the fortigate cookbook fortios 5.0 ～fortigateを活用するための

The FortiGate™ CookbookFortiOS 4.0 MR3

The FortiGate™ CookbookFortiOS 5.0

FortiGateを活用するための解説書



The FortiGate™ CookbookFortiOS 5.0

FortiGate

FortiGate Cookbook 5.0 第 1版

FortiGateを活用するための解説書

FortiOS 5.0.1

2013年 7月 31日

01-501-153797-20130731

Copyright© 2013 Fortinet, Inc. All rights reserved. Fortinet®、FortiGate®、および FortGuard®は Fortinet, Inc.の登録商標です。また、その他本書に記載されているフォーティネット関連の名称もフォーティネットの商標で

す。その他の製品名または社名は各社の商標です。

本書に記載の性能測定基準は、最適条件のもと、社内ラボテストで得られたものであり、パフォーマンスは変動

する可能性があります。ネットワーク変数、ネットワーク環境やその他条件の違いにより、パフォーマンス結果

が異なる場合があります。本書の内容はフォーティネットの責任を義務づけるものではなく、明示あるいは黙示

を問わずなんら保証するものではありません。なお、フォーティネットの法務顧問により署名された拘束力のあ

る書面による契約を締結している場合、かつ本書に記載の性能測定基準に従い指定の製品が動作することを明示

的に保証する購入者がいる場合を除きます。明確にするため、この保障はフォーティネットの社内ラボテストと

同じ最適条件での動作に限定されます。フォーティネットは一切の責任を負わないものとします。フォーティ

ネットは、本書の内容を予告なしに変更、修正、移譲、改訂する権利を有し、それは最新版の出版物に適用され

ます。

フォーティネット製品についての詳細情報および関連文書については、下記リンクをご確認ください。

フォーティネットの Knowledge Base - http://kb.fortinet.com

技術資料 - http://docs.fortinet.com

トレーニングサービス - http://campus.training.fortinet.com

技術サポート - http://support.fortinet.com

本書または他のフォーティネットの技術資料の誤りや記載漏れについては、[email protected]までご連絡ください。

http://kb.fortinet.com

http://docs.fortinet.com

http://campus.training.fortinet.com

http://support.fortinet.com

mailto:[email protected]

FortiOS Cookbook

目次

はじめに 6FortiGateについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7管理インターフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8ご購入の Fortinet製品の登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9詳細情報 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

新しい FortiGateユニットの設置とセットアップ 11NAT/ルートモードによりプライベートネットワークをインターネットに接続する . . . . . . . . . . . . . 12ワンステップでプライベートネットワークをインターネットに接続する . . . . . . . . . . . . . . . . . . 16NAT/ルートモードによる導入のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . 21ネットワーク設定を変更しないで FortiGateユニットをネットワークに透過的に導入する（トランスペアレントモード） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24トランスペアレントモードによる導入のトラブルシューティング . . . . . . . . . . . . . . . . . . . . . 27現在のファームウェアバージョンの確認とアップグレード . . . . . . . . . . . . . . . . . . . . . . . . 30FortiGuardサービスのセットアップとトラブルシューティング . . . . . . . . . . . . . . . . . . . . . . 33FortiGateユニットでの管理者アカウントの設定. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

FortiGateの高度な設置とセットアップ 40二つの ISPへの接続によるインターネット接続の冗長化 . . . . . . . . . . . . . . . . . . . . . . . . . 41モデムによるインターネット接続の冗長化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49使用率ベースの ECMPを使用して二つの冗長インターネット接続間でセッションを分散させる. . . . . . . . 56DMZネットワーク上のWebサーバーの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59ネットワークを変更せずに FortiGateユニットによって Eメールサーバーを保護する（トランスペアレントモード） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68ポートペアリングを使ってトランスペアレントモードをシンプルに導入 . . . . . . . . . . . . . . . . . . 75アドレス変換のないネットワークの接続（ルートモードの FortiGateユニット）. . . . . . . . . . . . . . . 79プライベートネットワーク上のユーザー用に Explicit Web Proxyを設定する . . . . . . . . . . . . . . . . 84プライベートネットワークから利用するユーザーがインターネットから取得するコンテンツを

キャッシュするために、Webキャッシュを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 86高可用性の導入によるネットワークの信頼性の向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . 88FortiGate HAクラスターにインストールされたファームウェアのアップグレード . . . . . . . . . . . . . . 93バーチャル LANを使用して複数のネットワークを一つの FortiGateインターフェースに接続する . . . . . . . 96バーチャルドメインを使用して一つの FortiGateユニットで複数の FortiOSインスタンスをホストする . . . 101ファイアウォールアクティビティのモニタリングおよび基本的なメンテナンスを行う管理者アカウントの

設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108FortiGateのセキュリティの強化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111内部サイトまたはサーバーのローカル DNSサーバーリストの作成 . . . . . . . . . . . . . . . . . . . 116MACアドレスを使用した DHCPによる IPアドレスの解決 . . . . . . . . . . . . . . . . . . . . . . . 118SNMPトラップを送信するように FortiGateユニットを設定する . . . . . . . . . . . . . . . . . . . . 120パケットスニフィングによるトラブルシューティング（パケットキャプチャー） . . . . . . . . . . . . . 123

FortiOS 5.0.1 3http://docs.fortinet.com/

http://docs.fortinet.com/

目次

パケットスニフィングによる高度なトラブルシューティング（パケットキャプチャー） . . . . . . . . . . . 128FortiGateの設定のデバッグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133よく使用する diagnoseコマンドのクイックリファレンス . . . . . . . . . . . . . . . . . . . . . . . . 137

ワイヤレスネットワーキング 140FortiWiFiでのセキュアWiFiアクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143FortiAPを使用して FortiGateユニットでセキュアWiFiをセットアップする . . . . . . . . . . . . . . . . 148WPA-EnterpriseセキュリティによるWiFiセキュリティの強化 . . . . . . . . . . . . . . . . . . . . . . 153RADIUSによるセキュアWiFiの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158Captive PortalによるセキュアWiFiの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163WiFiユーザーと有線ユーザーでの同じサブネットの共有. . . . . . . . . . . . . . . . . . . . . . . . . 168外部 DHCPサーバーによるWiFiネットワークの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 172Windows ADによるWiFiユーザーの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

セキュリティポリシーとファイアウォールオブジェクトの使用 185従業員のインターネットアクセスの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189IPアドレスによるインターネットアクセスの制限. . . . . . . . . . . . . . . . . . . . . . . . . . . . 193選択したユーザーを UTMフィルタリングから除外する . . . . . . . . . . . . . . . . . . . . . . . . . 197トラフィックがセキュリティポリシーで処理されていることの確認 . . . . . . . . . . . . . . . . . . . . 202セキュリティポリシーを正しい順序で配置する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207一つの承認済み DNSサーバーに対してのみ DNSクエリーを許可する. . . . . . . . . . . . . . . . . . . 212FortiWiFiユニットによる AirPlayおよび AirPrint通信の拡張 . . . . . . . . . . . . . . . . . . . . . . . 218VoIPトラフィックのために一定の安定した帯域幅を確保 . . . . . . . . . . . . . . . . . . . . . . . . 228ジオグラフィックアドレスの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234プライベートネットワークユーザーへのインターネットアクセスの提供（スタティック送信元 NAT）. . . . . 237複数のインターネットアドレスを使った、プライベートネットワークからインターネットへのアクセスの提供

(ダイナミック送信元 NAT). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240送信元ポートを変更しないダイナミック送信元 NAT（一対一送信元 NAT）. . . . . . . . . . . . . . . . . 243セントラル NATテーブルを使用したダイナミック送信元 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246インターネット IPアドレスが一つのみの場合に内部ネットワーク上のWebサーバーへのアクセスを許可する. 250インターネット IPアドレスが一つしかない場合に、ポート変換を使用して保護されたネットワーク上の

Webサーバーへのインターネットアクセスを許可する. . . . . . . . . . . . . . . . . . . . . . . . . 253Webサーバーに割り振る IPアドレスがある場合に保護されたネットワーク上のWebサーバーへのインターネットアクセスを許可する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256ポートを開放するためにポートフォワーディングを FortiGateに設定 . . . . . . . . . . . . . . . . . . . 261一定範囲の IPアドレスのダイナミック宛先 NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

UTMプロファイル 268ウイルスからネットワークを保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270グレーウェアからのネットワークの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273レガシーウイルスからのネットワークの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274AVスキャナーによって調べられる最大ファイルサイズの変更 . . . . . . . . . . . . . . . . . . . . . . 276サイズが大きすぎてウイルスをスキャンできないファイルのブロック . . . . . . . . . . . . . . . . . . . 278フローベースの UTMスキャンによる FortiGateのパフォーマンスの向上 . . . . . . . . . . . . . . . . . 279ユーザーがアクセスできるWebサイトを閲覧サイトのタイプにもとづいて制限 . . . . . . . . . . . . . . 283選択したユーザーに対し FortiGuard Webフィルタリングをオーバーライドする . . . . . . . . . . . . . . 285Google、Bing、および Yahooの検索結果にアダルトコンテンツなど好ましくないサイトが表示されないようにする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287

URLの FortiGuard Webフィルターカテゴリーの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . 288ユーザーがアクセスしたWebサイトを確かめる . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289

4 FortiGate Cookbook http://docs.fortinet.com/


目次

FortiGuard WebフィルタリングによるWeb Proxyへのアクセスのブロック . . . . . . . . . . . . . . . 291Webフィルタリングによるストリーミングメディアへのアクセスのブロック. . . . . . . . . . . . . . . 292特定のWebサイトへのアクセスのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293ホワイトリストにより指定されたもの以外のすべてのWebサイトのブロック . . . . . . . . . . . . . . 295URLだけでなく IPアドレスもチェックする FortiGuard Webフィルタリングの設定. . . . . . . . . . . . 299イメージおよび URLをチェックする FortiGuard Webフィルタリングの設定 . . . . . . . . . . . . . . . 301HTTPリダイレクト先へのレーティングの適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302ネットワーク上のアプリケーションの可視化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303インスタントメッセージングクライアントの使用の防止. . . . . . . . . . . . . . . . . . . . . . . . 305ソーシャルメディアWebサイトへのアクセスのブロック . . . . . . . . . . . . . . . . . . . . . . . 306P2Pファイル共有のブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307IPSによるWebサーバーの保護. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309スキャナーが機能しない場合にトラフィックを止めるように IPSを設定する . . . . . . . . . . . . . . . 311DoS攻撃からの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312スパムのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314DLPによる HTTPトラフィック内のクレジットカードおよび個人情報のトラッキング. . . . . . . . . . . 317FortiGateの脆弱性スキャナーによるネットワークのチェック. . . . . . . . . . . . . . . . . . . . . . 319

SSL VPN 322SSL VPNを通した内部サイトのリモートWebブラウジングの設定 . . . . . . . . . . . . . . . . . . . 323SSL VPNによるリモートユーザーへの保護されたインターネットアクセスの提供. . . . . . . . . . . . . 328SSL VPNスプリットトンネル :SSL VPNによるリモートユーザーへの保護されたインターネットアクセスとオフィスサーバーへのアクセスの提供 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

SSL VPNユーザーがログインする前に最新の AVソフトウェアを使用しているか確認する. . . . . . . . . 335

IPsec VPN 337IPsec VPNを使用したインターネット経由のオフィス間通信の保護 . . . . . . . . . . . . . . . . . . . 338FortiClient VPNを使用したオフィスネットワークへのセキュアなリモートアクセス . . . . . . . . . . . . 343IPsec VPNによる iPhoneを使用したセキュアな接続 . . . . . . . . . . . . . . . . . . . . . . . . . 349IPsec VPNによる Androidデバイスを使用したセキュアな接続 . . . . . . . . . . . . . . . . . . . . . 355VPNウィザードを使用したプライベートネットワークへの VPNの設定 . . . . . . . . . . . . . . . . . 360IPsec VPN上でのOSPF経路冗長化. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365

認証 372ユーザーを識別するセキュリティポリシーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 373ユーザーを識別してカテゴリーによってWebサイトへのアクセスを制限する . . . . . . . . . . . . . . 376Windows AD環境でのシングルサインオンユーザーアクセスのための FSSOの設定. . . . . . . . . . . . 379FortiAuthenticatorによる認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382「Connection is unstrusted」メッセージの停止. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

ロギングとレポーティング 387ログメッセージの理解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388バックアップログソリューションの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393SSL VPNログイン失敗のアラート Eメール通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . 397ログ設定のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

索引 401



FortiOS Cookbook

はじめにFortiGate Cookbookでは、FortiGateアプライアンスを初めて使用する管理者を対象に、例を用いて、FortiGateの基本的な設定や高度な設定をどのように実装すればよいかを説明します。

FortiGate製品には、管理者がネットワークを保護するために利用できる機能が豊富に用意されています。しかし、FortiGate製品で行えるあらゆる設定をこの Cookbookですべて取り上げることはできません。幸い、さらに多くの情報を『FortiOS Handbook』で参照することができます。最新バージョンは、フォーティネットの技術資料 Webサイト（http://docs.fortinet.com）から入手できるほか、FortiGateのオンラインヘルプでも提供されています。

FortiGate Unitin NAT/Route mode

Gate UnittRoute mode

NAT between private

internal network

and the Internetinternal

192.168.1.99

wan1

172.20.120.14

Gateway

172.20.120.2

Private internal network

192.168.1.0/255.255.255.0

この Cookbook では、一連のセクション（またはレシピ）を通して、さまざまな課題をどのように解決したらよいかを説明していきます。各セクションでは、最初に課題を説明し、次にその解決策をステップバイステップで

説明します。ほとんどのセクションは結果で締めくくられています。ここでは、その課題が問題なく解決された

かどうかをどのように確認すればよいかを説明します。また、多くのセクションには、トラブルシューティング

情報、ベストプラクティス、課題を解決するために使用した FortiGate 機能の詳しい追加情報が含まれています。このほか、このガイド全般に、トラブルシューティングのためのセクション、パケットスニファーや diagnosedebug コマンドなど FortiGate のトラブルシューティング機能について説明するセクションも盛り込まれています。

この FortiGate Cookbookは、FortiOS 5.0パッチ 1（FortiOS 5.0.1）を対象にしています。

このガイドの PDF 版は、FortiGate Cookbook の Web サイト（http://docs.fortinet.com/cookbook.html）から入手できます。このガイドに関するご意見、新しいレシピのご提案は、[email protected]にお送りいただけます。新しいレシピは、FortiGate CookbookのWebサイトで公開され、今後発行される Cookbookに追加されることがあります。



http://docs.fortinet.com/cookbook.html


はじめに FortiGateについて

Cookbookで使用されている IPアドレスについて

フォーティネットやその他の組織に属するパブリック IPアドレスが公開されないようにするために、フォーティネットの技術資料では架空の IPアドレスを使用しています。これらの IPアドレスは、フォーティネット独自のドキュメントガイドラインに沿っています。使用されているアドレスは、RFC 1918: Address Allocation for Private Internets（http://ietf.org/rfc/rfc1918.txt?number-1918）で規定されているプライベート IPアドレス範囲のものです。

このガイドで取り上げるほとんどの例では、RFC 1918で定められた非パブリックアドレスである 192、172、または 10を使用しています。この Cookbookの多くの例では、172.20.120.0ネットワークはインターネットに相当します。

FortiGateについてFortiGate アプライアンスは、変化しつづけるインターネットセキュリティの脅威に最新の形で応えた製品です。インターネットセキュリティによって、多様なサービス、プロトコル、およびネットワークトポロジーにわたる

幅広い分野がどのように保護されているかについては、すでによくご存知でしょう。FortiGateアプライアンスは、小規模なオフィスから大規模なインターネットサービスプロバイダーまで、お客様のネットワーキング要件を満

たすことのできる幅広いソリューションを提供することに特に重点をおいています。FortiGate、FortiASIC、および FortiOS という組み合わせは、カスタム設計されたシリコンと専用のオペレーティングシステムからなり、これによって提供される幅広いソリューションは、最も小規模なオフィスから非常に大規模なインターネットサー

ビスプロバイダーまで、あらゆる規模に対応できます。

FortiGate Unit

Internal network

FortiGate Unit

APPLICATIONCONTROL

FortiOSの機能セットは日々進化し、現在、IPv4および IPv6の保護、高可用性、多くのダイナミックルーティングプロトコル、トラフィックシェーピング、IPsecおよび SSL VPN、ユーザー認証、WAN最適化、セキュアWiFi といった機能を備えています。UTM は、ウイルススキャンや Web フィルタリングだけでなく、侵入防御、アプリケーションコントロール、エンドポイントセキュリティ、データ漏洩防止などの機能も提供するように拡張さ

れています。アプリケーションコントロールと、豊富なモニタリング機能およびネットワーク脆弱性スキャン機

能を組み合わせることにより、ネットワーク上のトラフィックの状況を完全かつ詳細につかむことができます。こ

れにより、脅威が実際の脅威となる前にそれを検知して隔離したり、トラフィックがネットワークを通り抜ける

ときにそのトラフィックをコントロールするためのアクションを実行したりできるようになります。



http://ietf.org/rfc/rfc1918.txt?number-1918

管理インターフェースはじめに

あなたの設置した FortiGateアプライアンスが先進の能力を発揮して、防御をできるだけ完全に行うには、先進であるとともに、グローバルにインターネットへ接続されていなければなりません。FortiGuard ネットワークで提供される一連のデータベースは、一日に何度もアップデートされます。これらのデータベースを直接インストー

ルするかオンデマンドでクエリーを行うことで、完全なコンテンツ保護という目標を実現できます。数十種類の

ウイルスをスキャンするときも、数百万もの URLをチェックするときも、また次に発生するスパムを待ち構えるときも、FortiGuardが頼りになります。

新しい FortiGateユニットを簡単に導入できるように、FortiGateユニットは、NAT/ルートモードまたはトランスペアレントモードと呼ばれるモードで動作するように設計されています。NAT/ ルートモードでは、FortiGate ユニットは、二つ以上のネットワークを接続するルーターとして機能します。このモードでは、FortiGateユニットはスタティックルーティングと高度なダイナミックルーティングを使用して、接続されたネットワーク間でパ

ケットをルーティングします。異なるネットワーク間でやり取りされるトラフィックが通り抜けるときに、セキュ

リティポリシーやファイアウォールオブジェクトによって、そのトラフィックにネットワークアドレス変換

（NAT）を適用することもできます。NATにより、プライベートネットワーク上のアドレスを外部から見えなくすることでセキュリティを強化できるだけでなく、ネットワーク間のルーティングが単純になります。

トランスペアレントモードでは、ネットワークの IPアドレッシングをまったく変更することなく、レイヤー 3に対して透過的に FortiGate ユニットをネットワークに設置できます。この場合、ネットワーク上では、FortiGateユニットは一つの管理 IP アドレスとしてのみ存在します。トランスペアレントモードでは、トラフィックがFortiGateユニットを通り抜けるときに、アドレス変換やルーティングは行われません。

管理インターフェース

管理を視覚的に行うことのできるWebベースの管理画面、コマンドラインベースで管理を行うための CLI、USB接続によって管理を行うことのできる FortiExplorerなど、FortiGateユニットを設定および管理するためのあらゆるオプションを利用できます。

Webベースの管理画面

FortiGateのWebベースの管理画面は、高度なポイントアンドクリック、ドラッグアンドドロップインターフェースで、WebインターフェースまたはWeb UIとも呼ばれます。このインターフェースでは、FortiGateのほとんどの設定にすばやくアクセスでき、設定ウィザードや補足的なビジュアルモニタリングツールおよび管理ツールも用意されています。Webベースの管理画面を使用すると、たとえばネットワーク上のアプリケーションのアクティビティをモニタリングするセキュリティポリシーを追加したり、このアプリケーションモニタリングポリシーの結果を表示したりできます。また、特定のアプリケーションで生成されたトラフィックをブロックまたは制限す

るように、追加でポリシーを作成したり既存のポリシーを変更したりすることもできます。

Webベースの管理画面は、FortiGateユニット上のトラフィックやイベントについての詳細情報を提供する、幅広いモニタリングツールやレポーティングツールも備えています。Webベースの管理画面では、FortiGateの動作をあらゆる方向からモニタリングできます。ほとんどの機能には、その機能専用のモニタリングページがあります。

Webベースの管理画面には、任意のWebブラウザから HTTPまたはセキュア HTTPS接続を使用してアクセスします。デフォルトでは、通常は保護されたネットワークに接続されている FortiGateのインターフェースに接続することにより、Webベースの管理画面にアクセスできます。

Web ベースの管理画面で行った設定の変更は、ユニットをリセットしたりサービスを中断しなくてもすぐに有効になります。



はじめにご購入の Fortinet製品の登録

コマンドラインインターフェース

コマンドラインインターフェース（CLI）は、その名前からもわかるように、FortiGateユニットへのテキストベースのコマンドライン設定インターフェースです。FortiGateのすべての設定オプションは、CLIから configコマンドを使用して設定できます。このほか、CLI では、設定を表示したりステータス情報を取得するための get コマンド、日時の設定、設定のバックアップとリストア、ネットワーク接続のテストなどの操作をすぐに実行する

ための execute コマンド、FortiGate の高度なモニタリングやトラブルシューティングを行うための diagnoseコマンドなどを利用できます。

CLIには、Telnetまたは SSHを使用して、TCP/IPネットワークを通して RS-232シリアルコンソール接続で接続できます。CLIで行った設定の変更は、ユニットをリセットしたりサービスを中断しなくてもすぐに有効になります。

FortiExplorer

FortiExplorerは、標準の USB接続によって FortiGateユニットを設定できる、簡単に利用できる便利なツールです。WindowsまたはMac OS Xが稼働しているPCにFortiExplorerソフトウェアをインストールし、PCとFortiGate ユニットを USB接続すれば、FortiExplorerを使用して FortiGateユニットを登録したり、FortiOSファームウェアのアップデートをチェックして実行したりできます。また、FortiExplorer 設定ウィザードを使用して、FortiGateユニットをすばやくセットアップし、Webベースの管理画面や CLIに接続することができます。

ご購入の Fortinet製品の登録ファームウェアのアップデート、技術サポート、FortiGuardアンチウイルスおよびその他の FortiGuardサービスなど、フォーティネットが提供するさまざまなサービスを利用するには、製品をご登録いただく必要があります。

詳細については、購入元の販売代理店にご確認ください。その他フォーティネットの Knowledge Center の記事「Registration Frequently Asked Questions」を参照してください。

詳細情報

フォーティネットの Knowledge Base

フォーティネットの Knowledge Base では、トラブルシューティング記事やハウツー記事、例、FAQ、テクニカルノート、用語集など、フォーティネットの追加技術資料を提供しています。フォーティネットの KnowledgeBase（http://kb.fortinet.com）をご覧ください。

トレーニング

フォーティネットのトレーニングサービスでは、お客様が短時間で新しい装置に慣れることのできるトレーニン

グコースを実施しています。また、お客様の知識レベルを証明する各種認定も行っています。フォーティネット

は、世界各地のお客様およびパートナーの皆さまのニーズに応えるために、多様なトレーニングプログラムを提

供しています。

フォーティネットが提供するトレーニングサービスについては、フォーティネットのトレーニングサービス Webサイト（http://campus.training.fortinet.com）をご覧いただくか、E メールで [email protected] までお問い合わせください。



http://kc.forticare.com/default.asp?id=2071

http://kc.forticare.com/default.asp?id=2071

http://kb.fortinet.com

http://campus.training.fortinet.com


詳細情報はじめに

資料

フォーティネットの技術資料Webサイト（http://docs.fortinet.com）では、フォーティネットの最新バージョンの出版物のほか、テクニカルノートなどの追加技術資料を提供しています。

フォーティネットの技術資料Webサイトに加え、フォーティネットの Tools and Documentation CDおよびフォーティネットの Knowledge Baseでも、フォーティネットの技術資料を参照できます。

このガイドおよびフォーティネットの技術資料の誤りや不備にお気づきの場合は、[email protected] までお

知らせください。

カスタマーサービスと技術サポート

フォーティネットの技術サポートでは、ご購入のフォーティネット製品をすばやく設置し、簡単に設定し、お客

様のネットワークで確実に動作させるためのサービスを提供しています。

フォーティネットが提供する技術サポートサービスについては、フォーティネットの技術サポート Web サイト（https://support.fortinet.com）をご覧ください。

お客様から設定ファイル、ネットワークダイアグラム、およびその他の詳しい情報を提供いただくことで、技術

サポートチケットの解決にかかる時間を大幅に短縮することができます。必要な情報のリストについては、フォー

ティネットの Knowledge Baseの記事「FortiGate Troubleshooting Guide - Technical Support Requirements」を参照してください。もしくは購入元の販売代理店にご確認ください。



http://docs.fortinet.com


https://support.fortinet.com

http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD30679&sliceId=1&docTypeID=DT_KCARTICLE_1_1&dialogID=6614382&stateId=0%200%206612875

FortiOS Cookbook


新しい FortiGateユニットの設置とセットアップ

FortiGateユニットを購入するほとんどの方は、保護されたプライベートネットワークとインターネットとの間にセキュアな接続を確立することを目的としています。また、その多くの方が、FortiGateユニットによってプライベートネットワークの IPアドレスをインターネット側から見えなくすることを望んでいます。この章では、NAT/ルートモードにより、新しい FortiGate アプライアンスを導入する方法と、NAT/ ルートモードによる導入のトラブルシューティング方法について説明します。

また、この章では、FortiGateのトランスペアレントモードによる基本的な導入の方法についても説明します。このモードでは、ネットワークを変更することなく、FortiGateユニットのセキュリティサービスを利用することができます。

この章では、FortiGateユニットを設置した後に一般的に行うべきファイアウォールバージョンのチェック、ファームウェアのアップグレード、FortiGuard サービスのトラブルシューティングといったいくつかの基本手順についても説明します。

この章では、以下の基本的な設置とセットアップの例を取り上げます。

• NAT/ルートモードによりプライベートネットワークをインターネットに接続する

• ワンステップでプライベートネットワークをインターネットに接続する

• Changing the address of an internal network using the setup wizard

• NAT/ルートモードによる導入のトラブルシューティング

• ネットワーク設定を変更しないで FortiGateユニットをネットワークに透過的に導入する（トランスペアレントモード）

• トランスペアレントモードによる導入のトラブルシューティング

• 現在のファームウェアバージョンの確認とアップグレード

• FortiGuardサービスのセットアップとトラブルシューティング

• FortiGateユニットでの管理者アカウントの設定


NAT/ルートモードによりプライベートネットワークをインターネットに接続する


課題

新しい FortiGate ユニットを接続し、プライベートネットワークがインターネットに安全に接続されるようにFortiGateユニットを設定します。FortiGateユニットでは、インターネットの脅威からプライベートネットワークを保護する一方で、プライベートネットワーク上のすべてのユーザーがインターネットに自由に接続できるよう

にします。

解決策

通常、FortiGateユニットは、プライベートネットワークとインターネットとの間にゲートウェイまたはルーターとして設置します。この設定では、FortiGate ユニットは NAT/ ルートモードで動作し、プライベートネットワークのアドレスをインターネット側のスキャンから見えないようにします。

1 FortiGateの wan1インターフェースを、ISPから提供された装置に接続します。



NAT between private

internal network


192.168.1.99

wan1

172.20.120.14

Gateway

172.20.120.2


192.168.1.0/255.255.255.0

WAN1

Internal

Internal Network

ISP Modem




2 内部ネットワークを FortiGateの internalインターフェースに接続します。

3 ISPの装置、FortiGateユニット、および内部ネットワーク上の PCの電源を入れます。

4 内部ネットワーク上の PCから FortiGateのWebベースの管理画面に接続します。

PCを、DHCPによってそれ自体の IPアドレスを取得してから https://192.168.1.99をブラウズするように設定できます。PCに 192.168.1.0/255.255.255.0サブネット上のスタティック IPアドレスを割り当てることもできます。

