「FortiGate仮想アプライアンス」の簡単スタートアップをしてみた
柳 松 クラウドプラットフォーム技術部 クラウド技術グループ
2020年12月、パブリック・クラウドサービス「楽天クラウド Red Hat® OpenStack Platform」のセキュリティ対策のオプションサービス「FortiGate仮想アプライアンス」がリリースされました。
「FortiGate 仮想アプライアンス」は、米国のFortinet, Inc.が提供する次世代ファイアウォールの仮想アプライアンス製品です。
本記事は公式初期設定手順に基づいてVMを立ち上げてライセンス投入を行うまで紹介します。
0.事前準備
下記のデモ用環境構築の事前準備をしておきます。
● パブリックIP:例)133.237.7.73/32
● OSPアカウント:開通済
● FortiGateインスタンス名:例)Demo-FGVM
● ライセンスキーファイル:入手済
1.セキュリティグループの作成
下記3つのルールを追加することにより、セキュリティグループ FortiGate-UIを作成します。
ルール1
ルール: HTTP
接続相手: CIDR
CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス(133.237.7.73/32)
ルール2
ルール: HTTPS
接続相手: CIDR
CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス (133.237.7.73/32)
ルール3
ルール: カスタム TCP ルール
開放するポート: 8443
接続相手: CIDR
CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス(133.237.7.73/32)
2.FortiGate インスタンスの作成
以下デモインスタンスのパラメータを使用します。
■ インスタンス名:Demo-FGVM
■ アベイラビリティーゾーン:JP3-1-2
■ インスタンス数:1
■ ブートソース:イメージ
■ ボリュームサイズ:40GB (下のイメージを選択するとデフォルト40GB自動的になります)
■ イメージ: FortiGate 6.4.4 (build 1803) 64bit (2020/12時点の最新版)
■ フレーバー: ライセンスに合わせて指定
■ ネットワーク: FortiGate インスタンスを割り当てるネットワーク名
■ セキュリティーグループ: FortiGate-UI
3.FortiGate インスタンスへのFloating IPの割り当て
■ FortiGate インスタンス用の Floating IP を取得します。
■ FortiGate インスタンス用のFloating IPを Floating IP インスタンスへ割り当てます。
作成済のインスタンス例は下記のように表示されます。
4.管理者用パスワードの設定
■ インスタンスのコンソールを開きます。
■ Demo-FGVMインスタンスの「アクション」ドロップダウンリストから「コンソール」を選択します。
■ ログインプロンプトが表示されるので、admin を入力します。
■ Password: が表示されたら、何も入力しないで Enter キーを押下します。
■ New Password: が表示されたら、管理者パスワードを入力します。
■ Confirm Password: が表示されたら、上記で入力したパスワードを入力します。
■ FortiGate-VM64-KVM # のプロンプトが表示されたら設定成功です。
5.Webアクセスの許可
■ 上記の手順で開いたコンソール上で以下のコマンドを入力します。
# config system interface
# edit port1
■ 現在の設定を確認します。
# show
以下の応答が返ってくるので allowaccess 部分をメモします。
■ allowaccess に http を追加します。
# set allowaccess ping https ssh fgfm http
# show
■ 設定を完了します。
# end
6.FortiGate 管理画面へのアクセス
■ Webブラウザで http://<FortiGate インスタンスのFloating IP>/ へアクセスします。
■ 次の資格情報で管理者としてログインします。
■ ユーザ名: admin
■ パスワード: 前の手順で設定した管理者用パスワード
7.FortiGateインスタンスの初期設定
インスタンス作成にフレーバーを C01M002-G1 以下を指定していた場合は、ログイン後に初期設定のウィザードを開始します。
※1vCPU、2048MBメモリ以下の場合は、15日間評価版ライセンスが適用されます。
■ Begin ボタンを押します。
■ ホスト名を入力し、 OK ボタンを押します。
■ Dashboard の設定は Optional で OK ボタンを押します。
■ FortiGate の機能説明が始まります。画面下の Don't show again をセットし、 OK ボタンを押します。
■ 画面右上の Notification (鈴マーク) をクリックすると、 VM evaluation license expires soon と表示されるのでクリックします。
■ ライセンスキーファイルをアップロードし、登録します。FortiGate インスタンスは自動的にリブートします。
■ リブート後、 http://<FortiGateインスタンスのFloatingIP>/ から再度ログインします。
フレーバーを C01M002-G1 より大きなものを指定した場合、上記は表示されず、FortiGate VM License 画面が表示されます。この場合は以下の通り実施してください。
■ フレーバーにあった適切なライセンスキーファイルをアップロードし、登録します。FortiGate インスタンスは自動的にリブートします。
■ リブート後、 http://<FortiGateインスタンスのFloatingIP>/ から再度ログインします。
■ System > Setting をクリックします。
■ Host name にホスト名を入力し、 Apply ボタンを押します。
8.管理用HTTPSポートの変更
管理用 HTTPS ポートは 443/tcp に設定されていますが、SSL-VPN用のポートと競合しています。管理用 HTTPS のポートを 8443/tcp へ変更します。
■ 左のメニューから System > Settings をクリックします。
■ Administration Settings の HTTPS port を 8443 へ変更し、 Apply ボタンを押します。
■ HTTPSにて管理画面 (https://<FortiGateインスタンスのFloatingIP>:8443/) へアクセスします。
9.管理用インターフェースへの接続制限
管理用インタフェース(GUI)やSSHログインの接続元IPアドレスを制限します。
■ 左のメニューからSystem > Administrators をクリックします。
■ アカウント admin を選択し、 Edit ボタンを押します。
■ Restrict login to trusted hosts をクリックして有効化します。
■ 管理用インターフェースに接続するときのIPアドレスを追加します。
■ OKボタンを押します。
10.インスタンスの Spoofing 対策機能の無効化
インスタンスのポートには Spoofing 対策機能があり、インスタンスの持つ IP アドレス宛もしくは IP アドレスからのパケットのみポートを通過することができます。このままではインスタンスをルーターとして使用することができませんので Spoofing 対策機能を無効化します。
■ 「楽天クラウド Red Hat® OpenStack Platform 」へログインし、「ネットワーク」プルダウンメニューから「ネットワーク」を選択し、ネットワークの一覧を表示します。
■ ネットワークの一覧から FortiGate インスタンスが接続しているネットワーク名をクリックします。
■ 「ポート」タブをクリックし、ネットワークに所属するポートの一覧を表示します。
■ FortiGate ポートのアクションからポートの編集を選択します。ポートの一覧から FortiGate インスタンスのポートを判別するには、そのポートの IP アドレスが FortiGate インスタンスの IP アドレスと等しいものを探します。
■ ポートセキュリティのチェックを外し、更新ボタンを押します。この設定により FortiGate インスタンスからセキュリティグループ FortiGate-UI が外れます。
11.FortiGate-VMインストールが完了しました。
まとめ
楽天クラウドの仮想環境下で「FortiGate仮想アプライアンス」は、リーズナブルにご利用いただけます。
この機会にぜひ、お問い合わせいただければと思います。
楽天クラウド:https://cloud.rakuten.co.jp/
柳 松
外資系ITメーカー入社、ストレージソリューションSEから始め、アーキテクト、プレセールス、ビジネスデベロップメントを経験。インフラ系から現職のクラウド系新規サービス開発にチャレンジ中。最近の趣味は読書。特に歴史と社会に興味を持っている。理科と違って、正解のない世界を面白く感じている。