Edited at

Oracle Cloud:Fortinet FortiGate Next-Generation Firewall(NGFW) を導入してみてみた

サイバーセキュリティーのリーダー Fortinet のルーター FortiGate NGFWは、IDS・IPS(不正侵入検知・防御)、アンチウィルス、マルウェア対策、VPN等など 1台で多機能です。

そのFortiGate NGFWがOracle Cloudで利用できるということで導入してみます。

・導入イメージ


■構成

今回はFotiGateの導入部分を行います


■環境作成


●FortiGateインスタンス作成

FortiGateは、OCIのパートナー・イメージカタログに登録されています。

①ということで、 OCIコンソールのコンピュートの画面にある[インスタンスの作成]ボタンをクリック

②[Change Image Source]をクリック

③「パートナー・イメージ」タブを選択し、FortiGateのNGFWを選択

④FortiGateデプロイ

以下のようにコンピュートインスタンスを作成と同じように作成

⑤FortiGateデプロイ完了


●Security List設定

ForigateのWebコンソールアクセスできるように、TCP port 443を全てのCIDRから許可


●ストレージ・ボリューム追加

ForigateのLOG等格納用にブロック・ボリュームを追加

①ストレージのブロック・ボリューム画面 から [ブロック・ボリュームの作成]をクリックし、以下のように必要ストレージ容量を設定して作成

②インスタンスのアタッチされたブロック・ボリューム画面から[ブロック・ボリュームのアタッチ]ボタンをクリック

③作成したブロック・ボリュームをアタッチ

④インスタンス再起動

再起動して追加ストレージをアタッチ


●FitiGateのWebコンソールへアクセス

①FortiGateのPublic IPアドレスを記入してWebブラウザへhttps:/// を記入してアクセス

以下ユーザー/パスワードを記入して[LOGIN]

ユーザー:"admin"

パスワード:OCID

②パスワード設定

初回ログインでのパスワードは、OCIDであるため新しいパスワードを設定

③ライセンス登録

初回ログインではライセンスが登録されていないとこれ以上進めないため登録します

取得したライセンスファイルをuploadして[OK]をクリック

④ログイン完了


●vNIC追加

LAN用port2が必要なためインスタンスに2つ目のvNICを追加します

①[アタッチされたVNIC]画面にある[VNICの作成]ボタンをクリック

②vNICに割り当てるLAN側アドレスと他NWへルーティングさせるため「ソース/宛先チェックのスキップ」にチェックを入れ、その他必要情報を以下のように設定


●追加vNICをFotigateのport2として設定

①FotigateのWebコンソールにログインし、Network > Interfacesをクリックすると

vNICを追加するとport2として追加されているのでport2をダブル・クリック

②port2設定

以下のようにport2にLAN側アドレスと必要なセキュリティを設定し,[OK]をクリックして設定完了

③設定確認

port2にLAN側アドレスが振られていることを確認


●port2のJumbo Frame設定

デフォルトであるvNIC port1はJumbo Frameが設定されているため、追加したport2もJumbo Frameの設定を行います。

①FortiGateにCLI接続

[root@inst01 ~]$ ssh admin@172.24.0.250

The authenticity of host '172.24.0.250 (172.24.0.250)' can't be established.
ED25519 key fingerprint is SHA256:TyVGA7qLp8lk.
ED25519 key fingerprint is MD5:39:ba:8c:78:7a:ee:97:59:0a:c6:.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.24.0.250' (ED25519) to the list of known hosts.
admin@172.24.0.250's password:
Fortigate-inst01 #

②port1確認

Mtuが9000であることを確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port1

Name: port1
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:03.0
Hwaddr: 02:00:17:03:35:8c
Permanent Hwaddr:02:00:17:03:35:8c
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 92512
Rx bytes: 39920015
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 87764
Tx bytes: 15207663
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0

③port2確認

MTUがport1と異なる1500であることを確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port2

Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 1500
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 904
Tx bytes: 167225
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0

④port2のMTU設定

Fortigate-inst01 # config system interface


Fortigate-inst01 (interface) # edit port2

Fortigate-inst01 (port2) # set mtu-override enable

Fortigate-inst01 (port2) # set mtu 9000

Fortigate-inst01 (port2) # end

⑤port2設定確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port2

Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 907
Tx bytes: 167447
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0


●VCN Route Table設定

VCN内のインスタンスがFotigateをGatewayとして通るように設定


■動作確認

inst01がFotigateをGatwayとしてインターネットアクセスできることを確認

①インターネットへ通じることを確認

[opc@inst01 ~]$ ping google.com -c 3

PING google.com (172.217.168.238) 56(84) bytes of data.
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=1 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=2 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=3 ttl=56 time=143 ms

--- google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 143.628/143.653/143.691/0.310 ms

②tracerouteでFortigateのIP(172.24.10.250)を通してInternetにでていることを確認

[opc@inst01 ~]$ traceroute google.com

traceroute to google.com (172.217.168.238), 30 hops max, 60 byte packets
1 172.24.10.250 (172.24.10.250) 0.261 ms 0.213 ms 0.177 ms
2 152.21.194.9 (152.21.194.9) 0.308 ms 0.284 ms 0.260 ms
3 9.16.139.250 (9.32.154.250) 1.627 ms 4.16.140.10 (9.32.140.10) 0.389 ms 4.32.139.250 (9.32.154.250) 1.548 ms
4 * lag-135.bear1.Phoenix1.Level3.net (9.32.140.9) 1.021 ms 1.301 ms
5 * * *
6 Google-level3-100G.LosAngeles1.Level3.net (4.68.72.82) 16.900 ms 24.008 ms 16.804 ms


■Appendix:


●ライセンス権限取得

FortiGateを購入するとregistration codeが発行されるので、fortinet.comにアクセスしてライセンスを取得します

https://support.fortinet.com/ にアクセスし "Register/Renew"をクリック

②registration codeを記入し必要情報を登録してライセンス・ファイルを取得


●参考

Fortinet FortiGate-VM Next-Generation Firewall (NGFW) for OCI

FortiGate on Oracle Cloud Infrastructure

FortiGate / FortiOS OCI Cookbook