FortiGate Administration Guide

Save this PDF as:
 WORD  PNG  TXT  JPG

Size: px
Start display at page:

Download "FortiGate Administration Guide"

Transcription

1 管理ガイド FortiGate バージョン 3.0 MR4

2 FortiGate 管理ガイドバージョン 3.0 MR 年 6 月 21 日 Copyright 2006 Fortinet, Inc. All rights reserved. フォーティネット社の書面による事前の許可なく 電子的 自動的 手動式 光学式 その他いかなる方法 またいかなる目的においても 文章 事例 図表など本書の全部または一部を複製 転載 頒布 翻訳することを禁じます 商標 Dynamic Threat Prevention System (DTPS) APSecure FortiASIC FortiBIOS FortiBridge FortiClient FortiGate FortiGate Unified Threat Management System FortiGuard FortiGuard-Antispam FortiGuard- Antivirus FortiGuard-Intrusion FortiGuard-Web FortiLog FortiAnalyzer FortiManager Fortinet FortiOS FortiPartner FortiProtect FortiReporter FortiResponse FortiShield FortiVoIP および FortiWiFi は 米国またはその他の国々 あるいはその両方における Fortinet, Inc. の商標です 本書に記載された実際の社名および製品名は 各社の商標です

3 目次 目次 はじめに FortiGate ユニットの概要 FortiGate-5000 シリーズシャーシ FortiGate-5000 シリーズモジュールについて FortiGate-3,600A FortiGate FortiGate FortiGate-1000A FortiGate-1000AFA FortiGate FortiGate FortiGate-800F FortiGate-500A FortiGate FortiGate-400A FortiGate FortiGate-300A FortiGate FortiGate-200A FortiGate FortiGate-100A FortiGate FortiGate-60/60M/ADSL FortiWiFi-60/60A/60AM FortiGate-50B FortiGate-50A フォーティネット製品ファミリ FortiGuard サブスクリプションサービス FortiAnalyzer FortiClient FortiManager FortiBridge FortiMail FortiReporter このドキュメントについて ドキュメントの規則 FortiGate のドキュメント フォーティネットツールおよびドキュメント CD Fortinet Knowledge Center フォーティネットテクニカルドキュメントに関するコメント カスタマサービスおよびテクニカルサポート

4 目次 Web ベースマネージャ ボタンバーの機能 カスタマサポートへの接続 オンラインヘルプの使用 ログアウト Web ベースマネージャページ Web ベースマネージャメニュー リスト アイコン システム - ステータス [Status] ページ システムステータスの表示 システム情報の変更 システム時刻の設定 FortiGate ユニットのホスト名の変更 FortiGate ファームウェアの変更 新しいファームウェアバージョンへのアップグレード 以前のファームウェアバージョンへの復帰 動作履歴の表示 FortiGuard 定義の手動による更新 統計情報の表示 セッションリストの表示 コンテンツアーカイブ情報の表示 攻撃ログの表示 トポロジビューア トポロジビューアのウィンドウ トポロジ図のカスタマイズ バーチャルドメインの使用 バーチャルドメイン VDOM の設定 グローバル設定 VDOM の有効化 VDOM とグローバル設定の設定 VDOM とグローバル設定の操作 VDOM へのインタフェースの追加 VDOM への管理者の割り当て 管理 VDOM の変更

5 目次 システム - ネットワーク インタフェース スイッチのモード インタフェース設定 ADSL インタフェースの設定 ad アグリゲートインタフェースの作成 冗長インタフェースの作成 無線インタフェースの作成 インタフェース上での DHCP の設定 PPPoE または PPPoA のためのインタフェースの設定 インタフェースの Dynamic DNS サービスの設定 仮想 IPSec インタフェースの設定 インタフェースの追加の設定 ゾーン ゾーンの設定 ネットワークオプション DNS サーバ 停止ゲートウェイ検出 ルーティングテーブル ( トランスペアレントモード ) トランスペアレントモードのルート設定 モデムインタフェースの設定 モデムの設定 冗長モードの設定 スタンドアロンモードの設定 モデム接続のためのファイアウォールポリシーの追加 モデムの接続と接続解除 モデム状態の確認 VLAN の概要 FortiGate ユニットと VLAN NAT/ ルートモードでの VLAN VLAN ID のルール VLAN IP アドレスのルール VLAN サブインタフェースの追加 トランスペアレントモードでの VLAN VLAN ID のルール トランスペアレントモードのバーチャルドメインと VLAN ARP に関する問題のトラブルシューティング FortiGate の IPv6 サポート システム - 無線 FortiWiFi の無線 LAN インタフェース チャネル割り当て システム無線の設定 (FortiWiFi-60)

6 目次 システム無線の設定 (FortiWiFi-60A および 60AM) 無線 MAC フィルタ 無線モニタ システム - DHCP FortiGate DH CP サーバおよびリレー DHCP サービスの設定 DHCP リレーエージェントとしてのインタフェースの設定 DHCP サーバの設定 アドレスリースの表示 特定クライアントに対する IP アドレスの予約 システム - 設定 HA HA オプション クラスタメンバリスト HA 統計の表示 副系ユニットのホスト名およびデバイスプライオリティの変更 クラスタユニットのクラスタからの切断 SNMP SNMP の設定 SNMP コミュニティの設定 フォーティネット MIB FortiGate トラップ フォーティネット MIB フィールド 差し替えメッセージ 差し替えメッセージリスト 差し替えメッセージの変更 認証ログインページの変更 FortiGuard Web フィルタリングブロック無効化ページの変更 SSL-VPN ログインメッセージの変更 認証免責ページの変更 動作モードおよび VDOM 管理アクセス 動作モードの変更 管理アクセス システム管理者 管理者 管理者の RADIUS 認証の設定 管理者リストの表示 管理者アカウントの設定 アクセスプロファイル アクセスプロファイルリストの表示 アクセスプロファイルの設定

7 目次 FortiManager 設定 管理者の監視 システム - メンテナンス バックアップおよび復元 FortiGuard Center FortiGuard Distribution Network FortiGuard サービス FortiGate ユニットの FDN および FortiGuard サービスの設定 FDN 接続性のトラブルシューティング アンチウイルスおよび攻撃の定義の更新 プッシュ更新の有効化 ライセンス システム - シャーシ (FortiGate-5000 シリーズ ) SMC ( シェルフマネージャカード ) ブレード (FortiGate-5000 シャーシスロット ) シャーシモニタリングのイベントログメッセージ ルータ - スタティック ルーティングの概念 ルーティングテーブルの成立ち ルーティングの決定方法 マルチパスルーティングと最良のルートの決定 ルートプライオリティへのルートシーケンスの影響 等価コストマルチパス (ECMP) ルート スタティックルート スタティックルートの操作 デフォルトルートおよびデフォルトゲートウェイ ルーティングテーブルへのスタティックルートの追加 ポリシールート ルートポリシーの追加 ルートポリシーの移動 ルータ - ダイナミック RIP RIP の動作 基本的な RIP 設定の表示と編集 RIP 詳細設定オプションの選択 インタフェース上の RIP 動作パラメータの置き換え

8 目次 OSPF OSPF 自律システム OSPF AS の定義 基本的な OSPF 設定の表示と編集 OSPF 詳細設定オプションの選択 OSPF エリアの定義 OSPF ネットワークの指定 OSPF インタフェースの動作パラメータの選択 BGP BGP の動作 BGP 設定の表示と編集 マルチキャスト マルチキャスト設定の表示と編集 インタフェース上のマルチキャスト設定の置き換え ルータ - モニタ ルーティング情報の表示 FortiGate ルーティングテーブルの検索 ファイアウォール - ポリシー ファイアウォールポリシーについて ポリシー照合の動作 ファイアウォールポリシーリストの表示 ファイアウォールポリシーの追加 ポリシーリスト内の別の位置へのポリシーの移動 ファイアウォールポリシーの設定 ファイアウォールポリシーのオプション ファイアウォールポリシーへの認証の追加 ファイアウォールポリシーへのトラフィックシェーピングの追加 IPSec のファイアウォールポリシーオプション SSL-VPN のファイアウォールポリシーオプション ホスト上の FortiClient を確認するためのオプション ファイアウォールポリシーの例 シナリオ 1: SOHO 規模の企業 シナリオ 2: 大規模企業 ファイアウォール - アドレス ファイアウォールアドレスについて ファイアウォールアドレスリストの表示 アドレスの設定 アドレスグループリストの表示 アドレスグループの設定

9 目次 ファイアウォール - サービス 定義済みサービスリストの表示 カスタムサービスリストの表示 カスタムサービスの設定 サービスグループリストの表示 サービスグループの設定 ファイアウォール - スケジュール ワンタイムスケジュールリストの表示 ワンタイムスケジュールの設定 反復スケジュールリストの表示 反復スケジュールの設定 ファイアウォール - 仮想 IP 仮想 IP 仮想 IP による FortiGate ユニットを介した接続のマッッピング方法 仮想 IP リストの表示 仮想 IP の設定 単一の IP アドレスに対するスタティック NAT 仮想 IP の追加 IP アドレス範囲に対するスタティック NAT 仮想 IP の追加 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポートフォワーディングの追加 IP アドレス範囲およびポート範囲に対するスタティック NAT ポートフォワーディングの追加 IP アドレス範囲またはリアルサーバに対する負荷分散仮想 IP の追加 負荷分散ポートフォワーディング仮想 IP の追加 ダイナミック仮想 IP の追加 仮想 IP グループ VIP グループリストの表示 VIP グループの設定 IP プール IP プールとダイナミック NAT 固定ポートを用いたファイアウォールポリシーの IP プール IP プールリストの表示 IP プールの設定 ファイアウォール - プロテクションプロファイル プロテクションプロファイルとは デフォルトのプロテクションプロファイル プロテクションプロファイルリストの表示

10 目次 プロテクションプロファイルの設定 アンチウイルスオプション Web フィルタリングオプション FortiGuard-Web フィルタリングオプション スパムフィルタリングオプション IPS オプション コンテンツアーカイブオプション IM および P2P オプション ロギングオプション VoIP オプション ポリシーへのプロテクションプロファイルの追加 プロテクションプロファイル CLI 設定 VPN - IPSEC IPSec インタフェースモードの概要 自動キー 新しいフェーズ 1 設定の作成 フェーズ 1 詳細設定の定義 新しいフェーズ 2 設定の作成 フェーズ 2 詳細設定の定義 インターネットブラウジング設定 手動キー 新しい手動キー設定の作成 コンセントレータ コンセントレータオプションの定義 モニタ VPN - PPTP PPTP の範囲 VPN - SSL Config Monitor VPN - 証明書 ローカル証明書 証明書要求の生成 証明書要求のダウンロードと送信 署名済みサーバ証明書のインポート エクスポートされたサーバ証明書および秘密鍵のインポート サーバ証明書および秘密鍵ファイルの個別インポート リモート証明書 リモート (OCSP サーバ ) 証明書のインポート

11 目次 CA 証明書 CA 証明書のインポート CRL 証明書失効リストのインポート ユーザ ユーザ認証の設定 認証タイムアウトの設定 ユーザ認証のプロトコルサポートの設定 ローカルユーザアカウント ユーザアカウントの設定 RADIUS サーバ RADIUS サーバの設定 LDAP サーバ LDAP サーバの設定 PKI 認証 PKI ユーザの設定 Windows AD サーバ Windows AD サーバの設定 ユーザグループ ユーザグループの種類 ユーザグループのリスト ユーザグループの設定 ユーザグループのための FortiGuard 置き換えオプションの設定 SSL VPN ユーザグループのオプションの設定 ピアおよびピアグループの設定 アンチウイルス 操作の順序 アンチウイルス要素 FortiGuard アンチウイルス アンチウイルスの設定と制御 ファイルパターン ファイルパターンリストカタログの表示 新しいファイルパターンリストの作成 ファイルパターンリストの表示 ファイルパターンリストの設定 隔離 隔離済みファイルリストの表示 自動送信リストの表示 自動送信リストの設定 隔離オプションの設定

12 目次 [Config] ウイルスリストの表示 グレーウェアリストの表示 アンチウイルスの CLI 設定 system global optimize config antivirus heuristic config antivirus quarantine config antivirus service <service_name> 不正侵入防御 不正侵入防御について IPS の設定と制御 IPS を使用する状況 定義済みシグネチャ 定義済みシグネチャリストの表示 定義済みシグネチャの設定 システムパフォーマンス向上のための IPS 定義済みシグネチャの微調整 376 カスタムシグネチャ カスタムシグネチャリストの表示 カスタムシグネチャの作成 プロトコルデコーダ プロトコルデコーダリストの表示 IPS プロトコルデコーダリストのアップグレード アノマリ トラフィックアノマリリストの表示 IPS トラフィックアノマリの設定 IPS の CLI 設定 system autoupdate ips ips global fail-open ips global ip_protocol ips global socket-size (config ips anomaly) config limit Web フィルタ Web フィルタリングの順序 Web フィルタリングの動作 Web フィルタの制御

13 目次 コンテンツブロック Web コンテンツブロックリストカタログの表示 新しい Web コンテンツブロックリストの作成 Web コンテンツブロックリストの表示 Web コンテンツブロックリストの設定 Web コンテンツ除外リストカタログの表示 新しい Web コンテンツ除外リストの作成 Web コンテンツ除外リストの表示 Web コンテンツ除外リストの設定 URL フィルタ URL フィルタリストカタログの表示 新しい URL フィルタリストの作成 URL フィルタリストの表示 URL フィルタリストの設定 URL フィルタリスト内の URL の移動 FortiGuard-Web フィルタ FortiGuard-Web フィルタリングの設定 上書きリストの表示 上書きルールの設定 ローカルカテゴリの作成 ローカル評価リストの表示 ローカル評価の設定 カテゴリブロックの CLI 設定 FortiGuard-Web フィルタレポート アンチスパム アンチスパム スパムフィルタリングの順序 アンチスパムフィルタの制御 禁止単語 アンチスパム禁止単語リストカタログの表示 新しいアンチスパム禁止単語リストの作成 アンチスパム禁止単語リストの表示 アンチスパム禁止単語リストの設定 ブラック / ホワイトリスト アンチスパム IP アドレスリストカタログの表示 新しいアンチスパム IP アドレスリストの作成 アンチスパム IP アドレスリストの表示 アンチスパム IP アドレスリストの設定 アンチスパム電子メールアドレスリストカタログの表示 新しいアンチスパム電子メールアドレスリストの作成 アンチスパム電子メールアドレスリストの表示 アンチスパム電子メールアドレスリストの設定

14 目次 アンチスパムの詳細設定 config spamfilter mheader config spamfilter rbl Perl 正規表現の使用 正規表現とワイルドカードの一致パターンの比較 単語境界 大文字と小文字の区別 Perl 正規表現形式 正規表現の例 IM P2P および VoIP 概要 IM/P2P プロトコルの設定 IM/P2P オプションを有効または無効にする方法 プロテクションプロファイル内で IM/P2P オプションを設定する方法 IM/P2P デコーダのログ設定を設定する方法 古いバージョンの IM/P2P アプリケーションを設定する方法 サポートされていないプロトコルを設定する方法 統計 概要の統計の表示 プロトコルごとの統計の表示 ユーザ [Current Users] リストの表示 ユーザリストの表示 ユーザリストへの新しいユーザの追加 不明な IM ユーザのためのポリシーの設定 ログおよびレポート FortiGate ロギング ログの重大度 ログの保存 FortiAnalyzer ユニットへのロギング 自動発見を使用した FortiAnalyzer への接続 FortiAnalyzer 設定のテスト メモリへのロギング Syslog サーバへのロギング WebTrends へのロギング FortiGuard ログおよび分析サーバへのロギング 高可用性クラスタロギング

15 目次 ログの種類 トラフィックログ イベントログ アンチウイルスログ Web フィルタログ 攻撃ログ スパムフィルタログ IM および P2P ログ VoIP ログ ログアクセス メモリに保存されたログメッセージへのアクセス ハードディスクに保存されたログメッセージへのアクセス FortiAnalyzer ユニットに保存されたログへのアクセス FortiGuard ログおよび分析サーバ上のログへのアクセス ログ情報の表示 列の設定 ログメッセージのフィルタリング FortiGuard ログおよび分析サーバに保存されたログの削除 コンテンツアーカイブ アラートメール アラートメールの設定 レポート 基本トラフィックレポート FortiAnalyzer レポート FortiAnalyzer レポートの設定 FortiAnalyzer レポートの編集 FortiAnalyzer レポートの印刷 FortiGate ユニットからの FortiAnalyzer レポートの表示 部分的な FortiAnalyzer レポートの表示 索引

16 目次

17 はじめに FortiGate ユニットの概要 はじめに リアルタイムネットワーク保護を可能にするフォーティネット製品をお選びいただき ありがとうございます FortiGate ASIC ベースの複合脅威セキュリティシステムは ネットワークのパフォーマンスを低下させることなく ネットワークセキュリティの強化 ネットワークの誤用と悪用の軽減 そして通信リソースのより効率的な活用を実現します FortiGateシステムは アンチウイルス ファイアウォール IPSec SSLTLS IPS 不正侵入検知 および AntiSpyware サービスについて ICSA の認定を取得しています FortiGate システムは管理の容易な専用のセキュリティ機器であり 次のようなフルスイートの機能を提供します ウイルス保護 不正侵入防御 スパムフィルタリング Web コンテンツフィルタリング IM P2P VoIP フィルタリングなどの アプリケーションレベルのサービス ファイアウォール 不正侵入検知 IPSec および SSL VPN トラフィックシェーピングなどの ネットワークレベルのサービス ユーザ認証 ロギング FortiAnalyzer によるレポート 管理プロファイル セキュアな Web および CLI 管理アクセス SNMP などの 管理サービス FortiGate セキュリティシステムは チップ設計 ネットワーク セキュリティ コンテンツ解析などにおけるブレークスルーを活用した フォーティネットの DTPS (Dynamic Threat Prevention System) テクノロジを使用しています このユニークな ASIC ベースのアーキテクチャによってコンテンツや動作がリアルタイムに解析されるため 重要なアプリケーションを ネットワークの保護に最も効果的なネットワークエッジにそのまま展開できます この章で説明する内容は次のとおりです FortiGate ユニットの概要 フォーティネット製品ファミリ このドキュメントについて FortiGate のドキュメント カスタマサービスおよびテクニカルサポート FortiGate ユニットの概要 すべての FortiGate 統合脅威管理システムが SOHO からエンタープライズクラスまでのネットワークベースのアンチウイルス コンテンツフィルタリング ファイアウォール VPN およびネットワークベースの不正侵入検知 / 防御機能といった同様の機能を提供します

18 MANAGEMENT E CLK EXT FLT SYSTEM CONSOLE ZRE E OK INT FLT HOT SWAP RESET LED MODE E T H O R S Z R E 0 Z R E 1 Z R E 2 MANAGEMENT E CLK EXT FLT SYSTEM CONSOLE ZRE E OK INT FLT HOT SWAP RESET LED MODE E T H O R S Z R E 0 Z R E 1 Z R E SAP SERIAL 1 SERIAL 2 ALARM ETH0 ETH1 10/100 link/act 10/100 link/act RESET ETH0 ETH1 10/100 link/act 10/100 link/act RESET ETH0 Service STATUS Hot Swap ETH0 Service STATUS Hot Swap 5000SM 10/100 link/act 10/100 link/act ETH0 RESET RESET E TH E TH O O USB USB CONSOLE CONSOLE CONSOLE CONSOLE CONSOLE USB PWR ACC STA IPM USB PWR ACC STA IPM USB PWR ACC STA IPM STATUS STATUS R S2 R S2 SERIAL SAP PWR PWR Z RE Z RE 0 0 Z RE Z RE Z RE Z RE 2 2 E1 E2 E1 E SERIAL ZRE ZRE IPM IPM OK INT FLT CLK EXT FLT OK INT FLT CLK EXT FLT 5000SM 10/100 link/act 10/100 link/act ETH0 ALT ON/OFF ALT ON/OFF FortiGate ユニットの概要 はじめに FortiGate-5000 シリーズシャーシ FortiGate-5000 シリーズセキュリティシステムは マネージドセキュリティサービスプロバイダ (MSSP) や大規模企業が ファイアウォール VPN アンチウイルス保護 スパムフィルタリング Web フィルタリング 不正侵入防御 (IPS) などのサブスクライバセキュリティサービスを実現できるシャーシベースのシステムです FortiGate-5000 シリーズでは多様なシステム構成を採用できるため 成長を続ける高性能ネットワークの変化の激しいニーズに柔軟に対応できます FortiGate-5000 シリーズシャーシは ホットスワップ可能な複数の FortiGate-5000 シリーズモジュールと電源をサポートします こうしたモジュール型のアプローチにより 拡張性に優れた高性能および耐障害ソリューションが実現します 5140 RESET CRITICAL MAJOR MINOR USER1 USER2 USER PWR ACC STA IPM CONSOLE USB PWR ACC STA IPM CONSOLE USB PWR ACC STA IPM CONSOLE USB PWR ACC STA IPM CONSOLE USB PWR ACC STA IPM CONSOLE USB PWR ACC STA IPM CONSOLE USB USB CONSOLE PWR ACC STA IPM USB CONSOLE PWR ACC STA IPM USB CONSOLE PWR ACC STA IPM USB CONSOLE PWR ACC STA IPM USB CONSOLE PWR ACC STA IPM USB CONSOLE PWR ACC STA IPM SM 5000SM SMC 2 ETH0 ETH1 MANAGEMENT SYSTEM CONSOLE Service RESET MANAGEMENT STATUS Hot Swap SYSTEM CONSOLE ALARM ETH0 ETH1 HOT SWAP HOT SWAP RESET RESET LED MODE LED MODE Service RESET STATUS Hot Swap POWER SMC 1 PSU A FILTER PSU B 0 FAN TRAY 1 FAN TRAY 2 FAN TRAY FortiGate-5140 シャーシ FortiGate-5140 ATCA シャーシの 14 のスロットに 最大 14 枚の FortiGate-5000 シリーズモジュールを装着できます FortiGate-5140 は -48 VDC データセンター DC 電源に接続される 2 つの冗長ホットスワッパブル DC 電源入力モジュールが搭載された 12U シャーシです また FortiGate-5140 のシャーシには 3 つのホットスワップ可能な冷却ファントレイも搭載されています FortiGate-5050 シャーシ FortiGate-5050 ATCA シャーシの 5 つのスロットに 最大 5 枚の FortiGate-5000 シリーズモジュールを装着できます FortiGate-5050 は -48 VDC データセンター DC 電源に接続される 2 つの冗長 DC 電源接続が搭載された 5U シャーシです また FortiGate-5050 のシャーシには ホットスワップ可能な冷却ファントレイも搭載されています FortiGate-5020 シャーシ FortiGate-5020 ATCA シャーシの 2 つのスロットに 1 または 2 枚の FortiGate シリーズモジュールを装着できます FortiGate-5020 は AC 電源に接続される 2 つの冗長 AC-DC 電源が搭載された 4U シャーシです また FortiGate のシャーシには 内蔵冷却ファントレイも搭載されています

19 はじめに FortiGate ユニットの概要 FortiGate-5000 シリーズモジュールについて FortiGate-3,600A 各 FortiGate-5000 シリーズモジュールは HA クラスタの一部としても機能できるスタンドアロンのセキュリティシステムです また すべての FortiGate-5000 シリーズモジュールがホットスワップ可能です FortiGate-5000 シリーズユニットはすべて 複数のギガビットインタフェース 複数のバーチャルドメイン処理能力 その他のハイエンド FortiGate 機能を備えた大容量セキュリティシステムです FortiGate-5005FA2 モジュール FortiGate-5005FA2 モジュールは 8 つのギガビットイーサネットインタフェースを装備する 独立した高性能セキュリティシステムです これらのインタフェースのうち 2 つには 小型パケットのパフォーマンスを高速化するフォーティネットテクノロジが搭載されています FortiGate- 5005FA2 モジュールはまた 802.1Q VLAN や複数のバーチャルドメインを含むハイエンド機能もサポートしています FortiGate-5001SX モジュール FortiGate-5001SX モジュールは 8 つのギガビットイーサネットインタフェースを装備する 独立した高性能セキュリティシステムです FortiGate- 5001SX モジュールは 802.1Q VLAN や複数のバーチャルドメインなどのハイエンド機能をサポートします FortiGate-5001FA2 モジュール FortiGate-5001FA2 モジュールは 6 つのギガビットイーサネットインタフェースを装備する 独立した高性能セキュリティシステムです FortiGate-5001FA2 モジュールは FortiGate-5001SX モジュールに似ていますが FortiGate-5001FA2 インタフェースのうち 2 つに小型パケットのパフォーマンスを高速化する Fortinet テクノロジが搭載されている点が異なります FortiGate-5002FB2 モジュール FortiGate-5002FB2 モジュールは 合計 6 つのギガビットイーサネットインタフェースを装備する 独立した高性能 FortiGate セキュリティシステムです FortiGate- 5002FB2 インタフェースのうち 2 つには 小型パケットのパフォーマンスを高速化する Fortinet テクノロジが搭載されています FortiGate-3600A ユニットは 大規模企業やサービスプロバイダに要求されるキャリアクラスのパフォーマンスと信頼性を提供します このユニットは 複 Esc Enter 数の CPU と FortiASIC チップを使用して 4 Gbps のスループットを実現しており 最も要求の厳しいアプリケーションのニーズを満たします FortiGate-3600A ユニットには 単一障害点を最小限に抑え 負荷分散機能をサポートする冗長電源が搭載されています 大容量 高信頼性 および容易な管理を特長とする FortiGate- 3600A は マネージドサービスを提供するための理想的な選択肢です CONSOLE MODEM USB PWR Hi-Temp

20 Esc Esc Enter Enter FortiGate ユニットの概要 はじめに FortiGate-3600 FortiGate-3000 FortiGate-1000A FortiGate-3600 ユニットは 大規模企業や POWER サービスプロバイダに Hi-Temp 4 5/HA INT EXT 要求されるキャリアク /HA INTERNAL EXTERNAL ラスのパフォーマンスと信頼性を提供します このユニットは 複数の CPU と FortiASIC チップを使用して 4 Gbps のスループットを実現しており 最も要求の厳しいアプリケーションのニーズを満たします FortiGate-3600 ユニットには 単一障害点を最小限に抑え 負荷分散機能をサポートする冗長電源が搭載されています 大容量 高信頼性 および容易な管理を特長とする FortiGate-3600 は マネージドサービスを提供するための理想的な選択肢です FortiGate ユニットは 大規模企業や POWER Hi-Temp 4/HA INT EXT サービスプロバイダに要求されるキャリ /HA INTERNAL EXTERNAL アクラスのパフォーマンスと信頼性を提供します このユニットは 複数の CPU と FortiASIC チップを使用して 3 Gbps のスループットを発揮し 最も要求の厳しいアプリケーションのニーズを満たします FortiGate-3000 ユニットには 単一障害点を最小限に抑え サービスの中断なく負荷分散機能や冗長フェールオーバーをサポートする冗長電源が搭載されています 大容量 高信頼性 および容易な管理を特長とする FortiGate-3000 は マネージドサービスを提供するための理想的な選択肢です FortiGate- 1000A セキュリティシステムは 最も要求の厳しい大規模企業やサービスプロバイダ向けの高性能ソリューションです FortiGate-1000A は FortiGuard Distribution Network による FortiGuard セキュリティサブスクリプションサービスで自動的に最新の情報を維持することによって 最新のウイルス ワーム トロイ その他の脅威に対する保護を 24 時間体制で保証します FortiGate-1000A は スパイウェア フィッシング ファーミングといった ID 窃盗方法を含む IM P2P VOIP などの新たに登場したテクノロジに迅速に適応する柔軟なアーキテクチャを備えています

21 PWR PWR CONSOLE INTERNAL EXTERNAL DMZ HA CONSOLE USB INTERNAL EXTERNAL DMZ HA CONSOLE USB A1 USB A2 はじめに FortiGate ユニットの概要 FortiGate-1000AFA2 FortiGate-1000 FortiGate-1000AFA2 セキュリティシステムは 最も要求の厳しい大規模企業やサービスプロバイダ向けの高性能ソリューションです FortiGate- 1000AFA2 は Fortinet の FortiAccel テクノロジを使用した追加の光ファイバポートを 2 つ備え 小型パケットのパフォーマンスが向上しています FortiGate-1000AFA2 は 信頼性 操作性 迅速な展開 低い運用コスト および最も重要な点として既知および未知のアノマリに対する高い検知率を実現するようにチューニングされた堅牢なセキュリティプラットフォームであり クリティカルなセキュリティ機能を提供します FortiGate-1000 ユニットは より大規模な企業向けに設計されています FortiGate-1000 は 複数の Esc Enter / HA INTERNAL EXTERNAL CPU と FortiASIC チップを使用して 2 Gbps のスループットを発揮し 最も要求の厳しいアプリケーションのニーズを満たします FortiGate-1000 ユニットには 単一障害点を最小限に抑え サービスの中断なく負荷分散機能や冗長フェールオーバーをサポートする冗長電源が搭載されています FortiGate-800 FortiGate-800 は 高いスループット 合計 8 つのネットワーク接続 ( うち 4 つはユーザ定義 ) VLANのサポー 8 ト およびバーチャルドメインを提供します また FortiGate ユニットのクラスタが設定されている場合 FortiGate-800 はステートフルフェールオーバー HA を提供します FortiGate-800 は トップレベルのネットワークセキュリティパフォーマンスを要求する大規模企業にとって理想的な選択肢となります Esc Enter FortiGate-800F FortiGate- 800F は FortiGate- 800 と同じ機能を提供し なおかつ Internal External DMZ お 800F よび HA ポートは光ファイバとなります FortiGate-800F はまた ステートフルフェールオーバー HA を提供し RIP および OSPF ルーティングプロトコルもサポートします FortiGate-800F は 大規模企業が求めている 柔軟性 信頼性 および容易な管理を提供します Esc Enter

22 CONSOLE USB LAN 10/100 10/100/ INTERNAL EXTERNAL DMZ HA CONSOLE USB 10/100 10/100/ CONSOLE 1 2 CONSOLE USB 10/100 10/100/ / HA FortiGate ユニットの概要 はじめに FortiGate-500A FortiGate-500A ユニットは 大規模企業やサービスプロバイダに要求されるキャリ Esc Enter L1 L2 L3 L4 A アクラスのパフォーマンスと信頼性のレベルを提供します FortiGate-500A は 合計 10 のネットワーク接続 (4 ポート LAN スイッチを含む ) や セッションロスのない自動フェールオーバーによる高可用性機能を特長とし ミッションクリティカルなアプリケーションに最適です 優れた柔軟性 高信頼性 および容易な管理を特長とする FortiGate-500A は マネージドサービスを提供するための理想的な選択肢です FortiGate-500 FortiGate-500 ユニットは より大規模な企業向けに設計されています 優れた柔 Esc Enter 軟性 高信頼性 および容易な管理を特長とする FortiGate-500 は マネージドサービスを提供するための理想的な選択肢です FortiGate-500 は 高可用性 (HA) をサポートしています FortiGate-400A FortiGate-400A ユニットは パフォーマンス 可用性 信頼性に対するエンタープライズクラスの要件を満たしています A FortiGate-400A はまた 高可用性 (HA) をサポートし セッションロスのない自動フェールオーバーも備えているため ミッションクリティカルなアプリケーションに最適です Esc Enter FortiGate-400 FortiGate-400 ユニットは より大規模な企業向けに設計されています Esc Enter FortiGate-400 ユニットは 最大 500 Mbps のスループットを発揮し セッションロスのない自動フェールオーバーなどの高可用性 (HA) をサポートしています FortiGate-300A FortiGate-300A ユニットは パフォーマンス 可用性 信頼性に対するエンタープライズクラスの要件を満たしています FortiGate-300A はまた 高可用性 (HA) をサポートし セッションロスのない自動フェールオーバーも備えているため ミッションクリティカルなアプリケーションに最適です Esc Enter

23 POWER STATUS INTERNAL EXTERNAL DMZ CONSOLE USB INTERNAL DMZ1 DMZ2 WAN1 WAN CONSOLE INTERNAL EXTERNAL DMZ はじめに FortiGate ユニットの概要 FortiGate-300 FortiGate-300 ユニットは より大規模な企業向けに設計されています Esc Enter FortiGate-300 ユニットは セッションロスのない自動フェールオーバーなどの高可用性 (HA) を備えています この機能により FortiGate-300 はミッションクリティカルなアプリケーションのための優れた選択肢になっています FortiGate-200A FortiGate-200A ユニットは 展開と管理が容易なソリューションであり 小規 Esc Enter A 模オフィス ホームオフィス ブランチオフィスアプリケーションに比類のない価値とパフォーマンスを提供します FortiGate-200 FortiGate-200 ユニットは 小規模企業 ホームオフィス ブランチオフィスアプリケーション向けに設計されています FortiGate-200 ユニットは 展開と管理の容易なソリューションです FortiGate-200 はまた 高可用性 (HA) もサポートしています FortiGate-100A FortiGate-100A ユニットは 小規模オフィス ホームオフィス ブ INTERNAL ランチオフィスアプリケーション PWR STATUS WAN 1 WAN 2 DMZ 1 DMZ LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 向けに設計された 管理の容易な A ソリューションです FortiGate-100A は 802.1Q VLAN バーチャルドメイン RIP および OSPF ルーティングプロトコルなどの高度な機能をサポートします FortiGate-100 FortiGate-100 ユニットは SOHO SMB およびブランチオフィスアプリケーション向けに設計されて POWER INTERNAL EXTERNAL DMZ STATUS います FortiGate-100 は 802.1Q VLAN バーチャルドメイン 高可用性 (HA) RIP および OSPF ルーティングプロトコルなどの高度な機能をサポートします

24 FortiGate ユニットの概要 はじめに FortiGate-60/60M/ADSL FortiGate-60 ユニットは 在宅勤務者 リモートオフィス および小 INTERNAL 売店向けに設計されています PWR STATUS DMZ WAN1 WAN2 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 FortiGate-60 ユニットには バックアップまたはインターネットへのスタンドアロン接続として使用できる外付けモデムポートが装備されています これに対して FortiGate-60M ユニットには バックアップまたはインターネットへのスタンドアロン接続としても使用できる内蔵モデムが装備されています FortiGate-60ADSL には 内蔵 ADSL モデムが装備されています FortiWiFi-60/60A/60AM FortiWiFi-60 モデルは 無線接続のためのセキュアな無線 LAN ソリューションを提供します FortiWiFi Antivirus Firewall 機能にモバイル性と柔軟性を兼ね備え 将来の無線テクノロジへのアップグレードも可能です FortiWiFi- 60 は 無線ネットワークと有線ネットワークの間の接続ポイントとして またはスタンドアロンの無線ネットワークの中央ポイントとして機能します PWR WLAN INTERNAL DMZ WAN1 WAN2 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 FortiGate-50B FortiGate-50B は 在宅勤務者や 従業員 10 ~ 50 名の小規模なリモートオフィス向けに設計されて INTERNAL WAN1 WAN2 LINK / ACT POWER STATUS 10/100 います FortiGate-50B ユニット には インターネットへの冗長接続のための 2 つの WAN インタフェースが装備されています FortiGate-50B ユニットはまた 内部ネットワーク接続のための 3 ポートスイッチも備え 他の FortiGate-50B ユニットとの HA 構成をサポートします FortiGate-50A FortiGate-50A ユニットは 在宅勤務者や 従業員 10 名以下の小規模なリモー PWR STATUS INTERNAL EXTERNAL トオフィス向けに設計されています A LINK 100 LINK 100 FortiGate- 50 ユニットには バックアップまたはインターネットへのスタンドアロン接続として使用できる外付けモデムポートが装備されています

25 はじめに フォーティネット製品ファミリ フォーティネット製品ファミリ フォーティネットは ソフトウェアおよびハードウェアアプライアンスで構成された製品ファミリを提供し FortiGate 統合脅威管理システムと統合することで メール ロギング レポート ネットワーク管理 およびセキュリティを含む完全なネットワークセキュリティソリューションが実現します フォーティネット製品ファミリの詳細については を参照してください FortiGuard サブスクリプションサービス FortiAnalyzer FortiClient FortiGuard サブスクリプションサービスは フォーティネットセキュリティプロフェッショナルのグローバルチームによって作成 更新 管理されているセキュリティサービスです これにより 最新の攻撃が企業リソースに害を与えたりエンドユーザのコンピューティングデバイスに感染したりする前に検出され 確実にブロックすることができます これらのサービスは 最新のセキュリティテクノロジに基づいて作成され 可能な限り最小限の運用コストで機能するように設計されています FortiGuard サブスクリプションサービスの内容は次のとおりです FortiGuard アンチウイルスサービス FortiGuard 不正侵入防御サブスクリプションサービス (IPS) FortiGuard Web フィルタリング FortiGuard アンチスパムサービス FortiGuard ログおよび分析 FortiGuard プレミアサービス また FortiGuard Center から オンラインウイルススキャナやウイルスエンサイクロペディアも参照できます FortiAnalyzer は 攻撃や脆弱性に対するネットワークの最適な保護とセキュリティを可能にするために必要な情報をネットワーク管理者に提供します FortiAnalyzer には 次のような機能があります FortiGate デバイスや syslog デバイスおよび FortiClient からログを収集 収集されたログデータを使用して数百種類のレポートを作成 脆弱性スキャンとレポート FortiGate ユニットから検疫されたファイルを格納 FortiAnalyzer ユニットはまた ファイアウォールが使用されていないネットワークの各領域でリアルタイムトラフィックをキャプチャするネットワークアナライザとしても設定できます さらに FortiAnalyzer ハードディスクに保存されているレポートやログを含むファイルにユーザがアクセスしたり共有したりできる NAS としても使用できます FortiClient Host Security ソフトウェアは 最も一般的な Microsoft Windows オペレーティングシステムを実行しているデスクトップとラップトップの両方のユーザにセキュアなコンピューティング環境を提供します FortiClient は 次のような多くの機能を提供します リモートネットワークへの VPN 接続の作成

26 フォーティネット製品ファミリ はじめに ウイルスに対するリアルタイム保護の設定 Windows レジストリの変更に対する保護 ウイルススキャン FortiClient ではサイレントインストール機能もサポートされているため 管理者は構成済みの設定を使用して FortiClient を複数のユーザのコンピュータに効率的に配布できます FortiManager FortiBridge FortiMail FortiReporter FortiManager は 分散した多数の FortiGate インストール環境全体にわたってセキュリティポリシーを確立 維持する必要のある大規模企業 ( マネージドセキュリティサービスプロバイダを含む ) のニーズを満たします FortiManager を使用すると 複数の FortiGate デバイスを設定し その状態を監視することができます また FortiGate デバイスのリアルタイムおよび履歴ログを表示することができます FortiManager は サードパーティシステムとの容易な統合など 使いやすさを特長としています FortiBridge 製品は FortiGate ユニットをトランスペアレントモードで稼動させている企業組織に 電源異常や FortiGate システムの障害が発生した場合でも間断ないネットワークトラフィックフローを持続するように設計されています FortiBridge ユニットは FortiGate ユニットを迂回して ネットワークが引き続きトラフィックを処理できるようにします FortiBridge 製品は 電源異常や FortiGate システムの障害が発生した場合にカスタマイズ可能なアクションを FortiBridge ユニットが実行するなど 使用と展開が容易に行えます FortiMail は 送受信双方向の電子メールトラフィックに対する強力かつ柔軟なヒューリスティックスキャンおよびレポート機能を提供します FortiMail ユニットは 悪意ある添付ファイルやスパムを検出およびブロックするため FortiGuard アンチスパム / アンチウイルスがサポートしているヒューリスティックスキャン グレーリスティングと Bayesian スキャンなどの信頼性に優れた高性能な機能を備えています 受賞実績を誇るフォーティネットの FortiOS および FortiASIC テクノロジをベースに構築されている FortiMail アンチウイルステクノロジは フルコンテンツ検査機能が拡張され 最も先進の電子メール脅威を検知できるようになっています FortiReporter Security Analyzer ソフトウェアは理解の容易なレポートを生成し 任意の FortiGate ユニットやサードパーティベンダが提供する 30 種以上のネットワークおよびセキュリティデバイスからログを収集できます FortiReporter は ネットワークの悪用の特定 帯域要件の管理 Web の使用状況の監視などを実行し 従業員がオフィスネットワークを適切に使用していることを保証します FortiReporter を使用すれば IT 管理者は攻撃を識別してそれに対処したり あるいはセキュリティ脅威が発生する前にネットワークをセキュリティ保護する方法を見つけたりすることが可能になります

27 はじめに このドキュメントについて このドキュメントについて このでは FortiGate ェ Web ベースマネージャのオプションに関する詳細情報と それらの使用方法について説明します また このガイドには FortiGate CLI に関する情報もいくつか含まれています この管理ガイドでは Web ベースマネージャの機能を Web ベースマネージャメニューと同じ順序で説明します このドキュメントの最初には FortiGate Web ベースマネージャの一般的な説明と FortiGate バーチャルドメインの説明の章が置かれています これらの章に続いて [System] メニュー [Router] メニュー [Firewall] メニュー および [VPN] メニュー内の各項目に個別の章が割り当てられています 次に ユーザ アンチウイルス 不正侵入防御 Web フィルタ アンチスパム IM/P2P およびログとレポートが すべて単独の章で説明されています このドキュメントの最後には 詳細な索引が付いています このドキュメントの最新バージョンは Fortinet テクニカルドキュメント Web サイトの FortiGate ページから入手できます このドキュメントの情報は FortiGate Web ベースマネージャオンラインヘルプにも別の形式で記載されています FortiOS v3.0 に関する情報は Fortinet テクニカルドキュメント Webサイトの FortiGate ページ または Fortinet Knowledge Center から入手できます この管理ガイドは以下の章で構成されています Web ベースマネージャでは FortiGate Web ベースマネージャの機能について紹介した後 FortiGate ユニットを登録する方法 および Web ベースマネージャオンラインヘルプを使用する方法について説明します システム - ステータスでは FortiGate ユニットのダッシュボードである [ システム - ステータス ] ページについて説明します シリアル番号 アップタイム FortiGuard ライセンス情報 システムリソースの使用方法 警告メッセージ ネットワーク統計などの FortiGate ユニットの現在のシステム状態を一目でわかるように表示できます また ユニットのファームウェア ホスト名 システム時刻の変更などの ユーザが実行できる状態変更についても説明します バーチャルドメインの使用では バーチャルドメインを使用して FortiGate ユニットを複数の仮想 FortiGate ユニットとして動作させ 複数のネットワークに個別のファイアウォールおよびルーティングサービスを提供する方法について説明します システム - ネットワークでは FortiGate ユニットで物理インタフェース 仮想インタフェース および DNS を設定する方法について説明します システム - 無線では FortiWiFi-60 ユニットで無線 LAN インタフェースを設定する方法について説明します システム - DHCP では FortiGate インタフェースを DHCP サーバまたは DHCP リレーエージェントとして設定する方法について説明します システム - 設定では HA と仮想クラスタリングの設定 SNMP と差し替えメッセージの設定 および動作モードの変更を行うための手順について説明します システム管理者では 管理者アカウントの追加と編集 管理者のアクセスプロファイルの定義 FortiManager アクセスの設定 言語 タイムアウト Web 管理ポートなどの一般的な管理設定の定義などを行うための手順について説明します システム - メンテナンスでは 管理コンピュータまたは FortiUSB デバイスを使用してシステム設定をバックアップおよび復元する方法 FortiGuard サービスと FortiGuard Distribution Network (FDN) の更新を可能にする方法 およびバーチャルドメインの最大数を増やすためにライセンスキーを入力する方法について詳しく説明します

28 このドキュメントについて はじめに システム - シャーシ (FortiGate-5000 シリーズ ) では FortiGate-5140 または FortiGate-5050 のシャーシ内のすべてのハードウェアコンポーネントに関して システムシャーシの Web ベースマネージャのページに表示される情報について説明します ルータ - スタティックでは スタティックルートの定義 およびルートポリシーの作成を行う方法について説明します パケットは スタティックルートによって 工場出荷時に設定されているデフォルトゲートウェイ以外の宛先へと転送されます ルータ - ダイナミックでは 大規模または複雑なネットワークを介してトラフィックをルーティングするためにダイナミックプロトコルを設定する方法について説明します ルータ - モニタでは [Routing Monitor] リストを解釈する方法について説明します このリストには FortiGate ルーティングテーブル内のエントリが表示されます ファイアウォール - ポリシーでは FortiGate インタフェース ゾーン および VLAN サブインタフェースの間の接続とトラフィックを制御するためにファイアウォールポリシーを追加する方法について説明します ファイアウォール - アドレスでは ファイアウォールポリシーのアドレスおよびアドレスグループを設定する方法について説明します ファイアウォール - サービスでは 使用可能なサービスと ファイアウォールポリシーのサービスグループを設定する方法について説明します ファイアウォール - スケジュールでは ファイアウォールポリシーのワンタイムスケジュールと繰り返しスケジュールを設定する方法について説明します ファイアウォール - 仮想 IP では 仮想 IP アドレスと IP プールを設定および使用する方法について説明します ファイアウォール - プロテクションプロファイルでは ファイアウォールポリシーの保護プロファイルを設定する方法について説明します VPN - IPSEC では Web ベースマネージャから使用可能な トンネルモードおよびルートベース ( インタフェースモード ) の IPSec (Internet Protocol Security) VPN オプションについて説明します VPN - PPTP では Web ベースマネージャを使用して PPTP クライアントの IP アドレスの範囲を指定する方法について説明します VPN - SSL では 基本的な SSL VPN 設定について説明します VPN - 証明書では X.509 セキュリティ証明書を管理する方法について説明します ユーザでは ユーザ認証を介してネットワークリソースへのアクセスを制御する方法について詳しく説明します アンチウイルスでは ファイアウォール保護プロファイルの作成時にアンチウイルスオプションを有効にする方法について説明します 不正侵入防御では ファイアウォール保護プロファイルの作成時に IPS オプションを設定する方法について説明します Web フィルタでは ファイアウォール保護プロファイルの作成時に Web フィルタオプションを設定する方法について説明します アンチスパムでは ファイアウォール保護プロファイルの作成時にスパムフィルタオプションを設定する方法について説明します IM P2P および VoIP では ファイアウォール保護プロファイルの作成時に IM P2P および VoIP オプションを設定する方法について説明します IM P2P および VoIP 統計を表示すると これらのプロトコルがネットワーク内でどのように使用されているかを調べることができます

29 はじめに FortiGate のドキュメント ドキュメントの規則 ログおよびレポートでは ロギングを有効にしたり ログファイルを表示したり Web ベースマネージャから使用可能な基本的なレポートを表示したりする方法について説明します このガイドでは 次のドキュメント規則を使用します 例では プライベート IP アドレスがプライベート IP アドレスとパブリック IP アドレスの両方に使用されています 重要な情報を提供するために 次の注記と注意が使用されています 注記 : 役立つ追加情報をハイライトします! 注意 : データの損失や装置への損傷などの 予期しない結果または望ましくない結果を発生させる恐れのあるコマンドまたは手順について警告します 表記規則 フォーティネットのドキュメントでは 次の表記規則を使用します 規則メニューコマンドキーボード入力コード例 CLI コマンド構文 例 [VPN] [IPSEC] [Phase 1] の順に選択し [Create New] を選択します [Gateway Name] フィールドに リモートの VPN ピアまたはクライアントの名前 ( たとえば Central_Office_1 ) を入力します config sys global set ips-open enable end config firewall policy edit id_integer set http_retry_count <retry_integer> set natip <address_ipv4mask> end ドキュメント名 FortiGate 管理ガイド ファイルの内容 プログラム出力変数 <HTML><HEAD><TITLE> ファイアウォール認証 </TITLE></HEAD> <BODY><H4> このサービスを利用するには 認証を行わなければなりません </H4> Welcome! <address_ipv4> FortiGate のドキュメント フォーティネット製品ドキュメントの最新版および以前のリリースは フォーティネットテクニカルドキュメント Webサイト ( から入手できます 次の FortiGate 製品ドキュメントが入手可能です

30 FortiGate のドキュメント はじめに FortiGate クイックスタートガイド FortiGate ユニットの接続およびインストールに関する基本的な情報を提供します FortiGate インストールガイド FortiGate ユニットをインストールする方法について説明します ハードウェアリファレンス デフォルトの設定情報 インストール手順 接続手順 および基本的な設定手順が含まれています 製品のモデル番号に対応したガイドを選択してください FortiGate 管理ガイド FortiGate ユニットを設定する方法に関する基本的な情報を提供します FortiGate の保護プロファイルやファイアウォールポリシーを定義する方法 不正侵入防御 アンチウイルス保護 Web コンテンツフィルタリング およびスパムフィルタリングを適用する方法 VPN を設定する方法などが含まれます FortiGate オンラインヘルプ HTML 形式の 管理ガイド の状況依存および検索可能なバージョンを提供します オンラインヘルプには 作業中にWebベースマネージャからアクセスできます FortiGate CLI リファレンス FortiGate CLI を使用する方法について説明しており すべての FortiGate CLI コマンドへのリファレンスが含まれています FortiGate ログメッセージリファレンス FortiGate ログメッセージリファレンス は Fortinet Knowledge Center からのみ使用可能であり FortiGate ログメッセージの構造を説明し FortiGate ユニットによって生成されるログメッセージに関する情報を提供しています FortiGate 高可用性の概要 および FortiGate 高可用性ユーザガイド これらのドキュメントには FortiGate 高可用性 (HA) 機能と FortiGate クラスタリングプロトコルに関する詳細な情報が含まれています FortiGate IPS ユーザガイド FortiGate 不正侵入防御システムを設定する方法 およびいくつかの一般的な攻撃が FortiGate IPS によってどのように処理されるかについて説明します FortiGate IPSec VPN ユーザガイド Web ベースマネージャを使用して IPSec VPN を設定するための手順を提供します FortiGate SSL VPN ユーザガイド FortiGate IPSec VPN と FortiGate SSL VPN のテクノロジを比較し Web ベースマネージャを使用してリモートユーザの Web のみモードとトンネルモードの SSL VPN アクセスを設定する方法について説明します FortiGate PPTP VPN ユーザガイド Web ベースマネージャを使用して PPTP VPN を設定する方法について説明します

31 はじめに カスタマサービスおよびテクニカルサポート FortiGate 証明書管理ユーザガイド 証明書要求の生成を含むデジタル証明書の管理 署名済み証明書のインストール CA ルート証明書と証明書失効リストのインポート およびインストールされた証明書と秘密キーのバックアップと復元を行うための手順が含まれています FortiGate VLAN および VDOM ユーザガイド NAT/ ルートモードとトランスペアレントモードの両方で VLAN および VDOM を設定する方法について説明します 詳細な例が含まれています フォーティネットツールおよびドキュメント CD Fortinet Knowledge Center お使いのフォーティネット製品に付属するフォーティネットツールおよびドキュメント CD から すべてのフォーティネットドキュメントにアクセスできます この CD に収録されているドキュメントは お使いの製品に対応した出荷時点の最新版です すべてのフォーティネットドキュメントの最新版については フォーティネットテクニカルドキュメント Web サイト ( を参照してください 追加のフォーティネットテクニカルドキュメントは Fortinet Knowledge Center から入手できます Knowledge Center には トラブルシューティングの記事やハウツー記事 FAQ テクニカルノート その他が含まれています Fortinet Knowledge Center ( にアクセスしてください フォーティネットテクニカルドキュメントに関するコメント このドキュメントやその他のフォーティネットテクニカルドキュメントに誤りまたは脱落がありましたら までお知らせください カスタマサービスおよびテクニカルサポート フォーティネットテクニカルサポートは お使いのフォーティネットシステムの迅速なインストール 容易な設定 およびネットワーク内での確実な動作を支援するサービスを提供しています フォーティネットが提供しているテクニカルサポートサービスの詳細については フォーティネットテクニカルサポート Web サイト ( を参照してください

32 カスタマサービスおよびテクニカルサポート はじめに

33 Web ベースマネージャ Web ベースマネージャ この項では FortiGate ユニットの Web ベースマネージャの使いやすい管理インタフェースの機能について説明します Web ブラウザを実行している任意のコンピュータから HTTP 接続またはセキュアな HTTPS 接続を介して FortiGate ユニットを設定および管理できます Web ベースマネージャは 複数の言語をサポートしています FortiGate ユニットは 任意の FortiGate インタフェースから HTTP および HTTPS 接続を介して管理できるように設定できます 図 1: FortiGate-5001SX Web ベースマネージャのダッシュボードの例 Web ベースマネージャを使用すると ほとんどの FortiGate 設定を行ったり FortiGate ユニットの状態を監視したりすることができます Web ベースマネージャで行われた設定変更は直ちに有効になり ファイアウォールをリセットしたりサービスを中断したりする必要はありません 設定が完了したら その設定をバックアップできます 保存された設定は いつでも復元できます この項には以下のトピックが含まれています ボタンバーの機能

34 ボタンバーの機能 Web ベースマネージャ Web ベースマネージャページ ボタンバーの機能 Web ベースマネージャの右上に表示されるボタンバーから いくつかの重要な FortiGate 機能にアクセスできます 図 2: Web ベースマネージャのボタンバー カスタマサポートへの接続 ログアウト オンラインヘルプ カスタマサポートへの接続 [ カスタマサポートへの接続 ] ボタンを押すと 新しいブラウザウィンドウが開いて Fortinet Support Web ページが表示されます このページからは 次の操作を行うことができます Fortinet Knowledge Center にアクセスする カスタマサポートにログインする (Support Login) FortiGate ユニットを登録する (Product Registration) Fortinet Training and Certification について検索する FortiGuard Center にアクセスする FortiGate ユニットを登録するには Product Registration にアクセスしてその指示に従います

35 Web ベースマネージャ ボタンバーの機能 オンラインヘルプの使用 [ オンラインヘルプ ] ボタンを押すと 現在の Web ベースマネージャページに関するオンラインヘルプが表示されます 表示されるオンラインヘルプページには 現在の Web ベースマネージャページの操作に関する情報と手順が記載されています また ほとんどのヘルプページに 関連するトピックへのハイパーリンクも含まれています オンラインヘルプシステムには 追加情報の検索に使用できるコントロールもいくつか含まれています 図 3: システムステータスの表示 に関するオンラインヘルプページ ナビゲーションの表示 ブックマーク 前のページ次のページ 印刷電子メール [ ナビゲーションの表示 ] オンラインヘルプナビゲーションウィンドウを開きます ナビゲーションウィンドウから オンラインヘルプの目次 索引 および検索を使用して オンラインヘルプ内のすべての情報にアクセスできます オンラインヘルプは FortiGate Web ベースマネージャおよび FortiGate 管理ガイド と同じように構成されています [ 前のページ ] オンラインヘルプ内の前のページを表示します [ 次のページ ] オンラインヘルプ内の次のページを表示します [ 電子メール ] Fortinet Technical Documentation に電子メールを送信します この電子メールアドレスを使用して オンラインヘルプをはじめ任意のフォーティネットテクニカルドキュメント製品に関するコメントまたは修正項目があるかどうかをお知らせいただくことができます [ 印刷 ] 現在のオンラインヘルプページを印刷します [ ブックマーク ] このオンラインヘルプページのエントリを ブラウザのブックマークまたはお気に入りリストに追加します このボタンを使用すると 有用なオンラインヘルプページの検索が容易になります Windows XP とサービスパック 2 がインストールされている管理 PC 上の Internet Explorer からオンラインヘルプを表示している場合 [ ブックマーク ] アイコンを使用してお気に入りリストにエントリを追加することはできません [ ナビゲーションの表示 ] ボタンを押して オンラインヘルプナビゲーションウィンドウを表示します 図 4: 目次 ナビゲーションウィンドウを含むオンラインヘルプページ索引検索目次の表示

36 ボタンバーの機能 Web ベースマネージャ [ 目次 ] オンラインヘルプの目次を表示します 目次内を移動して オンラインヘルプ内の情報を検索できます オンラインヘルプは FortiGate Web ベースマネージャおよび FortiGate 管理ガイド と同じように構成されています [ 索引 ] オンラインヘルプの索引を表示します 索引を使用して オンラインヘルプ内の情報を検索できます [ 検索 ] オンラインヘルプの検索を表示します オンラインヘルプ内の情報を検索する方法については 36 ページの オンラインヘルプの検索について を参照してください [ 目次の表示 ] 索引 検索 またはハイパーリンクを使用してオンラインヘルプ内の情報を検索した場合 目次が表示されないか または目次と現在のヘルプページの同期がとれていない可能性があります [ 目次の表示 ] を選択すると 目次を表示して現在のヘルプページの場所を示すことができます オンラインヘルプの検索について オンラインヘルプの検索を使用して FortiGate オンラインヘルプシステムのテキスト全体の中から 1 つの単語または複数の単語を検索できます 検索については 次の点に注意してください 複数の単語を検索すると 入力したすべての単語を含むヘルプページが検索されます 入力した単語のいずれかだけを含むヘルプページは検索されません 検索で見つかったヘルプページは 関連性の順番にランク付けされます ランク付けが高ければ高いほど そのヘルプページに検索対象の 1 つまたは複数の単語に関する有用な情報や詳細な情報が含まれている可能性が高くなります ヘルプページのタイトルに 1 つ以上の検索単語が含まれているヘルプページには 最も高いランクが付けられます 検索のワイルドカード文字としてアスタリスク (*) を使用して 任意の数の文字を置き換えることができます たとえば auth* を検索すると auth authenticate authentication authenticates などを含むヘルプページが検索されます 場合によっては 検索で完全一致しか見つからないことがあります たとえば windows を検索した場合は window という単語を含むページが検索されない可能性があります ワイルドカード * を使用すれば ( たとえば window* を検索する ) この事態を回避できます ヘルプシステム内を検索するには 1 任意の Web ベースマネージャページから オンラインヘルプボタンを選択します 2 [ ナビゲーションの表示 ] ボタンを押して オンラインヘルプナビゲーションウィンドウを表示します 3 [ 検索 ] ボタンをクリックします 4 検索フィールドに検索対象の 1 つ以上の単語を入力し Enter キーを押すか または [Go] を選択します 検索ウィンドウに 入力した 1 つまたは複数の単語を含むすべてのオンラインヘルプページの名前のリストが表示されます リストから名前を選択して そのヘルプページを表示します キーボードを使用したオンラインヘルプ内の移動 表 1 のキーボードショートカットを使用して オンラインヘルプ内の情報を表示したり 検索したりすることができます

37 Web ベースマネージャ Web ベースマネージャページ 表 1: オンラインヘルプナビゲーションキー キー機能 Alt+1 目次を表示します Alt+2 索引を表示します Alt+3 [Search] タブを表示します Alt+4 前のページに移動します Alt+5 次のページに移動します Alt+7 Fortinet Technical Documentation に電子メールを送信します この電子メールアドレスを使用して オンラインヘルプをはじめ任意のフォーティネットテクニカルドキュメント製品に関するコメントまたは修正項目があるかどうかをお知らせいただくことができます Alt+8 現在のオンラインヘルプページを印刷します Alt+9 このオンラインヘルプページのエントリを ブラウザのブックマークまたはお気に入りリストに追加します このボタンを使用すると 有用なオンラインヘルプページの検索が容易になります ログアウト [ ログアウト ] ボタンを押すと Web ベースマネージャから直ちにログアウトされます ブラウザウィンドウを閉じる前に必ずログアウトしてください ログアウトせずにブラウザを閉じたり Web ベースマネージャを終了したりすると アイドルタイムアウト ( デフォルトは 5 分 ) が経過するまでログインしたままになります Web ベースマネージャページ Web ベースマネージャのインタフェースは 1 つのメニューと複数のページで構成され 多くのページに複数のタブが用意されています メニュー項目 ( たとえば [System]) を選択すると そのメニュー項目が展開され サブメニューが表示されます サブメニュー項目の 1 つを選択すると 関連付けられたページが最初のタブに表示されます 別のタブを表示するには そのタブを選択します このマニュアルの手順に従って 次のようにメニュー項目 サブメニュー項目 およびタブを指定するとページが表示されます 1 [System] [Network] [Interface] の順に選択します

38 Web ベースマネージャページ Web ベースマネージャ 図 5: Web ベースマネージャの各部分 (FortiGate-50B の場合 ) タブ ページ ボタンバー メニュー Web ベースマネージャメニュー このメニューから FortiGate ユニットのすべての主要な機能に対する設定オプションへアクセスできます [System] [Router] [Firewall] [VPN] [User] ネットワークインタフェース バーチャルドメイン DHCP サービス 高可用性 (HA) システム時刻 システムオプションなどのシステム機能を設定します FortiGate のスタティックルーティングやダイナミックルーティングを設定します ネットワーク保護機能に適用されるファイアウォールポリシーや保護プロファイルを設定します また 仮想 IP アドレスや IP プールも設定します IPSec SSL および PPTP 仮想プライベートネットワークを設定します ユーザ認証が必要なファイアウォールポリシーで使用するユーザアカウントを設定します また RADIUS LDAP Windows AD などの外部の認証サーバも設定します [AntiVirus] アンチウイルス保護を設定します [Intrusion FortiGate 不正侵入防御システム (IPS) を設定します Protection] [Web Filter] Web フィルタリングを設定します [AntiSpam] 電子メールのスパムフィルタリングを設定します [IM, P2P & VoIP] インターネットメッセージング ピアツーピアメッセージング および VoIP (Voice over IP) トラフィックの監視および制御を設定します [Log & Report] ロギング アラートメール および FortiGuard ログおよび分析を設定します ログメッセージやログレポートを表示します FortiAnalyzer に接続して ログメッセージやログレポートを表示します FortiGuard ログおよび分析によって格納されたログメッセージを表示します

39 Web ベースマネージャ Web ベースマネージャページ リスト Web ベースマネージャのページの多くは リスト表示になっています ネットワークインタフェース ファイアウォールポリシー 管理者 ユーザなどのリストがあります 図 6: Web ベースマネージャのリストの例 削除編集 リストには 各項目に関するいくつかの情報が表示されます また 右端の列にあるアイコンを使用すると 各項目を操作できます この例では 削除ボタンをクリックして項目を削除したり 編集ボタンをクリックして項目を変更したりすることができます リストに別の項目を追加するには [Create New] ボタンをクリックします それによって 新しい項目を定義するためのダイアログボックスが表示されます 新しい項目を作成するためのダイアログボックスは 既存の項目を編集するためのダイアログボックスとほぼ同じです アイコン Web ベースマネージャには ボタンの他に システムと対話できるアイコンが用意されています 各アイコンの機能の理解に役立つツールヒントがあります アイコンの上にマウスポインタをしばらく置くと ツールヒントが表示されます 表 2 は Web ベースマネージャで使用できるアイコンです 表 2: Web ベースマネージャのアイコン アイコン名称説明 [Change Password] [Clear] 管理者パスワードを変更します このアイコンは アクセスプロファイルで管理者に書き込み権限を許可できるように設定されている場合に [Administrators] リストに表示されます ログファイルをクリアします [Collapse] [Column Settings] [Delete] [Description] [Download or Backup] このセクションを折りたたんで いくつかのフィールドを非表示にします このアイコンは 一部のダイアログボックスや一部のリストで使用されます 表示する列を選択します このアイコンは 特に [Log Access] および [Firewall Policy] リストで使用されます 項目を削除します このアイコンがリストに表示されるのは その項目が削除可能であり かつユーザがそのページに対する書き込み権限を持っている場合です このアイコンのツールヒントには このテーブルエントリの [Description] フィールドが表示されます ログファイルをダウンロードするか または設定ファイルをバックアップします

40 Web ベースマネージャページ Web ベースマネージャ 表 2: Web ベースマネージャのアイコン アイコン名称説明 [Download] 証明書署名要求をダウンロードします [Edit] [Expand] [Filter] [Go] 設定を編集します このアイコンがリストに表示されるのは ユーザがそのページに対する書き込み権限を持っている場合です このセクションを展開して より多くのフィールドが表示されるようにします このアイコンは 一部のダイアログボックスや一部のリストで使用されます このテーブル内の 1 つ以上の列にフィルタを設定します フィルタを指定するためのダイアログが開かれます このアイコンは フィルタが有効になっている列では緑色 それ以外の場合は灰色になります 検索を実行します [Insert Policy before] [Move to] [Next page] 現在のポリシーの前に適用する新しいポリシーを作成します リスト内の項目を移動します リストの次のページを表示します [Previous page] [Refresh] リストの前のページを表示します このページに関する情報を更新します [Restore] ファイルから設定を復元します [View] 設定を表示します このアイコンは ユーザがそのページに対する書き込み権限を持っていない場合に 編集アイコンの代わりにリストに表示されます

41 システム - ステータス [Status] ページ システム - ステータス この項では FortiGate ユニットのダッシュボードである [System Status] ページについて説明します シリアル番号 アップタイム FortiGuard ライセンス情報 システムリソースの使用方法 警告メッセージ ネットワーク統計など FortiGate ユニットの現在のシステムステータスが一目でわかるように表示できます 注記 : [System Status] ページを表示するには ブラウザで Javascript がサポートされている必要があります この項には以下のトピックが含まれています [Status] ページ システム情報の変更 FortiGate ファームウェアの変更 動作履歴の表示 FortiGuard 定義の手動による更新 統計情報の表示 トポロジビューア [Status] ページ システムステータスの表示 FortiGate ユニットの現在の動作状態のスナップショットを見るには [System Status] ページ ( 別称システムダッシュボード ) を表示します FortiGate 管理者にアクセスプロファイルでシステム設定への読み取りアクセスが許可されていれば システム状態情報を表示させることができます FortiGate ユニットが HA クラスタの一部となっている場合 [System Status] ページには クラスタの名前や ホスト名を含むクラスタメンバなどの HA クラスタの基本的なステータス情報も表示されます クラスタのより詳細なステータス情報を表示するには [System] [Config] [HA] の順に選択します 詳細については 124 ページの HA を参照してください FortiGate モデル 50A および 50AM では HA は使用できません FortiGate 管理者にアクセスプロファイルでシステム設定への書き込みアクセスが許可されていれば FortiGate ユニットの情報を変更または更新できます アクセスプロファイルについては 157 ページの アクセスプロファイル を参照してください Web ベースマネージャにログインすると [System Status] ページがデフォルトで表示されます [System] [Status] の順に選択すると [System Status] ページをいつでも表示させることができます

42 [Status] ページ システム - ステータス このページを表示するには アクセスプロファイルでシステム設定への読み取りアクセスが許可されていなくてはなりません システム設定への書き込みアクセスも許可されている場合は システム情報を変更したり FortiGuard (AV およびFortiGuard) のIPS 定義を更新したりすることもできます アクセスプロファイルについては 157 ページの アクセスプロファイル を参照してください [System Status] ページは自由にカスタマイズ可能です 表示する内容 ページ上の表示位置 およびその表示を最小化または最大化するかどうかを選択できます 各表示には 最小化されていてもすぐに識別できるアイコンが関連付けられています 図 7: [System Status] ページ 現在 [System Status] ページ上にない表示を追加するには [Add Content] を選択します [System Status] ページ上に各表示は 1 つしか配置できないため すでに [System Status] ページ上にある表示はすべて灰色で表示されます また [Back to default] を選択して デフォルトの [System Status] ページ設定に戻すこともできます 特定の表示で使用可能なオプションを表示するには その表示のタイトルバーの上にマウスを置きます これらのオプションは 各表示ごとに多少異なっています 図 8: 最小化された表示 表示タイトル拡大縮小アイコン 更新アイコン閉じるアイコン 表示タイトル拡大縮小アイコン更新アイコン閉じるアイコン 表示する内容を示します 表示を最大化または最小化する場合に選択します 表示された情報を更新する場合に選択します 表示を閉じる場合に選択します 閉じるかどうかの確認を求められます

43 システム - ステータス [Status] ページ システム情報 図 9: FortiGate-5001 のシステム情報の例 [Serial Number] [Uptime] [System Time] 現在の FortiGate ユニットのシリアル番号 このシリアル番号は FortiGate ユニットに固有であり ファームウェアをアップグレードしても変わりません FortiGate ユニットが最後に起動されてからの時間を 日数 時間数 および分数で表したもの FortiGate ユニットの内部クロックに基づく現在の日付と時刻 この時間を変更するか または FortiGate ユニットが NTP サーバから時間を取得するように設定するには [Change] を選択します 49 ページの システム時刻の設定 を参照してください [Host Name] 現在のFortiGateユニットのホスト名 FortiGate ユニットが HA モードに設定されている場合 このフィールドは表示されません ホスト名を変更するには [Change] を選択します 50 ページの FortiGate ユニットのホスト名の変更 を参照してください [Cluster Name] この FortiGate ユニットの HA クラスタの名前 124 ページの HA を参照してください このフィールドを表示するには FortiGate ユニットが HA モードで動作している必要があります [Cluster Members] HA クラスタ内の FortiGate ユニット 各メンバに関して ホスト名 シリアル番号 そのユニットがクラスタ内の上位 ( マスタ ) ユニットまたは下位 ( スレーブ ) ユニットのどちらであるかといった情報が表示されます 124 ページの HA を参照してください このフィールドを表示するには FortiGate ユニットが バーチャルドメインが有効になっていない HA モードで動作している必要があります [Virtual Cluster 1] [Virtual Cluster 2] 仮想クラスタ 1 および仮想クラスタ 2 内の各 FortiGate ユニットの役割 124 ページの HA を参照してください これらのフィールドを表示するには FortiGate ユニットが バーチャルドメインが有効になっている HA モードで動作している必要があります [Firmware Version] 現在の FortiGate ユニットにインストールされているファームウェアのバージョン ファームウェアを変更するには [Update] を選択します 51 ページの 新しいファームウェアバージョンへのアップグレード を参照してください [FortiClient Version] 現在ロードされている FortiClient のバージョン 管理コンピュータからこの FortiGate ユニットに新しい FortiClient ソフトウェアイメージをアップロードするには [Update] を選択します FortiGate にソフトウェアをダウンロードするためのポータルが用意されており ホストがそこから FortiClient ソフトウェアをダウンロードできるような FortiGate モデルでのみ このフィールドが表示されます

44 [Status] ページ システム - ステータス [Operation Mode] [Virtual Domain] [Current Administrators] 現在の FortiGate ユニットの動作モード FortiGate は NAT モードまたはトランスペアレントモードで動作させることができます NAT モードとトランスペアレントモードとを切り替えるには [Change] を選択します 148 ページの 動作モードの変更 を参照してください バーチャルドメインが有効になっている場合 このフィールドには 現在のバーチャルドメインの動作モードが表示されます バーチャルドメインは NAT モードまたはトランスペアレントモードのどちらででも動作します FortiGate ユニット上のバーチャルドメインのステータス バーチャルドメインのステータスを変更するには [Enable] または [Disable] を選択します バーチャルドメインのステータスを変更すると セッションが終了するため ログインし直す必要があります 詳細については 61 ページの バーチャルドメインの使用 を参照してください 現在 FortiGate ユニットにログインしている管理者の数 ログインしている各管理者に関するより詳細な情報を表示するには [Details] を選択します 追加情報には ユーザ名 接続の種類 接続元の IP アドレス およびログインした時刻が含まれます ライセンス情報 [License Information] には FortiGate サポート契約と FortiGuard サブスクリプションのステータスが表示されます FortiGate ユニットは FortiGuard ネットワークに接続することにより ライセンス情報のステータスインジケータを自動的に更新します FortiGuard サブスクリプションのステータスインジケータは 正常時は緑色ですが FortiGate ユニットが FortiGuard ネットワークに接続できない場合は灰色 ライセンスの有効期限が切れている場合は黄色になります いずれかの設定オプションを選択すると メンテナンスページが表示されます 詳細については 165 ページの システム - メンテナンス を参照してください 図 10: ライセンス情報の例 [Support Contract] [FortiGuard Subscriptions] [AntiVirus] [AV Definitions] サポート契約番号と終了日 [Not Registered] が表示されている場合は [Register] を選択してユニットを登録してください [Renew] が表示されている場合は サポート契約を更新する必要があります お近くの販売代理店にご相談ください FortiGuard Antivirus ライセンスのバージョン 発行日 およびサービスステータス ライセンスの期限が切れている場合は [Renew] を選択してライセンスを更新できます FortiGuard Antivirus 定義の現在インストールされているバージョン これらの定義を手動で更新するには [Update] を選択します 詳細については 53 ページの FortiGuard AV 定義の手動による更新 を参照してください

45 システム - ステータス [Status] ページ [Intrusion Protection] [IPS Definitions] [Web Filtering] [Antispam] [Log & Analysis] [Virtual Domain] FortiGuard 不正侵入防御ライセンスのバージョン 発行日 およびサービスステータス ライセンスの期限が切れている場合は [Renew] を選択してライセンスを更新できます 不正侵入防御システム (IPS) 攻撃定義の現在インストールされているバージョン これらの定義を手動で更新するには [Update] を選択します 詳細については 54 ページの FortiGuard IPS 定義の手動による更新 を参照してください FortiGuard Web フィルタリングライセンスの種類 終了日 およびサービスステータス ライセンスの期限が切れている場合は [Renew] を選択してライセンスを更新できます FortiGuard Antispam ライセンスの種類 終了日 およびサービスステータス ライセンスの期限が切れている場合は [Renew] を選択してライセンスを更新できます FortiGuard Log & Analysis ライセンスの種類 終了日 およびサービスステータス ユニットでサポートされているバーチャルドメインの数 FortiGate モデル 3000 以上の場合は [Purchase More] リンクを選択して Fortinet サポートからライセンスキーを購入することにより VDOM の最大数を増やすことができます 180 ページの ライセンス を参照してください CLI コンソール FortiOS には CLI からしかアクセスできないコマンドがあります CLI を使用するには一般に サードパーティの提供するプログラムを使用して telnet または SSH で接続します [System Status] ページには フル機能の CLI コンソールが含まれています コンソールを使用するには その中をクリックします すると 現在 GUI で使用しているアカウントで CLI に自動的にログインされます CLI コンソールのデフォルトビューをサイズ変更したり 移動したりすることはできません CLI コンソールからテキストをカット & ペーストすることは可能です 図 11: CLI コンソール カスタマイズアイコン CLI コンソールウィンドウには カスタマイズアイコンとデタッチコントロールの 2 つのコントロールがあります デタッチコントロールは CLIコンソールを 自由にサイズ変更したり画面上の位置を変更したりできる独立したウィンドウに移動します デタッチされた CLI コンソールには カスタマイズとアタッチの2つのコントロールがあります カスタマイズはすでに説明したとおりです アタッチは デタッチの逆で CLIコンソールを [System Status] ページの元の場所に戻します カスタマイズアイコンを使えば テキストと背景のフォントや色を変えることができ コンソールの外観を変更できます

46 [Status] ページ システム - ステータス 図 12: CLI コンソールウィンドウのカスタマイズ [Preview] [Text] [Background] [Use external command input box] 変更が CLI コンソール上でどのように反映されるのかを表示します CLI コンソール内のテキストの色を変更するには このコントロールを選択した後 右にあるカラーマトリックスから色を選択します CLI コンソール内の背景の色を変更するには このコントロールを選択した後 右にあるカラーマトリックスから色を選択します ウィンドウの外に置かれたコマンドボックスからの入力を許可する場合に選択します [Console buffer length] コンソールバッファでメモリ内に保持する行数を選択します 有効な数値は 20 ~ 9999 です [Font] リストからフォントを選択します [Size] フォントのサイズを選択します デフォルトのサイズは10です [Reset defaults] デフォルトの設定に戻し 変更をすべて破棄する場合に選択します [OK] 変更を保存して CLI コンソールに戻る場合に選択します [Cancel] 変更を破棄して CLI コンソールに戻る場合に選択します システムリソース [System Status] ページに表示されていないシステムリソースはすべて [History] アイコンを選択することでグラフとして表示できます 図 13: システムリソースの例 [History]

47 システム - ステータス [Status] ページ [History] アイコン [CPU Usage] [Memory Usage] [FortiAnalyzer Disk Quota] CPU メモリ セッション およびネットワークの最新の 1 分間の使用率をグラフィカルに表示します このページにはまた 最新の 20 時間のウイルスおよび不正侵入検知も表示されます 詳細については 52 ページの 動作履歴の表示 を参照してください ダイヤルゲージおよびパーセンテージとして表示された現在の CPU ステータス Web ベースマネージャには コアプロセスの CPU 使用率のみが表示されます 管理プロセス ( たとえば Web ベースマネージャへの HTTPS 接続 ) が使う CPU 使用率は除外されます ダイヤルゲージおよびパーセンテージ表示された現在のメモリステータス Web ベースマネージャには コアプロセスのみのメモリ使用率が表示されます 管理プロセス ( たとえば Web ベースマネージャへの HTTPS 接続 ) のメモリ使用率は除外されます 円グラフとパーセンテージで表示される FortiGate ユニットが使用している FortiAnalyzer ディスククォータの現在のステータス FortiAnalyzer ユニットへのロギングを設定している場合にのみ表示されます インタフェースステータス FortiGateユニットのフロントパネルの図には イーサネットインタフェースのステータスが表示されます ネットワークインタフェースが緑色になっている場合 そのインタフェースは接続されています インタフェースの上にマウスポインタを置くと IP アドレス ネットマスク およびインタフェースの現在のステータスが表示されます [Reboot] または [ShutDown] を選択すると ウィンドウが開き システムイベントの理由を入力することができます 入力した理由は ディスクイベントログに追加されます あらかじめ CLI で ディスクロギングを有効にしておく必要があります イベントロギングで管理イベントを有効にする必要があります イベントロギングの詳細については 440 ページの イベントログ を参照してください 図 14: FortiGate-800 のインタフェースステータスの例 (FortiAnalyzer がない場合 ) [INT / EXT / DMZ / HA / 1 / 2 / 3 / 4] [FortiAnalyzer] FortiGate ユニット上のポート これらのポートの名前と数は ご使用のユニットによって異なります ポート名の下のアイコンは 色で各ポートのステータスを示します 緑色はポートが接続されていることを 灰色は接続されていないことを示しています ポートの設定の詳細を表示するには そのポートのアイコンの上にマウスを置きます インタフェースのフルネーム IP アドレスとネットマスク リンクのステータス インタフェースの速度 および送受信されたパケットの数が表示されます FortiGate ユニットの図と FortiAnalyzer の図の間のリンク上にあるアイコンは その接続のステータスを示します 赤いアイコンの上にある "X" は 接続がないことを示しています 緑色のアイコンの上にあるチェックマークは この2つのユニットの間で通信が行われていることを示しています FortiGate ユニットで FortiAnalyzer のロギングを設定するには FortiAnalyzer の図を選択します 431 ページの ログおよびレポート を参照してください

48 [Status] ページ システム - ステータス [Reboot] [Shutdown] [Reset] FortiGate ユニットをシャットダウンおよび再起動する場合に選択します ログに記録するため再起動の理由を入力するよう求められます FortiGate ユニットをシャットダウンする場合に選択します 確認を求められます ログに記録するためシャットダウンの理由を入力するよう求められます FortiGate ユニットを工場出荷のデフォルト設定にリセットする場合に選択します 確認を求められます 警告メッセージコンソール 警告メッセージは FortiGate ユニットに対する変更を追跡するのに役立ちます 警告メッセージコンソールには 次の種類のメッセージを表示できます 図 15: 警告メッセージコンソールの例 System restart Firmware upgraded by <admin_name> Firmware downgraded by <admin_name> FortiGate has reached connection limit for <n> seconds Found a new FortiAnalyzer Lost the connection to FortiAnalyzer システムが再起動されました 再起動は オペレータが操作したため または電源がオフ / オンされたために生じた可能性があります 指定の管理者が アクティブまたは非アクティブパーティションのどちらかで ファームウェアをより新しいバージョンにアップグレードしました 指定の管理者が アクティブまたは非アクティブパーティションのどちらかで ファームウェアをより古いバージョンにダウングレードしました アンチウイルスエンジンが 表示されている時間 メモリ不足に陥りました この状況下では モデルや設定にもよりますが コンテンツをブロックするか またはスキャンなしで通過させることも選択できます FortiGate ユニットが FortiAnalyzer ユニットを発見したか または FortiAnalyzer ユニットへの接続を失ったことを示します 434 ページの FortiAnalyzer ユニットへのロギング を参照してください 各メッセージには 書き込まれたときの日付と時刻が表示されます すべてのメッセージを表示できるだけの領域がない場合は [Show All] を選択すれば リスト全体を新しいウィンドウに表示することができます 警告メッセージをクリアするには [All] を選択した後 新しいウィンドウの一番上にある [Clear Alert Messages] を選択します それにより 現在のすべての警告メッセージがFortiGateユニットから削除されます 統計情報 [System Status] ページの [Statistics] セクションは ネットワークトラフィックや保護に関して FortiGate ユニットで何が起きているのかを一目で理解できるように設計されています トラフィックの量や種類だけでなく システムに対して行われた攻撃の試みについて すばやく知ることができます 特に気になる領域を調べるには [Details] を選択して 最新の動作の詳細なリストを表示させます

