Fortigate

VDOM、アゲイン!【2021年4月6日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はVDOMについて.Part2になります。

前回VDOMは1台のFortigate内に仮想のFortigateを複数作成できるといいましたが
実際に複数作成したところでどういった用途に使用できるのかはあまり理解ができていないと
思います。

VDOMは複数作成された仮想Fortigate対して個別にポリシーを作成し適応させる事ができます。
これによりVDOM毎に通信を通したい範囲を制限することができます。

例えば一つのFortigateで社内用、外部公開用などにVDOMで複数のファイアウォールを作成することで機器のリソースを効率よく使用でき、運用コストの削減につながります。

画像のようにVDOMを用いて使用用途ごとにFortigateを作成し運用することができます。
引用元:https://www.networld.co.jp/product/fortinet/technical_guide/vdom/

本日の記事は以上になります。
次回の記事もお楽しみに!

VDOMを理解(わか)りたい【2021年3月30日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのVDOMという内容になります。

そもそもVDOM(バーチャルドメイン)とはどういったものなのかを説明すると、
Fortigateを仮想的に2つ以上のFortigateとして動作させることができる機能です。
これによりVDOM毎に異なるセキュリティポリシーを適応させることができます。

VDOMには大きく分けて分割タスクVDOMモードマルチVDOMモード2つのモードがあります。

分割タスクVDOMモードは片方のVDOMが機器の管理もう一方のVDOMが通信トラフィックの管理に使用されるというモードです。

マルチVDOMモードでは複数のVDOMをそれぞれを独立したユニットとして作成および管理でき、VDOMを使用する際は基本的にこちらのモードが使用されています。
また、多くの型番のマルチVDOMモードではデフォルトで10個のVDOMがサポートされているようです。

VDOMを用いてFortigateを仮想的に複数台作成することでVDOM毎に通したい通信を設定することができ、ポリシーの管理も容易になると思います。

今回の記事は以上となります。
次回の記事はNFViの概要を予定しております。
次回の記事もお楽しみに!

非常に便利なバックアップ【2021年3月29日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのコンフィグバックアップという内容になります。

バックアップは自分が過去に施した設定を復元することができ、バックアップさえあればいつどんな時でも過去の設定状態に戻すことができます。
バックアップの取得方法ですがGUI画面の左側メニューから[システム]→[ダッシュボード]の[ステータス]を開き、システム情報ウィンドウ内部のシステム設定からバックアップを選択することでバックアップの準備ができます。

バックアップを選択すると以下の画像のようにローカルPCとUSBディスクのどちらを保存先とするか、バックアップする設定ファイルを暗号化するかを問われます。
今回はローカルPCを選択し、バックアップをします。
バックアップを押すとローカルPCのどこの保存をするかを問われるので自分が見つけやすい場所に保存をします。

これでバックアップコンフィグの取得は完了です。
バックアップファイルで設定情報を復元したい場合はGUI画面の左側メニュー[システム]→[ダッシュボード]の[ステータス]を開き、システム情報ウィンドウ内部のシステム設定からリストアを選択します。
すると下記画像のように復元したいバックアップファイルを選択するウィンドウが出現するのでファイル選択を押して保存してあるバックアップファイルを選択します

これでバックアップファイルの復元が完了となります。
バックアップは設定変更前と変更後の両方を保存しておくと非常に便利になるので
ぜひ活用してみてください。

今回の記事は以上になります。
次回の記事はFortigateのVDOMについてを予定しております。
次回の記事もお楽しみに!

幸せのログ確認【2021年3月26日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのログ確認をするという内容になります。

前回ではポリシーを作成してFortigateを通しての通信ができるようにしましたが
実際に許可した通信だけが通っているかは不明です。
Fortigateではパケット通信などのログをGUI画面上で確認することができます。

GUI画面左側のメニューから[ポリシー&オブジェクト]→[モニタ]の[ポリシーモニタ]を選択することでポリシーで許可されているポート間のパケットのログを確認することができます。

今は何もログが表示されていませんが、ポリシーで許可されている通信の疎通を行うと
パケットのログが表示されます。
前回に作成したPort9からport1へのPINGを許可するポリシーのログを確認してみます。
コマンドプロンプトからPINGを送信します。

port9につながる端末からport1につながる端末にPINGを飛ばすと…
作成したポリシーが適用されて、許可した通信のみが通ります!

このように通信のログをとることで必要な通信以外が通っていないかを確認することができます。
ログの確認は監視業務でも使う機会が多いと思うので活用できるといいかもしれません。

本日の記事は以上となります。
次回の記事はFortigateのバックアップを予定しております。
次回の記事もお楽しみに!

