FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateのハンズオン研修

Fortigate本の著者である左門が、実践的で、Fortigateの機能を活かしたハンズオン研修を実施します。
2日間の研修で、FortiGateのプロになりましょう!

以下に概要だけを簡単に記載しますが、詳細は、以下を確認ください。
https://seeeko.com/fortigate

1.研修概要

企業のセキュリティを守る根幹をなすのが次世代ファイアウォール(UTM)です。これ1台で、ファイアウォール機能、IPS機能、アンチウイルス、URLフィルタ、アプリケーション制御、標的型対策、拠点間とのVPN(IPsec通信)やリモートアクセス(SSL-VPN)など、さまざまなセキュリティ機能があります。(※これが、UTM(Unified Threat Management:統合脅威管理)とも呼ばれる理由です。)
次世代ファイアウォール機能でシェアNo.1のFortiGate(Fortinet社)を使って、実機を用いて次世代ファイアウォールの仕組み、技術、設定を学んでいただきます。
セミナーの講師は、ネットワークスペシャリスト試験対策で高い評価を得ている「ネスペ」シリーズ(技術評論社)、FortiGateの設定本である「FortiGateで始める 企業ネットワークセキュリティ」(日経BP社)の著者である、左門が行います。

2.研修の進め方

本研修では、一人1台または2人に1台のFortiGateを操作してもらい、次世代ファイアウォール(UTM)によるセキュリティ対策の機能を座学で学ぶとともに、実機でも設定してもらいます。 (2人が同時にFortiGateにアクセスして、設定の閲覧・変更ができます。また、途中からVDOMにより1人ずつの仮想環境を操作できます。)
日経BP社から発売した本をテキストとし、FortiGateの6.0台のOSおよび最新OSはクラウドを使ってセキュリティ機能を学びます。
設定ガイド

3.コース概要

項目   内容
コース名 次世代ファイアウォールで学ぶネットワークセキュリティ(FortiGateハンズオンセミナー)
研修目的 ・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
ファイアウォールの基本的な仕組みおよび設定方法を学習します。
・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
・アンチウイルスやアプリケーションコントロールなどのUTM機能を一通り設定し、次世代ファイアウォールの機能によって、何ができるのか、そして、その操作方法を学びます。
・IPsecやSSL-VPNの設定および基本技術を理解します。(日数及びカリキュラム次第)・カスタムシグネチャを作成するなど、日頃の業務では学べない経験してもらいます。(日数及びカリキュラム次第)・標的型攻撃の対策方法を学びます。
研修方法 講義+実機演習+確認テスト ※講義の大半は実機演習です。
日数 2日間が基本 ※1日限定のコースも可能
研修時間 9時半~17時(9時~18時の間で調整可能)
参加人数 5名様以上
講師 左門 至峰
対象者 ・ネットワークおよびTCP/IPの基礎を理解できるレベルの方
・ネットワーク機器の実機操作、TeraTermの操作の基本をご存知の方
ご準備いただくもの セミナー会場、プロジェクタ、マイク、インターネット環境、PC(LANポート、Teratermインストール必要)、LANケーブル、配布物の印刷(こちらからデータでお渡しします)など。※詳細はご準備いただくものに記載してあります。
・テキストとして、私の著書の「FortiGateで始める 企業ネットワークセキュリティ」をご購入いただく必要があります。
・FortiGateの機材はこちらで準備します。


その他、FortiGateに限定せずに、セキュリティの幅広い実機研修情報処理安全確保支援士試験の対策講座も実施可能です。

4.主催

株式会社 エスエスコンサルティング  
代表 左門 至峰
〒541-0054 大阪市中央区 南本町二丁目3番12号 EDGE本町3階
TEL:06-7878-5043
URL:https://seeeko.com/contact ←お問い合わせはこちらからお願いします。

