FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

初期設定と初期化

1.初期設定

(1)FortiGateへのアクセス(ログイン)

▼CLIの場合
❶シリアルケーブルを接続し、TeraTermやハイパーターミナルなどからアクセスします。

❷初期ID「admin」、パスワード「(無し)」を入れます。

FGTXXXXXX login: admin
Password:

 

Welcome !
※初期設定ではホスト名(FGTXXXXXX)はシリアル番号になっています。


▼WebUIの場合
❶PCとFortiGateをLANケーブルでつなぎます。
FortiGate60Cの場合、LANポートの1~5のいずれかのポートに接続します。
初期化された状態であれば、DHCPでIPアドレスが自動で割り当てられます。
ipconfigで、192.168.1.0/24のIPアドレスが取得できているか、確認しましょう。
ipconfig
※固定でIPアドレスを設定する場合は、192.168.1.0/24セグメントのIPアドレスをPCに割り当てます。たとえば、192.168.1.101/24 

❷PCのブラウザからhttps://192.168.1.99/へアクセスします。
ブラウザは、GoogleChromeかFirefoxがお勧めです。
httpの場合はhttpsにリダイレクトされます。

正しい証明書が無いので、「この接続ではプライバシーが保護されません」と怒られます。(画面はGoogle Chromeの場合)

Chrome
ですが、これは仕方がないので、画面下の 「詳細設定」ボタンを押し 「192.168.1.99 にアクセスする(安全ではありません)」 をクリックします。

login

❸ID、パスワードを入力します。
※初期ID「admin」、パスワード「(無し)」を入れます。

(❹初期化後の場合)
パスワード変更の画面が出ます。

学習用などの検証目的などではなく、正規の利用のときは必ず変更しましょう。

❺ログインが成功し、ダッシュボード画面が表示されます。

dash
ただ、初期化された直後は、英語のままです。

❻環境設定の変更
初期状態では英語で表示されていることでしょう
System>Settingsで各種設定をしましょう。
①System Time>Time Zone
 →GMT+9:00 つまり、日本に合わせます。
②Administration Settings>Idle timeout
 →適当に(たとえば50)長くしておきましょう。
 ここで設定した無通信時間があると、自動でログアウトしてしまいます。設定時は長め にしておき、本格運用時には短くすればいいでしょう(実際には長いままが多いと思います)
③View Settings>Language
 →Japanese(日本語)にしましょう。
④System Operation Settings
 →「Proxy」がお勧めです。セキュリティ検査を しっかりやってくれるモードです。

❼また、必要に応じて表示機能設定の変更
システム>表示機能設定 で、必要な機能が表示されるようにしておきましょう。
たとえば、「複数セキュリティプロファイル」を有効にします。
hyoujikinou
以上です。
(2)初期の基本設定

初期設定(最低限のFWとしての設定)の流れは以下である。
①言語を日本語にする
②TimeZoneを日本にする
③インターフェースの設定(LANとWAN)
④ルーティングの設定
⑤ポリシーの設定

①初期化された状態だと英語なので、日本語に変える
System>Admin>SettingsのView Settings のLanguageをEnglishからJapaneseに変更し、画面下方の「Apply」を押す
fortigate_lang


② Time Zoneの設定
Dashboard>ステータスの システム情報の「システム時間」の[変更]ボタンを押す。次の画面で、タイムゾーンをGMT+9:00(日本)にする。OKボタンで決定。fortigate_timezone  

③インターフェースの設定(LANとWAN)

システム>ネットワーク>インターフェースを開く
設定する物理IFを選択する。
 fortigate_if
今回はinternal(LAN側)をまずは変更するので、ダブルクリック
fortigate_ip
このままでよければいいし、たとえばIPアドレスを変える場合は、IP/ネットワークマスクのところを変更する。
それ以外には、DHCPの設定を変更したり、不要ならばSTPを無効(チェックを外す)でもいいだろう。 

WAN側も同様。PPPoEの設定をする場合には、以下のようにPPPoEのラジオボタンを選択して、情報を入力する。
fortigate_pppoe

以下の④、⑤は設定せずとも通信できることもある。

④ルーティングの設定
PPPoEの場合は、自動でデフォルトGWが設定される。

⑤ポリシーの設定 
Policy & Objects>IPv4にてポリシーを設定する。
デフォルトで、internal(内部)からWAN1(外部)へのポリシーが許可されている。
fortigate_policy
NAPTの設定もされているので、インターネットに接続できる。
(3)NTTのフレッツ光でFortiGateを接続する。

