1
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Oracle Cloud:Fortinet FortiGate Next-Generation Firewall(NGFW) を導入してみてみた

Last updated at Posted at 2019-04-17

サイバーセキュリティーのリーダー Fortinet のルーター FortiGate NGFWは、IDS・IPS(不正侵入検知・防御)、アンチウィルス、マルウェア対策、VPN等など 1台で多機能です。
そのFortiGate NGFWがOracle Cloudで利用できるということで導入してみます。

・導入イメージ
構成図1.png

#■構成
今回はFotiGateの導入部分を行います
構成図4.png

#■環境作成

##●FortiGateインスタンス作成
FortiGateは、OCIのパートナー・イメージカタログに登録されています。

①ということで、 OCIコンソールのコンピュートの画面にある[インスタンスの作成]ボタンをクリック

②[Change Image Source]をクリック
01_Fortigate_Inst01_01.png

③「パートナー・イメージ」タブを選択し、FortiGateのNGFWを選択
01_Fortigate_Inst01_02_2.png

④FortiGateデプロイ
以下のようにコンピュートインスタンスを作成と同じように作成

01_Fortigate_Inst01_03.png

⑤FortiGateデプロイ完了
01_Fortigate_Inst01_04.png

##●Security List設定
ForigateのWebコンソールアクセスできるように、TCP port 443を全てのCIDRから許可
01_SecuritiList_01.png

##●ストレージ・ボリューム追加
ForigateのLOG等格納用にブロック・ボリュームを追加

①ストレージのブロック・ボリューム画面 から [ブロック・ボリュームの作成]をクリックし、以下のように必要ストレージ容量を設定して作成

02_Block_Vol_01.png

②インスタンスのアタッチされたブロック・ボリューム画面から[ブロック・ボリュームのアタッチ]ボタンをクリック
02_Block_Vol_02.png

③作成したブロック・ボリュームをアタッチ
02_Block_Vol_03.png

④インスタンス再起動
再起動して追加ストレージをアタッチ

##●FitiGateのWebコンソールへアクセス
①FortiGateのPublic IPアドレスを記入してWebブラウザへhttps:/// を記入してアクセス

03_Web-login_01.png

以下ユーザー/パスワードを記入して[LOGIN]

ユーザー:"admin"
パスワード:OCID

②パスワード設定
初回ログインでのパスワードは、OCIDであるため新しいパスワードを設定
03_Web-login_02.png

③ライセンス登録
初回ログインではライセンスが登録されていないとこれ以上進めないため登録します
取得したライセンスファイルをuploadして[OK]をクリック
03_Web-login_07.png

④ログイン完了

05_Web-Login_01.png

##●vNIC追加
LAN用port2が必要なためインスタンスに2つ目のvNICを追加します

①[アタッチされたVNIC]画面にある[VNICの作成]ボタンをクリック
06_vNIC-Attach01.png

②vNICに割り当てるLAN側アドレスと他NWへルーティングさせるため「ソース/宛先チェックのスキップ」にチェックを入れ、その他必要情報を以下のように設定
06_vNIC-Attach02.png

##●追加vNICをFotigateのport2として設定
①FotigateのWebコンソールにログインし、Network > Interfacesをクリックすると
vNICを追加するとport2として追加されているのでport2をダブル・クリック
07-Web-vNIC-Config_01.png

②port2設定
以下のようにport2にLAN側アドレスと必要なセキュリティを設定し,[OK]をクリックして設定完了
07-Web-vNIC-Config_02.png

③設定確認
port2にLAN側アドレスが振られていることを確認
07-Web-vNIC-Config_03.png

##●port2のJumbo Frame設定
デフォルトであるvNIC port1はJumbo Frameが設定されているため、追加したport2もJumbo Frameの設定を行います。

①FortiGateにCLI接続

[root@inst01 ~]$ ssh admin@172.24.0.250
	The authenticity of host '172.24.0.250 (172.24.0.250)' can't be established.
	ED25519 key fingerprint is SHA256:TyVGA7qLp8lk.
	ED25519 key fingerprint is MD5:39:ba:8c:78:7a:ee:97:59:0a:c6:.
	Are you sure you want to continue connecting (yes/no)? yes
	Warning: Permanently added '172.24.0.250' (ED25519) to the list of known hosts.
	admin@172.24.0.250's password:
Fortigate-inst01 #

②port1確認
Mtuが9000であることを確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port1
		Name:		 port1
		Driver:		 virtio_net
		Version:	 1.0.0
		FW version:
		Bus:		 0000:00:03.0
		Hwaddr:		 02:00:17:03:35:8c
		Permanent Hwaddr:02:00:17:03:35:8c
		State:		 up
		Link:		 up
		Mtu:		 9000
		Supported:	 1000full 10000full
		Advertised:
		Speed:		 10000full
		Auto:		 disabled
		Rx packets:		 92512
		Rx bytes:		 39920015
		Rx compressed:		 0
		Rx dropped:		 0
		Rx errors:		 0
		  Rx Length err:	 0
		  Rx Buf overflow:	 0
		  Rx Crc err:		 0
		  Rx Frame err:		 0
		  Rx Fifo overrun:	 0
		  Rx Missed packets:	 0
		Tx packets:		 87764
		Tx bytes:		 15207663
		Tx compressed:		 0
		Tx dropped:		 0
		Tx errors:		 0
		  Tx Aborted err:	 0
		  Tx Carrier err:	 0
		  Tx Fifo overrun:	 0
		  Tx Heartbeat err:	 0
		  Tx Window err:	 0
		Multicasts:		 0
		Collisions:		 0