49 システム - ステータス システム情報の変更 [Statistics] セクションに表示される情報は FortiAnalyzer ユニットに保存したり ローカルに保存したり あるいは外部ソースへのバックアップが可能なログファイルに保存されます このデータを使用して 時間の経過に伴うネットワーク動作や攻撃の傾向を調べ それに応じて対処することができます 統計リストに関する詳細な手順については 54 ページの 統計情報の表示 を参照してください 図 16: 統計の例 リセット [Since] リセットアイコン [Sessions] カウントがリセットされた日付と時刻 カウントは FortiGate ユニットの再起動時 または [Reset] アイコンの選択時にリセットされます アーカイブや攻撃ログのカウントを 0 にリセットします FortiGate ユニットが処理している通信セッションの数 詳細情報を表示するには [Details] を選択します 54 ページの セッションリストの表示 を参照してください [Content Archive] FortiGateユニットを通過したHTTP 電子メール FTP および IM/P2P トラフィックの概要 [Details] ページには 選択された種類のトラフィックの最新 64 項目のリストが表示され アーカイブされたトラフィックが格納されている FortiAnalyzer ユニットへのリンクが示されます FortiAnalyzer ユニットへのロギングが設定されていない場合 [Details] ページには [Log & Report] [Log Config] [Log Settings] ページへのリンクが表示されます [Attack Log] ユニットが阻止したウイルス 攻撃 スパム電子メールメッセージ および URL の概要 [Details] ページには最新 10 項目のリストが表示され 時間 発信元 宛先などの情報が示されます システム情報の変更 システム時刻の設定 アクセスプロファイルでシステム設定への書き込みアクセスが許可されている FortiGate 管理者は システム時刻 ホスト名 および VDOM の動作モードを変更できます 1 [System] [Status] の順に選択します 2 [System Information] セクションの [System Time] 行にある [Change] を選択します 3 タイムゾーンを選択した後 日付と時刻を手動で設定するか または NTP サーバとの同期を設定します

50 システム情報の変更 システム - ステータス 図 17: 時刻の設定 [System Time] 現在の FortiGate システムの日付と時刻 [Refresh] 現在の FortiGate システムの日付と時刻の表示を更新します [Time Zone] 現在の FortiGate システムのタイムゾーンを選択します [Automatically adjust タイムゾーンで夏時間と標準時間が切り替わる際に FortiGate の clock for daylight システムクロックを自動的に調整したい場合に選択します saving changes] [Set Time] FortiGate システムの日付と時刻を [Hour] [Minute] [Second] [Year] [Month] および [Day] フィールドに入力した値に設定する場合に選択します [Synchronize with NTP Server] [Server] [Sync Interval] FortiGate ユニットのホスト名の変更 NTP サーバを使用してシステムの日付と時刻を自動的に設定する場合に選択します サーバと同期間隔を指定する必要があります NTP サーバの IP アドレスまたはドメイン名を入力します 使用できる NTP サーバを検索するには を参照してください FortiGate ユニットが NTP サーバと時刻の同期をとる頻度を指定します たとえば 1440 分に設定すると FortiGate ユニットは 1 日に 1 回時刻の同期をとります FortiGate のホスト名は [System Status] ページと FortiGate CLI のプロンプトに表示されます また このホスト名は SNMP システム名としても使用されます SNMP については 133 ページの SNMP を参照してください デフォルトのホスト名は FortiGate ユニットのシリアル番号です たとえば FGT は FortiGate-800 ユニットになります アクセスプロファイルでシステム設定への書き込みアクセスが許可されている管理者は FortiGate ユニットのホスト名を変更できます 注記 : FortiGate ユニットが HA クラスタの一部である場合は そのユニットをクラスタ内の他のユニットから区別できるように一意のホスト名を使用しなくてはなりません FortiGate ユニットのホスト名を変更するには 1 [System] [Status] の順に選択します 2 [System Information] セクションの [Host Name] フィールドで [Change] を選択します 3 [New Name] フィールドに 新しいホスト名を入力します

51 システム - ステータス FortiGate ファームウェアの変更 4 [OK] を選択します 新しいホスト名が [Host Name] フィールドと CLI プロンプトに表示され SNMP システム名に追加されます FortiGate ファームウェアの変更 アクセスプロファイルでメンテナンス読み取りおよび書き込みアクセスが許可されている FortiGate 管理者は FortiGate ファームウェアを変更できます ファームウェア変更では 新しいバージョンにアップグレードするか または以前のバージョンへの復帰を行います 実行するファームウェア変更に応じて 次のいずれかの手順に従います 新しいファームウェアバージョンへのアップグレード 以前のファームウェアバージョンへの復帰 新しいファームウェアバージョンへのアップグレード FortiGate ユニットを新しいファームウェアバージョンにアップグレードするには 次の手順を使用します 注記 : ファームウェアをインストールすると 現在のアンチウイルスおよび攻撃定義が インストールするファームウェアリリースに含まれている定義に置き換えられます 新しいファームウェアをインストールした後 175 ページの アンチウイルスおよび攻撃の定義を更新するには の手順を使用して アンチウイルスおよび攻撃定義を忘れずに最新のものにしておいてください Web ベースマネージャを使用してファームウェアをアップグレードするには 1 ファームウェアイメージファイルを管理コンピュータにコピーします 2 スーパー管理者 またはシステム設定への読み取りおよび書き込み特権を持つ管理者アカウントとして Web ベースマネージャにログインします 3 [System] [Status] の順に選択します 4 [System Information] セクションで [Firmware Version] 行にある [Update] を選択します 5 ファームウェアイメージファイルのパスとファイル名を入力するか または [Browse] を選択してファイルを指定します 6 [OK] を選択します FortiGate ユニットは ファームウェアイメージファイルをアップロードし 新しいファームウェアバージョンにアップグレードしたあと すべてのセッションを閉じて再起動を行い FortiGate ログインを表示します この処理には数分かかります 7 Web ベースマネージャにログインします 8 [System] [Status] の順に選択し [Firmware Version] を確認して ファームウェアアップグレードが正常にインストールされていることを確認します 9 アンチウイルスおよび攻撃定義を更新します アンチウイルスおよび攻撃定義の更新については 169 ページの FortiGuard Center を参照してください

52 動作履歴の表示 システム - ステータス 以前のファームウェアバージョンへの復帰 FortiGate ユニットを以前のファームウェアバージョンに戻すには 次の手順を使用します この手順ではまた FortiGate ユニットは工場出荷のデフォルト設定に戻され IPS カスタムシグネチャ Web コンテンツリスト 電子メールフィルタリングリスト および差し替えメッセージへの変更も削除されます これらの情報を保持するには FortiGate ユニットの設定をバックアップします 詳細については 165 ページの バックアップおよび復元 を参照してください 以前の FortiOS バージョンに ( たとえば FortiOS v3.0 から FortiOS v2.8 に ) 戻すと バックアップの設定ファイルから以前の設定を復元できなくなる可能性があります 注記 : ファームウェアをインストールすると 現在のアンチウイルスおよび攻撃定義が インストールするファームウェアリリースに含まれている定義に置き換えられてしまいます 新しいファームウェアをインストールした後 175 ページの アンチウイルスおよび攻撃の定義を更新するには の手順を使用して アンチウイルスおよび攻撃定義を確実に最新版にしてください Web ベースマネージャを使用して以前のファームウェアバージョンに戻すには 1 ファームウェアイメージファイルを管理コンピュータにコピーします 2 スーパー管理者 またはシステム設定への読み取りおよび書き込み特権を持つ管理者アカウントとして Web ベースマネージャにログインします 3 [System] [Status] の順に選択します 4 [System Information] セクションで [Firmware Version] 行にある [Update] を選択します 5 ファームウェアイメージファイルのパスとファイル名を入力するか または [Browse] を選択してファイルを指定します 6 [OK] を選択します FortiGate ユニットは ファームウェアイメージファイルをアップロードし 古いファームウェアバージョンに戻し 設定をリセットしたあと 再起動を行い FortiGate ログインを表示します この処理には数分かかります 7 Web ベースマネージャにログインします 8 [System] [Status] の順に選択し [Firmware Version] を確認して ファームウェアが正常にインストールされていることを確認します 9 設定を復元します 設定の復元については 165 ページの バックアップおよび復元 を参照してください 10 アンチウイルスおよび攻撃定義を更新します アンチウイルスおよび攻撃定義については 175 ページの アンチウイルスおよび攻撃の定義を更新するには を参照してください 動作履歴の表示 [System Resource History] ページには システムリソースや保護の動作を表す 6 つのグラフが表示されます 1 [System] [Status] の順に選択します

53 システム - ステータス FortiGuard 定義の手動による更新 2 [System Resources] セクションの右上にある [History] を選択します 図 18: システムリソース履歴の例 [Time Interval] [CPU Usage History] [Memory Usage History] [Session History] [Network Utilization History] [Virus History] [Intrusion History] グラフを表示する時間間隔を選択します 指定された時間間隔毎の CPU 使用率 指定された時間間隔毎のメモリ使用率 指定された時間間隔毎のセッション数 指定された時間間隔毎のネットワーク使用率 指定された時間間隔毎に検出されたウイルスの数 指定された時間間隔毎に検出された侵入の試みの数 FortiGuard 定義の手動による更新 FortiGuard - AV および FortiGuard - の不正侵入防御の両定義は [System Status] ページの [License Information] セクションからいつでも更新できます 注記 : AV および不正侵入防御 ( 攻撃 ) 定義が自動的に更新されるように FortiGate ユニットを設定する方法については 169 ページの FortiGuard Center を参照してください FortiGuard AV 定義の手動による更新 1 最新の AV 定義更新ファイルを Fortinet からダウンロードし それを Web ベースマネージャへの接続に使用するコンピュータにコピーします 2 Web ベースマネージャを起動し [System] [Status] の順に選択します 3 [License Information] セクションの [FortiGuard Subscriptions] の [AV Definitions] フィールドで [Update] を選択します [Anti-Virus Definitions Update] ダイアログボックスが表示されます 4 [Update File] フィールドで AV 定義更新ファイルのパスとファイル名を入力するか または [Browse] を選択して AV 定義更新ファイルを指定します 5 [OK] を選択して AV 定義更新ファイルを FortiGate ユニットにコピーします FortiGate ユニットは AV 定義を更新します この処理には 1 分程度かかります

54 統計情報の表示 システム - ステータス 6 [System] [Status] の順に選択して FortiGuard の [AV Definitions] のバージョン情報が更新されていることを確認します FortiGuard IPS 定義の手動による更新 1 最新の攻撃定義更新ファイルを Fortinet からダウンロードし それを Web ベースマネージャへの接続に使用するコンピュータにコピーします 2 Web ベースマネージャを起動し [System] [Status] の順に選択します 3 [License Information] セクションの [FortiGuard Subscriptions] の [IPS Definitions] フィールドで [Update] を選択します [Intrusion Prevention System Definitions Update] ダイアログボックスが表示されます 4 [Update File] フィールドで 攻撃定義更新ファイルのパスとファイル名を入力するか または [Browse] を選択して攻撃定義更新ファイルを指定します 5 [OK] を選択して 攻撃定義更新ファイルを FortiGate ユニットにコピーします FortiGate ユニットは攻撃定義を更新します この処理には 1 分程度かかります 6 [System] [Status] の順に選択して [IPS Definitions] のバージョン情報が更新されていることを確認します 統計情報の表示 セッションリストの表示 [System Status] の [Statistics] セクションでは セッション コンテンツアーカイブ およびネットワーク保護の動作に関する情報が提供されます セッションリストには FortiGate ユニット上の現在の通信セッションに関する情報が表示されます セッションリストを表示するには 1 [System] [Status] の順に選択します 2 [Statistics] セクションで [Sessions] 行にある [Details] を選択します 図 19: セッションリスト [Virtual Domain] 特定のバーチャルドメインによって処理されているセッションのリストを表示するには そのバーチャルドメインを選択します すべてのバーチャルドメインによって処理されているセッションを表示するには [All] を選択します このオプションは 複数のバーチャルドメインが有効になっている場合にのみ使用できます [Refresh] セッションリストを更新します 前ページセッションリストの前のページを表示します 次ページセッションリストの次のページを表示します

55 システム - ステータス 統計情報の表示 [Line] コンテンツアーカイブ情報の表示 セッションリストの表示を開始するセッションの行番号を入力します たとえば 5 つのセッションがある場合に 3 を入力すると 3 番 4 番 および 5 番のセッションのみが表示されます "/" の次の数値は FortiGate ユニット上のアクティブセッションの数です [Clear All Filters] 設定されている表示フィルタをすべてリセットする場合に選択します [Filter Icon] [#] と [Expiry] を除くすべての列の項目名の左側にあるアイコン 選択すると [Edit Filter] ダイアログが表示され 列ごとに表示フィルタを設定できるようになります [Protocol] 接続のサービスプロトコル ( たとえば udp tcp icmp) [Source Address] 接続の発信元 IP アドレス [Source Port] 接続の発信元ポート [Destination 接続の宛先 IP アドレス Address] [Destination Port] 接続の宛先ポート [Policy ID] このセッションを許可しているファイアウォールポリシの番号か またはセッションに FortiGate インタフェースが 1 つしか関係していない場合 ( たとえば 管理セッション ) は空白 [Expiry (sec)] 接続が期限切れになるまでの時間 ( 秒単位 ) 削除アイコンアクティブな通信セッションを停止します アクセスプロファイルで システム設定への読み取りおよび書き込みアクセスが許可されている必要があります [System Status] ページの [Statistics] セクションから FortiGate ユニットを通過する HTTP 電子メール FTP および IM トラフィックに関する統計を読み取ることができます 各トラフィックの種類の横にある [Details] リンクを選択することにより 詳細情報を表示できます [Statistics] セクションのヘッダーにある [Reset] を選択すると コンテンツアーカイブおよび攻撃ログ情報をクリアし カウントを 0 にリセットすることができます アーカイブされた HTTP コンテンツ情報の表示 1 [System] [Status] の順に選択します 2 [Content Archive] セクションで [HTTP] の [Details] を選択します [Date and Time] URL をアクセスした時刻 [From] URL をアクセスした IP アドレス [URL] アクセスした URL

56 統計情報の表示 システム - ステータス アーカイブされた電子メールコンテンツ情報の表示 1 [System] [Status] の順に選択します 2 [Content Archive] セクションで [ ] の [Details] を選択します [Date and Time] [From] [To] [Subject] 電子メールが FortiGate ユニットを通過した時刻 送信者の電子メールアドレス 受信者の電子メールアドレス 電子メールの件名 アーカイブされた FTP コンテンツ情報の表示 1 [System] [Status] の順に選択します 2 [Content Archive] セクションで [FTP] の [Details] を選択します [Date and Time] アクセス時刻 [Destination] アクセスされた FTP サーバの IP アドレス [User] FTP サーバにログインしたユーザ ID [Downloads] ダウンロードされたファイル名 [Uploads] アップロードされたファイル名 アーカイブされた IM コンテンツ情報の表示 1 [System] [Status] の順に選択します 2 [Content Archive] セクションで [IM] の [Details] を選択します [Date / Time] [Protocol] [Kind] [Local] アクセス時刻 この IM セッションで使用されているプロトコル このトランザクションの IM トラフィックの種類 このトランザクションのローカルアドレス

57 システム - ステータス 統計情報の表示 [Remote] [Direction] このトランザクションのリモートアドレス このファイルが送信されたか または受信されたかを示します 攻撃ログの表示 [System Status] ページの [Statistics] セクションから FortiGate ユニットが阻止したネットワーク攻撃に関する統計を表示できます 各攻撃の種類の横にある [Details] リンクを選択することにより 詳細情報を表示できます [Statistics] セクションのヘッダーにある [Reset] を選択すると コンテンツアーカイブおよび攻撃ログ情報をクリアし カウントを 0 にリセットすることができます 捕捉したウイルスの表示 1 [System] [Status] の順に選択します 2 [Attack Log] セクションで [AV] の [Details] を選択します [Date and Time] ウイルスが検出された時刻 [From] 送信者の電子メールアドレスまたは IP アドレス [To] 対象とされた受信者の電子メールアドレスまたは IP アドレス [Service] サービスの種類 (POP HTTP など ) [Virus] 検出されたウイルスの名前 ブロックされた攻撃の表示 1 [System] [Status] の順に選択します 2 [Attack Log] セクションで [IPS] の [Details] を選択します [Date and Time] 攻撃が検出された時刻 [From] 攻撃の発信元 [To] 攻撃の対象とされたホスト [Service] サービスの種類 [Attack] 検出され 防御された攻撃の種類 検出されたスパム電子メールの表示 1 [System] [Status] の順に選択します 2 [Attack Log] セクションで [Spam] の [Details] を選択します [Date and Time] スパムが検出された時刻 [From->To IP] 送信者および対象とされた受信者の IP アドレス [From->To Accounts] 送信者および対象とされた受信者の電子メールアドレス [Service] サービスの種類 (SMTP POP IMAP など ) [SPAM Type] 検出されたスパムの種類 ブロックされた URL の表示 1 [System] [Status] の順に選択します 2 [Attack Log] セクションで [Web] の [Details] を選択します [Date and Time] URL へのアクセスの試みが検出された時刻

58 トポロジビューア システム - ステータス [From] URL のアクセスを試みたホスト [URL Blocked] ブロックされた URL トポロジビューア トポロジビューアを使用すると FortiGate ユニットに接続されているネットワークを 図やドキュメントに表すことができます この機能は FortiGate-50 および FortiGate-60 を除くすべての FortiGate ユニットで使用できます トポロジビューアのウィンドウ [Topology] ウィンドウは FortiGate の実装状況を示すネットワークトポロジ図を描画できる大きな " キャンバス " で構成されています 図 20: トポロジビューア 表示 / 編集コントロール テキストオブジェクト サブネットオブジェクト メインビューポート ビューポートコントロール メインビューポートとビューポートコントロール メインビューポートは 描画領域全体の中の一部です ビューポートコントロール内の濃い色の長方形に対応しています ビューポートコントロール内のメインビューポートの長方形をドラッグして メインビューポートに描画領域のどの部分を表示するかを決定することができます ビューポートコントロール内の "+" と "-" のボタンは [Zoom in] および [Zoom out] 編集コントロールと同じ機能を持っています

59 システム - ステータス トポロジビューア FortiGate ユニットは トポロジ図の中の不変な部分です 移動することはできますが 削除することはできません 表示 / 編集コントロール [Topology] ページの左上にあるツールバーには トポロジ図を表示および編集するためのコントロールが表示されます 表 3: トポロジビューアの表示 / 編集コントロール 表示されている図を更新します ズームインします メインビューポート内の描画領域のより狭い範囲を表示して オブジェクトを拡大表示する場合に選択します ズームアウトします メインビューポート内の描画領域のより広い範囲を表示して オブジェクトを縮小表示する場合に選択します 編集します このボタンは 図の編集を開始するときに選択します ツールバーが展開され 以下に説明する編集コントロールが表示されます 図に加えられた変更をすべて保存します Web ベースマネージャ内の他のページに切り替える際には 変更を保存する必要があります 図にサブネットオブジェクトを追加します サブネットオブジェクトは 選択したファイアウォールアドレスに基づいて作成されます オブジェクトには そのファイアウォールアドレスの名前が付けられ そのアドレスにひも付けられたインタフェースに線で接続されます このコントロールを使用して新しいファイアウォールアドレスを作成することもできますが そのアドレスを特定のインタフェースにひも付ける必要があります ファイアウォールアドレスの詳細については 247 ページの ファイアウォール - アドレス を参照してください テキストを挿入します このコントロールを選択した後 テキストオブジェクトを配置したい場所をクリックします テキストを入力し テキストボックスの外側をクリックします 削除します 削除するオブジェクトを選択した後 このコントロールを選択するか または Del キーを押します カスタマイズします 描画で使用されている線の色や太さを変更する場合に選択します See 60 ページの トポロジ図のカスタマイズ. ドラッグします 必要に応じて このコントロールを選択した後 図内のオブジェクトをドラッグして配置します スクロールします このコントロールを選択した後 描画の背景をドラッグして 描画領域内でメインビューポートを移動します この操作は ビューポートコントロール内でメインビューポートの長方形を移動するのと同じ効果があります 選択します このコントロールを選択した後 マウスポインタをドラッグして 選択範囲を決める長方形を作成します マウスボタンを離すと この長方形内のオブジェクトが選択されます 終了します このボタンは 図の編集を終了するときに選択します ツールバーが縮小して [Refresh] および [Zoom] コントロールだけが表示されます

60 システム - ステータス トポロジ図のカスタマイズ [Topology Customization] ウィンドウを開くには [Customize] ボタンを選択します 必要に応じて設定を変更し 終了したら [OK] を選択します 図 21: [Topology Customization] ウィンドウ [Preview] 選択した外観オプションの実際の効果を示す シミュレートされたトポロジ図 [Canvas Size] 描画サイズ ( ピクセル数 ) [Resize to Image] [Background] としてイメージを選択した場合 そのイメージ内に収まるように図のサイズを変更します [Background] 次のうちのいずれかです [Solid] - [Background Color] で選択された無地 [U.S. Map] - 米国地図 [World Map] - 世界地図 [Upload My Image] - [Image path] からイメージをアップロードします [Background Color] 図の背景色を選択します [Image path] [Background] として [Upload My Image] を選択した場合は イメージのパスを入力するか または [Browse] ボタンを使用してパスを指定します [Exterior Color] 図の外側の境界領域の色を選択します [Line Color] サブネットオブジェクトとインタフェースの間の接続線の色を選択します [Line Width] 接続線の太さを選択します [Reset to Default] すべての設定をデフォルト値にリセットします

61 バーチャルドメインの使用 バーチャルドメイン バーチャルドメインの使用 この項では バーチャルドメインを使用して FortiGate ユニットを複数の仮想ユニットとして動作させ 複数のネットワークに個別のファイアウォールおよびルーティングサービスを提供する方法について説明します この項には以下のトピックが含まれています バーチャルドメイン VDOM の有効化 VDOM とグローバル設定の設定 バーチャルドメイン バーチャルドメイン (VDOM) を使用すると FortiGate ユニットを複数の独立したユニットとして機能させることができます これにより FortiGate ユニット 1 台で 組織内の複数の部門や個別の組織それぞれにサービスを提供したり サービスプロバイダのマネージドセキュリティサービスの基盤にしたりするなど 優れた柔軟性を発揮します VDOM は個別のセキュリティドメインであり これによって個別のゾーン ユーザ認証 ファイアウォールポリシー ルーティング および VPN 設定が可能になります また VDOM を使用すると 一度に多数のルートまたはファイアウォールポリシーを管理する必要がなくなるため 複雑な設定の管理を簡略化することもできます 62 ページの VDOM の設定 を参照してください VDOM を設定して使用するには バーチャルドメイン設定を有効にする必要があります 64 ページの VDOM の有効化 を参照してください VDOM を作成して設定する場合は その VDOM にインタフェースまたは VLAN サブインタフェースを割り当てる必要があります 必要に応じて その VDOM にのみログインできる管理者アカウントを割り当てることができます VDOM が特定の組織にサービスを提供するように作成されている場合 その組織自身で設定を自主管理できるようになります 動作モード (NAT/ ルートまたはトランスペアレント ) を VDOM ごとに個別に選択できます VDOM に入ったパケットは その VDOM に閉じ込められます VDOM 内に VDOM 内の VLAN サブインタフェース間またはゾーン間を結ぶためのファイアウォールポリシーを作成できます パケットがバーチャルドメインの境界を内部で横断することはありません パケットが VDOM 間を移動するには 物理インタフェース上のファイアウォールを通過する必要があります 次に パケットは別のインタフェース上の別の VDOM に到着しますが 別のファイアウォールを通過してからでないとそこに入ることはできません 両方の VDOM とも同じ FortiGate ユニット上に存在します 1 つの例外は CLI コマンドを使用して VDOM 間ルーティングを設定する場合です

62 バーチャルドメイン バーチャルドメインの使用 FortiGate の残りの機能はグローバルです すべての VDOM に適用されます つまり 不正侵入防御設定 アンチウイルス設定 Web フィルタ設定 保護プロファイル設定などはすべて 1 つしか存在しません また VDOM 共有ファームウェアのバージョン アンチウイルスおよび攻撃データベースも同様です 共有される設定の完全なリストについては 63 ページの グローバル設定 を参照してください FortiGate ユニットはデフォルトで NAT/ ルートモードとトランスペアレントモードを任意に組み合わせた最大 10 個の VDOM をサポートします モデル番号が 3000 以上の FortiGate モデルでは ライセンスキーを購入して VDOM の最大数を または 250 に増やすことができます 詳細については 180 ページの ライセンス を参照してください バーチャルドメイン設定が有効になっており デフォルトのスーパー管理者としてログインした場合は [System] [Status] の順に選択し [License Information] セクションにある [Virtual Domain] を参照することにより FortiGate ユニット上でサポートされているバーチャルドメインの最大数を確認できます デフォルトでは 各 FortiGate ユニットに ルートという名前の VDOM が存在します この VDOM には FortiGate の物理インタフェース VLAN サブインタフェース ゾーン ファイアウォールポリシー ルーティング設定 および VPN 設定のすべてが含まれています SNMP ロギング アラートメール FDN ベースの更新 NTP ベースの時刻設定などの管理システムは 管理 VDOM 内のアドレスとルーティングを使用してネットワークと通信します これらの管理システムは 管理バーチャルドメインと通信するネットワークリソースにのみ接続できます 管理 VDOM は デフォルトでルートに設定されていますが 変更することもできます 詳細については 67 ページの 管理 VDOM の変更 を参照してください VDOM を追加したら VLAN サブインタフェース ゾーン ファイアウォールポリシー ルーティング設定 および VPN 設定を追加するなど その VDOM の設定が行えます また ルート VDOM から他の VDOM に物理インタフェースを移動したり ある VDOM から別の VDOM に VLAN サブインタフェースを移動したりすることもできます VLANの詳細については 98 ページの VLAN の概要 を参照してください VDOM の詳細については FortiGate VLAN および VDOM ガイド を参照してください VDOM の設定 以下の設定は 1 つのバーチャルドメインに限定され 複数のバーチャルドメインで共用することはありません VDOM の標準管理者には これらの設定のみが表示されます また デフォルトのスーパー管理者もこれらの設定にアクセスできますが 最初に設定対象の VDOM を選択する必要があります システム設定 ゾーン DHCP サービス 動作モード (NAT/ ルートまたはトランスペアレント ) 管理 IP ( トランスペアレントモード ) ルータ設定

63 バーチャルドメインの使用 バーチャルドメイン グローバル設定 ファイアウォール設定 ポリシー アドレス サービスグループとカスタムサービス スケジュール 仮想 IP IP プール VPN 設定 IPSec PPTP SSL ユーザ設定 ユーザ ユーザグループ RADIUS および LDAP サーバ Microsoft Windows Active Directory サーバ P2P 統計 ( 表示 / リセット ) ロギング設定 ログアクセス およびログレポート 次の設定は すべてのバーチャルドメインに影響します バーチャルドメインが有効になると デフォルトのスーパー管理者だけがグローバル設定にアクセスできます システム設定 物理インタフェースと VLAN サブインタフェース ( 各物理インタフェースまたは VLAN サブインタフェースは 1 つの VDOM にのみ属します 各 VDOM は 独自のインタフェースのみを使用または設定できます ) DNS 設定 ホスト名 システム時刻 ファームウェアバージョン ([System Status] ページ上 ) アイドルタイムアウトと認証タイムアウト Web ベースマネージャの言語 LCD パネルの PIN ( 該当する場合 ) 停止ゲートウェイ検知 HA 構成 SNMP 設定 差し替えメッセージ 管理者 ( 各管理者は 1 つの VDOM にのみ属します 各 VDOM は 独自の管理者のみを設定できます ) アクセスプロファイル FortiManager 設定 設定のバックアップと復元 FDN 更新設定 バグレポート

64 VDOM の有効化 バーチャルドメインの使用 ファイアウォール 定義済みサービス 保護プロファイル VPN 証明書 アンチウイルス設定 不正侵入防御設定 Web フィルタ設定 アンチスパム設定 IM 設定 統計情報 ユーザリストとユーザポリシー VDOM の有効化 デフォルトの管理者アカウントを使用して FortiGate ユニット上で複数の VDOM での動作を有効にすることができます バーチャルドメインを有効にするには 1 Web ベースマネージャに管理者としてログインします 2 [System] [Status] の順に選択します 3 [System Information] で [Virtual Domain] の横にある [Enable] を選択します FortiGate ユニットからログオフされます ここで 管理者として再度ログインできます バーチャルドメインが有効になると Web ベースマネージャと CLI が次のように変更されます グローバル設定と VDOM ごとの設定が分離されます [System] の下に 新しい VDOM エントリが表示されます グローバルオプションを表示または設定できるのは 管理者アカウントだけです 管理者アカウントは すべての VDOM 設定を設定できます 管理者アカウントは ルート VDOM 内の任意のインタフェース または標準管理者アカウントが割り当てられている VDOM に属する任意のインタフェースを使用して接続できます 標準管理者アカウントは 自らが割り当てられている VDOM のみを設定でき またその VDOM に属するインタフェースを使用してのみ FortiGate ユニットにアクセスできます バーチャルドメインが有効になっている場合は 画面の左下を参照することによって現在のバーチャルドメインを確認できます そこにある [Current VDOM:] の後にバーチャルドメインの名前が表示されます VDOM とグローバル設定の設定 バーチャルドメインが有効になると デフォルトのスーパー管理者アカウントのみ 次の操作を行うことができます

65 バーチャルドメインの使用 VDOM とグローバル設定の設定 グローバル設定の設定 VDOM の作成または削除 複数の VDOM の設定 VDOM へのインタフェースの割り当て VDOM への管理者の割り当て VDOM は 受信トラフィック用と送信トラフィック用の少なくとも 2 つの物理インタフェースまたは仮想サブインタフェースが含まれてはじめて効果を発揮します VDOMにインタフェースまたはサブインタフェースを割り当てることができるのは スーパー管理者のみです 標準管理者アカウントは 独自の VDOM 内の物理インタフェース上に VLAN サブインタフェースを作成できます 標準管理者を作成し その管理者を VDOM に割り当てない限り スーパー管理者だけが VDOM を設定できます VDOM に管理者を割り当てることができるのは スーパー管理者だけです 自分のアクセスプロファイルで Admin Users への読み取りおよび書き込みアクセスが許可されている管理者アカウントは 独自の VDOM 内に追加の管理者を作成できます VDOM とグローバル設定の操作 管理者としてログインしたときに バーチャルドメインが有効になっていると [System] の下の [VDOM] オプションで示されているように 自動的にグローバル設定に入ります [System] [VDOM] の順に選択して バーチャルドメインを操作します 図 22: [VDOM] リスト [Create New] [Management] [Delete] [Switch] [Name] 新しい VDOM を追加する場合に選択します 新しい VDOM 名を入力し [OK] を選択します VDOM の名前を 既存の VDOM VLAN またはゾーンと同じにすることはできません VDOM 名の長さは最大 11 文字で スペースは含まれません 管理 VDOM を 選択されている VDOM に変更します 管理 VDOM は かっこ内に示されます デフォルトの管理 VDOM はルートです [Management] を選択したときに複数の VDOM が選択されている場合は 表の最初に表示されている VDOM が管理 VDOM として割り当てられます 詳細については 67 ページの 管理 VDOM の変更 を参照してください 選択されている VDOM を削除します ルート VDOM を削除することはできません その VDOM に入る場合に選択します 現在入っている VDOM は VDOM の名前が表示されている 画面の左下を参照することによって確認できます グローバル設定画面の場合は この場所に VDOM 名は表示されません VDOM の名前

66 VDOM とグローバル設定の設定 バーチャルドメインの使用 [Operation Mode] VDOM の動作モード ([NAT] または [Transparent]) [Interfaces] [Management Virtual Domain] この VDOM に関連付けられているインタフェース ( 仮想インタフェースを含む ) どの VDOM が管理ドメインかを示します 管理ドメイン以外のドメインはすべて "no" で示されます VDOM へのインタフェースの追加 VDOM には 少なくとも 2 つのインタフェースが含れている必要があります これらのインタフェースは 物理インタフェースでも VLAN サブインタフェースなどの仮想インタフェースでもかまいません デフォルトでは すべての物理インタフェースがルートバーチャルドメインに含まれています FortiOS v3.0 MR1 の時点では VDOM 間ルーティングを使用すると 物理インタフェースを使用しなくても VDOM 間で内部的に通信することができます この機能は CLI でのみ設定できます VDOM 間インタフェースの設定については FortiGate CLI リファレンス および FortiGate VLAN および VDOM ガイド を参照してください VLANサブインタフェースは一般に 物理インタフェースとは別のVDOMに含める必要があります それには スーパー管理者が最初に VDOM を作成し 次に VLAN サブインタフェースを作成した後 それを必要な VDOM に割り当てる必要があります [System] [Network] [Interfaces] はグローバル設定にしか存在せず どの VDOM 内でも使用できません VLAN サブインタフェースの作成については 101 ページの VLAN サブインタフェースの追加 を参照してください VDOM へのインタフェースの割り当て 次の手順は 既存のインタフェースを あるバーチャルドメインから別のバーチャルドメインに再割り当てする方法を説明しています ここでは VDOM が有効になっており 複数の VDOM が存在することを前提にしています VDOM が何らかの設定で使用されている ( たとえば その VDOM 内にインタフェースが存在する ) 場合は その VDOM を削除できません インタフェースが次のいずれかの設定に含まれている場合は VDOM からそのインタフェースを削除できません DHCP サーバ ゾーン ルーティング ファイアウォールポリシー IP プール proxy arp (CLI を使用してのみアクセス可能 ) 先に進む前に これらの項目を削除するか またはこれらの項目を変更してインタフェースを削除してください 注記 : インタフェースまたはサブインタフェースは 削除アイコンが表示されていれば 再割り当てまたは削除が可能です それまで そのインタフェースはどこかの設定で使用されています VDOM にインタフェースを割り当てるには 1 管理者としてログインします

67 バーチャルドメインの使用 VDOM とグローバル設定の設定 2 [System] [Network] [Interface] の順に選択します 3 再割り当てするインタフェースの [Edit] を選択します 4 そのインタフェースの新しいバーチャルドメインを選択します 5 必要に応じて他の設定を設定し [OK] を選択します 他のインタフェース設定の詳細については 72 ページの インタフェース設定 を参照してください インタフェースがVDOMに割り当てられます このインタフェースの既存のファイアウォール IP プールや仮想 IP アドレスは削除されます このインタフェースを含むルートをすべて手動で削除し 新しい VDOM 内にこのインタフェースの新しいルートを作成する必要があります そうしないと ネットワークトラフィックが正しくルーティングされません VDOM への管理者の割り当て 管理 VDOM の変更 独自のリソースを管理している組織にサービスを提供する VDOM を作成している場合は その VDOM の管理者アカウントを作成する必要があります VDOM 管理者は その VDOM 内の設定を変更できますが FortiGate ユニット上の他の VDOM に影響する変更を行うことはできません VDOM に割り当てられた標準管理者は その VDOM に属するインタフェース上のWebベースマネージャまたはCLIにのみログインできます スーパー管理者は 管理アクセスを許可する FortiGate ユニット上の任意のインタフェースを使用して Web ベースマネージャまたは CLI に接続できます コンソールインタフェースに接続することによってログインできるのは スーパー管理者またはルートドメインの標準管理者だけです VDOM に管理者を割り当てるには 1 スーパー管理者としてログインします バーチャルドメインが有効になっている必要があります 2 [System] [Admin] [Administrators] の順に選択します 3 必要に応じて 新しい管理者アカウントを作成または設定します 管理者アカウントの設定の詳細については 154 ページの 管理者アカウントの設定 を参照してください 4 この管理者アカウントを設定する場合は この管理者が管理する VDOM を [Virtual Domain] リストから選択します 5 [Apply] を選択します FortiGate ユニット上の管理 VDOM からは いくつかのデフォルトの種類のトラフィックが発信されます これらのトラフィックの種類には 次のものがあります SNMP ロギング アラートメール FDN ベースの更新 NTP ベースの時刻設定 管理 VDOM を変更する前に バーチャルドメインが有効になっていることを確認してください

68 VDOM とグローバル設定の設定 バーチャルドメインの使用 特定の時点で管理 VDOM になれる VDOM は 1 つだけです 管理 VDOM を設定するときに誤って複数の VDOM を選択した場合は リストの先頭に最も近い VDOM が管理 VDOM になります 注記 : RADIUS 認証を使用している管理者がいる場合は 管理 VDOM を変更できません 管理 VDOM を変更するには 1 [System] [VDOM] の順に選択します 2 新しい管理 VDOM になる VDOM を選択します 3 [Management] を選択して 変更を適用します これで 管理トラフィックは新しい管理 VDOM から発信されます

69 システム - ネットワーク インタフェース システム - ネットワーク この項では FortiGate ユニットをネットワークで動作するように設定する方法について説明します 基本的なネットワーク設定として FortiGate インタフェースと DNS の設定があります さらに高度な設定として FortiGate ネットワーク構成への VLAN サブインタフェースやゾーンの追加があります この項には以下のトピックが含まれています インタフェース ゾーン ネットワークオプション ルーティングテーブル ( トランスペアレントモード ) モデムインタフェースの設定 VLAN の概要 NAT/ ルートモードでの VLAN トランスペアレントモードでの VLAN FortiGate の IPv6 サポート 注記 : 同じフィールド内に IP アドレスとネットマスクの両方を入力できる場所では 短い形式のネットマスクを使用できます たとえば / は /24 とも入力できます インタフェース NAT/ ルートモードでは [System] [Network] [Interface] の順に選択して FortiGate インタフェースを設定します 次の操作を行うことができます 物理インタフェースの設定変更 VLAN サブインタフェースの追加および設定 ADSL インタフェースの設定 IEEE 802.3ad インタフェースへの複数の物理インタフェースのアグリゲート (800 以上のモデルのみ ) 物理インタフェースの冗長インタフェースへの結合 無線インタフェースの追加 (WiFi-60A および WiFi-60AM モデルのみ ) 注記 : 特に断りのない限り この項でインタフェースという用語は 物理的な FortiGate インタフェースまたは FortiGate VLAN サブインタフェースを指します VLAN については 99 ページの FortiGate ユニットと VLAN を参照してください

70 インタフェース システム - ネットワーク 図 23: インタフェースリスト - 標準管理者ビュー 図 24: インタフェースリスト - バーチャルドメインが有効になった管理者ビュー [Create New] [Switch Mode] [show backplane interfaces] [Description] アイコン VLAN サブインタフェースを作成するには [Create New] を選択します また 800 以上のモデルでは IEEE 802.3ad アグリゲートインタフェースを作成することもできます スイッチモードとインタフェースモードを切り替える場合に選択します スイッチモードでは すべての内蔵ポートが 1 つのインタフェースに含まれます インタフェースモードでは 各ポートに独自の設定可能なインタフェースが割り当てられます モードを切り替える前に "Internal" インタフェースへのすべての参照を削除する必要があります このオプションは Rev2.0 以上のモデル 100A および 200A でのみ表示されます 詳細については 71 ページの スイッチのモード を参照してください 2 つのバックプレーンインタフェースを port9 および port10 として表示する場合に選択します 表示した後は これらのインタフェースを通常の物理インタフェースとして扱うことができます このオプションは 5000 モデルでのみ使用できます このアイコンのツールヒントには このインタフェースの [Description] フィールドが表示されます

71 システム - ネットワーク インタフェース スイッチのモード [Name] FortiGate ユニット上の物理インタフェースの名前 物理インタフェースの名前と数は モデルによって異なります [Internal] [External] [DMZ] などの一部の名前は そのインタフェースのデフォルトの機能を示しています その他は port1 などの 一般的な名前です 50 および 60 の番号の FortiGate モデルは モデムインタフェースを備えています 93 ページの モデムインタフェースの設定 を参照してください oob/ha インタフェースは FortiGate モデル 4000 のアウトオブバンド管理インタフェースです このインタフェースに接続することにより FortiGate ユニットを管理できます このインタフェースはまた HA ハートビートインタフェースとしても使用できます FortiGate 60ADSL ユニットでは ADSL インタフェースを設定できます 75 ページの ADSL インタフェースの設定 を参照してください 800 以上の FortiGate モデルで 複数のインタフェースをアグリゲートインタフェースに結合した場合は 各コンポーネントインタフェースではなく アグリゲートインタフェースだけが表示されます これは 冗長インタフェースの場合も同じです 76 ページの 802.3ad アグリゲートインタフェースの作成 または 77 ページの 冗長インタフェースの作成 を参照してください VLAN サブインタフェースを追加した場合 これらのインタフェースは [Name] リスト内の追加先の物理インタフェースまたはアグリゲートインタフェースの下にも表示されます 98 ページの VLAN の概要 を参照してください バーチャルドメイン設定が有効になっており スーパー管理者でない場合は 独自のバーチャルドメイン内にあるインタフェースの情報だけを表示できます FortiGate モデル 100A または 200A Rev2.0 以降で [Interface Mode] を有効にしている場合は 複数の Internal インタフェースが表示されます [IP/Netmask] インタフェースの現在の IP アドレス / ネットマスク [Access] インタフェースの管理アクセスの設定 85 ページの インタフェースの追加の設定 を参照してください [Virtual Domain] このインタフェースが属するバーチャルドメイン この列は スーパー管理者に対してのみ かつバーチャルドメイン設定が有効になっている場合にのみ表示されます [Status] インタフェースの管理状態 管理状態が緑色の矢印の場合 このインタフェースは稼働しており ネットワークトラフィックを受信することができます 管理状態が赤色の矢印の場合 このインタフェースは管理上ダウンしており トラフィックを受け付けることができません 管理状態を変更するには [Bring Down] または [Bring Up] を選択します 削除 編集 およエントリを削除 編集 または表示します び表示アイコン 100A および 200A FortiGate モデル上の Internal インタフェースは 4 ポートスイッチです 通常 この Internal インタフェースは 4 つのすべてのポートで共有される 1 つのインタフェースとして設定されます スイッチのモードによって スイッチ上の各インタフェースを独立インタフェースとして個別に設定できます スイッチのモードには スイッチモードとインタフェースモードの 2 つの状態があります スイッチモードは スイッチ全体に対して1つのインタフェースだけが存在する デフォルトのモードです インタフェースモードを使用すると 各 Internal インタフェースを別々に設定できます これにより 各 Internal インタフェースに異なるサブネットとネットマスクを割り当てることができます スイッチモードは Rev2.0 以上の 100A および 200A モデルでのみ使用できます [System] [Network] [Interface] 画面上の [Switch Mode] コントロールを選択すると [Switch Mode Management] 画面が表示されます

72 インタフェース システム - ネットワーク! 注意 : [Switch Mode] と [Interface Mode] を切り替えるには " 内蔵 " インタフェースへのすべての参照を削除する必要があります たとえば ファイアウォールポリシー VDOM インタフェース割り当て VLAN ルーティングなどの参照です 図 25: [Switch Mode Management] 画面 [Switch Mode] [Interface Mode] [OK] [Cancel] スイッチモードを選択します 1 つの Internal インタフェースだけが表示されます これがデフォルトのモードです インタフェースモードを選択します スイッチ上のすべての Internal インタフェースが 個別に設定可能なインタフェースとして表示されます 変更を保存して [Interface] 画面に戻る場合に選択します 変更を破棄して [Interface] 画面に戻る場合に選択します インタフェース設定 [System] [Network] [Interface] の順に選択します 新しいインタフェースを作成するには [Create New] を選択します 既存のインタフェースを編集するには そのインタフェースの編集アイコンを選択します ここで仮想 IPSec インタフェースを作成することはできませんが エンドポイントアドレスを指定したり 管理アクセスを有効にしたり 説明を入力したりすることができます 詳細については 83 ページの 仮想 IPSec インタフェースの設定 を参照してください 図 26: 新しいインタフェースの設定

73 システム - ネットワーク インタフェース 図 27: インタフェースの設定変更 [Name] [Type] [Interface] [Physical Interface Members] インタフェースの名前を入力します 既存のインタフェースの名前を変更ことはできません 800 以上のモデルでは VLAN 802.3ad アグリゲート および冗長インタフェースを作成できます モデル WiFi-60A および WiFi-60AM では 無線インタフェースと VLAN サブインタフェースを作成できます 60ADSL モデルでは ADSL インタフェースを設定できます その他のモデルでは VLAN インタフェースの作成だけがサポートされ [Type] フィールドは存在しません ADSL インタフェースを設定するには 75 ページの ADSL インタフェースの設定 を参照してください VLAN サブインタフェースを作成するには 99 ページの FortiGate ユニットと VLAN を参照してください アグリゲートインタフェースを作成するには 76 ページの 802.3ad アグリゲートインタフェースの作成 を参照してください 冗長インタフェースを作成するには 77 ページの 冗長インタフェースの作成 を参照してください 無線インタフェースを作成するには 79 ページの 無線インタフェースの作成 を参照してください 既存のインタフェースの種類を変更することはできません VLAN を作成する物理インタフェースの名前を選択します 作成されると VLAN サブインタフェースは インタフェースリスト内の対応する物理インタフェースの下に表示されます 既存の VLAN サブインタフェースのインタフェースを変更することはできません このフィールドは [Type] が [VLAN] に設定されている場合にのみ表示されます 802.3ad アグリゲートまたは冗長インタフェースに含めるインタフェースを [Available Interfaces] リストから [Selected Interfaces] リストに移動します このフィールドは [Type] が [802.3ad Aggregate] または [Redundant] インタフェースのどちらかに設定されている場合にのみ表示されます

74 インタフェース システム - ネットワーク [VLAN ID] [Virtual Domain] [Addressing mode] [IP/Netmask] [DDNS] [Ping Server] [Administrative Access] [HTTPS] [PING] [HTTP] [SSH] [SNMP] [TELNET] この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致する VLAN ID を入力します 既存の VLAN サブインタフェースの VLAN ID を変更することはできません VLAN ID は 1 ~ 4096 の任意の数値にすることができ また この VLAN サブインタフェースに接続された IEEE 802.1Q 準拠のルータまたはスイッチによって追加される VLAN ID に一致している必要があります 98 ページの VLAN の概要 を参照してください このフィールドは [Type] が [VLAN] に設定されている場合にのみ表示されます この VLAN サブインタフェースが属するバーチャルドメインを選択します このオプションは バーチャルドメイン設定が有効になっている場合に スーパー管理者アカウントだけが使用できます 61 ページの バーチャルドメインの使用 を参照してください インタフェースの静的 IP アドレスを設定するには [Manual] を選択します また インタフェースに動的 IP アドレスの割り当てを設定することもできます 80 ページの インタフェース上での DHCP の設定 または 81 ページの PPPoE または PPPoA のためのインタフェースの設定 を参照してください [IP/Netmask] フィールドに IP アドレス / サブネットマスクを入力します この IP アドレスは インタフェースの接続先のネットワークと同じサブネット上に存在する必要があります 同じサブネット上で 2 つのインタフェースに IP アドレスを設定することはできません このフィールドは [Manual] アドレッシングモードが選択されている場合にのみ使用できます このインタフェースの Dynamic DNS サービスを設定するには [DDNS] をオンにします 追加のフィールドが表示されます 83 ページの インタフェースの Dynamic DNS サービスの設定 を参照してください 停止ゲートウェイ検出を有効にするには このインタフェースに接続されているネットワーク上のネクストホップルータのIP アドレスを入力し [Enable] をオンにします 91 ページの 停止ゲートウェイ検出 を参照してください このインタフェースで許可されている管理アクセスの種類を選択します このインタフェースを介した Web ベースマネージャへのセキュアな HTTPS 接続を許可します ping に応答するインタフェース この設定は インストールの確認やテストに使用します このインタフェースを介した Web ベースマネージャへの HTTP 接続を許可します HTTP 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります このインタフェースを介した CLI への SSH 接続を許可します リモートのSNMPマネージャがこのインタフェースに接続することによって SNMP 情報を要求できるようにします 133 ページの SNMP の設定 を参照してください このインタフェースを介した CLI への Telnet 接続を許可します Telnet 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります

75 システム - ネットワーク インタフェース ADSL インタフェースの設定 [MTU] MTU を変更するには [Override default MTU value (1500)] をオンにし インタフェースのアドレッシングモードに基づいた MTU サイズを入力します 静的モードの場合は 68 ~ 1,500 バイト DHCP モードの場合は 576 ~ 1,500 バイト PPPoE モードの場合は 576 ~ 1,492 バイト ジャンボフレームの場合は 最大 16,110 バイト (FortiGate3000 以上のモデル ) このフィールドは 物理インタフェースでのみ使用できます VLAN は デフォルトで 親インタフェースの MTU サイズを継承します MTU とジャンボフレームの詳細については 85 ページの インタフェースの MTU パケットサイズ を参照してください [Log] [Secondary IP Address] [Description] このインタフェースで送受信されるすべてのトラフィックのログを記録するには [Log] をオンにします ログを記録するには ロギング場所のトラフィックログも有効にし ロギングレベルを [Notification] 以下に設定する必要があります ロギングの場所と種類を設定するには [Log&Report] [Log Config] の順に選択します ロギングについては 431 ページの ログおよびレポート を参照してください 青色の矢印を選択してこのセクションを展開するか または非表示にし このインタフェースに IP アドレスを追加します 86 ページの セカンダリ IP アドレス を参照してください 必要に応じて 最大 63 文字までの説明を入力します 注記 : トランスペアレントモードでは インタフェースの MTU を変更した場合 その新しい MTU に一致するようにすべてのインタフェースの MTU を変更する必要があります ADSL インタフェースを指定するために必要な情報は ISP から使用するよう指示されているアドレッシングモードによって異なります IPOA または EOA を使用した静的アドレッシングには IP アドレスとネットマスクだけが必要です 動的アドレッシングを使用している場合は 80 ページの インタフェース上での DHCP の設定 または 81 ページの PPPoE または PPPoA のためのインタフェースの設定 の説明に従って設定する必要があります FortiGate ユニットがトランスペアレントモードの場合 ADSL インタフェースを設定することはできません [System] [Network] [Interface] の順に選択します [Create New] を選択するか または既存のインタフェースの編集アイコンを選択します [Addressing mode] セクションで [IPoA] または [EoA] を選択します 図 28: ADSL インタフェースのための設定

76 インタフェース システム - ネットワーク [Address mode] [IPOA] [EOA] [DHCP] [PPPoE] [PPPoA] [Gateway] [Connect to Server] [Virtual Circuit Identification] [MUX Type] ISP から指定されているアドレッシングモードを選択します IP over ATM ISP から提供されている IP アドレスとネットマスクを入力します Ethernet over ATM (Bridged モードとも呼ばれます ) ISP から提供されている IP アドレスとネットマスクを入力します 80 ページの インタフェース上での DHCP の設定 を参照してください 81 ページの PPPoE または PPPoA のためのインタフェースの設定 を参照してください 81 ページの PPPoE または PPPoA のためのインタフェースの設定 を参照してください デフォルトのゲートウェイを入力します インタフェースが自動的に接続を試みるようにするには [Connect to Server] をオンにします インタフェースをオフラインで設定する場合は このオプションをオフにします ISP から提供されている VPI と VCI の値を入力します MUX の種類を [LLC Encap] または [VC Encap] から選択します ISP からこの情報が提供されている必要があります 802.3ad アグリゲートインタフェースの作成 2 つ以上の物理インタフェースをアグリゲート ( 結合 ) することによって 帯域幅を増やすと同時に ある程度のリンクの冗長性を実現できます これには 冗長インタフェースより帯域幅が広がるという利点がありますが 障害ポイントが生まれる可能性も高くなります これらのインタフェースは 同じネクストホップルーティング宛先に接続する必要があります 800 以上のモデルの FortiGate ファームウェアには リンクアグリゲーションのための IEEE 標準 802.3ad が実装されています インタフェースでアグリゲーションを使用できるのは そのインタフェースが次の条件を満たしている場合だけです VLAN インタフェースではなく 物理インタフェースである まだアグリゲートまたは冗長インタフェースの一部になっていない アグリゲートインタフェースと同じ VDOM に含まれている IP アドレスが定義されておらず DHCP や PPPoE も設定されていない DHCP サーバまたはリレーが設定されていない VLAN サブインタフェースが存在しない どのファイアウォールポリシー VIP IP プール マルチキャストポリシーでも参照されていない HA ハートビートインタフェースではない FortiGate 5000 シリーズバックプレーンインタフェースのいずれでもない インタフェースがアグリゲートインタフェースに含まれている場合 そのインタフェースは [System] [Network] [Interface] ページに表示されません 個別に設定することはできなくなり ファイアウォールポリシー VIP IP プール またはルーティングに含めることもできません

77 システム - ネットワーク インタフェース 図 29: 802.3ad アグリゲートインタフェースのための設定 802.3ad アグリゲートインタフェースを作成するには 1 [System] [Network] [Interface] の順に選択します 2 [Create New] を選択します 3 [Name] フィールドに アグリゲートインタフェースの名前を入力します このインタフェース名は 他のどのインタフェース ゾーン VDOM とも同じであってはなりません 4 [Type] リストから [802.3ad Aggregate] を選択します 5 一度に 1 つずつ [Available Interfaces] リストからアグリゲートインタフェースに含める各インタフェースを選択した後 右矢印ボタンを選択して [Selected Interfaces] リストに移動します 6 このインタフェースを NAT/ ルートモードで動作させる場合は そのためのアドレッシングを設定する必要があります 動的アドレッシングについては 次の項を参照してください 80 ページの インタフェース上での DHCP の設定 81 ページの PPPoE または PPPoA のためのインタフェースの設定 7 必要に応じて 他のインタフェースオプションを設定します 8 [OK] を選択します 冗長インタフェースの作成 2 つ以上の物理インタフェースを結合することによって リンクの冗長性を実現できます この機能を使用すると 2 つ以上のスイッチに接続して 1 つの物理インタフェースまたはそのインタフェース上の装置に障害が発生した場合でも接続を保証することができます 冗長リンクは トラフィックが ( 冗長リンク内にインタフェースがいくつ含まれていても ) 常に 1 つのインタフェースしか通過しないという点でリンクアグリゲーションとは異なりますが 冗長インタフェースによって 発生し得る障害ポイントの少ない より安定した構成が可能になります フルメッシュ HA 構成では この点が重要です 800 以上のモデルの FortiGate ファームウェアには 冗長インタフェースが実装されています インタフェースを冗長インタフェースに含めることができるのは そのインタフェースが次の条件を満たしている場合だけです VLAN インタフェースではなく 物理インタフェースである

78 インタフェース システム - ネットワーク まだアグリゲートまたは冗長インタフェースの一部になっていない 冗長インタフェースと同じ VDOM に含まれている IP アドレスが定義されておらず DHCP や PPPoE も設定されていない DHCP サーバまたはリレーが設定されていない VLAN サブインタフェースが存在しない どのファイアウォールポリシー VIP IP プール マルチキャストポリシーでも参照されていない HA によって監視されていない インタフェースが冗長インタフェースに含まれている場合 そのインタフェースは [System] [Network] [Interface] ページに表示されません 個別に設定することはできなくなり ファイアウォールポリシー VIP IP プール またはルーティングに含めることもできません 図 30: 冗長インタフェースのための設定 冗長インタフェースを作成するには 1 [System] [Network] [Interface] の順に選択します 2 [Create New] を選択します 3 [Name] フィールドに 冗長インタフェースの名前を入力します このインタフェース名は 他のどのインタフェース ゾーン VDOM とも同であってはなりません 4 [Type] リストから [Redundant Interface] を選択します 5 一度に 1 つずつ [Available Interfaces] リストから冗長インタフェースに含める各物理インタフェースを選択した後 右矢印ボタンを選択して [Selected Interfaces] リストに移動します 追加したインタフェースは [Selected Interfaces] リストに表示されている順序で使用されます たとえば リスト内の最初のインタフェースに障害が発生した場合は 2 番目のインタフェースが使用されます 6 このインタフェースを NAT/ ルートモードで動作させる場合は そのためのアドレッシングを設定する必要があります 動的アドレッシングについては 次の項を参照してください 80 ページの インタフェース上での DHCP の設定 81 ページの PPPoE または PPPoA のためのインタフェースの設定 7 必要に応じて 他のインタフェースオプションを設定します 8 [OK] を選択します

79 システム - ネットワーク インタフェース 無線インタフェースの作成 FortiWiFi-60A および FortiWiFi-60AM モデルでは 無線 WLAN インタフェースを作成できます (FortiWiFi-60 ユニットで無線インタフェースを作成するには 112 ページの システム無線の設定 (FortiWiFi-60) を参照してください ) 1 [System] [Network] [Interface] の順に選択します 2 [Create New] を選択します 3 [Name] フィールドに 無線インタフェースの名前を入力します このインタフェース名は 他のどのインタフェース ゾーン VDOM とも同であってはなりません 4 [Type] リストから [Wireless] を選択します 5 [Wireless Settings] セクションで 次の情報を入力します 図 31: 無線インタフェースの設定 [SSID] [SSID Broadcast] [Security Mode] [Key] [Pre-shared Key] [RADIUS Server Name] [Data Encryption] [RTS Threshold] [Fragmentation Threshold] FortiWiFi-60 ユニットがブロードキャストする無線ネットワーク名を入力します 無線ネットワークを使用するユーザは 自分のコンピュータを このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります ユニットで SSID をブロードキャストする場合に選択します ( アクセスポイントモードのみ ) WEP を使用するには [WEP64] または [WEP128] を選択します WPA ( アクセスポイントモードでのみ使用可能 ) を使用するには [WPA Pre-shared Key] または [WPA_Radius] を選択します FortiWiFi-60 無線ネットワークのユーザは 各自のコンピュータを 同じ設定を使用して設定する必要があります 64 ビット WEP キーの場合は 10 桁の 16 進数 (0-9 a-f) を入力します 128 ビット WEP キーの場合は 26 桁の 16 進数 (0-9 a-f) を入力します 無線ネットワークのユーザは 各自のコンピュータに同じキーを設定する必要があります [WPA Pre-shared Key] セキュリティモードの場合は 事前共有キーを入力します 無線ネットワークのユーザは 各自のコンピュータに同じキーを設定する必要があります [WPA Radius] セキュリティモードの場合は リストから Radius サーバ名を選択します この Radius サーバは [User] [Radius] で設定されている必要があります 詳細については 340 ページの RADIUS サーバ を参照してください WPA モードの場合に適用されます [TKIP] または [AES (WPA2)] のどちらかのデータ暗号化を選択します RTS (Request to Send) しきい値は ユニットが別の無線デバイスからの CTS (Clear to Send) 受信確認を待つ時間を設定します 2 つ以上のパケットに分割されないデータパケットの最大サイズを設定します このしきい値を下げると 受信状態の悪い環境のパフォーマンスが向上する可能性があります

80 インタフェース システム - ネットワーク 6 必要に応じて 他のインタフェースオプションを設定します 7 [OK] を選択します インタフェース上での DHCP の設定 DHCP を使用するようにインタフェースを設定した場合 FortiGate ユニットは DHCP 要求を自動的にブロードキャストします このインタフェースには IP アドレスとオプションのDNSサーバアドレス およびDHCPサーバによって提供されるデフォルトゲートウェイアドレスが設定されます [System] [Network] [Interface] の順に選択します [Create New] を選択するか または既存のインタフェースの編集アイコンを選択します [Addressing mode] セクションで [DHCP] を選択します 図 32: インタフェースの DHCP 設定 図 33: ADSL インタフェースの DHCP 設定 [Status] [Obtained IP/Netmask] [Renew] [Expiry Date] FortiGate ユニットが DHCP サーバに接続し アドレッシング情報を取得するときの DHCP の状態メッセージを表示します アドレッシングモードの状態メッセージを更新するには [Status] を選択します これは [Edit] を選択した場合にのみ表示されます [Status] には 次のいずれかが表示されます [initializing] - 動作していません [connecting] - インタフェースは DHCP サーバに接続しようとしています [connected] - インタフェースは DHCP サーバから IP アドレス ネットマスク その他の設定を取得しました [failed] - インタフェースは DHCP サーバから IP アドレスやその他の情報を取得できませんでした DHCP サーバからリースされた IP アドレスとネットマスク これは [Status] が [connected] の場合にのみ表示されます このインタフェースの DHCP ライセンスを更新する場合に選択します これは [Status] が [connected] の場合にのみ表示されます リースされた IP アドレスとネットマスクが有効でなくなる時刻と日付 これは [Status] が [connected] の場合にのみ表示されます

81 システム - ネットワーク インタフェース [Distance] [Default Gateway] [Retrieve default gateway from server] [Override internal DNS] [Connect to Server] PPPoE または PPPoA のためのインタフェースの設定 DHCP サーバで定義されたゲートウェイの IP アドレス これは [Status] が [connected] であり かつ [Retrieve default gateway from server] がオンになっている場合にのみ表示されます DHCP サーバから取得されたデフォルトゲートウェイのディスタンスを入力します ディスタンス (1 ~ 255 の整数 ) は 同じ宛先へのルートが複数存在する場合の ルートの相対的な優先順位を指定します ディスタンスが小さいほど 優先順位が高いルートであることを示します デフォルトゲートウェイのデフォルトの距離は 1 です DHCP サーバからデフォルトゲートウェイの IP アドレスを取得するには [Retrieve default gateway from server] をオンにします このデフォルトゲートウェイは スタティックルーティングテーブルに追加されます [DNS] ページ上の DNS サーバ IP アドレスの代わりに DHCP サーバから取得された DNS アドレスを使用するには [Override internal DNS] をオンにします 100 以下の番号のモデルでは [System] [Network] [Options] ページにある [Obtain DNS server address automatically] もオンにする必要があります 91 ページの DNS サーバ を参照してください インタフェースが自動的に DHCP サーバへの接続を試みるようにするには [Connect to Server] をオンにします インタフェースをオフラインで設定する場合は このオプションをオフにします PPPoE または PPPoA を使用するようにインタフェースを設定した場合 FortiGate ユニットは PPPoE または PPPoA 要求を自動的にブロードキャストします FortiGate ユニットをオフラインで設定し FortiGate ユニットで PPPoE または PPPoA 要求を送信しないようにする場合は [Connect to Server] をオフにすることができます FortiGate ユニットは Unnumbered IP 初期検出タイムアウト PADT (PPPoE Active Discovery Terminate) など PPPoE RFC 機能 (RFC 2516) の多くをサポートしています PPPoA は ADSL をサポートする FortiGate モデルでのみ使用できます [System] [Network] [Interface] の順に選択します [Create New] を選択するか または既存のインタフェースの編集アイコンを選択します [Addressing mode] セクションで [PPPoE] または [PPPoA] を選択します 図 34: インタフェースの PPPoE 設定

82 インタフェース システム - ネットワーク 図 35: ADSL インタフェースの PPPoE または PPPoA 設定 [Status] FortiGate ユニットが PPPoE または PPPoA サーバに接続し アドレッシング情報を取得するときの PPPoE または PPPoA の状態メッセージを表示します アドレッシングモードの状態メッセージを更新するには [Status] を選択します これは [Edit] を選択した場合にのみ表示されます [Status] には 次の 4 つのメッセージのいずれかが表示されます [initializing] 動作していません [connecting] インタフェースは PPPoE または PPPoA サーバに接続しようとしています [connected] インタフェースは PPPoE サーバから IP アドレス ネットマスク その他の設定を取得しました [Status] が [connected] の場合は PPPoE または PPPoA の接続情報が表示されます [failed] インタフェースは PPPoE または PPPoA サーバから IP アドレスやその他の情報を取得できませんでした [Reconnect] PPPoE または PPPoA サーバに再接続する場合に選択します これは [Status] が [connected] の場合にのみ表示されます [User Name] PPPoE または PPPoA アカウントのユーザ名 [Password] PPPoE または PPPoA アカウントのパスワード [Unnumbered IP] インタフェースのIPアドレスを指定します ISPから IPアドレスのブロックが割り当てられている場合は そのうちの 1 つを使用します それ以外の場合 この IP アドレスは別のインタフェースの IP アドレスと同じでも その他の任意の IP アドレスでもかまいません [Initial Disc Timeout] [Initial PADT timeout] [Distance] [Retrieve default gateway from server] 初期検出タイムアウト PPPoE または PPPoA 検出の再試行を開始するまでに待つ時間 無効にするには [Initial Disc Timeout] を 0 に設定します 初期の PADT (PPPoE Active Discovery Terminate) タイムアウト ( 秒単位 ) この秒数の間アイドルになっている PPPoE または PPPoA セッションをシャットダウンするには このタイムアウトを使用します ISP で PADT がサポートされている必要があります 無効にするには [Initial PADT timeout] を 0 に設定します PPPoE または PPPoA サーバから取得されたデフォルトゲートウェイのディスタンスを入力します ディスタンス (1 ~ 255 の整数 ) は 同じ宛先へのルートが複数存在する場合の ルートの相対的な優先順位を指定します ディスタンスが小さいほど 優先順位が高いルートであることを示します デフォルトゲートウェイのデフォルトのディスタンスは1です PPPoE サーバからデフォルトゲートウェイの IP アドレスを取得するには [Retrieve default gateway from server] をオンにします このデフォルトゲートウェイは スタティックルーティングテーブルに追加されます

83 システム - ネットワーク インタフェース [Override internal DNS] [Connect to Server] [System DNS] ページ上の DNS サーバ IP アドレスを PPPoE または PPPoA サーバから取得された DNS アドレスで置き換えるには [Override internal DNS] をオンにします [OK] または [Apply] を選択したときに インタフェースが自動的に PPPoE または PPPoA サーバへの接続を試みるようにするには [Connect to Server] をオンにします インタフェースをオフラインで設定する場合は このオプションをオフにします インタフェースの Dynamic DNS サービスの設定 FortiGate ユニットに静的なドメイン名と動的なパブリック IP アドレスが設定されている場合は DDNS サービスを使用して ドメインの IP アドレスの変更時にインターネット DNSサーバを更新できます Dynamic DNS は NAT/ ルートモードでのみ使用できます [System] [Network] [Interface] の順に選択します [Create New] を選択するか または既存のインタフェースの編集アイコンを選択します [Addressing mode] セクションのすぐ下にある [DDNS] をオンにし 提供されている情報を使用して DDNS サービスを設定します FortiGate ユニットは DDNS サーバに接続できない場合は常に 1 分間隔で 3 回の再試行を行った後 3 分間隔での再試行に移行します これは DDNS サーバのフラッディングを防ぐためです 図 36: DDNS サービスの設定 [Server] 使用する DDNS サーバを選択します これらのサービスのクライアントソフトウェアは FortiGate ファームウェアに組み込まれています FortiGate ユニットは これらのサービスのいずれかにのみ接続できます [Domain] DDNS サービスの完全修飾ドメイン名 [Username] DDNS サーバに接続するときに使用するユーザ名 [Password] DDNS サーバに接続するときに使用するパスワード 仮想 IPSec インタフェースの設定 仮想 IPSec インタフェースを作成するには VPN の作成時に [VPN] [IPSec] [Auto Key] または [VPN] [IPSec] [Manual Key] で [IPSec Interface Mode] を選択します また [Local Interface] リストから物理インタフェースまたは VLAN インタフェースを選択することもできます 仮想 IPSec インタフェースは [System] [Network] [Interface] ページに そのインタフェースのサブインタフェースとして表示されます 詳細については 次の項を参照してください 303 ページの IPSec インタフェースモードの概要 305 ページの 自動キー または 315 ページの 手動キー [System] [Network] [Interface] の順に選択し IPSec インタフェースの [Edit] を選択して 次の操作を行います IPSec インタフェースのローカルおよびリモートエンドポイントのIP アドレスを設定することにより そのインタフェースを介してダイナミックルーティングを実行したり ping を使用してトンネルをテストしたりできるようにする

84 インタフェース システム - ネットワーク IPSec インタフェースを介した管理アクセスを有効にする インタフェース上のロギングを有効にする インタフェースの説明を入力する 図 37: 仮想 IPSec インタフェースの設定 [Name] [Virtual Domain] [IP] [Remote IP] [Administrative Access] [HTTPS] [Log] [PING] [HTTP] [SSH] [SNMP] [TELNET] [Description] IPSec インタフェースの名前 IPSec インタフェースの VDOM を選択します トンネルでダイナミックルーティングを使用する場合や トンネルインタフェースに ping を発行できるようにする場合は トンネルのローカルおよびリモートエンドポイントの IP アドレスを入力します この 2 つのアドレスは ネットワーク内の他のどの場所でも使用されていないアドレスにする必要があります このインタフェースで許可されている管理アクセスの種類を選択します このインタフェースを介した Web ベースマネージャへのセキュアな HTTPS 接続を許可します ping に応答するインタフェース この設定は インストールの確認やテストに使用します このインタフェースを介した Web ベースマネージャへの HTTP 接続を許可します HTTP 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります このインタフェースを介した CLI への SSH 接続を許可します リモートの SNMP マネージャがこのインタフェースに接続することによって SNMP 情報を要求できるようにします 133 ページの SNMP の設定 を参照してください このインタフェースを介した CLI への Telnet 接続を許可します Telnet 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります このインタフェースで送受信されるすべてのトラフィックのログを記録するには [Log] をオンにします ログを記録するには ロギング場所のトラフィックログも有効にし ロギングレベルを [Notification] 以下に設定する必要があります ロギングの場所と種類を設定するには [Log&Report] [Log Config] の順に選択します ロギングについては 431 ページの ログおよびレポート を参照してください 必要に応じて 最大 63 文字までの説明を入力します

85 システム - ネットワーク インタフェース インタフェースの追加の設定 基本的な設定が実行されたインタフェースに対して いくつかの追加の設定を実行することが可能です インタフェースの追加の設定には 次の設定が含まれます インタフェースへの管理アクセス インタフェースの MTU パケットサイズ インタフェースのトラフィックロギング セカンダリ IP アドレス インタフェースへの管理アクセス NAT/ ルートモードで動作している VDOM の場合は その VDOM 内のインタフェースへの管理アクセスを制御できます FortiGate ユニットのリモート管理を許可することができます ただし インターネットからのリモート管理を許可すると FortiGate ユニットのセキュリティが危険にさらされる可能性があります 設定にとって必須でない限り この危険性を避けるようにしてください インターネットからのリモート管理を許可した FortiGate ユニットのセキュリティを向上させるには 次のようにします セキュアな管理ユーザパスワードを使用します これらのパスワードを定期的に変更します HTTPS または SSH のみを使用して このインタフェースへのセキュアな管理アクセスを有効にします システムのアイドルタイムアウトをデフォルト値の 5 分から変更しないでください (162 ページの 設定 を参照 ) トランスペアレントモードで管理アクセスを設定する方法の詳細については 148 ページの 動作モードおよび VDOM 管理アクセス を参照してください インタフェースへの管理アクセスを制御するには 1 [System] [Network] [Interface] の順に選択します 2 インタフェースを選択し [Edit] を選択します 3 インタフェースの管理アクセス方法を選択します 4 [OK] を選択して変更を保存します インタフェースの MTU パケットサイズ ネットワークパフォーマンスを向上させるために FortiGate ユニットが転送するパケットの最大転送単位 (MTU) を変更できます MTU は FortiGate ユニットとパケットの宛先との間のすべてのネットワークの最小の MTU と同じであることが理想です FortiGate ユニットが送信するパケットがこの MTU より大きい場合は パケットが分割 ( または細分化 ) され それによって転送速度が低下します MTU を小さくしてみて 最高のネットワークパフォーマンスが得られる MTU サイズを見つけてください

86 インタフェース システム - ネットワーク 3000 以上の番号の FortiGate モデルは ジャンボフレームをサポートしています モデルによって 9,000 バイトの制限をサポートしている場合と 16,110 バイトをサポートしている場合があります ジャンボフレームは最大 9,000 または 16,110 バイトであり 標準のイーサネットフレームよりはるかに大きくすることができます 標準のイーサネットフレーム ( パケット ) は ヘッダ情報を含めて最大 1,500バイトです 新しいイーサネット標準 ( ギガビットイーサネットなど ) が実装されても 1,500 バイトフレームは下位互換性のために維持されています あるルートを介してジャンボフレームを送信するには そのルート上のすべてのイーサネットデバイスがジャンボフレームをサポートしている必要があります そうでないと ジャンボフレームが認識されず 転送されません 同じインタフェース上に標準のイーサネットフレームとジャンボフレームのトラフィックが存在する場合は ルーティングの仕組みだけでは フレームサイズのみに基づいてそれぞれのトラフィックを異なるルートにルーティングすることはできません ただし VLAN を使用すると ジャンボフレームのトラフィックが ジャンボフレームをサポートするネットワークデバイスを介してルーティングされることを保証できます VLAN は MTU サイズを親インタフェースから継承します VLAN を そのルートの両端だけでなく そのルートに沿ったすべてのスイッチおよびルータに設定する必要があります VLAN 設定の詳細については FortiGate VLAN および VDOM ガイド を参照してください インタフェースから送信されるパケットの MTU サイズを変更するには 1 [System] [Network] [Interface] の順に選択します 2 物理インタフェースを選択し [Edit] を選択します 3 [Override default MTU value (1500)] をオンにします 4 MTU サイズを設定します FortiGate ユニットでサポートされているサイズより大きい MTU サイズを選択すると エラーメッセージが表示されます この場合は 値がサポートされるサイズになるまで MTU サイズを小さくしてみてください サポートされている最大値は 16,110 9,000 および 1,500 です 注記 : MTU を変更した場合は 変更されたインタフェース上の VLAN サブインタフェースの MTU 値を更新するために FortiGate ユニットを再起動する必要があります 注記 : トランスペアレントモードでは インタフェースの MTU を変更した場合 その新しい MTU に一致するようにすべてのインタフェースの MTU を変更する必要があります インタフェースのトラフィックロギング 任意のインタフェースのトラフィックロギングを有効にすることができます 詳細については 440 ページの トラフィックログ を参照してください セカンダリ IP アドレス 1 つのインタフェースに 複数の IP アドレスを割り当てることができます インタフェース上の IP アドレスごとに別のファイアウォールポリシーを作成し 適用することができます また セカンダリ IP アドレスでトラフィックを転送したり RIP またはOSPFルーティングを使用したりすることもできます インタフェースあたり 最大 32 のセカンダリ IP アドレスを設定できます プライマリIPアドレスとセカンダリIPアドレスは 同じpingジェネレータを共有できます

87 システム - ネットワーク インタフェース セカンダリ IP アドレスを割り当てる際には 以下が適用されている必要があります 先にインタフェースにプライマリ IP アドレスを割り当てる必要があります インタフェースは 手動アドレッシングモードで設定する必要があります デフォルトでは 同じサブネットに含まれる複数の IP アドレスを使用することはできません インタフェースサブネットの重複を許可するには 次の CLI コマンドを使用します config system global (global)# set allow-interface-subnet-overlap enable (global)#end セカンダリ IP アドレスは VPN トンネルを終端できません CLI コマンドの config system interface を使用して インタフェースにセカンダリ IP アドレスを追加できます 詳細については FortiGate CLI リファレンス の system interface の下にある config secondaryip を参照してください 図 38: セカンダリ IP アドレスの追加 [IP/Netmask] [IP/Netmask] フィールドに IP アドレス / サブネットマスクを入力します この IP アドレスは インタフェースの接続先のネットワークと同じサブネット上に存在する必要があります 2 つのインタフェースに同じサブネット上の IP アドレスを設定することはできません このフィールドは [Manual] アドレッシングモードが選択されている場合にのみ使用できます [Ping Server] 停止ゲートウェイ検出を有効にするには このインタフェースに接続されているネットワーク上のネクストホップルータの IP アドレスを入力し [Enable] をオンにします 91 ページの 停止ゲートウェイ検出 を参照してください 複数のアドレスで同じ ping サーバを共有できます このフィールドはオプションです [Administrative Access] [HTTPS] [PING] [HTTP] [SSH] [SNMP] セカンダリ IP で許可されている管理アクセスの種類を選択します プライマリアドレスとは異なる種類を選択できます このセカンダリ IP を介した Web ベースマネージャへのセキュアな HTTPS 接続を許可します ping に応答するセカンダリ IP この設定は インストールの確認やテストに使用します このセカンダリ IP を介した Web ベースマネージャへの HTTP 接続を許可します HTTP 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります このセカンダリ IP を介した CLI への SSH 接続を許可します リモートのSNMPマネージャがこのセカンダリ IPに接続することによって SNMP 情報を要求できるようにします 133 ページの SNMP の設定 を参照してください

88 ゾーン システム - ネットワーク [Add] [TELNET] このセカンダリ IP を介した CLI への Telnet 接続を許可します Telnet 接続はセキュリティ保護されていないため 第三者によって傍受される可能性があります 設定されたセカンダリ IP アドレスを 下に表示されているセカンダリ IP テーブルに追加するには [Add] を選択します このテーブル内のアドレスは この画面の一番下にある [OK] または [Apply] を選択するまでインタフェースには追加されません [Secondary IP table] このインタフェースに追加されたすべてのセカンダリ IP アドレスを示すテーブル これらのアドレスは この画面の一番下にある [OK] または [Apply] を選択するまでインタフェースに完全には追加されません それ以外の場合は 上の制限のために 一部のアドレスがテーブルから削除される可能性があります # セカンダリ IP アドレスの番号 1 つのインタフェースには 最大 32 の追加の IP アドレスが存在できます [IP/Netmask] このセカンダリ IP の IP アドレスとネットマスク [Ping Server] このアドレスのための ping サーバの IP アドレス ping サーバは 複数のアドレスで共有できます ping サーバはオプションです [Enable] ping サーバのオプションが選択されているかどうかを示します [Access] このアドレスの管理アクセス方法 プライマリ IP アドレスとは異なる方法を選択できます 削除アイコンこのセカンダリ IP のエントリを削除する場合に選択します 注記 : セカンダリ IP を追加したら セカンダリ IP テーブルに戻り 新しいアドレスが表示されていることを確認することをお勧めします 表示されていない場合 そのアドレスはいずれかの制限のために追加されませんでした ゾーン ゾーンを使用して 関連するインタフェースと VLANサブインタフェースをグループ化することができます インタフェースと VLAN サブインタフェースをゾーンにグループ化すると ポリシーの作成が簡略化されます インタフェースと VLANサブインタフェースをゾーンにグループ化した場合は このゾーンと外部の間の接続に関するポリシーは設定できますが ゾーン内のインタフェース間のポリシーは設定できません ゾーンの追加 ゾーンの名前変更や編集 ゾーンリストからのゾーンの削除を行うことができます ゾーンを追加する場合は ゾーンに追加するインタフェースと VLAN サブインタフェースの名前を選択します ゾーンは バーチャルドメインに追加されます FortiGate の設定に複数のバーチャルドメインを追加している場合は ゾーンを追加または編集する前に 正しいバーチャルドメインを設定していることを確認してください 図 39: ゾーンリスト

89 システム - ネットワーク ネットワークオプション [Create New] [Name] [Block intra-zone traffic] 新しいゾーンを作成するには [Create New] を選択します 追加したゾーンの名前 同じゾーン内のインタフェース間のトラフィックがブロックされている場合は [Yes] 同じゾーン内のインタフェース間のトラフィックがブロックされていない場合は [No] を表示します [Interface Members] このゾーンに追加されたインタフェースの名前 インタフェース名は FortiGate モデルによって異なります 編集 / 表示アイコンゾーンを編集または表示します 削除アイコンゾーンを削除します ゾーンの設定 ゾーンを設定するには [System] [Network] [Zone] の順に選択します [Create New] を選択するか またはゾーンの編集アイコンを選択してそのゾーンを変更します 図 40: ゾーンのオプション [Name] [Block intra-zone traffic] [Interface members] ゾーンを識別する名前を入力します 同じゾーン内のインタフェースまたはVLANサブインタフェース間のトラフィックをブロックするには [Block intra-zone traffic] をオンにします このゾーンの一部にするインタフェースを選択します このリストには 設定済みの VLAN が含まれています ネットワークオプション ネットワークオプションには DNS サーバや停止ゲートウェイ検出の設定が含まれます これらのオプションは [Configuring Network Options] 画面で設定されます

