FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

FortiGateについて

1.FortiGateについて

(1)Fortinet社について


※友人がFortigate社に訪問したときに撮影
Fortinetは Fortify(守る)と  Networkを組みあわせた社名です。
FortiGateを作っているのはFortinet社です。どうせなら、同じ名前にすればいいのではないかと思いますが、FWやメールセキュリティなどのシリーズごとに名前を変えています。
創業者は、同じくFWで市場を占有したNetScreenの創業者の一人であるKen Xie(ケンジー)さんです。日本にもたびたび来られるようです。
日本のカントリーマネージャは、H3Cなどでカンマネを勤められた、久保田則夫さんです。
当初は APsecure社(1998年)と言う社名で創業しています。
創業当初より AP(アプリケーションプログラム)を意識し、「セキュリティがトラフィックのボトルネックにならない」をコンセプトに比類ないパフォーマンスを提供することを目指しています。
また初の製品出荷にあわせ Fortinetに社名を変更し、以降  Forti〇〇 と社名を関しセキュリティポイントにあわせた製品群を提供しています。

たとえば、以下。
・Gate (門番)
・Mail (メール専用)
・Web (WAF)
・Client (クライアントPC用) 等々。。。
業界で唯一の ASICを開発し、グローバルなセキュリティ研究機関を保有する稀な会社です。 
09
 ※友人がFortigate社に訪問したときに撮影

(2)FortiGateの機能

従来のFirewall製品は、セキュリティ機能を統合的に持った製品として、UTM(Unified Threat Management)に置き換わってきました。
ForitGateも、UTMとしての機能が充実しています。

■主なセキュリティ機能
・ファイアウォール
・IPS(侵入防御システム:Intrusion Prevention System)
・アンチウイルス
・スパム対策
・URLフィルタリング
・アプリケーションコントロール
・情報漏洩防止(DLP)機能
・IPsec(VPN)
などがあります。詳しくは以下に紹介されています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortiguard_security_services.pdf
とはいえ、残念ながら、これらの機能の多くは、あまり活用されていません。単なるFWとして使われている例が多いのも事実です。
いろいろな機能を有効にすることで、パフォーマンスが落ちるという面もありますが、バランスを考えた上でセキュリティ機能を使いたいものです。

(3)FortiGateの市場シェア

FW(UTM)はライバルが多い市場です。かつてはCheckPointのFirewall1が市場を独占し、その後はNetScreen/SSGが市場を占有しました。
その後登場したForitGateでするが、製品性能と価格のバランスの良さが評価され、日本市場ではシェアが1位となっています。(以下のURLを参照ください)
(旧リンク)http://www.fortinet.co.jp/products/fortigate/
他社としては、上記に記載した以外に、Cisco(ASA)、PaloAlto、Sonicwall、JuniperSRX、WatchGuardなどがあります。

2.機器モデル

(1)FortiGateのモデル一覧

FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。

①代表モデル(製品)

・FortiGate-30D、FortiWiFi-30D 
・FortiGate-60D、FortiWiFi-60D 
・FortiGate-70D 
・FortiGate-90D、FortiWiFi-90D 
・FortiGate-100D
・FortiGate-200D 
・FortiGate-300D 
・FortiGate-500D 
・FortiGate-600D 
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D

数字が大きくなるにつれて、処理能力が大きくなります。

FortiGateを勉強する女性SE (はてな)



100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。

②モデル製品一覧

モデル一覧と、詳細なスペックは以下です。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

代表的な製品のデータシートは以下です。
■100E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100ESeriesDS.pdf
※101Eは、内部ストレージとして、480GBのSSDを持つモデル。ログをSyslogなどに転送する場合は通常の100Eのモデルでいいと思う。

■200E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT200ESeriesDS.pdf

■300E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_300E.pdf
※301Eは、内部ストレージとして、2×240GBのSSDを持つモデル。

■500E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_500E.pdf

■600E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_600E.pdf

項目について、いくつか解説します。

1)IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。

たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
FortiGateを勉強する女性SE (20) 
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。

