FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateは、セキュリティ製品ですので、セキュリティに関するログが重要になります。また、FortiGateそのもののログも出力されます。

セキュリティのポリシーのログ
「ポリシー&オブジェクト」のところで、ポリシーにおいて、「ロギングオプション」があります。デフォルトでは、「許可トラフィックをログ」の「セキュリティイベント」になっています。これは、許可ログもすべて取得しては、ログが莫
大になるからです。
1 
ここの設定で、「すべてのセッション」を選ぶことも可能です。これを選ぶと、上部にあるセキュリティプロファイルで選択した、AVやWebフィルタのログも取得します。
2 
先ほどの画面で、「セッション開始時にログを生成」は、デフォルトはOFFです。SYNパケットが発生した時点でログを取得します。なので、3Wayハンドシェークに失敗したものも、ログとして取得できます。

筐体に関するログ
・セキュリティ設定やらポリシーに関するものではなく、筐体に関するイベントのログに関してです。
・ログレベルとしてemergency,alert,critical,error,warning,notification,information,debugがあります。それぞれのレベルを付与してログが出力されます。
・デフォルトでは、すべてのログレベルが出力されます。
・出力するログのレベルを変更する方法は、CLIのみです。set severityコマンドで変更できます。
・ログの設定は「ログ&レポート」の「ログ設定」から行います。
・ログの出力先は「ローカルログ」の「ディスク」がデフォルトです。
3
・Syslogに転送するには、「リモートロギングとアーカイブ」で「ログをSyslogへ送る」にして、SyslogサーバのIPアドレスを記載します。
4

FortiAnalyzerとは
FortiAnalyzer は単体、複数の FortiGateから収集したログを分析、レポートすることを容易に実行できる製品です。
FortiGateを勉強する女性SE (20)
 
ログを集めるSyslogサーバみたいなものですね。
集めるだけなら、Syslogサーバで十分では?




ログ管理は何か問題となることが発生した時に、その時系列や何処が起因しているかを調べる為に使います。

ポイントは素早く探したい場所にたどりつき、前後関係を判断できるかです。
Syslogサーバーの管理ではログをフィルタし、対象を探していきます。

FortiAnalyzerを利用すると、時系列の関連性をGUIから確認したり、
対象期間をフィルタしてレポートを作成させることで前後関係を視覚的に判断できるようになります。

これは問題発生の確認や、定期的な状況把握にも利用できます。

構成
FortiGateとは、ネットワーク的に接続されていれば構いません。FortiGateのポートを、FortiAnalyzer専用に接続しても構いません。

ログ処理は、

・リアルタイムに FortiAnalyzerへ送信する
・定期的に保存したログを FortiAnalyzerへ送信させる

の2つのパターンを選択できます。

リアルタイム性を考慮する場合は、出来るだけ FortiGateと FortiAnalyzerは近いポイントで設置する
構成が望ましく、定期的な場合は拠点間の回線帯域を圧迫できない場合に利用されます。

また専用のストレージを使うことで長期間のログを保存し、そのデーターから様々なレポート、
必要期間のデーター抽出を実施できます。

導入構成は単体、冗長、親子連携と様々な構成にマッチした内容で導入できます。

単体の場合、FortiAnalyzerは冗長化していませんので NAS等に定期的にログを
Updateした方が望ましいです。

冗長構成の場合、NAS等のストレージを設けることなく FortiAnalyzerを冗長できます。

親子関係とは、Analyzer(親)、Collector(子)の関係を FortiAnalyzerで構築します。

FortiGateは Collecotrにログを転送します。
Collectorは定期的に Analyzerへ保存したログを転送します。
Analyzerは Collectorから転送されたログをレポート等にまとめます。

これは FortiAnalyzerの負荷分散、FortiGateが集線する回線帯域により構成をさせるものになります。


また FortiAnalyzerもハード(物理)、仮想化(VM版)と様々な環境に適応させることが出来ます。

FortiGateを勉強する女性SE (17)
FortiGateがHAを組んだ場合は、両方のログを出力するのですか?






その場合は、FortiAnakyzer側で FortiGateを登録する際に HA(クラスタ)として認識させた
登録が可能です。
登録後、FortiGateの(Active、Slave)両方のログを管理できるようになります。

価格
管理するデバイスが最小 5台で、約 50万円からスタートします。

管理画面は複数のデバイス、ログ内容を視覚的に見やすく確認できる GUIとなっています。
Top画面)
FortiAnalyzer-Top

FortiView)
FortiAnalyzer-view


FortiManegerとは
FortiManegerは複数の FortiGate、FortiAPなどのデバイスを管理する製品です。
とくにポリシーや Version、シグニチャなどの UTM機能で利用するデータベースを共通管理し、運用者にかかる工数を軽減させる手助けを行います。

UTM機能におけるパターン(データーベース)管理が出来ることで、もっとも弱くなるセグメント(拠点、とくに出先、又は取引先)に対し有効なポリシー管理を提供できます。

機能
FortiGateを勉強する女性SE (18) 

画面を一元的に見ることができるだけですね。
だったら、FortiGateに一つ一つログインして確認すればいいと思います。



台数が少なければそれでもいいでしょう。でも、台数が増えると、管理工数が増えますよ!

FortiManagerの代表的な機能を整理すると、以下になります。

①複数のFortiGateを1つの画面で集中管理できる

②複数のFortiGateの設定を一元的に変更できる
 基本全ての設定変更が可能です。

 設定は 

 ・基本設定部分 (DNS、NTP、Log管理など)
 ・Firewall Policy部分(アドレスオブジェクト、グループ、UTMプロファイル等)
 ・VPN設定部分(IPSecVPNのスター構成など)

 上記を一元的に変更したり、各 FortiGateの設定情報の Backupをしたり
 できます。

③設定ファイルやシグネチャの一元配信
 
 
FortiGateから UTMシグニチャの配信を受ける宛先を FortiManagerで
 請け負うことができます。言い換えれば FortiManagerがシグニチャ配信や
 Web、SPAM DBの Proxyをするイメージです。

 例えば、

 ・インターネットアクセスさせない環境下だがシグニチャの配信は受けたい
 ・シグニチャ、パターンファイルの Versionを完全に管理したい

 場合に利用します。

導入構成
導入構成は、1台、冗長と様々な形で導入できます。
また製品にはハード(物理)、仮想化(VM版)の両方があります。

これは導入パターンの幅を広げる柔軟性を提供していることを意味します。

※余談ですが Fortinet製品はハード、仮想化と両パターンを提供する製品が多いです。

価格
価格については管理デバイス数によりますが、最小 30台を管理するとして、
約 100万円からのスタートになります。

管理画面
管理画面は複数のデバイスを管理しやすい GUI構成となっています。
また日本語化されており、とくに FortiGateでは CLI操作で設定する内容をFortiManagerは GUIで全て設定を行うことができます。 

トップ画面)
FortiManager-Top 

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear











FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D
FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

↑このページのトップヘ