FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

SSL-VPNやVPNクライアントを設定するには、Forticlientをインストールする

http://www.forticlient.com/

これは、Endpointのウイルス対策としても機能する。

しかも、無料!
すごい。

■主系の設定
config system ha ←HAを設定するモードに入る
set group-name "fw-ha" ←HAのグループ名(※主系と副系で一致させる)
set mode a-p ←Active-Standbyモード
set hbdev "wan2" 0 ←HeartBeatのインターフェースとしてwan2を指定する
set override disable ←自動切り戻しをしない
set priority 200 ←主系は優先度が高い(200)
set monitor "internal1" "wan1" ←監視ポートとして、internalとwan1のインターフェースを設定する。このポートとの通信ができなくなったら、副系にその旨を伝え、副系がActiveに切替わる

■副系の設定
config system ha
set group-name "fw-ha" 
set mode a-p 
set hbdev "wan2" 0
set override disable
set priority 100 ←副系は優先度が低い(100)
set monitor "internal1" "wan1"

専用ケーブルの必要あり
FortiGateの場合、2台のFWを接続するHAポートは、HAの専用ポートではなく、任意に指定したポートを使用します。ケーブルも専用ケーブルではなく、通常のLANケーブルです。また、両FWの間にSWを挟むこともできます。
注意点として、HAのポートはHA専用で使用する必要があります。

HAケーブルの目的
2台のFWを結ぶ目的は、Config同期とHearBeatのパケット送受信、Session同期です。

HAケーブルの冗長化
・通常はHA用にケーブルが1本あればいい。(必要に応じて冗長化)
・HA用のケーブルと、Session同期用に別ケーブルを用意してもいい。この場合、HAケーブルには、Config同期とHearBeatのパケット送受信のみが流れます。
・上記をそれぞれ冗長化する場合は、ケーブルは4本(以上)になる。

FortiGateの場合、以下です。
 ① Config
 ② セッション情報 ※有効、無効の設定ができます
 ③ ルーティングテーブル
 また、これらの管理情報は,HAポート経由でFGCPを使って通知しています。

↑このページのトップヘ