FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

SSLフルインスペクション

Proxyサーバを有効にした上で、SSLフルインスペクションを設定するケースが多いと思います。
今回は単純なやり方で、ポリシーにSSLフルインスペクション(deep-inspection)を設定します。

(1)FortiGateの設定
設定は簡単で、「ポリシー&オブジェクト」>「IPv4ポリシー」で、該当するポリシーにて「deep-inspection」を有効にします。
①セキュリティプロファイルの部分の鉛筆のようなマークをクリック
forti
②「deep-inspection」を選択します。
ssl_inspection2
設定を有効にした画面です。
また、今回はwebサイトにアクセスしたい際のURLフィルタでフルインスペクションをします。よって、「Webフィルタプロファイル」も「defalut」でいいので有効にしておきます。
    deep-inspection


設定は以上です。

(2)実際に動作させてみましょう。
SSL/TSL(つまりHTTPS)を使っている銀行のオンラインバンキングのページや、Googleなどのサイトにアクセスしてみましょう。
ブラウザによってメッセージが異なりますが、IEの場合は以下のような警告メッセージが出ます。
eroor


(3)証明書を入れます。
FortiGateのルート証明書をまずは取得しましょう。
①SSLインスペクションを設定したポリシーのところで、マウスを合わせます。「確認」ボタンを押します。
deep②証明書をダウンロードします。
ssl_cert

③これをダウンロードしてダブルクリックをしてインストールします。
④全般的な流れは以下に記載しています。
http://nw.seeeko.com/archives/50924117.html

AWS上に公開サーバを建て、FortiGateで防御する

1.最初に余談

AWSにサーバを構築することを増えていると思います。AWS上の仕組みでFWを持たせるのも有効ですが、人によっては使い慣れたFortiGateを使いたいという人もいると思います。
FortiGateはAWSのMarketPlaceに販売されていて、AWS上で展開が簡単にできます。(とはいえ、AWSのネットワークの基本的な知識が必要で、専門の会社さんに相談するのがいいと思います。

(1)参考となる情報

以下に、作成するインスタンスとポート数の情報がありますし、また、関連するファイルもありますので、参考にしてください。
https://docs2.fortinet.com/vm/aws/fortigate/6.0/about-fortigate-for-aws/6.0.0/261537/instance-type-support

設定に関しては、以下が参考になる。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/FG-VM_AWS_setting_guide.pdf

AWS内でLANを作成することに関しては、以下がわかりやすいと思います。
https://www.slideshare.net/AmazonWebServicesJapan/webinar-aws-43351630

(2)補足

①AWSのマーケットプレイスのシグネチャ情報
起動した時点では、IPSなどのシグネチャが古い。たとえば、IPS定義

システム>FortiGuard>アンチウイルスとIPSのアップデートにてAV&IPS定義を更新を押す。
すると、しばらくすると更新される。

(3)Cloudfundationを使ってAWSのFGを起動する場合

Cloudfundationできちんと作成できていれば、
yamlをインポート
FWのインスタンスを起動(c4large)する。このとき、WAN側のIPを末尾99にする。
EIPを割り当てて、WANにログインするだけ。めちゃくちゃ簡単だ。
 

2.構築の流れ

(1)VPC

以下がわかりやすい。
https://dev.classmethod.jp/articles/creation_vpc_ec2_for_beginner_1/

構成は、
インターネット→【AWSルータ】→TEST(10.0.0.0/24)→FG→TEST_LANとTEST_DMZ 

ポート構成は
eth0 FGのPort1 TEST_toGWセグメント(10.0.0.0/24)に接続  ★MGTと共用
eth1 FGのPort2 TEST_LANセグメント(10.0.1.0/24)に接続
eth2 FGのPort3 TEST_DMZセグメント(10.0.2.0/24)に接続

①VPCの作成
名前タグ:TEST
IPv4CIDER 10.0.0.0/16
IPv6 CIDR: ブロックなし
テナンシー:デフォルト
※VPCのIDをメモしておくと、そのあとの作業の確認がやりやすいと思う。→vpc-01cb4f33474325001
※このとき、ルートテーブルにデフォルトルートがあるかも確認しておきたい。→本来はあるべき。私は無かった。

②サブネットの作成
・名前タグ:TEST_toGW
・VPC:先ほど作成したTEST(表記は乱数)を作成
・AZ:どれかを選択
・IPv4CIDRブロック:10.0.0.0/24

・名前タグ:TEST_LAN
・VPC:先ほど作成したTEST(表記は乱数)を作成
・AZ:どれかを選択→先と同じにしておいた
・IPv4CIDRブロック:10.0.1.0/24

