FortiGate ™ バージ ョ ン 4.0 MR2 管理ガ イ ド 本書は FortiOS 4.0 MR2 の リ リ ース直前に発行 さ れま し た。 し たが っ て、 その内容は発行日に基 づ く 情 報 に 限 ら れ ま す。 本書 は 2010 年 5 月 に 改訂 さ れ る 予 定 で す。 詳細 に つ い て は [email protected] ま でお問い合わせ く だ さ い。 FortiGate 管理ガ イ ド バージ ョ ン 4.0 MR2 2009 年 3 月 26 日 01-420-89802-20100326 © Copyright 2010 Fortinet, Inc. All rights reserved. フ ォ ーテ ィ ネ ッ ト 社の書面に よ る事前の許可な く 、 電子 的、 自動的、 手動式、 光学式、 その他いかな る方法、 またいかな る目的において も、 文章、 事例、 図表な ど本書の全部または一部を複製、 転載、 頒布、 翻訳する こ と を禁 じ ます。 商標 Dynamic Threat Prevention System (DTPS)、 APSecure、 FortiASIC、 FortiBIOS、 FortiBridge、 FortiClient、 FortiGate®、 FortiGate Unified Threat Management System、 FortiGuard®、 FortiGuard-Antispam、 FortiGuardAntivirus、 FortiGuard-Intrusion、 FortiGuard-Web、 FortiLog、 FortiAnalyzer、 FortiManager、 Fortinet®、 FortiOS、 FortiPartner、 FortiProtect、 FortiReporter、 FortiResponse、 FortiShield、 FortiVoIP、 お よび FortiWiFi は、 米 国またはその他の国々、 ある いはその両方におけ る Fortinet, Inc. の商標です。 本書に記載 さ れた実際の社 名お よび製品名は、 各社の商標です。 目次 目次 はじめに ...................................................................................................................................................... 17 フォーティネット製品 ............................................................................................................................................................... 17 作業を開始する前に .................................................................................................................................................................... 18 このガイドの構成 ......................................................................................................................................................................... 18 ドキュメントの規則 .................................................................................................................................................................... 20 IP ア ド レ ス............................................................................................................................................................................... 20 注意、 注記、 および ヒ ン ト ............................................................................................................................................. 20 表記規則 .................................................................................................................................................................................... 21 CLI コ マ ン ド 構文.................................................................................................................................................................. 21 フォーティネット製品の登録................................................................................................................................................. 22 フォーティネット製品の使用許諾契約書........................................................................................................................ 23 カスタマ サービスおよびテクニカル サポート........................................................................................................... 23 トレーニング ................................................................................................................................................................................... 23 フォーティネット ドキュメント ........................................................................................................................................ 23 ツールおよび ド キ ュ メ ン ト CD..................................................................................................................................... 23 Fortinet Knowledge Base ................................................................................................................................................... 23 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト に関する コ メ ン ト ................................................................ 24 Web ベース マネージャ ...................................................................................................................... 25 一般的な Web ベース マネージャ タスク ....................................................................................................................... 25 Web ベース マネージ ャ への接続 ................................................................................................................................. 26 現在の設定の変更 ................................................................................................................................................................ 26 FortiGate の管理者パスワー ド の変更........................................................................................................................ 27 Web ベース マネージ ャ の言語の変更 ....................................................................................................................... 27 FortiGate ユニ ッ ト への管理ア ク セスの変更 ......................................................................................................... 27 Web ベース マネージ ャ のア イ ド ル タ イムアウ ト の変更............................................................................... 28 VDOM の切 り 替え ................................................................................................................................................................ 28 Web ベース マネージ ャ から FortiGate の CLI への接続................................................................................... 28 カ ス タ マ サポー ト への接続 ........................................................................................................................................... 28 FortiGate オンラインヘルプの使用 .................................................................................................................................... 28 オ ン ラ イ ンヘルプの検索.................................................................................................................................................. 30 Web ベース マネージャ ページ ............................................................................................................................................ 31 Web ベース マネージ ャ メ ニ ュ ーの使用 ................................................................................................................. 31 Web ベース マネージ ャ リ ス ト の使用 ...................................................................................................................... 32 Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加 ........................................................................................ 32 Web ベース マネージ ャ リ ス ト に対するページ コ ン ト ロールの使用 .................................................... 34 表示 さ れる カ ラ ムのカ ラ ム設定を使用 し た制御 ................................................................................................ 34 カ ラ ム設定 と 組み合わせた フ ィ ル タ の使用 .......................................................................................................... 35 システム ダッシュボード .................................................................................................................. 37 ダッシュボードの概要 ............................................................................................................................................................... 38 ダ ッ シ ュ ボー ド へのウ ィ ジ ェ ッ ト の追加 ............................................................................................................... 38 VDOM ダ ッ シ ュ ボー ド と グローバル ダ ッ シ ュ ボー ド ..................................................................................... 39 [System Information]................................................................................................................................................................... 39 シ ステム時刻の設定 ........................................................................................................................................................... 41 FortiGate ユニ ッ ト のホス ト 名の変更........................................................................................................................ 41 FortiGate の変更.................................................................................................................................................................... 42 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 3 目次 [License Information]................................................................................................................................................................... 42 [Unit Operation] ............................................................................................................................................................................. 44 [System Resources]..................................................................................................................................................................... 46 動作履歴の表示 ..................................................................................................................................................................... 46 警告メッセージ コンソール.................................................................................................................................................... 47 [Log and Archive Statistics]................................................................................................................................................... 47 [Statistics] ウ ィ ジ ェ ッ ト での DLP アー カ イ ブ情報の表示 ........................................................................... 48 ア タ ッ ク ログの表示.......................................................................................................................................................... 49 [CLI Console] ................................................................................................................................................................................... 50 [Top Sessions]................................................................................................................................................................................. 50 [Top Viruses] ................................................................................................................................................................................... 52 [Top Attacks] ................................................................................................................................................................................. 53 [Traffic History]............................................................................................................................................................................. 53 [Top Policy Usage] ....................................................................................................................................................................... 54 [DLP Archive Usage] .................................................................................................................................................................. 55 [RAID Monitor]................................................................................................................................................................................. 55 [Top Application Usage]............................................................................................................................................................ 57 [Disk Status] .................................................................................................................................................................................... 58 [P2P Usage] ..................................................................................................................................................................................... 59 [Per-IP Bandwidth Usage]......................................................................................................................................................... 59 [VoIP Usage] .................................................................................................................................................................................... 59 [IM Usage] ......................................................................................................................................................................................... 59 [FortiGuard]...................................................................................................................................................................................... 60 ................................................................................................................................................................................................................. 60 ファームウェア管理方法.................................................................................................................... 61 設定のバックアップ .................................................................................................................................................................... 62 Web ベース マネージ ャ での設定のバ ッ ク ア ッ プ ............................................................................................... 62 CLI を使用 し た設定のバ ッ ク ア ッ プ .......................................................................................................................... 62 USB キーへの設定のバ ッ ク ア ッ プ ............................................................................................................................. 63 アップグレードの前のファームウェアのテスト ......................................................................................................... 64 FortiGate ユニットのアップグレード ............................................................................................................................... 65 Web ベース マネージ ャ での FortiOS 4.0 へのア ッ プグレー ド ..................................................................... 65 CLI を使用 し た FortiOS 4.0 へのア ッ プグ レー ド ................................................................................................ 66 ア ッ プグレー ド の確認....................................................................................................................................................... 67 以前のファームウェア イメージへの復帰 ...................................................................................................................... 68 Web ベース マネージ ャ での以前のフ ァ ームウ ェ アへのダウングレー ド ............................................. 68 ダウングレー ド の確認....................................................................................................................................................... 69 CLI を使用 し た以前のフ ァ ームウ ェ アへのダウング レー ド ......................................................................... 69 設定の復元 ........................................................................................................................................................................................ 71 Web ベース マネージ ャ での設定の復元................................................................................................................... 71 CLI での設定の復元............................................................................................................................................................. 71 4 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 バーチャル ドメインの使用 ............................................................................................................. 73 バーチャル ドメイン................................................................................................................................................................... 73 VDOM の利点 .......................................................................................................................................................................... 73 VDOM の設定 .......................................................................................................................................................................... 74 グローバル設定 ..................................................................................................................................................................... 76 バーチャル ドメインの有効化 ............................................................................................................................................... 77 VDOM とグローバル設定の設定 ........................................................................................................................................... 78 VDOM ラ イ セ ン ス ................................................................................................................................................................ 79 新 し い VDOM の作成 .......................................................................................................................................................... 80 VDOM の無効化 ..................................................................................................................................................................... 80 VDOM と グローバル設定の操作................................................................................................................................... 81 VDOM へのイ ン タ フ ェ ースの追加 .............................................................................................................................. 82 VDOM 間 リ ン ク ..................................................................................................................................................................... 82 VDOM へのイ ン タ フ ェ ースの割 り 当て .................................................................................................................... 83 VDOM への管理者の割 り 当て ........................................................................................................................................ 84 管理 VDOM の変更 ............................................................................................................................................................... 84 VDOM 間の切 り 替え............................................................................................................................................................ 85 VDOM のリソース制限の設定 ................................................................................................................................................ 85 VDOM のグローバル リ ソ ース制限の設定 ............................................................................................................ 86 個々の VDOM の リ ソ ース使用量の設定................................................................................................................... 86 システム - ネットワーク .................................................................................................................... 89 インタフェースの設定 ............................................................................................................................................................... 89 ス イ ッ チ モー ド .................................................................................................................................................................... 92 イ ン タ フ ェ ースの設定....................................................................................................................................................... 92 VLAN イ ン タ フ ェ ースの追加 ......................................................................................................................................... 95 ループバ ッ ク イ ン タ フ ェ ースの追加 ....................................................................................................................... 95 802.3ad アグ リ ゲー ト イ ン タ フ ェ ースの追加....................................................................................................... 96 冗長イ ン タ フ ェ ースの追加............................................................................................................................................. 97 イ ン タ フ ェ ース上での DHCP の設定......................................................................................................................... 98 イ ン タ フ ェ ース上での PPPoE の設定....................................................................................................................... 99 イ ン タ フ ェ ース上でのダ イ ナ ミ ッ ク DNS の設定 ........................................................................................... 100 仮想 IPSec イ ン タ フ ェ ースの設定 ........................................................................................................................... 100 イ ン タ フ ェ ースへの管理ア ク セスの設定 ............................................................................................................ 101 ゲー ト ウ ェ イ負荷分散のためのイ ン タ フ ェ ース ス テー タ ス検出の設定 .......................................... 101 イ ン タ フ ェ ースの MTU パケ ッ ト サイズの変更 .............................................................................................. 102 イ ン タ フ ェ ースへのセ カ ン ダ リ IP ア ド レ スの追加....................................................................................... 103 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの追加 ............................................................................................... 105 FortiGate イ ン タ フ ェ ースへの sFlow エージ ェ ン ト の追加 ......................................................................... 105 ゾーンの設定 ................................................................................................................................................................................ 106 モデム インタフェースの設定 ............................................................................................................................................ モデム設定の設定 ............................................................................................................................................................. 冗長モー ド の設定 ............................................................................................................................................................. ス タ ン ド ア ロ ン モー ド の設定 ................................................................................................................................... モデム接続のためのフ ァ イ アウ ォ ール ポ リ シーの追加............................................................................. モデムの接続 と 接続解除............................................................................................................................................... モデム状態の確認 ............................................................................................................................................................. 107 108 110 110 111 111 112 ネットワーク オプションの設定 ....................................................................................................................................... 112 DNS サーバ ........................................................................................................................................................................... 113 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 5 目次 FortiGate DNS サービスの設定 .......................................................................................................................................... 分割 DNS について ........................................................................................................................................................... FortiGate DNS サービ スの設定................................................................................................................................... FortiGate DNS デー タ ベースの設定......................................................................................................................... 113 113 114 116 Explicit Web プロキシの設定 ............................................................................................................................................... 117 Explicit Web プ ロキシ設定の設定 .............................................................................................................................. 118 WCCP の設定................................................................................................................................................................................ 120 ルーティング テーブル ( トランスペアレント モード )....................................................................................... 120 システム - 無線..................................................................................................................................... 123 FortiWiFi の無線インタフェース........................................................................................................................................ 123 チャネル割り当て ...................................................................................................................................................................... IEEE 802.11a のチ ャ ネル番号 ...................................................................................................................................... IEEE 802.11b のチ ャ ネル番号 ...................................................................................................................................... IEEE 802.11g のチ ャ ネル番号 ...................................................................................................................................... 124 124 124 125 無線の設定 ..................................................................................................................................................................................... 126 無線イ ン タ フ ェ ースの追加.......................................................................................................................................... 127 無線 MAC フィルタ ................................................................................................................................................................... 128 MAC フ ィ ル タ リ ス ト の管理....................................................................................................................................... 129 無線モニタ ..................................................................................................................................................................................... 129 悪意のある AP の検出 ............................................................................................................................................................. 130 無線ア ク セス ポ イ ン ト の表示 ................................................................................................................................... 130 システム - DHCP サーバ .................................................................................................................. 133 FortiGate DHCP サーバおよびリレー............................................................................................................................. 133 DHCP サービスの設定 ............................................................................................................................................................. 134 DHCP リ レー エージ ェ ン ト と し てのイ ン タ フ ェ ースの設定 .................................................................... 134 DHCP サーバの設定 ......................................................................................................................................................... 134 アドレス リースの表示........................................................................................................................................................... 136 特定のク ラ イ ア ン ト に対する IP ア ド レ スの予約 ........................................................................................... 136 システム - 設定..................................................................................................................................... 137 6 HA....................................................................................................................................................................................................... HA オプ シ ョ ン ..................................................................................................................................................................... ク ラ ス タ メ ンバ リ ス ト ................................................................................................................................................. HA 統計の表示..................................................................................................................................................................... 副系ユニ ッ ト のホス ト 名およびデバイ ス プ ラ イ オ リ テ ィ の変更 ......................................................... ク ラ ス タ ユニ ッ ト のク ラ ス タ から の切断........................................................................................................... 137 137 139 140 141 141 SNMP ................................................................................................................................................................................................. SNMP の設定 ........................................................................................................................................................................ SNMP コ ミ ュ ニ テ ィ の設定 .......................................................................................................................................... フ ォ ーテ ィ ネ ッ ト MIB .................................................................................................................................................... フ ォ ーテ ィ ネ ッ ト および FortiGate ト ラ ッ プ ..................................................................................................... フ ォ ーテ ィ ネ ッ ト および FortiGate MIB フ ィ ール ド ...................................................................................... 142 143 143 145 146 149 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 差し替えメッセージ ................................................................................................................................................................. VDOM と グローバル差 し 替え メ ッ セージ ............................................................................................................ 差 し 替え メ ッ セージ リ ス ト の表示 ......................................................................................................................... 差 し 替え メ ッ セージの変更.......................................................................................................................................... メ ール差 し 替え メ ッ セージ.......................................................................................................................................... HTTP 差 し 替え メ ッ セージ ........................................................................................................................................... FTP 差 し 替え メ ッ セージ............................................................................................................................................... NNTP 差 し 替え メ ッ セージ ........................................................................................................................................... ア ラ ー ト メ ール差 し 替え メ ッ セージ .................................................................................................................... スパム差 し 替え メ ッ セージ.......................................................................................................................................... 管理差 し 替え メ ッ セージ............................................................................................................................................... ユーザ認証差 し 替え メ ッ セージ ................................................................................................................................ FortiGuard Web フ ィ ル タ リ ング差 し 替え メ ッ セージ..................................................................................... IM および P2P 差 し 替え メ ッ セージ......................................................................................................................... エ ン ド ポ イ ン ト NAC 差 し 替え メ ッ セージ .......................................................................................................... NAC 隔離差 し 替え メ ッ セージ .................................................................................................................................... ト ラ フ ィ ッ ク ク ォ ー タ 制御差 し 替え メ ッ セージ............................................................................................ SSL VPN 差 し 替え メ ッ セージ .................................................................................................................................... 差 し 替え メ ッ セージ タ グ ............................................................................................................................................. 153 154 154 154 155 156 157 158 158 159 160 160 161 162 162 163 164 164 164 動作モードおよび VDOM 管理アクセス ........................................................................................................................ 165 動作モー ド の変更 ............................................................................................................................................................. 166 管理ア ク セス ....................................................................................................................................................................... 166 システム - 管理者 ................................................................................................................................ 169 管理者............................................................................................................................................................................................... 管理者 リ ス ト の表示 ........................................................................................................................................................ 管理者ア カ ウン ト の設定............................................................................................................................................... 管理者ア カ ウン ト のパスワー ド の変更 ................................................................................................................. 管理者に対する通常の ( パスワー ド ) 認証の設定.......................................................................................... 管理者に対する リ モー ト 認証の設定...................................................................................................................... 管理者に対する PKI 証明書認証の設定 ................................................................................................................. 169 171 171 172 172 173 178 管理者プロファイル ................................................................................................................................................................. 179 管理者プ ロ フ ァ イル リ ス ト の表示 ......................................................................................................................... 182 管理者プ ロ フ ァ イルの設定.......................................................................................................................................... 183 集中管理 .......................................................................................................................................................................................... 183 設定.................................................................................................................................................................................................... 184 管理者の監視 ................................................................................................................................................................................ 186 FortiGate の IPv6 サポート................................................................................................................................................... 186 FortiGate ユニ ッ ト 上の IPv6 の設定 ........................................................................................................................ 187 システム - 証明書 ................................................................................................................................ 191 ローカル証明書 ........................................................................................................................................................................... 証明書要求の生成 ............................................................................................................................................................. 証明書要求のダウン ロー ド および送信 ................................................................................................................. 署名済みサーバ証明書のイ ンポー ト ...................................................................................................................... エ ク スポー ト さ れたサーバ証明書 と 秘密鍵のイ ンポー ト .......................................................................... 個別のサーバ証明書 と 秘密鍵フ ァ イルのイ ンポー ト ................................................................................... 192 192 193 194 194 194 リモート証明書 ........................................................................................................................................................................... 195 リ モー ト (OCSP サーバ ) 証明書のイ ンポー ト ................................................................................................. 195 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 7 目次 CA 証明書....................................................................................................................................................................................... 196 CA 証明書のイ ンポー ト ................................................................................................................................................. 196 CRL..................................................................................................................................................................................................... 197 証明書失効 リ ス ト のイ ンポー ト ................................................................................................................................ 197 システム - メンテナンス ................................................................................................................. 199 メンテナンスの概要 ................................................................................................................................................................. 199 [Configuration Revision].......................................................................................................................................................... 200 [Firmware] ..................................................................................................................................................................................... 201 設定フ ァ イルのバ ッ ク ア ッ プ と 復元...................................................................................................................... 201 [FortiGuard]................................................................................................................................................................................... FortiGuard Distribution Network ................................................................................................................................... FortiGuard サービ ス .......................................................................................................................................................... FortiGate ユニ ッ ト での FDN および FortiGuard サブ ス ク リ プ シ ョ ン サービ スの設定 ............... 203 203 204 205 FDN 接続性のトラブルシューティング ......................................................................................................................... 208 アンチウイルスおよび攻撃定義の更新.......................................................................................................................... 209 プッシュ更新の有効化 ............................................................................................................................................................ 210 FortiGate ユニ ッ ト の IP ア ド レ スが変更 さ れる場合のプ ッ シ ュ更新の有効化 ............................... 211 NAT デバイ ス を介 し た プ ッ シ ュ更新の有効化.................................................................................................. 211 [Advanced].................................................................................................................................................................................... 213 ス ク リ プ ト フ ァ イルの作成 ........................................................................................................................................ 215 ス ク リ プ ト フ ァ イルのア ッ プ ロー ド ................................................................................................................... 215 VDOM ライセンスの追加 ....................................................................................................................................................... 215 [Disk] ................................................................................................................................................................................................. 216 AMC モジュールの設定 ................................................................................................................... 219 AMC モジュールの設定 .......................................................................................................................................................... 219 AMC ブリッジ モジュールの自動バイパスと回復 .................................................................................................. 220 AMC ブリッジ モジュールのバイパス モードの有効化または無効化 ......................................................... 221 RAID の設定 ............................................................................................................................................ 223 RAID アレイの設定 .................................................................................................................................................................... 223 RAID デ ィ ス ク の設定 ...................................................................................................................................................... 223 RAID レベル................................................................................................................................................................................... 224 RAID アレイの再構築 ............................................................................................................................................................... 225 RAID ア レ イ を再構築する理由................................................................................................................................... 226 RAID ア レ イ を再構築する方法................................................................................................................................... 226 ルータ - スタティック .................................................................................................................... 229 ルーティングの概念 ................................................................................................................................................................ ルーテ ィ ング テーブルの成立ち ............................................................................................................................. ルーテ ィ ングの決定方法 ............................................................................................................................................. マルチパス ルーテ ィ ング と 最良のルー ト の決定............................................................................................ ルー ト プ ラ イ オ リ テ ィ ................................................................................................................................................. ブ ラ ッ ク ホール ルー ト .................................................................................................................................................. 8 229 230 230 230 231 231 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 スタティック ルート .............................................................................................................................................................. ス タ テ ィ ッ ク ルー ト の操作 ........................................................................................................................................ デ フ ォル ト ルー ト およびデ フ ォル ト ゲー ト ウ ェ イ .................................................................................... ルーテ ィ ング テーブルへのス タ テ ィ ッ ク ルー ト の追加 ........................................................................... 232 232 233 236 ECMP ルートのフェールオーバーと負荷分散 ............................................................................................................ 237 ス ピルオーバーまたは使用状況ベースの ECMP の設定 .............................................................................. 238 重み付け さ れたス タ テ ィ ッ ク ルー ト の負荷分散の設定............................................................................. 241 ポリシー ルート.......................................................................................................................................................................... 243 ルータ - ダイナミック ...................................................................................................................... 247 RIP ....................................................................................................................................................................................................... 247 RIP 詳細設定オプ シ ョ ン ................................................................................................................................................ 248 RIP が有効な イ ン タ フ ェ ース ...................................................................................................................................... 249 OSPF.................................................................................................................................................................................................. OSPF AS の定義 - 概要.................................................................................................................................................. 基本的な OSPF 設定......................................................................................................................................................... OSPF 詳細設定オプ シ ョ ン ........................................................................................................................................... OSPF エ リ アの定義.......................................................................................................................................................... OSPF ネ ッ ト ワー ク .......................................................................................................................................................... OSPF イ ン タ フ ェ ースの動作パラ メ ー タ ............................................................................................................. 250 250 250 252 253 253 254 BGP..................................................................................................................................................................................................... 255 マルチキャスト ........................................................................................................................................................................... 256 イ ン タ フ ェ ース上のマルチキ ャ ス ト 設定の置き換え ................................................................................... 257 マルチキ ャ ス ト 宛先 NAT .............................................................................................................................................. 258 BFD (Bi-directional Forwarding Detection)................................................................................................................... 258 BFD の設定............................................................................................................................................................................ 258 ルータ - モニタ..................................................................................................................................... 261 ルーティング情報の表示 ....................................................................................................................................................... 261 FortiGate ルーティング テーブルの検索...................................................................................................................... 262 ファイアウォール ポリシー .......................................................................................................... 265 ポリシー リストの並び順とポリシー照合との関係................................................................................................ 265 ポ リ シー リ ス ト 内のポ リ シー位置の移動........................................................................................................... 266 ポ リ シーの有効化および無効化................................................................................................................................ 266 マルチキャスト ポリシー...................................................................................................................................................... 267 ファイアウォール ポリシー リストの表示.................................................................................................................. 267 ファイアウォール ポリシーの設定 .................................................................................................................................. フ ァ イ アウ ォ ール ポ リ シーへの認証の追加...................................................................................................... ID ベースのフ ァ イ アウ ォ ール ポ リ シーの設定 ................................................................................................ IPSec フ ァ イ アウ ォ ール ポ リ シーの設定 ............................................................................................................ SSL VPN の ID ベース フ ァ イ アウ ォ ール ポ リ シーの設定......................................................................... 268 273 273 275 275 Central NAT Table の設定 .................................................................................................................................................... 277 攻撃を検出および防御する DoS ポリシーの使用..................................................................................................... 278 DoS ポ リ シー リ ス ト の表示 ........................................................................................................................................ 278 DoS ポ リ シーの設定 ........................................................................................................................................................ 279 プロトコルオプションの設定.............................................................................................................................................. 280 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 9 目次 ネットワーク攻撃を検出するワンアーム スニファ ポリシーの使用 ........................................................... 281 スニ フ ァ ポ リ シー リ ス ト の表示............................................................................................................................. 282 スニ フ ァ ポ リ シーの設定 ............................................................................................................................................. 283 FortiOS での未使用 NAT ポートの選択方法 ............................................................................................................... グローバル プール............................................................................................................................................................ プ ロ ト コ ルによ るグローバル プール .................................................................................................................... NAT IP によ る プール ....................................................................................................................................................... NAT IP、 宛先 IP、 ポー ト 、 お よびプ ロ ト コルによ る プール.................................................................... 284 285 285 285 286 ファイアウォール ポリシーの例 ....................................................................................................................................... 288 例 1:SOHO 規模の企業 .................................................................................................................................................... 288 例 2: 大規模企業 ................................................................................................................................................................. 290 ファイアウォール アドレス .......................................................................................................... 295 ファイアウォール アドレスについて ............................................................................................................................. 295 IPv6 ファイアウォール アドレスについて................................................................................................................... 296 ファイアウォール アドレス リストの表示.................................................................................................................. 297 アドレスの設定 ........................................................................................................................................................................... 297 アドレス グループ リストの表示 ..................................................................................................................................... 298 アドレス グループの設定...................................................................................................................................................... 298 ファイアウォール サービス .......................................................................................................... 301 定義済みサービス リストの表示 ....................................................................................................................................... 301 カスタム サービスの設定...................................................................................................................................................... 306 カスタム サービス グループの設定................................................................................................................................. 307 ファイアウォール スケジュール................................................................................................. 309 反復スケジュール リストの表示 ....................................................................................................................................... 309 反復スケジュールの設定 ....................................................................................................................................................... 309 ワンタイム スケジュール リストの表示....................................................................................................................... 310 ワンタイム スケジュールの設定 ....................................................................................................................................... 310 スケジュール グループの設定 ............................................................................................................................................ 311 ファイアウォール仮想 IP................................................................................................................. 313 仮想 IP がどのように FortiGate のユニットを通るコネクションをマップするかについて ........... 受信接続 ................................................................................................................................................................................. 送信接続 ................................................................................................................................................................................. 仮想 IP、 負荷分散仮想サーバ、 および負荷分散 リ アル サーバの制限 ............................................. 313 313 316 317 仮想 IP リストの表示 ................................................................................................................................................................ 317 仮想 IP の設定............................................................................................................................................................................... 317 単一 IP ア ド レ スに対する ス タ テ ィ ッ ク NAT 仮想 IP の追加 .................................................................... 319 IP ア ド レ ス範囲に対する ス タ テ ィ ッ ク NAT 仮想 IP の追加 ..................................................................... 320 単一 IP ア ド レ スおよび単一ポー ト に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ングの追加 322 IP ア ド レ ス範囲およびポー ト 範囲に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ン グの追加 323 ダ イ ナ ミ ッ ク 仮想 IP の追加........................................................................................................................................ 325 ポー ト 変換のみの仮想 IP の追加 .............................................................................................................................. 326 仮想 IP グループ.......................................................................................................................................................................... 326 10 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 VIP グループ リストの表示 .................................................................................................................................................. 327 VIP グループの設定................................................................................................................................................................... 327 IP プールの設定 ........................................................................................................................................................................... IP プール と ダ イ ナ ミ ッ ク NAT.................................................................................................................................... 固定ポー ト を用いる フ ァ イ アウ ォ ール ポ リ シーの IP プール ................................................................. 発信元 IP ア ド レ スおよび IP プール ア ド レ スの一致 ................................................................................... 327 328 328 328 IP プール リストの表示........................................................................................................................................................... 329 IP プールの設定 ........................................................................................................................................................................... 330 ダブル NAT: IP プールと仮想 IP の組み合わせ........................................................................................................... 330 トランスペアレント モードでの NAT ファイアウォール ポリシーの追加 ............................................. 332 トラフィック シェーピング .......................................................................................................... 335 保証帯域幅と最大帯域幅 ....................................................................................................................................................... 335 トラフィック プライオリティ ............................................................................................................................................ 336 トラフィック シェーピングについて ............................................................................................................................. 336 共有トラフィック シェーパーの設定 ............................................................................................................................. 337 "IP ごとのトラフィック シェーピング " の設定 ........................................................................................................ 338 ファイアウォール負荷分散 ............................................................................................................ 339 FortiGate の負荷分散機能の仕組み................................................................................................................................. 339 仮想サーバの設定 ...................................................................................................................................................................... 340 リアル サーバの設定................................................................................................................................................................ 343 ヘルスチェックモニタの設定.............................................................................................................................................. 344 サーバの監視 ................................................................................................................................................................................ 345 負荷分散の例 ................................................................................................................................................................................ 3 台の リ アル Web サーバによ る 1 台の仮想 Web サーバの設定............................................................... サーバ負荷分散ポー ト フ ォ ワーデ ィ ング仮想 IP の追加 ........................................................................... 重み付けによ る負荷分散の設定................................................................................................................................ HTTP および HTTPS のパーシ ス タ ン スの設定 ................................................................................................. 346 346 349 350 352 統合脅威管理 (UTM)........................................................................................................................... 357 統合脅威管理の概要 ................................................................................................................................................................. 357 アンチウイルス ........................................................................................................................................................................... プ ロ フ ァ イル ....................................................................................................................................................................... フ ァ イル フ ィ ル タ ............................................................................................................................................................ 隔離 ........................................................................................................................................................................................... ウ イルス デー タ ベース .................................................................................................................................................. 358 358 359 362 363 不正侵入防御 ................................................................................................................................................................................ IPS センサー......................................................................................................................................................................... DoS センサー ....................................................................................................................................................................... 定義済みシグネチ ャ ........................................................................................................................................................ カ ス タ ム シグネチ ャ ....................................................................................................................................................... プ ロ ト コ ル デ コ ーダ ....................................................................................................................................................... 363 364 368 370 372 373 パケット ロギング..................................................................................................................................................................... 373 パケ ッ ト ロギングの設定 ............................................................................................................................................. 373 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 11 目次 Web フィルタ ............................................................................................................................................................................... プ ロ フ ァ イル ....................................................................................................................................................................... We コ ン テ ン ツ フ ィ ル タ ................................................................................................................................................ URL フ ィ ル タ ....................................................................................................................................................................... 上書き ...................................................................................................................................................................................... ロー カル カ テ ゴ リ ............................................................................................................................................................ ロー カル評価 ....................................................................................................................................................................... レ ポー ト ................................................................................................................................................................................. 374 374 376 380 382 384 384 385 電子メール フィルタ................................................................................................................................................................ プ ロ フ ァ イル ....................................................................................................................................................................... 禁止単語 ................................................................................................................................................................................. IP ア ド レ ス ........................................................................................................................................................................... 電子 メ ール ア ド レ ス ....................................................................................................................................................... 386 387 389 391 392 ワイルドカードおよび Perl 正規表現の使用 ............................................................................................................... 393 情報漏洩防止 ................................................................................................................................................................................ セ ンサー ................................................................................................................................................................................. 複合ルール ............................................................................................................................................................................ ルール ...................................................................................................................................................................................... DLP アー カ イ ブ .................................................................................................................................................................. 395 396 398 399 404 アプリケーション制御 ............................................................................................................................................................ 405 ブ ラ ッ ク / ホワ イ ト リ ス ト ........................................................................................................................................ 406 ア プ リ ケーシ ョ ン リ ス ト ............................................................................................................................................. 408 VoIP .................................................................................................................................................................................................... 409 プ ロ フ ァ イル ....................................................................................................................................................................... 409 IPsec VPN ................................................................................................................................................. 411 IPsec VPN の概要........................................................................................................................................................................ 411 ポ リ シーベース VPN およびルー ト ベース VPN の比較................................................................................ 412 自動キー (IKE) .............................................................................................................................................................................. フ ェ ーズ 1 の設定 ............................................................................................................................................................. フ ェ ーズ 1 の詳細設定.................................................................................................................................................... フ ェ ーズ 2 の設定 ............................................................................................................................................................. フ ェ ーズ 2 の詳細設定.................................................................................................................................................... 413 413 415 417 417 手動キー .......................................................................................................................................................................................... 419 新 し い手動キーの設定.................................................................................................................................................... 420 インターネット ブラウジング ............................................................................................................................................ 421 コンセントレータ ..................................................................................................................................................................... 421 VPN のモニタ ............................................................................................................................................................................... 422 PPTP VPN................................................................................................................................................. 425 FortiGate Web ベース マネージャによる PPTP 設定 ............................................................................................ 425 CLI コマンドによる PPTP 設定........................................................................................................................................... 426 SSL VPN.................................................................................................................................................... 427 SSL VPN の概要 .......................................................................................................................................................................... 427 基本的な設定手順 ............................................................................................................................................................. 427 Config................................................................................................................................................................................................ 428 12 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 ポータル .......................................................................................................................................................................................... 429 ポー タ ルの設定 .................................................................................................................................................................. 430 ポー タ ル ウ ィ ジ ェ ッ ト .................................................................................................................................................. 432 仮想デスクトップ アプリケーション制御.................................................................................................................. 433 ホスト チェック.......................................................................................................................................................................... 434 SSL VPN モニタ リスト ......................................................................................................................................................... 435 WAN 最適化および Web キャッシュ......................................................................................... 437 WAN 最適化の設定.................................................................................................................................................................... 437 ルール リ ス ト 内のルール位置の移動 .................................................................................................................... 438 WAN 最適化ルールの設定 ..................................................................................................................................................... 439 WAN 最適化ア ド レ スについて ................................................................................................................................... 441 WAN 最適化 ピアの設定 ........................................................................................................................................................ 441 認証グループの設定 ................................................................................................................................................................. 442 WAN 最適化のモニタリング ................................................................................................................................................ 443 Web キャッシュ設定の変更.................................................................................................................................................. 444 ユーザ ........................................................................................................................................................ 447 ユーザ認証の設定................................................................................................................................................ 447 ローカル ユーザ アカウント ............................................................................................................................................... 448 ロー カル ユーザ ア カ ウン ト の設定........................................................................................................................ 448 リモート認証 ................................................................................................................................................................................ 449 RADIUS............................................................................................................................................................................................. 449 RADIUS サーバの設定 ..................................................................................................................................................... 450 LDAP ................................................................................................................................................................................................. 451 LDAP サーバの設定 .......................................................................................................................................................... 452 TACACS+...................................................................................................................................................................................... 453 TACACS+ サーバの設定................................................................................................................................................. 454 ディレクトリ サービス........................................................................................................................................................... 454 デ ィ レ ク ト リ サービ ス サーバの設定................................................................................................................... 455 PKI 認証............................................................................................................................................................................................ 456 ピ ア ユーザおよびピ ア グループの設定.............................................................................................................. 457 ユーザ グループ.......................................................................................................................................................................... 457 フ ァ イ アウ ォ ール ユーザ グループ ........................................................................................................................ 459 デ ィ レ ク ト リ サービ ス ユーザ グループ ............................................................................................................ 459 SSL VPN ユーザ グループ ............................................................................................................................................ 460 ユーザ グループ リ ス ト の表示.................................................................................................................................. 460 ユーザ グループの設定.................................................................................................................................................. 460 ユーザ グループから の動的な VPN ク ラ イ ア ン ト IP ア ド レ ス割 り 当て ............................................ 461 認証.................................................................................................................................................................................................... 463 モニタ............................................................................................................................................................................................... 464 フ ァ イ アウ ォ ール ユーザ モ ニ タ リ ス ト ............................................................................................................ 464 IM ユーザ モ ニ タ リ ス ト ............................................................................................................................................... 465 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 13 目次 NAC 隔離および禁止ユーザ リスト................................................................................................................................. NAC 隔離および DLP ....................................................................................................................................................... NAC 隔離および DLP 差 し 替え メ ッ セージ.......................................................................................................... NAC 隔離の設定 ................................................................................................................................................................. 禁止ユーザ リ ス ト ............................................................................................................................................................ 466 466 466 466 467 エンドポイント..................................................................................................................................... 469 エンドポイント NAC 設定の概要...................................................................................................................................... 469 NAC メニュー............................................................................................................................................................................... エ ン ド ポ イ ン ト プ ロ フ ァ イルの設定 .................................................................................................................... Configuring ア プ リ ケーシ ョ ン セ ンサーの設定................................................................................................. ア プ リ ケーシ ョ ンデー タ ベースの表示 ................................................................................................................. FortiClient イ ン ス ト ー ラ ダウン ロー ド および必須バージ ョ ンの設定 ................................................. 470 470 471 472 473 ネットワーク脆弱性スキャン.............................................................................................................................................. 474 アセ ッ ト の設定................................................................................................................................................................. 474 スキ ャ ンの設定 .................................................................................................................................................................. 475 エンドポイントの監視 ............................................................................................................................................................ 475 無線コントローラ................................................................................................................................ 479 設定の概要 ..................................................................................................................................................................................... 479 無線コントローラの有効化................................................................................................................................................... 479 マネージド アクセス ポイントとしての FortiWiFi ユニットの設定 .............................................................. 480 仮想無線アクセス ポイントの設定 .................................................................................................................................. 480 物理アクセス ポイントの設定 ............................................................................................................................................ 481 無線 LAN の DHCP の設定 ..................................................................................................................................................... 483 無線 LAN のファイアウォール ポリシーの設定 ....................................................................................................... 483 無線クライアントの監視 ....................................................................................................................................................... 483 不正 AP の監視 ............................................................................................................................................................................ 483 ログおよびレポート........................................................................................................................... 485 ログおよびレポートの概要................................................................................................................................................... 485 ログについて ................................................................................................................................................................................ 486 ログの タ イ プおよびサブ タ イ プ ................................................................................................................................ 486 ログの例 .......................................................................................................................................................................................... 488 ログ メ ッ セージ ................................................................................................................................................................. 488 FortiGate の全 ト ラ フ ィ ッ ク のロギング ................................................................................................................ 489 FortiGate ユニットでのログの保存方法 ....................................................................................................................... FortiAnalyzer ユニ ッ ト への リ モー ト ロギング.................................................................................................. FortiGuard 分析および管理サービ スへの リ モー ト ロギング .................................................................... syslog サーバへの リ モー ト ロギング ..................................................................................................................... メ モ リ へのロー カル ロギング ................................................................................................................................... デ ィ ス ク へのロー カル ロギング .............................................................................................................................. ロー カル アー カ イ ブ ....................................................................................................................................................... 