FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ: 1.FortiGateとは

アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html

では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。

小さい会社でインターネットが出来ればいい。一番安いモデルで!
・FG-60D-US   FortiGate-60D  152,000

1Gbpsのインターネットで、UTM機能を使いたい
①初期費用
・FG-100D-BDL-US   FortiGate-100DUTM機能バンドル版  652,000

②ランニング(ソフトウェアライセンス)
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000
・FC-10-00116-108-02-12   FortiGate-100D IPS/Application Control機能追加ライセンス 1年間  87,000
・FC-10-00116-112-02-12   FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
FortiGateを勉強する女性SE (納得いかず)

アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US   FortiGate-100D  501,000
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000

大規模な会社で、SFPポートも使いたい
①初期費用
・FG-1500D-US   FortiGate-1500D  6,554,000
・SFP 基本 2つの SFPモジュールが製品に同梱されています。

②ランニング(ソフトウェアライセンス)
・FC-10-01500-100-02-12   FortiGate-1500D AV機能追加ライセンス 1年間  1,425,000
・FC-10-01500-108-02-12   FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間  1,140,000
・FC-10-01500-112-02-12   FortiGate-1500D Web Filtering機能追加ライセンス 1年間  2,280,000

FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。

詳しくは以下を参照ください。
http://www.viva-fortigate.com/archives/cat_697020.html

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

代表モデル(製品)
・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。
FortiGateを勉強する女性SE (はてな)

100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

モデル製品一覧
モデル一覧と、詳細なスペックは以下です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

項目について、いくつか解説します。

IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear











FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D
FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

価格
お金を支払う企業からすると、重要です。

SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。

同梱されるモデルは、

・FortiGate-300D、FortiGate-500D
  SFP-SX モジュール ×2 個が同梱されています。
  FortiGate-300D-SFP-SX







・FortiGate-1500D
  SFP+ モジュール ×2個が同梱されています。
FortiGate-300D-SFP-SX







その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。

3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
FortiGateの100Gのsfp

FortiGateシャーシにいれた100GのSFP

52
※友人がFortigate社に訪問したときに撮影

Fortinetは Fortify(守る)と  Networkを組みあわせた社名です。

FortiGateを作っているのはFortinet社です。どうせなら、同じ名前にすればいいのではないかと思いますが、FWやメールセキュリティなどのシリーズごとに名前を変えています。

創業者は、同じくFWで市場を占有したNetScreenの創業者の一人であるKen Xie(ケンジー)さんです。日本にもたびたび来られるようです。

日本のカントリーマネージャは、H3Cなどでカンマネを勤められた、久保田則夫さんです。

当初は APsecure社(1998年)と言う社名で創業しています。
創業当初より AP(アプリケーションプログラム)を意識し、「セキュリティがトラフィックのボトルネックにならない」をコンセプトに比類ないパフォーマンスを提供することを目指しています。

また初の製品出荷にあわせ Fortinetに社名を変更し、

・Gate (門番)
・Mail (メール専用)
・Web (WAF)
・Client (クライアントPC用) 等々。。。

以降  Forti〇〇 と社名を関しセキュリティポイントにあわせた製品群を提供しています。

業界で唯一の ASICを開発し、グローバルなセキュリティ研究機関を保有する稀な会社です。 
09
 ※友人がFortigate社に訪問したときに撮影

↑このページのトップヘ