5 ユーザー名として adminを使用し、パスワードなしでログインします。

6 サイドバーメニューで [System] > [Network] > [Interface]に移動し、[wan1]を選択します。

7 [Edit]を選択して以下の設定を変更します。

8 [OK]を選択します。

9 [internal]を選択し、次に [Edit]を選択します。

10 以下の設定を変更します。


12 [Router] > [Static] > [Static Route]に移動し、[Create New]を選択します。

13 以下のデフォルトルートを追加します。


[Addressing mode] Manual

[IP/Netmask] 172.20.120.14/255.255.255.0


[IP/Netmask] 192.168.1.99/255.255.255.0

この手順で問題が起こった場合、FortiGate ユニットの設定が異なっている可能性があります。[System] >

[Network] > [Routing]に移動し、[Static Route]で [Create New]を選択してみてください。

[Destination IP/Mask] 0.0.0.0/0.0.0.0

[Device] wan1

[Gateway] 172.20.120.2

デフォルトルートの [Destination IP/Mask]は常に 0.0.0.0/0.0.0.0です。通常、デフォルトルートは一つのみで

す。スタティックルートのリストにすでにデフォルトルートが含まれている場合、そのデフォルトルートを編集

するか、削除してから新しいデフォルトルートを追加することができます。




15 [Policy] > [Policy] > [Policy]に移動し、[Create New]を選択します。

16 以下のセキュリティポリシーを追加します。このセキュリティポリシーは、プライベートネットワーク上のユーザーにインターネットへのアクセスを許可するものです。

17 [Enable NAT]および [Use Destination Interface Address]を選択します。


結果

Webブラウザを起動して www.fortinet.comをブラウズします。

[Policy] > [Policy] > [Policy]に移動します。いずれかの列ヘッダーを右クリックして [Column Settings]を選択し、[Count]列を追加します。この列には、追加したセキュリティポリシーのパケットカウントが示されます。この情報から、ポリシーによってトラフィックが処理されていることを確認できます。

FortiGateのモデルによっては、[Count]機能がデフォルトで設定されている場合があります。

[Policy] > [Monitor] > [Policy Monitor]に移動し、FortiGateユニットが処理しているセッションを表示します。

各ポリシーのアクティブなセッションを表すグラフが表示されます。この例ではポリシーが一つのみのため、グ

ラフに含まれるエントリーは一つのみです。ポリシー 1 の棒グラフを選択して、送信元アドレス別、宛先アドレス別、または宛先ポート別に上位セッションを表示することができます。

[Incoming Interface] internal

[Source Address] all

[Outgoing Interface] wan1

[Destination Address] all

[Schedule] always

[Service] ALL

[Action] ACCEPT

FortiGate のモデルによっては、このセキュリティポリシーがデフォルト設定に含まれています。このようなモ

デルを使用する場合は、この手順はすでに完了しています。そのため、FortiGate ユニットを接続して内部ネッ

トワーク上のコンピューターを設定するとすぐに、コンピューターからインターネットにアクセスできるように

なるはずです。

このポリシーでは、外部向きのすべてのトラフィックが許可され、ほかの制限は適用されません。このポリシー

はインターネット接続をテストする目的には適していますが、ウイルスやその他の脅威をスキャンし、このよう

なグローバルな使用を制限するセキュリティポリシーを設定することを強くおすすめします。

内部ネットワークからWebをブラウズできれば、設定は正しく行われています。内部ネットワークからWebを

ブラウズできない場合は、21 ページの「NAT/ ルートモードによる導入のトラブルシューティング」の手順に

従って解決策を見つけてください。



ワンステップでプライベートネットワークをインターネットに接続する


課題

できるだけ少ない手順で、FortiGateユニットを動作させてプライベートネットワークからインターネットに接続できるようにします。

解決策

インターネットサービスプロバイダーが自動的にインターネット接続を提供するためにDHCPを使っている場合、FortiGate の設定手順を一つ実行するだけで、FortiGate ユニットを設置してプライベートネットワークからインターネットに接続することができます。

この解決策では、FortiGateユニットを ISPと内部ネットワークに接続し、内部ネットワーク上のコンピューターが、それぞれの IP 設定を（DHCP を使用して）自動的に取得するように設定します。次に、FortiGate ユニットの電源を入れ、DHCPを使用して ISPからネットワーク設定を取得するように FortiGateユニットを設定します。

1 FortiGateの wan1インターフェースを、ISPから提供された装置に接続します。

2 内部ネットワークを FortiGateの internalインターフェースに接続します。

3 ISPの装置、FortiGateユニット、内部ネットワーク上の PCの電源を入れます。


FortiGatee UUnit

Internal

192.168.1.99

DHCP Server

WAN1

DHCP address mode

Computers on the private

network get IP configuraiton

automatically from DHCP

ISP provides IP

coniguration with DHCP

Internal network addresess

192.168.1.0/255.255.255.0

このようにワンステップで設定を完了するには、FortiGateユニットのデフォルト設定に、internalインターフェー

ス用の DHCP サーバーと、内部ネットワークからインターネットへのすべてのセッションを許可するデフォル

トのセキュリティポリシーが含まれている必要があります。このデフォルト設定は、多くのデスクトップ向け

FortiGateモデルおよび FortiWifiモデルで提供されています。




4 必要であれば、DHCPを使用して自動的にそれぞれの IPネットワーク設定を取得するようにPCを設定します。

これにより、すべての PCが 192.168.1.0/255.255.255.0ネットワーク上の IPアドレスを取得することになります。

5 いずれかの PCでWebブラウザを開き、https://192.168.1.99をブラウズします。

6 [Name]に adminと入力し、パスワードはブランクのままにして、FortiGateのWebベースの管理画面にログインします。

7 [System] > [Network] > [Interface]に移動し、[Edit]を選択して wan1インターフェースを編集します。

8 [Addressing Mode]を [DHCP]に設定し、[Retrieve default gateway from server]を選択します。


結果

接続をテストするには、FortiGateの internalインターフェースに接続されたいずれかの PCでWebブラウザを開き、任意のインターネットWebサイトをブラウズします。

これにより、FortiGateインターフェースでのアクティブなセッションのグラフを表示できるはずです。FortiGateユニットが処理しているセッションを表示するには、[Policy] > [Monitor] > [Policy Monitor]に移動します。

この例ではポリシーは一つのみのため、グラフに含まれるエントリーは一つのみです。棒グラフを選択して、送

信元アドレス別に上位セッションを表示できます。または、右上にあるドロップダウンメニューを使用して、宛

先アドレス別または宛先ポート別に上位セッションを表示することもできます。

WAN1

Internal

Internal Network

ISP Modem

ISP が PPPoE または手動アドレッシングを使用している場合は、wan1 インターフェースに、DHCP の代わり

に PPPoEまたは手動アドレッシングを指定するオプションを設定できます。




また、[Top Sessionsby Source Address]ダッシュボードウィジェットには別の形でセッションが表示されます。ここでは、表示をカスタマイズして現在のセッションについての詳細情報を得ることができます。

解決しない場合は ?接続できない場合、以下の手順に従って設定が正しいことを確認してください。

1 wan1インターフェースが ISPから IP設定を取得していることを確認します。Webベースの管理画面にログインし、[System] > [Network] > [Interface] > [wan1]> [Edit]に移動します。[Addressing Mode]が DHCP に設定され、以下のような情報が表示されることを確認します。

IPアドレスが正しくないか、表示されない場合、[Renew]を選択してリースを更新し、新しい IP設定情報をISP から取得します。この方法で有効な IP アドレスを取得できない場合、FortiGate ユニットは ISP の DNSサーバーと通信できていません。

デフォルトゲートウェイを取得するオプションと内部 DNSをオーバーライドするオプションが選択されていることを確認します。ISPが DHCPで DNSサーバーを提供していない場合、[System] > [Network] > [DNS] に移動して手動で DNSサーバーを追加できます。

ISPがDHCPでデフォルトゲートウェイを提供していない場合、[Router] > [Static] > [Static Route] > [Create New] に移動し、wan1 インターフェースから ISP のデフォルトゲートウェイを指すデフォルトルートを手動で追加できます。

2 FortiGate の DHCP サーバーから IP アドレスを取得するように内部ネットワークが設定されている場合、[System] > [Network] > [DHCP Server]に移動し、[Edit]を選択して internalインターフェースの DHCPサーバーを編集します。

DHCP サーバーの設定でシステムの DNS 設定が使用されていることを確認します。[System] > [Monitor] > [DHCP Monitor]に移動し、FortiGateユニットの DHCPサーバーで設定されている PCの情報を表示します。ここには、DHCPを使用してそれぞれのアドレスを受け取ったネットワーク上の PCごとに一つずつ、エントリーが表示されるはずです。

内部ネットワーク上の PCが、ISPから DNSの IPアドレスを取得する前に FortiGateユニットに DHCPリクエ

ストを送信した場合、FortiGateユニットは、Webベースの管理画面のページに表示されている DNSの IPアド

レスを送信します。PCが常に正しい DNSサーバーの IPアドレスを受け取れるようにするために、PCの DHCP

リースをアップデートすることができます。




この方法で問題が解決しない場合は、21ページの「NAT/ルートモードによる導入のトラブルシューティング」の手順に従って問題を突き止めて解決してください。



NAT/ルートモードによる導入のトラブルシューティング


課題

FortiGate を NAT/ ルート設定でセットアップしましたが、プライベートネットワーク上のデバイスからインターネットに接続できません。

解決策

以下の手順に従って、ユーザーがインターネットに接続できない原因を突き止めて解決してください。

1 PCと FortiGateユニットとの間、および FortiGateユニットと ISPの装置との間の物理的なネットワーク接続をチェックします。

[Unit Operation]ダッシュボードウィジェットには、FortiGateのネットワークインターフェースの接続ステータスが示されます（[System] > [Dashboard] > [Status]）。

2 ISPから提供された装置が正常に動作していることをチェックします。

3 FortiGateユニットの内部 IPアドレスに接続できることを確認します。

たとえば、ブラウザで Web ベースの管理画面の IP アドレス（たとえば https://192.168.1.99）をブラウズして、FortiGateの internalインターフェースからWebベースの管理画面に接続します。

PCから internalインターフェースの IPアドレスにpingを実行します。たとえば以下のコマンドを使用します。ping 192.168.1.99

internal インターフェースに接続できない場合、PC の IP 設定を確認し、ケーブルが接続されていることと、スイッチなどすべてのネットワーク装置の電源が入っていて動作していることを確認します。internal インターフェースに接続できたら、次の手順に進みます。

4 インターネットに接続されている FortiGate インターフェースの設定をチェックし、適切なアドレッシングモードが含まれていることを確認します。

• アドレッシングモードが手動の場合、IPアドレスとネットマスクが正しいことを確認します。

• アドレッシングモードが DHCPの場合は、18ページの「解決しない場合は ?」を参照してください。



NAT between private

internal network


192.168.1.99

wan1

172.20.120.14

Gateway

172.20.120.2


192.168.1.0/255.255.255.0




5 FortiGate ユニットからインターネットへ通信できることを確認するには、FortiGate の CLI にアクセスし、execute pingコマンドを使用してインターネット上の特定のアドレスまたはドメイン名に pingを実行します。execute tracerouteコマンドを使用して、インターネットへの接続のトラブルシューティングを行うこともできます。

6 FortiGateユニットおよび内部ネットワーク上の PCの DNS設定を確認します。pingまたは tracerouteを使用してあるドメイン名に接続することにより、DNS エラーが起きないかチェックすることができます。そのドメイン名を解決できない場合、FortiGateユニットまたは PCは DNSサーバーに接続できていません。たとえば以下のようなエラーが表示された場合は、DNSサーバーの IPアドレスが存在し、そのアドレスが正しいことを確認してください。

execute ping www.fortinet.comping: cannot resolve www.fre.com: Unknown host

7 セキュリティポリシーの設定を確認します。

• [Policy] > [Policy] > [Policy]に移動し、[internal] > [wan1]セキュリティポリシーが追加されていることを確認します。[Count] 列で、このポリシーによってトラフィックが処理されているか確認します。このポリシーの設定をチェックし、ポリシーが以下のように設定されていることと、[Enable NAT]および [Use Destination Interface Address]がどちらも選択されていることを確認します。

8 スタティックルーティングの設定を確認します。

[Router] > [Static] > [Static Route] に移動し、デフォルトルートが正しいことを確認します。[Router] > [Monitor] > [Routing Monitor]に移動し、ルーティングモニターを調べて、デフォルトルートがリストにスタティックルートとして表示されていることを確認します。デフォルトルート以外に、接続されている FortiGateインターフェースごとに一つずつ、少なくとも二つの接続済みルートが表示されるはずです。

9 Webフィルタリングを無効にします。

セキュリティポリシーでWebフィルタリングを有効にした場合、接続しようとしているWebサイトへのアクセスがブロックされることがあります。FortiGuard Web フィルタリングにより、その Web サイトに対してレーティングエラーが発生し、レーティングエラーが起こった場合に、デフォルトのWebフィルタープロファイルがサイトへのアクセスをブロックするように設定されていることがあります。レーティングエラーの原因

は、たとえば FortiGuardのWebフィルターレーティングにアクセスできないなどさまざまです。この問題を解決するには、[Security Profiles] > [Web Filter] > [Profile]に移動し、デフォルトプロファイルで [Advanced Filter]を選択して [Allow Websites When a Rating Error Occurs]を有効にします。

上記以外に以下の方法を試すこともできます。





[Schedule] always

[Service] ALL

[Action] ACCEPT




• FortiGateユニットの wan1の IPアドレスに接続できることを確認します。内部ネットワークが動作していることを確認したら、FortiGateの wan1インターフェースの IPアドレスに pingを実行します（たとえば ping172.20.120.12）。wan1 インターフェースに対して ping 管理アクセスが選択されていれば（[System] > [Network] > [Interface]に移動し、wan1インターフェースを編集して ping管理アクセスを有効にします）、このインターフェースは pingに応答します。wan1インターフェースに接続できない場合、FortiGateユニットは internalから wan1へのセッションを許可していません。

• ISPから提供されたゲートウェイにアクセスできることを確認します。



ネットワーク設定を変更しないで FortiGateユニットをネットワークに透過的に導入する（トランスペアレントモード）


課題

ネットワーク設定を変更しないでプライベートネットワークを保護するには、新しい FortiGateユニットをどのように接続し、設定すればよいのでしょうか。プライベートネットワークは、NAT を実行するルーターを通してインターネットに接続されています。

この解決策では、すでに設置されているルーターをそのまま使用した上でネットワークにセキュリティを追加す

る必要があります。FortiGateユニットによって、インターネットからプライベートネットワークへのトラフィックをブロックする一方で、プライベートネットワーク上のユーザーがインターネットに接続できるようにします。

また、FortiGateユニットでアプリケーションの使用状況をモニタリングし、ウイルスの検出と駆除を行います。

解決策

内部ネットワークとルーターとの間に FortiGateユニットをトランスペアレントモードで設置します。内部ネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーをFortiGateユニットに追加します。また、このセキュリティポリシーにウイルススキャンとアプリケーションコントロールを追加します。

FortiGateユニットに管理 IPアドレスを割り当てること以外に、ネットワークの変更は必要ありません。

FortiGate Unit inTransparent mode

Management IP10.31.101.40

rtiGate Unit iinn

Security policies

allow traffic

between network

segmentsInternal network

10.31.101.0/255.255.255.0

Router

10.31.101.100

トランスペアレントモードに変更すると、NAT/ ルートモードで行われたほとんどの設定変更が失われます。現

在の NAT/ ルートモードの設定を残したい場合は、操作を進める前に、[System Information] ダッシュボード

ウィジェットから設定をバックアップしてください。




1 PCを FortiGateの internalインターフェースに接続します。

2 FortiGateの Webベースの管理画面に接続します。ユーザー名として adminを使用し、パスワードなしでログインします。

3 [System] > [Dashboard] > [Status] > [System Information]に移動し、[Operation Mode]で [Change]を選択して以下のように設定します。


5 https://10.31.101.40をブラウズしてWebベースの管理画面にログインします。

PCの IPアドレスを 10.31.101.0/255.255.255.0サブネット上のアドレスに変更する必要があります。

6 [System] > [Network] > [DNS]に移動し、[Primary]および [Secondary] DNSサーバーを追加します。

7 [Policy] > [Policy] > [Policy]に移動し、[Create New]を選択します。

8 [Policy Type]は [Firewall]のままにし、[Policy Subtype]も [Address]のままにして、以下のセキュリティポリシーを追加します。このセキュリティポリシーは、プライベートネットワーク上のユーザーにインター

ネットへのアクセスを許可するものです。

9 [Enable Antivirus]を選択し、[Enable Application Control]を選択します。


11 ネットワークとルーターとの間に FortiGateユニットを接続します。

wan1インターフェースをルーターの internalインターフェースに接続します。内部ネットワークを FortiGateの internalインターフェースに接続します。

[Operation Mode] Transparent

[Management IP/Netmask] 10.31.101.40/255.255.255.0

[Default Gateway] 10.31.101.100


[Source Address] All


[Destination Address] All

[Schedule] always

[Service] ALL

[Action] ACCEPT




結果

内部ネットワーク上の PCでWebブラウザを開き、www.fortinet.comをブラウズします。このサイトにも接続できるはずです。

[Policy] > [Policy] > [Policy]に移動します。列ヘッダーを右クリックして [Column Settings]を選択し、[Count] 列を追加します。追加したセキュリティポリシーの [Count] 列をチェックし、このセキュリティポリシーによってトラフィックが処理されていることを確認します。

[Policy] > [Monitor] > [Policy Monitor]に移動し、FortiGateユニットが処理しているセッションを表示します。

ほとんどのセッションの送信元アドレスは 10.31.10.0 ネットワーク上のアドレスになります。[Src NAT IP] および [Src NAT Port]列はブランクになります。これは、NATが実行されていないためです。ポリシー ID は 1です。通常、最初に追加したセキュリティポリシーの IDはこの番号になります。

各ポリシーのアクティブなセッションのグラフを表示して結果を確認することもできます。この例ではポリシー

が一つのみのため、グラフに含まれるエントリーは一つのみです。ポリシー 1 の棒グラフを選択して、送信元アドレス別、宛先アドレス別、または宛先ポート /サービス別に上位セッションを表示することができます。

[Top Sessions]ダッシュボードウィジェットには、別の形でセッションが表示されます。この表示をドリルダウンして、現在のセッションについての詳細情報を得ることもできます。その他のダッシュボードウィジェットには、

セッション履歴、トラフィック履歴、および IPごとの帯域幅使用状況が表示されます。

トランスペアレントモードで動作している FortiGateユニットを、DHCPサーバーと、DHCPによってアドレス

を取得している PCとの間に設置する場合、DHCPサーバーのレスポンスが FortiGateユニットを通って DHCP

クライアントへと戻ることを許可するセキュリティポリシーを追加する必要があります。この wan1の内部ポリ

シーでは、クライアントから DHCPサーバーへと向かう DHCPリクエストは許可されますが、サーバーからの

レスポンスは新しいセッションであり、送信されたリクエストに対するレスポンスではありません。そのため、

サービスが DHCP に設定された wan1 から internal へのポリシーを追加しなければ、この新しいセッションは

FortiGateユニットで許可されません。

内部ネットワークからインターネットをブラウズできれば、設定は正しく行われています。内部ネットワークか

らインターネットをブラウズできない場合は、27 ページの「トランスペアレントモードによる導入のトラブル

シューティング」の手順に従って原因を探してください。



トランスペアレントモードによる導入のトラブルシューティング


課題

FortiGateを基本的なトランスペアレントモードのコンフィグレーションでセットアップしましたが、トラフィックが FortiGateユニットを通り抜けません。

解決策

以下の手順に従って、ユーザーが FortiGateユニットを通して接続できない原因を探して解決してください。

1 内部ネットワークと FortiGate ユニットとの間、および FortiGate ユニットとインターネットとの間の物理的なネットワーク接続をチェックします。[Unit Operation] ダッシュボードユニットには、FortiGate のネットワークインターフェースの接続ステータスが表示されます。

2 ルーターおよび ISPから提供された装置が正常に動作していることを確認します。

3 内部ネットワークから FortiGateユニットの管理 IPアドレスに接続して、internalインターフェースに接続できることを確認します。

内部ネットワークから FortiGateユニットの管理 IPアドレスに pingを実行します。internalインターフェースに接続できない場合、PCの IP設定を確認し、ケーブルが接続されていることと、ネットワーク上のスイッチおよびその他のデバイスの電源が入っていて動作していることを確認してください。internal インターフェースに接続できたら、次の手順に進みます。

4 FortiGate ユニットからインターネットへ通信できることを確認するには、FortiGate の CLI にアクセスし、execute ping コマンドを使用してインターネット上の特定のアドレスに ping を実行します。execute traceroute コマンドを使用して、インターネットへの接続のトラブルシューティングを行うこともできます。

FortiGate Unit inTransparent mode

Management IP10.31.101.40

rtiGate Unit iinn

Security policies

allow traffic

between network

segmentsInternal network

10.31.101.0/255.255.255.0

Router

10.31.101.100




5 FortiGateユニットおよび内部ネットワーク上の PCの DNS設定を確認します。pingまたは tracerouteを使用してあるドメイン名に接続することにより、DNS エラーが起きないかチェックすることができます。そのドメイン名を解決できない場合、FortiGateユニットまたは PCは DNSサーバーに接続できていません。たとえば以下のようなエラーが表示された場合は、DNSサーバーの IPアドレスが存在し、そのアドレスが正しいことを確認してください。

ping www.fortinet.comping: cannot resolve www.fre.com: Unknown host

6 セキュリティポリシーの設定を確認します。

• [Policy] > [Policy] > [Policy]に移動し、[internal] > [wan1]セキュリティポリシーが追加されていることを確認します。列ヘッダーを右クリックして [Column Settings] を選択し、[Count] 列を追加します。 [Count] 列で、このポリシーによってトラフィックが処理されているか確認します。このポリシーが以下のように設定されていることを確認します。

7 スタティックルーティングの設定を確認します。

[System] > [Network] > [Routing Table]に移動し、デフォルトルートが正しいことを確認します。

8 Webフィルタリングを無効にします。

セキュリティポリシーでWebフィルタリングを有効にした場合、接続しようとしているWebサイトへのアクセスがブロックされることがあります。FortiGuard Web フィルタリングにより、その Web サイトに対してレーティングエラーが発生し、レーティングエラーが起こった場合に、デフォルトのWebフィルタープロファイルがサイトへのアクセスをブロックするように設定されていることがあります。レーティングエラーの原因

は、たとえば FortiGuardのWebフィルターレーティングにアクセスできないなどさまざまです。この問題を解決するには、[UTM Security Profiles] > [Web Filter] > [Profile] に移動し、デフォルトプロファイルで [Advanced Filter]を選択して [Allow Websites When a Rating Error Occurs]を有効にします。

9 ISPから提供されたゲートウェイにアクセスできることを確認します。内部ネットワーク上の PCからデフォルトゲートウェイの IPアドレスに pingを実行してください。





[Schedule] always

[Service] ALL

[Action] ACCEPT




10 FortiGateのブリッジテーブルをチェックします。

ブリッジテーブルは、FortiGateユニットと同じネットワーク上にあるデバイスの MACアドレスと、各 MACアドレスが見つかった FortiGateインターフェースのリストです。FortiGateユニットは、このテーブルをもとにパケットをどこに転送するかを決定します。もし、ブリッジテーブルに追加されたあるデバイスの MACアドレスが正しくないと、その MACアドレス宛てのパケットはブロックされます。このとき、ある MAC アドレス宛てにトラフィックが送信されているように見えても、リプライトラフィックが戻ってこないことがあり

ます。この場合は、ブリッジテーブルをチェックして、正しい MACアドレスがブリッジテーブルに追加されていることを確認してください。ルート VDOM に関連付けられたブリッジテーブルをチェックするには、以下の CLIコマンドを使用します。 diagnose netlink brctl name host root.bshow bridge control interface root.b host.fdb: size=2048, used=25, num=25, depth=1Bridge root.b host tableport no device devname mac addr ttl attributes 3 4 wan1 00:09:0f:cb:c2:77 88 3 4 wan1 00:26:2d:24:b7:d3 0 3 4 wan1 00:13:72:38:72:21 98 4 3 internal 00:1a:a0:2f:bc:c6 6 1 6 dmz 00:09:0f:dc:90:69 0 Local Static 3 4 wan1 c4:2c:03:0d:3a:38 81 3 4 wan1 00:09:0f:15:05:46 89 3 4 wan1 c4:2c:03:1d:1b:10 0 2 5 wan2 00:09:0f:dc:90:68 0 Local Static

このリストにデバイスの MAC アドレスが表示されない場合、FortiGate ユニットはネットワーク上でそのデバイスを見つけることができていません。つまり、そのデバイスが接続されていないか、動作していない可能

性があります。デバイスのネットワーク接続をチェックし、デバイスが正しく動作していることを確認してく

ださい。



現在のファームウェアバージョンの確認とアップグレード


課題

フォーティネットから新しいバージョンのFortiOSがリリースされました。FortiGateユニットでどのファームウェアバージョンが実行されているかを確認し、最新バージョンにアップグレードする方法を学びます。

解決策

Webベースの管理画面および CLIから、現在のファームウェアバージョンを表示します。フォーティネットのカスタマーサポート Web サイトから新しいバージョンの FortiOS をダウンロードし、それを Web ベースの管理画面からインストールします。ファームウェアイメージにアクセスするには、お使いの FortiGateユニットを登録する必要があります。FortiGate ユニットのファームウェアイメージは、購入元の販売代理店から入手してください。

1 Web ベースの管理画面にログインし、ダッシュボードの [System Information] ウィジェットを表示します。 [Firmware Version]で、お使いの FortiGateユニットに現在インストールされているファームウェアバージョンを確認します。

FortiGate の CLIから以下のコマンドを入力しても、ファームウェアバージョンを確認できます。出力の最初の行に、お使いの FortiGateユニットにインストールされている FortiOSファームウェアバージョンが示されます。

get system statusVersion: Fortigate-60C v4.0,build0458,110627 (MR3 Patch 1)Virus-DB: 11.00773(2010-05-04 13:32)Extended DB: 0.00000(2010-03-16 10:31)IPS-DB: 3.00000(2011-05-18 15:09)FortiClient application signature package: 1.421(2011-09-08 10:19)Serial-Number: FGT60C3G10002814BIOS version: 04000010Log hard disk: Need formatInternal Switch mode: switchHostname: FGT60C3G10002814Operation Mode: NAT

新しいファームウェアバージョンをインストールする前に、必ずリリースノートの内容を確認してください。リ

リースノートには、そのファームウェアリリースへの推奨アップグレードパスのほか、ほかの資料には記載され

ていない追加情報が含まれています。ファームウェアのアップグレードは、必ずメンテナンス時間帯に行ってく

ださい。




Current virtual domain: rootMax number of virtual domains: 10Virtual domains status: 1 in NAT mode, 0 in TP modeVirtual domain configuration: disableFIPS-CC mode: disableCurrent HA mode: standaloneDistribution: InternationalBranch point: 458Release Version Information: MR3 Patch 1System time: Wed Sep 14 13:07:27 2011

2 代理店から入手した FortiGate ユニットのファームウェアを PC上に用意します。

3 このファームウェアバージョンのリリースノートをダウンロードして読みます。

現在実行されているファームウェアバージョンから新しいファームウェアリリースにアップグレードできな

い場合がありますので、新しいファームウェアバージョンをインストールする前に、必ずリリースノートの内

容を確認してください。

4 [System Information]ダッシュボードウィジェットから、現在の設定をバックアップします。

5 [System] > [Dashboard] > [Status]に移動します。

6 [System Information] > [Firmware Version]で [Update]を選択します。

7 PC上に保存したファームウェアのイメージファイルを指定して [OK]を選択します。

結果

FortiGateユニットは、ファームウェアのイメージファイルをアップロードし、新しいファームウェアバージョンにアップグレードします。その後、再起動して、FortiGateログインを表示します。この処理には数分かかります。

FortiGateのWebベースの管理画面から [System] > [Dashboard] > [Status]に移動します。[System Information] ウィジェットの [Firmware Version]に、アップデート後の FortiOSのバージョンが表示されます（または、CLIから get system statusを入力します）。

解決しない場合は ?ファームウェアのアップグレードがWebベースの管理画面から正しくロードされていない可能性があります。この場合、FortiGateが起動しなかったり、繰り返し再起動するかもしれません。

最もよい方法は、CLIを使用して再起動からファームウェアをフレッシュインストールすることです。この手順により、ファームウェアイメージがインストールされ、FortiGate ユニットがデフォルト設定にリセットされます。この手順を実行するときは、FortiGateのコンソールポートと RJ-45 to DB-9コネクター、または Nullモデムケーブルを使用して、CLIに接続する必要があります。

TFTPサーバーからの FortiGateファームウェアのインストール

この手順には、FortiGateユニットから接続できる TFTPサーバーが必要です。この TFTPサーバーは、管理インターフェースと同じサブネット上になければなりません。

1 RJ-45 to DB-9コネクターまたは Nullモデムケーブルを使用して CLIに接続します。

2 TFTPサーバーが実行されていることを確認し、ファームウェアのイメージファイルをその TFTPサーバーにコピーします。

3 以下のコマンドを入力して FortiGateユニットを再起動します。

execute reboot

4 FortiGateユニットから再起動を指示するメッセージが表示されたら、yと入力します。




5 FortiGate ユニットが起動するときに、一連のシステムスタートアップメッセージが表示されます。以下のメッセージが表示されたら、

Press any key to display configuration menu..........

