FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
FortiGateの100Gのsfp

FortiGateシャーシにいれた100GのSFP

各コマンドでは grep を利用し検索をかけることができます。

例えば Showコマンドで Configの内容を確認したい場合に、

> show | grep -f "internal"

と入力すると、以下のように Internal に関連した Config階層を一覧で出力させることができます。

FortiGate-show-grep

-f のオプション以外に以下があります。

・-i  該当される検索文字のみ出力
・-n 項番を付けて出力 (Configの場合、Config内の番号順)

これは show コマンド以外にも get、diag と利用できます。
 

SSL-VPNやVPNクライアントを設定するには、Forticlientをインストールする

http://www.forticlient.com/

これは、Endpointのウイルス対策としても機能する。

しかも、無料!
すごい。

■主系の設定
config system ha ←HAを設定するモードに入る
set group-name "fw-ha" ←HAのグループ名(※主系と副系で一致させる)
set mode a-p ←Active-Standbyモード
set hbdev "wan2" 0 ←HeartBeatのインターフェースとしてwan2を指定する
set override disable ←自動切り戻しをしない
set priority 200 ←主系は優先度が高い(200)
set monitor "internal1" "wan1" ←監視ポートとして、internalとwan1のインターフェースを設定する。このポートとの通信ができなくなったら、副系にその旨を伝え、副系がActiveに切替わる

■副系の設定
config system ha
set group-name "fw-ha" 
set mode a-p 
set hbdev "wan2" 0
set override disable
set priority 100 ←副系は優先度が低い(100)
set monitor "internal1" "wan1"

↑このページのトップヘ