FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

8月19日(木)20時から、インフラエンジニアBooksで講演

ここだけの内容をお話します

「技術書を100倍楽しむ」というコンセプトで、インフラエンジニア向けの書籍を取り上げ、その著者を招いてのライブトークをするインフラエンジニアBooks。
私が紹介する書籍は、私がネットワークエンジニアとして長年積み上げたものの集大成としての本である「ストーリーで学ぶ ネットワークの基本」(インプレス)です。
f:id:seeeko:20210726220125p:plain
この「インフラエンジニアBooks」の企画は昨年に始まり、私がちょうど1年(12回目)の記念すべき会です。呼んでいただき、ありがとうございます。
すでに100名を超える方にお申込みいただきました。基本を学びたい初学者の方だけではなく、「復習のため」「後輩や部下に進める本を探している」といった方のお申込みもいらっしゃるようです。
私の持ち時間は50分しかありませんが、せっかくお呼びいただいたので、ここでしか話せない内容をお話したいと思います。

infra-eng-books.connpass.com

上記のURLにありますが、以下のような内容で、司会の永江さんから質問があるようです。(お答えできないものもあるかと思いますが・・・)
無料ですので、是非ご参加ください。申し込みは上記のConnpassのサイトから!!

トーク内容

(以下は上記ページより引用)
■この本の魅力、コンセプトからお金の話、裏話まで、全部聞いちゃいます!■

司会の永江が著者の左門氏に、この本の魅力から、公にはされない出版に関する裏話まで、ズバズバと質問します。
インフラエンジニアBooksでしか聞けないことをお話しいただける……かもしれません!

例えば……
・ネットワークの本なんてたくさんあるけど、なぜこの企画だった?
・どんな読み方をすると、知識が身につくの?
・著者は左門氏だが、全部ひとりで書いた?
・制作にあたり、苦労したことは?
・ズバリ!印税はどれくらい?
・著者と出版社で意見が割れたら、どっちの意見が優先される?
・本を書くのに何カ月くらいかかった?
・本を書くのは楽しい?

上記以外で聞いてみたいことがあればTwitteで「#インフラエンジニアBooks」を付けて呟いてください!

FortiGateのハンズオン研修

Fortigate本の著者である左門が、実践的で、Fortigateの機能を活かしたハンズオン研修を実施します。
2日間の研修で、FortiGateのプロになりましょう!

以下に概要だけを簡単に記載します。

詳細は、以下を確認ください。
https://seeeko.com/fortigate/

1.次世代ファイアウォールFortiGateで学ぶネットワークセキュリティ研修(ハンズオン)の概要

企業のセキュリティを守る根幹をなすのが次世代ファイアウォール(UTM)です。これ1台で、ファイアウォール機能、IPS機能、アンチウイルス、URLフィルタ、アプリケーション制御、標的型対策、拠点間とのVPN(IPsec通信)やリモートアクセス(SSL-VPN)など、さまざまなセキュリティ機能があります。(※これが、UTM(Unified Threat Management:統合脅威管理)とも呼ばれる理由です。)
次世代ファイアウォール機能でシェアNo.1のFortiGate(Fortinet社)を使って、実機を用いて次世代ファイアウォールの仕組み、技術、設定を学んでいただきます。
セミナーの講師は、ネットワークスペシャリスト試験対策で高い評価を得ている「ネスペ」シリーズ(技術評論社)、FortiGateの設定本である「FortiGateで始める 企業ネットワークセキュリティ」(日経BP社)の著者である、左門が行います。

2.研修の進め方

本研修では、二人に1台のFortiGateを操作してもらい、次世代ファイアウォール(UTM)によるセキュリティ対策の機能を座学で学ぶとともに、実機でも設定してもらいます。 (2人が同時にFortiGateにアクセスして、設定の閲覧・変更ができます。また、途中からVDOMにより1人ずつの仮想環境を操作できます。)

日経BP社から発売した本をテキストとし、FortiGateの6.0台のOSを使ってセキュリティ機能を学びます。

FortiGateで始める 企業ネットワークセキュリティ

FortiGateで始める 企業ネットワークセキュリティ

 

3.コース概要

コース名

次世代ファイアウォールで学ぶネットワークセキュリティ(FortiGateハンズオンセミナー)

研修目的

・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
・ファイアウォールの基本的な仕組みおよび設定方法を学習します。
・アンチウイルスやアプリケーションコントロールなどのUTM機能を一通り設定し、次世代ファイアウォールの機能によって、何ができるのか、そして、その操作方法を学びます。
・IPsecやSSL-VPNの設定および基本技術を理解します。(日数及びカリキュラム次第)
・カスタムシグネチャを作成するなど、日頃の業務では学べない経験してもらいます。(日数及びカリキュラム次第)
・標的型攻撃の対策方法を学びます。

