設定をしておきます。
※インターフェースの設定手順については省略します

ゾーンの作成

以下の画像の通り、[ネットワーク]→[インターフェース]→[新規作成]→[ゾーン]と選択します。

以下の新規ゾーン画面となることを確認します。

以下のようなインターフェースについてはゾーン設定のインターフェースメンバーで指定することができない(インターフェースのリストに表示されない)ため注意してください。

  • 既存のポリシー設定の[入力/出力]インターフェース項目に指定されている
  • 既存のアドレスオブジェクトのインターフェース項目に指定されている

まずはTrustゾーンを作成します。以下の通り各項目を設定し、[OK]をクリックします。

  • 名前:Trust
  • ゾーン内トラフィックをブロック:OFF
  • インターフェースメンバー:internal1、internal2

インターフェース画面にてTrustゾーンが作成されたことを確認します。

同様の手順でUntrustゾーンも作成します。

以上でゾーンの設定は完了です。

CLIでゾーン設定する場合

CLIで設定する場合は以下のコマンドです。

config system zone
    edit "Trust"
        set intrazone allow
        set interface "internal1" "internal2"
    next
    edit "Untrust"
        set intrazone allow
        set interface "wan1"
    next
end

ちなみにインターフェース名を””で囲わなくても大丈夫です。

設定項目のヘルプ:

intrazone    Allow or deny traffic routing between different interfaces in the same zone (default = deny).
interface    Add interfaces to this zone. Interfaces must not be assigned to another zone or have firewall policies defined.

ポリシーの設定

アドレスオブジェクトの作成

Trust側の以下の2つのアドレスオブジェクトを作成しておきます。
設定項目のインターフェースにはゾーンを指定できるためTrustゾーンを指定します。

  • 10.20.30.0/24
  • 10.20.40.0/24

ポリシーの設定

Trustゾーン側の2つのサブネットからUntrustゾーン側のインターネットへのWebアクセス(HTTP、HTTPS)を許可するポリシーを追加します。

以下の通り新規ポリシーを設定します。

  • 名前:Trust_to_Untrust(Web)
  • 入力インターフェース:Trust
  • 出力インターフェース:Untrast
  • 送信元:
    • 10.20.30.0/24
    • 10.30.40.0/24
  • 宛先:all
  • スケジュール:always
  • サービス:
    • HTTP
    • HTTPS
  • アクション:ACCEPT
  • その他:以下画像の通り

※NAT設定はネットワーク環境に合わせて設定してください

設定後、ポリシー画面でポリシーが追加されたことを確認してください。

以上でポリシー設定は完了です。

ゾーンを使用することでポリシー1つで要件を達成できましたが、ゾーンを使用しない場合は2つのポリシーを設定する必要があります。(入力インターフェースをinterna1としたものとinternal2としたものの2つ)

備考

  • ゾーン設定では、インターフェースメンバーとして物理インターフェースのほかVLANインターフェースを指定することもできます。
  • ゾーンのインターフェースメンバーに含まれているインターフェースについては、ポリシーの入力/出力インターフェースに指定できなくなりますので注意してください。
    • 上の設定例だと、internal1,internal2,wan1をポリシーの入力/出力インターフェースに指定できなくなります。

―――――――――――――

次のステップ → FortiGate での SNMP 設定手順

―――――――――――――

タイトルとURLをコピーしました