【注意】FortiGate RAM 2GB以下の小型モデルで ver.7.4.4からProxy機能廃止、ver.7.6.0からSSL-VPN機能廃止 被害者が散見しています> Membership

FortiGate サービスオブジェクト設定ガイド

目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、ファイアウォールポリシーを設定する際に使用するサービスオブジェクトの設定方法について記載します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

サービスオブジェクトとは

サービスオブジェクトとは、主にファイアウォールポリシーを設定する際の「サービス」の設定で使用されるオブジェクトで、その内容としてプロトコル(TCP、UDP等)とポート番号の組み合わせを示すオブジェクトです。

画像:ファイアウォールポリシー設定画面
  • HTTP は TCP の 80 番ポートのサービスとなります
  • HTTPS は TCP の 443 番ポートのサービスとなります
  • DNS は UDP の 53 番ポートのサービスとなります

デフォルトで存在するサービスオブジェクト

FortiGate では一般的によく使われるサービスについてはデフォルトでオブジェクトが存在します。

デフォルトのオブジェクトを使用しても良いし、新たに分かりやすい名前を付けたサービスを作成して使用しても問題ありません。

サービスグループとは

サービスグループとは、複数のサービスオブジェクトをまとめたグループです。ファイアウォールポリシーのサービス設定にて、複数のサービスオブジェクトを設定するのではなく一つのサービスグループを指定するといった使い方ができます。

サービスオブジェクトの設定方法

GUI でのサービスオブジェクト設定方法

STEP
サービス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > サービス」をクリックします。

STEP
サービスの新規作成画面の表示

サービス」タブが表示されていることを確認し、「新規作成」をクリックします。

STEP
サービスの設定

サービス設定画面が表示されるため各項目を設定します。

  • 名前」では任意のサービス名を入力します。プロトコルとポート番号が分かるような名前にすることが多いです
  • コメント」では説明コメントを設定したい場合入力します
  • カラー」では GUI 上のアイコンの色を変えたい場合変更します
  • カテゴリ」ではサービスの分類先のカテゴリを任意に選択します。これは動作には影響のない設定です
  • プロトコルタイプ」では以下から選択します。ここでは「TCP/UDP/SCTP」を選択する場合について説明します
    • TCP/UDP/SCTP
    • ICMP
    • IP
  • アドレス」ではサービスに対応付けるアドレスを指定できますが、通常は設定する必要はありません
  • 宛先ポートのプロトコルを「TCP」「UDP」「SCTP」から選択します
  • 宛先ポート範囲の開始番号を指定します
  • 宛先ポート範囲の終了番号を指定します。単一のポート番号のみ指定する場合は未入力とします
  • 2つ以上の宛先プロトコル・ポートを指定したい場合はクリックして追加の入力欄を表示します
  • 送信元ポートを指定したい場合はトグルを有効化します。通常は送信元ポートは設定しません

以上の設定ができたら⑫「OK」をクリックして設定を確定します。

STEP
設定の確認

サービス画面に戻るため、設定したサービスがリストに追加されていることを確認します。

以上でサービスの設定は完了です。

CLI でのサービスオブジェクト設定方法

サービスオブジェクト設定はconfig firewall service customにて行います。

サービスオブジェクトはコンフィグ上では以下のように一つのedit項目として表されます。

config firewall service custom
    edit "TCP_12345"
        set uuid a59e52c6-eaa9-51ee-9458-6fb7196be2a4
        set proxy disable
        set category "Network Services"
        set protocol TCP/UDP/SCTP
        set helper auto
        set check-reset-range default
        set comment ''
        set color 0
        set fabric-object disable
        set iprange 0.0.0.0
        set fqdn ''
        set tcp-portrange 12345
        unset udp-portrange
        unset sctp-portrange
        set tcp-halfclose-timer 0
        set tcp-halfopen-timer 0
        set tcp-timewait-timer 0
        set tcp-rst-timer 0
        set udp-idle-timer 0
        set session-ttl 0
    next
end

サービス名の設定

サービス名はedit項目の ID として設定されます。以下のコンフィグはサービス名が「TCP_12345」であることを示しています。

config firewall service custom
    edit "TCP_12345"
        ...
    next
end

カテゴリの設定

カテゴリの設定はset categoryで行います。

config firewall service custom
    edit "TCP_12345"
        set category "Network Services"
    next
end

