FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateを勉強する女性SE (21) 

WebフィルタとURLフィルタは別物って、どういう意味ですか?
FortiGateでは、WebフィルタとURLフィルタを分けています。
ライセンスを購入した場合はWebフィルタを利用します。基本はカテゴリベースです。
ライセンスを購入しなかった場合は、URLフィルタを利用します。ホワイトリストで書く必要があります。

WebフィルタとURLフィルタの切り替え
有償ライセンスを購入した場合、WebフィルタとURLフィルタの切り替えをProfile単位で設定することができます。
設定は、一番上の「FortiGuardカテゴリーによるフィルタ」を無効(灰色。ボタンをクリックで切り替え)します。加えて、下にある「URLフィルタ」を有効にします。
どちらも有効にすることはできません。(設定は可能ですが、上の「FortiGuardカテゴリーによるフィルタ」が機能します。
FortiGate-WebFilter4

URLフィルタリングはURLのフィルタです。つまり、たとえば以下がURLです。
http://www.viva-fortigate.com/archives/70705139.html

では、以下のURLフィルタはできるのでしょうか。
FortiGateでは、Webフィルタ(ライセンス購入)とURLフィルタ(ライセンス未購入)を分けています。以下の内容は、Webフィルタならすべてできますが、URLフィルタの場合は、以下のように可否があります。

IPアドレス
(例)192.168.1.1

→ 可能

IPアドレスが含まれるURL
(例)http://192.168.1.1/archives/70705139.html

→ 可能

ドメインおよびサブドメイン
(例)viva-fortigate.com

→ワイルドカードを使えば可能

サブフォルダ
(例)http://www.viva-fortigate.com/archives/
 ※完全なURLではなく、途中まで。

→途中までは無理。サブフォルダまでの完全一致であれば可能。

URLの一部が一致
(例)URLの一部にfortigateが含まれている場合。

→前後にワイルドカードを入れて「*fortigate*」という設定で可能。

■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。

■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。

■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
fortigate
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
 PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
 
ipconfigで見てみると、次のようになっています。
C:\>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
  接続固有の DNS サフィックス . . . . .:
  リンクローカル IPv6 アドレス. . . . .: fe80::XXX
  IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
  サブネット マスク . . . . . . . . . .: 255.255.255.0
  デフォルト ゲートウェイ . . . . . . .: 192.168.1.99

②https://192.168.1.99/にアクセスします。
admin PWなしでログインします。

③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
2
あとは、PCをFortiGateのLAN側に接続するだけです。

SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。

同梱されるモデルは、

・FortiGate-300D、FortiGate-500D
  SFP-SX モジュール ×2 個が同梱されています。
  FortiGate-300D-SFP-SX







・FortiGate-1500D
  SFP+ モジュール ×2個が同梱されています。
FortiGate-300D-SFP-SX







その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。

↑このページのトップヘ