FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateのハンズオン研修

Fortigate本の著者である左門が、実践的で、Fortigateの機能を活かしたハンズオン研修を実施します。
2日間の研修で、FortiGateのプロになりましょう!

以下に概要だけを簡単に記載しますが、詳細は、以下を確認ください。
https://seeeko.com/fortigate

1.研修概要

企業のセキュリティを守る根幹をなすのが次世代ファイアウォール(UTM)です。これ1台で、ファイアウォール機能、IPS機能、アンチウイルス、URLフィルタ、アプリケーション制御、標的型対策、拠点間とのVPN(IPsec通信)やリモートアクセス(SSL-VPN)など、さまざまなセキュリティ機能があります。(※これが、UTM(Unified Threat Management:統合脅威管理)とも呼ばれる理由です。)
次世代ファイアウォール機能でシェアNo.1のFortiGate(Fortinet社)を使って、実機を用いて次世代ファイアウォールの仕組み、技術、設定を学んでいただきます。
セミナーの講師は、ネットワークスペシャリスト試験対策で高い評価を得ている「ネスペ」シリーズ(技術評論社)、FortiGateの設定本である「FortiGateで始める 企業ネットワークセキュリティ」(日経BP社)の著者である、左門が行います。

2.研修の進め方

本研修では、一人1台または2人に1台のFortiGateを操作してもらい、次世代ファイアウォール(UTM)によるセキュリティ対策の機能を座学で学ぶとともに、実機でも設定してもらいます。 (2人が同時にFortiGateにアクセスして、設定の閲覧・変更ができます。また、途中からVDOMにより1人ずつの仮想環境を操作できます。)
日経BP社から発売した本をテキストとし、FortiGateの6.0台のOSおよび最新OSはクラウドを使ってセキュリティ機能を学びます。
設定ガイド

3.コース概要

項目   内容
コース名 次世代ファイアウォールで学ぶネットワークセキュリティ(FortiGateハンズオンセミナー)
研修目的 ・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
ファイアウォールの基本的な仕組みおよび設定方法を学習します。
・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
・アンチウイルスやアプリケーションコントロールなどのUTM機能を一通り設定し、次世代ファイアウォールの機能によって、何ができるのか、そして、その操作方法を学びます。
・IPsecやSSL-VPNの設定および基本技術を理解します。(日数及びカリキュラム次第)・カスタムシグネチャを作成するなど、日頃の業務では学べない経験してもらいます。(日数及びカリキュラム次第)・標的型攻撃の対策方法を学びます。
研修方法 講義+実機演習+確認テスト ※講義の大半は実機演習です。
日数 2日間が基本 ※1日限定のコースも可能
研修時間 9時半~17時(9時~18時の間で調整可能)
参加人数 5名様以上
講師 左門 至峰
費用 こちらをご覧ください
対象者 ・ネットワークおよびTCP/IPの基礎を理解できるレベルの方
・ネットワーク機器の実機操作、TeraTermの操作の基本をご存知の方
ご準備いただくもの セミナー会場、プロジェクタ、マイク、インターネット環境、PC(LANポート、Teratermインストール必要)、LANケーブル、配布物の印刷(こちらからデータでお渡しします)など(詳細は以下)
https://seeeko.com/entry/preparation
・テキストとして、私の著書の「FortiGateで始める 企業ネットワークセキュリティ」をご購入いただく必要があります。
・FortiGateの機材はこちらで準備します。


その他、FortiGateに限定せずに、セキュリティの幅広い実機研修情報処理安全確保支援士試験の対策講座も実施可能です。

4.主催

株式会社 エスエスコンサルティング  
代表 左門 至峰
〒541-0054 大阪市中央区 南本町二丁目3番12号 EDGE本町3階
TEL:06-7878-5043
URL:https://seeeko.com/contact ←お問い合わせはこちらからお願いします。

ネットワーク設定

1.インターフェースの設定

1.1 インターフェースに関して

(1)インターフェースとIPアドレスの関係
Fortigate-interface-IPaddress

(2)VLAN設定の考え方

デフォルトでは、各インターフェースごとに異なるセグメントが割り当てられている。
インターフェースをまとめて一つのセグメントにするには、スイッチグループの設定をする。

タグVLANは、一つのインターフェースにタグVLANの設定をする。

(3)コネクション
コネクションという言葉がふさわしいかどうかは分からないが、以下が可能である。
・物理ポートに対して1回線を収容できます。
・インターネット回線が1本で、プロバイダとの接続も1つである。この状態で、IPsecによるインターネットVPNをしながら、インターネットへのWEB閲覧が可能か
→可能である。

1.2 ネットワークインターフェースの設定

(1)状態確認
ネットワーク > インターフェース を選択します。すると、以下のように、FortiGateのイメージが表示されます。
同時にポートも表示されます。FortiGateのイメージから各ポートにマウスをドラッグすると、Up状態、Speed状態を示す windowsが出力します。