90 ネットワークオプション システム - ネットワーク DNS サーバや停止ゲートウェイ検出の設定を行うには [System] [Network] [Options] の順に選択します 図 41: ネットワークオプション 以上の FortiGate モデル 図 42: ネットワークオプション 以下の番号のモデル [Obtain DNS server address automatically] [Use the following DNS server addresses] [Primary DNS Server] [Secondary DNS Server] [Local Domain Name] このオプションは 100 以下の FortiGate モデルにのみ適用されます インタフェース上で DHCP が使用されている場合は DNS サーバ IP アドレスも取得します NAT/ ルートモードでのみ使用できます また インタフェースの DHCP 設定で [Override internal DNS] もオンにする必要があります 80 ページの インタフェース上での DHCP の設定 を参照してください このオプションは 100 以下の FortiGate モデルにのみ適用されます 指定されたプライマリおよびセカンダリ DNS サーバアドレスを使用します プライマリ DNS サーバ IP アドレスを入力します セカンダリ DNSサーバIP アドレスを入力します DNS 参照の実行時にドメイン部分のないアドレスに追加するドメイン名を入力します

91 システム - ネットワーク ネットワークオプション [Enable DNS forwarding from] [Dead Gateway Detection] [Detection Interval] [Fail-over Detection] このオプションは NAT/ ルートモードで動作している 100 以下の FortiGate モデルにのみ適用されます 受信した DNS 要求を設定された DNS サーバに転送するインタフェースを選択します 停止ゲートウェイ検出は インタフェース設定に追加された ping サーバを使用して接続を確認します インタフェースへの ping サーバの追加については 91 ページの 停止ゲートウェイ検出 を参照してください FortiGate ユニットが対象に ping を発行する頻度を示す秒数を入力します FortiGate ユニットがゲートウェイを機能していないと見なすまでの ping テストの失敗の回数を入力します DNS サーバ アラートメールや URL ブロッキングなど FortiGate 機能の一部は DNS を使用しています FortiGate ユニットの接続先の DNS サーバの IP アドレスを指定することができます DNS サーバ IP アドレスは通常 ISP によって指定されます 100 以下の番号の FortiGate モデルは DNS サーバアドレスを自動的に取得するように設定できます これらのアドレスを自動的に取得するには 少なくとも 1 つの FortiGate ユニットインタフェースが DHCP または PPPoE アドレッシングモードを使用する必要があります 80 ページの インタフェース上での DHCP の設定 または 81 ページの PPPoE または PPPoA のためのインタフェースの設定 を参照してください 100 以下の FortiGate モデルは そのインタフェース上で DNS 転送を実行できます 接続されたネットワーク上のホストは このインタフェースの IP アドレスを DNSサーバとして使用します このインタフェースに送信されたDNS 要求は ユーザによって設定されたか または FortiGate ユニットによって自動的に取得された DNS サーバアドレスに転送されます 停止ゲートウェイ検出 停止ゲートウェイ検出は ping サーバに定期的に ping を発行してネットワーク接続を確認します 一般に この ping サーバは 外部ネットワークまたはインターネットにつながるネクストホップルータです ping の間隔 ([Detection Interval]) と 接続の切断を示すと見なされる ping の失敗回数 ([Fail-over Detection]) は [System] [Network] [Options] ページで設定されます インタフェースに対して停止ゲートウェイ検出を適用するには そのインタフェース上に ping サーバを設定する必要があります インタフェースに ping サーバを追加するには 1 [System] [Network] [Interface] の順に選択します 2 インタフェースを選択し [Edit] を選択します 3 [Ping Server] を このインタフェースに接続されているネットワーク上のネクストホップルータのIPアドレスに設定します 4 [Enable] チェックボックスをオンにします 5 [OK] を選択して変更を保存します

92 ルーティングテーブル ( トランスペアレントモード ) システム - ネットワーク ルーティングテーブル ( トランスペアレントモード ) トランスペアレントモードでは [System] [Network] [Routing Table] の順に選択して FortiGate ユニットからローカルルータへの静的ルートを追加します 図 43: ルーティングテーブル [Create New] 新しいルートを追加します # ルートの番号 [IP] このルートの宛先 IP アドレス [Mask] このルートのネットマスク [Gateway] このルートがトラフィックを転送する先のネクストホップルータの IP アドレス [Distance] このルートの相対的な優先順位 1 が最も高い優先順位です 削除アイコン ルートを削除します 表示 / 編集アイコ ルートを編集または表示します ン 移動アイコン リスト内のルートの位置を変更します トランスペアレントモードのルート設定 ルートを追加するには [System] [Network] [Routing Table] の順に選択し [Create New] を選択します また 既存のルートの編集アイコンを選択してそのルートを変更することもできます 図 44: トランスペアレントモードのルートオプション [Destination IP /Mask] [Gateway] [Distance] このルートの宛先 IP アドレスとネットマスクを入力します デフォルトのルートを作成するには 宛先 IP とマスクを に設定します このルートがトラフィックを転送する先のネクストホップルータの IP アドレスを入力します インターネット接続の場合は ネクストホップルーティングゲートウェイがトラフィックをインターネットにルーティングします このルートの相対的な優先順位 1 が最も高い優先順位です

93 システム - ネットワーク モデムインタフェースの設定 モデムインタフェースの設定 モデムがサポートされている FortiGate モデルでは NAT/ ルートモードで モデムをバックアップインタフェースまたはスタンドアロンインタフェースのどちらとしても使用できます 冗長 ( バックアップ ) モードでは イーサネットインタフェースが使用できなくなると モデムインタフェースが 選択されたイーサネットインタフェースから自動的に処理を引き継ぎます スタンドアロンモードでは モデムインタフェースが FortiGate ユニットからインターネットへの接続になります ISP に接続する場合 ( どちらの設定の場合も ) FortiGate ユニットのモデムは モデムが ISP に接続されるまで最大 3 つのダイヤルアップアカウントを自動的にダイヤルできます FortiGate モデル 50AM および 60M は 内蔵モデムを備えています これらのモデルの場合は Web ベースマネージャでモデムの動作を設定できます モデムの設定 を参照してください モデル 50A および 60 は USB シリアルコンバータを介して外付けモデムに接続できます これらのモデルの場合は CLI を使用してモデムの動作を設定する必要があります FortiGate CLI リファレンス にある system modem コマンドを参照してください モデムの設定 注記 : モデムインタフェースは リモートコンソール接続に使用されるポートである AUX ポートとは異なります AUX ポートには 関連付けられたインタフェースがありません AUX ポートは FortiGate モデル 1000A 1000AFA2 および 3000A でのみ使用できます 詳細については FortiGate CLI リファレンス にある config system aux コマンドを参照してください FortiGate ユニットがモデムを使用して ISP のダイヤルアップアカウントに接続するように モデム設定を設定します 最大 3 つのダイヤルアップアカウントを設定したり スタンドアロンまたは冗長の動作を選択したり モデムのダイヤルや接続解除の方法を設定したりすることができます モデムを設定したり使用したりできるのは NAT/ ルートモードの場合だけです

94 モデムインタフェースの設定 システム - ネットワーク 図 45: モデム設定 ( スタンドアロン ) 図 46: モデム設定 ( 冗長 ) [Enable Modem] FortiGate のモデムを有効にする場合に選択します [Modem status] モデム状態には "not active" "connecting" "connected" "disconnecting" "hung up" のいずれかが表示されます ( スタンドアロンモードのみ ) [Dial Now]/[Hang Up] ( スタンドアロンモードのみ ) ダイヤルアップアカウントに手動で接続するには [Dial Now] を選択します モデムが接続されている場合は [Hang Up] を選択して手動でモデムを接続解除できます [Mode] [Standalone] または [Redundant] モードを選択します スタンドアロンモードでは モデムは独立したインタフェースです 冗長モードでは モデムは 選択されたイーサネットインタフェースのためのバックアップ機能です

95 システム - ネットワーク モデムインタフェースの設定 冗長モードの設定 [Auto-dial] [Redundant for] [Dial on demand] [Idle timeout] [Holddown Timer] [Redial Limit] [Dialup Account] ( スタンドアロンモードのみ ) 接続が失われるか または FortiGate ユニットが再起動されたら自動的にモデムをダイヤルする場合に選択します [Dial on demand] がオンになっている場合は [Auto- dial] をオンにできません ( 冗長モードのみ ) モデムがバックアップサービスを提供する対象のイーサネットインタフェースを選択します パケットがモデムインタフェースにルーティングされたらモデムをダイヤルする場合に選択します ネットワークが動作していない場合 モデムはアイドルタイムアウト期間の後に接続解除します スタンドアロンモードで [Auto-dial] がオンになっている場合は [Dial on demand] をオンにできません タイムアウト期間 ( 分単位 ) を入力します 動作していない状態がこの期間続くと モデムは接続解除します ( 冗長モードのみ ) プライマリインタフェースが復旧した後 モデムインタフェースからプライマリインタフェースに切り替えるまでに FortiGate ユニットが待つ時間 (1 ~ 60 秒 ) を入力します デフォルト値は 1 秒です プライマリインタフェースとモデムインタフェースの間で FortiGate ユニットの切り替えが繰り返し発生する場合は 設定する値を大きくします 接続に障害が発生した場合に FortiGate ユニットのモデムが ISP への再接続を試行する最大回数 (1 ~ 10) デフォルトの再ダイヤル制限は 1 回です 再ダイヤルの試行回数を制限しないようにするには [None] を選択します 最大 3 つのダイヤルアップアカウントを設定します FortiGate ユニットは 接続を確立できるまで 順番に各アカウントへの接続を試みます [Phone Number] ダイヤルアップアカウントに接続するために必要な電話番号 電話番号にはスペースを追加しないでください ダイヤルアップアカウントに接続するためにモデムに必要な一時停止 国番号 その他の機能に対する標準の特殊文字を間違いなく含めるようにしてください [User Name] ISP に送信されるユーザ名 ( 最大 63 文字 ) [Password] ISP に送信されるパスワード 冗長モードでモデムを設定するには 95 ページの 冗長モードの設定 を参照してください スタンドアロンモードでモデムを設定するには 96 ページの スタンドアロンモードの設定 を参照してください 冗長モードでのモデムインタフェースは 選択されたイーサネットインタフェースをバックアップします そのイーサネットインタフェースがネットワークから接続解除した場合 モデムは 設定済みのダイヤルアップアカウントに自動的にダイヤルします モデムがダイヤルアップアカウントに接続すると FortiGate ユニットは 通常は選択されたイーサネットインタフェースに宛てられる IPパケットをモデムインタフェースにルーティングします イーサネットインタフェースが再びネットワークに接続できるようになると FortiGate ユニットはモデムインタフェースを接続解除して イーサネットインタフェースに戻します オプションのタイムアウト設定が存在し この期間ネットワークが動作していない場合はモデムが接続解除します この機能は ダイヤルアップ接続料金の節約に役立ちます FortiGate ユニットでのイーサネットインタフェースからモデムへの切り替えを可能にするには モデム設定でインタフェースの名前を選択し そのインタフェースのための ping サーバを設定する必要があります また モデムインタフェースとその他の FortiGate インタフェースの間の接続のためのファイアウォールポリシーも設定する必要があります

96 モデムインタフェースの設定 システム - ネットワーク 注記 : モデムインタフェースと モデムがバックアップしているインタフェースの間の接続のためのポリシーは追加しないでください 冗長モードを設定するには 1 [System] [Network] [Modem] の順に選択します 2 [Redundant] モードを選択します 3 次の情報を入力します 4 [Apply] を選択します 5 モデムがバックアップするイーサネットインタフェースのための ping サーバを設定します 91 ページの インタフェースに ping サーバを追加するには を参照してください 6 モデムインタフェースへの接続のためのファイアウォールポリシーを設定します スタンドアロンモードの設定 [Mode] [Redundant] [Redundant for] リストから バックアップするインタフェースを選択します [Holddown Timer] インタフェースが復旧した後もモデムを使用し続ける秒数を入力し ます [Redial Limit] ISP が応答しない場合の再試行の最大回数を入力します [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] 最大 3 つのダイヤルアップアカウントに対する ISP の電話番号 ユーザ名 およびパスワードを入力します 97 ページの モデム接続のためのファイアウォールポリシーの追加 を参照してください スタンドアロンモードでは モデムは インターネットへの接続を提供するためにダイヤルアップアカウントに接続します FortiGate ユニットが再起動した場合や ルーティングされていないパケットが存在する場合にダイヤルするようにモデムを設定できます また 手動でモデムを接続解除したり 再ダイヤルしたりすることもできます ダイヤルアップアカウントへの接続が切断した場合 FortiGate ユニットはモデムを再ダイヤルします モデムは 再ダイヤル制限で指定された回数に達するか またはダイヤルアップアカウントに接続するまで再ダイヤルします オプションのタイムアウト設定が存在し この期間ネットワークが動作していない場合はモデムが接続解除します この機能は ダイヤルアップ接続料金の節約に役立ちます モデムインタフェースとその他の FortiGate インタフェースの間の接続のためのファイアウォールポリシーを設定する必要があります スタンドアロンモードで動作させるには 1 [System] [Network] [Modem] の順に選択します 2 次の情報を入力します [Mode] [Standalone] [Auto-dial] FortiGate ユニットが再起動したらモデムがダイヤルするようにする 場合に選択します

97 システム - ネットワーク モデムインタフェースの設定 [Dial on demand] [Idle timeout] [Redial Limit] [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] ルーティングされていないパケットが存在したら常にモデムが ISP に接続するようにしたい場合に選択します タイムアウト期間 ( 分単位 ) を入力します 動作していない状態がこの期間続くと モデムは接続解除します ISP が応答しない場合の再試行の最大回数を入力します 最大 3 つのダイヤルアップアカウントに対する ISP の電話番号 ユーザ名 およびパスワードを入力します 3 [Apply] を選択します 4 モデムインタフェースへの接続のためのファイアウォールポリシーを設定します 97 ページの モデム接続のためのファイアウォールポリシーの追加 を参照してください モデム接続のためのファイアウォールポリシーの追加 モデムの接続と接続解除 モデムインタフェースには ファイアウォールアドレスとファイアウォールポリシーが必要です モデムインタフェースに 1 つ以上のアドレスを追加できます アドレスの追加については 249 ページの IP アドレス IP 範囲 または FQDN を追加するには [Firewall] [Address] の順に選択し [Create New] を選択します を参照してください アドレスを追加すると ポリシーグリッドにモデムインタフェースが表示されます ファイアウォールポリシーを設定することにより モデムインタフェースと FortiGate ユニット上のその他のインタフェースの間のパケットのフローを制御できます ファイアウォールポリシーの追加については 225 ページの ファイアウォールポリシーの追加 を参照してください モデムは スタンドアロンモードにある必要があります ダイヤルアップアカウントに接続するには 1 [System] [Network] [Modem] の順に選択します 2 [Enable USB Modem] を選択します 3 1 つ以上のダイヤルアップアカウントに正しい情報が設定されていることを確認してください 4 設定を変更した場合は [Apply] を選択します 5 [Dial Now] を選択します FortiGate ユニットは モデムが ISP に接続するまで 順番に各ダイヤルアップアカウントにダイヤルし始めます モデム接続を解除するにはダイヤルアップアカウントからモデムの接続を解除するには 次の手順を使用します 1 [System] [Network] [Modem] の順に選択します 2 ダイヤルアップアカウントから接続解除する場合は [Hang Up] を選択します

98 VLAN の概要 システム - ネットワーク モデム状態の確認 モデムの接続状態や 現在どのダイヤルアップアカウントがアクティブになっているかを確認できます モデムが ISP に接続されている場合は IP アドレスとネットマスクを表示できます モデム状態を確認するには [System] [Network] [Modem] の順に選択します モデム状態は次のいずれかです [not active] モデムは ISP に接続されていません [connecting] モデムは ISP に接続しようとしています [connected] モデムは ISP に接続されています [disconnecting] モデムは ISP から接続解除しています [hung up] モデムは ISP から接続解除しました ( スタンドアロンモードのみ ) [Dial Now] を選択しない限り モデムは再ダイヤルしません 緑色のチェックマークは アクティブなダイヤルアップアカウントを示します モデムインタフェースに割り当てられた IP アドレスとネットマスクは Web ベースマネージャの [System] [Network] [Interface] ページに表示されます VLAN の概要 VLAN は 実際に配置されている場所には関係なく同じ LAN セグメント上に存在するかのように通信する PC サーバ その他のネットワークデバイスのグループです たとえば 経理部門のワークステーションやサーバがオフィス全体または市全域にわたって分散し 多数のネットワークセグメントに接続されていても 同じ VLAN に属することができます VLAN では デバイスが物理的にではなく 論理的に分離されます 各 VLAN は ブロードキャストドメインとして扱われます VLAN 1 内のデバイスは VLAN 1 内の他のデバイスと接続できますが 他の VLAN 内のデバイスとは接続できません VLAN 上のデバイス間の通信は 物理的なネットワークとは独立しています VLAN は VLAN 内のデバイスによって送受信されるすべてのパケットに 802.1Q VLAN タグを追加することによってデバイスを分離します VLAN タグは VLAN 識別子やその他の情報を含む 4 バイトのフレーム拡張です VLAN の詳細については FortiGate VLAN および VDOM ガイド を参照してください

99 システム - ネットワーク NAT/ ルートモードでの VLAN 図 47: 基本的な VLAN トポロジ Internet Untagged packets Router VLAN 1 VLAN 2 VLAN 1 VLAN 2 VLAN Switch VLAN 1 Network VLAN 2 Network FortiGate ユニットと VLAN 標準的な VLAN 設定では 802.1Q 準拠の VLAN レイヤ 2 スイッチか レイヤ 3 ルータまたはファイアウォールがパケットに VLAN タグを追加します 同じ VLAN 内のデバイス間を通過するパケットは レイヤ 2 スイッチで処理できます 異なる VLAN 内のデバイス間を通過するパケットは ルータ ファイアウォール レイヤ 3 スイッチなどのレイヤ 3 デバイスで処理する必要があります VLAN を使用すると 単一の FortiGate ユニットがセキュリティサービスを提供したり 複数のセキュリティドメイン間の接続を制御したりすることができます 各セキュリティドメインからのトラフィックには 異なる VLAN ID が割り当てられます FortiGate ユニットは VLAN ID を認識し セキュリティポリシーを適用することによって セキュリティドメイン間のネットワークおよび IPSec VPN トラフィックをセキュリティ保護することができます FortiGate ユニットはまた セキュリティドメイン間を通過することを許可されたネットワークおよび VPN トラフィックに認証 保護プロファイル その他のファイアウォールポリシー機能を適用することもできます NAT/ ルートモードでの VLAN FortiGateユニットは NAT/ ルートモードで動作することにより VLAN 間のパケットのフローを制御するレイヤ 3 デバイスとして動作します FortiGate ユニットはまた 受信した VLAN パケットから VLAN タグを削除し タグなしパケットをインターネットなどの他のネットワークに転送したりすることもできます NAT/ ルートモードでは FortiGate ユニットは IEEE 802.1Q 準拠のスイッチ ( またはルータ ) と FortiGate ユニットの間の VLAN トランクを作成するために VLAN をサポートしています 通常 FortiGate ユニットの Internal インタフェースは内部スイッチ上の VLAN トランクに接続し 外部インタフェースは上位のインターネットルータにタグなしで接続します これにより FortiGateユニット

100 NAT/ ルートモードでの VLAN システム - ネットワーク VLAN ID のルール VLAN IP アドレスのルール は Internal インタフェースに接続する各 VLAN 上のトラフィックに対して異なるポリシーを適用できます この構成では VLAN トランク内のパケットの VLAN ID に一致する VLAN ID が割り当てられた FortiGateInternal インタフェースに VLAN サブインタフェースを追加します FortiGate ユニットは VLAN ID を含むパケットを VLAN ID が一致するサブインタフェースに転送します また すべての FortiGate インタフェース上に VLAN サブインタフェースを定義することもできます FortiGate ユニットは VLAN サブインタフェースから送信されるパケットに VLAN タグを追加したり 受信パケットから VLAN タグを削除し 送信パケットに別の VLAN タグを追加したりすることができます NAT/ ルートモードでは 同じ物理インタフェースに追加された 2 つの VLAN サブインタフェースに同じ VLAN ID を割り当てることはできません ただし 同じ VLAN ID が割り当てられた 2 つ以上の VLAN サブインタフェースを 別の物理インタフェースに追加することは可能です 同じ VLAN ID が割り当てられた 2 つの VLAN サブインタフェース間に内部の接続またはリンクは存在しません これらの関係は 任意の 2 つの FortiGate ネットワークインタフェースの関係と同じです すべての FortiGate インタフェースの IP アドレスは重複できません つまり すべてのインタフェースの IP アドレスが別のサブネット上に存在する必要があります このルールは 物理インタフェースと VLAN サブインタフェースの両方に適用されます 注記 : IP の重複を防ぐために既存の設定を変更できない場合は CLI コマンドの config system global を入力し allow-interface-subnet-overlap enable を設定して IP アドレスの重複を許可します このコマンドを入力した場合は 複数の VLAN インタフェースに 別のインタフェースで使用されているサブネットの一部である IP アドレスを割り当てることができます このコマンドは 経験の豊富なユーザにのみお勧めします 図 37は NAT/ ルートモードの簡略化されたVLAN 設定を示しています この例の場合 FortiGate の Internal インタフェースは 802.1Q トランクを使用して VLAN スイッチに接続しており また 2 つのVLAN サブインタフェース (VLAN 100 と VLAN 200) が設定されています 外部インタフェースは インターネットに接続します 外部インタフェースには VLAN サブインタフェースは設定されていません VLAN スイッチは VLAN 100 および VLAN 200 からパケットを受信すると VLAN タグを適用し それらのパケットをローカルポートと トランク経由で FortiGate ユニットに転送します FortiGate ユニットには トラフィックの VLAN 間 および VLAN から外部ネットワークへのフローを許可するポリシーが設定されています

101 システム - ネットワーク NAT/ ルートモードでの VLAN 図 48: NAT/ ルートモードの FortiGate ユニット Internet Untagged packets External FortiGate unit Internal Q trunk Fa 0/24 Fa 0/3 Fa 0/9 VLAN 100 VLAN Switch VLAN 200 VLAN 100 Network VLAN 200 Network VLAN サブインタフェースの追加 各 VLAN サブインタフェースの VLAN ID は IEEE 802.1Q 準拠のルータによって追加される VLAN ID に一致している必要があります VLAN ID は 1 ~ 4096 の任意の数値にすることができます また 各 VLAN サブインタフェースには 独自の IP アドレスとネットマスクが設定されている必要があります 注記 : VLAN の名前が バーチャルドメインまたはゾーンと同じであってはなりません VLAN タグ付きパケットを受信する物理インタフェースに VLAN サブインタフェースを追加します NAT/ ルートモードで VLAN サブインタフェースを追加するには 1 [System] [Network] [Interface] の順に選択します 2 [Create New] を選択して VLAN サブインタフェースを追加します 3 VLAN サブインタフェースを識別する名前を入力します 4 この VLAN サブインタフェースに宛てられた VLAN パケットを受信する物理インタフェースを選択します 5 この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致する VLAN ID を入力します 6 スーパー管理者の場合は この VLAN サブインタフェースを追加する先のバーチャルドメインを選択します それ以外の場合は 独自の VDOM 内にのみ VLAN サブインタフェースを作成できます バーチャルドメインについては 61 ページの バーチャルドメインの使用 を参照してください

102 トランスペアレントモードでの VLAN システム - ネットワーク 7 他の任意の FortiGate インタフェースと同様に VLAN サブインタフェースを設定します 72 ページの インタフェース設定 を参照してください 8 [OK] を選択して変更を保存します FortiGate ユニットによって 手順 4 で選択したインタフェースに新しい VLAN サブインタフェースが追加されます VLAN サブインタフェースのためのファイアウォールポリシーを追加するには VLAN サブインタフェースを追加したら VLAN サブインタフェース間 または VLAN サブインタフェースから物理インタフェースへの接続のためのファイアウォールポリシーを追加できます 1 [Firewall] [Address] の順に選択します 2 [Create New] を選択して VLAN パケットの発信元および宛先 IP アドレスに一致するファイアウォールアドレスを追加します 247 ページの ファイアウォールアドレスについて を参照してください 3 [Firewall] [Policy] の順に選択します 4 必要に応じて ファイアウォールポリシーを作成または追加します トランスペアレントモードでの VLAN トランスペアレントモードでは FortiGate ユニットは IEEE VLAN トランク上のトラフィックに認証 保護プロファイル その他のファイアウォール機能などのファイアウォールポリシーおよびサービスを適用できます トランスペアレントモードで動作している FortiGate ユニットを ネットワークに変更を加えることなくトランクに挿入できます 標準的な設定では FortiGate の Internal インタフェースは 内部の VLAN に接続された VLAN スイッチまたはルータからのVLAN トランク上のVLANパケットを受け付けます FortiGateの外部インタフェースは インターネットに接続される可能性のある外部の VLAN スイッチまたはルータに トランクを介してタグ付きパケットを転送します FortiGate ユニットは トランク内の各 VLAN 上のトラフィックに対して異なるポリシーを適用するように設定できます FortiGate の内部および外部インタフェース間を通過できる VLAN トラフィックの場合は Internal インタフェースに 1 つの VLAN サブインタフェースを 外部インタフェースに別のVLANサブインタフェースを追加します これらのVLAN サブインタフェースの VLAN ID が同じ場合 FortiGate ユニットは この VLAN 上のトラフィックにファイアウォールポリシーを適用します これらの VLAN サブインタフェースの VLAN ID が異なる場合 または 3 つ以上の VLAN サブインタフェースを追加する場合は ファイアウォールポリシーを使用して VLAN 間の接続を制御することもできます ネットワークでネットワークトラフィックのセグメント化に IEEE VLAN タグが使用されている場合は トランスペアレントモードで動作している FortiGate ユニットを 異なる VLAN 間を通過するネットワークトラフィックに対するセキュリティを提供するように設定できます トランスペアレントモードで VLAN トラフィックをサポートするには FortiGate ユニット設定にバーチャルドメインを追加します バーチャルドメインは 2 つ以上の VLAN サブインタフェースまたはゾーンで構成されます バーチャルドメイン内では ゾーンに 1 つ以上の VLAN サブインタフェースを含めることができます

103 システム - ネットワーク トランスペアレントモードでの VLAN FortiGate ユニットがインタフェース上で VLAN タグ付きパケットを受信すると そのパケットは VLAN ID が一致する VLAN サブインタフェースに転送されます その VLAN サブインタフェースは VLAN タグを削除し その宛先 MAC アドレスに基づいてパケットに宛先インタフェースを割り当てます この発信元および宛先 VLAN サブインタフェースペアのためのファイアウォールポリシーがパケットに適用されます パケットがファイアウォールによって受け付けられた場合 FortiGate ユニットは そのパケットを宛先 VLAN サブインタフェースに転送します FortiGate ユニットによってパケットに宛先 VLAN ID が追加され そのパケットが VLAN トランクに送信されます 注記 : トランスペアレントモードでは VDOM あたり 合計で最大 255 のインタフェースが許可されています これには VLAN が含まれます VDOM に他のインタフェースが設定されていない場合は その VDOM 内に最大 255 の VLAN を設定できます 図 49: 2 つのバーチャルドメインを含む トランスペアレントモードの FortiGate ユニット FortiGate unit VLAN1 VLAN2 VLAN3 VLAN Switch or router Internal VLAN1 VLAN2 VLAN3 VLAN trunk root virtual domain VLAN1 VLAN1 New virtual domain VLAN2 VLAN2 VLAN3 VLAN3 External VLAN1 VLAN2 VLAN3 VLAN trunk VLAN Switch or router Internet 図 50 は トランスペアレントモードで動作し 3 つの VLAN サブインタフェースが設定されている FortiGate ユニットを示しています この構成では このネットワークに FortiGate ユニットを追加することにより 各 VLAN にウイルススキャン Web コンテンツフィルタリング その他のサービスを提供できます

104 トランスペアレントモードでの VLAN システム - ネットワーク 図 50: トランスペアレントモードの FortiGate ユニット Internet Router Untagged packets VLAN Switch VLAN Trunk VLAN 1 VLAN 2 VLAN 3 FortiGate unit in Transparent mode VLAN Trunk VLAN 1 VLAN 2 VLAN 3 VLAN Switch VLAN 1 VLAN 2 VLAN 3 VLAN 1 Network VLAN 2 Network VLAN 3 Network VLAN ID のルール トランスペアレントモードでは 同じ物理インタフェースに追加された 2 つの VLAN サブインタフェースに同じ VLAN ID を割り当てることはできません ただし 同じ VLAN ID が割り当てられた 2 つ以上の VLAN サブインタフェースを 別の物理インタフェースに追加することは可能です 同じ VLAN ID が割り当てられた 2 つの VLAN サブインタフェース間に内部の接続またはリンクは存在しません これらの関係は 任意の 2 つの FortiGate ネットワークインタフェースの関係と同じです 注記 : トランスペアレントモードでは インタフェースあたり 最大 255 の VLAN が許可されています トランスペアレントモードのバーチャルドメインと VLAN VLAN サブインタフェースはバーチャルドメインに追加され そのバーチャルドメインに関連付けられます FortiGate の設定には デフォルトで ルートという名前の 1 つのバーチャルドメインが含まれており このバーチャルドメインには必要なだけの数の VLAN サブインタフェースを追加できます VLAN サブインタフェースのグループをバーチャルドメインに分離する場合は さらに多くのバーチャルドメインを追加できます バーチャルドメインの追加および設定については 61 ページの バーチャルドメインの使用 を参照してください

105 システム - ネットワーク トランスペアレントモードでの VLAN トランスペアレントモードで VLAN サブインタフェースを追加するには各 VLANサブインタフェースのVLAN IDは IEEE 802.1Q 準拠のルータまたはスイッチによって追加される VLAN ID に一致している必要があります VLAN ID は 1 ~ 4096 の任意の数値にすることができます VLAN タグ付きパケットを受信する物理インタフェースにVLANサブインタフェースを追加します 注記 : VLAN の名前が バーチャルドメインまたはゾーンと同じであってはなりません 1 [System] [Network] [Interface] の順に選択します 2 [Create New] を選択して VLAN サブインタフェースを追加します 3 VLAN サブインタフェースを識別する名前を入力します 4 この VLAN サブインタフェースに宛てられた VLAN パケットを受信する物理インタフェースを選択します 5 この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致する VLAN ID を入力します 6 この VLAN サブインタフェースを追加する先のバーチャルドメインを選択します バーチャルドメインについては 61 ページの バーチャルドメインの使用 を参照してください 7 他の任意のFortiGateインタフェースと同様に 管理アクセスとログを設定します これらの設定の詳細については 72 ページの インタフェース設定 を参照してください 8 [OK] を選択して変更を保存します FortiGate ユニットによって 選択したインタフェースに新しいサブインタフェースが追加されます 9 [Bring Up] を選択して VLAN サブインタフェースを起動します VLAN サブインタフェースのためのファイアウォールポリシーを追加するには VLAN サブインタフェースを追加したら VLAN サブインタフェース間 または VLAN サブインタフェースから物理インタフェースへの接続のためのファイアウォールポリシーを追加できます 1 [Firewall] [Address] の順に選択します 2 [Create New] を選択して VLAN パケットの発信元および宛先 IP アドレスに一致するファイアウォールアドレスを追加します 247 ページの ファイアウォールアドレスについて を参照してください 3 [Firewall] [Policy] の順に選択します 4 必要に応じて ファイアウォールポリシーを追加します

106 トランスペアレントモードでの VLAN システム - ネットワーク 図 51: 2 つのバーチャルドメインを含む トランスペアレントモードの FortiGate ユニット FortiGate unit VLAN1 VLAN2 VLAN3 VLAN Switch or router Internal VLAN1 VLAN2 VLAN3 VLAN trunk root virtual domain VLAN1 VLAN1 New virtual domain VLAN2 VLAN2 VLAN3 VLAN3 External VLAN1 VLAN2 VLAN3 VLAN trunk VLAN Switch or router Internet 図 52 は トランスペアレントモードで動作し 3 つの VLAN サブインタフェースが設定されている FortiGate ユニットを示しています この構成では このネットワークに FortiGate ユニットを追加することにより 各 VLAN にウイルススキャン Web コンテンツフィルタリング その他のサービスを提供できます 図 52: トランスペアレントモードの FortiGate ユニット Internet Router Untagged packets VLAN Switch VLAN Trunk VLAN 1 VLAN 2 VLAN 3 FortiGate unit in Transparent mode VLAN Trunk VLAN 1 VLAN 2 VLAN 3 VLAN Switch VLAN 1 VLAN 2 VLAN 3 VLAN 1 Network VLAN 2 Network VLAN 3 Network

107 システム - ネットワーク トランスペアレントモードでの VLAN ARP に関する問題のトラブルシューティング ARP (Address Resolution Protocol) トラフィックは ネットワーク上の通信にとって不可欠であり FortiGate インタフェース上ではデフォルトで有効になります 通常 FortiGate ユニットがクライアントとサーバの間またはクライアントとルータの間に配置されている場合は特に ARP パケットが FortiGate ユニットを通過するようにします 重複した ARP パケット あるインタフェースに到着した ARP パケットが他のすべてのインタフェース (VLAN サブインタフェースを含む ) に送信されるトランスペアレントモードでは ARP トラフィックによって問題が発生することがあります 一部のレイヤ 2 スイッチは 複数のスイッチインタフェースまたは複数の VLAN から同じ MAC アドレスを検出すると不安定になります この不安定さは そのレイヤ 2 スイッチに 各 VLAN 用の個別の MAC アドレステーブルが保持されていない場合に発生します 不安定なスイッチのリセットによって ネットワークトラフィックが低速になる可能性があります ARP 転送 この問題の 1 つの解決策に ARP 転送の有効化があります ARP 転送は GUI または CLI で有効にすることができます GUI では [System] [Config] [Operation] の順に選択し [ARP Forwarding] を選択します CLI での操作の詳細については FortiGate CLI リファレンス を参照してください ARP 転送が有効になると FortiGate ユニットで重複した ARP パケットが許可されるため 前の配信の問題が解決されます ただし これによりネットワークが パケットを偽装するハッキングの試みにさらされる可能性も発生します より安全な解決策については FortiGate VLAN および VDOM ガイド を参照してください

108 FortiGate の IPv6 サポート システム - ネットワーク FortiGate の IPv6 サポート FortiGate ユニット上の任意のインタフェースに IPv4 アドレスと IPv6 アドレスの両方を割り当てることができます このインタフェースは IPv4 アドレス指定パケット用と IPv6 アドレス指定パケット用の 2 つのインタフェースとして機能します FortiGate ユニットは IPv4 アドレス指定ネットワーク上で IPv6 アドレス指定トラフィックのスタティックルーティング 定期的なルータアドバタイズ ファイアウォールポリシー およびトンネリングをサポートします これらの機能はすべて コマンドラインインタフェース (CLI) を介して設定する必要があります 次のコマンドについては FortiGate CLI リファレンス を参照してください 表 4: IPv6 の CLI コマンド 機能インタフェース設定 ( 定期的なルータアドバタイズを含む ) スタティックルーティング IPv6 トンネリングファイアウォール 実行 CLI コマンド config system interface "ip6" で始まるキーワードを参照してください config ip6-prefix-list config router static6 config system ipv6_tunnel config firewall address6 config firewall addrgrp6 config firewall policy6 execute ping

109 システム - 無線 FortiWiFi の無線 LAN インタフェース システム - 無線 この項では FortiWiFi ユニットで無線 LAN インタフェースを設定する方法について説明します この項には以下のトピックが含まれています FortiWiFi の無線 LAN インタフェース チャネル割り当て システム無線の設定 (FortiWiFi-60) システム無線の設定 (FortiWiFi-60A および 60AM) 無線 MAC フィルタ 無線モニタ FortiWiFi の無線 LAN インタフェース FortiWiFi の無線インタフェースを設定すると 以下が可能になります 無線ネットワークカードを持つユーザが接続できるアクセスポイントを提供する ( アクセスポイントモード ) または FortiWiFiユニットを別の無線ネットワークに接続する ( クライアントモード ) アクセスポイントモードは デフォルトのモードです FortiWiFi-60A および FortiWiFi-60AM ユニットは 複数の WLAN を提供できます FortiWiFi ユニットは 次の無線ネットワーク標準をサポートしています IEEE a (5 GHz 帯 ) IEEE b (2.4 GHz 帯 ) IEEE g (2.4 GHz 帯 ) WEP (Wired Equivalent Privacy) 事前共有鍵または Radius サーバを使用した WPA (Wi-Fi Protected Access) ( アクセスポイントモードのみ )

110 チャネル割り当て システム - 無線 チャネル割り当て 次の表は 無線 LAN のチャネル割り当てを示しています 表 5: IEEE a (5 GHz 帯 ) のチャネル番号 規制地域 チャネル番号 周波数 (MHz) アメリカ ヨーロッパ 台湾 シンガポール 日本 X - - X X X - X X - - X X X - X X - - X X X - X X - - X X X - X X X X X X X X X X X X X アメリカを除き すべてのチャネルが屋内使用に制限されています アメリカの場合 米国ではチャネル 52 ~ 64 について屋内および屋外使用が許可されています

111 システム - 無線 チャネル割り当て 表 6: IEEE b (2.4 GHz 帯 ) のチャネル番号 チャネル 規制地域 番号 周波数 (MHz) アメリカ EMEA イスラエル 日本 X X - X X X - X X X - X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X - X X - X X - X X メキシコは アメリカ規制ドメインに含まれています チャネル 1 ~ 8 は 屋内使用の み可能です チャネル 9 ~ 11 は 屋内および屋外で使用できます チャネル番号がメ キシコの規制標準に準拠していることを確認する必要があります 表 7: IEEE g (2.4 GHz 帯 ) のチャネル番号 規制地域 チャネ 周波数 アメリカ EMEA イスラエル 日本 ル番号 (MHz) CCK ODFM CCK ODFM CCK ODFM CCK ODFM X X X X - - X X X X X X - - X X X X X X - - X X X X X X - - X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X - - X X X X X X - - X X X X X X - - X X X X - - X X X X - - X X X

112 システム無線の設定 (FortiWiFi-60) システム - 無線 システム無線の設定 (FortiWiFi-60) 無線 LAN 設定を設定するには [System] [Wireless] [Settings] の順に選択します 図 53: 無線パラメータの設定 [MAC Address] 無線インタフェースの MAC アドレス [Operation Mode] 現在の動作モード 変更する場合は [Change] を選択します アクセスポイントモードは FortiWiFi-60ユニットを 複数のクライアントが接続できる無線アクセスポイントとして機能させます クライアントモードは 別の無線ネットワークにクライアントとして接続するようにユニットを設定します [Geography] 国または地域を選択します これにより 使用可能なチャネルが決定されます [Americas] [EMEA] [Israel] または [Japan] を選択できます その他の地域にいる場合は [World] を選択します [Channel] FortiWiFi-60 無線ネットワークのチャネルを選択します 無線ネットワークのユーザは 自分のコンピュータをこのチャネルを使用するように設定する必要があります 選択できるチャネルは [Geography] の設定によって異なります チャネルの情報については 110 ページの チャネル割り当て を参照してください [SSID] FortiWiFi-60 ユニットがブロードキャストする無線ネットワーク名を入力します 無線ネットワークを使用するユーザは 自分のコンピュータを このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります [SSID Broadcast] FortiWiFi-60 ユニットに SSID をブロードキャストさせる場合は [Enable] を選択します ( アクセスポイントモードのみ ) [Security mode] WEP を使用するには [WEP64] または [WEP128] を選択します WPA ( アクセスポイントモードでのみ使用可能 ) を使用するには [WPA Preshared Key] または [WPA_Radius] を選択します FortiWiFi-60 無線ネットワークのユーザは 各自のコンピュータを 同じ設定を使用して設定する必要があります [Key] 64 ビット WEP キーの場合は 10 桁の 16 進数 (0-9 a-f) を入力します 128 ビット WEP キーの場合は 26 桁の 16 進数 (0-9 a-f) を入力します 無線ネットワークのユーザは 各自のコンピュータに同じキーを設定する必要があります [Pre-shared Key] [WPA Pre-shared Key] セキュリティモードの場合は 仮共有鍵を入力します 無線ネットワークのユーザは 各自のコンピュータに同じキーを設定する必要があります

113 システム - 無線 システム無線の設定 (FortiWiFi-60A および 60AM) [Radius Server Name] [WPA Radius] セキュリティモードの場合は リストから Radius サーバ名を選択します この Radius サーバは [User] [Radius] で設定されている必要があります 詳細については 340 ページの RADIUS サーバ を参照してください [Advanced] [Wireless Parameters] の [Advanced] 設定のセクションを開くか または閉じます パフォーマンスの問題に対応するために 必要に応じて設定を変更します デフォルト値は ほとんどの状況に対して適切に機能します 以下 [Advanced] 設定について説明します ( アクセスポイントモードのみ ) [Tx Power] 送信機の出力レベルを設定します デフォルト値は 最大出力の 31 dbm です [Beacon Interval] ビーコンパケット間の間隔を設定します アクセスポイントは 無線ネットワークの同期をとるために ビーコンまたは TIM (Traffic Indication Messages) をブロードキャストします 受信状態の悪い環境では [Beacon Interval] を小さくするとネットワークパフォーマンスが向上する可能性があります 無線ノードがほとんど存在しない場所では この値を増やすことができます [RTS Threshold] [Fragmentation Threshold] RTS (Request to Send) しきい値は ユニットが別の無線デバイスからの CTS (Clear to Send) 受信確認を待つ時間を設定します 2 つ以上のパケットに分割されないデータパケットの最大サイズを設定します このしきい値を下げると 受信状態の悪い環境のパフォーマンスが向上する可能性があります システム無線の設定 (FortiWiFi-60A および 60AM) 無線 LAN 設定を設定するには [System] [Wireless] [Settings] の順に選択します 図 54: 無線パラメータ - FortiWiFi-60A および FortiWiFi-60AM [Operation Mode] 現在の動作モード アクセスポイントモードは FortiWiFi ユニットを 複数のクライアントが接続できる無線アクセスポイントとして機能させます クライアントモードは 別の無線ネットワークにクライアントとして接続するようにユニットを設定します [Band] [Geography] 使用する無線周波数帯を選択します [802.11a] [802.11b] および [802.11g] から選択できます 国または地域を選択します これにより 使用可能なチャネルが決定されます [Americas] [EMEA] [Israel] または [Japan] を選択できます その他の地域にいる場合は [World] を選択します

114 無線 MAC フィルタ システム - 無線 [Channel] FortiWiFi-60 無線ネットワークのチャネルを選択します 無線ネットワークのユーザは 自分のコンピュータをこのチャネルを使用するように設定する必要があります 選択できるチャネルは [Geography] の設定によって異なります チャネルの情報については 110 ページの チャネル割り当て を参照してください [Tx Power] 送信機の出力レベルを設定します デフォルト値は 最大出力の 31 dbm です [Beacon Interval] ビーコンパケット間の間隔を設定します アクセスポイントは 無線ネットワークの同期をとるために ビーコンまたは TIM (Traffic Indication Messages) をブロードキャストします 受信状態の悪い環境では [Beacon Interval] を小さくするとネットワークパフォーマンスが向上する可能性があります 無線ノードがほとんど存在しない場所では この値を増やすことができます 無線インタフェースのリスト [Interface] [MAC Address] [SSID] WLAN インタフェースの名前 インタフェースを編集する名前を選択します 無線インタフェースの MAC アドレス このユニットがブロードキャストする無線ネットワーク名 無線ネットワークを使用するユーザは 自分のコンピュータを このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります [SSID Broadcast] 緑色のチェックマークアイコンは このユニットが固有のSSIDをブロードキャストすることを示しています ( アクセスポイントモードのみ ) [Security Mode] [WEP64] [WEP128] [WPA Pre-shared Key] [WPA_Radius] または [None] [WPA] は アクセスポイントモードでのみ使用できます 無線ネットワークのユーザは 自分のコンピュータに同じ設定を設定する必要があります 無線 MAC フィルタ ユーザの無線アクセスをそのユーザの MAC アドレスに基づいて許可または拒否するには [System] [Wireless] [MAC Filter] の順に選択します 図 55: 無線 MAC フィルタ

115 システム - 無線 無線モニタ [MAC Filter Enable] MAC フィルタを有効にします [Access for PCs not listed below] [MAC Address] [Allow] または [Deny] [Add] リストにない MAC アドレスへのアクセスを許可するか または拒否するかを選択します フィルタ処理する MAC アドレスを入力します この MAC アドレスを許可するか または拒否するかを選択します MAC アドレスを 選択に従って [Allow List] または [Deny List] に追加します [Allow List] 無線ネットワークへのアクセスを許可されたMAC アドレスのリスト [Deny List] 無線ネットワークへのアクセスを拒否されたMAC アドレスのリスト 矢印ボタン リスト間でMAC アドレスを移動します [Remove] 選択された MAC アドレスを [Allow List] から削除します ([Allow List] の下 ) [Remove] 選択された MAC アドレスを [Deny List] から削除します ([Deny List] の下 ) 無線モニタ 無線 LAN に接続しているユーザを確認するには [System] [Wireless] [Monitor] の順に選択します この機能は 無線インタフェースを [WPA] セキュリティモードで動作させている場合にのみ使用できます 図 56: 無線モニタ (FortiWiFi-60) 図 57: 無線モニタ (FortiWiFi-60A および 60AM) [Statistics] 各 WLAN の無線のパフォーマンスに関する統計情報 FortiWiFi-60A および FortiWiFi-60AM でのみ使用できます [AP Name] WLAN インタフェースの SSID [Signal Strength (dbm)] クライアントからの信号の強度 [Noise (dbm)] 受信されたノイズレベル [S/N (db)] 信号強度とノイズレベルから計算された信号対雑音比 ( デ シベル値 ) [Rx (KBytes)] このセッションで受信されたデータ量 (KB 単位 ) [Tx (KBytes)] このセッションで送信されたデータ量 (KB 単位 )

116 無線モニタ システム - 無線 [Clients] WLAN に接続されたクライアントの数と 各クライアントに関する情報 [MAC Address] 接続された無線クライアントの MAC アドレス [IP Address] 接続された無線クライアントに割り当てられた IP アドレス [AP Name] クライアントが接続されている WLAN の名前 FortiWiFi-60A および FortiWiFi-60AM でのみ使用できます [ID] [WPA RADIUS] セキュリティモードを使用して接続されたユーザのユーザ ID クライアントが [WPA Pre-shared Key] または [WEP] セキュリティモードを使用している場合 このフィールドは空白です FortiWiFi-60 でのみ使用できます

117 システム - DHCP FortiGate DH CP サーバおよびリレー システム - DHCP この項では DHCP を用いてクライアントのネットワーク構成を自動で行う方法について説明します この項には以下のトピックが含まれています FortiGate DH CP サーバおよびリレー DHCP サービスの設定 アドレスリースの表示 FortiGate DH CP サーバおよびリレー DHCP は 指定された IP アドレスをホストが自動的に取得できるようにするプロトコルです 必要に応じて デフォルトのゲートウェイおよび DNS サーバ設定を取得することも可能です FortiGate インタフェースまたは VLAN サブインタフェースでは 次の DHCP サービスを提供できます 標準的なイーサネット接続のための標準 DHCP サーバ IPSec (VPN) 接続のための IPSec DHCP サーバ 標準的なイーサネットまたは IPSec (VPN) 接続のための DHCP リレー 同じタイプの接続 ( 標準または IPSec) にインタフェースでサーバとリレーの両方を提供することはできません 注記 : インタフェース上の標準 DHCP サーバは そのインタフェースの IP アドレスがスタティックな場合に限り 設定できます スタティックまたはダイナミック IP アドレスのいずれかが設定されたインタフェース上の IPSec DHCP サーバを設定することは可能です 任意の FortiGate インタフェースに 1 つ以上の DHCP サーバを設定できます DHCP サーバは インタフェースに接続されたネットワーク上のホストに動的に IP アドレスを割り当てます DHCP を使用して IP アドレスを取得するには ホストコンピュータを設定する必要があります インタフェースがルータを介して複数のネットワークに接続されている場合 それぞれのネットワークに DHCP を追加できます 各 DHCP の IP の範囲は ネットワークアドレスの範囲と一致する必要があります ルータは DHCP リレー用に設定しなければなりません DHCP サーバを設定するには 120 ページの DHCP サーバの設定 を参照してください FortiGate インタフェースは DHCP リレーとして設定できます インタフェースにより DHCPのリクエストはDHCPクライアントから外部のDHCPサーバに転送され DHCP クライアントには応答が返されます DHCP クライアントへの応答パケットが FortiGate ユニットに到達するよう DHCP サーバは適切なルーティングを行う必要があります DHCP リレーの設定については 119 ページの DHCP リレーエージェントとしてのインタフェースの設定 を参照してください

118 DHCP サービスの設定 システム - DHCP DHCP サービスは コマンドラインインタフェース (CLI) で設定することもできます 詳細は FortiGate CLI リファレンスを参照してください DHCP サービスの設定 DHCP サービスを設定するには [System] [DHCP] [Service] の順に選択します 各 FortiGate インタフェースでは 必要に応じて DHCP リレーを設定したり DHCP サーバを追加したりすることができます FortiGate モデル 50 および 60 では DHCP サーバはデフォルトで次のように内部インタフェースで設定されています IP 範囲 ~ ネットマスク デフォルトゲート ウェイ リース期間 7 日 DNS サーバ このデフォルトの DHCP サーバ設定は 無効にしたり変更したりすることができます これらの設定は 内部インタフェースのデフォルト IP アドレス に適しています このアドレスを異なるネットワークに変更する場合 DHCP サーバ設定を変更して一致させる必要があります 図 58: DHCP サーバリスト - FortiGate-200A の場合 編集 削除 DHCP サーバの追加 [Interface] [Server Name/ Relay IP] [Type] [Enable] FortiGate インタフェースのリストです 一覧表示されたインタフェースを展開すると リレーとサーバが表示されます リレーがアクセスする FortiGateDHCP サーバの名前または DHCP サーバの IP アドレスです DHCP リレーまたはサーバのタイプです Regular ( 標準 ) または IPSec となります 緑のチェックマークのアイコンは サーバまたはリレーが有効であることを示します

119 システム - DHCP DHCP サービスの設定 [DHCP サーバの追加 ] アイコン編集削除 このインタフェースの DHCP サーバを設定および追加します DHCP リレーまたはサーバの設定を編集します DHCP サーバを削除します DHCP リレーエージェントとしてのインタフェースの設定 インタフェースの DHCP リレー設定を表示したり修正したりするには [System] [DHCP] [Service] の順に選択し 編集アイコンを選択します 図 59: インタフェースの DHCP リレー設定の編集 [Interface Name] インタフェースの名前です [Enable] このインタフェースで DHCP リレーエージェントを有効にします [Type] 必要な DHCP サービスのタイプを選択します [Regular] このインタフェースに接続するネットワーク上のコンピュータの DHCP リレーエージェントとなるように インタフェースを設定します [IPSEC] このインタフェースに IPSec VPN 接続を行っているリモート VPN クライアントに対してのみ DHCP リレーエージェントとなるように インタフェースを設定します [DHCP Server IP] インタフェースに接続するネットワーク上のコンピュータからの DHCP リクエストに応答する DHCP サーバの IP アドレスを入力します

120 DHCP サービスの設定 システム - DHCP DHCP サーバの設定 インタフェースの DHCP サーバを設定するには [System] [DHCP] [Service] の順に選択します インタフェースの横にある [DHCP サーバの追加 ] ボタン または既存の DHCP サーバの横にある [ 編集 ] ボタンをクリックして 設定を変更します 図 60: DHCP サーバオプション [Name] [Enable] [Type] [IP Range] DHCP サーバの名前を入力します DHCP サーバを有効にします Regular ( 標準 ) または IPSEC DHCP サーバを選択します ダイナミック IP アドレスを持つインタフェース上の標準 DHCP サーバは設定できません この DHCP サーバが DHCP クライアントに割り当てる IP アドレスの範囲の始めと終わりを入力します [Network Mask] DHCP サーバが DHCP クライアントに割り当てるネットマスクを入力します [Default Gateway] DHCP サーバが DHCP クライアントに割り当てるデフォルトゲートウェイの IP アドレスを入力します [Domain] [Lease Time] [Advanced] DHCP サーバが DHCP クライアントに割り当てるドメインを入力します [Unlimited] を選択してリース期間を無期限とするか または日 時間 および分で期間を入力します その期間を過ぎると DHCP クライアントは DHCP サーバに新しい設定を照会しなければなりません リース期間は 5 分から 100 日までの範囲を設定できます 詳細オプションを設定するのに選択します このテーブルの残りのオプションは 詳細オプションです

121 システム - DHCP アドレスリースの表示 [DNS Server 1] [DNS Server 2] [DNS Server 3] [WINS Server 1] [WINS Server 2] [Option 1] [Option 2] [Option 3] [Exclude Ranges] [Add] [Starting IP] [End IP] 削除アイコン DHCP サーバが DHCP クライアントに割り当てる最大 3 台の DNS サーバの IP アドレスを入力します DHCP サーバが DHCP クライアントに割り当てる 1 つまたは 2 つの WINS サーバの IP アドレスを追加します DHCP サーバが送信可能なカスタム DHCP オプションを 3 つまで入力します コードは 1 ~ 255 の範囲の DHCP オプションコードです オプションは偶数の 16 進文字で オプションコードによっては不要です DHCP のオプションについては RFC 2132 DHCP オプションおよび BOOTP ベンダ拡張を参照してください IP 除外範囲を追加します DHCP サーバが DHCP クライアントに割り当てることのできない最大 16 の IP アドレスの範囲を追加できます どの範囲も の IP アドレスを超えることはできません 除外範囲の最初の IP アドレスを入力します 除外範囲の最後の IP アドレスを入力します 除外範囲を削除します アドレスリースの表示 DHCP サーバが割り当てた IP アドレスおよび対応するクライアント MAC アドレスを表示するには [System] [DHCP] [Address Leases] の順に選択します 図 61: アドレスリースリスト [Interface] [Refresh] [IP] [MAC] [Expire] リースを表示するインタフェースを選択します アドレスリースのリストを更新します 割り当てられた IP アドレスです IP アドレスが割り当てられたデバイスのMAC アドレスです DHCP リースの期限が切れる日時です 特定クライアントに対する IP アドレスの予約 クライアントデバイスの MAC アドレスと標準イーサネットまたは IPSec の接続タイプで識別される特定のクライアントに対して IP アドレスを予約することができます DHCP サーバは そのクライアントに常に予約済みのアドレスを割り当てます 最大 50 の予約アドレスを定義できます CLI の system dhcp reserved-address コマンドを使用します 詳細については FortiGate CLI リファレンス を参照してください

122 アドレスリースの表示 システム - DHCP

123 システム - 設定 システム - 設定 この項では HA SNMP カスタム差し替えメッセージ VDOM 動作など ネットワークに関係しないいくつかの機能を設定する方法について説明します この項には以下のトピックが含まれています HA SNMP 差し替えメッセージ 動作モードおよび VDOM 管理アクセス HA SNMP および差し替えメッセージは FortiGate ユニットのグローバル設定の一部です 動作モードの変更は 各 VDOM に適用されます

124 HA システム - 設定 HA FortiGate 高可用性 (HA) は 信頼性の向上とパフォーマンスの増強という 2 つの重要なエンタープライズネットワーキング要件を満たすソリューションを提供します この項では HA Web ベースマネージャ設定オプション HA クラスタメンバリスト HA 統計 およびクラスタメンバの切断について概説します FortiGate HA クラスタの設定および操作方法の詳細については FortiGate HA 概要 FortiGate HA ガイド および Fortinet Knowledge Center を参照してください 注記 : FortiOS v3.0 MR2 以前のバージョンでは この HA の項に HA の詳細が含まれていました FortiOS v3.0 MR3 以降 HA の詳細については FortiGate HA 概要 または FortiGate HA ガイド を参照してください FortiGate モデル 50A 50AM および 224B では HA は使用できません HA は FortiGate-50B をはじめとする他のすべての FortiGate で使用できます この項には以下のトピックが含まれています HA オプション クラスタメンバリスト HA 統計の表示 副系ユニットのホスト名およびデバイスプライオリティの変更 クラスタユニットのクラスタからの切断 HA オプション FortiGate ユニットをクラスタに加えたり 動作中のクラスタまたはクラスタメンバの設定を変更したりするには HA オプションで設定します FortiGate ユニットを HA クラスタに加えるよう HA オプションを設定するには [System] [Config ] [HA] の順に選択します HA が有効に設定されている場合 クラスタメンバリストを表示するには [System] [Config] [HA] の順に選択します マスタの FortiGate ユニット ( 別称プライマリユニット ) に対して編集を選択します プライマリユニットの HA 設定を編集すると すべての変更が他のクラスタユニットにも同期されます

125 システム - 設定 HA 図 62: FortiGate-1000AFA2 ユニットの HA 設定 注記 : FortiGate クラスタでバーチャルドメインを使用している場合 HA 仮想クラスタが設定されます ほとんどの仮想クラスタの HA オプションは 標準の HA オプションと同一です ただし 仮想クラスタには VDOM パーティショニングオプションが含まれます 標準 HA 設定オプションと仮想クラスタ HA 設定オプションのその他の違いについては 以下の説明 および FortiGate HA 概要 と FortiGate HA ガイド を参照してください バーチャルドメインを有効にして FortiGate ユニットの HA オプションを設定するには グローバル管理者としてログインし [System] [Config] [HA] の順に選択します

126 HA システム - 設定 図 63: FortiGate-5001SX HA 仮想クラスタの設定 [Mode] [Device Priority] クラスタにHAモードを選択するか またはクラスタ内のFortiGateユニットをスタンドアロンモードに戻します クラスタを設定する場合 HA クラスタのすべてのメンバを同一の HA モードに設定する必要があります [Standalone] (HA を無効化 ) [Active-Passive] または [Active- Active] を選択できます バーチャルドメインが有効になっている場合 [Active-Passive] または [Standalone] を選択できます オプションで クラスタユニットのデバイスプライオリティを設定します クラスタユニットには それぞれ別々のデバイスプライオリティを設定できます HA ネゴシエーション中 デバイスプライオリティの最も高いユニットが通常プライマリユニットとなります 仮想クラスタ設定では 2 つのデバイスプライオリティを設定することができ 各仮想クラスタに 1 つ それぞれ設定できます HA ネゴシエーション中 仮想クラスタ内でデバイスプライオリティの最も高いユニットが その仮想クラスタのプライマリユニットとなります デバイスプライオリティの変更は同期されません 最初にクラスタを設定するときに デフォルトのデバイスプライオリティを使用できます クラスタが動作している場合 必要に応じて他のクラスタユニットのデバイスプライオリティを変更できます

127 システム - 設定 HA [Group Name] [Password] [Enable Session pickup] [Port Monitor] [Heartbeat Interface] [VDOM partitioning] クラスタを識別するための名前を追加します グループ名は最大 7 文字です クラスタを形成するには まず全クラスタユニットに対してグループ名を同一にする必要があります グループ名は クラスタが作動した後に変更できます グループ名の変更は すべてのクラスタユニットに対して同期されます デフォルトのグループ名は FGT-HA です 最初にクラスタを設定するときに デフォルトのグループ名を使用できます クラスタが作動したら 必要に応じてグループ名を変更できます 同一ネットワーク上の 2 つのクラスタに同一のグループ名を設定することはできません クラスタを識別するためのパスワードを追加します パスワードは最大 15 文字です クラスタを形成するには まず全クラスタユニットに対してパスワードを同一にする必要があります デフォルトではパスワードは設定されていません 最初にクラスタを設定するときに デフォルトを使用できます クラスタが作動したら 必要に応じてパスワードを追加できます 同一ネットワーク上の 2 つのクラスタには それぞれ別々のパスワードを設定する必要があります プライマリユニットに不具合が生じた場合に 新たにプライマリユニットとなったクラスタユニットにすべてのセッションが引き継がれるようにするには セッションピックアップを有効にします セッションピックアップはデフォルトで無効に設定されています 一旦セッションピックアップのデフォルト設定を使用し クラスタが作動した後にセッションピックアップを有効にすることも可能です 監視されるインタフェースが適切に機能し ネットワークに接続されていることを監視するには FortiGate インタフェースの監視を有効または無効にします 監視対象のインタフェースに不具合が生じるか またはネットワークから切断された場合 インタフェースはクラスタから切り離れ リンクフェールオーバーが発生します リンクフェールオーバーが発生すると クラスタは そのインタフェースで処理されているトラフィックを まだネットワークに接続している別のクラスタユニットの同じインタフェースへとルート変更します この別のクラスタユニットが 新しいプライマリユニットとなります ポート監視はデフォルトで無効に設定されています クラスタが作動するまでポート監視を無効にしておき 接続されているインタフェースに対してのみポート監視を有効にします 各インタフェースの HA ハートビート通信を有効または無効にしたり ハードビートインタフェースのプライオリティを設定したりします 最もプライオリティの高いハードビートインタフェースが すべてのハートビートトラフィックを処理します 複数のハートビートインタフェースのプライオリティが同一である場合 インタフェースリスト最上位のハートビートインタフェースがすべてのハートビートトラフィックを処理します デフォルトのハートビートインタフェース設定は FortiGate ごとに異なりますが 2 つのハートビートインタフェースのプライオリティは通常 50 に設定されます デフォルトのハートビートインタフェースの 1 つまたは両方が接続されている場合 デフォルトのハートビートインタフェース設定を使用できます ハートビートインタフェースのプライオリティの範囲は 0 ~ 512 です 新しいハートビートインタフェースを選択した場合 デフォルトのプライオリティは 0 です ハートビートインタフェースは少なくとも 1 つ選択する必要があります ハートビート通信が中断されると クラスタはトラフィックの処理を中止します ハートビートインタフェースの設定については FortiGate HA ガイド を参照してください 仮想クラスタを設定する場合 仮想クラスタ 1 となるバーチャルドメインと 仮想クラスタ 2 となるバーチャルドメインを選択できます ルートバーチャルドメインは 常に仮想クラスタ 1 である必要があります VDOM パーティショニングの設定については FortiGate HA ガイド を参照してください

128 HA システム - 設定 クラスタメンバリスト 動作中のクラスタのステータス およびクラスタ内の FortiGate ユニットのステータスを表示するには クラスタメンバリストを表示します クラスタメンバリストを表示するには 動作中のクラスタにログインして [System ] [Config ] [HA] の順に選択します 図 64: 上下矢印 FortiGate-5001SX クラスタメンバリストの例 デバッグログのダウンロード編集クラスタからの切断 バーチャルドメインが有効になっている場合 クラスタメンバリストを表示して 動作中の仮想クラスタのステータスを確認できます 仮想クラスタメンバリストには 各仮想クラスタに追加されたバーチャルドメインを含む 両方の仮想クラスタのステータスが示されます 動作中のクラスタのバーチャルクラスタメンバリストを表示するには グローバル管理者としてログインし グローバル設定を選択して [System ] [Config ] [HA] の順に選択します 図 65: 上下矢印 FortiGate-5001SX 仮想クラスタメンバリストの例 デバッグログのダウンロード編集クラスタからの切断

129 システム - 設定 HA [View HA Statistics] 各クラスタユニットのシリアル番号 ステータス および監視情報を表示します 130 ページの HA 統計の表示 を参照してください 上下矢印クラスタメンバの表示順を変更します クラスタまたはクラスタ内のユニットの動作には影響ありません クラスタユニットがクラスタメンバリストに表示される順番が変わるだけです [Cluster member] クラスタユニットのフロントパネルの図です インタフェースのネットワークジャックが緑色で表示されている場合 インタフェースは接続されています クラスタユニットのホスト名 シリアル番号 ユニットの動作時間 ( アップタイム ) およびポート監視が設定されているインタフェースを表示するには マウスポインタを各図の上で静止させます [Hostname] [Role] FortiGate ユニットのホスト名 FortiGate ユニットのデフォルトのホスト名は FortiGate ユニットのシリアル番号です プライマリユニットのホスト名を変更するには [System] [Status] の順に選択し 現在のホスト名の隣にある [Change] を選択します クラスタメンバリストから副系ユニットのホスト名を変更するには その副系ユニットの編集アイコンを選択します クラスタ内のクラスタユニットのステータスまたはロール プライマリ ( またはマスタ ) ユニットのロールは [MASTER] ( マスタ ) です 副系 ( またはバックアップ ) クラスタユニットのロールは すべて [SLAVE] ( スレーブ ) です [Priority] クラスタユニットのデバイスのプライオリティ クラスタユニットには それぞれ別々のデバイスプライオリティを設定できます HA ネゴシエーション中 デバイスプライオリティの最も高いユニットがプライマリユニットとなります デバイスプライオリティの範囲は 0 ~ 255 です クラスタからの切断選択したクラスタユニットをクラスタから切断します 131 ページの クラスタユニットのクラスタからの切断 を参照してください 編集 デバッグログのダウンロード クラスタユニットの HA 設定を変更するには 編集を選択します プライマリユニットでは 編集を選択してクラスタ HA 設定を変更します プライマリユニットのデバイスプライオリティを変更することもできます 仮想クラスタのプライマリユニットでは 編集を選択して仮想クラスタ HA 設定を変更します このクラスタユニットの仮想クラスタ 1 および仮想クラスタ 2 のデバイスプライオリティを変更することもできます 副系ユニットでは 編集を選択して副系ユニットのホスト名とデバイスプライオリティを変更します 131 ページの 副系ユニットのホスト名およびデバイスプライオリティの変更 を参照してください 仮想クラスタの副系ユニットでは 編集を選択して副系ユニットのホスト名を変更します また 選択した仮想クラスタの副系ユニットのデバイスプライオリティを変更できます 131 ページの 副系ユニットのホスト名およびデバイスプライオリティの変更 を参照してください 暗号化されたデバッグログをファイルにダウンロードします このデバッグログをフォーティネットテクニカルサポート ( に送信することで クラスタまたは個々のクラスタユニットの問題の診断に役立てることができます

130 HA システム - 設定 HA 統計の表示 クラスタメンバリストから [View HA statistics] を選択して 各クラスタユニットのシリアル番号 ステータス および監視情報を表示できます HA 統計を表示するには [System] [Config] [HA] の順に選択し [View HA statistics] を選択します 図 66: HA 統計の例 ( アクティブ - パッシブクラスタ ) [Refresh every] Web ベースマネージャが HA 統計の表示を更新する頻度を制御する場合に選択します [Back to HA monitor] HA 統計を閉じて クラスタメンバリストに戻ります [Unit] クラスタユニットのホスト名とシリアル番号 [Status] [Up Time] [Monitor] [CPU Usage] 各クラスタユニットのステータスを示します 緑色のチェックマークは クラスタユニットが正常に動作していることを示します 赤色の X は クラスタユニットとプライマリユニットが通信不能であることを示します クラスタユニットが前回起動してからの 日 時 分 および秒による時間 各クラスタユニットのシステムステータス情報を表示します 各クラスタユニットの現在の CPU ステータス Web ベースマネージャには コアプロセスの CPU 使用率のみが表示されます 管理プロセス ( たとえば Web ベースマネージャへの HTTPS 接続 ) が使う CPU 使用率は除外されます [Memory Usage] 各クラスタユニットの現在のメモリステータス Web ベースマネージャには コアプロセスのみのメモリ使用率が表示されます 管理プロセス ( たとえば Web ベースマネージャへの HTTPS 接続 ) のメモリ使用率は除外されます [Active Sessions] クラスタユニットが処理している通信セッションの数 [Total Packets] 前回の起動以降にクラスタユニットが処理したパケットの数 [Virus Detected] クラスタユニットが検出したウイルスの数 [Network Utilization] すべてのクラスタユニットインタフェースで使用されているネットワークの総帯域幅 [Total Bytes] 前回の起動以降にクラスタユニットが処理したバイト数 [Intrusion Detected] クラスタユニットの侵入防御機能によって検出された侵入または攻撃の数

131 システム - 設定 HA 副系ユニットのホスト名およびデバイスプライオリティの変更 動作中のクラスタ内の副系ユニットのホスト名とデバイスプライオリティを変更するには [System] [Config] [HA] の順に選択して クラスタメンバリストを表示します クラスタメンバリストのいずれかのスレーブ ( 下位 ) ユニットの編集を選択します バーチャルドメインが有効な動作中のクラスタ内の副系ユニットのホスト名とデバイスプライオリティを変更するには グローバル管理者としてログインし [System] [Config] [HA] の順に選択して クラスタメンバリストを表示します クラスタメンバリストのいずれかのスレーブ ( 下位 ) ユニットの編集を選択します この副系ユニットのホスト名 ([Peer]) およびデバイスプライオリティ ([Priority]) を変更できます これらの変更は 副系ユニットの設定にのみ影響します 図 67: 副系ユニットのホスト名およびデバイスプライオリティの変更 [Peer] [Priority] 副系ユニットのホスト名を表示し オプションで変更します 副系ユニットのデバイスプライオリティを表示し オプションで変更します デバイスプライオリティは クラスタメンバ間で同期されません 動作中のクラスタにおいて デバイスプライオリティを変更して クラスタ内の任意のユニットのプライオリティを変更できます 次回クラスタがネゴシエートする際に デバイスプライオリティの最も高いクラスタユニットがプライマリユニットとなります デバイスプライオリティの範囲は 0 ~ 255 です デフォルトのデバイスプライオリティは 128 です クラスタユニットのクラスタからの切断 [System] [Config] [HA] の順に選択し [ クラスタから切断 ] アイコンを選択すると クラスタの動作を中断させることなく 動作中のクラスタからクラスタユニットを切断できます FortiGate ユニットを たとえばスタンドアロンファイアウォールなど別の役割として使用する必要がある場合は クラスタユニットを切断できます 図 68: クラスタメンバの切断

132 HA システム - 設定 [Serial Number] [Interface] [IP/Netmask] クラスタから切断されるクラスタユニットのシリアル番号を表示します 設定するインタフェースを選択します このインタフェースの IP アドレスとネットマスクも指定します FortiGate ユニットが切断されると このインタフェースに対する管理アクセスのすべてのオプションが有効になります インタフェースの IP アドレスとネットマスクを指定します この IP アドレスを使用してこのインタフェースに接続し 切断された FortiGate ユニットを設定できます

133 システム - 設定 SNMP SNMP SNMP (Simple Network Management Protocol) により ネットワーク上のハードウェアを監視できます ハードウェア つまり FortiGate SNMP エージェントを設定して SNMP マネージャにシステム情報を報告したり トラップ ( アラームやイベントメッセージ ) を送信したりできます SNMP マネージャとは エージェントからの受信トラップを読み取ったり情報を追跡できるアプリケーションが動作しているコンピュータです SNMP マネージャを使用すれば どの FortiGate インタフェースまたは SNMP 管理アクセス用に設定された VLAN サブインタフェースからでも SNMP トラップおよびデータにアクセスできます 注記 : SNMP マネージャの設定の 1 つとして 監視対象となる FortiGate ユニット上のコミュニティのホストとして自身をリストに加える作業があります これを行わないと SNMP モニタは FortiGate ユニットからのトラップを一切受信せず クエリも行えません FortiGate SNMP 実装は読み取り専用です SNMP v1 および v2c に準拠した SNMP マネージャは FortiGate システム情報への読み取り専用アクセスが行えるとともに FortiGate トラップを受信できます FortiGate システム情報を監視し FortiGateのトラップを受信するには フォーティネット独自 MIB とフォーティネットがサポートする標準 MIB を SNMP マネージャにコンパイルする必要があります RFC サポートには 大部分の RFC 2665 (Ethernet-like MIB) と 大部分の RFC 1213 (MIB II) のサポートが含まれます ( 詳細については 136 ページの フォーティネット MIB を参照してください ) SNMP の設定 SNMP エージェントを設定するには [System] [Config] [SNMP v1/v2c] の順に選択します 図 69: SNMP の設定 [SNMP Agent] [Description] [Location] [Contact] [Apply] [Create New] FortiGateSNMP エージェントを有効にします FortiGate ユニットについての説明情報を入力します 文字数は最大 35 文字です FortiGate ユニットの物理的な場所を入力します システムの場所情報は最大 35 文字です この FortiGate ユニットの担当者の連絡先情報を入力します 連絡先情報は最大 35 文字です 説明 場所 および連絡先情報への変更を保存します 新しい SNMP コミュニティを追加するには [Create New] を選択します 134 ページの SNMP コミュニティの設定 を参照してください

134 SNMP システム - 設定 [Communities] [Name] [Queries] [Traps] [Enable] 削除アイコン編集 / 表示アイコン FortiGate の設定に追加された SNMP コミュニティのリスト 最大で 3 つのコミュニティを追加できます SNMP コミュニティの名前 各 SNMP コミュニティの SNMP クエリのステータス クエリステータスは有効または無効にできます 各 SNMP コミュニティの SNMP トラップのステータス トラップステータスは有効または無効にできます SNMP コミュニティをアクティブにするには [Enable] を選択します SNMP コミュニティを削除するには 削除アイコンをクリックします SNMP コミュニティを表示または修正する場合に選択します SNMP コミュニティの設定 SNMP コミュニティとは ネットワーク管理を目的とした機器のグループです SNMP コミュニティを追加すると SNMP マネージャは FortiGate ユニットに接続し システム情報を表示したり SNMP トラップを受信したりできます 最大で 3 つの SNMP コミュニティを追加できます 各コミュニティには それぞれ別々の SNMP クエリおよびトラップを設定できます 各コミュニティは FortiGate ユニットの別々のイベントセットを監視するように設定できます また 各コミュニティには 最大 8 つの SNMP マネージャの IP アドレスを追加できます 図 70: SNMP コミュニティオプション ( パート 1)

135 システム - 設定 SNMP 図 71: SNMP コミュニティオプション ( パート 2) [Community Name] [Hosts] SNMP コミュニティを識別する名前を入力します FortiGate ユニットを監視するために IP アドレスを入力し この SNMP コミュニティの設定を使用できる SNMP マネージャを特定します [IP Address] FortiGate ユニットを監視するためにこの SNMP コミュニティの設定を使用できるSNMPマネージャのIPアドレス IPアドレスを に設定すると 任意の SNMP マネージャがこの SNMP コミュニティを使用できるようになります [Interface] オプションで FortiGate ユニットに接続するためにこの SNMP マネージャが使用するインタフェースの名前を選択します SNMP マネージャが FortiGate ユニットと同一のサブネット上にない場合のみ インタフェースを選択する必要があります このような状況は SNMP マネージャがインターネット上にある場合や ルータの背後にある場合に生じる可能性があります [Delete] SNMP マネージャを削除するには 削除アイコンを選択します [Add] ホストリストに空白行を追加します 1 つのコミュニティに最大 8 つの SNMP マネージャを追加できます [Queries] FortiGate ユニットから設定情報を受信するために このコミュニティの SNMP マネージャが SNMP v1 および SNMP v2c クエリに使用するポート番号 ( デフォルトで 161) を入力します 各 SNMP バージョンのクエリをアクティブにするには [Enable] チェックボックスをオンにします [Traps] FortiGate ユニットが このコミュニティの SNMP マネージャに SNMP v1 および SNMP v2c トラップを送信するのに使用する ローカルおよびリモートポート番号を入力します ( それぞれデフォルトでポート 162) 各 SNMP バージョンのトラップをアクティブにするには [Enable] チェックボックスをオンにします [SNMP Event] FortiGate ユニットがこのコミュニティの SNMP マネージャにトラップを送信する必要がある SNMP イベントをそれぞれ有効にします [Temperature too high] と [Voltage out of range] のイベントトラップは FortiGate 5001 でのみ使用できます

136 SNMP システム - 設定 SNMP アクセスについてインタフェースを設定するには SNMP マネージャが FortiGate エージェントに接続できるようにするには SNMP 接続を認めるよう FortiGate インタフェースを 1 つ以上設定する必要があります 1 [System] [Network] [Interface] の順に選択します 2 SNMP マネージャが接続するインタフェースを選択して 編集を選択します 3 [Administrative Access] で [SNMP] を選択します 4 [OK] を選択します トランスペアレントモードで SNMP アクセスを設定するには 1 [System] [Config] [Operation] [Mode] の順に選択します 2 管理アクセスに使用する IP アドレスとネットマスクを [Management IP/Netmask] フィールドに入力します 3 [Apply] を選択します フォーティネット MIB FortiGate SNMP エージェントは フォーティネット独自 MIB と標準 RFC 1213 および RFC 2665 MIB をサポートします RFC のサポートには RFC 2665 (Ethernet-like MIB) の一部と FortiGate ユニット設定に適用される RFC 1213 (MIB II) の一部のサポートが含まれます FortiGate MIB と 2 つの RFC MIB を表 8に示します これらの MIB ファイルは フォーティネットテクニカルサポートから入手可能です SNMP エージェントと通信を行えるようにするには これらの MIB をすべて SNMP マネージャにコンパイルする必要があります SNMP マネージャによっては すぐに使用できるコンパイル済みのデータベースに標準および非公開の MIB がすでに含まれている場合があります フォーティネット独自 MIBは このデータベースに追加する必要があります フォーティネット SNMP エージェントが使用する標準 MIB が SNMP マネージャにコンパイル済みである場合は 再度コンパイルする必要はありません 表 8: フォーティネット MIB MIB ファイル名または RFC fortinet.3.00.mib RFC-1213 (MIB II) RFC-2665 (Ethernet-like MIB) 説明 フォーティネット独自 MIB には FortiGate の詳細なシステム設定情報とトラップ情報が含まれます SNMP マネージャは FortiGate の設定を監視したり FortiGate SNMP エージェントからトラップを受信したりするのに この情報を必要とします 137 ページの FortiGate トラップ および 139 ページの フォーティネット MIB フィールド を参照してください FortiGate SNMP エージェントは 以下を例外として MIB II グループをサポートします MIB II からの EGP グループはサポートされません (RFC 1213 項 3.11 および 6.10) MIB II グループ (IP/ICMP/TCP/UDP など ) に返されるプロトコル統計では FortiGate のトラフィック活動がすべて正確にキャプチャされるわけではありません より正確な情報は フォーティネット MIB が報告する情報から取得できます FortiGate SNMP エージェントは 以下を例外として Ethernetlike MIB の情報をサポートします dot3tests および dot3errors グループはサポートされません

137 システム - 設定 SNMP FortiGate トラップ FortiGate エージェントは SNMP コミュニティに追加した SNMP マネージャにトラップを送信できます トラップを受信するには SNMPマネージャにフォーティネット 3.0 MIBをロードおよびコンパイルする必要があります すべてのトラップに トラップメッセージに加えてFortiGateユニットのシリアル番号とホスト名が含まれます 表 9: 一般的な FortiGate トラップ トラップメッセージ ColdStart WarmStart LinkUp LinkDown 説明 RFC 1215 に記述されている標準的なトラップ 表 10: FortiGate システムトラップ トラップメッセージ CPU 使用率が高い (fntrapcpuhigh) メモリの残量が少ない (fntrapmemlow) インタフェース IP の変更 (fntrapifchange) 温度が高過ぎる (fntraptemphigh) 電圧が範囲外 (fntrapvoltageoutofrange) (fnfmtrapifchange) 説明 CPU 使用率が 90% を超えています このしきい値は CLI で config system global を実行して設定できます メモリ使用率が 90% を超えています このしきい値は CLI で config system global を実行して設定できます FortiGate インタフェースの IP アドレスの変更 トラップメッセージには FortiGate ユニットのインタフェース名 新しい IP アドレス およびシリアル番号が含まれます このトラップを使用すると DHCP または PPPoE を使用してダイナミック IP アドレスが設定されたインタフェースの IP アドレスの変更を追跡できます ハードウェアのセンサが高温を検出しています これは FortiGate 5001 でのみ利用できます ハードウェアのセンサが異常な電力レベルを検出しています これは FortiGate 5001 でのみ利用できます メッセージはありません インタフェースによって IP が変更されています 監視を行う FortiManager にのみ送信されます (fnfmtrapconfchange) 接続された FortiManager ユニットによる変更を除く FortiGate ユニットに対して行われた任意の設定変更 表 11: FortiGate VPN トラップ トラップメッセージ VPN トンネルが起動 (fntrapvpntunup) VPN トンネルが停止 (fntrapvpntundown) 説明 IPSec VPN トンネルが起動しました IPSec VPN トンネルが停止しました