・名前タグ:TEST_DMZ
・VPC:先ほど作成したTEST(表記は乱数)を作成
・AZ:どれかを選択
・IPv4CIDRブロック:10.0.2.0/24

③インターネットゲートウェイ
本当は、インターネットGWが自動作成されてほしいが、作られなかった。自分で作る。
何をしているかというと、デフォルトGWの設定である。
・VPCダッシュボードから、「インターネットゲートウェイ」を選び、「インターネットゲートウェイを作成」
 - 名前タグ:Fortgate_GWとした
・作成されたインターネットゲートウェイをVPCにアタッチする
 -アクションから「VPCにアタッチ」、今回のVPCを選択する。

④ルーティングの設定
 作成したVPCのルーティングがきちんと設定されていない。なので、同じく「VPCダッシュボード」から「ルートテーブル」メニューを選択。
 -作成したTEST用のVPCのルートテーブルを選択
 -下の「ルート」でルートを確認する。ここで、デフォルト ルートがどこかのインターネットGWに接続されていれば何もしなくていい。されていない場合は「ルートの編集」
 -「ルートの追加」で「送信先」を0.0.0.0/0にして、ターゲットは「インターネットゲートウェイ」を選ぶ。作成したインターネットゲートウェイを選び、「ルートの保存」
おそらく、以下のようになると思う。

送信先 ターゲット
10.0.0.0/16 local
0.0.0.0/0 igw-***

 ・次にサブネットの関連付けをする。このルーティングはどのネットワークのルーティングなのかを明らかにするのだ。
 「サブネットの関連づけの編集」でtoGWのサブネットを関連づけする。このとき、サブネットのリンクを押してはダメ。チェックを入れて青ランプをつけて、「保存」ボタンを押す。★注意

④-2 他のルーティング  ★後での作業が残っている。
 ※本当は自動で作成してほしいのだが、ない場合は自分で作る。
 ・LAN用のルーティング「route_LAN」も作る
  「ルートテーブルの作成」から作り、VPCをTESTに割り当てる。サブネットやルートの設定が必要。
  -サブネットの関連づけとして、10.0.1.0/24を選択
  -ルートから「ルートの編集」で、0.0.0.0/0を作り、ネットワークIFを選び、eth1を選ぶ。
  -さらに、サブネットで、TEST_LANのルートテーブルが、先ほど作成したroute_LANになっているかを確認。なっていなければ対応付けをする。TEST_DMZも同様。これで、このネットワークのデフォルトGWがeth1になり、このネットワーク上の端末のパケットが、eth1に届く。※ただし、同じVPC内は別のルータがあって、そこでルーティングされるため、少し特殊であることは理解しておこう。
 ・LAN2も同様。
  

(2)FWを構築する

・EC2の画面で、通常のサーバを建てる画面を開く
・インスタンスの作成を押す
・左のメニューでAWS Marketplaceを選ぶ
・検索窓で「Fortigateを選ぶ」 ライセンスは、一番上とした。Fortinet FortiGate Next-Generation Firewall
・料金は、一番小さいt2.smallで0.33ドル(/時間)
 ただ、もう少し大きい方がいいだろう。NICが3枚欲しいので、C4.largeを選ぶ(0.856ドル/時間)。少しハイスペックなC4.xlargeでもいいだろう。
※ インスタンスのタイプと、NICの数などは以下に記載がある。
 https://docs2.fortinet.com/vm/aws/fortigate/6.0/about-fortigate-for-aws/6.0.0/261537/instance-type-support
 NICが4枚なら、c5.largeが必要
 ★ここで注意。いきなりインスタンスを作成しない
 ・「インスタンスの詳細の設定」を押す
  -ネットワークとしてVPCをTEST
  -サブネットをTEST_toGW
  -パブリックIPを有効にしておくと、グローバルIPが割り当てられるので便利(その代わり、eth2を事前に作るというデバイスの追加はできない)
   ※だが、意味ないかも。パブリックIPは、システムを止めるとからか、公開サーバの設定をするからか、使えなくなった気がする。→結局は、ElasticIPを設定する必要があると思う。
  -eth0のプライマリIPとして10.0.0.99を割り当てます。
  ※このとき、eth1などを作成すると、パブリックIPが割り当てられないと思う。ただ、作ってもいい。→あとでも修正できるが、eth1を10.0.1.99で作成する。このとき、サブネットを正しく選ぶ。サブネットが違うと、エラーになる。
  -基本的には「次へ」で。
  -セキュリティGは22と443を開けたものを新規作成 (→あと、このあとVIPでWebサーバへの通信を許可するのであれば80も開けておいてもいい)
  -SSHのキーを選択して、起動