研修方法

講義+実機演習+確認テスト ※講義の大半は実機演習です。

日数

2日間が基本
※1日限定のコースも可能

研修時間

9時半~17時(9時~18時の間で調整可能)

参加人数

5名様以上

講師

左門 至峰

対象者

・ネットワークおよびTCP/IPの基礎を理解できるレベルの方
・ネットワーク機器の実機操作、TeraTermの操作の基本をご存知の方

ご準備いただくもの

・セミナー会場、プロジェクタ、マイク、インターネット環境、PC(LANポート、Teratermインストール必要)、LANケーブル、配布物の印刷(こちらからデータでお渡しします)など。※詳細はご準備いただくものに記載してあります。
・テキストとして、私の著書の「FortiGateで始める 企業ネットワークセキュリティ」をご購入いただく必要があります。
・FortiGateの機材はこちらで準備します。

修了要件

確認テストで70点以上。修了証をお渡しします。

4.主催

株式会社 エスエスコンサルティング  代表 左門 至峰
〒541-0054 大阪市中央区 南本町二丁目3番12号 EDGE本町3階
TEL:06-7878-5043
URL:https://seeeko.com/contactus/ ←お問い合わせはこちらからお願いします。

FortiGateについて

1.FortiGateについて

(1)Fortinet社について

52
※友人がFortigate社に訪問したときに撮影

Fortinetは Fortify(守る)と  Networkを組みあわせた社名です。
FortiGateを作っているのはFortinet社です。どうせなら、同じ名前にすればいいのではないかと思いますが、FWやメールセキュリティなどのシリーズごとに名前を変えています。
創業者は、同じくFWで市場を占有したNetScreenの創業者の一人であるKen Xie(ケンジー)さんです。日本にもたびたび来られるようです。
日本のカントリーマネージャは、H3Cなどでカンマネを勤められた、久保田則夫さんです。
当初は APsecure社(1998年)と言う社名で創業しています。
創業当初より AP(アプリケーションプログラム)を意識し、「セキュリティがトラフィックのボトルネックにならない」をコンセプトに比類ないパフォーマンスを提供することを目指しています。
また初の製品出荷にあわせ Fortinetに社名を変更し、以降  Forti〇〇 と社名を関しセキュリティポイントにあわせた製品群を提供しています。

たとえば、以下。
・Gate (門番)
・Mail (メール専用)
・Web (WAF)
・Client (クライアントPC用) 等々。。。
業界で唯一の ASICを開発し、グローバルなセキュリティ研究機関を保有する稀な会社です。 
09
 ※友人がFortigate社に訪問したときに撮影

(2)FortiGateの機能

従来のFirewall製品は、セキュリティ機能を統合的に持った製品として、UTM(Unified Threat Management)に置き換わってきました。
ForitGateも、UTMとしての機能が充実しています。

■主なセキュリティ機能
・ファイアウォール
・IPS(侵入防御システム:Intrusion Prevention System)
・アンチウイルス
・スパム対策
・URLフィルタリング
・アプリケーションコントロール
・情報漏洩防止(DLP)機能
・IPsec(VPN)
などがあります。詳しくは以下に紹介されています。
http://www.fortinet.co.jp/products/fortigate/security_feature1.html
http://www.fortinet.co.jp/products/fortigate/security_feature2.html
とはいえ、残念ながら、これらの機能の多くは、あまり活用されていません。単なるFWとして使われている例が多いのも事実です。
いろいろな機能を有効にすることで、パフォーマンスが落ちるという面もありますが、バランスを考えた上でセキュリティ機能を使いたいものです。

(3)FortiGateの市場シェア

FW(UTM)はライバルが多い市場です。かつてはCheckPointのFirewall1が市場を独占し、その後はNetScreen/SSGが市場を占有しました。
その後登場したForitGateでするが、製品性能と価格のバランスの良さが評価され、日本市場ではシェアが1位となっています。(以下のURLを参照ください)
http://www.fortinet.co.jp/products/fortigate/
他社としては、上記に記載した以外に、Cisco(ASA)、PaloAlto、Sonicwall、JuniperSRX、WatchGuardなどがあります。

2.機器モデル

(1)FortiGateのモデル一覧

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

①代表モデル(製品)

・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。

FortiGateを勉強する女性SE (はてな)

100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

②モデル製品一覧

モデル一覧と、詳細なスペックは以下です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

代表的な製品のデータシートは以下です。
■100E
https://www.fortinet.co.jp/doc/FGT100ESeriesDS.pdf
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_100E_Series.pdf
※101Eは、内部ストレージとして、480GBのSSDを持つモデル。ログをSyslogなどに転送する場合は通常の100Eのモデルでいいと思う。

■200E
https://www.fortinet.co.jp/doc/FGT200ESeriesDS.pdf

■300E
https://www.fortinet.co.jp/doc/FGT300EDS.pdf
※301Eは、内部ストレージとして、2×240GBのSSDを持つモデル。

