FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ: 3.FWの設定

全般
 ・基本的には全てのパケットを停止させ、必要なルールだけを開ける。
 ・pingによる疎通試験用にICMPをすべて許可するという設計をする人もいるが、不要なポリシーは停止するのが本来である。
 ・IPアドレスでのポリシーが多いが、外部のサイトはURLで指定することもある。その方が便利なこともある。
 ・ポリシーは上から順にチェックし、合致するものがあれば、そのルールを適用する。つまり、それ以降は見ない。なので、順番は大事だ。

外部からDMZ
 ・公開Webサーバなどのために必要なポリシーは、必要なだけ許可する。
例えば、Webサーバであれば、HTTP(80)とHTTPS(443)のみを許可する。公開サーバのIPアドレス宛ては全て許可するような設定はよくない。

外部から内部セグメントへのアクセス
 ・外部から内部セグメントへのアクセスはすべて禁止する。
 ・たまに、外部から内部へのポリシーを設定している企業を見るが、これは絶対に推奨できない。すべて禁止にすべきだ。
 ・外部からの通信はすべてDMZのサーバとすべきであり、どうしても許可すべきものがあるなら、DMZに配置すべきである。
なんらかの事情でそれができない場合、送信元IPアドレスを固定するべきである。

内部から外部へのアクセス
 ・内部からインターネットへの接続も、内部からのアクセスだから何でも許可するのはよくない。不正な情報漏えいを防ぐためだ。
 ・WebアクセスはProxy経由という場合は、送信元をProxyのみに限定する。
 ・また、プロトコルもHTTPなどと具体的に指定する。FTPを使わないなど、使わないプロトコルは拒否。

デフォルトでは、以下の2つのポリシーが設定されています。
policy
1行目は、LANからWANへの通信の許可です。
全て許可になっています。よって、初期設定で、ネットワークなどの基本的な設定をすれば、インターネットへのアクセスが可能になります。

2行目は、Implicit Denyです。暗黙(Implicit)のDENYとして、このポリシーに記載が無いルールは全て禁止します。

セキュリティの観点からは、ポリシーを細かく設定する必要があります。ネットワークの現状に即して、ルールを追加していきましょう。

ファイアウォールのポリシーですが、順番が大事です。
なぜなら、上から順にチェックをし、一致した時点で、それ以降のポリシーを見ないからです。
policy8
ポリシーの順序変更は簡単です。
「ポリシー&オブジェクト」「IPv4ポリシー」の画面から、変更したいポリシーの「項番」のあたりをマウスでドラッグして動かすことができます。

Policy & Objects>Policy>IPv4にて、左上の「Create New」ボタンを押します。
OS5.4の画面は以下です。(「+新規作成」を押すと、新規作成画面に遷移します。)
policy2

以下は、内部から外部へhttpとhttpsを許可するポリシー作成の画面です。基本的に全ての項目が必須です。
fortigate_policy2
 

では、ポリシー作成画面の詳細な解説をします。
画面が縦に長いので、分割します。
policy3
【解説】
基本ポリシー
・入力・出力インターフェースは物理的なもので、送信元・宛先アドレスは論理的なものと考えてください。
たとえば、入力インターフェースは物理的なポートで、アドレスは192.168.1.0/24などです。
・サービスはTCPやUDP、ICMPなどのプロトコルであったり、TCPやUDPをさらに詳細にしたHTTPやFTPなどのサービス(ポート番号)を設定できます。
・アクションには3つあります。
 ①ACCEPT:通信を許可します。
 ②DENY:通信を禁止します。
 ③LEARN:通信内容をモニターします。モニター対象はポリシー単位で制御します。

ファイアウォール/ネットワークオプション
・NAT:インターフェースNAT処理を行います。併せて送信元ポート番号も変換します。
・固定ポート:送信元端末が利用したポートを NAT後も固定で使います。
・IPプール設定:IPプールに割り当てたアドレス範囲を NAT後の送信元アドレスとして使用します。