②EC2の起動と確認 
しばらくすると、仮想Fortigateが起動します。
状態を見ると、グローバルIPが割り当てられ、設定した、PrivateIP(10.0.0.99)と作成したVPCにつながっていることでしょう。またeth1(eth2は作成していれば)があることも分かる。
 ※ネットワークのインターフェースIDを調べておこう
 
③ElasticIPの取得
・VPCダッシュボードからElasticIPを選ぶ
・新しいアドレスの割当
 Amazonプールを選び「割り当て」を押す
 →ElasticIPが作成される
・アドレスの関連づけ
 作成したElasticIPを選び、アクションから「アドレスの関連づけ」で、先ほど調べたFortigateのネットワークインターフェースIDを選択。プライベートIPも10.0.0.99を選択し、「関連づけ」を押す
 
④Fortigateにアクセス
 ・EC2でFortigateのインスタンスに、ElasticIPが接続されていることを確認
 ・そのIPにアクセスする
  https://203.0.113.25/ ←ここはElasticIP
 ・ユーザ名:admin
  パスワード:FortigateのインスタンスID
  でログイン
 ・すぐにPWを変更する。
 ・初期設定をしよう
 
⑤起動確認
 CLIコンソールから、pingで疎通確認をしよう
 #execute ping 8.8.8.8 これが接続できれば、インターネットにも接続されていることが実感できるだろう。
 ただ、IFがeth0の一つだけしかない。
 
⑥IFの作成
・EC2の画面で、「ネットワーク&セキュリティ」から「ネットワークインターフェイス」を選択。
・既存では2つ以上のFortigate関連のIFがあると思う。それぞれ、EC2の画面でIFのIDをみて、eth0とeth1という名前を付けておく→わかりやすい
・eth2用にネットワークインターフェースを作成する。
「ネットワークインターフェースを作成」
 -Description:eth2 →あとでNameもeth2にしよう
 -subnet:TEST_DMZ
 -IPv4address:10.0.2.99
 -Security group:他と同じくForti用のセキュリティGを
・作成したIFをFortigateのインスタンスにアタッチ
 IFの一覧に戻るので、eth2を選択して「アタッチ」。そして、インスタンスとして作成したFortigateのIDを入れる。
 これで、EC2上のFortiGateインスタンスに、eth2が登場するはず。
 →必要に応じて、Fortigateの再起動しよう。(まだ起動していなければしなくていいと思う)

⑦FortiGateにてIFの設定を修正
・IFは固定IPではなくDHCPでIPアドレスを取得する。※IPアドレスを固定にすると、つながらなくなった。特にWAN
・IFの設定を正しくしよう。エイリアスをLAN、WANなどに設定しておくと、みやすい。
 たとえば、port1はロール:WAN、管理者アクセスも適宜。port2はロールがLAN、port3はロールがDMZ 
 それ以外には、許可するサービスも設定しておこう。候補はおそらくHTTPS,SSH,ICMP

⑧ポリシー

⑨ルーティング
デフォルトだと、3つのIFがデフォルトルートになっているので、変更した方がいい。
FGT# get router info routing-table all
Routing table for VRF=0
S*      0.0.0.0/0 [5/0] via 192.168.0.1, port1
                  [5/0] via 192.168.1.1, port2
                  [5/0] via 192.168.2.1, port3
C       192.168.0.0/24 is directly connected, port1
C       192.168.1.0/24 is directly connected, port2
C       192.168.2.0/24 is directly connected, port3

FGのGUIでStatic Routeを設定する。
・サブネットは0.0.0.0/0
・GWは192.168.0.1(AWSのルータ)
・インターフェースはWAN1
・アドミニストレーティブディスタンスは5より小さくするので、3などに

これで、コマンドから8.8.8.8へのpingなども成功するだろう。

(3)LANとDMZにサーバを建ててみよう

EC2でサーバとなる新しいインスタンスを作成する。
このとき、VPCを正しく選択し、IPは自動でも固定でもいい。わかりやすいのは固定であろう。

・EC2で、セカンダリIPアドレス10.0.0.101を割当て。セカンダリIPは ネットワークインターフェース>「アクション」>IPアドレスの管理から。(または、インスタンスを選択して右クリックで「ネットワーキング」>「IPアドレスの管理」からも設定可能)
f:id:seeeko:20210517120214p:plain
・ElasticIPの割当。(これは、VPCからいくと、画面がわかりやすい。→嘘かも)。ElasticIPから、新しいIPの割当てを実行し、IFとしてEth0,IPを作成した10.0.0.101にする
FG上で、バーチャルIPの設定
バーチャルIPは、「ポリシー&オブジェクト」>「バーチャルIP」で「新規作成」
 外部IPアドレスを10.0.0.101 マップされたIPとしてサーバの10.0.1.76
FGで作成したVIPへのポリシーを許可する。
 -「ポリシー&オブジェクト」で「新規作成」 宛先を先ほど作成したバーチャルIPのオブジェクトにする。