■500E
https://www.fortinet.co.jp/doc/FGT500EDS.pdf

■600E
https://www.fortinet.co.jp/doc/FGT600EDS.pdf

項目について、いくつか解説します。

1)IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

2)ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

3)ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

4)ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

5)IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。 

(2)機器写真とインターフェース

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

❶FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














❷FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear


❸FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D






❹FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
❺FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
❻FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

(3)機器選定

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

▼回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

▼使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

▼IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

▼利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

▼価格
お金を支払う企業からすると、重要です。

(4)モジュールの例

■SFPモジュール

SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。
同梱されるモデルは、
・FortiGate-300D、FortiGate-500D
  SFP-SX モジュール ×2 個が同梱されています。
  FortiGate-300D-SFP-SX






・FortiGate-1500D
  SFP+ モジュール ×2個が同梱されています。
FortiGate-300D-SFP-SX






その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。

■FortiGate 100GインターフェースCFP2

3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
FortiGateの100Gのsfp

FortiGateシャーシにいれた100GのSFP

(5)FortiOS

❶OSによる機能の変化
・OSのバージョンは、Mainの「システム情報」、または ダッシュボード > Status からファームウェアのバージョンを確認できます。

・以下はFortiOS6.4のデータシートなど
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FortiOS64_DS.pdf
https://www.fortinet.com/jp/products/fortigate/fortios

【OSのバージョンによる変化】
ここでは、6.0台から6.4台への変化について、簡単に紹介する。
ア)技術の進化への対応
・TLS 1.3が サポート(OS6.2から)
イ)機能の拡張
・「セキュリティファブリック」>「外部コネクタ」(またはセキュリティファブリック>ファブリックコネクタ)で設定できる
外部サービスが増えている。この機能はたとえば、FortigateとAWSとの接続を、IAMなどの簡単な設定を入れるだけでセキュアに実施することができる。
ウ)操作性の変化
・機能などの変化によるGUIの変化
・6.0台のOSでは、インスペクションモードが、「プロキシ」と「フローベース」で選択が可能であった。OSの6.4などでは、ポリシーのところで
選択できるように変化している。

❷FortiOS7.0

FortiOS7.0は6.0台からの大幅なバージョンUPに感じるかもしれませんが、基本的なGUIの画面は変わらず、機能が大幅に拡張したと考えてください。もともとはFortiOS6.6でリリース予定だったとか。
いつくか、細かな機能変更があります。
たとえば、
・SSLインスペクションでDNS over TLSを検査可能
・ACME(Automated Certificate Management Environment)にて、Let's Encrptの証明書の生成が可能
 →FGTでのサーバ証明書として利用できるので、クライアントにルート証明書を配布しなくても、エラーにならない。
・ゼロトラストへの対応
FortiOS7.0ではゼロトラストへの対応が大きなポイントです。

https://www.viva-fortigate.com/archives/16816939.html#7FortiGate%E3%81%A7%E3%81%AE%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88

❸古い機器に最新OSって入りますか?

古すぎるのは入りません。
ですが、たとえば最新のFOSである6.0.2(2018.10時点)であれば、60Eではなく60Dや30Dでも動作します。
LAGが組めるかなどの、機能の違いもあります。
以下の表を確認してください。(FortiOS V6.0.2の場合)
https://docs.fortinet.com/uploaded/files/4683/SWMTX-602-201809-R29.pdf

3.価格とライセンス

(1)価格と構成例

アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html

では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。

❶小さい会社でインターネットが出来ればいい。一番安いモデルで!
 ・FG-60D-US   FortiGate-60D  152,000

❷1Gbpsのインターネットで、UTM機能を使いたい
 ①初期費用
 ・FG-100D-BDL-US   FortiGate-100DUTM機能バンドル版  652,000

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000
 ・FC-10-00116-108-02-12   FortiGate-100D IPS/Application Control機能追加ライセンス 1年間  87,000
 ・FC-10-00116-112-02-12   FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
FortiGateを勉強する女性SE (納得いかず)

アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US   FortiGate-100D  501,000
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000

❸大規模な会社で、SFPポートも使いたい
 ①初期費用
 ・FG-1500D-US   FortiGate-1500D  6,554,000
 ・SFP 基本 2つの SFPモジュールが製品に同梱されています。

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-01500-100-02-12   FortiGate-1500D AV機能追加ライセンス 1年間  1,425,000
 ・FC-10-01500-108-02-12   FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間  1,140,000
 ・FC-10-01500-112-02-12   FortiGate-1500D Web Filtering機能追加ライセンス 1年間  2,280,000

(2)ライセンスについて

FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。

詳しくは以下を参照ください。
https://fortigate.blog.jp/archives/cat_697020.html