ポリシーは、作れる【2021年3月24日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーを実際に作成するという内容になります。

Fortigateを介しての通信ですが標準の状態では通信の許可がされておらず通信が通りません。
なのでポリシーを作成、適用して通信が取れるようにしなければいけません。

今回はGUIでポリシーを作成していきたいと思います。
まず、GUIの左側にあるメニューから「ポリシー&オブジェクト」→IPv4を選択します。
すると現在適用されているポリシーの一覧が表示されるので上部にある「Create New」で
新規のポリシーの作成をします。

ポリシーの新規作成に移ると送信元アドレスや宛先アドレス、入力と出力インターフェースを選択する画面が表示されるので各項目を選択していきます。
今回はport9からのすべてのアドレスからPort1のすべてのアドレスへのPINGの疎通が通れば良いので下記画像のように選択します。

選択が完了したらOKを押し、ポリシーを作成します。
以下の画像のようにポリシーの一覧に新たに作成したポリシーが並んでいれば作成ができています。

今回の記事は以上になります。
次回の記事はを予定しております。
次回の記事もお楽しみに!

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!

ハードウェアスイッチ独立宣言【2021年3月19日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのInternalポートの独立という内容になります。

現在使用しているFortigate 200Bという機器は物理ポートが16ポートありますがそのうちポート1~8がハードウェアスイッチとして一まとめにされています。
半数ほどのポートが一まとめにされていると少々使いづらいのでポートを独立させていきます。

それではGUIを用いてポートを独立させていきます。
※今回はポート1も設定の対象になるのであらかじめGUIかCLIで9位個のポートにIPアドレスとHTTPSの許可を設定します。

ハードウェアスイッチのモードを解除すればポートを独立させることができるのですが
初期状態の機器には、ハードウェアスイッチからport9への通信をすべて許可するポリシーが設定されています。
このポリシーが設定されている状態だとハードウェアスイッチを削除できないため、まずこのポリシーを削除します。
[ポリシー&オブジェクト]→[IPv4] 画面にて、[switch→prot9] 欄の ID 1 のポリシーをクリックして選択した後[delete]をクリックし削除します。

ポリシーの削除が完了したら次はハードウェアスイッチを削除しポートを独立させていきます。
[ネットワーク][インターフェース]画面にて[switch]を選択し右クリック、モード変更を選択します。

すると下記画像のようなウィンドウが出てくるのでインターフェースモードにチェックを入れてOKを押します。
その後物理ポートの数が16に増えていたら成功です。

今回の記事は以上になります。
次回の記事はFortigateのポリシーについての内容を予定しています。
次回の記事もお楽しみに!

使える気になれるCLI解説【2021年3月16日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事は前回の記事の引き続きという形になります。
前回はGUIでポートにIPアドレスとSSHの設定を施したので今回はSSHでCLIに接続してポートに設定をしていきたいと思います。

前回はPort9にIPアドレス「192.168.2.1」とSSHの管理者アクセス許可を設定したので
tera termを使用してSSHでCLIに接続します。
検証用端末のPCとFortigateのPort9をLANケーブルで接続し、tera termを起動します。
tera termを起動したらTCP/IPにチェックを入れホストの欄にPort9に設定したIPアドレス「192.168.2.1」を入力しOKをクリックします。
この時イーサネットのIPアドレスがPort9のアドレスと同じセグメント(グループのようなもの)でなければ接続することができません。
今回の場合Port9のIPアドレスは「192.168.2.1」なので「192.168.2.1~254」のうち、重複していないアドレスを設定すれば問題ないです。
IPアドレスの設定については下記URLを参照してください。
BUFFALO:https://www.buffalo.jp/support/faq/detail/15257.html

するとSSH認証というタブが出てくるのでGUIにログインした時と同様ユーザ名に「admin」と入力してOKをクリックするとCLIの画面に入ることができます。

CLIの画面に入ることはできましたがCLIは設定を行う際にコマンドを用いて設定します。
つまりコマンドを知っていなければ設定をすることができません。
しかしキーボードの「shift」と「?」を同時に押すことでコマンドのリストを表示することができます。

それではインターフェースにIPアドレスを割り当て、PINGの管理者アクセス許可を設定していきます。
cinfig system interface」と入力することでインターフェースの設定を行うことができます。
インターフェースの設定モードに移動したら「edit」で設定したいポートの選択をします。
ポートの選択をしたら「set」コマンドで設定をしていきます。
今回設定したコマンドの詳細についてですが、
set mode static → アドレッシングモードをマニュアルに設定
・set ip ○○ → IPアドレスを設定
・set allowaccess ○○ → 管理アクセスをどのプロトコルで許可するかを設定
となっております。
設定が完了したら「end」コマンドでインターフェースの設定モードから戻ることができます。

それでは設定ができたか確認していきます。
今回はPort10に設定をしたので「show system interface port10」と入力すれば余分な情報を省いてみたい情報だけを見ることができます。
先ほど入力した通りのIPアドレスになっていれば成功です。

CLIではGUIでできることはもちろんCLIでしか設定できない項目も存在します。
設定をコマンドで行う以上、GUIより難しい印象ではありますが、慣れてしまえばGUIより
使い勝手が良くなったりもします!

