FortiGate のゾーンを使用したポリシー設定について(v6.0.6)

ファイアウォール(UTM)
2020.02.23

はじめに

FortiGate のポリシー設定では、送信元と送信先のインターフェースを指定します。

ここで、あらかじめゾーンを作成しておくと、送信元インターフェースと送信先インターフェースの設定項目にてインターフェースの代わりにゾーンを指定することが可能となります。

インターフェースの代わりにゾーンを指定することで、複数のインターフェースについてまとめてポリシーを管理することが可能となります。

以下ではゾーンを使用したポリシー設定の例を示します。

作業環境について

FortiGateの型番とバージョン

  • 型番:FortiGate 60E
  • ファームウェアバージョン: v6.0.6 build0272 (GA)

ネットワーク構成

以下のようなネットワークを想定します。

要件

  1. クライアントAが属するサブネットからインターネットへのWebアクセスを許可する
  2. クライアントBが属するサブネットからインターネットへのWebアクセスを許可する

ゾーン設定について

ゾーンの設計

以下の図のように、LAN側のinternal1インターフェースとinternal2インターフェイスはTrustゾーンとし、WAN側のwan1インターフェースはUntrustゾーンとします。

ゾーンの設定

GUI画面で設定する方法を説明します。

各インターフェイスの設定

ゾーンに所属させる各インターフェースの設定をしておきます。
※インターフェースの設定手順については省略します

ゾーンの作成

以下の画像の通り、[ネットワーク]→[インターフェース]→[新規作成]→[ゾーン]と選択します。

以下の新規ゾーン画面となることを確認します。

以下のようなインターフェースについてはゾーン設定のインターフェースメンバーで指定することができない(インターフェースのリストに表示されない)ため注意してください。

  • 既存のポリシー設定の[入力/出力]インターフェース項目に指定されている
  • 既存のアドレスオブジェクトのインターフェース項目に指定されている

まずはTrustゾーンを作成します。以下の通り各項目を設定し、[OK]をクリックします。

インターフェース画面にてTrustゾーンが作成されたことを確認します。

同様の手順でUntrustゾーンも作成します。

以上でゾーンの設定は完了です。

CLIでゾーン設定する場合

CLIで設定する場合は以下のコマンドです。

config system zone
    edit "Trust"
        set intrazone allow
        set interface "internal1" "internal2"
    next
    edit "Untrust"
        set intrazone allow
        set interface "wan1"
    next
end

ちなみにインターフェース名を””で囲わなくても大丈夫です。

設定項目のヘルプ:

intrazone    Allow or deny traffic routing between different interfaces in the same zone (default = deny).
interface    Add interfaces to this zone. Interfaces must not be assigned to another zone or have firewall policies defined.

ポリシーの設定

アドレスオブジェクトの作成

Trust側の以下の2つのアドレスオブジェクトを作成しておきます。
設定項目のインターフェースにはゾーンを指定できるためTrustゾーンを指定します。

  • 10.20.30.0/24
  • 10.20.40.0/24

ポリシーの設定

Trustゾーン側の2つのサブネットからUntrustゾーン側のインターネットへのWebアクセス(HTTP、HTTPS)を許可するポリシーを追加します。

以下の通り新規ポリシーを設定します。

  • 名前:Trust_to_Untrust(Web)
  • 入力インターフェース:Trust
  • 出力インターフェース:Untrast
  • 送信元:
    • 10.20.30.0/24
    • 10.30.40.0/24
  • 宛先:all
  • スケジュール:always
  • サービス:
    • HTTP
    • HTTPS
  • アクション:ACCEPT
  • その他:以下画像の通り

※NAT設定はネットワーク環境に合わせて設定してください

設定後、ポリシー画面でポリシーが追加されたことを確認してください。

以上でポリシー設定は完了です。

ゾーンを使用することでポリシー1つで要件を達成できましたが、ゾーンを使用しない場合は2つのポリシーを設定する必要があります。(入力インターフェースをinterna1としたものとinternal2としたものの2つ)

備考

  • ゾーン設定では、インターフェースメンバーとして物理インターフェースのほかVLANインターフェースを指定することもできます。
  • ゾーンのインターフェースメンバーに含まれているインターフェースについては、ポリシーの入力/出力インターフェースに指定できなくなりますので注意してください。
    • 上の設定例だと、internal1,internal2,wan1をポリシーの入力/出力インターフェースに指定できなくなります。

―――――――――――――

次のステップ → FortiGate での SNMP 設定手順

―――――――――――――

FortiGate「ゾーン内トラフィックをブロック」を検証する
作業環境FortiGate-VMv7.0.5「ゾーン内トラフィックをブロック」とはゾーン設定において、「ゾーン内トラフィックをブロック」というオプションがあります。デフォルトではONになっています。CLIでいうとconfigsystemzo...
nwengblog.com
2022.08.27
【初学者向け】FortiGateのベース機能を構築できるようになるまでの学習ロードマップ
はじめにFortiGateの各機能について説明されているWebページはある程度存在するものの、初学者向けに体系的に情報がまとめられているWebサイトはあまり見つからなかったため、初学者向けの学習ロードマップを作成しました。想定する対象者以下...
nwengblog.com
2020.03.01
【完全版】FortiGate 設定用情報まとめ
初学者向けの FortiGate 設定方法解説のまとめです。ベース機能については大体カバーしています。これから FortiGate を学ぶ方はぜひ確認してみてください。
nwengblog.com
2020.02.18

スポンサーリンク
タイトルとURLをコピーしました