FGから作成したサーバへのpingを許可するには、サーバのセキュリティグループで、ICMPを許可する必要がある。
同様に、サーバからFGへpingを許可するのも同様。
★それと、Windowsサーバを建てる場合はRDP(3389)を許可するが、サーバのセキュリティグループだけでなく、FGのWANのIFのセキュリティグループでも3389を許可する必要がある。
→という観点から、セキュリティグループは、WANのIFとLAN内のIFで変えた方がいい気がする。

・EC2のサーバからインターネット接続や、pingを打つには、一工夫が必要。サーバのセキュリティグループで、サーバおよびFWのアウトバウンドが許可されているかを確認する。※デフォルトはANYで許可されているはず。
・もう一つ、EC2のネットワークセキュリティ>ネットワークインターフェースで、LAN1(やLAN2)を選択し、アクションをクリックし、「送信元/送信先の変更チェック」を「無効」にします。これをすると、EC2のサーバからインターネットにアクセスできるようになる。
※何をしているかというと、AWSは基本的に自分宛てのパケット以外を拒否します。それを、受け付けるようにするのです。ネットにいろいろと情報が載っています。

■今度はDMZ上のサーバを作る
・EC2を立ち上げる。VPCはDMZ
・FortiGateのインスタンスをえらび、ネットワークインターフェースからeth0を選んでアクション、IPアドレスの管理で、セカンダリIPを作る 10.0.0.102
・ElasticIPを取得、それを、先に作ったeth0の10.0.0.102に関連づけ
・FGにて、VIPを設定する。10.0.0.102→10.0.2.101
・FWポリシーを作成する。このとき、宛先は先に作成したVIP。※NATはデフォルトの通り、有りとした。
・SSHで接続できるはず。
・セキュリティグループで、10.0.0.0/16を全て許可しておけば、LAN内は自由に通信できるはず。
同様に、LANにおいたサーバもそうする。

■AWS独特のルーティング
FortiGateでNWを分離しても、LANからDMZはForiGateを通ってくれません。
同一VPC内には特殊なlocalというルータがあり、ルーティングテーブルとして、localというのが作成されている。だから、FGを導入しても、勝手にlocalルータで経由されてします。
たとえば、10.0.0.0/16のVPCを作りセグメントとしてLAN(10.0.0.0/24)とDMZ(10.0.1.0/24)を作ったとします。
LANのデフォゲ(つまりLocalのルータ)は10.0.0.1でDNSは10.0.0.2と割り当てられます。
→EC2のサーバのデフォルトゲートウェイを変えればうまくいく?→仕様としてできないみたいだ。

→参考までに、以下のp44から似たところの記載がある。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/FG-VM_AWS_setting_guide.pdf

ここにあるように、
・VPC特有のルーティング事情で、デフォルトゲートウェイが10.0.1.1になっている
・これをFortiGateのIP(10.0.1.99)に向けなければいけない。ただし、EC2のインスタンスではこれを変更できない
・「VPC」→「ルートテーブル」で、10.0.1.0/24用のルートテーブルを選択
・ここで、0.0.0.0/0、ターゲット:<インターフェースID>に設定する
ただ、あくまでもデフォルトルート。隣のサブネット(10.0.1.0/24)への通信は、デフォルトのlocalのルーティングが有効で、しかも消せない。だから、無理だと思う。
今回は使えないが、ちなみに、同じVPC内の異なるサブネット間のACLは、ネットワークアクセスコントール(NACL)

管理設定

1.ログとアラート

1.ログの設計

FortiGateは、セキュリティ製品ですので、セキュリティに関するログが重要になります。また、FortiGateそのもののログも出力されます。

❶セキュリティのポリシーのログ

「ポリシー&オブジェクト」のところで、ポリシーにおいて、「ロギングオプション」があります。デフォルトでは、「許可トラフィックをログ」の「セキュリティイベント」になっています。これは、許可ログもすべて取得しては、ログが莫
大になるからです。

1 
ここの設定で、「すべてのセッション」を選ぶことも可能です。これを選ぶと、上部にあるセキュリティプロファイルで選択した、AVやWebフィルタのログも取得します。
2 
先ほどの画面で、「セッション開始時にログを生成」は、デフォルトはOFFです。SYNパケットが発生した時点でログを取得します。なので、3Wayハンドシェークに失敗したものも、ログとして取得できます。

