FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear











FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D
FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

価格
お金を支払う企業からすると、重要です。

FortiCloudで無料アカウントを作成したのですが、すこしトラブったので記載します。

以下にログインおよびアカウント作成のページがあります。
https://login.forticloud.com/servicelist
a













ここでログインに成功するアカウントで、何度FortiGateでログインしてもエラーになりました。
※アカウントはダミー
c
日本専用のJPサーバでのアカウントと、別のようでした。
https://jplogin.forticloud.com/login
b
こちらでログインできるアカウントであれば、無事に成功しました。

Webフィルタとは
許可するWebサイトをフィルター(選別)することです。

Webフィルタリングの目的
社員に対し、業務に関係が無いサイトへのアクセスを禁止することです。
たとえば、FortiGuardカテゴリにある「アダルト/成人コンテンツ」や「一般的な趣味・関心」にある「ゲーム」「スポーツ」「オークション」などを禁止します。

加えて、セキュリティを守るためにも大事な機能です。
たとえば、攻撃者は自らが用意した不審なサイトに巧みに誘導し、ウイルスを感染させたり、情報を抜き取ったりします。それらのサイト(C&Cサーバ)への通信をFortiGateが自動で防御するのです。
 
FortiGateのWebフィルタリングでできること
・FortiGuardカテゴリ単位で、Webをフィルタリングする。
・ブラックリストとして、個別のURLのフィルタリングの設定
・上記のWebフィルタリングをポリシーとして、セグメント単位などのグループ単位で設定を適用
・設定したWebフィルタリングに対して、許可、ブロック、モニタ、警告、認証の5つの設定ができます。
・3つの検知モード(Inspection Mode)が選べます。負荷と検査の精度のバランスに応じて設定できます。
・その他、詳細な設定ができますが、詳しくは設定の記事で記載します。

ライセンス
Webフィルタリングを利用するには、別途ライセンスが必要です。
Webフィルタリング用のライセンス(1年更新)を購入するか、AVやIPSなどの機能が含まれたバンドル版を購入します。
フィルタリングするURLを手動で設定(ブラックリスト)をする場合は、ライセンスは不要です。

その他(詳細情報)
・Webフィルタリングのエンジンは独自です。
・フィタリングの情報は、定期的に更新されます。更新周期は非公開です。この点は、ここにも記載。

↑このページのトップヘ