138 SNMP システム - 設定 表 12: FortiGate IPS トラップ トラップメッセージ IPS アノマリ fntrapipsanomaly IPS シグネチャ fntrapipssignature) 説明 IPS アノマリが検出されました IPS シグネチャが検出されました 表 13: FortiGate アンチウイルストラップ トラップメッセージウイルスを検出 (fntrapavevent) サイズ超過のファイル / 電子メールを検出 (fntrapavoversize) ファイル名のブロックを検出 (fntrapavpattern) 断片化した電子メールを検出 (fntrapavfragmented) 説明 FortiGate ユニットがウイルスを検出し HTTP または FTP ダウンロード あるいは電子メールメッセージから感染したファイルを除去しました FortiGate ユニットのアンチウイルススキャナが サイズ超過のファイルを検出しました FortiGate ユニットのアンチウイルススキャナが パターンに一致したファイルをブロックしています FortiGate ユニットのアンチウイルススキャナが 断片化したファイルまたは添付ファイルを検出しています 表 14: FortiGate ロギングトラップ トラップメッセージログの空きなし (fntraplogfull) 説明 ハードドライブ搭載の FortiGate ユニットでは ハードドライブの使用率が 90% を超えています ハードドライブを搭載しない FortiGate ユニットでは メモリへのログの使用率が 90% を超えています このしきい値は CLI で config system global を実行して設定できます 表 15: FortiGate HA トラップ トラップメッセージ HA の切り替え (fntraphaswitch) HA ハートビートの障害 (fntraphahbfail) 説明 HA クラスタのプライマリユニットに障害が発生し 新しいプライマリユニットに切り換わっています HA 監視インタフェースがハートビートを行っていません 表 16: FortiBridge トラップ トラップメッセージ FortiBridge が障害を検出 (fntrapbridge) 説明 FortiBridge ユニットが FortiGate ユニットの障害を検出しています

139 システム - 設定 SNMP フォーティネット MIB フィールド フォーティネット MIB には FortiGate ユニットの現在のステータス情報を報告するフィールドが含まれています 次の表は MIB フィールドの名前とそれぞれのステータス情報の一覧です fortinet.3.00.mib ファイルを SNMP マネージャにコンパイルし Fortinet MIB フィールドを表示することで すべてのフォーティネット MIB フィールドの情報の詳細を表示できます 表 17: システム MIB フィールド MIB フィールド 説明 fnsysmodel FortiGate モデル番号 たとえば FortiGate-400 では 400 となります fnsysserial FortiGate ユニットのシリアル番号 fnsysversion FortiGate ユニットで現在実行中のファームウェアのバージョン fnsysversionav FortiGate ユニットにインストールされたアンチウイルス定義の バージョン fnsysversionnids FortiGate ユニットにインストールされた攻撃定義のバージョン fnsyshamode 現在の高可用性 (HA) モード ( スタンドアロン A- A A- P) fnsysopmode FortiGate ユニットの動作モード (NAT またはトランスペアレント ) fnsyscpuusage 現在の CPU 使用率 (%) fnsysmemusage 現在のメモリ使用量 (MB) fnsysdiskcapacity ハードディスクの容量 (MB) fnsysdiskusage 現在のハードディスクの使用量 (MB) fnsyssescount 現在の IP セッション数 表 18: HA MIB フィールド MIB フィールド fnhaschedule fnhastatstable 説明 A-A モードの負荷分散スケジュール HA クラスタの個々の FortiGate ユニットの統計 fnhastatsindex クラスタ内のユニットのインデックス番号 fnhastatsserial FortiGate ユニットのシリアル番号 fnhastatscpuusage 現在の FortiGate ユニットの CPU 使用率 (%) fnhastatsmemusage 現在のユニットのメモリ使用量 (MB) fnhastatsnetusage 現在のユニットのネットワーク使用量 (Kbps) fnhastatssescount アクティブなセッションの数 fnhastatspktcount 処理されたパケットの数 fnhastatsbytecount FortiGate ユニットが処理したバイト数 fnhastatsidscount 直近 20 時間に IPS が検出した攻撃の数 fnhastatsavcount 直近 20 時間にアンチウイルスシステムが検 出したウイルスの数

140 SNMP システム - 設定 表 19: 管理者アカウント MIB フィールド fnadminnumber fnadmintable 説明 FortiGate ユニット上の管理者の人数 管理者の表 fnadminindex fnadminname fnadminaddr 管理者アカウントのインデックス番号 管理者アカウントのユーザ名 この管理者アカウントを使用することのできる 信頼できるホストまたはサブネットのアドレス fnadminmask fnadminaddr のネットマスク 表 20: ローカルユーザ MIB フィールド説明 fnusernumber FortiGate ユニット上のローカルユーザアカウント数 fnusertable ローカルユーザの表 fnuserindex ローカルユーザアカウントのインデックス番号 fnusername ローカルユーザアカウントのユーザ名 fnuserauth ローカルユーザの認証タイプ local - FortiGate ユニットに保存されたパスワード radius-single - RADIUS サーバに保存されたパスワード radius-multiple - RADIUS サーバで認証できるすべてのユーザがログオン可能 ldap - LDAP サーバに保存されたパスワード fnuserstate ローカルユーザが有効か無効かを示します 表 21: オプション MIB フィールド fnoptidletimeout fnoptauthtimeout fnoptlanguage fnoptlcdprotection 説明 分単位のアイドル期間で これを過ぎると管理者は再認証を受ける必要があります 分単位のアイドル期間で これを過ぎるとユーザはファイアウォールで再認証を受ける必要があります Web ベースマネージャの言語 LCD PIN が設定されているかどうかを示します 表 22: [Logging] MIB フィールド fnlogoption 説明 ロギングの基本設定 表 23: カスタムメッセージ MIB フィールド fnmessages 説明 FortiGate ユニット上のカスタムメッセージの数

141 システム - 設定 SNMP 表 24: バーチャルドメイン MIB フィールド fnvdnumber fnvdtable 説明 FortiGate ユニット上のバーチャルドメイン数 バーチャルドメインの表 fnvdindex FortiGate ユニット上の内部バーチャルドメインのインデックス番号 fnvdname バーチャルドメインの名前 表 25: アクティブ IP セッション MIB フィールド 説明 fnipsessindex アクティブな IP セッションのインデックス番号 fnipsessproto セッションのIPプロトコル (TCP UDP ICMPなど ) fnipsessfromaddr アクティブな IP セッションの送信 IP アドレス fnipsessfromport アクティブな IP セッションの送信ポート fnipsesstoport アクティブな IP セッションの送信 IP アドレス fnipsesstoaddr アクティブな IP セッションの受信ポートです fnipsessexp セッションの秒単位の有効期限または TTL (time-to-live) 表 26: ダイヤルアップ VPN MIB フィールド 説明 fnvpndialupindex ダイヤルアップ VPN ピアのインデックス fnvpndialupgateway リモートゲートウェイ IPアドレス fnvpndialuplifetime 秒単位の VPN トンネル存続期間 fnvpndialuptimeout 次のキー交換までの残り時間 ( 秒 ) fnvpndialupsrcbegin リモートサブネットアドレス fnvpndialupsrcend リモートサブネットマスク fnvpndialupdstaddr ローカルサブネットアドレス

142 SNMP システム - 設定 表 27: VPN トンネル MIB フィールド 説明 fnvpntunentindex VPN トンネルの固有インデックス fnvpntunentphase1name フェーズ 1 設定の説明用の名前 fnvpntunentphase2name フェーズ 2 設定の説明用の名前 fnvpntunentremgwyip リモートゲートウェイのIP fnvpntunentremgwyport リモートゲートウェイのポート fnvpntunentlocgwyip ローカルゲートウェイの IP fnvpntunentlocgwyport ローカルゲートウェイのポート fnvpntunentselectorsrcbeginip 送信元セレクタのアドレス範囲の始まり fnvpntunentselectorsrcendip 送信元セレクタのアドレス範囲の終わり fnvpntunentselectorsrcport 送信元セレクタポート fnvpntunentselectordstbeginip 送信先セレクタのアドレス範囲の始まり fnvpntunentselectordstendip 送信先セレクタのアドレス範囲の終わり fnvpntunentselectordstport 送信先セレクタポート fnvpntunentselectorproto セレクタのプロトコル番号 fnvpntunentselectorlifesecs 秒単位のトンネル存続期間 fnvpntunentselectorlifebytes バイト単位のトンネル存続期間 fnvpntunenttimeout 秒単位のトンネルのタイムアウト fnvpntunentinoctets トンネルの受信バイト数 fnvpntunentoutoctets トンネルの送信バイト数 fnvpntunentstatus トンネルの現在のステータスで 起動または停止 のいずれかです

143 システム - 設定 差し替えメッセージ 差し替えメッセージ 差し替えメッセージを変更し FortiGateユニットにより電子メールメッセージ Web ページ および FTP セッションに追加されるアラートメールや情報をカスタマイズするには [System] [Config ] [Replacement Messages] の順に選択します FortiGate ユニットは さまざまなコンテンツストリームに差し替えメッセージを追加します たとえば 電子メールメッセージにウイルスが発見された場合 電子メールからそのファイルが除去され 差し替えメッセージに置き換えられます Web フィルタリングでブロックされたページや スパムフィルタリングでブロックされた電子メールも同様です 注記 : フォーティネットが用意した免責の差し替えメッセージは 例に過ぎません 差し替えメッセージリスト 図 72: 差し替えメッセージリスト

144 差し替えメッセージ システム - 設定 [Name] [Description] 編集または表示アイコン 差し替えメッセージの種類 カテゴリを展開または縮小するには 青色の三角形を選択します メッセージを変更して以下に追加できます ウイルス感染ファイルが添付された電子メール Web ページ (http) ftp セッション 警告メールメッセージ スパムとしてブロックされた smtp 電子メール Web フィルタのカテゴリブロックでブロックされた Web ページ インスタントメッセージおよびピアツーピアセッションまた 以下の変更も行えます ユーザ認証用のログインページおよびログイン拒否ページ ユーザおよび管理者認証用の免責メッセージ ( 一部のモデル ) 認証用のキープアライブページ FortiGuard Web フィルタリングブロック無効化ページ SSL-VPN のログインページ 差し替えメッセージの種類の説明 Web ベースマネージャは それぞれの差し替えメッセージが FortiGate ユニットで使用される箇所を示します 差し替えメッセージを編集または表示する場合に選択します 差し替えメッセージの変更 注記 : FortiOS は ファイアウォールが有効になる前に ユーザが承認する認証免責ページを HTTP を使用して送信します したがって 認証免責ページを表示させるには ユーザは まず HTTP トラフィックを開始する必要があります 免責事項が承認されると ユーザはファイアウォールポリシーで許可されたトラフィックをすべて送信できます 図 73: サンプルの HTTP ウイルス差し替えメッセージ 差し替えメッセージは テキストまたは HTML メッセージが可能です HTML メッセージには HTML コードを追加できます 差し替えメッセージで使用する形式は [Allowed Formats] に表示されます 差し替えメッセージには 各々 8192 文字の制限があります また 差し替えメッセージには 差し替えメッセージタグを含めることができます ユーザが差し替えメッセージを受信すると 差し替えメッセージタグはそのメッセージに関連したコンテンツに置き換えられます 表 28は 追加できる差し替えメッセージタグの一覧です

145 システム - 設定 差し替えメッセージ 表 28: 差し替えメッセージタグ タグ %%AUTH_LOGOUT%% %%AUTH_REDIR_URL%% %%CATEGORY%% %%DEST_IP%% 説明 現在のポリシーをただちに削除し セッションを終了する URL auth-keepalive ページで使用されます auth-keepalive ページで このタグにリンクした新しいウィンドウを開くようユーザに促すことができます Web サイトのコンテンツカテゴリの名前 ウイルスが送信された要求宛先の IP アドレス 電子メールの場合 これはウイルスを含む電子メールを送信した電子メールサーバの IP アドレスです HTTP の場合は これはウイルスを送信した Web ページの IP アドレスです %% _FROM%% ファイルが除去されたメッセージの送信者の電子メールアドレス %% _TO%% ファイルが除去されたメッセージの所定の受信者の電子メールアドレス %%FAILED_MESSAGE%% auth-login-failed ページに表示されるログイン失敗メッセージ %%FILE%% コンテンツストリームから除去されたファイルの名前 これは ウイルスを含んだファイル またはアンチウイルスのファイルブロックによってブロックされたファイルの場合があります ウイルスおよびファイルブロックメッセージには %%FILE%% が使用できます %%FORTIGUARD_WF%% FortiGuard - Web フィルタリングのロゴ %%FORTINET%% フォーティネットのロゴ %%HTTP_ERR_CODE%% HTTP エラーコード たとえば "404" %%HTTP_ERR_DESC%% HTTP エラーコードの説明 %%KEEPALIVEURL%% auth-keepalive-page は %%TIMEOUT%% の秒ごとにこの URL に自動的に接続し 接続ポリシーを更新します %%NIDSEVENT%% IPS 攻撃メッセージ 電子メールの侵入メッセージを警告するため %%NIDSEVENT%% が追加されます %%OVERRIDE%% FortiGuard Web フィルタリング無効化フォームへのリンク これは FortiGuard Web フィルタリング無効化の作成が許可されたグループにユーザが属する場合にのみ表示されます %%OVRD_FORM%% FortiGuard Web フィルタブロック無効化ページ このタグは FortiGuard Web フィルタリング無効化フォームになければなりません 他の差し替えメッセージに使用しないでください %%PROTOCOL%% ウイルスが検出されたプロトコル (http ftp pop3 imap または smtp) 電子メールのウイルスメッセージを警告するため %%PROTOCOL%% が追加されます %%QUARFILENAME%% コンテンツストリームから除去され 隔離場所に追加されたファイルの名前 これは ウイルスを含んだファイル またはアンチウイルスのファイルブロックによってブロックされたファイルの場合があります ウイルスおよびファイルブロックメッセージには %%QUARFILENAME%% が使用できます 隔離は ローカルディスクを備えた FortiGate ユニットでのみ利用できます %%QUESTION%% auth-challenge ページの認証チャレンジの質問 auth-login ページでユーザ名とパスワードの入力が求められます %%SERVICE%% Web フィルタリングサービス名

146 差し替えメッセージ システム - 設定 表 28: 差し替えメッセージタグ ( 続き ) タグ %%SOURCE_IP%% %%TIMEOUT%% %%URL%% %%VIRUS%% 説明 ブロックされたファイルを受信する要求発信元の IP アドレス 電子メールでは これは ファイルが除去されたメッセージをダウンロードしようとしたユーザのコンピュータの IP アドレスです 認証キープアライブ接続間の設定秒数 auth-keepalive ページで使用されます Web ページの URL これは Web フィルタのコンテンツブロックまたは URL ブロックでブロックされた Web ページである可能性があります %%URL%% は ブロックされたファイルのダウンロードをユーザが試みる Web ページの URL とするために http ウイルスおよびファイルブロックメッセージでも使用される場合があります アンチウイルスシステムでファイル内に発見されたウイルスの名前 %%VIRUS%% は ウイルスメッセージ内で使用できます 認証ログインページの変更 ユーザが認証に必要な VPN またはファイアウォールポリシーを使用する際 認証ログインページが表示されます このページは 他の差し替えメッセージの変更と同様の方法でカスタマイズできますが いくつか固有の条件があります ログインページは ACTION="/" および METHOD="POST" のフォームを含む HTML ページである必要があります フォームには 次の隠し制御が含まれている必要があります <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"> <INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%"> <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%"> フォームには 目に見える次の制御が含まれている必要があります <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> 例以下は 上述の条件を満たすシンプルな認証ページの一例です <HTML><HEAD><TITLE> ファイアウォール認証 </TITLE></HEAD> <BODY><H4> このサービスを利用するには 認証を行わなければなりません </H4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH> ユーザ名 :</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH> パスワード :</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR>

147 システム - 設定 差し替えメッセージ <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML> FortiGuard Web フィルタリングブロック無効化ページの変更 %%OVRD_FORM%% タグは FortiGuard Web フィルタリングで Web ページへのアクセスがブロックされた場合に 無効の処理を開始するために使用されるフォームです 差し替えメッセージからこのタグを削除しないでください SSL-VPN ログインメッセージの変更 認証免責ページの変更 SSL VPN ログインメッセージは ユーザが SSL-VPN Web ポータルへのログインに使用する Web ページを表示します このページは FortiGate の機能にリンクされています その動作を保証するために 次のガイドラインに従って構築する必要があります ログインページは ACTION="%%SSL_ACT%%" および METHOD="%%SSL_METHOD%%" が含まれる HTML ページでなければなりません フォームには ログインフォームを提供する %%SSL_LOGIN%% が含まれている必要があります フォームには %%SSL_HIDDEN%% タグが含まれている必要があります 一部のモデルでサポートされている認証免責ページは FortiGate ユニットでアクセスが許可される前にユーザが承認する必要のある利用方針について示しています 免責はファイアウォールポリシーで有効にします 230 ページの ファイアウォールポリシーのオプション のユーザ認証免責を参照してください 変更は HTML 形式のコードではなく 免責本文のみとしてください

148 動作モードおよび VDOM 管理アクセス システム - 設定 動作モードおよび VDOM 管理アクセス 動作モードの変更 VDOM の動作モードは 他の VDOM に関係なく変更できます これにより FortiGate ユニット上の VDOM で NAT/ ルートとトランスペアレントの動作モードを任意に組み合わせることができます VDOM への管理アクセスは FortiGate ユニットへの接続に使用可能なインタフェースおよびプロトコルに基づいて制限できます VDOM の動作モードを設定し ネットワーク設定を十分に行うことで 新しいモードで確実に Web ベースマネージャに接続できます NAT/ ルートモードからトランスペアレントモードに切り替えるには 1 [System] [Config] [Operation Mode] の順に選択するか またはバーチャルドメインの [System Status] ページの [Operation Mode] の隣にある [Change] を選択します 2 [Operation Mode] で [Transparent] を選択します 3 次の情報を入力し [Apply] を選択します [Management IP/Netmask] [Default Gateway] [Asymmetric Routing] 管理 IP アドレスとネットマスクを入力します これは FortiGate ユニットを管理するネットワークの有効な IP アドレスである必要があります FortiGate ユニットから他のネットワークに到達するのに必要な デフォルトゲートウェイを入力します 非対称ルーティングを可能にする場合に選択します トランスペアレントモードから NAT/ ルートモードに切り替えるには 1 [System] [Config] [Operation Mode] の順に選択するか またはバーチャルドメインの [System Status] ページの [Operation Mode] の隣にある [Change] を選択します 2 [ 動作モード ] リストから [NAT] を選択します

149 システム - 設定 動作モードおよび VDOM 管理アクセス 3 次の情報を入力し [Apply] を選択します [Interface IP/Netmask] [Device] [Default Gateway] [Gateway Device] [Asymmetric Routing] FortiGate ユニットを管理するネットワークの有効な IP アドレスおよびネットマスクを入力します [Interface IP/Netmask] の設定を適用するインタフェースを選択します FortiGate ユニットから他のネットワークに到達するのに必要な デフォルトゲートウェイを入力します デフォルトゲートウェイが接続されるインタフェースを選択します 非対称ルーティングを可能にする場合に選択します 管理アクセス 管理アクセスは VDOM の任意のインタフェースに設定できます 85 ページの NAT/ ルートモードで動作している VDOM の場合は その VDOM 内のインタフェースへの管理アクセスを制御できます を参照してください NAT/ ルートモードでは 管理アクセスにインタフェース IP アドレスが使用されます トランスペアレントモードでは 管理アクセスが可能な VDOM のすべてのインタフェースに適用される単一の管理 IP アドレスを設定します また FortiGate はこの IP アドレスを使用して FDN に接続し ウイルスおよび攻撃の更新を行います (169 ページの FortiGuard Center 参照 ) システム管理者 (admin) はすべての VDOM にアクセスでき 標準の管理者アカウントを作成できます 標準の管理者アカウントでは 所属する VDOM にのみアクセスできます 管理コンピュータは そのVDOMのインタフェースに接続する必要があります インタフェースがどの VDOM に属しているのかは関係ありません どちらの場合も 管理コンピュータは 管理アクセスが可能なインタフェースに接続しなければならず その IP アドレスは同一のネットワーク上でなければなりません インタフェースで HTTP HTTPS telnet または SSH のサービスが有効な場合 管理アクセスにそれらのセッションを利用できます HTTPS と SSH は安全性が高いことから それらの使用が望まれます FortiGate ユニットではリモート管理が行えます ただし インターネットからのリモート管理を許可すると FortiGate ユニットのセキュリティが危険にさらされる可能性があります 設定にとって必須でない限り この危険性を避けるようにしてください インターネットからのリモート管理を許可する FortiGateユニットのセキュリティを向強化する方法は次のとおりです セキュアな管理ユーザパスワードを使用します これらのパスワードを定期的に変更します HTTPS または SSH のみを使用して このインタフェースへのセキュアな管理アクセスを実現する 信頼できるホストを使用して リモートアクセスの発信元を限定する システムアイドルタイムアウトをデフォルトの 5 分から変更しない (162 ページの 設定 参照 )

150 動作モードおよび VDOM 管理アクセス システム - 設定

151 システム管理者 管理者 システム管理者 この項では FortiGate ユニットの管理者アカウントの設定方法について説明します 管理者は FortiGate ユニットにアクセスしてその動作を設定します 工場出荷時の設定では ユニットには admin という管理者アカウントが 1 つ設定されています Web ベースマネージャまたは CLI に接続後 FortiGate ユニット設定の各部分にさまざまなレベルでアクセスする管理者を追加設定できます 注記 : FortiGate のセッションは 必ず CLI または GUI でログアウトして終了してください さもないと セッションは開いたままとなります この項には 以下のトピックが含まれています 管理者 アクセスプロファイル FortiManager 設定 管理者の監視 管理者 管理者アカウントには次の 2 つのレベルがあります 標準管理者 super_admin 以外の任意のアクセスプロファイルに割り当てられている管理者 システム管理者 最初に設定されているシステム管理者 "admin" や super_admin プロファイルに割り当てられている任意の管理者 標準管理者アカウントでは そのアクセスプロファイルで定められている設定オプションにアクセスできます バーチャルドメインが有効になっている場合 標準管理者は 1 つの VDOM に割り当てられ グローバル設定オプションまたは他の VDOM の設定にはアクセスできません グローバルオプションと VDOM ごとのオプションについては 62 ページの VDOM の設定 および 63 ページの グローバル設定 を参照してください super_admin アクセスプロファイルに割り当てられている管理者は デフォルトの管理者 "admin" と同様に FortiGate ユニットの設定に全面的にアクセスできます さらに 以下が行えます VDOM 設定の有効化 VDOM の作成 VDOM の設定 標準管理者の VDOM への割り当て グローバルオプションの設定 最初の "admin" 管理者の権限を制限したり 変更したりすることはできません "admin" アカウントは削除できませんが 名前の変更 信頼できるホストの定義 およびパスワードの変更は行えます デフォルトでは "admin" にパスワードは設定されていません

152 管理者 システム管理者 管理者の RADIUS 認証の設定 管理者の認証は FortiGate ユニットまたは RADIUS サーバに保存されたパスワードを使用して行うことができます オプションで デフォルトの "admin" アカウントを除くすべての管理者アカウントを RADIUS サーバに保存することができます 同一の RADIUS サーバ上の RADIUS に基づくアカウントは 同一のアクセスプロファイルを共有します RADIUS サーバを使用して VDOM 内の管理者を認証する場合 管理者アカウントを作成する前に 認証を設定する必要があります そのためには次のことを行う必要があります RADIUS サーバにアクセスするよう FortiGate ユニットを設定する RADIUS サーバを唯一のメンバとしたユーザグループを作成する 次の手順は ネットワーク上に RADIUS サーバがあり 管理者の名前とパスワードがそこに設定されていることを前提としています RADIUS サーバのセットアップ方法についての情報は RADIUS サーバのドキュメントを参照してください RADIUS サーバにアクセスするよう FortiGate ユニットを設定するには 1 [User] [RADIUS] の順に選択します 2 [Create New] を選択します 3 次の情報を入力します [Name] [Server Name/IP] [Server Secret] RADIUS サーバの名前 ユーザグループを作成する際は この名前を使用します RADIUS サーバのドメイン名または IP アドレス RADIUS のサーバシークレット RADIUS サーバ管理者がこの情報を提供できます 4 [OK] を選択します 管理者ユーザグループを作成するには 1 [User] [User Group] の順に選択します 2 [Create New] を選択します 3 [Group Name] フィールドで 管理者グループの名前を入力します 4 [Available Users] リストで RADIUS サーバ名を選択します 5 緑色の右矢印を選択して 名前をメンバリストに移動させます 6 プロテクションプロファイルを選択します 7 [OK] を選択します 管理者リストの表示 新たな管理者アカウントを作成し そのアクセス権のレベルを制御するには デフォルトの "admin" アカウント super_admin アクセスプロファイルが割り当てられているアカウント または読み取りおよび書き込みアクセス制御が許可されている管理者を使用してください [System] [Admin] [Administrators] の順に選択します 管理者アカウントのアクセスプロファイルが super_admin でない場合 管理者リストには 現在のバーチャルドメインの管理者以外 表示されません

153 システム管理者 管理者 図 74: 管理者リスト [Create New] [Name] [Trusted hosts] [Profile] [Type] 管理者アカウントを追加します 管理者アカウントのログイン名 管理者がログイン可能な信頼できるホストの IP アドレスおよびネットマスク 詳細については 156 ページの 信頼できるホストの使用 を参照してください 管理者のアクセスプロファイル この管理者の認証のタイプで 次のいずれかです Local ローカルパスワード RADIUS RADIUS サーバ上の特定のアカウントの認証 RADIUS+ ワイルドカード RADIUS サーバ上のあらゆるアカウントの認証 削除アイコン管理者アカウントを削除します 最初の "admin" 管理者アカウントは削除できません 編集または表示ア管理者アカウントの編集または表示を行います イコン [ パスワードの変更管理者アカウントのパスワードを変更します ] アイコン 管理者パスワードを変更するには 1 [System] [Admin] [Administrators] の順に選択します 2 パスワードを変更する管理者アカウントの [ パスワードの変更 ] アイコンを選択します 3 新しいパスワードを入力し 確認のため再入力します 4 [OK] を選択します

154 管理者 システム管理者 管理者アカウントの設定 新たな管理者アカウントを作成するには デフォルトの "admin" アカウント super_admin アクセスプロファイルが割り当てられているアカウント または読み取りおよび書き込みアクセス制御が許可されている管理者を使用してください [System] [Admin] [Administrators] の順に選択し [Create New] を選択します 図 75: 管理者アカウントの設定 ローカル認証 図 76: 管理者アカウントの設定 RADIUS 認証

155 システム管理者 管理者 図 77: 管理者アカウントの設定 PKI 認証 [Administrator] [RADIUS] [User Group] [Wildcard] [PKI] [User Group] [Password] [Confirm Password] 管理者アカウントのログイン名を入力します RADIUS サーバを使用して管理者を認証する場合に選択します まず 管理者に対する RADIUS 認証を設定する必要があります 152 ページの 管理者の RADIUS 認証の設定 を参照してください RADIUS 認証を使用する場合 メンバとして適切な RADIUS サーバが含まれる管理者ユーザグループを選択します これを選択すると RADIUS サーバ上のすべてのアカウントを管理者にすることができます これは RADIUS が選択された場合のみ使用できます これを選択すると 管理者に対する証明書ベースの認証が有効になります 注記 :PKI オプションを常に有効にできるのは 1 つの管理者アカウントに限られます PKI 証明書ベースの認証を使用している場合 ユーザグループのメンバとして PKI ( ピア ) ユーザが含まれる管理者ユーザグループを選択します 管理者アカウントのパスワードを入力します セキュリティ強化のため パスワードは 6 文字以上にする必要があります RADIUS が有効な場合 FortiGate ユニットではまず RADIUS 認証が試行され それに失敗すると パスワード認証が試行されます ワイルドカードが選択されている場合 これは使用できません PKI 認証が選択されている場合も使用できません 管理者アカウントのパスワードを再入力して パスワードが正しく入力されたことを確認します ワイルドカードが選択されている場合 これは使用できません PKI 認証が選択されている場合も使用できません [Trusted Host #1] オプションで FortiGate ユニットに管理者としてログインする際に使 [Trusted Host #2] 用する信頼できるホストの IP アドレスおよびネットマスクを限定する [Trusted Host #3] ことができます 信頼できるホストは 3 つまで指定できます これらのアドレスはすべてデフォルトで /0 に設定されています すべての管理者に信頼できるホストを設定することで システムのセキュリティを強化できます 詳細については 156 ページの 信頼できるホストの使用 を参照してください [Access Profile] 管理者のアクセスプロファイルを選択します あらかじめ設定されている super_admin プロファイルでは FortiGate ユニットに全面的にアクセスできます [Create New] を選択して 新しいアクセスプロファイルを作成することもできます アクセスプロファイルについては 160 ページの アクセスプロファイルの設定 を参照してください 管理者アカウントを設定するには 1 [System] [Admin] [Administrators] の順に選択します 2 [Create New] を選択して管理者アカウントを追加するか または [ 編集 ] アイコンを選択して既存の管理者アカウントを変更します

156 管理者 システム管理者 3 [Administrator] フィールドで 管理者アカウントのログイン名を入力します この管理者に RADIUS 認証を使用しているがワイルドカードのオプションは使用していない場合 管理者名は RADIUS サーバ上のアカウントと一致する必要があります 4 認証のタイプを選択します この管理者に RADIUS 認証を使用している場合 : [RADIUS] を選択します RADIUSサーバ上のすべてのアカウントをこのFortiGateユニットの管理者とする場合 ワイルドカードを選択します [User Group] リストから管理者ユーザグループを選択します この管理者に PKI 証明書ベース認証を使用している場合 : [PKI] を選択します [User Group] リストから管理者ユーザグループを選択します 5 管理者アカウントのパスワードを入力し 確認のため再入力します この手順は RADIUS ワイルドカードまたは PKI 証明書ベース認証を使用している場合 適用されません 6 オプションで 管理者が Web ベースマネージャにログインできる信頼できるホストのIPアドレスおよびネットマスクを入力します 7 管理者のアクセスプロファイルを選択します 8 [OK] を選択します 信頼できるホストの使用 信頼できるホストをすべての管理者に設定すると 管理アクセスがさらに制限されることになるため ネットワークのセキュリティが向上します 管理者は パスワードを知ることに加え 指定のサブネットだけを介して接続しなければなりません さらに ネットマスクが の信頼できるホスト IP アドレスを1つだけ設定すれば 管理者を1つのIPアドレスに制限することもできます すべての管理者に信頼できるホストを設定すると FortiGate ユニットで他のホストからの管理アクセスの試行に対して一切応答が行われなくなります これにより 最高のセキュリティが実現します 管理者を 1 つでも制限しないでおくと 管理アクセスが有効になっているあらゆるインタフェースで管理アクセスが試行され ユニットが不正アクセスの危険にさらされる恐れがあります 定義された信頼できるホストは telnet または SSH を介してアクセスされる際に Web ベースマネージャと CLI の両方に適用されます コンソールコネクタを介した CLI アクセスには影響ありません 信頼できるホストのアドレスは すべてデフォルトで /0 に設定されています /0 のアドレスを 1 つでも 0 以外のアドレスに設定すると 他の /0 は無視されます 信頼できるホストを /0 のまま変更しないことが ワイルドカードのエントリを使用する唯一の方法です ただし これは安全でない設定です

157 システム管理者 アクセスプロファイル アクセスプロファイル 管理者アカウントはそれぞれ 1 つのアクセスプロファイルに属します アクセスプロファイルでは FortiGate の機能を 読み取りまたは書き込み あるいはその両方のアクセスを有効にできるアクセス制御カテゴリに分類します 次の表は 各カテゴリでアクセスできる Web ベースマネージャのページです 表 29: Web ベースマネージャのページへのアクセスプロファイル制御 アクセス制御影響を受ける Web ベースマネージャのページ管理者ユーザ System > Admin System > Admin > FortiManager System > Admin > Settings アンチウイルス設定 AntiVirus ユーザ認証 User ファイアウォール設定 Firewall FortiGuard 更新 System > Maintenance > FortiGuard Center IPS 設定 Intrusion Protection ログおよびレポート Log & Report メンテナンス System > Maintenance ネットワーク設定 System > Network > Interface System > Network > Zone System > DHCP ルータ設定 Router スパムフィルタ設定 AntiSpam システム設定 System > Status セッション情報を含む System > Config System > Hostname System > Network > Options System > Admin > FortiManager System > Admin > Settings System > Status > System Time VPN 設定 VPN Web フィルタ設定 Web Filter 読み取りアクセスにより 管理者は Web ベースマネージャのページを表示できます そのページの設定を変更するには 書き込みアクセスが必要になります 現在では ファイアウォール設定のアクセス制御を拡張し ファイアウォールの機能に対してよりきめ細かいアクセス制御が可能となっています ポリシー アドレス サービス スケジュール プロファイル その他 (VIP) の設定に対する管理アクセスを制御できます 注記 : バーチャルドメイン設定が有効になっている場合 (162 ページの 設定 を参照 ) アクセスプロファイルが super_admin の管理者以外はグローバル設定にアクセスできません バーチャルドメインが有効になっている場合 他の管理者は 1 つの VDOM に割り当てられ グローバル設定オプションまたは他の VDOM の設定にはアクセスできません グローバル設定については 62 ページの VDOM の設定 を参照してください

158 アクセスプロファイル システム管理者 アクセスプロファイルは CLI コマンドへの管理者アクセスにも同様の効果があります 次の表は 各アクセス制御カテゴリで使用できるコマンドのタイプです "get" および "show" コマンドは 読み取りアクセスで使用できます "config" コマンドを使用するには 書き込みアクセスが必要です 表 30: CLI コマンドへのアクセスプロファイル制御 アクセス制御管理ユーザ (admingrp) アンチウイルス設定 (avgrp) ユーザ認証 (authgrp) ファイアウォール設定 (fwgrp) FortiProtect 更新 (updategrp) IPS 設定 (ipsgrp) ログおよびレポート (loggrp) メンテナンス (mntgrp) ネットワーク設定 (netgrp) ルータ設定 (routegrp) 使用可能な CLI コマンド system admin system accprofile antivirus user firewall いくつかのファイアウォールの許可を個別に設定するには set fwgrp custom config fwgrp-permission を使用します ポリシー アドレス サービス スケジュール プロファイル その他 (VIP) の設定については 選択が可能です 詳細は FortiGate CLI リファレンス を参照してください system autoupdate execute update-av execute update-ips execute update-now ips alert log system fortianalyzer execute log execute formatlogdisk execute restore execute backup execute batch execute usb-disk system arp-table system dhcp system interface system zone execute dhcp lease-clear execute dhcp lease-list execute clear system arp table execute interface router execute router execute mrouter

159 システム管理者 アクセスプロファイル 表 30: CLI コマンドへのアクセスプロファイル制御 スパムフィルタ設定 (spamgrp) spamfilter システム設定 (sysgrp) accprofile admin arp-table autoupdate fortianalyzer interface および zone を除く system execute date execute ha execute ping execute ping-options execute ping6 execute time execute traceroute execute cfg execute factoryreset execute reboot execute shutdown execute deploy execute set-next-reboot execute ssh execute telnet execute disconnect-admin-session execute usb VPN 設定 (vpngrp) vpn execute vpn Web フィルタ設定 (webgrp) webfilter FortiGate 管理者のアクセスプロファイルを追加するには [System] [Admin] [Access Profile] の順に選択します 管理者アカウントはそれぞれ 1 つのアクセスプロファイルに属します アクセスプロファイルは FortiGate の各設定へのアクセスを拒否するもの 読み取りのみ許可するもの そして読み取りと書き込みの両方を許可するものを作成できます 機能へのアクセスが読み取り専用の場合 管理者は Web ベースマネージャのその機能のページにアクセスできますが 設定を変更することはできません リストには [Create] や [Apply] のボタン および編集 削除 その他の変更コマンドのアイコンはなく 表示アイコン ( ) のみが表示されます アクセスプロファイルリストの表示 アクセスプロファイルを作成または編集するには admin アカウント または管理ユーザの読み取りおよび書き込みアクセスが許可されたアカウントを使用します [System] [Admin] [Access Profile] の順に選択します 図 78: アクセスプロファイルリスト [Create New] [Profile Name] 新しいアクセスプロファイルを追加します アクセスプロファイルの名前

160 アクセスプロファイル システム管理者 削除アイコン 編集アイコン アクセスプロファイルを削除する場合に選択します 管理者が割り当てられているアクセスプロファイルは削除できません アクセスプロファイルを変更する場合に選択します アクセスプロファイルの設定 アクセスプロファイルを編集するには admin アカウント または管理ユーザの読み取りおよび書き込みアクセスが許可されたアカウントを使用します [System] [Admin] [Access Profile] の順に選択し [Create New] を選択します 図 79: アクセスプロファイルオプション [Profile Name] [Access Control] [None] [Read Only] [Read Write] [Access Control] カテゴリ アクセスプロファイルの名前を入力します アクセスプロファイルによってアクセス制御されるアイテムを一覧表示します すべてのアクセス制御カテゴリへのアクセスを無効にするには [None] を選択します すべてのアクセス制御カテゴリに読み取りアクセスを選択するには [Read Only] を選択します すべてのアクセス制御カテゴリに読み取りおよび書き込みのアクセスを選択するには [Read Write] を選択します 必要に応じて [Access Control] のカテゴリに読み取りまたは読み取り / 書き込み あるいはその両方を選択します アクセス制御カテゴリについては 157 ページの アクセスプロファイル を参照してください

161 システム管理者 FortiManager FortiManager FortiManager サーバを介して FortiGate ユニットを管理するよう設定するには [System] [Admin] [FortiManager] の順に選択します FortiGate ユニットと FortiManager サーバとの間の通信は FortiGate ユニットに事前に設定されている IPSec VPN 経由で行われます 図 80: FortiManager の設定 FortiManager 設定 [Enable] [ID] [IP] FortiGate ユニットと FortiManager サーバとの間のセキュアな IPSec VPN 通信を有効にします これを行わないと 通信の安全は保証されません FortiManager サーバのシリアル番号を入力します FortiManager サーバの IP アドレスを入力します

162 設定 システム管理者 設定 次のオプションを設定するには [System] [Admin] [Settings] の順に選択します HTTP および HTTPS 管理アクセス用のポート アイドルタイムアウトの設定 Web ベースマネージャの言語 LCD および制御ボタンの PIN 保護 (LCD 装備モデルのみ ) 図 81: 管理者設定 [Web Administration Ports] [HTTP] [HTTPS] [Telnet Port] [SSH Port] [Enable v1 compatibility] [Timeout Settings] [Idle Timeout] [Language] 管理 HTTP アクセスで使用する TCP ポートを入力します デフォルトは 80 です 管理 HTTPS アクセスで使用する TCP ポートを入力します デフォルトは 443 です 管理アクセスで使用する telnet ポートを入力します デフォルトは 23 です 管理アクセスで使用する SSH ポートを入力します デフォルトは 22 です SSH v2 に加え v1 との互換性を有効にする場合に選択します ( オプション ) 再ログインが必要となるまで管理接続をアイドル状態にしておける時間を分単位で入力します 最大値は 480 分 (8 時間 ) です セキュリティを強化するために アイドルタイムアウトをデフォルトの 5 分のままにしてください

163 システム管理者 管理者の監視 [Web Administration] 使用する Web ベースマネージャの言語を選択します 英語 日本語 簡体字中国語 繁体字中国語 韓国語 またはフランス語から選択します 注記 : 管理コンピュータのオペレーティングシステムで使用されている言語を選択する必要があります [LCD Panel] (LCD 装備モデルのみ ) [Enable SCP] [PIN Protection] [PIN Protection] チェックボックスをオンにし 6 桁の PIN を入力します 制御ボタンおよび LCD を使用するためには PIN を入力する必要があります これを有効にすると SSH を介してログインしたユーザが SCP を使用して設定ファイルをコピーできるようになります 管理者の監視 ログインしている管理者の人数を調べるには [System] [Status] の順に選択します [System Information] に現在の管理者が表示されます FortiGate ユニットに現在ログインしている管理者に関する情報を表示するには [Details] をクリックします 図 82: [System Information] > [Current Administrators] 図 83: 監視ウィンドウに表示されたログインした管理者 [Disconnect] 特定の管理者を切断する場合に選択します これは アクセスプロファイルでシステム設定の書き込み許可が与えられている場合のみ 使用できます [Refresh] リストを更新する場合に選択します [Close] ウィンドウを閉じる場合に選択します チェックボックス管理者をログオフさせる場合 このチェックボックスをオンにしてから [Disconnect] を選択します これは アクセスプロファイルでシステム設定の書き込みアクセスが与えられている場合のみ 使用できます 注記 : デフォルトの "admin" ユーザをログオフさせることはできません

164 管理者の監視 システム管理者 [User Name] 管理者アカウントの名前 [Type] アクセスのタイプで WEB またはCLI [From] タイプが WEB の場合 [From] の値は管理者の IP アドレスです タイプが CLI の場合 [From] の値は "ssh" または "telnet" で 管理者 の IP アドレスか "console" のいずれかです [Time] 管理者がログインした日時

165 システム - メンテナンス バックアップおよび復元 システム - メンテナンス この項では システム設定をバックアップおよび復元する方法 また FortiGuard Distribution Network からの自動更新を設定する方法について説明します この項には 以下のトピックが含まれています バックアップおよび復元 FortiGuard Center ライセンス バックアップおよび復元 システム設定のバックアップや復元を行ったり ファームウェアを管理したりするには [System] [Maintenance] [Backup & Restore] の順に選択します Web コンテンツファイルやスパムフィルタリングファイルなどのシステムの設定は 管理コンピュータか USB ディスクをサポートするモデルの USB ディスクにバックアップできます また 以前ダウンロードしたバックアップファイルからシステム設定を復元することも可能です バックアップファイルにVPN 証明書を含める場合は そのバックアップファイルの暗号化を有効にする必要があります バーチャルドメイン設定が有効になっている場合 バックアップファイルの内容は そのファイルを作成した管理者アカウントによって異なります スーパー管理者アカウントによるシステム設定のバックアップには グローバル設定と各 VDOM の設定が含まれます このファイルから設定を復元できるのは スーパー管理者のみです 標準管理者アカウントでシステム設定をバックアップすると バックアップファイルには グローバル設定と標準管理者が属する VDOM の設定が含まれます このファイルから設定を復元できるのは 標準管理者アカウントのみです 注記 : FortiGate のモデル番号が 100 未満の場合 [Maintenance] 画面の [Firmware] のセクションは表示されません この場合 ファームウェアのバージョンは [System] [Status] の順に選択し [Update for Firmware Version] を選択することにより 変更できます FortiGate の一部のモデルでは ユーザがダウンロードできる FortiClient イメージを保存することにより FortiClient がサポートされます バックアップと復元の [FortiClient] セクションは 使用する FortiGate モデルで FortiClient がサポートされる場合のみ使用できます

166 バックアップおよび復元 システム - メンテナンス 図 84: バックアップおよび復元のオプション 図 85: [Backup] および [Restore] [Last Backup] [Backup] [Backup configuration to:] 前回のローカル PC へのバックアップの日時 USB へバックアップした場合 バックアップの時間は保存されません 現在の設定をバックアップします 設定ファイルを保存するためのローカル PC または USB ディスクを選択します USBディスクは ディスクが FortiGate ユニットに接続されている場合に限り 選択できます

167 システム - メンテナンス バックアップおよび復元 [Restore] 図 86: [Filename] [Encrypt configuration file] [Backup] [Firmware] USB ディスクを選択した場合は バックアップファイルの名前を入力します バックアップファイルを暗号化する場合に選択します [Password] フィールドにパスワードを入力し [Confirm] フィールドに再度入力します ファイルを復元するには このパスワードが必要になります VPN 証明書をバックアップするには バックアップファイルで暗号化が有効になっている必要があります 設定をバックアップします ファイルから設定を復元します [Restore 設定ファイルの場所として ローカル PC または USB configuration from:] ディスクを選択します USBディスクは ディスクが FortiGate ユニットに接続されている場合に限り 選択できます [Filename] USB ディスクから設定を復元する場合は リストから設定ファイルの名前を選択します 管理コンピュータ上のファイルから設定を復元する場合は 設定ファイルの名前を入力するか または [Browse] ボタンを使用します [Password] バックアップファイルが暗号化されている場合は パスワードを入力します [Restore] 選択したファイルから設定を復元します [Partition] [Active] [Last Upgrade] [Firmware Version] [Boot alternate firmware] パーティションに含められるのは 1 つのバージョンのファームウェアとシステム設定のみです モデル番号が 100 以上の FortiGate には パーティションが 2 つあります 一方のパーティションがアクティブ もう一方がバックアップとなります 現在使用中のファームウェアと設定が含まれているパーティションが 緑色のチェックマークで示されます このパーティションの前回の更新日時 FortiGate ファームウェアのバージョンおよびビルド番号 バックアップパーティションでは 次の操作が行えます [Upload] を選択して 管理コンピュータまたは USB ディスクからファームウェアを置き換える [Upload and Reboot] を選択して ファームウェアを置き換え これをアクティブなパーティションとする バックアップファームウェアを使用して FortiGate ユニットを再起動します これが使用できるのは モデル番号が 100 以上の FortiGate のみです 図 87: [FortiClient]

168 バックアップおよび復元 システム - メンテナンス [Software Image] [Antivirus Database] [Antivirus Engine] [Web Portal Port] この FortiGate ユニットの現在の FortiClient イメージです 管理コンピュータから新しい FortiClient イメージをアップロードするには [Upload] を選択します この FortiGate ユニットの FortiGuard アンチウイルスデータベースの現在のバージョンです 詳細については 170 ページの FortiGate ユニットの FDN および FortiGuard サービスの設定 を参照してください この FortiGate ユニットの FortiGuard アンチウイルスエンジンの現在のバージョンです 詳細については 170 ページの FortiGate ユニットの FDN および FortiGuard サービスの設定 を参照してください ファイアウォールポリシーの FortiClient チェックオプションによってユーザのアクセスが拒否された場合 そのユーザがリダイレクトされる Web ポータルのポートを選択します ポート番号の変更後 [Save] を選択して変更を有効にします デフォルトのポート番号は 8009 です 番号が競合する場合のみ ポート番号を変更してください 図 88: [Advanced] [Advanced (USB Auto-Install)] [On system restart, automatically update FortiGate configuration] [On system restart, automatically update FortiGate firmware] [Import Bulk CLI Commands] [Download Debug Log] このセクションは USB ディスクが FortiGate ユニットに接続されている場合のみ利用できます 必要に応じてオプションを選択し FortiGate ユニットを再起動します 設定とファームウェアの更新を両方とも選択した場合は 1 度の再起動で両方が適用されます FortiGate ユニットでは すでにロード済みのファームウェアまたは設定ファイルは再ロードされません 再起動時 設定を自動的に更新します [Default configuration file name] が USB ディスク上の設定ファイル名と一致することを確認してください 再起動時 ファームウェアを自動的に更新します [Default image name] が USB ディスク上のファームウェアファイル名と一致することを確認してください 管理コンピュータ上のテキストファイルから FortiGate ユニットに URL フィルタおよびスパムフィルタの定義をインポートします ファイル名とパスを入力するか [Browse] ボタンを使用してファイルを選択します テキストファイルは FortiGate 設定のバックアップファイルの適切なセクションを引用するか または適切なCLIコマンドを入力して作成できます 暗号化されたデバッグログをファイルにダウンロードします このデバッグログをフォーティネットテクニカルサポートに送信することで FortiGate ユニットの問題の診断に役立てることができます

169 システム - メンテナンス FortiGuard Center FortiGuard Center FortiGuard Center は FortiGuard Distribution Network (FDN) および FortiGuard サービス用に FortiGate ユニットを設定します FDN は アンチウイルスと攻撃の定義の更新を提供します FortiGuard サービスは IP アドレスブラックリスト URL ブラックリスト その他のスパムフィルタリングツールをオンラインで提供します FortiGuard Distribution Network FortiGuard サービス FortiGuard Distribution Network (FDN) は 世界規模の FortiGuard Distribution Server (FDS) ネットワークです FDN は アンチウイルス ( グレーウェアを含む ) と IPS 攻撃の定義の更新を提供します FDN に接続する際 FortiGate ユニットは現在のタイムゾーン設定に基づいて 最も近い FDS に接続します FortiGate ユニットは 次の更新機能をサポートします FDN からユーザが実行する更新 1 時間 1 日 または 1 週間ごとの FDN からのアンチウイルスおよび攻撃の定義の定期更新 FDN からのプッシュ更新 バージョン番号 有効期限 および更新日時を含む 更新ステータス NAT デバイスを介したプッシュ更新 フォーティネットのサポート Web ページに FortiGate ユニットを登録する必要があります FortiGate ユニットを登録するには Product Registration にアクセスしてその指示に従います 定期更新を受信するには FortiGate ユニットはポート 443 で HTTPS を使用して FDN に接続できる必要があります 定期更新の設定については 176 ページの 定期更新を有効にするには を参照してください また プッシュ更新を受信するように FortiGate ユニットを設定することも可能です これを正しく行うためには FDN が UDP ポート 9443 を使用してパケットを FortiGate ユニットに転送できる必要があります プッシュ更新の設定については 177 ページの プッシュ更新を有効にするには を参照してください 世界を網羅する FortiGuard サービスは FortiGuard サービスポイントで提供されます FDN に接続する際 FortiGate ユニットは最も近い FortiGuard サービスポイントに接続します フォーティネットは必要に応じて新しいサービスポイントを追加します FortiGate ユニットは デフォルトで最も近いサービスポイントと通信を行います 何らかの理由でそのサービスポイントに接続できなくなった場合 FortiGate ユニットは別のサービスポイントと通信を行い 情報が数秒以内に入手可能となります FortiGate ユニットは デフォルトで UDP を介してポート 53 でサービスポイントと通信を行います あるいは [System] [Maintenance] [FortiGuard Center] の順に選択して サービスポイントとの通信で使用する UDP ポートをポート 8888 に切り替えることもできます デフォルトの FortiGuard サービスポイントのホスト名を変更する必要がある場合 CLI コマンド system fortiguard でキーワード hostname を使用します Web ベースマネージャを使用して FortiGuard サービスポイント名を変更することはできません FortiGuard サービスについては FortiGuard Center の Web ページを参照してください

170 FortiGuard Center システム - メンテナンス FortiGuard-Antispam サービス フォーティネットのアンチスパムシステムである FortiGuard-Antispam には IP アドレスブラックリスト URL ブラックリスト およびスパムフィルタリングツールが包含されています IP アドレスブラックリストには スパムの生成に使用されている既知の電子メールサーバの IP アドレスが含まれています URL ブラックリストには スパムメールで発見された Web サイトの URL が含まれています FortiGuard-Antispam の処理は フォーティネットによって完全に自動化され 設定されています 常時監視と動的更新により FortiGuard-Antispam は常に最新の状態に保たれています ファイアウォールプロテクションプロファイル内で FortiGuard-Antispam を有効または無効にします 詳細については 294 ページの スパムフィルタリングオプション を参照してください FortiGate ユニットにはすべて 30 日間の FortiGuard-Antispam トライアルライセンスが付属しています FortiGuard-Antispam のライセンス管理はフォーティネットサービスによって行われるため ライセンス番号を入力する必要はありません FortiGuard-Antispam を有効にすると FortiGate ユニットは自動的に FortiGuard-Antispam サービスポイントと通信を行います 無償トライアルの後 FortiGuard-Antispam のライセンスを更新するには フォーティネットテクニカルサポートに連絡してください [System] [Maintenance] [FortiGuard Center] の順に選択して FortiGuard- Antispam をグローバルで有効にした後 それぞれのファイアウォールプロテクションプロファイルでスパムフィルタリングの設定を行います 294 ページの スパムフィルタリングオプション を参照してください FortiGuard-Web サービス FortiGuard-Web は Fortinet が提供している 管理された Web フィルタリングソリューションです FortiGuard-Web は 数億の Web ページを ユーザが許可 ブロック または監視できる広範囲なカテゴリに並べ替えています FortiGate ユニットは 最も近い FortiGuard-Web Service Point にアクセスして 要求されたWebページのカテゴリを決定した後 そのユーザまたはインタフェースに対して設定されたファイアウォールポリシーに従います FortiGate ユニットにはすべて 30 日間の FortiGuard-Web フィルタトライアルライセンスが付属しています FortiGuard のライセンス管理は フォーティネットサーバが行います ライセンス番号を入力する必要はありません FortiGuard カテゴリブロックを有効にすると FortiGate ユニットは自動的に FortiGuard サービスポイントと通信を行います 無償トライアルの後 FortiGuard のライセンスを更新するには フォーティネットテクニカルサポートに連絡してください [System] [Maintenance] [FortiGuard Center] の順に選択して FortiGuard-Web をグローバルで有効にした後 それぞれのファイアウォールプロテクションプロファイルで FortiGuard Web フィルタリングの設定を行います 292 ページの FortiGuard-Web フィルタリングオプション を参照してください FortiGate ユニットの FDN および FortiGuard サービスの設定 Update Center ページにおける FDN 更新および FortiGuard サービスへのアクセスを設定するには [System] [Maintenance] [FortiGuard Center] の順に選択します Update Center には次の 3 つのセクションがあります サポート契約および FortiGuard サブスクリプションサービス アンチウイルスおよび IPS のダウンロード Web フィルタリングおよびアンチスパムオプション

171 システム - メンテナンス FortiGuard Center サポート契約および FortiGuard サブスクリプションサービス サポート契約および FortiGuard サブスクリプションサービスのセクションは システムステータスのページに短縮形式で表示されます 41 ページの システムステータスの表示 を参照してください 図 89: サポート契約および FortiGuard サブスクリプションサービスのセクション [Support Contract] FortiGate ユニットのサポート契約の有効性またはステータス 表示されるステータスは "Unreachable" ( 到達不能 ) "Not Registered" ( 未登録 ) または "Valid Contract" ( 有効な契約 ) のいずれかです [Register] FortiGuard サブスクリプションサービス [Availability] "Valid Contract" と表示されている場合 FortiOS のバージョン 契約の有効期限 サポートレベルも表示されます FortiGate ユニットのサポート契約を登録する場合に選択します これは サポート契約が未登録の場合のみ表示されます 次のような 各 FortiGuard サブスクリプションサービスの有効性とステータスの情報 アンチウイルス AV 定義 侵入防御 IPS 定義 Web フィルタリング アンチスパム この FortiGate ユニットにおけるサービスの有効性 サービスのサブスクリプションによって異なります 表示されるステータスは "Unreachable" ( 到達不能 ) "Not Registered" ( 未登録 ) または "Valid Contract" ( 有効な契約 ) のいずれかです [Availability] が "Not Registered" の場合 [Subscribe] のオプションが表示されます [Availability] が "Expired" の場合 [Renew] のオプションが表示されます

172 FortiGuard Center システム - メンテナンス ステータスアイコン [Version] (Last update date and method) [Update] (Date) [AntiVirus and IPS Downloads] [Web Filtering and AntiSpam Options] [Log & Analysis Options] [IPS Options] 表示されたアイコンは サブスクリプションサービスのステータスを表します アイコンは 有効性の記述に対応します グレー 到達不能 FortiGate ユニットはサービスに接続できません 黄色 未登録 FortiGate ユニットは接続できますが このサービスにサポート登録されていません 黄色 期限切れ FortiGate ユニットには期限切れとなったライセンスがあります 緑色 有効なライセンス FortiGate ユニットは FDN に接続でき サポート契約に登録されています ステータスアイコンが緑色の場合は 有効期限が表示されます FortiGate ユニットに現在インストールされている このサービスの定義ファイルのバージョン番号 前回の更新日と このサービスの最新定義のダウンロードに使用された方法 FortiGate ユニットでこのサービスを手動で更新する場合に選択します これを実行すると ローカルコンピュータから更新ファイルをダウンロードするよう指示されます FDN から更新を直接ダウンロードするには [Update Now] のコントロールを使用します FortiGate ユニットのこのサービスの更新が最後に確認されたローカルシステムの日付 このセクションの表示 非表示を切り替えるには 青い矢印を選択します 172 ページの アンチウイルスおよび IPS のダウンロード を参照してください このセクションの表示 非表示を切り替えるには 青い矢印を選択します 173 ページの Web フィルタリングおよびアンチスパムオプション を参照してください このセクションの表示 非表示を切り替えるには 青い矢印を選択します 174 ページの ログおよび分析オプション を参照してください FortiGuard の FortiAnalyzer ユニットに接続されていない場合 このセクションは空白となります このセクションの表示 非表示を切り替えるには 青い矢印を選択します IPS シグネチャの品質向上を目的に FNS に攻撃の詳細を送信する場合に選択します フォーティネットは この機能を有効にすることをお勧めします アンチウイルスおよび IPS のダウンロード このセクションにアクセスするには [AntiVirus and IPS Downloads] の隣にある青色の矢印を選択します 図 90: [AntiVirus and IPS Downloads] セクション

173 システム - メンテナンス FortiGuard Center [Use override server address] [Allow Push Update] プッシュ更新ステータスアイコン [Use override push] [IP] [port] [Scheduled Update] [Every] [Daily] [Weekly] [Update Now] FDN に接続できない場合 または自社の FortiGuard サーバを使用して 社内で更新を提供する場合に オーバーライドサーバを設定するのに選択します 選択する際は FortiGuard サーバの IP アドレスまたはドメイン名を入力し [Apply] を選択します FDN ステータスに FDN への接続が表示されない場合は 175 ページの FDN 接続性のトラブルシューティング を参照してください プッシュ更新を行う場合に選択します プッシュ更新ステータスアイコンにより プッシュ更新サービスのステータスが示されます FortiGate ユニットにおけるプッシュ更新の受信状況のステータス グレー 到達不能 FortiGate ユニットはプッシュ更新サービスに接続できません 黄色 利用不可 現在のサポートライセンスではプッシュ更新サービスを利用できません 緑色 利用可能 プッシュ更新サービスを利用できます 177 ページの プッシュ更新を有効にするには を参照してください アイコンがグレーまたは黄色のいずれかの場合は 175 ページの FDN 接続性のトラブルシューティング を参照してください プッシュ更新サービスへの接続で使用するカスタム IP アドレスおよびポートを有効にする場合に選択します [Allow Push Update] がオンの場合のみ 利用できます FDN プッシュサーバに接続するための新しい IP アドレスを入力します [Allow Push Update] と [Use override push] がオンの場合のみ 利用できます FDN プッシュサーバに接続するための新しいポートを選択します [Use override push] と IP アドレスが設定されている場合のみ 利用できます このチェックボックスは 定期更新を可能にする場合にオンにします 1 ~ 23 時間ごとに 1 回更新を試みます 更新リクエストの間隔を時間数で選択します 1 日に 1 回更新を試みます 更新をチェックする時間を指定できます 選択された時間内でタイミングがランダムで決定され 更新が試行されます 1 週間に 1 回更新を試みます 更新をチェックする曜日と時間を指定できます 選択された時間内でタイミングがランダムで決定され 更新が試行されます 手動で FDN 更新を開始するには [Update Now] を選択します Web フィルタリングおよびアンチスパムオプション このセクションにアクセスするには [Web Filtering and AntiSpam Options] の隣にある青色の矢印を選択します

174 FortiGuard Center システム - メンテナンス 図 91: [Web Filtering and AntiSpam Options] セクション [Enable Web Filter] [Enable Cache] [TTL] [Enable Anti Spam] [Enable cache] [TTL] [Use Default Port (53)] [Use Alternate Port (8888)] [Test Availability] [please click here] FortiGuard Web フィルタサービスを有効にする場合に選択します FortiGuard サービス情報のキャッシュを有効にする場合に選択します これにより FortiGuard サーバへの FortiGate ユニットのリクエストが減少し パフォーマンスが向上します キャッシュでは FortiGate のメモリの 6% が使用されます キャッシュに空きがなくなると IP アドレスまたは URL が 使用されていない期間の最も長いものから削除されます [Enable Web Filter] がオンの場合のみ利用できます 有効期間 (Time to Live) 再びサーバと通信するまでに ブロックされた IP アドレスおよび URL をキャッシュに保存しておく秒数 [Enable Web Filter] と [Enable Cache] が両方ともオンの場合のみ 利用できます FortiGuard アンチスパムサービスを有効にする場合に選択します FortiGuard サービス情報のキャッシュを有効にする場合に選択します これにより FortiGuard サーバへの FortiGate ユニットのリクエストが減少し パフォーマンスが向上します キャッシュでは FortiGate のメモリの 6% が使用されます キャッシュに空きがなくなると IP アドレスまたは URL が 使用されていない期間の最も長いものから削除されます [Enable Anti Spam] がオンの場合のみ利用できます TTL (Time to Live) 再びサーバと通信するまでに ブロックされた IP アドレスおよび URL をキャッシュに保存しておく秒数 FortiGuard アンチスパムサーバとの通信でポート 53 を使用する場合に選択します FortiGuard アンチスパムサーバとの通信でポート 8888 を使用する場合に選択します FortiGuard アンチスパムサーバへの接続をテストする場合に選択します 結果は ボタンの下とステータスインジケータに表示されます FortiGurad Web フィルタサービスの URL カテゴリのレーティングを再評価する場合に選択します ログおよび分析オプション このセクションでは FortiGuard ログおよび分析サーバの設定オプションが表示されます このセクションにアクセスするには [Log & Analysis Options] の隣にある青色の矢印を選択します

175 システム - メンテナンス FortiGuard Center 図 92: FDN ログおよび分析オプション このセクションでは 設定を行ったりログを消去したりできる 438 ページの FortiGuardログおよび分析サーバへのロギング へのリンクが用意されています ログを消去する頻度を設定するには 消去するまでログを保存する期間を月数で選択します FDN 接続性のトラブルシューティング FortiGate ユニットが FDN に接続できない場合 設定を確認します たとえば FortiGate ルーティングテーブルにルートを追加したり FortiGate ユニットがインターネットへ接続する際にポート 443 で HTTPS を使用できるようにネットワークを設定したりする必要がある場合があります 更新を受信するために FortiGuard のオーバーライドサーバに接続しなければならない場合があります 176 ページの オーバーライドサーバを追加するには を参照してください これができない場合は 設定をチェックし FortiGate ユニットから FortiGuard オーバーライドサーバに接続できることを確認します 次のような場合 プッシュ更新が使用できないことがあります FortiGate ユニットを登録していない (FortiGate ユニットを登録するには 製品登録のページにアクセスして 指示に従ってください ) FortiGate ユニットと FDN との間に NAT デバイスが設置されている (178 ページの NAT デバイスを介したプッシュ更新の有効化 参照 ) FortiGate ユニットがプロキシサーバを使用してインターネットに接続している (177 ページの プロキシサーバを介した定期更新を有効にするには 参照 ) アンチウイルスおよび攻撃の定義の更新 FortiGuard Distribution Network (FDN) に接続してアンチウイルス ( グレーウェアを含む ) の定義および攻撃の定義を更新するよう FortiGate ユニットを設定するには 下記の手順を実行します FortiGate ユニットが FDN に接続できることを確認するには 1 [System] [Status] の順に選択し [System Information] セクションの [Change on System Time line] をオンにします 2 タイムゾーンが FortiGate ユニットが設置されている地域に正しく設定されていることを確認します 3 [System] [Maintenance] [FortiGuard Center] の順に選択します 4 [Refresh] を選択します FortiGate ユニットが FDN への接続テストを実施します テストの結果は システム更新のページの最上部に表示されます アンチウイルスおよび攻撃の定義を更新するには 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Update Now] を選択して アンチウイルスと攻撃の定義を更新します FDN またはオーバーライドサーバへの接続に成功すると Web ベースマネージャに 次のようなメッセージが表示されます

176 FortiGuard Center システム - メンテナンス Your update request has been sent.your database will be updated in a few minutes.please check your update page for the status of the update. 数分後 更新が利用可能になると アンチウイルスと攻撃の定義の新たなバージョンの情報がシステム更新センターのページに表示されます また システムステータスのページにも アンチウイルス 攻撃 そして IPS の定義の新しい日付とバージョン番号が表示されます メッセージはイベントログに記録され 更新の成否が示されます 注記 : アンチウイルスおよび攻撃の定義を更新すると FortiGate ユニットが新しいシグネチャのデータベースを適用している間 現在スキャンされているトラフィックにごく短時間 中断が生じる恐れがあります この可能性を最低限に止めるには トラフィックの少ない時間帯に更新を予定してください 定期更新を有効にするには 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Scheduled Update] チェックボックスをオンにします 3 次のいずれか 1 つをオンにして 更新をダウンロードします [Every] [Daily] [Weekly] 1 ~ 23 時間ごとに 1 回 更新リクエストの間隔を時数と分数で選択します 1 日に 1 回 更新をチェックする時間を指定できます 1 週に 1 回 更新をチェックする曜日と時間を指定できます 4 [Apply] を選択します FortiGate ユニットが 新しい更新スケジュールに従って次回の定期更新を実行します FortiGate ユニットが定期更新を実行するたびに そのイベントが FortiGate のイベントログに記録されます オーバーライドサーバを追加するには FDN に接続できない場合 または自社の FortiGuard サーバを使用して 社内で更新が提供されている場合は 次の手順を使用して FortiGuard オーバーライドサーバの IP アドレスを追加できます 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Use override server address] チェックボックスをオンにします 3 FortiGuard サーバの完全な正規ドメイン名または IP アドレスを入力します 4 [Apply] を選択します FortiGate ユニットが オーバーライドサーバへの接続テストを実施します FortiGuard Distribution Network の有効性のアイコンがグレーから変われば FortiGate ユニットはオーバーライドサーバに支障なく接続しています FortiGuard Distribution Network の有効性のアイコンがグレーから変わらなければ FortiGate ユニットはオーバーライドサーバに接続できません FortiGateFortiGuard オーバーライドサーバへの接続を阻むような設定について FortiGateの設定をおよびネットワークの設定をチェックしてください

177 システム - メンテナンス FortiGuard Center プッシュ更新の有効化 プロキシサーバを介した定期更新を有効にするには FortiGate ユニットによるインターネットへの接続がプロキシサーバを経由して行う必要がある場合 config system autoupdate tunneling コマンドを用いて FortiGate ユニットがプロキシサーバを経由して FDN に接続 ( またはトンネル ) するように設定できます 詳細については FortiGate CLI リファレンスを参照してください FDN では 危機的状況に可能な限り迅速に対応できるよう FortiGate ユニットに対してプッシュ更新を行うことができます プッシュ更新を受信できるようにするには まず FortiGate ユニットを登録する必要があります FortiGate ユニットを登録するには 製品登録のページを開き 指示に従ってください プッシュ更新を行えるように FortiGate ユニットを設定すると その FortiGate ユニットから FDN に SETUP メッセージが送信されます 次回アンチウイルス定義または攻撃の定義が公開されると プッシュ更新の設定が行われたすべての FortiGate ユニットに対し 新たな更新が利用可能となったことが FDN から通知されます FortiGate ユニットは プッシュ通知を受信してから 60 秒以内に FDN からの更新をリクエストします 注記 : FortiGate ユニットがプロキシサーバを使用して FDN に接続する必要がある場合 プッシュ更新はサポートされません 詳細については 177 ページの プロキシサーバを介した定期更新を有効にするには を参照してください ネットワークの設定で可能ならば 定期更新の設定に加え プッシュ更新を設定しておくことをお勧めます 定期更新だけを受信するよりも プッシュ更新を使用した方が FortiGate ユニットが新しい更新を受信するタイミングが早くなります ただし FortiGate ユニットが最新の更新を受信していることは 定期更新によって保証されます 更新を取得する唯一の方法としてプッシュ更新を有効にすることは推奨されません FortiGate ユニットでプッシュ通知が受信されない場合があります また プッシュ通知を受信した際 FDN に接続して更新をダウンロードしようとする FortiGate ユニットの試みは 1 回に限られます プッシュ更新を有効にするには 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Allow Push Update] を選択します 3 [Apply] を選択します FortiGate の IP アドレスが変更された場合のプッシュ更新 プッシュ更新を有効にした際に FortiGate ユニットから送信される SETUP メッセージには FDN が接続する FortiGate のインタフェースの IP アドレスが含まれます プッシュ更新で使用されるインタフェースは スタティックルーティングテーブルのデフォルトルートで設定されたインタフェースです インタフェースの IP アドレスを手動で変更した場合 または インタフェースのアドレシングモードを DHCP または PPPoE に変更し DHCP または PPPoE サーバで IP アドレスが変更された場合 FortiGate ユニットは SETUP メッセージを送信します FDN は プッシュ更新メッセージを受信できるよう FortiGate ユニットのこの IP アドレスに接続できなければなりません FortiGate ユニットが NAT デバイス

178 FortiGuard Center システム - メンテナンス の背後にある場合は 178 ページの NAT デバイスを介したプッシュ更新の有効化 を参照してください また インターネットへの冗長経路がある場合 一方のインターネット接続がダウンすると FortiGate ユニットは SETUP メッセージを送信して もう一方のインターネット接続にフェールオーバします トランスペアレントモードでは 管理 IP アドレスが変更された場合 FortiGate ユニットは SETUP メッセージを送信して FDN にアドレスの変更を通知します NAT デバイスを介したプッシュ更新の有効化 FDN が NAT デバイスを介してのみ FortiGate ユニットに接続可能である場合 NAT デバイスのポートフォワーディングを設定し プッシュ更新の設定にポートフォワーディング情報を追加する必要があります ポートフォワーディングを使用すると FDN はポート 9443 または指定したオーバーライドプッシュポートのいずれかを使用して FortiGate ユニットに接続します 注記 : NAT デバイスの外部 IP アドレスが動的な場合 ( たとえば PPPoE または DHCP を使用して設定した場合 ) NAT デバイスを介してプッシュ更新を受信することはできません 図 93: ネットワーク例 :NAT デバイスを介したプッシュ更新 FDN Server Internet NAT Device Push Updates Internal Network 基本手順内部ネットワーク上の FortiGate ユニットがプッシュ更新を受信できるように 内部ネットワークの FortiGate ユニットおよび NAT デバイスを設定するには 次の手順を実行します 1 プッシュ更新を受信できるように 内部ネットワーク上の FortiGate ユニットを登録し 使用を許可します

179 システム - メンテナンス FortiGuard Center 2 内部ネットワーク上の FortiGate ユニットの FortiGuard Center を設定します プッシュ更新を可能にする オーバーライドプッシュ更新の IP を追加する 通常 これは NAT デバイスの外部インタフェースの IP アドレスです 必要に応じて オーバーライドプッシュ更新ポートを変更する 3 NAT デバイスにポートフォワーディング仮想 IP を追加します オーバーライドプッシュ更新 IP と一致するように 仮想 IP の外部 IP アドレスを設定します 通常 これはNATデバイスの外部インタフェースのIPアドレスです 4 ポートフォワーディング仮想 IP を含むFortiGateのNAT デバイスに ファイアウォールのポリシーを追加します 内部ネットワーク上の FortiGate ユニットの FortiGuard Center を設定するには 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Allow Push Update] を選択します 3 [Use override push IP] を選択し NAT デバイスの外部インタフェースの IP アドレスを入力します 4 UDP ポート 9443 がブロックされているか あるいはネットワークの他のサービスで使用されていない限り プッシュ更新のポートは変更しないでください 5 [Apply] を選択します FortiGate ユニットは FDN にオーバーライドプッシュ IP アドレスおよびポートを送信します これでFDNは 内部ネットワーク上のFortiGateユニットへのプッシュ更新に この IP アドレスとポートを使用します 仮想 IP を NAT デバイスに追加して プッシュ更新パケットがNAT デバイスによって受信され 内部ネットワーク上の FortiGate ユニットに転送されるようにするまで プッシュ更新は実際には動作しません 注記 : 外部 IP アドレスまたは外部サービスポートが変わった場合 [Use override push configuration] にその変更を追加し [Apply] を選択して FDN のプッシュ情報を更新してください FortiGate の NAT デバイスにポートフォワーディング仮想 IP を追加するにはポートフォワーディングを使用して FDN から内部ネットワーク上の FortiGate ユニットにプッシュ更新接続が転送されるように NAT デバイスを設定します 1 [Firewall] [Virtual IP] の順に選択して [Create New] を選択します 2 プッシュ更新の UDP ポートを使用して NAT デバイスの外部インタフェースを内部ネットワーク上の FortiGate ユニットの IP アドレスにマップする ポートフォワーディング仮想 IP を追加します [Name] 仮想 IP の名前を追加します [External インターネットに接続する NATデバイスのインタフェース Interface] [Type] スタティック NAT [External IP Address/Range] プッシュ更新を内部ネットワーク上の FortiGate ユニットに送信するために FDN が接続する IP アドレス これは 通常 NAT デバイスの外部インタフェースの IP アドレスです この IP アドレスは 内部ネットワーク上の FortiGate ユニットの FortiGuard Center のプッシュ更新オーバーライド IP と同一でなければなりません

180 ライセンス システム - メンテナンス [Mapped IP 内部ネットワーク上の FortiGate ユニットの IP アドレス Address/Range] [Port Forwarding] ポートフォワーディングを選択します [Protocol] UDP [External Service Port] [Map to Port] 3 [OK] を選択します FDN が接続する外部サービスポート プッシュ更新の外部サービスポートは 通常 9443 です 内部ネットワーク上の FortiGate ユニットの FortiGuard Center の設定でプッシュ更新ポートを変更した場合は 外部サービスポートを変更されたプッシュ更新ポートに設定しなければなりません ポートへのマップは 外部サービスポートと同一でなければなりません FortiGate の NAT デバイスにファイアウォールポリシーを追加するには 1 外部から内部への新たなファイアウォールポリシーを追加します 2 次の設定でポリシーを構成します 3 [OK] を選択します 内部ネットワーク上の FortiGate ユニットへのプッシュ更新が動作していることを確認するには 1 [System] [Maintenance] [FortiGuard Center] の順に選択します 2 [Refresh] を選択します [Push Update] のインジケータが緑色に変わります ライセンス FortiGate ユニットがモデル 3000 以上であれば フォーティネットからライセンスキーを購入して VDOM の最大数を または 250 に増やすことができます FortiGate ユニットでは デフォルトで最大 10 の VDOM がサポートされます ライセンスキーとは フォーティネットが提供する 32 文字の文字列です フォーティネットがライセンスキーを生成する際に ユニットのシリアル番号が必要となります ライセンスキーを入力するには [System] [Maintenance] [License] の順に選択します 図 94: 追加の VDOM のライセンスキー [Current License] [Input License Key] バーチャルドメインの現在の最大数 フォーティネットが提供するライセンスキーを入力し [Apply] を選択します

181 システム - シャーシ (FortiGate-5000 シリーズ ) SMC ( シェルフマネージャカード ) システム - シャーシ (FortiGate-5000 シリーズ ) [System] [Chassis] の順に選択すると FortiGate-5050 または FortiGate-5140 のシャーシに装着された FortiGate-5000 シリーズモジュールをはじめ シャーシに装着されているハードウェアコンポーネントの動作ステータス情報をリアルタイムで表示することができます システムシャーシのページでは シャーシ内のすべてのハードウェアコンポーネントに関する情報を表示できます FortiGate CLI から get chassis status コマンドを使用すると 同様のシャーシ情報を表示できます システムシャーシのページおよび get chassis status コマンドで表示される情報は 接続先の FortiGate-5000 モジュールではなく FortiGate-5000 シリーズシャーシと シャーシに装着されている FortiGate-5000 シリーズモジュールによって決まります システムシャーシのページでは シャーシシェルフマネージャから受信した情報が表示されます システムシャーシのページに情報が表示されるのは シャーシ内でシェルフマネージャが 1 つ以上動作しており なおかつ接続先の FortiGate-5000 モジュールがシェルフマネージャと通信できる場合に限ります この項には以下のトピックが含まれています SMC ( シェルフマネージャカード ) ブレード (FortiGate-5000 シャーシスロット ) シャーシモニタリングのイベントログメッセージ SMC ( シェルフマネージャカード ) FortiGate-5000 シリーズシャーシに装着されているシェルフマネージャカード (SMC) のステータスを表示するには [System] [Chassis] [SMC] の順に選択します SMC リストは FortiGate-5140 シャーシと FortiGate-5050 シャーシで共通です SMC リストには シャーシ内のシェルフマネージャカードの基本的なステータス情報が表示されます 図 95: シェルフマネージャカード (SMC) リスト [Refresh interval] SMC リストに表示される情報が Web ベースマネージャで更新される 頻度を設定します [Refresh] SMC リストの表示情報を手動で更新します [SMC #] シェルフマネージャカードのスロット番号で SMC 1 または SMC

182 ブレード (FortiGate-5000 シャーシスロット ) システム - シャーシ (FortiGate-5000 シリーズ ) [Status] [Active/Standby] 各シャーシスロット内のシェルフマネージャカードの現在のステータス ステータスは シェルフマネージャカードがスロットに装着されていれば Persent 装着されていなければ Empty になります 各シャーシスロット内のシェルフマネージャカードのモード シェルフマネージャは アクティブモードまたはスタンバイモードでの動作が可能です アクティブモードでは シェルフマネージャがシャーシを操作します スタンバイモードでは アクティブなシェルフマネージャが動作していないことを検知した場合 シェルフマネージャはアクティブモードに切り替わるのを待ちます ステータスが Empty の場合 [Active/Standby] は空白となります ブレード (FortiGate-5000 シャーシスロット ) FortiGate-5000 シリーズモジュールが装着されている FortiGate-5000 シャーシのスロットのリストを表示するには [System] [Chassis] [Blades] の順に選択します スロットのリストには スロットが未使用の状態か または FortiGate-5000 モジュールが装着されている状態かが示されます スロットにモジュールが装着されている場合 ディスプレイにはスロット内のモジュールの種類が示されます スロットには FortiGate-5001SX モジュールなどのノードカードや FortiSwitch モジュールなどのスイッチカードを装着できます 接続先の FortiGate-5000 モジュールが装着されているスロットは 黄色で強調表示されます 接続先の FortiGate-5000 シリーズモジュールが FortiGate-5050 シャーシに装着されている場合 ブレードリストは 5 つの行が構成されます FortiGate-5140 シャーシでは ブレードリストに 14 行になります モジュールが装着されている各スロットについて ブレードリストには スロット内のモジュールの温度と電圧が許容範囲内にあるかどうかが示されます 温度と電圧に Good と表示されれば モジュールは許容範囲内で動作しています 温度または電圧に Alarm と表示された場合 温度または電圧が許容範囲外であるため シェルフマネージャが警告を記録します SNMP が有効に設定され Temperature too high ( 温度超過 ) Voltage out of range ( 電圧許容範囲外 ) の SNMP イベントが選択されている場合 シェルフマネージャが温度または電圧の警告を記録すると FortiGate-5000 モジュールの SNMP エージェントによって SNMP トラップが送信されます 図 96: FortiGate-5050 のブレードリストの例 [Refresh interval] [Refresh] [Slot #] ブレードリストに表示される情報が Web ベースマネージャで更新される頻度を設定します ブレードリストの表示情報を手動で更新します シャーシのスロット番号 FortiGate-5050 シャーシにはスロット 1 ~ 5 FortiGate-5140 シャーシにはスロット 1 ~ 14 が示されます [Blade Type] スロットにノードカード ( たとえば FortiGate-5001 SX モジュール ) またはスイッチカード ( たとえば FortiSwitch-5003 モジュール ) が装着されているかどうかが示されます

