本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、そのコンフィグの仕組み、コンフィグテキストの構造、CLI での設定変更手順について説明します。

FortiGate を初めて設定する人がスムーズに設定作業を実施できるようになることを目的としています。

対象環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

• FortiGate-60F
  • バージョン 7.4.3

FortiGate の実行コンフィグと保存コンフィグは同一

FortiGate ではランニングコンフィグ、スタートアップコンフィグといった概念は存在しません。確定された設定変更は即座に保存され、かつ機器動作にも即時反映されます。

Cisco システムズ社のネットワーク機器など多くのネットワーク機器では、機器動作に影響する実行コンフィグ（ランニングコンフィグ）と保存コンフィグ（スタートアップコンフィグ）という概念がありますが、一方 FortiGate にはこのような仕組みはありません。

また例えば Palo Alto ネットワークス社のファイアウォール製品である PA シリーズでは編集中コンフィグ（candidate config）とコミット（設定変更の反映）という概念がありますが、FortiGate については（デフォルト設定では）このような仕組みではありません。

FortiGate でも設定変更することによりコンフィグ管理の仕組みを Palo Alto ファイアウォールのような動作に変更することができます。ただし、私の経験の中ではそのように設定変更していた案件は一件もありませんでした。

FortiGate のコンフィグ構造

まず、FortiGate のコンフィグは他メーカのネットワーク機器のコンフィグと比較して非常に行数が多いです。

例えば FortiGate 60F v7.4.3 のデフォルト状態のコンフィグは約1万行あります。デフォルト値も含めてすべて表示するフルコンフィグの場合は3万行を超えてきます。

とはいえ、構築時に考慮する項目は限られているので、どのようにコンフィグを見ていけばよいのかを理解してもらえればと思います。

CLI でのコンフィグの表示コマンド

FortiGate のコンフィグは非常に長いため、シリアルコンソール接続でのコンフィグ表示は推奨していません。SSH 接続をして表示することをお勧めします。

CLI でコンフィグを表示したい場合は以下のコマンドを実行します。

FortiGate-60F # show

#config-version=FGT60F-7.4.3-FW-build2573-240201:opmode=1:vdom=0:user=admin
#conf_file_ver=327023104960855
#buildno=2573
#global_vdom=1
config system timezone "Africa/Windhoek"
end
config system timezone "Africa/Casablanca"
end
(以下略)

各階層は config で始まり end で終わる

FortiGate のコンフィグは階層構造となっています。

例えばグローバル設定階層のコンフィグは以下のようになっています。

config system global
    set admintimeout 400
    set alias "FortiGate-60F"
    set gui-auto-upgrade-setup-warning disable
    set hostname "FortiGate-60F"
    set language japanese
    set switch-controller enable
    set timezone "Asia/Tokyo"
    set virtual-switch-vlan enable
end

config system globalで始まりendで終わっています。また、階層内に各設定項目が含まれています。

FortiGate のコンフィグにはこのような config ～ end の階層が以下のように並列して多数存在します。

config ...
    set ...
    ...
end

config ...
    set ...
    ...
end

...

個々の設定項目は set から始まる

以下のようにsetから始まる行は個別の設定項目を示しています。

    set hostname "FortiGate-60F"

setの後には項目名と設定値が続きます。

オブジェクト設定は edit で始まり next で終わる

config ～ end の階層の中にオブジェクト設定が含まれている場合があります。

例えばインターフェース設定の階層では、以下のように個別のインターフェースを示すオブジェクト設定が含まれています。editで始まりnextで終わっていることがわかるかと思います。

config system interface
    edit "wan1"
        set vdom "root"
        set mode dhcp
        set allowaccess ping fgfm
        set type physical
        set role wan
        set snmp-index 1
    next
    ...
end

edit “wan1” ～ next の部分は wan1 インターフェースの設定内容を示しています。

ファイアウォールポリシー、アドレスオブジェクト、スタティックルート等もコンフィグ上では edit オブジェクトとして表現されます。

config ～ end 階層が多重になっている場合もある

以下のように config ～ end 階層の中にさらに config ～ end 階層が存在する場合があります。

config router multicast
    set route-limit 2147483647
    set multicast-routing disable
    config pim-sm-global
        set message-interval 60
        set join-prune-holdtime 210
        ...
    end
end