2)ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。

言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。

レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。

内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)

3)ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
FortiGateを勉強する女性SE (はてな)
 
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。

4)ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。

5)IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。 

(2)機器写真とインターフェース

以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。

❶FortiGate-30D
    30Dでは、GbEを5ポートのみがあります。

FortiGate-30D
FortiGate-30D-rear

❷FortiGate-60D
    60Dでは、GbEを10ポートのみがあります。
FortiGate-60D

FortiGate-60D-rear

❸FortiGate-100D
   GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
 どちらかを利用できます)を2ポート持ちます。
FortiGate-100D

❹FortiGate-200D
 ・SFPをサポートします。
 ・18 xGbE RJ45、2 x GbE SFP
FortiGate-200D

❺FortiGate-300D
 ・SFPをサポートします。
 ・300Dでは6 x GbE RJ45、4 x GbE SFP
FortiGate-300D

❻FortiGate-1000D
 SFP+(10Gbpsのインターフェース)
 2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45
FortiGate-1000D

(3)機器選定

基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。

モデル一覧は以下リンクの内容です。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

機器選定にて考慮すべき点をいくつか述べます

▼回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。

▼使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。

▼IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。

▼利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。

▼価格
お金を支払う企業からすると、重要です。

(4)モジュールの例

■SFPモジュール

SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。
同梱されるモデルは、
・FortiGate-300D、FortiGate-500D
  SFP-SX モジュール ×2 個が同梱されています。
  FortiGate-300D-SFP-SX

・FortiGate-1500D
  SFP+ モジュール ×2個が同梱されています。
FortiGate-300D-SFP-SX

その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。

■FortiGate 100GインターフェースCFP2

3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
FortiGateの100Gのsfp

FortiGateシャーシにいれた100GのSFP

(5)FortiOS

❶OSによる機能の変化
・OSのバージョンは、Mainの「システム情報」、または ダッシュボード > Status からファームウェアのバージョンを確認できます。

・以下はFortiOS6.4のデータシートなど
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FortiOS64_DS.pdf
https://www.fortinet.com/jp/products/fortigate/fortios

【OSのバージョンによる変化】
ここでは、6.0台から6.4台への変化について、簡単に紹介する。
ア)技術の進化への対応
・TLS 1.3が サポート(OS6.2から)
イ)機能の拡張
・「セキュリティファブリック」>「外部コネクタ」(またはセキュリティファブリック>ファブリックコネクタ)で設定できる
外部サービスが増えている。この機能はたとえば、FortigateとAWSとの接続を、IAMなどの簡単な設定を入れるだけでセキュアに実施することができる。
ウ)操作性の変化
・機能などの変化によるGUIの変化
・6.0台のOSでは、インスペクションモードが、「プロキシ」と「フローベース」で選択が可能であった。OSの6.4などでは、ポリシーのところで選択できるように変化している。
※ただし、FortiOS7.2.4から、メモリが2GB以下の60Fなどでは、プロキシベースのインスペクションモードの選択にはCLIの設定が必要になり、FortiOS7.4.4から60Fなどのメモリ2G搭載モデルは、プロキシモードが選択できなくなりました。

❷FortiOS7.0

FortiOS7.0は6.0台からの大幅なバージョンUPに感じるかもしれませんが、基本的なGUIの画面は変わらず、機能が大幅に拡張したと考えてください。もともとはFortiOS6.6でリリース予定だったとか。
いつくか、細かな機能変更があります。
たとえば、
・SSLインスペクションでDNS over TLSを検査可能
・ACME(Automated Certificate Management Environment)にて、Let's Encrptの証明書の生成が可能
 →FGTでのサーバ証明書として利用できるので、クライアントにルート証明書を配布しなくても、エラーにならない。
・ゼロトラストへの対応
FortiOS7.0ではゼロトラストへの対応が大きなポイントです。
www.viva-fortigate.com

❸古い機器に最新OSって入りますか?

