FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

ライセンス

1.ライセンスに関して

1.1 ライセンスの登録

FortiGateで確認できるライセンス情報は大きく分けて、以下の2つがある。
・サポート契約(ハード・ソフト)
・FortiGuard(UTMライセンス)

① サポート契約(ハード・ソフト)で FortiGateのサポート契約の状況を確認できます。
  ※OSの VersionUP権利であったり故障したハード交換の権利です。
② FortiGuard(UTMライセンス)の UTM機能が利用できる状態かを確認できます。

またライセンスの登録作業はご購入される時点で、必要な登録を済ませた状態になります。

1.2 UTMライセンスの考え方

(1)UTMのライセンス
各UTM機能毎にライセンスが用意されています。
❶AntiVirusライセンス
 アンチウィルス、Bonet用のパターンファイルを受信できるようになります。
 これにより Policyにマッチしたトラフィックからウィルス検査、防御を実施できます。
❷IPS/AppCtrlライセンス
 IPS、アプリケーションコントロール用のシグニチャを受信できるようになります。
 これにより Policyにマッチしたトラフィックから IPSの防御を実施できます。
 同様にアプリケーションを識別し、制御可能になります。
 ※アプリケーション制御ですが、FOSI(FortiGateのOS)のバージョン5.6から無償化されます。これは、OSをバージョンアップすれば、無償で利用できます。
❸WebFilterライセンス
 WebFilter用のカテゴリ制御が可能になります。
 ※ライセンスを適用しない場合、URLフィルタ(手動登録)機能を利用できます。
❹AntiSpam ライセンス
 AntiSpam用の DB制御が可能になります。

(2)ライセンスの購入形態
FortiGuardセキュリティサービスバンドルとして、ライセンスがまとめて提供されたものを購入する。
・APT(Advanced Threat Protection)は、AVとIPSまで
・UTP(Unified Threat Protection)は、 APTに加えて、Webフィルタやメールセキュリティ(アンチスパム)
・Enterprise Protectionは、色々入っているという感じでしょうか。
下の画像は以下より引用 https://www.fortinet.com/jp/fortiguard/labs/security-bundles

1.3 ライセンス情報の確認

システム > FortiGuardから確認をします。

ここで、ライセンスの状態に加えて、ライセンスの有効期限、各バージョン情報を確認できます。
CLIの場合以下でもバージョン情報を確認できる。

FGT # diagnose autoupdate versions

FortiGateを勉強する女性SE (21)

バージョンの更新日は分かりますか?
上記において、バージョンにマウスを近づけると、更新日がわかります。

1.3WebFilter、AV、SPAMなどのデータベースの更新周期

どれくらい?
FortiGateを勉強する女性SE (20)

WebFilter、AV、SPAMなどのデータベースの更新周期はどれくらいなのでしょうか?
残念ながら、公開されていないようです。
しかし、UpDate時間で判断すると、細かい頻度で更新されているように感じます。
http://www.fortiguard.com/learnmore#av に情報が公開されています。たとえばこれはAVの情報ですが、左下に以下の記載があります。
fortiAV

これを見ると、AVは1時間間隔で更新されているようです。

同様に、他は以下です。
・WebFilterは5分間隔
・AntiSPAMは10分間隔
・IPS、アプリケーションコントロールは数日に1回

2.バージョンアップ

FortiGateのファームウェア―をアップするには、以下の方法があります。
① GUIからの方法
② CLIから TFTP、USBメモリを介する方法

①の GUIから行う方法が利用頻度が多いと思います。
ファームのアップデート方法は、OSによって変わるが、以下は7.2.3の場合
システム > ファブリック管理 から 「ファブリックのアップグレード」。6台の場合は「ファームウェア」などの表記になっている可能性もある。ここで、ファームウェアを選択する。「すべてのアップグレード」のタブに切り替えるといいだろう。

※ファームアップは再起動が実行されることに注意してください。
※設定情報が引き継がれる場合が多く、OSによって設定項目が変わるので、直接アップデートするすると、差分がうまく反映されない可能性がある。アップグレードやダウンロードのパス(以下の画面)に従って実施するのがいい。本当であれば、アップデートしたら初期化するのがきれいだが、初期化できるかというと、実運用ではそう簡単にはいかない。

「スケジュールを選択」ですが、「即時」でいいでしょう。

アップグレードパスに従うので、少し時間がかかります。

Configがバックアップされ、Updateがスタートします。