サイバーセキュリティーのリーダー Fortinet のルーター FortiGate NGFWは、IDS・IPS(不正侵入検知・防御)、アンチウィルス、マルウェア対策、VPN等など 1台で多機能です。
そのFortiGate NGFWがOracle Cloudで利用できるということで導入してみます。
#■環境作成
##●FortiGateインスタンス作成
FortiGateは、OCIのパートナー・イメージカタログに登録されています。
①ということで、 OCIコンソールのコンピュートの画面にある[インスタンスの作成]ボタンをクリック
③「パートナー・イメージ」タブを選択し、FortiGateのNGFWを選択
④FortiGateデプロイ
以下のようにコンピュートインスタンスを作成と同じように作成
##●Security List設定
ForigateのWebコンソールアクセスできるように、TCP port 443を全てのCIDRから許可
##●ストレージ・ボリューム追加
ForigateのLOG等格納用にブロック・ボリュームを追加
①ストレージのブロック・ボリューム画面 から [ブロック・ボリュームの作成]をクリックし、以下のように必要ストレージ容量を設定して作成
②インスタンスのアタッチされたブロック・ボリューム画面から[ブロック・ボリュームのアタッチ]ボタンをクリック
④インスタンス再起動
再起動して追加ストレージをアタッチ
##●FitiGateのWebコンソールへアクセス
①FortiGateのPublic IPアドレスを記入してWebブラウザへhttps:/// を記入してアクセス
以下ユーザー/パスワードを記入して[LOGIN]
ユーザー:"admin"
パスワード:OCID
②パスワード設定
初回ログインでのパスワードは、OCIDであるため新しいパスワードを設定
③ライセンス登録
初回ログインではライセンスが登録されていないとこれ以上進めないため登録します
取得したライセンスファイルをuploadして[OK]をクリック
④ログイン完了
##●vNIC追加
LAN用port2が必要なためインスタンスに2つ目のvNICを追加します
①[アタッチされたVNIC]画面にある[VNICの作成]ボタンをクリック
②vNICに割り当てるLAN側アドレスと他NWへルーティングさせるため「ソース/宛先チェックのスキップ」にチェックを入れ、その他必要情報を以下のように設定
##●追加vNICをFotigateのport2として設定
①FotigateのWebコンソールにログインし、Network > Interfacesをクリックすると
vNICを追加するとport2として追加されているのでport2をダブル・クリック
②port2設定
以下のようにport2にLAN側アドレスと必要なセキュリティを設定し,[OK]をクリックして設定完了
③設定確認
port2にLAN側アドレスが振られていることを確認
##●port2のJumbo Frame設定
デフォルトであるvNIC port1はJumbo Frameが設定されているため、追加したport2もJumbo Frameの設定を行います。
①FortiGateにCLI接続
[root@inst01 ~]$ ssh admin@172.24.0.250
The authenticity of host '172.24.0.250 (172.24.0.250)' can't be established.
ED25519 key fingerprint is SHA256:TyVGA7qLp8lk.
ED25519 key fingerprint is MD5:39:ba:8c:78:7a:ee:97:59:0a:c6:.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.24.0.250' (ED25519) to the list of known hosts.
admin@172.24.0.250's password:
Fortigate-inst01 #
②port1確認
Mtuが9000であることを確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port1
Name: port1
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:03.0
Hwaddr: 02:00:17:03:35:8c
Permanent Hwaddr:02:00:17:03:35:8c
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 92512
Rx bytes: 39920015
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 87764
Tx bytes: 15207663
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
③port2確認
MTUがport1と異なる1500であることを確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port2
Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 1500
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 904
Tx bytes: 167225
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
④port2のMTU設定
Fortigate-inst01 # config system interface
Fortigate-inst01 (interface) # edit port2
Fortigate-inst01 (port2) # set mtu-override enable
Fortigate-inst01 (port2) # set mtu 9000
Fortigate-inst01 (port2) # end
⑤port2設定確認
Fortigate-inst01 # diagnose hardware deviceinfo nic port2
Name: port2
Driver: virtio_net
Version: 1.0.0
FW version:
Bus: 0000:00:05.0
Hwaddr: 00:00:17:00:b9:0b
Permanent Hwaddr:00:00:17:00:b9:0b
State: up
Link: up
Mtu: 9000
Supported: 1000full 10000full
Advertised:
Speed: 10000full
Auto: disabled
Rx packets: 713
Rx bytes: 90029
Rx compressed: 0
Rx dropped: 0
Rx errors: 0
Rx Length err: 0
Rx Buf overflow: 0
Rx Crc err: 0
Rx Frame err: 0
Rx Fifo overrun: 0
Rx Missed packets: 0
Tx packets: 907
Tx bytes: 167447
Tx compressed: 0
Tx dropped: 0
Tx errors: 0
Tx Aborted err: 0
Tx Carrier err: 0
Tx Fifo overrun: 0
Tx Heartbeat err: 0
Tx Window err: 0
Multicasts: 0
Collisions: 0
##●VCN Route Table設定
VCN内のインスタンスがFotigateをGatewayとして通るように設定
#■動作確認
inst01がFotigateをGatwayとしてインターネットアクセスできることを確認
①インターネットへ通じることを確認
[opc@inst01 ~]$ ping google.com -c 3
PING google.com (172.217.168.238) 56(84) bytes of data.
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=1 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=2 ttl=56 time=143 ms
64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=3 ttl=56 time=143 ms
--- google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 143.628/143.653/143.691/0.310 ms
②tracerouteでFortigateのIP(172.24.10.250)を通してInternetにでていることを確認
[opc@inst01 ~]$ traceroute google.com
traceroute to google.com (172.217.168.238), 30 hops max, 60 byte packets
1 172.24.10.250 (172.24.10.250) 0.261 ms 0.213 ms 0.177 ms
2 152.21.194.9 (152.21.194.9) 0.308 ms 0.284 ms 0.260 ms
3 9.16.139.250 (9.32.154.250) 1.627 ms 4.16.140.10 (9.32.140.10) 0.389 ms 4.32.139.250 (9.32.154.250) 1.548 ms
4 * lag-135.bear1.Phoenix1.Level3.net (9.32.140.9) 1.021 ms 1.301 ms
5 * * *
6 Google-level3-100G.LosAngeles1.Level3.net (4.68.72.82) 16.900 ms 24.008 ms 16.804 ms
#■Appendix:
##●ライセンス権限取得
FortiGateを購入するとregistration codeが発行されるので、fortinet.comにアクセスしてライセンスを取得します
①https://support.fortinet.com/ にアクセスし "Register/Renew"をクリック
②registration codeを記入し必要情報を登録してライセンス・ファイルを取得
##●参考
・Fortinet FortiGate-VM Next-Generation Firewall (NGFW) for OCI
・FortiGate on Oracle Cloud Infrastructure
・FortiGate / FortiOS OCI Cookbook