【注意】FortiGate ver.7.4.5 からすべてのモデルでファームウェア自動更新機能がデフォルト有効になりました> Membership

FortiGate ファイアウォールポリシー設定ガイド

目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate におけるファイアウォールポリシーの設定方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

ファイアウォールポリシーとは

ファイアウォールでは、以下のような情報を指定して指定の通信について許可または拒否するよう設定を行います。この設定は「ファイアウォールポリシー」と呼ばれます。短縮して単に「ポリシー」と呼ばれることが多いです。

ファイアウォールポリシーの設定項目の例
  • 送信元情報
    • 送信元インターフェース
    • 送信元アドレス
  • 宛先情報
    • インターフェース
    • 宛先アドレス
    • 宛先ポート番号(サービス)
  • アクション
    • 許可または拒否

通信許可のポリシー設定を追加することを「ポート開放」や「穴あけ」と表現する人もいます。

ファイアウォールポリシー設定の準備

ファイアウォールポリシーでは送信元アドレスや宛先アドレス、サービス(宛先ポート番号)を指定しますが、これらの指定にはあらかじめ作成されているアドレスオブジェクトやサービスオブジェクトを指定します。このためファイアウォールポリシーの設定で使用する各オブジェクトを先に作成しておく必要があります。

アドレスオブジェクト及びサービスオブジェクトの設定方法については以下の記事にまとめているため必要に応じて参照してください。

あわせて読みたい
FortiGate アドレスオブジェクト設定ガイド 本記事について 本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するアドレスオブジェクトの設...
あわせて読みたい
FortiGate サービスオブジェクト設定ガイド 本記事について 本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するサービスオブジェクトの設...

ファイアウォールポリシーの設定方法

GUI でのファイアウォールポリシー設定方法

STEP
ファイアウォールポリシー画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > ファイアウォールポリシー」をクリックします。

STEP
ファイアウォールポリシー新規作成画面の表示

表示された画面の左上にある「新規作成」をクリックします。

STEP
ファイアウォールポリシーの設定

ファイアウォールポリシー設定画面が表示されるため各項目を設定します。

  • 名前」には任意のポリシー名を入力します。
  • 着信インターフェース」では対象通信が着信するインターフェースを指定します
  • 発信インターフェース」では対象通信の出口となるインターフェースを指定します
  • 送信元」では対象通信の送信元アドレスをアドレスオブジェクトで指定します
  • Security posture tag」は ZTNA 機能に関わる設定です。通常は設定する必要はありません
  • 宛先」では対象通信の宛先アドレスをアドレスオブジェクトで指定します
  • スケジュール」ではこのポリシーの有効化スケジュールを設定します。通常は「always」を設定し常に有効とします
  • サービス」では対象通信のサービスをサービスオブジェクトで指定します
  • アクション」では対象通信を許可するのか拒否するのかを指定します

続きの項目も設定していきます。

  • NAT」は送信元アドレス変換です。必要な場合は有効にします
  • IPプール」設定では NAT での変換先アドレスを設定します
    • 発信インターフェースアドレスを使用」の場合は FortiGate のインターフェースのアドレスに変換されます
    • ダイナミックIPプールを使う」の場合はあらかじめ作成しておいたIPプールを使用します
  • 送信元ポートの保持」は NAT の際に送信元ポートを変換したくない場合に有効化します
  • プロトコルオプション」ではプロトコル固有の処理をしたいときに設定します。通常はデフォルトのままにします
  • セキュリティプロファイル欄の各項目は UTM 機能に該当します。使用したい機能があれば有効化し、該当機能のプロファイルを指定します。ファイアウォール機能のみ使用する場合は無効のままで問題ありません

更に続きの項目を設定します。

  • 許可トラフィックをログ」を有効にするとこのポリシーで許可された通信に関するログが保存されます
    • セキュリティイベント」を選択すると UTM 機能に関するログのみが保存されます
    • すべてのセッション」を選択すると通常のトラフィックログが保存されます
  • コメントを設定したい場合はコメント欄に入力します
  • Enable this policy」はこのポリシーの有効・無効の設定です。通常は有効とします

異常が設定できたら画面下部の④「OK」をクリックして設定を確定します。

STEP
設定の確認

ファイアウォールポリシー画面に戻ります。設定したポリシーがリストに追加されていることを確認します。

以上でファイアウォールポリシーの設定は完了です。

CLI でのファイアウォールポリシー設定方法

CLI でファイアウォールポリシーを設定する場合はconfig firewall policyで設定します。

ファイアウォールポリシーのコンフィグは以下のようにedit項目で表されます。

config firewall policy
    edit 1
        set name "SamplePolicy"
        set uuid 0668e1b6-eb72-51ee-a1b6-a08087e65cb0
        set srcintf "internal1"
        set dstintf "wan1"
        set action accept
        set srcaddr "10.10.11.0/24" "10.10.12.0/24"
        set dstaddr "all"
        set schedule "always"
        set service "Web Access"
        set nat enable
    next
end