❷筐体に関するログ

・セキュリティ設定やらポリシーに関するものではなく、筐体に関するイベントのログに関してです。
・ログレベルとしてemergency,alert,critical,error,warning,notification,information,debugがあります。それぞれのレベルを付与してログが出力されます。
・デフォルトでは、すべてのログレベルが出力されます。
・出力するログのレベルを変更する方法は、CLIのみです。set severityコマンドで変更できます。
・ログの設定は「ログ&レポート」の「ログ設定」から行います。
・ログの出力先は「ローカルログ」の「ディスク」がデフォルトです。
3
・Syslogに転送するには、「リモートロギングとアーカイブ」で「ログをSyslogへ送る」にして、SyslogサーバのIPアドレスを記載します。
4

 

 

 

 

❸ログについて

内部にログをためて、GUIで見ると、ログが正確に出ない場合がある。きちんとログを見たいのであれば、Syslogサーバなどに転送するほうがいいだろう。
・GUIだと、表示されるログの上限が決まっていた気がする
・単なる転送ログだと、通常トラフィックは表示されない場合があるだろう。 severityのレベルをnotificationに変更しよう。 ※この点は上にも書いています。
FortiGateを勉強する女性SE (10)

なんだかよくわからないです
順に整理しよう。
・ポリシーにおいて、「許可トラフィックをログ」を「すべてのセッション」にする。
・ログは「ログ&レポート」>「転送トラフィック」に表示される。

ただし、60クラスの小さいものは、メモリが小さいので、デフォルトではログが取得されない。なぜかというと、severity(厳格さ)の設定が原因である。初期設定を見てみよう

FGT60D # show full-configuration log memory filter ←showコマンドで確認
config log memory filter
    set severity warning ←結果表示:warinigになっている
    set forward-traffic enable
    ・・・・

そこで、設定変更をする
FGT60D # config log memory filter ←該当の階層に移動
FGT60D (filter) # set severity information ←severity(厳格さ)をinformationまたはnotificationに変更
FGT60D (filter) # end
FGT60D # 
 ※saveなどの明示的な保存は不要。自動で保存される。

・システムログには、トラフィックがあふれてこれ以上セキュリティチェックをしないなどのログも表示される。

■その他
ログの消し方→コマンドラインでしかできないと思う。
execute log delete-all 

2.アラートの設定

アラートメールを送る方法には、「ログ&レポート」から設定する方法1と、「セキュリティファブリック>オートメーション」から設定する方法2の2種類があります。

【方法1】「ログ&レポート>Eメールアラート設定」からの設定

「ログ&レポート」より「Eメールアラート設定」を選択します。

【方法2】イベントメッセージからアラートメールを設定する場合

①「セキュリティファブリック>オートメーション」から「+新規作成」をクリックします。
②「新規オートメーションステッチ」の画面で、適宜名前を入力し、トリガーの中から「イベントログ」を選択します。
イベントログのアイコン下に表示されるイベント項目の「 + 」をクリックします。
③画面右に「エントリを選択」が表示され、複数のイベントメッセージから項目を選択できます。

FortiGateを勉強する女性SE (はてな) 

どう使い分けるのですか?
大きな違いの一つとして、前者は、機器単体、後者は複数機器にまたがったアラート設定ができることがあります。
ですから、FortiGateが複数ある場合はセキュリティファブリックからの設定になります。

また、前者の「E-メールアラート」は、機器単体が安定稼働しているかを判断する管理(Disk超過や設定変更、HAステータス等)、セキュリティ(AV、IPSの検知)が主です。
そして、通知内容は決められており、特定のイベントを追加することはできません。できるのは、セベリティレベルの変更だけです。

2.FortiAnalyzer

1.FortiAnalyzerとは

FortiAnalyzer は単体、複数の FortiGateから収集したログを分析、レポートすることを容易に実行できる製品です。
FortiGateを勉強する女性SE (20)
 
ログを集めるSyslogサーバみたいなものですね。
集めるだけなら、Syslogサーバで十分では?


ログ管理は何か問題となることが発生した時に、その時系列や何処が起因しているかを調べる為に使います。

ポイントは素早く探したい場所にたどりつき、前後関係を判断できるかです。
Syslogサーバーの管理ではログをフィルタし、対象を探していきます。

FortiAnalyzerを利用すると、時系列の関連性をGUIから確認したり、
対象期間をフィルタしてレポートを作成させることで前後関係を視覚的に判断できるようになります。

これは問題発生の確認や、定期的な状況把握にも利用できます。

2.構成

FortiGateとは、ネットワーク的に接続されていれば構いません。FortiGateのポートを、FortiAnalyzer専用に接続しても構いません。

ログ処理は、

・リアルタイムに FortiAnalyzerへ送信する
・定期的に保存したログを FortiAnalyzerへ送信させる

の2つのパターンを選択できます。

リアルタイム性を考慮する場合は、出来るだけ FortiGateと FortiAnalyzerは近いポイントで設置する
構成が望ましく、定期的な場合は拠点間の回線帯域を圧迫できない場合に利用されます。