FortiGateについて

1.FortiGateについて

(1)Fortinet社について

52
※友人がFortigate社に訪問したときに撮影

Fortinetは Fortify(守る)と  Networkを組みあわせた社名です。
FortiGateを作っているのはFortinet社です。どうせなら、同じ名前にすればいいのではないかと思いますが、FWやメールセキュリティなどのシリーズごとに名前を変えています。
創業者は、同じくFWで市場を占有したNetScreenの創業者の一人であるKen Xie(ケンジー)さんです。日本にもたびたび来られるようです。
日本のカントリーマネージャは、H3Cなどでカンマネを勤められた、久保田則夫さんです。
当初は APsecure社(1998年)と言う社名で創業しています。
創業当初より AP(アプリケーションプログラム)を意識し、「セキュリティがトラフィックのボトルネックにならない」をコンセプトに比類ないパフォーマンスを提供することを目指しています。
また初の製品出荷にあわせ Fortinetに社名を変更し、以降  Forti〇〇 と社名を関しセキュリティポイントにあわせた製品群を提供しています。

たとえば、以下。
・Gate (門番)
・Mail (メール専用)
・Web (WAF)
・Client (クライアントPC用) 等々。。。
業界で唯一の ASICを開発し、グローバルなセキュリティ研究機関を保有する稀な会社です。 
09
 ※友人がFortigate社に訪問したときに撮影

(2)FortiGateの機能

従来のFirewall製品は、セキュリティ機能を統合的に持った製品として、UTM(Unified Threat Management)に置き換わってきました。
ForitGateも、UTMとしての機能が充実しています。

■主なセキュリティ機能
・ファイアウォール
・IPS(侵入防御システム:Intrusion Prevention System)
・アンチウイルス
・スパム対策
・URLフィルタリング
・アプリケーションコントロール
・情報漏洩防止(DLP)機能
・IPsec(VPN)
などがあります。詳しくは以下に紹介されています。
http://www.fortinet.co.jp/products/fortigate/security_feature1.html
http://www.fortinet.co.jp/products/fortigate/security_feature2.html
とはいえ、残念ながら、これらの機能の多くは、あまり活用されていません。単なるFWとして使われている例が多いのも事実です。
いろいろな機能を有効にすることで、パフォーマンスが落ちるという面もありますが、バランスを考えた上でセキュリティ機能を使いたいものです。

(3)FortiGateの市場シェア

FW(UTM)はライバルが多い市場です。かつてはCheckPointのFirewall1が市場を独占し、その後はNetScreen/SSGが市場を占有しました。
その後登場したForitGateでするが、製品性能と価格のバランスの良さが評価され、日本市場ではシェアが1位となっています。(以下のURLを参照ください)
http://www.fortinet.co.jp/products/fortigate/
他社としては、上記に記載した以外に、Cisco(ASA)、PaloAlto、Sonicwall、JuniperSRX、WatchGuardなどがあります。

2.機器モデル

(1)FortiGateのモデル一覧

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

①代表モデル(製品)

・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。

FortiGateを勉強する女性SE (はてな)

100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

②モデル製品一覧

モデル一覧と、詳細なスペックは以下です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

代表的な製品のデータシートは以下です。
■100E
https://www.fortinet.co.jp/doc/FGT100ESeriesDS.pdf
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_100E_Series.pdf
※101Eは、内部ストレージとして、480GBのSSDを持つモデル。ログをSyslogなどに転送する場合は通常の100Eのモデルでいいと思う。

■200E
https://www.fortinet.co.jp/doc/FGT200ESeriesDS.pdf

■300E
https://www.fortinet.co.jp/doc/FGT300EDS.pdf
※301Eは、内部ストレージとして、2×240GBのSSDを持つモデル。

■500E
https://www.fortinet.co.jp/doc/FGT500EDS.pdf

■600E
https://www.fortinet.co.jp/doc/FGT600EDS.pdf

項目について、いくつか解説します。

1)IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

2)ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

3)ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

4)ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

5)IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。 

(2)機器写真とインターフェース

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

❶FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear














❷FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。

FortiGate-60DFortiGate-60D-rear


❸FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。

FortiGate-100D






❹FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D
❺FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D
❻FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45

FortiGate-1000D

(3)機器選定

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
http://www.fortinet.co.jp/doc/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

