ファイアウォールの一番の役割は、特定のIPアドレスやアプリケーション、ポート番号のみに通信を制限し、制御することです。 ファイアウォールでは、デフォルトで全ての通信の転送は拒否され、許可したい通信をファイアウォールポリシーとして、追加していきます。
ここでは、Fortigateで設定するファイアウォールポリシーの設定方法を確認します。
ファイアウォールポリシーの設定
ポリシー&オブジェクト >> ファイアウォールポリシー へ移動すると、設定されているポリシーの一覧が確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/EAA67C8D-34BD-4CBC-BC11-D53A2DDD2FA9-2-1024x409.png)
上の表示はインタフェースペアビューという表示形式で、着信インターフェースと発信インターフェースにグループ化され、一覧表示されています。 右上に行くと、インタフェースペアビューとシーケンス別で表示を切り替えることができます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/E3F732D4-D164-436D-BC6F-73B50D0E8079.png)
シーケンス別に変更すると、着信・発信インタフェースのグループ化が解かれた表示となり、この表示の上から順番にポリシー適合がチェックされます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/EAA67C8D-34BD-4CBC-BC11-D53A2DDD2FA9-3-1024x409.png)
一番下に全ての着信・発信インタフェースに対して暗黙の拒否ががあるのを確認してください。これにより、設定したポリシーに適合しなかった通信は、全て拒否されます。
では、ファイアウォールポリシーの設定内容を確認します。 ポリシー&オブジェクト >> ファイアウォールポリシー へ移動し、新規作成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/58CAC013-FFB0-4482-8038-447CC50B9FE1.png)
では、ぞれぞれの設定を見ていきます。
名前
ポリシーに任意の名前を設定します。
ステートフルインスペクション
制限したい通信の着信・発信インタフェースを設定します。発信インタフェースから出力されたパケットの戻りパケットは、ステートフルインスペクションにより、自動的に通信許可されます。つまり、戻りパケット用の発信インタフェースから着信インタフェースへの許可ポリシーは不要です。
>> 参考記事 : ステートフルインスペクションと各種チューニングアドレスオブジェクト
制限したい送信元、宛先のアドレスをアドレスオブジェクトとして設定し、選択します。
>> 参考記事 : アドレスオブジェクト(サブネット・IP範囲・FQDN・ジオグラフィ)の設定と動作確認 FortiOS6.4.3サービスオブジェクト
設定したアドレスオブジェクトに対して制限したいサービスをサービスオブジェクトとして設定し、選択します。
>> 参考記事 : サービスオブジェクト、サービスグループの設定 FortiOS6.4.3アクション
通信を許可したい場合はACCEPT、拒否したい場合はDENYを選択します。
NAT
送信元NATをしたい場合に設定します。
>> 参考記事 : 送信元NATと動作確認 FortiOS6.4.3セキュリティプロファイル
アンチウイルスやWebフィルタなどを設定します。
>> 参考記事 : UTM(アンチウイルス)の設定と動作確認 FortiOS6.2.4ロギングオプション
許可トラフィックをログ を有効にすることで、トラフィックログが取得できます。
- セキュリティイベント:セキュリティプロファイルが適用されたトラフィックログのみ取得
- すべてのセッション:すべてのトラフィックログが取得
トラフィックログは、ログ&レポート >> 転送トラフィック で確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/227229AD-B141-458F-899D-A77BA9A81742-1-1024x178.png)
注意:暗黙の拒否のポリシーに対して、通信ログを出力したい場合は、暗黙の拒否のポリシーを選択し、IPv4違反トラフィックをログを有効にします。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/E0812864-8D1F-4FB7-B0F0-FF5956C4B34B-1.png)
ファイアウォールポリシー設定例
設定例として、LAN(port2)からインターネット(port1)向けにMicrosoft Office365宛のHTTP/HTTPS通信を許可するポリシーを設定してみます。 送信元NATを有効にし、すべての通信ログを取得します。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/B964C0F5-6709-462F-947D-7D9318812539-1.png)
OKをクリックすると、以下の通り、暗黙の拒否の上に登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/F0C83857-316F-49FD-869F-DF5DFC35B22E-1-1024x262.png)
ポリシーは上から照合され、ポリシーが適用されると、それ以後のポリシーは参照されません。追加されたポリシーは一番最後に照合されるので、優先的に照合させたい場合は、ポリシーの順番を変える必要があります。
ポリシーの順番を変える場合は、移動したいポリシーを選択して、移動したい先にドラッグ&ドロップします。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/87C5B414-7117-407A-BF78-A4994D8A055E-2-1024x266.png)
名前無しでポリシーを設定する方法
デフォルトでは、上の設定の通り、ポリシーには名前を設定する必要があり、かつ、この名前は他ポリシーと同じではダメで、一意である必要があります。 そのため、名前の付与もルールなどを決めて管理する必要があります。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/7F0BF76E-44CA-4DBB-83B4-7D81B682FC44.png)
ただし、ポリシーに名前をつける必要がない場合は、名前必須の仕様を解除することができます。
システム >> 表示機能設定 へ移動し、名前無しポリシーを許可 を有効にします。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/BEDB9BA9-4C00-4560-A840-B49831D937CC.png)
これで名前の付与は必須でなくなります。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/8EE98E23-C92A-45D2-B70A-E46D2936A2A5.png)
ここで注意点ですが、トラフィックログでは、名前を付与していないため、ポリシーIDのみで、どのポリシーに該当して通信制御したのか記録されます。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/2ABD8338-7F99-4DDF-B680-64F30D6D5A67-1024x408.png)
そのため、ファイアウォールポリシーにもあらかじめ名前のカラムでポリシーIDを表示するよう、変更しておくことをお勧めします。
ファイアウォールポリシー設定画面で、以下の通り、歯車をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/070CB4FF-151A-4B22-9F31-244EE76373CF.png)
名前のチェックを外し、IDにチェックを入れ、適用をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/9DEBDAE8-7B5E-4220-A80A-3A4879A13E57.png)
IDのカラムが一番右に追加されるので、一番左にドラッグ&ドロップすると以下の通り、わかりやすいと思います。
![](https://hirotanoblog.com/wp-content/uploads/2021/02/F3E52B79-722F-4007-86DC-B0DD7728CD96.png)
コメント