183 システム - シャーシ (FortiGate-5000 シリーズ ) ブレード (FortiGate-5000 シャーシスロット ) [Temperature] 各スロット内のモジュールの温度センサーが検知している温度が許容範囲内かどうかを示します Good は 監視されている温度がすべて許容範囲内であることを示します Alarm は 監視されている温度が高すぎるか ( 通常は約 75 ) または低すぎる (10 以下 ) ことを示します 温度インジケータ上にマウスを移動させると モジュールの各センサーが読み取っている温度を表示できます その表示内容には 温度センサーの名前と温度の測定値が含まれます 表示される温度は FortiGate または FortiSwitch モジュールによって異なります 例 : FortiGate-5005FA2 モジュールの場合 : Incoming Air-Flow ( 流入空気 ): 37 CPU Board Temp (CPU ボード温度 ): 49 CPU1 Temp (CPU1 温度 ): 65 CPU2 Temp (CPU2 温度 ): 66 FortiGate-5001SX モジュールおよび FortiGate-5001FA2 モジュールの場合 : TEMP1: 37 TEMP2: 30 FortiSwitch-5003 モジュールの場合 : Baseboard Temp ( ベースボード温度 ): 35 Board (BRD) Top Temp ( ボード (BRD) 上部温度 ): 33 BRD Bottom Temp (BRD 底部温度 ): 33 BRD Center Temp (BRD 中心部温度 ):

184 シャーシモニタリングのイベントログメッセージシステム - シャーシ (FortiGate-5000 シリーズ ) [Voltage] 各スロット内のモジュールの電圧センサーが検知している電圧が許容範囲内かどうかを示します Good は 監視されている電圧がすべて許容範囲内であることを示します Alarm は 監視されている電圧が高すぎるか または低すぎることを示します 各スロットの電圧のインジケータ上にマウスを移動させると 各センサーが読み取っている電圧を表示できます 各センサーが読み取る情報として 設計電圧 ( たとえば 3.3V) と実際に測定された電圧 ( たとえば 3.288V) があります 電圧の許容範囲はセンサーによって異なります 表示される電圧は FortiGate-5000 シリーズモジュールによって異なります 例 : FortiGate-5005FA2 モジュールの場合 : CPU1 Voltage (CPU1 電圧 ): V CPU1 Voltage (CPU1 電圧 ): V +5.0V: 4.851V +3.3V: 3.321V +2.5V CPU1: V +2.5V CPU2: V +1.2V 1: V +1.2V 2: V FortiGate-5001SX モジュールおよび FortiGate-5001FA2 モジュールの場合 : 5V: V 3.3V: V 2.5V: 2.534V 1.8V: V 1.5V: V FortiSwitch-5003 モジュールの場合 : +1.5V: 1.521V +2V: 1.989V +2.5V: V +3.3V: V +3.3VSB: V +5VSB5.096V +12V: V シャーシモニタリングのイベントログメッセージ FortiGate-5000 シリーズモジュールでは シャーシモニタリングで通常の動作パラメータを逸脱した温度 電圧 またはファン速度が検知された場合に 表 31 に示したログメッセージを送信することができます 表 31 のすべてのメッセージに シャーシのログタイプと深刻度 ( 警告または重大 ) が含まれます 警告メッセージは 重大でないしきい値に達すると記録されます 重大メッセージは 重大なしきい値に達すると記録されます

185 システム - シャーシ (FortiGate-5000 シリーズ ) シャーシモニタリングのイベントログメッセージ 表 31: シャーシモニタリングの警告および重大イベントログメッセージ ID メッセージ意味 Chassis fan anomaly:fan <fan_integer>, <rpm_integer> RPM Chassis fan anomaly Chassis temperature anomaly:t <sensor_integer>, <temp_integer> Celsius Chassis voltage anomaly:v<design_voltage>, <monitored_voltage> V Blade fan anomaly:fan <fan_integer>, <rpm_integer> RPM Blade temperature anomaly:blade <temp_integer>, <temp_integer> Celsius Blade voltage anomaly:blade <design_voltage>, <monitored_voltage> V シャーシのファンが 通常の動作範囲を逸脱した RPM 値で動作しています <fan_integer> はファントレイの番号です FortiGate-5140 では <fan_integer> は 0 1 または 2 となります FortiGate-5050 にはファントレイは 1 つしかありません <rpm_integer> は 動作しているファンの RPM です 温度センサーが このセンサーの通常の動作範囲を逸脱した温度を検知しました 通常の動作範囲は 10 ~ 75 です <temp_integer> は温度センサーを識別します <temp_integer> は センサーが報告している温度です シャーシ電圧センサーが センサーの動作範囲を逸脱した電圧レベルを検知しました <design_voltage> は 通常の動作時 センサーの位置で回路に必要とされる電圧です たとえば <design_voltage> は 3.3 や 5 などの場合があります <monitored_voltage> は センサーで測定された実際の電圧です ブレードのファンが 通常の動作範囲を逸脱した RPM 値で動作しています <fan_integer> は ファンを識別します <rpm_integer> は 動作しているファンの RPM です FortiGate-5000 または FortiSwitch-5000 シリーズモジュール上の温度センサーが このセンサーの通常の動作範囲を逸脱した温度を検知しました 通常の動作範囲は 10 ~ 75 です <temp_integer> は モジュールの温度センサーを識別します <temp_integer> は センサーが報告している温度です FortiGate-5000 または FortiSwitch-5000 シリーズモジュール上の電圧センサーが センサーの動作範囲を逸脱した電圧レベルを検知しました <design_voltage> は 通常の動作時 センサーの位置で回路に必要とされる電圧です たとえば <design_voltage> は 3.3 や 5 などの場合があります <monitored_voltage> は センサーで測定された実際の電圧です

186 シャーシモニタリングのイベントログメッセージシステム - シャーシ (FortiGate-5000 シリーズ )

187 ルータ - スタティック ルーティングの概念 ルータ - スタティック この項では 一般的なルーティングの概念 スタティックルートの定義方法 およびルートポリシーについて説明します ルートは ネットワーク上の特定の宛先にパケットを転送するのに必要な情報を FortiGate ユニットに提供します パケットは スタティックルートによって 工場出荷時に設定されているデフォルトゲートウェイ以外の宛先へと転送されます 工場出荷時に設定済みのスタティックデフォルトルートは デフォルトゲートウェイを設定するための出発点となります 工場出荷時に設定済みのスタティックデフォルトルートを変更して異なるデフォルトゲートウェイを FortiGate ユニットに設定するか または工場出荷時に設定済みのルートを削除して デフォルトゲートウェイを示すスタティックデフォルトルートを FortiGateユニットに設定する必要があります 191 ページの デフォルトルートおよびデフォルトゲートウェイ を参照してください スタティックルートは手動で定義します FortiGate ユニットから送出されるトラフィックはスタティックルートが制御しますが パケットを送出するインタフェースとパケットの転送先のデバイスはユーザが指定できます オプションでルートポリシーを定義することができます ルートポリシーは 着信パケットのプロパティを分析するための基準を追加指定するものです ルートポリシーを使用すると パケットヘッダ内のIP 送信元 / 宛先アドレスをはじめ パケットを受信するインタフェース パケット送信に使用されるプロトコル ( サービス ) やポートなどの条件に基づいてパケットをルーティングするように FortiGate ユニットを設定できます この項には以下のトピックが含まれています ルーティングの概念 スタティックルート ポリシールート ルーティングの概念 ルーティングは複雑なテーマです FortiGate ユニットはネットワーク上のセキュリティデバイスとして機能し パケットはその FortiGate ユニットを経由しなければなりません そのため FortiGate ユニットを適切に設定するには 数々の基本的なルーティングの概念を理解する必要があります 管理するネットワークの規模の大小を問わず この項は FortiGate ユニットがどのようにルーティング機能を実行するのかを理解するのに役立ちます この項には以下のトピックが含まれています ルーティングテーブルの成立ち ルーティングの決定方法 マルチパスルーティングと最良のルートの決定ルートプライオリティへのルートシーケンスの影響 ルートプライオリティへのルートシーケンスの影響 等価コストマルチパス (ECMP) ルート

188 ルーティングの概念 ルータ - スタティック ルーティングテーブルの成立ち ルーティングの決定方法 工場出荷時では FortiGate のルーティングテーブルにはスタティックデフォルトルートが 1 つ設定されています 別のスタティックルートを定義することにより ルーティングテーブルにルーティング情報を追加できます テーブルには 同じ宛先への異なるルートをいくつか含めることができます その場合 ルータまたはルータに関連する FortiGate インタフェースに指定されているネクストホップルータの IP アドレスは それぞれ別々になることがあります FortiGateユニットは ルーティングテーブルの情報を評価することで パケットに 最良 のルートを選択します 宛先への最良のルートは通常 FortiGate ユニットとそれに最も近いネクストホップルータとの間の最短距離と関係します 何らかの理由で最良のルートが利用できない場合は その次に最良なルートが選択される場合があります 最良のルートは FortiGate のルーティングテーブルの一部である FortiGate のフォワーディングテーブルに設定されます パケットは フォワーディングテーブルの情報に基づいて転送されます パケットがFortiGateユニットのインタフェースの1つに到達すると FortiGate ユニットは パケットヘッダの送信元 IP アドレスを使用して逆引きを行うことにより パケットが正当なインタフェースで受信されたかどうかを判断します パケットを受信したインタフェースを介して送信元 IP アドレスのコンピュータと通信できない場合 ハッキングの試みであることが考えられるので FortiGate ユニットはパケットを破棄します 宛先アドレスがローカルアドレスと一致した場合 ( なおかつローカル設定で配信が許可されている場合 ) FortiGate ユニットはローカルネットワークにパケットを配信します パケットの宛先が別のネットワークである場合 FortiGate ユニットは ルートポリシーまたは FortiGate フォワーディングテーブルに保存された情報 あるいはその両方に従って ネクストホップルータにパケットを転送します 195 ページの ポリシールート を参照してください マルチパスルーティングと最良のルートの決定 マルチパスルーティングは 同じ宛先へのエントリがルーティングテーブルに複数存在する場合に発生します マルチパスルーティングが発生すると FortiGate ユニットは着信パケットに複数の宛先を使用できることになり どのネクストホップが最良か判断を迫られます 同じ宛先への複数のルートという問題を手動で解決するには 一方のルートのディスタンスを短くするか または両方のルートにプライオリティを設定するという 2 つの方法があります FortiGate ユニットにプライマリ ( 優先 ) ルートを選択させるには 可能なルートのいずれかに関連したディスタンスを手動で短くします ディスタンスは 1 ~ 255 の値を設定できます 両方のルートのプライオリティを手動で変更するという方法もあります FortiGate ユニットの 2 つのルートで ネクストホップのディスタンスが同じであると パケットがたどるルートが明確でない場合があります それらのルートのそれぞれにプライオリティを設定すれば ディスタンスが同一の場合に使用されるネクストホップが明確になります ルートのプライオリティは CLI でのみ設定できます プライオリティの値が小さい方が優先されます

189 ルータ - スタティック ルーティングの概念 ルーティングテーブルのエントリは すべてディスタンスと関連付けられます 同一の宛先をポイントするエントリがルーティングテーブルに複数含まれている場合 ( エントリのゲートウェイまたはインタフェースの関係は異なる可能性があります ) FortiGate ユニットはそれらのエントリのディスタンスを比較して距離が最短のエントリを選択し FortiGate フォワーディングテーブルにルートとして設定します その結果 FortiGate フォワーディングテーブルには 可能な限りすべての宛先への距離が最短のルートのみが含まれることになります スタティックルートに関連したディスタンスの変更方法については 194 ページの ルーティングテーブルへのスタティックルートの追加 を参照してください ルートプライオリティへのルートシーケンスの影響 FortiGate ユニットがディスタンスに基づいてフォワーディングテーブルのスタティックルートを選択した後 それらのルートのシーケンス番号によってルーティングのプライオリティが決定されます フォワーディングテーブル内に同じ宛先のルートが 2 つ存在する場合 シーケンス番号の最も小さいルートが最良の選択になります FortiOS v3.0 では CLI で設定されたルートにプライオリティフィールドが追加されています プライオリティフィールドは ディスタンスが等しい 2 つのルートを解決するため ルートシーケンスを無効にします プライオリティフィールドの値が最も小さいルートが 最良のルートと見なされます プライオリティが同じか または使用されていない場合は ルーティングテーブル内でシーケンス番号の最も小さいルートが最良のルートとなります 最良のルートはプライマリルートでもあります プライオリティフィールドを設定するコマンドは config route static コマンド下のset priority <integer> です 詳細については FortiGate CLI リファレンス を参照してください Web ベースマネージャで [Static Route] リストにスタティックルートを追加する場合 FortiGate ユニットは 使用されていない次のシーケンス番号を自動的に新エントリに割り当てます たとえば図 97 では 同一の宛先 ( /24) への 2 つのスタティックルートが作成され エントリ番号とシーケンス番号が Web ベースマネージャを介してどのように割り当てられるのかを示しています 2 つのルートは同一のゲートウェイを指定していますが あるケースでは パケットは " ポート 1" という名前のインタフェースを介して FortiGate ユニットから発信され また別のケースでは " ポート 2" という名前のインタフェースを介して発信されます 図 97: Web ベースマネージャを介して作成されたスタティックルート まずエントリ番号 2 が作成され 次にエントリ番号 3 が作成されています そのため ルーティングテーブルにおけるこれらのシーケンス番号は それぞれ 2 と 3 になります FortiGate ユニットが宛先を同じくするこれら 2 つのルートを評価する場合 2 つともディスタンスが小さいため 両方ともフォワーディングテーブルに追加されます フォワーディングテーブルにルートが追加されると CLI の set priority コマンドでプライオリティが設定されていない限り そのシーケンス番号によってルートのプライオリティが決定します エントリ番号 2 のシーケンス番号が最も小さいため これが優先ルートとなります

190 スタティックルート ルータ - スタティック 注記 : スタティックルートのシーケンス番号は CLI で config router static と入力した後 get と入力することで ルーティングテーブルに表示できます ルートのシーケンス番号は CLI でスタティックルートを定義する際に入力する edit <ID_integer> の値と等しくなります 詳細については FortiGate CLI リファレンス の config router static を参照してください Web ベースマネージャでスタティックルートがすべて設定されると スタティックルータリストのエントリの順番は 通常 ルーティングテーブルにおけるスタティックルートの順番と同一になります ただし CLI でルートを追加するときにスタティックルートのシーケンス番号を指定できるため ルートのシーケンス番号はスタティックルータリストのエントリの番号と常に一致するとは限りません シーケンス番号は CLI でのみ スタティックルートに指定できます まとめると ルーティングテーブル内のあるルートのシーケンス番号が同じ宛先の他のルートよりも小さい場合 FortiGate ユニットは他のルートを選択する前に シーケンス番号が小さいそのルートを選択します スタティックルートを設定する際 使用するシーケンス番号またはプライオリティフィールドの設定を CLI で指定できるため シーケンス番号およびプライオリティフィールドの設定に従って 同じ宛先の複数のルートにプライオリティを設定することができます スタティックルートを優先ルートとするには CLI コマンド config router static を使用してルートを作成し そのルートに小さいシーケンス番号またはプライオリティを指定する必要があります 等価コストマルチパス (ECMP) ルート 宛先が同じルートが複数ある場合 どのルートを設定して使用するか不明確な場合があります これは前述のように 距離とプライオリティに基づきます 両方のルートの距離もプライオリティも同一であるならば それらのルートは等価コストマルチパス (ECMP) ルートとなります ECMP ルートでロードバランスが設定されている場合 同じアドレスに対してセッションごとに別々のルートが使用され トラフィックが負荷分散されることになります スタティックルート スタティックルートの操作 スタティックルートは FortiGate ユニットが傍受するパケットの宛先 IP アドレスとネットマスクを定義し それらのパケットの ( ゲートウェイ ) IP アドレスを指定することによって設定します ゲートウェイアドレスは トラフィックがルーティングされるネクストホップルータを指定します 注記 : IPv6 トラフィックのスタティックルートの追加 編集 削除には CLI コマンド config router static6 を使用できます 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください スタティックルータリストには パケットをルーティングするために FortiGate ユニットがパケットのヘッダと比較した情報が表示されます 当初 このリストには工場出荷時に設定済みのスタティックデフォルトルートが含まれています 191 ページの デフォルトルートおよびデフォルトゲートウェイ を参照してください 新しいエントリは手動で追加できます

191 ルータ - スタティック スタティックルート スタティックルータリストにスタティックルートを追加すると FortiGateユニットはその情報を評価し FortiGate のルーティングテーブルにすでに存在する他のルートと比較して それが異なるルートかどうか判定します 宛先が同じルートがルーティングテーブルになければ FortiGate ユニットはそのルートをルーティングテーブルに追加します スタティックルートのリストを表示するには [Router] [Static] [Static Route] の順に選択します 既存のスタティックルートのエントリを編集するには [Router] [Static] [Static Route] の順に選択し 編集するエントリの隣にある編集アイコンを選択します 図 98 は "External" および "Internal" という名前のインタフェースを持つ FortiGate ユニットのスタティックルートリストです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 98: スタティックルートリスト [Create New] スタティックルータリストにスタティックルートを追加します 194 ページの ルーティングテーブルへのスタティックルートの追加 を 参照してください [IP] FortiGate ユニットが傍受するパケットの宛先 IP アドレス [Mask] IP アドレスに関連したネットワークマスク [Gateway] 傍受されたパケットが転送されるネクストホップルータのIPアドレス [Device] 傍受されたパケットが送受信される FortiGate インタフェースの名前 [Distance] 削除アイコンと編集アイコン デフォルトルートおよびデフォルトゲートウェイ 各ルートに関連したディスタンス 値は ネクストホップルータへの距離を表します リストのエントリを削除または編集します 削除編集 工場出荷時の設定では スタティックルータリストのエントリ番号 1 は すべての宛先を意味する宛先アドレス / に関連付けられています このルートは スタティックデフォルトルート と呼ばれます ルーティングテーブルに他のルートが存在せず FortiGate ユニットの先へとパケットを転送する必要がある場合 工場出荷時に設定済みのスタティックデフォルトルートにより FortiGate ユニットはパケットをデフォルトゲートウェイに転送します これを防ぐには 工場出荷時に設定済みのスタティックデフォルトルートを編集して異なるデフォルトゲートウェイを FortiGate ユニットに指定するか または工場出荷時に設定済みのルートを削除し デフォルトゲートウェイをポイントするスタティックデフォルトルートを自身で FortiGate ユニットに指定する必要があります

192 スタティックルート ルータ - スタティック たとえば FortiGate ユニットがルータに接続している図 99 を考えてみましょう ルータを超えた任意のネットワークを目的地とするすべての送信パケットが適切な宛先へと確実にルーティングされるようにするには 工場出荷時のデフォルト設定を編集して このルータを FortiGate ユニットのデフォルトゲートウェイに設定する必要があります 図 99: ルータをデフォルトゲートウェイとして設定 Internet Router external FortiGate_1 Internal network /24 内部ネットワークからネットワーク /24 上の宛先へと送信パケットをルーティングするには デフォルトルートを編集して以下の設定を含めます [Destination IP/Mask]: / [Gateway]: [Device]: ネットワーク /24 に接続するインタフェースの名前 ( たとえば external) [Distance]: 10 [Gateway] 設定には FortiGate 外部インタフェースへのネクストホップルータインタフェースの IP アドレスを指定します ルータの背後のインタフェース ( ) は FortiGate_1 のデフォルトゲートウェイです

193 ルータ - スタティック スタティックルート 場合によっては FortiGate ユニットの背後にルータが存在することがあります パケットの宛先 IP アドレスがローカルネットワークではなく それらのルータの背後のネットワークである場合 FortiGate のルーティングテーブルには そのネットワークへのスタティックルートが含まれている必要があります たとえば図 100 では FortiGate ユニットが Network_1 と Network_2 にパケットを転送するためには それぞれインタフェース と へのスタティックルートをこのユニットに設定する必要があります 図 100: 宛先が内部ルータの背後のネットワークである場合 Internet FortiGate_1 internal dmz Router_ Router_2 Network_ /24 Network_ /24 Network_1 から Network_2 にパケットをルーティングするには FortiGate 内部インタフェースをデフォルトゲートウェイとして使用するようにRouter_1 を設定する必要があります FortiGate ユニットには 新しいスタティックルートを以下の設定で作成します [Destination IP/Mask]: /24 [Gateway]: [Device]: dmz [Distance]: 10 Network_2 から Network_1 にパケットをルーティングするには FortiGate dmz インタフェースをデフォルトゲートウェイとして使用するようにRouter_2 を設定する必要があります FortiGate ユニットには 新しいスタティックルートを以下の設定で作成します [Destination IP/Mask]: /24 [Gateway]: [Device]: internal [Distance]:

194 スタティックルート ルータ - スタティック デフォルトルートのゲートウェイの変更 デフォルトゲートウェイは デフォルトルートに一致するパケットの転送先を決定します デフォルトルートのゲートウェイを変更するには 1 [Router] [Static] [Static Route] の順に選択します 2 1 列目の [ 編集 ] アイコンを選択します 3 [Gateway] フィールドに 送信トラフィックを方向づけることのできるネクストホップルータのIPアドレスを入力します 4 FortiGate ユニットが [Device] フィールドで現在選択されているインタフェースとは別のインタフェースを介してネクストホップルータに到達する場合 [Device] フィールドからインタフェースの名前を選択します 5 [Distance] フィールドでは オプションでディスタンスの値を調整します 6 [OK] を選択します ルーティングテーブルへのスタティックルートの追加 ルートは 特定の宛先にパケットを転送するのに必要な情報を FortiGate ユニットに提供します パケットは スタティックルートによって デフォルトゲートウェイ以外の宛先へと転送されます スタティックルートは手動で定義します FortiGate ユニットから送出されるトラフィックはスタティックルートが制御しますが パケットを送出するインタフェースとパケットの転送先のデバイスはユーザが指定できます スタティックルートを追加するには [Router] [Static] [Static Routes] の順に選択して [Create New] を選択します Web ベースマネージャでスタティックルートを追加する場合 FortiGate ユニットは 使用されていない次のシーケンス番号を自動的にルートに割り当てて そのエントリをスタティックルータリストに追加します 図 101 は "internal" という名前のインタフェースを持つ FortiGate ユニットの [Edit Static Route] ダイアログボックスです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 101: [Edit Static Route] [Destination IP/Mask] FortiGate ユニットが傍受する必要のあるパケットの宛先 IP アドレスおよびネットワークマスクを入力します / の値は デフォルトルートに予約されています [Gateway] 傍受したパケットを FortiGate ユニットが転送するネクストホップルータの IP アドレスを入力します

195 ルータ - スタティック ポリシールート [Device] [Distance] 傍受されたパケットをネクストホップルータへとルーティングできる FortiGate インタフェースの名前を選択します ルートのディスタンスを入力します 距離の値は任意で ネクストホップルータへの距離を反映させる必要があります 値が小さいほど 優先されるルートであることを示します 値は 1 ~ 255 の整数を設定できます ポリシールート パケットが FortiGate ユニットのインタフェースに到達すると FortiGate ユニットは パケットヘッダの送信元 IP アドレスを使用して逆引きを行うことにより パケットが正当なインタフェースで受信されたかどうかを判断します パケットを受信したインタフェースを介して送信元 IP アドレスのコンピュータと通信できない場合 FortiGate ユニットはパケットを破棄します 宛先アドレスがローカルアドレスと一致した場合 ( なおかつローカル設定で配信が許可されている場合 ) FortiGate ユニットはローカルネットワークにパケットを配信します パケットの宛先が別のネットワークである場合 FortiGate ユニットは ルートポリシーまたは FortiGate フォワーディングテーブルに保存された情報 あるいはその両方に従って ネクストホップルータにパケットを転送します (187 ページの ルーティングの概念 を参照 ) ルーティングポリシーが存在する場合 パケットが FortiGate ユニットに到達すると FortiGate ユニットは [Policy Route] リストの先頭から開始して パケットとポリシーの照合を試みます 一致することが判明し パケットをルーティングするのに十分な情報がポリシーに含まれていれば ( ネクストホップルータにパケットを転送するための FortiGate インタフェースとともに ネクストホップルータの IP アドレスが指定されている必要があります ) FortiGate ユニットはそのポリシーの情報を使用してパケットをルーティングします パケットに一致するルートポリシーがない場合 FortiGate ユニットはルーティングテーブルを使用してパケットをルーティングします 注記 : 大部分のポリシー設定はオプションであるため 一致するポリシーの情報だけでは FortiGate ユニットがパケットを転送するには不十分である場合があります FortiGate ユニットは パケットヘッダ内の情報をルーティングテーブルのルートと一致させるために ルーティングテーブルを参照することがあります たとえば ポリシーの情報では送信インタフェース以外わからない場合 FortiGate ユニットはルーティングテーブルにおけるネクストホップルータの IP アドレスを検索します こうした状況が発生する可能性があるのは FortiGate インタフェースが動的 ( インタフェースは DHCP または PPPoE を介して IP アドレスを入手 ) で IP アドレスの変更が動的であるために ネクストホップルータの IP アドレスを変更したくない場合や変更できない場合です ルートポリシーのリストを表示するには [Router] [Static] [Policy Route] の順に選択します 既存のルートポリシーを編集するには [Router] [Static] [Policy Route] の順に選択し 編集するポリシーの隣にある編集アイコンを選択します 図 102 は "external" および "internal" という名前のインタフェースを持つ FortiGate ユニットのポリシールートリストです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります

196 ポリシールート ルータ - スタティック 図 102: ポリシールートリスト [Create New] ルートポリシーの追加 ルートポリシーを追加します 196 ページの ルートポリシーの追加 を参照してください # 設定されたルートポリシーの ID 番号 これらの番号は テーブル内でポリシーが移動されていない限り 連番となります [Incoming] ルートポリシーの対象となるパケットを受信するインタフェース [Outgoing] 編集削除移動 ポリシーによってルーティングされるパケットをルーティングするインタフェース [Source] ポリシールーティングを実行する IP 送信元アドレスおよびネットワークマスク [Destination] ポリシールーティングを実行する IP 宛先アドレスおよびネットワークマスク 削除アイコンポリシールートを削除する場合に選択します 編集アイコンポリシールートを編集する場合に選択します 移動アイコンポリシールートテーブル内でポリシーを上下に移動する場合に選択します このアイコンを選択すると [Move Policy Route] 画面が表示され [Policy Route] テーブル内の新しい場所を指定できます ルートポリシーの移動 を参照してください ルートポリシーオプションは ポリシールーティングを発生させる着信パケットの属性を定義します パケットの属性がすべての指定条件と一致した場合と FortiGate ユニットは指定ゲートウェイへの指定インタフェースを介してパケットをルーティングします ルートポリシーを追加するには [Router] [Static] [Policy Route] の順に選択して [Create New] を選択します 図 103 は "external" および "internal" という名前のインタフェースを持つ FortiGate ユニットの [New Routing Policy] ダイアログボックスです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 103: [New Routing Policy]

197 ルータ - スタティック ポリシールート ルートポリシーの移動 [Protocol] パケットのプロトコルフィールドの値に基づいてポリシールーティングを実行するには 一致するプロトコル番号を入力します 範囲は 0 ~ 255 です 0 の値で機能は無効になります [Incoming Interface] ポリシーの対象となる着信パケットが経由するインタフェースの名前を選択します [Source Address / Mask] [Destination Address / Mask] パケットの IP 送信元アドレスに基づいてポリシールーティングを実行するには 一致する送信元アドレスとネットワークマスクを入力します / の値で機能は無効になります パケットの IP 宛先アドレスに基づいてポリシールーティングを実行するには 一致する宛先アドレスとネットワークマスクを入力します / の値で機能は無効になります [Destination Ports] パケットを受信するポートに基づいてポリシールーティングを実行するには [From] および [To] のフィールドと同じポート番号を入力します ポリシールーティングをさまざまなポートに適用する場合 [From] フィールドに最初のポート番号を そして [To] フィールドに最後のポート番号を入力します 0 の値で機能は無効になります [Outgoing Interface] ポリシーの影響を受けるパケットがルーティングされるインタフェースの名前を選択します [Gateway Address] 指定されたインタフェースを通じて FortiGate ユニットがアクセスできるネクストホップルータの IP アドレスを入力します の値は無効です ルーティングポリシーを作成すると ルーティングテーブルの最下部に追加されます あるポリシーを優先的に使用する場合 そのポリシーをルーティングポリシーテーブルの別の場所に移すことができます たとえば / と / のように 2 つのルートが合致すると どちらか一方のルートを選択しなければなりません これらのルートがいずれもポリシーテーブルにある場合 どちらも へのルートに合致しますが 後者の方がより適しています その場合 ポリシーテーブル内で最適なルートを他方のルートよりも前に配置する必要があります CLI を使用すると ルートにプライオリティを指定できます ルーティングテーブルで 2 つの一致がある場合 どのルートを使用するかはプライオリティで決定されます この機能は CLI でのみ可能です 図 104: [Move Policy Route] [Before / After] [Policy route ID] 選択したポリシールートを表示のルートの前に配置するには [Bofore] を選択します 表示のルートの後に配置するには [After] を選択します ポリシールートテーブル内のルートのポリシールート ID を入力し 選択したルートを前後に移動します

198 ポリシールート ルータ - スタティック

199 ルータ - ダイナミック RIP ルータ - ダイナミック この項では 大規模または複雑なネットワークを介してトラフィックをルーティングするために動的プロトコルを設定する方法について説明します ダイナミックルーティングプロトコルを使用すると FortiGate ユニットは ルートに関する情報の隣接ルータとの共有や 隣接ルータによってアドバタイズされたルートおよびネットワークの学習を自動的に行うことができます FortiGate ユニットは 次のダイナミックルーティングプロトコルをサポートしています RIP (Routing Information Protocol) OSPF (Open Shortest Path First) BGP (Border Gateway Protocol) 注記 : 基本的な RIP OSPF および BGP ルーティングオプションは Web ベースマネージャで設定できます 追加オプションの多くは CLI コマンドを使用してのみ設定できます RIP OSPF および BGP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については FortiGate CLI リファレンス の章 ルータ を参照してください FortiGate ユニットは ユーザが指定したルールに基づいてルートを選択し ルーティングテーブルを動的に更新します 一連のルールが指定されると FortiGate ユニットは パケットを宛先に送信するための最適なルートまたはパスを決定できます また 隣接ルータへのルートのアドバタイズを抑制するためのルールを定義したり アドバタイズされる前の FortiGate ルーティング情報を変更したりすることもできます 注記 : FortiGate ユニットは ルートバーチャルドメイン内で PIM (Protocol Independent Multicast) バージョン 2 ルータとして動作できます FortiGate ユニットは PIM スパースモードおよびデンスモードをサポートしており FortiGate インタフェースが接続されているネットワークセグメント上のマルチキャストサーバまたはレシーバにサービスを提供できます PIM は 静的ルート RIP OSPF または BGP を使用して マルチキャストパケットを宛先に転送できます この項には以下のトピックが含まれています RIP OSPF BGP マルチキャスト RIP RIP は 小規模で 比較的均質なネットワーク向けの 距離ベクトルルーティングプロトコルです FortiGate での RIP の実装は RIP バージョン 1 (RFC 1058 を参照 ) および RIP バージョン 2 (RFC 2453 を参照 ) をサポートしています 注記 : 基本的なルーティングオプションは Web ベースマネージャで設定できます 追加オプションの多くは CLI コマンドを使用してのみ設定できます RIP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については FortiGate CLI リファレンス の章 ルータ を参照してください

200 RIP ルータ - ダイナミック RIP の動作 RIP が有効になっている場合 FortiGate ユニットは RIP が有効な各インタフェースからの RIP 更新への要求をブロードキャストします 隣接ルータは それぞれのルーティングテーブルの情報で応答します FortiGate ユニットは 隣接ルータからのルートがまだ独自のルーティングテーブルに記録されていない場合にのみ それらのルートをルーティングテーブルに追加します ルートがすでにルーティングテーブル内に存在する場合 FortiGate ユニットは アドバタイズされたルートと記録されているルートを比較し 最短のルートをルーティングテーブル用に選択します RIP は 最適なルートを選択するためのメトリックとしてホップカウントを使用します 1 のホップカウントは FortiGate ユニットに直接接続されているネットワークを表します これに対して 16のホップカウントは FortiGateユニットが到達できないネットワークを表します 通常は パケットが宛先に到達するまでに経由する各ネットワークが 1 ホップとしてカウントされます FortiGate ユニットが同じ宛先への 2 つのルートを比較したとき ホップカウントの最も小さいルートがルーティングテーブルに追加されます 同様に インタフェース上で RIP が有効になっている場合 FortiGate ユニットは隣接ルータに定期的に RIP 応答を送信します これらの更新では FortiGate ルーティングテーブル内のルートに関する情報が これらのルートをアドバタイズするためにユーザが指定したルールに従って提供されます ユーザは FortiGate ユニットが更新を送信する頻度や 更新せずにルートを FortiGate ルーティングテーブル内に保持できる期間 また定期的に更新されないルートについては FortiGate ユニットが FortiGate ルーティングテーブルからルートを削除するまでにそのルートを到達不可としてアドバタイズする期間を指定できます 基本的な RIP 設定の表示と編集 RIP 設定を設定する場合は RIP を実行しているネットワークを指定すると共に RIP が有効なネットワークに接続されている FortiGate インタフェース上の RIP 動作を調整するために必要なすべての追加の設定を指定する必要があります RIP ネットワークに接続された FortiGate ユニットの基本的な設定を設定するには [Router] [Dynamic] [RIP] の順に選択します RIP が有効なインタフェースの動作パラメータを編集するには [Router] [Dynamic] [RIP] の順に選択し RIP が有効なインタフェースに対応した行にある編集アイコンを選択します 図 105 は "dmz" および "external" という名前のインタフェースを持つ FortiGate ユニットの基本的な RIP 設定です FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります

201 ルータ - ダイナミック RIP 図 105: 基本的な RIP 設定 削除 削除編集 [RIP Version] [Advanced Options] FortiGate ユニットで必要な RIP 互換性のレベルを選択します RIP が有効なネットワークに接続されたすべての FortiGate インタフェース上でグローバルな RIP 設定を有効にすることができます RIP バージョン 1 パケットを送受信するには [1] を選択します RIP バージョン 2 パケットを送受信するには [2] を選択します 必要に応じて 特定の FortiGate インタフェースのグローバル設定を置き換えることができます (203 ページの インタフェース上の RIP 動作パラメータの置き換え を参照 ) RIP 詳細設定オプションを選択します 202 ページの RIP 詳細設定オプションの選択 を参照してください [Networks] RIP を実行している (FortiGate ユニットに接続された ) 主要なネットワークの IP アドレスとネットワークマスク [Networks] リストにネットワークを追加すると そのネットワークに含まれている FortiGate インタフェースが RIP 更新でアドバタイズされます RIP ネットワークアドレス空間に一致する IP アドレスを持つすべての FortiGate インタフェース上で RIP を有効にすることができます [Interfaces] [IP/Netmask] [Add] RIP が有効なネットワークを定義する IP アドレスとネットマスクを入力します [Networks] リストにネットワーク情報を追加する場合に選択します FortiGate インタフェース上の RIP 動作を調整するために必要な任意の追加の設定 [Create New] [Interface] インタフェースの RIP 動作パラメータを設定する場合に選択します これらのパラメータによって そのインタフェースのグローバルな RIP 設定が置き換えられます 203 ページの インタフェース上の RIP 動作パラメータの置き換え を参照してください RIP 動作パラメータを設定するインタフェースを選択します [Send Version] 各インタフェースを介して更新を送信するために使用する RIP のバージョンを [1] [2] または [Both] から選択します [Receive Version] 各インタフェース上で更新を待機するために使用する RIP のバージョンを [1] [2] または [Both] から選択します [Authentication] このインタフェース上で使用する認証の種類を [None] [Text] または [MD5] から選択します

202 RIP ルータ - ダイナミック 削除アイコンと編集アイコン [Passive] RIP 詳細設定オプションの選択 このインタフェース上で RIP ブロードキャストをブロックする場合に選択します RIP ネットワークエントリまたは RIP インタフェース定義を削除または編集します RIP 詳細設定オプションを使用すると RIP タイマの設定を指定したり FortiGate ユニットが RIP 更新以外の何らかの手段によって学習するルートを再配布するためのメトリックを定義したりすることができます たとえば FortiGate ユニットがOSPFまたはBGPネットワークに接続されている場合 またはFortiGateルーティングテーブルに静的ルートを手動で追加する場合は これらのルートを RIP が有効なインタフェース上でアドバタイズするようにFortiGateユニットを設定できます RIP 詳細設定オプションを選択するには [Router] [Dynamic] [RIP] の順に選択し [Advanced Options] を展開します オプションを選択したら [Apply] を選択します 注記 : 追加の詳細設定オプションは CLI を使用して設定できます たとえば 受信した更新または送信する更新を ルートマップ アクセスリスト またはプレフィックスリストを使用してフィルタ処理できます FortiGate ユニットではまた 指定したオフセットをルートのメトリックに追加するオフセットリストもサポートされています 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください 図 106: 高度なオプション (RIP) [Default Metric] [Enable Defaultinformation-originate] [RIP Timers] FortiGate ユニットが Fortinet ルーティングテーブルに追加されたルートに割り当てるデフォルトのホップカウントを入力します 範囲は 1 ~ 16 です 特に指定されていない限り この値は [Redistribute] にも適用されます FortiGate ユニットの RIP が有効なネットワークへのデフォルトルートを生成し 無条件にアドバタイズする場合にオンにします 生成されるルートは ダイナミックルーティングプロトコルを介して学習されたルート ルーティングテーブル内のルート またはその両方に基づいている可能性があります デフォルトの RIP タイマ設定を置き換えます デフォルト設定は ほとんどの構成で有効です これらの設定を変更する場合は 新しい設定がローカルルータやアクセスサーバと互換性があることを慎重に確認してください

203 ルータ - ダイナミック RIP [Redistribute] [Update] [Timeout] [Garbage] FortiGate ユニットが RIP 更新を送信する間に待つ時間 ( 秒単位 ) を入力します ルートに関する更新が受信されなくても そのルートが到達可能と見なされる最長時間 ( 秒単位 ) を入力します これは ルートに関する更新が受信されなくても FortiGate ユニットがその到達可能なルートをルーティングテーブル内に保持する最長時間です [Timeout] の期間が切れる前に FortiGate ユニットがそのルートに関する更新を受信すると タイマは再起動されます [Timeout] の期間は [Update] の期間の少なくとも 3 倍の長さにする必要があります FortiGate ユニットがルーティングテーブルからルートを削除するまでにそのルートを到達不可としてアドバタイズする時間 ( 秒単位 ) を入力します この値によって 到達不可のルートがルーティングテーブル内に保持される期間が決定されます RIP を介して学習されなかったルートに関する RIP 更新を有効または無効にします FortiGate ユニットは RIP を使用して 直接接続されたネットワーク 静的ルート OSPF または BGP から学習されたルートを再配布できます [Connected] 直接接続されたネットワークから学習されたルートを再配布する場合にオンにします これらのルートのホップカウントを指定する場合は [Metric] を選択し [Metric] フィールドにホップカウントを入力します 範囲は 1 ~ 16 です [Static] [OSPF] [BGP] 静的ルートから学習されたルートを再配布する場合にオンにします これらのルートのホップカウントを指定する場合は [Metric] を選択し [Metric] フィールドにホップカウントを入力します 範囲は 1 ~ 16 です OSPF を介して学習されたルートを再配布する場合にオンにします これらのルートのホップカウントを指定する場合は [Metric] を選択し [Metric] フィールドにホップカウントを入力します 範囲は 1 ~ 16 です BGP を介して学習されたルートを再配布する場合にオンにします これらのルートのホップカウントを指定する場合は [Metric] を選択し [Metric] フィールドにホップカウントを入力します 範囲は 1 ~ 16 です インタフェース上の RIP 動作パラメータの置き換え RIP インタフェースオプションを使用すると RIPが有効なネットワークに接続されたすべての Fortinet インタフェースに適用されるグローバルな RIP 設定を置き換えることができます たとえば RIP が有効なネットワークのサブネットに接続されたインタフェース上の RIP アドバタイズを抑制する場合は そのインタフェースの受動的な動作を有効にすることができます 受動的なインタフェースは RIP 更新を待機しますが RIP 要求には応答しません インタフェース上で RIP バージョン 2 が有効になっている場合は FortiGate ユニットが隣接ルータからの更新を受け付ける前にそのルータを確実に認証できるようにパスワード認証を選択することもできます FortiGate ユニットと隣接ルータの両方に同じパスワードが設定されている必要があります 認証によって 更新パケットの正当性が保証されますが パケット内のルーティング情報の機密性は保証されません RIP が有効なインタフェースの特定の RIP 動作パラメータを設定するには [Router] [Dynamic] [RIP] の順に選択し [Create New] を選択します

204 OSPF ルータ - ダイナミック 注記 : スプリットホライズン設定やキーチェーン設定などの追加オプションは CLI を使用してインタフェースごとに設定できます 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください 図 107 は "internal" という名前のインタフェースを持つ FortiGate ユニットの [New/Edit RIP Interface] ダイアログボックスです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 107: [New/Edit RIP Interface] [Interface] [Send Version] [Receive Version] [Authentication] [Passive Interface] これらの設定を適用する FortiGate インタフェースの名前を選択します このインタフェースは RIP が有効なネットワークに接続されている必要があります このインタフェースは 仮想 IPSec または GRE インタフェースである可能性があります インタフェースを介して更新を送受信するためのデフォルトの RIP 互換性設定を置き換える場合に RIP バージョンを [1] [2] または [Both] から選択します 指定したインタフェースでの RIP 交換の認証方法を選択します 認証を無効にするには [None] を選択します インタフェースが RIP バージョン 2 を実行しているネットワークに接続されている場合は 必要に応じて [Text] を選択し [Password] フィールドにパスワード ( 最大 35 文字 ) を入力します FortiGate ユニットと RIP 更新ルータの両方に同じパスワードが設定されている必要があります このパスワードは ネットワーク上をクリアテキストで送信されます MD5 を使用して交換を認証するには [MD5] を選択します 指定したインタフェースを介した FortiGate ルーティング情報のアドバタイズを抑制する場合にオンにします インタフェースが RIP 要求に応答するようにするには [Passive Interface] をオフにします OSPF OSPF (Open Shortest Path First) は 同じ自律システム (AS) 内のルータ間でルーティング情報を共有するために 大規模な異種ネットワークで最もよく使用されているリンク状態ルーティングプロトコルです FortiGate ユニットは OSPF バージョン 2 (RFC 2328 を参照 ) をサポートしています 注記 : 基本的な OSPF ルーティングオプションは Web ベースマネージャで設定できます 追加オプションの多くは CLI コマンドを使用してのみ設定できます OSPF 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については FortiGate CLI リファレンス の章 ルータ を参照してください

205 ルータ - ダイナミック OSPF OSPF 自律システム OSPF AS の定義 OSPF AS は一般に エリア境界ルータによってリンクされた論理的なエリアに分割されます 1つのエリアは 隣接ネットワークのグループで構成されます エリア境界ルータは 1 つ以上のエリアを OSPF ネットワークバックボーン ( エリア ID 0) にリンクします OSPF AS の特性を指定するには 205 ページの OSPF AS の定義 を参照してください FortiGate ユニットが OSPF エリアへのインタフェースを備えている場合 そのユニットはOSPF 通信に参加できます FortiGateユニットは OSPF Helloプロトコルを使用して エリア内の隣接機器を取得します 隣接機器とは FortiGate ユニットと同じエリアへのインタフェースを備えた任意のルータです 初期の接続が終了した後 FortiGate ユニットは OSPF 隣接機器との間で定期的に Hello パケットを交換して それらの隣接機器に到達できることを確認します OSPF が有効なルータは リンク状態アドバタイズメントを生成し 隣接機器の状態が変化するか または新しい隣接機器がオンラインになると常にそのリンク状態アドバタイズメントを隣接機器に送信します OSPF ネットワークが安定な状態にある限り OSPF 隣接機器間のリンク状態アドバタイズメントは発生しません リンク状態アドバタイズメント (LSA) は エリア内の OSPF が有効なすべてのルータのインタフェースを識別し OSPF が有効なルータが宛先への最短パスを選択できるようにするための情報を提供します OSPF が有効なルータ間のすべての LSA 交換が認証されます FortiGate ユニットは OSPF が有効なルータから受信したアドバタイズメントに基づいてリンク状態情報のデータベースを保守します 宛先への最適なルート ( 最短パス ) を計算するために FortiGate ユニットは 累積されたリンク状態情報に SPF (Shortest Path First) アルゴリズムを適用します OSPF は 最適なルートを選択するための基本的なメトリックとして相対的なコストを使用します コストにより FortiGate インタフェースの送信方向に対してペナルティが課せられます ルートのコストは 宛先へのパスに沿った送信インタフェースに関連付けられたコストをすべて加算することによって計算されます 最も低い合計コストが最適なルートを示します FortiGate ユニットは OSPF パケットが宛先への最短パスを使用してルーティングされることを保証するために SPF 計算の結果に基づいてルーティングテーブルを動的に更新します ネットワークトポロジに応じて FortiGate ルーティングテーブル内のエントリには次のものが含まれます ローカルの OSPF エリア内にあるネットワークのアドレス ( パケットの直接の送信先 ) OSPF エリア境界ルータへのルート ( 別のエリア宛てのパケットの送信先 ) ネットワークに OSPF エリアと OSPF 以外のドメインが含まれている場合は OSPF ネットワークバックボーンに存在し パケットを OSPF AS の外部の宛先に転送するように設定された AS 境界ルータへのルート FortiGate ユニットが OSPF を介して学習できるルートの数は ネットワークトポロジによって異なります OSPF ネットワークが正しく設定されている場合 1 つの FortiGate ユニットは数万のルートをサポートできます OSPF AS の定義には 次の操作が含まれます 1 つ以上の OSPF エリアの特性の定義 定義した OSPF エリアと その OSPF AS に含めるローカルネットワークの間の関連付けの作成 必要に応じて OSPF が有効なインタフェースの設定の調整

206 OSPF ルータ - ダイナミック Web ベースマネージャを使用してこれらのタスクを実行する方法の詳細については 下に示されている手順に従ってください OSPF AS を定義するには 1 [Router] [Dynamic] [OSPF] の順に選択します 2 [Areas] の [Create New] を選択します 3 1つ以上のOSPFエリアの特性を定義します 209 ページの OSPF エリアの定義 を参照してください 4 [Networks] の [Create New] を選択します 5 定義した OSPF エリアと その OSPF AS に含めるローカルネットワークの間の関連付けを作成します 211 ページの OSPF ネットワークの指定 を参照してください 6 OSPF が有効なインタフェースのデフォルト設定を調整する必要がある場合は [Interfaces] の [Create New] を選択します 7 インタフェースのOSPF 動作パラメータを選択します 212 ページの OSPF インタフェースの動作パラメータの選択 を参照してください 8 OSPF が有効な他のインタフェースに対して 必要に応じて手順 6. と 7. を繰り返します 9 必要に応じて OSPF AS の OSPF 詳細設定オプションを選択します 208 ページの OSPF 詳細設定オプションの選択 を参照してください 10 [Apply] を選択します 基本的な OSPF 設定の表示と編集 OSPF 設定を設定する場合は OSPF を有効にする AS を定義すると共に その AS に参加する FortiGate インタフェースを指定する必要があります AS の定義の一部として AS エリアを指定し それらのエリアに含めるネットワークを指定します また FortiGate インタフェース上の OSPF 動作に関連付けられた設定を調整することもできます OSPF 設定を表示および編集するには [Router] [Dynamic] [OSPF] の順に選択します 図 108 は "port1" という名前のインタフェースを持つ FortiGate ユニットの基本的な OSPF 設定です FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります

207 ルータ - ダイナミック OSPF 図 108: 基本的な OSPF 設定 [Router ID] [Advanced Options] [Areas] FortiGate ユニットを他の OSPF ルータと区別するための一意のルータ ID を入力します 慣例により ルータ ID は OSPF AS 内のいずれかの FortiGate インタフェースに割り当てられた数値的に最も大きい IP アドレスです OSPF の実行中は ルータ ID を変更しないでください OSPF の詳細設定を選択します 208 ページの OSPF 詳細設定オプションの選択 を参照してください OSPF AS を構成しているエリアに関する情報 OSPF パケットのヘッダには AS 内にあるパケットの発信元の識別に役立つエリア ID が含まれています [Create New] [Area] OSPF エリアを定義し [Areas] リストに新しいエリアを追加する場合に選択します 209 ページの OSPF エリアの定義 を参照してください ドット区切り 10 進数で表記された AS 内にあるエリアの一意の 32 ビット識別子 エリア ID は AS のバックボーンを参照しており 変更や削除はできません [Type] AS 内のエリアの種類には 次のものがあります エリアが通常の OSPF エリアである場合は "Regular" が表示されます エリアが NSSA である場合は "NSSA" が表示されます エリアがスタブである場合は "stub" が表示されます 詳細については 209 ページの OSPF エリアの定義 を参照してください [Authentication] 各エリアにリンクされているすべての FortiGate インタフェースを介して送受信された OSPF パケットを認証するための方法 認証が無効になっている場合は "None" が表示されます テキストベースのパスワード認証が有効になっている場合は "Text" が表示されます MD5 認証が有効になっている場合は "MD5" が表示されます [Interfaces] に表示されているように エリア内の一部のインタフェースに対して別の認証設定が適用される可能性があります たとえば あるエリアで単純なパスワードを認証に使用している場合は そのエリア内の 1 つ以上のネットワークに対して別のパスワードを設定できます

208 OSPF ルータ - ダイナミック [Networks] OSPF 詳細設定オプションの選択 OSPF AS 内のネットワークと それぞれのエリア ID [Networks] リストにネットワークを追加すると そのネットワークに含まれているすべての FortiGate インタフェースが OSPF リンク状態アドバタイズメントでアドバタイズされます OSPF ネットワークアドレス空間に一致する IP アドレスを持つすべての FortiGate インタフェース上で OSPF を有効にすることができます [Create New] [Network] AS にネットワークを追加し そのエリア ID を指定し 定義を [Networks] リストに追加する場合に選択します 211 ページの OSPF ネットワークの指定 を参照してください OSPF を実行している AS 内のネットワークの IP アドレスとネットワークマスク FortiGate ユニットは そのネットワークに接続された物理または VLAN インタフェースを備えている可能性があります [Area] OSPF ネットワークアドレス空間に割り当てられたエリア ID [Interfaces] FortiGate インタフェース上の OSPF 動作を調整するために必要な任意の追加の設定 削除アイコンと編集アイコン [Create New] [Name] [Interface] FortiGate インタフェースの追加または別の OSPF 動作パラメータを追加し 設定を [Interfaces] リストに追加する場合に選択します 212 ページの OSPF インタフェースの動作パラメータの選択 を参照してください OSPF インタフェース定義の名前 同じエリア内の他のすべてのインタフェースに割り当てられたデフォルト値とは異なる OSPF 設定を持つ FortiGate 物理または VLAN インタフェースの名前 [IP] 追加または別の設定を持つ OSPF が有効なインタフェースのIPアドレス [Authentication] OSPF が有効な特定のインタフェース上で送受信された LSA 交換を認証するための方法 これらの設定によって そのエリアの [Authentication] 設定が置き換えられます OSPF エリアエントリ ネットワークエントリ またはインタフェース定義を削除または編集する場合に選択します OSPF 詳細設定オプションを使用すると FortiGate ユニットが OSPF リンク状態アドバタイズメント以外の何らかの手段によって学習するルートを再配布するためのメトリックを指定できます たとえば FortiGate ユニットが RIP または BGP ネットワークに接続されている場合 または FortiGate ルーティングテーブルに静的ルートを手動で追加する場合は これらのルートを OSPF が有効なインタフェース上でアドバタイズするようにFortiGateユニットを設定できます RIP 詳細設定オプションを選択するには [Router] [Dynamic] [RIP] の順に選択し [Advanced Options] を展開します オプションを選択したら [Apply] を選択します

209 ルータ - ダイナミック OSPF 図 109: 高度なオプション (OSPF) [Default Information] [Redistribute] OSPF AS へのデフォルト ( 外部 ) ルートを生成し アドバタイズします 生成されるルートは ダイナミックルーティングプロトコルを介して学習されたルート ルーティングテーブル内のルート またはその両方に基づいている可能性があります [None] デフォルトルートの生成を無効にします [Regular] [Always] OSPF AS へのデフォルトルートを生成し そのルートが FortiGate ルーティングテーブルに格納される場合のみ そのルートを隣接する自律システムにアドバタイズします OSPF AS へのデフォルトルートを生成し そのルートが FortiGate ルーティングテーブルに格納されない場合であっても そのルートを隣接する自律システムに無条件にアドバタイズします OSPF を介して学習されなかったルートに関する OSPF リンク状態アドバタイズメントを有効または無効にします FortiGate ユニットは OSPF を使用して 直接接続されたネットワーク 静的ルート RIP または BGP から学習されたルートを再配布できます [Connected] 直接接続されたネットワークから学習されたルートを再配布する場合にオンにします これらのルートのコストを指定する場合は [Metric] フィールドにコストを入力します 範囲は 1 ~ 16,777,214 です [Static] [RIP] [BGP] 静的ルートから学習されたルートを再配布する場合にオンにします これらのルートのコストを指定する場合は [Metric] フィールドにコストを入力します 範囲は 1 ~ 16,777,214 です RIP を介して学習されたルートを再配布する場合にオンにします これらのルートのコストを指定する場合は [Metric] フィールドにコストを入力します 範囲は 1 ~ 16,777,214 です BGP を介して学習されたルートを再配布する場合にオンにします これらのルートのコストを指定する場合は [Metric] フィールドにコストを入力します 範囲は 1 ~ 16,777,214 です 注記 : CLI を使用すると 更に多くの OSPF 詳細設定が可能です 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください OSPF エリアの定義 エリアによって OSPF AS の一部が論理的に定義されます 各エリアは 10 進数ドット表記で表現された 32 ビットのエリア ID によって識別されます エリア ID は OSPF ネットワークバックボーンのために予約されています AS の残りのエリアを 次の 3 つの方法のいずれかで分類できます 通常 スタブ

210 OSPF ルータ - ダイナミック NSSA 通常エリアには そのエリアへの OSPF が有効なインタフェースを それぞれが少なくとも 1 つは備えた複数のルータが含まれます OSPF バックボーンに到達するには スタブエリア内のルータはパケットをエリア境界ルータに送信する必要があります OSPF 以外のドメインにつながるルートは スタブエリア内のルータにはアドバタイズされません エリア境界ルータは OSPF AS に スタブエリアへの単一のデフォルトルート ( 宛先は ) をアドバタイズします これにより 特定のルートに該当しない OSPF パケットは全てデフォルトルートに従うことが保証されます スタブエリアに接続されたルータはすべて そのスタブエリアの一部と見なされます NSSA (Not-So-Stubby Area) では そのエリアから出て OSPF 以外のドメインにつながるルートが OSPF AS に通知されます ただし そのエリア自体は AS の他の部分によって引き続きスタブエリアのように扱われます 通常エリアとスタブエリア (NSSA を含む ) は エリア境界ルータを介して OSPF バックボーンに接続されます OSPF エリアを定義するには [Router] [Dynamic] [OSPF] の順に選択し [Areas] の [Create New] を選択します OSPF エリアの属性を編集するには [Router] [Dynamic] [OSPF] の順に選択し そのエリアに対応した行にある編集アイコンを選択します 注記 : 必要に応じて OSPF バックボーンへの物理的な接続が失われたエリアへの仮想リンクを定義できます 仮想リンクは エリア境界ルータとして機能する 2 つの FortiGate ユニット間にのみ設定できます 詳細については FortiGate CLI リファレンス の OSPF "config area" サブコマンドの下にある "config virtual-link" を参照してください 図 110: [New/Edit OSPF Area] [Area] エリアの 32 ビット識別子を入力します この値は 10 進数ドット表記で表現された IP アドレスと同じ形式にする必要があります OSPF エリアを作成した後 エリア IP の値を変更することはできません

211 ルータ - ダイナミック OSPF OSPF ネットワークの指定 [Type] そのエリアに割り当てられるネットワークの特性を分類するためのエリアの種類を選択します エリアに そのエリアへの OSPF が有効なインタフェースをそれぞれが少なくとも 1 つは備えた複数のルータを含める場合は [Regular] を選択します 外部の OSPF 以外のドメインへのルートを OSPF AS に通知するが そのエリアは AS の他の部分によってスタブエリアのように扱われるようにする場合は [NSSA] を選択します エリア内のルータがバックボーンに到達するにはパケットをエリア境界ルータに送信する必要があり OSPF 以外のドメインへのルートがエリア内のルータにアドバタイズされないようにする場合は [STUB] を選択します [Authentication] エリア内のすべてのインタフェースを介して送受信された OSPF パケットを認証するための方法を選択します 認証を無効にするには [None] を選択します プレーンテキストのパスワードを使用して LSA 交換を認証するためにテキストベースのパスワード認証を有効にするには [Text] を選択します このパスワードは ネットワーク上をクリアテキストで送信されます MD5 ハッシュを使用した MD5 認証を有効にするには [MD5] を選択します 必要に応じて そのエリア内の 1 つ以上のインタフェースに対してこの設定を置き換えることができます (212 ページの OSPF インタフェースの動作パラメータの選択 を参照 ) 注記 : エリアにネットワークを割り当てるには 211 ページの OSPF ネットワークの指定 を参照してください OSPF エリアによって いくつかの隣接ネットワークがグループ化されます ネットワークアドレス空間にエリア ID を割り当てると そのエリアの属性がネットワークに関連付けられます ネットワークにOSPF エリア ID を割り当てるには [Router] [Dynamic] [OSPF] の順に選択し [Networks] の [Create New] を選択します ネットワークに割り当てられた OSPF エリア ID を変更するには [Router] [Dynamic] [OSPF] の順に選択し そのネットワークに対応した行にある編集アイコンを選択します 図 111: [New/Edit OSPF Network] [IP/Netmask] [Area] OSPF エリアに割り当てるローカルネットワークのIP アドレスとネットワークマスクを入力します ネットワークのエリア ID を選択します このエリアの属性は 指定したネットワークの特性およびトポロジに一致している必要があります エリア ID を選択する前に エリアを定義する必要があります 209 ページの OSPF エリアの定義 を参照してください

212 OSPF ルータ - ダイナミック OSPF インタフェースの動作パラメータの選択 OSPF インタフェース定義には FortiGateのOSPFが有効なインタフェースの特定の動作パラメータが含まれています この定義には インタフェースの名前 ( たとえば external または VLAN_1) インタフェースに割り当てられた IP アドレス インタフェースを介して LSA 交換を認証するための方法 および OSPF の Hello パケットや停止間隔パケットを送受信するためのタイマ設定が含まれます OSPF が有効なネットワークエリアに一致する IP アドレスを持つすべての FortiGate インタフェース上で OSPF を有効にすることができます たとえば のエリアを定義すると OSPF ネットワークは /16 として定義されます 次に vlan1 を /24 として vlan2 を /24 として vlan3 を /24 として定義します この 3 つの VLAN がすべて エリア で OSPF を実行します すべてのインタフェースを有効にするには 特定の IP アドレスに一致するエリアを持つ OSPF ネットワーク /0 を作成します インタフェースに複数の IP アドレスが割り当てられている場合は 同じ FortiGate インタフェースに対して異なる OSPF パラメータを設定できます たとえば 異なるサブネットを介して 2つの隣接機器に同じ FortiGate インタフェースを接続できます ある隣接機器の設定との互換性のために Hello および停止間隔パラメータの 1 つのセットを含む OSPF インタフェース定義を設定すると同時に 2 つ目の隣接機器の設定との互換性を保証するために 同じインタフェースの2つ目のOSPFインタフェース定義を設定できます FortiGate インタフェースの OSPF 動作パラメータを選択するには [Router] [Dynamic] [OSPF] の順に選択し [Interfaces] の [Create New] を選択します OSPF が有効なインタフェースの動作パラメータを編集するには [Router] [Dynamic] [OSPF] の順に選択し OSPF が有効なインタフェースに対応した行にある編集アイコンを選択します 図 112 は "port1" という名前のインタフェースを持つ FortiGate ユニットの [New/Edit OSPF Interface] ダイアログボックスです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 112: [New/Edit OSPF Interface] 追加 [Name] OSPF インタフェース定義を識別する名前を入力します たとえば そのインタフェースのリンク先の OSPF エリアを示す名前にすることができます [Interface] この OSPF インタフェース定義に関連付ける FortiGate インタフェースの名前 ( たとえば port1 external VLAN_1) を選択します FortiGate ユニットは OSPF が有効なネットワークに接続された物理 VLAN 仮想 IPSec または GRE インタフェースを備えている可能性があります

213 ルータ - ダイナミック BGP [IP] OSPF が有効なインタフェースに割り当てられている IP アドレスを入力します このインタフェースは IP アドレスが OSPF ネットワークアドレス空間に一致するため OSPF が有効なインタフェースになります たとえば /24 の OSPF ネットワークを定義しており port1 に IP アドレス が割り当てられている場合は を入力します [Authentication] 指定したインタフェースでの LSA 交換のための認証方法を選択します 認証を無効にするには [None] を選択します プレーンテキストのパスワードを使用して LSA 交換を認証するには [Text] を選択します このパスワードは最大 35 文字であり ネットワーク上をクリアテキストで送信されます 1 つ以上のキーを使用して MD5 ハッシュを生成するには [MD5] を選択します この設定によって そのエリアの [Authentication] 設定が置き換えられます [Password] プレーンテキストのパスワードを入力します 最大 15 文字の英数字の値を入力します この FortiGate インタフェースにリンク状態アドバタイズメントを送信する OSPF 隣接機器にも 同じパスワードが設定されている必要があります このフィールドは プレーンテキスト認証を選択した場合にのみ使用できます [MD5 Keys] [ID] フィールドに ( 最初の ) パスワードのキー識別子 ( 範囲は 1 ~ 255) を入力した後 [Key] フィールドにそれに関連付けられたパスワードを入力します このパスワードは 最大 16 文字の英数字文字列です このFortiGateインタフェースにリンク状態アドバタイズメントを送信する OSPF 隣接機器にも 同じ MD5 キーが設定されている必要があります OSPF 隣接機器が MD5 ハッシュの生成に複数のパスワードを使用している場合は [Add] アイコンを選択してリストに MD5 キーを追加します このフィールドは MD5 認証を選択した場合にのみ使用できます [Hello Interval] [Dead Interval] 必要に応じて すべての OSPF 隣接機器上の [Hello Interval] 設定と互換性があるように [Hello Interval] を設定します この設定によって FortiGate ユニットがインタフェースを介して Hello パケットを送信する間に待つ期間 ( 秒単位 ) が定義されます 必要に応じて すべての OSPF 隣接機器上の [Dead Interval] 設定と互換性があるように [Dead Interval] を設定します この設定によって FortiGate ユニットがインタフェースを介して OSPF 隣接機器から Hello パケットを受信するまでに待つ期間 ( 秒単位 ) が定義されます 指定された時間内に FortiGate ユニットが Hello パケットを受信しない場合 FortiGate ユニットは この隣接機器をアクセス不可として宣言します 慣例により [Dead Interval] の値は一般に [Hello Interval] の値の 4 倍です BGP BGP (Border Gateway Protocol) は 異なる ISP ネットワーク間でルーティング情報を交換するために ISP によって一般に使用されるインターネットルーティングプロトコルです たとえば BGP を使用すると ISP ネットワークと RIP や OSPF を使用して自律システム (AS) 内でパケットをルーティングしている AS の間でネットワークパスを共有できます FortiGate での BGP の実装は BGP-4 をサポートしており RFC 1771 に準拠しています BGP の動作 BGP が有効になっている場合 FortiGate ユニットは FortiGate ルーティングテーブルのどの部分が変更されても常に ルーティングテーブルの更新を隣接する自律システムに送信します 各 AS (FortiGate ユニットがメンバになっているローカル AS を含む ) は AS 番号に関連付けられます この AS 番号は 特定の宛先ネットワークを参照します

214 BGP ルータ - ダイナミック BGP 設定の表示と編集 BGP 更新によって 最適なパスが宛先ネットワークにアドバタイズされます FortiGate ユニットが BGP 更新を受信すると FortiGate ユニットは 可能性のあるルートの MED (Multi-Exit Discriminator) 属性を検証して宛先ネットワークへの最適なパスを決定した後 そのパスを FortiGate ルーティングテーブルに記録します BGP には グレースフルリスタートの機能があります この機能により ルータのコントロールプレーンに障害が発生しても転送を継続できるため ソフトウェアの問題の影響が軽減されます また ネットワークの安定化によって ルーティングフラップも削減されます 注記 : グレースフルリスタートやその他の詳細設定は Web ベースマネージャでは設定できず CLI コマンドを使用してのみ設定できます BGP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については FortiGate CLI リファレンス の章 ルータ を参照してください BGP 設定を設定する場合は FortiGate ユニットをメンバとして含む AS を指定すると共に FortiGate ユニットを他の BGP ルータと区別するためのルータ ID を入力します また FortiGate ユニットの BGP 隣接機器を識別し それらの BGP 隣接機器に FortiGate ユニットのどのローカルネットワークをアドバタイズするかを指定することも必要です BGP 設定を表示および編集するには [Router] [Dynamic] [BGP] の順に選択します Webベースマネージャによって 基本的な BGPオプションを設定するための簡略化されたユーザインタフェースが提供されます CLI を使用すると 多くの BGP 詳細設定オプションを設定できます 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください 図 113: 基本的な BGP オプション [Local AS] [Router ID] [Neighbors] FortiGate ユニットがメンバになっているローカル AS の番号を入力します FortiGate ユニットを他の BGP ルータと区別するための一意のルータ ID を入力します ルータ ID は ドット区切り 10 進数の形式で記述された IP アドレスです BGP の実行中にルータ ID を変更すると BGP ピアへのすべての接続が一時的に停止し 接続が再確立されるまで復旧しません 隣接する自律システム内にある BGP ピアの IP アドレスと AS 番号 [IP] BGP が有効なネットワークへの隣接機器インタフェースの IP アドレスを入力します [Remote この隣接機器が属している AS の番号を入力します AS] [Add/Edit] [Neighbors] リストに隣接機器情報を追加するか またはリスト内のエントリを編集する場合に選択します

215 ルータ - ダイナミック マルチキャスト [Networks] 削除アイコン [Neighbor] BGP ピアの IP アドレス [Remote AS] この BGP ピアに関連付けられ自律システムの番号 BGPピアにアドバタイズするネットワークのIPアドレスとネットワークマスク FortiGate ユニットは それらのネットワークに接続された物理または VLAN インタフェースを備えている可能性があります [IP/Netmask] アドバタイズされるネットワークのIPアドレスとネットマスクを入力します [Add] [Network] [Networks] リストにネットワーク情報を追加する場合に選択します BGP ピアにアドバタイズされる主要なネットワークの IP アドレスとネットワークマスク BGP 隣接機器エントリまたは BGP ネットワーク定義を削除する場合に選択します マルチキャスト FortiGate ユニットは ルートバーチャルドメイン内で PIM (Protocol Independent Multicast) バージョン 2 ルータとして動作できます FortiGate ユニットは PIM スパースモード (RFC 2362) および PIM デンスモード (RFC 3973) をサポートしており FortiGate インタフェースが接続されているネットワークセグメント上のマルチキャストサーバまたはレシーバにサービスを提供できます マルチキャストサーバアプリケーションは マルチキャストアドレス ( クラス D) を使用して パケットの 1 つのコピーをレシーバのグループに送信します ネットワーク全体にわたる PIMルータによって パケットがエンドポイント宛先に到達するまで ネットワークを介してそのパケットの 1 つのコピーのみが転送されることが保証されます エンドポイント宛先では そのマルチキャストアドレスに宛てられたトラフィックを要求するマルチキャストクライアントアプリケーションに情報を配信するために必要な場合にのみ このパケットの複数のコピーが作成されます 注記 : PIM 通信をサポートするには 送信 / 受信アプリケーションと その間を接続しているすべての PIM ルータで PIM バージョン 2 が有効になっている必要があります PIM は 静的ルート RIP OSPF または BGP を使用して マルチキャストパケットを宛先に転送できます 発信元から宛先へのパケット配信を有効にするには すべての PIM ルータインタフェース上で スパースモードまたはデンスモードのどちらかが有効になっている必要があります スパースモードのルータは デンスモードのルータにマルチキャストメッセージを送信できません さらに FortiGate ユニットが発信元と PIM ルータの間 または 2 つの PIM ルータの間に配置されているか レシーバに直接接続されている場合は カプセル化された ( マルチキャスト ) パケットまたはカプセル化解除されたデータ (IP トラフィック ) が発信元と宛先の間を通過できるように ファイアウォールポリシーを手動で作成する必要があります PIM ドメインは いくつかの隣接ネットワークで構成された論理的なエリアです このドメインには 少なくとも 1 つのブートストラップルータ (BSR) が含まれます スパースモードが有効になっている場合は いくつかのランデブーポイント (RP) および指定ルータ (DR) も含まれます FortiGate ユニット上で PIM が有効になっている場合 FortiGate ユニットは これらの任意の機能を設定に従っていつでも実行できます スパースモード動作に必要な場合は 静的 RP を定義できます

216 マルチキャスト ルータ - ダイナミック 注記 : 基本的なオプションは Web ベースマネージャで設定できます 追加オプションの多くは CLI コマンドを使用してのみ設定できます PIM 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については FortiGate CLI リファレンス の章 ルータ にある マルチキャスト を参照してください マルチキャスト設定の表示と編集 マルチキャスト (PIM) ルーティングが有効になっている場合は 任意の FortiGate インタフェース上でスパースモードまたはデンスモード動作を設定できます PIM 設定を表示および編集するには [Router] [Dynamic] [Multicast] の順に選択します Web ベースマネージャによって 基本的な PIM オプションを設定するための簡略化されたユーザインタフェースが提供されます PIM 詳細設定オプションは CLI を使用して設定できます 詳細については FortiGate CLI リファレンス の章 ルータ を参照してください 図 114: 基本的なマルチキャストオプション スタティック RP の追加 [Enable Multicast Routing] [ スタティック RP の追加 ] ボタン [Apply] [Create New] [Interface] [Mode] 削除編集 PIM バージョン 2 のルーティングを有効にする場合にオンにします カプセル化されたパケットやカプセル化解除されたデータが発信元と宛先の間を通過できるようにするには PIM が有効なインタフェース上でファイアウォールポリシーを作成する必要があります スパースモード動作に必要な場合は マルチキャストグループのためのパケット配布ツリーのルートとして使用できるランデブーポイント (RP) の IP アドレスを入力します マルチキャストグループからの結合メッセージや 発信元からのデータが RP に送信されます 指定された IP のマルチキャストグループの RP がすでにブートストラップルータ (BSR) に通知されている場合は BSR に通知されている RP が使用され 指定した静的 RP アドレスは無視されます 指定した静的 RP アドレスを保存する場合に選択します インタフェースの新しいマルチキャストエントリを作成する場合に選択します これにより 特定の FortiGate インタフェース上の PIM 動作を微調整したり 特定のインタフェース上でグローバルな PIM 設定を置き換えたりすることができます 217 ページの インタフェース上のマルチキャスト設定の置き換え を参照してください 特定の PIM 設定を持つ FortiGate インタフェースの名前 そのインタフェース上の PIM 動作のモード ([Sparse] または [Dense])

217 ルータ - ダイナミック マルチキャスト [Status] [Priority] [DR Priority] 削除アイコンと編集アイコン インタフェース上のスパースモード RP 候補の状態 インタフェース上の RP 候補を有効または無効にするには そのインタフェースに対応した行にある編集アイコンを選択します そのインタフェース上の RP 候補に割り当てられたプライオリティ番号 RP 候補が有効になっている場合にのみ使用できます インタフェース上の指定ルータ (DR) 候補に割り当てられたプライオリティ番号 スパースモードが有効になっている場合にのみ使用できます インタフェース上の PIM 設定を削除または編集する場合に選択します インタフェース上のマルチキャスト設定の置き換え マルチキャスト (PIM) インタフェースオプションを使用すると PIM ドメインに接続された FortiGate インタフェースの動作パラメータを設定できます たとえば PIM が有効なネットワークセグメントに接続されたインタフェース上でデンスモードを有効にすることができます スパースモードが有効になっている場合は インタフェース上のランデブーポイント (RP) または指定ルータ (DR) 候補のアドバタイズに使用されるプライオリティ番号を調整できます 図 115: マルチキャストインタフェースの設定 [Interface] [PIM Mode] [DR Priority] これらの設定を適用するルート VDOM FortiGate インタフェースの名前を選択します このインタフェースは PIM バージョン 2 が有効なネットワークセグメントに接続されている必要があります 動作のモードを [Sparse Mode] または [Dense Mode] から選択します 同じネットワークセグメントに接続されたすべての PIM ルータが同じ動作モードを実行している必要があります [Sparse Mode] を選択した場合は 残りのオプションを以下の説明に従って調整します FortiGate インタフェース上の DR 候補をアドバタイズするためのプライオリティ番号を入力します 範囲は 1 ~ 4,294,967,295 です この値は 同じネットワークセグメント上の他のすべての PIM ルータの DR インタフェースと比較され DR プライオリティの最も高いルータが DR として選択されます [RP Candidate] インタフェース上の RP 候補を有効または無効にする場合に選択します [RP Candidate Priority] FortiGate インタフェース上の RP 候補をアドバタイズするためのプライオリティ番号を入力します 範囲は 1 ~ 255 です

218 マルチキャスト ルータ - ダイナミック

219 ルータ - モニタ ルーティング情報の表示 ルータ - モニタ この項では [Routing Monitor] リストの読み取り方について説明します このリストには FortiGate ルーティングテーブル内のエントリが表示されます この項には以下のトピックが含まれています ルーティング情報の表示 FortiGate ルーティングテーブルの検索 ルーティング情報の表示 デフォルトでは すべてのルートが [Routing Monitor] リストに表示されます デフォルトのスタティックルートは " 任意の / すべての " パケットの宛先 IP アドレスに一致する /0 として定義されます ルーティングテーブル内のルートを表示するには [Router] [Monitor] の順に選択します 図 116 は "port1" "port4" および "lan" という名前のインタフェースを持つ FortiGate ユニットの [Routing Monitor] リストです FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります 図 116: [Routing Monitor] リスト

220 ルーティング情報の表示 ルータ - モニタ [Type] [Network] [Gateway] [Apply Filter] 以下のいずれかのルートタイプを選択すると ルーティングテーブルが検索され 選択したタイプのルートのみが表示されます [All] は ルーティングテーブル内に記録されているすべてのルートを表示します [Connected] は FortiGate インタフェースへの直接接続に関連付けられたすべてのルートを表示します [Static] は ルーティングテーブルに手動で追加されたスタティックルートを表示します [RIP] は RIP を介して学習されたすべてのルートを表示します [OSPF] は OSPF を介して学習されたすべてのルートを表示します [BGP] は BGP を介して学習されたすべてのルートを表示します [HA] は 高可用性 (HA) クラスタのプライマリユニットと下位ユニットの間で同期化された RIP OSPF および BGP ルートを表示します HA ルートは 下位ユニット上に保持され 仮想クラスタ内の下位のバーチャルドメインとして設定されたバーチャルドメインからルータモニタを表示している場合にのみ表示されます HA ルーティングの同期の詳細については FortiGate 高可用性ユーザガイド を参照してください ルーティングテーブルを検索し 指定したネットワークに一致するルートを表示するための IP アドレスとネットマスク ( たとえば /24) を入力します ルーティングテーブルを検索し 指定したゲートウェイに一致するルートを表示するための IP アドレスとネットマスク ( たとえば /32) を入力します 指定した検索条件に基づいてルーティングテーブル内のエントリを検索し 一致したルートをすべて表示する場合に選択します [Type] FortiGate のルートに割り当てられたタイプの値 ([Static] [Connected] [RIP] [OSPF] または [BGP]) [Subtype] [Network] [Distance] 該当する場合は OSPF ルートに割り当てられたサブタイプの分類 空の文字列は エリア内のルートであることを示しています 宛先は FortiGate ユニットが接続されているエリア内にあります [OSPF inter area] は 宛先は OSPF AS 内にあるが FortiGate ユニットがそのエリアに接続されていないことを示しています [External 1] は 宛先が OSPF AS の外部にあることを示しています 再配布されたルートのメトリックは 外部のコストと OSPF のコストを加算することによって計算されます [External 2] は 宛先が OSPF AS の外部にあることを示しています この場合 再配布されたルートのメトリックは外部のコストのみと等価であり OSPF のコストとして表現されます [OSPF NSSA 1] は [External 1] と同じ意味を持っていますが ルートは NSSA を介して受信されています [OSPF NSSA 2] は [External 2] と同じ意味を持っていますが ルートは NSSA を介して受信されています FortiGateユニットが到達できる宛先ネットワークのIPアドレスとネットワークマスク このルートに関連付けられたディスタンス 0 の値は 同じ宛先への他のルートよりこのルートが優先されることを示しています スタティックルートに割り当てられたディスタンスを変更するには 194 ページの ルーティングテーブルへのスタティックルートの追加 を参照してください ダイナミックルートについては FortiGate CLI リファレンス を参照してください

221 ルータ - モニタ FortiGate ルーティングテーブルの検索 [Metric] [Gateway] [Interface] [Up Time] ルートタイプに関連付けられたメトリック ルートのメトリックは FortiGate ユニットがそのルートをルーティングテーブルに動的に追加するときの方法に影響します RIP を介して学習されたルートには ホップカウントが使用されます OSPF を介して学習されたルートには 相対的なコストが使用されます BGP を介して学習されたルートには このメトリックの MED (Multi-Exit Discriminator) が使用されます ただし 宛先ネットワークへの最適なパスを決定するための属性は MED 以外にもいくつかあります 宛先ネットワークへのゲートウェイの IP アドレス パケットが宛先ネットワークのゲートウェイに転送されるときに使用されるインタフェース RIP OSPF または BGP を介して学習されたルートが到達可能になるまでに要した合計の累積時間 FortiGate ルーティングテーブルの検索 フィルタを適用することで ルーティングテーブルを検索して特定のルートのみを表示できます たとえば スタティックルート 接続されたルート RIP/OSPF/BGP を介して学習されたルート 指定したネットワークまたはゲートウェイに関連付けられたルートなどを表示できます ルートタイプによってルーティングテーブルを検索し その表示をさらにネットワークまたはゲートウェイに従って制限する場合 そのエントリが表示されるようにするには 検索条件として指定するすべての値が 同じルーティングテーブルエントリ内の対応する値に一致している必要があります ( 指定するすべての検索パラメータに暗黙の AND 条件が適用されます ) たとえば FortiGate ユニットがネットワーク /24 に接続されているときに ネットワーク /24 に直接接続されたすべてのルートを表示する場合は [Type] リストから [Connected] を選択し [Network] フィールドに /24 を入力した後 [Apply Filter] を選択して 関連付けられた (1 つまたは複数の ) ルーティングテーブルエントリを表示する必要があります [Type] フィールドに "Connected" という単語が含まれ かつ [Gateway] フィールドに指定した値が含まれたすべてのエントリが表示されます FortiGate ルーティングテーブルを検索するには 1 [Router] [Monitor] [Routing Monitor] の順に選択します 2 [Type] リストから 表示するルートのタイプを選択します たとえば 接続されたすべてのルートを表示するには [Connected] を RIP を介して学習されたすべてのルートを表示するには [RIP] を選択します 3 特定のネットワークへのルートを表示する場合は [Network] フィールドにそのネットワークのIP アドレスとネットマスクを入力します 4 特定のゲートウェイへのルートを表示する場合は [Gateway] フィールドにそのゲートウェイの IP アドレスを入力します 5 [Apply Filter] を選択します 注記 : 検索条件として指定するすべての値が 同じルーティングテーブルエントリ内の対応する値に一致している必要があります

