FortiGate Administration Guide - docs-legacy.fortinet.comdocs-legacy.fortinet.com/int/jp/FortiGate_Administration_Guide_3.0... · FortiGate バージョン3.0 MR4 ... のファームウェア

www.fortinet.com

FortiGate™バージョン 3.0 MR4

管理ガイド

FortiGate™ 管理ガイドバージョン 3.0 MR42006 年 6 月 21 日01-30002-0203-20060621

© Copyright 2006 Fortinet, Inc. All rights reserved. フォーティネット社の書面による事前の許可なく、電子的、自動的、手動式、光学式、その他いかなる方法、またいかなる目的においても、文章、事例、図表など本書の全部または一部を複製、転載、頒布、翻訳することを禁じます。

商標Dynamic Threat Prevention System (DTPS)、 APSecure、 FortiASIC、FortiBIOS、 FortiBridge、 FortiClient、 FortiGate、 FortiGate Unified Threat Management System、 FortiGuard、 FortiGuard-Antispam、 FortiGuard-Antivirus、 FortiGuard-Intrusion、 FortiGuard-Web、 FortiLog、FortiAnalyzer、 FortiManager、 Fortinet、 FortiOS、 FortiPartner、FortiProtect、 FortiReporter、 FortiResponse、 FortiShield、 FortiVoIP、および FortiWiFi は、米国またはその他の国々、あるいはその両方におけるFortinet, Inc. の商標です。本書に記載された実際の社名および製品名は、各社の商標です。

目次

目次

はじめに................................................................................................................................ 17

FortiGate ユニットの概要............................................................................................................... 17

FortiGate-5000 シリーズシャーシ...................................................................................... 18

FortiGate-5000 シリーズモジュールについて ............................................................. 19

FortiGate-3,600A............................................................................................................................ 19

FortiGate-3600................................................................................................................................ 20

FortiGate-3000................................................................................................................................ 20

FortiGate-1000A............................................................................................................................. 20

FortiGate-1000AFA2..................................................................................................................... 21

FortiGate-1000................................................................................................................................ 21

FortiGate-800 .................................................................................................................................. 21

FortiGate-800F................................................................................................................................ 21

FortiGate-500A ............................................................................................................................... 22

FortiGate-500 .................................................................................................................................. 22

FortiGate-400A ............................................................................................................................... 22

FortiGate-400 .................................................................................................................................. 22

FortiGate-300A ............................................................................................................................... 22

FortiGate-300 .................................................................................................................................. 23

FortiGate-200A ............................................................................................................................... 23

FortiGate-200 .................................................................................................................................. 23

FortiGate-100A ............................................................................................................................... 23

FortiGate-100 .................................................................................................................................. 23

FortiGate-60/60M/ADSL ........................................................................................................... 24

FortiWiFi-60/60A/60AM.............................................................................................................. 24

FortiGate-50B.................................................................................................................................. 24

FortiGate-50A.................................................................................................................................. 24

フォーティネット製品ファミリ................................................................................................... 25

FortiGuard サブスクリプションサービス ....................................................................... 25

FortiAnalyzer .................................................................................................................................... 25

FortiClient .......................................................................................................................................... 25

FortiManager ..................................................................................................................................... 26

FortiBridge ......................................................................................................................................... 26

FortiMail .............................................................................................................................................. 26

FortiReporter .................................................................................................................................... 26

このドキュメントについて............................................................................................................. 27

ドキュメントの規則.................................................................................................................... 29

FortiGate のドキュメント ............................................................................................................. 29

フォーティネットツールおよびドキュメント CD.................................................... 31

Fortinet Knowledge Center ....................................................................................................... 31

フォーティネットテクニカルドキュメントに関するコメント ........................ 31

カスタマサービスおよびテクニカルサポート.................................................................. 31

FortiGate バージョン 3.0 MR4 管理ガイド01-30004-0203-20070102 3

4

目次

Web ベースマネージャ............................................................................................... 33

ボタンバーの機能 ............................................................................................................................... 34

カスタマサポートへの接続.................................................................................................... 34

オンラインヘルプの使用.......................................................................................................... 35

ログアウト ........................................................................................................................................ 37

Web ベースマネージャページ.................................................................................................... 37

Web ベースマネージャメニュー ........................................................................................ 38

リスト .................................................................................................................................................. 39

アイコン............................................................................................................................................. 39

システム - ステータス.................................................................................................. 41

[Status] ページ...................................................................................................................................... 41

システムステータスの表示.................................................................................................... 41

システム情報の変更............................................................................................................................ 49

システム時刻の設定.................................................................................................................... 49

FortiGate ユニットのホスト名の変更 ................................................................................ 50

FortiGate ファームウェアの変更................................................................................................. 51

新しいファームウェアバージョンへのアップグレード ......................................... 51

以前のファームウェアバージョンへの復帰 ................................................................. 52

動作履歴の表示...................................................................................................................................... 52

FortiGuard 定義の手動による更新 .............................................................................................. 53

統計情報の表示...................................................................................................................................... 54

セッションリストの表示......................................................................................................... 54

コンテンツアーカイブ情報の表示..................................................................................... 55

攻撃ログの表示.............................................................................................................................. 57

トポロジビューア ............................................................................................................................... 58

トポロジビューアのウィンドウ.......................................................................................... 58

トポロジ図のカスタマイズ ..................................................................................................... 60

........................................................................................................................................................................ 60

バーチャルドメインの使用 ...................................................................................... 61

バーチャルドメイン .......................................................................................................................... 61

VDOM の設定................................................................................................................................... 62

グローバル設定.............................................................................................................................. 63

VDOM の有効化...................................................................................................................................... 64

VDOM とグローバル設定の設定................................................................................................... 64

VDOM とグローバル設定の操作............................................................................................ 65

VDOM へのインタフェースの追加....................................................................................... 66

VDOM への管理者の割り当て ................................................................................................ 67

管理 VDOM の変更........................................................................................................................ 67

FortiGate バージョン 3.0 MR4 管理ガイド01-30004-0203-20070102

目次

システム - ネットワーク............................................................................................. 69

インタフェース ..................................................................................................................................... 69

スイッチのモード ........................................................................................................................ 71

インタフェース設定.................................................................................................................... 72

ADSL インタフェースの設定 ................................................................................................. 75

802.3ad アグリゲートインタフェースの作成............................................................... 76

冗長インタフェースの作成..................................................................................................... 77

無線インタフェースの作成..................................................................................................... 79

インタフェース上での DHCP の設定................................................................................. 80

PPPoE または PPPoA のためのインタフェースの設定 ........................................... 81

インタフェースの Dynamic DNS サービスの設定....................................................... 83

仮想 IPSec インタフェースの設定...................................................................................... 83

インタフェースの追加の設定................................................................................................ 85

ゾーン......................................................................................................................................................... 88

ゾーンの設定 .................................................................................................................................. 89

ネットワークオプション................................................................................................................ 89

DNS サーバ....................................................................................................................................... 91

停止ゲートウェイ検出............................................................................................................... 91

ルーティングテーブル ( トランスペアレントモード )................................................. 92

トランスペアレントモードのルート設定...................................................................... 92

モデムインタフェースの設定...................................................................................................... 93

モデムの設定 .................................................................................................................................. 93

冗長モードの設定 ........................................................................................................................ 95

スタンドアロンモードの設定 .............................................................................................. 96

モデム接続のためのファイアウォールポリシーの追加........................................ 97

モデムの接続と接続解除.......................................................................................................... 97

モデム状態の確認 ........................................................................................................................ 98

VLAN の概要........................................................................................................................................... 98

FortiGate ユニットと VLAN ..................................................................................................... 99

NAT/ ルートモードでの VLAN................................................................................................... 99

VLAN ID のルール....................................................................................................................... 100

VLAN IP アドレスのルール ................................................................................................... 100

VLAN サブインタフェースの追加 ..................................................................................... 101

トランスペアレントモードでの VLAN................................................................................. 102

VLAN ID のルール....................................................................................................................... 104

トランスペアレントモードのバーチャルドメインと VLAN ............................ 104

ARP に関する問題のトラブルシューティング........................................................... 107

FortiGate の IPv6 サポート........................................................................................................... 108

システム - 無線.............................................................................................................. 109

FortiWiFi の無線 LAN インタフェース.................................................................................... 109

チャネル割り当て .............................................................................................................................. 110

システム無線の設定 (FortiWiFi-60) .......................................................................................... 112


6

目次

システム無線の設定 (FortiWiFi-60A および 60AM)........................................................ 113

無線 MAC フィルタ........................................................................................................................... 114

無線モニタ............................................................................................................................................. 115

システム - DHCP ........................................................................................................... 117

FortiGate DH CP サーバおよびリレー................................................................................... 117

DHCP サービスの設定..................................................................................................................... 118

DHCP リレーエージェントとしてのインタフェースの設定............................. 119

DHCP サーバの設定.................................................................................................................. 120

アドレスリースの表示 .................................................................................................................. 121

特定クライアントに対する IP アドレスの予約......................................................... 121

システム - 設定.............................................................................................................. 123

HA............................................................................................................................................................... 124

HA オプション ............................................................................................................................. 124

クラスタメンバリスト ......................................................................................................... 128

HA 統計の表示 ............................................................................................................................. 130

副系ユニットのホスト名およびデバイスプライオリティの変更.................. 131

クラスタユニットのクラスタからの切断................................................................... 131

SNMP......................................................................................................................................................... 133

SNMP の設定................................................................................................................................. 133

SNMP コミュニティの設定................................................................................................... 134

フォーティネット MIB............................................................................................................. 136

FortiGate トラップ..................................................................................................................... 137

フォーティネット MIB フィールド ................................................................................... 139

差し替えメッセージ......................................................................................................................... 143

差し替えメッセージリスト ................................................................................................. 143

差し替えメッセージの変更 .................................................................................................. 144

認証ログインページの変更................................................................................................. 146

FortiGuard Web フィルタリングブロック無効化ページの変更........................ 147

SSL-VPN ログインメッセージの変更........................................................................... 147

認証免責ページの変更............................................................................................................ 147

動作モードおよび VDOM 管理アクセス................................................................................ 148

動作モードの変更...................................................................................................................... 148

管理アクセス................................................................................................................................ 149

システム管理者.............................................................................................................. 151

管理者 ...................................................................................................................................................... 151

管理者の RADIUS 認証の設定.............................................................................................. 152

管理者リストの表示................................................................................................................. 152

管理者アカウントの設定 ....................................................................................................... 154

アクセスプロファイル .................................................................................................................. 157

アクセスプロファイルリストの表示............................................................................ 159

アクセスプロファイルの設定............................................................................................ 160


目次

FortiManager ........................................................................................................................................ 161

設定............................................................................................................................................................ 162

管理者の監視........................................................................................................................................ 163

システム - メンテナンス.......................................................................................... 165

バックアップおよび復元................................................................................................................ 165

FortiGuard Center ............................................................................................................................. 169

FortiGuard Distribution Network ............................................................................................ 169

FortiGuard サービス................................................................................................................... 169

FortiGate ユニットの FDN および FortiGuard サービスの設定........................... 170

FDN 接続性のトラブルシューティング.......................................................................... 175

アンチウイルスおよび攻撃の定義の更新..................................................................... 175

プッシュ更新の有効化............................................................................................................. 177

ライセンス............................................................................................................................................. 180

システム - シャーシ(FortiGate-5000 シリーズ )..................................................................................... 181

SMC ( シェルフマネージャカード )...................................................................................... 181

ブレード (FortiGate-5000 シャーシスロット )................................................................ 182

シャーシモニタリングのイベントログメッセージ..................................................... 184

ルータ - スタティック ............................................................................................ 187

ルーティングの概念 ........................................................................................................................ 187

ルーティングテーブルの成立ち ...................................................................................... 188

ルーティングの決定方法 ...................................................................................................... 188

マルチパスルーティングと良のルートの決定..................................................... 188

ルートプライオリティへのルートシーケンスの影響 ........................................ 189

等価コストマルチパス (ECMP) ルート .......................................................................... 190

スタティックルート ...................................................................................................................... 190

スタティックルートの操作 ................................................................................................ 190

デフォルトルートおよびデフォルトゲートウェイ ............................................. 191

ルーティングテーブルへのスタティックルートの追加 ................................... 194

ポリシールート.................................................................................................................................. 195

ルートポリシーの追加 .......................................................................................................... 196

ルートポリシーの移動........................................................................................................... 197

ルータ - ダイナミック............................................................................................... 199

RIP ............................................................................................................................................................... 199

RIP の動作....................................................................................................................................... 200

基本的な RIP 設定の表示と編集......................................................................................... 200

RIP 詳細設定オプションの選択 .......................................................................................... 202

インタフェース上の RIP 動作パラメータの置き換え............................................. 203


8

目次

OSPF ......................................................................................................................................................... 204

OSPF 自律システム .................................................................................................................. 205

OSPF AS の定義.......................................................................................................................... 205

基本的な OSPF 設定の表示と編集.................................................................................... 206

OSPF 詳細設定オプションの選択..................................................................................... 208

OSPF エリアの定義 .................................................................................................................. 209

OSPF ネットワークの指定.................................................................................................... 211

OSPF インタフェースの動作パラメータの選択 ....................................................... 212

BGP ............................................................................................................................................................ 213

BGP の動作.................................................................................................................................... 213

BGP 設定の表示と編集 ........................................................................................................... 214

マルチキャスト................................................................................................................................... 215

マルチキャスト設定の表示と編集 ................................................................................... 216

インタフェース上のマルチキャスト設定の置き換え ............................................ 217

ルータ - モニタ.............................................................................................................. 219

ルーティング情報の表示............................................................................................................... 219

FortiGate ルーティングテーブルの検索 ............................................................................. 221

ファイアウォール - ポリシー ................................................................................ 223

ファイアウォールポリシーについて..................................................................................... 223

ポリシー照合の動作................................................................................................................. 224

ファイアウォールポリシーリストの表示 ......................................................................... 224

ファイアウォールポリシーの追加.................................................................................. 225

ポリシーリスト内の別の位置へのポリシーの移動 ............................................... 226

ファイアウォールポリシーの設定.......................................................................................... 226

ファイアウォールポリシーのオプション ................................................................... 230

ファイアウォールポリシーへの認証の追加 .............................................................. 234

ファイアウォールポリシーへのトラフィックシェーピングの追加 ........... 235

IPSec のファイアウォールポリシーオプション .................................................... 238

SSL-VPN のファイアウォールポリシーオプション ............................................ 239

ホスト上の FortiClient を確認するためのオプション............................................. 239

ファイアウォールポリシーの例............................................................................................... 240

シナリオ 1: SOHO 規模の企業............................................................................................. 240

シナリオ 2: 大規模企業........................................................................................................... 243

ファイアウォール - アドレス ................................................................................ 247

ファイアウォールアドレスについて..................................................................................... 247

ファイアウォールアドレスリストの表示 ......................................................................... 248

アドレスの設定................................................................................................................................... 249

アドレスグループリストの表示............................................................................................. 250

アドレスグループの設定 ............................................................................................................. 250


目次

ファイアウォール - サービス ................................................................................ 253

定義済みサービスリストの表示............................................................................................... 253

カスタムサービスリストの表示.............................................................................................. 257

カスタムサービスの設定.............................................................................................................. 257

サービスグループリストの表示.............................................................................................. 259

サービスグループの設定.............................................................................................................. 259

ファイアウォール - スケジュール....................................................................... 261

ワンタイムスケジュールリストの表示............................................................................... 261

ワンタイムスケジュールの設定............................................................................................... 262

反復スケジュールリストの表示............................................................................................... 262

反復スケジュールの設定................................................................................................................ 263

ファイアウォール - 仮想 IP ..................................................................................... 265

仮想 IP....................................................................................................................................................... 265

仮想 IP による FortiGate ユニットを介した接続のマッッピング方法........... 265

仮想 IP リストの表示........................................................................................................................ 269

仮想 IP の設定....................................................................................................................................... 269

単一の IP アドレスに対するスタティック NAT 仮想 IP の追加 ........................ 270

IP アドレス範囲に対するスタティック NAT 仮想 IP の追加............................... 272

単一 IP アドレスおよび単一ポートに対するスタティック NAT ポートフォワーディングの追加.................................................................................................................. 274

IP アドレス範囲およびポート範囲に対するスタティック NAT ポートフォワーディングの追加.................................................................................................................. 276

IP アドレス範囲またはリアルサーバに対する負荷分散仮想 IP の追加...... 277

負荷分散ポートフォワーディング仮想 IP の追加................................................... 279

ダイナミック仮想 IP の追加................................................................................................. 281

仮想 IP グループ.................................................................................................................................. 282

VIP グループリストの表示........................................................................................................... 282

VIP グループの設定........................................................................................................................... 282

IP プール.................................................................................................................................................. 283

IP プールとダイナミック NAT............................................................................................. 284

固定ポートを用いたファイアウォールポリシーの IP プール .......................... 284

IP プールリストの表示................................................................................................................... 284

IP プールの設定 ................................................................................................................................... 285

ファイアウォール - プロテクションプロファイル............................................................................... 287

プロテクションプロファイルとは.......................................................................................... 287

デフォルトのプロテクションプロファイル............................................................... 288

プロテクションプロファイルリストの表示..................................................................... 288


10

目次

プロテクションプロファイルの設定..................................................................................... 289

アンチウイルスオプション................................................................................................. 290

Web フィルタリングオプション ....................................................................................... 291

FortiGuard-Web フィルタリングオプション .............................................................. 292

スパムフィルタリングオプション ................................................................................ 294

IPS オプション ............................................................................................................................ 296

コンテンツアーカイブオプション ................................................................................ 297

IM および P2P オプション..................................................................................................... 298

ロギングオプション................................................................................................................ 299

VoIP オプション.......................................................................................................................... 300

ポリシーへのプロテクションプロファイルの追加....................................................... 300

プロテクションプロファイル CLI 設定................................................................................ 301

VPN - IPSEC .................................................................................................................... 303

IPSec インタフェースモードの概要 ...................................................................................... 303

自動キー.................................................................................................................................................. 305

新しいフェーズ 1 設定の作成 ............................................................................................. 305

フェーズ 1 詳細設定の定義 .................................................................................................. 308

新しいフェーズ 2 設定の作成 ............................................................................................. 311

フェーズ 2 詳細設定の定義 .................................................................................................. 311

インターネットブラウジング設定.................................................................................. 314

手動キー.................................................................................................................................................. 315

新しい手動キー設定の作成 .................................................................................................. 315

コンセントレータ ............................................................................................................................ 317

コンセントレータオプションの定義............................................................................. 318

モニタ ..................................................................................................................................................... 319

VPN - PPTP....................................................................................................................... 321

PPTP の範囲.......................................................................................................................................... 321

VPN - SSL.......................................................................................................................... 323

Config ...................................................................................................................................................... 323

Monitor ..................................................................................................................................................... 325

VPN - 証明書 ................................................................................................................... 327

ローカル証明書................................................................................................................................... 327

証明書要求の生成...................................................................................................................... 328

証明書要求のダウンロードと送信 ................................................................................... 330

署名済みサーバ証明書のインポート ............................................................................... 330

エクスポートされたサーバ証明書および秘密鍵のインポート ........................ 331

サーバ証明書および秘密鍵ファイルの個別インポート ....................................... 331

リモート証明書................................................................................................................................... 332

リモート (OCSP サーバ ) 証明書のインポート ......................................................... 333


目次

CA 証明書............................................................................................................................................... 333

CA 証明書のインポート .......................................................................................................... 334

CRL............................................................................................................................................................. 335

証明書失効リストのインポート ......................................................................................... 335

ユーザ ................................................................................................................................. 337

ユーザ認証の設定............................................................................................................................. 337

認証タイムアウトの設定........................................................................................................ 338

ユーザ認証のプロトコルサポートの設定.................................................................... 338

ローカルユーザアカウント ....................................................................................................... 339

ユーザアカウントの設定...................................................................................................... 340

RADIUS サーバ..................................................................................................................................... 340

RADIUS サーバの設定 .............................................................................................................. 341

LDAP サーバ ......................................................................................................................................... 341

LDAP サーバの設定................................................................................................................... 342

PKI 認証.................................................................................................................................................... 343

PKI ユーザの設定 ...................................................................................................................... 344

Windows AD サーバ.......................................................................................................................... 345

Windows AD サーバの設定...................................................................................................... 345

ユーザグループ.................................................................................................................................. 346

ユーザグループの種類........................................................................................................... 347

ユーザグループのリスト ...................................................................................................... 349

ユーザグループの設定........................................................................................................... 349

ユーザグループのための FortiGuard 置き換えオプションの設定................... 351

SSL VPN ユーザグループのオプションの設定......................................................... 352

ピアおよびピアグループの設定............................................................................................... 354

アンチウイルス.............................................................................................................. 355

操作の順序............................................................................................................................................. 355

アンチウイルス要素 ......................................................................................................................... 355

FortiGuard アンチウイルス .................................................................................................... 356

アンチウイルスの設定と制御...................................................................................................... 357

ファイルパターン............................................................................................................................. 358

ファイルパターンリストカタログの表示................................................................. 358

新しいファイルパターンリストの作成....................................................................... 359

ファイルパターンリストの表示...................................................................................... 359

ファイルパターンリストの設定...................................................................................... 360

隔離............................................................................................................................................................ 361

隔離済みファイルリストの表示 ....................................................................................... 361

自動送信リストの表示............................................................................................................. 362

自動送信リストの設定............................................................................................................. 363

隔離オプションの設定............................................................................................................. 363


12

目次

[Config].................................................................................................................................................... 365

ウイルスリストの表示........................................................................................................... 365

グレーウェアリストの表示................................................................................................. 366

アンチウイルスの CLI 設定 .......................................................................................................... 368

system global optimize ............................................................................................................... 368

config antivirus heuristic ........................................................................................................... 368

config antivirus quarantine ....................................................................................................... 369

config antivirus service <service_name> ............................................................................ 369

不正侵入防御................................................................................................................... 371

不正侵入防御について.................................................................................................................... 371

IPS の設定と制御 ....................................................................................................................... 372

IPS を使用する状況 .................................................................................................................. 373

定義済みシグネチャ......................................................................................................................... 373

定義済みシグネチャリストの表示.................................................................................. 373

定義済みシグネチャの設定 .................................................................................................. 375

システムパフォーマンス向上のための IPS 定義済みシグネチャの微調整 376

カスタムシグネチャ ....................................................................................................................... 377

カスタムシグネチャリストの表示 ................................................................................ 377

カスタムシグネチャの作成................................................................................................. 378

プロトコルデコーダ ....................................................................................................................... 378

プロトコルデコーダリストの表示 ................................................................................ 379

IPS プロトコルデコーダリストのアップグレード ............................................... 379

アノマリ.................................................................................................................................................. 379

トラフィックアノマリリストの表示............................................................................ 380

IPS トラフィックアノマリの設定 ................................................................................... 381

IPS の CLI 設定..................................................................................................................................... 381

system autoupdate ips ............................................................................................................... 381

ips global fail-open....................................................................................................................... 382

ips global ip_protocol ................................................................................................................... 382

ips global socket-size................................................................................................................. 382

(config ips anomaly) config limit ............................................................................................. 382

Web フィルタ.................................................................................................................. 383

Web フィルタリングの順序......................................................................................................... 383

Web フィルタリングの動作......................................................................................................... 383

Web フィルタの制御........................................................................................................................ 384


目次

コンテンツブロック........................................................................................................................ 386

Web コンテンツブロックリストカタログの表示.................................................. 387

新しい Web コンテンツブロックリストの作成....................................................... 387

Web コンテンツブロックリストの表示....................................................................... 388

Web コンテンツブロックリストの設定....................................................................... 389

Web コンテンツ除外リストカタログの表示............................................................... 389

新しい Web コンテンツ除外リストの作成.................................................................... 390

Web コンテンツ除外リストの表示.................................................................................... 390

Web コンテンツ除外リストの設定.................................................................................... 391

URL フィルタ........................................................................................................................................ 392

URL フィルタリストカタログの表示............................................................................ 392

新しい URL フィルタリストの作成................................................................................. 393

URL フィルタリストの表示................................................................................................. 393

URL フィルタリストの設定................................................................................................. 394

URL フィルタリスト内の URL の移動............................................................................ 396

FortiGuard-Web フィルタ.............................................................................................................. 396

FortiGuard-Web フィルタリングの設定 .......................................................................... 397

上書きリストの表示.................................................................................................................. 397

上書きルールの設定.................................................................................................................. 398

ローカルカテゴリの作成...................................................................................................... 400

ローカル評価リストの表示................................................................................................... 400

ローカル評価の設定.................................................................................................................. 401

カテゴリブロックの CLI 設定............................................................................................. 402

FortiGuard-Web フィルタレポート ................................................................................... 402

アンチスパム................................................................................................................... 405

アンチスパム........................................................................................................................................ 405

スパムフィルタリングの順序 ............................................................................................ 405

アンチスパムフィルタの制御 ............................................................................................ 406

禁止単語.................................................................................................................................................. 408

アンチスパム禁止単語リストカタログの表示.......................................................... 409

新しいアンチスパム禁止単語リストの作成 ................................................................ 409

アンチスパム禁止単語リストの表示............................................................................... 410

アンチスパム禁止単語リストの設定............................................................................... 411

ブラック / ホワイトリスト......................................................................................................... 411

アンチスパム IP アドレスリストカタログの表示.................................................. 412

新しいアンチスパム IP アドレスリストの作成........................................................ 412

アンチスパム IP アドレスリストの表示....................................................................... 413

アンチスパム IP アドレスリストの設定....................................................................... 413

アンチスパム電子メールアドレスリストカタログの表示.............................. 414

新しいアンチスパム電子メールアドレスリストの作成..................................... 415

アンチスパム電子メールアドレスリストの表示 ................................................... 415

アンチスパム電子メールアドレスリストの設定 ................................................... 416


14

目次

アンチスパムの詳細設定............................................................................................................... 417

config spamfilter mheader ........................................................................................................ 417

config spamfilter rbl..................................................................................................................... 417

Perl 正規表現の使用......................................................................................................................... 418

正規表現とワイルドカードの一致パターンの比較................................................. 418

単語境界.......................................................................................................................................... 419

大文字と小文字の区別............................................................................................................ 419

Perl 正規表現形式 ...................................................................................................................... 419

正規表現の例................................................................................................................................ 420

IM、P2P、および VoIP................................................................................................ 421

概要 ........................................................................................................................................................... 421

IM/P2P プロトコルの設定............................................................................................................. 423

IM/P2P オプションを有効または無効にする方法.................................................... 423

プロテクションプロファイル内で IM/P2P オプションを設定する方法 .... 423

IM/P2P デコーダのログ設定を設定する方法 ............................................................. 424

古いバージョンの IM/P2P アプリケーションを設定する方法.......................... 424

サポートされていないプロトコルを設定する方法................................................. 424

統計 ........................................................................................................................................................... 425

概要の統計の表示...................................................................................................................... 425

プロトコルごとの統計の表示 ............................................................................................. 426

ユーザ ...................................................................................................................................................... 427

[Current Users] リストの表示.............................................................................................. 427

ユーザリストの表示................................................................................................................ 428

ユーザリストへの新しいユーザの追加........................................................................ 428

不明な IM ユーザのためのポリシーの設定 .................................................................. 429

ログおよびレポート.................................................................................................... 431

FortiGate ロギング ........................................................................................................................... 431

ログの重大度........................................................................................................................................ 432

ログの保存............................................................................................................................................. 433

FortiAnalyzer ユニットへのロギング ............................................................................... 434

自動発見を使用した FortiAnalyzer への接続 ............................................................... 435

FortiAnalyzer 設定のテスト ................................................................................................... 435

メモリへのロギング................................................................................................................. 436

Syslog サーバへのロギング .................................................................................................. 437

WebTrends へのロギング........................................................................................................ 438

FortiGuard ログおよび分析サーバへのロギング ....................................................... 438

高可用性クラスタロギング......................................................................................................... 439


目次

ログの種類............................................................................................................................................. 439

トラフィックログ..................................................................................................................... 440

イベントログ............................................................................................................................... 440

アンチウイルスログ................................................................................................................ 441

Web フィルタログ ..................................................................................................................... 442

攻撃ログ .......................................................................................................................................... 442

スパムフィルタログ............................................................................................................... 443

IM および P2P ログ .................................................................................................................... 443

VoIP ログ......................................................................................................................................... 443

ログアクセス....................................................................................................................................... 444

メモリに保存されたログメッセージへのアクセス ................................................ 444

ハードディスクに保存されたログメッセージへのアクセス........................... 444

FortiAnalyzer ユニットに保存されたログへのアクセス......................................... 445

FortiGuard ログおよび分析サーバ上のログへのアクセス .................................... 446

ログ情報の表示 ........................................................................................................................... 446

列の設定 .......................................................................................................................................... 447

ログメッセージのフィルタリング .................................................................................. 448

FortiGuard ログおよび分析サーバに保存されたログの削除............................... 449

コンテンツアーカイブ................................................................................................................... 450

アラートメール.................................................................................................................................. 451

アラートメールの設定........................................................................................................... 452

レポート.................................................................................................................................................. 454

基本トラフィックレポート ................................................................................................. 454

FortiAnalyzer レポート .............................................................................................................. 455

FortiAnalyzer レポートの設定............................................................................................... 456

FortiAnalyzer レポートの編集............................................................................................... 464

FortiAnalyzer レポートの印刷............................................................................................... 464

FortiGate ユニットからの FortiAnalyzer レポートの表示 .......................................... 464

部分的な FortiAnalyzer レポートの表示.......................................................................... 465

索引 ...................................................................................................................................... 467


16

目次


はじめに FortiGate ユニットの概要

F0

はじめにリアルタイムネットワーク保護を可能にするフォーティネット製品をお選びいただき、ありがとうございます。

FortiGate ASIC ベースの複合脅威セキュリティシステムは、ネットワークのパフォーマンスを低下させることなく、ネットワークセキュリティの強化、ネットワークの誤用と悪用の軽減、そして通信リソースのより効率的な活用を実現します。 FortiGate システムは、アンチウイルス、ファイアウォール、 IPSec、SSLTLS、 IPS、不正侵入検知、および AntiSpyware サービスについて ICSA の認定を取得しています。

FortiGate システムは管理の容易な専用のセキュリティ機器であり、次のようなフルスイートの機能を提供します。

• ウイルス保護、不正侵入防御、スパムフィルタリング、 Web コンテンツフィルタリング、 IM、 P2P、 VoIP フィルタリングなどの、アプリケーションレベルのサービス

• ファイアウォール、不正侵入検知、 IPSec および SSL VPN、トラフィックシェーピングなどの、ネットワークレベルのサービス

• ユーザ認証、ロギング、 FortiAnalyzer によるレポート、管理プロファイル、セキュアな Web および CLI 管理アクセス、 SNMP などの、管理サービス

FortiGate セキュリティシステムは、チップ設計、ネットワーク、セキュリティ、コンテンツ解析などにおけるブレークスルーを活用した、フォーティネットの DTPS (Dynamic Threat Prevention System) テクノロジを使用しています。このユニークな ASIC ベースのアーキテクチャによってコンテンツや動作がリアルタイムに解析されるため、重要なアプリケーションを、ネットワークの保護にも効果的なネットワークエッジにそのまま展開できます。

この章で説明する内容は次のとおりです。

• FortiGate ユニットの概要

• フォーティネット製品ファミリ

• このドキュメントについて

• FortiGate のドキュメント

• カスタマサービスおよびテクニカルサポート

FortiGate ユニットの概要

すべての FortiGate 統合脅威管理システムが、 SOHO からエンタープライズクラスまでのネットワークベースのアンチウイルス、コンテンツフィルタリング、ファイアウォール、 VPN、およびネットワークベースの不正侵入検知 / 防御機能といった同様の機能を提供します。

ortiGate バージョン 3.0 MR4 管理ガイド1-30004-0203-20070102 17

18

FortiGate ユニットの概要はじめに

FortiGate-5000 シリーズシャーシ

FortiGate-5000 シリーズセキュリティシステムは、マネージドセキュリティサービスプロバイダ (MSSP) や大規模企業が、ファイアウォール、 VPN、アンチウイルス保護、スパムフィルタリング、 Web フィルタリング、不正侵入防御 (IPS) などのサブスクライバセキュリティサービスを実現できるシャーシベースのシステムです。 FortiGate-5000 シリーズでは多様なシステム構成を採用できるため、成長を続ける高性能ネットワークの変化の激しいニーズに柔軟に対応できます。 FortiGate-5000 シリーズシャーシは、ホットスワップ可能な複数のFortiGate-5000 シリーズモジュールと電源をサポートします。こうしたモジュール型のアプローチにより、拡張性に優れた高性能および耐障害ソリューションが実現します。

FortiGate-5140 シャーシ

FortiGate-5140 ATCA シャーシの 14 のスロットに、大 14 枚の FortiGate-5000シリーズモジュールを装着できます。 FortiGate-5140 は、 -48 VDC データセンター DC 電源に接続される 2 つの冗長ホットスワッパブル DC 電源入力モジュールが搭載された 12U シャーシです。また、 FortiGate-5140 のシャーシには、 3 つのホットスワップ可能な冷却ファントレイも搭載されています。


FortiGate-5050 ATCA シャーシの 5 つのスロットに、大 5 枚の FortiGate-5000シリーズモジュールを装着できます。 FortiGate-5050 は、 -48 VDC データセンター DC 電源に接続される 2 つの冗長 DC 電源接続が搭載された 5U シャーシです。また、 FortiGate-5050 のシャーシには、ホットスワップ可能な冷却ファントレイも搭載されています。


FortiGate-5020 ATCA シャーシの 2 つのスロットに、 1 または 2 枚の FortiGate-5000 シリーズモジュールを装着できます。 FortiGate-5020 は、 AC 電源に接続される 2 つの冗長 AC-DC 電源が搭載された 4U シャーシです。また、FortiGate- 5020 のシャーシには、内蔵冷却ファントレイも搭載されています。

FAN TRAY FAN TRAYFAN TRAY

13 11 9 7 5 3 1 2 4 6 8 10 12 14

5140

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC

PWR

STAIPM

CONSOLEUSB

12

34

56

78

ACC MANAGEMENT

SYSTEM

E1

ZRE

LED MODE

1514

1312

1110

98

76

54

32

10

E2

OKCLKINTEXTFLT

HOT SWAP

RESET

FLT

CONSOLE

ETHO

RS232

ZRE0

ZRE1

ZRE2

MANAGEMENT

SYSTEM

E1

ZRE

LED MODE

1514

1312

1110

98

76

54

32

10

E2

OKCLKINTEXTFLT

HOT SWAP

RESET

FLT

CONSOLE

ETHO

RS232

ZRE0

ZRE1

ZRE2

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

PWR

ACCSTA

IPMCONSOLE

USB3

41

25

67

8

CRITICAL

RESETMAJOR

MINORUSER1

USER2USER3

5140SAP SERIAL 1 SERIAL 2 ALARM

FILTER

1 2

0 1 2

10/100link/Act

ETH0Service

RESET

STATUS

Hot Swap

link/Act

ETH0 ETH1

10/100

5000SM

10/100link/Act

ETH0Service

RESET

STATUS

Hot Swap

link/Act

ETH0 ETH1

10/100

5000SM

PSU A

PSU B

PWR IPM

USB53 4 5 6CONSOLE

STATUS

1 62

ALTON/OFFRESET

PWR IPM

USB53 4 5 6CONSOLE

STATUS

1 62

ALTON/OFFRESET

1

2

2

3

4

5

SMC

1SMC

POWER

5050SAP

SERIAL1

SERIAL2AL

ARM

10/100link/Act ET

H0Se

rvice

RESE

T

STAT

US

Hot S

wap

link/ActETH0

ETH1

10/100

5000SM

10/100link/Act ET

H0Se

rvice

RESE

T

STAT

US

Hot S

wap

link/ActETH0

ETH1

10/100

5000SM

MAN

AGEM

ENT

SYST

EM E1

ZRE

LED

MOD

E1514

1312

1110

98

76

54

32

10E2

OKCL

KIN

TEX

TFL

T

HOT S

WAP

RESE

T

FLT

CONS

OLE

E T H O R S 2 3 2 Z R E 0 Z R E 1 Z R E 2

MAN

AGEM

ENT

SYST

EM E1

ZRE

LED

MOD

E1514

1312

1110

98

76

54

32

10E2

OKCL

KIN

TEX

TFL

T

HOT S

WAP

RESE

T

FLT

CONS

OLE

E T H O R S 2 3 2 Z R E 0 Z R E 1 Z R E 2

PWR STA IPM

CONSOLE USB 1 2 3 4 5 6 7 8

ACC

PWR STA IPM

CONSOLE USB 1 2 3 4 5 6 7 8

ACC

PWR STA IPM

CONSOLE USB 1 2 3 4 5 6 7 8

ACC



FortiGate-5000 シリーズモジュールについて

各 FortiGate-5000 シリーズモジュールは、 HA クラスタの一部としても機能できるスタンドアロンのセキュリティシステムです。また、すべての FortiGate-5000シリーズモジュールがホットスワップ可能です。 FortiGate-5000 シリーズユニットはすべて、複数のギガビットインタフェース、複数のバーチャルドメイン処理能力、その他のハイエンド FortiGate 機能を備えた大容量セキュリティシステムです。

FortiGate-5005FA2 モジュール

FortiGate-5005FA2 モジュールは、 8 つのギガビットイーサネットインタフェースを装備する、独立した高性能セキュリティシステムです。これらのインタフェースのうち 2 つには、小型パケットのパフォーマンスを高速化するフォーティネットテクノロジが搭載されています。 FortiGate-5005FA2 モジュールはまた、 802.1Q VLAN や複数のバーチャルドメインを含むハイエンド機能もサポートしています。

FortiGate-5001SX モジュール

FortiGate-5001SX モジュールは、 8 つのギガビットイーサネットインタフェースを装備する、独立した高性能セキュリティシステムです。 FortiGate- 5001SXモジュールは、 802.1Q VLAN や複数のバーチャルドメインなどのハイエンド機能をサポートします。

FortiGate-5001FA2 モジュール

FortiGate-5001FA2 モジュールは、 6 つのギガビットイーサネットインタフェースを装備する、独立した高性能セキュリティシステムです。 FortiGate-5001FA2モジュールは FortiGate-5001SX モジュールに似ていますが、 FortiGate-5001FA2インタフェースのうち 2 つに小型パケットのパフォーマンスを高速化するFortinet テクノロジが搭載されている点が異なります。

FortiGate-5002FB2 モジュール

FortiGate-5002FB2 モジュールは、合計 6 つのギガビットイーサネットインタフェースを装備する、独立した高性能 FortiGate セキュリティシステムです。FortiGate- 5002FB2 インタフェースのうち 2 つには、小型パケットのパフォーマンスを高速化する Fortinet テクノロジが搭載されています。

FortiGate-3,600A

FortiGate-3600Aユニットは、大規模企業やサービスプロバイダに要求されるキャリアクラスのパフォーマンスと信頼性を提供します。このユニットは、複数の CPU と FortiASIC チップを使用して 4 Gbps のスループットを実現しており、

も要求の厳しいアプリケーションのニーズを満たします。 FortiGate-3600A ユニットには、単一障害点を小限に抑え、負荷分散機能をサポートする冗長電源が搭載されています。大容量、高信頼性、および容易な管理を特長とするFortiGate-3600A は、マネージドサービスを提供するための理想的な選択肢です。

PWR

Hi-TempEsc Enter

USBMODEM

CONSOLE

78

56

34

12

910


20


FortiGate-3600

FortiGate-3600 ユニットは、大規模企業やサービスプロバイダに要求されるキャリアクラスのパフォーマンスと信頼性を提供します。このユニットは、複数の CPU と FortiASIC チップを使用して 4 Gbps のスループットを実現しており、も要求の厳しいアプリケーションのニーズを満たします。 FortiGate-3600ユニットには、単一障害点を小限に抑え、負荷分散機能をサポートする冗長電源が搭載されています。大容量、高信頼性、および容易な管理を特長とするFortiGate-3600 は、マネージドサービスを提供するための理想的な選択肢です。

FortiGate-3000

FortiGate- 3000 ユニットは、大規模企業やサービスプロバイダに要求されるキャリアクラスのパフォーマンスと信頼性を提供します。このユニットは、複数の CPU と FortiASIC チップを使用して 3 Gbpsのスループットを発揮し、も要求の厳しいアプリケーションのニーズを満たします。 FortiGate-3000 ユニットには、単一障害点を小限に抑え、サービスの中断なく負荷分散機能や冗長フェールオーバーをサポートする冗長電源が搭載されています。大容量、高信頼性、および容易な管理を特長とする FortiGate-3000は、マネージドサービスを提供するための理想的な選択肢です。

FortiGate-1000A

FortiGate- 1000A セキュリティシステムは、も要求の厳しい大規模企業やサービスプロバイダ向けの高性能ソリューションです。 FortiGate-1000Aは、 FortiGuard Distribution Network による FortiGuard セキュリティサブスクリプションサービスで自動的に新の情報を維持することによって、新のウイルス、ワーム、トロイ、その他の脅威に対する保護を 24 時間体制で保証します。FortiGate-1000A は、スパイウェア、フィッシング、ファーミングといった ID 窃盗方法を含む、 IM、 P2P、 VOIP などの新たに登場したテクノロジに迅速に適応する柔軟なアーキテクチャを備えています。

Esc Enter

POWER

Hi-Temp 4

1 2 3

5/HA INT EXT

1 2 3 4 5/HA INTERNAL EXTERNAL

POWER

Hi-Temp

1 2 3

INT EXT4/HAEsc Enter

1 2 3 4/HA INTERNAL EXTERNAL



FortiGate-1000AFA2

FortiGate-1000AFA2セキュリティシステムは、も要求の厳しい大規模企業やサービスプロバイダ向けの高性能ソリューションです。FortiGate- 1000AFA2 は、 Fortinet の FortiAccel テクノロジを使用した追加の光ファイバポートを 2 つ備え、小型パケットのパフォーマンスが向上しています。FortiGate-1000AFA2 は、信頼性、操作性、迅速な展開、低い運用コスト、およびも重要な点として既知および未知のアノマリに対する高い検知率を実現するようにチューニングされた堅牢なセキュリティプラットフォームであり、クリティカルなセキュリティ機能を提供します。

FortiGate-1000

FortiGate-1000 ユニットは、より大規模な企業向けに設計されています。FortiGate-1000 は、複数のCPU と FortiASIC チップを使用して 2 Gbps のスループットを発揮し、も要求の厳しいアプリケーションのニーズを満たします。 FortiGate-1000 ユニットには、単一障害点を小限に抑え、サービスの中断なく負荷分散機能や冗長フェールオーバーをサポートする冗長電源が搭載されています。

FortiGate-800

FortiGate-800 は、高いスループット、合計 8 つのネットワーク接続 ( うち 4 つはユーザ定義)、VLANのサポート、およびバーチャルドメインを提供します。また、 FortiGate ユニットのクラスタが設定されている場合、 FortiGate-800 はステートフルフェールオーバー HAを提供します。 FortiGate-800 は、トップレベルのネットワークセキュリティパフォーマンスを要求する大規模企業にとって理想的な選択肢となります。

FortiGate-800F

FortiGate- 800F はFortiGate- 800 と同じ機能を提供し、なおかつ、Internal、 External、 DMZ、および HA ポートは光ファイバとなります。 FortiGate-800F はまた、ステートフルフェールオーバー HA を提供し、 RIP および OSPF ルーティングプロトコルもサポートします。 FortiGate-800F は、大規模企業が求めている、柔軟性、信頼性、および容易な管理を提供します。

USB

A2A1

CONSOLE

Esc Enter INTERNAL EXTERNAL1 2 3 4 / HA

Esc EnterCONSOLEI N T E R N A L E X T E R N A L D M Z HA 1 2 3 4 USB

8

P W R

Esc EnterCONSOLEI N T E R N A L E X T E R N A L D M Z HA 1 2 3 4 USB

800F

P W R


22


FortiGate-500A

FortiGate-500A ユニットは、大規模企業やサービスプロバイダに要求されるキャリアクラスのパフォーマンスと信頼性のレベルを提供します。 FortiGate-500A は、合計 10 のネットワーク接続 (4 ポート LAN スイッチを含む ) や、セッションロスのない自動フェールオーバーによる高可用性機能を特長とし、ミッションクリティカルなアプリケーションに適です。優れた柔軟性、高信頼性、および容易な管理を特長とする FortiGate-500A は、マネージドサービスを提供するための理想的な選択肢です。

FortiGate-500

FortiGate-500 ユニットは、より大規模な企業向けに設計されています。優れた柔軟性、高信頼性、および容易な管理を特長とするFortiGate-500 は、マネージドサービスを提供するための理想的な選択肢です。FortiGate-500 は、高可用性 (HA) をサポートしています。

FortiGate-400A

FortiGate-400A ユニットは、パフォーマンス、可用性、信頼性に対するエンタープライズクラスの要件を満たしています。FortiGate-400A はまた、高可用性 (HA) をサポートし、セッションロスのない自動フェールオーバーも備えているため、ミッションクリティカルなアプリケーションに適です。

FortiGate-400

FortiGate-400 ユニットは、より大規模な企業向けに設計されています。FortiGate-400 ユニットは、

大 500 Mbps のスループットを発揮し、セッションロスのない自動フェールオーバーなどの高可用性 (HA) をサポートしています。

FortiGate-300A

FortiGate-300A ユニットは、パフォーマンス、可用性、信頼性に対するエンタープライズクラスの要件を満たしています。FortiGate-300A はまた、高可用性 (HA) をサポートし、セッションロスのない自動フェールオーバーも備えているため、ミッションクリティカルなアプリケーションに適です。

Esc Enter

A

CONSOLE

5 6

USB LAN

1 2 3 4L1 L2 L3 L4

10/100 10/100/1000

Esc Enter

HADMZINTERNAL EXTERNAL 1 2 3 4 5 6 7 8

Esc Enter

A

CONSOLE 10/100 10/100/1000USB

1 2 3 4 5 6

4 / HA3CONSOLE 1 2Esc Enter

Esc EnterCONSOLE 10/100 10/100/1000USB

1 2 3 4 5 6



FortiGate-300

FortiGate-300 ユニットは、より大規模な企業向けに設計されています。FortiGate-300 ユニットは、セッションロスのない自動フェールオーバーなどの高可用性 (HA) を備えています。この機能により、FortiGate-300 はミッションクリティカルなアプリケーションのための優れた選択肢になっています。

FortiGate-200A

FortiGate-200A ユニットは、展開と管理が容易なソリューションであり、小規模オフィス、ホームオフィス、ブランチオフィスアプリケーションに比類のない価値とパフォーマンスを提供します。

FortiGate-200

FortiGate-200 ユニットは、小規模企業、ホームオフィス、ブランチオフィスアプリケーション向けに設計されています。 FortiGate-200ユニットは、展開と管理の容易なソリューションです。 FortiGate-200 はまた、高可用性 (HA) もサポートしています。

FortiGate-100A

FortiGate-100A ユニットは、小規模オフィス、ホームオフィス、ブランチオフィスアプリケーション向けに設計された、管理の容易なソリューションです。

FortiGate-100A は、 802.1Q VLAN、バーチャルドメイン、 RIP および OSPF ルーティングプロトコルなどの高度な機能をサポートします。

FortiGate-100

FortiGate-100 ユニットは、 SOHO、SMB、およびブランチオフィスアプリケーション向けに設計されています。

FortiGate-100 は、 802.1Q VLAN、バーチャルドメイン、高可用性 (HA)、 RIP および OSPF ルーティングプロトコルなどの高度な機能をサポートします。

Esc Enter

Esc Enter

DMZ2DMZ1INTERNAL WAN1 WAN2CONSOLE USB

1 2 3 4

A

DMZCONSOLE INTERNAL EXTERNALINTERNALPOWER STATUS EXTERNAL DMZ

INTERNALDMZ 1 4321

LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100

WAN 1 WAN 2PWR STATUS

A

DMZ 2

INTERNAL EXTERNAL DMZ POWER

STATUS


24


FortiGate-60/60M/ADSL

FortiGate-60 ユニットは、在宅勤務者、リモートオフィス、および小売店向けに設計されています。FortiGate-60 ユニットには、バックアップまたはインターネットへのスタンドアロン接続として使用できる外付けモデムポートが装備されています。これに対して FortiGate-60M ユニットには、バックアップまたはインターネットへのスタンドアロン接続としても使用できる内蔵モデムが装備されています。 FortiGate-60ADSL には、内蔵ADSL モデムが装備されています。

FortiWiFi-60/60A/60AM

FortiWiFi-60 モデルは、無線接続のためのセキュアな無線 LAN ソリューションを提供します。 FortiWiFi Antivirus Firewall 機能にモバイル性と柔軟性を兼ね備え、将来の無線テクノロジへのアップグレードも可能です。 FortiWiFi- 60 は、無線ネットワークと有線ネットワークの間の接続ポイントとして、またはスタンドアロンの無線ネットワークの中央ポイントとして機能します。

FortiGate-50B

FortiGate-50B は、在宅勤務者や、従業員 10 ～ 50 名の小規模なリモートオフィス向けに設計されています。 FortiGate-50B ユニットには、インターネットへの冗長接続のための 2 つの WAN インタフェースが装備されています。 FortiGate-50B ユニットはまた、内部ネットワーク接続のための 3 ポートスイッチも備え、他の FortiGate-50B ユニットとの HA構成をサポートします。

FortiGate-50A

FortiGate-50A ユニットは、在宅勤務者や、従業員 10 名以下の小規模なリモートオフィス向けに設計されています。FortiGate- 50 ユニットには、バックアップまたはインターネットへのスタンドアロン接続として使用できる外付けモデムポートが装備されています。

INTERNAL

DMZ4321

LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100

WAN1 WAN2PWR STATUS

INTERNAL

DMZ4321

LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100

WAN1 WAN2PWR WLAN

WAN1 WAN2

POWER STATUS

INTERNAL

321

LINK / ACT

10/100

INTERNAL EXTERNAL

LINK 100 LINK 100

PWR STATUS

A


はじめにフォーティネット製品ファミリ

フォーティネット製品ファミリ

フォーティネットは、ソフトウェアおよびハードウェアアプライアンスで構成された製品ファミリを提供し、 FortiGate 統合脅威管理システムと統合することで、メール、ロギング、レポート、ネットワーク管理、およびセキュリティを含む完全なネットワークセキュリティソリューションが実現します。フォーティネット製品ファミリの詳細については、 www.fortinet.com/products を参照してください。

FortiGuard サブスクリプションサービス

FortiGuard サブスクリプションサービスは、フォーティネットセキュリティプロフェッショナルのグローバルチームによって作成、更新、管理されているセキュリティサービスです。これにより、新の攻撃が企業リソースに害を与えたりエンドユーザのコンピューティングデバイスに感染したりする前に検出され、確実にブロックすることができます。これらのサービスは、新のセキュリティテクノロジに基づいて作成され、可能な限り小限の運用コストで機能するように設計されています。

FortiGuard サブスクリプションサービスの内容は次のとおりです。

• FortiGuard アンチウイルスサービス

• FortiGuard 不正侵入防御サブスクリプションサービス (IPS)

• FortiGuard Web フィルタリング

• FortiGuard アンチスパムサービス

• FortiGuard ログおよび分析

• FortiGuard プレミアサービス

また、 FortiGuard Center から、オンラインウイルススキャナやウイルスエンサイクロペディアも参照できます。

FortiAnalyzer

FortiAnalyzer は、攻撃や脆弱性に対するネットワークの適な保護とセキュリティを可能にするために必要な情報をネットワーク管理者に提供します。FortiAnalyzer には、次のような機能があります。

• FortiGate デバイスや syslog デバイスおよび FortiClient からログを収集

• 収集されたログデータを使用して数百種類のレポートを作成

• 脆弱性スキャンとレポート

• FortiGate ユニットから検疫されたファイルを格納

FortiAnalyzer ユニットはまた、ファイアウォールが使用されていないネットワークの各領域でリアルタイムトラフィックをキャプチャするネットワークアナライザとしても設定できます。さらに、 FortiAnalyzer ハードディスクに保存されているレポートやログを含むファイルにユーザがアクセスしたり共有したりできる NAS としても使用できます。

FortiClient

FortiClient Host Security ソフトウェアは、も一般的な Microsoft Windows オペレーティングシステムを実行しているデスクトップとラップトップの両方のユーザにセキュアなコンピューティング環境を提供します。 FortiClient は、次のような多くの機能を提供します。

• リモートネットワークへの VPN 接続の作成


http://www.fortinet.com/products

http://www.fortinet.com/FortiGuardCenter/

http://www.fortinet.com/FortiGuardCenter/antivirus/virus_scanner.html

http://www.fortinet.com/VirusEncyclopedia/pages/encysearch.jsp


26

フォーティネット製品ファミリはじめに

• ウイルスに対するリアルタイム保護の設定

• Windows レジストリの変更に対する保護

• ウイルススキャン

FortiClient ではサイレントインストール機能もサポートされているため、管理者は構成済みの設定を使用して FortiClient を複数のユーザのコンピュータに効率的に配布できます。

FortiManager

FortiManager は、分散した多数の FortiGate インストール環境全体にわたってセキュリティポリシーを確立、維持する必要のある大規模企業 ( マネージドセキュリティサービスプロバイダを含む ) のニーズを満たします。 FortiManager を使用すると、複数の FortiGate デバイスを設定し、その状態を監視することができます。また、 FortiGate デバイスのリアルタイムおよび履歴ログを表示することができます。 FortiManager は、サードパーティシステムとの容易な統合など、使いやすさを特長としています。

FortiBridge

FortiBridge 製品は、 FortiGate ユニットをトランスペアレントモードで稼動させている企業組織に、電源異常や FortiGate システムの障害が発生した場合でも間断ないネットワークトラフィックフローを持続するように設計されています。FortiBridge ユニットは FortiGate ユニットを迂回して、ネットワークが引き続きトラフィックを処理できるようにします。 FortiBridge 製品は、電源異常やFortiGate システムの障害が発生した場合にカスタマイズ可能なアクションをFortiBridge ユニットが実行するなど、使用と展開が容易に行えます。

FortiMail

FortiMail は、送受信双方向の電子メールトラフィックに対する強力かつ柔軟なヒューリスティックスキャンおよびレポート機能を提供します。 FortiMail ユニットは、悪意ある添付ファイルやスパムを検出およびブロックするため、FortiGuard アンチスパム / アンチウイルスがサポートしているヒューリスティックスキャン、グレーリスティングと Bayesian スキャンなどの信頼性に優れた高性能な機能を備えています。受賞実績を誇るフォーティネットの FortiOS およびFortiASIC テクノロジをベースに構築されている FortiMail アンチウイルステクノロジは、フルコンテンツ検査機能が拡張され、も先進の電子メール脅威を検知できるようになっています。

FortiReporter

FortiReporter Security Analyzer ソフトウェアは理解の容易なレポートを生成し、任意の FortiGate ユニットやサードパーティベンダが提供する 30 種以上のネットワークおよびセキュリティデバイスからログを収集できます。 FortiReporterは、ネットワークの悪用の特定、帯域要件の管理、 Web の使用状況の監視などを実行し、従業員がオフィスネットワークを適切に使用していることを保証します。 FortiReporter を使用すれば、 IT 管理者は攻撃を識別してそれに対処したり、あるいはセキュリティ脅威が発生する前にネットワークをセキュリティ保護する方法を見つけたりすることが可能になります。


はじめにこのドキュメントについて

このドキュメントについて

この FortiGate バージョン 3.0 MR4 管理ガイドでは、FortiGate ｪ Web ベースマネージャのオプションに関する詳細情報と、それらの使用方法について説明します。また、このガイドには、 FortiGate CLI に関する情報もいくつか含まれています。

この管理ガイドでは、 Web ベースマネージャの機能を、 Web ベースマネージャメニューと同じ順序で説明します。このドキュメントの初には、 FortiGate Webベースマネージャの一般的な説明と、 FortiGate バーチャルドメインの説明の章が置かれています。これらの章に続いて、 [System] メニュー、 [Router] メニュー、 [Firewall] メニュー、および [VPN] メニュー内の各項目に個別の章が割り当てられています。次に、ユーザ、アンチウイルス、不正侵入防御、 Web フィルタ、アンチスパム、 IM/P2P、およびログとレポートが、すべて単独の章で説明されています。このドキュメントの後には、詳細な索引が付いています。

このドキュメントの新バージョンは、「Fortinet テクニカルドキュメント」 Web サイトの「FortiGate」ページから入手できます。このドキュメントの情報は、FortiGateWeb ベースマネージャオンラインヘルプにも別の形式で記載されています。

FortiOS v3.0 に関する情報は、「Fortinet テクニカルドキュメント」 Web サイトの「FortiGate」ページ、または Fortinet Knowledge Center から入手できます。

この管理ガイドは以下の章で構成されています。

• Web ベースマネージャでは、FortiGate Web ベースマネージャの機能について紹介した後、 FortiGate ユニットを登録する方法、および Web ベースマネージャオンラインヘルプを使用する方法について説明します。

• システム - ステータスでは、 FortiGate ユニットのダッシュボードである [ システム－ステータス ] ページについて説明します。シリアル番号、アップタイム、 FortiGuard ライセンス情報、システムリソースの使用方法、警告メッセージ、ネットワーク統計などの、 FortiGate ユニットの現在のシステム状態を一目でわかるように表示できます。また、ユニットのファームウェア、ホスト名、システム時刻の変更などの、ユーザが実行できる状態変更についても説明します。

• バーチャルドメインの使用では、バーチャルドメインを使用して FortiGate ユニットを複数の仮想 FortiGate ユニットとして動作させ、複数のネットワークに個別のファイアウォールおよびルーティングサービスを提供する方法について説明します。

• システム - ネットワークでは、 FortiGate ユニットで物理インタフェース、仮想インタフェース、および DNS を設定する方法について説明します。

• システム - 無線では、FortiWiFi-60 ユニットで無線 LAN インタフェースを設定する方法について説明します。

• システム - DHCP では、FortiGate インタフェースを DHCP サーバまたは DHCPリレーエージェントとして設定する方法について説明します。

• システム - 設定では、 HA と仮想クラスタリングの設定、 SNMP と差し替えメッセージの設定、および動作モードの変更を行うための手順について説明します。

• システム管理者では、管理者アカウントの追加と編集、管理者のアクセスプロファイルの定義、 FortiManager アクセスの設定、言語、タイムアウト、 Web管理ポートなどの一般的な管理設定の定義などを行うための手順について説明します。

• システム - メンテナンスでは、管理コンピュータまたは FortiUSB デバイスを使用してシステム設定をバックアップおよび復元する方法、 FortiGuard サービスと FortiGuard Distribution Network (FDN) の更新を可能にする方法、およびバーチャルドメインの大数を増やすためにライセンスキーを入力する方法について詳しく説明します。


http://docs.forticare.com

http://docs.forticare.com/fgt.html



http://kc.forticare.com

28

このドキュメントについてはじめに

• システム - シャーシ (FortiGate-5000 シリーズ ) では、 FortiGate-5140 またはFortiGate-5050 のシャーシ内のすべてのハードウェアコンポーネントに関して、システムシャーシの Web ベースマネージャのページに表示される情報について説明します。

• ルータ - スタティックでは、スタティックルートの定義、およびルートポリシーの作成を行う方法について説明します。パケットは、スタティックルートによって、工場出荷時に設定されているデフォルトゲートウェイ以外の宛先へと転送されます。

• ルータ - ダイナミックでは、大規模または複雑なネットワークを介してトラフィックをルーティングするためにダイナミックプロトコルを設定する方法について説明します。

• ルータ - モニタでは、 [Routing Monitor] リストを解釈する方法について説明します。このリストには、 FortiGate ルーティングテーブル内のエントリが表示されます。

• ファイアウォール - ポリシーでは、 FortiGate インタフェース、ゾーン、および VLAN サブインタフェースの間の接続とトラフィックを制御するためにファイアウォールポリシーを追加する方法について説明します。

• ファイアウォール - アドレスでは、ファイアウォールポリシーのアドレスおよびアドレスグループを設定する方法について説明します。

• ファイアウォール - サービスでは、使用可能なサービスと、ファイアウォールポリシーのサービスグループを設定する方法について説明します。

• ファイアウォール - スケジュールでは、ファイアウォールポリシーのワンタイムスケジュールと繰り返しスケジュールを設定する方法について説明します。

• ファイアウォール - 仮想 IP では、仮想 IP アドレスと IP プールを設定および使用する方法について説明します。

• ファイアウォール - プロテクションプロファイルでは、ファイアウォールポリシーの保護プロファイルを設定する方法について説明します。

• VPN - IPSEC では、 Web ベースマネージャから使用可能な、トンネルモードおよびルートベース ( インタフェースモード ) の IPSec (Internet Protocol Security) VPN オプションについて説明します。

• VPN - PPTP では、 Web ベースマネージャを使用して、 PPTP クライアントのIP アドレスの範囲を指定する方法について説明します。

• VPN - SSL では、基本的な SSL VPN 設定について説明します。

• VPN - 証明書では、 X.509 セキュリティ証明書を管理する方法について説明します。

• ユーザでは、ユーザ認証を介してネットワークリソースへのアクセスを制御する方法について詳しく説明します。

• アンチウイルスでは、ファイアウォール保護プロファイルの作成時にアンチウイルスオプションを有効にする方法について説明します。

• 不正侵入防御では、ファイアウォール保護プロファイルの作成時に IPS オプションを設定する方法について説明します。

• Web フィルタでは、ファイアウォール保護プロファイルの作成時に Web フィルタオプションを設定する方法について説明します。

• アンチスパムでは、ファイアウォール保護プロファイルの作成時にスパムフィルタオプションを設定する方法について説明します。

• IM、 P2P、および VoIP では、ファイアウォール保護プロファイルの作成時にIM、 P2P、および VoIP オプションを設定する方法について説明します。 IM、P2P、および VoIP 統計を表示すると、これらのプロトコルがネットワーク内でどのように使用されているかを調べることができます。


はじめに FortiGate のドキュメント

• ログおよびレポートでは、ロギングを有効にしたり、ログファイルを表示したり、 Web ベースマネージャから使用可能な基本的なレポートを表示したりする方法について説明します。

ドキュメントの規則

このガイドでは、次のドキュメント規則を使用します。

• 例では、プライベート IP アドレスがプライベート IP アドレスとパブリック IPアドレスの両方に使用されています。

• 重要な情報を提供するために、次の注記と注意が使用されています。

表記規則

フォーティネットのドキュメントでは、次の表記規則を使用します。

FortiGate のドキュメント

フォーティネット製品ドキュメントの新版および以前のリリースは、「フォーティネットテクニカルドキュメント」 Web サイト (http://docs.forticare.com) から入手できます。

次の FortiGate 製品ドキュメントが入手可能です。

注記 : 役立つ追加情報をハイライトします。

! 注意 : データの損失や装置への損傷などの、予期しない結果または望ましくない結果を発生させる恐れのあるコマンドまたは手順について警告します。

規則例

メニューコマンド [VPN]、[IPSEC]、[Phase 1] の順に選択し、 [Create New] を選択します。

キーボード入力 [Gateway Name] フィールドに、リモートの VPN ピアまたはクライアントの名前 ( たとえば、「Central_Office_1」 ) を入力します。

コード例 config sys globalset ips-open enable

end

CLI コマンド構文 config firewall policyedit id_integerset http_retry_count <retry_integer>set natip <address_ipv4mask>

end

ドキュメント名『FortiGate 管理ガイド』

ファイルの内容 <HTML><HEAD><TITLE> ファイアウォール認証</TITLE></HEAD><BODY><H4> このサービスを利用するには、認証を行わなければなりません。 </H4>

プログラム出力 Welcome!

変数 <address_ipv4>




30

FortiGate のドキュメントはじめに

• 『FortiGate クイックスタートガイド』

FortiGate ユニットの接続およびインストールに関する基本的な情報を提供します。

• 『FortiGate インストールガイド』

FortiGate ユニットをインストールする方法について説明します。ハードウェアリファレンス、デフォルトの設定情報、インストール手順、接続手順、および基本的な設定手順が含まれています。製品のモデル番号に対応したガイドを選択してください。

• 『FortiGate 管理ガイド』

FortiGate ユニットを設定する方法に関する基本的な情報を提供します。FortiGate の保護プロファイルやファイアウォールポリシーを定義する方法、不正侵入防御、アンチウイルス保護、 Web コンテンツフィルタリング、およびスパムフィルタリングを適用する方法、 VPN を設定する方法などが含まれます。

• 『FortiGate オンラインヘルプ』

HTML 形式の『管理ガイド』の状況依存および検索可能なバージョンを提供します。オンラインヘルプには、作業中に Web ベースマネージャからアクセスできます。

• 『FortiGate CLI リファレンス』

FortiGate CLI を使用する方法について説明しており、すべての FortiGate CLIコマンドへのリファレンスが含まれています。

• 『FortiGate ログメッセージリファレンス』

『FortiGate ログメッセージリファレンス』は、 Fortinet Knowledge Center からのみ使用可能であり、 FortiGate ログメッセージの構造を説明し、 FortiGate ユニットによって生成されるログメッセージに関する情報を提供しています。

• 『FortiGate 高可用性の概要』および『FortiGate 高可用性ユーザガイド』

これらのドキュメントには、 FortiGate 高可用性 (HA) 機能と FortiGate クラスタリングプロトコルに関する詳細な情報が含まれています。

• 『FortiGate IPS ユーザガイド』

FortiGate 不正侵入防御システムを設定する方法、およびいくつかの一般的な攻撃が FortiGate IPS によってどのように処理されるかについて説明します。

• 『FortiGate IPSec VPN ユーザガイド』

Web ベースマネージャを使用して IPSec VPN を設定するための手順を提供します。

• 『FortiGate SSL VPN ユーザガイド』

FortiGate IPSec VPN と FortiGate SSL VPN のテクノロジを比較し、 Web ベースマネージャを使用してリモートユーザの Web のみモードとトンネルモードの SSL VPN アクセスを設定する方法について説明します。

• 『FortiGate PPTP VPN ユーザガイド』

Web ベースマネージャを使用して PPTP VPN を設定する方法について説明します。


http://kc.forticare.com/default.asp?id=895

http://kc.forticare.com/

はじめにカスタマサービスおよびテクニカルサポート

• 『FortiGate 証明書管理ユーザガイド』

証明書要求の生成を含むデジタル証明書の管理、署名済み証明書のインストール、 CA ルート証明書と証明書失効リストのインポート、およびインストールされた証明書と秘密キーのバックアップと復元を行うための手順が含まれています。

• 『FortiGate VLAN および VDOM ユーザガイド』

NAT/ ルートモードとトランスペアレントモードの両方で VLAN およびVDOM を設定する方法について説明します。詳細な例が含まれています。

フォーティネットツールおよびドキュメント CD

お使いのフォーティネット製品に付属するフォーティネットツールおよびドキュメント CD から、すべてのフォーティネットドキュメントにアクセスできます。この CD に収録されているドキュメントは、お使いの製品に対応した出荷時点の新版です。すべてのフォーティネットドキュメントの新版については、「フォーティネットテクニカルドキュメント」 Web サイト (http://docs.forticare.com) を参照してください。

Fortinet Knowledge Center

追加のフォーティネットテクニカルドキュメントは、 Fortinet Knowledge Centerから入手できます。 Knowledge Center には、トラブルシューティングの記事やハウツー記事、 FAQ、テクニカルノート、その他が含まれています。 Fortinet Knowledge Center (http://kc.forticare.com) にアクセスしてください。

フォーティネットテクニカルドキュメントに関するコメント

このドキュメントやその他のフォーティネットテクニカルドキュメントに誤りまたは脱落がありましたら、 [email protected] までお知らせください。

カスタマサービスおよびテクニカルサポート

フォーティネットテクニカルサポートは、お使いのフォーティネットシステムの迅速なインストール、容易な設定、およびネットワーク内での確実な動作を支援するサービスを提供しています。

フォーティネットが提供しているテクニカルサポートサービスの詳細については、フォーティネットテクニカルサポート Web サイト (http://support.fortinet.com) を参照してください。




http://support.fortinet.com

32

カスタマサービスおよびテクニカルサポートはじめに


Web ベースマネージャ

F0

Web ベースマネージャこの項では、 FortiGate ユニットの Web ベースマネージャの使いやすい管理インタフェースの機能について説明します。

Web ブラウザを実行している任意のコンピュータから HTTP 接続またはセキュアな HTTPS 接続を介して、 FortiGate ユニットを設定および管理できます。 Webベースマネージャは、複数の言語をサポートしています。 FortiGate ユニットは、任意の FortiGate インタフェースから HTTP および HTTPS 接続を介して管理できるように設定できます。

図 1: FortiGate-5001SX Web ベースマネージャのダッシュボードの例

Web ベースマネージャを使用すると、ほとんどの FortiGate 設定を行ったり、FortiGate ユニットの状態を監視したりすることができます。 Web ベースマネージャで行われた設定変更は直ちに有効になり、ファイアウォールをリセットしたりサービスを中断したりする必要はありません。設定が完了したら、その設定をバックアップできます。保存された設定は、いつでも復元できます。

この項には以下のトピックが含まれています。

• ボタンバーの機能


34

ボタンバーの機能 Web ベースマネージャ

• Web ベースマネージャページ

ボタンバーの機能

Web ベースマネージャの右上に表示されるボタンバーから、いくつかの重要なFortiGate 機能にアクセスできます。

図 2: Web ベースマネージャのボタンバー

カスタマサポートへの接続

[ カスタマサポートへの接続 ] ボタンを押すと、新しいブラウザウィンドウが開いて「Fortinet Support」 Web ページが表示されます。このページからは、次の操作を行うことができます。

• Fortinet Knowledge Center にアクセスする。

• カスタマサポートにログインする (Support Login)。

• FortiGate ユニットを登録する (Product Registration)。

• Fortinet Training and Certification について検索する。

• FortiGuard Center にアクセスする。

FortiGate ユニットを登録するには、「Product Registration」にアクセスしてその指示に従います。

カスタマサポートへの接続

オンラインヘルプ

ログアウト


https://support.fortinet.com

http://kc.forticare.com/

https://support.fortinet.com/Login/UserRegistration.aspx

http://www.fortinet.com/support/training.html

http://www.fortinet.com/FortiGuardCenter/


Web ベースマネージャボタンバーの機能

オンラインヘルプの使用

[ オンラインヘルプ ] ボタンを押すと、現在の Web ベースマネージャページに関するオンラインヘルプが表示されます。表示されるオンラインヘルプページには、現在の Web ベースマネージャページの操作に関する情報と手順が記載されています。また、ほとんどのヘルプページに、関連するトピックへのハイパーリンクも含まれています。オンラインヘルプシステムには、追加情報の検索に使用できるコントロールもいくつか含まれています。

図 3: 「システムステータスの表示」に関するオンラインヘルプページ

[ ナビゲーションの表示 ] ボタンを押して、オンラインヘルプナビゲーションウィンドウを表示します。

図 4: ナビゲーションウィンドウを含むオンラインヘルプページ

[ ナビゲーションの表示 ]

オンラインヘルプナビゲーションウィンドウを開きます。ナビゲーションウィンドウから、オンラインヘルプの目次、索引、および検索を使用して、オンラインヘルプ内のすべての情報にアクセスできます。オンラインヘルプは、 FortiGate Web ベースマネージャおよび『FortiGate 管理ガイド』と同じように構成されています。

[ 前のページ ] オンラインヘルプ内の前のページを表示します。

[ 次のページ ] オンラインヘルプ内の次のページを表示します。

[ 電子メール ] Fortinet Technical Documentation ([email protected]) に電子メールを送信します。この電子メールアドレスを使用して、オンラインヘルプをはじめ任意のフォーティネットテクニカルドキュメント製品に関するコメントまたは修正項目があるかどうかをお知らせいただくことができます。

[ 印刷 ] 現在のオンラインヘルプページを印刷します。

[ ブックマーク ] このオンラインヘルプページのエントリを、ブラウザのブックマークまたはお気に入りリストに追加します。このボタンを使用すると、有用なオンラインヘルプページの検索が容易になります。 Windows XP とサービスパック 2 がインストールされている管理 PC 上の Internet Explorer からオンラインヘルプを表示している場合、 [ ブックマーク ] アイコンを使用してお気に入りリストにエントリを追加することはできません。

ナビゲーションの表示

電子メール前のページ

次のページ印刷

ブックマーク

目次検索索引目次の表示



36

ボタンバーの機能 Web ベースマネージャ

オンラインヘルプの検索について

オンラインヘルプの検索を使用して、 FortiGate オンラインヘルプシステムのテキスト全体の中から 1 つの単語または複数の単語を検索できます。検索については、次の点に注意してください。

• 複数の単語を検索すると、入力したすべての単語を含むヘルプページが検索されます。入力した単語のいずれかだけを含むヘルプページは検索されません。

• 検索で見つかったヘルプページは、関連性の順番にランク付けされます。ランク付けが高ければ高いほど、そのヘルプページに検索対象の 1 つまたは複数の単語に関する有用な情報や詳細な情報が含まれている可能性が高くなります。ヘルプページのタイトルに 1 つ以上の検索単語が含まれているヘルプページには、も高いランクが付けられます。

• 検索のワイルドカード文字としてアスタリスク (*) を使用して、任意の数の文字を置き換えることができます。たとえば、 auth* を検索すると、 auth、authenticate、 authentication、 authenticates などを含むヘルプページが検索されます。

• 場合によっては、検索で完全一致しか見つからないことがあります。たとえば、 windows を検索した場合は、 window という単語を含むページが検索されない可能性があります。ワイルドカード * を使用すれば ( たとえば、window* を検索する )、この事態を回避できます。

ヘルプシステム内を検索するには

1 任意のWebベースマネージャページから、オンラインヘルプボタンを選択します。

2 [ ナビゲーションの表示 ] ボタンを押して、オンラインヘルプナビゲーションウィンドウを表示します。

3 [ 検索 ] ボタンをクリックします。

4 検索フィールドに検索対象の 1 つ以上の単語を入力し、 Enter キーを押すか、または [Go] を選択します。

検索ウィンドウに、入力した 1 つまたは複数の単語を含むすべてのオンラインヘルプページの名前のリストが表示されます。リストから名前を選択して、そのヘルプページを表示します。

キーボードを使用したオンラインヘルプ内の移動

表 1 のキーボードショートカットを使用して、オンラインヘルプ内の情報を表示したり、検索したりすることができます。

[ 目次 ] オンラインヘルプの目次を表示します。目次内を移動して、オンラインヘルプ内の情報を検索できます。オンラインヘルプは、 FortiGate Webベースマネージャおよび『FortiGate 管理ガイド』と同じように構成されています。

[ 索引 ] オンラインヘルプの索引を表示します。索引を使用して、オンラインヘルプ内の情報を検索できます。

[ 検索 ] オンラインヘルプの検索を表示します。オンラインヘルプ内の情報を検索する方法については、 36 ページの「オンラインヘルプの検索について」を参照してください。

[ 目次の表示 ] 索引、検索、またはハイパーリンクを使用してオンラインヘルプ内の情報を検索した場合、目次が表示されないか、または目次と現在のヘルプページの同期がとれていない可能性があります。 [ 目次の表示 ] を選択すると、目次を表示して現在のヘルプページの場所を示すことができます。



Web ベースマネージャ Web ベースマネージャページ

ログアウト

[ ログアウト ] ボタンを押すと、 Web ベースマネージャから直ちにログアウトされます。ブラウザウィンドウを閉じる前に必ずログアウトしてください。ログアウトせずにブラウザを閉じたり Web ベースマネージャを終了したりすると、アイドルタイムアウト ( デフォルトは 5 分 ) が経過するまでログインしたままになります。

Web ベースマネージャページ

Web ベースマネージャのインタフェースは、 1 つのメニューと複数のページで構成され、多くのページに複数のタブが用意されています。メニュー項目 ( たとえば [System]) を選択すると、そのメニュー項目が展開され、サブメニューが表示されます。サブメニュー項目の 1 つを選択すると、関連付けられたページが初のタブに表示されます。別のタブを表示するには、そのタブを選択します。

このマニュアルの手順に従って、次のようにメニュー項目、サブメニュー項目、およびタブを指定するとページが表示されます。

1 [System]、[Network]、[Interface] の順に選択します。

表 1: オンラインヘルプナビゲーションキー

キー機能

Alt+1 目次を表示します。

Alt+2 索引を表示します。

Alt+3 [Search] タブを表示します。

Alt+4 前のページに移動します。

Alt+5 次のページに移動します。

Alt+7 Fortinet Technical Documentation ([email protected]) に電子メールを送信します。この電子メールアドレスを使用して、オンラインヘルプをはじめ任意のフォーティネットテクニカルドキュメント製品に関するコメントまたは修正項目があるかどうかをお知らせいただくことができます。

Alt+8 現在のオンラインヘルプページを印刷します。

Alt+9 このオンラインヘルプページのエントリを、ブラウザのブックマークまたはお気に入りリストに追加します。このボタンを使用すると、有用なオンラインヘルプページの検索が容易になります。


38

Web ベースマネージャページ Web ベースマネージャ

図 5: Web ベースマネージャの各部分 (FortiGate-50B の場合 )

Web ベースマネージャメニュー

このメニューから、 FortiGate ユニットのすべての主要な機能に対する設定オプションへアクセスできます。

タブ

メニュー

ページボタンバー

[System] ネットワークインタフェース、バーチャルドメイン、 DHCP サービス、高可用性 (HA)、システム時刻、システムオプションなどのシステム機能を設定します。

[Router] FortiGate のスタティックルーティングやダイナミックルーティングを設定します。

[Firewall] ネットワーク保護機能に適用されるファイアウォールポリシーや保護プロファイルを設定します。また、仮想 IP アドレスや IP プールも設定します。

[VPN] IPSec、SSL、および PPTP 仮想プライベートネットワークを設定します。

[User] ユーザ認証が必要なファイアウォールポリシーで使用するユーザアカウントを設定します。また、 RADIUS、 LDAP、 Windows AD などの外部の認証サーバも設定します。

[AntiVirus] アンチウイルス保護を設定します。

[Intrusion Protection]

FortiGate 不正侵入防御システム (IPS) を設定します。

[Web Filter] Web フィルタリングを設定します。

[AntiSpam] 電子メールのスパムフィルタリングを設定します。

[IM, P2P & VoIP] インターネットメッセージング、ピアツーピアメッセージング、および VoIP (Voice over IP) トラフィックの監視および制御を設定します。

[Log & Report] ロギング、アラートメール、および FortiGuard ログおよび分析を設定します。ログメッセージやログレポートを表示します。 FortiAnalyzerに接続して、ログメッセージやログレポートを表示します。 FortiGuardログおよび分析によって格納されたログメッセージを表示します。


Web ベースマネージャ Web ベースマネージャページ

リスト

Web ベースマネージャのページの多くは、リスト表示になっています。ネットワークインタフェース、ファイアウォールポリシー、管理者、ユーザなどのリストがあります。

図 6: Web ベースマネージャのリストの例

リストには、各項目に関するいくつかの情報が表示されます。また、右端の列にあるアイコンを使用すると、各項目を操作できます。この例では、削除ボタンをクリックして項目を削除したり、編集ボタンをクリックして項目を変更したりすることができます。

リストに別の項目を追加するには、 [Create New] ボタンをクリックします。それによって、新しい項目を定義するためのダイアログボックスが表示されます。新しい項目を作成するためのダイアログボックスは、既存の項目を編集するためのダイアログボックスとほぼ同じです。

アイコン

Web ベースマネージャには、ボタンの他に、システムと対話できるアイコンが用意されています。各アイコンの機能の理解に役立つツールヒントがあります。アイコンの上にマウスポインタをしばらく置くと、ツールヒントが表示されます。表 2 は、 Web ベースマネージャで使用できるアイコンです。

編集削除

表 2: Web ベースマネージャのアイコン

アイコン名称説明

[Change Password]

管理者パスワードを変更します。このアイコンは、アクセスプロファイルで管理者に書き込み権限を許可できるように設定されている場合に、 [Administrators] リストに表示されます。

[Clear] ログファイルをクリアします。

[Collapse] このセクションを折りたたんで、いくつかのフィールドを非表示にします。このアイコンは、一部のダイアログボックスや一部のリストで使用されます。

[Column Settings]

表示する列を選択します。このアイコンは、特に [Log Access] および [Firewall Policy] リストで使用されます。

[Delete] 項目を削除します。このアイコンがリストに表示されるのは、その項目が削除可能であり、かつユーザがそのページに対する書き込み権限を持っている場合です。

[Description] このアイコンのツールヒントには、このテーブルエントリの [Description] フィールドが表示されます。

[Download or Backup]

ログファイルをダウンロードするか、または設定ファイルをバックアップします。


40

Web ベースマネージャページ Web ベースマネージャ

[Download] 証明書署名要求をダウンロードします。

[Edit] 設定を編集します。このアイコンがリストに表示されるのは、ユーザがそのページに対する書き込み権限を持っている場合です。

[Expand] このセクションを展開して、より多くのフィールドが表示されるようにします。このアイコンは、一部のダイアログボックスや一部のリストで使用されます。

[Filter] このテーブル内の 1 つ以上の列にフィルタを設定します。フィルタを指定するためのダイアログが開かれます。このアイコンは、フィルタが有効になっている列では緑色、それ以外の場合は灰色になります。

[Go] 検索を実行します。

[Insert Policy before]

現在のポリシーの前に適用する新しいポリシーを作成します。

[Move to] リスト内の項目を移動します。

[Next page] リストの次のページを表示します。

[Previous page]

リストの前のページを表示します。

[Refresh] このページに関する情報を更新します。

[Restore] ファイルから設定を復元します。

[View] 設定を表示します。このアイコンは、ユーザがそのページに対する書き込み権限を持っていない場合に、編集アイコンの代わりにリストに表示されます。

表 2: Web ベースマネージャのアイコン

アイコン名称説明


システム - ステータス [Status] ページ

F0

システム - ステータスこの項では、 FortiGate ユニットのダッシュボードである [System Status] ページについて説明します。シリアル番号、アップタイム、 FortiGuard ライセンス情報、システムリソースの使用方法、警告メッセージ、ネットワーク統計など、FortiGateユニットの現在のシステムステータスが一目でわかるように表示できます。


• [Status] ページ

• システム情報の変更

• FortiGate ファームウェアの変更

• 動作履歴の表示

• FortiGuard 定義の手動による更新

• 統計情報の表示

• トポロジビューア

[Status] ページ

FortiGate ユニットの現在の動作状態のスナップショットを見るには、 [System Status] ページ ( 別称システムダッシュボード ) を表示します。 FortiGate 管理者にアクセスプロファイルでシステム設定への読み取りアクセスが許可されていれば、システム状態情報を表示させることができます。

FortiGate ユニットが HA クラスタの一部となっている場合、 [System Status] ページには、クラスタの名前や、ホスト名を含むクラスタメンバなどの HA クラスタの基本的なステータス情報も表示されます。クラスタのより詳細なステータス情報を表示するには、 [System]、[Config]、[HA] の順に選択します。詳細については、 124 ページの「HA」を参照してください。 FortiGate モデル 50A および 50AM では、 HA は使用できません。

FortiGate 管理者にアクセスプロファイルでシステム設定への書き込みアクセスが許可されていれば、 FortiGate ユニットの情報を変更または更新できます。アクセスプロファイルについては、 157 ページの「アクセスプロファイル」を参照してください。

システムステータスの表示

Web ベースマネージャにログインすると、 [System Status] ページがデフォルトで表示されます。

[System]、[Status] の順に選択すると、 [System Status] ページをいつでも表示させることができます。

注記 : [System Status] ページを表示するには、ブラウザで Javascript がサポートされている必要があります。


42

[Status] ページシステム - ステータス

このページを表示するには、アクセスプロファイルでシステム設定への読み取りアクセスが許可されていなくてはなりません。システム設定への書き込みアクセスも許可されている場合は、システム情報を変更したり、 FortiGuard (AV および FortiGuard) の IPS 定義を更新したりすることもできます。アクセスプロファイルについては、 157 ページの「アクセスプロファイル」を参照してください。

[System Status] ページは自由にカスタマイズ可能です。表示する内容、ページ上の表示位置、およびその表示を小化または大化するかどうかを選択できます。各表示には、小化されていてもすぐに識別できるアイコンが関連付けられています。

図 7: [System Status] ページ

現在 [System Status] ページ上にない表示を追加するには、 [Add Content] を選択します。 [System Status] ページ上に各表示は 1 つしか配置できないため、すでに [System Status] ページ上にある表示はすべて灰色で表示されます。また、[Back to default] を選択して、デフォルトの [System Status] ページ設定に戻すこともできます。

特定の表示で使用可能なオプションを表示するには、その表示のタイトルバーの上にマウスを置きます。これらのオプションは、各表示ごとに多少異なっています。

図 8: 最小化された表示

表示タイトル表示する内容を示します。

拡大縮小アイコン表示を大化または小化する場合に選択します。

更新アイコン表示された情報を更新する場合に選択します。

閉じるアイコン表示を閉じる場合に選択します。閉じるかどうかの確認を求められます。

拡大縮小アイコン

更新アイコン

閉じるアイコン

表示タイトル



システム情報

図 9: FortiGate-5001 のシステム情報の例

[Serial Number] 現在の FortiGate ユニットのシリアル番号。このシリアル番号はFortiGate ユニットに固有であり、ファームウェアをアップグレードしても変わりません。

[Uptime] FortiGate ユニットが後に起動されてからの時間を、日数、時間数、および分数で表したもの。

[System Time] FortiGate ユニットの内部クロックに基づく現在の日付と時刻。この時間を変更するか、または FortiGate ユニットが NTP サーバから時間を取得するように設定するには、 [Change] を選択します。 49ページの「システム時刻の設定」を参照してください。

[Host Name] 現在の FortiGate ユニットのホスト名。FortiGate ユニットが HA モードに設定されている場合、このフィールドは表示されません。ホスト名を変更するには、 [Change] を選択します。50 ページの「FortiGate ユニットのホスト名の変更」を参照してください。

[Cluster Name] この FortiGate ユニットの HA クラスタの名前。 124 ページの「HA」を参照してください。このフィールドを表示するには、 FortiGate ユニットが HA モードで動作している必要があります。

[Cluster Members] HA クラスタ内の FortiGate ユニット。各メンバに関して、ホスト名、シリアル番号、そのユニットがクラスタ内の上位 ( マスタ ) ユニットまたは下位 ( スレーブ ) ユニットのどちらであるかといった情報が表示されます。 124 ページの「HA」を参照してください。このフィールドを表示するには、 FortiGate ユニットが、バーチャルドメインが有効になっていない HA モードで動作している必要があります。

[Virtual Cluster 1][Virtual Cluster 2]

仮想クラスタ 1 および仮想クラスタ 2 内の各 FortiGate ユニットの役割。 124 ページの「HA」を参照してください。これらのフィールドを表示するには、 FortiGate ユニットが、バーチャルドメインが有効になっている HA モードで動作している必要があります。

[Firmware Version] 現在の FortiGate ユニットにインストールされているファームウェアのバージョン。ファームウェアを変更するには、 [Update] を選択します。51 ページの「新しいファームウェアバージョンへのアップグレード」を参照してください。

[FortiClient Version] 現在ロードされている FortiClient のバージョン。管理コンピュータからこの FortiGate ユニットに新しい FortiClient ソフトウェアイメージをアップロードするには、 [Update] を選択します。FortiGate にソフトウェアをダウンロードするためのポータルが用意されており、ホストがそこから FortiClient ソフトウェアをダウンロードできるような FortiGate モデルでのみ、このフィールドが表示されます。


44


ライセンス情報

[License Information] には、FortiGate サポート契約と FortiGuard サブスクリプションのステータスが表示されます。 FortiGate ユニットは、 FortiGuard ネットワークに接続することにより、ライセンス情報のステータスインジケータを自動的に更新します。 FortiGuard サブスクリプションのステータスインジケータは、正常時は緑色ですが、 FortiGate ユニットが FortiGuard ネットワークに接続できない場合は灰色、ライセンスの有効期限が切れている場合は黄色になります。

いずれかの設定オプションを選択すると、メンテナンスページが表示されます。詳細については、 165 ページの「システム - メンテナンス」を参照してください。

図 10:ライセンス情報の例

[Operation Mode] 現在の FortiGate ユニットの動作モード。 FortiGate は、 NAT モードまたはトランスペアレントモードで動作させることができます。NAT モードとトランスペアレントモードとを切り替えるには、[Change] を選択します。 148 ページの「動作モードの変更」を参照してください。バーチャルドメインが有効になっている場合、このフィールドには、現在のバーチャルドメインの動作モードが表示されます。バーチャルドメインは、 NAT モードまたはトランスペアレントモードのどちらででも動作します。

[Virtual Domain] FortiGate ユニット上のバーチャルドメインのステータス。バーチャルドメインのステータスを変更するには、 [Enable] または [Disable] を選択します。バーチャルドメインのステータスを変更すると、セッションが終了するため、ログインし直す必要があります。詳細については、 61ページの「バーチャルドメインの使用」を参照してください。

[Current Administrators]

現在 FortiGate ユニットにログインしている管理者の数。ログインしている各管理者に関するより詳細な情報を表示するには、 [Details] を選択します。追加情報には、ユーザ名、接続の種類、接続元の IPアドレス、およびログインした時刻が含まれます。

[Support Contract] サポート契約番号と終了日。[Not Registered] が表示されている場合は、 [Register] を選択してユニットを登録してください。[Renew] が表示されている場合は、サポート契約を更新する必要があります。お近くの販売代理店にご相談ください。

[FortiGuard Subscriptions]

[AntiVirus] FortiGuard Antivirus ライセンスのバージョン、発行日、およびサービスステータス。ライセンスの期限が切れている場合は、 [Renew] を選択してライセンスを更新できます。

[AV Definitions] FortiGuard Antivirus 定義の現在インストールされているバージョン。これらの定義を手動で更新するには、 [Update] を選択します。詳細については、 53 ページの「FortiGuard AV定義の手動による更新」を参照してください。



CLI コンソール

FortiOS には、 CLI からしかアクセスできないコマンドがあります。 CLI を使用するには一般に、サードパーティの提供するプログラムを使用して telnet またはSSH で接続します。

[System Status] ページには、フル機能の CLI コンソールが含まれています。コンソールを使用するには、その中をクリックします。すると、現在 GUI で使用しているアカウントで CLI に自動的にログインされます。 CLI コンソールのデフォルトビューをサイズ変更したり、移動したりすることはできません。 CLI コンソールからテキストをカット & ペーストすることは可能です。

図 11: CLI コンソール

CLI コンソールウィンドウには、カスタマイズアイコンとデタッチコントロールの 2 つのコントロールがあります。

デタッチコントロールは、 CLI コンソールを、自由にサイズ変更したり画面上の位置を変更したりできる独立したウィンドウに移動します。デタッチされた CLIコンソールには、カスタマイズとアタッチの 2 つのコントロールがあります。カスタマイズはすでに説明したとおりです。アタッチは、デタッチの逆で、 CLI コンソールを [System Status] ページの元の場所に戻します。

カスタマイズアイコンを使えば、テキストと背景のフォントや色を変えることができ、コンソールの外観を変更できます。

[Intrusion Protection] FortiGuard 不正侵入防御ライセンスのバージョン、発行日、およびサービスステータス。ライセンスの期限が切れている場合は、 [Renew] を選択してライセンスを更新できます。

[IPS Definitions] 不正侵入防御システム (IPS) 攻撃定義の現在インストールされているバージョン。これらの定義を手動で更新するには、[Update] を選択します。詳細については、 54 ページの「FortiGuard IPS定義の手動による更新」を参照してください。

[Web Filtering] FortiGuard Web フィルタリングライセンスの種類、終了日、およびサービスステータス。ライセンスの期限が切れている場合は、 [Renew] を選択してライセンスを更新できます。

[Antispam] FortiGuard Antispam ライセンスの種類、終了日、およびサービスステータス。ライセンスの期限が切れている場合は、 [Renew] を選択してライセンスを更新できます。

[Log & Analysis] FortiGuard Log & Analysis ライセンスの種類、終了日、およびサービスステータス。

[Virtual Domain] ユニットでサポートされているバーチャルドメインの数。FortiGate モデル 3000 以上の場合は、 [Purchase More] リンクを選択して Fortinet サポートからライセンスキーを購入することにより、 VDOM の大数を増やすことができます。180 ページの「ライセンス」を参照してください。

カスタマイズアイコン


46


図 12: CLI コンソールウィンドウのカスタマイズ

システムリソース

[System Status] ページに表示されていないシステムリソースはすべて、[History] アイコンを選択することでグラフとして表示できます。

図 13: システムリソースの例

[Preview] 変更がCLIコンソール上でどのように反映されるのかを表示します。

[Text] CLI コンソール内のテキストの色を変更するには、このコントロールを選択した後、右にあるカラーマトリックスから色を選択します。

[Background] CLI コンソール内の背景の色を変更するには、このコントロールを選択した後、右にあるカラーマトリックスから色を選択します。

[Use external command input box]

ウィンドウの外に置かれたコマンドボックスからの入力を許可する場合に選択します。

[Console buffer length] コンソールバッファでメモリ内に保持する行数を選択します。有効な数値は、 20 ～ 9999 です。

[Font] リストからフォントを選択します。

[Size] フォントのサイズを選択します。デフォルトのサイズは 10 です。

[Reset defaults] デフォルトの設定に戻し、変更をすべて破棄する場合に選択します。

[OK] 変更を保存して、 CLI コンソールに戻る場合に選択します。

[Cancel] 変更を破棄して、 CLI コンソールに戻る場合に選択します。

[History]



インタフェースステータス

FortiGate ユニットのフロントパネルの図には、イーサネットインタフェースのステータスが表示されます。ネットワークインタフェースが緑色になっている場合、そのインタフェースは接続されています。インタフェースの上にマウスポインタを置くと、 IP アドレス、ネットマスク、およびインタフェースの現在のステータスが表示されます。

[Reboot] または [ShutDown] を選択すると、ウィンドウが開き、システムイベントの理由を入力することができます。入力した理由は、ディスクイベントログに追加されます。あらかじめ CLI で、ディスクロギングを有効にしておく必要があります。イベントロギングで管理イベントを有効にする必要があります。イベントロギングの詳細については、 440 ページの「イベントログ」を参照してください。

図 14: FortiGate-800 のインタフェースステータスの例 (FortiAnalyzer がない場合 )

[History] アイコン CPU、メモリ、セッション、およびネットワークの新の 1 分間の使用率をグラフィカルに表示します。このページにはまた、新の 20 時間のウイルスおよび不正侵入検知も表示されます。詳細については、 52 ページの「動作履歴の表示」を参照してください。

[CPU Usage] ダイヤルゲージおよびパーセンテージとして表示された現在のCPU ステータス。Web ベースマネージャには、コアプロセスの CPU 使用率のみが表示されます。管理プロセス ( たとえば、 Web ベースマネージャへの HTTPS 接続 ) が使う CPU 使用率は除外されます。

[Memory Usage] ダイヤルゲージおよびパーセンテージ表示された現在のメモリステータス。Web ベースマネージャには、コアプロセスのみのメモリ使用率が表示されます。管理プロセス ( たとえば、 Web ベースマネージャへの HTTPS 接続 ) のメモリ使用率は除外されます。

[FortiAnalyzer Disk Quota]

円グラフとパーセンテージで表示される、 FortiGate ユニットが使用している FortiAnalyzer ディスククォータの現在のステータス。FortiAnalyzer ユニットへのロギングを設定している場合にのみ表示されます。

[INT / EXT / DMZ / HA / 1 / 2 / 3 / 4]

FortiGate ユニット上のポート。これらのポートの名前と数は、ご使用のユニットによって異なります。ポート名の下のアイコンは、色で各ポートのステータスを示します。緑色はポートが接続されていることを、灰色は接続されていないことを示しています。ポートの設定の詳細を表示するには、そのポートのアイコンの上にマウスを置きます。インタフェースのフルネーム、 IP アドレスとネットマスク、リンクのステータス、インタフェースの速度、および送受信されたパケットの数が表示されます。

[FortiAnalyzer] FortiGate ユニットの図と FortiAnalyzer の図の間のリンク上にあるアイコンは、その接続のステータスを示します。赤いアイコンの上にある "X" は、接続がないことを示しています。緑色のアイコンの上にあるチェックマークは、この 2 つのユニットの間で通信が行われていることを示しています。FortiGate ユニットで FortiAnalyzer のロギングを設定するには、FortiAnalyzer の図を選択します。 431 ページの「ログおよびレポート」を参照してください。


48


警告メッセージコンソール

警告メッセージは、 FortiGate ユニットに対する変更を追跡するのに役立ちます。警告メッセージコンソールには、次の種類のメッセージを表示できます。

図 15: 警告メッセージコンソールの例

各メッセージには、書き込まれたときの日付と時刻が表示されます。すべてのメッセージを表示できるだけの領域がない場合は、 [Show All] を選択すれば、リスト全体を新しいウィンドウに表示することができます。

警告メッセージをクリアするには、 [All] を選択した後、新しいウィンドウの一番上にある [Clear Alert Messages] を選択します。それにより、現在のすべての警告メッセージが FortiGate ユニットから削除されます。

統計情報

[System Status] ページの [Statistics] セクションは、ネットワークトラフィックや保護に関して、 FortiGate ユニットで何が起きているのかを一目で理解できるように設計されています。

トラフィックの量や種類だけでなく、システムに対して行われた攻撃の試みについて、すばやく知ることができます。特に気になる領域を調べるには、 [Details] を選択して、新の動作の詳細なリストを表示させます。

[Reboot] FortiGate ユニットをシャットダウンおよび再起動する場合に選択します。ログに記録するため再起動の理由を入力するよう求められます。

[Shutdown] FortiGate ユニットをシャットダウンする場合に選択します。確認を求められます。ログに記録するためシャットダウンの理由を入力するよう求められます。

[Reset] FortiGate ユニットを工場出荷のデフォルト設定にリセットする場合に選択します。確認を求められます。

System restart システムが再起動されました。再起動は、オペレータが操作したため、または電源がオフ / オンされたために生じた可能性があります。

Firmware upgraded by <admin_name>

指定の管理者が、アクティブまたは非アクティブパーティションのどちらかで、ファームウェアをより新しいバージョンにアップグレードしました。

Firmware downgraded by <admin_name>

指定の管理者が、アクティブまたは非アクティブパーティションのどちらかで、ファームウェアをより古いバージョンにダウングレードしました。

FortiGate has reached connection limit for <n> seconds

アンチウイルスエンジンが、表示されている時間、メモリ不足に陥りました。この状況下では、モデルや設定にもよりますが、コンテンツをブロックするか、またはスキャンなしで通過させることも選択できます。

Found a new FortiAnalyzerLost the connection to FortiAnalyzer

FortiGate ユニットが、 FortiAnalyzer ユニットを発見したか、または FortiAnalyzer ユニットへの接続を失ったことを示します。 434 ページの「FortiAnalyzerユニットへのロギング」を参照してください。


システム - ステータスシステム情報の変更

[Statistics] セクションに表示される情報は、 FortiAnalyzer ユニットに保存したり、ローカルに保存したり、あるいは外部ソースへのバックアップが可能なログファイルに保存されます。このデータを使用して、時間の経過に伴うネットワーク動作や攻撃の傾向を調べ、それに応じて対処することができます。

統計リストに関する詳細な手順については、 54 ページの「統計情報の表示」を参照してください。

図 16: 統計の例

システム情報の変更

アクセスプロファイルでシステム設定への書き込みアクセスが許可されているFortiGate 管理者は、システム時刻、ホスト名、および VDOM の動作モードを変更できます。

システム時刻の設定

1 [System]、[Status] の順に選択します。

2 [System Information] セクションの [System Time] 行にある [Change] を選択します。

3 タイムゾーンを選択した後、日付と時刻を手動で設定するか、または NTP サーバとの同期を設定します。

[Since] カウントがリセットされた日付と時刻。カウントは、 FortiGate ユニットの再起動時、または [Reset] アイコンの選択時にリセットされます。

リセットアイコンアーカイブや攻撃ログのカウントを 0 にリセットします。

[Sessions] FortiGate ユニットが処理している通信セッションの数。詳細情報を表示するには、 [Details] を選択します。 54 ページの「セッションリストの表示」を参照してください。

[Content Archive] FortiGate ユニットを通過した HTTP、電子メール、 FTP、およびIM/P2P トラフィックの概要。 [Details] ページには、選択された種類のトラフィックの新 64 項目のリストが表示され、アーカイブされたトラフィックが格納されている FortiAnalyzer ユニットへのリンクが示されます。 FortiAnalyzer ユニットへのロギングが設定されていない場合、 [Details] ページには、 [Log & Report]、[Log Config]、[Log Settings] ページへのリンクが表示されます。

[Attack Log] ユニットが阻止したウイルス、攻撃、スパム電子メールメッセージ、および URL の概要。 [Details] ページには新 10 項目のリストが表示され、時間、発信元、宛先などの情報が示されます。

リセット


50

システム情報の変更システム - ステータス

図 17: 時刻の設定

FortiGate ユニットのホスト名の変更

FortiGate のホスト名は、 [System Status] ページと FortiGate CLI のプロンプトに表示されます。また、このホスト名は、 SNMP システム名としても使用されます。 SNMP については、 133 ページの「SNMP」を参照してください。

デフォルトのホスト名は、 FortiGate ユニットのシリアル番号です。たとえば、FGT8002805030003 は、 FortiGate-800 ユニットになります。

アクセスプロファイルでシステム設定への書き込みアクセスが許可されている管理者は、 FortiGate ユニットのホスト名を変更できます。

FortiGate ユニットのホスト名を変更するには


2 [System Information] セクションの [Host Name] フィールドで、 [Change] を選択します。

3 [New Name] フィールドに、新しいホスト名を入力します。

[System Time] 現在の FortiGate システムの日付と時刻。

[Refresh] 現在の FortiGate システムの日付と時刻の表示を更新します。

[Time Zone] 現在の FortiGate システムのタイムゾーンを選択します。

[Automatically adjust clock for daylight saving changes]

タイムゾーンで夏時間と標準時間が切り替わる際に FortiGate のシステムクロックを自動的に調整したい場合に選択します。

[Set Time] FortiGate システムの日付と時刻を、 [Hour]、 [Minute]、 [Second]、[Year]、 [Month]、および [Day] フィールドに入力した値に設定する場合に選択します。

[Synchronize with NTP Server]

NTP サーバを使用してシステムの日付と時刻を自動的に設定する場合に選択します。サーバと同期間隔を指定する必要があります。

[Server] NTP サーバの IP アドレスまたはドメイン名を入力します。使用できる NTP サーバを検索するには、 http://www.ntp.org を参照してください。

[Sync Interval] FortiGate ユニットが NTP サーバと時刻の同期をとる頻度を指定します。たとえば、 1440 分に設定すると、 FortiGate ユニットは 1 日に 1 回時刻の同期をとります。

注記 : FortiGate ユニットが HA クラスタの一部である場合は、そのユニットをクラスタ内の他のユニットから区別できるように一意のホスト名を使用しなくてはなりません。


システム - ステータス FortiGate ファームウェアの変更

4 [OK] を選択します。

新しいホスト名が [Host Name] フィールドと CLI プロンプトに表示され、 SNMPシステム名に追加されます。

FortiGate ファームウェアの変更

アクセスプロファイルでメンテナンス読み取りおよび書き込みアクセスが許可されている FortiGate 管理者は、 FortiGate ファームウェアを変更できます。

ファームウェア変更では、新しいバージョンにアップグレードするか、または以前のバージョンへの復帰を行います。実行するファームウェア変更に応じて、次のいずれかの手順に従います。

• 新しいファームウェアバージョンへのアップグレード

• 以前のファームウェアバージョンへの復帰

新しいファームウェアバージョンへのアップグレード

FortiGate ユニットを新しいファームウェアバージョンにアップグレードするには、次の手順を使用します。

Web ベースマネージャを使用してファームウェアをアップグレードするには

1 ファームウェアイメージファイルを管理コンピュータにコピーします。

2 スーパー管理者、またはシステム設定への読み取りおよび書き込み特権を持つ管理者アカウントとして Web ベースマネージャにログインします。


4 [System Information] セクションで、 [Firmware Version] 行にある [Update] を選択します。

5 ファームウェアイメージファイルのパスとファイル名を入力するか、または [Browse] を選択してファイルを指定します。


FortiGate ユニットは、ファームウェアイメージファイルをアップロードし、新しいファームウェアバージョンにアップグレードしたあと、すべてのセッションを閉じて再起動を行い、 FortiGate ログインを表示します。この処理には数分かかります。

7 Web ベースマネージャにログインします。

8 [System]、[Status] の順に選択し、 [Firmware Version] を確認して、ファームウェアアップグレードが正常にインストールされていることを確認します。

9 アンチウイルスおよび攻撃定義を更新します。アンチウイルスおよび攻撃定義の更新については、 169 ページの「FortiGuard Center」を参照してください。

注記 : ファームウェアをインストールすると、現在のアンチウイルスおよび攻撃定義が、インストールするファームウェアリリースに含まれている定義に置き換えられます。新しいファームウェアをインストールした後、 175 ページの「アンチウイルスおよび攻撃の定義を更新するには」の手順を使用して、アンチウイルスおよび攻撃定義を忘れずに新のものにしておいてください。


52

動作履歴の表示システム - ステータス

以前のファームウェアバージョンへの復帰

FortiGate ユニットを以前のファームウェアバージョンに戻すには、次の手順を使用します。この手順ではまた、 FortiGate ユニットは工場出荷のデフォルト設定に戻され、 IPS カスタムシグネチャ、 Web コンテンツリスト、電子メールフィルタリングリスト、および差し替えメッセージへの変更も削除されます。これらの情報を保持するには、 FortiGate ユニットの設定をバックアップします。詳細については、 165 ページの「バックアップおよび復元」を参照してください。

以前の FortiOS ・バージョンに ( たとえば、 FortiOS v3.0 から FortiOS v2.8 に ) 戻すと、バックアップの設定ファイルから以前の設定を復元できなくなる可能性があります。

Web ベースマネージャを使用して以前のファームウェアバージョンに戻すには

1 ファームウェアイメージファイルを管理コンピュータにコピーします。

2 スーパー管理者、またはシステム設定への読み取りおよび書き込み特権を持つ管理者アカウントとして Web ベースマネージャにログインします。


4 [System Information] セクションで、 [Firmware Version] 行にある [Update] を選択します。

5 ファームウェアイメージファイルのパスとファイル名を入力するか、または [Browse] を選択してファイルを指定します。


FortiGate ユニットは、ファームウェアイメージファイルをアップロードし、古いファームウェアバージョンに戻し、設定をリセットしたあと、再起動を行い、FortiGate ログインを表示します。この処理には数分かかります。


8 [System]、[Status] の順に選択し、 [Firmware Version] を確認して、ファームウェアが正常にインストールされていることを確認します。

9 設定を復元します。

設定の復元については、 165 ページの「バックアップおよび復元」を参照してください。

10 アンチウイルスおよび攻撃定義を更新します。

アンチウイルスおよび攻撃定義については、 175 ページの「アンチウイルスおよび攻撃の定義を更新するには」を参照してください。

動作履歴の表示

[System Resource History] ページには、システムリソースや保護の動作を表す 6つのグラフが表示されます。


注記 : ファームウェアをインストールすると、現在のアンチウイルスおよび攻撃定義が、インストールするファームウェアリリースに含まれている定義に置き換えられてしまいます。新しいファームウェアをインストールした後、 175 ページの「アンチウイルスおよび攻撃の定義を更新するには」の手順を使用して、アンチウイルスおよび攻撃定義を確実に新版にしてください。


システム - ステータス FortiGuard 定義の手動による更新

2 [System Resources] セクションの右上にある [History] を選択します。

図 18: システムリソース履歴の例

FortiGuard 定義の手動による更新

FortiGuard - AV および FortiGuard - の不正侵入防御の両定義は、 [System Status] ページの [License Information] セクションからいつでも更新できます。

FortiGuard AV 定義の手動による更新

1 新の AV 定義更新ファイルを Fortinet からダウンロードし、それを Web ベースマネージャへの接続に使用するコンピュータにコピーします。

2 Web ベースマネージャを起動し、 [System]、[Status] の順に選択します。

3 [License Information] セクションの、 [FortiGuard Subscriptions] の [AV Definitions] フィールドで、 [Update] を選択します。

[Anti-Virus Definitions Update] ダイアログボックスが表示されます。

4 [Update File] フィールドで、 AV 定義更新ファイルのパスとファイル名を入力するか、または [Browse] を選択して AV 定義更新ファイルを指定します。

5 [OK] を選択して、 AV 定義更新ファイルを FortiGate ユニットにコピーします。

FortiGate ユニットは AV 定義を更新します。この処理には 1 分程度かかります。

[Time Interval] グラフを表示する時間間隔を選択します。

[CPU Usage History] 指定された時間間隔毎の CPU 使用率。

[Memory Usage History] 指定された時間間隔毎のメモリ使用率。

[Session History] 指定された時間間隔毎のセッション数。

[Network Utilization History] 指定された時間間隔毎のネットワーク使用率。

[Virus History] 指定された時間間隔毎に検出されたウイルスの数。

[Intrusion History] 指定された時間間隔毎に検出された侵入の試みの数。

注記 : AV および不正侵入防御 ( 攻撃 ) 定義が自動的に更新されるように FortiGate ユニットを設定する方法については、 169 ページの「FortiGuard Center」を参照してください。


54

統計情報の表示システム - ステータス

6 [System]、[Status] の順に選択して、 FortiGuard の [AV Definitions] のバージョン情報が更新されていることを確認します。

FortiGuard IPS 定義の手動による更新

1 新の攻撃定義更新ファイルを Fortinet からダウンロードし、それを Web ベースマネージャへの接続に使用するコンピュータにコピーします。

2 Web ベースマネージャを起動し、 [System]、[Status] の順に選択します。

3 [License Information] セクションの、 [FortiGuard Subscriptions] の [IPS Definitions] フィールドで、 [Update] を選択します。

[Intrusion Prevention System Definitions Update] ダイアログボックスが表示されます。

4 [Update File] フィールドで、攻撃定義更新ファイルのパスとファイル名を入力するか、または [Browse] を選択して攻撃定義更新ファイルを指定します。

5 [OK] を選択して、攻撃定義更新ファイルを FortiGate ユニットにコピーします。

FortiGate ユニットは攻撃定義を更新します。この処理には 1 分程度かかります。

6 [System]、[Status] の順に選択して、 [IPS Definitions] のバージョン情報が更新されていることを確認します。

統計情報の表示

[System Status] の [Statistics] セクションでは、セッション、コンテンツアーカイブ、およびネットワーク保護の動作に関する情報が提供されます。

セッションリストの表示

セッションリストには、 FortiGate ユニット上の現在の通信セッションに関する情報が表示されます。

セッションリストを表示するには


2 [Statistics] セクションで、 [Sessions] 行にある [Details] を選択します。

図 19: セッションリスト

[Virtual Domain] 特定のバーチャルドメインによって処理されているセッションのリストを表示するには、そのバーチャルドメインを選択します。すべてのバーチャルドメインによって処理されているセッションを表示するには、 [All] を選択します。このオプションは、複数のバーチャルドメインが有効になっている場合にのみ使用できます。

[Refresh] セッションリストを更新します。

前ページセッションリストの前のページを表示します。

次ページセッションリストの次のページを表示します。


システム - ステータス統計情報の表示

コンテンツアーカイブ情報の表示

[System Status] ページの [Statistics] セクションから、 FortiGate ユニットを通過する HTTP、電子メール、 FTP、および IM トラフィックに関する統計を読み取ることができます。各トラフィックの種類の横にある [Details] リンクを選択することにより、詳細情報を表示できます。

[Statistics] セクションのヘッダーにある [Reset] を選択すると、コンテンツアーカイブおよび攻撃ログ情報をクリアし、カウントを 0 にリセットすることができます。

アーカイブされた HTTP コンテンツ情報の表示


2 [Content Archive] セクションで、 [HTTP] の [Details] を選択します。

[Line] セッションリストの表示を開始するセッションの行番号を入力します。たとえば、 5 つのセッションがある場合に「3」を入力すると、 3 番、 4番、および 5 番のセッションのみが表示されます。"/" の次の数値は、 FortiGate ユニット上のアクティブセッションの数です。

[Clear All Filters] 設定されている表示フィルタをすべてリセットする場合に選択します。

[Filter Icon] [#] と [Expiry] を除くすべての列の項目名の左側にあるアイコン。選択すると、 [Edit Filter] ダイアログが表示され、列ごとに表示フィルタを設定できるようになります。

[Protocol] 接続のサービスプロトコル ( たとえば、 udp、 tcp、 icmp)。

[Source Address] 接続の発信元 IP アドレス。

[Source Port] 接続の発信元ポート。

[Destination Address]

接続の宛先 IP アドレス。

[Destination Port] 接続の宛先ポート。

[Policy ID] このセッションを許可しているファイアウォールポリシの番号か、またはセッションに FortiGate インタフェースが 1 つしか関係していない場合 ( たとえば、管理セッション ) は空白。

[Expiry (sec)] 接続が期限切れになるまでの時間 ( 秒単位 )。

削除アイコンアクティブな通信セッションを停止します。アクセスプロファイルで、システム設定への読み取りおよび書き込みアクセスが許可されている必要があります。

[Date and Time] URL をアクセスした時刻。

[From] URL をアクセスした IP アドレス。

[URL] アクセスした URL。


56

統計情報の表示システム - ステータス

アーカイブされた電子メールコンテンツ情報の表示


2 [Content Archive] セクションで、 [Email] の [Details] を選択します。

アーカイブされた FTP コンテンツ情報の表示


2 [Content Archive] セクションで、 [FTP] の [Details] を選択します。

アーカイブされた IM コンテンツ情報の表示


2 [Content Archive] セクションで、 [IM] の [Details] を選択します。

[Date and Time] 電子メールが FortiGate ユニットを通過した時刻。

[From] 送信者の電子メールアドレス。

[To] 受信者の電子メールアドレス。

[Subject] 電子メールの件名。

[Date and Time] アクセス時刻。

[Destination] アクセスされた FTP サーバの IP アドレス。

[User] FTP サーバにログインしたユーザ ID。

[Downloads] ダウンロードされたファイル名。

[Uploads] アップロードされたファイル名。

[Date / Time] アクセス時刻。

[Protocol] この IM セッションで使用されているプロトコル。

[Kind] このトランザクションの IM トラフィックの種類。

[Local] このトランザクションのローカルアドレス。


システム - ステータス統計情報の表示

攻撃ログの表示

[System Status] ページの [Statistics] セクションから、 FortiGate ユニットが阻止したネットワーク攻撃に関する統計を表示できます。各攻撃の種類の横にある [Details] リンクを選択することにより、詳細情報を表示できます。

[Statistics] セクションのヘッダーにある [Reset] を選択すると、コンテンツアーカイブおよび攻撃ログ情報をクリアし、カウントを 0にリセットすることができます。

捕捉したウイルスの表示


2 [Attack Log] セクションで、 [AV] の [Details] を選択します。

ブロックされた攻撃の表示


2 [Attack Log] セクションで、 [IPS] の [Details] を選択します。

検出されたスパム電子メールの表示


2 [Attack Log] セクションで、 [Spam] の [Details] を選択します。

ブロックされた URL の表示


2 [Attack Log] セクションで、 [Web] の [Details] を選択します。

[Remote] このトランザクションのリモートアドレス。

[Direction] このファイルが送信されたか、または受信されたかを示します。

[Date and Time] ウイルスが検出された時刻。

[From] 送信者の電子メールアドレスまたは IP アドレス。

[To] 対象とされた受信者の電子メールアドレスまたは IP アドレス。

[Service] サービスの種類 (POP、 HTTP など )。

[Virus] 検出されたウイルスの名前。

[Date and Time] 攻撃が検出された時刻。

[From] 攻撃の発信元。

[To] 攻撃の対象とされたホスト。

[Service] サービスの種類。

[Attack] 検出され、防御された攻撃の種類。

[Date and Time] スパムが検出された時刻。

[From->To IP] 送信者および対象とされた受信者の IP アドレス。

[From->To Email Accounts] 送信者および対象とされた受信者の電子メールアドレス。

[Service] サービスの種類 (SMTP、 POP、 IMAP など )。

[SPAM Type] 検出されたスパムの種類。

[Date and Time] URL へのアクセスの試みが検出された時刻。


58

トポロジビューアシステム - ステータス

トポロジビューア

トポロジビューアを使用すると、 FortiGate ユニットに接続されているネットワークを、図やドキュメントに表すことができます。この機能は、 FortiGate-50および FortiGate-60 を除くすべての FortiGate ユニットで使用できます。

トポロジビューアのウィンドウ

[Topology] ウィンドウは、 FortiGate の実装状況を示すネットワークトポロジ図を描画できる大きな " キャンバス " で構成されています。

図 20:トポロジビューア

メインビューポートとビューポートコントロール

メインビューポートは、描画領域全体の中の一部です。ビューポートコントロール内の濃い色の長方形に対応しています。ビューポートコントロール内のメインビューポートの長方形をドラッグして、メインビューポートに描画領域のどの部分を表示するかを決定することができます。ビューポートコントロール内の "+" と "-" のボタンは、 [Zoom in] および [Zoom out] 編集コントロールと同じ機能を持っています。

[From] URL のアクセスを試みたホスト。

[URL Blocked] ブロックされた URL。

サブネットオブジェクトテキストオブジェクト表示 / 編集コントロール

メインビューポートビューポートコントロール


システム - ステータストポロジビューア

FortiGate ユニットは、トポロジ図の中の不変な部分です。移動することはできますが、削除することはできません。

表示 / 編集コントロール

[Topology] ページの左上にあるツールバーには、トポロジ図を表示および編集するためのコントロールが表示されます。

表 3: トポロジビューアの表示 / 編集コントロール

表示されている図を更新します。

ズームインします。メインビューポート内の描画領域のより狭い範囲を表示して、オブジェクトを拡大表示する場合に選択します。

ズームアウトします。メインビューポート内の描画領域のより広い範囲を表示して、オブジェクトを縮小表示する場合に選択します。

編集します。このボタンは、図の編集を開始するときに選択します。ツールバーが展開され、以下に説明する編集コントロールが表示されます。

図に加えられた変更をすべて保存します。 Web ベースマネージャ内の他のページに切り替える際には、変更を保存する必要があります。

図にサブネットオブジェクトを追加します。サブネットオブジェクトは、選択したファイアウォールアドレスに基づいて作成されます。オブジェクトには、そのファイアウォールアドレスの名前が付けられ、そのアドレスにひも付けられたインタフェースに線で接続されます。このコントロールを使用して新しいファイアウォールアドレスを作成することもできますが、そのアドレスを特定のインタフェースにひも付ける必要があります。ファイアウォールアドレスの詳細については、 247 ページの「ファイアウォール - アドレス」を参照してください。

テキストを挿入します。このコントロールを選択した後、テキストオブジェクトを配置したい場所をクリックします。テキストを入力し、テキストボックスの外側をクリックします。

削除します。削除するオブジェクトを選択した後、このコントロールを選択するか、または Del キーを押します。

カスタマイズします。描画で使用されている線の色や太さを変更する場合に選択します。 See 60 ページの「トポロジ図のカスタマイズ」.

