FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:2.基本設定 > 2.6 ネットワーク関連設定

ネットワーク > ルーティング を開きます。
以下の「ルーティングモニタ」で、経路情報が確認できます。 ★★★詳細は別途
routingtable

ファイアウォールなので、ルーティングの設定をすることはそれほどないと思いますが、通常のルータのように各種の設定ができます。RIPやOSPFも利用できます。

FortiGateで利用できるルーティングプロトコル
Static、RIP、OSPF、BGPが動作します。BGPはGUIでは設定できず、CLIからになります。

Staticルーティングの設定
①ネットワーク > ルーティング を開きます。
routing

②「新規作成」ボタンから、ルーティングテーブルを作成します。
宛先セグメント、経路となるデバイス(インターフェース)、ゲートウェイ(のIPアドレス)を設定します。
routing2

FortiGateを勉強する女性SE (10) 

アドミニストレーティブディスタンスって何ですか?




経路の優先度です。たとえば、Staticルートと動的ルートで2つの経路情報があった場合に、どちらを優先するかです。ForiGateの場合は、Staticルートがデフォルトでは10に設定されています。(Ciscoの場合はデフォルトが1)。値を変更する必要はなく、このままの設定で「OK」を押します。
★OSPFやRIPのアドミニストレーティブディスタンス値は別途記載★★★



★OSPFやRIPの設定は別途★★

コネクションという言葉がふさわしいかどうかは分からないが、以下が可能である。

物理ポートに対して1回線を収容できます。

インターネット回線が1本で、プロバイダとの接続も1つである。この状態で、IPsecによるインターネットVPNをしながら、インターネットへのWEB閲覧が可能か
→可能である。

ここでは、DHCPの設定をします。
FortiGateを勉強する女性SE (13) 
FortiGateがDHCPサーバになって、PCにIPアドレスを払い出すということですね。
はい、そうです。
設定は、ネットワーク > インターフェース の設定から実施します。
dhcp

LAN側のPCにIPアドレスを払い出しますので、LANのインターフェースをダブルクリックします。
すると、DHCPサーバの設定画面が開きます。デフォルトでは、192.168.1.110-210のIPアドレスの払出し設定がされています。
dhcp2
DHCPで払い出すのは、IPアドレスだけではなく、デフォルトゲートウェイやDNSもです。「指定」を押すと、個別に変更が可能です。

「高度な設定」を押すと、DHCPリレーの設定をしたり、オプションで別の情報を配信することも可能です。
dhcp3

DNSの設定を解説します。
クライアントPCに払い出すDNSの設定ではなく、FortiGateが名前解決する場合のDNSサーバの設定です。
FortiGateを勉強する女性SE (21) 

FortiGateが名前解決をする必要があるのですか?
FWで利用する分には、不要だと思います。
その通りです。PCの場合、DNSの設定がないとインターネットにアクセスできません。一方、FortiGateは、DNSの名前解決ができなくても、FWとしては動きます。ただ、ライセンス認証ができないので、URLフィルタなどが利用できなくなるでしょう。

さて、設定は、「ネットワーク」>「DNS」から実施します。
FortiGateのWANのインターフェースを、DHCPクライアントとして設定した場合は、割り当てられたDNSサーバを利用します。
また、FortiGateのDNSサーバも用意されています。
dns

システム>ネットワーク>インターフェースの左上の「Create New」ボタンを押す

以下の画面で、VLANの設定を入力する 
fortigate_vlan

マルチホーミングとはインターネット回線を冗長化する仕組みです。
これを実現するには、ロードバランサの専用機が必要になることが多いのですが、FortiGateはマルチホーミングの機能を持っています。

具体的には、WANロードバランスと言う機能で実現します。従来からサポートしている ECMPでの分散以外に回線利用率、重み付け、バランシングアルゴリズムを利用した負荷分散など多様な機能をサポートしています。

設定はネットワーク項目の WAN LLB欄で実施します。
※以下から設定します。
FortiGate-WanLB1
設定画面ですが、以下の中で詳細を設定します。
WANの負荷分散をさせるインターフェースを指定したり、分散方法をラウンドロビンや、帯域利用率、IPアドレスの組み合わせ等々から選択します。
FortiGate-WanLB2
WAN LLB機能は、LAN から WANへ接続する場合に回線負荷分散させる機能です。

この機能の逆に WANから公開サーバー宛ての通信を分散させたい場合があります。サーバーをバランシングしたい場合です。つまり、公開Webサーバへのトラフィックを制御することです。 
本設定は、Firewallの VIP(Virtual IP)を利用します。
設定は、下記 ヴァーチャルサーバー 項目で実施します。
SLB1
設定の詳細は、以下になります。
SLB2
主な設定項目を解説します。
・タイプ:分散対象のプロトコルを指定します。 HTTP/HTTPS、TCP、UDP等様々なプロトコルを選択できます。
・ローバランシング方法: 分散方法をラウンドロビン、重み付け等から選択します。
・パーシステンス:SSL通信に対し Cookie等を監視した方法にするか選択します。
・SSLオフローディング:SSLの終端を FortiGateにするか、リアルサーバーを終端させるかなどを選択します。
・ヘルスチェック:分散対象のリアルサーバーをどの方式で監視するかを選択します。 必要に応じて Active、Backupサーバーとサーバーの冗長制御をさせることも可能です。

SSL処理などパーシステンスを利用する場合、メモリを多量消費するため、メモリ利用率は注視する必要が
あります。 

スポンサードリンク

↑このページのトップヘ