さて、画面の続きです。

policy4
【解説】
セキュリティプロファイル
・このポリシーにて、設定するセキュリティプロファイルの有効/無効を設定します。
・まず、ボタンをクリックすることで、有効無効の設定ができます。有効にした場合、どのプロファイルを使うかを選ぶことができます。

ロギングオプション
・許可トラフィックをログ
 セキュリティイベント:ここでは UTM機能で処理された内容をログに記録します。
 すべてのセッション:ここでは許可、拒否含め該当ポリシーを通過した全てのセッションをログに記録します。

FortiGateを勉強する女性SE (はてな) 

拒否したトラフィックのログは取れないのですか?





拒否したトラフィックのログを記録できます。
セキュリティイベントは UTM(アンチウィルスなど)、すべてのセッションでは TimeOutしたセッションを含めログに記録できます。

どのポリシーにも該当しない通信の場合、ポリシールール―の末尾にある「Implicitポリシー」でログを記録することができます。

・このポリシーを有効:ポリシーを有効化することで、ルールとして利用できるようになります。

FortiGateを勉強する女性SE (1) 
ポリシーに対して、複数のセグメントを設定する場合はどうするのでしょうか?
たとえば10.1.0.0/16と192.168.1.0/24をまとめてポリシーを作る場合です。
「ポリシー&オブジェクト」から「アドレス」および「アドレスグループ」を作成します。
以下にて、順に解説します。

「アドレス」および「アドレスグループ」について
・アドレス:先ほどでいうと、「10.1.0.0/16」や「192.168.1.0/24」をアドレスとして定義します。
・アドレスグループ:アドレスを複数束ねてグループ化したものです。

「アドレスの作成方法
①「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレス」を押します。
policy5

②アドレス作成画面
サブネット/IP範囲ですが、「10.1.0.0/16」でも「10.1.0.0/255.255.0.0」とどちらで書いても構いません。
登録後に「10.1.0.0/255.255.0.0」と表記されます。
policy6

 
作成したら、「OK」を押します。
この画面の詳細解説はアドレスオブジェクトの作成(詳細)を参照ください。

③アドレスグループの作成
「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレスグループ」を押します。
ここで、複数のアドレスをまとめたアドレスグループを作成します。

または、ポリシー画面で、「エントリーを選択」して、複数のアドレスを入れることも可能です。
policy7

アドレスオブジェクトの作成画面の詳細を解説します。
「ポリシー&オブジェクト」の「アドレス」から「新規作成」「アドレス」を押します。policy6

・名前:任意の名前を付けます。
・タイプ:以下の5つから選びます。
【参考:タイプについて】
・FQDN:www.viva-fortigate.comなどのFQDNを登録します。
・地域:国を指定します。各国のアドレス情報は GeoIP リストとして更新をしています。
・IP範囲:IPアドレスを指定します。
・IP/ネットマスク:上記との違いは、サブネットやホストアドレスとして指定が出来る点です。
・ワイルドカードFQDN:
・サブネット/IP範囲ですが、「10.1.0.0/16」でも「10.1.0.0/255.255.0.0」とどちらで書いても構いません。登録後に「10.1.0.0/255.255.0.0」と表記されます。
・インターフェース:明示的にインターフェースを指定すると、ポリシーを設定する際に該当インターフェースに関連付けたアドレスオブジェクトに登録されます。
 ANYだと、インターフェースにも登録されている状態です。
・アドレスリストに表示:ポリシーのアドレスオブジェクト内に表示させるかどうかを指定します。
・スタティックルートに設定:スタティックルートを設定する際、作成したアドレスオブジェクトを利用するかどうかを指定します。スタティックルーティングの場合、指定すると以下のように選択ができるようになります。※この場合、必ずインターフェースを指定してください。

スタティックルーティングの宛先を「名前付きアドレス」を選択することで、アドレスオブジェクトを利用することができます。
Fortigate-Static-Routing


↑このページのトップヘ