すぐにいずれかのキーを押して、システムのスタートアップを中断します。

スタートアップ処理を中断すると、以下のようなメッセージが表示されます ( 実際のメッセージは FortiGateの BIOSバージョンによって異なります）。

[G]: Get firmware image from TFTP server.[F]: Format boot device.[B[: Boot with backup firmware and set as default[C]: Configuration and information[Q]: Quit menu and continue to boot with default firmware.[H]: Display this list of options.

Enter G, F, Q, or H:

6 TFTPサーバーから新しいファームウェアイメージを入手するには、Gと入力します。

7 指示に従って、TFTPサーバーの IPアドレスとローカルの FortiGateの IPアドレスを入力します。

8 ファームウェアのイメージファイル名を入力して Enterを押します。

TFTPサーバーからファームウェアのイメージファイルがアップロードされます。

9 デフォルトファームウェアの保存方法を尋ねるメッセージが表示されたら、Dと入力してファームウェアをデフォルトとしてロードします。

FortiGateユニットが新しいファームウェアイメージをインストールし、再起動します。

キーを押すことのできる時間は 3 秒だけです。この時間内にキーを押さないと、FortiGate ユニットが再起動し

ます。この場合は、ログインしてもう一度 execute rebootコマンドを実行する必要があります。

この IP アドレスには、FortiGate のインターフェースが接続されているネットワークで有効な任意の IP アドレ

スを使用できます。このネットワーク上にあるほかのデバイスの IPアドレスを入力しないようにしてください。

この方法でファームウェアをロードすると、既存の設定がデフォルト値にリセットされます。ダッシュボードの

[System Information]ウィジェットから、IPアドレスを再設定して設定ファイルをロードする必要があります。



FortiGuardサービスのセットアップとトラブルシューティング


課題

FortiGate ユニットが FortiGuard サービスを受信しているか確認します。また、アンチウイルスや IPS のアップデートや、Webフィルタリングや Eメールフィルタリングのルックアップが行えない場合はトラブルシュートを行います。

解決策

FortiGuard サービスを購入し、FortiGate ユニットを登録していれば、FortiGate ユニットは自動的に FortiGuardディストリビューションネットワーク（FDN）に接続され、購入した FortiGuardサービスのライセンス情報が表示されるはずです。 [License Information] ダッシュボードウィジェットをチェックして、FortiGate ユニットが FDN と通信しているか確認してください。FortiGate ユニットは自動的に FortiGuard ネットワークに接続し、その FortiGateユニットが受けている FortiGuardサービスのステータスを確認します。

購入済みのサービスの横には緑色のチェックマークが表示されます。これは正常に接続していることを表します。

グレーの Xマークは、FortiGateユニットが FortiGuardネットワークに接続できないか、FortiGateユニットが登録されていないことを表します。赤色の Xマークは、FortiGateユニットが以前は接続できていましたが、サブスクリプションが期限切れになったためアクティベートされていないことを表します。

以下の手順に従って、FortiGuardサービスのトラブルシューティングを行ってください。

1 FortiGate ユニットが登録され、FortiGuard サービスが購入されていることと、サービスの有効期限が切れていないことを確認します。

FortiGateユニットのサポートステータスは、フォーティネットのサポートWebサイト（https://support.fortinet.com/）で確認できます。

2 FortiGateユニットで FortiGuardサービスのステータスを確認します。

FortiGuardサービスのステータスは、[License Information]ダッシュボードウィジェットまたは [System] > [Config] > [FortiGuard]ページから表示できます。ここに表示されるステータス情報は、サポートサイトに表示されるステータス情報と同じはずです。

表示される情報が同じでない場合は、FortiGateユニットと FortiGuardネットワーク間の通信に問題がある可能性があります。

FortiGuardへの接続ステータスも [System] > [Config] > [FortiGuard]で確認できます。

FortiGuardNetwork



https://support.fortinet.com/


3 FortiGateユニットがインターネットと通信できることを確認します。

FortiGateユニットがインターネットと通信できていれば、FortiGateユニットは FortiGuardネットワークと通信できるはずです。

4 [Router] > [Monitor] > [Routing Monitor]（デスクトップ向け FortiGate ユニットの場合は [System] > [Network] > [Routing]）に移動し、デフォルトルートが正しく設定されており、その経路が利用できることを確認します。

5 [System] > [Network] > [DNS]に移動し、プライマリーおよびセカンダリー DNSサーバーが、ISPから提供されたとおりに正しく設定されていることを確認します。FortiGateユニットは、数値の IPアドレスではなくドメイン名を使用して FortiGuardネットワークに接続します。

インターネットに接続されている FortiGateのインターフェースが DHCPによってそれ自体の IPアドレスを取得している場合は、[Override internal DNS] が選択されていることを確認してください。これにより、 FortiGateユニットは DHCPを使用して ISPから DNSサーバーの IPアドレスを取得できます。

6 execute pingコマンドを使用して DNSサーバーに pingを実行し、FortiGateユニットが DNSサーバーに接続できることを確認します。

7 FortiGateの CLIから外部ネットワークに対し、宛先としてドメイン名を指定して tracerouteを試すこともできます。たとえば、以下のようなコマンドを入力します。

execute traceroute www.fortiguard.com

このコマンドにより、www.fortiguard.com に該当する数値の IP アドレスを見つけることができない場合、FortiGateユニットは設定された DNSサーバーに接続できていません。

8 少なくとも一つのセキュリティポリシーにアンチウイルスが含まれていることを確認します。

どのセキュリティポリシーにもアンチウイルスが含まれていない場合、アンチウイルスデータベースが更新さ

れない可能性があります。

9 FortiGateユニットが FortiGuardネットワークと通信できることを確認します。

[System] > [Config] > [FortiGuard] > [Antivirus and IPS Options]で [Update now]を選択すると、ただちにアンチウイルスおよび IPS データベースを強制的にアップデートできます。数分後に、アップデートが成功したかどうかを確認できます。

10 [System] > [Config] > [FortiGuard] > [Web Filtering and Email Filtering options]で [Test Availability]ボタンを選択して、Web フィルタリングおよび E メールフィルタリングのルックアップを利用できるかテストします。

テストに成功しなかった場合、Web フィルタリングおよび E メールフィルタリングのルックアップに使用されているポートを変更してみてください。FortiGateユニットは FortiGuardネットワークとの通信にポート 53または 8888を使用しますが、ISPによってはそのいずれかのポートがブロックされることがあります。

11 ネットワーク上または ISP のネットワーク上に、FortiGuard のトラフィックを上流でブロックしている可能性があるものがないか確認します。

多くのファイアウォールはデフォルトですべてのポートをブロックします。また、多くの ISP は番号の小さいポート（たとえば 53）をブロックします。FortiGuardはデフォルトでポート 53を使用します。このポートがブロックされている場合は、このポートを開くか、FortiGateの使用ポートを変更する必要があります。




12 FortiGuardの送信元ポートを変更します。

FortiGuardネットワークへの接続に使用されているポートがFortiGuardに達する前に変更されたり、FortiGateユニットに戻る途中で変更されたりすることがあります。この場合の一つの方法は、ポート番号が変更されな

いように、NATファイアウォールで固定ポートを使用することです。

FortiGateユニットは、通常、送信元ポートとして 1027または 1031、宛先ポートとして 53または 8888を使用して UDP パケットを送信することにより、FortiGuard ネットワークに接続します。これに対する FDN リプライパケットでは、宛先ポート 1027または 1031が使用されます。

ISPがこのポート範囲の UDPパケットをブロックしている場合、FortiGateユニットは FDNリプライパケットを受信できません。FortiGate ユニットが使用するポートとして、別の送信元ポート範囲を選択できます。ISPが番号の小さい範囲の UDPポート（1024前後）をブロックしている場合は、以下の CLIコマンドを使用して、より大きい番号のポート（たとえば2048～20000）を使用するようにFortiGateユニットを設定できます。config system global

set ip-src-port-range 2048-20000end

最適な送信元ポート範囲を選択するために、試行錯誤が必要になることもあります。ISPに問い合わせて、最適な使用ポート範囲を判断することもできます。

13 FortiGuardサーバーのリストを表示します。

CLIコマンド get webfilter statusを実行すると、FortiGateユニットが接続できる FortiGuardサーバーのリストが表示されます。このコマンドにより、一つ以上のサーバーが表示されるはずです。

get webfilter statusLocale : englishLicense : ContractExpiration : Thu Oct 9 02:00:00 2012Hostname : service.fortiguard.net-=- Server List (Wed Sep 14 14:39:46 2011) -=-

IP Weight RTT Flags TZ Packets Curr Lost Total Lost69.20.236.179 30 3 -5 30491 0 9174.137.33.92 0 91 -8 8794 0 7208.91.112.196 0 62 -8 146 0 269.20.236.180 30 4 -5 11620 0 9209.222.147.36 30 22 -5 8799 0 1166.117.56.42 30 24 -5 8792 0 966.117.56.37 30 24 -5 8793 0 1069.20.236.182 30 4 -5 11332 0 769.195.205.101 30 32 -5 8810 0 2780.85.69.37 80 85 0 8800 0 1780.85.69.41 80 85 0 8804 0 2180.85.69.40 80 88 0 8808 0 2562.209.40.72 90 109 1 8791 0 8208.91.112.194 118 128 DI -8 12713 0 3912116.58.208.39 160 276 8 8805 0 22

Hostnameは、FortiGateユニットが接続しようとする FortiGuardサーバーの名前です。このサーバーリストには、最初のエントリーにアクセスできない場合に使用される代替サーバーの IP アドレスが含まれています。この例の IPアドレスはパブリックアドレスではありません。

get webfilter statusでは、以下のフラグによってサーバーのステータスが示されます。

• D - このサーバーは、ホスト名の DNSルックアップによって見つかりました。一つのホスト名に対して複数の IP アドレスが返された場合、そのすべてに D のフラグがつけられます。また、INIT リクエストに対し、ほかのサーバーにフォールバックする前に、最初にこれらの IPアドレスが使用されます。

• I - 最後の INITリクエストが送信されたサーバーです。

• F - このサーバーはリクエストに応答していません。障害が発生していると考えられます。

• T - このサーバーは現在タイムアウトになっています。



FortiGateユニットでの管理者アカウントの設定


課題

FortiGate のすべての機能にアクセスできる super admin として、新しい FortiGate 管理者のログインを追加します。また、複数のユーザーが admin 管理者アカウントを共用するのではなく、個々の管理者を識別できるようにします。

解決策

FortiGateのすべての機能に完全にアクセスできる、super_adminプロファイルをもつ新しい管理者を作成します。

1 [System] > [Admin] > [Administrators]に移動し、[Create New]を選択して以下の管理者を追加します。


FortiGate Unit

DHCP Server

Internal Network

admin_profile

administrators

[Administrator] Terry_White

[Type] Regular

[Password] password

[Confirm Password] password

[Admin Profile] super_admin

管理者の名前とパスワードでは、大文字と小文字が区別されます。管理者の名前またはパスワードに < > ( ) # ”

文字を含めることはできません。また、スペースは使用できますが、最初の文字または最後の文字として使用す

ることはできません。名前やパスワードでスペースを使用すると、混乱をまねく可能性があります。また、ス

ペースが含まれる名前を CLIで入力するときは、引用符を使用する必要があります。




結果

ユーザー名として Terry_White、パスワードとして passwordを使用して、FortiGateにログインします。この管理者としてログインすると、Webベースの管理画面のすべてのページを表示し、FortiGateのすべての設定を変更することができます。

FortiGateのWebベースの管理画面から [Log & Report] > [Event Log] > [System]に移動し、ログインアクティビティが行われたことを確認します。

このログエントリーを選択して詳細情報を表示します。この情報には、admin ユーザーが接続したことが示されます。[Message]フィールドには、Terry_Whiteが 192.168.1.1から正常にログインしたことが示されます。

admin プロファイルによって、その管理者が Web ベースの管理画面や CLI から FortiGate の設定のどの部分を

表示したり設定したりできるかが決まります。複数のプロファイルを追加し、ユーザーや管理者が FortiGateユ

ニットで行う業務に応じて、それぞれに異なるプロファイルを割り当てることができます。




[System] > [Dashboard] > [Status] に移動し、[System Information] ウィジェットを表示します。[Current Administrator]フィールドには、ログインした管理者の数が示されます。

[Details]を選択すると、Terry_Whiteが管理者としてログインしたことが示されます。



FortiOS Cookbook


FortiGateの高度な設置とセットアップFortiGateユニットは、幅広い高度な要件に応じてさまざまな方法で導入を図ることができます。この章では、NATモードおよびトランスペアレントモードのコンフィグレーション、高可用性、VLAN、およびバーチャルドメイン（VDOM）を含む高度な設定の例について説明します。

この章には、FortiGateのパケットスニファーの使い方を説明するセクションと、diagnose debugツールの使用について説明するセクションも含まれています。

この章では、以下の高度な設置とセットアップの例を取り上げます。

• 二つの ISPへの接続によるインターネット接続の冗長化

• モデムによるインターネット接続の冗長化

• 使用率ベースの ECMPを使用して二つの冗長インターネット接続間でセッションを分散させる

• DMZネットワーク上のWebサーバーの保護

• ネットワークを変更せずに FortiGate ユニットによって E メールサーバーを保護する（トランスペアレントモード）

• ポートペアリングを使ってトランスペアレントモードをシンプルに導入

• アドレス変換のないネットワークの接続（ルートモードの FortiGateユニット）

• プライベートネットワーク上のユーザー用に Explicit Web Proxyを設定する

• プライベートネットワークから利用するユーザーがインターネットから取得するコンテンツをキャッシュす

るために、Webキャッシュを設定する

• 高可用性の導入によるネットワークの信頼性の向上

• FortiGate HAクラスターにインストールされたファームウェアのアップグレード

• バーチャル LANを使用して複数のネットワークを一つの FortiGateインターフェースに接続する

• バーチャルドメインを使用して一つの FortiGateユニットで複数の FortiOSインスタンスをホストする

• ファイアウォールアクティビティのモニタリングおよび基本的なメンテナンスを行う管理者アカウントの設

定

• FortiGateのセキュリティの強化

• 内部サイトまたはサーバーのローカル DNSサーバーリストの作成

• MACアドレスを使用した DHCPによる IPアドレスの解決

• SNMPトラップを送信するように FortiGateユニットを設定する

• パケットスニフィングによるトラブルシューティング（パケットキャプチャー）

• パケットスニフィングによる高度なトラブルシューティング（パケットキャプチャー）

• FortiGateの設定のデバッグ

• よく使用する diagnoseコマンドのクイックリファレンス


二つの ISPへの接続によるインターネット接続の冗長化


課題

FortiGateユニットを使用してインターネット接続を冗長化します。これにより、プライマリーインターネット接続で障害が起きた場合に、一部またはすべてのトラフィックが自動的にバックアップインターネット接続に切り

替わるようにします。また、プライマリーインターネット接続が復旧したときには、トラフィックが自動的にプ

ライマリーに切り替わるようにします。

解決策

ここでは、二つの異なる ISP への二つのインターネット接続を使用して、ネットワークのインターネット接続の信頼性を高める方法について説明します。この解決策では、スタティック IPを使用してプライマリー ISPを wan1に接続し、DHCPを使用してバックアップ ISPを wan2に接続します。

内部ネットワークからwan1を使用してインターネットに接続できるように、internalからwan1へのセキュリティポリシーを追加します。また、wan2を使用してインターネットに接続するために、同じように internalから wan2へのセキュリティポリシーを追加します。

Backup ISP

Primary ISP

Internal

192.168.1.99

WAN1

172.20.120.14

Gateway

172.20.120.2

WAN2

DHCP

Internal Network

192.168.1.0/255.255.255.0

wan2 インターフェースを経由するコネクション数が少なくなるようにセキュリティポリシーを少なくしてお

き、wan2 インターフェースが動作しているときに wan2 を経由するトラフィック量を減らすことができます。

トラフィックシェーピングなどの技術を使用して、wan2インターフェースで処理するトラフィック量を制限す

ることもできます。また、FortiGuardのWebフィルタリングやその他のWebフィルタリング技術を含むセキュ

リティポリシーを追加して、人気があっても重要性の低いWebサイトをブロックすることも可能です。さらに、

アプリケーションコントロールによって、wan2インターフェース経由のトラフィックで使用可能なアプリケー

ションを制限することもできます。




wan1をプライマリーインターネット接続に使うように設定する

1 FortiGateの wan1インターフェースを、プライマリーとする ISPから提供された装置に接続します。内部ネットワークを internalインターフェースに接続します。

2 内部ネットワーク上の PCから、ユーザー名として adminを使用し、パスワードなしで FortiGateのWebベースの管理画面にログインします。

3 [System] > [Network] > [Interface]に移動し、[Edit]を選択して wan1インターフェースを編集し、以下のように設定を変更します。

4 [Edit]を選択して internalインターフェースを編集し、以下のように設定を変更します。

デスクトップ向け FortiGate ユニットを使用している場合は、[System] > [Admin] > [Settings] に移動し、

[Dynamic Routing]を選択して [Apply]を選択します。


[IP/Netmask] 172.20.120.14/255.255.255.0


[IP/Netmask] 192.168.1.99/255.255.255.0

WAN1

Internal

Internal Network

Primary ISP




5 [Router] > [Static] > [Static Route]に移動し、[Create New]を選択して以下のデフォルトルートを追加します。


7 [Policy] > [Policy] > [Policy]に移動して [Create New]を選択します。

8 [Policy Type]は [Firewall]のままにし、[Policy Subtype]も [Address]のままにします。

9 以下のセキュリティポリシーを追加します。このセキュリティポリシーは、プライベートネットワーク上の

ユーザーに wan1インターフェースを通したインターネットへのアクセスを許可するものです。



wan2をバックアップインターネット接続として追加

1 wan2インターフェースを、バックアップとする ISPから提供された装置に接続します。

2 Webベースの管理画面にログインします。


4 [Addressing Mode]を [DHCP]に設定し、[Retrieve Default Gateway from server]を選択します。[Override internal DNS]のチェックボックスをオフにします。


[Device] wan1

[Gateway] 172.20.120.2


デルを使用する場合は、この手順はすでに完了しています。





[Schedule] always

[Service] ALL

[Action] ACCEPT





すべてが正しく接続されていれば、wan2インターフェースが ISPの DHCPサーバーから IPアドレスを取得するはずです。この処理には数分かかることがあります。[Status]リンクを選択することにより、表示をリフレッシュできます。最終的に [Obtained IP/Netmask] が表示されます。ISP の DHCP サーバーが DNS サーバーの IPアドレスとデフォルトゲートウェイを提供している場合は、その値も表示されます。



WAN 1

Internal

Internal Network

Primary I

SPWAN 2

Backup ISP

デフォルトルートがルーティングテーブルに追加されるように、[Retrieve Default Gateway from server]が選

択されていることを確認してください。通常はインターネット冗長化設定では、FortiGateユニットでバックアッ

プ ISPの DNSサーバーを使わせたくないため、[Override internal DNS]を選択しません。





ユーザーに wan2を通したインターネットへのアクセスを許可するものです。



wan1へのデフォルトプライマリールートの設定と wan1および wan2の pingサーバーの追加

この設定の結果、FortiGateユニットには、トラフィックを wan1 へ向かわせるものと、トラフィックを wan2へ向かわせるものの、二つのデフォルトルートができます。wan2 へのデフォルトルートは、バックアップ ISP のDHCPサーバーから取得されます。pingサーバーは、wan1および wan2インターフェースからインターネットに接続できるかどうかを確認します。

1 [Router] > [Static] > [Static Route]に移動し、[Edit]を選択して wan1のデフォルトルートを編集します。

2 [Distance]を 10に変更します。

3 [System] > [Network] > [Interface]リストに移動します。wan2インターフェースを編集して、ディスタンスを 20（または 10より大きい任意の数値）に変更します。

4 FortiGate ユニットが実際にどのデフォルトルートを使用しているかを確認するために、[Router] > [Monitor] > [Routing Monitor]に移動し、FortiGateの現在のルーティングテーブルを表示します。ルーティングモニターには、アクティブになっていないルートは表示されません。この例では、表示されるスタティックルートは、

wan1のデフォルトルートだけのはずです。また、このルートのディスタンスは 10になっているはずです。接続されているインターフェースの接続済みルートも表示されます。





[Schedule] always

[Service] ALL

[Action] ACCEPT

wan2のデフォルトルートは DHCPを使用して ISPから取得されるため、wan2のデフォルトルートのディスタ

ンスは、wan2インターフェースを編集して変更する必要があります。




5 [Router] > [Static] > [Settings]に移動し、[Create New]を選択して wan1の pingサーバーを追加します。

6 [Create New]を選択して wan2の pingサーバーを追加します。この設定では、wan2の pingサーバーはオプションです。しかし、wan2の pingサーバーを追加すると、wan2の pingサーバーが宛先に届かない場合に、FortiGateユニットでイベントログメッセージが記録されます。

結果

wan1の pingサーバーがその pingサーバーの IPアドレスに接続できる場合、前に示したように、ルーティングモニターには、wan1インターフェースへのデフォルトルートが表示されます。このとき、インターネットへのすべてのトラフィックが wan1インターフェースを使用し、internalから wan1へのセキュリティポリシーが適用されます。これは、ルーティングモニターで確認できます。あるいは [Policy] > [Policy] > [Policy]に移動し、列ヘッダーを右クリックして [Column Settings] を選択し、[Count] 列を追加することで確認できます。[Count] 列では、internalから wan1へのポリシーのカウントが増え、internalから wan2へのカウントは増えません。

ネットワークを変更して（たとえば、wan1インターフェースに接続されているケーブルを物理的に外して）、wan1の pingサーバーがその pingサーバーの IPアドレスに接続できないようにすると、デフォルトルートは wan2インターフェースに変わるはずです（デフォルトルートのフェールオーバー）。

wan2 インターフェースを編集してディスタンスを小さい値（たとえば 5）に設定すると、wan1 のデフォルト

ルートがルーティングモニターから消え、代わりに wan2 のデフォルトルートが表示されます。これは、wan2

のルートの方がディスタンスの値が小さいからです。両方のデフォルトルートのディスタンスを同じ値（たとえ

ば 10）に設定して、両方のデフォルトルートをルーティングモニターに表示させることもできます。両方のルー

トのディスタンスが同じときは、等コストマルチパス（ECMP）ルーティングと呼ばれ、両方のデフォルトルー

トが使用されます。この場合、両方のルートでセッションのロードバランスが行われます。例については、56

ページの「使用率ベースの ECMP を使用して二つの冗長インターネット接続間でセッションを分散させる」を

参照してください。

[Interface] wan1

[Ping Server] 172.20.120.2

[Detect Protocol] ICMP Ping

[Ping Interval (seconds)] 5

[Failover Threshold] 5

[Interface] wan2

[Ping Server] 10.41.101.100







以下のようなイベントログメッセージも記録されます。

2011-08-24 10:16:39 log_id=0100020001 type=event subtype=system pri=critical vd=root interface="wan1" status=down msg="Ping peer: (172.20.120.14->172.20.120.2 ping-down)"

wan2リンクがアクティブになっている状態で、内部ネットワークからインターネットに接続してみます。接続できれば、インターネット冗長化接続は正しく設定されています。internalから wan2へのセキュリティポリシーの[Count]列を表示します。カウントは増加します。これは、このポリシーがトラフィックを許可していることを示します。

wan1インターフェースの接続を復旧させると、wan1の pingサーバーにより、ネットワークトラフィックが復旧したことが検出されます。また、ルーティングテーブルが元の状態に戻り、wan1のデフォルトルートが表示されます。以降のすべての新しいセッションでは、internal から wan1 へのセキュリティポリシーが使用されます。internalから wan2へのセキュリティポリシーによって確立されたセッションでは、そのセッションが終了するまで、引き続きこのポリシーと wan2インターフェースが使用されます。しかし、すべての新しいセッションでは、internalから wan1へのセキュリティポリシーが使用されます。

フェールオーバー中に進行中だった外部向き（outgoing）のセッションとそのレスポンスは、フェールオーバー後にリスタートする必要があります。これは、あるインターフェースから外部に送信されたトラフィックに対する

レスポンスはそれとは別のインターフェースには返ってこないからです。

ECMPを使用するようにこのインターネット冗長化設定を変更する

このセクションで説明した基本的なインターネット接続冗長化シナリオは、多くのネットワークに効果がありま

す。しかし、プライマリー ISP で障害が起きて再接続するときに、さらにデフォルトルートのフェールオーバーのパフォーマンスを高め、内部向き（incoming）接続のフェールオーバー回数を減らすために、等コストマルチパス（ECMP）ルーティングを利用することもできます。

フェールオーバー前にファイアウォールVIPセキュリティポリシーがwan1インターフェースから受信した内部

向き（incoming）のセッションは、フェールオーバー後に wan2インターフェースから外部に送信される場合が

あります。サーバーで開始され、VIPセキュリティポリシーによって外部に送信される送信セッションの送信元

IPアドレスは、そのセッションをインターネットに送信するインターフェースに従って変更されます。wan1リ

ンクで障害が起こった場合、外部向き（outgoing）の VIPセッションは自動的に wan2にフェールオーバーしま

す。これらのセッションの送信元アドレスは、ファイアウォール VIPで定義されているアドレスによって決まり

ます。

内部ネットワークからWebをブラウズできれば、設定は正しく行われています。Webをブラウズできない場合

は、21ページの「NAT/ルートモードによる導入のトラブルシューティング」の手順に従って問題を突き止めて

ください。




このインターネット接続冗長化シナリオで、両方のデフォルトルートのディスタンスを同じ値に設定し、プライ

マリー ISP へのデフォルトルートのプライオリティをバックアップ ISP へのデフォルトルートのプライオリティより低い値に設定することにより、基本的な ECMP設定を行うことができます。プライオリティ値が最も低いルートが最善のルートとみなされます。以下の手順に従って、設定を変更します。

1 [Router] > [Static] > [Static Route]に移動し、[Edit]を選択して wan1のデフォルトルートを編集します。

2 [Distance]を 10に設定し、[Priority]を 5に設定します。

3 以下の CLIコマンドを入力して、wan2のデフォルトルートのディスタンスとプライオリティを編集します。

config system interfaceedit wan2

set distance 10set priority 20

end

wan1 のデフォルトルートはプライオリティ値が最も低いため、このルートが最善のルートとみなされ、プライベートネットワークからインターネットへ向かうすべてのトラフィックで wan1 インターフェースが使用されます。

