FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiManegerとは
FortiManegerは複数の FortiGate、FortiAPなどのデバイスを管理する製品です。
とくにポリシーや Version、シグニチャなどの UTM機能で利用するデータベースを共通管理し、運用者にかかる工数を軽減させる手助けを行います。

UTM機能におけるパターン(データーベース)管理が出来ることで、もっとも弱くなるセグメント(拠点、とくに出先、又は取引先)に対し有効なポリシー管理を提供できます。

機能
FortiGateを勉強する女性SE (18) 

画面を一元的に見ることができるだけですね。
だったら、FortiGateに一つ一つログインして確認すればいいと思います。



台数が少なければそれでもいいでしょう。でも、台数が増えると、管理工数が増えますよ!

FortiManagerの代表的な機能を整理すると、以下になります。

①複数のFortiGateを1つの画面で集中管理できる

②複数のFortiGateの設定を一元的に変更できる
 基本全ての設定変更が可能です。

 設定は 

 ・基本設定部分 (DNS、NTP、Log管理など)
 ・Firewall Policy部分(アドレスオブジェクト、グループ、UTMプロファイル等)
 ・VPN設定部分(IPSecVPNのスター構成など)

 上記を一元的に変更したり、各 FortiGateの設定情報の Backupをしたり
 できます。

③設定ファイルやシグネチャの一元配信
 
 
FortiGateから UTMシグニチャの配信を受ける宛先を FortiManagerで
 請け負うことができます。言い換えれば FortiManagerがシグニチャ配信や
 Web、SPAM DBの Proxyをするイメージです。

 例えば、

 ・インターネットアクセスさせない環境下だがシグニチャの配信は受けたい
 ・シグニチャ、パターンファイルの Versionを完全に管理したい

 場合に利用します。

導入構成
導入構成は、1台、冗長と様々な形で導入できます。
また製品にはハード(物理)、仮想化(VM版)の両方があります。

これは導入パターンの幅を広げる柔軟性を提供していることを意味します。

※余談ですが Fortinet製品はハード、仮想化と両パターンを提供する製品が多いです。

価格
価格については管理デバイス数によりますが、最小 30台を管理するとして、
約 100万円からのスタートになります。

管理画面
管理画面は複数のデバイスを管理しやすい GUI構成となっています。
また日本語化されており、とくに FortiGateでは CLI操作で設定する内容をFortiManagerは GUIで全て設定を行うことができます。 

トップ画面)
FortiManager-Top 

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear











FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D
FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

価格
お金を支払う企業からすると、重要です。

FortiCloudで無料アカウントを作成したのですが、すこしトラブったので記載します。

以下にログインおよびアカウント作成のページがあります。
https://login.forticloud.com/servicelist
a













ここでログインに成功するアカウントで、何度FortiGateでログインしてもエラーになりました。
※アカウントはダミー
c
日本専用のJPサーバでのアカウントと、別のようでした。
https://jplogin.forticloud.com/login
b
こちらでログインできるアカウントであれば、無事に成功しました。

↑このページのトップヘ