古すぎるのは入りません。
ですが、たとえば最新のFOSである6.0.2(2018.10時点)であれば、60Eではなく60Dや30Dでも動作します。
LAGが組めるかなどの、機能の違いもあります。
以下の表を確認してください。(FortiOS V6.0.2の場合)
(旧リンク)https://docs.fortinet.com/uploaded/files/4683/SWMTX-602-201809-R29.pdf

❹FortiGateのサポート

・ハードウェア:販売終了から5年でサポート終了
・ソフトウェア:リリースから3年でエンジニアのサポート終了、そこから1.5年で完全終了。たとえば、6.0であれば、2018年3月リリースで、2022年9月に完全にサポート終了

3.価格とライセンス

(1)価格と構成例

アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html

では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。

❶小さい会社でインターネットが出来ればいい。一番安いモデルで!
 ・FG-60D-US   FortiGate-60D  152,000

❷1Gbpsのインターネットで、UTM機能を使いたい
 ①初期費用
 ・FG-100D-BDL-US   FortiGate-100DUTM機能バンドル版  652,000

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000
 ・FC-10-00116-108-02-12   FortiGate-100D IPS/Application Control機能追加ライセンス 1年間  87,000
 ・FC-10-00116-112-02-12   FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
FortiGateを勉強する女性SE (納得いかず)


アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US   FortiGate-100D  501,000
・FC-10-00116-100-02-12   FortiGate-100D AV機能追加ライセンス 1年間  109,000

❸大規模な会社で、SFPポートも使いたい
 ①初期費用
 ・FG-1500D-US   FortiGate-1500D  6,554,000
 ・SFP 基本 2つの SFPモジュールが製品に同梱されています。

 ②ランニング(ソフトウェアライセンス)
 ・FC-10-01500-100-02-12   FortiGate-1500D AV機能追加ライセンス 1年間  1,425,000
 ・FC-10-01500-108-02-12   FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間  1,140,000
 ・FC-10-01500-112-02-12   FortiGate-1500D Web Filtering機能追加ライセンス 1年間  2,280,000

(2)ライセンスについて

FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。

詳しくは以下を参照ください。
www.viva-fortigate.com

4.FortiGateとPaloAltoの違い

どちらも機能的には変わりません。
FortiGateの資料は以下です。比較しているモデルが違うので何とも言えませんが、FortiGate社の資料なので、FortiGate社の優れているところにフォーカスされています。
www.fortinet.com

以下、個人的な見解です。

(1)FortiGateが優れていると感じるところ
❶国内、世界ともにFortiGateが高いシェアを誇る。

❷価格とパフォーマンス
同じ価格帯で比べた場合の処理能力は、FortiGateの方が圧倒的に優れる。
機器サイズも小さい。AVやURLフィルタの精度が高い

❸操作性
FortiGateの方が圧倒的に使いやすい。マニュアルが無くても、感覚で設定できる。CLIコンソールにGUIから接続もできる。
ポリシー一つにしても、PaloAltoはきめ細やかな設定ができるとのことだが、わかりにくく、マニュアルが無いと設定はつらい。
たとえば、DNSのポリシーを許可するには、アプリケーションをdnsにしてサービスをapplication-defaultにする。HTTPの場合は、アプリケーションをanyにして、SERVICEをservice-httpに。
保存なども、「名前付き~」などとわかりづらく、インポートしてもロードしなければいけないなど、知識が必要。ということは、毎回マニュアルを見なければいけない。ミスも増える。

(2)PaloAltoが優れると感じるところ
❶先行した技術は、PaloAltoが優れている気がする
Applicationコントロールであったり、WindowsのADサーバとの連携機能など

❷ログの見やすさ
PaloAltoの方が見やすい気がする(好みかも)。項目の幅を広げたり、横にスライドできたりが使いやすい気がした。

❸ゼロトラストの対応は、PaloAltoの方が先行している気がする
FortiGateは、境界型防御(つまりNGFW)での圧倒的なシェアと優れた機能を持っているため、ゼロトラスト
を積極的にやる必要が無いからではないか。

❹マーケティング力
販売はPaloの方が圧倒的に優れると思う。「高いけど機能優れる、画面がキレイ」、そういういい印象を顧客に安心感を与える。FortiGateは安いので、逆に、「品質が劣るのでは?」と思われる面はあると思う。