多数の ECMP のシナリオを参照できます。別のシナリオについては、56ページの「使用率ベースの ECMP を使用して二つの冗長インターネット接続間でセッションを分散させる」を参照してください。

wan2のデフォルトルートは、DHCPを使用して ISPから取得されるため、wan2のデフォルトルートのプライ

オリティは、CLIで wan2インターフェースを編集することによって変更する必要があります。

wan1と wan2のデフォルトルートで異なるディスタンスを使用した場合、インターネットからきたトラフィッ

クに対するレスポンスは、デフォルトルートのディスタンスのメトリックが最も低いインターフェース（wan1）

に戻ります。インターネットから wan1 インターフェースを通して内部ネットワークへの接続を確立したユー

ザーは、wan1からインターネットへの接続で障害が起きると、その接続を失うことになります。このユーザー

は、短い中断の後に、wan2 インターフェースを通して自動的に再接続されます。その後、wan1 を通したイン

ターネット接続が復旧すると、このユーザーの接続はもう一度中断されます。これは、wan2インターフェース

でトラフィックを処理できなくなり、wan1インターフェースに再び切替える必要があるからです。

ECMP を使った場合、セッションテーブルにもとづいてルーティングが行われるため、インターネットからき

たトラフィックに対するレスポンスを両方のインターフェースで行えます。この状況でも、wan1を通したイン

ターネット接続で障害が起きた場合にユーザーが接続を失うことに変わりはありません。しかし、wan2 イン

ターフェースを通して接続を確立した後にwan1を通した接続が復旧しても引き続きwan2インターフェースを

使用できるため、中断は一回だけで済みます。



モデムによるインターネット接続の冗長化


課題

モデムを使用してバックアップインターネット接続を確立します。これにより、プライマリーインターネット接

続で問題が起こった場合に、一部またはすべてのトラフィックが自動的にバックアップモデムインターネット接続に切り替わるようにします。また、プライマリーインターネット接続が復旧したときには、トラフィックが自

動的にこの接続に切り替わるようにします。

解決策

ここでは、二つのインターネット接続を使用して、ネットワークのインターネット接続の信頼性を高める方法に

ついて説明します。プライマリーインターネット接続は wan1インターフェースへの接続です。バックアップインターネット接続は、モデムと FortiGateの modemインターフェースを使用したダイヤルアップ接続です。modemインターフェースを wan1 インターフェースの冗長インターフェースとして設定します。また、wan1 インターフェースに対して pingサーバーを追加します。pingサーバーが wan1インターフェースでインターネットに接続できないと判断すると、FortiGateユニットはモデムでダイヤルし、モデムがアクティブなインターネット接続になります。

Backup ISP

Primary ISP

Internal

192.168.1.99

WAN1

172.20.120.14

Gateway

172.20.120.2

Modem

Internal Network

192.168.1.0/255.255.255.0

modemインターフェースを経由するコネクション数が少なくなるようにセキュリティポリシーを少なくしてお

き、modem インターフェースが動作しているときに modem を経由するトラフィック量を減らすことができま

す。トラフィックシェーピングなどの技術を使用して、modemインターフェースで処理するトラフィック量を

制限することもできます。また、FortiGuardのWebフィルタリングやその他のWebフィルタリング技術を含む

セキュリティポリシーを追加して、人気があっても重要性の低い Web サイトをブロックすることも可能です。

さらに、アプリケーションコントロールによって、modemインターフェース経由のトラフィックで使用可能な

アプリケーションを制限することもできます。




wan1を使用するようにプライマリーインターネット接続を設定する

1 FortiGateの wan1インターフェースを、プライマリーとする ISPから提供された装置に接続します。内部ネットワークを internalインターフェースに接続します。

2 内部ネットワーク上の PCから、ユーザー名として adminを使用し、パスワードなしで FortiGateのWebベースの管理画面にログインします。






[IP/Netmask] 172.20.120.14/255.255.255.0


[IP/Netmask] 192.168.1.99/255.255.255.0

WAN1

Internal

Internal Network

Primary ISP





6 [Router] > [Static] > [Settings]に移動し、[Create New]を選択して以下の pingサーバーを追加します。




10 以下のセキュリティポリシーを追加します。このセキュリティポリシーは、プライベートネットワーク上のユーザーに wan1インターフェースからインターネットへのアクセスを許可するものです。




[Device] wan1

[Gateway] 172.20.120.2

[Interface] wan1

[Ping Server] 172.20.120.2








[Schedule] always

[Service] ALL

[Action] ACCEPT




modemインターフェースをバックアップインターネット接続として設定する

modemインターフェースは、CLIで有効にするまでWebベースの管理画面に表示されません。modemインターフェースを有効にするには、以下の CLIコマンドを入力します。

config system modemset status enable

end

[System] > [Network] > [Modem]でモデムの設定ページを確認するには、いったん FortiGateからログアウトしてログインしなおす必要があります。

modemインターフェースは、FortiGateユニットが NATモードで設定されている場合にのみ使用できます。

USBモデムを USBポートに接続するか、ExpressCardモデムを FortiGateユニットの ExpressCardスロットに差し込みます。外部モデムを接続した後に FortiGateユニットの再起動が必要になる場合があります。

1 [System] > [Network] > [Modem]に移動します。

2 以下のモデム設定を行います。

[Primary Modem] External Modem

[Mode] Redundant

[Redundant for] wan1

[Dial Mode] Dial on demand

[Idle Timeout] 5分

[Redial Limit] None

WAN1

Internal

Internal Network

Primary ISPModem

Interface

Modem

Backup ISP




3 [External Modem]で以下の設定を行います。

4 [Apply]を選択します。




ユーザーに modemインターフェースからインターネットへのアクセスを許可するものです。



この設定では、wan1インターフェースが切断された場合に、モデムが自動的にダイヤルアップして ISPに接続しようとします。接続が確立されると、modemインターフェースは ISPと PPPoEにより接続され、modemインターフェースを指すデフォルトルートがルーティングテーブルに追加されます。これにより、インター

ネットに向かうすべてのトラフィックは、internal から modem へのセキュリティポリシーで許可されれば、

modemインターフェースを使用するようになります。

結果

wan1インターフェースケーブルを物理的に外して、デフォルトルートのフェールオーバーをテストします。モデムがダイヤルアップし、接続が確立されると、ルーティングモニターにモデムのデフォルトルートが表示されま

す。インターネットに接続して、接続が機能していることと、トラフィックが internalから modemへのセキュリティポリシーで許可されていることを確認します。

[Phone Number] 555 555 1212

[User Name] ISP_user

[Password] Passw0rd



[Outgoing Interface] modem


[Schedule] always

[Service] ALL

[Action] ACCEPT




モデムでダイヤルアップした状態で、インターネットに接続できない場合は、21ページの「NAT/ルートモード

による導入のトラブルシューティング」の手順に従って問題を突き止めてください。



使用率ベースの ECMPを使用して二つの冗長インターネット接続間でセッションを分散させる


課題

組織では、信頼性を確保するために二つの ISP を使用しています。これらの二つのインターネット接続を効率的に利用するために、どちらの接続もオーバーロードしないように両方の接続にセッションを分散させます。

解決策

スピルオーバー（使用率ベースとも言う）等コストマルチパス（ECMP）ルーティングルートを使用します。一方のインターネット接続のトラフィックが定義されたレベルに達すると、以降のセッションはもう一方の接続に移

されます。

1 [Router] > [Static] > [Static Route]に移動し、[Create New]を選択して wan1インターフェースのデフォルトルートを追加します。

Backup ISP

Primary ISP

Internal

192.168.1.99

WAN1

172.20.120.14

Gateway

172.20.120.2

WAN2

172.30.120.10

Gateway

172.30.120.2

Internal Network

192.168.1.0/255.255.255.0




[Device] wan1

[Gateway] 172.20.120.2

[Distance] 10




[OK]を選択し、[Create New]を選択します。

2 wan2インターフェースのデフォルトルートを作成します。

3 [Router] > [Static] > [Settings]に移動し、[ECMP Load Balance Method]として [Spillover]を選択します。

4 [Dead Gateway Detection]で [Create New]を選択し、wan1インターフェースの Dead Gateway検知を追加します。

5 [OK]を選択して [Create New]を選択し、wan2インターフェースの Dead Gateway検知を追加します。


7 インターフェーステーブルで [wan1]をダブルクリックし、[Spillover Threshold]に 10000kbits/sと入力し、 [Edit]を選択します。


[Device] wan2

[Gateway] 172.30.120.2

[Distance] 10

ECMPが機能するためには、両方のデフォルトルートの [Distance]と [Priority]が同じでなければなりません。

[Interface] wan1

[Ping Server] 172.20.120.2


[Ping Interval] 5


[Interface] wan2

[Ping Server] 172.30.120.2


[Ping Interval] 5





8 インターフェーステーブルで [wan2]をダブルクリックし、[Spillover Threshold]に 20000kbits/sと入力し、 [Edit]を選択します。

結果

内部ネットワークからインターネットへのほとんどのセッションでは、wan1インターフェースが使用されるはずです。wan1インターフェースのトラフィックがスピルオーバー閾値に達すると、新しいセッションは wan2インターフェースを使用して開始されます。その後、wan1インターフェースの使用率がスピルオーバー閾値を下回ると、新しいセッションでは再び wan1インターフェースが使用されるはずです。

使用率ベースの ECMP ルーティングでは、ルートがインターフェース間で均等に分散されるわけではないため、実際にはロードバランスは行われません。スピルオーバー閾値を 10000kbits（10Mbps）に設定しましたが、これは、wan1インターフェースの使用率が 10Mbpsに達したときに、新しいセッションが wan2インターフェースに移されるということです。トラフィック量が低い期間は、wan1ですべてのセッションが処理されます。

実際のトラフィックパターンを深く理解すれば、スピルオーバー閾値を調整することによって、複数の ISP 間でどのようにセッションを分散させるかを変更できます。[Traffic History] ダッシュボードウィジェットで、wan1 および wan2インターフェースの帯域幅利用統計を表示できます。

また、以下の CLI コマンドを使用すると、あるインターフェースがスピルオーバー閾値を超えているかどうか確認できます。

diagnose netlink dstmac list

以下のような出力が得られます。

dev=wan2 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0 overspill-threshold=0 bytes=0 over_bps=0 sampler_rate=0

dev=wan1 mac=00:00:00:00:00:00 rx_tcp_mss=0 tx_tcp_mss=0 overspill-threshold=0 bytes=0 over_bps=0 sampler_rate=0

この出力の over_bps=1は、このインターフェースが閾値を超えていることを示します。また、over_bps=0は、インターフェースが閾値を超えていないことを示します。

デフォルトのスピルオーバー閾値は 0です。この設定では帯域幅が制限されないため、両方のインターフェース

にスピルオーバー閾値を追加する必要があります。一方のインターフェースのスピルオーバー閾値を 0 にする

と、このインターフェースですべてのセッションが処理されます。

スピルオーバー閾値では、厳密にはインターフェースで処理される帯域幅が制限されません。これは、新しい

セッションの宛先 IP アドレスがすでにルーティングキャッシュに入っている場合、キャッシュされたルートが

使用されるからです。つまり、wan1がその帯域幅制限を超えても、新しいセッションの宛先アドレスがすでに

ルーティングキャッシュにあれば、引き続き wan1でそのセッションを送信できます。



DMZネットワーク上のWebサーバーの保護


課題

Web サーバーは、セキュアな状態に保ち、インターネットおよび内部のプライベートネットワークから利用できるようにする必要があります。

解決策

この解決策では、以下の方法によって、Webサーバーへのアクセスを保護しながら、このWebサーバーへのアクセスを提供します。

• 内部ネットワークから隔離された DMZ（非武装地帯）ネットワークに Web サーバーを設置し、DMZ ネットワーク上でインターネットおよび内部ネットワークに対してWebサーバーを公開します。

• DMZネットワークを FortiGateのインターフェース（DMZまたはその他の使用可能なインターフェース）に接続します。

• UTM 保護を含む宛先 NAT（DNAT）セキュリティポリシーを作成し、このポリシーによりインターネット上のユーザーにWebサーバーへのアクセスを許可します。

• 内部ネットワーク上のユーザーにルートモードのセキュリティポリシーを作成して、Web サーバーへのアクセスを許可します。

Private internal network192.168.1.0/255.255.255.0

User Address range192.168.1.100 to

192.168.1.150

DMZ network10.10.10.0/255.255.255.0

Web ServerDMZ network address

10.10.10.123

Web ServerInternet address172.20.120.123

internal

192.168.1.99

wan1

172.20.120.14

Default route

172.20.120.2

dmz10.10.10.10




FortiGateユニットへのネットワークの接続と IPの設定

1 DMZ ネットワークを FortiGate の DMZ インターフェースに接続し、内部ネットワークを internal インターフェースに接続します。また、インターネットを wan1インターフェース（または使用可能な任意のインターフェース）に接続します。

2 [System] > [Network] > [Interface]に移動します。

3 [Edit]を選択して dmzインターフェースを編集します。

4 [Edit]を選択して internalインターフェースを編集します。

5 [Edit]を選択して wan1インターフェースを編集します。

6 [Router] > [Static] > [Static Route]に移動し、[Edit]を選択してデフォルトルートを編集します。

7 デスクトップ向け FortiGateユニットの場合は、[System] > [Network] > [Routing]に移動します。

複数のネットワークが FortiGateユニットに接続された環境では、インターフェース、またはそのインターフェー

スに接続されたネットワークの機能について説明するインターフェースのエイリアスを追加したい場合もあり

ます。エイリアスは簡単に追加できます。[System] > [Network] > [Interface] に移動し、インターフェースを

編集して [Alias]フィールドに説明テキストを追加します。Webベースの管理画面の多くの場所では、エイリア

スがインターフェース名と一緒に表示されます。

[Alias] DMZ server network


[IP/Netmask] 10.10.10.10/255.255.255.0

[Alias] Private internal network


[IP/Netmask] 192.168.1.99/255.255.255.0

[Alias] Internet


[IP/Netmask] 172.20.120.14/255.255.255.0


[Device] wan1(Internet)

[Gateway] 172.20.120.2





9 Webサーバーの IPネットワーク設定を設定します。

インターネットからWebサーバーへのセッションを許可する DNATセキュリティポリシーの作成

DNAT（ポートフォワーディング）を設定するには、Webサーバーのインターネットアドレス（172.20.120.123）を DMZ ネットワーク上の実際の IP アドレス（10.10.10.123）にマッピングするファイアウォールバーチャル IP（VIP）を作成します。次に、セキュリティポリシーにこの VIPを追加して、インターネット上のユーザーがWebサーバーのインターネットアドレス（この例では 172.20.120.123）をブラウズし、FortiGate ユニットを通してDMZネットワーク上のWebサーバーに接続できるようにします。

1 [Firewall Objects] > [Virtual IP] > [Virtual IP]に移動して [Create New]を選択します。

2 以下の情報を入力します。



[IP address] 10.10.10.123

[Netmask] 255.255.255.0


[DNS Server] 使用可能な DNSサーバーの IPアドレス

Webサーバーのデフォルトゲートウェイが正しく設定されていないと、そのWebサーバーからのレスポンスパ

ケットが DMZインターフェースに届かず、Webサーバーがレスポンスしていないように見えます。

[Name] Web-server-DNAT

[External Interface] wan1(Internet)

[Type] Static NAT

[External IP Address/Range]

172.20.120.123

[Mapped IP Address/Range] 10.10.10.123




5 [Policy Type]は[Firewall]のままにし、[Policy Subtype]も[Address]のままにして、以下の情報を入力します。

6 [UTM Security Profiles]セクションで、[AntiVirus]、[Application Control]、および [IPS]を選択します。


内部ネットワーク上のユーザーに DMZネットワーク上のWebサーバーへの接続を許可するルートモードのセキュリティポリシーの作成

ルートモードのポリシーを使用すると、内部ネットワーク上のユーザーは、実際の DMZ IP アドレスを使用して（http://10.10.10.123または https://10.10.10.123をブラウズして）Webサーバーに接続することができます。内部ネットワーク上のユーザーはWebサーバーの本当のアドレスを知っているため、このアクセスを許可するセキュリティポリシーで NATを有効にする必要はありません。

1 [Firewall Objects] > [Address] > [Address]に移動し、[Create New]を選択して、内部ネットワーク上のユーザーアドレス範囲のファイアウォールアドレスを追加します。


3 [Create New]を選択して、DMZネットワーク上のWebサーバーのファイアウォールアドレスを追加します。

[Incoming Interface] wan1(Internet)


[Outgoing Interface] dmz(DMZ server network)

[Destination Address] Web-server-DNAT

[Schedule] always

[Service] HTTP and HTPS

[Action] ACCEPT

[Name] Internal-user-addresses

[Type] Subnet

[Subnet / IP Range] 192.168.1.100 -192.168.1.150（192.168.1.[100-150]と入力することも可能）

[Interface] Internal (Private internal network)

[Name] DMZ-web-server-address

[Type] Subnet

[Subnet / IP Range] 10.10.10.123/255.255.255.255

[Interface] dmz (DMZ server network)






6 内部ネットワーク上のユーザーに DMZ ネットワークへの接続を許可するセキュリティポリシーを追加しま

す。

7 [UTM Security Profiles]セクションで、[AntiVirus]、[Application Control]、および [IPS]を選択します。


内部ネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーの追加


2 [Policy Type]は[Firewall]のままにし、[Policy Subtype]も[Address]のままにして、以下の情報を入力します。

[Incoming Interface] Internal (Private internal network)

[Source Address] Internal-user-addresses

[Outgoing Interface] dmz (DMZ server network)

[Destination Address] DMZ-web-server-address

[Schedule] always

[Service] HTTP and HTTPS

[Action] ACCEPT

このポリシーに対して [Enable NAT] を選択して、送信元 NAT を有効にすることもできます。しかし、送信元

NATを有効にすると、内部ネットワークからWebサーバーへ接続するすべてのパケットの送信元アドレスが同

じになります（DMZインターフェースの IPアドレス）。[Enable NAT]を選択しない場合、内部ネットワークか

らのセッションの実際の送信元アドレスにもとづいてWebサーバーの利用統計を記録できます。

[Incoming Interface] Internal (Private internal network)

[Source Address] Internal-user-addresses

[Outgoing Interface] wan1 (Internet)


[Schedule] always

[Service] ALL

[Action] ACCEPT




3 [UTM Security Profiles]セクションで、[AntiVirus]および [Application Control]を選択します。


結果

内部ネットワークおよびインターネットからWebサーバーにアクセスして、設定をテストします。

内部ネットワークからWebサーバーへの接続のテスト

内部ネットワークからWebサーバーの実際の IPアドレス（http://10.10.10.123または https://10.10.10.123）をブラウズします。正常に接続できるはずです。この通信では、internal から dmz へのポリシーが使用されます。[Policy] > [Monitor] > [Policy Monitor] に移動し、internal から dmz へのポリシー（この例ではポリシー 3）によって許可されたセッションを表示します。ほかのポリシーのセッションも表示されることがあります。

ドリルダウンして、このポリシーによって許可されたセッションの詳細を表示します。すべてが HTTP（ポート80）セッションまたは HTTPS（ポート 443）セッションのどちらかのはずです。また、送信元アドレスは内部ネットワーク上のアドレス、宛先アドレスはWebサーバーの実際のアドレス（10.10.10.123）になっているはずです。アドレス変換は実行されていないため、NATの列はブランクになります。

FortiGateのパケットスニファーでも同様のセッション情報を表示できます。以下のスニファーの出力には、IPアドレスが 192.168.1.110の PCとWebサーバー（IPアドレスは 10.10.10.123）との間の HTTPトラフィック（ポート 80）が示されています。PCと internalインターフェース間、および dmzインターフェースとWebサーバー間の HTTP セッションを確認できます。送信元アドレスと宛先アドレス、送信元ポートと宛先ポートは変換されていません。

以下のいずれかのテストに失敗した場合、FortiGateの設定をもう一度チェックしてください。また、Webサー

バーに設定されたデフォルトルートが正しいことも確認してください。このことは内部ネットワークからの接続

においてとても重要です。これらのセキュリティポリシーでは送信元 NATが実行されないため、Webサーバー

は戻りパケットを正しく送信するために正しいデフォルトルートを必要とします。21 ページの「NAT/ ルート

モードによる導入のトラブルシューティング」の手順を試すこともできます。




diagnose sniffer packet any 'port 80' 4 10interfaces=[any]filters=[port 80]5.360359 internal in 192.168.1.110.4359 -> 10.10.10.123.80: syn 2514178891 5.361982 internal out 10.10.10.123.80 -> 192.168.1.110.4359: syn 656842736 ack 2514178892 5.362165 internal in 192.168.1.110.4359 -> 10.10.10.123.80: ack 656842737 5.362463 internal in 192.168.1.110.4359 -> 10.10.10.123.80: psh 2514178892 ack 656842737 5.366684 internal out 10.10.10.123.80 -> 192.168.1.110.4359: ack 2514179678 5.370189 dmz out 192.168.1.110.4359 -> 10.10.10.123.80: syn 1168283220 5.370411 dmz in 10.10.10.123.80 -> 192.168.1.110.4359: syn 1433097504 ack 1168283221 5.370606 dmz out 192.168.1.110.4359 -> 10.10.10.123.80: ack 1433097505 5.375160 dmz out 192.168.1.110.4359 -> 10.10.10.123.80: psh 1168283221 ack 1433097505 5.375417 dmz in 10.10.10.123.80 -> 192.168.1.110.4359: ack 1168284007

以下の FortiGateスニファーの出力には、IPアドレス 192.168.1.110とWebサーバー（IPアドレスは 10.10.10.123）との間の HTTPSトラフィック（ポート 443）が示されています。PCと internalインターフェース間、および dmzインターフェースとWebサーバー間の HTTPSセッションを確認できます。送信元アドレスと宛先アドレス、送信元ポートと宛先ポートは変換されていません。

diagnose sniffer packet any 'port 443' 4 10interfaces=[any]filters=[port 443]5.124564 internal in 192.168.1.110.4366 -> 10.10.10.123.443: syn 3141078769 5.128308 dmz out 192.168.1.110.4366 -> 10.10.10.123.443: syn 3141078769 5.128538 dmz in 10.10.10.123.443 -> 192.168.1.110.4366: syn 2403170564 ack 3141078770 5.130991 internal out 10.10.10.123.443 -> 192.168.1.110.4366: syn 2403170564 ack 3141078770 5.131151 internal in 192.168.1.110.4366 -> 10.10.10.123.443: ack 2403170565 5.131414 dmz out 192.168.1.110.4366 -> 10.10.10.123.443: ack 2403170565 5.131702 internal in 192.168.1.110.4366 -> 10.10.10.123.443: psh 3141078770 ack 2403170565 5.138192 dmz out 192.168.1.110.4366 -> 10.10.10.123.443: psh 3141078770 ack 2403170565 5.138361 dmz in 10.10.10.123.443 -> 192.168.1.110.4366: ack 3141078914 5.138632 internal out 10.10.10.123.443 -> 192.168.1.110.4366: ack 3141078914

以下の snifferコマンドを使用しても同様の結果が得られます。

diagnose sniffer packet any 'host 192.168.1.110 or 10.10.10.123' 4 10

インターネットからWebサーバーへの接続のテスト

インターネット上の任意の場所（または 172.20.120.0 ネットワーク上の任意の場所）から Web サーバーのインターネット IPアドレス（http://172.20.120.123または https://172.20.120.123）をブラウズします。正常に接続できるはずです。この通信では、wan1 から dmz へのポリシーが使用されます。[Policy] > [Monitor] > [Policy Monitor]に移動し、セキュリティポリシーによって許可されたセッションを表示します。ポリシーモニターには、internalから dmzへのポリシーによって許可されたセッションが表示されるはずです。




ドリルダウンして、このポリシーによって許可されたセッションの詳細を表示します。すべてが HTTP（ポート80）セッションまたは HTTPS（ポート 443）セッションのどちらかのはずです。また、送信元アドレスはインターネット（または 172.20.120.0ネットワーク）上のアドレス、宛先アドレスはWebサーバーのインターネットアドレス（172.20.120.123）になっているはずです。wan1 から DMZ へのポリシーでは、受信したパケットに対して DNATが実行され、パケットの宛先 IPアドレスが 172.20.120.123から 10.10.10.123に変換されます。宛先NATが実行されている場合、宛先 NAT IPアドレスが [Src NAT IP]列に表示されます。宛先ポートは変換されないため、[Src NAT Port]列と [Dst Port]列にはどちらもポート 80が表示されます。

パケットスニファーでも同様の情報を表示できます。以下のスニファーの出力には、172.20.120.12 から172.20.120.123への HTTPトラフィック（宛先ポート 80）が示されています。wan1インターフェースで受信したすべてのパケットの送信元アドレスは 172.20.120.12、宛先アドレスは 172.20.120.123 です。dmz インターフェースから出ていくすべてのパケットの送信元アドレスは 172.20.120.12、宛先アドレスは 10.10.10.123です。

diagnose sniffer packet any 'port 80' 4 10interfaces=[any]filters=[port 80]5.384633 wan1 in 172.20.120.12.59485 -> 172.20.120.123.80: syn 3310195461 5.390855 wan1 out 172.20.120.123.80 -> 172.20.120.12.59485: syn 1257313456 ack 3310195462 5.392429 wan1 in 172.20.120.12.59485 -> 172.20.120.123.80: ack 1257313457 5.392970 wan1 in 172.20.120.12.59485 -> 172.20.120.123.80: psh 3310195462 ack 1257313457 5.402474 wan1 out 172.20.120.123.80 -> 172.20.120.12.59485: ack 3310196396 5.404772 dmz out 172.20.120.12.59485 -> 10.10.10.123.80: syn 3794602648 5.405014 dmz in 10.10.10.123.80 -> 172.20.120.12.59485: syn 4209798675 ack 3794602649 5.405236 dmz out 172.20.120.12.59485 -> 10.10.10.123.80: ack 4209798676 5.406434 dmz out 172.20.120.12.59485 -> 10.10.10.123.80: psh 3794602649 ack 4209798676 5.406689 dmz in 10.10.10.123.80 -> 172.20.120.12.59485: ack 3794603583

以下のスニファーの出力には、172.20.120.12から 172.20.120.123への HTTPSトラフィック（宛先ポート 443）が示されています。PCと wan1インターフェース間、および dmzインターフェースとWebサーバー間の HTTPSセッションを確認できます。送信元アドレスと宛先アドレス、送信元ポートと宛先ポートは変換されていません。

diagnose sniffer packet any 'port 443' 4 10interfaces=[any]filters=[port 443]4.557201 wan1 in 172.20.120.12.59666 -> 172.20.120.123.443: syn 2276259104 4.561331 dmz out 172.20.120.12.59666 -> 10.10.10.123.443: syn 2276259104 4.561577 dmz in 10.10.10.123.443 -> 172.20.120.12.59666: syn 3539944843 ack 2276259105 4.562214 wan1 out 172.20.120.123.443 -> 172.20.120.12.59666: syn 3539944843 ack 2276259105 4.562974 wan1 in 172.20.120.12.59666 -> 172.20.120.123.443: ack 3539944844 4.563323 dmz out 172.20.120.12.59666 -> 10.10.10.123.443: ack 3539944844 4.563540 wan1 in 172.20.120.12.59666 -> 172.20.120.123.443: psh 2276259105 ack 3539944844 4.570165 dmz out 172.20.120.12.59666 -> 10.10.10.123.443: psh 2276259105 ack 3539944844 4.570270 dmz in 10.10.10.123.443 -> 172.20.120.12.59666: ack 2276259473 4.570566 wan1 out 172.20.120.123.443 -> 172.20.120.12.59666: ack 2276259473