490 491 492 492 493 493 494 イベント ログ............................................................................................................................................................................... 494 アラート メール.......................................................................................................................................................................... 495 ログ メッセージへのアクセスおよび表示 ................................................................................................................... 496 アーカイブ ログ.......................................................................................................................................................................... 497 14 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 目次 隔離.................................................................................................................................................................................................... 498 レポート .......................................................................................................................................................................................... FortiOS レポー ト ............................................................................................................................................................... SQL ログによ る エグゼク テ ィ ブ サマ リ レ ポー ト .......................................................................................... FortiAnalyzer レポー ト スケジ ュ ール ..................................................................................................................... 499 499 503 504 索引 ............................................................................................................................................................. 507 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 15 目次 16 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク は じ めに フ ォ ーテ ィ ネ ッ ト 製品 はじめに 小規模企業向けの FortiGate -50 シ リ ーズから 大規模企業、サービ ス プ ロバイ ダ、お よびキ ャ リ ア向けの FortiGate-5000 シ リ ーズまで、 FortiGate 製品 ラ イ ンは、 FortiOS セキ ュ リ テ ィ オペ レーテ ィ ング シ ス テムを FortiASIC プ ロ セ ッ サやその他のハー ド ウ ェ ア と 組み合わせて、 次の よ う な一連の高性能なセキ ュ リ テ ィ およびネ ッ ト ワー ク機能を提供 し ます。 ・ フ ァ イ アウ ォ ール、 VPN、 お よび ト ラ フ ィ ッ ク シ ェ ーピ ング ・ 不正侵入防御シ ス テム (IPS) ・ ア ン チウ イルス / ア ン チ スパイ ウ ェ ア / ア ン チマルウ ェ ア ・ Web フ ィ ル タ リ ング ・ ア ン チスパム ・ ア プ リ ケーシ ョ ン制御 ( た と えば、 IM や P2P) ・ VoIP サポー ト (H.323、 SIP、 および SCCP) ・ レ イヤ 2/3 ルーテ ィ ング ・ 複数の冗長 WAN イ ン タ フ ェ ース オプ シ ョ ン FortiGate ア プ ラ イ ア ン スは、 ネ ッ ト ワー ク の可用性やア ッ プ タ イ ム を低下 さ せる こ と な く 、 ネ ッ ト ワー ク 、 コ ン テ ン ツ、 お よびア プ リ ケーシ ョ ン レベルの脅威 ( サイバー犯罪者が好む複 雑 な 攻撃 を 含 む ) に 対 す る コ ス ト 効果 に 優れ た 包括的 な プ ロ テ ク シ ョ ン を 提供 し ま す。 FortiGate プ ラ ッ ト フ ォ ームには、 ネ ッ ト ワー ク ア ッ プ タ イ ムを最大化す る ための高可用性 ( ア ク テ ィ ブ / ア ク テ ィ ブ、 ア ク テ ィ ブ / パ ッ シ ブ ) や、異な る セキ ュ リ テ ィ ポ リ シーが必要な さ ま ざ ま なネ ッ ト ワー ク を分離す る ためのバーチ ャ ル ド メ イ ン機能な どの高度なネ ッ ト ワー ク機能が搭載 さ れています。 こ の章には、 以下の ト ピ ッ クが含まれています。 ・ フ ォ ーテ ィ ネ ッ ト 製品 ・ 作業を開始する前に ・ こ のガ イ ド の構成 ・ フ ォ ーテ ィ ネ ッ ト 製品の登録 ・ フ ォ ーテ ィ ネ ッ ト 製品の使用許諾契約書 ・ カ ス タ マ サービ スおよびテ ク ニ カル サポー ト ・ ト レーニ ング ・ フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト フォーティネット製品 セキ ュ リ テ ィ ゲー ト ウ ェ イ やそのほかの製品で構成 さ れた フ ォ ー テ ィ ネ ッ ト の製品ポー ト フ ォ リ オでは、 ASIC で高速化 さ れたハイ パ フ ォ ーマ ン ス、 統合複合脅威プ ロ テ ク シ ョ ン、 お よび常に更新 さ れる詳細な脅威イ ン テ リ ジ ェ ン スが強力に統合 さ れています。 こ う し たユニー ク な統合 ソ リ ュ ーシ ョ ン を通 じ て、 あ ら ゆる規模の企業、 管理 さ れたサービ ス プ ロバ イ ダ、 お よび通信キ ャ リ ア を対象に、 ネ ッ ト ワー ク / コ ン テ ン ツ / ア プ リ ケーシ ョ ン セキ ュ リ テ ィ と 柔軟でスケー ラ ブルな拡張パス を提供 し ます。 フ ォ ーテ ィ ネ ッ ト 製品 フ ァ ミ リ の詳細について は、 www.fortinet.com/products を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 17 作業を開始する前に は じ めに 作業を開始する前に こ のFortiGate バージ ョ ン4.0 MR2 管理ガ イ ド では、FortiGateTM Webベース マネージ ャ と FortiOS のオプ シ ョ ンに関する シ ステム管理者のための詳細情報 と 、それら の使用方法について説明 し ます。 こ こ では、 使用 し ている モデルの 『FortiGate イ ン ス ト ール ガ イ ド 』 にある指示に従 っ て FortiGate ユニ ッ ト がすでに正常に イ ン ス ト ール さ れている こ と を前提に し ています。 こ の段階では、 次の状態にな っ ています。 ・ Web ベース マネージ ャ または CLI によ る管理者ア ク セス権限を持 っ ています。 ・ FortiGate ユニ ッ ト はネ ッ ト ワー ク に設置 さ れています。 ・ 動作モー ド が設定 さ れています。 ・ シ ス テム時刻、 DNS 設定、 管理者パスワー ド 、 およびネ ッ ト ワー ク イ ン タ フ ェ ースは設定 さ れています。 ・ フ ァ ームウ ェ ア、 FortiGuard ア ン チウ イルス、 および FortiGuard ア ン チスパムの更新は完 了 し ています。 イ ン ス ト ールの基本が完了すれば、 こ の ド キ ュ メ ン ト を使用で き ます。 こ の ド キ ュ メ ン ト で は、 Web ベース マネージ ャ を使用 し て次の操作を行 う 方法について説明 し ます。 ・ FortiGate ユニ ッ ト を保守する ( バ ッ ク ア ッ プ を含む ) ・ イ ン ス ト ール中に設定 さ れた基本的な項目を再設定する ・ 高度な機能を設定する こ のガ イ ド にはまた、 FortiGate の コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) に関する一部の情報 も 含まれています。 ただ し 、 すべての コ マ ン ド は含まれていません。 CLI の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 こ の ド キ ュ メ ン ト は、 エ ン ド ユーザではな く 、 管理者を対象に作成 さ れています。 このガイドの構成 こ の項では、 こ のガ イ ド の構成についての簡単な説明 と 、 章ご と の概要について説明 し ます。 最初の数章では、 製品を使用 し 始めた り 、 新機能を学習 し た り するのに役立つ概要について説 明 し ます。 こ れ らの章に続いて、 こ のガ イ ド では Web ベース マネージ ャ の機能が Web ベース マネージ ャ ( または GUI) の メ ニ ュ ー と 同 じ 順序で説明 さ れ、 最後には詳細な索引が付いてい ます。 こ の管理ガ イ ド では、 ある章または項が VDOM またはグ ローバル設定のど ち ら の ものかを示 すためにバーチ ャル ド メ イ ン (VDOM) およびグローバル ア イ コ ンが表示 さ れます。 VDOM お よびグローバル設定は、 バーチ ャ ル ド メ イ ン を使 っ て動作 さ せてい る FortiGate ユニ ッ ト にの み適用 さ れます。 バーチ ャ ル ド メ イ ン を有効に し ていない場合は、 区別はあ り ません。 こ の ド キ ュ メ ン ト の最新バージ ョ ンは、 「フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 」 Web サ イ ト の 「FortiGate」 ページか ら入手で き ます。 こ の ド キ ュ メ ン ト の情報は、 FortiGate Web ベー ス マネージ ャのオ ン ラ イ ンヘルプに も 別の形式で記載 さ れています。 また、FortiOS 製品の詳細については、同 じ FortiGate ページ だけでな く Fortinet Knowledge Base で も参照で き ます。 こ の管理ガ イ ド は以下の章で構成 さ れています。 ・ 18 Web ベース マネージ ャ では、 FortiGate Web ベース マネージ ャの機能について紹介 し た後、 FortiGate に接続する方法について説明 し ます。 また、 Web ベース マネージ ャ オ ン ラ イ ン ヘルプの使用方法について も説明 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク は じ めに こ のガ イ ド の構成 ・ シ ス テム ダ ッ シ ュ ボー ド では、FortiGate ユニ ッ ト のダ ッ シ ュ ボー ド である [System Status] ページについて説明 し ます。 シ リ アル番号、 ア ッ プ タ イム、 FortiGuard ラ イ セ ン ス情報、 シ ステム リ ソ ースの使用方法、 警告 メ ッ セージ、 ネ ッ ト ワー ク統計な どの、 FortiGate ユニ ッ ト の現在のシ ス テ ム ス テ ー タ ス を一目でわか る よ う に表示で き ます。 こ のペー ジか ら は CLI に も ア ク セス で き ます。 ま た、 ユニ ッ ト の フ ァ ームウ ェ ア、 ホス ト 名、 シ ス テム時刻 の変更な どの、 ユーザが実行で き る ス テー タ スの変更について も 説明 し ます。 最後に、 モ デル番号に 50 と 60 の付いたモデルを除 く すべての FortiGate モデルで使用で き る ト ポロ ジ ビ ュ ーアについて説明 し ます。 ・ フ ァ ームウ ェ ア管理方法では、 フ ァ ームウ ェ ア バージ ョ ンのア ッ プグレー ド と 管理につい て説明 し ます。 こ の項には、 現在の設定を正 し く バ ッ ク ア ッ プする方法や、 ア ッ プグ レー ド が失敗 し た場合に実行すべ き こ と に関す る重要な情報が含まれて い る ため、 FortiGate フ ァ ームウ ェ ア を ア ッ プグ レー ド する前に こ の項を確認 し て く だ さ い。 ・ バーチ ャル ド メ イ ンの使用では、VDOM を使用して FortiGate ユニットを複数の仮想 FortiGate ユニットとして動作させることにより、 複数のネットワークのそれぞれに個別のファイアウォールと ルーティングのサービスを提供することができます。 ・ シ ス テム - ネ ッ ト ワー ク では、FortiGate ユニ ッ ト で物理イ ン タ フ ェ ース、仮想イ ン タ フ ェ ー ス、 お よび DNS を設定する方法について説明 し ます。 ・ シ ス テム - DHCP サーバでは、 FortiGate イ ン タ フ ェ ース を DHCP サーバまたは DHCP リ レー エージ ェ ン ト と し て設定する方法について説明 し ます。 ・ シ ス テム - 設定では、 HA と 仮想 ク ラ ス タ リ ングの設定、 SNMP と 差 し 替え メ ッ セージの設 定、 お よび動作モー ド の変更を行 う ための手順について説明 し ます。 ・ シ ス テム - 管理者では、 管理者ア カ ウン ト の追加 と 編集、 管理者の管理者プ ロ フ ァ イルの 定義、 FortiGuard Management Service または FortiManager を使用 し た集中管理の設定、 言 語、 タ イムアウ ト 、 Web 管理ポー ト な どの一般的な管理設定の定義な ど を行 う ための方法 について説明 し ます。 ・ シ ス テム - 証明書では、IPSec VPN や管理者認証な どの さ ま ざ まな FortiGate の機能で使用 さ れる X.509 セキ ュ リ テ ィ 証明書を管理する方法について説明 し ます。 ・ シス テム - メ ン テナン スでは、管理 コ ン ピ ュ ー タ または USB デ ィ ス ク を使用 し てシ ス テム 設定をバ ッ ク ア ッ プおよび復元する方法のほか、 リ ビ ジ ョ ン管理を使用 し た り 、 FortiGuard サービ スや FortiGuard Distribution Network (FDN) の更新を有効に し た り 、 バーチ ャ ル ド メ イ ンの最大数 を増やすために ラ イ セ ン ス キー を入力 し た り す る方法について詳 し く 説明 し ます。 ・ ルー タ - ス タ テ ィ ッ ク では、 ス タ テ ィ ッ ク ルー ト の定義、 およびルー ト ポ リ シーの作成 を行 う 方法について説明 し ます。 ス タ テ ィ ッ ク ルー ト を使用する と 、 パケ ッ ト は、 工場出 荷時に設定 さ れてい るデ フ ォ ル ト ゲー ト ウ ェ イ以外の宛先に転送 さ れます。 ・ ルー タ - ダ イ ナ ミ ッ ク では、 ルー タ の [Dynamic] メ ニ ュ ーについて説明 し ます。 こ れには、 [Dynamic] メ ニ ュ ー内で使用で き る メ ニ ュ ーお よび設定が含まれます。 ・ ルー タ - モ ニ タ では、 [Routing Monitor] リ ス ト を解釈する方法について説明 し ます。 こ の リ ス ト には、 FortiGate ルーテ ィ ン グ テーブル内のエ ン ト リ が表示 さ れます。 ・ フ ァ イ アウ ォ ール ポ リ シーでは、 FortiGate イ ン タ フ ェ ース、 ゾーン、 および VLAN サブ イ ン タ フ ェ ースの間の接続 と ト ラ フ ィ ッ ク を制御す る ために フ ァ イ ア ウ ォ ール ポ リ シー を 追加する方法について説明 し ます。 こ の章ではまた、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク に DoS セ ンサを適用する ために DoS ポ リ シー を追加する方法、および実際にパケ ッ ト を受信 し た り 、 それ以外の方法で処理する こ と な く 、 攻撃のパケ ッ ト を スニ ッ フ ィ ン グする こ と によ っ て FortiGate ユニ ッ ト を不正侵入検知シ ステム (IDS) ア プ ラ イ ア ン ス と し て動作 さ せる ために スニ ッ フ ァ ポ リ シーを追加する方法について も 説明 し ます。 ・ フ ァ イ アウ ォ ール ア ド レ スでは、 フ ァ イ アウ ォ ール ポ リ シーのア ド レ スおよびア ド レ ス グループ を設定する方法について説明 し ます。 ・ フ ァ イ アウ ォ ール サービ スでは、 使用可能なサービ ス と 、 フ ァ イ アウ ォ ール ポ リ シーの サービ ス グループ を設定する方法について説明 し ます。 ・ フ ァ イ アウ ォ ール スケジ ュ ールでは、 フ ァ イ アウ ォ ール ポ リ シーのワン タ イム ジ ュ ール と 反復スケジ ュ ールを設定する方法について説明 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク スケ 19 ド キ ュ メ ン ト の規則 は じ めに ・ フ ァ イ アウ ォ ール仮想 IP では、 仮想 IP ア ド レ ス と IP プールを設定お よび使用する方法に ついて説明 し ます。 ・ フ ァ イ アウ ォ ール負荷分散では、 FortiGuard 負荷分散を使用 し て受信 ト ラ フ ィ ッ ク を使用 可能なサーバ間で分散 さ せる方法について説明 し ます。 ・ 統合脅威管理 (UTM) では、 [UTM] メ ニ ュ ーについて説明 し ます。 こ れには、 ア ン チウ イル ス、 情報漏洩防止、 および Web コ ン テ ン ツ フ ィ ル タ リ ングが含まれます。 ・ IPsec VPN では、 [IPsec VPN] メ ニ ュ ーについて説明 し ます。 こ れには、 こ の メ ニ ュ ーに関 する情報 と 、 こ の メ ニ ュ ー内で使用可能な設定が含まれます。 ・ PPTP VPN では、 Web ベース マネージ ャ を使用 し て、 PPTP ク ラ イ ア ン ト の IP ア ド レ スの 範囲を指定する方法について説明 し ます。 ・ SSL VPN では、 [SSL VPN] メ ニ ュ ーについて説明 し た後、 基本的な SSL VPN 設定に関する 情報を提供 し ます。 ・ ユーザでは、 ユーザ認証を介 し てネ ッ ト ワー ク リ ソ ースへのア ク セス を制御す る方法につ いて説明 し ます。 ・ WAN 最適化および Web キ ャ ッ シ ュ では、 FortiGate ユニ ッ ト を使用 し て、 ワ イ ド エ リ ア ネ ッ ト ワー ク (WAN) ま たは イ ン タ ーネ ッ ト 上の各拠点の間 を通過す る ト ラ フ ィ ッ ク のパ フ ォ ーマ ン ス と セキ ュ リ テ ィ を向上 さ せる方法について説明 し ます。 ・ エ ン ド ポ イ ン ト では、 FortiGate のエ ン ド ポ イ ン ト NAC を使用 し て、 ネ ッ ト ワー ク 内で FortiClient Endpoint Security (Enterprise Edition) を強制的に使用 さ せる方法について説明 し ます。 ・ 無線 コ ン ト ロー ラ では、 FortiGate ユニ ッ ト を、 FortiWiFi ユニ ッ ト の無線ア ク セス ポ イ ン ト (AP) 機能 を管理す る無線ネ ッ ト ワー ク コ ン ト ロー ラ と し て機能す る よ う に設定す る方法 について説明 し ます。 ・ ログお よびレポー ト では、 [Log&Report] メ ニ ュ ーについて説明 し ます。 こ れには、 レポー ト やロギングの情報が含まれます。 ドキュメントの規則 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト では、 次に説明する規則を使用 し ます。 IP アドレス フ ォ ーテ ィ ネ ッ ト または他の任意の組織に属するパブ リ ッ ク IP ア ド レ スの公開を防止する た めに、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト で使用 さ れてい る IP ア ド レ スは架空の も の であ り 、 フ ォ ーテ ィ ネ ッ ト に固有の ド キ ュ メ ン ト ガ イ ド ラ イ ンに従 っ ています。 使用 さ れて いる ア ド レ スは、 http://ietf.org/rfc/rfc1918.txt?number-1918 で入手可能な 「RFC 1918: プ ラ イ ベー ト イ ン タ ーネ ッ ト のためのア ド レ ス割 り 当て」 で定義 さ れてい る プ ラ イ ベー ト IP ア ド レ スの範囲に従 っ ています。 注意、注記、およびヒント フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト では、 注意、 注記、 および ヒ ン ト のための次のガ イ ダ ン ス と ス タ イルを使用 し ます。 注意 : デー タ の損失や装置への損傷な どの、 予期 し ない結果または望ま ない結果を発生 さ せる恐れのある コ マ ン ド または手順について警告 し ます。 注記 : シ ョ ー ト カ ッ ト な どの代替手段や、 任意の設定項目な ど を中心 と し て、 作業ス テ ッ プ を進めるにあた り 有用な情報を提供 し ます。 20 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク は じ めに ド キ ュ メ ン ト の規則 ヒント : 設置環境の作業に合わせるためなど、 有用な追加情報がハイライト表示されます。 表記規則 フ ォ ーテ ィ ネ ッ ト の ド キ ュ メ ン ト では、 次の表記規則を使用 し ます。 表 1: フォーティネット テクニカル ドキュメントの表記規則 規則 例 ボタン、メニュー、テキ [Minimum log level] か ら 、 [Notification] を選択 し ます。 スト ボックス、フィール ド、またはチェック ボッ クスのラベル CLI の入力 * config system dns set primary <address_ipv4> end CLI の出力 FGT-602803030703 # get system settings comments : (null) opmode : nat 強調 HTTP 接続はセキ ュ リ テ ィ 保護 さ れて いない ため、 第三者に よ っ て傍受 さ れる可能性があ り ます。 ファイルの内容 <HTML><HEAD><TITLE> フ ァ イ ア ウ ォ ール認証 </TITLE></HEAD> <BODY><H4> こ のサービ ス を利用す る には、 認証を行わな ければな り ま せん。 </H4> ハイパーリンク フォーティネット テクニカル サポートWebサイト (https://support.fortinet.com) を 参照してください。 キーボード入力 リ モー ト VPN ピ ア ま たは ク ラ イ ア ン ト の名前 (Central_Office_1 な ど ) を入力 し ます。 ナビゲーション [VPN]、 [IPSEC]、 [Auto Key (IKE)] の順に選択 し ます。 出版物 詳細については、 『FortiGate 管理ガ イ ド 』 を参照 し て く だ さ い。 注記 : リ ン ク は通常、 最新バージ ョ ンに移動 し ます。 以前の リ リ ース にア ク セスするには、http://docs.fortinet.com/ を参照 し て く だ さ い。 こ の リ ン ク は、 こ の ド キ ュ メ ン ト の各ページの一番下に表示 さ れます。 * コ マ ン ド 構文を表すために使用 さ れる規則については、 21 ページの 「CLI コ マ ン ド 構文」 を参照 し て く だ さ い。 CLI コマンド構文 こ のガ イ ド では、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) で コ マ ン ド を入力する と き に使用す る構文を説明する ために次の規則を使用 し ます。 構 文 の 有 効 な 置 換 を 示 す に は、 か っ こ 、 中 か っ こ 、 お よ び パ イ プ を 使 用 し ま す。 <address_ipv4> な どの制約表記は、 どのデー タ 型または文字列パ タ ーンが入力可能な値の 入力であるかを示 し ます。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 表 2: コマンド構文 規則 説明 角かっこ [ ] 必須ではないワー ド ま たはワー ド 列。 た と えば、 [verbose {1 | 2 | 3}] は入力を省略する こ と がで き、 または verbose と い う ワー ド と それにつ づ く オプ シ ョ ン を verbose 3 の よ う に入力す る こ と も で き ま す。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 21 フ ォ ーテ ィ ネ ッ ト 製品の登録 は じ めに 表 2: コマンド構文 山かっこ < > デー タ 型に よ り 入力値が変わる ワー ド 。 入力を定義す る ために、山か っ こ の中には内容を示 し た名前のあ と にア ン ダース コ ア ( _ ) が続き、サ フ ィ ッ ク スは デー タ 型を示 し ます。た と えば、 <retries_int> は、 リ ト ラ イ 回数を入力す る こ と を示 し てお り 、 た と えば 5 のよ う に入 力 し ます。 デー タ 型には次の も のがあ り ます。 ・ <xxx_name>: 設定の別の部分を参照する名前 ( た と えば、 policy_A)。 ・ <xxx_index>: 設定の別の部分を参照す る イ ン デ ッ ク ス番号 ( た と え ば、 最初のス タ テ ィ ッ ク ルー ト を指す 0)。 ・ <xxx_pattern>: 文字列のパ タ ーン に一致 し う る正規表現ま たはワ イ ル ド カ ー ド を含むワー ド ( た と えば、 @example.com で終わる す べての電子 メ ール ア ド レ スに一致する *@example.com)。 ・ <xxx_fqdn>: 完全修飾 ド メ イ ン名 (FQDN) ( た と えば、 mail.example.com)。 ・ <xxx_email>: 電子 メ ール ア ド レ ス ( た と えば、 [email protected])。 ・ <xxx_ipv4>: IPv4 ア ド レ ス ( た と えば、 192.168.1.99)。 ・ <xxx_ipv4range>: IPv4 ア ド レ スの範囲。 ・ <xxx_v4mask>: ド ッ ト 区切 り 10 進数の IPv4 ネ ッ ト マ ス ク ( た と え ば、 255.255.255.0)。 ・ <xxx_ipv4mask>: スペース で区切 ら れた ド ッ ト 区切 り 10 進数の IPv4 ア ド レ ス と ネ ッ ト マ ス ク ( た と えば、 192.168.1.99 255.255.255.0)。 ・ <xxx_ipv4/mask>: ス ラ ッ シ ュ で区切 ら れた ド ッ ト 区切 り 10 進数の IPv4 ア ド レ ス と CIDR 表記のネ ッ ト マ ス ク ( た と えば、 192.168.1.99/24)。 ・ <xxx_ipv6>: IPv6 ア ド レ ス。 ・ <xxx_v6mask>: ド ッ ト 区切 り 10 進数の IPv6 ネ ッ ト マ ス ク。 ・ <xxx_ipv6mask>: スペース で区切 ら れた ド ッ ト 区切 り 10 進数の IPv6 ア ド レ ス と ネ ッ ト マ ス ク 。 ・ <xxx_str>: 別のデー タ 型 ではない文字列 ( た と えば、 P@ssw0rd)。 スペース ま たは特殊文字を含む文字列は引用符で囲むか、 ま たはエ スケープ シーケ ン ス を使用する必要があ り ます。 ・ <xxx_int>: 別のデー タ 型 ではない整数 ( た と えば、 分数 と し ての 15)。 中かっこ { } 縦棒 | で区切られ たオプション ワー ド ま たはワー ド 列 を 垂直バーま たはスペース に よ り 区切 ら れた オ プ シ ョ ンの中か ら 選択する 1 組のオ プ シ ョ ンが角か っ こ [ ] で囲まれていない限 り 、 少な く と も いず れかのオプ シ ョ ン を入力す る必要があ り ます。 相互に排他的なオ プ シ ョ ン。 た と えば、 {enable | disable} は、 enable ま たは disable のど ち ら かを入力す る必要があ るが、 両方 を入力 し てはいけない こ と を示 し ます。 スペースで区切ら れたオプション 相互に排他的ではないオ プ シ ョ ン。 た と えば、 {http https ping snmp ssh telnet} は、 こ れ ら のオ プ シ ョ ン のすべて ま たはサブ セ ッ ト を 任意の順序で、 ス ペース で区切 ら れた リ ス ト で入力で き る こ と を示 し ます。 た と えば、 次の よ う に し ます。 ping https ssh 注記 : オプ シ ョ ン を変更す る には、 リ ス ト 全体を入力 し 直す必要があ り ま す。 た と えば、 前の例に snmp を追加す る には、 次のよ う に入力 し ます。 ping https snmp ssh こ のオプ シ ョ ンがオプ シ ョ ンの既存の リ ス ト を置き換え るのではな く 、そ の リ ス ト に追加 さ れるか、 その リ ス ト か ら 取 り 除かれる場合、 ま たはその リ ス ト が カ ン マ で区切 ら れている場合は、 例外が注記 さ れます。 フォーティネット製品の登録 機能の設定や カ ス タ マ イ ズを開始す る前に、 少 し 時間を取 っ て、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カ ル サポー ト Web サイ ト (https://support.fortinet.com) で フ ォ ーテ ィ ネ ッ ト 製品を登録 し て く だ さ い。 22 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク は じ めに フ ォ ーテ ィ ネ ッ ト 製品の使用許諾契約書 フ ァ ームウ ェ アの更新、テ ク ニ カル サポー ト 、FortiGuard ア ン チウ イルスやその他の FortiGuard サービ スな ど、 多 く の フ ォ ーテ ィ ネ ッ ト カ ス タ マ サービ スには製品登録が必要です。 詳細については、 Fortinet Knowledge Base の記事 「登録に関する よ く 寄せ ら れる質問」 を参照 し て く だ さ い。 フォーティネット製品の使用許諾契約書 「 フ ォ ーテ ィ ネ ッ ト 製品の使用許諾契約書」 を参照 し て く だ さ い。 カスタマ サービスおよびテクニカル サポート フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル サポー ト は、 お使いの フ ォ ー テ ィ ネ ッ ト 製品の迅速な イ ン ス ト ール、 容易な設定、 およびネ ッ ト ワー ク内での確実な動作が行え る よ う 、 支援す るサービ ス を提供 し ています。 フ ォ ー テ ィ ネ ッ ト が提供 し てい る テ ク ニ カ ル サポー ト サー ビ スの詳細につい ては、 フ ォ ー テ ィ ネ ッ ト テ ク ニ カル サポー ト Webサ イ ト (https://support.fortinet.com) を参照 し て く だ さ い。 設定 フ ァ イル、 ネ ッ ト ワー ク 構成図、 その他の具体的な情報を提供する こ と に よ っ て、 テ ク ニ カル サポー ト チケ ッ ト の解決にかかる時間を大幅に改善で き ます。 必要な情報の リ ス ト につ いては、 Fortinet Knowledge Base の記事 「FortiGate ト ラ ブルシ ュ ーテ ィ ン グ ガ イ ド ― テ ク ニ カル サポー ト の要件」 を参照 し て く だ さ い。 トレーニング フ ォ ーテ ィ ネ ッ ト ト レーニ ング サービ スは、 世界中の顧客お よびパー ト ナーのニーズに応え る ための さ ま ざ まな ト レーニ ング プ ログ ラ ムを提供 し ています。 フ ォ ーテ ィ ネ ッ ト ト レーニ ン グ サ ー ビ ス Web サ イ ト (http://campus.training.fortinet.com) を 参 照 す る か、 ま た は [email protected] に電子 メ ールを送信 し て く だ さ い。 フォーティネット ドキュメント 「フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル ド キ ュ メ ン ト 」 Web サ イ ト (http://docs.fortinet.com) で は、 フ ォ ー テ ィ ネ ッ ト の出版物の最新版のほか、 テ ク ニ カ ル ノ ー ト な どの追加のテ ク ニ カ ル ド キ ュ メ ン ト を提供 し ています。 「フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 」 Web サ イ ト に加えて、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト は フ ォ ーテ ィ ネ ッ ト ツールお よび ド キ ュ メ ン ト CD や Fortinet Knowledge Base で も入手で き ます。 ツールおよびドキュメント CD お使いの製品の ド キ ュ メ ン ト は、 お使いの製品に付属す る フ ォ ーテ ィ ネ ッ ト ツールお よび ド キ ュ メ ン ト CD で入手で き ます。 こ の CD に収録 さ れてい る ド キ ュ メ ン ト は、 製品出荷時の最 新版です。 フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト の最新版については、 「 フ ォ ーテ ィ ネ ッ ト テ ク ニ カ ル ド キ ュ メ ン ト 」 Web サイ ト (http://docs.fortinet.com) を参照 し て く だ さ い。 Fortinet Knowledge Base Fortinet Knowledge Base は、 トラブルシューティングの記事やハウツー記事、 例、 FAQ、 テクニカ ル ノート、 用語集などのフォーティネット テクニカル ドキュメントをマニュアル以外にも提供していま す。 Fortinet Knowledge Base には、 http://kb.fortinet.com でアクセスしてください。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 23 フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト は じ めに フォーティネット テクニカル ドキュメントに関するコメント こ の ド キ ュ メ ン ト やその他の フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト に誤 り 、 または脱落 があ り ま し た ら、 [email protected] までお知 らせ く だ さ い。 24 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ 一般的な Web ベース マネージ ャ タ ス ク Web ベース マネージャ こ の項では、 FortiGate ユニ ッ ト の使いやすい Web ベース マネージ ャ 管理イ ン タ フ ェ ース ( グ ラ フ ィ カル ユーザ イ ン タ フ ェ ース または GUI と も呼ばれる ) の機能について説明 し ます。 Web ブ ラ ウザを実行 し てい る任意の管理 コ ン ピ ュ ー タ か ら HTTP 接続またはセキ ュ ア な HTTPS 接続を使用 し て、 FortiGate Web ベース マネージ ャ に接続 し 、 FortiGate ユニ ッ ト を設定および 管理で き ます。 管理 コ ン ピ ュ ー タ の推奨 さ れる最小の画面解像度は 1280 × 1024 です。 Web ベース マネージ ャ によ っ て表示 さ れる一部の情報は、 最 も 一般的な Web ブ ラ ウザの最新バー ジ ョ ン でのみサポー ト さ れてい る機能を使用 し ています。 こ れ ら の Web ブ ラ ウザの古いバー ジ ョ ンは、 必ず し も Web ベース マネージ ャ で正 し く 動作す る と は限 り ません。 FortiGate ユニ ッ ト は、 任意の FortiGate イ ン タ フ ェ ースか ら HTTP 接続および HTTPS 接続の Web ベ ー ス で 管理 で き る よ う に設定 で き ま す。 Web ベ ー ス マ ネ ー ジ ャ に 接続す る には、 FortiGate の管理者ア カ ウン ト と パスワー ド が必要です。 Web ベース マネージ ャ は複数の言語 をサポー ト し ていますが、 最初に使用する と きは、 デ フ ォル ト で英語で表示 さ れます。 [System]、 [Dashboard]、 [Status] の順に選択する と 、 シ ス テム ダ ッ シ ュ ボー ド に FortiGate ユ ニ ッ ト のス テー タ スに関する詳細情報を表示で き ます。 ダ ッ シ ュ ボー ド には、 現在の FortiOS の フ ァ ームウ ェ ア バージ ョ ン、 ア ン チウ イルスお よび IPS 定義のバージ ョ ン、 動作モー ド 、 接 続 さ れている イ ン タ フ ェ ース、 シ ステム リ ソ ースな どの情報が表示 さ れます。 また、 FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト や FortiManager ユニ ッ ト 、またはその他の集中管理サービ ス に接続 さ れているかど う か も表示 さ れます。 Web ベー ス マ ネー ジ ャ の メ ニ ュ ー、 リ ス ト 、 お よ び設定のペー ジ を 使用 し て、 ほ と ん ど の FortiGate 設定 を 設定 で き ま す。 Web ベ ー ス マ ネ ー ジ ャ を 使用 し て 行われ た 設定変更は、 FortiGate ユニ ッ ト を リ セ ッ ト し た り サービ ス を中断 し た り し な く て も、 直ちに有効にな り ま す。 設定はボ タ ン バーにあ る [Backup Configuration] ボ タ ン を使用 し て、 いつで もバ ッ ク ア ッ プ で き ます。 ボ タ ン バーは、 Web ベース マネージ ャの右上隅にあ り ます。 保存 さ れた設定は、 いつで も復元で き ます。 Web ベース マネージ ャ にはまた、 詳細な状況依存のオ ン ラ イ ンヘルプ も 含まれています。 ボ タ ン バーにある [ オン ラ イ ンヘルプ ] を選択する と 、現在の Web ベース マネージ ャ ページに 関するヘルプが表示 さ れます。 FortiGate の コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) を使用する と 、 Web ベース マネージ ャ か ら 設定で き るの と 同 じ FortiGate 設定のほか、 CLI のみの追加の設定を設定で き ます。 シ ス テム ダ ッ シ ュ ボー ド に よ っ て、 Web ベース マネージ ャ を終了す る こ と な く 使用で き る、 CLI コ ン ソ ールへの容易なエ ン ト リ ポ イ ン ト が提供 さ れます。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 一般的な Web ベース マネージ ャ タ ス ク ・ FortiGate オ ン ラ イ ンヘルプの使用 ・ Web ベース マネージ ャ ページ Web ベース マネージ ャ ページ 一般的な Web ベース マネージャ タスク こ の ト ピ ッ ク では、 次の一般的な Web ベース マネージ ャ タ ス ク について説明 し ます。 ・ Web ベース マネージ ャ への接続 ・ 現在の設定の変更 ・ FortiGate の管理者パスワー ド の変更 ・ Web ベース マネージ ャ の言語の変更 ・ FortiGate ユニ ッ ト への管理ア ク セスの変更 ・ Web ベース マネージ ャ のア イ ド ル タ イムアウ ト の変更 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 25 一般的な Web ベース マネージ ャ タ ス ク Web ベース マネージ ャ ・ VDOM の切 り 替え ・ Web ベース マネージ ャ から FortiGate の CLI への接続 ・ カ ス タ マ サポー ト への接続 Web ベース マネージャへの接続 Web ベース マネージ ャ に接続するには、 次の ものが必要です。 ・ 使用 し ている FortiGate ユニ ッ ト の ク イ ッ ク ス タ ー ト ガ イ ド と イ ン ス ト ール ガ イ ド の指示 に従 っ てネ ッ ト ワー ク に接続 さ れた FortiGate ユニ ッ ト ・ 接続で き る FortiGate イ ン タ フ ェ ースの IP ア ド レ ス ・ FortiGate ユニ ッ ト に接続で き るネ ッ ト ワー ク へのイ ーサネ ッ ト 接続を備えた コ ン ピ ュ ー タ ・ サポー ト さ れてい る Web ブ ラ ウザ。 Knowledge Base の記事 「 フ ォ ーテ ィ ネ ッ ト 製品の Web ベース マネージ ャ (GUI) の Web ブ ラ ウザでサポー ト さ れている Microsoft Windows Web ブ ラ ウザ」 お よび 「フ ォ ーテ ィ ネ ッ ト ハー ド ウ ェ アの Web ベース マネージ ャ (GUI) で使用 さ れ る Mac OS ブ ラ ウザ」 を参照 し て く だ さ い。 Web ベース マネージャに接続するには 1 Web ブ ラ ウザを起動 し 、 https:// の後に、 接続で き る FortiGate ユニ ッ ト イ ン タ フ ェ ースの IP ア ド レ ス を付加 し て参照 し ます。 たとえば、 IP アドレスが 192.168.1.99 の場合は、 https://192.168.1.99 を参照します。 (https:// の "s" を付け忘れないでください )。 セキュアな HTTPS 認証方法をサポートするために、 FortiGate ユニットには自己署名済みセキュ リティ証明書が付属しています。 リモート クライアントが FortiGate ユニットへの HTTPS 接続を開 始すると常に、 この証明書がそのリモート クライアントに提供されます。 接続すると、 FortiGate ユニットによって、 ブラウザに 2 つのセキュリティ警告が表示されます。 最初の警告では、 FortiGate ユニットの自己署名済みセキュリティ証明書を受け付け、 必要に応 じてインストールするよう求められます。 この証明書を受け付けない場合は、 FortiGate ユニット によって接続が拒否されます。 この証明書を受け付けた場合は、 ログイン ページが表示されま す。 入力された資格情報は、 FortiGate ユニットに送信される前に暗号化されます。 この証明書 を完全に受け付けることを選択すると、 今後この警告は表示されなくなります。 ログイン ページが表示される直前に、 2 番目の警告によって、 FortiGate 証明書の識別名が元 の要求とは異なることが通知されます。 この警告は、 FortiGate ユニットが接続をリダイレクトす るために発生します。 これは情報メッセージです。 [OK] を選択して、 ログインを続行します。 2 [Name] フ ィ ール ド に、 「admin」 または設定 さ れている管理者の名前を入力 し ます。 3 [Password] フ ィ ール ド に、 管理者ア カ ウン ト のパスワー ド を入力 し ます。 4 [Login] を選択 し ます。 現在の設定の変更 現在の設定を変更する場合 ( 管理者のパスワー ド の変更な ど ) は、 項目を強調表示 し てか ら、 該当する ア イ コ ン を選択する必要があ り ます。 使用可能な ア イ コ ンにはすべて、 こ れ以外の方 法ではア ク セスで き ないためです。 ア イ コ ンにア ク セスする ための こ の方法を、 次の手順で説 明 し ます。 現在の設定を変更す る場合は常に、 26 ページの 「 リ ス ト 内の項目を変更する ため のア イ コ ンにア ク セスするには」 の手順を使用 し ます。 リスト内の項目を変更するためのアイコンにアクセスするには 1 [Check box] カ ラ ムの、 変更す る設定の行内で、 チ ェ ッ ク ボ ッ ク ス を選択 し て こ の行を強 調表示 し ます。 グレーになっていたアイコンがアクセス可能になります。 ページによっては、 行を強調表示したと きに、 一部のアイコンがアクセス可能にならないことがあります。 26 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ 一般的な Web ベース マネージ ャ タ ス ク 2 1 つまたは複数のア イ コ ンがア ク セス可能にな っ た ら、 変更を行 う ために使用する ア イ コ ン ([ 編集 ] ア イ コ ン な ど ) を選択 し ます。 変更を行い、 ページ上のリストに戻ると、 チェック ボックスの選択および行の強調表示は解除さ れています。 FortiGate の管理者パスワードの変更 デ フ ォル ト では、 admin 管理者ア カ ウン ト を使用 し 、 パスワー ド を入力する こ と な く Web ベー ス マネージ ャ に ログ イ ン で き ます。 誰かに FortiGate にログ イ ン さ れ、 設定オプ シ ョ ン を変更 さ れる こ と がない よ う に、 admin 管理者ア カ ウ ン ト にパスワー ド を追加する必要があ り ます。 セキ ュ リ テ ィ を強化する ために、 admin 管理者ア カ ウン ト のパスワー ド や、 後で追加する その 他の任意の管理者ア カ ウン ト のパスワー ド を定期的に変更 し て く だ さ い。 管理者のパスワー ド を変更する には、 [System]、 [Admin]、 [Administrators] の順に選択 し 、 [ 編 集 ] ア イ コ ンへのア ク セス を有効に し てか ら パスワー ド を変更 し ます。 [OK] を選択 し て、新 し いパスワー ド を保存 し ます。 また、 [Create New] を選択する こ と によ っ て新 し い管理者ア カ ウン ト を追加する こ と も で き ま す。 管理者の追加、 管理者ア カ ウン ト のパスワー ド の変更、 および関連する設定の詳細につい ては、 169 ページの 「シ ステム - 管理者」 を参照 し て く だ さ い。 注記 : 管理者ア カ ウン ト のパスワー ド を忘れたか、または失 う か し て FortiGate ユニ ッ ト に ログ イ ン で き ない場合は、 Fortinet Knowledge Base の記事 「失われた FortiGate 管理者ア カ ウン ト のパスワー ド の復旧」 を参照 し て く だ さ い。 Web ベース マネージャの言語の変更 Web ベース マネージ ャ に表示する言語を、 英語、 簡体字中国語、 日本語、 韓国語、 スペ イ ン 語、 繁体字中国語、 フ ラ ン ス語のいずれかに変更で き ます。 最適な結果を得るには、 管理 コ ン ピ ュ ー タ のオペ レーテ ィ ング シ ス テムで使用 さ れている言語を選択する必要があ り ます。 言 語 を 変 更 す る に は、 [System]、 [Admin]、 [Settings] の 順 に 選 択 し 、 [Display Settings] で [Language] ド ロ ッ プ ダウン リ ス ト から 目的の言語を選択 し て、[Apply] を選択 し ます。Web ベー ス マネージ ャ ページに、 選択 さ れた言語が表示 さ れます。 FortiGate ユニットへの管理アクセスの変更 管理者は、 管理ア ク セス を使用する こ と に よ り 、 FortiGate ユニ ッ ト に接続 し て設定を表示 し た り 変更 し た り で き ます。 FortiGate ユニ ッ ト のデ フ ォ ル ト 設定では、 FortiGate ユニ ッ ト のク イ ッ ク ス タ ー ト ガ イ ド と イ ン ス ト ール ガ イ ド で説明 さ れている、 そのユニ ッ ト の 1 つ以上の イ ン タ フ ェ ースへの管理ア ク セスが許可 さ れます。 管理ア ク セスは、 次の操作によ っ て変更で き ます。 ・ いずれかの FortiGate イ ン タ フ ェ ースか らの管理ア ク セス を有効または無効にする ・ Web ベース マネージ ャへの HTTPS 管理ア ク セスのセキ ュ リ テ ィ 保護を有効または無効に する ( 推奨 さ れる ) ・ Web ベース マネージ ャ への HTTP 管理ア ク セス を有効または無効にする ( 推奨 さ れない ) ・ CLI へのセキ ュ ア な SSH 管理ア ク セス を有効または無効にする ( 推奨 さ れる ) ・ CLI への SSH または Telnet 管理ア ク セス を有効または無効にする ( 推奨 さ れない ) 管理ア ク セス を変更するには、 [System]、 [Network]、 [Interface] の順に選択 し て [ 編集 ] ア イ コ ン にア ク セス し 、 そのイ ン タ フ ェ ースの 1 つ以上の管理ア ク セスの種類を選択 し ます。 [OK] を選択 し て、 変更を保存 し ます。 管理ア ク セスの変更の詳細については、 101 ページの 「イ ン タ フ ェ ースへの管理ア ク セスの設 定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 27 FortiGate オン ラ イ ンヘルプの使用 Web ベース マネージ ャ Web ベース マネージャのアイドル タイムアウトの変更 デ フ ォル ト では、管理セ ッ シ ョ ンの動作 し ていない時間が 5 分続 く と 、Web ベース マネージ ャ はその管理セ ッ シ ョ ン を接続解除 し ます。 こ のア イ ド ル タ イムアウ ト は、 Web ベース マネー ジ ャ にログ イ ン し た ま ま無人の状態にな っ てい る PC か ら Web ベース マネージ ャが誰かに使 用 さ れない よ う にす る ために推奨 さ れます。 ただ し 、 こ のア イ ド ル タ イムアウ ト は、 次の手 順を使用 し て変更で き ます。 ア イ ド ル タ イ ム ア ウ ト を 変更す る には、 [System]、 [Admin]、 [Settings] の順に選択 し 、 [Idle Timeout] で分単位の時間を入力 し てか ら、 [Apply] を選択 し て変更を保存 し ます。 VDOM の切り替え VDOM が有効にな っ てい る場合は、 左のカ ラ ムに [Current VDOM] と い う 名前の メ ニ ュ ーが表 示 さ れます。 こ の メ ニ ュ ーの横には、 ド ロ ッ プ ダウ ン リ ス ト が表示 さ れます。 こ の ド ロ ッ プ ダウ ン リ ス ト には、その FortiGate ユニ ッ ト 上で設定 さ れているすべての VDOM が含まれてい ます。 こ れによ っ て、 VDOM に簡単に、 すばや く ア ク セスで き る よ う にな っ ています。 [Current VDOM] メ ニ ュ ー を使用 し てある VDOM に切 り 替え るには、 [Current VDOM] の横にあ る ド ロ ッ プ ダウン リ ス ト か ら、 切 り 替え先の VDOM を選択 し ます。 その VDOM に自動的に リ ダ イ レ ク ト さ れます。 Web ベース マネージャから FortiGate の CLI への接続 [CLI Console] ウ ィ ジ ェ ッ ト を使用 し て、Web ベース マネージ ャのダ ッ シ ュ ボー ド か ら FortiGate の CLI に接続で き ます。 CLI を使用する と 、 Web ベース マネージ ャ か ら使用可能なすべての設 定オプ シ ョ ン を設定で き ます。一部の設定オプ シ ョ ンは、 CLI か らのみ使用で き ます。 また CLI を使用する と 、 診断 コ マ ン ド を入力 し た り 、 Web ベース マネージ ャか らは使用で き ないその 他の高度 な 操作 を 実行 し た り す る こ と も で き ま す。 FortiGate の CLI の詳細 に つ い て は、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 CLI コ ン ソ ールに接続するには、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [CLI Console] ウ ィ ジ ェ ッ ト のウ ィ ン ド ウの内部を選択 し ます。 CLI に自動的に ログ イ ン さ れます。 詳細につ いては、 50 ページの 「[CLI Console]」 を参照 し て く だ さ い。 カスタマ サポートへの接続 [ カ ス タ マ サポー ト への接続 ] ボ タ ン を押す と 、新 し いブ ラ ウザ ウ ィ ン ド ウが開いて 「Fortinet Support」 Web ページが表示 さ れます。 こ のページか らは、 次の操作を行 う こ と がで き ます。 ・ Fortinet Knowledge Base にア ク セスする ・ カ ス タ マ サポー ト にログ イ ンする (Support Login) ・ フ ォ ーテ ィ ネ ッ ト 製品を登録する (Product Registration) ・ フ ォ ーテ ィ ネ ッ ト の Product End of Life を表示する ・ Fortinet Training and Certification について検索する ・ FortiGuard Center にア ク セスする。 製品の更新、 テ ク ニ カル サポー ト 、 および FortiGuard サービ ス を受けるには、 フ ォ ーテ ィ ネ ッ ト 製 品 を 登 録 す る 必 要 が あ り ま す。 フ ォ ー テ ィ ネ ッ ト 製 品 を 登 録 す る に は、 「Product Registration」 にア ク セス し てその指示に従います。 FortiGate オンラインヘルプの使用 [ オ ン ラ イ ンヘルプ ] ボ タ ン を押す と 、 現在の Web ベース マネージ ャ ページに関する状況依 存のオ ン ラ イ ン ヘル プが表示 さ れま す。 表示 さ れ る オ ン ラ イ ン ヘルプ ペー ジは コ ン テ ン ツ ウ ィ ン ド ウ と 呼ばれ、 現在の Web ベース マネージ ャ ページに関連 し た情報 と 手順が含まれて います。 ま た、 ほ と んどのヘルプ ページには、 関連する ト ピ ッ ク へのハ イパー リ ン ク も 含ま れています。 オ ン ラ イ ン ヘルプ シ ス テムには、 追加情報の検索に使用で き る リ ン ク も い く つ か含まれています。 28 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ FortiGate オ ン ラ イ ンヘルプの使用 FortiGate の状況依存のオ ン ラ イ ン ヘルプ ト ピ ッ ク には、 Web ベー ス マ ネー ジ ャ ペー ジが VDOM 固有の設定またはグローバル設定のど ち ら 用かを示す [VDOM] または [Global] ア イ コ ン も含まれています。 VDOM お よびグローバル設定は、 バーチ ャ ル ド メ イ ンが有効な状態で動 作 し ている FortiGate ユニ ッ ト にのみ適用 さ れます。FortiGate ユニ ッ ト をバーチ ャル ド メ イ ン が無効な状態で動作 さ せている場合は、[VDOM] お よび [Global] ア イ コ ン を無視で き ます。バー チ ャル ド メ イ ンの詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 図 1: 状況依存のオンラインヘルプ ページ ( コンテンツ ウィンドウのみ ) ブ ッ ク マー ク 印刷 ナ ビゲーシ ョ ンの表示 前のページ 次のページ 電子 メ ール [ ナビゲーションの表示 ] オ ン ラ イ ン ヘル プ ナ ビ ゲー シ ョ ン ウ ィ ン ド ウ を 開 き ま す。 ナ ビ ゲー シ ョ ン ウ ィ ン ド ウか ら 、 オ ン ラ イ ン ヘルプの目次、 索引、 お よび検索を使用 し て、 オ ン ラ イ ン ヘルプ内のすべての情報に ア ク セ ス で き ます。 オ ン ラ イ ン ヘルプは、 FortiGateWeb ベース マネージ ャ およ び 『FortiGate 管理ガ イ ド 』 と 同 じ よ う に 構成 さ れています。 [ 前のページ ] オ ン ラ イ ン ヘルプ内の前のページ を表示 し ます。 [ 次のページ ] オ ン ラ イ ン ヘルプ内の次のページ を表示 し ます。 [ 電子メール ] オ ン ラ イ ン ヘルプ を は じ め任意の フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル ド キ ュ メ ン ト 製品 に 関 す る コ メ ン ト ま た は修正 項目が あ る 場合は、 Fortinet Technical Documentation ([email protected]) に電子 メ ールを送信 し ます。 [ 印刷 ] 現在のオ ン ラ イ ン ヘルプ ページ を印刷 し ます。 [ ブックマーク ] 役立つオ ン ラ イ ン ヘルプ ページ を見つけやす く する ために、 こ のオ ン ラ イ ン ヘルプ ページのエ ン ト リ を ブ ラ ウザのブ ッ ク マー ク ま たはお気に入 り リ ス ト に追加 し ます。 すべてのブ ラ ウザでサポー ト さ れてい るわけではあ り ません。 オ ン ラ イ ンヘルプの目次または索引を表示 し た り 、 検索機能を使用 し た り するには、 Web ベー ス マネージ ャの右上隅のボ タ ン バーにある [ オ ン ラ イ ンヘルプ ] を選択 し ます。 オ ン ラ イ ン ヘルプか ら 、 [ ナビゲーシ ョ ンの表示 ] を選択 し ます。 図 2: ナビゲーション ウィンドウとコンテンツ ウィンドウを含むオンラインヘルプ ページ 目次 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 索引 検索 目次の表示 29 FortiGate オン ラ イ ンヘルプの使用 Web ベース マネージ ャ [Contents] オ ン ラ イ ン ヘルプの目次を表示 し ます。 目次内を移動 し て、 オ ン ラ イ ン ヘ ルプ内の情報を検索で き ます。 オ ン ラ イ ン ヘルプは、 FortiGateWeb ベース マ ネージ ャ お よ び 『FortiGate 管理ガ イ ド 』 と 同 じ よ う に構成 さ れていま す。 『FortiOS 管理ガ イ ド 』。 [Index] オ ン ラ イ ン ヘルプの索引を表示 し ます。 索引を使用 し て、 オ ン ラ イ ン ヘル プ内の情報を検索で き ます。 [Search] オ ン ラ イ ン ヘルプの検索を表示 し ます。 詳細については、 30 ページの 「オ ン ラ イ ン ヘルプの検索」 を参照 し て く だ さ い。 [ 目次の表示 ] 索引、 検索、 ま たはハ イ パー リ ン ク を使用 し てオ ン ラ イ ン ヘルプ内の情報 を検索 し た場合、目次が表示 さ れないか、ま たは目次 と 現在のヘルプ ペー ジの同期が と れていない可能性があ り ます。[ 目次の表示 ] を選択す る と 、 目次内の現在のヘルプ ページの場所を表示で き ます。 オンラインヘルプの検索 オ ン ラ イ ンヘルプの検索を使用 し て、 FortiGate オ ン ラ イ ンヘルプ シ ス テムのテキス ト 全体の 中か ら 1 つの単語または複数の単語を検索で き ます。 次の点に注意 し て く だ さ い。 ・ 複数の単語を検索する と 、 入力 し たすべての単語を含むヘルプ ページのみが検索 さ れま す。 入力 し た単語のいずれかだけ を含むヘルプ ページは検索 さ れません。 ・ 検索で見つか っ たヘルプ ページは、 関連性の順番に ラ ン ク付け さ れます。 ラ ン ク付けが高 ければ高いほど、 そのヘルプ ページに検索対象の 1 つまたは複数の単語に関す る有用な情 報や詳細な情報が含まれている可能性が高 く な り ます。 ヘルプ ページの タ イ ト ルに検索単 語が含まれているヘルプ ページには、 最 も高い ラ ン クが付け ら れます。 ・ 検索のワ イル ド カ ー ド 文字 と し てア ス タ リ ス ク (*) を使用 し て、 任意の数の文字を置き換 え る こ と がで き ます。 た と えば、 auth* を検索する と 、 auth、 authenticate、 authentication、 authenticates な ど を含むヘルプ ページが検索 さ れます。 ・ 場合によ っ ては、 検索で完全一致 し か見つか ら ない こ と があ り ます。 た と えば、 windows を 検索 し た場合は、 window と い う 単語を含むページが検索 さ れない可能性があ り ます。 ワ イ ル ド カ ー ド * を使用すれば ( た と えば、 window* を検索する )、 こ の事態を回避で き ます。 オンラインヘルプ システム内を検索するには 1 2 3 4 任意の Web ベース マネージ ャ ページから、 オ ン ラ イ ン ヘルプ ボ タ ン を選択 し ます。 [ ナビゲーシ ョ ンの表示 ] を選択 し ます。 [Search] を選択 し ます。 検索 フ ィ ール ド に検索対象の 1 つ以上の単語を入力 し てか ら、 キーボー ド 上の Enter キー を押すか、 または [Go] を選択 し ます。 検索結果ウィンドウに、入力したすべての単語を含むすべてのオンラインヘルプ ページの名前が 表示されます。 リストから名前を選択して、 そのヘルプ ページを表示します。 図 3: オンラインヘルプ システムの検索 [Go] 検索 フ ィ ール ド 検索 結果 30 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ Web ベース マネージ ャ ページ キーボードを使用したオンラインヘルプ内の移動 表 3 のキーボー ド シ ョ ー ト カ ッ ト を使用 し て、 オ ン ラ イ ンヘルプ内の情報を表示 し た り 、 検 索 し た り する こ と がで き ます。 表 3: オンラインヘルプ ナビゲーション キー キー 機能 Alt+1 目次を表示 し ます。 Alt+2 索引を表示 し ます。 Alt+3 [ 検索 ] タ ブ を表示 し ます。 Alt+4 前のページに移動 し ます。 Alt+5 次のページに移動 し ます。 Alt+7 オ ン ラ イ ン ヘル プ を は じ め任意の フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル ド キ ュ メ ン ト 製品に関す る コ メ ン ト ま たは修正項目があ る場合は、Fortinet Technical Documentation ([email protected]) に電子 メ ールを送信 し ます。 Alt+8 現在のオ ン ラ イ ン ヘルプ ページ を印刷 し ます。 Alt+9 役立つオ ン ラ イ ン ヘルプ ページ を見つけやす く する ために、 こ のオ ン ラ イ ン ヘルプ ペー ジ のエ ン ト リ を ブ ラ ウザのブ ッ ク マ ー ク ま たはお気に入 り リ ス ト に追加 し ます。 Web ベース マネージャ ページ Web ベース マネージ ャ のイ ン タ フ ェ ースは、 メ ニ ュ ー と ページ で構成 さ れています。 ページ の多 く には、 複数の タ ブが含まれています。 メ ニ ュ ー項目 ([System] な ど ) を選択する と 、 Web ベース マネージ ャ が展開 さ れて、 その メ イ ン メ ニ ュ ーに関連付け ら れたサブ メ ニ ュ ーが表示 さ れます。 別のサブ メ ニ ュ ー を表示するには、 その タ ブ を選択 し ます。 こ のマニ ュ アルの手順では、 た と えば、 次のよ う に メ ニ ュ ー項目、 サブ メ ニ ュ ー項目、 および タ ブ を指定する こ と によ っ てページが表示 さ れます。 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ Web ベース マネージ ャ メ ニ ュ ーの使用 ・ Web ベース マネージ ャ リ ス ト の使用 ・ Web ベース マネージ ャ リ ス ト に対するページ コ ン ト ロールの使用 ・ 表示 さ れる カ ラ ムのカ ラ ム設定を使用 し た制御 ・ カ ラ ム設定 と 組み合わせた フ ィ ル タ の使用 Web ベース マネージャ メニューの使用 Web ベース マネージ ャ メ ニ ュ ーを使用する と 、すべての主要な FortiGate 機能のための設定オ プ シ ョ ンにア ク セスで き ます (31 ページの図を参照 )。 [ システム ] ネ ッ ト ワー ク イ ン タ フ ェ ース、 バーチ ャ ル ド メ イ ン、 DHCP サー ビ ス、 管 理者、 証明書、 高可用性 (HA)、 シ ス テム時刻な どのシ ス テム設定を設定 し た り 、 シ ス テム オ プ シ ョ ン を設定 し た り し ます。 [ ルータ ] FortiGate のス タ テ ィ ッ ク ルーテ ィ ン グやダ イ ナ ミ ッ ク ルーテ ィ ン グ を設 定 し た り 、 ルー タ モ ニ タ を表示 し た り し ます。 [ ファイアウォール ] ネ ッ ト ワー ク 保護機能に適用 さ れ る フ ァ イ ア ウ ォ ール ポ リ シ ーやプ ロ テ ク シ ョ ン プ ロ フ ァ イルを設定 し ます。 ま た、 仮想 IP ア ド レ スや IP プール も 設定 し ます。 [UTM] ア ン チウ イ ルス保護やア ン チ スパム保護、 Web フ ィ ル タ リ ン グ、 不正侵入 防御、 情報漏洩防止、 お よびア プ リ ケーシ ョ ン制御を設定 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 31 Web ベース マネージ ャ ページ Web ベース マネージ ャ [VPN] IPSec と SSL の仮想プ ラ イ ベー ト ネ ッ ト ワー ク を設定 し ます。PPTP は CLI で設定 さ れます。 [ ユーザ ] ユーザ認証が必要な フ ァ イ ア ウ ォ ール ポ リ シーで使用す る ユーザ ア カ ウ ン ト を設定 し ます。 ま た、 RADIUS、 LDAP、 TACACS+、 Windows AD な どの 外部の認証サーバ も 設定 し ます。 フ ァ イ アウ ォ ール、 IPSec、 SSL、 IM、 お よび禁止ユーザの監視を設定 し ます。 [ エンドポイント ] エ ン ド ポ イ ン ト を設定 し た り 、 FortiClient の設定情報を表示 し た り 、 ソ フ ト ウ ェ アの検出パ タ ーン を設定 し た り し ます。 [WAN 最適化 & キャッシュ ] ワ イ ド エ リ ア ネ ッ ト ワー ク (WAN) 上の拠点の間を通過す る ト ラ フ ィ ッ ク や、 イ ン タ ーネ ッ ト か ら Web サーバへの ト ラ フ ィ ッ ク のパ フ ォ ーマ ン ス と セキ ュ リ テ ィ を向上 さ せる ために、WAN 最適化 と Web キ ャ ッ シ ュ を設定 し ます。 [ ワイアレス コントローラ ] FortiGate ユニ ッ ト を、 FortiWiFi ユニ ッ ト の無線ア ク セ ス ポ イ ン ト (AP) 機 能 を 管理す る無線ネ ッ ト ワー ク コ ン ト ロ ー ラ と し て機能す る よ う に設定 し ます。 [ ログ & レポート ] ロギン グやア ラ ー ト メ ールを設定 し ます。 ロ グ メ ッ セージやロ グ レ ポー ト を表示 し ます。 [ 現在の VDOM] FortiGate ユニ ッ ト で VDOM が有効に な っ ている場合にのみ表示 さ れます。 VDOM 間を すばや く 切 り 替え る こ と がで き ます。 VDOM 間を切 り 替え る に は、 [ 現在の VDOM] の横にあ る ド ロ ッ プ ダウ ン リ ス ト か ら VDOM を選択 し ます。 Web ベース マネージャ リストの使用 Web ベース マネージ ャ ページの多 く には、 リ ス ト が含まれています。 ネ ッ ト ワー ク イ ン タ フ ェ ース、 フ ァ イ アウ ォ ール ポ リ シー、 管理者、 ユーザな どの リ ス ト があ り ます。 リ ス ト への読み取 り /書き込みア ク セス を許可する管理者プ ロ フ ァ イルを持つ管理者 と し て ロ グ イ ン し た場合は、 その リ ス ト に応 じ て、 通常は次の こ と が可能にな り ます。 ・ [Create New] を選択 し て、 リ ス ト に新 し い項目を追加する。 ・ ページ上の リ ス ト 内の項目の設定を修正または変更する。 ・ リ ス ト か ら 項目を削除する。 その項目を削除で き ない場合は、 [ 削除 ] ア イ コ ンが使用可能 にな り ません。 項目は通常、 別の設定に追加 さ れている場合は削除で き ません。 まず項目 が追加 さ れている設定を見つけ、 その設定か ら項目を削除する必要があ り ます。 た と えば、 ユーザ グルー プ に追加 さ れてい るユーザを削除す る には、 まずそのユーザ グループか ら ユーザを削除する必要があ り ます ( 図 を参照 )。 リ ス ト への読み取 り 専用ア ク セ ス を許可す る管理者プ ロ フ ァ イル を持つ管理者 と し て ロ グ イ ン し た場合は、 その リ ス ト 上の項目を表示する こ と だけが可能にな り ます ( 図 を参照 )。 詳細については、 179 ページの 「管理者プ ロ フ ァ イル」 を参照 し て く だ さ い。 Web ベース マネージャ リストへのフィルタの追加 Web ベース マネージ ャ で複雑な リ ス ト に表示 さ れる情報を制御する ための フ ィ ル タ を追加で き ます。 フ ィ ル タ を含む リ ス ト の例については、 次の Web ベース マネージ ャ ページ を参照 し て く だ さ い。 32 ・ セ ッ シ ョ ン リ ス ト (51 ページの 「現在のセ ッ シ ョ ン リ ス ト の表示」 を参照 ) ・ フ ァ イ アウ ォ ール ポ リ シーお よび IPv6 ポ リ シー リ ス ト (267 ページの 「フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示」、 278 ページの 「DoS ポ リ シー リ ス ト の表示」、 および 282 ページ の 「スニ フ ァ ポ リ シー リ ス ト の表示」 を参照 ) ・ フ ァ イ アウ ォ ール ユーザ監視 リ ス ト (464 ページの「フ ァ イ アウ ォ ール ユーザ モ ニ タ リ ス ト 」 を参照 ) ・ IPSec VPN モ ニ タ (422 ページの 「VPN のモ ニ タ 」 を参照 ) ・ 既知のエ ン ド ポ イ ン ト のエ ン ド ポ イ ン ト NAC リ ス ト (475 ページの 「エ ン ド ポ イ ン ト の監 視」 を参照 ) ・ ログ と レポー ト ログ ア ク セス リ ス ト (496 ページの 「ログ メ ッ セージへのア ク セスおよび 表示」 を参照 ) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ Web ベース マネージ ャ ページ フ ィ ル タ は、 自分に と っ て重要な情報に焦点を絞る こ と がで き る よ う に、 リ ス ト に表示 さ れる エ ン ト リ の数を削減する ために有効です。 た と えば、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [Statistics] セ ク シ ョ ン で [Sessions] 行の [Details] を選択する と 、 FortiGate ユニ ッ ト が現在処理 し ている通信セ ッ シ ョ ン を表示で き ます。 使用頻度の高い FortiGate ユニ ッ ト は、 数百 ~ 数千の通信セ ッ シ ョ ン を処理 し ている 可能性があ り ます。 特定のセ ッ シ ョ ン を見つけやす く する ための フ ィ ル タ を追加で き ます。 た と えば、 特定の フ ァ イ ア ウ ォ ール ポ リ シーに よ っ て許可 さ れてい るすべての通信セ ッ シ ョ ン を探 し ている と し ます。 特定のポ リ シー ID またはポ リ シー ID の範囲に対応する セ ッ シ ョ ンの みを表示する ためのポ リ シー ID フ ィ ル タ を追加で き ます。 Web ベース マネージャ リストにフィルタを追加するには、 任意のフィルタ アイコンを選択して [Edit Filters] ウィンドウを表示します。 [Edit Filters] ウィンドウから、 フィルタ処理する任意のカラム名を選 択し、 そのカラムに対してフィルタを設定できます。 また、 1 つ以上のカラムに対するフィルタを一度 に追加することもできます。 フィルタ アイコンは、 フィルタ処理されていないカラムでは灰色のままに なり、 フィルタ処理されたカラムでは緑色に変化します。 個々のカ ラ ムに表示 さ れる情報の種類に応 じ て、 異な る フ ィ ル タ のス タ イルを使用で き ます。 いずれの場合 も、 フ ィ ル タ 処理する対象 と 、 フ ィ ル タ に一致する情報を表示するかど う かを指 定するか、または フ ィ ル タ に一致 し ない情報を表示 し ない こ と を選択する こ と によ っ て フ ィ ル タ を設定 し ます。 フ ァ イ アウ ォ ール ポ リ シー、 IPv6 ポ リ シー、 定義済みシグネチ ャ、 お よびログ と レポー ト ロ グ ア ク セス リ ス ト では、 フ ィ ル タ を カ ラ ム設定 と 組み合わせる こ と によ り 、 リ ス ト で表示 さ れる情報を さ ら に きめ細か く 制御で き ます。 詳細については、 35 ページの 「カ ラ ム設定 と 組 み合わせた フ ィ ル タ の使用」 を参照 し て く だ さ い。 注記 : フ ィ ル タ の設定は FortiGate の設定に格納 さ れ、 次回、 フ ィ ル タ を追加 し たいずれか の リ ス ト にア ク セス し た と き に も保持 さ れます。 数値を含むカラムに対するフィルタ カ ラ ムに数値 ( た と えば、 IP ア ド レ ス、 フ ァ イ アウ ォ ール ポ リ シー ID、 ポー ト 番号 ) が含ま れてい る場合は、 1 つの数値または数値の範囲で フ ィ ル タ 処理で き ます。 た と えば、 発信元ア ド レ スのカ ラ ムを、1 つの IP ア ド レ ス またはア ド レ スの範囲内のすべてのア ド レ スに対する エ ン ト リ のみを表示する よ う に設定で き ます。 範囲を指定するには、 範囲の一番上 と 一番下の値 をハイ フ ン で区切 り ます ( た と えば、 25-50)。 テキスト文字列を含むカラムに対するフィルタ カ ラ ムにテキス ト 文字列 ( た と えば、 名前やログ メ ッ セージ ) が含まれている場合は、 テキス ト 文字列で フ ィ ル タ 処理で き ます。 また、 テキス ト 文字列 と 正確に一致する ( 等 し い ) 情報、 テキス ト 文字列を含む情報、 またはテキス ト 文字列に等 し く ないか、 テキス ト 文字列を含ま な い情報を フ ィ ル タ 処理する こ と も で き ます。 さ ら に、 テキス ト 文字列の大文字 / 小文字に一致 するかど う か も指定で き ます。 テキス ト 文字列は空白にする こ と も 、 非常に長 く する こ と も で き ます。 また、 テキス ト 文字列 に <、 &、 > などの特殊文字を含める こ と も で き ます。 ただ し 、 フ ィ ル タ 処理では、 < の後にス ペースがない限 り 、<に続 く 文字を無視 し ます (た と えば、<string を無視 し ますが、< string は無視 し ません )。 フ ィ ル タ 処理ではまた、 一致 し た開始 と 終了の < と > の文字 と 、 その内部 にあ るすべての文字 も 無視 し ます ( た と えば、 <string> を無視 し ますが、 >string> は無視 し ません )。 特定の項目のみを含むことができるカラムに対するフィルタ 特定の項目 ( た と えば、ログ メ ッ セージの重大度や定義済みシグネチ ャのア ク シ ョ ン ) のみを 含む こ と がで き る カ ラ ムの場合は、 リ ス ト か ら 1 つの項目を選択で き ます。 こ の場合は、 選択 さ れた 1 つの項目に対 し てのみ フ ィ ル タ 処理で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 33 Web ベース マネージ ャ ページ Web ベース マネージ ャ カスタム フィルタ その他のカ ス タ ム フ ィ ル タ も使用で き ます。日付の範囲や時間の範囲に従 っ て、ログ メ ッ セー ジ を フ ィ ル タ 処理で き ます。 ま た、 複数の重大度レ ベルを持つロ グ メ ッ セージ を表示す る た めのレ ベル フ ィ ル タ を設定する こ と も で き ます。 Web ベース マネージャ リストに対するページ コントロールの使用 Web ベース マネージ ャ には、 標準的な ブ ラ ウザ ウ ィ ン ド ウに表示で き る よ り 多 く の項目を含 む リ ス ト を容易に表示で き る よ う にする ためのページ コ ン ト ロールが含まれています。 ペー ジ コ ン ト ロールを含む Web ベース マネージ ャ ページには、 次の も のがあ り ます。 ・ セ ッ シ ョ ン リ ス ト (51 ページの 「現在のセ ッ シ ョ ン リ ス ト の表示」 を参照 ) ・ ルー タ モニ タ (261 ページの 「ルー タ - モ ニ タ 」 を参照 ) ・ フ ァ イ アウ ォ ール ユーザ監視 リ ス ト (464 ページの「フ ァ イ アウ ォ ール ユーザ モ ニ タ リ ス ト 」 を参照 ) ・ IPSec VPN モ ニ タ (422 ページの 「VPN のモ ニ タ 」 を参照 ) ・ 禁止ユーザ リ ス ト (466 ページの 「NAC 隔離お よび禁止ユーザ リ ス ト 」 を参照 ) ・ ログ と レポー ト ログ ア ク セス リ ス ト (496 ページの 「ログ メ ッ セージへのア ク セスおよび 表示」 を参照 ) ・ 既知のエ ン ド ポ イ ン ト のエ ン ド ポ イ ン ト NAC リ ス ト (475 ページの 「エ ン ド ポ イ ン ト の監 視」 を参照 ) [ 最初のページ ] リ ス ト 内の項目の最初のページ を表示 し ます。 [ 前ページ ] リ ス ト 内の項目の前のページ を表示 し ます。 [ 現在のページ ] 表示 さ れて い る リ ス ト 項目の現在のページ番号。 ペー ジ番号 を 入力 し て Enter キー を押す と 、 そのページにあ る項目を表示で き ます。 た と えば、 5 ページ分の項目があ る と き に 「3」 を入力する と 、 項目の 3 ページ目が表 示 さ れます。 [ 総ページ数 ] 表示で き る リ ス ト 項目のページ数。 [ 次ページ ] リ ス ト 内の項目の次のページ を表示 し ます。 [ 最後のページ ] リ ス ト 内の項目の最後のページ を表示 し ます。 表示されるカラムのカラム設定を使用した制御 カ ラ ム設定を使用する と 、 一部の Web ベース マネージ ャ リ ス ト を、 自分に と っ て重要な情報 が見つけやす く な り 、 重要性の低い情報が表示 さ れ な いか、 ま たは目立た な く な る よ う に フ ォ ーマ ッ ト で き ます。 複雑な リ ス ト を含む Web ベース マネージ ャ ページ では、 カ ラ ム設定を変更する こ と によ り 、 その リ ス ト のために表示 さ れる情報 カ ラ ムを制御 し た り 、それ ら の情報カ ラ ムが表示 さ れる順 序を制御 し た り する こ と がで き ます。 カ ラ ム設定で制御で き る Web ベース マネージ ャ ページ には、 次の も のがあ り ます。 34 ・ ネ ッ ト ワー ク イ ン タ フ ェ ース リ ス ト (89 ページの 「イ ン タ フ ェ ースの設定」 を参照 ) ・ フ ァ イ アウ ォ ール ポ リ シーお よび IPv6 ポ リ シー (267 ページの 「フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示」 を参照 ) ・ フ ァ イ アウ ォ ール ユーザ監視 リ ス ト (464 ページの「フ ァ イ アウ ォ ール ユーザ モ ニ タ リ ス ト 」 を参照 ) ・ IPSec VPN モ ニ タ (422 ページの 「VPN のモ ニ タ 」 を参照 ) ・ 既知のエ ン ド ポ イ ン ト のエ ン ド ポ イ ン ト NAC リ ス ト (475 ページの 「エ ン ド ポ イ ン ト の監 視」 を参照 ) ・ ログ と レポー ト ログ ア ク セス リ ス ト (496 ページの 「ログ メ ッ セージへのア ク セスおよび 表示」 を参照 ) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク Web ベース マネージ ャ Web ベース マネージ ャ ページ 注記 : リ ス ト のカ ラ ム設定に対 し て行っ た変更はすべて FortiGate の設定に格納 さ れ、 次 回、 この リ ス ト にア ク セス し た と き に表示 さ れます。 カ ラ ム設定をサポー ト し ている リ ス ト で カ ラ ム設定を変更するには、 [Column Settings] を選択 し ます。 [Available fields] か ら 、 表示 さ れる カ ラ ム見出 し を選択 し た後、 右矢印を選択 し てそれ らのカ ラ ム見出 し を [Show these fields in this order] リ ス ト に移動 し ます。 同様に、 カ ラ ム見出 し を非表示にす るには、 左矢印を使用 し てそれ らの カ ラ ム見出 し を [Available fields] リ ス ト に 戻 し ます。 カ ラ ムが表示 さ れる順序を変更するには、 [Move Up] と [Move Down] を使用 し ます。 た と えば、イ ン タ フ ェ ース リ ス ト の カ ラ ム見出 し を、各イ ン タ フ ェ ースの [IP/Netmask]、[MAC] ア ド レ ス、 [MTU]、 お よび イ ン タ フ ェ ースの [Type] のみが表示 さ れる よ う に変更で き ます。 カラム設定と組み合わせたフィルタの使用 フ ァ イ アウ ォ ール ポ リ シー、 IPv6 ポ リ シー、 定義済みシグネチ ャ、 フ ァ イ アウ ォ ール ユーザ 監視、 IPSec モ ニ タ 、 およびログ と レポー ト ログ ア ク セス リ ス ト では、 フ ィ ル タ を カ ラ ム設 定 と 組み合わせる こ と によ り 、 リ ス ト で表示 さ れる情報を さ ら に きめ細か く 制御で き ます。 た と えば、 [Intrusion Protection]、 [Signature]、 [Predefined] の順に選択 し て、 不正侵入防御の定 義済みシグネチ ャ リ ス ト を、 選択 さ れた ア プ リ ケーシ ョ ンの脆弱性か ら 保護す る シグネチ ャ の名前のみが表示 さ れる よ う に設定で き ます。 こ れを行 う には、 [Column Settings] を設定 し て [Applications] と [Name] のみが表示 さ れる よ う に し ます。 次に、 選択 さ れたア プ リ ケーシ ョ ン のみが表示 さ れる よ う に [Applications] に フ ィ ル タ を適用 し ます。 ま た、 定義済みシグネチ ャ リ ス ト では、 異な る カ ラ ムで リ ス ト を並べ替え る こ と も で き ます。 各ア プ リ ケーシ ョ ンのすべ てのシグネチ ャが一緒にグループ化 さ れる よ う に、ア プ リ ケーシ ョ ン ご と に リ ス ト を並べ替え る こ と がで き ます。 詳細については、 32 ページの 「Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 35 Web ベース マネージ ャ ページ 36 Web ベース マネージ ャ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド システム ダッシュボード こ の項では、 シ ステム ダ ッ シ ュ ボー ド と 、 そのページ である [Status] および [Usage] について 説明 し ます。 シ リ アル番号、 ア ッ プ タ イム、 FortiGuard ラ イ セ ン ス情報、 シ ス テム リ ソ ースの 使用方法、 警告 メ ッ セージ、 ネ ッ ト ワー ク 統計な どの、 FortiGate ユニ ッ ト の現在のシ ス テム ステー タ ス を一目でわかる よ う に表示で き ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効に し た場合は、 ス テー タ ス ページが グローバルに使用可能にな り 、 シ ステム ス テー タ ス設定は FortiGate ユニ ッ ト 全体に対 し てグ ローバルに設定 さ れます。 VDOM が有効にな っ てい る場合は、 ト ポロ ジ ビ ュ ーアは使用で き ません。 詳細については、 73 ページの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ ダ ッ シ ュ ボー ド の概要 ・ [System Information] ・ [License Information] ・ [Unit Operation] ・ [System Resources] ・ 警告 メ ッ セージ コ ン ソ ール ・ [Log and Archive Statistics] ・ [CLI Console] ・ [Top Sessions] ・ [Top Viruses] ・ [Top Attacks] ・ [Traffic History] ・ [Top Policy Usage] ・ [DLP Archive Usage] ・ [RAID Monitor] ・ [Top Application Usage] ・ [Disk Status] ・ [P2P Usage] ・ [Per-IP Bandwidth Usage] ・ [VoIP Usage] ・ [IM Usage] ・ [FortiGuard] 注記 : [System Dashboard] ページ を表示するには、 ブ ラ ウザで Java ス ク リ プ ト がサポー ト さ れてい る必要があ り ます。 FortiOS 4.0 MR2 には、 ト ポ ロ ジ ビ ュ ーアが含まれていません。 FortiOS 4.0 MR2 にア ッ プ グレー ド する と 、 ト ポ ロ ジ ビ ュ ーアの設定はすべて失われます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 37 ダ ッ シ ュ ボー ド の概要 システム ダ ッ シ ュ ボー ド ダッシュボードの概要 [Dashboard] メ ニ ュ ー を使用する と 、 ダ ッ シ ュ ボー ド を追加 し た り 、 カ ス タ マ イ ズ し た り で き ます。 ダ ッ シ ュ ボー ド は、 複数のウ ィ ジ ェ ッ ト か らの ( ト ラ フ ィ ッ ク活動な どの ) 情報を表示 する ために使用で き る メ ニ ュ ーです。 こ れ ら の情報は有効であ り 、 フ ァ ームウ ェ ア を更新 し た り 、 FortiGate ユニ ッ ト を再起動 し た り 、 ロ グ と アー カ イ ブの統計を すばや く 表示 し た り する 場合に役立ち ます。 ダ ッ シ ュ ボー ド を追加 し た り カ ス タ マ イ ズ し た り し て、 特定のダ ッ シ ュ ボー ド に特定の情報 ( ログ情報な ど ) が含まれる よ う にする と 、 該当する ダ ッ シ ュ ボー ド に直接移動 し てその特定の 情報 を 表示 で き る よ う に な り ま す。 た と え ば、 ア ー カ イ ブ ダ ッ シ ュ ボ ー ド ([Dashboard]、 [Archives] の順に選択 ) には [DLP Archive Usage] および [Log and Archive Statistics] ウ ィ ジ ェ ッ ト が含まれている ため、 ユーザはログ アー カ イ ブ情報のみを表示で き ます。 ど ち ら かの メ ニ ュ ーが表示 さ れてい る と き にウ ィ ジ ェ ッ ト を カ ス タ マ イ ズま たは追加す る場 合、 管理者には読み取 り お よび書き込み特権が必要です。 [Status] や [Usage] で情報を表示す る場合、 管理者には読み取 り 特権が必要です。 管理者お よびそのプ ロ フ ァ イルの詳細について は、 179 ページの 「管理者プ ロ フ ァ イル」 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ ダ ッ シ ュ ボー ド へのウ ィ ジ ェ ッ ト の追加 ・ ダ ッ シ ュ ボー ド へのウ ィ ジ ェ ッ ト の追加 ・ VDOM ダ ッ シ ュ ボー ド と グ ローバル ダ ッ シ ュ ボー ド ダッシュボードの追加 ダ ッ シ ュ ボー ド は最初、 デ フ ォ ル ト メ ニ ュ ーであ る [Status] お よび [Usage] か ら 追加 さ れま す。 [Status] または [Usage] のど ち らの メ ニ ュ ーが表示 さ れてい る場合 も、 ダ ッ シ ュ ボー ド の 追加、削除、または名前変更を行 う こ と がで き ます。[Reset Dashboards] を選択する こ と によ っ て、 [Dashboard] メ ニ ュ ー をデ フ ォ ル ト 設定に リ セ ッ ト で き ます。 [Dashboard] メニューにダッシュボードを追加するには 1 [Dashboard]、 [Status] の順に選択 し ます。 2 [ ダ ッ シ ュ ボー ド ] ア イ コ ン を選択 し ます。 3 次のオプ シ ョ ン を含む ド ロ ッ プダウン リ ス ト が表示 さ れます。 [Add Dashboard] [Dashboard] メ ニ ュ ーに新 し いダ ッ シ ュ ボー ド を追加 し ます。 [Rename Dashboard] 現在の ダ ッ シ ュ ボ ー ド の名前 を 変更 し ま す。 既存のデ フ ォ ル ト メ ニ ュ ーであ る [Status] お よび [Usage] の名前を変更で き ます。 [Delete Dashboard] 表示 さ れてい る現在のダ ッ シ ュ ボー ド を削除 し ます。 [Reset Dashboards] [Dashboard] メ ニ ュ ー全体を、元のデ フ ォ ル ト 設定に リ セ ッ ト し ます。 [Add Dashboard] を選択 し ます。 [Add Dashboard] ウィンドウの [Name] フィールドに、 ダッシュボードの名前を入力します。 6 [OK] を選択 し ます 4 5 新しいダッシュボードに自動的にリダイレクトされます。ダッシュボードへのウィ ジェットの追加を開始できます。 ダッシュボードへのウィジェットの追加 [Dashboard] メ ニ ュ ーに ダ ッ シ ュ ボー ド を 追加 し た後は、 そのダ ッ シ ュ ボー ド に複数のウ ィ ジ ェ ッ ト を追加で き ます。ほ と んどのウ ィ ジ ェ ッ ト は特定の情報を表示する よ う に カ ス タ マ イ ズ可能であ り 、 さ ら に一部のウ ィ ジ ェ ッ ト ではよ り 詳細な情報を表示で き ます。 ダ ッ シ ュ ボー ド にウ ィ ジ ェ ッ ト を追加する には、 [ ウ ィ ジ ェ ッ ト ] ア イ コ ン を選択 し てか ら、 [Click active module name to add module to the page] ウ ィ ン ド ウでウ ィ ジ ェ ッ ト を選択 し ます。 38 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [System Information] ウィジェットのカスタマイズに使用可能なウィジェットの設定 [Widget Title] 表示の名前を示 し ます。 [Open/Close arrow] 表示を開 く か、 または閉 じ る場合に選択 し ます。 [History] 展開 さ れた一連のデー タ を表示する場合に選択 し ます。 すべてのウ ィ ジ ェ ッ ト で使用で き るわけではあ り ません。 [Edit] 表示の設定を変更する場合に選択 し ます。 [Refresh] 表示 さ れてい る情報を更新す る場合に選択 し ます。 [Close] 表示を閉 じ る場合に選択 し ます。 操作を確認する よ う 求め ら れます。 注記 : [Status] に表示 さ れる情報は、 プ ラ イ マ リ ユニ ッ ト だけでな く HA ク ラ ス タ 全体に 適用 さ れます。 これには、 ア ク セス さ れた URL、 送受信 さ れた電子 メ ール、 捕捉 さ れたウ イルスな どの情報が含まれます。 VDOM ダッシュボードとグローバル ダッシュボード VDOM 管理者は、 自分の VDOM のための VDOM 固有のダ ッ シ ュ ボー ド を表示 し た り 設定 し た り で き ます。VDOM ダ ッ シ ュ ボー ド を表示するには、VDOM か ら [System]、[Dashboard]、[Status] の順に選択 し ます。 VDOM ダ ッ シ ュ ボー ド では、[System Information]、[Unit Operation]、[System Resources]、 [Log and Archive Statistics]、 [CLI Console]、 [Top Sessions]、 および [Traffic History] ダ ッ シ ュ ボー ド ウ ィ ジ ェ ッ ト が使用可能です。 こ れ ら の使用可能なウ ィ ジ ェ ッ ト は、 グ ローバル ダ ッ シ ュ ボー ド の同 じ ウ ィ ジ ェ ッ ト と は次 のよ う に異な り ます。 [System Information] バーチ ャ ル ド メ イ ン を有効ま たは無効にする こ と がで き ません。 現在の管理 者の一覧があ り ません。 [CLI Console] ユーザは現在の VDOM に ロ グ イ ン し ている ため、 グ ローバル設定にはア ク セ ス で き ません。 [Unit Operation] ユニ ッ ト の再起動 と シ ャ ッ ト ダウ ンが使用で き ません。 管理サービ ス または FortiAnalyzer ユニ ッ ト を設定で き ません。 ネ ッ ト ワー ク ポー ト に関する情報があ り ません。 [Top Sessions] こ の VDOM のセ ッ シ ョ ンのみを表示 し ます。 [Traffic History] こ の VDOM に属す る イ ン タ フ ェ ース ま たは VLAN し か選択で き ません。 super_admin 管理者プ ロ フ ァ イルを持つグローバル管理者は、 グ ローバル ダ ッ シ ュ ボー ド し か 表示で き ません。 [System Information] [System Information] を見つける には、 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 ダ ッ シ ュ ボー ド に [System Information] ウ ィ ジ ェ ッ ト を追加するには、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [Add Content] を選択 し て、 リ ス ト か ら [System Information] を選択 し ます。 [Serial Number] FortiGate ユニ ッ ト のシ リ アル番号。 こ のシ リ アル番号は FortiGate ユニ ッ ト に固有 であ り 、 フ ァ ームウ ェ ア を ア ッ プグ レ ー ド し て も 変わ り ません。 [Uptime] FortiGate ユニ ッ ト が起動 さ れてか ら の時間 を、 日数、 時間数、 お よ び分数で表 し た も の。 [System Time] FortiGate ユニ ッ ト の内部 ク ロ ッ ク に基づ く 現在の日付 と 時刻。 こ の時間を変更するか、 ま たは FortiGate ユニ ッ ト が NTP サーバか ら時間を取得す る よ う に設定す る には、 [Change] を選択 し ます。 詳細については、 41 ページの 「シ ス テム時刻の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 39 [System Information] 40 システム ダ ッ シ ュ ボー ド [HA Status] こ のユニ ッ ト の高可用性のス テー タ ス。 [Standalone] は、 こ のユニ ッ ト が HA モー ド で動作 し ていない こ と を示 し ます。 [Active-Passive] または [Active-Active] は、 こ のユニ ッ ト が HA モー ド で動作 し て い る こ と を示 し ます。 こ のユニ ッ ト の HA ス テー タ ス を設定す る には、 [Configure] を選択 し ます。 詳細に ついては、 137 ページの 「HA」 を参照 し て く だ さ い。 [Host Name] 現在の FortiGate ユニ ッ ト のホス ト 名。 ホス ト 名を変更する には、 [Change] を選択 し ます。 詳細については、 41 ページの 「FortiGate ユニ ッ ト のホ ス ト 名の変更」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト が HA モー ド に設定 さ れている場合、こ の フ ィ ール ド は表示 さ れ ません。 [Cluster Name] こ の FortiGate ユニ ッ ト の HA ク ラ ス タ の名前。詳細については、137 ページの 「HA」 を参照 し て く だ さ い。 こ の フ ィ ール ド を表示する には、FortiGate ユニ ッ ト が HA モー ド で動作 し てい る必 要があ り ます。 [Cluster Members] HA ク ラ ス タ 内の FortiGate ユニ ッ ト 。 各 メ ンバに関 し て、 ホス ト 名、 シ リ アル番 号、 そのユニ ッ ト が ク ラ ス タ 内の上位 ( マ ス タ ) ユニ ッ ト ま たは下位 ( ス レ ーブ ) ユ ニ ッ ト の ど ち ら で あ る か と い っ た情報が表示 さ れ ま す。 詳細に つ い ては、 137 ページの 「HA」 を参照 し て く だ さ い。 こ の フ ィ ール ド を表示する には、 FortiGate ユニ ッ ト が、 バーチ ャ ル ド メ イ ンが無 効にな っ てい る HA モー ド で動作 し てい る必要があ り ます。 [Virtual Cluster 1] [Virtual Cluster 2] 仮想 ク ラ ス タ 1 お よび仮想 ク ラ ス タ 2 内の各 FortiGate ユニ ッ ト の役割。 詳細につ いては、 137 ページの 「HA」 を参照 し て く だ さ い。 こ れ ら の フ ィ ール ド を表示す る には、 FortiGate ユニ ッ ト が、 バーチ ャ ル ド メ イ ン が有効に な っ ている HA モー ド で動作 し ている必要があ り ます。 [Firmware Version] FortiGateユニ ッ ト に イ ン ス ト ール さ れてい る現在の フ ァ ームウ ェ アのバージ ョ ン。 フ ァ ームウ ェ ア バージ ョ ンの形式は フ ァ ームウ ェ ア を変更する には、 [Update] を選択 し ます。 詳細については、 42 ページの 「FortiGate の変更」 を参照 し て く だ さ い。 [System Configuration] 設定フ ァ イ ルがバ ッ ク ア ッ プ さ れた期間。[Backup] を選択 し て、現在の設定をバ ッ ク ア ッ プ す る こ と がで き ます。 [Backup] を 選択す る と 、 [Backup] ページ に自動的 に リ ダ イ レ ク ト さ れます。 設定 フ ァ イ ルを復元す る場合は、 [Restore] を選択 し ま す。 [Restore] を選択する と 、 [Restore] ページに自動的に リ ダ イ レ ク ト さ れます。 [FortiClient Version] エ ン ド ポ イ ン ト 制御に使用 さ れてい る FortiGate ユニ ッ ト に ア ッ プ ロ ー ド さ れ る FortiClient の現 在の バ ー ジ ョ ン。 こ の フ ィ ー ル ド は、 FortiClient の イ メ ー ジ を FortiGate ユニ ッ ト に ア ッ プ ロ ー ド で き る 場合に表示 さ れま す。 詳細については、 473 ページの「FortiClient イ ン ス ト ー ラ ダウ ン ロー ド お よび必須バージ ョ ンの設定」 を参照 し て く だ さ い。 [Operation Mode] 現在の FortiGate ユニ ッ ト の動作モー ド 。 FortiGate ユニ ッ ト は、 NAT モー ド ま たは ト ラ ン ス ペ ア レ ン ト モ ー ド で動作 で き ま す。 NAT モ ー ド と ト ラ ン ス ペ ア レ ン ト モー ド と を切 り 替え る には、 [Change] を選択 し ます。 詳細については、 166 ページ の 「動作モー ド の変更」 を参照 し て く だ さ い。 バーチ ャ ル ド メ イ ンが有効に な っ てい る場合、 こ の フ ィ ール ド には、 現在のバー チ ャ ル ド メ イ ン の動作 モ ー ド が表示 さ れ ま す。 各バー チ ャ ル ド メ イ ン は、 NAT モー ド ま たは ト ラ ン スペア レ ン ト モー ド のど ち ら で も 動作で き ます。 バーチ ャ ル ド メ イ ンが有効に な っ て い る場合、 グ ロ ーバル シ ス テム ス テー タ ス ダ ッ シ ュ ボー ド には こ の フ ィ ール ド が含まれません。 [Virtual Domain] FortiGate ユニ ッ ト 上のバーチ ャ ル ド メ イ ンのス テー タ ス。バーチ ャ ル ド メ イ ン機 能のス テー タ ス を変更する には、 [Enable] ま たは [Disable] を選択 し ます。 バーチ ャ ル ド メ イ ン を有効ま たは無効にする と 、 セ ッ シ ョ ンが終了す る ため、 ロ グ イ ン し 直す必要があ り ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 [Current Administrators] 現在 FortiGate ユニ ッ ト に ロ グ イ ン し てい る管理者の数。 現在ロ グ イ ン し ている各管理者に関する よ り 詳細な情報を表示す る には、 [Details] を選択 し ます。 追加情報には、 ユーザ名、 接続の種類、 接続元の IP ア ド レ ス、 お よびロ グ イ ン し た時刻が含まれます。 [Current User] FortiGate ユニ ッ ト に ロ グ イ ンす る ために使用 し た管理者ア カ ウ ン ト の名前。PKI ま たは リ モー ト 認証に よ っ てはな く 、パスワー ド に よ っ て ロ ー カ ルに認証 さ れている 場合は、 [Change Password] を選択 し て こ のア カ ウ ン ト のパスワー ド を変更で き ま す。 パスワー ド を変更す る と ロ グ アウ ト さ れる ため、 新 し いパスワー ド を使用 し て ロ グ イ ン し 直す必要があ り ます。 詳細については、 172 ページの 「管理者ア カ ウ ン ト のパスワー ド の変更」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [System Information] システム時刻の設定 FortiGate ユニ ッ ト のシ ス テム時刻は、 [System Information] ウ ィ ジ ェ ッ ト で変更で き ます。 ま た、 [System Information] ウ ィ ジ ェ ッ ト の [System Time] 領域に現在の時刻を表示す る こ と も で き ます。 1 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 2 [System Information] ウ ィ ジ ェ ッ ト で、 [System Time] 行にある [Change] を選択 し ます。 3 タ イム ゾーン を選択 し た後、 日付 と 時刻を手動で設定するか、 または NTP サーバ と の同 期を設定 し ます。 [System Time] 現在の FortiGate シ ス テムの日付 と 時刻。 [Refresh] 現在の FortiGate シ ス テムの日付 と 時刻の表示を更新 し ます。 [Time Zone] 現在の FortiGate シ ス テムの タ イ ム ゾーン を選択 し ます。 [Automatically adjust タ イ ム ゾーン で夏時間 と 標準時間が切 り 替わる際に FortiGate のシ ス テム clock for daylight saving ク ロ ッ ク を自動的に調整 し たい場合に選択 し ます。 changes] [Set Time] FortiGate システムの日付と時刻を、 [Hour]、 [Minute]、 [Second]、 [Year]、 [Month]、 および [Day] フィールドに入力した値に設定する場合に選択します。 [Synchronize with NTP Server] NTP (Network Time Protocol) サーバ を 使用 し て シ ス テムの日付 と 時刻 を 自 動的に設定す る場合に選択 し ます。 サーバ と 同期間隔を 指定する必要があ り ます。 FortiGate ユニ ッ ト は、 NTP バージ ョ ン 4 を使用 し ます。 NTP バージ ョ ン 4 では現在、 RFC は使用で き ません。 NTP バージ ョ ン 3 の RCF は RFC 1305 です。 NTP の詳細については、 http://www.ntp.org を参照 し て く だ さ い。 [Server] NTP サーバの IP ア ド レ ス または ド メ イ ン名を入力 し ます。使用で き る NTP サーバを検索す る には、 http://www.ntp.org を参照 し て く だ さ い。 [Sync Interval] FortiGate ユニ ッ ト が NTP サーバ と 時刻の同期を と る頻度を指定 し ます。た と えば、 1440 分に設定す る と 、 FortiGate ユニ ッ ト は 1 日に 1 回時刻の同期 を と り ます。 FortiGate ユニットのホスト名の変更 FortiGate のホス ト 名は、 [Status] ページ と FortiGate の CLI プ ロ ン プ ト に表示 さ れます。 また、 こ のホス ト 名は、 SNMP シ ス テム名 と し て も 使用 さ れます。 SNMP については、 142 ページの 「SNMP」 を参照 し て く だ さ い。 デ フ ォ ル ト のホ ス ト 名は、 FortiGate ユニ ッ ト のシ リ アル番号です。 た と えば、 シ リ アル番号 FGT8002805030003 は、 FortiGate-800 ユニ ッ ト にな り ます。 管理者 プ ロ フ ァ イ ル で シ ス テ ム設定への書 き 込み ア ク セ ス が許可 さ れ て い る 管理者は、 FortiGate ユニ ッ ト のホス ト 名を変更で き ます。 ホス ト 名が 16 文字よ り 長い場合は、 切 り 詰め ら れて表示 さ れ、 最後の文字が "~" にな り ます。 完全なホス ト 名は [System]、 [Status]、 [Dashboard] の順に選択する と 表示 さ れますが、 CLI や、 ホ ス ト 名が使用 さ れ て い る そ の他の場所 で は切 り 詰 め ら れ た ホ ス ト 名が表示 さ れ ま す。 FortiGate ユニ ッ ト が HA ク ラ ス タ の一部である場合は、 そのユニ ッ ト を ク ラ ス タ 内の他のユ ニ ッ ト か ら 区別で き る よ う に一意のホス ト 名を使用 し な く てはな り ません。 FortiGate ユニットのホスト名を変更するには [System]、 [Dashboard]、 [Status] の順に選択 し ます。 [System Information] セ ク シ ョ ンの [Host Name] フ ィ ール ド で、 [Change] を選択 し ます。 3 [New Name] フ ィ ール ド に、 新 し いホス ト 名を入力 し ます。 4 [OK] を選択 し ます 1 2 新しいホスト名が [Host Name] フィールドと CLI プロンプトに表示されます。また、 SNMP システム名にも追加されます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 41 [License Information] システム ダ ッ シ ュ ボー ド FortiGate の変更 注意 : 古い フ ァ ームウ ェ ア イ メ ージ を イ ン ス ト ールする と 、 一部のシ ス テム設定が失われ る可能性があ り ます。 フ ァ ームウ ェ ア イ メ ージ を変更する前に、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 管理者 プ ロ フ ァ イ ル で メ ン テ ナ ン ス 読み取 り お よ び書 き 込み ア ク セ ス が許可 さ れ て い る FortiGate 管理者は、 FortiGate フ ァ ームウ ェ ア を変更で き ます。 フ ァ ームウ ェ ア イ メ ージは、 ロー カル ハー ド デ ィ ス ク、 ロー カル USB デ ィ ス ク、 FortiGuard ネ ッ ト ワー ク を含むい く つか のソ ースから 転送で き ます。 フ ァ ームウ ェ ア変更では、 新 し いバージ ョ ンにア ッ プグ レー ド す るか、 または以前のバージ ョ ンへの復帰を行います。 フ ァ ームウ ェ ア を変更する ための適切な 手順に従 っ て く だ さ い。 USB デ ィ ス ク お よび FortiGuard ネ ッ ト ワー ク を使用する方法の詳細については、 199 ページの 「シ ス テム - メ ン テ ナ ン ス」 を参照 し て く だ さ い。 フ ァ ームウ ェ アの管理の詳細については、 61 ページの 「 フ ァ ームウ ェ ア管理方法」 を参照 し て く だ さ い。 [Upgrade] ( または、 フ ァ ームウ ェ ア を ダウング レー ド する場合は [Downgrade]) を選択する と 、 [Firmware Upgrade/Downgrade] ページに自動的に リ ダ イ レ ク ト さ れます。 [Firmware Upgrade/Downgrade] ページ FortiGate ユニ ッ ト 上の フ ァ ームウ ェ ア を ア ッ プ グ レ ー ド またはダウ ン グ レ ー ド する ための設定を提供 し ます。 [Upgrade From] 使用可能な ソ ースの ド ロ ッ プ ダウ ン リ ス ト か ら 、 フ ァ ームウ ェ ア ソ ース を選択 し ます。 可能性のあ る ソ ースには、 ロ ー カ ル ハー ド デ ィ ス ク 、 USB、 お よ び FortiGuard ネ ッ ト ワー ク があ り ます。 こ の フ ィ ール ド は、 すべてのモデルで表示 さ れるわけではあ り ません。 [Upgrade File] ロ ー カ ル ハー ド デ ィ ス ク 上の フ ァ ームウ ェ ア イ メ ージの場所を参照 し ます。 こ の フ ィ ール ド は、 ロー カル ハー ド デ ィ ス ク と USB にのみ使用で き ます。 [Allow Firmware Downgrade] 古い フ ァ ームウ ェ ア イ メ ージのイ ン ス ト ール ( ダウ ン グ レ ー ド ) を確認する場合 に選択 し ます。 こ の フ ィ ール ド は、 フ ァ ームウ ェ ア を ダウ ン グ レ ー ド し よ う と し た場合にのみ表 示 さ れます。 [More Info] FortiGuard ネ ッ ト ワー ク を経由 し た フ ァ ームウ ェ アの更新に関す る詳細情報を表 示する ために、 FortiGuard Center に移動 し ます。 注記 : FortiGate モデルのフ ァ ームウ ェ アの更新にア ク セスするには、FortiGate ユニ ッ ト を カ ス タ マ サポー ト に登録する必要があ り ます。詳細については、http://support.fortinet.com を参照するか、 またはカ ス タ マ サポー ト にお問い合わせ く だ さ い。 [License Information] [License Information] には、テ ク ニ カル サポー ト 契約 と FortiGuard サブ ス ク リ プ シ ョ ンのス テー タ スが表示 さ れます。 FortiGate ユニ ッ ト は、 FortiGuard Distribution Network (FDN) に接続 し よ う と す る と き に、 ラ イ セ ン ス 情 報 の ス テ ー タ ス イ ン ジ ケ ー タ を 自 動 的 に 更 新 し ま す。 FortiGuard サブ ス ク リ プ シ ョ ンのス テー タ ス イ ン ジケー タ は、 FDN に接続可能であ り 、 最後の 接続試行中に ラ イ セ ン スが有効であ っ た場合は緑色、 FortiGate ユニ ッ ト が FDN に接続で き な い場合は灰色、 FDN に接続可能だが、 ラ イ セ ン スの期限が切れている場合はオ レ ン ジ色にな り ます。 新 し い FortiGate ユニ ッ ト は、電源が投入 さ れる と FortiGuard サービ ス を自動的に検索 し ます。 こ のユニ ッ ト が集中管理用に設定 さ れている場合は、設定 さ れてい る FortiManager シ ス テム上 で FortiGuard サービ ス を検索 し ます。 FortiGate ユニ ッ ト は、 シ リ アル番号を FortiGuard サービ ス プ ロバ イ ダに送信 し ます。 こ のサービ ス プ ロバイ ダは次に、 こ の FortiGate ユニ ッ ト が登録 済みであ り 、 かつ FortiGuard サブ ス ク リ プ シ ョ ン と FortiCare サポー ト サービ スの有効な契約 が締結 さ れているかど う かを判断 し ます。 こ の FortiGate ユニ ッ ト が登録済みであ り 、 かつ有 効な契約が締結 さ れている場合は、 ラ イ セ ン ス情報が更新 さ れます。 42 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [License Information] こ の FortiGate ユニ ッ ト が登録 さ れていない場合は、 super_admin プ ロ フ ァ イルを持つすべての 管理者に、 登録 フ ォ ームへのア ク セス を提供する リ マ イ ンダ メ ッ セージが表示 さ れます。 30 日以内に契約の期限が切れる場合は、 super_admin プ ロ フ ァ イルを持つすべての管理者に、 契約の追加 フ ォ ームへのア ク セス を提供する通知 メ ッ セージが表示 さ れます。 単純に、 新 し い 契約番号を入力 し て [Add] を選択 し ます。 また、 Fortinet サポー ト は契約満了 リ マ イ ン ダ も 送 信 し ます。 必要に応 じ て、 登録の通知または契約の問い合わせを無効にする こ と がで き ます。 登録の通知を無効にするには config system global set registration-notification disable end 契約満了の通知を無効にするには config system global set service-expire-notification disable end いずれかの設定オ プ シ ョ ン を選択す る と 、 [Maintenance] ページが表示 さ れます。 詳細につい ては、 199 ページの 「シ ステム - メ ン テナン ス」 を参照 し て く だ さ い。 [Support Contract] 終了日や登録ス テー タ ス な どの、 現在の Fortinet サポー ト 契約に関する詳細を 表示 し ます。 ・ [Not Registered] が表示 さ れてい る場合は、 [Register] を選択 し てユニ ッ ト を 登録 し て く だ さ い。 ・ [Expired] が表示 さ れてい る場合は、 [Renew] を選択 し て、 テ ク ニ カル サポー ト 契約の更新に関する情報を表示 し て く だ さ い。お近 く の販売代理店にご相 談 く だ さ い。 ・ [Registered] が表示 さ れてい る場合は、 こ の FortiGate ユニ ッ ト を登録 し たサ ポー ト の名前 も 表示 さ れます。 ・ [Login Now] を選択する と 、こ の FortiGate ユニ ッ ト を登録 し た Fortinet サポー ト のア カ ウ ン ト に ロ グ イ ン する こ と がで き ます。 [FortiGuard Services] [AntiVirus] FortiGuard ア ン チウ イ ルスのバージ ョ ン、 ラ イ セ ン ス発行日、 お よ びサー ビ ス ス テー タ ス。 ラ イ セ ン スの期限が切れて い る 場合は、 [Renew] を 選択 し て ラ イ セ ン ス を更新で き ます。 [AV Definitions] FortiGuard ア ン チウ イ ルス定義の現在 イ ン ス ト ール さ れてい るバージ ョ ン。 こ れ ら の定義を手動で更新する には、 [Update] を選択 し ます。詳細については、59 ページの 「[P2P Usage]」 を参照 し て く だ さ い。 [Extended set] 拡張 さ れた FortiGuard ア ン チウ イ ルス定義の現在 イ ン ス ト ール さ れてい るバー ジ ョ ン。 こ れ ら の定義を手動で更新す る には、 [Update] を選択 し ます。 詳細については、 59 ページの 「[P2P Usage]」 を参照 し て く だ さ い。 拡張 さ れた ア ン チウ イルス デー タ ベースは、 すべてのモデルで使用で き るわけ ではあ り ません。 [Intrusion Protection] FortiGuard 不正侵入防御シ ス テム (IPS) ラ イ セ ン スのバージ ョ ン、 ラ イ セ ン ス発 行日、 お よ びサー ビ ス ス テ ー タ ス。 ラ イ セ ン ス の期限が切れ て い る 場合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [IPS Definitions] IPS 攻撃定義の現在 イ ン ス ト ール さ れてい るバージ ョ ン。 こ れ ら の定義 を手動 で更新する には、 [Update] を選択 し ます。 詳細については、 59 ページの 「[P2P Usage]」 を参照 し て く だ さ い。 [Web Filtering] FortiGuard Web フ ィ ル タ リ ン グ ラ イ セ ン スのス テー タ ス、 終了日、 お よびサー ビ ス ス テー タ ス。 ラ イ セ ン スの期限が切れてい る場合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [Email Filtering] FortiGuard 電子 メ ール フ ィ ル タ リ ン グ ま たはア ン チ スパム ラ イ セ ン スのス テー タ ス、 ラ イ セ ン ス終了日、 お よびサービ ス ス テー タ ス。 ラ イ セ ン スの期限が切 れている場合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [Email Filtering Rule FortiGuard 電子 メ ール フ ィ ル タ リ ン グ ルール セ ッ ト の現在 イ ン ス ト ール さ れ てい るバージ ョ ン。 こ れ らのルール セ ッ ト を手動で更新す る には、 [Update] を Set] 選択 し ます。 詳細については、 59 ページの 「[P2P Usage]」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 43 [Unit Operation] システム ダ ッ シ ュ ボー ド [Analysis & Management Service] FortiGuard Analysis Service およ び FortiGuard Management Service ラ イ セ ン ス、ラ イ セ ン ス終了日、 お よ び到達可能性ス テー タ ス。 詳細については、 208 ページ の 「FortiGuard Analysis and Management Service オ プ シ ョ ンの設定」 を参照 し て く だ さ い。 [Services Account ID] 別のサービ ス ア カ ウ ン ト ID を入力する には、 [Change] を選択 し ます。 こ の ID は、 FortiGuard Management Service や FortiGuard Analysis Service な どのサブ ス ク リ プ シ ョ ン サービ スの ラ イ セ ン ス を検証する ために使用 さ れます。 詳細につ いては、 208 ページの 「FortiGuard Analysis and Management Service オプ シ ョ ン の設定」 を参照 し て く だ さ い。 [Virtual Domain] [VDOMs Allowed] こ のユニ ッ ト が現在の ラ イ セ ン ス でサポー ト し て い る バーチ ャ ル ド メ イ ン の 最大数。 ハ イ エ ン ド の FortiGate モ デルの場合は、 [Purchase More] リ ン ク を 選択 し て フ ォ ーテ ィ ネ ッ ト テ ク ニ カ ル サポー ト か ら ラ イ セ ン ス キー を購入す る こ と に よ り 、 VDOM の最大数を増やす こ と がで き ます。 詳細については、 199 ページ の 「VDOM ラ イ セ ン スの追加」 を参照 し て く だ さ い。 [Endpoint Security] [FortiClient Software Windows Installer] エ ン ド ポ イ ン ト NAC用のFortiGuardか ら 入手可能な最新バージ ョ ンのFortiClient ア プ リ ケーシ ョ ン に関する情報を表示 し ます。 FortiClient ア プ リ ケーシ ョ ン イ ン ス ト ー ラ を PC にダウ ン ロー ド する には、 [Download] を選択 し ます。 詳細に ついては、 473 ページの 「FortiClient イ ン ス ト ー ラ ダウ ン ロー ド お よ び必須バー ジ ョ ンの設定」 を参照 し て く だ さ い。 [Application 現在のエ ン ド ポ イ ン ト NAC ア プ リ ケーシ ョ ン検知の定義済みシ グネチ ャ パ ッ Signature package] ケージのバージ ョ ン番号。 詳細については、 471 ページの 「Configuring ア プ リ ケーシ ョ ン セ ンサーの設定」 を参照 し て く だ さ い。 FortiGuard 定義の手動による更新 FortiGuard アンチウイルス データベース、 不正侵入防御の定義、 およびアンチスパム ルール セッ トは、 [System Status] ページの [License Information] セクションからいつでも更新できます。 FortiGuard アンチウイルス定義、IPS 定義、またはアンチスパム ルール セットを手動で更新 するには 1 最新の更新 フ ァ イ ルを Fortinet サポー ト サイ ト か ら ダウン ロー ド し 、 それを Web ベース マネージ ャへの接続に使用する コ ン ピ ュ ー タ に コ ピ ー し ます。 2 Web ベース マネージ ャ を起動 し 、 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 3 [License Information] セ ク シ ョ ンにあ る、 [FortiGuard Subscriptions] の [AV Definitions]、 [IPS Definitions]、 または [AS Rule Set] フ ィ ール ド で、 [Update] を選択 し ます。 4 [Browse] を選択 し て更新 フ ァ イルを見つけるか、 またはパス と フ ァ イル名を入力 し ます。 5 [OK] を選択 し て、 更新 フ ァ イルを FortiGate ユニ ッ ト に コ ピー し ます。 FortiGate ユニットは AV 定義を更新します。この処理には 1 分程度かかります。 6 [System]、 [Dashboard]、 [Status] の順に選択 し て、 選択 し た定義またはルール セ ッ ト の バージ ョ ン情報が更新 さ れてい る こ と を確認 し ます。 [Unit Operation] 注意 : FortiGate ユニ ッ ト の電源を突然切断する と 、 ユニ ッ ト の設定が壊れる こ と があ り ま す。 こ こ で、 または CLI で再起動およびシ ャ ッ ト ダウン オプ シ ョ ン を使用する と 、 設定が 失われない よ う にするための適切なシ ャ ッ ト ダウン手順が確実に実行 さ れます。 [Unit Operation] ウ ィ ジ ェ ッ ト では、 FortiGate ユニ ッ ト の フ ロ ン ト パネルの図に、 こ のユニ ッ ト のイ ーサネ ッ ト ネ ッ ト ワー ク イ ン タ フ ェ ースのス テー タ スが表示 さ れます。 ネ ッ ト ワー ク イ ン タ フ ェ ースが緑色にな っ てい る場合、 その イ ン タ フ ェ ースは接続 さ れてい ます。 イ ン タ フ ェ ースの上にマウス ポ イ ン タ を置 く と 、 名前、 IP ア ド レ ス、 ネ ッ ト マス ク 、 お よび イ ン タ フ ェ ースの現在のス テー タ スが表示 さ れます。 44 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [Unit Operation] [Reboot] または [ShutDown] を選択する と 、 ポ ッ プ ア ッ プ ウ ィ ン ド ウが開き、 シ ステム イ ベン ト の理由を入力で き る よ う にな り ます。 デ ィ ス ク ロギング、 イ ベ ン ト ロギング、 お よび管理 イ ベ ン ト が有効にな っ ている場合は、入力 し た理由がデ ィ ス ク イ ベ ン ト ログに追加 さ れます。 イ ベ ン ト ロギングの詳細については、 496 ページの 「ロ グ メ ッ セージへのア ク セスお よび表 示」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト では、 1 つの管理方法 と 1 つのロギング / 分析方法のみを表示で き ます。 そ れぞれの図は、 どの方法を選択 し たかに基づいて変化 し ます。 何 も選択 し ていない場合、 図は 表示 さ れません。 [INT / EXT / DMZ / HA FortiGate ユニ ッ ト 上のネ ッ ト ワー ク イ ン タ フ ェ ース。こ れ ら の イ ン タ フ ェ ース / WAN1 / WAN2 / 1 / 2 の名前 と 数は、 モデルに よ っ て異な り ます。 イ ン タ フ ェ ース名の下のア イ コ ンは、 各 イ ン タ フ ェ ースのア ッ プ / ダウ ン ス / 3 / 4] テー タ ス を色で示 し ます。 緑色は イ ン タ フ ェ ースが接続 さ れてい る こ と を、 灰 色は接続 さ れていない こ と を示 し ています。 イ ン タ フ ェ ースの設定やス テー タ ス を表示する には、 その イ ン タ フ ェ ースのア イ コ ン の上に マ ウ ス を 移動 さ せ ま す。 ポ ッ プ ア ッ プ ウ ィ ン ド ウ に、 イ ン タ フ ェ ースの フ ル ネーム、 イ ン タ フ ェ ースのエ イ リ ア ス ( 設定 さ れてい る場合 )、 IP ア ド レ ス と ネ ッ ト マ ス ク 、 リ ン ク のス テー タ ス、 イ ン タ フ ェ ースの速度、 お よび送受信 さ れたパケ ッ ト の数が表示 さ れます。 [AMC-SW1/1, ...] [AMC-DW1/1, ...] FortiGate ユニ ッ ト で AMC (Advanced Mezzanine Card) モ ジ ュ ールがサポー ト さ れ、かつネ ッ ト ワー ク イ ン タ フ ェ ース を含む AMC モ ジ ュ ール ( た と えば、ASMFB4 には 4 つのイ ン タ フ ェ ースが含まれています ) を イ ン ス ト ール し てい る場 合は、 こ れ ら の イ ン タ フ ェ ースがイ ン タ フ ェ ースのス テー タ ス表示に追加 さ れ ます。 こ れ ら の イ ン タ フ ェ ースには、 モ ジ ュ ール と イ ン タ フ ェ ースに基づいた 名前が付け ら れます。 た と えば、 AMC-SW1/3 は SW1 モ ジ ュ ール上の 3 番目の ネ ッ ト ワー ク イ ン タ フ ェ ース であ り 、 AMC-DW2/1 は DW2 モ ジ ュ ール上の最初 のネ ッ ト ワー ク イ ン タ フ ェ ース です。 AMC モ ジ ュ ールはハー ド デ ィ ス ク もサポー ト し ています ( た と えば、ASM-S08 モ ジ ュ ール )。ハー ド デ ィ ス ク がイ ン ス ト ール さ れてい る場合、ASM-S08 には、 ハー ド デ ィ ス ク が どの程度使用 さ れて い る か を 示す水平バー と パーセ ン テ ー ジ も 表示 さ れます。 FortiGate ユ ニ ッ ト が ト ラ ン ス ペ ア レ ン ト モ ー ド で 動 作 し て い る 場 合 は、 FortiGate イ ン タ フ ェ ース を ブ リ ッ ジする ために ASM-CX4 お よび ASM-FX2 モ ジ ュ ールを追加す る こ と も で き ます。 AMC モ ジ ュ ールの詳細については、 219 ページの 「AMC モ ジ ュ ールの設定」 を 参照 し て く だ さ い。 [FortiAnalyzer] FortiGate ユニ ッ ト の図 と FortiAnalyzer の図の間の リ ン ク 上にあ る ア イ コ ンは、 それ ら の OFTP 接続のス テー タ ス を示 し ます。 赤色のア イ コ ンの上にあ る "X" は、 接続 さ れていない こ と を示 し ています。 緑色のア イ コ ンの上にあ る チ ェ ッ ク マー ク は、 OFTP 通信が行われている こ と を示 し ています。 FortiGate ユニ ッ ト 上で FortiAnalyzer ユニ ッ ト への リ モー ト ロ ギン グ を設定する に は、 FortiAnalyzer の 図 を 選 択 し ま す。 詳 細 に つ い て は、 491 ペ ー ジ の 「FortiAnalyzer ユニ ッ ト への リ モー ト ロギン グ」 を参照 し て く だ さ い。 [FortiGuard Analysis Service] FortiGate ユニ ッ ト の図 と FortiGuard Analysis Service の図の間の リ ン ク 上にあ る ア イ コ ンは、 それ ら の OFTP 接続のス テー タ ス を示 し ます。 赤色のア イ コ ンの 上にあ る "X" は、 接続 さ れていない こ と を示 し ています。 緑色のア イ コ ンの上 にあ る チ ェ ッ ク マー ク は、 OFTP 通信が行われている こ と を示 し ています。 FortiGuard Analysis Service への リ モー ト ロ ギ ン グ を 設定す る には、 FortiGuard Analysis Service の図を 選択 し ます。 詳細については、 『FortiGuard Analysis and Management Service 管理ガ イ ド 』 を参照 し て く だ さ い。 [FortiManager] FortiGate ユニ ッ ト の図 と FortiManager の図の間の リ ン ク 上にあ る ア イ コ ンは、 接続のス テー タ ス を示 し ます。 赤色のア イ コ ンの上にあ る "X" は、 接続 さ れて いない こ と を示 し ています。 緑色のア イ コ ンの上にあ る チ ェ ッ ク マー ク は、 こ の 2 つのユニ ッ ト の間で通信が行われてい る こ と を示 し ています。 FortiGate ユニ ッ ト 上で集中管理を設定する には、 FortiManager の図を選択 し ま す。 詳細については、 183 ページの 「集中管理」 を参照 し て く だ さ い。 [FortiGuard Management Service] FortiGate ユニ ッ ト の図 と FortiGuard Management Service の図の間の リ ン ク 上に あ る ア イ コ ンは、接続のス テー タ ス を示 し ます。赤色のア イ コ ンの上にあ る "X" は、 接続 さ れていない こ と を示 し ています。 緑色のア イ コ ンの上にあ る チ ェ ッ ク マー ク は、 通信が行われてい る こ と を示 し ています。 FortiGate ユニ ッ ト 上で集中管理を設定する には、FortiGuard Management Service の図 を選択 し ます。 詳細については、 183 ページの 「集中管理」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 45 [System Resources] システム ダ ッ シ ュ ボー ド [Reboot] FortiGate ユニ ッ ト を シ ャ ッ ト ダウ ン し て再起動する場合に選択 し ます。 ロ グに 記録 さ れる再起動の理由を入力する よ う 求め ら れます。 [Shutdown] FortiGate ユニ ッ ト を シ ャ ッ ト ダウ ンする場合に選択 し ます。 確認す る よ う 求め ら れます。 ま た、 ロ グに記録 さ れる シ ャ ッ ト ダウ ンの理由 を入力する こ と も 求 め ら れます。 [System Resources] [System Resources] ウ ィ ジ ェ ッ ト には、CPU や メ モ リ (RAM) の使用率な どの、FortiGate ユニ ッ ト の基本的な リ ソ ースの使用状況が表示 さ れます。[System Status] ページに表示 さ れていない シ ス テム リ ソ ースはすべて、[History] ア イ コ ン を選択する こ と でグ ラ フ と し て表示で き ます。 最新の CPU と メ モ リ の使用率を表示するには、 [ 更新 ] ア イ コ ン を選択 し ます。 [History] CPU、 メ モ リ 、 セ ッ シ ョ ン、 お よびネ ッ ト ワー ク の最新の 1 分間の使用率を グ ラ フ ィ カルに表示 し ます。 こ のページにはま た、 最新の 20 時間のウ イルスお よび 不正侵入検知 も 表示 さ れます。 詳細については、 46 ページの 「動作履歴の表示」 を参照 し て く だ さ い。 [CPU Usage] ダ イ ヤル ゲージおよ びパーセ ン テージ と し て表示 さ れた現在のCPUス テー タ ス。 Web ベース マネージ ャ には、 コ ア プ ロ セ スの CPU 使用率のみが表示 さ れます。 管理プ ロ セ ス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続のためのプ ロ セ ス ) の CPU 使用率は除外 さ れます。 表示 さ れる CPU 使用率は、 CLI コ マ ン ド get system performance status を使用 し 、 user、 system、 お よび nice のパーセ ン テージ を追加 し た場合 と 同 等です。 Web ベースの CPU 使用率 と こ の CLI コ マ ン ド は、 ど ち ら も 同 じ CPU 情 報にア ク セ ス し ます。 [Memory Usage] ダ イ ヤル ゲージ お よ びパーセ ン テージ と し て表示 さ れた現在の メ モ リ (RAM) ス テー タ ス。 Web ベース マネージ ャ には、 コ ア プ ロ セ スの メ モ リ 使用率のみが表示 さ れます。 管理プ ロ セ ス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続のためのプ ロ セ ス ) の メ モ リ 使用率は除外 さ れます。 [FortiAnalyzer Usage] 円グ ラ フ と パーセ ン テージ で表示 さ れる、 こ の FortiGate ユニ ッ ト の ク ォ ー タ で 使用 さ れてい る FortiAnalyzer デ ィ ス ク 領域の現在のス テー タ ス。 [System Resources] の [Edit] メ ニ ュ ー を使用す る と 、 こ の情報が表示 さ れないよ う に選択で き ます。 FortiAnalyzer ユニ ッ ト へのロギ ン グ を設定 し てい る場合にのみ表示 さ れます。 [Disk Usage] 円グ ラ フ と パーセ ン テージ で表示 さ れる、 使用 さ れてい る FortiGate ユニ ッ ト の デ ィ ス ク 領域の現在のス テー タ ス。 FortiGate ユニ ッ ト 上にハー ド デ ィ ス ク が存在する場合にのみ表示 さ れます。 動作履歴の表示 [System Resource History] ページには、時間の経過に伴 う 各種のシ ステム リ ソ ースや保護の動 作を表す 6 つのグ ラ フが表示 さ れます。 グ ラ フの垂直軸にユニ ッ ト が表示 さ れていない場合、そのグ ラ フ はパーセ ン テージ で表 さ れて います。 各グ ラ フの更新間隔は 3 秒です。 動作履歴 を 表示 す る に は、 [System]、 [Dashboard]、 [Status] の順 に 選択 し て か ら、 [System Resources] ウ ィ ジ ェ ッ ト の右上隅にある [History] を選択 し ます。 46 [Time Interval] グ ラ フ の下部の軸に沿 っ て表示す る時間間隔を選択 し ます。 [CPU Usage History] 指定 さ れた時間間隔毎の CPU 使用率 (%)。 [Memory Usage History] 指定 さ れた時間間隔毎の メ モ リ 使用率 (%)。 [Session History] 指定 さ れた時間間隔毎のセ ッ シ ョ ン数。 [Network Utilization History] 指定 さ れた時間間隔毎のネ ッ ト ワー ク 使用率。 [Virus History] 指定 さ れた時間間隔毎に検出 さ れたウ イルスの数。 [Intrusion History] 指定 さ れた時間間隔毎に検出 さ れた侵入の試みの数。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド 警告 メ ッ セージ コ ン ソ ール 警告メッセージ コンソール 警告 メ ッ セージは、 フ ァ ームウ ェ ア変更、 ネ ッ ト ワー ク セキ ュ リ テ ィ イ ベ ン ト 、 ウ イルス検 知イ ベ ン ト などの、 FortiGate ユニ ッ ト 上のシ ス テム イ ベン ト を追跡するのに役立ち ます。 各 メ ッ セージには、 イ ベン ト が発生 し た日付 と 時刻が表示 さ れます。 [History] すべての警告 メ ッ セージ を表示 し ます。 [Edit] 警告 メ ッ セージ コ ン ソ ールを設定 し ます。 [Refresh] 表示 さ れてい る情報を更新 し ます。 [Close] モ ジ ュ ールを閉 じ ます。 [Acknowledge this こ の メ ッ セージ を削除す る場合に選択 し ます。 [History] ウィンドウに、 各警告メッセージのための [ 確認 ] アイコンも表示されます。 message] 警告 メ ッ セージ コ ン ソ ールには、 次の種類の メ ッ セージ を表示で き ます。 System restart シ ス テムが再起動 さ れま し た。 再起動は、 オペ レ ー タ が操作 し た ため、 または電源がオ フ / オ ン さ れたために生 じ た可能性があ り ます。 System shutdown 管理者が、Web ベース マネージ ャ ま たは CLI から FortiGate ユニ ッ ト を シ ャ ッ ト ダウ ン し ま し た。 Firmware upgraded by <admin_name> 指定の管理者が、 ア ク テ ィ ブ ま たは非ア ク テ ィ ブ パーテ ィ シ ョ ン のど ち ら かで、 フ ァ ームウ ェ ア を よ り 新 し いバージ ョ ン に ア ッ プ グ レ ー ド し ま し た。 Firmware downgraded by <admin_name> 指定の管理者が、 ア ク テ ィ ブ ま たは非ア ク テ ィ ブ パーテ ィ シ ョ ン のど ち ら かで、 フ ァ ームウ ェ ア を よ り 古いバージ ョ ン に ダウ ン グ レー ド し ま し た。 FortiGate has reached connection limit ア ン チウ イ ルス エ ン ジ ンが、 表示 さ れてい る時間、 メ モ リ 不足に for <n> seconds 陥 っ た ため、 保護モ ー ド に入 り ま し た。 こ の状況下では、 モ デル や設定に も よ り ますが、 コ ン テ ン ツ を ブ ロ ッ ク す るか、 ま たはス キ ャ ン な し で通過 さ せる こ と も 選択で き ます。 Found a new FortiAnalyzer Lost the connection to FortiAnalyzer FortiGate ユニ ッ ト が、 FortiAnalyzer ユニ ッ ト を発見 し たか、 ま た は FortiAnalyzer ユニ ッ ト への接続を失 っ た こ と を示 し ます。 詳細 については、 491 ページの 「FortiAnalyzer ユニ ッ ト への リ モー ト ロ ギン グ」 を参照 し て く だ さ い。 New firmware is available from FortiGuard 更新 さ れた フ ァ ームウ ェ ア イ メ ージ を こ のFortiGate ユニ ッ ト にダ ウ ン ロー ド で き ます。 警告 メ ッ セージ コ ン ソ ールを設定す る こ と に よ り 、 コ ン ソ ールに表示 さ れる メ ッ セージの種 類を制御で き ます。 警告メッセージ コンソールを設定するには 1 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 2 警告 メ ッ セージ コ ン ソ ールの タ イ ト ル バーにある [ 編集 ] ア イ コ ン を選択 し ます。 3 警告 メ ッ セージ コ ン ソ ールに表示 さ れる警告の種類を選択 し ます。 4 デフォルトでは、すべての警告の種類が有効になっています。 [OK] を選択 し ます。 [Log and Archive Statistics] [Log and Archive Statistics] ウ ィ ジ ェ ッ ト を使用する と 、 DLP アー カ イ ブやネ ッ ト ワー ク ト ラ フ ィ ッ ク のほか、 攻撃の試み、 捕捉 さ れたウ イルス、 捕捉 さ れた スパム電子 メ ールな どのセ キ ュ リ テ ィ の問題に関 し て、 FortiGate ユニ ッ ト で何が発生 し てい るかを一目でわかる よ う に 表示で き ます。 ト ラ フ ィ ッ ク の量や種類だけでな く 、 シ ス テムに対 し て行われた攻撃の試みについて、 すばや く 知る こ と がで き ます。 特に気にな る領域を調べるには、 [Details] を選択 し て、 その領域の最 新の動作の詳細な リ ス ト を表示 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 47 [Log and Archive Statistics] システム ダ ッ シ ュ ボー ド [Log and Archive Statistics] ウ ィ ジ ェ ッ ト に表示 さ れる情報は、 ロ グ メ ッ セージか ら 導き出 さ れます。 ロ グ メ ッ セージに よ っ て収集 さ れた情報を使用 し て、 時間の経過に伴 う ネ ッ ト ワー ク 動作や攻撃の傾向を調べる こ と がで き ます。 実際に [Log and Archive Statistics] ウ ィ ジ ェ ッ ト のデー タ を収集するには、 以下に示す さ ま ざ まな設定が必要です。 [Since] カ ウ ン ト が最後に リ セ ッ ト さ れた日付 と 時刻。 カ ウ ン ト は、FortiGate ユニ ッ ト の再起動時、 ま たは [Reset] を選択 し た と き に リ セ ッ ト ます。 [Reset] [Log and Archive Statistics] のカ ウ ン ト を 0 に リ セ ッ ト し ます。 [DLP Archive] FortiGate ユニ ッ ト を通過 し 、 DLP に よ っ て アー カ イ ブ さ れた HTTP、 HTTPS、 電子 メ ール、 FTP IM、 およ び VoIP ( セ ッ シ ョ ン制御 と も 呼ばれる ) ト ラ フ ィ ッ ク の概要。 [Details] ページには、 選択 さ れた種類の ト ラ フ ィ ッ ク ( 最大 64 項目 ) の最新の項目 の リ ス ト が表示 さ れ、アー カ イ ブ さ れた ト ラ フ ィ ッ ク が格納 さ れてい る FortiAnalyzer ユニ ッ ト への リ ン ク が示 さ れます。FortiAnalyzer ユニ ッ ト へのロギ ン グが設定 さ れて いない場合、 [Details] ページには、 [Log & Report]、 [Log Config]、 [Log Settings] への リ ン ク が表示 さ れます。 FortiGate ユニ ッ ト を、こ のウ ィ ジ ェ ッ ト の DLP アー カ イ ブ デー タ を収集する よ う に 設定する には、 ロ グ デー タ を アー カ イ ブする よ う に DLP セ ンサを設定 し ます。 詳細 については、 404 ページの 「DLP アー カ イ ブ」 を参照 し て く だ さ い。 また、フ ァ イ アウ ォ ール ポ リ シーに も プ ロ フ ァ イルを追加する必要があ り ます。フ ァ イ ア ウ ォ ー ル ポ リ シ ー が、 選 択 さ れ た プ ロ ト コ ルの セ ッ シ ョ ン を 受 信 す る と 、 [Statistics] ウ ィ ジ ェ ッ ト に メ タ デー タ が追加 さ れます。 電子 メ ールの統計は、 電子 メ ール プ ロ ト コ ルに基づいています。 POP3 と IMAP の ト ラ フ ィ ッ ク は受信 さ れた電子 メ ール と し て、SMTP は送信 さ れた電子 メ ール と し て登 録 さ れます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツのスキ ャ ン と 検査をサポー ト し て い る 場合、 受信電子 メ ールには POP3S と IMAPS も 含まれ、 送信電子 メ ールには SMTPS も 含まれます。 受信ま たは送信電子 メ ールで こ れ ら のプ ロ ト コ ルが使用 さ れ ていない場合、 こ れ ら の統計は不正確です。 SSL コ ン テ ン ツのスキ ャ ン と 検査の詳 細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 IM の統計は AIM、 ICQ、 MSN、 およ び Yahoo! プ ロ ト コ ルに基づいてお り 、 IM DLP ルー ルの DLP セ ンサで [Archive] を選択する こ と に よ っ て設定 さ れます。 VoIP の統計は SIP、 SIMPLE、 およ び SCCP セ ッ シ ョ ン制御プ ロ ト コ ルに基づいてお り 、 セ ッ シ ョ ン制御 DLP ルールの DLP セ ンサで [Archive] を選択する こ と に よ っ て 設定 さ れます。 [Log] FortiGate ユニ ッ ト で ロ グに記録 さ れた ト ラ フ ィ ッ ク 、 ウ イルス、 攻撃、 スパム電子 メ ール メ ッ セージ、 お よびブ ロ ッ ク さ れた URL の概要。 また、 DLP およ び イ ベ ン ト ロ グ メ ッ セージに一致 し たセ ッ シ ョ ンの数 も 表示 さ れます。 [Details] ページ には最 新 20 項目の リ ス ト が表示 さ れ、 時間、 発信元、 宛先な どの情報が示 さ れます。 [DLP data loss detected] には、 DLP セ ンサ プ ロ フ ァ イ ルに一致 し たセ ッ シ ョ ンの数 が実際に表示 さ れます。 DLP は DLP セ ンサに一致 し たすべてのセ ッ シ ョ ン に関す る メ タ デー タ を収集 し 、 こ の メ タ デー タ を DLP ロ グに記録 し ます。 DLP ロ グ メ ッ セー ジが記録 さ れる たびに、 [DLP data loss detected] の数値が増え ます。 概要ま たは完全 な アー カ イ ブ に DLP を使用 し てい る場合は、 [DLP data loss detected] の数値が非常 に大 き く な る こ と があ り ます。 こ の数値は、 デー タ が消失ま たは漏洩 し た こ と を 示 し ていない可能性があ り ます。 [Statistics] ウィジェットでの DLP アーカイブ情報の表示 [System Status] ページの [Statistics] ウ ィ ジ ェ ッ ト か ら 、 FortiGate ユニ ッ ト を通過する HTTP、 HTTPS、 FTP、 および IM ト ラ フ ィ ッ ク に関する統計を表示で き ます。 各 ト ラ フ ィ ッ クの種類 の横にある [Details] リ ン ク を選択する こ と に よ り 、 詳細情報を表示で き ます。 [Statistics] セ ク シ ョ ンのヘ ッ ダにある [Reset] を選択する と 、DLP アー カ イ ブおよびア タ ッ ク ログ情報を ク リ ア し 、 カ ウン ト を 0 に リ セ ッ ト する こ と がで き ます。 DLP ア ー カ イ ブ 情 報 を 表 示 す る に は、 [System]、 [Dashboard]、 [Status] の 順 に 選 択 し て [Statistics] ウ ィ ジ ェ ッ ト を表示 し 、 行内の [Details] を選択 し ます。 次の表は、 [Details] を選択 し た と き に表示 さ れる情報を プ ロ ト コ ルご と に示 し ています。 48 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [Log and Archive Statistics] 表 4: DLP アーカイブ情報の表示 HTTP [Date and Time] ― URL がア ク セ ス さ れた時刻。 [From] ― URL のア ク セ ス元の IP ア ド レ ス。 [URL] ― ア ク セ ス さ れた URL。 電子メール [Date and Time] ― 電子 メ ールが FortiGate ユニ ッ ト を通過 し た時刻。 [From] ― 送信者の電子 メ ール ア ド レ ス。 [To] ― 受信者の電子 メ ール ア ド レ ス。 [Subject] ― 電子 メ ールの件名。 FTP [Date and Time] ― ア ク セ スの時刻。 [Destination] ― ア ク セ ス さ れた FTP サーバの IP ア ド レ ス。 [User] ― FTP サーバに ロ グ イ ン し たユーザ ID。 [Downloads] ― ダウ ン ロ ー ド さ れた フ ァ イルの名前。 [Uploads] ― ア ッ プ ロー ド さ れた フ ァ イルの名前。 IM [Date / Time] ― ア ク セ スの時刻。 [Protocol] ― こ の IM セ ッ シ ョ ン で使用 さ れてい る プ ロ ト コ ル。 [Kind] ― こ の ト ラ ンザ ク シ ョ ンの IM ト ラ フ ィ ッ ク の種類。 [Local] ― こ の ト ラ ンザ ク シ ョ ンのロ ー カル ア ド レ ス。 [Remote] ― こ の ト ラ ンザ ク シ ョ ンの リ モー ト ア ド レ ス。 [Direction] ― こ の フ ァ イルが送信 さ れたか、 または受信 さ れたかを示 し ます。 アタック ログの表示 [Status] ページの [Statistics] セ ク シ ョ ンか ら、 FortiGate ユニ ッ ト が阻止 し たネ ッ ト ワー ク 攻 撃に関する統計を表示で き ます。 捕捉 さ れたウ イルス、 検出 さ れた攻撃、 検出 さ れたスパム電 子 メ ール、 およびブ ロ ッ ク さ れた URL に関する統計を表示で き ます。 また、 DLP ルールに一 致 し たセ ッ シ ョ ン に関する情報 も表示で き ます。各攻撃の種類の横にある [Details] リ ン ク を選 択する こ と によ り 、 詳細情報を表示で き ます。 [Statistics] セ ク シ ョ ンのヘ ッ ダにある [Reset] を選択する と 、 DLP アー カ イ ブおよびア タ ッ ク ログ情報を ク リ ア し 、 カ ウン ト を 0 に リ セ ッ ト する こ と がで き ます。 ア タ ッ ク ログ情報を表示する には、[System]、[Dashboard]、[Status] の順に選択 し て [Statistics] ウ ィ ジ ェ ッ ト を表示 し 、 行内の [Details] を選択 し ます。 次の表は、 [Details] を選択 し た と き に 表示 さ れる情報を プ ロ ト コ ルご と に示 し ています。 表 5: アタック ログ情報の表示 AV [Date and Time] ― ウ イ ルスが検出 さ れた時刻。 [From] ― 送信者の電子 メ ール ア ド レ ス ま たは IP ア ド レ ス。 [To] ― 対象 と さ れた受信者の電子 メ ール ア ド レ ス ま たは IP ア ド レ ス。 [Service] ― サービ スの種類 (POP、 HTTP な ど )。 [Virus] ― 検出 さ れたウ イルスの名前。 IPS [Date and Time] ― 攻撃が検出 さ れた時刻。 [From] ― 攻撃の発信元。 [To] ― 攻撃の対象 と さ れたホ ス ト 。 [Service] ― サービ スの種類。 [Attack] ― 検出 さ れ、 防御 さ れた攻撃の種類。 電子メール [Date and Time] ― スパムが検出 さ れた時刻。 [From -> To IP] ― 送信者お よび対象 と さ れた受信者の IP ア ド レ ス。 [From -> To Email Accounts] ― 送信者お よび対象 と さ れた受信者の電子 メ ール ア ド レ ス。 [Service] ― サービ スの種類 (SMTP、 POP、 IMAP な ど )。 [SPAM Type] ― 検出 さ れた スパムの種類。 URL [Date and Time] ― URL へのア ク セ スの試みが検出 さ れた時刻。 [From] ― URL の表示を試みたホス ト 。 [URL Blocked] ― ブ ロ ッ ク さ れた URL。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 49 [CLI Console] システム ダ ッ シ ュ ボー ド 表 5: アタック ログ情報の表示 DLP [Date and Time] ― URL へのア ク セ スの試みが検出 さ れた時刻。 [Service] ― サービ スの種類 (HTTP、 SMTP、 POP、 IMAP な ど )。 [Source] ― セ ッ シ ョ ンの発信元ア ド レ ス。 [From] ― URL の表示を試みたホス ト 。 [URL Blocked] ― ブ ロ ッ ク さ れた URL。 [From] ― 送信者の電子 メ ール ア ド レ ス ま たは IP ア ド レ ス。 [To] ― 対象 と さ れた受信者の電子 メ ール ア ド レ ス ま たは IP ア ド レ ス。 [CLI Console] [Status] ページには、 CLI コ ン ソ ールを含める こ と がで き ます。 こ の コ ン ソ ールを使用するに は、 コ ン ソ ールを選択 し て、 現在 Web ベース マネージ ャ で使用 し てい る管理者ア カ ウン ト に 自動的にログ イ ン し ます。テキス ト を CLI コ ン ソ ールから コ ピー し た り (Ctrl-C)、CLI コ ン ソ ー ルに貼 り 付けた り (Ctrl-V) する こ と がで き ます。 [CLI Console] ウ ィ ジ ェ ッ ト の タ イ ト ル バーには、 [ カ ス タ マ イズ ] と [ デ タ ッ チ ] の 2 つの コ ン ト ロールが配置 さ れています。 [ デ タ ッ チ ] は、 [CLI Console] ウ ィ ジ ェ ッ ト を、 サイズ変更 し た り 画面上の位置を変更 し た り で き るポ ッ プ ア ッ プ ウ ィ ン ド ウに移動 し ます。 デ タ ッ チ さ れた CLI コ ン ソ ールには、 [ カ ス タ マ イ ズ ] と [ ア タ ッ チ ] の 2 つの コ ン ト ロールがあ り ます。[ ア タ ッ チ ] は、[CLI Console] ウ ィ ジ ェ ッ ト を元の [System Status] ページに戻 し ます。 [ カ ス タ マ イズ ] を使用する と 、 テキス ト や背景のフ ォ ン ト や色を定義する こ と に よ っ て、 コ ン ソ ールの外観を変更で き ます。 [Preview] CLI コ ン ソ ールの外観への変更のプ レ ビ ュ ー。 [Text] こ の ラ ベルの横にあ る現在の色見本を選択 し てか ら 、 右にあ る カ ラ ー パレ ッ ト か ら 色を選択 し て、 CLI コ ン ソ ール内のテキス ト の色を変更 し ます。 [Background] こ の ラ ベルの横にあ る現在の色見本を選択 し てか ら 、 右にあ る カ ラ ー パレ ッ ト か ら 色を選択 し て、 CLI コ ン ソ ール内の背景の色を変更 し ます。 [Use external command 通常の コ ン ソ ール エ ミ ュ レ ー シ ョ ン 領域の下に コ マ ン ド 入力 フ ィ ール ド を 表 示す る場合に選択 し ます。こ のオ プ シ ョ ンが有効に な っ ている場合は、コ ン ソ ー input box] ル エ ミ ュ レ ー シ ョ ン 領域ま たは外部 コ マ ン ド 入力 フ ィ ール ド のど ち ら かに入 力す る こ と に よ っ て、 コ マ ン ド を入力で き ます。 [Console buffer length] コ ン ソ ール バ ッ フ ァ で メ モ リ 内に保持す る行数を入力 し ます。 有効な数値の範 囲は 20 ~ 9999 です。 [Font] CLI コ ン ソ ールの表示 フ ォ ン ト を変更す る には、 リ ス ト か ら フ ォ ン ト を 選択 し ます。 [Size] フ ォ ン ト のサ イ ズ を選択 し ます。 デ フ ォ ル ト のサ イ ズは 10 ポ イ ン ト です。 [Top Sessions] [Top Sessions] には、 現在 FortiGate ユニ ッ ト 上に最 も多いセ ッ シ ョ ンが開かれてい る IP ア ド レ ス を示す棒グ ラ フ または表のど ち ら かが表示 さ れます。 こ れ らのセ ッ シ ョ ンは、 発信元また は宛先 IP ア ド レ スやポー ト ア ド レ ス ご と に並べ替え られます。 使用 さ れている並べ替えの条 件は、 右上隅に表示 さ れます。 [Top Sessions] ウ ィ ジ ェ ッ ト は FortiGate ユニ ッ ト を ポー リ ング し てセ ッ シ ョ ン情報を取得する ため、 こ れが FortiGate ユニ ッ ト のパ フ ォ ーマ ン スに若干影響を与え ます。 こ のため、 ダ ッ シ ュ ボー ド 上に こ の表示が示 さ れていない場合、 デー タ は収集 さ れてお ら ず、 シ ス テム パ フ ォ ー マ ン ス も影響を受けていません。 こ の表示が示 さ れている場合、 情報は メ モ リ 内にのみ格納 さ れます。 注記 : FortiGate ユニットを再起動すると、 [Top Sessions] の統計はゼロにリセットされます。 50 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [Top Sessions] 現在のセ ッ シ ョ ン リ ス ト 、 つま り 現在 FortiGate ユニ ッ ト に よ っ て処理 さ れてい るすべての セ ッ シ ョ ンの リ ス ト を表示す る には、 [Details] を選択 し ます。 詳細については、 51 ページの 「現在のセ ッ シ ョ ン リ ス ト の表示」 を参照 し て く だ さ い。 グ ラ フ内のバーで表 さ れている セ ッ シ ョ ンに関する詳細を表示するには、そのバー を ク リ ッ ク し ます。 [Top Sessions] ウ ィ ジ ェ ッ ト に表示 さ れる情報を変更するには、 [ 編集 ] ア イ コ ン を選択 し 、 必 要な変更を行います。 [Sort Criteria] [System Status] に表示 さ れる [Top Sessions] の並べ替えに使用 さ れる方法を選 択 し ます。 次のいずれかを選択 し ます。 ・ [Source Address] ・ [Source Address] ・ [Port Address] [Display User Name] こ の発信元 IP ア ド レ スに関連付け ら れたユーザ名を含める と き に選択 し ます ( こ のユーザ名が使用可能な場合 )。 表形式の場合、 こ のデー タ は別の列に表示 さ れます。 [Display User Name] は、 並べ替えの条件が [Source Address] の場合にのみ使用 で き ます。 [Resolve Host Name] IP ア ド レ ス を ホス ト 名に解決す る場合に選択 し ます。 [Resolve Host Name] は、 並べ替えの条件が [Destination Port] の場合は使用で き ません。 [Resolve Service] ポー ト ア ド レ ス を、 一般に関連付け ら れているサービ ス名に解決す る場合に選 択 し ます。 サービ スに関連付け ら れていないポー ト ア ド レ スはすべて、 引 き続 き ポー ト ア ド レ ス と し て表示 さ れます。 た と えば、 ポー ト 443 は HTTPS に解 決 さ れます。 [Resolve Service] は、 並べ替えの条件が [Destination Port] の場合にのみ使用で き ます。 [Display Format] [Top Sessions] の情報の表示方法を選択 し ます。 次のいずれかを選択 し ます。 ・ [Chart] ・ [Table] [Top Sessions to Show] 表示する セ ッ シ ョ ンの数を選択 し ます。 5、 10、 15、 ま たは 20 セ ッ シ ョ ンの表 示を選択 し ます。 [Refresh Interval] 表示が更新 さ れる頻度を選択 し ます。 更新間隔の範囲は 10 ~ 240 秒です。 [0] を 選択す る と 、 表示の自動更新が無効に な り ま す。 手動更新のオ プ シ ョ ン は、 [Top Sessions] の タ イ ト ル バーで も 引 き続き選択で き ます。 更新間隔を短 く す る と 、 FortiGate ユニ ッ ト のパ フ ォ ーマ ン スに影響を与え る こ と があ り ます。 こ の場合は、 更新間隔を増やすか、 ま たは自動更新を無効に し てみて く だ さ い。 現在のセッション リストの表示 現在のセ ッ シ ョ ン リ ス ト には、 現在 FortiGate ユニ ッ ト に よ っ て処理 さ れているすべてのセ ッ シ ョ ンが表示 さ れます。 現在のセ ッ シ ョ ン リ ス ト には、 セ ッ シ ョ ン ご と に次の情報が表示 さ れます。 ・ セ ッ シ ョ ン プ ロ ト コ ル (tcp や udp な ど ) ・ 発信元ア ド レ ス と ポー ト ・ 宛先ア ド レ ス と ポー ト ・ こ のセ ッ シ ョ ンに適用 さ れるポ リ シーの ID ( 存在する場合 ) ・ こ のセ ッ シ ョ ンの期限が切れる までの期間 ・ こ のセ ッ シ ョ ンが属するバーチ ャル ド メ イ ン [Virtual Domain] 特定のバーチ ャ ル ド メ イ ン に よ っ て処理 さ れて い る セ ッ シ ョ ン の リ ス ト を 表示す る には、 そのバーチ ャ ル ド メ イ ン を 選択 し ま す。 すべてのバーチ ャ ル ド メ イ ン に よ っ て処理 さ れてい る セ ッ シ ョ ン を表示する には、 [All] を選択 し ます。 こ のオ プ シ ョ ンは、 バーチ ャ ル ド メ イ ンが有効にな っ てい る場合にのみ使用で き ま す。詳細については、73 ページの「バーチ ャ ル ド メ イ ンの使用」を参照 し て く だ さ い。 [Refresh] セ ッ シ ョ ン リ ス ト を更新 し ます。 [First Page] 現在のセ ッ シ ョ ンの表示 さ れている最初のページに移動す る場合に選択 し ます。 [Previous Page] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 現在のページの直前にあ る セ ッ シ ョ ンのページに移動する場合に選択 し ます。 51 [Top Viruses] システム ダ ッ シ ュ ボー ド [Page] セ ッ シ ョ ン リ ス ト の表示を開始する セ ッ シ ョ ンのページ番号を入力 し ます。 た と え ば、 5 ページ分のセ ッ シ ョ ンがあ る と き に 「3」 を入力す る と 、 セ ッ シ ョ ンの 3 ペー ジ目が表示 さ れます。 "/" の次の数値は、 セ ッ シ ョ ンのページ数です。 [Next Page] セ ッ シ ョ ンの次のページ に移動す る場合に選択 し ます。 [Last Page] 現在のセ ッ シ ョ ンの表示 さ れてい る最後のページに移動する場合に選択 し ます。 [Total] セ ッ シ ョ ンの総数。 [Clear All Filters] 設定 さ れてい る表示 フ ィ ル タ を すべて リ セ ッ ト す る場合に選択 し ます。 [Return] [Top Sessions] の表示に戻 り ます。 [Filter Icon] [#] と [Expiry] を除 く すべての列の項目名の左側にあ る ア イ コ ン。 選択する と 、 [Edit Filter] ダ イ ア ロ グが表示 さ れ、 列ご と に表示 フ ィ ル タ を設定で き る よ う に な り ます。 32 ページの 「Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 [Protocol] 接続のサービ ス プ ロ ト コ ル ( た と えば、 udp、 tcp、 icmp)。 [Source Address] 接続の発信元 IP ア ド レ ス。 [Source Port] 接続の発信元ポー ト 。 [Destination Address] 接続の宛先 IP ア ド レ ス。 [Destination Port] 接続の宛先ポー ト 。 [Policy ID] こ のセ ッ シ ョ ン を 許可 し て い る フ ァ イ ア ウ ォ ール ポ リ シ ーの番号か、 ま たはセ ッ シ ョ ン に FortiGate イ ン タ フ ェ ースが 1 つ し か関係 し ていない場合 ( た と えば、管理 セ ッ シ ョ ン ) は空白。 [Expiry (sec)] 接続が期限切れにな る ま での時間 ( 秒単位 )。 [Duration] 各セ ッ シ ョ ンの有効期間 ( 秒単位 )。 こ の有効期間は、 こ のセ ッ シ ョ ンがア ク テ ィ ブ であ っ た期間です。 [Delete] ア ク テ ィ ブ な通信セ ッ シ ョ ン を停止 し ます。 管理者プ ロ フ ァ イ ルで、 シ ス テム設定 への読み取 り お よび書き込みア ク セ スが許可 さ れている必要があ り ます。 現在のセッション リストを表示するには 1 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 2 [Top Sessions] ウ ィ ジ ェ ッ ト で、 ウ ィ ジ ェ ッ ト の下部にある [Details] を選択 し ます。 現在のセッション リストが表示されます。必要に応じて、[ デタッチ ] を選択してデ タッチしたり、ブラウザ ウィンドウを拡張してリスト全体を確認したりします。 3 [Return] を選択 し て、 [Top Sessions] の棒グ ラ フ 表示に戻 り ます。 [Top Viruses] [Top Viruses] には、 FortiGate ユニ ッ ト に よ っ て最 も 頻繁に検出 さ れたウ イルス脅威を表す棒 グ ラ フが表示 さ れます。 [Top Viruses] の表示は、 デ フ ォ ル ト のダ ッ シ ュ ボー ド 表示には含まれていません。 ド ロ ッ プ ダ ウン メ ニ ュ ーか ら、 [Add Content]、 [Top Viruses] の順に選択する こ と によ っ て表示で き ます。 [History] ア イ コ ン を選択する と 、 ウ ィ ン ド ウが開き、 検出 さ れた最大 20 個の最新のウ イルス が、 ウ イルス名、 最後に検出 さ れた時刻、 検出 さ れた回数な どの情報 と と も に表示 さ れます。 シ ス テムでは最大 1024 のエ ン ト リ が格納 さ れますが、 Web ベース マネージ ャ には最大 20 個 のみが表示 さ れます。 こ のウ ィ ジ ェ ッ ト の タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を選択する と 、こ のウ ィ ジ ェ ッ ト のい く つかの設定を設定で き ます。 設定を保存するには、 [OK] を選択する必要があ り ます。 [Top Viruses] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を入力 し ます。 こ の フ ィ ール ド はオプ シ ョ ン です。 52 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [Top Attacks] [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。範囲は 10 ~ 240 秒です。[0] を選択する と 、 更新が無効にな り ます。 また、 モ ジ ュ ール ヘ ッ ダにあ る [ 更新 ] ア イ コ ン を使用 し て更新す る こ と も で き ます。 [Top Viruses To Show] 上位 5、 10、 15、 ま たは 20 個のウ イ ルスの表示を選択 し ます。 [Top Attacks] [Top Attacks] には、 FortiGate ユニ ッ ト によ っ て検出 さ れた最 も多数の攻撃を表す棒グ ラ フ が 表示 さ れます。 [Top Attacks] の表示は、 デ フ ォ ル ト のダ ッ シ ュ ボー ド 表示には含まれていません。 ド ロ ッ プ ダ ウン メ ニ ュ ーか ら、 [Add Content]、 [Top Attacks] の順に選択する こ と によ っ て表示で き ます。 [History] ア イ コ ン を選択す る と 、 ウ ィ ン ド ウが開き、 検出 さ れた最大 20 個の最新の攻撃が、 攻撃名、 最後に検出 さ れた時刻、 検出 さ れた回数な どの情報 と と も に表示 さ れます。 FortiGate ユニ ッ ト では最大 1024 のエ ン ト リ が格納 さ れますが、 Web ベース マネージ ャ には最大 20 個 のみが表示 さ れます。 こ のウ ィ ジ ェ ッ ト の タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を選択する と 、こ のウ ィ ジ ェ ッ ト のい く つかの設定を設定で き ます。 設定を保存するには、 [OK] を選択する必要があ り ます。 [Top Attacks] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を入力 し ます。 こ の フ ィ ール ド はオプ シ ョ ン です。 [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。範囲は 10 ~ 240 秒です。[0] を選択する と 、 更新が無効にな り ます。 また、 モ ジ ュ ール ヘ ッ ダにあ る [ 更新 ] ア イ コ ン を使用 し て更新す る こ と も で き ます。 [Top Attacks To Show] 上位 5、 10、 15、 ま たは 20 個の攻撃の表示を選択 し ます。 [Traffic History] [Traffic History] ウ ィ ジ ェ ッ ト には、選択 さ れた 1 つのイ ン タ フ ェ ース上の最新の 1 時間、1 日、 および 1 か月の ト ラ フ ィ ッ クが表示 さ れます。 こ の機能は、 対処が必要な ト ラ フ ィ ッ クのピー ク を見つけた り 、 その頻度、 期間、 その他の情報を取得 し た り するのに役立ち ます。 一度に監視で き る イ ン タ フ ェ ースは 1 つだけです。 [Edit] を選択 し 、 ド ロ ッ プ ダウン メ ニ ュ ー か ら イ ン タ フ ェ ー ス を 選択 し て [Apply] を 選択す る こ と に よ っ て、 監視 さ れ て い る イ ン タ フ ェ ース を変更で き ます。 [Apply] を選択する と 、 すべての ト ラ フ ィ ッ ク 履歴デー タ が ク リ ア さ れます。 [Interface] 監視 さ れてい る イ ン タ フ ェ ース。 [kbit/s] ト ラ フ ィ ッ ク のグ ラ フ の単位。 ト ラ フ ィ ッ ク 量がどれだけ少な く て も 、 多 く て も ト ラ フ ィ ッ ク レ ベルを表示で き る よ う に、縮尺は ト ラ フ ィ ッ ク レ ベルに基づ いて変化 し ます。 [Last 60 Minutes] [Last 24 Hours] [Last 30 Days] FortiGate の こ の イ ン タ フ ェ ース上で各種の期間にわた っ て監視 さ れている ト ラ フ ィ ッ ク を示す 3 つのグ ラ フ 。 あ る グ ラ フ では、 他のグ ラ フ に比べて、 特定の傾向 を突 き止めやすい場合があ り ます。 [Traffic In] こ の イ ン タ フ ェ ース上で FortiGate ユニ ッ ト に受信 さ れる ト ラ フ ィ ッ ク が、 薄い 赤色の線で示 さ れます。 [Traffic Out] こ の イ ン タ フ ェ ース上で FortiGate ユニ ッ ト か ら送信 さ れる ト ラ フ ィ ッ ク が、 濃 い緑色の線で示 さ れ、 薄い緑色で塗 り つぶ さ れます。 こ のウ ィ ジ ェ ッ ト の タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を選択する と 、こ のウ ィ ジ ェ ッ ト のい く つかの設定を設定で き ます。 設定を保存するには、 [OK] を選択する必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 53 [Top Policy Usage] システム ダ ッ シ ュ ボー ド [Traffic History] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を入力 し ます。 こ の フ ィ ール ド はオプ シ ョ ン です。 [Select Network Interface] ド ロ ッ プ ダウ ン リ ス ト か ら イ ン タ フ ェ ース (FortiGate ユニ ッ ト の イ ン タ フ ェ ース ) を選択 し ます。 選択 し た イ ン タ フ ェ ースには、 そのイ ン タ フ ェ ース上で発生する ト ラ フ ィ ッ ク が表示 さ れます。 [Enable Refresh] 情報の更新を有効にする場合に選択 し ます。 [Top Policy Usage] [Top Policy Usage] には、 FortiGate ユニ ッ ト を通過する ト ラ フ ィ ッ ク量が フ ァ イ アウ ォ ール ポ リ シーによ っ て分類 さ れて、 グ ラ フ または表のど ち ら かで表示 さ れます。 グ ラ フ または表の表示から 、 次の操作を行 う こ と がで き ます。 ・ グ ラ フ内の各バーの上にマウス ポ イ ン タ を置 く こ と によ っ て、フ ァ イ アウ ォ ール ポ リ シー に関する詳細を表示する。 ・ グ ラ フ上の フ ァ イ アウ ォ ール ポ リ シー を選択 し て、その フ ァ イ アウ ォ ール ポ リ シーを表示 し た り 、 必要に応 じ て変更 し た り する。 [Top Policy Usage] のデー タ は、すべての フ ァ イ アウ ォ ール ポ リ シーご と に収集 さ れます。[Top Policy Usage] を設定 し て、最大 20 の フ ァ イ アウ ォ ール ポ リ シーのデー タ を表示で き ます。セ ッ シ ョ ン を受け付けた フ ァ イ アウ ォ ール ポ リ シーのみが、 グ ラ フ または表に表示 さ れます。 [Reset] すべての カ ウ ン ト を 0 に リ セ ッ ト し ます。 [Edit] モ ジ ュ ールを設定 し ます。 [Refresh] 表示 さ れてい る情報を更新 し ます。 [Close] モ ジ ュ ールを閉 じ ます。 [Policy ID] フ ァ イ ア ウ ォ ール ポ リ シー識別子。 [Total Bytes] または [Sort Criteria] の設定に応 じ てバ イ ト 数 ま たはパケ ッ ト 数 で表 さ れ た、 フ ァ イ ア ウ ォ ール ポ リ シーの累積の ト ラ フ ィ ッ ク 量。 [Total Packets] [Top Policy Usage] モジュールを設定するには 1 [System]、 [Dashboard]、 [Usage] の順に選択 し ます。 2 [Top Policy Usage] モ ジ ュ ールの タ イ ト ル バーにある [ 編集 ] ア イ コ ン を選択 し ます。 