ネットワーク設定

1.インターフェースの設定

1.1 インターフェースに関して

(1)インターフェースとIPアドレスの関係
Fortigate-interface-IPaddress

(2)VLAN設定の考え方
デフォルトでは、各インターフェースごとに異なるセグメントが割り当てられている。
インターフェースをまとめて一つのセグメントにするには、スイッチグループの設定をする。
タグVLANは、一つのインターフェースにタグVLANの設定をする。

(3)コネクション
コネクションという言葉がふさわしいかどうかは分からないが、以下が可能である。
・物理ポートに対して1回線を収容できます。
・インターネット回線が1本で、プロバイダとの接続も1つである。この状態で、IPsecによるインターネットVPNをしながら、インターネットへのWEB閲覧が可能か
→可能である。

1.2 ネットワークインターフェースの設定

(1)状態確認
ネットワーク > インターフェース を選択します。すると、以下のように、FortiGateのイメージが表示されます。
同時にポートも表示されます。FortiGateのイメージから各ポートにマウスをドラッグすると、Up状態、Speed状態を示す windowsが出力します。

グリーンは UPしている状態を示します。

(2)設定(LAN側)
ネットワーク > インターフェースにて

今回はinternal(LAN側)をまずは変更するので、設定する物理IFであるinternalを選択してダブルクリック

このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

(3)設定(WAN側)
・システム>ネットワーク>インターフェースを開き、WAN側のインターフェースを選択。
・ロールがWANになっていることを確認しましょう。WANになっていると、WANに関連する設定が選択できるようになる。

・アドレッシングモードとして、 ①マニュアル ②DHCP ③PPPoEがある。②DHCPは、WANをDHCPによるIPアドレスの自動取得にした設定。
・DHCPやPPPoEで設定すると、自動でデフォルトゲートウェイも取得する。しかし、固定で設定すると、デフォルトゲートウェイは自分で設定しなければいけない。「ネットワーク」>「スタティックルート」で設定。

(4)セカンダリアドレスの設定
FortiGateを勉強する女性SE (10) 

セカンダリアドレスって何ですか?
一つのポートに2つ目のIPアドレスを割り当てられる機能です。
VLANの設定や、別途ルータ(またはスイッチ)を置くことでもできますが、セカンダリアドレスを使って簡易に2つのネットワークの設定ができます。

ネットワークのアドレス帯を移行する場合にも便利です。利用者が、旧アドレスでも新アドレスでも、どちらでも利用できるからです。

設定は、ネットワーク > インターフェース から設定したいインターフェースを開き、「セカンダリ IPアドレス」で設定できます。 

ここで、「新規作成」をクリックすると、以下の画面が開き、セカンダリIPアドレスが設定できます。

1.3 管理アクセスの設定

FortiGateを勉強する女性SE (はてな)
WANインターフェースからもGUIログインはできなのですか?
デフォルトではできません。第三者が不正にログインされるのを防ぐために、LAN側だけで許可しています。
今の設定だと、WAN側では、PingとFMG-Accessしか許可されていません。

一方のLAN側では、HTTPS通信が許可されています。
設定の変更は、有効にしたいアクセスのチェックボックスを入れるだけ。

項目 内容
HTTPS GUIアクセスが可能になる
HTTP HTTPでアクセスされるわけではなく、HTTPでアクセスするとHTTPSにリダイレクトされる。間違えてHTTPで通信しても接続してくれるので、便利といえば便利。もちろんHTTPSが有効になっている必要がある
PING PINGの応答を許可
FMG-Access FortiManagerにて集中管理したい場合の通信
SSH SSH接続を許可
SNMP SNMP managerからの接続を許可。ポーリングと思えばいいだろう
FTM Allow FortiToken Mobile Push (FTM) access.
RADIUSアカウンティング Allow RADIUS accounting information on this interface.
Security Fabric Connection Allow Security Fabric access. This enables FortiTelemetry and CAPWAP.