▼回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

▼使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

▼IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

▼利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

▼価格
お金を支払う企業からすると、重要です。

(4)モジュールの例

■SFPモジュール

SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。
同梱されるモデルは、
・FortiGate-300D、FortiGate-500D
  SFP-SX モジュール ×2 個が同梱されています。
  FortiGate-300D-SFP-SX






・FortiGate-1500D
  SFP+ モジュール ×2個が同梱されています。
FortiGate-300D-SFP-SX






その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。

■FortiGate 100GインターフェースCFP2

3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
FortiGateの100Gのsfp

FortiGateシャーシにいれた100GのSFP

(5)FortiOS

❶OSによる機能の変化
・OSのバージョンは、Mainの「システム情報」、または ダッシュボード > Status からファームウェアのバージョンを確認できます。

・以下はFortiOS6.4のデータシートなど
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FortiOS64_DS.pdf
https://www.fortinet.com/jp/products/fortigate/fortios

【OSのバージョンによる変化】
ここでは、6.0台から6.4台への変化について、簡単に紹介する。
ア)技術の進化への対応
・TLS 1.3が サポート(OS6.2から)
イ)機能の拡張
・「セキュリティファブリック」>「外部コネクタ」(またはセキュリティファブリック>ファブリックコネクタ)で設定できる
外部サービスが増えている。この機能はたとえば、FortigateとAWSとの接続を、IAMなどの簡単な設定を入れるだけでセキュアに実施することができる。
ウ)操作性の変化
・機能などの変化によるGUIの変化
・6.0台のOSでは、インスペクションモードが、「プロキシ」と「フローベース」で選択が可能であった。OSの6.4などでは、ポリシーのところで
選択できるように変化している。

❷FortiOS7.0

FortiOS7.0は6.0台からの大幅なバージョンUPに感じるかもしれませんが、基本的なGUIの画面は変わらず、機能が大幅に拡張したと考えてください。もともとはFortiOS6.6でリリース予定だったとか。
いつくか、細かな機能変更があります。
たとえば、
・SSLインスペクションでDNS over TLSを検査可能
・ACME(Automated Certificate Management Environment)にて、Let's Encrptの証明書の生成が可能
 →FGTでのサーバ証明書として利用できるので、クライアントにルート証明書を配布しなくても、エラーにならない。
・ゼロトラストへの対応
FortiOS7.0ではゼロトラストへの対応が大きなポイントです。

https://www.viva-fortigate.com/archives/16816939.html#7FortiGate%E3%81%A7%E3%81%AE%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88

❸古い機器に最新OSって入りますか?

古すぎるのは入りません。
ですが、たとえば最新のFOSである6.0.2(2018.10時点)であれば、60Eではなく60Dや30Dでも動作します。
LAGが組めるかなどの、機能の違いもあります。
以下の表を確認してください。(FortiOS V6.0.2の場合)
https://docs.fortinet.com/uploaded/files/4683/SWMTX-602-201809-R29.pdf

❹FortiGateのサポート

・ハードウェア:販売終了から5年でサポート終了
・ソフトウェア:リリースから3年でエンジニアのサポート終了、そこから1.5年で完全終了。たとえば、6.0であれば、2018年3月リリースで、2022年9月に完全にサポート終了

3.価格とライセンス

(1)価格と構成例

アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html

では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。

❶小さい会社でインターネットが出来ればいい。一番安いモデルで!
 ・FG-60D-US   FortiGate-60D  152,000

❷1Gbpsのインターネットで、UTM機能を使いたい
 ①初期費用
 ・FG-100D-BDL-US   FortiGate-100DUTM機能バンドル版  652,000

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000
 ・FC-10-00116-108-02-12   FortiGate-100D IPS/Application Control機能追加ライセンス 1年間  87,000
 ・FC-10-00116-112-02-12   FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
FortiGateを勉強する女性SE (納得いかず)

アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US   FortiGate-100D  501,000
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000

❸大規模な会社で、SFPポートも使いたい
 ①初期費用
 ・FG-1500D-US   FortiGate-1500D  6,554,000
 ・SFP 基本 2つの SFPモジュールが製品に同梱されています。

