FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

代表モデル(製品)
・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。
FortiGateを勉強する女性SE (はてな)

100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

モデル製品一覧
モデル一覧と、詳細なスペックは以下です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

項目について、いくつか解説します。

IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。

FortiGateを勉強する女性SE (19)

VRRPだと、実IP以外に、仮想IPアドレスがありますね




FortiGateの場合は、少し異なります。
HA用に実IPが一つだけ割り当てられます。(MACアドレスは仮想MACが割当てられます)
具体的例は、以下です。
FW1 IPアドレス 10.10.1.1/24 実mac mac1 仮想MAC mac-v
FW2 IPアドレス 10.10.1.1/24 実mac mac2 仮想MAC mac-v

VRRPとは違いま、2台のFWでじゃ、共通のIPアドレスをそのまま使います。しかし、管理したいときに、Standby側に通信ができません。そのため、FWの管理用ポートに管理用セグメントを設けて、そこに管理IPアドレスをそれぞれ割り当てます。
FW1 管理用IPアドレス 192.168.1.1/24
FW2 管理用IPアドレス 192.168.1.2/24
※上記の実IPアドレスとは完全に分断されているので、同一セグメントでも問題ない

FortiGateは、セキュリティ製品ですので、セキュリティに関するログが重要になります。また、FortiGateそのもののログも出力されます。

セキュリティのポリシーのログ
「ポリシー&オブジェクト」のところで、ポリシーにおいて、「ロギングオプション」があります。デフォルトでは、「許可トラフィックをログ」の「セキュリティイベント」になっています。これは、許可ログもすべて取得しては、ログが莫
大になるからです。
1 
ここの設定で、「すべてのセッション」を選ぶことも可能です。これを選ぶと、上部にあるセキュリティプロファイルで選択した、AVやWebフィルタのログも取得します。
2 
先ほどの画面で、「セッション開始時にログを生成」は、デフォルトはOFFです。SYNパケットが発生した時点でログを取得します。なので、3Wayハンドシェークに失敗したものも、ログとして取得できます。

筐体に関するログ
・セキュリティ設定やらポリシーに関するものではなく、筐体に関するイベントのログに関してです。
・ログレベルとしてemergency,alert,critical,error,warning,notification,information,debugがあります。それぞれのレベルを付与してログが出力されます。
・デフォルトでは、すべてのログレベルが出力されます。
・出力するログのレベルを変更する方法は、CLIのみです。set severityコマンドで変更できます。
・ログの設定は「ログ&レポート」の「ログ設定」から行います。
・ログの出力先は「ローカルログ」の「ディスク」がデフォルトです。
3
・Syslogに転送するには、「リモートロギングとアーカイブ」で「ログをSyslogへ送る」にして、SyslogサーバのIPアドレスを記載します。
4

FortiAnalyzerとは
FortiAnalyzer は単体、複数の FortiGateから収集したログを分析、レポートすることを容易に実行できる製品です。
FortiGateを勉強する女性SE (20)
 
ログを集めるSyslogサーバみたいなものですね。
集めるだけなら、Syslogサーバで十分では?




ログ管理は何か問題となることが発生した時に、その時系列や何処が起因しているかを調べる為に使います。

ポイントは素早く探したい場所にたどりつき、前後関係を判断できるかです。
Syslogサーバーの管理ではログをフィルタし、対象を探していきます。

FortiAnalyzerを利用すると、時系列の関連性をGUIから確認したり、
対象期間をフィルタしてレポートを作成させることで前後関係を視覚的に判断できるようになります。

これは問題発生の確認や、定期的な状況把握にも利用できます。

構成
FortiGateとは、ネットワーク的に接続されていれば構いません。FortiGateのポートを、FortiAnalyzer専用に接続しても構いません。

ログ処理は、

・リアルタイムに FortiAnalyzerへ送信する
・定期的に保存したログを FortiAnalyzerへ送信させる

の2つのパターンを選択できます。

リアルタイム性を考慮する場合は、出来るだけ FortiGateと FortiAnalyzerは近いポイントで設置する
構成が望ましく、定期的な場合は拠点間の回線帯域を圧迫できない場合に利用されます。

また専用のストレージを使うことで長期間のログを保存し、そのデーターから様々なレポート、
必要期間のデーター抽出を実施できます。

導入構成は単体、冗長、親子連携と様々な構成にマッチした内容で導入できます。

単体の場合、FortiAnalyzerは冗長化していませんので NAS等に定期的にログを
Updateした方が望ましいです。

冗長構成の場合、NAS等のストレージを設けることなく FortiAnalyzerを冗長できます。

親子関係とは、Analyzer(親)、Collector(子)の関係を FortiAnalyzerで構築します。

FortiGateは Collecotrにログを転送します。
Collectorは定期的に Analyzerへ保存したログを転送します。
Analyzerは Collectorから転送されたログをレポート等にまとめます。

これは FortiAnalyzerの負荷分散、FortiGateが集線する回線帯域により構成をさせるものになります。


また FortiAnalyzerもハード(物理)、仮想化(VM版)と様々な環境に適応させることが出来ます。

FortiGateを勉強する女性SE (17)
FortiGateがHAを組んだ場合は、両方のログを出力するのですか?






その場合は、FortiAnakyzer側で FortiGateを登録する際に HA(クラスタ)として認識させた
登録が可能です。
登録後、FortiGateの(Active、Slave)両方のログを管理できるようになります。

価格
管理するデバイスが最小 5台で、約 50万円からスタートします。

管理画面は複数のデバイス、ログ内容を視覚的に見やすく確認できる GUIとなっています。
Top画面)
FortiAnalyzer-Top

FortiView)
FortiAnalyzer-view


↑このページのトップヘ