FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:2.基本設定 > 2.1 初期設定

■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。

■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。

■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
fortigate
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
 PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
 
ipconfigで見てみると、次のようになっています。
C:\>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
  接続固有の DNS サフィックス . . . . .:
  リンクローカル IPv6 アドレス. . . . .: fe80::XXX
  IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
  サブネット マスク . . . . . . . . . .: 255.255.255.0
  デフォルト ゲートウェイ . . . . . . .: 192.168.1.99

②https://192.168.1.99/にアクセスします。
admin PWなしでログインします。

③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
2
あとは、PCをFortiGateのLAN側に接続するだけです。

CLIの場合
シリアルケーブルを接続し、TeraTermやハイパーターミナルなどからアクセスします。

初期ID「admin」、パスワード「(無し)」を入れます。

FGTXXXXXX login: admin
Password:

Welcome !

※初期設定ではホスト名(FGTXXXXXX)はシリアル番号になっています。

WebUIの場合
PCとFortiGateをLANケーブルでつなぎます。
FortiGate60Cの場合、LANポートの1~5のいずれかのポートに接続します。
初期化された状態であれば、DHCPでIPアドレスが自動で割り当てられます。
※固定でIPアドレスを設定する場合は、192.168.1.0/24セグメントのIPアドレスをPCに割り当てます。たとえば、
192.168.1.101/24 

PCのブラウザからhttps://192.168.1.99/へアクセスします。
httpの場合はhttpsにリダイレクトされます
fortigate_login

5.4以降のOSでは、画面が以下に変わりました。
login

ID、パスワードを入力します。
※初期ID「admin」、パスワード「(無し)」を入れます。

ログインが成功し、ダッシュボード画面が表示されます。
dash

初期設定(最低限のFWとしての設定)の流れは以下である。
①言語を日本語にする
②TimeZoneを日本にする
③インターフェースの設定(LANとWAN)
④ルーティングの設定
⑤ポリシーの設定

①初期化された状態だと英語なので、日本語に変える
System>Admin>SettingsのView Settings のLanguageをEnglishからJapaneseに変更し、画面下方の「Apply」を押す
fortigate_lang


② Time Zoneの設定
Dashboard>ステータスの システム情報の「システム時間」の[変更]ボタンを押す。次の画面で、タイムゾーンをGMT+9:00(日本)にする。OKボタンで決定。fortigate_timezone  

③インターフェースの設定(LANとWAN)
システム>ネットワーク>インターフェースを開く
設定する物理IFを選択する。
 fortigate_if
今回はinternal(LAN側)をまずは変更するので、ダブルクリック
fortigate_ip
このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

WAN側も同様。PPPoEの設定をする場合には、以下のようにPPPoEのラジオボタンを選択して、情報を入力する。
fortigate_pppoe

以下の④、⑤は設定せずとも通信できることもある。

④ルーティングの設定
PPPoEの場合は、自動でデフォルトGWが設定される。

⑤ポリシーの設定 
Policy & Objects>IPv4にてポリシーを設定する。
デフォルトで、internal(内部)からWAN1(外部)へのポリシーが許可されている。
NAPTの設定もされているので、インターネットに接続できる。
fortigate_policy

↑このページのトップヘ