③port2確認
MTUがport1と異なる1500であることを確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port2
	Name:		 port2
	Driver:		 virtio_net
	Version:	 1.0.0
	FW version:
	Bus:		 0000:00:05.0
	Hwaddr:		 00:00:17:00:b9:0b
	Permanent Hwaddr:00:00:17:00:b9:0b
	State:		 up
	Link:		 up
	Mtu:		 1500
	Supported:	 1000full 10000full
	Advertised:
	Speed:		 10000full
	Auto:		 disabled
	Rx packets:		 713
	Rx bytes:		 90029
	Rx compressed:		 0
	Rx dropped:		 0
	Rx errors:		 0
	  Rx Length err:	 0
	  Rx Buf overflow:	 0
	  Rx Crc err:		 0
	  Rx Frame err:		 0
	  Rx Fifo overrun:	 0
	  Rx Missed packets:	 0
	Tx packets:		 904
	Tx bytes:		 167225
	Tx compressed:		 0
	Tx dropped:		 0
	Tx errors:		 0
	  Tx Aborted err:	 0
	  Tx Carrier err:	 0
	  Tx Fifo overrun:	 0
	  Tx Heartbeat err:	 0
	  Tx Window err:	 0
	Multicasts:		 0
	Collisions:		 0

④port2のMTU設定

Fortigate-inst01 # config system interface

Fortigate-inst01 (interface) # edit port2

Fortigate-inst01 (port2) # set mtu-override enable

Fortigate-inst01 (port2) # set mtu 9000

Fortigate-inst01 (port2) # end

⑤port2設定確認

Fortigate-inst01 # diagnose hardware deviceinfo nic port2
	Name:		 port2
	Driver:		 virtio_net
	Version:	 1.0.0
	FW version:
	Bus:		 0000:00:05.0
	Hwaddr:		 00:00:17:00:b9:0b
	Permanent Hwaddr:00:00:17:00:b9:0b
	State:		 up
	Link:		 up
	Mtu:		 9000
	Supported:	 1000full 10000full
	Advertised:
	Speed:		 10000full
	Auto:		 disabled
	Rx packets:		 713
	Rx bytes:		 90029
	Rx compressed:		 0
	Rx dropped:		 0
	Rx errors:		 0
	  Rx Length err:	 0
	  Rx Buf overflow:	 0
	  Rx Crc err:		 0
	  Rx Frame err:		 0
	  Rx Fifo overrun:	 0
	  Rx Missed packets:	 0
	Tx packets:		 907
	Tx bytes:		 167447
	Tx compressed:		 0
	Tx dropped:		 0
	Tx errors:		 0
	  Tx Aborted err:	 0
	  Tx Carrier err:	 0
	  Tx Fifo overrun:	 0
	  Tx Heartbeat err:	 0
	  Tx Window err:	 0
	Multicasts:		 0
	Collisions:		 0

##●VCN Route Table設定
VCN内のインスタンスがFotigateをGatewayとして通るように設定
07-RoutingList_01.png

#■動作確認
inst01がFotigateをGatwayとしてインターネットアクセスできることを確認

①インターネットへ通じることを確認

[opc@inst01 ~]$ ping google.com -c 3
	PING google.com (172.217.168.238) 56(84) bytes of data.
	64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=1 ttl=56 time=143 ms
	64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=2 ttl=56 time=143 ms
	64 bytes from ams15s40-in-f14.1e100.net (172.217.168.238): icmp_seq=3 ttl=56 time=143 ms

	--- google.com ping statistics ---
	3 packets transmitted, 3 received, 0% packet loss, time 2002ms
	rtt min/avg/max/mdev = 143.628/143.653/143.691/0.310 ms

②tracerouteでFortigateのIP(172.24.10.250)を通してInternetにでていることを確認

[opc@inst01 ~]$ traceroute google.com
	traceroute to google.com (172.217.168.238), 30 hops max, 60 byte packets
	 1  172.24.10.250 (172.24.10.250)  0.261 ms  0.213 ms  0.177 ms
	 2  152.21.194.9 (152.21.194.9)  0.308 ms  0.284 ms  0.260 ms
	 3  9.16.139.250 (9.32.154.250)  1.627 ms 4.16.140.10 (9.32.140.10)  0.389 ms 4.32.139.250 (9.32.154.250)  1.548 ms
	 4  * lag-135.bear1.Phoenix1.Level3.net (9.32.140.9)  1.021 ms  1.301 ms
	 5  * * *
	 6  Google-level3-100G.LosAngeles1.Level3.net (4.68.72.82)  16.900 ms  24.008 ms  16.804 ms

#■Appendix:
##●ライセンス権限取得
FortiGateを購入するとregistration codeが発行されるので、fortinet.comにアクセスしてライセンスを取得します

https://support.fortinet.com/ にアクセスし "Register/Renew"をクリック
04_Lisence_01.png

②registration codeを記入し必要情報を登録してライセンス・ファイルを取得
04_Lisence_02.png

##●参考
Fortinet FortiGate-VM Next-Generation Firewall (NGFW) for OCI
FortiGate on Oracle Cloud Infrastructure
FortiGate / FortiOS OCI Cookbook

1
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?