222 FortiGate ルーティングテーブルの検索 ルータ - モニタ

223 ファイアウォール - ポリシー ファイアウォールポリシーについて ファイアウォール - ポリシー ファイアウォールポリシーは FortiGateユニットを通過するすべてのトラフィックを制御します ファイアウォールポリシーを追加することで FortiGate インタフェース ゾーン および VLAN サブインタフェース間の接続とトラフィックを制御できます この項には以下のトピックが含まれています ファイアウォールポリシーについて ファイアウォールポリシーリストの表示 ファイアウォールポリシーの設定 ファイアウォールポリシーの例 ファイアウォールポリシーについて ファイアウォールポリシーは FortiGate ユニットが接続要求をどう処理するのかを判断するために用いる手順です ファイアウォールは 接続要求をパケットの形式で受信すると そのパケットを解析して発信元アドレス 宛先アドレス およびサービス ( ポート番号による ) を抽出します パケットがFortiGateユニットを介して接続されるには そのパケットの発信元アドレス 宛先アドレス およびサービスがファイアウォールポリシーに一致している必要があります ポリシーによって パケットに対するファイアウォールアクションが指示されます アクションの種類には 接続を許可する 接続を拒否する 接続を許可する前に認証を必要とする パケットを IPSec VPN パケットとして処理する などがあります 各ポリシーを設定することにより 接続をルーティングしたり ネットワークアドレス変換 (NAT) を適用して発信元と宛先の IP アドレスやポートを変換したりすることができます ファイアウォールでの発信元アドレスの変換時にダイナミック NAT を使用するには IP プールを追加します ポリシーを使用して FortiGate ユニットを介したポートアドレス変換 (PAT) を設定します ファイアウォールポリシーで制御されるトラフィックに対して異なる保護設定を適用するには ファイアウォールポリシーにプロテクションプロファイルを追加します プロテクションプロファイルの詳細については 287 ページの ファイアウォール - プロテクションプロファイル を参照してください ファイアウォールポリシーのトラフィックロギングを有効にすると このポリシーを使用するすべての接続が FortiGate ユニットでログに記録されます ファイアウォールでのポリシー照合は ポリシーリストの一番上から検索を開始し 最初の一致が見つかるまでリスト内を下に移動することによって行われます ポリシーは ポリシーリスト内に より具体的なポリシーからより一般的なポリシーへの順序で配置します たとえば デフォルトポリシーはすべての接続試行に一致するため 非常に一般的なポリシーです そのポリシーに対する例外は ポリシーリスト内のデフォルトポリシーの上に追加されます デフォルトポリシーの下にあるポリシーが照合されることはありません

224 ファイアウォールポリシーリストの表示 ファイアウォール - ポリシー ポリシー照合の動作 ファイアウォールポリシーを作成または編集する場合は ポリシーオプションを設定できます 選択されたアクションの種類に応じて 異なる一連のオプションが提供されます FortiGate ユニットがインタフェース上で接続試行を受信すると その接続試行に一致するポリシーを検索するためのポリシーリストが選択されます FortiGate ユニットは 接続試行の発信元および宛先アドレスに基づいてポリシーリストを選択します FortiGate ユニットは次に 選択したポリシーリストの一番上から開始して その接続試行の発信元および宛先アドレス サービスポート および接続試行が受信された時刻と日付に一致する最初のポリシーが見つかるまでリストを下に検索します 一致した最初のポリシーが その接続試行に適用されます 一致するポリシーが存在しない場合 その接続は削除されます 一般的なルールとして ファイアウォールポリシーは常に 最も具体的なポリシーから最も一般的なポリシーへの順序に配置します 一般的なポリシーは 複数の発信元および宛先アドレス またはアドレス範囲からの接続を受け付けることのできるポリシーです 一般的なポリシーはまた 複数のサービスポートからの接続を受け付けたり スケジュールを設定したりすることもできます つまり 広範囲の時刻と日付にわたってポリシーを照合できます 一般的なポリシーに対する例外であるポリシーを追加する場合は これらの特定の例外ポリシーを ポリシーリスト内の一般的なポリシーの上に追加する必要があります たとえば 内部ネットワーク上のすべてのユーザの インターネット上のすべてのサービスへのアクセスを許可する一般的なポリシーを設定できます インターネット上の FTP サーバへのアクセスをブロックする場合は FTP 接続を拒否するポリシーを 一般的なポリシーの上に追加する必要があります この拒否ポリシーによって FTP 接続がブロックされますが その他のすべての種類のサービスへの接続試行は FTP ポリシーに一致せず 一般的なポリシーに一致します そのため ファイアウォールは引き続き FTP 接続以外の 内部ネットワークからインターネットへのすべての接続を受け付けます ポリシー照合に関しては 次の点にも注意してください 認証を必要とするポリシーは ポリシーリスト内の 認証を必要としない一致するポリシーの上に追加する必要があります そうしないと 認証を必要としないポリシーが最初に選択されます IPSec VPN トンネルモードポリシーは ポリシーリスト内の 一致する許可または拒否ポリシーの上に追加する必要があります SSL VPN ポリシーは ポリシーリスト内の 一致する許可または拒否ポリシーの上に追加する必要があります ファイアウォールポリシーリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 ファイアウォールポリシーはバーチャルドメインごとに別々に設定されます ポリシーにアクセスするには メインメニューからバーチャルドメインを選択します ポリシーリスト内のポリシーに対して追加 削除 編集 および並べ替えを行うことができます ポリシーリストを表示するには [Firewall] [Policy] の順に選択します

225 ファイアウォール - ポリシー ファイアウォールポリシーリストの表示 図 117: サンプルのポリシーリスト フィルタ 削除 編集 [Insert Policy Before] 移動 ポリシーリストには デフォルトで次の情報が表示されます [Create New] [Column Settings] フィルタアイコン ID [Source] [Destination] [Schedule] [Service] [Profile] [Action] 削除アイコン編集アイコン [Insert Policy Before] アイコン移動アイコン ファイアウォールポリシーを追加する場合に選択します 225 ページの ファイアウォールポリシーの追加 を参照してください ファイアウォールポリシーまたはファイアウォールポリシーセクションのどちらを追加するかを選択するには [Create New] の横にある下矢印を選択します ファイアウォールポリシーセクションは ファイアウォールポリシーをグループ化するための方法です テーブルの表示をカスタマイズする場合に選択します 表示する列を選択し テーブル内の列の表示順序を指定することができます 列フィルタを編集する場合に選択します 列フィルタを使用すると 指定した条件に従ってポリシーリストをフィルタ処理したり 並べ替えたりすることができます ポリシー識別子 ポリシーには ポリシーリストに追加された順序で番号が付けられます このポリシーを適用する発信元アドレスまたはアドレスグループ 247 ページの ファイアウォール - アドレス を参照してください また ポリシーリストからアドレス情報を編集することもできます アドレスをクリックすると [Edit Address] ダイアログボックスが開きます このポリシーを適用する宛先アドレスまたはアドレスグループ 247 ページの ファイアウォール - アドレス を参照してください また ポリシーリストからアドレス情報を編集することもできます アドレスをクリックすると [Edit Address] ダイアログボックスが開きます このポリシーがアクティブになる時期を制御するためのスケジュール 261 ページの ファイアウォール - スケジュール を参照してください このポリシーを適用するサービス 253 ページの ファイアウォール - サービス を参照してください このポリシーに関連付けられたプロテクションプロファイル このポリシーが接続試行に一致したときに実行する応答 リストからこのポリシーを削除する場合に選択します このポリシーを編集のために開く場合に選択します 対応するポリシーの上に新しいポリシーを追加する場合に選択します ([New Policy] 画面が表示されます ) 対応するポリシーを リスト内の別のポリシーの前または後に移動する場合に選択します 226 ページの ポリシーリスト内の別の位置へのポリシーの移動 を参照してください ファイアウォールポリシーの追加 ファイアウォールポリシーリストにファイアウォールポリシーを追加するには 次の手順を使用します 1 [Firewall] [Policy] の順に選択します

226 ファイアウォールポリシーの設定 ファイアウォール - ポリシー 2 [Create New] を選択するか またはリスト内のポリシーの横にある [Insert Policy Before] アイコンを選択して そのポリシーの上に新しいポリシーを追加します 3 発信元および宛先インタフェースを選択します 4 発信元および宛先アドレスを選択します 5 ポリシーを設定します ポリシーの設定については 226 ページの ファイアウォールポリシーの設定 を参照してください 6 [OK] を選択します 7 予期した結果が得られるように ポリシーリスト内にポリシーを配置します ポリシーリスト内でのポリシーの配置については 224 ページの ポリシー照合の動作 および ポリシーリスト内の別の位置へのポリシーの移動 を参照してください ポリシーリスト内の別の位置へのポリシーの移動 リスト内でポリシーを移動して そのポリシーの評価方法に影響を与えることができます 同じインタフェースペアに対して複数のポリシーが定義されている場合は リスト内で先頭にあるポリシーが最初に評価されます ファイアウォール暗号化ポリシーを予期したとおりに有効にするには それらの順序が重要になります ファイアウォール暗号化ポリシーは 通常のファイアウォールポリシーの前に評価する必要があります リスト内でポリシーを移動しても そのポリシーの ID 番号は変更されません 図 118: ポリシーの移動 1 [Firewall] [Policy] の順に選択します 2 移動するポリシーの横の同じ行内にある [Move To] アイコンを選択します 3 ポリシーの位置を指定します 4 [OK] を選択します ファイアウォールポリシーの設定 ファイアウォールポリシーを使用して 通信セッションに適用するファイアウォールポリシーの選択方法 および FortiGate ユニットでのその通信セッション内のパケットの処理方法を定義します ファイアウォールポリシーを追加または編集するには [Firewall] [Policy] の順に選択します

227 ファイアウォール - ポリシー ファイアウォールポリシーの設定 通信セッションを受け付けるための ACCEPT ポリシーを追加できます ACCEPT ポリシーを使用すると ポリシーで受け付けられる通信セッションに対して ウイルススキャンや認証などの FortiGate の機能を適用できます ACCEPT ポリシーでは 発信元または宛先のどちらかが IPSec 仮想インタフェースである場合 インタフェースモードの IPSec VPN トラフィックを有効にすることができます 詳細については 303 ページの IPSec インタフェースモードの概要 を参照してください 通信セッションを拒否するための DENY ポリシーを追加できます また IPSec トンネルモードのVPN トラフィックを有効にするためのIPSec 暗号化ポリシーや SSL VPN トラフィックを有効にするための SSL VPN 暗号化ポリシーを追加することもできます ファイアウォール暗号化ポリシーは IPSec または SSL VPN セッション中に許可される IP トラフィックの種類を決定します ファイアウォール暗号化ポリシーによって許可された場合 指定した種類の IP パケットがローカルプライベートネットワークへのFortiGate インタフェースに到着した場合は常に トンネルを自動的に開始できます 詳細については 238 ページの IPSec のファイアウォールポリシーオプション または 239 ページの SSL- VPN のファイアウォールポリシーオプション を参照してください 図 119: ポリシーオプション - NAT/ ルートモードの ACCEPT ポリシー

228 ファイアウォールポリシーの設定 ファイアウォール - ポリシー 図 120: ポリシーオプション - トランスペアレントモードの ACCEPT ポリシー 図 121: ポリシーオプション - DENY ポリシー

229 ファイアウォール - ポリシー ファイアウォールポリシーの設定 図 122: ポリシーオプション - FortiClient の確認 発信元および宛先の [Interface/Zone] は ファイアウォールポリシーと通信セッションの発信元および宛先を照合します [Address Name] は 通信セッションの発信元および宛先アドレスを照合します [Schedule] は ファイアウォールポリシーが有効になる時期を定義します [Service] は ファイアウォールポリシーと 通信セッションで使用されているサービスを照合します [Action] は FortiGateユニットでのトラフィックの処理方法を定義します トラフィックを許可または拒否するアクションを指定するか またはファイアウォール暗号化ポリシーを設定します 残りのファイアウォールポリシーオプション ([NAT] [Protection Profile] [Log Allowed Traffic] [Log Violation Traffic] [Authentication] および [Traffic Shaping]) は 追加機能を設定する場合に使用できます [Log Violation Traffic] は トラフィックを拒否するためのポリシーに適用できます CLI コマンドを使用して Differentiated Services を設定できます ( FortiGate CLI リファレンス の ファイアウォール の章を参照 )

230 ファイアウォールポリシーの設定 ファイアウォール - ポリシー ファイアウォールポリシーのオプション ファイアウォールポリシーを追加するには [Firewall] [Policy] の順に選択し [Create New] を選択します 次のファイアウォールポリシーオプションを設定できます [Source] [Destination] このポリシーに従う IP パケットの発信元の特性を指定します [Interface/Zone] IP パケットが受信される FortiGate インタフェースまたはゾーンの名前を選択します インタフェースとゾーンは [System] [Network] ページで設定されます インタフェースについては 69 ページの インタフェース を参照してください ゾーンについては 88 ページの ゾーン を参照してください [Action] が [IPSEC] に設定されている場合 このインタフェースは ローカルプライベートネットワークに関連付けられます [Action] が [SSL-VPN] に設定されている場合 このインタフェースは リモートの SSL VPN クライアントからの接続に関連付けられます [Address Name] 発信元のインタフェースまたはゾーンに関連付ける 以前に定義した IP アドレスの名前を選択するか または [Create New] を選択して新しい IP アドレスを定義します パケットがこのポリシーに従うためには 関連付けられた IP アドレスがそのヘッダに含まれている必要があります アドレスは 前もって作成しておくことができます 249 ページの アドレスの設定 を参照してください [Action] が [IPSEC] に設定されている場合 このアドレスは FortiGate ユニットの背後に配置されているホスト サーバ またはネットワークのプライベート IP アドレスです [Action] が [SSL-VPN] に設定されており これが Web のみモードのクライアントのためのポリシーである場合は [all] を選択します [Action] が [SSL-VPN] に設定されており これがトンネルモードのクライアントのためのポリシーである場合は そのトンネルモードのクライアントのために予約したアドレスの名前を選択します このポリシーに従う IP パケットの宛先の特性を指定します

231 ファイアウォール - ポリシー ファイアウォールポリシーの設定 [Schedule] [Service] [Interface/Zone] [Address Name] IP パケットの転送先の FortiGate インタフェースまたはゾーンの名前を選択します インタフェースとゾーンは [System] [Network] ページで設定されます インタフェースについては 69 ページの インタフェース を参照してください ゾーンについては 88 ページの ゾーン を参照してください [Action] が [IPSEC] に設定されている場合 このインタフェースは VPN トンネルへの入口に関連付けられます [Action] が [SSL-VPN] に設定されている場合 このインタフェースは ローカルプライベートネットワークに関連付けられます 宛先のインタフェースまたはゾーンに関連付ける 以前に定義した IP アドレスの名前を選択するか または [Create New] を選択して新しい IP アドレスを定義します パケットがこのポリシーに従うためには 関連付けられた IP アドレスがそのヘッダに含まれている必要があります アドレスは 前もって作成しておくことができます 249 ページの アドレスの設定 を参照してください [Action] が [IPSEC] に設定されている場合 このアドレスは VPN トンネルのリモートエンドポイントにある パケットの配信先になる可能性のあるプライベート IP アドレスです [Action] が [SSL-VPN] に設定されている場合は FortiGate ユニットの背後に配置されている リモートクライアントがアクセスする必要のあるホスト サーバ またはネットワークに対応する IP アドレスの名前を選択します ポリシーと通信セッションとの照合が可能になる時期を制御するための ワンタイムスケジュールまたは反復スケジュールを選択します スケジュールは [Firewall] [Schedule] の順に選択することにより 前もって作成しておくことができます 261 ページの ファイアウォール - スケジュール を参照してください また ポリシーの設定中に [Create New] を選択して 反復スケジュールまたはワンタイムスケジュールを作成することもできます 反復スケジュールまたはワンタイムスケジュールに必要な情報を追加し [OK] を選択します 新しいスケジュールが [Schedule] リストに追加されます このポリシーと照合するパケットのサービスまたはプロトコルに一致するサービスまたはサービスグループの名前を選択します 広範囲の定義済みサービスから選択します カスタムサービスは [Firewall] [Service] [Custom] の順に選択することにより 前もって作成しておくことができます サービスグループは [Firewall] [Service] [Group] の順に選択することにより 前もって作成しておくことができます 257 ページの カスタムサービスの設定 および 259 ページの サービスグループの設定 を参照してください また ポリシーの設定中に [Create New] を選択して カスタムサービスまたはサービスグループを作成することもできます カスタムサービスまたはサービスグループに必要な情報を追加し [OK] を選択します 新しいカスタムサービスまたはサービスグループが [Service] リストに追加されます

232 ファイアウォールポリシーの設定 ファイアウォール - ポリシー [Action] [NAT] パケットがポリシーの条件に一致したときのファイアウォールの対応を選択します [ACCEPT] [DENY] [IPSEC] [SSL-VPN] このポリシーに一致したトラフィックを受け付けます NAT プロテクションプロファイル トラフィックのログ記録 トラフィックのトラフィックシェーピング 認証オプションに関する各種設定と このポリシーへのコメントの追加を行うことができます このポリシーに一致したトラフィックを拒否します これを選択した場合に設定可能なポリシーオプションは トラフィックのログ記録 ( このポリシーで拒否された接続のログ記録 ) と このポリシーへのコメントの追加だけです IPSec のファイアウォール暗号化ポリシーを設定します これにより FortiGate ユニットで IPSec VPN パケットが処理されるようになります 238 ページの IPSec のファイアウォールポリシーオプション を参照してください SSL-VPN のファイアウォール暗号化ポリシーを設定します これにより FortiGate ユニットで SSL VPN トラフィックが受け付けられるようになります このオプションは SSL VPN ユーザグループを追加しないと使用できません 239 ページの SSL-VPN のファイアウォールポリシーオプション を参照してください このポリシーに対するネットワークアドレス変換を有効にします NAT は このポリシーで受け付けられるパケットの 発信元アドレスとポート番号を変換します [NAT] が選択されている場合は [Dynamic IP Pool] と [Fixed Port] を設定できます NAT は トランスペアレントモードでは使用できません [Dynamic IP Pool] [Fixed Port] 発信元アドレスを IP プールからランダムに選択されたアドレスに変換する場合に選択します IP プールは 単一の IP アドレスまたは IP アドレスの範囲となります IP プールのアドレスがあらかじめ宛先インタフェースに追加されている場合は IP プールのリストが表示されます FortiGate ユニットで 発信元アドレスをこの IP プールで定義されたいずれかのアドレスに変換するには 宛先インタフェースに追加された IP プールの名前を選択します 宛先インタフェース VLAN サブインタフェース または宛先ゾーン内のインタフェースまたは VLAN サブインタフェースのいずれかが DHCP または PPPoE を使用して設定されている場合は [Dynamic IP Pool] を選択できません ゾーンを使用している場合は IP プールを使用できません IP プールは インタフェースにのみ関連付けることができます IP プールの追加については 283 ページの IP プール を参照してください NAT で発信元ポートを変換しないようにするには [Fixed Port] を選択します 一部のアプリケーションでは 発信元ポートが変更されてしまうと正しく機能しません ほとんどの場合 [Fixed Port] を選択するときは [Dynamic IP Pool] も選択します [Dynamic IP Pool] を選択していない場合には [Fixed Port] を選択したポリシーは 一度に 1 つの接続しか許可しません

233 ファイアウォール - ポリシー ファイアウォールポリシーの設定 [Protection Profile] [Log Allowed Traffic] [Log Violation Traffic] [Authentication] [Check FortiClient is Installed and Running] [Traffic Shaping] ファイアウォールポリシーにアンチウイルス Web フィルタリング Web カテゴリフィルタリング スパムフィルタリング IPS コンテンツアーカイブ およびロギングを適用する方法を設定するためのプロテクションプロファイルを選択します プロテクションプロファイルは前もって作成することも プロファイルの設定中に作成することもできます この時点で作成されたプロファイルは プロテクションプロファイルリストに表示されます プロテクションプロファイルの追加および設定については 287 ページの ファイアウォール - プロテクションプロファイル を参照してください 詳細設定の中の [Authentication] を選択すると 認証用に選択するユーザグループはすでにプロテクションプロファイルと結び付けられているため プロテクションプロファイルオプションは無効になります ファイアウォールポリシーへの認証の追加の詳細については 234 ページの ファイアウォールポリシーへの認証の追加 を参照してください ACCEPT IPSEC または SSL-VPN ポリシーの場合 このポリシーで接続が処理された際に常にメッセージをトラフィックログに記録するには [Log Allowed Traffic] を選択します ロギング場所 (syslog WebTrends 使用可能な場合はローカルディスク メモリ または FortiAnalyzer) のトラフィックログを有効にし ロギングレベルを [Notification] 以下に設定します ロギングについては 431 ページの ログおよびレポート を参照してください DENY ポリシーの場合 このポリシーで接続が処理された際に常にメッセージをトラフィックログに記録するには [Log Violation Traffic] を選択します ロギング場所 (syslog WebTrends 使用可能な場合はローカルディスク メモリ または FortiAnalyzer) のトラフィックログを有効にし ロギングレベルを [Notification] 以下に設定します ロギングについては 431 ページの ログおよびレポート を参照してください [Authentication] を選択する前に ユーザグループにユーザとファイアウォールプロテクションプロファイルを追加しておきます ユーザグループの追加および設定については 346 ページの ユーザグループ を参照してください [Authentication] は [Action] が [ACCEPT] または [SSL-VPN] に設定されている場合に使用できます ファイアウォールポリシーへの認証の追加の詳細については 234 ページの ファイアウォールポリシーへの認証の追加 を参照してください FortiGate モデル 1000A 3600A および 5005FA2 の場合は FortiClient Host Security ソフトウェアをインストールしておらず動作させていないホストのアクセスをファイアウォールポリシーで拒否できます 239 ページの ホスト上の FortiClient を確認するためのオプション を参照してください [Traffic Shaping] は このポリシーで使用可能な帯域幅を制御し このポリシーで処理されるトラフィックのプライオリティを設定します 注記 : すべてのファイアウォールポリシーでトラフィックシェーピングを有効にするようにしてください ポリシーにトラフィックシェーピングルールを何も適用しない場合 そのポリシーは デフォルトで高いプライオリティに設定されます ファイアウォールポリシーを 3 つのプライオリティキュー ( 低 中 高 ) のすべてに分散させてください すべてのファイアウォールポリシーの [Guaranteed Bandwidth] の合計が インタフェースの総帯域幅を大幅に下回るようにしてください トラフィックシェーピングを設定する方法については 235 ページの ファイアウォールポリシーへのトラフィックシェーピングの追加 を参照してください

234 ファイアウォールポリシーの設定 ファイアウォール - ポリシー [User Authentication Disclaimer] [Redirect URL] [Comments] [Authentication Disclaimer] ページ ( 差し替えメッセージ ) を表示します ユーザが宛先に接続するには この表示された ユーザ認証免責条項を受け入れる必要があります この免責条項表示は 認証またはプロテクションプロファイルと共に使用できます このオプションは 一部のモデルで使用できます SSL-VPN ポリシーには使用できません ここに URL を入力しておくと 認証の後またはユーザ認証免責条項を受け入れた後 ユーザがその URL にリダイレクトされます このオプションは 一部のモデルで使用できます SSL-VPN ポリシーには使用できません 説明 またはポリシーに関するその他の情報を追加します コメントは スペースを含め 最大 63 文字まで入力できます ファイアウォールポリシーへの認証の追加 [Authentication] を選択する前に ユーザグループにユーザとファイアウォールプロテクションプロファイルを追加しておきます ユーザグループの追加および設定については 346 ページの ユーザグループ を参照してください 認証は [Action] が [ACCEPT] に設定されている場合に使用できます [Authentication] を選択し ファイアウォールで接続を受け付ける前に ユーザにユーザ名とパスワードの入力を義務付ける 1 つ以上のユーザグループを選択します 図 123: 認証のためのユーザグループの選択 任意のサービスに対して [Authentication] を選択します ユーザはファイアウォールに対して HTTP Telnet または FTP で認証することができます ユーザを認証できるようにするには 認証のために設定された HTTP Telnet または FTP のポリシーを追加します ユーザが このポリシーを使用してファイアウォールを介した接続をしようとすると ファイアウォールのユーザ名とパスワードを入力するよう求められます ファイアウォールの認証方法には ローカルに定義されたユーザグループ以外に LDAP および RADIUS ユーザも含まれます [User] [User Group] で定義された Active Directory グループを選択するには ドロップダウンリストから [Active Directory] を選択します Active Directory グループとその他のグループでの認証を同じポリシー内で組み合わせることはできません 注記 : Active Directory サーバで FortiGate ユニットを認証できるようにするには Active Directory ドメインコントローラに FSAE (Fortinet Server Authentication Extensions) がインストールされている必要があります FSAE は Fortinet テクニカルサポートから入手できます 他のサービス ( たとえば POP3 または IMAP) を使用してユーザを認証するには HTTP Telnet および FTP に加えて 認証を必要とするサービスを含むサービスグループを作成します それによって 他のサービスを使用する前に HTTP Telnet または FTP を使用するポリシーでユーザを認証できます

235 ファイアウォール - ポリシー ファイアウォールポリシーの設定 ほとんどの場合は ユーザが認証なしでも ファイアウォールを介して DNS が使用できるようにしておいてください DNS を使用できない場合 ユーザはドメイン名を使用して Web FTP または Telnet サーバに接続できなくなってしまいます 注記 : 認証を必要とするポリシーは ポリシーリスト内の 条件に合ってしまう認証を必要としないポリシーの上に追加する必要があります そうしないと 認証を必要としないポリシーが最初に選択されてしまいます ファイアウォールポリシーへのトラフィックシェーピングの追加 トラフィックシェーピングは 利用可能な帯域幅を制御し 処理対象のトラフィックのプライオリティをポリシーに基づいて設定します トラフィックシェーピングを行うことで 大量のデータがFortiGateデバイスを通過しているときに どのポリシーに最も高いプライオリティを与えるかを制御できるようになります たとえば 企業の Web サーバのためのポリシーには 大部分の従業員のコンピュータのためのポリシーよりも高いプライオリティを与えることができます きわめて高速なインターネットアクセスが必要な従業員に 通常より広い帯域幅を設定した特殊な送信ポリシーを許可することもできます トラフィックシェーピングは ACCEPT IPSEC およびSSL-VPNポリシーに使用できます また サポートされているすべてのサービス (H.323 TCP UDP ICMP および ESP を含む ) にも使用できます 保証帯域幅と最大帯域幅をキューイングと組み合わせると トラフィックに対する最小帯域幅と最大帯域幅が保証されます トラフィックシェーピングを使用しても 利用可能な帯域幅の総量を増やすことはできませんが 帯域を大量に消費するトラフィックや帯域幅の影響を受けやすいトラフィックの品質を向上させることができます 注記 : トラフィックシェーピングの詳細については FortiGate トラフィックシェーピングテクニカルノート も参考にしてください 保証帯域幅と最大帯域幅 ファイアウォールポリシーの [Guaranteed Bandwidth] フィールドに値を入力すると 選択したネットワークトラフィックに使用可能な帯域幅の量 ( キロバイト / 秒単位 ) が保証されます たとえば 電子商取引トラフィックに対してより高い保証帯域幅を与えることができます ファイアウォールポリシーの [Maximum Bandwidth] フィールドに値を入力すると 選択したネットワークトラフィックに使用可能な帯域幅の量 ( キロバイト / 秒単位 ) が制限されます たとえば IM トラフィック使用の帯域幅を制限して 一部の帯域幅をより重要な電子商取引トラフィックのために取っておくことができます ポリシーで制御されるトラフィックに使用可能な帯域幅は 制御セッションとデータセッションの両方に使用され また双方向のトラフィックに使用されます たとえば 内部から外部への FTP ポリシーに保証帯域幅が適用されているときに 内部ネットワーク上のユーザが FTP を使用してファイルを put および get している場合は このポリシーで制御されるトラフィックが使える帯域幅を put および get の両セッションが共有します あるポリシーで使える保証帯域幅および最大帯域幅は そのポリシーで制御されるすべてのトラフィックで使える総帯域幅です 複数のユーザが同じポリシーを使用して複数の通信セッションを開始した場合は これらの通信セッションのすべてが そのポリシーで使える帯域幅を共有する必要があります

236 ファイアウォールポリシーの設定 ファイアウォール - ポリシー ただし 同じサービスを使用する複数のインスタンスが異なるポリシーで制御されている場合は これらの複数のインスタンス間で使える帯域幅は共有されません たとえば あるネットワークアドレスに対して FTP で使える帯域幅を制限するための 1 つの FTP ポリシーを作成すると同時に 別のネットワークアドレスに対して 別の帯域幅が使えるような別の FTP ポリシーを作成することができます トラフィックプライオリティ 異なる種類のトラフィック間の相対的なプライオリティを管理するには トラフィックプライオリティを設定します 遅延に影響されやすい重要なトラフィックには 高いプライオリティを割り当てる必要があります 遅延の影響が少ない重要度の低いトラフィックには 低いプライオリティを割り当てる必要があります FortiGate Antivirus Firewall は プライオリティの高いコネクションに帯域幅を割り当てる必要がない場合にのみ プライオリティの低い接続に帯域幅を提供します たとえば 音声トラフィックと電子商取引トラフィックに帯域幅を保証するためのポリシーを追加できます 次に 音声トラフィックを制御するポリシーには高いプライオリティを 電子商取引トラフィックを制御するポリシーには中程度のプライオリティを割り当てることができます 帯域幅の使用が集中する時間帯に 音声トラフィックと電子商取引トラフィックの両方で帯域幅が競合した場合は プライオリティの高い音声トラフィックが電子商取引トラフィックの前に送り出されます トラフィックシェーピングの考慮事項 トラフィックシェーピングは その定義上 トラフィックのピーク / バーストの " 正規化 " を試みようとするものであり 特定のフローを他のフローより優先するように設定できます ただし バッファ処理できるデータの量やその期間には物理的な制限があります これらのしきい値を超えてしまうと フレームやパケットが削除され セッションに影響を与えることになります トラフィックシェーピングの設定が正しくない場合は パケットの過剰な破棄が起きてしまい これらのエラーからの回復を試みようとする上位レイヤで余計なオーバーヘッドが発生することがあるため 実際には特定のネットワークフローの品質を大幅に低下させてしまう可能性があります 基本的なトラフィックシェーピングの例として 破棄されてもかまわない他のトラフィックの損失を前提に 特定のトラフィックフローを優先する場合があります つまり トラフィック X に対するパフォーマンスや安定性を増加または保証するために トラフィック Y に対する特定のパフォーマンスや安定性を犠牲にすることを受け入れることになります たとえば 特定のフローに帯域幅の制限を適用する場合は これらのセッションが制限される可能性があり それによって悪影響を受けることがあるという点を容認しなければなりません ファイアウォールポリシーに適用されるトラフィックシェーピングは どちらの方向に流れるトラフィックに対しても適用されます そのため あるセッションが [Internal -> External] ポリシーによって内部のホストから外部のホストに向けて設定されていたとしても 次にデータストリームが外部から内部に入って来ると そのセッションに対してもトラフィックシェーピングが適用されます たとえば FTP の "get" や 電子メールを取得するために外部のサーバに接続された SMTP サーバなどがあります

237 ファイアウォール - ポリシー ファイアウォールポリシーの設定 また トラフィックシェーピングは 通常のトラフィックレートの標準的な IP トラフィックに対してのみ効果があることにも注意してください トラフィックが FortiGate ユニットの容量を超えてしまっているような 極端な高トラフィックの下では トラフィックシェーピングは効果がありません パケットは トラフィックシェーピングに従う前に FortiGate ユニットに受信される必要があります FortiGateユニットが 受信したすべてのトラフィックを処理できない場合は パケットの破棄 遅延 待ち時間などが発生する可能性があります トラフィックシェーピングが最高の状態で機能することを保証するために イーサネットインタフェースの統計情報にエラー 衝突 バッファオーバーランなどがないことを確認してください これらが存在する場合は FortiGate やスイッチの設定の調整が必要になっている可能性があります トラフィックシェーピングを効率的に機能させるために 次のルールを守るようにしてください すべてのファイアウォールポリシーでトラフィックシェーピングを有効にしてください ポリシーにトラフィックシェーピングルールを適用しない場合 そのポリシーは デフォルトで高いプライオリティに設定されてしまいます ファイアウォールポリシーを 3 つのプライオリティキュー ( 低 中 高 ) のすべてに分散させてください すべてのファイアウォールポリシーのすべての [Guaranteed Bandwidth] の合計が インタフェースの帯域幅容量を大幅に下回るようにしてください FortiGate のトラフィックシェーピングの設定ファイアウォールポリシーを設定するときに トラフィックシェーピングの設定を有効にして指定します トラフィックシェーピングを設定するには 1 [Firewall] [Policy] の順に選択します 2 新しいポリシーを作成するとき またはポリシーを編集するときに [Traffic Shaping] オプションを選択します 3 次の 3 つのオプションを設定します [Guaranteed Bandwidth] トラフィックシェーピングを使用して そのポリシーに対するファイアウォールで使用可能な帯域幅の量を保証します プライオリティの高いサービスに使用可能な十分な帯域幅が確保されるように 帯域幅 ( キロバイト単位 ) を保証します すべてのファイアウォールポリシーの [Guaranteed Bandwidth] の総計が インタフェースの帯域幅容量を大幅に下回るようにしてください

238 ファイアウォールポリシーの設定 ファイアウォール - ポリシー [Maximum Bandwidth] [Traffic Priority] トラフィックシェーピングを使用して そのポリシーに対するファイアウォールで使用可能な帯域幅の量を制限します 重要性の低いサービスが より重要なサービスに必要な帯域幅を使ってしまわないようにするために 帯域幅を制限します [High] [Medium] または [Low] を選択します [Traffic Priority] を選択して FortiGate ユニットで 異なる種類のトラフィック間の相対的なプライオリティを管理するようにします たとえば 電子商取引トラフィックのサポートに必要なセキュアな Web サーバに接続するためのポリシーには 高いトラフィックプライオリティを割り当てる必要があります 重要性の低いサービスには 低いプライオリティを割り当てる必要があります ファイアウォールは プライオリティの高い接続に帯域幅を割り当てる必要がない場合にのみ プライオリティの低い接続に帯域幅を提供します すべてのファイアウォールポリシーでトラフィックシェーピングを有効にするようにしてください ポリシーにトラフィックシェーピングルールを適用しない場合 そのポリシーは デフォルトで高いプライオリティに設定されてしまいます ファイアウォールポリシーを 3 つのプライオリティキューのすべてに分散させてください 注記 : 保証帯域幅と最大帯域幅の両方を 0 ( ゼロ ) に設定した場合 そのポリシーではどのトラフィックも許可されません IPSec のファイアウォールポリシーオプション [Action] が [IPSEC] に設定されている場合は 次のオプションが使用できます 図 124: IPSec 暗号化ポリシー [VPN Tunnel] [Allow Inbound] [Allow outbound] [Inbound NAT] [Outbound NAT] フェーズ 1 の設定で定義された VPN トンネルの名前を選択します 指定されたトンネルは このファイアウォール暗号化ポリシーに従います リモートプライベートネットワーク上のダイヤルアップクライアントまたはコンピュータからのトラフィックで トンネルを開始できるようにする場合に選択します ローカルプライベートネットワーク上のコンピュータからのトラフィックでトンネルを開始できるようにする場合に選択します 暗号化解除された受信パケットの発信元 IP アドレスを ローカルプライベートネットワークの FortiGate インタフェースの IP アドレスに変換する場合に選択します 送信のクリアテキストパケットの発信元アドレスを 指定した IP アドレスに変換するために CLI の natip 値と組み合わせて選択します CLI で natip 値を指定していない限り [Outbound NAT] を選択しないでください natip 値が指定されている場合 送信 IP パケットの発信元アドレスは それらのパケットがトンネルを経由して送信される前に置き換えられます 詳細については FortiGate CLI リファレンス の ファイアウォール の章を参照してください 注記 : ルートベース ( インタフェースモード ) の IPSec トンネルは トンネルモードの IPSec トンネルとは別の方法で設定されます トンネルモードの "IPSEC" ファイアウォール暗号化ポリシーを定義することで VPN 接続を許可し トンネルを経由した IP トラフィックを制御するのではなく ルートベースの VPN トンネルを IPSec 仮想インタフェースにバインドした後 その IPSec 仮想インタフェースを通常の (ACCEPT または DENY) ファイアウォールポリシーの発信元または宛先インタフェースとして指定します 詳細については FortiGate IPSec VPN ユーザガイド の ファイアウォール暗号化ポリシーの定義 の章を参照してください

239 ファイアウォール - ポリシー ファイアウォールポリシーの設定 SSL-VPN のファイアウォールポリシーオプション [Action] が [SSL-VPN] に設定されている場合は 次のオプションが使用できます 注記 : [SSL-VPN] オプションは 1 つ以上の SSL VPN ユーザグループを作成した後 [Action] リストから使用できます ユーザアカウントおよび SSL VPN ユーザグループを作成するには 352 ページの SSL VPN ユーザグループのオプションの設定 を参照してください 図 125: SSL VPN 暗号化ポリシー [SSL Client Certificate Restrictive] SSL VPN ユーザのためのファイアウォール暗号化ポリシーを作成する方法については FortiGate SSL VPN ユーザガイド の SSL VPN の管理タスク の章を参照してください ホスト上の FortiClient を確認するためのオプション ( 共有されている ) グループ証明書の所有者が生成したトラフィックを許可します グループ証明書の所有者は SSL VPN ユーザグループのメンバである必要があり そのユーザグループの名前が [Allowed] フィールドに存在する必要があります [Cipher Strength] 次のいずれかのオプションを選択して 使用する SSL 暗号化のレベルを決定します リモートクライアント上の Web ブラウザが 選択するレベルに一致している必要があります 任意の暗号スイートを使用するには [Any] を選択します 164 ビット以上の暗号スイートを使用するには [High >= 164] を選択します 128 ビット以上の暗号スイートを使用するには [Medium >= 128] を選択します [User Authentication Method] 次のいずれかのオプションを選択します このファイアウォールポリシーに結び付けられるユーザグループがローカルユーザグループである場合は [Local] を選択します リモートクライアントが外部の RADIUS サーバで認証される場合は [Radius] を選択します リモートクライアントが外部の LDAP サーバで認証される場合は [LDAP] を選択します 上のすべての認証方法を有効にするには [Any] を選択します [Local] が最初に試行され 次に [Radius] [LDAP] の順に試行されます [Available Groups] SSL VPN アクセスが必要なユーザグループの名前を選択してから 右矢印を押してください 選択したユーザグループのすべてのメンバのアクセス要件が同じでない限り 複数のユーザグループを選択してはいけません FortiGate モデル 1000A 3600A および 5005FA2 の場合は FortiClient Host Security ソフトウェアをインストールしておらず動作させていないホストのアクセスをファイアウォールポリシーで拒否できます この機能では FortiClient ソフトウェアバージョン 3.0 MR2 以降を検出できます

240 ファイアウォールポリシーの例 ファイアウォール - ポリシー 図 126: FortiClient Host Security の確認オプション [Check FortiClient is Installed and Running] [Redirect Restricted Users to FortiGate Download Portal] 発信元ホストが FortiClient Host Security ソフトウェアを動作させていることを確認する場合に選択します 必要に応じて 以下の理由でアクセス拒否を有効にします [FortiClient is Not Installed] (FortiClient がインストールされていない ) [FortiClient is Not Licensed] (FortiClient がライセンスされていない ) [AV/IPS Database Out-of-Date] (AV/IPS データベースが期限切れになっている ) [AV Disabled] (AV が無効になっている ) [Firewall Disabled] ( ファイアウォールが無効になっている ) [Web Filter Disabled] (Web フィルタが無効になっている ) 拒否されたユーザを 拒否の理由を表示する内部の Web ポータルにリダイレクトする場合に選択します この機能をサポートしているユニットの場合 ユーザは FortiClient Host Security ソフトウェアをダウンロードできます ファイアウォールポリシーの例 FortiGate ユニットは 自宅での使用から SOHO さらには大規模企業や ISP までのさまざまなネットワーク要件を完全に満たすことができます 次の 2 つのシナリオでは SOHO および大規模企業環境におけるファイアウォールポリシーの実際的な応用を示します これらの 2 つの例の詳細については FortiOS v3.0 MR2 のマニュアルにある ライブラリネットワークの例 および SOHOおよびSMBのネットワーク保護 のサンプルガイドを参照してください シナリオ 1: SOHO 規模の企業 シナリオ 2: 大規模企業 シナリオ 1: SOHO 規模の企業 企業 A は 開発を行い カスタマサポートを提供している小規模なソフトウェア会社です 15 台のコンピュータから成る内部ネットワークに加えて フルタイムまたはパートタイムで自宅で作業を行う複数の従業員も抱えています

241 ファイアウォール - ポリシー ファイアウォールポリシーの例 現在のネットワークトポロジでは 15 台の内部コンピュータのすべてがルータの背後に配置されているため IP メールサーバや Web サーバにアクセスするには外部ソースに移動する必要があります 自宅作業従業員はすべて セキュリティ保護されていない オープンなコネクションを介してルータにアクセスします 図 127: FortiGate をインストールする前の SOHO ネットワークの例 企業 A には 自宅作業者のためのセキュアな接続が必要です 他の多くの企業と同様に この企業も ビジネスの遂行を電子メールやインターネットアクセスに大きく依存しています この企業は ネットワーク攻撃を検出および阻止し ウイルスをブロックし スパムを減らすための総合的なセキュリティソリューションを望んでいます また 異なる部門に対して異なる保護設定を適用したいと考えています さらに Web サーバおよび電子メールサーバをそのセキュリティソリューションに統合することも希望しています 最初の要件に対処して 自宅作業者と内部ネットワークの間のセキュアな通信を保証するするために 企業 A は 自宅作業者ごとに個別のポリシーを設定します 1 [Firewall] [Policy] の順に選択します 2 [Create New] を選択し Home_User_1 のための次の設定を入力または選択します [Interface/Zone] Source:internal Destination: wan1 [Address Name] Source: Destination: Home_User_1 CompanyA_Network [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home1 [Allow Inbound] オン

242 ファイアウォールポリシーの例 ファイアウォール - ポリシー [Allow outbound] [Inbound NAT] [Outbound NAT] [Protection Profile] オンオンオフ [standard_profile] を有効にして選択する 3 [OK] を選択します 4 [Create New] を選択し Home_User_2 のための次の設定を入力または選択します [Interface/Zone] Source:internal Destination: wan1 [Address Name] Source: Destination:All CompanyA_network [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home2_Tunnel [Allow Inbound] オン [Allow outbound] オン [Inbound NAT] オン [Outbound NAT] オフ [Protection Profile] [standard_profile] を有効にして選択する 5 [OK] を選択します 図 128: FortiGate-100 を使用した SOHO ネットワークトポロジ

243 ファイアウォール - ポリシー ファイアウォールポリシーの例 シナリオ 2: 大規模企業 提案されたネットワークは ForitGate 100A ユニットに基づいています 15 台の内部コンピュータは FortiGate ユニットの背後に配置されています これらのコンピュータは現在 DMZ 内にある電子メールサーバおよび Web サーバ ( 同様に FortiGate ユニットの背後に配置されている ) にアクセスします すべての自宅作業従業員が VPN トンネルを経由して FortiGate ユニットを介してオフィスネットワークにアクセスするようになりました 大都市に位置する図書館システムは 人口の大多数にサービスを提供している都市中心部の本館を主体とするとともに 10 数の分館が市内全域に分散しています 各分館はインターネットに接続されていますが 専用の接続によって互いにリンクされているところは1つもありません 本館の現在のネットワークトポロジは 3 つのユーザグループで構成されています 本館職員や公共端末は ファイアウォールの背後に位置する DMZ 内のサーバにアクセスします カタログアクセス端末は ファイアウォールを経由することなく 直接カタログサーバにアクセスします すべての分館のトポロジに 本館にあるサーバに セキュリティ保護されていないインターネット接続を介してアクセスする 3 ユーザが存在します 図 129: 図書館システムの現在のネットワークトポロジ 図書館は 利用者と職員に対して異なるアクセスレベルを設定できる必要があります

244 ファイアウォールポリシーの例 ファイアウォール - ポリシー 本館職員のための最初のファイアウォールポリシーでは インターネットへの常時フルアクセスを許可します 2 番目のポリシーでは 職員の DMZ への直接アクセスを許可します 分館職員にこれと同じアクセスを許可するために ポリシーの 2 番目のペアが必要です 職員のすべてのファイアウォールポリシーで 職員のアクセス専用に設定されたプロテクションプロファイルを使用します 有効になっている機能には ウイルススキャン スパムフィルタリング IPS およびすべての P2P トラフィックのブロッキングが含まれます また アドバタイズ マルウェア およびスパイウェアサイトをブロックするために FortiGuard Web フィルタリングも使用されます Web サーバやカタログサーバの設定方法によっては サーバに関する情報を更新するために 一部のユーザにこれらのサーバへの特殊なアクセスが必要になる可能性があります この特殊なアクセスは IP アドレスまたはユーザに基づいて許可されます 提案されたトポロジの場合 本館職員とカタログアクセス端末は Fortigate HA クラスタを経由して DMZ 内のサーバにアクセスします 公共のアクセス端末は 最初に ForitWiFi ユニットを経由して ( ここで 追加のポリシーを適用できます ) HA クラスタにアクセスし 最後にサーバに到達します 分館では 3 ユーザがすべて VPN トンネルを経由して ForitWiFi ユニットを介して本館にルーティングされます 図 130: 提案された図書館システムのネットワークトポロジ

245 ファイアウォール - ポリシー ファイアウォールポリシーの例 ポリシーは [Firewall] [Policy] で設定されます プロテクションプロファイルは [Firewall] [Protection Profile] で設定されます 本館の " 職員からインターネットへの " ポリシー : 発信元インタフェース発信元アドレス宛先インタフェース宛先アドレス [Schedule] [Action] Internal All External All Always Accept 本館の " 職員から DMZ への " ポリシー : 発信元インタフェース発信元アドレス宛先インタフェース宛先アドレス [Schedule] [Action] Internal All DMZ サーバ Always Accept 分館の " 職員からインターネットへの " ポリシー : 発信元インタフェース発信元アドレス宛先インタフェース宛先アドレス [Schedule] [Action] 分館分館職員 External All Always Accept 分館の " 職員から DMZ への " ポリシー : 発信元インタフェース発信元アドレス宛先インタフェース宛先アドレス [Schedule] [Action] 分館分館職員 DMZ サーバ Always Accept これらの例の詳細については 次の資料を参照してください SOHO および SMB の設定サンプルガイド FortiGate の大規模企業の設定例 これらの資料は の FortiGate のセクションにあります

246 ファイアウォールポリシーの例 ファイアウォール - ポリシー

247 ファイアウォール - アドレス ファイアウォールアドレスについて ファイアウォール - アドレス 必要に応じて ファイアウォールアドレスを追加 編集 および削除します ファイアウォールアドレスは ファイアウォールポリシーの発信元および宛先アドレスフィールドに追加されます ファイアウォールアドレスは FortiGate ユニットが受信したパケットの発信元または宛先 IP アドレスを照合するためにファイアウォールポリシーに追加されます この項には以下のトピックが含まれています ファイアウォールアドレスについて ファイアウォールアドレスリストの表示 アドレスの設定 アドレスグループリストの表示 アドレスグループの設定 ファイアウォールアドレスについて ファイアウォールアドレスには 次のものがあります 単一のコンピュータの IP アドレス ( たとえば ) サブネットワークの IP アドレス ( たとえば クラス C のサブネットの場合は ) 可能性のあるすべての IP アドレスを表す場合は ネットマスクは 追加されるアドレスの種類に対応します たとえば 次のようにします 単一のコンピュータの IP アドレスに対するネットマスクは にしてください クラス A のサブネットに対するネットマスクは にしてください クラス B のサブネットに対するネットマスクは にしてください クラス Cのサブネットに対するネットマスクは にしてください すべてのアドレスに対するネットマスクは にしてください [IP Range] のアドレスは 次のものを表します サブネット内の IP アドレスの範囲 ( たとえば ~ ) 注記 : IP アドレス : とネットマスク : は 有効なファイアウォールアドレスではありません ポリシーの作成を簡略化するには 関連するアドレスをアドレスグループに構成します ファイアウォールアドレスは 名前 IPアドレス およびネットマスクを使用するか または名前と IP アドレス範囲を使用して設定できます また 完全修飾ドメイン名 (FQDN) にすることもできます

248 ファイアウォールアドレスリストの表示 ファイアウォール - アドレス IP アドレスとネットマスクは 次の形式を使用して入力します x.x.x.x/x.x.x.x ( たとえば / ) x.x.x.x/x ( たとえば /24) IP アドレス範囲は 次の形式を使用して入力します x.x.x.x-x.x.x.x たとえば x.x.x.[x-x] たとえば [ ] x.x.x.* ( たとえば サブネット上のすべてのアドレスを表すには *) [IP/Mask] のアドレスは 次のものを表すことができます サブネットのアドレス ( たとえば クラス C のサブネットの場合は IP アドレス : とネットマスク : ) 単一の IP アドレス ( たとえば IP アドレス : とネットマスク : ) 可能性のあるすべての IP アドレス (IP アドレス : とネットマスク : で表される ) FQDN は 次の形式を使用して入力します <host_name>.<second_level_domain_name>.<top_level_domain_name> <host_name>.<top_level_domain_name> FQDN の例を次に示します example.com ファイアウォールアドレスリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 アドレスはバーチャルドメインごとに別々に設定されます アドレスにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します リストにアドレスを追加したり 既存のアドレスを編集したりします FortiGate ユニットには ネットワーク上のすべてのIPアドレスを表す デフォルトの "All" アドレスが標準で設定されています リスト内のアドレスは [IP/Mask] [IP Range] および [FQDN] の種類ごとに並べられています アドレスリストを表示するには [Firewall] [Address] の順に選択します 図 131: サンプルのアドレスリスト

249 ファイアウォール - アドレス アドレスの設定 アドレスリストには 次のアイコンと機能が用意されています [Create New] [Name] [Address/FQDN] 削除アイコン編集アイコン ファイアウォールアドレスを追加する場合に選択します ファイアウォールアドレスの名前 IP アドレスとマスク IP アドレス範囲 または完全修飾ドメイン名 リストからこのアドレスを削除する場合に選択します 削除アイコンは このアドレスがファイアウォールポリシーで使用されていない場合にのみ使用できます [Name] [Type] および [Subnet/IP Range] の情報を編集する場合に選択します アドレスの設定 アドレスはまた ファイアウォールポリシーの設定中に ファイアウォールポリシーウィンドウから作成または編集することもできます 負荷分散と HA を実現するために 1 つの FQDN を複数のマシンにマップできます 1 つの FQDN ファイアウォールポリシーを作成し その FQDN で解決されるすべてのアドレスのレコードが FortiGate ユニットで自動的に解決および保持されるようにすることができます! 注意 : ファイアウォールポリシーでの完全修飾ドメイン名の使用は 便利である一方で ある程度のセキュリティ上のリスクが存在します この機能を使用する場合は 十分に注意してください IP アドレス IP 範囲 または FQDN を追加するには [Firewall] [Address] の順に選択し [Create New] を選択します 図 132: 新しいアドレスまたは IP 範囲のオプション [Address Name] [Type] [Subnet/IP Range] [Interface] ファイアウォールアドレスを識別する名前を入力します ファイアウォールポリシー内での混乱を避けるために アドレス アドレスグループ および仮想 IP には一意の名前を付ける必要があります アドレスの種類を [Subnet/IP Range] または [FQDN] から選択します ファイアウォールのIPアドレス フォワードスラッシュ およびサブネットマスクを入力するか または IP アドレス範囲をハイフンで区切って入力します この IP アドレスを関連付けるインタフェースまたはゾーンを選択します ポリシーの作成時に IP アドレスをインタフェース / ゾーンに関連付ける場合は [Any] を選択します

250 アドレスグループリストの表示 ファイアウォール - アドレス アドレスグループリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 アドレスグループはバーチャルドメインごとに別々に設定されます アドレスグループにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します ポリシーの設定を容易にするには 関連するアドレスをアドレスグループに構成します たとえば 3 つのアドレスを追加し それらを同じアドレスグループに設定した後 それら 3 つのアドレスすべてに対する設定を 1 つのポリシーで設定することができます アドレスグループリストを表示するには [Firewall] [Address] [Group] の順に選択します 注記 : アドレスグループがポリシーに含まれている場合は まずそのポリシーから削除されないない限り そのアドレスグループを削除できません 図 133: サンプルのアドレスグループリスト アドレスグループリストには 次のアイコンと機能が用意されています [Create New] [Group Name] [Members] 削除アイコン編集アイコン アドレスグループを追加する場合に選択します アドレスグループの名前 アドレスグループ内のアドレス リストからこのグループを削除する場合に選択します 削除アイコンは このアドレスグループがファイアウォールポリシーで使用されていない場合にのみ使用できます [Group Name] や [Members] の情報を編集する場合に選択します アドレスグループの設定 アドレスグループは ファイアウォールの設定中に [Address] ドロップダウンリストから [Create New] を選択することによって作成できます アドレスをアドレスグループに構成するには [Firewall] [Address] [Group] の順に選択します

251 ファイアウォール - アドレス アドレスグループの設定 図 134: アドレスグループのオプション [Group Name] [Available Addresses] [Members] アドレスグループを識別する名前を入力します ファイアウォールポリシー内での混乱を避けるために アドレス アドレスグループ および仮想 IP には一意の名前を付ける必要があります 設定済みのファイアウォールアドレスとデフォルトのファイアウォールアドレスのリスト リスト間でアドレスを移動するには 矢印を使用します グループ内のアドレスのリスト リスト間でアドレスを移動するには 矢印を使用します

252 アドレスグループの設定 ファイアウォール - アドレス

253 ファイアウォール - サービス 定義済みサービスリストの表示 ファイアウォール - サービス ファイアウォールで許可または拒否する通信の種類を決定するには サービスを使用します 任意の定義済みサービスをポリシーに追加できるほか バーチャルドメインごとにカスタムサービスを作成してサービスグループに追加することもできます この項には以下のトピックが含まれています 定義済みサービスリストの表示 カスタムサービスリストの表示 カスタムサービスの設定 サービスグループリストの表示 サービスグループの設定 定義済みサービスリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 定義済みサービスはグローバルに使用できます 定義済みサービスリストを表示するには メインメニューで [Global Configuration] を選択し [Firewall] [Service] の順に選択します 図 135: 定義済みサービスリスト 定義済みサービスリストには 次のアイコンと機能が用意されています [Name] [Detail] 定義済みサービスの名前 各定義済みサービスのプロトコル

254 定義済みサービスリストの表示 ファイアウォール - サービス 表 32 は FortiGate の定義済みファイアウォールサービスを示しています これらのサービスを任意のポリシーに追加してください 表 32: FortiGate 定義済みサービス サービス名 説明 プロトコル ポート AH Authentication Header ( 認証ヘッダ ) AH によって 発信元ホストの認証やデータの整合性が実現されますが 秘密性は実現されません このプロトコルは アグレッシブモードに設定されたIPSecリモートゲートウェイが認証のために使用します 51 ANY AOL BGP DHCP DNS ESP 任意のポート上の接続を照合します 任意の定義済みサービスを使用する接続がファイアウォールの通過を許可されます AOL インスタントメッセンジャープロトコル Border Gateway Protocol ルーティングプロトコル BGP は 内部 / 外部ルーティングプロトコルです DHCP (Dynamic Host Configuration Protocol) は ネットワークアドレスを割り当てると共に 設定パラメータを DHCP サーバからホストに配信します ドメイン名を IP アドレスに変換するための Domain Name Service ( ドメインネームサービス ) Encapsulating Security Payload このサービスは 暗号化されたデータを通信するために 手動キーおよび AutoIKE VPN トンネルによって使用されます AutoIKE キー VPN トンネルは IKE を使用してトンネルを確立した後 ESP を使用します すべて すべて TCP TCP 179 UDP 67 TCP 53 UDP 53 FINGER ユーザに関する情報を提供するネットワークサービス TCP 79 FTP ファイルを転送するためのFTPサービス TCP 21 FTP_GET FTP_PUT GOPHER GRE ファイルをアップロードするための FTP サービス ファイルをダウンロードするための FTP サービス Gopher 通信サービス Gopher は インターネットサーバの内容を 階層的に構造化されたファイルのリストとして構成し 表示します Generic Routing Encapsulation GRE パケット内のプロトコルのパケットをカプセル化することによって 任意のネットワークプロトコルを他の任意のネットワークプロトコルを介して転送できるようにするプロトコル H323 H.323 マルチメディアプロトコル H.323 は ネットワークにわたるオーディオビジュアル会議データの転送方法を規定している ITU (International Telecommunication Union) によって承認された標準です 詳細については FortiGate H.323 サポートテクニカルノート を参照してください 50 TCP 21 TCP 21 TCP TCP 1720,

255 ファイアウォール - サービス 定義済みサービスリストの表示 表 32: FortiGate 定義済みサービス ( 続き ) サービス名説明プロトコルポート HTTP HTTPS ICMP_ANY IKE IMAP HTTP は Web ページのデータを転送するために WWW (Word Wide Web) によって使用されるプロトコルです Web サーバとのセキュアな通信のための SSL (Secure Socket Layer) サービスを備えた HTTP Internet Control Message Protocol は ホストとゲートウェイ ( インターネット ) の間のメッセージ制御およびエラー報告プロトコルです IKE は IPSEC の ISAKMP で使用する認証されたキー作成材料を取得するためのプロトコルです Internet Message Access Protocol は 電子メールメッセージを取得するために使用されるプロトコルです TCP 80 TCP 443 ICMP UDP 500 TCP 143 INFO_ADDRESS ICMP の情報要求メッセージ ICMP 17 INFO_REQUEST ICMP のアドレスマスク要求メッセージ ICMP 15 IRC Internet Relay Chat を使用すると ユーザはライブディスカッションに参加するためにインターネットに接続できます TCP Internet-Locator- Service Internet Locator Service には LDAP User Locator Service および LDAP over TLS/SSL が含まれます L2TP L2TP は リモートアクセスのための PPP ベースのトンネルプロトコルです LDAP Lightweight Directory Access Protocol は 情報ディレクトリにアクセスするために使用される一連のプロトコルです NFS NNTP NTP NetMeeting OSPF PC-Anywhere PING POP3 Network File System ( ネットワークファイルシステム ) を使用すると ネットワークユーザは 異なる種類のコンピュータ上に格納された共有ファイルにアクセスできます Network News Transport Protocol は USENET メッセージを投稿 配布 および取得するために使用されるプロトコルです コンピュータの時刻をタイムサーバと同期するためのネットワークタイムプロトコル NetMeeting を使用すると ユーザは インターネットを転送媒体として使用して遠隔会議することができます OSPF (Open Shortest Path First) ルーティングプロトコル OSPF は 一般的なリンク状態ルーティングプロトコルです PC-Anywhere は リモート制御およびファイル転送プロトコルです 他のデバイスへの接続をテストするための ICMP のエコー要求 / 応答 Post Office Protocol は POP3 サーバから電子メールをダウンロードするための電子メールプロトコルです TCP 389 TCP 1701 TCP 389 TCP 111, 2049 TCP 119 TCP 123 TCP UDP 5632 ICMP 8 TCP

256 定義済みサービスリストの表示 ファイアウォール - サービス 表 32: FortiGate 定義済みサービス ( 続き ) サービス名説明プロトコルポート PPTP QUAKE RAUDIO RIP RLOGIN SAMBA Point-to-Point Tunneling Protocol は 企業が独自の企業ネットワークをパブリックインターネット上のプライベートトンネルを通して拡張できるようにするプロトコルです 普及している Quake マルチプレーヤーコンピュータゲームで使用される接続のためのサービス ストリーミングリアルオーディオマルチメディアトラフィックのためのサービス Routing Information Protocol は 一般的な距離ベクトルルーティングプロトコルです サーバにリモートでログインするための Rlogin サービス Samba を使用すると Microsoft Windows クライアントは TCP/IP が有効なホストのファイルと印刷サービスを利用できます TCP 1723 UDP 26000, 27000, 27910, UDP 7070 UDP 520 TCP 513 TCP 139 SIP Session Initiation Protocol は ネットワークにわたるオーディオビジュアル会議データの転送方法を規定しています 詳細については FortiGate SIP サポートテクニカルノート を参照してください UDP 5060 SIP- MSNmessenger Session Initiation Protocol は インタラクティブな ( 一般には ) マルチメディアセッションを開始するために Microsoft Messenger によって使用されます SMTP Simple Mail Transfer Protocol は インターネット上の電子メールサーバ間でメールを送信するために使用されます SNMP Simple Network Management Protocol は 複雑なネットワークを管理するための一連のプロトコルです TCP 1863 TCP 25 TCP UDP SSH Secure Shell は リモート管理を行うため TCP 22 の コンピュータへのセキュアな接続のためのサービスです UDP 22 SYSLOG リモートロギングのためのSyslogサービス UDP 514 TALK 2 ユーザ以上の間の会話をサポートするプ UDP ロトコル TCP すべての TCP ポート TCP TELNET コマンドを実行するためにリモートコン TCP 23 ピュータに接続するためのTelnetサービス TFTP Trivial File Transfer Protocol は単純なファイル転送プロトコルであり FTP に似ていますが セキュリティ機能はありません UDP 69 TIMESTAMP ICMP のタイムスタンプ要求メッセージ ICMP 13 UDP すべての UDP ポート UDP UUCP 単純なファイルコピープロトコルであ UDP 540 る UNIX to UNIX Copy ユーティリティ VDOLIVE VDO Live ストリーミングマルチメディア TCP トラフィックのためのサービス WAIS Wide Area Information Server は インターネット検索プロトコルです TCP

257 ファイアウォール - サービス カスタムサービスリストの表示 表 32: FortiGate 定義済みサービス ( 続き ) サービス名説明プロトコルポート WINFRAME X-WINDOWS Windows NT を実行しているコンピュータ間の WinFrame 通信のためのサービス X- Window サーバと X-Window クライアントの間のリモート通信のためのサービス TCP 1494 TCP カスタムサービスリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 カスタムサービスはバーチャルドメインごとに別々に設定されます カスタムサービスにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します 定義済みサービスリストにないサービスに対するポリシーを作成するには カスタムサービスを追加します カスタムサービスリストを表示するには [Firewall] [Service] [Custom] の順に選択します 図 136: カスタムサービスリスト カスタムサービスリストには 次のアイコンと機能が用意されています [Create New] [Service Name] [Detail] 削除アイコン編集アイコン カスタムサービスを追加するには プロトコルを選択してから [Create New] を選択します カスタムサービスの名前 各カスタムサービスのプロトコルとポート番号 リストからこのエントリを削除する場合に選択します 削除アイコンは このサービスがファイアウォールポリシーで使用されていない場合にのみ使用できます [Name] [Protocol Type] [Type] [Protocol Number] [Code] [Source Port] および [Destination Port] の情報を編集する場合に選択します カスタムサービスの設定 カスタムサービスは ファイアウォールポリシーの設定中に [Service] ドロップダウンリストから [Create New] を選択することによって作成できます TCP または UDP カスタムサービスを追加するには 1 [Firewall] [Service] [Custom] の順に選択します 2 [Protocol Type] を [TCP/UDP] に設定します 3 次のオプションを設定します

258 カスタムサービスの設定 ファイアウォール - サービス 図 137: 新しいカスタムサービス - TCP/UDP [Name] [Protocol Type] [Protocol] カスタムサービスの名前を入力します このカスタムサービスのプロトコルの種類として [TCP/UDP] を選択します 追加しているポート範囲のプロトコルとして [TCP] または [UDP] を選択します [Source Port] [Low] と [High] のポート番号を入力することにより このサービスの [Source Port] の番号範囲を指定します このサービスでポート番号を 1 つしか使用しない場合は その番号を [Low] と [High] の両方のフィールドに入力します デフォルト値では 任意の発信元ポートを使用できます [Destination Port] [Low] と [High] のポート番号を入力することにより このサービスの [Destination Port] の番号範囲を指定します このサービスでポート番号を 1 つしか使用しない場合は その番号を [Low] と [High] の両方のフィールドに入力します [Add] 作成しているカスタムサービスに複数のポート範囲が必要な場合は [Add] を選択して さらに発信元と宛先の範囲を入力できるようにします 削除アイコンリストからこのエントリを削除する場合に選択します ICMP カスタムサービスを追加するには 1 [Firewall] [Service] [Custom] の順に選択します 2 [Protocol Type] を [ICMP] に設定します 3 次のオプションを設定します 図 138: 新しいカスタムサービス - ICMP [Name] [Protocol Type] [Type] [Code] ICMP カスタムサービスの名前を入力します 追加しているサービスのプロトコルの種類として [ICMP] を選択します このサービスの ICMP タイプ番号を入力します 必要に応じて このサービスの ICMP コード番号を入力します IP カスタムサービスを追加するには 1 [Firewall] [Service] [Custom] の順に選択します 2 [Protocol Type] を [IP] に設定します

259 ファイアウォール - サービス サービスグループリストの表示 3 次のオプションを設定します 図 139: 新しいカスタムサービス - IP [Name] IP カスタムサービスの名前を入力します [Protocol Type] 追加しているサービスのプロトコルの種類として [IP] を選択します [Protocol Number] このサービスの IP プロトコル番号 サービスグループリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 サービスグループはバーチャルドメインごとに別々に作成されます サービスグループにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します ポリシーの追加を容易にするには サービスのグループを作成してから 1 つのポリシーを追加して そのグループ内のすべてのサービスに対するアクセスを許可またはブロックします サービスグループには 定義済みサービスとカスタムサービスを任意の組み合わせで含めることができます サービスグループを別のサービスグループに追加することはできません サービスグループリストを表示するには [Firewall] [Service] [Group] の順に選択します 図 140: サービスグループリストの例 サービスグループリストには 次のアイコンと機能が用意されています [Create New] [Group Name] [Members] 削除アイコン編集アイコン サービスグループを追加する場合に選択します サービスグループを識別する名前 このサービスグループに追加されたサービス リストからこのエントリを削除する場合に選択します 削除アイコンは このサービスグループがファイアウォールポリシーで使用されていない場合にのみ使用できます [Group Name] や [Members] の情報を編集する場合に選択します サービスグループの設定 サービスグループは ファイアウォールポリシーの設定中に ドロップダウンリストから [Create New] を選択することによって作成できます

260 サービスグループの設定 ファイアウォール - サービス サービスをサービスグループに構成するには [Firewall] [Service] [Group] の順に選択します 図 141: サービスグループのオプション [Group Name] [Available Services] [Members] サービスグループを識別する名前を入力します 設定されたサービスと定義済みサービスのリスト リスト間でサービスを移動するには 矢印を使用します グループ内のサービスのリスト リスト間でサービスを移動するには 矢印を使用します

261 ファイアウォール - スケジュール ワンタイムスケジュールリストの表示 ファイアウォール - スケジュール この項では スケジュールを使用して ポリシーがアクティブまたは非アクティブになる時期を制御する方法について説明します ワンタイムスケジュールまたは反復スケジュールを作成できます ワンタイムスケジュールは スケジュールで指定された期間 1 回だけ有効になります 反復スケジュールは 毎週繰り返されます 反復スケジュールは 1 日の指定された時刻 または指定された曜日にのみ有効になります この項には以下のトピックが含まれています ワンタイムスケジュールリストの表示 ワンタイムスケジュールの設定 反復スケジュールリストの表示 反復スケジュールの設定 ワンタイムスケジュールリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 ワンタイムスケジュールはバーチャルドメインごとに別々に設定されます ワンタイムスケジュールにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します 指定された期間だけポリシーがアクティブまたは非アクティブになるワンタイムスケジュールを作成します たとえば ファイアウォールに インターネット上のすべてのサービスへのアクセスを常に許可するデフォルトポリシーが設定されているとします 休日期間中のインターネットへのアクセスをブロックするためのワンタイムスケジュールを追加します ワンタイムスケジュールリストを表示するには [Firewall] [Schedule] [One- time] の順に選択します 図 142: ワンタイムスケジュールリスト ワンタイムスケジュールリストには 次のアイコンと機能が用意されています [Create New] [Name] [Start] [Stop] 削除アイコン編集アイコン ワンタイムスケジュールを追加する場合に選択します ワンタイムスケジュールの名前 このスケジュールの開始日付および時刻 このスケジュールの停止日付および時刻 リストからこのスケジュールを削除する場合に選択します 削除アイコンは このスケジュールがファイアウォールポリシーで使用されていない場合にのみ表示されます このスケジュールを編集する場合に選択します

262 ワンタイムスケジュールの設定 ファイアウォール - スケジュール ワンタイムスケジュールの設定 ワンタイムスケジュールは ファイアウォールポリシーの設定中に [Schedule] ドロップダウンリストから [Create New] を選択することによって作成できます ワンタイムスケジュールを追加するには [Firewall] [Schedule] [One-time] の順に選択します 図 143: 新しいワンタイムスケジュール [Name] [Start] [Stop] ワンタイムスケジュールを識別する名前を入力します このスケジュールの開始日付および時刻を入力します このスケジュールの停止日付および時刻を入力します スケジュールがまる 1 日アクティブになるようにするには 開始時刻と停止時刻を 00 に設定します ワンタイムスケジュールは 24 時間時計を使用します 反復スケジュールリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 反復スケジュールはバーチャルドメインごとに別々に作成されます 反復スケジュールにアクセスするには メインメニュー内のリストからバーチャルドメインを選択します 1 日の指定された時刻 または指定された曜日にポリシーがアクティブまたは非アクティブになる反復スケジュールを作成します たとえば 反復スケジュールを作成することによって就業時間中のゲームを防止します 注記 : 停止時刻が開始時刻の前になっている反復スケジュールは その開始時刻に開始し 翌日のその停止時刻に終了します このテクニックを使用して ある日から翌日まで実行される反復スケジュールを作成します 開始時刻と停止時刻を同じ時刻に設定することにより 24 時間実行される反復スケジュールを作成します 反復スケジュールリストを表示するには [Firewall] [Schedule] [Recurring] の順に選択します 図 144: 反復スケジュールリスト

263 ファイアウォール - スケジュール 反復スケジュールの設定 反復スケジュールリストには 次のアイコンと機能が用意されています [Create New] [Name] [Day] [Start] [Stop] 削除アイコン編集アイコン 反復スケジュールを追加する場合に選択します この反復スケジュールの名前 このスケジュールがアクティブになる曜日の頭文字 この反復スケジュールの開始時刻 この反復スケジュールの停止時刻 リストからこのスケジュールを削除する場合に選択します 削除アイコンは このスケジュールがファイアウォールポリシーで使用されていない場合にのみ表示されます このスケジュールを編集する場合に選択します 反復スケジュールの設定 反復スケジュールは ファイアウォールポリシーの設定中に [Schedule] ドロップダウンリストから [Create New] を選択することによって作成できます 反復スケジュールを追加するには [Firewall] [Schedule] [Recurring] の順に選択します 図 145: 新しい反復スケジュール [Name] [Select] [Start] [Stop] 反復スケジュールを識別する名前を入力します このスケジュールがアクティブになる曜日をオンにします この反復スケジュールの開始時刻を選択します この反復スケジュールの停止時刻を選択します 反復スケジュールは 24 時間時計を使用します

264 反復スケジュールの設定 ファイアウォール - スケジュール

265 ファイアウォール - 仮想 IP 仮想 IP ファイアウォール - 仮想 IP この項では FortiGate の仮想 IP と IP プールについて およびそれらをファイアウォールポリシーに設定して使用する方法について説明します この項には以下のトピックが含まれています 仮想 IP 仮想 IP リストの表示 仮想 IP の設定 仮想 IP グループ VIP グループリストの表示 VIP グループの設定 IP プール IP プールリストの表示 IP プールの設定 仮想 IP 仮想 IP を使用すると ネットワークアドレス変換 (NAT) フィアウォールポリシーを用いる FortiGate ユニットを介した接続が可能になります 仮想 IP はプロキシ ARP を使用するので FortiGate ユニットは別のネットワーク上のサーバに対する ARP 要求に応答することができます プロキシ ARP は RFC 1027 で定義されています たとえば 仮想 IPを外部のFortiGateユニットのインタフェースに追加することで DMZ または内部ネットワーク上のサーバに接続しているユーザの接続要求にその外部インタフェースが応答できるようすることが可能です 仮想 IP による FortiGate ユニットを介した接続のマッッピング方法 スタティック NAT 仮想 IP の一つの使用例として FortiGate ユニットが保護するプライベートネットワーク上の Web サーバへのパブリックアクセスを容易にすることができます 図 146 のように この例の基本的な要素だけを考えてみると プライベートネットワーク上の Web サーバ インターネット上の閲覧コンピュータ および 2 つのネットワークに接続する FortiGate ユニットという 3 つの要素しかありません クライアントコンピュータは サーバへの接続を試みます クライアントコンピュータがデータパケットを送信し FortiGate ユニットがそれを受信します パケット内のアドレスは再マップされて プライベートネットワーク上のサーバに転送されます

266 仮想 IP ファイアウォール - 仮想 IP 図 146: 簡単なスタティック NAT 仮想 IP の例 クライアントコンピュータから送信されたパケットには という送信元 IP と という宛先 IP が含まれています FortiGate ユニットは これらのパケットを外部のインタフェースで受信します 仮想 IP 設定によって から へのマッピングが指示されて パケットのアドレスが変更されます 送信元アドレスは に 宛先は にそれぞれ変更されます FortiGate ユニットは 内部に保持するファイアウォールセッションテーブルにこの変換を記録します その後 パケットは送信されてサーバコンピュータに到着します 図 147: クライアントからサーバへの NAT 変換におけるパケットアドレス再マッピングの例 クライアントコンピュータのアドレスは サーバが受信するパケットには含まれないことに注意してください FortiGate ユニットでネットワークアドレスが変換されると クライアントコンピュータのネットワークへの参照はなくなります サーバは 別のネットワークが存在することを認識しません サーバにとっては 通信はすべて直接 FortiGate ユニットから送信されます サーバがクライアントコンピュータに応答する際は この手順が同様に逆方向へと実行されます サーバは 送信元 IP アドレスが 宛先アドレスが の応答パケットを送信します FortiGate ユニットは これらのパケットを内部インタフェースで受信します ただし今回は 宛先アドレスの変換先を決定するのに ファイアウォールセッションテーブルのエントリが使用されます この例では 送信元アドレスは に 宛先アドレスは にそれぞれ変更されます その後 パケットは送信されてクライアントコンピュータに到着します サーバコンピュータのアドレスは クライアントが受信するパケットには含まれません FortiGateユニットでネットワークアドレスが変換されると サーバコンピュータのネットワークへの参照はなくなります クライアントは サーバのプライベートネットワークが存在することを認識しません クライアントにとっては FortiGateユニットがWebサーバとなります 図 148: サーバからクライアントへの NAT 変換におけるパケットアドレス再マッピングの例

267 ファイアウォール - 仮想 IP 仮想 IP 注記 : トランスペアレントモードでは 仮想 IP は使用できないか または不要です 仮想 IP アドレスとして FortiGate ユニットインタフェースにバインドされた単一のIPアドレスまたはIPアドレス範囲を設定できます 仮想 IPを使用して FortiGate ユニットインタフェースに IP アドレスまたは IP アドレス範囲をバインドすると バインドされた IP アドレスまたは IP アドレス範囲の ARP 要求に対してそのインタフェースが応答します ファイアウォールポリシーを構築する際に NAT のチェックボックスがオフに設定されている場合 そのポリシーでは宛先ネットワークアドレス変換 (DNAT) が行われます DNAT は 特定の宛先 IP アドレスに向けられた外部ネットワークからのパケットを受信し そのパケットの宛先アドレスを別の隠れたネットワーク上のマップ先 IPアドレスに変換した後 パケットをFortiGateユニットを介して隠れた宛先ネットワークに転送します 前の例と異なり 送信元アドレスは変換されません 隠れた宛先ネットワーク上に転送されれば パケットは最終的な宛先に到達できます 仮想 IP はまた 隠れたネットワーク上の送信元 IP アドレス または送信元アドレスからのリターンパケットのアドレスも 最初のパケットの宛先と同じアドレスとなるように変換します 仮想 IP の範囲はほぼすべてのサイズを設定でき 異なるサブネットへのアドレスに変換できます 仮想 IP の範囲には 次のような制限があります マップ先 IP に または を含めることはできません 仮想 IP のタイプがスタティック NAT で IP アドレスのある範囲にマップされている場合 外部 IP を に設定することはできません の外部 IP アドレスをサポートするのは ロードバランス仮想 IP と 単一の IP アドレスにマップされたスタティック NAT 仮想 IP のみです ポートマッピングでは 外部ポート番号の範囲が内部ポート番号の範囲にマップされます これら 2 つの範囲のポート数は等しくなければなりません したがって 範囲が を超えるように外部ポートを設定してはなりません たとえば 20 ポートの内部ポートの範囲を外部ポート からマップすると その範囲の最後のポートが となるため 無効となります ポートフォワーディングの際 外部 IP の範囲には一切インタフェースの IP アドレスを含めることはできません マップ先の IP 範囲には インタフェースの IP アドレスを一切含めてはなりません 仮想 IP の名前を アドレス名またはアドレスグループ名と同じ名前にすることはできません エントリまたは範囲の重複はできません IP アドレスまたは IP アドレス範囲をインタフェースにバインドすることに加え 仮想 IP には 受信するインタフェースから同一のネットワークに接続するインタフェースへと IP アドレスまたは IP アドレス範囲を実際の IP アドレスまたは IP アドレス範囲としてマップするために必要な情報もすべて含まれます さまざまな種類の仮想 IP を作成することが可能で それぞれ異なる DNAT に使用できます

268 仮想 IP ファイアウォール - 仮想 IP スタティック NAT スタティック NAT 仮想 IP は 送信元ネットワーク上の外部 IP アドレスまたは IP アドレス範囲を 宛先ネットワーク上のマップ先 IP アドレスまたは IP アドレス範囲にマップします スタティック NAT 仮想 IP では 1 対 1 でマッピングされます 単一の外部 IP アドレスは 単一のマップ先 IP アドレスにマップされます 外部 IP アドレスの範囲は 対応するマップ先 IP アドレス範囲にマップされます 送信元アドレス範囲内のある所定の IP アドレスは 常に宛先アドレス範囲内の同一の IP アドレスにマップされます スタティック NAT ポートフォワーディング 負荷分散 負荷分散ポートフォワーディング ダイナミック仮想 IP サーバ負荷分散 サーバ負荷分散ポートフォワーディング スタティック NATポートフォワーディングは あるネットワーク上の単一 IP アドレスまたはアドレス範囲 および単一のポート番号またはポート範囲を 別のネットワーク上の異なる単一 IP アドレスまたはアドレス範囲 および異なる単一ポート番号またはポート範囲にマップします スタティック NAT ポートフォワーディングは 単にポートフォワーディングとも呼ばれます スタティック NATポートフォワーディング仮想 IP では 1 対 1 でマッピングされます 外部 IP アドレスの範囲は対応するマップ先 IP アドレス範囲にマップされ 外部ポート番号の範囲は対応するマップ先ポート番号の範囲にマップされます ポートフォワーディング仮想 IPは FortiGateユニットのポートアドレス変換 (PAT) の設定に使用できます ダイナミックポートフォワーディングとも呼ばれます 負荷分散仮想 IP は あるネットワーク上の単一の IP アドレスを別のネットワーク上の IP アドレス範囲にマップします 負荷分散では IP アドレス範囲から宛先 IP アドレスを指定して より均等にトラフィックを分散させるよう 1 対多のマッピングと負荷分散アルゴリズムが使用されます ポートフォワーディングによる負荷分散では あるネットワーク上の単一の IP アドレスとポート番号が 別のネットワーク上の IP アドレスの範囲とポート番号の範囲にマップされます 負荷分散ポートフォワーディングでは IP アドレス範囲から宛先 IP アドレスを指定して より均等にトラフィックを分散させるよう 1 対多の負荷分散アルゴリズムが使用されるとともに 宛先ポート番号の範囲から宛先ポートが割り当てられます 仮想 IP の外部 IP アドレスを に設定すると すべての外部 IP アドレスをマップ先 IP アドレスまたはマップ先 IP アドレス範囲に変換するダイナミック仮想 IP が作成されます サーバ負荷分散は あるネットワーク上の単一の IP を別のネットワーク上にある最大 8つのリアルサーバIPにマップします この機能を使用するには リアルアドレスを少なくとも 1 つ追加する必要があります ポートフォワーディングによるサーバ負荷分散では あるネットワーク上の単一 IP アドレスとポート番号が 別のネットワーク上にある特定のサーバアドレスとポートにそれぞれ最大 8つまでマップされます 仮想 IP で設定されたマッピングを実装するには NAT ファイアウォールポリシーに仮想 IP を追加する必要があります 外部ネットワーク上のアドレスを内部ネットワークにマップするファイアウォールポリシーを追加するには 外部から内部へのファイアウォールポリシーを追加し そのポリシーの宛先アドレスフィールドに仮想 IP を追加します たとえば Web サーバをホスティングするコンピュータが内部ネットワーク上にある場合 そのプライベート IP アドレスは などであることがあります インターネットから Web サーバへのパケットを取得するには インターネット上の Web サーバに外部アドレスがなければなりません インターネット上の Web サーバの外部 IP アドレスを内部ネットワーク上の Web サーバの実際のアドレスにマップするファイアウォールに 仮想 IP を追加します インターネットから Web サーバに接続できるようにするには 外部から内部へのファイアウォールポリシーを追加し 宛先アドレスを仮想 IP に設定します