ドラッグします。必要に応じて、このコントロールを選択した後、図内のオブジェクトをドラッグして配置します。

スクロールします。このコントロールを選択した後、描画の背景をドラッグして、描画領域内でメインビューポートを移動します。この操作は、ビューポートコントロール内でメインビューポートの長方形を移動するのと同じ効果があります。

選択します。このコントロールを選択した後、マウスポインタをドラッグして、選択範囲を決める長方形を作成します。マウスボタンを離すと、この長方形内のオブジェクトが選択されます。

終了します。このボタンは、図の編集を終了するときに選択します。ツールバーが縮小して、 [Refresh] および [Zoom] コントロールだけが表示されます。


60

システム - ステータス

トポロジ図のカスタマイズ

[Topology Customization] ウィンドウを開くには、 [Customize] ボタンを選択します。必要に応じて設定を変更し、終了したら [OK] を選択します。

図 21: [Topology Customization] ウィンドウ

[Preview] 選択した外観オプションの実際の効果を示す、シミュレートされたトポロジ図。

[Canvas Size] 描画サイズ ( ピクセル数 )。

[Resize to Image] [Background] としてイメージを選択した場合、そのイメージ内に収まるように図のサイズを変更します。

[Background] 次のうちのいずれかです。[Solid] - [Background Color] で選択された無地。[U.S. Map] - 米国地図。[World Map] - 世界地図。[Upload My Image] - [Image path] からイメージをアップロードします。

[Background Color] 図の背景色を選択します。

[Image path] [Background] として [Upload My Image] を選択した場合は、イメージのパスを入力するか、または [Browse] ボタンを使用してパスを指定します。

[Exterior Color] 図の外側の境界領域の色を選択します。

[Line Color] サブネットオブジェクトとインタフェースの間の接続線の色を選択します。

[Line Width] 接続線の太さを選択します。

[Reset to Default] すべての設定をデフォルト値にリセットします。


バーチャルドメインの使用バーチャルドメイン

F0

バーチャルドメインの使用この項では、バーチャルドメインを使用して FortiGate ユニットを複数の仮想ユニットとして動作させ、複数のネットワークに個別のファイアウォールおよびルーティングサービスを提供する方法について説明します。


• バーチャルドメイン

• VDOM の有効化

• VDOM とグローバル設定の設定

バーチャルドメイン

バーチャルドメイン (VDOM) を使用すると、 FortiGate ユニットを複数の独立したユニットとして機能させることができます。これにより、 FortiGate ユニット 1台で、組織内の複数の部門や個別の組織それぞれにサービスを提供したり、サービスプロバイダのマネージドセキュリティサービスの基盤にしたりするなど、優れた柔軟性を発揮します。

VDOM は個別のセキュリティドメインであり、これによって個別のゾーン、ユーザ認証、ファイアウォールポリシー、ルーティング、および VPN 設定が可能になります。また、 VDOM を使用すると、一度に多数のルートまたはファイアウォールポリシーを管理する必要がなくなるため、複雑な設定の管理を簡略化することもできます。 62 ページの「VDOM の設定」を参照してください。

VDOM を設定して使用するには、バーチャルドメイン設定を有効にする必要があります。 64 ページの「VDOM の有効化」を参照してください。

VDOM を作成して設定する場合は、その VDOM にインタフェースまたは VLANサブインタフェースを割り当てる必要があります。必要に応じて、その VDOMにのみログインできる管理者アカウントを割り当てることができます。 VDOM が特定の組織にサービスを提供するように作成されている場合、その組織自身で設定を自主管理できるようになります。動作モード (NAT/ ルートまたはトランスペアレント ) を、 VDOM ごとに個別に選択できます。

VDOM に入ったパケットは、その VDOM に閉じ込められます。 VDOM 内に、VDOM 内の VLAN サブインタフェース間またはゾーン間を結ぶためのファイアウォールポリシーを作成できます。パケットがバーチャルドメインの境界を内部で横断することはありません。パケットが VDOM 間を移動するには、物理インタフェース上のファイアウォールを通過する必要があります。次に、パケットは別のインタフェース上の別の VDOM に到着しますが、別のファイアウォールを通過してからでないとそこに入ることはできません。両方の VDOM とも同じFortiGate ユニット上に存在します。 1 つの例外は、 CLI コマンドを使用してVDOM 間ルーティングを設定する場合です。


62

バーチャルドメインバーチャルドメインの使用

FortiGate の残りの機能はグローバルです。すべての VDOM に適用されます。つまり、不正侵入防御設定、アンチウイルス設定、 Web フィルタ設定、保護プロファイル設定などはすべて、 1 つしか存在しません。また、 VDOM 共有ファームウェアのバージョン、アンチウイルスおよび攻撃データベースも同様です。共有される設定の完全なリストについては、 63 ページの「グローバル設定」を参照してください。

FortiGate ユニットはデフォルトで、 NAT/ ルートモードとトランスペアレントモードを任意に組み合わせた大 10 個の VDOM をサポートします。モデル番号が 3000 以上の FortiGate モデルでは、ライセンスキーを購入して VDOM の大数を 25、 50、 100、または 250 に増やすことができます。詳細については、 180ページの「ライセンス」を参照してください。

バーチャルドメイン設定が有効になっており、デフォルトのスーパー管理者としてログインした場合は、 [System]、[Status] の順に選択し、 [License Information] セクションにある [Virtual Domain] を参照することにより、 FortiGateユニット上でサポートされているバーチャルドメインの大数を確認できます。

デフォルトでは、各 FortiGate ユニットに、ルートという名前の VDOM が存在します。この VDOM には、 FortiGate の物理インタフェース、 VLAN サブインタフェース、ゾーン、ファイアウォールポリシー、ルーティング設定、およびVPN 設定のすべてが含まれています。

SNMP、ロギング、アラートメール、 FDN ベースの更新、 NTP ベースの時刻設定などの管理システムは、管理 VDOM 内のアドレスとルーティングを使用してネットワークと通信します。これらの管理システムは、管理バーチャルドメインと通信するネットワークリソースにのみ接続できます。管理 VDOM は、デフォルトでルートに設定されていますが、変更することもできます。詳細については、 67 ページの「管理 VDOM の変更」を参照してください。

VDOM を追加したら、 VLAN サブインタフェース、ゾーン、ファイアウォールポリシー、ルーティング設定、および VPN 設定を追加するなど、その VDOM の設定が行えます。また、ルート VDOM から他の VDOM に物理インタフェースを移動したり、ある VDOM から別の VDOM に VLAN サブインタフェースを移動したりすることもできます。 VLAN の詳細については、 98 ページの「VLAN の概要」を参照してください。

VDOM の詳細については、『FortiGate VLAN および VDOM ガイド』を参照してください。

VDOM の設定

以下の設定は、 1 つのバーチャルドメインに限定され、複数のバーチャルドメインで共用することはありません。 VDOM の標準管理者には、これらの設定のみが表示されます。また、デフォルトのスーパー管理者もこれらの設定にアクセスできますが、初に設定対象の VDOM を選択する必要があります。

• システム設定

• ゾーン

• DHCP サービス

• 動作モード (NAT/ ルートまたはトランスペアレント )

• 管理 IP ( トランスペアレントモード )

• ルータ設定



バーチャルドメインの使用バーチャルドメイン

• ファイアウォール設定

• ポリシー

• アドレス

• サービスグループとカスタムサービス

• スケジュール

• 仮想 IP

• IP プール

• VPN 設定

• IPSec

• PPTP

• SSL

• ユーザ設定

• ユーザ

• ユーザグループ

• RADIUS および LDAP サーバ

• Microsoft Windows Active Directory サーバ

• P2P 統計 ( 表示 / リセット )

• ロギング設定、ログアクセス、およびログレポート

グローバル設定

次の設定は、すべてのバーチャルドメインに影響します。バーチャルドメインが有効になると、デフォルトのスーパー管理者だけがグローバル設定にアクセスできます。

• システム設定

• 物理インタフェースと VLAN サブインタフェース ( 各物理インタフェースまたは VLAN サブインタフェースは、 1 つのVDOM にのみ属します。各 VDOM は、独自のインタフェースのみを使用または設定できます。 )

• DNS 設定

• ホスト名、システム時刻、ファームウェアバージョン ([System Status] ページ上 )

• アイドルタイムアウトと認証タイムアウト

• Web ベースマネージャの言語

• LCD パネルの PIN ( 該当する場合 )

• 停止ゲートウェイ検知

• HA 構成

• SNMP 設定

• 差し替えメッセージ

• 管理者( 各管理者は、 1 つの VDOM にのみ属します。各 VDOM は、独自の管理者のみを設定できます。 )

• アクセスプロファイル

• FortiManager 設定

• 設定のバックアップと復元

• FDN 更新設定

• バグレポート


64

VDOM の有効化バーチャルドメインの使用

• ファイアウォール

• 定義済みサービス

• 保護プロファイル

• VPN 証明書

• アンチウイルス設定

• 不正侵入防御設定

• Web フィルタ設定

• アンチスパム設定

• IM 設定

• 統計情報

• ユーザリストとユーザポリシー

VDOM の有効化

デフォルトの管理者アカウントを使用して、 FortiGate ユニット上で複数のVDOM での動作を有効にすることができます。

バーチャルドメインを有効にするには

1 Web ベースマネージャに管理者としてログインします。


3 [System Information] で、 [Virtual Domain] の横にある [Enable] を選択します。

FortiGate ユニットからログオフされます。ここで、管理者として再度ログインできます。

バーチャルドメインが有効になると、 Web ベースマネージャと CLI が次のように変更されます。

• グローバル設定と VDOM ごとの設定が分離されます。

• [System] の下に、新しい VDOM エントリが表示されます。

• グローバルオプションを表示または設定できるのは、管理者アカウントだけです。

• 管理者アカウントは、すべての VDOM 設定を設定できます。

• 管理者アカウントは、ルート VDOM 内の任意のインタフェース、または標準管理者アカウントが割り当てられている VDOM に属する任意のインタフェースを使用して接続できます。

• 標準管理者アカウントは、自らが割り当てられている VDOM のみを設定でき、またその VDOM に属するインタフェースを使用してのみ FortiGate ユニットにアクセスできます。

バーチャルドメインが有効になっている場合は、画面の左下を参照することによって現在のバーチャルドメインを確認できます。そこにある [Current VDOM:] の後にバーチャルドメインの名前が表示されます。

VDOM とグローバル設定の設定

バーチャルドメインが有効になると、デフォルトのスーパー管理者アカウントのみ、次の操作を行うことができます。


バーチャルドメインの使用 VDOM とグローバル設定の設定

• グローバル設定の設定

• VDOM の作成または削除

• 複数の VDOM の設定

• VDOM へのインタフェースの割り当て

• VDOM への管理者の割り当て

VDOM は、受信トラフィック用と送信トラフィック用の少なくとも 2 つの物理インタフェースまたは仮想サブインタフェースが含まれてはじめて効果を発揮します。 VDOM にインタフェースまたはサブインタフェースを割り当てることができるのは、スーパー管理者のみです。標準管理者アカウントは、独自の VDOM 内の物理インタフェース上に VLAN サブインタフェースを作成できます。

標準管理者を作成し、その管理者を VDOM に割り当てない限り、スーパー管理者だけが VDOM を設定できます。 VDOM に管理者を割り当てることができるのは、スーパー管理者だけです。自分のアクセスプロファイルで Admin Users への読み取りおよび書き込みアクセスが許可されている管理者アカウントは、独自の VDOM 内に追加の管理者を作成できます。

VDOM とグローバル設定の操作

管理者としてログインしたときに、バーチャルドメインが有効になっていると、[System] の下の [VDOM] オプションで示されているように、自動的にグローバル設定に入ります。

[System]、[VDOM] の順に選択して、バーチャルドメインを操作します。

図 22: [VDOM] リスト

[Create New] 新しい VDOM を追加する場合に選択します。新しい VDOM 名を入力し、 [OK] を選択します。VDOM の名前を、既存の VDOM、 VLAN、またはゾーンと同じにすることはできません。 VDOM 名の長さは大 11 文字で、スペースは含まれません。

[Management] 管理 VDOM を、選択されている VDOM に変更します。管理VDOM は、かっこ内に示されます。デフォルトの管理 VDOM はルートです。 [Management] を選択したときに複数の VDOM が選択されている場合は、表の初に表示されている VDOM が管理 VDOM として割り当てられます。詳細については、 67 ページの「管理 VDOMの変更」を参照してください。

[Delete] 選択されている VDOM を削除します。ルート VDOM を削除することはできません。

[Switch] その VDOM に入る場合に選択します。現在入っている VDOM は、 VDOM の名前が表示されている、画面の左下を参照することによって確認できます。グローバル設定画面の場合は、この場所に VDOM 名は表示されません。

[Name] VDOM の名前。


66

VDOM とグローバル設定の設定バーチャルドメインの使用

VDOM へのインタフェースの追加

VDOM には、少なくとも 2 つのインタフェースが含れている必要があります。これらのインタフェースは、物理インタフェースでも、 VLAN サブインタフェースなどの仮想インタフェースでもかまいません。デフォルトでは、すべての物理インタフェースがルートバーチャルドメインに含まれています。

FortiOS v3.0 MR1 の時点では、 VDOM 間ルーティングを使用すると、物理インタフェースを使用しなくても VDOM 間で内部的に通信することができます。この機能は、 CLI でのみ設定できます。 VDOM 間インタフェースの設定については、『FortiGate CLI リファレンス』および『FortiGate VLAN および VDOM ガイド』を参照してください。

VLAN サブインタフェースは一般に、物理インタフェースとは別の VDOM に含める必要があります。それには、スーパー管理者が初に VDOM を作成し、次にVLAN サブインタフェースを作成した後、それを必要な VDOM に割り当てる必要があります。

[System]、[Network]、[Interfaces] はグローバル設定にしか存在せず、どのVDOM 内でも使用できません。 VLAN サブインタフェースの作成については、101 ページの「VLAN サブインタフェースの追加」を参照してください。

VDOM へのインタフェースの割り当て

次の手順は、既存のインタフェースを、あるバーチャルドメインから別のバーチャルドメインに再割り当てする方法を説明しています。ここでは、 VDOM が有効になっており、複数の VDOM が存在することを前提にしています。

VDOM が何らかの設定で使用されている ( たとえば、その VDOM 内にインタフェースが存在する ) 場合は、その VDOM を削除できません。インタフェースが次のいずれかの設定に含まれている場合は、 VDOM からそのインタフェースを削除できません。

• DHCP サーバ

• ゾーン

• ルーティング

• ファイアウォールポリシー

• IP プール

• proxy arp (CLI を使用してのみアクセス可能 )

先に進む前に、これらの項目を削除するか、またはこれらの項目を変更してインタフェースを削除してください。

VDOM にインタフェースを割り当てるには

1 管理者としてログインします。

[Operation Mode] VDOM の動作モード ([NAT] または [Transparent])。

[Interfaces] この VDOM に関連付けられているインタフェース ( 仮想インタフェースを含む )。

[Management Virtual Domain]

どの VDOM が管理ドメインかを示します。管理ドメイン以外のドメインはすべて、 "no" で示されます。

注記 : インタフェースまたはサブインタフェースは、削除アイコンが表示されていれば、再割り当てまたは削除が可能です。それまで、そのインタフェースはどこかの設定で使用されています。




バーチャルドメインの使用 VDOM とグローバル設定の設定


3 再割り当てするインタフェースの [Edit] を選択します。

4 そのインタフェースの新しいバーチャルドメインを選択します。

5 必要に応じて他の設定を設定し、 [OK] を選択します。他のインタフェース設定の詳細については、 72 ページの「インタフェース設定」を参照してください。

インタフェースが VDOM に割り当てられます。このインタフェースの既存のファイアウォール IP プールや仮想 IP アドレスは削除されます。このインタフェースを含むルートをすべて手動で削除し、新しい VDOM 内にこのインタフェースの新しいルートを作成する必要があります。そうしないと、ネットワークトラフィックが正しくルーティングされません。

VDOM への管理者の割り当て

独自のリソースを管理している組織にサービスを提供する VDOM を作成している場合は、その VDOM の管理者アカウントを作成する必要があります。

VDOM 管理者は、その VDOM 内の設定を変更できますが、 FortiGate ユニット上の他の VDOM に影響する変更を行うことはできません。

VDOM に割り当てられた標準管理者は、その VDOM に属するインタフェース上の Web ベースマネージャまたは CLI にのみログインできます。スーパー管理者は、管理アクセスを許可する FortiGate ユニット上の任意のインタフェースを使用して Web ベースマネージャまたは CLI に接続できます。コンソールインタフェースに接続することによってログインできるのは、スーパー管理者またはルートドメインの標準管理者だけです。

VDOM に管理者を割り当てるには

1 スーパー管理者としてログインします。

バーチャルドメインが有効になっている必要があります。

2 [System]、[Admin]、[Administrators] の順に選択します。

3 必要に応じて、新しい管理者アカウントを作成または設定します。

管理者アカウントの設定の詳細については、 154 ページの「管理者アカウントの設定」を参照してください。

4 この管理者アカウントを設定する場合は、この管理者が管理する VDOM を [Virtual Domain] リストから選択します。

5 [Apply] を選択します。

管理 VDOM の変更

FortiGate ユニット上の管理 VDOM からは、いくつかのデフォルトの種類のトラフィックが発信されます。これらのトラフィックの種類には、次のものがあります。

• SNMP

• ロギング

• アラートメール

• FDN ベースの更新

• NTP ベースの時刻設定

管理 VDOM を変更する前に、バーチャルドメインが有効になっていることを確認してください。


68

VDOM とグローバル設定の設定バーチャルドメインの使用

特定の時点で管理 VDOM になれる VDOM は 1 つだけです。管理 VDOM を設定するときに誤って複数の VDOM を選択した場合は、リストの先頭にも近いVDOM が管理 VDOM になります。

管理 VDOM を変更するには

1 [System]、 [VDOM] の順に選択します。

2 新しい管理 VDOM になる VDOM を選択します。

3 [Management] を選択して、変更を適用します。

これで、管理トラフィックは新しい管理 VDOM から発信されます。

注記 : RADIUS 認証を使用している管理者がいる場合は、管理 VDOM を変更できません。


システム - ネットワークインタフェース

F0

システム - ネットワークこの項では、 FortiGate ユニットをネットワークで動作するように設定する方法について説明します。基本的なネットワーク設定として、 FortiGate インタフェースと DNS の設定があります。さらに高度な設定として、 FortiGate ネットワーク構成への VLAN サブインタフェースやゾーンの追加があります。


• インタフェース

• ゾーン

• ネットワークオプション

• ルーティングテーブル ( トランスペアレントモード )

• モデムインタフェースの設定

• VLAN の概要

• NAT/ ルートモードでの VLAN

• トランスペアレントモードでの VLAN

• FortiGate の IPv6 サポート

インタフェース

NAT/ ルートモードでは、 [System]、[Network]、[Interface] の順に選択して、FortiGate インタフェースを設定します。次の操作を行うことができます。

• 物理インタフェースの設定変更

• VLAN サブインタフェースの追加および設定

• ADSL インタフェースの設定

• IEEE 802.3ad インタフェースへの複数の物理インタフェースのアグリゲート (800 以上のモデルのみ )

• 物理インタフェースの冗長インタフェースへの結合

• 無線インタフェースの追加 (WiFi-60A および WiFi-60AM モデルのみ )

VLAN については、 99 ページの「FortiGate ユニットと VLAN」を参照してください。

注記 : 同じフィールド内に IP アドレスとネットマスクの両方を入力できる場所では、短い形式のネットマスクを使用できます。たとえば、「192.168.1.100/255.255.255.0」は「192.168.1.100/24」とも入力できます。

注記 : 特に断りのない限り、この項でインタフェースという用語は、物理的な FortiGateインタフェースまたは FortiGate VLAN サブインタフェースを指します。


70

インタフェースシステム - ネットワーク

図 23: インタフェースリスト - 標準管理者ビュー

図 24: インタフェースリスト - バーチャルドメインが有効になった管理者ビュー

[Create New] VLAN サブインタフェースを作成するには、[Create New] を選択します。また、 800 以上のモデルでは、 IEEE 802.3ad アグリゲートインタフェースを作成することもできます。

[Switch Mode] スイッチモードとインタフェースモードを切り替える場合に選択します。スイッチモードでは、すべての内蔵ポートが 1 つのインタフェースに含まれます。インタフェースモードでは、各ポートに独自の設定可能なインタフェースが割り当てられます。モードを切り替える前に、 "Internal" インタフェースへのすべての参照を削除する必要があります。このオプションは、 Rev2.0 以上のモデル 100A および 200A でのみ表示されます。詳細については、 71 ページの「スイッチのモード」を参照してください。

[show backplane interfaces]

2 つのバックプレーンインタフェースを port9 および port10 として表示する場合に選択します。表示した後は、これらのインタフェースを通常の物理インタフェースとして扱うことができます。このオプションは、 5000 モデルでのみ使用できます。

[Description] アイコン

このアイコンのツールヒントには、このインタフェースの [Description] フィールドが表示されます。



スイッチのモード

100A および 200A FortiGate モデル上の Internal インタフェースは、4 ポートスイッチです。通常、この Internal インタフェースは、 4 つのすべてのポートで共有される 1 つのインタフェースとして設定されます。スイッチのモードによって、スイッチ上の各インタフェースを独立インタフェースとして個別に設定できます。

スイッチのモードには、スイッチモードとインタフェースモードの 2 つの状態があります。スイッチモードは、スイッチ全体に対して 1 つのインタフェースだけが存在する、デフォルトのモードです。インタフェースモードを使用すると、各 Internal インタフェースを別々に設定できます。これにより、各 Internal インタフェースに異なるサブネットとネットマスクを割り当てることができます。

スイッチモードは、 Rev2.0 以上の 100A および 200A モデルでのみ使用できます。

[System]、[Network]、[Interface] 画面上の [Switch Mode] コントロールを選択すると、 [Switch Mode Management] 画面が表示されます。

[Name] FortiGate ユニット上の物理インタフェースの名前。物理インタフェースの名前と数は、モデルによって異なります。[Internal]、 [External]、 [DMZ] などの一部の名前は、そのインタフェースのデフォルトの機能を示しています。その他は、 port1 などの、一般的な名前です。50 および 60 の番号の FortiGate モデルは、モデムインタフェースを備えています。 93 ページの「モデムインタフェースの設定」を参照してください。oob/ha インタフェースは、 FortiGate モデル 4000 のアウトオブバンド管理インタフェースです。このインタフェースに接続することにより、FortiGate ユニットを管理できます。このインタフェースはまた、 HAハートビートインタフェースとしても使用できます。FortiGate 60ADSL ユニットでは、 ADSL インタフェースを設定できます。 75 ページの「ADSL インタフェースの設定」を参照してください。800 以上の FortiGate モデルで、複数のインタフェースをアグリゲートインタフェースに結合した場合は、各コンポーネントインタフェースではなく、アグリゲートインタフェースだけが表示されます。これは、冗長インタフェースの場合も同じです。 76 ページの「802.3ad アグリゲートインタフェースの作成」または 77 ページの「冗長インタフェースの作成」を参照してください。VLAN サブインタフェースを追加した場合、これらのインタフェースは、 [Name] リスト内の追加先の物理インタフェースまたはアグリゲートインタフェースの下にも表示されます。 98 ページの「VLAN の概要」を参照してください。バーチャルドメイン設定が有効になっており、スーパー管理者でない場合は、独自のバーチャルドメイン内にあるインタフェースの情報だけを表示できます。FortiGate モデル 100A または 200A Rev2.0 以降で [Interface Mode] を有効にしている場合は、複数の Internal インタフェースが表示されます。

[IP/Netmask] インタフェースの現在の IP アドレス / ネットマスク。

[Access] インタフェースの管理アクセスの設定。85 ページの「インタフェースの追加の設定」を参照してください。

[Virtual Domain] このインタフェースが属するバーチャルドメイン。この列は、スーパー管理者に対してのみ、かつバーチャルドメイン設定が有効になっている場合にのみ表示されます。

[Status] インタフェースの管理状態。管理状態が緑色の矢印の場合、このインタフェースは稼働しており、ネットワークトラフィックを受信することができます。管理状態が赤色の矢印の場合、このインタフェースは管理上ダウンしており、トラフィックを受け付けることができません。管理状態を変更するには、[Bring Down] または [Bring Up] を選択します。

削除、編集、および表示アイコン

エントリを削除、編集、または表示します。


72


図 25: [Switch Mode Management] 画面

インタフェース設定

[System]、[Network]、[Interface] の順に選択します。新しいインタフェースを作成するには、 [Create New] を選択します。既存のインタフェースを編集するには、そのインタフェースの編集アイコンを選択します。

ここで仮想 IPSec インタフェースを作成することはできませんが、エンドポイントアドレスを指定したり、管理アクセスを有効にしたり、説明を入力したりすることができます。詳細については、 83 ページの「仮想 IPSec インタフェースの設定」を参照してください。

図 26:新しいインタフェースの設定

!注意 : [Switch Mode] と [Interface Mode] を切り替えるには、 " 内蔵 " インタフェースへのすべての参照を削除する必要があります。たとえば、ファイアウォールポリシー、VDOM インタフェース割り当て、 VLAN、ルーティングなどの参照です。

[Switch Mode] スイッチモードを選択します。 1 つの Internal インタフェースだけが表示されます。これがデフォルトのモードです。

[Interface Mode] インタフェースモードを選択します。スイッチ上のすべてのInternal インタフェースが、個別に設定可能なインタフェースとして表示されます。

[OK] 変更を保存して、 [Interface] 画面に戻る場合に選択します。

[Cancel] 変更を破棄して、 [Interface] 画面に戻る場合に選択します。



図 27:インタフェースの設定変更

[Name] インタフェースの名前を入力します。既存のインタフェースの名前を変更ことはできません。

[Type] 800 以上のモデルでは、 VLAN、 802.3ad アグリゲート、および冗長インタフェースを作成できます。モデル WiFi-60A および WiFi-60AM では、無線インタフェースと VLANサブインタフェースを作成できます。60ADSL モデルでは、 ADSL インタフェースを設定できます。その他のモデルでは VLAN インタフェースの作成だけがサポートされ、[Type] フィールドは存在しません。ADSL インタフェースを設定するには、 75 ページの「ADSL インタフェースの設定」を参照してください。VLAN サブインタフェースを作成するには、 99 ページの「FortiGate ユニットと VLAN」を参照してください。アグリゲートインタフェースを作成するには、 76 ページの「802.3adアグリゲートインタフェースの作成」を参照してください。冗長インタフェースを作成するには、 77 ページの「冗長インタフェースの作成」を参照してください。無線インタフェースを作成するには、 79 ページの「無線インタフェースの作成」を参照してください。既存のインタフェースの種類を変更することはできません。

[Interface] VLAN を作成する物理インタフェースの名前を選択します。作成されると、 VLAN サブインタフェースは、インタフェースリスト内の対応する物理インタフェースの下に表示されます。既存の VLAN サブインタフェースのインタフェースを変更することはできません。このフィールドは、 [Type] が [VLAN] に設定されている場合にのみ表示されます。

[Physical Interface Members]

802.3ad アグリゲートまたは冗長インタフェースに含めるインタフェースを、 [Available Interfaces] リストから [Selected Interfaces] リストに移動します。このフィールドは、 [Type] が [802.3ad Aggregate] または [Redundant] インタフェースのどちらかに設定されている場合にのみ表示されます。


74


[VLAN ID] この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致する VLAN ID を入力します。既存の VLAN サブインタフェースのVLAN ID を変更することはできません。VLAN ID は 1 ～ 4096 の任意の数値にすることができ、また、このVLAN サブインタフェースに接続された IEEE 802.1Q 準拠のルータまたはスイッチによって追加される VLAN ID に一致している必要があります。 98 ページの「VLAN の概要」を参照してください。このフィールドは、 [Type] が [VLAN] に設定されている場合にのみ表示されます。

[Virtual Domain] この VLAN サブインタフェースが属するバーチャルドメインを選択します。このオプションは、バーチャルドメイン設定が有効になっている場合に、スーパー管理者アカウントだけが使用できます。 61 ページの「バーチャルドメインの使用」を参照してください。

[Addressing mode]

インタフェースの静的 IP アドレスを設定するには、 [Manual] を選択します。また、インタフェースに動的 IP アドレスの割り当てを設定することもできます。 80 ページの「インタフェース上での DHCP の設定」または81 ページの「PPPoE または PPPoA のためのインタフェースの設定」を参照してください。

[IP/Netmask] [IP/Netmask] フィールドに、 IP アドレス / サブネットマスクを入力します。この IP アドレスは、インタフェースの接続先のネットワークと同じサブネット上に存在する必要があります。同じサブネット上で、 2 つのインタフェースに IP アドレスを設定することはできません。このフィールドは、 [Manual] アドレッシングモードが選択されている場合にのみ使用できます。

[DDNS] このインタフェースの Dynamic DNS サービスを設定するには、 [DDNS] をオンにします。追加のフィールドが表示されます。 83 ページの「インタフェースの Dynamic DNS サービスの設定」を参照してください。

[Ping Server] 停止ゲートウェイ検出を有効にするには、このインタフェースに接続されているネットワーク上のネクストホップルータの IP アドレスを入力し、 [Enable] をオンにします。 91 ページの「停止ゲートウェイ検出」を参照してください。

[Administrative Access]

このインタフェースで許可されている管理アクセスの種類を選択します。

[HTTPS] このインタフェースを介した Web ベースマネージャへのセキュアなHTTPS 接続を許可します。

[PING] ping に応答するインタフェース。この設定は、インストールの確認やテストに使用します。

[HTTP] このインタフェースを介した Web ベースマネージャへの HTTP 接続を許可します。 HTTP 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

[SSH] このインタフェースを介した CLI への SSH 接続を許可します。

[SNMP] リモートの SNMP マネージャがこのインタフェースに接続することによって SNMP 情報を要求できるようにします。 133 ページの「SNMP の設定」を参照してください。

[TELNET] このインタフェースを介した CLI への Telnet 接続を許可します。 Telnet接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。



ADSL インタフェースの設定

ADSL インタフェースを指定するために必要な情報は、 ISP から使用するよう指示されているアドレッシングモードによって異なります。 IPOA または EOA を使用した静的アドレッシングには、 IP アドレスとネットマスクだけが必要です。動的アドレッシングを使用している場合は、 80 ページの「インタフェース上での DHCP の設定」または 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」の説明に従って設定する必要があります。

FortiGate ユニットがトランスペアレントモードの場合、 ADSL インタフェースを設定することはできません。

[System]、[Network]、[Interface] の順に選択します。 [Create New] を選択するか、または既存のインタフェースの編集アイコンを選択します。 [Addressing mode] セクションで、 [IPoA] または [EoA] を選択します。

図 28: ADSL インタフェースのための設定

[MTU] MTU を変更するには、 [Override default MTU value (1500)] をオンにし、インタフェースのアドレッシングモードに基づいた MTU サイズを入力します。

• 静的モードの場合は、 68 ～ 1,500 バイト

• DHCP モードの場合は、 576 ～ 1,500 バイト

• PPPoE モードの場合は、 576 ～ 1,492 バイト

• ジャンボフレームの場合は、大 16,110 バイト (FortiGate3000 以上のモデル )

このフィールドは、物理インタフェースでのみ使用できます。 VLANは、デフォルトで、親インタフェースの MTU サイズを継承します。MTU とジャンボフレームの詳細については、 85 ページの「インタフェースの MTU パケットサイズ」を参照してください。

[Log] このインタフェースで送受信されるすべてのトラフィックのログを記録するには、 [Log] をオンにします。ログを記録するには、ロギング場所のトラフィックログも有効にし、ロギングレベルを [Notification] 以下に設定する必要があります。ロギングの場所と種類を設定するには、[Log&Report]、[Log Config] の順に選択します。ロギングについては、431 ページの「ログおよびレポート」を参照してください

[Secondary IP Address]

青色の矢印を選択してこのセクションを展開するか、または非表示にし、このインタフェースに IP アドレスを追加します。 86 ページの「セカンダリ IP アドレス」を参照してください。

[Description] 必要に応じて、大 63 文字までの説明を入力します。

注記 : トランスペアレントモードでは、インタフェースの MTU を変更した場合、その新しい MTU に一致するようにすべてのインタフェースの MTU を変更する必要があります。


76


802.3ad アグリゲートインタフェースの作成

2 つ以上の物理インタフェースをアグリゲート ( 結合 ) することによって、帯域幅を増やすと同時に、ある程度のリンクの冗長性を実現できます。これには、冗長インタフェースより帯域幅が広がるという利点がありますが、障害ポイントが生まれる可能性も高くなります。これらのインタフェースは、同じネクストホップルーティング宛先に接続する必要があります。

800 以上のモデルの FortiGate ファームウェアには、リンクアグリゲーションのための IEEE 標準 802.3ad が実装されています。

インタフェースでアグリゲーションを使用できるのは、そのインタフェースが次の条件を満たしている場合だけです。

• VLAN インタフェースではなく、物理インタフェースである。

• まだアグリゲートまたは冗長インタフェースの一部になっていない。

• アグリゲートインタフェースと同じ VDOM に含まれている。

• IP アドレスが定義されておらず、 DHCP や PPPoE も設定されていない。

• DHCP サーバまたはリレーが設定されていない。

• VLAN サブインタフェースが存在しない。

• どのファイアウォールポリシー、 VIP、 IP プール、マルチキャストポリシーでも参照されていない。

• HA ハートビートインタフェースではない。

• FortiGate 5000 シリーズバックプレーンインタフェースのいずれでもない。

インタフェースがアグリゲートインタフェースに含まれている場合、そのインタフェースは [System]、[Network]、[Interface] ページに表示されません。個別に設定することはできなくなり、ファイアウォールポリシー、 VIP、 IP プール、またはルーティングに含めることもできません。

[Address mode] ISP から指定されているアドレッシングモードを選択します。

[IPOA] IP over ATM。 ISP から提供されている IP アドレスとネットマスクを入力します。

[EOA] Ethernet over ATM (Bridged モードとも呼ばれます )。 ISPから提供されている IP アドレスとネットマスクを入力します。

[DHCP] 80 ページの「インタフェース上での DHCP の設定」を参照してください。

[PPPoE] 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」を参照してください。

[PPPoA] 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」を参照してください。

[Gateway] デフォルトのゲートウェイを入力します。

[Connect to Server] インタフェースが自動的に接続を試みるようにするには、[Connect to Server] をオンにします。インタフェースをオフラインで設定する場合は、このオプションをオフにします。

[Virtual Circuit Identification] ISP から提供されている VPI と VCI の値を入力します。

[MUX Type] MUX の種類を [LLC Encap] または [VC Encap] から選択します。ISP からこの情報が提供されている必要があります。



図 29: 802.3ad アグリゲートインタフェースのための設定

802.3ad アグリゲートインタフェースを作成するには


2 [Create New] を選択します。

3 [Name] フィールドに、アグリゲートインタフェースの名前を入力します。

このインタフェース名は、他のどのインタフェース、ゾーン、 VDOM とも同じであってはなりません。

4 [Type] リストから、 [802.3ad Aggregate] を選択します。

5 一度に 1 つずつ、 [Available Interfaces] リストからアグリゲートインタフェースに含める各インタフェースを選択した後、右矢印ボタンを選択して [Selected Interfaces] リストに移動します。

6 このインタフェースを NAT/ ルートモードで動作させる場合は、そのためのアドレッシングを設定する必要があります。動的アドレッシングについては、次の項を参照してください。

• 80 ページの「インタフェース上での DHCP の設定」

• 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」

7 必要に応じて、他のインタフェースオプションを設定します。


冗長インタフェースの作成

2 つ以上の物理インタフェースを結合することによって、リンクの冗長性を実現できます。この機能を使用すると、 2 つ以上のスイッチに接続して、 1 つの物理インタフェースまたはそのインタフェース上の装置に障害が発生した場合でも接続を保証することができます。

冗長リンクは、トラフィックが ( 冗長リンク内にインタフェースがいくつ含まれていても ) 常に 1 つのインタフェースしか通過しないという点でリンクアグリゲーションとは異なりますが、冗長インタフェースによって、発生し得る障害ポイントの少ない、より安定した構成が可能になります。フルメッシュ HA 構成では、この点が重要です。

800 以上のモデルの FortiGate ファームウェアには、冗長インタフェースが実装されています。

インタフェースを冗長インタフェースに含めることができるのは、そのインタフェースが次の条件を満たしている場合だけです。

• VLAN インタフェースではなく、物理インタフェースである。


78


• まだアグリゲートまたは冗長インタフェースの一部になっていない。

• 冗長インタフェースと同じ VDOM に含まれている。

• IP アドレスが定義されておらず、 DHCP や PPPoE も設定されていない。

• DHCP サーバまたはリレーが設定されていない。

• VLAN サブインタフェースが存在しない。

• どのファイアウォールポリシー、 VIP、 IP プール、マルチキャストポリシーでも参照されていない。

• HA によって監視されていない。

インタフェースが冗長インタフェースに含まれている場合、そのインタフェースは [System]、[Network]、[Interface] ページに表示されません。個別に設定することはできなくなり、ファイアウォールポリシー、 VIP、 IP プール、またはルーティングに含めることもできません。

図 30: 冗長インタフェースのための設定

冗長インタフェースを作成するには



3 [Name] フィールドに、冗長インタフェースの名前を入力します。

このインタフェース名は、他のどのインタフェース、ゾーン、 VDOM とも同であってはなりません。

4 [Type] リストから、 [Redundant Interface] を選択します。

5 一度に 1 つずつ、 [Available Interfaces] リストから冗長インタフェースに含める各物理インタフェースを選択した後、右矢印ボタンを選択して [Selected Interfaces] リストに移動します。追加したインタフェースは、 [Selected Interfaces] リストに表示されている順序で使用されます。たとえば、リスト内の

初のインタフェースに障害が発生した場合は、 2 番目のインタフェースが使用されます。

6 このインタフェースを NAT/ ルートモードで動作させる場合は、そのためのアドレッシングを設定する必要があります。動的アドレッシングについては、次の項を参照してください。

• 80 ページの「インタフェース上での DHCP の設定」

• 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」





無線インタフェースの作成

FortiWiFi-60A および FortiWiFi-60AM モデルでは、無線 WLAN インタフェースを作成できます。 (FortiWiFi-60 ユニットで無線インタフェースを作成するには、112 ページの「システム無線の設定 (FortiWiFi-60)」を参照してください。 )



3 [Name] フィールドに、無線インタフェースの名前を入力します。

このインタフェース名は、他のどのインタフェース、ゾーン、 VDOM とも同であってはなりません。

4 [Type] リストから、 [Wireless] を選択します。

5 [Wireless Settings] セクションで、次の情報を入力します。

図 31: 無線インタフェースの設定

[SSID] FortiWiFi-60 ユニットがブロードキャストする無線ネットワーク名を入力します。無線ネットワークを使用するユーザは、自分のコンピュータを、このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります。

[SSID Broadcast] ユニットで SSID をブロードキャストする場合に選択します。 ( アクセスポイントモードのみ )

[Security Mode] WEP を使用するには、 [WEP64] または [WEP128] を選択します。 WPA ( アクセスポイントモードでのみ使用可能 ) を使用するには、 [WPA Pre-shared Key] または [WPA_Radius] を選択します。 FortiWiFi-60 無線ネットワークのユーザは、各自のコンピュータを、同じ設定を使用して設定する必要があります。

[Key] 64 ビット WEP キーの場合は、 10 桁の 16 進数 (0-9、 a-f) を入力します。 128 ビット WEP キーの場合は、 26 桁の 16 進数 (0-9、 a-f) を入力します。無線ネットワークのユーザは、各自のコンピュータに同じキーを設定する必要があります。

[Pre-shared Key] [WPA Pre-shared Key] セキュリティモードの場合は、事前共有キーを入力します。無線ネットワークのユーザは、各自のコンピュータに同じキーを設定する必要があります。

[RADIUS Server Name] [WPA Radius] セキュリティモードの場合は、リストからRadius サーバ名を選択します。この Radius サーバは、[User]、[Radius] で設定されている必要があります。詳細については、 340 ページの「RADIUS サーバ」を参照してください。

[Data Encryption] WPA モードの場合に適用されます。 [TKIP] または [AES (WPA2)] のどちらかのデータ暗号化を選択します。

[RTS Threshold] RTS (Request to Send) しきい値は、ユニットが別の無線デバイスからの CTS (Clear to Send) 受信確認を待つ時間を設定します。

[Fragmentation Threshold] 2 つ以上のパケットに分割されないデータパケットの大サイズを設定します。このしきい値を下げると、受信状態の悪い環境のパフォーマンスが向上する可能性があります。


80




インタフェース上での DHCP の設定

DHCP を使用するようにインタフェースを設定した場合、 FortiGate ユニットはDHCP 要求を自動的にブロードキャストします。このインタフェースには、 IP アドレスとオプションの DNS サーバアドレス、および DHCP サーバによって提供されるデフォルトゲートウェイアドレスが設定されます。

[System]、[Network]、[Interface] の順に選択します。 [Create New] を選択するか、または既存のインタフェースの編集アイコンを選択します。 [Addressing mode] セクションで、 [DHCP] を選択します。

図 32: インタフェースの DHCP 設定

図 33: ADSL インタフェースの DHCP 設定

[Status] FortiGate ユニットが DHCP サーバに接続し、アドレッシング情報を取得するときの DHCP の状態メッセージを表示します。アドレッシングモードの状態メッセージを更新するには、 [Status] を選択します。これは、 [Edit] を選択した場合にのみ表示されます。[Status] には、次のいずれかが表示されます。

• [initializing] - 動作していません。

• [connecting] - インタフェースは、 DHCP サーバに接続しようとしています。

• [connected] - インタフェースは、 DHCP サーバから IP アドレス、ネットマスク、その他の設定を取得しました。

• [failed] - インタフェースは、DHCP サーバから IP アドレスやその他の情報を取得できませんでした。

[Obtained IP/Netmask]

DHCP サーバからリースされた IP アドレスとネットマスク。これは、 [Status] が [connected] の場合にのみ表示されます。

[Renew] このインタフェースの DHCP ライセンスを更新する場合に選択します。これは、 [Status] が [connected] の場合にのみ表示されます。

[Expiry Date] リースされた IP アドレスとネットマスクが有効でなくなる時刻と日付。これは、 [Status] が [connected] の場合にのみ表示されます。



PPPoE または PPPoA のためのインタフェースの設定

PPPoE または PPPoA を使用するようにインタフェースを設定した場合、FortiGate ユニットは PPPoE または PPPoA 要求を自動的にブロードキャストします。 FortiGate ユニットをオフラインで設定し、 FortiGate ユニットで PPPoE また

は PPPoA 要求を送信しないようにする場合は、 [Connect to Server] をオフにすることができます。

FortiGate ユニットは、 Unnumbered IP、初期検出タイムアウト、 PADT (PPPoE Active Discovery Terminate) など、 PPPoE RFC 機能 (RFC 2516) の多くをサポートしています。

PPPoA は、 ADSL をサポートする FortiGate モデルでのみ使用できます。

[System]、[Network]、[Interface] の順に選択します。 [Create New] を選択するか、または既存のインタフェースの編集アイコンを選択します。 [Addressing mode] セクションで、 [PPPoE] または [PPPoA] を選択します。

図 34: インタフェースの PPPoE 設定

[Default Gateway]

DHCP サーバで定義されたゲートウェイの IP アドレス。これは、 [Status] が [connected] であり、かつ [Retrieve defaultgateway from server] がオンになっている場合にのみ表示されます。

[Distance] DHCP サーバから取得されたデフォルトゲートウェイのディスタンスを入力します。ディスタンス (1 ～ 255 の整数 ) は、同じ宛先へのルートが複数存在する場合の、ルートの相対的な優先順位を指定します。ディスタンスが小さいほど、優先順位が高いルートであることを示します。デフォルトゲートウェイのデフォルトの距離は 1 です。

[Retrieve default gateway from server]

DHCP サーバからデフォルトゲートウェイの IP アドレスを取得するには、 [Retrieve default gateway from server] をオンにします。このデフォルトゲートウェイは、スタティックルーティングテーブルに追加されます。

[Override internal DNS]

[DNS] ページ上の DNS サーバ IP アドレスの代わりに、 DHCPサーバから取得された DNS アドレスを使用するには、 [Override internal DNS] をオンにします。100 以下の番号のモデルでは、 [System]、[Network]、[Options] ページにある [Obtain DNS server address automatically] もオンにする必要があります。 91 ページの「DNS サーバ」を参照してください。

[Connect to Server] インタフェースが自動的に DHCP サーバへの接続を試みるようにするには、 [Connect to Server] をオンにします。インタフェースをオフラインで設定する場合は、このオプションをオフにします。


82


図 35: ADSL インタフェースの PPPoE または PPPoA 設定

[Status] FortiGate ユニットが PPPoE または PPPoA サーバに接続し、アドレッシング情報を取得するときの PPPoE または PPPoA の状態メッセージを表示します。アドレッシングモードの状態メッセージを更新するには、 [Status] を選択します。これは、 [Edit] を選択した場合にのみ表示されます。[Status] には、次の 4 つのメッセージのいずれかが表示されます。

[initializing] 動作していません。

[connecting] インタフェースは、 PPPoE または PPPoA サーバに接続しようとしています。

[connected] インタフェースは、 PPPoE サーバから IP アドレス、ネットマスク、その他の設定を取得しました。[Status] が [connected] の場合は、 PPPoE または PPPoA の接続情報が表示されます。

[failed] インタフェースは、 PPPoE または PPPoA サーバから IP アドレスやその他の情報を取得できませんでした。

[Reconnect] PPPoE または PPPoA サーバに再接続する場合に選択します。これは、 [Status] が [connected] の場合にのみ表示されます。

[User Name] PPPoE または PPPoA アカウントのユーザ名。

[Password] PPPoE または PPPoA アカウントのパスワード。

[Unnumbered IP] インタフェースの IP アドレスを指定します。 ISP から IP アドレスのブロックが割り当てられている場合は、そのうちの 1 つを使用します。それ以外の場合、この IP アドレスは別のインタフェースの IP アドレスと同じでも、その他の任意の IP アドレスでもかまいません。

[Initial Disc Timeout]

初期検出タイムアウト。 PPPoE または PPPoA 検出の再試行を開始するまでに待つ時間。無効にするには、 [Initial Disc Timeout] を 0 に設定します。

[Initial PADT timeout]

初期の PADT (PPPoE Active Discovery Terminate) タイムアウト ( 秒単位 )。この秒数の間アイドルになっている PPPoE または PPPoA セッションをシャットダウンするには、このタイムアウトを使用します。ISP で PADT がサポートされている必要があります。無効にするには、 [Initial PADT timeout] を 0 に設定します。

[Distance] PPPoE または PPPoA サーバから取得されたデフォルトゲートウェイのディスタンスを入力します。ディスタンス (1 ～ 255 の整数 ) は、同じ宛先へのルートが複数存在する場合の、ルートの相対的な優先順位を指定します。ディスタンスが小さいほど、優先順位が高いルートであることを示します。デフォルトゲートウェイのデフォルトのディスタンスは 1 です。

[Retrieve default gateway from server]

PPPoE サーバからデフォルトゲートウェイの IP アドレスを取得するには、 [Retrieve default gateway from server] をオンにします。このデフォルトゲートウェイは、スタティックルーティングテーブルに追加されます。



インタフェースの Dynamic DNS サービスの設定

FortiGate ユニットに静的なドメイン名と動的なパブリック IP アドレスが設定されている場合は、 DDNS サービスを使用して、ドメインの IP アドレスの変更時にインターネット DNS サーバを更新できます。

Dynamic DNS は、 NAT/ ルートモードでのみ使用できます。

[System]、[Network]、[Interface] の順に選択します。 [Create New] を選択するか、または既存のインタフェースの編集アイコンを選択します。 [Addressing mode] セクションのすぐ下にある [DDNS] をオンにし、提供されている情報を使用して DDNS サービスを設定します。

FortiGate ユニットは、 DDNS サーバに接続できない場合は常に、 1 分間隔で 3 回の再試行を行った後、 3 分間隔での再試行に移行します。これは、 DDNS サーバのフラッディングを防ぐためです。

図 36: DDNS サービスの設定

仮想 IPSec インタフェースの設定

仮想 IPSec インタフェースを作成するには、 VPN の作成時に [VPN]、[IPSec]、[Auto Key] または [VPN]、[IPSec]、[Manual Key] で [IPSec Interface Mode] を選択します。また、 [Local Interface] リストから物理インタフェースまたは VLANインタフェースを選択することもできます。仮想 IPSec インタフェースは、[System]、[Network]、[Interface] ページに、そのインタフェースのサブインタフェースとして表示されます。詳細については、次の項を参照してください。

• 303 ページの「IPSec インタフェースモードの概要」

• 305 ページの「自動キー」または 315 ページの「手動キー」

[System]、[Network]、[Interface] の順に選択し、 IPSec インタフェースの [Edit] を選択して、次の操作を行います。

• IPSec インタフェースのローカルおよびリモートエンドポイントのIP アドレスを設定することにより、そのインタフェースを介してダイナミックルーティングを実行したり、 ping を使用してトンネルをテストしたりできるようにする。

[Override internal DNS]

[System DNS] ページ上の DNS サーバ IP アドレスを、 PPPoE またはPPPoA サーバから取得された DNS アドレスで置き換えるには、[Override internal DNS] をオンにします。

[Connect to Server]

[OK] または [Apply] を選択したときに、インタフェースが自動的にPPPoE または PPPoA サーバへの接続を試みるようにするには、[Connect to Server] をオンにします。インタフェースをオフラインで設定する場合は、このオプションをオフにします。

[Server] 使用する DDNS サーバを選択します。これらのサービスのクライアントソフトウェアは、 FortiGate ファームウェアに組み込まれています。 FortiGate ユニットは、これらのサービスのいずれかにのみ接続できます。

[Domain] DDNS サービスの完全修飾ドメイン名。

[Username] DDNS サーバに接続するときに使用するユーザ名。

[Password] DDNS サーバに接続するときに使用するパスワード。


84


• IPSec インタフェースを介した管理アクセスを有効にする。

• インタフェース上のロギングを有効にする。

• インタフェースの説明を入力する。

図 37: 仮想 IPSec インタフェースの設定

[Name] IPSec インタフェースの名前。

[Virtual Domain] IPSec インタフェースの VDOM を選択します。

[IP][Remote IP]

トンネルでダイナミックルーティングを使用する場合や、トンネルインタフェースに ping を発行できるようにする場合は、トンネルのローカルおよびリモートエンドポイントの IP アドレスを入力します。この 2 つのアドレスは、ネットワーク内の他のどの場所でも使用されていないアドレスにする必要があります。


このインタフェースで許可されている管理アクセスの種類を選択します。

[HTTPS] このインタフェースを介した Web ベースマネージャへのセキュアな HTTPS 接続を許可します。

[PING] ping に応答するインタフェース。この設定は、インストールの確認やテストに使用します。

[HTTP] このインタフェースを介した Web ベースマネージャへの HTTP 接続を許可します。 HTTP 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

[SSH] このインタフェースを介した CLI への SSH 接続を許可します。

[SNMP] リモートの SNMP マネージャがこのインタフェースに接続することによって SNMP 情報を要求できるようにします。 133 ページの「SNMP の設定」を参照してください。

[TELNET] このインタフェースを介した CLI への Telnet 接続を許可します。Telnet 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

[Log] このインタフェースで送受信されるすべてのトラフィックのログを記録するには、 [Log] をオンにします。ログを記録するには、ロギング場所のトラフィックログも有効にし、ロギングレベルを [Notification] 以下に設定する必要があります。ロギングの場所と種類を設定するには、 [Log&Report]、[Log Config] の順に選択します。ロギングについては、 431 ページの「ログおよびレポート」を参照してください

[Description] 必要に応じて、大 63 文字までの説明を入力します。



インタフェースの追加の設定

基本的な設定が実行されたインタフェースに対して、いくつかの追加の設定を実行することが可能です。インタフェースの追加の設定には、次の設定が含まれます。

• インタフェースへの管理アクセス

• インタフェースの MTU パケットサイズ

• インタフェースのトラフィックロギング

• セカンダリ IP アドレス

インタフェースへの管理アクセス

NAT/ ルートモードで動作している VDOM の場合は、その VDOM 内のインタフェースへの管理アクセスを制御できます。

FortiGate ユニットのリモート管理を許可することができます。ただし、インターネットからのリモート管理を許可すると、 FortiGate ユニットのセキュリティが危険にさらされる可能性があります。設定にとって必須でない限り、この危険性を避けるようにしてください。インターネットからのリモート管理を許可した FortiGate ユニットのセキュリティを向上させるには、次のようにします。

セキュアな管理ユーザパスワードを使用します。

これらのパスワードを定期的に変更します。

HTTPS または SSH のみを使用して、このインタフェースへのセキュアな管理アクセスを有効にします。

システムのアイドルタイムアウトをデフォルト値の 5 分から変更しないでください (162 ページの「設定」を参照 )。

トランスペアレントモードで管理アクセスを設定する方法の詳細については、148 ページの「動作モードおよび VDOM 管理アクセス」を参照してください。

インタフェースへの管理アクセスを制御するには


2 インタフェースを選択し、 [Edit] を選択します。

3 インタフェースの管理アクセス方法を選択します。

4 [OK] を選択して変更を保存します。

インタフェースの MTU パケットサイズ

ネットワークパフォーマンスを向上させるために、 FortiGate ユニットが転送するパケットの大転送単位 (MTU) を変更できます。 MTU は、 FortiGate ユニットとパケットの宛先との間のすべてのネットワークの小の MTU と同じであることが理想です。 FortiGate ユニットが送信するパケットがこの MTU より大きい場合は、パケットが分割 ( または細分化 ) され、それによって転送速度が低下します。 MTU を小さくしてみて、高のネットワークパフォーマンスが得られるMTU サイズを見つけてください。


86


3000 以上の番号の FortiGate モデルは、ジャンボフレームをサポートしています。モデルによって、 9,000 バイトの制限をサポートしている場合と、 16,110 バイトをサポートしている場合があります。ジャンボフレームは大 9,000 または 16,110バイトであり、標準のイーサネットフレームよりはるかに大きくすることができます。標準のイーサネットフレーム ( パケット ) は、ヘッダ情報を含めて大1,500 バイトです。新しいイーサネット標準 ( ギガビットイーサネットなど ) が実装されても、 1,500 バイトフレームは下位互換性のために維持されています。

あるルートを介してジャンボフレームを送信するには、そのルート上のすべてのイーサネットデバイスがジャンボフレームをサポートしている必要があります。そうでないと、ジャンボフレームが認識されず、転送されません。

同じインタフェース上に標準のイーサネットフレームとジャンボフレームのトラフィックが存在する場合は、ルーティングの仕組みだけでは、フレームサイズのみに基づいてそれぞれのトラフィックを異なるルートにルーティングすることはできません。ただし、 VLAN を使用すると、ジャンボフレームのトラフィックが、ジャンボフレームをサポートするネットワークデバイスを介してルーティングされることを保証できます。 VLAN は、 MTU サイズを親インタフェースから継承します。 VLAN を、そのルートの両端だけでなく、そのルートに沿ったすべてのスイッチおよびルータに設定する必要があります。 VLAN 設定の詳細については、『FortiGate VLAN および VDOM ガイド』を参照してください。

インタフェースから送信されるパケットの MTU サイズを変更するには


2 物理インタフェースを選択し、 [Edit] を選択します。

3 [Override default MTU value (1500)] をオンにします。

4 MTU サイズを設定します。

FortiGate ユニットでサポートされているサイズより大きい MTU サイズを選択すると、エラーメッセージが表示されます。この場合は、値がサポートされるサイズになるまで MTU サイズを小さくしてみてください。サポートされている大値は、 16,110、 9,000、および 1,500 です。

インタフェースのトラフィックロギング

任意のインタフェースのトラフィックロギングを有効にすることができます。詳細については、 440 ページの「トラフィックログ」を参照してください。

セカンダリ IP アドレス

1 つのインタフェースに、複数の IP アドレスを割り当てることができます。インタフェース上の IP アドレスごとに別のファイアウォールポリシーを作成し、適用することができます。また、セカンダリ IP アドレスでトラフィックを転送したり、 RIP または OSPF ルーティングを使用したりすることもできます。

インタフェースあたり、大 32 のセカンダリ IP アドレスを設定できます。プライマリ IP アドレスとセカンダリ IP アドレスは、同じ ping ジェネレータを共有できます。

注記 : MTU を変更した場合は、変更されたインタフェース上の VLAN サブインタフェースの MTU 値を更新するために、 FortiGate ユニットを再起動する必要があります。

注記 : トランスペアレントモードでは、インタフェースの MTU を変更した場合、その新しい MTU に一致するようにすべてのインタフェースの MTU を変更する必要があります。




セカンダリ IP アドレスを割り当てる際には、以下が適用されている必要があります。

• 先にインタフェースにプライマリ IP アドレスを割り当てる必要があります。

• インタフェースは、手動アドレッシングモードで設定する必要があります。

• デフォルトでは、同じサブネットに含まれる複数の IP アドレスを使用することはできません。インタフェースサブネットの重複を許可するには、次のCLI コマンドを使用します。

config system global(global)# set allow-interface-subnet-overlap enable(global)#end

セカンダリ IP アドレスは、 VPN トンネルを終端できません。

CLI コマンドの config system interface を使用して、インタフェースにセカンダリ IP アドレスを追加できます。詳細については、『FortiGate CLI リファレン

ス』の「system interface」の下にある「config secondaryip」を参照してください。

図 38: セカンダリ IP アドレスの追加

[IP/Netmask] [IP/Netmask] フィールドに、 IP アドレス / サブネットマスクを入力します。この IP アドレスは、インタフェースの接続先のネットワークと同じサブネット上に存在する必要があります。2 つのインタフェースに同じサブネット上の IP アドレスを設定することはできません。このフィールドは、 [Manual] アドレッシングモードが選択されている場合にのみ使用できます。

[Ping Server] 停止ゲートウェイ検出を有効にするには、このインタフェースに接続されているネットワーク上のネクストホップルータの IPアドレスを入力し、 [Enable] をオンにします。 91 ページの「停止ゲートウェイ検出」を参照してください。複数のアドレスで同じ ping サーバを共有できます。このフィールドはオプションです。


セカンダリ IP で許可されている管理アクセスの種類を選択します。プライマリアドレスとは異なる種類を選択できます。

[HTTPS] このセカンダリ IP を介した Web ベースマネージャへのセキュアな HTTPS 接続を許可します。

[PING] ping に応答するセカンダリ IP。この設定は、インストールの確認やテストに使用します。

[HTTP] このセカンダリ IP を介した Web ベースマネージャへの HTTP 接続を許可します。 HTTP 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

[SSH] このセカンダリ IP を介した CLI への SSH 接続を許可します。

[SNMP] リモートの SNMP マネージャがこのセカンダリ IP に接続することによって SNMP 情報を要求できるようにします。 133 ページの「SNMP の設定」を参照してください。




88

ゾーンシステム - ネットワーク

ゾーン

ゾーンを使用して、関連するインタフェースと VLAN サブインタフェースをグループ化することができます。インタフェースと VLAN サブインタフェースをゾーンにグループ化すると、ポリシーの作成が簡略化されます。インタフェースと VLAN サブインタフェースをゾーンにグループ化した場合は、このゾーンと外部の間の接続に関するポリシーは設定できますが、ゾーン内のインタフェース間のポリシーは設定できません。

ゾーンの追加、ゾーンの名前変更や編集、ゾーンリストからのゾーンの削除を行うことができます。ゾーンを追加する場合は、ゾーンに追加するインタフェースと VLAN サブインタフェースの名前を選択します。

ゾーンは、バーチャルドメインに追加されます。 FortiGate の設定に複数のバーチャルドメインを追加している場合は、ゾーンを追加または編集する前に、正しいバーチャルドメインを設定していることを確認してください。

図 39: ゾーンリスト

[TELNET] このセカンダリ IP を介した CLI への Telnet 接続を許可します。Telnet 接続はセキュリティ保護されていないため、第三者によって傍受される可能性があります。

[Add] 設定されたセカンダリ IP アドレスを、下に表示されているセカンダリ IP テーブルに追加するには、 [Add] を選択します。このテーブル内のアドレスは、この画面の一番下にある [OK] または [Apply] を選択するまでインタフェースには追加されません。

[Secondary IP table] このインタフェースに追加されたすべてのセカンダリ IP アドレスを示すテーブル。これらのアドレスは、この画面の一番下にある [OK] または [Apply] を選択するまでインタフェースに完全には追加されません。それ以外の場合は、上の制限のために、一部のアドレスがテーブルから削除される可能性があります。

# セカンダリ IP アドレスの番号。 1 つのインタフェースには、大 32 の追加の IP アドレスが存在できます。

[IP/Netmask] このセカンダリ IP の IP アドレスとネットマスク。

[Ping Server] このアドレスのための ping サーバの IP アドレス。 ping サーバは、複数のアドレスで共有できます。ping サーバはオプションです。

[Enable] ping サーバのオプションが選択されているかどうかを示します。

[Access] このアドレスの管理アクセス方法。プライマリ IP アドレスとは異なる方法を選択できます。

削除アイコンこのセカンダリ IP のエントリを削除する場合に選択します。

注記 : セカンダリ IP を追加したら、セカンダリ IP テーブルに戻り、新しいアドレスが表示されていることを確認することをお勧めします。表示されていない場合、そのアドレスはいずれかの制限のために追加されませんでした。


システム - ネットワークネットワークオプション

ゾーンの設定

ゾーンを設定するには、 [System]、[Network]、[Zone] の順に選択します[Create New] を選択するか、またはゾーンの編集アイコンを選択してそのゾーンを変更します。

図 40: ゾーンのオプション

ネットワークオプション

ネットワークオプションには、 DNS サーバや停止ゲートウェイ検出の設定が含まれます。これらのオプションは、 [Configuring Network Options] 画面で設定されます。

[Create New] 新しいゾーンを作成するには、 [Create New] を選択します。

[Name] 追加したゾーンの名前。

[Block intra-zone traffic]

同じゾーン内のインタフェース間のトラフィックがブロックされている場合は [Yes]、同じゾーン内のインタフェース間のトラフィックがブロックされていない場合は [No] を表示します。

[Interface Members] このゾーンに追加されたインタフェースの名前。インタフェース名は、 FortiGate モデルによって異なります。

編集 / 表示アイコンゾーンを編集または表示します。

削除アイコンゾーンを削除します。

[Name] ゾーンを識別する名前を入力します。

[Block intra-zone traffic]

同じゾーン内のインタフェースまたは VLAN サブインタフェース間のトラフィックをブロックするには、 [Block intra-zone traffic] をオンにします。

[Interface members]

このゾーンの一部にするインタフェースを選択します。このリストには、設定済みの VLAN が含まれています。


90

ネットワークオプションシステム - ネットワーク

DNS サーバや停止ゲートウェイ検出の設定を行うには、 [System]、[Network]、[Options] の順に選択します。

図 41: ネットワークオプション - 200 以上の FortiGate モデル

図 42: ネットワークオプション - 100 以下の番号のモデル

[Obtain DNS server address automatically]

このオプションは、 100 以下の FortiGate モデルにのみ適用されます。インタフェース上で DHCP が使用されている場合は、DNS サーバ IP アドレスも取得します。 NAT/ ルートモードでのみ使用できます。また、インタフェースの DHCP設定で [Override internal DNS] もオンにする必要があります。 80 ページの「インタフェース上での DHCP の設定」を参照してください。

[Use the following DNS server addresses]

このオプションは、 100 以下の FortiGate モデルにのみ適用されます。指定されたプライマリおよびセカンダリ DNS サーバアドレスを使用します。

[Primary DNS Server] プライマリ DNS サーバ IP アドレスを入力します。

[Secondary DNS Server] セカンダリ DNS サーバ IP アドレスを入力します。

[Local Domain Name] DNS 参照の実行時にドメイン部分のないアドレスに追加するドメイン名を入力します。


システム - ネットワークネットワークオプション

DNS サーバ

アラートメールや URL ブロッキングなど、 FortiGate 機能の一部は DNS を使用しています。 FortiGate ユニットの接続先の DNS サーバの IP アドレスを指定することができます。 DNS サーバ IP アドレスは通常、 ISP によって指定されます。

100 以下の番号の FortiGate モデルは、 DNS サーバアドレスを自動的に取得するように設定できます。これらのアドレスを自動的に取得するには、少なくとも 1つの FortiGate ユニットインタフェースが DHCP または PPPoE アドレッシングモードを使用する必要があります。 80 ページの「インタフェース上での DHCPの設定」または 81 ページの「PPPoE または PPPoA のためのインタフェースの設定」を参照してください。

100 以下の FortiGate モデルは、そのインタフェース上で DNS 転送を実行できます。接続されたネットワーク上のホストは、このインタフェースの IP アドレスを DNS サーバとして使用します。このインタフェースに送信された DNS 要求は、ユーザによって設定されたか、または FortiGate ユニットによって自動的に取得された DNS サーバアドレスに転送されます。

停止ゲートウェイ検出

停止ゲートウェイ検出は、 ping サーバに定期的に ping を発行してネットワーク接続を確認します。一般に、この ping サーバは、外部ネットワークまたはインターネットにつながるネクストホップルータです。 ping の間隔 ([Detection Interval]) と、接続の切断を示すと見なされる ping の失敗回数 ([Fail-over Detection]) は、 [System]、[Network]、[Options] ページで設定されます。

インタフェースに対して停止ゲートウェイ検出を適用するには、そのインタフェース上に ping サーバを設定する必要があります。

インタフェースに ping サーバを追加するには


2 インタフェースを選択し、 [Edit] を選択します。

3 [Ping Server] を、このインタフェースに接続されているネットワーク上のネクストホップルータの IP アドレスに設定します。

4 [Enable] チェックボックスをオンにします。


[Enable DNS forwarding from] このオプションは、 NAT/ ルートモードで動作している100 以下の FortiGate モデルにのみ適用されます。受信した DNS 要求を設定された DNS サーバに転送するインタフェースを選択します。

[Dead Gateway Detection] 停止ゲートウェイ検出は、インタフェース設定に追加された ping サーバを使用して接続を確認します。インタフェースへの ping サーバの追加については、 91 ページの「停止ゲートウェイ検出」を参照してください。

[Detection Interval] FortiGate ユニットが対象に ping を発行する頻度を示す秒数を入力します。

[Fail-over Detection] FortiGate ユニットがゲートウェイを機能していないと見なすまでの ping テストの失敗の回数を入力します。


92

ルーティングテーブル ( トランスペアレントモード ) システム - ネットワーク

ルーティングテーブル ( トランスペアレントモード )

トランスペアレントモードでは、 [System]、[Network]、[Routing Table] の順に選択して、 FortiGate ユニットからローカルルータへの静的ルートを追加します。

図 43: ルーティングテーブル

トランスペアレントモードのルート設定

ルートを追加するには、 [System]、[Network]、[Routing Table] の順に選択し、[Create New] を選択します。また、既存のルートの編集アイコンを選択してそのルートを変更することもできます。

図 44: トランスペアレントモードのルートオプション

[Create New] 新しいルートを追加します。

# ルートの番号。

[IP] このルートの宛先 IP アドレス。

[Mask] このルートのネットマスク。

[Gateway] このルートがトラフィックを転送する先のネクストホップルータのIP アドレス。

[Distance] このルートの相対的な優先順位。 1 がも高い優先順位です。

削除アイコンルートを削除します。

表示 / 編集アイコン

ルートを編集または表示します。

移動アイコンリスト内のルートの位置を変更します。

[Destination IP /Mask]

このルートの宛先 IP アドレスとネットマスクを入力します。デフォルトのルートを作成するには、宛先 IP とマスクを「0.0.0.0」に設定します。

[Gateway] このルートがトラフィックを転送する先のネクストホップルータの IP アドレスを入力します。インターネット接続の場合は、ネクストホップルーティングゲートウェイがトラフィックをインターネットにルーティングします。

[Distance] このルートの相対的な優先順位。 1 がも高い優先順位です。


システム - ネットワークモデムインタフェースの設定

モデムインタフェースの設定

モデムがサポートされている FortiGate モデルでは、 NAT/ ルートモードで、モデムをバックアップインタフェースまたはスタンドアロンインタフェースのどちらとしても使用できます。

• 冗長 ( バックアップ ) モードでは、イーサネットインタフェースが使用できなくなると、モデムインタフェースが、選択されたイーサネットインタフェースから自動的に処理を引き継ぎます。

• スタンドアロンモードでは、モデムインタフェースが、 FortiGate ユニットからインターネットへの接続になります。

ISP に接続する場合 ( どちらの設定の場合も )、 FortiGate ユニットのモデムは、モデムが ISP に接続されるまで大 3 つのダイヤルアップアカウントを自動的にダイヤルできます。

FortiGate モデル 50AM および 60M は、内蔵モデムを備えています。これらのモデルの場合は、 Web ベースマネージャでモデムの動作を設定できます。「モデムの設定」を参照してください。

モデル 50A および 60 は、 USB シリアルコンバータを介して外付けモデムに接続できます。これらのモデルの場合は、 CLI を使用してモデムの動作を設定する必要があります。『FortiGate CLI リファレンス』にある system modem コマンドを参照してください。

モデムの設定

FortiGate ユニットがモデムを使用して ISP のダイヤルアップアカウントに接続するように、モデム設定を設定します。大 3 つのダイヤルアップアカウントを設定したり、スタンドアロンまたは冗長の動作を選択したり、モデムのダイヤルや接続解除の方法を設定したりすることができます。

モデムを設定したり使用したりできるのは、NAT/ ルートモードの場合だけです。

注記 : モデムインタフェースは、リモートコンソール接続に使用されるポートであるAUX ポートとは異なります。 AUX ポートには、関連付けられたインタフェースがありません。 AUX ポートは、 FortiGate モデル 1000A、 1000AFA2、および 3000A でのみ使用できます。詳細については、『FortiGate CLI リファレンス』にある config system aux コマ

ンドを参照してください。




94

モデムインタフェースの設定システム - ネットワーク

図 45: モデム設定 ( スタンドアロン )

図 46: モデム設定 ( 冗長 )

[Enable Modem] FortiGate のモデムを有効にする場合に選択します。

[Modem status] モデム状態には、 "not active"、 "connecting"、 "connected"、"disconnecting"、 "hung up" のいずれかが表示されます ( スタンドアロンモードのみ )。

[Dial Now]/[Hang Up] ( スタンドアロンモードのみ ) ダイヤルアップアカウントに手動で接続するには、 [Dial Now] を選択します。モデムが接続されている場合は、 [Hang Up] を選択して手動でモデムを接続解除できます。

[Mode] [Standalone] または [Redundant] モードを選択します。スタンドアロンモードでは、モデムは独立したインタフェースです。冗長モードでは、モデムは、選択されたイーサネットインタフェースのためのバックアップ機能です。



冗長モードでモデムを設定するには、 95 ページの「冗長モードの設定」を参照してください。

スタンドアロンモードでモデムを設定するには、 96 ページの「スタンドアロンモードの設定」を参照してください。

冗長モードの設定

冗長モードでのモデムインタフェースは、選択されたイーサネットインタフェースをバックアップします。そのイーサネットインタフェースがネットワークから接続解除した場合、モデムは、設定済みのダイヤルアップアカウントに自動的にダイヤルします。モデムがダイヤルアップアカウントに接続すると、 FortiGate ユニットは、通常は選択されたイーサネットインタフェースに宛てられる IP パケットをモデムインタフェースにルーティングします。

イーサネットインタフェースが再びネットワークに接続できるようになると、FortiGate ユニットはモデムインタフェースを接続解除して、イーサネットインタフェースに戻します。オプションのタイムアウト設定が存在し、この期間ネットワークが動作していない場合はモデムが接続解除します。この機能は、ダイヤルアップ接続料金の節約に役立ちます。

FortiGate ユニットでのイーサネットインタフェースからモデムへの切り替えを可能にするには、モデム設定でインタフェースの名前を選択し、そのインタフェースのための ping サーバを設定する必要があります。また、モデムインタフェースとその他の FortiGate インタフェースの間の接続のためのファイアウォールポリシーも設定する必要があります。

[Auto-dial] ( スタンドアロンモードのみ ) 接続が失われるか、またはFortiGate ユニットが再起動されたら自動的にモデムをダイヤルする場合に選択します。 [Dial on demand] がオンになっている場合は、 [Auto- dial] をオンにできません。

[Redundant for] ( 冗長モードのみ ) モデムがバックアップサービスを提供する対象のイーサネットインタフェースを選択します。

[Dial on demand] パケットがモデムインタフェースにルーティングされたらモデムをダイヤルする場合に選択します。ネットワークが動作していない場合、モデムはアイドルタイムアウト期間の後に接続解除します。スタンドアロンモードで、 [Auto-dial] がオンになっている場合は [Dial on demand] をオンにできません。

[Idle timeout] タイムアウト期間 ( 分単位 ) を入力します。動作していない状態がこの期間続くと、モデムは接続解除します。

[HolddownTimer]

( 冗長モードのみ ) プライマリインタフェースが復旧した後、モデムインタフェースからプライマリインタフェースに切り替えるまでに FortiGate ユニットが待つ時間 (1 ～ 60 秒 ) を入力します。デフォルト値は 1 秒です。プライマリインタフェースとモデムインタフェースの間で FortiGate ユニットの切り替えが繰り返し発生する場合は、設定する値を大きくします。

[Redial Limit] 接続に障害が発生した場合に、 FortiGate ユニットのモデムが ISPへの再接続を試行する大回数 (1 ～ 10)。デフォルトの再ダイヤル制限は 1 回です。再ダイヤルの試行回数を制限しないようにするには、 [None] を選択します。

[Dialup Account] 大 3 つのダイヤルアップアカウントを設定します。 FortiGate ユニットは、接続を確立できるまで、順番に各アカウントへの接続を試みます。

[Phone Number] ダイヤルアップアカウントに接続するために必要な電話番号。電話番号にはスペースを追加しないでください。ダイヤルアップアカウントに接続するためにモデムに必要な一時停止、国番号、その他の機能に対する標準の特殊文字を間違いなく含めるようにしてください。

[User Name] ISP に送信されるユーザ名 ( 大 63 文字 )。

[Password] ISP に送信されるパスワード。


96

モデムインタフェースの設定システム - ネットワーク

冗長モードを設定するには

1 [System]、[Network]、[Modem] の順に選択します。

2 [Redundant] モードを選択します。

3 次の情報を入力します。


5 モデムがバックアップするイーサネットインタフェースのための ping サーバを設定します。

91 ページの「インタフェースに ping サーバを追加するには」を参照してください。

6 モデムインタフェースへの接続のためのファイアウォールポリシーを設定します。

97 ページの「モデム接続のためのファイアウォールポリシーの追加」を参照してください。

スタンドアロンモードの設定

スタンドアロンモードでは、モデムは、インターネットへの接続を提供するためにダイヤルアップアカウントに接続します。 FortiGate ユニットが再起動した場合や、ルーティングされていないパケットが存在する場合にダイヤルするようにモデムを設定できます。また、手動でモデムを接続解除したり、再ダイヤルしたりすることもできます。

ダイヤルアップアカウントへの接続が切断した場合、 FortiGate ユニットはモデムを再ダイヤルします。モデムは、再ダイヤル制限で指定された回数に達するか、またはダイヤルアップアカウントに接続するまで再ダイヤルします。

オプションのタイムアウト設定が存在し、この期間ネットワークが動作していない場合はモデムが接続解除します。この機能は、ダイヤルアップ接続料金の節約に役立ちます。

モデムインタフェースとその他の FortiGate インタフェースの間の接続のためのファイアウォールポリシーを設定する必要があります。

スタンドアロンモードで動作させるには



注記 : モデムインタフェースと、モデムがバックアップしているインタフェースの間の接続のためのポリシーは追加しないでください。

[Mode] [Redundant]。

[Redundant for] リストから、バックアップするインタフェースを選択します。

[Holddown Timer] インタフェースが復旧した後もモデムを使用し続ける秒数を入力します。

[Redial Limit] ISP が応答しない場合の再試行の大回数を入力します。

[Dialup Account 1][Dialup Account 2][Dialup Account 3]

大 3 つのダイヤルアップアカウントに対する ISP の電話番号、ユーザ名、およびパスワードを入力します。

[Mode] [Standalone]。

[Auto-dial] FortiGate ユニットが再起動したらモデムがダイヤルするようにする場合に選択します。




4 モデムインタフェースへの接続のためのファイアウォールポリシーを設定します。

97 ページの「モデム接続のためのファイアウォールポリシーの追加」を参照してください。

モデム接続のためのファイアウォールポリシーの追加

モデムインタフェースには、ファイアウォールアドレスとファイアウォールポリシーが必要です。モデムインタフェースに 1 つ以上のアドレスを追加できます。アドレスの追加については、 249 ページの「IP アドレス、 IP 範囲、またはFQDN を追加するには、 [Firewall]、[Address] の順に選択し、[Create New] を選択します。」を参照してください。アドレスを追加すると、ポリシーグリッドにモデムインタフェースが表示されます。

ファイアウォールポリシーを設定することにより、モデムインタフェースと、FortiGate ユニット上のその他のインタフェースの間のパケットのフローを制御できます。ファイアウォールポリシーの追加については、 225 ページの「ファイアウォールポリシーの追加」を参照してください。

モデムの接続と接続解除

モデムは、スタンドアロンモードにある必要があります。

ダイヤルアップアカウントに接続するには


2 [Enable USB Modem] を選択します。

3 1 つ以上のダイヤルアップアカウントに正しい情報が設定されていることを確認してください。

4 設定を変更した場合は、 [Apply] を選択します。

5 [Dial Now] を選択します。

FortiGate ユニットは、モデムが ISP に接続するまで、順番に各ダイヤルアップアカウントにダイヤルし始めます。

モデム接続を解除するには

ダイヤルアップアカウントからモデムの接続を解除するには、次の手順を使用します。


2 ダイヤルアップアカウントから接続解除する場合は、 [Hang Up] を選択します。

[Dial on demand] ルーティングされていないパケットが存在したら常にモデムが ISPに接続するようにしたい場合に選択します。

[Idle timeout] タイムアウト期間 ( 分単位 ) を入力します。動作していない状態がこの期間続くと、モデムは接続解除します。

[Redial Limit] ISP が応答しない場合の再試行の大回数を入力します。

[Dialup Account 1][Dialup Account 2][Dialup Account 3]

大 3 つのダイヤルアップアカウントに対する ISP の電話番号、ユーザ名、およびパスワードを入力します。


98

VLAN の概要システム - ネットワーク

モデム状態の確認

モデムの接続状態や、現在どのダイヤルアップアカウントがアクティブになっているかを確認できます。モデムが ISP に接続されている場合は、 IP アドレスとネットマスクを表示できます。

モデム状態を確認するには、 [System]、[Network]、[Modem] の順に選択します。

モデム状態は次のいずれかです。

緑色のチェックマークは、アクティブなダイヤルアップアカウントを示します。

モデムインタフェースに割り当てられた IP アドレスとネットマスクは、 Webベースマネージャの [System]、 [Network]、 [Interface] ページに表示されます。

VLAN の概要

VLAN は、実際に配置されている場所には関係なく同じ LAN セグメント上に存在するかのように通信する、 PC、サーバ、その他のネットワークデバイスのグループです。たとえば、経理部門のワークステーションやサーバがオフィス全体または市全域にわたって分散し、多数のネットワークセグメントに接続されていても、同じ VLAN に属することができます。

VLAN では、デバイスが物理的にではなく、論理的に分離されます。各 VLANは、ブロードキャストドメインとして扱われます。 VLAN 1 内のデバイスは、VLAN 1 内の他のデバイスと接続できますが、他の VLAN 内のデバイスとは接続できません。 VLAN 上のデバイス間の通信は、物理的なネットワークとは独立しています。

VLAN は、 VLAN 内のデバイスによって送受信されるすべてのパケットに 802.1Q VLAN タグを追加することによってデバイスを分離します。 VLAN タグは、 VLAN識別子やその他の情報を含む、 4 バイトのフレーム拡張です。

VLAN の詳細については、『FortiGate VLAN および VDOM ガイド』を参照してください。

[not active] モデムは、 ISP に接続されていません。

[connecting] モデムは、 ISP に接続しようとしています。

[connected] モデムは、 ISP に接続されています。

[disconnecting] モデムは、 ISP から接続解除しています。

[hung up] モデムは、 ISP から接続解除しました。 ( スタンドアロンモードのみ )[Dial Now] を選択しない限り、モデムは再ダイヤルしません。



システム - ネットワーク NAT/ ルートモードでの VLAN

図 47: 基本的な VLAN トポロジ

FortiGate ユニットと VLAN

標準的な VLAN 設定では、802.1Q 準拠の VLAN レイヤ 2 スイッチか、レイヤ 3 ルータまたはファイアウォールがパケットに VLAN タグを追加します。同じ VLAN 内のデバイス間を通過するパケットは、レイヤ 2 スイッチで処理できます。異なるVLAN 内のデバイス間を通過するパケットは、ルータ、ファイアウォール、レイヤ 3 スイッチなどのレイヤ 3 デバイスで処理する必要があります。

VLAN を使用すると、単一の FortiGate ユニットがセキュリティサービスを提供したり、複数のセキュリティドメイン間の接続を制御したりすることができます。各セキュリティドメインからのトラフィックには、異なる VLAN ID が割り当てられます。 FortiGate ユニットは、 VLAN ID を認識し、セキュリティポリシーを適用することによって、セキュリティドメイン間のネットワークおよびIPSec VPN トラフィックをセキュリティ保護することができます。 FortiGate ユニットはまた、セキュリティドメイン間を通過することを許可されたネットワークおよび VPN トラフィックに認証、保護プロファイル、その他のファイアウォールポリシー機能を適用することもできます。

NAT/ ルートモードでの VLAN

FortiGate ユニットは、 NAT/ ルートモードで動作することにより、 VLAN 間のパケットのフローを制御するレイヤ 3 デバイスとして動作します。FortiGate ユニットはまた、受信した VLAN パケットから VLAN タグを削除し、タグなしパケットをインターネットなどの他のネットワークに転送したりすることもできます。

NAT/ ルートモードでは、 FortiGate ユニットは、 IEEE 802.1Q 準拠のスイッチ (またはルータ ) と FortiGate ユニットの間の VLAN トランクを作成するためにVLAN をサポートしています。通常、 FortiGate ユニットの Internal インタフェースは内部スイッチ上の VLAN トランクに接続し、外部インタフェースは上位のインターネットルータにタグなしで接続します。これにより、 FortiGate ユニット

VLAN Switch

Internet

VLAN 1 Network VLAN 2 Network

Untagged packets

Router

VLAN 1VLAN 2

VLAN 1 VLAN 2


100

NAT/ ルートモードでの VLAN システム - ネットワーク

は、 Internal インタフェースに接続する各 VLAN 上のトラフィックに対して異なるポリシーを適用できます。

この構成では、 VLAN トランク内のパケットの VLAN ID に一致する VLAN ID が割り当てられた FortiGateInternal インタフェースに VLAN サブインタフェースを追加します。 FortiGate ユニットは、 VLAN ID を含むパケットを、 VLAN ID が一致するサブインタフェースに転送します。

また、すべての FortiGate インタフェース上に VLAN サブインタフェースを定義することもできます。 FortiGate ユニットは、 VLAN サブインタフェースから送信されるパケットに VLAN タグを追加したり、受信パケットから VLAN タグを削除し、送信パケットに別の VLAN タグを追加したりすることができます。

VLAN ID のルール

NAT/ ルートモードでは、同じ物理インタフェースに追加された 2 つの VLAN サブインタフェースに同じ VLAN ID を割り当てることはできません。ただし、同じ VLAN ID が割り当てられた 2 つ以上の VLAN サブインタフェースを、別の物理インタフェースに追加することは可能です。同じ VLAN ID が割り当てられた 2つの VLAN サブインタフェース間に内部の接続またはリンクは存在しません。これらの関係は、任意の 2 つの FortiGate ネットワークインタフェースの関係と同じです。

VLAN IP アドレスのルール

すべての FortiGate インタフェースの IP アドレスは重複できません。つまり、すべてのインタフェースの IP アドレスが別のサブネット上に存在する必要があります。このルールは、物理インタフェースと VLAN サブインタフェースの両方に適用されます。

図 37 は、 NAT/ ルートモードの簡略化された VLAN 設定を示しています。この例の場合、 FortiGate の Internal インタフェースは 802.1Q トランクを使用して VLANスイッチに接続しており、また 2 つの VLAN サブインタフェース (VLAN 100 とVLAN 200) が設定されています。外部インタフェースは、インターネットに接続します。外部インタフェースには、 VLAN サブインタフェースは設定されていません。

VLAN スイッチは、 VLAN 100 および VLAN 200 からパケットを受信すると、VLAN タグを適用し、それらのパケットをローカルポートと、トランク経由でFortiGate ユニットに転送します。 FortiGate ユニットには、トラフィックのVLAN 間、および VLAN から外部ネットワークへのフローを許可するポリシーが設定されています。

注記 : IP の重複を防ぐために既存の設定を変更できない場合は、CLI コマンドの config system global を入力し、allow-interface-subnet-overlap enable を設定して

IP アドレスの重複を許可します。このコマンドを入力した場合は、複数の VLAN インタフェースに、別のインタフェースで使用されているサブネットの一部である IP アドレスを割り当てることができます。このコマンドは、経験の豊富なユーザにのみお勧めします。


システム - ネットワーク NAT/ ルートモードでの VLAN

図 48: NAT/ ルートモードの FortiGate ユニット

VLAN サブインタフェースの追加

各 VLAN サブインタフェースの VLAN ID は、 IEEE 802.1Q 準拠のルータによって追加される VLAN ID に一致している必要があります。 VLAN ID は、 1 ～ 4096 の任意の数値にすることができます。また、各 VLAN サブインタフェースには、独自の IP アドレスとネットマスクが設定されている必要があります。

VLAN タグ付きパケットを受信する物理インタフェースに VLAN サブインタフェースを追加します。

NAT/ ルートモードで VLAN サブインタフェースを追加するには


2 [Create New] を選択して、 VLAN サブインタフェースを追加します。

3 VLAN サブインタフェースを識別する名前を入力します。

4 この VLAN サブインタフェースに宛てられた VLAN パケットを受信する物理インタフェースを選択します。

5 この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致するVLAN ID を入力します。

6 スーパー管理者の場合は、この VLAN サブインタフェースを追加する先のバーチャルドメインを選択します。それ以外の場合は、独自の VDOM 内にのみVLAN サブインタフェースを作成できます。

バーチャルドメインについては、 61 ページの「バーチャルドメインの使用」を参照してください。

VLAN Switch

Internet

VLAN 100 Network10.1.1.0

VLAN 200 Network10.1.2.0

Untagged packets

VLAN 100 VLAN 200

Fa 0/9Fa 0/3

Fa 0/24

802.1Qtrunk

FortiGate unit

External 172.16.21.2

Internal 192.168.110.126

注記 : VLAN の名前が、バーチャルドメインまたはゾーンと同じであってはなりません。


102

トランスペアレントモードでの VLAN システム - ネットワーク

7 他の任意の FortiGate インタフェースと同様に、 VLAN サブインタフェースを設定します。

72 ページの「インタフェース設定」を参照してください。


FortiGate ユニットによって、手順 4 で選択したインタフェースに新しい VLANサブインタフェースが追加されます。

VLAN サブインタフェースのためのファイアウォールポリシーを追加するには

VLAN サブインタフェースを追加したら、 VLAN サブインタフェース間、またはVLAN サブインタフェースから物理インタフェースへの接続のためのファイアウォールポリシーを追加できます。

1 [Firewall]、[Address] の順に選択します。

2 [Create New] を選択して、 VLAN パケットの発信元および宛先 IP アドレスに一致するファイアウォールアドレスを追加します。

247 ページの「ファイアウォールアドレスについて」を参照してください。

3 [Firewall]、[Policy] の順に選択します。

4 必要に応じて、ファイアウォールポリシーを作成または追加します。

トランスペアレントモードでの VLAN

トランスペアレントモードでは、 FortiGate ユニットは、 IEEE 802.1 VLAN トランク上のトラフィックに認証、保護プロファイル、その他のファイアウォール機能などのファイアウォールポリシーおよびサービスを適用できます。トランスペアレントモードで動作している FortiGate ユニットを、ネットワークに変更を加えることなくトランクに挿入できます。標準的な設定では、 FortiGate の Internalインタフェースは、内部の VLAN に接続された VLAN スイッチまたはルータからの VLAN トランク上の VLAN パケットを受け付けます。 FortiGate の外部インタフェースは、インターネットに接続される可能性のある外部の VLAN スイッチまたはルータに、トランクを介してタグ付きパケットを転送します。 FortiGate ユニットは、トランク内の各 VLAN 上のトラフィックに対して異なるポリシーを適用するように設定できます。

FortiGate の内部および外部インタフェース間を通過できる VLAN トラフィックの場合は、 Internal インタフェースに 1 つの VLAN サブインタフェースを、外部インタフェースに別の VLAN サブインタフェースを追加します。これらの VLANサブインタフェースの VLAN ID が同じ場合、 FortiGate ユニットは、この VLAN上のトラフィックにファイアウォールポリシーを適用します。これらの VLANサブインタフェースの VLAN ID が異なる場合、または 3 つ以上の VLAN サブインタフェースを追加する場合は、ファイアウォールポリシーを使用して VLAN 間の接続を制御することもできます。

ネットワークでネットワークトラフィックのセグメント化に IEEE 802.1 VLAN タグが使用されている場合は、トランスペアレントモードで動作しているFortiGate ユニットを、異なる VLAN 間を通過するネットワークトラフィックに対するセキュリティを提供するように設定できます。トランスペアレントモードで VLAN トラフィックをサポートするには、 FortiGate ユニット設定にバーチャルドメインを追加します。バーチャルドメインは、 2 つ以上の VLAN サブインタフェースまたはゾーンで構成されます。バーチャルドメイン内では、ゾーンに 1 つ以上の VLAN サブインタフェースを含めることができます。


システム - ネットワークトランスペアレントモードでの VLAN

FortiGate ユニットがインタフェース上で VLAN タグ付きパケットを受信すると、そのパケットは、 VLAN ID が一致する VLAN サブインタフェースに転送されます。その VLAN サブインタフェースは VLAN タグを削除し、その宛先 MAC アドレスに基づいてパケットに宛先インタフェースを割り当てます。この発信元および宛先 VLAN サブインタフェースペアのためのファイアウォールポリシーがパケットに適用されます。パケットがファイアウォールによって受け付けられた場合、 FortiGate ユニットは、そのパケットを宛先 VLAN サブインタフェースに転送します。 FortiGate ユニットによってパケットに宛先 VLAN ID が追加され、そのパケットが VLAN トランクに送信されます。

図 49: 2 つのバーチャルドメインを含む、トランスペアレントモードの FortiGateユニット

図 50 は、トランスペアレントモードで動作し、 3 つの VLAN サブインタフェースが設定されている FortiGate ユニットを示しています。この構成では、このネットワークに FortiGate ユニットを追加することにより、各 VLAN にウイルススキャン、 Web コンテンツフィルタリング、その他のサービスを提供できます。

注記 : トランスペアレントモードでは、 VDOM あたり、合計で大 255 のインタフェースが許可されています。これには VLAN が含まれます。 VDOM に他のインタフェースが設定されていない場合は、その VDOM 内に大 255 の VLAN を設定できます。

VLAN1

VLAN1

VLAN2VLAN2

VLAN3

VLAN3

root virtual domain

New virtual domain

Internal External

VLAN1

VLAN3VLAN2

VLAN Switch or router

VLAN Switchor router

VLAN trunk

VLAN1VLAN2VLAN3VLAN trunk

FortiGate unit

VLAN1

VLAN3VLAN2

Internet


104


図 50: トランスペアレントモードの FortiGate ユニット

VLAN ID のルール

トランスペアレントモードでは、同じ物理インタフェースに追加された 2 つのVLAN サブインタフェースに同じ VLAN ID を割り当てることはできません。ただし、同じ VLAN ID が割り当てられた 2 つ以上の VLAN サブインタフェースを、別の物理インタフェースに追加することは可能です。同じ VLAN ID が割り当てられた 2 つの VLAN サブインタフェース間に内部の接続またはリンクは存在しません。これらの関係は、任意の 2 つの FortiGate ネットワークインタフェースの関係と同じです。

トランスペアレントモードのバーチャルドメインと VLAN

VLAN サブインタフェースはバーチャルドメインに追加され、そのバーチャルドメインに関連付けられます。 FortiGate の設定には、デフォルトで、ルートという名前の 1 つのバーチャルドメインが含まれており、このバーチャルドメインには必要なだけの数の VLAN サブインタフェースを追加できます。

VLAN サブインタフェースのグループをバーチャルドメインに分離する場合は、さらに多くのバーチャルドメインを追加できます。バーチャルドメインの追加および設定については、 61 ページの「バーチャルドメインの使用」を参照してください。

Internet

Untagged packets

Router

VLAN 1VLAN 2VLAN 3

VLAN 1 Network

VLAN 1

VLAN Switch

VLAN Trunk

FortiGate unit in Transparent mode

VLAN Switch

VLAN 1VLAN 2VLAN 3

VLAN Trunk

VLAN 3 Network

VLAN 3

VLAN 2 Network

VLAN 2

注記 : トランスペアレントモードでは、インタフェースあたり、大 255 の VLAN が許可されています。



トランスペアレントモードで VLAN サブインタフェースを追加するには

各 VLAN サブインタフェースの VLAN ID は、 IEEE 802.1Q 準拠のルータまたはスイッチによって追加される VLAN ID に一致している必要があります。 VLAN IDは、 1 ～ 4096 の任意の数値にすることができます。 VLAN タグ付きパケットを受信する物理インタフェースに VLAN サブインタフェースを追加します。


2 [Create New] を選択して、 VLAN サブインタフェースを追加します。

3 VLAN サブインタフェースを識別する名前を入力します。

4 この VLAN サブインタフェースに宛てられた VLAN パケットを受信する物理インタフェースを選択します。

5 この VLAN サブインタフェースで受信されるパケットの VLAN ID に一致するVLAN ID を入力します。

6 この VLAN サブインタフェースを追加する先のバーチャルドメインを選択します。

バーチャルドメインについては、 61 ページの「バーチャルドメインの使用」を参照してください。

7 他の任意のFortiGateインタフェースと同様に、管理アクセスとログを設定します。

これらの設定の詳細については、 72 ページの「インタフェース設定」を参照してください。


FortiGate ユニットによって、選択したインタフェースに新しいサブインタフェースが追加されます。

9 [Bring Up] を選択して、 VLAN サブインタフェースを起動します。

VLAN サブインタフェースのためのファイアウォールポリシーを追加するには

VLAN サブインタフェースを追加したら、 VLAN サブインタフェース間、またはVLAN サブインタフェースから物理インタフェースへの接続のためのファイアウォールポリシーを追加できます。

1 [Firewall]、[Address] の順に選択します。

2 [Create New] を選択して、 VLAN パケットの発信元および宛先 IP アドレスに一致するファイアウォールアドレスを追加します。

247 ページの「ファイアウォールアドレスについて」を参照してください。


4 必要に応じて、ファイアウォールポリシーを追加します。

注記 : VLAN の名前が、バーチャルドメインまたはゾーンと同じであってはなりません。


106


図 51: 2 つのバーチャルドメインを含む、トランスペアレントモードの FortiGateユニット

図 52 は、トランスペアレントモードで動作し、 3 つの VLAN サブインタフェースが設定されている FortiGate ユニットを示しています。この構成では、このネットワークに FortiGate ユニットを追加することにより、各 VLAN にウイルススキャン、 Web コンテンツフィルタリング、その他のサービスを提供できます。

図 52: トランスペアレントモードの FortiGate ユニット

VLAN1

VLAN1

VLAN2VLAN2

VLAN3

VLAN3

root virtual domain

New virtual domain

Internal External

VLAN1

VLAN3VLAN2

VLAN Switch or router

VLAN Switchor router

VLAN trunk

VLAN1VLAN2VLAN3VLAN trunk

FortiGate unit

VLAN1

VLAN3VLAN2

Internet

Internet

Untagged packets

Router

VLAN 1VLAN 2VLAN 3

VLAN 1 Network

VLAN 1

VLAN Switch

VLAN Trunk

FortiGate unit in Transparent mode

VLAN Switch

VLAN 1VLAN 2VLAN 3

VLAN Trunk

VLAN 3 Network

VLAN 3

VLAN 2 Network

VLAN 2



ARP に関する問題のトラブルシューティング

ARP (Address Resolution Protocol) トラフィックは、ネットワーク上の通信にとって不可欠であり、 FortiGate インタフェース上ではデフォルトで有効になります。通常、 FortiGate ユニットがクライアントとサーバの間またはクライアントとルータの間に配置されている場合は特に、 ARP パケットが FortiGate ユニットを通過するようにします。

重複した ARP パケット

あるインタフェースに到着した ARP パケットが他のすべてのインタフェース (VLAN サブインタフェースを含む ) に送信されるトランスペアレントモードでは、 ARP トラフィックによって問題が発生することがあります。一部のレイヤ 2スイッチは、複数のスイッチインタフェースまたは複数の VLAN から同じ MACアドレスを検出すると不安定になります。この不安定さは、そのレイヤ 2 スイッチに、各 VLAN 用の個別の MAC アドレステーブルが保持されていない場合に発生します。不安定なスイッチのリセットによって、ネットワークトラフィックが低速になる可能性があります。

ARP 転送

この問題の 1 つの解決策に、 ARP 転送の有効化があります。 ARP 転送は、 GUIまたは CLI で有効にすることができます。 GUI では、 [System]、[Config]、[Operation] の順に選択し、 [ARP Forwarding] を選択します。 CLI での操作の詳細については、『FortiGate CLI リファレンス』を参照してください。

ARP 転送が有効になると、 FortiGate ユニットで重複した ARP パケットが許可されるため、前の配信の問題が解決されます。ただし、これによりネットワークが、パケットを偽装するハッキングの試みにさらされる可能性も発生します。

より安全な解決策については、『FortiGate VLAN および VDOM ガイド』を参照してください。




108

FortiGate の IPv6 サポートシステム - ネットワーク

FortiGate の IPv6 サポート

FortiGate ユニット上の任意のインタフェースに IPv4 アドレスと IPv6 アドレスの両方を割り当てることができます。このインタフェースは、 IPv4 アドレス指定パケット用と、 IPv6 アドレス指定パケット用の 2 つのインタフェースとして機能します。

FortiGate ユニットは、 IPv4 アドレス指定ネットワーク上で、 IPv6 アドレス指定トラフィックのスタティックルーティング、定期的なルータアドバタイズ、ファイアウォールポリシー、およびトンネリングをサポートします。これらの機能はすべて、コマンドラインインタフェース (CLI) を介して設定する必要があります。次のコマンドについては、『FortiGate CLI リファレンス』を参照してください。

表 4: IPv6 の CLI コマンド

機能 CLI コマンド

インタフェース設定( 定期的なルータアドバタイズを含む )

config system interface"ip6" で始まるキーワードを参照してください。config ip6-prefix-list

スタティックルーティング config router static6

IPv6 トンネリング config system ipv6_tunnel

ファイアウォール config firewall address6config firewall addrgrp6config firewall policy6

実行 execute ping6



システム - 無線 FortiWiFi の無線 LAN インタフェース

F0

システム - 無線この項では、 FortiWiFi ユニットで無線 LAN インタフェースを設定する方法について説明します。


• FortiWiFi の無線 LAN インタフェース

• チャネル割り当て

• システム無線の設定 (FortiWiFi-60)

• システム無線の設定 (FortiWiFi-60A および 60AM)

• 無線 MAC フィルタ

• 無線モニタ

FortiWiFi の無線 LAN インタフェース

FortiWiFi の無線インタフェースを設定すると、以下が可能になります。

• 無線ネットワークカードを持つユーザが接続できるアクセスポイントを提供する ( アクセスポイントモード )。

または

• FortiWiFiユニットを別の無線ネットワークに接続する ( クライアントモード )。

アクセスポイントモードは、デフォルトのモードです。 FortiWiFi-60A およびFortiWiFi-60AM ユニットは、複数の WLAN を提供できます。

FortiWiFi ユニットは、次の無線ネットワーク標準をサポートしています。

• IEEE 802.11a (5 GHz 帯 )

• IEEE 802.11b (2.4 GHz 帯 )

• IEEE 802.11g (2.4 GHz 帯 )

• WEP (Wired Equivalent Privacy)

• 事前共有鍵またはRadiusサーバを使用したWPA (Wi-Fi Protected Access) (アクセスポイントモードのみ )


110

チャネル割り当てシステム - 無線

チャネル割り当て

次の表は、無線 LAN のチャネル割り当てを示しています。

表 5: IEEE 802.11a (5 GHz 帯 ) のチャネル番号

チャネル番号

周波数 (MHz)

規制地域

アメリカヨーロッパ台湾シンガポール日本

34 5170 － X －－ X

36 5180 X X － X －

38 5190 － X －－ X

40 5200 X X － X －

42 5210 － X －－ X

44 5220 X X － X －

46 5230 － X －－ X

48 5240 X X － X －

52 5260 X X X －－

56 5280 X X X －－

60 5300 X X X －－

64 5320 X X X －－

149 5745 －－－－－

153 5765 －－－－－

157 5785 －－－－－

161 5805 －－－－－

アメリカを除き、すべてのチャネルが屋内使用に制限されています。アメリカの場合、米国ではチャネル 52 ～ 64 について屋内および屋外使用が許可されています。


システム - 無線チャネル割り当て

表 6: IEEE 802.11b (2.4 GHz 帯 ) のチャネル番号

チャネル番号周波数 (MHz)

規制地域

アメリカ EMEA イスラエル日本

1 2412 X X － X

2 2417 X X － X

3 2422 X X － X

4 2427 X X X X

5 2432 X X X X

6 2437 X X X X

7 2442 X X X X

8 2447 X X X X

9 2452 X X X X

10 2457 X X X X

11 2462 X X － X

12 2467 － X － X

13 2472 － X － X

14 2484 －－－ X

メキシコは、アメリカ規制ドメインに含まれています。チャネル 1 ～ 8 は、屋内使用のみ可能です。チャネル 9 ～ 11 は、屋内および屋外で使用できます。チャネル番号がメキシコの規制標準に準拠していることを確認する必要があります。

表 7: IEEE 802.11g (2.4 GHz 帯 ) のチャネル番号

チャネル番号

周波数 (MHz)

規制地域

アメリカ EMEA イスラエル日本

CCK ODFM CCK ODFM CCK ODFM CCK ODFM

1 2412 X X X X －－ X X

2 2417 X X X X －－ X X

3 2422 X X X X －－ X X

4 2427 X X X X －－ X X

5 2432 X X X X X X X X

6 2437 X X X X X X X X

7 2442 X X X X X X X X

8 2447 X X X X X X X X

9 2452 X X X X －－ X X

10 2457 X X X X －－ X X

11 2462 X X X X －－ X X

12 2467 －－ X X －－ X X

13 2472 －－ X X －－ X X

14 2484 －－－－－－ X －


112

システム無線の設定 (FortiWiFi-60) システム - 無線

システム無線の設定 (FortiWiFi-60)

無線 LAN 設定を設定するには、 [System]、[Wireless]、[Settings] の順に選択します。

図 53: 無線パラメータの設定

[MAC Address] 無線インタフェースの MAC アドレス。

[Operation Mode] 現在の動作モード。変更する場合は、 [Change] を選択します。アクセスポイントモードは、 FortiWiFi-60 ユニットを、複数のクライアントが接続できる無線アクセスポイントとして機能させます。クライアントモードは、別の無線ネットワークにクライアントとして接続するようにユニットを設定します。

[Geography] 国または地域を選択します。これにより、使用可能なチャネルが決定されます。 [Americas]、 [EMEA]、 [Israel]、または [Japan] を選択できます。その他の地域にいる場合は、 [World] を選択します。

[Channel] FortiWiFi-60 無線ネットワークのチャネルを選択します。無線ネットワークのユーザは、自分のコンピュータをこのチャネルを使用するように設定する必要があります。選択できるチャネルは、 [Geography] の設定によって異なります。チャネルの情報については、 110 ページの「チャネル割り当て」を参照してください。

[SSID] FortiWiFi-60 ユニットがブロードキャストする無線ネットワーク名を入力します。無線ネットワークを使用するユーザは、自分のコンピュータを、このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります。

[SSID Broadcast] FortiWiFi-60 ユニットに SSID をブロードキャストさせる場合は、[Enable]を選択します。 ( アクセスポイントモードのみ )

[Security mode] WEP を使用するには、 [WEP64] または [WEP128] を選択します。 WPA (アクセスポイントモードでのみ使用可能 ) を使用するには、 [WPA Pre-shared Key] または [WPA_Radius] を選択します。 FortiWiFi-60 無線ネットワークのユーザは、各自のコンピュータを、同じ設定を使用して設定する必要があります。

[Key] 64 ビット WEP キーの場合は、 10 桁の 16 進数 (0-9、 a-f) を入力します。128 ビット WEP キーの場合は、26 桁の 16 進数 (0-9、a-f) を入力します。無線ネットワークのユーザは、各自のコンピュータに同じキーを設定する必要があります。

[Pre-shared Key] [WPA Pre-shared Key] セキュリティモードの場合は、仮共有鍵を入力します。無線ネットワークのユーザは、各自のコンピュータに同じキーを設定する必要があります。


システム - 無線システム無線の設定 (FortiWiFi-60A および 60AM)

システム無線の設定 (FortiWiFi-60A および 60AM)

無線 LAN 設定を設定するには、 [System]、[Wireless]、[Settings] の順に選択します。

図 54: 無線パラメータ - FortiWiFi-60A および FortiWiFi-60AM

[Radius Server Name]

[WPA Radius] セキュリティモードの場合は、リストから Radius サーバ名を選択します。この Radius サーバは、 [User]、 [Radius] で設定されている必要があります。詳細については、 340 ページの「RADIUS サーバ」を参照してください。

[Advanced] [Wireless Parameters] の [Advanced] 設定のセクションを開くか、または閉じます。パフォーマンスの問題に対応するために、必要に応じて設定を変更します。デフォルト値は、ほとんどの状況に対して適切に機能します。以下、 [Advanced] 設定について説明します。 ( アクセスポイントモードのみ )

[Tx Power] 送信機の出力レベルを設定します。デフォルト値は、大出力の 31 dBmです。

[Beacon Interval] ビーコンパケット間の間隔を設定します。アクセスポイントは、無線ネットワークの同期をとるために、ビーコンまたは TIM (Traffic IndicationMessages) をブロードキャストします。受信状態の悪い環境では、[Beacon Interval] を小さくするとネットワークパフォーマンスが向上する可能性があります。無線ノードがほとんど存在しない場所では、この値を増やすことができます。

[RTS Threshold] RTS (Request to Send) しきい値は、ユニットが別の無線デバイスからのCTS (Clear to Send) 受信確認を待つ時間を設定します。

[Fragmentation Threshold]

2 つ以上のパケットに分割されないデータパケットの大サイズを設定します。このしきい値を下げると、受信状態の悪い環境のパフォーマンスが向上する可能性があります。

[Operation Mode] 現在の動作モード。アクセスポイントモードは、 FortiWiFi ユニットを、複数のクライアントが接続できる無線アクセスポイントとして機能させます。クライアントモードは、別の無線ネットワークにクライアントとして接続するようにユニットを設定します。

[Band] 使用する無線周波数帯を選択します。 [802.11a]、 [802.11b]、および[802.11g] から選択できます。

[Geography] 国または地域を選択します。これにより、使用可能なチャネルが決定されます。 [Americas]、 [EMEA]、 [Israel]、または [Japan] を選択できます。その他の地域にいる場合は、 [World] を選択します。


114

無線 MAC フィルタシステム - 無線

無線 MAC フィルタ

ユーザの無線アクセスをそのユーザの MAC アドレスに基づいて許可または拒否するには、 [System]、[Wireless]、[MAC Filter] の順に選択します。

図 55: 無線 MAC フィルタ

[Channel] FortiWiFi-60 無線ネットワークのチャネルを選択します。無線ネットワークのユーザは、自分のコンピュータをこのチャネルを使用するように設定する必要があります。選択できるチャネルは、 [Geography] の設定によって異なります。チャネルの情報については、 110 ページの「チャネル割り当て」を参照してください。

[Tx Power] 送信機の出力レベルを設定します。デフォルト値は、大出力の 31 dBmです。

[Beacon Interval] ビーコンパケット間の間隔を設定します。アクセスポイントは、無線ネットワークの同期をとるために、ビーコンまたは TIM (Traffic IndicationMessages) をブロードキャストします。受信状態の悪い環境では、[Beacon Interval] を小さくするとネットワークパフォーマンスが向上する可能性があります。無線ノードがほとんど存在しない場所では、この値を増やすことができます。

無線インタフェースのリスト

[Interface] WLAN インタフェースの名前。インタフェースを編集する名前を選択します。

[MAC Address] 無線インタフェースの MAC アドレス。

[SSID] このユニットがブロードキャストする無線ネットワーク名。無線ネットワークを使用するユーザは、自分のコンピュータを、このネットワーク名をブロードキャストするネットワークに接続するように設定する必要があります。

[SSID Broadcast] 緑色のチェックマークアイコンは、このユニットが固有のSSIDをブロードキャストすることを示しています。 ( アクセスポイントモードのみ )

[Security Mode] [WEP64]、[WEP128]、[WPA Pre-shared Key]、[WPA_Radius]、または [None]。[WPA] は、アクセスポイントモードでのみ使用できます。無線ネットワークのユーザは、自分のコンピュータに同じ設定を設定する必要があります。


システム - 無線無線モニタ

無線モニタ

無線 LAN に接続しているユーザを確認するには、 [System]、[Wireless]、[Monitor] の順に選択します。この機能は、無線インタフェースを [WPA] セキュリティモードで動作させている場合にのみ使用できます。

図 56: 無線モニタ (FortiWiFi-60)

図 57: 無線モニタ (FortiWiFi-60A および 60AM)

[MAC Filter Enable] MAC フィルタを有効にします。

[Access for PCs not listed below]

リストにない MAC アドレスへのアクセスを許可するか、または拒否するかを選択します。

[MAC Address] フィルタ処理する MAC アドレスを入力します。

[Allow] または [Deny]

この MAC アドレスを許可するか、または拒否するかを選択します。

[Add] MAC アドレスを、選択に従って [Allow List] または [Deny List] に追加します。

[Allow List] 無線ネットワークへのアクセスを許可されたMACアドレスのリスト。

[Deny List] 無線ネットワークへのアクセスを拒否されたMACアドレスのリスト。

矢印ボタンリスト間で MAC アドレスを移動します。

[Remove] ([Allow List] の下 )

選択された MAC アドレスを [Allow List] から削除します。

[Remove]([Deny List] の下 )

選択された MAC アドレスを [Deny List] から削除します。

[Statistics] 各 WLAN の無線のパフォーマンスに関する統計情報。FortiWiFi-60A および FortiWiFi-60AM でのみ使用できます。

[AP Name] WLAN インタフェースの SSID。

[Signal Strength (dBm)] クライアントからの信号の強度。

[Noise (dBm)] 受信されたノイズレベル。

[S/N (dB)] 信号強度とノイズレベルから計算された信号対雑音比 ( デシベル値 )。

[Rx (KBytes)] このセッションで受信されたデータ量 (KB 単位 )。

[Tx (KBytes)] このセッションで送信されたデータ量 (KB 単位 )。


116

無線モニタシステム - 無線

[Clients] WLAN に接続されたクライアントの数と、各クライアントに関する情報。

[MAC Address] 接続された無線クライアントの MAC アドレス。

[IP Address] 接続された無線クライアントに割り当てられたIPアドレス。

[AP Name] クライアントが接続されている WLAN の名前。 FortiWiFi-60A および FortiWiFi-60AM でのみ使用できます。

[ID] [WPA RADIUS] セキュリティモードを使用して接続されたユーザのユーザ ID。クライアントが [WPA Pre-shared Key]または [WEP] セキュリティモードを使用している場合、このフィールドは空白です。FortiWiFi-60 でのみ使用できます。


システム - DHCP FortiGate DH CP サーバおよびリレー

F0

システム - DHCPこの項では、 DHCP を用いてクライアントのネットワーク構成を自動で行う方法について説明します。


• FortiGate DH CP サーバおよびリレー

• DHCP サービスの設定

• アドレスリースの表示

FortiGate DH CP サーバおよびリレー

DHCP は、指定された IP アドレスをホストが自動的に取得できるようにするプロトコルです。必要に応じて、デフォルトのゲートウェイおよび DNS サーバ設定を取得することも可能です。 FortiGate インタフェースまたは VLAN サブインタフェースでは、次の DHCP サービスを提供できます。

• 標準的なイーサネット接続のための標準 DHCP サーバ

• IPSec (VPN) 接続のための IPSec DHCP サーバ

• 標準的なイーサネットまたは IPSec (VPN) 接続のための DHCP リレー

同じタイプの接続 ( 標準または IPSec) にインタフェースでサーバとリレーの両方を提供することはできません。

任意の FortiGate インタフェースに 1 つ以上の DHCP サーバを設定できます。DHCP サーバは、インタフェースに接続されたネットワーク上のホストに動的にIP アドレスを割り当てます。 DHCP を使用して IP アドレスを取得するには、ホストコンピュータを設定する必要があります。

インタフェースがルータを介して複数のネットワークに接続されている場合、それぞれのネットワークに DHCP を追加できます。各 DHCP の IP の範囲は、ネットワークアドレスの範囲と一致する必要があります。ルータは、 DHCP リレー用に設定しなければなりません。

DHCP サーバを設定するには、 120 ページの「DHCP サーバの設定」を参照してください。

FortiGate インタフェースは、 DHCP リレーとして設定できます。インタフェースにより、 DHCP のリクエストは DHCP クライアントから外部の DHCP サーバに転送され、 DHCP クライアントには応答が返されます。 DHCP クライアントへの応答パケットが FortiGate ユニットに到達するよう、 DHCP サーバは適切なルーティングを行う必要があります。

DHCP リレーの設定については、 119 ページの「DHCP リレーエージェントとしてのインタフェースの設定」を参照してください。

注記 : インタフェース上の標準 DHCP サーバは、そのインタフェースの IP アドレスがスタティックな場合に限り、設定できます。スタティックまたはダイナミック IP アドレスのいずれかが設定されたインタフェース上のIPSec DHCPサーバを設定することは可能です。


