FortiGateの基本設定例

目次

[更新: 2023年7月20日]

1. 概要

本掲載は、VMデプロイ後に基本的に設定する項目に関して、参考情報です。

弊社による検証データの一部を公開した記事掲載となります。参考までにご利用ください。

注釈

お客様個別の要件定義、設計、開発・設定補助に関するサポートは、FortiGateVMのライセンスサービスに含まれません。上記、ご注意ください。

1.1 検証条件

  • 本掲載による参考例は、vrrpを予定するためルータ+スイッチを利用します。
  • お客様の操作を意図するため、検証操作は実際のさくらのクラウド環境により実施されます。
  • FortiGateは、GUIとCLIのサポートとなります。掲載はCLI、GUIを適宜使い分け掲載いたします。
  • 検証環境のFortiOSは、両系ともに7.0.12です。
  • コマンドの一部は、<>記載により抽象化、強調記載をします。実際に入力を行う際は<>を削除、実際に入力する値に置き換えください。

1.2 環境構成図

事前にさくらのクラウドによりサーバー、ネットワーク環境を作成のうえ設定を実施します。

vrrp構成を想定するため、下記の通り同一ネットワークにFortiGateVMを構成します。

構成図

fortigatetips1-01.png

注釈

作成時点により、同一の物理ホスト環境への収容を避けるためgroupタグを利用します。

2. ネットワークの初期設定

本項目は、FortiGateの管理アクセスに関する初期設定を解説します。

注釈

本解説のメーカー記載を確認される際は、 Initial settings を確認ください。

2.1 ネットワークの初期設定

FortiGateの初回アクセスに必要となるインターフェース、スタティックルート(デフォルトゲートウェイ)を設定します。

interface port1 への初期設定

各機器のインターフェースにルータ+スイッチのIPアドレス情報を設定します。

FGVM02TM00000000 # config system interface
FGVM02TM00000000 (interface) # edit <インターフェース名>
FGVM02TM00000000 (port1) # set mode static
FGVM02TM00000000 (port1) # set ip <ルータ+スイッチのIPアドレス> <サブネットマスク>
FGVM02TM00000000 (port1) # end
FGVM02TM00000000 (interface) # end

スタティックルートの初期設定

各機器のスタティックルートにルータ+スイッチより指定されたゲートウェイアドレスを設定します。

FGVM02TM00000000 # config router static
FGVM02TM00000000 (static) # edit <任意のID番号>
FGVM02TM00000000 (1) # set gateway <ルータ+スイッチ ゲートウェイアドレス>
FGVM02TM00000000 (1) # set device <インターフェース名>
FGVM02TM00000000 (1) # end

注釈

経路情報を確認する際にゲートウェイアドレスの冗長側のアドレスが応答する可能性があります。

2.2 初回アクセスとライセンスファイル

2.1 ネットワークの初期設定 設定後、FortiGateVMへGUI接続が可能となります。

初回のログインによりパスワード設定、ライセンスファイルインポート操作を実施します。

注釈

FortiOSのバージョンによりインターフェースのアクセス許可設定が異なる可能性があります。
CLIの接続はされるが、GUI接続できないなどの際は set allowaccess 項目を確認ください。

2.2.1 初回GUIアクセス

設定したIPアドレスをブラウザURLに入力、GUI管理画面へアクセスします。

ログイン画面

fortigatetips1-02.png

注意

入力前に操作端末のキー配列、 Password policy を確認ください。

重要

初回アクセスの際は、Username: admin Password: 設定無 です。パスワードは入力せずにLoginを入力します。

注釈

` ログイン失敗回数、lockout時間<https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/279661/configuring-the-maximum-log-in-attempts-and-lockout-period>`_ は 5回 300s が設定済みです。

2.2.2 ライセンスファイルのインポート

Password設定後、ログイン画面が再表示されます。再loginを実施することでライセンスファイルのインポート画面を表示します。

ライセンスファイルのインポート画面

Upload ボタンによりお手元のライセンスファイルをインポートします。

fortigatetips1-03.png

注釈

FortiOS、機器状態によりインポート画面が表示されないケースがあります。表示されない際は管理画面上からインポートを行います。

注意

ライセンス認証はFortinet社との通信によりライセンスがアクティベートされます。上位ネットワークにより外部アクセスを制限されている際は認証に失敗します。

2.2.3 管理画面

2.2.2 ライセンスファイルのインポート実施後、警告画面が表示されます。

セットアップ警告画面

初期状態は、下記の警告画面が表示されます。 Later を入力、警告をスキップします。

fortigatetips1-04.png

GUI管理画面

警告画面をスキップ後、管理画面が表示されます。本画面またはCLIによりFortiGateの設定を行います。

fortigatetips1-05.png

2.2.3 ログイン情報の紛失

仮想版のFortiGateは、 maintainer user and password によるログインの強制実行は非対応です。このため再作成、再構築を必要とします。

3 ライセンス情報

購入されたライセンスにより最大コア数、有効機能が異なります。下記は各情報の確認方法となります。

注釈

最新のコアライセンスでは、一部のCloudを除きメモリ上限が撤廃されました。詳細は CPU only licensing for private clouds をご確認ください。

3.1 仮想コア

購入されたライセンスに応じて利用可能な仮想コア数は異なります。下記のメニュー順に操作することで確認画面を表示します。

Dashboard >>> stats >>> Virtual Machine、FortiGuard >>> License Information >>> Virtual Machine

Virtual Machine(ダッシュボード画面)

fortigatetips1-06.png

注釈

上記はデフォルトのダッシュボード画面を参照する際の操作と画面表示です。

System >>> FortiGuard >>> License Information >>> Virtual Machine

Virtual Machine(FortiGuard)

fortigatetips1-07.png

注釈

TIPS掲載のライセンスは、VM02vのため仮想コアは2コアまでに制限されます。

重要

VM**vライセンスは、物理ライセンスと異なりVDOMは付帯しません。

3.2 機能ライセンス

購入ライセンスに応じて機能項目がアクティベート、緑のアイコンが表示されます。下記のメニュー順に操作することで確認画面を表示します。

System >>> FortiGuard >>> License Information

License Information表示画面

下記は評価ライセンスのため、すべての機能にアクティベートの表示がされます。

fortigatetips1-08.png

表示項目

ライセンス アクティベートされる項目
ベーシック FortiCare Support
Virtual Machine
Firmware & General Updates
セキュリティバンドル FortiCare Support
Virtual Machine
Firmware & General Updates
Intrusion Prevention
AntiVirus
Web Filtering
評価ライセンス(360ライセンス) 全ての項目

注意

SD-WAN、ndustrial DB, IoT Detection Serviceは、別途有償のライセンスが必要となります。

注釈

ライセンス認証は、即時反映されないケースがあります。認証後は最大24時間を経過を観察、または Update Licenses & Definitions Now を入力後、経過を観察ください。

fortigatetips1-09.png