グリーンは UPしている状態を示します。

(2)設定(LAN側)
ネットワーク > インターフェースにて

今回はinternal(LAN側)をまずは変更するので、設定する物理IFであるinternalを選択してダブルクリック

このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

(3)設定(WAN側)
・システム>ネットワーク>インターフェースを開き、WAN側のインターフェースを選択。
・ロールがWANになっていることを確認しましょう。WANになっていると、WANに関連する設定が選択できるようになる。

・アドレッシングモードとして、 ①マニュアル ②DHCP ③PPPoEがある。②DHCPは、WANをDHCPによるIPアドレスの自動取得にした設定。
・DHCPやPPPoEで設定すると、自動でデフォルトゲートウェイも取得する。しかし、固定で設定すると、デフォルトゲートウェイは自分で設定しなければいけない。「ネットワーク」>「スタティックルート」で設定。

(4)セカンダリアドレスの設定
FortiGateを勉強する女性SE (10) 

セカンダリアドレスって何ですか?
一つのポートに2つ目のIPアドレスを割り当てられる機能です。
VLANの設定や、別途ルータ(またはスイッチ)を置くことでもできますが、セカンダリアドレスを使って簡易に2つのネットワークの設定ができます。

ネットワークのアドレス帯を移行する場合にも便利です。利用者が、旧アドレスでも新アドレスでも、どちらでも利用できるからです。

設定は、ネットワーク > インターフェース から設定したいインターフェースを開き、「セカンダリ IPアドレス」で設定できます。 
secondary 

ここで、「新規作成」をクリックすると、以下の画面が開き、セカンダリIPアドレスが設定できます。

1.3 管理アクセスの設定

FortiGateを勉強する女性SE (はてな)
WANインターフェースからもGUIログインはできなのですか?
デフォルトではできません。第三者が不正にログインされるのを防ぐために、LAN側だけで許可しています。
今の設定だと、WAN側では、PingとFMG-Accessしか許可されていません。

一方のLAN側では、HTTPS通信が許可されています。
設定の変更は、有効にしたいアクセスのチェックボックスを入れるだけ。

項目 内容
HTTPS GUIアクセスが可能になる
HTTP HTTPでの通信を許可だが、HTTPSにリダイレクトされる。よって、HTTPSが有効になっている必要がある
PING PINGの応答を許可
FMG-Access FortiManagerにて集中管理したい場合の通信
SSH SSH接続を許可
SNMP SNMP managerからの接続を許可。ポーリングと思えばいいだろう
FTM Allow FortiToken Mobile Push (FTM) access.
RADIUSアカウンティング Allow RADIUS accounting information on this interface.
Security Fabric Connection Allow Security Fabric access. This enables FortiTelemetry and CAPWAP.

以下は昔の設定

項目 内容
FortiTelemetry FortiClient(エンドポイント制御)のやりとりの通信など
CAPWAP 主に無線の集中管理の通信

1.4 動作モード

FortiGateに限らず、多くのUTM製品で同じことですが、動作モードがあります。
メーカーによって、3つだったり4つだったりしますが、FortiGateでは2つの動作モードがあります。

❶NAT/ルートモード
 ・L3機器として動作します。
 ・通常のファイアウォールはこの形です。
 ・IPアドレスを複数持ち、ルーティングします。

 ※別途、バーチャルワイヤペアを使うと、NATモードでも特定のポート間でL2で透過の設定ができます。

❷透過(Transparent)モード
 ・L2機器として動作します。
 ・ルーティングしませんから、HUBのようなものと思えばいいでしょう。
 ・IPアドレスは、管理用しか持ちません。
 ・従来のネットワーク構成を変えずに、あとからFWを追加するのには便利です。

1.5 VLANの設定

ネットワーク > インターフェース > 新規作成 から「インターフェース」を選択
タイプを「VLAN」とし、インターフェースを選択したり、VLAN IDを設定する。

1.6 ポート6、7を新しいネットワークにする

スイッチのポートをもう一つ作る設置です。
デフォルトだと、ハードウェアスイッチが一つあります。
LANのポート1~7が一つのスイッチとなっています。
これを、もう一つ作ります。今回は、1つ目のハードウェアスイッチから6番と7番ポートを外します。
そして、6番と7番を一つのハードウェアスイッチ(LAN2)とします。

①Network Interfaceから、「Create New」「New Interface」を選択
lan

②Network Interfaceの画面から新規に作成するInterfaceの設定を入れる。
・Interface Nameを入れる
・「Type」を「Hardware Switch」にする。
・Interface Membersとして、インターフェースの6番と7番を入れる
→他で使われていると表示されない。なので、他の「Hardware Switch」でインターフェースを削除しておく必要がある。
・アドレス情報を入れる
lan2

