見出し画像

「FortiGate仮想アプライアンス」の簡単スタートアップをしてみた

柳 松 クラウドプラットフォーム技術部 クラウド技術グループ

2020年12月、パブリック・クラウドサービス「楽天クラウド Red Hat® OpenStack Platform」のセキュリティ対策のオプションサービス「FortiGate仮想アプライアンス」がリリースされました。
「FortiGate 仮想アプライアンス」は、米国のFortinet, Inc.が提供する次世代ファイアウォールの仮想アプライアンス製品です。

本記事は公式初期設定手順に基づいてVMを立ち上げてライセンス投入を行うまで紹介します。

0.事前準備

下記のデモ用環境構築の事前準備をしておきます。
 ● パブリックIP:例)133.237.7.73/32
 ● OSPアカウント:開通済
 ● FortiGateインスタンス名:例)Demo-FGVM
 ● ライセンスキーファイル:入手済

1.セキュリティグループの作成

下記3つのルールを追加することにより、セキュリティグループ FortiGate-UIを作成します。
ルール1
  ルール: HTTP
 接続相手: CIDR
 CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス(133.237.7.73/32)
ルール2
 ルール: HTTPS
 接続相手: CIDR
 CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス (133.237.7.73/32)
ルール3
 ルール: カスタム TCP ルール
 開放するポート: 8443
 接続相手: CIDR
 CIDR: FortiGate インスタンス設定者の利用するパブリックIPアドレス(133.237.7.73/32)

画像1

2.FortiGate インスタンスの作成

以下デモインスタンスのパラメータを使用します。
 ■ インスタンス名:Demo-FGVM
 ■ アベイラビリティーゾーン:JP3-1-2
 ■ インスタンス数:1
 ■ ブートソース:イメージ
 ■ ボリュームサイズ:40GB (下のイメージを選択するとデフォルト40GB自動的になります)
 ■ イメージ: FortiGate 6.4.4 (build 1803) 64bit (2020/12時点の最新版)
 ■ フレーバー: ライセンスに合わせて指定
 ■ ネットワーク: FortiGate インスタンスを割り当てるネットワーク名
 ■ セキュリティーグループ: FortiGate-UI

3.FortiGate インスタンスへのFloating IPの割り当て

 ■ FortiGate インスタンス用の Floating IP を取得します。
 ■ FortiGate インスタンス用のFloating IPを Floating IP インスタンスへ割り当てます。
作成済のインスタンス例は下記のように表示されます。

画像2

4.管理者用パスワードの設定

 ■ インスタンスのコンソールを開きます。
 ■ Demo-FGVMインスタンスの「アクション」ドロップダウンリストから「コンソール」を選択します。
 ■ ログインプロンプトが表示されるので、admin を入力します。
 ■ Password: が表示されたら、何も入力しないで Enter キーを押下します。
 ■ New Password: が表示されたら、管理者パスワードを入力します。
 ■ Confirm Password: が表示されたら、上記で入力したパスワードを入力します。
 ■ FortiGate-VM64-KVM # のプロンプトが表示されたら設定成功です。

画像3

5.Webアクセスの許可

 ■ 上記の手順で開いたコンソール上で以下のコマンドを入力します。
  # config system interface
  # edit port1
 ■ 現在の設定を確認します。
  # show
以下の応答が返ってくるので allowaccess 部分をメモします。

画像4

 ■ allowaccess に http を追加します。
  # set allowaccess ping https ssh fgfm http
  # show

画像5

 ■ 設定を完了します。
  # end

6.FortiGate 管理画面へのアクセス

 ■ Webブラウザで http://<FortiGate インスタンスのFloating IP>/ へアクセスします。
 ■ 次の資格情報で管理者としてログインします。
 ■ ユーザ名: admin
 ■ パスワード: 前の手順で設定した管理者用パスワード

画像6

7.FortiGateインスタンスの初期設定

インスタンス作成にフレーバーを C01M002-G1 以下を指定していた場合は、ログイン後に初期設定のウィザードを開始します。
※1vCPU、2048MBメモリ以下の場合は、15日間評価版ライセンスが適用されます。