3 次の情報を入力 し 、 [OK] を選択 し ます。 ダッシュボード ― [Top Policy Usage] のカスタム表示 54 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を入力 し ます。 こ のフ ィ ール ド はオ プ シ ョ ン です。 [Sort Criteria] ポ リ シ ー を [Bytes] ま たは [Packets] のど ち ら の数で並べ替え るかを選択 し ます。 [VDOM] 監視す る VDOM を 選択す るか、 ま たは [Global] を選択 し ます。 こ のオ プ シ ョ ンは、 グ ローバル管理者のみが使用で き ます。 VDOM 管理者には、 自 分の VDOM のみが表示 さ れます。 [Display Format] [Chart] ま たは [Table] の表示を選択 し ます。 [Top Entries To Show] 上位 5、 10、 15、 ま たは 20 個のア プ リ ケーシ ョ ンの表示を選択 し ます。 [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。 範囲は 10 ~ 240 秒です。 [0] を 選択する と 、 更新が無効に な り ます。 ま た、 モ ジ ュ ール ヘ ッ ダにあ る [ 更 新 ] ア イ コ ン を使用 し て更新す る こ と も で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [DLP Archive Usage] [DLP Archive Usage] [DLP Archive Usage] には、FortiGate ユニ ッ ト が コ ン テ ン ツ アー カ イ ブ (DLP アー カ イ ブ ) に送 信 し たデー タ 量が表示 さ れます。 こ の情報は、 DLP ルール、 フ ァ イ アウ ォ ール ポ リ シー、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル、 またはプ ロ ト コ ルによ っ て分類で き ます。 表の表示か ら 、 次の操作を行 う こ と がで き ます。 ・ グ ラ フ内の各バーの上にマウス ポ イ ン タ を置 く こ と によ っ て、 デー タ に関する詳細を表示 する。 ・ グ ラ フ上のバー を選択 し て、 デー タ に関する よ り 詳細な情報を表示す る。 [DLP Archive Usage] のデー タ は、 DLP セ ンサ プ ロ フ ァ イルを フ ァ イ アウ ォ ール ポ リ シーに追 加する こ と によ っ て収集 さ れます。 DLP セ ンサに一致 し たセ ッ シ ョ ンに関する情報のみが、 グ ラ フ ま たは表に追加 さ れます。 フ ァ イ ア ウ ォ ール ポ リ シーに よ っ て受け付け ら れたが、 DLP セ ンサが設定 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イルが含まれていないセ ッ シ ョ ンは、 表示 さ れ るデー タ に含まれません。 [Reset] すべてのカ ウ ン ト を 0 に リ セ ッ ト し ます。 [Edit] モ ジ ュ ールを設定 し ます。 [Refresh] 表示 さ れてい る情報を更新 し ます。 [Close] モ ジ ュ ールを閉 じ ます。 [DLP Rule] または [Policy] または [Profile] または [Protocol] [Report By] の設定に応 じ て、 DLP ルール、 フ ァ イ アウ ォ ール ポ リ シー、 プ ロ フ ァ [Bytes] または [Messages] [Sort Criteria] の設定に応 じ てバ イ ト 数ま たは メ ッ セージ数で表 さ れた、 ア ー カ イ イ ル、 ま たはプ ロ ト コ ル。 ブ さ れたデー タ の量。 こ のウ ィ ジ ェ ッ ト の タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を選択する と 、こ のウ ィ ジ ェ ッ ト のい く つかの設定を設定で き ます。 設定を保存するには、 [OK] を選択する必要があ り ます。 [DLP Archive Usage] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を 入力 し ます。 こ の フ ィ ール ド はオ プ シ ョ ン です。 [Report By] [DLP Rule]、 [Profile]、 [Policy]、 [Protocol] のいずれかを選択 し ます。 [Sort Criteria] 結果を [Bytes] または [Messages] のどちらの数で並べ替えるかを選択します。 [Protocol] 含める プ ロ ト コ ルを選択 し ます。 [VDOM] 監視する VDOM を選択するか、ま たは [Global] を選択 し ます。こ のオ プ シ ョ ンは、 グ ローバル管理者のみが使用で き ます。 VDOM 管理者には、 自分の VDOM のみが表示 さ れます。 こ の フ ィ ール ド は、 [Report By] が [Protocol] の場合は使用で き ません。 [Top Entries To Show] 上位 5、 10、 15、 ま たは 20 個の項目の表示を選択 し ます。 [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。 範囲は 10 ~ 240 秒です。 [0] を選 択する と 、 更新が無効に な り ます。 ま た、 モ ジ ュ ール ヘ ッ ダにあ る [ 更新 ] ア イ コ ン を使用 し て更新する こ と も で き ます。 [RAID Monitor] [RAID Monitor] の表示には、RAID ア レ イ と 各 RAID デ ィ ス クの現在の状態が表示 さ れます。RAID ア レ イの設定については、 223 ページの 「RAID ア レ イの設定」 を参照 し て く だ さ い。 [RAID Monitor] の表示は、 デフォルトのダッシュボード表示には含まれていません。 ドロップダウン メニューから、 [Add Content]、 [RAID Monitor] の順に選択することによって表示できます。 [RAID Monitor] は、 FortiGate ユニ ッ ト に複数のデ ィ ス クがイ ン ス ト ール さ れていない限 り 表示 さ れません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 55 [RAID Monitor] システム ダ ッ シ ュ ボー ド [Configure] RAID ア レ イ を設定するか、ま たは劣化 し たア レ イ を再構築する場合に選択 し ます。 詳細については、 223 ページの 「RAID デ ィ ス ク の設定」 を参照 し て く だ さ い。 [Array Status] アレイ ステータス アイ RAID ア レ イ のス テー タ ス を示 し ます。 チ ェ ッ ク マー ク の付いた緑色は、 正常な RAID ア レ イ を示 し ます。 コン 黄色の三角形は、 こ のア レ イ が劣化 し た状態にあ るが、 引き続 き機能 し て い る こ と を示 し ます。 劣化 し たア レ イは正常な ア レ イ よ り 低速です。 劣化 し た状態を修正す る には、 ア レ イ を再構築 し ます。 レ ン チは、 ア レ イ が再構築 さ れている こ と を示 し ます。 ア レ イ ス テー タ ス ア イ コ ンの上に マウス を 移動 さ せる と 、 こ のア レ イ の ス テー タ スのテキス ト メ ッ セージが表示 さ れます。 ディスク ステータス ア ア レ イ 内のデ ィ ス ク ご と に 1 つのア イ コ ンがあ り ます。 チ ェ ッ ク マー ク の付いた緑色は、 正常なデ ィ ス ク を示 し ます。 イコン ×印の付いた赤色は、 こ のデ ィ ス ク に障害が発生 し 、 注意が必要な こ と を 示 し ます。 デ ィ ス ク ス テー タ ス ア イ コ ンの上に マウ ス を移動 さ せ る と 、 こ のデ ィ ス ク のス テー タ ス と ス ト レ ージ容量が表示 さ れます。 [RAID Level] こ の RAID ア レ イの RAID レ ベル。 RAID レ ベルは、 RAID ア レ イの設定の一 部 と し て設定 さ れます。 詳細については、 224 ページの 「RAID レ ベル」 を 参照 し て く だ さ い。 [Disk Space Usage] ステータス バー このバーは、 現在使用されている RAID アレイのパーセンテージを示します。 [Used]/[Free]/[Total] こ れ ら の 3 つの数値は、使用 さ れてい る RAID ア レ イのス ト レ ージ容量、空 き ス ト レ ージ容量、 およ び RAID ア レ イ 内の合計ス ト レ ージ容量を示 し ま す。 こ れ ら の値は GB で表 さ れます。 [Used] に [Free] を加え る と [Total] に等 し く な り ます。 同期中ステータス RAID ア レ イ の同期の進行状況を表示 し ます。同期には数時間かかる こ と が あ り ます。 同期中、RAID ア レ イ のス テー タ スは、同期がバ ッ ク グ ラ ウ ン ド で実行 さ れ てい る こ と を示 し ます。 同期の進行状況バーは、RAID ア レ イが同期 さ れてい る場合にのみ表示 さ れ ます。 こ の進行状況バー を更新する には、こ のウ ィ ジ ェ ッ ト の タ イ ト ル バーにあ る [ 更新 ] ア イ コ ンの選択が必要に な る場合があ り ます。 再構築ステータス RAID ア レ イ の再構築の進行状況を表示 し ます。ア レ イ の再構築には数時間 かかる こ と があ り ます。 再構築中、 ア レ イ は劣化 し た、 脆弱な状態にあ り ます。 再構築中にデ ィ ス ク 障害が発生する と 、 デー タ が消失 し ます。 再構築が完了する ま で、RAID ア レ イが信頼性の低下 し たモー ド で実行 さ れ てい る こ と を示す警告が表示 さ れます。 こ の進行状況バー を更新する には、こ のウ ィ ジ ェ ッ ト の タ イ ト ル バーにあ る [ 更新 ] ア イ コ ンの選択が必要に な る場合があ り ます。 RAID ディスクの設定 RAID ア レ イ を設定す るには、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [RAID Monitor] ウ ィ ジ ェ ッ ト で [Configure] を選択 し ます。 56 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [Top Application Usage] [RAID level] RAID のレ ベルを選択 し ます。 オ プ シ ョ ン には次の ものがあ り ます。 [RAID-0] ― ( ス ト ラ イ ピ ン グ ) よ り 高いパ フ ォ ーマ ン ス、 冗長性はな し [RAID-1] ― ( ミ ラ ー リ ン グ ) ス ト レ ージ容量は半分にな るが、 完全な冗長性 [RAID-5] ― パ リ テ ィ チ ェ ッ ク 付き ス ト ラ イ ピ ン グ、 お よび冗長性 使用可能な RAID レ ベル オ プ シ ョ ンは、使用可能なハー ド デ ィ ス ク の数に よ っ て 異な り ます。 RAID 0 または RAID 1 には、 2 台以上のデ ィ ス ク が必要です。 RAID 5 には、 3 台以上のデ ィ ス ク が必要です。 RAID レ ベルの変更は、 [Apply] が選択 さ れた と き に有効にな り ます。 RAID レ ベルを変更す る と 、 ア レ イ に格納 さ れてい る ロ グ情報がすべて消去 さ れ、 FortiGate ユニ ッ ト が再起動 さ れます。 ユニ ッ ト は、 RAID ア レ イ を再設定 し てい る間オ フ ラ イ ンのま まにな り ます。再起動 さ れた後、完全な動作状態にする には、 ア レ イ を同期す る必要があ り ます。 RAID レ ベルの詳細については、224 ページの 「RAID レ ベル」 を参照 し て く だ さ い。 [Status] RAID ア レ イ のス テー タ ス ま たは稼働状態。 こ のス テー タ スは、 次のいずれかに な り ます。 [OK] ― 標準のス テー タ ス であ り 、 すべてが正常です。 [OK (Background-Synchronizing) (%)] ― RAID レ ベルを変更 し た後、 デ ィ ス ク を同期 し ています。 同期の進行状況バーに進行状況が表示 さ れます。 [Degraded] ― ア レ イ内の 1 台以上のデ ィ ス ク が故障 し てい るか、削除 さ れたか、 または正常に機能 し ていません。 こ の状態では冗長性がない こ と についての警告 が表示 さ れま す。 ま た、 劣化 し た ア レ イ は正常な ア レ イ よ り 低速で も あ り ま す。 ア レ イ を修正す る には、 [Rebuild RAID] を選択 し ます。 [Degraded (Background-Rebuilding) (%)] ― [Degraded] と 同 じ ですが、RAID ア レ イがバ ッ ク グ ラ ウ ン ド で再構築 さ れています。 再構築が完了する ま で、 ア レ イは引き続き脆弱な状態にあ り ます。 [Size] ギガバ イ ト (GB) 単位の RAID ア レ イ のサ イ ズ。 ア レ イ のサ イ ズは、 選択 さ れた RAID レ ベル と 、 ア レ イ 内のデ ィ ス ク の数に よ っ て異な り ます。 [Rebuild RAID] ア レ イ に新 し いデ ィ ス ク が追加 さ れた後、 ま たは故障 し たデ ィ ス ク が交換 さ れた 後にア レ イ を再構築する場合に選択 し ます。 デ ィ ス ク が少なすぎ る状態で RAID ア レ イ を再構築 し よ う と する と 、再構築エ ラ ー が表示 さ れます。 機能 し てい るデ ィ ス ク を挿入 し た後、 再構築が開始 さ れます。 こ のボ タ ンは、 RAID ア レ イ が劣化 し た状態にあ り 、 かつ再構築す る ための十分 なデ ィ ス ク が存在する場合にのみ使用で き ます。 再構築がすでに進行中の と き に、 再構築を再起動する こ と はで き ません。 注記 : デ ィ ス ク が故障する と 、 機能 し てい るデ ィ ス ク の数が、 RAID レ ベルの動作 に と っ て十分で な く な る可能性があ り ます。 こ の場合は、 RAID ア レ イ を 再構築 する ために、 故障 し たデ ィ ス ク を機能 し ている デ ィ ス ク に交換 し て く だ さ い。 [Disk#] こ のデ ィ ス ク のア レ イ内の位置。 こ れは、 そのデ ィ ス ク の物理ス ロ ッ ト に対応 し ます。 デ ィ ス ク が FortiGate ユニ ッ ト か ら 削除 さ れた場合、 その ド ラ イ ブ ベ イ に新 し い デ ィ ス ク が挿入 さ れる ま で、 そのデ ィ ス ク はア レ イ の メ ンバではない と し て マー ク さ れますが、 その位置は保持 さ れます。 [Status] こ のデ ィ ス ク のス テー タ ス。 オ プ シ ョ ン には、 [OK] と [unavailable] があ り ます。 デ ィ ス ク は、 削除 さ れるか、 または故障す る と [unavailable] にな り ます。 [Member] 選択 さ れたデ ィ ス ク が RAID ア レ イ に含まれているかど う かを表示 し ます。 チ ェ ッ ク マー ク の付いた緑色のア イ コ ンは、 こ のデ ィ ス ク がア レ イ に含まれてい る こ と を示 し ます。 ×印の付いた灰色のア イ コ ンは、 こ のデ ィ ス ク が RAID ア レ イ に含まれていない こ と を示 し ます。 デ ィ ス ク は、 RAID ア レ イ 内の メ ンバで ない場合で も、 ダ ッ シ ュ ボー ド の表示に は正常 と し て表示 さ れる可能性があ り ます。 デ ィ ス ク は、 使用可能であ っ て も、 RAID ア レ イ で使用 さ れていない可能性があ り ます。 た と えば、 RAID 1 ア レ イ 内に 3 台のデ ィ ス ク が存在す る場合は、 2 台の みが使用 さ れます。 [Capacity] こ の ド ラ イ ブが RAID ア レ イ に提供 し てい る ス ト レ ージ容量。 こ のデ ィ ス ク の完全な ス ト レ ージ容量が、自動的に RAID ア レ イ に使用 さ れます。 RAID ア レ イの合計ス ト レ ージ容量は、デ ィ ス ク の容量 と 数、お よびア レ イの RAID レ ベルに よ っ て異な り ます。 [Top Application Usage] [Top Application Usage] には、 FortiGate ユニ ッ ト を通過する ト ラ フ ィ ッ ク量がア プ リ ケーシ ョ ンの種類によ っ て分類 さ れて、 グ ラ フ または表のど ち ら かで表示 さ れます。 グ ラ フ には、 ア プ リ ケーシ ョ ンが使用の順番に表示 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 57 [Disk Status] システム ダ ッ シ ュ ボー ド グ ラ フ または表の表示から 、 次の操作を行 う こ と がで き ます。 ・ 各バーの上にマウス ポ イ ン タ を置 く こ と に よ り 、 ト ラ フ ィ ッ ク 量を表示する。 ・ グ ラ フ上のア プ リ ケーシ ョ ンの種類を選択す る こ と に よ り 、 そのア プ リ ケーシ ョ ン を使用 し た発信元ア ド レ スや、 各発信元ア ド レ スか ら のセ ッ シ ョ ン によ っ て転送 さ れたデー タ 量 に関する情報を表示する。 [Top Application Usage] のデー タ 収集は、 ア プ リ ケーシ ョ ン制御のブ ラ ッ ク / ホワ イ ト リ ス ト を プ ロ テ ク シ ョ ン プ ロ フ ァ イルに追加す る こ と に よ っ て開始 さ れます。 ア プ リ ケーシ ョ ン制 御に一致 し たア プ リ ケーシ ョ ン に関する情報のみが、 グ ラ フ または表に追加 さ れます。 フ ァ イ アウ ォ ール ポ リ シーに よ っ て受け付け ら れたが、 ア プ リ ケーシ ョ ン制御が設定 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イルが含まれていないセ ッ シ ョ ンは、 表示 さ れるデー タ に含まれません。 [Reset] すべてのカ ウ ン ト を 0 に リ セ ッ ト し ます。 [Edit] モ ジ ュ ールを設定 し ます。 [Refresh] 表示 さ れてい る情報を更新 し ます。 [Close] モ ジ ュ ールを閉 じ ます。 [Applications] 使用の順番でのア プ リ ケーシ ョ ン名。 [Bytes] または [Sort Criteria] の設定に応 じ てバ イ ト 数ま たは メ ッ セージ数で表 さ れた ト ラ フ ィ ッ ク 量。 [Messages] [Top Application Usage] モジュールを設定するには、 [System]、 [Dashboard]、 [Usage] の順に選 択し、 [Top Application Usage] モジュールのタイトル バーにある [ 編集 ] アイコンを選択します。 [Top Application Usage] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前 を入力 し ます。 こ の フ ィ ール ド はオ プ シ ョ ン です。 [Sort Criteria] ア プ リ ケーシ ョ ン を [Bytes] ま たは [Messages] のど ち ら の数で並べ替え るか を選択 し ます。 [Application Details] こ のウ ィ ジ ェ ッ ト に表示 さ れる ア プ リ ケーシ ョ ン情報に関する詳細情報。 [Report By] [Source Address] ま たは [Destination Address] を選択 し ます。 [Display User Name] IP ア ド レ スの代わ り にユーザ名 ( 既知の場合 ) を表示する には、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [Resolve Host Name] IP ア ド レ ス を表示する代わ り に、逆 DNS 参照を使用 し てホ ス ト 名を決定する 場合に選択 し ます。 [VDOM] 監視する VDOM を選択するか、 ま たは [Global] を選択 し ます。 こ のオ プ シ ョ ン は、 グ ロ ーバル管理者のみが使用 で き ま す。 VDOM 管理者には、 自分の VDOM のみが表示 さ れます。 [Display Format] [Chart] ま たは [Table] の表示を選択 し ます。 [Top Entries To Show] 上位 5、 10、 15、 ま たは 20 個のア プ リ ケーシ ョ ンの表示を選択 し ます。 [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。 範囲は 10 ~ 240 秒です。 [0] を選 択する と 、 更新が無効にな り ます。 ま た、 モ ジ ュ ール ヘ ッ ダにあ る [ 更新 ] ア イ コ ン を使用 し て更新する こ と も で き ます。 [Disk Status] [Disk Status] ウ ィ ジ ェ ッ ト を使用する と 、 現在 FortiGate ユニ ッ ト に イ ン ス ト ール さ れている 各デ ィ ス ク のス テ ー タ ス を表示で き ます。 こ のス テ ー タ スには、 使用 さ れてい る領域の容量 と 、 使用可能な空き領域の容量が含まれます。 [System]、 [Maintenance]、 [Disk] の順に選択す る こ と によ っ て、 デ ィ ス クのス テー タ スに関する よ り 詳細な情報を参照で き ます。 [Disk] ペー ジには、 デ ィ ス ク の稼働状態、 RAID イ ベ ン ト 、 デ ィ ス クの視覚的な表現、 お よびデ ィ ス ク の 管理の設定に関連 し た情報が表示 さ れます。 管理の設定の例 と し ては、 た と えば、 3 つのパー テ ィ シ ョ ン を それぞれ、 フ ァ ームウ ェ ア用、 ログ用、 WAN オプ シ ョ ン ス ト レージ用に設定す る と い っ た場合があ り ます。 デ ィ ス ク 管理の詳細については、 216 ページの 「[Disk]」 を参照 し て く だ さ い。 58 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム ダ ッ シ ュ ボー ド [P2P Usage] [P2P Usage] [P2P Usage] には、サポー ト さ れてい る各イ ン ス タ ン ト メ ッ セージ ング ク ラ イ ア ン ト の合計バ イ ト 数 と 合計帯域幅が表示 さ れます。 こ れ ら の ク ラ イ ア ン ト は、 WinNY、 BitTorrent、 eDonkey、 Guntella、 お よび KaZaa です。 [P2P Usage] では、 ウ ィ ジ ェ ッ ト のデ フ ォル ト の名前 し か変更で き ません。 [P2P Usage] ウ ィ ジ ェ ッ ト の名前のみを変更で き ます。 名前を変更するには、 タ イ ト ル バーに ある [ 編集 ] ア イ コ ン を選択 し 、 [Custom Widget Name] フ ィ ール ド に名前を入力 し ます。 [OK] を選択 し て、 変更を保存 し ます。 [Per-IP Bandwidth Usage] [Per-IP Bandwidth Usage] ウ ィ ジ ェ ッ ト を使用する と 、 IP ア ド レ ス ご と のセ ッ シ ョ ン デー タ を 表示で き ます。 こ のデー タ には、 ト ラ フ ィ ッ ク を開始 し た各 IP ア ド レ ス ( と 現在の帯域幅消 費 ) が表示 さ れ、 こ れは [Top Sessions] ウ ィ ジ ェ ッ ト 同 じ です。 ト ラ フ ィ ッ ク を開始 し たユー ザの IP ア ド レ ス を表示する代わ り に、 編集ウ ィ ン ド ウで [Resolve Host Name] を選択する こ と によ っ て、 そのユーザの名前を表示する こ と を選択で き ます。 こ のウ ィ ジ ェ ッ ト の タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を選択する と 、こ のウ ィ ジ ェ ッ ト のい く つかの設定を設定で き ます。 設定を保存するには、 [OK] を選択する必要があ り ます。 [Per-IP Bandwidth Usage] のカスタム表示 [Custom Widget Name] こ のウ ィ ジ ェ ッ ト の新 し い名前を入力 し ます。 こ の フ ィ ール ド はオプ シ ョ ン です。 [Resolve Host Name] IP ア ド レ スの代わ り に名前を表示する場合に選択 し ます。 [Display Format] [Chart] ま たは [Table] のど ち ら か を 選択 し ま す。 [Chart] を 選択す る と 、 情報が棒グ ラ フ と し て表示 さ れます。 [Table] を選択す る と 、 情報 が表内に表示 さ れます。 [Top Entries to Show] 表またはグ ラ フ 内に表示 さ れる上位エ ン ト リ を選択 し ます。 [Refresh Interval] 表示の更新間隔 ( 秒単位 ) を選択 し ます。範囲は 10 ~ 240 秒です。[0] を選択する と 、 更新が無効にな り ます。 また、 モ ジ ュ ール ヘ ッ ダにあ る [ 更新 ] ア イ コ ン を使用 し て更新す る こ と も で き ます。 [VoIP Usage] [VoIP Usage] ウ ィ ジ ェ ッ ト では、 現在のア ク テ ィ ブ な VoIP 通話 (over SIP お よび SCCP プ ロ ト コ ルを使用 ) のほか、 破棄 さ れた通話、 失敗 し た通話、 または応答のなか っ た通話を表示で き ます。 実際に成功 し た通話数や、 こ のウ ィ ジ ェ ッ ト 内の情報を最後に ク リ ア し てか らの合計の 通話数を容易に確認で き ます。 [VoIP Usage] ウ ィ ジ ェ ッ ト の名前のみを変更で き ます。 名前を変更するには、 タ イ ト ル バーに ある [ 編集 ] ア イ コ ン を選択 し 、 [Custom Widget Name] フ ィ ール ド に名前を入力 し ます。 [OK] を選択 し て、 変更を保存 し ます。 [IM Usage] [IM Usage] ウ ィ ジ ェ ッ ト には、 イ ン ス タ ン ト メ ッ セージ ン グ ク ラ イ ア ン ト と 、 ネ ッ ト ワー ク 上で実行 さ れて い る それ ら の ク ラ イ ア ン ト の動作に関す る 詳細が表示 さ れ ま す。 こ のウ ィ ジ ェ ッ ト 内か ら、 ユーザ、 チ ャ ッ ト 、 メ ッ セージ、 ク ラ イ ア ン ト 間の フ ァ イル転送、 お よび実 行 さ れたすべての音声チ ャ ッ ト に関連 し た情報を表示で き ます。 [IM Usage] は、 こ れ らの情報 を IM、 Yahoo!、 AIM、 お よび ICQ に関 し て提供 し ます。 [IM Usage] ウ ィ ジ ェ ッ ト の名前のみを変更で き ます。 名前を変更するには、 タ イ ト ル バーにあ る [ 編集 ] ア イ コ ン を選択 し 、 [Custom Widget Name] フ ィ ール ド に名前を入力 し ます。 [OK] を 選択 し て、 変更を保存 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 59 [FortiGuard] システム ダ ッ シ ュ ボー ド [FortiGuard] FortiGuard Center か ら 受信 さ れた FortiGuard 警告情報のみを表示する、 個別の [Alert Message Console] ウ ィ ジ ェ ッ ト を設定で き ます。 新 し く 作成 さ れた [Alert Message Console] ウ ィ ジ ェ ッ ト の名前を変更 し 、 [FortiGuard security alerts] オ プ シ ョ ン を選択する こ と によ り 、 警告の受信 と こ のウ ィ ジ ェ ッ ト 上への表示を有効にする こ と がで き ます。 FortiGuard は、FortiGuard Center の現在のニ ュ ースや RSS フ ィ ー ド に関連 し た情報を提供 し ま す。 こ のバージ ョ ンの [Alert Message Console] ウ ィ ジ ェ ッ ト には、 FortiGuard サブ ス ク ラ イバ に最新のニ ュ ースや脅威について通知する、 FortiGuard Center か ら の RSS フ ィ ー ド が表示 さ れます。 [FortiGuard] ウ ィ ジ ェ ッ ト を有効にす る には、 追加 さ れた [Alert Message Console] ウ ィ ジ ェ ッ ト で、 タ イ ト ル バー領域にあ る [ 編集 ] ア イ コ ン を 選択 し ま す。 表示 さ れ る [Custom Alert Display] の リ ス ト で、[FortiGuard security alerts] の横にある チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 60 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 ファームウェア管理方法 こ の項には、 現在の設定を正 し く バ ッ ク ア ッ プする方法や、 ア ッ プグ レー ド が失敗 し た場合に 実行すべき こ と に関する重要な情報が含まれている ため、ア ッ プグ レー ド する前に こ の項を確 認する こ と を お勧め し ます。 また、 新 し い フ ァ ームウ ェ ア メ ン テナン ス リ リ ースが リ リ ース さ れた場合は、 『FortiOS ハン ド ブ ッ ク』 の 「新機能」 の章 も確認する必要があ り ます。 こ の章には、 現在の設定では問題が 発生する可能性のある変更や新機能に関する貴重な情報が含まれています。 フ ァ ームウ ェ ア イ メ ージに加えて、 フ ォ ーテ ィ ネ ッ ト ではパ ッ チ リ リ ース、 つま り 重要な問 題を解決する ための メ ン テ ナン ス リ リ ース ビル ド を リ リ ース し ています。 フ ァ ームウ ェ ア を ア ッ プグレー ド する前に、 パ ッ チ リ リ ースの リ リ ース ノ ー ト を確認する こ と を強 く お勧め し ます。 以下の手順に従 っ て く だ さ い。 ・ パ ッ チ リ リ ースの リ リ ース ノ ー ト を ダウ ン ロー ド し て確認 し ます。 ・ パ ッ チ リ リ ース を ダウン ロー ド し ます。 ・ 現在の設定をバ ッ ク ア ッ プ し ます。 ・ 64 ページの 「ア ッ プグ レー ド の前の フ ァ ームウ ェ アのテ ス ト 」 の手順を使用 し て、 パ ッ チ リ リ ース を イ ン ス ト ール し ます。 ・ パ ッ チ リ リ ース イ ン ス ト ール前の状態の設定が適用 さ れてい る こ と を確認 し ます。 リ リ ース ノ ー ト を確認せずにパ ッ チ リ リ ース を イ ン ス ト ール し た り 、 フ ァ ームウ ェ ア を テ ス ト し た り する と 、 設定が変更 さ れた り 、 予期 し ない問題が発生 し た り する こ と があ り ます。 また、 FortiOS 4.0 では、 ト ラ ン スペア レ ン ト モー ド の と き に NAT を使用する よ う に FortiGate を設定する こ と も で き ます。 詳細については、 Fortinet Knowledge Center の記事 「 ト ラ ン スペ ア レ ン ト モー ド での NAT の設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効にする と 、 シ ス テム フ ァ ームウ ェ アのバージ ョ ンがグローバルに設定 さ れます。 詳細については、 73 ページの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ 設定のバ ッ ク ア ッ プ ・ ア ッ プグレー ド の前の フ ァ ームウ ェ アのテ ス ト ・ FortiGate ユニ ッ ト のア ッ プグ レー ド ・ 以前の フ ァ ームウ ェ ア イ メ ージへの復帰 ・ 設定の復元 注記 : [Backup and Restore] ページ で使用可能な設定 (FortiManager ユニ ッ ト への リ モー ト でのバ ッ ク ア ッ プ な ど ) の詳細については、 199 ページの 「シ ステム - メ ン テナン ス」 を 参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 61 設定のバ ッ ク ア ッ プ フ ァ ームウ ェ ア管理方法 設定のバックアップ 注意 : パ ッ チ リ リ ースのイ ン ス ト ール、 フ ァ ームウ ェ アのア ッ プグ レー ド / ダウング レー ド 、 または工場出荷のデ フ ォル ト 値への設定の リ セ ッ ト の前には、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 設定を、 ロー カル PC、 FortiManager ユニ ッ ト 、 FortiGuard Management サーバ、 または USB キーにバ ッ ク ア ッ プ で き ます。 また、FortiGuard Analysis and Management Service が有効にな っ ている場合は、 FortiGuard Management サーバに も バ ッ ク ア ッ プ で き ます。 ロー カルのハー ド ド ラ イ ブがある場合は、 その ド ラ イ ブに も 設定 フ ァ イルをバ ッ ク ア ッ プ で き ます。 その ド ラ イ ブ上でパーテ ィ シ ョ ンが有効にな っ てい る場合は、 バ ッ ク ア ッ プ す る すべての設定 フ ァ イ ル が、 ログ と シ ス テム デー タ 用に作成 さ れてい る特定のパーテ ィ シ ョ ン に格納 さ れます。 FortiOS 4.0 にアップグレードする前に、 FortiGate ユニットのすべての設定をバックアップすることを お勧めします。 これにより、 FortiOS 3.0 MR7 へのダウングレードが必要になり、 これらの設定を復 元することになっても、 すべての設定が引き続き使用可能なことが保証されます。 Web ベース マネージャでの設定のバックアップ 設定を、 FortiManager ユニ ッ ト や FortiGuard Management サーバな どの さ ま ざ ま な場所にバ ッ ク ア ッ プ で き ます。 次の手順は、 Web ベース マネージ ャ で現在の設定を正 し く バ ッ ク ア ッ プ する方法を示 し ています。 Web ベース マネージャで設定ファイルをバックアップするには 1 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 2 [System Information] ウ ィ ジ ェ ッ ト で、 [System Configuration] 行にある [Backup] を選択 し ます。 [Backup] ページに自動的にリダイレクトされます。 設定 フ ァ イルが格納 さ れる場所を選択 し ます。 4 設定 フ ァ イルを暗号化するには、 [Encrypt configuration file] の横にある チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 3 VPN証明書を保存するために設定ファイルを暗号化する場合は、 [Encrypt configuration file] チェック ボックスをオンにして、パスワードを入力した後、パスワードを再度 入力して確認します。 5 [Backup] を選択 し ます。 6 フ ァ イルを保存 し ます。 CLI を使用した設定のバックアップ TFTP または FTP サーバ、 あるいは USB キーを使用 し て、 設定フ ァ イルをバ ッ ク ア ッ プ で き ます。 また、 FortiGuard Analysis and Management Service が設定 さ れている場合は、 FortiGuard Management サーバに も設定をバ ッ ク ア ッ プ で き ます。 CLI で設定 をバ ッ ク ア ッ プ す る場合は、 設定全体 をバ ッ ク ア ッ プ す るか (execute backup full-config)、 または設定の一部をバ ッ ク ア ッ プするか (execute backup config) を選 択で き ます。 バーチ ャ ル ド メ イ ンが設定 さ れてい る場合は、 特定の管理者がバ ッ ク ア ッ プ を 許可 さ れる対象についての制限があ り ます。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 を 参照 し て く だ さ い。 次の手順は、 CLI で現在の設定をバ ッ ク ア ッ プす る方法を示 し てお り 、 読者が次の コ マ ン ド に 精通 し てい る こ と を前提に し てい ます次の手順で使用 さ れてい る個々の コ マ ン ド の詳細につ いては、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 62 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 設定のバ ッ ク ア ッ プ CLI を使用して設定ファイルをバックアップするには 1 設定 フ ァ イルを USB キーにバ ッ ク ア ッ プする には、 次の コ マ ン ド を入力 し ます。 execute backup config usb <backup_filename> <encrypt_passwd> 2 設定 フ ァ イルを TFTP または FTP サーバにバ ッ ク ア ッ プするには、 次の コ マ ン ド を入力 し ます。 execute backup config {tftp | ftp} <backup_filename> <tftp_server_ipaddress> <ftp server [:ftp port] <ftp_username> <ftp_passwd> <encrypt_passwd> 3 設定を FortiGuard Management サーバにバックアップするには、 次のコマンドを入力します。 execute backup config management-station <comment> CLI を使用して設定ファイル全体をバックアップするには 設定 フ ァ イル全体をバ ッ ク ア ッ プするには、 次の コ マ ン ド を入力 し ます。 execute backup full-config {tftp | ftp | usb} <backup_filename> <backup_filename> <tftp_server_ipaddress> <ftp server [:ftp port] <ftp_username> <ftp_passwd> <encrypt_passwd> USB キーへの設定のバックアップ FortiGate ユニ ッ ト に USB ポー ト が装備 さ れている場合は、 現在の設定を USB キーにバ ッ ク ア ッ プ で き ます。設定 フ ァ イルを USB キーにバ ッ ク ア ッ プする場合は、その USB キーが FAT16 デ ィ ス ク と し て フ ォ ーマ ッ ト さ れている こ と を確認 し て く だ さ い。 FAT16 フ ォ ーマ ッ ト は、 サ ポー ト さ れてい る唯一のパー テ ィ シ ョ ンの種類です。 詳細につい ては、 202 ペー ジの 「USB デ ィ ス クの フ ォ ーマ ッ ト 」 を参照 し て く だ さ い。 先に進む前に、FortiGate ユニ ッ ト の USB ポー ト に USB キーが挿入 さ れている こ と を確認 し て く だ さ い。 設定を USB キーにバックアップするには 1 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 2 [System Information] ウ ィ ジ ェ ッ ト で、 [System Configuration] 行にある [Backup] を選択 し ます。 [Backup] ページに自動的にリダイレクトされます。 3 [USB Disk] を選択 し ます。 VPN証明書を保存するために設定ファイルを暗号化する場合は、 [Encrypt configuration ボックスをオンにして、パスワードを入力した後、パスワードを再 度入力して確認します。 4 [Backup] を選択 し ます。 5 フ ァ イルを保存 し ます。 file] チェック CLI または Web ベース マネージ ャのいずれかか ら設定 フ ァ イルを正常にバ ッ ク ア ッ プ し た ら、 FortiOS 4.0 へのア ッ プグ レー ド に進みます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 63 ア ッ プグレー ド の前の フ ァ ームウ ェ アのテス ト フ ァ ームウ ェ ア管理方法 アップグレードの前のファームウェアのテスト 新 し い フ ァ ームウ ェ ア バージ ョ ン、 あるいは メ ン テナン ス またはパ ッ チ リ リ ースにア ッ プグ レ ー ド する前に、 イ ン ス ト ールす る必要のあ る フ ァ ームウ ェ ア を テ ス ト す る こ と も で き ます。 フ ァ ームウ ェ ア を テ ス ト する こ と によ っ て、新機能や既存の機能の変更に精通で き るだけでな く 、現在の設定が こ の フ ァ ームウ ェ ア で動作するかど う か も 確認で き ます。 フ ァ ームウ ェ ア イ メ ージ を テ ス ト す る には、 シ ス テムの再起動か ら イ ン ス ト ール し た後、 それを シ ス テム メ モ リ に保存 し ます。 フ ァ ームウ ェ アがシ ス テム メ モ リ に保存 さ れた後、 FortiGate ユニ ッ ト は、 その フ ァ ームウ ェ ア を現在の設定で使用 し て動作 し ます。 次の手順では、 フ ァ ームウ ェ アが完全にはイ ン ス ト ール さ れません。 FortiGate ユニ ッ ト は、 次 回の再起動時に、 その FortiGate ユニ ッ ト に最初に イ ン ス ト ール さ れていた フ ァ ームウ ェ ア を 使用 し て動作 し ます。 フ ァ ームウ ェ ア を完全に イ ン ス ト ールするには、 65 ページの 「FortiGate ユニ ッ ト のア ッ プグレー ド 」 の手順を使用 し ます。 次の手順は、 通常の フ ァ ームウ ェ ア イ メ ージ またはパ ッ チ リ リ ースのど ち ら に対 し て も 実行 で き ます。 次の手順では、 フ ァ ームウ ェ ア イ メ ージがすでに管理 コ ン ピ ュ ー タ にダウ ン ロー ド さ れてい る こ と を前提に し ています。 アップグレードの前にファームウェア イメージをテストするには 1 新 し い フ ァ ームウ ェ ア イ メ ージ フ ァ イルを、 TFTP サーバのルー ト デ ィ レ ク ト リ に コ ピー し ます。 2 TFTP サーバを起動 し ます。 3 CLI にログ イ ン し ます。 4 次のコマンドを入力して、 TFTP サーバを実行しているコンピュータに ping を発行します。 execute ping <server_ipaddress> TFTP サーバを実行しているコンピュータに ping を発行すると、FortiGate ユニットと TFTP サーバが正常に接続されていることが確認されます。 5 次の コ マ ン ド を入力 し て、 FortiGate ユニ ッ ト を再起動 し ます。 execute reboot 6 FortiGate ユニ ッ ト が再起動する と 、 一連の起動 メ ッ セージが表示 さ れます。 次の メ ッ セージが表示 さ れた ら 、 直ちにいずれかのキーを押 し て、 シ ス テムの起動を中断 し ます。 Press any key to display configuration menu… いずれかのキーを押すまでに 3 秒しかありません。すぐにキーを押すさないと FortiGate ユニットが再起動するため、ログインし、手順 5. ~ 6. をもう一度繰り返 さなければならなくなります。 起動プロセスを正常に中断できた場合は、次のメッセージが表示されます。 [G]: Get firmware image from TFTP server. [F]: Format boot device. [Q]: Quit menu and continue to boot with default firmware. [H]: Display this list of options. 7 G を押 し て、 TFTP サーバか ら新 し い フ ァ ームウ ェ ア イ メ ージ を取得 し ます。 次のメッセージが表示されます。 Enter TFTP server address [192.168.1.168] : 8 TFTP サーバのア ド レ ス を入力 し 、 Enter キー を押 し ます。 次のメッセージが表示されます。 Enter Local Address [192.168.1.188] : 64 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 FortiGate ユニ ッ ト のア ッ プグレー ド 9 FortiGate ユニ ッ ト の内部の IP ア ド レ ス を入力 し ます。 この IP アドレスは、FortiGate ユニットを TFTP サーバに接続します。この IP アドレ スは TFTP サーバと同じネットワーク上に存在する必要がありますが、ネットワーク上 の別のデバイスの IP アドレスを使用しないようにしてください。 次のメッセージが表示されます。 Enter File Name [image.out] : 10 フ ァ ームウ ェ ア イ メ ージ フ ァ イルの名前を入力 し 、 Enter キーを押 し ます。 TFTP サーバによってファームウェア イメージ ファイルが FortiGate ユニットにアッ プロードされ、次のメッセージが表示されます。 Save as Default firmware/Backup firmware/Run image without saving: [D/B/R] 11 R を押 し ます。 FortiGate ファームウェア イメージがインストールされ、システム メモリに保存ま す。FortiGate ユニットが起動され、新しいファームウェア イメージが現在の設定で 実行されます。 フ ァ ームウ ェ アのテ ス ト を完了 し た ら 、 FortiGate ユニ ッ ト を再起動 し て、 元の フ ァ ームウ ェ アの使用を再開で き ます。 FortiGate ユニットのアップグレード ア ッ プ グ レ ー ド が成功 し 、 FortiGate ユ ニ ッ ト にハー ド ド ラ イ ブ が装備 さ れ て い る 場合は、 [System]、 [Maintenance]、 [Backup and Restore] の順に選択 し て表示 さ れるページにある [Boot alternate firmware] オプ シ ョ ン を使用で き ます。 こ のオプ シ ョ ン を使用する と 、 2 つの フ ァ ーム ウ ェ ア イ メ ージ ( た と えば、FortiOS 3.0 MR7 と FortiOS 4.0) を ダウング レー ド またはア ッ プグ レー ド に使用で き ます。 ア ッ プグレー ド が成功 し なか っ た場合は、 68 ページの 「以前の フ ァ ームウ ェ ア イ メ ージへの 復帰」 に進んで く だ さ い。 次の手順は、 パ ッ チ リ リ ース を イ ン ス ト ールする と き に も使用で き ます。 パ ッ チ リ リ ース と は、特定の問題を解決するが、新機能や既存の機能の変更は含まれていない フ ァ ームウ ェ ア イ メ ージの こ と です。 パ ッ チ リ リ ースは、 最新の フ ァ ームウ ェ ア バージ ョ ンにア ッ プグレー ド さ れているかど う かにかかわ ら ずイ ン ス ト ールで き ます。 Web ベース マネージャでの FortiOS 4.0 へのアップグレード 注意 : パ ッ チ リ リ ースのイ ン ス ト ール、 フ ァ ームウ ェ アのア ッ プグ レー ド / ダウング レー ド 、 または工場出荷のデ フ ォル ト 値への設定の リ セ ッ ト の前には、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 次の手順は、Web ベース マネージ ャ で FortiOS 4.0 にア ッ プグ レー ド する方法を示 し ています。 CLI を使用 し て FortiOS 4.0 にア ッ プグ レー ド する こ と をお勧め し ます。 CLI のア ッ プグレー ド 手順では、 現在の フ ァ イ アウ ォ ール設定がすべて工場出荷のデ フ ォ ル ト 設定に戻 り ます。 Web ベース マネージャで FortiOS 4.0 にアップグレードするには 1 フ ァ ームウ ェ ア イ メ ージ フ ァ イルを管理 コ ン ピ ュ ー タ にダウン ロー ド し ます。 2 Web ベース マネージ ャ にログ イ ン し ます。 3 [System]、 [Status] の順に選択 し 、 [System Information] ウ ィ ジ ェ ッ ト を見つけます。 4 [Firmware Version] の横にある [Update] を選択 し ます。 5 フ ァ ームウ ェ ア イ メ ージ フ ァ イルのパス と フ ァ イル名を入力するか、 または [Browse] を 選択 し て フ ァ イルを見つけます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 65 FortiGate ユニ ッ ト のア ッ プグ レー ド 6 フ ァ ームウ ェ ア管理方法 [OK] を選択 し ます。 FortiGate ユニットは、ファームウェア イメージ ファイルをアップロードし、新し いファームウェア バージョンにアップグレードした後、再起動して FortiGate ログイ ンを表示します。この処理には数分かかることがあります。 ア ッ プグレー ド が正常に イ ン ス ト ール さ れた場合は、 次の操作を行います。 ・ FortiGate ユニ ッ ト に ping を発行 し て、 引き続き接続 さ れてい る こ と を確認 し ます。 ・ ブ ラ ウザのキ ャ ッ シ ュ を ク リ ア し 、 Web ベース マネージ ャ にログ イ ン し ます。 Web ベースマネージ ャ に再ログ イ ン後、 引き継 ぐべき設定を保存する必要があ り ます。 設定に は、 FortiOS 3.0 MR7 か ら引き継がれてい る もの と 、 引き継がれていない も の ( 特定の IPS グ ループ設定な ど ) があ り ます。 引き継がれた設定を保存す る には、 [System]、 [Maintenance]、 [Backup and Restore] の順に選択 し ます。 注記 : FortiOS4.0 にア ッ プグレー ド し た後、 FortiGuard Distribution Network (FDN) から 最新 の FortiGuard シグネチ ャ を取得する ために [Update Now] を実行 し て く だ さ い。 フ ァ ーム ウ ェ アに含まれてい る シグネチ ャが、 FDN で現在入手可能な シグネチ ャ よ り 古い可能性が あるためです。 CLI を使用した FortiOS 4.0 へのアップグレード 注意 : パ ッ チ リ リ ースのイ ン ス ト ール、 フ ァ ームウ ェ アのア ッ プグ レー ド / ダウング レー ド 、 または工場出荷のデ フ ォル ト 値への設定の リ セ ッ ト の前には、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 次の手順では、 TFTP サーバを使用 し て フ ァ ームウ ェ ア を ア ッ プグレー ド し ます。 CLI のア ッ プグ レー ド 手順では、現在の フ ァ イ アウ ォ ール設定がすべて工場出荷のデ フ ォ ル ト 設定に戻 り ます。 CLI で フ ァ ームウ ェ ア を ア ッ プ グ レ ー ド する方法の詳細については、 Fortinet Knowledge Base の記事「CLIの手順でTFTPを使用 し たFortiGate フ ァ ームウ ェ アのロー ド 」を参照 し て く だ さ い。 次の手順では、 フ ァ ームウ ェ ア イ メ ージがすでに管理 コ ン ピ ュ ー タ にダウ ン ロー ド さ れてい る こ と を前提に し ています。 CLI を使用して FortiOS 4.0 にアップグレードするには 1 新 し い フ ァ ームウ ェ ア イ メ ージ フ ァ イルを、 TFTP サーバのルー ト デ ィ レ ク ト リ に コ ピー し ます。 2 TFTP サーバを起動 し ます。 3 CLI にログ イ ン し ます。 4 次のコマンドを入力して、 TFTP サーバを実行しているコンピュータに ping を発行します。 execute ping <server_ipaddress> TFTP サーバを実行しているコンピュータに ping を発行すると、FortiGate ユニットと TFTP サーバが正常に接続されていることが確認されます。 5 次の コ マ ン ド を入力 し て、 フ ァ ームウ ェ ア イ メ ージ を TFTP サーバか ら FortiGate ユニ ッ ト に コ ピー し ます。 execute restore image <name_str> <tftp_ipv4> ここ で、<name_str> はフ ァ ーム ウ ェア イ メー ジ フ ァイ ル の名 前 であ り、 <tftp_ipv4> は TFTP サーバの IP アドレスです。たとえば、ファームウェア イメージ ファイルの名前が image.out であり、TFTP サーバの IP アドレスが 192.168.1.168 の場合は、次のコマンドを入力します。 execute restore image.out 192.168.1.168 FortiGate ユニットから、次のようなメッセージが表示されます。 This operation will replace the current firmware version! Do you want to continue? (y/n) 66 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 FortiGate ユニ ッ ト のア ッ プグレー ド 6 y を押 し ます。 FortiGate ユニットは、ファームウェア イメージ ファイルをアップロードし、新し いファームウェア バージョンにアップグレードした後、再起動します。この処理には 数分かかります。 7 CLI に再接続 し ます。 8 次の コ マ ン ド を入力 し て、 フ ァ ームウ ェ ア イ メ ージが正常に イ ン ス ト ール さ れた こ と を 確認 し ます。 get system status 9 CLI か ら ア ン チウ イルスおよび攻撃定義を更新するには、 次の コ マ ン ド を入力 し ます。 execute update-now 代わりに、Web ベース マネージャからアンチウイルスおよび攻撃定義を更新する場合 は、Web ベース マネージャにログインし、[System]、[Maintenance]、[FortiGuard] の順に選択します。 アップグレードの確認 Web ベース マネージ ャ に再ログ イ ンする と 、 FortiOS 3.0 MR7 の設定のほ と んどが引き継がれ ています。 た と えば、 [System]、 [Network]、 [Options] の順に選択する と 、 FortiOS 3.0 MR7 の 設定か ら引き継がれた DNS 設定を確認で き ます。 どの設定が引き継がれたかを確認する必要があ り ます。 また、 管理ア ク セスの設定 も引き継が れた こ と を確認する必要があ り ます。 設定を確認する こ と によ り 、 FortiOS 4.0 の新機能や変更 に精通する こ と がで き ます。 設定は、 次の操作によ っ て確認で き ます。 ・ Web ベース マネージ ャ で、 各 メ ニ ュ ーおよび タ ブ を操作する ・ CLI で show シ ェ ル コ マ ン ド を使用する FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 67 以前の フ ァ ームウ ェ ア イ メ ージへの復帰 フ ァ ームウ ェ ア管理方法 以前のファームウェア イメージへの復帰 ア ッ プグレー ド が正常に イ ン ス ト ール さ れなか っ た場合は、 以前のフ ァ ームウ ェ ア イ メ ージ ( または、 FortiOS 3.0 な どのバージ ョ ン ) への復帰が必要にな る こ と があ り ます。 次の手順は、 Web ベース マネージ ャ または CLI のど ち ら かを使用 し て以前の フ ァ ームウ ェ ア イ メ ージに正 し く ダウング レー ド する方法を示 し ています。 また、 以前の設定を復元する方法に関する手順 も含まれています。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ Web ベース マネージ ャ での以前の フ ァ ームウ ェ アへのダウ ング レー ド ・ CLI を使用 し た以前の フ ァ ームウ ェ アへのダウング レー ド ・ 設定の復元 Web ベース マネージャでの以前のファームウェアへのダウングレード 注意 : パ ッ チ リ リ ースのイ ン ス ト ール、 ア ッ プグ レー ド / ダウング レー ド 、 または工場 出荷のデ フ ォル ト 値への リ セ ッ ト の前には、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 以前の フ ァ ームウ ェ アにダウン グレー ド する場合は、 次の設定のみが保持 さ れます。 ・ 動作モー ド ・ イ ン タ フ ェ ース IP/ 管理 IP ・ ルー ト の静的テーブル ・ DNS 設定 ・ VDOM のパラ メ ー タ / 設定 ・ 管理者ユーザのア カ ウン ト ・ セ ッ シ ョ ン ヘルパ ・ system accprofile FortiOS 4.0 で追加の設定を作成 し た場合は、ダウング レー ド の前に現在の設定をバ ッ ク ア ッ プ す る よ う に し て く だ さ い。 詳細については、 62 ページの 「設定のバ ッ ク ア ッ プ」 を参照 し て く だ さ い。 Web ベース マネージャでダウングレードするには 1 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [System Information] ウ ィ ジ ェ ッ ト を 見つけます。 2 [Firmware Version] の横にある [Update] を選択 し ます。 3 フ ァ ームウ ェ ア イ メ ージ フ ァ イルのパス と フ ァ イル名を入力するか、 または [Browse] を 選択 し て フ ァ イルを見つけます。 4 [OK] を選択 し ます 次のメッセージが表示されます。 This version will downgrade the current firmware version.Are you sure you want to continue? 5 [OK] を選択 し ます FortiGate ユニットは、ファームウェア イメージ ファイルをアップロードし、古い ファームウェア バージョンに戻した後、設定をリセットし、再起動して FortiGate ロ グインを表示します。この処理には数分かかります。 6 Web ベース マネージ ャ にログ イ ン し ます。 [System]、[Dashboard]、[Status] の順に選択して、[System Information] に表示さ れているファームウェア バージョンが正しいファームウェアに変更されていること を確認します。 68 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 以前のフ ァ ームウ ェ ア イ メ ージへの復帰 ダウングレードの確認 以前の フ ァ ームウ ェ アに正常にダウング レー ド し た後、 接続 と 設定を確認 し ます。 Web ベース マネージ ャ に接続で き ない場合は、 管理ア ク セスの設定 と 内部ネ ッ ト ワー ク の IP ア ド レ スが 正 し い こ と を確認 し て く だ さ い。 ダウ ングレー ド に よ っ て、 設定がデ フ ォル ト 設定に変更 さ れ る可能性があ り ます。 CLI を使用した以前のファームウェアへのダウングレード 注意 : パ ッ チ リ リ ースのイ ン ス ト ール、 ア ッ プグ レー ド / ダウング レー ド 、 または工場 出荷のデ フ ォル ト 値への リ セ ッ ト の前には、 常に設定をバ ッ ク ア ッ プ し て く だ さ い。 以前の フ ァ ームウ ェ アにダウン グレー ド する場合は、 次の設定のみが保持 さ れます。 ・ 動作モー ド ・ イ ン タ フ ェ ース IP/ 管理 IP ・ ルー ト の静的テーブル ・ DNS 設定 ・ VDOM のパラ メ ー タ / 設定 ・ 管理者ユーザのア カ ウン ト ・ セ ッ シ ョ ン ヘルパ ・ system accprofile FortiOS 4.0 で追加の設定を作成 し た場合は、ダウング レー ド の前に設定をバ ッ ク ア ッ プする よ う に し て く だ さ い。詳細については、62 ページの 「設定のバ ッ ク ア ッ プ」 を参照 し て く だ さ い。 次の手順では、 フ ァ ームウ ェ ア イ メ ージがすでに管理 コ ン ピ ュ ー タ にダウ ン ロー ド さ れてい る こ と を前提に し ています。 CLI を使用してダウングレードするには 1 新 し い フ ァ ームウ ェ ア イ メ ージ フ ァ イルを、 TFTP サーバのルー ト デ ィ レ ク ト リ に コ ピー し ます。 2 TFTP サーバを起動 し ます。 3 CLI にログ イ ン し ます。 4 次のコマンドを入力して、 TFTP サーバを実行しているコンピュータに ping を発行します。 execute ping <server_ipaddress> TFTP サーバを実行しているコンピュータに ping を発行すると、FortiGate ユニットと TFTP サーバが正常に接続されていることが確認されます。 5 次の コ マ ン ド を入力 し て、 フ ァ ームウ ェ ア イ メ ージ を TFTP サーバか ら FortiGate ユニ ッ ト に コ ピー し ます。 execute restore image tftp <name_str> <tftp_ipv4> ここ で、<name_str> はフ ァ ーム ウ ェア イ メー ジ フ ァイ ル の名 前 であ り、 <tftp_ipv4> は TFTP サーバの IP アドレスです。たとえば、ファームウェア イメージ ファイルの名前が image.out であり、TFTP サーバの IP アドレスが 192.168.1.168 の場合は、次のコマンドを入力します。 execute restore image tftp image.out 192.168.1.168 FortiGate ユニットから、次のメッセージが表示されます。 This operation will replace the current firmware version!Do you want to continue? (y/n) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 69 以前の フ ァ ームウ ェ ア イ メ ージへの復帰 6 フ ァ ームウ ェ ア管理方法 y を押 し ます。 FortiGate ユニットによってファームウェア イメージ ファイルがアップロードされ ます。ファイルがアップロードされた後、次のようなメッセージが表示されます。 Get image from tftp server OK. Check image OK. This operation will downgrade the current firmware version! Do you want to continue? (y/n) 7 y を押 し ます。 FortiGate ユニットは、古いファームウェア バージョンに戻し、設定を工場出荷のデ フォルト値にリセットして、再起動します。この処理には数分かかります。 FortiGate ユニットによってファームウェアがアップロードされたら、FortiGate ユ ニットはデフォルト IP アドレスを含めてデフォルト設定に戻されているため、IP ア ドレスを再設定する必要があります。IP アドレスの設定については、インストール ガ イドを参照してください。 8 CLI に再接続 し ます。 9 次の コ マ ン ド を入力 し て、 フ ァ ームウ ェ ア イ メ ージが正常に イ ン ス ト ール さ れた こ と を 確認 し ます。 get system status 以前の設定を復元するには、 71 ページの 「設定の復元」 を参照 し て く だ さ い。 70 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ ームウ ェ ア管理方法 設定の復元 設定の復元 以前の フ ァ ームウ ェ ア にダウ ン グ レ ー ド し た後、 設定が引 き継がれていない可能性があ り ま す。 FortiOS 4.0 にア ッ プグ レー ド する前に保存 し た設定 フ ァ イルを使用 し て、 以前の フ ァ ーム ウ ェ アの設定を復元で き ます。 次の手順は、 最新のパ ッ チ リ リ ース または メ ン テナン ス リ リ ース を イ ン ス ト ール し た後に設 定を復元する と き に も 使用で き ます。 Web ベース マネージャでの設定の復元 次の手順では、 Web ベース マネージ ャ で以前の フ ァ ームウ ェ ア設定を復元 し ます。 Web ベース マネージャで設定を復元するには 1 Web ベース マネージ ャ に ロ グ イ ン し ます。 2 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [System Information] ウ ィ ジ ェ ッ ト を見つ けます。 3 [System Configuration] 行で [Restore] を選択 し て、 [Local PC]、 [FortiManager]、 または [FortiGuard] (FortiGate ユニ ッ ト に FortiGuard Analysis and Management Service が設定 さ れ てい る場合 ) のいずれかから 設定を復元 し ます。 4 [Restore] ページに自動的にリダイレクトされます。 フ ァ イルの場所を入力するか、 または [Browse] を選択 し て フ ァ イルを見つけます。 必要に応じて、設定ファイルのパスワードを入力します。 5 [Restore] を選択 し ます。 FortiGate ユニ ッ ト によ っ て設定が復元 さ れます。 FortiGate ユニ ッ ト が再起動する ため、 こ の 処理には数分かかる こ と があ り ます。 Web ベース マネージ ャ にログ イ ン し 、 さ ま ざ まな メ ニ ュ ーや タ ブ を操作する こ と に よ っ て、設 定が復元 さ れてい る こ と を確認で き ます。 CLI での設定の復元 次の手順では、 CLI で以前の フ ァ ームウ ェ ア設定を復元 し ます。 CLI で設定を復元するには 1 バックアップされた設定ファイルを、 TFTP サーバのルート ディレクトリにコピーします。 2 TFTP サーバを起動 し ます。 3 CLI にログ イ ン し ます。 4 次のコマンドを入力して、 TFTP サーバを実行しているコンピュータに ping を発行します。 execute ping <server_ipaddress> TFTP サーバを実行しているコンピュータに ping を発行すると、FortiGate ユニットと TFTP サーバが正常に接続されていることが確認されます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 71 設定の復元 フ ァ ームウ ェ ア管理方法 5 次の コ マ ン ド を入力 し て、 バ ッ ク ア ッ プ さ れた設定フ ァ イルを コ ピー し て FortiGate ユ ニ ッ ト 上に復元 し ます。 execute restore allconfig <name_str> <tftp_ipv4> <passwrd> ここで、<name_str> はバックアップされた設定ファイルの名前、<tftp_ipv4> は TFTP サーバの IP アドレス、<passwrd> は設定をバックアップしたときに入力したパ スワードです。たとえば、バックアップされた設定ファイルが confall、TFTP サー バの IP アドレスが 192.168.1.168、パスワードが ghrffdt123 の場合は、次のコ マンドを入力します。 execute restore allconfig confall 192.168.1.168 ghrffdt123 FortiGate ユニットから、次のメッセージが表示されます。 This operation will overwrite the current settings system will reboot! Do you want to continue? (y/n) 6 and the y を押 し ます。 FortiGate ユニットによって、バックアップされた設定ファイルがアップロードされ ます。ファイルがアップロードされた後、次のようなメッセージが表示されます。 Getting file confall from tftp server 192.168.1.168 ## Restoring files... All done.Rebooting... この処理には数分かかることがあります。 CLI の show シ ェ ル コ マ ン ド を使用 し て設定が復元 さ れている こ と を確認するか、 または Web ベース マネージ ャ にログ イ ン し ます。 72 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 バーチ ャル ド メ イ ン バーチャル ドメインの使用 こ の項では、 バーチ ャ ル ド メ イ ン (VDOM) と そのい く つかの利点、 お よび VDOM を使用 し て FortiGate ユニ ッ ト を複数の仮想ユニ ッ ト と し て動作 さ せる方法について説明 し ます。 FortiGate ユニ ッ ト 上で VDOM を有効にする と 、バーチ ャル ド メ イ ンの設定を FortiGate ユニ ッ ト に さ ま ざ まに行います。 バーチ ャル ド メ イ ンの操作を開始するには、 77 ページの 「バーチ ャ ル ド メ イ ンの有効化」 を 参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ バーチ ャル ド メ イ ン ・ バーチ ャル ド メ イ ンの有効化 ・ VDOM の リ ソ ース制限の設定 ・ VDOM と グローバル設定の設定 バーチャル ドメイン バーチ ャル ド メ イ ン (VDOM) は、 FortiGate ユニ ッ ト を、 複数の独立 し たユニ ッ ト と し て機能 する 2 つ以上の仮想ユニ ッ ト に分割する ための方法です。 こ れによ り 、FortiGate ユニ ッ ト 1 台 で、 組織内の複数の部門や個別の組織それぞれにサー ビ ス を提供 し た り 、 サー ビ ス プ ロバ イ ダのマネージ ド セキ ュ リ テ ィ サービ スの基盤 と し て機能 さ せた り する な ど、 優れた柔軟性を 発揮 し ます。 VDOM の利点 VDOM の利点には、 次のい く つかがあ り ます。 ・ 管理の容易性 ・ 継続的なセキ ュ リ テ ィ の メ ン テナン ス ・ 物理的なスペース と 電力の削減 管理の容易性 VDOM は個別のセキ ュ リ テ ィ ド メ イ ン であ り 、 こ れによ っ て個別のゾーン、 ユーザ認証、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ング、 お よび VPN 設定が可能にな り ます。 また、 VDOM を 使用す る と 、 一度に多数のルー ト ま たは フ ァ イ アウ ォ ール ポ リ シー を管理す る必要がな く な る ため、複雑な設定の管理を簡略化する こ と も で き ます。詳細については、74 ページの 「VDOM の設定」 を参照 し て く だ さ い。 デ フ ォル ト では、 各 FortiGate ユニ ッ ト に、 ルー ト と い う 名前の VDOM が存在 し ます。 こ の VDOM には、 FortiGate の物理イ ン タ フ ェ ース、 モデム、 VLAN サブ イ ン タ フ ェ ース、 ゾーン、 フ ァ イ アウ ォ ール ポ リ シー、ルーテ ィ ング設定、 および VPN 設定のすべてが含まれています。 また、 その VDOM に制限 さ れた管理者ア カ ウン ト を割 り 当て る こ と も で き ます。 VDOM が特 定の組織にサービ ス を提供する よ う に作成 さ れている場合は、 こ の機能によ り 、 その組織は独 自の設定を管理で き る よ う にな り ます。 SNMP、 ロギング、 ア ラ ー ト メ ール、 FDN ベースの更新、 NTP ベースの時刻設定な どの管理シ ステムは、管理 VDOM 内のア ド レ ス と ルーテ ィ ング を使用 し てネ ッ ト ワー ク と 通信 し ます。 こ れ らの管理シ ス テムは、 管理バーチ ャル ド メ イ ン と 通信するネ ッ ト ワー ク リ ソ ースにのみ接 続で き ます。 管理 VDOM は、 デ フ ォ ル ト でルー ト に設定 さ れていますが、 変更す る こ と も で き ます。 詳細については、 84 ページの 「管理 VDOM の変更」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 73 バーチ ャル ド メ イ ン バーチ ャル ド メ イ ンの使用 継続的なセキュリティのメンテナンス VDOM に入 っ たパケ ッ ト は、 その VDOM に閉 じ 込め ら れます。 VDOM 内に、 VDOM 内の VLAN サブ イ ン タ フ ェ ース間またはゾー ン間を結ぶための フ ァ イ アウ ォ ール ポ リ シー を作成で き ま す。 パケ ッ ト がバーチ ャ ル ド メ イ ンの境界を内部で横断す る こ と はあ り ません。 パケ ッ ト が VDOM 間を移動するには、物理イ ン タ フ ェ ース上のフ ァ イ アウ ォ ールを通過する必要があ り ま す。 次に、 パケ ッ ト は異な る イ ン タ フ ェ ース上の別の VDOM に到着 し ますが、 別の フ ァ イ ア ウ ォ ール を 通過 し て か ら で な い と そ こ に入 る こ と は で き ま せん。 ど ち ら の VDOM も 同 じ FortiGate ユニ ッ ト 上に存在 し ます。 VDOM 間 リ ン クは、 Internal イ ン タ フ ェ ースであ る と い う 点で こ の動作を変更 し ます。 ただ し 、 通過するパケ ッ ト には物理イ ン タ フ ェ ース上 と ま っ た く 同 じ セキ ュ リ テ ィ の手段が と られます。 VDOM が設定 さ れていない場合、 管理者は FortiGate ユニ ッ ト 全体にわた る設定に容易にア ク セスで き ます。 こ れに よ り 、 セキ ュ リ テ ィ 上の問題や、 広範囲に及ぶ設定エ ラ ーが発生する こ と があ り ます。 し か し 、 管理者の権限は 1 つの VDOM に限定 さ れます。 1 つの VDOM 上の管 理者は、 別の VDOM に関する情報を変更で き ません。 設定が変更 さ れた り 、 エ ラ ーがあ っ た り し た と し て も、 その VDOM にのみ適用 さ れる ため、 潜在的なダウン タ イムが制限 さ れます。 FortiGate ユニ ッ ト の他の機能はグローバルであ り 、 そのユニ ッ ト 上のすべての VDOM に適用 さ れます。 つま り 、 不正侵入防御設定、 ア ン チウ イルス設定、 Web フ ィ ル タ 設定、 プ ロ フ ァ イ ル設定な どはすべて、 1 つ し か存在 し ません。 VDOM ではまた、 フ ァ ームウ ェ ア バージ ョ ンの ほか、 ア ン チウ イルスお よび攻撃デー タ ベース も 共有 さ れます。 動作モー ド (NAT/ ルー ト ま たは ト ラ ン スペア レ ン ト ) は、 VDOM ご と に個別に選択で き ます。 共有 さ れる設定の完全な リ ス ト については、 76 ページの 「グ ローバル設定」 を参照 し て く だ さ い。 物理的なスペースと電力の削減 VDOM の数を増やすために、 追加のハー ド ウ ェ アや出荷は必要な く 、 既存のネ ッ ト ワー ク への 変更 も ご く わずかです。 追加の物理的なスペース も 必要あ り ません。 使用 し ている VDOM の ために購入 し た ラ イ セ ン スのサイ ズによ っ てのみ制限 さ れます。 ほ と んどの FortiGate ユニ ッ ト は、 デ フ ォル ト で、 NAT/ ルー ト と ト ラ ン スペア レ ン ト モー ド の任意の組み合わせによ る最大 10 個の VDOM をサポー ト し ます。 ハイ エ ン ド の FortiGate モ デルの場合は、 VDOM の最大数を 25、 50、 100、 または 250 に増やすための ラ イ セ ン ス キー を 購入で き ます。 詳細については、 79 ページの 「VDOM ラ イ セ ン ス」 を参照 し て く だ さ い。 バーチ ャル ド メ イ ン設定が有効にな っ てお り 、 デ フ ォ ル ト の super_admin と し て ログ イ ン し た 場合は、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [License Information] ウ ィ ジ ェ ッ ト に ある [Virtual Domain] を参照する こ と によ り 、 FortiGate ユニ ッ ト 上でサポー ト さ れてい るバー チ ャル ド メ イ ンの最大数を確認で き ます。 VDOM の詳細については、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 注記 : FortiAnalyzer ユニ ッ ト 上での設定中、 VDOM は、 FortiAnalyzer ユニ ッ ト のラ イ セ ン スによ っ て許可 さ れてい る FortiGate ユニ ッ ト の最大数に向けて カ ウン ト さ れます。登録 さ れるデバイ スの総数は、FortiAnalyzer ユニ ッ ト の [Dashboard] ページの [License Information] で確認で き ます。 VDOM の設定 VDOM を設定 し て使用す るには、 バーチ ャル ド メ イ ン設定を有効にす る必要があ り ます。 詳 細については、 77 ページの 「バーチ ャル ド メ イ ンの有効化」 を参照 し て く だ さ い。 VDOM は、 VLAN サブ イ ン タ フ ェ ース、 ゾーン、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ング設 定、 お よび VPN 設定を追加す る こ と によ っ て設定で き ます。 また、 ルー ト VDOM か ら他の VDOM に物理 イ ン タ フ ェ ース を移動 し た り 、 あ る VDOM か ら別の VDOM に VLAN サブ イ ン タ フ ェ ース を移動 し た り する こ と も で き ます。VLAN の詳細については、『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 以下の設定は、 1 つのバーチ ャ ル ド メ イ ンに限定 さ れ、 複数のバーチ ャ ル ド メ イ ン で共有 さ れる こ と はあ り ません。 VDOM の標準管理者には、 こ れ ら の設定のみが表示 さ れます。 また、 デ フ ォル ト の super_admin も こ れ ら の設定にア ク セスで き ますが、 最初に設定対象の VDOM を 選択する必要があ り ます。 74 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 バーチ ャル ド メ イ ン 表 6: VDOM の設定 設定オブジェクト 詳細情報の参照先 システム ネ ッ ト ワー ク - ゾーン 106 ページの 「ゾーンの設定」 ネ ッ ト ワー ク DNS デー タ ベース 113 ページの 「FortiGate DNS サービ スの設定」 ネ ッ ト ワー ク Web プ ロ キシ 117 ページの 「Explicit Web プ ロキシの設定」 ネ ッ ト ワー ク ルーテ ィ ン グ テーブル ( ト ラ ン スペア レ ン ト モー ド ) 120 ページの 「ルー テ ィ ン グ テーブル ( ト ラ ン スペ ア レ ン ト モー ド )」 ネ ッ ト ワー ク - モデム 107 ページの 「モデム イ ン タ フ ェ ースの設定」 無線 - 設定 126 ページの 「無線の設定」 無線 MAC フ ィ ル タ 128 ページの 「無線 MAC フ ィ ル タ 」 無線モ ニ タ 129 ページの 「無線モ ニ タ 」 無線 - 悪意のあ る AP 130 ページの 「悪意のあ る AP の検出」 DHCP - サービ ス 134 ページの 「DHCP サービ スの設定」 DHCP - ア ド レ ス リ ース 136 ページの 「ア ド レ ス リ ースの表示」 設定 差 し 替え メ ッ セージ 153 ページの 「差 し 替え メ ッ セージ」 設定 - 動作モー ド (NAT/ ルー ト ま たは ト ラ ン スペア レ ン ト ) 166 ページの 「動作モー ド の変更」 設定 - 管理 IP ( ト ラ ン スペア レ ン ト モー ド ) 166 ページの 「動作モー ド の変更」 ルータ スタテ ィ ッ ク 229 ページの 「ルー タ - ス タ テ ィ ッ ク 」 ダイナ ミ ッ ク 247 ページの 「ルー タ - ダ イ ナ ミ ッ ク 」 モニ タ 261 ページの 「ルー タ - モ ニ タ 」 ファイアウォール ポ リ シー 265 ページの 「 フ ァ イ アウ ォ ール ポ リ シー」 ア ド レス 295 ページの 「 フ ァ イ アウ ォ ール ア ド レ ス」 サービ ス 301 ページの 「 フ ァ イ アウ ォ ール サー ビ ス」 スケジ ュ ール 309 ページの 「 フ ァ イ アウ ォ ール スケジ ュ ール」 仮想 IP 313 ページの 「 フ ァ イ アウ ォ ール仮想 IP」 仮想 IP グループ 326 ページの 「仮想 IP グループ」 仮想 IP、 IP プール 327 ページの 「IP プールの設定」 負荷分散 339 ページの 「 フ ァ イ アウ ォ ール負荷分散」 UTM ア ン チウ イ ルス フ ァ イル フ ィ ル タ 358 ページの 「ア ン チウ イ ルス」 不正侵入防御 363 ページの 「不正侵入防御」 Web フ ィ ル タ 374 ページの 「Web フ ィ ル タ 」 電子 メ ール フ ィ ル タ 386 ページの 「電子 メ ール フ ィ ル タ 」 情報漏洩防止 395 ページの 「情報漏洩防止」 ア プ リ ケーシ ョ ン制御 405 ページの 「ア プ リ ケーシ ョ ン制御」 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 75 バーチ ャル ド メ イ ン バーチ ャル ド メ イ ンの使用 表 6: VDOM の設定 ( 続き ) 設定オブジェクト 詳細情報の参照先 VoIP 409 ページの 「VoIP」 VPN IPSec 411 ページの 「IPsec VPN」 SSL 427 ページの 「SSL VPN」 ユーザ ロー カル 448 ページの 「ロー カル ユーザ ア カ ウ ン ト 」 リ モー ト 449 ページの 「 リ モー ト 認証」 デ ィ レ ク ト リ サービ ス 454 ページの 「デ ィ レ ク ト リ サービ ス」 PKI 456 ページの 「PKI 認証」 ユーザ グループ 457 ページの 「ユーザ グループ」 オプシ ョ ン 184 ページの 「設定」 モニ タ 186 ページの 「管理者の監視」 WAN 最適化と Web キャッシュ 437 ページの 「WAN 最適化およ び Web キ ャ ッ シ ュ 」 エンドポイント NAC 469 ページの 「エ ン ド ポ イ ン ト 」 無線コントローラ 479 ページの 「無線 コ ン ト ロー ラ 」 ログとレポート ロギン グ設定 490 ページの 「FortiGate ユニ ッ ト でのロ グの保存方法」 ア ラ ー ト メ ール 495 ページの 「ア ラ ー ト メ ール」 イ ベン ト ロ グ 496 ページの 「ロ グ メ ッ セージへのア ク セ スお よび表示」 ログ ア ク セス 496 ページの 「ロ グ メ ッ セージへのア ク セ スお よび表示」 DLP アー カ イ ブ 404 ページの 「DLP アー カ イ ブ」 レ ポー ト ア ク セ ス 504 ページの 「FortiAnalyzer レ ポー ト スケジ ュ ール」 グローバル設定 次の設定は、 すべてのバーチ ャ ル ド メ イ ンに影響 し ます。 バーチ ャル ド メ イ ンが有効にな っ てい る場合は、 デ フ ォ ル ト の super_admin プ ロ フ ァ イルを持つア カ ウ ン ト だけがグ ローバル設 定にア ク セスで き ます。 表 7: グローバル設定 設定オブジェクト 詳細情報の参照先 システム 76 ス テー タ ス - シ ス テム時刻 41 ページの 「シ ス テム時刻の設定」 ス テー タ ス - ホ ス ト 名 41 ページの 「FortiGate ユニ ッ ト のホ ス ト 名の変更」 ス テー タ ス フ ァ ームウ ェ ア バージ ョ ン 42 ページの 「FortiGate の変更」 ([System Status] ページ ) ま たは 61 ページの 「フ ァ ームウ ェ ア管理方法」 ネ ッ ト ワー ク イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース 89 ページの 「イ ン タ フ ェ ースの設定」 ( グ ロ ーバル設定の一部 と し て イ ン タ フ ェ ース を 設定 し ますが、 各 イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ースは VDOM に属 し ま す。 グ ロ ーバル設定の一部 と し て イ ン タ フ ェ ース を VDOM に追 加 し ます。 ) ネ ッ ト ワー ク オプ シ ョ ン - DNS 113 ページの 「DNS サーバ」 ネ ッ ト ワー ク オプ シ ョ ン [Detect Interface Status for Gateway Load Balancing] 101 ページの 「ゲー ト ウ ェ イ 負荷分散のための イ ン タ フ ェ ース ス テー タ ス検出の設定」 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 バーチ ャル ド メ イ ンの有効化 表 7: グローバル設定 ( 続き ) 設定オブジェクト 詳細情報の参照先 管理者 - 管理者 169 ページの 「管理者」 ( グ ローバル管理者を追加で き ます。 ま た、 管理者を VDOM に追 加す る こ と も で き ます。 VDOM 管理者は、 管理者ア カ ウ ン ト を追 加ま たは設定で き ません。 ) 管理者 - プ ロ フ ァ イル 179 ページの 「管理者プ ロ フ ァ イ ル」 管理者 - 集中管理の設定 183 ページの 「集中管理」 管理者 - 設定 ア イ ド ルお よび認証 タ イ ムア ウ ト 184 ページの 「設定」 お よび 447 ページの 「ユーザ認証の設定」 管理者 - 設定 Web ベース マネージ ャ の言語 184 ページの 「設定」 管理者 - 設定 LCD パネルの PIN ( 該当する場合 ) 184 ページの 「設定」 無線 - 設定 126 ページの 「無線の設定」 無線 - MAC フ ィ ル タ 128 ページの 「無線 MAC フ ィ ル タ 」 無線 - モ ニ タ 129 ページの 「無線モ ニ タ 」 無線 - 悪意のあ る AP 130 ページの 「悪意のあ る AP の検出」 設定 - HA 137 ページの 「HA」 設定 - SNMP 142 ページの 「SNMP」 設定 - 差 し 替え メ ッ セージ 153 ページの 「差 し 替え メ ッ セージ」 証明書 191 ページの 「シ ス テム - 証明書」 設定のバ ッ ク ア ッ プ と 復元 39 ページの 「[System Information]」 およ び 201 ページの 「[Firmware]」 メ ン テナ ン ス - リ ビ ジ ョ ン制御 200 ページの 「[Configuration Revision]」 メ ン テナ ン ス - ス ク リ プ ト 215 ページの 「ス ク リ プ ト フ ァ イ ルの作成」 メ ン テナ ン ス - FDN 更新設定 203 ページの 「FortiGuard Distribution Network」 ログとレポート ロ グ設定 490 ページの 「FortiGate ユニ ッ ト でのロ グの保存方法」 ア ラ ー ト メ ール 495 ページの 「ア ラ ー ト メ ール」 バーチャル ドメインの有効化 デ フ ォル ト の管理者ア カ ウン ト を使用 し て、 FortiGate ユニ ッ ト 上で複数の VDOM での動作を 有効にする こ と がで き ます。 バーチャル ドメインを有効にするには 1 super_admin プ ロ フ ァ イル ア カ ウン ト で Web ベース マネージ ャ に ログ イ ン し ます。 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 3 [System Information] で、 [Virtual Domain] の横にあ る [Enable] を選択 し ます。 2 FortiGate ユニ ッ ト か ら ログオ フ さ れます。 こ こ で、 管理者 と し て再度ログ イ ン で き ます。 あるいは、 CLI を使用 し て、 次の コ マ ン ド を入力 し ます。 config system global, set vdom-admin バーチャル ドメインが有効になると、 Web ベース マネージャと CLI が次のように変更されます。 ・ グローバル設定 と VDOM ご と の設定が分離 さ れます。詳細については、74 ページの 「VDOM の設定」 および 76 ページの 「グローバル設定」 を参照 し て く だ さ い。 ・ [Current VDOM] と い う 新 し い メ ニ ュ ー表示 さ れます。 こ れを使用 し て、 VDOM か ら VDOM に移動で き ます。詳細については、85 ページの 「VDOM 間の切 り 替え」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 77 VDOM と グローバル設定の設定 バーチ ャル ド メ イ ンの使用 ・ [System] オプ シ ョ ンの下に、 新 し い [VDOM] エ ン ト リ が表示 さ れます。 ・ VDOM 内では、 使用で き る ダ ッ シ ュ ボー ド メ ニ ュ ー オプ シ ョ ンが減 り 、 新 し い [Global] オ プ シ ョ ンが表示 さ れます。 [Global] を選択する と 、 現在の VDOM が終了 し ます。 ・ グローバル レベルでは、 動作モー ド オ プ シ ョ ンは存在 し ません。 ・ グローバル レベルのオプ シ ョ ン を表示 し た り 設定 し た り で き るのは、super_admin プ ロ フ ァ イル ア カ ウン ト だけです。 ・ super_admin プ ロ フ ァ イル ア カ ウン ト は、 すべての VDOM の設定を設定で き ます。 ・ 各 VDOM に対 し て、 1 人以上の管理者を設定で き ます。 ただ し 、 こ れ ら の管理者ア カ ウン ト は、 自分に許可 さ れていない VDOM の設定を編集で き ません。 バーチ ャ ル ド メ イ ンが有効にな っ ている場合は、 現在のバーチ ャル ド メ イ ンが画面の左下に [Current VDOM]: < バーチ ャル ド メ イ ンの名前 > と い う 形式で表示 さ れます。 VDOM とグローバル設定の設定 VDOM は、受信 ト ラ フ ィ ッ ク用 と 送信 ト ラ フ ィ ッ ク 用の少な く と も 2 つの物理イ ン タ フ ェ ース または仮想サブ イ ン タ フ ェ ースが含まれていなければ意味があ り ません。関連付け られている タ ス ク を行え るかは、 管理者の権限によ っ て異な り ます。 super_admin プ ロ フ ァ イル ア カ ウン ト を使用 し ている場合は、 すべての タ ス ク を実行で き ます。 標準管理者ア カ ウン ト を使用 し て いる場合、 実行で き る タ ス ク は、 読み取 り 専用権限または読み取 り / 書き込み権限のど ち ら を 持 っ ているかによ っ て異な り ます。 表 6 は、 各役割で実行で き る タ ス ク を示 し ています。 表 8: 管理者の VDOM の権限 タスク 標準管理者アカウント 読み取り専用 権限 読み取り / 書き込み権限 super_admin プロファイル管理者 アカウント グローバル設定の表示 可 可 可 グローバル設定の設定 不可 不可 可 VDOM の作成または削除 不可 不可 可 複数の VDOM の設定 不可 不可 可 VDOM へのインタフェースの割り当て 不可 不可 可 VLAN の作成 不可 可 - 1 つの VDOM に 可 - すべての VDOM に 対し て 対して VDOM への管理者の割り当て 不可 不可 追加の管理者アカウントの作成 不可 可 - 1 つの VDOM に 可 - すべての VDOM に 対し て 対して プロテクション プロファイルの 作成および編集 不可 可 - 1 つの VDOM に 可 - すべての VDOM に 対し て 対して 可 こ の項には、 以下の ト ピ ッ クが含まれています。 78 ・ VDOM ラ イ セ ン ス ・ 新 し い VDOM の作成 ・ VDOM の無効化 ・ VDOM と グローバル設定の操作 ・ VDOM へのイ ン タ フ ェ ースの追加 ・ VDOM 間 リ ン ク ・ VDOM へのイ ン タ フ ェ ースの割 り 当て ・ VDOM への管理者の割 り 当て ・ 管理 VDOM の変更 ・ VDOM 間の切 り 替え FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 VDOM と グローバル設定の設定 VDOM ライセンス デ フ ォル ト では、 すべての FortiGate ユニ ッ ト (FortiGate-30B を除 く ) で 10 個の VDOM がサ ポー ト さ れます。 [System]、 [Maintenance]、 [License] タ ブが表示 さ れない場合は、 使用 し てい る FortiGate モデルで 10 個を超え る VDOM がサポー ト さ れていません。 ハイ エ ン ド の FortiGate モデルでは、 許可 さ れる VDOM の最大数を 25、 50、 100、 250、 または 500 に増やすための VDOM ラ イ セ ン ス キーのカ ス タ マ サービ スか らの購入がサポー ト さ れて います。 VDOM を 250 以上設定する と 、 シ ス テム パ フ ォ ーマ ン スが低下 し ます。 表 9: FortiGate モデルでサポートている VDOM FortiGate モデル VDOM の サポート VDOM のデフォルトの 最大数 VDOM ライセンス の最大数 30B なし 0 0 ローエンドおよび ミッドレンジ モデル あり 10 10 ハイエンド モデル あり 10 500 注記 : FortiGate ユニ ッ ト には、 設定 さ れているすべての VDOM の間で分割 さ れた、 限ら れ た リ ソ ース し かあ り ません。 これ らの リ ソ ースには、 シ ス テム メ モ リ や CPU が含まれま す。 250 以上の VDOM を実行 し てい る場合は、 プ ロキシ、 Web フ ィ ル タ リ ング、 ア ン チウ イルスな どの統合脅威管理 (UTM) 機能を実行で き ません。 FortiGate ユニ ッ ト は、 基本的な フ ァ イ アウ ォ ール機能 し か提供で き ません。 VDOM ライセンス キーを取得するには 1 管理者ア カ ウン ト を使用 し て FortiGate ユニ ッ ト に ログ イ ン し ます。 super_admin プロファイル アカウントなどのその他のアカウントにも、VDOM ライセンスを インストールするための十分な特権がある場合があります。 2 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 3 39 ページの 「[System Information]」 に示す FortiGate ユニ ッ ト のシ リ ア ル番号を 記録し ま す。 4 [License Information] ウ ィ ジ ェ ッ ト で、 [Virtual Domains] 行にある [Purchase More] を選択 し ます。 フォーティネット カスタマ サポートの Web サイトに移動するため、そこでログインし、 25、50、100、250、または 500 の VDOM のためのライセンス キーを購入できます。 5 ラ イ セ ン ス キーを受け取 っ た ら、 [System]、 [Maintenance]、 [License] の順に選択 し ます。 6 [License Key] フ ィ ール ド に、 フ ォ ーテ ィ ネ ッ ト カ ス タ マ サポー ト か ら受け取 っ た 32 文字 の ラ イ セ ン ス キーを入力 し ます。 7 [Apply] を選択 し ます。 新 し い VDOM ラ イ セ ン ス を 確認す る には、 [Global Configuration] で [System]、 [Dashboard]、 [Status] の 順 に 選 択 し ま す。 [License Information] 領 域 の [Virtual Domains] に あ る [VDOMs Allowed] に、 許可 さ れている VDOM の最大数が表示 さ れます。 注記: 登録 さ れた FortiGate ユニ ッ ト 上で作成 さ れた VDOMは、接続 さ れている FortiAnalyzer ユニ ッ ト によ っ て実際のデバイ ス と し て認識 さ れます。 FortiAnalyzer ユニ ッ ト には、 登録 済みデバイ スの総数の VDOM が含まれています。 た と えば、 3 つの FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト に登録 さ れ、 合計で 4 つの VDOM を含んでいる場合、 FortiAnalyzer ユニ ッ ト 上に登録 さ れてい る FortiGate ユニ ッ ト の総数は 7 ユニ ッ ト です。 詳細について は、 『FortiAnalyzer 管理ガ イ ド 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 79 VDOM と グローバル設定の設定 バーチ ャル ド メ イ ンの使用 新しい VDOM の作成 デ フ ォル ト では、すべての FortiGate ユニ ッ ト に、VDOM が有効にな っ てい る と 表示 さ れるルー ト VDOM が含まれています。 追加の VDOM を使用するには、 まずそれ らの VDOM を作成する 必要があ り ます。 複数の VDOM を使用 し ている場合は、 割 り 当て る リ ソ ース を VDOM に よ っ て多 く し た り 、 少 な く し た り す る と 有効です。 こ の VDOM の リ ソ ース管理に よ っ て、 FortiGate ユニ ッ ト のパ フ ォ ーマ ン スが向上 し ます。 詳細については、 86 ページの 「個々の VDOM の リ ソ ース使用量 の設定」 を参照 し て く だ さ い。 VDOM 名には、 次のよ う な制限があ り ます。 ・ 英字、 数字、 "-"、 および "_" のみが許可 さ れます。 ・ 名前に含める こ と がで き るのは 11 文字以下です。 ・ 名前にスペース を含める こ と はで き ません。 ・ VDOM の名前を、 イ ン タ フ ェ ース、 ゾーン、 ス イ ッ チ イ ン タ フ ェ ース、 または他の VDOM と 同 じ にする こ と はで き ません。 VDOM 名の vsys_ha と vsys_fgfm は、 FortiGate ユニ ッ ト によ っ て使用 さ れています。 新 し い VDOM に vsys_ha または vsys_fgfm と い う 名前を付けよ う と する と 、FortiGate ユニ ッ ト によ っ て エ ラ ーが生成 さ れます。 注記 : 250 以上の VDOM を作成する場合は、 限 られた リ ソ ースのために、 プ ロキシ、 Web フ ィ ル タ リ ング、 ア ン チウ イルス な どの UTM 機能を有効にする こ と はで き ません。 同様 に、多数の VDOM を作成する と 、パ フ ォ ーマ ン スが低下する こ と があ り ます。複数の VDOM でのパ フ ォ ーマ ン ス を向上 さ せるには、 86 ページの 「個々の VDOM の リ ソ ース使用 量の設定」 を参照 し て く だ さ い。 新しい VDOM を作成するには 1 super_admin プ ロ フ ァ イル管理者 と し て ログ イ ン し ます。 2 VDOM が有効にな っ ている こ と を確認 し ます。 詳細については、 77 ページの 「バーチ ャ ル ド メ イ ンの有効化」 を参照 し て く だ さ い。 [System]、 [VDOM]、 [VDOM] の順に選択 し ます。 4 [Create New] を選択 し ます。 3 5 [New Virtual Domain] ページ で、 新 し い VDOM の名前 ( 最大 11 文字 ) を入力 し ます。 こ の 名前は変更で き ません。 6 必要に応 じ て、 こ の VDOM に関する コ メ ン ト ( 最大 63 文字 ) を入力 し ます。 7 [OK] を選択 し ます VDOM の無効化 複数の VDOM が設定 さ れている場合は、削除 し て後で再作成するのではな く 、1 つの VDOM を 一時的に無効にする と 有効です。 こ の無効化は、 初期の設定中や、 装置の変更中のほか、 DoS 攻撃の最中で も使用で き ます。 無効になっている VDOM は、 [Enable] チェック ボックスがオフになっています。 このチェック ボック スが灰色で表示されている VDOM は管理 VDOM であり、 無効にすることはできません。 再び有効にするには、 単純に [Enable] チェック ボックスをオンにしてプロンプトに応答します。 VDOM を無効にするには 1 super_admin プ ロ フ ァ イル管理者 と し て ログ イ ン し ます。 [System]、 [VDOM]、 [VDOM] の順に選択 し ます。 3 無効にする VDOM の [Enable] チ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 2 4 80 確認を求め ら れた ら、 選択を確認 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 VDOM と グローバル設定の設定 VDOM とグローバル設定の操作 管理者 と し て ロ グ イ ン し た と き にバーチ ャル ド メ イ ンが有効にな っ てい る と 、 [System] の下 の [VDOM] オ プ シ ョ ンの表示で示 さ れている よ う に、 FortiGate ユニ ッ ト は自動的にグローバ ル設定に入 り ます。 バーチ ャル ド メ イ ン を操作するには、 [System]、 [VDOM]、 [VDOM] の順に選択 し ます。 [VDOM] ページ 作成 し たすべての VDOM と 、 デ フ ォ ル ト のルー ト VDOM を表示 し ます。 こ のページ では、 新 し い VDOM を編集、 削除、 または作成す る こ と がで き ます。 ま た、 こ のページ では、 別の VDOM に切 り 替え る こ と も で き ます。 [Create New] 新 し い VDOM を追加する場合に選択 し ます。 新 し い VDOM 名を入力 し 、 [OK] を選択 し ます。 VDOM の名前を、 既存の VDOM、 VLAN、 ま たはゾーン と 同 じ にする こ と はで き ません。 VDOM 名の長 さ は最大 11 文字であ り 、 スペース を含める こ と はで き ません。 [Edit] こ の VDOM の説明を変更す る場合に選択 し ます。 VDOM の名前は変更で き ま せん。 既存の VDOM を編集する場合は、 [Edit Virtual Domain] ページに自動的 に リ ダ イ レ ク ト さ れます。 [Delete] こ の VDOM を削除する場合に選択 し ます。 [Switch Management [<management_vdom>]] 管理 VDOM を、 リ ス ト で選択 さ れてい る VDOM に変更 し ます。 こ れに よ り 、 こ の管理 VDOM が [Switch Management] の横の角か っ こ の中に表示 さ れます。 た と えば、[Switch Management [vdom_1]] と な り ます。デ フ ォ ル ト の管理 VDOM はルー ト です。 詳細については、 84 ページの 「管理 VDOM の変更」 を参照 し て く だ さ い。 [Name] こ の VDOM の名前。 [Operation Mode] VDOM の動作モー ド ([NAT] ま たは [Transparent])。 VDOM が ト ラ ン スペア レ ン ト モー ド にあ る場合は、 SNMP で、 その VDOM の 管理ア ド レ ス、 ア ド レ スの種類、 お よびサブ ネ ッ ト マ ス ク を表示で き ます。詳細については、142 ページの「SNMP」 を参照 し て く だ さ い。 [Interfaces] この VDOM に関連付けられているインタフェース ( 仮想インタフェースを含む )。 すべての VDOM には、 その VDOM 用に名前が付け ら れた SSL VPN 仮想 イ ン タ フ ェ ースが含まれています。 ルー ト VDOM の場合、 こ のイ ン タ フ ェ ースは ssl.root です。 [Enable] こ のカ ラ ムは、 次の 3 つの状態のいずれかに な り ます。 ・ 緑色のチ ェ ッ ク マー ク は、 こ の VDOM が有効にな っ てお り 、 その VDOM を変更する ために [Enter] ア イ コ ン を選択で き る こ と を示 し ます。 ・ オ フ のチ ェ ッ ク マー ク は、 こ の VDOM が無効にな っ ている こ と を示 し ま す。 無効に な っ ている場合は、 その VDOM の設定が保持 さ れます。 [Enter] ア イ コ ンは使用で き ません。 ・ 灰色で表示 さ れてい る チ ェ ッ ク マー ク は、 こ の VDOM が管理 VDOM であ る こ と を示 し ます。 削除する こ と も 、 無効に変更する こ と も で き ません。 こ の VDOM は、 常にア ク テ ィ ブ です。 [Comments] こ の VDOM が作成 さ れた と き に、 管理者に よ っ て追加 さ れた コ メ ン ト 。 [New Virtual Domain] ページ 新 し い VDOM を設定する ための各設定を提供 し ます。既存の VDOM を編集する場合は、[Edit Virtual Domain] ページに自動的に リ ダ イ レ ク ト さ れ、 こ こ で シ ス テム リ ソ ースの最大量お よび保証 さ れた量 を変更で き ます。 [Name] こ の VDOM の名前を入力 し ます。 [Enable] こ の VDOM を有効にする場合に選択 し ます。 [Comments] こ の VDOM に関する説明を入力 し ます。 こ の フ ィ ール ド はオプ シ ョ ン です。 [Edit Virtual Domain] ページ シ ス テム リ ソ ースの最大量を変更す る ための設定を提供 し ます。 [Name] この VDOM の名前。VDOM を編集している場合は、VDOM 名を変更できません。 1 [Enable] こ の VDOM が有効にな っ てい るか、 無効に な っ ているかを示 し ます。 VDOM を編集 し ている場合は、 VDOM を有効にす るか、 無効にす るかを変更で き ま せん。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 81 VDOM と グローバル設定の設定 バーチ ャル ド メ イ ンの使用 [Comments] 必要に応 じ て、 こ の フ ィ ール ド にあ る説明を変更 し ます。 こ の フ ィ ール ド は オプ シ ョ ン です。 [Resource Usage] [Maximum] お よび [Guaranteed] フ ィ ール ド の数値を入力 し ます。 シ ス テム リ ソ ースの制限を変更す る方法の詳細については、 86 ページの 「個々の VDOM の リ ソ ース使用量の設定」 を参照 し て く だ さ い。 VDOM へのインタフェースの追加 VDOM には、 少な く と も 2 つの有効な イ ン タ フ ェ ースが含まれている必要があ り ます。 こ れ ら のイ ン タ フ ェ ースは、 物理イ ン タ フ ェ ース で も、 VLAN サブ イ ン タ フ ェ ースな どの仮想イ ン タ フ ェ ースで も かまいません。 デ フ ォ ル ト では、 すべての物理イ ン タ フ ェ ースがルー ト バーチ ャ ル ド メ イ ン に含まれています。 イ ン タ フ ェ ースの種類の詳細については、 89 ページの 「イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 VLAN サブ イ ン タ フ ェ ースは一般に、 物理イ ン タ フ ェ ース と は別の VDOM に含める必要があ り ます。 こ れを行 う には、 スーパー管理者が最初に VDOM を作成 し 、 VLAN サブ イ ン タ フ ェ ース を作成 し た後、 その VLAN を正 し い VDOM に割 り 当て る必要があ り ます。 VDOM は、 VDOM 内ではな く 、 グローバル設定でのみ追加で き ます。 VLAN サブ イ ン タ フ ェ ー スの作成については、 95 ページの 「VLAN イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 VDOM 間リンク VDOM 間 リ ン ク と は、 物理 イ ン タ フ ェ ース を使用 し な く て も 2 つの VDOM 間で内部的に通信 で き る よ う にする ためのイ ン タ フ ェ ースのペア です。VDOM 間 リ ン クは物理 イ ン タ フ ェ ース と 同 じ セキ ュ リ テ ィ を備え ていますが、 FortiGate ユニ ッ ト 上の物理 イ ン タ フ ェ ースの数には制 限 さ れない、 よ り 柔軟な設定が可能にな り ます。 すべての仮想イ ン タ フ ェ ース と 同様に、 リ ン クの速度はCPU負荷に よ っ て異な り ますが、一般には物理イ ン タ フ ェ ース よ り 高速です。VDOM 間 リ ン ク には、 MTU の設定は存在 し ません。 DHCP のサポー ト には、 VDOM 間 リ ン クが含まれ ています。 パケ ッ ト は、 VDOM 間 リ ン ク を最大 3 回通過で き ます。 こ れは、 ループ を防 ぐ ためです。 ト ラ フ ィ ッ クが暗号化または暗号化解除 さ れる と 、 パケ ッ ト の内容が変更 さ れる ため、 こ れによ り VDOM 間カ ウ ン タ が リ セ ッ ト さ れます。 ただ し 、 IPIP または GRE ト ンネルを使用 し ている場 合は、 カ ウン タ が リ セ ッ ト さ れません。 HA モ ー ド では、 VDOM 間 リ ン ク の両端が同 じ 仮想 ク ラ ス タ 内に存在す る 必要があ り ま す。 VDOM 間 リ ン ク では IPSec 経由の DHCP がサポー ト さ れていますが、通常の DHCP サービ スは 使用で き ません。 VDOM 間 リ ン ク を表示するには、 [System]、 [Network]、 [Interface] の順に選択 し ます。 VDOM 間 リ ン クが作成 さ れる と 、2 つの内部の VDOM に対応す る仮想 イ ン タ フ ェ ースのペアが自動的 に作成 さ れます。 各仮想イ ン タ フ ェ ースには、 その VDOM 間 リ ン ク の名前に "0" または "1" を付加 し た名前が付け ら れます。 そのため、 VDOM 間 リ ン ク の名前が "vlink" の場合、 こ れ ら の イ ン タ フ ェ ー スは "vlink0" と "vlink1" に な り ま す。 仮想 イ ン タ フ ェ ー ス を 表示す る には、 VDOM リ ン クの横にある展開の矢印を選択 し ます。 注記 : VDOM 間 リ ン クは、 ト ラ ン スペア レ ン ト モー ド にある ド メ イ ン を参照で き ません。 VDOM 間リンクを作成するには 1 管理者 と し て ログ イ ン し ます。 [System]、 [Network]、 [Interface] の順に選択 し ます。 3 [Create New] ボ タ ンにあ る矢印を選択 し ます。 4 [VDOM link] を選択 し ます。 [New VDOM Link] 画面が表示されます。 2 82 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 VDOM と グローバル設定の設定 5 新 し い VDOM リ ン クの名前 ( 最大 11 文字 ) を入力 し ます。 この名前にスペースや特殊文字を含めることはできません。ハイフン ("-") とアンダーラ イン ("_") が許可されます。この名前の後に "0" または "1" が付加されて実際のインタ フェースになることに注意してください。 6 VDOM リ ン ク "0" を設定 し ます。 7 こ のイ ン タ フ ェ ースの接続先の VDOM を メ ニ ュ ーから 選択 し ます。 8 このイ ン タ フ ェ ースの IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 9 管理ア ク セス方法 (1 つまたは複数 ) を選択 し ます。 PING、 TELNET、 お よび HTTP は安全 性の低い方法であ る こ と に注意 し て く だ さ い。 10 必要に応 じ て、 こ のイ ン タ フ ェ ースの説明を入力 し ます。 11 VDOM リ ン ク "1" について、 手順 7. ~ 10. を繰 り 返 し ます。 12 [OK] を選択 し て設定を保存 し 、 [System]、 [Interface] 画面に戻 り ます。 VDOM へのインタフェースの割り当て VDOM がいずれかの設定で使用 さ れてい る場合は、 その VDOM を削除で き ません。 た と えば、 その VDOM に イ ン タ フ ェ ースが割 り 当て ら れてい る場合は、 その VDOM を削除で き ません。 イ ン タ フ ェ ースが次のいずれかの設定に含まれている場合は、VDOM か ら そのイ ン タ フ ェ ース を削除で き ません。 ・ DHCP サーバ ・ ゾーン ・ ルーテ ィ ング ・ 負荷分散 ・ DoS ポ リ シーおよびワン アーム ド スニ ッ フ ァ ポ リ シーを含む フ ァ イ アウ ォ ール ポ リ シー ・ proxy arp (CLI を使用 し てのみア ク セス可能 ) こ れ らの設定を削除する前に、 後日 こ の VDOM を作成 し た く な っ た と き に復元で き る よ う に、 設定をバ ッ ク ア ッ プする こ と をお勧め し ます。 先に進む前に、 こ の リ ス ト 内の項目を削除するか、 またはイ ン タ フ ェ ース を削除で き る よ う に 変更 し て く だ さ い。 イ ン タ フ ェ ースに結合 さ れたオブ ジ ェ ク ト が存在 し な く な る と 、 その イ ン タ フ ェ ースの [Edit] 画面上の [VDOM] フ ィ ール ド は、 灰色で表示 さ れた ロ ッ ク さ れた状態か ら 変更 さ れます。 注記 : [ 削除 ] ア イ コ ンが表示 さ れた ら 、イ ン タ フ ェ ース またはサブ イ ン タ フ ェ ース を再割 り 当て し た り 、 削除 し た り する こ と がで き ます。 こ のア イ コ ンが存在 し ない場合は、 こ の イ ン タ フ ェ ースがど こかの設定で使用 さ れてい る こ と を示 し ます。 ヒント : VDOM を削除する代わりに、無効にすることができます。設定が保持されるため、 削除した場合の、後で再設定するために必要な時間が節約されます。詳細については、81 ページの「VDOM とグローバル設定の操作」を参照してください。 次の手順は、 既存の イ ン タ フ ェ ース を、 あるバーチ ャル ド メ イ ンか ら別のバーチ ャ ル ド メ イ ン に再割 り 当てす る方法を説明 し ています。 こ こ では、 VDOM が有効にな っ てお り 、 複数の VDOM が存在する こ と を前提に し ています。 VDOM にインタフェースを割り当てるには 1 管理者 と し て ログ イ ン し ます。 2 3 [System]、 [Network]、 [Interface] の順に選択 し ます。 再割 り 当てする イ ン タ フ ェ ースの [Edit] を選択 し ます。 4 そのイ ン タ フ ェ ースの新 し いバーチ ャ ル ド メ イ ン を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 83 VDOM と グローバル設定の設定 バーチ ャル ド メ イ ンの使用 5 必要に応 じ てその他の設定を設定 し 、 [OK] を選択 し ます。 詳細については、92 ページの「インタフェースの設定」を参照してください。 このインタフェースが VDOM に割り当てられます。このインタフェースの既存のファイア ウォール仮想 IP アドレスは削除されます。このインタフェースを参照しているルートをす べて手動で削除し、新しい VDOM 内にこのインタフェースの新しいルートを作成する必要が あります。そうしないと、ネットワーク トラフィックが正しくルーティングされません。 スタティック ルートの作成の詳細については、229 ページの「ルータ - スタティック」を 参照してください。 VDOM への管理者の割り当て 独自の リ ソ ース を管理 し ている組織にサービ ス を提供す る VDOM を作成 し ている場合は、 そ の VDOM の管理者ア カ ウン ト を作成する必要があ り ます。 VDOM 管理者は、 その VDOM 内の設定を変更で き ますが、 FortiGate ユニ ッ ト 上の他の VDOM に影響する変更を行 う こ と はで き ません。 VDOM に割 り 当て られた標準管理者は、 その VDOM に属する イ ン タ フ ェ ース上の Web ベース マネージ ャ または CLI にのみログ イ ン で き ます。 スーパー管理者は、 管理ア ク セス を許可する FortiGate ユニ ッ ト 上の任意のイ ン タ フ ェ ース を使用 し て Web ベース マネージ ャ または CLI に 接続で き ます。 コ ン ソ ール イ ン タ フ ェ ースに接続する こ と によ っ て ログ イ ン で き るのは、スー パー管理者またはルー ト ド メ イ ンの標準管理者だけです。 注記 : VDOM に管理者ア カ ウ ン ト が割 り 当て ら れてい る場合は、 そのア カ ウ ン ト が別の VDOM に割 り 当て ら れるか、 または削除 さ れる まで、 その VDOM を削除で き ません。 VDOM に管理者を割り当てるには 1 super_admin と し て ログ イ ン し ます。 2 バーチ ャル ド メ イ ンが有効にな っ ている こ と を確認 し ます。 詳細については、 77 ページ の 「バーチ ャ ル ド メ イ ンの有効化」 を参照 し て く だ さ い。 3 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 4 新 し い管理者ア カ ウン ト を作成するか、 または既存の管理者ア カ ウン ト の [ 編集 ] ア イ コ ン を選択 し ます。 5 [Virtual Domain] リ ス ト に移動 し ます。 6 こ の管理者が管理する VDOM を選択 し ます。 管理者は、super_admin 管理者でない限り、そのアカウントが作成されたときに特定の VDOM に割り当てられます。詳細については、171 ページの「管理者アカウントの設定」を参照 してください。 7 必要に応 じ て、 その他の設定を設定 し ます。 8 [OK] を選択 し ます 詳細については、171 ページの「管理者アカウントの設定」を参照してください。 管理 VDOM の変更 FortiGate ユニ ッ ト 上の管理 VDOM から は、 次に示すよ う な、 い く つかのデ フ ォ ル ト の種類の ト ラ フ ィ ッ ク が発信 さ れます。 84 ・ SNMP ・ ロギング ・ ア ラ ー ト メ ール ・ FDN ベースの更新 ・ NTP ベースの時刻設定 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 VDOM の リ ソ ース制限の設定 管理 VDOM を変更する前に、 [System Dashboard] 画面でバーチ ャル ド メ イ ンが有効にな っ て いる こ と を確認 し て く だ さ い。 詳細については、 77 ページの 「バーチ ャ ル ド メ イ ンの有効化」 を参照 し て く だ さ い。 特定の時点で管理 VDOM になれる VDOM は 1 つだけです。 グローバル イ ベ ン ト は、 管理 VDOM に設定 さ れた VDOM と と も にログに記録 さ れます。 注記 : RADIUS 認証を使用 し ている管理者がいる場合は、 管理 VDOM を変更で き ません。 管理 VDOM を変更するには 1 [System]、 [VDOM]、 [VDOM] の順に選択 し ます。 2 VDOM の リ ス ト か ら 、 新 し い管理 VDOM にな る VDOM を選択 し ます。 このリストは、[Apply] ボタンのすぐ左にあります。 3 [Apply] を選択 し て、 変更を行います。 プロンプトで、変更を確認します。 これで、管理トラフィックは新しい管理 VDOM から発信されます。 VDOM 間の切り替え FortiGate ユニ ッ ト 上で VDOM を有効に し た後に表示 さ れる [Current VDOM] メ ニ ュ ーを使用 し て、 VDOM 間を容易に切 り 替え る こ と がで き ます。 [Current VDOM] メ ニ ュ ーには、 メ ニ ュ ー の名前の横に ド ロ ッ プ ダウ ン リ ス ト が配置 さ れてい ます。 こ の ド ロ ッ プ ダウ ン リ ス ト には、 作成 し たすべての VDOM ( デ フ ォル ト のルー ト VDOM と [Global] を含む ) が含まれています。 別の VDOM に切 り 替え るには、 [Current VDOM] メ ニ ュ ーで、 ド ロ ッ プダウン リ ス ト か ら 切 り 替え先の VDOM を選択 し ます。 Web ベース マネージ ャ内のその VDOM に自動的に リ ダ イ レ ク ト さ れます。 VDOM のリソース制限の設定 スーパー管理者は、 各 VDOM が使用で き る リ ソ ースの量を制御する ための、 VDOM の リ ソ ー ス制限を設定で き ます。 つま り 、 異な る VDOM に階層型のサー ビ ス を提供で き ます。 また、 リ ソ ース制限を使用 し て VDOM 間で均等に リ ソ ース を共有する こ と によ り 、 ある VDOM が他の VDOM のパ フ ォ ーマ ン スに影響を与えない よ う にする こ と も で き ます。 動的 リ ソ ースおよび一部の静的 リ ソ ースの制限を設定で き ます。 動的 リ ソ ース と は、 FortiGate の設定によ っ て制御 さ れない リ ソ ースの こ と です。 動的 リ ソ ース を制限する と 、 VDOM が処理 する ト ラ フ ィ ッ クの量を制限で き、 それによ っ て VDOM が使用で き る FortiGate の処理 リ ソ ー スの量を制限で き ます。 動的 リ ソ ースの数を制限 し ない場合は、 FortiGate ユニ ッ ト の容量が 制約要因にな る ま で、 各 VDOM が可能な限 り 多 く の リ ソ ース を使用 し ます。 次の動的 リ ソ ー スの制限を設定で き ます。 ・ VDOM で開始で き る通信 セ ッ シ ョ ン の総数。 こ の制限に達する と 、 追加のセ ッ シ ョ ンは破 棄 さ れます。 ・ VDOM で開始で き る IPSec VPN ダ イヤルア ッ プ ト ンネルの数。 こ の制限に達する と 、 追加 の ト ンネルは破棄 さ れます。 ・ VDOM で開始で き る SSL VPN ユーザ セ ッ シ ョ ンの数。 こ の制限に達する と 、ユーザが SSL VPN セ ッ シ ョ ン を開始する ためにログ イ ン し よ う と し た と き に、VDOM はログ イ ン ページ の代わ り にシ ス テム ビ ジー メ ッ セージ を表示 し ます。 静的 リ ソ ースは、 FortiGate の設定内の制限に よ っ て制御 さ れます。 こ れ ら の制限はモデルに よ っ て異な り 、 『FortiGate 最大値マ ト リ ッ ク ス 』 に記載 さ れています。 静的 リ ソ ース を制限 し て も、 VDOM が処理する ト ラ フ ィ ッ クの量は制限 さ れません。 代わ り に、 静的 リ ソ ース を制限 する と 、 VDOM に追加で き る設定要素の数が制御 さ れます。 次の静的 リ ソ ースの制限を設定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 85 VDOM の リ ソ ース制限の設定 バーチ ャル ド メ イ ンの使用 ・ VDOM の設定に追加で き る VPN IPSec フ ェ ーズ 1 および フ ェ ーズ 2 ト ンネルの数。 ト ン ネ ルの数は、 FortiGate モデルの最大値によ っ て制限 さ れます。 ・ VDOM の設定に追加で き る フ ァ イ アウ ォ ール ポ リ シー、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル、 フ ァ イ アウ ォ ール ア ド レ ス 、 フ ァ イ アウ ォ ール ア ド レ ス グループ 、 フ ァ イ アウ ォ ール カ ス タ ム サービ ス 、 フ ァ イ アウ ォ ール サービ ス グループ 、 フ ァ イ アウ ォ ールのワ ン タ イ ム スケジ ュ ール、 お よび フ ァ イ アウ ォ ールの反復スケジ ュ ールの数。 ・ VDOM の設定に追加で き る ローカル ユーザ と ユーザ グループ の数。 VDOM のグローバル リソース制限の設定 グローバル リ ソ ース制限は、 すべての VDOM に適用 さ れる リ ソ ース制限を設定す るために使 用 し ます。 グローバル リ ソ ース制限を設定する と 、 どの VDOM で も その リ ソ ース制限を超え る こ と はで き ません。 た と えば、 すべての VDOM を 100 個の VPN IPSec フ ェ ーズ 1 ト ンネルに制限する場合は、 [System]、 [VDOM]、 [Global Resources] の順に選択 し 、 [VPN IPsec Phase1 Tunnels] の リ ソ ース 制限を編集 し て、 こ のグローバル リ ソ ース制限を 100 に設定 し ます。 こ のグローバル制限が 設定 さ れている と 、どのVDOMに も 最大100個のVPN IPSec フ ェ ーズ1 ト ン ネルを追加で き ます。 また、 個々の VDOM の リ ソ ース制限を編集 し て、 個々の VDOM に追加で き る リ ソ ースの数を さ ら に制限する こ と も で き ます。 86 ページの 「個々の VDOM の リ ソ ース使用量の設定」 を参 照 し て く だ さ い。 0 の リ ソ ース制限は、 制限がない こ と を示 し ます。 制限がない と い う こ と は、 リ ソ ースが リ ソ ース制限の設定によ っ て制限 さ れていない こ と を示 し ます。 代わ り に、 リ ソ ースは他の要因 によ っ て制限 さ れています。 FortiGate ユニ ッ ト は、 その FortiGate ユニ ッ ト の容量に よ っ て動 的 リ ソ ース を制限 し てお り 、 シ ステムのビ ジー状態に応 じ て変動する こ と があ り ます。 静的 リ ソ ースの制限は、 『FortiGate 最大値マ ト リ ッ ク ス 』 の ド キ ュ メ ン ト に記載 さ れてい る FortiGate の設定の制限によ っ て設定 さ れます。 個々の VDOM のリソース使用量の設定 個々の VDOM の リ ソ ース使用量を設定する こ と によ り 、 グローバル制限を置き換えた り 、 そ の VDOM の保証 さ れた使用量を指定 し た り する こ と がで き ます。 新 し い VDOM を追加する場合は、 その VDOM に名前を付けて [OK] を選択 し た後、 その VDOM の リ ソ ース使用量を設定で き ます。 また、 [System]、 [VDOM] の順に選択 し 、 VDOM の [ 編集 ] ア イ コ ン を選択する こ と によ っ て、 VDOM の リ ソ ース使用量を いつで も設定で き ます。 VDOM の リ ソ ース使用量を設定す る と きは、 各 リ ソ ースの [Maximum] お よび [Guaranteed] 値 を設定で き ます。 ・ [Maximum] 値は、 VDOM が使用で き る リ ソ ースの量を制限 し ます。 VDOM を追加 し た と き は、 最大 リ ソ ース使用量のすべての設定が 0 にな り ます。 こ れは、 こ の VDOM の リ ソ ース 制限がグローバル リ ソ ース制限によ っ て制御 さ れる こ と を示 し ます。 グローバル制限を置 き換えて、 こ の VDOM に使用で き る リ ソ ース を さ ら に制限す る必要がない限 り 、 こ の最大 の設定 を置 き 換え る必要はあ り ません。 VDOM の最大 リ ソ ース使用量を、 グ ロ ーバル リ ソ ース制限に対応する値よ り 高 く 設定する こ と はで き ません。 グローバル リ ソ ース制限を 設定す る に は、 [System]、 [VDOM]、 [Global Resources] の順 に 選択 し ま す。 86 ペ ー ジ の 「VDOM のグローバル リ ソ ース制限の設定」 を参照 し て く だ さ い。 ・ [Guaranteed] 値は、 その VDOM に使用で き る リ ソ ースの最小の量を表 し ます。 保証 さ れた 値を設定する と 、 他の VDOM ですべての リ ソ ースが使用 さ れる こ と がないよ う に保証 さ れ ます。 保証 さ れた値が 0 の と きは、 こ の リ ソ ースの量が こ の VDOM に対 し て保証 さ れない こ と を示 し ます。 保証 さ れた値の設定を変更する必要があるのは、 FortiGate の リ ソ ースが 不足する可能性があ り 、 こ の VDOM で最小のレ ベルを使用で き る よ う に保証 し たい場合だ けです。 [Edit Virtual Domain] ページ上の [Resource Usage] セクション [Resource] 86 こ の リ ソ ースの名前。 動的 リ ソ ース と 静的 リ ソ ースが含まれます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク バーチ ャル ド メ イ ンの使用 VDOM の リ ソ ース制限の設定 [Maximum] こ の VDOM に使用で き る各 リ ソ ースの量を削減する ために、 グ ロ ーバル制限を置 き換 え ます。 こ の最大値は、 グ ロ ーバル制限以下であ る必要があ り ます。 デ フ ォ ル ト 値は 0 です。 こ れは、 最大値がグ ローバル制限 と 同 じ であ る こ と を示 し ます。 注記 : VDOM の最大 リ ソ ース使用量を設定 し た場合、すべての VDOM のデ フ ォ ル ト の最 大グ ローバル制限を こ の最大値未満に削減す る こ と はで き ません。 [Guaranteed] 他の VDOM に よ る使用量には関係な く 、 こ の VDOM で使用で き る リ ソ ースの最小の量 を入力 し ます。 デ フ ォ ル ト 値は 0 です。 こ れは、 こ の リ ソ ースの量が こ の VDOM に対 し て保証 さ れない こ と を示 し ます。 [Current] こ の VDOM が現在使用 し てい る リ ソ ースの量。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 87 VDOM の リ ソ ース制限の設定 88 バーチ ャル ド メ イ ンの使用 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 システム - ネットワーク こ の項では、 FortiGate ユニ ッ ト を ネ ッ ト ワー ク で動作す る よ う に設定する方法について説明 し ます。 基本的なネ ッ ト ワー ク設定 と し て、 FortiGate のイ ン タ フ ェ ース と DNS オプ シ ョ ンの 設定があ り ます。 さ ら に高度な設定 と し て、 FortiGate のネ ッ ト ワー ク設定へのゾーンや VLAN サブ イ ン タ フ ェ ースの追加があ り ます。 また、 オプ シ ョ ンの設定 と し て、DNS サーバや Explicit Web プ ロキシ サーバ と し ての FortiGate ユニ ッ ト の設定 も あ り ます。 FortiGateユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、イ ン タ フ ェ ース と ネ ッ ト ワー ク オプ シ ョ ンは FortiGate ユニ ッ ト 全体に対 し てグローバルに設定 さ れます。 すべての イ ン タ フ ェ ース設定 (VDOM へのイ ン タ フ ェ ースの追加を含む ) がグ ローバル設定の一部にな り ます。 ゾーン、 モデム イ ン タ フ ェ ース、 DNS デー タ ベース、 Explicit Web プ ロキシ、 および ト ラ ン スペア レ ン ト モー ド のルーテ ィ ング テーブルは、 VDOM ご と に別々に設定 し ます。 詳 細については、 73 ページの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ イ ン タ フ ェ ースの設定 ・ ゾーンの設定 ・ モデム イ ン タ フ ェ ースの設定 ・ FortiGate DNS サービ スの設定 ・ Explicit Web プ ロキシの設定 ・ WCCP の設定 ・ ルーテ ィ ング テーブル ( ト ラ ン スペア レ ン ト モー ド ) 注記 : 特に断 り のな い限 り 、 イ ン タ フ ェ ース と い う 用語は、 物理的な FortiGate イ ン タ フ ェ ースまたは仮想的な FortiGateVLAN サブ イ ン タ フ ェ ースのど ち ら かを指 し ます。 同 じ フ ィ ール ド 内に IP ア ド レ ス と ネ ッ ト マス ク の両方を入力で き る場合は、 短い形式の ネ ッ ト マス ク を使用で き ます。た と えば、「192.168.1.100/255.255.255.0」は「192.168.1.100/24」 と も入力で き ます。 インタフェースの設定 FortiGate イ ン タ フ ェ ース を設定するには、 [System]、 [Network]、 [Interface] の順に選択 し ます。 多 く のイ ン タ フ ェ ース オ プ シ ョ ン を使用で き ます。 NAT/ ルー ト モー ド と ト ラ ン スペア レ ン ト モー ド では、 使用可能なオプ シ ョ ンが異な り ます。 使用可能なオプ シ ョ ンの一部 と し て、 次の ものがあ り ます。 ・ 物理イ ン タ フ ェ ースの設定変更 ・ VLAN サブ イ ン タ フ ェ ースの追加 ・ 複数の物理 イ ン タ フ ェ ースの IEEE 802.3ad アグ リ ゲー ト イ ン タ フ ェ ースへのアグ リ ゲー ト ( 一部のモデル ) ・ 複数の物理 イ ン タ フ ェ ースの冗長イ ン タ フ ェ ースへの追加 ( 一部のモデル ) ・ ループバ ッ ク イ ン タ フ ェ ースの追加 ・ 無線イ ン タ フ ェ ース (FortiWiFi モデル ) および SSID (Service Set Identifier) の追加 ・ 複数の VDOM が有効にな っ てい る FortiGate ユニ ッ ト 上での VDOM リ ン ク の追加 ・ sFlow をサポー ト する ための sFlow サン プ ラ の追加 (CLI のみ ) ・ モデム イ ン タ フ ェ ースの設定 ( 一部のモデル ) ・ ゲー ト ウ ェ イ負荷分散のためのイ ン タ フ ェ ース ス テー タ スの検出 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 89 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク ・ イ ン タ フ ェ ースに関 し て表示 さ れる情報の変更 ・ 仮想無線ア ク セス ポ イ ン ト (VAP) イ ン タ フ ェ ースの設定 [Interface] ページ デ フ ォ ル ト の イ ン タ フ ェ ース と 、 作成 し た イ ン タ フ ェ ース を すべて表示 し ます。 こ のページ では、 各 イ ン タ フ ェ ースのス テー タ スの表示、 新 し い イ ン タ フ ェ ースの作成、 既存の イ ン タ フ ェ ースの編集、 ま た はイ ン タ フ ェ ースの削除を行 う こ と がで き ます。 [Create New] 新 し い イ ン タ フ ェ ース を追加す る には、 [Create New] を選択 し ます。 [Create New] を選択する と 、 [New Interface] ページに自動的に リ ダ イ レ ク ト さ れます。 モデルに応 じ て、VLAN イ ン タ フ ェ ース、ループバ ッ ク イ ン タ フ ェ ース、IEEE 802.3ad アグ リ ゲー ト イ ン タ フ ェ ース、 ま たは冗長 イ ン タ フ ェ ース を追加で き ます。 ・ 95 ページの 「VLAN イ ン タ フ ェ ースの追加」 ・ 95 ページの 「ループバ ッ ク イ ン タ フ ェ ースの追加」 ・ 96 ページの 「802.3ad ア グ リ ゲー ト イ ン タ フ ェ ースの追加」 ・ 97 ページの 「冗長 イ ン タ フ ェ ースの追加」 VDOM が有効にな っ てい る場合は、[Create New] を選択 し て VDOM 間 リ ン ク を追加 す る こ と も で き ます。 詳細については、 82 ページの 「VDOM 間 リ ン ク 」 を参照 し て く だ さ い。 [Switch Mode] [Switch Mode] は、 サポー ト さ れてい る モデルで ス イ ッ チ モー ド と イ ン タ フ ェ ース モー ド を切 り 替え る場合に選択 し ます。 ス イ ッ チ モー ド は、 い く つかの FortiGate イ ン タ フ ェ ース を、 1 つの IP ア ド レ ス を持つ 1 つのス イ ッ チに結合 し ます。 イ ン タ フ ェ ース モ ー ド を使用す る と 、 各 イ ン タ フ ェ ース を個別の イ ン タ フ ェ ース と し て 設定で き ます。 一部の FortiGate モデルでは、 [Hub Mode] も 選択で き ます。 ハブ モー ド はス イ ッ チ モー ド に似て いま すが、 ハブ モー ド では、 イ ン タ フ ェ ースが接続先のネ ッ ト ワー ク 上のデバ イ スの MAC ア ド レ ス を学習せず、 ネ ッ ト ワー ク の変更に も よ り すばや く 対応で き る点が異な り ます。 通常、 [Hub Mode] を選択す るのは、 ス イ ッ チ モー ド で の動作時に ネ ッ ト ワ ー ク パ フ ォ ー マ ン スの問題が発生 し て い る 場合だ け で す。 FortiGate ユニ ッ ト の設定は、 ス イ ッ チ モー ド と ハブ モー ド のど ち ら で も 同 じ です。 モードを切り替える前に、 変更によって影響を受けるインタフェースのすべての設定がデ フォルトに設定されている必要があります。 [Switch Mode] を選択した場合、 Web ベー ス マネージャには、 影響を受けるインタフェースのリストが表示されます。 92 ページの 「ス イ ッ チ モー ド 」 を参照 し て く だ さ い。 [Show backplane interfaces] FortiGate-5000 シ リ ーズのバ ッ ク プ レ ー ン イ ン タ フ ェ ース を 表示す る場合に選択 し ます。 表示 し た後は、 こ れ ら の イ ン タ フ ェ ース を通常の物理 イ ン タ フ ェ ース と し て設定で き ます。 [Column Settings] イ ン タ フ ェ ー ス リ ス ト に表示 さ れ る情報の カ ラ ム を 変更す る 場合に選択 し ま す。 詳細については、 34 ページの 「表示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 を 参照 し て く だ さ い。 [Description] イ ン タ フ ェ ースの説明を表示 し ます ( 追加 さ れてい る場合 )。 詳細については、 92 ページの 「イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 [Name] FortiGate ユニ ッ ト 上の物理 イ ン タ フ ェ ースの名前。 こ れには、設定 さ れてい る任意 のエ イ リ ア ス名が含まれます。 物理イ ン タ フ ェ ースの名前は、 モデルに よ っ て異な り ます。 internal、 external、 wan1 ( ワ イ ド エ リ ア ネ ッ ト ワー ク )、 wlan ( 無線 LAN)、 dmz な どの一部の名前は、 その イ ン タ フ ェ ー スのデ フ ォ ル ト の機能 を 示 し て い ま す。 その他の名前は、 port1 や port20 な どの、 よ り 一般的な名前です 一部の FortiGate モデルにはま た、 modem と い う 名前のモデム イ ン タ フ ェ ース も 含 まれています。107 ページの 「モデム イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 複数の イ ン タ フ ェ ース を ア グ リ ゲー ト イ ン タ フ ェ ース ま たは冗長 イ ン タ フ ェ ース に含めた場合は、 コ ンポーネ ン ト イ ン タ フ ェ ース ではな く 、 アグ リ ゲー ト イ ン タ フ ェ ース ま たは冗長 イ ン タ フ ェ ースだけが表示 さ れます。 96 ページの 「802.3ad ア グ リ ゲー ト イ ン タ フ ェ ースの追加」 または 97 ページの 「冗長イ ン タ フ ェ ースの追 加」 を参照 し て く だ さ い。 ス イ ッ チ モー ド をサポー ト する FortiGate モデルの場合、ス イ ッ チ モー ド にあ る と きは、 ス イ ッ チ内の個々の イ ン タ フ ェ ースは表示 さ れません。 詳細については、 92 ページの 「ス イ ッ チ モー ド 」 を参照 し て く だ さ い。 VLAN イ ン タ フ ェ ース を追加 し た場合、 こ れ ら の イ ン タ フ ェ ース も 、 [Name] リ ス ト 内の追加先の物理 イ ン タ フ ェ ース ま たはア グ リ ゲー ト イ ン タ フ ェ ースの下に表示 さ れます。 『FortiGate VLAN お よび VDOM ガ イ ド 』 を参照 し て く だ さ い。 ル ー プ バ ッ ク イ ン タ フ ェ ー ス を 追加 し た 場 合、 こ れ ら の イ ン タ フ ェ ー ス も 、 [Interface] リ ス ト 内の追加先の物理 イ ン タ フ ェ ースの下に も 表示 さ れます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースが設定 さ れてい る場合は、 それ ら の イ ン タ フ ェ ース を表示で き ます。 詳細については、 105 ページの 「ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 90 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 ス イ ッ チ イ ン タ フ ェ ース を備えた FortiGate モデル上で イ ン タ フ ェ ース モー ド を有 効に し て い る 場合は、 複数の Internal イ ン タ フ ェ ースが表示 さ れま す。 ス イ ッ チ モー ド が有効にな っ てい る場合は、 1 つの Internal イ ン タ フ ェ ースのみが表示 さ れ ます。 詳細については、 92 ページの 「ス イ ッ チ モー ド 」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト で AMC モ ジ ュ ールがサポー ト さ れ、 かつ イ ン タ フ ェ ース を含む AMC モ ジ ュ ール ( た と えば、 ASM- FB4 には 4 つの イ ン タ フ ェ ースが含まれていま す ) を イ ン ス ト ール し てい る場合は、 こ れ らの イ ン タ フ ェ ースが イ ン タ フ ェ ースの ス テー タ ス表示に追加 さ れます。 こ れ ら の イ ン タ フ ェ ースには、 amc-sw1/1、 amcdw1/2 な どの名前が付け ら れます。 sw1 は、 ス ロ ッ ト 1 内のシ ン グル幅 ( ダ ブル幅 の場合は dw1) の カ ー ド であ る こ と を示 し ます。 最後の数字 "/1" は、 その カ ー ド 上 の イ ン タ フ ェ ース番号 (ASM-FB4 カ ー ド の場合は "/1" ~ "/4") を示 し ます。 [IP/Netmask] イ ン タ フ ェ ースの現在の IP ア ド レ ス / ネ ッ ト マ ス ク 。 VDOM モー ド で、 すべての VDOM が NAT モー ド ま たは ト ラ ン スペア レ ン ト モー ド にな っ ていない場合は、 一部の値が表示 さ れず、 代わ り に "-" と 表示 さ れます。 Web ベース マネージ ャ で IPv6 サポー ト が有効にな っ てい る場合は、 IPv6 ア ド レ ス が こ の カ ラ ムに表示 さ れます。 [Access] こ のイ ン タ フ ェ ースの管理ア ク セ スの設定。 詳細については、 101 ページの 「イ ン タ フ ェ ースへの管理ア ク セ スの設定」 を参照 し て く だ さ い。 [Administrative Status] こ のイ ン タ フ ェ ースの管理ス テー タ ス。 管理ス テー タ スが緑色の矢印であ る場合、 こ の イ ン タ フ ェ ースはア ッ プ し てお り 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を 受け付け る こ と がで き ます。 管理ス テー タ スが赤色 の矢印であ る場合、 こ の イ ン タ フ ェ ースは管理上ダウ ン し てお り 、 ト ラ フ ィ ッ ク を 受け付け る こ と がで き ません。 イ ン タ フ ェ ースの管理ス テー タ ス を 変更す る には、 [ 編集 ] ア イ コ ン を 選択 し て こ の イ ン タ フ ェ ー ス を 編集 し 、 イ ン タ フ ェ ー ス の [Administrative Status] 設定を変更 し ます。 [Link Status] こ の イ ン タ フ ェ ースの物理的な接続のス テー タ ス。 リ ン ク ス テー タ スは、 ア ッ プ ま たはダウ ンのど ち ら かです。 リ ン ク ス テー タ スがア ッ プの場合は、 物理 イ ン タ フ ェ ー ス と ネ ッ ト ワ ー ク ス イ ッ チの間に ア ク テ ィ ブ な物理的 な接続が存在 し ま す。 リ ン ク ス テー タ スがダウ ンの場合は、 こ の イ ン タ フ ェ ースがネ ッ ト ワー ク に 接続 さ れていないか、 ま たは接続に関する問題が発生 し ています。 Web ベース マ ネージ ャか ら リ ン ク ス テー タ ス を変更す る こ と はで き ません。 リ ン ク ス テー タ スは、 物理 イ ン タ フ ェ ースに関 し て表示 さ れる だけです。 [MAC] こ のイ ン タ フ ェ ースの MAC ア ド レ ス。 [Mode] こ のイ ン タ フ ェ ースのア ド レ ッ シ ン グ モー ド を示 し ます。 ア ド レ ッ シ ン グ モー ド は、 手動、 DHCP、 ま たは PPPoE のいずれかです。 [MTU] こ の イ ン タ フ ェ ースの転送単位あた り の最大バイ ト 数 (MTU)。 102 ページの 「 イ ン タ フ ェ ースの MTU パケ ッ ト サ イ ズの変更」 を参照 し て く だ さ い。 [Secondary IP] こ の イ ン タ フ ェ ースに追加 さ れたセ カ ン ダ リ IP ア ド レ ス を表示 し ます。103 ページ の 「 イ ン タ フ ェ ースへのセ カ ン ダ リ IP ア ド レ スの追加」 を参照 し て く だ さ い。 [Type] こ のイ ン タ フ ェ ースの種類。 有効な種類には次の も のがあ り ます。 ・ [Physical] - 物理的なネ ッ ト ワー ク イ ン タ フ ェ ース ( モデム イ ン タ フ ェ ース を 含む ) ・ [VLAN] - VLAN イ ン タ フ ェ ース ・ [Aggregate] - 802.3ad アグ リ ゲー ト イ ン タ フ ェ ースのグループ ・ [Redundant] - 冗長 イ ン タ フ ェ ースのグループ ・ [VDOM Link] - 2 つの VDOM を リ ン ク する仮想 イ ン タ フ ェ ースのペア ・ [Pair] - 一緒に結合 さ れた 1組の2 つの イ ン タ フ ェ ース (2 つの VDOM リ ン ク な ど ) ・ [Switch] - ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース を作成する ために一緒に含め ら れた 2 つ以上のイ ン タ フ ェ ース ・ [Tunnel] - 仮想 IPSec VPN イ ン タ フ ェ ース ・ [VAP] - 無線 コ ン ト ロ ー ラ 仮想ア ク セ ス ポ イ ン ト (VAP ま たは仮想 AP) イ ン タ フ ェ ース [Virtual Domain] こ の イ ン タ フ ェ ースが属す るバーチ ャ ル ド メ イ ン。 こ の カ ラ ムは、 VDOM の設定 が有効にな っ てい る場合に表示 さ れます。 [VLAN ID] VLAN サブ イ ン タ フ ェ ースのために設定 さ れてい る VLAN ID。 [Delete] こ のイ ン タ フ ェ ース を削除 し ます。 [Create New] を選択する こ と に よ っ て追加 さ れ た イ ン タ フ ェ ースに使用で き ます。 た と えば、 VLAN イ ン タ フ ェ ース、 ループバ ッ ク イ ン タ フ ェ ース、 ア グ リ ゲー ト イ ン タ フ ェ ース、 お よび冗長イ ン タ フ ェ ース を 削除で き ます。 イ ン タ フ ェ ースは、 別の設定で使用 さ れていない場合のみ削除で き ます。 [Edit] こ のイ ン タ フ ェ ースの設定を変更 し ます。 [View] こ のイ ン タ フ ェ ースの設定を表示 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 91 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク 次の項も参照してください。 ・ ス イ ッ チ モー ド スイッチ モード ス イ ッ チ モー ド を使用する と 、 関連する FortiGate イ ン タ フ ェ ースのグループ を、 1 つの IP ア ド レ ス を 持つ マルチ ポー ト ス イ ッ チ と し て動作す る よ う に切 り 替え る こ と がで き ま す。 ス イ ッ チ モー ド は、 ス イ ッ チ ハー ド ウ ェ ア を備えた FortiGate モデルで使用で き ます。 ス イ ッ チ モー ド 機能には、ス イ ッ チ モー ド と イ ン タ フ ェ ース モー ド の 2 つの状態があ り ます。 ス イ ッ チ モー ド は、 内部ス イ ッ チ全体に対 し て 1 つのイ ン タ フ ェ ース と 1 つのア ド レ スだけ が存在す る、 デ フ ォ ル ト のモー ド です。 イ ン タ フ ェ ース モー ド を使用す る と 、 内部ス イ ッ チ の各物理イ ン タ フ ェ ース接続を別々に設定で き ます。 こ れによ り 、 内部の各物理イ ン タ フ ェ ー ス接続に異な るサブネ ッ ト と ネ ッ ト マ ス ク を割 り 当て る こ と がで き ます。 ス イ ッ チ モー ド と イ ン タ フ ェ ース モー ド を切 り 替え るには、 影響を受け る イ ン タ フ ェ ースの すべての設定がデ フ ォ ル ト に設定 さ れている必要があ り ます。 こ れには、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ング、 DNS 転送、 DHCP サー ビ ス、 VDOM イ ン タ フ ェ ースの割 り 当て、 およ びルーテ ィ ングが含まれます。 こ れ らが削除 さ れていない場合は、 モー ド を切 り 替え る こ と が で きず、 エ ラ ー メ ッ セージが表示 さ れます。 Web ベース マネージ ャ には、 影響を受け る イ ン タ フ ェ ースの リ ス ト が表示 さ れます。 [System]、 [Network]、 [Interface] の順に選択 し て表示 さ れる ページ で [Switch Mode] を選択す る と 、 [Switch Mode Management] 画面が表示 さ れます。 FortiGate の CLI か らは、 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース を追加する こ と も で き ます。 詳細については、 105 ページの 「ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 [Interface] ページ (FortiWiFi モデルのみ ) 関連する FortiGate イ ン タ フ ェ ースのグループ を、1 つの IP ア ド レ ス を持つマルチポー ト ス イ ッ チ と し て 動作する よ う に切 り 替え る ための設定を提供 し ます。 [Switch Mode] ス イ ッ チ モー ド を選択 し ます。1 つの Internal イ ン タ フ ェ ースだけが表示 さ れます。 こ れがデ フ ォ ル ト のモー ド です。 [Interface Mode] イ ン タ フ ェ ース モー ド を選択 し ます。 ス イ ッ チ上のすべての Internal イ ン タ フ ェ ー スが、 個別に設定可能な イ ン タ フ ェ ース と し て表示 さ れます。 [Hub Mode] 一部の FortiGate モデルでは、 [Hub Mode] を選択で き ます。 ハブ モー ド はス イ ッ チ モ ー ド に似てい ますが、 ハブ モ ー ド では、 イ ン タ フ ェ ースが接続先のネ ッ ト ワー ク 上のデバ イ スの MAC ア ド レ ス を学習せず、 一部の環境ではネ ッ ト ワー ク の変更 に も よ り すばや く 対応で き る点が異な り ます。[Hub Mode] を選択する必要があ るの は、 ス イ ッ チ モー ド での動作時にネ ッ ト ワー ク パ フ ォ ーマ ン スの問題が発生 し て い る場合だけです。 FortiGate ユニ ッ ト の設定は、 ス イ ッ チ モー ド と ハブ モー ド の ど ち ら で も 同 じ です。 次の項も参照してください。 ・ イ ン タ フ ェ ースの設定 インタフェースの設定 VLAN イ ン タ フ ェ ース、ループバ ッ ク イ ン タ フ ェ ース、IEEE 802.3ad アグ リ ゲー ト イ ン タ フ ェ ー ス、 ま た は冗長 イ ン タ フ ェ ー ス を 追加 し た り 設定 し た り す る に は、 [System]、 [Network]、 [Interface] の順に選択 し 、 [Create New] を選択 し ます。 また、 既存のイ ン タ フ ェ ース を編集 し て、 イ ン タ フ ェ ースの設定を変更する こ と も で き ます。 92 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 [New Interface] ページ 新 し い イ ン タ フ ェ ース を設定する ための各設定を提供 し ます。[Interface] ページ で [Create New] を選択す る と 、 こ のペー ジ に自動的に リ ダ イ レ ク ト さ れ ま す。 既存の イ ン タ フ ェ ー ス を 編集す る 場合は、 [Edit Interface] ページに自動的に リ ダ イ レ ク ト さ れます。 [Name] こ の イ ン タ フ ェ ースの名前。 VLAN イ ン タ フ ェ ース、 ループバ ッ ク イ ン タ フ ェ ース、 IEEE 802.3ad ア グ リ ゲー ト イ ン タ フ ェ ース、 お よび冗長 イ ン タ フ ェ ースの名前を指定 し た り 、 変更 し た り する こ と がで き ます。 既存のイ ン タ フ ェ ースの名前を変更する こ と はで き ません。 イ ン タ フ ェ ースの表示には、 物理イ ン タ フ ェ ースの MAC ア ド レ ス も 含まれます。 [Alias] こ の イ ン タ フ ェ ース を別のイ ン タ フ ェ ースか ら 容易に区別で き る、 イ ン タ フ ェ ースの 別の名前を入力 し ます。 こ の フ ィ ール ド は、 名前を設定で き ない物理 イ ン タ フ ェ ース に対 し てのみ使用で き ます。 こ のエ イ リ ア スは最大 15 文字です。 エ イ リ ア ス名は イ ン タ フ ェ ース名には含まれませんが、 イ ン タ フ ェ ース名の横のか っ こ 内に表示 さ れます。 ロ グには表示 さ れません。 [Link Status] こ のイ ン タ フ ェ ースがネ ッ ト ワー ク に接続 さ れてい るか ( リ ン ク ス テー タ スは [Up])、 ま たは接続 さ れていないか ( リ ン ク ス テー タ スは [Down]) を示 し ます。 [Type] 新 し い イ ン タ フ ェ ース を追加する場合は、 [Type] を、 追加す る イ ン タ フ ェ ースの種類 に設定 し ます。 ・ VLAN イ ン タ フ ェ ース を追加する には、 [Type] を [VLAN] に設定 し ます。 95 ページ の 「VLAN イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 ・ ループバ ッ ク イ ン タ フ ェ ース を追加する には、 [Type] を [Loopback Interface] に設 定 し ます。95 ページの「ループバ ッ ク イ ン タ フ ェ ースの追加」を参照 し て く だ さ い。 ・ 一部のモデルでは、 ア グ リ ゲー ト イ ン タ フ ェ ース を追加する ために、 [Type] を [802.3ad Aggregate] に設定で き ます。 96 ページの 「802.3ad ア グ リ ゲー ト イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 ・ 一部のモデルでは、 冗長 イ ン タ フ ェ ース を追加する ために、 [Type] を [Redundant Interface] に設定で き ます。 97 ページの 「冗長イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 その他の種類には次の も のがあ り ます。 ・ [Software Switch] - ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース。 105 ページの 「 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 ・ [Tunnel] - 仮想 IPSec VPN イ ン タ フ ェ ース。 100 ページの 「仮想 IPSec イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 ・ [VAP Interface] - 無線 コ ン ト ロー ラ 仮想ア ク セ ス ポ イ ン ト (VAP ま たは仮想AP) イ ン タ フ ェ ース。 480 ページの 「仮想無線ア ク セ ス ポ イ ン ト の設定」 を参照 し て く だ さ い。 新しいインタフェースを追加する場合を除き、 [Type] を変更することはできません。 [Interface] VLAN イ ン タ フ ェ ースの追加先の物理 イ ン タ フ ェ ースの名前を選択 し ます。 作成 さ れ る と 、 VLAN イ ン タ フ ェ ースは、 [Interface] リ ス ト 内の対応す る物理 イ ン タ フ ェ ースの 下に表示 さ れます。 新 し い VLAN イ ン タ フ ェ ース を追加す る場合を除き、 VLAN イ ン タ フ ェ ースの物理 イ ン タ フ ェ ース を変更する こ と はで き ません。 [Type] が [VLAN] に設定 さ れてい る場合に表示 さ れます。 [VLAN ID] こ の VLAN サブ イ ン タ フ ェ ース で受信 さ れるパケ ッ ト の VLAN ID に一致する VLAN ID を入力 し ます。 新 し い VLAN イ ン タ フ ェ ース を追加す る場合を除き、 [VLAN ID] を変 更する こ と はで き ません。 VLAN ID は 1 ~ 4094 の任意の数値にする こ と がで き、 ま た、 こ の VLAN サブ イ ン タ フ ェ ースに接続 さ れた IEEE 802.1Q 準拠のルー タ ま たはス イ ッ チに よ っ て追加 さ れる VLAN ID に一致 し てい る必要があ り ます。 詳細については、 95 ページの 「VLAN イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 [Type] が [VLAN] に設定 さ れてい る場合に表示 さ れます。 [Virtual Domain] こ のイ ン タ フ ェ ースの追加先のバーチ ャ ル ド メ イ ン を選択 し ます。 super_adminプ ロ フ ァ イルを持つ管理者ア カ ウ ン ト が [Virtual Domain] を変更で き ます。 [Physical Interface Members] こ の項には、 イ ン タ フ ェ ースの種類に応 じ て次の 2 種類の形式があ り ます。 ・ [Software switch interface] - こ の項は、 ソ フ ト ウ ェ ア ス イ ッ チの仮想 イ ン タ フ ェ ースに属する イ ン タ フ ェ ース を示す表示専用の フ ィ ール ド です。105 ページの 「 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 ・ [802.3ad aggregate or Redundant interface] - こ の項には、各イ ン タ フ ェ ース への追加ま たは削除 を 可能にす る、 使用可能な イ ン タ フ ェ ース と 選択 さ れた イ ン タ フ ェ ースの リ ス ト が含まれています。 96 ページの 「802.3ad アグ リ ゲー ト イ ン タ フ ェ ースの追加」 お よび 97 ページの 「冗長 イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 [Available Interfaces] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク こ の リ ス ト か ら イ ン タ フ ェ ース を選択 し て、 グループ化 さ れた イ ン タ フ ェ ース ( 冗長 イ ン タ フ ェ ース またはアグ リ ゲー ト イ ン タ フ ェ ースのど ち ら か ) に含めます。 グルー プ化 さ れた イ ン タ フ ェ ースに イ ン タ フ ェ ース を追加する には、 右矢印を選択 し ます。 93 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク [Selected Interfaces] こ れ ら の イ ン タ フ ェ ースは、 アグ リ ゲー ト イ ン タ フ ェ ース または冗長 イ ン タ フ ェ ース に含まれています。 グループ化 さ れた イ ン タ フ ェ ースか ら イ ン タ フ ェ ース を削除する には、 左矢印を選択 し ます。 冗長イ ン タ フ ェ ースの場合、 こ れ ら の イ ン タ フ ェ ースは フ ェ ールオーバー中に、 こ の リ ス ト の一番上か ら一番下への順番に ア ク テ ィ ブ化 さ れます。 [Addressing Mode] こ のイ ン タ フ ェ ースのア ド レ ッ シ ン グ モー ド を選択 し ます。 ・ [Manual] を選択 し 、 こ の イ ン タ フ ェ ースの [IP/Netmask] を追加 し ます。 IPv6 設定 が有効にな っ てい る場合は、 IPv4 と IPv6 の両方の IP ア ド レ ス を追加で き ます。 ・ イ ン タ フ ェ ース IP ア ド レ スやその他のネ ッ ト ワー ク 設定を DHCP サーバか ら 取得 する には、 [DHCP] を選択 し ます。 98 ページの 「イ ン タ フ ェ ース上での DHCP の設 定」 を参照 し て く だ さ い。 ・ イ ン タ フ ェ ース IP ア ド レ スやその他のネ ッ ト ワー ク 設定を PPPoE サーバか ら 取得 する には、 [PPPoE] を選択 し ます。 99 ページの 「 イ ン タ フ ェ ース上での PPPoE の 設定」 を参照 し て く だ さ い。 [IP/Netmask] [Addressing Mode] が [Manual] に設定 さ れてい る場合は、こ の イ ン タ フ ェ ースの IPv4 ア ド レ ス / サブ ネ ッ ト マス ク を入力 し ます。 2 つの FortiGate イ ン タ フ ェ ースに、 同 じ サブ ネ ッ ト 上の IP ア ド レ ス を設定する こ と はで き ません。 [IPv6 Address] [Addressing Mode] が [Manual] に設定 さ れ、 Web ベース マネージ ャ で IPv6 サポー ト が 有効にな っ てい る場合は、 こ の イ ン タ フ ェ ースの IPv6 ア ド レ ス / サブ ネ ッ ト マ ス ク を入力 し ます。 1 つの イ ン タ フ ェ ースに IPv4 ア ド レ ス と IPv6 ア ド レ スの両方、 ま たは そのど ち ら かだけ を設定で き ます。 [Enable one-arm sniffer] 実際にパケ ッ ト を受信 し た り 、 それ以外の方法で処理 し た り する こ と な く 、 攻撃のパ ケ ッ ト を スニ ッ フ ィ ン グす る こ と に よ っ て FortiGate ユニ ッ ト を IDS ア プ ラ イ ア ン ス と し て動作する よ う に設定す る一環 と し て、 こ の イ ン タ フ ェ ース を ワ ン アーム ド スニ ッ フ ァ と し て動作す る よ う に設定す る 場合に選択 し ま す。 ス ニ ッ フ ィ ン グ用に有効に な っ た後は、 こ の イ ン タ フ ェ ース を その他の ト ラ フ ィ ッ ク のために使用する こ と はで き ません。 実際にパケ ッ ト を ス ニ ッ フ ィ ン グす る には、 こ の イ ン タ フ ェ ースのスニ ッ フ ァ ポ リ シー を追加す る必要があ り ます。 ワ ン アーム ド IPS の詳細については、 281 ページの 「 フ ァ イ アウ ォ ール ポ リ シーネ ッ ト ワー ク 攻撃を検出する ワ ン アーム ス ニ フ ァ ポ リ シーの使用 」 を参照 し て く だ さ い。 [Enable explicit Web Proxy] こ のイ ン タ フ ェ ース上で Explicit Web プ ロキシ を有効にす る場合に選択 し ます。 有効 にな っ てい る場合、 こ の イ ン タ フ ェ ースは、 [System]、 [Network]、 [Web Proxy] の順に 選択 し て表示 さ れ る ページの [Listen on Interfaces] に表示 さ れま す。 ま た、 こ の イ ン タ フ ェ ース上の Web ト ラ フ ィ ッ ク は、 Web プ ロキシ設定に従 っ て プ ロキシ処理 さ れま す。詳細については、117 ページの 「Explicit Web プ ロキシの設定」 を参照 し て く だ さ い。 [Enable DDNS] こ の イ ン タ フ ェ ースのダ イ ナ ミ ッ ク DNS サービ ス を設定する には、 [Enable DDNS] を 選択 し ます。詳細については、100 ページの 「イ ン タ フ ェ ース上でのダ イ ナ ミ ッ ク DNS の設定」 を参照 し て く だ さ い。 [Override default MTU を 変更 す る に は、 [Override default MTU value (1500)] を オ ン に し 、 こ の イ ン タ フ ェ ースのア ド レ ッ シ ン グ モー ド に基づいた MTU サ イ ズ を入力 し ます。 MTU value] ・ 静的モー ド の場合は、 68 ~ 1,500 バ イ ト ・ DHCP モー ド の場合は、 576 ~ 1,500 バ イ ト ・ PPPoE モー ド の場合は、 576 ~ 1,492 バ イ ト ・ FortiGate モデルでサポー ト さ れてい る場合は、 さ ら に大 き な フ レ ーム サ イ ズ 物理イ ン タ フ ェ ース上でのみ使用で き ます。 物理 イ ン タ フ ェ ースに関連付け ら れてい る仮想イ ン タ フ ェ ースは、 その物理 イ ン タ フ ェ ースの MTU サ イ ズ を継承 し ます。 MTU サイ ズの詳細については、 102 ページの 「イ ン タ フ ェ ースの MTU パケ ッ ト サ イ ズの変更」 を参照 し て く だ さ い。 注記 : ト ラ ン スペア レ ン ト モー ド では、 イ ン タ フ ェ ースの MTU を変更 し た場合、 そ の新 し い MTU に一致す る よ う にすべての イ ン タ フ ェ ースの MTU を変更す る必要があ り ます。 [Enable DNS Query] [Recursive] FortiGate DNS デー タ ベースで ド メ イ ン名を検索 し ます。エ ン ト リ が見つか ら ない場合 は、 [System]、 [Network]、 [Options] の順に選択 し て表示 さ れ る ペー ジ で設定 さ れ た DNS サーバに要求を中継 し ます。 [NonRecursive] FortiGate DNS デー タ ベースで ド メ イ ン名を検索 し ます。[System]、[Network]、[Options] の順に選択 し て表示 さ れる ページ で設定 さ れた DNS サーバに要求を中継 し ません。 [Administrative Access] 94 DNS ク エ リ を 受け付け る よ う に こ の イ ン タ フ ェ ー ス を 設定す る 場合に選択 し ま す。 [Recursive] ま た は [Non-Recursive] を 選択 し ま す。 詳細 に つ い て は、 113 ペ ー ジ の 「FortiGate DNS サービ スの設定」 を参照 し て く だ さ い。 こ の イ ン タ フ ェ ースへの IPv4 接続に許可 さ れる管理ア ク セ スの種類を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 [Ipv6 Administrative Access] こ の イ ン タ フ ェ ースへの IPv6 接続に許可 さ れる管理ア ク セ スの種類を選択 し ます。 [HTTPS] こ の イ ン タ フ ェ ース を介 し た Web ベース マネージ ャ へのセキ ュ ア な HTTPS 接続を許 可 し ます。 [PING] ping に応答する イ ン タ フ ェ ース。 こ の設定は、 イ ン ス ト ールの確認やテ ス ト に使用 し ます。 [HTTP] こ のイ ン タ フ ェ ース を介 し た Web ベース マネージ ャ への HTTP 接続を許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可能性 があ り ます。 [SSH] こ のイ ン タ フ ェ ース を介 し た CLI への SSH 接続を許可 し ます。 [SNMP] リ モー ト の SNMP マネージ ャ が こ のイ ン タ フ ェ ースに接続する こ と に よ っ て SNMP 情 報を要求で き る よ う に し ます。 143 ページの 「SNMP の設定」 を参照 し て く だ さ い。 [TELNET] こ のイ ン タ フ ェ ース を介 し た CLI への Telnet 接続を許可 し ます。 Telnet 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可能性があ り ます。 [Detect Interface メ イ ンのイ ン タ フ ェ ース IP ア ド レ スの イ ン タ フ ェ ース ス テー タ ス検出を設定 し ます。 101 ページの「ゲー ト ウ ェ イ 負荷分散のための イ ン タ フ ェ ース ス テー タ ス検出の設定」 Status for を参照 し て く だ さ い。 Gateway Load Balancing] [Secondary IP Address] こ の イ ン タ フ ェ ースに IPv4 ア ド レ ス を追加 し ます。 こ のセ ク シ ョ ン を展開 し た り 非表 示に し た り する には、 青色の矢印 を選択 し ます。 103 ページの 「 イ ン タ フ ェ ースへの セ カ ン ダ リ IP ア ド レ スの追加」 を参照 し て く だ さ い。 [Description] こ のイ ン タ フ ェ ース を説明す る ための最大 63 文字の説明を入力 し ます。 [Administrative Status] こ のイ ン タ フ ェ ースのス テー タ ス と し て [Up] ( 緑色の矢印 ) ま たは [Down] ( 赤色の矢 印 ) のど ち ら かを選択 し ます。 [Up] は、 こ の イ ン タ フ ェ ースがア ク テ ィ ブ であ り 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を受け 付ける こ と がで き る こ と を示 し ます。 [Down] は、 こ の イ ン タ フ ェ ースがア ク テ ィ ブ で な く 、 ト ラ フ ィ ッ ク を受け付ける こ と がで き ない こ と を示 し ます。 VLAN インタフェースの追加 VLAN イ ン タ フ ェ ース (VLAN または VLAN サブ イ ン タ フ ェ ース と も呼ばれる ) は、 物理イ ン タ フ ェ ース上の仮想イ ン タ フ ェ ースであ り 、 その物理イ ン タ フ ェ ース を使用 し て VLAN タ グ付き パケ ッ ト を受け付けます。 VLAN インタフェースを追加するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 [Create New] を選択 し 、 [Type] を [VLAN] に設定 し ます。 3 VLAN サブ イ ン タ フ ェ ース を設定 し ます。 VLAN サブインタフェースの [Name]、親の物理インタフェースの [Interface]、および [VLAN ID] が設定されている必要があります。92 ページの「インタフェースの設定」を参 照してください。 4 [OK] を選択 し ます。 新 し い VLAN サブ イ ン タ フ ェ ース を表示するには、 [System]、 [Network]、 [Interface] の順に選 択 し 、 その VLAN イ ン タ フ ェ ースの親の物理イ ン タ フ ェ ースの横にあ る展開の矢印を選択 し ま す。 こ れに よ り 表示が展開 さ れて、 こ の物理イ ン タ フ ェ ース上のすべての VLAN サブ イ ン タ フ ェ ースが表示 さ れます。 展開の矢印が表示 さ れていない場合は、 その物理 イ ン タ フ ェ ース上 にサブ イ ン タ フ ェ ースは設定 さ れていません。 詳細については、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 ループバック インタフェースの追加 ループバ ッ ク イ ン タ フ ェ ースは、 他のどの イ ン タ フ ェ ースに も 接続 さ れていない 「常時ア ッ プ」 の仮想 イ ン タ フ ェ ース です。 ループバ ッ ク イ ン タ フ ェ ースは、 特定の外部ポー ト に依存 する こ と な く 、 FortiGate ユニ ッ ト のイ ン タ フ ェ ース IP ア ド レ スに接続 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 95 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク ループバ ッ ク イ ン タ フ ェ ースは、 特定のネ ッ ト ワー ク ア ド レ スに送信 さ れたパケ ッ ト を破棄 する ブ ラ ッ ク ホール ルーテ ィ ングを支援するために追加 さ れま し た。 ループバ ッ ク イ ン タ フ ェ ースはハー ド ウ ェ ア に接続 さ れていないため、 ハー ド ウ ェ アの問題 の影響を受けません。 FortiGate ユニ ッ ト が機能 し ている限 り 、 ループバ ッ ク イ ン タ フ ェ ース はア ク テ ィ ブ です。 こ の 「常時ア ッ プ」 機能は、 FortiGate リ モー ト ルー タ と 依存する ダ イ ナ ミ ッ ク ルー テ ィ ン グ環境 と 、 ルー プバ ッ ク イ ン タ フ ェ ー スへのア ク セ スのための ロ ー カ ル フ ァ イ アウ ォ ール ポ リ シーな どにおいて有用です。 ループバック インタフェースを追加するには - Web ベース マネージャ 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 [Create New] を選択 し 、 [Type] を [Loopback Interface] に設定 し てループバ ッ ク イ ン タ フ ェ ース を追加 し ます。 3 ループバ ッ ク イ ン タ フ ェ ース を設定 し ます。 ループバック インタフェースの [Name] が設定されている必要があります。また、管理ア クセスを設定したり、説明を追加したりすることもできます。詳細については、92 ページ の「インタフェースの設定」を参照してください。 4 [OK] を選択 し ます。 ループバック インタフェースを追加するには - CLI 10.0.0.10 の IP ア ド レ ス を持つ loop1 と い う 名前のループバ ッ ク イ ン タ フ ェ ース を設定する ための CLI コ マ ン ド は次の と お り です。 config system interface edit loop1 set type loopback set ip 10.0.0.10 255.255.255.0 end 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 にある config system interface セ ク シ ョ ン を参照 し て く だ さ い。 802.3ad アグリゲート インタフェースの追加 一部の FortiGate モデルでは、 2 つ以上の物理イ ン タ フ ェ ース を IEEE 標準の 802.3ad リ ン ク ア グ リ ゲー ト イ ン タ フ ェ ースにアグ リ ゲー ト する ( 束ねる ) こ と によ っ て、帯域幅を増やす と 同 時に、 あ る程度の リ ン ク の冗長性を実現で き ます。 