FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:2.基本設定 > 2.11 AWSとFortiGate

AWSにサーバを構築することを増えていると思います。AWS上の仕組みでFWを持たせるのも有効ですが、人によっては使い慣れたFortiGateを使いたいという人もいると思います。

FortiGateはAWSのMarketPlaceに販売されていて、AWS上で展開が簡単にできます。(とはいえ、AWSのネットワークの基本的な知識が必要で、専門の会社さんに相談するのがいいと思います。

以下に、作成するインスタンスとポート数の情報がありますし、また、関連するファイルもありますので、参考にしてください。
https://docs2.fortinet.com/vm/aws/fortigate/6.0/about-fortigate-for-aws/6.0.0/261537/instance-type-support

AWS内でLANを作成することに関しては、以下がわかりやすいと思います。
https://www.slideshare.net/AmazonWebServicesJapan/webinar-aws-43351630

■補足
①AWSのマーケットプレイスのシグネチャ情報
起動した時点では、IPSなどのシグネチャが古い。たとえば、IPS定義

システム>FortiGuard>アンチウイルスとIPSのアップデートにてAV&IPS定義を更新を押す。
すると、しばらくすると更新される。
続きを読む

AWSとForigateでVPN接続をし、企業とクラウド上でネットワークを構築してみよう。

(1)環境
AWS VPC 172.16.0.0/16

企業側 グローバルIP x.x.x.x
      社内ネットワーク192.168.1.0/24

(2)設定の流れAWS側
https://nwengblog.com/awsvpn/
VPCのメニュー>仮想プライベートネットワーク(VPN)を上から順に設定していく。
①カスタマーゲートウェイの作成 →VPNの対向のルータの情報
 VPCのメニュー>仮想プライベートネットワーク(VPN)
 カスタマーゲートウェイの作成で
  ・名前: 
  ・ルーティング: 静的
  ・IPアドレス:対向のFortigateのIPアドレス 203.0.113.8
   ※それ以外はデフォルト

②仮想プライベートゲートウェイ →自分のVPNルータ
 ・上記の下にある「仮想プライベートゲートウェイ」
  任意の名前を付ける。それ以外はデフォルト
 ・作成したら、VPCに関連づける。 
   作成した仮想プライベートゲートウェイを選択して「アクション」「VPCにアタッチ」で、関連づけたいVPCを選ぶ。

③サイト間のVPN接続
 ・VPN 接続の作成 ボタンを押す
 ・上から、Virtual Private Gateway を選んで、作成した仮想プライベートゲートウェイを選ぶ
 ・カスタマーゲートウェイは「既存」を選び、作成したカスタマーゲートウェイを選ぶ
 ・ルーティングオプションは「静的」を選び、対向のセグメントを入れる(たとえば、192.168.1.0/24)
 ・トンネルオプション トンネル1の事前共有キーを設定「tofortigate」など。 ※トンネルが2つ作成されようとしているが、私は1つしか作らなかった。
 ※ここから課金が発生する。1時間0.01ドルくらいかな?
 設定のダウンロードを押すと、FortigateのGUIでどう設定すればいいかの具体的な方法が記載される。なんて便利なんだーー。
④ルートテーブル
 VPCの画面などから「ルートテーブル」をクリック。
 該当するサブネットのルートテーブルを探し、「ルートの編集」でルートを追加する。
 対向セグメント(たとえば192.168.1.0/24)を指定して、ターゲットとして作成した仮想プライベートゲートウェイを選択する(一番下にある)
⑤セキュリティグループの設定 
 必要か?
⑥状態確認
 Fortigateと接続してからになるが、「サイト間のVPN接続」から
該当するVPNを選び、下の「Tunnel Deatails」で「アップ」になっていればいい。

(3)Fortigate側
①Fortigateにログインし、VPN>IPsecトンネル 新規作成
 ここでは強制的にウィザードになってしまうので、あきらめてウィザードで進める
 ・VPNセットアップ 名前を入れる。
 ・テンプレートタイプ:サイト間
 ・NAT無し
 ・ローカルIFはlan
 ・ローカルサブネット、リモートサブネットに、それぞれNW情報を入れる
 ・インターネットアクセスはNoneにした
②作成したIPsecトンネルであるが、「カスタムトンネルへコンバート」
 基本的には以下の通り
 https://www.ikura-oisii.com/?p=191
  ・フェーズ1プロポーザルで、SHA1-AES128、DHグループは2のみ。鍵のTTLは28800  
 ・フェーズ2では、SHA1-AES128、DHグループは2のみ。鍵のTTLは3600、自動鍵キープアライブをON
③ポリシーも確認
 ・ポリシー&ルーティング:lanのセグメント(192.168.1.0/24)と、リモートセグメント(10.0.0.0/16←本当は10.0.1.0/24としたいが、ConfigをみるとVPCが適切のようだ)
  インターネットアクセスは、Noneにした。(必要がないので) 
③インターフェースをみよう。 WAN1にトンネルインターフェースが作成されている。+ボタンで押そう
  アドレスとして、configに記載された、自分と相手のIPアドレスを入れる ★デフォルトの0.0.0.0のままでもいい気がする
④ルーティングは作成されているはず
 Configと中身を確認しよう
⑤ポリシー
 こちらも作成されているはず
⑥状態確認
 IPsecモニタで、「アップ」にする。
とりあえず接続は完了。

ルーティングはサブネットにするのか、VPCに設定するのだろうか。今回はVPCに入れてみた。
新規にVPCを作成したらうまく接続できた。上のURLの通りにやること。

(4)疎通確認
FortigateのCLIから直接Pingを送信してみたが、うまくいかなかった。配下のPCから行うと、無事に疎通できた。

検証としては、イメージを作成して配信などもやりたい。
認証連携、二要素認証、バックアップ環境の構築など。

方法はいくつかあると思うが、TransitGWを使うといいのではないか。ルータとして、経路制御をコントロールできる。
2つのVPCの間にこのTransitGWを設置し、TransitGWのデフォルトルートをFortigate にする。
以下に資料が配置されている。
https://www.fortinet.com/jp/demand/gated/fgvm-aws-transitgw

まあ、普通にできますね。続きを読む

スポンサードリンク

↑このページのトップヘ