FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

情報処理技術者試験のネットワークスペシャリスト試験の試験対策。

-----------商品紹介ページより
午後試験解答の前提となるのは「基礎知識」です。試験で問われる内容は,実は「基礎知識の積み重ねで解ける」もの。本書では,試験で問われるネットワークの基本を今一度しっかり身に付けることで,午後の得点を20点伸ばし合格を目指す学習書です。基礎力を養うことは合格への回り道のようでいて実は近道。「急がば回れ」です。わかったつもりだった基礎を,Questionを解きながらしっかり見直します。試験での問われ方も徹底研究し,ただの用語暗記ではない「実戦力」を身に付けることができます。28年度試験の午後解説も詳細に掲載。 

ネスペの基礎力 -プラス20点の午後対策 (情報処理技術者試験)
左門 至峰
技術評論社
2017-05-19



アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html

では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。

小さい会社でインターネットが出来ればいい。一番安いモデルで!
・FG-60D-US   FortiGate-60D  152,000

1Gbpsのインターネットで、UTM機能を使いたい
①初期費用
・FG-100D-BDL-US   FortiGate-100DUTM機能バンドル版  652,000

②ランニング(ソフトウェアライセンス)
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000
・FC-10-00116-108-02-12   FortiGate-100D IPS/Application Control機能追加ライセンス 1年間  87,000
・FC-10-00116-112-02-12   FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
FortiGateを勉強する女性SE (納得いかず)

アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US   FortiGate-100D  501,000
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000

大規模な会社で、SFPポートも使いたい
①初期費用
・FG-1500D-US   FortiGate-1500D  6,554,000
・SFP 基本 2つの SFPモジュールが製品に同梱されています。

②ランニング(ソフトウェアライセンス)
・FC-10-01500-100-02-12   FortiGate-1500D AV機能追加ライセンス 1年間  1,425,000
・FC-10-01500-108-02-12   FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間  1,140,000
・FC-10-01500-112-02-12   FortiGate-1500D Web Filtering機能追加ライセンス 1年間  2,280,000

FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。

詳しくは以下を参照ください。
http://www.viva-fortigate.com/archives/cat_697020.html

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

代表モデル(製品)
・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。
FortiGateを勉強する女性SE (はてな)

100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

モデル製品一覧
モデル一覧と、詳細なスペックは以下です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

項目について、いくつか解説します。

IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。

↑このページのトップヘ