269 ファイアウォール - 仮想 IP 仮想 IP リストの表示 仮想 IP リストの表示 仮想 IP リストを表示するには [Firewall] [Virtual IP] [Virtual IP] の順に選択します 図 149: 仮想 IP リスト 仮想 IP リストには 次のアイコンと機能が用意されています [Create New] [Name] [IP] [Service Port] 仮想 IP を追加する場合に選択します 仮想 IP の名前 外部 IP アドレスまたは IP アドレス範囲 外部ポート番号またはポート番号の範囲 サービスポートは ポートフォワーディング仮想 IP に含まれます [Map to IP/IP 宛先ネットワーク上のマップ先 IP アドレスまたはアドレス範囲 Range] [Map to Port] マップ先のポート番号またはポート番号の範囲 マップ先ポートは ポートフォワーディング仮想 IP に含まれます 削除アイコン 編集アイコン リストから仮想 IP を削除します 削除アイコンは 仮想 IP がファイアウォールポリシーで使用されていない場合にのみ表示されます 仮想 IP を編集して 仮想 IP 名などの仮想 IP オプションを変更します 仮想 IP の設定 仮想 IP を追加するには [Firewall] [Virtual IP] [Virtual IP] の順に選択し [Create new] を選択します 仮想 IP を編集するには [Firewall] [Virtual IP] [Virtual IP] の順に選択し 編集する仮想 IP の編集アイコンを選択します [Name] 仮想 IP を識別するための名前を入力または変更します 混乱を避けるため ファイアウォールポリシー アドレス アドレスグループ および仮想 IP を同一の名前にすることはできません [External Interface] リストから仮想 IP 外部インタフェースを選択します 外部インタフェースは送信元ネットワークに接続され 宛先ネットワークに転送されるパケットを受信します FortiGate インタフェース VLAN サブインタフェース またはVPNインタフェースのいずれも選択できます [Type] [External IP Address/Range] [Static NAT] [Load Balance] または [Server Load Balance] を選択します VIP のタイプの詳細については 265 ページの 仮想 IP による FortiGate ユニットを介した接続のマッッピング方法 を参照してください 宛先ネットワーク上のアドレスにマップする外部 IP アドレスを入力します すべての IP アドレスの接続を許可するダイナミック仮想 IP を設定するには 外部 IP アドレスを に設定します スタティック NAT ダイナミック仮想 IP に追加できるマップ先 IP アドレスは1 つのみです 負荷分散ダイナミック仮想 IP には 単一のマップ先アドレスまたはマップ先アドレス範囲を指定できます

270 仮想 IP の設定 ファイアウォール - 仮想 IP [Mapped IP Address/Range] [Port forwarding] [Protocol] [External Service Port] [Map to Port] [Real Servers] 外部 IP アドレスのマップ先となる宛先ネットワーク上のリアル IP アドレスを入力します また アドレスの範囲を入力して 宛先ネットワーク上の複数の IP アドレスにパケットを転送することもできます スタティック NAT 仮想 IP では マップ先 IP アドレス範囲を追加すると FortiGate ユニットが外部 IP アドレス範囲を計算し その IP アドレス範囲が [External IP Address/Range] フィールドに追加されます ポートフォワーディング仮想 IP を追加する場合に選択します 転送されるパケットで使用するプロトコル (TCP または UDP) を選択します ポートフォワーディングを設定する外部サービスポート番号を入力します 外部ポート番号のマップ先となる宛先ネットワーク上のポート番号を入力します また ポート番号の範囲を入力して 宛先ネットワーク上の複数のポートにパケットを転送することもできます スタティック NAT 仮想 IP では ポートの範囲にマップを追加すると FortiGate ユニットが外部ポート番号の範囲を計算し そのポート番号の範囲が [External Service Port] フィールドに追加されます VIP のタイプとしてサーバ負荷分散を選択する場合は リアルのサーバ IP アドレスを入力します IP アドレスが少なくとも 1 つは必要で 最大 8 つのアドレスを入力できます サーバ IP アドレスを入力するには [Real Servers] の下にある [Add] を選択して 以下の情報を入力します [IP]: サーバの IP アドレスを入力します [Port]: ポートフォワーディングを有効にする場合は 外部ポート番号がマップされる宛先ネットワーク上のポート番号を入力します [Dead interval]: 削除されるまでに接続をアイドルの状態にしておける時間間隔です 10 ~ 255 秒の範囲を使用できます [Wake interval]: 中断するまでに接続がサーバの検知を試みる時間間隔です 10 ~ 255 秒の範囲を使用できます [Weight]: 特定サーバの重み付けの値を定めます 重み付けの値が大きいほど サーバが処理する接続のパーセンテージは大きくなります 1 ~ 255 の範囲を使用できます [Health Check]: セッションの転送に先立ってサーバのステータスをチェックするには このオプションを選択します [Ping Detection]:ping を使用してサーバのステータスをテストするには このオプションを有効にします ヘルスチェックは ping 検知の前に有効にする必要があります 単一の IP アドレスに対するスタティック NAT 仮想 IP の追加 インターネット上の IP アドレス は プライベートネットワーク上の にマップされます インターネットから と通信しようとすると FortiGate ユニットによって に変換され 送信されます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく の単一のコンピュータに見えます

271 ファイアウォール - 仮想 IP 仮想 IP の設定 図 150: 単一の IP アドレスに対するスタティック NAT 仮想 IP の例 単一の IP アドレスに対するスタティック NAT 仮想 IP を追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGate ユニットの外部インタフェースはインターネットに接続され dmzl インタフェースはDMZネットワークに接続されます [Name] simple_static_nat [External Interface] external [Type] Static NAT [External IP Address/Range] [Map to IP/IP Range] Web サーバのインターネット IP アドレス 外部 IP アドレスは Web サーバの ISP から取得したスタティック IP アドレスである必要があります このアドレスは 別のホストが使用しない固有の IP アドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IPアドレスのARP 要求に応答します 内部ネットワーク上のサーバの IP アドレス IP アドレスは 1 つだけなので 2 番目のフィールドは空白のままとします 図 151: 仮想 IP オプション : 単一の IP アドレスに対するスタティック NAT 仮想 IP 4 [OK] を選択します

272 仮想 IP の設定 ファイアウォール - 仮想 IP 単一の IP アドレスに対するスタティック NAT 仮想 IP をファイアウォールポリシーに追加するには外部から dmz1 への 仮想 IP を使用するファイアウォールポリシーを追加することで インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします 仮想 IP は これらのパケットの宛先アドレスを 外部 IPからWebサーバのDMZネットワークIPアドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します 2 ファイアウォールポリシーを次のように設定します [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] simple_static_nat [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択します 4 [OK] を選択します IP アドレス範囲に対するスタティック NAT 仮想 IP の追加 インターネット上の IP アドレス範囲 ~ は プライベートネットワーク上の ~ にマップされます と通信するインターネット上のコンピュータからのパケットは FortiGate ユニットによって に変換され 送信されます 同様に 宛先が のパケットは に また宛先が のパケットは にそれぞれ変換され 送信されます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく 個別の IP アドレスを持つ 3 台のコンピュータに見えます 図 152: IP アドレス範囲に対するスタティック NAT 仮想 IP の例 IP アドレス範囲に対するスタティック NAT 仮想 IP を追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します

273 ファイアウォール - 仮想 IP 仮想 IP の設定 2 [Create New] を選択します 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の 3 つの Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGateユニットの外部インタフェースはインターネットに接続され dmzl インタフェースは DMZ ネットワークに接続されます [Name] static_nat_range [External Interface] external [Type] Static NAT [External IP Address/Range] Web サーバのインターネット IP アドレス範囲 外部 IP アドレスは Web サーバの ISP から取得したスタティック IP アドレスである必要があります これらのアドレスは 別のホストが使用しない固有の IP アドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IP アドレスの ARP 要求に応答します [Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス範囲 範囲の最初のアドレスを最初のフィールドに 最後のアドレスを 2 番目のフィールドにそれぞれ入力して 範囲を定義します 図 153: 仮想 IP オプション : IP アドレス範囲に対するスタティック NAT 仮想 IP 4 [OK] を選択します IP アドレス範囲に対するスタティック NAT 仮想 IP をファイアウォールポリシーに追加するには外部から dmz1 への 仮想 IP を使用するファイアウォールポリシーを追加することで インターネット上のユーザがサーバ IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします 仮想 IP は これらのパケットの宛先アドレスを 外部 IPからサーバのDMZネットワークIPアドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します 2 ファイアウォールポリシーを次のように設定します [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] static_nat_range [Schedule] always [Service] HTTP [Action] ACCEPT

274 仮想 IP の設定 ファイアウォール - 仮想 IP 3 [NAT] を選択します 4 [OK] を選択します 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポートフォワーディングの追加 インターネット上の IP アドレス ポート 80 は プライベートネットワーク上の ポート 8000 にマップされます インターネットから ポート 80 と通信しようとすると FortiGate ユニットによって ポート 8000 に変換され 送信されます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく ポート 80 の単一のコンピュータに見えます 図 154: 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポートフォワーディングの例 単一 IP アドレスおよび単一ポート対するスタティック NAT 仮想 IP ポートフォワーディングを追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGate ユニットの外部インタフェースはインターネットに接続され dmzl インタフェースはDMZネットワークに接続されます [Name] Port_fwd_NAT_VIP [External Interface] external [Type] Static NAT [External IP Address/Range] Web サーバのインターネット IP アドレス 外部 IP アドレスは Web サーバの ISP から取得したスタティック IP アドレスである必要があります このアドレスは 別のホストが使用しない固有の IP アドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IP アドレスの ARP 要求に応答します [Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス IP アドレスは 1 つだけなので 2 番目のフィールドは空白のままとします

275 ファイアウォール - 仮想 IP 仮想 IP の設定 [Port Forwarding] [Protocol] [External Service Port] [Map Port] 選択 TCP インターネットからのトラフィックが使用するポート Web サーバに対するポートは通常 ポート 80 です サーバがトラフィックを待つポート ポートは 1 つだけなので 2 番目のフィールドは空白のままとします 図 155: 仮想 IP オプション : 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポートフォワーディング仮想 IP 4 [OK] を選択します 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポートフォワーディングをファイアウォールポリシーに追加するには外部から dmz1 への 仮想 IP を使用するファイアウォールポリシーを追加することで インターネット上のユーザが Web サーバ IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします 仮想 IP は これらのパケットの宛先アドレスとポートを 外部 IPから Webサーバのdmz ネットワーク IP アドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します 2 ファイアウォールポリシーを次のように設定します [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Port_fwd_NAT_VIP [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択します 4 [OK] を選択します

276 仮想 IP の設定 ファイアウォール - 仮想 IP IP アドレス範囲およびポート範囲に対するスタティック NAT ポートフォワーディングの追加 インターネット上のアドレス ~ のポート 80 ~ 83 は プライベートネットワーク上のアドレス ~ のポート 8000 ~ 8003 にマップされます インターネットから ポート 82 と通信しようとすると FortiGate ユニットによって ポート 8002 に変換され 送信されます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく の単一のコンピュータに見えます 図 156: IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングの例 IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングを追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGate ユニットの外部インタフェースはインターネットに接続され dmzl インタフェースはDMZネットワークに接続されます [Name] Port_fwd_NAT_VIP_port_range [External Interface] external [Type] Static NAT [External IP Address/Range] 外部 IP アドレスは ISP から取得したスタティック IP アドレスである必要があります このアドレスは 別のホストが使用しない固有のアドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IP アドレスの ARP 要求に応答します [Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス 範囲の最初のアドレスを最初のフィールドに 最後のアドレスを 2 番目のフィールドにそれぞれ入力して 範囲を定義します [Port Forwarding] 選択 [Protocol] TCP

277 ファイアウォール - 仮想 IP 仮想 IP の設定 [External Service Port] [Map Port] インターネットからのトラフィックが使用するポート Web サーバに対するポートは通常 ポート 80 です サーバがトラフィックを待つポート 範囲の最初のポートを最初のフィールドに 最後のポートを 2 番目のフィールドにそれぞれ入力して 範囲を定義します ポートが 1 つだけならば 2 番目のフィールドは空白のままとします 4 [OK] を選択します IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングをファイアウォールポリシーに追加するには仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで インターネット上のユーザが Web サーバ IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします 仮想 IP は これらのパケットの宛先アドレスとポートを 外部 IP から Web サーバの dmz ネットワーク IP アドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します 2 ファイアウォールポリシーを次のように設定します [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Port_fwd_NAT_VIP_port_range [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択します 4 [OK] を選択します IP アドレス範囲またはリアルサーバに対する負荷分散仮想 IP の追加 インターネット上の IP アドレス は プライベートネットワーク上の ~ にマップされます IP アドレスのマッピングは FortiGate ユニットの負荷分散アルゴリズムによって決定されます インターネットから と通信しようとすると FortiGate ユニットによって または に変換され 送信されます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく の単一のコンピュータに見えます

278 仮想 IP の設定 ファイアウォール - 仮想 IP 図 157: IP アドレス範囲に対する負荷分散仮想 IP IP アドレス範囲に対する負荷分散仮想 IP を追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGate ユニットの外部インタフェースはインターネットに接続され dmzl インタフェースはDMZネットワークに接続されます [Name] Load_Bal_VIP [External Interface] external [Type] Load Balance または Server Load Balance [External IP address/range] Web サーバのインターネット IP アドレス 外部 IP アドレスは Web サーバの ISP から取得したスタティック IP アドレスである必要があります このアドレスは 別のホストが使用しない固有の IP アドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IP アドレスの ARP 要求に応答します [Map to IP/IP Range] ([Load Balance] タイプ ) [Real Servers] ([Server Load Balance] タイプ ) 内部ネットワーク上のサーバの IP アドレス 範囲の最初のアドレスを最初のフィールドに 最後のアドレスを 2 番目のフィールドにそれぞれ入力して 範囲を定義します VIP のタイプとしてサーバ負荷分散を選択する場合は リアルのサーバ IP アドレスを入力します リアルサーバの設定の詳細については 269 ページの 仮想 IP の設定 を参照してください 図 158: 仮想 IP オプション : 負荷分散仮想 IP

279 ファイアウォール - 仮想 IP 仮想 IP の設定 4 [OK] を選択します IP アドレス範囲に対する負荷分散仮想 IP をファイアウォールポリシーに追加するには仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします 仮想 IP は これらのパケットの宛先アドレスを 外部 IPからWebサーバのDMZネットワークIPアドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します 2 ファイアウォールポリシーを次のように設定します [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Load_Bal_VIP [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択します 4 [OK] を選択します 負荷分散ポートフォワーディング仮想 IP の追加 インターネット上の への接続は プライベートネットワーク上の ~ にマップされます IP アドレスのマッピングは FortiGate ユニットの負荷分散アルゴリズムによって決定されます のポート 80 ~ 83 は 8000 ~ 8003 に順にマップされます インターネット上のコンピュータがこの変換を認識することはなく プライベートネットワークを背後に持つ FortiGate ユニットではなく の単一のコンピュータに見えます 図 159: IP アドレス範囲およびポート範囲に対する負荷分散仮想 IP ポートフォワーディングの例 IP アドレス範囲に対する負荷分散仮想 IP を追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します

280 仮想 IP の設定 ファイアウォール - 仮想 IP 3 次の手順を使用して インターネット上のユーザが DMZ ネットワーク上の Web サーバに接続できるようにするための仮想 IP を追加します この例では FortiGate ユニットの外部インタフェースはインターネットに接続され dmzl インタフェースは DMZ ネットワークに接続されます [Name] Load_Bal_VIP_port_forward [External Interface] external [Type] Load Balance [External IP Address/Range] Web サーバのインターネット IP アドレス 外部 IP アドレスは Web サーバの ISP から取得したスタティック IP アドレスである必要があります このアドレスは 別のホストが使用しない固有の IP アドレスでなければならず 仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません しかし 外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります 仮想 IP アドレスと外部 IP アドレスは 別々のサブネット上に設定することができます 仮想 IP を追加すると 外部インタフェースは外部 IPアドレスの ARP 要求に応答します [Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス 範囲の最初のアドレスを最初のフィールドに 最後のアドレスを 2 番目のフィールドにそれぞれ入力して 範囲を定義します [Real Servers] VIP のタイプとしてサーバ負荷分散を選択する場合は リアルのサーバ IP アドレスを入力します リアルサーバの設定の詳細については 269 ページの 仮想 IP の設定 を参照してください [Port Forwarding] 選択 [Protocol] TCP [External Service Port] インターネットからのトラフィックが使用するポート Web サーバに対するポートは通常 ポート 80 です [Map Port] サーバがトラフィックを待つポート 範囲の最初のポートを最初のフィールドに 最後のポートを 2 番目のフィールドにそれぞれ入力して 範囲を定義します ポートが 1 つだけならば 2 番目のフィールドは空白のままとします 4 [OK] を選択します IP アドレス範囲に対する負荷分散仮想 IP をファイアウォールポリシーに追加するには仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に パケットが外部インタフェースから dmzl インタフェースへと FortiGateユニットを通過するようにします 仮想 IPは これらのパケットの宛先アドレスを 外部 IP から Web サーバの DMZ ネットワーク IP アドレスに変換します 1 [Firewall] [Policy] の順に選択して [Create New] を選択します

281 ファイアウォール - 仮想 IP 仮想 IP の設定 2 ファイアウォールポリシーを次のように設定します 3 [NAT] を選択します 4 [OK] を選択します ダイナミック仮想 IP の追加 [Source Interface/Zone] external [Source Address Name] All ( またはより具体的なアドレス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Load_Bal_VIP_port_forward [Schedule] always [Service] HTTP [Action] ACCEPT ダイナミック仮想 IP の追加は 仮想 IP の追加と同様です 異なる点として 外部 IP アドレスを に設定し すべての IP アドレスに適合するようにする必要があります ダイナミック仮想 IP を追加するには 1 [Firewall] [Virtual IP] [Virtual IP] の順に選択します 2 [Create New] を選択します 3 ダイナミック仮想 IP の名前を入力します 4 リストから仮想 IP 外部インタフェースを選択します 外部インタフェースは送信元ネットワークに接続され 宛先ネットワークに転送されるパケットを受信します いずれかのファイアウォールインタフェースまたは VLAN サブインタフェースを選択します 5 外部 IP アドレスを に設定します 外部 IP アドレス は すべての IP アドレスに適合します 6 ダイナミックポートフォワーディングを設定する外部サービスポート番号を入力します 外部のサービスポート番号は 転送されるパケットの宛先ポートに一致している必要があります たとえば 仮想 IP がインターネットから PPTP サーバへの PPTP パススルーアクセスを提供している場合は 外部のサービスポート番号を 1723 (PPTP ポート ) にする必要があります 7 外部 IP アドレスをマップするマップ先 IP アドレスを入力します たとえば 内部ネットワーク上の PPTP サーバの IP アドレスです 8 転送の際にパケットに追加されるマップ先ポート番号を入力します ポートが変換されない場合は 外部サービスポートと同じ番号を入力します 9 [OK] を選択します

282 仮想 IP グループ ファイアウォール - 仮想 IP 仮想 IP グループ 仮想 IP グループを作成することで ファイアウォールポリシートラフィック制御を容易にすることができます たとえば DMZ インタフェースにおいて 仮想 IP マッピングを用いる電子メールサーバが 2 つある場合 これら 2 つの VIP を 1 つの VIP グループにまとめるとともに 外部から DMZ へのポリシーを 2 つではなく 1 つ作成して トラフィックを制御できます VIP グループリストの表示 仮想 IP グループリストを表示するには [Firewall] [Virtual IP] [VIP Group] の順に選択します 図 160: VIP グループリスト VIP グループリストには 次のアイコンと機能が用意されています [Create New] [Group Name] [Members] [Interface] 削除アイコン編集アイコン 新しい VIP グループを追加する場合に選択します 282 ページの VIP グループの設定 を参照してください 仮想 IP グループの名前 グループのメンバを表示します VIP グループが属するインタフェースを表示します リストから VIP グループを削除します 削除アイコンは ファイアウォールポリシーで VIP グループが使用されていない場合にのみ表示されます グループ名やメンバなど VIP グループ情報を編集します VIP グループの設定 VIP グループを追加するには [Firewall] [Virtual IP] [VIP Group] の順に選択し [Create new] を選択します VIP グループを編集するには [Firewall] [Virtual IP] [VIP Group] の順に選択し 編集する VIP グループの編集アイコンを選択します

283 ファイアウォール - 仮想 IP IP プール 図 161: VIP グループの編集 次の設定を行い [OK] を選択します [Group Name] [Interface] [Available VIPs] および [Members] グループ名を入力または編集します VIP グループを作成するインタフェースを選択します グループの編集中は [Interface] ボックスはグレーになって選択不可能となります メンバを追加または削除します IP プール 宛先インタフェースの IP アドレスに制限するのではなく IP プールからランダムに選択されたアドレスに送信元アドレスを変換する NAT ポリシーを追加するには IP プールを使用します IP プールは IP プールが追加されたインタフェースで ARP 要求に応答するアドレスまたは IP アドレス範囲をすべて定義します 送信パケットの送信元アドレスを IP プールからランダムに選択されたアドレスに変換するには ファイアウォールポリシーで [Enable Dynamic IP Pool] を選択します ポリシーの宛先インタフェースが IP プールのインタフェースと同一である場合 IP プールリストが表示されます 内部インタフェースに IP プールを追加すると その内部インタフェースのポリシーに動的 IP プールを宛先として選択できます

284 IP プールリストの表示 ファイアウォール - 仮想 IP すべてのインタフェースに複数の IP プールを追加し ファイアウォールポリシーを設定する際に 使用する IP プールを選択します 単一の IP アドレスは通常どおり入力します たとえば は有効な IP プールアドレスです IP アドレス範囲が必要な場合は 以下のいずれかの形式を使用します IP プールとダイナミック NAT x.x.x.x-x.x.x.x たとえば x.x.x.[x-x] たとえば [ ] ダイナミック NAT に対しては IP プールを使用します たとえば ある組織が一定の範囲のインターネットアドレスを購入したものの FortiGate ユニットの外部インタフェースのインターネット接続は1つのみという場合があります こうした場合 組織のインターネット IP アドレスの 1 つを FortiGate ユニットの外部インタフェースに割り当てます FortiGate ユニットが NAT/ ルートモードで動作している場合 ネットワークからインターネットへの接続は すべてこの IP アドレスから行われているように見えます すべてのインターネット IP アドレスから接続を開始するには 外部インタフェースの IP プールにこのアドレス範囲を追加します 次いで 外部インタフェースのすべてのポリシーに 宛先としてダイナミック IP プールを選択します 各接続に対し ファイアウォールは IP プールから動的に IP アドレスを選択し 接続の送信元アドレスとします このため インターネットへの接続は IP プールのすべての IP アドレスから開始されているように見えます 固定ポートを用いたファイアウォールポリシーの IP プール 接続で使用されるパケットの送信元ポートが NAT ポリシーで変換される場合 正しく動作しないネットワーク設定があります NAT では 特定のサービスの接続を追跡するため 送信元ポートが変換されます 送信元ポートの変換を防ぐには NAT ポリシーの固定ポートを選択します ただし 固定ポートを選択するということは このサービスにおいて 1 つの接続しかファイアウォールを介してサポートできないことを意味します 複数の接続をサポートできるようにするには 宛先インタフェースに IP プールを追加した後 ポリシー内でダイナミック IP プールを選択します ファイアウォールは IP アドレスを IP プールからランダムに選択して 各接続に割り当てます この場合 ファイアウォールでサポート可能な接続の数は IP プール内の IP アドレスの数によって制限されます IP プールリストの表示 FortiGate ユニット上でバーチャルドメインが有効になっている場合 IP プールはバーチャルドメインごとに別々に作成されます IP プールにアクセスするには メインメニューのリストからバーチャルドメインを選択します IP プールはトランスペアレントモードでは使用できません IP プールリストを表示するには [Firewall] [Virtual IP] [IP Pool] の順に選択します

285 ファイアウォール - 仮想 IP IP プールの設定 図 162: IP プールリスト IP プールリストには 次のアイコンと機能が用意されています [Create New] [Name] [Start IP] [End IP] 削除アイコン編集アイコン IP プールを追加する場合に選択します IP プールの名前 開始 IP はアドレス範囲の始まりを定義します 終了 IP はアドレス範囲の終わりを定義します リストからこのエントリを削除する場合に選択します 削除アイコンは IP プールがファイアウォールポリシーで使用されていない場合にのみ表示されます 名前 インタフェース IP 範囲 / サブネットの情報を編集する場合に選択します IP プールの設定 IP プールを追加するには [Firewall] [Virtual IP] [IP Pool] の順に選択します 図 163: 新しいダイナミック IP プール [Name] [Interface] [IP Range/Subnet] IP プールの名前を編集または変更します IP プールを追加するインタフェースを選択します IP プールの IP アドレス範囲を入力します IP 範囲は アドレス範囲の最初と最後を定義します 範囲の最初は範囲の最後よりも小さくなければなりません IP 範囲は IP プールが追加されるインタフェースの IP アドレスと同一のサブネット上である必要はありません

286 IP プールの設定 ファイアウォール - 仮想 IP

287 ファイアウォール - プロテクションプロファイル プロテクションプロファイルとは ファイアウォール - プロテクションプロファイル この項では NAT/ ルートモードおよびトランスペアレントモードのポリシーにプロテクションプロファイルを追加する方法について説明します この項には以下のトピックが含まれています プロテクションプロファイルとは プロテクションプロファイルリストの表示 デフォルトのプロテクションプロファイル プロテクションプロファイルの設定 ポリシーへのプロテクションプロファイルの追加 プロテクションプロファイル CLI 設定 プロテクションプロファイルとは プロテクションプロファイルとは 特定の目的に合わせて調整可能な設定のグループです プロテクションプロファイルは ファイアウォールポリシーによって制御されるトラフィックにそれぞれ個別の保護設定を適用します これにより 各ポリシーが処理するトラフィックのタイプに応じて設定を調整できます 次の操作を行う場合にプロテクションプロファイルを使用します HTTP FTP IMAP POP3 SMTP および IM ポリシーのアンチウイルス保護の設定 HTTP ポリシーおよび HTTPS ポリシーの Web フィルタリングの設定 HTTP ポリシーおよび HTTPS ポリシーの Web カテゴリフィルタリングの設定 IMAP POP3 および SMTP ポリシーのスパムフィルタリングの設定 すべてのサービスの IPS の有効化 HTTP FTP IMAP POP3 SMTP および IM ポリシーのコンテンツアーカイブの設定 AIM ICQ MSN Yahoo および SIMPLE のインスタントメッセージングの IM フィルタリングとアクセス制御の設定 Bit Torrent edonkey Gnutella Kazaa Skype および WinNY のピアツーピアクラインアントの P2P アクセスおよび帯域幅制御の設定 ログを作成するプロテクションプロファイルのアクションの設定 VoIP プロトコル (SIP および SCCP) の帯域制限の設定 プロテクションプロファイルを使用すれば さまざまなファイアウォールポリシーの保護のタイプおよびレベルをカスタマイズできます

288 プロテクションプロファイルリストの表示 ファイアウォール - プロテクションプロファイル たとえば 内部アドレスと外部アドレスとの間のトラフィックには厳重な保護が必要かもしれませんが 信頼できる内部アドレス同士のトラフィックにはさほど厳格な保護は必要ない場合があります 別々のトラフィックサービスに対して 同一または異なるプロテクションプロファイルを使用するようポリシーを設定してください FortiGate ユニット上でバーチャルドメインが有効になっている場合 プロテクションプロファイルはグローバルに設定され すべてのバーチャルドメインで利用できます プロテクションプロファイルにアクセスするには [Global Configuration] [Firewall] [Protection Profile] の順に選択してください デフォルトのプロテクションプロファイル FortiGate ユニットには あらかじめ次の 4 つのプロテクションプロファイルが設定されています Strict スキャン Web Unfiltered HTTP FTP IMAP POP3 および SMTP トラフィックに最大の保護を適用します この [strict] プロテクションプロファイルは 通常の状況では不便なことがありますが 最大の保護が求められる場合に利用できます HTTP FTP IMAP POP3 および SMTP トラフィックにウイルススキャンを適用します また すべてのコンテンツサービスに対して隔離が選択されます ハードドライブ内蔵の FortiGate モデルでは アンチウイルススキャンによってファイルにウイルスが発見されると そのファイルは FortiGate のハードディスクに隔離されます システム管理者は 必要に応じて隔離されたファイルを回復できます HTTP トラフィックにウイルススキャンと Web コンテンツブロックを適用します このプロテクションプロファイルは HTTP トラフィックを制御するファイアウォールポリシーに追加してください スキャン ブロック または IPS を一切適用しません コンテンツトラフィックを保護する必要がない場合は この [unfiltered] コンテンツプロファイルを使用します このプロテクションプロファイルは コンテンツを保護する必要のない 信頼性または安全性の高いネットワーク間の接続に対するファイアウォールポリシーに追加してください プロテクションプロファイルリストの表示 プロテクションプロファイルリストを表示するには [Firewall] [Protection Profile] の順に選択します 図 164: デフォルトのプロテクションプロファイル プロテクションプロファイルリストには 次のアイコンと機能が用意されています [Create New] [Name] 削除編集 プロテクションプロファイルを追加する場合に選択します プロテクションプロファイルの名前 リストからプロテクションプロファイルを削除する場合に選択します 削除アイコンは プロファイルがファイアウォールポリシーで使用されていない場合にのみ使用できます プロテクションプロファイルを変更する場合に選択します

289 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 注記 : ファイアウォールポリシーで選択されているか またはユーザグループに含まれている場合 プロテクションプロファイルは削除できません ( 削除アイコンは表示されません ) プロテクションプロファイルの設定 必要な設定がデフォルトのプロテクションプロファイルで用意されていない場合は カスタムプロテクションプロファイルを作成します プロテクションプロファイルを追加するには [Firewall] [Protection Profile] の順に選択して [Create New] を選択します 図 165: 新規のプロテクションプロファイル [Profile Name] [Comments] [AntiVirus] プロテクションプロファイルの名前を入力します 必要に応じて プロファイルの説明を入力します 290ページの アンチウイルスオプション を参照してください [Web Filtering] 291 ページの Web フィルタリングオプション を参照してください [FortiGuard-Web Filtering] 292 ページの FortiGuard-Web フィルタリングオプション を参照してください [Spam Filtering] [IPS] [Content Archive] [IM & P2P] [Logging] [VoIP] 294 ページの スパムフィルタリングオプション を参照してください 296 ページの IPS オプション を参照してください 297 ページの コンテンツアーカイブオプション を参照してください 298 ページの IM および P2P オプション を参照してください 299 ページの ロギングオプション を参照してください 300 ページの VoIP オプション を参照してください 注記 : ウイルススキャンとファイルブロックの両方が有効になっている場合 FortiGate ユニットは 有効なファイルパターンと比較してから ウイルスのスキャンを実行します ファイルブロック機能でブロックされたファイルのウイルススキャンは実行されません

290 プロテクションプロファイルの設定 ファイアウォール - プロテクションプロファイル アンチウイルスオプション 図 166: プロテクションプロファイルのアンチウイルスオプション 注記 : NNTP オプションは選択できません 将来サポートされる予定です アンチウイルスについて プロテクションプロファイルを介して次のオプションを使用できます [Virus Scan] [File Pattern] [Quarantine] ( ログディスクが必要 ) [Pass fragmented s] [Comfort Clients] 各プロトコル (HTTP FTP IMAP POP3 SMTP IM) に対して ウイルススキャンを有効または無効にします [AntiVirus] [Config] [Grayware] の順に選択して有効に設定されている場合 ウイルススキャンにグレーウェアが含まれます CLI で有効に設定されている場合 ウイルススキャンにヒューリスティックも含まれます ウイルススキャンを有効にすると ストリーミングモードも自動的に有効になることに注意してください 各プロトコルに対して ファイルパターンの処理を有効または無効にします ファイルは 名前 拡張子 その他のパターンに応じて ブロックしたり許可したりすることができます ファイルパターンの処理によって 有害なコンテンツが含まれる可能性のあるファイルが柔軟にブロックされます [File Pattern] ドロップダウンリスト : プロテクションプロファイルで使用するファイルパターンリストを選択します デフォルトのファイルパターンリストはビルトインパターンと呼ばれます 各プロトコルに対して 隔離を有効または無効にします 疑わしいファイルを隔離して表示するか または分析のためにフォーティネットにファイルを提出します FortiGate にハードドライブまたは設定済みの FortiAnalyzer ユニットがない場合 プロテクションプロファイルに隔離のオプションは表示されません メールプロトコル (IMAP POP3 SMTP) に対して 断片化された電子メールの通過を有効または無効にします 断片化された電子メールにウイルスのスキャンは行えません HTTP トラフィックおよび FTP トラフィックのクライアントコンフォーティングを有効または無効にします クライアントコンフォーティングを有効にすると HTTP および FTP によるダウンロードでバッファリングされているファイルの状態が視覚的に表示されます ユーザは Web ページの表示やファイルのダウンロードが処理されているところを確認することができます これが無効になっている場合 ユーザは FortiGate ユニットがダウンロードをバッファリングしている最中であることがわからないため ダウンロードが失敗したものと見なして転送をキャンセルしてしまう可能性があります [Interval] ダウンロードの開始後 クライアントコンフォーティングが始まるまでの秒数 これは それ以降のインターバル間の時間の長さでもあります [Amount] 各インターバルで送信されるバイト数

291 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 [Oversized File/ ] [Add signature to outgoing s] アンチウイルス設定オプションの詳細については 355 ページの アンチウイルス を参照してください Web フィルタリングオプション 設定された各プロトコルのしきい値を超えるファイルおよび電子メールメッセージのブロックまたはパスを選択します [Threshold] ファイルがメガバイト単位のしきい値を超えた場合 ファイルは [Oversized File/ ] ドロップダウンリストで設定されたとおり パスまたはブロックされます メモリ内のスキャンの最大しきい値は FortiGate ユニットの RAM の 10% です 注記 : 電子メールスキャンでは サイズ超過のしきい値は 電子メールクライアントでエンコードされた後の 添付ファイルを含む最終的なサイズです 電子メールクライアントでは さまざまなタイプのエンコードが使用されることがあり エンコードのタイプによっては元の添付ファイルよりも大きいファイルサイズになります 最も一般的なエンコードである base64 では 3 バイトのバイナリデータが 4 バイトの base64 データに変換されます そのため 添付データが設定されたサイズ超過のしきい値を数メガバイト下回っていたとしても ファイルはサイズ超過としてブロックされたり ロギングされたりする場合があります 送信する電子メールに付加するシグネチャを作成し 有効にします (SMTP のみ ) 図 167: プロテクションプロファイル Web フィルタリングオプション Web フィルタリングについて プロテクションプロファイルを介して次のオプションを使用できます [Web Content Block] [Web Content Exempt] コンテンツブロックリストのコンテンツブロックパターンに基づいて HTTP トラフィックの Web ページブロックを有効または無効にします [Web content block] ドロップダウンリスト : プロテクションプロファイルで使用するコンテンツブロックリストを選択します [Threshold] : Web ページに現れるコンテンツブロックパターンの総合スコアがしきい値を超えると そのページはブロックされます 詳細については 388 ページの Web コンテンツブロックリストの表示 を参照してください コンテンツ除外リストのコンテンツ除外パターンに基づいて Web コンテンツブロックの解除を有効または無効にします [Web content exempt] ドロップダウンリスト : プロテクションプロファイルで使用するコンテンツ除外リストを選択します

292 プロテクションプロファイルの設定 ファイアウォール - プロテクションプロファイル [Web URL Filter] [ActiveX Filter] [Cookie Filter] [Java Applet Filter] [Web resume download block] [Block Invalid URLs] Web フィルタ設定オプションの詳細については 383 ページの Web フィルタ を参照してください FortiGuard-Web フィルタリングオプション URL リストに基づいて HTTP および HTTPS トラフィックの Web ページフィルタリングを有効または無効にします [Web URL filter] ドロップダウンリスト : プロテクションプロファイルで使用する Web URL フィルタリストを選択します ActiveX コントロールのブロックを有効にします クッキーのブロックを有効にします Java アプレットのブロックを有効にします すでに一部がダウンロードされているファイルの ダウンロード部分のブロックを有効にします このオプションを有効にすると 断片化したファイルに潜むウイルスファイルの意図せぬダウンロードを防止することができます ただし PDF などの一部の種類のファイルでは ダウンロードを高速化するために断片化されることに注意してください それらの種類のファイルでは このオプションを有効にすると ダウンロードが中断される場合があります FortiGate ユニットは CN の検証を行って有効なホスト名であることを確認してから Web フィルタリングを適用することができます このオプションを有効にすると CN が有効なホスト名でない場合 トラフィックはブロックされます 図 168: プロテクションプロファイル FortiGuard-Web フィルタリングオプション Web カテゴリフィルタリングについて プロテクションプロファイルを介して次のオプションを使用できます [Enable FortiGuard-Web Filtering] FortiGuard-Web カテゴリブロックを有効にします

293 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 [Enable FortiGuard-Web Filtering Overrides] [Provide details for blocked HTTP 4xx and 5xx errors] (HTTP のみ ) [Rate images by URL (blocked images will be replaced with blanks)] (HTTP のみ ) [Allow websites when a rating error occurs] [Strict Blocking] [Rate URLs by domain and IP address] [Category] [Classification] カテゴリの解除を有効にします これを選択すると グループのリストが表示されます 利用できるグループがない場合 このオプションはグレーになって選択不可能となります 解除の詳細については 397 ページの 上書きリストの表示 および 398 ページの 上書きルールの設定 を参照してください グループの詳細については 346 ページの ユーザグループ を参照してください 400 および 500 シリーズの HTTP エラーの差し替えメッセージを表示します エラーの通過が許可されている場合 悪意のあるサイトまたは好ましくないサイトは これらの一般的なエラーページを使用して Web カテゴリのブロックを逃れることができます FortiGuard によって評価された画像をブロックします ブロックされた画像は 送信元の Web ページでは空白に置き換えられます 評価対象の画像の種類は GIF JPEG PNG BMP および TIFF です Web フィルタリングサービスから評価エラーが返された Web ページを使用できるようにします FortiGate ユニットによる Strict Blocking の使用方法に関する情報 このオプションを有効にすると 要求されたサイトの URL と IP アドレスの両方が送信されて確認されるため FortiGuard システムを迂回しようとする試みに対するセキュリティが向上します ただし IP の評価は URL の評価ほど迅速には行われないため 何らかの誤った評価が生じる場合があります このオプションはデフォルトで無効に設定されています FortiGuard-Web コンテンツフィルタリングサービスには Web トラフィックをフィルタリングするためのカテゴリが多数用意されています 各カテゴリに対して 実行するアクションを Web ページで設定します [Allow] [Block] [Monitor] [Allow Override] から選択します 分類では Web サイトのクラス全体がブロックされます たとえば Google など コンテンツをキャッシュして提供する Web サイトをブロックできます 画像 オーディオ またはビデオの検索が行える Web サイトもブロックできます また 分類された Web サイトは いずれかのカテゴリで評価されるか または一切評価されません [Allow] [Block] [Monitor] [Allow Override] から選択します カテゴリブロック設定オプションの詳細については 396 ページの FortiGuard- Web フィルタ を参照してください

294 プロテクションプロファイルの設定 ファイアウォール - プロテクションプロファイル スパムフィルタリングオプション 図 169: プロテクションプロファイルのスパムフィルタリングオプション 注記 : NNTP オプションは選択できません 将来サポートされる予定です

295 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 スパムフィルタリングについて プロテクションプロファイルを介して次のオプションを使用できます [FortiGuard-Antispam] [IP address BWL check] [HELO DNS lookup] [ address BWL check] [Return DNS check] [IP address check] FortiGuard-Antispam フィルタリングの IP アドレスブラックリストを有効または無効にします FortiGuard-Antispam は SMTP メールサーバの送信元アドレスを抽出し FortiGuard-Antispam サーバにその IP アドレスを送信して 既知のスパム発信者と一致するかどうかを調べます 該当する IP アドレスが発見された場合 FortiGuard-Antispam はセッションを終了します FortiGuard-Antispam で一致するものが見つからなかった場合 メールサーバは電子メールを受信者に送信します このサービスの詳細については 170 ページの FortiGuard-Antispam サービス を参照してください [URL check] FortiGuard-Antispam スパムフィルタリングの URL ブラックリストを有効または無効にします FortiGuard-Antispam は 電子メールメッセージの本文をチェックして URL リンクをすべて抽出ます これらの URL のリンクは FortiGuard-Antispam サーバに送信されて リストに該当するものがあるかどうかチェックされます 多くの場合 スパムメッセージには広告への URL リンクが含まれています ( スパム広告とも呼ばれます ) URL の一致が発見された場合 FortiGuard-Antispam はセッションを終了します FortiGuard-Antispam で一致するものが見つからなかった場合 メールサーバは電子メールを受信者に送信します このサービスの詳細については 170 ページの FortiGuard-Antispam サービス を参照してください [ checksum check] [Spam submission] FortiGuard-Antispam 電子メールメッセージチェックサムブラックリストを有効または無効にします 有効にした場合 このフィルタは電子メールメッセージのチェックサムを計算して FortiGuard サーバに送信し ブラックリストに含まれるかどうか判定します FortiGate ユニットは サーバの応答に従って電子メールメッセージをパスまたはマーク / ブロックします 有効にした場合 スパムとしてマークされたすべての電子メールメッセージの本文にリンクが加えられます 電子メールメッセージがスパムでない場合 メッセージ内のリンクをクリックして 誤検知であることを FortiGuard に通知します ブラック / ホワイトリストのチェック 受信 IP アドレスと設定済みのスパムフィルタの IP アドレスリストとの照合を有効または無効にします (SMTP のみ ) [IP address BWL check] ドロップダウンリスト : プロテクションプロファイルで使用する IP アドレスブラックリスト / ホワイトリストを選択します ドメインネームサーバの送信元ドメイン名の (SMTP HELO コマンドからの ) 検索を有効または無効にします 設定されているスパムフィルタ電子メールアドレスリストに対する受信電子メールアドレスのチェックを有効または無効にします [ address BWL check] ドロップダウンリスト : プロテクションプロファイルで使用する電子メールアドレスブラックリスト / ホワイトリストを選択します 返信先または送信元のアドレスで指定されたドメインに A または MX レコードが含まれているかどうかのチェックを有効または無効にします

296 プロテクションプロファイルの設定 ファイアウォール - プロテクションプロファイル [Banned word check] [Spam Action] [Append to] [Append with] 設定されているスパムフィルタ禁止単語リストに対する発信元電子メールのチェックを有効または無効にします [Banned word check] ドロップダウンリスト : プロテクションプロファイルで使用する禁句リストを選択します [Threshold] : 電子メールメッセージに現れる禁句パターンの総合スコアがしきい値を超えると そのメッセージは [Spam Action] の設定に従って処理されます 詳細については 410 ページの アンチスパム禁止単語リストの表示 を参照してください スパムフィルタが行う処置 [tagged] を設定すると スパムとして識別された電子メールの件名またはヘッダにカスタムタグを付けることができます SMTP では ウイルススキャンまたはストリーミングモード ( 別称スプライス ) を有効にした場合 スパム電子メールは破棄のみ可能となります ( ウイルススキャンを有効にすると ストリーミングモードも自動的に有効になることに注意してください )[Discard] は ただちに接続を中断します ストリーミングモードまたはスキャンが有効に設定されていない場合 SMTP スパムにタグを付けるか または SMTP スパムを破棄するかを選択できます 電子メールには 特別な語句を件名に追加するか または電子メールのヘッダに MIME のヘッダと値を挿入することで タグを付けることができます 任意のスパムアクションをイベントログに記録することを選択できます スパムとして識別された電子メールの件名または MIME ヘッダにタグを追加します スパムとして識別された電子メールに付加する語句 ( タグ ) を入力します 最大の長さは 63 文字です 注記 : 一般的な電子メールクライアントには MIME ヘッダに基づくメッセージのフィルタリングが行えないものがあります スパムにタグ付けする方法を決める前に 電子メールクライアントの機能を確認してください スパムフィルタ設定オプションの詳細については 405 ページの アンチスパム を参照してください FortiGuard Anti-spam サービスを設定するには 170 ページの FortiGate ユニットの FDN および FortiGuard サービスの設定 を参照してください IPS オプション 図 170: プロテクションプロファイル IPS オプション IPS について プロテクションプロファイルを介して次のオプションを使用できます [IPS Signature] [IPS Anomaly] プロファイルの IPS シグネチャ重大度を 1 つまたは複数選択します 選択肢は [Critical] ( 重大 ) [High] ( 高 ) [Medium] ( 中 ) [Low] ( 低 ) [Information] ( 情報 ) です 重大度が選択されていないシグネチャはトリガされません プロファイルの IPS アノマリ重大度を 1 つまたは複数選択します 選択肢は [Critical] ( 重大 ) [High] ( 高 ) [Medium] ( 中 ) [Low] ( 低 ) [Information] ( 情報 ) です 重大度が選択されていないアノマリはトリガされません IPS 設定オプションの詳細については 371 ページの 不正侵入防御 を参照してください

297 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 コンテンツアーカイブオプション すべてのコンテンツアーカイビングオプションにアクセスできるようにするには FortiAnalyzer ユニットを設定するとともに FortiAnalyzer へのロギングを有効にする必要があります 詳細については 434 ページの FortiAnalyzer ユニットへのロギング を参照してください 図 171: プロテクションプロファイルコンテンツアーカイブオプション 注記 : NNTP およびファイルアーカイビングのオプションは選択できません 将来サポートされる予定です コンテンツアーカイブについて プロテクションプロファイルを介して次のオプションを使用できます [Display content metainformation on the system dashboard] [Archive to FortiAnalyzer] [Archive SPAMed s to FortiAnalyzer] FortiGate ステータスページの [Statistics] セクションにおける各種トラフィックのメタ情報の表示を有効にします HTTP トラフィック HTTPS トラフィック FTP トラフィック および電子メールメッセージトラフィック (IMAP POP3 および SMTP の組み合わせ ) の統計を表示します 次の 3 つのオプションから 1 つ選択します [None] : アーカイブしません [Summary] : プロトコルごとにコンテンツのメタ情報を FortiAnalyzer ユニットにアーカイブします コンテンツメタ情報には 日時 送信元および宛先の情報 要求と応答のサイズ およびスキャン結果を含めることができます コンテンツアーカイブは [Log&Report] [Log Config] [LogSetting] の順に選択して表示されるページで FortiAnalyzer が有効に設定されている場合にのみ使用できます [Full] : HTTP および FTP のダウンロードファイルのコピー または IMAP POP3 および STMP のすべての電子メールメッセージのコピーをアーカイブします 通常の電子メールメッセージとともにスパム電子メールメッセージを保存できるようにします デフォルトでは スパム電子メールメッセージはアーカイブされません [Display content metainformation on the system ける各種トラフィックのメタ情報の表示を有効にします FortiGate ステータスページの [Statistics] セクションにお dashboard] (AIM ICQ MSN Yahoo!)

298 プロテクションプロファイルの設定 ファイアウォール - プロテクションプロファイル [Archive IM to FortiAnalyzer] (AIM ICQ MSN Yahoo!) 次の 3 つのオプションから 1 つ選択します [None] : アーカイブしません [Summary] : AIM ICQ MSN および Yahoo の IM プロトコルのサマリ情報をロギングします サマリ情報には 日時 送信元および宛先の情報 要求と応答のサイズ およびスキャン結果を含めることができます [Full] : プロトコルごとに IM プロトコルの完全なチャット情報を FortiAnalyzer ユニットにアーカイブします コンテンツアーカイブは [Log&Report] [Log Config] [LogSetting] の順に選択して表示されるページで FortiAnalyzer が有効に設定されている場合にのみ使用できます 注記 : コンテンツアーカイビングを機能させるには プロテクションプロファイルの [IM & P2P] セクションで IM オプションを有効にする必要があります IM および P2P オプション 図 172: プロテクションプロファイル IM および P2P オプション IM および P2P について プロテクションプロファイルを介して次のオプションを使用できます [Block Login] インスタントメッセージのユーザが AIM ICQ MSM Yahoo および SIMPLE のサービスにログインできないようにします [Block File Transfers] [Block Audio] [Inspect Non-standard Port] [Action] AIM ICQ MSN および Yahoo のプロトコルのファイル転送のブロックを有効にします AIM ICQ MSN および Yahoo のプロトコルのオーディオのブロックを有効にします IM トラフィックの非標準ポートの検査を有効にします BitTorrent edonkey Gnutella Kazaa および WinNY プロトコルの P2P 転送のパス ブロック または帯域制限を行います Skype 転送は パスとブロックはできますが 帯域制限は行えません [Limit (KBytes/s)] 帯域制限が設定されている場合 BitTorrent edonkey Gnutella Kazaa および WinNY プロトコルの帯域幅の制限を指定します IM ユーザのログイン中に IM プロテクションプロファイルを変更した場合 次回のログイン時まで有効になりません たとえば 現在ログインしているユーザの接続を切断する場合に [Enabling Block Login] は使用できません IM 設定オプションの詳細については 421 ページの IM P2P および VoIP を参照してください

299 ファイアウォール - プロテクションプロファイル プロテクションプロファイルの設定 ロギングオプション 図 173: プロテクションプロファイルロギングオプション ロギングについて プロテクションプロファイルを介して次のオプションを使用できます [Antivirus] [Viruses] スキャンされたウイルスのロギングを有効にします [Blocked Files] ブロックされたファイルのロギングを有効にします [Oversized Files/ s] サイズ超過のファイルおよび電子メールメッセージのロギングを有効にします [Web Filtering] [Content Block] コンテンツブロックのロギングを有効にします [FortiGuard Web Filtering] [URL Block] [ActiveX Filter] [Cookie Filter] [Java Applet Filter] [Log rating errors] (HTTP のみ ) ブロックおよび除外された URL のロギングを有効にします ブロックされた ActiveX のロギングを有効にします ブロックされたクッキーのロギングを有効にします ブロックされた Java アプレットのロギングを有効にします 評価エラーのロギングを有効にします [Spam Filtering] [Log Spam] 検知されたスパムのロギングを有効にします [IPS] [Log Intrusions] シグネチャおよびアノマリの侵入のロギングを有効にします [IM and P2P] [Log IM Activity] IM アクティビティのロギングを有効にします [Log P2P Activity] P2P アクティビティのロギングを有効にします [VoIP] [Log VoIP Activity] VoIP アクティビティのロギングを有効にします

300 ポリシーへのプロテクションプロファイルの追加 ファイアウォール - プロテクションプロファイル VoIP オプション ロギングの詳細については 431 ページの ログおよびレポート を参照してください FortiGate ユニットは SIP プロトコル (SIMPLE を含む ) および SCCP プロトコルの帯域制限をサポートします 図 174: プロテクションプロファイル VoIP オプション VoIP について プロテクションプロファイルを介して次のオプションを使用できます [Limit RIGISTER Request] SIP REGISTER 要求の帯域制限を設定します ( 毎秒 ) [Limit INVITE Request] SIP INVITE 要求の帯域制限を設定します ( 毎秒 ) [Limit Call Setup] コールクライアントとコールマネージャ間の SCCP コールのセットアップに帯域制限を設定します (1 分あたりのコール数 ) ポリシーへのプロテクションプロファイルの追加 アクションを allow または IPSec に設定し またサービスを ANY HTTP FTP IMAP POP3 SMTP またはこれらのサービスを含むサービスグループに設定して ファイアウォールポリシーのプロテクションプロファイルを有効にします FortiGate ユニット上でバーチャルドメインが有効になっている場合 プロテクションプロファイルを各バーチャルドメインのポリシーに追加する必要があります ポリシーにアクセスするには メインメニューからバーチャルドメインを選択します 1 [Firewall] [Policy] の順に選択します 2 プロテクションプロファイルを追加するポリシーリストを選択します たとえば 内部ネットワークのユーザがWebからダウンロードしたファイルのネットワーク保護を有効にするには 内部から外部へのポリシーリストを選択します 3 [Create New] を選択してポリシーを追加するか または変更するポリシーの編集を選択します 4 プロテクションプロファイルを選択します 5 リストからプロテクションプロファイルを選択します 6 必要に応じて 残りのポリシー設定を行います 7 [OK] を選択します 8 ネットワーク保護を有効にするすべてのポリシーに対して この手順を繰り返します

301 ファイアウォール - プロテクションプロファイル プロテクションプロファイル CLI 設定 プロテクションプロファイル CLI 設定 プロテクションプロファイルを追加 編集 または削除するには CLI コマンド config firewall profile を使用します ファイアウォールポリシーで制御されるトラフィックに対して異なる保護設定を適用するには プロテクションプロファイルを使用します 注記 : CLI コマンドを使用する方法の完全な説明や例については FortiGate CLI リファレンス を参照してください

302 プロテクションプロファイル CLI 設定 ファイアウォール - プロテクションプロファイル

303 VPN - IPSEC IPSec インタフェースモードの概要 VPN - IPSEC この項では Web ベースマネージャから使用可能な ポリシーベース ( トンネルモード ) およびルートベース ( インタフェースモード ) の IPSec (Internet Protocol Security) VPN オプションについて説明します FortiGate ユニットは ESP (Encapsulated Security Payload) プロトコルを実装しています 暗号化されたパケットは あらゆる IP ネットワークで転送可能な通常のパケットのように見えます IKE ( インターネット鍵交換 ) は 事前共有キーまたは X.509 デジタル証明書に基づいて自動的に実行されます オプションで手動キーを指定できます インタフェースモードは NAT/ ルートモードでのみサポートされます これは VPN トンネルのローカルエンドに仮想インタフェースを作成します この項には以下のトピックが含まれています IPSec インタフェースモードの概要 自動キー 手動キー コンセントレータ モニタ IPSec インタフェースモードの概要 ルートベース ( インタフェースモード ) IPSec トンネルを定義すると 仮想 IPSec インタフェースが自動的に作成されます IKE キーの自動作成を選択するか または手動でキーを指定するかに関係なく 仮想 IPSec インタフェースは IPSec フェーズ 1 パラメータを定義する際に選択したローカル FortiGate の物理インタフェース アグリゲートインタフェース または VLAN インタフェースのサブインタフェースとして作成されます IPSec 仮想インタフェースは VPN ピアまたはクライアントとフェーズ 1 接続を確立できる場合に起動します しかし フェーズ 2 定義に結合されるまでは トンネルを介してトラフィックを送信するのに仮想 IPSec インタフェースを使用することはできません 仮想 IPSec インタフェースの結合は [System] [Network] [Interface] の順に選択して表示されるページに示されます 物理インタフェースに結合されたトンネルの名前はすべて [Name] 列の関連する物理インタフェース名の下に表示されます [Interface] ページの詳細については 69 ページの インタフェース を参照してください 注記 : 仮想 IPSec インタフェースはゾーンに結合できます IPSec 仮想インタフェースをトンネルに結合した後 スタティックルートとポリシールート双方の特定のメトリックを用いて トラフィックをそのインタフェースにルーティングすることができます また 送信元または宛先インタフェースとして仮想 IPSec インタフェースを備えたファイアウォールポリシーを作成できます

304 IPSec インタフェースモードの概要 VPN - IPSEC 以下のいずれかの方法で トンネルモードコンセントレータに相当するものを作成できます 集結させる IPSec インタフェースの各ペア間のファイアウォールポリシーを定義する ダイヤルアップでは 同一のインタフェースを送信元と宛先の両方に兼用できます これは サイト間接続の数が多いと面倒な場合があります すべての IPSec インタフェースを 1 つのゾーンにまとめた後 単一のゾーン間ポリシーを定義する すべての IPSec インタフェースを 1 つのゾーンにまとめ ゾーン内のトラフィックを有効にする この場合 複数の IPSec インタフェースがなければなりません 詳細と例については FortiGate IPSec VPN ユーザガイド を参照してください ローカル FortiGate ユニットの背後から発信された IP トラフィックが IPSec トンネルのローカルエンドとして機能する ( つまり IPSec インタフェースモードがインタフェースで有効 ) FortiGateの送信インタフェースに到達すると そのトラフィックはトンネルでカプセル化され IPSec 仮想インタフェースの結合先の物理インタフェースを介して転送されます カプセル化されたリモート VPN ピアまたはクライアントからトラフィックがローカル FortiGate の物理インタフェースに到達すると FortiGate ユニットは トラフィックのセレクタを通じて IPSec 仮想インタフェースが物理インタフェースに関連するかどうかを判断します トラフィックは 定義済みのセレクタに合致した場合 カプセルが解除され IPSec 仮想インタフェースに転送されます 送信方向では FortiGateユニットはルート検索を行って ネクストホップルータに到達するようトラフィックを転送するインタフェースを見つけ出します FortiGate ユニットが特定の VPN トンネルに結合されている仮想インタフェースを介したルートを発見した場合 トラフィックは暗号化されて VPN トンネルを通じて送信されます 受信方向では FortiGate ユニットは ESP データグラムの宛先 IP アドレスと SPI ( セキュリティパラメータインデックス ) を用いてフェーズ2 SA ( セキュリティアソシエーション ) と合致するVPN トンネルを特定します 合致する SA が見つかると データグラムは復号化され 関連する IP トラフィックはIPSec 仮想インタフェースを介してリダイレクトされます 特定のパスに関連したファイアウォールポリシーは 送信元アドレスと宛先アドレスの間を通過するすべての IP トラフィックの制御に関与します 必要に応じて ルートベース VPN トンネルとのトラフィックのフローを制御する複数のファイアウォールポリシーを設定できます ルートベースのIPSec トンネルを通じた双方向のトラフィックをサポートするには 送信方向のトラフィックと受信方向のトラフィックを制御する 2 つのファイアウォールポリシーが必要です ルートベース VPN によって VPN トンネルの冗長化が容易になります 同一の IP トラフィックに異なるルートメトリックを使用して ルートを設定できます また VPN トンネルを介したルーティング情報の動的な交換 (RIP OSPF または BGP) も設定できます メインの VPN 接続に不具合が生じたり ダイナミックルーティングでルートのプライオリティが変更されたりした場合は 代替ルートが選択されて 冗長接続経由でトラフィックが転送されます

305 VPN - IPSEC 自動キー 自動キー IPSec フェーズ 1 およびフェーズ 2 交換の際に固有のIKE ( インターネット鍵交換 ) キーを自動的に生成するように 2 つの VPN ピア ( または FortiGate ダイヤルアップサーバと VPN クライアント ) を設定することができます フェーズ 1 およびフェーズ 2 で自動的に固有のキーが生成されるように FortiGate ユニットを設定するには [VPN] [IPSEC] [Auto Key (IKE)] の順に選択します フェーズ2パラメータを定義する際 トンネルのセキュアな接続のセットアップとリモートピアの認証を行うために 任意のフェーズ 1 パラメータセットを選択できます 注記 : それぞれのフェーズ 1 設定に関連するフェーズ 2 設定は 1 つに限られます 自動キーの設定は トンネルモードとインタフェースモードの両方の VPN に適用されます 図 175: 自動キーリスト 編集削除 [Create Phase 1] 新しいフェーズ 1 トンネル設定を作成します 305 ページの 新しいフェーズ 1 設定の作成 を参照してください [Create Phase 2] 新しいフェーズ 2 トンネル設定を作成します 311 ページの 新しいフェーズ 2 設定の作成 を参照してください [Phase 1] [Phase 2] [Interface Binding] 削除アイコンと編集アイコン 既存のフェーズ 1 トンネル設定の名前 既存のフェーズ 2 設定の名前 IPSec トンネルが結合されるローカルの物理インタフェース アグリゲートインタフェース または VLAN インタフェースの名前 フェーズ 1 設定を削除または編集します 新しいフェーズ 1 設定の作成 フェーズ1では 2つのVPNピア ( またはFortiGateダイヤルアップサーバと VPN クライアント ) が相互の認証を行い キーを交換して セキュアな通信チャンネルを確立します 基本的なフェーズ 1 設定は IPSec フェーズ 1 パラメータをリモートゲートウェイに対応付けて 以下について定義します さまざまなフェーズ 1 パラメータが 暗号化された認証情報によって複数のラウンドで交換されるのか ( メインモード ) または暗号化されていない認証情報によって単一のメッセージで交換されるのか ( アグレッシブモード )

306 自動キー VPN - IPSEC 2 つの VPN ピア ( または VPN サーバとそのクライアント ) の身元を認証するのに 事前共有キーまたはデジタル証明が使用されるか 接続が試みられた際 リモート VPN ピアまたはクライアントを識別するのに 特別な識別子 証明書識別名 またはグループ名が使用されるか 基本的な IPSec フェーズ 1 パラメータを定義するには [VPN] [IPSEC] [Auto Key (IKE)] の順に選択し [Create Phase 1] を選択します 図 176: [New Phase 1] [Name] [Remote Gateway] [IP Address] [Dynamic DNS] [Local Interface] フェーズ 1 の定義を表す名前を入力します 名前の長さは インタフェースモード VPN では最大 15 文字 ポリシーベース VPN では最大 35 文字です トンネルモード VPN では 名前にリモート接続の起点を反映させる必要があります ルートベースのトンネルでは FortiGate ユニットも自動的に作成した仮想 IPSec インタフェースの名前を使用します リモート接続の性質を以下のように選択します リモートピアの IP アドレスがスタティック IP アドレスである場合は [Static IP Address] を選択します 1 つ以上の FortiClient またはダイナミック IP アドレスを持つ FortiGate ダイヤルアップクライアントが FortiGate ユニットに接続する場合は [Dialup User] を選択します ドメイン名を持ち ダイナミック DNS サービスに登録しているリモートピアが FortiGate ユニットに接続する場合は [Dynamic DNS] を選択します [Static IP Address] を選択した場合に リモートピアの IP アドレスを入力します [Dynamic DNS] を選択した場合に リモートピアのドメイン名を入力します このオプションは NAT/ ルートモードでのみ使用できます リモートピアまたはダイヤルアップクライアントがFortiGateユニットに接続する物理インタフェース アグリゲートインタフェース または VLAN インタフェースの名前を選択します FortiGate ユニットは IPSec インタフェースが設定されない限り [System] [Network] [Interface] の順に選択して表示されるページの設定からインタフェースの IP アドレスを取得します (69 ページの インタフェース 参照 ) IPSec インタフェースが設定されている場合は [Advanced] 設定の [Local Gateway IP] フィールドに別の IP アドレスを指定できます (309 ページの [Local Gateway IP] 参照 )

307 VPN - IPSEC 自動キー [Mode] [Authentication Method] [Pre-shared Key] [Certificate Name] [Peer Options] [Accept any peer ID] [Accept this peer ID] [Accept peer ID in dialup group] [Main] または [Aggressive] を選択します [Main] モードでは フェーズ 1 パラメータは暗号化された認証情報とともに複数のラウンドで交換されます [Aggressive] モードでは フェーズ 1 パラメータは暗号化されていない認証情報とともに単一のメッセージで交換されます リモート VPN ピアまたはクライアントの IP アドレスがダイナミック IP アドレスであるとき またはリモート VPN ピアまたはクライアントが識別子 ( ローカル ID) を使用して認証されるときに インタフェース IP アドレスに複数のダイヤルアップフェーズ 1 設定がある場合は [Aggressive] モードを選択する必要があります [Peer Options] 設定に特定のモードが必要になる場合があります 下記の [Peer Options] を参照してください [Preshared Key] または [SA Signature] を選択します [Authentication Method] で [Preshared Key] を選択した場合 PSK (Pre-Shared Key: 事前共有キー ) を入力します FortiGate ユニットは フェーズ 1 のネゴシエーション中にこの PSK を用いて リモートピアまたはダイヤルアップクライアントに対して自分自身を認証します ここに設定する値は リモートピアまたはクライアントに設定されている値と同一である必要があります この鍵は少なくとも 6 つの印字可能な文字を含んでいる必要があり ネットワーク管理者以外に知られてはなりません また 現在既知の攻撃から最大限に保護できるよう 鍵はランダムに選択した最低 16 字の英数文字で設定してください [Authentication Method] で [RSA Signature] を選択した場合 サーバ証明書の名前を選択します FortiGate ユニットは フェーズ 1 のネゴシエーション中にそのサーバ証明書を用いて リモートピアまたはダイヤルアップクライアントに対して自分自身を認証します 必要なサーバ証明書の取得とロードについては FortiGate 証明書管理ユーザガイド を参照してください VPN ピアまたはクライアントの認証において [Remote Gateway] および [Authentication Method] の設定に応じて以下の 1 つまたは複数のオプションを使用できます 任意のリモート VPN ピアまたはクライアントのローカル ID を受け入れます FortiGate ユニットでは識別子 ( ローカル ID) の確認は行われません [Mode] は [Aggressive] または [Main] に設定できます 特定の識別子に基づいてリモートピアを認証します このフィールドに識別子を入力します リモートピアにも同一の識別子を設定する必要があります このオプションは リモートピアにダイナミック IP アドレスが設定されている場合に限り使用できます リモートピアが FortiGate ユニットである場合 フェーズ 1 設定の [Local ID] フィールドに識別子を指定する必要があります FortiClient ダイヤルアップクライアントに対しては そのコネクションの [Advanced Settings] にある [Policy] セクションで [Config] を選択し [Local ID] フィールドに識別子を指定します 同一の VPN トンネルを通じてそれぞれ固有の識別子および固有の PSK ( または固有の PSK のみ ) を使用する複数の FortiGate または FortiClient ダイヤルアップクライアントを認証します 認証を行うためのダイヤルアップユーザグループを作成する必要があります 346 ページの ユーザグループ を参照してください [Accept peer ID in dialup group] オプションの隣に表示されるリストからグループを選択します FortiGate ダイヤルアップクライアントの設定については FortiGate IPSec VPN ユーザガイド を参照してください FortiClient ダイヤルアップクライアントの設定については FortiClient ダイヤルアップクライアントの認証に関するテクニカルノート を参照してください ダイヤルアップクライアントが固有の識別子および固有の PSK を使用する場合 [Mode] を [Aggressive] に設定する必要があります ダイヤルアップクライアントが固有の PSK のみを使用し このインタフェースIPアドレスに対するダイヤルアップフェーズ1 設定が 1 つしかない場合は [Mode] を [Main] に設定できます

308 自動キー VPN - IPSEC [Accept this peer certificate only] [Accept this peer certificate group only] フェーズ 1 詳細設定の定義 セキュリティ証明書を使用して リモートピアまたはダイヤルアップクライアントを認証します このオプションの隣に表示されるリストから証明書を選択します 証明書は [User] [PKI] の順に選択して表示されるページで FortiGate 設定にピア証明書を追加してからでないと 選択できません 詳細については PKI 証明書を参照してください リモート VPN ピアまたはクライアントにダイナミック IP アドレスが設定されている場合は [Mode] を [Aggressive] に設定します このオプションは [Authentication Method] が [RSA Signature] に設定されている場合に使用できます 証明書グループを使用して ダイナミック IP アドレスを持ち なおかつ固有の証明書を使用するダイヤルアップクライアントを認証します リストからピアグループの名前を選択します グループは CLI コマンド config user peergrp を実行してグループを作成してからでないと 選択できません 詳細については FortiGate CLI リファレンス の章 ユーザ を参照してください ピアグループのメンバは [User] [PKI] の順に選択して表示されるページか または CLI コマンド config user peer で追加された証明書である必要があります リモート VPN ピアまたはクライアントにダイナミック IP アドレスが設定されている場合は [Mode] を [Aggressive] に設定します このオプションは [Authentication Method] が [RSA Signature] に また [Remote Gateway] が [Dialup User] に設定されている場合に使用できます [Advanced] フェーズ 1 詳細パラメータを定義します 308 ページの フェーズ 1 詳細設定の定義 を参照してください 詳細な [P1 Proposal] パラメータでは IKE 交換のキーを生成するために FortiGate ユニットが使用する暗号化および認証アルゴリズムを選択します 付加的なフェーズ 1 詳細設定を選択することで フェーズ 1 ネゴシエーションの円滑な運用を保証できます IPSec フェーズ 1 詳細パラメータを変更するには [VPN] [IPSEC] [Auto Key (IKE)] の順に選択し [Create Phase 1] を選択した後 [Advanced] を選択します 図 177: フェーズ 1 詳細設定 追加

309 VPN - IPSEC 自動キー [Enable IPSec Interface Mode] VPN トンネルのローカルエンドに仮想インタフェースを作成します これは トランスペアレントモードでは使用できません [Local Gateway IP] [Enable IPSec Interface Mode] を選択した場合 VPN トンネルのローカルエンドの IP アドレスを指定する必要があります 次のいずれかを選択します [Main Interface IP] FortiGate ユニットは [System] [Network] [Interface] の順に選択して表示される設定からインタフェースの IP アドレスを取得します (69 ページの インタフェース 参照 ) [Specify] IP アドレスを指定します IP アドレスは フェーズ 1 の [Local Interface] フィールドで選択された物理インタフェース アグリゲートインタフェース または VLAN インタフェースに割り当てられます (306 ページの [Local Interface] 参照 ) トランスペアレントモード VDOM でインタフェースモードは設定できません [P1 Proposal] ネゴシエーションを保護するためのキーの生成に使用する暗号化および認証アルゴリズムを選択します 必要に応じて 暗号化および認証アルゴリズムを追加または削除します 組み合わせを最低で 1 つ 最高で 3 つ選択します 定義されたプロポーザルを少なくとも 1 つは使用するようにリモートピアまたはクライアントを設定する必要があります 以下のいずれかの対称キーアルゴリズムを選択できます DES (Digital Encryption Standard) 56 ビットキーを使用する 64 ビットブロックアルゴリズム 3DES プレーンテキストが 3 つのキーで 3 回暗号化されるトリプル DES AES ビットキーを使用する128ビットブロックアルゴリズム AES ビットキーを使用する128ビットブロックアルゴリズム AES ビットキーを使用する128ビットブロックアルゴリズム 次のメッセージダイジェストのいずれかを選択して フェーズ 1 ネゴシエーション中のメッセージの信憑性を確認することができます MD5 (Message Digest 5) RSA Data Security が開発したハッシュアルゴリズム SHA1 (Secure Hash Algorithm 1) 160 ビットのメッセージダイジェストを生成するアルゴリズム 3 つ目の組み合わせを指定するには 2 つ目の組み合わせのフィールドの隣にある追加ボタンをクリックします

310 自動キー VPN - IPSEC [DH Group] [Keylife] [Local ID] [XAuth] [Nat-traversal] DH グループ 1 2 および 5 から Diffie-Hellman グループを 1 つ以上選択します アグレッシブモードを使用する場合 DH グループをネゴシエートすることはできません 両方の VPN ピア ( または VPN サーバとそのクライアント ) がスタティック IP アドレスを持ち アグレッシブモードを使用する場合は 単一の DH グループを選択します FortiGate ユニットの設定は リモートピアまたはダイヤルアップクライアントの設定と同一である必要があります VPN ピアまたはクライアントがダイナミック IP アドレスを持ち アグレッシブモードを使用する場合 FortiGate ユニットでは最大 3 つの DH グループを またリモートピアまたはダイヤルアップクライアントでは 1 つの DH グループを選択します リモートピアまたはクライアントの設定は FortiGate ユニットの選択のいずれか 1 つと同一である必要があります VPN ピアまたはクライアントがメインモードを使用している場合 複数の DH グループを選択できます 少なくとも 1 つのリモートピアまたはクライアントの設定は FortiGate ユニットの選択と同一である必要があります IKE 暗号化キーが期限切れになるまでの時間 ( 秒 ) を入力します キーが期限切れになると サービスを中断させることなく 新しいキーが生成されます [Keylife] は 120 ~ 秒に設定できます FortiGate ユニットが VPN クライアントとして動作し 認証にピア ID を使用している場合は フェーズ 1 交換中に FortiGate ユニットが VPN サーバに提供する識別子を入力します FortiGate ユニットが VPN クライアントとして動作し 認証にセキュリティ証明書を使用している場合は FortiGate ユニットが認証に使用するローカルサーバ証明書の識別名 (DN) を選択します FortiGate ユニットがダイヤルアップクライアントで 他のダイヤルアップクライアントとトンネルを共有しない場合 ( つまり トンネルがこの FortiGate のダイヤルアップクライアント専用となる場合 ) [Mode] を [Aggressive] に設定します このオプションは ダイヤルアップクライアントの認証をサポートするために用意されています FortiGate ユニットがダイヤルアップクライアントで [XAuth] の設定として [Enable as Client] を選択する場合は FortiGate ユニットがリモートの XAuth サーバに対して自己認証するために必要なユーザ名とパスワードを入力します [Remote Gateway] が [Dialup User] に設定され ダイヤルアップクライアントがダイヤルアップグループのメンバとして認証を行う場合 FortiGate ユニットは XAuth サーバとして動作できます [Enable as Server] を選択するには FortiGate ユニットの背後のネットワークへのアクセスが必要なダイヤルアップクライアントを識別するために まずユーザグループを作成しなければなりません See 349 ページの ユーザグループの設定. また 認証リクエストを外部の RADIUS または LDAP 認証サーバに転送されるように FortiGate ユニットを設定する必要があります これらのトピックの詳細については 341 ページの RADIUS サーバの設定 または 342 ページの LDAP サーバの設定 を参照してください FortiGate ユニット XAuth クライアント および外部認証サーバの間で使用する暗号化の種類を決定するには [Server Type] の設定を選択し 続いて [User Group] リストからユーザグループを選択します ローカル FortiGate ユニットと VPN ピアまたはクライアントとの間に NAT デバイスが存在する場合は このオプションを有効にします 信頼性の高い接続を確立するには ローカル FortiGate ユニットと VPN ピアまたはクライアントの NAT トラバーサル設定が同一である必要があります ( 両方を選択または解除 )

311 VPN - IPSEC 自動キー [Keepalive Frequency] [Dead Peer Detection] NAT トラバーサルを有効にした場合は キープアライブ間隔の設定を入力します 値は 0 ~ 900 秒の間隔を設定できます このオプションを有効にすると アイドル状態の接続において VPN トンネルが回復するとともに 必要に応じて 切断された IKE ピアが除去されます このオプションを使用することで トンネルが作動または停止した際に通知を受けたり またはオプションを有効にすることで トラフィックがトンネル内で生成されないときにトンネル接続を開いたままにしておくことができます ( たとえば 定期的に変化する IP アドレスからダイヤルアップクライアントまたはダイナミック DNS ピアが接続し IP アドレスが変化する間 トラフィックが一時的に中断されるような状況において ) [Dead Peer Detection] オプションが選択されている場合 CLI コマンド config vpn ipsec phase1 ( トンネルモード ) または config vpn ipsec phase1-interface ( インタフェースモード ) を使用して リトライの回数と間隔をオプションで指定できます 詳細については FortiGate CLI リファレンス を参照してください 新しいフェーズ 2 設定の作成 IPSec フェーズ 1 ネゴシエーションが無事に完了すると フェーズ 2 が始まります フェーズ 2パラメータは 残りのセッションでデータを暗号化および転送するために FortiGate ユニットが使用できるアルゴリズムを定義します フェーズ 2 の間 セキュリティサービスの実装に必要な特定の IPSec セキュリティアソシエーションが選択され トンネルが確立されます 基本的なフェーズ 2 設定は VPN トンネルのリモートエンドポイントを指定するフェーズ 1 設定に IPSec フェーズ 2 パラメータを対応付けます ほとんどの場合 設定する必要があるのは基本的なフェーズ 2 設定のみです フェーズ 2 を設定するには [VPN] [IPSEC] [Auto Key (IKE)] の順に選択し [Create Phase 2] を選択します 図 178: [New Phase 2] フェーズ 2 詳細設定の定義 [Name] フェーズ 2 の設定を識別する名前を入力します [Phase 1] フェーズ 1 トンネル設定を選択します 305 ページの 新しいフェーズ 1 設定の作成 を参照してください フェーズ 1 設定では リモート VPN ピアまたはクライアントがこのトンネルでどのように認証されるのか またリモートピアまたはクライアントへの接続がどのように保護されるのかが設定されます [Advanced] フェーズ 2 詳細パラメータを定義します 311 ページの フェーズ 2 詳細設定の定義 を参照してください フェーズ 2 では FortiGate ユニットと VPN ピアまたはクライアントが再びキーを交換し合い セキュアな通信チャンネルを確立します [P2 Proposal] パラメータでは セキュリティアソシエーション (SA) の実装詳細を保護するために キーの生成に必要な暗号化および認証アルゴリズムを選択します キーは Diffie-Hellman のアルゴリズムを使用して 自動的に生成されます フェーズ 2 では トンネルの動作を拡張する詳細設定が多数使用できます IPSec フェーズ 2 詳細パラメータを変更するには [VPN] [IPSEC] [Auto Key (IKE)] の順に選択し [Create Phase 2] を選択した後 [Advanced] を選択します

312 自動キー VPN - IPSEC 図 179: フェーズ 2 詳細設定 追加 [P2 Proposal] データを暗号化コードに変えるために使用する暗号化および認証アルゴリズムを選択します 必要に応じて 暗号化および認証アルゴリズムを追加または削除します 組み合わせを最低で 1 つ 最高で 3 つ選択します 定義されたプロポーザルを少なくとも 1 つは使用するようにリモートピアを設定する必要があります [Enable replay detection] [Enable perfect forward secrecy (PFS)] [DH Group] 以下のいずれかの対称キーアルゴリズムを選択できます NULL 暗号化アルゴリズムは使用しません DES (Digital Encryption Standard) 56 ビットキーを使用する 64 ビットブロックアルゴリズム 3DES プレーンテキストが 3 つのキーで 3 回暗号化されるトリプル DES AES ビットキーを使用する 128 ビットブロックアルゴリズム AES ビットキーを使用する 128 ビットブロックアルゴリズム AES ビットキーを使用する 128 ビットブロックアルゴリズム 次のメッセージダイジェストのいずれかを選択して 暗号化されたセッション中のメッセージの信憑性を確認することができます NULL メッセージダイジェストは使用しません MD5 (Message Digest 5) RSA Data Security が開発したハッシュアルゴリズム SHA1 (Secure Hash Algorithm 1) 160 ビットのメッセージダイジェストを生成するアルゴリズム 組み合わせを 1 つだけ指定するには 2 つ目の組み合わせの [Encryption] および [Authentication] オプションを [NULL] に設定します 3 つ目の組み合わせを指定するには 2 つ目の組み合わせのフィールドの隣にある追加ボタンをクリックします オプションで リプレイの検知を有効または無効にします リプレイ攻撃は 許可されていない相手が一連の IPSec パケットを傍受し トンネルに向けてそれを再送信することで発生します PFS を有効または無効にします PFS (Perfect Forward Secrecy) は キーの期限が切れるたびに新しい Diffie-Hellman 交換を強制的に実行することにより セキュリティを強化します Diffie-Hellman グループを 1 つ選択します (1 2 または 5) 同一のグループを使用するようにリモートピアまたはダイヤルアップクライアントを設定する必要があります

