Fortigateでファイアウォールポリシーを設定する際に、特定のデバイスに対してサービス(ポート番号)を制限するのが一般的です。
よく使用されるサービスは、Fortigateで事前に定義されており、ポリシー&オブジェクト >> サービス に移動すると、HTTPやHTTPSなど、予め登録されている一覧が確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/427BE884-3208-418F-AC4C-713C7252862E.png)
ただし、制限したサービスが事前に定義されているサービスにない場合は、カスタムで設定する必要があります。
今回は、カスタムサービスとして、Zabbix agent(TCP/UDP 10050) とZabbix trapper(TCP/UDP 10051)の2つを設定し、それを、1つのグループ(Service_Group_Zabbix)にまとめる手順を確認します。
サービス設定
ポリシー&オブジェクト >> サービス に移動し、新規作成 >> サービスをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/06EB1AEB-1D7D-48FD-B828-3032E93F4842.png)
以下の画面で、新しいサービスであるZabbix agent(TCP/UDP 10050)を設定します。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/8E6EAF6B-DE66-4093-AAA7-1086B8E24ECD.png)
- 名前:任意の名前。今回はZabbix agentと設定
- プロトコルタイプ:TCP/UDP/SCTP を選択
- 宛先ポート:TCP/UDPの種別とポート番号の範囲(低値と高値)を設定。今回は、10050番なので、低値と高値とも10050で設定。+ボタンをクリックすることで、リストを追加することができます。
OKをクリックすると、以下の通り登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/CE0C210C-D667-4D43-8806-CDCDD3995307.png)
同じ要領で、Zabbix trapper(TCP/UDP 10051)も設定します。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/B02976AD-787B-4B92-9388-AEF43C89D6DF.png)
OKをクリックすると、以下のように登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/5CCF5167-D5C3-47E0-BE3E-0ECCDC8E7280-1.png)
上で設定した2つのサービスをサービスグループとして、1つのグループにまとめます。
サービスグループ設定
ポリシー&オブジェクト >> サービス に移動し、新規作成 >> サービスグループをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/24F04AEE-358C-47EE-8083-4622DDC2568A-1024x474.png)
以下の画面で、新しいサービスグループ(Service_Group_Zabbix)を作成し、Zabbix agentとZabbix trapperの2つを登録します。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/843A06CF-A0FB-4E56-A736-BE03FBEB9A3B.png)
- 名前:任意の名前。今回はService_Group_Zabbixと設定
- メンバー:+ボタンをクリックすると、エントリを選択の画面が表示されるので、Zabbix agentとZabbix trapperの2つを選択
OKをクリックすると、以下の通り、サービスグループが登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2021/01/EAFC7B33-2613-43D9-997C-19E62DD81713.png)
ファイアウォールポリシーで、Service_Group_Zabbixを設定することで、Zabbix agent(TCP/UDP 10050) とZabbix trapper(TCP/UDP 10051)の2つのサービスの通信が制限することができます。
コメント