■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。

■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。

■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
fortigate
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
 PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
 
ipconfigで見てみると、次のようになっています。

C:\>ipconfig
Windows IP 構成
イーサネット アダプター イーサネット:
  接続固有の DNS サフィックス . . . . .:
  リンクローカル IPv6 アドレス. . . . .: fe80::XXX
  IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
  サブネット マスク . . . . . . . . . .: 255.255.255.0
  デフォルト ゲートウェイ . . . . . . .: 192.168.1.99


https://192.168.1.99/にアクセスします。
admin PWなしでログインします。

③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
2
あとは、PCをFortiGateのLAN側に接続するだけです。

(4)FortiGate Virtual Applianceの初期設定

FortiGate Virtual Applianceをためしてみました。

【前提条件】
・インターネットに接続できる必要がある
・TIME Zoneの設定が必要(らしい)
・(当然ながら)ライセンスが必要

【設定】
・ovfファイルが4つありますが、
FortiGate-VM64.ovfでいいと思います。
仮想基盤上に展開するのは簡単でしょう。
・起動するとCLIが立ち上がります。

・ログインはいつもの初期設定と同じ
id:admin
PW:(なし)

で入れます。

・port1の設定
初期設定はDHCPでの自動取得になっています。
念のため、設定を確認しましょう。
# config system interface
(interface)# edit port1
(interface)# show

DHCPになっていることが分かると思います。
どんなIPが割り当てられたかは、以下のコマンドでわかります。
# get system interface
※または、get system interface physical

・TIME Zoneの設定
#config system global
# set timezone 60
#end

・GUIでアクセス
上記の割り当てられたIPアドレスにGUIでアクセスします。
https://192.168.0.3/

・ライセンスが無いと怒られるので、ライセンスをいれます。

・再起動して、しらばく動かなかったのですが、あきらめて新規に上記URLにアクセスすると、正常に通信ができました。
(うれしい!!)

2.機器の初期化

(1)初期化の方法

FortiGateの初期化の方法は、以下の2つがあります。
❶ボタンを押して初期化
❷CLIからコマンドを実行
FortiGateを勉強する女性SE (10) 

どちらがお勧めですか?
やりやすい方でいいと思います。
ログインパスワードが分からなくてログインできない場合は、ボタンでの初期化が便利です。ただ、ボタンでの初期化はうまくいかない場合がありますので、その場合はCLIで。

❶ボタンでの初期化方法
インターフェース正面の両端(モデルにより右端、左端のどちらか)に初期化のボタン穴が開いています。
小さな穴ですが穴の奥に初期化ボタンがあり、約30秒間、長押しすることで 初期化されます。
※CLIの「factoryreset」と同じ処理が動きます。
※(VDOMを設定していたりすると?)うまく初期化されない。何度やってもダメなときがあるので、CLIに切り替えよう。
※機器によってはうまくいかないものもあります。CLIが確実です。

❷CLIからコマンドを実行
設定ファイルを初期化するには CLIより以下コマンドを実施します。

> execute factoryreset

コマンド実施後、機器は再起動します。

また、Bootイメージから初期化するには、以下コマンドを実施します。

> execute erase-disk "Disk名"

ただし、よほどのことが無い限り、あまり使いません。

※注意
 本コマンドはファームウェアも初期化対象です。
 実行後、TFTPからファームウェアを Uploadする必要があります。 

(2)初期化して消えるものと消えないもの

初期化用途のコマンドは4種類、用意されています。
コマンドにより、消える内容が変わります。

❶erase-disk
 Bootイメージから初期化するため、完全に全てのデータ(Firm含む)が対象になります。使用には注意が必要。

❷factoryreset
設定情報(Config)を初期値に戻します。
Log情報など設定値に関するもの以外は残った状態です。
keepvmlicense がオプションとして選択できます。このオプションを選択すると、VM版を利用されている場合はライセンスを 残した状態で実行することができます。

❸factoryreset2
設定情報(Config)を初期値に戻しますが VDOMや各インターフェースの設定情報は残した状態で実行します。
keepvmlicense がオプションとして選択できます。

❹formatlogdisk

Log情報、隔離ファイル、IPS/AntiVirus の DB情報をクリアします。

3.ランプ

FortiGate30Eを題材として、ランプを紹介します。(画像悪くてごめんなさい。以下にわかりやすい図があります。)
http://www.fortinet.co.jp/doc/FGT30EDS.pdf
fortigatte

ランプの解説は後日★★

項目 表記 意味 解説
1 PWR 電源 緑点灯で電源ON
2 STA ステータス 緑点灯で正常
3 ALARM アラーム 消灯が正常
4 HA HA(冗長化)  
5 LINK/ACT    
6 SPEED   緑とオレンジ