FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

操作、設定の順番は、以下です。(設定の概要を示しています)
① SSL VPN用のユーザー、ユーザーグループ情報の作成
② SSLポータル情報の作成
③ SSL VPNの設定
 どのインターフェースで SSL VPNを受けて、どのユーザーと SSLポータルを関連付けるか設定します
④ ③の情報を基に、Firewall Policyを作成します

① SSL VPN用のユーザー、ユーザーグループ情報の作成
User-1User-2User-3User-4User-5

User-6

② SSLポータル情報の作成
SSL-Potal1SSL-Potal2SSL-Potal3SSL-Potal4
③ SSL VPNの設定 
どのインターフェースで SSL VPNを受けて、どのユーザーと SSLポータルを関連付けるか設定します

SSL-Conf1SSL-Conf4SSL-Conf5SSL-Conf6SSL-Conf7
④ ③の情報を基に、Firewall Policyを作成します
SSL-Policy1SSL-Policy3

FortiGateをプロキシサーバとして動作させます。
キャッシュ機能を有効にすることはあまりお勧めではありませんが、通信を終端してプロキシ機能を有効にします。既存プロキシサーバを統合する目的での利用が多いことでしょう。

① 設定の有効化
「システム」「FeatureVisibility」にてExplicitプロキシをオンにすることで設定画面項目をGUIに表示する

ExplicitProxy有効化

② プロキシサーバとしての設定

まず、機能として有効化する
次にプロキシサーバとして通信を受けるインタフェースを選択して、利用するポート番号など、プロキシーサーバとしての基本事項を設定する。
PACファイルを利用したい場合にも対応可能
①②でプロキシサーバとして有効化、動作する状態となっているため、続いてプロキシサーバとしての通信ポリシーを以下にて設定する
ExplicitProxy設定

③ プロキシサーバの通信ポリシー

ポリシー&オブジェクトのプロキシポリシーにて専用ポリシーを設定する
出力インタフェース、送信元、宛先アドレスを指定し、プロキシー通信に適用したいセキュリティ機能を設定する(例:アンチウィルス、ウェブフィルタ)
※明示的にクライアントブラウザでプロキシサーバを設定する利用方法がプロキシタイプのExplicitWebであり、指定せずに透過的にプロキシ処理する
 方法は、トランスペアレントWebであり、タイプで選択可能また、通信ログに関してもWebフィルタを有効化することでコンテンツレベルのログまで取得可能
ProxyPolicy設定


④ プロキシサーバのポリシーリスト確認

ProxyPolicyList

古すぎるのは入りません。
ですが、たとえば最新のFOSである6.0.2(2018.10時点)であれば、60Eではなく60Dや30Dでも動作します。

LAGが組めるかなどの、機能の違いもあります。
以下の表を確認してください。(FortiOS V6.0.2の場合)
https://docs.fortinet.com/uploaded/files/4683/SWMTX-602-201809-R29.pdf

アラートメールを送る方法には、「ログ&レポート」から設定する方法1と、「セキュリティファブリック>オートメーション」から設定する方法2の2種類があります。

【方法1】「ログ&レポート>Eメールアラート設定」からの設定
「ログ&レポート」より「Eメールアラート設定」を選択します。

【方法2】イベントメッセージからアラートメールを設定する場合
①「セキュリティファブリック>オートメーション」から「+新規作成」をクリックします。
②「新規オートメーションステッチ」の画面で、適宜名前を入力し、トリガーの中から「イベントログ」を選択します。
イベントログのアイコン下に表示されるイベント項目の「 + 」をクリックします。
③画面右に「エントリを選択」が表示され、複数のイベントメッセージから項目を選択できます。

FortiGateを勉強する女性SE (はてな) 

どう使い分けるのですか?
大きな違いの一つとして、前者は、機器単体、後者は複数機器にまたがったアラート設定ができることがあります。
ですから、FortiGateが複数ある場合はセキュリティファブリックからの設定になります。

また、前者の「E-メールアラート」は、機器単体が安定稼働しているかを判断する管理(Disk超過や設定変更、HAステータス等)、セキュリティ(AV、IPSの検知)が主です。
そして、通知内容は決められており、特定のイベントを追加することはできません。できるのは、セベリティレベルの変更だけです。

↑このページのトップヘ