FortiGate VMをOCI上で起動する

概要

パブリッククラウドにはFirewallのようなフィルタリング機能があり外部からの通信保護を行うことが可能です。一方従来のFirewallの操作に長けている場合やIPS/IDSのような高度なセキュリティ機能を利用する場合はマーケットプレイス等からFirewallを利用することになります。今回はFortigate VMをOCI上で稼働しました。
オンプレ機器と同等の操作を行えるため、オンプレ、クラウドのハイブリッドな運用にも向いています。

構成図

OCIにFortigateVMを作成し、サーバーセグメントのPrivate Subnetと外部向けPublic Subnetを配置します
FortigateVMへの管理アクセスはPrivate Subnetにリモートアクセス環境を準備して接続します

作成手順

イメージ取得

ガイドをもとにイメージを取得します
Downloading the FortiGate-VM virtual appliance deployment package

このケースではTrialを利用します
Trialは1ライセンス/アカウント、1コア、2GBメモリ等の利用制限がありますのでそれに沿って設定を行います
Permanent trial mode for FortiGate-VM

• FortiCloudにログインしてDownloads >> VM Imagesを選択してProductはFortigate, PlatformはOracleを選択してイメージをダウンロード
  2026年1月現在
  New deployment of FortiGate for Oracle [BYOL]
  FGT_VM64_OPC-v7.6.5.M-build3651-FORTINET.out.OpenXen.zip (115.01 MB)

• ダウンロードしたファイルを解凍してfortios.qcow2を作成

カスタムイメージ作成

• OCIにログインしてストレージ>>バケットを選択し、既存バケット(なければバケットを作成）にfortios.qcow2をアップロード
• コンピュート >>カスタム・イメージを選択、[イメージのインポート]を押下
• 以下を入力して[イメージのインポート]を押下
  • コンパートメント：任意
  • 名前：任意
  • オペレーティング・システム：Generic Linux
  • 「オブジェクト・ストレージ・バケットからインポート」を選択
  • ファイルアップロードしたコンパートメント、バケットおよびオブジェクト名を指定
  • イメージタイプ：QCOW2
  • 起動モード：準仮想化モード

Compute起動

Subnet作成

• 以下のサブネットを準備
  • 外部通信用のパブリックサブネット
  • サーバーおよびメンテナンス用のプライベートサブネット

NSG/Security List

• 以下のNSG/Security Listを準備
  実際の通信制御はFortigateで行いますので大まかな設定も問題ありません
  Security Listはサブネットに紐づけ、NSGは後程作成するComputeのVNICに紐づけします
  • 外部通信用のNSG/Security List
  • サーバーおよびメンテナンス用のNSG/Security List

Compute

• コンピュート>>インスタンスを選択し、[インスタンスの作成]を押下
• 以下を入力して[作成]を押下
  • 名前：任意
  • コンパートメント：任意
  • イメージ：カスタムイメージで作成したイメージを指定
  • シェイプ：OCPUは1,メモリは2GBを指定
    詳細OCPU設定で同時マルチスレッド(SMT)を有効化のチェックを外す(Trialは1コアの制限のため)
  • プライマリVNIC：プライベートサブネットを指定
  • プライベートIPv4アドレス：自動または手動割り当て
  • SSHキーの追加：SSHキーなし
  • ブート・ボリューム：デフォルト(46.6GB)
• 作成したComputeからネットワーキングを選択
• NSGを作成している場合はネットワーク・セキュリティ・グループの編集を押下してNSGを指定して[変更の保存]を押下
• アタッチされたVNICに表示されたVNICの右の横3点リーダーをクリックしてVNICの編集を選択
• ソース/宛先チェックのスキップにチェックして[変更の保存]を押下

VNIC追加

外部向けサブネット用のVNICを追加します

• 作成したComputeからネットワーキングを選択
• アタッチされたVNICの[VNICの作成]を押下
• 以下を入力して[送信]を押下
  • VNIC名：任意
  • コンパートメント：任意
  • 標準設定：サブネット
  • サブネット：外部向けサブネット
  • NSGを作成している場合はNSGを指定
  • ソース/宛先チェックのスキップにチェック
  • プライベートIPv4アドレス：自動または手動割り当て
  • パブリックIPv4アドレスの自動割当て：On

初回起動

Fortigateの初回設定を行います

• OCIにログインしてコンピュート>>インスタンスを選択し、作成したComputeを選択
• OCIDをコピー
• 自PCのブラウザからプライベートサブネットのIPアドレス宛にGUIアクセス
• 初回ログイン
  • username:admin
  • password:コピーしたインスタンスのOCID
• パスワードを変更
• 再度ログインするとActivation画面になるため以下を入力してOKを押下
  • Activation type: Evaluation license
  • Email/Password: FortiCloudのログイン情報
• 再起動後Setup画面を設定するとDashboardが表示されます

注意
Activationに失敗した場合はすでに登録済の可能性があるので、FortiCloudにログインして登録済HOSTを削除してからリトライしてください

ネットワーク設定

Interface追加設定

追加したVNICに関する設定を行います

• Fortigate GUI画面よりNetwork>>Interfacesを選択
• Port2を編集して追加したVNICのIPアドレスを設定

ルーティング

Internet向けルートおよび内部向けルートを設定します

• Fortigate GUI画面よりNetwork>>Static Routesを選択
• [新規作成]を押下して内部向けルートを設定
  • サブネット：内部CIDR
  • ゲートウェイアドレス：Port1のサブネットのゲートウェイアドレス
  • アドミニストレーティブ・ディスタンス：1
• [新規作成]を押下してInternet向けルートを設定
  • サブネット：0.0.0.0/0.0.0.0
  • ゲートウェイアドレス：Port2のサブネットのゲートウェイアドレス
  • アドミニストレーティブ・ディスタンス：1

注意
先に内部CIDRのルートを設定してください
先にInternet向けルートを設定するとGUIへのアクセスが切断されます

ポリシーおよびログ設定

オンプレ版と同様にポリシーおよびSyslogを含むログ設定を行います
その結果Syslog Serverに許可/拒否ログが転送されます
以下の例ではSyslog Serverに保管されたdenyとacceptのログです