1.初期設定
1.1 FortiGateへのアクセス(ログイン)
(1)CLIの場合
❶シリアルケーブルを接続し、TeraTermやハイパーターミナルなどからアクセスします。
❷初期ID「admin」、パスワード「(無し)」を入れます。
FGTXXXXXX login: admin Password: Welcome ! ※初期設定ではホスト名(FGTXXXXXX)はシリアル番号になっています。
(2)WebUIの場合
❶PCとFortiGateをLANケーブルでつなぎます。
FortiGate60Cの場合、LANポートの1~5のいずれかのポートに接続します。
初期化された状態であれば、DHCPでIPアドレスが自動で割り当てられます。
ipconfigで、192.168.1.0/24のIPアドレスが取得できているか、確認しましょう。
※固定でIPアドレスを設定する場合は、192.168.1.0/24セグメントのIPアドレスをPCに割り当てます。たとえば、192.168.1.101/24
❷PCのブラウザからhttps://192.168.1.99/へアクセスします。
ブラウザは、GoogleChromeかFirefoxがお勧めです。
httpの場合はhttpsにリダイレクトされます。
正しい証明書が無いので、「この接続ではプライバシーが保護されません」と怒られます。(画面はGoogle Chromeの場合)
ですが、これは仕方がないので、画面下の 「詳細設定」ボタンを押し 「192.168.1.99 にアクセスする(安全ではありません)」 をクリックします。
❸ID、パスワードを入力します。
※初期ID「admin」、パスワード「(無し)」を入れます。
(❹初期化後の場合)
パスワード変更の画面が出ます。
学習用などの検証目的などではなく、正規の利用のときは必ず変更しましょう。
❺ログインが成功し、ダッシュボード画面が表示されます。
ただ、初期化された直後は、英語のままです。
❻環境設定の変更
初期状態では英語で表示されていることでしょう
System>Settingsで各種設定をしましょう。
①System Time>Time Zone
→GMT+9:00 つまり、日本に合わせます。
②Administration Settings>Idle timeout
→適当に(たとえば50)長くしておきましょう。
ここで設定した無通信時間があると、自動でログアウトしてしまいます。設定時は長め にしておき、本格運用時には短くすればいいでしょう(実際には長いままが多いと思います)
③View Settings>Language
→Japanese(日本語)にしましょう。
④System Operation Settings
→「Proxy」がお勧めです。セキュリティ検査を しっかりやってくれるモードです。
❼また、必要に応じて表示機能設定の変更
システム>表示機能設定 で、必要な機能が表示されるようにしておきましょう。
たとえば、「複数セキュリティプロファイル」を有効にします。
以上です。
1.2 NTTのフレッツ光でFortiGateを接続する。
■前提条件
NTTのフレッツ光の契約があり、ホームゲートウェイが接続されていて、すでにインターネットに接続できる。
■やりたいこと
フレッツが接続されている状況で、FortiGateのを入れて、セキュリティの高いネットワークにする。
■構成図
現状は左です。インターネットにフレッツで接続しているので、HGWの配下にPCを接続しています。
FortiGateを導入した構成は右です。
注意点として、HGWで割り当てられるIPアドレスは192.168.1.0/24のネットワークであり、FortiGateのデフォルトのLAN側のIPアドレスも、192.168.1.99/24で、セグメントが重複します。なので、FortiGateのLAN側のIPアドレスを、10.1.1.1/24に変更します。
■設定する内容
FortiGateのでは、初期設定がされているので、LAN側のIPアドレスを変えるだけでこの構成を構築することができます。
では、実際にやってみましょう。
①PCとFortiGateのPort1をストレートケーブルで接続します。
PCにはFortiGateのDHCP機能により、192.168.1.x/24のIPアドレスが割り当てられます。
ipconfigで見てみると、次のようになっています。
C:\>ipconfig |
Windows IP 構成
イーサネット アダプター イーサネット:
接続固有の DNS サフィックス . . . . .:
リンクローカル IPv6 アドレス. . . . .: fe80::XXX
IPv4 アドレス . . . . . . . . . . . .: 192.168.1.110
サブネット マスク . . . . . . . . . .: 255.255.255.0
デフォルト ゲートウェイ . . . . . . .: 192.168.1.99|
②https://192.168.1.99/にアクセスします。
admin PWなしでログインします。
③NetworkのIngerfacesにて、internalを選択(ダブルクリック)。IPアドレスを10.1.1.254/255.255.255.0に変更します。