118

DHCP サービスの設定システム - DHCP

DHCP サービスは、コマンドラインインタフェース (CLI) で設定することもできます。詳細は、 FortiGate CLI リファレンスを参照してください。

DHCP サービスの設定

DHCP サービスを設定するには、 [System]、[DHCP]、[Service] の順に選択します。各 FortiGate インタフェースでは、必要に応じて DHCP リレーを設定したり、DHCP サーバを追加したりすることができます。

FortiGate モデル 50 および 60 では、 DHCP サーバはデフォルトで次のように内部インタフェースで設定されています。

このデフォルトの DHCP サーバ設定は、無効にしたり変更したりすることができます。

これらの設定は、内部インタフェースのデフォルト IP アドレス 192.168.1.99 に適しています。このアドレスを異なるネットワークに変更する場合、 DHCP サーバ設定を変更して一致させる必要があります。

図 58: DHCP サーバリスト - FortiGate-200A の場合

IP 範囲 192.168.1.110 ~ 192.168.1.210

ネットマスク 255.255.255.0

デフォルトゲートウェイ

192.168.1.99

リース期間 7 日

DNS サーバ 1 192.168.1.99

[Interface] FortiGate インタフェースのリストです。一覧表示されたインタフェースを展開すると、リレーとサーバが表示されます。

[Server Name/ Relay IP]

リレーがアクセスする FortiGateDHCP サーバの名前またはDHCP サーバの IP アドレスです。

[Type] DHCP リレーまたはサーバのタイプです。 Regular ( 標準 ) または IPSec となります。

[Enable] 緑のチェックマークのアイコンは、サーバまたはリレーが有効であることを示します。

DHCP サーバの追加

編集

削除



システム - DHCP DHCP サービスの設定

DHCP リレーエージェントとしてのインタフェースの設定

インタフェースの DHCP リレー設定を表示したり修正したりするには、[System]、[DHCP]、[Service] の順に選択し、編集アイコンを選択します。

図 59: インタフェースの DHCP リレー設定の編集

[DHCP サーバの追加 ] アイコン

このインタフェースの DHCP サーバを設定および追加します。

編集 DHCP リレーまたはサーバの設定を編集します。

削除 DHCP サーバを削除します。

[Interface Name] インタフェースの名前です。

[Enable] このインタフェースで DHCP リレーエージェントを有効にします。

[Type] 必要な DHCP サービスのタイプを選択します。

[Regular] このインタフェースに接続するネットワーク上のコンピュータの DHCP リレーエージェントとなるように、インタフェースを設定します。

[IPSEC] このインタフェースに IPSec VPN 接続を行っているリモートVPN クライアントに対してのみ DHCP リレーエージェントとなるように、インタフェースを設定します。

[DHCP Server IP] インタフェースに接続するネットワーク上のコンピュータからの DHCP リクエストに応答する DHCP サーバの IP アドレスを入力します。


120

DHCP サービスの設定システム - DHCP

DHCP サーバの設定

インタフェースの DHCP サーバを設定するには、 [System]、 [DHCP]、[Service] の順に選択します。インタフェースの横にある [DHCP サーバの追加 ] ボタン、または既存の DHCP サーバの横にある [ 編集 ] ボタンをクリックして、設定を変更します。

図 60: DHCP サーバオプション

[Name] DHCP サーバの名前を入力します。

[Enable] DHCP サーバを有効にします。

[Type] Regular ( 標準 ) または IPSEC DHCP サーバを選択します。ダイナミック IP アドレスを持つインタフェース上の標準DHCP サーバは設定できません。

[IP Range] この DHCP サーバが DHCP クライアントに割り当てる IP アドレスの範囲の始めと終わりを入力します。

[Network Mask] DHCP サーバが DHCP クライアントに割り当てるネットマスクを入力します。

[Default Gateway] DHCP サーバが DHCP クライアントに割り当てるデフォルトゲートウェイの IP アドレスを入力します。

[Domain] DHCP サーバが DHCP クライアントに割り当てるドメインを入力します。

[Lease Time] [Unlimited] を選択してリース期間を無期限とするか、または日、時間、および分で期間を入力します。その期間を過ぎると、 DHCP クライアントは DHCP サーバに新しい設定を照会しなければなりません。リース期間は、 5 分から 100 日までの範囲を設定できます。

[Advanced] 詳細オプションを設定するのに選択します。このテーブルの残りのオプションは、詳細オプションです。


システム - DHCP アドレスリースの表示

アドレスリースの表示

DHCP サーバが割り当てた IP アドレスおよび対応するクライアント MAC アドレスを表示するには、 [System]、[DHCP]、 [Address Leases] の順に選択します。

図 61: アドレスリースリスト

特定クライアントに対する IP アドレスの予約

クライアントデバイスの MAC アドレスと標準イーサネットまたは IPSec の接続タイプで識別される特定のクライアントに対して IP アドレスを予約することができます。 DHCP サーバは、そのクライアントに常に予約済みのアドレスを割り当てます。大 50 の予約アドレスを定義できます。

CLI の system dhcp reserved-address コマンドを使用します。詳細については、『FortiGate CLI リファレンス』を参照してください。

[DNS Server 1][DNS Server 2][DNS Server 3]

DHCP サーバが DHCP クライアントに割り当てる大 3 台のDNS サーバの IP アドレスを入力します。

[WINS Server 1][WINS Server 2]

DHCP サーバが DHCP クライアントに割り当てる 1 つまたは2 つの WINS サーバの IP アドレスを追加します。

[Option 1][Option 2][Option 3]

DHCP サーバが送信可能なカスタム DHCP オプションを 3 つまで入力します。コードは、 1 ～ 255 の範囲の DHCP オプションコードです。オプションは偶数の 16 進文字で、オプションコードによっては不要です。 DHCP のオプションについては、 RFC 2132、 DHCP オプションおよび BOOTP ベンダ拡張を参照してください。

[Exclude Ranges]

[Add] IP 除外範囲を追加します。DHCP サーバが DHCP クライアントに割り当てることのできない大 16 の IP アドレスの範囲を追加できます。どの範囲も 65536 の IP アドレスを超えることはできません。

[Starting IP] 除外範囲の初の IP アドレスを入力します。

[End IP] 除外範囲の後の IP アドレスを入力します。

削除アイコン除外範囲を削除します。

[Interface] リースを表示するインタフェースを選択します。

[Refresh] アドレスリースのリストを更新します。

[IP] 割り当てられた IP アドレスです。

[MAC] IP アドレスが割り当てられたデバイスの MAC アドレスです。

[Expire] DHCP リースの期限が切れる日時です。



122

アドレスリースの表示システム - DHCP


システム - 設定

F0

システム - 設定この項では、 HA、 SNMP、カスタム差し替えメッセージ、 VDOM 動作など、ネットワークに関係しないいくつかの機能を設定する方法について説明します。


• HA

• SNMP

• 差し替えメッセージ

• 動作モードおよび VDOM 管理アクセス

HA、 SNMP、および差し替えメッセージは、 FortiGate ユニットのグローバル設定の一部です。動作モードの変更は、各 VDOM に適用されます。


124

HA システム - 設定

HA

FortiGate 高可用性 (HA) は、信頼性の向上とパフォーマンスの増強という 2 つの重要なエンタープライズネットワーキング要件を満たすソリューションを提供します。この項では、 HA Web ベースマネージャ設定オプション、 HA クラスタメンバリスト、 HA 統計、およびクラスタメンバの切断について概説します。

FortiGate HA クラスタの設定および操作方法の詳細については、『FortiGate HA 概要』、『FortiGate HA ガイド』、および Fortinet Knowledge Center を参照してください。

FortiGate モデル 50A、 50AM、および 224B では、 HA は使用できません。 HA は、FortiGate-50B をはじめとする他のすべての FortiGate で使用できます。


• HA オプション

• クラスタメンバリスト

• HA 統計の表示

• 副系ユニットのホスト名およびデバイスプライオリティの変更

• クラスタユニットのクラスタからの切断

HA オプション

FortiGate ユニットをクラスタに加えたり、動作中のクラスタまたはクラスタメンバの設定を変更したりするには、 HA オプションで設定します。

FortiGate ユニットを HA クラスタに加えるよう HA オプションを設定するには、[System]、[Config ]、[HA] の順に選択します。

HA が有効に設定されている場合、クラスタメンバリストを表示するには、[System]、[Config]、[HA] の順に選択します。マスタの FortiGate ユニット ( 別称プライマリユニット ) に対して編集を選択します。プライマリユニットの HA設定を編集すると、すべての変更が他のクラスタユニットにも同期されます。

注記 : FortiOS v3.0 MR2 以前のバージョンでは、この HA の項に HA の詳細が含まれていました。 FortiOS v3.0 MR3 以降、 HA の詳細については『FortiGate HA 概要』または『FortiGate HA ガイド』を参照してください。









システム - 設定 HA

図 62: FortiGate-1000AFA2 ユニットの HA 設定

バーチャルドメインを有効にして FortiGate ユニットの HA オプションを設定するには、グローバル管理者としてログインし、 [System]、[Config]、[HA] の順に選択します。

注記 : FortiGate クラスタでバーチャルドメインを使用している場合、 HA 仮想クラスタが設定されます。ほとんどの仮想クラスタの HA オプションは、標準の HA オプションと同一です。ただし、仮想クラスタには VDOM パーティショニングオプションが含まれます。標準 HA 設定オプションと仮想クラスタ HA 設定オプションのその他の違いについては、以下の説明、および『FortiGate HA 概要』と『FortiGate HA ガイド』を参照してください。




126


図 63: FortiGate-5001SX HA 仮想クラスタの設定

[Mode] クラスタに HA モードを選択するか、またはクラスタ内の FortiGate ユニットをスタンドアロンモードに戻します。クラスタを設定する場合、HA クラスタのすべてのメンバを同一の HA モードに設定する必要があります。 [Standalone] (HA を無効化）、 [Active-Passive]、または [Active-Active] を選択できます。バーチャルドメインが有効になっている場合、 [Active-Passive] または [Standalone] を選択できます。

[Device Priority] オプションで、クラスタユニットのデバイスプライオリティを設定します。クラスタユニットには、それぞれ別々のデバイスプライオリティを設定できます。 HA ネゴシエーション中、デバイスプライオリティのも高いユニットが通常プライマリユニットとなります。仮想クラスタ設定では、 2 つのデバイスプライオリティを設定することができ、各仮想クラスタに 1 つ、それぞれ設定できます。 HA ネゴシエーション中、仮想クラスタ内でデバイスプライオリティのも高いユニットが、その仮想クラスタのプライマリユニットとなります。デバイスプライオリティの変更は同期されません。初にクラスタを設定するときに、デフォルトのデバイスプライオリティを使用できます。クラスタが動作している場合、必要に応じて他のクラスタユニットのデバイスプライオリティを変更できます。



[Group Name] クラスタを識別するための名前を追加します。グループ名は大 7 文字です。クラスタを形成するには、まず全クラスタユニットに対してグループ名を同一にする必要があります。グループ名は、クラスタが作動した後に変更できます。グループ名の変更は、すべてのクラスタユニットに対して同期されます。デフォルトのグループ名は FGT-HA です。初にクラスタを設定するときに、デフォルトのグループ名を使用できます。クラスタが作動したら、必要に応じてグループ名を変更できます。同一ネットワーク上の 2 つのクラスタに同一のグループ名を設定することはできません。

[Password] クラスタを識別するためのパスワードを追加します。パスワードは大 15 文字です。クラスタを形成するには、まず全クラスタユニットに対してパスワードを同一にする必要があります。デフォルトではパスワードは設定されていません。初にクラスタを設定するときに、デフォルトを使用できます。クラスタが作動したら、必要に応じてパスワードを追加できます。同一ネットワーク上の 2 つのクラスタには、それぞれ別々のパスワードを設定する必要があります。

[Enable Session pickup]

プライマリユニットに不具合が生じた場合に、新たにプライマリユニットとなったクラスタユニットにすべてのセッションが引き継がれるようにするには、セッションピックアップを有効にします。セッションピックアップはデフォルトで無効に設定されています。一旦セッションピックアップのデフォルト設定を使用し、クラスタが作動した後にセッションピックアップを有効にすることも可能です。

[Port Monitor] 監視されるインタフェースが適切に機能し、ネットワークに接続されていることを監視するには、 FortiGate インタフェースの監視を有効または無効にします。監視対象のインタフェースに不具合が生じるか、またはネットワークから切断された場合、インタフェースはクラスタから切り離れ、リンクフェールオーバーが発生します。リンクフェールオーバーが発生すると、クラスタは、そのインタフェースで処理されているトラフィックを、まだネットワークに接続している別のクラスタユニットの同じインタフェースへとルート変更します。この別のクラスタユニットが、新しいプライマリユニットとなります。ポート監視はデフォルトで無効に設定されています。クラスタが作動するまでポート監視を無効にしておき、接続されているインタフェースに対してのみポート監視を有効にします。

[Heartbeat Interface]

各インタフェースの HA ハートビート通信を有効または無効にしたり、ハードビートインタフェースのプライオリティを設定したりします。

もプライオリティの高いハードビートインタフェースが、すべてのハートビートトラフィックを処理します。複数のハートビートインタフェースのプライオリティが同一である場合、インタフェースリスト

上位のハートビートインタフェースがすべてのハートビートトラフィックを処理します。デフォルトのハートビートインタフェース設定は FortiGate ごとに異なりますが、 2 つのハートビートインタフェースのプライオリティは通常 50 に設定されます。デフォルトのハートビートインタフェースの 1つまたは両方が接続されている場合、デフォルトのハートビートインタフェース設定を使用できます。ハートビートインタフェースのプライオリティの範囲は、 0 ～ 512 です。新しいハートビートインタフェースを選択した場合、デフォルトのプライオリティは 0 です。ハートビートインタフェースは少なくとも 1 つ選択する必要があります。ハートビート通信が中断されると、クラスタはトラフィックの処理を中止します。ハートビートインタフェースの設定については、『FortiGate HA ガイド』を参照してください。

[VDOM partitioning]

仮想クラスタを設定する場合、仮想クラスタ 1 となるバーチャルドメインと、仮想クラスタ 2 となるバーチャルドメインを選択できます。ルートバーチャルドメインは、常に仮想クラスタ 1 である必要があります。 VDOM パーティショニングの設定については、『FortiGate HA ガイド』を参照してください。





128


クラスタメンバリスト

動作中のクラスタのステータス、およびクラスタ内の FortiGate ユニットのステータスを表示するには、クラスタメンバリストを表示します。クラスタメンバリストを表示するには、動作中のクラスタにログインして、 [System ]、[Config ]、[HA] の順に選択します。

図 64: FortiGate-5001SX クラスタメンバリストの例

バーチャルドメインが有効になっている場合、クラスタメンバリストを表示して、動作中の仮想クラスタのステータスを確認できます。仮想クラスタメンバリストには、各仮想クラスタに追加されたバーチャルドメインを含む、両方の仮想クラスタのステータスが示されます。

動作中のクラスタのバーチャルクラスタメンバリストを表示するには、グローバル管理者としてログインし、グローバル設定を選択して、 [System ]、[Config ]、[HA] の順に選択します。

図 65: FortiGate-5001SX 仮想クラスタメンバリストの例

クラスタからの切断

編集

デバッグログのダウンロード

上下矢印

クラスタからの切断上下矢印

編集デバッグログのダウンロード



[View HA Statistics] 各クラスタユニットのシリアル番号、ステータス、および監視情報を表示します。 130 ページの「HA 統計の表示」を参照してください。

上下矢印クラスタメンバの表示順を変更します。クラスタまたはクラスタ内のユニットの動作には影響ありません。クラスタユニットがクラスタメンバリストに表示される順番が変わるだけです。

[Cluster member] クラスタユニットのフロントパネルの図です。インタフェースのネットワークジャックが緑色で表示されている場合、インタフェースは接続されています。クラスタユニットのホスト名、シリアル番号、ユニットの動作時間 ( アップタイム )、およびポート監視が設定されているインタフェースを表示するには、マウスポインタを各図の上で静止させます。

[Hostname] FortiGate ユニットのホスト名。 FortiGate ユニットのデフォルトのホスト名は、 FortiGate ユニットのシリアル番号です。

• プライマリユニットのホスト名を変更するには、 [System]、[Status] の順に選択し、現在のホスト名の隣にある [Change] を選択します。

• クラスタメンバリストから副系ユニットのホスト名を変更するには、その副系ユニットの編集アイコンを選択します。

[Role] クラスタ内のクラスタユニットのステータスまたはロール。

• プライマリ (またはマスタ ) ユニットのロールは [MASTER] (マスタ ) です。

• 副系 ( またはバックアップ ) クラスタユニットのロールは、すべて [SLAVE] ( スレーブ ) です。

[Priority] クラスタユニットのデバイスのプライオリティ。クラスタユニットには、それぞれ別々のデバイスプライオリティを設定できます。 HA ネゴシエーション中、デバイスプライオリティのも高いユニットがプライマリユニットとなります。デバイスプライオリティの範囲は、 0 ～ 255 です。

クラスタからの切断選択したクラスタユニットをクラスタから切断します。 131 ページの「クラスタユニットのクラスタからの切断」を参照してください。

編集クラスタユニットの HA 設定を変更するには、編集を選択します。

• プライマリユニットでは、編集を選択してクラスタ HA 設定を変更します。プライマリユニットのデバイスプライオリティを変更することもできます。

• 仮想クラスタのプライマリユニットでは、編集を選択して仮想クラスタ HA 設定を変更します。このクラスタユニットの仮想クラスタ 1 および仮想クラスタ 2 のデバイスプライオリティを変更することもできます。

• 副系ユニットでは、編集を選択して副系ユニットのホスト名とデバイスプライオリティを変更します。 131 ページの「副系ユニットのホスト名およびデバイスプライオリティの変更」を参照してください。

• 仮想クラスタの副系ユニットでは、編集を選択して副系ユニットのホスト名を変更します。また、選択した仮想クラスタの副系ユニットのデバイスプライオリティを変更できます。 131 ページの「副系ユニットのホスト名およびデバイスプライオリティの変更」を参照してください。

デバッグログのダウンロード

暗号化されたデバッグログをファイルにダウンロードします。このデバッグログをフォーティネットテクニカルサポート(http://support.fortinet.com) に送信することで、クラスタまたは個々のクラスタユニットの問題の診断に役立てることができます。


http://support.fortinet.com

130


HA 統計の表示

クラスタメンバリストから [View HA statistics] を選択して、各クラスタユニットのシリアル番号、ステータス、および監視情報を表示できます。 HA 統計を表示するには、 [System]、[Config]、[HA] の順に選択し、 [View HA statistics] を選択します。

図 66: HA 統計の例 ( アクティブ - パッシブクラスタ )

[Refresh every] Web ベースマネージャが HA 統計の表示を更新する頻度を制御する場合に選択します。

[Back to HA monitor] HA 統計を閉じて、クラスタメンバリストに戻ります。

[Unit] クラスタユニットのホスト名とシリアル番号。

[Status] 各クラスタユニットのステータスを示します。緑色のチェックマークは、クラスタユニットが正常に動作していることを示します。赤色の X は、クラスタユニットとプライマリユニットが通信不能であることを示します。

[Up Time] クラスタユニットが前回起動してからの、日、時、分、および秒による時間。

[Monitor] 各クラスタユニットのシステムステータス情報を表示します。

[CPU Usage] 各クラスタユニットの現在の CPU ステータス。 Web ベースマネージャには、コアプロセスの CPU 使用率のみが表示されます。管理プロセス ( たとえば、 Web ベースマネージャへの HTTPS 接続 ) が使う CPU 使用率は除外されます。

[Memory Usage] 各クラスタユニットの現在のメモリステータス。 Web ベースマネージャには、コアプロセスのみのメモリ使用率が表示されます。管理プロセス ( たとえば、 Web ベースマネージャへの HTTPS 接続 ) のメモリ使用率は除外されます。

[Active Sessions] クラスタユニットが処理している通信セッションの数。

[Total Packets] 前回の起動以降にクラスタユニットが処理したパケットの数。

[Virus Detected] クラスタユニットが検出したウイルスの数。

[Network Utilization] すべてのクラスタユニットインタフェースで使用されているネットワークの総帯域幅。

[Total Bytes] 前回の起動以降にクラスタユニットが処理したバイト数。

[Intrusion Detected] クラスタユニットの侵入防御機能によって検出された侵入または攻撃の数。



副系ユニットのホスト名およびデバイスプライオリティの変更

動作中のクラスタ内の副系ユニットのホスト名とデバイスプライオリティを変更するには、 [System]、[Config]、[HA] の順に選択して、クラスタメンバリストを表示します。クラスタメンバリストのいずれかのスレーブ ( 下位 ) ユニットの編集を選択します。

バーチャルドメインが有効な動作中のクラスタ内の副系ユニットのホスト名とデバイスプライオリティを変更するには、グローバル管理者としてログインし、[System]、[Config]、[HA] の順に選択して、クラスタメンバリストを表示します。クラスタメンバリストのいずれかのスレーブ ( 下位 ) ユニットの編集を選択します。

この副系ユニットのホスト名 ([Peer]) およびデバイスプライオリティ ([Priority]) を変更できます。これらの変更は、副系ユニットの設定にのみ影響します。

図 67: 副系ユニットのホスト名およびデバイスプライオリティの変更

クラスタユニットのクラスタからの切断

[System]、[Config]、[HA] の順に選択し、 [ クラスタから切断 ] アイコンを選択すると、クラスタの動作を中断させることなく、動作中のクラスタからクラスタユニットを切断できます。 FortiGate ユニットを、たとえばスタンドアロンファイアウォールなど別の役割として使用する必要がある場合は、クラスタユニットを切断できます。

図 68: クラスタメンバの切断

[Peer] 副系ユニットのホスト名を表示し、オプションで変更します。

[Priority] 副系ユニットのデバイスプライオリティを表示し、オプションで変更します。デバイスプライオリティは、クラスタメンバ間で同期されません。動作中のクラスタにおいて、デバイスプライオリティを変更して、クラスタ内の任意のユニットのプライオリティを変更できます。次回クラスタがネゴシエートする際に、デバイスプライオリティのも高いクラスタユニットがプライマリユニットとなります。デバイスプライオリティの範囲は、 0 ～ 255 です。デフォルトのデバイスプライオリティは 128 です。


132


[Serial Number] クラスタから切断されるクラスタユニットのシリアル番号を表示します。

[Interface] 設定するインタフェースを選択します。このインタフェースの IPアドレスとネットマスクも指定します。 FortiGate ユニットが切断されると、このインタフェースに対する管理アクセスのすべてのオプションが有効になります。

[IP/Netmask] インタフェースの IP アドレスとネットマスクを指定します。この IP アドレスを使用してこのインタフェースに接続し、切断された FortiGate ユニットを設定できます。


システム - 設定 SNMP

SNMP

SNMP (Simple Network Management Protocol) により、ネットワーク上のハードウェアを監視できます。ハードウェア、つまり FortiGate SNMP エージェントを設定して、 SNMP マネージャにシステム情報を報告したり、トラップ ( アラームやイベントメッセージ ) を送信したりできます。 SNMP マネージャとは、エージェントからの受信トラップを読み取ったり情報を追跡できるアプリケーションが動作しているコンピュータです。 SNMP マネージャを使用すれば、どのFortiGate インタフェースまたは SNMP 管理アクセス用に設定された VLAN サブインタフェースからでも、 SNMP トラップおよびデータにアクセスできます。

FortiGate SNMP 実装は読み取り専用です。 SNMP v1 および v2c に準拠したSNMP マネージャは、 FortiGate システム情報への読み取り専用アクセスが行えるとともに、 FortiGate トラップを受信できます。 FortiGate システム情報を監視し、 FortiGate のトラップを受信するには、フォーティネット独自 MIB とフォーティネットがサポートする標準 MIB を SNMP マネージャにコンパイルする必要があります。

RFC サポートには、大部分の RFC 2665 (Ethernet-like MIB) と、大部分の RFC 1213 (MIB II) のサポートが含まれます ( 詳細については、 136 ページの「フォーティネット MIB」を参照してください。 )

SNMP の設定

SNMP エージェントを設定するには、 [System]、[Config]、[SNMP v1/v2c] の順に選択します。

図 69: SNMP の設定

注記 : SNMP マネージャの設定の 1 つとして、監視対象となる FortiGate ユニット上のコミュニティのホストとして自身をリストに加える作業があります。これを行わないと、SNMP モニタは FortiGate ユニットからのトラップを一切受信せず、クエリも行えません。

[SNMP Agent] FortiGateSNMP エージェントを有効にします。

[Description] FortiGate ユニットについての説明情報を入力します。文字数は大35 文字です。

[Location] FortiGate ユニットの物理的な場所を入力します。システムの場所情報は大 35 文字です。

[Contact] この FortiGate ユニットの担当者の連絡先情報を入力します。連絡先情報は大 35 文字です。

[Apply] 説明、場所、および連絡先情報への変更を保存します。

[Create New] 新しい SNMP コミュニティを追加するには、 [Create New] を選択します。134 ページの「SNMP コミュニティの設定」を参照してください。


134

SNMP システム - 設定

SNMP コミュニティの設定

SNMP コミュニティとは、ネットワーク管理を目的とした機器のグループです。SNMP コミュニティを追加すると、 SNMP マネージャは FortiGate ユニットに接続し、システム情報を表示したり、 SNMP トラップを受信したりできます。大で3 つの SNMP コミュニティを追加できます。各コミュニティには、それぞれ別々の SNMP クエリおよびトラップを設定できます。各コミュニティは、 FortiGate ユニットの別々のイベントセットを監視するように設定できます。また、各コミュニティには、大 8 つの SNMP マネージャの IP アドレスを追加できます。

図 70: SNMP コミュニティオプション ( パート 1)

[Communities] FortiGate の設定に追加された SNMP コミュニティのリスト。大で3 つのコミュニティを追加できます。

[Name] SNMP コミュニティの名前。

[Queries] 各 SNMP コミュニティの SNMP クエリのステータス。クエリステータスは有効または無効にできます。

[Traps] 各 SNMP コミュニティの SNMP トラップのステータス。トラップステータスは有効または無効にできます。

[Enable] SNMP コミュニティをアクティブにするには、[Enable] を選択します。

削除アイコン SNMP コミュニティを削除するには、削除アイコンをクリックします。

編集 / 表示アイコン

SNMP コミュニティを表示または修正する場合に選択します。



図 71: SNMP コミュニティオプション ( パート 2)

[Community Name] SNMP コミュニティを識別する名前を入力します。

[Hosts] FortiGate ユニットを監視するために、 IP アドレスを入力し、このSNMP コミュニティの設定を使用できる SNMP マネージャを特定します。

[IP Address] FortiGate ユニットを監視するためにこの SNMP コミュニティの設定を使用できる SNMP マネージャの IP アドレス。 IP アドレスを0.0.0.0 に設定すると、任意の SNMP マネージャがこの SNMP コミュニティを使用できるようになります。

[Interface] オプションで、 FortiGate ユニットに接続するためにこの SNMP マネージャが使用するインタフェースの名前を選択します。 SNMP マネージャが FortiGate ユニットと同一のサブネット上にない場合のみ、インタフェースを選択する必要があります。このような状況は、 SNMP マネージャがインターネット上にある場合や、ルータの背後にある場合に生じる可能性があります。

[Delete] SNMP マネージャを削除するには、削除アイコンを選択します。

[Add] ホストリストに空白行を追加します。 1 つのコミュニティに大 8つの SNMP マネージャを追加できます。

[Queries] FortiGate ユニットから設定情報を受信するために、このコミュニティの SNMP マネージャが SNMP v1 および SNMP v2c クエリに使用するポート番号 ( デフォルトで 161) を入力します。各 SNMP バージョンのクエリをアクティブにするには、 [Enable] チェックボックスをオンにします。

[Traps] FortiGate ユニットが、このコミュニティの SNMP マネージャにSNMP v1 および SNMP v2c トラップを送信するのに使用する、ローカルおよびリモートポート番号を入力します ( それぞれデフォルトでポート 162)。各 SNMP バージョンのトラップをアクティブにするには、 [Enable] チェックボックスをオンにします。

[SNMP Event] FortiGate ユニットがこのコミュニティの SNMP マネージャにトラップを送信する必要がある SNMP イベントをそれぞれ有効にします。[Temperature too high] と [Voltage out of range] のイベントトラップは、 FortiGate 5001 でのみ使用できます。


136


SNMP アクセスについてインタフェースを設定するには

SNMP マネージャが FortiGate エージェントに接続できるようにするには、 SNMP接続を認めるよう FortiGate インタフェースを 1 つ以上設定する必要があります。


2 SNMP マネージャが接続するインタフェースを選択して、編集を選択します。

3 [Administrative Access] で [SNMP] を選択します。


トランスペアレントモードで SNMP アクセスを設定するには

1 [System]、[Config]、[Operation]、[Mode] の順に選択します。

2 管理アクセスに使用する IP アドレスとネットマスクを [Management IP/Netmask] フィールドに入力します。


フォーティネット MIB

FortiGate SNMP エージェントは、フォーティネット独自 MIB と標準 RFC 1213 および RFC 2665 MIB をサポートします。 RFC のサポートには、 RFC 2665 (Ethernet-like MIB) の一部と、FortiGate ユニット設定に適用される RFC 1213 (MIB II) の一部のサポートが含まれます。

FortiGate MIB と 2 つの RFC MIB を表 8 に示します。これらの MIB ファイルは、フォーティネットテクニカルサポートから入手可能です。 SNMP エージェントと通信を行えるようにするには、これらの MIB をすべて SNMP マネージャにコンパイルする必要があります。

SNMP マネージャによっては、すぐに使用できるコンパイル済みのデータベースに標準および非公開の MIB がすでに含まれている場合があります。フォーティネット独自 MIB は、このデータベースに追加する必要があります。フォーティネット SNMP エージェントが使用する標準 MIB が SNMP マネージャにコンパイル済みである場合は、再度コンパイルする必要はありません。

表 8: フォーティネット MIB

MIB ファイル名またはRFC

説明

fortinet.3.00.mib フォーティネット独自 MIB には、 FortiGate の詳細なシステム設定情報とトラップ情報が含まれます。 SNMP マネージャは、FortiGate の設定を監視したり、 FortiGate SNMP エージェントからトラップを受信したりするのに、この情報を必要とします。137 ページの「FortiGate トラップ」および 139 ページの「フォーティネット MIB フィールド」を参照してください。

RFC-1213 (MIB II) FortiGate SNMP エージェントは、以下を例外として、 MIB II グループをサポートします。

• MIB II からの EGP グループはサポートされません (RFC 1213、項 3.11 および 6.10)。

• MIB IIグループ (IP/ICMP/TCP/UDPなど) に返されるプロトコル統計では、 FortiGate のトラフィック活動がすべて正確にキャプチャされるわけではありません。より正確な情報は、フォーティネット MIB が報告する情報から取得できます。

RFC-2665(Ethernet-like MIB)

FortiGate SNMP エージェントは、以下を例外として、 Ethernet-like MIB の情報をサポートします。

dot3Tests および dot3Errors グループはサポートされません。



FortiGate トラップ

FortiGate エージェントは、 SNMP コミュニティに追加した SNMP マネージャにトラップを送信できます。トラップを受信するには、 SNMP マネージャにフォーティネット 3.0 MIB をロードおよびコンパイルする必要があります。

すべてのトラップに、トラップメッセージに加えて FortiGate ユニットのシリアル番号とホスト名が含まれます。

表 9: 一般的な FortiGate トラップ

トラップメッセージ説明

ColdStartWarmStartLinkUpLinkDown

RFC 1215 に記述されている標準的なトラップ。

表 10: FortiGate システムトラップ


CPU 使用率が高い (fnTrapCpuHigh)

CPU 使用率が 90% を超えています。このしきい値は、 CLIで config system global を実行して設定できます。

メモリの残量が少ない (fnTrapMemLow)

メモリ使用率が 90% を超えています。このしきい値は、 CLIで config system global を実行して設定できます。

インタフェース IP の変更(fnTrapIfChange)

FortiGate インタフェースの IP アドレスの変更。トラップメッセージには、 FortiGate ユニットのインタフェース名、新しい IP アドレス、およびシリアル番号が含まれます。このトラップを使用すると、 DHCP または PPPoE を使用してダイナミック IP アドレスが設定されたインタフェースの IP アドレスの変更を追跡できます。

温度が高過ぎる(fnTrapTempHigh)

ハードウェアのセンサが高温を検出しています。これは、 FortiGate 5001 でのみ利用できます。

電圧が範囲外 (fnTrapVoltageOutOfRange)

ハードウェアのセンサが異常な電力レベルを検出しています。これは、 FortiGate 5001 でのみ利用できます。

(fnFMTrapIfChange) メッセージはありません。インタフェースによって IP が変更されています。監視を行う FortiManager にのみ送信されます。

(fnFMTrapConfChange) 接続された FortiManager ユニットによる変更を除く、FortiGate ユニットに対して行われた任意の設定変更。

表 11: FortiGate VPN トラップ


VPN トンネルが起動 (fnTrapVpnTunUp)

IPSec VPN トンネルが起動しました。

VPN トンネルが停止 (fnTrapVpnTunDown)

IPSec VPN トンネルが停止しました。


138


表 12: FortiGate IPS トラップ


IPS アノマリfnTrapIpsAnomaly

IPS アノマリが検出されました。

IPS シグネチャfnTrapIpsSignature)

IPS シグネチャが検出されました。

表 13: FortiGate アンチウイルストラップ


ウイルスを検出 (fnTrapAvEvent)

FortiGate ユニットがウイルスを検出し、 HTTP またはFTP ダウンロード、あるいは電子メールメッセージから感染したファイルを除去しました。

サイズ超過のファイル /電子メールを検出(fnTrapAvOversize)

FortiGate ユニットのアンチウイルススキャナが、サイズ超過のファイルを検出しました。

ファイル名のブロックを検出(fnTrapAvPattern)

FortiGate ユニットのアンチウイルススキャナが、パターンに一致したファイルをブロックしています。

断片化した電子メールを検出(fnTrapAvFragmented)

FortiGate ユニットのアンチウイルススキャナが、断片化したファイルまたは添付ファイルを検出しています。

表 14: FortiGate ロギングトラップ


ログの空きなし(fnTrapLogFull)

ハードドライブ搭載の FortiGate ユニットでは、ハードドライブの使用率が 90% を超えています。ハードドライブを搭載しない FortiGate ユニットでは、メモリへのログの使用率が 90% を超えています。このしきい値は、 CLI で config system global を実行して設定できます。

表 15: FortiGate HA トラップ


HA の切り替え(fnTrapHaSwitch)

HA クラスタのプライマリユニットに障害が発生し、新しいプライマリユニットに切り換わっています。

HA ハートビートの障害(fnTrapHaHBFail)

HA 監視インタフェースがハートビートを行っていません。

表 16: FortiBridge トラップ


FortiBridge が障害を検出(fnTrapBridge)

FortiBridge ユニットが、 FortiGate ユニットの障害を検出しています。



フォーティネット MIB フィールド

フォーティネット MIB には、 FortiGate ユニットの現在のステータス情報を報告するフィールドが含まれています。次の表は、 MIB フィールドの名前とそれぞれのステータス情報の一覧です。 fortinet.3.00.mib ファイルを SNMP マネージャにコンパイルし、 Fortinet MIB フィールドを表示することで、すべてのフォーティネット MIB フィールドの情報の詳細を表示できます。

表 17: システム MIB フィールド

MIB フィールド説明

fnSysModel FortiGate モデル番号。たとえば FortiGate-400 では 400 となります。

fnSysSerial FortiGate ユニットのシリアル番号。

fnSysVersion FortiGate ユニットで現在実行中のファームウェアのバージョン。

fnSysVersionAv FortiGate ユニットにインストールされたアンチウイルス定義のバージョン。

fnSysVersionNids FortiGate ユニットにインストールされた攻撃定義のバージョン。

fnSysHaMode 現在の高可用性 (HA) モード ( スタンドアロン、 A-A、 A-P)。

fnSysOpMode FortiGate ユニットの動作モード (NAT またはトランスペアレント )。

fnSysCpuUsage 現在の CPU 使用率 (%)。

fnSysMemUsage 現在のメモリ使用量 (MB)。

fnSysDiskCapacity ハードディスクの容量 (MB)。

fnSysDiskUsage 現在のハードディスクの使用量 (MB)。

fnSysSesCount 現在の IP セッション数。

表 18: HA MIB フィールド


fnHaSchedule A-A モードの負荷分散スケジュール。

fnHaStatsTable HA クラスタの個々の FortiGate ユニットの統計。

fnHaStatsIndex クラスタ内のユニットのインデックス番号。

fnHaStatsSerial FortiGate ユニットのシリアル番号。

fnHaStatsCpuUsage 現在の FortiGate ユニットの CPU 使用率 (%)。

fnHaStatsMemUsage 現在のユニットのメモリ使用量 (MB)。

fnHaStatsNetUsage 現在のユニットのネットワーク使用量(Kbps)。

fnHaStatsSesCount アクティブなセッションの数。

fnHaStatsPktCount 処理されたパケットの数。

fnHaStatsByteCount FortiGate ユニットが処理したバイト数。

fnHaStatsIdsCount 直近 20 時間に IPS が検出した攻撃の数。

fnHaStatsAvCount 直近20時間にアンチウイルスシステムが検出したウイルスの数。


140


表 19: 管理者アカウント


fnAdminNumber FortiGate ユニット上の管理者の人数。

fnAdminTable 管理者の表。

fnAdminIndex 管理者アカウントのインデックス番号。

fnAdminName 管理者アカウントのユーザ名。

fnAdminAddr この管理者アカウントを使用することのできる、信頼できるホストまたはサブネットのアドレス。

fnAdminMask fnAdminAddr のネットマスク。

表 20: ローカルユーザ


fnUserNumber FortiGate ユニット上のローカルユーザアカウント数。

fnUserTable ローカルユーザの表。

fnUserIndex ローカルユーザアカウントのインデックス番号。

fnUserName ローカルユーザアカウントのユーザ名。

fnUserAuth ローカルユーザの認証タイプ。local - FortiGate ユニットに保存されたパスワードradius-single - RADIUS サーバに保存されたパスワードradius-multiple - RADIUS サーバで認証できるすべてのユーザがログオン可能ldap - LDAP サーバに保存されたパスワード

fnUserState ローカルユーザが有効か無効かを示します。

表 21: オプション


fnOptIdleTimeout 分単位のアイドル期間で、これを過ぎると管理者は再認証を受ける必要があります。

fnOptAuthTimeout 分単位のアイドル期間で、これを過ぎるとユーザはファイアウォールで再認証を受ける必要があります。

fnOptLanguage Web ベースマネージャの言語。

fnOptLcdProtection LCD PIN が設定されているかどうかを示します。

表 22: [Logging]


fnLogOption ロギングの基本設定。

表 23: カスタムメッセージ


fnMessages FortiGate ユニット上のカスタムメッセージの数。



表 24: バーチャルドメイン


fnVdNumber FortiGate ユニット上のバーチャルドメイン数。

fnVdTable バーチャルドメインの表。

fnVdIndex FortiGate ユニット上の内部バーチャルドメインのインデックス番号。

fnVdName バーチャルドメインの名前。

表 25: アクティブ IP セッション


fnIpSessIndex アクティブな IP セッションのインデックス番号。

fnIpSessProto セッションの IP プロトコル (TCP、 UDP、 ICMP など )。

fnIpSessFromAddr アクティブな IP セッションの送信 IP アドレス。

fnIpSessFromPort アクティブな IP セッションの送信ポート。

fnIpSessToPort アクティブな IP セッションの送信 IP アドレス。

fnIpSessToAddr アクティブな IP セッションの受信ポートです。

fnIpSessExp セッションの秒単位の有効期限または TTL (time-to-live)。

表 26: ダイヤルアップ VPN


fnVpnDialupIndex ダイヤルアップ VPN ピアのインデックス。

fnVpnDialupGateway リモートゲートウェイ IP アドレス。

fnVpnDialupLifetime 秒単位の VPN トンネル存続期間。

fnVpnDialupTimeout 次のキー交換までの残り時間 ( 秒 )。

fnVpnDialupSrcBegin リモートサブネットアドレス。

fnVpnDialupSrcEnd リモートサブネットマスク。

fnVpnDialupDstAddr ローカルサブネットアドレス。


142


表 27: VPN トンネル


fnVpnTunEntIndex VPN トンネルの固有インデックス。

fnVpnTunEntPhase1Name フェーズ 1 設定の説明用の名前。

fnVpnTunEntPhase2Name フェーズ 2 設定の説明用の名前。

fnVpnTunEntRemGwyIp リモートゲートウェイの IP。

fnVpnTunEntRemGwyPort リモートゲートウェイのポート。

fnVpnTunEntLocGwyIp ローカルゲートウェイの IP。

fnVpnTunEntLocGwyPort ローカルゲートウェイのポート。

fnVpnTunEntSelectorSrcBeginIp 送信元セレクタのアドレス範囲の始まり。

fnVpnTunEntSelectorSrcEndIp 送信元セレクタのアドレス範囲の終わり。

fnVpnTunEntSelectorSrcPort 送信元セレクタポート。

fnVpnTunEntSelectorDstBeginIp 送信先セレクタのアドレス範囲の始まり。

fnVpnTunEntSelectorDstEndIp 送信先セレクタのアドレス範囲の終わり。

fnVpnTunEntSelectorDstPort 送信先セレクタポート。

fnVpnTunEntSelectorProto セレクタのプロトコル番号。

fnVpnTunEntSelectorLifeSecs 秒単位のトンネル存続期間。

fnVpnTunEntSelectorLifeBytes バイト単位のトンネル存続期間。

fnVpnTunEntTimeout 秒単位のトンネルのタイムアウト。

fnVpnTunEntInOctets トンネルの受信バイト数。

fnVpnTunEntOutOctets トンネルの送信バイト数。

fnVpnTunEntStatus トンネルの現在のステータスで、起動または停止のいずれかです。


システム - 設定差し替えメッセージ

差し替えメッセージ

差し替えメッセージを変更し、 FortiGate ユニットにより電子メールメッセージ、 Web ページ、および FTP セッションに追加されるアラートメールや情報をカスタマイズするには、 [System]、[Config ]、[Replacement Messages] の順に選択します。

FortiGate ユニットは、さまざまなコンテンツストリームに差し替えメッセージを追加します。たとえば、電子メールメッセージにウイルスが発見された場合、電子メールからそのファイルが除去され、差し替えメッセージに置き換えられます。 Web フィルタリングでブロックされたページや、スパムフィルタリングでブロックされた電子メールも同様です。

差し替えメッセージリスト

図 72: 差し替えメッセージリスト

注記 : フォーティネットが用意した免責の差し替えメッセージは、例に過ぎません。


144

差し替えメッセージシステム - 設定

差し替えメッセージの変更

図 73: サンプルの HTTP ウイルス差し替えメッセージ

差し替えメッセージは、テキストまたは HTML メッセージが可能です。 HTMLメッセージには HTML コードを追加できます。差し替えメッセージで使用する形式は、 [Allowed Formats] に表示されます。差し替えメッセージには、各々 8192文字の制限があります。

また、差し替えメッセージには、差し替えメッセージタグを含めることができます。ユーザが差し替えメッセージを受信すると、差し替えメッセージタグはそのメッセージに関連したコンテンツに置き換えられます。表 28 は、追加できる差し替えメッセージタグの一覧です。

[Name] 差し替えメッセージの種類。カテゴリを展開または縮小するには、青色の三角形を選択します。メッセージを変更して以下に追加できます。

• ウイルス感染ファイルが添付された電子メール

• Web ページ (http)

• ftp セッション

• 警告メールメッセージ

• スパムとしてブロックされた smtp 電子メール

• Web フィルタのカテゴリブロックでブロックされた Web ページ

• インスタントメッセージおよびピアツーピアセッション

また、以下の変更も行えます。

• ユーザ認証用のログインページおよびログイン拒否ページ

• ユーザおよび管理者認証用の免責メッセージ ( 一部のモデル )

• 認証用のキープアライブページ

• FortiGuard Web フィルタリングブロック無効化ページ

• SSL-VPN のログインページ

[Description] 差し替えメッセージの種類の説明。 Web ベースマネージャは、それぞれの差し替えメッセージが FortiGate ユニットで使用される箇所を示します。

編集または表示アイコン

差し替えメッセージを編集または表示する場合に選択します。

注記 : FortiOS は、ファイアウォールが有効になる前に、ユーザが承認する認証免責ページを HTTP を使用して送信します。したがって、認証免責ページを表示させるには、ユーザは、まず HTTP トラフィックを開始する必要があります。免責事項が承認されると、ユーザはファイアウォールポリシーで許可されたトラフィックをすべて送信できます。



表 28: 差し替えメッセージタグ

タグ説明

%%AUTH_LOGOUT%% 現在のポリシーをただちに削除し、セッションを終了するURL。 auth-keepalive ページで使用されます。

%%AUTH_REDIR_URL%% auth-keepalive ページで、このタグにリンクした新しいウィンドウを開くようユーザに促すことができます。

%%CATEGORY%% Web サイトのコンテンツカテゴリの名前。

%%DEST_IP%% ウイルスが送信された要求宛先の IP アドレス。電子メールの場合、これはウイルスを含む電子メールを送信した電子メールサーバの IP アドレスです。 HTTP の場合は、これはウイルスを送信した Web ページの IP アドレスです。

%%EMAIL_FROM%% ファイルが除去されたメッセージの送信者の電子メールアドレス。

%%EMAIL_TO%% ファイルが除去されたメッセージの所定の受信者の電子メールアドレス。

%%FAILED_MESSAGE%% auth-login-failed ページに表示されるログイン失敗メッセージ。

%%FILE%% コンテンツストリームから除去されたファイルの名前。これは、ウイルスを含んだファイル、またはアンチウイルスのファイルブロックによってブロックされたファイルの場合があります。ウイルスおよびファイルブロックメッセージには、 %%FILE%% が使用できます。

%%FORTIGUARD_WF%% FortiGuard - Web フィルタリングのロゴ。

%%FORTINET%% フォーティネットのロゴ。

%%HTTP_ERR_CODE%% HTTP エラーコード。たとえば "404"。

%%HTTP_ERR_DESC%% HTTP エラーコードの説明。

%%KEEPALIVEURL%% auth-keepalive-page は、 %%TIMEOUT%% の秒ごとにこの URL に自動的に接続し、接続ポリシーを更新します。

%%NIDSEVENT%% IPS 攻撃メッセージ。電子メールの侵入メッセージを警告するため、 %%NIDSEVENT%% が追加されます。

%%OVERRIDE%% FortiGuard Web フィルタリング無効化フォームへのリンク。これは、 FortiGuard Web フィルタリング無効化の作成が許可されたグループにユーザが属する場合にのみ表示されます。

%%OVRD_FORM%% FortiGuard Web フィルタブロック無効化ページ。このタグは、FortiGuard Web フィルタリング無効化フォームになければなりません。他の差し替えメッセージに使用しないでください。

%%PROTOCOL%% ウイルスが検出されたプロトコル (http、 ftp、 pop3、 imap、または smtp)。電子メールのウイルスメッセージを警告するため、 %%PROTOCOL%% が追加されます。

%%QUARFILENAME%% コンテンツストリームから除去され、隔離場所に追加されたファイルの名前。これは、ウイルスを含んだファイル、またはアンチウイルスのファイルブロックによってブロックされたファイルの場合があります。ウイルスおよびファイルブロックメッセージには、 %%QUARFILENAME%% が使用できます。隔離は、ローカルディスクを備えた FortiGate ユニットでのみ利用できます。

%%QUESTION%% auth-challenge ページの認証チャレンジの質問。auth-loginページでユーザ名とパスワードの入力が求められます。

%%SERVICE%% Web フィルタリングサービス名。


146

差し替えメッセージシステム - 設定

認証ログインページの変更

ユーザが認証に必要な VPN またはファイアウォールポリシーを使用する際、認証ログインページが表示されます。このページは、他の差し替えメッセージの変更と同様の方法でカスタマイズできますが、いくつか固有の条件があります。

• ログインページは、 ACTION="/" および METHOD="POST" のフォームを含むHTML ページである必要があります。

• フォームには、次の隠し制御が含まれている必要があります。

• <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%">

• <INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%">

• <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%">

• フォームには、目に見える次の制御が含まれている必要があります。

• <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>• <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25>

例

以下は、上述の条件を満たすシンプルな認証ページの一例です。

<HTML><HEAD><TITLE> ファイアウォール認証 </TITLE></HEAD><BODY><H4> このサービスを利用するには、認証を行わなければなりません。</H4>

<FORM ACTION="/" method="post"><INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden">

<TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0"CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY>

<TR><TH> ユーザ名 :</TH><TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR>

<TR><TH> パスワード :</TH><TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR>

%%SOURCE_IP%% ブロックされたファイルを受信する要求発信元の IP アドレス。電子メールでは、これは、ファイルが除去されたメッセージをダウンロードしようとしたユーザのコンピュータのIP アドレスです。

%%TIMEOUT%% 認証キープアライブ接続間の設定秒数。 auth-keepalive ページで使用されます。

%%URL%% Web ページの URL。これは、 Web フィルタのコンテンツブロックまたは URL ブロックでブロックされた Web ページである可能性があります。 %%URL%% は、ブロックされたファイルのダウンロードをユーザが試みる Web ページの URL とするために、 http ウイルスおよびファイルブロックメッセージでも使用される場合があります。

%%VIRUS%% アンチウイルスシステムでファイル内に発見されたウイルスの名前。 %%VIRUS%% は、ウイルスメッセージ内で使用できます。

表 28: 差し替えメッセージタグ ( 続き )

タグ説明



<TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"><INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"><INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"><INPUT VALUE="Continue" TYPE="submit"> </TD></TR>

</TBODY></TABLE></FORM></BODY></HTML>

FortiGuard Web フィルタリングブロック無効化ページの変更

%%OVRD_FORM%% タグは、 FortiGuard Web フィルタリングで Web ページへのアクセスがブロックされた場合に、無効の処理を開始するために使用されるフォームです。差し替えメッセージからこのタグを削除しないでください。

SSL-VPN ログインメッセージの変更

SSL VPN ログインメッセージは、ユーザが SSL-VPN Web ポータルへのログインに使用する Web ページを表示します。このページは FortiGate の機能にリンクされています。その動作を保証するために、次のガイドラインに従って構築する必要があります。

• ログインページは、 ACTION="%%SSL_ACT%%" およびMETHOD="%%SSL_METHOD%%" が含まれる HTML ページでなければなりません。

• フォームには、ログインフォームを提供する %%SSL_LOGIN%% が含まれている必要があります。

• フォームには、 %%SSL_HIDDEN%% タグが含まれている必要があります。

認証免責ページの変更

一部のモデルでサポートされている認証免責ページは、 FortiGate ユニットでアクセスが許可される前にユーザが承認する必要のある利用方針について示しています。免責はファイアウォールポリシーで有効にします。 230 ページの「ファイアウォールポリシーのオプション」のユーザ認証免責を参照してください。変更は、 HTML 形式のコードではなく、免責本文のみとしてください。


148

動作モードおよび VDOM 管理アクセスシステム - 設定

動作モードおよび VDOM 管理アクセス

VDOM の動作モードは、他の VDOM に関係なく変更できます。これにより、FortiGate ユニット上の VDOM で、 NAT/ ルートとトランスペアレントの動作モードを任意に組み合わせることができます。

VDOM への管理アクセスは、 FortiGate ユニットへの接続に使用可能なインタフェースおよびプロトコルに基づいて制限できます。

動作モードの変更

VDOM の動作モードを設定し、ネットワーク設定を十分に行うことで、新しいモードで確実に Web ベースマネージャに接続できます。

NAT/ ルートモードからトランスペアレントモードに切り替えるには

1 [System]、[Config]、[Operation Mode] の順に選択するか、またはバーチャルドメインの [System Status] ページの [Operation Mode] の隣にある [Change] を選択します。

2 [Operation Mode] で、 [Transparent] を選択します。

3 次の情報を入力し、 [Apply] を選択します。

トランスペアレントモードから NAT/ ルートモードに切り替えるには

1 [System]、[Config]、[Operation Mode] の順に選択するか、またはバーチャルドメインの [System Status] ページの [Operation Mode] の隣にある [Change] を選択します。

2 [ 動作モード ] リストから、 [NAT] を選択します。

[Management IP/Netmask] 管理 IP アドレスとネットマスクを入力します。これは、FortiGate ユニットを管理するネットワークの有効なIP アドレスである必要があります。

[Default Gateway] FortiGate ユニットから他のネットワークに到達するのに必要な、デフォルトゲートウェイを入力します。

[Asymmetric Routing] 非対称ルーティングを可能にする場合に選択します。


システム - 設定動作モードおよび VDOM 管理アクセス

3 次の情報を入力し、 [Apply] を選択します。

管理アクセス

管理アクセスは、 VDOM の任意のインタフェースに設定できます。 85 ページの「NAT/ ルートモードで動作している VDOM の場合は、その VDOM 内のインタフェースへの管理アクセスを制御できます。」を参照してください。 NAT/ ルートモードでは、管理アクセスにインタフェース IP アドレスが使用されます。トランスペアレントモードでは、管理アクセスが可能な VDOM のすべてのインタフェースに適用される単一の管理 IP アドレスを設定します。また、 FortiGate はこの IP アドレスを使用して FDN に接続し、ウイルスおよび攻撃の更新を行います (169 ページの「FortiGuard Center」参照 )。

システム管理者 (admin) はすべての VDOM にアクセスでき、標準の管理者アカウントを作成できます。標準の管理者アカウントでは、所属する VDOM にのみアクセスできます。管理コンピュータは、その VDOM のインタフェースに接続する必要があります。インタフェースがどの VDOM に属しているのかは関係ありません。どちらの場合も、管理コンピュータは、管理アクセスが可能なインタフェースに接続しなければならず、その IP アドレスは同一のネットワーク上でなければなりません。インタフェースで HTTP、 HTTPS、 telnet、または SSH のサービスが有効な場合、管理アクセスにそれらのセッションを利用できます。HTTPS と SSH は安全性が高いことから、それらの使用が望まれます。

FortiGate ユニットではリモート管理が行えます。ただし、インターネットからのリモート管理を許可すると、 FortiGate ユニットのセキュリティが危険にさらされる可能性があります。設定にとって必須でない限り、この危険性を避けるようにしてください。インターネットからのリモート管理を許可する FortiGate ユニットのセキュリティを向強化する方法は次のとおりです。

• セキュアな管理ユーザパスワードを使用します。

• これらのパスワードを定期的に変更します。

• HTTPS または SSH のみを使用して、このインタフェースへのセキュアな管理アクセスを実現する。

• 信頼できるホストを使用して、リモートアクセスの発信元を限定する。

• システムアイドルタイムアウトをデフォルトの 5分から変更しない (162 ページの「設定」参照 )。

[Interface IP/Netmask] FortiGate ユニットを管理するネットワークの有効な IP アドレスおよびネットマスクを入力します。

[Device] [Interface IP/Netmask] の設定を適用するインタフェースを選択します。

[Default Gateway] FortiGate ユニットから他のネットワークに到達するのに必要な、デフォルトゲートウェイを入力します。

[Gateway Device] デフォルトゲートウェイが接続されるインタフェースを選択します。

[Asymmetric Routing] 非対称ルーティングを可能にする場合に選択します。


150

動作モードおよび VDOM 管理アクセスシステム - 設定


システム管理者管理者

F0

システム管理者この項では、 FortiGate ユニットの管理者アカウントの設定方法について説明します。管理者は、 FortiGate ユニットにアクセスしてその動作を設定します。工場出荷時の設定では、ユニットには admin という管理者アカウントが 1 つ設定されています。 Web ベースマネージャまたは CLI に接続後、 FortiGate ユニット設定の各部分にさまざまなレベルでアクセスする管理者を追加設定できます。

この項には、以下のトピックが含まれています。

• 管理者

• アクセスプロファイル

• FortiManager

• 設定

• 管理者の監視

管理者

管理者アカウントには次の 2 つのレベルがあります。

• 標準管理者 ― super_admin 以外の任意のアクセスプロファイルに割り当てられている管理者

• システム管理者 ― 初に設定されているシステム管理者 "admin" や、super_admin プロファイルに割り当てられている任意の管理者

標準管理者アカウントでは、そのアクセスプロファイルで定められている設定オプションにアクセスできます。バーチャルドメインが有効になっている場合、標準管理者は 1 つの VDOM に割り当てられ、グローバル設定オプションまたは他の VDOM の設定にはアクセスできません。グローバルオプションと VDOM ごとのオプションについては、 62 ページの「VDOM の設定」および 63 ページの「グローバル設定」を参照してください。

super_admin アクセスプロファイルに割り当てられている管理者は、デフォルトの管理者 "admin" と同様に、 FortiGate ユニットの設定に全面的にアクセスできます。さらに、以下が行えます。

• VDOM 設定の有効化

• VDOM の作成

• VDOM の設定

• 標準管理者の VDOM への割り当て

• グローバルオプションの設定

初の "admin" 管理者の権限を制限したり、変更したりすることはできません。"admin" アカウントは削除できませんが、名前の変更、信頼できるホストの定義、およびパスワードの変更は行えます。デフォルトでは "admin" にパスワードは設定されていません。

注記 : FortiGate のセッションは、必ず CLI または GUI でログアウトして終了してください。さもないと、セッションは開いたままとなります。


152

管理者システム管理者

管理者の認証は、 FortiGate ユニットまたは RADIUS サーバに保存されたパスワードを使用して行うことができます。オプションで、デフォルトの "admin" アカウントを除くすべての管理者アカウントを RADIUS サーバに保存することができます。同一の RADIUS サーバ上の RADIUS に基づくアカウントは、同一のアクセスプロファイルを共有します。

管理者の RADIUS 認証の設定

RADIUS サーバを使用して VDOM 内の管理者を認証する場合、管理者アカウントを作成する前に、認証を設定する必要があります。そのためには次のことを行う必要があります。

• RADIUS サーバにアクセスするよう FortiGate ユニットを設定する。

• RADIUS サーバを唯一のメンバとしたユーザグループを作成する。

次の手順は、ネットワーク上に RADIUS サーバがあり、管理者の名前とパスワードがそこに設定されていることを前提としています。RADIUS サーバのセットアップ方法についての情報は、 RADIUS サーバのドキュメントを参照してください。

RADIUS サーバにアクセスするよう FortiGate ユニットを設定するには

1 [User]、[RADIUS] の順に選択します。




管理者ユーザグループを作成するには

1 [User]、[User Group] の順に選択します。


3 [Group Name] フィールドで、管理者グループの名前を入力します。

4 [Available Users] リストで、 RADIUS サーバ名を選択します。

5 緑色の右矢印を選択して、名前をメンバリストに移動させます。

6 プロテクションプロファイルを選択します。


管理者リストの表示

新たな管理者アカウントを作成し、そのアクセス権のレベルを制御するには、デフォルトの "admin" アカウント、 super_admin アクセスプロファイルが割り当てられているアカウント、または読み取りおよび書き込みアクセス制御が許可されている管理者を使用してください。 [System]、[Admin]、[Administrators] の順に選択します。

管理者アカウントのアクセスプロファイルが super_admin でない場合、管理者リストには、現在のバーチャルドメインの管理者以外、表示されません。

[Name] RADIUS サーバの名前。ユーザグループを作成する際は、この名前を使用します。

[Server Name/IP]

RADIUS サーバのドメイン名または IP アドレス。

[Server Secret] RADIUS のサーバシークレット。 RADIUS サーバ管理者がこの情報を提供できます。



図 74: 管理者リスト

管理者パスワードを変更するには


2 パスワードを変更する管理者アカウントの [ パスワードの変更 ] アイコンを選択します。

3 新しいパスワードを入力し、確認のため再入力します。


[Create New] 管理者アカウントを追加します。

[Name] 管理者アカウントのログイン名。

[Trusted hosts] 管理者がログイン可能な信頼できるホストの IP アドレスおよびネットマスク。詳細については、 156 ページの「信頼できるホストの使用」を参照してください。

[Profile] 管理者のアクセスプロファイル。

[Type] この管理者の認証のタイプで、次のいずれかです。Local ― ローカルパスワードRADIUS ― RADIUS サーバ上の特定のアカウントの認証RADIUS+ ワイルドカード ― RADIUS サーバ上のあらゆるアカウントの認証

削除アイコン管理者アカウントを削除します。初の "admin" 管理者アカウントは削除できません。

編集または表示アイコン

管理者アカウントの編集または表示を行います。

[ パスワードの変更] アイコン

管理者アカウントのパスワードを変更します。


154


管理者アカウントの設定

新たな管理者アカウントを作成するには、デフォルトの "admin" アカウント、super_admin アクセスプロファイルが割り当てられているアカウント、または読み取りおよび書き込みアクセス制御が許可されている管理者を使用してください。 [System]、[Admin]、[Administrators] の順に選択し、 [Create New] を選択します。

図 75: 管理者アカウントの設定 ― ローカル認証

図 76: 管理者アカウントの設定 ― RADIUS 認証



図 77: 管理者アカウントの設定 ― PKI 認証

管理者アカウントを設定するには


2 [Create New] を選択して管理者アカウントを追加するか、または [ 編集 ] アイコンを選択して既存の管理者アカウントを変更します。

[Administrator] 管理者アカウントのログイン名を入力します。

[RADIUS] RADIUS サーバを使用して管理者を認証する場合に選択します。まず、管理者に対する RADIUS 認証を設定する必要があります。 152ページの「管理者の RADIUS 認証の設定」を参照してください。

[User Group] RADIUS 認証を使用する場合、メンバとして適切な RADIUS サーバが含まれる管理者ユーザグループを選択します。

[Wildcard] これを選択すると、 RADIUS サーバ上のすべてのアカウントを管理者にすることができます。これは RADIUS が選択された場合のみ使用できます。

[PKI] これを選択すると、管理者に対する証明書ベースの認証が有効になります。注記 :PKI オプションを常に有効にできるのは、 1 つの管理者アカウントに限られます。

[User Group] PKI 証明書ベースの認証を使用している場合、ユーザグループのメンバとして PKI ( ピア ) ユーザが含まれる管理者ユーザグループを選択します。

[Password] 管理者アカウントのパスワードを入力します。セキュリティ強化のため、パスワードは 6 文字以上にする必要があります。RADIUS が有効な場合、 FortiGate ユニットではまず RADIUS 認証が試行され、それに失敗すると、パスワード認証が試行されます。ワイルドカードが選択されている場合、これは使用できません。 PKI 認証が選択されている場合も使用できません。

[Confirm Password]

管理者アカウントのパスワードを再入力して、パスワードが正しく入力されたことを確認します。ワイルドカードが選択されている場合、これは使用できません。 PKI 認証が選択されている場合も使用できません。

[Trusted Host #1][Trusted Host #2][Trusted Host #3]

オプションで、 FortiGate ユニットに管理者としてログインする際に使用する信頼できるホストの IP アドレスおよびネットマスクを限定することができます。信頼できるホストは 3 つまで指定できます。これらのアドレスはすべてデフォルトで 0.0.0.0/0 に設定されています。すべての管理者に信頼できるホストを設定することで、システムのセキュリティを強化できます。詳細については、 156 ページの「信頼できるホストの使用」を参照してください。

[Access Profile] 管理者のアクセスプロファイルを選択します。あらかじめ設定されている super_admin プロファイルでは、 FortiGate ユニットに全面的にアクセスできます。 [Create New] を選択して、新しいアクセスプロファイルを作成することもできます。アクセスプロファイルについては、 160ページの「アクセスプロファイルの設定」を参照してください。


156


3 [Administrator] フィールドで、管理者アカウントのログイン名を入力します。

この管理者に RADIUS 認証を使用しているがワイルドカードのオプションは使用していない場合、管理者名は RADIUS サーバ上のアカウントと一致する必要があります。

4 認証のタイプを選択します。

この管理者に RADIUS 認証を使用している場合 :

• [RADIUS] を選択します。

• RADIUSサーバ上のすべてのアカウントをこのFortiGateユニットの管理者とする場合、ワイルドカードを選択します。

• [User Group] リストから管理者ユーザグループを選択します。

この管理者に PKI 証明書ベース認証を使用している場合 :

• [PKI] を選択します。

• [User Group] リストから管理者ユーザグループを選択します。

5 管理者アカウントのパスワードを入力し、確認のため再入力します。

この手順は、 RADIUS ワイルドカードまたは PKI 証明書ベース認証を使用している場合、適用されません。

6 オプションで、管理者が Web ベースマネージャにログインできる信頼できるホストの IP アドレスおよびネットマスクを入力します。

7 管理者のアクセスプロファイルを選択します。


信頼できるホストの使用

信頼できるホストをすべての管理者に設定すると、管理アクセスがさらに制限されることになるため、ネットワークのセキュリティが向上します。管理者は、パスワードを知ることに加え、指定のサブネットだけを介して接続しなければなりません。さらに、ネットマスクが 255.255.255.255 の信頼できるホスト IP アドレスを 1 つだけ設定すれば、管理者を 1 つの IP アドレスに制限することもできます。

すべての管理者に信頼できるホストを設定すると、 FortiGate ユニットで他のホストからの管理アクセスの試行に対して一切応答が行われなくなります。これにより、高のセキュリティが実現します。管理者を 1 つでも制限しないでおくと、管理アクセスが有効になっているあらゆるインタフェースで管理アクセスが試行され、ユニットが不正アクセスの危険にさらされる恐れがあります。

定義された信頼できるホストは、 telnet または SSH を介してアクセスされる際に、 Web ベースマネージャと CLI の両方に適用されます。コンソールコネクタを介した CLI アクセスには影響ありません。

信頼できるホストのアドレスは、すべてデフォルトで 0.0.0.0/0 に設定されています。 0.0.0.0/0 のアドレスを 1 つでも 0 以外のアドレスに設定すると、他の0.0.0.0/0 は無視されます。信頼できるホストを 0.0.0.0/0 のまま変更しないことが、ワイルドカードのエントリを使用する唯一の方法です。ただし、これは安全でない設定です。


システム管理者アクセスプロファイル

アクセスプロファイル

管理者アカウントはそれぞれ 1 つのアクセスプロファイルに属します。アクセスプロファイルでは、 FortiGate の機能を、読み取りまたは書き込み、あるいはその両方のアクセスを有効にできるアクセス制御カテゴリに分類します。次の表は、各カテゴリでアクセスできる Web ベースマネージャのページです。

読み取りアクセスにより、管理者は Web ベースマネージャのページを表示できます。そのページの設定を変更するには、書き込みアクセスが必要になります。

現在では、ファイアウォール設定のアクセス制御を拡張し、ファイアウォールの機能に対してよりきめ細かいアクセス制御が可能となっています。ポリシー、アドレス、サービス、スケジュール、プロファイル、その他 (VIP) の設定に対する管理アクセスを制御できます。

表 29: Web ベースマネージャのページへのアクセスプロファイル制御

アクセス制御影響を受ける Web ベースマネージャのページ

管理者ユーザ System > AdminSystem > Admin > FortiManagerSystem > Admin > Settings

アンチウイルス設定 AntiVirus

ユーザ認証 User

ファイアウォール設定 Firewall

FortiGuard 更新 System > Maintenance > FortiGuard Center

IPS 設定 Intrusion Protection

ログおよびレポート Log & Report

メンテナンス System > Maintenance

ネットワーク設定 System > Network > InterfaceSystem > Network > ZoneSystem > DHCP

ルータ設定 Router

スパムフィルタ設定 AntiSpam

システム設定 System > Status、セッション情報を含むSystem > ConfigSystem > HostnameSystem > Network > OptionsSystem > Admin > FortiManagerSystem > Admin > SettingsSystem > Status > System Time

VPN 設定 VPN

Web フィルタ設定 Web Filter

注記 : バーチャルドメイン設定が有効になっている場合 (162 ページの「設定」を参照 )、アクセスプロファイルが super_admin の管理者以外はグローバル設定にアクセスできません。バーチャルドメインが有効になっている場合、他の管理者は 1 つの VDOM に割り当てられ、グローバル設定オプションまたは他の VDOM の設定にはアクセスできません。グローバル設定については、 62 ページの「VDOM の設定」を参照してください。


158

アクセスプロファイルシステム管理者

アクセスプロファイルは、 CLI コマンドへの管理者アクセスにも同様の効果があります。次の表は、各アクセス制御カテゴリで使用できるコマンドのタイプです。 "get" および "show" コマンドは、読み取りアクセスで使用できます。"config" コマンドを使用するには、書き込みアクセスが必要です。

表 30: CLI コマンドへのアクセスプロファイル制御

アクセス制御使用可能な CLI コマンド

管理ユーザ (admingrp) system adminsystem accprofile

アンチウイルス設定 (avgrp) antivirus

ユーザ認証 (authgrp) user

ファイアウォール設定 (fwgrp) firewallいくつかのファイアウォールの許可を個別に設定するには、 set fwgrp custom、 config fwgrp-permission を使用します。ポリシー、アドレス、サービス、スケジュール、プロファイル、その他 (VIP) の設定については、選択が可能です。詳細は、『FortiGate CLI リファレンス』を参照してください。

FortiProtect 更新 (updategrp) system autoupdateexecute update-avexecute update-ipsexecute update-now

IPS 設定 (ipsgrp) ips

ログおよびレポート (loggrp) alertemaillogsystem fortianalyzerexecute log

メンテナンス (mntgrp) execute formatlogdiskexecute restoreexecute backupexecute batchexecute usb-disk

ネットワーク設定 (netgrp) system arp-tablesystem dhcpsystem interfacesystem zoneexecute dhcp lease-clearexecute dhcp lease-listexecute clear system arp tableexecute interface

ルータ設定 (routegrp) routerexecute routerexecute mrouter




システム管理者アクセスプロファイル

FortiGate 管理者のアクセスプロファイルを追加するには、 [System]、[Admin]、[Access Profile] の順に選択します。管理者アカウントはそれぞれ 1 つのアクセスプロファイルに属します。アクセスプロファイルは、 FortiGate の各設定へのアクセスを拒否するもの、読み取りのみ許可するもの、そして読み取りと書き込みの両方を許可するものを作成できます。

機能へのアクセスが読み取り専用の場合、管理者は Web ベースマネージャのその機能のページにアクセスできますが、設定を変更することはできません。リストには、 [Create] や [Apply] のボタン、および編集、削除、その他の変更コマンドのアイコンはなく、表示アイコン ( ) のみが表示されます。

アクセスプロファイルリストの表示

アクセスプロファイルを作成または編集するには、 admin アカウント、または管理ユーザの読み取りおよび書き込みアクセスが許可されたアカウントを使用します。 [System]、[Admin]、[Access Profile] の順に選択します。

図 78: アクセスプロファイルリスト

スパムフィルタ設定 (spamgrp) spamfilter

システム設定 (sysgrp) accprofile、 admin、 arp-table、 autoupdate、fortianalyzer、 interface、および zone を除くsystemexecute dateexecute haexecute pingexecute ping-optionsexecute ping6execute timeexecute tracerouteexecute cfgexecute factoryresetexecute rebootexecute shutdownexecute deployexecute set-next-rebootexecute sshexecute telnetexecute disconnect-admin-sessionexecute usb

VPN 設定 (vpngrp) vpnexecute vpn

Web フィルタ設定 (webgrp) webfilter

表 30: CLI コマンドへのアクセスプロファイル制御

[Create New] 新しいアクセスプロファイルを追加します。

[Profile Name] アクセスプロファイルの名前。


160

アクセスプロファイルシステム管理者

アクセスプロファイルの設定

アクセスプロファイルを編集するには、 admin アカウント、または管理ユーザの読み取りおよび書き込みアクセスが許可されたアカウントを使用します。[System]、[Admin]、[Access Profile] の順に選択し、 [Create New] を選択します。

図 79: アクセスプロファイルオプション

削除アイコンアクセスプロファイルを削除する場合に選択します。管理者が割り当てられているアクセスプロファイルは削除できません。

編集アイコンアクセスプロファイルを変更する場合に選択します。

[Profile Name] アクセスプロファイルの名前を入力します。

[Access Control] アクセスプロファイルによってアクセス制御されるアイテムを一覧表示します。

[None] すべてのアクセス制御カテゴリへのアクセスを無効にするには、[None] を選択します。

[Read Only] すべてのアクセス制御カテゴリに読み取りアクセスを選択するには、 [Read Only] を選択します。

[Read Write] すべてのアクセス制御カテゴリに読み取りおよび書き込みのアクセスを選択するには、 [Read Write] を選択します。

[Access Control] カテゴリ

必要に応じて、 [Access Control] のカテゴリに読み取りまたは読み取り / 書き込み、あるいはその両方を選択します。アクセス制御カテゴリについては、 157 ページの「アクセスプロファイル」を参照してください。


システム管理者 FortiManager

FortiManager

FortiManager サーバを介して FortiGate ユニットを管理するよう設定するには、[System]、[Admin]、[FortiManager] の順に選択します。 FortiGate ユニットとFortiManager サーバとの間の通信は、 FortiGate ユニットに事前に設定されているIPSec VPN 経由で行われます。

図 80: FortiManager の設定

FortiManager 設定

[Enable] FortiGate ユニットと FortiManager サーバとの間のセキュアな IPSec VPN 通信を有効にします。これを行わないと、通信の安全は保証されません。

[ID] FortiManager サーバのシリアル番号を入力します。

[IP] FortiManager サーバの IP アドレスを入力します。


162

設定システム管理者

設定

次のオプションを設定するには、 [System]、[Admin]、[Settings] の順に選択します。

• HTTP および HTTPS 管理アクセス用のポート

• アイドルタイムアウトの設定

• Web ベースマネージャの言語

• LCD および制御ボタンの PIN 保護 (LCD 装備モデルのみ )

図 81: 管理者設定

[Web Administration Ports]

[HTTP] 管理 HTTP アクセスで使用する TCP ポートを入力します。デフォルトは 80 です。

[HTTPS] 管理 HTTPS アクセスで使用する TCP ポートを入力します。デフォルトは 443 です。

[Telnet Port] 管理アクセスで使用する telnet ポートを入力します。デフォルトは 23 です。

[SSH Port] 管理アクセスで使用する SSH ポートを入力します。デフォルトは 22 です。

[Enable v1 compatibility]

SSH v2 に加え、 v1 との互換性を有効にする場合に選択します。 ( オプション )

[Timeout Settings]

[Idle Timeout] 再ログインが必要となるまで管理接続をアイドル状態にしておける時間を分単位で入力します。大値は 480 分 (8時間 ) です。セキュリティを強化するために、アイドルタイムアウトをデフォルトの 5 分のままにしてください。

[Language]


システム管理者管理者の監視

管理者の監視

ログインしている管理者の人数を調べるには、 [System]、[Status] の順に選択します。 [System Information] に現在の管理者が表示されます。 FortiGate ユニットに現在ログインしている管理者に関する情報を表示するには、 [Details] をクリックします。

図 82: [System Information] > [Current Administrators]

図 83: 監視ウィンドウに表示されたログインした管理者

[Web Administration] 使用する Web ベースマネージャの言語を選択します。英語、日本語、簡体字中国語、繁体字中国語、韓国語、またはフランス語から選択します。注記 : 管理コンピュータのオペレーティングシステムで使用されている言語を選択する必要があります。

[LCD Panel] (LCD 装備モデルのみ )

[PIN Protection] [PIN Protection] チェックボックスをオンにし、 6 桁のPIN を入力します。制御ボタンおよび LCD を使用するためには、 PIN を入力する必要があります。

[Enable SCP] これを有効にすると、 SSH を介してログインしたユーザが SCP を使用して設定ファイルをコピーできるようになります。

[Disconnect] 特定の管理者を切断する場合に選択します。これは、アクセスプロファイルでシステム設定の書き込み許可が与えられている場合のみ、使用できます。

[Refresh] リストを更新する場合に選択します。

[Close] ウィンドウを閉じる場合に選択します。

チェックボックス管理者をログオフさせる場合、このチェックボックスをオンにしてから [Disconnect] を選択します。これは、アクセスプロファイルでシステム設定の書き込みアクセスが与えられている場合のみ、使用できます。注記 : デフォルトの "admin" ユーザをログオフさせることはできません。


164

管理者の監視システム管理者

[User Name] 管理者アカウントの名前。

[Type] アクセスのタイプで、 WEB または CLI。

[From] タイプが WEB の場合、 [From] の値は管理者の IP アドレスです。タイプが CLI の場合、 [From] の値は "ssh" または "telnet" で、管理者の IP アドレスか "console" のいずれかです。

[Time] 管理者がログインした日時。


システム - メンテナンスバックアップおよび復元

F0

システム - メンテナンスこの項では、システム設定をバックアップおよび復元する方法、また FortiGuard Distribution Network からの自動更新を設定する方法について説明します。


• バックアップおよび復元

• FortiGuard Center

• ライセンス

バックアップおよび復元

システム設定のバックアップや復元を行ったり、ファームウェアを管理したりするには、 [System]、[Maintenance]、[Backup & Restore] の順に選択します。

Web コンテンツファイルやスパムフィルタリングファイルなどのシステムの設定は、管理コンピュータか、 USB ディスクをサポートするモデルの USB ディスクにバックアップできます。また、以前ダウンロードしたバックアップファイルからシステム設定を復元することも可能です。

バックアップファイルに VPN 証明書を含める場合は、そのバックアップファイルの暗号化を有効にする必要があります。

バーチャルドメイン設定が有効になっている場合、バックアップファイルの内容は、そのファイルを作成した管理者アカウントによって異なります。スーパー管理者アカウントによるシステム設定のバックアップには、グローバル設定と各VDOM の設定が含まれます。このファイルから設定を復元できるのは、スーパー管理者のみです。標準管理者アカウントでシステム設定をバックアップすると、バックアップファイルには、グローバル設定と標準管理者が属する VDOM の設定が含まれます。このファイルから設定を復元できるのは、標準管理者アカウントのみです。

FortiGate の一部のモデルでは、ユーザがダウンロードできる FortiClient イメージを保存することにより、 FortiClient がサポートされます。バックアップと復元の [FortiClient] セクションは、使用する FortiGate モデルで FortiClient がサポートされる場合のみ使用できます。

注記 : FortiGate のモデル番号が 100 未満の場合、 [Maintenance] 画面の [Firmware] のセク

ションは表示されません。この場合、ファームウェアのバージョンは、[System]、[Status]の順に選択し、 [Update for Firmware Version] を選択することにより、変更できます。


166

バックアップおよび復元システム - メンテナンス

図 84: バックアップおよび復元のオプション

図 85: [Backup] および [Restore]

[Last Backup] 前回のローカル PC へのバックアップの日時。USB へバックアップした場合、バックアップの時間は保存されません。

[Backup] 現在の設定をバックアップします。

[Backup configuration to:]

設定ファイルを保存するためのローカル PC または USBディスクを選択します。 USB ディスクは、ディスクがFortiGate ユニットに接続されている場合に限り、選択できます。


システム - メンテナンスバックアップおよび復元

図 86: [Firmware]

図 87: [FortiClient]

[Filename] USB ディスクを選択した場合は、バックアップファイルの名前を入力します。

[Encrypt configuration file]

バックアップファイルを暗号化する場合に選択します。[Password] フィールドにパスワードを入力し、 [Confirm] フィールドに再度入力します。ファイルを復元するには、このパスワードが必要になります。VPN 証明書をバックアップするには、バックアップファイルで暗号化が有効になっている必要があります。

[Backup] 設定をバックアップします。

[Restore] ファイルから設定を復元します。

[Restore configuration from:]

設定ファイルの場所として、ローカル PC または USBディスクを選択します。 USB ディスクは、ディスクがFortiGate ユニットに接続されている場合に限り、選択できます。

[Filename] USB ディスクから設定を復元する場合は、リストから設定ファイルの名前を選択します。管理コンピュータ上のファイルから設定を復元する場合は、設定ファイルの名前を入力するか、または [Browse] ボタンを使用します。

[Password] バックアップファイルが暗号化されている場合は、パスワードを入力します。

[Restore] 選択したファイルから設定を復元します。

[Partition] パーティションに含められるのは、 1 つのバージョンのファームウェアとシステム設定のみです。モデル番号が 100 以上の FortiGate には、パーティションが 2 つあります。一方のパーティションがアクティブ、もう一方がバックアップとなります。

[Active] 現在使用中のファームウェアと設定が含まれているパーティションが、緑色のチェックマークで示されます。

[Last Upgrade] このパーティションの前回の更新日時。

[Firmware Version]

FortiGate ファームウェアのバージョンおよびビルド番号。バックアップパーティションでは、次の操作が行えます。

• [Upload] を選択して、管理コンピュータまたは USB ディスクからファームウェアを置き換える。

• [Upload and Reboot] を選択して、ファームウェアを置き換え、これをアクティブなパーティションとする。

[Boot alternate firmware]

バックアップファームウェアを使用して、 FortiGate ユニットを再起動します。これが使用できるのは、モデル番号が 100 以上の FortiGate のみです。


168

バックアップおよび復元システム - メンテナンス

図 88: [Advanced]

[Software Image] この FortiGate ユニットの現在の FortiClient イメージです。管理コンピュータから新しい FortiClient イメージをアップロードするには、 [Upload] を選択します。

[Antivirus Database]

この FortiGate ユニットの FortiGuard アンチウイルスデータベースの現在のバージョンです。詳細については、 170 ページの「FortiGate ユニットの FDN および FortiGuard サービスの設定」を参照してください。

[Antivirus Engine] このFortiGate ユニットのFortiGuard アンチウイルスエンジンの現在のバージョンです。詳細については、170 ページの「FortiGate ユニットの FDN および FortiGuard サービスの設定」を参照してください。

[Web Portal Port] ファイアウォールポリシーの FortiClient チェックオプションによってユーザのアクセスが拒否された場合、そのユーザがリダイレクトされる Web ポータルのポートを選択します。ポート番号の変更後、 [Save] を選択して変更を有効にします。デフォルトのポート番号は 8009 です。番号が競合する場合のみ、ポート番号を変更してください。

[Advanced (USB Auto-Install)] このセクションは、USB ディスクが FortiGate ユニットに接続されている場合のみ利用できます。必要に応じてオプションを選択し、 FortiGate ユニットを再起動します。設定とファームウェアの更新を両方とも選択した場合は、 1 度の再起動で両方が適用されます。 FortiGate ユニットでは、すでにロード済みのファームウェアまたは設定ファイルは再ロードされません。

[On system restart, automatically update FortiGate configuration]

再起動時、設定を自動的に更新します。 [Default configuration file name] が USB ディスク上の設定ファイル名と一致することを確認してください。

[On system restart, automatically update FortiGate firmware]

再起動時、ファームウェアを自動的に更新します。[Default image name] が USB ディスク上のファームウェアファイル名と一致することを確認してください。

[Import Bulk CLI Commands] 管理コンピュータ上のテキストファイルから FortiGateユニットに URL フィルタおよびスパムフィルタの定義をインポートします。ファイル名とパスを入力するか、[Browse] ボタンを使用してファイルを選択します。テキストファイルは、 FortiGate 設定のバックアップファイルの適切なセクションを引用するか、または適切な CLI コマンドを入力して作成できます。

[Download Debug Log] 暗号化されたデバッグログをファイルにダウンロードします。このデバッグログをフォーティネットテクニカルサポートに送信することで、 FortiGate ユニットの問題の診断に役立てることができます。


システム - メンテナンス FortiGuard Center

FortiGuard Center

FortiGuard Center は、 FortiGuard Distribution Network (FDN) および FortiGuardサービス用に、 FortiGate ユニットを設定します。 FDN は、アンチウイルスと攻撃の定義の更新を提供します。 FortiGuard サービスは、 IP アドレスブラックリスト、 URL ブラックリスト、その他のスパムフィルタリングツールをオンラインで提供します。

FortiGuard Distribution Network

FortiGuard Distribution Network (FDN) は、世界規模の FortiGuard Distribution Server (FDS) ネットワークです。 FDN は、アンチウイルス ( グレーウェアを含む) と IPS 攻撃の定義の更新を提供します。 FDN に接続する際、 FortiGate ユニットは現在のタイムゾーン設定に基づいて、も近い FDS に接続します。

FortiGate ユニットは、次の更新機能をサポートします。

• FDN からユーザが実行する更新

• 1 時間、1 日、または 1 週間ごとの、FDN からのアンチウイルスおよび攻撃の定義の定期更新

• FDN からのプッシュ更新

• バージョン番号、有効期限、および更新日時を含む、更新ステータス

• NAT デバイスを介したプッシュ更新

フォーティネットのサポート Web ページに FortiGate ユニットを登録する必要があります。 FortiGate ユニットを登録するには、「Product Registration」にアクセスしてその指示に従います。

定期更新を受信するには、 FortiGate ユニットはポート 443 で HTTPS を使用してFDN に接続できる必要があります。定期更新の設定については、 176 ページの「定期更新を有効にするには」を参照してください。

また、プッシュ更新を受信するように FortiGate ユニットを設定することも可能です。これを正しく行うためには、 FDN が UDP ポート 9443 を使用してパケットを FortiGate ユニットに転送できる必要があります。プッシュ更新の設定については、 177 ページの「プッシュ更新を有効にするには」を参照してください。

FortiGuard サービス

世界を網羅する FortiGuard サービスは、 FortiGuard サービスポイントで提供されます。 FDN に接続する際、 FortiGate ユニットはも近い FortiGuard サービスポイントに接続します。フォーティネットは必要に応じて新しいサービスポイントを追加します。

FortiGate ユニットは、デフォルトでも近いサービスポイントと通信を行います。何らかの理由でそのサービスポイントに接続できなくなった場合、FortiGate ユニットは別のサービスポイントと通信を行い、情報が数秒以内に入手可能となります。 FortiGate ユニットは、デフォルトで UDP を介してポート 53でサービスポイントと通信を行います。あるいは、 [System]、[Maintenance]、[FortiGuard Center] の順に選択して、サービスポイントとの通信で使用するUDP ポートをポート 8888 に切り替えることもできます。

デフォルトの FortiGuard サービスポイントのホスト名を変更する必要がある場合、 CLI コマンド system fortiguard でキーワード hostname を使用します。 Web ベースマネージャを使用して FortiGuard サービスポイント名を変更することはできません。

FortiGuardサービスについては、FortiGuard CenterのWebページを参照してください。




170

FortiGuard Center システム - メンテナンス

FortiGuard-Antispam サービス

フォーティネットのアンチスパムシステムである FortiGuard-Antispam には、IP アドレスブラックリスト、URL ブラックリスト、およびスパムフィルタリングツールが包含されています。 IP アドレスブラックリストには、スパムの生成に使用されている既知の電子メールサーバの IP アドレスが含まれています。URL ブラックリストには、スパムメールで発見された Web サイトの URL が含まれています。

FortiGuard-Antispam の処理は、フォーティネットによって完全に自動化され、設定されています。常時監視と動的更新により、 FortiGuard-Antispam は常に新の状態に保たれています。ファイアウォールプロテクションプロファイル内で FortiGuard-Antispam を有効または無効にします。詳細については、 294 ページの「スパムフィルタリングオプション」を参照してください。

FortiGate ユニットにはすべて、 30 日間の FortiGuard-Antispam トライアルライセンスが付属しています。 FortiGuard-Antispam のライセンス管理はフォーティネットサービスによって行われるため、ライセンス番号を入力する必要はありません。 FortiGuard-Antispam を有効にすると、 FortiGate ユニットは自動的にFortiGuard-Antispam サービスポイントと通信を行います。無償トライアルの後、FortiGuard-Antispam のライセンスを更新するには、フォーティネットテクニカルサポートに連絡してください。

[System]、[Maintenance]、[FortiGuard Center] の順に選択して FortiGuard-Antispam をグローバルで有効にした後、それぞれのファイアウォールプロテクションプロファイルでスパムフィルタリングの設定を行います。 294 ページの「スパムフィルタリングオプション」を参照してください。

FortiGuard-Web サービス

FortiGuard-Web は、 Fortinet が提供している、管理された Web フィルタリングソリューションです。 FortiGuard-Web は、数億の Web ページを、ユーザが許可、ブロック、または監視できる広範囲なカテゴリに並べ替えています。 FortiGateユニットは、も近い FortiGuard-Web Service Point にアクセスして、要求された Web ページのカテゴリを決定した後、そのユーザまたはインタフェースに対して設定されたファイアウォールポリシーに従います。

FortiGate ユニットにはすべて、30 日間の FortiGuard-Web フィルタトライアルライセンスが付属しています。 FortiGuard のライセンス管理は、フォーティネットサーバが行います。ライセンス番号を入力する必要はありません。 FortiGuard カテゴリブロックを有効にすると、FortiGate ユニットは自動的に FortiGuard サービスポイントと通信を行います。無償トライアルの後、 FortiGuard のライセンスを更新するには、フォーティネットテクニカルサポートに連絡してください。

[System]、[Maintenance]、[FortiGuard Center] の順に選択して FortiGuard-Webをグローバルで有効にした後、それぞれのファイアウォールプロテクションプロファイルで FortiGuard Web フィルタリングの設定を行います。 292 ページの「FortiGuard-Web フィルタリングオプション」を参照してください。

FortiGate ユニットの FDN および FortiGuard サービスの設定

Update Center ページにおける FDN 更新および FortiGuard サービスへのアクセスを設定するには、 [System]、[Maintenance]、[FortiGuard Center] の順に選択します。

Update Center には次の 3 つのセクションがあります。

• サポート契約および FortiGuard サブスクリプションサービス

• アンチウイルスおよび IPS のダウンロード

• Web フィルタリングおよびアンチスパムオプション



サポート契約および FortiGuard サブスクリプションサービス

サポート契約および FortiGuard サブスクリプションサービスのセクションは、システムステータスのページに短縮形式で表示されます。 41 ページの「システムステータスの表示」を参照してください。

図 89: サポート契約および FortiGuard サブスクリプションサービスのセクション

[Support Contract] FortiGate ユニットのサポート契約の有効性またはステータス。表示されるステータスは、 "Unreachable" ( 到達不能 )、 "Not Registered" ( 未登録 )、または "Valid Contract" ( 有効な契約 ) のいずれかです。

"Valid Contract" と表示されている場合、 FortiOS のバージョン、契約の有効期限、サポートレベルも表示されます。

[Register] FortiGate ユニットのサポート契約を登録する場合に選択します。これは、サポート契約が未登録の場合のみ表示されます。

FortiGuard サブスクリプションサービス

次のような、各 FortiGuard サブスクリプションサービスの有効性とステータスの情報。

• アンチウイルス AV 定義

• 侵入防御 IPS 定義

• Web フィルタリング

• アンチスパム

[Availability] この FortiGate ユニットにおけるサービスの有効性。サービスのサブスクリプションによって異なります。表示されるステータスは、 "Unreachable" ( 到達不能 )、 "Not Registered" ( 未登録 )、または "Valid Contract" ( 有効な契約 ) のいずれかです。

[Availability] が "Not Registered" の場合、 [Subscribe] のオプションが表示されます。

[Availability] が "Expired" の場合、 [Renew] のオプションが表示されます。


172


アンチウイルスおよび IPS のダウンロード

このセクションにアクセスするには、 [AntiVirus and IPS Downloads] の隣にある青色の矢印を選択します。

図 90: [AntiVirus and IPS Downloads] セクション

ステータスアイコン

表示されたアイコンは、サブスクリプションサービスのステータスを表します。アイコンは、有効性の記述に対応します。

• グレー―到達不能―FortiGate ユニットはサービスに接続できません。

• 黄色―未登録―FortiGate ユニットは接続できますが、このサービスにサポート登録されていません。

• 黄色―期限切れ―FortiGate ユニットには期限切れとなったライセンスがあります。

• 緑色―有効なライセンス―FortiGate ユニットは FDN に接続でき、サポート契約に登録されています。

ステータスアイコンが緑色の場合は、有効期限が表示されます。

[Version] FortiGate ユニットに現在インストールされている、このサービスの定義ファイルのバージョン番号。

(Last update date and method)

前回の更新日と、このサービスの新定義のダウンロードに使用された方法。

[Update] FortiGate ユニットでこのサービスを手動で更新する場合に選択します。これを実行すると、ローカルコンピュータから更新ファイルをダウンロードするよう指示されます。 FDN から更新を直接ダウンロードするには、 [Update Now] のコントロールを使用します。

(Date) FortiGate ユニットのこのサービスの更新が後に確認されたローカルシステムの日付。

[AntiVirus and IPS Downloads]

このセクションの表示、非表示を切り替えるには、青い矢印を選択します。 172 ページの「アンチウイルスおよび IPS のダウンロード」を参照してください。

[Web Filtering and AntiSpam Options]

このセクションの表示、非表示を切り替えるには、青い矢印を選択します。 173 ページの「Web フィルタリングおよびアンチスパムオプション」を参照してください。

[Log & Analysis Options]

このセクションの表示、非表示を切り替えるには、青い矢印を選択します。 174 ページの「ログおよび分析オプション」を参照してください。FortiGuard の FortiAnalyzer ユニットに接続されていない場合、このセクションは空白となります。

[IPS Options] このセクションの表示、非表示を切り替えるには、青い矢印を選択します。IPS シグネチャの品質向上を目的に、 FNS に攻撃の詳細を送信する場合に選択します。フォーティネットは、この機能を有効にすることをお勧めします。



Web フィルタリングおよびアンチスパムオプション

このセクションにアクセスするには、 [Web Filtering and AntiSpam Options] の隣にある青色の矢印を選択します。

[Use override server address]

FDN に接続できない場合、または自社の FortiGuard サーバを使用して、社内で更新を提供する場合に、オーバーライドサーバを設定するのに選択します。選択する際は、 FortiGuard サーバの IP アドレスまたはドメイン名を入力し、 [Apply] を選択します。 FDN ステータスに FDN への接続が表示されない場合は、 175 ページの「FDN 接続性のトラブルシューティング」を参照してください。

[Allow Push Update]

プッシュ更新を行う場合に選択します。プッシュ更新ステータスアイコンにより、プッシュ更新サービスのステータスが示されます。

プッシュ更新ステータスアイコン

FortiGate ユニットにおけるプッシュ更新の受信状況のステータス。

• グレー―到達不能―FortiGateユニットはプッシュ更新サービスに接続できません。

• 黄色―利用不可―現在のサポートライセンスではプッシュ更新サービスを利用できません。

• 緑色―利用可能―プッシュ更新サービスを利用できます。 177 ページの「プッシュ更新を有効にするには」を参照してください。

アイコンがグレーまたは黄色のいずれかの場合は、 175 ページの「FDN 接続性のトラブルシューティング」を参照してください。

[Use override push]

プッシュ更新サービスへの接続で使用するカスタム IP アドレスおよびポートを有効にする場合に選択します。[Allow Push Update] がオンの場合のみ、利用できます。

[IP] FDNプッシュサーバに接続するための新しいIPアドレスを入力します。[Allow Push Update] と [Use override push] がオンの場合のみ、利用できます。

[port] FDN プッシュサーバに接続するための新しいポートを選択します。[Use override push] と IP アドレスが設定されている場合のみ、利用できます。

[Scheduled Update]

このチェックボックスは、定期更新を可能にする場合にオンにします。

[Every] 1 ～ 23 時間ごとに 1 回更新を試みます。更新リクエストの間隔を時間数で選択します。

[Daily] 1 日に 1 回更新を試みます。更新をチェックする時間を指定できます。選択された時間内でタイミングがランダムで決定され、更新が試行されます。

[Weekly] 1 週間に 1 回更新を試みます。更新をチェックする曜日と時間を指定できます。選択された時間内でタイミングがランダムで決定され、更新が試行されます。

[Update Now] 手動で FDN 更新を開始するには、 [Update Now] を選択します。


174


図 91: [Web Filtering and AntiSpam Options] セクション

ログおよび分析オプション

このセクションでは、 FortiGuard ログおよび分析サーバの設定オプションが表示されます。

このセクションにアクセスするには、 [Log & Analysis Options] の隣にある青色の矢印を選択します。

[Enable Web Filter] FortiGuard Web フィルタサービスを有効にする場合に選択します。

[Enable Cache] FortiGuard サービス情報のキャッシュを有効にする場合に選択します。これにより、 FortiGuard サーバへの FortiGate ユニットのリクエストが減少し、パフォーマンスが向上します。キャッシュでは、FortiGate のメモリの 6% が使用されます。キャッシュに空きがなくなると、 IP アドレスまたは URL が、使用されていない期間のも長いものから削除されます。[Enable Web Filter] がオンの場合のみ利用できます。

[TTL] 有効期間 (Time to Live)。再びサーバと通信するまでに、ブロックされた IP アドレスおよび URL をキャッシュに保存しておく秒数。[Enable Web Filter] と [Enable Cache] が両方ともオンの場合のみ、利用できます。

[Enable Anti Spam] FortiGuard アンチスパムサービスを有効にする場合に選択します。

[Enable cache] FortiGuard サービス情報のキャッシュを有効にする場合に選択します。これにより、 FortiGuard サーバへの FortiGate ユニットのリクエストが減少し、パフォーマンスが向上します。キャッシュでは、FortiGate のメモリの 6% が使用されます。キャッシュに空きがなくなると、 IP アドレスまたは URL が、使用されていない期間のも長いものから削除されます。[Enable Anti Spam] がオンの場合のみ利用できます。

[TTL] TTL (Time to Live)。再びサーバと通信するまでに、ブロックされたIP アドレスおよび URL をキャッシュに保存しておく秒数。

[Use Default Port (53)]

FortiGuard アンチスパムサーバとの通信でポート 53 を使用する場合に選択します。

[Use Alternate Port (8888)]

FortiGuard アンチスパムサーバとの通信でポート 8888 を使用する場合に選択します。

[Test Availability] FortiGuard アンチスパムサーバへの接続をテストする場合に選択します。結果は、ボタンの下とステータスインジケータに表示されます。

[please click here] FortiGurad Web フィルタサービスの URL カテゴリのレーティングを再評価する場合に選択します。



図 92: FDN ログおよび分析オプション

このセクションでは、設定を行ったりログを消去したりできる、 438 ページの「FortiGuardログおよび分析サーバへのロギング」へのリンクが用意されています。

ログを消去する頻度を設定するには、消去するまでログを保存する期間を月数で選択します。

FDN 接続性のトラブルシューティング

FortiGate ユニットが FDN に接続できない場合、設定を確認します。たとえば、FortiGate ルーティングテーブルにルートを追加したり、 FortiGate ユニットがインターネットへ接続する際にポート 443 で HTTPS を使用できるようにネットワークを設定したりする必要がある場合があります。

更新を受信するために、 FortiGuard のオーバーライドサーバに接続しなければならない場合があります。 176 ページの「オーバーライドサーバを追加するには」を参照してください。これができない場合は、設定をチェックし、 FortiGate ユニットから FortiGuard オーバーライドサーバに接続できることを確認します。

次のような場合、プッシュ更新が使用できないことがあります。

• FortiGate ユニットを登録していない (FortiGate ユニットを登録するには、製品登録のページにアクセスして、指示に従ってください )。

• FortiGateユニットと FDN との間に NAT デバイスが設置されている (178 ページの「NAT デバイスを介したプッシュ更新の有効化」参照 )。

• FortiGate ユニットがプロキシサーバを使用してインターネットに接続している (177 ページの「プロキシサーバを介した定期更新を有効にするには」参照 )。

アンチウイルスおよび攻撃の定義の更新

FortiGuard Distribution Network (FDN) に接続してアンチウイルス ( グレーウェアを含む ) の定義および攻撃の定義を更新するよう FortiGate ユニットを設定するには、下記の手順を実行します。

FortiGate ユニットが FDN に接続できることを確認するには

1 [System]、[Status] の順に選択し、 [System Information] セクションの [Change on System Time line] をオンにします。

2 タイムゾーンが、 FortiGate ユニットが設置されている地域に正しく設定されていることを確認します。

3 [System]、[Maintenance]、[FortiGuard Center] の順に選択します。

4 [Refresh] を選択します。

FortiGate ユニットが FDN への接続テストを実施します。テストの結果は、システム更新のページの上部に表示されます。

アンチウイルスおよび攻撃の定義を更新するには


2 [Update Now] を選択して、アンチウイルスと攻撃の定義を更新します。

FDN またはオーバーライドサーバへの接続に成功すると、 Web ベースマネージャに、次のようなメッセージが表示されます。




176


Your update request has been sent.Your database will be updated in a few minutes.Please check your update page for the status of the update.