アグ リ ゲー ト イ ン タ フ ェ ースは、 冗長 イ ン タ フ ェ ースに似てい ます。 アグ リ ゲー ト イ ン タ フ ェ ース では、 冗長 イ ン タ フ ェ ースに比べ てネ ッ ト ワー クへの接続のために提供 さ れる帯域幅は増え ますが、障害ポ イ ン ト も多 く 作成 さ れます。 アグ リ ゲー ト イ ン タ フ ェ ースはすべて、 同 じ ネ ク ス ト ホ ッ プ ルーテ ィ ング宛先に接 続する必要があ り ます。 イ ン タ フ ェ ース を アグ リ ゲー ト イ ン タ フ ェ ース と し て使用で き るのは、 その イ ン タ フ ェ ース が次の条件を満た し ている場合です。 96 ・ VLAN イ ン タ フ ェ ースではな く 、 物理イ ン タ フ ェ ース である。 ・ まだアグ リ ゲー ト イ ン タ フ ェ ース または冗長イ ン タ フ ェ ースの一部にな っ ていない。 ・ アグ リ ゲー ト イ ン タ フ ェ ース と 同 じ VDOM に含まれてい る。 ・ IP ア ド レ スが定義 さ れてお ら ず、 DHCP や PPPoE も 設定 さ れていない。 ・ DHCP サーバまたは リ レーが設定 さ れていない。 ・ VLAN サブ イ ン タ フ ェ ースが存在 し ない。 ・ どの フ ァ イ アウ ォ ール ポ リ シー、 VIP、 マルチキ ャ ス ト ポ リ シーで も参照 さ れていない。 ・ HA ハー ト ビー ト イ ン タ フ ェ ース ではない。 ・ FortiGate-5000 シ リ ーズのバ ッ ク プ レーン イ ン タ フ ェ ースのいずれで も ない。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 ア グ リ ゲ ー ト イ ン タ フ ェ ー ス に 含 ま れ て い る イ ン タ フ ェ ー ス は、 [System]、 [Network]、 [Interface] の順に選択 し て表示 さ れる リ ス ト には表示 さ れません。 こ のイ ン タ フ ェ ース を個別 に設定する こ と はで きず、 フ ァ イ アウ ォ ール ポ リ シー、 フ ァ イ アウ ォ ール仮想 IP、 またはルー テ ィ ングに含める こ と も で き ません。 注記 : 高速化イ ン タ フ ェ ース (FA2 イ ン タ フ ェ ース ) を アグ リ ゲー ト リ ン ク に追加する こ と はで き ますが、 FA2 ア ク セ ラ レーシ ョ ンは失われます。 た と えば、 2 つの高速化イ ン タ フ ェ ース を アグ リ ゲー ト する と 、 これ らの 2 つのイ ン タ フ ェ ースが分離 さ れている場合に 比べてスループ ッ ト は低下 し ます。 802.3ad アグリゲート インタフェースを作成するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Name] フ ィ ール ド に、 こ のアグ リ ゲー ト イ ン タ フ ェ ースの名前を入力 し ます。 このインタフェース名は、他のどのインタフェース、ゾーン、VDOM とも異なっている必要 があります。 4 [Type] リ ス ト か ら、 [802.3ad Aggregate] を選択 し ます。 5 [Available Interfaces] リ ス ト で、 アグ リ ゲー ト イ ン タ フ ェ ースに含める 2 つ以上のイ ン タ フ ェ ース を [Selected Interfaces] リ ス ト に移動 し ます。 6 必要に応 じ て、 その他のイ ン タ フ ェ ース オプ シ ョ ン を設定 し ます。 92 ページの 「イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 7 [OK] を選択 し ます 冗長インタフェースの追加 一部の FortiGate モデルでは、 2 つ以上の物理イ ン タ フ ェ ース を結合する こ と によ っ て リ ン ク の冗長性を実現で き ます。 こ の機能を使用する と 、 2 つ以上のス イ ッ チに接続 し て、 1 つの物 理 イ ン タ フ ェ ース ま たはその イ ン タ フ ェ ース上の装置に障害が発生 し た場合で も 接続を保証 する こ と がで き ます。 冗長イ ン タ フ ェ ースでは、 ト ラ フ ィ ッ ク が、 常に 1 つのイ ン タ フ ェ ース し か通過 し ません。 こ の点は、帯域幅を増やすために ト ラ フ ィ ッ クがすべてのイ ン タ フ ェ ース を通過する アグ リ ゲー ト イ ン タ フ ェ ース と は異な り ます。 こ の違いは、 冗長 イ ン タ フ ェ ースの方が、 発生 し 得る障 害ポ イ ン ト の少ない、 よ り 安定 し た構成を実現で き る こ と を示 し ます。 フ ル メ ッ シ ュ HA 構成 では、 こ の点が重要です。 イ ン タ フ ェ ース を冗長 イ ン タ フ ェ ースに含める こ と がで き るのは、そのイ ン タ フ ェ ースが次の 条件を満た し てい る場合です。 ・ VLAN イ ン タ フ ェ ースではな く 、 物理イ ン タ フ ェ ース である。 ・ まだアグ リ ゲー ト イ ン タ フ ェ ース または冗長イ ン タ フ ェ ースの一部にな っ ていない。 ・ 冗長イ ン タ フ ェ ース と 同 じ VDOM に含まれてい る。 ・ IP ア ド レ スが定義 さ れてお ら ず、 DHCP や PPPoE も 設定 さ れていない。 ・ DHCP サーバまたは リ レーが設定 さ れていない。 ・ VLAN サブ イ ン タ フ ェ ースが存在 し ない。 ・ どの フ ァ イ アウ ォ ール ポ リ シー、 VIP、 マルチキ ャ ス ト ポ リ シーで も参照 さ れていない。 ・ HA によ っ て監視 さ れていない。 ・ FortiGate-5000 シ リ ーズのバ ッ ク プ レーン イ ン タ フ ェ ースのいずれで も ない。 イ ン タ フ ェ ースが冗長 イ ン タ フ ェ ースに含まれている場合、 そのイ ン タ フ ェ ースは [System]、 [Network]、 [Interface] の順に選択 し て 表示 さ れ る ペ ー ジ には表示 さ れ ま せん。 こ の イ ン タ フ ェ ース を個別に設定する こ と はで きず、 フ ァ イ アウ ォ ール ポ リ シー、 VIP、 またはルーテ ィ ングに含める こ と も で き ません。 冗長インタフェースを作成するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 97 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク 2 3 [Create New] を選択 し ます。 [Name] フ ィ ール ド に、 こ の冗長イ ン タ フ ェ ースの名前を入力 し ます。 このインタフェース名は、他のどのインタフェース、ゾーン、VDOM とも異なっている必要 があります。 [Type] リ ス ト か ら、 [Redundant Interface] を選択 し ます。 5 [Available Interfaces] リ ス ト で、 冗長イ ン タ フ ェ ースに含める各イ ン タ フ ェ ース を選択 し 、 それを [Selected Interfaces] リ ス ト に移動 し ます。 フェールオーバーの状況では、[Selected Interfaces] リスト内の次にあるインタフェー 4 スが、アクティブ化されるインタフェースになります。 6 必要に応 じ て、 その他のイ ン タ フ ェ ース オプ シ ョ ン を設定 し ます。 92 ページの 「イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 7 [OK] を選択 し ます インタフェース上での DHCP の設定 DHCP を使用す る よ う に イ ン タ フ ェ ース を設定 し た場合、 FortiGate ユニ ッ ト は、 その イ ン タ フ ェ ースから DHCP 要求を自動的にブ ロー ド キ ャ ス ト し ます。 こ のイ ン タ フ ェ ースには、IP ア ド レ ス と 任意の DNS サーバ ア ド レ ス、 および DHCP サーバによ っ て提供 さ れるデ フ ォ ル ト ゲー ト ウ ェ イ ア ド レ スが設定 さ れます。 デ フ ォル ト では、ローエ ン ド モデルは [Override internal DNS] と [Retrieve default Gateway from DHCP server] の両方を有効に し て、 DHCP ア ド レ ッ シ ング モー ド に設定 さ れます。 こ れ ら の 設定によ り 、 簡単な標準設定が可能にな り ます。 イ ン タ フ ェ ー ス に DHCP を 設定す る には、 [System]、 [Network]、 [Interface] の順に選択 し 、 [Create New] を選択 し て、 [Addressing Mode] セ ク シ ョ ンの [DHCP] を選択 し ます。 [New Interface] ページの [Addressing Mode] セクション [Status] [Obtained IP/Netmask] DHCP サーバか ら リ ース さ れた IP ア ド レ ス と ネ ッ ト マ ス ク 。 [Status] が [connected] の場合にのみ表示 さ れます。 [Renew] こ の イ ン タ フ ェ ースの DHCP ラ イ セ ン ス を更新する場合に選択 し ます。 [Status] が [connected] の場合にのみ表示 さ れます。 [Expiry Date] リ ース さ れた IP ア ド レ ス と ネ ッ ト マ ス ク が有効で な く な る時刻 と 日付。 [Status] が [connected] の場合にのみ表示 さ れます。 [Default Gateway] DHCP サーバで定義 さ れたゲー ト ウ ェ イの IP ア ド レ ス。 [Status] が [connected] であ り 、 かつ [Retrieve default gateway from server] が オ ン にな っ てい る場合にのみ表示 さ れます。 [Distance] 98 こ の イ ン タ フ ェ ースが DHCP サーバに接続 し 、 ア ド レ ッ シ ン グ情報を取得す る と きの DHCP の状態 メ ッ セージ を表示 し ます。 ア ド レ ッ シ ン グ モー ド の状 態 メ ッ セージ を更新する には、 [Status] を選択 し ます。 [Status] には、 次のいずれかが表示 さ れます。 ・ [initializing] - 動作 し ていません。 ・ [connecting] - イ ン タ フ ェ ースは、 DHCP サーバに接続 し よ う と し てい ます。 ・ [connected] - イ ン タ フ ェ ースは、 DHCP サーバか ら IP ア ド レ ス、 ネ ッ ト マ ス ク 、 その他の設定を取得 し ま し た。 ・ [failed] - イ ン タ フ ェ ースは、DHCP サーバか ら IP ア ド レ スやその他の設 定を取得で き ませんで し た。 DHCP サーバか ら 取得 さ れたデ フ ォ ル ト ゲー ト ウ ェ イのデ ィ ス タ ン ス を入力 し ます。 デ ィ ス タ ン ス (1 ~ 255 の整数 ) は、 同 じ 宛先へのルー ト が複数存在 す る場合の、 ルー ト の相対的な プ ラ イ オ リ テ ィ を指定 し ます。 デ ィ ス タ ン ス が小 さ いほど、 プ ラ イ オ リ テ ィ が高いルー ト であ る こ と を示 し ます。 デ フ ォ ル ト ゲー ト ウ ェ イのデ フ ォ ル ト のデ ィ ス タ ン スは 5 です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 [Retrieve default gateway DHCP サーバか ら デ フ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス を取得する場合にオ ン に し ます。 こ のデ フ ォ ル ト ゲー ト ウ ェ イ は、 ス タ テ ィ ッ ク ルーテ ィ ン グ from server] テーブルに追加 さ れます。 ローエ ン ド モデルでは、 デ フ ォ ル ト で有効にな っ ています。 [Override internal DNS] [DNS] ページ上の DNS サーバ IP ア ド レ スの代わ り に、DHCP サーバか ら 取得 さ れた DNS ア ド レ ス を使用する場合にオ ン に し ます。 ローエ ン ド モデルでは、 デ フ ォ ル ト で有効にな っ ています。 VDOM が有効にな っ てい る場合、 内部の DNS は管理 VDOM 上でのみ置き換 え る こ と がで き ます。 インタフェース上での PPPoE の設定 PPPoE を使用する よ う に イ ン タ フ ェ ース を設定 し た し た場合、 FortiGate ユニ ッ ト は、 そのイ ン タ フ ェ ースか ら PPPoE 要求を自動的にブ ロー ド キ ャ ス ト し ます。 FortiGate ユニ ッ ト は、 Unnumbered IP、 初期検出 タ イムアウ ト 、 PADT (PPPoE Active Discovery Terminate) な どの、 多 く の PPPoE RFC 機能 (RFC 2516) をサポー ト し ています。 イ ン タ フ ェ ー ス に PPPoE を 設定す る には、 [System]、 [Network]、 [Interface] の順に選択 し 、 [Create New] を選択 し て、 [Addressing Mode] セ ク シ ョ ンの [PPPoE] を選択 し ます。 [New Interface] ページの [Addressing Mode] セクション [Status] FortiGate ユニ ッ ト が PPPoE サーバに接続 し 、 ア ド レ ッ シ ン グ情報を取得す る と きの PPPoE の状態 メ ッ セージ を表示 し ます。 ア ド レ ッ シ ン グ モー ド の状態 メ ッ セージ を更新する には、 [Status] を選択 し ます。 [Edit] を選択 し た場合にのみ表示 さ れます。 [Status] には、 次の 4 つの メ ッ セージのいずれかが表示 さ れます。 [initializing] 動作 し ていません。 [connecting] イ ン タ フ ェ ースは、 PPPoE サーバに接続 し よ う と し ています。 [connected] イ ン タ フ ェ ースは、 PPPoE サーバか ら IP ア ド レ ス、 ネ ッ ト マ ス ク 、 その他の設 定を取得 し ま し た。 [Status] が [connected] の場合は、 PPPoE の接続情報が表示 さ れます。 [failed] イ ン タ フ ェ ースは、 PPPoE サーバか ら IP ア ド レ スやその他の情報を取得で き ま せんで し た。 [Reconnect] PPPoE サーバに再接続す る場合に選択 し ます。 [Status] が [connected] の場合にのみ表示 さ れます。 [User Name] PPPoE ア カ ウ ン ト のユーザ名。 [Password] PPPoE ア カ ウ ン ト のパスワー ド 。 [Unnumbered IP] こ のイ ン タ フ ェ ースの IP ア ド レ ス を指定 し ます。ISP か ら IP ア ド レ スのブ ロ ッ ク が割 り 当て ら れている場合は、 その う ちの 1 つ を使用 し ます。 それ以外の場合、 こ の IP ア ド レ スは別の イ ン タ フ ェ ースの IP ア ド レ ス と 同 じ で も 、 その他の任意 の IP ア ド レ ス で もかまいません。 [Initial Disc Timeout] 初期検出 タ イ ムアウ ト を入力 し ます。 PPPoE 検出の再試行を開始する ま でに待つ 時間を入力 し ます。 [Initial PADT timeout] 初期の PADT (PPPoE Active Discovery Terminate) タ イ ムアウ ト ( 秒単位 ) を入力 し ます。 こ の タ イ ムア ウ ト は、 こ の秒数の間ア イ ド ルにな っ てい る PPPoE セ ッ シ ョ ン を シ ャ ッ ト ダウ ン する ために使用 し ます。 ISP で PADT がサポー ト さ れて い る必要があ り ます。 無効にす る には、 [Initial PADT timeout] を 0 に設定 し ます。 [Distance] PPPoE サーバか ら 取得 さ れたデ フ ォ ル ト ゲー ト ウ ェ イ のデ ィ ス タ ン ス を入力 し ます。 デ ィ ス タ ン ス (1 ~ 255 の整数 ) は、 同 じ 宛先へのルー ト が複数存在す る場 合の、 ルー ト の相対的な プ ラ イ オ リ テ ィ を指定 し ます。 デ ィ ス タ ン スが小 さ いほ ど、 プ ラ イ オ リ テ ィ が高いルー ト であ る こ と を示 し ます。 デ フ ォ ル ト ゲー ト ウ ェ イ のデ フ ォ ル ト のデ ィ ス タ ン スは 1 です。 [Retrieve default PPPoE サーバか ら デ フ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス を取得する場合にオ ン gateway from server] に し ます。 こ のデ フ ォ ル ト ゲー ト ウ ェ イは、 ス タ テ ィ ッ ク ルーテ ィ ン グ テーブ ルに追加 さ れます。 [Override internal DNS] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク [System DNS] ページ上の DNS サーバ IP ア ド レ ス を、PPPoE サーバか ら 取得 さ れ た DNS ア ド レ ス で置き換え る場合にオ ン に し ます。 VDOM が有効にな っ てい る場合、 内部の DNS は管理 VDOM 上でのみ置き換え る こ と がで き ます。 99 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク インタフェース上でのダイナミック DNS の設定 FortiGate ユニ ッ ト に静的な ド メ イ ン名 と 動的なパブ リ ッ ク IP ア ド レ スが設定 さ れてい る場合 は、 ダ イ ナ ミ ッ ク DNS (DDNS) サービ ス を使用 し て、 ド メ イ ンの IP ア ド レ スの変更時に イ ン タ ーネ ッ ト DNS サーバを更新で き ます。 DDNS は、 NAT/ ルー ト モー ド でのみ使用で き ます。 インタフェース上で DDNS を設定するには 1 DDNS サービ スか ら DDNS 設定情報を取得 し ます。 [System]、 [Network]、 [Interface] の順に選択 し ます。 3 [Create New] を選択 し ます。 4 [DDNS] を有効に し ます。 2 5 DDNS 設定情報を入力 し ます。 FortiGate ユニ ッ ト は、 DDNS サーバに接続で き ない場合は常に、 1 分間隔で 3 回の再試行を 行 っ た後、 3 分間隔での再試行に移行 し ます。 こ れは、 DDNS サーバの フ ラ ッ デ ィ ングを防ぐ ためです。 [Enable DDNS] を選択すると、次の画面が表示されます。 [Server] 使用する DDNS サーバを選択 し ます。 こ れ ら のサービ スの ク ラ イ ア ン ト ソ フ ト ウ ェ アは、 FortiGate フ ァ ームウ ェ アに組み込まれています。 FortiGate ユニ ッ ト は、 こ れ らのサービ スのいずれかにのみ接続で き ます。 [Domain] DDNS サービ スの完全修飾 ド メ イ ン名を入力 し ます。 [Username] DDNS サーバに接続する と き に使用するユーザ名を入力 し ます。 [Password] DDNS サーバに接続する と き に使用するパスワー ド を入力 し ます。 仮想 IPSec インタフェースの設定 仮想 IPSec イ ン タ フ ェ ースは、 IPSec VPN フ ェ ーズ 1 の [Advanced] オプ シ ョ ン を設定する と き に [Enable IPSec Interface Mode] を選択する こ と に よ っ て作成 し ます。 IPSec VPN フ ェ ーズ 1 を設定するには、[VPN]、[IPSec]、[Auto Key (IKE)] の順に選択 し 、[Create Phase 1] を選択 し ます。 ま た、 IPSec VPN 手動キーの設定を設定す る と き に [IPsec Interface Mode] を 選択す る こ と も で き ま す。 IPSec VPN 手動キ ー を 設定す る には、 [VPN]、 [IPSec]、 [Manual Key] の順に選択 し 、 [Create New] を選択 し ます。 ど ち ら の場合 も 、 IPSec VPN 設定で選択 し た物理 イ ン タ フ ェ ー ス に IPSec VPN 仮想 イ ン タ フ ェ ースが追加 さ れます。 仮想 IPSec イ ン タ フ ェ ースは、 [System]、 [Network]、 [Interface] の順に選択 し て表示 さ れる リ ス ト に示 さ れます。 IPSec VPN の設定の詳細については、 413 ページの 「自動キー (IKE)」 およ び 419 ページの 「手動キー」 を参照 し て く だ さ い。 IPSec VPN イ ン タ フ ェ ースでは、 次の操作を行 う こ と がで き ます。 100 ・ IPSec イ ン タ フ ェ ースのロー カルおよび リ モー ト エ ン ド ポ イ ン ト の IP ア ド レ ス を設定する こ と に よ り 、 そのイ ン タ フ ェ ース を介 し てダ イ ナ ミ ッ ク ルーテ ィ ン グ を実行 し た り 、 ping を使用 し て ト ン ネルを テ ス ト し た り で き る よ う にする。 ・ IPSec イ ン タ フ ェ ース を介 し た管理ア ク セス を有効にする。 ・ イ ン タ フ ェ ースの説明を入力する。 [Name] こ の IPSec イ ン タ フ ェ ースの名前。 [Virtual Domain] こ の IPSec イ ン タ フ ェ ースの VDOM を選択 し ます。 [IP] [Remote IP] ト ン ネルで ダ イ ナ ミ ッ ク ルーテ ィ ン グ を使用す る場合や、 ト ン ネル イ ン タ フ ェ ー スに ping を発行で き る よ う にす る場合は、 ト ン ネルのロー カ ルおよ び リ モー ト エ ン ド ポ イ ン ト の IP ア ド レ ス を入力 し ます。 こ の 2 つのア ド レ スは、 ネ ッ ト ワー ク 内の他のどの場所で も 使用 さ れていないア ド レ スにす る必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 [Administrative Access] こ の イ ン タ フ ェ ース で許可 さ れてい る管理ア ク セ スの種類を選択 し ます。 [HTTPS] こ の イ ン タ フ ェ ース を介 し た Web ベース マネージ ャ へのセキ ュ ア な HTTPS 接続を 許可 し ます。 [PING] こ の イ ン タ フ ェ ースに よ る ping への応答を許可 し ます。 こ の設定は、 イ ン ス ト ール の確認やテ ス ト に使用 し ます。 [HTTP] こ の イ ン タ フ ェ ース を介 し た Web ベース マネージ ャ への HTTP 接続を許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可能 性があ り ます。 [SSH] こ の イ ン タ フ ェ ース を介 し た CLI への SSH 接続を許可 し ます。 [SNMP] リ モー ト の SNMP マネージ ャ が こ の イ ン タ フ ェ ースに接続する こ と に よ っ て SNMP 情報を要求で き る よ う に し ます。143 ページの「SNMP の設定」 を参照 し て く だ さ い。 [TELNET] こ の イ ン タ フ ェ ース を介 し た CLI への Telnet 接続を許可 し ます。 Telnet 接続はセ キ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可能性があ り ます。 [Description] こ の イ ン タ フ ェ ースの説明を入力 し ます。 最大 63 文字ま で入力で き ます。 インタフェースへの管理アクセスの設定 管理ア ク セスは、 管理者が FortiGate ユニ ッ ト に接続 し て設定を表示 し た り 変更 し た り する た めの方法です NAT/ ルー ト モー ド で動作 し てい る FortiGate ユニ ッ ト の リ モー ト 管理を許可で き ますが、 イ ン タ ーネ ッ ト か ら の リ モー ト 管理を許可する と 、 FortiGate ユニ ッ ト のセキ ュ リ テ ィ が危険に さ ら さ れる可能性があ り ます。 設定に と っ て必須でない限 り 、 こ の危険性を避ける よ う に し て く だ さ い。 イ ン タ ーネ ッ ト か らの リ モー ト 管理を許可する FortiGate ユニ ッ ト のセキ ュ リ テ ィ を向上 さ せ る ための方法は次の と お り です。 ・ セキ ュ ア な管理ユーザ パスワー ド を使用 し ます。 ・ こ れ らのパスワー ド を定期的に変更 し ます。 ・ HTTPS または SSH のみを使用 し て、こ のイ ン タ フ ェ ースへのセキ ュ ア な管理ア ク セス を有 効に し ます。 ・ シ ス テムのア イ ド ル タ イムアウ ト をデ フ ォル ト 値の 5 分か ら変更 し ないで く だ さ い (184 ページの 「設定」 を参照 )。 ト ラ ン スペア レ ン ト モー ド で管理ア ク セ ス を設定す る方法の詳細については、 165 ページの 「動作モー ド お よび VDOM 管理ア ク セス」 を参照 し て く だ さ い。 インタフェースへの管理アクセスを制御するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 管理ア ク セス を制御する イ ン タ フ ェ ース を編集 し ます。 3 こ のイ ン タ フ ェ ースの [Administrative Access] の方法を選択 し ます。 4 [OK] を選択 し ます ゲートウェイ負荷分散のためのインタフェース ステータス検出の設定 イ ン タ フ ェ ー ス ス テ ー タ ス検出は、 あ る イ ン タ フ ェ ー スか ら 送信 さ れたパケ ッ ト に対 し て サーバか ら 応答が返る こ と を確認する FortiGate ユニ ッ ト で構成 さ れます。 最大 3 種類のプ ロ ト コ ルを使用 し て、 イ ン タ フ ェ ースがそのサーバに接続で き る こ と を確認で き ます。 通常、 こ のサーバは、 外部ネ ッ ト ワー ク またはイ ン タ ーネ ッ ト につながる ネ ク ス ト ホ ッ プ ルー タ です。 イ ン タ フ ェ ース ス テー タ ス検出では、 設定 さ れてい る プ ロ ト コ ルを使用 し てパケ ッ ト を送信 し ます。 サーバか ら応答が受信 さ れた場合、 FortiGate ユニ ッ ト は、 こ のイ ン タ フ ェ ースがネ ッ ト ワー ク に接続で き る と 見な し ます。 応答が受信 さ れない場合、 FortiGate ユニ ッ ト は、 こ の イ ン タ フ ェ ースがネ ッ ト ワー ク に接続で き ない と 見な し ます。 イ ン タ フ ェ ース ス テー タ ス検出は、 ECMP ルー ト フ ェ ールオーバーや負荷分散に使用 さ れま す。 237 ページの 「ECMP ルー ト のフ ェ ールオーバー と 負荷分散」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 101 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク サーバやネ ッ ト ワー ク が正常に動作 し ていた と し て も 応答が受信 さ れない可能性があ る ため、 停止ゲー ト ウ ェ イ検出の設定では、サーバへの接続を テ ス ト する時間間隔 と 、FortiGate ユニ ッ ト に よ っ て イ ン タ フ ェ ースがサーバに接続で き ない と 判断 さ れる ま でに テ ス ト が失敗で き る 回数を制御 し ます。 停止ゲー ト ウ ェ イ検出の設定については、 112 ページの 「ネ ッ ト ワー ク オ プ シ ョ ンの設定」 を参照 し て く だ さ い。 イ ン タ フ ェ ースのゲー ト ウ ェ イ フ ェ ールオーバーの検出を設定するには、 Web ベース マネー ジ ャか ら [System]、[Network]、[Interface] の順に選択 し 、イ ン タ フ ェ ース を編集 し ます。[Detect Interface Status for Gateway Load Balancing] を選択 し 、 接続を テ ス ト するサーバの IP ア ド レ ス を入力 し て、そのサーバへの接続を テ ス ト する ために使用する 1 つ以上のプ ロ ト コ ルを選択 し ます。 イ ン タ フ ェ ースにセ カ ン ダ リ IP ア ド レ ス を追加 し た場合は、 セ カ ン ダ リ IP ア ド レ スご と に別々に イ ン タ フ ェ ース ス テー タ ス検出を設定する こ と も で き ます。 注記 : FortiGate ユニ ッ ト が、 選択 し たプ ロ ト コ ルの う ちの少な く と も 1 つに対する応答を 受信 し てい る限 り 、 FortiGate ユニ ッ ト はそのサーバが動作 し てお り 、 パケ ッ ト を転送で き る と 見な し ます。 複数のプ ロ ト コ ルに対 し て応答を受信 し て も サーバまたはイ ン タ フ ェ ー スのス テ ー タ スが強化 さ れ る こ と はな く 、 応答 を 受信 し た プ ロ ト コ ルの数が少な く て も サーバまたはイ ン タ フ ェ ースのス テー タ スが低下する こ と はあ り ません。 [New Interface] ページの [Detect Interface Status for Gateway Load Balancing] セクション [Detect Server] 接続を テ ス ト するサーバの IP ア ド レ ス。 [Ping] サーバが応答 し てい る こ と を確認する ために、 標準の ICMP ping を使用 し ます。 ping に よ っ て、 サーバが ICMP ping 要求に応答で き る こ と が確認 さ れます。 [TCP Echo] サーバが応答 し てい る こ と を確認する ために、TCP エ コ ーを使用 し ます。 こ のオ プ シ ョ ンは、 サーバが TCP エ コ ー サー ビ ス を提供す る よ う に設定 さ れてい る場合に選択 し ま す。 場合に よ っ ては、 サーバが TCP エ コ ー要求には応答するが、 ICMP ping に応答 し な い よ う に設定 さ れている こ と があ り ます。 TCP エ コ ーは、 ポー ト 番号 7 上の TCP パケ ッ ト を使用 し て テキス ト 文字列をサーバに 送信 し 、 そのサーバか ら のエ コ ー応答の戻 り を期待 し ます。 エ コ ー応答は、 単にその同 じ テキス ト を エ コ ーバ ッ ク し て、 サーバが TCP 要求に応答で き る こ と を確認 し ます。 FortiGate ユニ ッ ト は、TCP エ コ ー サーバか ら の RST ( リ セ ッ ト ) パケ ッ ト を通常の TCP エ コ ー応答 と し て認識 し ません。FortiGate が TCP エ コ ー要求に対す る RST 応答を受信 し た場合、 その FortiGate ユニ ッ ト はサーバが到達不可であ る と 見な し ます。 [UDP Echo] サーバを検出する ために、UDP エ コ ー を使用 し ます。 こ のオ プ シ ョ ンは、サーバが UDP エ コ ー サービ ス を提供する よ う に設定 さ れてい る場合に選択 し ます。場合に よ っ ては、 サーバが UDP エ コ ー要求には応答するが、ICMP ping に応答 し ないよ う に設定 さ れてい る こ と があ り ます。 UDP エ コ ーは、 ポー ト 番号 7 上の UDP パケ ッ ト を使用 し て テキス ト 文字列をサーバに 送信 し 、 そのサーバか ら のエ コ ー応答を期待 し ます。 エ コ ー応答は、 単にその同 じ テキ ス ト を エ コ ーバ ッ ク し て、 サーバが UDP 要求に応答で き る こ と を確認 し ます。 [Spillover Threshold] こ のイ ン タ フ ェ ース で処理 さ れる帯域幅の量を制限する には、ス ピルオーバー し き い値 を設定 し ます。 [Spillover Thresholds] の範囲は 0 ~ 2097000 KBps です。 こ の イ ン タ フ ェ ー ス で 処理 さ れ る 帯域幅が ス ピ ルオ ーバ ー し き い値 に 達す る ま で、 FortiGate ユニ ッ ト は、 ECMP に よ っ てルーテ ィ ン グ さ れるすべてのセ ッ シ ョ ン を最 も 小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 その後、 FortiGate ユニ ッ ト は、 以降のセ ッ シ ョ ン を その次に小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 各イ ン タ フ ェ ースが選択 さ れる順序を含む詳細については、、237 ページの 「ECMP ルー ト の フ ェ ールオーバー と 負荷分散」 を参照 し て く だ さ い。 注記 : TCP エ コ ー と UDP エ コ ーの詳細については、 RFC 862 を参照 し て く だ さ い。 インタフェースの MTU パケット サイズの変更 ネ ッ ト ワー ク パ フ ォ ーマ ン ス を向上 さ せる ために、 FortiGate ユニ ッ ト が転送するパケ ッ ト の 最大転送単位 (MTU) を変更で き ます。 MTU は、 FortiGate ユニ ッ ト と パケ ッ ト の宛先 と の間の すべてのネ ッ ト ワー ク の最小の MTU と 同 じ である こ と が理想です。 FortiGate ユニ ッ ト が送信 するパケ ッ ト が最小の MTU よ り 大き い場合は、 パケ ッ ト が分割 ( または断片化 ) さ れ、 それ によ っ て転送速度が低下 し ます。 MTU を小 さ く し てみる こ と に よ り 、 最適なネ ッ ト ワー ク パ フ ォ ーマ ン スが得 られる MTU サイ ズを簡単に見つける こ と がで き ます。 102 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 一部のFortiGateモデルでは、従来の1,500バイ ト を超え る フ レームをサポー ト する イ ン タ フ ェ ー ス を 選択 し ま す。 FortiGate ユ ニ ッ ト がサポー ト し て い る 最大 フ レ ーム サ イ ズについ ては、 フ ォ ーテ ィ ネ ッ ト カ ス タ マ サポー ト にお問い合わせ く だ さ い。 あるルー ト を介 し て よ り 大き な フ レームを送信で き る よ う にするには、そのルー ト 上のすべて の イ ーサネ ッ ト デバ イ スがその大 き な フ レ ーム サ イ ズ をサポー ト し てい る必要があ り ます。 そ う し ない と 、 その大き な フ レームが認識 さ れずに破棄 さ れます。 同 じ イ ン タ フ ェ ース上に標準のサ イ ズ と よ り 大き な フ レ ーム サイ ズの ト ラ フ ィ ッ ク が存在す る場合、 ルーテ ィ ン グの仕組みだけでは、 フ レ ーム サ イ ズのみに基づいて各 ト ラ フ ィ ッ ク を 異な るルー ト にルーテ ィ ングする こ と がで き ません。 ただ し 、 VLAN を使用する と 、 よ り 大き な フ レーム ト ラ フ ィ ッ ク が、 そのよ り 大き なサイ ズをサポー ト する ネ ッ ト ワー ク デバイ ス を 介 し てルーテ ィ ン グ さ れる こ と を保証で き ます。 VLAN は、 MTU サイズを親 イ ン タ フ ェ ースか ら継承 し ます。 VLAN を、 そのルー ト の両端だけでな く 、 そのルー ト に沿 っ たすべてのス イ ッ チお よびルー タ に設定する必要があ り ます。VLAN 設定の詳細については、『FortiGate VLAN お よび VDOM ガ イ ド 』 を参照 し て く だ さ い。 インタフェースから送信されるパケットの MTU サイズを変更するには 1 2 3 4 [System]、 [Network]、 [Interface] の順に選択 し ます。 物理イ ン タ フ ェ ース を選択 し 、 [Edit] を選択 し ます。 [Administrative Access] で、 [Override default MTU value (1500)] を選択 し ます。 MTU サイズを設定 し ます。 FortiGate ユニットでサポートされているサイズより大きい MTU サイズを選択すると、エ ラー メッセージが表示されます。この場合は、値がサポートされるサイズになるまで MTU サイズを小さくしてみてください。 注記 : MTU を変更 し た場合は、 変更 さ れた イ ン タ フ ェ ース上の VLAN サブ イ ン タ フ ェ ース の MTU 値を更新する ために、 FortiGate ユニ ッ ト を再起動する必要があ り ます。 ト ラ ン スペア レ ン ト モー ド では、イ ン タ フ ェ ースの MTU を変更 し た場合、その新 し い MTU に一致する よ う に FortiGate ユニ ッ ト 上のすべてのイ ン タ フ ェ ースの MTU を変更する必要 があ り ます。 インタフェースへのセカンダリ IP アドレスの追加 イ ン タ フ ェ ースに手動またはス タ テ ィ ッ ク IP ア ド レ スが設定 さ れてい る場合は、 そのイ ン タ フ ェ ースにセ カ ン ダ リ ス タ テ ィ ッ ク IP ア ド レ ス を追加する こ と も で き ます。セ カ ン ダ リ IP ア ド レ スの追加に よ っ て、 その イ ン タ フ ェ ースに実質的に複数の IP ア ド レ スが追加 さ れます。 FortiGate ユニ ッ ト 、 ス タ テ ィ ッ ク ルーテ ィ ン グやダ イ ナ ミ ッ ク ルーテ ィ ング、 お よびネ ッ ト ワー クは、 セ カ ン ダ リ IP ア ド レ ス を、 その イ ン タ フ ェ ース で終了する追加の IP ア ド レ ス と し て認識 し ます。 DCHP または PPPoE を使用 し てセ カ ン ダ リ IP ア ド レ ス を割 り 当て る こ と はで き ません。 イ ン タ フ ェ ースに追加 さ れたすべての IP ア ド レ スが、 物理イ ン タ フ ェ ースの 1 つの MAC ア ド レ スに関連付け られます。 また、 すべてのセ カ ン ダ リ IP ア ド レ スが、 追加先のイ ン タ フ ェ ー ス と 同 じ VDOM 内に存在 し ます。 ゲー ト ウ ェ イ負荷分散のためのイ ン タ フ ェ ース ス テー タ ス 検出は、 セ カ ン ダ リ IP ア ド レ スご と に別々に設定 し ます。 他のすべてのイ ン タ フ ェ ース IP ア ド レ ス と 同様に、 別の VDOM に含まれていない限 り 、 セ カ ン ダ リ IP ア ド レ スは、 FortiGate イ ン タ フ ェ ースに割 り 当て ら れた他のプ ラ イ マ リ またはセ カ ン ダ リ IP ア ド レ ス と 同 じ サブネ ッ ト 上に存在で き ません。 インタフェースにセカンダリ IP アドレスを追加するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 セ カ ンダ リ IP ア ド レ スの追加先の物理イ ン タ フ ェ ース を編集 し ます。 3 イ ン タ フ ェ ースの [Addressing Mode] が [Manual] に設定 さ れ、 そのイ ン タ フ ェ ースに [IP/Netmask] を追加 し ている こ と を確認 し ます。 4 青色の矢印を選択 し て [Secondary IP Address] セ ク シ ョ ン を展開 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 103 イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク 5 セ カ ンダ リ IP ア ド レ ス を設定 し 、 [OK] を選択 し て、 ア ド レ ス と その設定を イ ン タ フ ェ ー スに追加 し ます。 6 さ ら に多 く のセ カ ンダ リ IP ア ド レ ス を追加するには、 こ の手順を繰 り 返 し ます。 7 [Edit Interface] ダ イ ア ログの一番下にある [OK] または [Apply] を選択 し て、 イ ン タ フ ェ ー スにセ カ ン ダ リ IP ア ド レ ス を追加 し ます。 ヒント : セカンダリ IP アドレスを追加し、[OK] を選択して [Edit Interface] ダイアロ グへの変更を保存したら、セカンダリ IP アドレスが予期したとおりに追加されていること を確認するために、再度インタフェースを表示してください。 [New Interface] ページの [Secondary IP Address] セクション 作成 さ れたセ カ ン ダ リ IP ア ド レ ス を表示 し ます。 [Add] 新 し いセ カ ン ダ リ IP ア ド レ ス を作成す る場合に選択 し ます。 [Add] を選択す る と 、 [Edit Interface] ページに自動的に リ ダ イ レ ク ト さ れます。 [IP/Netmask] こ のセ カ ン ダ リ IP の IP ア ド レ ス と ネ ッ ト マ ス ク 。 [Detect Server Enable] こ のセ カ ン ダ リ IP ア ド レ ス に対 し て イ ン タ フ ェ ース ス テー タ ス検出が有効に な っ ているかど う かを示 し ます。 [Detect Server] こ のセ カ ン ダ リ IP ア ド レ スの検出サーバの IP ア ド レ ス。複数のセ カ ン ダ リ IP ア ド レ ス で同 じ 検出サーバを共有で き ます。 [Detect Protocol] こ のセ カ ン ダ リ IP ア ド レ スに対 し て設定 さ れてい る検出プ ロ ト コ ル。 [Administrative Access] こ のア ド レ スの管理ア ク セ ス方法。 プ ラ イ マ リ IP ア ド レ ス と は異な る方法を選 択で き ます。 [Delete] こ のセ カ ン ダ リ IP ア ド レ ス を削除する場合に選択 し ます。 [Edit] 選択 さ れたセ カ ン ダ リ IP ア ド レ ス を編集 し ます。[ 編集 ] ア イ コ ン を選択する と 、 編集す る セ カ ン ダ リ IP ア ド レ スの設定が、セ カ ン ダ リ IP ア ド レ ス テーブルの上 にあ る フ ィ ール ド に表示 さ れます。 こ れ ら の設定を編集 し 、 [OK] を選択 し て、 セ カ ン ダ リ IP ア ド レ スへの変更を保存で き ます。 注記 : [ 編集 ] ア イ コ ン を選択 し て セ カ ン ダ リ IP ア ド レ ス を編集 し 、[IP/Netmask] を変更 し た場合は、 [OK] を選択 し た と き に新 し いセ カ ン ダ リ IP ア ド レ スが追加 さ れます。 変更す るのが [IP/Netmask] だけであ り 、 新 し いセ カ ン ダ リ IP ア ド レ ス を追加 し た く ない場合は、 [ 編集 ] ア イ コ ン を選択 し た時点のセ カ ン ダ リ IP ア ド レ ス を削除する必要があ り ます。 [Edit Interface] ページ IP ア ド レ ス を設定する ための各設定を提供 し ます。 [Add] を選択する と 、 こ のページに自動的に リ ダ イ レ ク ト さ れます。 [IP/Netmask] こ のセ カ ン ダ リ IP ア ド レ スの IP ア ド レ ス / サブ ネ ッ ト マ ス ク を入力 し ます。 セ カ ン ダ リ IP ア ド レ スは、 プ ラ イ マ リ IP ア ド レ ス と は別のサブ ネ ッ ト 上に存在 する必要があ り ます。 [To] [Detect Interface Status for Gateway Load Balancing] こ のセ カ ン ダ リ IP ア ド レ スの イ ン タ フ ェ ース ス テー タ ス検出を設定 し ます。101 ページの 「ゲー ト ウ ェ イ 負荷分散のための イ ン タ フ ェ ース ス テー タ ス検出の設 定」 を参照 し て く だ さ い。 [Detect Server] 使用 さ れるサーバを入力 し ます。 [Detect Protocol] こ のセ カ ン ダ リ IP ア ド レ スのプ ロ ト コ ルを入力 し ます。 ping、 udp-echo、 お よび tcp-echo か ら 選択で き ます。 [Administrative Access] 104 こ のセ カ ン ダ リ IP で許可 さ れる管理ア ク セ スの種類を選択 し ます。 [HTTPS] こ のセ カ ン ダ リ IP を介 し た Web ベース マネージ ャ へのセキ ュ ア な HTTPS 接続 を許可 し ます。 [PING] セ カ ン ダ リ IP に よ る ping への応答を許可 し ます。 こ の設定は、 イ ン ス ト ールの 確認やテ ス ト に使用 し ます。 [HTTP] こ のセ カ ン ダ リ IP を介 し た Web ベース マネージ ャ への HTTP 接続を許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可 能性があ り ます。 [SSH] こ のセ カ ン ダ リ IP を介 し た CLI への SSH 接続を許可 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク イ ン タ フ ェ ースの設定 [SNMP] リ モー ト の SNMP マネージ ャ が こ のセ カ ン ダ リ IP に接続する こ と に よ っ て SNMP 情報を要求で き る よ う に し ます。 143 ページの 「SNMP の設定」 を参照 し て く だ さ い。 [TELNET] このセカンダリ IP を介した CLI への Telnet 接続を許可します。 Telnet 接続はセキュ リティ保護されていないため、 第三者によって傍受される可能性があります。 ソフトウェア スイッチ インタフェースの追加 FortiGate の CLI か ら ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース ( ソ フ ト ス イ ッ チ イ ン タ フ ェ ー ス と も呼ばれる ) を追加で き ます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースによ っ て、 2 つ以 上の物理または無線 FortiGate イ ン タ フ ェ ース間の単純な ブ リ ッ ジが形成 さ れます。ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースに追加 さ れた イ ン タ フ ェ ースは、 物理イ ン タ フ ェ ース メ ンバ と 呼 ばれます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースに追加 し た後、 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースの メ ンバに個別々のイ ン タ フ ェ ース と し てア ク セスする こ と はで き ません。 こ れ らのイ ン タ フ ェ ースは、 シ ス テムの イ ン タ フ ェ ース テーブルから 削除 さ れます。 アグ リ ゲー ト イ ン タ フ ェ ース と 同様に、 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースは通常の イ ン タ フ ェ ースのよ う に機能 し ます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースには 1 つの IP ア ド レ スがあ り ます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース と の間の フ ァ イ アウ ォ ール ポ リ シー を 作成 し た り 、 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース を ゾーン に追加 し た り で き ます。 制限 も い く つかあ り ます。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース を HA に よ っ て監視 し た り 、 HA ハー ト ビー ト イ ン タ フ ェ ース と し て使用 し た り する こ と はで き ません。 ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ースに イ ン タ フ ェ ース を追加 し た場合は、 どの設定か ら も こ れ らのイ ン タ フ ェ ース を参照で き ません。 こ れには、 デ フ ォ ル ト ルー ト 、 VLAN、 VDOM 間 リ ン ク、 およびポ リ シーが含まれます。 port1、 external、 および dmz 物理イ ン タ フ ェ ース を含む soft_switch と い う 名前の ソ フ ト ウ ェ ア ス イ ッ チ イ ン タ フ ェ ース を追加するには、 次の CLI コ マ ン ド を使用 し ます。 config system switch-interface edit soft_switch set members port1 external dmz end FortiGate インタフェースへの sFlow エージェントの追加 sFlow は、 RFC 3176 で定義 さ れ、 http://www.sflow.org で説明 さ れてい るネ ッ ト ワー ク監視プ ロ ト コ ルです。 1 つ以上の FortiGate イ ン タ フ ェ ース を、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を監視 し 、 ト ラ フ ィ ッ ク フ ローに関する情報を含むsFlowデー タ グ ラ ムを sFlow コ レ ク タ に送信する sFlow エージ ェ ン ト と し て設定で き ます。 sFlow エージ ェ ン ト は、 物理 イ ン タ フ ェ ース、 VLAN イ ン タ フ ェ ース、 お よびアグ リ ゲー ト イ ン タ フ ェ ース を含む任意の FortiGate イ ン タ フ ェ ースに追 加で き ます。 sFlow は通常、 ネ ッ ト ワー クの ト ラ フ ィ ッ ク フ ローの全体像を提供する ために使用 さ れます。 通常は、 ネ ッ ト ワー ク上のス イ ッ チ、 ルー タ 、 お よび フ ァ イ アウ ォ ール上で sFlow エージ ェ ン ト を動作 さ せ、 それ ら のすべてか ら ト ラ フ ィ ッ ク デー タ を収集 し 、 コ レ ク タ を使用 し て ト ラ フ ィ ッ ク フ ローやパ タ ーン を表示 し ます。 こ のデー タ を使用する と 、 ネ ッ ト ワー クの正常な ト ラ フ ィ ッ ク フ ロー パ タ ーン を特定 し 、 そ の後で ト ラ フ ィ ッ ク フ ローの問題を監視で き ます。 こ れ ら の問題が見つか っ た ら 、 それ ら の 修正を試みた後、 引き続き sFlow エージ ェ ン ト と sFlow コ レ ク タ を使用 し てその修正結果を表 示で き ます。 FortiGate の sFlow エージ ェ ン ト は任意の sFlow エージ ェ ン ト のよ う に機能 し て、 イ ン タ フ ェ ー ス カ ウン タ や フ ロー サン プルを sFlow デー タ グ ラ ムに結合 し 、 それが直ちに sFlow コ レ ク タ に送信 さ れます。 sFlow デー タ グ ラ ムは、 デー タ を処理 し た り 、 大量のデー タ を収集 し た り す る こ と な く 直ちに送信 さ れる ため、sFlow エージ ェ ン ト を実行 し て も シ ス テム パ フ ォ ーマ ン ス への影響はほ と んどあ り ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 105 ゾーンの設定 シス テム - ネ ッ ト ワー ク sFlow データグラムを sFlow コレクタに送信するように FortiGate ユニットを設定するには sFlow は、 CLI か らのみ設定で き ます。 sFlow の使用を開始する には、 sFlow コ レ ク タ の IP ア ド レ ス を FortiGate の設定に追加 し た後、 FortiGate イ ン タ フ ェ ース上で sFlow エージ ェ ン ト を設 定する必要があ り ます。 1 sFlow コ レ ク タ の IP ア ド レ ス を 172.20.120.11 に設定する には、 次のコ マ ン ド を入力 し ます。 config system sflow set collector-ip 172.20.120.11 end 2 必要に応 じ て、 sFlow エージ ェ ン ト が使用する UDP ポー ト 番号を変更する こ と も で き ま す。 こ のポー ト は、 ネ ッ ト ワー ク構成や sFlow コ レ ク タ で必要にな っ た場合にのみ変更 し て く だ さ い。 デ フ ォル ト の sFlow ポー ト は 6343 です。 次の コ マ ン ド は、 sFlow エージ ェ ン ト のポー ト を 6345 に変更 し ます。 config system sflow set collector-port 6345 end 3 port1 イ ン タ フ ェ ースの sFlow を有効にするには、 次の コ マ ン ド を使用 し ます。 config system interface edit port1 set sflow-sample enable end 4 sFlow エージェントを FortiGate インタフェースに追加するには、 この手順を繰り返します。 5 また、 各 sFlow エージ ェ ン ト のサン プ リ ング レー ト 、 ポー リ ング間隔、 およびサン プル方 向を変更する こ と も で き ます。 config system interface edit port1 set sample-rate <rate_number> set polling-interval <frequency> set sample-direction {both | rx | tx} end 複数の VDOM での sFlow 複数の VDOM で動作 し ている FortiGate ユニ ッ ト では、 管理 VDOM 以外の各 VDOM に、 sFlow コ レ ク タ の異な る IP ア ド レ ス と ポー ト 番号を追加で き ます。 VDOM_1 と い う 名前の VDOM の sFlow 設定を カ ス タ マ イ ズするには、 次の コ マ ン ド を使用 し ます。 config vdom edit VDOM_1 config system vdom-sflow set vdom-sflow enable set collector-ip 172.20.120.11 end 管理 VDOM と 、 VDOM 固有の設定が設定 さ れていないすべての VDOM は、 グ ローバルな sFlow 設定を使用 し ます。 ゾーンの設定 イ ン タ フ ェ ー ス を ゾ ー ン に グルー プ 化す る と 、 ポ リ シ ーの作成が簡略化 さ れ ま す。 イ ン タ フ ェ ース を ゾーン にグループ化する こ と によ り 、各イ ン タ フ ェ ースの個別のポ リ シーを追加す る代わ り に、 そのゾーンの 1 組の フ ァ イ アウ ォ ール ポ リ シーを追加で き ます。 イ ン タ フ ェ ー ス を ゾーンに追加 し た後は、 各イ ン タ フ ェ ースのポ リ シーは設定で き な く な り 、 ゾーンのポ リ シーのみを設定で き ます。 106 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク モデム イ ン タ フ ェ ースの設定 ゾーンにはすべての種類のイ ン タ フ ェ ース ( 物理、 VLAN、 ス イ ッ チ な ど ) を追加で き るほか、 ゾーン を イ ン タ フ ェ ースの種類の任意の組み合わせで構成で き ます。 ゾーンの追加、 ゾーンの 名前変更や編集、 ゾー ン リ ス ト か ら のゾー ンの削除を行 う こ と がで き ます。 ゾーン を追加す る場合は、 ゾーン に追加する イ ン タ フ ェ ースの名前を選択 し ます。 ゾーンは、 バーチ ャル ド メ イ ンか ら 設定 さ れます。 FortiGate の設定に複数のバーチ ャル ド メ イ ン を追加 し てい る場合は、 ゾー ン を追加ま たは編集す る前に、 正 し いバーチ ャ ル ド メ イ ン を設定 し ている こ と を確認 し て く だ さ い。 [Zone] ページ 作成 し たすべてのゾ ー ン を 表示 し ます。 こ のページ では、 新 し い ゾ ー ン を編集、 削除、 お よ び作成す る こ と がで き ます。 [Create New] 新 し いゾーン を作成する場合に選択 し ます。 [Name] こ のゾーンの名前。 [Block intra-zone traffic] 同 じ ゾ ー ン 内の イ ン タ フ ェ ー ス間の ト ラ フ ィ ッ ク がブ ロ ッ ク さ れて い る場合 は [Yes]、 同 じ ゾ ーン内の イ ン タ フ ェ ース間の ト ラ フ ィ ッ ク がブ ロ ッ ク さ れて いない場合は [No] を表示 し ます。 [Interface Members] こ の ゾ ー ン に 追 加 さ れ た イ ン タ フ ェ ー ス の 名 前。 イ ン タ フ ェ ー ス 名 は、 FortiGate モデルに よ っ て異な り ます。 [Edit] ゾーン を編集ま たは表示 し ます。 [Delete] ゾーン を削除 し ます。 [Edit Zone] ページ ゾ ー ン を設定す る ための各設定を 提供 し ます。 既存のゾ ー ン を 編集す る場合は、 こ のページ に自動的に リ ダ イ レ ク ト さ れます。 [Zone Name] こ のゾーンの名前を入力 し ます。 [Block intra-zone traffic] ゾーン内の ト ラ フ ィ ッ ク のブ ロ ッ キン グ を有効に し ます。 [Interface members] こ のゾーン に関連付け ら れる (1 つまたは複数の ) イ ン タ フ ェ ース を選択 し ま す。 表示 さ れる イ ン タ フ ェ ースは、 特定のモデル上に存在す る イ ン タ フ ェ ース を反映 し ています。 た と えば、 FortiGate-50B 上では、 internal、 wan1、 お よび wan2 イ ン タ フ ェ ース を ゾーン に使用で き ます。 モデム インタフェースの設定 次のいずれかの方法で モデムを接続する場合は、 FortiGate ユニ ッ ト にモデム イ ン タ フ ェ ース を含める こ と がで き ます。 ・ サポー ト さ れてい る USB モデムを、 USB イ ン タ フ ェ ース を備えた任意の FortiGate モデル に接続で き ます。 ・ サポー ト さ れてい る シ リ アル モデムを、 シ リ アル モデム ポー ト を備えた任意の FortiGate モデルに接続で き ます。 ・ サポー ト さ れてい る PCMCIA モデムを、 PCMCIA ス ロ ッ ト を備えた任意の FortiGate モデル に挿入で き ます。 PCMCIA モデムを挿入する前に、 FortiGate ユニ ッ ト の電源を切 っ て く だ さ い。 モデムを挿入 し た後に FortiGate ユニ ッ ト に電源を入れる と 、 そのモデムが自動的に 検出 さ れ、 モデム イ ン タ フ ェ ースが作成 さ れます。 NAT/ ルー ト モー ド では、 モデムは次の 2 つのモー ド のいずれかで動作で き ます。 ・ 冗長 ( バ ッ ク ア ッ プ ) モー ド では、 選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ースが使用で き な く な る と 、そのイ ーサネ ッ ト イ ン タ フ ェ ースか ら モデム イ ン タ フ ェ ースが自動的に処理を 引き継ぎ ます。 ・ ス タ ン ド ア ロ ン モー ド では、 モデム イ ン タ フ ェ ースが、 FortiGate ユニ ッ ト か ら イ ン タ ー ネ ッ ト への接続にな り ます。 冗長モー ド またはス タ ン ド ア ロ ン モー ド では、 ISP に接続す る場合、 モデムが ISP に接続 さ れ る ま で自動的に最大 3 つのダ イヤルア ッ プ ア カ ウン ト を ダ イヤルする よ う に FortiGate ユニ ッ ト を設定で き ます。 その他のモデルは、 USB シ リ アル コ ンバー タ を介 し て外付けモデムに接続で き ます。 こ れ ら のモデルの場合は、 CLI を使用 し て モデムの動作を設定する必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 107 モデム イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク モデム イ ン タ フ ェ ースは最初、 無効にな っ ている ため、 Web ベース マネージ ャ に表示するに は CLI で有効にする必要があ り ます。 『FortiGate CLI リ フ ァ レ ン ス 』 にある system modem コ マ ン ド を参照 し て く だ さ い。 注記 : モデム イ ン タ フ ェ ースは AUX ポー ト ではあ り ません。 モデム と AUX ポー ト は同 じ よ う に見え るか も し れませんが、 AUX ポー ト は関連付け られた イ ン タ フ ェ ースがな く 、 リ モー ト コ ン ソ ール接続に使用 さ れます。AUX ポー ト は、FortiGate モデル 1000A、1000AFA2、 お よび 3000A でのみ使用で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 にあ る config system aux コ マ ン ド を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ モデムの接続 と 接続解除 ・ 冗長モー ド の設定 ・ ス タ ン ド ア ロ ン モー ド の設定 ・ モデム接続のための フ ァ イ アウ ォ ール ポ リ シーの追加 ・ モデム状態の確認 モデム設定の設定 FortiGate ユニ ッ ト がモデムを使用 し て ISP のダ イヤルア ッ プ ア カ ウン ト に接続する よ う に、 モデム設定を設定 し ます。 最大 3 つのダ イヤルア ッ プ ア カ ウン ト を設定 し た り 、 ス タ ン ド ア ロ ン または冗長の動作を選択 し た り 、モデムのダ イヤルや接続解除の方法を設定 し た り する こ と がで き ます。 モデムを備えた FortiGate-60B および FortiWifi-60B モデルの場合は、モデムを管理イ ン タ フ ェ ー スにする こ と がで き ます。 有効にな っ ている場合、 ユーザはユニ ッ ト のモデムにダ イ ヤル し 、 いずれかの標準 イ ン タ フ ェ ース を介 し て ロ グ イ ン し てい るかのよ う に管理ア ク シ ョ ン を実行 で き ます。 こ の機能は、 CLI で config system dialinsvr コ マ ン ド 構文を使用 し て有 効に し ます。 VDOM が有効にな っ ている場合は、 他のイ ン タ フ ェ ース と 同様に、 モデムを いずれかの VDOM に割 り 当て る こ と がで き ます。 モデムは、 無効にな っ てい る と イ ン タ フ ェ ース リ ス ト に表示 さ れないため、 CLI か ら次の コ マ ン ド 構文を使用 し て有効にする必要があ り ます。 config system modem set status enable end CLI で有効に し た後、 [System]、 [Network]、 [Modem] の順に選択 し て、 Web ベース マネージ ャ でモデムを設定する こ と がで き ます。 注記 : モデムをトランスペアレント モードで設定したり、 使用したりすることはできません。 [Modem] ページ モデム と ダ イ ヤルア ッ プ ア カ ウ ン ト を設定する ための各設定を提供 し ます。 [Enable Modem] 108 FortiGate のモデムを有効にする場合に選択 し ます。 [Modem status] モデム状態は [not active]、[connecting]、[connected]、[disconnecting]、[hung up] のいずれかです。 [Dial Now]/[Hang Up] ( ス タ ン ド ア ロ ン モー ド のみ ) ダ イ ヤルア ッ プ ア カ ウ ン ト に手動で接続す る には、 [Dial Now] を選択 し ます。 モデムが接続 さ れてい る場合は、 [Hang Up] を選択 し て手動で モデムを接続解除で き ます。 [Mode] [Standalone] または [Redundant] モー ド を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク モデム イ ン タ フ ェ ースの設定 [Auto-dial] 接続が失われるか、 または FortiGate ユニ ッ ト が再起動 さ れた ら自動的に ( スタンドアロン モード ) モデムを ダ イ ヤルす る場合に選択 し ます。 [Dial on demand] がオンになっている場合は、 [Auto- dial] をオンにできませ ん。 [Dial on demand] パケ ッ ト がモデム イ ン タ フ ェ ースにルーテ ィ ン グ さ れた ら モデム を ダ イ ( スタンドアロン モード ) ヤルす る場合に選択 し ます。 ネ ッ ト ワー ク が動作 し ていない場合、 モデム はア イ ド ル タ イ ムアウ ト 期間の後に接続解除 し ます。 [Auto-dial] がオンになっている場合は、 [Dial on demand] をオンにできませ ん。 [Idle timeout] タ イ ムア ウ ト 期間 ( 分単位 ) を入力 し ます。 動作 し ていない状態が こ の期 ( スタンドアロン モード ) 間続 く と 、 モデムは接続解除 し ます。 [Redundant for] ( 冗長モード ) モ デムがバ ッ ク ア ッ プ サー ビ ス を 提供す る 対象の イ ーサネ ッ ト イ ン タ フ ェ ース を選択 し ます。 [Holddown Timer] ( 冗長モード ) ( 冗長モー ド のみ ) プ ラ イ マ リ イ ン タ フ ェ ースが復旧 し た後、 モデム イ ン タ フ ェ ー ス か ら 元の プ ラ イ マ リ イ ン タ フ ェ ー ス に切 り 替 え る ま で に FortiGate ユニ ッ ト が待つ時間 (1 ~ 60 秒 ) を入力 し ます。デ フ ォ ル ト 値は 1 秒 で す。 プ ラ イ マ リ イ ン タ フ ェ ー ス と モ デム イ ン タ フ ェ ー スの間 で FortiGate ユニ ッ ト の切 り 替えが繰 り 返 し 発生する場合は、設定する値を大 き く し ます。 [Redial Limit] 接続に障害が発生 し た場合に、FortiGate ユニ ッ ト のモデムが ISP への再接 続 を試行す る最大回数 (1 ~ 10)。 デ フ ォ ル ト の再ダ イ ヤル制限は 1 回で す。 再ダ イ ヤルの試行回数を制限 し ない よ う にす る には、 [None] を選択 し ます。 [Wireless Modem] 接続 さ れてい る無線モデムを表示 し ます ( 使用可能な場合 )。 [Supported Modems] サポー ト さ れてい る モデムの リ ス ト を表示す る場合に選択 し ます。 [Usage History] モデム イ ン タ フ ェ ース上で作成 さ れた接続 を 表示 し ま す。 接続に関す る 次の情報が表示 さ れます。 ・ 日付 と 時刻 ・ 接続時間 ( 時間、 分、 秒 ) ・ 接続先の IP ア ド レ ス ・ ト ラ フ ィ ッ ク統計 ( 受信、 送信、 合計を含む ) ・ 接続の現在のス テー タ ス [Dialup Account] 最大 3 つのダ イ ヤルア ッ プ ア カ ウ ン ト を設定 し ます。 FortiGate ユニ ッ ト は、 接続を確立で き る ま で、 順番に各ア カ ウ ン ト への接続を試みます。 ア ク テ ィ ブ な ダ イ ヤルア ッ プ ア カ ウ ン ト は緑色のチ ェ ッ ク マー ク で示 さ れます。 [Phone Number] ダ イ ヤルア ッ プ ア カ ウ ン ト に接続す る ために必要な電話番号。 電話番号 にはス ペース を 追加 し ないで く だ さ い。 ダ イ ヤルア ッ プ ア カ ウ ン ト に接 続す る ために モデムに必要な一時停止、 国番号、 その他の機能に対する標 準の特殊文字を間違いな く 含める よ う に し て く だ さ い。 [User Name] ISP に送信 さ れるユーザ名 ( 最大 63 文字 )。 [Password] ISP に送信 さ れるパスワー ド 。 [Extra Initialization String] 追加の初期化文字列。 冗長モー ド でモデムを設定する には、 110 ページの 「冗長モー ド の設定」 を参照 し て く だ さ い。 ス タ ン ド ア ロ ン モー ド で モデムを設定する には、 110 ページの 「ス タ ン ド ア ロ ン モー ド の設 定」 を参照 し て く だ さ い。 次の項も参照してください。 ・ モデム イ ン タ フ ェ ースの設定 ・ モデム接続のための フ ァ イ アウ ォ ール ポ リ シーの追加 ・ モデムの接続 と 接続解除 ・ モデム状態の確認 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 109 モデム イ ン タ フ ェ ースの設定 シス テム - ネ ッ ト ワー ク 冗長モードの設定 冗長モー ド では、 モデム イ ン タ フ ェ ースは選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ース をバ ッ ク ア ッ プ し ます。 その イ ーサネ ッ ト イ ン タ フ ェ ースがネ ッ ト ワー ク か ら 接続解除 し た場合、 モ デムは、 設定済みのダ イヤルア ッ プ ア カ ウ ン ト に自動的にダ イ ヤル し ます。 モデムがダ イ ヤ ルア ッ プ ア カ ウ ン ト に接続する と 、 FortiGate ユニ ッ ト は、 通常は選択 さ れた イーサネ ッ ト イ ン タ フ ェ ースに宛て ら れる IP パケ ッ ト を モデム イ ン タ フ ェ ースにルーテ ィ ング し ます。 イ ーサネ ッ ト イ ン タ フ ェ ースがネ ッ ト ワー ク に接続で き る よ う にな る と 、 FortiGate ユニ ッ ト はモ デム イ ン タ フ ェ ー ス を 接続解除 し て、 イ ーサネ ッ ト イ ン タ フ ェ ー スに戻 し ま す。 ト ラ フ ィ ッ ク を切 り 替え る前に イ ン タ フ ェ ースが安定 し 、完全にア ク テ ィ ブ な状態であ る こ と を保 証す る ために、 元のイ ーサネ ッ ト イ ン タ フ ェ ースへの切 り 替え を遅延 さ せる ホール ド ダウ ン タ イ マ を設定で き ます。 モデムは、 ア イ ド ル タ イ ムアウ ト の値で設定 さ れた、 ネ ッ ト ワー ク が動作 し ていない期間の 後に接続解除 し ます。 こ れによ り 、 ダ イヤルア ッ プ接続料金が節約 さ れます。 FortiGate ユニ ッ ト でのイ ーサネ ッ ト イ ン タ フ ェ ースか ら モデムへの切 り 替え を可能にするに は、 モデム設定で イ ン タ フ ェ ースの名前を選択 し 、 そのイ ン タ フ ェ ースのための ping サーバを 設定する必要があ り ます。 また、 モデム イ ン タ フ ェ ース と その他の FortiGate イ ン タ フ ェ ース の間の接続のための フ ァ イ アウ ォ ール ポ リ シー も 設定する必要があ り ます。 注記 : モ デム イ ン タ フ ェ ー ス と 、 モ デムがバ ッ ク ア ッ プ し て い る イ ーサネ ッ ト イ ン タ フ ェ ースの間の接続のためのポ リ シーは追加 し ないで く だ さ い。 冗長モードを設定するには 1 [System]、 [Network]、 [Modem] の順に選択 し ます。 2 [Redundant] モー ド を選択 し ます。 3 次の情報を入力 し ます。 [Redundant for] リ ス ト か ら 、 バ ッ ク ア ッ プする イ ン タ フ ェ ース を選択 し ます。 [Holddown timer] ネ ッ ト ワー ク 接続が復旧 し た後 も モデムを使用 し 続ける秒数を入力 し ます。 [Redial Limit] ISP が応答 し ない場合の再試行の最大回数を入力 し ます。 [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] 最大 3 つのダ イ ヤルア ッ プ ア カ ウ ン ト に対す る ISP の電話番号、ユーザ名、お よ びパスワー ド を入力 し ます。 4 [Apply] を選択 し ます。 5 モデムがバ ッ ク ア ッ プする イ ーサネ ッ ト イ ン タ フ ェ ースのイ ン タ フ ェ ース ステー タ ス検 出を設定 し ます。 101 ページの「ゲートウェイ負荷分散のためのインタフェース ステータス検出の設定」を 参照してください。 6 モデム イ ン タ フ ェ ース を介 し たネ ッ ト ワー ク接続のための フ ァ イ アウ ォ ール ポ リ シーを 設定 し ます。 111 ページの「モデム接続のためのファイアウォール ポリシーの追加」を参照してくださ い。 スタンドアロン モードの設定 ス タ ン ド ア ロ ン モー ド では、 モデムは、 イ ン タ ーネ ッ ト への接続を提供す る ためにダ イ ヤル ア ッ プ ア カ ウン ト に接続 し ます。 FortiGate ユニ ッ ト が再起動 し た場合や、 ルーテ ィ ング さ れ ていないパケ ッ ト が存在する場合にダ イヤルする よ う にモデムを設定で き ます。 また、 手動で モデムを接続解除 し た り 、 再ダ イヤル し た り する こ と も で き ます。 ダ イヤルア ッ プ ア カ ウン ト への接続が切断 し た場合、 FortiGate ユニ ッ ト はモデムを再ダ イヤ ル し ます。 モデムは、 再ダ イヤル制限で指定 さ れた回数に達するか、 またはダ イヤルア ッ プ ア カ ウ ン ト に接続する まで再ダ イヤル し ます。 110 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク モデム イ ン タ フ ェ ースの設定 モデムは、 ア イ ド ル タ イ ムアウ ト の値で設定 さ れた、 ネ ッ ト ワー ク が動作 し ていない期間の 後に接続解除 し ます。 こ れによ り 、 ダ イヤルア ッ プ接続料金が節約 さ れます。 モ デム イ ン タ フ ェ ー ス と その他の FortiGate イ ン タ フ ェ ー スの間の接続のための フ ァ イ ア ウ ォ ール ポ リ シーを設定する必要があ り ます。 ま た、 [Router]、 [Static] の順に選択 し て、 ト ラ フ ィ ッ ク を モデム イ ン タ フ ェ ースにルーテ ィ ン グす る ためのス タ テ ィ ッ ク ルー ト を設定す る こ と も 必要です。 た と えば、 モ デム イ ン タ フ ェ ースが FortiGate ユニ ッ ト の外部イ ン タ フ ェ ース と し て機能 し てい る場合は、 モデムへの FortiGate ユニ ッ ト のデ フ ォ ル ト ルー ト のデバイ ス設定を設定する必要があ り ます。 スタンドアロン モードを設定するには 1 [System]、 [Network]、 [Modem] の順に選択 し ます。 2 [Standalone] モー ド を選択 し ます。 3 次の情報を入力 し ます。 [Auto-dial] FortiGateユニ ッ ト が再起動 し た ら モデムがダ イ ヤルする よ う にする場合に選択 し ます。 [Dial on demand] ルーテ ィ ン グ さ れていないパケ ッ ト が存在 し た ら 常にモデムが ISP に接続する よ う に し たい場合に選択 し ます。 [Idle timeout] タ イ ムアウ ト 期間 ( 分単位 ) を入力 し ます。 動作 し ていない状態が こ の期間続 く と 、 モデムは接続解除 し ます。 [Redial Limit] ISP が応答 し ない場合の再試行の最大回数を入力 し ます。 [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] 最大 3 つのダ イ ヤルア ッ プ ア カ ウ ン ト に対す る ISP の電話番号、 ユーザ名、 お よ びパスワー ド を入力 し ます。 4 [Apply] を選択 し ます。 5 モデム イ ン タ フ ェ ース を介 し たネ ッ ト ワー ク接続のための フ ァ イ アウ ォ ール ポ リ シーを 設定 し ます。 111 ページの「モデム接続のためのファイアウォール ポリシーの追加」を参照してくださ い。 6 [Router]、 [Static] の順に選択 し 、 モデムへのデバ イ ス を設定 し て、 ト ラ フ ィ ッ ク を モデム イ ン タ フ ェ ースにルーテ ィ ングする ためのス タ テ ィ ッ ク ルー ト を設定 し ます。 236 ページの「ルーティング テーブルへのスタティック ルートの追加」を参照してくだ さい。 モデム接続のためのファイアウォール ポリシーの追加 モデム イ ン タ フ ェ ースには、 フ ァ イ アウ ォ ール ア ド レ ス と フ ァ イ アウ ォ ール ポ リ シーが必要 です。 モデム イ ン タ フ ェ ースに 1 つ以上のア ド レ ス を追加で き ます。 ア ド レ スの追加につい ては、 297 ページの 「ア ド レ スの設定」 を参照 し て く だ さ い。 フ ァ イ ア ウ ォ ール ポ リ シー を設定す る こ と に よ り 、 モデム イ ン タ フ ェ ース と 、 FortiGate ユ ニ ッ ト 上のその他のイ ン タ フ ェ ースの間のパケ ッ ト の フ ローを制御で き ます。 フ ァ イ アウ ォ ー ル ポ リ シーの設定については、 268 ページの 「フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 モデムの接続と接続解除 次の手順は、 ダ イヤルア ッ プ ア カ ウン ト に接続する方法 と 、 ダ イヤルア ッ プ ア カ ウ ン ト か ら 接続解除する方法を示 し ています。モデムはス タ ン ド ア ロ ン モー ド にある必要がある ため、ダ イヤルア ッ プ ア カ ウ ン ト への接続または接続解除の前に、 モデムがス タ ン ド ア ロ ン モー ド に ある こ と を確認する必要があ り ます。 ダイヤルアップ アカウントに接続するには 1 [System]、 [Network]、 [Modem] の順に選択 し ます。 2 [Enable USB Modem] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 111 ネ ッ ト ワー ク オプ シ ョ ンの設定 シス テム - ネ ッ ト ワー ク 3 ダ イヤルア ッ プ ア カ ウン ト の情報を確認 し ます。 [Apply] を選択 し ます。 5 [Dial Now] を選択 し ます。 4 FortiGate ユニットは、モデムが ISP に接続するまで、順番に各ダイヤルアップ アカウン トにダイヤルします。 ダイヤルアップ アカウントから接続解除するには 1 [System]、 [Network]、 [Modem] の順に選択 し ます。 2 [Hang Up] を選択 し て、 モデムを接続解除 し ます。 モデム状態の確認 モデムの接続状態や、 現在どのダイヤルアップ アカウントがアクティブになっているかを確認できま す。 モデムが ISP に接続されている場合は、 IP アドレスとネットマスクを表示できます。 モデム状態を確認するには、 [System]、 [Network]、 [Modem] の順に選択 し ます。 モデム状態は次のいずれかです。 [not active] こ のモデムは、 ISP に接続 さ れていません。 [connecting] こ のモデムは、 ISP に接続 し よ う と し ています。 [connected] こ のモデムは、 ISP に接続 さ れています。 [disconnecting] こ のモデムは、 ISP か ら 接続解除 し ています。 [hung up] こ のモデムは、 ISP か ら 接続解除 し ま し た。 ( ス タ ン ド ア ロ ン モー ド のみ ) [Dial Now] を選択 し ない限 り 、 モデムは再ダ イ ヤル し ません。 緑色のチ ェ ッ ク マー ク は、 ア ク テ ィ ブ なダ イヤルア ッ プ ア カ ウン ト を示 し ます。 モデム イ ン タ フ ェ ースに割 り 当て られた IP ア ド レ ス と ネ ッ ト マス クは、 Web ベース マネー ジ ャの [System]、 [Network]、 [Interface] の順に選択 し て表示 さ れる画面に表示 さ れます。 ネットワーク オプションの設定 ネ ッ ト ワー ク オプ シ ョ ン には、 DNS サーバや停止ゲー ト ウ ェ イ検出の設定が含まれます。 停 止ゲー ト ウ ェ イ検出の設定によ っ て、 イ ン タ フ ェ ース ス テー タ ス検出の動作が制御 さ れます。 DNS やその他のネ ッ ト ワー ク オプ シ ョ ンの設定は、 [System]、 [Network]、 [Options] の順に選 択 し て表示 さ れるページか ら設定で き ます。 [Networking Options] ページ DNS 設定のほか、 停止ゲー ト ウ ェ イ検出の設定を設定する ための各設定を提供 し ます。 また、 こ のペー ジから DNS サーバの設定や停止ゲー ト ウ ェ イ検出の設定を表示す る こ と も で き ます。 [DNS Settings] [Primary DNS Server] プ ラ イ マ リ DNS サーバの IP ア ド レ ス を入力 し ます。 [Secondary DNS Server] セ カ ン ダ リ DNS サーバの IP ア ド レ ス を入力 し ます。 [Local Domain Name] DNS参照の実行時に ド メ イ ン部分のないア ド レ スに追加する ド メ イ ン名 を入力 し ます。 [IPv6 DNS Settings] [Primary DNS Server] [Secondary DNS Server] [Dead Gateway Detection] 112 プ ラ イ マ リ IPv6 DNS サーバの IP ア ド レ ス を入力 し ます。 セ カ ン ダ リ IPv6 DNS サーバの IP ア ド レ ス を入力 し ます。 1 つ以上の FortiGate イ ン タ フ ェ ースの イ ン タ フ ェ ース ス テー タ ス検出 を 設定 し 、 停止ゲー ト ウ ェ イ 検出の設定 を 使用 し て イ ン タ フ ェ ース ス テー タ ス検出の動作を設定 し ます。詳細については、101 ページの 「ゲー ト ウ ェ イ 負荷分散のための イ ン タ フ ェ ース ス テー タ ス検出の設定」 を参 照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク FortiGate DNS サービ スの設定 [Detection Interval] FortiGate ユニ ッ ト が イ ン タ フ ェ ース ス テー タ ス を検出す る間隔 を示す 秒数を入力 し ます。 [Fail-over Detection] FortiGate ユニ ッ ト が こ の イ ン タ フ ェ ース を 機能 し て いな い と 見なす ま での イ ン タ フ ェ ース ス テー タ ス テ ス ト の失敗回数を入力 し ます。 DNS サーバ ア ラ ー ト メ ールや URL ブ ロ ッ キングな ど、 FortiGate 機能の一部は DNS を使用 し ています。 FortiGate ユニ ッ ト の接続先の DNS サーバの IP ア ド レ ス を指定する こ と がで き ます。DNS サー バ IP ア ド レ スは通常、 ISP によ っ て指定 さ れます。 100 以下の番号の FortiGate モデルは、 DNS サーバ ア ド レ ス を自動的に取得する よ う に設定で き ます。 こ れ らのア ド レ ス を自動的に取得するには、 少な く と も 1 つの FortiGate ユニ ッ ト イ ン タ フ ェ ースが DHCP または PPPoE ア ド レ ッ シ ング モー ド を使用する必要があ り ます。 98 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 または 99 ページの 「イ ン タ フ ェ ース上での PPPoE の設定」 を参照 し て く だ さ い。 100 以下の FortiGate モデルは、 その イ ン タ フ ェ ース上で DNS 転送を実行で き ます。 接続 さ れ たネ ッ ト ワー ク上のホス ト は、 こ のイ ン タ フ ェ ースの IP ア ド レ ス を DNS サーバ と し て使用 し ます。 こ の イ ン タ フ ェ ースに送信 さ れた DNS 要求は、 ユーザによ っ て設定 さ れたか、 または FortiGate ユニ ッ ト に よ っ て自動的に取得 さ れた DNS サーバ ア ド レ スに転送 さ れます。 FortiGate DNS サービスの設定 FortiGate ユニ ッ ト を、 FortiGate イ ン タ フ ェ ース と 通信で き る任意のネ ッ ト ワー クの DNS サー バにな る よ う に設定で き ます。 各イ ン タ フ ェ ースの DNS 設定を、 次のいずれかの方法で設定 し ます。 ・ イ ン タ フ ェ ースは、 [System]、 [Network]、 [Options] の順に選択 し て表示 さ れるページ で FortiGate ユニ ッ ト 用に設定 さ れた DNS サーバに DNS 要求を中継 し ます。 115 ページの「DNS 要求を外部の DNS サーバに中継する よ う に FortiGate イ ン タ フ ェ ース を設定するには」 を 参照 し て く だ さ い。 ・ イ ン タ フ ェ ースは、FortiGate DNSデー タ ベース を使用 し てDNS要求を解決 し ます。FortiGate DNS デー タ ベース内に存在 し ないホス ト 名への DNS 要求は破棄 さ れます。 115 ページの 「FortiGate DNS デー タ ベースのみを使用 し て DNS 要求を解決する よ う に FortiGate イ ン タ フ ェ ース を設定するには」 を参照 し て く だ さ い。 ・ イ ン タ フ ェ ースは、 FortiGate DNS デー タ ベース を使用 し て DNS 要求を解決 し 、 FortiGate DNS デー タ ベース内に存在 し ないホス ト 名への DNS 要求を、[System]、[Network]、[Options] の順に選択 し て表示 さ れるページ で FortiGate ユニ ッ ト 用に設定 さ れた DNS サーバに中継 し ます。 こ れは、 分割 DNS 設定 と 呼ばれます。 116 ページの 「分割 DNS 設定を設定するに は」 を参照 し て く だ さ い。 バーチ ャル ド メ イ ンが有効にな っ ていない場合は、 すべての FortiGate イ ン タ フ ェ ースで共有 で き る 1 つの DNS デー タ ベース を作成で き ます。 バーチ ャル ド メ イ ンが有効にな っ てい る場合は、各 VDOM で DNS デー タ ベース を作成 し ます。 VDOM 内のすべての イ ン タ フ ェ ースが、 その VDOM 内の DNS デー タ ベース を共有 し ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ 分割 DNS について ・ FortiGate DNS サービ スの設定 分割 DNS について 分割 DNS 設定では、 FortiGate ユニ ッ ト 上で、 通常は内部ネ ッ ト ワー ク上のホス ト 名、 または ロー カル ド メ イ ンのための DNS デー タ ベース を作成 し ます。 内部ネ ッ ト ワー ク 上のユーザが こ れ らのホス ト 名に接続 し よ う と し た場合、 IP ア ド レ スは、 FortiGate ユニ ッ ト の DNS デー タ ベースによ っ て提供 さ れます。 FortiGate ユニ ッ ト の DNS デー タ ベース内に存在 し ないホス ト 名は、 DNS 参照を外部の DNS サーバに中継する こ と によ っ て解決 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 113 FortiGate DNS サービ スの設定 シス テム - ネ ッ ト ワー ク 分割 DNS 設定を使用する と 、内部ユーザが、イ ン タ ーネ ッ ト か ら も ア ク セスで き る プ ラ イ ベー ト ネ ッ ト ワー ク上の リ ソ ースにア ク セスで き る よ う にな り ます。 た と えば、NAT/ ルー ト モー ド で動作 し ている FortiGate ユニ ッ ト の背後にパブ リ ッ ク Web サーバを配置で き ます。 イ ン タ ーネ ッ ト 上のユーザは、 ポー ト フ ォ ワーデ ィ ング仮想 IP を使用 し て、 こ の Web サーバにア ク セス し ます。 そのため、 こ の Web サーバには、 イ ン タ ーネ ッ ト ユーザのためのパブ リ ッ ク IP ア ド レ スが存在 し ます。 し か し 、 内部ユーザか ら の ト ラ フ ィ ッ ク を イ ン タ ーネ ッ ト か ら 遮断 する ために、 内部ネ ッ ト ワー ク上のユーザがプ ラ イ ベー ト IP ア ド レ ス を使用 し てサーバにア ク セスする よ う に し たい場合があ り ます。 こ れを行 う には、 FortiGate ユニ ッ ト 上で分割 DNS 設定を作成 し 、 サーバのホス ト 名を FortiGate DNS デー タ ベースに追加 し ます。 ただ し 、 外部 IP ア ド レ スの代わ り に、 サーバの内部 IP ア ド レ ス を含めます。 FortiGate ユニ ッ ト は最初に FortiGate DNS デー タ ベース を チ ェ ッ ク す るため、 サーバのホス ト 名へのすべての DNS 参照が サーバの内部 IP ア ド レ ス を返 し ます。 分割 DNS を設定する方法の例については、 116 ページの 「分割 DNS 設定を設定す るには」 を 参照 し て く だ さ い。 FortiGate DNS サービスの設定 こ の項では、FortiGate DNS を設定する ための一般的な手順のほか、さ ま ざ ま な方法で DNS サー ビ ス を提供する よ う に FortiGate イ ン タ フ ェ ース を設定する ための特定の手順について説明 し ます。 一般的な FortiGate DNS サーバ設定 1 [System]、 [Network]、 [Options] の順に選択 し 、 プ ラ イ マ リ お よびセ カ ン ダ リ DNS サーバの IP ア ド レ ス を追加 し ます。 これらのサーバは、ISP によって提供される DNS サーバまたはその他のパブリック DNS サー バである必要があります。FortiGate ユニットが、これらの DNS サーバを独自の DNS 参照 に使用するほか、内部ネットワークの DNS 参照を提供するためにも使用できます。112 ペー ジの「ネットワーク オプションの設定」を参照してください。 2 [System]、 [Network]、 [Interface] の順に選択 し 、 FortiGate ユニ ッ ト を DNS サーバにする 対象のネ ッ ト ワー ク に接続 さ れる イ ン タ フ ェ ース を編集 し ます。 3 [Enable DNS Query] を選択 し ます。 [Enable DNS Query] を選択した場合、FortiGate ユニットは、このインタフェースで受信 されたすべての DNS クエリを、[System]、[Network]、[Options] の順に選択して表示され るページで設定された DNS サーバに中継します。この動作を制御するには、[Recursive] または [Non-Recursive] を選択します。 4 [Recursive] FortiGate DNS デー タ ベース で ド メ イ ン名を検索 し ます。 エ ン ト リ が見つか ら な い場合は、 [System]、 [Network]、 [Options] の順に選択 し て表示 さ れる ページ で設 定 さ れた DNS サーバに要求を中継 し ます。 分割 DNS 設定に使用で き ます。 [Non-Recursive] FortiGate DNS デー タ ベー ス で ド メ イ ン 名 を 検索 し ま す。 [System]、 [Network]、 [Options] の順に選択 し て表示 さ れる ページ で設定 さ れた DNS サーバに要求を中 継 し ません。 [System]、 [Network]、 [DNS Database] の順に選択 し 、 FortiGate DNS デー タ ベース を設定 し ます。 必要に応じてゾーンとエントリを追加します。116 ページの「FortiGate DNS データベース の設定」を参照してください。 5 FortiGate イ ン タ フ ェ ース を DNS サーバ と し て使用する内部ネ ッ ト ワー ク 上のホス ト を設 定 し ます。 また、FortiGate DHCP サーバを使用してこのネットワーク上のホストを設定している場合 は、DNSサーバ IPアドレス リストに FortiGate インタフェースの IP アドレスを追加します。 114 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク FortiGate DNS サービ スの設定 DNS 要求を外部の DNS サーバに中継するように FortiGate インタフェースを設定するには FortiGate イ ン タ フ ェ ース を、 [System]、 [Network]、 [Options] の順に選択 し て表示 さ れるペー ジ で FortiGate ユニ ッ ト 用に設定 さ れた DNS サーバに DNS 要求を中継する よ う に設定 し ます。 1 [System]、 [Network]、 [Options] の順に選択 し 、 プ ラ イ マ リ お よびセ カ ン ダ リ DNS サーバの IP ア ド レ ス を追加 し ます。 これらのサーバは、ISP によって提供される DNS サーバまたはその他のパブリック DNS サー バである必要があります。FortiGate ユニットが、これらの DNS サーバを独自の DNS 参照 に使用するほか、内部ネットワークの DNS 参照を提供するためにも使用できます。112 ペー ジの「ネットワーク オプションの設定」を参照してください。 2 [System]、 [Network]、 [Interface] の順に選択 し 、 FortiGate ユニ ッ ト を DNS サーバにする 対象のネ ッ ト ワー ク に接続 さ れる イ ン タ フ ェ ース を編集 し ます。 3 [Enable DNS Query] を選択 し 、 [Recursive] を選択 し ます。 インタフェースは、FortiGate DNS データベース内でドメイン名を検索し、FortiGate DNS データベース内に存在しない名前への要求を、[System]、[Network]、[Options] の順に選 択 して 表 示 され る ペ ー ジで 設 定 され た DNS サ ーバ に 中 継す る よ う に設 定 さ れま す。 FortiGate DNS データベースにエントリを追加しない場合は、すべての DNS 要求が、 [System]、[Network]、[Options] の順に選択して表示されるページで設定された DNS サー バに中継されます。 4 FortiGate イ ン タ フ ェ ース を DNS サーバ と し て使用する内部ネ ッ ト ワー ク 上のホス ト を設 定 し ます。 また、FortiGate DHCP サーバを使用してこのネットワーク上のホストを設定している場合 は、DNSサーバ IPアドレス リストに FortiGate インタフェースの IP アドレスを追加します。 FortiGate DNS データベースのみを使用して DNS 要求を解決するように FortiGate インタ フェースを設定するには FortiGate イ ン タ フ ェ ー ス を、 FortiGate DNS デー タ ベー ス を 使用 し て DNS 要求 を 解決 し 、 FortiGate DNS デー タ ベース内に存在 し ないホス ト 名への要求を破棄する よ う に設定 し ます。 1 [System]、 [Network]、 [Options] の順に選択 し 、 プ ラ イ マ リ お よびセ カ ン ダ リ DNS サーバの IP ア ド レ ス を追加 し ます。 これらのサーバは、ISP によって提供される DNS サーバまたはその他のパブリック DNS サー バである必要があります。FortiGate ユニットが、これらの DNS サーバを独自の DNS 参照 に使用するほか、内部ネットワークの DNS 参照を提供するためにも使用できます。112 ペー ジの「ネットワーク オプションの設定」を参照してください。 2 [System]、 [Network]、 [Interface] の順に選択 し 、 FortiGate ユニ ッ ト を DNS サーバにする 対象のネ ッ ト ワー ク に接続 さ れる イ ン タ フ ェ ース を編集 し ます。 3 [Enable DNS Query] を選択 し 、 [Non-Recursive] を選択 し ます。 [Non-Recursive] 選択した場合は、FortiGate DNS データベース内のエントリのみが使用 されます。 4 [System]、 [Network]、 [DNS Database] の順に選択 し 、 FortiGate DNS デー タ ベース を設定 し ます。 必要に応じてゾーンとエントリを追加します。116 ページの「FortiGate DNS データベース の設定」を参照してください。 5 FortiGate イ ン タ フ ェ ース を DNS サーバ と し て使用する内部ネ ッ ト ワー ク 上のホス ト を設 定 し ます。 また、FortiGate DHCP サーバを使用してこのネットワーク上のホストを設定している場合 は、DNSサーバ IPアドレス リストに FortiGate インタフェースの IP アドレスを追加します。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 115 FortiGate DNS サービ スの設定 シス テム - ネ ッ ト ワー ク 分割 DNS 設定を設定するには イ ン タ フ ェ ース を、 FortiGate DNS デー タ ベース を使用 し て DNS 要求を解決 し 、 FortiGate DNS デー タ ベース内に存在 し ないホス ト 名への DNS 要求を、 [System]、 [Network]、 [Options] の順 に選択 し て表示 さ れるページ で設定 さ れた DNS サーバに中継する よ う に設定 し ます。 こ れは、 分割 DNS 設定 と 呼ばれます。 113 ページの 「分割 DNS について」 を参照 し て く だ さ い。 1 [System]、 [Network]、 [Options] の順に選択 し 、 プ ラ イ マ リ お よびセ カ ン ダ リ DNS サーバの IP ア ド レ ス を追加 し ます。 これらのサーバは、ISP によって提供される DNS サーバまたはその他のパブリック DNS サー バである必要があります。FortiGate ユニットが、これらの DNS サーバを独自の DNS 参照 に使用するほか、内部ネットワークの DNS 参照を提供するためにも使用できます。112 ペー ジの「ネットワーク オプションの設定」を参照してください。 2 [System]、 [Network]、 [Interface] の順に選択 し 、 FortiGate ユニ ッ ト を DNS サーバにする 対象のネ ッ ト ワー ク に接続 さ れる イ ン タ フ ェ ース を編集 し ます。 3 [Enable DNS Query] を選択 し 、 [Recursive] を選択 し ます。 インタフェースは、FortiGate DNS データベース内でドメイン名を検索し、FortiGate DNS データベース内に存在しない名前への要求を、[System]、[Network]、[Options] の順に選 択して表示されるページで設定されたDNSサーバに中継するように設定されます。 内部ネッ トワーク上のユーザのために、FortiGate DNS データベースにエントリを追加できます。 4 [System]、 [Network]、 [DNS Database] の順に選択 し 、 FortiGate DNS デー タ ベース を設定 し ます。 内部ネットワーク上のユーザのために、必要に応じてゾーンとエントリを追加します。116 ページの「FortiGate DNS データベースの設定」を参照してください。 5 FortiGate イ ン タ フ ェ ース を DNS サーバ と し て使用する内部ネ ッ ト ワー ク 上のホス ト を設 定 し ます。 また、FortiGate DHCP サーバを使用してこのネットワーク上のホストを設定している場合 は、DNSサーバ IPアドレス リストに FortiGate インタフェースの IP アドレスを追加します。 FortiGate DNS データベースの設定 内部ネ ッ ト ワー クか ら の DNS 参照が FortiGate DNS デー タ ベースに よ っ て解決 さ れる よ う に FortiGate DNS デー タ ベース を設定 し ます。 DNS デー タ ベース を設定するには、 ゾーン を追加 し ます。 各ゾーン には独自の ド メ イ ン名があ り ます。 次に、 各ゾーンにエ ン ト リ を追加 し ます。 各エ ン ト リ は、 ホス ト 名 と 、 そのホス ト 名が解決 さ れる IP ア ド レ スで構成 さ れます。 ま た、 そのエ ン ト リ が IPv4 ア ド レ ス (A)、 IPv6 ア ド レ ス (AAAA)、 ネーム サーバ (NS)、 正規名 (CNAME)、 Mail Exchange (MX) 名のいずれであ るかを指 定する こ と も で き ます。 FortiGate DNS デー タ ベース を設定す るには、 [System]、 [Network]、 [DNS Server] の順に選択 し ます。 [DNS Server] ページ 作成 し た DNS サーバを表示 し ます。 こ のページ では、 新 し い DNS サーバを編集、 削除、 ま たは作成する こ と がで き ます。 116 [Create New] DNS デー タ ベース リ ス ト に新 し い DNS ゾー ン を追加 し ます。 [Create New] を選択す る と 、 [New DNS Zone] ページ に自動的に リ ダ イ レ ク ト さ れます。 [DNS Zone] DNS デー タ ベース リ ス ト に追加 さ れた DNS ゾーンの名前。 [Domain Name] 各ゾーンの ド メ イ ン名。 [TTL] パケ ッ ト の TTL (Time to Live) を示す、 ド メ イ ン名の TTL 値 ( 秒単位 )。 範囲は 0 ~ 2,147,483,647 です。 [# of Entries] ゾーン内のエ ン ト リ の数。 [Delete] DNS デー タ ベースか ら ゾー ン を削除 し ます。 [Edit] 既存のゾー ン を変更する には、 その横にあ る [Edit] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク Explicit Web プ ロキシの設定 [New DNS Zone] ページ DNS サーバを構成する DNS ゾーン を設定する ための各設定を提供 し ます。 [DNS Zone] DNS ゾーン を入力 し ます。 [Domain Name] ド メ イ ン名を入力 し ます。 [TTL (seconds)] TTL 値を入力 し ます。 ゾーンの TTL 値を使用する には、 0 を入力 し ます。 Explicit Web プロキシの設定 FortiGate の Explicit Web プ ロキシ を使用する と 、1 つ以上の FortiGate イ ン タ フ ェ ース上の明示 的な HTTP と HTTPS のプ ロキシ処理を有効にする こ と がで き ます。 Explicit Web プ ロキシはま た、 Web ブ ラ ウザか ら 送信 さ れた FTP セ ッ シ ョ ンのプ ロキシ処理や、 Explicit Web プ ロキシの ユーザの自動プ ロ キシ設定を可能にす る プ ロキシ自動設定 (PAC) も サポー ト し ています。 ま た、CLI か らは、Web ブ ラ ウザか ら送信 さ れた SOCKS セ ッ シ ョ ン をサポー ト する よ う に Explicit Web プ ロキシ を設定する こ と も で き ます。 注記 : VDOM が有効にな っ ている場合、 Web プ ロキシは各 VDOM に対 し て設定 さ れます。 Web プ ロキシは、 FortiGate のルーテ ィ ングを使用 し て、 セ ッ シ ョ ン を FortiGate ユニ ッ ト 経由 で宛先イ ン タ フ ェ ースにルーテ ィ ング し ます。セ ッ シ ョ ンが終了イ ン タ フ ェ ースか ら送信 さ れ る前に、 Explicit Web プ ロ キシは、 そのセ ッ シ ョ ン パケ ッ ト の発信元ア ド レ ス を終了 イ ン タ フ ェ ースの IP ア ド レ スに変更 し ます。 FortiGate ユニ ッ ト が ト ラ ン スペア レ ン ト モー ド で動作 し てい る場合、 Explicit Web プ ロキシは、 発信元ア ド レ ス を管理 IP ア ド レ スに変更 し ます。 通常、 ネ ッ ト ワー ク上のユーザのために Web プ ロキシ サーバを設定する場合は、 そのネ ッ ト ワー ク に接続 さ れた FortiGate イ ン タ フ ェ ース上で Explicit Web プ ロキシ を有効に し ます。ネ ッ ト ワー ク上のユーザは、 HTTP と HTTPS、 FTP、 または SOCKS に対 し て プ ロキシ サーバを使 用する よ う に Web ブ ラ ウザを設定 し 、 プ ロキシ サーバの IP ア ド レ ス を そのネ ッ ト ワー ク に接 続 さ れた FortiGate イ ン タ フ ェ ースの IP ア ド レ スに設定 し ます。 ユーザはまた、 FortiGate ユ ニ ッ ト 上に格納 さ れた PAC フ ァ イルを使用 し て Web プ ロキシ設定を自動化する ために、 Web ブ ラ ウザに PAC URL を入力する こ と も で き ます。 WAN 最適化をサポー ト する FortiGate ユニ ッ ト では、明示的な プ ロキシの Web キ ャ ッ シ ュ を有 効にする こ と も で き ます。 Explicit Web プロキシを有効にするには 1 [System]、 [Network]、 [Interface] の順に選択 し 、 1 つ以上の FortiGate イ ン タ フ ェ ース の Explicit Web プ ロキシ を有効に し ます。 注意 : イ ン タ ーネ ッ ト に接続 さ れた イ ン タ フ ェ ース上で Explicit Web プ ロキシ を有効にす る と 、 そのプ ロキシ を見つけた イ ン タ ーネ ッ ト 上の任意のユーザがそれを使用 し て自分の 発信元ア ド レ ス を隠す こ と がで き るため、 セキ ュ リ テ ィ 上の リ ス クが発生 し ます。 2 [System]、 [Network]、 [Web Proxy] の順に選択 し ます。 [Enable Explicit Web Proxy] を選択 し 3 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し て、 [Source Interface/Zone] を [web-proxy] に設定 し ます。 4 Explicit Web プ ロキシ で処理 さ れる よ う に し たい ト ラ フ ィ ッ ク を受け付ける ために必要な フ ァ イ アウ ォ ール ポ リ シー を設定 し ます。 て、 Explicit Web プ ロキシ を有効に し ます。 このポリシーの発信元アドレスは、クライアントの発信元 IP アドレスに一致している必要 があります。このポリシーの宛先アドレスは、クライアントの接続先の Web サイトの IP ア ドレスに一致している必要があります。 Explicit Web プロキシに送信されたが、Web プロキシのファイアウォール ポリシーによっ て受け付けられないトラフィックは破棄されます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 117 Explicit Web プ ロキシの設定 シス テム - ネ ッ ト ワー ク 5 必要に応 じ て、 その他のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン を選択で き ます。 たとえば、Web プロキシ セッションに UTM 保護を適用したり、許可された Web プロキシ ト ラフィックをログに記録したりできます。 6 また、 Explicit Web プ ロキシ セ ッ シ ョ ンに認証を適用する ために [Enable Identity Based Policy] を選択する こ と も で き ます。 次のいくつかの認証オプションが使用できます。 ・ [IP Based] 認証では、 発信元 IP ア ド レ スによ る認証が適用 さ れます。 ユーザが認証 さ れ た後は、 その認証が タ イムアウ ト する ま で、 その IP ア ド レ スか ら Explicit Web プ ロキシ へのすべてのセ ッ シ ョ ンが受け付け られます。 ・ [IP Based] を選択 し ない場合は、 FortiGate ユニ ッ ト によ っ てセ ッ シ ョ ン単位の HTTP 認 証が適用 さ れます。 こ の認証はブ ラ ウザ ベースです。 ク ラ イ ア ン ト が、 Web プ ロキシ で 認証 さ れるためにブ ラ ウザにユーザ名 と パスワー ド を入力する と 、 こ れら の情報はその ブ ラ ウザに よ っ て格納 さ れます。 同 じ Web ブ ラ ウザに よ っ て開始 さ れる新 し い各セ ッ シ ョ ン も認証する必要があ り ますが、 こ れはブ ラ ウザによ っ て自動的に行われます。 こ の認証はブ ラ ウザ ベースであ るため、 同 じ IP ア ド レ ス を持つ複数のク ラ イ ア ン ト を 独自の資格情報を使用 し て プ ロキシ で認証で き ます。 HTTP 認証では、 同 じ 発信元 IP ア ド レ スか ら の複数のユーザ セ ッ シ ョ ンの認証が可能です。 こ の状況は、 各ユーザ と FortiGate ユニ ッ ト の間に NAT デバ イ スが存在する場合に発生する こ と があ り ます。 HTTP 認証はまた、 複数のユーザの間で 1 つの IP ア ド レ ス を共有する他の構成での認 証も サポー ト し ています。 こ れ ら には、 Citrix 製品や Windows タ ー ミ ナル サーバ、 その 他の同様の仮想化 ソ リ ュ ーシ ョ ンが含まれます。 7 ユーザ グループ ご と に異な る認証を適用 し た り 、 さ ら にはまたユーザ グループ ご と に異 な る UTM やロギングの設定を適用 し た り する ために、 複数の ID ベースのポ リ シーを追加 で き ます。 Explicit Web プロキシ設定の設定 Explicit Web プ ロキシ を設定するには、 [System]、 [Network]、 [Web Proxy] の順に選択 し ます。 [Web Proxy] ページ Explicit Web プ ロキシ と ト ラ ン スペア レ ン ト Web キ ャ ッ シ ュ を設定する ための各設定を提供 し ます。 [Explicit Web Proxy Options] セクション [Enable Explicit Web Proxy] HTTP/HTTPS、 FTP、 お よびプ ロキシ自動設定 PAC セ ッ シ ョ ン に対する Explicit Web プ ロ キシ サーバを有効に し ます。Explicit Web プ ロキシ でパケ ッ ト を受け付け た り 、 転送 し た り で き る よ う にす る には、 こ のオ プ シ ョ ン を選択す る必要があ り ます。 FTP と PAC は Web ブ ラ ウザか ら のみサポー ト さ れ、 ス タ ン ド ア ロ ンの ク ラ イ ア ン ト か ら はサポー ト さ れません ( た と えば、 ス タ ン ド ア ロ ンの FTP ク ラ イ ア ン ト は Explicit Web プ ロキシ サーバを使用で き ません )。 [Listen on Interfaces] Explicit Web プ ロ キ シ に よ っ て 監視 さ れ て い る イ ン タ フ ェ ー ス を 表示 し ま す。 VDOM が有効にな っ てい る場合は、 現在の VDOM に属 し 、 かつ Explicit Web プ ロ キシが有効に な っ てい る イ ン タ フ ェ ースのみが表示 さ れます。 VLAN が設定 さ れ ている イ ン タ フ ェ ース上で Web プ ロキシ を有効に し た場合、 それ ら の VLAN は、 手動で有効に し た場合にのみ Web プ ロキシ に対 し て有効にな り ます。 118 [HTTP Port] ク ラ イ ア ン ト の Web ブ ラ ウザか ら の HTTP ト ラ フ ィ ッ ク が明示的な プ ロ キシに接 続する ために使用する ポー ト 番号を入力 し ます。 デ フ ォ ル ト のポー ト 番号は 8080 です。 範囲は 0 ~ 65535 です。 明示的な プ ロ キシのユーザは、 こ のポー ト を使用 する よ う に Web ブ ラ ウザの HTTP プ ロ キシの設定を設定す る必要があ り ます。 [HTTPS Port] ク ラ イ ア ン ト の Web ブ ラ ウザか ら の HTTPS ト ラ フ ィ ッ ク が明示的な プ ロキシに 接続する ために使用する ポー ト 番号を入力 し ます。 範囲は 0 ~ 65535 です。 明示 的な プ ロキシのユーザは、 こ のポー ト を使用する よ う に Web ブ ラ ウザの HTTPS プ ロ キシの設定を設定する必要があ り ます。 0 のデ フ ォ ル ト 値は、 HTTP と 同 じ ポー ト を使用する こ と を示 し ます。 [FTP Port] ク ラ イ ア ン ト の Web ブ ラ ウザか ら の FTP ト ラ フ ィ ッ ク が明示的な プ ロ キシに接続 する ために使用する ポー ト 番号を入力 し ます。 範囲は 0 ~ 65535 です。 明示的な プ ロ キシのユーザは、こ のポー ト を使用する よ う に Web ブ ラ ウザの FTP プ ロキシ の設定を設定する必要があ り ます。 0 のデ フ ォ ル ト 値は、 HTTP と 同 じ ポー ト を使用する こ と を示 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク Explicit Web プ ロキシの設定 [PAC Port] ク ラ イ ア ン ト の Web ブ ラ ウザか ら の PAC ト ラ フ ィ ッ ク が明示的な プ ロ キシに接 続する ために使用する ポー ト を選択 し ます。 範囲は 0 ~ 65535 です。 明示的な プ ロキシのユーザは、 こ のポー ト を使用す る よ う に Web ブ ラ ウザの PAC プ ロキシ の設定を設定する必要があ り ます。 0 のデ フ ォ ル ト 値は、 HTTP と 同 じ ポー ト を使用する こ と を示 し ます。 [PAC File Content] PAC フ ァ イル内の内容を変更す る には、 こ のオ プ シ ョ ンの横にあ る [ 編集 ] ア イ コ ン を選択 し ます。 ま た、 こ のオ プ シ ョ ン を使用 し て PAC フ ァ イ ルを イ ン ポー ト する こ と も で き ます。 PAC フ ァ イ ルの最大サ イ ズは 8192 バ イ ト です。 ユーザのブ ラ ウザでサポー ト さ れてい る任意の PAC フ ァ イ ル構文を 使用で き ま す。 FortiGate ユニ ッ ト は PAC フ ァ イ ルを解析 し ません。 PAC を使用する には、 ユーザは、 Web ブ ラ ウザのプ ロキシ設定に自動プ ロキシ設 定 URL ( ま たは PAC URL) を追加す る必要があ り ます。 デ フ ォ ル ト の PAC フ ァ イ ルの URL は次の と お り です。 http://<interface_ip>:<PAC_port_int>/<pac_file_str> た と えば、 Explicit Web プ ロ キ シが設定 さ れた イ ン タ フ ェ ー スの IP ア ド レ スが 172.20.120.122 で、 PAC ポー ト が明示的な プ ロキシのデ フ ォ ル ト の HTTP ポー ト (8080) と 同 じ であ り 、 PAC フ ァ イ ル名が proxy.pac の場合、 PAC フ ァ イ ルの URL は次のよ う にな り ます。 http://172.20.120.122:8080/proxy.pac CLI か ら 、 次の コ マ ン ド を使用 し て PAC フ ァ イルの URL を表示で き ます。 get web-proxy explicit [Unknown HTTP version] プ ロ キシ サーバが不明な HTTP バージ ョ ンの要求または メ ッ セージ を処理す る必 要があ る場合に実行 さ れる ア ク シ ョ ン を選択 し ます。 [Reject] ま たは [Best Effort] か ら選択 し ます。 [Best Effort] を指定する と 、HTTP ト ラ フ ィ ッ ク を可能な限 り 処理 し よ う と し ます。 [Reject] を指定する と 、 既知の HTTP ト ラ フ ィ ッ ク を不正な形式 と し て扱い、 破棄 し ます。 [Reject] オプ シ ョ ンの方が安全です。 [Realm] Explicit Web プ ロキシ を識別す る ための認証領域を入力 し ます。 こ の領域には、 最 大 63 文字の任意のテキス ト 文字列を指定で き ます。領域に スペースが含まれてい る場合は、 引用符で囲みます。 ユーザが明示的なプロキシで認証される場合は、そのユーザの Web プロキシを領域で 明示的に識別できるように、 HTTP 認証のダイアログにこの領域が含まれます。 [Default Firewall Policy Action] Explicit Web プ ロ キシのための フ ァ イ ア ウ ォ ール ポ リ シーが追加 さ れていない場 合にセ ッ シ ョ ン を ブ ロ ッ ク ( 拒否 ) するか、 ま たは受け付け る よ う に Explicit Web プ ロ キシ を設定 し ます。Explicit Web プ ロキシのための フ ァ イ アウ ォ ール ポ リ シー を追加する には、 フ ァ イ アウ ォ ール ポ リ シー を追加 し 、 発信元 イ ン タ フ ェ ース を [web-proxy] に設定 し ます。 デ フ ォ ル ト 設定ま たは [Deny] を指定す る と 、 フ ァ イ ア ウ ォ ール ポ リ シー を追加 する前の Explicit Web プ ロキシへのア ク セ スがブ ロ ッ ク さ れます。こ のオプ シ ョ ン を [Accept] に設定す る と 、 フ ァ イ ア ウ ォ ール ポ リ シ ー を 定義 し て いな い場合で も 、 Explicit Web プ ロキシ サーバはセ ッ シ ョ ン を受け付けます。 [General Options] (Explicit Web プロキシおよびトランスペアレント Web キャッシュ ) セクション [Proxy FQDN] プ ロ キシ サーバの完全修飾 ド メ イ ン名 (FQDN) を入力 し ます。 こ れは、 こ のプ ロ キシ サーバにア ク セ スする と き に ブ ラ ウザに入力する ド メ イ ン名です。 [Max HTTP request length] HTTP 要求の最大の長 さ を入力 し ます。 こ れよ り 長い要求は拒否 さ れます。 [Max HTTP message length] HTTP メ ッ セージの最大の長 さ を入力 し ます。 こ れよ り 長い メ ッ セージは拒否 さ れます。 [Add headers to Web プ ロ キシ サーバは、 HTTP 要求を内部ネ ッ ト ワー ク に転送 し ます。 こ れ ら の Forwarded Requests] 要求に含まれている次のヘ ッ ダ を含める こ と がで き ます。 [Client IP Header] 元の HTTP 要求の Client IP ヘ ッ ダ を含める場合にオ ン に し ます。 [Via Header] 元の HTTP 要求の Via ヘ ッ ダ を含める場合にオ ン に し ます。 [X-forwarded-for Header] X-Forwarded-For (XFF) HTTP ヘ ッ ダ を含める場合にオ ン に し ます。 XFF HTTP ヘ ッ ダは、HTTP プ ロ キシ を介 し て接続 し ている Web ク ラ イ ア ン ト また はブ ラ ウザの発信元の IP ア ド レ ス と 、 こ のポ イ ン ト に到達する ま でに通過 し た リ モー ト ア ド レ ス を識別 し ます。 [Front-end HTTPS Header] 元の HTTPS 要求の Front-end HTTP ヘ ッ ダ を含める場合にオ ン に し ます。 ・ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 119 WCCP の設定 シス テム - ネ ッ ト ワー ク WCCP の設定 WCCP の設定はすべて、 CLI で設定 さ れます。 WCCP (Web Cache Communication Protocol) バー ジ ョ ン 2 の設定は、 Web ト ラ フ ィ ッ ク を最適化 し 、 それに よ っ て転送 コ ス ト と ダウ ン ロー ド 時 間を削減する ために設定 し ます。 コ ン ピ ュ ー タ 上の Web ク ラ イ ア ン ト が Web コ ン テ ン ツに対する要求を発行 し た場合、 WCCP は、 ロー カル ネ ッ ト ワー ク 上のルー タ が、 その Web コ ン テ ン ツ要求を ロー カル ネ ッ ト ワー ク 上の適切な Web キ ャ ッ シ ュ サーバに リ ダ イ レ ク ト で き る よ う に し ます。 Web キ ャ ッ シ ュ サー バに Web コ ン テ ン ツ要求内の情報が含まれている場合、 Web キ ャ ッ シ ュ サーバはその コ ン テ ン ツ を ロー カル ク ラ イ ア ン ト に直接送信 し ます。 Web キ ャ ッ シ ュ に要求 さ れた情報が含まれ ていない場合、 Web キ ャ ッ シ ュ サーバは HTTP 情報を ダウン ロー ド し てキ ャ ッ シ ュ し 、 それ を ロー カル ク ラ イ ア ン ト に送信 し ます。 ロー カル ク ラ イ ア ン ト は、 こ のキ ャ ッ シ ュが実行 さ れてい る こ と を認識 し ていません。 Web キ ャ ッ シ ュが機能するには、 HTTP 要求を Web キ ャ ッ シ ュ サーバに転送で き る 1 つ以上 のルー タ を介 し て ロー カル ネ ッ ト ワー ク ト ラ フ ィ ッ ク を転送す る必要があ り ます。 FortiGate ユニ ッ ト は、 WCCP バージ ョ ン 2 が有効なルー タ と し て機能 し 、 Web コ ン テ ン ツ要求を設定 さ れてい る Web キ ャ ッ シ ュ サーバに転送する こ と がで き ます。 Web キ ャ ッ シ ュ を使用する と 、 HTTP 要求のたびに リ モー ト の Web サイ ト にア ク セスする こ と がな く な る ため、 ダウ ン ロー ド 速度が向上 し ます。 また、 企業ネ ッ ト ワー ク がイ ン タ ーネ ッ ト 経由で送受信するデー タ 量が削減 さ れる ため、 コ ス ト も削減 さ れます。 WCCP を設定する ために使用 さ れる変数 と コ マ ン ド を次に示 し ます。 WCCP ク ラ イ ア ン ト の場合 : config system setting set wccp-cache-engine {enable | disable} end WCCP サービ スの場合 : config system wccp edit <service_id> set cache-id <ip_address> set group-address <ip_multicast_address> set router-list <ip_router_address> set authentication {enable | disable} set service-type {auto | standard | dynamic} set assignment-weight <weight_number> set assignment-bucket-form {cisco-implementation | wccp-v2} end ルーティング テーブル ( トランスペアレント モード ) FortiGate ユニ ッ ト が ト ラ ン スペア レ ン ト モー ド で動作 し てい る場合は、 [System]、 [Network]、 [Routing Table] の順に選択 し て、FortiGate ユニ ッ ト を通過する ト ラ フ ィ ッ ク のフ ローを制御す る ためのス タ テ ィ ッ ク ルー ト を追加で き ます。 注記 : NAT/ ル ー ト モ ー ド で は、 ス タ テ ィ ッ ク ル ー テ ィ ン グ テ ー ブ ルは [System]、 [Routing]、 [Static] の順に選択 し て表示 さ れるページにあ り ます。 [Routing Table] ページ 作成 し たすべてのス タ テ ィ ッ ク ルー ト を表示 し ます。 こ のページ では、 新 し いルー ト を編集、 削除、 ま たは作成する こ と がで き ます。 [Create New] 120 ト ラ ン スペア レ ン ト モー ド の新 し いス タ テ ィ ッ ク ルー ト を追加 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - ネ ッ ト ワー ク ルーテ ィ ング テーブル ( ト ラ ン スペア レ ン ト モー ド ) [IP/Mask] こ のルー ト の宛先 IP ア ド レ ス と ネ ッ ト マス ク 。 [Gateway] こ のルー ト が ト ラ フ ィ ッ ク を転送する先のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス。 イ ン タ ー ネ ッ ト 接続の場合は、 ネ ク ス ト ホ ッ プ ルー テ ィ ン グ ゲ ー ト ウ ェ イ が ト ラ フ ィ ッ ク を イ ン タ ーネ ッ ト にルーテ ィ ン グ し ます。 [Delete] ルー ト を削除 し ます。 [Edit] ルー ト を編集ま たは表示 し ます。既存のス タ テ ィ ッ ク ルー ト を編集す る場合は、[Edit Static Route] ページに自動的に リ ダ イ レ ク ト さ れます。 [Destination IP /Mask] 宛先 IP ア ド レ ス。 [New Static Route] ページ ス タ テ ィ ッ ク ルー ト を設定する ための各設定を提供 し ます。 既存のス タ テ ィ ッ ク ルー ト を編集する場合 は、 [Edit Static Route] ページに自動的に リ ダ イ レ ク ト さ れます。 [Destination IP/Netmask] 新 し いス タ テ ィ ッ ク ルー ト の IP ア ド レ ス と ネ ッ ト マ ス ク を入力 し ます。デ フ ォ ル ト ルー ト を作成する には、 IP と ネ ッ ト マ ス ク を 「0.0.0.0」 に設定 し ます。 [Gateway] ゲー ト ウ ェ イの IP ア ド レ ス を入力 し ます。 [Priority] こ のス タ テ ィ ッ ク ルー ト のプ ラ イ オ リ テ ィ の数値を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 121 ルーテ ィ ング テーブル ( ト ラ ン スペア レ ン ト モー ド ) 122 シス テム - ネ ッ ト ワー ク FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - 無線 FortiWiFi の無線インタフェース システム - 無線 こ の項では、 FortiWiFi ユニ ッ ト で無線 LAN イ ン タ フ ェ ース を設定す る方法について説明 し ま す。 こ の項のほ と んどの部分は、 すべての FortiWiFi ユニ ッ ト に適用で き ます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、 MAC フ ィ ル タ と 無線 モ ニ タ はバーチ ャ ル ド メ イ ン ご と に別々に設定 さ れます。 シ ス テム無線の設定はグロ ーバル に設定 さ れます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ FortiWiFi の無線 イ ン タ フ ェ ース ・ チ ャ ネル割 り 当て ・ 無線の設定 ・ 無線 MAC フ ィ ル タ ・ 無線モ ニ タ ・ 悪意のある AP の検出 FortiWiFi の無線インタフェース FortiWiFi ユニ ッ ト は、最大 4 つの無線イ ン タ フ ェ ース と 4 種類の SSID をサポー ト し ています。 各無線イ ン タ フ ェ ースの SSID は異な っ てい る必要があ り 、 各無線イ ン タ フ ェ ースには異な る セキ ュ リ テ ィ 設定を割 り 当て る こ と がで き ます。 無線 イ ン タ フ ェ ースの追加の詳細につい て は、 127 ページの 「無線イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 次の動作を行 う よ う に FortiWiFi ユニ ッ ト を設定で き ます。 ・ 無線ネ ッ ト ワー ク カ ー ド を備えた ク ラ イ ア ン ト が接続で き る ア ク セス ポ イ ン ト を提供す る。こ れはア ク セス ポ イ ン ト モー ド と 呼ばれ、デ フ ォ ル ト のモー ド です。すべての FortiWiFi ユニ ッ ト に、 最大 4 つの無線イ ン タ フ ェ ース を割 り 当て る こ と がで き ます。 または ・ FortiWiFi ユニ ッ ト を別の無線ネ ッ ト ワー ク に接続する。 こ れは ク ラ イ ア ン ト モー ド と 呼ば れます。 ク ラ イ ア ン ト モー ド で動作 し ている FortiWiFi ユニ ッ ト に も 、 無線イ ン タ フ ェ ース を 1 つだけ割 り 当て る こ と がで き ます。 または ・ 無線の範囲内にあ る ア ク セス ポ イ ン ト を監視する。 こ れは監視モー ド と 呼ばれます。 追跡 のために、 検出 さ れた ア ク セ ス ポ イ ン ト を [Accepted] ま たは [Rogue] と し て指定で き ま す。 こ のモー ド では、 ア ク セス ポ イ ン ト または ク ラ イ ア ン ト の動作はで き ません。 ただ し 、 ユニ ッ ト がア ク セス ポ イ ン ト モー ド にあ る と き に、バ ッ ク グ ラ ウ ン ド 動作 と し て監視を有 効にする こ と がで き ます。 FortiWiFi ユニ ッ ト は、 次の無線ネ ッ ト ワー ク 標準をサポー ト し ています。 ・ IEEE 802.11a (5 GHz 帯 ) ・ IEEE 802.11b (2.4 GHz 帯 ) ・ IEEE 802.11g (2.4 GHz 帯 ) ・ WEP64 お よび WEP128 WEP (Wired Equivalent Privacy) ・ 事前共有キーまたは RADIUS サーバを使用 し た Wi-Fi WPA (Wi-Fi Protected Access)、WPA2、 および WPA2 Auto FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 123 チャネル割り当て システム - 無線 チャネル割り当て 選択 さ れた無線プ ロ ト コ ル と 、 世界のどの地域にい るかに応 じ て、 特定のチ ャ ネルを使用で き ます。 [System]、 [Wireless]、 [Settings] の順に選択す る こ と によ っ て、 無線ネ ッ ト ワー クのチ ャ ネルを設定 し ます。 詳細については、 126 ページの 「無線の設定」 を参照 し て く だ さ い。 次の表は、サポー ト さ れている無線プ ロ ト コ ルご と の無線ネ ッ ト ワー クのチ ャ ネル割 り 当て を 示 し ています。 IEEE 802.11a のチャネル番号 表 10は、IEEE 802.11a無線標準をサポー ト する FortiWiFi製品でサポー ト さ れてい る IEEE 802.11a チ ャ ネルを示 し ています。 802.11a は、 FortiWiFi-60B ユニ ッ ト でのみ使用で き ます。 ア メ リ カ を除き、 すべてのチ ャ ネルが屋内使用に制限 さ れています。 ア メ リ カの場合、 米国で はチ ャ ネル 52 ~ 64 について屋内使用 と 屋外使用の両方が許可 さ れています。 表 10: IEEE 802.11a (5 GHz 帯 ) のチャネル番号 チャネル 番号 周波数 (MHz) 34 5170 36 5180 38 5190 40 5200 42 5210 44 5220 46 5230 48 規制地域 アメリカ ヨーロッパ 台湾 シンガポール 日本 ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ 5240 ・ ・ 52 5260 ・ ・ ・ 56 5280 ・ ・ ・ 60 5300 ・ ・ ・ 64 5320 ・ ・ ・ 149 5745 153 5765 157 5785 161 5805 ・ ・ ・ IEEE 802.11b のチャネル番号 表 11 は、 IEEE 802.11b チ ャ ネルを示 し ています。 すべての FortiWiFi ユニ ッ ト が 802.11b をサ ポー ト し ています。 メ キシ コ は、 ア メ リ カ規制 ド メ イ ンに含まれています。 チ ャ ネル 1 ~ 8 は、 屋内使用のみ可能 です。 チ ャ ネル 9 ~ 11 は、 屋内および屋外で使用で き ます。 チ ャ ネル番号が メ キシ コ の規制 標準に準拠 し てい る こ と を確認する必要があ り ます。 124 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - 無線 チャネル割り当て 表 11: IEEE 802.11b (2.4 GHz 帯 ) のチャネル番号 チャネル 番号 周波数 (MHz) 規制地域 アメリカ EMEA 1 2412 ・ ・ ・ 2 2417 ・ ・ ・ 3 2422 ・ ・ ・ 4 2427 ・ ・ ・ ・ 5 2432 ・ ・ ・ ・ 6 2437 ・ ・ ・ ・ 7 2442 ・ ・ ・ ・ 8 2447 ・ ・ ・ ・ 9 2452 ・ ・ ・ ・ 10 2457 ・ ・ ・ ・ 11 2462 ・ ・ ・ 12 2467 ・ ・ 13 2472 ・ ・ 14 2484 イスラエル 日本 ・ IEEE 802.11g のチャネル番号 表 12 は、 IEEE 802.11b チ ャ ネルを示 し ています。 すべての FortiWiFi 製品が 802.11g をサポー ト し ています。 表 12: IEEE 802.11g (2.4 GHz 帯 ) のチャネル番号 チャネ ル番号 周波数 (MHz) 規制地域 アメリカ EMEA CCK ODFM CCK ODFM イスラエル 日本 CCK CCK ODFM ODFM 1 2412 ・ ・ ・ ・ ・ ・ 2 2417 ・ ・ ・ ・ ・ ・ 3 2422 ・ ・ ・ ・ ・ ・ 4 2427 ・ ・ ・ ・ ・ ・ 5 2432 ・ ・ ・ ・ ・ ・ ・ ・ 6 2437 ・ ・ ・ ・ ・ ・ ・ ・ 7 2442 ・ ・ ・ ・ ・ ・ ・ ・ 8 2447 ・ ・ ・ ・ ・ ・ ・ ・ 9 2452 ・ ・ ・ ・ ・ ・ 10 2457 ・ ・ ・ ・ ・ ・ 11 2462 ・ ・ ・ ・ ・ ・ 12 2467 ・ ・ ・ ・ 13 2472 ・ ・ ・ ・ 14 2484 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ・ 125 無線の設定 システム - 無線 無線の設定 FortiWiFi ユニ ッ ト には、 デ フ ォ ル ト で、 wlan と い う 名前の 1 つの無線イ ン タ フ ェ ースが含まれ ています。 FortiWiFi ユニ ッ ト を ア ク セス ポ イ ン ト モー ド で動作 さ せてい る場合は、 最大 3 つ の仮想無線 イ ン タ フ ェ ース を追加で き ます。すべての無線イ ン タ フ ェ ースが同 じ 無線パ ラ メ ー タ を使用 し ます。 つま り 、 無線の設定を 1 回設定する と 、 すべての無線イ ン タ フ ェ ースが こ れ らの設定を使用 し ます。 無線イ ン タ フ ェ ースの追加の詳細については、 127 ページの 「無線イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 FortiWiFi ユニットをクライアント モードで動作させている場合、 無線の設定は設定できません。 無線の設定を設定するには、 [System]、 [Wireless]、 [Settings] の順に選択 し ます。 [Wireless Parameters] ページ 無線パ ラ メ ー タ を設定す る ための各設定を 提供 し ます。 こ のページ ではま た、 動作モ ー ド を変更す る こ と も で き ます。 モー ド を変更する と 、 一部の設定が非表示にな り ます。 た と えば、 ク ラ イ ア ン ト モー ド では、 ア ク セ ス ポ イ ン ト では使用で き た設定 ([Band] な ど ) を表示で き ません。 監視モー ド にあ る場合 は、 [Operation Mode] のみが使用で き ます。 [Operation Mode] 動作 モ ー ド を 切 り 替え る には、 [Change] を 選択 し ま す。 [Change] を 選択す る と 、 [Change operation mode for wireless] ページに自動的に リ ダ イ レ ク ト さ れます。 [Access Point] ― FortiWiFi ユニ ッ ト は、無線ネ ッ ト ワー ク に接続 し て情報を送受信 す る無線ユーザのためのア ク セ ス ポ イ ン ト と し て機能 し ます。 複数の無線ネ ッ ト ワー ク ユーザが、 物理的に接続する こ と な く ネ ッ ト ワー ク に ア ク セ ス で き る よ う に し ます。 FortiWiFi ユニ ッ ト は内部ネ ッ ト ワー ク に接続 し た り 、 イ ン タ ーネ ッ ト に 対す る フ ァ イ アウ ォ ール と し て機能 し た り す る こ と がで き ます。 [Client] ― FortiWiFi ユニ ッ ト は、別のア ク セ ス ポ イ ン ト か ら 転送を受信す る よ う に 設定 さ れます。 こ れに よ り 、 無線プ ロ ト コ ルを使用 し て、 リ モー ト ユーザを既存 のネ ッ ト ワー ク に接続で き ます。 [Monitoring] ― 他のア ク セ ス ポ イ ン ト を スキ ャ ン し ます。 こ れ ら のア ク セ ス ポ イ ン ト は [Rogue AP] リ ス ト に表示 さ れます。 130 ページの 「悪意のあ る AP の検出」 を参照 し て く だ さ い。 注記 : 仮想無線 イ ン タ フ ェ ース を追加 し てい る場合は、 ク ラ イ ア ン ト モー ド ま た は監視モー ド に切 り 替え る こ と がで き ません。 こ れ らのモー ド では、 1 つの無線 イ ン タ フ ェ ース (wlan) し か存在で き ません。 [Band] 無線周波数帯 を 選択 し ま す。 無線ネ ッ ト ワー ク の使用が制限 さ れ る こ と があ る た め、 ユーザがどの よ う な無線 カ ー ド ま たはデバ イ ス を 用意 し てい るかに注意 し て く だ さ い。 た と えば、 FortiWiFi ユニ ッ ト で 802.11g を設定 し た と き に、 ユーザのデ バイ スが 802.11b であ る場合、 そのユーザは無線ネ ッ ト ワー ク を使用で き ない可能 性があ り ます。 [Geography] 国または地域を選択します。 これにより、 使用可能なチャネルが決定されます。 チャネ ルの情報については、 124 ページの 「チ ャ ネル割 り 当て」 を参照してください。 [Channel] 無線ネ ッ ト ワー ク のチ ャ ネル を選択するか、 ま たは [Auto] を選択 し ます。 選択で き る チ ャ ネルは、 [Geography] の設定に よ っ て異な り ます。 チ ャ ネルの情報につい ては、 124 ページの 「チ ャ ネル割 り 当て」 を参照 し て く だ さ い。 [Tx Power] 送信機の出力 レ ベルを 設定 し ます。 こ の数値が大 き いほど、 FortiWiFi がブ ロ ー ド キ ャ ス ト する領域が広 く な り ます。無線信号を小 さ な領域に保持 し たい場合は、小 さ な数値を入力 し ます。 [Beacon Interval] ビー コ ン パケ ッ ト 間の間隔を設定 し ます。 ア ク セ ス ポ イ ン ト は、 無線ネ ッ ト ワー ク の同期を と る ために、 ビー コ ン ま たは TIM (Traffic Indication Messages) を ブ ロ ー ド キ ャ ス ト し ます。 大きな値を指定すると、 送信されるビーコンの数が減ります。 ただし、 ビーコン パケッ トを受け取れない一部の無線クライアントの接続が遅れることがあります。 こ の値を 小 さ く す る と 、 送信 さ れ る ビ ー コ ンの数が増え ます。 こ れに よ っ て、 無 線 ネ ッ ト ワ ー ク を よ り すばや く 見つ け て 接続 で き る よ う に な り ま すが、 必要 な オーバーヘ ッ ド が増え る ため、 スループ ッ ト が低下 し ます。 [Background Rogue ユニ ッ ト がア ク セ ス ポ イ ン ト モー ド にあ る と き に、 監視モー ド のスキ ャ ン機能を 実行 し ます。 スキ ャ ンは、 ア ク セ ス ポ イ ン ト がア イ ド ル状態の と き に実行 さ れま AP Scan] す。 こ のスキ ャ ンは、 すべての無線チ ャ ネルを対象に し ています。 ア ク セ ス ポ イ ン ト がビ ジー状態の場合は、 バ ッ ク グ ラ ウ ン ド スキ ャ ン に よ っ てパ フ ォ ーマ ン ス が低下する こ と があ り ます。 130 ページの 「悪意のあ る AP の検出」 を参照 し て く だ さ い。 126 [Interface] こ の無線 イ ン タ フ ェ ースの名前。 無線 イ ン タ フ ェ ースの設定 を 変更す る には、 イ ン タ フ ェ ース名を選択 し ます。 ア ク セ ス ポ イ ン ト モー ド で無線 イ ン タ フ ェ ース を 追加する には、 127 ページの 「無線 イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 [MAC Address] こ の無線 イ ン タ フ ェ ースの MAC ア ド レ ス。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - 無線 無線の設定 [SSID] こ の無線 イ ン タ フ ェ ー スの無線 SSID (Service Set Identifier) ま たはネ ッ ト ワ ー ク 名。 通信する には、 ア ク セ ス ポ イ ン ト と ク ラ イ ア ン ト は同 じ SSID を使用する必要 があ り ます。 [SSID Broadcast] 緑色のチ ェ ッ ク マー ク ア イ コ ンは、 こ の無線 イ ン タ フ ェ ースが固有の SSID を ブ ロー ド キ ャ ス ト す る こ と を示 し ます。 SSID を ブ ロ ー ド キ ャ ス ト する と 、 ク ラ イ ア ン ト は、 最初に SSID がわか ら な く て も 無線ネ ッ ト ワー ク に接続で き る よ う にな り ます。 こ の列は、 ア ク セ ス ポ イ ン ト モー ド でのみ表示 さ れます。 [Security Mode] こ の無線 イ ン タ フ ェ ースのセキ ュ リ テ ィ モー ド 。 こ れ ら のモー ド については、 127 ページの 「無線イ ン タ フ ェ ースの追加」 の 「Security Mode」 を参照 し て く だ さ い。 ア ク セ ス ポ イ ン ト モ ー ド : [WEP64]、 [WEP128]、 [WPA]、 [WPA2]、 [WPA2 Auto]、 ま たは [None]。 ク ラ イ ア ン ト モー ド : [WEP64]、 [WEP128]、 [WPA]、 ま たは [None]。 注記 : ク ラ イ ア ン ト モ ー ド の [WPA] セ キ ュ リ テ ィ で は、 FortiWiFi ユ ニ ッ ト は [WPA2] セキ ュ リ テ ィ を使用 し て接続 し よ う と し ま す。 こ れが失敗す る と 、 [WPA] セキ ュ リ テ ィ を使用 し て再試行 し ます。 無線インタフェースの追加 ア ク セス ポ イ ン ト には、 最大 3 つの仮想無線イ ン タ フ ェ ース を追加で き ます。 こ れ らの追加 の イ ン タ フ ェ ースは、 WLAN イ ン タ フ ェ ースの [Band]、 [Geography]、 [Channel]、 [Tx Power]、 および [Beacon Interval] に対 し て設定 さ れた同 じ 無線パ ラ メ ー タ を共有 し ます。 各無線イ ン タ フ ェ ースに固有の SSID が割 り 当て ら れてい る こ と を確認 し て く だ さ い。 注記 : FortiWiFi ユニ ッ ト がク ラ イ ア ン ト モー ド または監視モー ド にある と きは、 無線イ ン タ フ ェ ース を追加で き ません。 [New Interface] ページの [Wireless Settings] セクション [SSID] こ の無線 イ ン タ フ ェ ースの無線 SSID (Service Set Identifier) ま たはネ ッ ト ワー ク 名を 入力 し ます。 無線ネ ッ ト ワー ク を使用するユーザは、 自分の コ ン ピ ュ ー タ に こ のネ ッ ト ワー ク 名を設定す る必要があ り ます。 [SSID Broadcast] SSID を ブ ロ ー ド キ ャ ス ト する場合に選択 し ます。SSID を ブ ロ ー ド キ ャ ス ト する と 、ク ラ イ ア ン ト は、 最初に SSID がわか ら な く て も 無線ネ ッ ト ワー ク に接続で き る よ う に な り ます。 セキ ュ リ テ ィ を向上 さ せる には、 SSID を ブ ロー ド キ ャ ス ト し ないで く だ さ い。 イ ン タ フ ェ ースがブ ロ ー ド キ ャ ス ト し ない場合、 不審なユーザが こ の無線ネ ッ ト ワー ク に接続する可能性は低 く な り ます。SSID を ブ ロー ド キ ャ ス ト し ない こ と を選択 し た場合は、 ユーザが無線デバ イ ス を設定で き る よ う に、 各ユーザに SSID を通知す る必要があ り ます。 [Security Mode] この無線インタフェースのセキュリティ モードを選択します。 この無線インタフェースに接続 するには、 無線ユーザは同じセキュリティ モードを使用する必要があります。 [None] ― セ キ ュ リ テ ィ が設定 さ れ ません。 すべての無線ユーザが こ の無線ネ ッ ト ワー ク に接続で き ます。 [WEP64] ― 64 ビ ッ ト WEP (Web Equivalent Privacy)。WEP64 を使用する には、10 個の 16 進数 (0 ~ 9、 a ~ f) を含むキー を入力 し 、 そのキーを無線ユーザに通知する必要があ り ます。 [WEP128] ― 128 ビ ッ ト WEP。WEP128 を使用する には、26 個の 16 進数 (0 ~ 9、a ~ f) を含むキー を入力 し 、 そのキーを無線ユーザに通知する必要があ り ます。 [WPA] ― Wi-Fi WPA (Wi-Fi Protected Access) セキ ュ リ テ ィ 。 WPA を 使用す る には、 デー タ 暗号化の方法を選択する必要があ り ます。 ま た、 少な く と も 8 文字を含む事前 共有キー を入力するか、 ま たは RADIUS サーバを 選択す る こ と も 必要です。 RADIUS サーバを選択 し た場合は、 その RADIUS サーバ上に無線 ク ラ イ ア ン ト のア カ ウ ン ト が 存在す る必要があ り ます。 [WPA2] ― セキ ュ リ テ ィ 機能が向上 し た WPA。 WPA2 を使用する には、 デー タ 暗号化 の方法 を 選択 し た後、 少な く と も 8 文字 を 含む事前共有キー を入力す るか、 ま たは RADIUS サーバを選択す る必要があ り ます。 RADIUS サーバを 選択 し た場合は、 その RADIUS サーバ上に無線 ク ラ イ ア ン ト のア カ ウ ン ト が存在す る必要があ り ます。 [WPA2 Auto] ― セキュリティ機能は WPA2と同じですが、[WPA] セキュリティを使用してい る無線クライアントも受け付けます。 WPA2 Auto を使用するには、 データ暗号化の方法を 選択する必要があります。 また、 少なくとも 8 文字を含む事前共有キーを入力するか、 ま たは RADIUS サーバを選択することも必要です。 RADIUS サーバを選択した場合は、 その RADIUS サーバ上に無線クライアントのアカウントが存在する必要があります。 [Key] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク セキ ュ リ テ ィ キー を入力 し ます。こ の フ ィ ール ド は、[WEP64] ま たは [WEP128] セキ ュ リ テ ィ を選択 し た場合に表示 さ れます。 127 無線 MAC フィルタ システム - 無線 [Data Encryption] WPA、WPA2、 ま たは WPA2 Auto で使用 さ れるデー タ 暗号化の方法を選択 し ます。TKIP (Temporal Key Integrity Protocol) を使用する には、[TKIP] を選択 し ます。AES (Advanced Encryption Standard) 暗号化を使用する には、 [AES] を選択 し ます。 AES は、 TKIP よ り 安全 と 見な さ れています。 WPA の一部の実装では、 AES がサポー ト さ れていない可能 性があ り ます。 [Pre-shared Key] 事前共有キー を入力 し ます。 こ の フ ィ ール ド は、 [WPA]、 [WPA2]、 または [WPA2 Auto] セキ ュ リ テ ィ を選択 し た場合に表示 さ れます。 [RADIUS Server] [WPA] または [WPA2] セキ ュ リ テ ィ の選択時に RADIUS サーバを使用す る場合に選択 し ます。 WPA Radius ま たは WPA2 Radius セキ ュ リ テ ィ を使用する と 、 無線ネ ッ ト ワー ク 構成を RADIUS サーバま たは Windows AD サーバ と 統合で き ます。リ ス ト か ら RADIUS サーバ名を選択 し ます。 [User]、 [RADIUS] の順に選択する こ と に よ っ て、 RADIUS サー バを設定する必要があ り ます。 詳細については、 449 ページの 「RADIUS」 を参照 し て く だ さ い。 [RTS Threshold] RTS (Request to Send) の し き い値を設定 し ます。 RTS の し き い値は、 FortiWiFi が送信側の無線デバ イ スに RTS/CTS パケ ッ ト を送信す る こ と な く 受け付け るパケ ッ ト の最大サ イ ズ ( バ イ ト 単位 ) です。場合に よ っ ては、大 き なパケ ッ ト の送信に よ っ て衝突が発生 し 、 デー タ の転送が遅延す る こ と があ り ま す。 こ の値を デ フ ォ ル ト の 2346 か ら 変更す る こ と に よ っ て、 事実上、 送信側の無線 デバイ スが大き な転送を送信する前に ク リ ア を求める よ う に FortiWiFi ユニ ッ ト を設定 で き ます。 引 き続き小 さ なパケ ッ ト が衝突す る リ ス ク は存在 し ますが、 こ の確率は低 く な り ます。 2346 バイ ト を設定する と 、 事実上 こ のオプ シ ョ ンは無効にな り ます。 [Fragmentation Threshold] 小 さ なパケ ッ ト に分割 さ れないデー タ パケ ッ ト の最大サ イ ズ を設定す る こ と に よ り 、 パケ ッ ト 衝突の可能性を減 ら し ます。パケ ッ ト が こ の し き い値よ り 大き い と 、FortiWiFi ユ ニ ッ ト は転送 を 断片化 し ま す。 パ ケ ッ ト サ イ ズが こ の し き い 値 よ り 小 さ い と 、 FortiWiFi ユニ ッ ト は転送を断片化 し ません。 2346 バイ ト を設定する と 、 事実上 こ のオプ シ ョ ンは無効にな り ます。 無線インタフェースを追加するには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 以下の設定を行います。 4 [Name] こ の無線 イ ン タ フ ェ ー ス の名前 を 入力 し ま す。 こ の名前 を 既存の イ ン タ フ ェ ース、 ゾーン、 または VDOM と 同 じ にする こ と はで き ません。 [Type] [Wireless] を選択 し ます。 [Address Mode] こ の無線 イ ン タ フ ェ ースは、 手動のア ド レ ス と し てのみ設定で き ます。 有効 な IP ア ド レ ス と ネ ッ ト マ ス ク を入力 し ます。 FortiWiFi が ト ラ ン スペア レ ン ト モー ド で動作 し ている場合、こ の フ ィ ール ド は表示 さ れません。 こ の イ ン タ フ ェ ースは、 他の イ ン タ フ ェ ース と 同 じ サブ ネ ッ ト 上に配置 さ れます。 [Administrative Access] こ の イ ン タ フ ェ ースの管理ア ク セ ス を設定 し ます。 [Wireless Settings] セ ク シ ョ ン で、 必要な情報を入力 し て [OK] を選択 し ます。 無線 MAC フィルタ 無線ネ ッ ト ワー クのセキ ュ リ テ ィ を向上 さ せるために、 FortiWiFi ユニ ッ ト 上で MAC ア ド レ ス フ ィ ル タ リ ング を有効にする こ と がで き ます。 MAC ア ド レ ス フ ィ ル タ リ ング を有効にする こ と に よ り 、 シ ス テムの MAC ア ド レ スに基づいてネ ッ ト ワー ク にア ク セスで き る無線デバ イ ス が定義 さ れます。 あるユーザが無線ネ ッ ト ワー ク にア ク セス し よ う と する と 、 FortiWiFi ユニ ッ ト は、 そのユーザの MAC ア ド レ ス を作成 さ れている リ ス ト と 照合 し ます。 MAC ア ド レ スが承 認 さ れた リ ス ト に記載 さ れてい る と 、 そのユーザはネ ッ ト ワー ク へのア ク セス を取得 し ます。 ユーザがその リ ス ト に記載 さ れていない場合、 そのユーザは拒否 さ れます。 必要に応じて、 拒否リストを作成できます。 許可リストと同様に、 MAC アドレス リストに記載されて いる接続を除く、 すべての接続を許可するように無線インタフェースを設定できます。 128 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - 無線 無線モニタ MAC ア ド レ ス フ ィ ル タ リ ング を使用する と 、 ラ ン ダムな MAC ア ド レ ス を使用するか、 または MAC ア ド レ ス を ス プー フ ィ ング し ているハ ッ カ ーがネ ッ ト ワー ク へのア ク セス を取得す る こ と は困難にな り ます。 WLAN イ ン タ フ ェ ースあた り 1 つの リ ス ト し か設定で き ない こ と に注意 し て く だ さ い。 無線 ク ラ イ ア ン ト への無線ア ク セス を、 その ク ラ イ ア ン ト の無線カー ド の MAC ア ド レ スに基 づいて許可または拒否するには、 [System]、 [Wireless]、 [MAC Filter] の順に選択 し ます。 MAC フィルタ リストの管理 MAC フ ィ ル タ リ ス ト を使用する と 、 無線イ ン タ フ ェ ースに追加 し た MAC ア ド レ ス と そのス テー タ ス ( 許可または拒否のど ち らか ) を表示で き ます。 また、 MAC フ ィ ル タ リ ス ト を編集 し た り 、 管理 し た り する こ と も で き ます。 変更対象の既存の MAC ア ド レ ス を変更するには、 [MAC Filter Settings] ページにあ る設定を使 用 し ます。 [MAC Filter] ページ 無線 イ ン タ フ ェ ースに追加 し た MAC ア ド レ ス ( そのス テー タ ス を含む ) を表示 し ます。MAC ア ド レ ス を 編集する場合は、 [MAC Filter Settings] ページに自動的に リ ダ イ レ ク ト さ れます。 [Interface] こ の無線 イ ン タ フ ェ ースの名前。 [MAC address] こ の無線 イ ン タ フ ェ ースの MAC フ ィ ル タ リ ス ト 内の MAC ア ド レ スの リ ス ト 。 [List Access] こ の無線 イ ン タ フ ェ ースの リ ス ト さ れてい る MAC ア ド レ スへのア ク セ ス を許可 ま たは拒否 し ます。 [Enable] こ の無線 イ ン タ フ ェ ースに対する MAC フ ィ ル タ リ ン グ を有効にする場合に選択 し ます。 [Edit] イ ン タ フ ェ ースの MAC ア ド レ ス リ ス ト を編集 し ます。[Edit] を選択す る と 、[MAC Filter Settings] ページに自動的に リ ダ イ レ ク ト さ れます。 [MAC Filter Settings] ページ 無線 イ ン タ フ ェ ースに追加 し た既存の MAC ア ド レ ス を変更する ための設定を提供 し ます。 [List Access] MAC ア ド レ ス リ ス ト 内のア ド レ スか らの こ の無線ネ ッ ト ワー ク へのア ク セ ス を 許可ま たは拒否す る場合に選択 し ます。 [MAC Address] リ ス ト に追加する MAC ア ド レ ス を入力 し ます。 [Add] 入力 し た MAC ア ド レ ス を リ ス ト に追加 し ます。 [Remove] リ ス ト 内の 1 つ以上の MAC ア ド レ ス を選択 し 、 [Remove] を選択 し て、 それ ら の MAC ア ド レ ス を リ ス ト か ら 削除 し ます。 無線モニタ 無線ネ ッ ト ワー ク に関する情報を表示するには、 [System]、 [Wireless]、 [Monitor] の順に選択 し ます。 ア ク セス ポ イ ン ト モー ド では、 無線 LAN に接続 し ているユーザを表示で き ます。 ク ラ イ ア ン ト モー ド では、 無線の範囲内に存在する ア ク セス ポ イ ン ト を表示で き ます。 [Monitor] ページ 無線イ ン タ フ ェ ース と 、 現在ア ク テ ィ ブ な ク ラ イ ア ン ト ま たは隣接機器を表示 し ます。 こ れ ら の情 報はグループ化 さ れ、 こ のページ内の独自のセ ク シ ョ ン に配置 さ れています。 [Statistics] セクション 各無線 イ ン タ フ ェ ースの無線のパ フ ォ ーマ ン スに関す る統計情報。 [AP Name / Name] こ の無線 イ ン タ フ ェ ースの名前。 [Frequency] こ の無線 イ ン タ フ ェ ースが動作 し てい る周波数。802.11a イ ン タ フ ェ ー スの場合は約 5 GHz、 802.11b お よ び 802.11g ネ ッ ト ワー ク の場合は約 2.4 GHz です。 [Signal Strength (dBm)] ク ラ イ ア ン ト か ら の信号の強度。 [Noise (dBm)] 受信 さ れた ノ イ ズ レ ベル。 [S/N (dB)] 信号強度 と ノ イ ズ レ ベルか ら計算 さ れた信号対雑音比 (デシベル値)。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 129 悪意のある AP の検出 システム - 無線 [Rx (KBytes)] こ のセ ッ シ ョ ン で受信 さ れたデー タ 量 (KB 単位 )。 [Tx (KBytes)] こ のセ ッ シ ョ ン で送信 さ れたデー タ 量 (KB 単位 )。 [Clients list] セクション (AP モード ) こ の FortiWiFi ユニ ッ ト ア ク セ ス ポ イ ン ト に到達で き る ク ラ イ ア ン ト 無線デバ イ スに関する リ アル タ イ ムの詳細。 同 じ 無線帯域にあ る デバ イ スのみが表示 さ れます。 [MAC Address] 接続 さ れた無線 ク ラ イ ア ン ト の MAC ア ド レ ス。 [IP Address] 接続 さ れた無線 ク ラ イ ア ン ト に割 り 当て ら れた IP ア ド レ ス。 [AP Name] こ の ク ラ イ ア ン ト が接続 さ れてい る無線 イ ン タ フ ェ ースの名前。 [Neighbor AP list] セクション ( クライアント モード ) こ のク ラ イ ア ン ト が受信で き る ア ク セ ス ポ イ ン ト に関する リ アル タ イ ムの詳細。 [MAC Address] 接続 さ れた無線 ク ラ イ ア ン ト の MAC ア ド レ ス。 [SSID] こ の ア ク セ ス ポ イ ン ト が ブ ロ ー ド キ ャ ス ト す る 無線 SSID (Service Set Identifier)。 [Channel] こ のア ク セ ス ポ イ ン ト が使用 し てい る無線チ ャ ネル。 [Rate (M)] こ のア ク セ ス ポ イ ン ト のデー タ レ ー ト (M ビ ッ ト / 秒単位 )。 [RSSI] 受信 さ れた信号強度の表示。0 (最小) ~ 255 (最大) の相対的な値です。 悪意のある AP の検出 悪意のあ る ア ク セス ポ イ ン ト の検出をサポー ト し てい る モデルでは、 使用可能な無線ア ク セ ス ポ イ ン ト を スキ ャ ンする ために監視モー ド を選択で き ます。 また、 ユニ ッ ト がア ク セス ポ イ ン ト モー ド にあ る と き に、 バ ッ ク グ ラ ウ ン ド でのスキ ャ ン を有効にする こ と も で き ます。 監視モードを有効にするには 1 2 3 4 5 [System]、 [Wireless]、 [Settings] の順に選択 し ます。 現在の動作モー ド の横にある [Change] を選択 し ます。 [Monitoring] を選択 し 、 [OK] を選択 し ます [OK] を選択 し て、 モー ド の変更を確認 し ます。 [Apply] を選択 し ます。 バックグラウンド スキャンを有効にするには ア ク セス ポ イ ン ト モー ド にあ る と き に、 [System]、 [Wireless]、 [Settings] の順に選択 し ます。 2 [Background Rogue AP Scan] を有効に し て、 [Apply] を選択 し ます。 1 無線アクセス ポイントの表示 ア ク セス ポ イ ン ト は、 [Accepted] または [Rogue] のど ち ら かのア ク セス ポ イ ン ト と し てマー ク する まで [Unknown Access Points] リ ス ト に表示 さ れます。 こ の指定は、 ア ク セス ポ イ ン ト の追跡に役立ち ます。 ただ し 、 他のユーザが こ れ ら のア ク セス ポ イ ン ト を使用で き るかど う かには影響を与え ません。 検出 さ れた ア ク セ ス ポ イ ン ト を表示す る には、 [System]、 [Wireless]、 [Rogue AP] の順に選択 し ます。 こ の機能は、 監視モー ド 、 または [Background Rogue AP Scan] が有効にな っ たア ク セ ス ポ イ ン ト モー ド で使用で き ます。 [Rogue AP] ページ ア ク テ ィ ブ な状態にあ る検出 さ れた ア ク セ ス ポ イ ン ト を表示 し ます。 130 [Refresh Interval] 情報更新の間隔を設定 し ます。 [none] は、 更新 し ない こ と を示 し ます。 [Refresh] 現在表示 さ れてい る情報を更新 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - 無線 悪意のある AP の検出 [Inactive Access Points] ア ク テ ィ ブ で ないどのア ク セ ス ポ イ ン ト を表示するかを、 すべて、 な し 、 過 去 1 時間以内に検出 さ れたア ク セ ス ポ イ ン ト 、 過去 1 日以内に検出 さ れた ア ク セ ス ポ イ ン ト か ら 選択 し ます。 [Online] 緑色のチ ェ ッ ク マー ク は、 ア ク テ ィ ブ な ア ク セ ス ポ イ ン ト を示 し ます。 灰色 の X は、 こ のア ク セ ス ポ イ ン ト がア ク テ ィ ブ で ない こ と を示 し ます。 [SSID] こ の無線 イ ン タ フ ェ ースの無線SSID (Service Set Identifier) ま たはネ ッ ト ワー ク名。 [MAC Address] こ の無線 イ ン タ フ ェ ースの MAC ア ド レ ス。 [Signal Strength /Noise] 信号強度 と ノ イ ズ レ ベル。 [Channel] こ のア ク セ ス ポ イ ン ト が使用 し ている無線チ ャ ネル。 [Rate] こ のア ク セ ス ポ イ ン ト のデー タ レ ー ト 。 [First Seen] FortiWiFi ユニ ッ ト が こ のア ク セ ス ポ イ ン ト を最初に検出 し た日付 と 時刻。 [Last Seen] FortiWiFi ユニ ッ ト が こ のア ク セ ス ポ イ ン ト を最後に検出 し た日付 と 時刻。 [Mark as 'Accepted AP'] こ のエ ン ト リ を [Accepted Access Points] リ ス ト に移動する には、こ のア イ コ ン を選択 し ます。 [Mark as 'Rogue AP'] こ のエ ン ト リ を [Rogue Access Points] リ ス ト に移動する には、 こ のア イ コ ン を選択 し ます。 [Forget AP] 項目を [Accepted Access Points] リ ス ト ま たは [Rogue Access Points] リ ス ト か ら [Unknown Access Points] リ ス ト に戻 し ます。 また、 最初に各 AP を検出する こ と な く 、 受け付け る AP と 悪意のある AP に関する情報を CLI で入力する こ と も で き ます。 『FortiGate CLI リ フ ァ レ ン ス 』 にあ る system wireless apstatus コ マ ン ド を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 131 悪意のある AP の検出 132 システム - 無線 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - DHCP サーバ FortiGate DHCP サーバおよびリレー システム - DHCP サーバ こ の項では、 DHCP を使用 し て、 ク ラ イ ア ン ト のネ ッ ト ワー ク 構成を自動で容易に行 う 方法に ついて説明 し ます。 DHCP は、 ト ラ ン スペア レ ン ト モー ド では使用で き ません。 DHCP 要求は、 ト ラ ン スペア レ ン ト モー ド にある FortiGate ユニ ッ ト を通過 し ます。 FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ン (VDOM) を有効に し た場合、 DHCP はバーチ ャ ル ド メ イ ン ご と に別々に設定 さ れます。 詳細については、 73 ページの 「バーチ ャル ド メ イ ンの 使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ FortiGate DHCP サーバお よび リ レー ・ DHCP サービ スの設定 ・ ア ド レ ス リ ースの表示 FortiGate DHCP サーバおよびリレー DHCP は、 ホス ト が IP ア ド レ ス を DHCP サーバから 自動的に取得で き る よ う にす る プ ロ ト コ ルです。 必要に応 じ て、 デ フ ォル ト ゲー ト ウ ェ イ と DNS サーバの設定を取得する こ と も 可能 です。 FortiGate イ ン タ フ ェ ースまたは VLAN サブ イ ン タ フ ェ ースでは、 次の DHCP サービ ス を提供で き ます。 ・ IPSec 以外の IP ネ ッ ト ワー クのための基本的な DHCP サーバ ・ IPSec (VPN) 接続のための IPSec DHCP サーバ ・ 標準的な イ ーサネ ッ ト または IPSec (VPN) 接続のための DHCP リ レー 同 じ タ イ プの接続 (標準またはIPSec) に イ ン タ フ ェ ースでサーバ と リ レーの両方を提供する こ と はで き ません。 ただ し 、 イ ン タ フ ェ ースがス タ テ ィ ッ ク IP ア ド レ スが設定 さ れた物理 イ ン タ フ ェ ース である場合にのみ、 そのイ ン タ フ ェ ース上で標準 DHCP サーバを設定で き ます。 ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク IP ア ド レ スのいずれかが設定 さ れた イ ン タ フ ェ ース上の IPSec DHCP サーバを設定す る こ と は可能です。 任意の FortiGate インタフェースに 1 つ以上の DHCP サーバを設定できます。 DHCP サーバは、 イ ンタフェースに接続されたネットワーク上のホストに動的に IP アドレスを割り当てます。 DHCP を使用 して IP アドレスを取得するには、 ホスト コンピュータを設定する必要があります。 イ ン タ フ ェ ースがルー タ を介 し て複数のネ ッ ト ワー ク に接続 さ れてい る場合、それぞれのネ ッ ト ワー ク に DHCP を追加で き ます。 各 DHCP の IP の範囲は、 ネ ッ ト ワー ク ア ド レ スの範囲 と 一致する必要があ り ます。 ルー タ は、 DHCP リ レー用に設定 し なければな り ません。 DHCP サーバを設定す るには、 134 ページの 「DHCP サーバの設定」 を参照 し て く だ さ い。 FortiGate イ ン タ フ ェ ースは、DHCP リ レー と し て設定で き ます。 イ ン タ フ ェ ースによ り 、DHCP 要求は DHCP ク ラ イ ア ン ト か ら 外部の DHCP サーバに転送 さ れ、DHCP ク ラ イ ア ン ト には応答 が返 さ れます。 DHCP ク ラ イ ア ン ト への応答パケ ッ ト が FortiGate ユニ ッ ト に到達す る よ う 、 DHCP サーバは適切なルーテ ィ ング を行 う 必要があ り ます。 DHCP リ レーを設定す るには、134 ページの「DHCP リ レー エージ ェ ン ト と し てのイ ン タ フ ェ ー スの設定」 を参照 し て く だ さ い。 DHCP サービ スは、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) で設定する こ と も で き ます。 詳細に ついては、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 133 DHCP サービスの設定 システム - DHCP サーバ DHCP サービスの設定 DHCP サー ビ ス を設定す る には、 [System]、 [DHCP Server]、 [Service] の順に選択 し ます。 各 FortiGate イ ン タ フ ェ ースでは、 必要に応 じ て DHCP リ レーを設定 し た り 、 DHCP サーバを追加 し た り する こ と がで き ます。 FortiGate50 および 60 シ リ ーズ ユニ ッ ト では、 DHCP サーバはデ フ ォル ト で、 次のよ う に内部 イ ン タ フ ェ ースで設定 さ れています。 [IP Range] 192.168.1.110 ~ 192.168.1.210 [Netmask] 255.255.255.0 [Default gateway] 192.168.1.99 [Lease time] 7日 [DNS Server 1] 192.168.1.99 こ のデ フ ォ ル ト の DHCP サーバ設定は、 無効に し た り 変更 し た り する こ と がで き ます。 ただ し 、 ト ラ ン スペア レ ン ト モー ド で DHCP を設定する こ と はで き ません。 ト ラ ン スペア レ ン ト モー ド では、 DHCP 要求が FortiGate ユニ ッ ト を通過 し ます。 DHCP サーバを設定す る前に、イ ン タ フ ェ ースにス タ テ ィ ッ ク IP ア ド レ スが設定 さ れている必 要があ り ます。 こ れ らの設定は、 内部 イ ン タ フ ェ ースのデ フ ォル ト IP ア ド レ ス 192.168.1.99 に適 し ています。 こ のア ド レ ス を異な るネ ッ ト ワー ク に変更する場合、 DHCP サーバ設定を変更 し て一致 さ せる 必要があ り ます。 DHCP リレー エージェントとしてのインタフェースの設定 イ ン タ フ ェ ースの DHCP リ レー設定を編集する には、 [System]、 [DHCP Server]、 [Service] の 順に選択 し ます。 [Edit DHCP Service] ページ [New DHCP Service] ページ で以前に設定 さ れた DHCP リ レ ーの既存の設定を提供 し ます。 [Interface Name] こ のイ ン タ フ ェ ースの名前。 [DHCP Relay Agent] こ の イ ン タ フ ェ ース上で DHCP リ レ ー エージ ェ ン ト を有効にする場合に選択 し ま す。 [Type] 必要な DHCP サー ビ スの タ イ プ を [Regular] または [IPSEC] のど ち ら か と し て選択 し ます。 [DHCP Server IP] イ ン タ フ ェ ースに接続 さ れている ネ ッ ト ワー ク 上の コ ン ピ ュ ー タ か ら の DHCP 要求 に応答する DHCP サーバの IP ア ド レ ス を入力 し ます。 DHCP サーバの設定 [System]、 [DHCP Server]、 [Service] の順に選択 し て表示 さ れる画面では、 既存の DHCP サー バにア ク セスで き ます。 こ の画面ではまた、 新 し い DHCP サーバの設定 も 行います。 DHCP サーバを設定するには 134 1 [System]、 [DHCP Server]、 [Service] の順に選択 し ます。 2 こ のイ ン タ フ ェ ースの青色の矢印を選択 し ます。 3 [Add DHCP Server] ア イ コ ン を選択 し て新 し い DHCP サーバを作成するか、 または既存の DHCP サーバの横にあ る [ 編集 ] ア イ コ ン を選択 し てその設定を変更 し ます。 4 DHCP サーバを設定 し ます。 5 [OK] を選択 し ます FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク システム - DHCP サーバ DHCP サービスの設定 [New DHCP Service] ページ DHCP リ レ ー エージ ェ ン ト または DHCP サーバを設定する ための各設定を提供 し ます。 [Name] こ の DHCP サーバの名前を入力 し ます。 [Mode] DHCP リ レ ー エージ ェ ン ト を設定す る には、 [Relay] を選択 し ます。 DHCP サーバ を設定す る には、 [Server] を選択 し ます。 [Enable] こ の DHCP サーバを有効に し ます。 [Type] [Regular] ま たは [IPSEC] の DHCP サーバを選択 し ます。 ダ イ ナ ミ ッ ク IP ア ド レ ス を持つ イ ン タ フ ェ ース上の標準 DHCP サーバは設定で き ません。 [IP Range] こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る IP ア ド レ スの範囲の始め と 終わ り を入力 し ます。 [IP Assignment Mode] が [User-group defined method] に設定 さ れてい る場合、こ れ ら の フ ィ ール ド は灰色で表示 さ れます。 [Network Mask] こ の DHCP サーバが割 り 当て る ア ド レ スのネ ッ ト マ ス ク を入力 し ます。 [Default Gateway] こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て るデ フ ォ ル ト ゲー ト ウ ェ イ の IP ア ド レ ス を入力 し ます。 [DNS Service] 特定の DNS サーバま たはシ ス テムの DNS 設定のど ち ら かを使用す る場合に選択 し ます。 [DNS Server 1] の横にあ る プ ラ ス記号 (+) を 選択す る こ と に よ っ て、 複 数の DNS サーバを追加で き ます。 [DNS Server 0] DNS サーバを入力 し ます。 [DNS Server 1] 2 番目の DNS サーバを入力 し ます。 さ ら に DNS サーバを追加する必要があ る場 合は、 プ ラ ス記号 (+) を選択 し ます。 [New DHCP Service] ページの [Advanced] セクション 詳細設定オ プ シ ョ ン を設定す る場合に選択 し ます。 [Domain] こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る ド メ イ ン を入力 し ます。 [Lease Time] [Unlimited] を選択 し て リ ース期間を無期限 と するか、 または日、 時間、 お よ び分 で期間を入力 し ます。 その期間を過ぎ る と 、 DHCP ク ラ イ ア ン ト は DHCP サーバ に新 し い設定を照会 し なければな り ません。 リ ース期間は、 5 分か ら 100 日ま で の範囲を設定で き ます。 [IP Assignment Mode] ダ イ ヤルア ッ プ IPSec VPN ユーザに IPSec DHCP サーバの IP ア ド レ ス を割 り 当 て る方法を設定 し ます。 次の中か ら 選択 し ます。 ・ [Server IP Range] - IPSec DHCP サーバは、[IP Range] と [Exclude Ranges] の指 定に従 っ て IP ア ド レ ス を割 り 当て ます。 ・ [User-group defined method] - IP ア ド レ スは、 ユーザを認証する ために使用 さ れ る ユーザ グルー プ に よ っ て割 り 当 て ら れ ま す。 こ のユーザ グルー プ は、 XAUTH ユーザを認証する ために使用 さ れます。 461 ページの 「ユーザ グルー プか らの動的な VPN ク ラ イ ア ン ト IP ア ド レ ス割 り 当て」を参照 し て く だ さ い。 [User-group defined method] が選択 さ れてい る場合は、 [IP Range] フ ィ ール ド が灰 色で表示 さ れ、 [Exclude Ranges] テーブルお よび コ ン ト ロールは表示 さ れません。 [WINS Server 1] [WINS Server 2] こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る 1 つまたは 2 つの WINS サー バの IP ア ド レ ス を追加 し ます。 [Options] DHCP リ レ ーまたはサーバのオ プ シ ョ ン を追加する場合に選択 し ます。 こ のオプ シ ョ ン を有効にする と 、 [Code] フ ィ ール ド と [Options] フ ィ ール ド が表示 さ れま す。 [Options] フ ィ ール ド の横にあ る プ ラ ス記号を選択する こ と に よ っ て、 複数の オ プ シ ョ ン を 追加で き ま す ([Code] フ ィ ール ド と [Options] フ ィ ール ド の両方が 表示 さ れます )。 [Exclude Ranges] [Add] 除外する IP ア ド レ スの範囲を追加 し ます。 こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る こ と ので き ない最大 16 の IP ア ド レ スの範囲を追加で き ます。 どの範囲 も 65536 の IP ア ド レ ス を超え る こ と はで き ません。 [Starting IP] 除外範囲の最初の IP ア ド レ ス を入力 し ます。 [End IP] 除外範囲の最後の IP ア ド レ ス を入力 し ます。 [Delete] ( マイナス記号 ) 除外範囲を削除 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 135 アドレス リースの表示 システム - DHCP サーバ アドレス リースの表示 こ の DHCP サーバが割 り 当てた IP ア ド レ ス と 、それに対応する ク ラ イ ア ン ト MAC ア ド レ ス を 表示するには、 [System]、 [DHCP Server]、 [Address Leases] の順に選択 し ます。 [Address Leases] ページ こ の DHCP サーバが割 り 当てた IP ア ド レ ス と 、それに対応する ク ラ イ ア ン ト MAC ア ド レ ス を表示 し ます。 [Interface] リ ース を表示する イ ン タ フ ェ ース を選択 し ます。 [Refresh] ア ド レ ス リ ースの リ ス ト を更新す る には、 [Refresh] を選択 し ます。 [IP] 割 り 当て ら れた IP ア ド レ ス。 [MAC] IP ア ド レ スが割 り 当て ら れたデバ イ スの MAC ア ド レ ス。 [Expire] DHCP リ ースの期限が切れる日付 と 時刻。 [Status] DHCP サーバの IP ア ド レ スのス テー タ ス を示 し ます。 特定のクライアントに対する IP アドレスの予約 ク ラ イ ア ン ト デバイ スの MAC ア ド レ ス と 標準イ ーサネ ッ ト または IPSec の接続 タ イ プ で識別 さ れる特定の ク ラ イ ア ン ト に対 し て IP ア ド レ ス を予約する こ と がで き ます。 DHCP サーバは、 その ク ラ イ ア ン ト に常に予約済みのア ド レ ス を割 り 当てます。 予約 と し て最大 200 の IP ア ド レ ス を割 り 当て る こ と がで き ます。 詳細については、 『FortiGate 最大値マ ト リ ッ ク ス 』 を参照 し て く だ さ い。 CLI の config system dhcp reserved-address コ マ ン ド を使用 し ます。 詳細について は、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 136 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 HA システム - 設定 こ の項では、 HA、 SNMP、 カ ス タ ム差 し 替え メ ッ セージ、 動作モー ド な どの、 ネ ッ ト ワー ク 以 外のい く つかの機能を設定する方法について説明 し ます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、 HA、 SNMP、 および 差 し 替え メ ッ セージは FortiGate ユニ ッ ト 全体に対 し てグ ローバルに設定 さ れます。 動作モー ド の変更は、 個々の VDOM に対 し て設定 さ れます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ HA ・ SNMP ・ 差 し 替え メ ッ セージ ・ 動作モー ド および VDOM 管理ア ク セス HA FortiGate 高可用性 (HA) は、 信頼性の向上 と パ フ ォ ーマ ン スの増強 と い う 2 つの重要な エ ン タ ープ ラ イ ズ ネ ッ ト ワーキング要件を満たす ソ リ ュ ーシ ョ ン を提供 し ます。 こ の項では、 HA Web ベース マネージ ャ の設定オプ シ ョ ン、 HA ク ラ ス タ メ ンバ リ ス ト 、 HA 統計、 お よび ク ラ ス タ メ ンバの切断について簡潔に説明 し ます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、HA は FortiGate ユニ ッ ト 全体に対 し てグ ローバルに設定 さ れます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiGate HA ク ラ ス タ の設定お よび操作方法の詳細については、 『FortiGate HA 概要』 および 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 ・ こ の ト ピ ッ ク には、 以下の内容が含まれています。 HA オプ シ ョ ン ・ ク ラ ス タ メ ンバ リ ス ト ・ HA 統計の表示 ・ 副系ユニ ッ ト のホス ト 名およびデバ イ ス プ ラ イ オ リ テ ィ の変更 ・ ク ラ ス タ ユニ ッ ト の ク ラ ス タ か らの切断 HA オプション FortiGate ユニ ッ ト が ク ラ ス タ に参加で き る よ う に し た り 、 動作中の ク ラ ス タ ま たは ク ラ ス タ メ ンバの設定を変更 し た り する には、 HA オプ シ ョ ン を設定 し ます。 FortiGateユニ ッ ト がHA ク ラ ス タ に参加で き る よ う に HA オプ シ ョ ン を設定するには、[System]、 [Config]、 [HA] の順に選択 し ます。 注記 : FortiGate HA は、 PPPoE な どの PPP プ ロ ト コル と の互換性があ り ません。 FortiGate HA はまた、 DHCP と の互換性 も あ り ません。 1 つ以上の FortiGate ユニ ッ ト イ ン タ フ ェ ー スが DHCP または PPPoE を使用 し て動的に設定 さ れた場合は、 HA モー ド で動作する よ う に切 り 替え る こ と がで き ません。 また、 1 つ以上の FortiGate ユニ ッ ト イ ン タ フ ェ ースが PPTP または L2TP ク ラ イ ア ン ト と し て設定 さ れている場合や、 FortiGate ユニ ッ ト でス タ ン ド ア ロ ン セ ッ シ ョ ン同期が設定 さ れた場合も 、 HA モー ド で動作する よ う に切 り 替え る こ と がで き ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 137 HA シス テム - 設定 HA がす で に有効に な っ て い る 場合に ク ラ ス タ メ ン バ リ ス ト を 表示す る には、 [System]、 [Config]、 [HA] の順に選択 し ます。 マス タ のロール ( プ ラ イ マ リ ユニ ッ ト と も呼ばれる ) を持 つ FortiGate ユニ ッ ト の [Edit] を選択 し ます。 プ ラ イ マ リ ユニ ッ ト の HA 設定を編集する と 、 すべての変更が ク ラ ス タ 内の他のユニ ッ ト に同期 さ れます。 グローバル admin 管理者 と し て Web ベース マネージ ャ に ログ イ ン し 、 [System]、[Config]、[HA] の順に選択する こ と によ っ て、 バーチ ャ ル ド メ イ ン (VDOM) が有効にな っ てい る FortiGate ユ ニ ッ ト の HA オプ シ ョ ン を設定で き ます。 HA が有効にな っ てい る場合、 ク ラ ス タ ユニ ッ ト の 仮想 ク ラ ス タ 設定画面を表示す る には、 その ク ラ ス タ メ ンバの [Edit] を選択す る必要があ り ます。 詳細については、 139 ページの 「 ク ラ ス タ メ ンバ リ ス ト 」 を参照 し て く だ さ い。 注記 : FortiGate ク ラ ス タ でバーチ ャ ル ド メ イ ン を使用 し ている場合は、 HA 仮想ク ラ ス タ リ ングを設定 し ます。 仮想ク ラ ス タ のほ と んどの HA オプ シ ョ ンは、 通常の HA オプ シ ョ ン と 同 じ です。 ただ し 、 仮想ク ラ ス タ には VDOM パーテ ィ シ ョ ニ ン グ オプ シ ョ ンが含まれ ています。通常の HA と 仮想ク ラ ス タ リ ング HA の設定オプ シ ョ ンのその他の違いについて は、以下の説明や、『FortiGate HA 概要』 および 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 [High Availability] ページ 設定 さ れてい る HA ク ラ ス タ の既存の設定を表示する だけで な く 、 ま だ設定 さ れていない場合は HA ク ラ ス タ を設定す る こ と も で き ます。 こ のページか ら はま た、 ほ と んどの既存の設定 も 変更で き ます。 138 [Mode] ク ラ ス タ に HA モー ド を選択するか、ま たは ク ラ ス タ 内の FortiGate ユニ ッ ト を ス タ ン ド ア ロ ン モー ド に戻 し ます。 ク ラ ス タ を設定する場合は、 HA ク ラ ス タ のすべての メ ンバを同 じ HA モー ド に設定する必要があ り ます。[Standalone] (HA を無効化 )、[ActivePassive]、 ま たは [Active-Active] を選択で き ます。 バーチ ャ ル ド メ イ ンが有効にな っ てい る場合は、[Active-Passive] ま たは [Standalone] を選択で き ます。 [Device Priority] 必要に応 じ て、 ク ラ ス タ ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ を設定 し ます。 ク ラ ス タ 内の各ユニ ッ ト には、 異な るデバ イ ス プ ラ イ オ リ テ ィ を設定で き ます。 HA ネ ゴ シ エ ーシ ョ ン中、 通常は、 デバ イ ス プ ラ イ オ リ テ ィ の最 も 高いユニ ッ ト がプ ラ イ マ リ ユニ ッ ト にな り ます。 仮想 ク ラ ス タ 設定では、 各ク ラ ス タ ユニ ッ ト に ( 各仮想 ク ラ ス タ に 1 つの ) 2 つの異 な るデバイ ス プ ラ イ オ リ テ ィ を設定で き ます。 HA ネゴ シ エーシ ョ ン中、 仮想 ク ラ ス タ 内でデバ イ ス プ ラ イ オ リ テ ィ の最 も 高いユニ ッ ト が、 その仮想 ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト と な り ます。 デバ イ ス プ ラ イ オ リ テ ィ への変更は同期 さ れません。 最初に ク ラ ス タ を設定す る と き に、 デ フ ォ ル ト のデバ イ ス プ ラ イ オ リ テ ィ を 使用で き ます。 ク ラ ス タ が動作 し て い る場合は、 必要に応 じ て別の ク ラ ス タ ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ を変更 で き ます。 [Group Name] ク ラ ス タ を識別する ための名前を入力 し ます。 グループ名の最大の長 さ は 32 文字で す。 ク ラ ス タ ユニ ッ ト で ク ラ ス タ を形成する には、 すべての ク ラ ス タ ユニ ッ ト のグ ループ名が同 じ に な っ ている必要があ り ます。 グループ名は、 ク ラ ス タ が動作 し た後 に変更で き ま す。 グルー プ名の変更は、 すべての ク ラ ス タ ユニ ッ ト に対 し て同期 さ れます。 デ フ ォ ル ト のグループ名は FGT-HA です。最初に ク ラ ス タ を設定す る と き にデ フ ォ ル ト のグループ名 を使用で き ますが、 同 じ ネ ッ ト ワー ク 上の 2 つの ク ラ ス タ に同 じ グ ループ名を設定する こ と はで き ません。 ク ラ ス タ が動作 し ている場合は、 必要に応 じ てグループ名を変更で き ます。 [Password] ク ラ ス タ を 識別す る ためのパスワー ド を 入力 し ます。 パスワー ド の最大の長 さ は 15 文字です。 ク ラ ス タ ユニ ッ ト で ク ラ ス タ を形成す る には、 すべての ク ラ ス タ ユニ ッ ト のパスワー ド が同 じ にな っ てい る必要があ り ます。 デ フ ォ ル ト では、 パスワー ド は設定 さ れていません。 最初に ク ラ ス タ を設定す る と き に、 デ フ ォ ル ト のパスワー ド を使用で き ます。 ク ラ ス タ が動作 し ている場合は、 必要 に応 じ てパスワー ド を追加で き ます。 同 じ ネ ッ ト ワー ク 上の 2 つの ク ラ ス タ には、 異 な るパスワー ド を設定する必要があ り ます。 [Enable Session pickup] プ ラ イ マ リ ユニ ッ ト に障害が発生 し た場合に、 新 し いプ ラ イ マ リ ユニ ッ ト に な っ た ク ラ ス タ ユニ ッ ト にセ ッ シ ョ ンが引き継がれる よ う にセ ッ シ ョ ン ピ ッ ク ア ッ プ を有 効にす る場合に選択 し ます。 セ ッ シ ョ ン フ ェ ールオーバー保護のためには、 セ ッ シ ョ ン ピ ッ ク ア ッ プ を有効にす る必要があ り ま す。 セ ッ シ ョ ン フ ェ ールオーバー保護が必要な い場合は、 セ ッ シ ョ ン ピ ッ ク ア ッ プ を無効のま まにす る と 、 HA の CPU 使用率や HA ハー ト ビ ー ト ネ ッ ト ワー ク の帯域幅使用率が削減 さ れる こ と があ り ます。 セ ッ シ ョ ン ピ ッ ク ア ッ プは、デ フ ォ ル ト で無効に設定 さ れています。セ ッ シ ョ ン ピ ッ ク ア ッ プのデ フ ォ ル ト 設定 を 使用 し 、 後で ク ラ ス タ が動作 し た後に セ ッ シ ョ ン ピ ッ ク ア ッ プ を有効にす る こ と を選択で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 HA [Port Monitor] 監視対象イ ン タ フ ェ ースが正 し く 機能 し 、 かつネ ッ ト ワー ク に接続 さ れてい る こ と を 確認す る ために FortiGate イ ン タ フ ェ ースの監視を有効ま たは無効にする場合に選択 し ます。 監視対象イ ン タ フ ェ ースに障害が発生するか、 ま たはネ ッ ト ワー ク か ら 切断 さ れた場 合、 その イ ン タ フ ェ ースは ク ラ ス タ か ら 切 り 離 さ れ、 リ ン ク フ ェ ールオーバーが発 生 し ます。 リ ン ク フ ェ ールオーバーが発生す る と 、 ク ラ ス タ はその イ ン タ フ ェ ース に よ っ て処理 さ れてい る ト ラ フ ィ ッ ク を、 引 き続 き ネ ッ ト ワー ク に接続 さ れてい る別 の ク ラ ス タ ユニ ッ ト の同 じ イ ン タ フ ェ ースにルーテ ィ ン グ し 直 し ます。 こ の別の ク ラ ス タ ユニ ッ ト が新 し いプ ラ イ マ リ ユニ ッ ト に な り ます。 ポー ト 監視 ( イ ン タ フ ェ ース監視 と も 呼ばれる ) は、 デ フ ォ ル ト で無効に設定 さ れて います。 ク ラ ス タ が作動する ま でポー ト 監視を無効に し てお き、 接続 さ れてい る イ ン タ フ ェ ースに対 し てのみポー ト 監視を有効に し ます。 最大 16 の イ ン タ フ ェ ース を監視で き ます。こ の制限は、16 を超え る物理 イ ン タ フ ェ ー ス を備え た FortiGate ユニ ッ ト にのみ適用 さ れます。 [Heartbeat Interface] ク ラ ス タ 内の各 イ ン タ フ ェ ースの HA ハー ト ビー ト 通信を有効ま たは無効に し た り 、 ハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ を設定 し た り する場合に選択 し ます。 最 も プ ラ イ オ リ テ ィ の高いハー ト ビ ー ト イ ン タ フ ェ ースが、 すべてのハー ト ビ ー ト ト ラ フ ィ ッ ク を 処理 し ます。 2 つ以上のハー ト ビ ー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ が同 じ であ る場合は、 ハ ッ シ ュ マ ッ プの順序の値が最 も 小 さ いハー ト ビ ー ト イ ン タ フ ェ ースが、 すべてのハー ト ビー ト ト ラ フ ィ ッ ク を処理 し ます。 Web ベース マ ネージ ャ では、 イ ン タ フ ェ ースが英数字の順に表示 さ れます。 ・ port1 ・ port2 ~ 9 ・ port10 ハ ッ シ ュ マ ッ プの順序では、 イ ン タ フ ェ ースが次の順序に並べ替え ら れます。 ・ port1 ・ port10 ・ port2 ~ port9 デ フ ォ ル ト のハー ト ビー ト イ ン タ フ ェ ース設定は、 FortiGate ユニ ッ ト ご と に異な り ます。 こ のデ フ ォ ル ト 設定では通常、 2 つのハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ が 50 に設定 さ れます。 デ フ ォ ル ト のハー ト ビー ト イ ン タ フ ェ ース設定を使用 するか、 または必要に応 じ てその設定を変更する こ と がで き ます。 ハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ の範囲は 0 ~ 512 です。 新 し いハー ト ビー ト イ ン タ フ ェ ース を選択 し た と きのデ フ ォ ル ト のプ ラ イ オ リ テ ィ は 0 です。 ハートビート インタフェースは少なくとも 1 つ選択する必要があります。 ハートビート通信が 中断された場合、 クラスタはトラフィックの処理を停止します。 ハートビート インタフェース の設定の詳細については、 『FortiGate HA 概要』 を参照してください。 最大 8 つのハー ト ビー ト イ ン タ フ ェ ース を選択で き ます。 こ の制限は、 8 以上の物理 イ ン タ フ ェ ース を備え た FortiGate ユニ ッ ト にのみ適用 さ れます。 [VDOM partitioning] 仮想 ク ラ ス タ リ ン グ を設定する場合は、 仮想 ク ラ ス タ 1 に含まれるバーチ ャ ル ド メ イ ン と 、仮想 ク ラ ス タ 2 に含まれるバーチ ャ ル ド メ イ ン を設定で き ます。ルー ト バー チ ャ ル ド メ イ ンは、 常に仮想 ク ラ ス タ 1 に含まれてい る必要があ り ます。 VDOM パーテ ィ シ ョ ニ ン グの設定の詳細については、『FortiGate HA 概要』 を参照 し て く だ さ い。 クラスタ メンバ リスト ク ラ ス タ メ ン バ リ ス ト を 表示す る と 、 動作中の ク ラ ス タ の ス テ ー タ ス や、 ク ラ ス タ 内の FortiGate ユニ ッ ト のス テ ー タ ス を確認で き ます。 ク ラ ス タ メ ンバ リ ス ト には ク ラ ス タ 内の FortiGate ユニ ッ ト が表示 さ れ、 さ ら に FortiGate ユニ ッ ト ご と に、 イ ン タ フ ェ ース接続、 ク ラ ス タ ユニ ッ ト 、 その ク ラ ス タ ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ が表示ます。 ク ラ ス タ メ ンバ リ ス ト か ら は、 ク ラ ス タ から ユニ ッ ト を切断 し た り 、 プ ラ イ マ リ ユニ ッ ト の HA 設定を 編集 し た り 、 副系ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ やホ ス ト 名を変更 し た り 、 任意の ク ラ ス タ ユニ ッ ト のデバ ッ グ ログを ダウ ン ロー ド し た り する こ と がで き ます。 また、 ク ラ ス タ の HA 統計を表示する こ と も で き ます。 ク ラ ス タ メ ンバ リ ス ト を表示するには、 動作中の ク ラ ス タ にログ イ ン し 、 [System]、 [Config]、 [HA] の順に選択 し ます。 バーチ ャル ド メ イ ンが有効にな っ ている場合は、 ク ラ ス タ メ ンバ リ ス ト を表示 し て、 動作中 の仮想 ク ラ ス タ のス テー タ ス を確認で き ます。 仮想 ク ラ ス タ メ ンバ リ ス ト には、 各仮想 ク ラ ス タ に追加 さ れたバーチ ャ ル ド メ イ ン を含む、 両方の仮想 ク ラ ス タ のス テー タ スが表示 さ れ ます。 動作中の ク ラ ス タ の仮想ク ラ ス タ メ ンバ リ ス ト を表示するには、 グローバル admin 管理者 と し て ログ イ ン し 、 [System]、 [Config]、 [HA] の順に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 139 HA シス テム - 設定 [View HA Statistics] 各 ク ラ ス タ ユニ ッ ト のシ リ アル番号、 ス テー タ ス、 お よび監視情報を表示 し ま す。 140 ページの 「HA 統計の表示」 を参照 し て く だ さ い。 上下矢印 リ ス ト 内の ク ラ ス タ メ ンバの順序を変更 し ます。 ク ラ ス タ ま たは ク ラ ス タ 内の ユニ ッ ト の動作には影響あ り ません。 変更 さ れ るのは、 ク ラ ス タ メ ンバ リ ス ト 上のユニ ッ ト の順序だけです。 [Cluster member] ク ラ ス タ ユニ ッ ト の フ ロ ン ト パネルの図です。 イ ン タ フ ェ ースのネ ッ ト ワー ク ジ ャ ッ ク が緑色で表示 さ れてい る場合、その イ ン タ フ ェ ースは接続 さ れてい ます。 各図の上にマウス ポ イ ン タ を置 く と 、 ク ラ ス タ ユニ ッ ト のホ ス ト 名、 シ リ アル番号、 そのユニ ッ ト が動作 し てい る時間 ( ア ッ プ タ イ ム )、 およ びポー ト 監視が設定 さ れてい る イ ン タ フ ェ ース を表示で き ます。 [Hostname] FortiGate ユニ ッ ト のホス ト 名。 FortiGate ユニ ッ ト のデ フ ォ ル ト のホ ス ト 名は、 FortiGate ユニ ッ ト のシ リ アル番号です。 ・ プ ラ イ マ リ ユニ ッ ト のホ ス ト 名を変更す る には、 [System]、 [Status] の順に 選択 し 、 現在のホ ス ト 名の横にあ る [Change] を選択 し ます。 ・ 副系ユニ ッ ト のホス ト 名を変更す る には、 ク ラ ス タ メ ンバ リ ス ト か ら 副系 ユニ ッ ト の [ 編集 ] ア イ コ ン を選択 し ます。 [Role] ク ラ ス タ 内の ク ラ ス タ ユニ ッ ト のス テー タ ス ま たはロール。 ・ プ ラ イ マ リ ( ま たはマ ス タ ) ユニ ッ ト のロ ールは [MASTER] です。 ・ すべての副系 (またはバ ッ ク ア ッ プ ) ク ラ ス タ ユニ ッ ト のロールは [SLAVE] です。 [Priority] ク ラ ス タ ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ 。 各 ク ラ ス タ ユニ ッ ト には、 異 な るデバ イ ス プ ラ イ オ リ テ ィ を設定で き ます。 HA ネ ゴ シ エーシ ョ ン中、 デバ イ ス プ ラ イ オ リ テ ィ の最 も 高いユニ ッ ト がプ ラ イ マ リ ユニ ッ ト にな り ます。 デバ イ ス プ ラ イ オ リ テ ィ の範囲は 0 ~ 255 です。 [Disconnect from cluster] 選択 し た ク ラ ス タ ユ ニ ッ ト を ク ラ ス タ か ら 切断す る 場合に選択 し ま す。 141 ページの 「 ク ラ ス タ ユニ ッ ト の ク ラ ス タ か ら の切断」 を参照 し て く だ さ い。 [Edit] ク ラ ス タ ユニ ッ ト の HA 設定を変更す る場合に選択 し ます。 ・ プ ラ イ マ リ ユニ ッ ト の場合は、 [Edit] を選択 し て、 そのプ ラ イ マ リ ユニ ッ ト の ク ラ ス タ の HA 設定 ( デバ イ ス プ ラ イ オ リ テ ィ を含む ) を変更 し ます。 ・ 仮想 ク ラ ス タ 内のプ ラ イ マ リ ユニ ッ ト の場合は、 [Edit] を選択 し て、 その仮 想 ク ラ ス タ の HA 設定 ( こ の ク ラ ス タ ユニ ッ ト の仮想 ク ラ ス タ 1 お よ び仮 想 ク ラ ス タ 2 のデバ イ ス プ ラ イ オ リ テ ィ を含む ) を変更 し ます。 ・ 副系ユニ ッ ト の場合は、 [Edit] を選択 し て、 その副系ユニ ッ ト のホ ス ト 名 と デバ イ ス プ ラ イ オ リ テ ィ を変更 し ます。 141 ページの 「副系ユニ ッ ト のホ ス ト 名お よびデバ イ ス プ ラ イ オ リ テ ィ の変更」 を参照 し て く だ さ い。 ・ 仮想 ク ラ ス タ 内の副系ユニ ッ ト の場合は、 [Edit] を選択 し て、 選択 し た仮想 ク ラ ス タ の副系ユニ ッ ト のホ ス ト 名 と デバイ ス プ ラ イ オ リ テ ィ を変更 し ま す。141 ページの 「副系ユニ ッ ト のホ ス ト 名およ びデバイ ス プ ラ イ オ リ テ ィ の変更」 を参照 し て く だ さ い。 [Download debug log] 暗号化 さ れたデバ ッ グ ロ グ を フ ァ イ ルにダウ ン ロー ド す る場合に選択 し ます。 こ のデバ ッ グ ロ グ フ ァ イ ル を フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル サポー ト (http://support.fortinet.com) に送信す る こ と で、 ク ラ ス タ ま たは個々の ク ラ ス タ ユニ ッ ト での問題の診断に役立て る こ と がで き ます。 HA 統計の表示 ク ラ ス タ メ ンバ リ ス ト か ら [View HA Statistics] を選択 し て、各 ク ラ ス タ ユニ ッ ト のシ リ アル 番号、 ス テ ー タ ス、 お よ び監視情報 を 表示 で き ま す。 HA 統計 を 表示す る には、 [System]、 [Config]、 [HA] の順に選択 し 、 [View HA Statistics] を選択 し ます。 140 [Refresh every] Web ベース マネージ ャ が HA 統計の表示を更新する頻度を制御する場合に選択 し ます。 [Back to HA monitor] HA 統計 リ ス ト を閉 じ て、 ク ラ ス タ メ ンバ リ ス ト に戻る場合に選択 し ます。 [Unit] こ の ク ラ ス タ ユニ ッ ト のホス ト 名 と シ リ アル番号。 [Status] 各 ク ラ ス タ ユニ ッ ト のス テー タ ス を示 し ます。 緑色のチ ェ ッ ク マー ク は、 こ の ク ラ ス タ ユニ ッ ト が正常に動作 し てい る こ と を 示 し ます。 赤色の X は、 こ の ク ラ ス タ ユニ ッ ト がプ ラ イ マ リ ユニ ッ ト と 通信で き ない こ と を示 し ます。 [Up Time] こ の ク ラ ス タ ユニ ッ ト が最後に起動 さ れてか らの日数、 時間、 分、 秒。 [Monitor] 各 ク ラ ス タ ユニ ッ ト のシ ス テム ス テー タ ス情報を表示 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 HA [CPU Usage] 各 ク ラ ス タ ユニ ッ ト の現在の CPU ス テー タ ス。 Web ベース マネージ ャ は、 コ ア プ ロ セ スの CPU 使用率のみを表示 し ます。 管理プ ロ セ ス ( た と えば、 Web ベー ス マネージ ャ への HTTPS 接続 ) のための CPU 使用率は除外 さ れます。 CPU 使 用率の詳細については、46 ページの 「[System Resources]」 を参照 し て く だ さ い。 [Memory Usage] 各 ク ラ ス タ ユニ ッ ト の現在の メ モ リ ス テー タ ス。 Web ベース マネージ ャ は、 コ ア プ ロ セ スの メ モ リ 使用率のみ を表示 し ます。 管理プ ロ セ ス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続 ) のための メ モ リ 使用率は除外 さ れます。 メ モ リ 使用率の詳細については、 46 ページの 「[System Resources]」 を参照 し て く だ さ い。 [Active Sessions] こ の ク ラ ス タ ユニ ッ ト に よ っ て処理 さ れている通信セ ッ シ ョ ンの数。 [Total Packets] こ の ク ラ ス タ ユニ ッ ト が最後に起動 さ れてか ら処理 し たパケ ッ ト の数。 [Virus Detected] こ の ク ラ ス タ ユニ ッ ト に よ っ て検出 さ れたウ イルスの数。 [Network Utilization] すべての ク ラ ス タ ユ ニ ッ ト イ ン タ フ ェ ー ス で使用 さ れて い る ネ ッ ト ワー ク の 総帯域幅。 [Total Bytes] こ の ク ラ ス タ ユニ ッ ト が最後に起動 さ れてか ら処理 し たバ イ ト 数。 [Intrusion Detected] こ の ク ラ ス タ ユニ ッ ト 上で実行 さ れてい る不正侵入防御機能に よ っ て検出 さ れ た侵入または攻撃の数。 副系ユニットのホスト名およびデバイス プライオリティの変更 動作中の ク ラ ス タ 内の副系ユニ ッ ト のホ ス ト 名 と デバ イ ス プ ラ イ オ リ テ ィ を変更す る には、 [System]、 [Config]、 [HA] の順に選択 し て ク ラ ス タ メ ンバ リ ス ト を表示 し ます。 ク ラ ス タ メ ンバ リ ス ト 内のいずれかのス レーブ ( 副系 ) ユニ ッ ト の [Edit] を選択 し ます。 バーチ ャ ル ド メ イ ンが有効な動作中の ク ラ ス タ 内の副系ユニ ッ ト のホス ト 名 と デバ イ ス プ ラ イ オ リ テ ィ を変更するには、 グ ローバル admin 管理者 と し て ログ イ ン し 、 [System]、 [Config]、 [HA] の順に選択 し て ク ラ ス タ メ ンバ リ ス ト を表示 し ます。 ク ラ ス タ メ ンバ リ ス ト 内のいず れかのス レーブ ( 副系 ) ユニ ッ ト の [Edit] を選択 し ます。 こ の副系ユニ ッ ト のホ ス ト 名 ([Peer]) お よ びデバ イ ス プ ラ イ オ リ テ ィ ([Priority]) を変更で き ます。 こ れ ら の変更は、 副系ユニ ッ ト の設定にのみ影響 し ます。 [Peer] 副系ユニ ッ ト のホス ト 名を表示 し 、 必要に応 じ て変更 し ます。 [Priority] 副系ユニ ッ ト のデバ イ ス プ ラ イ オ リ テ ィ を表示 し 、 必要に応 じ て変更 し ます。 デバ イ ス プ ラ イ オ リ テ ィ は、 ク ラ ス タ メ ンバ間では同期 さ れません。 動作中の ク ラ ス タ で、 デバイ ス プ ラ イ オ リ テ ィ を変更 し て、 ク ラ ス タ 内の任意のユニ ッ ト のプ ラ イ オ リ テ ィ を変更 で き ます。 次回 ク ラ ス タ がネゴ シ エー ト す る と き に、 デバ イ ス プ ラ イ オ リ テ ィ の最 も 高い ク ラ ス タ ユニ ッ ト がプ ラ イ マ リ ユニ ッ ト に な り ます。 デバイ ス プ ラ イ オ リ テ ィ の範囲は 0 ~ 255 です。 デ フ ォ ル ト のデバ イ ス プ ラ イ オ リ テ ィ は 128 です。 クラスタ ユニットのクラスタからの切断 FortiGate ユニ ッ ト を切断 し て、 た と えばス タ ン ド ア ロ ン フ ァ イ アウ ォ ール と し て動作 さ せる な ど の別の目的 に 使用 す る 必要が あ る 場合は、 そ の ク ラ ス タ ユ ニ ッ ト を 切断 で き ま す。 [System]、 [Config]、 [HA] の順に選択 し 、 [ ク ラ ス タ から 切断 ] ア イ コ ン を選択する と 、 ク ラ ス タ の動作を中断 さ せる こ と な く 、 動作中の ク ラ ス タ か ら ク ラ ス タ ユニ ッ ト を切断で き ます。 [Serial Number] ク ラ ス タ か ら 切断 さ れる ク ラ ス タ ユニ ッ ト のシ リ アル番号を表示 し ます。 [Interface] 設定す る イ ン タ フ ェ ース を選択 し ます。 ま た、 こ の イ ン タ フ ェ ースの IP ア ド レ ス と ネ ッ ト マ ス ク も 指定 し ます。 FortiGate ユニ ッ ト が切断 さ れる と 、 こ のイ ン タ フ ェ ース に対す る管理ア ク セ スのすべてのオ プ シ ョ ンが有効にな り ます。 [IP/Netmask] こ の イ ン タ フ ェ ースの IP ア ド レ ス と ネ ッ ト マ ス ク を指定 し ます。 こ の IP ア ド レ ス を 使用 し て こ の イ ン タ フ ェ ースに接続 し 、切断 さ れたFortiGateユニ ッ ト を設定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 141 SNMP シス テム - 設定 SNMP SNMP (Simple Network Management Protocol) によ り 、 ネ ッ ト ワー ク 上のハー ド ウ ェ ア を監視で き ます。 ハー ド ウ ェ ア、 つま り FortiGate SNMP エージ ェ ン ト を設定 し て、 SNMP マネージ ャ にシ ス テム情報を報告 し た り 、 ト ラ ッ プ ( ア ラ ームやイ ベ ン ト メ ッ セージ ) を送信 し た り で き ます。 SNMP マネージ ャ、 またはホス ト と は、 エージ ェ ン ト か ら の受信 ト ラ ッ プ を読み取 っ た り 情報を追跡で き る ア プ リ ケーシ ョ ンが動作 し ている コ ン ピ ュ ー タ です。 FortiManager ユニ ッ ト は、 1 つ以上の FortiGate ユニ ッ ト に対する SNMP マネージ ャ ( または、 ホス ト ) と し て機能 で き ます。 SNMPマネージ ャ を使用する と 、SNMP管理ア ク セスが設定 さ れた任意のFortiGateイ ン タ フ ェ ー スまたは VLAN サブ イ ン タ フ ェ ースか ら、SNMP ト ラ ッ プやデー タ にア ク セスで き ます。SNMP マネージ ャ の設定の 1 つ と し て、 監視対象 と な る FortiGate ユニ ッ ト 上の コ ミ ュ ニ テ ィ のホス ト と し て自身を リ ス ト に加え る作業があ り ます。 こ れを行わない と 、 SNMP モ ニ タ は FortiGate ユニ ッ ト か ら の ト ラ ッ プ を一切受信せず、 ク エ リ も 行えません。 FortiGate SNMP 実装は読み取 り 専用です。 SNMP v1、 v2c、 および v3 に準拠 し た SNMP マネー ジ ャ は、 ク エ リ に よ る FortiGate シ ス テ ム情報への読み取 り 専用 ア ク セ ス 権があ り 、 ま た FortiGate ユニ ッ ト か ら ト ラ ッ プ メ ッ セージ を受信で き ます。 FortiGate シ ス テム情報を監視 し た り 、FortiGate ト ラ ッ プ を受信 し た り するには、最初に フ ォ ー テ ィ ネ ッ ト 独自 MIB お よび FortiGate MIB (Management Information Base) フ ァ イルを コ ンパ イル する必要があ り ます。 MIB は、 SNMP マネージ ャ で使用 さ れる SNMP デー タ オブ ジ ェ ク ト の リ ス ト が記述 さ れた テキス ト フ ァ イルです。 こ れ らの MIB は、 SNMP マネージ ャ が、 FortiGate ユニ ッ ト の SNMP エージ ェ ン ト によ っ て送信 さ れた SNMP ト ラ ッ プ、 イ ベン ト 、 お よび ク エ リ メ ッ セージ を解釈する ために必要な情報を提供 し ます。MIB フ ァ イルを ダウン ロー ド する方 法については、 Fortinet Knowledge Base を参照 し て く だ さ い。 SNMP の フ ォ ーテ ィ ネ ッ ト に よ る実装には、 大部分の RFC 2665 (Ethernet-like MIB) と 、 大部分 の RFC 1213 (MIB II) のサポー ト が含まれています。 詳細については、 145 ページの 「フ ォ ー テ ィ ネ ッ ト MIB」 を参照 し て く だ さ い。 SNMP v3 の RFC サポー ト には、 SNMP フ レームワー ク のアーキテ ク チ ャ (RFC 3411) のほか、 ユーザ ベースのセキ ュ リ テ ィ モデル (RFC 3414) の部分的なサポー ト が含まれています。 SNMP ト ラ ッ プは、 い っぱいにな っ た ログ デ ィ ス クや、 検出 さ れたウ イルス と い っ た発生 し た イ ベ ン ト についての警告を通知 し ます。SNMP ト ラ ッ プの詳細については、146ページの「フ ォ ー テ ィ ネ ッ ト および FortiGate ト ラ ッ プ」 を参照 し て く だ さ い。 SNMP フ ィ ール ド には、 CPU 使用率 (%) やセ ッ シ ョ ンの数な どの、 FortiGate ユニ ッ ト に関する 情報が含まれています。 こ れら の情報は、 継続的に、 または ト ラ ッ プ発生時に詳細情報を提供 する ために、ユニ ッ ト の状態を監視する場合に有効です。SNMP フ ィ ール ド の詳細については、 149 ページの 「フ ォ ーテ ィ ネ ッ ト および FortiGate MIB フ ィ ール ド 」 を参照 し て く だ さ い。 FortiGate SNMP v3 の実装には、 ク エ リ 、 ト ラ ッ プ、 認証、 およびプ ラ イバシーのサポー ト が 含まれています。 認証 と 暗号化は、 CLI で設定 さ れます。 『FortiGate CLI リ フ ァ レ ン ス 』 にある system snmp user コ マ ン ド を参照 し て く だ さ い。 注記 : FortiOS v3.0 と v4.0 の間で、MIB フ ァ イルへの大き な変更があ り ま し た。FortiOS v4.0 では、 新 し い MIB を使用する必要があ り ます。 そ う し ない と 、 間違っ た ト ラ ッ プやフ ィ ー ル ド にア ク セスする可能性があ り ます。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 142 ・ SNMP の設定 ・ SNMP コ ミ ュ ニ テ ィ の設定 ・ フ ォ ーテ ィ ネ ッ ト MIB ・ フ ォ ーテ ィ ネ ッ ト お よび FortiGate ト ラ ッ プ ・ フ ォ ーテ ィ ネ ッ ト お よび FortiGate MIB フ ィ ール ド FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 SNMP SNMP の設定 SNMP エージ ェ ン ト を設定するには、 [System]、 [Config]、 [SNMP v1/v2c] の順に選択 し ます。 [SNMP v1/v2c] ページ SNMP エージ ェ ン ト を設定する ための各設定を提供 し ます。 [SNMP Agent] FortiGate SNMP エージ ェ ン ト を有効に し ます。 [Description] FortiGate ユニ ッ ト についての説明情報を入力 し ます。 説明は最大 35 文字です。 [Location] FortiGate ユニ ッ ト の物理的な場所を入力 し ます。シ ス テムの場所の説明は最大 35 文字です。 [Contact] こ の FortiGate ユニ ッ ト の担当者の連絡先情報を入力 し ます。 連絡先情報は最大 35 文字です。 [Apply] 説明、 場所、 お よび連絡先情報への変更を保存 し ます。 [Create New] 新 し い SNMP コ ミ ュ ニ テ ィ を追加する には、 [Create New] を選択 し ます。 143 ページの 「SNMP コ ミ ュ ニ テ ィ の設定」 を参照 し て く だ さ い。 [Communities] FortiGate の設定に追加 さ れた SNMP コ ミ ュ ニ テ ィ の リ ス ト 。最大 3 つの コ ミ ュ ニ テ ィ を追加で き ます。 [Name] こ の SNMP コ ミ ュ ニ テ ィ の名前。 [Queries] 各 SNMP コ ミ ュ ニ テ ィ の SNMP ク エ リ のス テー タ ス。 ク エ リ ス テー タ スは、 有効 ま たは無効にす る こ と がで き ます。 [Traps] 各 SNMP コ ミ ュ ニ テ ィ の SNMP ト ラ ッ プのス テー タ ス。 ト ラ ッ プ ス テー タ スは、 有効ま たは無効にする こ と がで き ます。 [Enable] SNMP コ ミ ュ ニ テ ィ を ア ク テ ィ ブ にす る には、 [Enable] を選択 し ます。 [Delete] SNMP コ ミ ュ ニ テ ィ を削除する には、 [Delete] を選択 し ます。 [Edit] SNMP コ ミ ュ ニ テ ィ を表示ま たは変更する場合に選択 し ます。 SNMP コミュニティの設定 SNMP コ ミ ュ ニ テ ィ と は、 ネ ッ ト ワー クの管理を目的 と し たデバイ スのグループ化です。 その SNMP コ ミ ュ ニ テ ィ 内で、 各デバイ スは、 ト ラ ッ プやその他の情報を送受信する こ と によ っ て 通信で き ます。1 つの管理者端末で フ ァ イ アウ ォ ール SNMP コ ミ ュ ニ テ ィ と プ リ ン タ SNMP コ ミ ュ ニ テ ィ の両方を監視する場合のよ う に、 1 つのデバイ スは複数の コ ミ ュ ニ テ ィ に属する こ と がで き ます。 FortiGate ユニ ッ ト に SNMP コ ミ ュ ニ テ ィ を追加する と 、SNMP マネージ ャが接続 し てシ ス テム 情報を表示 し た り 、 SNMP ト ラ ッ プ を受信 し た り で き ます。 最大 3 つの SNMP コ ミ ュ ニ テ ィ を追加で き ます。 各 コ ミ ュ ニ テ ィ には、 SNMP ク エ リ と ト ラ ッ プ に対す る異な る設定を割 り 当て る こ と がで き ます。 各 コ ミ ュ ニ テ ィ は、 FortiGate ユニ ッ ト の一連の異な る イ ベ ン ト を監視する よ う に設定で き ます。 また、 各 コ ミ ュ ニ テ ィ に、 最大 8 つ の SNMP マネージ ャの IP ア ド レ ス を追加する こ と も で き ます。 注記 : FortiGate ユニ ッ ト がバーチ ャ ル ド メ イ ン モー ド にある場合、SNMP ト ラ ッ プは、管 理バーチ ャル ド メ イ ン内のイ ン タ フ ェ ース上でのみ送信で き ます。 その他のイ ン タ フ ェ ー ス を介 し て ト ラ ッ プ を送信する こ と はで き ません。 [New SNMP Community] ページ SNMP コ ミ ュ ニ テ ィ を設定する ための各設定を提供 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 143 SNMP シス テム - 設定 [Community Name] SNMP コ ミ ュ ニ テ ィ を識別する ための名前を入力 し ます。 [Hosts] セクション IP ア ド レ ス を入力 し 、こ の SNMP コ ミ ュ ニ テ ィ 内の設定を使用 し て FortiGate ユニ ッ ト を監視で き る SNMP マネージ ャ を識別 し ます。 [IP Address] こ のSNMP コ ミ ュ ニ テ ィ 内の設定を使用 し て FortiGateユニ ッ ト を監視で き る SNMP マネージ ャ の IP ア ド レ ス。 また、 任意の SNMP マネージ ャ が こ の SNMP コ ミ ュ ニ テ ィ を使用で き る よ う に、 IP ア ド レ ス を 0.0.0.0 に設定する こ と も で き ます。 [Interface] 必要に応 じ て、 こ の SNMP マネージ ャ が FortiGate ユニ ッ ト に接続する ために使用 す る イ ン タ フ ェ ースの名前 を 選択 し ます。 イ ン タ フ ェ ース を 選択す る必要があ る のは、 SNMP マネージ ャ が FortiGate ユニ ッ ト と 同 じ サブ ネ ッ ト 上に存在 し ない場 合だけです。 こ の状況は、 SNMP マネージ ャ がイ ン タ ーネ ッ ト 上か、 ま たはルー タ の背後に存在す る場合に発生する こ と があ り ます。 バーチ ャ ル ド メ イ ン モ ー ド の場合、 SNMP ト ラ ッ プ を 通過 さ せ る には、 イ ン タ フ ェ ースが管理 VDOM に属 し ている必要があ り ます。 [ 削除 ] SNMP マネージ ャ を削除する には、 [ 削除 ] ア イ コ ン を選択 し ます。 [Add] ホス ト リ ス ト に空白行を追加 し ます。 1 つの コ ミ ュ ニ テ ィ に最大 8 つの SNMP マ ネージ ャ を追加で き ます。 [Queries] セクション FortiGate ユニ ッ ト か ら 設定情報を受信する ために、 こ の コ ミ ュ ニ テ ィ 内の SNMP マネージ ャ が SNMP v1 およ び SNMP v2c ク エ リ のために使用する ポー ト 番号 ( デ フ ォ ル ト では 161) を入力 し ます。各 SNMP バー ジ ョ ンの ク エ リ を ア ク テ ィ ブ にする には、 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 注記 : SNMP ク ラ イ ア ン ト ソ フ ト ウ ェ ア と FortiGate ユニ ッ ト は、 ク エ リ のために同 じ ポー ト を使用す る 必要があ り ます。 [Protocol] SNMP プ ロ ト コ ル。 [Port] こ のプ ロ ト コ ルが使用する ポー ト 。 必要に応 じ て、 ポー ト を変更で き ます。 [Enable] こ の SNMP プ ロ ト コ ルを有効にする場合に選択 し ます。 [Traps] セクション FortiGate ユニ ッ ト が こ の コ ミ ュ ニ テ ィ 内の SNMP マネージ ャ に SNMP v1 お よび SNMP v2c ト ラ ッ プ を送 信する ために使用する [Local] と [Remote] のポー ト 番号 ( デ フ ォ ル ト では、 それぞれポー ト 162) を入力 し ます。 各 SNMP バージ ョ ンの ト ラ ッ プ を ア ク テ ィ ブ にする には、 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 注記 : SNMP ク ラ イ ア ン ト ソ フ ト ウ ェ ア と FortiGate ユニ ッ ト は、 ト ラ ッ プのために同 じ ポー ト を使用す る必要があ り ます。 [SNMP Event] FortiGate ユニ ッ ト が こ の コ ミ ュ ニ テ ィ 内の SNMP マネージ ャ に ト ラ ッ プ を送信す る必要のあ る各 SNMP イ ベ ン ト を有効に し ます。 [CPU 過剰使用 ] ト ラ ッ プの感度は 8 ポー リ ン グサ イ ク ル以上の値か ら計算 さ れる ので、 い く ぶん低 く 抑え ら れます。 こ れはポ リ シーの変更 と い っ た CPU を短期間 に大き く 使用す る イ ベ ン ト に よ る急激な上昇を防止 し ます。 [ 電源障害 ] イ ベン ト ト ラ ッ プは、 一部の FortiGate モデルでのみ使用で き ます。 [AMC イ ン タ フ ェ ースのバ イパス モー ド への切 り 替え ] イ ベン ト ト ラ ッ プは、AMC モ ジ ュ ールをサポー ト する FortiGate モデルでのみ使用で き ます。 [Enable] こ の SNMP イ ベ ン ト を有効にす る場合に選択 し ます。 SNMP アクセスを設定するには (NAT/ ルート モード ) リ モー ト の SNMP マネージ ャが FortiGate エージ ェ ン ト に接続で き る よ う にするには、 SNMP 接続を受け付ける よ う に 1 つ以上の FortiGate イ ン タ フ ェ ース を設定する必要があ り ます。 1 2 3 4 [System]、 [Network]、 [Interface] の順に選択 し ます。 SNMP マネージ ャが接続する イ ン タ フ ェ ース を選択 し 、 [Edit] を選択 し ます。 [Administrative Access] で、 [SNMP] を選択 し ます。 [OK] を選択 し ます。 SNMP アクセスを設定するには ( トランスペアレント モード ) 1 [System]、 [Config]、 [Operation] の順に選択 し ます。 2 [Management IP/Netmask] フ ィ ール ド に、 管理ア ク セスのために使用する IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 3 [Apply] を選択 し ます。 144 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 SNMP フォーティネット MIB FortiGate SNMP エージ ェ ン ト は、 標準の RFC 1213 お よび RFC 2665 MIB だけでな く 、 フ ォ ー テ ィ ネ ッ ト 独自 MIB をサポー ト し ます。 RFC のサポー ト には、 RFC 2665 (Ethernet-like MIB) の 一部 と 、 FortiGate ユニ ッ ト の設定に適用 さ れる RFC 1213 (MIB II) の一部のサポー ト が含まれ ています。 FortiGate ユニ ッ ト の MIB フ ァ イルには、 フ ォ ーテ ィ ネ ッ ト MIB と FortiGate MIB の 2 つが存在 し ます。フ ォ ーテ ィ ネ ッ ト MIB には、すべての フ ォ ーテ ィ ネ ッ ト 製品に共通の ト ラ ッ プ、フ ィ ー ル ド 、 および情報が含まれています。 FortiGate MIB には、 FortiGate ユニ ッ ト に固有の ト ラ ッ プ、 フ ィ ール ド 、 および情報が含まれています。 各 フ ォ ーテ ィ ネ ッ ト 製品には、 独自の MIB が あ り ます。 他の フ ォ ーテ ィ ネ ッ ト 製品を使用す る場合は、 その製品の MIB フ ァ イル も ダウン ロー ド する必要があ り ます。 こ の項の表には、 フ ォ ーテ ィ ネ ッ ト MIB と FortiGate MIB が、 2 つの RFC MIB と と も に示 さ れ ています。 2 つの FortiGate MIB フ ァ イルを フ ォ ーテ ィ ネ ッ ト カ ス タ マ サポー ト か ら ダウン ロー ド で き ます。 MIB フ ァ イルを ダウン ロー ド する方法については、 Fortinet Knowledge Base を参照 し て く だ さ い。 SNMP マネージ ャが、 す ぐ に使用で き る コ ンパイル済みのデー タ ベースに、 標準 MIB と プ ラ イ ベー ト MIB をすでに追加 し ている場合があ り ます。フ ォ ーテ ィ ネ ッ ト 固有の情報にア ク セスす るには、 こ のデー タ ベースに フ ォ ーテ ィ ネ ッ ト 独自 MIB を追加する必要があ り ます。 こ の リ リ ース用の 2 つの MIB を取得 し て コ ンパ イルする必要があ り ます。 フ ォ ーテ ィ ネ ッ ト MIB と ト ラ ッ プの詳細については、 『FortiGate 管理ガ イ ド 』 を参照 し て く だ さ い。 注記 : FortiOS v3.0 と v4.0 の間で、MIB フ ァ イルへの大き な変更があ り ま し た。FortiOS v4.0 では、 新 し い MIB を使用する必要があ り ます。 そ う し ない と 、 間違っ た ト ラ ッ プやフ ィ ー ル ド に誤 っ てア ク セスする可能性があ り ます。 表 13: フォーティネット MIB MIB ファイル名または RFC 説明 FORTINET-CORE-MIB.mib フ ォ ーテ ィ ネ ッ ト 独自 MIB には、すべての フ ォ ーテ ィ ネ ッ ト 製品 に共通の、すべてのシ ス テム設定情報 と ト ラ ッ プ情報が含まれて います。 SNMP マ ネ ー ジ ャ が FortiGate ユ ニ ッ ト の設定 を 監視 し た り 、 FortiGate SNMP エ ージ ェ ン ト か ら ト ラ ッ プ を 受信 し た り す る に は、 こ れ ら の情報が必要 で す。 詳細に つい ては、 146 ペー ジ の 「 フ ォ ーテ ィ ネ ッ ト お よ び FortiGate ト ラ ッ プ」 お よび 149 ページ の 「 フ ォ ーテ ィ ネ ッ ト およ び FortiGate MIB フ ィ ール ド 」 を参照 し て く だ さ い。 FORTINET-FORTIGATE-MIB.mib 独自 FortiGate MIB には、 FortiGate ユニ ッ ト に固有の、 すべての シ ス テム設定情報 と ト ラ ッ プ情報が含まれています。 SNMP マ ネ ー ジ ャ が FortiGate の設定 を 監視 し た り 、 FortiGate SNMP エージ ェ ン ト か ら ト ラ ッ プ を受信 し た り する には、 こ れ ら の情報が必要です。FortiManager シ ス テムが FortiGate ユニ ッ ト を 監視す る には、 こ の MIB が必要です。 詳細については、146 ページの「 フ ォ ーテ ィ ネ ッ ト お よび FortiGate ト ラ ッ プ」お よび 149 ページの「フ ォ ーテ ィ ネ ッ ト お よび FortiGate MIB フ ィ ール ド 」 を参照 し て く だ さ い。 RFC-1213 (MIB II) FortiGate SNMP エ ー ジ ェ ン ト は、 以下を 例外 と し て、 MIB II グ ループ をサポー ト し ます。 ・ MIB II か ら の EGP グループはサポー ト さ れません (RFC 1213、 項 3.11 およ び 6.10)。 ・ MIB II グループ (IP/ICMP/TCP/UDP な ど ) に返 さ れる プ ロ ト コ ル統計では、 FortiGate の ト ラ フ ィ ッ ク活動がすべて正確に キ ャ プ チ ャ さ れ る わけ ではあ り ません。 よ り 正確な情報は、 フ ォ ーテ ィ ネ ッ ト MIB に よ っ て報告 さ れる情報か ら 取得で き ます。 RFC-2665 (Ethernet-like MIB) FortiGate SNMP エ ージ ェ ン ト は、 以下 を例外 と し て、 Ethernetlike MIB の情報をサポー ト し ます。 dot3Tests お よび dot3Errors グループはサポー ト さ れません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 145 SNMP シス テム - 設定 フォーティネットおよび FortiGate トラップ SNMP マネージ ャ は、 フ ォ ーテ ィ ネ ッ ト デバイ スの SNMP エージ ェ ン ト に情報を要求で き ま す。 ま たは、 イ ベ ン ト が発生 し た と き に、 そのエー ジ ェ ン ト が ト ラ ッ プ を送信で き ます。 ト ラ ッ プ と は、 フ ォ ー テ ィ ネ ッ ト デバ イ ス上で何かが発生 し たか、 ま たは変更 さ れた こ と を SNMP マネージ ャ に通知する ために使用 さ れる方法です。 FortiGate デバイスの SNMP トラップを受信するには、 FORTINET-CORE-MIB と FORTINETFORTIGATE-MIB を SNMP マネージャにロードしてコンパイルする必要があります。送信されるトラッ プには、 トラップ メッセージの他に、 FortiGate ユニットのシリアル番号 (fnSysSerial) とホスト名 (sysName) が含まれます。 こ の項の表には、 SNMP ト ラ ッ プおよび変数に関する情報が含まれています。 こ れ らの表は、 必要な フ ォ ーテ ィ ネ ッ ト ト ラ ッ プ または変数のオブ ジ ェ ク ト 識別子番号 (OID)、ト ラ ッ プ メ ッ セージ、 および ト ラ ッ プの説明を見つけるのに役立つよ う に掲載 さ れています。 表の名前は、 その ト ラ ッ プが、 フ ォ ーテ ィ ネ ッ ト MIB または FortiGate MIB のど ち ら で見つか るかを示 し ています。 「 ト ラ ッ プ メ ッ セージ」 カ ラ ムには、 ト ラ ッ プに含まれる メ ッ セージの ほか、その ト ラ ッ プに関する情報を見つけるのに役立つ SNMP MIB フ ィ ール ド 名が含まれてい ます。 fn で始ま る ト ラ ッ プ (fnTrapCpuThreshold ǻǫ) は、 フ ォ ーテ ィ ネ ッ ト MIB で定 義 さ れています。 fg で始ま る ト ラ ッ プ (fgTrapAvVirus な ど ) は、 FortiGate MIB で定義 さ れ ています。 オ ブ ジ ェ ク ト 識別子 (OID) は、 表の一番上にある番号の最後に イ ンデ ッ ク ス を追加 し て構成 さ れます。 た と えば、 OID が 1.3.6.1.4.1.12356.1.3.0 で、 イ ンデ ッ ク スが 4 の場合、 完全な OID は 1.3.6.1.4.1.12356.1.3.0.4 にな り ます。OID と オブ ジ ェ ク ト の名前は、SNMP マネージ ャ が、 フ ォ ー テ ィ ネ ッ ト および FortiGate MIB の フ ィ ール ド と ト ラ ッ プ を どのよ う に参照するかを示 し てい ます。 イ ンデン ト さ れた行は、 直前の行に関連する メ ッ セージ または表に含まれる フ ィ ール ド です。 以下の表には、 次の内容が含まれています。 ・ 一般的な フ ォ ーテ ィ ネ ッ ト ト ラ ッ プ (OID 1.3.6.1.4.1.12356.1.3.0) ・ シ ス テム ト ラ ッ プ (OID1.3.6.1.4.1.12356.1.3.0) ・ FortiGate VPN ト ラ ッ プ (OID1.3.6.1.4.1.12356.1.3.0) ・ FortiGate IPS ト ラ ッ プ (OID1.3.6.1.4.1.12356.1.3.0) ・ FortiGate ア ン チウ イルス ト ラ ッ プ (OID1.3.6.1.4.1.12356.1.3.0) ・ FortiGate HA ト ラ ッ プ (OID1.3.6.1.4.1.12356.1.3.0) 表 14: 一般的なフォーティネット トラップ (OID 1.3.6.1.4.1.12356.1.3.0) 146 イン トラップ メッセージ デック ス 説明 .1 .2 .3 .4 RFC 1215 に記述 さ れてい る標準的な ト ラ ッ プ。 ColdStart WarmStart LinkUp LinkDown FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 SNMP 表 15: システム トラップ (OID1.3.6.1.4.1.12356.1.3.0) イン トラップ メッセージ デック ス 説明 .101 CPU 使用率が高い (fnTrapCpuThreshold) CPU 使用率が 80% を超え ています。 こ の し き い値は、 CLI で config system snmp sysinfo, set trap-high-cputhreshold を使用 し て設定で き ます。 .102 メ モ リ の残量が少ない (fnTrapMemThreshold) メ モ リ 使用率が 90% を超え ています。 こ の し き い値は、 CLI で config system snmp sysinfo, set trap-lowmemory-threshold を使用 し て設定で き ます。 .103 ロ グ デ ィ ス クがい っ ぱい (fnTrapLogDiskThreshold) ロ グ デ ィ ス ク の使用率が設定 さ れ た し き い値 を 超 え て い ま す。 ロ グ デ ィ ス ク を 備え たデバ イ ス でのみ使用で き ます。 こ の し き い値は、CLI で config system snmp sysinfo, set trap-log-full-threshold を使用 し て設定で き ます。 .104 温度が高過ぎ る (fnTrapTempHigh) デバ イ ス上の温度セ ンサーが し き い値を超え ています。すべて のデバイ スに温度セ ンサーがあ るわけではあ り ません。仕様に ついては、 マ ニ ュ アルを参照 し て く だ さ い。 .105 電圧が許容範囲外 (fnTrapVoltageOutOfRange) 出力レ ベルが正常な レ ベルの範囲外に変動 し ています。すべて のデバ イ スに電圧監視計器があ るわけではあ り ません。 .106 電源障害 (fnTrapPowerSupplyFailure) 電源障害が検出 さ れま し た。すべてのモデルで使用で き るわけ ではあ り ません。冗長電源をサポー ト し てい る一部のデバ イ ス で使用で き ます。 .201 イ ン タ フ ェ ース IP の変更 (fnTrapIpChange) イ ン タ フ ェ ースの IP ア ド レ スが変更 さ れま し た。 こ の ト ラ ッ プ メ ッ セージ には、 イ ン タ フ ェ ースの名前、 新 し い IP ア ド レ ス、 お よび Fortinet ユニ ッ ト のシ リ アル番号が含 まれます。 こ の ト ラ ッ プ を使用する と 、DHCP ま たは PPPoE を 使用 し てダ イ ナ ミ ッ ク IP ア ド レ スが設定 さ れた イ ン タ フ ェ ー スの イ ン タ フ ェ ース IP ア ド レ スの変更を追跡で き ます。 .999 診断 ト ラ ッ プ (fnTrapTest) こ の ト ラ ッ プは、 診断の目的で送信 さ れます。 .999 の OID イ ンデ ッ ク ス を持 っ ています。 表 16: FortiGate VPN トラップ (OID1.3.6.1.4.1.12356.1.3.0) イン トラップ メッセージ デック ス 説明 .301 VPN ト ン ネルが起動 (fgTrapVpnTunUp) IPSec VPN ト ン ネルが起動 し ま し た。 .302 VPN ト ン ネルが停止 (fgTrapVpnTunDown) IPSec VPN ト ン ネルが停止 し ま し た。 ローカル ゲートウェイ アドレス (fgVpnTrapLocalGateway) VPN ト ン ネルのロ ー カ ル側のア ド レ ス。 こ の情報は、 両方の VPN ト ン ネル ト ラ ッ プ に関連付け ら れています。 (OID1.3.6.1.4.1.12356.101.12.3.2) リモート ゲートウェイ アドレス (fgVpnTrapRemoteGateway) VPN ト ン ネルの リ モー ト 側のア ド レ ス。 こ の情報は、 両方の VPN ト ン ネル ト ラ ッ プ に関連付け ら れています。 (OID1.3.6.1.4.1.12356.101.12.3.2) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 147 SNMP シス テム - 設定 表 17: FortiGate IPS トラップ (OID1.3.6.1.4.1.12356.1.3.0) イン トラップ メッセージ デック ス 説明 .503 IPS シグネチ ャ (fgTrapIpsSignature) IPS シグネチ ャ が検出 さ れま し た。 .504 IPS ア ノ マ リ (fgTrapIpsAnomaly) IPS ア ノ マ リ が検出 さ れま し た。 .505 IPS パ ッ ケージの更新 (fgTrapIpsPkgUpdate) IPS シグネチ ャ のデー タ ベースが更新 さ れま し た。 (fgIpsTrapSigId) ト ラ ッ プ内で識別 さ れた IPS シグネチ ャ の ID。 (OID 1.3.6.1.4.1.12356.101.9.3.1) (fgIpsTrapSrcIp) IPS シグネチ ャ ト リ ガの IP ア ド レ ス。 (OID 1.3.6.1.4.1.12356.101.9.3.2) (fgIpsTrapSigMsg) IPS イ ベ ン ト に関連付け ら れた メ ッ セージ。 (OID 1.3.6.1.4.1.12356.101.9.3.3) 表 18: FortiGate アンチウイルス トラップ (OID1.3.6.1.4.1.12356.1.3.0) イン トラップ メッセージ デック ス 説明 .601 ウ イルス を検出 (fgTrapAvVirus) ア ン チウ イ ルス エ ン ジ ンが、 HTTP ま たは FTP ダウ ン ロー ド 、 あ る いは電子 メ ール メ ッ セージか ら の感染 フ ァ イ ル内 にウ イルス を検出 し ま し た。 .602 サイ ズ超過の フ ァ イル /電子 メ ー ア ン チウ イ ルス スキ ャ ナが、 サ イ ズ超過の フ ァ イ ル を検出 ルを検出 し ま し た。 (fgTrapAvOversize) .603 フ ァ イル名のブ ロ ッ ク を検出 (fgTrapAvPattern) ア ン チウ イ ルス スキ ャ ナが、 既知のウ イルス パ タ ーン に一 致する フ ァ イ ルを ブ ロ ッ ク し ま し た。 .604 断片化 さ れた フ ァ イルを検出 (fgTrapAvFragmented) ア ン チウ イ ルス スキ ャ ナが、 断片化 さ れた フ ァ イ ルま たは 添付 フ ァ イ ルを検出 し ま し た。 .605 (fgTrapAvEnterConserve) メ モ リ が不足 し てい る ため、 AV エ ン ジ ンが資源保護モー ド に入 り ま し た。 .606 (fgTrapAvBypass) 資源保護モー ド のために AV スキ ャ ナがバ イ パス さ れま し た。 .607 (fgTrapAvOversizePass) サ イ ズ超過の フ ァ イルが検出 さ れま し たが、設定に よ っ てパ ス さ れま し た。 .608 (fgTrapAvOversizeBlock) サ イ ズ超過の フ ァ イルが検出 さ れ、 ブ ロ ッ ク さ れま し た。 (fgAvTrapVirName) 148 こ の イ ベ ン ト を ト リ ガ し たウ イルス名。 (OID1.3.6.1.4.1.12356.101.8.3.1) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 SNMP 表 19: FortiGate HA トラップ (OID1.3.6.1.4.1.12356.1.3.0) イン トラップ メッセージ デック ス 説明 .401 HA の切 り 替え (fgTrapHaSwitch) 指定 さ れた ク ラ ス タ メ ンバが、 ス レ ーブか ら マ ス タ に移行 し ま し た。 .402 HA 状態の変更 (fgTrapHaStateChange) HA ク ラ ス タ メ ン バが状態 を 変更 し た と き に 送信 さ れ る ト ラ ッ プ。 . .403 HA ハー ト ビー ト の障害 (fgTrapHaHBFail) ハー ト ビ ー ト の障害の回数が設定 さ れた し き い値 を 超え て い ます。 .404 HA メ ンバが使用不可 (fgTrapHaMemberDown) HA メ ンバが ク ラ ス タ か ら 使用で き な く な り ま し た。 .405 HA メ ンバが使用可能 (fgTrapHaMemberUp) HA メ ンバが ク ラ ス タ か ら 使用で き る よ う にな り ま し た。 (fgHaTrapMemberSerial) HA ク ラ ス タ メ ンバのシ リ アル番号。ク ラ ス タ が設定 さ れてい る場合、 ト ラ ッ プの発生源を識別する ために使用 さ れます。 (OID1.3.6.1.4.1.12356.101.13.3.1) フォーティネットおよび FortiGate MIB フィールド FortiGate MIB には、 FortiGate ユニ ッ ト の現在のス テー タ ス情報を報告する フ ィ ール ド が含ま れています。 以下の表は、 MIB フ ィ ール ド の名前の一覧であ り 、 各 フ ィ ール ド で使用で き る ス テ ー タ ス 情 報 を 説 明 し て い ま す。 FORTINET-CORE-MIB.mib フ ァ イ ル と FORTINETFORTIGATE-MIB.mib フ ァ イルを SNMP マネージ ャ で コ ンパイル し 、 コ ン ピ ュ ー タ 上で MIB フ ィ ール ド を参照する こ と によ っ て、 すべての フ ォ ーテ ィ ネ ッ ト および FortiGate MIB フ ィ ー ル ド か ら使用可能な情報に関する詳細を表示で き ます。 フ ィ ール ド が見つけやす く な る よ う に、 フ ィ ール ド の各表のオ ブ ジ ェ ク ト 識別子 (OID) 番号が 含まれています。 フ ィ ール ド の OID 番号は、 表内のその フ ィ ール ド の (0 か ら始ま る ) 位置を 示 し ます。 た と えば、 fnSysVersion は、 1.3.6.1.4.1.12356.2 の OID を持 っ ています。 以下の表には、 次の内容が含まれています。 ・ FortiGate HA MIB の情報 フ ィ ール ド (OID 1.3.6.1.4.1.12356.101.13.1) ・ FortiGate HA ユニ ッ ト のス テー タ ス フ ィ ール ド (OID 1.3.6.1.4.1.12356.101.13.2) ・ FortiGate 管理者ア カ ウン ト (OID 1.3.6.1.4.1.12356.101) ・ FortiGate バーチ ャル ド メ イ ン (OID 1.3.6.1.4.1.12356.101.3.1) ・ FortiGate バーチ ャル ド メ イ ンのテーブル エ ン ト リ (OID 1.3.6.1.4.1.12356.101.3.2.1.1) ・ FortiGate のア ク テ ィ ブ な IP セ ッ シ ョ ンのテーブル (OID 1.3.6.1.4.1.12356.101.11.2.1.1) ・ FortiGate フ ァ イ アウ ォ ール ポ リ シーの統計テーブル (OID 1.3.6.1.4.1.12356.101.5.1.2.1.1) ・ FortiGate のダ イヤルア ッ プ VPN ピ ア (OID 1.3.6.1.4.1.12356.101.12.2.1.1) ・ VPN ト ンネル テーブル (OID 1.3.6.1.4.1.12356.101.12.2.2.1) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 149 SNMP シス テム - 設定 表 20: FortiGate HA MIB の情報フィールド (OID 1.3.6.1.4.1.12356.101.13.1) MIB フィールド 説明 イン デック ス fgHaSystemMode 高可用性モー ド ( ス タ ン ド ア ロ ン、 A-A、 ま たは A-P)。 .1 fgHaGroupId HA ク ラ ス タ のグループ ID。 .2 fgHaPriority HA ク ラ ス タ のプ ラ イ オ リ テ ィ ( デ フ ォ ル ト は 127)。 .3 fgHaOverride マス タ 置き換え フ ラ グのス テー タ ス。 .4 fgHaAutoSync 自動設定同期のス テー タ ス。 .5 fgHaSchedule ア ク テ ィ ブ - ア ク テ ィ ブ モ ー ド で の ク ラ ス タ の負荷分散 ス ケ .6 ジ ュ ール。 fgHaGroupName HA ク ラ ス タ のグループ名。 .7 fgHaTrapMemberSerial HA ク ラ ス タ メ ンバのシ リ アル番号。 .8 表 21: FortiGate HA ユニットのステータス フィールド (OID 1.3.6.1.4.1.12356.101.13.2) MIB フィールド 説明 イン デック ス fgHaStatsTable HA ク ラ ス タ 内の個々の FortiGate ユニ ッ ト の統計。 fgHaStatsIndex ク ラ ス タ 内のユニ ッ ト の イ ンデ ッ ク ス番号。 .1 fgHaStatsSerial FortiGate ユニ ッ ト のシ リ アル番号。 .2 fgHaStatsCpuUsage FortiGate ユニ ッ ト の現在の CPU 使用率 (%)。 .3 fgHaStatsMemUsage ユニ ッ ト の現在の メ モ リ 使用率 (%)。 .4 fgHaStatsNetUsage ユニ ッ ト の現在のネ ッ ト ワー ク 使用量 (Kbps)。 .5 fgHaStatsSesCount ア ク テ ィ ブ な セ ッ シ ョ ンの数。 .6 fgHaStatsPktCount 処理 さ れたパケ ッ ト の数。 .7 fgHaStatsByteCount FortiGate ユニ ッ ト に よ っ て処理 さ れたバ イ ト 数。 .8 fgHaStatsIdsCount 起動 し てか ら IPS が検出 し た攻撃の数。 fgHaStatsAvCount 起動 し てか ら ア ン チ ウ イ ルス シ ス テ ムが検出 し .10 たウ イルスの数。 fgHaStatsHostname HA ク ラ ス タ のユニ ッ ト のホス ト 名。 .9 .11 表 22: FortiGate 管理者アカウント (OID 1.3.6.1.4.1.12356.101) MIB フィールド 説明 fgAdminIdleTimeout 管理者がシ ス テムか ら 自動的に ロ グ ア ウ ト さ れ る ま でのア イ ド ル .1 期間。 fgAdminLcdProtection LCD 保護のス テー タ ス であ り 、 有効ま たは無効のど ち ら に な っ て .2 いるかを示 し ます。 fgAdminTable こ の FortiGate ユニ ッ ト 上の管理者のテーブル。 fgAdminVdom 150 イン デック ス こ の管理者が属するバーチ ャ ル ド メ イ ン。 (OID 1.3.6.1.4.1.12356.101.6.1.2.1.1.1) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 SNMP 表 23: FortiGate バーチャル ドメイン (OID 1.3.6.1.4.1.12356.101.3.1) MIB フィールド 説明 イン デック ス fgVdInfo FortiGate ユニ ッ ト のバーチ ャ ル ド メ イ ン関連情報。 fgVdNumber こ の FortiGate ユニ ッ ト 上に設定 さ れているバーチ ャ ル .1 ド メ イ ンの数。 fgVdMaxVdoms ハー ド ウ ェ ア ま た は ラ イ セ ン ス に よ っ て 許可 さ れ た、 .2 FortiGate ユニ ッ ト 上で許可 さ れてい るバーチ ャ ル ド メ イ ンの最大数。 fgVdEnabled こ の FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効 .3 にな っ てい るかど う か。 表 24: FortiGate バーチャル ドメインのテーブル エントリ (OID 1.3.6.1.4.1.12356.101.3.2.1.1) MIB フィールド 説明 イン デック ス fgVdTable.fgVd 各バーチ ャ ル ド メ イ ン に関する情報のテーブル。 各バーチ ャ ル ド メ イ ン に fgVdEntry があ り ます。 各エ ン ト リ には次の フ ィ ール ド があ り ます。 Entry fgVdEntIndex こ の テ ー ブ ル内のエ ン ト リ を 一意に識別す る ために使 .1 用 さ れる内部のバーチ ャ ル ド メ イ ン イ ンデ ッ ク ス。 こ の イ ン デ ッ ク スは、 バーチ ャ ル ド メ イ ン を 参照 し て い る他のテーブルで も 使用 さ れます。 fgVdEntName こ のバーチ ャ ル ド メ イ ンの名前。 .2 fgVdEntOpMode こ のバー チ ャ ル ド メ イ ン の動作 モ ー ド ([NAT] ま たは .3 [Transparent])。 表 25: FortiGate のアクティブな IP セッションのテーブル (OID 1.3.6.1.4.1.12356.101.11.2.1.1) MIB フィールド 説明 イン デック ス fgIpSessIndex fgIpSessTable テーブル内の IP セ ッ シ ョ ンの イ ンデ ッ ク ス番号。 .1 fgIpSessProto こ のセ ッ シ ョ ンが使用 し てい る IP プ ロ ト コ ル (IP、 TCP、 UDP な ど )。 .2 fgIpSessFromAddr ア ク テ ィ ブ な IP セ ッ シ ョ ンの発信元 IPv4 ア ド レ ス。 .3 fgIpSessFromPort ア ク テ ィ ブ な IP セ ッ シ ョ ンの発信元ポー ト (UDP と TCP のみ )。 .4 fgIpSessToAddr ア ク テ ィ ブ な IP セ ッ シ ョ ンの宛先 IPv4 ア ド レ ス。 .5 fgIpSessToPort ア ク テ ィ ブ な IP セ ッ シ ョ ンの宛先ポー ト (UDP と TCP のみ )。 .6 fgIpSessExp こ のセ ッ シ ョ ンの期限が切れる ま での残 り 秒数 (ア イ ド ル状態の場合)。 .7 fgIpSessVdom こ のセ ッ シ ョ ンが含まれてい るバーチ ャル ド メ イ ン。 fgVdTable 内の イ .8 ン デ ッ ク スに対応 し ます。 fgIpSessStatsTable バーチ ャ ル ド メ イ ンの IP セ ッ シ ョ ン統計テーブル。 fgIpSessStatsEntry.fg こ のバーチ ャル ド メ イ ン上の合計セ ッ シ ョ ン数。 (OID 1.3.6.1.4.1.12356.101.11.2.1.2.1.1) IpSessNumber FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 151 SNMP シス テム - 設定 表 26: FortiGate ファイアウォール ポリシーの統計テーブル (OID 1.3.6.1.4.1.12356.101.5.1.2.1.1) MIB フィールド 説明 イン デック ス fgFwPolicyStatsTable.fgFw バーチ ャ ル ド メ イ ン上の フ ァ イ アウ ォ ール ポ リ シー統計テーブル内のエ ン ト リ。 PolicyStatsEntry fgFwPolicyID フ ァ イ ア ウ ォ ール ポ リ シー ID。 .1 ク エ リ に使用で き るのは、 有効にな っ てい る ポ リ シーだけです。 ポリシー ID は、バーチャル ドメイン内でのみ一意です。 fgFwPolicyPktCount ポ リ シーに一致 し た ( ポ リ シー ア ク シ ョ ン に応 じ て、パス ま たは .2 ブ ロ ッ ク さ れた ) パケ ッ ト の数。 カ ウ ン ト は、 そのポ リ シーがア ク テ ィ ブ にな っ た時点か ら 始ま り ます。 fgFwPolicyByteCount ポ リ シーに一致 し た ( ポ リ シー ア ク シ ョ ン に応 じ て、パス ま たは .3 ブ ロ ッ ク さ れた ) バ イ ト 数。 カ ウ ン ト は、 そのポ リ シ ーが ア ク テ ィ ブ にな っ た時点か ら 始ま り ます。 表 27: FortiGate のダイヤルアップ VPN ピア (OID 1.3.6.1.4.1.12356.101.12.2.1.1) 152 MIB フィールド 説明 イン デック ス fgVpnDialupIndex こ のテーブル内の VPN ダ イ ヤルア ッ プ ピ ア を一意に識別す る イ ン .1 デ ッ ク ス値。 fgVpnDialupGateway ト ン ネル上の リ モー ト ゲー ト ウ ェ イの IP ア ド レ ス。 .2 fgVpnDialupLifetime VPN ト ン ネル存続期間 ( 秒単位 )。 .3 fgVpnDialupTimeout こ の ト ン ネルの次のキー交換ま での残 り 時間 ( 秒 )。 .4 fgVpnDialupSrcBegin ト ン ネルの リ モー ト サブ ネ ッ ト ア ド レ ス。 .5 fgVpnDialupSrcEnd ト ン ネルの リ モー ト サブ ネ ッ ト マ ス ク 。 .6 fgVpnDialupDstAddr ト ン ネルのロー カル サブ ネ ッ ト ア ド レ ス。 .7 fgVpnDialupVdom こ の ト ン ネルが含まれているバーチ ャ ル ド メ イ ン。 こ の イ ンデ ッ .8 ク スは、 fgVdTable 内の イ ン デ ッ ク スに対応 し ます。 fgVpnDialUpInOctets ト ン ネルを介 し て受信 さ れたバ イ ト 数。 .9 fgVpnDialUpOutOctets ト ン ネルを介 し て送信 さ れたバ イ ト 数。 .10 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ 表 28: VPN トンネル テーブル (OID 1.3.6.1.4.1.12356.101.12.2.2.1) MIB フィールド 説明 イン デック ス fgVpnTunEntIndex VPN ト ン ネル テーブル内の VPN ト ン ネルを一意に識別す .1 る イ ンデ ッ ク ス値。 fgVpnTunEntPhase1Name こ の ト ン ネルの フ ェ ーズ 1 設定のわか り やすい名前。 .2 fgVpnTunEntPhase2Name こ の ト ン ネルの フ ェ ーズ 2 設定のわか り やすい名前。 .3 fgVpnTunEntRemGwyIp こ の ト ン ネルで使用 さ れる リ モー ト ゲー ト ウ ェ イの IP。 .4 fgVpnTunEntRemGwyPort こ の ト ン ネルで使用 さ れ る リ モ ー ト ゲー ト ウ ェ イ のポー .5 ト (UDP の場合 )。 fgVpnTunEntLocGwyIp こ の ト ン ネルで使用 さ れる ロ ー カ ル ゲー ト ウ ェ イの IP。 fgVpnTunEntLocGwyPort こ の ト ン ネルで使用 さ れ る ロ ー カ ル ゲー ト ウ ェ イ のポー .7 ト (UDP の場合 )。 fgVpnTunEntSelectorSrcBeginIp 送信元セ レ ク タ のア ド レ ス範囲の始ま り 。 .8 fgVpnTunEntSelectorSrcEndIp 送信元セ レ ク タ のア ド レ ス範囲の終わ り 。 .9 fgVpnTunEntSelectorSrcPort 送信元セ レ ク タ ポー ト 。 .10 fgVpnTunEntSelectorDstBeginIp 送信先セ レ ク タ のア ド レ ス範囲の始ま り 。 .11 fgVpnTunEntSelectorDstEndIp 送信先セ レ ク タ のア ド レ ス範囲の終わ り 。 .12 fgVpnTunEntSelectorDstPort 送信先セ レ ク タ ポー ト 。 .13 fgVpnTunEntSelectorProto セ レ ク タ のプ ロ ト コ ル番号。 .14 fgVpnTunEntLifeSecs 時間ベースの存続期間が使用 さ れてい る場合の、 こ の ト ン .15 ネルの存続期間 ( 秒単位 )。 fgVpnTunEntLifeBytes バ イ ト 転送ベースの存続期間が使用 さ れてい る場合の、 こ .16 の ト ン ネルの存続期間 ( バ イ ト 単位 )。 fgVpnTunEntTimeout こ の ト ン ネルの タ イ ムア ウ ト ( 秒単位 )。 .17 fgVpnTunEntInOctets こ の ト ン ネル上で受信 さ れたバ イ ト 数。 .18 fgVpnTunEntOutOctets こ の ト ン ネル上で送信 さ れたバ イ ト 数。 .19 fgVpnTunEntStatus こ の ト ン ネルの現在のス テー タ ス ( 起動ま たは停止 )。 .20 fgVpnTunEntVdom こ の ト ン ネ ルが属 す る バ ー チ ャ ル ド メ イ ン。 こ の イ ン .21 デ ッ ク スは、 fgVdTable で使用 さ れてい る イ ンデ ッ ク スに 対応 し ます。 .6 差し替えメッセージ FortiGate ユニ ッ ト は、 さ ま ざ ま な コ ン テ ン ツ ス ト リ ームに差 し 替え メ ッ セージ を追加 し ます。 た と えば、 電子 メ ール メ ッ セージの添付 フ ァ イルにウ イルスが検出 さ れた場合、 その フ ァ イ ルは電子 メ ールか ら削除 さ れ、 差 し 替え メ ッ セージに置き換え ら れます。 Web フ ィ ル タ リ ング で ブ ロ ッ ク さ れたページや、 電子 メ ール フ ィ ル タ リ ン グで ブ ロ ッ ク さ れた電子 メ ールに も 同 じ 処理が適用 さ れます。 差 し 替え メ ッ セージ を変更 し た り 、 FortiGate ユニ ッ ト が電子 メ ール メ ッ セージ、 Web ページ、 FTP セ ッ シ ョ ン な どの コ ン テ ン ツ ス ト リ ームに追加する ア ラ ー ト メ ールや情報を カ ス タ マ イ ズ し た り するには、 [System]、 [Config]、 [Replacement Message] の順に選択 し ます。 注記 : フ ォ ーテ ィ ネ ッ ト が用意 し た免責の差 し 替え メ ッ セージは、 例にすぎません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 153 差 し 替え メ ッ セージ シス テム - 設定 VDOM とグローバル差し替えメッセージ FortiGate ユニ ッ ト には、 すべての VDOM で使用 さ れるグ ローバル差 し 替え メ ッ セージが含ま れています。 グローバル レ ベルで、 差 し 替え メ ッ セージ を カ ス タ マ イ ズ し た り 、 変更 し た メ ッ セージ を工場出荷のデ フ ォ ル ト 値に リ セ ッ ト し た り す る こ と がで き ます。 カ ス タ マ イ ズ し た メ ッ セージ をデ フ ォ ル ト メ ッ セージに戻す こ と に し た場合は、 差 し 替え メ ッ セージ リ ス ト に カ ス タ マ イ ズ し た メ ッ セージ を表示 し 、 [ リ セ ッ ト ] ア イ コ ン を選択 し て メ ッ セージ をデ フ ォ ル ト バージ ョ ンに戻す こ と がで き ます。 各 VDOM では、 必要に応 じ てその VDOM の差 し 替え メ ッ セージ を カ ス タ マ イズす る こ と によ り 、 グ ローバル メ ッ セージ を置き換え る こ と がで き ます。 カ ス タ マ イ ズ し た メ ッ セージ を グ ローバル メ ッ セージに戻す こ と に し た場合は、 差 し 替え メ ッ セージ リ ス ト に カ ス タ マ イ ズ し た メ ッ セージ を表示 し 、[ リ セ ッ ト ] ア イ コ ン を選択 し て メ ッ セージ を こ の メ ッ セージのグロー バル バージ ョ ン を使用する よ う に戻す こ と がで き ます。 差し替えメッセージ リストの表示 差 し 替え メ ッ セージ リ ス ト を表示するには、 [System]、 [Config]、 [Replacement Message] の順 に選択 し ます。 差 し 替え メ ッ セージ リ ス ト は、 差 し 替え メ ッ セージ を表示 し た り 、 要件に応 じ て カ ス タ マ イズ し た り する ために使用 し ます。 こ の リ ス ト では、 差 し 替え メ ッ セージがい く つかの種類 ( メ ール、 HTTP な ど ) に整理 さ れます。 各種類の横にあ る展開の矢印を使用する と 、 そのカ テ ゴ リ の差 し 替え メ ッ セージが表示 さ れます。 各差 し 替え メ ッ セージ を要件に応 じ て カ ス タ マ イズするには、 その メ ッ セージの横にある [ 編集 ] ア イ コ ン を選択 し ます。 VDOM で差 し 替え メ ッ セージ リ ス ト を表示 し てい る場合、 その VDOM のカ ス タ マ イ ズ さ れた メ ッ セージの横には、 その差 し 替え メ ッ セージ を グ ローバル バージ ョ ン に リ セ ッ ト する ため に使用で き る [ リ セ ッ ト ] ア イ コ ンが表示 さ れます。 [Replacement Messages] ページ 差 し 替え メ ッ セージ を、 関連する FortiOS 機能に よ っ てグループ化 さ れた状態で表示 し ます。 た と えば、 ウ イルス メ ッ セージは [Mail] グループ に配置 さ れます。 [Name] 差 し 替え メ ッ セージの カ テ ゴ リ 。 こ の カ テ ゴ リ を展開または縮小す る には、 展開の矢印 を選択 し ます。 各 カ テ ゴ リ には、 FortiGate の異な る機能で使用 さ れる い く つかの差 し 替 え メ ッ セージが含まれています。 こ れ ら の差 し 替え メ ッ セージについては以下で説明 し ます。 [Description] こ の差 し 替え メ ッ セージの説明。 [Edit] 差 し 替え メ ッ セージ を変更または表示す る場合に選択 し ます。 [Reset] VDOM の差 し 替え メ ッ セージ リ ス ト でのみ表示 さ れます。 こ の差 し 替え メ ッ セージのグ ロ ーバル バージ ョ ン に戻す場合に選択 し ます。 注記 : FortiOS は、 ファイアウォール ポリシーが有効になる前に、 ユーザが承認する認証免責 ページを HTTP を使用して送信します。 したがって、 認証免責ページを表示させるには、 ユー ザはまず HTTP トラフィックを開始する必要があります。 免責事項が承認されると、 ユーザはファ イアウォール ポリシーで許可されたトラフィックをすべて送信できます。 差し替えメッセージの変更 差 し 替え メ ッ セージ リ ス ト を変更するには、 [System]、 [Config]、 [Replacement Message] の順 に選択 し ます。 展開の矢印を使用 し て、 変更する差 し 替え メ ッ セージ を表示 し ます。 テキス ト や HTML コ ー ド を編集 し た り 、 差 し 替え メ ッ セージ タ グ を操作 し た り する こ と に よ っ て、 差 し 替え メ ッ セージの コ ン テ ン ツ を変更で き ます。 差 し 替え メ ッ セージ タ グの説明については、 164 ページの表 39 を参照 し て く だ さ い。 差 し 替え メ ッ セージは、 テキス ト または HTML メ ッ セージにする こ と がで き ます。 HTML メ ッ セー ジ には HTML コ ー ド を追加で き ます。 差 し 替え メ ッ セー ジ で使用す る形式は、 [Allowed Formats] に表示 さ れます。 各差 し 替え メ ッ セージについて、 8192 文字の制限があ り ます。 差 し 替え メ ッ セージ を編集する場合は、 次の フ ィ ール ド と オプ シ ョ ンが使用で き ます。 差 し 替え メ ッ セージ ご と に、 異な る種類の フ ィ ール ド と オプ シ ョ ンがあ り ます。 154 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ 差し替えメッセージの差し替えメッセージ ページ [Message Setup] こ の差 し 替え メ ッ セージの名前。 [Allowed Formats] 差 し 替え メ ッ セージ に含め る こ と ので き る コ ン テ ン ツの種類。 許可 さ れる形式 は [Text] ま たは [HTML] のど ち ら かです。 テキス ト メ ッ セージには HTML コ ー ド を使用で き ません。 テキス ト や HTML メ ッ セージには、 差 し 替え メ ッ セージ タ グ を含める こ と がで き ます。 [Size] こ の差 し 替え メ ッ セージ で許可 さ れる文字数。 通常、 サ イ ズは 8192 文字です。 [Message Text] 差 し 替え メ ッ セージの編集可能な テキス ト 。 メ ッ セージ テキス ト には、 テキス ト 、HTML コ ー ド ( 許可 さ れる形式が [HTML] の場合 )、およ び差 し 替え メ ッ セー ジ タ グ を含める こ と がで き ます。 次のカ テ ゴ リ の差 し 替え メ ッ セージ を カ ス タ マ イ ズで き ます。 メール差し替えメッセージ 電子 メ ールに添付 さ れたウ イ ルス を含む フ ァ イ ルのア ン チウ イルスに よ る ブ ロ ッ ク な どの イ ベン ト が発生 し た場合、 FortiGate ユニ ッ ト は IMAP、 POP3、 または SMTP を使用 し て、 表 29 に表示 さ れてい る メ ール差 し 替え メ ッ セージ を電子 メ ール ク ラ イ ア ン ト お よびサーバに送信 し ます。 電子 メ ール差 し 替え メ ッ セージはテキス ト メ ッ セージ です。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツのスキ ャ ン と 検査をサポー ト し てい る場合は、 こ れ ら の 差 し 替え メ ッ セージ を IMAPS、 POP3S、 および SMTPS 電子 メ ール メ ッ セージに追加する こ と も で き ます。 詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 155 差 し 替え メ ッ セージ シス テム - 設定 表 29: メール差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る ア ン チウ イ ルスの [Virus Scan] が電子 メ ール メ ッ セージか ら の感染 フ ァ イ ルを 削除 し 、 その フ ァ イ ルを こ の メ ッ セージに置 き換え ます。 フ ァ イル ブ ロ ッ ク メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る ア ン チウ イルスの [File Filter] が、選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致する フ ァ イ ルを削除 し た場合は、 その フ ァ イ ルがブ ロ ッ ク さ れ、 その電子 メ ー ルが こ の メ ッ セージ に置 き換え ら れます。 サイ ズ超過の フ ァ イル メ ッ セージ ア ン チウ イ ルスの [Oversized File/Email] がプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ー ル プ ロ ト コ ルに対 し て [Block] に設定 さ れ、 かつ電子 メ ール メ ッ セージか ら のサ イ ズ超過の フ ァ イ ル を 削除 し た場合は、 その フ ァ イ ルが こ の メ ッ セ ージ に置き換え ら れます。 断片化 さ れた電 子 メ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルでは、ア ン チウ イルスの [Pass Fragmented Emails] が有 効にな っ ていないため、断片化 さ れた電子 メ ールはブ ロ ッ ク さ れます。 こ の メ ッ セー ジは、 断片化 さ れた電子 メ ールの最初の部分を置き換え ます。 情報漏洩防止 メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Block] に設定 さ れたルールが、 ブ ロ ッ ク さ れた電 子 メ ール メ ッ セージ を こ の メ ッ セージに置き換え ます。 情報漏洩防止 メ ッ セージの件 名 こ の メ ッ セ ー ジ は、 DLP セ ン サ ーの [Block]、 [Ban]、 [Ban Sender]、 [Quarantine IP address]、 お よび [Quarantine interface] ア ク シ ョ ン に よ っ て置き換え ら れたすべての 情報漏洩防止 メ ッ セージに よ っ て禁止 DLP セ ンサーでは、 ア ク シ ョ ンが [Ban] に設定 さ れたルールが、 ブ ロ ッ ク さ れた電子 メ ール メ ッ セージ を こ の メ ッ セージに置 き換え ます。 こ の メ ッ セージはま た、 禁止 ユーザが禁止ユーザ リ ス ト か ら 削除 さ れる ま で、 それ ら のユーザか ら 送信 さ れた追 加の電子 メ ール メ ッ セージ も すべて置き換え ます。 情報漏洩防止 メ ッ セージに よ っ て禁止 さ れ た送信者 DLP セ ンサーでは、 ア ク シ ョ ンが [Ban Sender] に設定 さ れたルールが、 ブ ロ ッ ク さ れた電子 メ ール メ ッ セージ を こ の メ ッ セージ に置き換え ます。 こ の メ ッ セージはま た、 禁止ユーザが禁止ユーザ リ ス ト か ら 削除 さ れる ま で、 それ ら のユーザか ら 送信 さ れた追加の電子 メ ール メ ッ セージ も すべて置 き換え ます。 ウ イルス メ ッ セージ ( ス プ ラ イ ス モー ド ) ス プ ラ イ ス モー ド が有効にな っ てい る と き、 ア ン チウ イ ルス シ ス テムが SMTP 電子 メ ール メ ッ セージ内のウ イ ルス を検出 し ます。 FortiGate ユニ ッ ト は SMTP セ ッ シ ョ ン を中止 し 、 こ の差 し 替え メ ッ セージ を含む 554 SMTP エ ラ ー メ ッ セージ を送信者 に返 し ます。 フ ァ イル ブ ロ ッ ク メ ッ セージ ( ス プ ラ イ ス モー ド ) ス プ ラ イ ス モー ド が有効に な っ て い る と き、 ア ン チウ イ ルス フ ァ イ ル フ ィ ル タ が SMTP 電子 メ ール メ ッ セ ー ジか ら フ ァ イ ル を 削除 し ま し た。 FortiGate ユニ ッ ト は SMTP セ ッ シ ョ ン を中止 し 、 こ の差 し 替え メ ッ セージ を含む 554 SMTP エ ラ ー メ ッ セージ を送信者に返 し ます。 サイ ズ超過の フ ァ イル メ ッ セージ ( ス プ ラ イ ス モー ド ) ス プ ラ イ ス モー ド が有効で、ア ン チウ イ ルスの [Oversized File/Email] が [Block] に設 定 さ れてい る と き、 FortiGate ユニ ッ ト がサイ ズ超過の SMTP 電子 メ ール メ ッ セージ を ブ ロ ッ ク し ます。 FortiGate ユニ ッ ト は SMTP セ ッ シ ョ ン を中止 し 、 こ の差 し 替え メ ッ セージ を含む 554 SMTP エ ラ ー メ ッ セージ を送信者に返 し ます。 電子 メ ール メ ッ セージの件名 フ ィ ール ド に追加 さ れます。 HTTP 差し替えメッセージ HTTP セ ッ シ ョ ン でウ イルス を含む フ ァ イルのア ン チウ イルスによ る ブ ロ ッ ク な どのイ ベン ト が発生 し た場合、 FortiGate ユニ ッ ト は HTTP プ ロ ト コ ルを使用 し て、 表 30 に表示 さ れている HTTP 差 し 替え メ ッ セージ を Web ブ ラ ウザに送信 し ます。 HTTP 差 し 替え メ ッ セージは HTML ページ です。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツのスキ ャ ン と 検査をサポー ト し てお り 、 かつ [Protocol Recognition] の [HTTPS Content Filtering Mode] がプ ロ テ ク シ ョ ン プ ロ フ ァ イルで [Deep Scan] に設定 さ れてい る場合は、 こ れ ら の差 し 替え メ ッ セージ で、 HTTPS プ ロ ト コ ルを使用 し てダ ウン ロー ド さ れた Web ページ を置き換え る こ と も で き ます。 SSL コ ン テ ン ツのスキ ャ ン と 検 査の詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 156 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ 表 30: HTTP 差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イルで HTTP ま たは HTTPS に対 し て有効に な っ ている ア ン チ ウ イ ルスの [Virus Scan] が、 HTTP GET を 使用 し て ダウ ン ロ ー ド さ れてい る感染 フ ァ イルを削除 し 、 その フ ァ イ ル を ク ラ イ ア ン ト ブ ラ ウザに よ っ て表示 さ れる こ の Web ページに置 き換え ます。 感染キ ャ ッ シ ュ メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで ク ラ イ ア ン ト コ ン フ ォ ー テ ィ ン グが有効に な っ て い る と き、FortiGate ユニ ッ ト が ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ン グ URL キ ャ ッ シ ュ に 追加 さ れたURLを ブ ロ ッ ク し 、ブ ロ ッ ク さ れたURLを こ のWebページに置き換え ます。 フ ァ イル ブ ロ ッ ク メ ッ セージ プロテクション プロファイルで HTTP または HTTPS に対して有効になっているアンチウイル スの [File Filter] が、 選択されたファイル フィルタ リスト内のエントリに一致する、 HTTP GET を使用してダウンロードされているファイルをブロックし、そのファイルをクライアント ブ ラウザによって表示されるこの Web ページに置き換えます。 サイ ズ超過の フ ァ イル メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで HTTP または HTTPS に対 し て [Block] に設定 さ れた ア ン チウ イルスの [Oversized File/Email] が、HTTP GET を使用 し てダウ ン ロー ド さ れ てい るサ イ ズ超過の フ ァ イ ルを ブ ロ ッ ク し 、 その フ ァ イ ルを ク ラ イ ア ン ト ブ ラ ウザ に よ っ て表示 さ れる こ の Web ページに置き換え ます。 情報漏洩防止 メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Block] に設定 さ れたルールが、 ブ ロ ッ ク さ れた Web ページ ま たは フ ァ イルを こ の Web ページ に置き換え ます。 情報漏洩防止 メ ッ セージに よ っ て禁止 DLP セ ンサーでは、 ア ク シ ョ ンが [Ban] に設定 さ れたルールが、 ブ ロ ッ ク さ れた Web ページ ま たは フ ァ イ ルを こ の Web ページに置き換え ます。 こ の Web ページはまた、 禁止ユーザが禁止ユーザ リ ス ト か ら 削除 さ れる ま で、 それ ら のユーザがア ク セ ス し よ う と する追加の Web ページ または フ ァ イ ル も すべて置き換え ます。 禁止単語 メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで有効にな っ ている Web コ ン テ ン ツ フ ィ ル タ リ ン グ が、選択 さ れた Web コ ン テ ン ツ フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る コ ン テ ン ツ を含む、 HTTP GET を使用 し て ダウ ン ロ ー ド さ れてい る Web ページ を ブ ロ ッ ク し ま す。 ブ ロ ッ ク さ れたページが こ の Web ページ に置き換え ら れます。 コ ン テ ン ツの種 類ブ ロ ッ ク メ ッ セージ 電子 メ ール ヘ ッ ダには、 画像に対する image な どの、 コ ン テ ン ツの種類に関する情 報が含まれてい ま す。 特定の コ ン テ ン ツの種類がブ ロ ッ ク さ れた場合は、 ブ ロ ッ ク さ れた メ ッ セージが こ の Web ページに置き換え ら れます。 URL ブ ロ ッ ク メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで有効にな っ てい る Web URL フ ィ ル タ が、 選択 さ れた URL フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る URL を含む Web ページ を ブ ロ ッ ク し ま す。 ブ ロ ッ ク さ れたページが こ の Web ページ に置き換え ら れます。 ク ラ イアン ト ブ ロック プ ロ テ ク シ ョ ン プ ロ フ ァ イルで HTTP ま たは HTTPS に対 し て有効に な っ ている ア ン チウ イ ルスの [File Filter] が、選択 さ れた フ ァ イル フ ィ ル タ リ ス ト 内のエ ン ト リ に一 致す る、 HTTP POST を使用 し て ア ッ プ ロー ド さ れてい る フ ァ イルを ブ ロ ッ ク し 、 そ の フ ァ イルを ク ラ イ ア ン ト ブ ラ ウザに よ っ て表示 さ れる こ の Web ページに置き換え ます。 ク ラ イアン ト ア ン チウ イルス プ ロ テ ク シ ョ ン プ ロ フ ァ イルで HTTP ま たは HTTPS に対 し て有効に な っ ている ア ン チ ウ イ ルスの [Virus Scan] が、 HTTP PUT を 使用 し て ア ッ プ ロ ー ド さ れて い る感染 フ ァ イルを削除 し 、 その フ ァ イ ル を ク ラ イ ア ン ト ブ ラ ウザに よ っ て表示 さ れる こ の Web ページに置 き換え ます。 ク ラ イアン ト フ ァ イル サ イ ズ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで HTTP または HTTPS に対 し て [Block] に設定 さ れた ア ン チウ イルスの [Oversized File/Email] が、HTTP PUT を使用 し て ア ッ プ ロー ド さ れ てい るサ イ ズ超過の フ ァ イ ルを ブ ロ ッ ク し 、 その フ ァ イ ルを こ の Web ページ に置 き 換え ます。 ク ラ イアン ト 禁 止単語 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで有効にな っ ている Web コ ン テ ン ツ フ ィ ル タ リ ン グ が、選択 さ れた Web コ ン テ ン ツ フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る コ ン テ ン ツ を含む、 HTTP PUT を使用 し て ア ッ プ ロー ド さ れてい る Web ページ を ブ ロ ッ ク し ま す。 ク ラ イ ア ン ト ブ ラ ウザには、 こ の Web ページが表示 さ れます。 POST ブ ロ ッ ク プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで [HTTP POST Action] が [Block] に設定 さ れてい る と き、FortiGate ユニ ッ ト が HTTP POST を ブ ロ ッ ク し 、 こ の Web ページ を表示 し ます。 FTP 差し替えメッセージ FTP セ ッ シ ョ ン で ウ イ ル ス を 含む フ ァ イ ルの ブ ロ ッ ク な ど の イ ベ ン ト が発生 し た 場合、 FortiGate ユニ ッ ト は、 表 31 に表示 さ れてい る FTP 差 し 替え メ ッ セージ を FTP ク ラ イ ア ン ト に送信 し ます。 FTP 差 し 替え メ ッ セージはテキス ト メ ッ セージ です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 157 差 し 替え メ ッ セージ シス テム - 設定 表 31: FTP 差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ [Virus Scan] が、 FTP を使用 し てダウ ン ロー ド さ れている感染 フ ァ イ ルを削除 し 、 こ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで FTP に対 し て有効に な っ てい る ア ン チ ウ イ ルスの の メ ッ セージ を FTP ク ラ イ ア ン ト に送信 し ます。 ブ ロ ッ ク さ れた メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで FTP に対 し て有効に な っ てい る ア ン チ ウ イ ルスの [File Filter] が、 選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る、 FTP を使用 し てダウ ン ロ ー ド さ れてい る フ ァ イ ル を ブ ロ ッ ク し 、 こ の メ ッ セージ を FTP ク ラ イ ア ン ト に送信 し ます。 サイ ズ超過の メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで FTP に対 し て [Block] に設定 さ れた ア ン チウ イルス の [Oversized File/Email] が、 サ イ ズ超過の フ ァ イ ルが FTP を使用 し てダウ ン ロ ー ド さ れるのを ブ ロ ッ ク し 、 こ の メ ッ セージ を FTP ク ラ イ ア ン ト に送信 し ます。 DLP メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Block] に設定 さ れたルールが、 ブ ロ ッ ク さ れた FTP ダウ ン ロー ド を こ の メ ッ セージに置き換え ます。 DLP 禁止 メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Ban] に設定 さ れたルールが FTP セ ッ シ ョ ン を ブ ロ ッ ク し 、 こ の メ ッ セージ を表示 し ます。 こ の メ ッ セージは、 禁止ユーザが禁止ユー ザ リ ス ト か ら 削除 さ れる ま で、 それ ら のユーザがア ク セ ス し よ う と し た場合は常に 表示 さ れます。 NNTP 差し替えメッセージ NNTP メ ッ セージに添付 さ れたウ イルス を含む フ ァ イルのブ ロ ッ ク な どのイ ベン ト が発生 し た 場合、 FortiGate ユニ ッ ト は、 表 32 に表示 さ れている NNTP 差 し 替え メ ッ セージ を NNTP ク ラ イ ア ン ト に送信 し ます。 NNTP 差 し 替え メ ッ セージはテキス ト メ ッ セージ です。 表 32: NNTP 差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ [Virus Scan] が、NNTP メ ッ セージに添付 さ れた感染 フ ァ イルを削除 し 、こ の メ ッ セー プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで NNTP に対 し て有効に な っ ている ア ン チウ イルスの ジ を NNTP ク ラ イ ア ン ト に送信 し ます。 ブ ロ ッ ク さ れた メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで NNTP に対 し て有効に な っ ている ア ン チウ イルスの [File Filter] が、選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致する、NNTP メ ッ セージに添付 さ れた フ ァ イ ルを ブ ロ ッ ク し 、 こ の メ ッ セージ を NNTP ク ラ イ ア ン ト に送信 し ます。 サイ ズ超過の メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イルで NNTP に対 し て [Block] に設定 さ れた ア ン チウ イルス の [Oversized File/Email] が、NNTP メ ッ セージか ら のサ イ ズ超過の フ ァ イルを削除 し 、 その フ ァ イルを こ の メ ッ セージ に置き換え ます。 情報漏洩防止 メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Block] に設定 さ れたルールが、 ブ ロ ッ ク さ れた NNTP メ ッ セージ を こ の メ ッ セージに置き換え ます。 情報漏洩防止 メ ッ セージの件 名 こ の メ ッ セージは、 DLP セ ンサーの [Block]、 [Ban]、 [Quarantine IP address]、 お よ び [Quarantine interface] ア ク シ ョ ン に よ っ て置き換え ら れたすべての NNTP メ ッ セージ 情報漏洩防止 メ ッ セージに よ っ て禁止 の件名フ ィ ール ド に追加 さ れます。 DLP セ ンサーでは、ア ク シ ョ ンが [Ban] に設定 さ れたルールが、ブ ロ ッ ク さ れた NNTP メ ッ セージ を こ の メ ッ セージ に置 き換え ます。 こ の メ ッ セ ージはま た、 禁止ユーザ が禁止ユーザ リ ス ト か ら 削除 さ れ る ま で、 それ ら のユーザか ら 送信 さ れた追加の NNTP メ ッ セージ も すべて置き換え ます。 アラート メール差し替えメッセージ FortiGate ユニ ッ ト は、 管理者に送信 さ れたア ラ ー ト メ ール メ ッ セージに、 表 33 に表示 さ れ てい る ア ラ ー ト メ ール差 し 替え メ ッ セージ を追加 し ます。ア ラ ー ト メ ールの詳細については、 495 ページの 「ア ラ ー ト メ ール」 を参照 し て く だ さ い。 ア ラ ー ト メ ール差 し 替え メ ッ セージ はテキス ト メ ッ セージ です。 158 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ 表 33: アラート メール差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ ア ラ ー ト メ ールに対 し て [Virus detected] が有効にな っ てい る必要があ り ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで ア ン チウ イ ルスの [Virus Scan] が有効に な っ ていて、 ウ イ ルス を検出す る必要があ り ます。 ブロ ッ ク メ ッ セージ ア ラ ー ト メ ールに対 し て [Virus detected] が有効にな っ てい る必要があ り ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで ア ン チウ イ ルスの [File Filter] が有効にな っ ていて、 選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る フ ァ イ ル を ブ ロ ッ ク す る 必要があ り ます。 侵入 メ ッ セージ ア ラ ー ト メ ールに対 し て [Intrusion detected] が有効に な っ ています。IPS セ ンサーま たは DoS セ ンサーが攻撃を検出 し ます。 重大な イ ベ ン ト メ ッ セージ [Send alert email for logs based on severity] を有効にす る よ う に ア ラ ー ト メ ールを設 定 し 、 かつ [Minimum log level] を [Alert] または [Emergency] に設定 し ていない限 り 、 重大な レ ベルの イ ベ ン ト ロ グ メ ッ セ ー ジが生成 さ れた場合は常に、 こ の差 し 替え メ ッ セージが送信 さ れます。 デ ィ ス ク フル メ ッ セージ [Disk usage] が有効に な っ ていて、デ ィ ス ク 使用率がア ラ ー ト メ ールに対 し て設定 さ れている割合に達 し ま し た。 ア ラ ー ト メ ールに対 し て [Send alert email for logs based on severity] を有効に し た場合、 ア ラ ー ト メ ー ルに よ っ て差 し 替え メ ッ セージが送信 さ れるかど う かは、 ア ラ ー ト メ ールの [Minimum log level] の設定 方法に よ っ て異な り ます。 スパム差し替えメッセージ 電子 メ ール メ ッ セ ー ジ が ス パム と し て 識別 さ れ、 ス パム ア ク シ ョ ン が破棄 さ れ た 場合、 FortiGate ユニ ッ ト は、 SMTP サーバの応答に表 34 に表示 さ れている スパム差 し 替え メ ッ セー ジ を追加 し ます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツのスキ ャ ン と 検査をサポー ト し ている 場合は、こ れ らの差 し 替え メ ッ セージ を SMTPS サーバの応答に追加する こ と も で き ます。SSL コ ン テ ン ツのスキ ャ ン と 検査の詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参 照 し て く だ さ い。 表 34: スパム差し替えメッセージ メッセージ名 電子 メ ール IP 説明 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る [IP address BWL check] が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替 え メ ッ セージ を追加 し ます。 DNSBL/ORDBL CLI か ら 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ てい る spamrbl が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替 え メ ッ セージ を追加 し ます。 HELO/EHLO ド メ プ ロ テ ク シ ョ ン プ ロ フ ァ イルで SMTPに対 し て有効に な っ ている [HELO DNS lookup] が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替え メ ッ セージ を追加 し イン ます。 [HELO DNS lookup] は、 SMTPS には使用で き ません。 電子 メ ール ア ド レス プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る [E-mail address BWL check] が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替え メ ッ セージ を追加 し ます。 MIME ヘ ッ ダ 返 さ れた電子 メ ール ド メ イ ン CLI か ら 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ てい る spamhdrcheck が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の 差 し 替え メ ッ セージ を追加 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る [Return e-mail DNS check] が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替え メ ッ セージ を追加 し ます。 禁止単語 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る [Banned word check] が電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替え メ ッ セージ を追加 し ます。 スパム送信 メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで電子 メ ール プ ロ ト コ ルに対 し て有効に な っ て い る [Any Email Filtering] オ プ シ ョ ンが電子 メ ール メ ッ セージ を スパム と し て識別 し 、 こ の差 し 替え メ ッ セージ を追加 し ます。 [Email Filtering] が、 こ の メ ッ セージ を スパムの タ グが付いてい るすべての電子 メ ールに追加 し ます。 こ の メ ッ セージ では、電子 メ ー ルに誤 っ て スパムの タ グが付け ら れた ( 誤検知 ) 場合に、 メ ッ セ ー ジ の受信者が FortiGuard ア ン チ スパム サービ スに電子 メ ール シ グネチ ャ を送信する ために選択で き るボ タ ン について説明 し ています。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 159 差 し 替え メ ッ セージ シス テム - 設定 管理差し替えメッセージ 次の CLI コ マ ン ド を入力する と 、管理者が FortiGate ユニ ッ ト の Web ベース マネージ ャ または CLI にログ イ ン し た場合は常に、 FortiGate ユニ ッ ト に管理ログ イ ン免責事項が表示 さ れます。 config system global set access-banner enable end Web ベース マネージ ャ の管理者ログ イ ン免責事項には、 ログ イ ン免責事項差 し 替え メ ッ セー ジのテキス ト のほか、 [Accept] お よび [Decline] ボ タ ンが含まれています。 ロ グ イ ンするには、 管理者は [Accept] を選択する必要があ り ます。 ユーザ認証差し替えメッセージ FortiGate ユニ ッ ト は、 フ ァ イ アウ ォ ール ポ リ シーに フ ァ イ アウ ォ ール ユーザの認証が必要な 少な く と も 1 つの ID ベースのポ リ シーが含まれていて、 ユーザの認証が必要な場合に表示 さ れる さ ま ざ ま なユーザ認証の HTML ページに、 表 35 に表示 さ れてい る認証差 し 替え メ ッ セー ジのテキス ト を使用 し ます。 ID ベースのポ リ シーの詳細については、 273 ページの 「ID ベース の フ ァ イ アウ ォ ール ポ リ シーの設定」 お よび 275 ページの 「SSL VPN の ID ベース フ ァ イ ア ウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 こ れ らの差 し 替え メ ッ セージ ページは、HTTP と HTTPS を使用 し た認証を目的に し ています。 認証差 し 替え メ ッ セージは HTML メ ッ セージ です。 FTP や Telnet 用に フ ァ イ アウ ォ ール認証 メ ッ セージ を カ ス タ マ イズする こ と はで き ません。 認証ロ グ イ ン ページ と 認証免責ページには、 他の差 し 替え メ ッ セージにはない差 し 替え タ グ と コ ン ト ロールが含まれています。 ユーザが認証を必要 と する VPN または フ ァ イ アウ ォ ール ポ リ シーを使用する場合は、 認証ロ グ イ ン ページが表示 さ れます。 こ のページは、 他の差 し 替え メ ッ セージ を変更する場合 と 同 じ よ う に カ ス タ マ イ ズで き ます。 こ れ らの差 し 替え メ ッ セージに固有のい く つかの要件を次に示 し ます。 ・ ログ イ ン ページは、ACTION="/" および METHOD="POST" の フ ォ ームを含む HTML ページ であ る必要があ り ます。 ・ フ ォ ームには、 次の非表示 コ ン ト ロールが含まれている必要があ り ます。 • <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"> • <INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%"> • <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%"> ・ フ ォ ームには、 次の表示 コ ン ト ロールが含まれている必要があ り ます。 • <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> • <INPUT TYPE="password" NAME="%%PASSWORDID%%" size=25> 例 上に示 し た要件を満たす単純な認証ページの例を次に示 し ます。 <HTML><HEAD><TITLE> フ ァ イ ア ウ ォール認証 </TITLE></HEAD> <BODY><H4> こ のサービ ス を利用す る には、 認証を行わなければな り ません。 </H4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH> ユーザ名 :</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> 160 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ <TR><TH> パ ス ワー ド :</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML> 表 35: 認証差し替えメッセージ メッセージ名 説明 免責ページ ID ベ ー ス の ポ リ シ ー を 含 む フ ァ イ ア ウ ォ ー ル ポ リ シ ー で 選 択 さ れ た [Enable Disclaimer and Redirect URL to]。 フ ァ イ アウ ォ ール ユーザが HTTP ま たは HTTPS を 使用 し て FortiGate ユニ ッ ト で認証 さ れた後、 こ の免責ページが表示 さ れます。 CLI には、 認証免責ページの差 し 替え メ ッ セージのサ イ ズ を増やすために使用で き る auth-disclaimer-page-1、 auth-disclaimer-page-2、 お よ び authdisclaimer-page-3 が含まれています。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 辞退 さ れた免責 ページ フ ァ イ アウ ォ ール ユーザが、 FortiGate ユニ ッ ト を介 し た ア ク セ ス を辞退する ための 免責ページ上のボ タ ン を選択す る と 、 [Declined disclaimer page] が表示 さ れます。 ロ グ イ ン ページ FortiGate ユニ ッ ト を介 し て接続する前に、 HTTP ま たは HTTPS を使用 し て認証を行 う 必要があ る フ ァ イ アウ ォ ール ユーザのために表示 さ れる HTML ページ。 ロ グ イ ン失敗 ページ フ ァ イ ア ウ ォ ール ユーザが正 し く ないユーザ名 と パスワー ド の組み合わせを入力 し た場合に表示 さ れる HTML ページ。 ログイ ン チ ャ レ ン ジ ページ フ ァ イ ア ウ ォ ール ユーザが認証 を完了す る ために質問に答え る必要があ る場合に表 示 さ れる HTML ページ。 こ のページには質問が表示 さ れ、 その答え を入力する ため の フ ィ ール ド が含まれています。 こ の機能は RADIUS でサポー ト さ れてお り 、 一般的 な RADIUS チ ャ レ ン ジ ア ク セ ス認証応答を使用 し ています。 通常、 チ ャ レ ン ジ ア ク セ ス応答には、 ユーザのための メ ッ セージ ( た と えば、 「新 し い PIN を入力 し て く だ さ い」 ) を 含む Reply-Message 属性が含まれて い ます。 こ の メ ッ セージがロ グ イ ン チ ャ レ ン ジ ページに表示 さ れます。ユーザが応答を入力す る と 、それが RADIUS サー バに送 り 返 さ れて、 確認 さ れます。 ロ グ イ ン チ ャ レ ン ジ ページは、 RSA SecurID 認証のために RSA RADIUS サーバで最 も よ く 使用 さ れます。 ロ グ イ ン チ ャ レ ン ジ ページは、 サーバでユーザが新 し い PIN を 入力す る必要があ る場合に表示 さ れます。 こ の差 し 替え メ ッ セ ージ を カ ス タ マ イ ズ し て、 ユーザに SecurID PIN の入力を求める こ と がで き ます。 キープ ア ラ イ ブ ページ 次の コ マ ン ド で フ ァ イ ア ウ ォ ール認証キー プ ア ラ イ ブが有効に な っ てい る場合に表 示 さ れる HTML ページ。 config system global set auth-keepalive enable end 認証キープ ア ラ イ ブは、認証 タ イ ムアウ ト が終了 し て も、認証 さ れた フ ァ イ ア ウ ォ ー ル セ ッ シ ョ ンが終了 さ れない よ う に し ま す。 [Authentication Timeout] を 設定す る に は、 [User]、 [Options] の順に選択 し ます。 FortiGuard Web フィルタリング差し替えメッセージ FortiGuard Web フ ィ ル タ リ ングが URL を ブ ロ ッ ク し た場合、 FortiGate ユニ ッ ト は HTTP プ ロ ト コ ルを使用 し て、 表 36 に表示 さ れてい る FortiGuard Web フ ィ ル タ リ ング差 し 替え メ ッ セー ジ を Web ブ ラ ウザに送信 し 、 ブ ロ ッ ク さ れた HTTP 4xx および 5xx のエ ラ ーや、 FortiGuard の 上書き に関する詳細を提供 し ます。FortiGuard Web フ ィ ル タ リ ング差 し 替え メ ッ セージは HTTP ページ です。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツのスキ ャ ン と 検査をサポー ト し てお り 、 かつ [Protocol Recognition] の [HTTPS Content Filtering Mode] がプ ロ テ ク シ ョ ン プ ロ フ ァ イルで [Deep Scan] に設定 さ れてい る場合は、 こ れ ら の差 し 替え メ ッ セージ で、 HTTPS プ ロ ト コ ルを使用 し てダ ウン ロー ド さ れた Web ページ を置き換え る こ と も で き ます。 SSL コ ン テ ン ツのスキ ャ ン と 検 査の詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 161 差 し 替え メ ッ セージ シス テム - 設定 表 36: FortiGuard Web フィルタリング差し替えメッセージ メッセージ名 説明 URL ブ ロ ッ ク メ ッ セージ [Enable FortiGuard Web Filtering] が Web ページ を ブ ロ ッ ク し ます。ブ ロ ッ ク さ れたペー プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで HTTP ま たは HTTPS に対 し て有効に な っ て い る ジが こ の Web ページに置 き換え ら れます。 HTTP エ ラ ー メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで HTTP ま たは HTTPS に対 し て有効に な っ て い る [Provide details for blocked HTTP 4xx and 5xx errors] が Web ページ を ブ ロ ッ ク し ます。 ブ ロ ッ ク さ れたページが こ の Web ページに置き換え ら れます。 FortiGuard Web フ ィ ル タ リ ング 上書き フ ォ ーム FortiGuard Web フ ィ ル タ リ ン グ カ テ ゴ リ に対 し て [Override] が選択 さ れてい る と き、 FortiGuard Web フ ィ ル タ リ ン グが こ の カ テ ゴ リ 内の Web ページ を ブ ロ ッ ク し 、 こ の Web ページ を表示 し ます。 ユーザは、 こ の Web ページ を使用 し て、 こ のページへの ア ク セ ス を 取得す る ための認証 を 行 う こ と がで き ま す。 上書 きルール を 追加す る に は、 [UTM]、 [Web Filter]、 [Override] の順に選択 し ます。 %%OVRD_FORM%% タ グは、FortiGuard Web フ ィ ル タ リ ン グで Web ページへのア ク セ ス がブ ロ ッ ク さ れた場合に、 上書 きの処理を開始する ために使用 さ れる フ ォ ームです。 差 し 替え メ ッ セージか ら こ の タ グ を削除 し ないで く だ さ い。 IM および P2P 差し替えメッセージ 電子 メ ールに添付 さ れたウ イルス を含む フ ァ イルのブ ロ ッ ク な どの イ ベン ト が発生 し た場合、 FortiGate ユニ ッ ト は AIM、 ICQ、 MSN、 または Yahoo! Messenger を使用 し て、 表 37 に表示 さ れてい る IM および P2P 差 し 替え メ ッ セージ を IM お よび P2P ク ラ イ ア ン ト に送信 し ます。 IM および P2P 差 し 替え メ ッ セージはテキス ト メ ッ セージ です。 表 37: IM および P2P 差し替えメッセージ メッセージ名 説明 フ ァ イル ブ ロ ッ ク メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イルで IM に対 し て有効にな っ てい る ア ン チウ イ ルスの [File Filter] が、 選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る フ ァ イルを 削除 し 、 その フ ァ イ ルを こ の メ ッ セージに置き換え ます。 フ ァ イル名ブ ロ ッ ク メ ッ セー ジ プ ロ テ ク シ ョ ン プ ロ フ ァ イルで IM に対 し て有効にな っ てい る ア ン チウ イ ルスの [File Filter] が、 選択 さ れた フ ァ イ ル フ ィ ル タ リ ス ト 内のエ ン ト リ に一致す る名前を持つ ウ イルス メ ッ セージ プロテクション プロファイルで IM に対して有効になっているアンチウイルスの [Virus Scan] が感染ファイルを削除し、 そのファイルをこのメッセージに置き換えます。 サイ ズ超過の フ ァ イル メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで IM に対 し て [Block] に設定 さ れた ア ン チウ イルスの [Oversized File/Email] がサ イ ズ超過の フ ァ イ ル を 削除 し 、 その フ ァ イ ル を こ の メ ッ 情報漏洩防止 メ ッ セージ DLP セ ンサーでは、 ア ク シ ョ ンが [Block] に設定 さ れたルールが、 ブ ロ ッ ク さ れた IM ま たは P2P メ ッ セージ を こ の メ ッ セージ に置 き換え ます。 情報漏洩防止 メ ッ セージに よ っ て禁止 DLP セ ンサーでは、 ア ク シ ョ ンが [Ban] に設定 さ れたルールが、 ブ ロ ッ ク さ れた IM ま たは P2P メ ッ セージ を こ の メ ッ セージ に置 き換え ます。 こ の メ ッ セージはま た、 禁止ユーザが禁止ユーザ リ ス ト か ら 削除 さ れる ま で、 それ ら のユーザか ら 送信 さ れ た追加の メ ッ セージ も すべて置き換え ます。 音声チ ャ ッ ト ブ ロ ッ ク メ ッ セー ジ ア プ リ ケー シ ョ ン 制御 リ ス ト で、 AIM、 ICQ、 MSN、 ま たは Yahoo! に対 し て [Block Audio] オ プ シ ョ ンが選択 さ れてい る と 、 そのア プ リ ケーシ ョ ン制御 リ ス ト がプ ロ テ 写真共有ブ ロ ッ ク メ ッ セージ ア プ リ ケーシ ョ ン制御 リ ス ト で、MSN ま たは Yahoo に対 し て block-photo CLI キー ワー ド が有効に な っ てい る と 、 そのア プ リ ケーシ ョ ン制御 リ ス ト がプ ロ テ ク シ ョ ン プ ロ フ ァ イルに追加 さ れます。 写真のブ ロ ッ キン グは、 CLI か ら 有効に し ます。 フ ァ イ ルを削除 し 、 その フ ァ イ ルを こ の メ ッ セージに置き換え ます。 セージ に置 き換え ます。 ク シ ョ ン プ ロ フ ァ イルに追加 さ れます。 エンドポイント NAC 差し替えメッセージ FortiGate ユニ ッ ト は、 エ ン ド ポ イ ン ト NAC が有効にな っ てい る フ ァ イ アウ ォ ール ポ リ シー を 使用 し よ う と する非準拠ユーザに次のいずれかのページ を送信 し ます。 162 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 差 し 替え メ ッ セージ ・ [Endpoint NAC Download Portal] ― FortiGate ユニ ッ ト は、 エ ン ド ポ イ ン ト NAC プ ロ フ ァ イ ルで [Quarantine Hosts to User Portal (Enforce compliance)] オ プ シ ョ ンが選択 さ れてい る場 合に こ のページ を送信 し ます。 ユーザは、FortiClient Endpoint Security ア プ リ ケーシ ョ ン イ ン ス ト ー ラ を ダ ウ ン ロ ー ド で き ま す。 こ の 差 し 替 え メ ッ セ ー ジ を 変 更 す る 場 合 は、 FortiClient イ ン ス ト ー ラのダウン ロー ド URL を提供する %%LINK%% タ グを保持す る よ う に し て く だ さ い。 ・ [Endpoint NAC Recommendation Portal] ― FortiGate ユニ ッ ト は、 エ ン ド ポ イ ン ト NAC プ ロ フ ァ イルで [Notify Hosts to Install FortiClient (Warn only)] オプ シ ョ ンが選択 さ れてい る場合 に こ のページ を送信 し ます。 ユーザは、 FortiClient Endpoint Security ア プ リ ケーシ ョ ン イ ン ス ト ー ラ を ダウ ン ロー ド するか、 または [Continue to] リ ン ク を選択 し て目的の宛先にア ク セスする こ と がで き ます。 こ の差 し 替え メ ッ セージ を変更する場合は、FortiClient イ ン ス ト ー ラのダウン ロー ド URL を提供する %%LINK%% タ グ と 、 ユーザが要求 し た URL を含む %%DST_ADDR%% リ ン クの両方を保持する よ う に し て く だ さ い。 こ れ ら の メ ッ セージ を変更す る には、 [System]、 [Config]、 [Replacement Message] の順に選択 し ます。 [Endpoint NAC] を展開 し 、 変更する メ ッ セージの [ 編集 ] ア イ コ ン を選択 し ます。 エ ン ド ポ イ ン ト NAC の詳細については、469 ページの 「エ ン ド ポ イ ン ト 」 を参照 し て く だ さ い。 NAC 隔離差し替えメッセージ ア ク シ ョ ンが [Quarantine IP address] または [Quarantine interface] に設定 さ れた NAC 隔離また は DLP セ ンサーで ブ ロ ッ ク さ れたユーザが、 TCP ポー ト 80 を使用 し て FortiGate ユニ ッ ト 経 由で HTTP セ ッ シ ョ ン を開始 し よ う と する と 、 FortiGate ユニ ッ ト は、 表 38 に表示 さ れている 4 つの NAC 隔離 HTML ページのいずれかにそのユーザを接続 し ます。 こ のユーザのために表示 さ れるページは、 そのユーザが NAC 隔離に よ っ て ブ ロ ッ ク さ れた理 由が、 ウ イルスが検出 さ れた、 DoS セ ンサーが攻撃を検出 し た、 IPS セ ンサーが攻撃を検出 し た、 ア ク シ ョ ンが [Quarantine IP address] または [Quarantine interface] に設定 さ れた DLP ルー ルがそのユーザか らのセ ッ シ ョ ンに一致 し た、 のいずれであるかによ っ て異な り ます。 デ フ ォ ル ト メ ッ セージは、 こ のページが表示 さ れてい る理由を ユーザに通知 し 、 シ ス テム管 理者に問い合わせる こ と を推奨 し ます。 こ のページは必要に応 じ て、 た と えば電子 メ ール ア ド レ ス またはその他の連絡先情報、 あ るいは該当する場合は、 ユーザがブ ロ ッ ク さ れる予測期 間に関する メ モ を含める よ う に カ ス タ マ イズで き ます。 NAC 隔離の詳細については、 466 ページの 「NAC 隔離および禁止ユーザ リ ス ト 」 を参照 し て く だ さ い。 表 38: NAC 隔離差し替えメッセージ メッセージ名 説明 ウ イルス メ ッ セージ プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル で 有効 に な っ て い る ア ン チ ウ イ ル ス の [Quarantine Virus Sender] が、 発信元 IP ア ド レ ス ま たは FortiGate イ ン タ フ ェ ース を禁止ユーザ リ ス ト に追加 し ま す。 ブ ロ ッ ク さ れた ユーザがポ ー ト 80 上 で HTTP を 使用 し て FortiGate ユニ ッ ト 経由で接続 し よ う と するか、 ま たは任意のユーザがポー ト 80 上で HTTP を使用 し て禁止ユーザ リ ス ト に追加 さ れた FortiGate イ ン タ フ ェ ース を介 し て 接続 し よ う と す る と 、 FortiGate ユニ ッ ト は、 こ の差 し 替え メ ッ セージ を Web ページ と し て表示 し ます。 DoS メ ッ セージ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク DoS セ ンサーでは、 attacker または interface に設定 さ れた CLI quarantine オ プ シ ョ ン、 お よび DoS フ ァ イ アウ ォ ール ポ リ シーに追加 さ れた DoS セ ンサーが、 発信元 IP、 宛先 IP、 ま たは FortiGate イ ン タ フ ェ ース を禁止ユーザ リ ス ト に追加 し ます。ブ ロ ッ ク さ れたユーザがポー ト 80 上で HTTP を使用 し て FortiGate ユニ ッ ト 経 由で接続 し よ う と するか、 ま たは任意のユーザがポー ト 80 上で HTTP を使用 し て禁 止ユーザ リ ス ト に追加 さ れた FortiGate イ ン タ フ ェ ース を介 し て接続 し よ う と す る と 、FortiGate ユニ ッ ト は、 こ の差 し 替え メ ッ セージ を Web ページ と し て表示 し ます。 こ の差 し 替え メ ッ セージは、 quarantine が both に設定 さ れてい る場合は表示 さ れません。 163 差 し 替え メ ッ セージ シス テム - 設定 表 38: NAC 隔離差し替えメッセージ ( 続き ) メッセージ名 説明 IPS メ ッ セージ IPSセ ンサー フ ィ ル タ または上書 き で [Quarantine Attackers] が有効にな っ ていて プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルに追加 さ れたその IPS セ ンサーが、 発信元 IP ア ド レ ス、 宛先 IP ア ド レ ス、 ま たは FortiGate イ ン タ フ ェ ース を禁止ユーザ リ ス ト に追加 し ま す。ブ ロ ッ ク さ れたユーザがポー ト 80 上で HTTP を使用 し て FortiGate ユニ ッ ト 経由 で接続 し よ う と す るか、 ま たは任意のユーザがポー ト 80 上で HTTP を使用 し て禁止 ユーザ リ ス ト に追加 さ れた FortiGate イ ン タ フ ェ ース を介 し て接続 し よ う と す る と 、 FortiGate ユニ ッ ト は、 こ の差 し 替え メ ッ セージ を Web ページ と し て表示 し ます。 こ の差 し 替え メ ッ セージは、 [method] が [Attacker and Victim IP Address] に設定 さ れて い る場合は表示 さ れません。 DLP メ ッ セージ DLP セ ンサーで、 [Action] が [Quarantine IP address] ま たは [Quarantine interface] に 設定 さ れプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルに追加 さ れたその DLP セ ンサーが、 発信元 IP ア ド レ ス ま たは FortiGate イ ン タ フ ェ ース を禁止ユーザ リ ス ト に追加 し ます。 ブ ロ ッ ク さ れたユーザがポー ト 80 上で HTTP を使用 し て FortiGate ユニ ッ ト 経由で接続 し よ う と するか、 ま たは任意のユーザがポー ト 80 上で HTTP を使用 し て禁止ユーザ リ ス ト に追加 さ れた FortiGate イ ン タ フ ェ ース を介 し て接続 し よ う と する と 、 FortiGate ユ ニ ッ ト は、 こ の差 し 替え メ ッ セージ を Web ページ と し て表示 し ます。 トラフィック クォータ制御差し替えメッセージ FortiGate ユニ ッ ト を通過す るユーザ ト ラ フ ィ ッ ク が ト ラ フ ィ ッ ク シ ェ ーピ ン グ ク ォ ー タ 制 御で ブ ロ ッ ク さ れた場合、 ユーザが HTTP を使用 し て FortiGate ユニ ッ ト 経由で接続 し よ う と す る と 、 [Traffic shaper block message] または [Per IP traffic shaper block message] が表示 さ れ ます。 こ の ト ラ フ ィ ッ ク ク ォ ー タ HTTP ページには、 こ のユーザを ブ ロ ッ ク し ている ト ラ フ ィ ッ ク シ ェ ーピ ング ク ォ ー タ 設定に関する情報を表示す るための %%QUOTA_INFO%% タ グが含まれて います。 SSL VPN 差し替えメッセージ SSL VPN ロ グ イ ン差 し 替え メ ッ セー ジは、 FortiGate SSL VPN ポー タ ル ロ グ イ ン ペー ジ を フ ォ ーマ ッ ト する HTML 差 し 替え メ ッ セージ です。 こ の差 し 替え メ ッ セージは、 組織のニーズ に従 っ て カ ス タ マ イ ズで き ます。 こ のページは FortiGate の機能に リ ン ク さ れています。 その 動作を保証する ために、 次のガ イ ド ラ イ ンに従 っ て構築する必要があ り ます。 ・ ログ イ ン ページは、 ACTION="%%SSL_ACT%%" と METHOD="%%SSL_METHOD%%" が含ま れる HTML ページ でなければな り ません。 ・ フ ォ ームには、ログ イ ン フ ォ ームを提供する %%SSL_LOGIN%% タ グが含まれてい る必要が あ り ます。 ・ フ ォ ームには、 %%SSL_HIDDEN%% タ グが含まれている必要があ り ます。 差し替えメッセージ タグ 差 し 替え メ ッ セージ には、 差 し 替え メ ッ セージ タ グ を含める こ と がで き ます。 ユーザが差 し 替え メ ッ セージ を受信す る と 、 差 し 替え メ ッ セージ タ グはその メ ッ セージに関連 し た コ ン テ ン ツ に置き換え られます。 表 39 は、 追加で き る差 し 替え メ ッ セージ タ グの一覧です。 表 39: 差し替えメッセージ タグ 164 タグ 説明 %%AUTH_LOGOUT%% 現在のポ リ シー を直ち に削除 し 、セ ッ シ ョ ン を終了する URL。auth-keepalive ページ で使用 さ れます。 %%AUTH_REDIR_URL%% auth-keepalive ページ で、 こ の タ グに リ ン ク し た新 し いウ ィ ン ド ウ を開 く よ う ユーザに促す こ と がで き ます。 %%CATEGORY%% Web サ イ ト の コ ン テ ン ツ カ テ ゴ リ の名前。 %%DEST_IP%% ウ イルスが送信 さ れた要求宛先の IP ア ド レ ス。 電子 メ ールの場合、 こ れは ウ イ ルス を 含む電子 メ ール を送信 し た電子 メ ール サーバの IP ア ド レ ス で す。HTTP の場合、こ れはウ イ ルス を送信 し た Web ページの IP ア ド レ ス です。 %%EMAIL_FROM%% フ ァ イ ルが削除 さ れた メ ッ セージの送信者の電子 メ ール ア ド レ ス。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 動作モー ド および VDOM 管理ア ク セス 表 39: 差し替えメッセージ タグ ( 続き ) タグ 説明 %%EMAIL_TO%% フ ァ イ ルが削除 さ れた メ ッ セージの目的の受信者の電子 メ ール ア ド レ ス。 %%FAILED_MESSAGE%% auth-login-failed ページに表示 さ れる ロ グ イ ン失敗 メ ッ セージ。 %%FILE%% コ ン テ ン ツ ス ト リ ームか ら 削除 さ れた フ ァ イ ルの名前。 こ れは、 ウ イ ルス を含んだ フ ァ イ ルか、 ま たはア ン チウ イ ルスの フ ァ イ ル ブ ロ ッ キ ン グ で ブ ロ ッ ク さ れた フ ァ イ ルの可能性があ り ます。 %%FILE%% は、 ウ イ ルスお よび フ ァ イ ル ブ ロ ッ ク メ ッ セージ で使用で き ます。 %%FORTIGUARD_WF%% FortiGuard - Web フ ィ ル タ リ ン グのロ ゴ。 %%FORTINET%% フ ォ ーテ ィ ネ ッ ト のロ ゴ。 %%LINK%% エ ン ド ポ イ ン ト 制御機能のための FortiClient Host Security イ ン ス ト ール ダ ウ ン ロー ド への リ ン ク 。 %%HTTP_ERR_CODE%% HTTP エ ラ ー コ ー ド 。 た と えば "404"。 %%HTTP_ERR_DESC%% HTTP エ ラ ー コ ー ド の説明。 %%NIDSEVENT%% IPS 攻撃 メ ッ セージ。 %%NIDSEVENT%% は、 侵入警告 メ ッ セージ に追加 さ れ ます。 %%OVERRIDE%% FortiGuard Web フ ィ ル タ リ ン グ 上 書 き フ ォ ー ム へ の リ ン ク 。 こ れ は、 FortiGuard Web フ ィ ル タ リ ン グ上書きの作成が許可 さ れたグループにユーザ が属する場合にのみ表示 さ れます。 %%OVRD_FORM%% FortiGuard Web フ ィ ル タ ブ ロ ッ ク 上書き フ ォ ーム。 こ の タ グは、 FortiGuard Web フ ィ ル タ リ ン グ上書き フ ォ ームに存在する必要があ り ます。他の差 し 替 え メ ッ セージ では使用 し ないで く だ さ い。 %%PROTOCOL%% ウ イ ル ス が検出 さ れ た プ ロ ト コ ル (http、 ftp、 pop3、 imap、 ま た は smtp)。 %%PROTOCOL%% は、 ウ ィ ルス警告 メ ッ セージに追加 さ れます。 %%QUARFILENAME%% コ ン テ ン ツ ス ト リ ームか ら 削除 さ れ、 隔離場所に追加 さ れた フ ァ イ ルの名 前。 こ れは、 ウ イ ルス を含んだ フ ァ イ ルか、 ま たはア ン チウ イ ルスの フ ァ イ ル ブ ロ ッ キ ン グ で ブ ロ ッ ク さ れ た フ ァ イ ル の 可 能 性 が あ り ま す。 %%QUARFILENAME%% は、 ウ イルスお よび フ ァ イ ル ブ ロ ッ ク メ ッ セージ で 使用で き ます。 隔離は、 ロー カル デ ィ ス ク を備えた FortiGate ユニ ッ ト での み使用で き ます。 %%QUOTA_INFO%% ユーザを ブ ロ ッ ク し てい る ト ラ フ ィ ッ ク シ ェ ー ピ ン グ ク ォ ー タ 設定に関す る情報を 表示 し ます。 ト ラ フ ィ ッ ク ク ォ ー タ 制御差 し 替え メ ッ セージ で使 用 さ れます。 %%QUESTION%% auth-challenge ページの認証チ ャ レ ン ジの質問。 auth-login ページ でユーザ名 と パスワー ド の入力が求め ら れます。 %%SERVICE%% Web フ ィ ル タ リ ン グ サービ スの名前。 %%SOURCE_IP%% ブ ロ ッ ク さ れた フ ァ イ ルを受信する要求発信元の IP ア ド レ ス。 電子 メ ール では、 こ れは、 フ ァ イ ルが削除 さ れた メ ッ セージ を ダウ ン ロー ド し よ う と し たユーザの コ ン ピ ュ ー タ の IP ア ド レ ス です。 %%TIMEOUT%% 認証キープ ア ラ イ ブ接続間の設定 さ れた秒数。 auth-keepalive ページ で使用 さ れます。 %%URL%% Web ページの URL。 こ れは、 Web フ ィ ル タ コ ン テ ン ツ ま たは URL ブ ロ ッ キ ン グ で ブ ロ ッ ク さ れた Web ページの可能性があ り ます。 %%URL%% はま た、 ユーザが ブ ロ ッ ク さ れ て い る フ ァ イ ル を ダ ウ ン ロ ー ド し よ う と し た Web ページの URL にする ために、 http ウ イ ルスお よび フ ァ イル ブ ロ ッ ク メ ッ セージ で も 使用で き ます。 %%VIRUS%% ア ン チ ウ イ ル ス シ ス テ ム で フ ァ イ ル 内 に 検 出 さ れ た ウ イ ル ス の 名 前。 %%VIRUS%% は、 ウ イ ルス メ ッ セージ で使用で き ます。 動作モードおよび VDOM 管理アクセス 各 VDOM の動作モー ド は、他の VDOM と は独立に変更で き ます。 こ れによ り 、FortiGate ユニ ッ ト の VDOM 上で、 NAT/ ルー ト と ト ラ ン スペア レ ン ト の動作モー ド を任意に組み合わせる こ と がで き ます。 VDOM への管理ア ク セスは、 FortiGate ユニ ッ ト への接続に使用可能な イ ン タ フ ェ ースおよび プ ロ ト コ ルに基づいて制限で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 165 動作モー ド および VDOM 管理ア ク セス シス テム - 設定 動作モードの変更 VDOM の動作モー ド を設定 し 、 ネ ッ ト ワー ク 設定を十分に行 う こ と で、 新 し いモー ド で確実に Web ベース マネージ ャ に接続で き ます。 FortiGate ユニ ッ ト には、 NAT/ ルー ト と ト ラ ン スペア レ ン ト の 2 つの動作モー ド があ り ます。 各モー ド は、 それぞれ異な る状況に適 し ています。 NAT/ ルート モードからトランスペアレント モードに切り替えるには 1 [System]、 [Config]、 [Operation] の順に選択するか、 またはバーチ ャ ル ド メ イ ンの [System Status] ページの [Operation Mode] の横にあ る [Change] を選択 し ます。 2 [Operation Mode] リ ス ト から 、 [Transparent] を選択 し ます。 3 次の情報を入力 し 、 [Apply] を選択 し ます。 [Management IP/Netmask] 管理 IP ア ド レ ス と ネ ッ ト マ ス ク を入力 し ます。 これは、 FortiGate [Default Gateway] FortiGate ユニ ッ ト か ら 他のネ ッ ト ワー ク に到達す る ために必要なデ フ ォ ル ト ゲー ト ウ ェ イ を入力 し ます。 ユニ ッ ト の管理に使用する ネ ッ ト ワー クの有効な IP ア ド レ スであ る必要があ り ます。 トランスペアレント モードから NAT/ ルート モードに切り替えるには 1 [System]、 [Config]、 [Operation] の順に選択するか、 またはバーチ ャ ル ド メ イ ンの [System Status] ページの [Operation Mode] の横にあ る [Change] を選択 し ます。 2 [Operation Mode] リ ス ト から 、 [NAT] を選択 し ます。 3 次の情報を入力 し 、 [Apply] を選択 し ます。 [Interface IP/Netmask] FortiGate ユニ ッ ト の管理に使用する ネ ッ ト ワー ク の有効な IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 [Device] [Interface IP/Netmask] の設定を適用す る イ ン タ フ ェ ース を選択 し ます。 [Default Gateway] FortiGate ユ ニ ッ ト か ら 他の ネ ッ ト ワ ー ク に到達す る た めに 必要 な デ フ ォ ル ト ゲー ト ウ ェ イ を入力 し ます。 [Gateway Device] デ フ ォ ル ト ゲー ト ウ ェ イ が接続 さ れる イ ン タ フ ェ ース を選択 し ます。 管理アクセス 管理ア ク セ ス に よ っ て、 管理者が設定や メ ン テ ナ ン ス な ど の管理 タ ス ク を 実行す る た めに FortiGate ユニ ッ ト にロ グオ ン で き る方法が定義 さ れます。 ア ク セスの方法には、 コ ン ソ ール 接続を介 し た ロー カル ア ク セスのほか、 Telnet や HTTPS を含む さ ま ざ まな プ ロ ト コ ルを使用 し たネ ッ ト ワー ク またはモデム イ ン タ フ ェ ース を介 し た リ モー ト ア ク セスが含まれる場合が あ り ます。 管理ア ク セスは、 VDOM 内の任意の イ ン タ フ ェ ース上で設定で き ます。 101 ページの 「イ ン タ フ ェ ースへの管理ア ク セスの設定」 を参照 し て く だ さ い。 NAT/ ルー ト モー ド では、 管理ア ク セスに イ ン タ フ ェ ース IP ア ド レ スが使用 さ れます。 ト ラ ン スペア レ ン ト モー ド では、 管理ア ク セスが可能な VDOM 内のすべてのイ ン タ フ ェ ースに適用 さ れる単一の管理 IP ア ド レ ス を設 定 し ます。 また、 FortiGate は こ の IP ア ド レ ス を使用 し て FDN に接続 し 、 ウ イルスお よび攻撃 の更新 も行います (205 ページの 「FortiGate ユニ ッ ト での FDN お よび FortiGuard サブ ス ク リ プ シ ョ ン サービ スの設定」 を参照 )。 シ ス テム管理者 (admin) は、 すべての VDOM にア ク セス し 、 標準管理者ア カ ウン ト を作成する こ と がで き ます。 標準管理者ア カ ウン ト では、 自身が属する VDOM にのみア ク セス で き ます。 管理 コ ン ピ ュ ー タ は、 その VDOM 内の イ ン タ フ ェ ー ス に接続す る必要があ り ま す。 イ ン タ フ ェ ースがどの VDOM に属 し てい るのかは関係あ り ません。 ど ち らの場合 も、管理 コ ン ピ ュ ー タ は管理ア ク セスが可能な イ ン タ フ ェ ースに接続する必要があ り 、その IP ア ド レ スは同 じ ネ ッ ト ワー ク 上に存在す る必要があ り ます。 イ ン タ フ ェ ース上で HTTP、 HTTPS、 telnet、 ま たは SSH のサービ スが有効にな っ ている場合は、それ ら のセ ッ シ ョ ン を管理ア ク セスに使用で き ま す。 HTTPS と SSH は安全性が高い こ と か ら、 それ ら の使用が望まれます。 166 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 設定 動作モー ド および VDOM 管理ア ク セス FortiGate ユニ ッ ト の リ モー ト 管理を許可する こ と がで き ます。 ただ し 、 イ ン タ ーネ ッ ト か ら の リ モー ト 管理を許可する と 、 FortiGate ユニ ッ ト のセキ ュ リ テ ィ が危険に さ ら さ れる可能性 があ り ます。 設定に と っ て必須で ない限 り 、 こ の危険性を避け る よ う に し て く だ さ い。 イ ン タ ーネ ッ ト か らの リ モー ト 管理を許可する FortiGate ユニ ッ ト のセキ ュ リ テ ィ を向上 さ せる た めの方法は次の と お り です。 ・ セキ ュ ア な管理ユーザ パスワー ド を使用 し ます。 ・ こ れ らのパスワー ド を定期的に変更 し ます。 ・ HTTPS または SSH のみを使用 し て、こ のイ ン タ フ ェ ースへのセキ ュ ア な管理ア ク セス を有 効に し ます。 ・ 信頼で き る ホス ト を使用 し て、 リ モー ト ア ク セスの発信元を制限 し ます。 ・ シ ス テムのア イ ド ル タ イムアウ ト をデ フ ォル ト 値の 5 分か ら変更 し ないで く だ さ い (184 ページの 「設定」 を参照 )。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 167 動作モー ド および VDOM 管理ア ク セス 168 シス テム - 設定 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者 システム - 管理者 こ の項では、FortiGate ユニ ッ ト 上で管理者ア カ ウン ト を設定する方法について説明 し ます。管 理者は、 FortiGate ユニ ッ ト にア ク セ ス し てその動作を設定 し ます。 工場出荷のデ フ ォ ル ト 設 定では、 admin と い う 1 つの管理者ア カ ウン ト が設定 さ れています。 Web ベース マネージ ャ ま たは CLI に接続 し た後、FortiGate ユニ ッ ト の設定の各部分への さ ま ざ ま な レ ベルのア ク セス権 を持つ追加の管理者を設定で き ます。 FortiGate ユニ ッ ト 上でバー チ ャ ル ド メ イ ン (VDOM) を有効に し た場合、 シ ス テ ム管理者は FortiGate ユニ ッ ト 全体に対 し てグ ロ ーバルに設定 さ れます。 詳細については、 73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ 管理者 ・ 管理者プ ロ フ ァ イル ・ 集中管理 ・ 設定 ・ 管理者の監視 FortiGate の IPv6 サポー ト 注記 : FortiGate セ ッ シ ョ ンは、 常に CLI または Web ベース マネージ ャ で ログアウ ト する こ と によ っ て終了 し て く だ さ い。 そ う し ない と 、 そのセ ッ シ ョ ンが開いたま まにな り ます。 管理者 管理者ア カ ウン ト には、 次の 2 つのレ ベルがあ り ます。 標準管理者 super_admin 以外の任意の管理者プ ロ フ ァ イ ルを持つ管理者。 標準管理者ア カ ウ ン ト では、 その管理者 プ ロ フ ァ イ ル で決定 さ れ る 設定オ プ シ ョ ン に ア ク セ ス で き ま す。 バーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 標準管理者は 1 つの VDOM に割 り 当 て ら れ、 グ ローバル設定オプ シ ョ ン ま たは他の VDOM の設定にはア ク セ ス で き ませ ん。グ ロ ーバル オプ シ ョ ン と VDOM ご と のオプ シ ョ ン については、74 ページの「VDOM の設定」 およ び 76 ページの 「グ ロ ーバル設定」 を参照 し て く だ さ い。 システム管理者 工場出荷のデ フ ォ ル ト 値のシ ス テム管理者であ る admin、 super_admin プ ロ フ ァ イ ルに 割 り 当て ら れたその他の任意の管理者、 お よび super_admin_readonly プ ロ フ ァ イ ルに 割 り 当て ら れた任意の管理者が含まれます。 super_admin 管理者プ ロ フ ァ イ ルに割 り 当て ら れた任意の管理者 ( デ フ ォ ル ト の管理者ア カ ウ ン ト であ る admin を含む ) は、 FortiGate ユニ ッ ト の設定 と 、次の機能を含む一般的な シ ス テム設定に完全に ア ク セ ス で き ます。 ・ VDOM の設定の有効化 ・ VDOM の作成 ・ VDOM の設定 ・ 標準管理者の VDOM への割 り 当て ・ グ ロ ーバル オプ シ ョ ンの設定 ・ FortiGate Web ベース マネージ ャ のカ ス タ マ イ ズ super_admin 管理者プ ロ フ ァ イルは変更で き ません。 こ のプ ロ フ ァ イ ルは、 [System]、 [Admin]、 [Admin Profile] の順に選択 し て表示 さ れる画面にあ る プ ロ フ ァ イルの リ ス ト に は 表示 さ れ ま せ ん が、 [System]、 [Admin] の 順 に 選択 し て 表 示 さ れ る [New/Edit Administrator] ダ イ ア ロ グ ボ ッ ク スの [Admin Profile] ド ロ ッ プ ダウ ン リ ス ト にあ る選 択項目の 1 つです。 super_admin プ ロ フ ァ イルに割 り 当て られたユーザには、 次の特性があ り ます。 ・ 同 じ く super_admin プ ロ フ ァ イルに割 り 当て ら れてい る、ログ イ ン し ているユーザを削除す る こ と はで き ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 169 管理者 シス テム - 管理者 ・ 該当するユーザがログ イ ン し ていない場合にのみ、 super_admin プ ロ フ ァ イルに割 り 当て ら れてい る他のユーザを削除 し た り 、 設定 さ れてい る認証方法、 パスワー ド 、 ま たは管理者 プ ロ フ ァ イルを変更 し た り で き ます。 ・ デ フ ォル ト の admin ユーザがログ イ ン し ていない場合にのみ、 デ フ ォ ル ト の "admin" ア カ ウン ト を削除で き ます。 デ フ ォル ト では、 admin にパスワー ド は設定 さ れていません。 こ のパスワー ド は、 32 文字以下 にする必要があ り ます。 super_admin 管理者プ ロ フ ァ イルを持つユーザのパスワー ド は、 CLI で リ セ ッ ト で き ます。 ログ イ ン し ているユーザのパスワー ド が変更 さ れた場合、 そのユーザはロ グアウ ト さ れ、 新 し いパスワー ド で再認証を受ける よ う 求め ら れます。 例 : 管理者プ ロ フ ァ イル super_admin を持つユーザ ITAdmin のパスワー ド を 123456 に設定す るには、 次の コ マ ン ド を使用 し ます。 config sys admin edit ITAdmin set password 123456 end 例 : 管理者プ ロ フ ァ イル super_admin を持つユーザ ITAdmin のパスワー ド を 123456 か ら デ フ ォ ル ト の 「空」 に リ セ ッ ト するには、 次の コ マ ン ド を使用 し ます。 config sys admin edit ITAdmin unset password 123456 end super_admin_readonly と 呼ばれる、 読み取 り 専用のスーパー管理者特権を許可す る管理者プ ロ フ ァ イル も 存在 し ます。 こ のプ ロ フ ァ イルは、 super_admin プ ロ フ ァ イル と 同様に、 削除 し た り 変更 し た り する こ と はで き ません。 読み取 り 専用の super_admin プ ロ フ ァ イルは、 シ ス テム 管理者が、変更を行えない状態で顧客の設定を ト ラ ブルシ ュ ーテ ィ ングする必要があ る場合に 適 し て い ま す。 読み取 り 専用 で あ る こ と を 除 き、 super_admin_readonly プ ロ フ ァ イ ル で は、 FortiGate のすべての設定ツールを表示で き ます。 管理者の認証は、 FortiGate ユニ ッ ト や リ モー ト 認証サーバ (LDAP、 RADIUS、 TACACS+ な ど ) に格納 さ れているパスワー ド を使用 し て、 または PKI 証明書ベース認証を使用 し て行 う こ と が で き ます。 LDAP または TACACS+ サーバを使用 し て管理者を認証す るには、 そのサーバを認 証 リ ス ト に追加 し 、 そのサーバをユーザ グループに含め、 さ ら に管理者を そのユーザ グルー プに関連付ける必要があ り ます。 RADIUS サーバはユーザを認証 し 、 そのユーザの管理者プ ロ フ ァ イルに基づいて内部ネ ッ ト ワー ク リ ソ ースへのア ク セス を承認 し ます。PKI ベースの証明 書を使用 し て認証 さ れたユーザは、 自身が属す るユーザ グループお よび関連付け ら れてい る 管理者プ ロ フ ァ イルに基づいて内部ネ ッ ト ワー ク リ ソ ースへのア ク セス を許可 さ れます。 VDOM/ 管理者プ ロ フ ァ イルの置き換え機能は、RADIUS を介 し た管理者の認証をサポー ト し て います。 管理者ユーザには、 そのユーザが制限 さ れてい る対象の VDOM および関連付け ら れ てい る管理者プ ロ フ ァ イルに応 じ た ア ク セス権が与え られます。 こ の機能はワ イル ド カ ー ド 管 理者に対 し てのみ使用可能であ り 、 また FortiGate の CLI でのみ設定で き ます。 VDOM 置き換 えユーザは、 シ ス テムご と に 1 人 し か存在で き ません。詳細については、『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 170 ・ 管理者 リ ス ト の表示 ・ 管理者ア カ ウン ト の設定 ・ 管理者ア カ ウン ト のパスワー ド の変更 ・ 管理者に対する通常の ( パスワー ド ) 認証の設定 ・ 管理者に対する リ モー ト 認証の設定 ・ 管理者に対する PKI 証明書認証の設定 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者 管理者リストの表示 新 し い管理者ア カ ウ ン ト を追加 し た り 、 そのア ク セ ス権のレ ベルを制御 し た り す る には、 デ フ ォ ル ト の "admin" ア カ ウ ン ト 、 super_admin 管理者プ ロ フ ァ イルを持つア カ ウ ン ト 、 または 読み取 り / 書 き 込み ア ク セ ス 制御が許可 さ れ て い る 管理者 を 使用す る 必要が あ り ま す。 super_admin 管理者プ ロ フ ァ イルを持 っ ていない管理者ア カ ウン ト を使用 し て ロ グ イ ン し た場 合、 管理者 リ ス ト には現在のバーチ ャ ル ド メ イ ンの管理者のみが表示 さ れます。 管理者の リ ス ト を表示するには、 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 [Administrators] ページ デ フ ォ ル ト の super_admin 管理者ア カ ウ ン ト 、 お よび作成 し たすべての管理者ア カ ウ ン ト を表示 し ま す。 [Create New] 管理者ア カ ウ ン ト を追加 し ます。 [Name] 管理者ア カ ウ ン ト のロ グ イ ン名。 [Trusted Hosts] こ の管理者がロ グ イ ン で き る信頼で き る ホス ト の IP ア ド レ ス と ネ ッ ト マ ス ク 。 詳細 については、 179 ページの 「信頼で き る ホス ト の使用」 を参照 し て く だ さ い。 [Profile] こ の管理者の管理者プ ロ フ ァ イル。 [Type] こ の管理者の認証の タ イ プ で、 次のいずれかです。 [Local] FortiGate ユニ ッ ト 上に ロ ー カ ル パスワー ド が格納 さ れてい る ア カ ウ ン ト の認証。 [Remote] RADIUS、 LDAP、 ま たは TACACS+ サーバ上の特定のア カ ウ ン ト の認証。 [Remote+ LDAP、 RADIUS、 ま たは TACACS+ サーバ上の任意のア カ ウ ン ト の認証。 Wildcard] [PKI] ア カ ウ ン ト の PKI ベースの証明書認証。 [Delete] こ の管理者ア カ ウ ン ト を削除 し ます。 元の "admin" ア カ ウ ン ト は、 super_admin プ ロ フ ァ イ ル を持つ別のユーザを 作成 し 、 "admin" ア カ ウ ン ト か ら ロ グア ウ ト し て、 super_admin プ ロ フ ァ イ ルを持つ代わ り の ユーザを使用 し て ロ グ イ ンする ま で削除で き ません。 [Edit] こ の管理者ア カ ウ ン ト を編集ま たは表示 し ます。 [Change Password] こ の管理者ア カ ウ ン ト のパスワー ド を変更 し ます。 172 ページの 「管理者ア カ ウ ン ト のパスワー ド の変更」 を参照 し て く だ さ い。 管理者アカウントの設定 新 し い管理者を作成するには、デ フ ォル ト の "admin" ア カ ウン ト 、super_admin 管理者プ ロ フ ァ イルを持つア カ ウ ン ト 、または読み取 り / 書き込みア ク セス制御が許可 さ れている管理者を使 用する必要があ り ます。 新 し い管理者を作成するには、 [System]、[Admin]、[Administrators] の順に選択 し 、 [Create New] を選択 し ます。 [New Administrator] ページ 管理者ア カ ウ ン ト を設定す る ための各設定を提供 し ます。 [Administrator] こ の管理者ア カ ウ ン ト のロ グ イ ン名を入力 し ます。 管理者の名前に、 <>()#"' の文字を含める こ と はで き ません。 管理者ア カ ウ ン ト の名前に こ れ ら の文字を使用する と 、 ク ロ スサ イ ト ス ク リ プ テ ィ ン グ (XSS) の脆 弱性が生 じ る場合があ り ます。 [Type] 管理者ア カ ウ ン ト の種類を選択 し ます。 [Regular] ロ ー カ ル管理者 ア カ ウ ン ト を 作成す る 場合に選択 し ま す。 詳細に つい ては、 172 ページの 「管理者に対する通常の ( パスワー ド ) 認証の設定」 を参照 し て く だ さ い。 [Remote] RADIUS、 LDAP、 または TACACS+ サーバを使用 し て管理者を認証す る場合に選択 し ま す。 まず、 管理者に対す るサーバ認証 を設定す る必要があ り ます。 詳細につ いては、173 ページの 「管理者に対する リ モー ト 認証の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 171 管理者 シス テム - 管理者 [PKI] [User Group] 管理者に対す る証明書ベースの認証を有効にする場合に選択 し ます。PKI 認証が有 効にな っ てい る と き に ロ グ イ ン で き るのは 1 人の管理者だけです。 詳細について は、 178 ページの 「管理者に対する PKI 証明書認証の設定」 を参照 し て く だ さ い。 [User Group] の メ ンバ と し て リ モー ト サーバ/PKI ( ピ ア ) ユーザを含む管理者ユー ザ グループ を選択 し ます。 管理者ユーザ グループが認証のために選択 さ れた後、 こ のグループ を削除する こ と はで き ません。 こ れは、 [Type] が [Remote] ま たは [PKI] の場合にのみ使用で き ます。 [Wildcard] RADIUS、 LDAP、 または TACACS+ サーバ上のすべてのア カ ウ ン ト を管理者に で き る よ う にす る場合に選択 し ます。 こ れは、 [Type] が [Remote] の場合にのみ使用で き ます。 VDOM ご と に許可 さ れる ワ イル ド カ ー ド ユーザは 1 人だけです。 [Password] こ の管理者ア カ ウ ン ト のパスワー ド を 入力 し ます。 セキ ュ リ テ ィ を 強化す る ため に、 パスワー ド は 6 文字以上にする必要があ り ます。 こ れは、 [Wildcard] が選択 さ れてい るか、 ま たは [Type] が [PKI] の場合は使用で き ません。 管理者ア カ ウ ン ト のパスワー ド を忘れたか、 ま たは失 う か し て FortiGate ユニ ッ ト に ロ グ イ ン で き ない場合は、 詳細について Fortinet Knowledge Base の記事 「失わ れた管理者ア カ ウン ト のパスワー ド の復旧」 を参照 し て く だ さ い。 [Confirm Password] こ の管理者ア カ ウ ン ト のパスワー ド を も う 一度入力 し て、 パスワー ド を 正 し く 入 力 し た こ と を確認 し ます。 こ れは、 [Wildcard] が選択 さ れてい るか、 ま たは PKI 認証が選択 さ れている場合は 使用で き ません。 [Trusted Host #1] [Trusted Host #2] [Trusted Host #3] FortiGate ユニ ッ ト 上で こ の管理者ロ グ イ ンが制限 さ れてい る対象の信頼で き る ホ ス ト の IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 最大 3 つの信頼で き る ホ ス ト を 指 定 で き ま す。 こ れ ら の ア ド レ ス は す べ て、 デ フ ォ ル ト で 0.0.0.0/0 ま た は 0.0.0.0/0.0.0.0 に設定 さ れています。 