FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ: 2.基本設定

■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。

■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。

■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
fortigate
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
 PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
 
ipconfigで見てみると、次のようになっています。
C:\>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
  接続固有の DNS サフィックス . . . . .:
  リンクローカル IPv6 アドレス. . . . .: fe80::XXX
  IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
  サブネット マスク . . . . . . . . . .: 255.255.255.0
  デフォルト ゲートウェイ . . . . . . .: 192.168.1.99

②https://192.168.1.99/にアクセスします。
admin PWなしでログインします。

③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
2
あとは、PCをFortiGateのLAN側に接続するだけです。

Fortigate-interface-IPaddress

デフォルトでは、各インターフェースごとに異なるセグメントが割り当てられている。
インターフェースをまとめて一つのセグメントにするには、スイッチグループの設定をする。

タグVLANは、一つのインターフェースにタグVLANの設定をする。 

システム>ネットワーク>インターフェースを開く
設定する物理IFを選択する。
 fortigate_if
今回はinternal(LAN側)をまずは変更するので、ダブルクリック
fortigate_ip
このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

WAN側も同様。PPPoEの設定をする場合には、以下のようにPPPoEのラジオボタンを選択して、情報を入力する。
fortigate_pppoe

システム>ネットワーク>インターフェースを開き、 WAN側のインターフェースを選択します。

WAN側の設定には、以下の3つがあります。(画面も参照ください)
①マニュアル
②DHCP
③PPPoE 
wan

PPPoEの設定をする場合には、以下のようにPPPoEのラジオボタンを選択して、情報を入力する。(旧画面)
fortigate_pppoe 
新画面は以下です。
pppoe

ネットワーク > ルーティング を開きます。
以下の「ルーティングモニタ」で、経路情報が確認できます。 ★★★詳細は別途
routingtable

ファイアウォールなので、ルーティングの設定をすることはそれほどないと思いますが、通常のルータのように各種の設定ができます。RIPやOSPFも利用できます。

FortiGateで利用できるルーティングプロトコル
Static、RIP、OSPF、BGPが動作します。BGPはGUIでは設定できず、CLIからになります。

Staticルーティングの設定
①ネットワーク > ルーティング を開きます。
routing

②「新規作成」ボタンから、ルーティングテーブルを作成します。
宛先セグメント、経路となるデバイス(インターフェース)、ゲートウェイ(のIPアドレス)を設定します。
routing2

FortiGateを勉強する女性SE (10) 

アドミニストレーティブディスタンスって何ですか?




経路の優先度です。たとえば、Staticルートと動的ルートで2つの経路情報があった場合に、どちらを優先するかです。ForiGateの場合は、Staticルートがデフォルトでは10に設定されています。(Ciscoの場合はデフォルトが1)。値を変更する必要はなく、このままの設定で「OK」を押します。
★OSPFやRIPのアドミニストレーティブディスタンス値は別途記載★★★



★OSPFやRIPの設定は別途★★

CLIの基本コマンドを以下に書きます。

① 設定を行うためのコマンド
  Config ”各階層”、edite ”設定したい階層名”、set ”パラメーター”、next、end (設定の保存)※
  ※操作結果に違いがあり、nextは設定している階層を維持し、endは設定している階層から外れます。

  例)wan1 インターフェースに IPアドレスを設定する
  FGT  # config system interface
     FGT(interface)# edite wan1
     FGT (wan1)# set mode static
     FGT (wan1)# set ip 192.168.1.99/24
     FGT (wan1)# end

② 設定した情報を確認するコマンド
  ”各階層” show 実行
  ※ show full-configuration は変更以外(初期値)の設定情報も確認可能。

  例)wan1 インターフェースに IPアドレスを設定した出力例

     FGT  # config system interface 
     FGT (interface) # edite wan1

     FGT (wan1) # show
      config system interface
         edit "wan1"
             set vdom "root"
             set ip 192.168.1.99 255.255.255.0
             set type physical
             set snmp-index 2
          next
      end 

③ 各ステータス情報を確認するためのコマンド
  ”各階層” get 実行
  ※show コマンドとの違いはステータス情報の出力

  例)wan1 インターフェースに IPアドレスを設定した出力例

     FGT # config system interface 
     FGT (interface) # edit wan1

     FGT (wan1) # get
     name                : wan1 
     vdom                : root 
     cli-conn-status     : 0
     mode                : static 
     dhcp-relay-service  : disable 
     ip                  : 192.168.1.99 255.255.255.0
     allowaccess         : 
     fail-detect         : disable 

     ~ 省略 ~ 
 
④ 実行コマンド(即時実行)
  execute ”パラメーター”
  ※ARPのクリア、DHCP、PPPoEの再接続、VPNなど作業時に必要なものから
   時刻設定などメンテナンスに利用できるものなど多岐にわたります。

   例)ARPテーブルのクリア
   FGT # execute clear system arp table

     例) Pingの実行
  FGT # execute ping "IPアドレス"
  ※ping-option で実行回数、送信元アドレス、データーサイズの調整可能。
  
⑤  コマンドの階層確認、最大入力文字数確認コマンド
   ”各階層” tree 実行

  例)wan1 インターフェースで実行した出力例

     FGT # config system interface 
     FGT (interface) # edit wan1

     FGT (wan1) # tree
     -- [interface] --*name (16)
                    |- vdom (12)
                    |- cli-conn-status (0,0)
                    |- mode 
                    |- distance (1,255)
                    |- priority (0,0)
                    |- dhcp-relay-service 
                    |- dhcp-relay-ip 
                    |- dhcp-relay-type 
                    |- ip 

   ※( )内の数字が最大入力文字数、最大値の数値になります。 
 

↑このページのトップヘ