数分後、更新が利用可能になると、アンチウイルスと攻撃の定義の新たなバージョンの情報がシステム更新センターのページに表示されます。また、システムステータスのページにも、アンチウイルス、攻撃、そして IPS の定義の新しい日付とバージョン番号が表示されます。メッセージはイベントログに記録され、更新の成否が示されます。

定期更新を有効にするには


2 [Scheduled Update] チェックボックスをオンにします。

3 次のいずれか 1 つをオンにして、更新をダウンロードします。


FortiGate ユニットが、新しい更新スケジュールに従って次回の定期更新を実行します。

FortiGate ユニットが定期更新を実行するたびに、そのイベントが FortiGate のイベントログに記録されます。

オーバーライドサーバを追加するには

FDN に接続できない場合、または自社の FortiGuard サーバを使用して、社内で更新が提供されている場合は、次の手順を使用して、 FortiGuard オーバーライドサーバの IP アドレスを追加できます。


2 [Use override server address] チェックボックスをオンにします。

3 FortiGuard サーバの完全な正規ドメイン名または IP アドレスを入力します。


FortiGate ユニットが、オーバーライドサーバへの接続テストを実施します。

FortiGuard Distribution Network の有効性のアイコンがグレーから変われば、FortiGate ユニットはオーバーライドサーバに支障なく接続しています。

FortiGuard Distribution Network の有効性のアイコンがグレーから変わらなければ、FortiGate ユニットはオーバーライドサーバに接続できません。FortiGateFortiGuard オーバーライドサーバへの接続を阻むような設定について、FortiGate の設定をおよびネットワークの設定をチェックしてください。

注記 : アンチウイルスおよび攻撃の定義を更新すると、 FortiGate ユニットが新しいシグネチャのデータベースを適用している間、現在スキャンされているトラフィックにごく短時間、中断が生じる恐れがあります。この可能性を低限に止めるには、トラフィックの少ない時間帯に更新を予定してください。

[Every] 1 ～ 23 時間ごとに 1 回。更新リクエストの間隔を時数と分数で選択します。

[Daily] 1 日に 1 回。更新をチェックする時間を指定できます。

[Weekly] 1 週に 1 回。更新をチェックする曜日と時間を指定できます。



プロキシサーバを介した定期更新を有効にするには

FortiGate ユニットによるインターネットへの接続がプロキシサーバを経由して行う必要がある場合、 config system autoupdate tunneling コマンドを用いて、 FortiGate ユニットがプロキシサーバを経由して FDN に接続 ( またはトンネル ) するように設定できます。詳細については、 FortiGate CLI リファレンスを参照してください。

プッシュ更新の有効化

FDN では、危機的状況に可能な限り迅速に対応できるよう、 FortiGate ユニットに対してプッシュ更新を行うことができます。プッシュ更新を受信できるようにするには、まず FortiGate ユニットを登録する必要があります。 FortiGate ユニットを登録するには、製品登録のページを開き、指示に従ってください。

プッシュ更新を行えるように FortiGate ユニットを設定すると、その FortiGate ユニットから FDN に SETUP メッセージが送信されます。次回アンチウイルス定義または攻撃の定義が公開されると、プッシュ更新の設定が行われたすべてのFortiGate ユニットに対し、新たな更新が利用可能となったことが FDN から通知されます。 FortiGate ユニットは、プッシュ通知を受信してから 60 秒以内に、FDN からの更新をリクエストします。

ネットワークの設定で可能ならば、定期更新の設定に加え、プッシュ更新を設定しておくことをお勧めます。定期更新だけを受信するよりも、プッシュ更新を使用した方が、 FortiGate ユニットが新しい更新を受信するタイミングが早くなります。ただし、 FortiGate ユニットが新の更新を受信していることは、定期更新によって保証されます。

更新を取得する唯一の方法としてプッシュ更新を有効にすることは推奨されません。 FortiGate ユニットでプッシュ通知が受信されない場合があります。また、プッシュ通知を受信した際、 FDN に接続して更新をダウンロードしようとするFortiGate ユニットの試みは 1 回に限られます。

プッシュ更新を有効にするには


2 [Allow Push Update] を選択します。


FortiGate の IP アドレスが変更された場合のプッシュ更新

プッシュ更新を有効にした際に FortiGate ユニットから送信される SETUP メッセージには、 FDN が接続する FortiGate のインタフェースの IP アドレスが含まれます。プッシュ更新で使用されるインタフェースは、スタティックルーティングテーブルのデフォルトルートで設定されたインタフェースです。

インタフェースの IP アドレスを手動で変更した場合、または、インタフェースのアドレシングモードを DHCP または PPPoE に変更し、 DHCP または PPPoEサーバで IP アドレスが変更された場合、 FortiGate ユニットは、 SETUP メッセージを送信します。

FDN は、プッシュ更新メッセージを受信できるよう、 FortiGate ユニットのこのIP アドレスに接続できなければなりません。 FortiGate ユニットが NAT デバイス

注記 : FortiGate ユニットがプロキシサーバを使用して FDN に接続する必要がある場合、

プッシュ更新はサポートされません。詳細については、 177 ページの「プロキシサーバを介した定期更新を有効にするには」を参照してください。




178


の背後にある場合は、 178 ページの「NAT デバイスを介したプッシュ更新の有効化」を参照してください。

また、インターネットへの冗長経路がある場合、一方のインターネット接続がダウンすると、 FortiGate ユニットは SETUP メッセージを送信して、もう一方のインターネット接続にフェールオーバします。

トランスペアレントモードでは、管理 IP アドレスが変更された場合、 FortiGateユニットは SETUP メッセージを送信して FDN にアドレスの変更を通知します。

NAT デバイスを介したプッシュ更新の有効化

FDN が NAT デバイスを介してのみ FortiGate ユニットに接続可能である場合、NAT デバイスのポートフォワーディングを設定し、プッシュ更新の設定にポートフォワーディング情報を追加する必要があります。ポートフォワーディングを使用すると、 FDN はポート 9443 または指定したオーバーライドプッシュポートのいずれかを使用して、 FortiGate ユニットに接続します。

図 93: ネットワーク例 :NAT デバイスを介したプッシュ更新

基本手順

内部ネットワーク上の FortiGate ユニットがプッシュ更新を受信できるように、内部ネットワークの FortiGate ユニットおよび NAT デバイスを設定するには、次の手順を実行します。

1 プッシュ更新を受信できるように、内部ネットワーク上の FortiGate ユニットを登録し、使用を許可します。

注記 : NAT デバイスの外部 IP アドレスが動的な場合 ( たとえば PPPoE または DHCP を使

用して設定した場合 )、 NAT デバイスを介してプッシュ更新を受信することはできません。

FDNServer

NAT Device

Push Updates

Internal Network

Internet



2 内部ネットワーク上の FortiGate ユニットの FortiGuard Center を設定します。

• プッシュ更新を可能にする。

• オーバーライドプッシュ更新の IP を追加する。通常、これは NAT デバイスの外部インタフェースの IP アドレスです。

• 必要に応じて、オーバーライドプッシュ更新ポートを変更する。

3 NAT デバイスにポートフォワーディング仮想 IP を追加します。

• オーバーライドプッシュ更新 IP と一致するように、仮想 IP の外部 IP アドレスを設定します。通常、これは NAT デバイスの外部インタフェースの IP アドレスです。

4 ポートフォワーディング仮想 IP を含む FortiGate の NAT デバイスに、ファイアウォールのポリシーを追加します。

内部ネットワーク上の FortiGate ユニットの FortiGuard Center を設定するには


2 [Allow Push Update] を選択します。

3 [Use override push IP] を選択し、 NAT デバイスの外部インタフェースの IP アドレスを入力します。

4 UDP ポート 9443 がブロックされているか、あるいはネットワークの他のサービスで使用されていない限り、プッシュ更新のポートは変更しないでください。


FortiGate ユニットは、 FDN にオーバーライドプッシュ IP アドレスおよびポートを送信します。これで FDN は、内部ネットワーク上の FortiGate ユニットへのプッシュ更新に、この IP アドレスとポートを使用します。仮想 IP を NAT デバイスに追加して、プッシュ更新パケットが NAT デバイスによって受信され、内部ネットワーク上の FortiGate ユニットに転送されるようにするまで、プッシュ更新は実際には動作しません。

FortiGate の NAT デバイスにポートフォワーディング仮想 IP を追加するには

ポートフォワーディングを使用して、 FDN から内部ネットワーク上の FortiGateユニットにプッシュ更新接続が転送されるように、 NAT デバイスを設定します。

1 [Firewall]、[Virtual IP] の順に選択して、 [Create New] を選択します。

2 プッシュ更新の UDP ポートを使用して、 NAT デバイスの外部インタフェースを内部ネットワーク上の FortiGate ユニットの IP アドレスにマップする、ポートフォワーディング仮想 IP を追加します。

注記 : 外部 IP アドレスまたは外部サービスポートが変わった場合、 [Use override push configuration] にその変更を追加し、 [Apply] を選択して、 FDN のプッシュ情報を更新してください。

[Name] 仮想 IP の名前を追加します。

[External Interface]

インターネットに接続する NAT デバイスのインタフェース。

[Type] スタティック NAT。

[External IP Address/Range]

プッシュ更新を内部ネットワーク上の FortiGate ユニットに送信するために、 FDN が接続する IP アドレス。これは、通常、 NAT デバイスの外部インタフェースの IP アドレスです。この IP アドレスは、内部ネットワーク上の FortiGate ユニットの、 FortiGuard Center のプッシュ更新オーバーライド IP と同一でなければなりません。


180

ライセンスシステム - メンテナンス


FortiGate の NAT デバイスにファイアウォールポリシーを追加するには

1 外部から内部への新たなファイアウォールポリシーを追加します。

2 次の設定でポリシーを構成します。


内部ネットワーク上の FortiGate ユニットへのプッシュ更新が動作していることを確認するには


2 [Refresh] を選択します。

[Push Update] のインジケータが緑色に変わります。

ライセンス

FortiGate ユニットがモデル 3000 以上であれば、フォーティネットからライセンスキーを購入して、 VDOM の大数を 25、 50、 100、または 250 に増やすことができます。 FortiGate ユニットでは、デフォルトで大 10 の VDOM がサポートされます。

ライセンスキーとは、フォーティネットが提供する 32 文字の文字列です。フォーティネットがライセンスキーを生成する際に、ユニットのシリアル番号が必要となります。

ライセンスキーを入力するには、 [System]、[Maintenance]、[License] の順に選択します。

図 94: 追加の VDOM のライセンスキー

[Mapped IP Address/Range]

内部ネットワーク上の FortiGate ユニットの IP アドレス。

[Port Forwarding] ポートフォワーディングを選択します。

[Protocol] UDP。

[External Service Port]

FDN が接続する外部サービスポート。プッシュ更新の外部サービスポートは、通常、 9443 です。内部ネットワーク上の FortiGate ユニットの FortiGuard Center の設定でプッシュ更新ポートを変更した場合は、外部サービスポートを変更されたプッシュ更新ポートに設定しなければなりません。

[Map to Port] ポートへのマップは、外部サービスポートと同一でなければなりません。

[Current License] バーチャルドメインの現在の大数。

[Input License Key] フォーティネットが提供するライセンスキーを入力し、 [Apply] を選択します。


システム - シャーシ (FortiGate-5000 シリーズ ) SMC ( シェルフマネージャカード )

システム - シャーシ(FortiGate-5000 シリーズ )

[System]、[Chassis] の順に選択すると、 FortiGate-5050 または FortiGate-5140のシャーシに装着された FortiGate-5000 シリーズモジュールをはじめ、シャーシに装着されているハードウェアコンポーネントの動作ステータス情報をリアルタイムで表示することができます。

システムシャーシのページでは、シャーシ内のすべてのハードウェアコンポーネントに関する情報を表示できます。 FortiGate CLI から get chassis statusコマンドを使用すると、同様のシャーシ情報を表示できます。システムシャーシのページおよび get chassis status コマンドで表示される情報は、接続先のFortiGate-5000 モジュールではなく、FortiGate-5000 シリーズシャーシと、シャーシに装着されている FortiGate-5000 シリーズモジュールによって決まります。

システムシャーシのページでは、シャーシシェルフマネージャから受信した情報が表示されます。システムシャーシのページに情報が表示されるのは、シャーシ内でシェルフマネージャが 1 つ以上動作しており、なおかつ接続先のFortiGate-5000 モジュールがシェルフマネージャと通信できる場合に限ります。


• SMC ( シェルフマネージャカード )

• ブレード (FortiGate-5000 シャーシスロット )

• シャーシモニタリングのイベントログメッセージ

SMC ( シェルフマネージャカード )

FortiGate-5000 シリーズシャーシに装着されているシェルフマネージャカード (SMC) のステータスを表示するには、 [System]、[Chassis]、[SMC] の順に選択します。 SMC リストは、 FortiGate-5140 シャーシと FortiGate-5050 シャーシで共通です。 SMC リストには、シャーシ内のシェルフマネージャカードの基本的なステータス情報が表示されます。

図 95: シェルフマネージャカード (SMC) リスト

[Refresh interval] SMC リストに表示される情報が Web ベースマネージャで更新される頻度を設定します。

[Refresh] SMC リストの表示情報を手動で更新します。

[SMC #] シェルフマネージャカードのスロット番号で、 SMC 1 または SMC 2。


182

ブレード (FortiGate-5000 シャーシスロット ) システム - シャーシ (FortiGate-5000 シリーズ )

ブレード (FortiGate-5000 シャーシスロット )

FortiGate-5000 シリーズモジュールが装着されている FortiGate-5000 シャーシのスロットのリストを表示するには、 [System]、[Chassis]、[Blades] の順に選択します。スロットのリストには、スロットが未使用の状態か、または FortiGate-5000モジュールが装着されている状態かが示されます。スロットにモジュールが装着されている場合、ディスプレイにはスロット内のモジュールの種類が示されます。スロットには、FortiGate-5001SX モジュールなどのノードカードや、FortiSwitch-5003 モジュールなどのスイッチカードを装着できます。接続先の FortiGate-5000モジュールが装着されているスロットは、黄色で強調表示されます。

接続先の FortiGate-5000 シリーズモジュールが FortiGate-5050 シャーシに装着されている場合、ブレードリストは 5 つの行が構成されます。 FortiGate-5140シャーシでは、ブレードリストに 14 行になります。

モジュールが装着されている各スロットについて、ブレードリストには、スロット内のモジュールの温度と電圧が許容範囲内にあるかどうかが示されます。温度と電圧に “Good” と表示されれば、モジュールは許容範囲内で動作しています。温度または電圧に “Alarm” と表示された場合、温度または電圧が許容範囲外であるため、シェルフマネージャが警告を記録します。

SNMP が有効に設定され、 “Temperature too high” ( 温度超過 ) “Voltage out of range” ( 電圧許容範囲外 ) の SNMP イベントが選択されている場合、シェルフマネージャが温度または電圧の警告を記録すると、 FortiGate-5000 モジュールのSNMP エージェントによって SNMP トラップが送信されます。

図 96: FortiGate-5050 のブレードリストの例

[Status] 各シャーシスロット内のシェルフマネージャカードの現在のステータス。ステータスは、シェルフマネージャカードがスロットに装着されていれば “Persent”、装着されていなければ “Empty” になります。

[Active/Standby] 各シャーシスロット内のシェルフマネージャカードのモード。シェルフマネージャは、アクティブモードまたはスタンバイモードでの動作が可能です。アクティブモードでは、シェルフマネージャがシャーシを操作します。スタンバイモードでは、アクティブなシェルフマネージャが動作していないことを検知した場合、シェルフマネージャはアクティブモードに切り替わるのを待ちます。ステータスが “Empty” の場合、 [Active/Standby] は空白となります。

[Refresh interval] ブレードリストに表示される情報が Web ベースマネージャで更新される頻度を設定します。

[Refresh] ブレードリストの表示情報を手動で更新します。

[Slot #] シャーシのスロット番号。FortiGate-5050 シャーシにはスロット 1 ～ 5、 FortiGate-5140 シャーシにはスロット 1 ～ 14 が示されます。

[Blade Type] スロットにノードカード ( たとえば FortiGate-5001 SX モジュール ) またはスイッチカード ( たとえば FortiSwitch-5003 モジュール ) が装着されているかどうかが示されます。


システム - シャーシ (FortiGate-5000 シリーズ ) ブレード (FortiGate-5000 シャーシスロット )

[Temperature] 各スロット内のモジュールの温度センサーが検知している温度が許容範囲内かどうかを示します。 “Good” は、監視されている温度がすべて許容範囲内であることを示します。 “Alarm” は、監視されている温度が高すぎるか ( 通常は約 75 ℃ )、または低すぎる (10 ℃以下 ) ことを示します。温度インジケータ上にマウスを移動させると、モジュールの各センサーが読み取っている温度を表示できます。その表示内容には、温度センサーの名前と温度の測定値が含まれます。表示される温度は、 FortiGate または FortiSwitch モジュールによって異なります。例 :FortiGate-5005FA2 モジュールの場合 :

• Incoming Air-Flow ( 流入空気 ): 37 ℃

• CPU Board Temp (CPU ボード温度 ): 49 ℃

• CPU1 Temp (CPU1 温度 ): 65 ℃

• CPU2 Temp (CPU2 温度 ): 66 ℃

FortiGate-5001SX モジュールおよび FortiGate-5001FA2 モジュールの場合 :

• TEMP1: 37 ℃

• TEMP2: 30 ℃

FortiSwitch-5003 モジュールの場合 :

• Baseboard Temp ( ベースボード温度 ): 35 ℃

• Board (BRD) Top Temp ( ボード (BRD) 上部温度 ): 33 ℃

• BRD Bottom Temp (BRD 底部温度 ): 33 ℃

• BRD Center Temp (BRD 中心部温度 ): 38 ℃


184

シャーシモニタリングのイベントログメッセージシステム - シャーシ (FortiGate-5000 シリーズ )

シャーシモニタリングのイベントログメッセージ

FortiGate-5000 シリーズモジュールでは、シャーシモニタリングで通常の動作パラメータを逸脱した温度、電圧、またはファン速度が検知された場合に、表 31 に示したログメッセージを送信することができます。表 31 のすべてのメッセージに、シャーシのログタイプと深刻度 ( 警告または重大 ) が含まれます。警告メッセージは、重大でないしきい値に達すると記録されます。重大メッセージは、重大なしきい値に達すると記録されます。

[Voltage] 各スロット内のモジュールの電圧センサーが検知している電圧が許容範囲内かどうかを示します。 “Good” は、監視されている電圧がすべて許容範囲内であることを示します。 “Alarm” は、監視されている電圧が高すぎるか、または低すぎることを示します。各スロットの電圧のインジケータ上にマウスを移動させると、各センサーが読み取っている電圧を表示できます。各センサーが読み取る情報として、設計電圧 ( たとえば 3.3V) と実際に測定された電圧 (たとえば 3.288V) があります。電圧の許容範囲はセンサーによって異なります。表示される電圧は、 FortiGate-5000 シリーズモジュールによって異なります。例 :FortiGate-5005FA2 モジュールの場合 :

• CPU1 Voltage (CPU1 電圧 ): 1.1956V

• CPU1 Voltage (CPU1 電圧 ): 1.1858V

• +5.0V: 4.851V

• +3.3V: 3.321V

• +2.5V CPU1: 2.5376V

• +2.5V CPU2: 2.5498V

• +1.2V 1: 1.1956V

• +1.2V 2: 1.2054V

FortiGate-5001SX モジュールおよび FortiGate-5001FA2 モジュールの場合 :

• 5V: 5.0764V

• 3.3V: 3.4884V

• 2.5V: 2.534V

• 1.8V: 1.8236V

• 1.5V: 1.5326V

FortiSwitch-5003 モジュールの場合 :

• +1.5V: 1.521V

• +2V: 1.989V

• +2.5V: 2.4921V

• +3.3V: 3.3024V

• +3.3VSB: 3.3712V

• +5VSB5.096V

• +12V: 12.096V


システム - シャーシ (FortiGate-5000 シリーズ ) シャーシモニタリングのイベントログメッセージ

表 31: シャーシモニタリングの警告および重大イベントログメッセージ

ID メッセージ意味

99503 Chassis fan anomaly:Fan <fan_integer>, <rpm_integer> RPM Chassis fan anomaly

シャーシのファンが、通常の動作範囲を逸脱した RPM 値で動作しています。 <fan_integer> はファントレイの番号です。 FortiGate-5140 では、<fan_integer> は 0、 1、または 2 となります。FortiGate-5050 にはファントレイは 1 つしかありません。 <rpm_integer> は、動作しているファンの RPM です。

99504 Chassis temperature anomaly:T <sensor_integer>, <temp_integer> Celsius

温度センサーが、このセンサーの通常の動作範囲を逸脱した温度を検知しました。通常の動作範囲は 10 ～ 75 ℃です。 <temp_integer> は温度センサーを識別します。 <temp_integer> は、センサーが報告している温度です。

99505 Chassis voltage anomaly:V<design_voltage>, <monitored_voltage> V

シャーシ電圧センサーが、センサーの動作範囲を逸脱した電圧レベルを検知しました。<design_voltage> は、通常の動作時、センサーの位置で回路に必要とされる電圧です。たとえば、<design_voltage> は 3.3 や 5 などの場合があります。 <monitored_voltage> は、センサーで測定された実際の電圧です。

99506 Blade fan anomaly:Fan <fan_integer>, <rpm_integer> RPM

ブレードのファンが、通常の動作範囲を逸脱した RPM 値で動作しています。 <fan_integer> は、ファンを識別します。 <rpm_integer> は、動作しているファンの RPM です。

99507 Blade temperature anomaly:Blade <temp_integer>, <temp_integer> Celsius

FortiGate-5000 または FortiSwitch-5000 シリーズモジュール上の温度センサーが、このセンサーの通常の動作範囲を逸脱した温度を検知しました。通常の動作範囲は 10 ～ 75 ℃です。<temp_integer> は、モジュールの温度センサーを識別します。 <temp_integer> は、センサーが報告している温度です。

99508 Blade voltage anomaly:Blade <design_voltage>, <monitored_voltage> V

FortiGate-5000 または FortiSwitch-5000 シリーズモジュール上の電圧センサーが、センサーの動作範囲を逸脱した電圧レベルを検知しました。<design_voltage> は、通常の動作時、センサーの位置で回路に必要とされる電圧です。たとえば、<design_voltage> は 3.3 や 5 などの場合があります。 <monitored_voltage> は、センサーで測定された実際の電圧です。


186

シャーシモニタリングのイベントログメッセージシステム - シャーシ (FortiGate-5000 シリーズ )


ルータ - スタティックルーティングの概念

F0

ルータ - スタティックこの項では、一般的なルーティングの概念、スタティックルートの定義方法、およびルートポリシーについて説明します。ルートは、ネットワーク上の特定の宛先にパケットを転送するのに必要な情報を FortiGate ユニットに提供します。パケットは、スタティックルートによって、工場出荷時に設定されているデフォルトゲートウェイ以外の宛先へと転送されます。

工場出荷時に設定済みのスタティックデフォルトルートは、デフォルトゲートウェイを設定するための出発点となります。工場出荷時に設定済みのスタティックデフォルトルートを変更して異なるデフォルトゲートウェイを FortiGate ユニットに設定するか、または工場出荷時に設定済みのルートを削除して、デフォルトゲートウェイを示すスタティックデフォルトルートを FortiGate ユニットに設定する必要があります。 191 ページの「デフォルトルートおよびデフォルトゲートウェイ」を参照してください。

スタティックルートは手動で定義します。 FortiGate ユニットから送出されるトラフィックはスタティックルートが制御しますが、パケットを送出するインタフェースとパケットの転送先のデバイスはユーザが指定できます。

オプションでルートポリシーを定義することができます。ルートポリシーは、着信パケットのプロパティを分析するための基準を追加指定するものです。ルートポリシーを使用すると、パケットヘッダ内の IP 送信元 / 宛先アドレスをはじめ、パケットを受信するインタフェース、パケット送信に使用されるプロトコル ( サービス ) やポートなどの条件に基づいてパケットをルーティングするように、FortiGate ユニットを設定できます。


• ルーティングの概念

• スタティックルート

• ポリシールート

ルーティングの概念

ルーティングは複雑なテーマです。 FortiGate ユニットはネットワーク上のセキュリティデバイスとして機能し、パケットはその FortiGate ユニットを経由しなければなりません。そのため、 FortiGate ユニットを適切に設定するには、数々の基本的なルーティングの概念を理解する必要があります。

管理するネットワークの規模の大小を問わず、この項は FortiGate ユニットがどのようにルーティング機能を実行するのかを理解するのに役立ちます。


• ルーティングテーブルの成立ち

• ルーティングの決定方法

• マルチパスルーティングと良のルートの決定ルートプライオリティへのルートシーケンスの影響

• ルートプライオリティへのルートシーケンスの影響

• 等価コストマルチパス (ECMP) ルート


188

ルーティングの概念ルータ - スタティック

ルーティングテーブルの成立ち

工場出荷時では、 FortiGate のルーティングテーブルにはスタティックデフォルトルートが 1 つ設定されています。別のスタティックルートを定義することにより、ルーティングテーブルにルーティング情報を追加できます。テーブルには、同じ宛先への異なるルートをいくつか含めることができます。その場合、ルータまたはルータに関連する FortiGate インタフェースに指定されているネクストホップルータの IP アドレスは、それぞれ別々になることがあります。

FortiGate ユニットは、ルーティングテーブルの情報を評価することで、パケットに「良」のルートを選択します。宛先への良のルートは通常、 FortiGateユニットとそれにも近いネクストホップルータとの間の短距離と関係します。何らかの理由で良のルートが利用できない場合は、その次に良なルートが選択される場合があります。良のルートは、 FortiGate のルーティングテーブルの一部である FortiGate のフォワーディングテーブルに設定されます。パケットは、フォワーディングテーブルの情報に基づいて転送されます。

ルーティングの決定方法

パケットが FortiGate ユニットのインタフェースの 1 つに到達すると、 FortiGateユニットは、パケットヘッダの送信元 IP アドレスを使用して逆引きを行うことにより、パケットが正当なインタフェースで受信されたかどうかを判断します。パケットを受信したインタフェースを介して送信元 IP アドレスのコンピュータと通信できない場合、ハッキングの試みであることが考えられるので、 FortiGateユニットはパケットを破棄します。

宛先アドレスがローカルアドレスと一致した場合 ( なおかつローカル設定で配信が許可されている場合 )、 FortiGate ユニットはローカルネットワークにパケットを配信します。パケットの宛先が別のネットワークである場合、 FortiGate ユニットは、ルートポリシーまたは FortiGate フォワーディングテーブルに保存された情報、あるいはその両方に従って、ネクストホップルータにパケットを転送します。 195 ページの「ポリシールート」を参照してください。

マルチパスルーティングと最良のルートの決定

マルチパスルーティングは、同じ宛先へのエントリがルーティングテーブルに複数存在する場合に発生します。マルチパスルーティングが発生すると、FortiGate ユニットは着信パケットに複数の宛先を使用できることになり、どのネクストホップが良か判断を迫られます。

同じ宛先への複数のルートという問題を手動で解決するには、一方のルートのディスタンスを短くするか、または両方のルートにプライオリティを設定するという 2 つの方法があります。 FortiGate ユニットにプライマリ ( 優先 ) ルートを選択させるには、可能なルートのいずれかに関連したディスタンスを手動で短くします。ディスタンスは 1 ～ 255 の値を設定できます。

両方のルートのプライオリティを手動で変更するという方法もあります。FortiGate ユニットの 2 つのルートで、ネクストホップのディスタンスが同じであると、パケットがたどるルートが明確でない場合があります。それらのルートのそれぞれにプライオリティを設定すれば、ディスタンスが同一の場合に使用されるネクストホップが明確になります。ルートのプライオリティは、 CLI でのみ設定できます。プライオリティの値が小さい方が優先されます。


ルータ - スタティックルーティングの概念

ルーティングテーブルのエントリは、すべてディスタンスと関連付けられます。同一の宛先をポイントするエントリがルーティングテーブルに複数含まれている場合 ( エントリのゲートウェイまたはインタフェースの関係は異なる可能性があります )、 FortiGate ユニットはそれらのエントリのディスタンスを比較して距離が短のエントリを選択し、 FortiGate フォワーディングテーブルにルートとして設定します。その結果、 FortiGate フォワーディングテーブルには、可能な限りすべての宛先への距離が短のルートのみが含まれることになります。スタティックルートに関連したディスタンスの変更方法については、 194 ページの「ルーティングテーブルへのスタティックルートの追加」を参照してください。

ルートプライオリティへのルートシーケンスの影響

FortiGate ユニットがディスタンスに基づいてフォワーディングテーブルのスタティックルートを選択した後、それらのルートのシーケンス番号によってルーティングのプライオリティが決定されます。フォワーディングテーブル内に同じ宛先のルートが 2 つ存在する場合、シーケンス番号のも小さいルートが良の選択になります。

FortiOS v3.0 では、 CLI で設定されたルートにプライオリティフィールドが追加されています。プライオリティフィールドは、ディスタンスが等しい 2 つのルートを解決するため、ルートシーケンスを無効にします。プライオリティフィールドの値がも小さいルートが、良のルートと見なされます。プライオリティが同じか、または使用されていない場合は、ルーティングテーブル内でシーケンス番号のも小さいルートが良のルートとなります。良のルートはプライマリルートでもあります。プライオリティフィールドを設定するコマンドは、 config route static コマンド下の set priority <integer> です。詳細については、『FortiGate CLI リファレンス』を参照してください。

Web ベースマネージャで [Static Route] リストにスタティックルートを追加する場合、 FortiGate ユニットは、使用されていない次のシーケンス番号を自動的に新エントリに割り当てます。たとえば図 97 では、同一の宛先 (1.1.1.0/24) への2 つのスタティックルートが作成され、エントリ番号とシーケンス番号が Webベースマネージャを介してどのように割り当てられるのかを示しています。 2つのルートは同一のゲートウェイを指定していますが、あるケースでは、パケットは " ポート 1" という名前のインタフェースを介して FortiGate ユニットから発信され、また別のケースでは、 " ポート 2" という名前のインタフェースを介して発信されます。

図 97: Web ベースマネージャを介して作成されたスタティックルート

まずエントリ番号 2 が作成され、次にエントリ番号 3 が作成されています。そのため、ルーティングテーブルにおけるこれらのシーケンス番号は、それぞれ 2と 3 になります。 FortiGate ユニットが宛先を同じくするこれら 2 つのルートを評価する場合、 2 つともディスタンスが小さいため、両方ともフォワーディングテーブルに追加されます。フォワーディングテーブルにルートが追加されると、CLI の set priority コマンドでプライオリティが設定されていない限り、そのシーケンス番号によってルートのプライオリティが決定します。エントリ番号2 のシーケンス番号がも小さいため、これが優先ルートとなります。



190

スタティックルートルータ - スタティック

Web ベースマネージャでスタティックルートがすべて設定されると、スタティックルータリストのエントリの順番は、通常、ルーティングテーブルにおけるスタティックルートの順番と同一になります。ただし、 CLI でルートを追加するときにスタティックルートのシーケンス番号を指定できるため、ルートのシーケンス番号はスタティックルータリストのエントリの番号と常に一致するとは限りません。シーケンス番号は、 CLI でのみ、スタティックルートに指定できます。

まとめると、ルーティングテーブル内のあるルートのシーケンス番号が同じ宛先の他のルートよりも小さい場合、 FortiGate ユニットは他のルートを選択する前に、シーケンス番号が小さいそのルートを選択します。スタティックルートを設定する際、使用するシーケンス番号またはプライオリティフィールドの設定を CLI で指定できるため、シーケンス番号およびプライオリティフィールドの設定に従って、同じ宛先の複数のルートにプライオリティを設定することができます。スタティックルートを優先ルートとするには、 CLI コマンド config router static を使用してルートを作成し、そのルートに小さいシーケンス番号またはプライオリティを指定する必要があります。

等価コストマルチパス (ECMP) ルート

宛先が同じルートが複数ある場合、どのルートを設定して使用するか不明確な場合があります。これは前述のように、距離とプライオリティに基づきます。両方のルートの距離もプライオリティも同一であるならば、それらのルートは等価コストマルチパス (ECMP) ルートとなります。 ECMP ルートでロードバランスが設定されている場合、同じアドレスに対してセッションごとに別々のルートが使用され、トラフィックが負荷分散されることになります。

スタティックルート

スタティックルートは、 FortiGate ユニットが傍受するパケットの宛先 IP アドレスとネットマスクを定義し、それらのパケットの ( ゲートウェイ ) IP アドレスを指定することによって設定します。ゲートウェイアドレスは、トラフィックがルーティングされるネクストホップルータを指定します。

スタティックルートの操作

スタティックルータリストには、パケットをルーティングするために FortiGateユニットがパケットのヘッダと比較した情報が表示されます。当初、このリストには工場出荷時に設定済みのスタティックデフォルトルートが含まれています。191 ページの「デフォルトルートおよびデフォルトゲートウェイ」を参照してください。新しいエントリは手動で追加できます。

注記 : スタティックルートのシーケンス番号は、 CLI で config router static と入

力した後、 get と入力することで、ルーティングテーブルに表示できます。ルートの

シーケンス番号は、 CLI でスタティックルートを定義する際に入力するedit <ID_integer> の値と等しくなります。詳細については、『FortiGate CLI リファレ

ンス』の config router static を参照してください。

注記 : IPv6 トラフィックのスタティックルートの追加、編集、削除には、 CLI コマンドconfig router static6 を使用できます。詳細については、『FortiGate CLI リファレン

ス』の章「ルータ」を参照してください。






ルータ - スタティックスタティックルート

スタティックルータリストにスタティックルートを追加すると、 FortiGate ユニットはその情報を評価し、 FortiGate のルーティングテーブルにすでに存在する他のルートと比較して、それが異なるルートかどうか判定します。宛先が同じルートがルーティングテーブルになければ、 FortiGate ユニットはそのルートをルーティングテーブルに追加します。

スタティックルートのリストを表示するには、 [Router]、[Static]、[Static Route] の順に選択します。既存のスタティックルートのエントリを編集するには、 [Router]、[Static]、[Static Route] の順に選択し、編集するエントリの隣にある編集アイコンを選択します。

図 98 は、 "External" および "Internal" という名前のインタフェースを持つFortiGate ユニットのスタティックルートリストです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 98: スタティックルートリスト

デフォルトルートおよびデフォルトゲートウェイ

工場出荷時の設定では、スタティックルータリストのエントリ番号 1 は、すべての宛先を意味する宛先アドレス 0.0.0.0/0.0.0.0 に関連付けられています。このルートは、「スタティックデフォルトルート」と呼ばれます。ルーティングテーブルに他のルートが存在せず、FortiGate ユニットの先へとパケットを転送する必要がある場合、工場出荷時に設定済みのスタティックデフォルトルートにより、FortiGate ユニットはパケットをデフォルトゲートウェイに転送します。

これを防ぐには、工場出荷時に設定済みのスタティックデフォルトルートを編集して異なるデフォルトゲートウェイを FortiGate ユニットに指定するか、または工場出荷時に設定済みのルートを削除し、デフォルトゲートウェイをポイントするスタティックデフォルトルートを自身で FortiGate ユニットに指定する必要があります。

[Create New] スタティックルータリストにスタティックルートを追加します。 194ページの「ルーティングテーブルへのスタティックルートの追加」を参照してください。

[IP] FortiGate ユニットが傍受するパケットの宛先 IP アドレス。

[Mask] IP アドレスに関連したネットワークマスク。

[Gateway] 傍受されたパケットが転送されるネクストホップルータのIPアドレス。

[Device] 傍受されたパケットが送受信される FortiGate インタフェースの名前。

[Distance] 各ルートに関連したディスタンス。値は、ネクストホップルータへの距離を表します。

削除アイコンと編集アイコン

リストのエントリを削除または編集します。

削除編集


192


たとえば、 FortiGate ユニットがルータに接続している図 99 を考えてみましょう。ルータを超えた任意のネットワークを目的地とするすべての送信パケットが適切な宛先へと確実にルーティングされるようにするには、工場出荷時のデフォルト設定を編集して、このルータを FortiGate ユニットのデフォルトゲートウェイに設定する必要があります。

図 99: ルータをデフォルトゲートウェイとして設定

内部ネットワークからネットワーク 192.168.20.0/24 上の宛先へと送信パケットをルーティングするには、デフォルトルートを編集して以下の設定を含めます。

• [Destination IP/Mask]: 0.0.0.0/0.0.0.0

• [Gateway]: 192.168.10.1

• [Device]: ネットワーク 192.168.10.0/24 に接続するインタフェースの名前 ( たとえば external)

• [Distance]: 10

[Gateway] 設定には、 FortiGate 外部インタフェースへのネクストホップルータインタフェースの IP アドレスを指定します。ルータの背後のインタフェース (192.168.10.1) は、 FortiGate_1 のデフォルトゲートウェイです。

Internal network192.168.20.0/24

FortiGate_1

external

Internet

Router

192.168.10.1


ルータ - スタティックスタティックルート

場合によっては、 FortiGate ユニットの背後にルータが存在することがあります。パケットの宛先 IP アドレスがローカルネットワークではなく、それらのルータの背後のネットワークである場合、 FortiGate のルーティングテーブルには、そのネットワークへのスタティックルートが含まれている必要があります。たとえば図 100 では、 FortiGate ユニットが Network_1 と Network_2 にパケットを転送するためには、それぞれインタフェース 192.168.10.1 と 192.168.11.1 へのスタティックルートをこのユニットに設定する必要があります。

図 100: 宛先が内部ルータの背後のネットワークである場合

Network_1 から Network_2 にパケットをルーティングするには、 FortiGate 内部インタフェースをデフォルトゲートウェイとして使用するように Router_1 を設定する必要があります。 FortiGate ユニットには、新しいスタティックルートを以下の設定で作成します。

[Destination IP/Mask]: 192.168.30.0/24

[Gateway]: 192.168.11.1

[Device]: dmz

[Distance]: 10

Network_2 から Network_1 にパケットをルーティングするには、 FortiGate dmz インタフェースをデフォルトゲートウェイとして使用するように Router_2 を設定する必要があります。 FortiGate ユニットには、新しいスタティックルートを以下の設定で作成します。

[Destination IP/Mask]: 192.168.20.0/24

[Gateway]: 192.168.10.1

[Device]: internal

[Distance]: 10

FortiGate_1

Internet

internal dmz

Network_1192.168.20.0/24

Router_1 192.168.10.1

Network_2192.168.30.0/24

Router_2192.168.11.1


194


デフォルトルートのゲートウェイの変更

デフォルトゲートウェイは、デフォルトルートに一致するパケットの転送先を決定します。

デフォルトルートのゲートウェイを変更するには

1 [Router]、[Static]、[Static Route] の順に選択します。

2 1 列目の [ 編集 ] アイコンを選択します。

3 [Gateway] フィールドに、送信トラフィックを方向づけることのできるネクストホップルータの IP アドレスを入力します。

4 FortiGate ユニットが、 [Device] フィールドで現在選択されているインタフェースとは別のインタフェースを介してネクストホップルータに到達する場合、[Device] フィールドからインタフェースの名前を選択します。

5 [Distance] フィールドでは、オプションでディスタンスの値を調整します。


ルーティングテーブルへのスタティックルートの追加

ルートは、特定の宛先にパケットを転送するのに必要な情報を FortiGate ユニットに提供します。パケットは、スタティックルートによって、デフォルトゲートウェイ以外の宛先へと転送されます。

スタティックルートは手動で定義します。 FortiGate ユニットから送出されるトラフィックはスタティックルートが制御しますが、パケットを送出するインタフェースとパケットの転送先のデバイスはユーザが指定できます。

スタティックルートを追加するには、 [Router]、[Static]、[Static Routes] の順に選択して、 [Create New] を選択します。

Web ベースマネージャでスタティックルートを追加する場合、 FortiGate ユニットは、使用されていない次のシーケンス番号を自動的にルートに割り当てて、そのエントリをスタティックルータリストに追加します。

図 101 は、 "internal" という名前のインタフェースを持つ FortiGate ユニットの [Edit Static Route] ダイアログボックスです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 101: [Edit Static Route]

[Destination IP/Mask]

FortiGate ユニットが傍受する必要のあるパケットの宛先 IP アドレスおよびネットワークマスクを入力します。 0.0.0.0/0.0.0.0 の値は、デフォルトルートに予約されています。

[Gateway] 傍受したパケットを FortiGate ユニットが転送するネクストホップルータの IP アドレスを入力します。


ルータ - スタティックポリシールート

ポリシールート

パケットが FortiGate ユニットのインタフェースに到達すると、 FortiGate ユニットは、パケットヘッダの送信元 IP アドレスを使用して逆引きを行うことにより、パケットが正当なインタフェースで受信されたかどうかを判断します。パケットを受信したインタフェースを介して送信元 IP アドレスのコンピュータと通信できない場合、 FortiGate ユニットはパケットを破棄します。

宛先アドレスがローカルアドレスと一致した場合 ( なおかつローカル設定で配信が許可されている場合 )、 FortiGate ユニットはローカルネットワークにパケットを配信します。パケットの宛先が別のネットワークである場合、 FortiGateユニットは、ルートポリシーまたは FortiGate フォワーディングテーブルに保存された情報、あるいはその両方に従って、ネクストホップルータにパケットを転送します (187 ページの「ルーティングの概念」を参照 )。

ルーティングポリシーが存在する場合、パケットが FortiGate ユニットに到達すると、 FortiGate ユニットは [Policy Route] リストの先頭から開始して、パケットとポリシーの照合を試みます。一致することが判明し、パケットをルーティングするのに十分な情報がポリシーに含まれていれば ( ネクストホップルータにパケットを転送するための FortiGate インタフェースとともに、ネクストホップルータの IP アドレスが指定されている必要があります )、 FortiGate ユニットはそのポリシーの情報を使用してパケットをルーティングします。パケットに一致するルートポリシーがない場合、 FortiGate ユニットはルーティングテーブルを使用してパケットをルーティングします。

ルートポリシーのリストを表示するには、 [Router]、[Static]、[Policy Route] の順に選択します。既存のルートポリシーを編集するには、 [Router]、[Static]、[Policy Route] の順に選択し、編集するポリシーの隣にある編集アイコンを選択します。

図 102 は、 "external" および "internal" という名前のインタフェースを持つFortiGate ユニットのポリシールートリストです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

[Device] 傍受されたパケットをネクストホップルータへとルーティングできるFortiGate インタフェースの名前を選択します。

[Distance] ルートのディスタンスを入力します。距離の値は任意で、ネクストホップルータへの距離を反映させる必要があります。値が小さいほど、優先されるルートであることを示します。値は 1 ～ 255 の整数を設定できます。

注記 : 大部分のポリシー設定はオプションであるため、一致するポリシーの情報だけでは、 FortiGate ユニットがパケットを転送するには不十分である場合があります。FortiGate ユニットは、パケットヘッダ内の情報をルーティングテーブルのルートと一致させるために、ルーティングテーブルを参照することがあります。たとえば、ポリシーの情報では送信インタフェース以外わからない場合、 FortiGate ユニットはルーティングテーブルにおけるネクストホップルータの IP アドレスを検索します。こうした状況が発生する可能性があるのは、 FortiGate インタフェースが動的 ( インタフェースは DHCP または PPPoE を介して IP アドレスを入手 ) で、 IP アドレスの変更が動的であるために、ネクストホップルータの IP アドレスを変更したくない場合や変更できない場合です。


196

ポリシールートルータ - スタティック

図 102: ポリシールートリスト

ルートポリシーの追加

ルートポリシーオプションは、ポリシールーティングを発生させる着信パケットの属性を定義します。パケットの属性がすべての指定条件と一致した場合と、FortiGate ユニットは指定ゲートウェイへの指定インタフェースを介してパケットをルーティングします。

ルートポリシーを追加するには、 [Router]、[Static]、[Policy Route] の順に選択して、 [Create New] を選択します。

図 103 は、 "external" および "internal" という名前のインタフェースを持つFortiGate ユニットの [New Routing Policy] ダイアログボックスです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 103: [New Routing Policy]

[Create New]

ルートポリシーを追加します。 196 ページの「ルートポリシーの追加」を参照してください。

# 設定されたルートポリシーの ID 番号。これらの番号は、テーブル内でポリシーが移動されていない限り、連番となります。

[Incoming] ルートポリシーの対象となるパケットを受信するインタフェース。

[Outgoing] ポリシーによってルーティングされるパケットをルーティングするインタフェース。

[Source] ポリシールーティングを実行する IP 送信元アドレスおよびネットワークマスク。

[Destination] ポリシールーティングを実行する IP 宛先アドレスおよびネットワークマスク。

削除アイコンポリシールートを削除する場合に選択します。

編集アイコンポリシールートを編集する場合に選択します。

移動アイコンポリシールートテーブル内でポリシーを上下に移動する場合に選択します。このアイコンを選択すると [Move Policy Route] 画面が表示され、[Policy Route] テーブル内の新しい場所を指定できます。「ルートポリシーの移動」を参照してください。

編集削除

移動


ルータ - スタティックポリシールート

ルートポリシーの移動

ルーティングポリシーを作成すると、ルーティングテーブルの下部に追加されます。あるポリシーを優先的に使用する場合、そのポリシーをルーティングポリシーテーブルの別の場所に移すことができます。

たとえば 172.20.0.0/255.255.0.0 と 172.20.120.0/255.255.255.0 のように 2 つのルートが合致すると、どちらか一方のルートを選択しなければなりません。これらのルートがいずれもポリシーテーブルにある場合、どちらも 172.20.120.112 へのルートに合致しますが、後者の方がより適しています。その場合、ポリシーテーブル内で適なルートを他方のルートよりも前に配置する必要があります。

CLI を使用すると、ルートにプライオリティを指定できます。ルーティングテーブルで 2 つの一致がある場合、どのルートを使用するかはプライオリティで決定されます。この機能は、 CLI でのみ可能です。

図 104: [Move Policy Route]

[Protocol] パケットのプロトコルフィールドの値に基づいてポリシールーティングを実行するには、一致するプロトコル番号を入力します。範囲は 0 ～ 255 です。 0 の値で機能は無効になります。

[Incoming Interface] ポリシーの対象となる着信パケットが経由するインタフェースの名前を選択します。

[Source Address / Mask]

パケットの IP 送信元アドレスに基づいてポリシールーティングを実行するには、一致する送信元アドレスとネットワークマスクを入力します。 0.0.0.0/0.0.0.0 の値で機能は無効になります。

[Destination Address / Mask]

パケットの IP 宛先アドレスに基づいてポリシールーティングを実行するには、一致する宛先アドレスとネットワークマスクを入力します。 0.0.0.0/0.0.0.0 の値で機能は無効になります。

[Destination Ports] パケットを受信するポートに基づいてポリシールーティングを実行するには、 [From] および [To] のフィールドと同じポート番号を入力します。ポリシールーティングをさまざまなポートに適用する場合、 [From] フィールドに初のポート番号を、そして [To] フィールドに後のポート番号を入力します。 0 の値で機能は無効になります。

[Outgoing Interface] ポリシーの影響を受けるパケットがルーティングされるインタフェースの名前を選択します。

[Gateway Address] 指定されたインタフェースを通じて FortiGate ユニットがアクセスできるネクストホップルータの IP アドレスを入力します。0.0.0.0 の値は無効です。

[Before / After] 選択したポリシールートを表示のルートの前に配置するには、[Bofore] を選択します。表示のルートの後に配置するには [After] を選択します。

[Policy route ID] ポリシールートテーブル内のルートのポリシールート ID を入力し、選択したルートを前後に移動します。


198

ポリシールートルータ - スタティック


ルータ - ダイナミック RIP

F0

ルータ - ダイナミックこの項では、大規模または複雑なネットワークを介してトラフィックをルーティングするために動的プロトコルを設定する方法について説明します。ダイナミックルーティングプロトコルを使用すると、 FortiGate ユニットは、ルートに関する情報の隣接ルータとの共有や、隣接ルータによってアドバタイズされたルートおよびネットワークの学習を自動的に行うことができます。 FortiGate ユニットは、次のダイナミックルーティングプロトコルをサポートしています。

• RIP (Routing Information Protocol)

• OSPF (Open Shortest Path First)

• BGP (Border Gateway Protocol)

FortiGate ユニットは、ユーザが指定したルールに基づいてルートを選択し、ルーティングテーブルを動的に更新します。一連のルールが指定されると、FortiGate ユニットは、パケットを宛先に送信するための適なルートまたはパスを決定できます。また、隣接ルータへのルートのアドバタイズを抑制するためのルールを定義したり、アドバタイズされる前の FortiGate ルーティング情報を変更したりすることもできます。


• RIP

• OSPF

• BGP

• マルチキャスト

RIP

RIP は、小規模で、比較的均質なネットワーク向けの、距離ベクトルルーティングプロトコルです。 FortiGate での RIP の実装は、 RIP バージョン 1 (RFC 1058を参照 ) および RIP バージョン 2 (RFC 2453 を参照 ) をサポートしています。

注記 : 基本的な RIP、 OSPF、および BGP ルーティングオプションは、 Web ベースマネージャで設定できます。追加オプションの多くは、 CLI コマンドを使用してのみ設定できます。 RIP、 OSPF、および BGP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

注記 : FortiGate ユニットは、ルートバーチャルドメイン内で PIM (Protocol Independent Multicast) バージョン 2 ルータとして動作できます。 FortiGate ユニットは、 PIM スパースモードおよびデンスモードをサポートしており、 FortiGate インタフェースが接続されているネットワークセグメント上のマルチキャストサーバまたはレシーバにサービスを提供できます。 PIM は、静的ルート、 RIP、 OSPF、または BGP を使用して、マルチキャストパケットを宛先に転送できます。

注記 : 基本的なルーティングオプションは、 Web ベースマネージャで設定できます。追加オプションの多くは、 CLI コマンドを使用してのみ設定できます。 RIP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。





200

RIP ルータ - ダイナミック

RIP の動作

RIP が有効になっている場合、 FortiGate ユニットは、 RIP が有効な各インタフェースからの RIP 更新への要求をブロードキャストします。隣接ルータは、それぞれのルーティングテーブルの情報で応答します。 FortiGate ユニットは、隣接ルータからのルートがまだ独自のルーティングテーブルに記録されていない場合にのみ、それらのルートをルーティングテーブルに追加します。ルートがすでにルーティングテーブル内に存在する場合、 FortiGate ユニットは、アドバタイズされたルートと記録されているルートを比較し、短のルートをルーティングテーブル用に選択します。

RIP は、適なルートを選択するためのメトリックとしてホップカウントを使用します。 1 のホップカウントは、 FortiGate ユニットに直接接続されているネットワークを表します。これに対して、 16 のホップカウントは、 FortiGate ユニットが到達できないネットワークを表します。通常は、パケットが宛先に到達するまでに経由する各ネットワークが 1 ホップとしてカウントされます。 FortiGateユニットが同じ宛先への 2 つのルートを比較したとき、ホップカウントのも小さいルートがルーティングテーブルに追加されます。

同様に、インタフェース上で RIP が有効になっている場合、 FortiGate ユニットは隣接ルータに定期的に RIP 応答を送信します。これらの更新では、 FortiGateルーティングテーブル内のルートに関する情報が、これらのルートをアドバタイズするためにユーザが指定したルールに従って提供されます。ユーザは、FortiGate ユニットが更新を送信する頻度や、更新せずにルートを FortiGate ルーティングテーブル内に保持できる期間、また定期的に更新されないルートについては、 FortiGate ユニットが FortiGate ルーティングテーブルからルートを削除するまでにそのルートを到達不可としてアドバタイズする期間を指定できます。

基本的な RIP 設定の表示と編集

RIP 設定を設定する場合は、 RIP を実行しているネットワークを指定すると共に、RIP が有効なネットワークに接続されている FortiGate インタフェース上の RIP動作を調整するために必要なすべての追加の設定を指定する必要があります。

RIP ネットワークに接続された FortiGate ユニットの基本的な設定を設定するには、 [Router]、[Dynamic]、[RIP] の順に選択します。 RIP が有効なインタフェースの動作パラメータを編集するには、 [Router]、[Dynamic]、[RIP] の順に選択し、RIP が有効なインタフェースに対応した行にある編集アイコンを選択します。

図 105 は、 "dmz" および "external" という名前のインタフェースを持つFortiGate ユニットの基本的な RIP 設定です。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。



図 105: 基本的な RIP 設定

[RIP Version] FortiGate ユニットで必要な RIP 互換性のレベルを選択します。 RIP が有効なネットワークに接続されたすべての FortiGate インタフェース上でグローバルな RIP 設定を有効にすることができます。• RIP バージョン 1 パケットを送受信するには、 [1] を選択します。

• RIP バージョン 2 パケットを送受信するには、 [2] を選択します。

必要に応じて、特定の FortiGate インタフェースのグローバル設定を置き換えることができます (203 ページの「インタフェース上の RIP 動作パラメータの置き換え」を参照 )。

[Advanced Options]

RIP 詳細設定オプションを選択します。 202 ページの「RIP 詳細設定オプションの選択」を参照してください。

[Networks] RIP を実行している (FortiGate ユニットに接続された ) 主要なネットワークの IP アドレスとネットワークマスク。 [Networks] リストにネットワークを追加すると、そのネットワークに含まれている FortiGate インタフェースが RIP 更新でアドバタイズされます。 RIP ネットワークアドレス空間に一致する IP アドレスを持つすべての FortiGate インタフェース上で RIP を有効にすることができます。

[IP/Netmask] RIP が有効なネットワークを定義する IP アドレスとネットマスクを入力します。

[Add] [Networks] リストにネットワーク情報を追加する場合に選択します。

[Interfaces] FortiGate インタフェース上の RIP 動作を調整するために必要な任意の追加の設定。

[Create New] インタフェースの RIP 動作パラメータを設定する場合に選択します。これらのパラメータによって、そのインタフェースのグローバルな RIP 設定が置き換えられます。 203 ページの「インタフェース上の RIP 動作パラメータの置き換え」を参照してください。

[Interface] RIP 動作パラメータを設定するインタフェースを選択します。

[Send Version] 各インタフェースを介して更新を送信するために使用する RIP のバージョンを [1]、 [2]、または [Both] から選択します。

[Receive Version] 各インタフェース上で更新を待機するために使用するRIP のバージョンを [1]、 [2]、または [Both] から選択します。

[Authentication] このインタフェース上で使用する認証の種類を [None]、 [Text]、または [MD5] から選択します。

編集

削除

削除


202

RIP ルータ - ダイナミック

RIP 詳細設定オプションの選択

RIP 詳細設定オプションを使用すると、 RIP タイマの設定を指定したり、 FortiGateユニットが RIP 更新以外の何らかの手段によって学習するルートを再配布するためのメトリックを定義したりすることができます。たとえば、 FortiGate ユニットが OSPF または BGP ネットワークに接続されている場合、または FortiGate ルーティングテーブルに静的ルートを手動で追加する場合は、これらのルートを RIPが有効なインタフェース上でアドバタイズするようにFortiGateユニットを設定できます。

RIP 詳細設定オプションを選択するには、 [Router]、[Dynamic]、[RIP] の順に選択し、 [Advanced Options] を展開します。オプションを選択したら、 [Apply] を選択します

図 106: 高度なオプション (RIP)

[Passive] このインタフェース上で RIP ブロードキャストをブロックする場合に選択します。


RIP ネットワークエントリまたは RIP インタフェース定義を削除または編集します。

注記 : 追加の詳細設定オプションは、 CLI を使用して設定できます。たとえば、受信した更新または送信する更新を、ルートマップ、アクセスリスト、またはプレフィックスリストを使用してフィルタ処理できます。 FortiGate ユニットではまた、指定したオフセットをルートのメトリックに追加するオフセットリストもサポートされています。詳細については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

[Default Metric] FortiGate ユニットが、 Fortinet ルーティングテーブルに追加されたルートに割り当てるデフォルトのホップカウントを入力します。範囲は 1 ～ 16 です。特に指定されていない限り、この値は [Redistribute] にも適用されます。

[Enable Default-information-originate]

FortiGate ユニットの RIP が有効なネットワークへのデフォルトルートを生成し、無条件にアドバタイズする場合にオンにします。生成されるルートは、ダイナミックルーティングプロトコルを介して学習されたルート、ルーティングテーブル内のルート、またはその両方に基づいている可能性があります。

[RIP Timers] デフォルトの RIP タイマ設定を置き換えます。デフォルト設定は、ほとんどの構成で有効です。これらの設定を変更する場合は、新しい設定がローカルルータやアクセスサーバと互換性があることを慎重に確認してください。




インタフェース上の RIP 動作パラメータの置き換え

RIP インタフェースオプションを使用すると、 RIP が有効なネットワークに接続されたすべての Fortinet インタフェースに適用されるグローバルな RIP 設定を置き換えることができます。たとえば、 RIP が有効なネットワークのサブネットに接続されたインタフェース上の RIP アドバタイズを抑制する場合は、そのインタフェースの受動的な動作を有効にすることができます。受動的なインタフェースは RIP 更新を待機しますが、 RIP 要求には応答しません。

インタフェース上で RIP バージョン 2 が有効になっている場合は、 FortiGate ユニットが隣接ルータからの更新を受け付ける前にそのルータを確実に認証できるようにパスワード認証を選択することもできます。 FortiGate ユニットと隣接ルータの両方に同じパスワードが設定されている必要があります。認証によって、更新パケットの正当性が保証されますが、パケット内のルーティング情報の機密性は保証されません。

RIP が有効なインタフェースの特定の RIP 動作パラメータを設定するには、[Router]、[Dynamic]、[RIP] の順に選択し、 [Create New] を選択します。

[Update] FortiGate ユニットが RIP 更新を送信する間に待つ時間 ( 秒単位 ) を入力します。

[Timeout] ルートに関する更新が受信されなくても、そのルートが到達可能と見なされる長時間 ( 秒単位 ) を入力します。これは、ルートに関する更新が受信されなくても、 FortiGate ユニットがその到達可能なルートをルーティングテーブル内に保持する

長時間です。 [Timeout] の期間が切れる前にFortiGate ユニットがそのルートに関する更新を受信すると、タイマは再起動されます。[Timeout] の期間は、 [Update] の期間の少なくとも3 倍の長さにする必要があります。

[Garbage] FortiGate ユニットがルーティングテーブルからルートを削除するまでにそのルートを到達不可としてアドバタイズする時間 (秒単位) を入力します。この値によって、到達不可のルートがルーティングテーブル内に保持される期間が決定されます。

[Redistribute] RIP を介して学習されなかったルートに関する RIP 更新を有効または無効にします。 FortiGate ユニットは、 RIP を使用して、直接接続されたネットワーク、静的ルート、 OSPF、または BGPから学習されたルートを再配布できます。

[Connected] 直接接続されたネットワークから学習されたルートを再配布する場合にオンにします。これらのルートのホップカウントを指定する場合は、[Metric] を選択し、 [Metric] フィールドにホップカウントを入力します。範囲は 1 ～ 16 です。

[Static] 静的ルートから学習されたルートを再配布する場合にオンにします。これらのルートのホップカウントを指定する場合は、 [Metric] を選択し、[Metric] フィールドにホップカウントを入力します。範囲は 1 ～ 16 です。

[OSPF] OSPF を介して学習されたルートを再配布する場合にオンにします。これらのルートのホップカウントを指定する場合は、 [Metric] を選択し、 [Metric] フィールドにホップカウントを入力します。範囲は 1 ～ 16 です。

[BGP] BGP を介して学習されたルートを再配布する場合にオンにします。これらのルートのホップカウントを指定する場合は、 [Metric] を選択し、 [Metric] フィールドにホップカウントを入力します。範囲は 1 ～ 16 です。


204

OSPF ルータ - ダイナミック

図 107 は、 "internal" という名前のインタフェースを持つ FortiGate ユニットの [New/Edit RIP Interface] ダイアログボックスです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 107: [New/Edit RIP Interface]

OSPF

OSPF (Open Shortest Path First) は、同じ自律システム (AS) 内のルータ間でルーティング情報を共有するために、大規模な異種ネットワークでもよく使用されているリンク状態ルーティングプロトコルです。 FortiGate ユニットは、 OSPFバージョン 2 (RFC 2328 を参照 ) をサポートしています。

注記 : スプリットホライズン設定やキーチェーン設定などの追加オプションは、 CLI を使用してインタフェースごとに設定できます。詳細については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

[Interface] これらの設定を適用する FortiGate インタフェースの名前を選択します。このインタフェースは、 RIP が有効なネットワークに接続されている必要があります。このインタフェースは、仮想 IPSec または GRE インタフェースである可能性があります。

[Send Version]、[Receive Version]

インタフェースを介して更新を送受信するためのデフォルトの RIP互換性設定を置き換える場合に、 RIP バージョンを [1]、 [2]、または [Both] から選択します。

[Authentication] 指定したインタフェースでの RIP 交換の認証方法を選択します。• 認証を無効にするには、 [None] を選択します。

• インタフェースが、 RIP バージョン 2 を実行しているネットワークに接続されている場合は、必要に応じて [Text] を選択し、[Password] フィールドにパスワード ( 大 35 文字 ) を入力します。 FortiGate ユニットと RIP 更新ルータの両方に同じパスワードが設定されている必要があります。このパスワードは、ネットワーク上をクリアテキストで送信されます。

• MD5 を使用して交換を認証するには、 [MD5] を選択します。

[Passive Interface] 指定したインタフェースを介した FortiGateルーティング情報のアドバタイズを抑制する場合にオンにします。インタフェースが RIP 要求に応答するようにするには、 [Passive Interface] をオフにします。

注記 : 基本的な OSPF ルーティングオプションは、 Web ベースマネージャで設定できます。追加オプションの多くは、 CLI コマンドを使用してのみ設定できます。 OSPF 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。






ルータ - ダイナミック OSPF

OSPF 自律システム

OSPF AS は一般に、エリア境界ルータによってリンクされた論理的なエリアに分割されます。 1 つのエリアは、隣接ネットワークのグループで構成されます。エリア境界ルータは、 1 つ以上のエリアを OSPF ネットワークバックボーン ( エリア ID 0) にリンクします。 OSPF AS の特性を指定するには、 205 ページの「OSPF AS の定義」を参照してください。

FortiGate ユニットが OSPF エリアへのインタフェースを備えている場合、そのユニットは OSPF 通信に参加できます。 FortiGate ユニットは、 OSPF Hello プロトコルを使用して、エリア内の隣接機器を取得します。隣接機器とは、 FortiGateユニットと同じエリアへのインタフェースを備えた任意のルータです。初期の接続が終了した後、 FortiGate ユニットは OSPF 隣接機器との間で定期的に Hello パケットを交換して、それらの隣接機器に到達できることを確認します。

OSPF が有効なルータは、リンク状態アドバタイズメントを生成し、隣接機器の状態が変化するか、または新しい隣接機器がオンラインになると常にそのリンク状態アドバタイズメントを隣接機器に送信します。 OSPF ネットワークが安定な状態にある限り、 OSPF 隣接機器間のリンク状態アドバタイズメントは発生しません。リンク状態アドバタイズメント (LSA) は、エリア内の OSPF が有効なすべてのルータのインタフェースを識別し、 OSPF が有効なルータが宛先への短パスを選択できるようにするための情報を提供します。 OSPF が有効なルータ間のすべての LSA 交換が認証されます。

FortiGate ユニットは、 OSPF が有効なルータから受信したアドバタイズメントに基づいてリンク状態情報のデータベースを保守します。宛先への適なルート (

短パス ) を計算するために、 FortiGate ユニットは、累積されたリンク状態情報に SPF (Shortest Path First) アルゴリズムを適用します。 OSPF は、適なルートを選択するための基本的なメトリックとして相対的なコストを使用します。コストにより、 FortiGate インタフェースの送信方向に対してペナルティが課せられます。ルートのコストは、宛先へのパスに沿った送信インタフェースに関連付けられたコストをすべて加算することによって計算されます。も低い合計コストが適なルートを示します。

FortiGate ユニットは、 OSPF パケットが宛先への短パスを使用してルーティングされることを保証するために、 SPF 計算の結果に基づいてルーティングテーブルを動的に更新します。ネットワークトポロジに応じて、 FortiGate ルーティングテーブル内のエントリには次のものが含まれます。

• ローカルの OSPF エリア内にあるネットワークのアドレス ( パケットの直接の送信先 )

• OSPF エリア境界ルータへのルート ( 別のエリア宛てのパケットの送信先 )

• ネットワークに OSPF エリアと OSPF 以外のドメインが含まれている場合は、OSPF ネットワークバックボーンに存在し、パケットを OSPF AS の外部の宛先に転送するように設定された AS 境界ルータへのルート

FortiGate ユニットが OSPF を介して学習できるルートの数は、ネットワークトポロジによって異なります。 OSPF ネットワークが正しく設定されている場合、1 つの FortiGate ユニットは数万のルートをサポートできます。

OSPF AS の定義

OSPF AS の定義には、次の操作が含まれます。

• 1 つ以上の OSPF エリアの特性の定義

• 定義した OSPF エリアと、その OSPF AS に含めるローカルネットワークの間の関連付けの作成

• 必要に応じて、 OSPF が有効なインタフェースの設定の調整


206


Web ベースマネージャを使用してこれらのタスクを実行する方法の詳細については、下に示されている手順に従ってください。

OSPF AS を定義するには

1 [Router]、[Dynamic]、[OSPF] の順に選択します。

2 [Areas] の [Create New] を選択します。

3 1 つ以上の OSPF エリアの特性を定義します。 209 ページの「OSPF エリアの定義」を参照してください。

4 [Networks] の [Create New] を選択します。

5 定義した OSPF エリアと、その OSPF AS に含めるローカルネットワークの間の関連付けを作成します。 211 ページの「OSPF ネットワークの指定」を参照してください。

6 OSPF が有効なインタフェースのデフォルト設定を調整する必要がある場合は、[Interfaces] の [Create New] を選択します。

7 インタフェースの OSPF 動作パラメータを選択します。 212 ページの「OSPF インタフェースの動作パラメータの選択」を参照してください。

8 OSPF が有効な他のインタフェースに対して、必要に応じて手順 6. と 7. を繰り返します。

9 必要に応じて、 OSPF AS の OSPF 詳細設定オプションを選択します。 208 ページの「OSPF 詳細設定オプションの選択」を参照してください。


基本的な OSPF 設定の表示と編集

OSPF 設定を設定する場合は、 OSPF を有効にする AS を定義すると共に、そのAS に参加する FortiGate インタフェースを指定する必要があります。 AS の定義の一部として、 AS エリアを指定し、それらのエリアに含めるネットワークを指定します。また、 FortiGate インタフェース上の OSPF 動作に関連付けられた設定を調整することもできます。

OSPF 設定を表示および編集するには、 [Router]、[Dynamic]、[OSPF] の順に選択します。

図 108 は、 "port1" という名前のインタフェースを持つ FortiGate ユニットの基本的な OSPF 設定です。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。



図 108: 基本的な OSPF 設定

[Router ID] FortiGate ユニットを他の OSPF ルータと区別するための一意のルータ ID を入力します。慣例により、ルータ ID は、 OSPF AS 内のいずれかのFortiGate インタフェースに割り当てられた数値的にも大きい IP アドレスです。 OSPF の実行中は、ルータ ID を変更しないでください。

[Advanced Options]

OSPF の詳細設定を選択します。 208 ページの「OSPF 詳細設定オプションの選択」を参照してください。

[Areas] OSPF AS を構成しているエリアに関する情報。OSPF パケットのヘッダには、AS 内にあるパケットの発信元の識別に役立つエリア ID が含まれています。

[Create New] OSPF エリアを定義し、 [Areas] リストに新しいエリアを追加する場合に選択します。 209 ページの「OSPF エリアの定義」を参照してください。

[Area] ドット区切り 10 進数で表記された、 AS 内にあるエリアの一意の 32 ビット識別子。エリア ID 0.0.0.0 は AS のバックボーンを参照しており、変更や削除はできません。

[Type] AS 内のエリアの種類には、次のものがあります。

• エリアが通常の OSPF エリアである場合は、"Regular" が表示されます。

• エリアが NSSA である場合は、"NSSA" が表示されます。

• エリアがスタブである場合は、 "stub" が表示されます。

詳細については、 209 ページの「OSPF エリアの定義」を参照してください。

[Authentication] 各エリアにリンクされているすべての FortiGate インタフェースを介して送受信された OSPF パケットを認証するための方法。

• 認証が無効になっている場合は、"None" が表示されます。

• テキストベースのパスワード認証が有効になっている場合は、 "Text" が表示されます。

• MD5 認証が有効になっている場合は、"MD5" が表示されます。

[Interfaces] に表示されているように、エリア内の一部のインタフェースに対して別の認証設定が適用される可能性があります。たとえば、あるエリアで単純なパスワードを認証に使用している場合は、そのエリア内の 1 つ以上のネットワークに対して別のパスワードを設定できます。


208


OSPF 詳細設定オプションの選択

OSPF 詳細設定オプションを使用すると、 FortiGate ユニットが OSPF リンク状態アドバタイズメント以外の何らかの手段によって学習するルートを再配布するためのメトリックを指定できます。たとえば、 FortiGate ユニットが RIP またはBGP ネットワークに接続されている場合、または FortiGate ルーティングテーブルに静的ルートを手動で追加する場合は、これらのルートを OSPF が有効なインタフェース上でアドバタイズするように FortiGate ユニットを設定できます。

RIP 詳細設定オプションを選択するには、 [Router]、[Dynamic]、[RIP] の順に選択し、 [Advanced Options] を展開します。オプションを選択したら、 [Apply] を選択します

[Networks] OSPF AS 内のネットワークと、それぞれのエリア ID。 [Networks] リストにネットワークを追加すると、そのネットワークに含まれているすべてのFortiGate インタフェースが OSPF リンク状態アドバタイズメントでアドバタイズされます。 OSPF ネットワークアドレス空間に一致する IP アドレスを持つすべての FortiGate インタフェース上で OSPF を有効にすることができます。

[Create New] AS にネットワークを追加し、そのエリア ID を指定し、定義を [Networks] リストに追加する場合に選択します。 211ページの「OSPF ネットワークの指定」を参照してください。

[Network] OSPF を実行している AS 内のネットワークの IP アドレスとネットワークマスク。 FortiGate ユニットは、そのネットワークに接続された物理または VLAN インタフェースを備えている可能性があります。

[Area] OSPF ネットワークアドレス空間に割り当てられたエリアID。

[Interfaces] FortiGate インタフェース上の OSPF 動作を調整するために必要な任意の追加の設定。

[Create New] FortiGate インタフェースの追加または別の OSPF 動作パラメータを追加し、設定を [Interfaces] リストに追加する場合に選択します。 212 ページの「OSPF インタフェースの動作パラメータの選択」を参照してください。

[Name] OSPF インタフェース定義の名前。

[Interface] 同じエリア内の他のすべてのインタフェースに割り当てられたデフォルト値とは異なる OSPF 設定を持つ FortiGate物理または VLAN インタフェースの名前。

[IP] 追加または別の設定を持つ OSPF が有効なインタフェースの IP アドレス。

[Authentication] OSPF が有効な特定のインタフェース上で送受信されたLSA 交換を認証するための方法。これらの設定によって、そのエリアの [Authentication] 設定が置き換えられます。


OSPF エリアエントリ、ネットワークエントリ、またはインタフェース定義を削除または編集する場合に選択します。



図 109: 高度なオプション (OSPF)

OSPF エリアの定義

エリアによって、 OSPF AS の一部が論理的に定義されます。各エリアは、 10 進数ドット表記で表現された 32 ビットのエリア ID によって識別されます。エリアID 0.0.0.0 は、 OSPF ネットワークバックボーンのために予約されています。 ASの残りのエリアを、次の 3 つの方法のいずれかで分類できます。

• 通常

• スタブ

[Default Information]

OSPF AS へのデフォルト ( 外部 ) ルートを生成し、アドバタイズします。生成されるルートは、ダイナミックルーティングプロトコルを介して学習されたルート、ルーティングテーブル内のルート、またはその両方に基づいている可能性があります。

[None] デフォルトルートの生成を無効にします。

[Regular] OSPF AS へのデフォルトルートを生成し、そのルートがFortiGate ルーティングテーブルに格納される場合のみ、そのルートを隣接する自律システムにアドバタイズします。

[Always] OSPF AS へのデフォルトルートを生成し、そのルートがFortiGate ルーティングテーブルに格納されない場合であっても、そのルートを隣接する自律システムに無条件にアドバタイズします。

[Redistribute] OSPF を介して学習されなかったルートに関する OSPF リンク状態アドバタイズメントを有効または無効にします。 FortiGate ユニットは、 OSPFを使用して、直接接続されたネットワーク、静的ルート、 RIP、またはBGP から学習されたルートを再配布できます。

[Connected] 直接接続されたネットワークから学習されたルートを再配布する場合にオンにします。これらのルートのコストを指定する場合は、 [Metric] フィールドにコストを入力します。範囲は 1 ～ 16,777,214 です。

[Static] 静的ルートから学習されたルートを再配布する場合にオンにします。これらのルートのコストを指定する場合は、 [Metric] フィールドにコストを入力します。範囲は 1 ～ 16,777,214 です。

[RIP] RIP を介して学習されたルートを再配布する場合にオンにします。これらのルートのコストを指定する場合は、 [Metric] フィールドにコストを入力します。範囲は 1 ～ 16,777,214 です。

[BGP] BGP を介して学習されたルートを再配布する場合にオンにします。これらのルートのコストを指定する場合は、 [Metric] フィールドにコストを入力します。範囲は 1 ～ 16,777,214 です。

注記 : CLI を使用すると、更に多くの OSPF 詳細設定が可能です。詳細については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。



210


• NSSA

通常エリアには、そのエリアへの OSPF が有効なインタフェースを、それぞれが少なくとも 1 つは備えた複数のルータが含まれます。

OSPF バックボーンに到達するには、スタブエリア内のルータはパケットをエリア境界ルータに送信する必要があります。 OSPF 以外のドメインにつながるルートは、スタブエリア内のルータにはアドバタイズされません。エリア境界ルータは、 OSPF AS に、スタブエリアへの単一のデフォルトルート ( 宛先は 0.0.0.0) をアドバタイズします。これにより、特定のルートに該当しない OSPF パケットは全てデフォルトルートに従うことが保証されます。スタブエリアに接続されたルータはすべて、そのスタブエリアの一部と見なされます。

NSSA (Not-So-Stubby Area) では、そのエリアから出て OSPF 以外のドメインにつながるルートが OSPF AS に通知されます。ただし、そのエリア自体は、 AS の他の部分によって引き続きスタブエリアのように扱われます。

通常エリアとスタブエリア (NSSA を含む ) は、エリア境界ルータを介してOSPF バックボーンに接続されます。

OSPF エリアを定義するには、 [Router]、[Dynamic]、[OSPF] の順に選択し、[Areas] の [Create New] を選択します。 OSPF エリアの属性を編集するには、[Router]、[Dynamic]、[OSPF] の順に選択し、そのエリアに対応した行にある編集アイコンを選択します。

図 110: [New/Edit OSPF Area]

注記 : 必要に応じて、 OSPF バックボーンへの物理的な接続が失われたエリアへの仮想リンクを定義できます。仮想リンクは、エリア境界ルータとして機能する 2 つの FortiGateユニット間にのみ設定できます。詳細については、『FortiGate CLI リファレンス』のOSPF "config area" サブコマンドの下にある "config virtual-link" を参照してください。

[Area] エリアの 32 ビット識別子を入力します。この値は、 10 進数ドット表記で表現された IP アドレスと同じ形式にする必要があります。 OSPF エリアを作成した後、エリア IP の値を変更することはできません。




OSPF ネットワークの指定

OSPF エリアによって、いくつかの隣接ネットワークがグループ化されます。ネットワークアドレス空間にエリア ID を割り当てると、そのエリアの属性がネットワークに関連付けられます。

ネットワークに OSPF エリア ID を割り当てるには、 [Router]、[Dynamic]、[OSPF] の順に選択し、 [Networks] の [Create New] を選択します。ネットワークに割り当てられた OSPF エリア ID を変更するには、 [Router]、[Dynamic]、[OSPF] の順に選択し、そのネットワークに対応した行にある編集アイコンを選択します。

図 111: [New/Edit OSPF Network]

[Type] そのエリアに割り当てられるネットワークの特性を分類するためのエリアの種類を選択します。

• エリアに、そのエリアへの OSPF が有効なインタフェースをそれぞれが少なくとも 1 つは備えた複数のルータを含める場合は、[Regular] を選択します。

• 外部の OSPF 以外のドメインへのルートを OSPF AS に通知するが、そのエリアは AS の他の部分によってスタブエリアのように扱われるようにする場合は、 [NSSA] を選択します。

• エリア内のルータがバックボーンに到達するにはパケットをエリア境界ルータに送信する必要があり、 OSPF 以外のドメインへのルートがエリア内のルータにアドバタイズされないようにする場合は、[STUB] を選択します。

[Authentication] エリア内のすべてのインタフェースを介して送受信された OSPF パケットを認証するための方法を選択します。

• 認証を無効にするには、 [None] を選択します。

• プレーンテキストのパスワードを使用して LSA 交換を認証するためにテキストベースのパスワード認証を有効にするには、 [Text] を選択します。このパスワードは、ネットワーク上をクリアテキストで送信されます。

• MD5 ハッシュを使用した MD5 認証を有効にするには、 [MD5] を選択します。

必要に応じて、そのエリア内の 1 つ以上のインタフェースに対してこの設定を置き換えることができます (212 ページの「OSPF インタフェースの動作パラメータの選択」を参照 )。

注記 : エリアにネットワークを割り当てるには、 211 ページの「OSPF ネットワークの指定」を参照してください。

[IP/Netmask] OSPF エリアに割り当てるローカルネットワークの IP アドレスとネットワークマスクを入力します。

[Area] ネットワークのエリア ID を選択します。このエリアの属性は、指定したネットワークの特性およびトポロジに一致している必要があります。エリア ID を選択する前に、エリアを定義する必要があります。 209 ページの「OSPF エリアの定義」を参照してください。


212


OSPF インタフェースの動作パラメータの選択

OSPF インタフェース定義には、 FortiGate の OSPF が有効なインタフェースの特定の動作パラメータが含まれています。この定義には、インタフェースの名前 (たとえば、 external または VLAN_1)、インタフェースに割り当てられた IP アドレス、インタフェースを介して LSA 交換を認証するための方法、および OSPF のHello パケットや停止間隔パケットを送受信するためのタイマ設定が含まれます。

OSPF が有効なネットワークエリアに一致する IP アドレスを持つすべてのFortiGate インタフェース上で OSPF を有効にすることができます。たとえば、0.0.0.0 のエリアを定義すると、 OSPF ネットワークは 10.0.0.0/16 として定義されます。次に、 vlan1 を 10.0.1.1/24 として、 vlan2 を 10.0.2.1/24 として、 vlan3 を10.0.3.1/24 として定義します。この 3 つの VLAN がすべて、エリア 0.0.0.0 でOSPF を実行します。すべてのインタフェースを有効にするには、特定の IP アドレスに一致するエリアを持つ OSPF ネットワーク 0.0.0.0/0 を作成します。

インタフェースに複数の IP アドレスが割り当てられている場合は、同じFortiGate インタフェースに対して異なる OSPF パラメータを設定できます。たとえば、異なるサブネットを介して、 2 つの隣接機器に同じ FortiGate インタフェースを接続できます。ある隣接機器の設定との互換性のために、 Hello および停止間隔パラメータの 1 つのセットを含む OSPF インタフェース定義を設定すると同時に、 2 つ目の隣接機器の設定との互換性を保証するために、同じインタフェースの 2 つ目の OSPF インタフェース定義を設定できます。

FortiGate インタフェースの OSPF 動作パラメータを選択するには、 [Router]、[Dynamic]、[OSPF] の順に選択し、 [Interfaces] の [Create New] を選択します。OSPF が有効なインタフェースの動作パラメータを編集するには、 [Router]、[Dynamic]、[OSPF] の順に選択し、 OSPF が有効なインタフェースに対応した行にある編集アイコンを選択します。

図 112 は、 "port1" という名前のインタフェースを持つ FortiGate ユニットの [New/Edit OSPF Interface] ダイアログボックスです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 112: [New/Edit OSPF Interface]

[Name] OSPF インタフェース定義を識別する名前を入力します。たとえば、そのインタフェースのリンク先の OSPF エリアを示す名前にすることができます。

[Interface] この OSPF インタフェース定義に関連付ける FortiGate インタフェースの名前 ( たとえば、 port1、 external、 VLAN_1) を選択します。 FortiGateユニットは、 OSPF が有効なネットワークに接続された物理、 VLAN、仮想 IPSec、または GRE インタフェースを備えている可能性があります。

追加


ルータ - ダイナミック BGP

BGP

BGP (Border Gateway Protocol) は、異なる ISP ネットワーク間でルーティング情報を交換するために ISP によって一般に使用されるインターネットルーティングプロトコルです。たとえば、 BGP を使用すると、 ISP ネットワークと、 RIP やOSPF を使用して自律システム (AS) 内でパケットをルーティングしている AS の間でネットワークパスを共有できます。 FortiGate での BGP の実装は BGP-4 をサポートしており、 RFC 1771 に準拠しています。

BGP の動作

BGP が有効になっている場合、 FortiGate ユニットは、 FortiGate ルーティングテーブルのどの部分が変更されても常に、ルーティングテーブルの更新を隣接する自律システムに送信します。各 AS (FortiGate ユニットがメンバになっているローカル AS を含む ) は、 AS 番号に関連付けられます。この AS 番号は、特定の宛先ネットワークを参照します。

[IP] OSPF が有効なインタフェースに割り当てられている IP アドレスを入力します。このインタフェースは、 IP アドレスが OSPF ネットワークアドレス空間に一致するため、 OSPF が有効なインタフェースになります。たとえば、 172.20.120.0/24 の OSPF ネットワークを定義しており、 port1に IP アドレス 172.20.120.140 が割り当てられている場合は、「172.20.120.140」を入力します。

[Authentication] 指定したインタフェースでの LSA 交換のための認証方法を選択します。• 認証を無効にするには、 [None] を選択します。

• プレーンテキストのパスワードを使用して LSA 交換を認証するには、[Text] を選択します。このパスワードは大 35 文字であり、ネットワーク上をクリアテキストで送信されます。

• 1 つ以上のキーを使用して MD5 ハッシュを生成するには、[MD5] を選択します。

この設定によって、そのエリアの [Authentication] 設定が置き換えられます。

[Password] プレーンテキストのパスワードを入力します。大 15 文字の英数字の値を入力します。この FortiGate インタフェースにリンク状態アドバタイズメントを送信する OSPF 隣接機器にも、同じパスワードが設定されている必要があります。このフィールドは、プレーンテキスト認証を選択した場合にのみ使用できます。

[MD5 Keys] [ID] フィールドに ( 初の ) パスワードのキー識別子 ( 範囲は 1 ～ 255) を入力した後、 [Key] フィールドにそれに関連付けられたパスワードを入力します。このパスワードは、大 16 文字の英数字文字列です。この FortiGate インタフェースにリンク状態アドバタイズメントを送信する OSPF 隣接機器にも、同じ MD5 キーが設定されている必要があります。 OSPF 隣接機器が MD5 ハッシュの生成に複数のパスワードを使用している場合は、 [Add] アイコンを選択してリストに MD5 キーを追加します。このフィールドは、 MD5 認証を選択した場合にのみ使用できます。

[Hello Interval] 必要に応じて、すべての OSPF 隣接機器上の [Hello Interval] 設定と互換性があるように [Hello Interval] を設定します。この設定によって、 FortiGate ユニットがインタフェースを介して Helloパケットを送信する間に待つ期間 ( 秒単位 ) が定義されます。

[Dead Interval] 必要に応じて、すべての OSPF 隣接機器上の [Dead Interval] 設定と互換性があるように [Dead Interval] を設定します。この設定によって、 FortiGate ユニットがインタフェースを介して OSPF隣接機器から Hello パケットを受信するまでに待つ期間 ( 秒単位 ) が定義されます。指定された時間内に FortiGate ユニットが Hello パケットを受信しない場合、 FortiGate ユニットは、この隣接機器をアクセス不可として宣言します。慣例により、[Dead Interval] の値は一般に [Hello Interval] の値の 4 倍です。


214

BGP ルータ - ダイナミック

BGP 更新によって、適なパスが宛先ネットワークにアドバタイズされます。FortiGate ユニットが BGP 更新を受信すると、 FortiGate ユニットは、可能性のあるルートの MED (Multi-Exit Discriminator) 属性を検証して宛先ネットワークへの適なパスを決定した後、そのパスを FortiGate ルーティングテーブルに記録します。

BGP には、グレースフルリスタートの機能があります。この機能により、ルータのコントロールプレーンに障害が発生しても転送を継続できるため、ソフトウェアの問題の影響が軽減されます。また、ネットワークの安定化によって、ルーティングフラップも削減されます。

BGP 設定の表示と編集

BGP 設定を設定する場合は、 FortiGate ユニットをメンバとして含む AS を指定すると共に、 FortiGate ユニットを他の BGP ルータと区別するためのルータ ID を入力します。また、 FortiGate ユニットの BGP 隣接機器を識別し、それらの BGP隣接機器に FortiGate ユニットのどのローカルネットワークをアドバタイズするかを指定することも必要です。

BGP 設定を表示および編集するには、 [Router]、[Dynamic]、[BGP] の順に選択します。 Web ベースマネージャによって、基本的な BGP オプションを設定するための簡略化されたユーザインタフェースが提供されます。 CLI を使用すると、多

くの BGP 詳細設定オプションを設定できます。詳細については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

図 113: 基本的な BGP オプション

注記 : グレースフルリスタートやその他の詳細設定は、 Web ベースマネージャでは設定できず、 CLI コマンドを使用してのみ設定できます。 BGP 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

[Local AS] FortiGateユニットがメンバになっているローカルASの番号を入力します。

[Router ID] FortiGate ユニットを他の BGP ルータと区別するための一意のルータ IDを入力します。ルータ ID は、ドット区切り 10 進数の形式で記述されたIP アドレスです。BGP の実行中にルータ ID を変更すると、 BGP ピアへのすべての接続が一時的に停止し、接続が再確立されるまで復旧しません。

[Neighbors] 隣接する自律システム内にある BGP ピアの IP アドレスと AS 番号。

[IP] BGP が有効なネットワークへの隣接機器インタフェースのIP アドレスを入力します。

[Remote AS]

この隣接機器が属している AS の番号を入力します。

[Add/Edit] [Neighbors] リストに隣接機器情報を追加するか、またはリスト内のエントリを編集する場合に選択します。





ルータ - ダイナミックマルチキャスト

マルチキャスト

FortiGate ユニットは、ルートバーチャルドメイン内で PIM (Protocol Independent Multicast) バージョン 2 ルータとして動作できます。 FortiGate ユニットは、 PIM スパースモード (RFC 2362) および PIM デンスモード (RFC 3973) をサポートしており、 FortiGate インタフェースが接続されているネットワークセグメント上のマルチキャストサーバまたはレシーバにサービスを提供できます。

マルチキャストサーバアプリケーションは、マルチキャストアドレス ( クラスD) を使用して、パケットの 1 つのコピーをレシーバのグループに送信します。ネットワーク全体にわたる PIM ルータによって、パケットがエンドポイント宛先に到達するまで、ネットワークを介してそのパケットの 1 つのコピーのみが転送されることが保証されます。エンドポイント宛先では、そのマルチキャストアドレスに宛てられたトラフィックを要求するマルチキャストクライアントアプリケーションに情報を配信するために必要な場合にのみ、このパケットの複数のコピーが作成されます。

PIM ドメインは、いくつかの隣接ネットワークで構成された論理的なエリアです。このドメインには、少なくとも 1 つのブートストラップルータ (BSR) が含まれます。スパースモードが有効になっている場合は、いくつかのランデブーポイント (RP) および指定ルータ (DR) も含まれます。 FortiGate ユニット上で PIMが有効になっている場合、 FortiGate ユニットは、これらの任意の機能を設定に従っていつでも実行できます。スパースモード動作に必要な場合は、静的 RPを定義できます。

[Neighbor] BGP ピアの IP アドレス。

[Remote AS] この BGP ピアに関連付けられ自律システムの番号。

[Networks] BGP ピアにアドバタイズするネットワークの IP アドレスとネットワークマスク。 FortiGate ユニットは、それらのネットワークに接続された物理または VLAN インタフェースを備えている可能性があります。

[IP/Netmask] アドバタイズされるネットワークの IP アドレスとネットマスクを入力します。

[Add] [Networks] リストにネットワーク情報を追加する場合に選択します。

[Network] BGP ピアにアドバタイズされる主要なネットワークの IP アドレスとネットワークマスク。

削除アイコン BGP 隣接機器エントリまたは BGP ネットワーク定義を削除する場合に選択します。

注記 : PIM 通信をサポートするには、送信 / 受信アプリケーションと、その間を接続しているすべての PIM ルータで PIM バージョン 2 が有効になっている必要があります。 PIMは、静的ルート、 RIP、 OSPF、または BGP を使用して、マルチキャストパケットを宛先に転送できます。発信元から宛先へのパケット配信を有効にするには、すべての PIMルータインタフェース上で、スパースモードまたはデンスモードのどちらかが有効になっている必要があります。スパースモードのルータは、デンスモードのルータにマルチキャストメッセージを送信できません。さらに、 FortiGate ユニットが発信元と PIMルータの間、または 2 つの PIM ルータの間に配置されているか、レシーバに直接接続されている場合は、カプセル化された ( マルチキャスト ) パケットまたはカプセル化解除されたデータ (IP トラフィック ) が発信元と宛先の間を通過できるように、ファイアウォールポリシーを手動で作成する必要があります。


216

マルチキャストルータ - ダイナミック

マルチキャスト設定の表示と編集

マルチキャスト (PIM) ルーティングが有効になっている場合は、任意の FortiGateインタフェース上でスパースモードまたはデンスモード動作を設定できます。

PIM 設定を表示および編集するには、 [Router]、[Dynamic]、[Multicast] の順に選択します。 Web ベースマネージャによって、基本的な PIM オプションを設定するための簡略化されたユーザインタフェースが提供されます。 PIM 詳細設定オプションは、 CLI を使用して設定できます。詳細については、『FortiGate CLI リファレンス』の章「ルータ」を参照してください。

図 114: 基本的なマルチキャストオプション

注記 : 基本的なオプションは、 Web ベースマネージャで設定できます。追加オプションの多くは、 CLI コマンドを使用してのみ設定できます。 PIM 設定を設定するための CLI コマンドの詳細な説明と使用方法の例については、『FortiGate CLI リファレンス』の章「ルータ」にある「マルチキャスト」を参照してください。

[Enable Multicast Routing]

PIM バージョン 2 のルーティングを有効にする場合にオンにします。カプセル化されたパケットやカプセル化解除されたデータが発信元と宛先の間を通過できるようにするには、 PIM が有効なインタフェース上でファイアウォールポリシーを作成する必要があります。

[ スタティック RP の追加 ] ボタン

スパースモード動作に必要な場合は、マルチキャストグループのためのパケット配布ツリーのルートとして使用できるランデブーポイント (RP) の IP アドレスを入力します。マルチキャストグループからの結合メッセージや、発信元からのデータが RP に送信されます。指定された IPのマルチキャストグループのRPがすでにブートストラップルータ (BSR) に通知されている場合は、BSR に通知されている RP が使用され、指定した静的 RP アドレスは無視されます。

[Apply] 指定した静的 RP アドレスを保存する場合に選択します。

[Create New] インタフェースの新しいマルチキャストエントリを作成する場合に選択します。これにより、特定の FortiGate インタフェース上の PIM 動作を微調整したり、特定のインタフェース上でグローバルな PIM 設定を置き換えたりすることができます。 217 ページの「インタフェース上のマルチキャスト設定の置き換え」を参照してください。

[Interface] 特定の PIM 設定を持つ FortiGate インタフェースの名前。

[Mode] そのインタフェース上の PIM 動作のモード ([Sparse] または [Dense])。

スタティック

編集削除

RP の追加





ルータ - ダイナミックマルチキャスト

インタフェース上のマルチキャスト設定の置き換え

マルチキャスト (PIM) インタフェースオプションを使用すると、 PIM ドメインに接続された FortiGate インタフェースの動作パラメータを設定できます。たとえば、 PIM が有効なネットワークセグメントに接続されたインタフェース上でデンスモードを有効にすることができます。スパースモードが有効になっている場合は、インタフェース上のランデブーポイント (RP) または指定ルータ (DR) 候補のアドバタイズに使用されるプライオリティ番号を調整できます。

図 115: マルチキャストインタフェースの設定

[Status] インタフェース上のスパースモード RP 候補の状態。インタフェース上の RP 候補を有効または無効にするには、そのインタフェースに対応した行にある編集アイコンを選択します。

[Priority] そのインタフェース上の RP 候補に割り当てられたプライオリティ番号。 RP 候補が有効になっている場合にのみ使用できます。

[DR Priority] インタフェース上の指定ルータ (DR) 候補に割り当てられたプライオリティ番号。スパースモードが有効になっている場合にのみ使用できます。


インタフェース上の PIM 設定を削除または編集する場合に選択します。

[Interface] これらの設定を適用するルート VDOM FortiGate インタフェースの名前を選択します。このインタフェースは、PIM バージョン 2 が有効なネットワークセグメントに接続されている必要があります。

[PIM Mode] 動作のモードを [Sparse Mode] または [Dense Mode] から選択します。同じネットワークセグメントに接続されたすべての PIMルータが同じ動作モードを実行している必要があります。[Sparse Mode] を選択した場合は、残りのオプションを以下の説明に従って調整します。

[DR Priority] FortiGate インタフェース上の DR 候補をアドバタイズするためのプライオリティ番号を入力します。範囲は 1 ～ 4,294,967,295 です。この値は、同じネットワークセグメント上の他のすべての PIMルータの DR インタフェースと比較され、 DR プライオリティの

も高いルータが DR として選択されます。

[RP Candidate] インタフェース上の RP 候補を有効または無効にする場合に選択します。

[RP Candidate Priority] FortiGate インタフェース上の RP 候補をアドバタイズするためのプライオリティ番号を入力します。範囲は 1 ～ 255 です。


218

マルチキャストルータ - ダイナミック


ルータ - モニタルーティング情報の表示

F0

ルータ - モニタこの項では、 [Routing Monitor] リストの読み取り方について説明します。このリストには、 FortiGate ルーティングテーブル内のエントリが表示されます。


• ルーティング情報の表示

• FortiGate ルーティングテーブルの検索

ルーティング情報の表示

デフォルトでは、すべてのルートが [Routing Monitor] リストに表示されます。デフォルトのスタティックルートは、 " 任意の / すべての " パケットの宛先 IP アドレスに一致する、 0.0.0.0/0 として定義されます。

ルーティングテーブル内のルートを表示するには、 [Router]、[Monitor] の順に選択します。

図 116 は、 "port1"、 "port4" および "lan" という名前のインタフェースを持つFortiGate ユニットの [Routing Monitor] リストです。 FortiGate ユニット上の実際のインタフェースの名前はこれとは異なる場合があります。

図 116: [Routing Monitor] リスト


220

ルーティング情報の表示ルータ - モニタ

[Type] 以下のいずれかのルートタイプを選択すると、ルーティングテーブルが検索され、選択したタイプのルートのみが表示されます。

• [All] は、ルーティングテーブル内に記録されているすべてのルートを表示します。

• [Connected] は、FortiGate インタフェースへの直接接続に関連付けられたすべてのルートを表示します。

• [Static] は、ルーティングテーブルに手動で追加されたスタティックルートを表示します。

• [RIP] は、 RIP を介して学習されたすべてのルートを表示します。

• [OSPF] は、 OSPF を介して学習されたすべてのルートを表示します。

• [BGP] は、 BGP を介して学習されたすべてのルートを表示します。

• [HA] は、高可用性 (HA) クラスタのプライマリユニットと下位ユニットの間で同期化された RIP、 OSPF、および BGP ルートを表示します。 HAルートは、下位ユニット上に保持され、仮想クラスタ内の下位のバーチャルドメインとして設定されたバーチャルドメインからルータモニタを表示している場合にのみ表示されます。 HA ルーティングの同期の詳細については、『FortiGate 高可用性ユーザガイド』を参照してください。

[Network] ルーティングテーブルを検索し、指定したネットワークに一致するルートを表示するための IP アドレスとネットマスク ( たとえば、172.16.14.0/24) を入力します。

[Gateway] ルーティングテーブルを検索し、指定したゲートウェイに一致するルートを表示するための IP アドレスとネットマスク ( たとえば、192.168.12.1/32) を入力します。

[Apply Filter]

指定した検索条件に基づいてルーティングテーブル内のエントリを検索し、一致したルートをすべて表示する場合に選択します。

[Type] FortiGate のルートに割り当てられたタイプの値 ([Static]、 [Connected]、[RIP]、 [OSPF]、または [BGP])。

[Subtype] 該当する場合は、 OSPF ルートに割り当てられたサブタイプの分類。

• 空の文字列は、エリア内のルートであることを示しています。宛先は、FortiGate ユニットが接続されているエリア内にあります。

• [OSPF inter area] は、宛先は OSPF AS 内にあるが、FortiGate ユニットがそのエリアに接続されていないことを示しています。

• [External 1] は、宛先が OSPF AS の外部にあることを示しています。再配布されたルートのメトリックは、外部のコストと OSPF のコストを加算することによって計算されます。

• [External 2] は、宛先が OSPF AS の外部にあることを示しています。この場合、再配布されたルートのメトリックは外部のコストのみと等価であり、 OSPF のコストとして表現されます。

• [OSPF NSSA 1] は [External 1] と同じ意味を持っていますが、ルートは NSSA を介して受信されています。

• [OSPF NSSA 2] は [External 2] と同じ意味を持っていますが、ルートは NSSA を介して受信されています。

[Network] FortiGate ユニットが到達できる宛先ネットワークの IP アドレスとネットワークマスク。

[Distance] このルートに関連付けられたディスタンス。 0 の値は、同じ宛先への他のルートよりこのルートが優先されることを示しています。スタティックルートに割り当てられたディスタンスを変更するには、 194ページの「ルーティングテーブルへのスタティックルートの追加」を参照してください。ダイナミックルートについては、『FortiGate CLI リファレンス』を参照してください。





ルータ - モニタ FortiGate ルーティングテーブルの検索

FortiGate ルーティングテーブルの検索

フィルタを適用することで、ルーティングテーブルを検索して特定のルートのみを表示できます。たとえば、スタティックルート、接続されたルート、RIP/OSPF/BGP を介して学習されたルート、指定したネットワークまたはゲートウェイに関連付けられたルートなどを表示できます。

ルートタイプによってルーティングテーブルを検索し、その表示をさらにネットワークまたはゲートウェイに従って制限する場合、そのエントリが表示されるようにするには、検索条件として指定するすべての値が、同じルーティングテーブルエントリ内の対応する値に一致している必要があります ( 指定するすべての検索パラメータに暗黙の AND 条件が適用されます )。

たとえば、 FortiGate ユニットがネットワーク 172.16.14.0/24 に接続されているときに、ネットワーク 172.16.14.0/24 に直接接続されたすべてのルートを表示する場合は、 [Type] リストから [Connected] を選択し、 [Network] フィールドに「172.16.14.0/24」を入力した後 [Apply Filter] を選択して、関連付けられた (1つまたは複数の ) ルーティングテーブルエントリを表示する必要があります。[Type] フィールドに "Connected" という単語が含まれ、かつ [Gateway] フィールドに指定した値が含まれたすべてのエントリが表示されます。

FortiGate ルーティングテーブルを検索するには

1 [Router]、[Monitor]、[Routing Monitor] の順に選択します。

2 [Type] リストから、表示するルートのタイプを選択します。たとえば、接続されたすべてのルートを表示するには [Connected] を、 RIP を介して学習されたすべてのルートを表示するには [RIP] を選択します。

3 特定のネットワークへのルートを表示する場合は、 [Network] フィールドにそのネットワークの IP アドレスとネットマスクを入力します。

4 特定のゲートウェイへのルートを表示する場合は、 [Gateway] フィールドにそのゲートウェイの IP アドレスを入力します。

5 [Apply Filter] を選択します。

[Metric] ルートタイプに関連付けられたメトリック。ルートのメトリックは、FortiGate ユニットがそのルートをルーティングテーブルに動的に追加するときの方法に影響します。

• RIP を介して学習されたルートには、ホップカウントが使用されます。

• OSPF を介して学習されたルートには、相対的なコストが使用されます。

• BGP を介して学習されたルートには、このメトリックの MED (Multi-Exit Discriminator) が使用されます。ただし、宛先ネットワークへの適なパスを決定するための属性は MED 以外にもいくつかあります。

[Gateway] 宛先ネットワークへのゲートウェイの IP アドレス。

[Interface] パケットが宛先ネットワークのゲートウェイに転送されるときに使用されるインタフェース。

[Up Time] RIP、 OSPF、または BGP を介して学習されたルートが到達可能になるまでに要した合計の累積時間。

注記 : 検索条件として指定するすべての値が、同じルーティングテーブルエントリ内の対応する値に一致している必要があります。


222

FortiGate ルーティングテーブルの検索ルータ - モニタ


ファイアウォール - ポリシーファイアウォールポリシーについて

F0

ファイアウォール - ポリシーファイアウォールポリシーは、 FortiGate ユニットを通過するすべてのトラフィックを制御します。ファイアウォールポリシーを追加することで、FortiGate インタフェース、ゾーン、および VLAN サブインタフェース間の接続とトラフィックを制御できます。


• ファイアウォールポリシーについて

• ファイアウォールポリシーリストの表示

• ファイアウォールポリシーの設定

• ファイアウォールポリシーの例

ファイアウォールポリシーについて

ファイアウォールポリシーは、 FortiGate ユニットが接続要求をどう処理するのかを判断するために用いる手順です。ファイアウォールは、接続要求をパケットの形式で受信すると、そのパケットを解析して発信元アドレス、宛先アドレス、およびサービス ( ポート番号による ) を抽出します。

パケットが FortiGate ユニットを介して接続されるには、そのパケットの発信元アドレス、宛先アドレス、およびサービスがファイアウォールポリシーに一致している必要があります。ポリシーによって、パケットに対するファイアウォールアクションが指示されます。アクションの種類には、接続を許可する、接続を拒否する、接続を許可する前に認証を必要とする、パケットを IPSec VPN パケットとして処理する、などがあります。

各ポリシーを設定することにより、接続をルーティングしたり、ネットワークアドレス変換 (NAT) を適用して発信元と宛先の IP アドレスやポートを変換したりすることができます。ファイアウォールでの発信元アドレスの変換時にダイナミック NAT を使用するには、 IP プールを追加します。ポリシーを使用して、FortiGate ユニットを介したポートアドレス変換 (PAT) を設定します。

ファイアウォールポリシーで制御されるトラフィックに対して異なる保護設定を適用するには、ファイアウォールポリシーにプロテクションプロファイルを追加します。プロテクションプロファイルの詳細については、 287 ページの「ファイアウォール - プロテクションプロファイル」を参照してください。

ファイアウォールポリシーのトラフィックロギングを有効にすると、このポリシーを使用するすべての接続が FortiGate ユニットでログに記録されます。

ファイアウォールでのポリシー照合は、ポリシーリストの一番上から検索を開始し、初の一致が見つかるまでリスト内を下に移動することによって行われます。ポリシーは、ポリシーリスト内に、より具体的なポリシーからより一般的なポリシーへの順序で配置します。たとえば、デフォルトポリシーはすべての接続試行に一致するため、非常に一般的なポリシーです。そのポリシーに対する例外は、ポリシーリスト内のデフォルトポリシーの上に追加されます。デフォルトポリシーの下にあるポリシーが照合されることはありません。


224

ファイアウォールポリシーリストの表示ファイアウォール - ポリシー

ファイアウォールポリシーを作成または編集する場合は、ポリシーオプションを設定できます。選択されたアクションの種類に応じて、異なる一連のオプションが提供されます。

ポリシー照合の動作

FortiGate ユニットがインタフェース上で接続試行を受信すると、その接続試行に一致するポリシーを検索するためのポリシーリストが選択されます。FortiGate ユニットは、接続試行の発信元および宛先アドレスに基づいてポリシーリストを選択します。

FortiGate ユニットは次に、選択したポリシーリストの一番上から開始して、その接続試行の発信元および宛先アドレス、サービスポート、および接続試行が受信された時刻と日付に一致する初のポリシーが見つかるまでリストを下に検索します。一致した初のポリシーが、その接続試行に適用されます。一致するポリシーが存在しない場合、その接続は削除されます。一般的なルールとして、ファイアウォールポリシーは常に、も具体的なポリシーからも一般的なポリシーへの順序に配置します。

一般的なポリシーは、複数の発信元および宛先アドレス、またはアドレス範囲からの接続を受け付けることのできるポリシーです。一般的なポリシーはまた、複数のサービスポートからの接続を受け付けたり、スケジュールを設定したりすることもできます。つまり、広範囲の時刻と日付にわたってポリシーを照合できます。一般的なポリシーに対する例外であるポリシーを追加する場合は、これらの特定の例外ポリシーを、ポリシーリスト内の一般的なポリシーの上に追加する必要があります。

たとえば、内部ネットワーク上のすべてのユーザの、インターネット上のすべてのサービスへのアクセスを許可する一般的なポリシーを設定できます。インターネット上の FTP サーバへのアクセスをブロックする場合は、 FTP 接続を拒否するポリシーを、一般的なポリシーの上に追加する必要があります。この拒否ポリシーによって FTP 接続がブロックされますが、その他のすべての種類のサービスへの接続試行は FTP ポリシーに一致せず、一般的なポリシーに一致します。そのため、ファイアウォールは引き続き、 FTP 接続以外の、内部ネットワークからインターネットへのすべての接続を受け付けます。

ポリシー照合に関しては、次の点にも注意してください。

• 認証を必要とするポリシーは、ポリシーリスト内の、認証を必要としない一致するポリシーの上に追加する必要があります。そうしないと、認証を必要としないポリシーが初に選択されます。

• IPSec VPN トンネルモードポリシーは、ポリシーリスト内の、一致する許可または拒否ポリシーの上に追加する必要があります。

• SSL VPN ポリシーは、ポリシーリスト内の、一致する許可または拒否ポリシーの上に追加する必要があります。

ファイアウォールポリシーリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、ファイアウォールポリシーはバーチャルドメインごとに別々に設定されます。ポリシーにアクセスするには、メインメニューからバーチャルドメインを選択します。

ポリシーリスト内のポリシーに対して追加、削除、編集、および並べ替えを行うことができます。

ポリシーリストを表示するには、 [Firewall]、[Policy] の順に選択します。


ファイアウォール - ポリシーファイアウォールポリシーリストの表示

図 117: サンプルのポリシーリスト

ポリシーリストには、デフォルトで次の情報が表示されます。

ファイアウォールポリシーの追加

ファイアウォールポリシーリストにファイアウォールポリシーを追加するには、次の手順を使用します。


[Create New] ファイアウォールポリシーを追加する場合に選択します。225 ページの「ファイアウォールポリシーの追加」を参照してください。ファイアウォールポリシーまたはファイアウォールポリシーセクションのどちらを追加するかを選択するには、 [Create New] の横にある下矢印を選択します。ファイアウォールポリシーセクションは、ファイアウォールポリシーをグループ化するための方法です。

[Column Settings] テーブルの表示をカスタマイズする場合に選択します。表示する列を選択し、テーブル内の列の表示順序を指定することができます。

フィルタアイコン列フィルタを編集する場合に選択します。列フィルタを使用すると、指定した条件に従ってポリシーリストをフィルタ処理したり、並べ替えたりすることができます。

ID ポリシー識別子。ポリシーには、ポリシーリストに追加された順序で番号が付けられます。

[Source] このポリシーを適用する発信元アドレスまたはアドレスグループ。 247 ページの「ファイアウォール - アドレス」を参照してください。また、ポリシーリストからアドレス情報を編集することもできます。アドレスをクリックすると、[Edit Address] ダイアログボックスが開きます。

[Destination] このポリシーを適用する宛先アドレスまたはアドレスグループ。 247 ページの「ファイアウォール - アドレス」を参照してください。また、ポリシーリストからアドレス情報を編集することもできます。アドレスをクリックすると、[Edit Address] ダイアログボックスが開きます。

[Schedule] このポリシーがアクティブになる時期を制御するためのスケジュール。 261 ページの「ファイアウォール - スケジュール」を参照してください。

[Service] このポリシーを適用するサービス。 253 ページの「ファイアウォール - サービス」を参照してください。

[Profile] このポリシーに関連付けられたプロテクションプロファイル。

[Action] このポリシーが接続試行に一致したときに実行する応答。

削除アイコンリストからこのポリシーを削除する場合に選択します。

編集アイコンこのポリシーを編集のために開く場合に選択します。

[Insert Policy Before] アイコン

対応するポリシーの上に新しいポリシーを追加する場合に選択します ([New Policy] 画面が表示されます )。

移動アイコン対応するポリシーを、リスト内の別のポリシーの前または後に移動する場合に選択します。 226 ページの「ポリシーリスト内の別の位置へのポリシーの移動」を参照してください。

削除編集

移動[Insert Policy Before]フィルタ


226

ファイアウォールポリシーの設定ファイアウォール - ポリシー

2 [Create New] を選択するか、またはリスト内のポリシーの横にある [Insert Policy Before] アイコンを選択して、そのポリシーの上に新しいポリシーを追加します。

3 発信元および宛先インタフェースを選択します。

4 発信元および宛先アドレスを選択します。

5 ポリシーを設定します。

ポリシーの設定については、 226 ページの「ファイアウォールポリシーの設定」を参照してください。


7 予期した結果が得られるように、ポリシーリスト内にポリシーを配置します。

ポリシーリスト内でのポリシーの配置については、 224 ページの「ポリシー照合の動作」および「ポリシーリスト内の別の位置へのポリシーの移動」を参照してください。

ポリシーリスト内の別の位置へのポリシーの移動

リスト内でポリシーを移動して、そのポリシーの評価方法に影響を与えることができます。同じインタフェースペアに対して複数のポリシーが定義されている場合は、リスト内で先頭にあるポリシーが初に評価されます。

ファイアウォール暗号化ポリシーを予期したとおりに有効にするには、それらの順序が重要になります。ファイアウォール暗号化ポリシーは、通常のファイアウォールポリシーの前に評価する必要があります。

リスト内でポリシーを移動しても、そのポリシーの ID 番号は変更されません。

図 118: ポリシーの移動


2 移動するポリシーの横の同じ行内にある [Move To] アイコンを選択します。

3 ポリシーの位置を指定します。


ファイアウォールポリシーの設定

ファイアウォールポリシーを使用して、通信セッションに適用するファイアウォールポリシーの選択方法、および FortiGate ユニットでのその通信セッション内のパケットの処理方法を定義します。

ファイアウォールポリシーを追加または編集するには、 [Firewall]、[Policy] の順に選択します。


ファイアウォール - ポリシーファイアウォールポリシーの設定

通信セッションを受け付けるための ACCEPT ポリシーを追加できます。 ACCEPTポリシーを使用すると、ポリシーで受け付けられる通信セッションに対して、ウイルススキャンや認証などの FortiGate の機能を適用できます。 ACCEPT ポリシーでは、発信元または宛先のどちらかが IPSec 仮想インタフェースである場合、インタフェースモードの IPSec VPN トラフィックを有効にすることができます。詳細については、 303 ページの「IPSec インタフェースモードの概要」を参照してください。

通信セッションを拒否するための DENY ポリシーを追加できます。

また、IPSec トンネルモードの VPN トラフィックを有効にするための IPSec 暗号化ポリシーや、 SSL VPN トラフィックを有効にするための SSL VPN 暗号化ポリシーを追加することもできます。ファイアウォール暗号化ポリシーは、 IPSec または SSL VPN セッション中に許可される IP トラフィックの種類を決定します。ファイアウォール暗号化ポリシーによって許可された場合、指定した種類の IP パケットがローカルプライベートネットワークへの FortiGate インタフェースに到着した場合は常に、トンネルを自動的に開始できます。詳細については、238 ページの「IPSec のファイアウォールポリシーオプション」または 239 ページの「SSL-VPN のファイアウォールポリシーオプション」を参照してください。

図 119: ポリシーオプション - NAT/ ルートモードの ACCEPT ポリシー


228


図 120: ポリシーオプション - トランスペアレントモードの ACCEPT ポリシー

図 121: ポリシーオプション - DENY ポリシー



図 122: ポリシーオプション - FortiClient の確認

発信元および宛先の [Interface/Zone] は、ファイアウォールポリシーと通信セッションの発信元および宛先を照合します。 [Address Name] は、通信セッションの発信元および宛先アドレスを照合します。

[Schedule] は、ファイアウォールポリシーが有効になる時期を定義します。

[Service] は、ファイアウォールポリシーと、通信セッションで使用されているサービスを照合します。

[Action] は、 FortiGate ユニットでのトラフィックの処理方法を定義します。トラフィックを許可または拒否するアクションを指定するか、またはファイアウォール暗号化ポリシーを設定します。

残りのファイアウォールポリシーオプション ([NAT]、 [Protection Profile]、 [Log Allowed Traffic]、 [Log Violation Traffic]、 [Authentication]、および [Traffic Shaping]) は、追加機能を設定する場合に使用できます。 [Log Violation Traffic] は、トラフィックを拒否するためのポリシーに適用できます。 CLI コマンドを使用して、Differentiated Services を設定できます ( 『FortiGate CLI リファレンス』の「ファイアウォール」の章を参照 )。



230


ファイアウォールポリシーのオプション

ファイアウォールポリシーを追加するには、 [Firewall]、[Policy] の順に選択し、[Create New] を選択します。次のファイアウォールポリシーオプションを設定できます。

[Source] このポリシーに従う IP パケットの発信元の特性を指定します。

[Interface/Zone] IP パケットが受信される FortiGate インタフェースまたはゾーンの名前を選択します。インタフェースとゾーンは、 [System]、 [Network] ページで設定されます。インタフェースについては、 69 ページの「インタフェース」を参照してください。ゾーンについては、 88 ページの「ゾーン」を参照してください。[Action] が [IPSEC] に設定されている場合、このインタフェースは、ローカルプライベートネットワークに関連付けられます。[Action] が [SSL-VPN] に設定されている場合、このインタフェースは、リモートの SSL VPN クライアントからの接続に関連付けられます。

[Address Name] 発信元のインタフェースまたはゾーンに関連付ける、以前に定義した IP アドレスの名前を選択するか、または [Create New] を選択して新しい IP アドレスを定義します。パケットがこのポリシーに従うためには、関連付けられた IP アドレスがそのヘッダに含まれている必要があります。アドレスは、前もって作成しておくことができます。 249 ページの「アドレスの設定」を参照してください。[Action] が [IPSEC] に設定されている場合、このアドレスは、 FortiGate ユニットの背後に配置されているホスト、サーバ、またはネットワークのプライベート IP アドレスです。[Action] が [SSL-VPN] に設定されており、これが Webのみモードのクライアントのためのポリシーである場合は、 [all] を選択します。[Action] が [SSL-VPN] に設定されており、これがトンネルモードのクライアントのためのポリシーである場合は、そのトンネルモードのクライアントのために予約したアドレスの名前を選択します。

[Destination] このポリシーに従う IP パケットの宛先の特性を指定します。



[Interface/Zone] IP パケットの転送先の FortiGate インタフェースまたはゾーンの名前を選択します。インタフェースとゾーンは、 [System]、 [Network] ページで設定されます。インタフェースについては、 69 ページの「インタフェース」を参照してください。ゾーンについては、 88 ページの「ゾーン」を参照してください。[Action] が [IPSEC] に設定されている場合、このインタフェースは、VPN トンネルへの入口に関連付けられます。[Action] が [SSL-VPN] に設定されている場合、このインタフェースは、ローカルプライベートネットワークに関連付けられます。

[Address Name] 宛先のインタフェースまたはゾーンに関連付ける、以前に定義した IP アドレスの名前を選択するか、または [Create New] を選択して新しい IP アドレスを定義します。パケットがこのポリシーに従うためには、関連付けられた IP アドレスがそのヘッダに含まれている必要があります。アドレスは、前もって作成しておくことができます。 249 ページの「アドレスの設定」を参照してください。[Action] が [IPSEC] に設定されている場合、このアドレスは、 VPN トンネルのリモートエンドポイントにある、パケットの配信先になる可能性のあるプライベート IPアドレスです。[Action] が [SSL-VPN] に設定されている場合は、FortiGate ユニットの背後に配置されている、リモートクライアントがアクセスする必要のあるホスト、サーバ、またはネットワークに対応する IP アドレスの名前を選択します。

[Schedule] ポリシーと通信セッションとの照合が可能になる時期を制御するための、ワンタイムスケジュールまたは反復スケジュールを選択します。スケジュールは、 [Firewall]、 [Schedule] の順に選択することにより、前もって作成しておくことができます。 261 ページの「ファイアウォール - スケジュール」を参照してください。また、ポリシーの設定中に [Create New] を選択して、反復スケジュールまたはワンタイムスケジュールを作成することもできます。反復スケジュールまたはワンタイムスケジュールに必要な情報を追加し、[OK] を選択します。新しいスケジュールが [Schedule] リストに追加されます。

[Service] このポリシーと照合するパケットのサービスまたはプロトコルに一致するサービスまたはサービスグループの名前を選択します。広範囲の定義済みサービスから選択します。カスタムサービスは、 [Firewall]、[Service]、 [Custom] の順に選択することにより、前もって作成しておくことができます。サービスグループは、 [Firewall]、 [Service]、[Group] の順に選択することにより、前もって作成しておくことができます。 257 ページの「カスタムサービスの設定」および 259 ページの「サービスグループの設定」を参照してください。また、ポリシーの設定中に [Create New] を選択して、カスタムサービスまたはサービスグループを作成することもできます。カスタムサービスまたはサービスグループに必要な情報を追加し、 [OK] を選択します。新しいカスタムサービスまたはサービスグループが [Service] リストに追加されます。


232


[Action] パケットがポリシーの条件に一致したときのファイアウォールの対応を選択します。

[ACCEPT] このポリシーに一致したトラフィックを受け付けます。NAT、プロテクションプロファイル、トラフィックのログ記録、トラフィックのトラフィックシェーピング、認証オプションに関する各種設定と、このポリシーへのコメントの追加を行うことができます。

[DENY] このポリシーに一致したトラフィックを拒否します。これを選択した場合に設定可能なポリシーオプションは、トラフィックのログ記録 ( このポリシーで拒否された接続のログ記録 ) と、このポリシーへのコメントの追加だけです。

[IPSEC] IPSec のファイアウォール暗号化ポリシーを設定します。これにより、 FortiGate ユニットで IPSec VPN パケットが処理されるようになります。 238 ページの「IPSec のファイアウォールポリシーオプション」を参照してください。

[SSL-VPN] SSL-VPN のファイアウォール暗号化ポリシーを設定します。これにより、 FortiGate ユニットで SSL VPN トラフィックが受け付けられるようになります。このオプションは、 SSL VPN ユーザグループを追加しないと使用できません。 239 ページの「SSL-VPN のファイアウォールポリシーオプション」を参照してください。

[NAT] このポリシーに対するネットワークアドレス変換を有効にします。NAT は、このポリシーで受け付けられるパケットの、発信元アドレスとポート番号を変換します。 [NAT] が選択されている場合は、[Dynamic IP Pool] と [Fixed Port] を設定できます。 NAT は、トランスペアレントモードでは使用できません。

[Dynamic IP Pool] 発信元アドレスを、 IP プールからランダムに選択されたアドレスに変換する場合に選択します。 IPプールは、単一の IP アドレスまたは IP アドレスの範囲となります。 IP プールのアドレスがあらかじめ宛先インタフェースに追加されている場合は、 IP プールのリストが表示されます。FortiGate ユニットで、発信元アドレスをこの IPプールで定義されたいずれかのアドレスに変換するには、宛先インタフェースに追加された IPプールの名前を選択します。宛先インタフェース、 VLAN サブインタフェース、または宛先ゾーン内のインタフェースまたはVLAN サブインタフェースのいずれかが、 DHCPまたは PPPoE を使用して設定されている場合は、[Dynamic IP Pool] を選択できません。ゾーンを使用している場合は、 IP プールを使用できません。 IP プールは、インタフェースにのみ関連付けることができます。IP プールの追加については、 283 ページの「IPプール」を参照してください。

[Fixed Port] NAT で発信元ポートを変換しないようにするには、 [Fixed Port] を選択します。一部のアプリケーションでは、発信元ポートが変更されてしまうと正しく機能しません。ほとんどの場合、 [Fixed Port] を選択するときは [Dynamic IP Pool] も選択します。 [Dynamic IP Pool] を選択していない場合には、 [Fixed Port] を選択したポリシーは、一度に 1 つの接続しか許可しません。



[Protection Profile]

ファイアウォールポリシーにアンチウイルス、 Web フィルタリング、Web カテゴリフィルタリング、スパムフィルタリング、 IPS、コンテンツアーカイブ、およびロギングを適用する方法を設定するためのプロテクションプロファイルを選択します。プロテクションプロファイルは前もって作成することも、プロファイルの設定中に作成することもできます。この時点で作成されたプロファイルは、プロテクションプロファイルリストに表示されます。プロテクションプロファイルの追加および設定については、 287 ページの「ファイアウォール - プロテクションプロファイル」を参照してください。詳細設定の中の [Authentication] を選択すると、認証用に選択するユーザグループはすでにプロテクションプロファイルと結び付けられているため、プロテクションプロファイルオプションは無効になります。ファイアウォールポリシーへの認証の追加の詳細については、234 ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

[Log Allowed Traffic]

ACCEPT、 IPSEC、または SSL-VPN ポリシーの場合、このポリシーで接続が処理された際に常にメッセージをトラフィックログに記録するには、 [Log Allowed Traffic] を選択します。ロギング場所 (syslog、WebTrends、使用可能な場合はローカルディスク、メモリ、またはFortiAnalyzer) のトラフィックログを有効にし、ロギングレベルを [Notification] 以下に設定します。ロギングについては、 431 ページの「ログおよびレポート」を参照してください。

[Log Violation Traffic]

DENY ポリシーの場合、このポリシーで接続が処理された際に常にメッセージをトラフィックログに記録するには、 [Log Violation Traffic] を選択します。ロギング場所 (syslog、 WebTrends、使用可能な場合はローカルディスク、メモリ、または FortiAnalyzer) のトラフィックログを有効にし、ロギングレベルを [Notification] 以下に設定します。ロギングについては、 431 ページの「ログおよびレポート」を参照してください。

[Authentication] [Authentication] を選択する前に、ユーザグループにユーザとファイアウォールプロテクションプロファイルを追加しておきます。ユーザグループの追加および設定については、 346 ページの「ユーザグループ」を参照してください。 [Authentication] は、 [Action] が [ACCEPT] または [SSL-VPN] に設定されている場合に使用できます。ファイアウォールポリシーへの認証の追加の詳細については、 234 ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

[Check FortiClient is Installed and Running]

FortiGate モデル 1000A、 3600A、および 5005FA2 の場合は、 FortiClient Host Security ソフトウェアをインストールしておらず動作させていないホストのアクセスをファイアウォールポリシーで拒否できます。239 ページの「ホスト上の FortiClient を確認するためのオプション」を参照してください。

[Traffic Shaping] [Traffic Shaping] は、このポリシーで使用可能な帯域幅を制御し、このポリシーで処理されるトラフィックのプライオリティを設定します。注記 :

• すべてのファイアウォールポリシーでトラフィックシェーピングを有効にするようにしてください。ポリシーにトラフィックシェーピングルールを何も適用しない場合、そのポリシーは、デフォルトで高いプライオリティに設定されます。

• ファイアウォールポリシーを、 3 つのプライオリティキュー ( 低、中、高 ) のすべてに分散させてください。

• すべてのファイアウォールポリシーの [Guaranteed Bandwidth] の合計が、インタフェースの総帯域幅を大幅に下回るようにしてください。

トラフィックシェーピングを設定する方法については、 235 ページの「ファイアウォールポリシーへのトラフィックシェーピングの追加」を参照してください。


234


ファイアウォールポリシーへの認証の追加

[Authentication] を選択する前に、ユーザグループにユーザとファイアウォールプロテクションプロファイルを追加しておきます。ユーザグループの追加および設定については、 346 ページの「ユーザグループ」を参照してください。認証は、 [Action] が [ACCEPT] に設定されている場合に使用できます。

[Authentication] を選択し、ファイアウォールで接続を受け付ける前に、ユーザにユーザ名とパスワードの入力を義務付ける、 1 つ以上のユーザグループを選択します。

図 123: 認証のためのユーザグループの選択

任意のサービスに対して [Authentication] を選択します。ユーザはファイアウォールに対して、 HTTP、 Telnet、または FTP で認証することができます。ユーザを認証できるようにするには、認証のために設定された HTTP、 Telnet、または FTP のポリシーを追加します。ユーザが、このポリシーを使用してファイアウォールを介した接続をしようとすると、ファイアウォールのユーザ名とパスワードを入力するよう求められます。

ファイアウォールの認証方法には、ローカルに定義されたユーザグループ以外に、 LDAP および RADIUS ユーザも含まれます。 [User]、[User Group] で定義された Active Directory グループを選択するには、ドロップダウンリストから [Active Directory] を選択します。 Active Directory グループとその他のグループでの認証を同じポリシー内で組み合わせることはできません。

他のサービス ( たとえば、 POP3 または IMAP) を使用してユーザを認証するには、 HTTP、 Telnet、および FTP に加えて、認証を必要とするサービスを含むサービスグループを作成します。それによって、他のサービスを使用する前に、HTTP、 Telnet、または FTP を使用するポリシーでユーザを認証できます。

[User Authentication Disclaimer]

[Authentication Disclaimer] ページ ( 差し替えメッセージ ) を表示します。ユーザが宛先に接続するには、この表示された、ユーザ認証免責条項を受け入れる必要があります。この免責条項表示は、認証またはプロテクションプロファイルと共に使用できます。このオプションは、一部のモデルで使用できます。 SSL-VPN ポリシーには使用できません。

[Redirect URL] ここに URL を入力しておくと、認証の後またはユーザ認証免責条項を受け入れた後、ユーザがその URL にリダイレクトされます。このオプションは、一部のモデルで使用できます。 SSL-VPN ポリシーには使用できません。

[Comments] 説明、またはポリシーに関するその他の情報を追加します。コメントは、スペースを含め、大 63 文字まで入力できます。

注記 : Active Directory サーバで FortiGate ユニットを認証できるようにするには、 Active Directory ドメインコントローラに FSAE (Fortinet Server Authentication Extensions) がインストールされている必要があります。 FSAE は、 Fortinet テクニカルサポートから入手できます。



ほとんどの場合は、ユーザが認証なしでも、ファイアウォールを介して DNS が使用できるようにしておいてください。 DNS を使用できない場合、ユーザはドメイン名を使用して Web、 FTP、または Telnet サーバに接続できなくなってしまいます。

ファイアウォールポリシーへのトラフィックシェーピングの追加

トラフィックシェーピングは、利用可能な帯域幅を制御し、処理対象のトラフィックのプライオリティをポリシーに基づいて設定します。トラフィックシェーピングを行うことで、大量のデータが FortiGate デバイスを通過しているときに、どのポリシーにも高いプライオリティを与えるかを制御できるようになります。たとえば、企業の Web サーバのためのポリシーには、大部分の従業員のコンピュータのためのポリシーよりも高いプライオリティを与えることができます。きわめて高速なインターネットアクセスが必要な従業員に、通常より広い帯域幅を設定した特殊な送信ポリシーを許可することもできます。

トラフィックシェーピングは、 ACCEPT、 IPSEC、および SSL-VPN ポリシーに使用できます。また、サポートされているすべてのサービス (H.323、 TCP、UDP、 ICMP、および ESP を含む ) にも使用できます。

保証帯域幅と大帯域幅をキューイングと組み合わせると、トラフィックに対する小帯域幅と大帯域幅が保証されます。

トラフィックシェーピングを使用しても、利用可能な帯域幅の総量を増やすことはできませんが、帯域を大量に消費するトラフィックや帯域幅の影響を受けやすいトラフィックの品質を向上させることができます。

保証帯域幅と最大帯域幅

ファイアウォールポリシーの [Guaranteed Bandwidth] フィールドに値を入力すると、選択したネットワークトラフィックに使用可能な帯域幅の量 ( キロバイト /秒単位 ) が保証されます。たとえば、電子商取引トラフィックに対してより高い保証帯域幅を与えることができます。

ファイアウォールポリシーの [Maximum Bandwidth] フィールドに値を入力すると、選択したネットワークトラフィックに使用可能な帯域幅の量 ( キロバイト /秒単位 ) が制限されます。たとえば、 IM トラフィック使用の帯域幅を制限して、一部の帯域幅をより重要な電子商取引トラフィックのために取っておくことができます。

ポリシーで制御されるトラフィックに使用可能な帯域幅は、制御セッションとデータセッションの両方に使用され、また双方向のトラフィックに使用されます。たとえば、内部から外部への FTP ポリシーに保証帯域幅が適用されているときに、内部ネットワーク上のユーザが FTP を使用してファイルを put およびget している場合は、このポリシーで制御されるトラフィックが使える帯域幅を、 put および get の両セッションが共有します。

あるポリシーで使える保証帯域幅および大帯域幅は、そのポリシーで制御されるすべてのトラフィックで使える総帯域幅です。複数のユーザが同じポリシーを使用して複数の通信セッションを開始した場合は、これらの通信セッションのすべてが、そのポリシーで使える帯域幅を共有する必要があります。

注記 : 認証を必要とするポリシーは、ポリシーリスト内の、条件に合ってしまう認証を必要としないポリシーの上に追加する必要があります。そうしないと、認証を必要としないポリシーが初に選択されてしまいます。

注記 : トラフィックシェーピングの詳細については、『FortiGate トラフィックシェーピングテクニカルノート』も参考にしてください。




236


ただし、同じサービスを使用する複数のインスタンスが異なるポリシーで制御されている場合は、これらの複数のインスタンス間で使える帯域幅は共有されません。たとえば、あるネットワークアドレスに対して、 FTP で使える帯域幅を制限するための 1 つの FTP ポリシーを作成すると同時に、別のネットワークアドレスに対して、別の帯域幅が使えるような別の FTP ポリシーを作成することができます。

トラフィックプライオリティ

異なる種類のトラフィック間の相対的なプライオリティを管理するには、トラフィックプライオリティを設定します。遅延に影響されやすい重要なトラフィックには、高いプライオリティを割り当てる必要があります。遅延の影響が少ない重要度の低いトラフィックには、低いプライオリティを割り当てる必要があります。

FortiGate Antivirus Firewall は、プライオリティの高いコネクションに帯域幅を割り当てる必要がない場合にのみ、プライオリティの低い接続に帯域幅を提供します。

たとえば、音声トラフィックと電子商取引トラフィックに帯域幅を保証するためのポリシーを追加できます。次に、音声トラフィックを制御するポリシーには高いプライオリティを、電子商取引トラフィックを制御するポリシーには中程度のプライオリティを割り当てることができます。帯域幅の使用が集中する時間帯に、音声トラフィックと電子商取引トラフィックの両方で帯域幅が競合した場合は、プライオリティの高い音声トラフィックが電子商取引トラフィックの前に送り出されます。

トラフィックシェーピングの考慮事項

トラフィックシェーピングは、その定義上、トラフィックのピーク / バーストの " 正規化 " を試みようとするものであり、特定のフローを他のフローより優先するように設定できます。ただし、バッファ処理できるデータの量やその期間には物理的な制限があります。これらのしきい値を超えてしまうと、フレームやパケットが削除され、セッションに影響を与えることになります。トラフィックシェーピングの設定が正しくない場合は、パケットの過剰な破棄が起きてしまい、これらのエラーからの回復を試みようとする上位レイヤで余計なオーバーヘッドが発生することがあるため、実際には特定のネットワークフローの品質を大幅に低下させてしまう可能性があります。

基本的なトラフィックシェーピングの例として、破棄されてもかまわない他のトラフィックの損失を前提に、特定のトラフィックフローを優先する場合があります。つまり、トラフィック X に対するパフォーマンスや安定性を増加または保証するために、トラフィック Y に対する特定のパフォーマンスや安定性を犠牲にすることを受け入れることになります。

たとえば、特定のフローに帯域幅の制限を適用する場合は、これらのセッションが制限される可能性があり、それによって悪影響を受けることがあるという点を容認しなければなりません。

ファイアウォールポリシーに適用されるトラフィックシェーピングは、どちらの方向に流れるトラフィックに対しても適用されます。そのため、あるセッションが [Internal -> External] ポリシーによって内部のホストから外部のホストに向けて設定されていたとしても、次にデータストリームが外部から内部に入って来ると、そのセッションに対してもトラフィックシェーピングが適用されます。たとえば、 FTP の "get" や、電子メールを取得するために外部のサーバに接続された SMTP サーバなどがあります。



また、トラフィックシェーピングは、通常のトラフィックレートの標準的な IPトラフィックに対してのみ効果があることにも注意してください。トラフィックが FortiGate ユニットの容量を超えてしまっているような、極端な高トラフィックの下では、トラフィックシェーピングは効果がありません。パケットは、トラフィックシェーピングに従う前に、 FortiGate ユニットに受信される必要があります。 FortiGate ユニットが、受信したすべてのトラフィックを処理できない場合は、パケットの破棄、遅延、待ち時間などが発生する可能性があります。