また専用のストレージを使うことで長期間のログを保存し、そのデーターから様々なレポート、
必要期間のデーター抽出を実施できます。

導入構成は単体、冗長、親子連携と様々な構成にマッチした内容で導入できます。

単体の場合、FortiAnalyzerは冗長化していませんので NAS等に定期的にログを
Updateした方が望ましいです。

冗長構成の場合、NAS等のストレージを設けることなく FortiAnalyzerを冗長できます。

親子関係とは、Analyzer(親)、Collector(子)の関係を FortiAnalyzerで構築します。

FortiGateは Collecotrにログを転送します。
Collectorは定期的に Analyzerへ保存したログを転送します。
Analyzerは Collectorから転送されたログをレポート等にまとめます。

これは FortiAnalyzerの負荷分散、FortiGateが集線する回線帯域により構成をさせるものになります。

また FortiAnalyzerもハード(物理)、仮想化(VM版)と様々な環境に適応させることが出来ます。
FortiGateを勉強する女性SE (17)
FortiGateがHAを組んだ場合は、両方のログを出力するのですか?




その場合は、FortiAnakyzer側で FortiGateを登録する際に HA(クラスタ)として認識させた
登録が可能です。
登録後、FortiGateの(Active、Slave)両方のログを管理できるようになります。

3.価格

管理するデバイスが最小 5台で、約 50万円からスタートします。

4.管理画面

複数のデバイス、ログ内容を視覚的に見やすく確認できる GUIとなっています。
Top画面)
FortiAnalyzer-Top

FortiView)
FortiAnalyzer-view


3.FortiManager

1.FortiManegerとは

FortiManegerは複数の FortiGate、FortiAPなどのデバイスを管理する製品です。
とくにポリシーや Version、シグニチャなどの UTM機能で利用するデータベースを共通管理し、運用者にかかる工数を軽減させる手助けを行います。

UTM機能におけるパターン(データーベース)管理が出来ることで、もっとも弱くなるセグメント(拠点、とくに出先、又は取引先)に対し有効なポリシー管理を提供できます。

・FortiManagerのデータシート
https://www.fortinet.co.jp/doc/FortiManager_DS.pdf

2.機能

FortiGateを勉強する女性SE (18) 

画面を一元的に見ることができるだけですね。
だったら、FortiGateに一つ一つログインして確認すればいいと思います。


台数が少なければそれでもいいでしょう。でも、台数が増えると、管理工数が増えますよ!
FortiManagerの代表的な機能を整理すると、以下になります。

①複数のFortiGateを1つの画面で集中管理できる

②複数のFortiGateの設定を一元的に変更できる
 基本全ての設定変更が可能です。

 設定は 
 ・基本設定部分 (DNS、NTP、Log管理など)
 ・Firewall Policy部分(アドレスオブジェクト、グループ、UTMプロファイル等)
 ・VPN設定部分(IPSecVPNのスター構成など)

 上記を一元的に変更したり、各 FortiGateの設定情報の Backupをしたり
 できます。

③設定ファイルやシグネチャの一元配信
 FortiGateから UTMシグニチャの配信を受ける宛先を FortiManagerで
 請け負うことができます。言い換えれば FortiManagerがシグニチャ配信や
 Web、SPAM DBの Proxyをするイメージです。

 例えば、
 ・インターネットアクセスさせない環境下だがシグニチャの配信は受けたい
 ・シグニチャ、パターンファイルの Versionを完全に管理したい
 場合に利用します。

3.導入構成

導入構成は、1台、冗長と様々な形で導入できます。
また製品にはハード(物理)、仮想化(VM版)の両方があります。

これは導入パターンの幅を広げる柔軟性を提供していることを意味します。

※余談ですが Fortinet製品はハード、仮想化と両パターンを提供する製品が多いです。

4.価格

価格については管理デバイス数によりますが、最小 30台を管理するとして、
約 100万円からのスタートになります。

5.管理画面

管理画面は複数のデバイスを管理しやすい GUI構成となっています。
また日本語化されており、とくに FortiGateでは CLI操作で設定する内容をFortiManagerは GUIで全て設定を行うことができます。 

トップ画面)
FortiManager-Top 

4.管理系の設定

1.FortiCloudでの認証エラーの不具合について

FortiCloudで無料アカウントを作成したのですが、すこしトラブったので記載します。

以下にログインおよびアカウント作成のページがあります。
https://login.forticloud.com/servicelist
a













ここでログインに成功するアカウントで、何度FortiGateでログインしてもエラーになりました。
※アカウントはダミー
c
日本専用のJPサーバでのアカウントと、別のようでした。
https://jplogin.forticloud.com/login
b
こちらでログインできるアカウントであれば、無事に成功しました。