詳細については、 179 ページの 「信頼で き る ホ ス ト の使用」 を参照 し て く だ さ い。 [IPv6 Trusted Host #1] FortiGate ユニ ッ ト 上で こ の管理者ロ グ イ ンが制限 さ れてい る対象の信頼で き る ホ [IPv6 Trusted Host #2] ス ト の IPv6 ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 最大 3 つの信頼で き る ホ ス ト [IPv6 Trusted Host #3] を指定で き ます。 こ れ ら のア ド レ スはすべて、 デ フ ォ ル ト で ::/0 に設定 さ れてい ます。 詳細については、 179 ページの 「信頼で き る ホ ス ト の使用」 を参照 し て く だ さ い。 [Admin Profile] こ の管理者の管理者プ ロ フ ァ イ ル を 選択 し ます。 ま た、 [Create New] を 選択 し て 新 し い管理者プ ロ フ ァ イ ル を作成す る こ と も で き ます。 管理者プ ロ フ ァ イ ルの詳 細については、 183 ページの 「管理者プ ロ フ ァ イルの設定」 を参照 し て く だ さ い。 管理者アカウントのパスワードの変更 管理者パスワー ド を変更す る には、 [System]、 [Admin]、 [Administrators] の順に選択 し 、 パス ワー ド を変更する管理者ア カ ウ ン ト の横にあ る [ パスワー ド の変更 ] ア イ コ ン を選択 し ます。 新 し いパスワー ド を入力 し て確認 し 、 [OK] を選択 し て変更を保存 し ます。 管理者に対する通常の ( パスワード ) 認証の設定 ローカルの FortiGate ユニット上に格納されているパスワードを使用して管理者を認証できます。 FortiGate ユニット上に格納されているパスワードを使用して認証されるように管理者を設定 するには 1 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の管理者の横にある [ 編集 ] アイコンを選択します。 3 次の情報を入力 し ます。 172 [Administrator] こ の管理者の名前。 [Type] [Regular]。 [Password] こ の管理者が認証に使用す るパスワー ド 。 [Confirm Password] [Password] に入力 し たパスワー ド 。 [Admin Profile] こ の管理者に適用 さ れる管理者プ ロ フ ァ イ ル。 4 必要に応 じ て、 追加機能を設定 し ます。 詳細については、 171 ページの 「管理者ア カ ウン ト の設定」 を参照 し て く だ さ い。 5 [OK] を選択 し ます FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者 [Type] に [Regular] を選択 し た場合は、 管理者の リ ス ト を表示 し た と き に、 [Type] カ ラ ム内の エ ン ト リ と し て [Local] が表示 さ れます。 詳細については、 171 ページの 「管理者 リ ス ト の表 示」 を参照 し て く だ さ い。 注記 : 管理者ア カ ウン ト のパスワー ド を忘れたか、または失 う か し て FortiGate ユニ ッ ト に ログ イ ン で き ない場合は、 Fortinet Knowledge Base の記事 「失われた FortiGate 管理者ア カ ウン ト のパスワー ド の復旧」 を参照 し て く だ さ い。 管理者に対するリモート認証の設定 RADIUS、 LDAP、 または TACACS+ サーバを使用 し て管理者を認証で き ます。 こ れを行 う には、 サーバを設定 し 、 そのサーバをユーザ と し てユーザ グループに含めた後、 そのユーザ グルー プに含める管理者ア カ ウン ト を作成する必要があ り ます。 管理者に対する RADIUS 認証の設定 RADIUS (Remote Authentication and Dial-in User Service) サーバは、 認証、 承認、 お よびア カ ウ ン テ ィ ング機能を提供 し ます。 FortiGate ユニ ッ ト は、 RADIUS サーバの認証 と 承認の機能を使 用 し ます。 RADIUS サーバを認証に使用する には、 サーバを設定 し てか ら、 そのサーバを必要 と する FortiGate ユーザまたはユーザ グループ を設定する必要があ り ます。 RADIUS のサポー ト が設定 さ れてお り 、 RADIUS サーバを使用 し てユーザを認証す る必要があ る場合、FortiGate ユニ ッ ト は認証のためにそのユーザの資格情報を RADIUS サーバに送信 し ま す。 RADIUS サーバがそのユーザを認証で き る場合、 そのユーザは FortiGate ユニ ッ ト で正常に 認証 さ れます。 RADIUS サーバがそのユーザを認証で き ない場合、 FortiGate ユニ ッ ト はその接 続を拒否 し ます。 RADIUS サーバを使用 し て VDOM 内の管理者を認証する場合は、 その管理者ア カ ウ ン ト を作成 する前に認証を設定する必要があ り ます。 それには、 次の こ と を行 う 必要があ り ます。 ・ RADIUS サーバにア ク セスする よ う に FortiGate ユニ ッ ト を設定する には ・ ユーザ グループ を作成するには (RADIUS) ・ RADIUS サーバを使用 し て認証 さ れる よ う に管理者を設定する には 次の手順では、 管理者の名前 と パスワー ド が設定 さ れた RADIUS サーバがネ ッ ト ワー ク上に存 在す る こ と を前提に し て い ます。 RADIUS サーバ を設定す る方法につい ては、 使用 し てい る RADIUS サーバの ド キ ュ メ ン ト を参照 し て く だ さ い。 RADIUS サーバの リ ス ト を表示する には、 [User]、 [Remote]、 [RADIUS] の順に選択 し ます。 [RADIUS] ページ 設定 さ れてい るすべての RADIUS サーバを表示 し ます。 こ のページ では、 新 し い RADIUS サーバを編集、 削除、 お よび作成する こ と がで き ます。 [Create New] 新 し い RADIUS サーバを追加 し ます。 [Name] FortiGate ユニ ッ ト 上の RADIUS サーバを識別する名前。 [Server Name/IP] こ の RADIUS サーバの ド メ イ ン名または IP ア ド レ ス。 [Delete] こ の RADIUS サーバの設定を削除 し ます。 ユーザ グループ に追加 さ れてい る RADIUS サーバを削除す る こ と はで き ま せん。 [Edit] こ の RADIUS サーバの設定を編集 し ます。 注記 : FortiGate ユニ ッ ト へのア ク セスは、 管理者ア カ ウン ト に関連付け られている VDOM によ っ て異な り ます。 RADIUS サーバにアクセスするように FortiGate ユニットを設定するには 1 [User]、 [Remote]、 [RADIUS] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の RADIUS サーバの横にある [ 編集 ] ア イ コ ン を 選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 173 管理者 シス テム - 管理者 3 次の情報を入力 し ます。 [Name] こ の RADIUS サーバを識別する名前。 [Primary Server Name/IP] こ の RADIUS サーバの ド メ イ ン名ま たは IP ア ド レ ス を入力 し ます。 [Primary Server Secret] RADIUS サーバ シー ク レ ッ ト を入力 し ます。RADIUS サーバ管理者が こ の情報を提 供で き ます。 [Secondary 2番目のRADIUSサーバの ド メ イ ン名ま たはIPア ド レ ス を入力 し ます (オプ シ ョ ン)。 Server Name/IP] 4 [Secondary Server Secret] 2 番目の RADIUS サーバ シー ク レ ッ ト を入力 し ます ( オ プ シ ョ ン )。 [Authentication Scheme] [Use Default Authentication Scheme] ま た は [Specify Authentication Protocol] の ど [NAS IP/Called Station ID] NAS (Network Attached Storage) の IP ア ド レ ス を入力 し ます。 [Include in every User Group] こ の RADIUS サーバを、 こ の VDOM 内のすべてのユーザ グループ に追加す る場合 に選択 し ます ( オ プ シ ョ ン )。 ち ら かを選択 し ます。 方式を指定す る こ と を選択 し た場合は、 ド ロ ッ プ ダウ ン メ ニ ュ ーか ら いずれかの方式を選択 し ます。 [OK] を選択 し ます RADIUS 認証の詳細については、 450 ページの 「RADIUS サーバの設定」 を参照 し て く だ さ い。 ユーザ グループを作成するには (RADIUS) 1 [User]、 [User Group]、 [User Group] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の RADIUS グループの横にあ る [ 編集 ] ア イ コ ン を選択 し ます。 3 こ のユーザ グループ を識別する名前を入力 し ます。 4 [Type] には [Firewall] を入力 し ます。 5 [Available Users/Groups] リ ス ト で RADIUS サーバ名を選択 し 、 それを [Members] リ ス ト に 移動 し ます。 6 [OK] を選択 し ます RADIUS サーバを使用して認証されるように管理者を設定するには 1 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の管理者の横にある [ 編集 ] アイコンを選択します。 3 次の情報を入力 し ます。 [Name] こ の管理者を識別する名前。 [Type] [Remote]。 [User Group] こ の RADIUS サーバを メ ンバ と し て含むユーザ グループ。 [Password] こ の管理者が認証に使用するパスワー ド 。 [Confirm Password] [Password] への元の入力を確認する ための再入力 さ れたパスワー ド 。 [Admin Profile] こ の管理者に適用 さ れる管理者プ ロ フ ァ イ ル。 4 必要に応 じ て、 追加機能を設定 し ます。 詳細については、 171 ページの 「管理者ア カ ウン ト の設定」 を参照 し て く だ さ い。 5 [OK] を選択 し ます RADIUS サ ー バ を 使 用 し て シ ス テ ム 管 理 者 を 認 証 す る 方 法 の 詳 細 に つ い て は、 Fortinet Knowledge Base の記事 「RADIUS を使用 し た管理者のア ク セス権および認証」 を参照 し て く だ さ い。 174 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者 管理者に対する LDAP 認証の設定 LDAP (Lightweight Directory Access Protocol) は、 認証デー タ を保守す るために使用 さ れる イ ン タ ーネ ッ ト プ ロ ト コ ルです。 こ れ ら のデー タ には、 部門、 ユーザ、 ユーザのグループ、 パス ワー ド 、 電子 メ ール ア ド レ ス、 プ リ ン タ な どが含まれる可能性があ り ます。 LDAP のサポー ト が設定 さ れてお り 、 LDAP サーバを使用 し て管理者を認証する必要がある場 合、 FortiGate ユニ ッ ト は認証のために LDAP サーバに接続 し ます。 LDAP サーバがその管理者 を認証で き ない場合、 FortiGate ユニ ッ ト はその接続を拒否 し ます。 LDAP サーバを使用 し て VDOM 内の管理者を認証する場合は、 その管理者ア カ ウン ト を作成す る前に認証を設定する必要があ り ます。 それには、 次の こ と を行 う 必要があ り ます。 ・ LDAP サーバを設定するには ・ ユーザ グループ を作成するには (LDAP) ・ LDAP サーバを使用 し て認証 さ れる よ う に管理者を設定するには LDAP サーバの リ ス ト を表示するには、 [User]、 [Remote]、 [LDAP] の順に選択 し ます。 [LDAP] ページ 作成 し たすべての LDAP サーバを表示 し ます。 こ のページ では、 新 し い LDAP ページ を編集、 削除、 ま たは作成する こ と がで き ます。 [Create New] 新 し い LDAP サーバを追加 し ます。 [Name] FortiGate ユニ ッ ト 上の LDAP サーバを識別する名前。 [Server Name/IP] こ の LDAP サーバの ド メ イ ン名ま たは IP ア ド レ ス。 [Port] こ の LDAP サーバ と の通信に使用 さ れる TCP ポー ト 。 [Common Name Identifier] こ の LDAP サーバの共通名識別子。 [Distinguished Name] こ の LDAP サーバ上のエ ン ト リ の検索に使用 さ れる識別名。 [Delete] こ の LDAP サーバの設定を削除 し ます。 [Edit] こ の LDAP サーバの設定を編集 し ます。 LDAP サーバを設定するには 1 [User]、 [Remote]、 [LDAP] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の LDAP サーバの横にあ る [ 編集 ] ア イ コ ン を選 択 し ます。 3 次の情報を入力または選択 し 、 [OK] を選択 し ます。 [Name] FortiGate ユニ ッ ト 上の LDAP サーバを識別す る名前。 [Server Name/IP] こ の LDAP サーバの ド メ イ ン名または IP ア ド レ ス。 [Server Port] こ の LDAP サーバ と の通信に使用 さ れる TCP ポー ト 。 [Common Name Identifier] こ の LDAP サーバの共通名識別子。 [Distinguished Name] 正 し い X.500 ま たは LDAP 形式での、 こ のサーバの基本識別名。 [Query] 設定 し ている LDAP サーバの LDAP サーバ [Distinguished Name Query] ツ リ ーを表示 し て、 [Distinguished Name] と 相互参照で き る よ う に し ます。 詳細については、 453 ページの 「ク エ リ の使用」 を参照 し て く だ さ い。 [Bind Type] LDAP 認証のバ イ ン ド の種類。 [Anonymous] 匿名ユーザ検索を使用 し てバ イ ン ド し ます。 [Regular] ユーザ名 / パスワー ド を使用 し てバイ ン ド し てか ら 検索 し ます。 [Simple] 検索せずに、 単純なパスワー ド 認証を使用 し てバ イ ン ド し ます。 [Filter] グルー プ検索に使用 さ れ る フ ィ ル タ 。 [Bind Type] が [Anonymous] ま たは [Regular] の場合にのみ使用で き ます。 [User DN] 認証 さ れるユーザの識別名。 [Bind Type] が [Regular] の場合にのみ使用で き ます。 [Password] 認証 さ れるユーザのパスワー ド 。 [Bind Type] が [Regular] の場合にのみ使 用で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 175 管理者 シス テム - 管理者 [Secure Connection] 認証のためのセキュアな LDAP サーバ接続を有効にするチェック ボックス。 [Protocol] 認証に使用する セキ ュ ア な LDAP プ ロ ト コ ル。 [Secure Connection] が選択 さ れてい る場合にのみ使用で き ます。 [Certificate] 認証に使用する証明書。[Secure Connection] が選択 さ れてい る場合にのみ 使用で き ます。 LDAP 認証の詳細については、 452 ページの 「LDAP サーバの設定」 を参照 し て く だ さ い。 ユーザ グループを作成するには (LDAP) 1 [User]、 [User Group]、 [User Group] の順に選択 し ます。 2 [Create New] を選択するか、 または既存のユーザ グループの横にある [ 編集 ] ア イ コ ン を 選択 し ます。 3 こ の LDAP ユーザ グループ を識別する [Name] を入力 し ます。 4 [Type] には [Firewall] を入力 し ます。 5 [Available Users/Groups] リ ス ト で LDAP サーバ名を選択 し 、 それを [Members] リ ス ト に移 動 し ます。 6 [OK] を選択 し ます LDAP サーバを使用して認証されるように管理者を設定するには 1 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の管理者ア カ ウン ト の横にある [ 編集 ] ア イ コ ン を選択 し ます。 3 次の情報を入力または選択 し ます。 [Administrator] こ の管理者を識別する名前。 [Type] [Remote]。 [User Group] こ の LDAP サーバを メ ンバ と し て含むユーザ グループ。 [Wildcard] LDAP サーバ上のすべてのア カ ウ ン ト を管理者に で き る よ う にす る ためのチ ェ ッ ク ボ ッ ク ス。 [Password] こ の管理者が認証に使用するパスワー ド 。 [Wildcard] が有効にな っ てい る場合は使 用で き ません。 [Confirm Password] [Password] への元の入力を確認する ための再入力 さ れたパスワー ド 。 [Wildcard] が 有効にな っ てい る場合は使用で き ません。 [Admin Profile] こ の管理者に適用 さ れる管理者プ ロ フ ァ イ ル。 4 必要に応 じ て、 追加機能を設定 し ます。 詳細については、 171 ページの 「管理者ア カ ウン ト の設定」 を参照 し て く だ さ い。 5 [OK] を選択 し ます 管理者に対する TACACS+ 認証の設定 TACACS+ (Terminal Access Controller Access-Control System) は、1 台以上の集中管理サーバを 介 し たルー タ 、 ネ ッ ト ワー ク ア ク セス サーバ、 その他のネ ッ ト ワー ク接続 さ れた コ ン ピ ュ ー テ ィ ング デバイ スに対する ア ク セス制御を提供する リ モー ト 認証プ ロ ト コ ルです。 TACACS+ のサポー ト が設定 さ れてお り 、TACACS+ サーバを使用 し て管理者を認証する必要が ある場合、 FortiGate ユニ ッ ト は認証のために TACACS+ サーバに接続 し ます。 TACACS+ サー バがその管理者を認証で き ない場合、 その接続は FortiGate ユニ ッ ト によ っ て拒否 さ れます。 TACACS+ サーバを使用 し て VDOM 内の管理者を認証する場合は、 その管理者ア カ ウ ン ト を作 成する前に認証を設定する必要があ り ます。 それには、 次の こ と を行 う 必要があ り ます。 ・ TACACS+ サーバにア ク セスする よ う に FortiGate ユニ ッ ト を設定するには ・ ユーザ グループ を作成するには (TACACS+) ・ TACACS+ サーバを使用 し て認証 さ れる よ う に管理者を設定するには TACACS+ サーバの リ ス ト を表示するには、 [User]、 [Remote]、 [TACACS+] の順に選択 し ます。 176 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者 [TACACS+] ページ 作成 し たすべての TACACS+ サーバを表示 し ます。 こ のページ では、 新 し い TACACS+ サーバを編集、 削 除、 ま たは作成する こ と がで き ます。 [Create New] 新 し い TACACS+ サーバを追加 し ます。 [Server] こ の TACACS+ サーバのサーバ ド メ イ ン名ま たは IP ア ド レ ス。 [Authentication Type] サポー ト さ れてい る認証方法。TACACS+ の認証方法には、[Auto]、[ASCII]、 [PAP]、 [CHAP]、 およ び [MSCHAP] があ り ます。 [Delete] こ の TACACS+ サーバを削除 し ます。 [Edit] こ の TACACS+ サーバを編集 し ます。 TACACS+ サーバにアクセスするように FortiGate ユニットを設定するには 1 [User]、 [Remote]、 [TACACS+] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の TACACS+ サーバの横にある [ 編集 ] ア イ コ ン を選択 し ます。 3 次の情報を入力または選択 し ます。 [Name] こ の TACACS+ サーバを識別する名前を入力 し ます。 [Server Name/IP] こ の TACACS+ サーバのサーバ ド メ イ ン名ま たは IP ア ド レ ス を入力 し ます。 4 [Server Key] こ の TACACS+ サーバに ア ク セ スする ためのキーを入力 し ます。最大数は 16 です。 [Authentication Type] [Auto]、 [ASCII]、 [PAP]、 [CHAP]、 [MSCHAP] のいずれかを入力 し ます。 [Auto] は、 PAP、 MSCHAP、 お よび CHAP を ( その順序で ) 使用 し て認証 し ます。 [OK] を選択 し ます TACACS+ 認証の詳細については、454 ページの「TACACS+ サーバの設定」を参照 し て く だ さ い。 ユーザ グループを作成するには (TACACS+) 1 [User]、 [User Group] の順に選択 し ます。 2 [Create New] を選択するか、 または既存のユーザ グループの横にある [ 編集 ] ア イ コ ン を 選択 し ます。 3 こ の TACAS+ ユーザ グループ を識別する [Name] を入力 し ます。 4 [Type] には [Firewall] を選択 し ます。 5 [Available Users/Groups] リ ス ト で TACACS+ サーバ名を選択 し 、 それを [Members] リ ス ト に移動 し ます。 6 [OK] を選択 し ます TACACS+ サーバを使用して認証されるように管理者を設定するには 1 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の管理者の横にある [ 編集 ] アイコンを選択します。 3 次の情報を入力または選択 し ます。 [Administrator] こ の管理者を識別する名前。 [Type] [Remote]。 [User Group] こ の TACACS+ サーバを メ ンバ と し て含むユーザ グループ。 [Wildcard] TACACS+ サーバ上のすべてのア カ ウ ン ト を管理者にで き る よ う にす る場合に選択 し ます。 [Password] こ の管理者が認証に使用するパスワー ド 。 [Wildcard] が有効に な っ ている場合は使 用で き ません。 [Confirm Password] [Password] への元の入力を確認する ための再入力 さ れたパスワー ド 。 [Wildcard] が [Admin Profile] こ の管理者に適用 さ れる管理者プ ロ フ ァ イ ル。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 有効にな っ てい る場合は使用で き ません。 177 管理者 シス テム - 管理者 4 必要に応 じ て、 追加機能を設定 し ます。 詳細については、 171 ページの 「管理者ア カ ウン ト の設定」 を参照 し て く だ さ い。 5 [OK] を選択 し ます 管理者に対する PKI 証明書認証の設定 PKI (Public Key Infrastructure) 認証は、 ピ ア、 ピ ア グループ、 およびユーザ グループの リ ス ト を取得 し 、 認証の成功または拒否の通知を返す証明書認証ラ イ ブ ラ リ を使用 し ます。 ユーザに 必要なのは認証が成功する ための有効な証明書だけであ り 、ユーザ名やパスワー ド は必要あ り ません。 管理者に対する PKI 認証を使用するには、管理者ア カ ウ ン ト を作成す る前に認証を設定する必 要があ り ます。 それには、 次の こ と を行 う 必要があ り ます。 ・ PKI ユーザを設定するには ・ ユーザ グループ を作成するには (PKI) ・ PKI 証明書を使用 し て認証 さ れる よ う に管理者を設定す るには PKI ユーザ リ ス ト を表示する には、 [User]、 [PKI]、 [PKI] の順に選択 し ます。 [PKI] ページ 作成 し たすべての PKI ユーザ リ ス ト を表示 し ます。 こ のページ では、 新 し い PKI ユーザ リ ス ト を 編集、 削除、 または作成す る こ と がで き ます。 [Create New] 新 し い PKI ユーザを追加 し ます。 [Name] こ の PKI ユーザの名前。 [Subject] 認証 し てい るユーザの証明書の件名 フ ィ ール ド に表示 さ れる テキス ト 文字列。 [CA] こ のユーザの認証に使用 さ れる CA 証明書。 [Delete] こ の PKI ユーザを削除 し ます。 [Edit] こ の PKI ユーザを編集 し ます。 PKI ユーザを設定するには 1 [User]、 [PKI]、 [PKI] の順に選択 し ます。 2 [Create New] を選択するか、 または既存の PKI ユーザの横にある [ 編集 ] ア イ コ ン を選択 し ます。 3 こ の PKI ユーザの [Name] を入力 し ます。 4 [Subject] には、 認証 し てい るユーザの証明書の件名 フ ィ ール ド に表示 さ れる テキス ト 文字 列を入力 し ます。 5 こ のユーザの認証に使用 さ れる [CA] 証明書を選択 し ます。 6 [OK] を選択 し ます ユーザ グループを作成するには (PKI) 1 [User]、 [User Group]、 [User Group] の順に選択 し ます。 2 [Create New] を選択するか、 または既存のユーザ グループの横にある [ 編集 ] ア イ コ ン を 選択 し ます。 3 次の情報を入力または選択 し ます。 4 [Name] こ の PKI ユーザ グループ を識別する名前。 [Type] [Firewall]。 [Available Users/Groups] PKI ユーザの名前を選択 し 、 それを [Members] リ ス ト に移動 し ます。 [OK] を選択 し ます PKI 証明書を使用して認証されるように管理者を設定するには 1 [System]、 [Admin]、 [Administrators] の順に選択 し ます。 178 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者プ ロ フ ァ イル 2 [Create New] を選択するか、 または既存の管理者の横にある [ 編集 ] アイコンを選択します。 3 次の情報を入力または選択 し ます。 [Administrator] こ の管理者を識別する名前。 [Type] [PKI]。 [User Group] こ の PKI ユーザを メ ンバ と し て含むユーザ グループ。 [Admin Profile] こ の管理者に適用 さ れる管理者プ ロ フ ァ イ ル。 4 必要に応 じ て、 追加機能を設定 し ます。 詳細については、 171 ページの 「管理者ア カ ウン ト の設定」 を参照 し て く だ さ い。 5 [OK] を選択 し ます 信頼できるホストの使用 信頼で き る ホス ト をすべての管理者に対 し て設定する と 、管理ア ク セスが さ ら に制限 さ れる こ と にな る ため、 ネ ッ ト ワー ク のセキ ュ リ テ ィ が向上 し ます。 管理者はパスワー ド を知 っ ている こ と に加え て、 指定 さ れた (1 つまたは複数の ) サブ ネ ッ ト だけ を介 し て接続する必要があ り ます。 さ ら に、 ネ ッ ト マ ス クが 255.255.255.255 の信頼で き るホス ト IP ア ド レ ス を 1 つだけ設 定すれば、 管理者を 1 つの IP ア ド レ スに制限する こ と も で き ます。 信頼で き る ホ ス ト をすべての管理者に対 し て設定 し た場合、 FortiGate ユニ ッ ト は、 他のどの ホス ト か ら の管理ア ク セスの試行に も 応答 し ません。 こ れによ り 、 最高のセキ ュ リ テ ィ が実現 し ます。 管理者が 1 人で も制限 さ れない状態のま まにな っ ている と 、 ユニ ッ ト は管理ア ク セス が有効にな っ てい る任意のイ ン タ フ ェ ース上の管理ア ク セスの試行を受け付けて し ま う ため、 ユニ ッ ト が不正なア ク セス を取得 し よ う と する試みに さ ら さ れる恐れがあ り ます。 定義 し た信頼で き るホス ト は、 Telnet または SSH を介 し て ア ク セス さ れた と き に、 Web ベー ス マネージ ャ と CLI の両方に適用 さ れます。 コ ン ソ ール コ ネ ク タ を介 し た CLI ア ク セスには 影響あ り ません。 信頼で き る ホス ト のア ド レ スはすべて、 IPv4 の場合は 0.0.0.0/0.0.0.0 に、 IPv6 の場合は ::/0 に デ フ ォル ト で設定 さ れています。 いずれかの 0 のア ド レ ス を 0 以外のア ド レ スに設定する と 、 その他の 0 のア ド レ スは無視 さ れます。 ワ イル ド カ ー ド のエ ン ト リ を使用す るには、 信頼で き る ホス ト を 0.0.0.0/0.0.0.0 または ::0 のま まに し てお く し かあ り ません。 ただ し 、 こ の設定では 安全性が低 く な り ます。 管理者プロファイル 各管理者ア カ ウン ト は、 1 つの管理者プ ロ フ ァ イルに属 し ます。 管理者プ ロ フ ァ イルによ っ て FortiGate の機能が、 読み取 り / 書き込みア ク セス権な し ( 拒否 )、 読み取 り 専用、 または読み 取 り / 書き込みア ク セス を有効にで き る ア ク セス制御カ テ ゴ リ に分離 さ れます。 次の表は、 各カ テ ゴ リ によ っ てア ク セスが提供 さ れる Web ベース マネージ ャ ページ を示 し て います。 表 40: Web ベース マネージャ ページへのアクセスの管理者プロファイル制御 アクセス制御 影響を受ける Web ベース マネージャ ページ 管理者ユーザ [System]、 [Admin]、 [Administrators] [System]、 [Admin]、 [Admin Profile] アンチウイルス設定 [UTM]、 [AntiVirus] アプリケーション制御 [UTM]、 [Application Control] ユーザ認証 [User] 情報漏洩防止 (DLP) [UTM]、 [Data Leak Prevention] 電子メール フィルタ [UTM]、 [Email Filter] ファイアウォール設定 [Firewall] FortiGuard 更新 [System]、 [Maintenance]、 [FortiGuard] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 179 管理者プ ロ フ ァ イル シス テム - 管理者 表 40: Web ベース マネージャ ページへのアクセスの管理者プロファイル制御 ( 続き ) IM、P2P、および VoIP 設定 [IM, [IM, [IM, [IM, P2P P2P P2P P2P & & & & VoIP]、 VoIP]、 VoIP]、 VoIP]、 [Statistics] [User]、 [Current Users] [User]、 [User List] [User]、 [Config] IPS 設定 [UTM]、 [Intrusion Protection] ログとレポート [Log&Report] メンテナンス [System]、 [Maintenance] ネットワーク設定 [System]、 [System]、 [System]、 [System]、 ルータ設定 [Router] スパムフィルタ設定 [UTM]、 [AntiSpam] システム設定 [System]、 [Status] ( セ ッ シ ョ ン情報を含む ) [System]、 [Config] [System]、 [Hostname] [System]、 [Network]、 [Options] [System]、 [Admin]、 [Central Management] [System]、 [Admin]、 [Settings] [System]、 [Status]、 [System Time] [Wireless Controller] VPN 設定 [VPN] Web フィルタ設定 [UTM]、 [Web Filter] [Network]、 [Interface] [Network]、 [Zone] [Network]、 [Web Proxy] [DHCP] Web ベース マネージ ャ ページに対する読み取 り 専用ア ク セスによ り 、 管理者はそのページ を 表示で き ます。 ただ し 、 管理者がそのページ上の設定を変更するには、 書き込みア ク セスが必 要です。 フ ァ イ アウ ォ ール設定のア ク セス制御を拡張 し て、 フ ァ イ アウ ォ ール機能へのよ り きめ細かな ア ク セ ス制御を有効にする こ と がで き ます。 ポ リ シー、 ア ド レ ス、 サー ビ ス、 スケジ ュ ール、 プ ロ フ ァ イル、 その他の仮想 IP (VIP) 設定への管理ア ク セス を制御で き ます。 注記 : [Virtual Domain Configuration] が有効にな っ ている場合 (184 ページの 「設定」 を参照 )、 グローバル設定にア ク セスで き るのは管理者プ ロ フ ァ イル super_admin を持つ管理者だ けです。 その他の管理者ア カ ウン ト は 1 つの VDOM に割 り 当て ら れ、 グローバル設定オプ シ ョ ン または他の VDOM の設定にはア ク セスで き ません。 グローバル設定については、 74 ページの 「VDOM の設定」 を参照 し て く だ さ い。 管理者プ ロ フ ァ イルは、CLI コ マ ン ド への管理ア ク セスに も同様の影響を与え ます。次の表は、 各 [Access Control] カ テ ゴ リ で ど の コ マ ン ド の種類が使用 で き る か を 示 し て い ま す。 [Read Only] ア ク セスでは、 "get" および "show" コ マ ン ド にア ク セスで き ます。 "config" コ マ ン ド へ のア ク セスには、 [Read-Write] ア ク セスが必要です。 表 41: CLI コマンドへのアクセスの管理者プロファイル制御 180 アクセス制御 使用可能な CLI コマンド 管理者ユーザ (admingrp) system admin system accprofile アンチウイルス設定 (avgrp) antivirus アプリケーション制御 application ユーザ認証 (authgrp) user 情報漏洩防止 (DLP) dlp 電子メール フィルタ spamfilter FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 管理者プ ロ フ ァ イル 表 41: CLI コマンドへのアクセスの管理者プロファイル制御 ( 続き ) アクセス制御 使用可能な CLI コマンド ファイアウォール設定 (fwgrp) firewall い く つ かの フ ァ イ ア ウ ォ ール権限 を 個別 に 設定す る に は、 set fwgrp custom およ び config fwgrp-permission コ マ ン ド を使用 し ます。 ポ リ シー、 ア ド レ ス、 サー ビ ス、 ス ケ ジ ュ ール、 プ ロ フ ァ イ ル、 その他の (VIP) 設定の選択を行 う こ と がで き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス』 を参照 し て く だ さ い。 FortiGuard 更新 (updategrp) system autoupdate execute update-av execute update-ips execute update-now IPS 設定 (ipsgrp) ips ログとレポート (loggrp) system alertemail log system fortianalyzer execute log メンテナンス (mntgrp) execute execute execute execute execute ネットワーク設定 (netgrp) system arp-table system dhcp system interface system zone execute dhcp lease-clear execute dhcp lease-list execute clear system arp table execute interface FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク formatlogdisk restore backup batch usb-disk 181 管理者プ ロ フ ァ イル シス テム - 管理者 表 41: CLI コマンドへのアクセスの管理者プロファイル制御 ( 続き ) アクセス制御 使用可能な CLI コマンド ルータ設定 (routegrp) router execute router execute mrouter スパムフィルタ設定 (spamgrp) spamfilter システム設定 (sysgrp) system (admingrp、 loggrp、 および netgrp コマンドを除く ) gui wireless-controller execute cfg execute cli execute date execute disconnect-admin-session execute enter execute factoryreset execute fortiguard-log execute ha execute ping execute ping-options execute ping6 execute ping6-options execute reboot execute send-fds-statistics execute set-next-reboot execute shutdown execute ssh execute telnet execute time execute traceroute execute usb-disk VPN 設定 (vpngrp) vpn execute vpn Web フィルタ設定 (webgrp) webfilter FortiGate 管理者の管理者プ ロ フ ァ イルを追加するには、 [System]、 [Admin]、 [Admin Profile] の 順に選択 し ます。 各管理者ア カ ウン ト は、 1 つの管理者プ ロ フ ァ イルに属 し ます。 読み取 り / 書き込みア ク セス権を持つ管理者は、 FortiGate 機能へのア ク セス を拒否す る管理者プ ロ フ ァ イル、 読み取 り 専用ア ク セス を許可する管理者プ ロ フ ァ イル、 または読み取 り と 書き込みの両 方のア ク セス を許可する管理者プ ロ フ ァ イルを作成で き ます。 ある機能への読み取 り 専用ア ク セス権を持 っ ている管理者は、 その機能の Web ベース マネー ジ ャ ページ にア ク セ ス で き ますが、 その設定を変更す る こ と はで き ません。 [Create] ま たは [Apply] ボ タ ンは存在せず、 リ ス ト には [ 編集 ]、 [ 削除 ]、 またはその他の変更 コ マ ン ド のア イ ) ア イ コ ンのみが表示 さ れます。 コ ンの代わ り に [ 表示 ] ( 管理者プロファイル リストの表示 管理者プ ロ フ ァ イルを作成または編集するには、 [Admin Users] の読み取 り / 書き込みア ク セ ス権を持つ管理者ア カ ウン ト またはア カ ウン ト を使用す る必要があ り ます。管理者プ ロ フ ァ イ ル リ ス ト を表示するには、 [System]、 [Admin]、 [Admin Profile] の順に選択 し ます。 [Admin Profile] ページ デ フ ォ ル ト の管理者プ ロ フ ァ イ ルだけで な く 、 作成 し たすべての管理者プ ロ フ ァ イルを表示 し ます。 こ のページ では、 新 し い管理者プ ロ フ ァ イルを編集、 削除、 ま たは作成する こ と がで き ます。 既存の管理者プ ロ フ ァ イ ル ( デ フ ォ ル ト の管理者プ ロ フ ァ イルま たは作成 し た管理者プ ロ フ ァ イル ) を編集で き ます。 [Create New] 182 新 し い管理者プ ロ フ ァ イルを追加 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 集中管理 [Profile Name] こ の管理者プ ロ フ ァ イ ルの名前。 [Delete] こ の管理者プ ロ フ ァ イ ルを削除す る場合に選択 し ます。 管理者が割 り 当て ら れてい る管理者 プ ロ フ ァ イ ル を 削除す る こ と はで き ません。 [Edit] こ の管理者プ ロ フ ァ イ ルを変更す る場合に選択 し ます。 [Edit] を選択する と 、 [Edit Admin Profile] ページに自動的に リ ダ イ レ ク ト さ れます。 管理者プロファイルの設定 管理者プ ロ フ ァ イルを編集する には、 [Admin Users] の読み取 り / 書き込みア ク セス権を持つ 管理者ア カ ウン ト またはア カ ウ ン ト を使用する必要があ り ます。 [New Admin Profile] ページ 管理者プ ロ フ ァ イ ル を 設定す る ための各設定 を提供 し ま す。 既存の管理者プ ロ フ ァ イ ルを 編集す る場合は、 [Edit Admin Profile] ページ に自動的に リ ダ イ レ ク ト さ れます。 [Profile Name] こ の管理者プ ロ フ ァ イルの名前を入力 し ます。 [Access Control] ア ク セ ス制御の設定を カ ス タ マ イ ズで き る項目の リ ス ト ( 設定 さ れてい る 場合 )。 [None] すべての [Access Control] カ テ ゴ リ へのア ク セ ス を拒否 し ます。 [Read Only] すべての [Access Control] カ テ ゴ リ 内の [Read] ア ク セ ス を有効に し ます。 [Read-Write] すべての [Access Control] カ テ ゴ リ 内の読み取 り / 書き込みア ク セ ス を許 可する場合に選択 し ます。 [Access Control (categories)] 必要に応 じ て、 特定の制御 を選択 し ます。 [Access Control] カ テ ゴ リ の詳 細については、 179 ページの 「管理者プ ロ フ ァ イ ル」 を参照 し て く だ さ い。 管理者プロファイルを設定するには 1 [System]、 [Admin]、 [Admin Profile] の順に選択 し ます。 2 [Create New] を選択するか、 または既存のプ ロ フ ァ イルの横にある [ 編集 ] ア イ コ ン を選 択 し ます。 3 目的のプ ロ フ ァ イル オプ シ ョ ン を入力または選択 し 、 [OK] を選択 し ます。 集中管理 [Central Management] タ ブは、FortiManager ユニ ッ ト または FortiGuard Analysis and Management Service のど ち ら かに よ っ て FortiGate ユニ ッ ト を リ モー ト で管理する ためのオプ シ ョ ン を提供 し ます。 [System]、 [Admin]、 [Central Management] の順に選択 し て表示 さ れる画面か ら、 設定を指定 し た集中管理サーバに自動的にバ ッ ク ア ッ プ または復元す る よ う に FortiGate ユニ ッ ト を設定で き ます。 集中管理サーバは、 有効にするサービ スの種類であ り 、 FortiManager ユニ ッ ト または FortiGuard Analysis and Management Service の ど ち ら か で す。 FortiGuard Analysis and Management Service のサブ ス ク リ プ シ ョ ン を持 っ てい る場合は、FortiGate ユニ ッ ト 上の フ ァ ー ムウ ェ ア を リ モー ト で ア ッ プグ レー ド する こ と も で き ます。 集中管理の設定時に、 自己発信 ト ラ フ ィ ッ クの発信元 IP ア ド レ ス を指定する こ と も で き ます。 ただ し 、 こ れは CLI でのみ使用で き ます (set fmg-source-ip)。 [Central Management] ページ 集中管理オ プ シ ョ ンの設定のほか、 FortiGate ユニ ッ ト 上のサービ スの有効化ま たは無効化のための各設 定を提供 し ます。 [Enable Central Management] FortiGate ユニ ッ ト 上の集中管理機能を有効に し ます。 [Type] この FortiGate ユ ニ ッ ト に 対 す る 集 中 管 理 の 種 類 を 選 択 し ま す。 FortiManager ま たは FortiGuard Management Service を選択で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 183 設定 シス テム - 管理者 [FortiManager] FortiGate ユニ ッ ト に対す る集中管理サー ビ ス と し て FortiManager を使用す る場合に選択 し ます。 [IP/Name] フ ィ ール ド に、 FortiManager ユニ ッ ト の IP ア ド レ ス ま たは名前 を入力 し ます。 組織で FortiManager ク ラ ス タ を動作 さ せてい る場合は、 [IP/Name] フ ィ ー ル ド に プ ラ イ マ リ FortiManager ユニ ッ ト の IP ア ド レ ス ま たは名前を追加 し 、 [Trusted FortiManager] リ ス ト にバ ッ ク ア ッ プ FortiManager ユニ ッ ト の IP ア ド レ ス または名前を追加 し ます。 [Status] は、 FortiGate ユ ニ ッ ト が、 [IP/Name] フ ィ ール ド に 追加 さ れ た FortiManager ユニ ッ ト と 通信で き るかど う かを示 し ます。 [Trusted FortiManager] リ ス ト に こ の FortiManager ユニ ッ ト を含める には、 [Register] を選択 し ます。 赤色の下矢印は、 接続が有効にな っ ていない こ と を示 し ます。 緑色の上矢印は、 接続 さ れてい る こ と を示 し ます。 FortiGate ユニ ッ ト が FortiManager ユニ ッ ト に未登録デバイ ス と 認識 さ れて いる場合は、 黄色の注意記号が表示 さ れます。 [FortiGuard Management FortiGate ユ ニ ッ ト に対す る 集中管理サー ビ ス と し て FortiGuard Management Service を使用す る場合に選択 し ます。 Service] [Account ID] フ ィ ール ド に、 ア カ ウ ン ト ID を入力 し ます。 ア カ ウ ン ト ID が な い場合は、 FortiGuard Management Service の Web サ イ ト で FortiGuard Management Service に登録 し ます。 [Change] を選択す る と 、 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し て表示 さ れる画面に直接移動 し ます。[Analysis & Management Service] オ プ シ ョ ン で、 [Account ID] フ ィ ール ド に ア カ ウ ン ト ID を入力 し ます。 FortiManager ユニ ッ ト に接続 し 、 こ のユニ ッ ト と 通信する よ う に FortiGate ユニ ッ ト を設定す る場合は、 次の 2 種類の展開シナ リ オのために、 次の各手順を実行する必要があ り ます。 ・ ・ FortiManager か ら FortiGate に直接到達で き る よ う にする場合 ・ FortiManager の GUI で、 Device Manager モ ジ ュ ール内の FortiManager デー タ ベースに FortiGate ユニ ッ ト を追加 し ます。 ・ FortiManager の IP ア ド レ ス を変更 し ます。 ・ FortiGate の IP ア ド レ ス を変更 し ます。 FortiGate が NAT の背後に存在する場合 ・ [System]、 [Admin]、 [Central Management] の順に選択 し 、 [FortiManager] を選択 し ます。 FortiManager ユニ ッ ト を [Trusted FortiManager] リ ス ト に追加 し ます ( 該当する場合 )。 ・ FortiManager の IP ア ド レ ス を変更 し ます。 ・ FortiGate の IP ア ド レ ス を変更 し ます。 ・ FortiManager 管理者に問い合わせて、 FortiGate ユニ ッ ト が Device Manager モ ジ ュ ール 内の [Device] リ ス ト に表示 さ れている こ と を確認 し ます。 ・ 設定リビジョン [System]、 [Maintenance]、 [Configuration Revision] の 順 に 選 択 し て 表 示 さ れ る 画 面 に あ る [Configuration Revision] メ ニ ュ ーには、 バ ッ ク ア ッ プ さ れた設定 フ ァ イルの リ ス ト が表示 さ れ ます。 リ ビ ジ ョ ン制御には、 設定 さ れた集中管理サーバ、 ま たはロー カルのハー ド ド ラ イ ブ のど ち らかが必要です。 集中管理サーバは、 FortiManager ユニ ッ ト または FortiGuard Analysis and Management Service の ど ち ら に す る こ と も で き ま す。 詳細 に つ い て は、 200 ペ ー ジ の 「[Configuration Revision]」 を参照 し て く だ さ い。 設定 [Settings] タ ブには、 設定可能な次の機能が含まれています。 184 ・ HTTP/HTTPS 管理ア ク セスおよび SSL VPN ログ イ ンのためのポー ト ・ 管理者および IPSec 事前共有キーのためのパスワー ド ポ リ シー ・ ア イ ド ル タ イムアウ ト の設定 ・ Web ベース マネージ ャ の言語、 お よび生成 さ れた レ ポー ト に表示 さ れる行数の設定 ・ LCD お よび制御ボ タ ンの PIN 保護 (LCD 装備モデルのみ ) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 設定 ・ SSH を介 し て ログ イ ン し てい るユーザのための SCP 機能 ・ 無線 コ ン ト ロー ラ機能 ・ Web ベース マネージ ャ 上の IPv6 サポー ト こ れ ら の設定を行 う には、 [System]、 [Admin]、 [Settings] の順に選択 し 、 次の情報を入力ま た は選択 し て [OK] を選択 し ます。 [Administrators Settings] ページ Web ベース マネージ ャ 上の IPv6 の有効化な どの、 各種のシ ス テム オプ シ ョ ン を設定す る ための各設定 を提供 し ます。 [Web Administration Ports] [HTTP] 管理 HTTP ア ク セ スに使用 さ れる TCP ポー ト 。 デ フ ォ ル ト 値は 80 です。 [HTTPS] 管理 HTTPS ア ク セ スに使用 さ れる TCP ポー ト 。デ フ ォ ル ト 値は 443 です。 [SSLVPN Login Port] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが FortiGate ユニ ッ ト に接続す る た めの代わ り の HTTPS ポー ト 番号。デ フ ォ ル ト のポー ト 番号は 10443 です。 [Telnet Port] 管理 Telnet ア ク セ スに使用 さ れる TCP ポー ト 。 デ フ ォ ル ト 値は 23 です。 [SSH Port] 管理 SSH ア ク セ スに使用 さ れる TCP ポー ト 。 デ フ ォ ル ト 値は 22 です。 [Enable SSH v1 compatibility] SSH v2 に加え、 SSH v1 と の互換性を有効に し ます。 ( オ プ シ ョ ン ) [Password Policy] [Enable] こ のパスワー ド ポ リ シー を有効にする場合に選択 し ます。 [Minimum Length] パスワー ド の許容可能な最小の長 さ を設定 し ます。 [Must contain] 次のいずれかの特殊文字の種類を選択 し ます。 選択 さ れた各種類が、 パス ワー ド 内に少な く と も 1 回出現する必要があ り ます。 [Upper Case Letters] ― A、 B、 C、 ... Z [Lower Case Letters] ― a、 b、 c、 ... z [Numerical digits] ― 0、 1、 2、 3、 4、 5、 6、 7 8、 9 [Non-alphanumeric Letters] ― 句読点、 @,#、 ... % [Apply Password Policy パスワー ド ポ リ シーの適用対象を選択 し ます。 [Admin Password] ― 管理者パスワー ド に適用 さ れます。 いずれかのパ to] スワー ド が こ のポ リ シーに従 っ ていない場合は、 次回のロ グ イ ン時に、 そ の管理者にパスワー ド の変更を求めます。 [IPSEC Preshared Key] ― IPSec VPN の事前共有キーに適用 さ れます。 こ のポ リ シーは、 新 し い事前共有キーにのみ適用 さ れます。 既存の事前共 有キー を変更す る必要はあ り ません。 [Admin Password Expires after n days] 指定 さ れた日数が経過 し た ら 、 管理者にパスワー ド の変更を求めます。 定 期的なパスワー ド 変更の必要性を な く すには、 0 を指定 し ます。 [Timeout Settings] [Idle Timeout] 管理者が再度 ロ グ イ ン し なければな ら な く な る ま で に管理接続がア イ ド ルにな っ てい る必要のあ る分数。 最大値は 480 分 (8 時間 ) です。 セキ ュ リ テ ィ を強化する ために、 ア イ ド ル タ イ ムアウ ト を 5 分のデ フ ォ ル ト 値のま まに し て く だ さ い。 [Display Settings] [Language] Web ベー ス マ ネ ー ジ ャ が使用す る 言語。 [English]、 [Simplified Chinese]、 [Japanese]、 [Korean]、 [Spanish]、 [Traditional Chinese]、 [French] か ら選択 し ます。 管理 コ ン ピ ュ ー タ のオペ レ ーテ ィ ン グ シ ス テムが使用 し て い る言語を 選 択す る必要があ り ます。 [Lines per Page] テーブル リ ス ト に表示す るページあた り の行数。デ フ ォ ル ト 値は 50 です。 範囲は 20 ~ 1000 です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 185 管理者の監視 シス テム - 管理者 [IPv6 Support on GUI] GUI か ら IPv6 オ プ シ ョ ン を設定する場合にオ ン に し ます ( フ ァ イ アウ ォ ー ル ポ リ シー、 ルー ト 、 ア ド レ ス、 お よびア ド レ ス グループ )。 デ フ ォ ル ト では、 CLI か ら の設定のみが許可 さ れます。 IPv6 の詳細については、 IPv6 に関連する フ ィ ール ド を含むセ ク シ ョ ン を参照するか、または 186 ページ の 「FortiGate の IPv6 サポー ト 」 を参照 し て く だ さ い。 [LCD Panel] (LCD 装備モデルのみ ) [PIN Protection] 6 桁の PIN を選択お よび入力 し ます。 制御ボ タ ン お よび LCD を使用す る には、 管理者は PIN を入力する必要が あ り ます。 [Enable SCP] SSH を介 し て ロ グ イ ン し てい るユーザが、 Secure Copy (SCP) を使用 し て 設定 フ ァ イルを コ ピーで き る よ う に し ます。 [Enable Wireless Controller] 無線 コ ン ト ロ ー ラ 機能を有効に し ます。 こ れに よ り 、 Web ベース マネー ジ ャ の [Wireless Controller] メ ニ ュ ー、およ び対応す る CLI コ マ ン ド にア ク セ ス で き る よ う にな り ます。 詳細については、 479 ページの 「無線 コ ン ト ロー ラ 」 を参照 し て く だ さ い。 注記 : HTTP、 HTTPS、 Telnet、 または SSH のデ フ ォル ト のポー ト 番号を変更する場合は、 そのポー ト 番号が一意である こ と を確認 し て く だ さ い。 管理者の監視 ロ グ イ ン し てい る管理者の数を表示す るには、 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 [System Information] の下に [Current Administrators] が表示 さ れます。 現在 FortiGate ユ ニ ッ ト にログ イ ン し ている管理者に関する情報を表示す るには、 [Details] を選択 し ます。 [Current Administrators] 情報ページ ([System Information] ウィジェット ) 現在 Web ベース マネージ ャ およ び CLI に ロ グ イ ン し てい る管理者を表示 し ます。 こ のページか ら 管理者を接続解除 し た り 、 こ のページの情報を更新 し た り する こ と がで き ます。 [Disconnect] 選択 さ れた管理者を接続解除する場合に選択 し ます。 こ れは、 管理者プ ロ フ ァ イ ルに よ っ て [System Configuration] への書 き込み権限が許可 さ れてい る場合にの み使用で き ます。 [Refresh] こ の リ ス ト を更新す る場合に選択 し ます。 [Close] こ のウ ィ ン ド ウ を閉 じ る場合に選択 し ます。 管理者セ ッ シ ョ ン を選択 し 、 [Disconnect] を選択 し て、 こ の管理者を ロ グオ フ さ せま す。 こ れは、 管理者プ ロ フ ァ イ ルに よ っ て [System Configuration] への書 き 込みア ク セ スが許可 さ れてい る場合にのみ使用で き ます。 デ フ ォ ル ト の "admin" ユーザを ロ グオ フ さ せる こ と はで き ません。 [User Name] こ の管理者ア カ ウ ン ト の名前。 [Type] ア ク セ スの タ イ プ であ り 、 [http]、 [https]、 [jsconsole]、 [sshv2] のいずれかです。 [From] [Type] が [jsconsole] であ る場合、 [From] の値は [N/A] です。 それ以外の場合、 [Type] には、 こ の管理者の IP ア ド レ スが含まれています。 [Time] こ の管理者がロ グオ ン し た日付 と 時刻。 FortiGate の IPv6 サポート IPv6 は、TCP/IP プ ロ ト コ ル ス イ ー ト の一部であ る イ ン タ ーネ ッ ト プ ロ ト コ ルのバージ ョ ン 6 です。 以前の標準である IPv4 に比べて、 一意の IP ア ド レ ス を数 10 億個多 く 提供で き ます。 イ ン タ ーネ ッ ト は現在、IPv4 か ら IPv6 のア ド レ ッ シ ングに移行 し ています。IPv6 のホス ト と ルー タ は、 既存の IPv4 イ ン フ ラ ス ト ラ ク チ ャ と の相互運用性を次の 2 つの方法で維持 し ます。 186 ・ IPv6 と IPv4 の両方をサポー ト するデ ュ アル IP レ イヤの実装 ・ IPv4 ヘ ッ ダ内の IPv6 パケ ッ ト の、 IPv6 over IPv4 ト ンネ リ ング を使用 し た カ プ セル化 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 FortiGate の IPv6 サポー ト FortiGate ユニ ッ ト はデ ュ アル IP レ イヤの IPv6/IPv4 ノ ー ド であ り 、 NAT/ ルー ト と ト ラ ン スペ ア レ ン ト の両方の動作モー ド で IPv6 をサポー ト し ます。 また、 IPv6 のルーテ ィ ング、 フ ァ イ アウ ォ ール ポ リ シー、 IPSec VPN だけでな く 、 IPv6 over IPv4 ト ンネ リ ング もサポー ト し ます。 FortiGate ユニ ッ ト 上の任意のイ ン タ フ ェ ースに、 IPv4 ア ド レ ス と IPv6 ア ド レ スの両方を割 り 当て る こ と がで き ます。 こ のイ ン タ フ ェ ースは、 IPv4 ア ド レ ス指定パケ ッ ト 用 と IPv6 ア ド レ ス指定パケ ッ ト 用の、 2 つのイ ン タ フ ェ ース と し て機能 し ます。 詳細については、 『FortiGate IPv6 サポー ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 FortiGate ユニット上の IPv6 の設定 FortiGate の設定は、 その多 く の部分で IPv6 ア ド レ ッ シ ング をサポー ト し ています。 Web ベー ス マネージ ャ で IPv6 を操作するには、 事前に IPv6 サポー ト を有効にする必要があ り ます。 IPv6 サポー ト を有効にするには、 [System]、[Admin]、[Settings] の順に選択 し 、 [Display Settings] で [IPv6 Support on GUI] を選択 し ます。 Web ベース マネージ ャ で IPv6 サポー ト を有効に し た後、 次の操作を行 う こ と がで き ます。 ・ IPv6 イ ン タ フ ェ ース を設定する ( シ ス テム - ネ ッ ト ワー ク を参照 ) ・ IPv6 DNS サービ ス を設定する ( シ ス テム - ネ ッ ト ワー ク を参照 ) ・ IPv6 管理ア ク セス を設定する ( シ ス テム - 管理者を参照 ) ・ IPv6 ス タ テ ィ ッ ク ルー ト を作成する ( ルー タ - ス タ テ ィ ッ ク を参照 ) ・ IPv6 ルー ト を監視する ( ルー タ - モ ニ タ を参照 ) ・ IPv6 フ ァ イ アウ ォ ール ア ド レ ス を作成する ( フ ァ イ アウ ォ ール ア ド レ ス を参照 ) ・ IPv6 フ ァ イ アウ ォ ール ア ド レ ス グループ を作成する ( フ ァ イ アウ ォ ール ア ド レ ス を参照 ) ・ DoSな どのIPv6 フ ァ イ アウ ォ ール ポ リ シーを作成す る ( フ ァ イ アウ ォ ール ポ リ シーを参照) ・ IPv6 ト ラ フ ィ ッ ク に対 し てア ン チウ イルス スキ ャ ン を実行する ・ IPv6 ト ラ フ ィ ッ ク に対 し て Web サイ ト フ ィ ル タ リ ングを実行する ・ IPv6 ア ド レ ッ シ ン グを使用する VPN を作成する (IPsec VPN を参照 ) IPv6 サポー ト を有効に し た ら、 Web ベース マネージ ャ または CLI を使用 し て IPv6 オプ シ ョ ン を設定で き ます。 一部の IPv6 設定は CLI でのみ使用で き る こ と に注意 し て く だ さ い。 CLI を使用 し た IPv6 サポー ト の設定の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 IP バージョン 6 アドレス 32 ビ ッ ト のア ド レ ス ( つま り 、 50 億個弱のア ド レ ス ) は多いよ う に見え ますが、 実際にはす ぐ に使い果た さ れます。 IP ア ド レ ス空間の大部分は、 数千の コ ン ピ ュ ー タ を保有す る大企業や 政府に イ ン タ ーネ ッ ト のバ ッ ク ボーン通信を提供するサーバやルー タ の間で予約 さ れるか、ま たは使い果た さ れて し まいま し た。 1998 年には、 主に提供 さ れる ア ド レ ス を増やすために IP バージ ョ ン 6 が設計 さ れま し たが、 IP バージ ョ ン 4 (IPv4) について も い く つかの改善が行われま し た。 IP バージ ョ ン 6 (IPv6) は、 RFC 2460 で定義 さ れています。 4 バイ ト のア ド レ スの場合は、 合計で 50 億個弱のア ド レ スが存在 し ます。 IPv6 ア ド レ スは 32 バイ ト の長 さ があ るため、 不足する と い う 問題はあ り ません。 また、 こ の非常に大き なア ド レ ス空間によ っ てア ド レ スのよ り 論理的な構成 も可能にな るため、ネ ッ ト ワー ク のよ り 効率的な 管理やルーテ ィ ン グが促進 さ れます。 IPv6 アドレスの表記 IPv6 ア ド レ ッ シ ングの標準は、RFC 3513 で詳細に規定 さ れています。次にその概要を示 し ます。 IPv6 ア ド レ スは通常、 それぞれが 4 桁の 16 進数で構成 さ れた 8 つのグループ と し て記述 さ れ ます。 た と えば、 3f2e:6a8b:78a3:0d82:1725:6a2f:0370:6234 は有効な IPv6 ア ド レ スです。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 187 FortiGate の IPv6 サポー ト シス テム - 管理者 4 桁のグループが 0000 の場合は、 そのグループ を省略で き ます。 た と えば、 3f2e:6a8b:78a3:0000:1725:6a2f:0370:6234 は、 次 と 同 じ IPv6 ア ド レ ス です。 3f2e:6a8b:78a3::1725:6a2f:0370:6234 "::" の表記を使用 し て、 複数の省略 さ れた 0 のグループの連続を示す こ と がで き ます。 1 つの ア ド レ ス内での複数の "::" の使用は、 あいまいにな るため許可 さ れません。 また、 グループ内 の先行する 0 を省略する こ と も で き ます。 そのため、 19a4:0478:0000:0000:0000:0000:1a57:ac9e 19a4:0478:0000:0000:0000::1a57:ac9e 19a4:478:0:0:0:0:1a57:ac9e 19a4:478:0::0:1a57:ac9e 19a4:478::1a57:ac9e はすべて有効であ り 、 同 じ ア ド レ ス を示 し ます。 IPv4 互換または IPv4 射影 IPv6 ア ド レ スの場合は、 IPv4 の部分を 16 進数または ド ッ ト 区切 り 10 進数のど ち らかを使用 し て入力で き ますが、 FortiGate の CLI には常に、 IPv4 の部分が ド ッ ト 区切 り 10 進数の形式で表示 さ れます。 その他のすべての IPv6 ア ド レ スの場合、 CLI は 16 進 数のみを受け付けて表示 し ます。 IPv6 ネットマスク IP ア ド レ ス と 同様に、IPv4 の ド ッ ト 区切 り 10 進数表記が 16 進数表記で置き換え られます。 ま た、 CIDR 表記 も使用で き ます。 こ の表記では、 IP ア ド レ スにス ラ ッ シ ュ ("/") と 、 そのア ド レ スのネ ッ ト ワー ク部分のビ ッ ト 数が付加 さ れます。 表 42: IPv6 ネットマスク 188 IP アドレス 3ffe:ffff:1011:f101:0210:a4ff:fee3:9566 ネットマスク ffff:ffff:ffff:ffff:0000:0000:0000:0000 ネットワーク 3ffe:ffff:1011:f101:0000:0000:0000:0000 CIDR IP/ ネットマスク 3ffe:ffff:1011:f101:0210:a4ff:fee3:9566/64 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 管理者 FortiGate の IPv6 サポー ト IPv6 アドレスの種類 IPv6 ア ド レ スには、IPv4 ア ド レ ス よ り 多 く の種類があ り ます。こ れ らの種類は、そのプ レ フ ィ ッ ク ス値によ っ て識別で き ます。 表 43: IPv6 アドレスの種類 アドレスの種類 プレフィックス / プ レフィックスの長さ コメント 指定な し ::/128 IPv4 の 0.0.0.0 に相当 し ます。 ループバ ッ ク ::1/128 IPv4 の 127.0.0.1 に相当 し ます。 IPv4 互換 ::/96 最下位の 32 ビ ッ ト を、IPv6 の 16 進数ま たは IPv4 の ド ッ ト 区切 り 10 進数の形式にする こ と がで き ます。 IPv4 射影 ::FFFF/96 最下位の 32 ビ ッ ト を、IPv6 の 16 進数ま たは IPv4 の ド ッ ト 区切 り 10 進数の形式にする こ と がで き ます。 マルチキ ャ ス ト ::FF00/8 エ ニーキ ャ ス ト 上 に 示 さ れ て い る も ト ラ フ ィ ッ ク の負 荷 を 分散 さ せ る た め に 使用 さ れ る のを除 く 、 すべてのプ ルーテ ィ ン グで、 複数のサーバに同 じ ア ド レ ス を割 り 当 レフ ィ ッ クス て る こ と がで き ます。 IPv4 と は異な り 、 IPv6 のエ ニーキ ャ ス ト ア ド レ スは他 のユニキ ャ ス ト ア ド レ ス と 区別で き ません。 リ ン ク ローカル FE80::/10 リ ン ク ロ ー カ ル ア ド レ スは、 自動ア ド レ ス設定のため の単一 リ ン ク 上 での ア ド レ ス指定や、 隣接機器の検出 に、 ま たはルー タ が存在 し ない場合に使用 さ れます。 ルー タ は、 リ ン ク ロ ー カル発信元ま たは宛先ア ド レ ス を 含むパケ ッ ト を転送で き ません。 サイ ト ロ ー カ ル FEC0::/10 サ イ ト ロ ー カ ル ア ド レ スは、 グ ローバル プ レ フ ィ ッ ク ス を必要 と す る こ と な く 、 サ イ ト 内部のア ド レ ス指定に 使用 さ れます。 ルー タ は、 サ イ ト ロ ー カル発信元ま たは宛先ア ド レ ス を 含むパケ ッ ト をサ イ ト の外部に転送で き ません。 グ ロ ーバル その他のすべて IPv4 から IPv6 への移行 イ ン タ ーネ ッ ト は、 IPv4 か ら IPv6 のア ド レ ッ シ ングに移行 し ています。 IPv6 のホス ト と ルー タ は、 既存の IPv4 イ ン フ ラ ス ト ラ ク チ ャ と の相互運用性を次の 2 つの方法で維持 し ます。 ・ IPv6 と IPv4 の両方をサポー ト するデ ュ アル IP レ イヤの実装 ・ IPv4 ヘ ッ ダ内の IPv6 パケ ッ ト の、 IPv6 over IPv4 ト ンネ リ ング を使用 し た カ プ セル化によ る IPv4 イ ン フ ラ ス ト ラ ク チ ャ を介 し た転送 FortiGate ユニ ッ ト はデ ュ アル IP レ イヤの IPv6/IPv4 ノ ー ド であ り 、 IPv4 と IPv6 の両方をサ ポー ト し ています。 FortiGate ユニ ッ ト はまた、 IPv6 over IPv4 ト ン ネ リ ング も サポー ト し てい ます。 IPv6 形式での IPv4 アドレス IPv4 ア ド レ ス を IPv6 形式で表す方法には 2 つあ り ます。 こ れ らの方法は、 ア ド レ スの IPv4 の 部分の前にある 16 ビ ッ ト で区別で き ます。 表 44: IPv4 互換および IPv4 射影 IPv6 アドレスの例 IPv4 互換 IPv6 アドレス 0000:0000:0000:0000:0000: ま たは :: 0000: 874B:2B34 ま たは 135.75.43.52 IPv4 射影 IPv6 アドレス 0000:0000:0000:0000:0000: ま たは :: FFFF: 874B:2B34 ま たは 135.75.43.52 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 189 FortiGate の IPv6 サポー ト シス テム - 管理者 IPv4 互換ア ド レ スは、 ホス ト やルー タ が、 IPv4 ルーテ ィ ング イ ン フ ラ ス ト ラ ク チ ャ を介 し て IPv6 パケ ッ ト を動的に ト ン ネ リ ングする ために使用 さ れます。 IPv4 射影ア ド レ スは、 IPv6 を サポー ト し ていない ノ ー ド のために使用 さ れます。 IPv6 トンネリング IPv6 ア ド レ ッ シ ング を使用 し てている ネ ッ ト ワー クは、 い く つかの ト ンネ リ ング テ ク ニ ッ ク を使用 し て、 IPv4 ア ド レ ス指定イ ン フ ラ ス ト ラ ク チ ャ を介 し て リ ン ク で き ます。 表 45: トンネリング テクニック IPv6 over IPv4 IPv4 ルーテ ィ ン グ イ ン フ ラ ス ト ラ ク チ ャ を介 し て転送で き る よ う に、 IPv6 パケ ッ ト を IPv4 内に カ プ セル化 し ます。 設定済み エ ン ド ポ イ ン ト ア ド レ スは、カ プ セル化 ノ ー ド 上の設定情報に よ っ て 決定 さ れます。 自動 IPv4 ト ン ネルのエ ン ド ポ イ ン ト ア ド レ スは、ト ン ネ リ ン グ さ れてい る IPv6 パケ ッ ト の IPv4 互換宛先ア ド レ スに埋め込まれた IPv4 ア ド レ ス か ら 決定 さ れます。 IPv4 マルチキャスト IPv4 トンネルのエンドポイント アドレスは、 隣接機器の検出を使用して決 定されます。 アドレス設定は必要ありませんが、 IPv4 インフラストラクチャ が IPv4 マルチキャストをサポートしている必要があります。 FortiGate ユニ ッ ト は、 IPv6 over IPv4 ト ン ネ リ ングをサポー ト し ています。 190 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 証明書 システム - 証明書 この項では、 FortiGate Web ベース マネージャを使用して X.509 セキュリティ証明書を管理する方法 について説明します。 証明書認証を使用すると、 管理者は証明書要求を生成したり、 署名済み証 明書をインストールしたり、 CA ルート証明書や証明書失効リストをインポートしたり、 インストールさ れた証明書や秘密鍵をバックアップおよび復元したりすることができます。 認証 と は、 ネ ッ ト ワー ク リ ソ ースへのア ク セスに関 し て、 リ モー ト ホス ト を信頼で き るかど う かを判断す る プ ロ セ ス です。 リ モー ト ホス ト は、 自身の信頼性を確立す る ために、 証明機 関 (CA) か ら 証明書を取得する こ と に よ っ て受け付け可能な認証証明書を提供する必要があ り ます。 FortiGate ユニ ッ ト は次に、 証明書認証を使用 し て、 HTTPS を介 し た管理ア ク セス を拒 否または許可 し た り 、 IPSec VPN ピ ア または ク ラ イ ア ン ト や、 SSL VPN ユーザ グループ また は ク ラ イ ア ン ト を認証 し た り する こ と がで き ます。 FortiGate ユニ ッ ト 上でバー チ ャ ル ド メ イ ン (VDOM) を有効に し た場合、 シ ス テ ム証明書は FortiGate ユニ ッ ト 全体に対 し てグ ロ ーバルに設定 さ れます。 詳細については、 73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト 上には、 自動的に生成 さ れた証明書がい く つかあ り ます。 表 46: 自動的に生成された FortiGate 証明書 Fortinet_Firmware フ ァ ームウ ェ ア内に組み込まれています。Fortinet_CA に よ っ て署名 さ れま す。 すべての FortiGate ユニ ッ ト 上で同 じ です。 Fortinet_Factory2 証明 書がない FortiGate ユニ ッ ト に、 FortiGate CA に よ っ て署名 さ れた組み込みの 証明書が割 り 当て ら れる よ う にする ために使用 さ れます。 [Certificates]、[Local] の順に選択するか、FortiGateの CLI で vpn certificate local を実行する こ と に よ っ て表示 さ れます。 Fortinet_Factory BIOS 内に組み込まれています。Fortinet_CA に よ っ て署名 さ れます。各 FortiGate ユ ニ ッ ト に 固 有 で す。 Fortinet_Factory2 が 使 用 で き な い 場 合、 FortiGate/FortiManager ト ン ネル、 HTTPS 管理ア ク セ スに使用 さ れます。 [Certificates]、[Local] の順に選択するか、FortiGateの CLI で vpn certificate local を実行する こ と に よ っ て表示 さ れます。 Fortinet_Factory2 BIOS 内 に 組 み 込 ま れ て い ま す。 Fortinet_CA2 に よ っ て 署名 さ れ ま す。 各 FortiGate ユニ ッ ト に固有です。FortiGate/FortiManager ト ン ネルお よび HTTPS 管理ア ク セ スに使用 さ れます。 [Certificates]、[Local] の順に選択するか、FortiGateの CLI で vpn certificate local を実行する こ と に よ っ て表示 さ れます。 2008 年末以降に出荷 さ れたユ ニ ッ ト 上にのみ存在 し ます。 Fortinet_CA フ ァ ームウ ェ アお よ び BIOS 内に組み込まれています。 フ ォ ーテ ィ ネ ッ ト の CA 証明書です。 た と えば、 FortiGate/FortiManager ト ン ネルまたは FortiGuard サーバへの SSL 接続を使用 し て、 フ ォ ーテ ィ ネ ッ ト に よ っ て署名 さ れた と 主 張 し てい る証明書を確認する ために使用 さ れます。 [Certificates]、[CA] の順に選択するか、FortiGate の CLI で vpn certificate ca ま たは vpn certificate ocsp を実行する こ と に よ っ て表示 さ れます。 Fortinet_CA2 BIOS 内に組み込まれています。 フ ォ ーテ ィ ネ ッ ト の CA 証明書です。 2020 年 に Fortinet_CA の期限が切れた ら 、最終的には Fortinet_CA に代わ っ て使用 さ れ ます。 [Certificates]、[CA] の順に選択するか、FortiGate の CLI で vpn certificate ca ま たは vpn certificate ocsp を実行する こ と に よ っ て表示 さ れます。 2008 年末以降に出荷 さ れたユニ ッ ト 上にのみ存在 し ます。 シ ス テム管理者は、 た と えば、 SSL VPN、 IPSec、 LDAP、 PKI な ど で要求 さ れた場合は常に、 こ れ らの証明書を使用で き ます。 証明書に関する背景の詳細については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ ロ ー カル証明書 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 191 ロー カル証明書 シス テム - 証明書 ・ リ モー ト 証明書 ・ CA 証明書 ・ CRL 注記 : ク ラ イ ア ン ト 証明書を使用する SSL セ ッ シ ョ ンは現在、 SSL 検査をバイパスで き ま す。 これが正 し く 機能するには、 ク ラ イ ア ン ト 側の証明書を要求する SSL サーバを設定す る 必要があ り ま す。 それに よ り 、 こ れ ら の証明書が ク ラ イ ア ン ト に ア ッ プ ロ ー ド さ れ、 FortiGate ユニ ッ ト 上で有効にな っ た SSL 検査機能を使用 し て、 FortiGate ユニ ッ ト を介 し た接続が作成 さ れます。 ローカル証明書 [Local Certificates] リ ス ト には、 証明書要求 と イ ン ス ト ール さ れたサーバ証明書が表示 さ れま す。 CA に要求を送信する と 、 CA は情報を検証 し 、 シ リ アル番号、 有効期限、 お よび CA の公 開鍵が含まれたデジ タ ル証明書に連絡先情報を登録 し ます。 CA は次に、 その証明書に署名 し 、 FortiGate ユニ ッ ト 上に イ ン ス ト ールで き る よ う に証明書を送 り 返 し て き ます。 ロー カル証明書は、 期限が切れる前にオ ン ラ イ ン で自動的に更新で き ます。 こ れは、 CLI で設 定する必要があ り ます。 『FortiGate CLI リ フ ァ レ ン ス 』 にある vpn certificate local コ マ ン ド を参照 し て く だ さ い。 証明書要求 を 表示 し た り 、 署名済みサーバ証明書 を イ ン ポー ト し た り す る には、 [System]、 [Certificates]、 [Local Certificates] の順に選択 し ます。 証明書の詳細を表示するには、 その証明 書に対応する行にある [ 証明書の詳細表示 ] ア イ コ ン を選択 し ます。 [Local Certificates] ページ デ フ ォ ル ト のロー カル証明書だけで な く 、 イ ン ポー ト さ れた証明書 も 表示 し ます。 また、 こ のページか ら 証明書を生成す る こ と も で き ます。 [Generate] ロ ー カ ル証明書要求を生成 し ます。 詳細については、 192 ページの 「証明書要求の 生成」 を参照 し て く だ さ い。 [Import] 署名済みロー カル証明書を イ ン ポー ト し ます。 詳細については、 194 ページの 「署 名済みサーバ証明書の イ ンポー ト 」 を参照 し て く だ さ い。 [Name] 既存のロー カ ル証明書お よび保留中の証明書要求の名前。 [Subject] 署名済みロー カル証明書の識別名 (DN)。 [Comments] こ の証明書の説明。 [Status] こ の ロ ー カ ル証明書のス テー タ ス。 [PENDING] は、 ダウ ン ロ ー ド し て署名す る必 要のあ る証明書要求を示 し ます。 [ 証明書の詳細表示 ] 証明書の名前、 発行者、 件名、 有効な証明書の日付な どの証明書の詳細を表示 し ます。 [Delete] 選択 さ れた証明書要求または イ ン ス ト ール さ れたサーバ証明書を FortiGate の設定 か ら 削除 し ます。 こ れは、 証明書のス テー タ スが [PENDING] であ る場合にのみ使 用で き ます。 [Download] 証明書要求の コ ピ ーを ロー カル コ ン ピ ュ ー タ に保存 し ます。 FortiGate ユニ ッ ト の 署名済みサーバ証明書を取得する ために、 こ の要求を CA に送信で き ます (SCEP ベースの証明書のみ )。 [Edit Comments] こ の証明書の説明を編集する場合に選択 し ます。 デジ タ ル証明書の取得および イ ン ス ト ールに関する詳細 と 手順については、 『FortiGate 証明書 管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 証明書要求の生成 FortiGate ユニ ッ ト は、 FortiGate ユニ ッ ト を識別する ために入力 さ れた情報に基づいて、 証明 書要求を生成 し ます。 生成 さ れた要求は、 [Local Certificates] リ ス ト に [PENDING] のス テー タ ス と と も に表示 さ れます。 証明書要求を生成 し た後、 その要求を FortiGate ユニ ッ ト への管理 ア ク セスが可能な コ ン ピ ュ ー タ にダウン ロー ド し 、 さ ら に CA に転送す る こ と がで き ます。 192 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 証明書 ロー カル証明書 証 明 書 要 求 を 作 成 す る に は、 [System]、 [Certificates]、 [Local Certificates] の 順 に 選 択 し て [Generate] を 選択 し 、 下の表の フ ィ ール ド に入力す る必要があ り ます。 証明書要求 を ダ ウ ン ロー ド し て CA に送信するには、 193 ページの 「証明書要求のダウン ロー ド および送信」 を参 照 し て く だ さ い。 [Generate Certificate Signing Request] ページ 証明書を設定す る ための各設定を提供 し ます。 こ の証明書は、 FortiGate ユニ ッ ト に関連付け ら れます。 [Certification Name] 証明書の名前を入力 し ます。 こ れは通常、 FortiGate ユニ ッ ト の名前です。 後 で、 必要に応 じ て署名済み証明書を PKCS12 フ ァ イ ル と し て エ ク スポー ト で き る よ う にする ために、 名前にはスペース を含めないで く だ さ い。 [Subject Information] こ の FortiGate ユニ ッ ト を識別する ために必要な情報を入力 し ます。 [Host IP] FortiGate ユニ ッ ト に ス タ テ ィ ッ ク IP ア ド レ スが割 り 当て られてい る場合は、 [Host IP] を選択 し 、 こ の FortiGate ユニ ッ ト のパブ リ ッ ク IP ア ド レ ス を入力 し ます。FortiGate ユニ ッ ト にパブ リ ッ ク IP ア ド レ スが割 り 当て ら れていない 場合は、 代わ り に電子 メ ール ア ド レ ス ( 使用可能な場合は ド メ イ ン名 ) を使 用 し ます。 [Domain Name] FortiGate ユニ ッ ト にス タ テ ィ ッ ク IP ア ド レ スが割 り 当て ら れ、 かつダ イ ナ ミ ッ ク DNS サービ スに登録 さ れている場合は、 こ の FortiGate ユニ ッ ト を識 別する ための ド メ イ ン名を使用 し ます ( 使用可能な場合 )。 [Domain Name] を 選択 し た場合は、こ の FortiGate ユニ ッ ト の完全修飾 ド メ イ ン名を入力 し ます。 プ ロ ト コ ル仕様 (http://) や、ポー ト 番号ま たはパス名は含めないで く だ さ い。 ド メ イ ン名が使用で きず、 かつ FortiGate ユニ ッ ト がダ イ ナ ミ ッ ク DNS サー ビ スに登録 さ れてい る場合は、 こ の FortiGate ユニ ッ ト のパブ リ ッ ク IP ア ド レ スが変更 さ れる たびに、 ユーザのブ ラ ウザに "unable to verify certificate" ( 証明書を確認で き ません ) と い う メ ッ セージが表示 さ れる こ と があ り ます。 [E-Mail] [E-Mail] を選択 し た場合は、 こ の FortiGate ユニ ッ ト の所有者の電子 メ ール ア ド レ ス を入力 し ます。 [Optional Information] 説明に従 っ て入力するか、 ま たは空白のま まに し ます。 [Organization Unit] 部門 (1 つまたは複数 ) の名前を入力 し ます。 最大 5 つの組織単位を入力で き ます。 組織単位を追加または削除す る には、 プ ラ ス (+) ま たはマ イ ナ ス (-) の ア イ コ ン を使用 し ます。 [Organization] 企業ま たは組織の正式名称を入力 し ます。 [Locality (City)] FortiGate ユニ ッ ト が設置 さ れてい る市ま たは町の名前を入力 し ます。 [State/Province] FortiGate ユニ ッ ト が設置 さ れてい る都道府県ま たは州の名前を入力 し ます。 [Country] FortiGate ユニ ッ ト が設置 さ れてい る国を選択 し ます。 [e-mail] 連絡先の電子 メ ール ア ド レ ス を入力 し ます。 [Key Type] RSA のみがサポー ト さ れています。 [Key Size] [1024 Bit]、 [1536 Bit]、 ま たは [2048 Bit] を選択 し ます。 キーのサ イ ズを大き く するほど生成に時間がかか り ますが、 セキ ュ リ テ ィ は向上 し ます。 [Enrollment Method] 次のいずれかの方法を選択 し ます。 [File Based] 証明書要求を生成する場合に選択 し ます。 [Online SCEP] SCEP ベースの署名済み証明書 を ネ ッ ト ワー ク 経由で自動的に取得す る場合 に選択 し ます。 [CA Server URL]: CA 証明書を取得する ために使用する SCEP サーバの URL を入力 し ます。 [Challenge Password]: CA サーバのチ ャ レ ン ジ パスワー ド を入力 し ます。 証明書要求のダウンロードおよび送信 CA に証明書要求を送信する前に、 必要な項目を入力 し 、 証明書要求を生成する必要があ り ま す。 詳細については、 192 ページの 「証明書要求の生成」 を参照 し て く だ さ い。 証明書要求をダウンロードして送信するには [System]、 [Certificates]、 [Local Certificates] の順に選択 し ます。 2 [Local Certificates] リ ス ト で、 生成 さ れた証明書要求に対応す る行にある [ ダウン ロー ド ] 1 ア イ コ ン を選択 し ます。 3 [File Download] ダ イ ア ログ ボ ッ ク スで、 [Save to Disk] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 193 ロー カル証明書 シス テム - 証明書 4 フ ァ イルに名前を付け、 それを ロー カル フ ァ イル シ ス テムに保存 し ます。 5 次のよ う に し て要求を CA に送信 し ます。 ・ 管理コンピュータ上で Web ブラウザを使用して、CA の Web サイトを参照します。 ・ CA の指示に従って、base-64 でエンコードされた PKCS#12 の証明書要求を作成し、その 証明書要求をアップロードします。 ・ CA の指示に従って、その CA のルート証明書と証明書失効リスト (CRL) をダウンロード し、次にそのルート証明書と CRL を各リモート クライアントにインストールします ( ブラウザのドキュメントを参照してください )。 6 CA か ら 署名済み証明書を受け取 っ た ら 、 その証明書を FortiGate ユニ ッ ト に イ ン ス ト ール し ます。 194 ページの 「署名済みサーバ証明書の イ ンポー ト 」 を参照 し て く だ さ い。 署名済みサーバ証明書のインポート FortiGate ユニ ッ ト に イ ン ス ト ールする署名済みサーバ証明書は、 CA か ら 提供 さ れます。 CA か ら 署名済みサーバ証明書を受け取 っ た ら、 その証明書を、 FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ に保存 し ます。 こ の証明書 フ ァ イルは、 PEM または DER のど ち ら の形式で も かまいません。 署名済みサーバ証明書を イ ンポー ト するには、 [System]、 [Certificates]、 [Local Certificates] の 順に選択 し ます。 [Import] を選択 し 、 必要な情報を入力 し て [OK] を選択 し ます。 [Import Certificate] ページ 特定の署名済み証明書を イ ン ポー ト す る ための設定を提供 し ます。 [Type] ド ロ ッ プ ダウ ン リ ス ト か ら [Local Certificate] を選択す る場合は、 次の設定を使用で き ます。 [Type] [Local Certificate] を選択 し ます。 [Certificate File] 署名済みサーバ証明書の完全なパス と フ ァ イル名を入力 し ます。 [Browse] あ る いは、 証明書が保存 さ れてい る管理 コ ン ピ ュ ー タ 上の場所 を参照 し 、 その 証明書を選択 し ます。 エクスポートされたサーバ証明書と秘密鍵のインポート 証明書 フ ァ イルを イ ンポー ト するには、 そのパスワー ド を知 っ てい る必要があ り ます。 作業を 開始する前に、 こ の フ ァ イルの コ ピー を、 FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ に保存 し ます。 詳細については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 PKCS12 フ ァ イルを イ ンポー ト するには、 [System]、 [Certificates]、 [Local Certificates] の順に 選択 し ます。 [Import] を選択 し 、 必要な情報を入力 し て [OK] を選択 し ます。 [Import Certificate] ページ 特定の署名済み証明書を イ ン ポー ト す る ための設定 を提供 し ます。 [Type] ド ロ ッ プ ダウ ン リ ス ト か ら [PKCS12 Certificate] を選択す る場合は、 次の設定を使用で き ます。 [Type] [PKCS12 Certificate] を選択 し ます。 [Certificate with key file] 以前に エ ク スポー ト さ れた PKCS12 フ ァ イルの完全なパス と フ ァ イ ル名を入力 し ます。 [Browse] あ る いは、PKCS12 フ ァ イ ルが保存 さ れてい る管理 コ ン ピ ュ ー タ 上の 場所を参照 し 、 その フ ァ イ ルを選択 し て [OK] を選択 し ます。 [Password] PKCS12 フ ァ イ ルを ア ッ プ ロ ー ド す る ために必要なパスワー ド を 入 力 し ます。 個別のサーバ証明書と秘密鍵ファイルのインポート サーバ証明書要求と秘密鍵が FortiGate ユニットによって生成されなった場合は、 それらを個別の ファイルとして受け取ります。 これらの 2 つのファイルを管理コンピュータにコピーします。 証明書 と 秘密鍵 フ ァ イルを イ ン ポー ト す る には、 [System]、 [Certificates]、 [Local Certificates] の順に選択 し ます。 [Import] を選択 し 、 必要な情報を入力 し て [OK] を選択 し ます。 194 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 証明書 リ モー ト 証明書 [Import Certificate] ページ CA か ら 特定の署名済み証明書を イ ン ポー ト する ための設定を提供 し ます。[Type] ド ロ ッ プ ダウ ン リ ス ト か ら [Certificate] を選択する場合は、 次の設定を使用で き ます。 [Certificate] を選択 し ます。 [Type] [Certificate file] 以前にエ ク スポー ト さ れた証明書 フ ァ イ ルの完全なパス と フ ァ イ ル名を入力 し ま す。 [Browse] あ る いは、 以前に エ ク スポー ト さ れた証明書 フ ァ イ ルの場所を参照 し 、 その フ ァ イ ルを選択 し て [OK] を選択 し ます。 [Key file] 以前にエ ク スポー ト さ れた鍵 フ ァ イ ルの完全なパス と フ ァ イ ル名を入力 し ます。 [Browse] あ る いは、 以前に エ ク スポー ト さ れた鍵 フ ァ イ ルの場所を 参照 し 、 その フ ァ イ ル を選択 し て [OK] を選択 し ます。 [Password] こ の フ ァ イ ルを ア ッ プ ロ ー ド し て開 く ためにパスワー ド が必要な場合は、 そのパ スワー ド を入力 し ます。 注記 : 証明書 フ ァ イルでは、 40 ビ ッ ト の RC2-CBC 暗号化を使用で き ません。 リモート証明書 動的な証明書の失効には、OCSP (Online Certificate Status Protocol) サーバを使用す る必要があ り ます。 リ モー ト 証明書は、 秘密鍵のない公開証明書です。 OCSP サーバは、 CLI でのみ設定 さ れます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [Remote Certificates] リ ス ト には、 イ ン ス ト ール さ れた リ モー ト (OCSP サーバ ) 証明書が表示 さ れます。 イ ン ス ト ール さ れた リ モー ト (OCSP サーバ ) 証明書を表示 し た り 、 リ モー ト (OCSP サーバ ) 証明書 を イ ン ポー ト し た り す る には、 [System]、 [Certificates]、 [Remote] の順に選択 し ま す。 証明書の詳細を表示するには、 その証明書に対応す る行にある [ 証明書の詳細表示 ] ア イ コ ン を選択 し ます。 注記 : OCSP サーバは、 VDOM ご と に 1 つ存在 し ます。 [Remote] ページ 公開証明書を表示 し ます。 こ のページ では、証明書を イ ンポー ト 、削除、お よび表示す る こ と がで き ます。 [Import] OCSP サーバの公開証明書を イ ンポー ト し ます。 196 ページの 「CA 証明書の イ ン ポー ト 」 を参照 し て く だ さ い。 [Name] 既存の リ モー ト (OCSP サーバ ) 証明書の名前。 FortiGate ユニ ッ ト は、 リ モー ト (OCSP サーバ ) 証明書が イ ン ポー ト さ れた と き、 それ ら の証明書に一意の名前 (REMOTE_Cert_1、 REMOTE_Cert_2、 REMOTE_Cert_3 な ど ) を割 り 当て ます。 [Subject] リ モー ト (OCSP サーバ ) 証明書に関する情報。 [Delete] FortiGate の設定か ら リ モー ト (OCSP サーバ ) 証明書を削除 し ます。 [ 証明書の詳細表示 ] 証明書の詳細を表示 し ます。 [Download] リ モー ト (OCSP サーバ ) 証明書の コ ピー を ロ ー カ ル コ ン ピ ュ ー タ に保存 し ます。 リモート (OCSP サーバ ) 証明書のインポート システムは、 各リモート (OCSP サーバ ) 証明書に一意の名前を割り当てます。 これらの名前には、 連続した番号が付けられます (REMOTE_Cert_1、 REMOTE_Cert_2、 REMOTE_Cert_3 など )。 リ モー ト (OCSP サーバ ) 証明書を イ ンポー ト するには、 [System]、 [Certificates]、 [Remote] の 順に選択 し 、 [Import] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 195 CA 証明書 シス テム - 証明書 [Upload Remote Certificate] リ モー ト 証明書を FortiGate ユニ ッ ト に ア ッ プ ロ ー ド す る ための設定を提供 し ます。 [Local PC] 公開証明書を ア ッ プ ロ ー ド す る ための管理 PC 内の場所を入力 し ます。 [Browse] あ る いは、 証明書が保存 さ れている管理 コ ン ピ ュ ー タ 上の場所 を参照 し 、 その 証明書を選択 し て [OK] を選択 し ます。 CA 証明書 リ モー ト ク ラ イ ア ン ト に イ ン ス ト ールする ための署名済みの個人証明書ま たはグループ証明 書を申請する場合は、発行 CA か ら、対応するルー ト 証明書 と CRL を取得する必要があ り ます。 証明書を受け取 っ た ら、 ブ ラ ウザの ド キ ュ メ ン ト に従 っ て、 その証明書を リ モー ト ク ラ イ ア ン ト に イ ン ス ト ール し ます。 発行 CA か ら 取得 し た対応するルー ト 証明書 と CRL を FortiGate ユニ ッ ト に イ ン ス ト ール し ます。 CA 証明書は、 期限が切れる前にオ ン ラ イ ン で自動的に更新で き ます。 こ れは、 CLI で設定す る必要があ り ます。 『FortiGate CLI リ フ ァ レ ン ス 』 にある vpn certificate local コ マ ン ド を参照 し て く だ さ い。 [CA Certificates] リ ス ト には、 イ ン ス ト ール さ れた CA 証明書が表示 さ れます。 Fortinet_CA 証 明書を削除す る こ と はで き ません。 イ ン ス ト ール さ れた CA ルー ト 証明書を表示 し た り 、 CA ルー ト 証明書を イ ンポー ト し た り するには、 [System]、 [Certificates]、 [CA Certificates] の順に 選択 し ます。 証明書の詳細を表示するには、 その証明書に対応する行にあ る [ 証明書の詳細表 示 ] ア イ コ ン を選択 し ます。 デジ タ ル証明書の取得および イ ン ス ト ールに関する詳細 と 手順については、 『FortiGate 証明書 管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [CA Certificates] ページ デ フ ォ ル ト の CA 証明書だけで な く 、 作成 し た CA 証明書 も 表示 し ます。 ま た、 CA 証明書を イ ン ポー ト する こ と も で き ます。 [Import] CA ルー ト 証明書を イ ンポー ト し ます。 196 ページの 「CA 証明書の イ ン ポー ト 」 を 参照 し て く だ さ い。 [Name] 既存の CA ルー ト 証明書の名前。 FortiGate ユニ ッ ト は、 CA 証明書がイ ン ポー ト さ れた と き、 それ ら の証明書に一意の名前 (CA_Cert_1、 CA_Cert_2、 CA_Cert_3 な ど ) を割 り 当て ます。 [Subject] 発行 CA に関す る情報。 [Delete] FortiGate の設定か ら CA ルー ト 証明書を削除 し ます。 [ 証明書の詳細表示 ] 証明書の詳細を表示 し ます。 [Download] CA ルー ト 証明書の コ ピー を ロー カ ル コ ン ピ ュ ー タ に保存 し ます。 CA 証明書のインポート CA のルー ト 証明書を ダウン ロー ド し た ら、 その証明書を、 FortiGate ユニ ッ ト への管理ア ク セ スが可能な PC に保存 し ます。 [SCEP] を選択 し た場合は、 [OK] を選択する と す ぐ に、 シ ス テムによ っ て取得プ ロ セスが開始 さ れます。 シ ス テムは、 各 CA 証明書に一意の名前を割 り 当て ます。 こ れ ら の名前には、 連続 し た番号が 付け られます (CA_Cert_1、 CA_Cert_2、 CA_Cert_3 など )。 CA ルー ト 証明書を イ ンポー ト する には、 [System]、 [Certificates]、 [CA Certificates] の順に選 択 し 、 [Import] を選択 し ます。 [Import CA Certificate] SCEP サーバま たはロー カ ル PC を使用 し て証明書を イ ンポー ト する ための設定を提供 し ます。 196 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - 証明書 CRL [SCEP] SCEP サーバを使用 し て CA 証明書にア ク セ ス し 、 ユーザ認証を行 う 場合に選択 し ま す。 CA 証明書を取得する ために使用する SCEP サーバの URL を入力 し ます。 必要に 応 じ て、 CA の識別情報 ( フ ァ イル名な ど ) を入力 し ます。 [OK] を選択 し ます。 [Local PC] ロー カ ル管理者の PC を 使用 し て公開証明書を ア ッ プ ロー ド す る場合に選択 し ます。 証明書が保存 さ れてい る管理 コ ン ピ ュ ー タ 上の場所を入力するか、 ま たはその場所を 参照 し て証明書を選択 し 、 [OK] を選択 し ます。 CRL 証明書失効 リ ス ト (CRL) と は、 CA が発行 し た証明書 と 、 その証明書のス テー タ ス を リ ス ト に し た ものです。 [CRL] リ ス ト には、 イ ン ス ト ール さ れた CRL が表示 さ れます。 FortiGate ユニ ッ ト は、 CRL を使用 し て、 CA や リ モー ト ク ラ イ ア ン ト に属する証明書が有効である こ と を確認 し ます。 イ ン ス ト ール さ れた CRL を表示するには、 [System]、 [Certificates]、 [CRL] の順に選択 し ます。 [CRL] ページ 個々の CRL を表示 し ます。 こ のページ では、 CRL を イ ン ポー ト 、 表示、 またはダウ ン ロー ド する こ と が で き ます。 [Import] CRL を イ ン ポー ト し ます。 詳細については、 197 ページの 「証明書失効 リ ス ト の イ ン ポー ト 」 を参照 し て く だ さ い。 [Name] 既存の証明書失効 リ ス ト の名前。 FortiGate ユニ ッ ト は、 証明書失効 リ ス ト が イ ン ポー ト さ れた と き、 それ ら の リ ス ト に一意の名前 (CRL_1、 CRL_2、 CRL_3 な ど ) を割 り 当て ます。 [Subject] 証明書失効 リ ス ト に関する情報。 [Delete] 選択 さ れた CRL を FortiGate の設定か ら 削除 し ます。 [ 証明書の詳細表示 ] 発行者名や CRL 更新日な どの CRL の詳細を表示 し ます。 [Download] CRL の コ ピー を ロ ー カル コ ン ピ ュ ー タ に保存 し ます。 証明書失効リストのインポート 証明書を取 り 消 さ れた ク ラ イ ア ン ト が FortiGate ユニ ッ ト と の接続を確立で き ない よ う にする ために、 CA の Web サ イ ト か らの証明書失効 リ ス ト を定期的に更新 さ れた状態に保つ必要があ り ます。 CA の Web サイ ト か ら CRL を ダウン ロー ド し た ら、 その CRL を、 FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ に保存 し ます。 シ ス テムは、 各 CRL に一意の名前を割 り 当て ます。 こ れ らの名前には、 連続 し た番号が付け られます (CRL_1、 CRL_2、 CRL_3 など )。 証明書失効 リ ス ト を イ ンポー ト するには、[System]、[Certificates]、[CRL] の順に選択 し 、[Import] を選択 し ます。 [Import CRL] ページ HTTP、 LDAP、 SCEP サーバ、 ま たはロー カ ル PC か ら CRL を イ ンポー ト す る ための設定を提供 し ます。 [HTTP] HTTP サーバを使用 し て CRL を取得する場合に選択 し ます。 HTTP サーバの URL を入力 し ます。 [LDAP] LDAP サーバを使用 し て CRL を取得 し た後、 リ ス ト か ら LDAP サーバを選択する場合に 選択 し ます。 [SCEP] SCEP サーバを使用 し て CRL を取得 し た後、 リ ス ト か ら ロー カ ル証明書を選択する場合 に選択 し ます。 CRL を取得する ために使用で き る SCEP サーバの URL を入力 し ます。 [Local PC] ロー カル管理者の PC を使用 し て公開証明書を ア ッ プ ロ ー ド す る場合に選択 し ます。 証 明書が保存 さ れてい る管理 コ ン ピ ュ ー タ 上の場所を入力するか、 ま たはその場所を参照 し て証明書を選択 し 、 [OK] を選択 し ます。 注記 : CRL が LDAP、 HTTP、 または SCEP サーバ、 あるいはそれら の組み合わせから 取得 する よ う に設定 さ れてい る と き、 FortiGate ユニ ッ ト に CRL の コ ピーが存在 し ない場合や、 現在の コ ピーの期限が切れてい る場合は、最新バージ ョ ンの CRL がサーバから 自動的に取 得 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 197 CRL 198 シス テム - 証明書 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス メ ン テナン スの概要 システム - メンテナンス こ の項では、 シ ス テム設定を保守する方法や、 FDN サービ ス を有効に し た り 、 更新 し た り する 方法について説明 し ます。 また、 FortiGate ユニ ッ ト に使用で き る FDN サービ スの種類につい て も説明 し ます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、 シ ス テム メ ン テナン スは FortiGate ユニ ッ ト 全体に対 し てグローバルに設定 さ れます。 詳細については、 73 ページ の 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ メ ン テナン スの概要 ・ [Configuration Revision] ・ [Firmware] ・ [FortiGuard] ・ FDN 接続性の ト ラ ブルシ ュ ーテ ィ ング ・ ア ン チウ イルスお よび攻撃定義の更新 ・ プ ッ シ ュ更新の有効化 ・ [Advanced] ・ VDOM ラ イ セ ン スの追加 ・ [Disk] メンテナンスの概要 メ ン テナン ス メ ニ ュ ーは、 フ ァ ームウ ェ アの保守や管理に関するヘルプ、 設定 リ ビ ジ ョ ン、 ス ク リ プ ト フ ァ イル、 および FortiGuard サブ ス ク リ プ シ ョ ン ベースのサー ビ ス を提供 し ます。 こ の メ ニ ュ ーか ら は、 フ ァ ームウ ェ ア を ア ッ プ グ レ ー ド ま たはダウ ン グ レ ー ド し た り 、 設定 フ ァ イルの履歴バ ッ ク ア ッ プ を表示 し た り 、 FortiGuard サービ ス を更新 し た り する こ と がで き ます。 メ ン テナン ス メ ニ ュ ーには、 次の メ ニ ュ ーがあ り ます。 ・ [Revision Control] - シ ス テム設定のすべてのバ ッ ク ア ッ プ を、 バ ッ ク ア ッ プ さ れた日付 と 時刻 と と も に表示 し ます。 リ ビ ジ ョ ン制御を使用する には、 事前に集中管理サーバを設定 し 、 有効にする必要があ り ます。 ・ [Firmware] - 現在 FortiGate ユニ ッ ト 上に格納 さ れてい る フ ァ ームウ ェ ア イ メ ージや、 現在 FortiGate ユニ ッ ト 上で実行 さ れてい る フ ァ ームウ ェ ア イ メ ージ を表示 し ます。 ・ [Advanced] - ス ク リ プ ト 、 USB 自動イ ン ス ト ールのための詳細設定を表示する と と も に、 デバ ッ グ ログのダウン ロー ド を可能に し ます。 ・ [FortiGuard] - ア ン チウ イルスおよび IPS 定義や FortiGuard Analysis and Management Service な どの、 すべての FDN サブ ス ク リ プ シ ョ ン サービ ス を表示 し ます。 また、 こ の タ ブ では、 ア ン チウ イルス、 IPS、 Web フ ィ ル タ リ ン グ、 お よ びア ン チ スパム サー ビ スのための設定 オ プ シ ョ ン も 提供 さ れます。 ・ [License] - VDOM の最大数を増やす こ と がで き ます ( 一部の FortiGate モデル )。 ・ [Disk] - 複数のロー カル デ ィ ス クのス テー タ スに関する詳細情報を表示 し ます。 シ ス テム設定をバ ッ ク ア ッ プする と 、 Web コ ン テ ン ツ フ ァ イル と 電子 メ ール フ ィ ル タ リ ン グ フ ァ イル も 含まれます。 設定を管理 コ ン ピ ュ ー タ 、 FortiGate ユニ ッ ト に USB ポー ト が装備 さ れてい る場合は USB デ ィ ス ク (202 ページの 「USB デ ィ ス クの フ ォ ーマ ッ ト 」 を参照 )、 また はロー カル ハー ド デ ィ ス ク に保存で き ます。 また、 [Backup & Restore] メ ニ ュ ーで、 以前にダ ウン ロー ド し たバ ッ ク ア ッ プ フ ァ イルか ら シ ス テム設定を復元する こ と も で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 199 [Configuration Revision] シス テム - メ ン テナン ス バーチ ャ ル ド メ イ ン設定が有効にな っ てい る場合、 バ ッ ク ア ッ プ フ ァ イ ルの内容は、 その フ ァ イルを作成 し た管理者ア カ ウン ト に よ っ て異な り ます。 super_admin ア カ ウン ト か ら のシ ステム設定のバ ッ ク ア ッ プには、 グローバル設定 と 、 各 VDOM に含まれている設定が含まれ ます。 こ の フ ァ イルか ら設定を復元で き るのは、 super_admin だけです。 標準管理者ア カ ウン ト か ら シ ス テム設定をバ ッ ク ア ッ プ し た場合、 バ ッ ク ア ッ プ フ ァ イルには、 グ ローバル設定 と 、 その標準管理者が属する VDOM の設定が含まれます。 こ のフ ァ イルか ら 設定を復元で き るユーザ ア カ ウ ン ト は、 標準管理者だけです。 一部の FortiGate モデルは、 ユーザがダウン ロー ド で き る FortiClient イ メ ージ を格納する こ と によ っ て FortiClient をサポー ト し ています。 [Backup & Restore] の [FortiClient] セ ク シ ョ ンは、 使用 し ている FortiGate モデルで FortiClient がサポー ト さ れている場合に使用で き ます。 ヒント : バックアップと復元のオプションを含むファームウェアの管理や、FortiGate ユ ニットのファームウェアのアップロードおよびダウンロードに関する簡素化された手順に ついては、61 ページの「ファームウェア管理方法」を参照してください。 [Configuration Revision] [Configuration Revisions] メ ニ ュ ーでは、 設定 フ ァ イルの複数のバージ ョ ン を管理で き ます。 リ ビ ジ ョ ン制御には、 設定 さ れた集中管理サーバ、 またはロー カルのハー ド ド ラ イ ブのど ち ら か が 必 要 で す。 集 中 管 理 サ ー バ は、 FortiManager ユ ニ ッ ト ま た は FortiGuard Analysis and Management Service のど ち ら にする こ と も で き ます。 FortiGate ユニ ッ ト 上に集中管理が設定 さ れていない場合は、 次のいずれかを実行する よ う 求 める メ ッ セージが表示 さ れます。 ・ 集中管理を有効にする (183 ページの 「集中管理」 を参照 ) ・ 有効な ラ イ セ ン ス を取得する FortiGate ユニ ッ ト 上で リ ビ ジ ョ ン制御が有効にな っ てお り 、 かつ設定がバ ッ ク ア ッ プ さ れて いる場合は、 こ れ らのバ ッ ク ア ッ プ さ れた設定の保存済みの リ ビ ジ ョ ンの リ ス ト が表示 さ れま す。 設定 リ ビ ジ ョ ン を表示するには、 [System]、 [Maintenance]、 [Configuration Revision] の順に選択 し ます。 [Configuration Revision] ページ すべての設定 リ ビ ジ ョ ン を表示 し ます。 こ のページ では、 設定 フ ァ イ ルを削除、 編集、 ま たはア ッ プ ロー ド す る こ と がで き ます。 ま た、 コ メ ン ト を 変更 し た り 、 リ ビ ジ ョ ン間の違い を 表示 し た り 、 以前の設定 に戻 し た り こ と も で き ます。 [OS Version こ のペー ジのセ ク シ ョ ン で あ り 、 指定 さ れた FortiOS の フ ァ ームウ ェ ア バージ ョ ン と ビル ド 番号に属する設定 フ ァ イルを含みます。 た と えば、 4.0 <firmware_version_build>] ( このページ上のセクション MR1 ( ビル ド 178) に 4 つの設定 リ ビ ジ ョ ンがあ る場合、 それ ら の リ ビ ジ ョ ンは [Configuration Revision] ページのセ ク シ ョ ン [OS Version 4.00 build178] として表示される ) に表示 さ れます。 200 [Revision] 設定が保存 さ れた順序を示す増分番号。 設定が削除 さ れた場合は、 連続 し た番号ではない可能性があ り ます。 リ ス ト の先頭には、 最新の、 最 も 大 き な番号が表示 さ れます。 [Date/Time] こ の設定が FortiGate ユニ ッ ト に保存 さ れた日付 と 時刻。 [Administrator] こ の リ ビ ジ ョ ン をバ ッ ク ア ッ プする ために使用 さ れた管理者ア カ ウ ン ト 。 [Comments] こ の リ ビ ジ ョ ンが保存 さ れた理由、 保存 し たユーザ、 日付があ る場合は領 域を解放す る ために削除で き る時期な どの、 こ の リ ビ ジ ョ ン に関 し て保存 さ れた任意の関連情報。 [Diff] 2 つの リ ビ ジ ョ ン を比較する場合に選択 し ます。 選択 さ れた リ ビ ジ ョ ン を表示 し 、 次のいずれか と 比較で き る ウ ィ ン ド ウが 表示 さ れます。 ・ 現在の設定 ・ リ ビ ジ ョ ン履歴 と テ ン プ レ ー ト を 含む表示 さ れた リ ス ト か ら 選択 さ れ た リ ビジ ョ ン ・ 指定 さ れた リ ビ ジ ョ ン番号 [Download] こ の リ ビ ジ ョ ン を ロ ー カ ル PC にダウ ン ロー ド し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [Firmware] [Revert] 以前の選択 さ れた リ ビ ジ ョ ン を復元 し ます。 こ の操作を確認する よ う 求め ら れます。 [Delete] リ ス ト か ら 設定 リ ビ ジ ョ ン を削除する場合に選択 し ます。 [Details] 設定 リ ビ ジ ョ ンの CLI 設定を表示する場合に選択 し ます。 [Change Comments] 説明を変更す る場合に選択 し ます。 [Upload] 設定 フ ァ イ ルを FortiGate ユニ ッ ト に ア ッ プ ロ ー ド す る場合に選択 し ます。 その後、 こ の フ ァ イルは リ ス ト に追加 さ れます。 [Firmware] [Firmware] メ ニ ュ ー を使用す る と 、 FortiGate ユニ ッ ト に フ ァ ームウ ェ ア を イ ン ス ト ール し た り 、 後日 イ ン ス ト ールす る ために フ ァ ームウ ェ ア イ メ ージ を ア ッ プ ロー ド し た り する こ と が で き ます。 また、 こ の メ ニ ュ ーか ら は、 現在 FortiGate ユニ ッ ト 上で実行 さ れてい る フ ァ ーム ウ ェ ア を表示する こ と も で き ます。 フ ァ ームウ ェ ア イ メ ージ を表示 し た り 、 イ メ ージ を ア ッ プ ロー ド お よび イ ン ス ト ール し た り する には、 [System]、 [Maintenance]、 [Firmware] の順に選択 し ます。 [Firmware] ページ FortiGate ユニ ッ ト にア ッ プ ロー ド さ れたすべての フ ァ ームウ ェ ア イ メ ージ を表示 し ます。 [Currently Running Firmware] 現在 FortiGate ユニ ッ ト 上で実行 さ れてい る フ ァ ームウ ェ ア イ メ ージ を表示 し ます。 [Delete] こ の フ ァ ームウ ェ ア イ メ ージ を リ ス ト か ら 削除す る場合に選択 し ま す。 [Change Comments] こ の フ ァ ームウ ェ ア イ メ ージの説明を変更する場合に選択 し ます。 [Upgrade] FortiGate ユニ ッ ト に イ メ ージ を イ ン ス ト ールす る には、リ ス ト 内のそ の フ ァ ームウ ェ ア イ メ ージ を選択する必要があ り ます。 [Upload] [Upload] を 選択する と 、 [Upload] ページ に自動的に リ ダ イ レ ク ト さ れ ます。 こ のページ では、 ア ッ プ ロー ド する フ ァ ームウ ェ ア イ メ ージ を 選択 し た り 、 [Boot New Firmware] を有効に し た り ( こ れに よ り 、 選択 さ れた フ ァ ームウ ェ アが FortiGate ユニ ッ ト に イ ン ス ト ール さ れます )、目的の フ ァ ームウ ェ アに関す る任意の説明を入力 し た り する こ と が で き ます。 [Firmware Version] こ の フ ァ ームウ ェ ア イ メ ージの フ ァ ームウ ェ ア バージ ョ ン番号。 [Date] こ の フ ァ ームウ ェ ア イ メ ージが作成 さ れた日付。 [Create by] こ の フ ァ ームウ ェ ア イ メ ージ を ア ッ プ ロー ド し た管理者。 [Comments] こ の イ メ ージに関する説明。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ 設定 フ ァ イルのバ ッ ク ア ッ プ と 復元 ・ USB デ ィ ス クの フ ォ ーマ ッ ト ・ FortiManager の リ モー ト でのバ ッ ク ア ッ プ と 復元のオプ シ ョ ン ・ FortiGuard の リ モー ト でのバ ッ ク ア ッ プ と 復元のオプ シ ョ ン 設定ファイルのバックアップと復元 FortiGate の設定を、 管理 PC、 集中管理サーバ、 あるいは USB デ ィ ス ク にバ ッ ク ア ッ プ または 復元で き ます。 FortiGate ユニ ッ ト に USB ポー ト が装備 さ れていて、 その USB ポー ト に USB デ ィ ス ク を 接続 し てい る場合は、 USB デ ィ ス ク に設定 をバ ッ ク ア ッ プ お よ び復元で き ます。 FortiGate ユニ ッ ト は、 USB キーや外付け USB ハー ド デ ィ ス ク を含め、 ほ と んどの USB デ ィ ス ク をサポー ト し ています (202 ページの 「USB デ ィ ス ク の フ ォ ーマ ッ ト 」 を参照 )。 FortiGate ユ ニ ッ ト の接続先の任意の リ モ ー ト 管理サー ビ スが集中管理サーバに な り ま す。 た と えば、 FortiGate-60 上の現在の設定が FortiManager ユ ニ ッ ト にバ ッ ク ア ッ プ さ れた場合は、 その FortiManager ユニ ッ ト が集中管理サーバにな り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 201 [Firmware] シス テム - メ ン テナン ス [Backup & Restore] セ ク シ ョ ン で こ れ ら のオプ シ ョ ン を使用で き る よ う にする には、 その前に [System]、 [Admin]、 [Central Management] の順に選択 し て表示 さ れる画面で集中管理を設定す る必要があ り ます。 詳細については、 183 ページの 「集中管理」 を参照 し て く だ さ い。 バ ッ ク ア ッ プ と 復元の設定は、 CLI でのみ使用で き ます。 execute backup config コ マ ン ド と execute restore config コ マ ン ド は、 FortiGate ユニ ッ ト の設定 フ ァ イルをバ ッ ク ア ッ プおよび復元する ために使用 さ れます。 USB ディスクのフォーマット 注意 : USB デ ィ ス ク を フ ォ ーマ ッ ト する と 、 そのデ ィ ス ク 上のすべての情報が削除 さ れま す。 デ ィ ス ク上のすべての情報を確実に回復で き る よ う にするために、 フ ォ ーマ ッ ト の前 に USB デ ィ ス ク 上の情報をバ ッ ク ア ッ プ し て く だ さ い。 USB ポー ト を備えた FortiGate ユニ ッ ト は、 USB デ ィ ス ク での設定のバ ッ ク ア ッ プ と 復元をサ ポー ト し ています。 FortiUSB と 一般的な USB デ ィ ス クがサポー ト さ れますが、 一般的な USB デ ィ ス ク は FAT16 デ ィ ス ク と し て フ ォ ーマ ッ ト する必要があ り ます。その他のパーテ ィ シ ョ ンの種類はサポー ト さ れていません。 USB デ ィ ス クは、 CLI または Windows シ ス テムの 2 つの方法のど ち らかを使用 し て フ ォ ーマ ッ ト で き ます。 CLI では、 exe usb-disk format の コ マ ン ド 構文を使用 し て USB デ ィ ス ク を フ ォ ーマ ッ ト で き ます。 Windows シ ステムを使用 し てデ ィ ス ク を フ ォ ーマ ッ ト する場合は、 コ マ ン ド プ ロ ン プ ト で "format <drive_letter>: /FS:FAT /V:<drive_label>" と 入 力 し ます。 こ こ で、 <drive_letter> は フ ォ ーマ ッ ト する接続済みの USB ド ラ イ ブの ド ラ イ ブ名であ り 、 <drive_label> は識別のためにその USB ド ラ イ ブに付ける名前です。 FortiManager のリモートでのバックアップと復元のオプション FortiGate ユニ ッ ト は、 FortiManager ユニ ッ ト に よ っ て リ モー ト で管理で き ます。 FortiGate ユ ニ ッ ト は、 FortiGuard-FortiManager プ ロ ト コ ル を 使用 し て 接続 し ま す。 こ の プ ロ ト コ ルは FortiGate ユニ ッ ト と FortiManager ユニ ッ ト の間の通信を提供 し 、 IPv4/TCP ポー ト 541 を使用 し て SSL 経由で動作 し ます。 FortiManager ユニ ッ ト を イ ン ス ト ールする方法の詳細な手順については、『FortiManager イ ン ス ト ール ガ イ ド 』 を参照 し て く だ さ い。 FortiGate ユニ ッ ト か ら FortiManager ユニ ッ ト に正常に接続 し た ら、 FortiManager ユニ ッ ト に設 定をバ ッ ク ア ッ プ で き ます。 また、 設定を復元する こ と も で き ます。 自動設定バ ッ ク ア ッ プは、 FortiManager ユニ ッ ト 上で ロー カル モー ド でのみ使用で き ます。 リ モー ト の場所か ら設定を復元する場合は、 リ ビ ジ ョ ンの リ ス ト が表示 さ れます。 こ の リ ス ト によ り 、 復元する設定を選択で き ます。 FortiGuard のリモートでのバックアップと復元のオプション FortiGate ユニ ッ ト は、 FortiGuard Analysis and Management Service に登録する と 使用で き る集 中管理サーバによ っ て リ モー ト で管理で き ます。FortiGuard Analysis and Management Service は サブ ス ク リ プ シ ョ ン ベースのサー ビ スであ り 、 サポー ト に問い合わせる こ と に よ っ て購入 さ れます。 FortiGate ユニ ッ ト を FortiGuard Analysis and Management Service に登録す る方法を含 む追加情報は、 『FortiGuard Analysis and Management Service ユーザ ガ イ ド 』 に記載 さ れていま す。 登録 し た後、 設定 を バ ッ ク ア ッ プ ま たは復元 で き ま す。 FortiGuard Analysis and Management Service は、 FortiManager ユニ ッ ト を使用する こ と な く 複数の FortiGate ユニ ッ ト を管理する場 合に有効です。 FortiGuard Analysis and Management Service を使用する と 、FortiGate ユニ ッ ト 上の フ ァ ームウ ェ ア を ア ッ プグ レー ド する こ と も で き ます。 フ ァ ームウ ェ アのア ッ プグレー ド は、 バ ッ ク ア ッ プ と 復元 メ ニ ュ ーの [Firmware Upgrade] セ ク シ ョ ン で 使用 で き ま す。 バ ッ ク ア ッ プ と 復元 メ ニ ュ ー か ら フ ァ ー ム ウ ェ ア を ア ッ プ グ レ ー ド す る 方法 の詳 細 に つ い て は、 42 ペ ー ジ の 「FortiGate の変更」 を参照 し て く だ さ い。 202 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [FortiGuard] ヒント : バックアップと復元のオプションを含むファームウェアの管理や、FortiGate ユ ニットのファームウェアのアップロードおよびダウンロードに関する簡素化された手順に ついては、61 ページの「ファームウェア管理方法」を参照してください。 リ モー ト の場所か ら設定を復元する場合は、 復元する設定フ ァ イルを選択で き る よ う に、 リ ビ ジ ョ ンの リ ス ト が表示 さ れます。 注記 : FortiGuard-FortiManager プ ロ ト コルは、 FortiGuard Analysis and Management Service に接続する場合に使用 さ れます。 このプ ロ ト コルは IPv4/TCP ポー ト 541 を使用 し て SSL 経由で動作 し 、 次の機能を含んでいます。 ・ ・ ・ FortiGate ユニ ッ ト の停止ま たは動作中のス テー タ スの検出 管理サー ビ スの停止ま たは動作中のス テー タ スの検出 設定変更、 AV/IPS デー タ ベース更新、 およ び フ ァ イ ア ウ ォ ール変更に関する FortiGate ユ ニ ッ ト への通知 [FortiGuard] FortiGuard Distribution Network (FDN) お よび FortiGuard サービ ス を使用する よ う に FortiGate ユ ニ ッ ト を設定する には、 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 FDN は、 ア ン チウ イルス定義、 IPS 定義、 およびア ン チスパム ルール セ ッ ト に対する更新を提供 し ます。 FortiGuard サ ー ビ ス に は、 FortiGuard Web フ ィ ル タ リ ン グ お よ び FortiGuard Analysis and Management Service が含まれています。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ FortiGuard Distribution Network ・ FortiGuard サービ ス ・ FortiGate ユニ ッ ト での FDN および FortiGuard サブ ス ク リ プ シ ョ ン サービ スの設定 FortiGuard Distribution Network FDN は、 FortiGuard Distribution Server (FDS) の世界規模のネ ッ ト ワー ク です。 FDN は、 ア ン チ ウ イルス ( グ レーウ ェ ア を含む ) 定義、 IPS 定義、 およびア ン チスパム ルール セ ッ ト に対する 更新を提供 し ます。 FortiGate ユニ ッ ト は、 FDN に接続する と 、 現在の タ イ ムゾー ン設定に基 づいて最 も 近い FDS に接続 し ます。 FortiGate ユニ ッ ト は、 次の更新オプ シ ョ ン をサポー ト し ています。 ・ FDN か ら ユーザが実行する更新 ・ 1 時間、 1 日、 または 1 週間ご と の、 FDN か らのア ン チウ イルス定義、 IPS 定義、 お よびア ン チスパム ルール セ ッ ト の定期更新 ・ FDN か らのプ ッ シ ュ更新 ・ バージ ョ ン番号、 終了日、 および更新日時を含む更新ス テー タ ス ・ NAT デバイ ス を介 し た プ ッ シ ュ更新 「Fortinet Support」 Web ページ で FortiGate ユニ ッ ト を登録する と 、 有効な ラ イ セ ン ス契約 と FDN への接続が提供 さ れます。 「Fortinet Support」 Web ページ で、 「Product Registration」 にア ク セス し てその指示に従います。 定期更新を受信するには、 FortiGate ユニ ッ ト が、 ポー ト 443 上で HTTPS を使用 し て FDN に接 続で き る必要があ り ます。 詳細については、 209 ページの 「定期更新を有効にするには」 を参 照 し て く だ さ い。 また、プ ッ シ ュ更新を受信する よ う に FortiGate ユニ ッ ト を設定する こ と も で き ます。FortiGate ユニ ッ ト がプ ッ シ ュ更新を受信する場合は、FDN が、UDP ポー ト 9443 を使用 し て FortiGate ユ ニ ッ ト にパケ ッ ト をルーテ ィ ン グで き る必要があ り ます。詳細については、210 ページの 「プ ッ シ ュ更新の有効化」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト が NAT デバイ スの背後にある場 合は、 211 ページの 「NAT デバイ ス を介 し た プ ッ シ ュ更新の有効化」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 203 [FortiGuard] シス テム - メ ン テナン ス FortiGuard サービス 世界を網羅する FortiGuard サービ スは、 FortiGuard サービ ス ポ イ ン ト によ っ て提供 さ れます。 FortiGate ユニ ッ ト は、 FDN に接続 し てい る と き、 最 も近い FortiGuard サービ ス ポ イ ン ト に接 続 し ています。 フ ォ ーテ ィ ネ ッ ト は、 必要に応 じ て新 し いサービ ス ポ イ ン ト を追加 し ます。 何 らかの理由でその最 も 近いサービ ス ポ イ ン ト に接続で き な く な っ た場合、 FortiGate ユニ ッ ト は別のサービ ス ポ イ ン ト に接続 し 、数秒以内に情報が入手可能にな り ます。FortiGate ユニ ッ ト は、 デ フ ォ ル ト では、 ポー ト 53 上で UDP を介 し てサービ ス ポ イ ン ト と 通信 し ます。 ある いは、 [System]、 [Maintenance]、 [FortiGuard] の順に選択す る こ と に よ っ て、 サー ビ ス ポ イ ン ト と の通信に使用 さ れる UDP ポー ト を ポー ト 8888 に切 り 替え る こ と も で き ます。 デ フ ォル ト の FortiGuard サービ ス ポ イ ン ト のホス ト 名を変更す る必要がある場合は、CLI コ マ ン ド system fortiguard で hostname キーワー ド を使用 し ます。 Web ベース マネージ ャ を使用 し て FortiGuard サービ ス ポ イ ン ト 名を変更する こ と はで き ません。 FortiGuard サービ スの詳細については、 FortiGuard Center の Web ページ を参照 し て く だ さ い。 FortiGuard アンチスパム サービス FortiGuard ア ン チ スパムは、FortiGate ユニ ッ ト にダウン ロー ド さ れる ア ン チスパム ルール セ ッ ト に含まれている IP ア ド レ ス ブ ラ ッ ク リ ス ト 、 URL ブ ラ ッ ク リ ス ト 、 電子 メ ール フ ィ ル タ リ ン グ ツールを包含す る、 フ ォ ーテ ィ ネ ッ ト のア ン チ スパム シ ス テムです。 IP ア ド レ ス ブ ラ ッ ク リ ス ト には、 スパムを生成する既知の電子 メ ール サーバの IP ア ド レ スが含まれていま す。 URL ブ ラ ッ ク リ ス ト には、 スパム電子 メ ールで見つか っ た URL が含まれています。 FortiGuard ア ン チ スパムの処理は、 フ ォ ーテ ィ ネ ッ ト に よ っ て完全に自動化および設定 さ れて います。 常時監視 と 動的な更新に よ り 、 FortiGuard ア ン チスパムは常に最新の状態に保たれて います。 FortiGuard ア ン チ スパムは、[Firewall] メ ニ ュ ーのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効 または無効にする こ と がで き ます。 FortiGate ユニ ッ ト にはすべて、30 日間無料の FortiGuard ア ン チスパム ト ラ イ アル ラ イ セ ン ス が付属 し ています。 FortiGuard ア ン チ スパムの ラ イ セ ン ス管理は、 フ ォ ーテ ィ ネ ッ ト サーバに よ っ て実行 さ れる ため、 ラ イ セ ン ス番号を入力する必要はあ り ません。 FortiGuard ア ン チ スパ ムを有効にする と 、 FortiGate ユニ ッ ト は自動的に FortiGuard ア ン チ スパム サービ ス ポ イ ン ト に接続 し ます。 無償 ト ラ イ アルの期限が切れた後に FortiGuard ア ン チ スパム ラ イ セ ン ス を更 新するには、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト にお問い合わせ く だ さ い。 [System]、 [Maintenance]、 [FortiGuard] の順に選択した後、 [UTM]、 [Email Filtering]、 [Profile] の順に選択して表示される画面で電子メール フィルタリング オプションを設定することによって、 FortiGuard アンチスパム ( 電子メール フィルタ ) をグローバルに有効にすることができます。 FortiGuard Web フィルタリング サービス FortiGuard Web フ ィ ル タ リ ングは、 フ ォ ーテ ィ ネ ッ ト が提供する マネージ ド Web フ ィ ル タ リ ン グ ソ リ ュ ーシ ョ ン です。 FortiGuard Web フ ィ ル タ リ ングは、 数億 もの Web ページ を、 ユーザ が許可、 ブ ロ ッ ク、 または監視で き る広範囲のカ テ ゴ リ に分類 し ます。 FortiGate ユニ ッ ト は、 最 も近い FortiGuard Web フ ィ ル タ リ ング サービ ス ポ イ ン ト にア ク セス し て、 要求 さ れた Web ページのカ テ ゴ リ を決定 し た後、そのユーザまたはイ ン タ フ ェ ースのために設定 さ れた フ ァ イ アウ ォ ール ポ リ シーに従います。 FortiGate ユニ ッ ト にはすべて、30 日間無料の FortiGuard Web フ ィ ル タ リ ング ト ラ イ アル ラ イ セ ン スが付属 し ています。 FortiGuard の ラ イ セ ン ス管理は、 フ ォ ーテ ィ ネ ッ ト サーバによ っ て 実行 さ れます。 ラ イ セ ン ス番号を入力する必要はあ り ません。 FortiGuard カ テ ゴ リ ブ ロ ッ キン グ を有効にする と 、FortiGate ユニ ッ ト は自動的に FortiGuard サービ ス ポ イ ン ト に接続 し ます。 無償 ト ラ イ アルの後に FortiGuard ラ イ セ ン ス を更新するには、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト にお問い合わせ く だ さ い。 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し た後、 [UTM]、 [Web Filtering]、 [Profile] の 順に選択 し て表示 さ れる画面で FortiGuard Web フ ィ ル タ リ ング オ プ シ ョ ン を設定する こ と に よ っ て、 FortiGuard Web フ ィ ル タ リ ングを グローバルに有効にする こ と がで き ます。 204 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [FortiGuard] FortiGuard Analysis and Management Service FortiGuard Analysis and Management Service は、 すべての FortiGate ユニ ッ ト に対す る ロギング お よび レ ポー ト 機能を含む リ モー ト 管理サー ビ ス を提供す る、 サブ ス ク リ プ シ ョ ン ベースの サービ スです。 こ れ らのサービ スは以前、 FortiAnalyzer ユニ ッ ト と FortiManager ユニ ッ ト での み使用で き ま し た。 サブ ス ク リ プ シ ョ ン ベースのサービ スは、 FortiGuard Analysis and Management Service のポー タ ル Web サイ ト か ら使用で き ます。 こ の Web サ イ ト では、 ロギン グお よびレ ポー ト 機能や リ モー ト 管理を設定 し た り 、毎日の ク ォ ー タ やサービ スの終了日な どのサブ ス ク リ プ シ ョ ン契約 情報を表示 し た り する ための中央の場所が提供 さ れます。 FortiGate ユニットでの FDN および FortiGuard サブスクリプション サービスの設定 FDN 更新お よび FortiGuard サー ビ スは、 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し て表示 さ れる画面で設定 さ れます。 FDN のページには、 FortiGuard サービ スの次の 4 つのセ ク シ ョ ンが含まれています。 ・ サポー ト 契約および FortiGuard サブ ス ク リ プ シ ョ ン サービ ス ・ ア ン チウ イルスお よび IPS 更新のダウン ロー ド ・ Web フ ィ ル タ リ ングお よび電子 メ ール フ ィ ル タ リ ング オプ シ ョ ンの設定 ・ FortiGuard Analysis and Management Service オプ シ ョ ンの設定 サポート契約および FortiGuard サブスクリプション サービス サポー ト 契約および FortiGuard サブ ス ク リ プ シ ョ ン サービ スのセ ク シ ョ ンは、[Status] ページ に省略 さ れた形式で表示 さ れます。38 ページの 「ダ ッ シ ュ ボー ド の概要」 を参照 し て く だ さ い。 FortiGuard オプ シ ョ ン を表示するには、[System]、[Maintenance]、[FortiGuard] の順に選択 し ます。 [FortiGuard Distribution Network] ページ FortiGate ユニ ッ ト のサポー ト 契約およ び FortiGuard サブ ス ク リ プ シ ョ ン サー ビ スに関する詳細情報を表 示 し ます。 こ のページ ではまた、 Analysis and Management Service の連絡先ア カ ウ ン ト ID のほか、 ア ン チウ イルスお よび IPS オ プ シ ョ ン、 Web フ ィ ル タ リ ン グや電子 メ ール フ ィ ル タ リ ン グのオ プ シ ョ ン も 入 力で き ます。 [Support Contract] [Register] [FortiGuard Subscription Services] FortiGate ユニ ッ ト のサポー ト 契約の有効性ま たはス テー タ ス。 表示 さ れ る ス テー タ スは、 [Unreachable]、 [Not Registered]、 [Valid Contract] のいず れかです。 [Valid Contract] が表示 さ れてい る場合は、 FortiOS の フ ァ ームウ ェ ア バー ジ ョ ン と 契約の終了日が表示 さ れます。 ま た、 緑色のチ ェ ッ ク マー ク も 表 示 さ れます。 FortiGate ユニ ッ ト のサポー ト 契約を登録す る場合に選択 し ます。 こ のオプ シ ョ ンは、サポー ト 契約が登録 さ れていない場合にのみ使用で き ます。 次のよ う な、各 FortiGuard サブ ス ク リ プ シ ョ ン サービ スの有効性 と ス テー タ スの情報。 ・ [AntiVirus] ・ [Intrusion Protection] ・ [Vulnerability Compliance and Management] ・ [Web Filtering] ・ [AntiSpam] ・ [Analysis & Management Service] [Availability] こ の FortiGate ユニ ッ ト 上の こ のサービ スの有効性。 サービ スのサブ ス ク リ プ シ ョ ン に よ っ て異な り ます。 こ のス テー タ スは、 [Unreachable]、 [Not Registered]、 [Valid License]、 [Valid Contract] のいずれかです。 [Availability] が [Not Registered] の場合は、[Subscribe] オプ シ ョ ンが表示 さ れます。 [Availability] の期限が切れてい る場合は、[Renew] オ プ シ ョ ンが表示 さ れま す。 [Update] FortiGate ユニ ッ ト 上の こ のサービ ス を手動で更新する場合に選択 し ます。 こ れに よ り 、 ロ ー カ ル コ ン ピ ュ ー タ か ら 更新 フ ァ イ ルを ダウ ン ロ ー ド す る よ う 求め ら れます。 直接 FDN か ら 最新の更新を直ち にダウ ン ロ ー ド す る には、 [Update Now] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 205 [FortiGuard] シス テム - メ ン テナン ス [Register] こ の サ ー ビ ス を 登 録 す る 場 合 に 選 択 し ま す。 こ れ は、 Analysis Management Service で表示 さ れます。 and ステータス アイコン サブ ス ク リ プ シ ョ ン サービ スのス テー タ ス を示 し ます。 こ のア イ コ ンは、 有効性の説明に対応 し ています。 灰色 ([Unreachable]) ― FortiGate ユ ニ ッ ト はサー ビ ス に接続 で き ませ ん。 オ レ ン ジ色 ([Not Registered]) ― FortiGate ユニ ッ ト は接続で き ますが、 こ のサービ スに登録 さ れていません。 黄色 ([Expired]) ― FortiGate ユニ ッ ト の ラ イ セ ン スは有効で し たが、 期 限が切れています。 緑色 ([Valid License]) ― FortiGate ユニ ッ ト は FDN に接続で き、 サポー ト 契約に も 登録 さ れています。 ス テー タ ス ア イ コ ンが緑色の場合は、 終了日が表示 さ れます。 [Version] こ のサー ビ スのための、 FortiGate ユニ ッ ト に現在 イ ン ス ト ール さ れてい る定義 フ ァ イ ルのバージ ョ ン番号。 [Last update date and method] 最後の更新の日付 と 、 こ のサービ スのための定義の更新を ダウ ン ロ ー ド す る最後の試行に使用 さ れた方法。 [Date] FortiGate ユ ニ ッ ト が こ のサー ビ スの た めの更新 を 最後に チ ェ ッ ク し た ロー カル シ ス テムの日付。 アンチウイルスおよび IPS 更新のダウンロード [Antivirus and IPS Options] セ ク シ ョ ン では、 ア ン チウ イルスお よび IPS 更新を スケジ ュ ール し た り 、 オーバー ラ イ ド サーバを設定 し た り 、 プ ッ シ ュ更新を許可 し た り する こ と がで き ます。 こ れ らのオプ シ ョ ンには、 展開の矢印を選択する こ と に よ っ て ア ク セスで き ます。 プ ッ シ ュ更新を有効に し た と き に FortiGate ユニ ッ ト によ っ て送信 さ れる SETUP メ ッ セージに は、 FDN の接続先の FortiGate イ ン タ フ ェ ースの IP ア ド レ スが含まれています。 FortiGate ユ ニ ッ ト が NAT デバイ スの背後にある場合は、 [Use override push IP] オプ シ ョ ン を使用 し ます。 FortiGate ユニ ッ ト は、 FDS に NAT デバイ スの IP ア ド レ ス と ポー ト 番号を送信 し ます。 また、 NAT デバイ ス も 、FDS ト ラ フ ィ ッ ク を ポー ト 9443 上で FortiGate ユニ ッ ト に転送す る よ う に設 定 さ れている必要があ り ます。 詳細については、 211 ページの 「NAT デバイ ス を介 し たプ ッ シ ュ更新の有効化」 を参照 し て く だ さ い。 [FortiGuard Distribution Network] ページの [Antivirus and IPS Options] セクション 更新を スケジ ュ ール し た り 、 オーバー ラ イ ド サーバを設定 し た り 、 プ ッ シ ュ 更新を許可 し た り する ため の設定を提供 し ます。 [Use override server address] FDN に接続で き ない場合、ま たは組織が独自の FortiGuard サーバを使用 し て更新 を提供 し てい る場合に、 オーバー ラ イ ド サーバを 設定す る ために 選択 し ます。 選択する場合は、FortiGuard サーバの IP ア ド レ ス または ド メ イ ン名を入力 し 、 [Apply] を選択 し ます。 FDN ス テー タ スが、 依然 と し て FDN に接続 さ れていない こ と を示 し てい る場合は、 208 ページの 「FDN 接続性の ト ラ ブ ルシ ュ ーテ ィ ン グ」 を参照 し て く だ さ い。 [Allow Push Update] プ ッ シ ュ 更新を許可する場合に選択 し ます。 こ れに よ り 、 使用可能に な っ た更新が自動的に FortiGate ユニ ッ ト に送信 さ れる ため、 更新が使用可能 かど う かを チ ェ ッ ク する必要がな く な り ます。 [Allow Push Update] ス テータス アイコン 206 プ ッ シ ュ 更新を受信する ための FortiGate ユニ ッ ト のス テー タ ス。 灰色 ([Unreachable]) - FortiGate ユニ ッ ト はプ ッ シ ュ 更新サー ビ スに接 続で き ません。 黄色 ([Not Available]) - 現在のサポー ト ラ イ セ ン スでは、 プ ッ シ ュ 更新 サービ スは使用で き ません。 緑色 ([Available]) - プ ッ シ ュ 更新サービ スが許可 さ れています。210 ペー ジの 「プ ッ シ ュ 更新の有効化」 を参照 し て く だ さ い。 こ のア イ コ ンが灰色ま たは黄色の場合は、 208 ページの 「FDN 接続性の ト ラ ブルシ ュ ーテ ィ ン グ」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [FortiGuard] [Use override push IP] [Use override server address] と [Allow Push Update] の両方が有効にな っ て いる場合にのみ使用で き ます。 受信 し た FDS プ ッ シ ュ 更新を FortiGate ユニ ッ ト に リ ダ イ レ ク ト する フ ォ ワーデ ィ ン グ ポ リ シー を作成で き る よ う にする場合に選択 し ます。 FortiGate ユニ ッ ト の前にあ る NAT デバ イ スの IP ア ド レ ス を入力 し ます。 FDS は、 FortiGate ユニ ッ ト に到達 し よ う と す る と き に こ のデバ イ スに接 続 し ます。 NAT デバ イ スは、 FDS ト ラ フ ィ ッ ク を UDP ポー ト 9443 上で FortiGate ユ ニ ッ ト に転送す る よ う に設定 さ れて い る 必要があ り ま す。 211 ペー ジの 「NAT デバ イ ス を介 し た プ ッ シ ュ 更新の有効化」 を参照 し て く だ さ い。 [Port] [Schedule Updates] FDS プ ッ シ ュ 更新を受信す る NAT デバイ ス上のポー ト を選択 し ます。 こ のポー ト は、FortiGate ユニ ッ ト 上の UDP ポー ト 9443 に転送 さ れる必要が あ り ます。 [Use override push IP] が有効に な っ て てい る場合にのみ使用で き ます。 定期更新を有効にする には、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [Every] 1 ~ 23 時間ご と に 1 回更新を試みます。 各更新要求の間の時間数を選択 し ます。 [Daily] 1 日に 1 回更新を試みます。 更新を チ ェ ッ ク する時間を指定で き ます。 更 新の試行が、選択 さ れた時間内の ラ ン ダムに決定 さ れた時間に実行 さ れま す。 [Weekly] 1 週間に 1 回更新を試みます。 更新を チ ェ ッ ク す る曜日 と 時間を指定で き ます。 更新の試行が、 選択 さ れた時間内の ラ ン ダムに決定 さ れた時間に実 行 さ れます。 [Update Now] FDN 更新を手動で開始する場合に選択 し ます。 [Submit attack characteristics...] ( 推奨 ) こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る こ と を お勧め し ます。IPS シ グネチ ャ の品質向上に役立ち ます。 Web フィルタリングおよび電子メール フィルタリング オプションの設定 こ の項には、 展開の矢印を選択 し て [Web Filtering] お よび [Email Filtering] オプ シ ョ ン を表示す る こ と によ っ てア ク セス で き ます。 [FortiGuard Distribution Network] ページの [Web Filtering and Email Filtering Options] セクション FortiGuard Web フ ィ ル タ サービ ス、 キ ャ ッ シ ュ 、 およ び電子 メ ール フ ィ ル タ サービ ス を有効にする ため の設定を提供 し ます。 [Enable Web Filter] FortiGuard Web フ ィ ル タ サービ ス を有効にする場合に選択 し ます。 [Enable Cache] Web フ ィ ル タ ク エ リ のキ ャ ッ シ ュ を有効にする場合に選択 し ます。 こ れに よ り 、 FortiGuard サーバへの FortiGate ユニ ッ ト の要求が減る ため、 パ フ ォ ーマ ン スが向上 し ます。 こ のキ ャ ッ シ ュ では、 FortiGate の メ モ リ の 6% が使用 さ れます。 キ ャ ッ シ ュ がい っ ぱいにな る と 、 最 も 以前に使用 さ れた IP ア ド レ ス ま たは URL が削除 さ れます。 [Enable Web Filter] が選択 さ れてい る場合に使用で き ます。 [TTL] TTL (Time to Live)。 再びサーバに接続す る ま でに、 ブ ロ ッ ク さ れた IP ア ド レ スや URL を キ ャ ッ シ ュ 内に格納する秒数。 TTL は、 300 ~ 86400 秒の 範囲にあ る必要があ り ます。 [Enable Web Filter] と [Enable Cache] の両方が選択 さ れてい る場合にのみ 使用で き ます。 [Enable Email Filter] FortiGuard ア ン チ スパム サービ ス を有効にする場合に選択 し ます。 [Enable Cache] ア ン チ スパム ク エ リ のキ ャ ッ シ ュ を有効にする場合に選択 し ます。 こ れに よ り 、 FortiGuard サーバへの FortiGate ユニ ッ ト の要求が減る ため、 パ フ ォ ーマ ン スが向上 し ます。 こ のキ ャ ッ シ ュ では、 FortiGate の メ モ リ の 6% が使用 さ れます。 キ ャ ッ シ ュ がい っ ぱいにな る と 、 最 も 以前に使用 さ れた IP ア ド レ ス ま たは URL が削除 さ れます。 [Enable Email Filter] が選択 さ れてい る場合にのみ使用で き ます。 [TTL] TTL (Time to Live)。 再びサーバに接続す る ま でに、 ブ ロ ッ ク さ れた IP ア ド レ スや URL を キ ャ ッ シ ュ 内に格納する秒数。 TTL は、 300 ~ 86400 秒の 範囲にあ る必要があ り ます。 [Port Section] Web フ ィ ル タ リ ン グ と ア ン チ スパムの要件 を満たす次のいずれかのポー ト を選択 し ます。 [Use Default Port (53)] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク FortiGuard ア ン チ スパム サーバへの送信にポー ト 53 を使用す る場合に選 択 し ます。 207 FDN 接続性の ト ラ ブルシ ュ ーテ ィ ング [Use Alternate Port (8888)] シス テム - メ ン テナン ス FortiGuard ア ン チ スパム サーバへの送信にポー ト 8888 を使用する場合に 選択 し ます。 [Test Availability] サーバへの接続を テ ス ト す る場合に選択 し ます。 結果は、 ボ タ ンの下 と ス テー タ ス イ ン ジ ケー タ に表示 さ れます。 [To have a URL's category rating re-evaluated, please click here.] FortiGuard Web フ ィ ル タ サービ ス での URL のカ テ ゴ リ 評価を再評価する 場合に選択 し ます。 FortiGuard Analysis and Management Service オプションの設定 [Analysis and Management Service Options] セ ク シ ョ ンには、ア カ ウン ト IDや、FortiGuard Analysis and Management Service に関連 し たその他のオ プ シ ョ ンが含まれています。 こ の項には、 展開の矢印を選択する こ と によ っ て ア ク セスで き ます。 [FortiGuard Distribution Network] ページの [Analysis and Management Service Options] セクショ ン FortiGuard Analysis and Management Service サブ ス ク リ プ シ ョ ン サービ スの追加の設定のための各設定を 提供 し ます。 [Account ID] こ のア カ ウ ン ト を識別す る Analysis and Management Service の名前を入力 し ます。 登録時に [Account ID] フ ィ ール ド に入力 し た ア カ ウ ン ト ID が こ の フ ィ ール ド で使用 さ れます。 [To launch the service portal, FortiGuard Analysis and Management Service のポー タ ル Web サ イ ト に直接移 動 し て ロ グ または設定を表示する場合に選択 し ます。 ま た、 こ こ を選択 し please click here] て、 FortiGate ユニ ッ ト を FortiGuard Analysis and Management Service に登 録する こ と も で き ます。 [To configure FortiGuard Analysis Service options, please click here] [please click here] リ ン ク を 選択 し て、 FortiGuard Analysis and Management サーバへのロギン グ を設定 し た り 、 有効に し た り し ます。 こ の リ ン ク に よ り 、 [Log&Report]、 [Log Config]、 [Log Setting] の順に選択 し て表示 さ れ る 画面に リ ダ イ レ ク ト さ れます。 こ のサービ スに登録 し た後でのみ表示 さ れます。 [To purge logs older than n months, please click here] こ れ ら のロ グ を FortiGuard Analysis and Management サーバか ら 削除する月 数を リ ス ト か ら 選択 し 、 [please click here] リ ン ク を選択 し ます。 た と えば、 2 か月を選択す る と 、 過去 2 か月か ら のロ グがサーバか ら 削除 さ れます。 また、 こ のオ プ シ ョ ン を使用 し て、 現在のレ ポー ト に表示 さ れる可能性の あ る ロ グ を削除する こ と も で き ます。 ロギン グが有効にな り 、 ロ グ メ ッ セージが FortiGuard Analysis サーバに送 信 さ れた後でのみ表示 さ れます。 ・ 集中管理 FDN 接続性のトラブルシューティング FortiGate ユニ ッ ト が FDN に接続で き ない場合、 設定を確認 し ます。 た と えば、 FortiGate ルー テ ィ ング テーブルにルー ト を追加 し た り 、FortiGate ユニ ッ ト がポー ト 443 上で HTTPS を使用 し て イ ン タ ーネ ッ ト に接続で き る よ う にネ ッ ト ワー ク を設定 し た り す る こ と が必要にな る場 合があ り ます。 更新を受信する ために、FortiGuard オーバー ラ イ ド サーバに接続 し なければな ら ない場合があ り ます。 詳細については、 210 ページの 「オーバー ラ イ ド サーバを追加するには」 を参照 し て く だ さ い。 こ れが成功 し ない場合は、 設定を チ ェ ッ ク し て、 FortiGate ユニ ッ ト か ら FortiGuard オーバー ラ イ ド サーバに接続で き る こ と を確認 し ます。 次のよ う な場合、 プ ッ シ ュ更新が使用で き ない こ と があ り ます。 208 ・ FortiGateユニ ッ ト を登録 し ていない場合 (FortiGateユニ ッ ト を まだ登録 し ていない場合は、 「Product Registration」 にア ク セス し て Web サイ ト の指示に従います )。 ・ FortiGate ユニ ッ ト と FDN の間に NAT デバイ スが設置 さ れている場合 (211 ページの 「NAT デバイ ス を介 し た プ ッ シ ュ更新の有効化」 を参照 )。 ・ FortiGate ユニ ッ ト がプ ロキシ サーバを使用 し て イ ン タ ーネ ッ ト に接続 し てい る場合 (210 ページの 「プ ロキシ サーバを介 し た定期更新を有効にするには」 を参照 )。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス ア ン チウ イルスおよび攻撃定義の更新 アンチウイルスおよび攻撃定義の更新 FDN に接続 し て ア ン チウ イルス ( グ レーウ ェ ア を含む ) 定義 と IPS 攻撃定義を更新する よ う に FortiGate ユニ ッ ト を設定するには、 次の手順を使用 し ます。 注記 : ア ン チウ イルスおよび IPS 攻撃定義を更新する と 、 FortiGate ユニ ッ ト が新 し いシグ ネチ ャ定義を適用 し てい る間、 ト ラ フ ィ ッ ク スキ ャ ンにご く 短時間の中断が発生する こ と があ り ます。 中断 を 最小限に抑え る ために、 ト ラ フ ィ ッ ク が少な い時間帯に更新を ス ケ ジ ュ ールする こ と をお勧め し ます。 FortiGate ユニットが FDN に接続できることを確認するには 1 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [System Information] セ ク シ ョ ンの [System Time] 行にある [Change] を選択 し ます。 タイム ゾーンが、FortiGate ユニットが設置されている地域に対応して正しく設定されて いることを確認します。 2 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 3 使用可能なオプ シ ョ ン を表示するには、 [Web Filtering and Email Filtering Options] の横にあ る展開の矢印を選択 し ます。 4 [Test Availability] を選択 し ます。 FortiGate ユ ニ ッ ト に よ っ て、FDN へ の 接 続 が テ ス ト さ れ ま す。こ の テ ス ト 結 果 は、 [FortiGuard] ページの一番上に表示されます。 アンチウイルスおよび攻撃定義を更新するには 1 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 2 使用可能なオプ シ ョ ン を表示するには、 [Antivirus and IPS Options] の横にある展開の矢印 を選択 し ます。 3 [Update Now] を選択 し て、 ア ン チウ イルスおよび攻撃定義を更新 し ます。 FDN またはオーバー ラ イ ド サーバへの接続に成功する と 、 Web ベース マネージ ャ に次のよ う な メ ッ セージが表示 さ れます。 Your update request has been sent.Your database will be updated in a few minutes.Please check your update page for the status of the update. 数分後、 更新が使用可能にな る と 、 [FortiGuard] ページに、 ア ン チウ イルス定義 と IPS 攻撃定 義の新 し いバージ ョ ン情報の リ ス ト が表示 さ れます。 こ のページにはまた、 更新 さ れた定義お よびエ ン ジ ンの新 し い日付 と バージ ョ ン番号 も表示 さ れます。更新が成功 し たかど う かを示す メ ッ セージがイ ベ ン ト ログに記録 さ れます。 定期更新を有効にするには 1 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 2 使用可能なオプ シ ョ ン を表示するには、 [Antivirus and IPS Options] の横にある展開の矢印 を選択 し ます。 3 [Scheduled Update] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 4 次のいずれかを選択 し ます。 [Every] 1 ~ 23 時間ご と に 1 回。 各更新要求間の時間数 と 分数を選択 し ます。 [Daily] 1 日に 1 回。 更新を チ ェ ッ ク する時間を指定で き ます。 [Weekly] 1 週間に 1 回。 更新を チ ェ ッ ク する曜日 と 時間を指定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 209 プ ッ シ ュ更新の有効化 シス テム - メ ン テナン ス 5 [Apply] を選択 し ます。 FortiGate ユニットは、新しい更新スケジュールに従って次の定期更新を開始します。 FortiGate ユニットが定期更新を実行する場合は常に、各イベントが FortiGate のイベン ト ログに記録されます。 FDN に接続できない場合、または組織が独自の FortiGuard サーバを使用してアンチウイル スおよび IPS 攻撃の更新を提供している場合は、次の手順を使用して FortiGuard オーバー ライド サーバの IP アドレスを追加できます。 オーバーライド サーバを追加するには 1 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 2 使用可能なオプ シ ョ ン を表示するには、 [Antivirus and IPS Options] の横にある展開の矢印 を選択 し ます。 3 [Use override server address] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 4 FortiGuard サーバの完全修飾 ド メ イ ン名または IP ア ド レ ス を入力 し ます。 5 [Apply] を選択 し ます。 FortiGate ユニットは、オーバーライド サーバへの接続をテストします。 FortiGuard Distribution Network の有効性アイコンが灰色から緑色に変化した場合は、 FortiGate ユニットがオーバーライド サーバに正常に接続しています。 FortiGuard Distribution Network の有効性アイコンが灰色のままの場合は、FortiGate ユ ニットがオーバーライド サーバに接続できません。FortiGate の設定やネットワーク設定 をチェックして、FortiGate ユニットが FortiGuard オーバーライド サーバに接続できな い設定になっていないどうかを確認してください。 プロキシ サーバを介した定期更新を有効にするには FortiGate ユニ ッ ト がプ ロキシ サーバを介 し て イ ン タ ーネ ッ ト に接続す る必要があ る場合は、 config system autoupdate tunneling の コ マ ン ド 構文を使用 し て、 FortiGate ユニ ッ ト のプ ロキシ サーバを使用 し た FDN への接続 ( または ト ンネ リ ング ) を許可する こ と がで き ま す。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 プッシュ更新の有効化 重大な状況にで き るだけすばや く 対応で き る よ う にする ために、 FDN は FortiGate ユニ ッ ト に 更新を プ ッ シ ュ で き ます。FortiGate ユニ ッ ト でプ ッ シ ュ更新を受信で き る よ う にするには、事 前にユニ ッ ト を登録す る必要があ り ます。 FortiGate ユニ ッ ト を登録す る には、 Fortinet のサ ポー ト Web サ イ ト の 「Product Registration」 に移動 し 、 指示に従います。 プ ッ シ ュ更新を許可する よ う に FortiGate ユニ ッ ト を設定する と 、 その FortiGate ユニ ッ ト か ら FDN に SETUP メ ッ セージが送信 さ れます。 次回新 し いア ン チウ イルス または IPS 攻撃定義が リ リ ース さ れた と き、 FDN では、 プ ッ シ ュ更新が設定 さ れたすべての FortiGate ユニ ッ ト に新 し い更新が入手で き る こ と を通知 し ます。プ ッ シ ュ通知を受信 し てか ら 60 秒以内に、FortiGate ユニ ッ ト は FDN に更新を要求 し ます。 ネ ッ ト ワー ク 設定によ っ て許可 さ れている場合は、 定期更新に加えて、 プ ッ シ ュ更新を設定す る こ と を お勧め し ます。 定期更新によ っ て FortiGate ユニ ッ ト が最新の更新を受信する こ と が 保証 さ れますが、 プ ッ シ ュ更新 も 設定 し た場合は通常、 FortiGate ユニ ッ ト は新 し い更新を よ り 迅速に受信で き ます。 更新を取得する ための唯一の方法 と し て プ ッ シ ュ 更新を有効にす る こ と はお勧めで き ません。 FortiGate ユニ ッ ト で プ ッ シ ュ 通知が受信 さ れない可能性があ り ます。 FortiGate ユニ ッ ト は、 プ ッ シ ュ通知を受信する場合、FDN に接続 し て更新を ダウ ン ロー ド する試みを 1 回 し か行いま せん。 210 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス プ ッ シ ュ更新の有効化 FortiGate ユニットの IP アドレスが変更される場合のプッシュ更新の有効化 プ ッ シ ュ更新を有効に し た と き に FortiGate ユニ ッ ト によ っ て送信 さ れる SETUP メ ッ セージに は、 FDN の接続先の FortiGate イ ン タ フ ェ ースの IP ア ド レ スが含まれています。 プ ッ シ ュ更新 に使用 さ れる イ ン タ フ ェ ースは、 ス タ テ ィ ッ ク ルーテ ィ ン グ テーブルのデ フ ォ ル ト ルー ト で 設定 さ れた イ ン タ フ ェ ースです。 次の場合は、 FortiGate ユニ ッ ト に よ っ て SETUP メ ッ セージが送信 さ れます。 ・ こ のイ ン タ フ ェ ースの IP ア ド レ ス を手動で変更 し た場合 ・ イ ン タ フ ェ ースのア ド レ ッ シ ン グ モー ド が DHCP または PPPoE に設定 さ れている と き に、 DHCP または PPPoE サーバによ っ て IP ア ド レ スが変更 さ れた場合 FortiGate ユニ ッ ト がプ ッ シ ュ更新 メ ッ セージ を受信で き る よ う に、 FDN は こ の IP ア ド レ スに 接続で き る必要があ り ます。FortiGate ユニ ッ ト が NAT デバイ スの背後にあ る場合は、211 ペー ジの 「NAT デバイ ス を介 し た プ ッ シ ュ更新の有効化」 を参照 し て く だ さ い。 イ ン タ ーネ ッ ト への冗長接続が設定 さ れてい る場合は、1 つのイ ン タ ーネ ッ ト 接続がダウン し 、 FortiGate ユニ ッ ト が別のイ ン タ ーネ ッ ト 接続に フ ェ ールオーバー し た と き も 、FortiGate ユニ ッ ト に よ っ て SETUP メ ッ セージが送信 さ れます。 ト ラ ン スペア レ ン ト モー ド では、 管理 IP ア ド レ ス を変更 し た場合 も、 そのア ド レ スの変更を FDN に通知する ために FortiGate ユニ ッ ト によ っ て SETUP メ ッ セージが送信 さ れます。 NAT デバイスを介したプッシュ更新の有効化 FDN が NAT デバイ ス を介 し てのみ FortiGate ユニ ッ ト に接続す る場合は、 その NAT デバ イ ス 上でポー ト フ ォ ワーデ ィ ング を設定 し 、 そのポー ト フ ォ ワーデ ィ ング情報を プ ッ シ ュ更新の 設定に追加する必要があ り ます。ポー ト フ ォ ワーデ ィ ング を使用する と 、FDN は、ポー ト 9443 またはユーザが指定 し たオーバー ラ イ ド プ ッ シ ュ ポー ト 上で UDP を使用 し て FortiGateユニ ッ ト に接続で き ます。 NAT デバイ スの外部 IP ア ド レ スが動的 (PPPoE または DHCP) である場合、 FortiGate ユニ ッ ト は、 NAT デバイ ス を介 し て プ ッ シ ュ更新を受信で き ません。 次の手順では、 NAT デバイ ス を介 し て更新を プ ッ シ ュ する よ う に FortiGate ユニ ッ ト を設定 し ます。 また、 こ の手順には、 NAT デバ イ スへのポー ト フ ォ ワーデ ィ ング仮想 IP と フ ァ イ ア ウ ォ ール ポ リ シーの追加 も含まれています。 図 4: ネットワークの例 : NAT デバイスを介したプッシュ更新 Internal network 172.16.35.144 (external interface) Virtual IP 10.20.6.135 (external interface) Internet NAT Device FDN Server 全体的な プ ロ セスは次の と お り です。 1 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト を、 最新のサポー ト ラ イ セ ン ス を備え、 プ ッ シ ュ更新を受信で き る よ う に登録 し ます。 2 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト で、 次の FortiGuard オプ シ ョ ン を設定 し ます。 ・ [Allow push updates] を有効に し ます。 ・ [Use override push IP] を有効に し て、 IP ア ド レ ス を入力 し ます。 通常、 こ れは NAT デバ イ スの外部イ ン タ フ ェ ースの IP ア ド レ スです。 ・ 必要に応 じ て、 オーバー ラ イ ド プ ッ シ ュ更新のポー ト を変更 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 211 プ ッ シ ュ更新の有効化 シス テム - メ ン テナン ス 3 NAT デバイ スにポー ト フ ォ ワーデ ィ ング仮想 IP を追加 し ます。 ・ 仮想 IP の外部 IP ア ド レ ス を、 オーバー ラ イ ド プ ッ シ ュ更新の IP と 一致す る よ う に設 定 し ます。 通常、 こ れは NAT デバイ スの外部 イ ン タ フ ェ ースの IP ア ド レ スです。 ポー ト フ ォ ワーデ ィ ング仮想 IP を含む FortiGate の NAT デバイ スに フ ァ イ アウ ォ ール ポ リ シーを追加 し ます。 