トラフィックシェーピングが高の状態で機能することを保証するために、イーサネットインタフェースの統計情報にエラー、衝突、バッファオーバーランなどがないことを確認してください。これらが存在する場合は、 FortiGate やスイッチの設定の調整が必要になっている可能性があります。

トラフィックシェーピングを効率的に機能させるために、次のルールを守るようにしてください。

• すべてのファイアウォールポリシーでトラフィックシェーピングを有効にしてください。ポリシーにトラフィックシェーピングルールを適用しない場合、そのポリシーは、デフォルトで高いプライオリティに設定されてしまいます。

• ファイアウォールポリシーを、 3 つのプライオリティキュー ( 低、中、高 ) のすべてに分散させてください。

すべてのファイアウォールポリシーのすべての [Guaranteed Bandwidth] の合計が、インタフェースの帯域幅容量を大幅に下回るようにしてください。 FortiGateのトラフィックシェーピングの設定

ファイアウォールポリシーを設定するときに、トラフィックシェーピングの設定を有効にして指定します。

トラフィックシェーピングを設定するには


2 新しいポリシーを作成するとき、またはポリシーを編集するときに、 [Traffic Shaping] オプションを選択します。

3 次の 3 つのオプションを設定します。

[Guaranteed Bandwidth]

トラフィックシェーピングを使用して、そのポリシーに対するファイアウォールで使用可能な帯域幅の量を保証します。プライオリティの高いサービスに使用可能な十分な帯域幅が確保されるように、帯域幅 ( キロバイト単位 ) を保証します。すべてのファイアウォールポリシーの [Guaranteed Bandwidth] の総計が、インタフェースの帯域幅容量を大幅に下回るようにしてください。


238


IPSec のファイアウォールポリシーオプション

[Action] が [IPSEC] に設定されている場合は、次のオプションが使用できます。

図 124: IPSec 暗号化ポリシー

詳細については、『FortiGate IPSec VPN ユーザガイド』の「ファイアウォール暗号化ポリシーの定義」の章を参照してください。

[Maximum Bandwidth]

トラフィックシェーピングを使用して、そのポリシーに対するファイアウォールで使用可能な帯域幅の量を制限します。重要性の低いサービスが、より重要なサービスに必要な帯域幅を使ってしまわないようにするために、帯域幅を制限します。

[Traffic Priority] [High]、 [Medium]、または [Low] を選択します。 [Traffic Priority] を選択して、 FortiGate ユニットで、異なる種類のトラフィック間の相対的なプライオリティを管理するようにします。たとえば、電子商取引トラフィックのサポートに必要なセキュアな Web サーバに接続するためのポリシーには、高いトラフィックプライオリティを割り当てる必要があります。重要性の低いサービスには、低いプライオリティを割り当てる必要があります。ファイアウォールは、プライオリティの高い接続に帯域幅を割り当てる必要がない場合にのみ、プライオリティの低い接続に帯域幅を提供します。すべてのファイアウォールポリシーでトラフィックシェーピングを有効にするようにしてください。ポリシーにトラフィックシェーピングルールを適用しない場合、そのポリシーは、デフォルトで高いプライオリティに設定されてしまいます。ファイアウォールポリシーを、 3 つのプライオリティキューのすべてに分散させてください。

注記 : 保証帯域幅と大帯域幅の両方を 0 ( ゼロ ) に設定した場合、そのポリシーではどのトラフィックも許可されません。

[VPN Tunnel] フェーズ 1 の設定で定義された VPN トンネルの名前を選択します。指定されたトンネルは、このファイアウォール暗号化ポリシーに従います。

[Allow Inbound] リモートプライベートネットワーク上のダイヤルアップクライアントまたはコンピュータからのトラフィックで、トンネルを開始できるようにする場合に選択します。

[Allow outbound] ローカルプライベートネットワーク上のコンピュータからのトラフィックでトンネルを開始できるようにする場合に選択します。

[Inbound NAT] 暗号化解除された受信パケットの発信元 IP アドレスを、ローカルプライベートネットワークの FortiGate インタフェースの IP アドレスに変換する場合に選択します。

[Outbound NAT] 送信のクリアテキストパケットの発信元アドレスを、指定した IP アドレスに変換するために、 CLI の natip 値と組み合わせて選択します。 CLI で natip 値を指定していない限り、 [Outbound NAT] を選択しないでください。 natip 値が指定されている場合、送信 IP パケットの発信元アドレスは、それらのパケットがトンネルを経由して送信される前に置き換えられます。詳細については、『FortiGate CLI リファレンス』の「ファイアウォール」の章を参照してください。

注記 : ルートベース ( インタフェースモード ) の IPSec トンネルは、トンネルモードのIPSec トンネルとは別の方法で設定されます。トンネルモードの "IPSEC" ファイアウォール暗号化ポリシーを定義することで、 VPN 接続を許可し、トンネルを経由した IPトラフィックを制御するのではなく、ルートベースの VPN トンネルを IPSec 仮想インタフェースにバインドした後、その IPSec 仮想インタフェースを通常の (ACCEPT またはDENY) ファイアウォールポリシーの発信元または宛先インタフェースとして指定します。






SSL-VPN のファイアウォールポリシーオプション

[Action] が [SSL-VPN] に設定されている場合は、次のオプションが使用できます。

図 125: SSL VPN 暗号化ポリシー

SSL VPN ユーザのためのファイアウォール暗号化ポリシーを作成する方法については、『FortiGate SSL VPN ユーザガイド』の「SSL VPN の管理タスク」の章を参照してください。

ホスト上の FortiClient を確認するためのオプション

FortiGate モデル 1000A、 3600A、および 5005FA2 の場合は、 FortiClient Host Security ソフトウェアをインストールしておらず動作させていないホストのアクセスをファイアウォールポリシーで拒否できます。この機能では、 FortiClient ソフトウェアバージョン 3.0 MR2 以降を検出できます。

注記 : [SSL-VPN] オプションは、 1 つ以上の SSL VPN ユーザグループを作成した後、[Action] リストから使用できます。ユーザアカウントおよび SSL VPN ユーザグループを作成するには、 352 ページの「SSL VPN ユーザグループのオプションの設定」を参照してください。

[SSL Client Certificate Restrictive]

( 共有されている ) グループ証明書の所有者が生成したトラフィックを許可します。グループ証明書の所有者は SSL VPN ユーザグループのメンバである必要があり、そのユーザグループの名前が [Allowed] フィールドに存在する必要があります。

[Cipher Strength] 次のいずれかのオプションを選択して、使用する SSL 暗号化のレベルを決定します。リモートクライアント上の Web ブラウザが、選択するレベルに一致している必要があります。

• 任意の暗号スイートを使用するには、 [Any] を選択します。

• 164 ビット以上の暗号スイートを使用するには、 [High >= 164] を選択します。

• 128 ビット以上の暗号スイートを使用するには、 [Medium >= 128] を選択します。

[User Authentication Method]

次のいずれかのオプションを選択します。

• このファイアウォールポリシーに結び付けられるユーザグループがローカルユーザグループである場合は、 [Local] を選択します。

• リモートクライアントが外部の RADIUS サーバで認証される場合は、 [Radius] を選択します。

• リモートクライアントが外部の LDAP サーバで認証される場合は、[LDAP] を選択します。

• 上のすべての認証方法を有効にするには、 [Any] を選択します。[Local] が初に試行され、次に [Radius]、 [LDAP] の順に試行されます。

[Available Groups] SSL VPN アクセスが必要なユーザグループの名前を選択してから、右矢印を押してください。選択したユーザグループのすべてのメンバのアクセス要件が同じでない限り、複数のユーザグループを選択してはいけません。



240

ファイアウォールポリシーの例ファイアウォール - ポリシー

図 126: FortiClient Host Security の確認オプション

ファイアウォールポリシーの例

FortiGate ユニットは、自宅での使用から、 SOHO、さらには大規模企業や ISP までのさまざまなネットワーク要件を完全に満たすことができます。次の 2 つのシナリオでは、 SOHO および大規模企業環境におけるファイアウォールポリシーの実際的な応用を示します。

これらの 2 つの例の詳細については、 FortiOS v3.0 MR2 のマニュアルにある『ライブラリネットワークの例』および『SOHO および SMB のネットワーク保護』のサンプルガイドを参照してください。

• シナリオ 1: SOHO 規模の企業

• シナリオ 2: 大規模企業

シナリオ 1: SOHO 規模の企業

企業 A は、開発を行い、カスタマサポートを提供している小規模なソフトウェア会社です。 15 台のコンピュータから成る内部ネットワークに加えて、フルタイムまたはパートタイムで自宅で作業を行う複数の従業員も抱えています。

[Check FortiClient is Installed and Running]

発信元ホストが FortiClient Host Security ソフトウェアを動作させていることを確認する場合に選択します。必要に応じて、以下の理由でアクセス拒否を有効にします。

• [FortiClient is Not Installed] (FortiClient がインストールされていない )

• [FortiClient is Not Licensed] (FortiClient がライセンスされていない )

• [AV/IPS Database Out-of-Date] (AV/IPS データベースが期限切れになっている )

• [AV Disabled] (AV が無効になっている )

• [Firewall Disabled] ( ファイアウォールが無効になっている )

• [Web Filter Disabled] (Web フィルタが無効になっている)

[Redirect Restricted Users to FortiGate Download Portal]

拒否されたユーザを、拒否の理由を表示する内部の Webポータルにリダイレクトする場合に選択します。この機能をサポートしているユニットの場合、ユーザはFortiClient Host Security ソフトウェアをダウンロードできます。


ファイアウォール - ポリシーファイアウォールポリシーの例

現在のネットワークトポロジでは、 15 台の内部コンピュータのすべてがルータの背後に配置されているため、 IP メールサーバや Web サーバにアクセスするには外部ソースに移動する必要があります。自宅作業従業員はすべて、セキュリティ保護されていない、オープンなコネクションを介してルータにアクセスします。

図 127: FortiGate をインストールする前の SOHO ネットワークの例

企業 A には、自宅作業者のためのセキュアな接続が必要です。他の多くの企業と同様に、この企業も、ビジネスの遂行を電子メールやインターネットアクセスに大きく依存しています。この企業は、ネットワーク攻撃を検出および阻止し、ウイルスをブロックし、スパムを減らすための総合的なセキュリティソリューションを望んでいます。また、異なる部門に対して異なる保護設定を適用したいと考えています。さらに、 Web サーバおよび電子メールサーバをそのセキュリティソリューションに統合することも希望しています。

初の要件に対処して、自宅作業者と内部ネットワークの間のセキュアな通信を保証するするために、企業 A は、自宅作業者ごとに個別のポリシーを設定します。


2 [Create New] を選択し、 Home_User_1 のための次の設定を入力または選択します。

[Interface/Zone] Source:internal Destination: wan1

[Address Name] Source: CompanyA_Network

Destination: Home_User_1

[Schedule] Always

[Service] ANY

[Action] IPSEC

[VPN Tunnel] Home1

[Allow Inbound] オン


242



4 [Create New] を選択し、 Home_User_2 のための次の設定を入力または選択します。


図 128: FortiGate-100 を使用した SOHO ネットワークトポロジ

[Allow outbound] オン

[Inbound NAT] オン

[Outbound NAT] オフ

[Protection Profile] [standard_profile] を有効にして選択する

[Interface/Zone] Source:internal Destination: wan1

[Address Name] Source: CompanyA_network

Destination:All

[Schedule] Always

[Service] ANY

[Action] IPSEC

[VPN Tunnel] Home2_Tunnel

[Allow Inbound] オン

[Allow outbound] オン

[Inbound NAT] オン

[Outbound NAT] オフ

[Protection Profile] [standard_profile] を有効にして選択する



提案されたネットワークは、 ForitGate 100A ユニットに基づいています。 15 台の内部コンピュータは、 FortiGate ユニットの背後に配置されています。これらのコンピュータは現在、 DMZ 内にある電子メールサーバおよび Web サーバ ( 同様に、 FortiGate ユニットの背後に配置されている ) にアクセスします。すべての自宅作業従業員が、 VPN トンネルを経由して、 FortiGate ユニットを介してオフィスネットワークにアクセスするようになりました。

シナリオ 2: 大規模企業

大都市に位置する図書館システムは、人口の大多数にサービスを提供している都市中心部の本館を主体とするとともに、 10 数の分館が市内全域に分散しています。各分館はインターネットに接続されていますが、専用の接続によって互いにリンクされているところは 1 つもありません。

本館の現在のネットワークトポロジは、 3 つのユーザグループで構成されています。本館職員や公共端末は、ファイアウォールの背後に位置する DMZ 内のサーバにアクセスします。カタログアクセス端末は、ファイアウォールを経由することなく、直接カタログサーバにアクセスします。

すべての分館のトポロジに、本館にあるサーバに、セキュリティ保護されていないインターネット接続を介してアクセスする 3 ユーザが存在します。

図 129: 図書館システムの現在のネットワークトポロジ

図書館は、利用者と職員に対して異なるアクセスレベルを設定できる必要があります。


244


本館職員のための初のファイアウォールポリシーでは、インターネットへの常時フルアクセスを許可します。 2 番目のポリシーでは、職員の DMZ への直接アクセスを許可します。分館職員にこれと同じアクセスを許可するために、ポリシーの 2 番目のペアが必要です。

職員のすべてのファイアウォールポリシーで、職員のアクセス専用に設定されたプロテクションプロファイルを使用します。有効になっている機能には、ウイルススキャン、スパムフィルタリング、 IPS、およびすべての P2P トラフィックのブロッキングが含まれます。また、アドバタイズ、マルウェア、およびスパイウェアサイトをブロックするために、 FortiGuard Web フィルタリングも使用されます。

Web サーバやカタログサーバの設定方法によっては、サーバに関する情報を更新するために、一部のユーザにこれらのサーバへの特殊なアクセスが必要になる可能性があります。この特殊なアクセスは、 IP アドレスまたはユーザに基づいて許可されます。

提案されたトポロジの場合、本館職員とカタログアクセス端末は、 Fortigate HAクラスタを経由して、 DMZ 内のサーバにアクセスします。公共のアクセス端末は、初に ForitWiFi ユニットを経由して ( ここで、追加のポリシーを適用できます ) HA クラスタにアクセスし、後にサーバに到達します。

分館では、 3 ユーザがすべて、 VPN トンネルを経由して、 ForitWiFi ユニットを介して本館にルーティングされます。

図 130: 提案された図書館システムのネットワークトポロジ



ポリシーは、 [Firewall]、[Policy] で設定されます。プロテクションプロファイルは、 [Firewall]、[Protection Profile] で設定されます。

本館の " 職員からインターネットへの " ポリシー :

本館の " 職員から DMZ への " ポリシー :

分館の " 職員からインターネットへの " ポリシー :

分館の " 職員から DMZ への " ポリシー :

これらの例の詳細については、次の資料を参照してください。

• 『SOHO および SMB の設定サンプルガイド』

• 『FortiGate の大規模企業の設定例』

これらの資料は、 http://docs.forticare.com の FortiGate のセクションにあります。

発信元インタフェース Internal

発信元アドレス All

宛先インタフェース External

宛先アドレス All

[Schedule] Always

[Action] Accept

発信元インタフェース Internal

発信元アドレス All

宛先インタフェース DMZ

宛先アドレスサーバ

[Schedule] Always

[Action] Accept

発信元インタフェース分館

発信元アドレス分館職員

宛先インタフェース External

宛先アドレス All

[Schedule] Always

[Action] Accept

発信元インタフェース分館

発信元アドレス分館職員

宛先インタフェース DMZ

宛先アドレスサーバ

[Schedule] Always

[Action] Accept


246



ファイアウォール - アドレスファイアウォールアドレスについて

F0

ファイアウォール - アドレス必要に応じて、ファイアウォールアドレスを追加、編集、および削除します。ファイアウォールアドレスは、ファイアウォールポリシーの発信元および宛先アドレスフィールドに追加されます。ファイアウォールアドレスは、 FortiGateユニットが受信したパケットの発信元または宛先 IP アドレスを照合するためにファイアウォールポリシーに追加されます。


• ファイアウォールアドレスについて

• ファイアウォールアドレスリストの表示

• アドレスの設定

• アドレスグループリストの表示

• アドレスグループの設定

ファイアウォールアドレスについて

ファイアウォールアドレスには、次のものがあります。

• 単一のコンピュータの IP アドレス ( たとえば、 192.45.46.45)

• サブネットワークの IP アドレス ( たとえば、クラス C のサブネットの場合は、192.168.1.0)

• 可能性のあるすべての IP アドレスを表す場合は、 0.0.0.0

ネットマスクは、追加されるアドレスの種類に対応します。たとえば、次のようにします。

• 単一のコンピュータの IP アドレスに対するネットマスクは、255.255.255.255 にしてください。

• クラス A のサブネットに対するネットマスクは、 255.0.0.0 にしてください。

• クラス B のサブネットに対するネットマスクは、 255.255.0.0 にしてください。

• クラスCのサブネットに対するネットマスクは、255.255.255.0にしてください。

• すべてのアドレスに対するネットマスクは、 0.0.0.0 にしてください。

[IP Range] のアドレスは、次のものを表します。

• サブネット内の IP アドレスの範囲 ( たとえば、 192.168.20.1 ～ 192.168.20.10)

ポリシーの作成を簡略化するには、関連するアドレスをアドレスグループに構成します。

ファイアウォールアドレスは、名前、 IP アドレス、およびネットマスクを使用するか、または名前と IP アドレス範囲を使用して設定できます。また、完全修飾ドメイン名 (FQDN) にすることもできます。

注記 : IP アドレス : 0.0.0.0 とネットマスク : 255.255.255.255 は、有効なファイアウォールアドレスではありません。


248

ファイアウォールアドレスリストの表示ファイアウォール - アドレス

IP アドレスとネットマスクは、次の形式を使用して入力します。

• x.x.x.x/x.x.x.x ( たとえば、 192.168.1.0/255.255.255.0)

• x.x.x.x/x ( たとえば、 192.168.1.0/24)

IP アドレス範囲は、次の形式を使用して入力します。

• x.x.x.x-x.x.x.x、たとえば 192.168.110.100-192.168.110.120

• x.x.x.[x-x]、たとえば 192.168.110.[100-120]

• x.x.x.* ( たとえば、サブネット上のすべてのアドレスを表すには、192.168.110.*)

[IP/Mask] のアドレスは、次のものを表すことができます。

• サブネットのアドレス ( たとえば、クラス C のサブネットの場合は、IP アドレス : 192.168.20.0 とネットマスク : 255.255.255.0)

• 単一の IP アドレス ( たとえば、 IP アドレス : 192.168.20.1 とネットマスク : 255.255.255.255)

• 可能性のあるすべてのIPアドレス (IPアドレス: 0.0.0.0とネットマスク: 0.0.0.0で表される )

FQDN は、次の形式を使用して入力します。

• <host_name>.<second_level_domain_name>.<top_level_domain_name>

• <host_name>.<top_level_domain_name>

FQDN の例を次に示します。

• www.fortinet.com

• example.com

ファイアウォールアドレスリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、アドレスはバーチャルドメインごとに別々に設定されます。アドレスにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

リストにアドレスを追加したり、既存のアドレスを編集したりします。 FortiGateユニットには、ネットワーク上のすべての IP アドレスを表す、デフォルトの "All" アドレスが標準で設定されています。リスト内のアドレスは、 [IP/Mask]、[IP Range]、および [FQDN] の種類ごとに並べられています。

アドレスリストを表示するには、 [Firewall]、[Address] の順に選択します。

図 131: サンプルのアドレスリスト


ファイアウォール - アドレスアドレスの設定

アドレスリストには、次のアイコンと機能が用意されています。

アドレスの設定

アドレスはまた、ファイアウォールポリシーの設定中に、ファイアウォールポリシーウィンドウから作成または編集することもできます。

負荷分散と HA を実現するために、 1 つの FQDN を複数のマシンにマップできます。 1 つの FQDN ファイアウォールポリシーを作成し、その FQDN で解決されるすべてのアドレスのレコードが、 FortiGate ユニットで自動的に解決および保持されるようにすることができます。

IP アドレス、 IP 範囲、または FQDN を追加するには、 [Firewall]、[Address] の順に選択し、 [Create New] を選択します。

図 132: 新しいアドレスまたは IP 範囲のオプション

[Create New] ファイアウォールアドレスを追加する場合に選択します。

[Name] ファイアウォールアドレスの名前。

[Address/FQDN] IP アドレスとマスク、 IP アドレス範囲、または完全修飾ドメイン名。

削除アイコンリストからこのアドレスを削除する場合に選択します。削除アイコンは、このアドレスがファイアウォールポリシーで使用されていない場合にのみ使用できます。

編集アイコン [Name]、 [Type]、および [Subnet/IP Range] の情報を編集する場合に選択します。

!注意 : ファイアウォールポリシーでの完全修飾ドメイン名の使用は、便利である一方で、ある程度のセキュリティ上のリスクが存在します。この機能を使用する場合は、十分に注意してください。

[Address Name] ファイアウォールアドレスを識別する名前を入力します。ファイアウォールポリシー内での混乱を避けるために、アドレス、アドレスグループ、および仮想 IP には一意の名前を付ける必要があります。

[Type] アドレスの種類を [Subnet/IP Range] または [FQDN] から選択します。

[Subnet/IP Range]

ファイアウォールの IP アドレス、フォワードスラッシュ、およびサブネットマスクを入力するか、または IP アドレス範囲をハイフンで区切って入力します。

[Interface] この IP アドレスを関連付けるインタフェースまたはゾーンを選択します。ポリシーの作成時に IP アドレスをインタフェース / ゾーンに関連付ける場合は、 [Any] を選択します。


250

アドレスグループリストの表示ファイアウォール - アドレス

アドレスグループリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、アドレスグループはバーチャルドメインごとに別々に設定されます。アドレスグループにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

ポリシーの設定を容易にするには、関連するアドレスをアドレスグループに構成します。たとえば、 3 つのアドレスを追加し、それらを同じアドレスグループに設定した後、それら 3 つのアドレスすべてに対する設定を、 1 つのポリシーで設定することができます。

アドレスグループリストを表示するには、 [Firewall]、[Address]、[Group] の順に選択します。

図 133: サンプルのアドレスグループリスト

アドレスグループリストには、次のアイコンと機能が用意されています。

アドレスグループの設定

アドレスグループは、ファイアウォールの設定中に、 [Address] ドロップダウンリストから [Create New] を選択することによって作成できます。

アドレスをアドレスグループに構成するには、 [Firewall]、[Address]、[Group] の順に選択します。

注記 : アドレスグループがポリシーに含まれている場合は、まずそのポリシーから削除されないない限り、そのアドレスグループを削除できません。

[Create New] アドレスグループを追加する場合に選択します。

[Group Name] アドレスグループの名前。

[Members] アドレスグループ内のアドレス。

削除アイコンリストからこのグループを削除する場合に選択します。削除アイコンは、このアドレスグループがファイアウォールポリシーで使用されていない場合にのみ使用できます。

編集アイコン [Group Name] や [Members] の情報を編集する場合に選択します。


ファイアウォール - アドレスアドレスグループの設定

図 134: アドレスグループのオプション

[Group Name] アドレスグループを識別する名前を入力します。ファイアウォールポリシー内での混乱を避けるために、アドレス、アドレスグループ、および仮想 IP には一意の名前を付ける必要があります。

[Available Addresses]

設定済みのファイアウォールアドレスとデフォルトのファイアウォールアドレスのリスト。リスト間でアドレスを移動するには、矢印を使用します。

[Members] グループ内のアドレスのリスト。リスト間でアドレスを移動するには、矢印を使用します。


252

アドレスグループの設定ファイアウォール - アドレス


ファイアウォール - サービス定義済みサービスリストの表示

F0

ファイアウォール - サービスファイアウォールで許可または拒否する通信の種類を決定するには、サービスを使用します。任意の定義済みサービスをポリシーに追加できるほか、バーチャルドメインごとにカスタムサービスを作成してサービスグループに追加することもできます。


• 定義済みサービスリストの表示

• カスタムサービスリストの表示

• カスタムサービスの設定

• サービスグループリストの表示

• サービスグループの設定

定義済みサービスリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、定義済みサービスはグローバルに使用できます。

定義済みサービスリストを表示するには、メインメニューで [Global Configuration] を選択し、 [Firewall]、[Service] の順に選択します。

図 135: 定義済みサービスリスト

定義済みサービスリストには、次のアイコンと機能が用意されています。

[Name] 定義済みサービスの名前。

[Detail] 各定義済みサービスのプロトコル。


254

定義済みサービスリストの表示ファイアウォール - サービス

表 32 は、 FortiGate の定義済みファイアウォールサービスを示しています。これらのサービスを任意のポリシーに追加してください。

表 32: FortiGate 定義済みサービス

サービス名説明プロトコルポート

AH Authentication Header ( 認証ヘッダ )。AH によって、発信元ホストの認証やデータの整合性が実現されますが、秘密性は実現されません。このプロトコルは、アグレッシブモードに設定されたIPSec リモートゲートウェイが認証のために使用します。

51

ANY 任意のポート上の接続を照合します。任意の定義済みサービスを使用する接続がファイアウォールの通過を許可されます。

すべてすべて

AOL AOL インスタントメッセンジャープロトコル。

TCP 5190-5194

BGP Border Gateway Protocol ルーティングプロトコル。 BGP は、内部 / 外部ルーティングプロトコルです。

TCP 179

DHCP DHCP (Dynamic Host Configuration Protocol) は、ネットワークアドレスを割り当てると共に、設定パラメータを DHCPサーバからホストに配信します。

UDP 67

DNS ドメイン名を IP アドレスに変換するための Domain Name Service ( ドメインネームサービス )。

TCP 53

UDP 53

ESP Encapsulating Security Payload。このサービスは、暗号化されたデータを通信するために、手動キーおよび AutoIKE VPN トンネルによって使用されます。 AutoIKEキー VPN トンネルは、 IKE を使用してトンネルを確立した後、 ESP を使用します。

50

FINGER ユーザに関する情報を提供するネットワークサービス。

TCP 79

FTP ファイルを転送するための FTP サービス。 TCP 21

FTP_GET ファイルをアップロードするための FTPサービス。

TCP 21

FTP_PUT ファイルをダウンロードするための FTPサービス。

TCP 21

GOPHER Gopher 通信サービス。 Gopher は、インターネットサーバの内容を、階層的に構造化されたファイルのリストとして構成し、表示します。

TCP 70

GRE Generic Routing Encapsulation。 GRE パケット内のプロトコルのパケットをカプセル化することによって、任意のネットワークプロトコルを他の任意のネットワークプロトコルを介して転送できるようにするプロトコル。

47

H323 H.323 マルチメディアプロトコル。 H.323は、ネットワークにわたるオーディオビジュアル会議データの転送方法を規定しているITU (International Telecommunication Union) によって承認された標準です。詳細については、『FortiGate H.323 サポートテクニカルノート』を参照してください。

TCP 1720, 1503




ファイアウォール - サービス定義済みサービスリストの表示

HTTP HTTP は、 Web ページのデータを転送するために、 WWW (Word Wide Web) によって使用されるプロトコルです。

TCP 80

HTTPS Web サーバとのセキュアな通信のための、SSL (Secure Socket Layer) サービスを備えた HTTP。

TCP 443

ICMP_ANY Internet Control Message Protocol は、ホストとゲートウェイ ( インターネット ) の間のメッセージ制御およびエラー報告プロトコルです。

ICMP

IKE IKE は、 IPSEC の ISAKMP で使用する認証されたキー作成材料を取得するためのプロトコルです。

UDP 500

IMAP Internet Message Access Protocol は、電子メールメッセージを取得するために使用されるプロトコルです。

TCP 143

INFO_ADDRESS ICMP の情報要求メッセージ。 ICMP 17

INFO_REQUEST ICMP のアドレスマスク要求メッセージ。 ICMP 15

IRC Internet Relay Chat を使用すると、ユーザはライブディスカッションに参加するためにインターネットに接続できます。

TCP 6660-6669

Internet-Locator-Service

Internet Locator Service には、 LDAP、User Locator Service、および LDAP over TLS/SSL が含まれます。

TCP 389

L2TP L2TP は、リモートアクセスのためのPPP ベースのトンネルプロトコルです。

TCP 1701

LDAP Lightweight Directory Access Protocol は、情報ディレクトリにアクセスするために使用される一連のプロトコルです。

TCP 389

NFS Network File System ( ネットワークファイルシステム ) を使用すると、ネットワークユーザは、異なる種類のコンピュータ上に格納された共有ファイルにアクセスできます。

TCP 111, 2049

NNTP Network News Transport Protocol は、USENETメッセージを投稿、配布、および取得するために使用されるプロトコルです。

TCP 119

NTP コンピュータの時刻をタイムサーバと同期するためのネットワークタイムプロトコル。

TCP 123

NetMeeting NetMeeting を使用すると、ユーザは、インターネットを転送媒体として使用して遠隔会議することができます。

TCP 1720

OSPF OSPF (Open Shortest Path First) ルーティングプロトコル。 OSPF は、一般的なリンク状態ルーティングプロトコルです。

89

PC-Anywhere PC-Anywhere は、リモート制御およびファイル転送プロトコルです。

UDP 5632

PING 他のデバイスへの接続をテストするための、 ICMP のエコー要求 / 応答。

ICMP 8

POP3 Post Office Protocol は、 POP3 サーバから電子メールをダウンロードするための電子メールプロトコルです。

TCP 110

表 32: FortiGate 定義済みサービス ( 続き )



256

定義済みサービスリストの表示ファイアウォール - サービス

PPTP Point-to-Point Tunneling Protocol は、企業が独自の企業ネットワークをパブリックインターネット上のプライベートトンネルを通して拡張できるようにするプロトコルです。

TCP 1723

QUAKE 普及している Quake マルチプレーヤーコンピュータゲームで使用される接続のためのサービス。

UDP。 26000, 27000, 27910, 27960

RAUDIO ストリーミングリアルオーディオマルチメディアトラフィックのためのサービス。

UDP 7070

RIP Routing Information Protocol は、一般的な距離ベクトルルーティングプロトコルです。

UDP 520

RLOGIN サーバにリモートでログインするためのRlogin サービス。

TCP 513

SAMBA Samba を使用すると、Microsoft Windows クライアントは、 TCP/IP が有効なホストのファイルと印刷サービスを利用できます。

TCP 139

SIP Session Initiation Protocol は、ネットワークにわたるオーディオビジュアル会議データの転送方法を規定しています。詳細については、『FortiGate SIP サポートテクニカルノート』を参照してください。

UDP 5060

SIP-MSNmessenger

Session Initiation Protocol は、インタラクティブな ( 一般には ) マルチメディアセッションを開始するために、 Microsoft Messenger によって使用されます。

TCP 1863

SMTP Simple Mail Transfer Protocol は、インターネット上の電子メールサーバ間でメールを送信するために使用されます。

TCP 25

SNMP Simple Network Management Protocol は、複雑なネットワークを管理するための一連のプロトコルです。

TCP 161-162

UDP 161-162

SSH Secure Shell は、リモート管理を行うための、コンピュータへのセキュアな接続のためのサービスです。

TCP 22

UDP 22

SYSLOG リモートロギングのためのSyslogサービス。 UDP 514

TALK 2 ユーザ以上の間の会話をサポートするプロトコル。

UDP 517-518

TCP すべての TCP ポート。 TCP 0-65535

TELNET コマンドを実行するためにリモートコンピュータに接続するためのTelnetサービス。

TCP 23

TFTP Trivial File Transfer Protocol は単純なファイル転送プロトコルであり、 FTP に似ていますが、セキュリティ機能はありません。

UDP 69

TIMESTAMP ICMP のタイムスタンプ要求メッセージ。 ICMP 13

UDP すべての UDP ポート。 UDP 0-65535

UUCP 単純なファイルコピープロトコルである、 UNIX to UNIX Copy ユーティリティ。

UDP 540

VDOLIVE VDO Live ストリーミングマルチメディアトラフィックのためのサービス。

TCP 7000-7010

WAIS Wide Area Information Server は、インターネット検索プロトコルです。

TCP 210






ファイアウォール - サービスカスタムサービスリストの表示

カスタムサービスリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、カスタムサービスはバーチャルドメインごとに別々に設定されます。カスタムサービスにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

定義済みサービスリストにないサービスに対するポリシーを作成するには、カスタムサービスを追加します。

カスタムサービスリストを表示するには、 [Firewall]、[Service]、[Custom] の順に選択します。

図 136: カスタムサービスリスト

カスタムサービスリストには、次のアイコンと機能が用意されています。

カスタムサービスの設定

カスタムサービスは、ファイアウォールポリシーの設定中に、 [Service] ドロップダウンリストから [Create New] を選択することによって作成できます。

TCP または UDP カスタムサービスを追加するには

1 [Firewall]、[Service]、[Custom] の順に選択します。

2 [Protocol Type] を [TCP/UDP] に設定します。

3 次のオプションを設定します。

WINFRAME Windows NT を実行しているコンピュータ間の WinFrame 通信のためのサービス。

TCP 1494

X-WINDOWS X-Window サーバと X-Window クライアントの間のリモート通信のためのサービス。

TCP 6000-6063



[Create New] カスタムサービスを追加するには、プロトコルを選択してから、[Create New] を選択します。

[Service Name] カスタムサービスの名前。

[Detail] 各カスタムサービスのプロトコルとポート番号。

削除アイコンリストからこのエントリを削除する場合に選択します。削除アイコンは、このサービスがファイアウォールポリシーで使用されていない場合にのみ使用できます。

編集アイコン [Name]、 [Protocol Type]、 [Type]、 [Protocol Number]、 [Code]、 [Source Port]、および [Destination Port] の情報を編集する場合に選択します。


258

カスタムサービスの設定ファイアウォール - サービス

図 137: 新しいカスタムサービス - TCP/UDP

ICMP カスタムサービスを追加するには


2 [Protocol Type] を [ICMP] に設定します。


図 138: 新しいカスタムサービス - ICMP

IP カスタムサービスを追加するには


2 [Protocol Type] を [IP] に設定します。

[Name] カスタムサービスの名前を入力します。

[Protocol Type] このカスタムサービスのプロトコルの種類として [TCP/UDP] を選択します。

[Protocol] 追加しているポート範囲のプロトコルとして [TCP] または [UDP] を選択します。

[Source Port] [Low] と [High] のポート番号を入力することにより、このサービスの [Source Port] の番号範囲を指定します。このサービスでポート番号を1 つしか使用しない場合は、その番号を [Low] と [High] の両方のフィールドに入力します。デフォルト値では、任意の発信元ポートを使用できます。

[Destination Port] [Low] と [High] のポート番号を入力することにより、このサービスの [Destination Port] の番号範囲を指定します。このサービスでポート番号を 1 つしか使用しない場合は、その番号を [Low] と [High] の両方のフィールドに入力します。

[Add] 作成しているカスタムサービスに複数のポート範囲が必要な場合は、[Add] を選択して、さらに発信元と宛先の範囲を入力できるようにします。

削除アイコンリストからこのエントリを削除する場合に選択します。

[Name] ICMP カスタムサービスの名前を入力します。

[Protocol Type] 追加しているサービスのプロトコルの種類として [ICMP] を選択します。

[Type] このサービスの ICMP タイプ番号を入力します。

[Code] 必要に応じて、このサービスの ICMP コード番号を入力します。


ファイアウォール - サービスサービスグループリストの表示


図 139: 新しいカスタムサービス - IP

サービスグループリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、サービスグループはバーチャルドメインごとに別々に作成されます。サービスグループにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

ポリシーの追加を容易にするには、サービスのグループを作成してから 1 つのポリシーを追加して、そのグループ内のすべてのサービスに対するアクセスを許可またはブロックします。サービスグループには、定義済みサービスとカスタムサービスを任意の組み合わせで含めることができます。サービスグループを別のサービスグループに追加することはできません。

サービスグループリストを表示するには、 [Firewall]、[Service]、[Group] の順に選択します。

図 140: サービスグループリストの例

サービスグループリストには、次のアイコンと機能が用意されています。

サービスグループの設定

サービスグループは、ファイアウォールポリシーの設定中に、ドロップダウンリストから [Create New] を選択することによって作成できます。

[Name] IP カスタムサービスの名前を入力します。

[Protocol Type] 追加しているサービスのプロトコルの種類として [IP] を選択します。

[Protocol Number] このサービスの IP プロトコル番号。

[Create New] サービスグループを追加する場合に選択します。

[Group Name] サービスグループを識別する名前。

[Members] このサービスグループに追加されたサービス。

削除アイコンリストからこのエントリを削除する場合に選択します。削除アイコンは、このサービスグループがファイアウォールポリシーで使用されていない場合にのみ使用できます。

編集アイコン [Group Name] や [Members] の情報を編集する場合に選択します。


260

サービスグループの設定ファイアウォール - サービス

サービスをサービスグループに構成するには、 [Firewall]、[Service]、[Group] の順に選択します。

図 141: サービスグループのオプション

[Group Name] サービスグループを識別する名前を入力します。

[Available Services]

設定されたサービスと定義済みサービスのリスト。リスト間でサービスを移動するには、矢印を使用します。

[Members] グループ内のサービスのリスト。リスト間でサービスを移動するには、矢印を使用します。


ファイアウォール - スケジュールワンタイムスケジュールリストの表示

F0

ファイアウォール - スケジュールこの項では、スケジュールを使用して、ポリシーがアクティブまたは非アクティブになる時期を制御する方法について説明します。ワンタイムスケジュールまたは反復スケジュールを作成できます。ワンタイムスケジュールは、スケジュールで指定された期間、 1 回だけ有効になります。反復スケジュールは、毎週繰り返されます。反復スケジュールは、 1 日の指定された時刻、または指定された曜日にのみ有効になります。


• ワンタイムスケジュールリストの表示

• ワンタイムスケジュールの設定

• 反復スケジュールリストの表示

• 反復スケジュールの設定

ワンタイムスケジュールリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、ワンタイムスケジュールはバーチャルドメインごとに別々に設定されます。ワンタイムスケジュールにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

指定された期間だけポリシーがアクティブまたは非アクティブになるワンタイムスケジュールを作成します。たとえば、ファイアウォールに、インターネット上のすべてのサービスへのアクセスを常に許可するデフォルトポリシーが設定されているとします。休日期間中のインターネットへのアクセスをブロックするためのワンタイムスケジュールを追加します。

ワンタイムスケジュールリストを表示するには、 [Firewall]、[Schedule]、[One-time] の順に選択します。

図 142: ワンタイムスケジュールリスト

ワンタイムスケジュールリストには、次のアイコンと機能が用意されています。

[Create New] ワンタイムスケジュールを追加する場合に選択します。

[Name] ワンタイムスケジュールの名前。

[Start] このスケジュールの開始日付および時刻。

[Stop] このスケジュールの停止日付および時刻。

削除アイコンリストからこのスケジュールを削除する場合に選択します。削除アイコンは、このスケジュールがファイアウォールポリシーで使用されていない場合にのみ表示されます。

編集アイコンこのスケジュールを編集する場合に選択します。


262

ワンタイムスケジュールの設定ファイアウォール - スケジュール

ワンタイムスケジュールの設定

ワンタイムスケジュールは、ファイアウォールポリシーの設定中に、 [Schedule] ドロップダウンリストから [Create New] を選択することによって作成できます。

ワンタイムスケジュールを追加するには、 [Firewall]、[Schedule]、[One-time] の順に選択します。

図 143: 新しいワンタイムスケジュール

スケジュールがまる 1 日アクティブになるようにするには、開始時刻と停止時刻を「00」に設定します。ワンタイムスケジュールは、 24 時間時計を使用します。

反復スケジュールリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、反復スケジュールはバーチャルドメインごとに別々に作成されます。反復スケジュールにアクセスするには、メインメニュー内のリストからバーチャルドメインを選択します。

1 日の指定された時刻、または指定された曜日にポリシーがアクティブまたは非アクティブになる反復スケジュールを作成します。たとえば、反復スケジュールを作成することによって就業時間中のゲームを防止します。

反復スケジュールリストを表示するには、 [Firewall]、[Schedule]、[Recurring] の順に選択します。

図 144: 反復スケジュールリスト

[Name] ワンタイムスケジュールを識別する名前を入力します。

[Start] このスケジュールの開始日付および時刻を入力します。

[Stop] このスケジュールの停止日付および時刻を入力します。

注記 : 停止時刻が開始時刻の前になっている反復スケジュールは、その開始時刻に開始し、翌日のその停止時刻に終了します。このテクニックを使用して、ある日から翌日まで実行される反復スケジュールを作成します。開始時刻と停止時刻を同じ時刻に設定することにより、 24 時間実行される反復スケジュールを作成します。


ファイアウォール - スケジュール反復スケジュールの設定

反復スケジュールリストには、次のアイコンと機能が用意されています。

反復スケジュールの設定

反復スケジュールは、ファイアウォールポリシーの設定中に、 [Schedule] ドロップダウンリストから [Create New] を選択することによって作成できます。

反復スケジュールを追加するには、 [Firewall]、[Schedule]、[Recurring] の順に選択します。

図 145: 新しい反復スケジュール

反復スケジュールは、 24 時間時計を使用します。

[Create New] 反復スケジュールを追加する場合に選択します。

[Name] この反復スケジュールの名前。

[Day] このスケジュールがアクティブになる曜日の頭文字。

[Start] この反復スケジュールの開始時刻。

[Stop] この反復スケジュールの停止時刻。

削除アイコンリストからこのスケジュールを削除する場合に選択します。削除アイコンは、このスケジュールがファイアウォールポリシーで使用されていない場合にのみ表示されます。

編集アイコンこのスケジュールを編集する場合に選択します。

[Name] 反復スケジュールを識別する名前を入力します。

[Select] このスケジュールがアクティブになる曜日をオンにします。

[Start] この反復スケジュールの開始時刻を選択します。

[Stop] この反復スケジュールの停止時刻を選択します。


264

反復スケジュールの設定ファイアウォール - スケジュール


ファイアウォール - 仮想 IP 仮想 IP

F0

ファイアウォール - 仮想 IPこの項では、 FortiGate の仮想 IP と IP プールについて、およびそれらをファイアウォールポリシーに設定して使用する方法について説明します。


• 仮想 IP

• 仮想 IP リストの表示

• 仮想 IP の設定

• 仮想 IP グループ

• VIP グループリストの表示

• VIP グループの設定

• IP プール

• IP プールリストの表示

• IP プールの設定

仮想 IP

仮想 IP を使用すると、ネットワークアドレス変換 (NAT) フィアウォールポリシーを用いる FortiGate ユニットを介した接続が可能になります。仮想 IP はプロキシ ARP を使用するので、 FortiGate ユニットは別のネットワーク上のサーバに対する ARP 要求に応答することができます。プロキシ ARP は RFC 1027 で定義されています。

たとえば、仮想 IP を外部の FortiGate ユニットのインタフェースに追加することで、 DMZ または内部ネットワーク上のサーバに接続しているユーザの接続要求にその外部インタフェースが応答できるようすることが可能です。

仮想 IP による FortiGate ユニットを介した接続のマッッピング方法

スタティック NAT 仮想 IP の一つの使用例として、 FortiGate ユニットが保護するプライベートネットワーク上の Web サーバへのパブリックアクセスを容易にすることができます。図 146 のように、この例の基本的な要素だけを考えてみると、プライベートネットワーク上の Web サーバ、インターネット上の閲覧コンピュータ、および 2 つのネットワークに接続する FortiGate ユニットという 3 つの要素しかありません。

クライアントコンピュータは、サーバへの接続を試みます。クライアントコンピュータがデータパケットを送信し、 FortiGate ユニットがそれを受信します。パケット内のアドレスは再マップされて、プライベートネットワーク上のサーバに転送されます。


266

仮想 IP ファイアウォール - 仮想 IP

図 146: 簡単なスタティック NAT 仮想 IP の例

クライアントコンピュータから送信されたパケットには、 192.168.37.55 という送信元 IP と 192.168.37.4 という宛先 IP が含まれています。 FortiGate ユニットは、これらのパケットを外部のインタフェースで受信します。仮想 IP 設定によって192.168.37.4 から 10.10.10.42 へのマッピングが指示されて、パケットのアドレスが変更されます。送信元アドレスは 10.10.10.2 に、宛先は 10.10.10.42 にそれぞれ変更されます。 FortiGate ユニットは、内部に保持するファイアウォールセッションテーブルにこの変換を記録します。その後、パケットは送信されてサーバコンピュータに到着します。

図 147: クライアントからサーバへの NAT 変換におけるパケットアドレス再マッピングの例

クライアントコンピュータのアドレスは、サーバが受信するパケットには含まれないことに注意してください。 FortiGate ユニットでネットワークアドレスが変換されると、クライアントコンピュータのネットワークへの参照はなくなります。サーバは、別のネットワークが存在することを認識しません。サーバにとっては、通信はすべて直接 FortiGate ユニットから送信されます。

サーバがクライアントコンピュータに応答する際は、この手順が同様に逆方向へと実行されます。サーバは、送信元 IP アドレスが 10.10.10.42、宛先アドレスが10.10.10.2 の応答パケットを送信します。 FortiGate ユニットは、これらのパケットを内部インタフェースで受信します。ただし今回は、宛先アドレスの変換先を決定するのに、ファイアウォールセッションテーブルのエントリが使用されます。

この例では、送信元アドレスは 192.168.37.4 に、宛先アドレスは 192.168.37.55 にそれぞれ変更されます。その後、パケットは送信されてクライアントコンピュータに到着します。

サーバコンピュータのアドレスは、クライアントが受信するパケットには含まれません。 FortiGate ユニットでネットワークアドレスが変換されると、サーバコンピュータのネットワークへの参照はなくなります。クライアントは、サーバのプライベートネットワークが存在することを認識しません。クライアントにとっては、 FortiGate ユニットが Web サーバとなります。

図 148: サーバからクライアントへの NAT 変換におけるパケットアドレス再マッピングの例


ファイアウォール - 仮想 IP 仮想 IP

仮想 IP アドレスとして、 FortiGate ユニットインタフェースにバインドされた単一の IP アドレスまたは IP アドレス範囲を設定できます。仮想 IP を使用してFortiGate ユニットインタフェースに IP アドレスまたは IP アドレス範囲をバインドすると、バインドされた IP アドレスまたは IP アドレス範囲の ARP 要求に対してそのインタフェースが応答します。

ファイアウォールポリシーを構築する際に NAT のチェックボックスがオフに設定されている場合、そのポリシーでは宛先ネットワークアドレス変換 (DNAT) が行われます。 DNAT は、特定の宛先 IP アドレスに向けられた外部ネットワークからのパケットを受信し、そのパケットの宛先アドレスを別の隠れたネットワーク上のマップ先 IP アドレスに変換した後、パケットを FortiGate ユニットを介して隠れた宛先ネットワークに転送します。前の例と異なり、送信元アドレスは変換されません。隠れた宛先ネットワーク上に転送されれば、パケットは終的な宛先に到達できます。

仮想 IP はまた、隠れたネットワーク上の送信元 IP アドレス、または送信元アドレスからのリターンパケットのアドレスも、初のパケットの宛先と同じアドレスとなるように変換します。

仮想 IP の範囲はほぼすべてのサイズを設定でき、異なるサブネットへのアドレスに変換できます。仮想 IP の範囲には、次のような制限があります。

• マップ先 IP に 0.0.0.0 または 255.255.255.255 を含めることはできません。

• 仮想 IP のタイプがスタティック NAT で、IP アドレスのある範囲にマップされている場合、外部 IP を 0.0.0.0 に設定することはできません。 0.0.0.0 の外部 IP アドレスをサポートするのは、ロードバランス仮想 IP と、単一のIP アドレスにマップされたスタティック NAT 仮想 IP のみです。

• ポートマッピングでは、外部ポート番号の範囲が内部ポート番号の範囲にマップされます。これら 2 つの範囲のポート数は等しくなければなりません。したがって、範囲が 65535 を超えるように外部ポートを設定してはなりません。たとえば、 20 ポートの内部ポートの範囲を外部ポート 65530からマップすると、その範囲の後のポートが 65550 となるため、無効となります。

• ポートフォワーディングの際、外部 IP の範囲には一切インタフェースの IPアドレスを含めることはできません。

• マップ先の IP 範囲には、インタフェースの IP アドレスを一切含めてはなりません。

• 仮想 IP の名前を、アドレス名またはアドレスグループ名と同じ名前にすることはできません。

• エントリまたは範囲の重複はできません。

IP アドレスまたは IP アドレス範囲をインタフェースにバインドすることに加え、仮想 IP には、受信するインタフェースから同一のネットワークに接続するインタフェースへと、 IP アドレスまたは IP アドレス範囲を実際の IP アドレスまたはIP アドレス範囲としてマップするために必要な情報もすべて含まれます。

さまざまな種類の仮想 IP を作成することが可能で、それぞれ異なる DNAT に使用できます。

注記 : トランスペアレントモードでは、仮想 IP は使用できないか、または不要です。


268

仮想 IP ファイアウォール - 仮想 IP

仮想 IP で設定されたマッピングを実装するには、 NAT ファイアウォールポリシーに仮想 IP を追加する必要があります。外部ネットワーク上のアドレスを内部ネットワークにマップするファイアウォールポリシーを追加するには、外部から内部へのファイアウォールポリシーを追加し、そのポリシーの宛先アドレスフィールドに仮想 IP を追加します。

たとえば、 Web サーバをホスティングするコンピュータが内部ネットワーク上にある場合、そのプライベート IP アドレスは 10.10.10.42 などであることがあります。インターネットから Web サーバへのパケットを取得するには、インターネット上の Web サーバに外部アドレスがなければなりません。インターネット上の Web サーバの外部 IP アドレスを内部ネットワーク上の Web サーバの実際のアドレスにマップするファイアウォールに、仮想 IP を追加します。インターネットから Web サーバに接続できるようにするには、外部から内部へのファイアウォールポリシーを追加し、宛先アドレスを仮想 IP に設定します。

スタティック NAT スタティック NAT 仮想 IP は、送信元ネットワーク上の外部 IP アドレスまたは IP アドレス範囲を、宛先ネットワーク上のマップ先 IP アドレスまたは IP アドレス範囲にマップします。スタティック NAT 仮想 IP では、 1 対 1 でマッピングされます。単一の外部 IP アドレスは、単一のマップ先 IP アドレスにマップされます。外部 IP アドレスの範囲は、対応するマップ先 IP アドレス範囲にマップされます。送信元アドレス範囲内のある所定の IP アドレスは、常に宛先アドレス範囲内の同一の IP アドレスにマップされます。

スタティック NATポートフォワーディング

スタティック NAT ポートフォワーディングは、あるネットワーク上の単一 IP アドレスまたはアドレス範囲、および単一のポート番号またはポート範囲を、別のネットワーク上の異なる単一 IP アドレスまたはアドレス範囲、および異なる単一ポート番号またはポート範囲にマップします。スタティック NAT ポートフォワーディングは、単にポートフォワーディングとも呼ばれます。スタティック NAT ポートフォワーディング仮想 IP では、 1 対 1 でマッピングされます。外部 IP アドレスの範囲は対応するマップ先 IP アドレス範囲にマップされ、外部ポート番号の範囲は対応するマップ先ポート番号の範囲にマップされます。ポートフォワーディング仮想 IP は、 FortiGate ユニットのポートアドレス変換 (PAT) の設定に使用できます。

負荷分散ダイナミックポートフォワーディングとも呼ばれます。負荷分散仮想 IP は、あるネットワーク上の単一の IP アドレスを別のネットワーク上の IP アドレス範囲にマップします。負荷分散では、 IP アドレス範囲から宛先 IP アドレスを指定して、より均等にトラフィックを分散させるよう、 1 対多のマッピングと負荷分散アルゴリズムが使用されます。

負荷分散ポートフォワーディング

ポートフォワーディングによる負荷分散では、あるネットワーク上の単一の IP アドレスとポート番号が、別のネットワーク上の IP アドレスの範囲とポート番号の範囲にマップされます。負荷分散ポートフォワーディングでは、 IP アドレス範囲から宛先 IPアドレスを指定して、より均等にトラフィックを分散させるよう、 1対多の負荷分散アルゴリズムが使用されるとともに、宛先ポート番号の範囲から宛先ポートが割り当てられます。

ダイナミック仮想IP

仮想 IP の外部 IP アドレスを 0.0.0.0 に設定すると、すべての外部 IP アドレスをマップ先 IP アドレスまたはマップ先 IP アドレス範囲に変換するダイナミック仮想 IP が作成されます。

サーバ負荷分散サーバ負荷分散は、あるネットワーク上の単一の IP を別のネットワーク上にある大 8 つのリアルサーバ IP にマップします。この機能を使用するには、リアルアドレスを少なくとも 1 つ追加する必要があります。

サーバ負荷分散ポートフォワーディング

ポートフォワーディングによるサーバ負荷分散では、あるネットワーク上の単一 IP アドレスとポート番号が、別のネットワーク上にある特定のサーバアドレスとポートにそれぞれ大8つまでマップされます。


ファイアウォール - 仮想 IP 仮想 IP リストの表示

仮想 IP リストの表示

仮想 IP リストを表示するには、 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択します。

図 149: 仮想 IP リスト

仮想 IP リストには、次のアイコンと機能が用意されています。

仮想 IP の設定

仮想 IP を追加するには、 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択し、[Create new] を選択します。仮想 IP を編集するには、 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択し、編集する仮想 IP の編集アイコンを選択します。

[Create New] 仮想 IP を追加する場合に選択します。

[Name] 仮想 IP の名前。

[IP] 外部 IP アドレスまたは IP アドレス範囲。

[Service Port] 外部ポート番号またはポート番号の範囲。サービスポートは、ポートフォワーディング仮想 IP に含まれます。

[Map to IP/IP Range]

宛先ネットワーク上のマップ先 IP アドレスまたはアドレス範囲。

[Map to Port] マップ先のポート番号またはポート番号の範囲。マップ先ポートは、ポートフォワーディング仮想 IP に含まれます。

削除アイコンリストから仮想 IP を削除します。削除アイコンは、仮想 IP がファイアウォールポリシーで使用されていない場合にのみ表示されます。

編集アイコン仮想 IP を編集して、仮想 IP 名などの仮想 IP オプションを変更します。

[Name] 仮想 IP を識別するための名前を入力または変更します。混乱を避けるため、ファイアウォールポリシー、アドレス、アドレスグループ、および仮想 IP を同一の名前にすることはできません。

[External Interface] リストから仮想 IP 外部インタフェースを選択します。外部インタフェースは送信元ネットワークに接続され、宛先ネットワークに転送されるパケットを受信します。 FortiGate インタフェース、 VLANサブインタフェース、または VPN インタフェースのいずれも選択できます。

[Type] [Static NAT]、 [Load Balance]、または [Server Load Balance] を選択します。 VIP のタイプの詳細については、 265 ページの「仮想 IP による FortiGate ユニットを介した接続のマッッピング方法」を参照してください。


宛先ネットワーク上のアドレスにマップする外部 IP アドレスを入力します。すべての IP アドレスの接続を許可するダイナミック仮想 IP を設定するには、外部 IP アドレスを 0.0.0.0 に設定します。スタティック NATダイナミック仮想 IP に追加できるマップ先 IP アドレスは 1 つのみです。負荷分散ダイナミック仮想 IP には、単一のマップ先アドレスまたはマップ先アドレス範囲を指定できます。


270

仮想 IP の設定ファイアウォール - 仮想 IP

単一の IP アドレスに対するスタティック NAT 仮想 IP の追加

インターネット上の IP アドレス 192.168.37.4 は、プライベートネットワーク上の 10.10.10.42 にマップされます。インターネットから 192.168.37.4 と通信しようとすると、 FortiGate ユニットによって 10.10.10.42 に変換され、送信されます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、 192.168.37.4 の単一のコンピュータに見えます。

[Mapped IP Address/Range]

外部 IP アドレスのマップ先となる宛先ネットワーク上のリアル IP アドレスを入力します。また、アドレスの範囲を入力して、宛先ネットワーク上の複数の IPアドレスにパケットを転送することもできます。スタティック NAT 仮想 IP では、マップ先 IP アドレス範囲を追加すると、 FortiGate ユニットが外部 IP アドレス範囲を計算し、その IP アドレス範囲が [External IP Address/Range] フィールドに追加されます。

[Port forwarding] ポートフォワーディング仮想 IP を追加する場合に選択します。

[Protocol] 転送されるパケットで使用するプロトコル (TCP または UDP) を選択します。

[External Service Port]

ポートフォワーディングを設定する外部サービスポート番号を入力します。

[Map to Port] 外部ポート番号のマップ先となる宛先ネットワーク上のポート番号を入力します。また、ポート番号の範囲を入力して、宛先ネットワーク上の複数のポートにパケットを転送することもできます。スタティック NAT 仮想 IP では、ポートの範囲にマップを追加すると、 FortiGate ユニットが外部ポート番号の範囲を計算し、そのポート番号の範囲が [External Service Port] フィールドに追加されます。

[Real Servers] VIP のタイプとしてサーバ負荷分散を選択する場合は、リアルのサーバ IP アドレスを入力します。 IP アドレスが少なくとも 1 つは必要で、大 8 つのアドレスを入力できます。サーバ IP アドレスを入力するには、 [Real Servers] の下にある [Add] を選択して、以下の情報を入力します。[IP]: サーバの IP アドレスを入力します。[Port]: ポートフォワーディングを有効にする場合は、外部ポート番号がマップされる宛先ネットワーク上のポート番号を入力します。[Dead interval]: 削除されるまでに接続をアイドルの状態にしておける時間間隔です。 10 ～ 255 秒の範囲を使用できます。[Wake interval]: 中断するまでに接続がサーバの検知を試みる時間間隔です。 10 ～ 255 秒の範囲を使用できます。[Weight]: 特定サーバの重み付けの値を定めます。重み付けの値が大きいほど、サーバが処理する接続のパーセンテージは大きくなります。 1 ～ 255 の範囲を使用できます。[Health Check]: セッションの転送に先立ってサーバのステータスをチェックするには、このオプションを選択します。[Ping Detection]:ping を使用してサーバのステータスをテストするには、このオプションを有効にします。ヘルスチェックは、 ping 検知の前に有効にする必要があります。


ファイアウォール - 仮想 IP 仮想 IP の設定

図 150: 単一の IP アドレスに対するスタティック NAT 仮想 IP の例

単一の IP アドレスに対するスタティック NAT 仮想 IP を追加するには

1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択します。


3 次の手順を使用して、インターネット上のユーザが DMZ ネットワーク上の Webサーバに接続できるようにするための仮想 IP を追加します。この例では、FortiGate ユニットの外部インタフェースはインターネットに接続され、 dmzl インタフェースは DMZ ネットワークに接続されます。

図 151: 仮想 IP オプション : 単一の IP アドレスに対するスタティック NAT 仮想 IP


[Name] simple_static_NAT

[External Interface] external

[Type] Static NAT


Web サーバのインターネット IP アドレス。外部 IP アドレスは、 Web サーバの ISP から取得したスタティック IPアドレスである必要があります。このアドレスは、別のホストが使用しない固有の IP アドレスでなければならず、仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません。しかし、外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IPアドレスは、別々のサブネット上に設定することができます。仮想IP を追加すると、外部インタフェースは外部 IP アドレスの ARP 要求に応答します。

[Map to IP/IP Range]

内部ネットワーク上のサーバの IP アドレス。 IP アドレスは 1 つだけなので、 2 番目のフィールドは空白のままとします。


272


単一の IP アドレスに対するスタティック NAT 仮想 IP をファイアウォールポリシーに追加するには

外部から dmz1 への、仮想 IP を使用するファイアウォールポリシーを追加することで、インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGateユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスを、外部 IP から Web サーバの DMZ ネットワーク IP アドレスに変換します。

1 [Firewall]、[Policy] の順に選択して、 [Create New] を選択します。

2 ファイアウォールポリシーを次のように設定します。

3 [NAT] を選択します。


IP アドレス範囲に対するスタティック NAT 仮想 IP の追加

インターネット上の IP アドレス範囲 192.168.37.4 ～ 192.168.37.6 は、プライベートネットワーク上の 10.10.10.42 ～ 10.10.123.44 にマップされます。192.168.37.4 と通信するインターネット上のコンピュータからのパケットは、 FortiGate ユニットによって 10.10.10.42 に変換され、送信されます。同様に、宛先が 192.168.37.5 のパケットは 10.10.10.43 に、また宛先が 192.168.37.6 のパケットは 10.10.10.44 にそれぞれ変換され、送信されます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、個別の IP アドレスを持つ 3 台のコンピュータに見えます。

図 152: IP アドレス範囲に対するスタティック NAT 仮想 IP の例

IP アドレス範囲に対するスタティック NAT 仮想 IP を追加するには


[Source Interface/Zone] external

[Source Address Name] All ( またはより具体的なアドレス )

[Destination Interface/Zone] dmz1

[Destination Address Name] simple_static_nat

[Schedule] always

[Service] HTTP

[Action] ACCEPT




3 次の手順を使用して、インターネット上のユーザが DMZ ネットワーク上の 3 つの Web サーバに接続できるようにするための仮想 IP を追加します。この例では、 FortiGate ユニットの外部インタフェースはインターネットに接続され、dmzl インタフェースは DMZ ネットワークに接続されます。

図 153: 仮想 IP オプション : IP アドレス範囲に対するスタティック NAT 仮想 IP


IP アドレス範囲に対するスタティック NAT 仮想 IP をファイアウォールポリシーに追加するには

外部から dmz1 への、仮想 IP を使用するファイアウォールポリシーを追加することで、インターネット上のユーザがサーバ IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスを、外部 IP からサーバの DMZ ネットワーク IP アドレスに変換します。



[Name] static_NAT_range


[Type] Static NAT

[External IP Address/Range] Web サーバのインターネット IP アドレス範囲。外部 IP アドレスは、 Web サーバの ISP から取得したスタティック IP アドレスである必要があります。これらのアドレスは、別のホストが使用しない固有の IP アドレスでなければならず、仮想 IP が使用する外部インタフェースの IPアドレスと同一のアドレスにすることはできません。しかし、外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IPアドレスは、別々のサブネット上に設定することができます。仮想 IP を追加すると、外部インタフェースは外部 IPアドレスの ARP 要求に応答します。

[Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス範囲。範囲の初のアドレスを初のフィールドに、後のアドレスを 2番目のフィールドにそれぞれ入力して、範囲を定義します。




[Destination Address Name] static_NAT_range

[Schedule] always

[Service] HTTP

[Action] ACCEPT


274




単一 IP アドレスおよび単一ポートに対するスタティック NAT ポートフォワーディングの追加

インターネット上の IP アドレス 192.168.37.4、ポート 80 は、プライベートネットワーク上の 10.10.10.42、ポート 8000 にマップされます。インターネットから192.168.37.4、ポート 80 と通信しようとすると、 FortiGate ユニットによって10.10.10.42、ポート 8000 に変換され、送信されます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、 192.168.37.4、ポート 80 の単一のコンピュータに見えます。

図 154: 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポートフォワーディングの例

単一 IP アドレスおよび単一ポート対するスタティック NAT 仮想 IP ポートフォワーディングを追加するには




[Name] Port_fwd_NAT_VIP


[Type] Static NAT

[External IP Address/Range] Web サーバのインターネット IP アドレス。外部 IP アドレスは、 Web サーバの ISP から取得したスタティック IP アドレスである必要があります。このアドレスは、別のホストが使用しない固有の IP アドレスでなければならず、仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません。しかし、外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IP アドレスは、別々のサブネット上に設定することができます。仮想 IP を追加すると、外部インタフェースは外部 IP アドレスの ARP 要求に応答します。

[Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス。 IP アドレスは1 つだけなので、2 番目のフィールドは空白のままとします。



図 155: 仮想 IP オプション : 単一 IP アドレスおよび単一ポートに対するスタティックNAT ポートフォワーディング仮想 IP


単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポートフォワーディングをファイアウォールポリシーに追加するには

外部から dmz1 への、仮想 IP を使用するファイアウォールポリシーを追加することで、インターネット上のユーザが Web サーバ IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスとポートを、外部 IP から Web サーバの dmz ネットワーク IP アドレスに変換します。





[Port Forwarding] 選択

[Protocol] TCP

[External Service Port] インターネットからのトラフィックが使用するポート。 Webサーバに対するポートは通常、ポート 80 です。

[Map Port] サーバがトラフィックを待つポート。ポートは 1 つだけなので、 2 番目のフィールドは空白のままとします。




[Destination Address Name] Port_fwd_NAT_VIP

[Schedule] always

[Service] HTTP

[Action] ACCEPT


276


IP アドレス範囲およびポート範囲に対するスタティック NAT ポートフォワーディングの追加

インターネット上のアドレス 192.168.37.4 ～ 192.168.37.7 のポート 80 ～ 83 は、プライベートネットワーク上のアドレス 10.10.10.42 ～ 10.10.10.44 のポート 8000 ～ 8003 にマップされます。インターネットから 192.168.37.5、ポート 82 と通信しようとすると、 FortiGate ユニットによって 10.10.10.43、ポート 8002 に変換され、送信されます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、192.168.37.5 の単一のコンピュータに見えます。

図 156: IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングの例

IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングを追加するには




[Name] Port_fwd_NAT_VIP_port_range


[Type] Static NAT

[External IP Address/Range] 外部 IP アドレスは、 ISP から取得したスタティック IP アドレスである必要があります。このアドレスは、別のホストが使用しない固有のアドレスでなければならず、仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません。しかし、外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IP アドレスは、別々のサブネット上に設定することができます。仮想 IP を追加すると、外部インタフェースは外部 IP アドレスの ARP 要求に応答します。

[Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス。範囲の初のアドレスを初のフィールドに、後のアドレスを 2 番目のフィールドにそれぞれ入力して、範囲を定義します。


[Protocol] TCP




IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポートフォワーディングをファイアウォールポリシーに追加するには

仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで、インターネット上のユーザが Web サーバ IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスとポートを、外部 IP から Web サーバの dmz ネットワーク IPアドレスに変換します。





IP アドレス範囲またはリアルサーバに対する負荷分散仮想 IP の追加

インターネット上の IP アドレス 192.168.37.4 は、プライベートネットワーク上の 10.10.123.42 ～ 10.10.123.44 にマップされます。 IP アドレスのマッピングは、FortiGate ユニットの負荷分散アルゴリズムによって決定されます。インターネットから 192.168.37.4 と通信しようとすると、 FortiGate ユニットによって10.10.10.42、 10.10.10.43、または 10.10.10.44 に変換され、送信されます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、 192.168.37.4 の単一のコンピュータに見えます。


[Map Port] サーバがトラフィックを待つポート。範囲の初のポートを初のフィールドに、後のポートを 2 番目のフィールドにそれぞれ入力して、範囲を定義します。ポートが 1 つだけならば、 2 番目のフィールドは空白のままとします。




[Destination Address Name] Port_fwd_NAT_VIP_port_range

[Schedule] always

[Service] HTTP

[Action] ACCEPT


278


図 157: IP アドレス範囲に対する負荷分散仮想 IP

IP アドレス範囲に対する負荷分散仮想 IP を追加するには




図 158: 仮想 IP オプション : 負荷分散仮想 IP

[Name] Load_Bal_VIP


[Type] Load Balance または Server Load Balance

[External IP address/Range] Web サーバのインターネット IP アドレス。外部 IP アドレスは、 Web サーバの ISP から取得したスタティック IP アドレスである必要があります。このアドレスは、別のホストが使用しない固有の IP アドレスでなければならず、仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません。しかし、外部 IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IP アドレスは、別々のサブネット上に設定することができます。仮想 IP を追加すると、外部インタフェースは外部 IP アドレスの ARP 要求に応答します。

[Map to IP/IP Range] ([Load Balance] タイプ )

内部ネットワーク上のサーバの IP アドレス。範囲の初のアドレスを初のフィールドに、後のアドレスを 2 番目のフィールドにそれぞれ入力して、範囲を定義します。

[Real Servers] ([Server Load Balance] タイプ )

VIP のタイプとしてサーバ負荷分散を選択する場合は、リアルのサーバ IP アドレスを入力します。リアルサーバの設定の詳細については、 269 ページの「仮想 IP の設定」を参照してください。




IP アドレス範囲に対する負荷分散仮想 IP をファイアウォールポリシーに追加するには

仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで、インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスを、外部 IP から Web サーバの DMZ ネットワーク IP アドレスに変換します。





負荷分散ポートフォワーディング仮想 IP の追加

インターネット上の 192.168.37.4 への接続は、プライベートネットワーク上の10.10.10.42 ～ 10.10.10.44 にマップされます。 IP アドレスのマッピングは、FortiGate ユニットの負荷分散アルゴリズムによって決定されます。 192.168.37.4のポート 80 ～ 83 は、 8000 ～ 8003 に順にマップされます。インターネット上のコンピュータがこの変換を認識することはなく、プライベートネットワークを背後に持つ FortiGate ユニットではなく、 192.168.37.4 の単一のコンピュータに見えます。

図 159: IP アドレス範囲およびポート範囲に対する負荷分散仮想 IP ポートフォワーディングの例

IP アドレス範囲に対する負荷分散仮想 IP を追加するには






[Destination Address Name] Load_Bal_VIP

[Schedule] always

[Service] HTTP

[Action] ACCEPT


280




IP アドレス範囲に対する負荷分散仮想 IP をファイアウォールポリシーに追加するには

仮想 IP を使用する dmzl ファイアウォールポリシーに外部ファイアウォールポリシーを追加することで、インターネット上のユーザが Web サーバの IP アドレスへの接続を試みた際に、パケットが外部インタフェースから dmzl インタフェースへと FortiGate ユニットを通過するようにします。仮想 IP は、これらのパケットの宛先アドレスを、外部 IP から Web サーバの DMZ ネットワーク IP アドレスに変換します。


[Name] Load_Bal_VIP_port_forward


[Type] Load Balance

[External IP Address/Range] Web サーバのインターネット IP アドレス。外部 IP アドレスは、 Web サーバの ISP から取得したスタティック IP アドレスである必要があります。このアドレスは、別のホストが使用しない固有の IP アドレスでなければならず、仮想 IP が使用する外部インタフェースの IP アドレスと同一のアドレスにすることはできません。しかし、外部IP アドレスは選択されたインタフェースへとルーティングされる必要があります。仮想 IP アドレスと外部 IP アドレスは、別々のサブネット上に設定することができます。仮想IP を追加すると、外部インタフェースは外部 IP アドレスのARP 要求に応答します。

[Map to IP/IP Range] 内部ネットワーク上のサーバの IP アドレス。範囲の初のアドレスを初のフィールドに、後のアドレスを 2 番目のフィールドにそれぞれ入力して、範囲を定義します。

[Real Servers] VIP のタイプとしてサーバ負荷分散を選択する場合は、リアルのサーバ IP アドレスを入力します。リアルサーバの設定の詳細については、 269 ページの「仮想 IP の設定」を参照してください。


[Protocol] TCP


[Map Port] サーバがトラフィックを待つポート。範囲の初のポートを初のフィールドに、後のポートを 2 番目のフィールドに

それぞれ入力して、範囲を定義します。ポートが 1 つだけならば、 2 番目のフィールドは空白のままとします。






ダイナミック仮想 IP の追加

ダイナミック仮想 IP の追加は、仮想 IP の追加と同様です。異なる点として、外部 IP アドレスを 0.0.0.0 に設定し、すべての IP アドレスに適合するようにする必要があります。

ダイナミック仮想 IP を追加するには



3 ダイナミック仮想 IP の名前を入力します。

4 リストから仮想 IP 外部インタフェースを選択します。

外部インタフェースは送信元ネットワークに接続され、宛先ネットワークに転送されるパケットを受信します。

いずれかのファイアウォールインタフェースまたは VLAN サブインタフェースを選択します。

5 外部 IP アドレスを 0.0.0.0 に設定します。

外部 IP アドレス 0.0.0.0 は、すべての IP アドレスに適合します。

6 ダイナミックポートフォワーディングを設定する外部サービスポート番号を入力します。

外部のサービスポート番号は、転送されるパケットの宛先ポートに一致している必要があります。たとえば、仮想 IP がインターネットから PPTP サーバへのPPTP パススルーアクセスを提供している場合は、外部のサービスポート番号を 1723 (PPTP ポート ) にする必要があります。

7 外部 IP アドレスをマップするマップ先 IP アドレスを入力します。たとえば、内部ネットワーク上の PPTP サーバの IP アドレスです。

8 転送の際にパケットに追加されるマップ先ポート番号を入力します。

ポートが変換されない場合は、外部サービスポートと同じ番号を入力します。





[Destination Address Name] Load_Bal_VIP_port_forward

[Schedule] always

[Service] HTTP

[Action] ACCEPT


282

仮想 IP グループファイアウォール - 仮想 IP

仮想 IP グループ

仮想 IP グループを作成することで、ファイアウォールポリシートラフィック制御を容易にすることができます。たとえば、 DMZ インタフェースにおいて、仮想 IP マッピングを用いる電子メールサーバが 2 つある場合、これら 2 つの VIPを 1 つの VIP グループにまとめるとともに、外部から DMZ へのポリシーを 2 つではなく 1 つ作成して、トラフィックを制御できます。

VIP グループリストの表示

仮想 IP グループリストを表示するには、 [Firewall]、[Virtual IP]、[VIP Group] の順に選択します。

図 160: VIP グループリスト

VIP グループリストには、次のアイコンと機能が用意されています。

VIP グループの設定

VIP グループを追加するには、 [Firewall]、[Virtual IP]、[VIP Group] の順に選択し、 [Create new] を選択します。 VIP グループを編集するには、 [Firewall]、[Virtual IP]、[VIP Group] の順に選択し、編集する VIP グループの編集アイコンを選択します。

[Create New] 新しい VIP グループを追加する場合に選択します。 282 ページの「VIPグループの設定」を参照してください。

[Group Name] 仮想 IP グループの名前。

[Members] グループのメンバを表示します。

[Interface] VIP グループが属するインタフェースを表示します。

削除アイコンリストから VIP グループを削除します。削除アイコンは、ファイアウォールポリシーで VIP グループが使用されていない場合にのみ表示されます。

編集アイコングループ名やメンバなど、 VIP グループ情報を編集します。


ファイアウォール - 仮想 IP IP プール

図 161: VIP グループの編集

次の設定を行い、 [OK] を選択します。

IP プール

宛先インタフェースの IP アドレスに制限するのではなく、 IP プールからランダムに選択されたアドレスに送信元アドレスを変換する NAT ポリシーを追加するには、 IP プールを使用します。

IP プールは、 IP プールが追加されたインタフェースで ARP 要求に応答するアドレスまたは IP アドレス範囲をすべて定義します。

送信パケットの送信元アドレスを IP プールからランダムに選択されたアドレスに変換するには、ファイアウォールポリシーで [Enable Dynamic IP Pool] を選択します。ポリシーの宛先インタフェースが IP プールのインタフェースと同一である場合、 IP プールリストが表示されます。

内部インタフェースに IP プールを追加すると、その内部インタフェースのポリシーに動的 IP プールを宛先として選択できます。

[Group Name] グループ名を入力または編集します。

[Interface] VIP グループを作成するインタフェースを選択します。グループの編集中は、 [Interface] ボックスはグレーになって選択不可能となります。

[Available VIPs] および [Members]

メンバを追加または削除します。


284

IP プールリストの表示ファイアウォール - 仮想 IP

すべてのインタフェースに複数の IP プールを追加し、ファイアウォールポリシーを設定する際に、使用する IP プールを選択します。

単一の IP アドレスは通常どおり入力します。たとえば、 192.168.110.100 は有効な IP プールアドレスです。 IP アドレス範囲が必要な場合は、以下のいずれかの形式を使用します。

• x.x.x.x-x.x.x.x、たとえば 192.168.110.100-192.168.110.120

• x.x.x.[x-x]、たとえば 192.168.110.[100-120]

IP プールとダイナミック NAT

ダイナミック NAT に対しては IP プールを使用します。たとえば、ある組織が一定の範囲のインターネットアドレスを購入したものの、 FortiGate ユニットの外部インタフェースのインターネット接続は 1 つのみという場合があります。

こうした場合、組織のインターネット IP アドレスの 1 つを FortiGate ユニットの外部インタフェースに割り当てます。 FortiGate ユニットが NAT/ ルートモードで動作している場合、ネットワークからインターネットへの接続は、すべてこのIP アドレスから行われているように見えます。

すべてのインターネット IP アドレスから接続を開始するには、外部インタフェースの IP プールにこのアドレス範囲を追加します。次いで、外部インタフェースのすべてのポリシーに、宛先としてダイナミック IP プールを選択します。各接続に対し、ファイアウォールは IP プールから動的に IP アドレスを選択し、接続の送信元アドレスとします。このため、インターネットへの接続は、 IPプールのすべての IP アドレスから開始されているように見えます。

固定ポートを用いたファイアウォールポリシーの IP プール

接続で使用されるパケットの送信元ポートが NAT ポリシーで変換される場合、正しく動作しないネットワーク設定があります。 NAT では、特定のサービスの接続を追跡するため、送信元ポートが変換されます。送信元ポートの変換を防ぐには、 NAT ポリシーの固定ポートを選択します。ただし、固定ポートを選択するということは、このサービスにおいて 1 つの接続しかファイアウォールを介してサポートできないことを意味します。複数の接続をサポートできるようにするには、宛先インタフェースに IP プールを追加した後、ポリシー内でダイナミック IP プールを選択します。ファイアウォールは IP アドレスを IP プールからランダムに選択して、各接続に割り当てます。この場合、ファイアウォールでサポート可能な接続の数は、 IP プール内の IP アドレスの数によって制限されます。

IP プールリストの表示

FortiGate ユニット上でバーチャルドメインが有効になっている場合、 IP プールはバーチャルドメインごとに別々に作成されます。 IP プールにアクセスするには、メインメニューのリストからバーチャルドメインを選択します。 IP プールはトランスペアレントモードでは使用できません。

IP プールリストを表示するには、 [Firewall]、[Virtual IP]、[IP Pool] の順に選択します。


ファイアウォール - 仮想 IP IP プールの設定

図 162: IP プールリスト

IP プールリストには、次のアイコンと機能が用意されています。

IP プールの設定

IP プールを追加するには、 [Firewall]、[Virtual IP]、[IP Pool] の順に選択します。

図 163: 新しいダイナミック IP プール

[Create New] IP プールを追加する場合に選択します。

[Name] IP プールの名前。

[Start IP] 開始 IP はアドレス範囲の始まりを定義します。

[End IP] 終了 IP はアドレス範囲の終わりを定義します。

削除アイコンリストからこのエントリを削除する場合に選択します。削除アイコンは、 IP プールがファイアウォールポリシーで使用されていない場合にのみ表示されます。

編集アイコン名前、インタフェース、 IP、範囲 / サブネットの情報を編集する場合に選択します。

[Name] IP プールの名前を編集または変更します。

[Interface] IP プールを追加するインタフェースを選択します。

[IP Range/Subnet]

IP プールの IP アドレス範囲を入力します。 IP 範囲は、アドレス範囲の初と後を定義します。範囲の初は範囲の後よりも小さくなけ

ればなりません。 IP 範囲は、 IP プールが追加されるインタフェースのIP アドレスと同一のサブネット上である必要はありません。


286

IP プールの設定ファイアウォール - 仮想 IP


ファイアウォール - プロテクションプロファイルプロテクションプロファイルとは

F0

ファイアウォール - プロテクションプロファイル

この項では、 NAT/ ルートモードおよびトランスペアレントモードのポリシーにプロテクションプロファイルを追加する方法について説明します。


• プロテクションプロファイルとは

• プロテクションプロファイルリストの表示

• デフォルトのプロテクションプロファイル

• プロテクションプロファイルの設定

• ポリシーへのプロテクションプロファイルの追加

• プロテクションプロファイル CLI 設定

プロテクションプロファイルとは

プロテクションプロファイルとは、特定の目的に合わせて調整可能な設定のグループです。プロテクションプロファイルは、ファイアウォールポリシーによって制御されるトラフィックにそれぞれ個別の保護設定を適用します。これにより、各ポリシーが処理するトラフィックのタイプに応じて設定を調整できます。次の操作を行う場合にプロテクションプロファイルを使用します。

• HTTP、 FTP、 IMAP、 POP3、 SMTP、および IM ポリシーのアンチウイルス保護の設定。

• HTTP ポリシーおよび HTTPS ポリシーの Web フィルタリングの設定。

• HTTPポリシーおよびHTTPSポリシーのWeb カテゴリフィルタリングの設定。

• IMAP、 POP3、および SMTP ポリシーのスパムフィルタリングの設定。

• すべてのサービスの IPS の有効化。

• HTTP、 FTP、 IMAP、 POP3、 SMTP、および IM ポリシーのコンテンツアーカイブの設定。

• AIM、 ICQ、 MSN、 Yahoo、および SIMPLE のインスタントメッセージングの IMフィルタリングとアクセス制御の設定。

• Bit Torrent、 eDonkey、 Gnutella、 Kazaa、 Skype、および WinNY のピアツーピアクラインアントの P2P アクセスおよび帯域幅制御の設定。

• ログを作成するプロテクションプロファイルのアクションの設定。

• VoIP プロトコル (SIP および SCCP) の帯域制限の設定。

プロテクションプロファイルを使用すれば、さまざまなファイアウォールポリシーの保護のタイプおよびレベルをカスタマイズできます。


288

プロテクションプロファイルリストの表示ファイアウォール - プロテクションプロファイル

たとえば、内部アドレスと外部アドレスとの間のトラフィックには厳重な保護が必要かもしれませんが、信頼できる内部アドレス同士のトラフィックにはさほど厳格な保護は必要ない場合があります。別々のトラフィックサービスに対して、同一または異なるプロテクションプロファイルを使用するようポリシーを設定してください。

FortiGate ユニット上でバーチャルドメインが有効になっている場合、プロテクションプロファイルはグローバルに設定され、すべてのバーチャルドメインで利用できます。プロテクションプロファイルにアクセスするには、 [Global

Configuration]、[Firewall]、[Protection Profile] の順に選択してください。

デフォルトのプロテクションプロファイル

FortiGate ユニットには、あらかじめ次の 4 つのプロテクションプロファイルが設定されています。

プロテクションプロファイルリストの表示

プロテクションプロファイルリストを表示するには、 [Firewall]、[Protection

Profile] の順に選択します。

図 164: デフォルトのプロテクションプロファイル

プロテクションプロファイルリストには、次のアイコンと機能が用意されています。

Strict HTTP、 FTP、 IMAP、 POP3、および SMTP トラフィックに大の保護を適用します。この [strict] プロテクションプロファイルは、通常の状況では不便なことがありますが、大の保護が求められる場合に利用できます。

スキャン HTTP、 FTP、 IMAP、 POP3、および SMTP トラフィックにウイルススキャンを適用します。また、すべてのコンテンツサービスに対して隔離が選択されます。ハードドライブ内蔵の FortiGate モデルでは、アンチウイルススキャンによってファイルにウイルスが発見されると、そのファイルは FortiGate のハードディスクに隔離されます。システム管理者は、必要に応じて隔離されたファイルを回復できます。

Web HTTP トラフィックにウイルススキャンと Web コンテンツブロックを適用します。このプロテクションプロファイルは、 HTTP トラフィックを制御するファイアウォールポリシーに追加してください。

Unfiltered スキャン、ブロック、または IPS を一切適用しません。コンテンツトラフィックを保護する必要がない場合は、この [unfiltered] コンテンツプロファイルを使用します。このプロテクションプロファイルは、コンテンツを保護する必要のない、信頼性または安全性の高いネットワーク間の接続に対するファイアウォールポリシーに追加してください。

[Create New] プロテクションプロファイルを追加する場合に選択します。

[Name] プロテクションプロファイルの名前。

削除リストからプロテクションプロファイルを削除する場合に選択します。削除アイコンは、プロファイルがファイアウォールポリシーで使用されていない場合にのみ使用できます。

編集プロテクションプロファイルを変更する場合に選択します。


ファイアウォール - プロテクションプロファイルプロテクションプロファイルの設定

プロテクションプロファイルの設定

必要な設定がデフォルトのプロテクションプロファイルで用意されていない場合は、カスタムプロテクションプロファイルを作成します。

プロテクションプロファイルを追加するには、 [Firewall]、[Protection Profile] の順に選択して、 [Create New] を選択します。

図 165: 新規のプロテクションプロファイル

注記 : ファイアウォールポリシーで選択されているか、またはユーザグループに含まれている場合、プロテクションプロファイルは削除できません ( 削除アイコンは表示されません )。

[Profile Name] プロテクションプロファイルの名前を入力します。

[Comments] 必要に応じて、プロファイルの説明を入力します。

[AntiVirus] 290ページの「アンチウイルスオプション」を参照してください。

[Web Filtering] 291 ページの「Web フィルタリングオプション」を参照してください。

[FortiGuard-Web Filtering] 292 ページの「FortiGuard-Web フィルタリングオプション」を参照してください。

[Spam Filtering] 294 ページの「スパムフィルタリングオプション」を参照してください。

[IPS] 296 ページの「IPS オプション」を参照してください。

[Content Archive] 297 ページの「コンテンツアーカイブオプション」を参照してください。

[IM & P2P] 298 ページの「IM および P2P オプション」を参照してください。

[Logging] 299 ページの「ロギングオプション」を参照してください。

[VoIP] 300 ページの「VoIP オプション」を参照してください。

注記 : ウイルススキャンとファイルブロックの両方が有効になっている場合、 FortiGateユニットは、有効なファイルパターンと比較してから、ウイルスのスキャンを実行します。ファイルブロック機能でブロックされたファイルのウイルススキャンは実行されません。


290

プロテクションプロファイルの設定ファイアウォール - プロテクションプロファイル

アンチウイルスオプション

図 166: プロテクションプロファイルのアンチウイルスオプション

アンチウイルスについて、プロテクションプロファイルを介して次のオプションを使用できます。

注記 : NNTP オプションは選択できません。将来サポートされる予定です。

[Virus Scan] 各プロトコル (HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM) に対して、ウイルススキャンを有効または無効にします。 [AntiVirus]、[Config]、[Grayware] の順に選択して有効に設定されている場合、ウイルススキャンにグレーウェアが含まれます。 CLI で有効に設定されている場合、ウイルススキャンにヒューリスティックも含まれます。ウイルススキャンを有効にすると、ストリーミングモードも自動的に有効になることに注意してください。

[File Pattern] 各プロトコルに対して、ファイルパターンの処理を有効または無効にします。ファイルは、名前、拡張子、その他のパターンに応じて、ブロックしたり許可したりすることができます。ファイルパターンの処理によって、有害なコンテンツが含まれる可能性のあるファイルが柔軟にブロックされます。[File Pattern] ドロップダウンリスト : プロテクションプロファイルで使用するファイルパターンリストを選択します。デフォルトのファイルパターンリストはビルトインパターンと呼ばれます。

[Quarantine] (ログディスクが必要 )

各プロトコルに対して、隔離を有効または無効にします。疑わしいファイルを隔離して表示するか、または分析のためにフォーティネットにファイルを提出します。 FortiGate にハードドライブまたは設定済みの FortiAnalyzer ユニットがない場合、プロテクションプロファイルに隔離のオプションは表示されません。

[Pass fragmented emails]

メールプロトコル (IMAP、 POP3、 SMTP) に対して、断片化された電子メールの通過を有効または無効にします。断片化された電子メールにウイルスのスキャンは行えません。

[Comfort Clients] HTTP トラフィックおよび FTP トラフィックのクライアントコンフォーティングを有効または無効にします。クライアントコンフォーティングを有効にすると、 HTTP および FTP によるダウンロードでバッファリングされているファイルの状態が視覚的に表示されます。ユーザは、 Web ページの表示やファイルのダウンロードが処理されているところを確認することができます。これが無効になっている場合、ユーザは FortiGate ユニットがダウンロードをバッファリングしている中であることがわからないため、ダウンロードが失敗したものと見なして転送をキャンセルしてしまう可能性があります。

[Interval] ダウンロードの開始後、クライアントコンフォーティングが始まるまでの秒数。これは、それ以降のインターバル間の時間の長さでもあります。

[Amount] 各インターバルで送信されるバイト数。



アンチウイルス設定オプションの詳細については、 355 ページの「アンチウイルス」を参照してください。

Web フィルタリングオプション

図 167: プロテクションプロファイル Web フィルタリングオプション

Web フィルタリングについて、プロテクションプロファイルを介して次のオプションを使用できます。

[Oversized File/Email]

設定された各プロトコルのしきい値を超えるファイルおよび電子メールメッセージのブロックまたはパスを選択します。

[Threshold] ファイルがメガバイト単位のしきい値を超えた場合、ファイルは、 [Oversized File/Email] ドロップダウンリストで設定されたとおり、パスまたはブロックされます。メモリ内のスキャンの大しきい値は、FortiGate ユニットの RAM の 10% です。注記 : 電子メールスキャンでは、サイズ超過のしきい値は、電子メールクライアントでエンコードされた後の、添付ファイルを含む終的なサイズです。電子メールクライアントでは、さまざまなタイプのエンコードが使用されることがあり、エンコードのタイプによっては元の添付ファイルよりも大きいファイルサイズになります。も一般的なエンコードである base64 では、 3 バイトのバイナリデータが4 バイトの base64 データに変換されます。そのため、添付データが設定されたサイズ超過のしきい値を数メガバイト下回っていたとしても、ファイルはサイズ超過としてブロックされたり、ロギングされたりする場合があります。

[Add signature to outgoing emails]

送信する電子メールに付加するシグネチャを作成し、有効にします (SMTP のみ )。

[Web Content Block] コンテンツブロックリストのコンテンツブロックパターンに基づいて、 HTTP トラフィックの Web ページブロックを有効または無効にします。[Web content block] ドロップダウンリスト : プロテクションプロファイルで使用するコンテンツブロックリストを選択します。[Threshold] : Web ページに現れるコンテンツブロックパターンの総合スコアがしきい値を超えると、そのページはブロックされます。詳細については、 388 ページの「Web コンテンツブロックリストの表示」を参照してください。

[Web Content Exempt] コンテンツ除外リストのコンテンツ除外パターンに基づいて、Web コンテンツブロックの解除を有効または無効にします。[Web content exempt] ドロップダウンリスト : プロテクションプロファイルで使用するコンテンツ除外リストを選択します。


292


Web フィルタ設定オプションの詳細については、 383 ページの「Web フィルタ」を参照してください。

FortiGuard-Web フィルタリングオプション

図 168: プロテクションプロファイル FortiGuard-Web フィルタリングオプション

Web カテゴリフィルタリングについて、プロテクションプロファイルを介して次のオプションを使用できます。

[Web URL Filter] URL リストに基づいて、 HTTP および HTTPS トラフィックのWeb ページフィルタリングを有効または無効にします。[Web URL filter] ドロップダウンリスト : プロテクションプロファイルで使用する Web URL フィルタリストを選択します。

[ActiveX Filter] ActiveX コントロールのブロックを有効にします。

[Cookie Filter] クッキーのブロックを有効にします。

[Java Applet Filter] Java アプレットのブロックを有効にします。

[Web resume download block]

すでに一部がダウンロードされているファイルの、ダウンロード部分のブロックを有効にします。このオプションを有効にすると、断片化したファイルに潜むウイルスファイルの意図せぬダウンロードを防止することができます。ただし、PDF などの一部の種類のファイルでは、ダウンロードを高速化するために断片化されることに注意してください。それらの種類のファイルでは、このオプションを有効にすると、ダウンロードが中断される場合があります。

[Block Invalid URLs] FortiGate ユニットは、 CN の検証を行って有効なホスト名であることを確認してから、 Web フィルタリングを適用することができます。このオプションを有効にすると、 CN が有効なホスト名でない場合、トラフィックはブロックされます。

[Enable FortiGuard-Web Filtering]

FortiGuard-Web カテゴリブロックを有効にします。



カテゴリブロック設定オプションの詳細については、 396 ページの「FortiGuard-Web フィルタ」を参照してください。

[Enable FortiGuard-Web Filtering Overrides]

カテゴリの解除を有効にします。これを選択すると、グループのリストが表示されます。利用できるグループがない場合、このオプションはグレーになって選択不可能となります。解除の詳細については、 397 ページの「上書きリストの表示」および 398 ページの「上書きルールの設定」を参照してください。グループの詳細については、 346ページの「ユーザグループ」を参照してください。

[Provide details for blocked HTTP 4xx and 5xx errors] (HTTP のみ )

400 および 500 シリーズの HTTP エラーの差し替えメッセージを表示します。エラーの通過が許可されている場合、悪意のあるサイトまたは好ましくないサイトは、これらの一般的なエラーページを使用して、 Web カテゴリのブロックを逃れることができます。

[Rate images by URL (blocked images will be replaced with blanks)] (HTTP のみ )

FortiGuard によって評価された画像をブロックします。ブロックされた画像は、送信元の Web ページでは空白に置き換えられます。評価対象の画像の種類は、 GIF、 JPEG、 PNG、 BMP、および TIFF です。

[Allow websites when a rating error occurs]

Web フィルタリングサービスから評価エラーが返されたWeb ページを使用できるようにします。

[Strict Blocking] FortiGate ユニットによる Strict Blocking の使用方法に関する情報。

[Rate URLs by domain and IP address]

このオプションを有効にすると、要求されたサイトのURL と IP アドレスの両方が送信されて確認されるため、FortiGuard システムを迂回しようとする試みに対するセキュリティが向上します。ただし、 IP の評価は URL の評価ほど迅速には行われないため、何らかの誤った評価が生じる場合があります。このオプションはデフォルトで無効に設定されています。

[Category] FortiGuard-Web コンテンツフィルタリングサービスには、 Web トラフィックをフィルタリングするためのカテゴリが多数用意されています。各カテゴリに対して、実行するアクションを Web ページで設定します。 [Allow]、[Block]、 [Monitor]、 [Allow Override] から選択します。

[Classification] 分類では、 Web サイトのクラス全体がブロックされます。たとえば Google など、コンテンツをキャッシュして提供する Web サイトをブロックできます。画像、オーディオ、またはビデオの検索が行える Web サイトもブロックできます。また、分類された Web サイトは、いずれかのカテゴリで評価されるか、または一切評価されません。[Allow]、[Block]、 [Monitor]、 [Allow Override] から選択します。


294


スパムフィルタリングオプション

図 169: プロテクションプロファイルのスパムフィルタリングオプション




スパムフィルタリングについて、プロテクションプロファイルを介して次のオプションを使用できます。

[FortiGuard-Antispam] [IP address check]

FortiGuard-Antispam フィルタリングの IP アドレスブラックリストを有効または無効にします。FortiGuard-Antispam は、 SMTP メールサーバの送信元アドレスを抽出し、 FortiGuard-Antispam サーバにその IP アドレスを送信して、既知のスパム発信者と一致するかどうかを調べます。該当する IPアドレスが発見された場合、 FortiGuard-Antispamはセッションを終了します。 FortiGuard-Antispamで一致するものが見つからなかった場合、メールサーバは電子メールを受信者に送信します。このサービスの詳細については、 170 ページの「FortiGuard-Antispam サービス」を参照してください。

[URL check] FortiGuard-Antispam スパムフィルタリングの URLブラックリストを有効または無効にします。FortiGuard-Antispam は、電子メールメッセージの本文をチェックして、 URL リンクをすべて抽出ます。これらの URL のリンクは、FortiGuard-Antispamサーバに送信されて、リストに該当するものがあるかどうかチェックされます。多くの場合、スパムメッセージには広告への URL リンクが含まれています ( スパム広告とも呼ばれます )。 URL の一致が発見された場合、FortiGuard-Antispam はセッションを終了します。FortiGuard-Antispam で一致するものが見つからなかった場合、メールサーバは電子メールを受信者に送信します。このサービスの詳細については、 170 ページの「FortiGuard-Antispam サービス」を参照してください。

[E-mail checksum check]

FortiGuard-Antispam 電子メールメッセージチェックサムブラックリストを有効または無効にします。有効にした場合、このフィルタは電子メールメッセージのチェックサムを計算して FortiGuardサーバに送信し、ブラックリストに含まれるかどうか判定します。 FortiGate ユニットは、サーバの応答に従って電子メールメッセージをパスまたはマーク / ブロックします。

[Spam submission]

有効にした場合、スパムとしてマークされたすべての電子メールメッセージの本文にリンクが加えられます。電子メールメッセージがスパムでない場合、メッセージ内のリンクをクリックして、誤検知であることを FortiGuard に通知します。

[IP address BWL check] ブラック / ホワイトリストのチェック。受信 IP アドレスと設定済みのスパムフィルタの IP アドレスリストとの照合を有効または無効にします。 (SMTP のみ )[IP address BWL check] ドロップダウンリスト : プロテクションプロファイルで使用する IP アドレスブラックリスト / ホワイトリストを選択します。

[HELO DNS lookup] ドメインネームサーバの送信元ドメイン名の (SMTP HELO コマンドからの ) 検索を有効または無効にします。

[E-mail address BWL check]

設定されているスパムフィルタ電子メールアドレスリストに対する受信電子メールアドレスのチェックを有効または無効にします。[E-mail address BWL check] ドロップダウンリスト : プロテクションプロファイルで使用する電子メールアドレスブラックリスト / ホワイトリストを選択します。

[Return e-mail DNS check]

返信先または送信元のアドレスで指定されたドメインに A または MX レコードが含まれているかどうかのチェックを有効または無効にします。


296


スパムフィルタ設定オプションの詳細については、 405 ページの「アンチスパム」を参照してください。 FortiGuard Anti-spam サービスを設定するには、 170ページの「FortiGate ユニットの FDN および FortiGuard サービスの設定」を参照してください。

IPS オプション

図 170: プロテクションプロファイル IPS オプション

IPS について、プロテクションプロファイルを介して次のオプションを使用できます。

IPS 設定オプションの詳細については、 371 ページの「不正侵入防御」を参照してください。

[Banned word check] 設定されているスパムフィルタ禁止単語リストに対する発信元電子メールのチェックを有効または無効にします。[Banned word check] ドロップダウンリスト : プロテクションプロファイルで使用する禁句リストを選択します。[Threshold] : 電子メールメッセージに現れる禁句パターンの総合スコアがしきい値を超えると、そのメッセージは [Spam Action]の設定に従って処理されます。詳細については、 410 ページの「アンチスパム禁止単語リストの表示」を参照してください。

[Spam Action] スパムフィルタが行う処置。 [tagged] を設定すると、スパムとして識別された電子メールの件名またはヘッダにカスタムタグを付けることができます。 SMTP では、ウイルススキャンまたはストリーミングモード ( 別称スプライス ) を有効にした場合、スパム電子メールは破棄のみ可能となります。 ( ウイルススキャンを有効にすると、ストリーミングモードも自動的に有効になることに注意してください。 )[Discard] は、ただちに接続を中断します。ストリーミングモードまたはスキャンが有効に設定されていない場合、 SMTP スパムにタグを付けるか、またはSMTP スパムを破棄するかを選択できます。電子メールには、特別な語句を件名に追加するか、または電子メールのヘッダに MIME のヘッダと値を挿入することで、タグを付けることができます。任意のスパムアクションをイベントログに記録することを選択できます。

[Append to] スパムとして識別された電子メールの件名または MIME ヘッダにタグを追加します。

[Append with] スパムとして識別された電子メールに付加する語句 ( タグ ) を入力します。大の長さは 63 文字です。

注記 : 一般的な電子メールクライアントには、 MIME ヘッダに基づくメッセージのフィルタリングが行えないものがあります。スパムにタグ付けする方法を決める前に、電子メールクライアントの機能を確認してください。

[IPS Signature] プロファイルの IPS シグネチャ重大度を 1 つまたは複数選択します。選択肢は、 [Critical] ( 重大 )、 [High] ( 高 )、 [Medium] ( 中 )、 [Low] ( 低)、 [Information] ( 情報 ) です。重大度が選択されていないシグネチャはトリガされません。

[IPS Anomaly] プロファイルの IPS アノマリ重大度を 1 つまたは複数選択します。選択肢は、 [Critical] ( 重大 )、 [High] ( 高 )、 [Medium] ( 中 )、 [Low] ( 低 )、[Information] ( 情報 ) です。重大度が選択されていないアノマリはトリガされません。



コンテンツアーカイブオプション

すべてのコンテンツアーカイビングオプションにアクセスできるようにするには、 FortiAnalyzer ユニットを設定するとともに、 FortiAnalyzer へのロギングを有効にする必要があります。詳細については、 434 ページの「FortiAnalyzer ユニットへのロギング」を参照してください。

図 171: プロテクションプロファイルコンテンツアーカイブオプション

コンテンツアーカイブについて、プロテクションプロファイルを介して次のオプションを使用できます。

注記 : NNTP およびファイルアーカイビングのオプションは選択できません。将来サポートされる予定です。

[Display content meta-information on the system dashboard]

FortiGate ステータスページの [Statistics] セクションにおける各種トラフィックのメタ情報の表示を有効にします。HTTP トラフィック、 HTTPS トラフィック、 FTP トラフィック、および電子メールメッセージトラフィック (IMAP、 POP3、および SMTP の組み合わせ ) の統計を表示します。

[Archive to FortiAnalyzer] 次の 3 つのオプションから 1 つ選択します。[None] : アーカイブしません。[Summary] : プロトコルごとにコンテンツのメタ情報をFortiAnalyzer ユニットにアーカイブします。コンテンツメタ情報には、日時、送信元および宛先の情報、要求と応答のサイズ、およびスキャン結果を含めることができます。コンテンツアーカイブは、 [Log&Report]、 [Log Config]、[LogSetting] の順に選択して表示されるページで、FortiAnalyzer が有効に設定されている場合にのみ使用できます。[Full] : HTTP および FTP のダウンロードファイルのコピー、または IMAP、 POP3、および STMP のすべての電子メールメッセージのコピーをアーカイブします。

[Archive SPAMed emails to FortiAnalyzer]

通常の電子メールメッセージとともにスパム電子メールメッセージを保存できるようにします。デフォルトでは、スパム電子メールメッセージはアーカイブされません。

[Display content meta-information on the system dashboard] (AIM、ICQ、MSN、Yahoo!)

FortiGate ステータスページの [Statistics] セクションにおける各種トラフィックのメタ情報の表示を有効にします。


298


IM および P2P オプション

図 172: プロテクションプロファイル IM および P2P オプション

IM および P2P について、プロテクションプロファイルを介して次のオプションを使用できます。

IM ユーザのログイン中に IM プロテクションプロファイルを変更した場合、次回のログイン時まで有効になりません。たとえば、現在ログインしているユーザの接続を切断する場合に、 [Enabling Block Login] は使用できません。

IM 設定オプションの詳細については、 421 ページの「IM、 P2P、および VoIP」を参照してください。

[Archive IM to FortiAnalyzer] (AIM、ICQ、MSN、Yahoo!)