以下は昔の設定

項目 内容
FortiTelemetry FortiClient(エンドポイント制御)のやりとりの通信など
CAPWAP 主に無線の集中管理の通信

1.4 動作モード

FortiGateに限らず、多くのUTM製品で同じことですが、動作モードがあります。
メーカーによって、3つだったり4つだったりしますが、FortiGateでは2つの動作モードがあります。

❶NAT/ルートモード
 ・L3機器として動作します。
 ・通常のファイアウォールはこの形です。
 ・IPアドレスを複数持ち、ルーティングします。

 ※別途、バーチャルワイヤペアを使うと、NATモードでも特定のポート間でL2で透過の設定ができます。

❷透過(Transparent)モード
 ・L2機器として動作します。
 ・ルーティングしませんから、HUBのようなものと思えばいいでしょう。
 ・IPアドレスは、管理用しか持ちません。
 ・従来のネットワーク構成を変えずに、あとからFWを追加するのには便利です。

1.5 VLANの設定

ネットワーク > インターフェース > 新規作成 から「インターフェース」を選択
タイプを「VLAN」とし、インターフェースを選択したり、VLAN IDを設定する。

1.6 ポート6、7を新しいネットワークにする

スイッチのポートをもう一つ作る設置です。
デフォルトだと、ハードウェアスイッチが一つあります。
LANのポート1~7が一つのスイッチとなっています。
これを、もう一つ作ります。今回は、1つ目のハードウェアスイッチから6番と7番ポートを外します。
そして、6番と7番を一つのハードウェアスイッチ(LAN2)とします。

①Network Interfaceから、「Create New」「New Interface」を選択
lan

②Network Interfaceの画面から新規に作成するInterfaceの設定を入れる。
・Interface Nameを入れる
・「Type」を「Hardware Switch」にする。
・Interface Membersとして、インターフェースの6番と7番を入れる
→他で使われていると表示されない。なので、他の「Hardware Switch」でインターフェースを削除しておく必要がある。
・アドレス情報を入れる
lan2

③「OK」をして作成が終わると、以下のように表示される。

1.7 ネットワーク関連のCLI

以下に記載
https://www.viva-fortigate.com/archives/cli

1.8 USBポートからインターネット接続

USBポートは、たとえばiPhoneと接続してiPhoneから設定をすることができる。
それとは別に、3/4Gのモデムを使ってインターネットに接続することができる。モデムは対応するもんだけだが、探したところ、対応機器一覧は掲載されていなかった。
モデムによって、以下の設定がある。

config system modem
config system 3g-modem custom
config system lte-modem

その後、以下のコマンドを実行する。
set status enable
すると、インターフェースにて、wwanが緑色になって有効化される。

次に、ポリシーを作成すれば従来通りインターネットへの接続も可能になる。

USBテザリングなので、1台だけしか接続できないかと思ったら、ForiGate配下に接続した3台のPCから、インターネットに同時接続できた。

1.9 PPPoEではなく、IPoEで接続

インターネット接続は非常に早くなります。
設定は以下に記載されています。
https://www.brainassist.com/ba-online/archives/3131

1.10 Fortilinkポート

「FortiGateをスイッチコントローラーとして使用し、ディストリビューションFortiSwitchに接続す
る」ので、FGTとFortiSwitchの接続に用いる。
https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fos74_deploy_guide_sd_branch.pdf
60FなどのFシリーズから追加された。60Eでは7ポートがLANとして使えたが、2ポートがFortilinkポートになった。なので、不要な場合は削除すればいい。
https://blog.increment.cc/archives/248

2.ルーティングの設定

2.1 ルーティングの基本

(1)FortiGateで利用できるルーティングプロトコル
Static、RIP、OSPF、BGPが動作します。BGPはGUIでは設定できず、CLIからになります。ファイアウォールなので、ルーティングの設定をすることはそれほどないと思いますが、通常のルータのように各種の設定ができます。RIPやOSPFも利用できます。
(2)ルーティングの状態確認
❶GUI
ダッシュボード > ネットワーク > ルーティング で表示できます。
ちなみに、以下はデフォルトルートが2つあり、適切ではないルーティングなので、あとで直します。