画像7

 ■ Begin ボタンを押します。
 ■ ホスト名を入力し、 OK ボタンを押します。
 ■ Dashboard の設定は Optional で OK ボタンを押します。
 ■ FortiGate の機能説明が始まります。画面下の Don't show again をセットし、 OK ボタンを押します。
 ■ 画面右上の Notification (鈴マーク) をクリックすると、 VM evaluation license expires soon と表示されるのでクリックします。

画像8

 ■ ライセンスキーファイルをアップロードし、登録します。FortiGate インスタンスは自動的にリブートします。

画像9

 ■ リブート後、 http://<FortiGateインスタンスのFloatingIP>/ から再度ログインします。

フレーバーを C01M002-G1 より大きなものを指定した場合、上記は表示されず、FortiGate VM License 画面が表示されます。この場合は以下の通り実施してください。

画像10

 ■ フレーバーにあった適切なライセンスキーファイルをアップロードし、登録します。FortiGate インスタンスは自動的にリブートします。
 ■ リブート後、 http://<FortiGateインスタンスのFloatingIP>/ から再度ログインします。
 ■ System > Setting をクリックします。
 ■ Host name にホスト名を入力し、 Apply ボタンを押します。

画像11

8.管理用HTTPSポートの変更

管理用 HTTPS ポートは 443/tcp に設定されていますが、SSL-VPN用のポートと競合しています。管理用 HTTPS のポートを 8443/tcp へ変更します。
 ■ 左のメニューから System > Settings をクリックします。
 ■ Administration Settings の HTTPS port を 8443 へ変更し、 Apply ボタンを押します。

画像12

 ■ HTTPSにて管理画面 (https://<FortiGateインスタンスのFloatingIP>:8443/) へアクセスします。

9.管理用インターフェースへの接続制限

管理用インタフェース(GUI)やSSHログインの接続元IPアドレスを制限します。
 ■ 左のメニューからSystem > Administrators をクリックします。
 ■ アカウント admin を選択し、 Edit ボタンを押します。

画像13

■ Restrict login to trusted hosts をクリックして有効化します。
■ 管理用インターフェースに接続するときのIPアドレスを追加します。
■ OKボタンを押します。

画像14

10.インスタンスの Spoofing 対策機能の無効化

インスタンスのポートには Spoofing 対策機能があり、インスタンスの持つ IP アドレス宛もしくは IP アドレスからのパケットのみポートを通過することができます。このままではインスタンスをルーターとして使用することができませんので Spoofing 対策機能を無効化します。
 ■ 「楽天クラウド Red Hat® OpenStack Platform 」へログインし、「ネットワーク」プルダウンメニューから「ネットワーク」を選択し、ネットワークの一覧を表示します。
 ■ ネットワークの一覧から FortiGate インスタンスが接続しているネットワーク名をクリックします。
 ■ 「ポート」タブをクリックし、ネットワークに所属するポートの一覧を表示します。
 ■ FortiGate ポートのアクションからポートの編集を選択します。ポートの一覧から FortiGate インスタンスのポートを判別するには、そのポートの IP アドレスが FortiGate インスタンスの IP アドレスと等しいものを探します。
 ■ ポートセキュリティのチェックを外し、更新ボタンを押します。この設定により FortiGate インスタンスからセキュリティグループ FortiGate-UI が外れます。

画像15

11.FortiGate-VMインストールが完了しました。

まとめ

楽天クラウドの仮想環境下で「FortiGate仮想アプライアンス」は、リーズナブルにご利用いただけます。
この機会にぜひ、お問い合わせいただければと思います。

楽天クラウド:https://cloud.rakuten.co.jp/

画像16

柳 松
外資系ITメーカー入社、ストレージソリューションSEから始め、アーキテクト、プレセールス、ビジネスデベロップメントを経験。インフラ系から現職のクラウド系新規サービス開発にチャレンジ中。最近の趣味は読書。特に歴史と社会に興味を持っている。理科と違って、正解のない世界を面白く感じている。


スキ、ありがとうございます!
3
中のひとの日常や、お客様のデジタル・トランスフォーメーションのお役に立つかもしれない?情報を発信していきます。