1.FortiGateについて
(1)Fortinet社について
※友人がFortigate社に訪問したときに撮影
Fortinetは Fortify(守る)と Networkを組みあわせた社名です。
FortiGateを作っているのはFortinet社です。どうせなら、同じ名前にすればいいのではないかと思いますが、FWやメールセキュリティなどのシリーズごとに名前を変えています。
創業者は、同じくFWで市場を占有したNetScreenの創業者の一人であるKen Xie(ケンジー)さんです。日本にもたびたび来られるようです。
日本のカントリーマネージャは、H3Cなどでカンマネを勤められた、久保田則夫さんです。
当初は APsecure社(1998年)と言う社名で創業しています。
創業当初より AP(アプリケーションプログラム)を意識し、「セキュリティがトラフィックのボトルネックにならない」をコンセプトに比類ないパフォーマンスを提供することを目指しています。
また初の製品出荷にあわせ Fortinetに社名を変更し、以降 Forti〇〇 と社名を関しセキュリティポイントにあわせた製品群を提供しています。
たとえば、以下。
・Gate (門番)
・Mail (メール専用)
・Web (WAF)
・Client (クライアントPC用) 等々。。。
業界で唯一の ASICを開発し、グローバルなセキュリティ研究機関を保有する稀な会社です。
※友人がFortigate社に訪問したときに撮影
(2)FortiGateの機能
従来のFirewall製品は、セキュリティ機能を統合的に持った製品として、UTM(Unified Threat Management)に置き換わってきました。
ForitGateも、UTMとしての機能が充実しています。
■主なセキュリティ機能
・ファイアウォール
・IPS(侵入防御システム:Intrusion Prevention System)
・アンチウイルス
・スパム対策
・URLフィルタリング
・アプリケーションコントロール
・情報漏洩防止(DLP)機能
・IPsec(VPN)
などがあります。詳しくは以下に紹介されています。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortiguard_security_services.pdf
とはいえ、残念ながら、これらの機能の多くは、あまり活用されていません。単なるFWとして使われている例が多いのも事実です。
いろいろな機能を有効にすることで、パフォーマンスが落ちるという面もありますが、バランスを考えた上でセキュリティ機能を使いたいものです。
(3)FortiGateの市場シェア
FW(UTM)はライバルが多い市場です。かつてはCheckPointのFirewall1が市場を独占し、その後はNetScreen/SSGが市場を占有しました。
その後登場したForitGateでするが、製品性能と価格のバランスの良さが評価され、日本市場ではシェアが1位となっています。(以下のURLを参照ください)
(旧リンク)http://www.fortinet.co.jp/products/fortigate/
他社としては、上記に記載した以外に、Cisco(ASA)、PaloAlto、Sonicwall、JuniperSRX、WatchGuardなどがあります。
2.機器モデル
(1)FortiGateのモデル一覧
FortiGateには、ポート数や処理能力に応じてたくさんのモデル(製品)があります。
①代表モデル(製品)
・FortiGate-30D、FortiWiFi-30D
・FortiGate-60D、FortiWiFi-60D
・FortiGate-70D
・FortiGate-90D、FortiWiFi-90D
・FortiGate-100D
・FortiGate-200D
・FortiGate-300D
・FortiGate-500D
・FortiGate-600D
・FortiGate-1000D
・FortiGate-1500D
・FortiGate-3200D
・FortiGate-3700D
・FortiGate-3810D
・FortiGate-5001D
数字が大きくなるにつれて、処理能力が大きくなります。
100DなどのDはどういう意味ですか?