以下の snifferコマンドを使用しても同様の結果が得られます。

diagnose sniffer packet any 'host 172.20.120.12 or 172.20.120.123' 4 10



ネットワークを変更せずに FortiGateユニットによって Eメールサーバーを保護する（トランスペアレントモード）


課題

サーバーを変更することなく、またネットワークを変更することなく、E メールサーバーをウイルスのない状態に保つ必要があります。たとえば、Eメールサーバーにウイルススキャンソフトウェアをインストールしたり、Eメールサーバーの IPアドレスを変更したり、またはネットワークのアドレッシングを変更したりすることはできません。

解決策

E メールサーバーとネットワークとの間に FortiGate ユニットをトランスペアレントモードで設置します。FortiGate ユニットを、ネットワークから E メールサーバーへのセッションを許可するように設定します。また、これらのセッションにアンチウイルス保護を適用して、ウイルスが Eメールサーバーに届かないようにします。

内部ネットワーク上のユーザーは、Eメールサーバーに接続し、IMAP、IMAPS、POP3、POP3S、または HTTPS（Web メールの場合）を使用して各自のメールを取得し、SMTP または SMTPS を使用して外部向き（outgoing）の E メールを送信します。E メールサーバーは、SMTP または SMTPS を使用してインターネットに接続して外部向き（outgoing）の Eメールを送信し、SMTPまたは SMTPSを使用してインターネットから内部向き（incoming）の Eメールを受信します。

FortiGate Unitin Transparent

mode

Security policies

allow traffic

between network

segments

Management IP

10.31.101.40

F tiG t U

w seg

MMMMaaannnaaagggeeemmmmmeeeennnttttt IIIIIPPPPP

10.31.101.40

Router

ProtectedEmail Server

10.31.101.200

wan1

internal

10.31.101.100User Network

10.31.101.0/255.255.255.0

User Address Range

10.31.101.[1-30]




トランスペアレントモードへの切り替えと IP設定

1 PCを FortiGateの internalインターフェースに接続します。

2 FortiGateユニットと PCの電源を入れます。

3 FortiGateのWebベースの管理画面に接続します。


ユーザー名として adminを使用し、パスワードなしでログインします。

4 [System] > [Dashboard] > [Status] > [System Information] に移動し、[Operation Mode] の横にある [Change]を選択して以下のように設定します。





8 [Administrative Access]で [HTTPS]および [SSH]を選択し、[OK]を選択します。


セキュリティポリシーの設定

1 [Firewall Objects] > [Address] > [Address]に移動し、[Create New]を選択して以下のファイアウォールアドレスを追加します。

Eメールサーバー :




[Name] Email_Server_Address

[Type] Subnet/IP Range

[Subnet/IP Range] 10.31.101.200/255.255.255.255

[Interface] internal




ユーザーネットワーク :



4 ユーザーネットワークに IMAP、IMAPS、POP3、POP3S、SMTP、SMTPS、および HTTPSによる Eメールサーバーへのアクセスを許可するセキュリティポリシーを追加します。

5 [UTM Security Profiles]セクションで [AntiVirus]を選択します。

6 [OK]を選択し、[Create New]を選択します。


8 Eメールサーバーに SMTPおよび SMTPSによるインターネットへの外部向き（outgoing）Eメールの送信を許可するセキュリティポリシーを追加します。

[Name] Email_User_Network

[Type] IP Range

[Subnet/IP Range] 10.31.101.1～ 10.31.101.30

[Interface] wan1

[Incoming Interface] wan1

[Source Address] Email_User_Network

[Outgoing Interface] internal

[Destination Address] Email_Server_Address

[Schedule] Always

[Service] IMAP、IMAPS、POP3、POP3S、SMTP、SMTPS、HTTPS

[Action] ACCEPT


[Source Address] Email_Server_Address







12 Eメールサーバーに SMTPおよび SMTPSによるインターネットからの内部向き（incoming）Eメールの受信を許可するセキュリティポリシーを追加します。




[Outgoing Interface/Zone] wan1


[Schedule] Always

[Service] SMTP、SMTPS

[Action] ACCEPT




[Destination Address] Email_Server_Address

[Schedule] Always

[Service] SMTP、SMTPS

[Action] ACCEPT




16 Eメールサーバーに任意の DNSサーバーへの接続を許可するセキュリティポリシーを追加します。


18 Eメールサーバーとユーザーネットワークとの間に FortiGateユニットを接続します。

wan1 インターフェースを、ユーザーネットワークに接続されたスイッチに接続します。internal インターフェースを Eメールサーバーに接続します。

結果

FortiGateユニットを Eメールサーバーとユーザーネットワークの間に設置した後も、Eメールサーバーの機能は変更されないはずです。このことを確認するために、ネットワーク上のユーザーが通常使用しているすべての Eメールプロトコルを使用して、ユーザーネットワークから Eメールサーバーにアクセスしてください。

Eメールサービスをテストするときは、Webベースの管理画面で [Policy] > [Monitor] > [Policy Monitor]に移動して、FortiGateのセキュリティポリシーのアクティビティを確認できます。ポリシーモニターには、各ポリシーのセッションが示された棒グラフが表示されます。この棒グラフには、ポリシー IDのラベルがついています。

FortiGateユニットに追加されたセキュリティポリシーがほかにない状態から、ここで説明した順序で手順を実行した場合、FortiGateのセキュリティポリシーは四つになります。

いずれかの Eメールプロトコル（POP3、IMAP、または HTTPS）でユーザーネットワークから Eメールサーバーに接続すると、セッションはポリシー 1によって許可され、ポリシーモニターの表示は以下のようになります。


[Source Address] Email_Server_Address



[Schedule] Always

[Service] DNS

[Action] ACCEPT




ポリシーモニターには、ポリシー 1 で許可されたセッションが示されます。棒グラフを選択して、そのセッションの情報を表示できます。たとえば、ポリシー 1 で許可されたセッションで使用された送信元アドレスと宛先アドレス、およびすべてのアクティブなセッションのリストを表示できます。SMTPを使用して外部向き（outgoing）の Eメールをサーバーに送信した場合、ポリシーモニターの表示は以下のようになります。

ポリシーモニターには、三つのポリシーで許可されたセッションが示されます。ポリシー 1 のグラフをドリルダウンすると、ユーザーネットワーク上のアドレスと Eメールサーバーとの間で行われた SMTPセッションと、場合によっては POP3 および HTTPS セッションが表示されます。ポリシー 2 のグラフをドリルダウンすると、Eメールサーバーが外部向き（outgoing）の E メールを送信することによって確立された、E メールサーバーとインターネットアドレスとの間の SMTP セッションが表示されます。ポリシー 4 のグラフをドリルダウンすると、Eメールサーバーと DNSサーバーとの間で行われた DNSセッションが表示されます。

E メールメッセージにウイルステスト用ファイルを添付して、ウイルススキャンをテストできます。EICAR テストファイルは http://www.eicar.orgから入手できます。



http://www.eicar.org


[Log and Archive Statistics]ダッシュボードウィジェットに、捕捉されたウイルスの情報が表示されます。この情報には、ウイルスが検出された日時、ウイルスが捕捉されたセッションの送信元アドレスと宛先アドレス、サー

ビスなどが含まれます。

最後に、Eメールからファイルが削除され、以下のようなメッセージに差し替えられます。

Dangerous Attachment has been Removed. The file "eicar.com" has been removed because of a virus. It was infected with the "EICAR_TEST_FILE" virus. File quarantined as: ""."http://www.fortinet.com/ve?vid=2172"

このメッセージは、[System] > [Config] > [Replacement Message] > [UTM] > [Virus Block Message]に移動

してカスタマイズできます。デフォルトメッセージには、ファイルが隔離されたことが示されます。隔離を設定

していない場合は、メッセージからこの部分を削除できます。

Eメールを送受信できれば、設定は正しく行われています。Eメールを送受信できない場合は、27ページの「ト

ランスペアレントモードによる導入のトラブルシューティング」の手順に従って問題を突き止めてください。



ポートペアリングを使ってトランスペアレントモードをシンプルに導入


課題

トランスペアレントモードで動作する FortiGateユニットの設定を単純にします。

解決策

トランスペアレントモードでポートペアリングを有効にすることにより、FortiGateの一つのインターフェースで許可されたすべてのトラフィックがFortiGateのそれとは別のインターフェースからのみ出られるようにすることができます。これらのインターフェース間のセキュリティポリシーはすでに設定されているため、この方法でト

ラフィックを制限すると、FortiGateの設定が単純になります。この場合、物理的な設定を行ってからポートペアを追加するだけで済みます。これにより、ペアの一方のインターフェースでセッションを許可するためのセキュ

リティポリシーを新たに作成すると、もう一方のインターフェースも自動的にそのセキュリティポリシーに追加

されます。

トランスペアレントモードへの切り替えと IP設定

1 FortiGateのWebベースの管理画面に接続します。


2 ユーザー名として adminを使用し、パスワードなしでログインします。

FortiGate Unitin Transparent

mode

Internal to wan1

port pair

Management IP

10.31.101.40

F tiG t

rnaport p

MMMMMaaannnaaaagggeeemmmmeeeennnnttttt IIIIIPPPPP

10.31.101.40

Router

ProtectedWeb Server

10.31.101.210

wan1

internal

10.31.101.100User network

10.31.101.0/255.255.255.0

User Adress Range

10.31.101.[1-30]




3 [System] > [Dashboard] > [Status] > [System Information] に移動し、[Operation Mode] の横にある [Change]を選択して以下のように設定します。





internalと wan1のポートペアの作成とファイアウォールアドレスおよびセキュリティポリシーの追加

1 [System] > [Network] > [Interface]に移動します。

2 [Create New]ボタンの下向き矢印を選択して [Port Pair]を選択します。

3 以下のポートペアを設定します。


5 [Firewall Objects] > [Address] > [Address]に移動して [Create New]を選択し、以下のファイアウォールアドレスを追加します。

Webサーバー :




[Name] internal-wan1-port-pair

[Selected Members]internal

wan1

ポートペアへのインターフェースの追加は、そのインターフェースにほかの設定オブジェクトが追加されていな

い場合にのみ行えます。たとえば、あるインターフェースにセキュリティポリシーまたはファイアウォールアド

レスが設定されていると、そのインターフェースをポートペアに追加することはできません。

[Name] Web-Server-Address

[Type] Subnet

[Subnet/IP Range] 10.31.101.210/255.255.255.255

[Interface] any




ユーザーネットワーク :



8 ユーザーネットワークにHTTPおよびHTTPSによるEメールサーバーへのアクセスを許可するセキュリティポリシーを追加します。




12 任意のサービスを使用して Webサーバーからユーザーネットワークおよびインターネットに接続することを許可するセキュリティポリシーを追加します。

[Name] Web-Server-User-Network

[Type] IP Range

[Subnet/IP Range] 10.31.101.[1-30]

[Interface] any


[Source Address] Web-Server-User-Network


[Destination Address] Web-Server-Address

[Schedule] Always

[Service] HTTP、HTTPS

[Action] ACCEPT


[Source Address] Web-Server-Address




13 [UTM Security Policies]セクションで、[AntiVirus]および [Application Control]を選択します。


15 Webサーバーを FortiGateの wan1インターフェースに接続し、ユーザーネットワークを FortiGateの internalインターフェースに接続します。

結果

内部ネットワークから Web サーバーに接続します。[Policy] > [Policy] > [Policy]に移動し、internalから wan1 へのポリシーのカウントが増えていることを確認します（テーブルに [Count] 列が表示されていない場合は、列ヘッダーを右クリックして [Count] 列を追加します）。これは、このポリシーがユーザーネットワークから Webサーバーへのトラフィックを許可していることを示します。[Policy] > [Monitor] > [Policy Monitor]に移動し、ドリルダウンして、internalから wan1へのポリシーで許可されたセッションの詳細情報を確認します。



[Schedule] Always

[Service] ALL

[Action] ACCEPT

Webサーバに接続できた場合、およびWebサーバーからインターネットに接続できた場合は、設定が正しく行

われています。接続できない場合は、27ページの「トランスペアレントモードによる導入のトラブルシューティ

ング」の手順に従って問題を突き止めてください。



アドレス変換のないネットワークの接続（ルートモードの FortiGateユニット）

アドレス変換のないネットワークの接続（ルートモードのFortiGateユニット）

課題

二つのサブネット間でやり取りされるトラフィックをコントロールし、このトラフィックに UTM機能を適用します。また、ネットワーク間で何が起こっているかを可視化します（サブネット間でアドレス変換は行いません）。

解決策

サブネット間に FortiGateユニットを NAT/ルートモードで設置します。また、ネットワーク間でアドレス変換を実行しないでセッションを確立することを許可するセキュリティポリシーを作成します。

FortiGateユニットへのネットワークの接続と IP設定

1 DMZ ネットワークを FortiGate の DMZ インターフェースに接続し、内部ネットワークを internal インターフェースに接続します。また、インターネットを wan1インターフェース（または使用可能な任意のインターフェース）に接続します。

2 [System] > [Network] > [Interface]に移動し、[Edit]を選択して dmz、internal、および wan1の各インターフェースを設定します。

dmzインターフェース :

DMZ network10.10.10.0/255.255.255.0

internal

192.168.1.99

wan1

172.20.120.14

Default route

172.20.120.2

dmz10.10.10.10

Private internal Network

192.168.1.0/255.255.255.0

[Name] dmz


[IP/Netmask] 10.10.10.10/255.255.255.0




internalインターフェース :

wan1インターフェース :

3 [Router] > [Static] > [Static Route]に移動し、[Edit]を選択してデフォルトルートを編集します。

デスクトップ向け FortiGateユニットの場合は、[System] > [Network] > [Routing]に移動します。


[Name] internal


[IP/Netmask] 192.168.1.99/255.255.255.0

[Name] wan1


[IP/Netmask] 172.20.120.14/255.255.255.0


[Device] wan1(Internet)

[Gateway] 172.20.120.2

Internal NetworkDMZ Network

DMZ

wan1

internal




5 内部ネットワーク上のコンピューターについて以下の IPネットワーク設定を行います。

6 DMZネットワーク上のコンピューターについて IPネットワーク設定に従って IPを設定します。

内部ネットワークと DMZネットワーク間の接続を許可するルートモードのセキュリティポリシーの作成

1 [Firewall Objects] > [Address] > [Address]に移動し、[Create New]を選択して、内部ネットワークのファイアウォールアドレスを追加します。

2 [Create New]を選択して、DMZネットワークのファイアウォールアドレスを追加します。

[IP address] 192.168.1.x

[Netmask] 255.255.255.0


[DNS Servers] 使用可能な DNSサーバーの IPアドレス

[IP address] 10.10.10.x

[Netmask] 255.255.255.0


[DNS Servers] 使用可能な DNSサーバーの IPアドレス

両方のネットワーク上のデバイスのデフォルトルートが正しくないと、そのレスポンスパケットが送信元ネット

ワークに戻りません。

[Name] Internal-network

[Type] IP Range

[Subnet / IP Range] 192.168.1.1 -192.168.1.255

[Interface] Internal

[Name] DMZ-network

[Type] IP Range

[Subnet / IP Range] 10.10.10.1 -10.10.10.255

[Interface] dmz






5 内部ネットワーク上のユーザーに DMZ ネットワークへの接続を許可するセキュリティポリシーを追加しま

す。




9 DMZネットワーク上のユーザーに内部ネットワークへの接続を許可するセキュリティポリシーを追加します。


[Incoming Interface] Internal

[Source Address] Internal-network

[Outgoing Interface] dmz

[Destination Address] DMZ-network

[Schedule] Always

[Service] ALL

[Action] ACCEPT

[Incoming Interface] dmz

[Source Address] DMZ-network


[Destination Address] Internal-network

[Schedule] Always

[Service] ALL

[Action] ACCEPT




11 [OK]を選択してセキュリティポリシーを保存します。

結果

一方のネットワークからもう一方のネットワークに接続して、設定をテストします。たとえば、DMZネットワークから、内部ネットワーク上のあるアドレスに pingを実行します。FortiGateのスニファーを使用すると、一方のネットワークからもう一方のネットワークに移動する pingパケットと、NATを実行せずに戻ってくるレスポンスを表示できます。以下の例では、10.10.10.20のデバイスから 192.168.1.120に pingを実行しています。

diagnose sniffer packet any 'icmp' 4 8interfaces=[any]filters=[icmp]6.916578 dmz in 10.10.10.20 -> 192.168.1.120: icmp: echo request6.916794 internal out 10.10.10.20 -> 192.168.1.120: icmp: echo request6.917459 internal in 192.168.1.120 -> 10.10.10.20: icmp: echo reply6.917595 dmz out 192.168.1.120 -> 10.10.10.20: icmp: echo reply7.918637 dmz in 10.10.10.20 -> 192.168.1.120: icmp: echo request7.918723 internal out 10.10.10.20 -> 192.168.1.120: icmp: echo request7.919303 internal in 192.168.1.120 -> 10.10.10.20: icmp: echo reply7.919391 dmz out 192.168.1.120 -> 10.13.10.20: icmp: echo reply

ポリシーを作成するときに、[Enable NAT]を選択して送信元 NATを有効にすることもできます。しかし、送信

元 NAT を有効にすると、別のネットワークに接続しているネットワークから送信されるすべてのパケットの送

信元アドレスが、そのネットワークに接続されている FortiGateユニットのインターフェースと同じになります。

いずれかの接続に失敗した場合は、FortiGate の設定を見直し、各ネットワーク上のデバイスのデフォルトルー

トが正しいことを確認してください。21 ページの「NAT/ ルートモードによる導入のトラブルシューティング」

の手順を試すこともできます。



プライベートネットワーク上のユーザー用に Explicit Web Proxyを設定する


課題

プライベートネットワーク上のユーザーが、ポート 80 でインターネットに直接接続する代わりに、ポート 8080で Explicit Web Proxyに接続するようにします。

解決策

以下の手順に従って、FortiGate の internal インターフェースで Explicit Web Proxy を有効にし、ポート 8080 で HTTPトラフィックを許可するように Explicit Web Proxyを設定します。

Explicit Web Proxyの有効化

1 [System] > [Dashboard] > [Status]に移動し、[Enable Explicit Web Proxy]を選択して、HTTPおよびHTTPS トラフィックの Explicit Web Proxyを有効にします。

2 [System] > [Network] > [Interface]に移動し、[Edit]を選択して internalインターフェースを編集します。

3 [Enable Explicit Web Proxy]を選択します。

Explicitweb proxy

Private Internal

Network

internal192.168.1.99

インターネットに接続されたインターフェースで Explicit Web Proxyを有効にすると、セキュリティリスクが生

じます。これは、このプロキシを見つけたインターネット上の誰もがそれを利用して送信元アドレスを隠すこと

ができるからです。このようなインターフェースでプロキシを有効にする場合は、そのプロキシを使用するため

に認証を要求するようにしてください。




Web Proxyにトラフィックの受け入れを許可するWeb Proxyセキュリティポリシーの追加



3 Explicit Web Proxyセキュリティポリシーを追加します。

4 要件に応じて、ほかのセキュリティポリシーオプションを選択することもできます。

たとえば、UTM 保護を Web Proxy セッションに適用し、許可された Web Proxy トラフィックをログに記録することができます。


プライベートネットワーク上のWebブラウザの設定

プライベートネットワーク上のWebブラウザを、プロキシサーバーを使用してネットワークに接続するように設定します。HTTPプロキシサーバーの IPアドレスは 192.168.1.99（FortiGateの internalインターフェースの IPアドレス）、ポートは 8080（デフォルトの Explicit Web Proxyポート）です。

結果

プロキシサーバーを使用するように設定されたWebブラウザは、インターネットに接続できます。プライベートネットワークからインターネットへの接続で、HTTP トラフィックを許可するポリシーがそのほかになければ、ユーザーはインターネットに接続するために必ず Explicit Proxyを使用する必要があります。

Explicit Web Proxy セキュリティポリシーに認証を追加して、インターネットへの接続前に認証を受けるようにユーザーに要求することもできます。

[Incoming Interface] web-proxy

[Source Address] Internal_subnet



[Schedule] always

[Service] webproxy

[Action] ACCEPT



プライベートネットワークから利用するユーザーがインターネットから取得するコンテンツをキャッシュするために、Webキャッシュを設定する


課題

プライベートネットワークから利用するユーザーのWebトラフィックをキャッシュして、利用しているWAN回線のインターネットのトラフィックを削減します。

解決策

この設定では、FortiGateユニットに、インターネットに接続するすべてのセッションを許可する一つのセキュリティポリシーが設定されており、プライベートネットワーク上のすべてのユーザーは、このセキュリティポリシー

を通してインターネットにアクセスします。このセキュリティポリシーにWebキャッシュを追加します。

この例では、TCP ポート 80 および 8080 で HTTP トラフィックを検出するプロトコルオプションプロファイルを追加して、ポート 80および 8080で HTTPトラフィックをキャッシュするようにセキュリティポリシーを設定する方法も説明します。

セキュリティポリシーへのWebキャッシュの追加

1 [Policy] > [Policy] > [Policy]に移動し、既存のセキュリティポリシーを編集します。

2 [Enable Web cache]を選択します。


ポート 80および 8080での HTTPトラフィックのキャッシュ

1 [WAN Opt.& Cache] > [WAN Opt.Profile] > [Profile]に移動し、[Edit]を選択して defaultプロファイルを編集します。

FortiGate

Web Cache

Private Internal

Network




2 プロトコルオプションプロファイルとして [HTTP]を選択し、ポート 80および 8080で HTTPトラフィックが検出されるようにします。


結果

FortiGate Webキャッシュは、セキュリティポリシーで許可されたすべての HTTPトラフィックをインターセプトし、インターネットからコンテンツをダウンロードする代わりにキャッシュされたコンテンツを提供します。

[WAN Opt.& Cache] > [Monitor] > [Cache Monitor] に移動して、過去 10 分、1 時間、1 日、または 1 か月のキャッシュ結果をWebキャッシュモニターで確認することもできます。

[Port] 80、8080



高可用性の導入によるネットワークの信頼性の向上


課題

高可用性（HA）ソリューションを使って、インターネットゲートウェイの信頼性を高めます。

解決策

二台の FortiGate ユニットを設定して FortiGate HA クラスターを形成します。クラスターで、内部ネットワーク上のユーザーにインターネットへのアクセスを許可する基本設定を行います。

クラスター化する FortiGateは同一のモデル・ジェネレーションでなければなりません。また、以下の条件も満たす必要があります。

• ハードディスク設定が同じであること

• 同じ AMCまたは FMCカードが同じスロットに取り付けられていること

• FortiGateユニットにスイッチインターフェースがある場合は、インターフェース /ハブ /スイッチモードが同じであること

• ソフトスイッチ設定が同じであること

また、以下のことも確認してください。

• FortiGateのどのインターフェースにも DHCPまたは PPPoEアドレッシングが設定されていないこと

• 両方の FortiGateユニットの FortiOSが同じビルドであること

• 両方の FortiGateユニットが同じ動作モード（NATまたはトランスペアレント）に設定されていること

• 両方の FortiGateユニットが同じ VDOMモードに設定されていること

FortiGateCluster

External

Router

Switch

Switch

internal

wan1

wan1

internal

dmz

dmz

wan2

wan2

Swi

SPrivate internal Network

192.168.1.0/255.255.255.0




HAの設定

1 一台目の FortiGateユニットの電源を入れ、Webベースの管理画面にログインします。

2 [System Information]ダッシュボードウィジェットで、[Host Name]の横にある [Change]を選択します。

3 [New Name]に新しいホスト名を入力して [OK]を選択します。

ホスト名を変更すると、クラスターが動作しているときに、それぞれのクラスターユニットを簡単に識別でき

るようになります。

4 [System] > [Config] > [HA]に移動し、以下の設定を変更して HAモードを有効にします。

5 dmzおよび wan2を [Heartbeat Interfaces]として設定し、[Priority]で両方のインターフェースのプライオリティを 50に設定します。


7 FortiGateユニットの電源を切ります。

[Mode] Active-Passive

[Device Priority] 128

[Group Name] My-Cluster

[Password] HAPassw0RD

FortiGateのインターフェースがDHCPまたは PPPoEを使用して IPアドレスを取得するように設定されている

と、FortiGateユニットはクラスターを形成できません。[OK]を選択した後に FortiGateユニットがスタンドア

ローンモードに戻ってしまった場合は、FortiGate のインターフェースをチェックし、要件に応じてすべてのイ

ンターフェースのアドレッシングモードを [Manual]に変更してください。

二つ以上のハートビートインターフェースを設定して接続するのがベストプラクティスです。ハートビート通信

が中断すると、クラスターはスプリットブレイン設定と呼ばれる状態になります。この場合、両方のクラスター

ユニットがスタンドアローンの FortiGate ユニットであるかのように動作しますが、両方のユニットのネット

ワーク設定は同じため、サービスが中断されます。この問題は、ハートビートリンクを二重化することで防ぐこ

とができます。

FortiGate ユニットがネゴシエーションを行って HA クラスターを形成します。[OK] を選択すると、一時的に

FortiGateユニットとの接続が失われる場合があります。これは、HAによって FortiGateのインターフェースの

MAC アドレスが変更されるためです。PC の ARP テーブル上で学習済みの FortiGate の MAC アドレスエント

リーを削除 (または ARPテーブルのすべてのエントリーを削除 )することですぐに再接続可能になります。PC

でARPエントリーを削除するには、コマンドプロンプトからarp -dコマンドを利用するなどの方法があります。




8 二台目の FortiGateユニットで上記の手順を繰り返して、HAで動作するように設定します。

9 FortiGateユニットを相互に接続してクラスターを形成し、クラスターをネットワークに接続します。

• 各クラスターユニットの wan1インターフェースを、インターネットに接続されたスイッチに接続します。

• 各クラスターユニットの internal インターフェースを、内部ネットワークに接続されたスイッチに接続します。

• クロスオーバーケーブルまたは標準のイーサネットケーブルを使用して、クラスターユニットの dmzインターフェースを相互に接続します。

• クロスオーバーケーブルまたは標準のイーサネットケーブルを使用して、クラスターユニットの wan2 インターフェースを相互に接続します。

10 FortiGateユニットの電源を入れます。

両方のユニットが起動すると、これらのユニットはネゴシエーションを行ってプライマリーユニットを選択

し、クラスターを形成します。このネゴシエーションはユーザーが介入することなく行われ、通常は数秒で完

了します。

クラスターの基本設定

これで、一台の FortiGateユニットであるかのように動作するクラスターを設定できるようになりました。HAでは、すべてのクラスターユニットで設定が同期されます。これには、アドレッシングの設定、動作モード（NATまたはトランスペアレント）、複数VDOMモードの有効化/無効化、セキュリティポリシーの追加などが含まれます。

1 内部ネットワーク上の PCから FortiGateのWebベースの管理画面に接続します。


ユーザー名として adminを使用し、パスワードなしでログインします。



オプションで、一方の FortiGateユニットの [Device Priority]をもう一方のユニットより高く設定して、そのユ

ニットが常にプライマリーユニットになるように設定することができます。

FortiGate ユニットでネゴシエーションが行われるようにするには、これらのユニットの少なくとも一つのハー

トビートインターフェースが相互に接続されている必要があります。


[IP/Netmask] 172.20.120.14/255.255.255.0


[IP/Netmask] 192.168.1.99/255.255.255.0





デスクトップ向け FortiGateユニットの場合は、[System] > [Network] > [Routing]に移動して [Create New] を選択します。