階層を指定したコンフィグの表示

単にshowやshow full-configurationを実行した場合コンフィグ全体が表示されますが、階層を指定してその階層のコンフィグのみを表示することができます。

階層を指定するときは「config ●●●」のうち「config」を除いた部分を指定します。以下のような形です。

• config system interface ⇒ show system interface
• config firewall policy ⇒ show firewall policy
• config router static ⇒ show router static

CLI での設定変更手順

CLI で設定変更をする場合、以下のような手順になります。

config 階層内の set 項目を設定する場合

FortiGate-60F #

FortiGate-60F # config system global

FortiGate-60F (global) #

FortiGate-60F (global) # set hostname MyFortiGate-60F

FortiGate-60F (global) #

FortiGate-60F (global) # show
config system global
    set admintimeout 400
    set alias "FortiGate-60F"
    set gui-auto-upgrade-setup-warning disable
    set hostname "MyFortiGate-60F"
    set language japanese
    set switch-controller enable
    set timezone "Asia/Tokyo"
    set virtual-switch-vlan enable
end

FortiGate-60F (global) #

FortiGate-60F (global) # end

MyFortiGate-60F #

FortiGate-60F (global) # abort

FortiGate-60F #

config 階層内の edit オブジェクト内の set 項目を設定する場合

FortiGate-60F #

FortiGate-60F # config system interface

FortiGate-60F (interface) #

FortiGate-60F (interface) # edit internal1

FortiGate-60F (internal1) #

FortiGate-60F (internal1) # set ip 10.20.30.100/24

FortiGate-60F (internal1) #

FortiGate-60F (internal1) # show
config system interface
    edit "internal1"
        set vdom "root"
        set ip 10.20.30.100 255.255.255.0
        set type physical
        set snmp-index 4
    next
end