③「OK」をして作成が終わると、以下のように表示される。

1.7 ネットワーク関連のCLI

以下に記載
https://www.viva-fortigate.com/archives/cli

1.8 USBポートからインターネット接続

USBポートは、たとえばiPhoneと接続してiPhoneから設定をすることができる。
それとは別に、3/4Gのモデムを使ってインターネットに接続することができる。モデムは対応するもんだけだが、探したところ、対応機器一覧は掲載されていなかった。
モデムによって、以下の設定がある。

config system modem
config system 3g-modem custom
config system lte-modem

その後、以下のコマンドを実行する。
set status enable
すると、インターフェースにて、wwanが緑色になって有効化される。

次に、ポリシーを作成すれば従来通りインターネットへの接続も可能になる。

USBテザリングなので、1台だけしか接続できないかと思ったら、ForiGate配下に接続した3台のPCから、インターネットに同時接続できた。

2.ルーティングの設定

2.1 ルーティングの基本

(1)FortiGateで利用できるルーティングプロトコル
Static、RIP、OSPF、BGPが動作します。BGPはGUIでは設定できず、CLIからになります。ファイアウォールなので、ルーティングの設定をすることはそれほどないと思いますが、通常のルータのように各種の設定ができます。RIPやOSPFも利用できます。
(2)ルーティングの状態確認
❶GUI
ダッシュボード > ネットワーク > ルーティング で表示できます。
ちなみに、以下はデフォルトルートが2つあり、適切ではないルーティングなので、あとで直します。

❷CLI
以下のコマンドを使います。

get router info routing-table all

実際に実行した結果は以下です。

FGT # get router info routing-table all
(前略)
Routing table for VRF=0
S*      0.0.0.0/0 [5/0] via 192.168.0.1, port1, [1/0]
                  [5/0] via 192.168.1.1, port2, [1/0]
C       192.168.0.0/24 is directly connected, port1
C       192.168.1.0/24 is directly connected, port2

2.2 スタティックルートの設定

スタティック(Static)ルートを設定します。
①ネットワーク > ルーティング を開きます。
routing

 ②「新規作成」ボタンから、ルーティングテーブルを作成します。
 宛先セグメント、経路となるデバイス(インターフェース)、ゲートウェイ(のIPアドレス)を設定します。
routing2

FortiGateを勉強する女性SE (10)

アドミニストレーティブディスタンスって何ですか?
経路の優先度です。たとえば、Staticルートと動的ルートで2つの経路情報があった場合に、どちらを優先するかです。ForiGateの場合は、Staticルートがデフォルトでは10に設定されています。(Ciscoの場合はデフォルトが1)。値を変更する必要はなく、このままの設定で「OK」を押します。

2.3 OSPFの設定

ここでは、CiscoルータとFortiGateでOSPFの設定をします。
(0)構成は以下

PC(10.10.1.101) → (10.10.1.254)Cisco892(172.16.1.1) → (172.16.1.99:WAN2)FG(LAN:192.168.1.99) →PC (192.168.1.101)

(1)Cisco892の設定

enable
conf t

interface GigabitEthernet0
ip address 10.10.1.254 255.255.255.0
no shutdown

interface fastEthernet8
ip address 172.16.1.1 255.255.255.0
no shutdown

ip routing
router ospf 1
network 10.10.1.0 0.0.0.255 area 0
network 172.16.1.0 0.0.0.255 area 0

(2)FortiGateの設定本(黒い本)のp300にも記載あり
・システム>表示機能設定
 高度なルーティングをONに
・IFの設定
 IPアドレスを割り当てる 今回はWAN2に172.16.1.99/24
・ネットワーク>OSPF
 ・ルータID:172.16.1.99 としたが、なんでもいいのかもしれない
 ・エリア:新規作成でエリアを0.0.0.0 で作成
 ・ネットワーク:作成した0.0.0.0のエリアに2つのNWを割り当て
  172.16.1.0/24
  192.168.1.0/24
 ・インターフェースの設定
  名前を付け、OSPFを交換するインターフェースを指定する。今回はWAN2
・ポリシーの設定
 WAN2とLANを相互に通信許可するルールを作成。NATはOFFにしたが、ONでも成功するのではないかと思う。

(3)状態確認
❶FGTでの状態確認

FGT # get router info ospf neighbor
FGT # get router info routing-table all

GUIは、モニタ>ルーティングモニタ

❷Ciscoでの状態確認

sh ip route
Router>sh ip ospf neighbor

3.DHCPの設定

ここでは、DHCPの設定をします。
FortiGateを勉強する女性SE (13) 
FortiGateがDHCPサーバになって、PCにIPアドレスを払い出すということですね。
はい、そうです。