ユーザーにインターネットへのアクセスを許可するものです。




[Device] wan1

[Gateway] 172.20.120.2


デルを使用する場合は、この手順はすでに完了しています。そのため、FortiGate ユニットを接続して内部ネッ

トワーク上のコンピューターを設定するとすぐに、コンピューターからインターネットにアクセスできるように

なるはずです。





[Schedule] always

[Service] ALL

[Action] ACCEPT




結果

FortiGateの標準のNAT/ルートモード設定と同様に、内部ネットワーク上のユーザーはインター

ネットに接続できるはずです。ダッシュボードの

[System Information]ウィジェットで、HAのステータスを確認してください。

クラスターを初めて起動したときに、以下の操作

を実行して、クラスターが正常に動作しているこ

とを確認してください。

1 クラスターに継続的に ping を実行するように ping を設定します。次に、大容量のダウンロードを開始するか、ほかの方法でクラス

ターを継続的に通り抜けるトラフィックを

確立します。

2 トラフィックがクラスターを通り抜けてい

る最中に、どちらかのクラスターユニットの電源を切ります。

トラフィックは、最小限の中断で引き続き流れるはずです。

3 電源を切ったクラスターユニットを起動します。

このユニットは、トラフィックにほとんどまたはまったく影響を与えることなくクラスターに再び参加する

はずです。

4 どちらかの HAハートビートインターフェースのケーブルを外します。

クラスターは、もう一方の HAハートビートインターフェースを使用して機能し続けるはずです。

5 Webベースの管理画面にログインし、ダッシュボードから、[System Information]ウィジェットに両方のクラスターユニットが表示されることを確認します。

6 [Unit Operation] グラフィックに、正しいクラスターユニットインターフェースが接続されていることが示されることを確認します。

7 [System] > [Config] > [HA]に移動し、すべてのクラスターユニットがクラスターメンバーリストに表示されることを確認します。

8 このクラスターメンバーリストから、プライマリーユニット（マスター）を編集し、クラスター設定が期待どおりになることを確認します。

9 [System] > [Config] > [HA] > [View HA Statistics] に移動し、クラスターと、クラスターによって処理されているトラフィックに関する情報を表示します。



FortiGate HAクラスターにインストールされたファームウェアのアップグレード


課題

フォーティネットから新しいバージョンの FortiOSがリリースされました。FortiGate HAクラスターでどのファームウェアバージョンが実行されているかを確認し、最新バージョンにアップグレードする方法を学びます。

解決策

HAクラスターで実行されている FortiOSファームウェアは、スタンドアローンの FortiGateユニットで実行されているファームウェアをアップグレードするときと同じ方法でアップグレードできます。ファームウェアの通常

のアップグレードでは、クラスターにより、プライマリーユニットとそのすべての従属ユニットがアップグレー

ドされます。これにより、これらのユニットで新しいファームウェアイメージが実行されるようになります。

ファームウェアのアップグレード中に、クラスターを通して行われる通信が中断されることはありません。

Webベースの管理画面または CLIから、現在のファームウェアバージョンを表示します。フォーティネットのカスタマーサポート Web サイトから新しいバージョンの FortiOS をダウンロードし、それを Web ベースの管理画面からインストールします。

クラスターでは、新しいメジャーリリースへのクラスターファームウェアのアップグレード（たとえば 4.0 MRx

から 5.0 MRx へのアップグレード）がサポートされます。リリースノートに記載されているアップグレードパ

スに従ってください。その場合も、現在の設定をバックアップしてください。ファームウェアのアップグレード

は、必ずメンテナンス時間帯に行ってください。




FortiGateユニットのファームウェアイメージは、購入元の販売代理店から入手してください。

1 Web ベースの管理画面にログインし、ダッシュボードの [System Information] ウィジェットを表示します。 [Firmware Version]で、お使いの FortiGateユニットに現在インストールされているファームウェアバージョンを確認します。

FortiGate の CLIから以下のコマンドを入力しても、ファームウェアバージョンを確認できます。出力の最初の行に、お使いの FortiGateユニットにインストールされている FortiOSファームウェアバージョンが示されます。

get system statusVersion: Fortigate-5001B v4.0,build0458,110627 (MR3 Patch 1)Virus-DB: 11.00679(2010-04-09 13:44)Extended DB: 1.00234(2010-04-09 16:38)Extreme DB: 1.00234(2010-04-09 16:37)IPS-DB: 3.00000(2011-05-18 15:09)FortiClient application signature package: 1.421(2011-09-14 20:27)Serial-Number: FG-5KB3E10700037BIOS version: 04000004Log hard disk: AvailableHostname: FG-5KB3E10700037Operation Mode: NATCurrent virtual domain: rootMax number of virtual domains: 10Virtual domains status: 1 in NAT mode, 0 in TP modeVirtual domain configuration: disableFIPS-CC mode: disableCurrent HA mode: a-p, masterDistribution: InternationalBranch point: 458Release Version Information: MR3 Patch 1FortiOS x86-64: YesSystem time: Wed Sep 14 20:53:41 2011

2 代理店から入手した FortiGateユニットのファームウェアを PC上に用意します。

3 このファームウェアバージョンのリリースノートをダウンロードして読みます。

現在実行されているファームウェアバージョンから新しいファームウェアリリースにアップグレードできな

い場合がありますので、新しいファームウェアバージョンをインストールする前に、必ずリリースノートの内

容を確認してください。

4 [System Information]ダッシュボードウィジェットから、現在の設定をバックアップします。

5 [System] > [Dashboard] > [Status]に移動します。

6 [System Information] > [Firmware Version]で [Update]を選択します。

7 PC 上に保存したファームウェアのイメージファイルを見つけて [OK] を選択し、FortiGate ユニットにそのファームウェアビルドをアップロードしてインストールします。

必ず、ファームウェアのアップグレード前に設定をバックアップしてください。




結果

ファームウェアのアップグレード中にクラスターを通して行われる通信が中断されないようにするために、クラ

スターでは一連の手順が実行されます。つまり、最初に従属ユニットで実行されているファームウェアをアップ

グレードし、次に従属ユニットの一つをプライマリーユニットにします。最後に、元のプライマリーユニットの

ファームウェアをアップグレードします。これらの手順は、ユーザーやネットワークに対してトランスペアレン

トに実行されます。しかし、HA設定によっては、結果的にクラスターで新しいプライマリーユニットが選択されることがあります。

FortiGateのWebベースの管理画面から [System] > [Dashboard] > [Status]に移動します。[System Information] ウィジェットの [Firmware Version]に、アップデート後の FortiOSのバージョンが表示されます（または、CLIから get system statusを入力します）。

ファームウェアのアップグレードが Webベースの管理画面から正しくロードされないことがあります。この場

合、クラスター内の一部の FortiGateユニットが起動しないか、繰り返し再起動します。

最もよい方法は、CLIを使用して再起動からファームウェアをフレッシュインストールすることです。この手順

により、ファームウェアイメージがインストールされ、各 FortiGateユニットがデフォルト設定にリセットされ

ます。詳細については、31ページの「TFTPサーバーからの FortiGateファームウェアのインストール」を参照

してください。



バーチャル LANを使用して複数のネットワークを一つの FortiGateインターフェースに接続する

バーチャル LANを使用して複数のネットワークを一つのFortiGateインターフェースに接続する

課題

VLANを使用して三つの内部ネットワークを FortiGateの internalインターフェースに接続することにより、三つのネットワークを分離された状態に保ちます。

解決策

この解決策では、VLANを使用して三つのネットワークを FortiGateの internalインターフェースに接続します。

• 各ネットワークから送信されるパケットは、VLANスイッチを経由して FortiGateユニットに届きます。VLANスイッチでは、各ネットワークから送信されるパケットにそれぞれ異なる VLANタグがつけられます。

• FortiGateユニットで VLANを処理するために、各ネットワークの internalインターフェースに VLANインターフェースを追加します。

• 各 VLANインターフェースに DHCPサーバーを追加します。

• 各ネットワークにインターネットへのアクセスを許可するセキュリティポリシーを作成します。

この解決策では、三つのネットワークから送信されるパケットにタグをつけるように VLAN スイッチが設定されていることを前提にしています。


VLANSwitch

FortiGattee UUUUnit

internal

Engineering network

192.168.10.0

VLAN ID 10

wan 1

inte

Marketing Network

192.168.20.0

VLAN ID 20

Sales Network

192.168.30.0

VLAN ID 30




VLANインターフェースの追加

1 [System] > [Network] > [Interface] に移動し、[Create New] を選択してエンジニアリングネットワークの VLANインターフェースを追加します。

2 [Create New]を選択して、マーケティングネットワークの VLANインターフェースを追加します。

3 [Create New]を選択して、営業ネットワークの VLANインターフェースを追加します。

[Name] Engineering-net

[Type] VLAN


[VLAN ID] 10


[IP/Network Mask] 192.168.10.1

[Name] Marketing-net

[Type] VLAN


[VLAN ID] 20



[Name] Sales-net

[Type] VLAN


[VLAN ID] 30






各 VLANインターフェースに DHCPサーバーを追加

1 [System] > [Network] > [DHCP Server]に移動し、[Create New]を選択してマーケティングネットワークの DHCPサーバーを追加します。

2 [OK]を選択し、[Create New]を選択してエンジニアリングネットワークの DHCPサーバーを追加します。

3 [OK]を選択し、[Create New]を選択して営業ネットワークの DHCPサーバーを追加します。

[Interface Name] Marketing-net

[Mode] Server

[Type] Regular

[IP] 192.168.10.100 - 192.168.10.200

[Network Mask] 255.255.255.0


[DNS Service] Use System DNS Setting

[Interface Name] Engineering-net

[Mode] Server

[Type] Regular

[IP] 192.168.20.100 - 192.168.20.200

[Network Mask] 255.255.255.0



[Interface Name] Sales-net

[Mode] Server

[Type] Regular

[IP] 192.168.30.100 - 192.168.30.200

[Network Mask] 255.255.255.0







5 ネットワーク上のコンピューターを、DHCPによってそれぞれのアドレスを取得するように設定します。

6 手動の IP設定に設定されたコンピューターについて、デフォルトルートが正しい FortiGateの VLANインターフェースを指していることを確認します。

各ネットワークにインターネットへのアクセスを許可するセキュリティポリシーの追加



3 エンジニアリングネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーを

追加します。



6 マーケティングネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーを追

加します。

[Incoming Interface] Engineering-net




[Schedule] Always

[Service] ALL

[Action] ACCEPT

[Incoming Interface] Marketing-net




[Schedule] Always

[Service] ALL

[Action] ACCEPT






9 営業ネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーを追加します。


結果

どのネットワークのユーザーもインターネットに接続できるはずです。[Policy] > [Monitor] > [Policy Monitor]に移動し、FortiGateユニットを通したセッションの情報を表示します。

[Incoming Interface] Sales-net




[Schedule] Always

[Service] ALL

[Action] ACCEPT

ネットワーク上のユーザーがインターネットに接続できない場合は、FortiGate の設定を見直してください。21

ページの「NAT/ルートモードによる導入のトラブルシューティング」の手順を試すこともできます。



バーチャルドメインを使用して一つの FortiGateユニットで複数の FortiOSインスタンスをホストする


課題

一つの FortiGateユニットで、二つのプライベートネットワークにインターネット接続とセキュリティを提供します。

解決策

バーチャルドメイン (VDOM)を使用すると、FortiGateユニットを二つ以上の FortiOSインスタンスに分割し、それぞれのインスタンスが独立した二つの FortiGate ユニットであるかのように機能させることができます。各VDOMは、それぞれ独立した物理インターフェース、ルーティング設定、およびセキュリティポリシーを持ちます。

この例では、企業 Aと企業 Bにインターネットサービスを提供する ISPをシミュレートします。各企業には、それぞれのインターネット IPアドレスと内部ネットワークがあります。この設定には、以下のものが必要になります。

• 二つの VDOM: それぞれ NAT/ ルートモードで動作する VDOM-A および VDOM-B。各 VDOM は二つのインターフェースを持ち、一方のインターフェースはインターネットに接続するため、もう一方は内部ネットワー

クに接続するために使用されます。

• この例で使用するルーティング設定は、各 VDOMからインターネットゲートウェイルーターへのデフォルトのスタティックルートのみを必要とする単純なものになっています。

FortiGate Unitwith two Virtual

Domains

GatewayRouter

172.20.120.2

Company A192.168.10.0

Company B192.168.20.0

port1

172.20.120.10

port3

172.20.120.20

port2192.168.10.1

port4192.168.20.1

VDOM-A

VDOM-B




VDOM-Aと VDOM-Bの作成

複数の VDOMを管理するモードを有効にして VDOM-Aと VDOM-Bを作成します。また、インターフェースを設定し、そのインターフェースをそれぞれの VDOMに追加します。

1 FortiGateのWebベースの管理画面に接続し、ダッシュボードの[System Information]ウィジェットで [Virtual Domain]の横にある [Enable]を選択します。

デスクトップ向け FortiGateユニットの場合は、CLIで以下のように VDOMを有効にします。config system global

set vdom-admin enableend

2 [Global] > [VDOM] > [VDOM]に移動し、[Create New]を選択して、以下の設定を持つ二つの VDOMを作成します。

企業 A用 :

企業 B用 :

3 [Global] > [Network] > [Interface]に移動し、[Edit]を選択して port1を以下のように編集し、このポートを VDOM-Aに追加します。

[Edit]を選択して port2を以下のように編集し、このポートを VDOM-Aに追加します。

[Name] VDOM-A

[Enable] Select

[Operation Mode] NAT

[Name] VDOM-B

[Enable] Select

[Operation Mode] NAT

[Virtual Domain] VDOM-A

[Addressing Mode] Manual

[IP/Network Mask] 172.20.120.10/255.255.255.0



[IP/Network Mask] 192.168.10.1/255.255.255.0

[Administrative Access] HTTPS、PING、SSH




[Edit]を選択して port3を以下のように編集し、このポートを VDOM-Bに追加します。

[Edit]を選択して port4を以下のように編集し、このポートを VDOM-Bに追加します。

4 [Global] > [Admin] > [Administrators]に移動し、[Create New]を選択して VDOM-Aの管理者を追加します。

5 [Global] > [Admin] > [Administrators]に移動し、[Create New]を選択して VDOM-Bの管理者を追加します。

[Virtual Domain] VDOM-B


[IP/Network Mask] 172.20.120.20/255.255.255.0



[IP/Network Mask] 192.168.20.1/255.255.255.0

[Administrative Access] HTTPS、PING、SSH

[Administrator] a-admin

[Type] Regular

[Password] passw0rda

[Confirm Password] passw0rda

[Admin Profile] prof_admin


[Administrator] b-admin

[Type] Regular

[Password] passw0rdb

[Confirm Password] passw0rdb

[Admin Profile] prof_admin





VDOM-Aの基本設定の作成

デフォルトルート、DHCP サーバー、およびセキュリティポリシーを追加します。このセキュリティポリシーでは、企業 A のユーザーに、FortiGate ユニットからそれぞれの IP 設定を取得してインターネットに接続することを許可します。

1 [Virtual Domains]に移動して [VDOM-A]を選択します。

2 [Router] > [Static] > [Static Route]に移動し、[Create New]を選択して VDOM_Aのデフォルトルートを追加します。

3 デスクトップ向け FortiGateユニットの場合は、[System] > [Network] > [Routing]に移動して [Create New] を選択します。

4 [System] > [Network] > [DHCP Server]に移動して [Create New]を選択します。

5 ネットワークの要件に応じて、[DNS Service]を設定します。


7 PCを port2インターフェースに接続し、DHCPを使用して IPアドレスを取得するように設定します。

8 https://192.168.10.1 をブラウズし、[Name] に a-admin、 [Password] に passw0rda を入力して、VDOM-A にログインします。




[Device] port1

[Gateway] 172.20.120.2

[Interface Name] port2

[Mode] Server

[Type] Regular

[IP] 192.168.10.100-192.168.10.200

[Network Mask] 255.255.255.0





11 企業 A の内部ネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーを作成します。



14 PCからインターネットに接続して、設定をテストします。

15 企業 Aのネットワーク上のコンピューターを、DHCPを使用してそれぞれの IP設定を自動的に取得するように設定します。

VDOM-Bの基本設定の作成

デフォルトルート、DHCP サーバー、およびセキュリティポリシーを追加します。このセキュリティポリシーでは、企業 B のユーザーに、FortiGate ユニットからそれぞれの IP 設定を取得してインターネットに接続することを許可します。

1 admin管理者（またはsuper_adminプロファイルを持つ管理者）としてFortiGateユニットにログインします。

2 [Virtual Domains]に移動して [VDOM-B]を選択します。

3 [Router] > [Static] > [Static Route]に移動し、[Create New]を選択して VDOM_Bのデフォルトルートを追加します。

4 デスクトップ向け FortiGateユニットの場合は、[System] > [Network] > [Routing]に移動して [Create New] を選択します。

[Incoming Interface] port2


[Outgoing Interface] port1


[Schedule] always

[Service] ALL

[Action] ACCEPT

インターネットに接続できるはずです。接続できない場合は、設定をチェックするか、21ページの「NAT/ルー

トモードによる導入のトラブルシューティング」の手順に従って問題を突き止めてください。


[Device] port3

[Gateway] 172.20.120.2




5 [System] > [Network] > [DHCP Server]に移動し、[Create New]を選択して DHCPサーバーを追加します。

6 ネットワークの要件に応じて、[DNS Service]を設定します。


8 PCを port4インターフェースに接続し、DHCPを使用して自動的に IPアドレスを取得するように設定します。

9 https://192.168.20.1をブラウズし、[Name]に b-admin、[Password]に passw0rdbを入力して、VDOM-Bにログインします。



12 企業 B の内部ネットワーク上のユーザーにインターネットへの接続を許可するセキュリティポリシーを作成します。



[Interface Name] port4

[Mode] Server

[Type] Regular

[IP] 192.168.20.100-192.168.20.200

[Network Mask] 255.255.255.0


[Incoming Interface] port4


[Outgoing Interface] port3


[Schedule] always

[Service] ALL

[Action] ACCEPT




15 PCからインターネットに接続して、設定をテストします。

16 企業 Bのネットワーク上のコンピューターを、DHCPを使用してそれぞれの IP設定を自動的に取得するように設定します。

結果

企業Aおよび企業Bのネットワークからインターネットに接続します。いずれかのVDOMで [Policy] > [Monitor] > [Policy Monitor] に移動し、追加したポリシーによってトラフィックが個々の VDOM を通り抜けていることを確認します。

パケットスニファーを使用すると、トラフィックがそれぞれの VDOM内で閉じられていて、独立して処理されていることを確認できます。たとえば、FortiGateの CLIから以下のコマンドを入力し、どちらかの内部ネットワークからインターネット上のあるアドレスに pingを実行します。

diagnose sniffer packet any 'icmp' 4 10interfaces=[any]filters=[icmp]10.728968 port4 in 192.168.20.100 -> 66.171.121.34: icmp: echo request10.729158 port3 out 172.20.120.20 -> 66.171.121.34: icmp: echo request10.821152 port3 in 66.171.121.34 -> 172.20.120.20: icmp: echo reply10.821288 port4 out 66.171.121.34 -> 192.168.20.100: icmp: echo reply11.729230 port4 in 192.168.20.100 -> 66.171.121.34: icmp: echo request11.729431 port3 out 172.20.120.20 -> 66.171.121.34: icmp: echo request11.821349 port3 in 66.171.121.34 -> 172.20.120.20: icmp: echo reply11.821481 port4 out 66.171.121.34 -> 192.168.20.100: icmp: echo reply

このコマンドの出力には、セッションで port4および port3インターフェースのみが使用されていることが示されています。これらのインターフェースはどちらも VDOM-Bのものです。

インターネットに接続できるはずです。接続できない場合は、設定をチェックするか、21ページの「NAT/ルー

トモードによる導入のトラブルシューティング」の手順に従って問題を突き止めてください。

super_adminプロファイルを持つ管理者としてログインした場合、すべてのインターフェースをスニフィングで

きます。a-admin または b-admin（一方の VDOM の管理者）としてログインした場合は、その管理者が管理し

ている VDOM のインターフェースのみをスニフィングできます。パケットスニファーを利用するには、VDOM

にログインする必要があります。グローバル設定からパケットスニファーを利用することはできません。



ファイアウォールアクティビティのモニタリングおよび基本的なメンテナンスを行う管理者アカウントの設定


課題

FortiGuardのメンテナンス、一般的なモニタリング、およびレポーティングのための FortiGateユニットのロギングを担当する管理者を追加します。しかし、これらの管理者には、完全な設定アクセス権は与えません。

解決策

管理者に、設定オプションの表示とメンテナンス、ログ情報およびレポートの表示と設定のみを許可する新しい

管理者プロファイルを作成します。モニタリングプロファイルを持つ管理者ユーザー Terry_Whiteを作成します。

1 [System] > [Admin] > [Admin Profile]に移動して [Create New]を選択します。

2 [Profile Name]にmaint_monitorと入力し、以下の設定を [Read-Write]に設定します。

• [FortiGuard Update]

• [Maintenance]

• [Log & Report]


FortiGate Unit

DHCP Server

Internal Network

admin_profile

administratorsmaint_monitor

administrator




4 [System] > [Admin] > [Administrators]に移動して [Create New]を選択します。


結果

ユーザー名 Terry_White、パスワード passwordを使用して、FortiGateにログインします。ログインすると、設定したアクセスコントロールに関連する Web ベースの管理画面のメニューおよびサブメニューが表示されます。[OK]または [Apply]ボタンは、リード /ライトページの編集可能な設定に表示されます。

Terry_Whiteが正常にログインできたことを確認するには、FortiGateのWebベースの管理画面から [Log & Report] > [Event Log] > [System]に移動し、ログインメッセージを確認します。

[Administrator] Terry_White

[Type] Regular

[Password] password

[Confirm Password] password

[Admin Profile] maint_monitor

管理者プロファイルによって、その管理者が Web ベースの管理画面や CLI から FortiGate のどの設定を表示し

たり設定したりできるかが決まります。複数のプロファイルを追加し、ユーザーや管理者が FortiGateユニット

で行う業務に応じて、それぞれに異なるプロファイルを割り当てることができます。




ログエントリーを選択すると、詳細情報が表示されます。この情報には、その管理者ユーザーが接続したことが

示されます。[Message] 行には、Terry_White が 172.20.120.83 から正常に接続したことが示されます。また、[Profile Name]行には、使用されている管理者プロファイルが表示されます。

[System] > [Dashboard] > [Status] に移動し、[System Information] ウィジェットを調べます。[Current Administrator]行に、ログインしている管理者の数が示されます。

[Details]を選択すると、管理者としてログインした Terry_Whiteの情報が示されます。



FortiGateのセキュリティの強化


課題

ファイアウォールポリシーが適用され、UTMセキュリティプロファイルが設定され、ユーザーと管理者パスワードが設定されています。ここからさらに、FortiGateユニットのセキュリティを強化し、ネットワークをより確実にハッカーから保護するために、ほかにできることを学びます。

解決策

FortiGateユニットで最大限のセキュリティを実現するために行えることは多数あります。そのなかには、当たり前のことのように思えても、FortiGateユニットなどのネットワークデバイスをセットアップするという大がかりな構想で見落とされがちなものもあります。

セキュアなオペレーションのための一般的なベストプラクティス

以下に説明する方法はどれも優れていますが、必ずしもすべてのネットワークで必要なオペレーションではなく、

またいつも実際に利用できるわけではありません。

• 新しいFortiGateユニットを設定して設定をテストするときは、本番環境ではなくテスト用の環境で行います。

• システムを展開する前に、セキュリティを強化し、セキュリティの不備を見つけて修正します。

• 新しいポリシーの最初のテストを稼働中の本番システムで実行しないようにします。

• セキュリティポリシーを変更する権限をできるかぎり制限し、セキュリティポリシーを定期的に監査して、設

定が危険な状態になっていないか確認します。

• ユーザーおよび管理者に強固なパスワードポリシーを適用します（長さ、複雑さ、定期的な変更）。

• 設定の定期バックアップ計画を実施します。

• 必要なネットワークインターフェースのみを接続します。FortiGate ユニットを通してリソースにアクセスしないネットワークは、FortiGateユニットに接続しないようにします。

• 必要なサービスのみを有効にします。セキュリティポリシーでサービスを ANYに設定する方が個々のサービスを指定するより簡単ですが、ANYサービスでは、不要なトラフィックも許可してしまう危険性があります。

• システム時間が正確に保たれるように、NTP を使用してシステム時間を設定します。ログメッセージの分析では、システム時間が正確でなければなりません。




• FortiGate のパフォーマンスに影響しない範囲内で、できるだけ多くのログメッセージを記録します。記録されるログメッセージが多いほど、システムで何が起こっているかをより明確に把握できるようになります。

• FortiGate ユニットになんらかの不具合があってもログを分析できるように、ログメッセージを外部ログサーバー（syslogまたは FortiAnalyzer）と同期させてログメッセージをバックアップします。

• 定期的な管理手順にログメッセージの見直しを盛り込みます（特に、管理者認証ログ）。

• 弱い暗号化および暗号化されていないサービスは無効にします。たとえば、すべての管理者アクセスは、HTTPや Telnetではなく HTTPSおよび SSHで行うようにします。IPsec VPNの設定では、3DES以上の強度の AES 暗号化とより高度な SHA認証を使用します。

物理的にセキュアな場所への FortiGateユニットの設置

まず、物理的なセキュリティを確保することから始めるのがよいでしょう。FortiGateユニットは、鍵のかかった

部屋や入室制限のある部屋など、セキュアな場所に設置してください。これにより、承認されていないユーザー

はこのデバイスに物理的にアクセスできなくなります。

承認されていないユーザーが物理的にアクセスできる状態にあると、これらのユーザーが FortiGateユニットの接続を（うっかり、またはわざと）切断して、ネットワーク全体を中断させる可能性があります。また、コンソー

ルケーブルを接続して CLIにログインすることもできます。さらに、FortiGateユニットの再起動時に、物理的にアクセスできる者が起動プロセスに割り込み、別のファームウェアをインストールする可能性もあります。

新しい管理者アカウントの追加

すべての管理者が、admin管理者アカウントを共有して FortiGate ユニットにアクセスすることを許可する代わりに、管理アク

セスを必要とする各ユーザーに管理者ア

カウントを作成してください。これによ

り、どのユーザーが設定を変更し、ほかの

管理アクティビティを実行したのかをト

ラッキングできます。デバイスにアクセス

できるユーザーをより厳密にコントロー

ルするために、管理アカウントの数は最小

限におさえてください。

管理者を追加するには、[System] > [Admin] > [Administrators] に移動して [Create New]を選択します。

管理者が FortiGate のすべての設定オプションにアクセスできるようにするには、

その管理者のアカウントに prof_admin管理者プロファイルを割り当ててください。

このプロファイルを持つ管理者は、新しい

管理者アカウントの追加を除く、すべての

操作を実行できます。

管理者を追加したり削除したりするには super_adminプロファイルが必要なため、常に少なくとも一つのアカウントがこのプロファイルを持つようにします。セキュリティを強化するために、ごくかぎられた管理者（通常は

一名）のみが新しい管理者を追加できるようにしてください。




FortiGateを設定するにあたり、限定されたアクセス権を持つ管理者アカウントがいくつか必要な場合は、カスタム管理者プロファイルを作成して、設定の特定部分へのアクセスのみを許可することができます。カスタム管理

者プロファイルを追加するには、[System] > [Admin] > [Admin Profile]に移動して [Create New]を選択します。

たとえば、セキュリティポリシーの変更が許可されない管理者プロファイルを作成する場合は、管理者プロファ

イルを設定するときに、[Firewall Configuration]を [None]または [Ready Only]に設定します。

管理者アカウント名の変更とこのアカウントへのアクセスの制限

デフォルトの super_admin管理者アカウントである adminという名前は、管理者名として広く知られています。そのため、このアカウントが使用できる状態にある場合、攻撃者は、あとはパスワードを割り出せばこの名前で

ログインできることがわかっているため、FortiGate ユニットに簡単にアクセスできてしまう可能性があります。この名前を攻撃者が推測しにくい名前に変更することにより、セキュリティを強化できます。

これを行うには、super_admin管理者プロファイルを持つ新しい管理者アカウントを作成し、その管理者としてログインします。次に、[System] > [Admin] > [Administrators]に移動し、[Edit]を選択して admin管理者を編集し、[Administrator]で管理者名を変更します。

