Fortigate

VDOM、アゲイン!【2021年4月6日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はVDOMについて.Part2になります。

前回VDOMは1台のFortigate内に仮想のFortigateを複数作成できるといいましたが
実際に複数作成したところでどういった用途に使用できるのかはあまり理解ができていないと
思います。

VDOMは複数作成された仮想Fortigate対して個別にポリシーを作成し適応させる事ができます。
これによりVDOM毎に通信を通したい範囲を制限することができます。

例えば一つのFortigateで社内用、外部公開用などにVDOMで複数のファイアウォールを作成することで機器のリソースを効率よく使用でき、運用コストの削減につながります。

画像のようにVDOMを用いて使用用途ごとにFortigateを作成し運用することができます。
引用元:https://www.networld.co.jp/product/fortinet/technical_guide/vdom/

本日の記事は以上になります。
次回の記事もお楽しみに!

幸せのログ確認【2021年3月26日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのログ確認をするという内容になります。

前回ではポリシーを作成してFortigateを通しての通信ができるようにしましたが
実際に許可した通信だけが通っているかは不明です。
Fortigateではパケット通信などのログをGUI画面上で確認することができます。

GUI画面左側のメニューから[ポリシー&オブジェクト]→[モニタ]の[ポリシーモニタ]を選択することでポリシーで許可されているポート間のパケットのログを確認することができます。

今は何もログが表示されていませんが、ポリシーで許可されている通信の疎通を行うと
パケットのログが表示されます。
前回に作成したPort9からport1へのPINGを許可するポリシーのログを確認してみます。
コマンドプロンプトからPINGを送信します。

port9につながる端末からport1につながる端末にPINGを飛ばすと…
作成したポリシーが適用されて、許可した通信のみが通ります!

このように通信のログをとることで必要な通信以外が通っていないかを確認することができます。
ログの確認は監視業務でも使う機会が多いと思うので活用できるといいかもしれません。

本日の記事は以上となります。
次回の記事はFortigateのバックアップを予定しております。
次回の記事もお楽しみに!

ポリシーは、作れる【2021年3月24日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーを実際に作成するという内容になります。

Fortigateを介しての通信ですが標準の状態では通信の許可がされておらず通信が通りません。
なのでポリシーを作成、適用して通信が取れるようにしなければいけません。

今回はGUIでポリシーを作成していきたいと思います。
まず、GUIの左側にあるメニューから「ポリシー&オブジェクト」→IPv4を選択します。
すると現在適用されているポリシーの一覧が表示されるので上部にある「Create New」で
新規のポリシーの作成をします。

ポリシーの新規作成に移ると送信元アドレスや宛先アドレス、入力と出力インターフェースを選択する画面が表示されるので各項目を選択していきます。
今回はport9からのすべてのアドレスからPort1のすべてのアドレスへのPINGの疎通が通れば良いので下記画像のように選択します。

選択が完了したらOKを押し、ポリシーを作成します。
以下の画像のようにポリシーの一覧に新たに作成したポリシーが並んでいれば作成ができています。

今回の記事は以上になります。
次回の記事はを予定しております。
次回の記事もお楽しみに!

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!

ハードウェアスイッチ独立宣言【2021年3月19日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのInternalポートの独立という内容になります。

現在使用しているFortigate 200Bという機器は物理ポートが16ポートありますがそのうちポート1~8がハードウェアスイッチとして一まとめにされています。
半数ほどのポートが一まとめにされていると少々使いづらいのでポートを独立させていきます。

それではGUIを用いてポートを独立させていきます。
※今回はポート1も設定の対象になるのであらかじめGUIかCLIで9位個のポートにIPアドレスとHTTPSの許可を設定します。

ハードウェアスイッチのモードを解除すればポートを独立させることができるのですが
初期状態の機器には、ハードウェアスイッチからport9への通信をすべて許可するポリシーが設定されています。
このポリシーが設定されている状態だとハードウェアスイッチを削除できないため、まずこのポリシーを削除します。
[ポリシー&オブジェクト]→[IPv4] 画面にて、[switch→prot9] 欄の ID 1 のポリシーをクリックして選択した後[delete]をクリックし削除します。

ポリシーの削除が完了したら次はハードウェアスイッチを削除しポートを独立させていきます。
[ネットワーク][インターフェース]画面にて[switch]を選択し右クリック、モード変更を選択します。

すると下記画像のようなウィンドウが出てくるのでインターフェースモードにチェックを入れてOKを押します。
その後物理ポートの数が16に増えていたら成功です。

今回の記事は以上になります。
次回の記事はFortigateのポリシーについての内容を予定しています。
次回の記事もお楽しみに!

ほんのりとわかるかもしれないGUIとCLI【2021年3月12日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回はFortigateのGUI,CLIでの操作について説明をしていきたいと思います。

最初にGUIについての説明です。
GUIとはグラフィカル・ユーザ・インターフェースの略で、グラフィックベースの操作体系を持つUI(ユーザ・インターフェース)のことです。
情報の表示にグラフィックを用いておりマウスでの直感的な操作が可能です。
下記画像のように視覚で情報を得られるのでどの部分を選択したら自分の望む設定が行えるのかがわかりやすいというのが利点です。
GUIへのアクセス方法はブラウザから「https://機器のアドレス」を入力してHTTPSでアクセスすることができます。

社内検証で使用しているFortigateのGUI画面

次にCLIについて説明していきたいと思います。
CLIとはコマンドラインインターフェースの略でありすべての操作をキーボードのみで行う
UIになります。
簡単に説明すると無地の背景に文字だけが表示されているいかにもプログラム関連のような見た目の画面で、コマンドを打ち込むことで操作ができます。
CLIの操作はGUIと比べて難しいですがGUIで行える設定はもちろんもちろんCLIでしか行えない設定もあるので、より深い設定施したい場合はCLIが適しています。
CLIへのアクセス方法はSSH,Telnet,コンソール接続がありターミナルアプリを用いてCLIにアクセスすることができます。
またFortigateのGUI内からもCLIを操作することができます。
例ではありますが下記画像がCLIの様子です。

いかにもエンジニアといった感じの画面です。

ここまでCLIとGUIについて話してきましたが要約すると、
直感的に操作できるのがGUI、コマンドを入力して操作するのがCLIです。
設定する内容によってGUIが適していたりCLIのほうが設定しやすかったりするので
両方扱えるとスムーズに設定が行えるようになります。

今回の記事は以上になります。
次回の記事はFortigateを実際に使いGUIで設定を行うという内容になります。
次回の記事もお楽しみに!