Dの意味は搭載されるハードウェア(ASIC(NP、CP))の世代を意味します。旧来のモデルはCでしたから、Dになって、新しくなったことを意味します。特に ASICは新しい世代となると、旧モデルと比較し数倍のパワーアップがされていることが多く選定の際、アルファベットの追い番を選択することは一つの目安となります。
②モデル製品一覧
モデル一覧と、詳細なスペックは以下です。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
代表的な製品のデータシートは以下です。
■100E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT100ESeriesDS.pdf
※101Eは、内部ストレージとして、480GBのSSDを持つモデル。ログをSyslogなどに転送する場合は通常の100Eのモデルでいいと思う。
■200E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FGT200ESeriesDS.pdf
■300E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_300E.pdf
※301Eは、内部ストレージとして、2×240GBのSSDを持つモデル。
■500E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_500E.pdf
■600E
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/FortiGate_600E.pdf
項目について、いくつか解説します。
1)IPv4 ファイアウォールスループット(1518 / 512 / 64 バイトUDPパケット)
スループットは、パケットサイズによって変化します。荷物を東京から大阪まで運ぶのに、バイクで運ぶよりも大きなトラックで運んだ方が効率的ですよね。なので、1518バイトのパケットの方が、64バイトのパケットよりもスループットがよくなります。
たとえば、200Dであれば、3Gbpsのスループットです。300Dで8Gbps、500Dでは16Gbpsです。
10GbpsのWAN回線を契約している会社はめったにありません。1Gbpsがほとんどです。そうであれば、3Gbpsとか、それ以上は不要ですね。
いや、そうではありません。1Gbpsの回線は、全二重通信で、最大2Gbpsです。また、WAN⇔DMZ、DMZ⇔LAN、LAN⇔WANのそれぞれで全2重通信をする可能性がありますから、(それぞれがMAXのスピードが求められることはまずありませんが、)この場合だと、最大6Gbpsの処理能力が必要なのです。
2)ファイアウォールレイテンシ
ポート間の転送、Firewallでは LAN、WANポリシー間の転送処理能力を指します。
スイッチング遅延が 6.7μs以内であれば L2、L3スイッチではワイヤースピードを出せる機器という指標があります。
FortiGateは Firewall処理を ASIC(NP)で処理し、ほとんどのモデルで Firewallレイテンシが5μs以内と脅威的な数値を出しています。
言い換えれば、Firewall処理をほぼワイヤースピードで処理できている。。。と言えます。
レイテンシが低く、ショートパケットでスループットが良いと、VoIPや遅延に敏感なアプリケーションにとても効果のあるセキュリティ配置を行うことができます。
内部 FWの利用としても積極的にとりいれることが出来ます 。(スイッチと変わらない性能が出せるので)
3)ファイアウォール同時セッション
100Dだと3Mです。これはつまり、3000000セッション(300万セッション)ということです。
セッション数は1PCで1セッションですか?
つまり、セッション数=端末台数と考えていいですか?
いや、もっとあります。たとえば、Yahoo!のサイトを見ると、HTMLのテキストページだけでなく、GIF画像一つ一つでセッションが貼られます。なので、1ページで20~30セッションの場合もあることでしょう。動画になると、200セッションとか、それ以上と言われます。
4)ファイアウォールポリシー
100Dだと10000行のポリシーが書けます。これくらいのポリシーを書くことはあまりありませんが、IPアドレス単位で細かく制御している会社さんは、たまに数千行のポリシーを書いたりします。
5)IPSスループット、アンチウイルススループット
ここにありますように、UTMの機能をONにすると、スループットが落ちます。200Dでは3GbpsのFWスループットが、IPSをONにすると、1.7Gbps、AVを有効にすると、600Mbpsにまで下がります。
(2)機器写真とインターフェース
以下に、代表的な機器の写真を掲載します。
インターフェースがどうなっているかも確認してください。
❶FortiGate-30D
30Dでは、GbEを5ポートのみがあります。
❷FortiGate-60D
60Dでは、GbEを10ポートのみがあります。
❸FortiGate-100D
GbEを20ポート、共有ポートペア (Port番号 15、16番は Ethernet & SFP ポートを共有し、
どちらかを利用できます)を2ポート持ちます。
❹FortiGate-200D
・SFPをサポートします。
・18 xGbE RJ45、2 x GbE SFP
❺FortiGate-300D
・SFPをサポートします。
・300Dでは6 x GbE RJ45、4 x GbE SFP
❻FortiGate-1000D
SFP+(10Gbpsのインターフェース)
2 x10 GbE SFP+、16 x GbE SFP、18 x GbE RJ45
(3)機器選定