あとは、PCをFortiGateのLAN側に接続するだけです。
1.3 FortiGate Virtual Applianceの初期設定
FortiGate Virtual Applianceをためしてみました。
【前提条件】
・インターネットに接続できる必要がある
・TIME Zoneの設定が必要(らしい)
・(当然ながら)ライセンスが必要
【設定】
・ovfファイルが4つありますが、
FortiGate-VM64.ovfでいいと思います。
仮想基盤上に展開するのは簡単でしょう。
・起動するとCLIが立ち上がります。
・ログインはいつもの初期設定と同じ
id:admin
PW:(なし)
で入れます。
・port1の設定
初期設定はDHCPでの自動取得になっています。
念のため、設定を確認しましょう。
# config system interface
(interface)# edit port1
(interface)# show
DHCPになっていることが分かると思います。
どんなIPが割り当てられたかは、以下のコマンドでわかります。
# get system interface
※または、get system interface physical
・TIME Zoneの設定
#config system global
# set timezone 60
#end
・GUIでアクセス
上記の割り当てられたIPアドレスにGUIでアクセスします。
https://192.168.0.3/
・ライセンスが無いと怒られるので、ライセンスをいれます。
・再起動して、しらばく動かなかったのですが、あきらめて新規に上記URLにアクセスすると、正常に通信ができました。
(うれしい!!)
2.機器とパスワードの初期化
2.1 初期化の方法
FortiGateの初期化の方法は、以下の2つがあります。
❶ボタンを押して初期化
❷CLIからコマンドを実行
どちらがお勧めですか?
やりやすい方でいいと思います。
ログインパスワードが分からなくてログインできない場合は、ボタンでの初期化が便利です。ただ、ボタンでの初期化はうまくいかない場合がありますので、その場合はCLIで。
❶ボタンでの初期化方法
インターフェース正面の両端(モデルにより右端、左端のどちらか)に初期化のボタン穴が開いています。
小さな穴ですが穴の奥に初期化ボタンがあり、約30秒間、長押しすることで 初期化されます。
※CLIの「factoryreset」と同じ処理が動きます。
※(VDOMを設定していたりすると?)うまく初期化されない。何度やってもダメなときがあるので、CLIに切り替えよう。
※機器によってはうまくいかないものもあります。CLIが確実です。
❷CLIからコマンドを実行
設定ファイルを初期化するには CLIより以下コマンドを実施します。
execute factoryreset
コマンド実施後、機器は再起動します。
また、Bootイメージから初期化するには、以下コマンドを実施します。
execute erase-disk "Disk名
ただし、よほどのことが無い限り、あまり使いません。
※注意
本コマンドはファームウェアも初期化対象です。
実行後、TFTPからファームウェアを Uploadする必要があります。
2.2 初期化して消えるものと消えないもの
初期化用途のコマンドは4種類、用意されています。
コマンドにより、消える内容が変わります。
❶erase-disk
Bootイメージから初期化するため、完全に全てのデータ(Firm含む)が対象になります。使用には注意が必要。
❷factoryreset
設定情報(Config)を初期値に戻します。
Log情報など設定値に関するもの以外は残った状態です。
※keepvmlicense がオプションとして選択できます。このオプションを選択すると、VM版を利用されている場合はライセンスを 残した状態で実行することができます。
❸factoryreset2
設定情報(Config)を初期値に戻しますが VDOMや各インターフェースの設定情報は残した状態で実行します。
※keepvmlicense がオプションとして選択できます。
❹formatlogdisk
Log情報、隔離ファイル、IPS/AntiVirus の DB情報をクリアします。
2.3 パスワードの初期化
❶物理的な機器の場合
以下に丁寧な解説があります。
https://csps.hitachi-solutions.co.jp/fortinet/faq/FG-81-0014/
❷AWSの場合
対処方法はありません。
3.ランプ
FortiGate30Eを題材として、ランプを紹介します。(画像悪くてごめんなさい。以下にわかりやすい図があります。)
http://www.fortinet.co.jp/doc/FGT30EDS.pdf
ランプの解説は後日★★
項目 | 表記 | 意味 | 解説 |
---|---|---|---|
1 | PWR | 電源 | 緑点灯で電源ON |
2 | STA | ステータス | 緑点灯で正常 |
3 | ALARM | アラーム | 消灯が正常 |
4 | HA | HA(冗長化) | |
5 | LINK/ACT | ||
6 | SPEED | 緑とオレンジ |