FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:6.各種の高度な設定 > 6.2 サーバーロードバランス

server_lb_loadbalance

〇 SSLオフロード 選択画面
server_lb_loadbalance2
クライアント <-> FortiGate の場合、WebServerと FortiGate間は平文(http)
クライアント<->FortiGate<->サーバの場合、WebServerと FortiGate間も暗号化

〇証明書 選択画面
server_lb_loadbalance3
FortiGateに証明書をインポートして利用

FortigGateでは L4レベルで負荷分散を行うことができます。
但し全ての通信は CPU処理になり、過負荷を見極めるためにも事前に検証は
必要です。

UTM機能と併用する時は必ず事前に負荷試験を実施して利用してください。

サーバーロードバランスは、システム>設定>フィーチャーより以下を有効にし
設定を行います。

FortiGate-LB1

 ポリシー&オブジェクト>ロードバランス>バーチャルサーバー>新規作成から
設定を行います。

設定のイメージは、

・リアルサーバー:実際に負荷分散される対象のサーバー
・ヘルスチェック:FortiGateからリアルサーバーを監視する方式

上記2つをバーチャルサーバー機能に追加します。
※バーチャルサーバー機能では負荷分散の対象プロトコル、分散方式などを決めます。

ココで作成した内容を Firewall Policyへ適用することで完了します。

バーチャルサーバーの画面は、以下です。
対象ポート、バーチャルIPを作成していきます。

※モデルにより異なりますが、1つのバーチャルIPに関連付けられるリアルサーバーは4台、8台、
  32台になります。

FortiGate-LB2


タイプで選択できるのは以下です。
FortiGate-LB3

どのプロトコルを負荷分散の対象にするか選択します。
※セキュアプロトコルを分散する際は、パーシステンスの設定や、SSLオフロードを
 FortiGateで終端するかなどを併せて決めます。

ロードバランス方式は以下 7種類より選択します。
FortiGate-LB4

 これから方式の内、FirstAlive、LeastRTT、などはヘルスチェック機能を利用します。


 ポリシー&オブジェクト>ロードバランス>リアルサーバー で分散対象のサーバーを設定します。

 FortiGate-LB5

IPアドレスは実際のサーバーに設定している IPアドレスを入力します。
最大コネクション数はサーバーのスペックに応じて変更してください。

モードではアクティブ、スタンバイ、無効の3つを選択できます。

・アクティブ
 負荷分散の対象になります。

・スタンバイ
 アクティブサーバーが Downした際、代わりに利用されるサーバーです。
 Downしたサーバーが復帰すると、スタンバイに自動で遷移します。

・無効
 負荷分散の対象から外れます。

 
ポリシー&オブジェクト>ロードバランス>ヘルスチェック でサーバー監視方法を設定します。
監視タイプは TCP、HTTP、PING の3種類から選択できます。

TCP)
FortiGate-LB6

リアルサーバーに TCPパケットを送信し、応答時間に応じて UPを確認します。
TCP確認になり、間隔を短くするとサーバー側の負荷も増加します。

HTTP)
FortiGate-LB7

リアルサーバーが Webサーバーの場合に利用します。
監視対象を URLで指定できます。

PING)
FortiGate-LB8

もっとも利用されることが多い監視方法かも知れません。
PINGになるため、 サーバーまでに経路やサーバー側で ICMPを許可する必要があります。

リアルサーバー、ヘルスチェックを以下で設定した場合は、

リアルサーバー)
FortiGate-LB9

※サーバーアドレス、172.16.1.99 ~ 1.101
 172.16.1.101 のサーバのみ Downしている状態。

ヘルスチェック)
 FortiGate-LB10

※サーバーアドレス、172.16.1.99 ~ 1.101
 172.16.1.101 のサーバのみ Downしている状態。

この状態でロードバランスのモニターは以下の状態になります。
FortiGate-LB11


上記で作成した内容をバーチャルサーバーに適用します。
FortiGate-LB13

バーチャルIPを 200.200.200.99 で設定。
バーチャルポートを 80で設定。

本設定を Firewall Policyに適用します。
FortiGate-LB12

宛先アドレスに選択しているのがバーチャルサーバーで作成したものです。
これでバーチャルIP 200.200.200.99+TCP80 宛ての通信を 172.16.1.99~101 のサーバーに対し
負荷分散します。 

↑このページのトップヘ