FortiGateの基本設定例1
[更新: 2024年5月29日]
1. 概要
本掲載は、VM起動後にお客様で必要となる初期設定に関する参考情報です。
弊社による検証データの一部を公開した記事掲載となります。参考までにご利用ください。
注釈
SI、要件定義、設計、開発・設定補助に関するサポートは、FortiGateVMのライセンスサービスに含まれません。上記、ご注意ください。
1.1 検証条件
本掲載による構成は、後述のvrrpを予定するためルータ+スイッチを利用前提となります。
本掲載による事前検証は、さくらのクラウド環境により実施された内容です。
FortiGateVMは、GUIとCLIのサポートとなります。掲載はCLI、GUIを適宜使い分け掲載いたします。
検証環境のFortiOSは、両系ともに7.0.12です。
コマンドの一部は、<>記載により抽象化、強調記載を行います。お客様が入力を行う際は<>を削除、入力します。
1.2 環境構成図
事前にさくらのクラウドにより各種環境を作成、設定を致します。
vrrp構成を想定のため、FortiGateVM Port1,Port2をルータ+スイッチ、スイッチに接続します。
構成図
注釈
VMを同一のホスト環境へ収容を避ける際は、さくらのクラウドの特殊タグ groupタグ を利用します。
2. ネットワークの初期設定
本項目は、FortiGateの管理アクセスに関する初期設定を解説します。
注釈
本解説のメーカー記載を確認される際は、 Initial settings を確認ください。
2.1 ネットワークの初期設定
FortiGateVMへ接続をするため interface(Port1) Static Route(デフォルトゲートウェイ) を設定します。
interface(port1)の初期設定
各FortiGateVM interface(Port1)にルータ+スイッチのIPアドレス情報を設定します。
FGVM02TM00000000 # config system interface
FGVM02TM00000000 (interface) # edit <interface名(port)>
FGVM02TM00000000 (port1) # set mode static
FGVM02TM00000000 (port1) # set ip <ルータ+スイッチのIPアドレス> <サブネットマスク>
FGVM02TM00000000 (port1) # end
FGVM02TM00000000 (interface) # end
注釈
FortiOSのバージョンによりインターフェースへのアクセス許可(http,https,etc...)は、初期設定に差異があります。
IPアドレス情報の設定の際に set allowaccess 項目を確認ください。
Static Routeの初期設定
各FortiGateVMのスタティックルートにルータ+スイッチより指定されたゲートウェイアドレスを設定します。
FGVM02TM00000000 # config router static
FGVM02TM00000000 (static) # edit <任意のID番号>
FGVM02TM00000000 (1) # set gateway <ルータ+スイッチ ゲートウェイアドレス>
FGVM02TM00000000 (1) # set device <インターフェース名>
FGVM02TM00000000 (1) # end
注釈
経路情報(tracertなど)を確認した際にゲートウェイアドレスの冗長側のアドレスが応答する可能性があります。
2.2 初回アクセスとライセンスファイル
ネットワークの設定後、ログイン、パスワード設定、ライセンスファイルのインポートを実施します。
注釈
初回アクセスを特定のアドレスのみとする際は、パケットフィルタ、またはinterfaceに信頼済みのホスト(IPアドレスなど)を事前に指定します。
2.2.1 初回GUIアクセス
ご利用のブラウザにURLを入力 http://<IPアドレス> GUI管理画面へアクセスします。
ログイン画面
注意
入力前に操作端末のキー配列、 Password policy を確認ください。
重要
初回アクセスの際は、Username: admin Password: 設定無 です。パスワードは入力せずにLoginを入力します。
注釈
` ログイン失敗回数、lockout time<https://docs.fortinet.com/document/fortigate/6.2.15/cookbook/279661/configuring-the-maximum-log-in-attempts-and-lockout-period>`_ は
5回 300s 初期設定値です。
2.2.2 ライセンスファイルのインポート
Password設定後、ログイン画面が再表示されます。
再login後は、ライセンスファイルのインポート画面が表示されます。
ライセンスファイルのインポート画面
弊社より発行された Upload ボタンによりファイルを選択、ライセンスファイルをインポートします。
注釈
FortiOS、機器状態によりインポート画面が表示されないケースがあります。
注意
ライセンス認証はFortinet社との通信によりライセンスがアクティベートされます。上位ネットワークにより外部アクセスを制限されている際は認証に失敗します。
2.2.3 管理画面
2.2.2 ライセンスファイルのインポート実施後、警告画面が表示されます。
セットアップ警告画面
初期状態は、下記の警告画面が表示されます。 Later を入力、警告をスキップします。
GUI管理画面
警告画面をスキップ後、管理画面が表示されます。本画面またはCLIによりFortiGateVMの設定を行います。
注釈
ライセンスファイルのインポートは、再起動を伴います。
2.2.3 ログイン情報の紛失
FortiGateVMは、 maintainer user and password によるログインの強制実行は非対応です。
紛失時は、工場出荷状態(factory reset)、別の仮想ディスクによる交換などの再構築を必要とします。
3 ライセンス情報の補足
FortiGateVMのライセンスは、コアライセンスと機能別のエディションを組み合わせた提供です。
ご利用前に評価ライセンスなどによりサイジング、試験・検証を実施のうえライセンスをお申し込みください。
注釈
一部のCloudを除きメモリ上限が撤廃されました。詳細は CPU only licensing for private clouds をご確認ください。
3.1 仮想コアライセンス
購入されたライセンスに応じて利用可能な最大仮想コア数に制限があります。
下記のメニュー順に操作、確認画面を表示します。
Virtual Machine(ダッシュボード画面)
Dashboard >>> stats >>> Virtual Machine、FortiGuard >>> License Information >>> Virtual Machine
注釈
上記はデフォルトのダッシュボード画面を参照する際の操作と画面表示です。
Virtual Machine(FortiGuard)
System >>> FortiGuard >>> License Information >>> Virtual Machine
注釈
TIPS掲載のライセンスは、VM02vのため仮想コアは2コアまでに制限されます。
重要
VMライセンスは、物理のFortiGateと異なりVDOMは付帯しません。ご利用には別途追加のVDOMライセンスのご利用が必要です。
3.2 機能ライセンス
利用ライセンスに応じて機能項目がアクティベート、緑のアイコンが表示されます。
下記のメニュー順に操作することで確認画面を表示します。
License Information表示画面
System >>> FortiGuard >>> License Information
下記は評価ライセンスのため、すべての機能にアクティベートの表示がされます。
注釈
弊社より提供する評価ライセンスは 360 Protection Bundle 相当を提供します。このためベーシック、セキュリティバンドルのプランでは未提供機能も含まれます。
表示項目
ライセンス |
アクティベートされる項目 |
|---|---|
ベーシック |
FortiCare Support |
セキュリティバンドル |
FortiCare Support |
評価ライセンス(360 Protection Bundle) |
全ての項目 |
注意
SD-WAN、ndustrial DB, IoT Detection Serviceは、別途有償のライセンスが必要となります。
注釈
ライセンス認証は、即時反映されないケースがあります。認証後は最大24時間を経過を観察、または Update Licenses & Definitions Now を入力後、経過を観察します。