このアカウントの名前を変更したら、さきほど追加した super_admin アカウントを削除できます。また、super-admin アカウントは、管理者を追加または変更するときにのみ使用することを検討してください。このアカウントの使用頻度が低いほど、このアカウントが悪用される可能性は低くなります。また、このアカウントのアカウ

ント名とパスワードを忘れてしまった場合に備えて、これらの情報をセキュアな場所に保管しておくこともでき

ます。

管理者がログインできるインターフェースの制限

管理者が接続してログインできるネットワークをより厳密にコントロールするには、管理アクセスを許可するイ

ンターフェースをできるかぎり少なくします。一般的に、パブリックネットワークに接続された WiFi インターフェースへの管理アクセスも許可しないようにしてください。これらのインターフェースのいずれかに対する管

理アクセスを許可する必要がある場合は、信頼できるホスト (trusted hosts)を使用することによってセキュリティを強化できます。

信頼できるホスト (trusted hosts)を使用して管理者が FortiGateユニットにログインできる場所を制限する

管理者用の信頼できるホスト (trusted hosts) を設定することによって、管理者がどのコンピューター / 場所から FortiGateユニットにログインできるかを制限できます。信頼できるホスト (trusted hosts)を指定すると、FortiGate ユニットは、そのホストに設定された IPアドレスからの管理者のログインのみを許可します。認証情報が同じでも、ほかの IPアドレスからログインしようとした場合は、すべて破棄されます。

管理者が複数の場所からログインできるようにするために、信頼できるホスト (trusted hosts)の IPアドレスを最大 10 個まで入力できます。さらにセキュリティを強化するには、ネットマスク 255.255.255.255 の IP アドレスを使用し、信頼できるホスト (trusted hosts)の三つのデフォルトフィールドにそれぞれ IPアドレス（非ゼロ）を入力します。

信頼できるホスト (trusted hosts)は、Webベースの管理画面への HTTPおよび HTTPSアクセス、ping、snmpアクセス、および Telnetまたは SSHでアクセスするとき CLIに適用されます。コンソールポートからの CLIアクセスは影響を受けません。




以下の手順に従って、信頼できるホスト (trusted hosts)を各管理者に設定します。

1 [System] > [Admin] > [Administrators]に移動し、[Edit]を選択して管理者を編集します。

2 [Restrict this Admin Login from Trusted Hosts Only]を選択します。

3 信頼できるホスト (trusted hosts)の IPアドレスを入力します。

管理アクセスポートの変更

管理接続を行うことのできるポート番号を定義できます。

管理ポートを定義するには、[System] > [Admin] > [Settings]に移動し、HTTPSのポート番号を入力します。

短いログインタイムアウトの維持

管理者が管理コンピューターから離れ、そのコンピューターが承認されていないユーザーの目にさらされる状況

を防ぐために、アイドルタイムアウトを追加することができます。つまり、指定された時間にわたってWebベースの管理画面が使用されない場合、FortiGateユニットはその管理者を自動的にログアウトします。管理者が引き続き作業を行うには、もう一度ログインする必要があります。

タイムアウトは、最長 480分（8時間）に設定できますが、この値は推奨されません。

アイドルタイムアウトを設定するには、以下の手順に従います。

1 [System] > [Admin] > [Settings]に移動します。

2 [Idle Timeout]に時間を入力します。

デフォルト値の 5分のままにするのがベストプラクティスです。

SSHを使用してコンソールにログインしている場合、デフォルトでは、操作を何も行っていない時間が 120秒（2分）までなら、FortiGate ユニットへのログインは維持されます。CLI を使用して、コマンドプロンプトがアイドル状態のまま維持される時間を変更することにより、この時間の設定を短くすることができます。この時間が経

過すると、FortiGateユニットは管理者をログアウトします。この時間は 10～ 3600秒の範囲に設定できます。ログアウト時間を設定するには、以下のコマンドを入力します。

config system globalset admin-ssh-grace-time <number_of_seconds>

end

すべてのエントリーに実際に使う IPアドレスが含まれるようにします。また、1.1.1.1のように実際に使わない

アドレスを使うなどして、デフォルトの 0.0.0.0が残らないようにします。

HTTP、HTTPS、Telnet、または SSHのデフォルトのポート番号を変更する場合は、各ポート番号が一意になる

ようにしてください。

HTTP または HTTPS 管理アクセスポート番号を変更する場合は、管理者が Web ベースの管理画面に接続する

ときに使用する URLにその番号が http[s]://<ip_address>:<port>の形式で含まれている必要があります。たとえ

ば、HTTPSを使用してポート 2112ででWebベースの管理画面に接続する場合、URLは

https://192.168.1.99:2112になります。




管理者パスワードのロックアウト

管理者は、最大三回までアカウントへのログインを試行でき、三回目にログインに失敗すると、設定された時間

にわたってロックアウトされます。この試行回数は変更できます。

また、管理者が再びパスワードを入力できるようになるまでのデフォルトの待機時間は 60秒です。この時間についても、さらにハッカーの意欲をそぐために変更することができます。どちらの設定も、CLIでのみ設定します。

たとえば、ロックアウトされるまでの試行回数の閾値を一回に設定し、管理者がもう一度ログインを試行できる

ようになるまでの時間を 5分（300秒）に設定するには、以下のコマンドを入力します。

config system globalset admin-lockout-threshold 1set admin-lockout-duration 300

end

ポート TCP 113を開く

ハッカーに対してポートを閉じるという一般的な方法に反しているようにも思えますが、identリクエストに使用されるこのポートは開いておいてください。

当初、ポート 113は認証ポートとして使用されていましたが、後に識別ポートとして定義されました（RFC 1413 を参照）。ほとんど使われていませんが、いまでも一部のサーバーでは、現在もユーザーやその他のサーバーを識

別して接続を確立するために、このポートを使っているかもしれません。ポート 113 は不要なトラフィックを大量に受信するため、FortiGateユニットを含む多くのルーターはこのポートを閉じます。

FortiGateユニットは、このポートへの不要なリクエストを止めて、このポートが閉じられていることを伝えるレスポンスを送信します。そうしてしまうと、リクエストしたサーバーに、指定したアドレスにデバイスがあるこ

とを知らせて、その存在をアナウンスすることになります。ポート 113 でトラフィックを有効にすれば、リクエストはこのポートで無視されるので、リクエストに対するレスポンスが送り返されることはありません。

wan1インターフェースでこのポートを開くには、以下の CLIコマンドを使用します。

config system interfaceedit wan1set inden_accept enable

end

その他に、ポートフォワーディングを使用して、実際には存在しない IPアドレスへ向けてトラフィックを送信することで、レスポンスパケットが送信されないようにすることもできます。

HTTPヘッダーの難読化

FortiGate ユニットは、送信元をより確実に隠すために、外部 Web サーバーに送信される HTTP ヘッダー情報を難読化することができます。HTTPヘッダーを難読化するには、以下の CLIコマンドを使用します。

config system globalset http-obfucate {none | header-only | modified | no-error}

end

ここで、各要素の意味は以下のとおりです。

none — FortiGate Webサーバーのアイデンティティーを隠しません。

header-only — HTTPサーバーバナーを隠します。

modified — 変更されたエラーレスポンスを提供します。

no-error — エラーレスポンスを送信しません。



内部サイトまたはサーバーのローカル DNSサーバーリストの作成


課題

企業サーバーのルックアップを内部ネットワーク上で行い、そのための DNSトラフィックがインターネットへ出ていかないようにします。

解決策

FortiGateユニットで DNSデータベースを有効にし、内部サイトの IP/名前 /URLが登録された内部 DNSデータベースを作成し、FortiGateの internalインターフェースで DNSサーバーを有効にします。FortiGateの internalインターフェースを権威（authoritative）DNSサーバーとして使用するように内部ネットワークを設定します。これにより、内部ユーザーから URLがリクエストされると、FortiGateユニットでその内部 DNSが調べられるようになります。外部の名前をルックアップする場合は、FortiGateユニットから外部 DNSサーバーに DNSリクエストが転送されます。

1 [System] > [Admin] > [Settings]に移動し、[DNS Database]を選択して [Apply]を選択します。

FortiGateDNS DatabaseDNS

Internal DNSQueries

Internal servername: info.company.comIP: 192.168.1.2

FortiGate Unit

Internal Network

内部ネットワーク上のデバイスの DNS サーバー設定では、そのデバイスの DNS サーバーとして FortiGate の

internalインターフェースを使用する必要があります。




2 [System] > [Network] > [DNS Server]に移動し、[Create New]を選択して新しい [DNS Database]を追加します。


4 [DNS Entries]を追加するには、[Create New]を選択し、内部サイトの名前と IPアドレスを入力します。


6 [System] > [Network] > [DNS Server]に移動し、[DNS Service on Interface]で [Create New]を選択して、 internalインターフェースで受信した、DNSデータベースに対するクエリーのモードを設定します。


結果

DNS データベースが使用されていることを確認するには、[System] > [Network] > [DNS] に移動し、プライマリーおよびセカンダリー DNS サーバーの設定を一時的に削除します。つまり、これらの DNS サーバーの設定を空の状態にしてから、Webサイト http://info.company.comをブラウズします。このWebサイトは表示されますが、ほかのどのサイトにも移動できません。これは、FortiGate ユニットがそれ自体の内部 DNS データベースを使用して、設定されたWebサイトを解決していることを示します。

[Type] Master

[View] Shadow

[DNS Zone] Internal

[Domain Name] company.com

[Type] Address (A)

[Hostname] info

[IP Address] 192.168.1.2

[Interface] Internal

[Mode] Recursive



MACアドレスを使用した DHCPによる IPアドレスの解決


課題

FortiGate ユニットが DHCPを使用してアドレスを割り当てるときに、特定のユーザーまたは PCの IP アドレスが常に同じになるようにします。

この機能を使用すると、IP アドレスが FortiGate の DHCP サーバーによって自動的に割り当てられる場合でも、特定のユーザーが常にネットワークに接続できるようにしたり、IP アドレスでインターネットの利用統計をトラッキングしたりできます。

解決策

すでに FortiGateユニットで DHCPサーバーが有効になっている場合、DHCPサービス設定で IP予約を有効にし、同じ IPアドレスを取得するようにする PCのMACアドレスを追加します。

1 [System] > [Network] > [DHCP Server]に移動し、[Edit]を選択して DHCPサーバーを編集します。

2 [MAC Address Access Control List]の青色の矢印を選択し、[Create New]を選択します。

3 MAC/IPアドレスペアを追加します。


FortiGate Unit

DHCP Server

Internal Network

RESERVEDReservedIP: 10.10.10.18MAC: 00:13:72:38:6a:39

[MAC Address] 00:13:72:38:6a:39

[Reserve IP] 10.10.10.18

この IPは、DHCPサーバーで定義された範囲内になければなりません。




結果

この PCは、FortiGateの DHCPサーバーから常に予約済み IPアドレスを取得するようになります。

PC の IP 設定またはステータスを表示して、PC が正しい IP アドレスを取得しているか確認します。たとえば、コマンドプロンプトからコマンド ipconfig/allを入力し、割り当てられた IPアドレスを表示します。

FortiGateのWebベースの管理画面で [System] > [Monitor] > [DHCP Monitor]に移動して、DHCPサーバーを使用して IPアドレスを取得している PCのリストを表示します。予約済みアドレスを持つ PCは、そのアドレスの横に Rが表示されます。

PCがすでに接続され、DHCPサーバーから IPアドレスを取得している場合は、[Add from DHCP Client List]

を選択して、その PCの MACアドレスと IPアドレスを設定できます。リストが表示されたら、リストから PC

を選択し、[Add To Reserved]を選択します。

DHCP モニターに目的の PC が表示されない場合、または「R」アイコンが表示されない場合は、PC の再起動

または PCの IP設定の更新が必要になることがあります。



SNMPトラップを送信するように FortiGateユニットを設定する


課題

FortiGateユニットで高い CPU使用率、低いログディスクスペース、ウイルス検出などの UTMイベント、IPSでの攻撃の検出といったシステムイベントが起こったときに、SNMP トラップ（またはイベント通知）を受信するようにします。

解決策

SNMPを有効にして、FortiGateユニットのステータスに関する SNMP v1/2cトラップを収集します。

1 [System] > [Config] > [SNMP]に移動し、[Enable]を選択して FortiGateの SNMPエージェントを有効にします。

2 このエージェントを設定します。


4 [SNMP v1/c2c]の [Create New]を選択します。

5 [Community Name]に Example Companyと入力します。

6 [Hosts]の下の [Add]を選択して、SNMPを受信可能なホストの IPアドレスを追加します。

FortiGateSNMP AgentSN?

SNMPTraps

SNMPManagerIP: 192.168.1.10

FortiGate Unit

Internal Network

[Description] Company FortiGate unit

[Location] Head Office, server room

[Contact] [email protected]




7 [IP Address/Netmask]を 192.168.1.10/255.255.255.0に設定し、[Interface]を internalに設定します。


FortiGateの MIBを取得するには ?

FortiGate ユニットには、Fortinet Core MIB と FortiGate MIB の二つの MIB ファイルがあります。Fortinet Core MIB には、すべてのフォーティネット製品に共通のトラップ、フィールド、および情報が保持されています。一方、FortiGate MIBには、FortiGateユニットに固有のトラップ、フィールド、および情報が保持されています。

FortiGateの二つのMIBファイルは、購入元の代理店から入手してください。Fortinet Core MIBには、フォーティネット製品の一般的な情報が含まれ、FortiGate MIB には、FortiGate ユニットのシステム情報と FortiOS のバージョンが含まれています。どちらのファイルも、適切な SNMPデータを収集するために必要です。

さらに厳密なアクセスコントロールのためのローカルインポリシー

ローカルインポリシーを使用して、SNMP トラフィックを含むすべての管理トラフィックに対してさらに厳密なアクセスコントロールを適用することもできます。たとえば、以下のローカルインポリシーを使用すると、アド

レス範囲 172.20.120.100 ～ 172.20.120.110 から internal インターフェースへの SNMP アクセスを許可し、このインターフェースへのその他すべての管理アクセスをブロックすることができます。

最初に、ファイアウォールアドレスを追加します。

config firewall addressedit local-address-range

set associated-interface internalset type iprangeset start-ip 172.20.120.100set end-ip 172.20.120.110

end

次に、SNMP管理アクセスが許可されたアドレス範囲からの接続を許可するローカルインポリシーを追加します。

config firewall local-in-policyedit 0

set intf internalset srcaddr local-address-rangeset dstaddr allset action acceptset service SNMPset schedule always

end

ローカルインポリシーリストには、すべて拒否する暗黙的なポリシーが含まれていないため、このポリシーだけではアクセスが制限されません。目的どおりにアクセスを制限するには、internalインターフェースのローカルインポリシーリストで、上記のポリシーの下に、すべて拒否する以下のポリシーを追加する必要があります。

config firewall local-in-policyedit 0

set intf internalset srcaddr allset dstaddr allset action denyset service ANYset schedule always

end

[IP address/Netmask]を 0.0.0.0/0.0.0.0に設定し、[Interface]を [ANY]に設定することもできます。この場合、

FortiGateユニットに接続された任意のネットワーク上にいるすべてのSNMP管理者がこのSNMPコミュニティ

を使用し、FortiGateユニットからトラップを受信できます。




結果

FortiGate ユニットからのトラップを受信するように 192.168.1.10 の SNMP 管理者を設定します。たとえばFortiGateインターフェースの IPアドレスを変更するなど、トラップをトリガーする操作を実行します。SNMP管理者がトラップを受信したことを確認します。



パケットスニフィングによるトラブルシューティング（パケットキャプチャー）


課題

パケットスニフィングを使用してネットワークの問題のトラブルシューティングを行います。

解決策

ネットワークのトラブルシューティングを行うときは、パケットのヘッダーの内部を調べると役立ちます。これ

により、パケット、ルート、および宛先がすべて期待どおりのものかどうか判断できます。パケットスニフィン

グは、ネットワークタップ、パケットキャプチャー、またはロジックアナライジングとも呼ばれます。

どのような場合にパケットスニフィングが役立つか

パケットスニフィングにより、ネットワークの低レベルで何が起こっているかがわかります。これは、以下のよ

うな問題のトラブルシューティングに非常に役立ちます。

• 欠落しているトラフィックを見つける

• セッションが正しく設定されているか確認する

• ブロードキャストストームの発生源やその原因など ARPの問題を突き止める

• コンピューターに複数のアドレスがある場合や、複数のネットワークに接続している場合に、どのアドレスを

使用しているか確認する

• ルーティングが期待どおりに機能しているか確認する

• ワイヤレスクライアントの接続の問題

• 断続的に PINGパケットが失われる

• ビデオストリーミングに広く利用されている UDPなど、特定タイプのパケットに問題がある




パケットスニフィングからわかること

継続的にトラフィックを送信する pingなどのアプリケーションを実行している場合、パケットスニフィングにより、そのトラフィックが宛先に届いているか、FortiGateユニットに出入りするときのポート、ARPの解決が正しく行われているか、トラフィックが期待どおりに送信元に返ってきているかがわかります。また、パケットスニ

フィングを使用して、NATやその他の設定によってアドレスが変換されているか、または期待どおりにトラフィックがルーティングされているかを確認することもできます。

パケットスニフィングを始める前に、どのような結果になると予測されるかをはっきりさせておく必要がありま

す。そのうえでスニフィングを使用し、ネットワークで何が起こっているかについての予測が当たっていたか間

違っていたかを確認します。何を調べるかを絞り込まずに無計画にスニフィングを試しても、得られるデータが

多すぎて効果的な分析を行えなくなる可能性があります。その一方で、調べようとしているパターンや動作のす

べてを本当に理解するには、十分な量のパケットをスニフィングする必要があります。

ここで説明する以外にも、このガイド全般にパケットスニフィングの例が掲載されています。

パケットスニフィングの方法

スニファーコマンドは CLIでのみ利用できます。このコマンドの構文は以下のとおりです。

diag sniffer packet {<interface> | any} {‘filter_str’| none } {1 | 2 | 3 | 4 | 5 | 6} <pkt_count>

インターフェース引数およびフィルター引数を指定する必要があります。スニファーを停止するには、Ctrl+C を押します。

{ <interface> | any }スニフィングする FortiGate ユニットのインターフェースの名前（port1、internal、VLAN18など）。

または、「any」を使用すると、すべてのインターフェースをスニフィングします。

{ ‘filter_str’ | none }

フィルター内のテキストを含むパケットのみが表示されます。フィルターには、andや orなどの論理ステートメントを含めることができます。

noneを指定すると、フィルタリングは行われません。この場合、ほかの引数の指定に一致したすべてのパケットが表示されます。

フィルターは一重引用符（‘）で囲んで指定する必要があります。

{1 | 2 | 3 | 4 | 5 | 6}

詳細レベル（デフォルト値は 1）。

1 - パケットのヘッダー

2 - IPヘッダーとデータ

3 - イーサネットヘッダーとデータ

4 - インターフェース名とパケットのヘッダー

5 - インターフェース名と IPヘッダーとデータ

6 - インターフェース名とイーサネットヘッダーとデータ

< pkt_count >スニファーが停止するまでに表示するパケット数。

ここで数値を指定しない場合、Ctrl+Cを押して停止するまで、スニファーは実行し続けます。




TCPパケットのスニファー出力の説明

以下に単純な例を示します。

diag sniffer packet internal none 4 3

このコマンドは、internalインターフェースですべてのパケットを調べ、最初の三つのパケットについてパケットヘッダーとインターフェース名を返します。この例では、三つのパケットが選択されています。通常のトラブル

シューティングでは、ネットワークの状況をより詳しく知るために、さらに多くのパケットをキャプチャーする

ことになります。また、実際にこのコマンドを実行したときに表示されるパケットは、ここに示した三つのパケッ

トとまったく同じではありませんが、得られる情報は同様です。

internal in 192.168.0.1.22 -> 192.168.0.30.1144: psh 2859918764 ack 1949135261internal in 192.168.0.1.22 -> 192.168.0.30.1144: psh 2859918816 ack 1949135261internal out 192.168.0.30.1144 -> 192.168.0.1.22: ack 2859918884

上記のパケットの情報には、そのパケットが TCP SSH のやりとりの一部であることが示されています。たとえば、スニフィングされた最初のパケットは以下のとおりです。

internal in 192.168.0.1.22 -> 192.168.0.30.1144: psh 2859918764 ack 1949135261

この最初のパケットについて、スニファーにより以下の情報が表示されています。

• internal: パケットが検出された FortiGateインターフェース

• in: インターフェースでのパケットの方向が受信方向であったこと

• 192.168.0.1.22: パケット送信元の IPアドレスとポート番号（送信元 IPは 192.168.0.1、送信元ポート番号は一般に SSHに関連付けられる 22）

• 192.168.0.30.1144: パケット宛先の IPアドレスとポート番号（宛先 IPは 192.168.0.30、宛先ポート番号は 1144）

• psh: TCPヘッダーの 9種類のフラグの一つ（ns、cwr、ece、urg、ack、psh、rst、syn、fin）。pshは pushの略語で、バッファリングされたデータを受信側アプリケーションにプッシュするように要求します。

• 2859918764: TCPシーケンス番号。シーケンス番号は 285で始まっています。この番号は、スニフィングされた三つのパケットにわたって少しずつ増加しています。

• ack: 肯定応答フラグが設定されています。

• 1949135261: 肯定応答番号。ACK が設定された場合、この番号は受信側が期待する次のシーケンス番号で、実質的にそれより前のすべてのバイトを肯定します。

IPおよびポート情報の後にあるすべての情報は TCP固有のものです。この情報は、パケットのタイプ（tcp、arp、udp、ip、greなど）によって異なります。どの程度詳しい情報が必要かにかかわらず、調べようとしているパケットタイプのパケットヘッダー構造についてよく理解しておく必要があります。

この例では、詳細レベル 4を選択したため、TCPフラグとシーケンス情報が表示されています。この情報は、あ

るセッションのすべてのトラフィックが宛先に届いていることと、そのセッションが正しく確立されたことを確

認するうえで役立ちます。




icmp（ping）パケットのスニフィング

この例では、FortiGateユニットの internalインターフェースに継続的に pingを実行するようにコンピューターを設定し、internalインターフェースで icmpパケットをスニフィングします。

任意のコンピューターで IPアドレス 172.20.120.136に継続的に pingを実行し、FortiGateの CLIで以下のコマンドを入力します。

diag sniffer packet internal 'icmp' 4 5interfaces=[any]filters=[icmp]16.776272 internal in 172.20.120.17 -> 172.20.120.136: icmp: echo request16.776462 internal out 172.20.120.136 -> 172.20.120.17: icmp: echo reply17.777280 internal in 172.20.120.17 -> 172.20.120.136: icmp: echo request17.777360 internal out 172.20.120.136 -> 172.20.120.17: icmp: echo reply18.778176 internal in 172.20.120.17 -> 172.20.120.136: icmp: echo request

この出力では、172.20.120.17 から送信された 16 番目、17 番目、および 18 番目の ping echo リクエストと、 FortiGateユニットからの 16番目および 17番目のリプライがキャプチャーされています。このことは、各行の先頭にある 16、17、または 18という番号からわかります。この番号は、パケット番号およびシーケンスを表します。この番号から、パケットがドロップされているかどうかを確認できます。echo または echo reply は、パケットがどの方向に移動しているかを示します。icmp パケットに保持される情報はほんのわずかであるため、これ以外に表示される情報はありません。

ランダム UDPパケットの詳細レベル

詳細レベルを使用して、パケットの内容やペイロードを表示することができます。これは、パケットの内部にヘッ

ダーがある場合や、パケットから読み取ることのできるその他特定のプレーンテキスト情報がある場合に役立ち

ます。

以下の例は、任意のネットワーク上で一つの udp パケットを詳細レベル 6 でスニフィングし、パケットの内容とインターフェースを表示する方法を示しています。

diag sniffer packet any 'udp' 6 1interfaces=[any]filters=[udp]1.865746 wan1 out 172.20.120.136.60718 -> 8.8.8.8.53: udp 530x0000 0000 0000 0000 0009 0f30 ca51 0800 4500.........0.Q..E.0x0010 003f cee2 0000 4011 771f ac14 7888 [email protected] 0808 ed2e 0035 002b c997 db37 0100 0001.....5.+...7....0x0030 0000 0000 0000 0361 7273 056f 7363 6172.......ars.exmpl0x0040 0361 6f6c 0363 6f6d 0000 0100 01 .aol.com.....

internalインターフェースで ping管理アクセスが有効になっていることを確認してください。有効になっていな

いと、以下に示す出力が表示されません。

スニフィングにより、ほかの送信元からの icmp パケットが検出された場合は、172.20.120.17 との間でやり取

りされるパケットのみを選択するための基本的なフィルターを追加することができます。これを行うための

snifferコマンドは、diag sniffer packet any ‘icmp and host 172.20.120.17’ 4 5のようになり

ます。フィルタリングについては、128ページの「パケットスニフィングによる高度なトラブルシューティング

（パケットキャプチャー）」で詳しく説明しています。




このパケットは、ポート 60718を使用して wan1インターフェースから出ていきます。その宛先は 8.8.8.8、使用ポートは 53です。出力の 6行すべてが一つのパケットに関するものです。IPアドレス 8.8.8.8は、Googleのパブリック DNSアドレスです。UDPポート 53は、DNSルックアップおよび FortiGuardの通信に使用されます。この例では、パケットが DNSルックアップであることが示されています。このパケットのペイロードにあるアドレス ars.exmpl.aol.comは、解決されるドメイン名です。

DNAT HTTPパケットを調べる

スニフィングによって、推測ではなく、実際にどのような NATが行われているかがわかります。インターネットから http://172.20.120.14をブラウズして、宛先 NATをテストします。このセッションは FortiGateユニットを通り抜けて Web サーバーまで届き、この Web サーバーからレスポンスが返されます。結果を表示するには、以下のパケットスニファーコマンドを使用します。

diagnose sniffer packet any 'port 80' 4 4interfaces=[any]filters=[port 80]6.150356 wan1 in 172.20.120.12.51439 -> 172.20.120.14.80: syn 15893888 6.150637 internal out 172.20.120.12.51439 -> 192.168.1.110.80: syn 15893888 6.150803 internal in 192.168.1.110.80 -> 172.20.120.12.51439: syn 553485227 ack 15893889 6.150974 wan1 out 172.20.120.14.80 -> 172.20.120.12.51439: syn 553485227 ack 15893889

出力の一行目には、IPアドレス 172.20.120.12のクライアントデバイスから、宛先アドレス 172.20.120.14、宛先ポート 80のパケットが送信され、wan1インターフェースで受信されたことが示されています。

出力の二行目には、パケットが internalインターフェースから出ていくときに、宛先アドレスが 192.168.1.110に変更され、宛先ポートは 80のままであることが示されています。

出力の三行目には、Webサーバーからのレスポンスが示されています。

出力の四行目には、Web サーバーからのレスポンスがクライアントデバイスに返されていることが示されています。このときの送信元アドレスは、元の 172.20.120.14に変更されています。

この例では、送信元ポートは変更されていません。

ベストプラクティス

以下に、スニファーを使用してトラブルシューティングを行うときに役立つヒントをいくつか紹介します。

• ログ出力は必ず、保存、検索、ソート、および後で処理することのできるファイルに記録してください。また、出力ログをフォーティネットのサポートにお送りいただくと、問題の解決に役立てることができます。

• 対象のパケットが通過することが期待されるパスを想定してください。これにより、スニファーコマンドをより正確に記述し、トラブルシューティングの労力を減らすことができます。

• 期待どおりの結果が得られない場合、調べるパラメーターを広げてください。状況が、期待するものとは異なっている可能性もあります。

• スニフィングを最大限に活用するには、スニフィングするパケットタイプについて詳しく知っておく必要があります。そうしないと、スニフィングによって役立つ情報が得られても、それを理解することができません。

• パケットスニフィングを行うときは、どのような接続方法が使用されているかを頭に置いておいてください。FortiGate ユニットに対して Web ブラウズを行っている場合は、Web プロトコルパケットが影響を受ける可能性があります。Telnetで接続している場合は、これらのパケットがスニフィング結果に影響を与えます。

• VLANパケットをスニフィングしている場合、フィルターを設定すると、VLANタグが表示されなくなります。



パケットスニフィングによる高度なトラブルシューティング（パケットキャプチャー）


課題

スニフィングを行うときにフィルターを使用します。

解決策

パケットスニフィングフィルターを使用しなくても、基本的なパケットスニフィングおよびネットワークのトラブルシューティングを行えます。しかし、フィルターを使用すれば、大量のトラフィックが流れるネットワーク

上で特定の pingパケットを見つけることができるくらいに、トラブルシューティングを微調整することができます。

パケットスニフィング時には、フィルターフィールドを非常に柔軟に設定できます。フィルターオプションを使

用すると、以下の操作を行えます。

• 送信元のホスト名または IPアドレスの照合

• パケットのタイプの照合（arp、ip、gre、esp、udp、tcp、icmp）

• ポート番号の照合

• フィルターの各部分を相互に ANDまたは ORで論理結合

• パケット内の特定バイトの指定

フィルター構文のデフォルト形式は以下のとおりです。

[[src|dst] host <host_name_or_IP1>] [[arp|ip|gre|esp|udp|tcp|icmp] [port_no]] [and | or] [..]

