FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

ライセンス

1.ライセンスに関して

1.1 ライセンスの登録

FortiGateで確認できるライセンス情報は大きく分けて、以下の2つがある。
・サポート契約(ハード・ソフト)
・FortiGuard(UTMライセンス)

① サポート契約(ハード・ソフト)で FortiGateのサポート契約の状況を確認できます。
  ※OSの VersionUP権利であったり故障したハード交換の権利です。
② FortiGuard(UTMライセンス)の UTM機能が利用できる状態かを確認できます。

またライセンスの登録作業はご購入される時点で、必要な登録を済ませた状態になります。

1.2 UTMライセンスの考え方

UTMには以下などの機能がある。
・AntiVirus
・IPS/AppCtrl
・WebFilter
・AntiSpam 

各UTM機能毎にライセンスが用意されています。
❶AntiVirusライセンス
 アンチウィルス、Bonet用のパターンファイルを受信できるようになります。
 これにより Policyにマッチしたトラフィックからウィルス検査、防御を実施できます。
❷IPS/AppCtrlライセンス
 IPS、アプリケーションコントロール用のシグニチャを受信できるようになります。
 これにより Policyにマッチしたトラフィックから IPSの防御を実施できます。
 同様にアプリケーションを識別し、制御可能になります。
 ※アプリケーション制御ですが、FOSI(FortiGateのOS)のバージョン5.6から無償化されます。これは、OSをバージョンアップすれば、無償で利用できます。
❸WebFilterライセンス
 WebFilter用のカテゴリ制御が可能になります。
 ※ライセンスを適用しない場合、URLフィルタ(手動登録)機能を利用できます。
❹AntiSpam ライセンス
 AntiSpam用の DB制御が可能になります。
以下は システム > FortiGuard の画面

※グリーンが「有効」を意味します。

1.3 ライセンス情報の確認

(1)FOS5.4の場合
「ダッシュボード」「ライセンス情報」から確認できます。
license

各項目で緑のチェックマークだと、契約期間内を意味し、
赤のマークだと、契約をしていない・契約が切れている事を意味します。
(2)FOS5.6の場合
ログイン後の画面でもありますが、「ダッシュボード」の「Main」からライセンスの状態を確認できます。

ライセンス-簡易
※緑のチェックはライセンスが有効。破線は、ライセンスが無効を意味します。

ステータスの詳細を見るには、「システム」「FortiGuard」から確認をします。
ライセンス-詳細1
以下がその画面です。
ここで、ライセンスの状態に加えて、ライセンスの有効期限、各バージョン情報を確認できます。
ライセンス-詳細2
CLIの場合以下でもバージョン情報を確認できる。
FGT # diagnose autoupdate versions
FortiGateを勉強する女性SE (21)

バージョンの更新日は分かりますか?
上記において、バージョンにマウスを近づけると、更新日がわかります。

1.3WebFilter、AV、SPAMなどのデータベースの更新周期

どれくらい?
FortiGateを勉強する女性SE (20)

WebFilter、AV、SPAMなどのデータベースの更新周期はどれくらいなのでしょうか?
残念ながら、公開されていないようです。
しかし、UpDate時間で判断すると、細かい頻度で更新されているように感じます。
http://www.fortiguard.com/learnmore#av に情報が公開されています。たとえばこれはAVの情報ですが、左下に以下の記載があります。
fortiAV

これを見ると、AVは1時間間隔で更新されているようです。

同様に、他は以下です。
・WebFilterは5分間隔
・AntiSPAMは10分間隔
・IPS、アプリケーションコントロールは数日に1回

2.バージョンアップ

FortiGateのファームウェア―をアップするには、以下の方法があります。
① GUIからの方法
② CLIから TFTP、USBメモリを介する方法

①の GUIから行う方法が利用頻度が多いと思います。
ファームのアップデート方法は、OSによって変わるが、以下は7.2.3の場合
システム > ファブリック管理 から 「ファブリックのアップグレード」。6台の場合は「ファームウェア」などの表記になっている可能性もある。ここで、ファームウェアを選択する。「すべてのアップグレード」のタブに切り替えるといいだろう。

※ファームアップは再起動が実行されることに注意してください。
※設定情報が引き継がれる場合が多く、OSによって設定項目が変わるので、直接アップデートするすると、差分がうまく反映されない可能性がある。アップグレードやダウンロードのパス(以下の画面)に従って実施するのがいい。本当であれば、アップデートしたら初期化するのがきれいだが、初期化できるかというと、実運用ではそう簡単にはいかない。

「スケジュールを選択」ですが、「即時」でいいでしょう。

アップグレードパスに従うので、少し時間がかかります。

Configがバックアップされ、Updateがスタートします。