(1)DHCPサーバの設定

設定は、ネットワーク > インターフェース の設定から実施します。
dhcp

LAN側のPCにIPアドレスを払い出しますので、LANのインターフェースをダブルクリックします。
すると、DHCPサーバの設定画面が開きます。デフォルトでは、192.168.1.110-210のIPアドレスの払出し設定がされています。
dhcp2
DHCPで払い出すのは、IPアドレスだけではなく、デフォルトゲートウェイやDNSもです。「指定」を押すと、個別に変更が可能です。

「高度な設定」を押すと、DHCPリレーの設定をしたり、オプションで別の情報を配信することも可能です。
dhcp3

・CLIでみると、以下の設定が入っていることでしょう。

FGT # config system dhcp server

FGT (server) # show
config system dhcp server
    edit 1
        set dns-service default
        set default-gateway 192.168.1.99
        set netmask 255.255.255.0
        set interface "internal"
        config ip-range
            edit 1
                set start-ip 192.168.1.110
                set end-ip 192.168.1.210
            next
        end

(2)払い出しの確認

DHCPの払い出し状況は、ダッシュボードから+でモニタの追加 DHCPモニタ
または、CLIにて以下でも確認可能

execute dhcp lease-list

(3)複数のセグメントに異なるIPアドレスを払い出す。

DHCPリレーを使い、複数の異なるセグメントに払い出す場合はGUIでは設定ができません。
CLIから実行します。
たとえば、新しく、172.16.102.0のセグメントにIPアドレスを払い出す場合。
editで番号を指定しますが、他と重複する可能性があるので、以下はedit 102としています。

config system dhcp server
    edit 102
        set dns-service default
        set default-gateway 172.16.102.254
        set netmask 255.255.255.0
        set interface "internal"
        config ip-range
            edit 1
                set start-ip 172.16.102.101
                set end-ip 172.16.102.110
            next
        end

仮に設定を間違えたら、一度消しましょう。

config system dhcp server
delete 102

※ただ、Ciscoルータ892とで検証してみたが、Ciscoルータ892からはDHCPリレーのパケットが送られることまでは確認したが、応答がなかった。Ciscoルータ892のパケットが、giaddrではなく、Relay agent IPに入っていることが原因かもしれないが、要調査。ちなみに、OSは6.02と7.43のどちらもダメだった。

4.DNSの設定

DNSの設定を解説します。
クライアントPCに払い出すDNSの設定ではなく、FortiGateが名前解決する場合のDNSサーバの設定です。
FortiGateを勉強する女性SE (21) 

FortiGateが名前解決をする必要があるのですか?
FWで利用する分には、不要だと思います。
その通りです。PCの場合、DNSの設定がないとインターネットにアクセスできません。一方、FortiGateは、DNSの名前解決ができなくても、FWとしては動きます。ただ、ライセンス認証ができないので、URLフィルタなどが利用できなくなるでしょう。

さて、設定は、「ネットワーク」>「DNS」から実施します。
FortiGateのWANのインターフェースを、DHCPクライアントとして設定した場合は、割り当てられたDNSサーバを利用します。
また、FortiGateのDNSサーバも用意されています。
dns

5.NAT

(1)インターネットへのNAPT
インターネットへのNATは、イイ感じにしてくれている印象である。NATをONにしてもOFFにしても、どちらでもうまくつながっている気がする。まあ、基本的にはNATは有効にするのであるが。
NATテーブルは以下のコマンドで確認できる。

FGT # get system session list
PROTO   EXPIRE SOURCE           SOURCE-NAT       DESTINATION      DESTINATION-NAT
tcp     8      192.168.1.110:50826 192.168.179.2:50826 192.168.0.254:80 -
udp     16     192.168.1.112:54649 192.168.179.2:54649 142.x.76.136:443 -
tcp     3579   192.168.1.112:58197 192.168.179.2:58197 142.x.76.142:443 -
tcp     3582   192.168.1.111:55809 192.168.179.2:55809 104.y.50.130:443 -
udp     26     192.168.1.112:54997 192.168.179.2:54997 142.y.207.100:443 -
項目 内容
PROTO プロトコル。TCPかUDP
EXPIRE 時間だと思う
SOURCE 送信元IPとポート番号
SOURCE-NAT 送信元NATした後のIPアドレスとポート番号
DESTINATION 宛先のIPとポート番号
DESTINATION-NAT 宛先NATをした後のIPアドレスとポート番号

上記は、LANからインターネットへの通信なので、すべて送信元NATになっている。
また、NAPTの場合、教科書的な本には、ポート番号も変換すると書いてあったであろう。ただ、Ciscoもそうなのだが、ポート番号は変換しない。IPアドレスとポートの両方の情報を保持しておけば、通信する上で何ら問題ないからだ。

(2)MIPやVIP
書籍に書きました。