本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するサービスオブジェクトの設定方法について記載します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
サービスオブジェクトとは
サービスオブジェクトとは、主にファイアウォールポリシーを設定する際の「サービス」の設定で使用されるオブジェクトで、その内容としてプロトコル(TCP、UDP等)とポート番号の組み合わせを示すオブジェクトです。
- HTTP は TCP の 80 番ポートのサービスとなります
- HTTPS は TCP の 443 番ポートのサービスとなります
- DNS は UDP の 53 番ポートのサービスとなります
デフォルトで存在するサービスオブジェクト
FortiGate では一般的によく使われるサービスについてはデフォルトでオブジェクトが存在します。
デフォルトのオブジェクトを使用しても良いし、新たに分かりやすい名前を付けたサービスを作成して使用しても問題ありません。
サービスグループとは
サービスグループとは、複数のサービスオブジェクトをまとめたグループです。ファイアウォールポリシーのサービス設定にて、複数のサービスオブジェクトを設定するのではなく一つのサービスグループを指定するといった使い方ができます。
サービスオブジェクトの設定方法
GUI でのサービスオブジェクト設定方法
GUI にログインし左側のメニューから「ポリシー&オブジェクト > サービス」をクリックします。
「サービス」タブが表示されていることを確認し、「新規作成」をクリックします。
サービス設定画面が表示されるため各項目を設定します。
- 「名前」では任意のサービス名を入力します。プロトコルとポート番号が分かるような名前にすることが多いです
- 「コメント」では説明コメントを設定したい場合入力します
- 「カラー」では GUI 上のアイコンの色を変えたい場合変更します
- 「カテゴリ」ではサービスの分類先のカテゴリを任意に選択します。これは動作には影響のない設定です
- 「プロトコルタイプ」では以下から選択します。ここでは「TCP/UDP/SCTP」を選択する場合について説明します
- TCP/UDP/SCTP
- ICMP
- IP
- 「アドレス」ではサービスに対応付けるアドレスを指定できますが、通常は設定する必要はありません
- 宛先ポートのプロトコルを「TCP」「UDP」「SCTP」から選択します
- 宛先ポート範囲の開始番号を指定します
- 宛先ポート範囲の終了番号を指定します。単一のポート番号のみ指定する場合は未入力とします
- 2つ以上の宛先プロトコル・ポートを指定したい場合はクリックして追加の入力欄を表示します
- 送信元ポートを指定したい場合はトグルを有効化します。通常は送信元ポートは設定しません
以上の設定ができたら⑫「OK」をクリックして設定を確定します。
サービス画面に戻るため、設定したサービスがリストに追加されていることを確認します。
以上でサービスの設定は完了です。
CLI でのサービスオブジェクト設定方法
サービスオブジェクト設定はconfig firewall service custom
にて行います。
サービスオブジェクトはコンフィグ上では以下のように一つのedit
項目として表されます。
config firewall service custom
edit "TCP_12345"
set uuid a59e52c6-eaa9-51ee-9458-6fb7196be2a4
set proxy disable
set category "Network Services"
set protocol TCP/UDP/SCTP
set helper auto
set check-reset-range default
set comment ''
set color 0
set fabric-object disable
set iprange 0.0.0.0
set fqdn ''
set tcp-portrange 12345
unset udp-portrange
unset sctp-portrange
set tcp-halfclose-timer 0
set tcp-halfopen-timer 0
set tcp-timewait-timer 0
set tcp-rst-timer 0
set udp-idle-timer 0
set session-ttl 0
next
end
サービス名の設定
サービス名はedit
項目の ID として設定されます。以下のコンフィグはサービス名が「TCP_12345」であることを示しています。
config firewall service custom
edit "TCP_12345"
...
next
end
カテゴリの設定
カテゴリの設定はset category
で行います。
config firewall service custom
edit "TCP_12345"
set category "Network Services"
next
end
カテゴリの選択肢は以下の通りです。
- General
- Web Access
- File Access
- Network Services
- Authentication
- Remote Access
- Tunneling
- VoIP, Messaging & Other Applications
- Web Proxy
プロトコルタイプの設定
プロトコルタイプはset protocol
で設定します。
config firewall service custom
edit "TCP_12345"
set protocol TCP/UDP/SCTP
next
end
値の選択肢は以下の通りです。
FortiGate-60F (TCP_12345) # set protocol
TCP/UDP/SCTP TCP, UDP and SCTP.