❷CLI
以下のコマンドを使います。

get router info routing-table all

実際に実行した結果は以下です。

FGT # get router info routing-table all
(前略)
Routing table for VRF=0
S*      0.0.0.0/0 [5/0] via 192.168.0.1, port1, [1/0]
                  [5/0] via 192.168.1.1, port2, [1/0]
C       192.168.0.0/24 is directly connected, port1
C       192.168.1.0/24 is directly connected, port2

2.2 スタティックルートの設定

スタティック(Static)ルートを設定します。
①ネットワーク > ルーティング を開きます。

②「新規作成」ボタンから、ルーティングテーブルを作成します。
宛先セグメント、経路となるデバイス(インターフェース)、ゲートウェイ(のIPアドレス)を設定します。

FortiGateを勉強する女性SE (10)


アドミニストレーティブディスタンスって何ですか?
経路の優先度です。たとえば、Staticルートと動的ルートで2つの経路情報があった場合に、どちらを優先するかです。ForiGateの場合は、Staticルートがデフォルトでは10に設定されています。(Ciscoの場合はデフォルトが1)。値を変更する必要はなく、このままの設定で「OK」を押します。

2.3 OSPFの設定

ここでは、CiscoルータとFortiGateでOSPFの設定をします。
(0)構成は以下

PC(10.10.1.101) → (10.10.1.254)Cisco892(172.16.1.1) → (172.16.1.99:WAN2)FG(LAN:192.168.1.99) →PC (192.168.1.101)

(1)Cisco892の設定

enable
conf t

interface GigabitEthernet0
ip address 10.10.1.254 255.255.255.0
no shutdown

interface fastEthernet8
ip address 172.16.1.1 255.255.255.0
no shutdown

ip routing
router ospf 1
network 10.10.1.0 0.0.0.255 area 0
network 172.16.1.0 0.0.0.255 area 0

(2)FortiGateの設定本(黒い本)のp300にも記載あり
・システム>表示機能設定
 高度なルーティングをONに
・IFの設定
 IPアドレスを割り当てる 今回はWAN2に172.16.1.99/24
・ネットワーク>OSPF
 ・ルータID:172.16.1.99 としたが、なんでもいいのかもしれない
 ・エリア:新規作成でエリアを0.0.0.0 で作成
 ・ネットワーク:作成した0.0.0.0のエリアに2つのNWを割り当て
  172.16.1.0/24
  192.168.1.0/24
 ・インターフェースの設定
  名前を付け、OSPFを交換するインターフェースを指定する。今回はWAN2
・ポリシーの設定
 WAN2とLANを相互に通信許可するルールを作成。NATはOFFにしたが、ONでも成功するのではないかと思う。

(3)状態確認
❶FGTでの状態確認

FGT # get router info ospf neighbor
FGT # get router info routing-table all

GUIは、モニタ>ルーティングモニタ

❷Ciscoでの状態確認

sh ip route
Router>sh ip ospf neighbor

3.DHCPの設定

ここでは、DHCPの設定をします。
FortiGateを勉強する女性SE (13) 
FortiGateがDHCPサーバになって、PCにIPアドレスを払い出すということですね。
はい、そうです。

(1)DHCPサーバの設定

設定は、ネットワーク > インターフェース の設定から実施します。
dhcp

LAN側のPCにIPアドレスを払い出しますので、LANのインターフェースをダブルクリックします。
すると、DHCPサーバの設定画面が開きます。デフォルトでは、192.168.1.110-210のIPアドレスの払出し設定がされています。
dhcp2
DHCPで払い出すのは、IPアドレスだけではなく、デフォルトゲートウェイやDNSもです。「指定」を押すと、個別に変更が可能です。