基本設計として、決めることはいくつかあります。
その中の一つが、機器選定です。
モデル一覧は以下リンクの内容です。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
機器選定にて考慮すべき点をいくつか述べます
▼回線帯域とスループット
回線帯域が100Mなのか、1Gなのか、10Gなのか、それに応じて、FortiGateがどれだけのスループットを持っているかを確認します。
▼使用する機能
上記にも関連しますが、機能をたくさんつけるとスループットが低下します。
回線帯域が100Mbpsであれば、FWスループット、IPSスループット、AVスループットなどを考えて、モデルを選定します。
▼IF(インターフェース)の数
1Gと10G、それぞれで、いくつ必要なのかを考慮する必要があります。また、HA(冗長化)をする場合には、冗長化のためのケーブルも必要です。HA用のポートを、通常のポートと混在させることはできません。
▼利用ユーザ数
同じ1G回線でも、利用者数が多いと、たくさんのセッションを使います。
▼価格
お金を支払う企業からすると、重要です。
(4)モジュールの例
■SFPモジュール
SFPインターフェースを持つ機器の場合は、2つのSFPモジュールが製品に同梱されています。
同梱されるモデルは、
・FortiGate-300D、FortiGate-500D
SFP-SX モジュール ×2 個が同梱されています。
・FortiGate-1500D
SFP+ モジュール ×2個が同梱されています。
その他、FortiGate-3000シリーズ以上で SFP+モジュールが同梱されています。
■FortiGate 100GインターフェースCFP2
3810Dに接続する100ギガインターフェースです。これが搭載されているBOX型(つまり、シャーシタイプではないもの)はまだまだ少ないです。
次の規格では、SFPと同じサイズになるようだ。
(5)FortiOS
❶OSによる機能の変化
・OSのバージョンは、Mainの「システム情報」、または ダッシュボード > Status からファームウェアのバージョンを確認できます。
・以下はFortiOS6.4のデータシートなど
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FortiOS64_DS.pdf
https://www.fortinet.com/jp/products/fortigate/fortios
【OSのバージョンによる変化】
ここでは、6.0台から6.4台への変化について、簡単に紹介する。
ア)技術の進化への対応
・TLS 1.3が サポート(OS6.2から)
イ)機能の拡張
・「セキュリティファブリック」>「外部コネクタ」(またはセキュリティファブリック>ファブリックコネクタ)で設定できる
外部サービスが増えている。この機能はたとえば、FortigateとAWSとの接続を、IAMなどの簡単な設定を入れるだけでセキュアに実施することができる。
ウ)操作性の変化
・機能などの変化によるGUIの変化
・6.0台のOSでは、インスペクションモードが、「プロキシ」と「フローベース」で選択が可能であった。OSの6.4などでは、ポリシーのところで選択できるように変化している。
※ただし、FortiOS7.2.4から、メモリが2GB以下の60Fなどでは、プロキシベースのインスペクションモードの選択にはCLIの設定が必要になり、FortiOS7.4.4から60Fなどのメモリ2G搭載モデルは、プロキシモードが選択できなくなりました。
❷FortiOS7.0
FortiOS7.0は6.0台からの大幅なバージョンUPに感じるかもしれませんが、基本的なGUIの画面は変わらず、機能が大幅に拡張したと考えてください。もともとはFortiOS6.6でリリース予定だったとか。
いつくか、細かな機能変更があります。
たとえば、
・SSLインスペクションでDNS over TLSを検査可能
・ACME(Automated Certificate Management Environment)にて、Let's Encrptの証明書の生成が可能
→FGTでのサーバ証明書として利用できるので、クライアントにルート証明書を配布しなくても、エラーにならない。
・ゼロトラストへの対応
FortiOS7.0ではゼロトラストへの対応が大きなポイントです。
www.viva-fortigate.com
❸古い機器に最新OSって入りますか?
古すぎるのは入りません。
ですが、たとえば最新のFOSである6.0.2(2018.10時点)であれば、60Eではなく60Dや30Dでも動作します。
LAGが組めるかなどの、機能の違いもあります。
以下の表を確認してください。(FortiOS V6.0.2の場合)
(旧リンク)https://docs.fortinet.com/uploaded/files/4683/SWMTX-602-201809-R29.pdf
❹FortiGateのサポート
・ハードウェア:販売終了から5年でサポート終了
・ソフトウェア:リリースから3年でエンジニアのサポート終了、そこから1.5年で完全終了。たとえば、6.0であれば、2018年3月リリースで、2022年9月に完全にサポート終了
3.価格とライセンス
(1)価格と構成例
アライドさんのサイトに価格一覧が掲載されています。
https://www.allied-telesis.co.jp/products/price/fortinet.html
では、アライドさんの価格表をもとに、いくつかの要件でモデルを選んでみましょう。
ハード保守費用は製品購入で加入されます。
別途、各ベンダーとの保守契約が必要です。
❶小さい会社でインターネットが出来ればいい。一番安いモデルで!