ICMP ICMP.
ICMP6 ICMP6.
IP IP.
プロトコルと宛先ポートの設定
プロトコルと宛先ポート番号は以下の何れかの項目で設定します。
set tcp-portrange <ポート>
- TCP の場合
set udp-portrange <ポート>
- UDP の場合
set tcp-portrange
とset udp-portrange
は両方同時に設定することもできます。
- 単一のポート番号を指定したい場合は以下のようなコンフィグになります
config firewall service custom
edit "TCP_12345"
set tcp-portrange 12345
next
end
- ポート番号を範囲で指定したい場合は以下のように「<最小値>-<最大値>」の形式で指定します
config firewall service custom
edit "TCP_12345"
set tcp-portrange 1000-1500
next
end
- 複数のポート番号を指定したい場合は以下のように半角スペース区切りで値を指定します
config firewall service custom
edit "TCP_12345"
set udp-portrange 1000 2000
next
end
その他のオプション項目
set comment
→コメントset color
→カラーset iprange
→IP範囲set session-ttl
→セッションTTL
config firewall service custom
edit "TCP_12345"
set comment ''
set color 0
set iprange 0.0.0.0
set session-ttl 0
next
end
CLI でのサービスオブジェクトの設定方法については以上です。
サービスグループの設定方法
サービスオブジェクトをまとめてグループ化するサービスグループの設定方法について説明します。
GUI でのサービスグループの設定方法
GUI にログインし左側のメニューから「ポリシー&オブジェクト > サービス」をクリックします。
「サービスグループ」タブをクリックして表示し、「新規作成」をクリックします。
サービスグループ設定画面が表示されるため各項目を設定します。
- 「名前」では任意のサービスグループ名を入力します
- 「コメント」では必要な場合説明コメントを入力します
- GUI のアイコンの色を変えたい場合は「カラー」を変更します
- サービスグループに所属させるサービスオブジェクトを指定するため「+」をクリックします
- リストの中からメンバーに入れたいサービスをクリックして追加します
以上の設定ができたら⑥「OK」をクリックして設定を確定します。
サービスグループ画面に戻るため、設定したサービスグループがリストに追加されていることを確認します。
以上でサービスグループの設定は完了です。
CLI でのサービスグループの設定方法
サービスグループの設定はconfig firewall service group
で行います。
サービスグループはコンフィグ上では以下のように一つのedit
項目として表されます。
config firewall service group
edit "MyServiceGroup"
set uuid e65655f2-eaae-51ee-7797-3b7d80b33178
set proxy disable
set member "DNS" "FTP" "HTTP" "HTTPS"
set comment ''
set color 0
set fabric-object disable
next
end
サービス名の設定
サービスグループ名はedit
項目の ID として設定されます。以下のコンフィグはグループ名が「MyServiceGroup」であることを示しています。
config firewall service group
edit "MyServiceGroup"
...
next
end
メンバー、コメント、カラーの設定
サービスグループの設定としては、最低限メンバーを設定すれば OK です。その他はオプションです。
set member
→メンバー- 半角スペース区切りで複数のサービスオブジェクト名を指定します
set comment
→コメントset color
→カラー
config firewall service group
edit "MyServiceGroup"
set member "DNS" "FTP" "HTTP" "HTTPS"
set comment ''
set color 0
next
end
CLI でのサービスグループの設定方法については以上です。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント