【Fortigate】ファイアウォールポリシー設定 FortiOS6.4.3

2021.01.24

ファイアウォールの一番の役割は、特定のIPアドレスやアプリケーション、ポート番号のみに通信を制限し、制御することです。 ファイアウォールでは、デフォルトで全ての通信の転送は拒否され、許可したい通信をファイアウォールポリシーとして、追加していきます。

ここでは、Fortigateで設定するファイアウォールポリシーの設定方法を確認します。

スポンサーリンク

ファイアウォールポリシーの設定

ポリシー&オブジェクト >>  ファイアウォールポリシー へ移動すると、設定されているポリシーの一覧が確認できます。

上の表示はインタフェースペアビューという表示形式で、着信インターフェース発信インターフェースにグループ化され、一覧表示されています。 右上に行くと、インタフェースペアビューシーケンス別で表示を切り替えることができます。

シーケンス別に変更すると、着信・発信インタフェースのグループ化が解かれた表示となり、この表示の上から順番にポリシー適合がチェックされます。

一番下に全ての着信・発信インタフェースに対して暗黙の拒否ががあるのを確認してください。これにより、設定したポリシーに適合しなかった通信は、全て拒否されます。

では、ファイアウォールポリシーの設定内容を確認します。 ポリシー&オブジェクト >>  ファイアウォールポリシー へ移動し、新規作成をクリックします。

では、ぞれぞれの設定を見ていきます。

名前

ポリシーに任意の名前を設定します。

ステートフルインスペクション

制限したい通信の着信・発信インタフェースを設定します。発信インタフェースから出力されたパケットの戻りパケットは、ステートフルインスペクションにより、自動的に通信許可されます。つまり、戻りパケット用の発信インタフェースから着信インタフェースへの許可ポリシーは不要です。

>> 参考記事 : ステートフルインスペクションと各種チューニング
【Fortigate】ステートフルインスペクションと各種チューニング(サービスタイムアウト、SYNチェック無効化、非対称ルーティング、アンチリプレイ)FortiOS6.4.3
Fortigateなどの一般的なファイアウォールは、ステートフルインスペクションという方式でパケット通過の可否を判断しています。 この記事ではステートフルインスペクションの概要とその機能に伴い通信エラーが発生するような場面とチューニング設定...
hirotanoblog.com
2021.01.23

アドレスオブジェクト

制限したい送信元、宛先のアドレスをアドレスオブジェクトとして設定し、選択します。

>> 参考記事 : アドレスオブジェクト(サブネット・IP範囲・FQDN・ジオグラフィ)の設定と動作確認 FortiOS6.4.3
【Fortigate】アドレスオブジェクト(サブネット・IP範囲・FQDN・ジオグラフィ)の設定と動作確認 FortiOS7.0.3
セキュリティポリシーを設定する際に、制限をかけるIPアドレスなどをアドレスオブジェクトとして設定します。 設定できるアドレスオブジェクトはIPアドレス(サブネット、IP範囲)だけでなく、FQDN・ジオグラフィなども指定しての設定も可能です。...
hirotanoblog.com
2021.01.11

サービスオブジェクト

設定したアドレスオブジェクトに対して制限したいサービスをサービスオブジェクトとして設定し、選択します。

>> 参考記事 : サービスオブジェクト、サービスグループの設定 FortiOS6.4.3
【Fortigate】サービスオブジェクト、サービスグループの設定 FortiOS6.4.3
Fortigateでファイアウォールポリシーを設定する際に、特定のデバイスに対してサービス(ポート番号)を制限するのが一般的です。 よく使用されるサービスは、Fortigateで事前に定義されており、ポリシー&オブジェクト >> サービス ...
hirotanoblog.com
2021.01.22

アクション

通信を許可したい場合はACCEPT、拒否したい場合はDENYを選択します。

NAT

送信元NATをしたい場合に設定します。

>> 参考記事 : 送信元NATと動作確認 FortiOS6.4.3
【Fortigate】送信元NATと動作確認 FortiOS6.4.3
Fortigateで実現する送信元NATは、ファイアウォールポリシーの中で設定します。 送信元NATを使用する場合は、送信元IPアドレスを発信インタフェースのIPアドレスにアドレス変換する場合と、IPプールアドレスといって、定義したIPアド...
hirotanoblog.com
2020.11.19

セキュリティプロファイル

アンチウイルスやWebフィルタなどを設定します。

>> 参考記事 : UTM(アンチウイルス)の設定と動作確認 FortiOS6.2.4
【Fortigate】UTM(アンチウイルス)の設定と動作確認 FortiOS6.2.4
この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、UTM(アンチウイルス)の動作を確認します。先に以下の記事をお読みいただくことをお勧めします。 >> 参考記事 : SSLインスペクション(deep-i...
hirotanoblog.com
2020.10.05
>> 参考記事 : UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3
【Fortigate】UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3
この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、UTM(Webフィルタ)の動作を確認します。先に以下の記事をお読みいただくことをお勧めします。 >> 参考記事 : SSLインスペクション(deep-i...
hirotanoblog.com
2020.10.08
>> 参考記事 : DNSフィルタの設定と動作確認 FortiOS6.4.3
【Fortigate】DNSフィルタの設定と動作確認 FortiOS6.4.3
DNSフィルタ機能では、FortiGuardのDNSでドメインの安全性(レーティング)の情報に基づき、 DNSのレスポンスをフィルタします。 FortigateをDNSサーバとして設定 DNSフィルタを有効にするには、Fortigate自身...
hirotanoblog.com
2020.11.14
>> 参考記事 : アプリケーションコントロールの設定と動作確認 FortiOS6.2.4
【Fortigate】アプリケーションコントロールの設定と動作確認 FortiOS6.2.4
この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、アプリケーションコントロールの動作を確認します。先に以下の記事をお読みいただくことをお勧めします。 >> 参考記事 : SSLインスペクション(deep...
hirotanoblog.com
2020.10.07
>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4
【Fortigate】SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4
現在のWeb通信の大半がhttps:// で始まるURLであり、SSLで暗号化されています。通信自体のセキュリティは確保されますが、FW等でアプリケーション制御やUTM(アンチウイルスなど)を実行する場合、データが暗号化されていることより、...
hirotanoblog.com
2020.10.03
>> 参考記事 : SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4
【Fortigate】SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4
現在のWeb通信の大半がhttps:// で始まるURLであり、SSLで暗号化されています。Fortigateでは、この暗号化された通信に対して、アンチウイルスや侵入検知を行うには、SSLインスペクション(deep-inspection)を...
hirotanoblog.com
2020.10.11

ロギングオプション

許可トラフィックをログ を有効にすることで、トラフィックログが取得できます。

  • セキュリティイベント:セキュリティプロファイルが適用されたトラフィックログのみ取得
  • すべてのセッション:すべてのトラフィックログが取得

トラフィックログは、ログ&レポート >> 転送トラフィック で確認できます。

注意暗黙の拒否のポリシーに対して、通信ログを出力したい場合は、暗黙の拒否のポリシーを選択し、IPv4違反トラフィックをログを有効にします。

スポンサーリンク

ファイアウォールポリシー設定例

設定例として、LAN(port2)からインターネット(port1)向けにMicrosoft Office365宛のHTTP/HTTPS通信を許可するポリシーを設定してみます。 送信元NATを有効にし、すべての通信ログを取得します。

OKをクリックすると、以下の通り、暗黙の拒否の上に登録されます。

ポリシーは上から照合され、ポリシーが適用されると、それ以後のポリシーは参照されません。追加されたポリシーは一番最後に照合されるので、優先的に照合させたい場合は、ポリシーの順番を変える必要があります。

ポリシーの順番を変える場合は、移動したいポリシーを選択して、移動したい先にドラッグ&ドロップします。

スポンサーリンク

名前無しでポリシーを設定する方法

デフォルトでは、上の設定の通り、ポリシーには名前を設定する必要があり、かつ、この名前は他ポリシーと同じではダメで、一意である必要があります。 そのため、名前の付与もルールなどを決めて管理する必要があります。

ただし、ポリシーに名前をつける必要がない場合は、名前必須の仕様を解除することができます

システム >> 表示機能設定 へ移動し、名前無しポリシーを許可 を有効にします。

これで名前の付与は必須でなくなります。

ここで注意点ですが、トラフィックログでは、名前を付与していないため、ポリシーIDのみで、どのポリシーに該当して通信制御したのか記録されます。

そのため、ファイアウォールポリシーにもあらかじめ名前のカラムでポリシーIDを表示するよう、変更しておくことをお勧めします。

ファイアウォールポリシー設定画面で、以下の通り、歯車をクリックします。

名前のチェックを外し、IDにチェックを入れ、適用をクリックします。

IDのカラムが一番右に追加されるので、一番左にドラッグ&ドロップすると以下の通り、わかりやすいと思います。

コメント