今回の記事は以上となります。
次回はFortigateのInternalポートの分割という内容になります。
次回の記事もお楽しみに!

ほんのりとわかるかもしれないGUIとCLI【2021年3月12日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回はFortigateのGUI,CLIでの操作について説明をしていきたいと思います。

最初にGUIについての説明です。
GUIとはグラフィカル・ユーザ・インターフェースの略で、グラフィックベースの操作体系を持つUI(ユーザ・インターフェース)のことです。
情報の表示にグラフィックを用いておりマウスでの直感的な操作が可能です。
下記画像のように視覚で情報を得られるのでどの部分を選択したら自分の望む設定が行えるのかがわかりやすいというのが利点です。
GUIへのアクセス方法はブラウザから「https://機器のアドレス」を入力してHTTPSでアクセスすることができます。

社内検証で使用しているFortigateのGUI画面

次にCLIについて説明していきたいと思います。
CLIとはコマンドラインインターフェースの略でありすべての操作をキーボードのみで行う
UIになります。
簡単に説明すると無地の背景に文字だけが表示されているいかにもプログラム関連のような見た目の画面で、コマンドを打ち込むことで操作ができます。
CLIの操作はGUIと比べて難しいですがGUIで行える設定はもちろんもちろんCLIでしか行えない設定もあるので、より深い設定施したい場合はCLIが適しています。
CLIへのアクセス方法はSSH,Telnet,コンソール接続がありターミナルアプリを用いてCLIにアクセスすることができます。
またFortigateのGUI内からもCLIを操作することができます。
例ではありますが下記画像がCLIの様子です。

いかにもエンジニアといった感じの画面です。

ここまでCLIとGUIについて話してきましたが要約すると、
直感的に操作できるのがGUI、コマンドを入力して操作するのがCLIです。
設定する内容によってGUIが適していたりCLIのほうが設定しやすかったりするので
両方扱えるとスムーズに設定が行えるようになります。

今回の記事は以上になります。
次回の記事はFortigateを実際に使いGUIで設定を行うという内容になります。
次回の記事もお楽しみに!

ファイアウォールって何ですか?【2021年3月11日】

こんにちは!
今回の記事はかとりゅうがお送りいたします。

N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
ファイアウォールについては名前を聞いたことのある人が多いでしょうが
実際何をしているのかいまいちピンとこない人もいると思います!
そこで今回はファイアウォールについて説明をしていきたいと思います!

  ファイアウォールとは、ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みです。
しかし、その通信許可するかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。
言ってしまえば外部からの不正なアクセスから私たちのパソコンを守ってくれる防護壁のようなものです。

引用元:総務省
URL
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/01.html

現在のファイアウォールには大きく分けて二種類あります。
家庭内などで利用する単体のコンピュータの防御を目的としたパーソナルファイアウォール
企業や家庭のネットワーク全体を防御するファイアウォールです。
パーソナルファイアウォールはコンピュータ自体に導入するソフトウェアになっており、
そのコンピュータに対してインターネットからの不正なアクセスやウイルスの侵入を防ぐことができます。

企業などのネットワークに使用するファイアウォールはインターネットと社内LANの間に設置する機器で、基本的な機能は外部からの不正なアクセスを社内のネットワークに侵入させないといった機能があります。
具体的には外部の不正なパケットを遮断したり、許可したパケットのみを通過させることができます。
機器の例としてはFortinet製のFortigateなどがあります。

社内検証で用いているFortigate 200B

上記で話した通りファイアウォールは普段私たちが利用しているインターネットでの
様々な悪意から守ってくれる非常に重要な機能です。
しかしファイアウォールを設置したとしても完全なセキュリティ対策になるわけではありません。
あくまで不正アクセスなどに対する情報セキュリティ対策の一つとして考えることが大事です。

本日の記事は以上となります。
次回の記事はFortigateのGUI,CLIでの操作について掲載したいと思います。
次回もお楽しみに!