「高度な設定」を押すと、DHCPリレーの設定をしたり、オプションで別の情報を配信することも可能です。
dhcp3

・CLIでみると、以下の設定が入っていることでしょう。

FGT # config system dhcp server

FGT (server) # show
config system dhcp server
    edit 1
        set dns-service default
        set default-gateway 192.168.1.99
        set netmask 255.255.255.0
        set interface "internal"
        config ip-range
            edit 1
                set start-ip 192.168.1.110
                set end-ip 192.168.1.210
            next
        end

(2)払い出しの確認

DHCPの払い出し状況は、ダッシュボードから+でモニタの追加 DHCPモニタ
または、CLIにて以下でも確認可能

execute dhcp lease-list

(3)複数のセグメントに異なるIPアドレスを払い出す。

DHCPリレーを使い、複数の異なるセグメントに払い出す場合はGUIでは設定ができません。
CLIから実行します。
たとえば、新しく、172.16.102.0のセグメントにIPアドレスを払い出す場合。
editで番号を指定しますが、他と重複する可能性があるので、以下はedit 102としています。

config system dhcp server
    edit 102
        set dns-service default
        set default-gateway 172.16.102.254
        set netmask 255.255.255.0
        set interface "internal"
        config ip-range
            edit 1
                set start-ip 172.16.102.101
                set end-ip 172.16.102.110
            next
        end

仮に設定を間違えたら、一度消しましょう。

config system dhcp server
delete 102

※ただ、Ciscoルータ892とで検証してみたが、Ciscoルータ892からはDHCPリレーのパケットが送られることまでは確認したが、応答がなかった。Ciscoルータ892のパケットが、giaddrではなく、Relay agent IPに入っていることが原因かもしれないが、要調査。ちなみに、OSは6.02と7.43のどちらもダメだった。

4.DNSの設定

DNSの設定を解説します。
クライアントPCに払い出すDNSの設定ではなく、FortiGateが名前解決する場合のDNSサーバの設定です。
FortiGateを勉強する女性SE (21) 

FortiGateが名前解決をする必要があるのですか?
FWで利用する分には、不要だと思います。
その通りです。PCの場合、DNSの設定がないとインターネットにアクセスできません。一方、FortiGateは、DNSの名前解決ができなくても、FWとしては動きます。ただ、ライセンス認証ができないので、URLフィルタなどが利用できなくなるでしょう。

さて、設定は、「ネットワーク」>「DNS」から実施します。
FortiGateのWANのインターフェースを、DHCPクライアントとして設定した場合は、割り当てられたDNSサーバを利用します。
また、FortiGateのDNSサーバも用意されています。
dns

5.NAT

(1)インターネットへのNAPT
インターネットへのNATは、イイ感じにしてくれている印象である。NATをONにしてもOFFにしても、どちらでもうまくつながっている気がする。まあ、基本的にはNATは有効にするのであるが。
NATテーブルは以下のコマンドで確認できる。

FGT # get system session list
PROTO   EXPIRE SOURCE           SOURCE-NAT       DESTINATION      DESTINATION-NAT
tcp     8      192.168.1.110:50826 192.168.179.2:50826 192.168.0.254:80 -
udp     16     192.168.1.112:54649 192.168.179.2:54649 142.x.76.136:443 -
tcp     3579   192.168.1.112:58197 192.168.179.2:58197 142.x.76.142:443 -
tcp     3582   192.168.1.111:55809 192.168.179.2:55809 104.y.50.130:443 -
udp     26     192.168.1.112:54997 192.168.179.2:54997 142.y.207.100:443 -
項目 内容
PROTO プロトコル。TCPかUDP
EXPIRE 時間だと思う
SOURCE 送信元IPとポート番号
SOURCE-NAT 送信元NATした後のIPアドレスとポート番号
DESTINATION 宛先のIPとポート番号
DESTINATION-NAT 宛先NATをした後のIPアドレスとポート番号

上記は、LANからインターネットへの通信なので、すべて送信元NATになっている。
また、NAPTの場合、教科書的な本には、ポート番号も変換すると書いてあったであろう。ただ、Ciscoもそうなのだが、ポート番号は変換しない。IPアドレスとポートの両方の情報を保持しておけば、通信する上で何ら問題ないからだ。

(2)MIPやVIP
書籍に書きました。