FortiGate ファイアウォールポリシー参考情報¶

[更新: 2024年5月29日]

1. 概要 ¶

弊社による検証データの一部を公開した記事掲載となります。参考までにご利用ください。

注釈

お客様個別の要件定義、設計、開発・設定補助に関するサポートは、FortiGateVMのライセンスサービスに含まれません。上記、ご注意ください。

1.1 検証条件 ¶

FortiGateVMは、GUIとCLIのサポートとなります。掲載はCLI、GUIを適宜使い分け掲載いたします。
本掲載により利用された検証環境のFortiOSは、両系ともに7.0.12です。
コマンドの一部は、<>記載により抽象化、強調記載を行います。お客様が入力を行う際は<>を削除、入力します。

2. ファイアウォール ¶

FortiGateVMは、Gatewayによりアクセスの制御、通過するトラフィックを検閲を実行、外部からの脅威に対してシステムを保護します。

また、FortiGateVMは、次世代ファイアウォールとしてUTM機能が提供されます。UTM機能によりアプリケーションレイヤーの制御、保護機能、AV/Malwareの検査などが利用可能です。

重要

UTM機能の利用は、セキュリティバンドルのライセンスが必要です。ベーシックではUTM機能は利用できません(シグネチャなどの更新ファイルがFortiGuardよりDL出来ません)。

注釈

WAFなどの一部はベーシックに於いてもご利用可能ですが、FortiGuardを利用する機能(AV/MalwareのDB、IPSのDB、Internet Serviceを参照するDB)などは、ご利用ができません。

2.1 ポリシー設定 ¶

ファイアウォールは、様々な設定により構成される ポリシー を制御することで実現します。

このためCLIの解説は、設定箇所が多岐に渡り複雑性が増します。本解説は、一部を除きGUIを利用します。

ポリシーの設定は、下記のメニュー順に操作、ポリシー設定画面を表示します。

新規ポリシー画面

ポリシー&オブジェクト >>> ファイアウォールポリシー >>> 新規作成

注釈

ポリシーの動作は、作成順(ID)の昇順に適用されます(変更可、重複不可)。また、初期状態は暗黙の拒否が作成済により許可ポリシー以外は全て拒否されます。

注釈

CLIによりNATモード、トランスペアレントモードを選択可能ですが、トランスペアレントモードはさくらのクラウド仕様上、利用ができません。

2.1.1 基本設定項目¶

ファイアウォールのポリシーは、個別に許可のポリシーを設定、未許可のアクセスを拒否する仕様です(暗黙の拒否)。

このため一つ一つ許可をするポリシーの設定が必要となります。下記はポリシーの基本設定項目です。

基本設定項目

基本設定項目	説明
名前	ポリシーに関する名前を定義します。
着信インターフェース	着信するポートを指定します。
発信インターフェース	発信するポートを指定します。
送信元	許可する送信元のアドレス(IP、FQDN、国別、MAC)、ユーザ、インターネットサービスを指定します。
宛先	許可する宛先のアドレス(IP、FQDN、国別、MAC)、ユーザ、インターネットサービスを指定します。
スケジュール	ポリシーを有効とする繰り返し時刻(曜日、時刻)、指定日(開始日時・終了日時)を指定します。
サービス	サービスのプロトコルを指定します。
アクション	上記の接続に対し許可(accept )、拒否(deny)を設定します。
インスペクションモード	フローベース、プロキシベースにより制御・セキュリティプロファイルによる検査する方法が異なります。

注釈

物理HWから移行する等の際は、configファイルをエクスポート、該当のconfig箇所に元の設定をコピー&ペースト後にインポートすることで複数のポリシーを一括に修正が可能です(同一バージョン、HWのみに有効な設定は対象外)。

2.1.2 ファイアウォール / ネットワークオプション¶

NATを利用する際に有効/無効に変更します。また、destination NATを利用する際は、基本設定の宛先にvirtual IPsを利用するなど本項目以外の考慮が必要です。

注釈

管理用アクセス制御は別となります。 ネットワーク >>> インターフェース項目の管理者アクセス 、 システム >>> 管理者 設定を確認します。

2.1.3 セキュリティプロファイル¶

UTM機能の有効(プロファイル指定)、無効設定を指定します。

セキュリティプロファイル項目

一部の設定は括弧内のプロキシベース・表示機能設定解除を有効にする必要があります。

基本設定項目	説明
アンチウイルス	ポリシー設定により通過するアンチウィルスと想定されるファイルのDLなどを検閲する機能です。ウィルス、マルウェアからインラインのシステムを保護します。 https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/836396/antivirus
Webフィルタ	ウェブコンテンツのアクセスに対し単語などを検閲する機能です(DNSフィルタ優先)。インラインからの有害なアクセスを監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/833698/web-filter
ビデオフィルタ (プロキシベース)	youtubeのコンテンツを検閲する機能です。FortiGuardから更新される情報、またはチャンネルIDにより監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/553495/video-filter
DNSフィルタ	アクセスに対しDNSを検閲する機能です。FortiGuardから更新される情報を基にアクセス先を監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/605868/dns-filter
アプリケーションコントロール	アプリケーション、クラウドサービスなどを検閲する機能です。代表的なサービス、カテゴリされたグループからアクセスを監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.12/administration-guide/302748/application-control
IPS	シグネチャベース検閲、ボットネットC&Cを検閲する機能です。FortiGuardから更新される情報を基にアクセス先を監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/565562/intrusion-prevention
ファイルフィルタ	ファイルに利用されるプロトコルを検閲する機能です。一致するファイルに対し監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/984084/file-filter
Eメールフィルタ	指定条件を基に電子メールの送受信を検閲する機能です。メールアクセスの制御、禁止される用語を基に許可、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/567438/email-filter
VoIP	VoIP ソリューションを検閲する機能です。SIPサーバーへの通信を検査、許可、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/858887/voip-solutions
ICAP (プロキシベース)	プロキシ、キャッシュサーバーなどの通信を制御する機能です。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/952611/icap
Webアプリケーションファイアウォール (プロキシベース)	特定のアプリケーション攻撃を検閲する機能です。シグネチャによりSQL Injectionなどの代表的な攻撃を許可、監視、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/64335/web-application-firewall
SSLインスペクション	SSLにより暗号化されたファイルを検閲する際に使用する機能です。これによりSSL/SSHを判断、複合化を基に許可、拒否します。 https://docs.fortinet.com/document/fortigate/7.0.0/administration-guide/929997/ssl-ssh-inspection