FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

動作試験

FWおよびUTMの試験について簡単に記載します。
これがすべてではないので、あくまでも参考としてお考え下さい。

1.FWおよびUTMの試験方法

(1)設定の目視確認
 設計書と実機を見比べる目視確認により、設定パラメータやポリシーの確認をする
(2)実地試験
 pingで実際に通信させたり、攻撃をしかけるなどして試験をする

2. 試験内容

(1)基本機能の試験

・ネットワークの設定
・DNS、NTPなど

(2)通信試験

 FWの各セグメントから、ポリシー通りに通信ができるか、および禁止されている通信が拒否されるかを確認する。

(3)UTM試験

・AV 
 →eicarによるテスト
 http://www.viva-fortigate.com/archives/av
・IPS
 →SQLインジェクションの攻撃を入れてみる、またはURLに/etc/passwdをつけてみる。
https://www.viva-fortigate.com/archives/ips
・URLフィルタ
・アプリケーションコントロール
など

(4)侵入テスト、脆弱性試験

①ポートスキャン
空いているポートを確認
・nmapの場合
Linuxにてnmapをイントール

yum install nmap
nmap 203.0.113.212  #このIPの空いているポートを探す。

#または、以下のようにオプション-sSをつけるとステルススキャン
nmap 203.0.113.212 -sS

#結果は以下のような感じ。
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
443/tcp  open  https

#なぜかFTPがいつも空いていると表示される。

・telnetコマンド
Linuxなどでやるか、または、PCにてtelnetclientを有効にする。
プログラム>プログラムと機能>Windowsの機能の有効化または無効化>Telnet Clientを有効に

telnet 203.0.113.212 21  #ポート番号を指定して接続接続できれば空いている。 

②ツールによる試験
Nessusなどを使って、簡易なプラットフォーム診断

(5)各種管理機能の試験

・SNMPによる管理
・ログが取得できているか など

(6)冗長化試験

切り替わり、切断時間、セッションの維持ができるか
切り戻りについても確認(多くは、自動切り戻りしない設定にしているはず)