サイバーセキュリティーのリーダー Fortinet のルーター FortiGate NGFW は、IDS・IPS(不正侵入検知・防御)、アンチウィルス、マルウェア対策、VPN 等など 1台で多機能です。
そのFortiGate NGFW が Oracle Cloud で利用できるということで導入してみます。
・導入イメージ
■ 構成
今回は FotiGate の導入部分を行います
■ 環境作成
● FortiGate インスタンス作成
FortiGateは、OCIのパートナー・イメージカタログに登録されています。
1) OCIコンソール画面
ということで、 OCIコンソールのコンピュートの画面にある[インスタンスの作成]ボタンをクリック
2) Create Compute Instance 画面
[Change Image Source]をクリック
3) すべてのイメージ参照画面
「パートナー・イメージ」タブを選択し、FortiGateのNGFWを選択
4) FortiGate デプロイ
以下のようにコンピュートインスタンスを作成と同じように作成
5) FortiGateデプロイ完了
● Security List 設定
Forigate の Web コンソールアクセスできるように、TCP port 443 を全てのCIDRから許可
● ストレージ・ボリューム追加
ForigateのLOG等格納用にブロック・ボリュームを追加
1) ブロック・ボリュームの作成画面
ストレージのブロック・ボリューム画面 から [ブロック・ボリュームの作成]をクリックし、以下のように必要ストレージ容量を設定して作成
2) ブロック・ボリューム画面
インスタンスのアタッチされたブロック・ボリューム画面から[ブロック・ボリュームのアタッチ]ボタンをクリック
3) ブロック・ボリュームのアタッチ画面
作成したブロック・ボリュームをアタッチ
4) インスタンス再起動
再起動して追加ストレージをアタッチ
● FitiGate の Web コンソールへアクセス
1) Fortigate ログイン画面
FortiGate の Public IP アドレスを記入して Webブラウザへ https:/// を記入してアクセス
以下ユーザー/パスワードを記入して [LOGIN]
ユーザー:"admin"
パスワード:OCID
2) Change Password 画面
パスワード設定
初回ログインでのパスワードは、OCID であるため新しいパスワードを設定
3) Licence 登録画面
初回ログインではライセンスが登録されていないとこれ以上進めないため登録します
取得したライセンスファイルを upload して [OK] をクリック
4) ログイン完了
● vNIC追加
LAN用 port2 が必要なためインスタンスに2つ目の vNIC を追加します
1) アタッチされたVNIC
[アタッチされたVNIC]画面にある[VNICの作成]ボタンをクリック
2) VNIC の作成画面
vNIC に割り当てる LAN 側アドレスと他NWへルーティングさせるため「ソース/宛先チェックのスキップ」にチェックを入れ、その他必要情報を以下のように設定
● 追加 vNIC を Fotigate の port2 として設定
1) Interfaces 画面
FotigateのWebコンソールにログインし、Network > Interfacesをクリックすると
vNICを追加するとport2として追加されているのでport2をダブル・クリック
2) Iport2 設定画面
以下のように port2 に LAN 側アドレスと必要なセキュリティを設定し,[OK] をクリックして設定完了
3) Iport2 設定確認
port2 に LAN側アドレスが振られていることを確認
● port2のJumbo Frame設定
デフォルトである vNIC port1 はJ umbo Frame が設定されているため、追加した port2 も Jumbo Frame の設定を行います。
1) FortiGate に CLI 接続
FortiGate に ssh接続
[root@inst01 ~]$ ssh admin@172.24.0.250
The authenticity of host '172.24.0.250 (172.24.0.250)' can't be established.
ED25519 key fingerprint is SHA256:TyVGA7qLp8lk.
ED25519 key fingerprint is MD5:39:ba:8c:78:7a:ee:97:59:0a:c6:.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.24.0.250' (ED25519) to the list of known hosts.
admin@172.24.0.250's password:
Fortigate-inst01 #
2) port1 MTU 確認
MTU が 9000 であることを確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port1
Name: port1
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:03.0
Hwaddr: 02:00:17:03:35:8c
Permanent Hwaddr:02:00:17:03:35:8c
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 92512
Rx bytes: 39920015
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 87764
Tx bytes: 15207663
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
3) port2 MTU 確認
MTU が port1 と異なる 1500 であることを確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port2
Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 1500
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 904
Tx bytes: 167225
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
4) port2 MTU 設定
port2 の MTU を 9000 へ設定
Fortigate-inst01 # config system interface
Fortigate-inst01 (interface) # edit port2
Fortigate-inst01 (port2) # set mtu-override enable
Fortigate-inst01 (port2) # set mtu 9000
Fortigate-inst01 (port2) # end
5) port2 MTU 設定確認
port2 設定確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port2
Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 907
Tx bytes: 167447
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
● VCN Route Table 設定
VCN内のインスタンスがFotigateをGatewayとして通るように設定
■ 動作確認
inst01がFotigateをGatwayとしてインターネットアクセスできることを確認
● インターネット接続確認
1) ping 確認
pingなどを使用してインターネットへ通じることを確認
[opc@inst01 ~]$ ping google.com -c 3
PING google.com (172.217.168.238) 56(84) bytes of data.
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=1 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=2 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=3 ttl=56 time=143 ms
--- google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 143.628/143.653/143.691/0.310 ms
2) traceroute 確認
traceroute で Fortigate の IP(172.24.10.250) を通して Internet にでていることを確認
[opc@inst01 ~]$ traceroute google.com
traceroute to google.com (172.217.168.238), 30 hops max, 60 byte packets
1 172.24.10.250 (172.24.10.250) 0.261 ms 0.213 ms 0.177 ms
2 152.21.194.9 (152.21.194.9) 0.308 ms 0.284 ms 0.260 ms
3 9.16.139.250 (9.32.154.250) 1.627 ms 4.16.140.10 (9.32.140.10) 0.389 ms 4.32.139.250 (9.32.154.250) 1.548 ms
4 * lag-135.bear1.Phoenix1.Level3.net (9.32.140.9) 1.021 ms 1.301 ms
5 * * *
6 Google-level3-100G.LosAngeles1.Level3.net (4.68.72.82) 16.900 ms 24.008 ms 16.804 ms
■ Appendix
● ライセンス権限取得
FortiGate を購入すると registration code が発行されるので、fortinet.com にアクセスしてライセンスを取得します
1) support.fortinet.come アクセス
https://support.fortinet.com にアクセスし "Register/Renew" をクリック
2) Registration Wizard 画面
registration code を記入し必要情報を登録してライセンス・ファイルを取得
● 参考
・ Fortinet FortiGate-VM Next-Generation Firewall (NGFW) for OCI
・ FortiGate on Oracle Cloud Infrastructure
・ FortiGate / FortiOS OCI Cookbook
・ FortiGate / FortiOS
・ Quickstart Deployment for OCI
・ FortiCare Technical Support