次の 3 つのオプションから 1 つ選択します。[None] : アーカイブしません。[Summary] : AIM、 ICQ、 MSN、および Yahoo の IM プロトコルのサマリ情報をロギングします。サマリ情報には、日時、送信元および宛先の情報、要求と応答のサイズ、およびスキャン結果を含めることができます。[Full] : プロトコルごとに IM プロトコルの完全なチャット情報を FortiAnalyzer ユニットにアーカイブします。コンテンツアーカイブは、 [Log&Report]、 [Log Config]、[LogSetting] の順に選択して表示されるページで、FortiAnalyzer が有効に設定されている場合にのみ使用できます。注記 : コンテンツアーカイビングを機能させるには、プロテクションプロファイルの [IM & P2P] セクションで IM オプションを有効にする必要があります。

[Block Login] インスタントメッセージのユーザが AIM、 ICQ、 MSM、Yahoo、および SIMPLE のサービスにログインできないようにします。

[Block File Transfers] AIM、 ICQ、 MSN、および Yahoo のプロトコルのファイル転送のブロックを有効にします。

[Block Audio] AIM、 ICQ、 MSN、および Yahoo のプロトコルのオーディオのブロックを有効にします。

[Inspect Non-standard Port] IM トラフィックの非標準ポートの検査を有効にします。

[Action] BitTorrent、 eDonkey、 Gnutella、 Kazaa、および WinNY プロトコルの P2P 転送のパス、ブロック、または帯域制限を行います。 Skype 転送は、パスとブロックはできますが、帯域制限は行えません。

[Limit (KBytes/s)] 帯域制限が設定されている場合、 BitTorrent、 eDonkey、Gnutella、 Kazaa、および WinNY プロトコルの帯域幅の制限を指定します。



ロギングオプション

図 173: プロテクションプロファイルロギングオプション

ロギングについて、プロテクションプロファイルを介して次のオプションを使用できます。

[Antivirus] [Viruses] スキャンされたウイルスのロギングを有効にします。

[Blocked Files] ブロックされたファイルのロギングを有効にします。

[Oversized Files/Emails] サイズ超過のファイルおよび電子メールメッセージのロギングを有効にします。

[Web Filtering] [Content Block] コンテンツブロックのロギングを有効にします。

[URL Block] ブロックおよび除外された URL のロギングを有効にします。

[ActiveX Filter] ブロックされたActiveXのロギングを有効にします。

[Cookie Filter] ブロックされたクッキーのロギングを有効にします。

[Java Applet Filter] ブロックされた Java アプレットのロギングを有効にします。

[FortiGuard Web Filtering]

[Log rating errors] (HTTP のみ )

評価エラーのロギングを有効にします。

[Spam Filtering] [Log Spam] 検知されたスパムのロギングを有効にします。

[IPS] [Log Intrusions] シグネチャおよびアノマリの侵入のロギングを有効にします。

[IM and P2P] [Log IM Activity] IM アクティビティのロギングを有効にします。

[Log P2P Activity] P2P アクティビティのロギングを有効にします。

[VoIP] [Log VoIP Activity] VoIP アクティビティのロギングを有効にします。


300

ポリシーへのプロテクションプロファイルの追加ファイアウォール - プロテクションプロファイル

ロギングの詳細については、 431 ページの「ログおよびレポート」を参照してください。

VoIP オプション

FortiGate ユニットは、 SIP プロトコル (SIMPLE を含む ) および SCCP プロトコルの帯域制限をサポートします。

図 174: プロテクションプロファイル VoIP オプション

VoIP について、プロテクションプロファイルを介して次のオプションを使用できます。

ポリシーへのプロテクションプロファイルの追加

アクションを allow または IPSec に設定し、またサービスを ANY、 HTTP、 FTP、IMAP、 POP3、 SMTP、またはこれらのサービスを含むサービスグループに設定して、ファイアウォールポリシーのプロテクションプロファイルを有効にします。

FortiGate ユニット上でバーチャルドメインが有効になっている場合、プロテクションプロファイルを各バーチャルドメインのポリシーに追加する必要があります。ポリシーにアクセスするには、メインメニューからバーチャルドメインを選択します。


2 プロテクションプロファイルを追加するポリシーリストを選択します。

たとえば、内部ネットワークのユーザが Web からダウンロードしたファイルのネットワーク保護を有効にするには、内部から外部へのポリシーリストを選択します。

3 [Create New] を選択してポリシーを追加するか、または変更するポリシーの編集を選択します。

4 プロテクションプロファイルを選択します。

5 リストからプロテクションプロファイルを選択します。

6 必要に応じて、残りのポリシー設定を行います。


8 ネットワーク保護を有効にするすべてのポリシーに対して、この手順を繰り返します。

[Limit RIGISTER Request] SIP REGISTER 要求の帯域制限を設定します ( 毎秒 )。

[Limit INVITE Request] SIP INVITE 要求の帯域制限を設定します ( 毎秒 )。

[Limit Call Setup] コールクライアントとコールマネージャ間の SCCP コールのセットアップに帯域制限を設定します (1 分あたりのコール数 )。


ファイアウォール - プロテクションプロファイルプロテクションプロファイル CLI 設定

プロテクションプロファイル CLI 設定

プロテクションプロファイルを追加、編集、または削除するには、 CLI コマンドconfig firewall profile を使用します。ファイアウォールポリシーで制御されるトラフィックに対して異なる保護設定を適用するには、プロテクションプロファイルを使用します。

注記 : CLI コマンドを使用する方法の完全な説明や例については、『FortiGate CLI リファレンス』を参照してください。




302

プロテクションプロファイル CLI 設定ファイアウォール - プロテクションプロファイル


VPN - IPSEC IPSec インタフェースモードの概要

F0

VPN - IPSEC この項では、 Web ベースマネージャから使用可能な、ポリシーベース ( トンネルモード ) およびルートベース ( インタフェースモード ) の IPSec (Internet Protocol Security) VPN オプションについて説明します。 FortiGate ユニットは、ESP (Encapsulated Security Payload) プロトコルを実装しています。暗号化されたパケットは、あらゆる IP ネットワークで転送可能な通常のパケットのように見えます。 IKE ( インターネット鍵交換 ) は、事前共有キーまたは X.509 デジタル証明書に基づいて自動的に実行されます。オプションで手動キーを指定できます。インタフェースモードは、 NAT/ ルートモードでのみサポートされます。これは、 VPN トンネルのローカルエンドに仮想インタフェースを作成します。


• IPSec インタフェースモードの概要

• 自動キー

• 手動キー

• コンセントレータ

• モニタ

IPSec インタフェースモードの概要

ルートベース ( インタフェースモード ) IPSec トンネルを定義すると、仮想IPSec インタフェースが自動的に作成されます。 IKE キーの自動作成を選択するか、または手動でキーを指定するかに関係なく、仮想 IPSec インタフェースは、IPSec フェーズ 1 パラメータを定義する際に選択したローカル FortiGate の物理インタフェース、アグリゲートインタフェース、または VLAN インタフェースのサブインタフェースとして作成されます。

IPSec 仮想インタフェースは、 VPN ピアまたはクライアントとフェーズ 1 接続を確立できる場合に起動します。しかし、フェーズ 2 定義に結合されるまでは、トンネルを介してトラフィックを送信するのに仮想 IPSec インタフェースを使用することはできません。

仮想 IPSec インタフェースの結合は、 [System]、[Network]、[Interface] の順に選択して表示されるページに示されます。物理インタフェースに結合されたトンネルの名前はすべて、 [Name] 列の関連する物理インタフェース名の下に表示されます。 [Interface] ページの詳細については、 69 ページの「インタフェース」を参照してください。

IPSec 仮想インタフェースをトンネルに結合した後、スタティックルートとポリシールート双方の特定のメトリックを用いて、トラフィックをそのインタフェースにルーティングすることができます。また、送信元または宛先インタフェースとして仮想 IPSec インタフェースを備えたファイアウォールポリシーを作成できます。

注記 : 仮想 IPSec インタフェースはゾーンに結合できます。



304

IPSec インタフェースモードの概要 VPN - IPSEC

以下のいずれかの方法で、トンネルモードコンセントレータに相当するものを作成できます。

• 集結させる IPSec インタフェースの各ペア間のファイアウォールポリシーを定義する。ダイヤルアップでは、同一のインタフェースを送信元と宛先の両方に兼用できます。これは、サイト間接続の数が多いと面倒な場合があります。

• すべての IPSec インタフェースを 1 つのゾーンにまとめた後、単一のゾーン間ポリシーを定義する。

• すべての IPSec インタフェースを 1 つのゾーンにまとめ、ゾーン内のトラフィックを有効にする。この場合、複数の IPSec インタフェースがなければなりません。

詳細と例については、『FortiGate IPSec VPN ユーザガイド』を参照してください。

ローカル FortiGate ユニットの背後から発信された IP トラフィックが、 IPSec トンネルのローカルエンドとして機能する ( つまり IPSec インタフェースモードがインタフェースで有効 ) FortiGate の送信インタフェースに到達すると、そのトラフィックはトンネルでカプセル化され、 IPSec 仮想インタフェースの結合先の物理インタフェースを介して転送されます。カプセル化されたリモート VPN ピアまたはクライアントからトラフィックがローカル FortiGate の物理インタフェースに到達すると、 FortiGate ユニットは、トラフィックのセレクタを通じて、 IPSec 仮想インタフェースが物理インタフェースに関連するかどうかを判断します。トラフィックは、定義済みのセレクタに合致した場合、カプセルが解除され、 IPSec 仮想インタフェースに転送されます。

送信方向では、 FortiGate ユニットはルート検索を行って、ネクストホップルータに到達するようトラフィックを転送するインタフェースを見つけ出します。FortiGate ユニットが特定の VPN トンネルに結合されている仮想インタフェースを介したルートを発見した場合、トラフィックは暗号化されて VPN トンネルを通じて送信されます。受信方向では、 FortiGate ユニットは、 ESP データグラムの宛先 IP アドレスと SPI ( セキュリティパラメータインデックス ) を用いてフェーズ 2 SA ( セキュリティアソシエーション ) と合致する VPN トンネルを特定します。合致する SA が見つかると、データグラムは復号化され、関連する IPトラフィックは IPSec 仮想インタフェースを介してリダイレクトされます。

特定のパスに関連したファイアウォールポリシーは、送信元アドレスと宛先アドレスの間を通過するすべての IP トラフィックの制御に関与します。必要に応じて、ルートベース VPN トンネルとのトラフィックのフローを制御する複数のファイアウォールポリシーを設定できます。ルートベースの IPSec トンネルを通じた双方向のトラフィックをサポートするには、送信方向のトラフィックと受信方向のトラフィックを制御する 2 つのファイアウォールポリシーが必要です。

ルートベース VPN によって、 VPN トンネルの冗長化が容易になります。同一のIP トラフィックに異なるルートメトリックを使用して、ルートを設定できます。また、 VPN トンネルを介したルーティング情報の動的な交換 (RIP、 OSPF、または BGP) も設定できます。メインの VPN 接続に不具合が生じたり、ダイナミックルーティングでルートのプライオリティが変更されたりした場合は、代替ルートが選択されて、冗長接続経由でトラフィックが転送されます。



VPN - IPSEC 自動キー

自動キー

IPSec フェーズ 1 およびフェーズ 2 交換の際に固有の IKE ( インターネット鍵交換 ) キーを自動的に生成するように、 2 つの VPN ピア ( または FortiGate ダイヤルアップサーバと VPN クライアント ) を設定することができます。

フェーズ 1 およびフェーズ 2 で自動的に固有のキーが生成されるようにFortiGate ユニットを設定するには、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択します。

フェーズ 2 パラメータを定義する際、トンネルのセキュアな接続のセットアップとリモートピアの認証を行うために、任意のフェーズ 1 パラメータセットを選択できます。

自動キーの設定は、トンネルモードとインタフェースモードの両方の VPN に適用されます。

図 175: 自動キーリスト

新しいフェーズ 1 設定の作成

フェーズ 1 では、 2 つの VPN ピア ( または FortiGate ダイヤルアップサーバとVPN クライアント ) が相互の認証を行い、キーを交換して、セキュアな通信チャンネルを確立します。基本的なフェーズ 1 設定は、 IPSec フェーズ 1 パラメータをリモートゲートウェイに対応付けて、以下について定義します。

• さまざまなフェーズ 1 パラメータが、暗号化された認証情報によって複数のラウンドで交換されるのか ( メインモード ) 、または暗号化されていない認証情報によって単一のメッセージで交換されるのか ( アグレッシブモード )。

注記 : それぞれのフェーズ 1 設定に関連するフェーズ 2 設定は 1 つに限られます。

[Create Phase 1] 新しいフェーズ 1 トンネル設定を作成します。 305 ページの「新しいフェーズ 1 設定の作成」を参照してください。

[Create Phase 2] 新しいフェーズ 2 トンネル設定を作成します。 311 ページの「新しいフェーズ 2 設定の作成」を参照してください。

[Phase 1] 既存のフェーズ 1 トンネル設定の名前。

[Phase 2] 既存のフェーズ 2 設定の名前。

[Interface Binding] IPSec トンネルが結合されるローカルの物理インタフェース、アグリゲートインタフェース、または VLAN インタフェースの名前。


フェーズ 1 設定を削除または編集します。

編集

削除


306

自動キー VPN - IPSEC

• 2 つの VPN ピア ( または VPN サーバとそのクライアント ) の身元を認証するのに、事前共有キーまたはデジタル証明が使用されるか。

• 接続が試みられた際、リモート VPN ピアまたはクライアントを識別するのに、特別な識別子、証明書識別名、またはグループ名が使用されるか。

基本的な IPSec フェーズ 1 パラメータを定義するには、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択し、 [Create Phase 1] を選択します。

図 176: [New Phase 1]

[Name] フェーズ 1 の定義を表す名前を入力します。名前の長さは、インタフェースモード VPN では大 15 文字、ポリシーベース VPN では

大 35 文字です。トンネルモード VPN では、名前にリモート接続の起点を反映させる必要があります。ルートベースのトンネルでは、 FortiGate ユニットも自動的に作成した仮想 IPSec インタフェースの名前を使用します。

[Remote Gateway] リモート接続の性質を以下のように選択します。

• リモートピアの IP アドレスがスタティック IP アドレスである場合は、 [Static IP Address] を選択します。

• 1 つ以上の FortiClient またはダイナミック IP アドレスを持つFortiGate ダイヤルアップクライアントが FortiGate ユニットに接続する場合は、 [Dialup User] を選択します。

• ドメイン名を持ち、ダイナミック DNS サービスに登録しているリモートピアが FortiGate ユニットに接続する場合は、[Dynamic DNS] を選択します。

[IP Address] [Static IP Address] を選択した場合に、リモートピアの IP アドレスを入力します。

[Dynamic DNS] [Dynamic DNS] を選択した場合に、リモートピアのドメイン名を入力します。

[Local Interface] このオプションは、 NAT/ ルートモードでのみ使用できます。リモートピアまたはダイヤルアップクライアントが FortiGate ユニットに接続する物理インタフェース、アグリゲートインタフェース、または VLAN インタフェースの名前を選択します。 FortiGate ユニットは、 IPSec インタフェースが設定されない限り、 [System]、[Network]、[Interface] の順に選択して表示されるページの設定からインタフェースの IP アドレスを取得します (69 ページの「インタフェース」参照 )。 IPSec インタフェースが設定されている場合は、 [Advanced] 設定の [Local Gateway IP] フィールドに別の IP アドレスを指定できます (309 ページの「[Local Gateway IP]」参照 )。



[Mode] [Main] または [Aggressive] を選択します。

• [Main] モードでは、フェーズ 1 パラメータは暗号化された認証情報とともに複数のラウンドで交換されます。

• [Aggressive] モードでは、フェーズ 1 パラメータは暗号化されていない認証情報とともに単一のメッセージで交換されます。

リモート VPN ピアまたはクライアントの IP アドレスがダイナミック IP アドレスであるとき、またはリモート VPN ピアまたはクライアントが識別子 ( ローカル ID) を使用して認証されるときに、インタフェース IP アドレスに複数のダイヤルアップフェーズ 1 設定がある場合は、 [Aggressive] モードを選択する必要があります。 [Peer Options] 設定に特定のモードが必要になる場合があります。下記の[Peer Options] を参照してください。

[Authentication Method]

[Preshared Key] または [SA Signature] を選択します。

[Pre-shared Key] [Authentication Method] で [Preshared Key] を選択した場合、 PSK (Pre-Shared Key: 事前共有キー ) を入力します。 FortiGate ユニットは、フェーズ 1 のネゴシエーション中にこの PSK を用いて、リモートピアまたはダイヤルアップクライアントに対して自分自身を認証します。ここに設定する値は、リモートピアまたはクライアントに設定されている値と同一である必要があります。この鍵は少なくとも 6 つの印字可能な文字を含んでいる必要があり、ネットワーク管理者以外に知られてはなりません。また、現在既知の攻撃から大限に保護できるよう、鍵はランダムに選択した低 16 字の英数文字で設定してください。

[Certificate Name] [Authentication Method] で [RSA Signature] を選択した場合、サーバ証明書の名前を選択します。 FortiGate ユニットは、フェーズ 1 のネゴシエーション中にそのサーバ証明書を用いて、リモートピアまたはダイヤルアップクライアントに対して自分自身を認証します。必要なサーバ証明書の取得とロードについては、『FortiGate 証明書管理ユーザガイド』を参照してください。

[Peer Options] VPN ピアまたはクライアントの認証において、 [Remote Gateway] および [Authentication Method] の設定に応じて以下の 1 つまたは複数のオプションを使用できます。

[Accept any peer ID]

任意のリモート VPN ピアまたはクライアントのローカル ID を受け入れます。 FortiGate ユニットでは識別子 ( ローカル ID) の確認は行われません。 [Mode] は [Aggressive] または [Main] に設定できます。

[Accept this peer ID]

特定の識別子に基づいてリモートピアを認証します。このフィールドに識別子を入力します。リモートピアにも同一の識別子を設定する必要があります。このオプションは、リモートピアにダイナミック IP アドレスが設定されている場合に限り使用できます。リモートピアが FortiGate ユニットである場合、フェーズ 1 設定の [Local ID] フィールドに識別子を指定する必要があります。FortiClient ダイヤルアップクライアントに対しては、そのコネクションの [Advanced Settings] にある [Policy] セクションで [Config] を選択し、 [Local ID] フィールドに識別子を指定します。

[Accept peer ID in dialup group]

同一の VPN トンネルを通じてそれぞれ固有の識別子および固有のPSK ( または固有の PSK のみ ) を使用する複数の FortiGate またはFortiClient ダイヤルアップクライアントを認証します。認証を行うためのダイヤルアップユーザグループを作成する必要があります。 346 ページの「ユーザグループ」を参照してください。 [Accept peer ID in dialup group] オプションの隣に表示されるリストからグループを選択します。FortiGate ダイヤルアップクライアントの設定については、『FortiGate IPSec VPN ユーザガイド』を参照してください。FortiClient ダイヤルアップクライアントの設定については、『FortiClient ダイヤルアップクライアントの認証に関するテクニカルノート』を参照してください。ダイヤルアップクライアントが固有の識別子および固有の PSK を使用する場合、 [Mode] を [Aggressive] に設定する必要があります。ダイヤルアップクライアントが固有の PSK のみを使用し、このインタフェース IP アドレスに対するダイヤルアップフェーズ 1 設定が 1 つしかない場合は、 [Mode] を [Main] に設定できます。





308


フェーズ 1 詳細設定の定義

詳細な [P1 Proposal] パラメータでは、 IKE 交換のキーを生成するためにFortiGate ユニットが使用する暗号化および認証アルゴリズムを選択します。付加的なフェーズ 1 詳細設定を選択することで、フェーズ 1 ネゴシエーションの円滑な運用を保証できます。

IPSec フェーズ 1 詳細パラメータを変更するには、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択し、 [Create Phase 1] を選択した後、 [Advanced] を選択します。

図 177: フェーズ 1 詳細設定

[Accept this peer certificate only]

セキュリティ証明書を使用して、リモートピアまたはダイヤルアップクライアントを認証します。このオプションの隣に表示されるリストから証明書を選択します。証明書は、 [User]、[PKI] の順に選択して表示されるページでFortiGate 設定にピア証明書を追加してからでないと、選択できません。詳細については、 PKI 証明書を参照してください。リモート VPN ピアまたはクライアントにダイナミック IP アドレスが設定されている場合は、 [Mode] を [Aggressive] に設定します。このオプションは、 [Authentication Method] が [RSA Signature] に設定されている場合に使用できます。

[Accept this peer certificate group only]

証明書グループを使用して、ダイナミック IP アドレスを持ち、なおかつ固有の証明書を使用するダイヤルアップクライアントを認証します。リストからピアグループの名前を選択します。グループは、 CLI コマンド config user peergrp を実行してグループを作成してからでないと、選択できません。詳細については、『FortiGate CLI リファレンス』の章「ユーザ」を参照してください。ピアグループのメンバは、 [User]、[PKI] の順に選択して表示されるページか、または CLI コマンド config user peer で追加された証明書である必要があります。リモート VPN ピアまたはクライアントにダイナミック IP アドレスが設定されている場合は、 [Mode] を [Aggressive] に設定します。このオプションは、 [Authentication Method] が [RSA Signature] に、また [Remote Gateway] が [Dialup User] に設定されている場合に使用できます。

[Advanced] フェーズ 1 詳細パラメータを定義します。 308 ページの「フェーズ1 詳細設定の定義」を参照してください。

追加





[Enable IPSec Interface Mode]

VPN トンネルのローカルエンドに仮想インタフェースを作成します。これは、トランスペアレントモードでは使用できません。

[Local Gateway IP] [Enable IPSec Interface Mode] を選択した場合、 VPN トンネルのローカルエンドの IP アドレスを指定する必要があります。次のいずれかを選択します。

• [Main Interface IP] ― FortiGate ユニットは、 [System]、[Network]、[Interface] の順に選択して表示される設定からインタフェースの IP アドレスを取得します (69 ページの「インタフェース」参照 )。

• [Specify] ― IP アドレスを指定します。 IP アドレスは、フェーズ 1の [Local Interface] フィールドで選択された物理インタフェース、アグリゲートインタフェース、または VLAN インタフェースに割り当てられます (306 ページの「[Local Interface]」参照 )。

トランスペアレントモード VDOM でインタフェースモードは設定できません。

[P1 Proposal] ネゴシエーションを保護するためのキーの生成に使用する暗号化および認証アルゴリズムを選択します。必要に応じて、暗号化および認証アルゴリズムを追加または削除します。組み合わせを低で 1 つ、高で 3 つ選択します。定義されたプロポーザルを少なくとも 1 つは使用するようにリモートピアまたはクライアントを設定する必要があります。

以下のいずれかの対称キーアルゴリズムを選択できます。

• DES (Digital Encryption Standard) ― 56 ビットキーを使用する 64ビットブロックアルゴリズム。

• 3DES ― プレーンテキストが 3 つのキーで 3 回暗号化されるトリプル DES。

• AES128 ― 128 ビットキーを使用する 128 ビットブロックアルゴリズム。



次のメッセージダイジェストのいずれかを選択して、フェーズ 1 ネゴシエーション中のメッセージの信憑性を確認することができます。

• MD5 (Message Digest 5) ― RSA Data Security が開発したハッシュアルゴリズム。

• SHA1 (Secure Hash Algorithm 1) ― 160 ビットのメッセージダイジェストを生成するアルゴリズム。

3 つ目の組み合わせを指定するには、 2 つ目の組み合わせのフィールドの隣にある追加ボタンをクリックします。


310


[DH Group] DH グループ 1、 2、および 5 から、 Diffie-Hellman グループを 1 つ以上選択します。アグレッシブモードを使用する場合、 DH グループをネゴシエートすることはできません。

• 両方の VPN ピア ( または VPN サーバとそのクライアント ) がスタティック IP アドレスを持ち、アグレッシブモードを使用する場合は、単一の DH グループを選択します。 FortiGate ユニットの設定は、リモートピアまたはダイヤルアップクライアントの設定と同一である必要があります。

• VPN ピアまたはクライアントがダイナミック IP アドレスを持ち、アグレッシブモードを使用する場合、 FortiGate ユニットでは大 3 つの DH グループを、またリモートピアまたはダイヤルアップクライアントでは 1 つの DH グループを選択します。リモートピアまたはクライアントの設定は、 FortiGate ユニットの選択のいずれか 1 つと同一である必要があります。

• VPN ピアまたはクライアントがメインモードを使用している場合、複数の DH グループを選択できます。少なくとも 1 つのリモートピアまたはクライアントの設定は、 FortiGate ユニットの選択と同一である必要があります。

[Keylife] IKE 暗号化キーが期限切れになるまでの時間 ( 秒 ) を入力します。キーが期限切れになると、サービスを中断させることなく、新しいキーが生成されます。 [Keylife] は 120 ～ 172800 秒に設定できます。

[Local ID] FortiGate ユニットが VPN クライアントとして動作し、認証にピアID を使用している場合は、フェーズ 1 交換中に FortiGate ユニットが VPN サーバに提供する識別子を入力します。FortiGate ユニットが VPN クライアントとして動作し、認証にセキュリティ証明書を使用している場合は、 FortiGate ユニットが認証に使用するローカルサーバ証明書の識別名 (DN) を選択します。FortiGate ユニットがダイヤルアップクライアントで、他のダイヤルアップクライアントとトンネルを共有しない場合 ( つまり、トンネルがこの FortiGate のダイヤルアップクライアント専用となる場合)、 [Mode] を [Aggressive] に設定します。

[XAuth] このオプションは、ダイヤルアップクライアントの認証をサポートするために用意されています。FortiGate ユニットがダイヤルアップクライアントで、 [XAuth] の設定として [Enable as Client] を選択する場合は、 FortiGate ユニットがリモートの XAuth サーバに対して自己認証するために必要なユーザ名とパスワードを入力します。[Remote Gateway] が [Dialup User] に設定され、ダイヤルアップクライアントがダイヤルアップグループのメンバとして認証を行う場合、 FortiGate ユニットは XAuth サーバとして動作できます。 [Enable as Server] を選択するには、 FortiGate ユニットの背後のネットワークへのアクセスが必要なダイヤルアップクライアントを識別するために、まずユーザグループを作成しなければなりません。 See 349ページの「ユーザグループの設定」 .また、認証リクエストを外部の RADIUS または LDAP 認証サーバに転送されるように、 FortiGate ユニットを設定する必要があります。これらのトピックの詳細については、 341 ページの「RADIUS サーバの設定」または 342 ページの「LDAP サーバの設定」を参照してください。FortiGate ユニット、XAuth クライアント、および外部認証サーバの間で使用する暗号化の種類を決定するには、 [Server Type] の設定を選択し、続いて [User Group] リストからユーザグループを選択します。

[Nat-traversal] ローカル FortiGate ユニットと VPN ピアまたはクライアントとの間に NAT デバイスが存在する場合は、このオプションを有効にします。信頼性の高い接続を確立するには、ローカル FortiGate ユニットと VPN ピアまたはクライアントの NAT トラバーサル設定が同一である必要があります ( 両方を選択または解除 )。



新しいフェーズ 2 設定の作成

IPSec フェーズ 1 ネゴシエーションが無事に完了すると、フェーズ 2 が始まります。フェーズ 2 パラメータは、残りのセッションでデータを暗号化および転送するために FortiGate ユニットが使用できるアルゴリズムを定義します。フェーズ2 の間、セキュリティサービスの実装に必要な特定の IPSec セキュリティアソシエーションが選択され、トンネルが確立されます。

基本的なフェーズ 2 設定は、 VPN トンネルのリモートエンドポイントを指定するフェーズ 1 設定に IPSec フェーズ 2 パラメータを対応付けます。ほとんどの場合、設定する必要があるのは基本的なフェーズ 2 設定のみです。

フェーズ 2 を設定するには、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択し、[Create Phase 2] を選択します。

図 178: [New Phase 2]

フェーズ 2 詳細設定の定義

フェーズ 2 では、 FortiGate ユニットと VPN ピアまたはクライアントが再びキーを交換し合い、セキュアな通信チャンネルを確立します。 [P2 Proposal] パラメータでは、セキュリティアソシエーション (SA) の実装詳細を保護するために、キーの生成に必要な暗号化および認証アルゴリズムを選択します。キーは、Diffie-Hellman のアルゴリズムを使用して、自動的に生成されます。

フェーズ 2 では、トンネルの動作を拡張する詳細設定が多数使用できます。IPSec フェーズ 2 詳細パラメータを変更するには、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択し、 [Create Phase 2] を選択した後、 [Advanced] を選択します。

[Keepalive Frequency]

NAT トラバーサルを有効にした場合は、キープアライブ間隔の設定を入力します。値は、 0 ～ 900 秒の間隔を設定できます。

[Dead Peer Detection]

このオプションを有効にすると、アイドル状態の接続において VPNトンネルが回復するとともに、必要に応じて、切断された IKE ピアが除去されます。このオプションを使用することで、トンネルが作動または停止した際に通知を受けたり、またはオプションを有効にすることで、トラフィックがトンネル内で生成されないときにトンネル接続を開いたままにしておくことができます ( たとえば、定期的に変化する IP アドレスからダイヤルアップクライアントまたはダイナミック DNS ピアが接続し、 IP アドレスが変化する間、トラフィックが一時的に中断されるような状況において )。[Dead Peer Detection] オプションが選択されている場合、 CLI コマンド config vpn ipsec phase1 ( トンネルモード ) または configvpn ipsec phase1-interface ( インタフェースモード ) を使用して、リトライの回数と間隔をオプションで指定できます。詳細については、『FortiGate CLI リファレンス』を参照してください。

[Name] フェーズ 2 の設定を識別する名前を入力します。

[Phase 1] フェーズ 1 トンネル設定を選択します。 305 ページの「新しいフェーズ1 設定の作成」を参照してください。フェーズ 1 設定では、リモートVPN ピアまたはクライアントがこのトンネルでどのように認証されるのか、またリモートピアまたはクライアントへの接続がどのように保護されるのかが設定されます。

[Advanced] フェーズ 2 詳細パラメータを定義します。 311 ページの「フェーズ 2 詳細設定の定義」を参照してください。



312


図 179: フェーズ 2 詳細設定

[P2 Proposal] データを暗号化コードに変えるために使用する暗号化および認証アルゴリズムを選択します。必要に応じて、暗号化および認証アルゴリズムを追加または削除します。組み合わせを低で 1 つ、高で 3 つ選択します。定義されたプロポーザルを少なくとも 1 つは使用するようにリモートピアを設定する必要があります。

以下のいずれかの対称キーアルゴリズムを選択できます。

• NULL ― 暗号化アルゴリズムは使用しません。

• DES (Digital Encryption Standard) ― 56 ビットキーを使用する 64 ビットブロックアルゴリズム。

• 3DES ― プレーンテキストが3 つのキーで 3回暗号化されるトリプルDES。




次のメッセージダイジェストのいずれかを選択して、暗号化されたセッション中のメッセージの信憑性を確認することができます。

• NULL ― メッセージダイジェストは使用しません。

• MD5 (Message Digest 5) ― RSA Data Security が開発したハッシュアルゴリズム。


組み合わせを 1 つだけ指定するには、2 つ目の組み合わせの [Encryption] および [Authentication] オプションを [NULL] に設定します。 3 つ目の組み合わせを指定するには、 2 つ目の組み合わせのフィールドの隣にある追加ボタンをクリックします。

[Enable replay detection]

オプションで、リプレイの検知を有効または無効にします。リプレイ攻撃は、許可されていない相手が一連の IPSec パケットを傍受し、トンネルに向けてそれを再送信することで発生します。

[Enable perfect forward secrecy (PFS)]

PFS を有効または無効にします。 PFS (Perfect Forward Secrecy) は、キーの期限が切れるたびに新しい Diffie-Hellman 交換を強制的に実行することにより、セキュリティを強化します。

[DH Group] Diffie-Hellman グループを 1 つ選択します (1、 2、または 5)。同一のグループを使用するようにリモートピアまたはダイヤルアップクライアントを設定する必要があります。

追加



[Keylife] フェーズ 2 キーの期限を定める方法を、 [Seconds] ( 秒 )、 [KBytes] ( キロバイト )、または [Both] ( その両方 ) から選択します。 [Both] を選択した場合、指定の時間が経過するか、または指定のバイト数の処理が完了すると、キーは期限切れとなります。範囲は 120 ～ 172800 秒、または5120 ～ 2147483648 KB です。

[Autokey Keep Alive]

データが処理されていない間もトンネルを有効にしておく場合は、このオプションを有効にします。

[DHCP-IPSec] FortiGate ユニットがダイヤルアップサーバとして動作し、 FortiClient のダイヤルアップクライアントへの VIP アドレスの割り当てに FortiGate DHCP リレーが使用される場合は、 [Enable] を選択します。 DHCP リレーのパラメータは、別途設定する必要があります。詳細については、117 ページの「システム - DHCP」を参照してください。FortiGate ユニットがダイヤルアップサーバとして動作し、ダイヤルアップサーバの背後のネットワークと一致する FortiClient ダイヤルアップクライアント VIP アドレスを手動で割り当てた場合は、 [Enable] を選択して、 FortiGate ユニットがダイヤルアップクライアントのプロキシとして動作するようにします。これは、ダイヤルアップフェーズ 1 設定に関連したトンネルモードのフェーズ 2 設定にのみ使用できます。

注記 : FortiGate ユニットを介して VPN ユーザがインターネットを閲覧できるようにすることが可能です。 314 ページの「インターネットブラウジング設定」を参照してください。

[Quick Mode Selector]

オプションで、 IKE ネゴシエーションのセレクタとして使用する送信元および宛先 IP アドレスを指定します。 FortiGate ユニットがダイヤルアップサーバである場合、 VPN を構成する 1 つ以上のプライベートネットワーク間の IP アドレスが不明瞭なことによって生じる問題を防止する必要がある場合を除き、デフォルト値の 0.0.0.0/0 を変更しないでください。単一のホスト IP アドレス、 IP アドレス範囲、またはネットワークアドレスを指定できます。オプションで、送信元と宛先のポート番号またはプロトコル番号、あるいはその両方を指定できます。既存のフェーズ 2 設定を編集する場合、ファイアウォールのアドレスをセレクタとして使用するようにトンネルが設定されていると、 [Source address] と [Destination address] のフィールドは使用できません。このオプションは CLI でのみ使用できます。『FortiGate CLI リファレンス』で、 vpn ipsec phase2 コマンドのキーワード、 dst-addr-type、dst-name、 src-addr-type、および src-name を参照してください。

[Source address] FortiGate ユニットがダイヤルアップサーバである場合、ローカル送信者またはローカル VPN ピアの背後のネットワークに対応する送信元 IP アドレスを入力します ( たとえば、サブネットには172.16.5.0/24 または172.16.5.0/255.255.255.0、サーバまたはホストには 172.16.5.1/32 または172.16.5.1/255.255.255.255、あるいはアドレス範囲には 192.168.10.[80-100] または192.168.10.80-192.168.10.100 など )。0.0.0.0/0の値は、ローカル VPN ピアの背後のすべての IP アドレスを意味します。FortiGate ユニットがダイヤルアップクライアントである場合、送信元アドレスは、 FortiGate ダイヤルアップクライアントの背後のプライベートネットワークを参照する必要があります。

[Source port] 指定されたサービス ( プロトコル番号 ) に関係するトラフィックを伝送するためにローカル VPN ピアが使用するポート番号を入力します。範囲は 0 ～ 65535 です。すべてのポートを指定するには、 0 を入力します。

[Destination address]

受信者またはリモート VPN ピアの背後のネットワークに対応する宛先 IP アドレスを入力します ( たとえば、サブネットには 192.168.20.0/24、サーバまたはホストには 172.16.5.1/32、あるいはアドレス範囲には 192.168.10.[80-100] など )。0.0.0.0/0の値は、リモート VPN ピアの背後のすべての IP アドレスを意味します。



314


インターネットブラウジング設定

FortiGate ユニットを介して VPN ユーザがインターネットを閲覧できるようにすることが可能です。これはファイアウォールのポリシーで行います。必要なポリシーは、ポリシーベース VPN とルートベース VPN で異なります。ファイアウォールポリシーの詳細については、 226 ページの「ファイアウォールポリシーの設定」を参照してください。

ポリシーベース VPN インターネットブラウジング設定

追加のファイアウォールポリシーを次のように設定します。

ルートベース VPN インターネットブラウジング設定

追加のファイアウォールポリシーを次のように設定します。

[Destination port] 指定されたサービス ( プロトコル番号 ) に関係するトラフィックを伝送するためにリモート VPN ピアが使用するポート番号を入力します。範囲は 0 ～ 65535 です。すべてのポートを指定するには、 0 を入力します。

[Protocol] サービスの IP プロトコル番号を入力します。範囲は 1 ～ 255 です。すべてのサービスを指定するには、 0 を入力します。

[Source Interface/Zone] FortiGate ユニットのパブリックインタフェースを選択します。

[Source Address Name] [All] を選択します。

[Destination Interface/Zone] FortiGate ユニットのパブリックインタフェースを選択します。

[Destination Address Name] リモートネットワークアドレスの名前を選択します。

[Action] [IPSEC] を選択します。

[VPN Tunnel] FortiGate ユニットの背後にあるプライベートネットワークへのアクセスを提供するトンネルを選択します。

[Inbound NAT] 有効にします。

必要に応じて、他の設定を行います。

[Source Interface/Zone] IPSec インタフェースを選択します。

[Source Address Name] [All] を選択します。

[Destination Interface/Zone] FortiGate ユニットのパブリックインタフェースを選択します。

[Destination Address Name] [All] を選択します。

[Action] [ACCEPT] を選択します。

[NAT] 有効にします。

必要に応じて、他の設定を行います。


VPN - IPSEC 手動キー

手動キー

必要に応じて、 IPSec VPN トンネルを確立するための暗号化キーを手動で定義できます。手動キーは、次のような状況で定義します。

• 暗号化キーまたは認証キー、あるいはその両方の予備知識が求められる場合 ( つまり、 VPN ピアの 1 つに特定の IPSec 暗号化キーまたは認証キー、あるいはその両方が必要な場合 )。

• 暗号化と認証を無効にする必要がある場合。

どちらの場合も、 IPSec のフェーズ 1 およびフェーズ 2 のパラメータは指定せず、 [VPN]、[IPSEC]、[Manual Key] の順に選択して表示されるページで手動キーを定義します。

図 180: 手動キーリスト

新しい手動キー設定の作成

VPN デバイスの 1 つが特定の特定の認証キーまたは暗号化キー、あるいはその両方を使用してトンネルを確立する場合、両方の VPN デバイスを同一の認証キーまたは暗号化キー、あるいはその両方を使用するように設定する必要があります。また、両方の VPN デバイスを相補的な SPI ( セキュリティパラメータインデックス ) で設定することが重要です。

各 SPI は、 SA ( セキュリティアソシエーション ) を識別します。値は、 ESPデータグラムを SA にリンクするために、そのデータグラムに配置されます。ESP データグラムを受信すると、受信者は SPI を参照して、データグラムに適用する SA を決定します。 SPI は、 SA ごとに手動で指定する必要があります。 SAは一方向のみの通信に適用されるため、 VPN デバイス間の双方向通信に対応するには、設定ごとに 2 つの SPI を指定しなければなりません ( ローカル SPI とリモート SPI)。

注記 : キーの機密を保持するためには、ネットワーク管理者が信頼できる人物でなければなりません。また、リモート VPN ピアにセキュアな方法で変更を伝えるのが困難な場合があります。以上の理由から、手動キーを定義することは安全または現実的でないことがあります。

[Create New] 新しい手動キー設定を作成します。 315 ページの「新しい手動キー設定の作成」を参照してください。

[Tunnel Name] 既存の手動キー設定の名前。

[Remote Gateway] リモートピアまたはダイヤルアップクライアントの IP アドレス。

[Encryption Algorithm]

手動キー設定で指定された暗号化アルゴリズムの名前。

[Authentication Algorithm]

手動キー設定で指定された認証アルゴリズムの名前。


手動キー設定を削除または編集します。

編集

削除


316

手動キー VPN - IPSEC

トンネルを作成するための手動キーを指定するには、 [VPN]、[IPSEC]、[Manual Key] の順に選択し、 [Create New] を選択します。

図 181: [New Manual Key]

!注意 : 特定の設定におけるセキュリティポリシー、 SA、セレクタ、および SA データベースについて熟知していない場合は、適格の支援を受けることなく下記の手順を実施しないでください。

[Name] VPN トンネルの名前を入力します。名前の長さは、インタフェースモード VPN では大 15 文字、ポリシーベース VPN では大 35 文字です。

[Local SPI] ローカル FortiGate ユニットの送信トラフィックを処理する SA を表す、 16 進数の値 ( 大 8 文字、 0 ～ 9、 a ～ f) を入力します。有効範囲は、 0x100 ～ 0xffffffff です。この値は、リモートピアの手動キー設定における [Remote SPI] の値と一致する必要があります。

[Remote SPI] ローカル FortiGate ユニットの受信トラフィックを処理する SA を表す、 16 進数の値 ( 大 8 文字、 0 ～ 9、 a ～ f) を入力します。有効範囲は、 0x100 ～ 0xffffffff です。この値は、リモートピアの手動キー設定における [Local SPI] の値と一致する必要があります。

[Remote Gateway] リモートピアへのパブリックインタフェースの IP アドレスを入力します。このアドレスは、 ESP データグラムの受信者を識別します。

[Local Interface] このオプションは、 NAT/ ルートモードでのみ使用できます。 IPSecトンネルが結合される物理インタフェース、アグリゲートインタフェース、または VLAN インタフェースの名前を選択します。FortiGate ユニットは、 [System]、[Network]、[Interface] の順に選択して表示されるページの設定から IP アドレスを取得します (69ページの「インタフェース」参照 )。

[Encryption Algorithm]

以下のいずれかの対称キー暗号化アルゴリズムを選択します。

• DES (Digital Encryption Standard) ― 56 ビットキーを使用する 64ビットブロックアルゴリズム。

• 3DES ― プレーンテキストが 3 つのキーで 3 回暗号化されるトリプル DES。

• AES128 ― 128ビットキーを使用する128ビットブロックアルゴリズム。




VPN - IPSEC コンセントレータ

コンセントレータ

ハブアンドスポークの構成では、多数のリモートピアへのポリシーベース VPN接続は、中央にある単一の FortiGate ユニットから放射状に広がります。リモートピア同士のサイト間接続は存在しないものの、 FortiGate ユニットの「ハブ」を介して、任意の 2 つのリモートピア間に VPN トンネルを確立できます。

ハブアンドスポークネットワークでは、 VPN トンネルはすべてハブが終点となります。ハブに接続するピアは「スポーク」と呼ばれます。ハブは、ネットワークのコンセントレータとして機能し、スポーク間のすべての VPN 接続を管理します。 VPN トラフィックは、ハブを介して 1 つのトンネルから別のトンネルへと進みます。

コンセントレータは、ハブアンドスポーク設定にスポークが含まれるように定義します。

コンセントレータを定義するには、 [VPN]、[IPSEC]、[Concentrator] の順に選択します。

[Encryption Key] 以下に従って入力します。

• DES を選択した場合は、 16 字の 16 進数 (0 ～ 9、 a ～ f) を入力します。

• 3DES を選択した場合は、16 字のセグメント 3 つに分けた 48 字の16 進数 (0 ～ 9、 a ～ f) を入力します。

• AES128 を選択した場合は、16 字のセグメント 2 つに分けた 32 字の 16 進数 (0 ～ 9、 a ～ f) を入力します。



[Authentication Algorithm]

以下のいずれかのメッセージダイジェストを選択します。

• MD5 (Message Digest 5) ― 128 ビットのメッセージダイジェストを生成するアルゴリズム。


[Authentication Key] 以下に従って入力します。

• MD5 を選択した場合は、16字のセグメント 2 つに分けた 32字の16進数 (0 ～ 9、 a ～ f) を入力します。

• SHA1 を選択した場合は、16 字のセグメントと 24 字のセグメントに分けた 40 字の 16 進数 (0 ～ 9、 a ～ f) を入力します。

[IPSec Interface Mode]

VPN トンネルのローカルエンドに仮想インタフェースを作成します。このオプションは、 NAT/ ルートモードでのみ使用できます。


318

コンセントレータ VPN - IPSEC

図 182: コンセントレータリスト

コンセントレータオプションの定義

コンセントレータの設定では、 IPSec ハブアンドスポーク設定に含めるスポークを指定します。

IPSec ハブアンドスポーク設定のスポークを指定するには、 [VPN]、[IPSEC]、[Concentrator] の順に選択し、 [Create New] を選択します。

図 183: [New VPN Concentrator]

[Create New] IPSec ハブアンドスポーク設定の新しいコンセントレータを定義します。 318 ページの「コンセントレータオプションの定義」を参照してください。

[Concentrator Name] 既存の IPSec VPN コンセントレータの名前。

[Members] コンセントレータに関連するトンネル。


コンセントレータを削除または編集します。

編集

削除

[Concentrator Name]

コンセントレータの名前を入力します。

[Available Tunnels] 定義済みの IPSec VPN トンネルのリスト。リストからトンネルを選択してから、右向きの矢印をクリックします。スポークに関連するトンネルがすべてコンセントレータに含まれるまで、この手順を繰り返します。

[Members] コンセントレータのメンバであるトンネルのリスト。コンセントレータからトンネルを削除するには、トンネルを選択して、左向きの矢印をクリックします。


VPN - IPSEC モニタ

モニタ

モニタを使用すると、 IPSec VPN トンネルの活動を表示したり、それらのトンネルを開始または停止したりすることができます。ディスプレイには、トンネルモードやルートベース ( インタフェースモード ) トンネルなどのすべてのアクティブなトンネルについて、アドレスのリスト、プロキシ ID、およびタイムアウト情報が表示されます。

アクティブなトンネルを表示するには、 [VPN]、[IPSEC]、[Monitor] の順に選択します。

図 184: モニタリスト

[Dialup] リストでは、ダイヤルアップクライアントに対して確立されたトンネルのステータス情報が表示されます。リストには、ダイヤルアップクライアントの IP アドレスと、アクティブなすべてのトンネルの名前が表示されます。リストに表示されるトンネルの数は、ダイヤルアップクライアントが接続したり切断したりするたびに変わる可能性があります。

[ 次ページ ] および [前ページ ] アイコン

ダイヤルアップトンネルステータスリストの前のページまたは次のページを表示します。

[Name] 設定されたトンネルの名前。

[Remote Gateway] リモートホストデバイスのパブリック IP アドレスおよび UDPポート。または、リモートホストの前に NAT デバイスがある場合は、 NAT デバイスのパブリック IP アドレスおよび UDP ポート。

[Username] ダイヤルアップクライアントのピア ID、証明書の名前、またはXAuth ユーザ名 ( 認証を行うために、ピア ID、証明書の名前、または XAuth ユーザ名がダイヤルアップクライアントに割り当てられた場合 )。

[Timeout] 次のフェーズ 2 キー交換までの時間。時間は、前回のキー交換からの経過時間をキーライフから差し引いて計算されます。フェーズ 2キーが期限切れになると、サービスを中断させることなく、新しいキーが生成されます。

[Proxy ID Source] FortiGate ユニットの背後にあるホスト、サーバ、またはプライベートネットワークの IP アドレス。ファイアウォール暗号化ポリシーの送信元アドレスが IP アドレスの範囲となっている場合は、ネットワーク範囲が表示されることがあります。

前ページ

次ページ


320

モニタ VPN - IPSEC

スタティック IP およびダイナミック DNS のリストでは、スタティックアドレスまたはドメイン名を持ったリモートピアへの VPN トンネルに関する情報が表示されます。このリストを使用して、各トンネル設定のステータスおよび IP アドレスの情報を表示できます。リストから個々のトンネルを始動したり、停止したりすることも可能です。

[Proxy ID Destination]

FortiClient ダイヤルアップクライアントがトンネルを確立すると、次のようになります。

• VIP アドレスが使用されない場合、 [Proxy ID Destination] フィールドには、リモートホストのネットワークインタフェースカード (NIC) のパブリック IP アドレスが表示されます。

• VIP アドレスが設定された場合 ( 手動または FortiGate の DHCP リレーを通じて )、 [Proxy ID Destination] フィールドには、FortiClient ダイヤルアップクライアントに属する VIP アドレス、または VIP アドレスが指定されたサブネットアドレスのいずれかが表示されます。

FortiGate のダイヤルアップクライアントがトンネルを確立すると、[Proxy ID Destination] フィールドには、リモートプライベートネットワークの IP アドレスが表示されます。

[ トンネル始動 ] または [ トンネル停止] アイコン

上向きの緑の矢印は、現在トンネルがトラフィックを処理していることを意味します。これを選択すると、トンネルが停止します。下向きの赤い矢印は、トンネルがトラフィックを処理していないことを意味します。これを選択すると、トンネルが作動します。

[ 次ページ ] および [ 前ページ ] アイコン

VPN トンネルステータスリストの前のページまたは次のページを表示します。

[Name] 設定されたトンネルの名前。

[Remote Gateway]

リモートゲートウェイの IP アドレスまたは UDP ポート。ダイナミック DNS トンネルでは、 IP アドレスはダイナミックに更新されます。

[Timeout] 次のフェーズ 2 キー交換までの時間。時間は、前回のキー交換からの経過時間をキーライフから差し引いて計算されます。フェーズ 2 キーが期限切れになると、サービスを中断させることなく、新しいキーが生成されます。

[Proxy ID Source] FortiGate ユニットの背後にあるホスト、サーバ、またはプライベートネットワークの IP アドレス。ファイアウォール暗号化ポリシーの送信元アドレスが IP アドレスの範囲となっている場合は、ネットワーク範囲が表示されることがあります。

[Proxy ID Destination]

リモート FortiGate ユニットの背後にあるホスト、サーバ、またはプライベートネットワークの IP アドレス。

[ トンネル始動 ] または [ トンネル停止 ] アイコン

上向きの緑の矢印は、現在トンネルがトラフィックを処理していることを意味します。これを選択すると、トンネルが停止します。下向きの赤い矢印は、トンネルがトラフィックを処理していないことを意味します。これを選択すると、トンネルが作動します。


VPN - PPTP PPTP の範囲

F0

VPN - PPTPFortiGate ユニットは、 2 つの VPN ピア間の PPP トラフィックをトンネリングする PPTP をサポートします。Windows または Linux の PPTP クライアントは、PPTPサーバとして設定された FortiGate ユニットと PPTP トンネルを確立することができます。または、 FortiGate ユニットの背後のネットワーク上にある PPTP サーバにPPTPパケットを転送するようにFortiGateユニットを設定することも可能です。

PPTP VPN は、 NAT/ ルートモードでのみ使用できます。 PPTP および L2TP のセッション数は現在、大で 254 です。開始 IP と終了 IP は、たとえば x.x.x.1. ～ x.x.x.254. のように、同じ 24 ビットのサブネット内である必要があります。

この項では、 Web ベースマネージャを使用して、 PPTP クライアントの IP アドレスの範囲を指定する方法について説明します。その他関連する PPTP VPNセットアップタスクを実行する方法については、『FortiGate PPTP VPN ユーザガイド』を参照してください。


• PPTP の範囲

PPTP の範囲

PPTP アドレスの範囲は、 [PPTP Range] ページで指定できます。 PPTP アドレス範囲は、リモート PPTP クライアント用に予約されたアドレスの範囲です。リモート PPTP クライアントが接続すると、 FortiGate ユニットは、予約された IP アドレス範囲から IP アドレスをクライアント PPTP インタフェースに割り当てます。PPTP クライアントは接続中、割り当てられた IP アドレスを送信元アドレスとして使用します。

PPTP を有効にして、PPTP アドレス範囲を指定するには、 [VPN]、[PPTP]、[PPTPRange] の順に選択して、必要なオプションを選択し、 [Apply] を選択します。

図 185: [Edit PPTP Range]

[Enable PPTP] オプションを選択します。オプションを選択する前に、ユーザグループを追加する必要があります。 346 ページの「ユーザグループ」を参照してください。

[Starting IP] 予約する IP アドレス範囲の開始アドレスを入力します。

[Ending IP] 予約する IP アドレス範囲の終了アドレスを入力します。

[User Group] 定義した PPTP ユーザグループの名前を選択します。

[Disable PPTP] PPTP のサポートを無効にするには、このオプションを選択します。




322

PPTP の範囲 VPN - PPTP


VPN - SSL Config

F0

VPN - SSLこの項では、 Web ベースマネージャで [VPN]、[SSL] の順に選択して表示されるページの機能について説明します。 SSL VPN は、 NAT/ ルートモードで動作する FortiGate ユニットでのみサポートされます。


• Config

• Monitor

Config

[Config] ページには、タイムアウト値や SSL 暗号化の選択などの、基本的な SSL VPN の設定が含まれます。必要に応じて、リモートクライアントの認証にデジタル証明書を使用できるようにすることも可能です。

現在の SSL 設定を表示するには、 [VPN]、[SSL]、[Config] の順に選択します。

注記 : Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については、『FortiGate SSL VPN ユーザガイド』を参照してください。

注記 : FortiGate の CLI コマンドを使えば、必要に応じて、 SSL バージョン 2 の暗号化を有効にすることができます ( 旧式のブラウザとの互換性のため )。詳細については、『FortiGate CLI リファレンス』の章「VPN」の「SSL Settings」を参照してください。




324

Config VPN - SSL

図 186: [SSL-VPN Settings]

[Enable SSL VPN] SSL VPNのコネクションを有効にする場合に選択します。

[Login Port] リモートクライアントの Web ブラウザが FortiGate ユニットに接続するのに使われる、通常とは異なるポート番号をオプションで入力します。デフォルトのポート番号は 10443 です。

[Tunnel IP Range] トンネルモードの SSL VPN クライアント用に予約された IP アドレスの範囲を指定します。予約された IP アドレス範囲を決める、開始アドレスと終了アドレスを入力します。

[Server Certificate] 認証に使う署名済みサーバ証明書を選択します。デフォルトの設定 (Self-Signed) のままにしておくと、FortiGate ユニットは、工場でインストールされたフォーティネットの ( 自己署名済み ) 証明書を、接続の際にリモートクライアントに提示します。

[Require Client Certificate] リモートクライアントの認証にグループ証明書を使用できるようにするには、このオプションを選択します。設定以後、リモートクライアントが接続を開始すると、FortiGate ユニットはクライアントに対し、認証プロセスの一部としてクライアント側の証明書を要求します。

[Encryption Key Algorithm] リモートクライアントの Web ブラウザと FortiGate ユニットとの間にセキュアな SSL コネクションを確立するためのアルゴリズムを選択します。

[Default - RC4(128 bits) and higher]

リモートクライアントの Web ブラウザが 128 ビット以上の暗号スイートに対応できる場合は、このオプションを選択します。

[High - AES(128/256 bits) and 3DES]

リモートクライアントの Web ブラウザが高度な SSL 暗号化に対応できる場合は、このオプションを選択して、128 ビットを超えるビット数でデータを暗号化する暗号スイートを有効にします。

[Low - RC4(64 bits), DES and higher]

リモートクライアントの Web ブラウザでサポートされる SSL 暗号化のレベルが分からない場合は、このオプションを選択して、 64 ビット以上の暗号スイートを有効にします。


VPN - SSL Monitor

Monitor

アクティブなすべての SSL VPN セッションのリストを表示できます。リストには、リモートユーザのユーザ名、リモートクライアントの IP アドレス、コネクションが張られた時間が表示されます。また、提供されているサービスも明示されます。

アクティブな SSL VPN セッションのリストを表示するには、 [VPN]、[SSL]、[Monitor] の順に選択します。

図 187: モニタリスト

[Idle Timeout] システムがユーザを強制的に再ログインさせる前に、コネクションがアイドル状態のままでいられる時間 ( 秒単位 ) を入力します。範囲は 10 ～ 28800 秒です。この設定は、 SSL VPN セッションに適用されます。 Web アプリケーションのセッションまたはトンネルが up している場合、インタフェースはタイムアウトしません。

[Portal Message] Web ポータルホームページの上部にカスタマイズした説明文を表示する場合は、メッセージを入力します。

[Advanced (DNS and WINS Servers)]

[DNS Server #1][DNS Server #2]

クライアントが使用できる DNS サーバを 2 つまで入力します。

[WINS Server #1][WINS Server #2]

クライアントが使用できる WINS サーバを 2 つまで入力します。

[No.] コネクションの識別番号。

[User] 接続したすべてのリモートユーザのユーザ名。

[Source IP] FortiGate ユニットに接続したホストデバイスの IP アドレス。

[Begin Time] 各コネクションの開始時間。

[Description] 提供されているサービスに関する情報。トンネルモードのユーザが接続している場合、 [Description] フィールドには、 FortiGate ユニットがそのリモートクライアントに対して割り当てたIP アドレスが表示されます。

削除アイコントンネルを削除します。

削除


326

Monitor VPN - SSL


VPN - 証明書ローカル証明書

F0

VPN - 証明書この項では、 FortiGate Web ベースマネージャを用いて X.509 セキュリティ証明書を管理する方法について説明します。証明書要求の生成、署名済み証明書のインストール、 CA ルート証明書と証明書失効リストのインポート、およびインストールされた証明書と秘密鍵のバックアップと復元を行う場合は、この項を参照してください。さらに詳しい情報については、『FortiGate 証明書管理ユーザガイド』を参照してください。


• ローカル証明書

• リモート証明書

• CA 証明書

• CRL

ローカル証明書

ローカル証明書リストには、証明書要求とインストールされたサーバ証明書が表示されます。 CA に要求を送信すると、 CA は情報を検証し、シリアル番号、有効期限、および CA の公開鍵が含まれたデジタル証明書に連絡先情報を登録します。その後、 CA は署名を施して、 FortiGate ユニットにインストールできるよう、その署名済み証明書を送り返してきます。

証明書要求を表示したり、署名済みサーバ証明書をインポートしたりするには、[VPN]、[Certificates]、[Local Certiicates] の順に選択します。証明書の詳細を表示するには、その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します。

リストの初のエントリは、 FortiGate ユニットの自己署名済み証明書です。これを削除することはできません。

図 188: ローカル証明書リスト

[Generate] ローカル証明書要求を生成します。 328 ページの「証明書要求の生成」を参照してください。

[Import] 署名済みローカル証明書をインポートします。 330 ページの「署名済みサーバ証明書のインポート」を参照してください。

[Name] 既存のローカル証明書および証明書が生成されていない要求の名前。

[Subject] 署名済みローカル証明書の識別名 (DN)。

[Status] ローカル証明書のステータス。 "PENDING" は、ダウンロードして署名する必要のある証明書要求を示します。

証明書の詳細表示

ダウンロード




328

ローカル証明書 VPN - 証明書

図 189: 証明書の詳細情報

デジタル証明書の取得およびインストールに関する詳細と手順については、『FortiGate 証明書管理ユーザガイド』を参照してください。

証明書要求の生成

FortiGate ユニットは、 FortiGate ユニットを識別するために入力された情報に基づいて、証明書要求を生成します。生成された要求は、 PENDING ・のステータスでローカル証明書リストに表示されます。証明書要求の生成後、 FortiGate ユニットへの管理アクセスが可能なコンピュータに、その要求をダウンロードし、さらに CA に転送することができます。

証明書要求を作成するには、 [VPN]、[Certificates]、[Local Certificates] の順に選択して、 [Generate] を選択します。証明書要求をダウンロードして CA に送信するには、 330 ページの「証明書要求のダウンロードと送信」を参照してください。

[証明書の詳細表示]アイコン

証明書の名前、発行者、識別名、および証明書の有効期間といった証明書の詳細を表示します。図 189 を参照してください。

削除アイコン選択された証明書要求またはインストールされたサーバ証明書をFortiGate の設定から削除します。このアイコンは、証明書が削除可能である場合のみ使用できます。

ダウンロードアイコン

証明書要求のコピーをローカルコンピュータに保存します。 FortiGateユニットの署名済みサーバ証明書を取得するには、 CA に要求を送信してください。




図 190: 証明書署名要求の生成

[Certification Name] 証明書名を入力します。これは通常、 FortiGate ユニットの名前です。必要であれば、後に署名済み証明書をPKCS12 ファイルとしてエクスポートできるよう、名前にスペースを含めないでおいてください。

[Subject Information] FortiGate ユニットを識別するために必要な情報を入力します。

[Host IP] FortiGate ユニットの IP アドレスがスタティックである場合は、 [Host IP] を選択して、 FortiGate ユニットのパブリック IP アドレスを入力します。 FortiGate ユニットにパブリック IP アドレスがない場合は、代わりに電子メールアドレス ( またはドメイン名 ) を使用します。

[Domain Name] FortiGate ユニットがスタティック IP アドレスを持ち、ダイナミック DNS サービスに登録されている場合、可能であれば FortiGate ユニットを識別するためにドメイン名を使用します。 [Domain Name] を選択する場合は、FortiGate ユニットの完全修飾ドメイン名 (FQDN) を入力します。プロトコル仕様 (http://) やポート番号またはパス名は一切含めないでください。ドメイン名が使用できず、 FortiGate ユニットがダイナミック DNS サービスに登録されている場合は、 FortiGate ユニットのパブリックIP アドレスが変わるたびに、 "unable to verify certificate" ( 証明書を確認できません ) というようなメッセージがユーザのブラウザに表示される場合があります。

[E-Mail] [E-Mail] を選択する場合は、 FortiGate ユニット所有者の電子メールアドレスを入力します。

[Optional Information] [Optional Information] のフィールドはすべてオプションです。

[Organization Unit] 部署名を入力します。

[Organization] 会社または組織の正式名称 ( 商号 ) を入力します。

[Locality (City)] FortiGate ユニットが設置されている市または町の名前を入力します。

[State/Province] FortiGate ユニットが設置されている都道府県または州の名前を入力します。


330

ローカル証明書 VPN - 証明書

証明書要求のダウンロードと送信

CA に証明書要求を送信する前に、必要な項目を入力し、証明書要求を生成する必要があります。詳細については、 328 ページの「証明書要求の生成」を参照してください。

証明書要求をダウンロードして送信するには

1 [VPN]、[Certificate]、[Local Certificates] の順に選択します。

2 [Local Certificates] リストで、生成された証明書要求に対応する列の [ ダウンロード ] アイコンを選択します。

3 [File Download] ダイアログボックスで [Save to Disk] を選択します。

4 ファイルに名前を付け、ローカルファイルシステムに保存します。

5 次のようにして要求を CA に送信します。

• 管理コンピュータの Web ブラウザで CA の Web サイトを閲覧します。

• CA の指示に従って、 base-64 でエンコードされた PKCS#12 の証明書要求をアップロードします。

• CA の指示に従ってルート証明書と証明書失効リスト (CRL) をダウンロードした後、そのルート証明書と CRL を各リモートクライアントにインストールします ( ブラウザのドキュメントを参照してください )。

6 CA から署名済み証明書を受け取ったら、その証明書を FortiGate ユニットにインストールします。 330 ページの「署名済みサーバ証明書のインポート」を参照してください。

署名済みサーバ証明書のインポート

FortiGate ユニットにインストールする署名済みサーバ証明書は、 CA から提供されます。 CA から署名済みサーバ証明書を受け取ったら、 FortiGate ユニットへの管理アクセスが可能なコンピュータにその証明書を保存します。

署名済みサーバ証明書をインストールするには、 [VPN]、[Certificates]、[Local Certificates] の順に選択して、 [Import] を選択します。署名済み証明書は、ページの上部にある [Upload Local Certificate] ダイアログボックスを使ってインストールします。証明書ファイルは、 PEM または DER のいずれのフォーマットも可能です。その他のダイアログボックスは、以前にエクスポートされた証明書および秘密鍵をインポートするためのものです。

[Country] FortiGate ユニットが設置されている国を選択します。

[e-mail] 連絡先の電子メールアドレスを入力します。

[Key Type] RSA のみサポートされます。

[Key Size] “1024 Bit”、 “1536 Bit”、または “2048 Bit” を選択します。キーのサイズを大きくするほど生成に時間がかかりますが、セキュリティは向上します。

[Enrollment Method]

[File Based] 証明書要求を生成するには、 [File Based] を選択します。

[Online SCEP] SCEP ベースの署名済み証明書をネットワーク上で自動的に取得するには、 [Online SCEP] を選択します。[CA Server URL] :CA 証明書を取り出す SCEP サーバのURL を入力します。[Challenge Password] :CA サーバのチャレンジパスワードを入力します。



図 191: ローカル証明書のアップロード

エクスポートされたサーバ証明書および秘密鍵のインポート

インポートするサーバ証明書および秘密鍵は、 CLI コマンド execute vpn certificate key export を使うことで、一つの PKCS12 ファイルとしてすでにエクスポートされているはずです。ファイルにはパスワードが付けられているので、ファイルをインポートするにはそのパスワードを知っている必要があります。作業を開始する前には、 FortiGate ユニットへの管理アクセスが可能なコンピュータに、ファイルのコピーを保存しておきます。詳細については、『FortiGate 証明書管理ユーザガイド』を参照してください。

PKCS12 ファイルをインポートするには、 [VPN]、[Certificates]、[Local Certificates] の順に選択して、 [Import] を選択します。

図 192: PKCS12 証明書のアップロード

サーバ証明書および秘密鍵ファイルの個別インポート

サーバ証明書要求と秘密鍵を FortiGate ユニットで生成していない場合は、[Upload Certificate] ダイアログボックスを使用して、サーバ証明書とそれに対応する秘密鍵のファイルをインポートします。インポートする 2 つのファイルは、管理コンピュータで利用できる必要があります。

[Certificate File] 署名済みサーバ証明書の完全なパスとファイル名を入力します。

[Browse] あるいはこのアイコンを押して、証明書が保存されている管理コンピュータ上の場所を表示し、証明書を選択して、 [OK] を選択します。

[Certificate with key file]

以前にエクスポートされた PKCS12 ファイルの完全なパスとファイル名を入力します。

[Browse] あるいはこのアイコンを押して、 PKCS12 ファイルが保存されている管理コンピュータ上の場所を表示し、ファイルを選択して、[OK] を選択します。

[Password] PKCS12 ファイルをアップロードするのに必要なパスワードを入力します。



332

リモート証明書 VPN - 証明書

図 193: 証明書のアップロード

リモート証明書

動的な証明書の失効確認には、OCSP (Online Certificate Status Protocol) サーバが使用されます。リモート証明書は、秘密鍵のない公開証明書です。 OCSP は CLI でのみ設定できます。詳細については、『FortiGate CLI ガイド』を参照してください。

図 194: リモート証明書リスト

インストールされたリモート (OCSP サーバ ) 証明書は、 [Remote Certificates] リストに表示されます。

インストールされたリモート (OCSP サーバ ) 証明書を表示したり、インポートしたりするには、 [VPN]、[Certificates]、[Remote] の順に選択します。証明書の詳細を表示するには、その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します。

[Certificate File] 以前にエクスポートされた証明書ファイルの完全なパスとファイル名を入力します。

[Key file] 以前にエクスポートされた鍵ファイルの完全なパスとファイル名を入力します。

[Browse] 以前にエクスポートされた証明書ファイルや鍵ファイルの場所を表示し、ファイルを選択して、 [OK] を選択します。

[Password] ファイルをアップロードして開くのにパスワードが必要な場合は、パスワードを入力します。

注記 : 証明書ファイルで、 40 ビットの RC2-CBC 暗号化を使用してはいけません。

注記 : OCSP サーバは vdom ごとに 1 つだけ設定できます。

[Import] OCSP サーバの公開証明書をインポートします。 334 ページの「CA証明書のインポート」を参照してください。

[Name] 既存のリモート (OCSP サーバ ) 証明書の名前。 FortiGate ユニットは、インポートの際、リモート (OCSP サーバ ) 証明書に一意の名前 (REMOTE_Cert_1、 REMOTE_Cert_2、 REMOTE_Cert_3 など ) を指定します。



VPN - 証明書 CA 証明書

リモート (OCSP サーバ ) 証明書のインポート

リモート (OCSP サーバ ) 証明書をインポートするには、 [VPN]、[Certificates]、[Remote] の順に選択して、 [Import] を選択します。

図 195: リモート証明書のアップロード

システムは、リモート (OCSP サーバ ) 証明書のそれぞれに一意の名前を割り当てます。名前には、順に番号が付されます (REMOTE_Cert_1、 REMOTE_Cert_2、REMOTE_Cert_3 など )。

CA 証明書

リモートクライアントにインストールするための署名済みの個人 ( 管理 ) 証明書またはグループ証明書を申請する際は、対応する発行 CA からルート証明書とCRL を取得する必要があります。

個人またはグループの署名済み証明書を受け取ったら、ブラウザの指示に従ってその署名済み証明書をリモートクライアントにインストールします。対応する発行 CA からのルート証明書と CRL も、 FortiGate ユニットにインストールしておきます。

インストールされた CA 証明書は、 [CA Certificates] リストに表示されます。Fortinet_CA 証明書は削除できません。インストールされた CA ルート証明書を表示したり、インポートしたりするには、 [VPN]、[Certificates]、[CA Certificates]の順に選択します。ルート証明書の詳細を表示するには、その証明書に対応する列の [ 証明書の詳細表示 ] アイコンを選択します。

[Subject] リモート (OCSP サーバ ) 証明書に関する情報。

削除アイコン FortiGate の設定からリモート (OCSP サーバ ) 証明書を削除します。

[証明書の詳細表示] アイコン

証明書の詳細を表示します。


リモート (OCSP サーバ ) 証明書のコピーをローカルコンピュータに保存します。

[Local PC] ローカル管理者の PC を使用して、公開証明書をアップロードします。証明書が保存されている管理コンピュータ上の場所を入力するか、または表示して、証明書を選択し、 [OK] を選択します。


334

CA 証明書 VPN - 証明書

図 196: CA 証明書リスト

デジタル証明書の取得およびインストールに関する詳細と手順については、『FortiGate 証明書管理ユーザガイド』を参照してください。

CA 証明書のインポート

CA のルート証明書をダウンロードしたら、 FortiGate ユニットへの管理アクセスが可能な PC にその証明書を保存します。

CA ルート証明書をインポートするには、 [VPN]、[Certificates]、[CA Certificates] の順に選択して、 [Import] を選択します。

図 197: CA 証明書のインポート

[OK] を選択し、 SCEP サーバを通じて証明書をインポートすることを選択すると、システムはただちに証明書の取り込み処理を開始します。

システムにより、 CA 証明書のそれぞれに一意の名前が指定されます。名前には、順に番号が付されます (CA_Cert_1、 CA_Cert_2、 CA_Cert_3 など )。

[Import] CA ルート証明書をインポートします。 334 ページの「CA 証明書のインポート」を参照してください。

[Name] 既存の CA ルート証明書の名前。 FortiGate ユニットは、インポートの際、 CA 証明書に一意の名前 (CA_Cert_1、 CA_Cert_2、CA_Cert_3 など ) を指定します。

[Subject] 発行 CA に関する情報。

削除アイコン FortiGate の設定から CA ルート証明書を削除します。

[ 証明書の詳細表示 ] アイコン

証明書の詳細を表示します。


CA ルート証明書のコピーをローカルコンピュータに保存します。


ダウンロード

[SCEP] ユーザ認証を行う際の CA 証明書へのアクセスに SCEP サーバを使用する場合に選択します。 CA 証明書を取り出す SCEP サーバの URL を入力します。オプションで、たとえばファイル名など、 CA の識別情報を入力します。 [OK] を選択します。

[Local PC] 公開証明書のアップロードにローカル管理者の PC を使用する場合に選択します。証明書が保存されている管理コンピュータ上の場所を入力するか、または表示して、証明書を選択し、 [OK] を選択します。



VPN - 証明書 CRL

CRL

証明書失効リスト (CRL) とは、 CA が発行した証明書と、その証明書のステータスをリストにしたものです。インストールされた CRL は CRL リストに表示されます。 FortiGate ユニットは、 CRL を使用して、 CA とリモートクライアントの証明書が有効であることを確認します。

インストールされた CRL を表示するには、 [VPN]、[Certificates]、[CRL] の順に選択します。

図 198: 証明書失効リスト

図 199: CRL 証明書の詳細

証明書失効リストのインポート

証明書を取り消されたクライアントがFortiGateユニットと接続できないようにするため、 FortiGate は、 CA Web サイトからの証明書失効リストを定期的に更新しておく必要があります。CAのWebサイトからCRLをダウンロードしたら、FortiGateユニットへの管理アクセスが可能なコンピュータにその CRL を保存します。

証明書失効リストをインポートするには、 [VPN]、[Certificates]、[CRL] の順に選択して、 [Import] を選択します。

[Import] CRL をインポートします。 335 ページの「証明書失効リストのインポート」を参照してください。

[Name] 既存の証明書失効リストの名前。 FortiGate ユニットは、インポートの際、証明書失効リストに一意の名前 (CRL_1、 CRL_2、 CRL_3など ) を指定します。

[Subject] 証明書失効リストに関する情報。

削除アイコン選択された CRL を FortiGate の設定から削除します。

[ 証明書の詳細表示 ] アイコン

発行者名や CRL 更新日といった CRL の詳細を表示します。図 199の例を参照してください。


CRL のコピーをローカルコンピュータに保存します。


ダウンロード

注記 : CRL の取り込み先として、 LDAP サーバ、 HTTP サーバ、または SCEP サーバ、あるいはそれらの組み合わせが設定されている場合、 FortiGate ユニットに CRL のコピーがなかったり、現在のコピーが期限切れになっていたりすると、新版がサーバから自動的に読み出されます。


336

CRL VPN - 証明書

図 200: CRL のインポート

システムにより、各 CRL に一意の名前が指定されます。名前には、順に番号が付されます (CRL_1、 CRL_2、 CRL_3 など )。

[HTTP] CRL を取り込むのに HTTP サーバを使用する際に選択します。HTTP サーバの URL を入力します。

[LDAP] CRL を取り込むのに LDAP サーバを使用する際に選択します。ドロップダウンリストから LDAP サーバを選択します。

[SCEP] CRL を取り込むのに SCEP サーバを使用する際に選択します。ドロップダウンリストからローカル証明書を選択します。 CRL を取り込むことのできる SCEP サーバの URL を入力します。

[Local PC] 公開証明書のアップロードにローカル管理者の PC を使用する場合に選択します。証明書が保存されている管理コンピュータ上の場所を入力するか、または表示して、証明書を選択し、 [OK] を選択します。


ユーザユーザ認証の設定

F0

ユーザこの項では、ユーザアカウント、ユーザグループ、および外部の認証サーバを設定する方法について説明します。これらは、ネットワークリソースへのアクセスを制御するために使用できる、ユーザ認証のコンポーネントです。


• ユーザ認証の設定

• ローカルユーザアカウント

• RADIUS サーバ

• LDAP サーバ

• PKI 認証

• Windows AD サーバ

• ユーザグループ

• ピアおよびピアグループの設定

ユーザ認証の設定

FortiGate の認証は、ユーザグループごとにアクセスを制御しますが、ユーザグループを作成しても認証の設定手順を開始したことにはなりません。ユーザ認証は、次の順序で設定する必要があります。

1 RADIUS または LDAP サーバを使用した外部の認証が必要な場合は、これらのサーバへのアクセスを設定します。 340 ページの「RADIUS サーバ」および 341ページの「LDAP サーバ」を参照してください。

2 [User]、[Local] で、ローカルユーザアカウントを設定します。各ユーザについて、パスワードを FortiGate ユニット、 RADIUS サーバ、または LDAP サーバのいずれで確認するかを選択できます。 339 ページの「ローカルユーザアカウント」を参照してください。

3 認証に Microsoft Windows Active Directory サーバを使用している場合は、そのサーバへのアクセスを設定します。 345 ページの「Windows AD サーバの設定」を参照してください。 Active Directory サーバによって認証されたユーザには、FortiGate ユニット上のローカルユーザアカウントは必要ありません。 Windowsネットワーク上に FSAE (Fortinet Server Authentication Extensions) をインストールする必要があります。

4 管理アクセス (HTTPS GUI)、 IPSec、 SSL-VPN、および Web ベースの認証のために証明書ベースの認証を使用するには、 [User]、[PKI] を使用して設定します。344 ページの「PKI ユーザの設定」を参照してください。

5 [User]、[User Group] でユーザグループを作成し、メンバを追加します。ユーザグループには、ファイアウォール、 Active Directory、および SSL VPN の 3 種類があります。 349 ページの「ユーザグループの設定」を参照してください。

PKI 認証には、ファイアウォールユーザグループと SSL VPN ユーザグループのみが使用可能です。


338

ユーザ認証の設定ユーザ

認証タイムアウトの設定

認証タイムアウトは、ユーザの再度の認証が必要になるまでに、認証されたファイアウォール接続がアイドル状態を維持できる期間を制御します。

認証タイムアウトを設定するには

1 [User]、[Authentication]、[Authentication] の順に選択します。

2 [Authentication Timeout] に数値 ( 分単位 ) を入力します。

デフォルトの認証タイムアウトは 30 分です。

図 201: ユーザ認証の設定

ユーザ認証のプロトコルサポートの設定

ユーザ認証は、次のプロトコルに対して実行できます。

• HTTP (HTTPS にリダイレクトするようにも設定可能 )

• HTTPS

• FTP

• Telnet

ファイアウォールポリシーでユーザ認証が有効になっている場合、認証チャレンジは通常、この 4 つのいずれのプロトコルに対しても発行されます ( 接続プロトコルによる )。 [Protocol Support] リストで選択を行うことによって、ユーザは、どのプロトコルが認証チャレンジをサポートするかを制御します。ユーザは、初に、サポートされているプロトコルで接続する必要があります。それによって、その後は他のプロトコルでも接続できるようになります。

認証のプロトコルサポートを設定するには

[User]、[Authentication]、[Authentication] の順に選択し、 [Protocol Support] で必要な認証プロトコルを選択します。


ユーザローカルユーザアカウント

図 202: ユーザ認証の設定 - プロトコルサポート

ローカルユーザアカウント

ローカルユーザアカウントを追加し、認証を設定するには、 [User]、[Local] の順に選択します。

図 203: ローカルユーザのリスト

[Create New] 新しいローカルユーザアカウントを追加します。

[User Name] ローカルユーザ名。

[Type] このユーザに対して使用する認証の種類。

削除アイコンこのユーザを削除します。注記 : 削除アイコンは、このユーザがユーザグループに属している場合は使用できません。

編集アイコンこのユーザアカウントを編集します。

注記 : ユーザ名を削除すると、そのユーザ用に設定された認証が削除されます。


340

RADIUS サーバユーザ

ユーザアカウントの設定

[User]、[Local] の順に選択し、 [Create New] か、または既存のユーザアカウントの編集アイコンを選択します。

図 204: ローカルユーザのオプション

RADIUS サーバ

RADIUS のサポートが設定されており、 RADIUS サーバを使用してユーザを認証する必要がある場合、 FortiGate ユニットは認証のためにそのユーザの資格情報を RADIUS サーバに送信します。 RADIUS サーバがそのユーザを認証できる場合、そのユーザは FortiGate ユニットで正常に認証されます。 RADIUS サーバがそのユーザを認証できない場合、その接続は FortiGate ユニットによって拒否されます。

RADIUS サーバを設定するには、 [User]、[RADIUS] の順に選択します。

[User Name] ユーザ名を入力または編集します。

[Disable] このユーザが認証されないようにするには、 [Disable] を選択します。

[Password] FortiGate ユニットに格納されているパスワードを使用してこのユーザを認証するには、 [Password] を選択します。パスワードを入力または編集します。パスワードは、 6 文字以上の長さにする必要があります。

[LDAP] LDAP サーバに格納されているパスワードを使用してこのユーザを認証するには、 [LDAP] を選択します。ドロップダウンリストから LDAPサーバを選択します。注記 :FortiGate の LDAP 設定に追加されている LDAP サーバのみを選択できます。 341 ページの「LDAP サーバ」を参照してください。

[RADIUS] RADIUS サーバに格納されているパスワードを使用してこのユーザを認証するには、 [RADIUS] を選択します。ドロップダウンリストから、RADIUS サーバを選択します。注記 :FortiGate の RADIUS 設定に追加されている RADIUS サーバのみを選択できます。 340 ページの「RADIUS サーバ」を参照してください。

注記 : RADIUS トラフィックのデフォルトポートは 1812 です。 RADIUS サーバがポート1645 を使用している場合は、 CLI を使用してデフォルトの RADIUS ポートを変更します。詳細については、『FortiGate CLI リファレンス』にある config system global コマン

ドを参照してください。



ユーザ LDAP サーバ

図 205: RADIUS サーバのリスト

RADIUS サーバの設定

[User]、[RADIUS] の順に選択し、 [Create New] か、または既存の RADIUS サーバの編集アイコンを選択します。

図 206: RADIUS の設定

LDAP サーバ

LDAP のサポートが設定されており、 LDAP サーバを使用してユーザを認証する必要がある場合、 FortiGate ユニットは認証のために LDAP サーバに接続します。FortiGate ユニットで認証されるために、ユーザはユーザ名とパスワードを入力します。 FortiGate ユニットは、このユーザ名とパスワードを LDAP サーバに送信します。 LDAP サーバがそのユーザを認証できる場合、そのユーザは FortiGateユニットで正常に認証されます。 LDAP サーバがそのユーザを認証できない場合、その接続は FortiGate ユニットによって拒否されます。

FortiGate ユニットは、ユーザ名とパスワードを検索および検証するための、RFC2251 で規定された LDAP プロトコル機能をサポートしています。 FortiGateの LDAP は、 LDAP v3 に準拠したすべての LDAP サーバをサポートしています。さらに、 FortiGate の LDAP は、 LDAP over SSL/TLS もサポートしています。SSL/TLS 認証を設定するには、『FortiGate CLI リファレンス』を参照してください。

FortiGate の LDAP サポートは、一部の LDAP サーバで使用可能な、パスワード有効期限の通知などの独自の機能には対応していません。 FortiGate の LDAP サポートでは、認証が失敗した理由に関する情報はユーザに提供されません。

[Create New] 新しい RADIUS サーバを追加します。

[Name] FortiGate ユニット上の RADIUS サーバの名前。

[Server Name/IP] RADIUS サーバのドメイン名または IP アドレス。

削除アイコンこの RADIUS サーバの設定を削除します。注記 : ユーザグループに追加されている RADIUS サーバを削除することはできません。

編集アイコンこの RADIUS サーバの設定を編集します。

[Name] RADIUS サーバの識別に使用される名前を入力または編集します。

[Server Name/IP] RADIUS サーバのドメイン名または IP アドレスを入力または編集します。

[Server Secret] RADIUS サーバシークレットを入力または編集します。



342

LDAP サーバユーザ

LDAP サーバを設定するには、 [User]、[LDAP] の順に選択します。

図 207: LDAP サーバのリスト

LDAP サーバの設定

[User]、[LDAP] の順に選択し、 [Create New] か、または既存の LDAP サーバの編集アイコンを選択します。

図 208: LDAP サーバの設定

[Create New] 新しい LDAP サーバを追加します。

[Name] FortiGate ユニット上の LDAP サーバを識別する名前。

[Server Name/IP] LDAP サーバのドメイン名または IP アドレス。

[Port] LDAP サーバとの通信に使用されるポート。

[Common Name identifier]

LDAP サーバの共通名識別子。ほとんどの LDAP サーバの共通名識別子は cn です。ただし、一部のサーバは、 uid などの他の共通名識別子を使用しています。

[Distinguished Name]

LDAP サーバ上のエントリの検索に使用される識別名。この識別名には、共通名識別子より上にある LDAP データベースオブジェクトクラスの階層が反映されています。

削除アイコンこの LDAP サーバの設定を削除します。

編集アイコンこの LDAP サーバの設定を編集します。

[Name] LDAP サーバの識別に使用される名前を入力または編集します。

[Server Name/IP] LDAP サーバのドメイン名または IP アドレスを入力または編集します。

[Server Port] LDAP サーバとの通信に使用されるポートを入力または編集します。デフォルトでは、 LDAP はポート 389 を使用します。

[Common Name identifier]

LDAP サーバの共通名識別子を入力または編集します。大 20 文字まで入力できます。ほとんどの LDAP サーバの共通名識別子は cn です。ただし、一部のサーバは、 uid などの他の共通名識別子を使用しています。


ユーザ PKI 認証

図 209: LDAP サーバの識別名クエリツリー

PKI 認証

PKI (Public Key Infrastructure) 認証は、 " ピア "、 " ピア " グループ、ユーザグループなどのリストを取得して、認証の " 成功 " または " 拒否 " の通知を返す証明書認証ライブラリを利用します。認証の成功のためにユーザに必要なのは有効な証明書だけであり、ユーザ名やパスワードは必要ありません。

証明書認証の詳細については、『FortiGate 証明書管理ユーザガイド』を参照してください。 CLI を通してのみ使用可能な詳細な PKI 設定については、『FortiGate CLI

リファレンス』を参照してください。

PKI ユーザを設定するには、 [User]、[PKI] の順に選択します。

図 210: [User]、[PKI] のユーザリスト

[Distinguished Name]

LDAP サーバ上のエントリの検索に使用される識別名を入力または編集します。正しい X.500 または LDAP 形式を使用して、このサーバの基本識別名を入力します。 FortiGate ユニットは、この識別名を、変更せずにそのままサーバに渡します。たとえば、次の基本識別名を使用できます。ou=marketing,dc=fortinet,dc=comここで、 ou は組織単位であり、 dc はドメインコンポーネントです。また、識別名に同じフィールドの複数のインスタンスを指定することもできます。たとえば、複数の組織単位を指定するには次のようにします。ou=accounts,ou=marketing,dc=fortinet,dc=com

クエリアイコン基本識別名に対する LDAP サーバの識別名クエリツリーを表示します。[LDAP Distinguished Name Query] リストには、この LDAP サーバの IPアドレスと、この LDAP サーバの共通名識別子に関連付けられたすべての識別名が表示されます。このツリーは、識別名フィールドへの適切な入力を決定するために役立ちます。関連付けられた識別名を表示するには、共通名識別子を展開します。リストから識別名を選択します。選択した識別名は、 [Distinguished Name] フィールドに表示されます。 [OK] を選択すると、選択した識別名が LDAP サーバの設定の [Distinguished Name] フィールドに保存されます。選択した識別名に対する LDAP サーバユーザグループ内のユーザを表示するには、 [LDAP Distinguished Name Query] ツリー内の識別名を展開します。

[Create New] 新しい PKI ユーザを追加します。

[User Name] この PKI ユーザの名前。





344

PKI 認証ユーザ

PKI ユーザの設定

[User]、[PKI] の順に選択し、 [Create New] か、または既存の PKI ユーザの編集アイコンを選択します。

図 211: PKI ユーザの設定

[Subject] 認証しているユーザの証明書の件名フィールドに表示されるテキスト文字列。

[Issuer] このユーザの認証に使用される CA 証明書。

削除アイコンこの PKI ユーザを削除します。

編集アイコンこの PKI ユーザを編集します。

注記 : PKI ユーザリスト内の次のフィールドは、 PKI ユーザダイアログ内の示されているフィールドに対応しています。[User Name]: [Name][Subject]: [Subject][CA]: [Issuer] (CA 証明書 )

[Name] PKI ユーザの名前を入力します。このフィールドは必須です。PKI ユーザはまた、 config user peer or config を使用して、 CLI で定義することもできます。詳細については、『FortiGate CLI リファレンス』を参照してください。

[Subject] 認証しているユーザの証明書の件名フィールドに表示されるテキスト文字列を入力します。このフィールドはオプションです。

[CA] このユーザの認証に使用する必要のある CA 証明書を入力します。このフィールドはオプションです。

注記 : [Subject] と [CA] はオプションのフィールドですが、そのどちらかは設定する必要があります。 PKI ユーザダイアログ内の次のフィールドは、 PKI ユーザリスト内の示されているフィールドに対応しています。[Name]: [User Name][Subject]: [Subject][Issuer]: [CA] (CA 証明書 )



ユーザ Windows AD サーバ

Windows AD サーバ

認証に Windows Active Directory (AD) サーバを使用しているネットワーク上では、FortiGate ユニットは、ユーザにユーザ名とパスワードの入力を求めることなく、そのユーザを透過的に認証できます。ネットワーク上に FSAE (Fortinet Server Authentication Extensions) をインストールし、 Windows AD サーバから情報を取得するように FortiGate ユニットを設定する必要があります。 FSAE の詳細については、『FSAE テクニカルノート』を参照してください。

Windows AD サーバを設定するには、 [User]、[Windows AD] の順に選択します。

図 212: Windows AD サーバのリスト

Windows AD サーバの設定

[User]、[Windows AD] の順に選択し、 [Create New] か、または既存の Windows AD サーバの編集アイコンを選択します。

図 213: Windows AD サーバの設定

[Create New] 新しい Windows AD サーバを追加します。

[FortiClient AD] FSAE がインストールされている Windows AD サーバの名前。このサーバ名を展開して、 Windows AD ドメイングループの情報を表示できます。

[IP Address] Windows AD サーバのログオン情報を FortiGate ユニットに送信する大 5 つのコレクタエージェントの IP アドレスと TCP ポート。

削除アイコンこの Windows AD サーバを削除します。

編集アイコンこの Windows AD サーバを編集します。

更新アイコン Windows AD サーバから現在のドメインおよびグループ情報を取得します。

[Name] Windows AD サーバの名前を入力または編集します。この名前は、ユーザグループの作成時に Windows AD サーバのリストに表示されます。

大 5 つのコレクタエージェントに関する次の情報を入力します。

[FSAE Collector IP]

このコレクタエージェントがインストールされている Windows ADサーバの IP アドレスを入力または編集します。



346

ユーザグループユーザ

ユーザグループ

ユーザグループは、ユーザ ID のリストです。この ID には次のものがあります。

• FortiGate ユニットに格納されているローカルユーザアカウント ( ユーザ名とパスワード )

• パスワードがRADIUSまたはLDAPサーバに格納されているローカルユーザアカウント

• RADIUS または LDAP サーバ ( このサーバ上のすべての ID を認証可能 )

• Microsoft Active Directory サーバ上で定義されているユーザグループ

ほとんどの場合、 FortiGate ユニットは、ユーザ名とパスワードを要求することによってユーザを認証します。 FortiGate ユニットは、ローカルユーザアカウントを初に確認します。一致が検出されない場合、 FortiGate ユニットは、そのユーザグループに属する RADIUS または LDAP サーバを確認します。一致するユーザ名とパスワードが検出された場合は、認証が成功します。

Active Directory ユーザグループの場合は、ユーザがネットワークにログオンしたときに、 Active Directory サーバがそのユーザを認証します。 FortiGate ユニットは、 FSAE コレクタエージェントから、そのユーザの名前と IP アドレスを受信します。 FSAE の詳細については、『FSAE テクニカルノート』を参照してください。

[Port] Windows AD に使用される TCP ポートを入力または編集します。このポートは、 FSAE コレクタエージェントの設定で指定された FortiGateのリスニングポートと同じである必要があります。

[Password] コレクタエージェントのパスワードを入力または編集します。これが必要なのは、認証されたアクセスを必要とするように FSAE コレクタエージェントを設定した場合だけです。


ユーザユーザグループ

ユーザグループを、次の項目への認証されたアクセスを提供するように設定できます。

• 認証が必要なファイアウォールポリシー

234ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

• FortiGate ユニット上の SSL VPN

239 ページの「SSL-VPN のファイアウォールポリシーオプション」を参照してください。

• ダイヤルアップユーザのための IPSec VPN フェーズ 1 設定

305 ページの「新しいフェーズ 1 設定の作成」を参照してください。

• IPSec VPN フェーズ 1 設定のための XAuth

308 ページの「フェーズ 1 詳細設定の定義」の「XAuth」を参照してください。

• FortiGate の PPTP 設定

321 ページの「PPTP の範囲」を参照してください。

• FortiGate の L2TP 設定

これは、 config vpn l2tp CLI コマンドでのみ設定可能です。『FortiGate CLI リファレンス』を参照してください。

• RADIUS 認証を使用した管理者ログイン

152 ページの「管理者の RADIUS 認証の設定」を参照してください。

• FortiGuard Web フィルタリングの置き換えグループ

396 ページの「FortiGuard-Web フィルタ」を参照してください。

認証が必要な各リソースについて、どのユーザグループがアクセスを許可されるかを指定します。認証のニーズに適したユーザグループの数とメンバシップを決定する必要があります。

ユーザグループの種類

ユーザグループには、次の 3 種類があります。

• 「ファイアウォール」

• 「Active Directory」

• 「SSL VPN」

ファイアウォール

ファイアウォールユーザグループは、ファイアウォールの種類の認証を必要とし、そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します。ユーザが、このポリシーによって保護されているリソースにアクセスしようとすると、FortiGate ユニットはグループメンバのユーザ名とパスワードを要求します。詳細については、234 ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

ファイアウォールユーザグループはまた、ダイヤルアップユーザのためのIPSec VPN へのアクセスも提供できます。この場合、 IPSec VPN フェーズ 1 設定では [Accept peer ID in dialup group peer] オプションが使用されます。ユーザのVPN クライアントは、ユーザ名がピア ID に、パスワードが仮共有キーに設定されます。このユーザが IPSec VPN に正常に接続できるのは、ユーザ名が許可さ




348


れたユーザグループのメンバであり、パスワードが FortiGate ユニットに格納されているパスワードに一致した場合のみです。いずれかのメンバが RADIUS または LDAP サーバを使用して認証されていると、そのユーザグループはダイヤルアップグループになれません。詳細については、 305 ページの「新しいフェーズ1 設定の作成」を参照してください。

ファイアウォールユーザグループを使用すると、 FortiGuard Web フィルタリングの置き換え特権を提供できます。 351 ページの「ユーザグループのためのFortiGuard 置き換えオプションの設定」を参照してください。置き換え機能を含む FortiGuard Web フィルタの詳細については、 396 ページの「FortiGuard-Webフィルタ」を参照してください。

Active Directory

Microsoft Windows ネットワーク上では、FortiGate ユニットは、Windows ネットワーク上で認証されているActive Directoryサーバユーザグループのメンバへのアクセスを許可できます。ネットワークドメインコントローラ上に FSAE (Fortinet ServerAuthentication Extensions) がインストールされている必要があります。

Active Directory ユーザグループは、 Active Directory の種類の認証を必要とし、そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します。このユーザグループのメンバは、設定されている Windows AD サーバから FortiGate ユニットが受信したリストから選択される Active Directory グループです。 345 ページの「Windows ADサーバ」を参照してください。

SSL VPN

SSL VPN ユーザグループは、 SSL VPN の種類の認証を必要とし、そのユーザグループを許可されたグループの 1 つとしてリストしているファイアウォールポリシーへのアクセスを提供します。ローカルユーザアカウント、 LDAP サーバ、および RADIUS サーバは、 SSL VPN ユーザグループのメンバになることができます。ユーザが SSL VPN Web ポータルにアクセスすると、 FortiGate ユニットはそのユーザのユーザ名とパスワードを要求します。このユーザグループの設定には、 SSL VPN 機能に対するオプションが含まれます。 352 ページの「SSL VPNユーザグループのオプションの設定」を参照してください。

SSL VPN ユーザグループはまた、ダイヤルアップユーザのための IPSec VPN へのアクセスも提供できます。この場合、 IPSec VPN フェーズ 1 設定では [Accept peer ID in dialup group peer] オプションが使用されます。ユーザの VPN クライアントは、ユーザ名がピア ID に、パスワードが仮共有キーに設定されます。このユーザが IPSec VPN に正常に接続できるのは、ユーザ名が許可されたユーザグループのメンバであり、パスワードが FortiGate ユニットに格納されているパスワードに一致した場合のみです。

詳細については、 305 ページの「新しいフェーズ 1 設定の作成」を参照してください。

注記 : Active Directory ユーザグループに、 FortiGuard Web フィルタの置き換え特権やSSL VPN へのアクセス権を与えることはできません。

注記 : いずれかのメンバが RADIUS または LDAP サーバを使用して認証されていると、そのユーザグループは IPSec ダイヤルアップグループになれません。



ユーザグループのリスト

ユーザグループを設定するには、 [User]、[User Group] の順に選択します。

図 214: ユーザグループのリスト

ユーザグループの設定

[User]、[Group] の順に選択し、 [Create New] か、または既存のユーザグループの編集アイコンを選択します。

図 215: ユーザグループの設定

[Create New] 新しいユーザグループを追加します。

[Group Name] このユーザグループの名前。ユーザグループ名は、 [Firewall]、[Active Directory]、および [SSL VPN] のユーザグループの種類ごとにリストされます。

[Members] このユーザグループ内のユーザ、 RADIUS サーバ、または LDAP サーバ。

[Protection Profile] このユーザグループに関連付けられたプロテクションプロファイル。

削除アイコンこのユーザグループを削除します。注記 : ファイアウォールポリシー、ダイヤルアップユーザフェーズ1 設定、 PPTP または L2TP 設定に含まれているユーザグループを削除することはできません。

編集アイコンこのグループのメンバシップやオプションを編集します。

[Name] このユーザグループの名前を入力します。


350


[Type] ユーザグループの種類を選択します。 347 ページの「ユーザグループの種類」を参照してください。

[Firewall] このグループは、ファイアウォール認証が必要な任意のファイアウォールポリシーで選択します。 234 ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

[Active Directory] このグループは、 Active Directory 認証が必要な任意のファイアウォールポリシーで選択します。 234 ページの「ファイアウォールポリシーへの認証の追加」を参照してください。

[SSL VPN] このグループは、 [Action] が [SSL VPN] に設定された任意のファイアウォールポリシーで選択します。 239 ページの「SSL-VPN のファイアウォールポリシーオプション」を参照してください。

[Protection Profile] [Type] が [Firewall] または [Active Directory] の場合にのみ使用できます。ドロップダウンリストから、このユーザグループのプロテクションプロファイルを選択します。新しいプロテクションプロファイルを作成するには、 [Create New] を選択します。

[Available Users] このユーザグループに追加できるユーザ、 RADIUS サーバ、LDAP サーバ、または PKI ユーザのリスト。

[Members] このユーザグループに属するユーザ、 RADIUS サーバ、 LDAPサーバ、または PKI ユーザのリスト。

右矢印ボタン [Members] リストにユーザまたはサーバを追加します。[Available Users] リスト内のユーザ名またはサーバ名を選択した後、右矢印ボタンを選択して [Members] リストに移動します。

左矢印ボタン [Members] リストからユーザまたはサーバを削除します。[Members] リスト内のユーザ名またはサーバ名を選択した後、左矢印ボタンを選択して [Available Users] リストに移動します。

[FortiGuard Web Filtering Override]

[Type] が [Firewall] の場合にのみ使用できます。このグループのWeb フィルタリングの置き換え機能を設定します。351 ページの「ユーザグループのための FortiGuard 置き換えオプションの設定」を参照してください。

[SSL-VPN User Group Options]

[Type] が [SSL-VPN] の場合にのみ使用できます。Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については、『FortiGate SSL VPN ユーザガイド』を参照してください。

注記 : LDAP サーバまたはローカルユーザを、管理者認証用に設定されたグループに追加しようとすると、 "Entry not found" というエラーが発生します。




ユーザグループのための FortiGuard 置き換えオプションの設定

[User]、[Group] の順に選択し、ファイアウォールユーザグループの編集アイコンを選択します。 [FortiGuard Web Filtering Override] セクションを展開します。

図 216: FortiGuard Web フィルタリングの置き換えの設定

[Allowed to perform FortiGuard Web Filtering overrides]

このグループのメンバが [FortiGuard Web Filtering Block] ページで置き換えを要求できるようにする場合に選択します。この接続を管理するファイアウォールプロテクションプロファイルで、FortiGuard の置き換えが有効になっている必要があります。プロテクションプロファイルは、置き換えグループとして 1 つのユーザグループを指定します。 [FortiGuard Web Filter Block Override] ページで、置き換えグループのメンバが、ブロックされたサイトにアクセスすることを認証できます。詳細については、 396 ページの「FortiGuard-Web フィルタ」を参照してください。

[Override Scope] 置き換えを、その置き換えを要求したユーザにのみ適用することも、他のユーザを含めることもできます。ドロップダウンリストから、含める範囲を選択します。

[User] そのユーザのみ

[User Group] そのユーザが属するユーザグループ

[IP] そのユーザの IP アドレスに存在する任意のユーザ

[Profile] そのユーザグループの指定されたプロテクションプロファイルを持つ任意のユーザ

[Ask] 置き換え範囲を選択する、認証しているユーザ

[Override Type] ドロップダウンリストから、アクセスを許可する対象を選択します。

[Directory] URL 内のも低いレベルのディレクトリのみ

[Domain] Web サイトドメイン全体

[Categories] FortiGuard のカテゴリ

[Ask] 置き換えの種類を選択する、認証しているユーザ

[Off-site URLs] ドロップダウンリストから、ユーザが、ブロックされたサイト以外のサイトへのリンクをたどることができるかどうかを選択します。

[Allow] ユーザは、他のサイトへのリンクをたどることができます。

[Deny] ユーザは、 [Override Type] で定義された宛先のみへのリンクをたどることができます。

[Ask] 認証しているユーザが、オフサイトリンクの使用を許可するかどうかを選択します。

[Override Time] 置き換えの有効期間を設定する場合に選択します。

[Constant] 置き換えの有効期間を日数、時間数、分数で設定する場合に選択します。

[Ask] 認証しているユーザが置き換えの有効期間を決定できるようにする場合に選択します。設定されている有効期間が大になります。


352


SSL VPN ユーザグループのオプションの設定

[User]、[Group] の順に選択し、 SSL VPN ユーザグループの編集アイコンを選択します。 [SSL-VPN User Group Options] セクションを展開します。

Web のみのモードまたはトンネルモードに関する動作の詳細な設定方法については、『FortiGate SSL VPN ユーザガイド』を参照してください。

図 217: SSL VPN ユーザグループのオプション

[Enable SSL-VPN Tunnel Service]

このグループ内のユーザが、 SSL VPN トンネルを使用してFortiGate ユニットの背後に位置するネットワークに接続できるようにする場合にオンにします。トランスペアレントモードでは使用できません。

[Allow Split Tunneling] このグループのスプリットトンネリングを許可する場合にオンにします。スプリットトンネリングによって、プライベートネットワークのトラフィックのみが SSL VPN ゲートウェイに送信されることが保証されます。インターネットトラフィックは、通常の暗号化されていないルートを経由して送信されます。

[Restrict tunnel IP range for this group]

[VPN]、[SSL]、[Config] で定義された [Tunnel IP range] を置き換える場合は、このグループの開始と終了の IP アドレス範囲を入力します。

[Enable Web Application] Web ポータルが Web アプリケーションへのアクセスを提供できるようにする場合にオンにします。これは、トランスペアレントモードでは使用できません。

[HTTP/HTTPS Proxy]FTP[Telnet (applet)]

[Samba][VNC][RDP]

Web アプリケーションを有効にした場合は、このグループ内のユーザがアクセスを許可される各アプリケーションをオンにします。

[Check FortiClient AV Installed and Running]

FortiClient Host Security AV ソフトウェアを実行しているクライアントのみの接続を許可する場合にオンにします。このソフトウェアについては、「Fortinet テクニカルドキュメント」 Web サイトを参照してください。


http://docs.forticare.com/fclnt.html




[Check FortiClient FW Installed and Running]

FortiClient Host Security FW ソフトウェアを実行しているクライアントのみの接続を許可する場合にオンにします。このソフトウェアについては、「Fortinet テクニカルドキュメント」 Web サイトを参照してください。

[Check for Third Party AV Software]

サポートされているアンチウイルスソフトウェアがインストールされているクライアントのみの接続を許可する場合にオンにします。このソフトウェアがインストールされ、有効になって ( 実行されて ) いる必要があります。Windows XP SP2 でサポートされている製品については、「AV/ ファイアウォールがサポートされている製品の検出」を参照してください。その他のすべてのシステムでは、Norton (Symantec) AntiVirus または McAfee VirusScan ソフトウェアがサポートされています。注記 : このオプションは、 [Check FortiClient Installed and Running] を選択した場合は使用できません。

[Check for Third Party Firewall Software]

サポートされているファイアウォールソフトウェアがインストールされているクライアントのみの接続を許可する場合にオンにします。このソフトウェアがインストールされ、有効になって ( 実行されて ) いる必要があります。Windows XP SP2 でサポートされている製品については、「AV/ ファイアウォールがサポートされている製品の検出」を参照してください。その他のすべてのシステムでは、Norton (Symantec) AntiVirus または McAfee VirusScan ソフトウェアがサポートされています。注記 : このオプションは、 [Check FortiClient Installed and Running] を選択した場合は使用できません。

[Enable Cache Clean] ユーザのログインとログアウトの間にクライアントコンピュータ上で作成されたすべてのインターネット一時ファイルを削除する場合にオンにします。この処理は、ダウンロードされた IE 用の ActiveX コントロールおよび Firefox 用のプラグインを使用して実行されます。 Windows 2000/Windows XP で動作する Internet Explorer および Firefox上で機能します。注記 : クライアントのブラウザがキャッシュクリーナをインストールして実行できない場合は、ユーザに SSL VPNポータルへのアクセスが許可されません。

[Redirect URL] SSL VPN Web ポータルのページが表示されたときに、このURL で 2 つ目のブラウザウィンドウを開く場合に使用します。この URL に対する Web サーバが、 FortiGate ユニットの背後に位置するプライベートネットワーク上に存在している必要があります。注記 :SSL VPN Web ポータルのログインページを変更することができます。詳細については、 147 ページの「SSL-VPN ログインメッセージの変更」を参照してください。

[Customize portal message for this group]

このグループのためのカスタム Web ポータルホームページキャプションを入力または編集します。




354

ピアおよびピアグループの設定ユーザ

ピアおよびピアグループの設定

一部の VPN 設定での認証や、 PKI 証明書認証に使用されるピアおよびピアグループを定義できます。この操作を行うには、 CLI の config user peer および config user peergrp コマンドを使用します。詳細については、『FortiGate CLI リファレンス』の「ユーザ」の章を参照してください。

表 33: AV/ ファイアウォールがサポートされている製品の検出

製品 AV ファイアウォール

Norton Internet Security 2006 Y Y

Trend Micro PC-cillin Y Y

McAfee Y Y

Sophos Anti-Virus Y N

Panda Platinum 2006 Internet Security Y Y

F-Secure Y Y

Secure Resolutions Y Y

Cat Computer Services Y Y

AhnLab Y Y

Kaspersky Y Y

ZoneAlarm Y Y



アンチウイルス操作の順序

F0

アンチウイルスこの項では、ファイアウォールプロテクションプロファイルに関連したアンチウイルスオプションを設定する方法について説明します。


• 操作の順序

• アンチウイルス要素

• アンチウイルスの設定と制御

• ファイルパターン

• 隔離

• [Config]

• アンチウイルスの CLI 設定

操作の順序

アンチウイルス処理には、個別のタスクを実行するさまざまなモジュールやエンジンが含まれます。 FortiGate ユニットは、 Web ベースマネージャメニューに表示される次の要素の順序で、アンチウイルス処理を実行します。

• ファイルパターン

• ウイルススキャン

• グレーウェア

• ヒューリスティック

あるファイルがアンチウイルススキャンのいずれかの要素に合格できなかった場合、それ以上のスキャンは実行されません。たとえば、ファイル "fakefile.EXE" がブロック対象パターンとして認識された場合、 FortiGate ユニットはエンドユーザに差し替えメッセージを送信し、そのファイルは削除または隔離されます。そのファイルはすでに脅威であることが判明し、対処されているため、ウイルススキャン、グレーウェア、ヒューリスティックなどのスキャンは実行されません。この時点で、このファイルに対してそれ以上のシステムリソースの消費は不要となります。

アンチウイルス要素

受信ファイルを効率的にスキャンできるよう、アンチウイルス要素は順番に実行されます。初の 3 つの要素には特定の機能があります。これに対して、 4 つ目のヒューリスティックは新しい未知のウイルス脅威に対処するためのものです。これらの 4 つの要素が連携することで、ネットワークに対する比類ないアンチウイルス保護が実現します。システムが実現可能な大限の保護を確実に提供できるよう、すべてのウイルス定義およびシグネチャが FortiGuard アンチウイルスサービスを介して定期的にアップデートされます。以下、各要素を適用順に説明し、続いて FortiGuard アンチウイルスについて説明します。


356

アンチウイルス要素アンチウイルス

ファイルパターン

ファイルが受け付けられると、 FortiGate ユニットはファイルパターン認識フィルタを適用します。 FortiGate は、設定されているファイルパターン設定に対してそのファイルをチェックします。ファイルがブロック対象パターン ( たとえば、 ".EXE") である場合、そのファイルは阻止され、差し替えメッセージがエンドユーザに送信されます。他のレベルの保護は適用されません。そのファイルがブロック対象パターンでない場合は、次のレベルの保護が適用されます。

ウイルススキャン

ファイルがファイルパターンに合格すると、そのファイルにはウイルススキャンが適用されます。これらのウイルス定義は、 FortiNet Distribution Network を介して新の状態に維持されます。このリストは定期的に更新されるため、ファームウェアアップグレードを待つ必要はありません。ウイルス定義の更新の詳細については、 FortiGuard アンチウイルスを参照してください。

グレーウェア

ファイルパターンとウイルススキャンに合格すると、その受信ファイルは、グレーウェアでないかどうか確認されます。グレーウェア設定は、必要に応じて有効または無効に設定することができ、アンチウイルス定義と同じ方法で新の状態に維持されます。グレーウェアの設定の詳細については、グレーウェアリストの表示を参照してください。

ヒューリスティック

受信ファイルが初の 3 つのアンチウイルス要素に合格すると、そのファイルにはヒューリスティック要素が適用されます。 FortiGate のヒューリスティックアンチウイルスエンジンはそのファイルにテストを実行して、ウイルスのような動作または既知のウイルス指標を検出します。この方法により、ヒューリスティックスキャンで新しいウイルスが検出される可能性がありますが、何らかの誤検知の結果が生成される可能性もあります。

FortiGuard アンチウイルス

FortiGuard アンチウイルスサービスは優れたリソースであり、 FortiGuard Distribution Network (FDN) を介したウイルスおよび IPS ( 攻撃 ) のエンジンと定義、さらにはローカルスパム DNSBL の自動更新が含まれています。また、FortiGuard Center からも、 FortiGuard アンチウイルスウイルスおよび攻撃エンサイクロペディアや、 FortiGuard Bulletin が提供されます。詳細情報およびFortiGuard Center へのリンクについては、 Fortinet Knowledge Center にアクセスしてください。

FortiGate ユニットと FortiGuard Center の間の接続は、 [System]、[Maintenance]、[FortiGuard Center] で設定されます。詳細については、 170 ページの「FortiGateユニットの FDN および FortiGuard サービスの設定」を参照してください。

注記 : ヒューリスティックは、 CLI を使用してのみ設定できます。『FortiGate CLI ガイド』を参照してください。

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、アンチウイルス機能はグローバルに設定されます。これらの機能にアクセスするには、メインメニューで [Global Configuration] を選択します。



アンチウイルスアンチウイルスの設定と制御

アンチウイルスの設定と制御

アンチウイルス設定は、システム全体での使用のために設定されますが、特定の設定はプロファイル単位に実装できます。表 34 は、プロテクションプロファイルとアンチウイルスメニューのアンチウイルスオプションを比較しています。

表 34: [Antivirus] と [Protection Profile] のアンチウイルス設定

[Protection Profile] のアンチウイルスオプション

[Antivirus] の設定

[Virus Scan] [AntiVirus]、 [Config]、 [Virus List]

各プロトコル (HTTP、 FTP、 IMAP、 POP3、SMTP、 IM) に対して、ウイルススキャンを有効または無効にします。

現在のウイルスの読み取り専用のリストを表示します。

[File Pattern] [AntiVirus]、 [File Pattern]

プロトコルごとのファイルパターン処理を有効または無効にします。

ファイルをブロックまたは許可するようにファイルパターンを設定します。パターンを個別に有効または無効にすることもできます。

[Quarantine] [AntiVirus]、 [Quarantine]

プロトコルごとの隔離を有効または無効にします。隔離は、ローカルディスクを備えたユニット、または設定された FortiAnalyzer ユニットでのみ使用できます。

隔離されたファイルのリストの表示および並べ替え、解析のために Fortinet に自動的にアップロードするファイルパターンの設定、アンチウイルスでの隔離オプションの設定を行います。

[Pass fragmented email messages]

断片化された電子メールメッセージの通過を有効または無効にします。断片化された電子メールメッセージに対しては、ウイルススキャンを実行できません。

[Comfort Clients]

HTTP および FTP トラフィックを有効または無効にします。クライアント快適化をトリガする間隔とバイト数を設定します。

[Oversized file/email]

プロトコルごとの過剰に長いファイルおよび電子メールメッセージをブロックまたは通過させるように FortiGate ユニットを設定します。アンチウイルスでのプロトコルごとのファイルおよび電子メールメッセージのサイズのしきい値を設定します。

[AntiVirus]、 [Config]、 [Grayware]

カテゴリごとのグレーウェアのブロッキングを有効または無効にします。

送信電子メールメッセージにシグネチャを追加します。

送信電子メールメッセージに追加するシグネチャを作成し、有効にします (SMTP のみ )。


358

ファイルパターンアンチウイルス

ファイルパターン

脅威である可能性のあるすべてのファイルをブロックし、アクティブなコンピュータウイルス攻撃を阻止するためのファイルパターンを設定します。ファイルは、名前、拡張子、またはその他の任意のパターンでブロックできます。ファイルパターンブロッキングによって、有害である可能性のあるコンテンツをブロックするための柔軟性が提供されます。

標準的な運用として、 [Protection Profile] で [File Pattern] を無効にしておき、特定の脅威が発生した場合にその脅威をブロックするために一時的に有効にすることを選択できます。

FortiGate ユニットは、設定されたファイルパターンに一致するファイルをブロックし、代わりに差し替えメッセージを表示します。 FortiGate ユニットはまた、各動作が設定されていれば、ウイルスログへのメッセージの書き込みや、アラートメールメッセージの送信も行います。

[File Pattern] と [Virus Scan] の両方が有効になっている場合、 FortiGate ユニットは有効になっているファイルパターンに一致するファイルをブロックしますが、これらのファイルに対してウイルススキャンを実行しません。

ファイルパターンリストカタログの表示

複数のファイルパターンリストを追加し、プロテクションプロファイルごとに適なファイルパターンリストを選択できます。ファイルパターンリストカ

タログを表示するには、 [AntiVirus]、[File Pattern] の順に選択します。個別のファイルパターンリストを表示するには、表示するリストの編集アイコンを選択します。

図 218: ファイルパターンリストカタログの例

注記 : ファイルパターンのエントリは大文字と小文字が区別されません。たとえば、ファイルパターンリストに *.exe を追加すると、 .EXE で終わるファイルもすべてブ

ロックされます。


注記 : デフォルトのファイルパターンリストカタログは、組み込みパターンと呼ばれます。

[Create New] カタログに新しいファイルパターンリストを追加するには、[Create New] を選択します。

[Name] 使用可能なファイルパターンリスト。

[# Entries] 各ファイルパターンリスト内のファイルパターンの数。

[Profiles] 各ファイルパターンリストが適用されたプロテクションプロファイル。

[Comment] 各ファイルパターンリストのオプションの説明。


アンチウイルスファイルパターン

ファイルパターンリストは、プロテクションプロファイルで選択します。詳細については、 290 ページの「アンチウイルスオプション」を参照してください。

新しいファイルパターンリストの作成

ファイルパターンリストカタログにファイルパターンリストを追加するには、[AntiVirus]、[File Pattern] の順に選択し、 [Create New] を選択します。

図 219: [New File Pattern List] ダイアログボックス

ファイルパターンリストの表示

ファイルパターンリストを表示するには、 [AntiVirus]、[File Pattern] の順に選択し、表示するファイルパターンリストの編集アイコンを選択します。

図 220: ファイルパターンリストの例

ファイルパターンリストには、次のアイコンと機能が用意されています。

削除アイコンカタログからこのファイルパターンリストを削除する場合に選択します。削除アイコンは、このファイルパターンリストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコンファイルパターンリスト、リスト名、またはリストのコメントを編集する場合に選択します。

[Name] 新しいリストの名前を入力します。

[Comment] 必要に応じて、このリストを説明するコメントを入力します。

[Name] ファイルパターンリストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。

[Comment] オプションのコメント。コメントを追加または編集するには、コメントフィールドにテキストを入力し、 [OK] を選択します。

[OK]

[Create New] ファイルパターンリストに新しいパターンを追加するには、[Create New] を選択します。

[Pattern] ファイルパターンの現在のリスト。


360

ファイルパターンアンチウイルス

ファイルは、一番上から下に向かって、有効になっているファイルパターンと比較されます。ファイルが、指定されているどのパターンにも一致しなかった場合、そのファイルはアンチウイルススキャン ( 有効になっている場合 ) に渡されます。実際上、ファイルは、明示的にブロックされない限り許可されます。

許可アクションを使用すると、この動作を逆にして、明示的に許可されない限りすべてのファイルをブロックするようにできます。単純に、許可するすべてのファイルパターンを、許可属性を使用して入力します。リストの後に、すべてを包含するワイルドカード (*.*) を、ブロックアクションを使用して追加します。許可されるファイルは引き続きアンチウイルススキャン ( 有効になっている場合 ) に渡される一方、許可されたどのパターンにも一致しないファイルは、

後にあるワイルドカードによってブロックされます。

ファイルパターンリストは、ファイルパターンの次のデフォルトリストを使用してあらかじめ構成されています。

• 実行可能ファイル (*.bat、 *.com、および *.exe)

• 圧縮されたファイルまたはアーカイブファイル (*.gz、 *.rar、 *.tar、 *.tgz、および *.zip)

• ダイナミックリンクライブラリ (*.dll)

• HTML アプリケーション (*.hta)

• Microsoft Office ファイル (*.doc、 *.ppt、 *.xl?)

• Microsoft Works ファイル (*.wps)

• Visual Basic ファイル (*.vb?)

