FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ: 6.各種の高度な設定

FortiGateを勉強する女性SE (19)

VRRPだと、実IP以外に、仮想IPアドレスがありますね




FortiGateの場合は、少し異なります。
HA用に実IPが一つだけ割り当てられます。(MACアドレスは仮想MACが割当てられます)
具体的例は、以下です。
FW1 IPアドレス 10.10.1.1/24 実mac mac1 仮想MAC mac-v
FW2 IPアドレス 10.10.1.1/24 実mac mac2 仮想MAC mac-v

VRRPとは違いま、2台のFWでじゃ、共通のIPアドレスをそのまま使います。しかし、管理したいときに、Standby側に通信ができません。そのため、FWの管理用ポートに管理用セグメントを設けて、そこに管理IPアドレスをそれぞれ割り当てます。
FW1 管理用IPアドレス 192.168.1.1/24
FW2 管理用IPアドレス 192.168.1.2/24
※上記の実IPアドレスとは完全に分断されているので、同一セグメントでも問題ない

■主系の設定
config system ha ←HAを設定するモードに入る
set group-name "fw-ha" ←HAのグループ名(※主系と副系で一致させる)
set mode a-p ←Active-Standbyモード
set hbdev "wan2" 0 ←HeartBeatのインターフェースとしてwan2を指定する
set override disable ←自動切り戻しをしない
set priority 200 ←主系は優先度が高い(200)
set monitor "internal1" "wan1" ←監視ポートとして、internalとwan1のインターフェースを設定する。このポートとの通信ができなくなったら、副系にその旨を伝え、副系がActiveに切替わる

■副系の設定
config system ha
set group-name "fw-ha" 
set mode a-p 
set hbdev "wan2" 0
set override disable
set priority 100 ←副系は優先度が低い(100)
set monitor "internal1" "wan1"

専用ケーブルの必要あり
FortiGateの場合、2台のFWを接続するHAポートは、HAの専用ポートではなく、任意に指定したポートを使用します。ケーブルも専用ケーブルではなく、通常のLANケーブルです。また、両FWの間にSWを挟むこともできます。
注意点として、HAのポートはHA専用で使用する必要があります。

HAケーブルの目的
2台のFWを結ぶ目的は、Config同期とHearBeatのパケット送受信、Session同期です。

HAケーブルの冗長化
・通常はHA用にケーブルが1本あればいい。(必要に応じて冗長化)
・HA用のケーブルと、Session同期用に別ケーブルを用意してもいい。この場合、HAケーブルには、Config同期とHearBeatのパケット送受信のみが流れます。
・上記をそれぞれ冗長化する場合は、ケーブルは4本(以上)になる。

FortiGateの場合、以下です。
 ① Config
 ② セッション情報 ※有効、無効の設定ができます
 ③ ルーティングテーブル
 また、これらの管理情報は,HAポート経由でFGCPを使って通知しています。

FortiGateの場合、Standby機がActive機の故障を知る手段は、以下になります。
①HAケーブル経由でのハートビート(hello)のロスト
②Active機が監視しているポートのLinkDown 
③デフォルトGWなど特定端末への pingやTCPなどのポーリングに失敗した場合
 
この中で、①はStandby機が検知します。②と③はActive機が検知し、HAポートを介してその旨をStandby機に伝えます。
①ですが、デフォルト設定は 200ms間隔でハートビートを送信し、6回の受信失敗で状態遷移します。なので、約1~2秒で切り替わります。

FortiGateでは、デフォルトの設定では自動切り戻しをしません。
「override enable」という設定を入れることで、自動切り戻しをします。

FortiGateを勉強する女性SE (20)

なぜ、デフォルトでは自動切り戻しをしないのですか?
自動で戻った方が便利だと思います。
FortiGateの場合、切り戻しによる切断時間は、わずか1、2秒と非常に短時間です。しかし、たとえ数秒であっても、FWの切断は業務に影響を及ぼす可能性があります。
よって、自動切り戻しをさせずに、夜間などの業務終了後に手動で切り替えることが多くなります。

また、HAで状態遷移した際、FortiGateは G-ARPを送出する事で、周りのネットワーク機器のテーブル情報を更新させます。ただ G-ARPに反応しないネットワーク機器も存在します。その場合は FortiGateのHA設定に下記を追加する事で、状態遷移にあわせモニタインターフェースを強制的にDown/UPさせ、テーブル情報を更新させる事ができます。