313 VPN - IPSEC 自動キー [Keylife] [Autokey Keep Alive] [DHCP-IPSec] フェーズ 2 キーの期限を定める方法を [Seconds] ( 秒 ) [KBytes] ( キロバイト ) または [Both] ( その両方 ) から選択します [Both] を選択した場合 指定の時間が経過するか または指定のバイト数の処理が完了すると キーは期限切れとなります 範囲は 120 ~ 秒 または 5120 ~ KB です データが処理されていない間もトンネルを有効にしておく場合は このオプションを有効にします FortiGate ユニットがダイヤルアップサーバとして動作し FortiClient のダイヤルアップクライアントへの VIP アドレスの割り当てに FortiGate DHCP リレーが使用される場合は [Enable] を選択します DHCP リレーのパラメータは 別途設定する必要があります 詳細については 117 ページの システム - DHCP を参照してください FortiGate ユニットがダイヤルアップサーバとして動作し ダイヤルアップサーバの背後のネットワークと一致する FortiClient ダイヤルアップクライアント VIP アドレスを手動で割り当てた場合は [Enable] を選択して FortiGate ユニットがダイヤルアップクライアントのプロキシとして動作するようにします これは ダイヤルアップフェーズ 1 設定に関連したトンネルモードのフェーズ 2 設定にのみ使用できます 注記 : FortiGate ユニットを介して VPN ユーザがインターネットを閲覧できるようにすることが可能です 314 ページの インターネットブラウジング設定 を参照してください [Quick Mode Selector] オプションで IKE ネゴシエーションのセレクタとして使用する送信元および宛先 IP アドレスを指定します FortiGate ユニットがダイヤルアップサーバである場合 VPN を構成する 1 つ以上のプライベートネットワーク間の IP アドレスが不明瞭なことによって生じる問題を防止する必要がある場合を除き デフォルト値の /0 を変更しないでください 単一のホスト IP アドレス IP アドレス範囲 またはネットワークアドレスを指定できます オプションで 送信元と宛先のポート番号またはプロトコル番号 あるいはその両方を指定できます 既存のフェーズ 2 設定を編集する場合 ファイアウォールのアドレスをセレクタとして使用するようにトンネルが設定されていると [Source address] と [Destination address] のフィールドは使用できません このオプションは CLI でのみ使用できます FortiGate CLI リファレンス で vpn ipsec phase2 コマンドのキーワード dst-addr-type dst-name src-addr-type および src-name を参照してください [Source address] [Source port] [Destination address] FortiGate ユニットがダイヤルアップサーバである場合 ローカル送信者またはローカル VPN ピアの背後のネットワークに対応する送信元 IP アドレスを入力します ( たとえば サブネットには /24 または / サーバまたはホストには /32 または / あるいはアドレス範囲には [80-100] または など ) /0 の値は ローカル VPN ピアの背後のすべての IP アドレスを意味します FortiGate ユニットがダイヤルアップクライアントである場合 送信元アドレスは FortiGate ダイヤルアップクライアントの背後のプライベートネットワークを参照する必要があります 指定されたサービス ( プロトコル番号 ) に関係するトラフィックを伝送するためにローカルVPNピアが使用するポート番号を入力します 範囲は 0 ~ です すべてのポートを指定するには 0 を入力します 受信者またはリモート VPN ピアの背後のネットワークに対応する宛先 IP アドレスを入力します ( たとえば サブネットには /24 サーバまたはホストには /32 あるいはアドレス範囲には [80-100] など ) /0 の値は リモート VPN ピアの背後のすべての IP アドレスを意味します

314 自動キー VPN - IPSEC [Destination port] [Protocol] 指定されたサービス ( プロトコル番号 ) に関係するトラフィックを伝送するためにリモート VPN ピアが使用するポート番号を入力します 範囲は 0 ~ です すべてのポートを指定するには 0 を入力します サービスの IP プロトコル番号を入力します 範囲は 1 ~ 255 です すべてのサービスを指定するには 0 を入力します インターネットブラウジング設定 FortiGate ユニットを介して VPN ユーザがインターネットを閲覧できるようにすることが可能です これはファイアウォールのポリシーで行います 必要なポリシーは ポリシーベース VPN とルートベース VPN で異なります ファイアウォールポリシーの詳細については 226 ページの ファイアウォールポリシーの設定 を参照してください ポリシーベース VPN インターネットブラウジング設定 追加のファイアウォールポリシーを次のように設定します [Source Interface/Zone] [Source Address Name] [Destination Interface/Zone] [Destination Address Name] [Action] [VPN Tunnel] FortiGate ユニットのパブリックインタフェースを選択します [All] を選択します FortiGate ユニットのパブリックインタフェースを選択します リモートネットワークアドレスの名前を選択します [IPSEC] を選択します [Inbound NAT] 有効にします 必要に応じて 他の設定を行います FortiGate ユニットの背後にあるプライベートネットワークへのアクセスを提供するトンネルを選択します ルートベース VPN インターネットブラウジング設定 追加のファイアウォールポリシーを次のように設定します [Source Interface/Zone] [Source Address Name] [Destination Interface/Zone] IPSec インタフェースを選択します [All] を選択します [Destination Address Name] [All] を選択します [Action] [ACCEPT] を選択します [NAT] 有効にします 必要に応じて 他の設定を行います FortiGate ユニットのパブリックインタフェースを選択します

315 VPN - IPSEC 手動キー 手動キー 必要に応じて IPSec VPN トンネルを確立するための暗号化キーを手動で定義できます 手動キーは 次のような状況で定義します 暗号化キーまたは認証キー あるいはその両方の予備知識が求められる場合 ( つまり VPN ピアの 1 つに特定の IPSec 暗号化キーまたは認証キー あるいはその両方が必要な場合 ) 暗号化と認証を無効にする必要がある場合 どちらの場合も IPSec のフェーズ 1 およびフェーズ 2 のパラメータは指定せず [VPN] [IPSEC] [Manual Key] の順に選択して表示されるページで手動キーを定義します 注記 : キーの機密を保持するためには ネットワーク管理者が信頼できる人物でなければなりません また リモート VPN ピアにセキュアな方法で変更を伝えるのが困難な場合があります 以上の理由から 手動キーを定義することは安全または現実的でないことがあります 図 180: 手動キーリスト 編集削除 [Create New] [Tunnel Name] [Remote Gateway] [Encryption Algorithm] [Authentication Algorithm] 削除アイコンと編集アイコン 新しい手動キー設定を作成します 315 ページの 新しい手動キー設定の作成 を参照してください 既存の手動キー設定の名前 リモートピアまたはダイヤルアップクライアントの IP アドレス 手動キー設定で指定された暗号化アルゴリズムの名前 手動キー設定で指定された認証アルゴリズムの名前 手動キー設定を削除または編集します 新しい手動キー設定の作成 VPN デバイスの 1 つが特定の特定の認証キーまたは暗号化キー あるいはその両方を使用してトンネルを確立する場合 両方の VPN デバイスを同一の認証キーまたは暗号化キー あるいはその両方を使用するように設定する必要があります また 両方の VPN デバイスを相補的な SPI ( セキュリティパラメータインデックス ) で設定することが重要です 各 SPI は SA ( セキュリティアソシエーション ) を識別します 値は ESP データグラムを SA にリンクするために そのデータグラムに配置されます ESP データグラムを受信すると 受信者は SPI を参照して データグラムに適用する SA を決定します SPI は SA ごとに手動で指定する必要があります SA は一方向のみの通信に適用されるため VPN デバイス間の双方向通信に対応するには 設定ごとに 2 つの SPI を指定しなければなりません ( ローカル SPI とリモート SPI)

316 手動キー VPN - IPSEC! 注意 : 特定の設定におけるセキュリティポリシー SA セレクタ および SA データベースについて熟知していない場合は 適格の支援を受けることなく下記の手順を実施しないでください トンネルを作成するための手動キーを指定するには [VPN] [IPSEC] [Manual Key] の順に選択し [Create New] を選択します 図 181: [New Manual Key] [Name] VPN トンネルの名前を入力します 名前の長さは インタフェースモード VPN では最大 15 文字 ポリシーベース VPN では最大 35 文字です [Local SPI] [Remote SPI] [Remote Gateway] [Local Interface] [Encryption Algorithm] ローカル FortiGate ユニットの送信トラフィックを処理する SA を表す 16 進数の値 ( 最大 8 文字 0 ~ 9 a ~ f) を入力します 有効範囲は 0x100 ~ 0xffffffff です この値は リモートピアの手動キー設定における [Remote SPI] の値と一致する必要があります ローカル FortiGate ユニットの受信トラフィックを処理する SA を表す 16 進数の値 ( 最大 8 文字 0 ~ 9 a ~ f) を入力します 有効範囲は 0x100 ~ 0xffffffff です この値は リモートピアの手動キー設定における [Local SPI] の値と一致する必要があります リモートピアへのパブリックインタフェースの IP アドレスを入力します このアドレスは ESP データグラムの受信者を識別します このオプションは NAT/ ルートモードでのみ使用できます IPSec トンネルが結合される物理インタフェース アグリゲートインタフェース または VLAN インタフェースの名前を選択します FortiGate ユニットは [System] [Network] [Interface] の順に選択して表示されるページの設定から IP アドレスを取得します (69 ページの インタフェース 参照 ) 以下のいずれかの対称キー暗号化アルゴリズムを選択します DES (Digital Encryption Standard) 56 ビットキーを使用する 64 ビットブロックアルゴリズム 3DES プレーンテキストが 3 つのキーで 3 回暗号化されるトリプル DES AES ビットキーを使用する 128 ビットブロックアルゴリズム AES ビットキーを使用する 128 ビットブロックアルゴリズム AES ビットキーを使用する 128 ビットブロックアルゴリズム

317 VPN - IPSEC コンセントレータ [Encryption Key] [Authentication Algorithm] 以下に従って入力します DES を選択した場合は 16 字の 16 進数 (0 ~ 9 a ~ f) を入力します 3DES を選択した場合は 16 字のセグメント 3 つに分けた 48 字の 16 進数 (0 ~ 9 a ~ f) を入力します AES128 を選択した場合は 16 字のセグメント 2 つに分けた 32 字の 16 進数 (0 ~ 9 a ~ f) を入力します AES192 を選択した場合は 16 字のセグメント 3 つに分けた 48 字の 16 進数 (0 ~ 9 a ~ f) を入力します AES256 を選択した場合は 16 字のセグメント 4 つに分けた 64 字の 16 進数 (0 ~ 9 a ~ f) を入力します 以下のいずれかのメッセージダイジェストを選択します MD5 (Message Digest 5) 128 ビットのメッセージダイジェストを生成するアルゴリズム SHA1 (Secure Hash Algorithm 1) 160 ビットのメッセージダイジェストを生成するアルゴリズム [Authentication Key] 以下に従って入力します MD5 を選択した場合は 16 字のセグメント 2 つに分けた 32 字の 16 進数 (0 ~ 9 a ~ f) を入力します SHA1 を選択した場合は 16 字のセグメントと 24 字のセグメントに分けた 40 字の 16 進数 (0 ~ 9 a ~ f) を入力します [IPSec Interface Mode] VPN トンネルのローカルエンドに仮想インタフェースを作成します このオプションは NAT/ ルートモードでのみ使用できます コンセントレータ ハブアンドスポークの構成では 多数のリモートピアへのポリシーベース VPN 接続は 中央にある単一の FortiGate ユニットから放射状に広がります リモートピア同士のサイト間接続は存在しないものの FortiGate ユニットの ハブ を介して 任意の 2 つのリモートピア間に VPN トンネルを確立できます ハブアンドスポークネットワークでは VPN トンネルはすべてハブが終点となります ハブに接続するピアは スポーク と呼ばれます ハブは ネットワークのコンセントレータとして機能し スポーク間のすべての VPN 接続を管理します VPN トラフィックは ハブを介して1つのトンネルから別のトンネルへと進みます コンセントレータは ハブアンドスポーク設定にスポークが含まれるように定義します コンセントレータを定義するには [VPN] [IPSEC] [Concentrator] の順に選択します

318 コンセントレータ VPN - IPSEC 図 182: コンセントレータリスト 編集削除 [Create New] コンセントレータオプションの定義 IPSec ハブアンドスポーク設定の新しいコンセントレータを定義します 318 ページの コンセントレータオプションの定義 を参照してください [Concentrator Name] 既存の IPSec VPN コンセントレータの名前 [Members] コンセントレータに関連するトンネル 削除アイコンとコンセントレータを削除または編集します 編集アイコン コンセントレータの設定では IPSec ハブアンドスポーク設定に含めるスポークを指定します IPSec ハブアンドスポーク設定のスポークを指定するには [VPN] [IPSEC] [Concentrator] の順に選択し [Create New] を選択します 図 183: [New VPN Concentrator] [Concentrator Name] [Available Tunnels] [Members] コンセントレータの名前を入力します 定義済みの IPSec VPN トンネルのリスト リストからトンネルを選択してから 右向きの矢印をクリックします スポークに関連するトンネルがすべてコンセントレータに含まれるまで この手順を繰り返します コンセントレータのメンバであるトンネルのリスト コンセントレータからトンネルを削除するには トンネルを選択して 左向きの矢印をクリックします

319 VPN - IPSEC モニタ モニタ モニタを使用すると IPSec VPN トンネルの活動を表示したり それらのトンネルを開始または停止したりすることができます ディスプレイには トンネルモードやルートベース ( インタフェースモード ) トンネルなどのすべてのアクティブなトンネルについて アドレスのリスト プロキシID およびタイムアウト情報が表示されます アクティブなトンネルを表示するには [VPN] [IPSEC] [Monitor] の順に選択します 図 184: モニタリスト 次ページ前ページ [Dialup] リストでは ダイヤルアップクライアントに対して確立されたトンネルのステータス情報が表示されます リストには ダイヤルアップクライアントの IP アドレスと アクティブなすべてのトンネルの名前が表示されます リストに表示されるトンネルの数は ダイヤルアップクライアントが接続したり切断したりするたびに変わる可能性があります [ 次ページ ] および [ 前ページ ] アイコン [Name] [Remote Gateway] [Username] [Timeout] [Proxy ID Source] ダイヤルアップトンネルステータスリストの前のページまたは次のページを表示します 設定されたトンネルの名前 リモートホストデバイスのパブリック IP アドレスおよび UDP ポート または リモートホストの前に NAT デバイスがある場合は NAT デバイスのパブリック IP アドレスおよび UDP ポート ダイヤルアップクライアントのピア ID 証明書の名前 または XAuth ユーザ名 ( 認証を行うために ピア ID 証明書の名前 または XAuth ユーザ名がダイヤルアップクライアントに割り当てられた場合 ) 次のフェーズ 2 キー交換までの時間 時間は 前回のキー交換からの経過時間をキーライフから差し引いて計算されます フェーズ 2 キーが期限切れになると サービスを中断させることなく 新しいキーが生成されます FortiGate ユニットの背後にあるホスト サーバ またはプライベートネットワークの IP アドレス ファイアウォール暗号化ポリシーの送信元アドレスが IP アドレスの範囲となっている場合は ネットワーク範囲が表示されることがあります

320 モニタ VPN - IPSEC [Proxy ID Destination] [ トンネル始動 ] または [ トンネル停止 ] アイコン FortiClient ダイヤルアップクライアントがトンネルを確立すると 次のようになります VIP アドレスが使用されない場合 [Proxy ID Destination] フィールドには リモートホストのネットワークインタフェースカード (NIC) のパブリック IP アドレスが表示されます VIP アドレスが設定された場合 ( 手動または FortiGate の DHCP リレーを通じて ) [Proxy ID Destination] フィールドには FortiClient ダイヤルアップクライアントに属する VIP アドレス または VIP アドレスが指定されたサブネットアドレスのいずれかが表示されます FortiGate のダイヤルアップクライアントがトンネルを確立すると [Proxy ID Destination] フィールドには リモートプライベートネットワークの IP アドレスが表示されます 上向きの緑の矢印は 現在トンネルがトラフィックを処理していることを意味します これを選択すると トンネルが停止します 下向きの赤い矢印は トンネルがトラフィックを処理していないことを意味します これを選択すると トンネルが作動します スタティック IP およびダイナミック DNS のリストでは スタティックアドレスまたはドメイン名を持ったリモートピアへの VPN トンネルに関する情報が表示されます このリストを使用して 各トンネル設定のステータスおよび IP アドレスの情報を表示できます リストから個々のトンネルを始動したり 停止したりすることも可能です [ 次ページ ] および [ 前ページ ] アイコン [Name] [Remote Gateway] [Timeout] VPN トンネルステータスリストの前のページまたは次のページを表示します 設定されたトンネルの名前 リモートゲートウェイの IP アドレスまたは UDP ポート ダイナミック DNS トンネルでは IP アドレスはダイナミックに更新されます 次のフェーズ 2 キー交換までの時間 時間は 前回のキー交換からの経過時間をキーライフから差し引いて計算されます フェーズ 2 キーが期限切れになると サービスを中断させることなく 新しいキーが生成されます [Proxy ID Source] FortiGate ユニットの背後にあるホスト サーバ またはプライベートネットワークの IP アドレス ファイアウォール暗号化ポリシーの送信元アドレスが IP アドレスの範囲となっている場合は ネットワーク範囲が表示されることがあります [Proxy ID Destination] [ トンネル始動 ] または [ トンネル停止 ] アイコン リモート FortiGate ユニットの背後にあるホスト サーバ またはプライベートネットワークの IP アドレス 上向きの緑の矢印は 現在トンネルがトラフィックを処理していることを意味します これを選択すると トンネルが停止します 下向きの赤い矢印は トンネルがトラフィックを処理していないことを意味します これを選択すると トンネルが作動します

321 VPN - PPTP PPTP の範囲 VPN - PPTP FortiGate ユニットは 2 つの VPN ピア間の PPP トラフィックをトンネリングする PPTP をサポートします Windows または Linux の PPTP クライアントは PPTP サーバとして設定された FortiGate ユニットと PPTP トンネルを確立することができます または FortiGate ユニットの背後のネットワーク上にある PPTP サーバにPPTPパケットを転送するようにFortiGateユニットを設定することも可能です PPTP VPN は NAT/ ルートモードでのみ使用できます PPTP および L2TP のセッション数は現在 最大で 254 です 開始 IP と終了 IP は たとえば x.x.x.1. ~ x.x.x.254. のように 同じ 24 ビットのサブネット内である必要があります この項では Web ベースマネージャを使用して PPTP クライアントの IP アドレスの範囲を指定する方法について説明します その他関連する PPTP VPN セットアップタスクを実行する方法については FortiGate PPTP VPN ユーザガイド を参照してください この項には以下のトピックが含まれています PPTP の範囲 PPTP の範囲 PPTP アドレスの範囲は [PPTP Range] ページで指定できます PPTP アドレス範囲は リモート PPTP クライアント用に予約されたアドレスの範囲です リモート PPTP クライアントが接続すると FortiGate ユニットは 予約された IP アドレス範囲から IP アドレスをクライアント PPTP インタフェースに割り当てます PPTP クライアントは接続中 割り当てられた IP アドレスを送信元アドレスとして使用します PPTP を有効にして PPTP アドレス範囲を指定するには [VPN] [PPTP] [PPTP Range] の順に選択して 必要なオプションを選択し [Apply] を選択します 図 185: [Edit PPTP Range] [Enable PPTP] [Starting IP] [Ending IP] [User Group] [Disable PPTP] オプションを選択します オプションを選択する前に ユーザグループを追加する必要があります 346 ページの ユーザグループ を参照してください 予約する IP アドレス範囲の開始アドレスを入力します 予約する IP アドレス範囲の終了アドレスを入力します 定義した PPTP ユーザグループの名前を選択します PPTP のサポートを無効にするには このオプションを選択します

322 PPTP の範囲 VPN - PPTP

323 VPN - SSL Config VPN - SSL この項では Web ベースマネージャで [VPN] [SSL] の順に選択して表示されるページの機能について説明します SSL VPN は NAT/ ルートモードで動作する FortiGate ユニットでのみサポートされます 注記 : Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については FortiGate SSL VPN ユーザガイド を参照してください この項には以下のトピックが含まれています Config Monitor Config [Config] ページには タイムアウト値や SSL 暗号化の選択などの 基本的な SSL VPN の設定が含まれます 必要に応じて リモートクライアントの認証にデジタル証明書を使用できるようにすることも可能です 注記 : FortiGate の CLI コマンドを使えば 必要に応じて SSL バージョン 2 の暗号化を有効にすることができます ( 旧式のブラウザとの互換性のため ) 詳細については FortiGate CLI リファレンス の章 VPN の SSL Settings を参照してください 現在の SSL 設定を表示するには [VPN] [SSL] [Config] の順に選択します

324 Config VPN - SSL 図 186: [SSL-VPN Settings] [Enable SSL VPN] [Login Port] [Tunnel IP Range] [Server Certificate] [Require Client Certificate] [Encryption Key Algorithm] [Default - RC4(128 bits) and higher] [High - AES(128/256 bits) and 3DES] [Low - RC4(64 bits), DES and higher] SSL VPN のコネクションを有効にする場合に選択します リモートクライアントの Web ブラウザが FortiGate ユニットに接続するのに使われる 通常とは異なるポート番号をオプションで入力します デフォルトのポート番号は です トンネルモードの SSL VPN クライアント用に予約された IP アドレスの範囲を指定します 予約された IP アドレス範囲を決める 開始アドレスと終了アドレスを入力します 認証に使う署名済みサーバ証明書を選択します デフォルトの設定 (Self-Signed) のままにしておくと FortiGate ユニットは 工場でインストールされたフォーティネットの ( 自己署名済み ) 証明書を 接続の際にリモートクライアントに提示します リモートクライアントの認証にグループ証明書を使用できるようにするには このオプションを選択します 設定以後 リモートクライアントが接続を開始すると FortiGate ユニットはクライアントに対し 認証プロセスの一部としてクライアント側の証明書を要求します リモートクライアントの Web ブラウザと FortiGate ユニットとの間にセキュアな SSL コネクションを確立するためのアルゴリズムを選択します リモートクライアントの Web ブラウザが 128 ビット以上の暗号スイートに対応できる場合は このオプションを選択します リモートクライアントの Web ブラウザが高度な SSL 暗号化に対応できる場合は このオプションを選択して 128 ビットを超えるビット数でデータを暗号化する暗号スイートを有効にします リモートクライアントのWeb ブラウザでサポートされる SSL 暗号化のレベルが分からない場合は このオプションを選択して 64 ビット以上の暗号スイートを有効にします

325 VPN - SSL Monitor [Idle Timeout] システムがユーザを強制的に再ログインさせる前に コネクションがアイドル状態のままでいられる時間 ( 秒単位 ) を入力します 範囲は 10 ~ 秒です この設定は SSL VPN セッションに適用されます Web アプリケーションのセッションまたはトンネルが up している場合 インタフェースはタイムアウトしません [Portal Message] Web ポータルホームページの最上部にカスタマイズした説明文を表示する場合は メッセージを入力します [Advanced (DNS and WINS Servers)] [DNS Server #1] [DNS Server #2] [WINS Server #1] [WINS Server #2] クライアントが使用できる DNS サーバを 2 つまで入力します クライアントが使用できる WINS サーバを 2 つまで入力します Monitor アクティブなすべての SSL VPN セッションのリストを表示できます リストには リモートユーザのユーザ名 リモートクライアントの IP アドレス コネクションが張られた時間が表示されます また 提供されているサービスも明示されます アクティブな SSL VPN セッションのリストを表示するには [VPN] [SSL] [Monitor] の順に選択します 図 187: モニタリスト 削除 [No.] [User] [Source IP] [Begin Time] [Description] 削除アイコン コネクションの識別番号 接続したすべてのリモートユーザのユーザ名 FortiGate ユニットに接続したホストデバイスの IP アドレス 各コネクションの開始時間 提供されているサービスに関する情報 トンネルモードのユーザが接続している場合 [Description] フィールドには FortiGate ユニットがそのリモートクライアントに対して割り当てた IP アドレスが表示されます トンネルを削除します

326 Monitor VPN - SSL

327 VPN - 証明書 ローカル証明書 VPN - 証明書 この項では FortiGate Web ベースマネージャを用いて X.509 セキュリティ証明書を管理する方法について説明します 証明書要求の生成 署名済み証明書のインストール CA ルート証明書と証明書失効リストのインポート およびインストールされた証明書と秘密鍵のバックアップと復元を行う場合は この項を参照してください さらに詳しい情報については FortiGate 証明書管理ユーザガイド を参照してください この項には以下のトピックが含まれています ローカル証明書 リモート証明書 CA 証明書 CRL ローカル証明書 ローカル証明書リストには 証明書要求とインストールされたサーバ証明書が表示されます CA に要求を送信すると CA は情報を検証し シリアル番号 有効期限 および CA の公開鍵が含まれたデジタル証明書に連絡先情報を登録します その後 CA は署名を施して FortiGate ユニットにインストールできるよう その署名済み証明書を送り返してきます 証明書要求を表示したり 署名済みサーバ証明書をインポートしたりするには [VPN] [Certificates] [Local Certiicates] の順に選択します 証明書の詳細を表示するには その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します リストの最初のエントリは FortiGate ユニットの自己署名済み証明書です これを削除することはできません 図 188: ローカル証明書リスト ダウンロード 証明書の詳細表示 [Generate] ローカル証明書要求を生成します 328 ページの 証明書要求の生成 を参照してください [Import] 署名済みローカル証明書をインポートします 330 ページの 署名済 みサーバ証明書のインポート を参照してください [Name] 既存のローカル証明書および証明書が生成されていない要求の名前 [Subject] 署名済みローカル証明書の識別名 (DN) [Status] ローカル証明書のステータス "PENDING" は ダウンロードして署 名する必要のある証明書要求を示します

328 ローカル証明書 VPN - 証明書 [ 証明書の詳細表示 ] 証明書の名前 発行者 識別名 および証明書の有効期間といった証アイコン明書の詳細を表示します 図 189 を参照してください 削除アイコン ダウンロードアイコン 選択された証明書要求またはインストールされたサーバ証明書を FortiGate の設定から削除します このアイコンは 証明書が削除可能である場合のみ使用できます 証明書要求のコピーをローカルコンピュータに保存します FortiGate ユニットの署名済みサーバ証明書を取得するには CA に要求を送信してください 図 189: 証明書の詳細情報 証明書要求の生成 デジタル証明書の取得およびインストールに関する詳細と手順については FortiGate 証明書管理ユーザガイド を参照してください FortiGate ユニットは FortiGate ユニットを識別するために入力された情報に基づいて 証明書要求を生成します 生成された要求は PENDING のステータスでローカル証明書リストに表示されます 証明書要求の生成後 FortiGate ユニットへの管理アクセスが可能なコンピュータに その要求をダウンロードし さらにCAに転送することができます 証明書要求を作成するには [VPN] [Certificates] [Local Certificates] の順に選択して [Generate] を選択します 証明書要求をダウンロードして CA に送信するには 330 ページの 証明書要求のダウンロードと送信 を参照してください

329 VPN - 証明書 ローカル証明書 図 190: 証明書署名要求の生成 [Certification Name] [Subject Information] [Host IP] [Domain Name] [ ] [Optional Information] [Organization Unit] [Organization] [Locality (City)] [State/Province] 証明書名を入力します これは通常 FortiGate ユニットの名前です 必要であれば 後に署名済み証明書を PKCS12 ファイルとしてエクスポートできるよう 名前にスペースを含めないでおいてください FortiGate ユニットを識別するために必要な情報を入力します FortiGate ユニットの IP アドレスがスタティックである場合は [Host IP] を選択して FortiGate ユニットのパブリック IP アドレスを入力します FortiGate ユニットにパブリック IP アドレスがない場合は 代わりに電子メールアドレス ( またはドメイン名 ) を使用します FortiGate ユニットがスタティック IP アドレスを持ち ダイナミック DNS サービスに登録されている場合 可能であれば FortiGate ユニットを識別するためにドメイン名を使用します [Domain Name] を選択する場合は FortiGate ユニットの完全修飾ドメイン名 (FQDN) を入力します プロトコル仕様 ( やポート番号またはパス名は一切含めないでください ドメイン名が使用できず FortiGate ユニットがダイナミック DNS サービスに登録されている場合は FortiGate ユニットのパブリック IP アドレスが変わるたびに "unable to verify certificate" ( 証明書を確認できません ) というようなメッセージがユーザのブラウザに表示される場合があります [ ] を選択する場合は FortiGate ユニット所有者の電子メールアドレスを入力します [Optional Information] のフィールドはすべてオプションです 部署名を入力します 会社または組織の正式名称 ( 商号 ) を入力します FortiGate ユニットが設置されている市または町の名前を入力します FortiGate ユニットが設置されている都道府県または州の名前を入力します

330 ローカル証明書 VPN - 証明書 [Country] [ ] [Key Type] [Key Size] [Enrollment Method] [File Based] [Online SCEP] FortiGate ユニットが設置されている国を選択します 連絡先の電子メールアドレスを入力します RSA のみサポートされます 1024 Bit 1536 Bit または 2048 Bit を選択します キーのサイズを大きくするほど生成に時間がかかりますが セキュリティは向上します 証明書要求を生成するには [File Based] を選択します SCEP ベースの署名済み証明書をネットワーク上で自動的に取得するには [Online SCEP] を選択します [CA Server URL] :CA 証明書を取り出す SCEP サーバの URL を入力します [Challenge Password] :CA サーバのチャレンジパスワードを入力します 証明書要求のダウンロードと送信 CA に証明書要求を送信する前に 必要な項目を入力し 証明書要求を生成する必要があります 詳細については 328 ページの 証明書要求の生成 を参照してください 証明書要求をダウンロードして送信するには 1 [VPN] [Certificate] [Local Certificates] の順に選択します 2 [Local Certificates] リストで 生成された証明書要求に対応する列の [ ダウンロード ] アイコンを選択します 3 [File Download] ダイアログボックスで [Save to Disk] を選択します 4 ファイルに名前を付け ローカルファイルシステムに保存します 5 次のようにして要求を CA に送信します 管理コンピュータの Web ブラウザで CA の Web サイトを閲覧します CA の指示に従って base-64 でエンコードされた PKCS#12 の証明書要求をアップロードします CA の指示に従ってルート証明書と証明書失効リスト (CRL) をダウンロードした後 そのルート証明書と CRL を各リモートクライアントにインストールします ( ブラウザのドキュメントを参照してください ) 6 CA から署名済み証明書を受け取ったら その証明書を FortiGate ユニットにインストールします 330 ページの 署名済みサーバ証明書のインポート を参照してください 署名済みサーバ証明書のインポート FortiGate ユニットにインストールする署名済みサーバ証明書は CA から提供されます CA から署名済みサーバ証明書を受け取ったら FortiGate ユニットへの管理アクセスが可能なコンピュータにその証明書を保存します 署名済みサーバ証明書をインストールするには [VPN] [Certificates] [Local Certificates] の順に選択して [Import] を選択します 署名済み証明書は ページの上部にある [Upload Local Certificate] ダイアログボックスを使ってインストールします 証明書ファイルは PEM または DER のいずれのフォーマットも可能です その他のダイアログボックスは 以前にエクスポートされた証明書および秘密鍵をインポートするためのものです

331 VPN - 証明書 ローカル証明書 図 191: ローカル証明書のアップロード [Certificate File] [Browse] 署名済みサーバ証明書の完全なパスとファイル名を入力します あるいはこのアイコンを押して 証明書が保存されている管理コンピュータ上の場所を表示し 証明書を選択して [OK] を選択します エクスポートされたサーバ証明書および秘密鍵のインポート インポートするサーバ証明書および秘密鍵は CLI コマンド execute vpn certificate key export を使うことで 一つの PKCS12 ファイルとしてすでにエクスポートされているはずです ファイルにはパスワードが付けられているので ファイルをインポートするにはそのパスワードを知っている必要があります 作業を開始する前には FortiGate ユニットへの管理アクセスが可能なコンピュータに ファイルのコピーを保存しておきます 詳細については FortiGate 証明書管理ユーザガイド を参照してください PKCS12 ファイルをインポートするには [VPN] [Certificates] [Local Certificates] の順に選択して [Import] を選択します 図 192: PKCS12 証明書のアップロード [Certificate with key file] [Browse] [Password] 以前にエクスポートされた PKCS12 ファイルの完全なパスとファイル名を入力します あるいはこのアイコンを押して PKCS12 ファイルが保存されている管理コンピュータ上の場所を表示し ファイルを選択して [OK] を選択します PKCS12 ファイルをアップロードするのに必要なパスワードを入力します サーバ証明書および秘密鍵ファイルの個別インポート サーバ証明書要求と秘密鍵を FortiGate ユニットで生成していない場合は [Upload Certificate] ダイアログボックスを使用して サーバ証明書とそれに対応する秘密鍵のファイルをインポートします インポートする 2 つのファイルは 管理コンピュータで利用できる必要があります

332 リモート証明書 VPN - 証明書 図 193: 証明書のアップロード [Certificate File] [Key file] [Browse] [Password] 以前にエクスポートされた証明書ファイルの完全なパスとファイル名を入力します 以前にエクスポートされた鍵ファイルの完全なパスとファイル名を入力します 以前にエクスポートされた証明書ファイルや鍵ファイルの場所を表示し ファイルを選択して [OK] を選択します ファイルをアップロードして開くのにパスワードが必要な場合は パスワードを入力します リモート証明書 注記 : 証明書ファイルで 40 ビットの RC2-CBC 暗号化を使用してはいけません 動的な証明書の失効確認には OCSP (Online Certificate Status Protocol) サーバが使用されます リモート証明書は 秘密鍵のない公開証明書です OCSP は CLI でのみ設定できます 詳細については FortiGate CLI ガイド を参照してください 注記 : OCSP サーバは vdom ごとに 1 つだけ設定できます 図 194: リモート証明書リスト インストールされたリモート (OCSP サーバ ) 証明書は [Remote Certificates] リストに表示されます インストールされたリモート (OCSP サーバ ) 証明書を表示したり インポートしたりするには [VPN] [Certificates] [Remote] の順に選択します 証明書の詳細を表示するには その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します [Import] [Name] OCSP サーバの公開証明書をインポートします 334 ページの CA 証明書のインポート を参照してください 既存のリモート (OCSP サーバ ) 証明書の名前 FortiGate ユニットは インポートの際 リモート (OCSP サーバ ) 証明書に一意の名前 (REMOTE_Cert_1 REMOTE_Cert_2 REMOTE_Cert_3 など ) を指定します

333 VPN - 証明書 CA 証明書 [Subject] リモート (OCSP サーバ ) 証明書に関する情報 削除アイコン FortiGate の設定からリモート (OCSP サーバ ) 証明書を削除します [ 証明書の詳細表示 ] 証明書の詳細を表示します アイコンダウンロードリモート (OCSP サーバ ) 証明書のコピーをローカルコンピュータアイコンに保存します リモート (OCSP サーバ ) 証明書のインポート リモート (OCSP サーバ ) 証明書をインポートするには [VPN] [Certificates] [Remote] の順に選択して [Import] を選択します 図 195: リモート証明書のアップロード [Local PC] ローカル管理者の PC を使用して 公開証明書をアップロードします 証明書が保存されている管理コンピュータ上の場所を入力するか または表示して 証明書を選択し [OK] を選択します システムは リモート (OCSP サーバ ) 証明書のそれぞれに一意の名前を割り当てます 名前には 順に番号が付されます (REMOTE_Cert_1 REMOTE_Cert_2 REMOTE_Cert_3 など ) CA 証明書 リモートクライアントにインストールするための署名済みの個人 ( 管理 ) 証明書またはグループ証明書を申請する際は 対応する発行 CA からルート証明書と CRL を取得する必要があります 個人またはグループの署名済み証明書を受け取ったら ブラウザの指示に従ってその署名済み証明書をリモートクライアントにインストールします 対応する発行 CA からのルート証明書と CRL も FortiGate ユニットにインストールしておきます インストールされた CA 証明書は [CA Certificates] リストに表示されます Fortinet_CA 証明書は削除できません インストールされた CA ルート証明書を表示したり インポートしたりするには [VPN] [Certificates] [CA Certificates] の順に選択します ルート証明書の詳細を表示するには その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します

334 CA 証明書 VPN - 証明書 図 196: CA 証明書リスト CA 証明書のインポート 証明書の詳細表示ダウンロード [Import] CA ルート証明書をインポートします 334 ページの CA 証明書のインポート を参照してください [Name] 既存の CA ルート証明書の名前 FortiGate ユニットは インポートの際 CA 証明書に一意の名前 (CA_Cert_1 CA_Cert_2 CA_Cert_3 など ) を指定します [Subject] 発行 CA に関する情報 削除アイコン FortiGate の設定から CA ルート証明書を削除します [ 証明書の詳細表示 ] 証明書の詳細を表示します アイコンダウンロード CA ルート証明書のコピーをローカルコンピュータに保存します アイコン デジタル証明書の取得およびインストールに関する詳細と手順については FortiGate 証明書管理ユーザガイド を参照してください CA のルート証明書をダウンロードしたら FortiGate ユニットへの管理アクセスが可能な PC にその証明書を保存します CA ルート証明書をインポートするには [VPN] [Certificates] [CA Certificates] の順に選択して [Import] を選択します 図 197: CA 証明書のインポート [SCEP] [Local PC] ユーザ認証を行う際の CA 証明書へのアクセスに SCEP サーバを使用する場合に選択します CA 証明書を取り出す SCEP サーバの URL を入力します オプションで たとえばファイル名など CA の識別情報を入力します [OK] を選択します 公開証明書のアップロードにローカル管理者の PC を使用する場合に選択します 証明書が保存されている管理コンピュータ上の場所を入力するか または表示して 証明書を選択し [OK] を選択します [OK] を選択し SCEP サーバを通じて証明書をインポートすることを選択すると システムはただちに証明書の取り込み処理を開始します システムにより CA 証明書のそれぞれに一意の名前が指定されます 名前には 順に番号が付されます (CA_Cert_1 CA_Cert_2 CA_Cert_3 など )

335 VPN - 証明書 CRL CRL 証明書失効リスト (CRL) とは CA が発行した証明書と その証明書のステータスをリストにしたものです インストールされた CRL は CRL リストに表示されます FortiGateユニットは CRLを使用して CAとリモートクライアントの証明書が有効であることを確認します インストールされた CRL を表示するには [VPN] [Certificates] [CRL] の順に選択します 図 198: 証明書失効リスト [Import] [Name] 証明書の詳細表示ダウンロード CRL をインポートします 335 ページの 証明書失効リストのインポート を参照してください 既存の証明書失効リストの名前 FortiGate ユニットは インポートの際 証明書失効リストに一意の名前 (CRL_1 CRL_2 CRL_3 など ) を指定します [Subject] 証明書失効リストに関する情報 削除アイコン 選択された CRL を FortiGate の設定から削除します [ 証明書の詳細表示 ] 発行者名や CRL 更新日といった CRL の詳細を表示します 図 199 アイコン の例を参照してください ダウンロード CRL のコピーをローカルコンピュータに保存します アイコン 図 199: CRL 証明書の詳細 証明書失効リストのインポート 証明書を取り消されたクライアントが FortiGate ユニットと接続できないようにするため FortiGate は CA Web サイトからの証明書失効リストを定期的に更新しておく必要があります CA の Web サイトから CRL をダウンロードしたら FortiGate ユニットへの管理アクセスが可能なコンピュータにその CRL を保存します 注記 : CRL の取り込み先として LDAP サーバ HTTP サーバ または SCEP サーバ あるいはそれらの組み合わせが設定されている場合 FortiGate ユニットに CRL のコピーがなかったり 現在のコピーが期限切れになっていたりすると 最新版がサーバから自動的に読み出されます 証明書失効リストをインポートするには [VPN] [Certificates] [CRL] の順に選択して [Import] を選択します

336 CRL VPN - 証明書 図 200: CRL のインポート [HTTP] [LDAP] [SCEP] [Local PC] CRL を取り込むのに HTTP サーバを使用する際に選択します HTTP サーバの URL を入力します CRL を取り込むのに LDAP サーバを使用する際に選択します ドロップダウンリストから LDAP サーバを選択します CRL を取り込むのに SCEP サーバを使用する際に選択します ドロップダウンリストからローカル証明書を選択します CRL を取り込むことのできる SCEP サーバの URL を入力します 公開証明書のアップロードにローカル管理者の PC を使用する場合に選択します 証明書が保存されている管理コンピュータ上の場所を入力するか または表示して 証明書を選択し [OK] を選択します システムにより 各 CRL に一意の名前が指定されます 名前には 順に番号が付されます (CRL_1 CRL_2 CRL_3 など )

337 ユーザ ユーザ認証の設定 ユーザ この項では ユーザアカウント ユーザグループ および外部の認証サーバを設定する方法について説明します これらは ネットワークリソースへのアクセスを制御するために使用できる ユーザ認証のコンポーネントです この項には以下のトピックが含まれています ユーザ認証の設定 ローカルユーザアカウント RADIUS サーバ LDAP サーバ PKI 認証 Windows AD サーバ ユーザグループ ピアおよびピアグループの設定 ユーザ認証の設定 FortiGate の認証は ユーザグループごとにアクセスを制御しますが ユーザグループを作成しても認証の設定手順を開始したことにはなりません ユーザ認証は 次の順序で設定する必要があります 1 RADIUS または LDAP サーバを使用した外部の認証が必要な場合は これらのサーバへのアクセスを設定します 340 ページの RADIUS サーバ および 341 ページの LDAP サーバ を参照してください 2 [User] [Local] で ローカルユーザアカウントを設定します 各ユーザについて パスワードを FortiGate ユニット RADIUS サーバ または LDAP サーバのいずれで確認するかを選択できます 339 ページの ローカルユーザアカウント を参照してください 3 認証に Microsoft Windows Active Directory サーバを使用している場合は そのサーバへのアクセスを設定します 345 ページの Windows AD サーバの設定 を参照してください Active Directory サーバによって認証されたユーザには FortiGate ユニット上のローカルユーザアカウントは必要ありません Windows ネットワーク上に FSAE (Fortinet Server Authentication Extensions) をインストールする必要があります 4 管理アクセス (HTTPS GUI) IPSec SSL-VPN および Web ベースの認証のために証明書ベースの認証を使用するには [User] [PKI] を使用して設定します 344 ページの PKI ユーザの設定 を参照してください 5 [User] [User Group] でユーザグループを作成し メンバを追加します ユーザグループには ファイアウォール Active Directory および SSL VPN の 3 種類があります 349 ページの ユーザグループの設定 を参照してください PKI 認証には ファイアウォールユーザグループと SSL VPN ユーザグループのみが使用可能です

338 ユーザ認証の設定 ユーザ 認証タイムアウトの設定 認証タイムアウトは ユーザの再度の認証が必要になるまでに 認証されたファイアウォール接続がアイドル状態を維持できる期間を制御します 認証タイムアウトを設定するには 1 [User] [Authentication] [Authentication] の順に選択します 2 [Authentication Timeout] に数値 ( 分単位 ) を入力します デフォルトの認証タイムアウトは 30 分です 図 201: ユーザ認証の設定 ユーザ認証のプロトコルサポートの設定 ユーザ認証は 次のプロトコルに対して実行できます HTTP (HTTPS にリダイレクトするようにも設定可能 ) HTTPS FTP Telnet ファイアウォールポリシーでユーザ認証が有効になっている場合 認証チャレンジは通常 この 4 つのいずれのプロトコルに対しても発行されます ( 接続プロトコルによる ) [Protocol Support] リストで選択を行うことによって ユーザは どのプロトコルが認証チャレンジをサポートするかを制御します ユーザは 最初に サポートされているプロトコルで接続する必要があります それによって その後は他のプロトコルでも接続できるようになります 認証のプロトコルサポートを設定するには [User] [Authentication] [Authentication] の順に選択し [Protocol Support] で必要な認証プロトコルを選択します

339 ユーザ ローカルユーザアカウント 図 202: ユーザ認証の設定 - プロトコルサポート ローカルユーザアカウント ローカルユーザアカウントを追加し 認証を設定するには [User] [Local] の順に選択します 図 203: ローカルユーザのリスト [Create New] [User Name] [Type] 削除アイコン編集アイコン 新しいローカルユーザアカウントを追加します ローカルユーザ名 このユーザに対して使用する認証の種類 このユーザを削除します 注記 : 削除アイコンは このユーザがユーザグループに属している場合は使用できません このユーザアカウントを編集します 注記 : ユーザ名を削除すると そのユーザ用に設定された認証が削除されます

340 RADIUS サーバ ユーザ ユーザアカウントの設定 [User] [Local] の順に選択し [Create New] か または既存のユーザアカウントの編集アイコンを選択します 図 204: ローカルユーザのオプション [User Name] [Disable] [Password] [LDAP] [RADIUS] ユーザ名を入力または編集します このユーザが認証されないようにするには [Disable] を選択します FortiGate ユニットに格納されているパスワードを使用してこのユーザを認証するには [Password] を選択します パスワードを入力または編集します パスワードは 6 文字以上の長さにする必要があります LDAP サーバに格納されているパスワードを使用してこのユーザを認証するには [LDAP] を選択します ドロップダウンリストから LDAP サーバを選択します 注記 :FortiGate の LDAP 設定に追加されている LDAP サーバのみを選択できます 341 ページの LDAP サーバ を参照してください RADIUS サーバに格納されているパスワードを使用してこのユーザを認証するには [RADIUS] を選択します ドロップダウンリストから RADIUS サーバを選択します 注記 :FortiGate の RADIUS 設定に追加されている RADIUS サーバのみを選択できます 340 ページの RADIUS サーバ を参照してください RADIUS サーバ RADIUS のサポートが設定されており RADIUS サーバを使用してユーザを認証する必要がある場合 FortiGate ユニットは認証のためにそのユーザの資格情報を RADIUS サーバに送信します RADIUS サーバがそのユーザを認証できる場合 そのユーザは FortiGate ユニットで正常に認証されます RADIUS サーバがそのユーザを認証できない場合 その接続は FortiGate ユニットによって拒否されます 注記 : RADIUS トラフィックのデフォルトポートは 1812 です RADIUS サーバがポート 1645 を使用している場合は CLI を使用してデフォルトの RADIUS ポートを変更します 詳細については FortiGate CLI リファレンス にある config system global コマンドを参照してください RADIUS サーバを設定するには [User] [RADIUS] の順に選択します

341 ユーザ LDAP サーバ 図 205: RADIUS サーバのリスト RADIUS サーバの設定 [Create New] 新しい RADIUS サーバを追加します [Name] FortiGate ユニット上の RADIUS サーバの名前 [Server Name/IP] RADIUS サーバのドメイン名または IP アドレス 削除アイコンこの RADIUS サーバの設定を削除します 注記 : ユーザグループに追加されている RADIUS サーバを削除することはできません 編集アイコンこの RADIUS サーバの設定を編集します [User] [RADIUS] の順に選択し [Create New] か または既存の RADIUS サーバの編集アイコンを選択します 図 206: RADIUS の設定 [Name] RADIUS サーバの識別に使用される名前を入力または編集します [Server Name/IP] RADIUS サーバのドメイン名またはIP アドレスを入力または編集します [Server Secret] RADIUS サーバシークレットを入力または編集します LDAP サーバ LDAP のサポートが設定されており LDAP サーバを使用してユーザを認証する必要がある場合 FortiGate ユニットは認証のために LDAP サーバに接続します FortiGate ユニットで認証されるために ユーザはユーザ名とパスワードを入力します FortiGate ユニットは このユーザ名とパスワードを LDAP サーバに送信します LDAP サーバがそのユーザを認証できる場合 そのユーザは FortiGate ユニットで正常に認証されます LDAP サーバがそのユーザを認証できない場合 その接続は FortiGate ユニットによって拒否されます FortiGate ユニットは ユーザ名とパスワードを検索および検証するための RFC2251 で規定された LDAP プロトコル機能をサポートしています FortiGate の LDAP は LDAP v3 に準拠したすべての LDAP サーバをサポートしています さらに FortiGate の LDAP は LDAP over SSL/TLS もサポートしています SSL/TLS 認証を設定するには FortiGate CLI リファレンス を参照してください FortiGate の LDAP サポートは 一部の LDAP サーバで使用可能な パスワード有効期限の通知などの独自の機能には対応していません FortiGate の LDAP サポートでは 認証が失敗した理由に関する情報はユーザに提供されません

342 LDAP サーバ ユーザ LDAP サーバを設定するには [User] [LDAP] の順に選択します 図 207: LDAP サーバのリスト LDAP サーバの設定 [Create New] 新しい LDAP サーバを追加します [Name] FortiGate ユニット上の LDAP サーバを識別する名前 [Server Name/IP] LDAP サーバのドメイン名または IP アドレス [Port] LDAP サーバとの通信に使用されるポート [Common Name identifier] [Distinguished Name] 削除アイコン編集アイコン LDAP サーバの共通名識別子 ほとんどの LDAP サーバの共通名識別子は cn です ただし 一部のサーバは uid などの他の共通名識別子を使用しています LDAP サーバ上のエントリの検索に使用される識別名 この識別名には 共通名識別子より上にある LDAP データベースオブジェクトクラスの階層が反映されています この LDAP サーバの設定を削除します この LDAP サーバの設定を編集します [User] [LDAP] の順に選択し [Create New] か または既存の LDAP サーバの編集アイコンを選択します 図 208: LDAP サーバの設定 [Name] LDAP サーバの識別に使用される名前を入力または編集します [Server Name/IP] LDAP サーバのドメイン名または IP アドレスを入力または編集します [Server Port] LDAP サーバとの通信に使用されるポートを入力または編集します デフォルトでは LDAP はポート 389 を使用します [Common Name identifier] LDAP サーバの共通名識別子を入力または編集します 最大 20 文字まで入力できます ほとんどの LDAP サーバの共通名識別子は cn です ただし 一部のサーバは uid などの他の共通名識別子を使用しています

343 ユーザ PKI 認証 [Distinguished Name] クエリアイコン LDAP サーバ上のエントリの検索に使用される識別名を入力または編集します 正しい X.500 または LDAP 形式を使用して このサーバの基本識別名を入力します FortiGate ユニットは この識別名を 変更せずにそのままサーバに渡します たとえば 次の基本識別名を使用できます ou=marketing,dc=fortinet,dc=com ここで ou は組織単位であり dc はドメインコンポーネントです また 識別名に同じフィールドの複数のインスタンスを指定することもできます たとえば 複数の組織単位を指定するには次のようにします ou=accounts,ou=marketing,dc=fortinet,dc=com 基本識別名に対する LDAP サーバの識別名クエリツリーを表示します [LDAP Distinguished Name Query] リストには この LDAP サーバの IP アドレスと この LDAP サーバの共通名識別子に関連付けられたすべての識別名が表示されます このツリーは 識別名フィールドへの適切な入力を決定するために役立ちます 関連付けられた識別名を表示するには 共通名識別子を展開します リストから識別名を選択します 選択した識別名は [Distinguished Name] フィールドに表示されます [OK] を選択すると 選択した識別名が LDAP サーバの設定の [Distinguished Name] フィールドに保存されます 選択した識別名に対する LDAP サーバユーザグループ内のユーザを表示するには [LDAP Distinguished Name Query] ツリー内の識別名を展開します 図 209: LDAP サーバの識別名クエリツリー PKI 認証 PKI (Public Key Infrastructure) 認証は " ピア " " ピア " グループ ユーザグループなどのリストを取得して 認証の " 成功 " または " 拒否 " の通知を返す証明書認証ライブラリを利用します 認証の成功のためにユーザに必要なのは有効な証明書だけであり ユーザ名やパスワードは必要ありません 証明書認証の詳細については FortiGate 証明書管理ユーザガイド を参照してください CLI を通してのみ使用可能な詳細な PKI 設定については FortiGate CLI リファレンス を参照してください PKI ユーザを設定するには [User] [PKI] の順に選択します 図 210: [User] [PKI] のユーザリスト [Create New] [User Name] 新しい PKI ユーザを追加します この PKI ユーザの名前

344 PKI 認証 ユーザ [Subject] [Issuer] 削除アイコン編集アイコン 認証しているユーザの証明書の件名フィールドに表示されるテキスト文字列 このユーザの認証に使用される CA 証明書 この PKI ユーザを削除します この PKI ユーザを編集します PKI ユーザの設定 注記 : PKI ユーザリスト内の次のフィールドは PKI ユーザダイアログ内の示されているフィールドに対応しています [User Name]: [Name] [Subject]: [Subject] [CA]: [Issuer] (CA 証明書 ) [User] [PKI] の順に選択し [Create New] か または既存の PKI ユーザの編集アイコンを選択します 図 211: PKI ユーザの設定 [Name] [Subject] [CA] PKI ユーザの名前を入力します このフィールドは必須です PKI ユーザはまた config user peer or config を使用して CLI で定義することもできます 詳細については FortiGate CLI リファレンス を参照してください 認証しているユーザの証明書の件名フィールドに表示されるテキスト文字列を入力します このフィールドはオプションです このユーザの認証に使用する必要のある CA 証明書を入力します このフィールドはオプションです 注記 : [Subject] と [CA] はオプションのフィールドですが そのどちらかは設定する必要があります PKI ユーザダイアログ内の次のフィールドは PKI ユーザリスト内の示されているフィールドに対応しています [Name]: [User Name] [Subject]: [Subject] [Issuer]: [CA] (CA 証明書 )

345 ユーザ Windows AD サーバ Windows AD サーバ 認証に Windows Active Directory (AD) サーバを使用しているネットワーク上では FortiGate ユニットは ユーザにユーザ名とパスワードの入力を求めることなく そのユーザを透過的に認証できます ネットワーク上に FSAE (Fortinet Server Authentication Extensions) をインストールし Windows AD サーバから情報を取得するように FortiGate ユニットを設定する必要があります FSAE の詳細については FSAE テクニカルノート を参照してください Windows AD サーバを設定するには [User] [Windows AD] の順に選択します 図 212: Windows AD サーバのリスト [Create New] [FortiClient AD] [IP Address] 削除アイコン編集アイコン更新アイコン 新しい Windows AD サーバを追加します FSAE がインストールされている Windows AD サーバの名前 このサーバ名を展開して Windows AD ドメイングループの情報を表示できます Windows AD サーバのログオン情報を FortiGate ユニットに送信する最大 5 つのコレクタエージェントの IP アドレスと TCP ポート この Windows AD サーバを削除します この Windows AD サーバを編集します Windows AD サーバから現在のドメインおよびグループ情報を取得します Windows AD サーバの設定 [User] [Windows AD] の順に選択し [Create New] か または既存の Windows AD サーバの編集アイコンを選択します 図 213: Windows AD サーバの設定 [Name] Windows AD サーバの名前を入力または編集します この名前は ユーザグループの作成時に Windows AD サーバのリストに表示されます 最大 5 つのコレクタエージェントに関する次の情報を入力します [FSAE このコレクタエージェントがインストールされている Windows AD Collector IP] サーバの IP アドレスを入力または編集します

346 ユーザグループ ユーザ [Port] [Password] Windows AD に使用される TCP ポートを入力または編集します このポートは FSAE コレクタエージェントの設定で指定された FortiGate のリスニングポートと同じである必要があります コレクタエージェントのパスワードを入力または編集します これが必要なのは 認証されたアクセスを必要とするように FSAE コレクタエージェントを設定した場合だけです ユーザグループ ユーザグループは ユーザ ID のリストです この ID には次のものがあります FortiGate ユニットに格納されているローカルユーザアカウント ( ユーザ名とパスワード ) パスワードが RADIUS または LDAP サーバに格納されているローカルユーザアカウント RADIUS または LDAP サーバ ( このサーバ上のすべての ID を認証可能 ) Microsoft Active Directory サーバ上で定義されているユーザグループ ほとんどの場合 FortiGate ユニットは ユーザ名とパスワードを要求することによってユーザを認証します FortiGate ユニットは ローカルユーザアカウントを最初に確認します 一致が検出されない場合 FortiGate ユニットは そのユーザグループに属する RADIUS または LDAP サーバを確認します 一致するユーザ名とパスワードが検出された場合は 認証が成功します Active Directory ユーザグループの場合は ユーザがネットワークにログオンしたときに Active Directory サーバがそのユーザを認証します FortiGate ユニットは FSAE コレクタエージェントから そのユーザの名前と IP アドレスを受信します FSAE の詳細については FSAE テクニカルノート を参照してください

347 ユーザ ユーザグループ ユーザグループの種類 ユーザグループを 次の項目への認証されたアクセスを提供するように設定できます 認証が必要なファイアウォールポリシー 234ページの ファイアウォールポリシーへの認証の追加 を参照してください FortiGate ユニット上の SSL VPN 239 ページの SSL-VPN のファイアウォールポリシーオプション を参照してください ダイヤルアップユーザのための IPSec VPN フェーズ 1 設定 305 ページの 新しいフェーズ 1 設定の作成 を参照してください IPSec VPN フェーズ 1 設定のための XAuth 308 ページの フェーズ 1 詳細設定の定義 の XAuth を参照してください FortiGate の PPTP 設定 321 ページの PPTP の範囲 を参照してください FortiGate の L2TP 設定これは config vpn l2tp CLI コマンドでのみ設定可能です FortiGate CLI リファレンス を参照してください RADIUS 認証を使用した管理者ログイン 152 ページの 管理者の RADIUS 認証の設定 を参照してください FortiGuard Web フィルタリングの置き換えグループ 396 ページの FortiGuard-Web フィルタ を参照してください 認証が必要な各リソースについて どのユーザグループがアクセスを許可されるかを指定します 認証のニーズに適したユーザグループの数とメンバシップを決定する必要があります ユーザグループには 次の 3 種類があります ファイアウォール Active Directory SSL VPN ファイアウォール ファイアウォールユーザグループは ファイアウォールの種類の認証を必要とし そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します ユーザが このポリシーによって保護されているリソースにアクセスしようとすると FortiGate ユニットはグループメンバのユーザ名とパスワードを要求します 詳細については 234 ページの ファイアウォールポリシーへの認証の追加 を参照してください ファイアウォールユーザグループはまた ダイヤルアップユーザのための IPSec VPN へのアクセスも提供できます この場合 IPSec VPN フェーズ 1 設定では [Accept peer ID in dialup group peer] オプションが使用されます ユーザの VPN クライアントは ユーザ名がピア ID に パスワードが仮共有キーに設定されます このユーザが IPSec VPN に正常に接続できるのは ユーザ名が許可さ

348 ユーザグループ ユーザ れたユーザグループのメンバであり パスワードが FortiGate ユニットに格納されているパスワードに一致した場合のみです いずれかのメンバが RADIUS または LDAP サーバを使用して認証されていると そのユーザグループはダイヤルアップグループになれません 詳細については 305 ページの 新しいフェーズ 1 設定の作成 を参照してください ファイアウォールユーザグループを使用すると FortiGuard Web フィルタリングの置き換え特権を提供できます 351 ページの ユーザグループのための FortiGuard 置き換えオプションの設定 を参照してください 置き換え機能を含む FortiGuard Web フィルタの詳細については 396 ページの FortiGuard-Web フィルタ を参照してください Active Directory Microsoft Windows ネットワーク上では FortiGate ユニットは Windows ネットワーク上で認証されているActive Directoryサーバユーザグループのメンバへのアクセスを許可できます ネットワークドメインコントローラ上にFSAE (Fortinet Server Authentication Extensions) がインストールされている必要があります Active Directory ユーザグループは Active Directory の種類の認証を必要とし そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します このユーザグループのメンバは 設定されている Windows AD サーバから FortiGate ユニットが受信したリストから選択される Active Directoryグループです 345 ページの Windows AD サーバ を参照してください 注記 : Active Directory ユーザグループに FortiGuard Web フィルタの置き換え特権や SSL VPN へのアクセス権を与えることはできません SSL VPN SSL VPN ユーザグループは SSL VPN の種類の認証を必要とし そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します ローカルユーザアカウント LDAP サーバ および RADIUS サーバは SSL VPN ユーザグループのメンバになることができます ユーザが SSL VPN Web ポータルにアクセスすると FortiGate ユニットはそのユーザのユーザ名とパスワードを要求します このユーザグループの設定には SSL VPN 機能に対するオプションが含まれます 352 ページの SSL VPN ユーザグループのオプションの設定 を参照してください SSL VPN ユーザグループはまた ダイヤルアップユーザのための IPSec VPN へのアクセスも提供できます この場合 IPSec VPN フェーズ 1 設定では [Accept peer ID in dialup group peer] オプションが使用されます ユーザの VPN クライアントは ユーザ名がピア ID に パスワードが仮共有キーに設定されます このユーザが IPSec VPN に正常に接続できるのは ユーザ名が許可されたユーザグループのメンバであり パスワードが FortiGate ユニットに格納されているパスワードに一致した場合のみです 注記 : いずれかのメンバが RADIUS または LDAP サーバを使用して認証されていると そのユーザグループは IPSec ダイヤルアップグループになれません 詳細については 305 ページの 新しいフェーズ 1 設定の作成 を参照してください

349 ユーザ ユーザグループ ユーザグループのリスト ユーザグループを設定するには [User] [User Group] の順に選択します 図 214: ユーザグループのリスト ユーザグループの設定 [Create New] 新しいユーザグループを追加します [Group Name] このユーザグループの名前 ユーザグループ名は [Firewall] [Active Directory] および [SSL VPN] のユーザグループの種類ごとにリストされます [Members] このユーザグループ内のユーザ RADIUS サーバ または LDAP サーバ [Protection Profile] このユーザグループに関連付けられたプロテクションプロファイル 削除アイコンこのユーザグループを削除します 注記 : ファイアウォールポリシー ダイヤルアップユーザフェーズ 1 設定 PPTP または L2TP 設定に含まれているユーザグループを削除することはできません 編集アイコンこのグループのメンバシップやオプションを編集します [User] [Group] の順に選択し [Create New] か または既存のユーザグループの編集アイコンを選択します 図 215: ユーザグループの設定 [Name] このユーザグループの名前を入力します

350 ユーザグループ ユーザ [Type] [Protection Profile] [Available Users] [Members] 右矢印ボタン 左矢印ボタン [FortiGuard Web Filtering Override] [SSL-VPN User Group Options] ユーザグループの種類を選択します 347 ページの ユーザグループの種類 を参照してください [Firewall] [Active Directory] [SSL VPN] このグループは ファイアウォール認証が必要な任意のファイアウォールポリシーで選択します 234 ページの ファイアウォールポリシーへの認証の追加 を参照してください このグループは Active Directory 認証が必要な任意のファイアウォールポリシーで選択します 234 ページの ファイアウォールポリシーへの認証の追加 を参照してください このグループは [Action] が [SSL VPN] に設定された任意のファイアウォールポリシーで選択します 239 ページの SSL- VPN のファイアウォールポリシーオプション を参照してください [Type] が [Firewall] または [Active Directory] の場合にのみ使用できます ドロップダウンリストから このユーザグループのプロテクションプロファイルを選択します 新しいプロテクションプロファイルを作成するには [Create New] を選択します このユーザグループに追加できるユーザ RADIUS サーバ LDAP サーバ または PKI ユーザのリスト このユーザグループに属するユーザ RADIUS サーバ LDAP サーバ または PKI ユーザのリスト [Members] リストにユーザまたはサーバを追加します [Available Users] リスト内のユーザ名またはサーバ名を選択した後 右矢印ボタンを選択して [Members] リストに移動します [Members] リストからユーザまたはサーバを削除します [Members] リスト内のユーザ名またはサーバ名を選択した後 左矢印ボタンを選択して [Available Users] リストに移動します [Type] が [Firewall] の場合にのみ使用できます このグループの Web フィルタリングの置き換え機能を設定します 351 ページの ユーザグループのための FortiGuard 置き換えオプションの設定 を参照してください [Type] が [SSL-VPN] の場合にのみ使用できます Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については FortiGate SSL VPN ユーザガイド を参照してください 注記 : LDAP サーバまたはローカルユーザを 管理者認証用に設定されたグループに追加しようとすると "Entry not found" というエラーが発生します

351 ユーザ ユーザグループ ユーザグループのための FortiGuard 置き換えオプションの設定 [User] [Group] の順に選択し ファイアウォールユーザグループの編集アイコンを選択します [FortiGuard Web Filtering Override] セクションを展開します 図 216: FortiGuard Web フィルタリングの置き換えの設定 [Allowed to perform FortiGuard Web Filtering overrides] [Override Scope] [Override Type] [Off-site URLs] [Override Time] このグループのメンバが [FortiGuard Web Filtering Block] ページで置き換えを要求できるようにする場合に選択します この接続を管理するファイアウォールプロテクションプロファイルで FortiGuard の置き換えが有効になっている必要があります プロテクションプロファイルは 置き換えグループとして 1 つのユーザグループを指定します [FortiGuard Web Filter Block Override] ページで 置き換えグループのメンバが ブロックされたサイトにアクセスすることを認証できます 詳細については 396 ページの FortiGuard-Web フィルタ を参照してください 置き換えを その置き換えを要求したユーザにのみ適用することも 他のユーザを含めることもできます ドロップダウンリストから 含める範囲を選択します [User] そのユーザのみ [User Group] そのユーザが属するユーザグループ [IP] [Profile] [Ask] そのユーザの IP アドレスに存在する任意のユーザ そのユーザグループの指定されたプロテクションプロファイルを持つ任意のユーザ 置き換え範囲を選択する 認証しているユーザ ドロップダウンリストから アクセスを許可する対象を選択します [Directory] URL 内の最も低いレベルのディレクトリのみ [Domain] Web サイトドメイン全体 [Categories] FortiGuard のカテゴリ [Ask] 置き換えの種類を選択する 認証しているユーザ ドロップダウンリストから ユーザが ブロックされたサイト以外のサイトへのリンクをたどることができるかどうかを選択します [Allow] [Deny] [Ask] ユーザは 他のサイトへのリンクをたどることができます ユーザは [Override Type] で定義された宛先のみへのリンクをたどることができます 認証しているユーザが オフサイトリンクの使用を許可するかどうかを選択します 置き換えの有効期間を設定する場合に選択します [Constant] 置き換えの有効期間を日数 時間数 分数で設定する場合に選択します [Ask] 認証しているユーザが置き換えの有効期間を決定できるようにする場合に選択します 設定されている有効期間が最大になります

352 ユーザグループ ユーザ SSL VPN ユーザグループのオプションの設定 [User] [Group] の順に選択し SSL VPN ユーザグループの編集アイコンを選択します [SSL-VPN User Group Options] セクションを展開します Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については FortiGate SSL VPN ユーザガイド を参照してください 図 217: SSL VPN ユーザグループのオプション [Enable SSL-VPN Tunnel Service] [Allow Split Tunneling] [Restrict tunnel IP range for this group] [Enable Web Application] [HTTP/HTTPS Proxy] FTP [Telnet (applet)] [Samba] [VNC] [RDP] [Check FortiClient AV Installed and Running] このグループ内のユーザが SSL VPN トンネルを使用して FortiGate ユニットの背後に位置するネットワークに接続できるようにする場合にオンにします トランスペアレントモードでは使用できません このグループのスプリットトンネリングを許可する場合にオンにします スプリットトンネリングによって プライベートネットワークのトラフィックのみが SSL VPN ゲートウェイに送信されることが保証されます インターネットトラフィックは 通常の暗号化されていないルートを経由して送信されます [VPN] [SSL] [Config] で定義された [Tunnel IP range] を置き換える場合は このグループの開始と終了の IP アドレス範囲を入力します Web ポータルが Web アプリケーションへのアクセスを提供できるようにする場合にオンにします これは トランスペアレントモードでは使用できません Web アプリケーションを有効にした場合は このグループ内のユーザがアクセスを許可される各アプリケーションをオンにします FortiClient Host Security AV ソフトウェアを実行しているクライアントのみの接続を許可する場合にオンにします このソフトウェアについては Fortinet テクニカルドキュメント Web サイトを参照してください

353 ユーザ ユーザグループ [Check FortiClient FW Installed and Running] [Check for Third Party AV Software] [Check for Third Party Firewall Software] [Enable Cache Clean] [Redirect URL] [Customize portal message for this group] FortiClient Host Security FW ソフトウェアを実行しているクライアントのみの接続を許可する場合にオンにします このソフトウェアについては Fortinet テクニカルドキュメント Web サイトを参照してください サポートされているアンチウイルスソフトウェアがインストールされているクライアントのみの接続を許可する場合にオンにします このソフトウェアがインストールされ 有効になって ( 実行されて ) いる必要があります Windows XP SP2 でサポートされている製品については AV/ ファイアウォールがサポートされている製品の検出 を参照してください その他のすべてのシステムでは Norton (Symantec) AntiVirus または McAfee VirusScan ソフトウェアがサポートされています 注記 : このオプションは [Check FortiClient Installed and Running] を選択した場合は使用できません サポートされているファイアウォールソフトウェアがインストールされているクライアントのみの接続を許可する場合にオンにします このソフトウェアがインストールされ 有効になって ( 実行されて ) いる必要があります Windows XP SP2 でサポートされている製品については AV/ ファイアウォールがサポートされている製品の検出 を参照してください その他のすべてのシステムでは Norton (Symantec) AntiVirus または McAfee VirusScan ソフトウェアがサポートされています 注記 : このオプションは [Check FortiClient Installed and Running] を選択した場合は使用できません ユーザのログインとログアウトの間にクライアントコンピュータ上で作成されたすべてのインターネット一時ファイルを削除する場合にオンにします この処理は ダウンロードされた IE 用の ActiveX コントロールおよび Firefox 用のプラグインを使用して実行されます Windows 2000/Windows XP で動作する Internet Explorer および Firefox 上で機能します 注記 : クライアントのブラウザがキャッシュクリーナをインストールして実行できない場合は ユーザに SSL VPN ポータルへのアクセスが許可されません SSL VPN Web ポータルのページが表示されたときに この URL で 2 つ目のブラウザウィンドウを開く場合に使用します この URL に対する Web サーバが FortiGate ユニットの背後に位置するプライベートネットワーク上に存在している必要があります 注記 :SSL VPN Web ポータルのログインページを変更することができます 詳細については 147 ページの SSL- VPN ログインメッセージの変更 を参照してください このグループのためのカスタム Web ポータルホームページキャプションを入力または編集します

354 ピアおよびピアグループの設定 ユーザ 表 33: AV/ ファイアウォールがサポートされている製品の検出 製品 AV ファイアウォール Norton Internet Security 2006 Y Y Trend Micro PC-cillin Y Y McAfee Y Y Sophos Anti-Virus Y N Panda Platinum 2006 Internet Security Y Y F-Secure Y Y Secure Resolutions Y Y Cat Computer Services Y Y AhnLab Y Y Kaspersky Y Y ZoneAlarm Y Y ピアおよびピアグループの設定 一部の VPN 設定での認証や PKI 証明書認証に使用されるピアおよびピアグループを定義できます この操作を行うには CLI の config user peer および config user peergrp コマンドを使用します 詳細については FortiGate CLI リファレンス の ユーザ の章を参照してください

355 アンチウイルス 操作の順序 アンチウイルス この項では ファイアウォールプロテクションプロファイルに関連したアンチウイルスオプションを設定する方法について説明します この項には以下のトピックが含まれています 操作の順序 アンチウイルス要素 アンチウイルスの設定と制御 ファイルパターン 隔離 [Config] アンチウイルスの CLI 設定 操作の順序 アンチウイルス処理には 個別のタスクを実行するさまざまなモジュールやエンジンが含まれます FortiGate ユニットは Web ベースマネージャメニューに表示される次の要素の順序で アンチウイルス処理を実行します ファイルパターン ウイルススキャン グレーウェア ヒューリスティック あるファイルがアンチウイルススキャンのいずれかの要素に合格できなかった場合 それ以上のスキャンは実行されません たとえば ファイル "fakefile.exe" がブロック対象パターンとして認識された場合 FortiGate ユニットはエンドユーザに差し替えメッセージを送信し そのファイルは削除または隔離されます そのファイルはすでに脅威であることが判明し 対処されているため ウイルススキャン グレーウェア ヒューリスティックなどのスキャンは実行されません この時点で このファイルに対してそれ以上のシステムリソースの消費は不要となります アンチウイルス要素 受信ファイルを効率的にスキャンできるよう アンチウイルス要素は順番に実行されます 最初の 3 つの要素には特定の機能があります これに対して 4 つ目のヒューリスティックは新しい未知のウイルス脅威に対処するためのものです これらの 4 つの要素が連携することで ネットワークに対する比類ないアンチウイルス保護が実現します システムが実現可能な最大限の保護を確実に提供できるよう すべてのウイルス定義およびシグネチャが FortiGuard アンチウイルスサービスを介して定期的にアップデートされます 以下 各要素を適用順に説明し 続いて FortiGuard アンチウイルスについて説明します

356 アンチウイルス要素 アンチウイルス ファイルパターン ファイルが受け付けられると FortiGate ユニットはファイルパターン認識フィルタを適用します FortiGate は 設定されているファイルパターン設定に対してそのファイルをチェックします ファイルがブロック対象パターン ( たとえば ".EXE") である場合 そのファイルは阻止され 差し替えメッセージがエンドユーザに送信されます 他のレベルの保護は適用されません そのファイルがブロック対象パターンでない場合は 次のレベルの保護が適用されます ウイルススキャン ファイルがファイルパターンに合格すると そのファイルにはウイルススキャンが適用されます これらのウイルス定義は FortiNet Distribution Network を介して最新の状態に維持されます このリストは定期的に更新されるため ファームウェアアップグレードを待つ必要はありません ウイルス定義の更新の詳細については FortiGuard アンチウイルスを参照してください グレーウェア ファイルパターンとウイルススキャンに合格すると その受信ファイルは グレーウェアでないかどうか確認されます グレーウェア設定は 必要に応じて有効または無効に設定することができ アンチウイルス定義と同じ方法で最新の状態に維持されます グレーウェアの設定の詳細については グレーウェアリストの表示を参照してください ヒューリスティック 受信ファイルが最初の 3 つのアンチウイルス要素に合格すると そのファイルにはヒューリスティック要素が適用されます FortiGate のヒューリスティックアンチウイルスエンジンはそのファイルにテストを実行して ウイルスのような動作または既知のウイルス指標を検出します この方法により ヒューリスティックスキャンで新しいウイルスが検出される可能性がありますが 何らかの誤検知の結果が生成される可能性もあります FortiGuard アンチウイルス 注記 : ヒューリスティックは CLI を使用してのみ設定できます FortiGate CLI ガイド を参照してください FortiGuard アンチウイルスサービスは優れたリソースであり FortiGuard Distribution Network (FDN) を介したウイルスおよび IPS ( 攻撃 ) のエンジンと定義 さらにはローカルスパム DNSBL の自動更新が含まれています また FortiGuard Center からも FortiGuard アンチウイルスウイルスおよび攻撃エンサイクロペディアや FortiGuard Bulletin が提供されます 詳細情報および FortiGuard Center へのリンクについては Fortinet Knowledge Center にアクセスしてください FortiGate ユニットと FortiGuard Center の間の接続は [System] [Maintenance] [FortiGuard Center] で設定されます 詳細については 170 ページの FortiGate ユニットの FDN および FortiGuard サービスの設定 を参照してください 注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合 アンチウイルス機能はグローバルに設定されます これらの機能にアクセスするには メインメニューで [Global Configuration] を選択します

357 アンチウイルス アンチウイルスの設定と制御 アンチウイルスの設定と制御 アンチウイルス設定は システム全体での使用のために設定されますが 特定の設定はプロファイル単位に実装できます 表 34 は プロテクションプロファイルとアンチウイルスメニューのアンチウイルスオプションを比較しています 表 34: [Antivirus] と [Protection Profile] のアンチウイルス設定 [Protection Profile] のアンチウイルスオプション [Virus Scan] 各プロトコル (HTTP FTP IMAP POP3 SMTP IM) に対して ウイルススキャンを有効または無効にします [File Pattern] プロトコルごとのファイルパターン処理を有効または無効にします [Quarantine] プロトコルごとの隔離を有効または無効にします 隔離は ローカルディスクを備えたユニット または設定された FortiAnalyzer ユニットでのみ使用できます [Antivirus] の設定 [AntiVirus] [Config] [Virus List] 現在のウイルスの読み取り専用のリストを表示します [AntiVirus] [File Pattern] ファイルをブロックまたは許可するようにファイルパターンを設定します パターンを個別に有効または無効にすることもできます [AntiVirus] [Quarantine] 隔離されたファイルのリストの表示および並べ替え 解析のために Fortinet に自動的にアップロードするファイルパターンの設定 アンチウイルスでの隔離オプションの設定を行います [Pass fragmented messages] 断片化された電子メールメッセージの通過を有効または無効にします 断片化された電子メールメッセージに対しては ウイルススキャンを実行できません [Comfort Clients] HTTP および FTP トラフィックを有効または無効にします クライアント快適化をトリガする間隔とバイト数を設定します [Oversized file/ ] プロトコルごとの過剰に長いファイルおよび電子メールメッセージをブロックまたは通過させるように FortiGate ユニットを設定します アンチウイルスでのプロトコルごとのファイルおよび電子メールメッセージのサイズのしきい値を設定します [AntiVirus] [Config] [Grayware] カテゴリごとのグレーウェアのブロッキングを有効または無効にします 送信電子メールメッセージにシグネチャを追加します 送信電子メールメッセージに追加するシグネチャを作成し 有効にします (SMTP のみ )

358 ファイルパターン アンチウイルス ファイルパターン 脅威である可能性のあるすべてのファイルをブロックし アクティブなコンピュータウイルス攻撃を阻止するためのファイルパターンを設定します ファイルは 名前 拡張子 またはその他の任意のパターンでブロックできます ファイルパターンブロッキングによって 有害である可能性のあるコンテンツをブロックするための柔軟性が提供されます 注記 : ファイルパターンのエントリは大文字と小文字が区別されません たとえば ファイルパターンリストに *.exe を追加すると.EXE で終わるファイルもすべてブロックされます 標準的な運用として [Protection Profile] で [File Pattern] を無効にしておき 特定の脅威が発生した場合にその脅威をブロックするために一時的に有効にすることを選択できます FortiGate ユニットは 設定されたファイルパターンに一致するファイルをブロックし 代わりに差し替えメッセージを表示します FortiGateユニットはまた 各動作が設定されていれば ウイルスログへのメッセージの書き込みや アラートメールメッセージの送信も行います [File Pattern] と [Virus Scan] の両方が有効になっている場合 FortiGate ユニットは有効になっているファイルパターンに一致するファイルをブロックしますが これらのファイルに対してウイルススキャンを実行しません 注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合 アンチウイルス機能はグローバルに設定されます これらの機能にアクセスするには メインメニューで [Global Configuration] を選択します ファイルパターンリストカタログの表示 複数のファイルパターンリストを追加し プロテクションプロファイルごとに最適なファイルパターンリストを選択できます ファイルパターンリストカタログを表示するには [AntiVirus] [File Pattern] の順に選択します 個別のファイルパターンリストを表示するには 表示するリストの編集アイコンを選択します 図 218: ファイルパターンリストカタログの例 注記 : デフォルトのファイルパターンリストカタログは 組み込みパターンと呼ばれます [Create New] カタログに新しいファイルパターンリストを追加するには [Create New] を選択します [Name] 使用可能なファイルパターンリスト [# Entries] 各ファイルパターンリスト内のファイルパターンの数 [Profiles] [Comment] 各ファイルパターンリストが適用されたプロテクションプロファイル 各ファイルパターンリストのオプションの説明

359 アンチウイルス ファイルパターン 削除アイコン 編集アイコン ファイルパターンリストは プロテクションプロファイルで選択します 詳細については 290 ページの アンチウイルスオプション を参照してください 新しいファイルパターンリストの作成 カタログからこのファイルパターンリストを削除する場合に選択します 削除アイコンは このファイルパターンリストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます ファイルパターンリスト リスト名 またはリストのコメントを編集する場合に選択します ファイルパターンリストカタログにファイルパターンリストを追加するには [AntiVirus] [File Pattern] の順に選択し [Create New] を選択します 図 219: [New File Pattern List] ダイアログボックス [Name] [Comment] 新しいリストの名前を入力します 必要に応じて このリストを説明するコメントを入力します ファイルパターンリストの表示 ファイルパターンリストを表示するには [AntiVirus] [File Pattern] の順に選択し 表示するファイルパターンリストの編集アイコンを選択します 図 220: ファイルパターンリストの例 ファイルパターンリストには 次のアイコンと機能が用意されています [Name] [Comment] [OK] [Create New] ファイルパターンリストの名前 この名前を変更するには 名前フィールドのテキストを編集し [OK] を選択します オプションのコメント コメントを追加または編集するには コメントフィールドにテキストを入力し [OK] を選択します ファイルパターンリストに新しいパターンを追加するには [Create New] を選択します [Pattern] ファイルパターンの現在のリスト