edit ID とポリシー名の設定

ファイアウォールポリシーのeditの ID は 1 以上の整数値となります。新規にポリシーを設定する場合は未使用の ID を選んで設定する必要があります。またポリシー名はedit内のset nameで設定します。

config firewall policy
    edit 1
        set name "SamplePolicy"
    next
end

インターフェース、送信元、宛先、サービス、スケジュール、アクション

GUI 項目名CLI 項目名デフォルト値(CLI)
着信インターフェースsrcintf
発信インターフェースdstintf
送信元srcaddr
宛先dstaddr
スケジュールschedule
サービスservice
アクションactiondeny
config firewall policy
    edit 1
        set srcintf "internal1"
        set dstintf "wan1"
        set srcaddr "10.10.11.0/24" "10.10.12.0/24"
        set dstaddr "all"
        set schedule "always"
        set service "Web Access"
        set action accept
    next
end

送信元アドレスやサービスなどで複数の値を設定する場合は上記コンフィグ例のset srcaddr "10.10.11.0/24" "10.10.12.0/24"のように値を半角スペース区切りで指定します。

NAT の設定

NAT を有効にし、「発信インターフェースアドレスを使用」(FortiGate のインターフェースアドレスに変換) とする場合は単にset nat enableにするだけでOKです。

config firewall policy
    edit 1
        set nat enable
    next
end

IPプールを使用する場合は追加でset ippool enableを設定し、さらにset poolnameで使用するプールを指定します。

config firewall policy
    edit 1
        set nat enable
        set ippool enable
        set poolname mypool
    next
end

ロギングオプションの設定

ログ設定はset logtrafficで行います。値の選択肢は以下の3つです。

  • all:すべてのセッション
  • utm:セキュリティイベント
  • disable:ロギング無効
config firewall policy
    edit 1
        set logtraffic all
    next
end

ポリシーの有効化・無効化

ポリシーの有効化・無効化はset status <enable|disable>で行います。

config firewall policy
    edit 1
        set status enable
    next
end

CLI でのファイアウォールポリシー設定については以上です。

ファイアウォールポリシーの適用順序に注意

ファイアウォールポリシーには適用順序があります。

FortiGate に通信が着信したとき FortiGate はファイアウォールポリシーを設定に基づいた順番で一つずつ評価していき、一番最初に条件に合ったポリシーに基づいて通信の許可、拒否が決定されます

例えば、拒否ポリシーの後に許可ポリシーがある場合、本当は許可したい通信が先に評価される拒否ポリシーで拒否されてしまうといったことも起こり得るため注意が必要です。

ファイアウォールポリシーの適用順序の確認

ファイアウォールポリシーの適用順は手動で順番の変更を行わない限りは設定した順に適用されますが、GUI のファイアウォールポリシー画面のインターフェースペアビュー(デフォルトの画面)では順番の変更が行われているかどうかは判断できません。

現在のポリシーの適用順がどうなっているかは GUI ではポリシー画面の「シーケンス別」画面で確認できます。ファイアウォールポリシー画面の右上の「インターフェースペアビュー」をクリックし、さらに「シーケンス別」をクリックします。

すると以下のような画面表示となります。このシーケンス別の画面で表示されている上から下の順でポリシーが適用されます。

CLI でファイアウォールポリシーの適用順を確認する場合は、config firewall policyのコンフィグの中でのedit項目の並び順で確認できます。上に表示されるポリシーから下に向かって適用されます。

config firewall policy
    edit 1
        set ...
        ...
    next
    edit 2
        set ...
        ...
    next
    edit 3
        set ...
        ...
    next
    edit 4
        set ...
        ...
    next
    edit 5
        set ...
        ...
    next
end

GUI での ID の番号順、または CLI での edit の番号順で適用されると思うかもしれませんが、GUI での ID 番号(= CLI での edit 番号)はポリシーの適用順とは関係ありません。

ファイアウォールポリシーの適用順の変更方法

ファイアウォールポリシーの適用順は変更することができます。

ポリシーの適用順を確認できるシーケンス別の画面にて、各ポリシーの ID 欄をドラッグするとポリシーの位置を上下に移動することができます。これによりポリシーの適用順を変更できます。

CLI でポリシーの適用順を変更する場合は、config firewall policy内で以下コマンドを実行します。

  • move <edit番号A> after <edit番号B>
    • <edit番号A>のポリシーを<edit番号B>のポリシーの後に移動します
  • move <edit番号A> before <edit番号B>
    • <edit番号A>のポリシーを<edit番号B>のポリシーの前に移動します
FortiGate-60F # config firewall policy
FortiGate-60F (policy) # move 1 after 3
FortiGate-60F (policy) # move 5 before 2
FortiGate-60F (policy) # end
FortiGate-60F #

暗黙の拒否ポリシー

FortiGate では一番最後に適用されるポリシーとして「暗黙の拒否」ポリシーが存在し、このポリシーは消したり設定変更したりすることができません。(ただしログ保存設定のみは可能です。)

暗黙の拒否ポリシーにより、どのファイアウォールポリシーにも合致しなかった通信については拒否されます。

以上です。


【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次