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-01500-100-02-12   FortiGate-1500D AV機能追加ライセンス 1年間  1,425,000
 ・FC-10-01500-108-02-12   FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間  1,140,000
 ・FC-10-01500-112-02-12   FortiGate-1500D Web Filtering機能追加ライセンス 1年間  2,280,000

(2)ライセンスについて

FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。

詳しくは以下を参照ください。
https://fortigate.blog.jp/archives/cat_697020.html

4.FortiGateとPaloAltoの違い

どちらも機能的には変わりません。
FortiGateの資料は以下です。比較しているモデルが違うので何とも言えませんが、FortiGate社の資料なので、FortiGate社の優れているところにフォーカスされています。
https://www.fortinet.com/jp/products/next-generation-firewall/fortigate-vs-pan?utm_source=website&utm_medium=usngfwpp&utm_campaign=quicklinks-firewall-namer-us&utm_content=compare-fortigate-pan

以下、個人的な見解です。

(1)FortiGateが優れていると感じるところ
❶国内、世界ともにFortiGateが高いシェアを誇る。

❷価格とパフォーマンス
同じ価格帯で比べた場合の処理能力は、FortiGateの方が圧倒的に優れる。
機器サイズも小さい。AVやURLフィルタの精度が高い

❸操作性
FortiGateの方が圧倒的に使いやすい。マニュアルが無くても、感覚で設定できる。CLIコンソールにGUIから接続もできる。
ポリシー一つにしても、PaloAltoはきめ細やかな設定ができるとのことだが、わかりにくく、マニュアルが無いと設定はつらい。
たとえば、DNSのポリシーを許可するには、アプリケーションをdnsにしてサービスをapplication-defaultにする。HTTPの場合は、アプリケーションをanyにして、SERVICEをservice-httpに。
保存なども、「名前付き~」などとわかりづらく、インポートしてもロードしなければいけないなど、知識が必要。ということは、毎回マニュアルを見なければいけない。ミスも増える。

(2)PaloAltoが優れると感じるところ
❶先行した技術は、PaloAltoが優れている気がする
Applicationコントロールであったり、WindowsのADサーバとの連携機能など

❷ログの見やすさ
PaloAltoの方が見やすい気がする(好みかも)。項目の幅を広げたり、横にスライドできたりが使いやすい気がした。

❸ゼロトラストの対応は、PaloAltoの方が先行している気がする
FortiGateは、境界型防御(つまりNGFW)での圧倒的なシェアと優れた機能を持っているため、ゼロトラスト
を積極的にやる必要が無いからではないか。

❹マーケティング力
販売はPaloの方が圧倒的に優れると思う。「高いけど機能優れる、画面がキレイ」、そういういい印象を顧客に安心感を与える。FortiGateは安いので、逆に、「品質が劣るのでは?」と思われる面はあると思う。

初期設定と初期化

1.初期設定

(1)FortiGateへのアクセス(ログイン)

▼CLIの場合
❶シリアルケーブルを接続し、TeraTermやハイパーターミナルなどからアクセスします。

❷初期ID「admin」、パスワード「(無し)」を入れます。

FGTXXXXXX login: admin
Password:

 

Welcome !
※初期設定ではホスト名(FGTXXXXXX)はシリアル番号になっています。


▼WebUIの場合
❶PCとFortiGateをLANケーブルでつなぎます。
FortiGate60Cの場合、LANポートの1~5のいずれかのポートに接続します。
初期化された状態であれば、DHCPでIPアドレスが自動で割り当てられます。
ipconfigで、192.168.1.0/24のIPアドレスが取得できているか、確認しましょう。
ipconfig
※固定でIPアドレスを設定する場合は、192.168.1.0/24セグメントのIPアドレスをPCに割り当てます。たとえば、192.168.1.101/24 

❷PCのブラウザからhttps://192.168.1.99/へアクセスします。
ブラウザは、GoogleChromeかFirefoxがお勧めです。
httpの場合はhttpsにリダイレクトされます。