2.時刻設定(タイムゾーン、NTP)

時刻設定の方法を解説します。
❶タイムゾーンの設定
 ①「ダッシュボード」「システム情報」から「システム時間」の「変更」をクリックします。
timezone

 ②時刻設定の画面が開きます。
 ここの「タイムゾーン」で「GMT+9:00」を選びます。
time

❷NTPサーバとの時刻同期の設定
 デフォルトで、FortiGateのNTPサーバと同期する設定になっています。
 NTPサーバを手動で設定する場合は、上記画面の「マニュアル設定」で実施します。

❸FortiGate自らをNTPサーバとして動作させる
 上記の「デバイスをローカルNTPサーバとして設定」をクリックする。
ntp
以上

3.管理アクセス(443接続)のポート番号の変更

デフォルトでは管理画面へのWebアクセスは443番である。これを、変更する。たとえば、SSL-VPNによる接続を、FWなどので閉じられている可能性もあるので、443で接続させたりする場合だ。

システム>設定>管理者設定>HTTPSポートで行う。

5.諸々の管理設定

1.WebUIのタイムアウト時間を延ばす

WebUIの画面ですが、しばらくすると自動でログアウトされます。
この時間を延長するには、システム ‐> 設定 項目にある 管理者設定)アイドルタイムアウト の値を変更することで延長することが出来ます。

FortiGate-GUI-TiimeOut

初期値は 5分になっており、5分間経過するとログアウトします。
最大 480分まで延長することが可能です。

2.バージョンアップ

FortiGateのファームウェア―をアップするには

① GUIからの方法
② CLIから TFTP、USBメモリを介する方法

があります。

①の GUIから行う方法が利用頻度が多いと思います。

GUIからアップする方法)
システム->ダッシュボード より、システム情報のウィジット より、
赤枠 「アップデート」 を選択します。

FortiGate-Upgrade2

アップデート選択後、下記 Update Firmware を選択します。

FortiGate-Upgrade3

PCに保存している Firmwareを選択し、ファームアップ処理を行います。
※ファームアップは再起動が実行されることに注意してください。

ファームアップを行う際に、2つの選択ができます。

① ダウングレードを行う場合
② Disk Formatを実行した後、新規にファームをインストーるする

必要に応じて、下記赤枠より選択、実行してください。
FortiGate-Upgrade5

3.インターフェースへの管理アクセスの設定

FortiGateを勉強する女性SE (はてな)
WANインターフェースからもGUIログインはできなのですか?
デフォルトではできません。第三者が不正にログインされるのを防ぐために、LAN側だけで許可しています。
今の設定を見てみましょう。

if

ここにありますように、WAN側では、PingとFMG-Accessしか許可されていません。
一方のLAN側では、HTTPS通信が許可されています。
では、設定の変更方法を解説します。インターフェースを開き、有効にしたいアクセスのチェックボックスを入れるだけです。
access
・FortiTelemetry:FortiClient(エンドポイント制御)のやりとりの通信など
・FMG-Access:FortiManagerにて集中管理したい場合の通信
・CAPWAP:主に無線の集中管理の通信
・RADIUSアカウンティング:RADIUSアカウンティングの通信?

4.telnetの有効化
telnet はコマンドで設定します。
※CLIコンソールでも可能。

FGT # config system interface
FGT (interface) # edit internal

 

FGT (internal) # set allowaccess
ping              PING access.
https             HTTPS access.
ssh               SSH access.
snmp              SNMP access.
http              HTTP access.
telnet            TELNET access.
fgfm              FortiManager access.
auto-ipsec        IPsec auto-configuration.
radius-acct       RADIUS Accounting access.
probe-response    Probe access.
capwap            CAPWAP access.

 

※必要な管理アクセス設定を行います。

 

FGT (internal) # set allowaccess https pign telnet
FGT (internal) # end (これで保存)
 
※参考
セキュリティの観点からSSHが推奨される。そういうのもあって、IFの画面ではTelnetを有効にするチェックボックスが表示されない。CLIから有効にすると、GUIでも表示されるようになる。 
5.システム管理者の管理

(1)読み取り専用ユーザの作成する方法

①システム>管理者プロファイル>新規作成
ここで、名前を付け、与えたい権限をチェックしてプロファイルを作成

②システム>管理者>新規作成
 管理者を作成するが、タイプはローカルでいい。プロファイルを先ほど作成したものを選択する。

→このユーザでログインすると、編集権限などが与えられていない。


(2)送信元IPアドレスを限定してログインさせる

システム>管理者にて該当ユーザを選んで編集

信頼されるホストにログインを制限のところに、グローバルIPを入れる。
最大10個まで

6.ライセンスやステータス

1.ライセンスやステータスの確認(FOS5.6の場合)