• スクリーンセーバーファイル (*.scr)

• プログラム情報ファイル (*.pif)

ファイルパターンは、プロテクションプロファイルで有効にします。詳細については、 290 ページの「アンチウイルスオプション」を参照してください。

ファイルパターンリストの設定

ファイルパターンの長さは大 80 文字です。リスト内のファイルパターンの大数は 5000 です。

ファイルパターンリストの表示中に新しいファイルパターンを追加するには、[Create New] を選択します。既存のファイルパターンを編集するには、そのパターンに関連付けられた編集アイコンを選択します。

図 221: 新しいファイルパターン

[Action] これらのファイルパターンに一致するファイルのブロックまたは許可を設定できます。

[Enable] ファイルパターンを無効にするには、このチェックボックスをオフにします。

削除アイコンリストからこのファイルパターンを削除する場合に選択します。

編集アイコンファイルパターンやアクションを編集する場合に選択します。

移動アイコンこのファイルパターンをリスト内の任意の位置に移動する場合に選択します。


アンチウイルス隔離

隔離

ローカルディスクを備えた FortiGate ユニットは、ブロックされたファイルや感染したファイルを隔離できます。それらのファイル名やファイルに関する状態情報は、隔離済みファイルリストに表示されます。特定のファイルを送信したり、自動送信リストに特定のファイルパターンを追加してそれらのファイルが解析のために Fortinet に自動的にアップロードされるようにしたりします。

ローカルディスクを備えていない FortiGate ユニットは、ブロックされたファイルや感染したファイルを FortiAnalyzer ユニットに送信して隔離できます。FortiAnalyzer 上に格納されたファイルは、表示のために取得できます。FortiAnalyzer ユニットを設定するには、 [Log & Report]、[Log Config]、[Log Setting] の順に選択します。

隔離済みファイルリストの表示

隔離済みファイルリストには、ウイルス感染またはファイルブロッキングのために隔離された各ファイルに関する情報が表示されます。ファイル名、日付、サービス、状態、重複カウント (DC)、または TTL (Time to Live) でファイルを並べ替えます。リストをフィルタ処理して、隔離されたファイルのうち、特定の状態を含むファイルまたは特定のサービスのファイルのみを表示します。

隔離済みファイルリストを表示するには、[AntiVirus]、[Quarantine]、[QuarantinedFiles] の順に選択します。

図 222: 隔離済みファイルリスト

隔離済みファイルリストには次の機能があり、また隔離された各ファイルに関する次の情報が表示されます。

[Pattern] ファイルパターンを入力します。ファイルパターンは、正確なファイル名にすることも、ワイルドカードを含めることもできます。

[Action] ドロップダウンリストから、 [Block] または [Allow] のアクションを選択します。

[Enable] このパターンを有効にする場合に選択します。


[Apply] 隔離済みファイルリストに並べ替えやフィルタ処理の選択を適用する場合に選択します。

[Sort by] リストを並べ替えます。状態、サービス、ファイル名、日付、 TTL、または重複カウントから選択します。並べ替えを完了するには、[Apply] を選択します。


362

隔離アンチウイルス

自動送信リストの表示

疑わしいファイルを解析のために Fortinet に自動的にアップロードするようにFortiGate ユニットを設定します。ワイルドカード文字 (* または ?) を使用して、自動送信リストにファイルパターンを追加します。これらのファイルパターンは、ファイルブロッキングの設定には関係なく自動送信リストに適用されます。

状態 ([Blocked] または [Heuristics]) に基づいてファイルを Fortinet にアップロードするか、または個別のファイルを隔離済みファイルリストから直接送信します。 FortiGate ユニットは、暗号化された電子メールを使用して、ポート 25 経由で SMTP サーバにファイルを自動送信します。

このオプションは、ローカルディスクを備えた FortiGate ユニットでのみ使用できます。

[Filter] リストをフィルタ処理します。状態 ([Infected]、 [Blocked]、[Heuristics]) またはサービス (IMAP、 POP3、 SMTP、 FTP、 HTTP) から選択します。フィルタ処理を完了するには、 [Apply] を選択します。ヒューリスティックモードは、 CLI を使用してのみ設定できます。368 ページの「アンチウイルスの CLI 設定」を参照してください。

[File Name] 隔離されたファイルの処理されたファイル名。ファイルが隔離されると、ファイル名からすべてのスペースが削除され、そのファイルに対して 32 ビットチェックサムが実行されます。このチェックサムは差し替えメッセージに表示されますが、隔離されたファイルには表示されません。このファイルは、 FortiGate のハードディスク上に、次の名前付け規則で格納されます。<32bit_CRC>.<processed_filename>たとえば、 Over Size.exe という名前のファイルは、3fc155d2.oversize.exe として格納されます。

[Date] このファイルが隔離された日付と時刻 ( 形式は、 dd/mm/yyyy hh:mm)。重複カウントが増えた場合、この値は初のファイルが隔離された時刻を示します。

[Service] このファイルが隔離されたときのサービス (HTTP、 FTP、 IMAP、POP3、 SMTP、 IM)。

[Status] このファイルが隔離された理由 ([Infected]、 [Heuristics]、または [Blocked])。

[Status Description]

状態に関連した特定の情報。たとえば、 "File is infected with "W32/Klez.h"" または "File was stopped by file block pattern."。

[DC] 重複カウント。同じファイルが重複して隔離された回数を示すカウント。この数が急速に増えているときは、ウイルスの発生を示している可能性があります。

[TTL] hh:mm の形式の TTL (Time to Live)。この TTL が経過すると、 FortiGateユニットは、このファイルの [TTL] の見出しの下に [EXP] というラベルを付けます。重複ファイルが発生した場合、見つかった各重複によって TTL が更新されます。TTL 情報は、このファイルが FortiAnalyzer ユニット上で隔離された場合は使用できません。

[Upload Status] [Y] は、このファイルが解析のために Fortinet にアップロードされたことを示します。 [N] は、このファイルがアップロードされていないことを示します。

削除アイコンリストからこのファイルを削除する場合に選択します。


対応するファイルを元の形式でダウンロードする場合に選択します。

サブミットアイコン

疑わしいファイルを解析のために Fortinet にアップロードする場合に選択します。

注記 : ファイルの重複 ( チェックサムに基づく ) は格納されず、カウントされるだけです。 TTL 値と重複カウントは、ファイルの重複が見つかるたびに更新されます。


アンチウイルス隔離

自動送信リストを表示するには、 [AntiVirus]、[Quarantine]、[AutoSubmit] の順に選択します。

図 223: 自動送信リストの例

自動送信リストには、次のアイコンと機能が用意されています。

自動送信リストの設定

自動送信リストにファイルパターンを追加するには、 [AntiVirus]、[Quarantine]、[AutoSubmit] の順に選択します。

図 224: [New File Pattern] ダイアログボックス

隔離オプションの設定

隔離の設定オプション ( ブロックされたファイルまたは感染したファイルを隔離するかどうかや、サービスの種類を含む ) を設定するには、 [AntiVirus]、[Quarantine]、[Config] の順に選択します。 TTL やファイルサイズ値を設定し、自動送信の設定を有効にします。

[Create New] 自動送信リストに新しいファイルパターンを追加する場合に選択します。

[File Pattern] 自動的にアップロードされるファイルパターンの現在のリスト。 ? または * のワイルドカード文字を使用してパターンを作成します。リスト内のすべてのファイルパターンを有効にするには、このチェックボックスをオンにします。


編集アイコン [File Pattern] や [Enable] の情報を編集する場合に選択します。

[File Pattern] Fortinet に自動的にアップロードするファイルパターンまたはファイル名を入力します。

[Enable] このファイルパターンを有効にする場合に選択します。

注記 : 設定されたファイルパターンの自動アップロードを有効にするには、 [AntiVirus]、[Quarantine]、[Config] の順に選択し、 [Enable AutoSubmit] を選択して、 [Use File Pattern] を選択します。


364

隔離アンチウイルス

図 225: 隔離の設定 ( ローカルディスクを備えた FortiGate)

図 226: 隔離の設定 ( ローカルディスクを備えた FortiGate からの FortiAnalyzer)

図 227: 隔離の設定 (ローカルディスクを備えていないFortiGateからのFortiAnalyzer)



アンチウイルス [Config]

隔離の設定には次のオプションがあります。

[Config]

[Config] では、 FortiGate ユニットによってブロックされる現在のウイルスのリストを表示します。また、ファイルや電子メールのサイズ制限、グレーウェアブロッキングなどの設定も行います。

ウイルスリストの表示

ウイルスリストには、 FortiGate ユニットにインストールされている現在のFortiGuard ウイルス定義 (AV 定義とも呼ばれる ) のアルファベット順のリストが表示されます。FortiGate ユニットは、これらのウイルス定義を使用して、FortiGateユニットを通過するコンテンツに含まれているウイルス、ワーム、トロイ、その他の脅威を検出および削除します。リスト全体を表示するか、または数字やアルファベットの範囲を選択することによってリストの一部を表示します。

ウイルスリストを表示するには、 [AntiVirus]、[Config] の順に選択します。

[Options] [Quarantine Infected Files] : アンチウイルススキャンによって識別された感染したファイルを隔離するときのプロトコルを選択します。[Quarantine Suspicious Files] : ヒューリスティックによって識別された疑わしいファイルを隔離するときのプロトコルを選択します。[Quarantine Blocked Files] : アンチウイルスファイルブロッキングによって識別されたブロックされたファイルを隔離するときのプロトコルを選択します。 [Quarantine Blocked Files] オプションは、 HTTP、FTP、 IM には使用できません。ダウンロードする前にファイル名がブロックされ、隔離できないためです。

[Age Limit] ファイルを隔離内に保持する時間の制限 ( 時間単位 )。保存期間は、隔離済みファイルリストの [TTL] 列の値を公式化するために使用されます。この制限に達すると、 [TTL] 列には [EXP] が表示され、ファイルが削除されます ( ただし、隔離済みファイルリスト内のレコードは保持されます )。 0 ( ゼロ ) の保存期間を入力すると、 [Low Disk Space] のアクションによっては、ファイルがディスク上に無期限に格納されます。

[Max Filesize to Quarantine]

隔離されるファイルの大サイズ (MB)。設定する大ファイルサイズが大きすぎると、パフォーマンスに影響する可能性があります。

[Low Disk Space]

ローカルディスクがいっぱいになったときに実行するアクションを、も古いファイルへの上書き、または新ファイルの破棄から選択します。

[FortiAnalyzer] ブロックされたファイルや隔離されたファイルの FortiAnalyzer ユニット上での格納を有効にする場合にオンにします。 FortiAnalyzer ユニットの設定の詳細については、 431 ページの「ログおよびレポート」を参照してください。

[Enable AutoSubmit]

[Enable AutoSubmit] : 自動送信機能を有効にします。次のオプションのどちらかまたは両方をオンにします。[Use File Pattern] : 自動送信リスト内のファイルパターンに一致するファイルの自動アップロードを有効にします。[Use File Status] : 隔離されたファイルの自動アップロードを、それぞれの状態に基づいて有効にします。 [Heuristics] または [Block Pattern] のどちらかを選択します。ヒューリスティックは、 CLI を使用してのみ設定できます。 368 ページの「アンチウイルスの CLI 設定」を参照してください。

[Apply] この設定を保存する場合に選択します。



366

[Config] アンチウイルス

FortiGuard ウイルス定義のリストは、 FortiGate ユニットが新しいバージョンのFortiGuard AV 定義を受信するたびに更新されます。

FortiGuard Center Virus Encyclopedia には、 FortiGate ユニットが FortiGuard ウイルス定義内の情報を使用して検出および削除できる、ウイルス、ワーム、トロイ、その他の脅威の詳細な説明が含まれています。

図 228: ウイルスリスト ( 一部 )

通常、 FortiGuard AV 定義は、 FortiGuard Distribution Network (FDN) から自動的に更新されます。 FDN からの AV 定義の自動更新を設定するには、 [System]、[Maintenance]、[FortiGuard Center] の順に選択します。

また、システムダッシュボード ([System]、[Status] の順に選択 ) から AV 定義を手動で更新することもできます。

グレーウェアリストの表示

グレーウェアプログラムは、たいていはユーザの同意や認識なしにコンピュータ上にインストールされる、迷惑な商用ソフトウェアプログラムです。グレーウェアプログラムは一般に迷惑なものと見られていますが、これらのプログラムがシステムパフォーマンスの問題を引き起こしたり、悪意のある結末のために使用されたりする場合があります。

FortiGate ユニットは、有効になっている各カテゴリに、既知のグレーウェア実行可能プログラムがないかどうかスキャンします。このカテゴリのリストと内容は、 FortiGate ユニットがウイルス更新パッケージを受信した場合は常に追加または更新されます。いつでも新しいカテゴリが追加される可能性があり、それらのカテゴリはウイルス更新と共に読み込まれます。デフォルトでは、すべての新しいカテゴリが無効になっています。グレーウェアは、ウイルススキャンが有効になっているときにプロテクションプロファイルで有効にします。

グレーウェアカテゴリには、既知の実行可能ファイルが入力されています。FortiGate ユニットがウイルスおよび攻撃定義の更新を受信するたびに、グレーウェアのカテゴリと内容が更新されます。

グレーウェアリストを表示するには、 [AntiVirus]、[Config]、[Grayware] の順に選択します。




アンチウイルス [Config]

図 229: サンプルのグレーウェアオプション

グレーウェアカテゴリを有効にすると、そのカテゴリ内にリストされているすべてのファイルがブロックされます。これらのカテゴリは、 FortiGate ユニットが更新を受信したときに変更または拡張される可能性があります。次のグレーウェアカテゴリの有効化を選択できます。

[Adware] アドウェアプログラムをブロックします。アドウェアは通常、フリーウェアプログラムに埋め込まれ、そのプログラムが開かれるか、または使用された場合は常に広告をポップアップさせます。

[BHO] BHO ( ブラウザヘルパオブジェクト ) をブロックします。 BHO は、たいていはソフトウェアパッケージの一部としてインストールされる DLL ファイルであるため、そのソフトウェアは Internet Explorer 4.x 以降の動作を制御できます。すべての BHO に悪意があるわけではありませんが、サーフィンの癖を追跡したり、その他の情報を収集したりする可能性が存在します。

[Dial] ダイヤラプログラムをブロックします。ダイヤラを使用すると、他人が PC モデムを使用してプレミアム番号に電話したり、長距離電話をかけたりできます。

[Download] ダウンロードプログラムをブロックします。ダウンロードコンポーネントは通常、 Windows の起動時に実行され、他のソフトウェア ( 特に、広告やダイヤルのソフトウェア ) をインストールまたはダウンロードするように設計されています。

[Game] ゲームをブロックします。これらのゲームは通常、ネットワークユーザからはブロックすることが望まれる、ジョークゲームや迷惑なゲームです。

[HackerTool] ハッカーツールをブロックします。

[Hijacker] ブラウザハイジャックプログラムをブロックします。ブラウザのハイジャックは、 " スパイウェア " タイプのプログラムが、お気に入りまたはブックマーク、開始ページ、メニューオプションなどのWeb ブラウザ設定を変更した場合に発生します。

[Joke] ジョークプログラムをブロックします。ジョークプログラムには、システムに影響を与えるように見えるカスタムカーソルおよびプログラムも含まれます。

[Keylog] キーロガープログラムをブロックします。キーロガープログラムは、パスワード、チャット、インスタントメッセージを含む、キーボード上で行われたすべてのキーストロークを記録できます。

[Misc] 種々雑多のグレーウェアカテゴリに含まれているすべてのプログラムをブロックします。

[NMT] ネットワーク管理ツールをブロックします。ネットワーク管理ツールをインストールし、悪意を持って使用すると、設定を変更したり、ネットワークセキュリティを妨害したりすることができます。


368

アンチウイルスの CLI 設定アンチウイルス

アンチウイルスの CLI 設定

ここでは、 Web ベースマネージャで使用可能な機能を拡張するための CLI コマンドについて説明します。これらの完全な説明や、 CLI コマンドを使用して追加機能を有効にする方法の例については、『FortiGate CLI リファレンス』を参照してください。

system global optimize

optimize 機能は、アンチウイルススキャンまたは単純なスループットトラフィックのどちらかに対する FortiGate ユニットの効率的な動作を保証するように CPU 設定を設定します。 optimize がアンチウイルスに設定されていると、FortiGate ユニットは対称型マルチプロセッシングを使用してアンチウイルスタスクを複数の CPU に分散することによって、スキャンを高速化します。

この機能は、 1000 以上の番号のモデルで使用できます。

詳細については、 Fortinet Knowledge Center の記事「Antivirus failopen and optimization」を参照してください。

config antivirus heuristic

FortiGate のヒューリスティックアンチウイルスエンジンはファイルにテストを実行して、ウイルスのような動作または既知のウイルス指標を検出します。ヒューリスティックスキャンは、ファイルブロッキングやウイルススキャンで一致が見つからなかった後で、後に実行されます。この方法により、ヒューリスティックスキャンで新しいウイルスが検出される可能性がありますが、何らかの誤検知の結果が生成される可能性もあります。

ヒューリスティックエンジンはデフォルトで有効になっており、疑わしいファイルを受信者に渡し、コピーを隔離に送信します。ヒューリスティックスキャンは、 CLI で設定された後、ウイルススキャンが有効になっているときにプロテクションプロファイルで有効にします。

ヒューリスティックスキャンのモードを変更するには、 heuristic コマンドを使用します。

[P2P] ピアツーピア通信プログラムをブロックします。 P2P は、正規のプロトコルではありますが、音楽、ムービー、その他のファイルを、たいていは違法に交換するために使用されるファイル共有プログラムと同義です。

[Plugin] ブラウザプラグインをブロックします。ブラウザプラグインは、一般には、ブラウザウィンドウからインストールされ、直接実行される害のないインターネットブラウジングツールです。一部のツールバーやプラグインは、ブラウジング設定の制御または記録、あるいは送信を試みることができます。

[RAT] リモート管理ツールをブロックします。リモート管理ツールを使用すると、外部のユーザがネットワーク上のコンピュータをリモートで変更および監視できます。

[Spy] スパイウェアプログラムをブロックします。アドウェアと同様に、スパイウェアも多くの場合はフリーウェアに含まれています。スパイウェアは、 Web ブラウジングの癖などのユーザの動作を、それらが記録および解析される可能性のある広告主の Web サイトに報告できる追跡および解析プログラムです。

[Toolbar] カスタムツールバーをブロックします。害のないツールバーも存在しますが、スパイウェア開発者はこれらのツールバーを使用してWeb 上での癖を監視したり、これらの情報を開発者に送り返したりすることができます。





アンチウイルスアンチウイルスの CLI 設定

config antivirus quarantine

quarantine コマンドでも、ヒューリスティック関連の設定を行うことができます。

この機能は、 200 以上の番号のモデルで使用できます。

config antivirus service <service_name>

このコマンドは、 HTTP、 FTP、 IM、 POP3、 IMAP、または SMTP トラフィック内の大きなファイルに対する FortiGate ユニットでのアンチウイルススキャンの処理方法や、 FortiGate ユニットがサービスのためにスキャンするポートを設定するために使用します。


370

アンチウイルスの CLI 設定アンチウイルス


不正侵入防御不正侵入防御について

F0

不正侵入防御FortiGuard 不正侵入防御システム (IPS) は、シグネチャとアノマリによる不正侵入検知、および短い待ち時間と優れた信頼性を誇る防御機能を兼ね備えています。 IPS では、ファイアウォールプロテクションプロファイルの作成時に有効にされた IPS オプションを設定できます。

この項では、 FortiGate IPS を設定する方法について説明します。 IPS の詳細については、『FortiGate 不正侵入防御システム (IPS) ガイド』を参照してください。


• 不正侵入防御について

• 定義済みシグネチャ

• カスタムシグネチャ

• プロトコルデコーダ

• アノマリ

• IPS の CLI 設定

不正侵入防御について

FortiGate ユニットは、疑わしいトラフィックをログに記録したり、アラートメールをシステム管理者に送信したり、疑わしいパケットまたはセッションをログ記録、許可、破棄、リセット、またはクリアしたりすることができます。一部の IPS アノマリしきい値を、保護されたネットワーク上の正常なトラフィックで

適に機能するように調整します。さまざまなネットワーク環境に合わせてFortiGate IPS をカスタマイズするために、カスタムシグネチャを作成します。

FortiGate IPS は、ネットワークトラフィックを、攻撃シグネチャ内のパターンと照合します。攻撃シグネチャは、ネットワークを既知の攻撃から確実に保護します。 Fortinet の FortiGuard インフラストラクチャによって、新しい脅威の迅速な識別と新しい攻撃シグネチャの開発が保証されます。

FortiGuard サービスは貴重な顧客リソースであり、FortiGuard Distribution Network (FDN) を介したウイルスおよび IPS ( 攻撃 ) のエンジンと定義の自動更新が含まれています。また、 FortiGuard Center からも、 FortiGuard ウイルスおよび攻撃エンサイクロペディアや、 FortiGuard Bulletin が提供されます。詳細情報およびFortiGuard Center へのリンクについては、 Fortinet Knowledge Center にアクセスしてください。

FortiGate ユニットと FortiGuard の間の接続は、 [System]、[Maintenance]、[FortiGuard Center] で設定されます。詳細については、 170 ページの「FortiGateユニットの FDN および FortiGuard サービスの設定」を参照してください。

FortiGate ユニットを、新のシグネチャを含む更新された攻撃定義ファイルがないかどうかを自動的にチェックしてダウンロードするか、または更新された攻撃定義ファイルを手動でダウンロードするように設定します。あるいは、更新された攻撃定義ファイルが FortiGuard Distribution Network から入手可能になったらすぐに、それらのファイルのプッシュ更新を可能にするように FortiGate ユニットを設定します。




372

不正侵入防御について不正侵入防御

FortiGate ユニットは、更新された攻撃定義ファイルをインストールするとき、既存の任意のシグネチャのデフォルト設定が変更されていないかどうかをチェックします。デフォルト設定が変更されている場合は、それらの変更が保持されます。

定義済み攻撃シグネチャの広範なリストに加えて使用する、 FortiGate ユニットのカスタム攻撃シグネチャを作成します。

IPS が攻撃を検出または阻止した場合は常に、攻撃メッセージが生成されます。そのメッセージを攻撃ログに追加し、管理者にアラートメールを送信するように FortiGate ユニットを設定します。 FortiGate ユニットがアラートメールを送信する頻度を設定します。システムに脆弱性がない攻撃 ( たとえば、 Web サーバが実行されていない場合の Web 攻撃 ) に対するシグネチャを無効にすることによって、ログメッセージや警告の数を減らします。

パケットロギングを使用すると、管理者はパケットを解析して、フォレンジックや誤検知がないかどうかを検出できます。

FortiGate のロギングとアラートメールの詳細については、 431 ページの「ログおよびレポート」を参照してください。

IPS の設定と制御

Web ベースマネージャまたは CLI のどちらかを使用して IPS を設定した後、個別のファイアウォールプロテクションプロファイル内のすべてのシグネチャまたはすべてのアノマリを有効または無効にします。

表 35 は、 IPS の各設定と、それらを設定したり設定にアクセスしたりする場所を説明しています。

プロテクションプロファイルの IPS オプションにアクセスするには、 [Firewall]、[Protection Profile] の順に選択し、 [Edit] または [Create New] を選択して、 [IPS] を選択します。

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、 IPS はグローバルに設定されます。 IPS にアクセスするには、メインメニューで [Global Configuration] を選択します。

表 35: [Protection Profile] の IPS 設定と IPS の設定

[Protection Profile] の IPS オプション IPS の設定

[IPS Signature] [Intrusion Protection]、 [Signature]

重大度レベルごとに IPS シグネチャを有効または無効にします。

定義済みシグネチャのリストを表示および設定します。ネットワーク要件に基づいてカスタムシグネチャを作成します。プロトコルデコーダを設定します。

[IPS Anomaly] [Intrusion Protection]、 [Anomaly]

重大度レベルごとに IPS アノマリを有効または無効にします。

定義済みアノマリのリストを表示および設定します。

[Log Intrusions] [Intrusion Protection]、 [Anomaly]、 [ 個別のアノマリ ]

すべてのシグネチャおよびアノマリ侵入のロギングを有効にします。

各シグネチャのロギングを有効にします。各シグネチャまたはアノマリのパケットロギングを有効にします。


不正侵入防御定義済みシグネチャ

IPS を使用する状況

IPS は、大規模なネットワーク、または高度な機密情報を保護しているネットワークにも適しています。 IPS を効率的に使用するには、攻撃の性質や脅威のレベルを特定するために攻撃ログを監視および解析することが必要です。管理者は、パフォーマンスと不正侵入防御の間のバランスを保証するために、しきい値レベルを調整することができます。ネットワーク管理者がいない小規模企業やホームオフィスは、攻撃ログメッセージで溢れる可能性があり、しきい値やその他の IPS 設定を設定するために必要なネットワークのバックグラウンドもありません。さらに、アンチウイルス ( グレーウェアを含む )、スパムフィルタ、Web フィルタなどの、 FortiGate ユニットが備えているその他の保護機能によって、優れた保護がすべてのネットワークに提供されます。

定義済みシグネチャ

デフォルトでは、一部のシグネチャだけが有効になっています。ただし、ロギングは、すべてのシグネチャに対して有効になっています。デフォルト設定をチェックして、ネットワークトラフィックの要件が満たされていることを確認してください。

不必要なシグネチャを無効にすると、システムパフォーマンスが向上したり、IPS によって生成されるログメッセージやアラートメールメッセージの数が減少したりする可能性があります。たとえば、 IPS は多数の Web サーバ攻撃を検出します。 FortiGate ユニットの背後に配置されている Web サーバへのアクセスが提供されていない場合は、すべての Web サーバ攻撃シグネチャを無効にします。

定義済みシグネチャリストの表示

個別の定義済みシグネチャの設定は、定義済みシグネチャリストで有効または無効にしたり、設定したりします。このリストは、シグネチャの重大度レベルごとに表示できます。

定義済みシグネチャリストを表示するには、 [Intrusion Protection]、[Signature]、[Predefined] の順に選択します。

注記 : IPS シグネチャ設定をデフォルトのままで実行すると、 FortiGate ユニットの全体的なパフォーマンスが低下する可能性があります。定義済みシグネチャやロギングの設定を微調整することによって、大の保護だけでなく、大のパフォーマンスを保証することができます。 376 ページの「システムパフォーマンス向上のための IPS 定義済みシグネチャの微調整」を参照してください。

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、IPS はグローバルに設定されます。 IPS にアクセスするには、メインメニューで [Global Configuration]を選択します。


374

定義済みシグネチャ不正侵入防御

図 230: 定義済みシグネチャリスト

表 36 は、定義済みシグネチャ、カスタムシグネチャ、およびアノマリに対して実行される可能性のある各アクションを説明しています。

[Column Settings]

テーブルに表示するシグネチャ情報をカスタマイズする場合に選択します。また、列の順序を再調整することもできます。デフォルトでは、シグネチャ ID、グループ名、およびリビジョン番号は表示されません。

[Name] このシグネチャの名前。

[Enable] このシグネチャの状態。緑色の円は、このシグネチャが有効になっていることを示します。灰色の円は、このシグネチャが有効になっていないことを示します。

[Logging] このシグネチャのロギング状態。デフォルトでは、すべてのシグネチャのロギングが有効になっています。ロギングが有効になっている場合は、このシグネチャによって生成されるログメッセージの状態フィールドにアクションが表示されます。

[Action] このシグネチャに対して設定されているアクション。アクションは、[Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、または [Pass Session] に設定できます。ロギングが有効になっている場合は、このシグネチャによって生成されるログメッセージの状態フィールドにアクションが表示されます。アクションの説明については、表 36 を参照してください。

[Severity] このシグネチャに対して設定されている重大度レベル。重大度レベルは、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical] に設定できます。

[Protocols] このシグネチャが適用されるプロトコル。

[OS] このシグネチャが適用されるオペレーティングシステム。

[Applications] このシグネチャが適用されるアプリケーション。

[ID] このシグネチャの一意の ID。

[Group] このシグネチャが属するシグネチャグループの名前。

[Revision] このシグネチャのリビジョン番号。

設定アイコンこのシグネチャの設定を設定します。

リセットアイコン

リセットアイコンは、シグネチャのデフォルト設定が変更されている場合にのみ表示されます。シグネチャのリセットアイコンを選択すると、デフォルト設定に復元されます。


不正侵入防御定義済みシグネチャ

定義済みシグネチャの設定

各シグネチャに対して、 FortiGate IPS が攻撃を検出したときに実行するアクションを設定します。 FortiGate IPS は、それらのパケットまたはセッションを許可、破棄、リセット、またはクリアすることができます。パケットロギングを有効または無効にします。このシグネチャに適用する重大度レベルを選択します。

表 36: 各定義済みシグネチャに対して選択するアクション

アクション説明

[Pass] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、それ以上のアクションを実行せずにそのパケットのファイアウォール通過を許可します。ロギングが無効で、アクションが [Pass] に設定されている場合、このシグネチャは実質的に無効になります。

[Drop] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットを削除します。ファイアウォールセッションは影響されません。TCP 接続ベースの攻撃には [Drop] 以外のアクションを使用することをお勧めします。

[Reset] パケットがシグネチャをトリガすると、FortiGate ユニットは警告を生成し、そのパケットを削除します。 FortiGate ユニットは、クライアントとサーバの両方にリセットを送信し、このファイアウォールセッションをファイアウォールセッションテーブルから削除します。このアクションは、 TCP 接続に対してのみ使用されます。 TCP 以外の接続ベースの攻撃に対して設定されている場合、このアクションは [Clear Session] として動作します。 TCP 接続が完全に確立される前に [Reset] アクションがトリガされると、このアクションは [Clear Session] として機能します。

[Reset Client] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットを削除します。 FortiGate ユニットは、クライアントにリセットを送信し、このファイアウォールセッションをファイアウォールセッションテーブルから削除します。このアクションは、 TCP 接続に対してのみ使用されます。 TCP 以外の接続ベースの攻撃に対して設定されている場合、このアクションは [Clear Session] として動作します。 TCP 接続が完全に確立される前に [Reset Client] アクションがトリガされると、このアクションは [Clear Session] として機能します。

[Reset Server] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットを削除します。 FortiGate ユニットは、サーバにリセットを送信し、このファイアウォールセッションをファイアウォールセッションテーブルから削除します。このアクションは、 TCP 接続に対してのみ使用されます。 TCP 以外の接続ベースの攻撃に対して設定されている場合、このアクションは [Clear Session] として動作します。 TCP 接続が完全に確立される前に [Reset Server] アクションがトリガされると、このアクションは [Clear Session] として機能します。

[Drop Session] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットを削除します。このパケットのファイアウォールセッションの残りについては、すべての後続パケットが破棄されます。

[Pass Session] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットのファイアウォール通過を許可します。このパケットのセッションの残りについては、すべての後続パケットがIPS をバイパスします。

[Clear Session] パケットがシグネチャをトリガすると、 FortiGate ユニットは警告を生成し、そのパケットが属するセッションがセッションテーブルから直ちに削除されます。リセットは送信されません。TCP の場合は、すべての後続パケットが破棄される可能性があります。UDP の場合は、すべての後続パケットが、ファイアウォールでの新しいセッションの作成をトリガする可能性があります。


376

定義済みシグネチャ不正侵入防御

図 231: 定義済み IPS シグネチャの設定

システムパフォーマンス向上のための IPS 定義済みシグネチャの微調整

デフォルトでは、 FortiGate ユニットのほとんどの定義済みシグネチャが有効になっており、そのすべてがログに記録されます。デフォルト設定のままにしておくと、 FortiGate はシステムに、使用可能な適な保護を提供します。シグネチャやログの設定を微調整することによって、使用可能な適な保護を引き続き実現しながら、貴重な FortiGate のリソースを解放することも可能になります。微調整では、使用していない機能を無効にすることができます。使用していないシグネチャやログを無効にすることによって、 FortiGate ユニットがタスクをより高速に実行できるようになるため、全体的なシステムパフォーマンスが向上します。

すべてのシステムで、常に IPS スイートのすべてのシグネチャをスキャンする必要があるわけではありません。

その例を次に示します。内部のデータベースにしかアクセスせず、インターネットや電子メールにはアクセスしないコンピュータを制御している FortiGate ユニットがある場合は、その FortiGate ユニットで、電子メール、 IM、 P2P などの特定の種類のシグネチャをスキャンしても意味はありません。

FortiGate ユニットにこれらのシグネチャを検索しないように指示することによって、高いレベルのセキュリティを維持しながら、全体的なパフォーマンスを向上させることができます。

また、ロギング機能で提供される情報をどのように使用しているかを正確に確認することも必要です。これらの情報を確認していないことがわかった場合は、ロギング機能を無効にするのが善の方法です。ロギングは、すぐに使用可能なインテリジェンスを実現するために使用するのが善です。

シグネチャを無効にするには

1 [Intrusion Protection]、[Signature]、[Predefined] の順に選択します。

2 無効にするシグネチャの [Enable] ボックスをオフにします。

シグネチャのロギングを無効にするには


2 変更するシグネチャの右側にある [Configure] アイコンを選択します。

3 [Logging] チェックボックスをオフにします。


[Action] リストからアクションを選択します。アクションは、 [Pass]、 [Drop]、[Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、または [Pass Session] に設定できます。アクションの説明については、表 36 を参照してください。

[Packet Log] パケットロギングを有効にします。

[Severity] ドロップダウンリストから重大度レベルを選択します。重大度レベルは、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical] に設定できます。重大度レベルは、個別のシグネチャに対して設定されます。


不正侵入防御カスタムシグネチャ

カスタムシグネチャ

カスタムシグネチャは、さまざまなネットワーク環境に合わせて FortiGate IPSをカスタマイズするための優れた機能と柔軟性を提供します。 FortiGate の定義済みシグネチャは、一般的な攻撃をカバーしています。例外的なアプリケーションや特殊なアプリケーション、または一般的でないプラットフォームを使用している場合は、アプリケーションやプラットフォームのベンダからリリースされているセキュリティ警告に基づいてカスタムシグネチャを追加します。

また、 P2P プロトコルのブロックに役立つようにカスタムシグネチャを作成することもできます。

カスタムシグネチャの詳細については、、『FortiGate 不正侵入防御システム (IPS) ガイド』を参照してください。

カスタムシグネチャリストの表示

カスタムシグネチャリストを表示するには、 [Intrusion Protection]、[Signature]、[Custom] の順に選択します。

図 232: カスタムシグネチャリスト

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、 IPS はグローバルに設定されます。 IPS にアクセスするには、メインメニューで [Global Configuration] を選択します。

[View custom signatures with severity]

フィルタ条件に一致するカスタムシグネチャのみを表示するには、フィルタを選択してから、 [Go] を選択します。並べ替えの条件としては、 [All]、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical] に対する [<=]、 [=]、 [>=] を使用できます。

[Create New] 新しいカスタムシグネチャを作成する場合に選択します。

[ 全カスタムシグネチャのクリア ] アイコン

すべてのカスタムシグネチャを削除します。

[ 推奨設定へのリセット ] アイコン

すべてのカスタムシグネチャを推奨される設定にリセットします。

[Name] カスタムシグネチャの名前。

[Enable] 各カスタムシグネチャの状態。ボックス内のチェックマークは、このシグネチャが有効になっていることを示します。

[Logging] 各カスタムシグネチャのロギング状態。ボックス内のチェックマークは、このカスタムシグネチャのロギングが有効になっていることを示します。

[Action] 各カスタムシグネチャに対して設定されているアクション。アクションは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、または [Pass Session] に設定できます。ロギングが有効になっている場合は、このシグネチャによって生成されるログメッセージの状態フィールドにアクションが表示されます。アクションの説明については、表 36 を参照してください。

全カスタムシグネチャのクリア推奨設定へのリセット




378

プロトコルデコーダ不正侵入防御

カスタムシグネチャの作成

特定のトラフィックをブロックまたは許可するには、カスタムシグネチャを使用します。たとえば、ポルノを含むトラフィックをブロックするには、次のようなカスタムシグネチャを追加します。

F-SBID (--protocol tcp; --flow established; --content "nude cheerleader"; --no_case)

このシグネチャを追加する場合は、アクションを [Drop Session] に設定します。

カスタムシグネチャの構文の詳細については、『FortiGate 不正侵入防御システム (IPS) ガイド』を参照してください。

カスタムシグネチャを作成するには、 [Intrusion Protection]、[Signature]、[Custom] の順に選択します。

図 233: カスタムシグネチャの編集

プロトコルデコーダ

FortiGate IPS は、アノマリ検知を使用して、既知の攻撃を利用しようとしているネットワークトラフィックを識別します。

[Severity] 各カスタムシグネチャに対して設定されている重大度レベル。重大度レベルは、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical] に設定できます。重大度レベルは、個別のシグネチャに対して設定されます。

削除アイコンこのカスタムシグネチャを削除する場合に選択します。

編集アイコン [Name]、 [Signature]、 [Action]、 [Packet Log]、および [Severity] の情報を編集する場合に選択します。

注記 : カスタムシグネチャは高度な機能です。このドキュメントでは、ユーザが不正侵入検知シグネチャの作成をすでに経験していることを前提にしています。

[Name] カスタムシグネチャの名前を入力します。

[Signature] カスタムシグネチャを入力します。カスタムシグネチャの構文の詳細については、『FortiGate 不正侵入防御システム (IPS) ガイド』の「カスタムシグネチャの構文」を参照してください。

[Action] リストからアクションを選択します。アクションは、 [Pass]、 [Drop]、[Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Pass Session]、または [Clear Session] に設定できます。アクションの説明については、表 36 を参照してください。

[Packet Log] パケットロギングを有効にします。

[Severity] ドロップダウンリストから重大度レベルを選択します。重大度レベルは、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical] に設定できます。重大度レベルは、個別のシグネチャに対して設定されます。





不正侵入防御アノマリ

プロトコルデコーダリストの表示

デコーダリストを表示するには、 [Intrusion Protection]、[Signature]、[Protocol Decoder] の順に選択します。

図 234: プロトコルデコーダリストの一部

IPS プロトコルデコーダリストのアップグレード

IPS プロトコルデコーダは、 FortiGuard Distribution Network (FDN) から入手可能な IPS アップグレードパッケージに含まれています。ファームウェアアップグレードを待つ必要はありません。 IPS アップグレードパッケージによって、 IPSデコーダリストが、既存の IM/P2P の新バージョンや新規アプリケーションなどの新しい脅威を含む新の状態に維持されます。

アノマリ

FortiGate IPS は、アノマリ検知を使用して、既知のトラフィックパターンや事前に設定されたトラフィックパターンには適合しないネットワークトラフィックを識別します。

FortiGate IPS は、 TCP、 UDP、および ICMP プロトコルに対する、次の 4 つの統計的なアノマリタイプを識別します。


[Name] プロトコルデコーダの名前。

[Ports] このデコーダが監視する (1 つまたは複数の ) ポート番号。

設定アイコンこのシグネチャの属性を変更する場合にクリックします。デフォルトでは、一部のデコーダはシステムで使用されているため、その設定を変更することはできません。


380

アノマリ不正侵入防御

各トラフィックアノマリのロギングを有効または無効にし、アノマリの検出に対応して実行する IPS アクションを設定します。多くの場合、攻撃を表している可能性のあるトラフィックパターンを検出するためにアノマリが使用するしきい値は設定可能です。

発信元および宛先ネットワークアドレスに基づくセッション制御を設定するには、 CLI を使用します。

トラフィックアノマリ検知リストは、 FortiGate ファームウェアイメージがアップグレードされた場合にのみ更新できます。

トラフィックアノマリリストの表示

アノマリリストを表示するには、 [Intrusion Protection]、[Anomaly] の順に選択します。

図 235: トラフィックアノマリリストの一部

フラッディング 1 つの宛先を対象にした 1 秒間のセッション数が指定されたしきい値を超えている場合、その宛先はフラッディングを受けています。

スキャン 1 つの発信元からの 1 秒間のセッション数が指定されたしきい値を超えている場合、その発信元はスキャンを実行しています。

発信元セッション制限

1 つの発信元からの同時実行セッション数が指定されたしきい値を超えている場合は、発信元セッション制限に達しています。

宛先セッション制限

1 つの宛先への同時実行セッション数が指定されたしきい値を超えている場合は、宛先セッション制限に達しています。

注記 : デフォルトのアノマリしきい値を変更する前に、正常なネットワークトラフィックと予測されるネットワークトラフィックを把握することが重要です。しきい値を低く設定しすぎると誤検知が発生する可能性があり、しきい値を高く設定しすぎると一部の攻撃を見逃す可能性があります。


[View traffic anomalies with severity]

フィルタ条件に一致するアノマリのみを表示するには、フィルタを選択してから、 [Go] を選択します。並べ替えの条件としては、 [All]、[Information]、 [Low]、 [Medium]、 [High]、または [Critical] に対する [<=]、 [=]、 [>=] を使用できます。

[Name] トラフィックアノマリの名前。

[Enable] このトラフィックアノマリの状態。ボックス内のチェックマークは、このアノマリシグネチャが有効になっていることを示します。

[Logging] 各トラフィックアノマリのロギング状態。ボックス内のチェックマークは、このアノマリのロギングが有効になっていることを示します。


不正侵入防御 IPS の CLI 設定

IPS トラフィックアノマリの設定

各 IPS トラフィックアノマリは、推奨される設定を使用して事前に設定されています。この推奨される設定を使用するか、または推奨される設定をネットワークのニーズを満たすように変更します。

IPS トラフィックアノマリを設定するには、 [Intrusion Protection]、[Anomaly] の順に選択します。

図 236: IPS トラフィックアノマリの編集 : icmp_dst_session

IPS の CLI 設定

ここでは、 Web ベースマネージャで使用可能な機能を拡張するための CLI コマンドについて説明します。これらの完全な説明や、 CLI コマンドを使用して追加機能を有効にする方法の例については、『FortiGate CLI リファレンス』を参照してください。

system autoupdate ips

IPS が更新されるとき、ユーザによって変更された設定は保持されます。推奨されるIPS シグネチャ設定が変更されておらず、更新された設定が異なっている場合、シグネチャ設定は accept-recommended-settings に従って設定されます。

[Action] 各トラフィックアノマリに対して設定されているアクション。アクションは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、[Drop Session]、 [Clear Session]、または [Pass Session] に設定できます。ロギングが有効になっている場合は、このアノマリによって生成されるログメッセージの状態フィールドにアクションが表示されます。アクションの説明については、表 36 を参照してください。

[Severity] 各トラフィックアノマリに対して設定されている重大度レベル。重大度レベルは、 [Information]、 [Low]、 [Medium]、 [High]、または [Critical]に設定できます。重大度レベルは、個別のアノマリに対して設定されます。

編集アイコン [Action]、 [Severity]、および [Threshold] の情報を編集する場合に選択します。

リセットアイコンリセットアイコンは、アノマリが変更されている場合にのみ表示されます。変更された設定を推奨される値に復元するには、リセットアイコンを使用します。

[Action] ドロップダウンリストから、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [ResetServer]、 [Drop Session]、 [Pass Session]、 [Clear Session] のいずれかのアクションを選択します。アクションの説明については、表 36 を参照してください。

[Severity] ドロップダウンリストから、 [Information]、 [Low]、 [Medium]、 [High]、[Critical] のいずれかの重大度レベルを選択します。

[Threshold] しきい値の設定を含む IPS アノマリの場合は、指定されたしきい値を超えるトラフィックによってこのアノマリがトリガされます。



382

IPS の CLI 設定不正侵入防御

ips global fail-open

何らかの原因で IPS が機能しなくなった場合は、デフォルトで fail open が実行されます。つまり、重要なネットワークトラフィックがブロックされることはなく、問題を解決している間もファイアウォールは動作を継続します。

ips global ip_protocol

IPS の処理をファイアウォールポリシーで許可されたサービスだけに制限することによって、システムリソースを節約します。

ips global socket-size

IPS バッファのサイズを設定します。

(config ips anomaly) config limit

config ips anomaly <name_str> コマンドを使用して、config limit サブコマンドにアクセスします。このコマンドは、発信元および宛先ネットワークアドレスに基づくセッション制御に使用します。このコマンドは、tcp_src_session、 tcp_dst_session、 icmp_src_session、icmp_dst_session、 udp_src_session、 udp_dst_session に使用できます。


Web フィルタ Web フィルタリングの順序

F0

Web フィルタWeb フィルタリングの 3 つの主な機能である Web フィルタコンテンツブロック、 URL フィルタ、および FortiGuard Web フィルタは、相互に連携してインターネットユーザに対する大限の制御と保護を可能にします。


• Web フィルタリングの順序

• Web フィルタリングの動作

• Web フィルタの制御

• コンテンツブロック

• URL フィルタ

• FortiGuard-Web フィルタ

Web フィルタリングの順序

Web フィルタは、次の順序で適用されます。

1 URL 除外 (Web 除外リスト )

2 URL ブロック (Web URL ブロック )

3 URL ブロック (Web パターンブロック )

4 FortiGuard Web フィルタリング ( カテゴリブロックともいいます )

5 コンテンツブロック (Web コンテンツブロック )

6 スクリプトフィルタ (Web スクリプトフィルタ )

7 アンチウイルススキャン

URL フィルタリストは、上位から下位に向かって順番に処理されます。 (FortiOS v2.80 の場合、 URL フィルタは順不同のリストとして処理されます。 ) 除外に一致すると、 AV スキャンを含むそれ以降のチェックは行われません。許可に一致すると、その URL フィルタリストのチェックは止められ、他の Web フィルタがチェックされます。

他の FortiGuard Web フィルタリングカテゴリの前に、ローカル評価がチェックされます。

FortiGate ユニットはこの順序でルールを適用していき、ルールに従っていない場合は、それ以降のフィルタの設定に関係なく、サイトは自動的にブロックされます。

Web フィルタリングの動作

以下では、各フィルタが相互に連携するしくみと、それらのフィルタの活用方法について説明します。


384

Web フィルタの制御 Web フィルタ

初のセクションである URL 除外とブロックフィルタを使用すると、特定のアドレスに対して行なうアクションを決定できます。たとえば、 www.google.com をスキャン対象から除外する場合は、そのアドレスを URL 除外リストに追加します。それにより、この Web サイトに対して、 Web フィルタリングやウイルススキャンは実行されなくなります。

あるパターンをブロックしたいが、特定のユーザがそのパターン内に含まれるURL にアクセスできるようにしたい場合は、 FortiGuard Web フィルタ内の「上書き」機能を使用すればよいでしょう。この機能を使用すると、ブロックされたURL にアクセスできるようにするユーザと、そのアクセスが許可される期間を指定できます。たとえば、 User1 が www.fakeLAND.com に 1 時間だけアクセスできるようにしたい場合があります。このセクションを使用すれば、このような除外を設定できます。上書きリストに含まれているユーザはすべてオンライン認証フォームに入力しないと、 FortiGuard ユニットがブロックした URL へのアクセスは許可されません。

FortiGuard Web フィルタではまた、 URL のグループをブロックするためのローカルカテゴリも作成できます。このカテゴリを作成した後は、ローカル評価を使用して、作成したローカルカテゴリに特定のサイトを追加できます。さらに、[Firewall]、[Protection Profile] を使用して、ローカルカテゴリで実行するアクションを FortiGuard ユニットに指示します。これらのローカル評価によって、FortiGuard の評価が上書きされます。

後に、 FortiGuard ユニットは、 ActiveX、 Cookie、および Java アプレットに対してスクリプトフィルタリングを適用します。これらは、 [Firewall]、[Protection Profile]、[Web filtering] で設定できます。

これらのすべての設定を完了したら、 [Firewall]、[Protection Profile]、[Web filtering] や [Firewall]、[Protection Profile]、[FortiGuard Web Filtering] でこれらの設定をすべて有効にしておく必要があります。ここで各設定を有効にすることにより、 FortiGate ユニットに、設定したばかりのフィルタの使用を開始するよう指示したことになります。

ここでは、 Web フィルタリングのオプションを設定する方法について説明します。この項で設定した Web フィルタリング機能を有効にするには、アクティブなプロテクションプロファイルで、対応する設定を有効にする必要があります。

Web フィルタの制御

一般的なルールとして、 [Web Filter] を選択して Web フィルタリング設定を行った後、プロテクションプロファイルで使用できるように、そのフィルタを有効にします。有効にしたフィルタを実際にアクティブにするには、 [Firewall]、[Protection Profile] の順に選択します。

FortiGuard-Web フィルタは、 292 ページの「FortiGuard-Web フィルタリングオプション」で詳細に説明されています。評価の訂正や、新しいページに対する評価の提案は、「FortiGuard Center」 Web ページから提出することができます。詳細情報および FortiGuard Center へのリンクについては、 Fortinet Knowledge Centerにアクセスしてください。

注記 : フィルタを有効にしたということは、 Web フィルタリング機能を有効にしたときに、そのフィルタが使用されることを意味します。そのフィルタが直ちにアクティブになるわけではありません。有効にしたすべてのフィルタを実際にアクティブにするには、[Firewall]、[Protection Profile] の順に選択する必要があります。



Web フィルタ Web フィルタの制御

次の表は、 [Protection Profile] の Web フィルタリングオプションと [Web Filter] メニューを比較しています。

表 37: [Web Filter] と [Protection Profile] の Web コンテンツブロック設定

[Protection Profile] の Web フィルタリングオプション

[Web Filter] の設定

[Web Content Block] [Web Filter]、 [Content Block]

HTTP トラフィックに対するコンテンツブロックリスト内の禁止単語およびパターンに基づいた Web ページのブロッキングを有効または無効にします。

特定の単語またはパターンが含まれたWeb ページをブロックするための単語およびパターンを追加します。

表 38: [Web Filter] と [Protection Profile] の Web URL フィルタリング設定



[Web URL Filter] [Web Filter]、 [URL Filter]

URL フィルタリストに基づいた HTTP トラフィックに対する Web ページフィルタリングを有効または無効にします。

特定の発信元からの Web ページを除外またはブロックするするための URL および URL パターンを追加します。

表 39: [Web Filter] と [Protection Profile] の Web スクリプトフィルタリングおよびダウンロード設定



[ActiveX Filter]、 [Cookie Filter]、 [Java Applet Filter]

n/a

HTTP トラフィックに対する Web ページからのスクリプトのブロッキングを有効または無効にします。

[Web resume Download Block] n/a

すでに部分的にダウンロードされたファイルの残りのダウンロードをブロックする場合に有効にします。このオプションを有効にすると、ウイルスファイルの意図しないダウンロードは防止されますが、ダウンロードの中断を引き起す場合があります。

表 40: [Web Filter] と [Protection Profile] の Web カテゴリフィルタリング設定



[Enable FortiGuard Web Filtering] (HTTP のみ ) [FortiGuard Web Filter]、 [Configuration]

[Enable FortiGuard Web Filtering Overrides] (HTTP のみ )

[FortiGuard Web Filtering]、 [Overrides]

[Provide details for blocked HTTP 4xx and 5xx errors] (HTTP のみ )

[Rate images by URL (Blocked images will be replaced with blanks)] (HTTP のみ )


386

コンテンツブロック Web フィルタ

プロテクションプロファイルの Web フィルタオプションにアクセスするには

1 [Firewall]、[Protection Profile] の順に選択します

2 [Edit] または [Create New] を選択します。

3 [Web Filtering] または [Web Category Filtering] を選択します。

コンテンツブロック

特定の単語またはパターンをブロックすることによって、 Web コンテンツを制御します。プロテクションプロファイルで有効になっている場合、 FortiGate ユニットは、要求された Web ページ内の単語またはパターンを検索します。一致が見つかると、その単語に割り当てられた値が合計されていきます。その合計値がユーザ定義のしきい値を超えると、その Web ページはブロックされます。

禁止単語パターンをリストに追加するには、 Perl 正規表現またはワイルドカードを使用します。

[Allow web sites rating error occurs] (HTTP のみ )

[Strict Blocking] (HTTP のみ )

[Category]/[Action]

FortiGuard-Web フィルタリングサービスは、Web トラフィックのフィルタ処理に使用する多くのカテゴリを提供します。各カテゴリに対して、実行するアクションを Web ページで設定します。 [Allow]、 [Block]、 [Log]、 [Allow Override] から選択します。

[Local Categories] を設定すれば、ローカルな要件にうまく適合させることができます。

[FortiGuard Web Filtering]、 [Local Categories] | [Local Ratings]

[Classification]/[Action]

選択されると、ユーザはコンテンツキャッシュを提供したり、またイメージ、オーディオ、ビデオファイルの検索を提供する Webサイトにアクセスできるようになります。[Allow]、 [Block]、 [Log]、 [Allow Override] から選択します。

表 40: [Web Filter] と [Protection Profile] の Web カテゴリフィルタリング設定 ( 続き )



注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、 Web フィルタリング機能はグローバルに設定されます。これらの機能にアクセスするには、メインメニューで [Global Configuration] を選択します。

注記 : Web フィルタのコンテンツブロックでは、 Perl 正規表現パターンの大文字と小文字は区別されます。単語または語句の大文字と小文字が区別されないようにするには、正規表現の /i を使用します。たとえば、

/bad language/i を指定すると、大文字 / 小文字には関係なく、bad language のすべ

ての組み合わせがブロックされます。ワイルドカードパターンでは大文字と小文字が区別されません。


Web フィルタコンテンツブロック

Web コンテンツブロックリストカタログの表示

複数の Web コンテンツブロックリストを追加し、プロテクションプロファイルごとに適な Web コンテンツブロックリストを選択できます。 Web コンテンツブロックリストカタログを表示するには、 [Web Filter]、[Content Block] の順に選択します。個別の Web コンテンツブロックリストを表示するには、表示するリストの編集アイコンを選択します。

図 237: Web コンテンツブロックリストカタログの例

Web コンテンツブロックリストカタログには、次のアイコンと機能が用意されています。

Web コンテンツ除外リストは、プロテクションプロファイルで選択します。詳細については、 291 ページの「Web フィルタリングオプション」を参照してください。

新しい Web コンテンツブロックリストの作成

Web コンテンツブロックリストカタログに Web コンテンツブロックリストを追加するには

1 [Web Filter]、 [Content Block] の順に選択します。


図 238: [New Web Content Block list] ダイアログボックス

[Add] このカタログに新しいリストを追加するには、名前を入力し、 [Add] を選択します。

[Name] 使用可能な Web コンテンツブロックリスト。

[# Entries] 各 Web コンテンツブロックリスト内のコンテンツパターンの数。

[Profiles] 各 Web コンテンツブロックリストが適用されたプロテクションプロファイル。

[Comment] 各 Web コンテンツブロックリストについての任意のコメント。

削除アイコンカタログからこの Web コンテンツ除外リストを削除する場合に選択します。削除アイコンは、この Web コンテンツ除外リストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコン Web コンテンツ除外リスト、リスト名、またはリストのコメントを編集する場合に選択します。




388


Web コンテンツブロックリストの表示

Web コンテンツブロックが有効になっている場合、要求されたすべての Webページはコンテンツブロックリストに対するチェックが行われます。ページに現れる各パターンのスコア値が加算されていき、その合計がプロテクションプロファイルで設定されているしきい値を超えると、そのページはブロックされます。一つのパターンについては、そのパターンがページに複数回現れた場合でも、スコアは 1 回だけカウントされます。

Web コンテンツブロックリストを表示するには


2 表示する Web コンテンツ除外リストの編集アイコンを選択します。

図 239: Web コンテンツブロックリストの例

Web コンテンツブロックリストには、次のアイコンと機能が用意されています。

注記 : コンテンツブロックの設定をアクティブにするには、ファイアウォールの [Protection Profile] で [Web Filtering]、 [Web Content Block] を有効にします。

[Name] Web コンテンツブロックリストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] Web コンテンツブロックリストにパターンを追加する場合に選択します。

[Total] Web コンテンツブロックリスト内のパターンの数。

前ページアイコン前のページを表示する場合に選択します。

次ページアイコン次のページを表示する場合に選択します。

全エントリ削除アイコン

このテーブルをクリアする場合に選択します。

[Banned Word] 存在するパターンのリスト。リスト内のすべてのパターンを有効にするには、チェックボックスをオンにします。

[Pattern Type] パターンのリスト内のそれぞれのエントリで使用されるパターンの種類。 [Wildcard] または [Regular Expression] から選択します。 418 ページの「Perl 正規表現の使用」を参照してください。

[Language] このパターンが属する文字セットで、 [Simplified Chinese]、 [Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 [Western] のいずれかになります。

[Score] このパターンに適用される重み付けのスコア値。あるページに現れるすべての一致パターンのスコア値が加算され、その合計がプロテクションプロファイルで設定されているしきい値を超えると、そのページはブロックされます。


編集アイコン [Banned Word]、 [Pattern Type]、 [Language]、および [Enable] の情報を編集する場合に選択します。



Web コンテンツブロックリストの設定

Web コンテンツのパターンは、 1 つの単語にすることも、大 80 文字のテキスト文字列にすることもできます。リスト内の禁止単語の大数は 5000 となります。

コンテンツ除外パターンを追加または編集するには


2 [Create New] を選択します。または


図 240: 新規コンテンツブロックパターン

Web コンテンツ除外リストカタログの表示

複数の Web コンテンツ除外リストを追加し、そのうち適な Web コンテンツ除外リストをプロテクションプロファイルごとに選択できます。

Web コンテンツ除外リストカタログを表示するには

• [Web Filter]、[Content Block]、[Web Content Exempt] の順に選択します。

個別の Web コンテンツ除外リストを表示するには

• 表示するリストの編集アイコンを選択します。

図 241: Web コンテンツ除外リストカタログの例

[Banned Word] コンテンツブロックパターンを入力します。 1 つの単語の場合、FortiGate はその単語が含まれていないかどうか、すべての Webページをチェックします。語句の場合、 FortiGate はその語句の中の任意の単語が含まれていないかどうか、すべての Web ページをチェックします。引用符で囲まれた語句の場合、 FortiGateユニットはその語句全体が含まれていないかどうか、すべてのWeb ページをチェックします。

[Pattern Type] ドロップダウンリストから、 [Wildcard] または [Regular Expression] のどちらかのパターンの種類を選択します。

[Language] ドロップダウンリストから言語を選択します。

[Score] このパターンのスコア値を入力します。



390


Web コンテンツ除外リストカタログには、次のアイコンと機能が用意されています。

Web コンテンツ除外リストは、プロテクションプロファイルで選択します。詳細については、 291 ページの「Web フィルタリングオプション」を参照してください。

新しい Web コンテンツ除外リストの作成

Web コンテンツ除外リストカタログに Web コンテンツ除外リストを追加するには

1 [Web Filter]、 [Content Block]、 [Web Content Exempt] の順に選択します。


図 242: [New Web Content Exempt list] ダイアログボックス

Web コンテンツ除外リストの表示

Web コンテンツの除外によって、 Web コンテンツブロック機能の上書きが可能になります。 Web コンテンツ除外リストで定義されている任意のパターンが Web ページに存在する場合、通常は Web コンテンツブロック機能がブロックするような場合であっても、そのページはブロックされません。

Web コンテンツ除外リストを表示するには

1 [Web Filter]、 [Content Block]、 [Web Content Exempt] の順に選択します。



[Name] 使用可能な Web コンテンツ除外リスト。

[# Entries] 各 Web コンテンツ除外リスト内のコンテンツパターンの数。

[Profiles] 各 Web コンテンツ除外リストが適用されたプロテクションプロファイル。

[Comment] 各 Web コンテンツ除外リストのオプションの説明。

削除アイコンカタログからこの Web コンテンツ除外リストを削除する場合に選択します。削除アイコンは、この Web コンテンツ除外リストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコン Web コンテンツ除外リスト、リスト名、またはリストのコメントを編集する場合に選択します。





図 243: Web コンテンツ除外リストの例

Web コンテンツ除外リストには、次のアイコンと機能が用意されています。

Web コンテンツ除外リストの設定

Web コンテンツのパターンは、 1 つの単語にすることも、大 80 文字のテキスト文字列にすることもできます。リスト内の禁止単語の大数は 5000 となります。

コンテンツ除外パターンを追加または編集するには

1 [Web Filter]、 [Content Exempt] の順に選択します。

2 [Create New] を選択します。または

3 表示する Web コンテンツ除外パターンの編集アイコンを選択します。

注記 : コンテンツ除外の設定をアクティブにするには、ファイアウォールの [Protection Profile] で [Web Filtering]、 [Web Content Exempt] を有効にします。

[Name] Web コンテンツ除外リストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] Web コンテンツ除外リストにパターンを追加する場合に選択します。

[Total] Web コンテンツ除外リスト内のパターンの数。





[Pattern] 存在するパターンのリスト。リスト内のすべてのパターンを有効にするには、このチェックボックスをオンにします。

[Pattern Type] パターンリスト内のそれぞれのエントリで使用されるパターンの種類。 [Wildcard] または [Regular Expression] から選択します。 418 ページの「Perl 正規表現の使用」を参照してください。

[Language] このパターンが属する文字セットで、 [Simplified Chinese]、 [Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 [Western] のいずれかになります。


編集アイコン [Pattern]、 [Pattern Type]、 [Language]、および [Enable] の情報を編集する場合に選択します。


392

URL フィルタ Web フィルタ

図 244: 新規コンテンツ除外パターン

URL フィルタ

特定の URL へのアクセスを許可またはブロックするには、それらの URL を URLフィルタリストに追加します。 URL を許可またはブロックするには、テキストや正規表現 ( またはワイルドカード文字 ) を使用してパターンを追加します。FortiGate ユニットは、指定された任意の URL またはパターンに一致する Webページを許可またはブロックし、代わりに差し替えメッセージを表示します。

URL フィルタリストカタログの表示

複数の URL フィルタリストを追加し、その中から適な URL フィルタリストをプロテクションプロファイルごとに選択できます。

URL フィルタリストカタログを表示するには

• [Web Filter]、[URL Filter] の順に選択します。

個別の URL フィルタリストを表示するには

1 [Web Filter]、[URL Filter] の順に選択します。

2 表示するリストの編集アイコンを選択します。

[Pattern] コンテンツ除外パターンを入力します。 1 つの単語の場合、FortiGate はその単語が含まれていないかどうか、すべての Webページをチェックします。語句の場合、 FortiGate はその語句の中の任意の単語が含まれていないかどうか、すべての Web ページをチェックします。引用符で囲まれた語句の場合、 FortiGateユニットはその語句全体が含まれていないかどうか、すべてのWeb ページをチェックします。

[Pattern Type] ドロップダウンリストから、 [Wildcard] または [Regular Expression] のパターンの種類を選択します。

[Language] ドロップダウンリストから言語を選択します。


注記 : URL フィルタの設定をアクティブにするには、ファイアウォールの [Protection Profile] で [Web filtering]、 [Web URL Filter] を有効にします。

注記 : URL ブロッキングでは、ユーザが Web ブラウザを使用してアクセスできる他のサービスへのアクセスはブロックされません。たとえば、 URL ブロッキングでは、ftp://ftp.example.com へのアクセスはブロックされません。 FTP 接続を拒否するに

は、代わりにファイアウォールポリシーを使用します。


Web フィルタ URL フィルタ

図 245: URL フィルタリストカタログの例

URL フィルタリストカタログには、次のアイコンと機能が用意されています。

URL フィルタリストは、プロテクションプロファイルで選択します。詳細については、 291 ページの「Web フィルタリングオプション」を参照してください。

新しい URL フィルタリストの作成

URL フィルタリストカタログに URL フィルタリストを追加するには



図 246: [New URL Filter list] ダイアログボックス

URL フィルタリストの表示

ブロックまたは除外する特定の URL を追加します。 URL フィルタリストに次の項目を追加します。

• 完全な URL

• IP アドレス

• すべてのサブドメインを許可またはブロックするための部分的な URL

URL フィルタリストを表示するには



[Name] 使用可能な URL フィルタリスト。

[# Entries] 各 URL フィルタリスト内の URL パターンの数。

[Profiles] 各 URL フィルタリストが適用されたプロテクションプロファイル。

[Comment] 各 URL フィルタリストのオプションのコメント。

削除アイコンカタログからこの URL フィルタリストを削除する場合に選択します。削除アイコンは、この URL フィルタリストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコン URL フィルタリスト、リスト名、またはリストのコメントを編集する場合に選択します。




394

URL フィルタ Web フィルタ

2 表示する URL フィルタリストの編集アイコンを選択します。

図 247: URL フィルタリスト

URL フィルタリストには、次のアイコンと機能が用意されています。

URL フィルタリストの設定

URL フィルタリスト内のエントリの大数は 5000 です。

URL フィルタリストに URL を追加するには



3 URL または IP アドレスを入力します。

4 表現の種類を選択します。

[Name] URL フィルタリストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] URL ブロックリストに URL を追加する場合に選択します。



[ 全 URL フィルタのクリア ] アイコン


[URL] 存在するブロック / 除外 URL のリスト。リスト内のすべての URLを有効にするには、このチェックボックスをオンにします。

[Type] URL の種類であり、 [Simple] または [Regex] ( 正規表現 )。

[Action] URL が一致したときに実行するアクションであり、 [Allow]、 [Block]、または [Exempt]。許可に一致すると、その URL フィルタリストのチェックは終了し、他の Web フィルタがチェックされます。除外に一致すると、 AV スキャンを含むそれ以降のチェックは実行されません。ブロックに一致すると、その URL はブロックされ、それ以降のチェックは実行されません。


編集アイコン [URL]、 [Type]、 [Action]、および [Enable] の情報を編集する場合に選択します。

[Move] アイコン [Move URL Filter] ダイアログボックスを開く場合に選択します。

注記 : トップレベルのドメインサフィックス ( たとえば、前にピリオドが付かない "com") を入力すると、このサフィックスを含むすべての URL へのアクセスがブロックされます。


Web フィルタ URL フィルタ

5 実行するアクションを選択します。

6 [Enable] チェックボックスをオンにします。


図 248: [New URL Filter] ダイアログボックス

Web サイト上のすべてのページへのアクセスを制御するには、トップレベルのURL または IP アドレスを入力します。たとえば、 www.example.com または192.168.144.155 とすれば、この Web サイトにあるすべてのページへのアクセスが制御されます。

Web サイト上の特定のページへのアクセスを制御するには、トップレベルのURL の後にそのパスとファイル名を入力します。たとえば、www.example.com/news.htmlまたは192.168.144.155/news.htmlとすれば、この Web サイト上のニュースページが制御されます。

example.comで終わるURLを含むすべてのページへのアクセスを制御するには、フィルタリストに example.com を追加します。たとえば、 example.com を追加すると、 www.example.com、 mail.example.com、www.finance.example.com などへのアクセスが制御されます。

テキストと正規表現 ( またはワイルドカード文字 ) を使用して作成されたパターンに一致するすべての URL へのアクセスを制御します。たとえば、 example.*は、 example.com、 example.org、 example.net などに一致します。

FortiGate の Web パターンブロッキングでは、標準的な正規表現がサポートされています。

[URL] URL を入力します。 http:// を含めないでください。

[Type] ドロップダウンリストから、 [Simple] または [Regex] ( 正規表現 ) の種類を選択します。

[Action] ドロップダウンリストから、 [Allow]、 [Block]、または [Exempt] のアクションを選択します。許可に一致すると、その URL フィルタリストが終了し、他のWeb フィルタがチェックされます。除外に一致すると、 AV スキャンを含むそれ以降のチェックはすべて実行されません。ブロックに一致すると、その URL はブロックされ、それ以降のチェックは実行されません。

[Enable] この URL を有効にする場合にオンにします。

注記 : アクションが [Exempt] に設定された URL に対しては、ウイルススキャンが実行されません。ネットワーク上のユーザが、信頼できる Web サイトから FortiGate ユニットを介してファイルをダウンロードする場合は、この Web サイトの URL を [Exempt] のアクションで URL フィルタリストに追加しておくことで、この URL からダウンロードされたファイルに対して FortiGate ユニットがウイルススキャンを実行しないようにします。

注記 : Web URL フィルタの設定をアクティブにするには、ファイアウォールの [Protection Profile] で [Web filtering]、 [Web URL Filter] を有効にします。


396

FortiGuard-Web フィルタ Web フィルタ

URL フィルタリスト内の URL の移動

URL フィルタリストを使いやすくするために、エントリをリスト内の別の位置に移動できます。

URL フィルタリスト内の URL を移動するには


2 URL リストの編集アイコンを選択します。

3 URL をドラッグアンドドロップするか、または移動する URL の右にある [Move] アイコンを選択します。

4 その URL の場所を指定します。


図 249: [Move URL Filter] ダイアログボックス

FortiGuard-Web フィルタ

FortiGuard-Web は、 Fortinet が提供するマネージド Web フィルタリングソリューションです。 FortiGuard-Web は、数億もの Web ページを、ユーザが許可、ブロック、または監視できるよう、さまざまなカテゴリに分類しています。FortiGate ユニットは、も近い FortiGuard-Web Service Point にアクセスして、要求された Web ページのカテゴリを決定した後、そのユーザまたはインタフェースに対して設定されたファイアウォールポリシーに従います。

FortiGuard-Web には、数億ページに達する Web サイトの 6,000 万を超える個別の評価が含まれています。各ページは、ユーザが許可、ブロック、または監視できるよう、 56 のカテゴリに分類され、評価されます。インターネットの進化と共に、これらのカテゴリは追加または更新される可能性があります。設定を簡単にするために、ユーザは、カテゴリ内の全グループの許可、ブロック、または監視も選択できます。ブロックされたページは、そのページがインターネット使用ポリシーによってアクセス不可能となっていることを示すメッセージに差し替えられます。

FortiGuard-Web の評価は、テキスト解析、 Web 構造の活用、人間の評価者を含む、独自の手法の組み合わせによって実行されます。ある Web ページが正しく分類されていないと思われた場合は、 FortiGuard-Web Service Point にご連絡ください。また、必要に応じて、新しいサイトの評価も直ちに行われます。

プロテクションプロファイルで FortiGuard カテゴリブロッキングを設定するには、 292 ページの「FortiGuard-Web フィルタリングオプション」の手順を使用します。 FortiGuard Web サービスを設定するには、 170 ページの「FortiGate ユニットの FDN および FortiGuard サービスの設定」を参照してください。

[Move to] この URL を配置するリスト内の場所を選択します。

(URL) 新しい URL を配置するリスト内の場所の前または後にある URLを入力します。


Web フィルタ FortiGuard-Web フィルタ

FortiGuard-Web フィルタリングの設定

FortiGuard-Web サービスを設定するには

• [System]、[Maintenance]、[FortiGuard Center] の順に選択します。

詳細については、 170 ページの「FortiGate ユニットの FDN および FortiGuardサービスの設定」を参照してください。

上書きリストの表示

あるポリシーによってブロックされている Web サイトへのアクセスがユーザに必要になることがあります。この場合、管理者はこのユーザに、ある一定の期間だけこのブロック機能を上書きさせることができます。

ブロックされたサイトにユーザがアクセスしようとしたとき、上書きが有効になっていると、そのユーザを認証フォームに導くリンクがブロックページに表示されます。ユーザが正しいユーザ名とパスワードを入力しないと、その Webサイトはブロックされたままになります。認証はユーザグループに基づき、ローカル、 RADIUS、および LDAP ユーザに対して行われます。認証や、ユーザグループの設定の詳細については、 346 ページの「ユーザグループ」を参照してください。

上書きリストを表示するには

• [Web Filter]、[FortiGuard-Web Filter]、[Override] の順に選択します。

図 250: 上書きリスト

上書きリストには、次のアイコンと機能が用意されています。

[Create New] このリストに新しい上書きルールを追加する場合に選択します。

このリスト内の上書きルールの総数。



全クリアアイコンこのテーブルをクリアする場合に選択します。

[URL/Category] この上書きが適用される URL またはカテゴリ。

[Scope] この上書きを使用する可能性のあるユーザまたはユーザグループ。

[Off-site URLs] この上書きによって、ユーザが、上書きされているカテゴリまたは URL にあるリンクからとベルサイトにアクセスできるかどうかを示します。緑色のチェックマークは、リンク先のアクセスが許可されていることを示します。灰色の×印は、リンク先のアクセスが拒否されていることを示します。

[Initiator] この上書きルールの作成者。

[Expiry Date] この上書きルールの有効期限日。


編集アイコン [Type]、 [URL]、 [Scope]、 [User]、 [Off-site URLs]、および [Override Duration] の情報を編集する場合に選択します。


398


上書きルールの設定

上書きルールを設定すると、ブロックされた Web サイトへのアクセスを、ディレクトリ、ドメイン名、またはカテゴリに基づいて許可できます。

ディレクトリまたはドメインの上書きルールを作成するには

1 [Web Filter]、[FortiGuard-Web Filter]、[Override] の順に選択します。


3 [Type] を選択します。

4 [Scope] を選択します。

5 [Scope] に対応する情報を選択します。

6 [Off-site URLs] の [Allow] または [Block] を選択します。

7 上書きの有効期間を設定します。


図 251: [New Override Rule] - [Directory] または [Domain]

カテゴリの上書きを作成するには、 [Web Filter]、[FortiGuard-Web Filter]、[Override] の順に選択します。

[Type] [Directory] または [Domain] を選択します。

[URL] Web サイトの URL またはドメイン名を入力します。

[Scope] [User]、 [User Group]、 [IP]、 [Profile] のいずれかを選択します。選択したオプションに応じて、 [Scope] の下に異なるオプションが表示されます。

[User] [Scope] で選択したユーザの名前を入力します。

[User Group] ドロップダウンリストからユーザグループを選択します。ユーザグループは、 FortiGuard-Web の設定前に設定されている必要があります。詳細については、 346 ページの「ユーザグループ」を参照してください。

[IP] 上書きを利用するコンピュータの IP アドレスを入力します。

[Profile] ドロップダウンリストからプロテクションプロファイルを選択します。

[Off-site URLs] [Allow] または [Block] を選択します。これにより、ユーザは、上書きされる Web サイトにおかれたリンクの先にアクセスできるようになります。

[Override Duration] 有効期間を日数、時間数、分数で入力します。上書きリストでは、上書きの終了日が計算されて表示されます。



図 252: [New Override Rule] - [Categories]

[Type] [Categories] を選択します。

[Categories] この上書きが適用されるカテゴリを選択します。カテゴリグループまたはサブカテゴリを選択できます。また、ローカルカテゴリも表示されます。

[Classifications] この上書きが適用される分類を選択します。選択されると、ユーザはコンテンツキャッシュを提供したり、イメージ、オーディオ、ビデオファイルの検索機能を提供する Web サイトにアクセスできるようになります。

[Scope] [User]、 [User Group]、 [IP]、 [Profile] のいずれかを選択します。選択したオプションに応じて、 [Scope] の下に異なるオプションが表示されます。

[User] [Scope] で選択したユーザの名前を入力します。

[User Group] ドロップダウンリストからユーザグループを選択します。

[IP] 上書きを利用するコンピュータの IP アドレスを入力します。

[Profile] ドロップダウンリストからプロテクションプロファイルを選択します。

[Off-site URLs] [Allow] または [Block] を選択します。これにより、ユーザは、上書き Web サイトにおかれたリンクの先のサイトにアクセスできるようになります。

[Override Duration] 有効期間を日数、時間数、分数で入力します。上書きリストでは、上書きの終了日が計算されて表示されます。


400


ローカルカテゴリの作成

ユーザがプロファイル単位に URL のグループをブロックできるようにするために、ユーザ定義のカテゴリを作成できます。ここで定義されたカテゴリは、プロテクションプロファイルの設定時にグローバル URL カテゴリリストに表示されます。ユーザは URL を、これらのローカルカテゴリに基づいて評価できます。

図 253: ローカルカテゴリリスト

ローカル評価リストの表示

ローカル評価リストを表示するには

• [Web Filter]、[FortiGuard-Web Filter]、[Local Ratings] の順に選択します。

図 254: ローカル評価リスト

ローカル評価リストには、次のアイコンと機能が用意されています。

[Add] カテゴリの名前を入力し、 [Add] を選択します。


[Create New] リストに評価を追加する場合に選択します。

[Search] このリストをフィルタ処理するための検索条件を入力します。

[1 - 3 of 3] このリスト内のローカル評価の総数。



全クリアアイコンこのテーブルをクリアする場合に選択します。

[URL] 評価された URL。このリストを URL で並べ替えるには、緑色の矢印を選択します。

[Category] この URL が入れられているカテゴリまたは分類。この URL が複数のカテゴリまたは分類で評価されている場合は、後続のドットが表示されます。 [Category Filter] ダイアログボックスを開くには、灰色のじょうごアイコンを選択します。リストがフィルタ処理されると、じょうごアイコンが緑色に変更されます。


編集アイコン [URL]、 [Category Rating]、および [Classification Rating] の情報を編集する場合に選択します。



図 255: [Category Filter] ダイアログボックス

ローカル評価の設定

ユーザは、ユーザ定義のカテゴリを作成した後、そのカテゴリに属すべき URLを指定できます。これにより、ユーザはプロファイル単位に、 Web サイトのグループをまとめてブロックできるようになります。これらの評価は、関連付けられたカテゴリと共にグローバル URL リストに含まれており、 URL ブロックリストの処理と同じ方法で比較されます。

これらのローカル評価は FortiGuard サーバの評価より優先され、レポート内では "Local Category" と表示されます。

ローカル評価を作成するには

• [Web Filter]、[FortiGuard-Web Filter]、[Local Ratings] の順に選択します。

[Clear Filter] すべてのフィルタを削除する場合に選択します。

[Category Name] このカテゴリを展開するには、青色の矢印を選択します。

[Enable Filter] このカテゴリまたは個別のサブカテゴリのフィルタを有効にする場合にオンにします。

[Classification Name] フィルタ処理できる分類。

[Enable Filter] この分類フィルタを有効にする場合にオンにします。


402


図 256: 新しいローカル評価

カテゴリブロックの CLI 設定

FortiGuard-Web Service Point のデフォルトのホスト名 (URL) を変更するには、webfilter fortiguard コマンドの hostname キーワードを使用します。FortiGuard-Web Service Point の名前を Web ベースマネージャを使用して変更することはできません。 FortiGuard-Web の設定はすべて、 CLI を使用して設定します。詳細については、『FortiGate CLI リファレンス』の webfilter fortiguard キーワードの説明を参照してください。

FortiGuard-Web フィルタレポート

任意のプロテクションプロファイルに対して、 FortiGuard-Web フィルタリングについてのテキストや円グラフ形式のレポートを生成します。 FortiGate ユニットは、各カテゴリの許可、ブロック、および監視された Web ページの統計を保持しています。数時間または数日間といった範囲のレポートを表示するか、あるいはすべての動作についての完全なレポートを表示します。

Web フィルタレポートを作成するには

• [Web Filter]、[FortiGuard-Web Filter]、[Reports] の順に選択します。

[URL] 評価する URL を入力します。

[Category Name] このカテゴリを展開するには、青色の矢印を選択します。

[Enable Filter] このカテゴリまたは個別のサブカテゴリのフィルタを有効にする場合にオンにします。

[Classification Name] フィルタ処理できる分類。

[Enable Filter] この分類フィルタを有効にする場合にオンにします。

注記 : FortiGuard Web フィルタレポートは、ハードディスクを備えた FortiGate ユニットでのみ使用できます。




図 257: FortiGuard Web フィルタリングレポートの例

次の表は、レポートを生成するためのオプションを説明しています。

生成されたレポートには、円グラフと次の情報が含まれます。

[Profile] レポートを生成するプロテクションプロファイルを選択します。

[Report Type] レポートの期間を選択します。 [Hour]、 [Day]、または [All] の履歴統計から選択します。

[Report Range] レポートの時間の範囲 (24 時間時計 ) または日の範囲 (6 日前から今日まで ) を選択します。たとえば、 [Hour] レポートの種類で範囲が 13 ～ 16 の場合は、今日の午後 1 時から午後 4 時までのカテゴリブロックレポートになります。 [Day] レポートの種類で範囲が 0 ～ 3 の場合は、3 日前から今日までのカテゴリブロックレポートになります。

[Get Report] レポートを生成する場合に選択します。

[Category] この統計が生成されたカテゴリ。

[Allowed] 選択された期間にアクセスされた、許可された Web アドレスの数。

[Blocked] 選択された期間にアクセスされた、ブロックされた Web アドレスの数。

[Monitored] 選択された期間にアクセスされた、監視された Web アドレスの数。


404



アンチスパムアンチスパム

F0

アンチスパムこの項では、ファイアウォールプロテクションプロファイルに関連したスパムフィルタリングオプションを設定する方法について説明します。


• アンチスパム

• 禁止単語

• ブラック / ホワイトリスト

• アンチスパムの詳細設定

• Perl 正規表現の使用

アンチスパム

アンチスパムを設定すると、スパム電子メールメッセージを検出し、既知のスパムサーバや疑わしいスパムサーバからのスパム転送を識別することによって、迷惑な商用電子メールを管理することができます。

FortiGuard-Antispam は、スパムを管理するための機能の 1 つです。 FortiGuardは、 IP アドレスブラックリスト、 URL ブラックリスト、スパムフィルタリングツールなどで構成されたフォーティネットのアンチスパムシステムです。FortiGuard Center では、スパム電子メールメッセージの提出先となるだけでなく、誤検知の報告も受け付けています。詳細情報および FortiGuard Center へのリンクについては、 Fortinet Knowledge Center にアクセスしてください。

スパムフィルタリングの順序

受信メールが FortiGate Antispam フィルタを通過する順序は、メールの転送に使用されるプロトコルによって決定されます。

SMTP の場合

1 ラストホップ IP に対する IP アドレス BWL チェック

2 ラストホップ IP に対する RBL/ORDBL チェック、ラストホップ IP に対するFortiGuard-Antispam IP チェック、 HELO DNS 参照

3 MIME ヘッダチェック、電子メールアドレス BWL チェック

4 電子メールの件名に対する禁止単語チェック

5 IP アドレス BWL チェック ("Received" ヘッダから取得された IP に対して )

6 電子メールの本文に対する禁止単語チェック

7 戻り電子メール DNS チェック、 FortiGuard AntiSpam チェック、ヘッダから取得されたパブリック IP に対する RBL/ORDBL チェック

POP3 と IMAP の場合

1 MIME ヘッダチェック、電子メールアドレス BWL チェック



406


2 電子メールの件名に対する禁止単語チェック

3 IP BWL チェック

4 電子メールの本文に対する禁止単語チェック

5 戻り電子メール DNS チェック、 FortiGuard AntiSpam チェック、 RBL/ORDBLチェック

SMTP、POP3、および IMAP の場合

サーバへのクエリと応答が必要なフィルタ (FortiGuard Antispam サービスとDNSBL/ORDBL) は、同時に実行されます。遅延を回避するために、クエリは、他のフィルタが実行されている間に送信されます。スパムアクションをトリガする初の応答は、その応答が受信されるとすぐに有効になります。

一致や問題が発見されない場合、各スパムフィルタは電子メールを次のフィルタに渡します。フィルタ内のアクションが [Mark as Spam] である場合、 FortiGateユニットは、プロテクションプロファイル内の設定に従ってその電子メールにタグを付けるか、または破棄します (SMTP のみ )。フィルタ内のアクションが [Mark as Clear] である場合、その電子メールは残りのすべてのフィルタから除外されます。フィルタ内のアクションが [Mark as Reject] である場合、その電子メールセッションは破棄されます。拒否された SMTP 電子メールメッセージは、設定可能な差し替えメッセージに置き換えられます。

アンチスパムフィルタの制御

スパムフィルタは、システム全体での使用のために設定されますが、プロファイル単位に有効になります。

表 41 は、アンチスパムの各設定と、それらを設定したり設定にアクセスしたりする場所を説明しています。

表 41: [AntiSpam] と [Protection Profile] のスパムフィルタリング設定

[Protection Profile] のスパムフィルタリングオプション

[AntiSpam] の設定

[FortiGuard-Antispam] の [IP address check] [System]、 [Maintenance]、 [FortiGuard Centre]

FortiGuard-Antispam と呼ばれるフォーティネットのアンチスパムサービスを有効または無効にします。 FortiGuard-Antispam は、スパム IP アドレスと URL ブラックリストを提供する、フォーティネット独自の DNSBLサーバです。フォーティネットは、新しいスパム発信元が発見されるたびに、FortiGuard-Antispam の IP と URL を新の状態に維持します。

FortiGuard-Antispam を有効にしたり、FortiGuard-Antispam サーバの状態をチェックしたり、ライセンスの種類や終了日を表示したり、キャッシュを設定したりします。詳細については、 170 ページの「FortiGate ユニットの FDN およびFortiGuard サービスの設定」を参照してください。

[IP address BWL check] [AntiSpam]、 [Black/White List]、 [IP Address]

ブラック / ホワイトリストのチェック。設定されているスパムフィルタ IP アドレスリストに対する受信 IP アドレスのチェックを有効または無効にします。 (SMTP のみ )

IP アドレスをリストに追加したり編集したりします。 IP アドレスごとに、実行するアクションをスパム、クリア、または拒否として設定できます。 IP アドレスは、リスト内の任意の位置に置くことができます。フィルタは、各 IP アドレスを順番にチェックします。 (SMTP のみ )

[DNSBL & ORDBL check] コマンドラインのみ



設定されている DNSBL (DNS Blackhole List) および ORDBL (Open Relay Database List) サーバに対する電子メールトラフィックのチェックを有効または無効にします。

DNSBL および ORDBL サーバをリストに追加したり、リストから削除したりします。各サーバからの、スパムとして識別された電子メールに対して実行するアクションを、スパムまたは拒否として設定できます (SMTP のみ )。DNSBL や ORDBL の設定は、コマンドラインインタフェースでのみ変更できます。詳細については、『FortiGate CLI リファレンス』を参照してください。

[HELO DNS lookup] n/a

ドメインネームサーバに登録されている IPアドレスに対する発信元ドメイン名のチェックを有効または無効にします。発信元ドメイン名がこの IP アドレスに一致しない場合、その電子メールはスパムとしてマークされ、プロテクションプロファイルで選択されているアクションが実行されます。

[E-mail address BWL check] [AntiSpam]、 [Black/White List]、 [E-mail Address]

設定されているスパムフィルタ電子メールアドレスリストに対する受信電子メールアドレスのチェックを有効または無効にします。

ワイルドカードや正規表現を使用したオプションを指定して、電子メールアドレスをリストに追加したり編集したりします。電子メールアドレスごとに、アクションをスパムまたはクリアとして設定できます。電子メールアドレスは、リスト内の任意の位置に置くことができます。フィルタは、各電子メールアドレスを順番にチェックします。

[Return e-mail DNS check] n/a

ドメインネームサーバに登録されている IPアドレスに対する受信電子メール戻りアドレスドメインのチェックを有効または無効にします。戻りアドレスドメイン名がこのIP アドレスに一致しない場合、その電子メールはスパムとしてマークされ、プロテクションプロファイルで選択されているアクションが実行されます。

[MIME headers check] コマンドラインのみ

設定されているスパムフィルタ MIME ヘッダリストに対する発信元の MIME ヘッダのチェックを有効または無効にします。

ワイルドカードや正規表現を使用したオプションを指定して、 MIME ヘッダをリストに追加したり編集したりします。 MIMEヘッダごとに、アクションをスパムまたはクリアとして設定できます。DNSBL や ORDBL の設定は、コマンドラインインタフェースでのみ変更できます。詳細については、『FortiGate CLI リファレンス』を参照してください。

[Banned word check] [AntiSpam]、 [Banned Word]

設定されているスパムフィルタ禁止単語リストに対する発信元電子メールのチェックを有効または無効にします。

ワイルドカードや正規表現を使用したオプションを指定して、禁止単語をリストに追加したり編集したりします。言語と、電子メールの本文、件名、またはこの両方を検索するかどうかを設定できます。単語ごとに、実行するアクションをスパムまたはクリアとして設定できます。

[Spam Action] n/a

表 41: [AntiSpam] と [Protection Profile] のスパムフィルタリング設定 ( 続き )








408

禁止単語アンチスパム

プロテクションプロファイルのアンチスパムオプションにアクセスするには、[Firewall]、 [Protection Profile] の順に選択して編集するか、または [Create New]、[Spam Filtering] を選択します。

禁止単語

特定の単語またはパターンを含む電子メールメッセージをブロックすることによって、スパムを制御します。プロテクションプロファイルで有効になっている場合、 FortiGate ユニットは、電子メールメッセージ内の単語またはパターンを検索します。一致が見つかると、その単語に割り当てられた値が合計されていきます。ユーザ定義のしきい値を超えると、そのメッセージはスパムとしてマークされます。一致が見つからない場合、その電子メールメッセージは次のフィルタに渡されます。

禁止単語パターンをリストに追加するには、 Perl 正規表現またはワイルドカードを使用します。

スパムとして識別された電子メールに対して実行するアクション。 POP3 および IMAPメッセージにはタグが付けられます。 SMTPメッセージに対して、 [Tagged] または [Discard] を選択します。タグ付き電子メールの件名または MIME ヘッダに、カスタムの単語または語句を追加できます。任意のスパムアクションをイベントログに記録することを選択できます。

[Append to] : スパムとして識別された電子メールの件名または MIME ヘッダにタグを追加する場合に選択します。

[Append with] : スパムとして識別された電子メールに追加する単語または語句 ( タグ ) を入力します。大の長さは 63 文字です。

[Add event into the system log]

イベントログへのスパムアクションのロギングを有効または無効にします。

表 41: [AntiSpam] と [Protection Profile] のスパムフィルタリング設定 ( 続き )



注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、スパムフィルタリング機能はグローバルに設定されます。これらの機能にアクセスするには、メインメニューで [Global Configuration] を選択します。

注記 : アンチスパム禁止単語では、 Perl 正規表現パターンは大文字と小文字が区別されます。単語または語句の大文字と小文字が区別されないようにするには、正規表現の /i を

使用します。たとえば、/bad language/i を指定すると、大文字 / 小文字には関係なく、bad language のすべ

ての事例がブロックされます。ワイルドカードパターンでは大文字と小文字が区別されません。


アンチスパム禁止単語

アンチスパム禁止単語リストカタログの表示

複数のアンチスパム禁止単語リストを追加し、プロテクションプロファイルごとに適なアンチスパム禁止単語リストを選択できます。アンチスパム禁止単語リストカタログを表示するには、 [AntiSpam]、[Banned Word] の順に選択します。個別のアンチスパム禁止単語リストを表示するには、表示するリストの編集アイコンを選択します。

図 258: アンチスパム禁止単語リストカタログの例

アンチスパム禁止単語リストカタログには、次のアイコンと機能が用意されています。

アンチスパム禁止単語リストは、プロテクションプロファイルで選択します。詳細については、 294 ページの「スパムフィルタリングオプション」を参照してください。

新しいアンチスパム禁止単語リストの作成

アンチスパム禁止単語リストカタログにアンチスパム禁止単語リストを追加するには、 [AntiSpam]、[Banned Word] の順に選択し、 [Create New] を選択します。

図 259: [New AntiSpam Banned Word list] ダイアログボックス


[Name] 使用可能なアンチスパム禁止単語リスト。

[# Entries] 各アンチスパム禁止単語リスト内のエントリの数。

[Profiles] 各アンチスパム禁止単語リストが適用されたプロテクションプロファイル。

[Comment] 各アンチスパム禁止単語リストのオプションの説明。

削除アイコンカタログからこのアンチスパム禁止単語リストを削除する場合に選択します。削除アイコンは、このアンチスパム禁止単語リストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコンアンチスパム禁止単語リスト、リスト名、またはリストのコメントを編集する場合に選択します。




410

禁止単語アンチスパム

アンチスパム禁止単語リストの表示

各電子メールメッセージは、アンチスパム禁止単語リストに対してチェックされます。 1 つ以上の禁止単語を追加すると、件名、本文、またはその両方にこれらの単語を含む電子メールメッセージが並べ替えられます。メッセージに現れる各禁止単語のスコア値が加算され、その合計がプロテクションプロファイルで設定されているしきい値を超えると、そのメッセージはプロテクションプロファイルの [Spam Action] の設定に従って処理されます。あるパターンがメッセージに複数回現れた場合でも、そのパターンのスコアは 1 回だけ適用されます。

禁止単語リストを表示するには、 [AntiSpam]、[Banned Word] の順に選択し、表示する禁止単語リストの編集アイコンを選択します。

図 260: 禁止単語リストの例

禁止単語リストには、次のアイコンと機能が用意されています。

[Name] 禁止単語リストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] 禁止単語リストに単語または語句を追加する場合に選択します。

[Total] リスト内の項目の数。





[Pattern] 禁止単語のリスト。リスト内のすべての禁止単語を有効にするには、このチェックボックスをオンにします。

[Pattern Type] 禁止単語リストの入力で使用されるパターンの種類。 [Wildcard] または [Regular Expression] から選択します。詳細については、 418 ページの「Perl 正規表現の使用」を参照してください。

[Language] この禁止単語が属する文字セットであり、 [Simplified Chinese]、[Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、[Western] のいずれかです。

[Where] FortiGate ユニットが禁止単語を検索する場所であり、 [Subject]、[Body]、 [All] のいずれかです。

[Score] この禁止単語に適用される重み付けの数値。電子メールメッセージに現れるすべての一致単語のスコア値が加算され、その合計がプロテクションプロファイルに設定されている spamwordthreshold 値を超えると、そのページは、プロテクションプロファイルでそのメールトラフィックの種類に対するスパムアクションコマンド ( たとえば、smtp3-spamaction) がpassまたはtagに設定されているかどうかに従って処理されます。ある禁止単語が Web ページに複数回現れた場合でも、その単語のスコアは 1 回だけカウントされます。

削除アイコンリストからこの単語を削除する場合に選択します。

編集アイコン [Pattern]、 [Pattern Type]、 [Language]、 [Where]、 [Action]、および [Enable] の情報を編集する場合に選択します。


アンチスパムブラック / ホワイトリスト

アンチスパム禁止単語リストの設定

単語は、スパムまたはクリアとしてマークできます。禁止単語は、 1 つの単語にすることも、大 127 文字の語句にすることもできます。

1 つの単語の場合、 FortiGate ユニットは、その単語を含むすべての電子メールをブロックします。語句の場合、 FortiGate ユニットは、それと完全に一致する語句を含むすべての電子メールをブロックします。語句に含まれている任意の単語をブロックするには、 Perl 正規表現を使用します。

禁止単語を追加または編集するには、 [AntiSpam]、[Banned Word] の順に選択します。

図 261: [Add Banned Word] ダイアログボックス

ブラック / ホワイトリスト

プロテクションプロファイルで有効になっている場合、 FortiGate ユニットは、受信電子メールのフィルタ処理に IP アドレスリストと電子メールアドレスリストの両方を使用します。

IP アドレスリストのチェックを実行する場合、 FortiGate ユニットは、メッセージの送信者の IP アドレスを IP アドレスリストに対して順番に比較します。一致が見つかった場合は、その IP アドレスに関連付けられたアクションが実行されます。一致が見つからない場合、そのメッセージは次の有効なスパムフィルタに渡されます。

電子メールリストチェックを実行する場合、 FortiGate ユニットは、メッセージの送信者の電子メールアドレスを電子メールアドレスリストに対して順番に比較します。一致が見つかった場合は、その電子メールアドレスに関連付けられたアクションが実行されます。一致が見つからない場合、そのメッセージは次の有効なアンチスパムフィルタに渡されます。

[Pattern] 禁止単語リストに含める単語または語句を入力します。

[Pattern Type] 禁止単語のパターンの種類を選択します。 [Wildcard] または [Regular Expression] から選択します。 418 ページの「Perl 正規表現の使用」を参照してください。

[Language] 禁止単語の文字セットを選択します。 [Chinese Simplified]、 [Chinese Traditional]、 [French]、 [Japanese]、 [Korean]、 [Thai]、または [Western] から選択します。

[Where] 禁止単語を検索する場所を選択します。 [Subject]、 [Body]、または [All] から選択します。

[Enable] 禁止単語のスキャンを有効にする場合にオンにします。


412

ブラック / ホワイトリストアンチスパム

アンチスパム IP アドレスリストカタログの表示

複数のアンチスパム IP アドレスリストを追加し、プロテクションプロファイルごとに適なアンチスパム IP アドレスリストを選択できます。アンチスパム IPアドレスリストカタログを表示するには、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択します。個別のアンチスパム IP アドレスリストを表示するには、表示するリストの編集アイコンを選択します。

図 262: アンチスパム IP アドレスリストカタログの例

アンチスパム IP アドレスリストカタログには、次のアイコンと機能が用意されています。


新しいアンチスパム IP アドレスリストの作成

アンチスパム IP アドレスリストカタログにアンチスパム IP アドレスリストを追加するには、 [AntiSpam]、[Black/White List] の順に選択し、 [Create New] を選択します。

図 263: [New AntiSpam IP Address list] ダイアログボックス


[Name] 使用可能なアンチスパム IP アドレスリスト。

[# Entries] 各アンチスパム IP アドレスリスト内のエントリの数。

[Profiles] 各アンチスパム IP アドレスリストが適用されたプロテクションプロファイル。

[Comment] 各アンチスパム IP アドレスリストのオプションの説明。

削除アイコンカタログからこのアンチスパム IP アドレスリストを削除する場合に選択します。削除アイコンは、このアンチスパム IP アドレスリストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコンアンチスパム IP アドレスリスト、リスト名、またはリストのコメントを編集する場合に選択します。





アンチスパム IP アドレスリストの表示

特定の IP アドレスからの電子メールをフィルタ処理するように FortiGate ユニットを設定します。 FortiGate ユニットは、送信者の IP アドレスをリストに対して順番に比較します。各 IP アドレスをクリア、スパム、または拒否としてマークします。単一の IP アドレスをフィルタ処理するか、またはアドレスとマスクを設定してネットワークレベルでのアドレスの範囲をフィルタ処理します。

アンチスパム IP アドレスリストを表示するには、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択し、表示するアンチスパム IP アドレスリストの編集アイコンを選択します。

図 264: IP アドレスリストの例

アンチスパム IP アドレスリストには、次のアイコンと機能が用意されています。

アンチスパム IP アドレスリストの設定

IP アドレスリストに IP アドレスを追加するには、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択し、 [Create New] を選択します。 IP アドレス、または IP アドレスとマスクのペアを次の形式で入力します。

• x.x.x.x ( たとえば、 62.128.69.100)

[Name] アンチスパム IP アドレスリストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] アンチスパム IP アドレスリストに IP アドレスを追加する場合に選択します。






[IP Address/Mask] IP アドレスの現在のリスト。

[Action] 設定されている IP アドレスからの電子メールに対して実行するアクション。アクションには、設定されているスパムアクションを適用するための [Mark as Spam]、このフィルタと残りのスパムフィルタをバイパスするための [Mark as Clear]、またはこのセッションを破棄するための [Mark as Reject] (SMTP のみ ) があります。ある IP アドレスが拒否に設定されているが、メールが POP3 または IMAP を介してその IP アドレスから配信されている場合、その電子メールメッセージはスパムとしてマークされます。

削除アイコンリストからこのアドレスを削除する場合に選択します。

編集アイコン [IP Address/Mask]、 [Insert]、 [Action]、および [Enable] のアドレス情報を編集する場合に選択します。


414


• x.x.x.x/x.x.x.x ( たとえば、 62.128.69.100/255.255.255.0)

• x.x.x.x/x ( たとえば、 62.128.69.100/24)

図 265: [Add IP Address] ダイアログボックス

アンチスパム電子メールアドレスリストカタログの表示

複数のアンチスパム電子メールアドレスリストを追加し、プロテクションプロファイルごとに適なアンチスパム電子メールアドレスリストを選択できます。アンチスパム電子メールアドレスリストカタログを表示するには、 [AntiSpam]、[Black/White List]、[E-mail Address] の順に選択します。個別のアンチスパム電子メールアドレスリストを表示するには、表示するリストの編集アイコンを選択します。

図 266: アンチスパム電子メールアドレスリストカタログの例

アンチスパム電子メールアドレスリストカタログには、次のアイコンと機能が用意されています。

[IP Address/Mask] IP アドレスか、または IP アドレス / マスクのペアを入力します。

[Insert] アドレスを配置するリスト内の位置を選択します。

[Action] アクションを選択します。アクションには、プロテクションプロファイルで設定されているスパムアクションを適用するための [Mark as Spam]、このフィルタと残りのスパムフィルタをバイパスするための [Mark as Clear]、またはこのセッションを破棄するための [Mark as Reject] (SMTP のみ ) があります。

[Enable] このアドレスを有効にします。


[Name] 使用可能なアンチスパム電子メールアドレスリスト。

[# Entries] 各アンチスパム電子メールアドレスリスト内のエントリの数。

[Profiles] 各アンチスパム電子メールアドレスリストが適用されたプロテクションプロファイル。

[Comment] 各アンチスパム電子メールアドレスリストのオプションの説明。




新しいアンチスパム電子メールアドレスリストの作成

アンチスパム電子メールアドレスリストカタログにアンチスパム電子メールアドレスリストを追加するには、 [AntiSpam]、[Black/White List]、[E-mailAddress] の順に選択し、 [Create New] を選択します。

図 267: [New AntiSpam E-mail Address list] ダイアログボックス

アンチスパム電子メールアドレスリストの表示

FortiGate ユニットは、特定の送信者からの電子メール、またはあるドメイン (example.net など ) からのすべての電子メールをフィルタ処理できます。各電子メールアドレスをクリアまたはスパムとしてマークします。

アンチスパム電子メールアドレスリストを表示するには、 [AntiSpam]、[Black/White List]、[E-mail Address] の順に選択し、表示するアンチスパム電子メールアドレスリストの編集アイコンを選択します。

図 268: 電子メールアドレスリストの例

アンチスパム電子メールアドレスリストには、次のアイコンと機能が用意されています。

削除アイコンカタログからこのアンチスパム電子メールアドレスリストを削除する場合に選択します。削除アイコンは、このアンチスパム電子メールアドレスリストがどのプロテクションプロファイルでも選択されていない場合にのみ使用できます。

編集アイコンアンチスパム電子メールアドレスリスト、リスト名、またはリストのコメントを編集する場合に選択します。




416


アンチスパム電子メールアドレスリストの設定

リストに電子メールアドレスまたはドメインを追加するには、 [AntiSpam]、[Black/White List]、[E-mail Address] の順に選択します。

図 269: [Add E-mail Address] ダイアログボックス

1 電子メールアドレスまたはパターンを入力します。

2 リスト入力のためのパターンの種類を選択します。

[Name] アンチスパム電子メールアドレスリストの名前。この名前を変更するには、名前フィールドのテキストを編集し、 [OK] を選択します。


[Create New] 電子メールアドレスリストに電子メールアドレスを追加します。


前ページアイコン前のページを表示します。

次ページアイコン次のページを表示します。


このテーブルをクリアします。

[Email address] 電子メールアドレスの現在のリスト。

[Pattern Type] 電子メールアドレスの入力で使用されるパターンの種類。[Wildcard] または [Regular Expression] から選択します。詳細については、 418ページの「Perl 正規表現の使用」を参照してください。

[Action] 設定されているアドレスからの電子メールに対して実行するアクション。アクションには、プロテクションプロファイルで設定されているスパムアクションを適用するための [Mark as Spam]、またはこの電子メールメッセージにこのフィルタと残りのスパムフィルタをバイパスさせる [Mark as Clear] があります。

削除アイコンリストからこの電子メールアドレスを削除する場合に選択します。

編集アイコン [E-Mail Address]、 [Pattern Type]、 [Insert]、 [Action]、および [Enable] の情報を編集する場合に選択します。

[E-Mail Address] 電子メールアドレスを入力します。

[Pattern Type] [Wildcard] または [Regular Expression] のパターンの種類を選択します。詳細については、 418 ページの「Perl 正規表現の使用」を参照してください。

[Insert] この電子メールアドレスを挿入するリスト内の場所を選択します。

[Action] アクションを選択します。

• プロテクションプロファイルで設定されているスパムアクションを適用するには、 [Mark as Spam] を選択します。

• 電子メールメッセージがこのフィルタと残りのスパムフィルタをバイパスできるようにするには、[Mark as Clear] を選択します。

[Enable] この電子メールアドレスを有効にします。


アンチスパムアンチスパムの詳細設定

3 必要に応じて、新しい電子メールアドレスを正しい位置に配置するための、リスト内の別の電子メールアドレスの前または後を選択します。

4 設定されているアドレスまたはドメインからの電子メールに対して実行するアクションを選択します。

5 [Enable] をオンにします。


アンチスパムの詳細設定

アンチスパムの詳細設定は、 Web ベースマネージャには表示されず、コマンドラインインタフェース (CLI) コマンドでのみ設定できます。 CLI コマンドを使用する方法の完全な説明や例については、『FortiGate CLI リファレンス』を参照してください。

config spamfilter mheader

このコマンドは、 MIME ヘッダに基づいた電子メールフィルタリングを設定するために使用します。 MIME ヘッダのフィルタリングは、各プロテクションプロファイル内で有効にします。

FortiGate ユニットは、受信電子メールの MIME ヘッダのキーと値のペアをリストのペアに対して順番に比較します。一致が見つかった場合は、対応するアクションが実行されます。一致が見つからない場合、その電子メールは次のスパムフィルタに渡されます。

MIME (Multipurpose Internet Mail Extensions) ヘッダは、コンテンツの種類やコンテンツエンコーディングを説明するために電子メールに追加されます。電子メール本文内のテキストの種類や、その電子メールを生成したプログラムなどが含まれます。 MIME ヘッダのいくつかの例を次に示します。

• X-mailer: outgluck

• X-Distribution: bulk

• Content_Type: text/html

• Content_Type: image/jpg

MIME ヘッダの初の部分はヘッダキー、または単にヘッダと呼ばれます。 2 番目の部分は値と呼ばれます。スパム発信者はたいてい、ヘッダの値にコメントを挿入するか、または空白のままにします。これらの不正な形式のヘッダによって、一部のスパムフィルタやウイルスフィルタがだまされる場合があります。

MIME ヘッダリストは、特定の一括メールプログラムからの電子メールや、スパムメッセージによく見られる特定の種類のコンテンツを含む電子メールをマークするために使用します。設定されているヘッダごとに、電子メールをスパムまたはクリアとしてマークします。

config spamfilter rbl

このコマンドは、DNSBL (DNS-based Blackhole List) (RBL (Realtime Blackhole List) とも呼ばれる ) および ORDBL (Open Relay Database List) サーバを使用した電子メールフィルタリングを設定するために使用します。 DNSBL や ORDBL のフィルタリングは、各プロテクションプロファイル内で有効にします。



418

Perl 正規表現の使用アンチスパム

FortiGate ユニットは、送信者の IP アドレスまたはドメイン名を、設定されている任意のデータベースリストに対して順番に比較します。一致が見つかった場合は、対応するアクションが実行されます。一致が見つからない場合、その電子メールは次のスパムフィルタに渡されます。

一部のスパム発信者は、セキュリティ保護されていない第三者の SMTP サーバを使用して、迷惑な一括電子メールを送信します。 DNSBL や ORDBL の使用は、ネットワークに進入したスパムにタグを付けたり、拒否したりするための効率的な方法です。これらのリストは、受信電子メールのドメインを、スパムを送信するかスパムを通過させることが知られている IP アドレスのリストと照合するドメインネームサーバとして機能します。

継続的に更新された DNSBL や ORDBL への信頼性の高いアクセスを提供している、利用可能な無料または有料のサーバがいくつか存在します。現在使用されているサービスを調べて、サーバに接続するための正しいドメイン名を確認してください。

Perl 正規表現の使用

電子メールアドレスリスト、 MIME ヘッダリスト、および禁止単語リストのエントリには、ワイルドカードまたは Perl 正規表現を含めることができます。

Perl 正規表現の使用の詳細については、 http://perldoc.perl.org/perlretut.html を参照してください。

正規表現とワイルドカードの一致パターンの比較

ワイルドカード文字は、他の 1 つ以上の文字を表す特殊文字です。もよく使用されるワイルドカード文字に、一般に文字列内の 0 個以上の文字を表すアスタリスク (*) と、一般に任意の 1 文字を表す疑問符 (?) があります。

Perl 正規表現では、 '.' の文字は任意の 1 文字を示します。ワイルドカードの一致パターンにある '?' の文字と同様です。そのため、次のようになります。

• fortinet.com は、 fortinet.com だけでなく、 fortinetacom、 fortinetbcom、fortinetccom などにも一致します。

'.' や '*' などの特殊文字に一致させるには、エスケープ文字の '\' を使用します。

• fortinet.comに一致させるには、正規表現をfortinet\.comにする必要があります。

Perl 正規表現では、 '*' は、任意の文字が 0 回以上一致するのではなく、その直前の文字が 0 回以上一致することを示します。例 :

• forti*.com は fortiiii.com に一致しますが、 fortinet.com には一致しません。

任意の文字を 0 回以上一致させるには、 '.*' を使用します。ここで、 '.' は任意の文字を示し、 '*' は 0 回以上一致することを示します。したがって、たとえば、ワイルドカードの一致パターン forti*.com は、 fort.*\.com にする必要があります。

注記 : FortiGate ユニットは、サーバのドメイン名を使用して DNSBL または ORDBL サーバに接続するため、この名前を DNS サーバで検索できる必要があります。 DNS の設定については、 89 ページの「ネットワークオプション」を参照してください。


http://perldoc.perl.org/perlretut.html

アンチスパム Perl 正規表現の使用

単語境界

Perl 正規表現では、パターンに暗黙の単語境界は含まれていません。たとえば、正規表現の "test" は単語 "test" に一致するだけでなく、 "atest"、 "mytest"、"testimony"、 "atestb" などの、 "test" を含む任意の単語に一致します。 "\b" の表記は、単語境界を指定します。単語 "test" に正確に一致させるには、式を\btest\b にする必要があります。

大文字と小文字の区別

Web フィルタやアンチスパムフィルタでは、正規表現のパターンマッチングは大文字と小文字が区別されます。単語または語句の大文字と小文字が区別されないようにするには、正規表現の /i を使用します。たとえば、 /bad language/i を指定すると、大文字 / 小文字には関係なく、"bad language" のすべての事例がブロックされます。

Perl 正規表現形式

表 42 は、いくつかの Perl 正規表現形式の例を挙げて説明しています。

表 42: Perl 正規表現形式

式一致する文字列

abc "abc" ( 文字シーケンスは正確に一致するが、文字列内のどの位置にあってもよい )

âbc 文字列の先頭にある "abc"

abc$ 文字列の後尾にある "abc"

a|b "a" または "b" のどちらか

âbc|abc$ 文字列の先頭または後尾にある文字列 "abc"

ab{2,4}c "a" の後に 2 ～ 4 個の "b"、その後に 1 個の "c"

ab{2,}c "a" の後に少なくとも 2 個の "b"、その後に 1 個の "c"

ab*c "a" の後に任意個数 (0 個以上 ) の "b"、その後に 1 個の "c"

ab+c "a" の後に 1 個以上の "b"、その後に 1 個の "c"

ab?c "a" の後にオプションの "b"、その後に 1 個の "c" ( つまり、 "abc" または "ac" のどちらか )

a.c "a" の後に任意の 1 文字 ( 改行以外 )、その後に 1 個の "c"

a\.c 正確に "a.c"

[abc] "a"、 "b"、 "c" のうちの任意の 1 つ

[Aa]bc "Abc" または "abc" のどちらか

[abc]+ 複数個の "a"、複数個の "b"、複数個の "c" から成る任意の ( 空以外の ) 文字列 ("a"、 "abba"、 "acbabcacaa" など )

[âbc]+ "a"、"b"、"c" をまったく含まない任意の (空以外の) 文字列 ("defg" など)

\\d\d 任意の 2 桁 10 進数 (42 など )、 \d{2} と同じ

/i パターンの大文字と小文字が区別されないようにします。たとえば、/bad language/i を指定すると、大文字 / 小文字には関係なく、bad language のすべての事例がブロックされます。

\w+ 1 つの " 単語 ": 英数字とアンダーライン ( アンダースコア ) から成る空以外のシーケンス (foo、 12bar8、 foo_1 など )

100\s*mk オプションで任意数の空白 ( スペース、タブ、改行 ) によって分けられた文字列 "100" と "mk"


420

Perl 正規表現の使用アンチスパム

正規表現の例

語句に含まれている任意の単語をブロックするには

/block|any|word/

故意にスペルを間違えた単語をブロックするには

スパム発信者はたいてい、スパムブロッキングソフトウェアをだますために、単語の文字の間に他の文字を挿入します。

/^.*v.*i.*a.*g.*r.*o.*$/i

/cr[eéë][\+\-\*=<>\.\,;!\?%&@\^°\$£€\{\}()\[\]\|\\_01]dit/i

一般的なスパム語句をブロックするには

次の語句は、スパムメッセージ内に見られる一般的な語句のいくつかの例です。

/try it for free/i

/student loans/i

/you're already approved/i

/special[\+\-\*=<>\.\,;!\?%&~#@\^°\$£€\{\}()\[\]\|\\_1]offer/i

abc\b 後に単語境界が存在する場合の "abc" ( たとえば、 "abc!" には含まれるが、 "abcd" には含まれない )

perl\B 後に単語境界が存在しない場合の "perl" ( たとえば、 "perlert" には含まれるが、 "perl stuff" には含まれない )

\x 正規表現パーサーに、直前にバックスラッシュ文字がなく、かつ文字クラスにも含まれていない空白を無視するように指示します。正規表現をいくつかの部分に分割して ( 若干 ) 読みやすくするために使用します。

/x 他のテキスト内に正規表現を追加するために使用されます。パターン内の初の文字がフォワードスラッシュ '/' である場合、その '/' は区切り記号として処理されます。このパターンには、 2 つ目の '/' が含まれている必要があります。 '/' の間にあるパターンは正規表現と見なされ、 2つ目の '/' の後の任意の文字は正規表現のオプション ('i'、 'x'、その他 ) のリストとして解析されます。 2 つ目の '/' がないと、エラーが発生します。正規表現では、前や後に置かれているスペースは正規表現の一部として処理されます。

表 42: Perl 正規表現形式 ( 続き )


IM、P2P、および VoIP 概要

F0

IM、P2P、および VoIP[IM, P2P & VoIP] メニューでは、 IM ユーザの管理ツールと、ネットワークの IM、P2P、および VIOP の使用状況に関する統計を調べることができます。この項にある設定を有効にするには、アクティブなプロテクションプロファイルで、 IM、P2P、および VoIP プロトコルを有効にする必要があります。


• 概要

• IM/P2P プロトコルの設定

• 統計

• ユーザ

概要

FortiOS v3.0 MR4 ファームウェアでは、 IM/P2P アプリケーションや VoIP プロトコルの使用状況を制御および監視することができます。

FortiOS は、 SIP (Session Initiation Protocol) と SCCP (Skinny Client Control Protocol) の 2 つの VoIP プロトコルをサポートしています。

フォーティネットでは、 IM/P2P アプリケーションはビジネス活動の一部になりつつあるものの、悪用されると生産性やネットワークパフォーマンスを大幅に低下させる場合もあることを認識しています。

FortiGate システムでは、アプリケーションの使用を許可またはブロックするためのユーザリストを設定することにより、許可するアプリケーションと、そのアプリケーションが使用できる帯域幅を決定することができます。

総合的な保護ポリシーと見やすい統計レポートを組み合わせることによって、どのアプリケーションが、どういう目的で使用されているかを表示できるようになるため、IM/P2Pアプリケーションの制御と生産性の大化を容易に実現できます。

FortiOS 3.0 システムには、サポートされている IM/P2P プロトコルの完全なリストが付属しており、 Fortinet Distribution Network からダウンロード可能なアップグレードによって新の状態に維持できます。常に新のプロトコルを維持するために、ファームウェアアップグレードを待つ必要はありません。 FortiOS 3.0ではまた、不明なプロトコルを、アップグレードが入手可能になる前であっても処理できる方法が提供されます。

422 ページの表 43 は、 FortiOS 3.0 で現在認識されている IM/P2P アプリケーションを示しています。この表には、デコーダ、そのデコーダに関連したアプリケーション、 FortiGate インタフェース内のそのデコーダの場所が含まれています。

注記 : 422 ページの表 43 で太字になっているアプリケーションは、複数の P2P ネットワークに接続できます。 IM および P2P のデコーダとシグネチャを有効にすると、 IPS のパフォーマンス向上に役立ちます。たとえば、 IPS を使用したいが、 IM または P2P アプリケーションをブロックしたくない場合は、 IM/P2P のデコーダとシグネチャを有効のままにしておく必要があります。他のシグネチャは通常、無効にするとパフォーマンスが向上しますが、 IM/P2P の場合は逆になります。


422

概要 IM、P2P、および VoIP

表 43: FortiOS 3.0 の IPS で認識されている IM/P2P アプリケーション

IPS アプリケーション

インスタントメッセージング

AIM ([Firewall]、 [Protection Profile]、 [IM/P2P])ICQ ([Firewall]、 [Protection Profile]、 [IM/P2P])

AIM、 AIM TritonICQ

MSN ([Firewall]、 [Protection Profile]、 [IM/P2P]) MSN Messenger

qq ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder])

QQ

Yahoo! ([Firewall]、 [Protection Profile]、 [IM/P2P]) Yahoo Messenger

msn_web_messenger ([Intrusion Protection]、 [Signature]、[Protocol Decoder]、 [im_decoder])

MSN web Messenger

google_talk ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder])

Google Instant Messenger

rediff ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder]) Rediff Instant Messenger

P2P

BitTorrent ([Firewall]、 [Protection Profile]、 [IM/P2P])

BitCometBitspiritAzureusShareaza

eDonkey ([Firewall]、 [Protection Profile]、 [IM/P2P])

eMuleOvernetEdonkey2KShareazaBearShareMLdonkeyiMesh

Gnutella ([Firewall]、 [Protection Profile]、 [IM/P2P])

BearShareShareazaLimeWireXoloxSwapperiMeshMLdonkeyGnucleusMorpheusOpenextMutellaQtellaQcquisitionAcquisitionNapSharegtk-gnutella

KaZaA ([Firewall]、 [Protection Profile]、 [IM/P2P]) KaZaA

Skype ([Firewall]、 [Protection Profile]、 [IM/P2P]) Skype

WinNY ([Firewall]、 [Protection Profile]、 [IM/P2P]) WinNY

ares ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [p2p_decoder]) Ares Galaxy

direct_connect ([Intrusion Protection]、 [Signature]、[Protocol Decoder]、 [p2p_decoder]) DC++


IM、P2P、および VoIP IM/P2P プロトコルの設定

IM/P2P プロトコルの設定

IM/P2P に関連して必要なポリシーは、組織によって異なります。 FortiGate ユニットでは、ニーズにも適した方法でユニットを設定できます。

IM/P2P オプションを有効または無効にする方法

この項では、 IM/P2P オプションを有効または無効にするための 4 つの主な場所を示します。ここには、定義済みシグネチャ、カスタムシグネチャ、および不明なユーザのポリシーを有効にする方法が含まれています。

不正侵入防御で定義済みの IM/P2P シグネチャを有効にするには


2 [IM] または [P2P] の横にある青色の矢印を選択します。

3 [Enable] ボックスをオンにして、シグネチャを有効にします。

4 [Logging] ボックスをオンにして、シグネチャのロギングを有効にします。

5 編集するシグネチャに対応する行で、編集アイコンを選択します。

6 アクションと重大度を設定します。


不明なプロトコルに対するカスタム IM/P2P シグネチャを作成するには

1 [Intrusion Protection]、[Signature]、[Custom]、[Create New] の順に選択します。

2 シグネチャの名前を入力します。

3 シグネチャを入力します。

4 重大度と、実行するアクションを選択します。


不明な IM ユーザのためのポリシーを設定するには

1 [IM/P2P]、[User]、[Config] の順に選択します。

2 4 つの各 IM アプリケーションについて [Allow] または [Block] を選択します。


プロテクションプロファイル内で IM/P2P オプションを設定する方法

プロテクションプロファイル内には、 IM/P2P アプリケーションを処理するための 4 つの主な領域があります。これらの 4 つの領域は、アンチウイルス、ロギング、コンテンツアーカイブ、および FortiGuard Web フィルタリングです。この項では、これらの各設定にアクセスするための場所について説明します。

プロテクションプロファイルの詳細については、このガイドの「ファイアウォールプロファイル」の章を参照してください。

IM/P2P アプリケーションのためのプロテクションプロファイル設定を設定するには


2 編集するプロファイルに対応する行で、編集アイコンを選択します。

または、 [Create New] を選択します。

3 アンチウイルス設定を制御するには、 [AntiVirus] の青色の矢印を選択します。


424

IM/P2P プロトコルの設定 IM、P2P、および VoIP

4 ログ設定を制御するには、 [Logging] の青色の矢印を選択します。

5 コンテンツアーカイブ設定を制御するには、 [Content Archive] の青色の矢印を選択します。

6 FortiGuard Web フィルタリングを制御するには、 [FortiGuard Web Filtering] の青色の矢印を選択します。


IM/P2P デコーダのログ設定を設定する方法

この項では、 IM アプリケーションと P2P アプリケーションの両方の既知のプロトコルデコーダを有効にする方法、およびアプリケーションのロギング機能を有効にする方法について説明します。

IM/P2P アプリケーションの既知のデコーダを有効にしてログに記録するには

1 [Intrusion Protection]、[Signature]、[Protocol Decoder] の順に選択します。

2 IM または P2P エンコーダの青色の矢印を選択します。

3 このプロトコルを有効にするには、 [Enable] をオンにします。

4 このプロトコルをログに記録するには、 [Logging] をオンにします。

5 編集するプロトコルデコーダに対応する行で、編集アイコンを選択します。

6 アクションと重大度を設定します。


古いバージョンの IM/P2P アプリケーションを設定する方法

古いバージョンの IM プロトコルの中には、メッセージの種類が認識されないためにファイルブロッキングをバイパスできるものがあります。

サポートされている IM プロトコルは次のとおりです。

• MSN 6.0 以上

• ICQ 4.0 以上

• AIM 5.0 以上

• Yahoo 6.0 以上

上に示されているバージョンより古いプロトコルをブロックする場合は、次のCLI コマンドを使用します。詳細については、『FortiGate CLI リファレンス』を参照してください。

config imp2p old-version

サポートされていないプロトコルを設定する方法

サポートされていないプロトコルを見つけた場合は、 IPS パッケージが新版であることを確認してください。 IPS パッケージが新版であっても、そのプロトコルがサポートされていない場合は、カスタムシグネチャを使用できます。

カスタムシグネチャを作成するには

1 [Intrusion Protection]、[Signature]、[Custom]、[Create New] の順に選択します。

2 シグネチャの名前を入力します。

3 シグネチャを入力します。



IM、P2P、および VoIP 統計

4 ドロップダウンボックスを使用して、シグネチャのアクションと重大度を選択します。


統計

IM、 P2P、および VoIP 統計を表示すると、これらのプロトコルがネットワーク内でどのように使用されているかを調べることができます。概要の統計は、サポートされているすべての IM、 P2P、および VoIP プロトコルについて提供されます。詳細な個別の統計は、 IM プロトコルごとに提供されます。

概要の統計の表示

[Summary] タブには、すべての IM、 P2P、および VoIP プロトコルの統計の要約が表示されます。

IM/P2P 統計を表示するには、[IM/P2P]、[Statistics]、[Summary] の順に選択します。

図 270: IM、P2P、および VoIP 統計の要約

[Summary] タブには、次のアイコンと機能が用意されています。

注記 : 新しい IM/P2P アプリケーションや既存のアプリケーションの新しいバージョンを検出するには、 Fortinet Distribution Network (FDN) から入手可能な IPS パッケージを更新するだけで済みます。ファームウェアアップグレードは必要ありません。

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、 IM、 P2P、および VoIP 機能はグローバルに設定されます。これらの機能にアクセスするには、メインメニューで [Global Configuration] を選択します。

[Automatic Refresh Interval]

統計を自動的に更新する間隔を選択します。 [none] から 30 秒までの間隔を設定します。

[Refresh] このページを新の統計で更新する場合にクリックします。

[Reset Stats] 統計をゼロにリセットする場合にクリックします。


426

統計 IM、P2P、および VoIP

プロトコルごとの統計の表示

プロトコルタブには、個別の IM プロトコルの詳細な統計が表示されます。

プロトコルの統計を表示するには、 [IM/P2P]、[Statistics]、[Protocol] の順に選択します。

プロテクションプロファイルで [Archive full IM chat info to FortiAnalyzer] を有効にすることによって、 IM チャットの情報や、 IM チャットに対して設定されている制限をログに記録することができます。

図 271: プロトコルごとの IM 統計

[Users] IM プロトコルごとに、次のユーザ情報が表示されます。

• [Current Users]

• ( ユーザ ) [Since Last Reset]

• ( ユーザ ) [Blocked]

[Chat] IM プロトコルごとに、次のチャット情報が表示されます。

• [Total Chat Sessions]

• [Total Messages]

[File Transfers] IM プロトコルごとに、次のファイル転送情報が表示されます。( ファイル転送 ) [Since Last Reset] および ( ファイル転送 ) [Blocked]

[Voice Chat] IM プロトコルごとに、次の音声チャット情報が表示されます。

• ( 音声チャット ) [Since Last Reset]

• ( 音声チャット ) [Blocked]

[P2P Usage] P2P プロトコルごとに、次の使用状況の情報が表示されます。

• [Total Bytes transferred]

• [Average Bandwidth]

[VoIP Usage] SIP および SCCP プロトコルについて、次の情報が表示されます。

• [Active Sessions (phones connected)]

• [Total calls (since last reset)]

• [Calls Failed/Dropped]

• [Calls Succeeded]


IM、P2P、および VoIP ユーザ

[IM/P2P Protocol] タブには、次のアイコンと機能が用意されています。

ユーザ

IM ユーザがファイアウォールを介して接続した後は、 FortiGate ユニットによって、現在接続されているユーザが [Current Users] リストに表示されます。このリストを解析して、どのユーザを許可またはブロックするかを決定できます。不明なユーザを処理するためのポリシーを設定できます。

[Current Users] リストの表示

[Current Users] リストには、現在接続されているインスタントメッセージングユーザに関する情報が表示されます。このリストは、プロトコルごとにフィルタ処理できます。

現在のユーザを表示するには、 [IM/P2P]、[Users]、[Current User] の順に選択します。

図 272: [Current Users] リスト

[Current Users] リストには次の機能があります。

[Automatic Refresh Interval]

統計を自動的に更新する間隔を選択します。 [none] から 30 秒までの間隔を設定します。

[Protocol] 統計を表示するプロトコルを [AIM]、 [ICQ]、 [MSN]、または [Yahoo] から選択します。

[Users] 選択したプロトコルについて、[Current Users]、( ユーザ ) [Since LastReset]、および ( ユーザ ) [Blocked] のユーザ情報が表示されます。

[Chat] 選択したプロトコルについて、 [Total Chat Sessions]、 [Server-based Chat]、 [Group Chat]、および [Direct/Private Chat] のチャット情報が表示されます。

[Messages] 選択したプロトコルについて、 [Total Messages]、 ( メッセージ ) [Sent]、および ( メッセージ ) [Received] のメッセージ情報が表示されます。

[File Transfers] 選択したプロトコルについて、 ( ファイル転送 ) [Since Last Reset]、( ファイル転送 ) [Sent]、 ( ファイル転送 ) [Received]、および ( ファイル転送 ) [Blocked] のファイル転送情報が表示されます。

[Voice Chat] 選択したプロトコルについて、 ( 音声チャット ) [Since Last Reset] と ( 音声チャット ) [Blocked] の音声チャット情報が表示されます。

注記 : FortiGate ユニット上でバーチャルドメインが有効になっている場合、 IM 機能はグローバルに設定されます。これらの機能にアクセスするには、メインメニューで [Global Configuration] を選択します。

[Protocol] 現在のユーザを表示するプロトコルを [AIM]、 [ICQ]、 [MSN]、または [Yahoo] から選択することによって、リストをフィルタ処理します。また、現在のユーザをすべて表示することもできます。

[Protocol] 使用されているプロトコル。

[User Name] このユーザが IM プロトコルに登録するときに選択した名前。複数の IM プロトコルに対して同じユーザ名を使用できます。ユーザ名 / プロトコルの各ペアがリスト内で別々に表示されます。


428

ユーザ IM、P2P、および VoIP

ユーザリストの表示

ユーザリストには、インスタントメッセージングサービスへのアクセスを許可されているユーザ ( ホワイトリスト )、またはこれらのサービスからブロックされているユーザ ( ブラックリスト ) に関する情報が表示されます。

ユーザは、 [Create New] を使用して、または一時的なユーザのリストから追加できます。

ユーザリストを表示するには、[IM/P2P]、[Users]、[User List] の順に選択します。

図 273: ユーザリスト

ユーザリストには、次のアイコンと機能が用意されています。

ユーザリストへの新しいユーザの追加

ユーザをユーザリストに追加して、インスタントメッセージングサービスへのアクセスを許可するか、またはこれらのサービスからブロックするようにします。

[IM/P2P]、[Users]、[User List] の順に選択し、 [Create New] を選択します。

図 274: [Edit User] ダイアログボックス

[Source IP] このユーザが IM セッションを開始したアドレス。

[Last Login] 現在のユーザがこのプロトコルを使用した後の時刻。

[Block] このユーザ名を永続的なブラックリストに追加する場合に選択します。ユーザ名 / プロトコルの各ペアが、管理者によって明示的にブロックされる必要があります。

[Create New] このリストに新しいユーザを追加する場合に選択します。

[Protocol] プロトコルを [AIM]、 [ICQ]、 [MSN]、 [Yahoo]、または [All] から選択することによって、リストをフィルタ処理します。

[Policy] ポリシーを [Allow]、 [Deny]、または [All] から選択することによって、リストをフィルタ処理します。

[Protocol] このユーザに関連付けられているプロトコル。

[Username] このユーザが IM プロトコルに登録するときに選択した名前。複数の IM プロトコルに対して同じユーザ名を使用できます。ユーザ名 / プロトコルの各ペアがリスト内で別々に表示されます。