正しい証明書が無いので、「この接続ではプライバシーが保護されません」と怒られます。(画面はGoogle Chromeの場合)

Chrome
ですが、これは仕方がないので、画面下の 「詳細設定」ボタンを押し 「192.168.1.99 にアクセスする(安全ではありません)」 をクリックします。

login

❸ID、パスワードを入力します。
※初期ID「admin」、パスワード「(無し)」を入れます。

(❹初期化後の場合)
パスワード変更の画面が出ます。

学習用などの検証目的などではなく、正規の利用のときは必ず変更しましょう。

❺ログインが成功し、ダッシュボード画面が表示されます。

dash
ただ、初期化された直後は、英語のままです。

❻環境設定の変更
初期状態では英語で表示されていることでしょう
System>Settingsで各種設定をしましょう。
①System Time>Time Zone
 →GMT+9:00 つまり、日本に合わせます。
②Administration Settings>Idle timeout
 →適当に(たとえば50)長くしておきましょう。
 ここで設定した無通信時間があると、自動でログアウトしてしまいます。設定時は長め にしておき、本格運用時には短くすればいいでしょう(実際には長いままが多いと思います)
③View Settings>Language
 →Japanese(日本語)にしましょう。
④System Operation Settings
 →「Proxy」がお勧めです。セキュリティ検査を しっかりやってくれるモードです。

❼また、必要に応じて表示機能設定の変更
システム>表示機能設定 で、必要な機能が表示されるようにしておきましょう。
たとえば、「複数セキュリティプロファイル」を有効にします。
hyoujikinou
以上です。
(2)初期の基本設定

初期設定(最低限のFWとしての設定)の流れは以下である。
①言語を日本語にする
②TimeZoneを日本にする
③インターフェースの設定(LANとWAN)
④ルーティングの設定
⑤ポリシーの設定

①初期化された状態だと英語なので、日本語に変える
System>Admin>SettingsのView Settings のLanguageをEnglishからJapaneseに変更し、画面下方の「Apply」を押す
fortigate_lang


② Time Zoneの設定
Dashboard>ステータスの システム情報の「システム時間」の[変更]ボタンを押す。次の画面で、タイムゾーンをGMT+9:00(日本)にする。OKボタンで決定。fortigate_timezone  

③インターフェースの設定(LANとWAN)

システム>ネットワーク>インターフェースを開く

設定する物理IFを選択する。
 fortigate_if
今回はinternal(LAN側)をまずは変更するので、ダブルクリック
fortigate_ip
このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

WAN側も同様。PPPoEの設定をする場合には、以下のようにPPPoEのラジオボタンを選択して、情報を入力する。
fortigate_pppoe

以下の④、⑤は設定せずとも通信できることもある。

④ルーティングの設定
PPPoEの場合は、自動でデフォルトGWが設定される。

⑤ポリシーの設定 

Policy & Objects>IPv4にてポリシーを設定する。
デフォルトで、internal(内部)からWAN1(外部)へのポリシーが許可されている。
fortigate_policy
NAPTの設定もされているので、インターネットに接続できる。
(3)NTTのフレッツ光でFortiGateを接続する。

■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。

■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。

■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
fortigate
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
 PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
 
ipconfigで見てみると、次のようになっています。

C:\>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
  接続固有の DNS サフィックス . . . . .:
  リンクローカル IPv6 アドレス. . . . .: fe80::XXX
  IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
  サブネット マスク . . . . . . . . . .: 255.255.255.0
  デフォルト ゲートウェイ . . . . . . .: 192.168.1.99


https://192.168.1.99/にアクセスします。
admin PWなしでログインします。

③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
2
あとは、PCをFortiGateのLAN側に接続するだけです。

(4)FortiGate Virtual Applianceの初期設定

FortiGate Virtual Applianceをためしてみました。

【前提条件】
・インターネットに接続できる必要がある
・TIME Zoneの設定が必要(らしい)
・(当然ながら)ライセンスが必要

【設定】
・ovfファイルが4つありますが、
FortiGate-VM64.ovfでいいと思います。
仮想基盤上に展開するのは簡単でしょう。
・起動するとCLIが立ち上がります。

・ログインはいつもの初期設定と同じ
id:admin
PW:(なし)

で入れます。

・port1の設定
初期設定はDHCPでの自動取得になっています。
念のため、設定を確認しましょう。
# config system interface
(interface)# edit port1
(interface)# show

DHCPになっていることが分かると思います。
どんなIPが割り当てられたかは、以下のコマンドでわかります。
# get system interface
※または、get system interface physical

・TIME Zoneの設定
#config system global
# set timezone 60
#end

・GUIでアクセス
上記の割り当てられたIPアドレスにGUIでアクセスします。
https://192.168.0.3/

・ライセンスが無いと怒られるので、ライセンスをいれます。

・再起動して、しらばく動かなかったのですが、あきらめて新規に上記URLにアクセスすると、正常に通信ができました。
(うれしい!!)

2.機器とパスワードの初期化

(1)初期化の方法

FortiGateの初期化の方法は、以下の2つがあります。
❶ボタンを押して初期化
❷CLIからコマンドを実行
FortiGateを勉強する女性SE (10) 

どちらがお勧めですか?
やりやすい方でいいと思います。
ログインパスワードが分からなくてログインできない場合は、ボタンでの初期化が便利です。ただ、ボタンでの初期化はうまくいかない場合がありますので、その場合はCLIで。

❶ボタンでの初期化方法
インターフェース正面の両端(モデルにより右端、左端のどちらか)に初期化のボタン穴が開いています。
小さな穴ですが穴の奥に初期化ボタンがあり、約30秒間、長押しすることで 初期化されます。
※CLIの「factoryreset」と同じ処理が動きます。
※(VDOMを設定していたりすると?)うまく初期化されない。何度やってもダメなときがあるので、CLIに切り替えよう。
※機器によってはうまくいかないものもあります。CLIが確実です。

❷CLIからコマンドを実行
設定ファイルを初期化するには CLIより以下コマンドを実施します。

> execute factoryreset

コマンド実施後、機器は再起動します。

また、Bootイメージから初期化するには、以下コマンドを実施します。

> execute erase-disk "Disk名"

ただし、よほどのことが無い限り、あまり使いません。

※注意
 本コマンドはファームウェアも初期化対象です。
 実行後、TFTPからファームウェアを Uploadする必要があります。 

(2)初期化して消えるものと消えないもの

初期化用途のコマンドは4種類、用意されています。
コマンドにより、消える内容が変わります。

❶erase-disk
 Bootイメージから初期化するため、完全に全てのデータ(Firm含む)が対象になります。使用には注意が必要。

❷factoryreset
設定情報(Config)を初期値に戻します。
Log情報など設定値に関するもの以外は残った状態です。
keepvmlicense がオプションとして選択できます。このオプションを選択すると、VM版を利用されている場合はライセンスを 残した状態で実行することができます。

❸factoryreset2
設定情報(Config)を初期値に戻しますが VDOMや各インターフェースの設定情報は残した状態で実行します。
keepvmlicense がオプションとして選択できます。

❹formatlogdisk

Log情報、隔離ファイル、IPS/AntiVirus の DB情報をクリアします。

(3)パスワードの初期化
❶物理的な機器の場合

以下に丁寧な解説があります。
https://csps.hitachi-solutions.co.jp/fortinet/faq/FG-81-0014/

❷AWSの場合
対処方法はありません。

community.fortinet.com

3.ランプ

FortiGate30Eを題材として、ランプを紹介します。(画像悪くてごめんなさい。以下にわかりやすい図があります。)
http://www.fortinet.co.jp/doc/FGT30EDS.pdf
fortigatte

ランプの解説は後日★★

項目 表記 意味 解説
1 PWR 電源 緑点灯で電源ON
2 STA ステータス 緑点灯で正常
3 ALARM アラーム 消灯が正常
4 HA HA(冗長化)  
5 LINK/ACT    
6 SPEED   緑とオレンジ