ログイン後の画面でもありますが、「ダッシュボード」の「Main」からライセンスの状態を確認できます。

ライセンス-簡易
※緑のチェックはライセンスが有効。破線は、ライセンスが無効を意味します。

ステータスの詳細を見るには、「システム」「FortiGuard」から確認をします。
ライセンス-詳細1
以下がその画面です。
ここで、ライセンスの状態に加えて、ライセンスの有効期限、各バージョン情報を確認できます。
ライセンス-詳細2
CLIの場合以下でもバージョン情報を確認できる。
FGT # diagnose autoupdate versions
FortiGateを勉強する女性SE (21)

バージョンの更新日は分かりますか?
上記において、バージョンにマウスを近づけると、更新日がわかります。

2.ライセンス情報の確認(FOS5.4の場合)

「ダッシュボード」「ライセンス情報」から確認できます。
license











各項目で緑のチェックマークだと、契約期間内を意味し、
赤のマークだと、契約をしていない・契約が切れている事を意味します。

3.ライセンスの登録

FortiGateで確認できるライセンス情報は大きく分けて、

・サポート契約(ハード・ソフト)
・FortiGuard(UTMライセンス)

の2種類があります。

① サポート契約(ハード・ソフト)で FortiGateのサポート契約の状況を確認できます。
  ※OSの VersionUP権利であったり故障したハード交換の権利です。

② FortiGuard(UTMライセンス)の UTM機能が利用できる状態かを確認できます。

またライセンスの登録作業はご購入される時点で、必要な登録を済ませた状態になります。

7.出力メッセージの編集

ここではユーザーにブロック、検知、認証等のメッセージないしブラウザ上に
表示されるメッセージの編集方法について説明します。

メッセージは 設定 > 警告メッセ―ジ で編集できます。

Fortigate-message1

編集画面で 「イメージのアップロード」、簡易、拡張表示を選択することで詳細なメッセージの内容を
確認することができます。

※完成図書が必要な際はこの画面キャプチャで作業を終えることができるかもしれません。

拡張表示への変更は以下で行います。
Fortigate-message2

メッセージの編集例)
HTTPプロトコルでウィルスを検知した際に出力されるメッセージに日本語を追加した例です。
黄色のマーカーラインが追記した文字列です。
Fortigate-message3

メッセージフォーマットを編集すると、表示画面もリアルに変換されます。

このメッセージ内容を編集することで多言語のメッセージを出力させることも可能です。

8.IPSやAVの更新状況

1.IPSやAVの更新状況

先に解説した通りで、ステータスの詳細を見るには、「システム」「FortiGuard」から確認をします。
ライセンスの状態に加え、ライセンスの有効期限、各バージョン情報を確認できます。

2.インターフェース(IF)の状態

「ネットワーク」「インターフェース」を選択します。すると、以下のように、FortiGateのイメージが表示されます。
同時にポートも表示されます。
インターフェース-1

ココで、グリーンは UPしている状態を示します。
FortiGateのイメージから各ポートにマウスをドラッグすると、Up状態、Speed状態を示す windowsが出力します。
インターフェース-2

Configの保存とリストア

1.Configの保存とリストア(FOS 5.6)

❶Configの保存
画面右上の「admin」のプルダウンから「設定」「バックアップ」を選択します。
・スコープは、全体のConfigを保存するのか、現在のVDOMのConfigを保存するかを選択します。
・バックアップ先をどこにするかを選択します。
・暗号化はConfigファイルの中身を暗号化するか。

OKでConfigファイルを保存します。

55







❷Configのリストア
画面右上の「admin」のプルダウンから「設定」「リストア」を選択します。
・Fileの「アップロード」でConfigファイルを選択し、OKを押します。
58









2.Configの保存とリストア(FOS5.4)

❶バックアップ
・ダッシュボード > システム情報 を開き、「システム設定」の「バックアップ」 
backup

・「システム設定をバックアップ」の画面が開きます。
backup2
・「暗号化」をクリックすると「パスワード」入力が求められます。ファイルの暗号化もされます。
・「OK」を押すと、保存されます。
backup3

❷リストア
・上記と同じ画面の「リストア」ボタンからリストアができます。
・「システム設定リストア」の画面が開きます。
restore
・Fileの「アップロード」を押してファイルを選択し、「OK」を押します。
・「確認」画面が出ますので、OKを押すとリストアが始まり、システムが再起動されます。
restore2