[Policy] ユーザがこのプロトコルを使用しようとしたときに適用されるポリシーであり、 [Block] または [Deny] のどちらかです。

編集アイコン [Protocol]、[Username]、および [Policy] のユーザ情報を変更します。

削除アイコンユーザをユーザリストから完全に削除します。


IM、P2P、および VoIP ユーザ

不明な IM ユーザのためのポリシーの設定

ユーザポリシーによって、不明なユーザに対して実行されるアクションが決定されます。不明なユーザに対して、 IM プロトコルの一部またはすべての使用を許可してホワイトリストに追加するか、または IM プロトコルの一部またはすべての使用をブロックしてブラックリストに追加するか、のどちらかを実行できます。後でホワイトリストとブラックリストを表示し、ユーザをユーザリストに追加できます。

IM ポリシーを設定するには、 [IM/P2P]、[User]、[Config] の順に選択します。

図 275: IM ユーザポリシー

IM ユーザポリシーの次の設定を設定するか、または表示します。

[Protocol] ドロップダウンリストから、 [AIM]、 [ICQ]、 [MSN]、または [Yahoo!] のプロトコルを選択します。

[Username] このユーザの名前を入力します。

[Policy] ドロップダウンリストから、 [Allow] または [Block] のポリシーを選択します。

[Automatically Allow] 不明なユーザに使用を許可するプロトコルを選択します。不明なユーザは、一時的なホワイトリストに追加されます。

[Automatically Block] 不明なユーザからのアクセスを拒否するプロトコルを選択します。不明なユーザは、一時的なブラックリストに追加されます。

[List of Temporary Users]

一時的なホワイトリストまたはブラックリストに追加された新しいユーザ。ユーザ情報には、そのユーザに適用された [Protocol]、 [Username]、および [Policy] が含まれます。注記 : FortiGate ユニットが再起動されると、このリストはクリアされます。

[Protocol] 一時的なユーザのリストをフィルタ処理するために使用するプロトコルを選択します。

[Username] このユーザが IM プロトコルに登録するときに選択した名前。複数の IM プロトコルに対して同じユーザ名を使用できます。ユーザ名 / プロトコルの各ペアがリスト内で別々に表示されます。

[Policy] ユーザがこのプロトコルを使用しようとしたときに適用されるポリシーであり、 [Block] または [Deny] のどちらかです。

[Permanently Allow] このユーザを永続的なホワイトリストに追加する場合に選択します。ユーザはオンライン状態にとどまり、 [IM/P2P]、 [Users]、[User List] のリストに表示されます。


430

ユーザ IM、P2P、および VoIP

[Permanently Block] このユーザを永続的なブラックリストに追加する場合に選択します。ユーザは、 [IM/P2P]、 [Users]、 [User List] のリストに表示されます。

[Apply] グローバルユーザポリシーを適用する場合にクリックします。


ログおよびレポート FortiGate ロギング

F0

ログおよびレポートこの項では、ログを有効にしたり、ログファイルを表示したり、 Web ベースマネージャから使用可能なレポートを表示する方法について説明します。 FortiGateは、トラフィック、システム、およびネットワーク保護機能に関する幅広いロギング機能を装備しています。詳細なログ情報とレポートによってネットワークの履歴および現状分析が行えるため、セキュリティの問題を特定し、ネットワークの悪用や濫用を軽減することが可能になります。


• FortiGate ロギング

• ログの重大度

• ログの保存

• 高可用性クラスタロギング

• ログの種類

• ログアクセス

• アラートメール

• コンテンツアーカイブ

• レポート

• FortiGate ユニットからの FortiAnalyzer レポートの表示

FortiGate ロギング

FortiGate ユニットでは、次のような多数のネットワーク活動やトラフィックを記録できます。

• ネットワークトラフィック全体

• システムの再起動、 HA、 VPN アクティビティなどのシステム関連イベント

• アンチウイルスとブロック

• Web フィルタリング、 URL、および HTTP コンテンツブロック

• シグネチャおよびアノマリ攻撃と防止

• スパムフィルタリング

• インスタントメッセージおよびピアツーピアトラフィック

FortiGate ユニットがこれらのイベントをログ記録するレベルとログを保存する場所は、カスタマイズできます。 FortiGate ユニットがこれらのイベントをログ記録するレベル、つまりログの重大度は、ロギング場所を設定するところで定義されます。選択できる重大度には 6 つのレベルがあります。詳細については、432 ページの「ログの重大度」を参照してください。

注記 : VDOM は、ロギングおよびレポート機能に影響を及ぼします。 FortiOS 3.0MR4 のロギングを設定する前に、 VDOM 設定で FortiGate のロギングおよびレポート機能を設定し、有効にできることを確認してください。たとえば、管理 VDOM がある場合、 FortiAnalyzerユニットまたは Syslog サーバへのロギングの設定しか行えず、ログは表示できません。FortiOS 3.0MR4 の VDOM の詳細については、 61 ページの「バーチャルドメインの使用」を参照してください。


432

ログの重大度ログおよびレポート

FortiGate ユニットは、 FortiAnalyzer ユニットにログメッセージを送信できるので、ログの保存および検索能力が向上します。 FortiAnalyzer ユニットは、ログ収集、分析ツール、およぼデータ保存を統合したネットワークアプライアンスです。詳細なログレポートによってネットワークおよび電子メールの履歴および現状分析が行えるため、セキュリティの問題を特定し、ネットワークの誤用を軽減することが可能になります。 FortiGate ユニットは、隔離ファイルに加えてすべての種類のログメッセージを保存先となる FortiAnalyzer ユニットに送信できます。 FortiAnalyzer ユニットは、アーカイブを目的として、 FTP サーバにログファイルをアップロードできます。ログメッセージを FortiAnalyzer ユニットに送信するよう FortiGate ユニットを設定する方法については、 434 ページの「FortiAnalyzer ユニットへのロギング」を参照してください。

FortiGate ユニットは、保存とアーカイブを目的に、Syslog サーバまたは WebTrendsサーバにログメッセージを送信できます。ハードディスクが利用できる場合は、これにログメッセージを送信するように FortiGate ユニットを設定できます。

また、サブスクリプションベースの FortiGuard ログおよび分析サービスに登録すれば、 FortiGuard ログおよび分析サーバにログを作成するように FortiGate ユニットを設定することも可能です。 FortiGuard ログおよび分析サーバは、FortiAnalyzer ユニットや Syslog サーバなどの他のロギングデバイスと同様に、FortiGate ログの保存を可能にします。このサービスを利用できるのは、FortiGate-100 以下のユニットに限られます。サブスクリプションベースのFortiGuard ログおよび分析サービスは、近日提供される予定です。詳細については、テクニカルサポートにお問い合わせください。

FortiGate ユニットでは、バージョン 3.0 以降のファームウェアを搭載するFortiAnalyzer ユニットのメモリ、ハードディスク ( 使用できる場合 )、およびFortiGuard ログおよび分析サーバ上に記録されているログメッセージを表示できます。カスタマイズ可能なフィルタにより、ログファイル内の特定の情報を容易に探し出すことができます。

ログメッセージとフォーマットの詳細については、『FortiGate ログメッセージリファレンス』を参照してください。

ログの重大度

ロギングの場所を設定する際に、 FortiGate ユニットがどのような重大度でログを記録するかを定義することができます。 FortiGate ユニットは、選択されたロギング重大度以上のすべてのメッセージをログ記録します。たとえば、 [Error] が選択されている場合、ユニットはレベルが [Error]、 [Critical]、 [Alert]、および [Emergency] のメッセージを記録します。

注記 : FortiGate のハードディスクにログを保存する方法については、『FortiGate CLI リファレンス』を参照してください。






ログおよびレポートログの保存

ログの保存

使用するログ保存の種類は、保存するログメッセージの種類と頻度によって決まります。たとえば、メモリに保存できるログメッセージの数は限られ、古いログメッセージから順に書き替えられます。ロギングの目的によっては、たとえば FortiAnalyzer ユニットなど、 1 か所または複数の場所にログメッセージを保存するのがより適している場合があります。トラフィックおよびコンテンツのログを記録する場合、 FortiGate のシステムメモリはこれら特定のログファイルを記録できないため、 FortiAnalyzer ユニットまたは Syslog サーバへのロギングを設定する必要があります。

[Log&Report]、[Log Config]、[Log Setting] の順に選択して表示される画面では、 FortiGate ユニットがログを保存する場所を設定できます。

サブスクリプションベースの FortiGuard ログおよび分析サービスに登録すると、FortiGuard サーバへのロギングを有効にできます。 FortiGuard ログおよび分析サービスは、 FortiAnalyzer ユニットや Syslog サーバなどのロギングデバイスがない場合にログを保存するための別のオプションとなるものです。これらのサービスは、 FortiGate-100 以下のユニットでのみ使用可能です。

トラフィックとフルコンテンツアーカイビングを除き、 FortiGate のほとんどの機能のロギングを有効にできます。サマリコンテンツアーカイビングはサポートされますが、レポートはサポートされません。

FortiGate ユニットは、 TCP ポート 514 を使用して、 FortiGuard ログおよび分析サーバにログを送信します。この接続は SSL で保護されます。そのため、ログは暗号化され、ログ情報を安全に転送できます。

FortiGuard ログおよび分析サーバの保存領域は、購入されたサブスクリプションベースの FortiGuard ログおよび分析サービスの種類に応じて異なります。詳細については、カスタマサポートにお問い合わせください。

表 44: ログの重大度

レベル説明生成元

0 - Emergency( 緊急 )

システムが不安定になっています。緊急の重大度を生成できるのは、イベントログ、特に管理イベントのログです。

1 - Alert( 警告 )

早急な対策が求められます。警告の重大度を生成できるのは、攻撃ログのみです。

2 - Critical( 重大 )

機能性に影響があります。イベント、アンチウイルス、およびスパムフィルタのログ。

3 - Error( エラー )

エラー状態が存在し、機能性に影響が及んでいる可能性があります。

イベントおよびスパムフィルタのログ。

4 - Warning( 注意 )

機能性に影響が及んでいる可能性があります。

イベントおよびアンチウイルスのログ。

5 - Notification( 通知 )

通常のイベントに関する情報です。トラフィックおよび Web フィルタのログ。

6 - Information( 情報 )

システムの動作に関する一般情報です。

コンテンツアーカイブ、イベント、およびスパムフィルタのログ。


434

ログの保存ログおよびレポート

FortiAnalyzer ユニットへのロギング

FortiAnalyzer ユニットは、ログ収集、分析ツール、およびデータ保存を統合したネットワークアプライアンスです。詳細なログレポートによってネットワークおよび電子メールの履歴および現状分析が行えるため、セキュリティの問題を特定し、ネットワークの悪用や誤用を軽減することが可能になります。

図 276: FortiAnalyzer ユニットへの接続の設定

FortiAnalyzer ユニットにログを送信するよう FortiGate ユニットを設定するには

1 [Log&Report]、[Log Config]、[Log Setting] の順に選択します。

2 FortiAnalyzer を選択します。

3 青色の矢印を選択して、 FortiAnalyzer のオプションを展開します。

4 FortiAnalyzer ユニットに送信するログメッセージのレベルを設定します。

5 FortiAnalyzer ユニットのサーバ IP アドレスを入力します。


FortiGate ユニットのログ設定を行ったら、 FortiGate ユニットからログを受信するように FortiAnalyzer ユニットを設定する必要があります。 FortiAnalyzer の管理者に連絡して、設定を完了させてください。

注記 : 使用する FortiGate ユニットにハードディスクが装備されている場合は、 CLI を使用して、 FortiGate のハードディスクへのロギングを有効にしてください。ハードディスクへのロギングを有効にする前に、『FortiGate CLI リファレンス』を参照してください。ハードディスクに保存されたログは、 [Log & Report]、[Log Access]、[Disk] の順に選択して表示されるページで表示できます。

注記 : VDOM が有効な場合は、現在属している VDOM にアクセスしてロギング場所を有効にできることを確認してください。 VDOM の設定によっては、ある特定の FortiGate の機能にしかアクセスできない場合があります。また、 VDOM の設定は、 FortiGuard ログおよび分析サービスとロギングにも影響を及ぼします。詳細については、 61 ページの「バーチャルドメインの使用」を参照してください。

注記 : FortiGate ユニットは、大で 3 つの FortiAnalyzer ユニットのログを作成できます。FortiGate ユニットは 3 つすべての FortiAnalyzer ユニットにログを送信し、ログはそのそれぞれに保存されます。これにより、 FortiAnalyzer ユニットに障害が生じた場合でも、リアルタイムでバックアップが保護されます。この機能は、 CLI でのみ可能です。詳細については、『FortiGate CLI リファレンス』を参照してください。





自動発見を使用した FortiAnalyzer への接続

自動発見機能を使用することで、 FortiAnalyzer ユニットに接続できます。自動発見は、 FortiAnalyzer ユニットへの接続を確立する方法の 1 つです。自動発見を選択すると、 FortiGate ユニットは HELLO パケットを使用して、同じサブネット内のネットワークで利用できる FortiAnalyzer ユニットを探し出します。 FortiGateユニットは、 FortiAnalyzer ユニットを発見すると、自動的に FortiAnalyzer ユニットへのロギングを有効にして、 FortiAnalyzer ユニットへのログデータの送信を開始します ( トラフィックなどに対してロギングが設定されている場合 )。

自動発見を有効にするには


2 FortiAnalyzer の青色の矢印を選択して、オプションを展開します。

3 [Automatic Discovery] を選択します。

4 [Discover] を選択します。

FortiGate ユニットは、利用できる FortiAnalyzer ユニットからの応答を同じサブネット内で検索します。

5 [Connect To] リストから FortiAnalyzer ユニットを選択します。


FortiAnalyzer 設定のテスト

FortiAnalyzer の設定が完了したら、 FortiGate ユニットと FortiAnalyzer ユニット間の接続をテストして、接続が正しく動作することを確認できます。これにより、 FortiGate ユニットと FortiAnalyzer ユニット間のログ、レポート、コンテンツアーカイブ、および隔離ファイルの送受信に指定された設定を含めて、FortiGate ユニットと FortiAnalyzer ユニットの接続を確かめられます。

接続をテストするには


2 FortiAnalyzer の青色の矢印を選択して、オプションを展開します。

3 青色の矢印を選択して、 FortiAnalyzer のオプションを展開します。

4 [Test Connectivity] を選択します。

注記 : 自動発見機能が適切に動作するようにするには、 FortiAnalyzer ユニットでこの機能を有効にする必要があります。自動発見機能は、デフォルトで無効に設定されています。この機能を使用するには、 FortiAnalyzer ユニットに FortiAnalyzer 3.0 ファームウェアが搭載されている必要があります。

注記 : FortiGate ユニットがトランスペアレントモードの場合、自動発見機能が設定されたインタフェースではトラフィックは伝送されません。自動発見機能を使用しつつトラフィックの伝送も行えるようにインタフェースを設定するには、 Fortinet Knowledge Center の記事『Fortinet Discovery Protocol in Transparent mode ( トランスペアレントモードでの Fortinet Discovery Protocol)』を参照してください。

注記 : ユニット間の接続をテストする前に、 FortiGate ユニットが FortiAnalyzer ユニットの IP アドレスを学習していることを確認してください。 FortiGate ユニットがFortiAnalyzer ユニットの IP アドレスを学習する前に [Test Connectivity] を選択すると、誤ってテストレポートが失敗となる場合があります。


http://kc.forticare.com/default.asp?id=1956&Lang=1&SID=

436


図 277: FortiAnalyzer との接続テスト

FortiGate ユニットと FortiAnalyzer ユニット間の接続ステータスは、次の CLI コマンドを使用してテストすることも可能です。

get system fortianalyzer-connectivity status

このコマンドを実行すると、ディスクのステータス、および使用量がパーセンテージで表示されます。詳細については、『FortiGate CLI リファレンス』を参照してください。

メモリへのロギング

FortiGate のシステムメモリには、ログメッセージに対する限定的な容量が用意されています。この場合、新のログエントリが表示されます。トラフィックおよびコンテンツログはサイズが大きく、エントリも頻繁であるため、FortiGate ユニットは、これらのログをメモリには保存しません。メモリに空きがなくなると、 FortiGate ユニットはも古いメッセージから上書きしていきます。 FortiGate ユニットが再起動すると、ログエントリはすべて消去されます。

FortiAnalyzer(Hostname)

FortiAnalyzer ユニットの名前。 FortiAnalyzer ユニットのデフォルトの名前は、たとえば FortiAnalyzer-400 のように、その製品名となります。

FortiGate(Device ID)

FortiGate ユニットのシリアル番号。

Registration Status

FortiGate ユニットの登録ステータス。

Connection Status

FortiGate と FortiAnalyzer の両ユニット間の接続ステータス。チェックマークは接続が存在することを、 X は接続が存在しないことを、それぞれ表します。

Disk Space Allocated Space

ログ用に指定された領域の量。

Used Space 使用済みの領域の量。

Total Free Space

未使用の領域の量。

Privileges ログおよびレポートを送信したり表示したりするためのデバイスの許可を表示します。

• Tx は、FortiGate ユニットが FortiAnalyzer ユニットにログパケットを送信するよう設定されていることを示します。

• Rx は、 FortiAnalyzer ユニットに保存されたレポートおよびログをFortiGate ユニットで表示できることを示します。

チェックマークは、ログ情報およびレポートを送信または表示する許可が FortiGate ユニットに与えられていることを示します。 X は、ログ情報を送信または表示することが FortiGate ユニットに許可されていないことを示します。



メモリにログを保存するよう FortiGate ユニットを設定するには


2 [Memory] を選択します。

3 青色の矢印を選択して、 [Memory] のオプションを展開します。

4 重大度を選択します。

FortiGate ユニットは、選択されたロギング重大度以上のすべてのメッセージをログ記録します。ロギングレベルの詳細については、 433 ページの表 44 「ログの重大度」を参照してください。

Syslog サーバへのロギング

Syslog とは、Syslog サーバとして動作するリモートコンピュータです。Syslog は、ネットワークデバイスが提供するログ情報の収集に使用される業界標準です。

図 278: Syslog サーバへのロギング

Syslog サーバにログを送信するよう FortiGate ユニットを設定するには


2 [Syslog] を選択します。

3 青色の矢印を選択して、 Syslog のオプションを展開します。

4 以下の Syslog オプションを設定し、 [Apply] を選択します。

注記 : 使用する FortiGate ユニットにハードディスクが装備されている場合は、 CLI を使用して、 FortiGate のハードディスクへのロギングを有効にしてください。 FortiGate ハードディスクへのロギングを有効にする前に、『FortiGate CLI リファレンス』を参照してください。

[Name/IP] Syslog サーバのドメイン名または IP アドレス。

[Port] Syslog サーバとの通信で使用するポート番号。通常はポート 514 です。

[Level] FortiGate ユニットは、選択されたロギング重大度以上のすべてのメッセージをログ記録します。ロギングレベルの詳細については、433 ページの表 44 「ログの重大度」を参照してください。

[Facility] [Facility] は、ログメッセージの送信元を Syslog サーバに示します。FortiGate は、デフォルトで local7 として [Facility] にレポートします。 [Facility] を変更して、別の FortiGate ユニットからのログメッセージを識別することができます。

[Enable CSV Format] CSV形式を有効にすると、FortiGateユニットはCSV (Comma SeparatedValue) 形式でログを生成します。 CSV 形式を有効にしない場合、FortiGate ユニットはプレーンテキストファイルを生成します。

注記 : Syslog サーバが複数設定されている場合は、 [Log Settings] ページに Syslog サーバとそれらの設定が表示されます。



438


WebTrends へのロギング

WebTrends とは、 NetIQ WebTrends ファイアウォールレポーティングサーバとして動作するリモートコンピュータです。 FortiGate のログフォーマットは、WebTrends Enhanced Log Format (WELF) に準拠しており、 NetIQ WebTrends Security Reporting Center and Firewall Suite 4.1 と互換性があります。

ログメッセージを WebTrends に送信するよう FortiGate ユニットを設定するには、コマンドラインインタフェースを使用します。 CLI にログインした後、次のコマンドを入力します。

config log webtrends settingset server <address_ipv4>set status {disable | enable}

end

例

次の例は、 WebTrends サーバへのロギングを有効にし、そのサーバの IP アドレスを設定する方法です。

config log webtrends settingset status enableset server 220.210.200.190

end

WebTrends に送信されるログの種類のオプション設定の詳細については、『FortiGate CLI リファレンス』の章「ログ」を参照してください。

FortiGuard ログおよび分析サーバへのロギング

FortiGuard ログおよび分析サービスのサブスクライブを登録すれば、 FortiGuard ログおよび分析サーバへのロギングを有効にできます。

FortiGuard ログおよび分析サーバへのロギングを有効にするには


2 青色の矢印を選択して、 [Log & Analysis] のオプションを展開します。

3 文中の [To configure FortiGuard Log & Analysis options, please click here.] (FortiGuard Log & Analysis のオプションを設定するには、ここをクリックしてください。 ) というリンクを選択します。

[Log&Report]、[Log Config]、[Log Setting] の順に選択して表示される画面にリダイレクトされます。

4 青色の矢印を選択して、 [FortiGuard Log & Analysis] のオプションを展開します。

5 [Log Setting] ページの [FortiGuard Log & Analysis] チェックボックスをオンにします。

キーワードと変数説明デフォルト

server <address_ipv4> ログを保存する WebTrends サーバの IP アドレスを入力します。

デフォルトなし。

status{disable | enable}

WebTrends サーバへのロギングを有効にするには、 enable と入力します。

disable

注記 : FortiGuard ログおよび分析サーバへのロギングを行うには、 FortiGate ユニットに有効なライセンスが必要となります。



ログおよびレポート高可用性クラスタロギング

6 [When Log disk is full] ドロップダウンリストから、 [overwrite] または [stop logging] のいずれかをオンにします。

7 [Minimum severity level] ドロップダウンリストからも低い重大度を選択します。


ロギングを有効にしたら、 [FortiGuard Center] ページの [Antivirus and IPSDownloads options] にある [Update Now] を選択して、接続を確認することをお勧めします。 [Update Now] の選択が機能しない場合は、 FortiGate ユニットを再起動することもできます。

[System]、[Maintenance]、[FortiGuard Center] の順に選択すると、 FortiGuardログおよび分析サーバへの接続を表示できます。 [System Resource] カテゴリでは、 FortiGuard ログおよび分析サーバの使用済み領域のパーセンテージが円グラフで示されます。また、 [Log Settings] ページの [FortiGuard Log & Analysis options] を展開すると、使用済みの領域と未使用の領域の量を表示できます。

高可用性クラスタロギング

高可用性 (HA) クラスタでのロギングを設定する場合は、 FortiAnalyzer ユニットまたは Syslog サーバにログを送信するようプライマリユニットを設定します。この設定は、下位ユニットに適用されます。下位ユニットはプライマリユニットにログメッセージを送信し、プライマリユニットは FortiAnalyzer ユニットまたは Syslog サーバにすべてのログを送信します。

FortiAnalyzer ユニットと HA クラスタ間に IPSec VPN トンネルによるセキュアな接続を設定した場合、その接続は、 FortiAnalyzer ユニットと HA クラスタのプライマリユニット間の接続となります。

詳細については、『FortiGate 高可用性ユーザガイド』を参照してください。

ログの種類

FortiGate ユニットには、ネットワークを監視するための幅広いロギングオプションがあります。この項では、ログの各種類と、ログを有効にする方法について説明します。

注記 : VDOM が有効な場合は、現在属している VDOM にアクセスして HA クラスタロギングが行えることを確認してください。 VDOM の設定によっては、ある特定の FortiGateの機能にしかアクセスできない場合があります。

注記 : ログを記録する前に、ログファイルを保存するデバイスを設定してください。詳細については、 433 ページの「ログの保存」を参照してください。

注記 : VDOM が有効な場合は、現在属している VDOM にアクセスして FortiGate 機能のロギングを有効にできることを確認してください。 VDOM によっては、ある特定のFortiGate の機能にしかアクセスできません。



440

ログの種類ログおよびレポート

トラフィックログ

トラフィックログは、 FortiGate インタフェースへのトラフィック、およびインタフェースを通過するすべてのトラフィックを記録します。ファイアウォールポリシーによって制御されるトラフィックのロギング、および任意の送信元アドレスと宛先アドレス間のトラフィックのロギングを設定できます。次のフィルタを適用できます。

トラフィックロギングの有効化

トラフィックロギングでは、インタフェースまたは VLAN サブインタフェースで送受信されるすべてのトラフィックが記録されます。トラフィックログを記録するには、ロギングの重大度を [Notification] 以下に設定する必要があります。

インタフェースまたは VLAN サブインタフェースのトラフィックロギングを有効にするには

1 [System]、 [Network]、 [Interface] の順に選択します。

2 インタフェースの編集アイコンを選択します。

3 [Log] を選択します。


ファイアウォールポリシートラフィックロギングの有効化

ファイアウォールポリシートラフィックロギングは、プロテクションプロファイルに基づいて、ファイアウォールポリシーで許可されたトラフィックと拒否されたトラフィックの両方を記録します。

ファイアウォールポリシートラフィックロギングを有効にするには

1 [Firewall]、 [Policy] の順に選択します。

2 青色の矢印を選択して、ポリシーのポリシーリストを展開します。

3 編集アイコンをクリックします。

必要に応じて、 [Create] を選択して新しいファイアウォールポリシーを作成します。

4 [Log Allowed Traffic] を選択します。


イベントログ

イベントログは、管理イベントおよびアクティビティイベントを記録します。たとえば、設定が変更されたり、 VPN および高可用性 (HA) イベントが発生したりした場合です。

許可トラフィック FortiGate ユニットは、ファイアウォールポリシーの設定に従って許可されたすべてのトラフィックを記録します。

違反トラフィック FortiGate ユニットは、ファイアウォールポリシーの設定に違反するすべてのトラフィックを記録します。

注記 : ロギング場所を設定してトラフィックログのメッセージを記録する場合は、ロギングの重大度を [Notification] に設定する必要があります。トラフィックログのメッセージは一般に、重大度が [Notification] より高くなることはありません。 VDOM が有効な場合は、現在属している VDOM にアクセスしてトラフィックログを有効にできることを確認してください。


ログおよびレポートログの種類

イベントログを有効にするには

1 [Log&Report]、[Log Config]、[Event Log] の順に選択します。

2 次のログから選択します。


アンチウイルスログ

アンチウイルスログは、 Web、 FTP、および電子メールトラフィックにおけるウイルスインシデントを記録します。たとえば、 FortiGate ユニットが感染ファイルを検知したり、ある種類のファイルをブロックしたり、あるいはサイズの大きいファイルやログ記録された電子メールをブロックしたりすると、アンチウイルスのログが記録されます。次のフィルタを適用できます。

アンチウイルスログを有効にするには

1 [Firewall]、 [Protection Profile] の順に選択します。

[System Activity event]

FortiGate ユニットは、 ping サーバの障害やゲートウェイのステータスなど、システム関連のすべてのイベントを記録します。

[IPSec negotiation event]

FortiGate ユニットは、進捗レポートやエラーレポートなど、すべての IPSec ネゴシエーションイベントを記録します。

[DHCP service event]

FortiGate ユニットは、要求および応答ログなど、すべての DHCPイベントを記録します。

[L2TP/PPTP/PPPoE service event]

FortiGate ユニットは、マネージャやソケット作成プロセスなど、プロトコル関連のすべてのイベントを記録します。

[Admin event] FortiGate ユニットは、ユーザログイン、リセット、設定更新など、すべての管理イベントを記録します。

[HA activity event] FortiGate ユニットは、リンク、メンバ、ステータス情報など、すべての高可用性イベントを記録します。

[Firewall authentication event]

FortiGate ユニットは、ユーザ認証など、ファイアウォール関連のすべてのイベントを記録します。

[Pattern update event]

FortiGate ユニットは、アンチウイルスや IPS パターンの更新、更新の失敗など、すべてのパターン更新イベントを記録します。

[SSL VPN user authentication event]

FortiGate ユニットは、ログイン、ログアウト、活動停止によるタイムアウトなど、 SSL VPN 接続のすべてのユーザ認証イベントを記録します。

[SSL VPN administrator event]

FortiGate ユニットは、 SSL 設定や CA 証明書のロードおよび削除など、SSL VPN に関連したすべての管理者イベントを記録します。

[SSL VPN session event]

FortiGate ユニットは、アプリケーションの起動とブロック、タイムアウト、確認など、すべてのセッション活動を記録します。

[Viruses] FortiGate ユニットは、ウイルスの感染をすべて記録します。

[Blocked Files] FortiGate ユニットは、ブロックされたファイルのすべてのインスタンスを記録します。

[Oversized Files/Emails]

FortiGate ユニットは、定義されたしきい値を超えるファイルおよび電子メールメッセージのすべてのインスタンスを記録します。

[AV Monitor] FortiGate ユニットは、ウイルス、ブロックされたファイル、およびサイズ超過のファイルおよび電子メールのすべてのインスタンスを記録します。これは、 HTTP、 FTP、 IMAP、 POP3、 SMTP、および IM のトラフィックに適用されます。


442

ログの種類ログおよびレポート

2 アンチウイルスのイベントのロギングを有効にするには、プロテクションプロファイルの隣にある編集アイコンを選択します。

3 青色の矢印を選択して、 [Logging] のオプションを展開します。

4 ログを作成するアンチウイルスのイベントを選択します。


Web フィルタログ

Web フィルタログは、 Web コンテンツのブロック処理など、 HTTPFortiGuard ログレーティングエラーを記録します。

Web フィルタログを有効にするには


2 プロテクションプロファイルの編集を選択します。


4 ログを作成する Web フィルタリングイベントを選択します。

5 FortiGuard のフィルタリングを記録するには、 [FortiGuard Web Filtering Log rating errors (HTTP only)] を選択します。


攻撃ログ

攻撃ログは、 FortiGate ユニットで検知および防御された攻撃を記録します。FortiGate ユニットは、次のログを作成します。

攻撃ログを有効にするには




4 [Log Intrusions] を選択します。


攻撃シグネチャ FortiGate ユニットは、攻撃シグネチャに基づいて検知および防御されたすべての攻撃と、 FortiGate ユニットによって講じられた処置を記録します。

攻撃アノマリ FortiGate ユニットは、未知または不審なトラフィックパターンに基づいて検知および防御されたすべての攻撃と、 FortiGate ユニットによって講じられた処置を記録します。

注記 : 攻撃を記録するために攻撃シグネチャと攻撃アノマリの設定が有効になっていることを確認してください。 FortiGate ユニットに含まれるシグネチャのロギングオプションは、デフォルトで設定されています。また、すべてのカスタムシグネチャもロギングオプションが有効になっていることを確認してください。詳細については、 371 ページの「不正侵入防御」を参照してください。


ログおよびレポートログの種類

スパムフィルタログ

スパムフィルタログは、 SMTP、 IMAP、 POP3 トラフィック内の電子メールのアドレスパターンおよびコンテンツのブロックを記録します。

スパムログを有効にするには




4 [Log Spam] を選択します。


IM および P2P ログ

インスタントメッセージ (IM) およびピアツーピア (P2P) ログは、インスタントメッセージのテキストおよびオーディオ通信、ユーザが試みたファイル転送、送信が試みられた時刻、使用された IM アプリケーションの種類、および送信内容を記録します。

IM および P2P ログを有効にするには


2 プロテクションプロファイルの編集アイコンを選択します。


4 [Log IM Activity] を選択します。

5 [Log P2P Activity] を選択します。


VoIP ログ

現在では、 VoIP (Voice over Internet Protocol) 通話のログを記録できます。また、SIP (Session Initiated Protocol)、 SCCP (Skinny Client Control Protocol)、またはSkinny プロトコルの VoIP 帯域制限も設定できます。 SIP と SCCP は、 2 種類のVoIP プロトコルです。帯域制限は、一般に SCCP と SIP で異なります。 SIP では、帯域制限は FortiGate ユニットを通過する SIP トラフィックについて適用されます。 SCCP では、コールマネージャは通常、クライアントから見てFortiGate ユニットの反対側に存在するため、コールセットアップレートはFortiGate ユニットとクライアント間のものとなります。

VoIP ログを有効にするには




4 [Log VoIP Activity] を選択します。


VoIP の動作を設定するには




444

ログアクセスログおよびレポート

3 青色の矢印を選択して、 [VoIP] のオプションを展開します。

4 [SIP] と [SCCP] のチェックボックスをオンにします。

5 [Limit REGISTER request (requests/sec) (SIP only)] フィールドに 1 秒あたりの要求数を入力します。

6 [Limit INVITE request (requests/sec) (SIP only)] フィールドに 1 秒あたりの要求数を入力します。

7 [Limit Call Setup (calls/min) (SCCP only)] フィールドに 1 分あたりの大通話数を入力します。


ログアクセス

FortiGate ユニットでは、メモリやハードディスクに保存されたログ、あるいはFortiAnalyzer 3.0 が動作する FortiAnalyzer ユニットに保存されたログを表示できます。また、 FortiGate ユニットでは、 FortiGuard ログおよび分析サーバに保存されたログの表示も可能です。

ログには [Log Access] メニューからアクセスします。 [Log Access] メニューには、メモリ、ハードディスク、 FortiAnalyzer ユニット、 FortiGuard ログおよび分析サーバの各タブがあります。各タブには、表示するログの種類の選択を含めて、検索やフィルタリングオプションなどのログメッセージを表示するオプションがあります。

メモリに保存されたログメッセージへのアクセス

FortiGate のシステムメモリに保存されたログには、 [Log Access] ページからアクセスできます。トラフィックログは、記録するには大きな領域が必要になるため、メモリには保存されません。

FortiGate のメモリバッファ内のログメッセージを表示するには

1 [Log&Report]、[Log Access] の順に選択します。

2 [Memory] タブを選択します。

3 [Log Type] リストからログの種類を選択します。

ハードディスクに保存されたログメッセージへのアクセス

FortiGate ユニットにハードディスクが搭載されている場合、それに保存されたログにアクセスできます。このログには、 FortiAnalyzer ユニットに保存されたログにアクセスするのと同様の方法でアクセスできます。ハードディスクに保存されたログは、表示、ナビゲート、およびダウンロードできます。

注記 : FortiGate ユニットが FortiAnalyzer ユニット上のログを表示できるようにするには、FortiAnalyzer ユニットがバージョン 3.0 以上のファームウェアで動作している必要があります。

注記 : VDOM が有効になっている場合、現在属している VDOM において、システムメモリ、ハードディスク、 FortiAnalyzer ユニット、または FortiGuard ログおよび分析サーバに保存された FortiGate のログへのアクセスが可能であることを確認してください。 VDOMによっては、ある特定の FortiGate の機能にしかアクセスできない場合があります。


ログおよびレポートログアクセス

ハードディスク上のログファイルにアクセスするには

1 [Log & Report]、[Log Access] の順に選択します。

2 [Disk] タブを選択します。


図 279: FortiGate のハードディスクに保存されたログファイルの表示

FortiAnalyzer ユニットに保存されたログへのアクセス

FortiAnalyzer ユニットに保存されたログは、表示およびナビゲートすることができます。ログファイルを FortiAnalyzer ユニットに送信するよう FortiGate ユニットを設定する方法については、 434 ページの「FortiAnalyzer ユニットへのロギング」を参照してください。

FortiAnalyzer ユニット上のログファイルにアクセスするには


2 [FortiAnalyzer] タブを選択します。


[Log Type] 表示するログの種類を選択します。トラフィックログなど、記録される情報の量が多いためにメモリに保存できないログファイルがあります。

[File name] FortiGate のハードディスクに保存された、その種類のログファイルの名前。ログファイルのサイズが上限に達すると、 FortiAnalyzer ユニットは増分番号を付けてそのファイルを保存し、同じファイル名の新しいログファイルの使用を開始します。たとえば、現行の攻撃ログが alog.logであるとします。以後、保存されるログは alog.n で表されます。 n は順次作成されるログの番号です。

[Size] バイト単位のログファイルのサイズ。

[Last accesstime]

ログメッセージのパケットが FortiGate ユニットによって後に送信された曜日、月、日、時間、および年。

クリアログアイコン

現在のログファイルを消去する場合に選択します。クリアログアイコンを選択しても、削除されるのはそのログファイルの現在のログメッセージに限られます。ログファイルは削除されません。


ログファイルまたは順次作成されたログファイルをダウンロードする場合に選択します。通常形式リンクのダウンロードファイル、または CSV 形式リンクのダウンロードファイルのいずれかを選択します。 [Disk] タブページに戻るには、リターンリンクを選択します。ログファイルのダウンロードに含まれるのは、現在のログメッセージのみです。

表示アイコン Web ベースマネージャを通じてログファイルを表示します。

削除アイコン順次作成されたログを削除する場合に選択します。順次作成されたログファイルは、削除してしまうと読み出せなくなるため、削除する前にダウンロードしておくことをお勧めします。

クリアログアイコン


表示アイコン

削除アイコン

注記 : FortiGate ユニットのログを表示するには、 FortiAnalyzer ユニットがバージョン 3.0以上のファームウェアで動作している必要があります。


446


図 280: FortiAnalyzer ユニットに保存されたログファイルの表示

FortiGuard ログおよび分析サーバ上のログへのアクセス

FortiGuard ログおよび分析サーバのログには、 [Log Access] ページからアクセスできます。 [Log Access] ページには [FortiGuard] タブがあり、 FortiGuard ログおよび分析サーバ上のすべてのログを表示できます。

FortiGuard ログおよび分析サーバ上のログにアクセスするには


2 [FortiGuard] タブを選択します。


ログ情報の表示

ログビューアは、ログメッセージの情報を表示します。表示される列には、ログファイル内の内容が反映されます。 [Log Access] ページの上部には、ログメッセージ内を移動したり、特定の情報を探し出したりするのに役立つナビゲーション機能が装備されています。

[Log Type] 表示するログの種類を選択します。トラフィックログなど、記録される情報の量が多いためにメモリに保存できないログファイルがあります。

前ページログメッセージの前のページを表示する場合に選択します。

次ページログメッセージの次のページを表示する場合に選択します。

[View per page] ページに表示するログメッセージ数を 30、 50、 100 から選択します。

[Line] 表示するログメッセージの番号を入力します。たとえば 5 を入力すると、 5 番目のログメッセージとそれ以降のすべてのログメッセージが表示されます。

[Column Settings] 列を追加または削除する場合に選択します。詳細については、 447ページの「列の設定」を参照してください。

[Raw] フォーマットされていない形式で現在のログメッセージを表示する場合に選択します。 FortiGate ユニットはデフォルトで、フォーマットされた形式でログメッセージを表示します。

[Clear All Filters] すべてのフィルタ設定を解除する場合に選択します。

前ページ

次ページ



図 281: ログメッセージの表示

列の設定

列設定アイコンを使用すると、ログメッセージの表示をカスタマイズおよびフィルタリングできます。列設定は、フォーマットされた ( 未加工でない ) ログメッセージを表示する場合に適用されます。

前ページアイコンログファイルの前のページを表示する場合に選択します。

次ページアイコンログファイルの次のページを表示する場合に選択します。

[View per page] 各ページに表示されるログメッセージの数を選択します。

[Line] 表示する初の行の行番号を入力します。スラッシュ ( 「/」 ) の後の数は、ログ内の総行数です。

列設定アイコン表示するログ情報列を追加または削除する場合に選択します。

[Raw] または [Formatted]

フォーマットされていないログメッセージの表示に切り換えるには、[Raw] を選択します。列に整理されたログメッセージの表示に切り換えるには、 [Formatted] を選択します。

[Clear All Filters] ログファイルに適用されたフィルタリングのオプションを解除する場合に選択します。

次ページアイコン

前ページ列設定アイコン


448


図 282: ログメッセージを表示するための列の設定

列をカスタマイズするには


2 [Memory]、 [FortiAnalyzer]、または [FortiGuard] から、ログを表示するタブを選択します。


4 FortiAnalyzer ユニットでログファイルを表示する場合は、表示アイコンを選択します。

5 列設定アイコンを選択します。

6 列の名前を選択し、次のいずれかを選択して、ログ情報の表示を変更します。


ログメッセージのフィルタリング

ログの内容をフィルタリングすることで、サイズの大きいログファイルまたは多数のログメッセージ内から特定の情報を探し出すことができます。フィルタリングは、ログ内の情報の各列に対して詳細検索を実行します。

-> 選択したフィールドを [Available fields] ( 使用可能なフィールド ) リストから [Show these fields in this order] ( フィールドをこの順番で表示 ) リストに移動させるには、右向きの矢印を選択します。

<- 選択したフィールドを [Show these fields in this order] リストから [Available fields] リストに移動させるには、左向きの矢印を選択します。

[Move up] 選択したフィールドを、 [Show these fields] リスト内で 1 つ上に移動させます。

[Move down] 選択したフィールドを、 [Show these fields] リスト内で 1 つ下に移動させます。

uir

注記 : [Detailed Information] 列には未加工のログエントリがすべて表示されますが、他の列で入手不可能な情報がログに含まれている場合以外は必要ありません。 [VDOM] 列には、ログが記録された VDOM が表示されます。



図 283: ログフィルタ

適用したフィルタ設定は、 Web ベースマネージャにログインしている間、有効となります。 Web ベースマネージャからログアウトすると、ログフィルタはリセットされます。

ログメッセージをフィルタリングするには


2 [Memory]、 [FortiAnalyzer]、または [FortiGuard] から、ログを表示するタブを選択します。

3 [Log Type] ドロップダウンリストからログの種類を選択します。

4 FortiAnalyzer ユニットでログファイルを表示する場合は、表示アイコンを選択します。

5 表示する行の番号を [Line] フィールドに入力します。

入力した行番号が、それ以降のすべての行とともに表示されます。

6 フォーマットされていない形式ですべてのファイルを表示する場合は、 [Raw] を選択します。

ログメッセージは、フォーマットされたタイプであれば、列設定アイコンを使用してフィルタリングすることができます。列設定アイコンを使用すると、ログのメッセージだけを表示したり、たとえば日付、時間、送信元ポート、宛先ポート、 ID など、ログのいくつかの部分を表示したりすることができます。詳細については、 447 ページの「列の設定」を参照してください。

FortiGuard ログおよび分析サーバに保存されたログの削除

FortiGuard ログおよび分析サーバに保存されたログは、削除および消去できます。削除または消去できるのは、 1 ～ 24 か月前までのログです。 FortiGuard ログおよび分析サーバに保存されたログを削除または消去するこのオプションは、FortiGuardログおよび分析サーバへのロギングが有効でなければ使用できません。

FortiGuard ログおよび分析サーバに保存されたログを削除するには


2 青色の矢印を選択して、 [FortiGuard Log & Analysis] のオプションを展開します。

3 典 o purge logs older than [#] month(s) now, please click here ・ ([#] か月より古いログを消去するには、ここをクリックしてください ) というセンテンス内のドロップダウンリストから、数を選択します。

4 典 o purge logs older than [#] month(s) now, please click here ・というセンテンス内のリンクを選択します。

次のようなメッセージが表示されます。

Warning: This will erase log files from FortiGuard. Are you sure you want to continue?

列フィルタ使用中のフィルタ

注記 : フィルタは、フォーマットされたビューでログの内容を表示する場合に限り使用できます。


450

コンテンツアーカイブログおよびレポート


コンテンツアーカイブ

[Content Archive] メニューにより、 FortiAnalyzer ユニットに保存されているアーカイブされたログを FortiGate Web ベースマネージャから表示することが可能になります。 [Content Archive] メニューには、 [HTTP]、 [FTP]、 [Email]、 [IM] という 4 つのタブがあり、アーカイブされた各種類のログをそれぞれ表示できます。

コンテンツアーカイブを表示するには、まず FortiGate ユニットのこの機能を有効にする必要があります。コンテンツアーカイビングは、プロテクションプロファイルから有効にします。プロテクションプロファイルでコンテンツアーカイビングを有効にする方法については、 287 ページの「ファイアウォール - プロテクションプロファイル」を参照してください。

FortiGate ユニットでコンテンツアーカイビングを有効にするには


2 プロテクションプロファイルの横にある編集アイコンを選択します。

3 青色の三角形を選択して、 [Content Archive] のオプションを展開します。

4 システムダッシュボードの [Display content meta-information] に必要なチェックボックスをオンにします。

5 [Archive to FortiAnalyzer/FortiGuard] に、各ドロップダウンリストから [None] ( なし )、 [Summary] ( 概要 )、または [Full] ( 完全 ) を選択します。

6 必要に応じて、 [Archive SPAMed email to FortiAnalyzer] のチェックボックスをオンにします。


FortiGuard ログおよび分析サーバにロギングを行う場合、 [Archive toFortiAnalyzer/FortiGuard] のドロップダウンリストでは [None] または [Summary] しか選択できません。

注記 : ログファイルは、削除する前にすべてダウンロードしておくことをお勧めします。

注記 : FortiGuard ログおよび分析サーバは、サーバに保存されたログのコンテンツ概要のみを提供します。現在属している VDOM において、 FortiGate ユニット上のコンテンツアーカイブログや、 FortiGuard ログおよび分析サーバのコンテンツ概要ログの表示にアクセスできることを確認してください。 VDOM の設定によっては、ある特定の FortiGate の機能にしかアクセスできません。

注記 : NNTP オプションは、将来のリリースでサポートされる予定です。


ログおよびレポートアラートメール

コンテンツアーカイブを表示するには

1 [Log&Report]、[Content Archive] の順に選択します。

2 表示するアーカイブログの種類のタブを選択します。

FortiGuard ログおよび分析サーバのコンテンツ概要ログを表示するには

1 [Log&Report]、[Content Archive] の順に選択します。

2 [Select Log Device] ドロップダウンリストから FortiGuard を選択します。

3 表示するコンテンツ概要ログの種類のタブを選択します。

未加工形式でログを表示する必要がある場合は、列設定アイコンの隣にある [Raw] を選択してください。列設定アイコンの詳細については、 447 ページの「列の設定」を参照してください。 FortiGuard ログおよび分析サーバにロギングを行う場合は、ログのコンテンツ概要のみ表示されます。ログのコンテンツ概要はアーカイブされないため、リンクは含まれません。

アラートメール

アラートメールの機能を通じて、 FortiGate ユニットはログメッセージのログを監視し、記録された特定の活動またはイベントを電子メールで通知することができます。たとえば、管理者のログインおよびログアウトに関する通知が必要な場合、管理者がログインおよびログアウトするたびにアラートメールを送信するように設定できます。

この機能では、記録された重大度に基づくアラートメールの送信も行われます。

注記 : VDOM が有効な場合は、現在属している VDOM にアクセスしてアラートメールを設定できることを確認してください。 VDOM によっては、ある特定の FortiGate の機能にしかアクセスできない場合があります。


452

アラートメールログおよびレポート

図 284: アラートメールオプション

アラートメールの設定

アラートメールを設定する場合、DNS サーバを少なくとも 1 つ設定する必要があります。 FortiGate ユニットは、 SMTP サーバ名を使用してメールサーバに接続します。またユニットは、 DNS サーバ上でこの名前を検索する必要があります。

アラートメールを設定するには

1 [Log&Report]、[Log Config]、[Alert E-mail] の順に選択します。

2 以下のオプションを設定し、 [Apply] を選択します。

3 上記の手順で設定した電子メールアカウントへのテストメッセージを受信するには、 [Test Connectivity] を選択します。

4 下記のいずれか、またはすべてに基づいて電子メールメッセージを送信する必要がある場合は、 [Send alert email for the following] をオンにします。

[SMTP Server] SMTP 電子メールサーバの名前とアドレス。

[Email from] SMTP ユーザ名。

[Email To] アラートメールメッセージの受信者を 3 名まで入力します。

[Authentication Enable]

SMTP 認証を有効にするには、[Authentication] の [Enable] チェックボックスをオンにします。

[SMTP user] SMTP サーバにログオンして、アラートメールメッセージを送信するためのユーザ名を入力します。この操作は、 SMTP 認証を有効にした場合のみ行う必要があります。

[Password] SMTP サーバにログオンして、アラートメールを送信するためのパスワードを入力します。この操作は、 SMTP 認証を選択にした場合のみ行う必要があります。


ログおよびレポートアラートメール

5 ログの重大度に基づいてアラートメールを送信する場合は、[Send an alert based on severity] をオンにします。

これにより、特定のログレベルがログ内に現れるたびに、 FortiGate ユニットでアラートメールが送信されるようにできます。

6 [Minimum severity level] リストでは、低の重大度を選択してください。


[Interval Time] アラートメールが受信者に送信されるまでの時間を分単位で入力します。

[Intrusion detected] 侵入検知に基づいたアラートメールメッセージが必要な場合にオンにします。

[Virus detected] ウイルス検知に基づいたアラートメールメッセージが必要な場合にオンにします。

[Web access blocked] アクセスされた Web サイトのブロックに基づくアラートメールメッセージが必要な場合にオンにします。

[HA status changes] HA ステータスの変化に基づいたアラートメールメッセージが必要な場合にオンにします。

[Violation traffic detected]

FortiGate ユニットが検知した違反トラフィックに基づくアラートメールメッセージが必要な場合にオンにします。

[Firewall authentication device]

ファイアウォール認証に基づいたアラートメールメッセージが必要な場合にオンにします。

[SSL VPN login failure] 失敗に終わったすべての SSL VPN ログインに基づくアラートメールメッセージが必要な場合にオンにします。

[Administrator login/logout]

管理者のログインおよびログアウトに基づいたアラートメールメッセージが必要な場合にオンにします。

[IPSec tunnel errors] IPSec トンネル設定のエラーの有無に基づいたアラートメールメッセージが必要な場合にオンにします。

[L2TP/PPTP/PPPoE errors]

L2TP、 PPTP、または PPPoE で生じたエラーに基づくアラートメールメッセージが必要な場合にオンにします。

[Configuration changes]

FortiGate の設定変更に基づいたアラートメールメッセージが必要な場合にオンにします。

[FDS license expiry time] ( 日数 )

FDS ライセンスの有効期限を通知する日数を入力します。

[Disk usage] ( パーセント )

アラートメールが送信されるディスク使用率の値を入力します

[FortiGuard log disk quota]

FortiGuard Log & Analysis のログのディスク割り当てに基づいたアラートメールメッセージが必要な場合にオンにします。

注記 : 低の重大度は、デフォルトで [Alert] です。一定の期間内に複数のメッセージを収集した場合、 FortiGate ユニットはメッセージを結合し、 1 通のアラートメールを送信します。


454

レポートログおよびレポート

レポート

FortiAnalyzer のレポーティング機能は、 FortiGate ユニットとの統合が強化されています。 [Log&Report] メニューから、シンプルな FortiAnalyzer レポートの設定、レポートの表示、およびレポートの印刷を行うことができます。また、FortiAnalyzerユニットに保存されたコンテンツアーカイブログを表示することもできます。

[Log&Report] メニューからは、基本トラフィックレポートを設定できます。基本トラフィックレポートは、 FortiGate のメモリに保存されたログ情報を使用して、基本的なトラフィックの情報を図示します。

基本トラフィックレポート

FortiGate ユニットは、収集されたログ情報を用いてそれを図示し、多数のサービスのネットワーク使用状況を表示します。チャートには、サービストラフィックに使用されるバイト数が示されます。

ログは、[Log&Report]、[Report Access]、[Memory] の順に選択して表示できます。

図 285: サービスごとの帯域幅を示すグラフの表示

注記 : VDOM が有効な場合は、現在属している VDOM にアクセスしてレポートの設定、表示、編集、印刷のいずれかまたはすべてが行えることを確認してください。 VDOM によっては、ある特定の FortiGate の機能にしかアクセスできない場合があります。

注記 : グラフの作成に使用されるデータは、メモリに保存されます。 FortiGate ユニットがリセットまたは再起動されると、データは消去されます。


ログおよびレポートレポート

レポートはリアルタイムでは更新されません。 [Memory] タブを選択すると、レポートを更新できます。

グラフ表示の設定

FortiGate の基本トラフィックレポートには、監視可能な幅広いサービスが含まれています。たとえば、直近の 3 日間の電子メールサービスのみを表示することができます。

グラフの情報を変更するには

1 [Log&Report]、[Report Access]、[Memory] の順に選択します。

2 [Time Priod] リストからグラフに含める期間を選択します。

3 グラフに含めないサービスは選択を解除します。サービスは、デフォルトですべて選択されます。


グラフは、上記の手順で指定した内容で更新され、表示されます。 [Top Protocols Ordered by Total Volume] ( 総量順の上位プロトコル ) のグラフは変わりません。

FortiAnalyzer レポート

簡潔な FortiAnalyzer レポートは、 Web ベースマネージャまたは CLI で FortiGateのログから設定できます。 CLI インタフェースを用いてレポートを設定する方法については、『FortiGate CLI リファレンス』を参照してください。

[Time Period] グラフ分析のために表示する時間範囲を選択します。 1 日、 3 日、 1 週間、または 1 か月から選択できます。デフォルトは 1 日です。ブラウザの表示を更新したり、別のメニューに移動したりすると、設定はデフォルトに戻ります。

サービスサービスは、デフォルトですべて選択されています。ブラウザの表示を更新したり、別のメニューに移動したりすると、すべてのサービスはデフォルトの設定に戻ります。グラフ分析に含めないサービスは、選択を解除してください。

• Browsing ( 閲覧 )

• DNS

• Email ( 電子メール )

• FTP

• Gaming ( ゲーム )

• Instant Messaging (インスタントメッセージング )

• Newsgroups (ニュースグループ )

• P2P

• Streaming ( ストリーミング )

• TFTP

• VoIP

• Generic TCP ( 標準 TCP)

• Generic UDP ( 標準 UDP)

• Generic ICMP ( 標準 ICMP)

• Generic IP ( 標準 IP)

注記 : より具体的で詳細なレポートが必要な場合は、 FortiAnalyzer Web ベースマネージャまたは CLI からレポートを設定してください。簡潔な FortiAnalyzer レポートが必要な場合は、 456 ページの「FortiAnalyzer レポートの設定」を参照してください。FortiAnalyzer ユニットは 140 種以上のさまざまなレポートを生成することができます。FortiGate ユニットよりも多くのオプションが用意されています。



456


レポートプロファイルをさらに追加および設定する方法については、『FortiAnalyzer 管理ガイド』を参照してください。

FortiAnalyzer レポートの設定

FortiAnalyzer レポートは、 [Report Config] メニューから設定できます。また、[Report Config] メニューには、複数の FortiAnalyzer レポートの設定を可能にするCLI コマンド、 multi-report も含まれています。 multi-report コマンドは、デフォルトで無効に設定されています。

[Report Config] メニューでは、デフォルトでデフォルトの FortiAnalyzer レポート以外使用できません。デフォルトの FortiAnalyzer レポートは、 FortiAnalyzer ユニットで自動的に設定され、各々の FortiGate ユニットに特化したものとなります。また、レポートには、たとえば Default_100281021024 のように、デフォルトの名前が与えられます。デフォルトのレポート名は、 FortiGate のデバイス識別番号から引用されます。

レポートは、定期レポートとデフォルトの FortiAnalyzer レポートのどちらでも編集できます。定期レポートまたはデフォルトの FortiAnalyzer レポートの編集については、 464 ページの「FortiAnalyzer レポートの編集」を参照してください。

FortiAnalyzer レポートのプロファイルを設定するには

1 CLI にログインします。

2 次のコマンドを入力します。

config log fortianalyzer settingsset multi-report enable

end


4 [Log&Report]、[Report Config] の順に選択します。

5 レポートの名前を入力します。

6 レポートのタイトルを入力します。

7 必要に応じて、レポートに含まれる事項の説明を入力します。

8 設定が必要なオプションの隣にある青色の矢印を選択します。:

注記 : FortiGate ユニットが FortiAnalyzer ユニットに接続されていない場合、あるいはFortiAnalyzer ユニットで 3.0 以上のファームウェアが実行されていない場合、 FortiAnalyzerレポートは表示されません。

[Properties] ヘッダーとフッターをカスタマイズしたり、会社名を含めたりする場合に選択します。詳細については、 457 ページの「レポートプロパティの設定」を参照してください。

[Report Scope] レポートに含める結果の種類を選択します。詳細については、459 ページの「レポートの種類の設定」を参照してください。

[Report Types] 含めるレポートの種類を選択します。詳細については、 459 ページの「レポートの種類の設定」を参照してください。

[Report Format] 変数を用いてホスト名またはランクのレポートを決定する場合に選択します。詳細については、 459 ページの「レポートの形式の設定」を参照してください。

[Output] レポートのファイル形式を選択します。詳細については、 460ページの「レポートの出力の設定」を参照してください。


http://docs.forticare.com/fa.html



レポートプロパティの設定

レポートの会社名、ヘッダーコメントまたはフッターを入力します。これらはオプションです。

図 286: レポートのプロパティのオプション

レポートの範囲の設定

レポートの期間またはログフィルタ、あるいはその両方を選択します。たとえば 2005 年 7 月 31 日から 2005 年 9 月 9 日までのログファイルをレポートに含める場合、異なる期間を選択できます。

図 287: レポートの設定期間

[Schedule] FortiAnalyzer ユニットで、たとえば週ごとまたは月ごとにレポートを発行する場合に設定します。詳細については、 461 ページの「レポートスケジュールの設定」を参照してください。

[Summary Layout] カスタマイズされた要約カテゴリのレイアウトを設定します。詳細については、 462 ページの「サマリレイアウトの設定」を参照してください。

[Time Period] レポートの期間を選択します。直近の n 時間、 n 日、または n 週を選択すると、フィールドが表示されます。このフィールドには、たとえば直近の n 時間、 n 日、または n 週に 8 と入力するなど、数値を入力します。

[From Date] レポートの開始日を設定する場合に選択します。たとえば、レポートは 2005 年 5 月 5 日の 13:00 に開始するようにすることが可能です。時間は 24 時間形式です。

[To Date] レポートの終了日を設定する場合に選択します。


458


図 288: レポート設定データログフィルタ

[Filter logs] レポートのログにフィルタを適用しないようにするには、 [None] を選択します。ログレポートにフィルタを適用するには、[Custom] を選択します。

[Include logs that match]

一致するフィルタの条件を選択します。すべてのフィルタ設定に一致するログをレポートに含めるには、[all] を選択します。ログ内の情報がすべての条件に一致しなければ、 FortiAnalyzer ユニットはレポートにログを含めません。フィルタ設定のいずれかに一致するログをレポートに含めるには、 [any] を選択します。たとえ 1 つのフィルタ設定でも、フィルタコンテンツのいずれかがログファイルの情報に一致すると、FortiAnalyzer ユニットはそのログをレポートに含めます。

[Priority] プライオリティレベルのフィルタオプションを有効にするには、このチェックボックスをオンにします。ログ内を調べるプライオリティレベルを設定し、情報がそのプライオリティレベルを下回らなければならないのか、上回らなければならないのか、あるいはそのプライオリティレベルと等しくなければならないのかを設定します。

[Source(s)] 条件を照合する送信元 IP アドレスを入力します。複数の送信元を区切るには、カンマを使用します。レポートから送信元 IP アドレスを除外するには、 [Not] をオンにします。たとえば、特定の送信元 IP アドレスの情報をログレポートに含めないようにします。

[Destination(s)] 条件を照合する宛先 IP アドレスを入力します。複数の送信元を区切るには、カンマを使用します。レポートから宛先 IP アドレスを除外するには、 [Not] をオンにします。たとえば、特定の宛先 IP アドレスの情報をログレポートに含めないようにします。IP のレンジにはフィルタを適用でき、これには社内のグループについて報告するサブネットが含まれます。例 :

• 172.20.110.0-255 は、 172.20.110.0/255.255.255.0 または172.20.110.0/24 のサブネットのあらゆる IP アドレスにフィルタを適用します。

• 172.20.110.0-140.255 ﾊは、 172.20.110.0 から 172.20.140.255 のすべての IP アドレスにフィルタを適用します。

• 172.16.0.0-20.255.255 は、172.16.0.0 から 172.20.255.255 のすべての IP アドレスにフィルタを適用します。



レポートの種類の設定

レポートに含める情報の種類を選択します。

• も一般的なレポートの種類を含めるには、 [Basic] を選択します。

• すべてのレポートの種類を含めるには、 [All] を選択します。レポートの種類のデータが含まれていない場合、そのレポートは、 “No matching log data for this report” ( このレポートに一致するログデータはありません ) というメッセージとともに表示されます。

• 含めるレポートを選択するには、 [Custom] を選択します。レポートのカテゴリを展開して、個々のレポートを選択するには、青色の矢印を選択します。

レポートの形式の設定

サービス名、ホスト名を決定したり、変数を使用してレポートのトップアイテムをランク付けしたりする場合に選択します。

図 289: レポート設定の形式

[Interface(s)] レポートに含めるインタフェースを入力します。複数のインタフェース名は、カンマで区切ります。レポートからインタフェース情報を除外するには、 [Not] をオンにします。たとえば、特定のインタフェースの情報をログレポートに含めないようにします。

[Users] レポートに含めるユーザ名を入力します。複数のユーザ名は、カンマで区切ります。

[Groups] レポートに含めるグループ名を入力します。複数のグループ名は、カンマで区切ります。

[Virtual Domain(s)] レポートに含めるバーチャルドメイン (VDOM) を入力します。複数の VDOM は、カンマで区切ります。レポートから VDOM を除外するには、 [Not] をオンにします。たとえば、特定の VDOM の情報をログレポートに含めないようにします。

[Policy IDs] レポートに含めるファイアウォールポリシー ID 番号を入力します。レポートでは、 FortiGate のファイアウォールポリシーのトラフィック情報がログに含まれることになります。複数のポリシー ID は、カンマで区切ります。

[Service(s)] レポートに含める特定のサービスを入力します。複数のサービスは、カンマで区切ります。レポートからサービスを除外するには、 [Not] をオンにします。たとえば、特定のサービスの情報をログレポートに含めないようにします。

[Messages] 電子メールレポートからレポートに含める、特定の電子メールメッセージを入力します。複数のメッセージは、カンマで区切ります。

[Day of the Week] レポートに含めるため、ログファイルから情報が引き出される曜日を選択します。


460


レポートの出力の設定

レポートの宛先と形式を選択します。テキスト形式など、いくつかの異なる形式から選択できます。また、ファイルの出力と電子メールの出力に別の形式を選択することも可能です。

電子メールでレポートを送信するよう FortiAnalyzer ユニットを設定する場合は、FortiAnalyzer ユニットのメールサーバを設定する必要があります。詳細については、『FortiAnalyzer 管理ガイド』を参照するか、または FortiAnalyzer の管理者に問い合わせてください。

[Display category summary reports]

カテゴリ概要レポートを表示する場合に選択します。

[Include reports with no matching data]

一致するデータがないレポートを含める場合に選択します。

[Resolve Service Names]

ポート番号ではなく、ネットワークサービス名を表示するのにオンにします。たとえば、ポート 80 ではなく HTTP とします。

[Resolve Host Names]

IP アドレスではなく、分かりやすい名前でホスト名を表示する場合にオンにします。たとえば、 Sally_Accounting のようにします。 IP アドレスのホスト名の設定に関する詳細については、 FortiAnalyzer 管理ガイドを参照してください。

[Obfuscate User (Group) Names]

分かりにくいユーザグループ名を含める場合に選択します。

[Advanced] レポートのトップにランク付けされたアイテム、要約情報、目次を含める場合に選択します。

[In 'Ranked Reports' show top]

レポートの種類によっては、トップにランク付けされたアイテムをレポートに設定できます。これらのレポートは名前に “Top” と示され、常に上位のエントリのみが表示されます。たとえば、すべてのメールクライアントではなく、組織内でもアクティブなメールクライアントのレポートを作成します。名前に ” Top “ が含まれないレポートには、常にすべての情報が表示されます。上部フィールドの値を変更しても、これらのレポートに影響はありません。

[Include Summary Information]

必要に応じてレポートの内容のロールアップを含める場合に選択します。

[Include Table of Contents]

レポートに目次を含める場合に選択します。

注記 : HTML レポートを電子メールでユーザに送信する場合、ユーザの電子メールクライアントで HTML がサポートされないと、メッセージの本文に各レポートの HTML コードが表示されます。






図 290: レポート設定の出力

レポートスケジュールの設定

FortiAnalyzer ユニットでレポートを生成するスケジュールを設定します。たとえばメールのトラフィックについて週ごとにレポートを生成するなど、定期的なスケジュールを選択します。

[File output] 生成され、 FortiAnalyzer のハードディスクに保存されるレポートのファイル形式を選択します。

[Email output] FortiAnalyzer ユニットが電子メールの添付ファイルとして送信する生成されたレポートのファイル形式を選択します。

[Email Subject] 電子メールの件名をカスタマイズする場合に入力します。

[Email attachment name]

電子メールで送信される添付ファイルの名前を入力します。

[Email body] 電子メールメッセージの本文を入力します。

[Email from] 送信者の電子メールアドレスを入力します。

[Email server] ドロップダウンリストから電子メールサーバを選択します。

[Email to] 受信者の電子メールアドレスを入力します。

[Email list] レポート受信者の電子メールアドレスを入力します。複数の受信者を追加するには [Add] を選択します。リストから受信者を削除する場合は、 [Delete] を選択します。

[Upload Report to FTP Server]

完成したレポートのファイルを FTP サーバにアップロードする場合に選択します。

[Server Type] レポートをアップロードするサーバの種類を選択します。レポートは、 FTP サーバ、 SFTP サーバ、または SCP サーバにアップロードするように選択できます。

[IP Address] FTP サーバの IP アドレスを入力します。

[Username] FTP サーバにログオンするユーザ名を入力します。

[Password] FTP サーバにログオンするためのパスワードを入力します。

[Upload report(s) in gzipped format]

FTP サーバにアップロードする前に、 gzip ファイルとしてレポートファイルを圧縮する場合に選択します。

[Delete file(s) after uploading]

FortiAnalyzer ユニットが FTP サーバへのアップロードを完了した後、 FortiAnalyzer のハードディスクからレポートファイルを削除する場合に選択します。


462


図 291: レポート設定のスケジュール

サマリレイアウトの設定

指定されたカテゴリからカスタマイズされたチャートのレイアウトを設定するには、 [Customize List] を選択します。

[Schedule] FortiAnalyzer レポートを生成するスケジュールを設定する場合に選択します。

[Not Scheduled]

レポートを毎日生成しない場合に選択します。この設定は、必要に応じてレポートを発行するときに使用してください。

[Daily] 毎日、同じ時刻にレポートが生成されるように選択します。

[These Days]

特定の曜日にレポートを生成する場合に選択します。

[These Dates]

1 か月のうち、特定の日にレポートを生成する場合に選択します。たとえば、毎月、 1 日と 15 日にレポートが生成されるようにするには、 1,15 と入力します。

[Time] FortiAnalyzer でレポートを生成する時間を選択します。

[Time] FortiAnalyzer でレポートを生成する時間を選択します。



図 292: レポートサマリのレイアウト

[CustomizeChart]

列の数やレイアウトに加えるチャートを選択したり、チャートを編集または削除したりします。

[Columns] ドロップダウンリストから数値を選択し、チャートに含める列の数を指定します。列は 1 つから 4 つまで選択できます。

[Available Charts to Add]

サマリレイアウトに、種類の異なるチャートを追加する場合に選択します。チャートは必要に応じて個別に編集または削除できます。選択できるチャートは 25 種類あります。

編集アイコン

個々のチャートを編集する場合に選択します。チャートのスタイルまたは TopN の値を編集できます。 [OK] を選択して変更を保存します。

[Chart Name]

チャートの名前。

[Chart Style] チャートのスタイルを選択します。折れ線グラフ、円グラフ、および棒グラフの中から選択できます。初期設定は棒グラフです。

[TopN] 特定アイテムの上位の数の値を入力します。

[X] アイコン

レイアウトからチャートを削除します。


464

FortiGate ユニットからの FortiAnalyzer レポートの表示ログおよびレポート

FortiAnalyzer レポートの編集

FortiAnalyzer の定期レポートを設定および生成したら、 [Report Config] メニューからそのレポートを編集することができます。 [FortiAnalyzer] タブにより、レポートを編集したり、 FortiAnalyzer の他の定期レポートに関する情報を表示したりすることが可能です。定期レポートの表示および編集は、 [FortiAnalyzer] タブから行えます。また、 FortiGate ユニット用に FortiAnalyzer ユニットが自動的に生成するデフォルトの FortiAnalyzer レポートも編集できます。

CLI で multi-report コマンドを有効にすると、次の定期レポートが生成される際に、 FortiAnalyzer のページには、 FortiAnalyzer ユニットが現在生成しているレポートがあるかどうか、またレポートエンジンがアクティブかそうでないかが表示されます。

定期またはデフォルトの FortiAnalyzer レポートを編集するには

1 [Log&Report]、[Report Config]、[FortiAnalyzer] の順に選択します。

2 デフォルトの FortiAnalyzer レポートを編集中でなければ、レポートの隣にある編集アイコンを選択します。

3 定期レポートに必要な設定を編集します。


FortiAnalyzer レポートの印刷

FortiAnalyzer ユニットでレポートが生成されたら、ハードコピーによる参考資料として、あるいはプレゼンテーションのために、レポートを印刷しておくことができます。レポートは、 [Report Access] メニューの Web ベースマネージャから印刷することが可能です。

FortiAnalyzer レポートを印刷するには

1 [Log&Report]、[Report Access]、[FortiAnalyzer] の順に選択します。

2 [Historical Reports] を選択します。

3 FortiAnalyzer レポートのリストで、印刷するレポートを選択します。

4 [Print] を選択します。

FortiGate ユニットからの FortiAnalyzer レポートの表示

FortiAnalyzer ユニットは、 FortiGate ユニット向けに多数の詳細レポートを生成したり、それらのレポートを定期的またはオンデマンドで発行したりすることができます。 FortiOS 3.0MR2 以上で FortiGate ユニットを使用している場合は、[Report Access] ページで、その FortiGate ユニット向けに FortiAnalyzer ユニットから生成されたあらゆるレポートを表示できます。

注記 : 印刷する前に、 FortiAnalyzer のページに表示されるレポートのレポートタイトルを確認してください。

注記 : FortiAnalyzer のページに表示される FortiAnalyzer レポートは、表示したいレポートと異なる場合があります。表示するレポートを見つけるには、常に [Historical Reports] を選択してください。


ログおよびレポート FortiGate ユニットからの FortiAnalyzer レポートの表示

FortiAnalyzer レポートを表示するには



3 レポートを表示するには、レポート名を選択します。

部分的な FortiAnalyzer レポートの表示

Web ベースマネージャでは、 FortiAnalyzer レポートのさまざまな部分を表示できます。次の手順により、レポートの「Mail Activity」セクションを表示できます。

レポートの [Mail Filter Activity] を表示するには



3 青色の矢印を選択して、レポートを展開します。

4 MailFilter Activity.html を選択します。

レポートの他のセクションを表示するには、上記の手順を実行します。たとえば、MailFilter Activity.html を選択する代わりに、 Content Activity.html を選択します。


466

FortiGate ユニットからの FortiAnalyzer レポートの表示ログおよびレポート


索引

FortiGate01-30004

索引数字802.3ad アグリゲートインタフェース

作成 76

A[ACCEPT] アクション

ファイアウォールポリシー 232[Action]

スパムフィルタ IP アドレス 413スパムフィルタ禁止単語 410ファイアウォールポリシー 225プロテクションプロファイル P2P オプション 298

[Active Sessions]HA 統計 130

[ActiveX Filter]プロテクションプロファイル 292

[Address Name]ファイアウォールアドレス 249ファイアウォールポリシーオプション 230

[Add signature to outgoing emails]プロテクションプロファイル 291

[Administrative Access]インタフェース設定 74, 84, 87

ADSL 75[Adware]

グレーウェアカテゴリ 367[Age Limit]

隔離 365AH、定義済みサービス 254[Allow Inbound]

IPSec ポリシー 238ファイアウォールポリシー 238

[Allow outbound]ファイアウォールポリシー 238

[Allowed]Web カテゴリレポート 403

[Allow websites when a rating error occurs]プロテクションプロファイル 293

[Amount]、クライアントコンフォーティングプロテクションプロファイル 290

ANYサービス 254

AOLサービス 254

[Append with]プロテクションプロファイル 296

[Append to]プロテクションプロファイル 296

ARP 265プロキシ ARP 265

ASOSPF 205

ATM 76[Authentication]

ファイアウォールポリシー 233[Authentication Algorithm]、手動キー

IPSec インタフェースモード 315, 317[Authentication Key]、手動キー

IPSec インタフェースモード 317[Authentication Method]

IPSec インタフェースモード 307[Autokey Keep Alive]

IPSec インタフェースモード 313av_failopen

アンチウイルス 368

B[Back to HA monitor]

HA 統計 130[Banned word check]

プロテクションプロファイル 296[Beacon Interval]

無線の設定 113, 114BGP

AS 213MED 214RFC 1771 213グレースフルリスタート 214サービス 254ネットワークの安定化 214フラップ 214

[BHO]グレーウェアカテゴリ 367

[Block Audio] (IM)プロテクションプロファイル 298

[Blocked]Web カテゴリレポート 403

[Block File Transfers] (IM)プロテクションプロファイル 298

[Block Login] (IM)プロテクションプロファイル 298

BOOTP 121

C[Category]

Web カテゴリレポート 403プロテクションプロファイル 293

[Certificate Name]IPSec インタフェースモード 307

[Channel]、無線の設定FortiWiFi-60 112FortiWiFi-60A 114

[Clear Session]定義済みシグネチャのアクション 375

CLI 設定Web カテゴリブロック 402アンチウイルス 368

[Cluster member]クラスタメンバリスト 129

[Code] 258[Comfort Clients]

プロテクションプロファイル 290config antivirus heuristic

バージョン 3.0 MR4 管理ガイド-0203-20070102 467

468

索引

CLI コマンド 368config limit、 IPS のための CLI コマンド 382[Connect to Server] 76[Cookie Filter]

プロテクションプロファイル 292[CPU Usage]

HA 統計 130[Create New]

IPSec インタフェースモード 315IPSec トンネルモード 318ファイアウォールポリシー 225

D[Date]

隔離ファイルリスト 362[DC]

隔離ファイルリスト 362[Dead Peer Detection]

IPSec インタフェースモード 311[DENY] アクション

ファイアウォールポリシー 232[Destination]

ファイアウォールポリシー 225, 230[Destination Port] 258[Destination Port]、カスタムサービス 258[Device Priority]

HA 126副系ユニット 131

DHCPおよび IP プール 232サービス 254

[DHCP-IPSec]IPSec インタフェースモード 313

[DH Group]IPSec インタフェースモード 312フェーズ 1 IPSec インタフェースモード 310

[Dial]グレーウェアカテゴリ 367

[Display content meta-information on dashboard]プロテクションプロファイルオプション 297

DNAT仮想 IP 267

DNSサービス 254

[Download]隔離ファイルリスト 362グレーウェアカテゴリ 367

[Drop]定義済みシグネチャのアクション 375

[Drop Session]定義済みシグネチャのアクション 375

[Dynamic IP Pool] NAT オプションファイアウォールポリシー 232

[Dynamic DNS]IPSec インタフェースモード 306

EECMP 190[Enable FortiGuard-Web Filtering] (HTTP のみ )

プロテクションプロファイル 292

[Enable FortiGuard-Web Filtering Overrides]プロテクションプロファイル 293

[Enable perfect forward secrecy (PFS)]IPSec インタフェースモード 312

[Enable replay detection]IPSec インタフェースモード 312

[Enable Session pickup]HA 127

[Encryption Key]、手動キーIPSec インタフェースモード 317

[Encryption Algorithm]IPSec インタフェースモード 315

[Encryption Algorithm]、手動キーIPSec インタフェースモード 316

[End IP]IP プール 285

[EOA] 75, 76ESP

サービス 254Ethernet over ATM 76Exclude Ranges

DHCP サーバの追加 121[External Interface]

仮想 IP 269[External IP Address]

仮想 IP 269[External Service Port]

仮想 IP 270

Ffail open 382FDN

FortiGuard Distribution Network 169HTTPS 175Update Center 170オーバーライドサーバ 173トラフィックの中断 176トラブルシューティング 175プッシュ更新 173, 177プロキシサーバ 177ポート 443 175ポート 53 174ポート 8888 174ポートフォワーディング接続 178

FDN、攻撃の更新 149FDS

FortiGuard Distribution Server 169[File Name]

隔離ファイルリスト 362[File Pattern]

隔離の自動送信リスト 363[Filter]

隔離ファイルリスト 362FINGER

サービス 254[Fixed Port]

IP プール 284ファイアウォールポリシーのNATオプション 232

FortiAnalyzer 25, 434


索引

FortiGate01-30004

[Report Scope] 456ログの表示 445

FortiBridge 25FortiClient 25FortiGate SNMP イベント 135FortiGate 100A Rev2.0 71FortiGate 200A Rev2.0 71FortiGate-5000

シャーシモニタリング 181FortiGate-5020

シャーシ 18FortiGate-5050

シャーシ 18FortiGate-5140

シャーシ 18FortiGate4000 71FortiGate-5001FA2

概要 19FortiGate-5001SX

概要 19FortiGate-5002FB2

概要 19FortiGate MIB 136FortiGate ドキュメント

コメント 31FortiGate トラップ 137FortiGate ユニット

登録 34, 169FortiGuard 25

CLI 設定 402[Report Range] 403[Report Type] 403許可されたレポート 403サービスポイント 169設定 170設定オプション 397ブロックされたレポート 403ホスト名の変更 402ライセンス 170レポート 402レポートカテゴリ 403レポートプロファイル 403

FortiGuard Antispam[E-mail checksum check] 295[IP address check] 295[Spam submission] 295[URL check] 295サービスポイント 170

FortiGuard Distribution Network (FDN) 175FortiGuard Distribution Network 169FortiGuard Distribution Server 169FortiGuard ログおよび分析サーバ 433

ロギング先 438ログの削除 449ログへのアクセスと表示 446

FortiGuard ログおよび分析サーバ上のログの削除 449FortiGuard ログおよび分析サーバ上のログの表示 446FortiGuard ログおよび分析サーバ上のログへのアクセス 446

FortiGuard ログおよび分析サーバへのロギング 438FortiMail 25FortiManager 25Fortinet Knowledge Center 31FortiReporter 25[Fragmentation Threshold]

無線の設定 113FTP

サービス 254FTP_GET

サービス 254FTP_PUT

サービス 254

G[Game]

グレーウェアカテゴリ 367[Geography]

無線の設定 112, 113GOPHER

サービス 254GRE 204

サービス 254[Group Name]

HA 127[Guaranteed Bandwidth]

ファイアウォールポリシー 237Guaranteed Bandwidth]

トラフィックシェーピング 237

HH323

サービス 254HA 124, 129

[Cluster member] 129[Device Priority] 126[Enable Session pickup] 127[Group Name] 127HA 統計の表示 130[Heartbeat Interface] 127[Mode] 126[Password] 127[Port Monitor] 127[VDOM partitioning] 127アウトオブバンド管理 71クラスタメンバリスト 128クラスタユニットの接続 131クラスタユニットの切断 131クラスタユニットホスト名の変更 129セッションピックアップ 127設定 124副系ユニットデバイスプライオリティ 131副系ユニットホスト名 131ホスト名 129ルータモニタ 220ルート 220

HA 統計[Active Sessions] 130[Back to HA monitor] 130[CPU Usage] 130

バージョン 3.0 MR4 管理ガイド-0203-20070102 469

470

索引

[Intrusion Detected] 130[Memory Usage] 130[Monitor] 130[Network Utilization] 130[Refresh every] 130[Status] 130[Total Bytes] 130[Total Packets] 130[Unit] 130[Up Time] 130[Virus Detected] 130

[HELO DNS lookup]プロテクションプロファイル 295

[Hijacker]グレーウェアカテゴリ 367

[Hostname]クラスタメンバリスト 129

HTTP大きなファイルのウイルススキャン 369サービス 255

HTTPS 33, 149サービス 255

IICMP_ANY

サービス 255ICMP カスタムサービス 258

[Code] 258[Protocol Type] 258[Type] 258

IDファイアウォールポリシー 225

IEEE 802.11a、チャネル 110IEEE 802.11g、チャネル 111IKE

サービス 255IMAP

サービス 255IM サマリ情報のアーカイブ

プロテクションプロファイル 298[Inbound NAT]

ファイアウォールポリシー 238INFO_ADDRESS

サービス 255INFO_REQUEST

サービス 255[Insert Policy Before]

ファイアウォールポリシー 225[Inspect Non-standard Port] (IM)

プロテクションプロファイル 298[Interface]

IP プール 285[Interface Mode] 72[Interface/Zone]

ファイアウォールポリシー 230Internet-Locator-Service

サービス 255[Interval]、クライアントコンフォーティング


[Intrusion Detected]HA 統計 130

[IP]仮想 IP 269

[IP Range/Subnet]IP プール 285

[IP Address]BWL チェック、プロテクションプロファイル 295アクション、アンチスパム 413自動キーフェーズ 1 インタフェースモード 306リスト、スパムフィルタ 413

[IPOA] 75[IP Range/Subnet]

ファイアウォールアドレス 249IPS

アノマリ、プロテクションプロファイル 296アノマリリスト 379, 380オプション、プロテクションプロファイル 296カスタムシグネチャ 377シグネチャ 373シグネチャ、プロテクションプロファイル 296定義済みシグネチャのアクション 375定義済みシグネチャリスト 373トラフィックアノマリリスト 380

IPSec 204IPSec VPN

自動キー 305モニタ 319ユーザグループの認証 347リモートゲートウェイ 347

[IPSEC] アクションファイアウォールポリシー 232

IPSec ポリシー[Allow Inbound] 238[Inbound NAT] 238[Outbound NAT] 238

IPv6 108, 190IP アドレス

アンチスパムブラック / ホワイトリストカタログ 412

スパムフィルタ 411IP カスタムサービス 259

[Protocol Number] 259[Protocol Type] 259

IP プール 232options 285[Create New] 285DHCP 232[End IP] 285[Fixed Port] 284[Interface] 285[IP Range/Subnet] 285[Name] 285PPPoE 232[Start IP] 285設定 285追加 285プロキシ ARP 265リスト 284


索引

FortiGate01-30004

IRCサービス 255

ISP 75

J[Java Applet Filter]

プロテクションプロファイル 292[Joke]

グレーウェアカテゴリ 367

K[Keepalive Frequency]

IPSec インタフェースモード 311[Key]

無線の設定 112[Keylife]

IPSec インタフェースモード 310, 313[Keylog]


LL2TP 347

サービス 255[Language]

Web コンテンツブロック 391スパムフィルタ禁止単語 410, 411

LDAPサービス 255

[Limit] (P2P)プロテクションプロファイル 298

[Local Gateway IP]IPSec インタフェースモード 309

[Local ID]IPSec インタフェースモード 310

[Local Interface]IPSec フェーズ 1 インタフェースモード 306

[Local SPI]、手動キーIPSec インタフェースモード 316

logトラフィック、ファイアウォールポリシー 233メッセージ 446

[Logging]定義済みシグネチャ 374

[Low Disk Space]隔離 365

MMAC アドレス

無線の設定 112, 113MAC フィルタ

無線 114[Map to IP]

仮想 IP 269[Map to Port]

仮想 IP 269, 270[Max Filesize to Quarantine]

隔離 365[Maximum Bandwidth] 238

トラフィックシェーピング 238ファイアウォールポリシー 238

MD5OSPF 認証 211, 213

MED (Multi-Exit Discriminator) 214[Members]

IPSec トンネルモード 318[Memory Usage]

HA 統計 130mheader 417MIB 136, 139

FortiGate 136RFC 1213 136RFC 2665 136

Miscグレーウェアカテゴリ 367

[Mode]HA 126IPSec インタフェースモード 307

[Monitor]HA 統計 130

[MTU] 75MTU サイズ 85

N[Name]

IPSec フェーズ 1 インタフェースモード 306IPSec フェーズ 2 インタフェースモード 311IP プール 285手動キーインタフェースモード 316

NATIPSec ポリシー 238受信 238送信 238プッシュ更新 178

[Nat-traversal]IPSec インタフェースモード 310

NAT デバイス仮想 IP 177ポートフォワーディング 177

NetMeetingサービス 255

[Network Utilization]HA 統計 130

NFSサービス 255

[NMT]グレーウェアカテゴリ 367

NNTPサービス 255

NSSA (Not-So-Stubby Area) 210NTP

サービス 255

O[Operation Mode]

無線の設定 112, 113optimize

アンチウイルス 368OSPF

AS 208[Dead Interval] 213GRE 212[Hello Interval] 213

バージョン 3.0 MR4 管理ガイド-0203-20070102 471

472

索引

IPSec 212LSA 213NSSA 210VLAN 212インタフェース定義 212エリア ID 211仮想 LAN 212仮想リンク 210サービス 255詳細設定オプション 208スタブ 210設定 206通常エリア 210停止パケット 213認証 211, 213ネットワーク 208ネットワークアドレス空間 213複数のインタフェースパラメータセット 212リンク状態 205隣接機器 205ルートを再配布するためのメトリック 208

OSPF AS 205定義 205

[Outbound NAT]IPSec ポリシー 238ファイアウォールポリシー 238

[Oversized File/Email]プロテクションプロファイル 291

P[P1 Proposal]

フェーズ 1 IPSec インタフェースモード 309[P2P]

グレーウェアカテゴリ 368P2P

ログ 443[P2 Proposal]

フェーズ 2 IPSec インタフェースモード 312[Pass]

定義済みシグネチャのアクション 375[Pass fragmented emails]

プロテクションプロファイル 290[Pass Session]

定義済みシグネチャのアクション 375[Password]

HA 127PAT

仮想 IP 268[Pattern]

スパムフィルタ禁止単語 410, 411[Pattern Type]

Web コンテンツブロック 388, 391スパムフィルタ禁止単語 410, 411スパムフィルタ電子メールアドレス 416

PC-Anywhereサービス 255

PDF 文書 460[Peer Options]

IPSec インタフェースモード 307

Perl 正規表現スパムフィルタ 418

[Phase 1]IPSec フェーズ 2 インタフェースモード 311

PIMBSR 215DR 215RFC 2362 215RFC 3973 215RP 215スパースモード 215デンスモード 215

PIM (Protocol Independent Multicast) 215PING

サービス 255PKI 343[Plugin]

グレーウェアカテゴリ 368POP3

サービス 255[Port Monitor]

HA 127PPPoE

RFC 2516 81および IP プール 232

PPTP 347サービス 256

[Pre-shared Key]IPSec インタフェースモード 307無線の設定 112

[Priority]クラスタメンバ 129

[Profile]カテゴリブロックレポート 403

[Protection Profile]ファイアウォールポリシー 233

[Protocol]仮想 IP 270

[Protocol Type] 259[Provide details for blocked HTTP errors]

プロテクションプロファイル 293[Proxy ID Destination]

IPSec インタフェースモード 320[Proxy ID Source]

IPSec インタフェースモード 319, 320

QQUAKE

サービス 256[Quarantine]

自動送信リスト 362プロテクションプロファイル 290

[Quick Mode Selector]IPSec インタフェースモード 313

R[Radius Server Name]

無線の設定 113[RAT]



索引

FortiGate01-30004

[Rate images by URL]プロテクションプロファイル 293

[Rate URLs by domain and IP address]プロテクションプロファイル 293

RAUDIOサービス 256

[Refresh every]HA 統計 130

[Remote Gateway]IPSec 手動キー設定 316IPSec フェーズ 1 設定 306VPN IPSec モニタフィールド 319, 320

[Remote SPI]、手動キーIPSec インタフェースモード 316

[Reset]定義済みシグネチャのアクション 375

[Reset Client]定義済みシグネチャのアクション 375

[Reset Server]定義済みシグネチャのアクション 375

[Resolve Host Names]レポート 460

[Resolve Service Names]レポート 460

[Return e-mail DNS check]プロテクションプロファイル 295

RFC 215RFC 1058 199RFC 1213 136RFC 1215 137RFC 1771 213RFC 2362 215RFC 2453 199RFC 2132 121RFC 2516 81RFC 2665 136RFC 1213 133RFC 2665 133RFC 3973 215RIP

RFC 1058 199RFC 2453 199サービス 256認証 204バージョン 1 199バージョン 2 199ホップカウント 200

RLOGINサービス 256

[Role]クラスタメンバ 129

RTF 文書 460[RTS Threshold]

無線の設定 113

SSAMBA

サービス 256[Schedule]

ファイアウォールポリシー 225, 231[Security mode]

無線の設定 112[Select]

反復スケジュール 263[Service]

隔離ファイルリスト 362ファイアウォールポリシー 225, 231

[Service Port]仮想 IP 269

SIPサービス 256

SIP-MSNmessengerサービス 256

SMCシャーシモニタリング 181

SMTPサービス 256

SNMPRFC 1213 136MIB 136RFC 1215 137RFC 2665 136サービス 256トラップ 137連絡先情報 133

[SNMP Agent] 133SNMP、 MIB 136, 139SNMP、イベント 135SNMP、クエリ 135SNMP コミュニティ 134SNMP コミュニティ、設定 134SNMP、トラップ 135, 137SNMP マネージャ 133, 134[Sort by]

隔離ファイルリスト 361[Source]

ファイアウォールポリシー 225, 230[Source Port] 258[Spam Action]

プロテクションプロファイル 296SPF (Shortest Path First) 205[Spy]

グレーウェアカテゴリ 368SSH 149

サービス 256[SSID]

無線の設定 112[SSID Broadcast]

無線の設定 112SSL

サービス定義 255SSL VPN ログインメッセージ 147SSL VPN

[Tunnel IP Range] 324暗号スイートの設定 324クライアント証明書の確認 324サーバ証明書の指定 324セッションの監視 325

バージョン 3.0 MR4 管理ガイド-0203-20070102 473

474

索引

セッションの終了 325設定 323タイムアウト値の指定 325

[Start]反復スケジュール 263ワンタイムスケジュール 262

[Start IP]IP プール 285

[Status]HA 統計 130インタフェース 71隔離ファイルリスト 362

statuslog webtrends setting 438

[Status Description]隔離ファイルリスト 362

[Stop]反復スケジュール 263ワンタイムスケジュール 262

Strictデフォルトのプロテクションプロファイル 288

[Strict Blocking] (HTTP のみ )プロテクションプロファイル 293

SYSLOGサービス 256

system global av_failopenアンチウイルス 368

system global optimizeアンチウイルス 368

TTALK

サービス 256TCP

サービス 256TCP カスタムサービス 258

[Destination Port] 258[Protocol Type] 258[Source Port] 258追加 257

TELNETサービス 256

TFTPサービス 256

[Threshold][Banned word check]、プロテクションプロファイ

ル 296[Oversized File/Email]、プロテクションプロファ

イル 291[Web content block]、プロテクションプロファイ

ル 291[Timeout]

IPSec インタフェースモード 319, 320TIMESTAMP

サービス 256[Toolbar]

グレーウェアカテゴリ 368[Total Bytes]

HA 統計 130

[Total Packets]HA 統計 130

[Traffic Priority] 238トラフィックシェーピング 238ファイアウォールポリシー 238

[Traffic Shaping]ファイアウォールポリシー 233

[TTL]隔離ファイルリスト 362

[Tunnel Name]IPSec インタフェースモード 315

[Tx Power]無線の設定 113, 114

TXT 文書 460[Type] 258

仮想 IP 269

UUDP カスタムサービス 258

[Destination Port] 258[Protocol Type] 258[Source Port] 258追加 257

UDP サービス 256Unfiltered

デフォルトのプロテクションプロファイル 288[Unit]

HA 統計 130Update Center 170[Upload Status]

隔離ファイルリスト 362[Up Time]

HA 統計 130URL フィルタ

カタログ 392URL ブロック

Web フィルタ 392Web フィルタブロックリストへのURLの追加 394

[Username]IPSec インタフェースモード 319

UUCPサービス 256

VVDOLIVE

サービス 256VDOM

NAT/ ルート 61管理 VDOM 65設定 62トランスペアレント 61複数の VDOM 64ライセンスキー 180

[VDOM partitioning]HA 127

VDOM 間 66[Virtual Circuit Identification] (VCI) 76[Virus Scan]

プロテクションプロファイル 290[Virus Detected]


索引

FortiGate01-30004

HA 統計 130VLAN

OSPF 212概要 98ジャンボフレーム 86

VoIP ログ 443VPN 321, 327

IPSec インタフェースモード 303VPN IPSEC インタフェース 303

WWAIS

サービス 256Web

デフォルトのプロテクションプロファイル 288Web URL ブロック

Web URL ブロックリストの設定 394プロテクションプロファイル 292リスト 393リスト、 Web フィルタ 393

[Web Content Exempt]プロテクションプロファイル 291

[Web resume download block]プロテクションプロファイル 292

Web カテゴリブロックCLI 設定 402[Report Range] 403[Report Type] 403許可されたレポート 403設定オプション 397ブロックされたレポート 403ホスト名の変更 402レポート 402レポートカテゴリ 403レポートプロファイル 403

Web コンテンツブロック[Language] 391[Pattern Type] 388, 391Web フィルタ 389禁止単語 388, 391言語 388プロテクションプロファイル 291

Web コンテンツブロックリストWeb フィルタ 388

Web サイト、コンテンツカテゴリ 145Web フィルタ 383

URL カテゴリ 174URL ブロック 392Web URL ブロックリスト 393Web URL ブロックリストの設定 394Web URL ブロックリストへの URL の追加 394Web コンテンツブロックリスト 388Web コンテンツブロックリストの設定 389コンテンツブロック 386

Web フィルタリングオプションプロテクションプロファイル 291

Web フィルタリングサービス 145Web フィルタログ 442Web ベースマネージャ

言語 163WEP 112[Where]

スパムフィルタ禁止単語 410, 411WINFRAME

サービス 257WLAN

インタフェース 109インタフェース、 WiFi-60A での作成 79インタフェース、 WiFi-60 での作成 112

WPA 112

X[XAuth]

IPSec インタフェースモード 310X-WINDOWS

サービス 257

あアウトオブバンド 71アクションの種類

スパムフィルタ電子メールアドレス 416アグリゲートインタフェース

作成 76アップグレード

ファームウェア 51アップロード後に削除する

レポート 461宛先 IP

システム状態 55宛先セッション制限

アノマリタイプ 380宛先ネットワークアドレス変換

仮想 IP 267アドレス

ファイアウォールアドレスグループ 250リスト 248

アドレスグループ 250[Create New] 250追加 250リスト 250

アノマリ宛先セッション制限 380スキャン 380トラフィック 379発信元セッション制限 380フラッディング 380リスト 379, 380

アラートメールオプション 451有効化 451

アンチウイルス 355[Adware] グレーウェア 367av_failopen 368[BHO] グレーウェア 367CLI 設定 368configure antivirus heuristic 368[Dial] グレーウェア 367[Download] グレーウェア 367[Game] グレーウェア 367

バージョン 3.0 MR4 管理ガイド-0203-20070102 475

476

索引

[Hijacker] グレーウェア 367[Joke] グレーウェア 367[Keylog] グレーウェア 367Misc グレーウェア 367[NMT] グレーウェア 367optimize 368[P2P] グレーウェア 368[Plugin] グレーウェア 368[RAT] グレーウェア 368[Spy] グレーウェア 368system global av_failopen 368system global optimize 368[Toolbar] グレーウェア 368ウイルスリスト 365ウイルスリストの表示 365大きなファイルのスキャン 369隔離 361隔離ファイルリスト 361グレーウェア 175, 366ヒューリスティック 368ファイルブロック 358ファイルブロックリスト 359ログ 441

アンチウイルスオプションプロテクションプロファイル 290

アンチウイルスおよび攻撃の定期更新 177アンチウイルスの更新 176

プロキシサーバ経由 177アンチスパム

ポート 53 174ポート 8888 174

い移動

ファイアウォールポリシー 225印刷

オンラインヘルプアイコン 35インスタントメッセージログ 443インターネットブラウジング

IPSec VPN 設定 314インタフェース

[Administrative Access] 74, 84, 87[MTU] 75WLAN 109管理状態 71プロキシ ARP 265

うウイルス感染ファイル 144ウイルス保護、「アンチウイルス」も参照 355ウイルス名 146ウイルスリスト 365

表示、更新 365

えエリア境界ルータ 210

お温度

FortiGate-5000 モジュール 183シャーシモニタリング 183

オンラインヘルプキーボードショートカット 36検索 36

か概要 454

フォーティネットドキュメント 29隔離

[Age Limit] 365[Enable AutoSubmit] 365[Low Disk Space] 365[Max Filesize to Quarantine] 365アンチウイルス 361オプション 365自動送信ファイルパターンのアップロードの有

効化 363自動送信リストの設定 363自動送信リストのファイルパターン 363設定 363ヒューリスティック 369

隔離ファイルリスト[TTL] 362[Apply] 361[Date] 362[DC] 362[Download] 362[File Name] 362[Filter] 362[Service] 362[Sort by] 361[Status] 362[Status Description] 362[Upload Status] 362アンチウイルス 361重複 362

カスタマサービス 31カスタムサービス

TCP または UDP カスタムサービスの追加 257追加 257リスト 257

カスタムシグネチャIPS 377

仮想 IP 265[Create New] 269, 282DNAT 267[External Interface] 269[External IP Address] 269[External Service Port] 270[IP] 269[Map to IP] 269[Map to Port] 269, 270PAT 268[Protocol] 270[Service Port] 269[Type] 269宛先ネットワークアドレス変換 267設定 269ポートアドレス変換 268リスト 269


索引

FortiGate01-30004

カタログIP アドレスブラック / ホワイトリスト 412URL フィルタ 392禁止単語 409コンテンツ除外 389コンテンツブロック 387電子メールアドレスブラック / ホワイトリスト

414ファイルパターン 358

カテゴリブロック設定オプション 397レポート 402

管理 VDOM 65管理アクセス

ログインの監視 163ディスタンス 188管理者アカウント

信頼できるホスト 156ネットマスク 155, 156

管理者、監視 163

きキーボードショートカット

オンラインヘルプ 36期限

システム状態 55期限切れ 172禁止単語

Web コンテンツブロック 388, 391カタログ 409スパムフィルタ禁止単語リストへの単語の追加

411禁止単語 ( スパムフィルタ )

[Action] 410[Language] 410, 411[Pattern] 410, 411[Pattern Type] 410, 411[Where] 410, 411リスト 410

くクラスタメンバ 128

[Priority] 129[Role] 129

クラスタユニットクラスタからの切断 131クラスタの接続 131

グループユーザ 346

グレーウェア 175[Adware] 367[BHO] 367[Dial] 367[Download] 367[Game] 367[Hijacker] 367[Joke] 367[Keylog] 367Misc 367[NMT] 367

[P2P] 368[Plugin] 368[RAT] 368[Spy] 368[Toolbar] 368アンチウイルス 366

グレースフルリスタート 214

け警告メールメッセージ 144警告メッセージコンソール

メッセージのクリア 48言語

Web コンテンツブロック 388Web ベースマネージャ 163

検索オンラインヘルプ 36オンラインヘルプアイコン 36オンラインヘルプのワイルドカード 36

検索ログ 448

こ高可用性、 HA を参照 124攻撃の更新

スケジューリング 176プロキシサーバ経由 177

工場出荷時デフォルト設定へのリセット 49更新

プッシュ 177コメント

ドキュメント、送信 31ファイアウォールポリシー 234

コンセントレータ、 IPSec トンネルモード 317[Name] 318オプション 318リスト 317

コンセントレータ、ルートベース VPN 304コンテンツアーカイブオプション

プロテクションプロファイル 297コンテンツ除外

カタログ 389コンテンツストリーム、差し替えメッセージ 143コンテンツブロック

Web フィルタ 386カタログ 387

コンテンツメタ情報のアーカイブプロテクションプロファイル 297

さサーバ

log webtrends setting 438サービス

TCP 256AH 254ANY 254AOL 254BGP 254DHCP 254DNS 254ESP 254FINGER 254

バージョン 3.0 MR4 管理ガイド-0203-20070102 477

478

索引

FTP 254FTP_GET 254FTP_PUT 254GOPHER 254GRE 254H323 254HTTPS 255ICMP_ANY 255IKE 255IMAP 255INFO_ADDRESS 255INFO_REQUEST 255Internet-Locator-Service 255IRC 255L2TP 255LDAP 255NetMeeting 255NFS 255NNTP 255NTP 255OSPF 255PC-Anywhere 255PING 255POP3 255PPTP 256QUAKE 256RAUDIO 256RIP 256RLOGIN 256SAMBA 256SIP 256SIP-MSNmessenger 256SMTP 256SNMP 256SSH 256SYSLOG 256TALK 256TELNET 256TFTP 256TIMESTAMP 256UDP 256UUCP 256VDOLIVE 256WAIS 256WINFRAME 257X-WINDOWS 257カスタムサービスリスト 257グループ 259グループへのサービスの構成 260サービス名 254定義済み 253

サービスグループ 259[Create New] 259追加 259, 260リスト 259

サービスのグループ化 259サービスポイント

FortiGuard 169再起動 49, 169

索引オンラインヘルプアイコン 36

サブスクリプション期限切れ 172未登録 172有効なライセンス 172

サブネットファイアウォールアドレス 249

しシェルフマネージャ

シャーシモニタリング 181シェルフモニタリング

シェルフマネージャ 181シグネチャ

IPS 373カスタム IPS シグネチャ 377

システムシャーシモニタリング 181

システムアイドルタイムアウト 149システム設定 123指定ルータ (DR) 215自動キーリスト

IPSec VPN 305自動送信

隔離 365自動送信リスト

アップロードの有効化 363隔離ファイル 362設定 363

シャーシモニタリング 181FortiGate-5000 モジュール 182SMC 181温度 183電圧 184ブレード 182

シャットダウン 49手動キー IPSec VPN

インタフェースモード設定 316手動キーのオプション

IPSec インタフェースモード 315手動キーリスト

IPSec インタフェースモード 315使用傾向 454照合

ポリシー 224自律システム (AS) 213信頼できるホスト

管理者アカウント 156管理者オプション 155セキュリティ問題 156

す図

トポロジビューア 58スイッチモード 71スキャン

アノマリタイプ 380デフォルトのプロテクションプロファイル 288

スケジューリング 176


索引

FortiGate01-30004

スケジュールFortiAnalyzer レポート 461アンチウイルスおよび攻撃定義の自動更新 176反復スケジュールリスト 262ワンタイムスケジュールリスト 261

スタティック IPモニタ 319

スタティックルート概念 187概要 187ディスタンス 188作成 190選択 188追加 194テーブルシーケンス 189テーブルの構築 188テーブルプライオリティ 189デフォルトゲートウェイ 191デフォルトルート 191編集 190ポリシー 195ポリシーの追加 196ポリシーリスト 195

スタブOSPF エリア 210

スタンドアロンモードモデム 93, 96

スパムログのフィルタリング 443

スパムとしてブロックされた電子メール 144スパムフィルタ 405

FortiGuard Antispam サービスポイント 170IP アドレス 411IP アドレスリスト 413Perl 正規表現 418禁止単語リスト 410スパムフィルタ禁止単語リストへの単語の追加

411電子メールアドレスリスト 415電子メールアドレスリストへの電子メールアド

レスまたはドメインの追加 416スパムフィルタリングオプション


せ製品登録 34, 169製品、ファミリ 25セッションピックアップ

HA 127

た帯域幅

大 238保証 237

ダイナミック DNSVPN IPSec モニタ 319ネットワークインタフェース 83モニタ 319

ダイナミックルーティング 199OSPF 204

PIM 215ダイヤルアップ VPN

モニタ 319ダッシュボード 41

ち重複

隔離ファイルリスト 362

つ次のページ

オンラインヘルプアイコン 35

て定期更新

プロキシサーバ経由 177定義済みサービス 253定義済みシグネチャ

[Action] 374[Clear Session] アクション 375[Drop Session] アクション 375[Drop] アクション 375[Logging] 374[Pass Session] アクション 375[Pass] アクション 375[Reset Client] アクション 375[Reset Server] アクション 375[Reset] アクション 375[Revision] 374アクション 375リスト 373

ディスク領域隔離 365

テクニカルサポート 31デフォルトゲートウェイ 191電圧

FortiGate-5000 モジュール 184シャーシモニタリング 184

電子メールオンラインヘルプアイコン 35

電子メールアドレスBWL チェック、プロテクションプロファイル 295[Pattern Type] 416アクションの種類 416電子メールアドレスリストへの追加 416ブラック / ホワイトリストカタログ 414リスト、スパムフィルタ 415

転送オプション 436

と等価コストマルチパス (ECMP) ルート 190同期間隔 50統計

HA 統計の表示 130動作モード 148登録

FortiGate ユニット 34, 169トランスペアレントモード

VLAN 103ドキュメント

コメント 31フォーティネット 29

バージョン 3.0 MR4 管理ガイド-0203-20070102 479

480

索引

トポロジビューア 58トラップ

SNMP 137トラフィックアノマリ 379

リスト 380トラフィックシェーピング

Guaranteed Bandwidth] 237[Maximum Bandwidth] 238[Traffic Priority] 238ファイアウォールポリシー 235

トラフィックのログ記録ファイアウォールポリシー 233

なナビゲーションの表示


に認証

RIP 204ファイアウォールポリシー 234

ねネットマスク

管理者アカウント 155, 156ネットワーク

トポロジビューア 58

はバーチャルドメイン (VDOM) 459バーチャルドメイン設定 64ハードディスク上のログメッセージの表示 444ハートビート、 HA

インタフェース 127パターン

ファイルブロック 359ファイルブロックパターンのデフォルトリスト

360バックアップ ( 冗長 ) モード

モデム 93バックアップモード

モデム 95発信元 IP

システム状態 55発信元セッション制限

アノマリタイプ 380発信元ポート

システム状態 55, 89範囲

Web カテゴリレポート 403反復スケジュール

[Create New] 263[Select] 263[Start] 263[Stop] 263設定 263追加 263リスト 262

ひヒューリスティック

アンチウイルス 368

隔離 369

ふファームウェア

新しいバージョンへのアップグレード 51ファイアウォール 223, 247, 253, 261, 265, 287

アドレスリスト 248概要 223, 247, 253, 261, 265, 287カスタムサービスリスト 257仮想 IP リスト 269設定 223, 247, 253, 261, 265, 287定義済みサービス 253反復スケジュール 262ポリシー照合 224ポリシーリスト 224ワンタイムスケジュール 261

ファイアウォール IP プールオプション 285ファイアウォール IP プールリスト 284ファイアウォールアドレス

[Address Name] 249[Create New] 249[IP Range/Subnet] 249アドレスグループ 250サブネット 249追加 249名前 249リスト 248

ファイアウォールアドレスグループ[Available Addresses] 251[Group Name] 251[Members] 251追加 250

ファイアウォールサービスTCP 256AH 254ANY 254AOL 254BGP 254DHCP 254DNS 254ESP 254FINGER 254FTP 254FTP_GET 254FTP_PUT 254GOPHER 254GRE 254H323 254HTTP 255HTTPS 255ICMP_ANY 255IKE 255IMAP 255INFO_ADRESS 255INFO_REQUEST 255Internet-Locator-Service 255IRC 255L2TP 255LDAP 255


索引

FortiGate01-30004

NetMeeting 255NFS 255NNTP 255NTP 255OSPF 255PC-Anywhere 255PING 255POP3 255PPTP 256QUAKE 256RAUDIO 256RIP 256RLOGIN 256SAMBA 256SIP 256SIP-MSNmessenger 256SMTP 256SNMP 256SSH 256SYSLOG 256TALK 256TELNET 256TFTP 256TIMESTAMP 256UDP 256UUCP 256VDOLIVE 256WAIS 256WINFRAME 257X-WINDOWS 257

ファイアウォールプロテクションプロファイルオプション 289デフォルトのプロテクションプロファイル 288リスト 288

ファイアウォールポリシー[ACCEPT] アクション 232[Action] 225[Address Name] 230[Allow Inbound] 238[Allow outbound] 238[Authentication] 233[Create New] 225[DENY] アクション 232[Destination] 225, 230[Dynamic IP Pool] NAT オプション 232[Fixed Port] NAT オプション 232[Guaranteed Bandwidth] 237ID 225[Inbound NAT] 238[Insert Policy Before] 225[Interface/Zone] 230[IPSEC] アクション 232[Maximum Bandwidth] 238[Outbound NAT] 238[Protection Profile] 233[Schedule] 225, 231[Service] 225, 231[Source] 225, 230[Traffic Priority] 238

[Traffic Shaping] 233移動 225, 226コメント 234削除 226設定 226追加 226トラフィックシェーピング 235トラフィックのログ記録 233認証 234プロテクションプロファイルの追加 300ポリシーリスト内の位置の変更 226モデム 97

ファイルパターンカタログ 358

ファイルブロックアンチウイルス 358パターン 359パターンのデフォルトリスト 360プロテクションプロファイル 290リスト、アンチウイルス 359

ブートストラップルータ (BSR) 215フェーズ 1

IPSec インタフェースモード 305フェーズ 2

IPSec インタフェースモード 311フェーズ 1 詳細オプション

IPSec インタフェースモード 308フェーズ 2 詳細オプション

IPSec インタフェースモード 311フォーティネット MIB 139フォーティネットカスタマサービス 31フォーマットされたログ 447フォーティネット製品ファミリ 25フォーティネットドキュメント 29不正侵入防御システム、「IPS」を参照ブックマーク

オンラインヘルプアイコン 35プッシュ更新 173, 177

IP アドレスの変更 177NAT デバイス 178NAT デバイスを通じた 178インタフェース 177外部 IP アドレスの変更 177管理 IP アドレスの変更 178設定 177プロキシサーバ経由 177

フラッディングアノマリタイプ 380

ブレードシャーシモニタリング 182

プロキシ ARP 265FortiGate インタフェース 265IP プール 265仮想 IP 265

プロキシサーバ 177プッシュ更新 177

プロテクションプロファイル[IP address BWL check] 295[Action] (P2P) 298

バージョン 3.0 MR4 管理ガイド-0203-20070102 481

482

索引

ActiveX 292[Add signature to outgoing emails] 291[Allow websites when a rating error occurs] 293[Amount]、クライアントコンフォーティング 290[Append with] 296[Append to] 296[Banned word check] 296[Block Audio] (IM) 298[Block File Transfers] (IM) 298[Block Login] (IM) 298[Category] 293[Comfort Clients] 290[Cookie Filter] 292[Display content meta-information on dashboard] 297[E-mail address BWL check] 295[Enable FortiGuard-Web Filtering] (HTTP のみ ) 292[Enable FortiGuard-Web Filtering Overrides] 293[FortiGuard-Antispam]、 [IP address check] 295[FortiGuard-Antispam]、 [URL check] 295FortiGuard 電子メールチェックサムチェック 295[HELO DNS lookup] 295IM サマリ情報のアーカイブ 298[Inspect Non-standard Port] (IM) 298[Interval]、クライアントコンフォーティング 290[IPS Anomaly] 296[IPS Signature] 296IPS オプション 296[Java Applet Filter] 292[Limit] (P2P) 298[Oversized File/Email] 291[Pass fragmented emails] 290[Provide details for blocked HTTP errors] 293[Quarantine] 290[Rate images by URL] 293[Rate URLs by domain and IP address] 293[Return e-mail DNS check] 295scan ( デフォルトのプロテクションプロファイル

) 288[Spam Action] 296[Spam submission] 295[Strict Blocking] (HTTP のみ ) 293strict (デフォルトのプロテクションプロファイル

) 288[Threshold]、 [Banned word check] 296[Threshold]、 [Oversized File/Email] 291[Threshold]、 [Web content block] 291unfiltered ( デフォルトのプロテクションプロファ

イル ) 288[Virus Scan] 290Web URL ブロック 292[Web Content Exempt] 291[Web resume download block] 292Web コンテンツブロック 291web ( デフォルトのプロテクションプロファイル

) 288Web フィルタリングオプション 291アンチウイルスオプション 290オプション 289コンテンツアーカイブオプション 297

コンテンツメタ情報のアーカイブ 297スパムフィルタリングオプション 294デフォルトのプロテクションプロファイル 288ファイアウォールポリシーへの追加 300ファイルブロック 290リスト 288ロギング、 [ActiveX Filter] 299ロギング、 [Blocked Files] 299ロギング、 [Content Block] 299ロギング、 [Cookie Filter] 299ロギング、 IM アクティビティ 299ロギング、 [Java Applet Filter] 299ロギング、 [Log rating errors] 299ロギング、 [Oversized Files/Emails] 299ロギング、 P2P アクティビティ 299ロギング、 [URL Block] 299ロギング、 [Viruses] 299ロギング、侵入 299ロギング、スパム 299

プロトコルサービス 254システム状態 55種類、カスタムサービス 258番号、カスタムサービス 259

へヘルプ

オンラインヘルプの検索 36キーボードショートカットを使用した移動 36

ほポート 53 174ポート 8888 174ポート 9443 178ポートアドレス変換

仮想 IP 268ホスト名

クラスタの変更 129ポリシー

[ACCEPT] アクション 232[Action] 225[Address Name] 230[Allow Inbound] 238[Allow outbound] 238[Authentication] 233[Create New] 225[DENY] アクション 232[Destination] 225[Dynamic IP Pool] NAT オプション 232[Fixed Port] NAT オプション 232[Guaranteed Bandwidth] 237ID 225[Inbound NAT] 238[Insert Policy Before] 225[Interface/Zone] 230[IPSEC] アクション 232[Maximum Bandwidth] 238[Outbound NAT] 238[Protection Profile] 233[Schedule] 225, 231


索引

FortiGate01-30004

[Service] 225, 231[Source] 225[Traffic Priority] 238[Traffic Shaping] 233移動 225, 226コメント 234削除 226照合 224設定 226追加 226トラフィックシェーピング 235トラフィックのログ記録 233認証 234ポリシーリスト内の位置の変更 226リスト 224

ポリシーに基づくルーティング 195

ま前のページ


み未加工のログ 447未登録 172

む無線

[Advanced] 設定 113[Beacon Interval] 113, 114[Channel]、 FortiWiFi-60 112[Fragmentation Threshold] 113[Geography] 112, 113[Key] 112MAC アドレス 112, 113MAC フィルタ 114[Operation Mode] 112, 113[Pre-shared Key] 112[Radius Server Name] 113[RTS Threshold] 113[Security mode] 112[SSID] 112[SSID Broadcast] 112[Tx Power] 113, 114WiFi-60A または WiFi-60AM の設定 113WiFi-60 の設定 112設定 109, 113チャネル、 FortiWiFi-60A 114

無線、 [Geography] 112無線、 [SSID] 112無線、セキュリティ 112

めメッセージ、ログ 446

も目次

オンラインヘルプアイコン 36目次の表示

オンラインヘルプアイコン 36モデム

冗長 ( バックアップ ) モード 93スタンドアロンモード 93, 96

設定 93バックアップモード 95ファイアウォールポリシーの追加 97

モニタルーティング 219IPSec VPN 319管理者ログイン 163

ゆ有効なライセンス 172ユーザグループ

設定 346ユーザ認証

PKI 343

よ読み取りおよび書き込みアクセスレベル

管理者アカウント 50, 153, 166読み取り専用アクセスレベル

管理者アカウント 50, 153, 155

らライセンス

FortiGuard 170ライセンスキー 180ランデブーポイント (RP) 215

りリモート管理 85, 149リモートピア

手動キーインタフェースモード 315

るルータモニタ

HA 220ルーティング

スタティック 190設定 92モニタ 219ECMP 190

ルーティングテーブル 219ルート

HA 220

れ列の設定 447レポート 454

FortiGuard 402FTP へのアップロード 461gzip 461[Resolve Host Names] 460[Resolve Service Names] 460Web カテゴリブロック 402アップロード後に削除する 461出力 460種類 459種類、カテゴリブロック 403スケジュール、 FortiAnalyzer 461範囲、 FortiAnalyzer 456

レポートの出力 460連絡先情報

SNMP 133

バージョン 3.0 MR4 管理ガイド-0203-20070102 483

484

索引

ろローカル証明書

オプション 328リスト 327

ロギング[ActiveX Filter] 299[Blocked Files] 299[Cookie Filter] 299IM アクティビティ 299[Java Applet Filter] 299[Log rating errors] 299[Oversized Files/Emails] 299P2P アクティビティ 299URL ブロック 299ウイルス 299コンテンツブロック 299侵入 299スパム 299

ログ 443FortiAnalyzer 434P2P ログ 443Web フィルタログ 442アンチウイルスログ 441インスタントメッセージログ 443検索 448

攻撃アノマリ 442攻撃シグネチャ 442種類 439スパムフィルタログ 443表示 444フィルタ 448フォーマット 447未加工 447列の設定 447

ログのフィルタリング 448ログへのアクセス 444ログメッセージの読み出し 446ログメッセージへのアクセス

ハードディスク 444

わワイルドカード

オンラインヘルプの検索 36ワンタイムスケジュール

[Create New] 261[Start] 262[Stop] 262設定 262追加 262リスト 261


www.fortinet.com

Documents

FortiGate Administration Guide - docs-legacy.fortinet.comdocs-legacy.fortinet.com/int/jp/FortiGate_Administration_Guide_3.0... · FortiGate バージョン3.0 MR4 ... のファームウェア