カテゴリの選択肢は以下の通りです。

  • General
  • Web Access
  • File Access
  • Email
  • Network Services
  • Authentication
  • Remote Access
  • Tunneling
  • VoIP, Messaging & Other Applications
  • Web Proxy

プロトコルタイプの設定

プロトコルタイプはset protocolで設定します。

config firewall service custom
    edit "TCP_12345"
        set protocol TCP/UDP/SCTP
    next
end

値の選択肢は以下の通りです。

FortiGate-60F (TCP_12345) # set protocol
TCP/UDP/SCTP    TCP, UDP and SCTP.
ICMP            ICMP.
ICMP6           ICMP6.
IP              IP.

プロトコルと宛先ポートの設定

プロトコルと宛先ポート番号は以下の何れかの項目で設定します。

  • set tcp-portrange <ポート>
    • TCP の場合
  • set udp-portrange <ポート>
    • UDP の場合

set tcp-portrangeset udp-portrangeは両方同時に設定することもできます。

  • 単一のポート番号を指定したい場合は以下のようなコンフィグになります
config firewall service custom
    edit "TCP_12345"
        set tcp-portrange 12345
    next
end
  • ポート番号を範囲で指定したい場合は以下のように「<最小値>-<最大値>」の形式で指定します
config firewall service custom
    edit "TCP_12345"
        set tcp-portrange 1000-1500
    next
end
  • 複数のポート番号を指定したい場合は以下のように半角スペース区切りで値を指定します
config firewall service custom
    edit "TCP_12345"
        set udp-portrange 1000 2000
    next
end

その他のオプション項目

  • set comment→コメント
  • set color→カラー
  • set iprange→IP範囲
  • set session-ttl→セッションTTL
config firewall service custom
    edit "TCP_12345"
        set comment ''
        set color 0
        set iprange 0.0.0.0
        set session-ttl 0
    next
end

CLI でのサービスオブジェクトの設定方法については以上です。

サービスグループの設定方法

サービスオブジェクトをまとめてグループ化するサービスグループの設定方法について説明します。

GUI でのサービスグループの設定方法

STEP
サービス画面の表示

GUI にログインし左側のメニューから「ポリシー&オブジェクト > サービス」をクリックします。

STEP
サービスグループ新規作成画面の表示

サービスグループ」タブをクリックして表示し、「新規作成」をクリックします。

STEP
サービスグループの設定

サービスグループ設定画面が表示されるため各項目を設定します。

  • 名前」では任意のサービスグループ名を入力します
  • コメント」では必要な場合説明コメントを入力します
  • GUI のアイコンの色を変えたい場合は「カラー」を変更します
  • サービスグループに所属させるサービスオブジェクトを指定するため「+」をクリックします
  • リストの中からメンバーに入れたいサービスをクリックして追加します

以上の設定ができたら⑥「OK」をクリックして設定を確定します。

STEP
設定の確認

サービスグループ画面に戻るため、設定したサービスグループがリストに追加されていることを確認します。

以上でサービスグループの設定は完了です。

CLI でのサービスグループの設定方法

サービスグループの設定はconfig firewall service groupで行います。

サービスグループはコンフィグ上では以下のように一つのedit項目として表されます。

config firewall service group
    edit "MyServiceGroup"
        set uuid e65655f2-eaae-51ee-7797-3b7d80b33178
        set proxy disable
        set member "DNS" "FTP" "HTTP" "HTTPS"
        set comment ''
        set color 0
        set fabric-object disable
    next
end

サービス名の設定

サービスグループ名はedit項目の ID として設定されます。以下のコンフィグはグループ名が「MyServiceGroup」であることを示しています。

config firewall service group
    edit "MyServiceGroup"
        ...
    next
end

メンバー、コメント、カラーの設定

サービスグループの設定としては、最低限メンバーを設定すれば OK です。その他はオプションです。

  • set member→メンバー
    • 半角スペース区切りで複数のサービスオブジェクト名を指定します
  • set comment→コメント
  • set color→カラー
config firewall service group
    edit "MyServiceGroup"
        set member "DNS" "FTP" "HTTP" "HTTPS"
        set comment ''
        set color 0
    next
end

CLI でのサービスグループの設定方法については以上です。


【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次