FortiGate-60F (internal1) #

FortiGate-60F (internal1) # next

FortiGate-60F (interface) #

FortiGate-60F (internal1) # abort

FortiGate-60F #

FortiGate-60F (internal1) # end

FortiGate-60F #

FortiGate-60F (interface) # end

FortiGate-60F #

設定値をデフォルトに戻す方法

set項目の設定値をデフォルト値に戻したい場合は対象の set 項目が含まれる階層に移動した状態で以下コマンドを実行します。

FortiGate-60F (internal1) # unset ip

FortiGate-60F (internal1) #

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

• 基礎知識
  • FortiGate の設計構築を初めて行う人へ基礎知識を共有します
  • FortiGate メーカー公式マニュアル利用ガイド
  • FortiGate コンフィグの仕組みと CLI 設定変更ガイド
  • 初期設定
    • FortiGate 初期設定を CLI で実施するためのマニュアル
    • FortiGate デフォルトで存在する不要な設定の削除マニュアル
  • 基本操作
    • FortiGate のコンフィグ初期化及びローカルログ削除マニュアル
    • FortiGate コンフィグのバックアップ及びリストア実施マニュアル
    • FortiGate CLI でのコンフィグバックアップ・リストア実行ガイド
    • FortiGate コンフィグのリビジョン管理と設定リストア実行ガイド
    • FortiGate Ping を打ち続けたりソースアドレスを指定したりする方法
  • バージョンアップ
    • 【詳解】FortiGate OS バージョンアップマニュアル
    • FortiGate CLI でのバージョンアップ実施ガイド
    • FortiGate バージョン変更後に Fatal error: Loading FOS fails! となり起動できない場合の対処方法
    • FortiGate HA 構成でのバージョンアップ実施ガイド【動作仕様と断時間】 ※note記事
• HA (冗長構成) 設定
  • FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
  • FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
  • FortiGate HA 構成時のコンフィグ同期の仕様について解説します
  • FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
  • FortiGate HA 構成時の仮想 MAC アドレスについて解説します
  • FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
  • FortiGate HA 構成時のバックアップ及びリストア実施ガイド
  • FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
  • FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
• VDOM (バーチャルドメイン) 設定
  • FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
• トランスペアレントモード設定
  • FortiGate トランスペアレントモード基本設定ガイド【L2動作モード】
  • FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説
  • FortiGate トランスペアレント HA での切り替わり時の GARP 送信の仕様について解説
• システム系設定
  • 管理者アカウント設定
    • FortiGate 管理者アカウントの設定変更及び新規作成ガイド
  • 時刻・NTP 設定
    • FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
  • ロギング・Syslog 送信設定
    • FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
    • FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
  • SNMP 設定
    • FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
  • DHCP サーバ機能設定
    • FortiGate DHCP サーバ機能設定ガイド
    • FortiGate での DHCP リレー設定ガイド
  • Proxy サーバ機能設定
    • FortiGate を Proxy サーバとして使用するための設定ガイド
  • アラートメール送信
    • FortiGate 設定変更発生時のアラートメール送信設定ガイド
• ネットワーク系設定
  • インターフェース設定
    • FortiGate インターフェース基本設定ガイド
    • FortiGate タグVLAN (VLANインターフェース) 設定ガイド
    • FortiGate VLANスイッチを使用したタグVLAN通信設定ガイド
    • FortiGate リンクアグリゲーションによるリンク冗長化設定ガイド
    • FortiGate で PPPoE 接続するための設定ガイド
  • ルーティング設定
    • FortiGate スタティックルート設定ガイド
    • FortiGate リンクモニタによる経路監視と自動経路切替の設定ガイド
    • FortiGate ポリシールート設定ガイド [送信元や宛先でルートを変更]
    • BGP
      • FortiGate BGP 基本設定ガイド AS,Neighbor,Network
      • FortiGate BGPルートのLocal-Preference,MED,AS-Path設定方法
      • FortiGate BGP でデフォルトルートを広報するための設定方法
      • FortiGate BGP ルートフィルタ設定ガイド【Distribute list in,out】
  • DNS 設定
    • FortiGate DNS ルックアップ用 DNS サーバと DNS サーバ機能の設定ガイド
  • NAT 及び NAPT 設定
    • FortiGate 送信元アドレス変換 (送信元 NAT,NAPT) 設定ガイド
    • FortiGate 宛先NAT,NAPT,ポートフォワーディング設定ガイド
    • FortiGate でのヘアピン NAT 設定ガイド
    • FortiGate セントラル NAT による送信元 NAT・宛先 NAT 設定ガイド
• ファイアウォール系設定
  • アドレス設定
    • FortiGate アドレスオブジェクト設定ガイド
  • サービス設定
    • FortiGate サービスオブジェクト設定ガイド
  • ファイアウォールポリシー設定
    • FortiGate ファイアウォールポリシー設定ガイド
    • FortiGate MAC アドレスフィルタリング設定ガイド
    • FortiGate ローカルインポリシーで管理アクセスを制限する方法
  • ゾーンを使用したポリシー設定
    • FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
• VPN 系設定
  • SSL-VPN 設定
    • FortiGate SSL-VPN 設定ガイド(AD 認証編)-テレワーク環境構築にも
    • FortiGate SSL-VPN 設定ガイド (Azure AD 認証編)
    • FortiGate クライアント証明書認証による SSL-VPN 設定ガイド
    • FortiGate SSL-VPN Email によるワンタイムパスワード設定ガイド
  • IPsec VPN 設定
    • FortiGate 拠点間 IPsec VPN 接続設定ガイド
• Tips
  • FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
  • FortiGate 設計構築時に役立つ Tips

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

monofive RJ45-USB Cisco互換コンソールケーブル コネクタ保護カバー付き FTDIチップ MF-CBRJ45USB

Amazonで詳しくみる

エレコム CAT6中継コネクタ LD-RJ45JJ6Y2

Amazonで詳しくみる

エレコム CAT6 GigabitやわらかLANケーブル (ブルー)

Amazonで詳しくみる

サンワサプライ(Sanwa Supply) RJ-45プラグSOS ADT-RJ45SOS-10

Amazonで詳しくみる

バッファロー BUFFALO 有線LANアダプター LUA4-U3-AGTE-NBK ブラック Giga USB3.0対応 簡易パッケージ

Amazonで詳しくみる

【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済

Amazonで詳しくみる

note メンバーシップへの参加もお待ちしています！

note（ノート）

陰の構築者たちのメンバーシップ｜シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ（https://shadowgarden.org/）にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。