> config system ha
>    set link-failed-signal enable
> end

server_lb_loadbalance

〇 SSLオフロード 選択画面
server_lb_loadbalance2
クライアント <-> FortiGate の場合、WebServerと FortiGate間は平文(http)
クライアント<->FortiGate<->サーバの場合、WebServerと FortiGate間も暗号化

〇証明書 選択画面
server_lb_loadbalance3
FortiGateに証明書をインポートして利用

FortiGateは FortiAPと言う無線 APの管理、制御を行うことが出来ます。

また FortiAPと FortiGate間で、

・CAPWAPトンネル(UTMを無線通信に利用可能)
・FortiAPでブリッジ

を行えます。

同様に無線Clientのアソシエート情報やノイズ状況など電波出力状態を監視
することも可能です。

WiFiコントローラは、システム>設定>フィーチャーより以下を有効にし
設定を行います。

fortigate-wifi1
 
設定項目は GUIの左にある項目に Wifiコントローラー項目として追加されます。fortigate-wifi2

各設定項目は、

・WiFiネットワーク
 SSID:ココで作成した名称が FortiGateからは無線インターフェース名として認識されます。
     一般的な無線の暗号化方式や DHCPサーバーの設定などを行います。

 FortiAPプロファイル:FortiGateが管理する APの種別、電波出力状況、IEEE規格などを設定します。

 WIDS:無線用の IPS設定を行います。
      デフォルトプロファイルがあるので、そのまま利用するで構いません。

・マネージドアクセスポイント
 FortiGateがどの APを管理下に置くかを決めます。
 ココで管理下に置くことを決定すると、WiFiネットワークで作成したプロファイル情報を APに流し込みます。
 ※APは ZeroConfigで動きます。

・モニター
 FortiGateの管理下にある APの状況、クライアントの状況を GUIで確認できます。

□WiFiネットワーク
fortigate-wifi3-int1

インターフェース名:FortiGateから見ると仮想インターフェースで認識します。
             このインターフェースを使い、Firewall Policyを適用できます。

トラフィックモード:CAPWAPを利用するか、ブリッジで利用するかを選択します。

WiFi設定:無線用の SSIDなど設定を行います。

※Broadcast SSID 設定はデフォルトで有効になっています。
 これはビーコンで SSIDを周囲に通知する設定です。ステルス(周囲に SSIDを通知したくない)場合は
 チェックを外してください。

その他設定は通常のインターフェースで設定する DHCP、デバイス識別、ExplicitProxyなど
を設定します。

※無線の設定を行う場合、下記設定を注意してください。
 > config wireless-controller setting
   > set cuntry JP
   > ed

    無線を利用する国の指定が JP:日本 を示していること。


□FortiAP プロファイル
fortigate-wifi3-ap1

FortiGateが管理する 無線APをどのようなモードで使うか設定します。

アクセスポイント:無線APとしての利用です。無線クライアントをアソシエートします。
モニタ専用:不正な無線APの配置がないか探索するモードです。
         必要であればその不正な無線APからの通信を防ぐ事もできます。

無線資源自動配置:電子レンジなど無線通信に影響が考えられる chを外し、無線APを配置します。

クライアントロードバランス:周波数(2.4Ghz → 5Ghaz) 干渉の少ない方に誘導
                 APハンドオフ 干渉の少ない方に誘導

 □WIDSプロファイル
 fortigate-wifi3-wids1

Rouage AP検知を有効:にチェックすることで、不正な AP配置がないか監視します。
必要に応じ不正とみなす APからの通信に Resetパケットを返信し、トラフィックを防御させることもできます。

その他、多様な侵入タイプに対し「しきい値」、間隔を設定することも出来ます。

□マネージドFortiAP
fortigate-wifi3-manage1

 FortiGateの管理下に置く無線AP(FortiAP)を選択します。
承認ボタンを押すと、管理下に置かれます。

承認すると、上記「状態」のオレンジマークが、緑マークに変化します。
fortigate-wifi3-manage2


管理下にある FortiAPは定期的に FortiGateから監視しています。
監視が途絶えるとログ等で通知します。

Capwapモードの場合は FortiGateとトンネルを確立するため、監視が途絶える=通信が出来なくなる状態です。
ブリッジモードの場合は、監視が途絶えるだけで無線AP側の通信は維持します。
但し無線APが再起動などしている場合は、その間の通信は出来ません。


同様に、管理下に置いた APを再起動、ファームアップ、プロファイルの変更を行うことが出来ます。 

スポンサードリンク

↑このページのトップヘ