・FG-60D-US FortiGate-60D 152,000
❷1Gbpsのインターネットで、UTM機能を使いたい
①初期費用
・FG-100D-BDL-US FortiGate-100DUTM機能バンドル版 652,000
②ランニング(ソフトウェアライセンス)
・FC-10-00116-100-02-12 FortiGate-100D AV機能追加ライセンス 1年間 109,000
・FC-10-00116-108-02-12 FortiGate-100D IPS/Application Control機能追加ライセンス 1年間 87,000
・FC-10-00116-112-02-12 FortiGate-100D Web Filtering機能追加ライセンス 1年間 174,000
アンチウイルス(AV)しか使わない予定ですが、バンドル版を買うしかないのですか?
その場合だと、FortiGate100D単体と、AVライセンスを買った方がお得です。
・FG-100D-US FortiGate-100D 501,000
・FC-10-00116-100-02-12 FortiGate-100D AV機能追加ライセンス 1年間 109,000
❸大規模な会社で、SFPポートも使いたい
①初期費用
・FG-1500D-US FortiGate-1500D 6,554,000
・SFP 基本 2つの SFPモジュールが製品に同梱されています。
②ランニング(ソフトウェアライセンス)
・FC-10-01500-100-02-12 FortiGate-1500D AV機能追加ライセンス 1年間 1,425,000
・FC-10-01500-108-02-12 FortiGate-1500D IPS/Application Control機能追加ライセンス 1年間 1,140,000
・FC-10-01500-112-02-12 FortiGate-1500D Web Filtering機能追加ライセンス 1年間 2,280,000
(2)ライセンスについて
FortiGateの機器を購入するだけでは、FWとVPNなどの基本機能しか利用することができません。
AntiVirus、IPS、Webフィルタ、Antiスパムの機能を利用するには、単品のライセンス(1年更新)を購入するか、すべてのオプション機能が含まれたバンドル版を購入します。
詳しくは以下を参照ください。
www.viva-fortigate.com
4.FortiGateとPaloAltoの違い
どちらも機能的には変わりません。
FortiGateの資料は以下です。比較しているモデルが違うので何とも言えませんが、FortiGate社の資料なので、FortiGate社の優れているところにフォーカスされています。
www.fortinet.com
以下、個人的な見解です。
(1)FortiGateが優れていると感じるところ
❶国内、世界ともにFortiGateが高いシェアを誇る。
❷価格とパフォーマンス
同じ価格帯で比べた場合の処理能力は、FortiGateの方が圧倒的に優れる。
機器サイズも小さい。AVやURLフィルタの精度が高い
❸操作性
FortiGateの方が圧倒的に使いやすい。マニュアルが無くても、感覚で設定できる。CLIコンソールにGUIから接続もできる。
ポリシー一つにしても、PaloAltoはきめ細やかな設定ができるとのことだが、わかりにくく、マニュアルが無いと設定はつらい。
たとえば、DNSのポリシーを許可するには、アプリケーションをdnsにしてサービスをapplication-defaultにする。HTTPの場合は、アプリケーションをanyにして、SERVICEをservice-httpに。
保存なども、「名前付き~」などとわかりづらく、インポートしてもロードしなければいけないなど、知識が必要。ということは、毎回マニュアルを見なければいけない。ミスも増える。
(2)PaloAltoが優れると感じるところ
❶先行した技術は、PaloAltoが優れている気がする
Applicationコントロールであったり、WindowsのADサーバとの連携機能など
❷ログの見やすさ
PaloAltoの方が見やすい気がする(好みかも)。項目の幅を広げたり、横にスライドできたりが使いやすい気がした。
❸ゼロトラストの対応は、PaloAltoの方が先行している気がする
FortiGateは、境界型防御(つまりNGFW)での圧倒的なシェアと優れた機能を持っているため、ゼロトラスト
を積極的にやる必要が無いからではないか。
❹マーケティング力
販売はPaloの方が圧倒的に優れると思う。「高いけど機能優れる、画面がキレイ」、そういういい印象を顧客に安心感を与える。FortiGateは安いので、逆に、「品質が劣るのでは?」と思われる面はあると思う。