それでは、フィルターの各部分を見ていきましょう。これらの形式に加えて、フィルターを使用して個々のワー

ドを検索することも可能なことを覚えておいてください。以下に例を示します。




フィルターによる IPの照合

ホスト名と IPの照合 — [[src|dst] host <host_name_or_IP1>]では、送信元ホストまたは宛先ホストを指定できます。たとえば、IP アドレス 192.168.1.27 からくるパケットをスニフィングする場合、フィルターを’src host 192.168.1.27’に設定します。my_laptopという名前のコンピューターに送信されるパケットをスニフィングする場合は、フィルターを ’dst host my_laptop’ と定義します。このホスト名は DNS によって解決されます。

どちらの場合も、そのコンピューターから送信されたパケット、またはそのコンピューターに送信されたパケッ

トをスニファーが検出すると、そのパケットがフィルターに一致し、表示されます。この形式を使用して二つ以

上のコンピューターを入力し、ANDまたは ORで結合することができます。たとえば、一つの送信元と二つの宛先を指定することも可能です。

以下の例では、ネットワーク上のあるコンピューターから FortiGate ユニットに ping が実行されています。ここでは、送信元が 172.20.120.136（FortiGateユニット）の pingパケットのみを調べます。

diag sniffer packet any 'icmp and src host 172.20.120.136'interfaces=[any]filters=[icmp and src host 172.20.120.136]0.319302 172.20.120.136 -> 172.20.120.17: icmp: echo reply1.348780 172.20.120.136 -> 172.20.120.17: icmp: echo reply2.355177 172.20.120.136 -> 172.20.120.17: icmp: echo reply3.356008 172.20.120.136 -> 172.20.120.17: icmp: echo reply

4 packets received by filter0 packets dropped by kernel

結果には四つのパケットが示されています。これらのパケットはすべて、FortiGate ユニットから 172.20.120.17へ向かう ping（icmp）パケットです。詳細レベルやパケット数は指定されていません。そのため、デフォルトの詳細レベル 1 が使用され、スニフィングは Ctrl+C を押して停止するまで続けられます。最後の 2 行には、スニフィングされたパケット数と、この期間に FortiGateカーネルがパケットをドロップしたかどうかが示されています。

ポートのスニフィングと ANDおよび OR演算子による複数ホストの指定

TCPセッションが確立された時点で、宛先ポートは既知のポート番号に設定されています。たとえば、HTTPセッションにはポート 80が広く使用されています。一方、送信元ポートはランダムに割り当てられます。このような未知の送信元ポートにより、トラブルシューティングが難しくなることがあります。しかし、FortiGateのパケットスニファーでは、既知のポートが送信元ポートまたは宛先ポートとして使用されている場合にそのポートを照

合できるため、どのポートかがわかっている必要はありません。

たとえば、IP 172.20.120.18（FortiGate）と、10.10.80.110（Star という名前の WiFi インターフェース）または 10.10.10.100（内部 LANインターフェース）との間でやり取りされる HTTPパケットをチェックするとします。

diag sniffer packet any "port 80 and host 172.20.120.18 and (host 10.10.80.110 or host 10.10.10.100)" 4

interfaces=[any]filters=[port 80 and host 172.20.120.18 and (host 10.10.10.100 or host 10.10.80.110)]

スニフィングが終了したときに、結果に表示されたドロップパケット数が 0でなかった場合、問題が起きている

可能性があります。パケットがドロップされたということは、入ってきたパケットのうち FortiGateユニットが

スニフィングして表示できなかったパケットがあったということです。連続するすべてのパケットを調べていた

場合は、おそらくパケットが欠落しています。そのため、このようなドロップパケットの考えられる原因を検討

し、すべてのパケットがキャプチャーされるようにその問題を解決して、もう一度スニファーを実行してくださ

い。小型の FortiGateユニットでは、スニファーを実行すると、CPUリソースが最大 25%消費される可能性が

あることを覚えておいてください。




5.036340 internal in 10.10.10.100.58753 -> 172.20.120.18.80: syn 4189154 5.036664 internal out 172.20.120.18.80 -> 10.10.10.100.58753: syn 1354149395 ack 4189155 6.464015 Star out 172.20.120.18.80 -> 10.10.80.110.56791: syn 2000204115 ack 571678006 6.471966 Star in 10.10.80.110.56791 -> 172.20.120.18.80: ack 2000204116 6.474720 Star in 10.10.80.110.56791 -> 172.20.120.18.80: psh 571678006 ack 2000204116 5.036837 internal in 10.10.10.100.58753 -> 172.20.120.18.80: ack 1354149396 5.037023 internal in 10.10.10.100.58753 -> 172.20.120.18.80: psh 4189155 ack 1354149396 6.463686 Star in 10.10.80.110.56791 -> 172.20.120.18.80: syn 571678005

この場合、送信元または宛先のどちらかでポート 80が使用されるため、これらの 2台のコンピューター間でやり取りされるすべての HTMLトラフィックがフィルターと一致して、表示されます。SSHおよび HTTPSトラフィックでは異なるポートが使用されるため、そのトラフィックは表示されません。各出力行の先頭にある番号は送信

元によって変わるため、この番号から、それらのセッションで使用されている IPアドレスがどれかをすばやく判断できます。

パケットタイプフィルター

パケットタイプ [arp|ip|gre|esp|udp|tcp]により、どのタイプのパケットを調べるかを指定できます。一般的な ICMP、IP、TCP、および UDP のほかにも、ARP（アドレス解決プロトコル）、GRE（汎用ルーティングカプセル化）、および ESP（カプセル化セキュリティペイロード）パケットを調べることができます。

この例では、ネットワーク上の IPアドレス 172.20.120.2にあるゲートウェイから送信される数個の ARPパケットをスニフィングしています。ここでは、インターフェースは重要ではありません。また、何が起こっているか

を調べるには、5個のパケットがあれば十分です。

# diag sniffer packet any 'arp' 1 5interfaces=[any]filters=[arp]1.187291 arp who-has 192.168.100.1 tell 192.168.100.992.187125 arp who-has 192.168.100.1 tell 192.168.100.992.858334 arp who-has 172.20.120.228 tell 172.20.120.2242.889542 arp who-has 172.20.120.224 tell 172.20.120.2284.187019 arp who-has 192.168.100.1 tell 192.168.100.99

この出力には、IPアドレス 192.168.100.99のコンピューターから、IPアドレス 192.168.100.1のコンピューターの MACアドレスを求める ARPリクエストが含まれています。ARPプロトコルでは、リプライの送信先リンクレイヤーアドレスを含む who-has リクエストがブロードキャストされています。コンピューターの IP アドレスが 192.168.100.1の場合に期待されるレスポンスは、arp reply 192.168.100.1 is at 00:26:b9:00:0f:9c の形式になります。スニフィングされたパケットにはこのようなリプライがないため、さらにパケットをスニフィ

ングするか、またはネットワーク上に IPアドレス 192.168.100.1のコンピューターが存在しないと見なすかのいずれかです。その IPアドレスを使用していると思われるコンピューターが存在しているはずの場合は、このことが重要になる場合があります。つまり、DHCPに問題があるか、またはそのコンピューターが物理的にネットワーク上の別の部分に移動された可能性があります。

ここに記載されていないプロトコルを調べたい場合も、プロトコルのイーサネットプロトコル番号がわかってい

れば、そのプロトコルを指定できます。たとえば、この方法を使用して internalインターフェースで ARPパケッ

トを指定するには、次のように入力します。diag packet sniffer internal “ether proto 0x0806”




その他の高度なフィルター

パケットスニファーでトラフィックを照合するために使用できる標準外のフィルターがいくつかあります。これ

らの高度なフィルターでは、論理記号を使用してパケットヘッダー内の特定ビットが照合されます。以下に例を

示します。

port2でパケットヘッダー内の TTL = 1を照合する場合は、以下のようにします。

diagnose sniffer packet port2 “ip[8:1] = 0x01”

ヘッダー内の送信元 IPアドレスが 192.168.1.2のパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "(ether[26:4]=0xc0a80102)"

送信元の情報と宛先の情報は、パケットヘッダー内の別々の場所に保存されます。internalインターフェースで送信元 MACアドレスが 00:09:0f:89:10:eaのパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "(ether[6:4]=0x00090f89) and (ether[10:2]=0x10ea)"

ここで、internalインターフェースで同じMACアドレスを宛先 MACアドレスとしてパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "(ether[0:4]=0x00090f89) and (ether[4:2]=0x10ea)"

TCPまたは UDPフラグを指定して、特定タイプのパケットをターゲットにすることもできます。

RSTフラグが設定されたパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "tcp[13] & 4 != 0"

SYNフラグが設定されたパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "tcp[13] & 2 != 0"

SYN-ACKフラグが設定されたパケットを照合する場合は、以下のようにします。

diagnose sniffer packet internal "tcp[13] = 18"

ネットワークループが発生している場合、ARP パケットが問題の原因になっている可能性があります。前に説

明したとおり、ARPは一つの MACアドレスを一つの IPアドレスに対応づけようとします。バーチャルネット

ワーキングソリューションでは、リクエストに対して同じ IP アドレスの複数のリプライが返されたり、複数の

IPアドレスが同じ MACアドレスに関連付けられることがありますが、このような場合に、ループまたは非対称

ルーティングが発生します。基本的には、すべてのトラフィックが両方のコンピューターとの間でやり取りされ

るため、ネットワークが低速になったり停止したりします。ARP パケットのスニフィングによって二重のリプ

ライまたは二重の MACアドレスが表示された場合は、この状況が起こっていると考えることができます。これ

が問題になっていることを確認するには、CLI コマンド config system settings, set asymroute

enable, endを入力します。これにより非対称ルーティングが有効になり、これらの ARPの問題がなくなり、

ステートフルインスペクションが無効になります。ステートフルインスペクションを無効にするとセキュリティ

が低下するため、多くの場合、このコマンドは問題を確認するときにのみ使用してください。問題が確認された

ら、スニファーの出力をもとに原因を突き止めて解決し、非対称ルーティングを無効にします。

FortiGate ユニットに、トラフィックをオフロードする NP2 インターフェースがある場合、これによってスニ

ファーのトレースが変更されます。NP2インターフェースでトレースを実行する前に、これらのインターフェー

スでオフロードを無効にする必要があります。




ベストプラクティス

以下に、パケットスニファーを使用してトラブルシューティングを行うときに役立つヒントをいくつか紹介しま

す。

• スニファーを有効にすると、追加で CPUリソースを消費します。ローエンドモデルでは、CPU使用率が 25%増加することがあります。そのため、CPU 使用率が非常に高いユニットでスニファーを有効にすると、状況が悪化する可能性があります。スニファーを実行する必要がある場合は、必ずスニフィングセッションを短時

間で終了し、限定的なフィルターを使用してください。

• スニファーフィルターに常に ICMPを含めるようにしてください。これにより、問題の原因特定に役立つ ICMPエラーメッセージをキャプチャーできることがあります。以下に例を示します。

diag sniff packet interface wan1 'tcp port 3389 or icmp' 3

• FortiGate ユニットのすべてのインターフェースをスニフィングする場合は、「any」インターフェースを使用してください。「any」インターフェースは、特定のパケットが複数の FortiGateインターフェースで送受信されていることを確認する場合に使用できます。また、パケットがどのインターフェースで送信または受信され

ているのかわからない場合も、anyインターフェースが役立ちます。「any」インターフェースの使用例を以下に示します。

diag sniff packet any 'tcp port 3389' 3

• リクエストされた情報が多すぎると、FortiGate ユニットで表示されないパケットがでてくる可能性があります。この場合、FortiGateユニットは、トレースの終了後に以下のメッセージをログに記録します。

12151 packets received by filter3264 packets dropped by kernelこの状況では、キャプチャーしようとしたものが実際にはキャプチャーされていない可能性があります。こ

れを防ぐには、より限定的なフィルターを使用するか、詳細レベルを低くするか、またはトラフィックが少

ない時間帯にスニファーを実行してください。

• 高負荷の状況では、スニファーによって表示されるパケットのタイムスタンプが正確でなくなったり遅れたり

する可能性があります。これは、パケットがドロップされていない場合も起きることがあります。そのため、

非常に正確なタイミングを必要とするパフォーマンス問題のトラブルシューティングまたは測定を行うとき

には、これらの値に頼らないことをおすすめします。

• FortiGate ユニットから送信されるショートイーサネットフレームが最小長の 64 バイトより小さい値（runt とも呼ばれる）として現れることがあります。このようなフレームはスニファーでは表示されません。これ

は、スニファーでは、イーサネットトレーラー / パディング情報がネットワークを通して送信されていても、その情報がまったく表示されないためです。

• 「any」インターフェースを使用する場合、イーサネットの送信元 /宛先 MACアドレスが正しくなくなり、すべてゼロ（00:00:00:00:00:00）または 00:00:00:00:00:01として表示されることがあります。

• VLANパケットをスニフィングする場合、VLANタグを調べたいときは、フィルターを設定できません。たとえば、diag sniffer packet wan1 “icmp” ではタグは表示されませんが、diag sniffer packet wan1では表示されます。



FortiGateの設定のデバッグ


課題

FortiGateユニットの設定で問題が起きています。デバッグコマンドを使用して問題を突き止めます。

解決策

FortiGateユニットには diagnose debugコマンドが組み込まれています。このコマンドを使用すると、システムを動作させながら CLIコンソールにデバッグメッセージを表示して、任意の FortiGateソフトウェアシステムの動作をデバッグすることができます。問題を突き止めたら、設定を修正してもう一度 diagnose debug コマンドを実行し、システムが正常に動作するようになったか確認できます。

312

32 1

デバッグを行う前に、後で参照できるように出力をファイルに保存できるターミナルプログラムを使用して、

FortiGate の CLI に接続する必要があります。出力をファイルに保存しないと、重要なデバッグ情報を見逃して

しまう可能性があります。

デバッグを行うと、システムリソースが消費され、パフォーマンスに影響する可能性があることを覚えておいて

ください。多くの場合、これが問題になることはありません。しかし、お使いの FortiGateユニットがすでにリ

ソース使用率 100% で動作している場合は、デバッグアプリケーションを実行すると、FortiGate ユニットがド

ロップするパケットまたはセッションが増え、一般には過負荷による動作への影響がより深刻化します。パケッ

トのスニフィング時にはシステムリソースを 10% 以上消費する可能性があるため、この影響が最も顕著になり

ます。




diagnose debugコマンドを使用するには、現在のデバッグ設定をチェックし、デバッグ情報を表示するソフトウェアシステムを選択し、デバッグを有効にする必要があります。結果を収集して分析し、その後、デバッグ情

報の表示を停止します。一般には、以下のコマンドシーケンスに従うことができます。

diagnose debug infodiagnose debug <software-system> <debug-level>diagnose debug enablediagnose debug disable

以下の debugコマンドも役立ちます。

• diagnose debug reset: デバッグ設定をデフォルト状態にリセットします。

• diagnose debug report: フォーティネットのサポートより、このコマンドを実行してその出力を取得するようにお願いする場合があります。

SSL VPNポータルに関する diagnose debugの手順例

ここでは、323 ページの「SSL VPN を通した内部サイトのリモート Web ブラウジングの設定」で説明している SSL VPN設定のデバッグ情報を表示する一般的な手順について説明します。その他の多くのソフトウェアシステムについても、同様の手順でデバッグ情報を表示できます。

1 以下のコマンドを入力して、現在のデバッグ設定を確認します。

diagnose debug info debug output: disableconsole timestamp: disableconsole no user log message: disableCLI debug level: 3

このコマンドを最初に実行すると、どのフィルターが適用されているかがわかるため便利です。わからない状

態でデバッグを始めると、期待どおりの出力がなぜ得られないのかに頭を悩ますことになりかねません。上記

の出力には、デバッグ出力が無効になっているため、デバッグメッセージが表示されないことが示されていま

す。また、どのソフトウェアシステムに対してもデバッグが有効になっていないことも示されています。

2 以下のコマンドを入力して、SSL VPNのデバッグメッセージを表示します。

diagnose debug application sslvpn -1

このコマンドにより、デバッグレベル -1で SSL VPNのデバッグが有効になります。デバッグレベル -1では、詳細な結果が生成されます。

3 以下のコマンドを入力してデバッグ設定を確認します。

diagnose debug info debug output: disableconsole timestamp: disableconsole no user log message: disablesslvpn debug level: -1 (0xffffffff)CLI debug level: 3

この出力から、SSL VPNのデバッグがデバッグレベル -1で有効になっていることを確認できます。

これは、多くの diagnose コマンドを実行して大量の情報を収集する包括的なレポートです。複雑な設定の

FortiGateユニットで実行した場合、最大 20分かかることがあり、一時的にシステムのパフォーマンスに影響を

与える可能性があります。

すべてのデバッグオプションを確認するには、diagnose debug ?または diagnose debug application

?と入力します。




4 以下のコマンドを入力して、デバッグメッセージの表示を有効にします。

diagnose debug enable

5 SSL VPNポータルにログインします。CLIに、以下のようなデバッグメッセージが表示されます。

diagnose debug enable

FGT60C3G10002814 # [282:root]SSL state:before/accept initialization (172.20.120.12)[282:root]SSL state:SSLv3 read client hello A (172.20.120.12)[282:root]SSL state:SSLv3 write server hello A (172.20.120.12)[282:root]SSL state:SSLv3 write change cipher spec A (172.20.120.12)[282:root]SSL state:SSLv3 write finished B (172.20.120.12)[282:root]SSL state:SSLv3 flush data (172.20.120.12)[282:root]SSL state:SSLv3 read finished A:system lib(172.20.120.12)[282:root]SSL state:SSLv3 read finished A (172.20.120.12)[282:root]SSL state:SSL negotiation finished successfully (172.20.120.12)[282:root]SSL established: DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256)

Mac=SHA1

最初の数個のメッセージに、SSL VPNユーザーが IPアドレス 172.20.120.12からポータルに接続していることが示されています。また、メッセージには、接続が許可され、SSL VPN のネゴシエーションが行われていることが示されています。

デバッグメッセージは、表示して分析したり、ターミナルプログラムを使用してテキストファイルに保存した

りできます。

6 以下のコマンドを入力して、デバッグメッセージの表示を停止します。

diagnose debug disable

大量の出力がある場合、画面がすばやくスクロールして、入力したコマンドが見えなくなることがあります。

認証のデバッグ

FortiGateユニットがユーザーを認証するときは、常に authdデーモンがその処理を担います。これは、ユーザーが SSL VPNを通してログインする場合や、FortiClientから IPsec VPNで接続したりする場合、また証明書が使用される場合にも当てはまります。以下のコマンドを使用して認証をデバッグできます。

diagnose debug application authd -1diagnose debug enable

authd_http.c:1910 authd_http_connect: calledauthd_http.c:3071 authd_http_change_state: calledchange state to: 3authd_http.c:1112 authd_http_read: calledauthd_http.c:2383 authd_http_wait_req: calledauthd_http.c:2443 authd_http_read_req: calledauthd_http_common.c:276 authd_http_read_http_message: calledauthd_http_common.c:229 authd_http_is_full_http_message: calledauthd_http.c:4899 authd_http_on_method_get: calledauthd_http.c:2098 authd_http_check_auth_action: calledauthd_http.c:3071 authd_http_change_state: calledchange state to: 2

出力には、認証デーモンがリクエストを受信し、結果の状態が変化していることが示されています。この認証セッ

ションは、FortiGateユニットと FortiClientとの間で IPsec VPNセッションの確立時に行われたのものです。

IPsec VPNのデバッグ

diag debug application ike -1コマンドでは、VPNに関連するすべてのトラフィック、特に初期のネゴシエーションのためのトラフィックを表示することができます。これによって、この情報がなければ推測にとどまっ

ていたエラーを突き止めて修正することができます。




URLフィルタリングのデバッグ

URLフィルターを設定しようとしたのに、URLが通り抜けてしまった経験はありませんか？ diag debug情報は、 295ページの「ホワイトリストにより指定されたもの以外のすべてのWebサイトのブロック」のように、見えないところで何が起こっているのかを判断するときに役立ちます。

たとえば、172.20.120.18のユーザーが、URLフィルターが機能していないことに不満をうったえている場合に、以下のコマンドを入力できます。

diag debug disablediag debug application urlfilter -1diag debug enable

これは、何らかの新しい URLフィルターパターンをテストする場合に非常に役立ちます。以下の出力例は、[URLFilter]リストに含めた *.roなどの URLのグループに対してこの一連のコマンドを実行した場合の結果です。

msg="received a request /tmp/.proxyworker000_0_0.url.socket, addr_len=38: d=www.example.ro:80, id=22, vfid=0, type=0, client=10.10.80.110, url=/favicon.ico"

Checking urlfilter list 4Url filter deny action

この出力には、あるユーザーが http://www.example.roをブラウズしようとしましたが、このサイトがブロック対象の *.roサイトに一致していることが示されています。この出力から、URL、その URLにアクセスしようとしたユーザー（クライアント IPアドレス 10.10.80.110）、および URLフィルターによる拒否アクションがわかります。ID 番号は、このような一致メッセージごとに一つずつ増加します。この情報から、10.10.80.0 サブネット上のクライアントに対して *.ro URLフィルターが正常に機能していることがわかります。

パケットフローのデバッグ

diag debug flowコマンドを使用すると、FortiGateユニットを通り抜けるパケットフローを表示できます。パケットが受信されると、FortiGateユニットでそのパケットがどのように処理されるかを示すデバッグメッセージを表示できます。詳細については、202 ページの「トラフィックがセキュリティポリシーで処理されていることの確認」を参照してください。



よく使用する diagnoseコマンドのクイックリファレンス

よく使用する diagnoseコマンドのクイックリファレンスFortiOSの diagnoseコマンドは、低レベルで何が起こっているのかを確認できる強力な CLIコマンドです。通常、diagコマンドと呼ばれます。diagおよび getコマンドの詳細については、『FortiOS Handbook』のトラブルシューティングに関する章を参照してください。

diagnoseコマンドオプションの詳細を確認するには、たとえば diagnose debug application ?のように、コマンドの後に ?を続けて入力します。

debug application

FortiGate ソフトウェアシステムの詳細なデバッグ情報を表示します。以下に例を示します。

diagnose debug application ike -1

IPsec VPNをデバッグする場合は、以下のコマンドを入力します。

diagnose debug application sslvpn -1

IPsec VPNのデバッグについては、133ページの「FortiGateの設定のデバッグ」を参照してください。

diagnose debug application urlfilter -1

URLフィルタリングのデバッグについては、133ページの「FortiGateの設定のデバッグ」を参照してください。

debug flow

FortiGate ユニットを通り抜けるパケットフローを表示します。パケットが受信されると、FortiGate ユニットでそのパケットがどのように処理されるかを示すデバッグメッセージを表示できます。以下のコマンドは、IPアドレスを含むパケットフローの 100 個のパケットをコンソールに出力します。

diagnose debug enablediagnose debug flow show console enablediagnose debug flow filter add 10.10.20.30diagnose debug flow trace start 100

202ページの「トラフィックがセキュリティポリシーで処理されていることの確認」を参照してください。

312

32 1



http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-troubleshooting-40-mr3.pdf

http://docs.fortinet.com/fgt/handbook/40mr3/fortigate-troubleshooting-40-mr3.pdf


debug info

FortiGate ユニットでデバッグがどのように設定されているかに関する情報を表示します。このコマンドは、一連の diag debugコマンドの前に実行してください。これにより、どのようなフィルターが適用されてい

るかを知ることができます。そうしないと、期待どおりの出力が得られ

ないことがあります。133 ページの「FortiGate の設定のデバッグ」を参照してください。

firewall statistic show

ファイアウォールのスループット情報をパケット数およびバイト数の両

方で表示します。カテゴリーには、DNS、FTP、IM、P2P、VoIP などの一般的なアプリケーションがあります。また、TCP、UDP、ICMP、IPなどの低レベルプロトコルも含まれます。

fortitoken drift FortiGateユニットに登録されている、設定済みの各 FortiTokenのドリフトを表示します。

hardware certificate FortiGate ユニットのすべての証明書を確認します。各証明書について、名前、実行されたテスト、およびその結果が表示されます。

hardware deviceinfo diskFortiGate ユニットのすべてのディスクを表示します。これにはハードディスクや SSDディスクが含まれます。パーティション、サイズ、空きスペースなどの情報が返されます。

hardware deviceinfo nic eth0

インターフェースに接続されているネットワークカードに関する情報を表

示します。表示される情報は NICのタイプによって異なります。VLAN id、ステート、リンク、速度、送受信されたパケット数やバイト数などの情報

が返されます。この NICのMACは Current_HWaddrと Permant_HWaddrです。NICを変更した場合に古い MACと新しい MACを両方確認できるのはここだけです。

ips urlfilter statusURL フィルターの統計を表示します。この情報には、リクエスト数、レスポンス数、ペンディングレスポンス数、エラー数、タイムアウト数、ブ

ロック数、許可数などが含まれます。

netlink brctl list

FortiGateユニットのブリッジテーブルの情報を表示します。これは、トランスペアレントモードのトラブルシューティングに役立ちます。ブリッジ

名がわかったら、diag netlink brctl domain <bridge_name>を使用して、そのフォワーディングドメインをチェックできます。

sniffer packet any “port 80” 4

通常 HTTPで使用されるポート 80の任意の FortiGateインターフェースでパケットをキャプチャーします。詳細レベル 4では、パケットヘッダー情報とインターフェース名が表示されます。この情報をもとに、セキュ

リティポリシーやネットワーク接続をテストしたり、ロストしたパケッ

トがどこへ行っているかを見つけたりできます。123ページの「パケットスニフィングによるトラブルシューティング（パケットキャプチャー）」

を参照してください。

sys session full-statセッションテーブルの詳細を表示します。この情報には、セッションテー

ブルのサイズ、各ステートのセッション数、エラー数、およびその他の

統計が含まれます。

test logデフォルトのログメッセージを生成します。これにより、リモートログ

サーバー接続などのログ機能をテストできます。393 ページの「バックアップログソリューションの作成」を参照してください。




test update info

アップデートデーモンの情報を表示します。この情報には、アップデー

トデーモンから最後に送信されたメッセージセット、現在のオブジェク

トバージョン、次にスケジュールされているアップデート、さまざまな

アップデートの成功、失敗、およびリトライのカウンターなどが含まれ

ます。

vpn tunnel list現在のVDOMに設定されているすべての IPsec VPNトンネルを表示します。これは、問題が起こったトンネルの両端で設定を比較するときに役

立ちます。



the fortigate cookbook fortios 5.0 ～fortigateを活用するための

Documents