注記 : FortiGate ユニ ッ ト がプ ロキシ サーバを使用 し て FDN に接続する必要がある場合、 プ ッ シ ュ更新はサポー ト さ れません。 詳細については、 210 ページの 「プ ロキシ サーバを 介 し た定期更新を有効にするには」 を参照 し て く だ さ い。 内部ネットワーク上の FortiGate ユニットで FortiGuard オプションを設定するには 1 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 2 使用可能なオプ シ ョ ン を表示するには、 [Antivirus and IPS Options] の横にある展開の矢印 を選択 し ます。 3 [Allow Push Update] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 4 [Use override push IP] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 5 NAT デバイ スの外部イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ます。 UDPポート9943は、ブロックされているか、 または使用されている場合にのみ変更されます。 6 [Apply] を選択 し ます。 外部サービ ス ポー ト の外部 IP ア ド レ スが変更 さ れた場合は、 プ ッ シ ュ オーバー ラ イ ド 設定に 変更で き ます。 更新 さ れたプ ッ シ ュ情報が FortiGate ユニ ッ ト か ら FDN に送信 さ れる よ う にす るには、 [Apply] を選択 し ます。 FortiGate ユニ ッ ト がオーバー ラ イ ド プ ッ シ ュの IP ア ド レ ス と ポー ト を FDN に送信する と 、 FDN は、 FortiGate ユニ ッ ト へのプ ッ シ ュ更新に こ の IP ア ド レ ス と ポー ト を使用 し ます。 ただ し 、NAT デバイ スがプ ッ シ ュ更新パケ ッ ト を受け付けて内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト に転送で き る よ う にその NAT デバイ スに仮想 IP が追加 さ れる ま で、 実際にはプ ッ シ ュ更新 は動作 し ません。 その NAT デバイ ス も FortiGate ユニ ッ ト である場合は、FortiGate の NAT デバイ スにポー ト フ ォ ワーデ ィ ング仮想 IP を追加するにはの手順によ っ て、 ポー ト フ ォ ワーデ ィ ングを使用 し て、 FDN か ら 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト に更新接続を プ ッ シ ュ する よ う に NAT デバ イ ス を設定で き ます。 FortiGate の NAT デバイスにポート フォワーディング仮想 IP を追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の該当する情報を入力 し ます。 [Name] こ の仮想 IP の名前を入力 し ます。 [External Interface] リ ス ト か ら 外部イ ン タ フ ェ ース を選択 し ます。 こ れは、 イ ン タ ーネ ッ ト に接続する イ ン タ フ ェ ース です。 [External IP Address/Range] IP ア ド レ ス ま たは範囲、 あ る いはその両方を入力 し ます。 こ れは、 FDN がプ ッ シ ュ 更新を送信す る先の IP ア ド レ スです。 こ れは通常、 NAT デ バ イ スの外部 イ ン タ フ ェ ースの IP ア ド レ ス です。 こ の IP ア ド レ スは、 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト の [User override push update] にあ る IP ア ド レ ス と 同 じ であ る必要があ り ます。 [Mapped IP Address/Range] 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト の IP ア ド レ ス ま たは範囲、 あ る いはその両方を入力 し ます。 [Port Forwarding] [Port Forwarding] を 選 択 し ま す。 [Port Forwarding] を 選 択 す る と 、 [Protocol]、 [External Services Port]、 お よ び [Map to Port] のオ プ シ ョ ン が表示 さ れます。 [Protocol] 212 [UDP] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [Advanced] 4 [External Service Port] 外部サービ ス ポー ト を入力 し ます。 外部サービ ス ポー ト は、 FDN の接 続先のポー ト です。 プ ッ シ ュ 更新の外部サー ビ ス ポー ト は通常、 9443 です。内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト の FortiGuard 設定で プ ッ シ ュ 更新のポー ト を変更 し た場合は、 外部サー ビ ス ポー ト を その変更 し た プ ッ シ ュ 更新のポー ト に設定する必要があ り ます。 [Map to Port] 9443 を入力 し ます。 こ れは、 NAT の FortiGate ユニ ッ ト が、 仮想 IP を 介 し て受信 し た プ ッ シ ュ 更新を送信する先のポー ト 番号です。FortiGate ユニ ッ ト は、 ポー ト 9443 上で プ ッ シ ュ 更新通知を予測 し ます。 [OK] を選択 し ます FortiGate の NAT デバイスにファイアウォール ポリシーを追加するには 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 外部か ら内部への フ ァ イ アウ ォ ール ポ リ シーを設定 し ます。 [Source Interface/Zone] イ ン タ ーネ ッ ト に接続する イ ン タ フ ェ ースの名前を選択 し ます。 [Source Address] [All] を選択 し ます。 [Destination Interface/Zone] 内部ネ ッ ト ワー ク に接続する NAT デバ イ スの イ ン タ フ ェ ースの名前を 選択 し ます。 [Source Address] NAT デバ イ スに追加 さ れた仮想 IP を選択 し ます。 [Schedule] [Always] を選択 し ます。 [Service] [ANY] を選択 し ます。 [Action] [Accept] を選択 し ます。 [NAT] [NAT] を選択 し ます。 4 [OK] を選択 し ます [System]、 [Maintenance]、 [FortiGuard] の順に選択 し 、 [Web Filtering and AntiSpam Options] で [Test Availability] を選択する こ と によ っ て、内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト へのプ ッ シ ュ 更新が動作 し てい る こ と を確認 し ます。 [Push Update] の イ ン ジケー タ が緑色に変化 し ま す。 [Advanced] [Advanced] メ ニ ュ ーを使用す る と 、 ス ク リ プ ト フ ァ イルを設定 し てア ッ プ ロー ド し た り 、USB 自動 イ ン ス ト ールの機能を設定 し た り 、 デバ ッ グ ロ グ を ダウ ン ロー ド し た り す る こ と がで き ます。 ス ク リ プ ト は、 CLI コ マ ン ド シーケ ン ス を含むテキス ト フ ァ イルです。 複雑な コ マ ン ド シー ケン ス を容易に実行する ために、 こ れ らの フ ァ イルを ア ッ プ ロー ド し て実行で き ます。 ス ク リ プ ト を使用する と 、 多数のデバイ スに同一の設定を展開で き ます。 た と えば、 すべてのデバイ スで同一の管理者プ ロ フ ァ イルを使用する場合は、その管理者プ ロ フ ァ イルを作成する ために 必要な コ マ ン ド を ス ク リ プ ト 内に入力 し た後、 そのス ク リ プ ト を、 それ らの同 じ 設定を使用す るすべてのデバイ スに展開する こ と がで き ます。 FortiManager ユニ ッ ト またはFortiGuard Analysis and Management Service な し で FortiGate ユニ ッ ト を使用 し ている場合、 ア ッ プ ロー ド し たス ク リ プ ト は実行 さ れた後、 破棄 さ れます。 ス ク リ プ ト を複数回実行する場合は、 管理 PC 上に コ ピーを保持する必要があ り ます。 FortiGate ユニ ッ ト が FortiManager ユニ ッ ト を使用する よ う に設定 さ れている場合は、 ス ク リ プ ト を FortiManager ユニ ッ ト にア ッ プ ロー ド し た後、 FortiManager ユニ ッ ト を使用する よ う に 設定 さ れている任意の FortiGate ユニ ッ ト か ら それら のス ク リ プ ト を実行で き ます。 ス ク リ プ ト を FortiGate ユニ ッ ト に直接ア ッ プ ロー ド し た場合、 そのス ク リ プ ト は実行 さ れた後、 破棄 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 213 [Advanced] シス テム - メ ン テナン ス FortiGate ユニ ッ ト が FortiGuard Analysis and Management Service を使用する よ う に設定 さ れて いる場合、 ア ッ プ ロー ド し たス ク リ プ ト は実行 さ れた後、 格納 さ れます。 ア ッ プ ロー ド さ れた ス ク リ プ ト は、 FortiGuard Analysis and Management Service ア カ ウ ン ト を使用 し て設定 さ れて いる任意の FortiGate ユニ ッ ト か ら 実行で き ます。ア ッ プ ロー ド さ れたス ク リ プ ト フ ァ イルは、 FortiGuard Analysis and Management Service のポー タ ル Web サ イ ト に表示 さ れます。 ス ク リ プ ト を実行 し た後、 ス ク リ プ ト ページ で ス ク リ プ ト 実行履歴を表示で き ます。 こ の リ ス ト には、 最後に実行 さ れた 10 個のス ク リ プ ト が表示 さ れます。 ス ク リ プ ト や USB 自動イ ン ス ト ールを設定 し た り 、 デバ ッ グ ログ を ダウン ロー ド し た り する には、 [System]、 [Maintenance]、 [Advanced] の順に選択 し ます。 [Advanced] ページ ス ク リ プ ト や USB 自動 イ ン ス ト ールを設定 し た り 、デバ ッ グ ロ グ を ダウ ン ロー ド し た り す る ためのすべ ての設定を表示 し ます。 [Scripts] セクション ス ク リ プ ト フ ァ イ ルを ア ッ プ ロー ド する ための設定を提供 し ます。 ま た、 こ のセ ク シ ョ ンか ら ス ク リ プ ト 実行履歴を表示する こ と も で き ます。 [Execute Script from] ス ク リ プ ト は、 管理 PC か ら FortiGate ユニ ッ ト に直接ア ッ プ ロー ド で き ま す。 FortiManager ユ ニ ッ ト ま た は FortiGuard Analysis and Management Service のど ち ら かを設定 し てい る場合は、 リ モー ト で格納 さ れた ス ク リ プ ト を その FortiGate ユニ ッ ト 上で実行する こ と も で き ます。 [Upload Bulk CLI Command File] [Browse] を選択 し て ス ク リ プ ト フ ァ イ ルを見つけた後、 [Apply] を選択 し [Select From remote management station] FortiManager ユニ ッ ト ま たは FortiGuard Analysis and Management Service か ら ス ク リ プ ト を実行する場合に選択 し ます。 リ モー ト で格納 さ れたすべて のス ク リ プ ト の リ ス ト か ら 、 実行する ス ク リ プ ト を選択 し ます。 [Script Execution History (past 10 scripts)] てその フ ァ イ ルを ア ッ プ ロー ド お よび実行 し ます。 FortiGate ユニ ッ ト が FortiGuard Analysis and Management Service を使用す る よ う に設定 さ れてい る場合、 ス ク リ プ ト は、 後で使用する ためにサーバ 上に保存 さ れます。 最近実行 さ れた 10 個のス ク リ プ ト の リ ス ト 。 [Name] こ のス ク リ プ ト フ ァ イ ルの名前。 [Type] こ のス ク リ プ ト フ ァ イ ルの発信元。 ロー カル フ ァ イルは、 管理 PC か ら FortiGate ユニ ッ ト に直接ア ッ プ ロ ー ド さ れ、実行 さ れます。リ モー ト フ ァ イ ルは、 FortiManager ユニ ッ ト ま たは FortiGuard Analysis and Management Service か ら 送信 さ れた後、 FortiGate ユニ ッ ト 上で実行 さ れます。 [Time] こ のス ク リ プ ト フ ァ イ ルが実行 さ れた日付 と 時刻。 [Status] 実行が成功 し たか失敗 し たか を示す、 こ のス ク リ プ ト フ ァ イ ルのス テー タ ス。 [Delete] こ のス ク リ プ ト エ ン ト リ を リ ス ト か ら削除 し ます。 [USB Auto-Install section] シ ス テムの再起動時に常に、 特定の フ ァ ームウ ェ ア イ メ ージお よび設定 フ ァ イ ルを ア ッ プ ロー ド する た めの設定を提供 し ます。 こ の機能が動作す る には、 FortiGate ユニ ッ ト 上の USB ポー ト に USB キーが挿 入 さ れてい る必要があ り ます。 [On system restart ...] シ ス テムの再起動時に特定の フ ァ ームウ ェ ア イ メ ージ を ア ッ プ ロ ー ド す る場合に選択 し ま す。 フ ィ ール ド に フ ァ ームウ ェ ア イ メ ージの名前 を入 力 し ます。 シ ス テムが再起動する と 、FortiGate ユニ ッ ト は、USB キー上でその フ ァ ー ムウ ェ ア イ メ ージ名を探 し ます。 [On system restart ...] シ ス テ ムの再起動時に特定の設定 フ ァ イ ル を ア ッ プ ロ ー ド す る 場合に選 択 し ます。 フ ィ ール ド に設定 フ ァ イ ルの名前を入力 し ます。 シ ス テムが再起動する と 、 FortiGate ユニ ッ ト は、 USB キー上でその設定 フ ァ イル名を探 し ます。 [Download Debug Log] セクション 診断のためのデバ ッ グ ロ グのルールを提供 し ます。 こ のデバ ッ グ ロ グ を フ ォ ーテ ィ ネ ッ ト テ ク ニ カ ル サポー ト に送信 し て、 FortiGate ユニ ッ ト に関する問題の診断に役立て る こ と がで き ます。 [Download Debug Log] 214 暗号化 さ れたデバ ッ グ ロ グ フ ァ イ ルを ロ ー カ ル PC にダウ ン ロー ド する 場合に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス VDOM ラ イ セ ン スの追加 スクリプト ファイルの作成 ス ク リ プ ト フ ァ イルは、 CLI コ マ ン ド シーケ ン ス を含むテキス ト フ ァ イルです。 ス ク リ プ ト フ ァ イルが FortiGate ユニ ッ ト にア ッ プ ロー ド さ れる と 、 こ れ ら の コ マ ン ド は順番に実行 さ れ ます。 スクリプト ファイルを作成するには 1 テキス ト エデ ィ タ ア プ リ ケーシ ョ ン を開き ますス ク リ プ ト フ ァ イルは、 Windows 上 の メ モ帳、 Linux 上の GEdit、 Mac 上の Textedit、 またはプ レ ーン テキス ト を保存する 任意のエデ ィ タ で作成で き ます。 2 実行する CLI コ マ ン ド を入力 し ます。 これらのコマンドは、1 行に 1 コマンドずつ、順番に入力する必要があります。 3 こ の フ ァ イ ルを メ ン テナン ス PC に保存 し ます。 ヒント : 暗号化されていない設定ファイルでは、スクリプト ファイルと同じ構造および 構文が使用されています。設定ファイルを保存し、必要な部分を新しいファイルにコピー して、必要な任意の編集を行うことができます。この方法により、スクリプト ファイルを よりすばやく生成できます。 スクリプト ファイルのアップロード 注意 : コ マ ン ド ラ イ ンに入力 し た と き に FortiGate ユニ ッ ト の再起動が必要な コ マ ン ド は、 ス ク リ プ ト に含めた場合に も再起動を強制 し ます。 ス ク リ プ ト フ ァ イルを作成 し た後、 [System]、 [Maintenance]、 [Advanced] の順に選択 し て表示 さ れる画面でその フ ァ イルを ア ッ プ ロー ド で き ます。 ア ッ プ ロー ド さ れたそのス ク リ プ ト は、 自動的に実行 さ れます。 スクリプトを実行するには 1 [System]、 [Maintenance]、 [Advanced] の順に選択 し ます。 2 [Upload Bulk CLI Command File] が選択 さ れている こ と を確認 し ます。 3 [Browse] を選択 し てス ク リ プ ト フ ァ イルを見つけます。 4 [Apply] を選択 し ます。 FortiGate ユニ ッ ト が リ モー ト 管理用に設定 さ れていない場合、 または FortiManager ユニ ッ ト を使用する よ う に設定 さ れてい る場合、ア ッ プ ロー ド さ れたス ク リ プ ト は実行後に破棄 さ れま す。 こ れ ら のス ク リ プ ト フ ァ イルを後で再び実行する場合は、 管理 PC に保存 し ます。 FortiGate ユニ ッ ト が FortiGuard Analysis and Management Service を使用する よ う に設定 さ れて い る場合、 ス ク リ プ ト フ ァ イルは、 後で再利用す る ために リ モー ト サーバに保存 さ れます。 こ のス ク リ プ ト は、 FortiGuard Analysis and Management Service のポー タ ル Web サイ ト から 表 示 し た り 、 実行 し た り で き ます。 ア ッ プ ロー ド さ れたス ク リ プ ト のポー タ ル Web サイ ト での 表示ま たは実行の詳細については、 『FortiGuard Analysis and Management Service ユーザ ガ イ ド 』 を参照 し て く だ さ い。 VDOM ライセンスの追加 ハイ エ ン ド の FortiGate ユニ ッ ト の場合は、フ ォ ーテ ィ ネ ッ ト か ら ラ イ セ ン ス キーを購入 し て、 VDOM の最大数を 25、 50、 100、 または 250 に増やす こ と がで き ます。 FortiGate ユニ ッ ト で は、 デ フ ォ ル ト で最大 10 個の VDOM がサポー ト さ れています。 ラ イ セ ン ス キー と は、 フ ォ ーテ ィ ネ ッ ト が提供する 32 文字の文字列です。 フ ォ ーテ ィ ネ ッ ト は、 ラ イ セ ン ス キーを生成するために FortiGate ユニ ッ ト のシ リ アル番号が必要にな り ます。 こ の ラ イ セ ン ス キーは、 [System]、 [Maintenance]、 [License] の順に選択 し て表示 さ れる画面 の [Input License Key] フ ィ ール ド で入力 さ れます。 こ の フ ィ ール ド は、 ハ イ エ ン ド の FortiGate モデルでのみ表示 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 215 [Disk] シス テム - メ ン テナン ス [License] ページ FortiGate ユニ ッ ト 上で許可 さ れてい るバーチ ャ ル ド メ イ ンの現在の最大数や、バーチ ャ ル ド メ イ ン を増やすために ラ イ セ ン ス キー を入力する フ ィ ール ド を表示 し ます。 [Current License] バーチ ャ ル ド メ イ ンの現在の最大数。 [Input License Key] フ ォ ーテ ィ ネ ッ ト が提供す る ラ イ セ ン ス キー を 入力 し 、 [Apply] を 選択 し ます。 注記 : 登録 さ れた FortiGate ユニ ッ ト 上で作成 さ れた VDOM は、 接続 さ れているすべての FortiAnalyzer ユニ ッ ト によ っ て実際のデバイ ス と し て認識 さ れます。 FortiAnalyzer ユニ ッ ト には、 登録済みデバイ スの総数の VDOM が含まれています。 た と えば、 3 つの FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト に登録 さ れ、 合計で 4 つの VDOM を含んでいる場合、 FortiAnalyzer ユニ ッ ト 上に登録 さ れている FortiGate ユニ ッ ト の総数は 7 です。 詳細につい ては、 『FortiAnalyzer 管理ガ イ ド 』 を参照 し て く だ さ い。 [Disk] [System]、 [Maintenance]、 [Disk] の順に選択 し て表示 さ れる画面か ら 、 FortiGate ユニ ッ ト 上の 使用可能な各ロー カル デ ィ ス ク のス テー タ ス を表示で き ます。 [Disk] メ ニ ュ ーを使用する と 、 現在残 さ れている ス ト レージ領域の容量のほか、 格納 さ れてい るデー タ の内容や、 そのデー タ が占有 し ている ス ト レージ領域の容量な ど を表示で き ます。 こ の メ ニ ュ ーでは、 次の機能ご と のス ト レージ領域に関する詳細情報が提供 さ れます。 ・ デ ィ ス ク ロギング ・ SQL デー タ ベース ・ 履歴レポー ト ・ IPS パケ ッ ト のアー カ イ ブ ・ 隔離 ・ WAN 最適化および Web キ ャ ッ シ ュ [Disk] メ ニ ュ ーではまた、上の機能ご と の ク ォ ー タ 使用率に関する情報 も提供 さ れます。[Disk] メ ニ ュ ーは、 複数のデ ィ ス ク を備えた FortiGate モデルでのみ表示 さ れます。 [Disk] ページ 各デ ィ ス ク のス テー タ スに関する詳細情報 と 、 各デ ィ ス ク がデ ィ ス ク への情報の格納を どのよ う に管理 し てい るか を表示 し ます。 こ のページの [Disk Management] セ ク シ ョ ン では、 機能ご と の情報の格納を 表示で き ます。 [Disk Status] セクション こ のデ ィ ス ク 上のス ト レ ージ領域を説明 し てい る円グ ラ フ を表示 し ます。 その FortiGate ユニ ッ ト に現 在搭載 さ れてい るデ ィ ス ク ご と に円グ ラ フ があ り ます。 # リ ス ト 内の こ のデ ィ ス ク の順序。 [Name] こ のデ ィ ス ク の名前 (internal な ど )。 [Total] こ のデ ィ ス ク 上の使用可能なデ ィ ス ク 領域の合計容量。 [Used] こ のデ ィ ス ク 上ですでに使用 さ れてい る領域の合計容量。 [Free] 格納する ために使用で き る領域の合計容量。こ のデ ィ ス ク を フ ォ ーマ ッ ト す る には、 [Format] を選択で き ます。 た だ し 、 デ ィ ス ク を フ ォ ーマ ッ ト する と 、 こ のデ ィ ス ク のすべてのデー タ が削除 さ れます。 [Disk Management] セクション 使用 さ れてい るデ ィ ス ク 領域の容量、 使用可能な空き領域、 お よび ク ォ ー タ 使用率に関す る詳細情報を 提供 し ます。 216 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク シス テム - メ ン テナン ス [Disk] [Feature] こ のデ ィ ス ク 上に情報を格納す る機能。 使用可能な機能を次に示 し ます。 ・ デ ィ ス ク ロギ ン グ ・ DLP アー カ イ ブ ・ 履歴レ ポー ト ・ IPS パケ ッ ト のアー カ イ ブ ・ 隔離 ・ SQL デー タ ベース ・ WAN 最適化お よび Web キ ャ ッ シ ュ [Storage Size] こ のデ ィ ス ク 上のス ト レ ージ領域のサ イ ズ。 [Allocated] 機能を格納する ために許可 さ れている領域の容量。 [Used] 機能の情報を格納する ために使用 さ れてい る領域の現在の容量。 [Quota Usage] 現在使用 さ れ て い る ク ォ ー タ の容量。 こ の数値はパー セ ン テ ー ジ で 表 さ れ ま す。 ク ォ ー タ がま っ た く 使用 さ れていない場合、 こ の数値は 100% です。 [Edit] 使用 さ れてい る領域の現在の容量を変更する場合に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 217 [Disk] 218 シス テム - メ ン テナン ス FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク AMC モジ ュ ールの設定 AMC モジ ュ ールの設定 AMC モジュールの設定 こ の項では、 FortiGate ユニ ッ ト 上で AMC モ ジ ュ ールを設定する方法について説明 し ます。 こ れには、 AMC ブ リ ッ ジ モ ジ ュ ールの自動バイパス と 回復が含まれます。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ AMC モ ジ ュ ールの設定 ・ AMC ブ リ ッ ジ モ ジ ュ ールの自動バイパス と 回復 ・ AMC ブ リ ッ ジ モ ジ ュ ールのバイパス モー ド の有効化または無効化 注記 : AMC ス ロ ッ ト を備えたほ と んどの FortiGate モデルには、 シ ングル幅またはデ ュ ア ル幅の AMC ス ロ ッ ト が 1 つあ り ます。 FortiGate-3810A には、 シ ングル幅の AMC ス ロ ッ ト が 2 つ、 デ ュ アル幅の AMC ス ロ ッ ト が 2 つあ り ます。 AMC モジュールの設定 デ フ ォル ト では、 FortiGate ユニ ッ ト は AMC ス ロ ッ ト に装着 さ れている AMC モ ジ ュ ールを自 動的に認識するか、または AMC ス ロ ッ ト が空である こ と を自動的に認識 し ます。そのモ ジ ュ ー ルに イ ン タ フ ェ ースがある場合は、 FortiOS に よ っ て、 それ らのイ ン タ フ ェ ースが FortiGate の 設定に自動的に追加 さ れます。 そのモ ジ ュ ールにハー ド デ ィ ス ク が含まれてい る場合は、 そ のハー ド デ ィ ス ク が設定に自動的に追加 さ れます。 ただ し 、 FortiGate ユニ ッ ト の電源が切断 さ れた後にス ロ ッ ト か ら モ ジ ュ ールが取 り 外 さ れた場合、 FortiGate ユニ ッ ト は再起動時にそ のス ロ ッ ト が空である こ と を自動的に認識するため、失われたモ ジ ュ ールの設定は保持 さ れま せん。 こ のデ フ ォ ル ト の動作は、 ほ と んどの場合は許容可能です。 ただ し 、 ス ロ ッ ト 内にモ ジ ュ ール が存在する と き に、 そのモ ジ ュ ールの名前を FortiGate の設定に追加する と 有効な場合があ り ます。 それによ り 、 そのモ ジ ュ ールに障害が発生 し た場合や、 ス ロ ッ ト か ら 一時的に取 り 外 さ れた場合で も、 FortiGate ユニ ッ ト にモ ジ ュ ールの設定が保持 さ れる ため、 そのモ ジ ュ ールを 交換 し た と き に再設定は必要な く な り ます。 ス ロ ッ ト にモ ジ ュ ールの名前をすでに追加 し ている と き に、そのモ ジ ュ ールを取 り 外 し て別の 種類のモ ジ ュ ールに交換する ( た と えば、 FortiGate-ASM-S08 を取 り 外 し 、 それを FortiGateASM-FX2 に交換する ) こ と を計画または実行 し ている場合は、 モ ジ ュ ールを取 り 外す前にス ロ ッ ト をデ フ ォ ル ト 設定に リ セ ッ ト する必要があ り ます。 次に、 新 し いモ ジ ュ ールを追加 し た 後、 その名前を ス ロ ッ ト に追加する必要があ り ます。 AMC ス ロ ッ ト の設定は、FortiGate の CLI か ら config system amc コ マ ン ド を使用 し て設定 し ます。 こ の コ マ ン ド については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 次の手順は、FortiGate-ADM-FB8 を最初のダ ブル幅の AMC ス ロ ッ ト (dw1) に追加する方法、お よびモ ジ ュ ールの名前を ス ロ ッ ト の設定に追加する方法を示 し ています。 AMC スロットのデフォルト設定を変更するには 1 FortiGate- ADM-FB8 モ ジ ュ ールを挿入する ス ロ ッ ト がデ フ ォ ル ト 設定に設定 さ れてい る こ と を確認する には、 次の CLI コ マ ン ド を入力 し ます。 このコマンドは、AMC スロットと、各 AMC スロットの設定の一覧を表示します。ダブル幅 の AMC スロットが空である FortiGate-5001A に対するコマンド出力の例を次に示します。 get system amc dw1 : auto 2 3 FortiGate ユニ ッ ト の電源を切 り ます。 FortiGate- ADM-FB8 モ ジ ュ ールを ダ ブル幅の AMC ス ロ ッ ト に挿入 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 219 AMC ブ リ ッ ジ モジ ュ ールの自動バイパス と 回復 4 5 AMC モジ ュ ールの設定 FortiGate ユニ ッ ト の電源を入れます。 FortiGate- ADM-FB8 モジ ュール を挿 入した スロ ットが auto に設定 され ている 限り、 FortiGate ユニットは、電源投入時にそのモジュールを自動的に検出します。 FortiGate- ADM-FB8 モ ジ ュ ールの名前を FortiGate の設定に追加 し ます。 config system amc set dw1 adm-fb8 end AMC ブリッジ モジュールの自動バイパスと回復 FortiGate-ASM-CX4 お よび FortiGate-ASM-FX2 モ ジ ュ ールは、 ト ラ ン スペア レ ン ト モー ド で 動作 し ている、 シ ングル幅の AMC ス ロ ッ ト を備えた FortiGate ユニ ッ ト のイ ン タ フ ェ ース ペ アに対する フ ェ ールオープ ン保護を提供 し ます。 FortiGate- ASM-CX4 または FortiGate-ASMFX2 モ ジ ュ ールは、 FortiGate イ ン タ フ ェ ース を ブ リ ッ ジ し 、 イ ン タ フ ェ ースに ト ラ フ ィ ッ ク 障 害がないかど う かを監視 し ます。 さ ら に、 イ ン タ フ ェ ース または FortiGate ユニ ッ ト 全体に障 害が発生するか、または何 らかの理由で イ ン タ フ ェ ース間で ト ラ フ ィ ッ ク を転送で き ない場合 はパススルー デバイ ス と し て動作 し ます。 障害が発生 し た場合は、 ト ラ フ ィ ッ クが FortiGate ユニ ッ ト をバイパス し て FortiGate-ASM-CX4 または FortiGate-ASM-FX2 モ ジ ュ ールを通過す る こ と で、 FortiGate の障害の後 も ネ ッ ト ワー ク が引き続き ト ラ フ ィ ッ ク を処理で き る よ う に な り ます。 こ の項では、 FortiGate-ASM-CX4 または FortiGate- ASM- FX2 モ ジ ュ ールを使用 し て FortiGate イ ン タ フ ェ ース を ブ リ ッ ジする よ う に FortiGate ユニ ッ ト を設定する方法について説明 し ます。 FortiGate ユニ ッ ト は、ト ラ ン スペア レ ン ト モー ド で動作する必要があ り ます。また、FortiGateASM-CX4 お よび FortiGate-ASM-FX2 モ ジ ュ ールは FortiGate HA と 互換性があ り ません。 FortiGate-ASM-CX4 および FortiGate-ASM-FX2 モ ジ ュ ールには、 ブ リ ッ ジ さ れた FortiGate イ ン タ フ ェ ース を通 し て ト ラ フ ィ ッ ク が流れてい る こ と を継続的に確認す るバ イパス ウ ォ ッ チ ド ッ グが含まれています。 ト ラ フ ィ ッ クの流れが停止 し た場合 ( た と えば、 FortiGate ユニ ッ ト に障害が発生 し た場合 ) や、 バイパス ウ ォ ッ チ ド ッ グによ っ て こ の状態が検出 さ れた場合は、 ネ ッ ト ワ ー ク 上の ト ラ フ ィ ッ ク フ ロ ー を 保証す る た めに ブ リ ッ ジ モ ジ ュ ールはバ イ パ ス モー ド に切 り 替え ます。 バイパス モー ド では、すべての ト ラ フ ィ ッ クが FortiGate-ASM-CX4 および FortiGate-ASM-FX2 モ ジ ュ ール上の イ ン タ フ ェ ース間を流れ、 FortiGate ユニ ッ ト を通過 し ません。 ブ リ ッ ジ さ れ た FortiGate イ ン タ フ ェ ースが ト ラ フ ィ ッ ク を処理で き ない こ と を確認する よ う に回復ウ ォ ッ チ ド ッ グ を設定で き ます。 問題を修正す るか、 ま たは問題が自然に修正 さ れた場合は、 回復 ウ ォ ッ チ ド ッ グが ト ラ フ ィ ッ ク の再開が可能な こ と を自動的に検出 し 、 バ イパス モー ド を無 効にする こ と によ っ て モ ジ ュ ールを元の通常の動作に戻 し ます。 FortiGate ユニットを FortiGate-ASM-CX4 または FortiGate-ASM-FX2 モジュールとともに動 作するように設定するには 1 FortiGate ユニ ッ ト を ト ラ ン スペア レ ン ト モー ド で動作する よ う に切 り 替え ます。 config system settings set opmode transparent set manageip <management_IPv4> <netmask_ipv4> set gateway <gateway_ipv4> end 2 短時間の一時停止の後、FortiGate ユニットはトランスペアレント モードで動作します。 FortiGate- ASM-CX4 または FortiGate-ASM-FX2 モ ジ ュ ールを挿入する ス ロ ッ ト が auto に 設定 さ れている こ と を確認する には、 次の コ マ ン ド を入力 し ます。 このコマンドは、AMC スロットと、各 AMC スロットの設定の一覧を表示します。AMC スロッ トが空である FortiGate-620B に対するコマンド出力の例を次に示します。 get system amc sw1 : auto 220 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク AMC モジ ュ ールの設定 AMC ブ リ ッ ジ モジ ュ ールのバイパス モー ド の有効化または無効化 3 FortiGate ユニ ッ ト の電源を切 り ます。 4 FortiGate-ASM-CX4 または FortiGate-ASM-FX2 モ ジ ュ ールを シ ングル幅の AMC ス ロ ッ ト に挿入 し ます。 5 FortiGate ユニ ッ ト の電源を入れます。 モジュールを挿入したスロットが auto に設定されている限り、FortiGate ユニットは、電 源投入時にそのモジュールを自動的に検出します。 6 そのモ ジ ュ ールの名前を FortiGate の設定に追加 し 、 バ イパス と 回復の設定を設定 し ます。 次のコマンドでは、FortiGate-ASM-CX4のシングル幅のAMCスロット1 (sw1) を設定します。 このコマンドではまた、バイパス ウォッチドッグを有効にし、バイパス タイムアウトを デフォルト値の 10 秒から 60 秒に増やします。つまり、障害が発生した場合、ブリッジ モ ジュールは、バイパス ウォッチドッグが障害を検出してから 60 秒後にバイパス モードに 変更します。 このコマンドではまた、ウォッチドッグ回復を有効にし、ウォッチドッグ回復の期間を 30 秒に設定します。つまり、障害が発生した場合、FortiGate-ASM-CX4 モジュールによって 接続が AMC にブリッジされている間、バイパス ウォッチドッグは FortiGate プロセスを監 視し、FortiGate ユニットが障害から回復した場合は通常の動作モードに戻します ( つま り、FortiGate-ASM-CX4 モジュールによるインタフェースのブリッジを無効にします )。 config system amc set sw1 asm-cx4 set bypass-watchdog enable set bypass-timeout 60 set watchdog-recovery enable set watchdog-recovery-period 30 end AMC ブリッジ モジュールのバイパス モードの有効化または無効化 FortiGate ユニ ッ ト 内のシ ングル幅の AMC ス ロ ッ ト に装着 さ れてい る FortiGate-ASM-CX4 また は FortiGate-ASM-FX2 モ ジ ュ ー ルの通常 モ ー ド と バ イ パ ス モ ー ド と を 切 り 替 え る に は、 execute amc bypass コ マ ン ド を使用 し ます。 通常、 FortiGate-ASM-CX4 および FortiGateASM-FX2 モ ジ ュ ールはバ イ パス モ ー ド が無効な状態で動作 し 、 ト ラ フ ィ ッ ク は FortiGateASM-CX4 ま たは FortiGate-ASM-FX2 モ ジ ュ ールに よ っ て ブ リ ッ ジ さ れた FortiGate イ ン タ フ ェ ース を通過 し ます。 こ の コ マ ン ド を手動で使用す る と 、 バ イパス モー ド を有効に し 、 強 制的に ト ラ フ ィ ッ ク に FortiGate イ ン タ フ ェ ース をバイパス し て FortiGate-ASM-CX4 または FortiGate-ASM-FX2 モ ジ ュ ールを通過 さ せる よ う にす る こ と がで き ます。 また、 バイパス モー ド が ( こ の コ マ ン ド を使用 し て、 または障害のために ) 有効にな っ ている 場合は、 こ の コ マ ン ド を使用 し て手動でバ イパス モー ド を無効に し 、 通常の動作を再開す る こ と も で き ます。 こ の操作は、 障害の原因にな っ た問題が修正 さ れ、 通常の動作を再開で き る よ う にな っ た場合に有効です。 バイパス モードを手動で有効にするには 1 バイパス モー ド を手動で有効にする には、 次の コ マ ン ド を使用 し ます。 execute amc bypass enable 2 FortiGate ユニ ッ ト に装着 さ れてい る AMC モ ジ ュ ールのス テー タ ス ( バイパス モー ド で動 作 し ているかど う かを含む ) を表示するには、 次の診断 コ マ ン ド を使用 し ます。 たとえば、FortiGate-ASM-CX4 モジュールを FortiGate-3810A の AMC スロット 2 に装着し ていて、バイパス モードが有効になっている場合は、次のコマンドを入力します。 diagnose sys amc bypass status ASM-CX4 in slot 2: amc-sw2/1 <--> amc-sw2/2: mode=bypass (admin action) amc-sw2/3 <--> amc-sw2/4: mode=bypass (admin action) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 221 AMC ブ リ ッ ジ モジ ュ ールのバイパス モー ド の有効化または無効化 AMC モジ ュ ールの設定 Daemon heartbeat status: normal Last heartbeat received: 0 second(s) ago 3 Web ベース マネージ ャ にログ イ ン し て、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [Unit Operation] ウ ィ ジ ェ ッ ト を表示 し て AMC ブ リ ッ ジ モ ジ ュ ールのステー タ ス を表示 し ます。 バイパス モードを手動で無効にするには 1 バイパス モー ド を手動で無効にする には、 次の コ マ ン ド を使用 し ます。 execute amc bypass disable 2 FortiGate ユニ ッ ト に装着 さ れてい る AMC モ ジ ュ ールのス テー タ ス ( バイパス モー ド で動 作 し ているかど う かを含む ) を表示するには、 次の診断 コ マ ン ド を使用 し ます。 たとえば、FortiGate-ASM-CX4 モジュールを FortiGate-3810A の AMC スロット 2 に装着し ていて、バイパス モードが無効になっている場合は、次のコマンドを入力します。 diagnose sys amc bypass status ASM-CX4 in slot 2: amc-sw2/1 <--> amc-sw2/2: mode=normal amc-sw2/3 <--> amc-sw2/4: mode=normal Daemon heartbeat status: normal Last heartbeat received: 1 second(s) ago 3 Web ベース マネージ ャ にログ イ ン し て、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [Unit Operation] ウ ィ ジ ェ ッ ト を表示 し て AMC ブ リ ッ ジ モ ジ ュ ールのステー タ ス を表示 し ます。 222 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク RAID の設定 RAID ア レ イの設定 RAID の設定 こ の項では、複数のデ ィ ス クがサポー ト さ れている FortiGate ユニ ッ ト 上で RAID を設定する方 法について説明 し ます。 RAID ア レ イは、 選択 さ れてい る RAID レベルに応 じ て、 よ り 高速な デ ィ ス ク ア ク セ ス、 または部分的な障害が発生 し た場合の冗長性、 あ るいはその両方を提供 で き ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ RAID ア レ イの設定 ・ RAID レ ベル ・ RAID ア レ イの再構築 RAID アレイの設定 注意 : RAID ア レ イの同期中にデ ィ ス ク を取 り 外 さ ないで く だ さ い。 格納 さ れている情報 が失われる可能性があ り ます。 また、 これによ っ てア レ イのデグレー ド も発生 し 、 再構築 が必要にな り ます。 デグレー ド し た状態にある RAID ア レ イ では、 冗長性が提供 さ れません。 RAID がデグ レー ド し た状態にある間に何 らかのデ ィ ス ク障害が発生する と 、 デー タ が消失 し ます。 一部の FortiGate モデルでは、 ログ メ ッ セージ を FortiGate ユニ ッ ト 上にロー カルに格納する ために、 RAID ア レ イ内に 2 台以上のデ ィ ス ク ド ラ イ ブが設定 さ れます。 RAID ア レ イは、 選択 さ れている RAID レ ベルに応 じ て、 よ り 高速なデ ィ ス ク ア ク セス、 または部分的な障害が発生 し た場合の冗長性、 あるいはその両方を提供で き ます。 RAID レベルの切 り 替え中に、 "RAID status is OK and RAID is doing background synchronization" (RAID ス テー タ スは正常であ り 、RAID はバ ッ ク グ ラ ウン ド 同期を実行 し ています ) と い う メ ッ セージが表示 さ れる こ と があ り ます。 ア レ イ内のデ ィ ス ク の同期には、 かな り の時間がかか り ます。 ア レ イの規模が大き いほど、 またデ ィ ス ク のス ト レージ容量が大き いほど長い時間がか か り ます。 RAID ディスクの設定 RAID ア レ イ を設定す るには、 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [RAID Monitor] ウ ィ ジ ェ ッ ト で [Configure] を選択 し ます。 [RAID level] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク RAID のレ ベルを選択 し ます。 オ プ シ ョ ン には次の ものがあ り ます。 [RAID-0] ― ( ス ト ラ イ ピ ン グ ) よ り 高いパ フ ォ ーマ ン ス、 冗長性はな し [RAID-1] ― ( ミ ラ ー リ ン グ ) ス ト レ ージ容量は半分にな るが、 完全な冗長性 [RAID-5] ― パ リ テ ィ チ ェ ッ ク 付き ス ト ラ イ ピ ン グ、 お よび冗長性 使用可能な RAID レ ベル オ プ シ ョ ンは、使用可能なハー ド デ ィ ス ク の数に よ っ て 異な り ます。 RAID 0 ま たは RAID 1 には、 2 台以上のデ ィ ス ク が必要です。 RAID レ ベルの変更は、 [Apply] が選択 さ れた と き に有効にな り ます。 RAID レ ベルを変更す る と 、 ア レ イ に格納 さ れてい る ロ グ情報がすべて消去 さ れ、 FortiGate ユニ ッ ト が再起動 さ れます。 ユニ ッ ト は、 RAID ア レ イ を再設定 し てい る間オ フ ラ イ ンのま まにな り ます。再起動 さ れた後、完全な動作状態にする には、 ア レ イ を同期す る必要があ り ます。 RAID レ ベルの詳細については、224 ページの 「RAID レ ベル」 を参照 し て く だ さ い。 223 RAID レベル RAID の設定 [Status] RAID ア レ イ のス テー タ ス ま たは稼働状態。 こ のス テー タ スは、 次のいずれかに な り ます。 [OK] ― 標準のス テー タ ス であ り 、 すべてが正常です。 [OK (Background-Synchronizing) (%)] ― RAID レ ベルを変更 し た後、 デ ィ ス ク を同期 し ています。 同期の進行状況バーに進行状況が表示 さ れます。 [Degraded] ― ア レ イ内の 1 台以上のデ ィ ス ク が故障 し てい るか、削除 さ れたか、 または正常に機能 し ていません。 こ の状態では冗長性がない こ と についての警告 が表示 さ れます。 また、 デグ レ ー ド し た ア レ イ は正常な ア レ イ よ り 低速で も あ り ます。 ア レ イ を修正する には、 [Rebuild RAID] を選択 し ます。 [Degraded (Background-Rebuilding) (%)] ― [Degraded] と 同 じ ですが、RAID ア レ イがバ ッ ク グ ラ ウ ン ド で再構築 さ れています。 再構築が完了する ま で、 ア レ イは引き続き脆弱な状態にあ り ます。 [Size] ギガバ イ ト (GB) 単位の RAID ア レ イ のサ イ ズ。 ア レ イ のサ イ ズは、 選択 さ れた RAID レ ベル と 、 ア レ イ 内のデ ィ ス ク の数に よ っ て異な り ます。 [Rebuild RAID] ア レ イ に新 し いデ ィ ス ク が追加 さ れた後、 ま たは故障 し たデ ィ ス ク が交換 さ れた 後にア レ イ を再構築する場合に選択 し ます。 デ ィ ス ク が少なすぎ る状態で RAID ア レ イ を再構築 し よ う と する と 、再構築エ ラ ー が表示 さ れます。 機能 し てい るデ ィ ス ク を挿入 し た後、 再構築が開始 さ れます。 こ のボ タ ンは、 RAID ア レ イ がデグ レ ー ド し た状態にあ り 、 かつ再構築す る ため の十分なデ ィ ス クが存在す る場合にのみ使用で き ます。 再構築がすでに進行中の と き に、 再構築を再起動する こ と はで き ません。 注記 : デ ィ ス ク が故障する と 、 機能 し てい るデ ィ ス ク の数が、 RAID レ ベルの動作 に と っ て十分で な く な る可能性があ り ます。 こ の場合は、 RAID ア レ イ を 再構築 する ために、 故障 し たデ ィ ス ク を機能 し ている デ ィ ス ク に交換 し て く だ さ い。 [Disk#] こ のデ ィ ス ク のア レ イ内の位置。 こ れは、 そのデ ィ ス ク の物理ス ロ ッ ト に対応 し ます。 デ ィ ス ク が FortiGate ユニ ッ ト か ら 取 り 外 さ れた場合、 その ド ラ イ ブ ベ イ に新 し いデ ィ ス ク が挿入 さ れ る ま で、 そのデ ィ ス ク は ア レ イ の メ ン バでは な い と し て マー ク さ れますが、 その位置は保持 さ れます。 [Status] こ のデ ィ ス ク のス テー タ ス。 オ プ シ ョ ン には、 [OK] と [unavailable] があ り ます。 デ ィ ス ク は、 削除 さ れるか、 または故障す る と [unavailable] にな り ます。 [Member] 選択 さ れたデ ィ ス ク が RAID ア レ イ に含まれているかど う かを表示 し ます。 チ ェ ッ ク マー ク の付いた緑色のア イ コ ンは、 こ のデ ィ ス ク がア レ イ に含まれてい る こ と を示 し ます。 ラ印の付いた灰色のア イ コ ンは、 こ のデ ィ ス ク が RAID ア レ イ に含まれていない こ と を示 し ます。 デ ィ ス ク は、 RAID ア レ イ 内の メ ンバで ない場合で も、 ダ ッ シ ュ ボー ド の表示に は正常 と し て表示 さ れる可能性があ り ます。 デ ィ ス ク は、 使用可能であ っ て も、 RAID ア レ イ で使用 さ れていない可能性があ り ます。 た と えば、 RAID 1 ア レ イ 内に 3 台のデ ィ ス ク が存在す る場合は、 2 台の みが使用 さ れます。 [Capacity] こ の ド ラ イ ブが RAID ア レ イ に提供 し てい る ス ト レ ージ容量。 こ のデ ィ ス ク の完全な ス ト レ ージ容量が、自動的に RAID ア レ イ に使用 さ れます。 RAID ア レ イの合計ス ト レ ージ容量は、デ ィ ス ク の容量 と 数、お よびア レ イの RAID レ ベルに よ っ て異な り ます。 RAID レベル RAID レベルを変更する場合、 使用可能な レ ベルは、 そのユニ ッ ト 内に実際に存在する、 機能 し てい るデ ィ ス クの数によ っ て異な り ます。 た と えば、 デ ィ ス ク が 3 台未満のユニ ッ ト 上では RAID 5 は使用で き ません。 デ ィ ス クが故障するか、 破損するか、 または取 り 外 さ れた場合は、 RAID ア レ イ を再構築する必要があ り ます。 詳細については、 225 ページの 「RAID ア レ イの再 構築」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト に 1 台のデ ィ ス ク し か搭載 さ れていない場合、1 台のデ ィ ス ク だけでは RAID ア レ イ を設定で き ないため、 [RAID Monitor] ウ ィ ジ ェ ッ ト は表示 さ れません。 使用可能な RAID レ ベルには次の も のがあ り ます。 224 ・ RAID 0 ・ RAID 1 ・ RAID 5 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク RAID の設定 RAID ア レ イの再構築 RAID 0 RAID 0 ア レ イは、ス ト ラ イ ピ ング と も呼ばれます。FortiGate ユニ ッ ト は、すべてのハー ド デ ィ ス ク にわた っ て均等に情報を書き込みます。 使用可能な合計の領域は、 RAID ア レ イ内のすべ てのデ ィ ス ク の領域です。 冗長性は使用で き ません。 いずれか 1 台の ド ラ イ ブに障害が発生 し た場合、 その ド ラ イ ブ上のデー タ は回復で き ません。 こ の RAID レベルでは、 FortiGate ユニ ッ ト がデ ィ ス ク 書き込みを複数のデ ィ ス ク に分散で き るので、処理速度が向上する メ リ ッ ト があ り ます。 た と えば、 FortiGate ユニ ッ ト にそれぞれが 1 TB の容量を持つ 3 台のデ ィ ス ク が搭載 さ れてい る場合、 RAID 0 ア レ イの容量は 3 TB にな り ます。 RAID 1 RAID 1 ア レ イは、 ミ ラ ー リ ング と も 呼ばれます。 FortiGate ユニ ッ ト は、 1 台のハー ド デ ィ ス ク に情報を書き込み、その全情報の コ ピー ( ミ ラ ー イ メ ージ ) を他のすべてのハー ド デ ィ ス ク に 書き込みます。 使用可能な合計のデ ィ ス ク 領域は 1 台のハー ド デ ィ ス ク の領域だけであ り 、 そ の他のハー ド デ ィ ス ク は ミ ラ ー リ ングにのみ使用 さ れます。 こ れに よ り 、 単一障害点のない、 冗長なデー タ ス ト レージが提供 さ れます。 いずれかのハー ド デ ィ ス ク に障害が発生 し た場合 は、 使用可能なバ ッ ク ア ッ プ ハー ド デ ィ ス ク が複数存在 し ます。 た と えば、 1 台のデ ィ ス ク に障害が発生 し て も、 ユニ ッ ト は引き続き他の 3 台のハー ド デ ィ ス ク にア ク セス し 、 機能 し 続け る こ と がで き ます。 RAID 1 ア レ イ では、 容量が 1 TB のデ ィ ス クが 4 台搭載 さ れている場合、 ア レ イの容量は 2 TB にな り ます。 RAID 1 では ミ ラ ー リ ン グのためにデ ィ ス ク を ペアにす る ため、 デ ィ ス クの数が 奇数の場合、 1 台のデ ィ ス ク は使用 さ れません。 3 台のデ ィ ス クがある場合、 RAID 1 ア レ イ で は 2 台のみが使用 さ れます。 RAID 5 RAID 5 ア レ イ では、 ス ト ラ イ ピ ングをパ リ テ ィ チ ェ ッ ク と と も に使用 し ます。 RAID 0 と 同様 に、 FortiGate ユニ ッ ト はすべての ド ラ イ ブにわた っ て均等に情報を書き込みますが、 同 じ ス ト ラ イ プ上に追加のパ リ テ ィ ブ ロ ッ ク が書き込まれます。 こ のパ リ テ ィ ブ ロ ッ クは、 各ス ト ラ イ プ で互い違いにな り ます。 合計のデ ィ ス ク領域は、 ア レ イ内のデ ィ ス ク の総数か ら 、 パ リ テ ィ ス ト レージのための 1 台のデ ィ ス ク を引いた分にな り ます。 た と えば、 ハー ド デ ィ ス ク が 4 台の場合、使用可能な総容量は、実際には 3 台のハー ド デ ィ ス ク の合計にな り ます。RAID 5 のパ フ ォ ーマ ン スは一般に、 書き込みに比べて読み取 り の方が優れています。 ただ し 、 1 台 のデ ィ ス ク が故障するか、 または欠けている と パ フ ォ ーマ ン スが低下 し ます。 RAID 5 では、 1 台のデ ィ ス ク が故障 し て も デー タ は失われません。 1 台の ド ラ イ ブが故障 し て も 交換が可能な ため、 FortiGate ユニ ッ ト は、 パ リ テ ィ ボ リ ュ ームか らの参照情報を使用 し て新 し いデ ィ ス ク 上にデー タ を復元 し ます。 RAID アレイの再構築 RAID ア レ イ には複数のデ ィ ス ク が搭載 さ れ、 それ ら のデ ィ ス ク への書き込みが分散 さ れてい る ため、 ア レ イ内の 1 台のデ ィ ス ク に障害が発生 し て も 、 ア レ イは引き続き、 格納 さ れている すべての情報を提供で き ます。 RAID では、 一部の形式を除いて冗長性が提供 さ れます。 デ ィ ス ク に障害が発生するか、 または RAID ア レ イがデグレー ド し た状態にな っ た場合 [System]、[Dashboard]、 [Status] の順に選択 し て表示 さ れる画面にある [Alert Message Console] ウ ィ ジ ェ ッ ト には、 故障 し たハー ド デ ィ ス ク な ど 緊急の注意が必要な イ ベ ン ト ま たはア ク テ ィ ビ テ ィ に関するすべての メ ッ セージが表示 さ れます。 こ のウ ィ ジ ェ ッ ト は、 イ ベ ン ト また はア ク テ ィ ビ テ ィ の日付 と 時刻や、発生 し た状態に関す る説明を含む詳細な メ ッ セージ を提供 し ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ RAID ア レ イ を再構築する理由 ・ RAID ア レ イ を再構築する方法 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 225 RAID ア レ イの再構築 RAID の設定 RAID アレイを再構築する理由 RAID ア レ イ に冗長性があ り 、 ア レ イ内の 1 台のデ ィ ス クが故障するか、 破損するか、 または 取 り 外 さ れた場合、 そのア レ イはデグ レー ド し た状態にな り ます。 デグ レ ー ド し た状態で も、 ア レ イは引き続き機能で き ますが、 変わる点がい く つかあ り ます。 2 つの主な変化 と し て、 冗 長性がな く な る こ と と 、 ア レ イへのア ク セスに以前に比べて長い時間がかかる点があ り ます。 冗長性がな く な るのは、 ア レ イか ら 1 台のデ ィ ス ク を取 り 外 し た場合、 そのデ ィ ス ク上に格納 さ れていた情報はア レ イ内のその他のデ ィ ス ク を使用 し て取得で き る ためです。 ただ し 、 ア レ イか ら 別のデ ィ ス ク を取 り 外す と 、 バ ッ ク ア ッ プやパ リ テ ィ デー タ がない情報は削除 さ れま す。 こ の 2 番目のデ ィ ス クの取 り 外 し はデー タ 消失につなが り 、 ア レ イは障害の状態にな り ま す。 こ の RAID ア レ イの注意を要する状態は、 ス テー タ スが警告の形式でデグ レー ド し た と き に、 [RAID Monitor] ダ ッ シ ュ ボー ド 上に警告 メ ッ セージ で表示 さ れます。 ア レ イのデー タ ア ク セスに以前よ り 長い時間がかかるのは、 予測 さ れた形式 と 順序でデー タ が取得 さ れるのではな く 、 ア レ イがデー タ を あち こ ちか ら 見つけた り 、 場合によ っ ては失われ たデー タ をパ リ テ ィ 情報か ら 再作成 し た り す る必要があ る ためです。 こ れ ら の処理のすべて に、 通常の単純な読み取 り 操作だけの場合よ り 長い時間がかか り 、 RAID ア レ イが再構築 さ れ る ま で こ の状態が続行 さ れます。 RAID ア レ イ を再構築する理由には次の も のがあ り ます。 ・ デ ィ ス クが故障 し た ・ ア レ イが破損 し た ・ デ ィ ス クが取 り 外 さ れた ・ RAID ア レ イの再構築 ・ RAID ア レ イ を再構築する方法 RAID アレイを再構築する方法 RAID ア レ イが通常の正常な状態にあ る場合は、 その必要性がないため、 ア レ イ を再構築する オ プ シ ョ ンは存在 し ません。 ア レ イ を再構築する必要があるのは、 ア レ イがデグ レー ド し た状 態にあ り 、 デー タ が失われる恐れがある場合のみです。 デ ィ ス クの故障がデグレー ド し たア レ イの原因である場合は、 RAID ア レ イ を再構築する前に、 その故障 し たデ ィ ス ク の交換用デ ィ ス ク を用意する必要があ り ます。デ ィ ス ク が欠けている ア レ イ を再構築する こ と はで き ません。 交換用デ ィ ス クは、 交換対象のデ ィ ス ク と 同 じ ス ト レー ジ容量である必要があ り ます。 また、 可能であれば、 ア レ イ を再構築する前にデー タ をバ ッ ク ア ッ プする こ と も必要です。 可 能な場合は、 RAID ア レ イがデグレー ド し た状態にな っ た ら す ぐ にそのア レ イ をバ ッ ク ア ッ プ し て、 デー タ 消失を防止する必要があ り ます。 RAID アレイを再構築するには 1 [System]、 [Dashboard]、 [Status] の順に選択 し 、 [RAID Monitor] ウ ィ ジ ェ ッ ト で [Configure] を選択 し ます。 2 RAID ア レ イのス テー タ スが [Degraded] であ り 、 [Rebuild] ボ タ ンが灰色で表示 さ れていな い こ と を確認 し ます。 3 FortiGate ユニ ッ ト か ら故障 し たデ ィ ス ク を取 り 外 し ます。 ・ 正常なデ ィ ス クが用意 さ れている こ と を確認 し ます。 ・ 緑色のボ タ ン を押 し て、 デ ィ ス ク のロ ッ ク を解除 し ます。 ・ レバー を静かに左の端ま で押 し て、 デ ィ ス ク を切 り 離 し ます。 ・ レバー を引いて、 FortiGate ユニ ッ ト か ら デ ィ ス ク を取 り 外 し ます。 226 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク RAID の設定 RAID ア レ イの再構築 4 新 し いデ ィ ス ク を、 故障 し たデ ィ ス ク を交換 し ている FortiGate ユニ ッ ト に挿入 し ます。 ・ デ ィ ス ク を慎重に FortiGate ユニ ッ ト に挿入 し ます。 ・ デ ィ ス ク の フ ロ ン ト パネルを押 し て接続を行います。 レバーが右に移動 し 始めます。 デ ィ ス クの両端が他のデ ィ ス ク と 揃 っ ている こ と を確認 し て く だ さ い。 ・ 所定の位置にある場合は、 緑色のボ タ ンがカ チ ッ と 音がする まで、 バー を完全に右に押 し ます。 5 表示を更新 し て、 新 し いデ ィ ス クが正 し く 搭載 さ れた こ と を確認 し ます。 デ ィ ス クが認識 さ れない場合は、 新 し いデ ィ ス ク で手順 3 と 4 を繰 り 返 し て、 正 し く 搭載 さ れた こ と を確 認 し ます。 6 設定画面で、 [Rebuild RAID] を選択 し ます。 RAID アレイの再構築には通常、数時間かかります。ダッシュボード上の [RAID Monitor] の表示で進行状況を確認できます。 7 再構築が完了 し た ら、 RAID ア レ イのス テー タ スが [OK] に変化 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 227 RAID ア レ イの再構築 228 RAID の設定 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ルーテ ィ ングの概念 ルータ - スタティック こ の項では、 い く つかの一般的なルーテ ィ ングの概念、 お よびス タ テ ィ ッ ク ルー ト と ルー ト ポ リ シーを定義する方法について説明 し ます。 ルー ト は、 ネ ッ ト ワー ク 上の特定の宛先にパケ ッ ト を転送するのに必要な情報を FortiGate ユ ニ ッ ト に提供 し ます。 パケ ッ ト は、 ス タ テ ィ ッ ク ルー ト に よ っ て、 工場出荷時に設定 さ れて いるデ フ ォ ル ト ゲー ト ウ ェ イ以外の宛先へ と 転送 さ れます。 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォル ト ルー ト は、 デ フ ォ ル ト ゲー ト ウ ェ イ を設定 する ための出発点 と な り ます。 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォ ル ト ルー ト を変 更 し て異な るデ フ ォル ト ゲー ト ウ ェ イ を FortiGate ユニ ッ ト に設定するか、 または工場出荷時 に設定済みのルー ト を削除 し て、 デ フ ォ ル ト ゲー ト ウ ェ イ を示す ス タ テ ィ ッ ク デ フ ォ ル ト ルー ト を FortiGate ユニ ッ ト に設定する必要があ り ます。 詳細については、 233 ページの 「デ フ ォル ト ルー ト お よびデ フ ォル ト ゲー ト ウ ェ イ」 を参照 し て く だ さ い。 ス タ テ ィ ッ ク ルー ト は手動で定義 し ます。 FortiGate ユニ ッ ト から 送出 さ れる ト ラ フ ィ ッ ク は ス タ テ ィ ッ ク ルー ト が制御 し ますが、 パケ ッ ト を送出す る イ ン タ フ ェ ース と パケ ッ ト の転送 先のデバイ スはユーザが指定で き ます。 オ プ シ ョ ン でルー ト ポ リ シー を定義する こ と がで き ます。 ルー ト ポ リ シーは、 着信パケ ッ ト のプ ロパテ ィ を分析する ための基準を追加指定する も のです。 ルー ト ポ リ シーを使用する と 、 パケ ッ ト ヘ ッ ダ内の IP 発信元および宛先ア ド レ スや、パケ ッ ト が受信 さ れた イ ン タ フ ェ ース、 パケ ッ ト を送信するために使用 さ れる プ ロ ト コ ル ( サービ ス ) と ポー ト な どのその他の条件に 基づいてパケ ッ ト をルーテ ィ ン グする よ う に FortiGate ユニ ッ ト を設定で き ます。 FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ン (VDOM) を有効に し た場合、 ス タ テ ィ ッ ク ルー テ ィ ン グはバーチ ャ ル ド メ イ ン ご と に別々に設定 さ れます。 詳細については、 73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ ルーテ ィ ングの概念 ・ ス タ テ ィ ッ ク ルー ト ・ ECMP ルー ト の フ ェ ールオーバー と 負荷分散 ・ ポ リ シー ルー ト ルーティングの概念 FortiGate ユニ ッ ト はネ ッ ト ワー ク上のセキ ュ リ テ ィ デバイ ス と し て機能 し 、 パケ ッ ト は こ の ユニ ッ ト を通過す る必要があ り ます。 FortiGate ユニ ッ ト を適切に設定す るには、 い く つかの 基本的なルーテ ィ ングの概念を理解する必要があ り ます。 管理するネ ッ ト ワー ク の規模の大小を問わず、 こ の項は FortiGate ユニ ッ ト がどのよ う にルー テ ィ ング機能を実行するのかを理解するのに役立ち ます。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ ルーテ ィ ング テーブルの成立ち ・ ルーテ ィ ングの決定方法 ・ マルチパス ルーテ ィ ング と 最良のルー ト の決定 ・ ルー ト プ ラ イ オ リ テ ィ ・ ブ ラ ッ ク ホール ルー ト FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 229 ルーテ ィ ン グの概念 ルー タ - ス タ テ ィ ッ ク ルーティング テーブルの成立ち FortiGate ユニ ッ ト が各種のア ド レ ス を接続す る たびにそのルー ト を検出 し な く て も 済むよ う に、 ルーテ ィ ング テーブルには、 それ ら のア ド レ スへのルー ト が格納 さ れます。 工場出荷の デ フ ォ ル ト 設定では、 FortiGate ルーテ ィ ン グ テー ブルにはス タ テ ィ ッ ク ルー ト 、 つま り デ フ ォル ト ルー ト が 1 つ設定 さ れています。 別のス タ テ ィ ッ ク ルー ト を定義する こ と によ り 、 ルーテ ィ ン グ テー ブルにルーテ ィ ン グ情報を追加で き ます。 こ のテー ブルには、 同 じ 宛先へ の異な るルー ト をい く つか含める こ と がで き ます。 こ れ ら のルー ト 、 または こ れ らのルー ト に 関連付け ら れてい る FortiGate イ ン タ フ ェ ースで指定 さ れてい るネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ スは、 それぞれ異な る こ と があ り ます。 FortiGate ユニ ッ ト は、 ルーテ ィ ン グ テー ブルの情報を評価す る こ と で、 パケ ッ ト に 「最良」 のルー ト を選択 し ます。 宛先への最良のルー ト は通常、 FortiGate ユニ ッ ト と それに最 も 近い ネ ク ス ト ホ ッ プ ルー タ の間の最短のデ ィ ス タ ン スに関連 し ています。 最良のルー ト が使用で き ない場合は、 その次に最良のルー ト が選択 さ れる こ と があ り ます。 FortiGate ユニ ッ ト は、 使 用可能な最良のルー ト を、 そのユニ ッ ト のルーテ ィ ン グ テーブルのサブ セ ッ ト である ユニ ッ ト の フ ォ ワーデ ィ ング テーブル内に設定 し ます。 パケ ッ ト は、 フ ォ ワーデ ィ ン グ テーブルの 情報に基づいて転送 さ れます。 ルーティングの決定方法 パケ ッ ト が FortiGate ユニ ッ ト のいずれかのイ ン タ フ ェ ースに到着す る と 常に、 そのユニ ッ ト は、 パケ ッ ト ヘ ッ ダ内の発信元 IP ア ド レ ス を使用 し て逆引き を行 う こ と によ り 、 そのパケ ッ ト が正当な イ ン タ フ ェ ース上で受信 さ れたかど う かを判断 し ます。 FortiGate ユニ ッ ト が、 そ のパケ ッ ト が受信 さ れた イ ン タ フ ェ ース を介 し て発信元 IP ア ド レ スにある コ ン ピ ュ ー タ と 通 信で き ない場合、ハ ッ キングの試みである可能性がある ため、FortiGate ユニ ッ ト はそのパケ ッ ト を破棄 し ます。 宛先ア ド レ スがロー カル ア ド レ ス と 一致 し た場合 ( かつ、ロー カル設定で配信が許可 さ れてい る場合 )、 FortiGate ユニ ッ ト はそのパケ ッ ト を ロー カル ネ ッ ト ワー ク に配信 し ます。 そのパ ケ ッ ト が別のネ ッ ト ワー ク に宛て ら れている場合、 FortiGate ユニ ッ ト は、 ポ リ シー ルー ト お よび FortiGate フ ォ ワーデ ィ ング テーブルに格納 さ れている情報に従 っ て、 そのパケ ッ ト を ネ ク ス ト ホ ッ プ ルー タ に転送 し ます。 詳細については、 243 ページの 「ポ リ シー ルー ト 」 を参 照 し て く だ さ い。 マルチパス ルーティングと最良のルートの決定 マルチパス ルーテ ィ ングは、 同 じ 宛先へのエ ン ト リ がルーテ ィ ング テーブルに複数存在する 場合に発生 し ます。 マルチパス ルーテ ィ ングが発生する と 、 FortiGate ユニ ッ ト は着信パケ ッ ト に複数の宛先を使用で き る こ と にな り 、 どのネ ク ス ト ホ ッ プが最良か判断を迫 られます。 同 じ 宛先への複数のルー ト と い う 問題を手動で解決するには、一方のルー ト のデ ィ ス タ ン ス を 小 さ く す るか、 ま たは両方のルー ト にプ ラ イ オ リ テ ィ を設定する と い う 2 つの方法があ り ま す。 FortiGate ユニ ッ ト がプ ラ イ マ リ ( 優先 ) ルー ト を選択する よ う にするには、 優先ルー ト に 関連付け ら れたデ ィ ス タ ン ス を手動で小 さ く し ます。 ディスタンス デ ィ ス タ ン スは、 特定のルー ト の予測 さ れる信頼性に基づいています。 こ のデ ィ ス タ ン スは、 発信元か ら のホ ッ プの数 と 、 使用 さ れてい るルーテ ィ ン グ プ ロ ト コ ルの組み合わせに よ っ て 決定 さ れます。 発信元か らのホ ッ プの数が多い こ と は、 障害ポ イ ン ト が生まれる可能性が高い こ と を示 し ます。 デ ィ ス タ ン スは 1 ~ 255 の範囲の値であ り 、 数値が小 さ いほど優先 さ れま す。 255 のデ ィ ス タ ン スは無制限 と 見な さ れ、 ルーテ ィ ング テーブルには設定 さ れません。 こ こ で、 デ ィ ス タ ン スの し く みを説明する ための例を示 し ます。 ト ラ フ ィ ッ ク が 2 つの宛先の 中か ら選択で き る、 デ ィ ス タ ン スがそれぞれ 5 ( 常時使用可能 ) と 31 ( 使用で き ない場合があ る ) の 2 つの可能性のあるルー ト がある場合、 ト ラ フ ィ ッ クは、 可能であれば常にデ ィ ス タ ン スが 5 のルー ト を使用 し ます。 デ フ ォル ト のデ ィ ス タ ン スは、 ルーテ ィ ング プ ロ ト コ ルご と に異な り ます。 こ れ ら のどのルーテ ィ ン グ プ ロ ト コ ル も デ フ ォ ル ト のデ ィ ス タ ン ス を設定で き ます。 ルー テ ィ ン グ プ ロ ト コ ルに関連付け ら れたデ ィ ス タ ン スの変更の詳細につい ては、 『FortiGate CLI リ フ ァ レ ン ス 』 にあ る config routing を参照 し て く だ さ い。 230 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ルーテ ィ ングの概念 表 47: ルーティング プロトコルのデフォルトのディスタンス ルーティング プロトコル デフォルトのディスタンス 直接の物理的な接続 1 スタテ ィ ッ ク 10 EBGP 20 OSPF 110 RIP 120 IBGP 200 同 じ 宛先への複数のルー ト を手動で解決する ための別の方法 と し て、両方のルー ト のプ ラ イ オ リ テ ィ を手動で変更する方法があ り ます。FortiGate ユニ ッ ト 上の 2 つのルー ト のネ ク ス ト ホ ッ プ デ ィ ス タ ン スが等 し い場合は、 パケ ッ ト がどのルー ト を選択するかが明確で ない こ と があ り ます。 こ れ らの各ルー ト のプ ラ イ オ リ テ ィ を設定する と 、 デ ィ ス タ ン スが等 し い場合にどの ネ ク ス ト ホ ッ プが使用 さ れるかが明確にな り ます。 ルー ト のプ ラ イ オ リ テ ィ は、 CLI か ら のみ 設定で き ます。 プ ラ イ オ リ テ ィ の値が小 さ い方が優先 さ れます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 ルーテ ィ ン グ テー ブル内のエ ン ト リ はすべて、 デ ィ ス タ ン スに関連付け ら れています。 ルー テ ィ ング テーブルに、同 じ 宛先を指す複数のエ ン ト リ が含まれている場合 ( 各エ ン ト リ のゲー ト ウ ェ イ またはイ ン タ フ ェ ースの関連付けは異な る こ と があ り ます )、 FortiGate ユニ ッ ト は こ れ らのエ ン ト リ のデ ィ ス タ ン ス を比較 し 、 デ ィ ス タ ン スの最 も小 さ いエ ン ト リ を選択 し て、 そ れ らのエ ン ト リ を FortiGate フ ォ ワーデ ィ ング テーブル内にルー ト と し て設定 し ます。 その結 果、 FortiGate フ ォ ワーデ ィ ング テーブルには、 各宛先への、 デ ィ ス タ ン スの最 も小 さ いルー ト のみが含まれます。 ス タ テ ィ ッ ク ルー ト に関連付け ら れたデ ィ ス タ ン ス を変更する方法に ついては、 236 ページの 「ルーテ ィ ング テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を参照 し て く だ さ い。 ルート プライオリティ FortiGate ユニ ッ ト が、 各デ ィ ス タ ン スに基づいて フ ォ ワーデ ィ ング テーブルのス タ テ ィ ッ ク ルー ト を選択 し た後、 こ れ ら のルー ト のプ ラ イ オ リ テ ィ フ ィ ール ド に よ っ てルーテ ィ ン グの 優先順位が決定 さ れます。 こ のプ ラ イ オ リ テ ィ フ ィ ール ド は、 CLI を使用 し て設定 し ます。 プ ラ イ オ リ テ ィ フ ィ ール ド 内の値が最 も 小 さ いルー ト が、 最良のルー ト お よびプ ラ イ マ リ ルー ト と 見な さ れます。 プ ラ イ オ リ テ ィ フ ィ ール ド を設定する コ マ ン ド は、config route static コ マ ン ド の下にある set priority <integer> です。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 ま と める と 、 CLI を使用 し て、 ス タ テ ィ ッ ク ルー ト を定義する と き に使用する プ ラ イ オ リ テ ィ フ ィ ール ド の設定を指定で き る ため、 そのプ ラ イ オ リ テ ィ フ ィ ール ド の設定に従 っ て同 じ 宛 先へのルー ト に優先順位を付け る こ と がで き ます。 ス タ テ ィ ッ ク ルー ト を優先ルー ト にす る には、 config router static CLI コ マ ン ド を使用 し てルー ト を作成 し 、 そのルー ト に低い プ ラ イ オ リ テ ィ を指定する必要があ り ます。 2 つのルー ト のデ ィ ス タ ン ス と プ ラ イ オ リ テ ィ の 両方が同 じ 場合、 こ れ ら のルー ト は等価 コ ス ト マルチパス (ECMP) ルー ト です。 同 じ 宛先への 複数のルー ト が存在する こ と にな る ため、 どのルー ト を設定 し た り 、 使用 し た り す るかが紛 ら わ し く な る場合があ り ます。 ただ し 、 ECMP ルー ト 間でセ ッ シ ョ ン を負荷分散する方法を制御 する ために、ECMP ルー ト の フ ェ ールオーバー と 負荷分散を設定で き ます。237 ページの「ECMP ルー ト の フ ェ ールオーバー と 負荷分散」 を参照 し て く だ さ い。 ブラックホール ルート ブ ラ ッ ク ホール ルー ト と は、 送信 さ れたすべての ト ラ フ ィ ッ ク を破棄するルー ト の こ と です。 Linux プ ログ ラ ミ ングでの /dev/null イ ン タ フ ェ ースに と て も よ く 似ています。 ブ ラ ッ ク ホール ルー ト は、 疑わ し い問い合わせに応答す る こ と な く 、 パケ ッ ト を廃棄す る た めに使用 さ れます。 こ れに よ り 、 発信元が対象のネ ッ ト ワー ク か ら 何 も 情報を得 ら れないた め、 セキ ュ リ テ ィ が強化 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 231 ス タ テ ィ ッ ク ルー ト ルー タ - ス タ テ ィ ッ ク ブ ラ ッ ク ホール ルー ト はまた、サブネ ッ ト 上の ト ラ フ ィ ッ ク も制限で き ます。一部のサブネ ッ ト ア ド レ スが使用 さ れて い な い場合は、 こ れ ら のア ド レ スへの ト ラ フ ィ ッ ク ( 有効な ト ラ フ ィ ッ ク または悪意のある ト ラ フ ィ ッ ク ) を ブ ラ ッ ク ホールに転送する こ と で、 セキ ュ リ テ ィ の強化 と サブ ネ ッ ト 上の ト ラ フ ィ ッ ク の削減を実現で き ます。 ト ラ フ ィ ッ ク を転送 し ない仮想 イ ン タ フ ェ ース であ るループバ ッ ク イ ン タ フ ェ ース を使用す る と 、 ブ ラ ッ ク ホール ルーテ ィ ン グの設定が容易にな り ます。 通常の イ ン タ フ ェ ース と 同様 に、 こ のループバ ッ ク イ ン タ フ ェ ース も 設定す るパ ラ メ ー タ がほ と ん ど な く 、 送信 さ れたす べての ト ラ フ ィ ッ ク がそ こ で停止 し ます。 ハー ド ウ ェ ア接続や リ ン ク ス テー タ スの問題が起 こ り 得ないため、 常に使用可能であ り 、 その他のダ イ ナ ミ ッ ク ルーテ ィ ン グの役割に有効に 使用で き ます。 設定 し た後は、 フ ァ イ アウ ォ ール ポ リ シーやルーテ ィ ングな ど、 イ ン タ フ ェ ー ス を参照する その他の場所でループバ ッ ク イ ン タ フ ェ ース を使用で き ます。 ループバ ッ ク イ ン タ フ ェ ースは、 Web ベース マネージ ャ と CLI のど ち らか ら も 設定で き ます。 詳細について は、 95 ページの 「ループバ ッ ク イ ン タ フ ェ ースの追加」 または 『FortiGate CLI リ フ ァ レ ン ス 』 のシ ス テムの章を参照 し て く だ さ い。 スタティック ルート ス タ テ ィ ッ ク ルー ト は、 FortiGate ユニ ッ ト で中継するパケ ッ ト の宛先 IP ア ド レ ス と ネ ッ ト マ ス ク を定義 し 、 それら のパケ ッ ト の ( ゲー ト ウ ェ イ ) IP ア ド レ ス を指定する こ と に よ っ て設定 し ます。 ゲー ト ウ ェ イ ア ド レ スは、 ト ラ フ ィ ッ ク がルーテ ィ ング さ れるネ ク ス ト ホ ッ プ ルー タ を指定 し ます。 スタティック ルートの操作 ス タ テ ィ ッ ク ルー ト リ ス ト には、パケ ッ ト をルーテ ィ ングする ために FortiGate ユニ ッ ト がパ ケ ッ ト ヘ ッ ダ と 比較す る情報が表示 さ れます。 最初、 こ の リ ス ト には工場出荷時に設定済み のス タ テ ィ ッ ク デ フ ォ ル ト ルー ト が含まれています。 詳細については、 233 ページの 「デ フ ォ ル ト ルー ト およびデ フ ォ ル ト ゲー ト ウ ェ イ」 を参照 し て く だ さ い。 新 し いエ ン ト リ を手動で 追加で き ます。 ス タ テ ィ ッ ク ルー ト リ ス ト にス タ テ ィ ッ ク ルー ト を追加する と 、 FortiGate ユニ ッ ト は、 一致 するルー ト と 宛先が FortiGate ルーテ ィ ング テーブル内にすでに存在するかど う かを判定する ためのチ ェ ッ ク を実行 し ます。 一致が見つか ら なか っ た場合、 FortiGate ユニ ッ ト は、 そのルー ト をルーテ ィ ング テーブルに追加 し ます。 Web ベース マネージ ャ で IPv6 が有効にな っ ている場合は、ス タ テ ィ ッ ク ルー ト リ ス ト に IPv6 ルー ト が表示 さ れるため、新 し いス タ テ ィ ッ ク ルー ト を作成する と き に IPv6 を選択で き ます。 それ以外の場合、 IPv6 ルー ト は表示 さ れません。 IPv6 の詳細については、 184 ページの 「設定」 または 186 ページの 「FortiGate の IPv6 サポー ト 」 を参照 し て く だ さ い。 ス タ テ ィ ッ ク ルー ト リ ス ト を表示するには、 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 [Static Route] ページ 作成 し たすべてのス タ テ ィ ッ ク ルー ト ( デ フ ォ ル ト のス タ テ ィ ッ ク ルー ト を含む ) を表示 し ます。 こ の ページ では、 新 し いス タ テ ィ ッ ク ルー ト を編集、 削除、 ま たは作成する こ と がで き ます。 [Create New] ス タ テ ィ ッ ク ルー ト リ ス ト にス タ テ ィ ッ ク ルー ト を追加 し ます。 詳細について は、 236 ページの 「ルーテ ィ ン グ テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を参 照 し て く だ さ い。 IPv6 ス タ テ ィ ッ ク ルー ト を作成す る には、 オ プ シ ョ ンの下矢印を選択 し ます。 [Edit] ス タ テ ィ ッ ク ルー ト 内の設定を変更する場合に選択 し ます。 [Delete] リ ス ト か ら ス タ テ ィ ッ ク ルー ト を削除す る場合に選択 し ます。 [ECMP Route Failover ECMP ルー ト の負荷分散 と フ ェ ールオーバーの方法を選択 し ます。 237 ページの 「ECMP ルー ト の フ ェ ールオーバー と 負荷分散」 を参照 し て く だ さ い。 & Load Balance Method] [Source based] 232 FortiGate ユニ ッ ト は、 負荷分散 さ れる セ ッ シ ョ ンの発信元 IP ア ド レ スに基づい て、 ECMP ルー ト 間でセ ッ シ ョ ン を負荷分散 し ます。 こ れがデ フ ォ ル ト の負荷分 散方法です。 発信元 IP の負荷分散をサポー ト する ために、 設定変更は必要あ り ま せん。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ス タ テ ィ ッ ク ルー ト [Weighted] FortiGate ユニ ッ ト は、ECMP ルー ト に追加 さ れた重み付けに基づいて、ECMP ルー ト 間でセ ッ シ ョ ン を負荷分散 し ます。 重み付けの大 き いルー ト に、 よ り 多 く の ト ラ フ ィ ッ クが転送 さ れます。 重み付けベースの方法を選択 し た後、 ス タ テ ィ ッ ク ルー ト に重み付け を追加する 必要があ り ます。 詳細については、 241 ページの 「重み付け さ れた ス タ テ ィ ッ ク ルー ト の負荷分散の設定」 を参照 し て く だ さ い。 [Spill-over] FortiGate ユニ ッ ト は、ルー ト に関連付け ら れた FortiGate イ ン タ フ ェ ースのビ ジー 状態に基づいて、 ECMP ルー ト 間でセ ッ シ ョ ン を分散 し ます。 ス ピルオーバーの方法を選択 し た後、 ECMP ルー ト に追加 さ れた イ ン タ フ ェ ース にルー ト の [Spillover Thresholds] を 追加 し ます。 詳細については、 101 ページの 「ゲー ト ウ ェ イ 負荷分散のための イ ン タ フ ェ ース ス テー タ ス検出の設定」 を参照 し て く だ さ い。 こ の イ ン タ フ ェ ー ス で処理 さ れ る 帯域幅がス ピ ルオーバー し き い値に達す る ま で、 FortiGate ユニ ッ ト は、 ECMP に よ っ てルーテ ィ ン グ さ れる すべてのセ ッ シ ョ ン を最 も 小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 その後、 FortiGate ユニ ッ ト は、 以降のセ ッ シ ョ ン を その次に小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 各イ ン タ フ ェ ースが選択 さ れる順序を含む詳細については、、 238 ページの 「ス ピ ルオーバーま たは使用状況ベースの ECMP の設定」 を参照 し て く だ さ い。 [Apply] ECMP ルートのフェールオーバーと負荷分散の方法を保存する場合に選択します。 [Route] IPv4 ス タ テ ィ ッ ク ルー ト の表示 と 非表示を切 り 替え る には、展開の矢印を選択 し ます。 デ フ ォ ル ト では、 こ れ ら のルー ト は表示 さ れています。 [IPv6 Route] IPv6 ス タ テ ィ ッ ク ルー ト の表示 と 非表示を切 り 替え る には、展開の矢印を選択 し ます。 デ フ ォ ル ト では、 こ れ ら のルー ト は非表示にな っ ています。 こ れは、 Web ベース マネージ ャ で IPv6 が有効にな っ てい る場合にのみ表示 さ れ ます。 [IP/Mask] FortiGate ユニ ッ ト が中継するパケ ッ ト の宛先 IP ア ド レ ス と ネ ッ ト ワー ク マス ク 。 [Gateway] 中継 さ れたパケ ッ ト が転送 さ れる ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス。 [Device] 中継 さ れたパケ ッ ト が送受信 さ れる FortiGate イ ン タ フ ェ ースの名前。 [Distance] 各ルー ト に関連付け ら れたデ ィ ス タ ン ス。 こ れ ら の値は、 ネ ク ス ト ホ ッ プ ルー タ へのデ ィ ス タ ン ス を表 し ます。 [Weight] [ECMP Route Failover & Load Balance Method] が [Weighted] に設定 さ れている場合 は、 各ルー ト の重み付け を追加 し ます。 負荷分散時に よ り 多 く のセ ッ シ ョ ン を割 り 当て るルー ト には、 よ り 大 き な重み付け を 追加 し ます。 詳細については、 241 ページの 「重み付け さ れた ス タ テ ィ ッ ク ルー ト の負荷分散の設定」 を参照 し て く だ さ い。 [New Static Route] ページ FortiGate ユニ ッ ト で中継するパケ ッ ト の宛先 IP ア ド レ ス と ネ ッ ト マ ス ク を定義 し 、 それ ら のパケ ッ ト の ( ゲー ト ウ ェ イ ) IP ア ド レ ス を指定する ための設定を提供 し ます。 [Destination IP/Mask] FortiGate ユニ ッ ト で中継するパケ ッ ト の宛先 IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 [Device] 中継 さ れたパケ ッ ト が送受信 さ れる イ ン タ フ ェ ース を選択 し ます。 [Gateway] FortiGate ユニットで中継するパケットのゲートウェイの IP アドレスを入力します。 [Distance] ネ ク ス ト ホ ッ プ ルー タ へのデ ィ ス タ ン ス を表す数値を入力 し ます。 [Priority] こ のス タ テ ィ ッ ク ルー ト のプ ラ イ オ リ テ ィ の数値を入力 し ます。 注記 : 特に指定 さ れていない限 り 、 ス タ テ ィ ッ ク ルー ト の例や手順は IPv4 ス タ テ ィ ッ ク ルー ト のための ものです。 IPv6 ト ラ フ ィ ッ ク のス タ テ ィ ッ ク ルー ト を 追加、 編集、 ま たは削除す る には、 config router static6 CLI コ マ ン ド を使用で き ます。詳細については、『FortiGate CLI リ フ ァ レ ン ス 』 の "router" の章を参照 し て く だ さ い。 デフォルト ルートおよびデフォルト ゲートウェイ 工場出荷のデ フ ォル ト 設定では、 ス タ テ ィ ッ ク ルー ト リ ス ト 内のエ ン ト リ 番号 1 は、 すべて の宛先を示す 0.0.0.0/0.0.0.0 の宛先ア ド レ スに関連付け ら れてい ます。 こ のルー ト は、 「ス タ テ ィ ッ ク デ フ ォル ト ルー ト 」 と 呼ばれます。 ルーテ ィ ング テーブル内に他のルー ト が存在せ ず、 パケ ッ ト を FortiGate ユニ ッ ト を超えて転送する必要がある場合は、 工場出荷時に設定済 みのス タ テ ィ ッ ク デ フ ォ ル ト ルー ト によ っ て、 FortiGate ユニ ッ ト はそのパケ ッ ト をデ フ ォ ル ト ゲー ト ウ ェ イ に転送 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 233 ス タ テ ィ ッ ク ルー ト ルー タ - ス タ テ ィ ッ ク こ れ を 防 ぐ に は、 工場出荷時 に 設定済みの ス タ テ ィ ッ ク デ フ ォ ル ト ル ー ト を 編集 し て FortiGate ユニ ッ ト の別のデ フ ォ ル ト ゲー ト ウ ェ イ を指定するか、 または工場出荷時に設定済 みのルー ト を削除 し 、 FortiGate ユニ ッ ト のデ フ ォル ト ゲー ト ウ ェ イ を指す独自のス タ テ ィ ッ ク デ フ ォ ル ト ルー ト を指定する必要があ り ます。 た と えば、 図 5 は、 ルー タ に接続 さ れてい る FortiGate ユニ ッ ト を示 し ています。 ルー タ を超 えた任意のネ ッ ト ワー ク 宛てのすべての送信パケ ッ ト が正 し い宛先に確実にルーテ ィ ン グ さ れる よ う にするには、 工場出荷のデ フ ォ ル ト 設定を編集 し て、 そのルー タ を FortiGate ユニ ッ ト のデ フ ォ ル ト ゲー ト ウ ェ イ にする必要があ り ます。 図 5: ルータをデフォルト ゲートウェイにする Internet Gateway Router 192.168.10.1 external FortiGate_1 internal Internal network 192.168.20.0/24 送信パケ ッ ト を内部ネ ッ ト ワー クか ら、 ネ ッ ト ワー ク 192.168.20.0/24 上に存在 し ない宛先に ルーテ ィ ングする には、 デ フ ォル ト ルー ト を編集 し て、 次の設定を含めます。 ・ [Destination IP/mask]: 0.0.0.0/0.0.0.0 ・ [Gateway]: 192.168.10.1 ・ [Device]: ネ ッ ト ワー ク 192.168.10.0/24 に接続 さ れてい る イ ン タ フ ェ ースの名前 ( こ の例で は、 "external") ・ [Distance]: 10 [Gateway] 設定は、 FortiGate の外部 イ ン タ フ ェ ースへのネ ク ス ト ホ ッ プ ルー タ イ ン タ フ ェ ー スの IP ア ド レ ス を 指定 し ま す。 ルー タ (192.168.10.1) に接続 さ れて い る イ ン タ フ ェ ー スは、 FortiGate_1 のデ フ ォ ル ト ゲー ト ウ ェ イ です。 234 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ス タ テ ィ ッ ク ルー ト 場合によ っ ては、 FortiGate ユニ ッ ト の背後にルー タ が存在する こ と があ り ます。 パケ ッ ト の 宛先 IP ア ド レ スがロー カル ネ ッ ト ワー ク上には存在せず、 それら のいずれかのルー タ の背後 にあ るネ ッ ト ワー ク上に存在する場合は、 FortiGate ルーテ ィ ン グ テーブルにそのネ ッ ト ワー クへのス タ テ ィ ッ ク ルー ト が含まれている必要があ り ます。 た と えば、 図 6 の場合、 FortiGate ユニ ッ ト がパケ ッ ト を Network_1 と Network_2 に転送す るには、 こ のユニ ッ ト に、 それぞれイ ン タ フ ェ ース 192.168.10.1 と 192.168.11.1 へのス タ テ ィ ッ ク ルー ト が設定 さ れてい る必要があ り ま す。 ま た、 フ ァ イ ア ウ ォ ール ポ リ シ ー も 、 ト ラ フ ィ ッ ク が こ れ ら のルー ト に 沿 っ て FortiGate ユニ ッ ト を通過で き る よ う に設定 さ れてい る必要があ り ます。 詳細については、 268 ページの 「 フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 図 6: 内部ルータの背後にあるネットワーク上の宛先 Internet FortiGate_1 internal 192.168.10.1 dmz 192.168.11.1 Gateway Router_2 Gateway Router_1 Network_1 192.168.20.0/24 Network_2 192.168.30.0/24 パケ ッ ト を Network_1 か ら Network_2 にルーテ ィ ングするには、 Router_1 は、 デ フ ォル ト ゲー ト ウ ェ イ と し て FortiGate の Internal イ ン タ フ ェ ース を使用する よ う に設定 さ れてい る必要があ り ます。 FortiGate ユニ ッ ト 上で、 新 し いス タ テ ィ ッ ク ルー ト を次の設定で作成 し ます。 [Destination IP/mask] 192.168.30.0/24 [Gateway] 192.168.11.1 [Device] dmz [Distance] 10 パケ ッ ト を Network_2 か ら Network_1 にルーテ ィ ングするには、 Router_2 は、 デ フ ォル ト ゲー ト ウ ェ イ と し て FortiGate の dmz イ ン タ フ ェ ース を使用する よ う に設定 さ れている必要があ り ます。 FortiGate ユニ ッ ト 上で、 新 し いス タ テ ィ ッ ク ルー ト を次の設定で作成 し ます。 [Destination IP/mask] 192.168.20.0/24 [Gateway] 192.168.10.1 [Device] internal [Distance] 10 デフォルト ルートのゲートウェイの変更 デ フ ォル ト ゲー ト ウ ェ イは、 デ フ ォ ル ト ルー ト に一致するパケ ッ ト の転送先を決定 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 235 ス タ テ ィ ッ ク ルー ト ルー タ - ス タ テ ィ ッ ク FortiGate ユニ ッ ト 上のモデム イ ン タ フ ェ ース を介 し て DHCP または PPPoE を使用 し ている場 合は、 こ の イ ン タ フ ェ ース上でのス タ テ ィ ッ ク ルー ト の設定で問題が発生す る可能性があ り ます。 DHCP ラ イ セ ン スの更新または PPPoE 接続の再接続のど ち ら かを試 し た後、 CLI に移動 し 、 モデム イ ン タ フ ェ ースの config system interface の下にあ る dynamic-gateway を有効に し ます。 こ れに よ り 、 こ の イ ン タ フ ェ ースのルー ト のゲー ト ウ ェ イ を指定する必要が な く な り ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 注記 : ネ ッ ト ワー ク ト ラ フ ィ ッ ク を通過 さ せるには、正 し いルー ト が設定 さ れている場合 で も、 適切な フ ァ イ アウ ォ ール ポ リ シーが設定 さ れている必要があ り ます。 詳細について は、 268 ページの 「フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 デフォルト ルートのゲートウェイを変更するには [Router]、 [Static]、 [Static Route] の順に選択 し ます。 2 1 行目にある [ 編集 ] ア イ コ ン を選択 し ます。 3 FortiGate ユニ ッ ト が、 [Device] フ ィ ール ド で現在選択 さ れてい る イ ン タ フ ェ ース以外のイ ン タ フ ェ ース を介 し てネ ク ス ト ホ ッ プ ルー タ に到達する場合は、 [Device] フ ィ ール ド か ら 1 イ ン タ フ ェ ースの名前を選択 し ます。 4 [Gateway] フ ィ ール ド に、 送信 ト ラ フ ィ ッ クの転送先 と し て使用で き るネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 [Distance] フ ィ ール ド で、 必要に応 じ てデ ィ ス タ ン スの値を調整 し ます。 6 [OK] を選択 し ます 5 ルーティング テーブルへのスタティック ルートの追加 ルー ト は、 FortiGate ユニ ッ ト に、 パケ ッ ト を特定の宛先に転送す る ために必要な情報を提供 し ます。 パケ ッ ト は、 ス タ テ ィ ッ ク ルー ト に よ っ て、 デ フ ォ ル ト ゲー ト ウ ェ イ以外の宛先へ と 転送 さ れます。 ス タ テ ィ ッ ク ルー ト は手動で定義 し ます。 FortiGate ユニ ッ ト から 送出 さ れる ト ラ フ ィ ッ ク は ス タ テ ィ ッ ク ルー ト が制御 し ますが、 パケ ッ ト を送出す る イ ン タ フ ェ ース と パケ ッ ト の転送 先のデバイ スはユーザが指定で き ます。 スタティック ルートのエントリを追加するには 1 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 たとえば、172.1.2.0/255.255.255.0 は、サブネット 172.1.2.x 上のすべてのアドレ スのルートになります。 4 こ のサブネ ッ ト に最 も 近いか、 または こ のサブネ ッ ト に接続 さ れてい る FortiGate ユニ ッ ト イ ン タ フ ェ ース を入力 し ます。 5 ゲー ト ウ ェ イの IP ア ド レ ス を入力 し ます。 先の例を続ける と 、 172.1.2.11 は有効なア ド レ スにな り ます。 6 こ のルー ト のデ ィ ス タ ン ス を入力 し ます。 ディスタンスを使用すると、あるルートを別のルートより優先されるように重み付けする ことができます。これは、あるルートが信頼できない場合に有効です。たとえば、ルート A のディスタンスが 30 で、ルート B のディスタンスが 10 の場合、優先ルートはディスタ ンスが小さい方の 10 のルート A です。ルート A が信頼できないことがわかった場合は、 ルート A のディスタンスを 10 から 40 に変更できます。これにより、ルート B が優先ルー トになります。 7 [OK] を選択 し て、 新 し いス タ テ ィ ッ ク ルー ト を確認 し 、 保存 し ます。 Web ベース マネージ ャ で ス タ テ ィ ッ ク ルー ト を追加す る と 、 FortiGate ユニ ッ ト によ っ て、 そ のエ ン ト リ がス タ テ ィ ッ ク ルー ト リ ス ト に追加 さ れます。 236 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ECMP ルー ト のフ ェ ールオーバー と 負荷分散 "internal" と い う 名前の イ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [Edit Static Route] ダ イ ア ログ ボ ッ ク ス を示 し ています。 FortiGate ユニ ッ ト 上の実際の イ ン タ フ ェ ースの名前は こ れ と は異な る場合があ り ます。 [Destination IP/Mask] FortiGate ユニットで中継する必要のあるパケットの宛先 IP アドレスおよびネットワーク マスク を入力します。 0.0.0.0/0.0.0.0 の値は、 デフォルト ルートに予約されています。 [Gateway] 中継 し たパケ ッ ト を FortiGate ユニ ッ ト が転送する ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 [Device] 中継 し た パ ケ ッ ト を ネ ク ス ト ホ ッ プ ルー タ に ルー テ ィ ン グ す る た め に 使用 で き る FortiGate イ ン タ フ ェ ースの名前を選択 し ます。 [Distance] ルー ト のデ ィ ス タ ン ス を 1 ~ 255 の範囲の値で入力 し ます。こ のデ ィ ス タ ン スの値は任 意であ り 、 ネ ク ス ト ホ ッ プ ルー タ へのデ ィ ス タ ン スが反映 さ れてい る必要があ り ます。 値が小 さ いほど、 よ り 優先 さ れるルー ト であ る こ と を示 し ます。 [Weight] 各ルー ト の重み付け を追加 し ます。負荷分散で よ り 多 く のセ ッ シ ョ ン を割 り 当て るルー ト には、 よ り 大 き な重み付け を追加 し ます。 241 ページの 「重み付け さ れたス タ テ ィ ッ ク ルー ト の負荷分散の設定」 を参照 し て く だ さ い。 [ECMP Route Failover & Load Balance Method] が [Weighted] に設定 さ れてい る場合に使 用で き ます。 ECMP ルートのフェールオーバーと負荷分散 FortiOS は、 等価コスト マルチパス (ECMP) を使用して、 トラフィックをインターネットや別のネット ワークなどの同じ宛先に分散します。 ECMP を使用すると、 複数のルートを同じ宛先に追加し、 こ れらの各ルートに同じディスタンスとプライオリティを割り当てることができます。 ただ し 、 同 じ 宛先への複数のルー ト プ ラ イ オ リ テ ィ は同 じ で、 デ ィ ス タ ン スが異な る場合は、 デ ィ ス タ ン スの最 も小 さ いルー ト が使用 さ れます。同 じ 宛先への複数のルー ト のデ ィ ス タ ン ス は同 じ で、 プ ラ イ オ リ テ ィ が異な る場合は、 プ ラ イ オ リ テ ィ の最 も 低いルー ト が使用 さ れま す。 デ ィ ス タ ン スはプ ラ イ オ リ テ ィ よ り 優先 さ れます。 同 じ 宛先への複数のルー ト のデ ィ ス タ ン ス と プ ラ イ オ リ テ ィ の両方が異な る場合は、 た と え プ ラ イ オ リ テ ィ が最 も 高い と し て も、 デ ィ ス タ ン スの最 も小 さ いルー ト が常に使用 さ れます。 ECMP を使用す る と 、 複数の ECMP ルー ト が使用可能な場合に、 通信セ ッ シ ョ ンに使用 さ れる ルー ト の FortiGate ユニ ッ ト によ る選択方法を設定で き ます。 1 つの ECMP ルー ト のみが使用 可能な場合 ( た と えば、 イ ン タ フ ェ ース ス テー タ ス検出で、設定 さ れたサーバか らの応答が受 信 さ れないために イ ン タ フ ェ ースが ト ラ フ ィ ッ ク を処理で き ない場合な ど ) は、 すべての ト ラ フ ィ ッ クが こ のルー ト を使用 し ます。 以前のバージ ョ ンの FortiOS は、ECMP ルー ト に対 し て発信元 IP ベースの負荷分散を提供 し て いま し た。 FortiOS 4.0 MR1 には、 ECMP ルー ト の フ ェ ールオーバー と 負荷分散のための次の 3 つの設定オプ シ ョ ンが含まれています。 [Source based] ( 発信元 IP ベース とも呼ばれる ) FortiGate ユニ ッ ト は、 負荷分散 さ れる セ ッ シ ョ ンの発信元 IP ア ド レ スに基づいて、 ECMP ルー ト 間でセ ッ シ ョ ン を負荷分散 し ます。こ れがデ フ ォ ル ト の負荷分散方法で す。 発信元 IP の負荷分散をサポー ト す る ために、 設定変更は必要あ り ません。 [Weighted] ( 重み FortiGate ユニ ッ ト は、 ECMP ルー ト に追加 さ れた重み付けに基づいて、 ECMP ルー ト 付けベースとも呼 間 で セ ッ シ ョ ン を 負荷分散 し ま す。 重み付けの大 き いルー ト に、 よ り 多 く の ト ラ フ ィ ッ ク が転送 さ れます。 ばれる ) 重み付けベースの方法を選択 し た後、 ス タ テ ィ ッ ク ルー ト に重み付け を追加する必 要があ り ます。 241 ページの 「重み付け さ れたス タ テ ィ ッ ク ルー ト の負荷分散の設 定」 を参照 し て く だ さ い。 [Spill-over] ( 使用状 FortiGate ユニ ッ ト は、ルー ト に追加 さ れた FortiGate イ ン タ フ ェ ースのビ ジー状態に 況ベースとも呼ば 基づいて、 ECMP ルー ト 間でセ ッ シ ョ ン を分散 し ます。 ス ピルオーバーの方法 を選択 し た後、 ECMP ルー ト に追加 さ れた イ ン タ フ ェ ース に れる ) ルー ト の [Spillover Thresholds] を追加 し ます。 こ のイ ン タ フ ェ ース で処理 さ れる帯域 幅がス ピルオーバー し き い値に達する ま で、 FortiGate ユニ ッ ト は、 ECMP に よ っ て ルーテ ィ ン グ さ れ る すべてのセ ッ シ ョ ン を 最 も 小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 その後、 FortiGate ユニ ッ ト は、 以降のセ ッ シ ョ ン を その次に小 さ い番号の イ ン タ フ ェ ースに送信 し ます。 [Spillover Thresholds] の範囲は 0 ~ 2097000 KBps です。 各 イ ン タ フ ェ ースが選択 さ れる順序を含む詳細については、、 238 ページの 「ス ピル オーバーま たは使用状況ベースの ECMP の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 237 ECMP ルー ト のフ ェ ールオーバー と 負荷分散 ルー タ - ス タ テ ィ ッ ク 1 つの VDOM 内で設定で き る ECMP ルー ト の フ ェ ールオーバー と 負荷分散の方法は、こ れ ら の う ちの 1 つだけです。 FortiGate ユニ ッ ト で複数の VDOM での動作が設定 さ れている場合は、 各 VDOM に独自の ECMP ルー ト の フ ェ ールオーバー と 負荷分散を設定で き ます。 Web ベース マネージャから ECMP ルートのフェールオーバーと負荷分散の方法を設定するには 1 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 2 [ECMP Route Failover & Load Balance Method] を [Source based]、 [Weighted]、 または [Spill- over] に設定 し ます。 3 [Apply] を選択 し ます。 CLI から ECMP ルートのフェールオーバーと負荷分散の方法を設定するには 次のコマンドを入力します。 config system settings set v4-ecmp-mode {source-ip-based | usage-based | weight-based} end 同じ宛先 IP アドレスへの同時セッションの ECMP ルーティング FortiGate ユニ ッ ト がセ ッ シ ョ ンの ECMP ルー ト を選択する と 、 そのセ ッ シ ョ ンの宛先 IP ア ド レ ス を含むルー ト に一致す るルー ト キ ャ ッ シ ュが作成 さ れます。 そのルー ト がキ ャ ッ シ ュ か ら フ ラ ッ シ ュ さ れる まで、 同 じ 宛先 IP ア ド レ スへのすべての新 し いセ ッ シ ョ ンが同 じ ルー ト を使用 し ます。 その宛先 IP ア ド レ スへの新 し いセ ッ シ ョ ンが受信 さ れな く な っ てか ら一定の 期間が経つ と 、 ルー ト はキ ャ ッ シ ュから フ ラ ッ シ ュ さ れます。 ルー ト キ ャ ッ シ ュ によ っ て、 FortiGate ユニ ッ ト がルーテ ィ ング テーブル内のルー ト を検索す る頻度が削減 さ れるため、 FortiGate のルーテ ィ ング パ フ ォ ーマ ン スが向上 し ます。 FortiGate ユニ ッ ト が同 じ 宛先 IP ア ド レ ス を含む多数のセ ッ シ ョ ン を受信 し ている場合は、 こ れ ら のすべてのセ ッ シ ョ ンが同 じ ルー ト に よ っ て処理 さ れる ため、 ECMP ルー ト の フ ェ ール オーバー と 負荷分散の設定に従 っ て セ ッ シ ョ ンが分散 さ れていない よ う に見え る こ と があ り ます。 スピルオーバーまたは使用状況ベースの ECMP の設定 ス ピルオーバーまたは使用状況ベースの ECMP の方法では、 新 し いセ ッ シ ョ ン を、 設定 さ れた 帯域幅の制限 ([Spillover Threshold] またはルー ト ス ピルオーバー し き い値 と 呼ばれる ) に達 し て い な い イ ン タ フ ェ ー ス にルー テ ィ ン グ し ま す。 ス ピ ルオーバー ま たは使用状況ベー スの ECMP ルーテ ィ ングを設定す るには、 ス ピルオーバー ECMP の方法を有効に し て、 ECMP ルー ト を追加 し 、ECMP ルー ト によ っ て使用 さ れる イ ン タ フ ェ ースに [Spillover Threshold] を追加 し ます。 各 イ ン タ フ ェ ース で処理 さ れる帯域幅の量を制限す る には、 [Spillover Thresholds] を設 定 し ます。 ス ピルオーバーの ECMP ルーテ ィ ングが設定 さ れている場合、各イ ン タ フ ェ ースが設定済みの [Spillover Threshold] に達する ま で、 FortiGate ユニ ッ ト は新 し いセ ッ シ ョ ン を ECMP ルー ト に よ っ て使用 さ れる イ ン タ フ ェ ースにルーテ ィ ング し ます。 その後、 そのイ ン タ フ ェ ースの し き い値に達する と 、 新 し いセ ッ シ ョ ンは、 ECMP ルー ト に よ っ て使用 さ れる他のいずれかの イ ン タ フ ェ ースにルーテ ィ ング さ れます。 使用状況ベースの ECMP ルーテ ィ ン グを有効にす るには、 次の手順を使用 し ます。 FortiGate イ ン タ フ ェ ースの port3 と port4 にス ピルオーバー し き い値を追加 し た後、デバイ ス を port3 と port4 に設定 し た EMCP ルー ト を設定 し ます。 Web ベース マネージャからインタフェースにスピルオーバーしきい値を追加するには 1 2 3 4 238 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 [ECMP Route Failover & Load Balance Method] を [usage-based] に設定 し ます。 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 port3 と port4 の ECMP ルー ト を追加 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ECMP ルー ト のフ ェ ールオーバー と 負荷分散 [Destination IP /Mask] 192.168.20.0/24 [Device] port3 [Gateway] 172.20.130.3 [Distance] 9 [Destination IP /Mask] 192.168.20.0/24 [Device] port4 [Gateway] 172.20.140.4 [Distance] 9 5 [System]、 [Network]、 [Interface] の順に選択 し ます。 6 port3 と port4 を編集 し 、 次のス ピルオーバー し き い値を追加 し ます。 7 [Interface] port3 [Spillover Threshold (KBps)] 100 [Interface] port4 [Spillover Threshold (KBps)] 200 ルーテ ィ ング テーブルを表示するには、 [Router]、 [Monitor] の順に選択 し ます。 ルートは、表 48 に示す順序で表示できます。 表 48: [Routing Monitor] に表示される ECMP ルートの例 [Type] [Network] [Distance ] [Metric ] [Gateway] [Interface] [Static] 192.168.20.0/24 9 0 172.20.130.3 port3 [Static] 192.168.20.0/24 9 0 172.20.140.4 port4 こ の例では、 FortiGate ユニ ッ ト は、 すべてのセ ッ シ ョ ン を port3 を介 し て 192.168.20.0 ネ ッ ト ワー ク に送信 し ます。 port3 が 100 Kbps のス ピルオーバー し き い値を超え る と 、 FortiGate ユ ニ ッ ト は、すべての新 し いセ ッ シ ョ ン をport4を介 し て192.168.20.0ネ ッ ト ワー ク に送信 し ます。 CLI からインタフェースにルート スピルオーバーしきい値を追加するには 1 ECMP ルー ト の フ ェ ールオーバー と 負荷分散の方法を使用状況ベースに設定する に は、 次の コ マ ン ド を入力 し ます。 config system settings set v4-ecmp-mode usage-based end 2 3 つのイ ン タ フ ェ ースに 3 つのルー ト ス ピルオーバー し き い値を追加するには、 次の コ マ ン ド を入力 し ます。 config system interface edit port1 set spillover-threshold 400 next edit port2 set spillover-threshold 200 next edit port3 set spillover-threshold 100 end 3 各イ ン タ フ ェ ースに 1 つ、 3 つの ECMP デ フ ォル ト ルー ト を追加する には、 次の コ マ ン ド を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 239 ECMP ルー ト のフ ェ ールオーバー と 負荷分散 ルー タ - ス タ テ ィ ッ ク config router static edit 1 set dst 0.0.0.0/0.0.0.0 set gwy 172.20.110.1 set dev port1 next edit 2 set dst 0.0.0.0/0.0.0.0 set gwy 172.20.120.2 set dev port2 next edit 3 set dst 0.0.0.0/0.0.0.0 set gwy 172.20.130.3 set dev port3 end 4 ルーテ ィ ング テーブル内のス タ テ ィ ッ ク ルー ト を表示するには、 次の コ マ ン ド を入力 し ます。 get router info routing-table S 0.0.0.0/0 [10/0] via [10/0] via [10/0] via static 172.20.110.1, port1 172.20.120.2, port2 172.20.130.3, port3 こ の例では、 FortiGate ユニ ッ ト は、 すべてのセ ッ シ ョ ン を port1 を介 し て イ ン タ ーネ ッ ト に送 信 し ます。 port1 が 400 KBps のス ピルオーバー し き い値を超え る と 、 FortiGate ユニ ッ ト は、 す べての新 し いセ ッ シ ョ ン を port2 を介 し て イ ン タ ーネ ッ ト に送信 し ます。 port1 と port2 の両方 がス ピルオーバー し き い値を超え る と 、 FortiGate ユニ ッ ト は、 すべての新 し いセ ッ シ ョ ン を port3 を介 し て イ ン タ ーネ ッ ト に送信 し ます。 スピルオーバー ECMP でのルートの選択方法の詳細な説明 ECMP ルー ト を追加する と 、 こ れ ら のルー ト は、 [Routing Monitor] または get router info routing-table static コ マ ン ド によ っ て表示 さ れる順序でルーテ ィ ング テーブルに追加 さ れます。 こ の順序は、 設定 さ れた帯域幅の制限には関係あ り ません。 FortiGate ユニ ッ ト は、ルーテ ィ ング テーブル内の最初のルー ト を見つけた後、設定 さ れたルー ト ス ピルオーバー制限を超え る ト ラ フ ィ ッ ク を処理 し ていない FortiGate イ ン タ フ ェ ース上で セ ッ シ ョ ン を送信する こ と によ っ て、 新 し いセ ッ シ ョ ンの ECMP ルー ト を選択 し ます。 た と えば、 イ ン タ フ ェ ース port3 と port4 の両方が別の ISP を介 し て イ ン タ ーネ ッ ト に接続 さ れた FortiGate ユニ ッ ト を考えてみます。 ECMP ルーテ ィ ングは使用状況ベースに設定 さ れて お り 、 ルー ト ス ピルオーバーは port3 が 100 KBps、 port4 が 200 KBps です。 port3 に 1 つ と 、 port4 に 1 つの、 2 つの ECMP デ フ ォル ト ルー ト が追加 さ れます。 ルーテ ィ ング テーブル内で port3 へのルー ト の方が port4 へのルー ト よ り 上にある場合、 port3 が 100 KBps のデー タ を処理する ま で、 FortiGate ユニ ッ ト はすべてのデ フ ォ ル ト ルー ト セ ッ シ ョ ン を port3 か ら 送信 し ます。port3 が設定済みの帯域幅の制限に達する と 、FortiGate ユニ ッ ト は、 すべてのデ フ ォル ト ルー ト セ ッ シ ョ ン を port4 か ら 送信 し ます。 port3 の帯域幅使用率 が 100 KBps を下回る と 、 FortiGate は再び、 すべてのデ フ ォ ル ト ルー ト セ ッ シ ョ ン を port3 か ら送信 し ます。 ただ し 、すでにルーテ ィ ング キ ャ ッ シ ュ内にあ る IP ア ド レ ス を指定する新 し いセ ッ シ ョ ンは、 キ ャ ッ シ ュ さ れてい るルー ト を使用 し ます。 つま り 、 port3 が帯域幅の制限を超え ていて も、 その宛先ア ド レ スがすでにルーテ ィ ング キ ャ ッ シ ュ 内にあ る場合は、 新 し いセ ッ シ ョ ンが引 き続き port3 か ら 送信 さ れる こ と があ り ます。 その結果、 新 し いセ ッ シ ョ ンが port4 か ら 送信 さ れるのは、 port3 が帯域幅の制限を超えてお り 、 かつルーテ ィ ング キ ャ ッ シ ュ に新 し いセ ッ シ ョ ンの宛先 IP ア ド レ スのルー ト が含まれていない場合だけです。 port4 に対す る制限は、 ス ピルオーバーのための追加のイ ン タ フ ェ ースが存在する場合にのみ重要です。 240 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ECMP ルー ト のフ ェ ールオーバー と 負荷分散 また、 port4 への切 り 替え も、 port3 が帯域幅の制限を超え る と す ぐ に実行 さ れるわけではあ り ません。 切 り 替えが実行 さ れるには、 帯域幅使用率が一定期間、 制限を超えている必要があ り ます。 こ の期間中に port3 の帯域幅使用状況が帯域幅の制限を下回る と 、 セ ッ シ ョ ンは port4 には切 り 替え られません。 こ の遅延に よ り 、 ルー ト フ ラ ッ ピ ングが削減 さ れます。 ルー ト フ ラ ッ ピ ングは、 ルー ト がス テー タ ス を頻繁に変更する こ と によ り 、 ルー タ に連続的なルーテ ィ ング テーブルの変更および新 し い情報のブ ロー ド キ ャ ス ト を強制する場合に発生 し ます。 FortiGate の使用状況ベースの ECMP ルーテ ィ ングでは、 ルー ト が FortiGate イ ン タ フ ェ ース間 で均等に分散 さ れないため、 実際には負荷分散 さ れていません。 ト ラ フ ィ ッ ク量に応 じ て、 ほ と んどの ト ラ フ ィ ッ ク は通常、 最初の イ ン タ フ ェ ースに よ っ て処理 さ れ、 ス ピルオーバー ト ラ フ ィ ッ ク のみがその他のイ ン タ フ ェ ースに よ っ て処理 さ れます。 使用状況ベースの ECMP を設定する場合は、 たいてい、 ECMP ルー ト を含むすべてのイ ン タ フ ェ ースにス ピルオーバー し き い値を追加する必要があ り ます。デ フ ォル ト のス ピルオーバー し き い値は 0 です。 つま り 、 帯域幅の制限はあ り ません。 いずれかのイ ン タ フ ェ ースのス ピル オーバー し き い値が 0 の場合、 イ ン タ フ ェ ースが停止するか、 または切断 さ れない限 り 、 セ ッ シ ョ ンは リ ス ト 内の下の方の イ ン タ フ ェ ースにはルー テ ィ ン グ さ れません。 イ ン タ フ ェ ース は、 [Detect Interface Status for Gateway Load Balancing] で、 設定 さ れたサーバか らの応答が受 信 さ れない場合に停止する こ と があ り ます。 注記: すでにルーテ ィ ング キ ャ ッ シ ュ内にエ ン ト リ がある宛先IP ア ド レ スへの新 し いセ ッ シ ョ ンは、 その宛先ア ド レ ス用にす でにキ ャ ッ シ ュ に追加 さ れてい るルー ト を 使用 し て ルーテ ィ ング さ れます。 詳細については、 238 ページの 「同 じ 宛先 IP ア ド レ スへの同時 セ ッ シ ョ ンの ECMP ルーテ ィ ング」 を参照 し て く だ さ い。 インタフェースがスピルオーバーしきい値を超えているかどうかの判定 diagnose netlink dstmac list CLI コ マ ン ド を使用す る と 、 イ ン タ フ ェ ースがス ピル オーバー し き い値を超え ているかど う かを判定で き ます。こ の コ マ ン ド で over_bps=1 が表示 さ れる場合、 イ ン タ フ ェ ースは し き い値を超えています。 over_bps=0 の場合、 イ ン タ フ ェ ースは し き い値を超えていません。 重み付けされたスタティック ルートの負荷分散の設定 各ルー ト の重み付け を追加する こ と によ っ て、 FortiGate ユニ ッ ト によ る ECMP ルー ト 間での セ ッ シ ョ ンの分散方法を制御するには、 重み付け さ れた負荷分散を設定 し ます。 負荷分散で よ り 多 く のセ ッ シ ョ ン を割 り 当て るルー ト には、 よ り 大き な重み付け を追加 し ます。 ルー ト に重 み付けが割 り 当て られていない場合、そのルー ト の重み付けはデ フ ォル ト で 0 に設定 さ れます。 ECMP の負荷分散方法が [Weighted] に設定 さ れている場合、 FortiGate ユニ ッ ト は、 選択する ルー ト を決定する ために ラ ン ダムな値を生成する こ と に よ っ て、異な る宛先 IP を含むセ ッ シ ョ ン を分散 し ます。 あるルー ト を別のルー ト よ り 優先 し て選択す る確率は、 各ルー ト の重み付け の値に基づいています。 重み付けの大き いルー ト は、 選択 さ れる可能性が高 く な り ます。 ルー ト の重み付けの値に従 っ て、 多数のセ ッ シ ョ ンが ECMP ルー ト 間で均等に分散 さ れます。 すべての重み付けが同 じ である場合、 セ ッ シ ョ ンは均等に分散 さ れます。 ただ し 、 少数のセ ッ シ ョ ンの分散は均等にな ら ない こ と があ り ます。 た と えば、 同 じ 重み付けの 2 つの ECMP ルー ト が存在する場合は、 異な る IP ア ド レ スへの 2 つのセ ッ シ ョ ンが同 じ ルー ト を使用する可能 性があ り ます。 こ れに対 し て、 異な る宛先 IP を含む 10,000 のセ ッ シ ョ ンは、 2 つのルー ト 間 で等 し い割合で均等に負荷分散 さ れるはずです。 こ の分散は、 5000:5000 または 5001:4999 にな る可能性があ り ます。 また、 2 つのルー ト の重み付けが 100 と 200 である場合、 異な る宛先 IP ア ド レ ス を含む 10,000 のセ ッ シ ョ ンは 3333:6667 のよ う に負荷分散 さ れるはずです。 重み付けは、 新 し い宛先 IP ア ド レ スへのセ ッ シ ョ ンに対 し てルー ト が選択 さ れる方法にのみ 影響を与え ます。 すでにルーテ ィ ング キ ャ ッ シ ュ内にある IP ア ド レ スへの新 し いセ ッ シ ョ ン は、 すでにキ ャ ッ シ ュ内にある セ ッ シ ョ ンのルー ト を使用 し てルーテ ィ ング さ れます。 そのた め、 セ ッ シ ョ ンは実際には、 必ず し も ルーテ ィ ングの重み付けによ る分散に従っ て分散 さ れる と は限 り ません。 Web ベース マネージャからスタティック ルートに重み付けを追加するには 1 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 241 ECMP ルー ト のフ ェ ールオーバー と 負荷分散 2 3 4 ルー タ - ス タ テ ィ ッ ク [ECMP Route Failover & Load Balance Method] を [Weighted] に設定 し ます。 [Router]、 [Static]、 [Static Route] の順に選択 し ます。 ス タ テ ィ ッ ク ルー ト を新規に追加するか、 または編集 し 、 それら のルー ト に重み付け を 追加 し ます。 次の例は、重み付けが追加された 2 つの ECMP ルートを示しています。 [Destination IP /Mask] 192.168.20.0/24 [Device] port1 [Gateway] 172.20.110.1 [Distance] 10 [Weight] 100 [Destination IP /Mask] 192.168.20.0/24 [Device] port2 [Gateway] 172.20.120.2 [Distance] 10 [Weight] 200 こ の例では、 次のよ う にな り ます。 ・ 192.168.20.0 ネ ッ ト ワー ク へのセ ッ シ ョ ンの 1/3 は最初のルー ト を使用 し 、 IP ア ド レ スが 172.20.110.1 のゲー ト ウ ェ イ に port1 か ら送信 さ れます。 ・ 192.168.20.0 ネ ッ ト ワー ク へのセ ッ シ ョ ンのその他の 2/3 は 2 番目のルー ト を使用 し 、IP ア ド レ スが 172.20.120.2 のゲー ト ウ ェ イ に port2 か ら 送信 さ れます。 CLI からスタティック ルートに重み付けを追加するには 1 ECMP ルー ト の フ ェ ールオーバー と 負荷分散の方法を重み付けに設定する には、 次の コ マ ン ド を入力 し ます。 config system settings set v4-ecmp-mode weight-based end 2 3 つの ECMP ス タ テ ィ ッ ク ルー ト を追加 し 、 各ルー ト に重み付け を追加するには、 次の コ マ ン ド を入力 し ます。 config router static edit 1 set dst 192.168.20.0/24 set gwy 172.20.110.1 set dev port1 set weight 100 next edit 2 set dst 192.168.20.0/24 set gwy 172.20.120.2 set dev port2 set weight 200 next edit 3 set dst 192.168.20.0/24 set gwy 172.20.130.3 set dev port3 set weight 300 end 242 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ポ リ シー ルー ト 注記 : この例では、 3 つのすべてのルー ト について priority は 0 に、 また distance は 10 に設定 さ れたま まにな り ます。distanceが10 に設定 さ れている その他のルー ト はすべ て、weightが設定 さ れないため、0のweightが割 り 当て ら れ、負荷分散には含まれません。 こ の例では、 次のよ う にな り ます。 ・ 192.168.20.0 ネ ッ ト ワー ク へのセ ッ シ ョ ンの 1/6 は最初のルー ト を使用 し 、 IP ア ド レ スが 172.20.110.1 のゲー ト ウ ェ イ に port1 か ら送信 さ れます。 ・ 192.168.20.0 ネ ッ ト ワー ク へのセ ッ シ ョ ンの 1/3 は 2 番目のルー ト を使用 し 、IP ア ド レ スが 172.20.120.2 のゲー ト ウ ェ イ に port2 か ら送信 さ れます。 ・ 192.168.20.0 ネ ッ ト ワー ク へのセ ッ シ ョ ンの 1/2 は 3 番目のルー ト を使用 し 、IP ア ド レ スが 172.20.130.3 のゲー ト ウ ェ イ に port3 か ら送信 さ れます。 ポリシー ルート ルーテ ィ ング ポ リ シーを使用す る と 、 ス タ テ ィ ッ ク ルー ト か ら離れて ト ラ フ ィ ッ ク を リ ダ イ レ ク ト で き ます。 こ の機能は、特定の種類のネ ッ ト ワー ク ト ラ フ ィ ッ ク を異な っ た方法でルー テ ィ ングする場合に有効な こ と があ り ます。 受信 ト ラ フ ィ ッ クのプ ロ ト コ ル、 発信元ア ド レ ス またはイ ン タ フ ェ ース、 宛先ア ド レ ス、 ポー ト 番号な ど を使用 し て、 ト ラ フ ィ ッ クの送信先を 決定で き ます。 た と えば、 一般にネ ッ ト ワー ク ト ラ フ ィ ッ ク はサブ ネ ッ ト のルー タ に転送 さ れますが、 そのサブネ ッ ト に宛て ら れた SMTP または POP3 ト ラ フ ィ ッ ク を メ ール サーバに 直接転送する こ と も で き ます。 FortiGate ユニ ッ ト にルーテ ィ ン グ ポ リ シーが設定 さ れていて、 その FortiGate ユニ ッ ト にパ ケ ッ ト が到着 し た場合、 FortiGate ユニ ッ ト は [Policy Route] リ ス ト の先頭か ら開始 し て、 その パケ ッ ト を ポ リ シー と 一致 さ せよ う と 試みます。 一致が見つか り 、 そのポ リ シーにパケ ッ ト を ルーテ ィ ングする ための十分な情報 ( 少な く と も ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス と 、 そ のルー タ にパ ケ ッ ト を 転送す る た めの FortiGate イ ン タ フ ェ ー ス ) が含 ま れ て い る 場合、 FortiGate ユニ ッ ト はポ リ シー内の情報を使用 し てパケ ッ ト をルーテ ィ ング し ます。そのパケ ッ ト に一致するポ リ シー ルー ト が存在 し ない場合、 FortiGate ユニ ッ ト はルーテ ィ ング テーブル を使用 し てパケ ッ ト をルーテ ィ ング し ます。 ほ と んどのポ リ シー設定はオ プ シ ョ ン である ため、 一致するポ リ シーだけでは、 パケ ッ ト を転 送す る ための十分な情報が提供 さ れない可能性があ り ます。 FortiGate ユニ ッ ト は、 パケ ッ ト ヘ ッ ダ内の情報をルーテ ィ ング テーブル内のルー ト と 照合 し よ う と し て、 ルーテ ィ ング テー ブルを参照する こ と があ り ます。 た と えば、 ポ リ シーに送信イ ン タ フ ェ ースの項目 し か存在 し ない場合、 FortiGate ユニ ッ ト はネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス をルーテ ィ ング テーブ ル内で検索 し ます。 こ の状況は、 イ ン タ フ ェ ースが動的 (DHCP や PPPoE な ど ) であ り 、 かつ ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を指定 し た く ないか、 または指定で き ない場合に発生す る こ と があ り ます。 ポ リ シー ルー ト のオプ シ ョ ンに よ っ て、 着信パケ ッ ト のどの属性でポ リ シー ルーテ ィ ングを 実行す る かが定義 さ れ ま す。 パ ケ ッ ト の属性が指定 さ れ た すべ て の条件 に一致 し た 場合、 FortiGate ユニ ッ ト は指定 さ れた イ ン タ フ ェ ース を介 し て、 指定 さ れたゲー ト ウ ェ イ にパケ ッ ト をルーテ ィ ング し ます。 ポ リ シー ルー ト を追加するには、 [Router]、[Static]、[Policy Route] の順に選択 し 、 [Create New] を選択 し ます。 サー ビ スの種類の詳細につい ては、 245 ペー ジの 「サー ビ スの種類」 を 参照 し て く だ さ い。 図 は、"external" と "internal" と い う 名前の イ ン タ フ ェ ース を備えた FortiGate ユニ ッ ト に属す るポ リ シー ルー ト リ ス ト を示 し ています。 FortiGate ユニ ッ ト 上の実際のイ ン タ フ ェ ースの名 前は こ れ と は異な る場合があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 243 ポ リ シー ルー ト ルー タ - ス タ テ ィ ッ ク [Policy Route] ページ 作成したすべてのポリシー ルートを表示します。このページでは、新しいポリシー ルートを編集、削 除、または作成することができます。 [Create New] ポ リ シー ルー ト を追加 し ます。 245 ページの 「ポ リ シー ルー ト の例」 を 参照 し て く だ さ い。 # 設定 さ れたルー ト ポ リ シーの ID 番号。 こ れ ら の番号は、 テーブル内でポ リ シーが移動 さ れていない限 り 、 連番 と な り ます。 [Incoming] ルー ト ポ リ シーの対象 と な るパケ ッ ト を受信す る イ ン タ フ ェ ース。 [Outgoing] ポ リ シ ーに よ っ てルー テ ィ ン グ さ れ るパケ ッ ト を ルー テ ィ ン グす る イ ン タ フ ェ ース。 [Source] ポ リ シー ルーテ ィ ン グ を実行する IP 発信元ア ド レ スお よびネ ッ ト ワー ク マス ク。 [Destination] ポ リ シー ルーテ ィ ン グ を実行す る IP 宛先ア ド レ スお よびネ ッ ト ワー ク マ ス ク。 [Delete] ポ リ シー ルー ト を削除 し ます。 [Edit] ポ リ シー ルー ト を編集 し ます。 [New Routing Policy] ページ ス タ テ ィ ッ ク ルー ト か ら 離れて ト ラ フ ィ ッ ク を リ ダ イ レ ク ト す る方法 を 設定す る ための各設定 を 提供 し ます。 [If incoming traffic matches:] [Protocol] パケ ッ ト のプ ロ ト コ ル フ ィ ール ド 内の値に基づいてポ リ シー ルーテ ィ ン グ を実行す る には、 一致する プ ロ ト コ ル番号を入力 し ます。 イ ン タ ーネ ッ ト プ ロ ト コ ル番号は、 IP パケ ッ ト ヘ ッ ダ内に含まれています。 プ ロ ト コ ル番号は RFC 5237 に記述 さ れてお り 、 割 り 当て ら れた プ ロ ト コ ル番号の リ ス ト は こ こ で見つけ る こ と がで き ます。 範囲は 0 ~ 255 です。 0 の値を 指定する と 、 こ の機能は無効にな り ます。 ヒ ン ト : 一般に使用 さ れる [Protocol] の設定には、 TCP セ ッ シ ョ ン をルー テ ィ ン グす る ための 6、 UDP セ ッ シ ョ ンのための 17、 ICMP セ ッ シ ョ ンの ための 1、 GRE セ ッ シ ョ ンのための 47、 マルチキ ャ ス ト セ ッ シ ョ ンのた めの 92 な どがあ り ます。 6 と 17 以外のプ ロ ト コ ルでは、 ポー ト 番号は無視 さ れます。 [Incoming interface] ポ リ シ ーの対象 と な る 着信パケ ッ ト が経由す る イ ン タ フ ェ ー スの名前 を 選択 し ます。 [Source address/mask] パケ ッ ト の IP 発信元ア ド レ スに基づいてポ リ シー ルーテ ィ ン グ を実行す る には、 一致す る 発信元 ア ド レ ス と ネ ッ ト ワー ク マ ス ク を 入力 し ま す。 0.0.0.0/0.0.0.0 の値を指定す る と 、 こ の機能は無効に な り ます。 [Destination address/mask] パケ ッ ト の IP 宛先ア ド レ スに基づいてポ リ シー ルーテ ィ ン グ を実行する に は、 一 致 す る 宛 先 ア ド レ ス と ネ ッ ト ワ ー ク マ ス ク を 入 力 し ま す。 0.0.0.0/0.0.0.0 の値を指定す る と 、 こ の機能は無効に な り ます。 [Destination ports] パケ ッ ト を 受信す る ポー ト に基づいてポ リ シ ー ルーテ ィ ン グ を実行す る には、 [From] フ ィ ール ド と [To] フ ィ ール ド に同 じ ポー ト 番号を入力 し ま す。 ポー ト の範囲にポ リ シー ルーテ ィ ン グ を 適用す る には、 開始のポー ト 番号を [From] フ ィ ール ド に、 終了のポー ト 番号を [To] フ ィ ール ド に入 力 し ます。 0 の値を指定する と 、 こ の機能は無効に な り ます。 [Destination ports] フ ィ ール ド は、 TCP およ び UDP プ ロ ト コ ルにのみ使用 さ れます。 その他のプ ロ ト コ ルではすべて、 こ れ ら のポー ト はスキ ッ プ さ れます。 [Type of Service] 2 桁の 16 進数のビ ッ ト パ タ ーン を使用 し てサー ビ ス を一致 さ せるか、 ま たは 2 桁の 16 進数のビ ッ ト マ ス ク を使用 し て マ ス ク 除外 し ます。 詳細に ついては、 245 ページの 「サー ビ スの種類」 を参照 し て く だ さ い。 [Force traffic to:] 244 [Outgoing interface] ポ リ シ ーの影響 を 受け るパケ ッ ト がルー テ ィ ン グ さ れ る イ ン タ フ ェ ー ス の名前を選択 し ます。 [Gateway Address] FortiGate ユニ ッ ト が指定 さ れた イ ン タ フ ェ ース を介 し て ア ク セ ス で き る ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。0.0.0.0 の値は無効 です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ス タ テ ィ ッ ク ポ リ シー ルー ト ポリシー ルートの例 port1 で受信 さ れたすべての FTP ト ラ フ ィ ッ ク を、 port10 イ ン タ フ ェ ースか ら IP ア ド レ スが 172.20.120.23 のネ ク ス ト ホ ッ プ ルー タ に送信す る には、 次のポ リ シー ルー ト を設定 し ます。 FTP ト ラ フ ィ ッ ク をルーテ ィ ン グするには、 プ ロ ト コ ルを 6 (TCP 用 ) に設定 し 、 両方の宛先 ポー ト を 21 (FTP ポー ト ) に設定 し ます。 [Protocol] 6 [Incoming interface] port1 [Source address/mask] 0.0.0.0/0.0.0.0 [Destination address/mask] 0.0.0.0/0.0.0.0 [Destination ports] 21 か ら 21 ま で [Type of Service] ビ ッ ト パ タ ーン : 00 (16 進数 ) ビ ッ ト マ ス ク : 00 (16 進数 ) [Outgoing interface] port10 [Gateway Address] 172.20.120.23 サービスの種類 サービ スの種類 (TOS) は、 遅延、 優先順位、 信頼性、 最小の コ ス ト な どの品質を使用 し て IP デー タ グ ラ ムの配信方法を決定で き る よ う にする ための、 IP ヘ ッ ダ内の 8 ビ ッ ト フ ィ ール ド です。 各品質によ り 、 ゲー ト ウ ェ イは、 デー タ グ ラ ムをルーテ ィ ングする ための最適な方法を決定で き る よ う にな り ます。 ルー タ は、 ルーテ ィ ング テーブル内のルー ト ご と に TOS 値を保持 し て います。 最 も プ ラ イ オ リ テ ィ の低い TOS は 0 で、 最 も プ ラ イ オ リ テ ィ の高い TOS は 7 ( ビ ッ ト 3、 4、 および 5 がすべて 1 に設定 さ れている ) です。 ルー タ は、 デー タ グ ラ ムの TOS を、 宛先への可能性のあるいずれかのルー ト の TOS と 一致 さ せよ う と 試みます。 一致が存在 し な い場合、 デー タ グ ラ ムは 0 の TOS ルー ト を介 し て送信 さ れます。 高い品質を使用 し た場合は、 パ フ ォ ーマ ン ス を向上 さ せよ う と し て限 ら れたネ ッ ト ワー ク リ ソ ースが消費 さ れる こ と がある ため、 配信の コ ス ト が増え る可能性があ り ます。 詳細について は、 RFC 791 お よび RFC 1349 を参照 し て く だ さ い。 表 49: IP ヘッダの TOS 8 ビット フィールド内の各ビットの役割 ビット 0、1、2 優先順位 一部のネ ッ ト ワー ク では、 優先順位の高い ト ラ フ ィ ッ ク を よ り 重 要な ト ラ フ ィ ッ ク と し て扱います。 優先順位は 1 つのネ ッ ト ワー ク 内でのみ使用す る必要があ り 、 ネ ッ ト ワー ク ご と に異な っ た方 法で使用で き ます。 通常、 こ れ ら のビ ッ ト を 気にす る必要はあ り ません。 ビット 3 遅延 1 に設定 さ れてい る場合、 こ の ビ ッ ト は、 短い遅延が優先 さ れる こ と を示 し ます。 こ れは、 遅延に よ っ て音の品質が低下する VoIP な どのサー ビ スに有効です。 ビット 4 スループット 1 に設定 さ れてい る場合、 こ の ビ ッ ト は、 高いスルー プ ッ ト が優 先 さ れる こ と を示 し ます。 こ れは、 ビ デオ会議な どの、 多 く の帯 域幅が必要なサービ スに有効です。 ビット 5 信頼性 1 に設定 さ れてい る場合、 こ の ビ ッ ト は、 高信頼性が優先 さ れる こ と を示 し ます。 こ れは、 DNS サーバな どの、 サービ ス を常に使 用で き る必要があ る場合に有効です。 ビット 6 コスト 1 に設定 さ れてい る場合、 こ の ビ ッ ト は、 低 コ ス ト が優先 さ れる こ と を示 し ます。 一般に、 ビ ッ ト 3、 4、 ま たは 5 を有効にする と 関連する配信 コ ス ト が高 く な り ます。 ビ ッ ト 6 は、 最 も コ ス ト の 低いルー ト を使用する こ と を示 し ます。 ビット 7 将来の使用のため 現時点では使用 さ れていません。 に予約済み FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 245 ポ リ シー ルー ト ルー タ - ス タ テ ィ ッ ク た と えば、 遅延が受け入れ られない VoIP ア プ リ ケーシ ョ ンのために短い遅延 と 高信頼性を割 り 当て る場合は、 xxx1x1xx のビ ッ ト パ タ ーン を使用 し ます。 こ こ で、 "x" は、 ビ ッ ト を任意の 値にで き る こ と を示 し ます。 設定 さ れていない ビ ッ ト があ る ため、 こ れはビ ッ ト マ ス ク の適 切な使用です。 0x14 に設定 さ れた マス ク は、 短い遅延 と 高信頼性のために設定 さ れてい る任 意の TOS パケ ッ ト に一致 し ます。 246 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク RIP ルータ - ダイナミック こ の項では、 [Routing] メ ニ ュ ーにあ る ダ イ ナ ミ ッ ク ルーテ ィ ン グについて説明 し ます。 ダ イ ナ ミ ッ ク ルーテ ィ ングの詳細については、『FortiOS ハン ド ブ ッ ク 』 の 「ダ イ ナ ミ ッ ク ルーテ ィ ング」 の章を参照 し て く だ さ い。 ダ イ ナ ミ ッ ク ルーテ ィ ング プ ロ ト コ ルを使用する と 、 FortiGate ユニ ッ ト は、 ルー ト に関する 情報の隣接ルー タ と の共有や、それ ら のルー タ によ っ てア ド バ タ イズ さ れたルー ト お よびネ ッ ト ワー ク についての学習を自動的に行 う こ と がで き ます。 FortiGate ユニ ッ ト は、 次のダ イ ナ ミ ッ ク ルーテ ィ ング プ ロ ト コ ルをサポー ト し ています。 ・ RIP (Routing Information Protocol) ・ OSPF (Open Shortest Path First) ・ BGP (Border Gateway Protocol) FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ン (VDOM) を有効に し た場合、 ダ イ ナ ミ ッ ク ルー テ ィ ン グはバーチ ャ ル ド メ イ ン ご と に別々に設定 さ れます。 詳細については、 73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ RIP ・ OSPF ・ BGP ・ マルチキ ャ ス ト ・ BFD (Bi-directional Forwarding Detection) 注記 : FortiGate ユニ ッ ト は、 ルー ト バーチ ャル ド メ イ ン内で PIM (Protocol Independent Multicast) バージ ョ ン 2 ルー タ と し て動作で き ます。 FortiGate ユニ ッ ト は、 PIM スパース モー ド お よびデン ス モー ド をサポー ト し てお り 、FortiGate イ ン タ フ ェ ースが接続 さ れてい る ネ ッ ト ワー ク セグ メ ン ト 上のマルチキ ャ ス ト サーバま たはレ シーバにサー ビ ス を提供 で き ます。 PIM は、 ス タ テ ィ ッ ク ルー ト 、 RIP、 OSPF、 または BGP を使用 し て、 マルチ キ ャ ス ト パケ ッ ト を宛先に転送で き ます。 RIP RIP (Routing Information Protocol) は、小規模で、比較的均質なネ ッ ト ワー ク を対象に し た、デ ィ ス タ ン ス ベ ク ト ルのルーテ ィ ング プ ロ ト コ ルです。FortiGate での RIP の実装は、RIP バージ ョ ン 1 (RFC 1058 を参照 ) および RIP バージ ョ ン 2 (RFC 2453 を参照 ) をサポー ト し ています。 RIP は、 [Routing]、 [Dynamic]、 [RIP] の順に選択 し て表示 さ れる画面で設定 さ れます。 [RIP] ページ 作成 し たすべてのネ ッ ト ワー ク お よ び イ ン タ フ ェ ース を表示 し ます。 こ のページ ではま た、 基本的な RIP 設定 ( イ ン タ フ ェ ースやネ ッ ト ワー ク の作成を含む ) を設定する こ と も で き ます。 [RIP Version] FortiGate ユニ ッ ト で必要な RIP 互換性のレ ベルを選択 し ます。 RIP が有効な ネ ッ ト ワー ク に接続 さ れたすべての FortiGate イ ン タ フ ェ ース上でグ ローバル な RIP 設定を有効にす る こ と がで き ます。 [1] ― RIP バージ ョ ン 1 のパケ ッ ト を送受信 し ます。 [2] ― RIP バージ ョ ン 2 のパケ ッ ト を送受信 し ます。 必要に応 じ て、特定の FortiGate イ ン タ フ ェ ースのグ ロ ーバル設定を置き換え る こ と がで き ます。 詳細については、 249 ページの 「RIP が有効な イ ン タ フ ェ ー ス」 を参照 し て く だ さ い。 [Advanced Options] RIP 詳細設定オプ シ ョ ンの表示 と 非表示を切 り 替え る には、 展開の矢印を選択 し ます。 詳細については、 248 ページの 「RIP 詳細設定オ プ シ ョ ン」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 247 RIP ルー タ - ダ イ ナ ミ ッ ク [RIP] ページの [Networks] セクション RIP を実行 し ている (FortiGate ユニ ッ ト に接続 さ れた ) 主要なネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 [Networks] リ ス ト にネ ッ ト ワー ク を追加す る と 、 そのネ ッ ト ワー ク に含まれてい る FortiGate イ ン タ フ ェ ースが RIP 更新で ア ド バ タ イ ズ さ れます。 RIP ネ ッ ト ワー ク ア ド レ ス空間に一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上で RIP を有効にする こ と がで き ます。 [IP/Netmask] RIP が有効なネットワークを定義する IP アドレスとネットマスクを入力します。 [Add] [Networks] リ ス ト にネ ッ ト ワー ク 情報を追加する場合に選択 し ます。 [Delete] RIP ネ ッ ト ワー ク の リ ス ト か ら ネ ッ ト ワー ク を削除す る場合に選択 し ます。 [RIP] ページの [Interfaces] セクション FortiGate イ ン タ フ ェ ース上の RIP 動作を調整す る ために必要な任意の追加の設定。 [Create New] イ ン タ フ ェ ースの新 し い RIP 動作パ ラ メ ー タ を追加 し ます。 こ れ ら のパ ラ メ ー タ に よ っ て、その イ ン タ フ ェ ースのグ ローバルな RIP 設定が置 き換え ら れます。 詳細については、 249 ページの 「RIP が有効な イ ン タ フ ェ ース」 を参照 し て く だ さ い。 [Interface] こ のユニ ッ ト の RIP イ ン タ フ ェ ースの名前。 [Send Version] 各 イ ン タ フ ェ ース を介 し て更新を送信する ために使用 さ れる RIP のバージ ョ ン であ り 、 [1]、 [2]、 [both] のいずれか。 [Receive Version] 各イ ン タ フ ェ ース上で更新を待機する ために使用 さ れる RIP のバージ ョ ン であ り 、 [1]、 [2]、 [both] のいずれか。 [Authentication] こ の イ ン タ フ ェ ース上で使用 さ れる認証の タ イ プ であ り 、[None]、[Text]、[MD5] のいずれか。 [Passive] こ の イ ン タ フ ェ ース上の RIP ブ ロー ド キ ャ ス ト のための権限。 緑色のチ ェ ッ ク マー ク は、 RIP ブ ロ ー ド キ ャ ス ト がブ ロ ッ ク さ れてい る こ と を示 し ます。 [Edit] RIP イ ン タ フ ェ ースの設定を変更する場合に選択 し ます。 [Delete] [RIP Interface] リ ス ト か ら RIP イ ン タ フ ェ ース を削除す る場合に選択 し ます。 RIP 詳細設定オプション RIP 詳細設定オプ シ ョ ン を使用する と 、 RIP タ イ マの設定を指定 し た り 、 FortiGate ユニ ッ ト が RIP 更新以外の何 らかの手段に よ っ て学習 し たルー ト を再配布する ための メ ト リ ッ ク を定義 し た り する こ と がで き ます。 た と えば、 ユニ ッ ト が OSPF または BGP ネ ッ ト ワー ク に接続 さ れ てい る場合や、 FortiGate ルーテ ィ ング テーブルにス タ テ ィ ッ ク ルー ト を手動で追加する場合 は、 こ れ ら のルー ト を RIP が有効な イ ン タ フ ェ ース上でア ド バ タ イズする よ う にユニ ッ ト を設 定で き ます。 追加の詳細設定オプ シ ョ ンは、カ ス タ マ イズ可能な GUI ウ ィ ジ ェ ッ ト お よび CLI を使用 し て設 定で き ます。 た と えば、 受信 し た更新または送信する更新を、 ルー ト マ ッ プ、 ア ク セス リ ス ト 、 またはプ レ フ ィ ッ ク ス リ ス ト を使用 し て フ ィ ル タ 処理で き ます。 FortiGate ユニ ッ ト では ま た、 指定 さ れたオ フ セ ッ ト をルー ト の メ ト リ ッ ク に追加す る オ フ セ ッ ト リ ス ト も サポー ト さ れています。 カ ス タ マ イ ズ可能な GUI ウ ィ ジ ェ ッ ト の詳細については、 260 ページの 「」 を 参照 し て く だ さ い。 CLI ルーテ ィ ング コ マ ン ド の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の "router" の章を参照 し て く だ さ い。 RIP 詳細設定オ プ シ ョ ンは、 [Router]、 [Dynamic]、 [RIP] の順に選択 し て表示 さ れ る ページの [Advanced Options] で設定 さ れます。 こ れ らの詳細設定オ プ シ ョ ン を設定で き る よ う に、 非表 示にな っ た設定を表示するには、 [Advanced Options] を展開する必要があ り ます。 [RIP] ページの [Advanced Options] セクション 248 [Advanced Options] 詳細設定オプションの表示と非表示を切り替えるには、 展開の矢印を選択します。 [Default Metric] FortiGate ユニットが、FortiGate ルーティング テーブルに追加されたルートに割り当て るデフォルトのホップ カウントを入力します。 範囲は 1 ~ 16 です。 このメトリックは ホップ カウントであり、 1 が最適または最短であることを示します。 特に指定 さ れていない限 り 、 こ の値は [Redistribute] に も適用 さ れます。 [Default-informationoriginate] FortiGate ユニ ッ ト の RIP が有効なネ ッ ト ワー ク へのデ フ ォ ル ト ルー ト を生成 し て ア ド バ タ イ ズする場合に選択 し ます。生成 さ れるルー ト は、ダ イ ナ ミ ッ ク ルー テ ィ ン グ プ ロ ト コ ル を 介 し て学習 さ れたルー ト 、 ルー テ ィ ン グ テ ー ブ ル内の ルー ト 、 ま たはその両方に基づいてい る可能性があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク RIP [RIP Timers] デ フ ォ ル ト の RIP タ イ マ設定を置き換え る ための新 し い値を入力 し ます。こ れ ら のデ フ ォ ル ト 設定は、 ほ と んどの設定で有効です。 こ れ ら の設定を変更す る場合 は、 新 し い設定がロ ー カル ルー タ やア ク セ ス サーバ と 互換性があ る こ と を確認 し て く だ さ い。 [Update] タ イ マが [Timeout] ま たは [Garbage] タ イ マ よ り 小 さ い場合は、 エ ラ ー が表示 さ れます。 [Update] FortiGate ユニ ッ ト が RIP 更新を送信する間に待つ時間 ( 秒単位 ) を入力 し ます。 [Timeout] ルー ト に関す る更新が受信 さ れな く て も 、そのルー ト が到達可能 と 見な さ れる最 長時間 ( 秒単位 ) を入力 し ます。 こ れは、 ルー ト に関する更新が受信 さ れな く て も 、 FortiGate ユニ ッ ト がその到達可能なルー ト をルーテ ィ ン グ テーブル内に保 持す る最長時間です。 [Timeout] の期間が切れ る前に FortiGate ユニ ッ ト がその ルー ト に関す る更新を受信す る と 、 タ イ マは再起動 さ れます。 [Timeout] の期間は、 [Update] の期間の少な く と も 3 倍の長 さ にする必要があ り ます。 [Garbage] FortiGate ユ ニ ッ ト がルー テ ィ ン グ テ ー ブルか ら ルー ト を 削除す る ま で に その ルー ト を到達不可 と し て ア ド バ タ イ ズする時間 ( 秒単位 ) を入力 し ます。 こ の値 に よ っ て、 到達不可のルー ト がルーテ ィ ン グ テーブル内に保持 さ れ る期間が決 定 さ れます。 [Redistribute] RIP を介 し て学習 さ れなか っ たルー ト に関する RIP 更新を再配布する には、 1 つ 以上のオプ シ ョ ン を選択 し ます。 FortiGate ユニ ッ ト は、 RIP を使用 し て、 直接接 続 さ れたネ ッ ト ワー ク 、 ス タ テ ィ ッ ク ルー ト 、 OSPF、 お よ び BGP か ら 学習 さ れたルー ト を再配布で き ます。 [Connected] 直接接続 さ れた ネ ッ ト ワー ク か ら 学習 さ れたルー ト を 再配布す る場合に オ ン に し ます。 こ れ ら のルー ト のホ ッ プ カ ウ ン ト を指定する には、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウ ン ト を入力 し ます。 ホ ッ プ カ ウ ン ト の有効な 範囲は 1 ~ 16 です。 [Static] ス タ テ ィ ッ ク ルー ト か ら 学習 さ れたルー ト を 再配布す る場合に オ ン に し ま す。 こ れ ら のルー ト のホ ッ プ カ ウ ン ト を 指定す る には、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウ ン ト を入力 し ます。 範囲は 1 ~ 16 です。 [OSPF] OSPF を 介 し て学習 さ れたルー ト を 再配布す る 場合に オ ン に し ます。 こ れ ら の ルー ト のホ ッ プ カ ウ ン ト を指定す る には、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウ ン ト を入力 し ます。 範囲は 1 ~ 16 です。 [BGP] BGP を介 し て学習 さ れたルー ト を再配布する場合にオ ン に し ます。こ れ ら のルー ト のホ ッ プ カ ウ ン ト を指定する には、 [Metric] を選択 し 、 [Metric] フ ィ ール ド に ホ ッ プ カ ウ ン ト を入力 し ます。 範囲は 1 ~ 16 です。 RIP が有効なインタフェース RIP イ ン タ フ ェ ース オプ シ ョ ン を使用する と 、 RIP が有効なネ ッ ト ワー ク に接続 さ れたすべて の FortiGate ユニ ッ ト イ ン タ フ ェ ースに適用 さ れるグローバルな RIP 設定を置き換え る こ と が で き ます。 た と えば、 RIP が有効なネ ッ ト ワー ク のサブネ ッ ト に接続 さ れた イ ン タ フ ェ ース上 の RIP ア ド バ タ イ ズを抑制する場合は、そのイ ン タ フ ェ ース を受動的に動作する よ う に設定で き ます。 受動的な イ ン タ フ ェ ースは RIP 更新を待機 し ますが、 RIP 要求には応答 し ません。 イ ン タ フ ェ ース上で RIP バージ ョ ン 2 が有効にな っ ている場合は、 FortiGate ユニ ッ ト が隣接 ルー タ か ら の更新 を受け付け る前にそのルー タ を確実に認証で き る よ う にパスワー ド 認証 を 選択する こ と も で き ます。ユニ ッ ト と 隣接ルー タ の両方に同 じ パスワー ド が設定 さ れている必 要があ り ます。 認証に よ っ て、 更新パケ ッ ト の正当性が保証 さ れますが、 パケ ッ ト 内のルー テ ィ ング情報の機密性は保証 さ れません。 RIP が有効な イ ン タ フ ェ ースは、 [Router]、 [Dynamic]、 [RIP] の順に選択 し て表示 さ れる画面で 設定 さ れます。 注記 : ス プ リ ッ ト ホ ラ イズンやキー チ ェ ーン などの追加オプ シ ョ ンは、CLI を使用 し て イ ン タ フ ェ ー ス ご と に設定で き ま す。 詳細につ い ては、 『FortiGate CLI リ フ ァ レ ン ス 』 の router の章を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 249 OSPF ルー タ - ダ イ ナ ミ ッ ク [New/Edit RIP Interface] ページ RIP イ ン タ フ ェ ー ス を 設定す る た めの各設定 を 提供 し ま す。 [RIP] ペー ジ の [Interfaces] セ ク シ ョ ン で [Create New] を選択す る と 、 [New/Edit RIP Interface] ページに自動的に リ ダ イ レ ク ト さ れます。 [Interface] こ れ ら の設定を適用する FortiGate イ ン タ フ ェ ースの名前を選択 し ます。 こ の イ ン タ フ ェ ースは、 RIP が有効なネ ッ ト ワー ク に接続 さ れてい る必要があ り ます。 こ の イ ン タ フ ェ ースには、 仮想 IPSec ま たは GRE イ ン タ フ ェ ース を指定で き ます。 [Send Version]、 [Receive Version] こ のイ ン タ フ ェ ース を介 し て更新を送受信す る ためのデ フ ォ ル ト の RIP 互換性設 定を置き換え る場合に、RIP バージ ョ ン を [1]、[2]、ま たは [Both] か ら 選択 し ます。 [Authentication] 指定 し た イ ン タ フ ェ ース での RIP 交換の認証方法を選択 し ます。 [None] ― 認証を無効に し ます。 [Text] ― こ の イ ン タ フ ェ ースが、RIP バージ ョ ン 2 を実行 し てい る ネ ッ ト ワー ク に 接続 さ れてい る場合に選択 し ます。 [Password] フ ィ ール ド に、 パスワー ド ( 最大 35 文字 ) を入力 し ます。 FortiGate ユニ ッ ト と RIP 更新ルー タ の両方に同 じ パス ワー ド が設定 さ れてい る必要があ り ま す。 こ のパスワー ド は、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で送信 さ れます。 [MD5] ― MD5 を使用 し て交換を認証 し ます。 [Password] 認証のためのパスワー ド を入力 し ます。 [Passive Interface] 指定 し た イ ン タ フ ェ ース を介 し た FortiGate ユニ ッ ト のルーテ ィ ン グ情報のア ド バ タ イ ズ を抑制する場合に選択 し ます。 こ の イ ン タ フ ェ ースが RIP 要求に正常に応 答で き る よ う にす る には、 こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 OSPF OSPF (Open Shortest Path First) は、 同 じ 自律シ ステム (AS) 内のルー タ 間でルーテ ィ ング情報 を共有する ために、大規模な異種ネ ッ ト ワー ク で最も よ く 使用 さ れてい る リ ン ク 状態ルーテ ィ ング プ ロ ト コ ルです。 FortiGate ユニ ッ ト は、 OSPF バージ ョ ン 2 (RFC 2328 を参照 ) をサポー ト し ています。 OSPF の主な利点は、 指定された間隔ごとにではなく、 隣接機器の状態が変更された場合にのみ ルートをアドバタイズするため、 ルーティングのオーバーヘッドが削減される点にあります。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ OSPF AS の定義 - 概要 ・ 基本的な OSPF 設定 ・ OSPF 詳細設定オプ シ ョ ン ・ OSPF エ リ アの定義 ・ OSPF ネ ッ ト ワー ク ・ OSPF イ ン タ フ ェ ースの動作パ ラ メ ー タ OSPF AS の定義 - 概要 OSPF 自律シ ス テム (AS) の定義には、 次の操作が含まれます。 ・ 1 つ以上の OSPF エ リ アの特性の定義 ・ 定義 し た OSPF エ リ ア と 、 その OSPF AS に含める ロー カル ネ ッ ト ワー ク の間の関連付け の作成 ・ 必要に応 じ て、 OSPF が有効な イ ン タ フ ェ ースの設定の調整 Web ベース マネージ ャ を使用 し て こ れ らの タ ス ク を実行する場合は、 下に要約 さ れてい る手 順に従 っ て く だ さ い。 基本的な OSPF 設定 OSPF 設定を設定する場合は、 OSPF を有効にする AS を定義する と と も に、 その AS に参加す る FortiGate イ ン タ フ ェ ース を指定する必要があ り ます。 AS の定義の一部 と し て、 AS エ リ ア を指定 し 、 それら のエ リ アに含めるネ ッ ト ワー ク を指定 し ます。 また、 FortiGate イ ン タ フ ェ ー ス上の OSPF 動作に関連付け られた設定を調整する こ と も で き ます。 OSPF 設定は、 [Router]、 [Dynamic]、 [OSPF] の順に選択 し て表示 さ れる画面で設定 さ れます。 250 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク OSPF [OSPF] ページ OSPF のために作成 し たすべてのエ リ ア、 ネ ッ ト ワー ク 、 お よび イ ン タ フ ェ ース を表示 し ます。 [Router ID] FortiGate ユニ ッ ト を他の OSPF ルー タ と 区別す る ための一意のルー タ ID を入力 し ます。 慣例に よ り 、 ルー タ ID は、 OSPF AS 内のいずれかの FortiGate イ ン タ フ ェ ースに割 り 当て ら れた数値的に最 も 大 き い IP ア ド レ ス です。 イ ン タ フ ェ ース上に OSPF が設定 さ れてい る間にルー タ ID を変更す る と 、 OSPF 隣接機器へのすべての接続が一時的に停止 し ます。 こ れ ら の接続は自動的に再確 立 さ れます。 ルー タ ID が明示的に設定 さ れていない場合は、VDOM またはユニ ッ ト の最 も 大 き い IP ア ド レ スが使用 さ れます。 [Advanced Options] OSPF 詳細設定の表示 と 非表示を切 り 替え る には、 展開の矢印 を選択 し ます。 詳 細については、 252 ページの 「OSPF 詳細設定オ プ シ ョ ン」 を参照 し て く だ さ い。 [OSPF] ページの [Areas] セクション OSPF AS を構成 し てい る エ リ アに関す る情報。 OSPF パケ ッ ト のヘ ッ ダには、 AS 内にあ るパケ ッ ト の発 信元の識別に役立つエ リ ア ID が含まれています。 [Create New] 新 し い OSPF エ リ ア を定義 し て [Areas] リ ス ト に追加 し ます。 詳細については、 253 ページの 「OSPF エ リ アの定義」 を参照 し て く だ さ い。 [Edit] エ リ アの設定を変更する場合に選択 し ます。 [Delete] [Areas] リ ス ト か ら エ リ ア を削除す る場合に選択 し ます。 [Area] ドット区切り 10 進数で表記された、 AS 内にあるエリアの一意の 32 ビット識別子。 エリ ア ID 0.0.0.0 は AS のバックボーンを参照しており、 変更や削除はできません。 [Type] AS 内のエ リ アの種類には、 次の も のがあ り ます。 ・ [Regular] - 通常の OSPF エ リ ア ・ [NSSA] - NSSA ・ [Stub] - ス タ ブ エ リ ア 詳細については、 253 ページの 「OSPF エ リ アの定義」 を参照 し て く だ さ い。 [Authentication] 各エ リ ア に リ ン ク さ れてい るすべてのFortiGate イ ン タ フ ェ ース を介 し て送受信 さ れた OSPF パケ ッ ト を認証する ための方法。 [None] ― 認証は無効にな り ます。 [Text] ― テキス ト ベースの認証が有効にな り ます。 [MD5] ― MD5 認証が有効にな り ます。 [Interfaces] に表示 さ れてい る よ う に、 エ リ ア内の一部のイ ン タ フ ェ ースに対 し て 別の認証設定が適用 さ れる可能性があ り ます。 た と えば、 あ る エ リ ア で単純なパ スワー ド を認証に使用 し てい る場合は、 そのエ リ ア内の 1 つ以上のネ ッ ト ワー ク に対 し て別のパスワー ド を設定で き ます。 [OSPF] ページの [Networks] セクション OSPF AS 内のネ ッ ト ワー ク と 、 それぞれのエ リ ア ID。 [Networks] リ ス ト にネ ッ ト ワー ク を追加す る と 、 そのネ ッ ト ワー ク に含まれている すべての FortiGate イ ン タ フ ェ ースが OSPF リ ン ク 状態ア ド バ タ イ ズ メ ン ト で ア ド バ タ イ ズ さ れます。 OSPF ネ ッ ト ワー ク ア ド レ ス空間に一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上で OSPF を有効にす る こ と がで き ます。詳細については、253 ページの 「OSPF ネ ッ ト ワー ク」 を参照 し て く だ さ い。 [Create New] AS にネ ッ ト ワー ク を追加 し 、 そのエ リ ア ID を指定 し て、 その定義を [Networks] リ ス ト に追加 し ます。 [Edit] エ リ アの設定を変更する場合に選択 し ます。 [Delete] [Areas] リ ス ト か ら エ リ ア を削除す る場合に選択 し ます。 [Network] OSPF を実行 し てい る AS 内のネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク。 FortiGate ユニ ッ ト は、 そのネ ッ ト ワー ク に接続 さ れた物理ま たは VLAN イ ン タ フ ェ ース を備えてい る可能性があ り ます。 [Area] OSPF ネ ッ ト ワー ク ア ド レ ス空間に割 り 当て ら れたエ リ ア ID。 [OSPF] ページの [Interfaces] セクション FortiGate イ ン タ フ ェ ース上の OSPF 動作を調整する ために必要な任意の追加の設定。 詳細については、 254 ページの 「OSPF イ ン タ フ ェ ースの動作パ ラ メ ー タ 」 を参照 し て く だ さ い。 [Create New] ユニ ッ ト イ ン タ フ ェ ースの追加ま たは別の OSPF 動作パ ラ メ ー タ を作成 し 、 その 設定を [Interfaces] リ ス ト に追加 し ます。 [Edit] エ リ アの設定を変更する場合に選択 し ます。 [Delete] [Areas] リ ス ト か ら エ リ ア を削除す る場合に選択 し ます。 [Name] OSPF イ ン タ フ ェ ース定義の名前。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 251 OSPF ルー タ - ダ イ ナ ミ ッ ク [Interface] 同 じ エ リ ア内の他のすべての イ ン タ フ ェ ースに割 り 当て ら れたデ フ ォ ル ト 値 と は 異な る OSPF 設定を持つ FortiGate 物理ま たは VLAN イ ン タ フ ェ ースの名前。 [IP] 追加または別の設定を持つ OSPF が有効な イ ン タ フ ェ ースの IP ア ド レ ス。 [Authentication] OSPF が有効な特定のイ ン タ フ ェ ース上で送受信 さ れた LSA 交換を認証する ため の方法。 こ れ ら の設定に よ っ て、 そのエ リ アの [Authentication] 設定が置き換え ら れます。 OSPF 詳細設定オプション OSPF 詳細設定オプ シ ョ ン を選択する こ と によ っ て、FortiGate ユニ ッ ト が OSPF リ ン ク状態ア ド バ タ イ ズ メ ン ト 以外の何 ら かの手段に よ っ て学習 し たルー ト を再配布す る ための メ ト リ ッ ク を指定で き ます。 た と えば、 FortiGate ユニ ッ ト が RIP または BGP ネ ッ ト ワー ク に接続 さ れ てい る場合や、 FortiGate ルーテ ィ ング テーブルにス タ テ ィ ッ ク ルー ト を手動で追加する場合 は、 こ れ ら のルー ト を OSPF が有効な イ ン タ フ ェ ース上でア ド バ タ イズする よ う にユニ ッ ト を 設定で き ます。 追加の詳細設定オプ シ ョ ンは、カ ス タ マ イズ可能な GUI ウ ィ ジ ェ ッ ト お よび CLI を使用 し て設 定で き ます。 た と えば、 受信 し た更新または送信する更新を、 ルー ト マ ッ プ、 ア ク セス リ ス ト 、 またはプ レ フ ィ ッ ク ス リ ス ト を使用 し て フ ィ ル タ 処理で き ます。 FortiGate ユニ ッ ト では ま た、 指定 さ れたオ フ セ ッ ト をルー ト の メ ト リ ッ ク に追加す る オ フ セ ッ ト リ ス ト も サポー ト さ れています。 カ ス タ マ イ ズ可能な GUI ウ ィ ジ ェ ッ ト の詳細については、 260 ページの 「」 を 参照 し て く だ さ い。 CLI ルーテ ィ ング コ マ ン ド の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の "router" の章を参照 し て く だ さ い。 OSPF 詳細設定オプ シ ョ ンは、 [Router]、 [Dynamic]、 [RIP] の順に選択 し て表示 さ れる画面にあ り ます。 こ れ ら のオプ シ ョ ンにア ク セスするには、 こ のページ で [Advanced Options] を展開す る必要があ り ます。 [OSPF] ページ上の [Advanced Options] 252 [Router ID] FortiGate ユニ ッ ト を他の OSPF ルー タ と 区別する ための一意のルー タ ID を入力 し ます。 展開の矢印 [Advanced Options] の表示 と 非表示を切 り 替え る場合に選択 し ます。 [Default Information] OSPF AS へのデフォルト ( 外部 ) ルートを生成してアドバタイズします。 生成される ルートは、 ダイナミック ルーティング プロトコルを介して学習されたルート、 ルーティン グ テーブル内のルート、 またはその両方に基づくことができます。 [None] デ フ ォ ル ト ルー ト が生成 さ れない よ う に し ます。 [Regular] OSPF AS へのデ フ ォ ル ト ルー ト を生成 し 、 そのルー ト が FortiGate ルーテ ィ ン グ テーブルに格納 さ れる場合のみ、 そのルー ト を隣接す る自律シ ス テムにア ド バ タ イ ズ し ます。 [Always] OSPF AS へのデ フ ォ ル ト ルー ト を生成 し 、 そのルー ト が FortiGate ルーテ ィ ン グ テーブルに格納 さ れない場合であ っ て も 、 そのルー ト を隣接する自律シ ス テムに 無条件にア ド バ タ イ ズ し ます。 [Redistribute] OSPF を介 し て学習 さ れなか っ たルー ト に関す る OSPF リ ン ク 状態ア ド バ タ イ ズ メ ン ト を再配布する には、 表示 さ れてい る 1 つ以上のオプ シ ョ ン を選択 し ます。 FortiGate ユニ ッ ト は、 OSPF を 使用 し て、 直接接続 さ れた ネ ッ ト ワー ク 、 ス タ テ ィ ッ ク ルー ト 、 RIP、 お よび BGP か ら 学習 さ れたルー ト を再配布で き ます。 [Connected] 直接接続 さ れた ネ ッ ト ワー ク か ら 学習 さ れたルー ト を 再配布す る 場合に オ ン に し ます。 [Metric] フ ィ ー ル ド に、 こ れ ら のル ー ト の コ ス ト を 入力 し ま す。 範囲は 1 ~ 16,777,214 です。 [Static] ス タ テ ィ ッ ク ルー ト か ら 学習 さ れたルー ト を再配布する場合にオ ン に し ます。 [Metric] フ ィ ー ル ド に、 こ れ ら のル ー ト の コ ス ト を 入力 し ま す。 範囲は 1 ~ 16,777,214 です。 [RIP] RIP を介 し て学習 さ れたルー ト を再配布する場合にオ ン に し ます。 [Metric] フ ィ ー ル ド に、 こ れ ら のル ー ト の コ ス ト を 入力 し ま す。 範囲は 1 ~ 16,777,214 です。 [BGP] BGP を介 し て学習 さ れたルー ト を再配布す る場合にオ ン に し ます。 [Metric] フ ィ ー ル ド に、 こ れ ら のル ー ト の コ ス ト を 入力 し ま す。 範囲は 1 ~ 16,777,214 です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク OSPF OSPF エリアの定義 エ リ アによ っ て、 OSPF AS の一部が論理的に定義 さ れます。 各エ リ アは、 ド ッ ト 区切 り 10 進 数表記 ( た と えば、 192.168.0.1) で表現 さ れた 32 ビ ッ ト のエ リ ア ID に よ っ て識別 さ れます。 エ リ ア ID 0.0.0.0 は、 OSPF ネ ッ ト ワー ク バ ッ ク ボーンのために予約 さ れています。 AS の残 り の エ リ ア を、 通常、 ス タ ブ、 または NSSA と し て分類で き ます。 通常エ リ アには、 そのエ リ アへの OSPF が有効な イ ン タ フ ェ ース を、 それぞれが少な く と も 1 つは備えた複数のルー タ が含まれます。 OSPF バ ッ ク ボーンに到達するには、ス タ ブ エ リ ア内のルー タ はパケ ッ ト を エ リ ア境界ルー タ に送信する必要があ り ます。 OSPF 以外の ド メ イ ン につながるルー ト は、 ス タ ブ エ リ ア内の ルー タ にはア ド バ タ イ ズ さ れません。 エ リ ア境界ルー タ は、 OSPF AS に、 ス タ ブ エ リ アへの 単一のデ フ ォ ル ト ルー ト ( 宛先は 0.0.0.0) を ア ド バ タ イズ し ます。 こ れによ り 、 特定のルー ト に該当 し ない OSPF パケ ッ ト はすべてデ フ ォ ル ト ルー ト に従 う こ と が保証 さ れます。 ス タ ブ エ リ アに接続 さ れたルー タ はすべて、 そのス タ ブ エ リ アの一部 と 見な さ れます。 NSSA (Not-So-Stubby Area) では、 そのエ リ アか ら出て OSPF 以外の ド メ イ ンにつながるルー ト が OSPF AS に通知 さ れます。 ただ し 、 そのエ リ ア自体は、 AS の他の部分によ っ て引き続き ス タ ブ エ リ アのよ う に扱われます。 通常エ リ ア と ス タ ブ エ リ ア (NSSA を含む ) は、 エ リ ア境界ルー タ を介 し て OSPF バ ッ ク ボー ンに接続 さ れます。 OSPF の定義は、 [Router]、[Dynamic]、 [OSPF] の順に選択 し て表示 さ れる画面で設定 さ れます。 注記 : 必要に応 じ て、 OSPF バ ッ ク ボーンへの物理的な接続が失われたエ リ アへの仮想 リ ン ク を定義で き ます。 仮想 リ ン ク は、 エ リ ア境界ルー タ と し て機能する 2 つの FortiGate ユ ニ ッ ト 間にのみ設定で き ます。 仮想 リ ン ク の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [New/Edit OSPF Area] ページ OSPF エ リ ア を定義す る ための設定を提供 し ます。 [OSPF] ページの [Areas] セ ク シ ョ ン で [Create New] を選択する と 、 [New/Edit OSPF Area] ページに自動的に リ ダ イ レ ク ト さ れます。 [Area] こ のエ リ アの 32 ビ ッ ト 識別子を入力 し ます。 こ の値は、 ド ッ ト 区切 り 10 進数表記の IP ア ド レ ス と 同 じ 形式にする必要があ り ます。 OSPF エ リ ア を作成 し た後、 エ リ ア IP の値を変更する こ と はで き ません。そのエ リ ア を削除 し て、や り 直す必要があ り ます。 [Type] そのエ リ ア に割 り 当 て ら れ る ネ ッ ト ワー ク の特性 を 分類す る ためのエ リ アの種類 を 選択 し ます。 [Regular] ― エ リ ア に、そのエ リ アへの OSPF が有効な イ ン タ フ ェ ース を それぞれが 少な く と も 1 つは備えた複数のルー タ を含める場合。 [NSSA] ― 外部の OSPF 以外の ド メ イ ンへのルー ト を OSPF AS に通知す るが、そのエ リ アは AS の他の部分に よ っ て ス タ ブ エ リ アのよ う に扱われる よ う にす る場合。 [STUB] ― エ リ ア内のルー タ がバ ッ ク ボー ン に到達す る にはパケ ッ ト を エ リ ア境界 ルー タ に送信する必要があ り 、 OSPF 以外の ド メ イ ンへのルー ト がエ リ ア内のルー タ にア ド バ タ イ ズ さ れないよ う にす る場合。 [Authentication] エ リ ア内のすべての イ ン タ フ ェ ース を介 し て送受信 さ れた OSPF パケ ッ ト を認証する ための方法を選択 し ます。 [None] ― 認証を無効に し ます。 [Text] ― プ レ ー ン テキス ト のパスワー ド を使用 し て LSA 交換を認証する ために テキ ス ト ベースのパスワー ド 認証を有効に し ます。 こ のパスワー ド は、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で送信 さ れます。 [MD5] ― MD5 暗号化ハ ッ シ ュ (RFC 1321) を使用 し て、MD5 ベースの認証を有効に し ます。 必要に応 じ て、 そのエ リ ア内の 1 つ以上の イ ン タ フ ェ ースに対 し て こ の設定を置き換 え る こ と がで き ます。 詳細については、 254 ページの 「OSPF イ ン タ フ ェ ースの動作 パ ラ メ ー タ 」 を参照 し て く だ さ い。 OSPF ネットワーク OSPF エリアによって、 いくつかの隣接ネットワークがグループ化されます。 ネットワーク アドレス空 間にエリア ID を割り当てると、 そのエリアの属性がネットワークに関連付けられます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 253 OSPF ルー タ - ダ イ ナ ミ ッ ク ネ ッ ト ワー ク への OSPF エ リ ア ID の割 り 当ては、 [Router]、 [Dynamic]、 [OSPF] の順に選択 し て表示 さ れる画面で設定 さ れます。 ネ ッ ト ワー ク に OSPF エ リ ア ID を割 り 当て るには、 こ の ページの [Networks] セ ク シ ョ ン を使用する必要があ り ます。 [New/Edit OSPF Network] ページ エ リ ア ID に割 り 当て ら れたネ ッ ト ワー ク を設定する ための各設定を提供 し ます。 [OSPF] ペー ジの [Networks] セ ク シ ョ ン で [Create New] を選択す る と 、 [New/Edit OSPF Network] ページ に 自動的に リ ダ イ レ ク ト さ れます。 [IP/Netmask] OSPF エ リ アに割 り 当て る ロー カ ル ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マス ク を入力 し ます。 [Area] こ のネ ッ ト ワー ク のエ リ ア ID を選択 し ます。 こ のエ リ アの属性は、 指定 し た ネ ッ ト ワー ク の特性およ び ト ポ ロ ジ に一致 し ている必要があ り ます。 エ リ ア ID を選択する前に、 エ リ ア を定義する必要があ り ます。詳細については、253 ペー ジの 「OSPF エ リ アの定義」 を参照 し て く だ さ い。 OSPF インタフェースの動作パラメータ OSPF イ ン タ フ ェ ース定義には、 FortiGate の OSPF が有効な イ ン タ フ ェ ースの特定の動作パラ メ ー タ が含まれています。 こ の定義には、 イ ン タ フ ェ ースの名前 ( た と えば、 external または VLAN_1)、 イ ン タ フ ェ ースに割 り 当て られた IP ア ド レ ス、 イ ン タ フ ェ ース を介 し て LSA 交換 を認証する ための方法、 および OSPF の Hello パケ ッ ト や停止間隔パケ ッ ト を送受信する ため の タ イ マ設定が含まれます。 OSPF が有効なネ ッ ト ワー ク エ リ アに一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上で OSPF を有効にする こ と がで き ます。 た と えば、 0.0.0.0 のエ リ ア を定義 し 、 OSPF ネ ッ ト ワー ク を 10.0.0.0/16 と し て定義 し ます。 次に、 vlan1 を 10.0.1.1/24 と し て、 vlan2 を 10.0.2.1/24 と し て、 vlan3 を 10.0.3.1/24 と し て定義 し ます。 こ れら の 3 つの VLAN がすべて、 エ リ ア 0.0.0.0 で OSPF を実行で き ます。 すべてのイ ン タ フ ェ ース を有効にする には、 OSPF ネ ッ ト ワー ク 0.0.0.0/0 を作成 し ます。 イ ン タ フ ェ ースの MD5 キーの動作パラ メ ー タ を入力す る と き、 次の特殊文字はサポー ト さ れ ません。 ・ <> ・ # ・ () ・ " ・ ' イ ン タ フ ェ ースに複数のIP ア ド レ スが割 り 当て られている場合は、同 じ FortiGate イ ン タ フ ェ ー スに対 し て異な る OSPF パ ラ メ ー タ を設定で き ます。 た と えば、 異な るサブネ ッ ト を介 し て、 2 つの隣接機器に同 じ FortiGate イ ン タ フ ェ ース を接続で き ます。 あ る隣接機器の設定 と の互 換性のために、 Hello および停止間隔パ ラ メ ー タ の 1 つのセ ッ ト を含む OSPF イ ン タ フ ェ ース 定義を設定する と 同時に、 2 つ目の隣接機器の設定 と の互換性を保証する ために、 同 じ イ ン タ フ ェ ースの 2 つ目の OSPF イ ン タ フ ェ ース定義を設定で き ます。 OSPF 動作パ ラ メ ー タ は、 [Router]、 [Dynamic]、 [OSPF] の順に選択 し て表示 さ れ る ページの [Interfaces] セ ク シ ョ ン で設定 さ れます。 [New/Edit OSPF Interface] ページ OSPF イ ン タ フ ェ ース を設定する ための各設定を提供 し ます。[OSPF] ページの [Interfaces] セ ク シ ョ ン で [Create New] を選択す る と 、 [New/Edit OSPF Interface] ページに自動的に リ ダ イ レ ク ト さ れます。 254 [Name] OSPF イ ン タ フ ェ ース定義を識別する ための名前を入力 し ます。 た と えば、 その イ ン タ フ ェ ースの リ ン ク 先の OSPF エ リ ア を示す名前にす る こ と がで き ます。 [Interface] こ の OSPF イ ン タ フ ェ ース定義に関連付け る FortiGate イ ン タ フ ェ ースの名前 ( た と え ば、 port1、 external、 VLAN_1) を 選択 し ま す。 FortiGate ユ ニ ッ ト は、 OSPF が有効な ネ ッ ト ワー ク に接続 さ れた物理、 VLAN、 仮想 IPSec、 ま たは GRE イ ン タ フ ェ ース を備 えている可能性があ り ます。 [IP] OSPF が有効な イ ン タ フ ェ ースに割 り 当て ら れてい る IP ア ド レ ス を入力 し ます。 こ の イ ン タ フ ェ ースは、 IP ア ド レ スが OSPF ネ ッ ト ワー ク ア ド レ ス空間に一致する ため、 OSPF が有効な イ ン タ フ ェ ースにな り ます。 た と えば、 172.20.120.0/24 の OSPF ネ ッ ト ワー ク を定義 し てお り 、 port1 に IP ア ド レ ス 172.20.120.140 が割 り 当て ら れてい る場合は、 「172.20.120.140」 を入 力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク BGP [Authentication] 指定 し た イ ン タ フ ェ ース での LSA 交換のための認証方法を選択 し ます。 [None] ― 認証を無効に し ます。 [Text] ― プ レ ー ン テキス ト のパスワー ド を使用 し て LSA 交換を認証 し ます。こ のパス ワー ド は最大 35 文字であ り 、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で送信 さ れます。 [MD5] ― 1 つ以上のキーを使用 し て MD5 暗号化ハ ッ シ ュ を生成 し ます。 [Password] プ レ ーン テキス ト のパスワー ド を入力 し ます。 最大 15 文字の英数字の値を入力 し ま す。 こ の FortiGate イ ン タ フ ェ ースに リ ン ク 状態ア ド バ タ イ ズ メ ン ト を送信する OSPF 隣接機器に も 、 同 じ パスワー ド が設定 さ れている必要があ り ます。 こ の フ ィ ール ド は、 プ レ ーン テキス ト 認証を選択 し た場合にのみ使用で き ます。 [MD5 Keys] [ID] フ ィ ール ド に ( 最初の ) パスワー ド のキー識別子 ( 範囲は 1 ~ 255) を入力 し た後、 [Key] フ ィ ール ド に それに関連付け ら れたパス ワー ド を 入力 し ま す。 こ のパス ワー ド は、 最大 16 文字の英数字文字列で表 さ れた 128 ビ ッ ト のハ ッ シ ュ です。 こ れ ら の文字 を入力する と き、 < >、 ( )、 #、 "、 お よ び ' はサポー ト さ れていないため、 こ れ ら の文 字を使用 し ないで く だ さ い。 こ の FortiGate イ ン タ フ ェ ースに リ ン ク 状態ア ド バ タ イ ズ メ ン ト を送信する OSPF 隣接 機器に も 、 同 じ MD5 キーが設定 さ れてい る必要があ り ます。 OSPF 隣接機器が MD5 ハ ッ シ ュ の生成に複数のパスワー ド を使用 し ている場合は、[Add] ア イ コ ン を選択 し て リ ス ト に MD5 キー を追加 し ます。 こ の フ ィ ール ド は、 MD5 認証を選択 し た場合にのみ使用で き ます。 [Hello Interval] 必要に応 じ て、すべての OSPF 隣接機器上の [Hello Interval] 設定 と 互換性があ る よ う に [Hello Interval] を設定 し ます。 こ の設定に よ っ て、 FortiGate ユニ ッ ト が こ の イ ン タ フ ェ ース を介 し て Hello パケ ッ ト を送信する間に待つ期間 ( 秒単位 ) が定義 さ れます。 [Dead Interval] 必要に応 じ て、 すべての OSPF 隣接機器上の [Dead Interval] 設定 と 互換性があ る よ う に [Dead Interval] を設定 し ます。 こ の設定に よ っ て、 FortiGate ユニ ッ ト が こ の イ ン タ フ ェ ース を介 し て OSPF 隣接機器 か ら Hello パケ ッ ト を受信する ま でに待つ期間 ( 秒単位 ) が定義 さ れます。 指定 さ れた 時間内に FortiGate ユニ ッ ト が Hello パケ ッ ト を受信 し ない場合、FortiGate ユニ ッ ト は、 こ の隣接機器を ア ク セ ス不可 と し て宣言 し ます。 慣例に よ り 、 [Dead Interval] の値は一般に [Hello Interval] の値の 4 倍です。 BGP BGP (Border Gateway Protocol) は、 異な る ISP ネ ッ ト ワー ク間でルーテ ィ ング情報を交換する ために ISP によ っ て一般に使用 さ れる イ ン タ ーネ ッ ト ルーテ ィ ング プ ロ ト コ ルです。 た と え ば、 BGP を使用す る と 、 ISP ネ ッ ト ワー ク と 、 RIP や OSPF、 またはその両方を使用 し て自律 シ ス テム (AS) 内でパケ ッ ト をルーテ ィ ング し てい る AS の間でネ ッ ト ワー ク パス を共有で き ます。 FortiGate での BGP の実装は BGP-4 をサポー ト し てお り 、 RFC 1771 および RFC 2385 に 準拠 し ています。 注記 : グ レース フ ル リ ス タ ー ト やその他の詳細設定は、 CLI コ マ ン ド を使用 し てのみ設定 で き ます。 BGP 詳細設定の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の router の 章を参照 し て く だ さ い。 BGP を設定する場合は、 FortiGate ユニ ッ ト が属 し ている AS を指定する と と も に、 こ のユニ ッ ト を他の BGP ルー タ と 区別する ためのルー タ ID を入力する必要があ り ます。 また、 FortiGate ユニ ッ ト の BGP 隣接機器を識別 し 、 それ らの BGP 隣接機器に FortiGate ユニ ッ ト のどのロー カル ネ ッ ト ワー ク を ア ド バ タ イ ズするかを指定する こ と も必要です。 BGP 設定は、 [Router]、 [Dynamic]、 [BGP] の順に選択 し て表示 さ れる画面で設定 さ れます。 Web ベース マネージ ャ によ っ て、 基本的な BGP オプ シ ョ ン を設定する ための簡略化 さ れたユーザ イ ン タ フ ェ ースが提供 さ れます。 また、 CLI を使用 し て多 く の BGP 詳細設定オプ シ ョ ン を設定 する こ と も で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の router の章を参照 し て く だ さ い。 [BGP] ページ 作成 し たすべての隣接機器お よびネ ッ ト ワー ク を表示 し ます。 こ のページ ではま た、 隣接機器、 ネ ッ ト ワー ク 、 お よび ロー カル AS を設定する こ と も で き ます。 ま た、 4 バイ ト の AS パス も 設定で き ます。 4 バイ ト の AS パスの設定に関す る追加情報が必要な場合は、 RFC 4893 を参照 し て く だ さ い。 [Local AS] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク FortiGate ユニ ッ ト が属 し ている ロ ー カ ル AS の番号を入力 し ます。 255 マルチキ ャ ス ト ルー タ - ダ イ ナ ミ ッ ク [Router ID] FortiGate ユニ ッ ト を他の BGP ルー タ と 区別する ための一意のルー タ ID を入力 し ま す。 こ のルー タ ID は、 ド ッ ト 区切 り 10 進数の形式 ( た と えば、 192.168.0.1) で 記述 さ れた IP ア ド レ ス です。 イ ン タ フ ェ ース上に BGP が設定 さ れてい る間にルー タ ID を変更する と 、 BGP ピ ア へのすべての接続が一時的に停止 し ます。こ れ ら の接続は自動的に再確立 さ れます。 ルー タ ID が明示的に設定 さ れていない場合は、 VDOM の最 も 大き い IP ア ド レ スが 使用 さ れます。 [BGP] ページの [Neighbors] セクション 隣接する自律シ ス テム内にあ る BGP ピ アの IP ア ド レ ス と AS 番号。 [IP] BGP が有効なネ ッ ト ワー ク への隣接機器 イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ま す。 [Remote AS] こ の隣接機器が属 し ている AS の番号を入力 し ます。 [Add/Edit] [Neighbors] リ ス ト に隣接機器情報を追加するか、 ま たは リ ス ト 内のエ ン ト リ を編集 し ます。 [Neighbor] BGP ピ アの IP ア ド レ ス。 [Remote AS] こ の BGP ピ アに関連付け ら れてい る自律シ ス テムの番号。 [Delete] BGP 隣接機器エ ン ト リ を削除 し ます。 [BGP] ページの [Networks] セクション BGP ピ アに ア ド バ タ イ ズす る ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。FortiGate ユニ ッ ト は、 それら のネ ッ ト ワー ク に接続 さ れた物理または VLAN イ ン タ フ ェ ース を備え てい る可能性があ り ます。 [IP/Netmask] ア ド バ タ イ ズ さ れる ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト マ ス ク を入力 し ます。 [Add] [Networks] リ ス ト にネ ッ ト ワー ク 情報を追加 し ます。 [Network] BGP ピ ア にア ド バ タ イ ズ さ れる主要なネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マス ク。 [Delete] BGP ネ ッ ト ワー ク 定義を削除 し ます。 注記 : get router info bgp CLI コ マ ン ド によ っ て、 設定 さ れた BGP 設定に関する詳 細情報が提供 さ れます。 コ マ ン ド オ プ シ ョ ンの完全な リ ス ト については、 『FortiGate CLI リ フ ァ レ ン ス 』 の router の章を参照 し て く だ さ い。 マルチキャスト FortiGate ユニ ッ ト は、 ルー ト バーチ ャ ル ド メ イ ン内で PIM (Protocol Independent Multicast) バージ ョ ン 2 ルー タ と し て動作で き ます。 FortiGate ユニ ッ ト は、 PIM スパース モー ド (RFC 2362) および PIM デン ス モー ド (RFC 3973) をサポー ト し てお り 、 FortiGate イ ン タ フ ェ ースが 接続 さ れている ネ ッ ト ワー ク セグ メ ン ト 上のマルチキ ャ ス ト サーバまたはレ シーバにサービ ス を提供で き ます。 注記 : 基本的なオ プ シ ョ ンは、 Web ベース マネージ ャ で設定で き ます。 多 く の追加オ プ シ ョ ンが使用で き ますが、 それら のオプ シ ョ ンは CLI から のみ使用で き ます。CLI コ マ ン ド を使用 し て PIM 設定を設定する方法の詳細な説明お よび例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の router の章にある multicast を参照 し て く だ さ い。 マルチキ ャ ス ト (PIM) ルーテ ィ ングが有効にな っ ている場合は、任意の FortiGate イ ン タ フ ェ ー ス上でスパース モー ド またはデン ス モー ド 動作を設定で き ます。 PIM 設定は、 [Router]、 [Dynamic]、 [Multicast] の順に選択 し て表示 さ れる画面で設定 さ れます。 Web ベース マネージ ャ によ っ て、基本的な PIM オプ シ ョ ン を設定する ための簡略化 さ れたユー ザ イ ン タ フ ェ ースが提供 さ れます。 また、 CLI を使用 し て PIM 詳細設定オプ シ ョ ン を設定する こ と も で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の "router" の章を参照 し て く だ さ い。 256 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク マルチキ ャ ス ト [Multicast] ページ 作成 し た個々のマルチキ ャ ス ト ルー ト を表示 し ます。 こ のページ ではま た、 各マルチキ ャ ス ト ルー ト を 設定 し た り 、 RP ア ド レ ス を追加 し た り す る こ と も で き ます。 [Enable Multicast Routing] PIM バージ ョ ン 2 のルーテ ィ ン グ を有効にする場合にオ ン に し ます。 カ プ セル化 さ れたパケ ッ ト や カ プ セル化解除 さ れたデー タ が発信元 と 宛先の間を通過で き る よ う にする には、 PIM が有効な イ ン タ フ ェ ース上で フ ァ イ ア ウ ォ ール ポ リ シー を 作成する必要があ り ます。 [Static Rendezvous Points (RPs)] スパース モー ド 動作に必要な場合は、 マルチキ ャ ス ト グルー プのためのパケ ッ ト 配布ツ リ ーのルー ト と し て使用で き る ラ ンデブー ポ イ ン ト (RP) の IP ア ド レ ス を入力 し ます。 マルチキ ャ ス ト グループか ら の結合 メ ッ セージや、 発信元か ら の デー タ が RP に送信 さ れます。 指定 さ れた IP のマルチキ ャ ス ト グループの RP がすでにブ ー ト ス ト ラ ッ プ ルー タ (BSR) に通知 さ れている場合は、 BSR に通知 さ れてい る RP が使用 さ れ、 指定 し た静的 RP ア ド レ スは無視 さ れます。 [Apply] 指定 し た静的 RP ア ド レ ス を保存 し ます。 [Create New] イ ン タ フ ェ ースの新 し いマルチキ ャ ス ト エ ン ト リ を作成 し ます。 こ の新 し いエ ン ト リ を使用 し て、 特定の FortiGate イ ン タ フ ェ ース上の PIM 動作 を微調整 し た り 、 特定の イ ン タ フ ェ ース上のグ ローバルな PIM 設定を置き換えた り す る こ と がで き ます。 詳細については、 257 ページの 「イ ン タ フ ェ ース上のマ ルチキ ャ ス ト 設定の置き換え」 を参照 し て く だ さ い。 [Interface] 特定の PIM 設定を持つ FortiGate イ ン タ フ ェ ースの名前。 [Mode] そのイ ン タ フ ェ ース上の PIM 動作のモー ド ([Sparse] ま たは [Dense])。 [Status] こ のイ ン タ フ ェ ース上のスパース モー ド RP 候補のス テー タ ス。 イ ン タ フ ェ ース上の RP 候補のス テー タ ス を変更す る には、 その イ ン タ フ ェ ース に対応する行にあ る [ 編集 ] ア イ コ ン を選択 し ます。 [Priority] そのイ ン タ フ ェ ース上の RP 候補に割 り 当て ら れた プ ラ イ オ リ テ ィ 番号。 RP 候補 が有効にな っ てい る場合にのみ使用で き ます。 [DR Priority] こ の イ ン タ フ ェ ース上の指定ルー タ (DR) 候補に割 り 当て ら れた プ ラ イ オ リ テ ィ 番号。 スパース モー ド が有効にな っ てい る場合にのみ使用で き ます。 [Delete] こ のイ ン タ フ ェ ース上の PIM 設定を削除する場合に選択 し ます。 [Edit] こ のイ ン タ フ ェ ース上の PIM 設定を変更する場合に選択 し ます。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ イ ン タ フ ェ ース上のマルチキ ャ ス ト 設定の置き換え ・ マルチキ ャ ス ト 宛先 NAT インタフェース上のマルチキャスト設定の置き換え PIM ド メ イ ンに接続 さ れた FortiGate イ ン タ フ ェ ースの動作パ ラ メ ー タ を設定するには、 マル チキ ャ ス ト (PIM) イ ン タ フ ェ ース オ プ シ ョ ン を使用 し ます。 た と えば、 PIM が有効なネ ッ ト ワー ク セグ メ ン ト に接続 さ れた イ ン タ フ ェ ース上でデ ン ス モー ド を有効にする こ と がで き ま す。 スパース モ ー ド が有効に な っ てい る場合は、 イ ン タ フ ェ ー ス上の ラ ン デ ブ ー ポ イ ン ト (RP) または指定ルー タ (DR) 候補のア ド バ タ イ ズに使用 さ れる プ ラ イ オ リ テ ィ 番号を調整で き ます。 イ ン タ フ ェ ース上のマルチキ ャ ス ト 設定の置き換えは、 [Router]、 [Dynamic]、 [Multicast] の順 に選択 し て表示 さ れる画面で設定 さ れます。 [New] ページ 新 し い マ ル チ キ ャ ス ト イ ン タ フ ェ ー ス を 設定す る た めの各設定 を 提供 し ま す。 [Multicast] ペ ー ジ で [Create New] を選択す る と 、 [New] ページに自動的に リ ダ イ レ ク ト さ れます。 [Interface] こ れ ら の設定を適用するルー ト VDOM FortiGate イ ン タ フ ェ ースの名前を選択 し ます。 こ の イ ン タ フ ェ ースは、 PIM バージ ョ ン 2 が有効なネ ッ ト ワー ク セグ メ ン ト に接続 さ れている必要があ り ます。 [PIM Mode] 動作のモー ド を [Sparse Mode] または [Dense Mode] か ら 選択 し ます。 同 じ ネ ッ ト ワー ク セグ メ ン ト に接続 さ れたすべての PIM ルー タ が同 じ 動作モー ド を実行 し ている必要があ り ます。 [Sparse Mode] を選択 し た場合は、 残 り のオ プ シ ョ ン を以下の説明に従 っ て調整 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 257 BFD (Bi-directional Forwarding Detection) [DR Priority] ルー タ - ダ イ ナ ミ ッ ク FortiGate ユニ ッ ト の イ ン タ フ ェ ース上の DR 候補を ア ド バ タ イ ズす る ためのプ ラ イ オ リ テ ィ 番号を入力 し ます。 範囲は 1 ~ 4,294,967,295 です。 ユニ ッ ト は、 こ の値を同 じ ネ ッ ト ワー ク セグ メ ン ト 上の他のすべての PIM ルー タ の DR イ ン タ フ ェ ース と 比較 し 、 DR プ ラ イ オ リ テ ィ の最 も 高いルー タ を DR と し て選択 し ます。 [RP Candidate] こ の イ ン タ フ ェ ース上の RP 候補を有効に し ます。 [RP Candidate Priority] FortiGate イ ン タ フ ェ ース上のRP候補を ア ド バ タ イ ズす る ためのプ ラ イ オ リ テ ィ 番号を入力 し ます。 範囲は 1 ~ 255 です。 マルチキャスト宛先 NAT マルチキ ャ ス ト 宛先 NAT (DNAT) を使用する と 、 外部か ら受信 し たマルチキ ャ ス ト 宛先ア ド レ ス を、 組織の内部のア ド レ ッ シ ング ポ リ シーに従 う ア ド レ スに変換で き ます。 CLI でのみ使用で き る こ の機能を使用す る と 、 RPF (Reverse Path Forwarding) が正 し く 機能す る よ う に、 ルー ト が変換境界でネ ッ ト ワー ク イ ン フ ラ ス ト ラ ク チ ャ に再配布 さ れる こ と を回 避で き ます。 また、 ネ ッ ト ワー ク 内の 2 つの入力ポ イ ン ト から 同一の フ ィ ー ド を受信 し 、 それ ら を独立にルーテ ィ ングする こ と も で き ます。 マルチキ ャ ス ト DNAT は、 CLI で次の コ マ ン ド を使用 し て設定 し ます。 config firewall multicast-policy edit p1 set dnat <dnatted-multicast-group> set ... next end 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の firewall の章を参照 し て く だ さ い。 BFD (Bi-directional Forwarding Detection) BFD (Bi-directional Forwarding Detection) プ ロ ト コ ルは、 ネ ッ ト ワー ク上のデバイ ス障害を検出 し 、 こ れ ら の障害を回避 し て再ルーテ ィ ン グす る ためのきめ細か さ がダ イ ナ ミ ッ ク ルーテ ィ ング プ ロ ト コ ルに不足 し ている こ と に対処する よ う に設計 さ れています。 BFD は、 障害を ミ リ 秒単位の タ イ マで検出で き る ため、 こ れ ら の障害によ り すばや く 対応で き ます。 こ れに対 し て、 他のダ イ ナ ミ ッ ク ルーテ ィ ング プ ロ ト コ ルでは秒単位の タ イ マで し か検出で き ません。 ユニ ッ ト は、OSPF お よび BGP動的ネ ッ ト ワーキン グの一部 と し て BFD をサポー ト し ています。 注記 : BFD は、 CLI から のみ設定で き ます。 こ の ト ピ ッ ク には、 以下の内容が含まれています。 ・ BFD の設定 ・ FortiGate ユニ ッ ト 上での BFD の設定 ・ 特定のイ ン タ フ ェ ースの BFD の無効化 BFD の設定 BFD は、 BGP または OSPF ルーテ ィ ング プ ロ ト コ ルを使用する ネ ッ ト ワー ク を対象に し てい ます。 一般に、 よ り 小規模なネ ッ ト ワー クは除外 さ れます。 FortiGate ユニ ッ ト 上での BFD の設定は、 非常に柔軟です。 ユニ ッ ト 全体に対 し て BFD を有効 に し た後、 1 つまたは 2 つの イ ン タ フ ェ ースに対 し て無効にする こ と がで き ます。 あるいは、 隣接ルー タ またはイ ン タ フ ェ ース ご と に個別に BFD を有効にする こ と がで き ます。 ど ち ら の 方法を選択するかは、 ネ ッ ト ワー ク に必要な設定の量に よ っ て決定 さ れます。 258 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - ダ イ ナ ミ ッ ク BFD (Bi-directional Forwarding Detection) タ イムアウ ト 期間によ っ て、 ユニ ッ ト が、 あ る接続に停止 と し て ラ ベルを付ける ま でに待つ期 間が決定 さ れます。 こ の タ イムアウ ト 期間の長 さ は重要です。 こ の期間が短すぎ る と 、 接続に あま り に も 早 く 停止 と し て ラ ベルが付け られます。 また、 長すぎ る と 、 停止 し てい る接続か ら の応答を待つ時間が浪費 さ れます。 こ の数値はネ ッ ト ワー ク やユニ ッ ト に よ っ て異な る ため、 単純には決ま り ません。 ハイ エ ン ド の FortiGate モデルは、 ト ラ フ ィ ッ ク によ る負荷で停止 し ていない限 り 、 非常にすばや く 応答 し ます。 また、 ネ ッ ト ワー ク の規模が大き い場合 も応答時 間が低下 し ます。 よ り 小規模なネ ッ ト ワー ク に比べて、 パケ ッ ト が多 く のホ ッ プ を通過する必 要があ り ます。 こ れ らの 2 つの要因 (CPU 負荷 と ネ ッ ト ワー ク ト ラバース時間 ) が、 選択すべ き タ イムアウ ト 期間の長 さ に影響を与えます。 タ イムアウ ト 期間が短すぎ る場合、 BFD はネ ッ ト ワー ク デバ イ スに接続 さ れませんが、 接続を試行 し 続け ます。 こ の状態に よ っ て不必要な ネ ッ ト ワー ク ト ラ フ ィ ッ ク が生成 さ れる だけで な く 、 デバ イ スが監視 さ れていない状態に置 かれた ま まにな り ます。 こ の状態が発生 し た場合は、 BFD がよ り 多 く の時間をかけてネ ッ ト ワー ク上のデバイ ス を検出で き る よ う に、よ り 長い タ イムアウ ト 期間の設定を試みる必要があ り ます。 FortiGate ユニット上での BFD の設定 こ の例では、 FortiGate ユニ ッ ト 上で、 デ フ ォル ト 値を使用 し て BFD を有効に し ています。 つ ま り 、 接続が確立 さ れた後、 BFD ルー タ を停止 し ている と 宣言 し て ト ラ フ ィ ッ ク を再ルーテ ィ ングする ま でに、 ユニ ッ ト はそのルー タ か らの応答を最大 150 ミ リ 秒 ( 最小転送間隔 50 ミ リ 秒×検出乗数 3) 待ち ます。 bfd-dont-enforce-src-port の無効化によ っ て示 さ れている よ う に、セキ ュ リ テ ィ 上の理由から 、BFD ト ラ フ ィ ッ クの発信元のポー ト がチ ェ ッ ク さ れます。 config system settings set bfd enable set bfd-desired-min-tx 50 set bfd-required-min-rx 50 set bfd-detect-mult 3 set bfd-dont-enforce-src-port disable end 注記 : 最小受信間隔 (bfd-required-min-rx) と 検出乗数 (bfd-detect-mult) の組み 合わせによ っ て、 ユニ ッ ト が隣接機器を停止 し ている と 宣言する ま でに応答を待つ期間が 決定 さ れます。 実際の状況での正 し い値は、 ネ ッ ト ワー クの規模やユニ ッ ト の CPU 速度に よ っ て異な り ます。 こ の例で使用 さ れてい る数値が、 実際のネ ッ ト ワー ク では機能 し ない 可能性があ り ます。 特定のインタフェースの BFD の無効化 前の例では、 FortiGate ユニ ッ ト 全体に対 し て BFD を有効に し ま し た。 ある イ ン タ フ ェ ースが、 BFD が有効ないずれかのルー タ に接続 さ れていない場合は、 そのイ ン タ フ ェ ースの BFD を無 効にする こ と によ っ てネ ッ ト ワー ク ト ラ フ ィ ッ ク を削減で き ます。 こ の例では、 CLI コ マ ン ド を使用 し て、 Internal イ ン タ フ ェ ースの BFD を無効に し ています。 config system interface edit <interface> set bfd disable end BGP 上での BFD の設定 BGP ネ ッ ト ワー ク 上で BFD を設定する ための手順は 1 つだけです。 BFD を グローバルに有効 に し た後、 こ のプ ロ ト コ ルを実行 し ている各隣接機器に対 し て BFD を無効に し ます。 config system settings set bfd enable end config router bgp config neighbor FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 259 BFD (Bi-directional Forwarding Detection) ルー タ - ダ イ ナ ミ ッ ク edit <ip_address> set bfd disable end end OSPF 上での BFD の設定 OSPF ネ ッ ト ワー ク 上での BFD の設定は、 ユニ ッ ト 上での BFD の有効化 と ほ と んど同 じ です。 BFD を OSPF に対 し てグローバルに有効に し た後、イ ン タ フ ェ ースのレベルでグローバル設定 を置き換え る こ と がで き ます。 OSPF 上で BFD を有効にするには、 次の コ マ ン ド を入力 し ます。 configure routing OSPF set bfd enable end イ ン タ フ ェ ース上で BFD を置き換え る には、 次の コ マ ン ド を入力 し ます。 configure routing OSPF configure ospf-interface edit <interface_name> set bfd disable end end 260 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - モニ タ ルーテ ィ ング情報の表示 ルータ - モニタ こ の項 で は、 [Routing Monitor] リ ス ト の読み取 り 方に つい て説明 し ま す。 こ の リ ス ト には、 FortiGate ルーテ ィ ン グ テーブル内のエ ン ト リ が表示 さ れます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ン (VDOM) を有効に し た場合、 ルー タ の監視はバー チ ャル ド メ イ ン ご と に別々に使用可能にな り ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には、 以下の ト ピ ッ クが含まれています。 ・ ルーテ ィ ング情報の表示 ・ FortiGate ルーテ ィ ン グ テーブルの検索 ルーティング情報の表示 デ フ ォル ト では、 すべてのルー ト が [Routing Monitor] リ ス ト に表示 さ れます。 デ フ ォル ト のス タ テ ィ ッ ク ルー ト は、 " 任意の / すべての " パケ ッ ト の宛先 IP ア ド レ スに一致する、 0.0.0.0/0 と し て定義 さ れます。 ルーテ ィ ン グ テ ーブル内のルー ト を表示す る には、 [Router]、 [Monitor]、 [Routing Monitor] の 順に選択 し ます。 [Routing Monitor] ページ 監視 さ れてい るすべてのルー ト ( デ フ ォ ル ト のス タ テ ィ ッ ク ルー ト を含む ) を表示 し ます。 こ のページ ではま た、 フ ィ ル タ を適用す る こ と に よ っ て、 こ のページ に表示 さ れてい る情報を フ ィ ル タ 処理す る こ と も で き ます。 [IP version] IPv4 または IPv6 ルー ト を選択 し ます。 表示 さ れる フ ィ ール ド は、 選択 さ れている IP バー ジ ョ ン に よ っ て異な り ます。 Web ベース マネージ ャ で IPv6 の表示が有効に な っ ている場合にのみ表示 さ れます。 [Type] 次のいずれかのルー ト タ イ プ を選択する と 、 ルーテ ィ ン グ テーブルが検索 さ れ、 選択 し た タ イ プのルー ト のみが表示 さ れます。 [All] ― ルーテ ィ ン グ テーブル内に記録 さ れてい るすべてのルー ト を表示 し ます。 [Connected] ― FortiGate イ ン タ フ ェ ースへの直接接続に関連付け ら れたすべてのルー ト を表示 し ます。 [Static] ― ルー テ ィ ン グ テ ー ブルに手動で追加 さ れた ス タ テ ィ ッ ク ルー ト を 表示 し ま す。 詳細については、 232 ページの 「ス タ テ ィ ッ ク ルー ト 」 を参照 し て く だ さ い。 [RIP] ― RIP を介 し て学習 さ れたすべてのルー ト 。 詳細については、 247 ページの 「RIP」 を参照 し て く だ さ い。 [OSPF] ― OSPF を介 し て学習 さ れたすべてのルー ト 。 詳細につい ては、 250 ページの 「OSPF」 を参照 し て く だ さ い。 [BGP] ― BGP を介 し て学習 さ れたすべてのルー ト 。詳細については、255 ページの「BGP」 を参照 し て く だ さ い。 [HA] ― 高可用性 (HA) ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト と 副系ユニ ッ ト の間で同期 さ れた RIP、 OSPF、 お よび BGP ルー ト を表示 し ます。 HA ルー ト は、 副系ユニ ッ ト 上に保持 さ れ、 仮想 ク ラ ス タ 内の下位のバーチ ャ ル ド メ イ ン と し て設定 さ れたバーチ ャ ル ド メ イ ン から ルー タ モ ニ タ を表示 し てい る場合にのみ表示 さ れます。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 HA ルーテ ィ ン グの同期の詳細については、 『FortiGate HA ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Network] ルーテ ィ ン グ テーブルを検索 し 、 指定 し たネ ッ ト ワー ク に一致するルー ト を表示す る た めの IP ア ド レ ス と ネ ッ ト マ ス ク ( た と えば、 172.16.14.0/24) を入力 し ます。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 [Gateway] ルーテ ィ ン グ テーブルを検索 し 、 指定 し たゲー ト ウ ェ イ に一致するルー ト を表示す る た めの IP ア ド レ ス と ネ ッ ト マ ス ク ( た と えば、 192.168.12.1/32) を入力 し ます。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 [Apply Filter] 指定 し た検索条件に基づ い てルー テ ィ ン グ テ ー ブ ル内の エ ン ト リ を 検索 し 、 一致 し た ルー ト を すべて表示する場合に選択 し ます。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 26101-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク FortiGate ルーテ ィ ング テーブルの検索 ルー タ - モニ タ [Type] FortiGate のルー ト に割 り 当て ら れた タ イ プの値 ([Static]、 [Connected]、 [RIP]、 [OSPF]、 ま たは [BGP])。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 [Subtype] 該当する場合は、 OSPF ルー ト に割 り 当て ら れたサブ タ イ プの分類。 ・ 空の文字列は、 エ リ ア内のルー ト であ る こ と を示 し ています。 宛先は、 FortiGate ユ ニ ッ ト が接続 さ れている エ リ ア内にあ り ます。 ・ [OSPF inter area] ― 宛先は OSPF AS 内にあ り ますが、 FortiGate ユニ ッ ト がそのエ リ ア に接続 さ れていません。 ・ [External 1] ― 宛先は OSPF AS の外部にあ り ます。 再配布 さ れたルー ト の メ ト リ ッ ク は、 外部の コ ス ト と OSPF の コ ス ト を加算する こ と に よ っ て計算 さ れます。 ・ [External 2] ― 宛先は OSPF AS の外部にあ り ます。 こ の場合、 再配布 さ れたルー ト の メ ト リ ッ ク は外部の コ ス ト のみ と 等価であ り 、 OSPF の コ ス ト と し て表現 さ れます。 ・ [OSPF NSSA 1] ― [External 1] と 同 じ ですが、 ルー ト は NSSA を介 し て受信 さ れて います。 ・ [OSPF NSSA 2] ― [External 2] と 同 じ ですが、 ルー ト は NSSA を介 し て受信 さ れてい ます。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 [Network] FortiGate ユニ ッ ト が到達で き る宛先ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 [Distance] こ のルー ト に関連付け ら れたデ ィ ス タ ン ス。 0 の値は、 同 じ 宛先への他のルー ト よ り こ の ルー ト が優先 さ れる こ と を示 し ています。 ス タ テ ィ ッ ク ルー ト に割 り 当て ら れたデ ィ ス タ ン ス を変更す る には、 236 ページの 「ルー テ ィ ン グ テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を参照 し て く だ さ い。 ダ イ ナ ミ ッ ク ルー ト の こ のデ ィ ス タ ン ス を変更する には、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [Metric] ルー ト タ イ プ に関連付け ら れた メ ト リ ッ ク 。 ルー ト の メ ト リ ッ ク は、 FortiGate ユニ ッ ト がそのルー ト をルーテ ィ ン グ テーブルに動的に追加す る と きの方法に影響 し ます。 メ ト リ ッ ク の種類 と 、 それ ら の メ ト リ ッ ク が適用 さ れる プ ロ ト コ ルは次の と お り です。 ・ [Hop count] ― RIP を介 し て学習 さ れたルー ト 。 ・ [Relative cost] ― OSPF を介 し て学習 さ れたルー ト 。 ・ [Multi-Exit Discriminator (MED)] ― BGP を介 し て学習 さ れたルー ト 。 ただ し 、 宛先ネ ッ ト ワー ク への最適なパス を決定する ための属性は MED 以外に も い く つかあ り ます。 [Gateway] 宛先ネ ッ ト ワー ク へのゲー ト ウ ェ イ の IP ア ド レ ス。 [Interface] パ ケ ッ ト が宛先 ネ ッ ト ワ ー ク の ゲ ー ト ウ ェ イ に 転送 さ れ る と き に 使用 さ れ る イ ン タ フ ェ ース。 [Up Time] RIP、 OSPF、 ま たは BGP を介 し て学習 さ れたルー ト が到達可能に な る ま でに要 し た合計 の累積時間。 IPv6 の IP バージ ョ ンが選択 さ れてい る場合は表示 さ れません。 FortiGate ルーティング テーブルの検索 フ ィ ル タ を適用する こ と で、 ルーテ ィ ン グ テーブルを検索 し て特定のルー ト のみを表示で き ます。 た と えば、 1 つ以上のス タ テ ィ ッ ク ルー ト 、 接続 さ れたルー ト 、 RIP/OSPF/BGP を介 し て学習 さ れたルー ト 、 お よび指定 し たネ ッ ト ワー ク ま たはゲー ト ウ ェ イ に関連付け ら れた ルー ト を表示で き ます。 ルー ト タ イ プによ っ てルーテ ィ ング テーブルを検索 し 、 その表示を さ ら にネ ッ ト ワー ク また はゲー ト ウ ェ イ に従 っ て制限する場合、 そのエ ン ト リ が表示 さ れる よ う にす るには、 検索条件 と し て指定するすべての値が、 同 じ ルーテ ィ ング テーブル エ ン ト リ 内の対応する値に一致 し てい る必要があ り ます (指定するすべての検索パ ラ メ ー タ に暗黙のAND条件が適用 さ れます)。 た と えば、 FortiGate ユニ ッ ト がネ ッ ト ワー ク 172.16.14.0/24 に接続 さ れてい る と き に、 ネ ッ ト ワー ク 172.16.14.0/24 に直接接続 さ れたすべてのルー ト を表示する場合は、 [Type] リ ス ト か ら [Connected] を選択 し 、[Network] フ ィ ール ド に「172.16.14.0/24」 を入力 し た後 [Apply Filter] を選択 し て、 関連付け られた (1 つまたは複数の ) ルーテ ィ ング テーブル エ ン ト リ を表示する 必要が あ り ま す。 [Type] フ ィ ー ル ド に "Connected" と い う 単語が含 ま れ、 か つ [Gateway] フ ィ ール ド に指定 し た値が含まれたすべてのエ ン ト リ が表示 さ れます。 FortiGate ルーティング テーブルを検索するには 1 [Router]、 [Monitor]、 [Routing Monitor] の順に選択 し ます。 262 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ルー タ - モニ タ FortiGate ルーテ ィ ング テーブルの検索 2 [Type] リ ス ト か ら、 表示するルー ト の タ イ プ を選択 し ます。 た と えば、 接続 さ れたすべ てのルー ト を表示するには [Connected] を、 RIP を介 し て学習 さ れたすべてのルー ト を表 示するには [RIP] を選択 し ます。 3 特定のネ ッ ト ワー クへのルー ト を表示する場合は、 [Network] フ ィ ール ド にそのネ ッ ト ワー クの IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 4 特定のゲー ト ウ ェ イへのルー ト を表示する場合は、 [Gateway] フ ィ ール ド にそのゲー ト ウ ェ イの IP ア ド レ ス を入力 し ます。 5 [Apply Filter] を選択 し ます。 注記 : そのエ ン ト リ が表示 さ れる よ う にするには、検索条件 と し て指定するすべての値が、 同 じ ルーテ ィ ン グ テーブル エ ン ト リ 内の対応する値に一致 し ている必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 26301-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク FortiGate ルーテ ィ ング テーブルの検索 264 ルー タ - モニ タ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の関係 ファイアウォール ポリシー フ ァ イ アウ ォ ール ポ リ シーは、 FortiGate ユニ ッ ト を通過 し よ う と す るすべての ト ラ フ ィ ッ ク を、FortiGate イ ン タ フ ェ ース、ゾーン、お よび VLANサブ イ ン タ フ ェ ース間で制御する機能です。 フ ァ イ アウ ォ ール ポ リ シーは、 FortiGate ユニ ッ ト を通過 し よ う と す る ト ラ フ ィ ッ クの接続許 可お よ びパケ ッ ト 処理 を決定す る ための手順 と し て使用 さ れます。 フ ァ イ ウ ォ ールで接続パ ケ ッ ト が受信 さ れる と 、 パケ ッ ト の発信元ア ド レ ス、 宛先ア ド レ ス、 サービ ス ( ポー ト 番号に よ る ) が解析 さ れ、 パケ ッ ト に一致する フ ァ イ アウ ォ ール ポ リ シーが特定 さ れます。 フ ァ イ ウ ォ ール ポ リ シーには、 FortiGate ユニ ッ ト がポ リ シー と 一致するパケ ッ ト を受信 し た 際に実行する多数の手順を盛 り 込む こ と がで き ます。 手順には、 パケ ッ ト を破棄す るかまたは 受け入れて処理するかを決定する必須の手順 と 、ロギングお よび認証な どオプ シ ョ ンの手順が あ り ます。 ポ リ シー手順には、NAT または PAT が含まれる場合があ り 、仮想 IP または IP プールを使用す る こ と によ り 発信元および宛先 IP ア ド レ スおよびポー ト 番号を変換 し ます。 仮想 IP および IP プールの詳 し い利用方法については、 313 ページの 「フ ァ イ アウ ォ ール仮想 IP」 を参照 し て く だ さ い。 ポ リ シー手順には、ア プ リ ケーシ ョ ン層イ ン スペ ク シ ョ ンお よび他の特定プ ロ ト コ ルのプ ロ テ ク シ ョ ンおよびロギングを指定する ために適用 さ れる、プ ロ フ ァ イルが含まれる場合 も あ り ま す。プ ロ フ ァ イルの使用については、357 ページの 「統合脅威管理 (UTM)」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に フ ァ イ アウ ォ ール ポ リ シー を個別に設定 し ますが、 ポ リ シー を設定す る にはまずバー チ ャル ド メ イ ンにア ク セスする必要があ り ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の関係 ・ マルチキ ャ ス ト ポ リ シー ・ フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示 ・ フ ァ イ アウ ォ ール ポ リ シーの設定 ・ Central NAT Table の設定 ・ 攻撃を検出および防御する DoS ポ リ シーの使用 ・ ネ ッ ト ワー ク 攻撃を検出するワ ン アーム スニ フ ァ ポ リ シーの使用 ・ FortiOS での未使用 NAT ポー ト の選択方法 ・ フ ァ イ アウ ォ ール ポ リ シーの例 ポリシー リストの並び順とポリシー照合との関係 いずれかの イ ン タ フ ェ ース を通過 し よ う と する接続が FortiGate ユニ ッ ト で受信 さ れる ご と に、 フ ァ イ アウ ォ ール ポ リ シー リ ス ト の中か ら 一致す る フ ァ イ ア ウ ォ ール ポ リ シーが検索 さ れ ます。 検索は、 ポ リ シー リ ス ト の最上位か ら 始ま り 、 下位の項目へ順番に進みます。 一致す る ポ リ シーが検出 さ れる まで、 FortiGate ユニ ッ ト に よ り フ ァ イ アウ ォ ール ポ リ シー リ ス ト 内の各ポ リ シーが検証 さ れます。 FortiGate ユニ ッ ト に よ り 最初に一致ポ リ シーが検出 さ れる と 、 その ポ リ シーに指定 さ れた処理がパケ ッ ト に対 し て施行 さ れ、 リ ス ト 内の以降の フ ァ イ アウ ォ ール ポ リ シーは適用 さ れません。フ ァ イ アウ ォ ール ポ リ シーの一致は、フ ァ イ アウ ォ ール ポ リ シー と パケ ッ ト の以下の属性を照合する こ と で決め ら れます。 ・ 発信元および宛先イ ン タ フ ェ ース FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 265 ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の関係 ・ 発信元および宛先の フ ァ イ アウ ォ ール ア ド レ ス ・ サービ ス ・ 時間 / スケジ ュ ール フ ァ イ アウ ォ ール ポ リ シー 一致するポ リ シーが存在 し ない場合、 その接続は破棄 さ れます。 基本的なルール と し て、 フ ァ イ アウ ォ ール ポ リ シー リ ス ト では、 最 も特定のポ リ シーか ら 最 も一般的なポ リ シーの順に並べます。 ポ リ シー リ ス ト では、 その順序でポ リ シーが照合 さ れ、 最初に 一致す る フ ァ イ ア ウ ォ ール ポ リ シ ーのみが接続に適用 さ れ る か ら で す。 残 り のポ リ シーについては、 照合あ る いは適用 さ れません。 最 も 特定のポ リ シ ーか ら 最 も 一般的なポ リ シーの順に並べる こ と で、幅広い ト ラ フ ィ ッ ク に一致 し て し ま う ポ リ シーの照合を後回 し に し て、 例外的な条件に一致するポ リ シーを有効に照合で き ます。 た と えば、内部ネ ッ ト ワー クか ら イ ン タ ーネ ッ ト への接続をすべて許可する一般的な 1 つのポ リ シーを持ち なが ら、 FTP を ブ ロ ッ ク する例外を設ける と し ます。 こ の場合、 その一般的なポ リ シーの上位に、 FTP 接続を拒否するポ リ シー を追加 し ます。 FTP によ る接続はす ぐ に拒否ポ リ シーに一致 し てブ ロ ッ ク さ れます。その他のサービ スは、FTP ポ リ シー と は一致せず、 一般的な一致ポ リ シーに到達する ま で照合が続け られます。 こ のよ う にポ リ シーを並べる こ と で、 目的の効果が得ら れます。 も し こ れ ら 2 つのポ リ シーの順序を逆 に し て、 一般的なポ リ シー を FTP ブ ロ ッ ク ポ リ シーよ り 前に並べる と 、 FTP 接続を含むすべ ての接続が一般的なポ リ シー と 一致 し 、 FTP を ブ ロ ッ ク す る ポ リ シーは適用 さ れな く な り ま す。 し たが っ て、 意図する効果は得 ら れません。 同様に、 特定の ト ラ フ ィ ッ ク に認証、 IPSec VPN、 または SSL VPN が必要な場合は、 こ れ ら の ポ リ シーを他の一致 し やすいポ リ シーよ り 上位に並べます。 そのよ う に並べない場合は、 他の 一致 し やすいポ リ シーが常に優先的に適用 さ れ、 必要な認証、 IPSec VPN、 SSL VPN はま っ た く 適用 さ れません。 すべての接続を許可す る フ ァ イ ア ウ ォ ール ポ リ シーが、 デ フ ォ ル ト で設定 さ れてい る場合が あ り ます。 こ のよ う なポ リ シーは、 移動または削除するか、 無効に設定で き ます。 こ のデ フ ォ ル ト のポ リ シーを フ ァ イ アウ ォ ール ポ リ シー リ ス ト の最下位に移動する こ と で、 パケ ッ ト に 一致す るポ リ シーが他にない場合は、 接続が受け付け ら れます。 こ のデ フ ォ ル ト ポ リ シー を 無効に設定するかまたは削除する場合、 パケ ッ ト に一致するポ リ シーが他になければ、 接続は 破棄 さ れます。 ポリシー リスト内のポリシー位置の移動 ポ リ シー と 着信する ト ラ フ ィ ッ ク を照合する順序を、 目的に応 じ て変更する ために、 フ ァ イ ア ウ ォ ール ポ リ シー リ ス ト 内のポ リ シーを並べ替え る こ と がで き ます。 同 じ イ ン タ フ ェ ースの ペアに 2 つ以上のポ リ シーが定義 さ れている場合は、 最初に一致する フ ァ イ アウ ォ ール ポ リ シーが ト ラ フ ィ ッ クのセ ッ シ ョ ンに適用 さ れます。 詳細については、 265 ページの 「ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の関係」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ポ リ シー リ ス ト 内でポ リ シー を移動 し て も、 ポ リ シーが作成 さ れた順番を 示すポ リ シーの ID は変わ り ません。 リ ス ト 内 で ポ リ シ ー を 別の位置に移動す る には、 そ のポ リ シ ーの場所 に進み ( た と え ば、 [Firewall]、 [Policy]、 [DoS Policy] の順に選択 )、 次に [Move] ア イ コ ン を選択 し 、 ポ リ シーの異 動先を設定 し ます。 [OK] を選択 し 、 変更を確定 し ます。 ポリシーの有効化および無効化 ポ リ シー リ ス ト では、 ポ リ シー を一時的に有効ま たは無効に設定で き ます。 ポ リ シー を削除 せずに一時的に無効にする場合に便利な機能です。 ポ リ シー を追加 し 直す こ と な く 、 再び有効 に設定で き ます。 ポ リ シー を有効ま たは無効に設定す る には、 [Firewall]、 [Policy] の順に選択 し ます。 無効にす る フ ァ イ アウ ォ ール ポ リ シーの行で、[Status] カ ラ ムのチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。そ の フ ァ イ アウ ォ ール ポ リ シーが灰色に表示 さ れ、無効に設定 さ れます。無効な フ ァ イ アウ ォ ー ル ポ リ シー を有効にす る には、 有効にす る フ ァ イ アウ ォ ール ポ リ シーの行で、 [Status] カ ラ ムのチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 その フ ァ イ アウ ォ ール ポ リ シーが濃 く 表示 さ れ、 有 効に設定 さ れます。 266 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー マルチキ ャ ス ト ポ リ シー マルチキャスト ポリシー FortiGate ユニ ッ ト では、 マルチキ ャ ス ト ポ リ シーがサポー ト さ れます。 以下の CLI コ マ ン ド を使用する こ と で、 マルチキ ャ ス ト ポ リ シーを設定および作成で き ます。 config firewall multicast-policy 詳 し く は、 『FortiOS CLI リ フ ァ レ ン ス 』 および 『FortiGate マルチキ ャ ス ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 ファイアウォール ポリシー リストの表示 フ ァ イ アウ ォ ール ポ リ シー リ ス ト には、 それぞれの発信元お よび宛先イ ン タ フ ェ ース ペア と 優先的に一致する順序で、 フ ァ イ アウ ォ ール ポ リ シーが表示 さ れます。 FortiGate ユニ ッ ト で、 バーチ ャル ド メ イ ンが有効に設定 さ れている場合は、 各バーチ ャル ド メ イ ン ご と に個別の フ ァ イ アウ ォ ール ポ リ シー を設定 し ますが、 ポ リ シー を設定する にはま ずバーチ ャ ル ド メ イ ンにア ク セスする必要があ り ます。 バーチ ャル ド メ イ ンにア ク セスする には、 [System]、 [VDOM] の順に選択 し 、 ポ リ シーを設定するバーチ ャル ド メ イ ンに該当する 行で、 [Enter] を選択 し ます。 ポ リ シー リ ス ト 内のポ リ シーは、 追加、 削除、 編集、 お よび並べ替えが可能です。 フ ァ イ ア ウ ォ ール ポ リ シーの順序は、 ポ リ シー照合に影響 し ます。 ポ リ シー リ ス ト 内でポ リ シーを並 べる順序については、 265 ページの 「ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の関係」 およ び 266 ページの 「ポ リ シー リ ス ト 内のポ リ シー位置の移動」 を参照 し て く だ さ い。 ポ リ シー リ ス ト を表示するには、 [Firewall]、 [Policy]、 [Policy] の順に選択 し ます。 IPv6 フ ァ イ アウ ォ ール ポ リ シー リ ス ト を表示す る には、 [Firewall]、 [Policy]、 [IPv6 Policy] の順に選択 し ます。 [Policy] ページ こ のページには、 作成 し た個々のポ リ シーお よびセ ク シ ョ ンが表示 さ れます。 こ のページ では、 ポ リ シー またはセ ク シ ョ ンの タ イ ト ルを編集、 削除または新規作成で き ます。 [Create New] 新 し い フ ァ イ ア ウ ォ ール ポ リ シーを追加 し ます。 [Create New] の横にあ る下向き矢 印を 選択 し 、 新 し いセ ク シ ョ ン を リ ス ト に追加 し 、 ポ リ シー を グループ化 し て表示 し ます。 [Create New] を選択する と 、 [New Policy] ページの画面に自動的に移動 し ま す。 新 し いセ ク シ ョ ン タ イ ト ルを追加する下向き矢印を選択する と 、 [Section Title] ウ ィ ン ド ウが表示 さ れます。 不用意に ト ラ フ ィ ッ ク を 許容 し ない よ う に、 [Create New] を 選択す る と 、 新 し いポ リ シーが リ ス ト の最下位に追加 さ れます。 ポ リ シーが リ ス ト に追加 さ れる と 、 [Move To] ア イ コ ン を 使用 し て ポ リ シ ー を リ ス ト 内の必要 な位置に移動 で き ま す。 ま た、 [Insert Policy before] ア イ コ ン を使用 し 、 新 し いポ リ シーを リ ス ト 内の特定ポ リ シー の上に追加で き ます。 265 ページの 「ポ リ シー リ ス ト の並び順 と ポ リ シー照合 と の 関係」 を参照 し て く だ さ い。 [Column Settings] テーブルの表示 を カ ス タ マ イ ズ し ます。 カ ラ ムの表示、 非表示 を選択 し 、 テーブル 内のカ ラ ムの表示順序を指定する こ と がで き ます。詳細については、34 ページの 「表 示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 およ び 35 ページの 「」 を参照 し て く だ さ い。 [Section View] 発信元お よび宛先 イ ン タ フ ェ ースに よ り 構成 さ れてい る フ ァ イ アウ ォ ール ポ リ シー を表示する と き選択 し ます。 注記: どのポ リ シーで も 発信元ま たは宛先イ ン タ フ ェ ース と し て [Any] が選択 さ れる 場合は、 [Section View] は利用で き ません。 [Global View] すべての フ ァ イ アウ ォ ール ポ リ シーを シーケ ン ス番号の順番に並べる と き選択 し ま す。 [Filter] アイコン 指定 し た条件に応 じ てポ リ シー リ ス ト を フ ィ ル タ 処理または並べ替え る ための、 カ ラ ム フ ィ ル タ を編集 し ます。 詳細については、 32 ページの 「Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 [ID] ポ リ シーの識別子。 ポ リ シーには、 ポ リ シー リ ス ト に追加 さ れた順序で番号が付け ら れます。 [From] ポ リ シーの発信元 イ ン タ フ ェ ース。 [Global View] のみで利用で き ます。 [To] ポ リ シーの宛先 イ ン タ フ ェ ース。 [Global View] のみで利用で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 267 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シー [Source] こ のポ リ シー を適用する発信元ア ド レ ス またはア ド レ ス グループ。詳細については、 295 ページの 「 フ ァ イ アウ ォ ール ア ド レ ス」 を参照 し て く だ さ い。 [Destination] こ のポ リ シー を 適用す る宛先ア ド レ ス ま たはア ド レ ス グルー プ。 詳細については、 295 ページの 「 フ ァ イ アウ ォ ール ア ド レ ス」 を参照 し て く だ さ い。 [Schedule] こ のポ リ シーがア ク テ ィ ブ にな る時期 を制御す る ためのス ケジ ュ ール。 詳細につい ては、 309 ページの 「フ ァ イ ア ウ ォ ール スケジ ュ ール」 を参照 し て く だ さ い。 [Service] こ のポ リ シー を適用するサービ ス。 詳細については、 301 ページの 「フ ァ イ アウ ォ ー ル サー ビ ス」 を参照 し て く だ さ い。 [Profile] こ のポ リ シーに関連付け ら れる プ ロ フ ァ イ ル。 [Action] こ のポ リ シーが接続試行に一致 し た と き に実行する応答。 [Status] こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し てポ リ シー を有効にするか、 ま たはオ フ に し てポ リ シーを無効に し ます。 詳 し く は、 266 ページの 「ポ リ シーの有効化お よび無効化」 を参照 し て く だ さ い。 [From] 発信元 イ ン タ フ ェ ース。 [To] 宛先イ ン タ フ ェ ース。 [VPN Tunnel] VPN ポ リ シーに よ り 使用 さ れる VPN ト ン ネル。 [Authentication] ポ リ シーに よ り 使用 さ れるユーザ認証方法。 [Comments] ポ リ シーを作成ま たは編集する と き入力する コ メ ン ト 。 [Log] 緑のチ ェ ッ ク マー ク は、そのポ リ シーでは ト ラ フ ィ ッ ク ロ ギン グが有効であ る こ と を示 し ます。 灰色の×印は、 そのポ リ シーでは ト ラ フ ィ ッ ク ロギ ン グが無効であ る こ と を示 し ます。 [Count] FortiGate ユニ ッ ト に よ り 、 フ ァ イ ア ウ ォ ール ポ リ シー と 一致するパケ ッ ト お よびバ イ ト 数が カ ウ ン ト さ れます。 た と えば、 5/50B は、 総計 5 つのパケ ッ ト お よび 50 バ イ ト がポ リ シー と 一致す る こ と を示 し ます。 FortiGate ユニ ッ ト が再起動 し た と き、ま たはポ リ シーが削除 さ れ再設定 さ れた と き、 カ ウ ン タ が リ セ ッ ト さ れます。 [Delete] ポ リ シーを リ ス ト か ら 削除 し ます。 [Edit] ポ リ シーを編集 し ます。 [Insert Policy Before] 対応す る ポ リ シ ーの上に、 新 し いポ リ シー を 追加 し ます。 こ のオ プ シ ョ ン を 使用す る こ と で、 ポ リ シーの並び順を簡素化 し ます。 265 ページの 「ポ リ シー リ ス ト の並 び順 と ポ リ シー照合 と の関係」 を参照 し て く だ さ い。 [Move To] 対応す る ポ リ シ ー を、 リ ス ト 内にあ る別のポ リ シーの前ま たは後に移動 し ます。 詳 細については、 266 ページの 「ポ リ シー リ ス ト 内のポ リ シー位置の移動」 を参照 し て く だ さ い。 ファイアウォール ポリシーの設定 フ ァ イ アウ ォ ール ポ リ シー を設定す る こ と で、 どのセ ッ シ ョ ンがポ リ シーに一致 し 、 一致す る セ ッ シ ョ ンのパケ ッ ト に対 し て FortiGate ユニ ッ ト がどのよ う なア ク シ ョ ン を実行するかを 定義で き ます。 パケ ッ ト お よ びポ リ シー双方の以下のよ う な属性 を検証す る こ と で、 セ ッ シ ョ ン を フ ァ イ ア ウ ォ ール ポ リ シー と 照合 し ます。 ・ 発信元イ ン タ フ ェ ース / ゾーン ・ 発信元ア ド レ ス ・ 宛先イ ン タ フ ェ ース / ゾーン ・ 宛先ア ド レ ス ・ セ ッ シ ョ ン開始のスケジ ュ ールお よび時間 ・ サービ スおよびパケ ッ ト のポー ト 番号 最初のパケ ッ ト が フ ァ イ アウ ォ ール ポ リ シー と 一致する場合は、 セ ッ シ ョ ン に含まれるすべ てのパケ ッ ト に対 し て、 設定済みのア ク シ ョ ンおよび他のオプ シ ョ ンが FortiGate ユニ ッ ト に よ り 実行 さ れます。 268 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの設定 パケ ッ ト 処理ア ク シ ョ ンは、ACCEPT、DENY、IPSEC、または SSL-VPN のいずれかにな り ます。 ・ ACCEPT ポ リ シー ア ク シ ョ ンによ っ て、 通信セ ッ シ ョ ンが許可 さ れます。 さ ら に ACCEPT ポ リ シー ア ク シ ョ ンには、 ポ リ シーを使用する ための認証の要求、 またはセ ッ シ ョ ンに含 まれるパケ ッ ト のウ イルス スキ ャ ン な どの機能を適用す る プ ロ テ ク シ ョ ン プ ロ フ ァ イル の指定な ど、 他のパケ ッ ト 処理手順がオ プ シ ョ ン で含まれる場合があ り ます。 ACCEPT ポ リ シーでは、 選択 さ れた発信元または宛先イ ン タ フ ェ ースのど ち ら かが IPSec 仮想イ ン タ フ ェ ースの場合、 イ ン タ フ ェ ース モー ド の IPSec VPN ト ラ フ ィ ッ ク を適用で き ます。 詳細 については、 411 ページの 「IPsec VPN の概要」 を参照 し て く だ さ い。 ・ DENY ポ リ シー ア ク シ ョ ンによ り 、 通信セ ッ シ ョ ンがブ ロ ッ ク さ れます。 また、 DENY ポ リ シー ア ク シ ョ ン では、 拒否 さ れた ト ラ フ ィ ッ ク がオプ シ ョ ン で ログ記録 さ れる場合があ り ます。 ・ IPSEC および SSL-VPN ポ リ シー ア ク シ ョ ン では、ト ンネルモー ド の IPSec VPN または SSL VPN ト ンネルが、それぞれ適用 さ れます。また、オプ シ ョ ン で NAT が適用 さ れ、 ト ラ フ ィ ッ クの 1 方向または双方向が許可 さ れる場合があ り ます。 フ ァ イ アウ ォ ール 暗号化ポ リ シー に よ り 許可 さ れる場合、 ポ リ シ ー と 一致す るパケ ッ ト が指定 さ れた ネ ッ ト ワー ク イ ン タ フ ェ ースに到着す る と きは常に、 ト ン ネルを自動で開始す る こ と も 可能です。 詳細につい ては、 275 ページの 「IPSec フ ァ イ アウ ォ ール ポ リ シーの設定」 お よび 275 ページの 「SSL VPN の ID ベース フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ポ リ シー を追加または編集するには、 [Firewall]、 [Policy]、 [Policy] の順に選 択 し ます。 [Create New] を選択 し ポ リ シー を追加す るか、 ま たは既存の フ ァ イ ア ウ ォ ール ポ リ シー横の編集ア イ コ ン を選択 し ます。 後述の表お よび リ フ ァ レ ン スの記述に従 っ て設定 し 、 IPSec、 SSL VPN、 および他の特定の設定を指定 し て、 [OK] を選択 し ます。 DoS ポ リ シーを作成する場合は、 [Firewall]、 [Policy]、 [DoS Policy] の順に選択 し 、 後述の表に 従 っ て設定 し ます。 DoS ポ リ シーは フ ァ イ アウ ォ ール ポ リ シー と は別個のポ リ シーで、 DoS セ ンサーを FortiGate イ ン タ フ ェ ースに到達する ト ラ フ ィ ッ ク と 関連付け る ために使用 さ れま す。 DoS ポ リ シーは、 パケ ッ ト が フ ァ イ アウ ォ ール ポ リ シーに よ り 許可 さ れる前に こ れ ら の パケ ッ ト を IPS に提供 し ます。 こ のよ う な運用によ り 、 DoS 攻撃か らの効率的な保護な どの メ リ ッ ト を得る こ と がで き ます。 詳細につい ては、 278 ペー ジの 「攻撃を検出お よ び防御す る DoS ポ リ シーの使用」 を参照 し て く だ さ い。 スニ フ ァ ポ リ シーを作成する場合は、 [Firewall]、 [Policy]、 [Sniffer Policy] の順に選択 し 、 後述 の表に従 っ て設定 し ます。 詳細については、 281 ページの 「ネ ッ ト ワー ク攻撃を検出するワン アーム スニ フ ァ ポ リ シーの使用」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ポ リ シーで IPv6 フ ァ イ アウ ォ ール ア ド レ ス を使用する場合は、 [System]、 [Admin]、 [Settings] の順に選択 し ます。 [IPv6 Support on GUI] を選択 し ます。 . 次に、 [Firewall]、 [Policy]、 [IPv6 Policy] の順に選択 し 、 後述のテーブルに従 っ て設定 し ます。 IPv6 ポ リ シーの設 定は、 IPv4 ポ リ シーの設定 と 同様です。 IPv6 フ ァ イ アウ ォ ール ポ リ シーにプ ロ フ ァ イルを追 加で き、 さ ら に共有 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を設定 し 許可ま たは拒否 さ れた ト ラ フ ィ ッ ク を ロ グ記録で き ます。 IPSec または SSL VPN には IPv6 フ ァ イ アウ ォ ール ポ リ シー を作成で き ず、 IPv6 ポ リ シーには認証を追加で き ません。 フ ァ イ アウ ォ ール ポ リ シーの順序は、 ポ リ シー照合に影響 し ます。 ポ リ シー を作成ま たは編 集する ご と に、ポ リ シーが リ ス ト 内の適切な位置にある こ と を確認 し て く だ さ い。[Insert Policy before] を選択す る こ と で、 新 し いポ リ シー を作成 し た直後にそのポ リ シー を フ ァ イ アウ ォ ー ル ポ リ シー リ ス ト 内で既存ポ リ シーの前に配置で き ます (267 ページの「フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示」 を参照 )。 注記 : Differentiated Services (DSCP) フ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン を、 CLI によ り 設定で き ます。詳細については、『FortiGateCLI リ フ ァ レ ン ス 』 の 「ÉtÉ@ÉCÉAÉEÉHÅ[Éã」 の章を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 269 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シー [New Policy] ページ こ のページ では、 新 し い フ ァ イ アウ ォ ール ポ リ シー を設定で き ます。 270 [Source Interface/Zone] IP パケ ッ ト が受信 さ れる、 FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ース、 バーチ ャ ル ド メ イ ン (VDOM) リ ン ク 、 ま たはゾ ー ンの名前 を選択 し ます。 イ ン タ フ ェ ース と ゾ ー ンは、 [System Network] ページ で設定 さ れます。 詳細については、 89 ページの 「イ ン タ フ ェ ースの設定」 お よ び 106 ページの 「ゾーンの設定」 を参照 し て く だ さ い。 発信元 イ ン タ フ ェ ース と し て [Any] を選択する と 、ポ リ シーは発信元 イ ン タ フ ェ ース と し て どの イ ン タ フ ェ ース と も 一致 し ます。 [Action] が [IPSEC] に設定 さ れて い る場合、 こ の イ ン タ フ ェ ースは、 ロ ー カ ル プ ラ イ ベー ト ネ ッ ト ワー ク に関連付け ら れます。 [Action] が [SSL-VPN] に設定 さ れてい る場合、 こ の イ ン タ フ ェ ースは、 リ モー ト の SSL VPN ク ラ イ ア ン ト か ら の接続に関連付け ら れます。 [Source Address] 発信元イ ン タ フ ェ ース / ゾー ン と 関連付け ら れる フ ァ イ ア ウ ォ ール ア ド レ ス名を選 択 し ます。 選択 し た フ ァ イ アウ ォ ール ア ド レ ス と 一致す る IP ア ド レ スがヘ ッ ダに含 まれるパケ ッ ト のみが、 こ のポ リ シーの対象 と な り ます。 こ の リ ス ト か ら [Create New] を選択す る こ と に よ り 、 フ ァ イ アウ ォ ール ア ド レ ス を 作成で き ます。詳細については、297 ページの「ア ド レ スの設定」 を参照 し て く だ さ い。 複数の フ ァ イ ア ウ ォ ール ア ド レ ス ま たはア ド レ ス グルー プ を 発信元 イ ン タ フ ェ ー ス / ゾーン と 関連付ける場合は、 [Source Address] か ら [Multiple] を選択 し ます。 ダ イ ア ロ グ ボ ッ ク ス で、 フ ァ イ ア ウ ォ ール ア ド レ ス ま た は ア ド レ ス グ ルー プ を、 [Available Addresses] セ ク シ ョ ンか ら [Members] セ ク シ ョ ン に移動 し 、 [OK] を選択 し ます。 If [Action] が [IPSEC] に設定 さ れている場合、 こ のア ド レ スは FortiGate ユニ ッ ト の 背後に配置 さ れている ホ ス ト 、 サーバ、 ま たはネ ッ ト ワー ク のプ ラ イ ベー ト IP ア ド レ ス です。 [Action] が [SSL-VPN] に設定 さ れてお り 、 こ れが Web のみモー ド の ク ラ イ ア ン ト の ためのポ リ シーであ る場合は、 [all] を選択 し ます。 [Action] が [SSL-VPN] に設定 さ れてお り 、 こ れが ト ン ネル モー ド の ク ラ イ ア ン ト の ためのポ リ シーであ る場合は、 その ト ン ネル モー ド の ク ラ イ ア ン ト のために予約 し た ア ド レ スの名前を選択 し ます。 [Destination Interface/Zone] IP パケ ッ ト が転送 さ れる先の、 FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ース、 バーチ ャ ル ド メ イ ン (VDOM) リ ン ク 、 ま たはゾーンの名前を選択 し ます。 イ ン タ フ ェ ース と ゾー ンは、 [System Network] ページ で設定 さ れます。 詳細については、 89 ページの 「イ ン タ フ ェ ースの設定」 お よ び 106 ページの 「ゾーンの設定」 を参照 し て く だ さ い。 宛先イ ン タ フ ェ ース と し て [Any] を選択する と 、ポ リ シーは宛先 イ ン タ フ ェ ース と し て どのイ ン タ フ ェ ース と も 一致 し ます。 [Action] が [IPSEC] に設定 さ れてい る場合、 こ の イ ン タ フ ェ ースは、 VPN ト ン ネルへ の入口に関連付け ら れます。 [Action] が [SSL-VPN] に設定 さ れてい る場合、 こ の イ ン タ フ ェ ースは、 ロー カ ル プ ラ イ ベー ト ネ ッ ト ワー ク に関連付け ら れます。 [Destination Address] 宛先イ ン タ フ ェ ース / ゾー ン と 関連付け ら れる フ ァ イ ア ウ ォ ール ア ド レ ス名を選択 し ます。 選択 し た フ ァ イ アウ ォ ール ア ド レ ス と 一致す る IP ア ド レ スがヘ ッ ダに含ま れるパケ ッ ト のみが、 こ のポ リ シーの対象 と な り ます。 こ の リ ス ト か ら [Create New] を選択す る こ と に よ り 、 フ ァ イ アウ ォ ール ア ド レ ス を 作成で き ます。詳細については、297 ページの「ア ド レ スの設定」 を参照 し て く だ さ い。 複数の フ ァ イ アウ ォ ール ア ド レ ス ま たはア ド レ ス グループ を宛先 イ ン タ フ ェ ース / ゾー ン に関連付け る場合は、 [Destination Address] か ら [Multiple] を選択 し ます。 ダ イ ア ロ グ ボ ッ ク ス で、 フ ァ イ ア ウ ォ ー ル ア ド レ ス ま た は ア ド レ ス グ ル ー プ を、 [Available Addresses] セ ク シ ョ ンか ら [Members] セ ク シ ョ ン に移動 し 、 [OK] を選択 し ます。 仮想 IP を選択する場合は、 FortiGate ユニ ッ ト に よ り NAT ま たは PAT が適用 さ れま す。 適用 さ れる変換は、 仮想 IP で指定 さ れる設定、 お よび [NAT] ( 以下を参照 ) を選 択す るかど う かに よ り 異な り ます。 仮想 IP の使用については、 313 ページの 「フ ァ イ アウ ォ ール仮想 IP」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れてい る場合、 こ のア ド レ スは、 VPN ト ン ネルの リ モー ト エ ン ド ポ イ ン ト にあ る、 パケ ッ ト の配信先にな る可能性のあ る プ ラ イ ベー ト IP ア ド レ ス です。 [Action] が [SSL-VPN] に設定 さ れている場合は、 FortiGate ユニ ッ ト の背後に配置 さ れてい る、 リ モー ト ク ラ イ ア ン ト がア ク セ スす る必要のあ る ホ ス ト 、 サーバ、 ま た はネ ッ ト ワー ク に対応する IP ア ド レ スの名前を選択 し ます。 [Schedule] ポ リ シ ーが有効に な る タ イ ミ ン グ を 制御す る、 ワ ン タ イ ムま たは反復ス ケ ジ ュ ール ま たはスケジ ュ ールのグループ を選択 し ます。 さ ら に、 こ の リ ス ト か ら [Create New] を選択す る こ と に よ り 、 スケ ジ ュ ールを作成 で き ます。 詳細については、 309 ページの 「フ ァ イ アウ ォ ール スケジ ュ ール」 を参 照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの設定 [Service] こ のポ リ シー を ト リ ガす る ためにパケ ッ ト と 一致す る必要があ る、 フ ァ イ ア ウ ォ ー ル サービ ス またはサービ ス グループの名前を選択 し ます。 事前に設定 さ れた各種の フ ァ イ ア ウ ォ ール サービ スか ら 選択す るか、 ま たは こ の リ ス ト か ら [Create New] を選択する こ と に よ り 、 カ ス タ ムのサー ビ ス ま たはサービ ス グループ を作成で き ます。 詳細については、 306 ページの 「カ ス タ ム サービ スの設 定」 およ び 307 ページの 「カ ス タ ム サービ ス グループの設定」 を参照 し て く だ さ い。 [Service] 横の [Multiple] ボ タ ン を選択する こ と に よ り 、 複数のサー ビ ス ま たはサー ビ ス グループ を選択で き ます。 [Action] パケ ッ ト がポ リ シ ーの条件に一致 し た と き の フ ァ イ ア ウ ォ ールの対応 を 選択 し ま す。 利用可能なオ プ シ ョ ンは、 こ の選択に応 じ て幅広 く 異な り ます。 [ACCEPT] こ のポ リ シーに一致 し た ト ラ フ ィ ッ ク を受け付けます。 NAT お よびプ ロ テ ク シ ョ ン プ ロ フ ァ イルの設定、ト ラ フ ィ ッ クのロ グ記録、ト ラ フ ィ ッ ク の ト ラ フ ィ ッ ク シ ェ ー ピ ン グ、 認証オ プ シ ョ ン に関す る各種設定、 ま たは こ のポ リ シ ーへの コ メ ン ト 追加 を行 う こ と がで き ます。 [DENY] こ のポ リ シーに一致 し た ト ラ フ ィ ッ ク を拒否 し ます。 設定可能な他のポ リ シー オ プ シ ョ ンは、 こ のポ リ シーで拒否 さ れた接続を ロ グ記録する [Log Violation Traffic]、 お よび こ のポ リ シーに コ メ ン ト を追加する [Comment] のみです。 IPSEC IPSec VPN パケ ッ ト の処理、お よびプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルの設定、 ト ラ フ ィ ッ ク のロ グ記録、 ト ラ フ ィ ッ ク の ト ラ フ ィ ッ ク シ ェ ーピ ン グ、 ま たはポ リ シーへの コ メ ン ト 追加を行 う ために、 IPSec フ ァ イ アウ ォ ール暗号化ポ リ シーを設定で き ます。 詳 し く は、 275 ページの 「IPSec フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 [SSL-VPN] SSL-VPN フ ァ イ アウ ォ ール暗号化ポ リ シーを設定 し 、 SSL VPN ト ラ フ ィ ッ ク を受け 付け る こ と がで き ます。 こ のオ プ シ ョ ンは、 SSL VPN ユーザ グループ を追加 し ない と 使用で き ません。 NAT お よびプ ロ テ ク シ ョ ン プ ロ フ ァ イルの設定、 ト ラ フ ィ ッ ク のロ グ記録、 ト ラ フ ィ ッ ク の ト ラ フ ィ ッ ク シ ェ ーピ ン グ、 ま たは こ のポ リ シーへの コ メ ン ト 追加を行 う こ と がで き ます。 詳 し く は、 275 ページの 「SSL VPN の ID ベー ス フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 [NAT] [Action] が [ACCEPT] または [SSL-VPN] に設定 さ れてい る場合のみ使用で き ます。 . こ のポ リ シーに よ り 受け付け ら れるパケ ッ ト の発信元ア ド レ スお よ びポー ト の NAT を、 有効ま たは無効に設定 し ま す。 [NAT] が有効に設定 さ れ る場合は、 [Dynamic IP Pool] お よび [Fixed Port] を設定で き ます。 仮想 IP を [Destination Address] と し て選択 し [NAT] オプ シ ョ ン を選択 し ない場合は、 FortiGate ユニ ッ ト に よ り 完全な NAT ではな く DNAT ( 宛先 NAT) が実行 さ れます。 SNAT ( 発信元 NAT) は実行 さ れません。 [Dynamic IP Pool] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、 次に IP プールを選択 し 、 発信元ア ド レ ス を その IP プールか ら 無作為に選択 さ れた IP ア ド レ スに変換 し ます。 宛先 イ ン タ フ ェ ー ス、 VLAN サ ブ イ ン タ フ ェ ー ス、 ま た は宛先 ゾ ー ン 内の イ ン タ フ ェ ース ま たは VLAN サブ イ ン タ フ ェ ースのいずれかが、 DHCP ま たは PPPoE を使 用 し て設定 さ れている場合は、 [IP Pool] を選択で き ません。 詳細については、 327 ページの 「IP プールの設定」 を参照 し て く だ さ い。 [Fixed Port] NAT で発信元ポー ト を変換 し ない よ う にする には、 [Fixed Port] を選択 し ます。 一部のア プ リ ケーシ ョ ン では、 発信元ポー ト が変換 さ れて し ま う と 正 し く 機能 し ま せん。 ほ と んどの場合、 [Fixed Port] を選択す る と き、 [Dynamic IP Pool] も 選択 し ま す。 [Dynamic IP Pool] を選択 し ない場合、 [Fixed Port] が選択 さ れたポ リ シーは、 一 度にそのサービ スへの接続 1 つに限 り 許可で き ます。 注記 : [Fixed Port] は、 CLI か ら 有効に設定 さ れた場合のみ表示 さ れます。 [Enable Identity Based Policy] 認証を必要 と する フ ァ イ ア ウ ォ ール ポ リ シー を設定する ために選択 し ます。 詳細に ついては、 273 ページの 「フ ァ イ アウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 こ の項には、 [Firewall]、 [Directory Service (FSAE)]、 [NTLM Authentication]、 お よび [Enable Disclaimer and Redirect URL to] の各オ プ シ ョ ン についての説明 も 記述 さ れています。 [UTM] UTM オ プ シ ョ ン を選択する こ と で、 こ の フ ァ イ アウ ォ ール ポ リ シー を適用 し ます。 利用可能な UTM オプ シ ョ ン を選択する には、 必ず UTM を有効に設定 し ます。 [Protocol] オプ ション ド ロ ッ プ ダウ ン リ ス ト か ら 、 プ ロ ト コ ルを選択 し ます。 デ フ ォ ル ト のプ ロ ト コ ルを、 デ フ ォ ル ト と 呼びます。 プ ロ ト コ ル項目には、 NNTP およ び無効証明書のロギ ン グな ど、 複数の設定が含まれます。 新 し いプ ロ ト コ ル オプ シ ョ ン リ ス ト 項目を作成す る には、 ド ロ ッ プ ダウ ン リ ス ト から [Create New] を選択 し ます。 [Enable Antivirus] ド ロ ッ プ ダウ ン リ ス ト か ら ア ン チウ イ ルス プ ロ フ ァ イルを選択 し ます。 新 し いア ン チウ イ ルス プ ロ フ ァ イ ルを作成する には、 ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。 ア ン チウ イルス プ ロ フ ァ イ ルの詳細については、 358 ページの 「ア ン チウ イルス」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 271 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シー [Enable Web Filter] ド ロ ッ プ ダウ ン リ ス ト か ら 、1 つの Web フ ィ ル タ リ ン グ プ ロ フ ァ イルを選択 し ます。 新 し い Web フ ィ ル タ リ ン グ プ ロ フ ァ イ ルを作成する には、ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。Web フ ィ ル タ リ ン グ プ ロ フ ァ イ ルの詳細については、 374 ページの 「Web フ ィ ル タ 」 を参照 し て く だ さ い。 [Enable Email Filter] ド ロ ッ プ ダウ ン リ ス ト か ら 、 電子 メ ール フ ィ ル タ リ ン グ プ ロ フ ァ イ ル を選択 し ま す。 新 し い電子 メ ール フ ィ ル タ リ ン グ プ ロ フ ァ イルを作成する には、 ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。 電子 メ ール フ ィ ル タ リ ン グ プ ロ フ ァ イ ルの詳細については、 386 ページの 「電子 メ ール フ ィ ル タ 」 を参照 し て く だ さ い。 [Enable DLP Sensor] ド ロ ッ プ ダウ ン リ ス ト か ら 、 DLP セ ンサーを選択 し ます。 新 し い DLP セ ンサー を作 成す る には、 ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。 DLP セ ンサー の詳細については、 395 ページの 「情報漏洩防止」 を参照 し て く だ さ い。 [Enable Application Control] ド ロ ッ プ ダウ ン リ ス ト か ら 、 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を選 択 し ます。新 し いア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を作成する には、 ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。ア ン チウ イ ルス プ ロ フ ァ イ ルの詳細については、 405 ページの 「ア プ リ ケーシ ョ ン制御」 を参照 し て く だ さ い。 [Enable VoIP] ド ロ ッ プ ダウ ン リ ス ト か ら 、VoIP プ ロ フ ァ イ ルを選択 し ます。新 し い VoIP プ ロ フ ァ イ ルを作成する には、 ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択 し ます。 VoIP プ ロ フ ァ イルの詳細については、 409 ページの 「VoIP」 を参照 し て く だ さ い。 [Traffic Shaping] ポ リ シ ーの共有 ト ラ フ ィ ッ ク シ ェ ーパー を 選択 し ま す。 新 し い共有 ト ラ フ ィ ッ ク シ ェ ーパーを作成する こ と も で き ます。 共有 ト ラ フ ィ ッ ク シ ェ ーパーは、 利用可能 な帯域幅を 制御 し 、 処理対象の ト ラ フ ィ ッ ク のプ ラ イ オ リ テ ィ を ポ リ シーに基づい て設定 し ます。 共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定については、 337 ページの 「共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定」 を参照 し て く だ さ い。 [Reverse 逆の ト ラ フ ィ ッ ク シ ェ ー ピ ン グ を有効に し て、 共有 ト ラ フ ィ ッ ク シ ェ ーパーを選択 Direction Traffic す る と き、 こ の オ プ シ ョ ン を 選択 し ま す。 た と えば、 ポ リ シ ー で 制御 さ れ る ト ラ フ ィ ッ クの方向がポー ト 1 か ら ポー ト 2 の場合、 こ のオ プ シ ョ ン を選択する と 、ポー Shaping] ト 2 から ポー ト 1 への ト ラ フ ィ ッ ク に も ポ リ シー シ ェ ーピ ン グ設定が適用 さ れます。 共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定については、 337 ページの 「共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定」 を参照 し て く だ さ い。 272 [Per-IP Traffic Shaping] こ のポ リ シーに適用 さ れる "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " を選択 し ます。 "IP ご と の ト ラ フ ィ ッ ク シ ェ ーピ ン グ " は、 フ ァ イ ア ウ ォ ール ポ リ シーに追加 し た "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー" に追加 さ れてい る IP ア ド レ スか ら 発信 さ れる ト ラ フ ィ ッ ク に、 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を適用 し ます。 的 P ご と の ト ラ フ ィ ッ ク シ ェ ーパー狽フ設定については、 338 ページの 「"IP ご と の ト ラ フ ィ ッ ク シ ェ ーピ ン グ " の設定」 を参照 し て く だ さ い。 [Log Allowed Traffic] ポ リ シーに よ り 接続が処理 さ れる と きは メ ッ セージ を ト ラ フ ィ ッ ク ロ グに必ず記録 す る と き、 こ のオ プ シ ョ ン を選択 し ます。 ロギ ン グ場所 (syslog、 WebTrends、 使用可 能な場合はロー カ ル デ ィ ス ク 、 メ モ リ 、 または FortiAnalyzer) の ト ラ フ ィ ッ ク ロ グ を有効に し 、[Log & Report] メ ニ ュ ーか ら ロギン グ レ ベルを [Notification] 以下に設定 す る必要があ り ます。 詳細については、 485 ページの 「ロ グお よび レ ポー ト 」 を参照 し て く だ さ い。 [No NAT] デ フ ォ ル ト で選択 さ れています。 選択 さ れている場合、 その フ ァ イ ア ウ ォ ール ポ リ シーでは NAT は使用 さ れません。 [Enable NAT] NAT ト ラ フ ィ ッ ク のロ ギ ン グ を 有効にす る と き選択 し ます。 それに よ り 、 [Dynamic IP Pool] オ プ シ ョ ン を利用で き ます。 こ のオプ シ ョ ン を有効にす る前に、 ダ イ ナ ミ ッ ク IP プールを設定する必要があ り ます。 [Use Central NAT Table] [Central NAT Table] メ ニ ュ ーで設定す る Central NAT テーブルを使用する ロギ ン グ を 有効にする と き、 こ のオプ シ ョ ン を選択 し ます。 [Dynamic IP Pool] [Enable NAT] を選択 し た と きのみ、 利用可能です。 [Enable Endpoint NAC] エ ン ド ポ イ ン ト NAC 機能を有効に し て、適用する エ ン ド ポ イ ン ト NAC プ ロ フ ァ イ ル を選択する と き、 こ のオ プ シ ョ ン を選択 し ます。 詳細については、 469 ページの 「エ ン ド ポ イ ン ト 」 を参照 し て く だ さ い。 ・ [User]、[Options]、[Authentication] で [Redirect HTTP Challenge to a Secure Channel (HTTPS)] が有効に設定 さ れてい る場合、 フ ァ イ ア ウ ォ ール ポ リ シーで エ ン ド ポ イ ン ト を有効にで き ません。 ・ フ ァ イ ア ウ ォ ール ポ リ シーに負荷分散仮想 IP が含まれる場合、 エ ン ド ポ イ ン ト のチ ェ ッ ク は実行 さ れません。 [Comments] ポ リ シーについての情報を追加 し ます。 最大の長 さ は 63 文字です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの設定 ファイアウォール ポリシーへの認証の追加 ファイアウォール ポリシーで [Enable Identity Based Policy] を有効にする場合、 ネットワーク ユーザ は、 サポートされるファイアウォール認証プロトコルを含むトラフィックを送信することで、 ファイア ウォール認証チャレンジを開始し、 認証を正常に完了する必要があります。 この処理を経て、 FortiGate ユニットではファイアウォール ポリシーと一致する他のトラフィックが許可されます。 ユーザ認証は、 サポー ト さ れる以下のどのプ ロ ト コ ルで も発生 し ます。 ・ HTTP ・ HTTPS ・ FTP ・ Telnet 認証の ス タ イ ルは、 サポー ト さ れ る こ れ ら の プ ロ ト コ ルの う ち、 ど れが選択 し た フ ァ イ ア ウ ォ ール サービ ス グループに含まれてい るか、お よび こ れ らの有効な プ ロ ト コ ルの う ち、ネ ッ ト ワー ク ユーザがどれを適用 し て認証チ ャ レ ン ジ を開始す るかに応 じ て異な り ます。 認証の ス タ イルは、 2 種類のいずれかにな り ます。 証明書ベース (HTTPS、 または HTTPS に リ ダ イ レ ク ト さ れる HTTP のみ ) の認証では、 カ ス タ マ イズ済みの証明書を FortiGate ユニ ッ ト 、 およ び FortiGate ユニ ッ ト によ り 照合 さ れる ネ ッ ト ワー ク ユーザのブ ラ ウザに イ ン ス ト ールする必 要があ り ます。 ユーザ名お よびパスワー ド ベース (HTTP、 FTP、 お よび Telnet) の認証では、 ネ ッ ト ワー ク ユーザは FortiGate ユニ ッ ト か ら、各自の フ ァ イ アウ ォ ール ユーザー名お よびパ スワー ド を入力する よ う に指示 さ れます。 た と えば、 SMTP および POP3 ト ラ フ ィ ッ ク を許可する ために、 HTTPS 証明書ベース認証を必 要 と する場合、 SMTP、 POP3、 および HTTPS のサービ ス を含む フ ァ イ アウ ォ ール サービ ス を ( フ ァ イ アウ ォ ール ポ リ シーで ) 選択する必要があ り ます。 POP3 または SMTP を使用する前 に、 ネ ッ ト ワー ク ユーザは HTTPS サービ ス を使用する ト ラ フ ィ ッ ク を送信 し 、 FortiGate ユ ニ ッ ト は こ のサービ ス を使用 し てネ ッ ト ワー ク ユーザの証明書を確認 し ます。 証明書ベース 認証が正常に完了 し た後に、 ネ ッ ト ワー ク ユーザは電子 メ ールにア ク セスで き ます。 ほ と んどの場合、 認証な し に FortiGate ユニ ッ ト を介 し て、 ユーザが DNS を使用で き る よ う に し てお き ます。 DNS を利用で き ない場合は、 ユーザは、 サポー ト さ れる認証プ ロ ト コ ルを使用 し て FortiGate ユニ ッ ト の認証チ ャ レ ン ジ を開始する と き、 ド メ イ ン名を使用で き ません。 認証では、 ア ク シ ョ ンが必ず ACCEPT または SSL-VPN のいずれかであ り 、 また最初にユーザ を作成 し そのユーザを フ ァ イ アウ ォ ールのユーザ グループに割 り 当て、 そのユーザ グループ にプ ロ テ ク シ ョ ン プ ロ フ ァ イルを割 り 当て る必要があ り ます。 ユーザ グループの設定につい ては、 457 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 認証の設定については、 273 ペー ジの 「ID ベースの フ ァ イ アウ ォ ール ポ リ シーの設定」 お よび 275 ページの 「SSL VPN の ID ベース フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 注記 : ネットワーク ユーザの Web ブラウザに証明書をインストールしないと、 SSL 証明書警告 メッセージがユーザに表示され、 ユーザはデフォルトの FortiGate 証明書を手動で許可する必要 があり、 ネットワーク ユーザの Web ブラウザはそれを無効と見なす場合があります。 証明書の インストールについては、 191 ページの 「シ ス テム - 証明書」 を参照してください。 注記 : 証明書ベースの認証を使用する場合、 ファイアウォール ポリシーを作成する際に何らか の証明書を指定しないと、 FortiGate ユニットでは、 使用されるグローバル設定からデフォルトの 証明書が使用されます。 証明書を指定すると、 グローバル設定がポリシー- ごとの設定に置き 換わります。 グローバル認証の設定については、 463 ページの 「認証」 を参照してください。 ID ベースのファイアウォール ポリシーの設定 非 SSL-VPN ID ベース ポ リ シー を使用するユーザに対 し ては、 ユーザ グループ をポ リ シーに 追加する必要があ り ます。 ユーザ グループの設定については、 457 ページの 「ユーザ グルー プ」 を参照 し て く だ さ い。 ID ベースのポ リ シーを設定するには、 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し て、 フ ァ イ アウ ォ ール ポ リ シー を追加するか、 または既存の フ ァ イ アウ ォ ール ポ リ シーに該当す る行で、 [Edit] を選択 し ます。 [Action] が [ACCEPT] に設定 さ れてい る こ と を確 認 し て く だ さ い。 [Enable Identity Based Policy] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 273 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シー [New Policy] ページの [Enable Identity Based Policy] セクション ID ベース ポ リ シー認証を有効にする と き選択 し ます。 [Action] が [ACCEPT] に設定 さ れる場合、 1 つ以上の 認証サーバ タ イ プ を選択で き ます。 ネ ッ ト ワー ク ユーザが認証を行 う と き、 FortiGate ユニ ッ ト がユーザの資格情報を確認する ために どのロ ー カ ルまたは リ モー ト 認証サーバに問い合わせるかが、 選択 さ れたサーバ タ イ プ に よ り 示 さ れます。 [Add] 必ず認証を 行 う 指定 さ れたユーザ グルー プ に、 こ のポ リ シ ー を使用す る こ と が許 可 さ れます。 [Rule ID] ルールの名前ま たは識別子。 [User Group] 必ず認証を 行 う 指定 さ れたユーザ グルー プ に、 こ のポ リ シ ー を使用す る こ と が許 可 さ れます。 [Service] こ のポ リ シーを ト リ ガする ためにパケ ッ ト と 一致する必要があ る、フ ァ イ アウ ォ ー ル サービ ス ま たはサービ ス グループ。 [Schedule] ポリシーが有効になるタイミングを制御する、 ワンタイムまたは反復スケジュール。 さ ら に、 こ の リ ス ト か ら [Create New] を 選択す る こ と に よ り 、 ス ケ ジ ュ ール を 作 成で き ます。 詳細については、 309 ページの 「フ ァ イ アウ ォ ール スケジ ュ ール」 を 参照 し て く だ さ い。 [UTM] UTM 機能が こ のポ リ シーに選択 さ れてい るかど う かを示 し ます。 [Traffic Shaping] こ のポ リ シーの ト ラ フ ィ ッ ク シ ェ ーピ ン グ設定。 詳細については、265 ページの 「フ ァ イ アウ ォ ール ポ リ シー」 を参照 し て く だ さ い。 [Logging] ロギ ン グが こ のポ リ シーに選択 さ れてい るかど う かを示 し ます。 [Delete] こ の ID ベース ポ リ シーを削除する と き選択 し ます。 [Edit] こ の ID ベース ポ リ シーを編集する と き選択 し ます。 [Move To] ID ベース ポリシー リスト内で ID ベース ポリシーの位置を変更するとき選択します。 [Firewall] FortiGate ユニ ッ ト ま たは接続 さ れている LDAP お よび RADIUS サーバで ロー カ ルに 定義 さ れる、 フ ァ イ ア ウ ォ ール ユーザ グループ を含む こ と がで き ます。 こ のオ プ シ ョ ンはデ フ ォ ル ト で選択 さ れています。 [Directory Service (FSAE)] [User]、[User Group] で定義 さ れたデ ィ レ ク ト リ サー ビ ス グループ を含む こ と がで き ます。 こ れ ら のグループは、 ド メ イ ン コ ン ト ロ ー ラ に よ り FSAE (Fortinet Server Authentication Extensions) を使用 し て認証 さ れます。 こ のオ プ シ ョ ン を選択する場 合、 FSAE を デ ィ レ ク ト リ サー ビ ス ド メ イ ン コ ン ト ロ ー ラ に必ず イ ン ス ト ール し ます。 FSAE については、 『Fortinet Server Authentication Extension 管理ガ イ ド 』 を 参照 し て く だ さ い。 . ユーザ グループの設定については、 457 ページの 「ユーザ グ ループ」 を参照 し て く だ さ い。 [NTLM Authentication] [User]、[User Group] で定義 さ れたデ ィ レ ク ト リ サー ビ ス グループ を含む こ と がで [Certificate] 証明書ベースの認証に限 ら れます。 ゲス ト ア カ ウ ン ト が使用す る プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 注記 : 証明書ベースの認証を実装する には、 証明書ベース認証を使用するサポー ト 対象の認証プ ロ ト コ ルのいずれかを含む、 フ ァ イ アウ ォ ール サー ビ ス グループ を 選択する必要があ り ます。 ま た証明書を、 ネ ッ ト ワー ク ユーザの Web ブ ラ ウザに 必ず イ ン ス ト ール し ます。 詳細については、 273 ページの 「フ ァ イ アウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 き ます。 こ のオ プ シ ョ ン を選択す る場合、 NTLM の認証グループの メ ンバ と し て、 デ ィ レ ク ト リ サービ ス グループ を必ず使用 し ます。ユーザ グループの設定につい ては、 457 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 [Enable Disclaimer ユーザ認証の後に、 [Authentication Disclaimer] 差 し 替え メ ッ セージの HTML ページ and Redirect URL to] を表示する と き、 こ のオ プ シ ョ ン を選択 し ます。 ユーザが宛先に接続す る には、 表 示 さ れる ユーザ認証免責条項 を 受け入れ る必要があ り ま す。 ユーザ認証差 し 替え メ ッ セ ージの カ ス タ マ イ ズについ ては、 160 ペー ジの 「ユーザ認証差 し 替え メ ッ セージ」 を参照 し て く だ さ い。 オ プ シ ョ ン で IP ア ド レ ス ま たは ド メ イ ン名を入力する こ と に よ り 、 ユーザ認証免 責条項が受け入れ ら れた後にユーザ HTTP 要求を リ ダ イ レ ク ト で き ます。 リ ダ イ レ ク ト 先の URL には、 追加情報 ( 使用条項な ど ) を と も な う Web ページが可能です。 Web ブ ラ ウザのセ キ ュ リ テ ィ 警告が表示 さ れな い よ う に、 こ の URL は、 通常は FQDN (fully qualified domain name) であ る指定 さ れた auth-cert の CN フ ィ ール ド に一致する必要があ り ます。 ID ベースのファイアウォール ポリシー ( 非 SSL-VPN) を作成するには 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し ます。 274 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの設定 2 [Source Interface/Zone]、 [Source Address]、 [Destination Interface/Zone]、 [Destination Address]、 [Schedule]、 および [Service] を設定 し ます。 詳細については、 268 ページの 「 フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 [Action] フ ィ ール ド で、 [ACCEPT] を選択 し ます。 4 [Enable Identity Based Policy] を選択 し 、 ID ベースのポ リ シーを追加で き る よ う に し ます。 5 [Add] を選択 し ます。 6 [Available User Groups] リ ス ト か ら、 こ のポ リ シーの使用を許可 さ れる ために認証を行 う 必 3 要がある、 1 つ以上のユーザ グループ を選択 し ます。 右矢印を選択 し 、 選択 し たユーザ グループ を [Selected User Groups] リ ス ト に移動 し ます。 [Available Services] リ ス ト か ら サービ ス を選択 し 、 右矢印を選択 し てそれ らのサービ ス を [Selected Services] リ ス ト に移動 し ます。 8 [Schedule] を選択 し ます。 7 9 オ プ シ ョ ン で、 1 つ以上の UTM オプ シ ョ ン を選択 し ます。 10 オ プ シ ョ ン で、 [Traffic Shaping] を選択 し 、 ト ラ フ ィ ッ ク シ ェ ーパーを選びます。 11 [Traffic Shaping] を選択 し た場合は、 [Reverse Direction Traffic Shaping] を選択 し 、 ト ラ フ ィ ッ ク シ ェ ーパーを選びます。 12 [OK] を選択 し ます。 IPSec ファイアウォール ポリシーの設定 フ ァ イ アウ ォ ール ポ リ シーでは (268 ページの 「 フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 )、 IPSec の以下の暗号化 オ プ シ ョ ン を 利用 で き ま す。 こ れ ら の オ プ シ ョ ン を 設定す る には、 [Firewall]、 [Policy] の順に選択 し 、 [Create New] を選択 し て、 フ ァ イ アウ ォ ール ポ リ シーを追 加す る か、 ま たは既存の フ ァ イ ア ウ ォ ール ポ リ シ ーに該当す る 行で、 [Edit] を 選択 し ま す。 [Action] が [IPSEC] に設定 さ れている こ と を確認 し て く だ さ い。以下の表の情報を入力 し 、[OK] を選択 し ます。 詳細については、 『FortiGate IPSec VPN ユーザ ガ イ ド 』 の 「フ ァ イ アウ ォ ール ポ リ シーの定 義」 の章を参照 し て く だ さ い。 [New Policy] ページでの IPSec 設定 [VPN Tunnel] フ ェ ーズ 1 の設定で定義 さ れた VPN ト ン ネルの名前を選択 し ます。指定 さ れた ト ン ネルは、 こ の フ ァ イ ア ウ ォ ール暗号化ポ リ シーに従います。 [Allow Inbound] リモート プライベート ネットワーク上のダイヤルアップ クライアントまたはコンピュータから のトラフィックで、 トンネルを開始できるようにする場合に選択します。 [Allow outbound] ロ ー カ ル プ ラ イ ベー ト ネ ッ ト ワー ク 上の コ ン ピ ュ ー タ か ら の ト ラ フ ィ ッ ク で ト ン ネルを開始で き る よ う にする場合に選択 し ます。 [Inbound NAT] 暗号化解除 さ れた受信パケ ッ ト の発信元IPア ド レ ス を、ロ ー カ ル プ ラ イ ベー ト ネ ッ ト ワー クの FortiGate イ ン タ フ ェ ースの IP ア ド レ スに変換する場合に選択 し ます。 [Outbound NAT] 送信の ク リ ア テキス ト パケ ッ ト の発信元ア ド レ ス を、 指定 し た IP ア ド レ スに変換 する ために、 必ず CLI の natip 値 と 組み合わせて選択 し ます。 natip 値が指定 さ れている場合、 送信 IP パケ ッ ト の発信元ア ド レ スは、 それ ら のパケ ッ ト が ト ン ネル を 経由 し て送信 さ れ る前に置 き換え ら れま す。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 の 「 フ ァ イ アウ ォ ール」 の章を参照 し て く だ さ い。 注記 : ルー ト ベース ( イ ン タ フ ェ ース モー ド ) VPN では、 IPSec フ ァ イ アウ ォ ール ポ リ シー を設定 し ません。 代わ り に、 1 つは通信方向、 も う 1 つは発信元ま たは宛先 イ ン タ フ ェ ース と し ての IPSec 仮想イ ン タ フ ェ ースの、2 種類の標準的な ACCEPT フ ァ イ アウ ォ ー ル ポ リ シーを設定 し ます。 SSL VPN の ID ベース ファイアウォール ポリシーの設定 SSL-VPN の ID ベース ポ リ シーを使用する ネ ッ ト ワー ク ユーザの場合、 SSL VPN ユーザを設 定 し 、 そのユーザをユーザ グループに追加 し た上で、 ポ リ シーを設定する必要があ り ます。 詳細については、 268 ページの 「フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 275 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シー SSL-VPN の ID ベース フ ァ イ アウ ォ ール ポ リ シー を作成するには、 [Firewall]、[Policy]、[Policy] の順に選択 し 、 [Create New] を 選択 し ま す。 次に、 以下の表の情報 を 入力 し ま す。 [Action]、 [SSL VPN] の順に選択 し ます。 注記 : [SSL-VPN] オプ シ ョ ンは、 SSL VPN ユーザ グループ を追加 し た後に限 り 、 [Action] リ ス ト か ら 使用で き ま す。 SSL VPN ユーザ グルー プ の追加につ い ては、 460 ペー ジ の 「SSL VPN ユーザ グループ」 を参照 し て く だ さ い。 [New Policy] ページでの SSL-VPN 設定 [Source Interface/Zone] IP パケ ッ ト が受信 さ れる、 FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ース、 バー チ ャ ル ド メ イ ン (VDOM) リ ン ク 、 ま たはゾーンの名前を選択 し ます。 [Source Address] 発信元 イ ン タ フ ェ ース / ゾーン と 関連付け ら れる フ ァ イ アウ ォ ール ア ド レ ス名を選択 し ます。 選択 し た フ ァ イ アウ ォ ール ア ド レ ス と 一致する IP ア ド レ スがヘ ッ ダに含まれるパケ ッ ト のみが、 こ のポ リ シーの対象 と な り ます。 こ の リ ス ト か ら [Create New] を 選択す る こ と に よ り 、 フ ァ イ ア ウ ォ ール ア ド レ ス を作成で き ます。 詳細については、 297 ページの 「ア ド レ スの設 定」 を参照 し て く だ さ い。 [Action] が [SSL-VPN] に設定 さ れてお り 、 こ れが Web のみモー ド の ク ラ イ ア ン ト のためのポ リ シーであ る場合は、 [all] を選択 し ます。 [Action] が [SSL-VPN] に設定 さ れてお り 、 こ れが ト ン ネル モー ド の ク ラ イ ア ン ト のためのポ リ シ ーで あ る場合は、 その ト ン ネル モー ド の ク ラ イ ア ン ト のために予約 し たア ド レ スの名前を選択 し ます。 [Destination Interface/Zone] IP パケ ッ ト が転送 さ れる先の、 FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ース、 バーチ ャ ル ド メ イ ン (VDOM) リ ン ク 、 ま たはゾーンの名前を選択 し ます。 [Action] が [SSL-VPN] に 設定 さ れ て い る 場合、 こ の イ ン タ フ ェ ー ス は、 ロー カル プ ラ イ ベー ト ネ ッ ト ワー ク に関連付け ら れます。 276 [Destination Address] 宛先 イ ン タ フ ェ ース / ゾーン と 関連付け ら れる フ ァ イ アウ ォ ール ア ド レ ス名を選択 し ます。 選択 し た フ ァ イ アウ ォ ール ア ド レ ス と 一致す る IP ア ド レ スがヘ ッ ダに含まれるパケ ッ ト のみが、 こ のポ リ シーの対象 と な り ま す。 こ の リ ス ト か ら [Create New] を 選択す る こ と に よ り 、 フ ァ イ ア ウ ォ ール ア ド レ ス を作成で き ます。 詳細については、 297 ページの 「ア ド レ スの設 定」 を参照 し て く だ さ い。 複数の フ ァ イ ア ウ ォ ール ア ド レ ス ま たはア ド レ ス グループ を宛先 イ ン タ フ ェ ース / ゾー ン に関連付け る場合は、[Destination Address] か ら [Multiple] を選択 し ます。 ダ イ ア ロ グ ボ ッ ク ス で、 フ ァ イ ア ウ ォ ール ア ド レ ス ま た はア ド レ ス グループ を、 [Available Addresses] セ ク シ ョ ンか ら [Members] セ ク シ ョ ン に移動 し 、 [OK] を選択 し ます。 仮想 IP を選択する場合は、 FortiGate ユニ ッ ト に よ り NAT ま たは PAT が 適用 さ れ ま す。 適用 さ れ る 変換は、 仮想 IP で指定 さ れ る 設定、 お よ び [NAT] ( 以下を参照 ) を選択するかど う かに よ り 異な り ます。 仮想 IP の使 用については、 313 ページの 「 フ ァ イ ア ウ ォ ール仮想 IP」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れてい る場合、 こ のア ド レ スは、 VPN ト ン ネ ルの リ モ ー ト エ ン ド ポ イ ン ト にあ る、 パケ ッ ト の配信先に な る可能性の あ る プ ラ イ ベー ト IP ア ド レ ス です。 [Action] が [SSL-VPN] に設定 さ れてい る場合は、 FortiGate ユニ ッ ト の背 後に配置 さ れてい る、 リ モ ー ト ク ラ イ ア ン ト がア ク セ スす る必要のあ る ホ ス ト 、 サーバ、 ま たはネ ッ ト ワー ク に対応する IP ア ド レ スの名前を選 択 し ます。 [Action] SSL-VPN を 選択 し 、 SSL VPN ト ラ フ ィ ッ ク を 許可す る ための フ ァ イ ア ウ ォ ール暗号化ポ リ シー を設定 し ます。 こ のオ プ シ ョ ンは、SSL VPN ユー ザ グループ を追加 し ない と 使用で き ません。 [SSL Client Certificate Restrictive] ( 共有 さ れている ) グループ証明書の所有者が生成 し た ト ラ フ ィ ッ ク を許 可 し ます。 グループ証明書の所有者は SSL VPN ユーザ グループの メ ンバ であ る必要があ り 、 そのユーザ グループの名前が [Allowed] フ ィ ール ド に 存在する必要があ り ます。 [Cipher Strength] SSL暗号化のビ ッ ト レ ベルを選択 し ます。リ モー ト ク ラ イ ア ン ト 上の Web ブ ラ ウザが、 選択する レ ベルに一致 し てい る必要があ り ます。 選択可能な レ ベルは、 Any、 164 以上の High、 ま たは 128 以上の Medium です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー Central NAT Table の設定 [User Authentication Method] ユーザ認証に使用 さ れる認証サーバを選択 し ます。 [Any] ミ 上記の認証方法すべてが適用 さ れます。[Local] が最初に試行 さ れ、 次に [RADIUS]、 [LDAP] の順に試行 さ れます。 [Local] ミ こ の フ ァ イ アウ ォ ール ポ リ シーに、 ロー カル ユーザ グループが 結びつけ ら れる場合に選択ます。 [RAIDUS] 外部 LADP サーバに よ り 認証 さ れる リ モー ト ク ラ イ ア ン ト の場 合に選択 し ます。 [LDAP] ミ 外部 LDAP サーバに よ り 認証 さ れる リ モー ト ク ラ イ ア ン ト の場 合に選択 し ます。 [TACACS+] ミ 外部 TACACS+サーバに よ り 認証 さ れる リ モー ト ク ラ イ ア ン ト の場合に選択 し ます。 [No NAT] デ フ ォ ル ト で 選択 さ れ て い ま す。 選択 さ れ て い る 場合、 そ の フ ァ イ ア ウ ォ ール ポ リ シーでは NAT は使用 さ れません。 [Dynamic IP Pool] ダ イ ナ ミ ッ ク IP プールを有効にす る と き選択 し ます。 [Enable NAT] こ の ポ リ シ ー に よ り 受 け付け ら れ る パ ケ ッ ト の発信元 ア ド レ ス お よ び ポー ト の NAT を、 有効または無効に設定 し ます。 [NAT] が有効に設定 さ れる場合は、 [Dynamic IP Pool] お よび [Fixed Port] を設定で き ます。 仮想 IP を [Destination Address] と し て選択 し [NAT] オプ シ ョ ン を選択 し ない場合は、 FortiGate ユニ ッ ト に よ り 完全な NAT ではな く DNAT ( 宛先 NAT) が実行 さ れます。 SNAT ( 発信元 NAT) は実行 さ れません。 ヒ ン ト :NAT を選択する場合、 FortiGate ユニ ッ ト の送信 イ ン タ フ ェ ースの IP ア ド レ スが、 SSL VPN に よ り 開始 さ れる新 し いセ ッ シ ョ ンの発信元ア ド レ ス と し て使用 さ れます。 [Use Central NAT Table] [Central NAT Table] メ ニ ュ ーで設定 し た NATルールを使用す る と き選択 し ます。 FortiOS ユニ ッ ト は、 こ のテーブルを参照 し 、 パケ ッ ト を変換す る 方法を判断 し ます。 [Enable Identity Based Policy] ID ベース ポ リ シー認証を有効にする と き選択 し ます。 [Action] が [ACCEPT] に設定される場合、 1 つ以上の 認証サーバ タイプを選 択できます。 ネットワーク ユーザが認証を行うとき、 FortiGate ユニットがユー ザの資格情報を確認するためにどのローカルまたはリモート認証サーバに問 い合わせるかが、 選択されたサーバ タイプにより示されます。 詳細については、 273 ページの 「ID ベースの フ ァ イ ア ウ ォ ール ポ リ シー の設定」 を参照 し て く だ さ い。 [Comments] ポ リ シーについての情報を追加 し ます。 最大の長 さ は 63 文字です。 Central NAT Table の設定 Central NAT Table によ り 、 ユーザは NAT ルールを作成で き る と と も に、 グローバル フ ァ イ ア ウ ォ ール テーブルによ り 設定 さ れる NAT マ ッ ピ ングを表示で き ます。 フ ァ イ アウ ォ ール ポ リ シー内で [Use Central NAT Table] オプ シ ョ ン を選択する こ と によ り 、そのポ リ シーに対 し て こ れ らの NAT ルールを使用で き ます。 NAT ルールを設定す る には、 [Firewall]、 [Policy]、 [Central NAT Table] の順に選択 し 、 [Create New] を選択するかまたは既存の NAT ルールを編集 し ます。 [Central NAT Table] ページ こ のページには、 作成済みの NAT ルールが一覧表示 さ れます。 こ のページ では、 NAT ルールの編 集、 削除、 ま たは新規作成が可能です。 [Create New] 新 し い NAT ルール セ ッ ト を作成する と き選択 し ます。 [Edit] NAT ルールを編集す る と き選択 し ます。 [Delete] [Central NAT Table] ページか ら NAT ルールを削除する と き選択 し ます。 [Enable] NAT ルールを有効にする と き選択 し ます。 [Disable] NAT ルールを無効にする と き選択 し ます。 [Insert] 新 し い NAT ルールを挿入する と き選択 し ます。 こ のア イ コ ンは、 [Create New] と 同 じ です。 [Move] リ ス ト 内で NAT ルールを別の位置に移動す る と き選択 し ます。 [New NAT] ページ こ のページ で、 NAT ルールを設定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 277 攻撃を検出および防御する DoS ポ リ シーの使用 フ ァ イ アウ ォ ール ポ リ シー [Source Address] ド ロ ッ プ ダウ ン リ ス ト か ら 発信元 IP ア ド レ ス を選択 し ます。 ド ロ ッ プ ダ ウ ン リ ス ト か ら [Multiple] を選択する こ と で、発信元 IP ア ド レ スのグルー プ を オ プ シ ョ ン で作成で き ます。ド ロ ッ プ ダウ ン リ ス ト か ら [Create New] を選択する こ と で、 新 し い発信元 IP ア ド レ ス を作成で き ます。 [Translated Address] ド ロ ッ プ ダウ ン リ ス ト か ら 、 ダ イ ナ ミ ッ ク IP プールを選択 し ます。 [Original Port] ア ド レ スが発生す るポー ト を入力 し ます。 [Translated Port] 変換 さ れ る ポ ー ト 番 号 を 入力 し ま す。 [From] フ ィ ー ル ド の数は、 [To] フ ィ ール ド に入力 さ れる よ り 小 さ いポー ト 番号よ り 必ず大き く な り ます。 攻撃を検出および防御する DoS ポリシーの使用 DoS ポ リ シーは主に、 ネ ッ ト ワー ク ト ラ フ ィ ッ クが送受信 さ れる FortiGate イ ン タ フ ェ ース、 および発信元および宛先のア ド レ スに基づいて、DoS セ ンサー を そのネ ッ ト ワー ク ト ラ フ ィ ッ ク に適用する ために使用 さ れます。 DoS セ ンサーは、 ト ラ フ ィ ッ ク の一般的なパ タ ーンおよび 動作に当てはま ら ないネ ッ ト ワー ク ト ラ フ ィ ッ ク を特定する、 ト ラ フ ィ ッ ク ア ノ マ リ 検出機 能を備えています。 異常な ト ラ フ ィ ッ クの代表的な例に、 DoS 攻撃があ り ます。 DoS は、 攻撃 側シ ス テムか ら 標的シ ス テムに対 し て異常に多数のセ ッ シ ョ ンが開始 さ れる こ と で発生 し ま す。 多数のセ ッ シ ョ ンに よ り 、 標的シ ス テムの処理速度を低速または機能停止の状態に し て、 正規ユーザがそのシ ス テムを使用で き ないよ う に し ます。 DoS ポ リ シーでは、 ネ ッ ト ワー ク保護のために FortiGate ユニ ッ ト に よ り 展開 さ れる保護対策 の最初期の段階で、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク が調査 さ れます。 こ のよ う な DoS ポ リ シーの 特性に よ り 、 少ない リ ソ ースでネ ッ ト ワー ク を効率的に保護する効果を得る こ と がで き ます。 フ ァ イ アウ ォ ール ポ リ シー検索、 ア ン チウ イルス スキ ャ ン、 その他、 集中的に資源を消費す る保護機能を必要 と せずに、 上述の DoS を検知 し 、 そのパケ ッ ト を破棄で き ます。 こ の項では、 DoS ポ リ シー設定の基礎について説明 し ます。 詳細については、 『FortiGate UTM ユーザ ガ イ ド 』 を参照 し て く だ さ い。 DoS ポリシー リストの表示 DoS ポ リ シー リ ス ト には、 それぞれのイ ン タ フ ェ ース、 発信元 / 宛先ア ド レ ス ペア、 および サービ ス と の一致の優先順に、 DoS ポ リ シーが表示 さ れます。 FortiGate ユニ ッ ト で、 バーチ ャル ド メ イ ンが有効に設定 さ れている場合は、 各バーチ ャル ド メ イ ン ご と に個別の DoS ポ リ シーを設定 し ますが、 ポ リ シーを設定するにはまずバーチ ャ ル ド メ イ ンにア ク セスする必要があ り ます。バーチ ャル ド メ イ ンにア ク セスするには、[System]、 [VDOM] の順に選択 し 、 ポ リ シー を設定す るバーチ ャ ル ド メ イ ン に該当す る行で、 [Enter] を 選択 し ます。 DoS ポ リ シー リ ス ト 内のポ リ シーは、 追加、 削除、 編集、 お よび並べ替えが可能です。 DoS ポ リ シーの順序は、 ポ リ シー照合に影響 し ます。 フ ァ イ ア ウ ォ ール ポ リ シー と 同様に、 DoS ポ リ シー リ ス ト に表示 さ れる順序で一度に 1 つずつ、 上位か ら 下位へ DoS ポ リ シーが ト ラ フ ィ ッ ク と 照合 さ れます。 一致するポ リ シーが見つかる と 、 そのポ リ シーが使用 さ れ、 以降の DoS ポ リ シー照合は中止 さ れます。 DoS ポ リ シー リ ス ト を表示するには、 [Firewall]、 [Policy]、 [DoS Policy] の順に選択 し ます。 [DoS Policy] ページ こ のページには、 作成済みの DoS ポ リ シーが一覧表示 さ れます。 こ のページ では、 DoS ポ リ シーの編集、 削除、 ま たは新規作成が可能です。 278 [Create New] 新 し い DoS ポ リ シー を追加 し ます。[Create New] の横にあ る下向き矢印を 選択 し 、 新 し いセ ク シ ョ ン を リ ス ト に追加 し 、 ポ リ シーを グループ化 し て 表示 し ます。 [Column Settings] テーブルの表示を カ ス タ マ イ ズ し ます。 カ ラ ムの表示、 非表示 を選択 し 、 テーブル内の カ ラ ムの表示順序を指定す る こ と がで き ます。 詳 し く は、 34 ページの 「表示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 を参照 し て く だ さ い。 [Section View] イ ン タ フ ェ ースに よ り 構成 さ れてい る DoS ポ リ シー を表示す る と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー 攻撃を検出および防御する DoS ポ リ シーの使用 [Global View] すべての DoS ポ リ シーを シーケ ン ス番号の順番に並べる と き選択 し ます。 [Filter] アイコン 指定した条件に応じてポリシー リストをフィルタ処理または並べ替えるための、 カラム フィルタを編集します。 詳細については、 32 ページの 「Web ベース マ ネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照してください。 [ID] ポ リ シーご と に固有の識別子。 ポ リ シーには、 作成 さ れた順序で番号が付 け ら れます。 [Source] このポリシーを適用する発信元アドレスまたはアドレス グループ。 詳細につい ては、 295 ページの 「 フ ァ イ アウ ォ ール ア ド レ ス」 を参照してください。 [Destination] このポリシーを適用する宛先アドレスまたはアドレス グループ。 詳細について は、 295 ページの 「フ ァ イ ア ウ ォ ール ア ド レ ス」 を参照してください。 [Service] こ のポ リ シー を適用するサービ ス。 詳細については、 301 ページの 「 フ ァ イ アウ ォ ール サービ ス」 を参照 し て く だ さ い。 [DoS] こ のポ リ シーで選択 さ れる DoS セ ンサー。 [Interface] こ のポ リ シー を適用する イ ン タ フ ェ ース。 [Status] こ のオプ シ ョ ン を オ ン にす る と 、 DoS ポ リ シーが有効にな り ます。 こ のポ リ シ ー を 無効にす る には、 こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 詳 し く は、266 ページの「ポ リ シーの有効化お よ び無効化」を参照 し て く だ さ い。 [Delete] ポ リ シーを リ ス ト か ら 削除 し ます。 [Edit] ポ リ シーを編集 し ます。 [Insert] 対応 す る ポ リ シ ーの上 に 新 し い ポ リ シ ー を 追加す る 場合 に 選択 し ま す ([New Policy] 画面が表示 さ れます )。 [Move] 対応する ポ リ シー を、 リ ス ト 内にあ る別のポ リ シーの前ま たは後に移動 し ます。 DoS ポリシーの設定 DoS ポ リ シー設定では、 イ ン タ フ ェ ース、 発信元ア ド レ ス、 宛先ア ド レ ス、 およびサービ ス を 指定で き ます。ポ リ シーを ト リ ガする には、指定 さ れた属性すべてがネ ッ ト ワー ク ト ラ フ ィ ッ ク に一致する必要があ り ます。 ま た、 config firewall interface-policy CLI コ マ ン ド を使用す る こ と で、 CLI か ら DoS ポ リ シーを追加で き ます。 こ の CLI コ マ ン ド を使用 し て、 IPS セ ンサーまたはア プ リ ケー シ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を、 DoS ポ リ シーに追加する こ と も で き ます。 詳細に ついては、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 config firewall interface-policy6 コ マ ン ド を使用 し 、IPv6 スニ フ ァ ポ リ シーを追加 で き ます。 FortiGate IPv6 サポー ト の詳細については、 186 ページの 「FortiGate の IPv6 サポー ト 」 を参照 し て く だ さ い。 DoS ポ リ シー を設定す る には、 [Firewall]、 [Policy]、 [DoS Policy] の順に選択 し 、 [Create New] を選択 し て、 DoS ポ リ シーの情報を入力 し ます。 [OK] を選択 し て、 新 し い DoS ポ リ シーを保 存 し ます。 [New Policy] ページ こ のページ では、 新 し い DoS ポ リ シー を設定で き ます。 [DoS Policy] ページ で [Create New] を選択する と 、 こ のページの画面に自動的に移動 し ます。 [Source Interface/Zone] 監視 さ れる イ ン タ フ ェ ース またはゾー ン。 [Source Address] ア ド レ ス、 ア ド レ ス範囲、 ま たはア ド レ ス グループ を選択 し 、 ト ラ フ ィ ッ ク 監視 を 指定の ア ド レ ス ま たは範囲か ら 送信 さ れ る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に 限 定 し ま す。 複 数 の ア ド レ ス ま た は 範 囲 を 含 む 場 合 は、 [Multiple] を選択 し ます。 [Create New] を選択する こ と で、 新 し いア ド レ ス またはア ド レ ス グループ を追加で き ます。 [Destination Address] ア ド レ ス、 ア ド レ ス範囲、 ま たはア ド レ ス グループ を選択 し 、 ト ラ フ ィ ッ ク 監視 を、 指定の ア ド レ ス ま たは範囲に送信 さ れ る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク のみに限定 し ま す。 複数の ア ド レ ス ま たは範囲 を 含む場合は、 [Multiple] を選択 し ます。 [Create New] を選択する こ と で、 新 し いア ド レ ス またはア ド レ ス グループ を追加で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 279 プ ロ ト コルオプシ ョ ンの設定 フ ァ イ アウ ォ ール ポ リ シー [Service] 定義済みの フ ァ イ ア ウ ォ ール サー ビ ス ま たは カ ス タ ム サー ビ ス を 選択 し 、ト ラ フ ィ ッ ク 監視を選択 し たサービ スのみに限定 し ます。[Create New] を選択する こ と で、 カ ス タ ム サー ビ ス を追加で き ます。 [DoS Sensor] DoS セ ンサーを選択、 指定 し 、 FortiGate ユニ ッ ト に よ り 、 条件に一致す る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に セ ン サーが適用 さ れ る よ う に し ま す。 [Create New] を選択す る こ と で、 新 し い DoS セ ンサー を追加で き ます。 プロトコルオプションの設定 [Protocol Options] メ ニ ュ ーでは、 複数のプ ロ ト コ ルを 1 つのプ ロ ト コ ル グループにグループ 化 し それを フ ァ イ アウ ォ ール ポ リ シーに適用する よ う に、 特定のプ ロ ト コ ルを設定で き ます。 デ フ ォル ト のグループは、 scan、 strict、 unfiltered、 および web です。 プ ロ ト コ ルの特定の設定 を 含む プ ロ ト コ ル グルー プ を 設定す る には、 [Firewall]、 [Policy]、 [Protocol Options] の順に選択 し 、 [Create New] を選択 し ます。 プ ロ ト コ ルご と に必要な情報を 入力 し 、 [OK] を選択 し ます。 [Protocol Options] ページ こ のページ には、 作成済みのプ ロ ト コ ル設定が一覧表示 さ れます。 こ のページ では、 プ ロ ト コ ル設定グ ループの編集、 削除、 ま たは新規作成が可能です。 [Create New] [Create New] を選択す る と 、 [Protocol Options Settings] ページの画面に自 動的に移動 し ます。 [Edit] プ ロ ト コ ル設定を編集 し ます。 [Delete] リ ス ト か ら 、 プ ロ ト コ ル設定を削除 し ます。 [Name] こ のプ ロ ト コ ル グループの名前。 こ のグループは、 フ ァ イ アウ ォ ール ポ リ シーに適用する と き選択する グループ です。 [Comments] プ ロ ト コ ル グループの説明を記述 し ます。 [Protocol Options Settings] ページ こ のページ では、 プ ロ ト コ ル グループ を構成する個々のプ ロ ト コ ルのオプ シ ョ ン を設定で き ます。 [Name] こ のプ ロ ト コ ル グループの名前を入力 し ます。 [Comments] こ のプ ロ ト コ ル グループの説明を入力 し ます。( 入力はオ プ シ ョ ン です。) [Enable Oversized File Log] サ イ ズ超過 フ ァ イルのロギ ン グ を可能にする と き選択 し ます。 [Enable Invalid Certificate Log] 無効な証明書のロ ギン グ を可能にする と き選択 し ます。 [HTTP] セクション HTTP プ ロ ト コ ルを設定 し ます。 [Port] (80、88、0-auto な IM を除 く すべてのプ ロ ト コ ルで利用で き ます。 ど) [Comfort Clients] HTTP、 FTP、 お よ び HTTPS のみで利用で き ます。 [Interval] (1 か ら 900 秒 ) ミ 時間の間隔を秒単位で入力 し ます。 [Amount] (1 か ら 10240 バ イ ト ) ミ デー タ 量をバ イ ト 単位で入力 し ます。 [Oversized File/Email] すべてのプ ロ ト コ ルで利用で き ます。 [Threshold] ミ 超過サ イ ズの電子 メ ール メ ッ セー ジ ま たは フ ァ イ ルの し き い値量を MB 単位で入力 し ます。 [Monitor Content Information for Dashboard] [Dashboard] メ ニ ュ ーから プ ロ ト コ ルの動作を表示する と き選択 し ます。 [Enable Chunked Bypass] chunked bypass の設定を有効にす る と き選択 し ます。 [FTP] セクション FTP プ ロ ト コ ルを設定 し ます。FTP セ ク シ ョ ン に [Enable Chunked Bypass] オ プ シ ョ ンが含まれない こ と を除 き、FTP およ び HTTP には同 じ 設定が含 まれています。 [IMAP] セクション IMAP プ ロ ト コ ルを設定 し ます。 [Allow Fragmented Messages] 280 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー ネ ッ ト ワー ク攻撃を検出するワン アーム スニ フ ァ ポ リ シーの使用 [POP3] セクション POP3 プ ロ ト コ ルを設定 し ます。 こ のセ ク シ ョ ン には、 IMAP セ ク シ ョ ン と 同 じ 設定が含まれます。 [SMTP] セクション SMTP セ ク シ ョ ン を設定 し ます。 [Append Email Signature] 電子 メ ール メ ッ セージに表示 さ れる新 し い電子 メ ール シグネチ ャ を入力 する オプ シ ョ ン を有効にす る と き選択 し ます。 [Email Signature Text] "Yours sincerely" な ど、電子 メ ール メ ッ セージに表示する シグネチ ャ を入 力 し ます。 [Append Email Signature] を選択 し た場合のみ、 利用可能です。 [IM] セクション IM プ ロ ト コ ルを設定 し ます。 [NNTP] セクション NTTP プ ロ ト コ ルを設定 し ます。 [HTTPS] セクション HTTPS プ ロ ト コ ルを設定 し ます。 [Allow Invalid SSL Certificate] 無効な SSL 証明書を許可す る と き選択 し ます。 [Enable Deep Scanning] デ ィ ープ スキ ャ ン を有効にする場合に選択 し ます。 [IMAP] IMAPS プ ロ ト コ ルを設定 し ます。 [POP3S] POP3S プ ロ ト コ ルを設定 し ます。 こ のセ ク シ ョ ン には、 IMAPS と 同 じ 設 定が含まれます。 [SMTPS] SMTPS プ ロ ト コ ル を 設定 し ま す。 こ のセ ク シ ョ ン には、 IMAPS お よ び POP3 と 同 じ 設定が含まれます。 ネットワーク攻撃を検出するワンアーム スニファ ポリシーの使用 スニ フ ァ ポ リ シー を使用す る こ と で、 実際にパケ ッ ト を受信ま たは処理す る こ と な く 攻撃を 検出する ためにパケ ッ ト のスニ ッ フ ィ ング を行 う こ と がで き、 こ れに よ り FortiGate ユニ ッ ト イ ン タ フ ェ ース を ワン アーム不正侵入検知シ ス テム (IDS) ア プ ラ イ ア ン ス と し て機能する よ う に設定で き ます。 ワン アーム IDS を設定するには、 1 つ以上の FortiGate イ ン タ フ ェ ース を ワン アーム スニ フ ァ モー ド で機能する よ う に設定する必要があ り ます。 こ の設定を行 う には、 [System]、[Network]、 [Interface] の順に選択 し 、 イ ン タ フ ェ ース を編集 し て、 [Enable one-arm sniffer] モー ド を選択 し ます。 イ ン タ フ ェ ース を ワン アーム スニ フ ァ モー ド で機能する よ う に設定する と 、 そのイ ン タ フ ェ ース を他の目的では使用で き な く な り ます。 た と えば、 そのイ ン タ フ ェ ースの フ ァ イ アウ ォ ール ポ リ シー を追加す る こ と 、 お よび イ ン タ フ ェ ース を ゾーン に追加す る こ と は、 い ずれ も で き ません。 注記 : VLAN イ ン タ フ ェ ース を、 ワン アーム スニ フ ァ 機能に設定 さ れた イ ン タ フ ェ ースに 追加する場合、この VLAN イ ン タ フ ェ ースによ るワン アーム スニ フ ァ モー ド での機能が可 能 と な り 、 この VLAN イ ン タ フ ェ ースのスニ フ ァ ポ リ シーを追加で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 281 ネ ッ ト ワー ク攻撃を検出する ワン アーム スニ フ ァ ポ リ シーの使用 フ ァ イ アウ ォ ール ポ リ シー 図 7: ワンアーム IDS トポロジ Internet Hub or switch SPAN port Internal network イ ン タ フ ェ ース を ワン アーム スニ フ ァ モー ド に設定 し た後、 その イ ン タ フ ェ ース をハブ、 ま たはネ ッ ト ワー ク ト ラ フ ィ ッ ク を 処理す る ス イ ッ チの SPAN ポー ト に接続 し ま す。 次に、 [Firewall]、 [Policy]、 [Sniffer Policy] の順に選択 し 、 その FortiGate イ ン タ フ ェ ースのス ニ フ ァ ポ リ シーを追加で き ます。 こ のイ ン タ フ ェ ースには、 DoS セ ンサー、 IPS セ ンサーに加えて、 イ ン タ フ ェ ースがハブ または SPAN (Switched Port Analyzer) ポー ト か ら受信する ト ラ フ ィ ッ ク に含まれる攻撃な どの挙動を検知する ための、 ア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト が含まれています。 ワ ン アーム スニ フ ァ モー ド では、 スニ フ ァ モー ド ポ リ シーに よ っ て受け付け ら れるパケ ッ ト のみ を イ ン タ フ ェ ー ス で受信 し ま す。 ス ニ フ ァ モー ド ポ リ シ ーに よ っ て受信 さ れな いパ ケ ッ ト は、 すべて破棄 さ れます。 スニ フ ァ モー ド ポ リ シーに よ り 受信 さ れるすべてのパケ ッ ト は、 IPS イ ン スペ ク シ ョ ン を経由 し 、 IPS によ る分析後に破棄 さ れます。 ワン アーム IDS は、 ト ラ フ ィ ッ ク を ブ ロ ッ ク で き ません。 し か し 、 DoS お よび IPS セ ンサーお よびア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト で ロギングを有効にする場合、 FortiGate ユ ニ ッ ト は検知 さ れたすべての攻撃およびア プ リ ケーシ ョ ンのログ メ ッ セージ を記録 し ます。 こ の ト ピ ッ ク では、 ス ニ フ ァ ポ リ シ ー設定の基礎に つい て説明 し ま す。 詳細に つい ては、 『FortiGate UTM ユーザ ガ イ ド 』 を参照 し て く だ さ い。 スニファ ポリシー リストの表示 スニ フ ァ ポ リ シー リ ス ト には、 それぞれのイ ン タ フ ェ ース、 発信元 / 宛先ア ド レ ス ペア、 お よびサービ ス と の一致の優先順に、 スニ フ ァ ポ リ シーが表示 さ れます。 FortiGate ユニ ッ ト で、 バーチ ャル ド メ イ ンが有効に設定 さ れている場合は、 各バーチ ャル ド メ イ ン ご と に個別のス ニ フ ァ ポ リ シ ー を 設定 し ま すが、 ポ リ シ ー を 設定す る にはまずバー チ ャ ル ド メ イ ン にア ク セ スす る必要があ り ます。 バーチ ャ ル ド メ イ ン にア ク セ スす る には、 [System]、 [VDOM] の順に選択 し 、 ポ リ シー を設定す るバーチ ャ ル ド メ イ ンに該当す る行で、 [Enter] を選択 し ます。 ス ニ フ ァ ポ リ シー リ ス ト 内のポ リ シーは、 追加、 削除、 編集、 お よび並べ替えが可能です。 スニ フ ァ ポ リ シーの順序は、 ポ リ シー照合に影響 し ます。 フ ァ イ アウ ォ ール ポ リ シーおよび DoS ポ リ シー と 同様に、 スニ フ ァ ポ リ シー リ ス ト に表示 さ れる順序で一度に 1 つずつ、 上位 か ら下位へスニ フ ァ ポ リ シー が ト ラ フ ィ ッ ク と 照合 さ れます。 一致するポ リ シーが見つかる と 、 そのポ リ シーが使用 さ れ、 以降のス ニ フ ァ ポ リ シー照合は中止 さ れます。 どのポ リ シー と も一致 し ない場合、 パケ ッ ト は破棄 さ れます。 ス ニ フ ァ ポ リ シー リ ス ト を表示す る には、 [Firewall]、 [Policy]、 [Sniffer Policy] の順に選択 し ます。 282 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー ネ ッ ト ワー ク攻撃を検出するワン アーム スニ フ ァ ポ リ シーの使用 [Sniffer Policy] ページ こ のページ には、 作成済みのス ニ フ ァ ポ リ シ ーが一覧表示 さ れま す。 こ のページ では、 ス ニ フ ァ ポ リ シーの編集、 削除、 ま たは新規作成が可能です。 ま た、 ポ リ シーの移動ま たは新 し いポ リ シーの挿入が 可能です。 [Create New] 新 し いス ニ フ ァ ポ リ シー を 追加 し ます。 [Create New] の横にあ る下向 き 矢印を選択 し 、 新 し いセ ク シ ョ ン を リ ス ト に追加 し 、 ポ リ シー を グループ 化 し て表示 し ます。 [Column Settings] テーブルの表示を カ ス タ マ イ ズ し ます。 カ ラ ムの表示、 非表示 を選択 し 、 テーブル内の カ ラ ムの表示順序を指定す る こ と がで き ます。 詳 し く は、 34 ページの 「表示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 を参照 し て く だ さ い。 [Section View] イ ン タ フ ェ ースに よ り 構成 さ れてい る フ ァ イ アウ ォ ール ポ リ シー を表示 する と き選択 し ます。 [Global View] すべての フ ァ イ ア ウ ォ ール ポ リ シー を シーケ ン ス番号の順番に並べる と き選択 し ます。 [Filter] アイコン 指定した条件に応じてポリシー リストをフィルタ処理または並べ替えるための、 カラム フィルタを編集します。 詳細については、 32 ページの 「Web ベース マ ネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照してください。 [ID] ポ リ シーご と に固有の識別子。 ポ リ シーには、 作成 さ れた順序で番号が付 け ら れます。 [Source] このポリシーを適用する発信元アドレスまたはアドレス グループ。 詳細につい ては、 295 ページの 「 フ ァ イ アウ ォ ール ア ド レ ス」 を参照してください。 [Destination] このポリシーを適用する宛先アドレスまたはアドレス グループ。 詳細について は、 295 ページの 「フ ァ イ ア ウ ォ ール ア ド レ ス」 を参照してください。 [Service] こ のポ リ シー を適用するサービ ス。 詳細については、 301 ページの 「 フ ァ イ アウ ォ ール サービ ス」 を参照 し て く だ さ い。 [DoS] こ のポ リ シーで選択 さ れる DoS セ ンサー。 [Sensor] こ のポ リ シーで選択 さ れる IPS セ ンサー。 [Application Black/White List] こ のポ リ シーで選択 さ れる ア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト 。 [Status] こ のオプ シ ョ ン を オ ン にす る と 、 DoS ポ リ シーが有効にな り ます。 こ のポ リ シ ー を 無効にす る には、 こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 詳 し く は、266 ページの「ポ リ シーの有効化お よ び無効化」を参照 し て く だ さ い。 [Delete] ポ リ シーを リ ス ト か ら 削除 し ます。 [Edit] ポ リ シーを編集 し ます。 [Insert Policy Before] 対応 す る ポ リ シ ーの上 に 新 し い ポ リ シ ー を 追加す る 場合 に 選択 し ま す ([New Policy] 画面が表示 さ れます )。 [Move To] 対応するポリシーを、 リスト内にある別のポリシーの前または後に移動します。 スニファ ポリシーの設定 スニ フ ァ ポ リ シー設定を使用 し 、 イ ン タ フ ェ ース、 発信元ア ド レ ス、 宛先ア ド レ ス、 お よび サービ ス を指定 し ます。ポ リ シー を ト リ ガするには、指定 さ れた属性すべてがネ ッ ト ワー ク ト ラ フ ィ ッ ク に一致する必要があ り ます。 また、config firewall sinff-interface-policy CLI コ マ ン ド を使用する こ と で、CLI か ら スニ フ ァ ポ リ シー を追加で き ます。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 を参 照 し て く だ さ い。 config firewall sniff-interface-policy6 コ マ ン ド を使用 し 、 IPv6 スニ フ ァ ポ リ シーを追加で き ます。 FortiGate IPv6 サポー ト の詳細については、 186 ページの 「FortiGate の IPv6 サポー ト 」 を参照 し て く だ さ い。 [New Policy] ページ こ のページ では、 新 し いス ニ フ ァ ポ リ シー を設定で き ます。 [Sniffer Policy] ページ で [Create New] を選 択する と 、 こ のページの画面に自動的に移動 し ます。 [Source Interface/Zone] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 監視 さ れる イ ン タ フ ェ ース またはゾー ン。 283 FortiOS での未使用 NAT ポー ト の選択方法 フ ァ イ アウ ォ ール ポ リ シー [Source Address] ア ド レ ス、 ア ド レ ス範囲、 ま たはア ド レ ス グループ を選択 し 、 ト ラ フ ィ ッ ク 監視 を 指定の ア ド レ ス ま たは範囲か ら 送信 さ れ る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に 限 定 し ま す。 複 数 の ア ド レ ス ま た は 範 囲 を 含 む 場 合 は、 [Multiple] を選択 し ます。 [Create New] を選択する こ と で、 新 し いア ド レ ス またはア ド レ ス グループ を追加で き ます。 [Destination Address] ア ド レ ス、 ア ド レ ス範囲、 ま たはア ド レ ス グループ を選択 し 、 ト ラ フ ィ ッ ク 監視 を、 指定の ア ド レ ス ま たは範囲に送信 さ れ る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク のみに限定 し ま す。 複数の ア ド レ ス ま たは範囲 を 含む場合は、 [Multiple] を選択 し ます。 [Create New] を選択する こ と で、 新 し いア ド レ ス またはア ド レ ス グループ を追加で き ます。 [Service] 定義済みの フ ァ イ ア ウ ォ ール サー ビ ス ま たは カ ス タ ム サー ビ ス を 選択 し 、ト ラ フ ィ ッ ク 監視を選択 し たサービ スのみに限定 し ます。[Create New] を選択する こ と で、 カ ス タ ム サー ビ ス を追加で き ます。 [DoS Sensor] DoS セ ンサーを選択、 指定 し 、 FortiGate ユニ ッ ト に よ り 、 条件に一致す る ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に セ ン サーが適用 さ れ る よ う に し ま す。 [Create New] を選択す る こ と で、 新 し い DoS セ ンサー を追加で き ます。 [IPS Sensor] IPS セ ンサー を選択、 指定 し 、 FortiGate ユニ ッ ト に よ り 、 条件に一致する ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に セ ン サ ー が 適 用 さ れ る よ う に し ま す。 [Create New] を選択す る こ と で、 新 し い IPS セ ンサーを追加で き ます。 [Application Black/White List] ア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト セ ンサー を選択、 指定 し 、 FortiGate ユニ ッ ト に よ り 、 条件に一致する ネ ッ ト ワー ク ト ラ フ ィ ッ ク に その リ ス ト が適用 さ れる よ う に し ます。 [Create New] を選択す る こ と で、 新 し いア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト を追加で き ます。 FortiOS での未使用 NAT ポートの選択方法 次のよ う な、大学での実装に最適な ト ポロ ジについて考え てみます。こ こ では、学生は FortiGate ユニ ッ ト を経由 し て イ ン タ ーネ ッ ト に接続で き ます。 図 8: 大学でのインターネット接続トポロジ例 Student Network 10.0.0.0/8 Student A Video Sharing 172.20.120.1 External IP address 192.168.1.1 Internet Student B Search Engine 172.20.120.2 Student C Social Networking 172.20.120.3 Student Z 大学か ら は、 グ ロ ーバル IP ア ド レ スが学生に付与 さ れ ま せん。 学生は、 DHCP を 使用 し 、 10.0.0.0/8 の範囲にある IP ア ド レ ス を FortiGate ユニ ッ ト か ら取得 し ます。 FortiGate ユニ ッ ト では、 NAPT (Network Address Port Translation) によ り すべての ト ラ フ ィ ッ ク が変換 さ れ、 ト ラ フ ィ ッ クが 192.168.1.1 の IP ア ド レ スか ら 送信 さ れている と 見な さ れます。 284 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー FortiOS での未使用 NAT ポー ト の選択方法 た と えば、学生 A (IP ア ド レ ス 10.78.33.97) が検索エ ン ジ ン (IP ア ド レ ス 172.20.120.2) に接続 し 、 以下の IP ア ド レ スおよびポー ト 番号を と も な う パケ ッ ト を送信 し よ う と する場合を考えます。 src-ip: 10.78.33.97 dst-ip: 172.20.120.2 src-port: 10000 dst-port: 80 NAT が有効な状態で、 こ のパケ ッ ト が FortiGate ユニ ッ ト を通過する と 、 パケ ッ ト は以下のよ う に編集 さ れます。 src-ip: 192.168.1.1 dst-ip: 172.20.120.2 src-port: 46372 dst-port: 80 こ こ では、192.168.1.1 は FortiGate ユニ ッ ト の外部 IP ア ド レ ス、46372 は FortiGate ユニ ッ ト に よ り 選ばれる未使用ポー ト です。 以下の項では、 未使用ポー ト 選択の 3 つの ソ リ ュ ーシ ョ ンについて説明 し ます。 こ れ ら 3 つの ソ リ ュ ーシ ョ ンの説明を念頭に、 さ ら に続 く 項では、 FortiOS で使用 さ れる未使用ポー ト 選定 方法について説明 し ます。 グローバル プール こ の方法では、 割 り 当て可能なポー ト のプールが 1 つあ り ます。 ポー ト が割 り 当て ら れる と 、 そのポー ト がプールか ら 削除 さ れます。 ポー ト がプールか ら 削除 さ れるので、 同 じ ポー ト を 2 回割 り 当て る こ と はで き ません。 ポー ト を NAT に使用する必要がな く な る と 、 そのポー ト が プールに戻 さ れ、 再び割 り 当て可能にな り ます。 た と えば、 ポー ト の範囲が 0x7000 (28672) から 0xF000 (61440) の場合、 同時に使用可能なポー ト 数は 215 (32,768) と な り ます ( こ の範囲を選んだ理由については後述を参照 )。 同時に接続可 能な最大数は 32,768 ですが、 こ の数は ト ラ ン スポー ト プ ロ ト コ ルに関わ ら ず変わ り ません。 こ の手法は、 実装が容易なために、 NAT ポー ト の選択に最初に使用 さ れた ア プ ローチの 1 つで し た。 接続数がプールの規模よ り 少ない と 考え ら れる場合、 た と えばホーム利用向けの NAT フ ァ イ アウ ォ ールな ど では、 こ の方法は有効です。 一方、 大規模な大学または ISP など、 数千 に及ぶ同時セ ッ シ ョ ン を日常的に処理する場合には、 有効な ソ リ ュ ーシ ョ ン と はいえ ません。 こ の ソ リ ュ ーシ ョ ンは、 FortiOS で使用 さ れる手法ではあ り ません。 プロトコルによるグローバル プール プ ロ ト コ ルによ る グローバル プールの場合、 TCP および UDP で個別のプールを使用する こ と に よ り 、 グ ローバル プールの手法を拡張 し ます。 こ の手法では、 選択 さ れる プールは使用 さ れる プ ロ ト コ ルに応 じ て決ま り ます。 同 じ 32,768 ポー ト の範囲では、 UDP に 32,768 ポー ト 、 および TCP に 32,768 ポー ト を使用で き、 ポー ト の総計は 65,536 と な り ます。 結果的に使用可 能なポー ト は 2 倍にな り ますが、 大学または ISP にはまだ不十分です。 こ の ソ リ ュ ーシ ョ ンは、 FortiOS で使用 さ れる手法ではあ り ません。 NAT IP によるプール NAT IP によ る プールの場合、 プ ロ ト コ ルに よ る プールに加えて、 NAT IP に応 じ て プールが決 ま る こ と によ り 、 ポー ト 選択の手法を よ り 拡張 し ています。 こ れに よ り 、 プールはプ ロ ト コ ル および NAT IP に応 じ て決ま り ます。 284 ページの図 8 に示 さ れる ト ポロ ジ では、 NAT IP は 192.168.1.1 です。 NAT IP が 1 つだけ使用 さ れている場合は、 こ の手法はプ ロ ト コ ルによ るグ ローバル プール と 変わ り ません。 一方、 図 9 に示 さ れる ト ポロ ジ を見る と 、 2 つの個別の イ ン タ ーネ ッ ト 接続があ り 、 2 つの NAT IP ア ド レ ス、 192.168.1.1 および 192.168.2.2 が使用 さ れて います。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 285 FortiOS での未使用 NAT ポー ト の選択方法 フ ァ イ アウ ォ ール ポ リ シー 図 9: 2 つのインターネット接続をともなう大学インターネット接続トポロジ例 Student Network 10.0.0.0/8 Student A Video Sharing 172.20.120.1 External IP address 192.168.1.1 Internet Student B External IP address 192.168.2.2 Search Engine 172.20.120.2 Student C Social Networking 172.20.120.3 Student Z FortiGate の構成に等価 コ ス ト マルチパス (ECMP) ルーテ ィ ングが含まれる場合、 両方の イ ン タ ーネ ッ ト 接続を同時に使用で き、 最大接続数は N*R*P と な り ます。 こ こ では、 N は NAT IP ア ド レ ス数、 R はポー ト 範囲、 P はプ ロ ト コ ル数 と な り ます。 こ れに よ り 、 2 つの NAT IP が使 用 さ れ、 ポー ト 範囲が 32,768、 プ ロ ト コ ルが TCP と UDP と い う 上述のケースでは、 最大同時 接続数は次のよ う にな り ます。 2*32768*2 = 131,072 こ の ソ リ ュ ーシ ョ ンは、 展開可能な NAT IP の数に応 じ てスケー リ ング可能なので、 大学また は小規模な ISP で問題な く 利用で き ます。 こ の ソ リ ュ ーシ ョ ンは、 FortiOS で使用 さ れる手法ではあ り ません。 NAT IP、宛先 IP、ポート、およびプロトコルによるプール FortiOS では、 こ の手法が使用 さ れます。 NAT IP、 宛先 IP、 ポー ト 、 お よびプ ロ ト コ ルに よ る プールでは、 プ ロ ト コ ル、 NAT IP、 宛先 IP、および宛先ポー ト によ り プールが決ま る よ う に、ポー ト 選定の手法が さ ら に拡張 さ れます。 プールを決めるためにこれらの属性を利用するのは、 FortiOS ファイアウォールがセッション ベース に設計されているためです。 FortiGate ユニットを通過し TCP 接続が確立されると、 セッションが作 成され、 このセッション用に 2 つのインデックスが作成されます。 FortiGate ユニットでは、 これらの インデックスを使用し、 条件と一致するトラフィックをセッションに導きます。 イ ンデ ッ ク スの 1 つは、セ ッ シ ョ ン作成を開始 し たパケ ッ ト と 同 じ 方向の ト ラ フ ィ ッ ク に対応 し ます。 src-ip: 10.78.33.97 dst-ip: 172.20.120.2 proto:tcp src-port: 10000 dst-port: 80 も う 1 つの イ ンデ ッ ク スは、 逆方向 ( 返信 ) の ト ラ フ ィ ッ ク に対応 し ます。 src-ip: 172.20.120.2 dst-ip: 192.168.1.1 proto:tcp 286 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー FortiOS での未使用 NAT ポー ト の選択方法 src-port: 80 dst-port: 46372 こ こ では、 46372 は選択 さ れた NAT ポー ト です。 いずれの場合 も、 ト ラ フ ィ ッ ク がいずれかの イ ンデ ッ ク スに一致する と 、 ト ラ フ ィ ッ クが属する セ ッ シ ョ ン を一意に識別で き ます。 NAT IP、 宛先 IP、 ポー ト 、 お よびプ ロ ト コ ルによ る プールでは、 NAT ポー ト を選択する と き、 FortiOS は、 選択 さ れたポー ト および他の 4 項目の属性の組み合わせが、 セ ッ シ ョ ン を一意に 識別する固有の属性 と な る よ う こ と を保証 し さ えすればよ く な り ます。 た と えば、 学生 A が、 検索エ ン ジ ン ( 宛先 IP ア ド レ ス 172.20.120.2) への接続を ポー ト 443 で同時に確立する場合、も う 1 つのセ ッ シ ョ ンが作成 さ れ、 返信方向のイ ンデ ッ ク スは以下のよ う にな り ます。 src-ip: 172.20.120.2 dst-ip: 192.168.1.1 proto:tcp src-port: 443 dst-port:NP 5 項目の値が組み合わせ と し て固有であれば、NPはどのよ う な値 も可能です。た と えば、FortiOS が再び 46372 を選ぶ こ と も 可能です。 src-ip: 172.20.120.2 dst-ip: 192.168.1.1 proto:tcp src-port: 443 dst-port: 46372 上記の組み合わせが可能なのは、 src-ip: 172.20.120.2 dst-ip: 192.168.1.1 proto:tcp src-port: 80 dst-port: 46372 および src-ip: 172.20.120.2 dst-ip: 192.168.1.1 proto:tcp src-port: 443 dst-port: 46372 に、 異な る src-port の値が含まれる ためです。 NAT IP、 宛先 IP、 ポー ト 、 お よ び プ ロ ト コ ルに よ る プ ールの手法 を使用す る こ と で、 32,768 ポー ト のプールを、 src-ip、 dst-ip、 proto、 および src-port の固有の組み合わせご と に利用で き ます。 . サポー ト さ れる最大同時接続数は、 N*R*P*D*Dp と な り ます。 こ こ では、 N は利用可能な NAT IP ア ド レ スの数、 R はポー ト 範囲、 P はプ ロ ト コ ルの数、 D は固有の宛先 IP ア ド レ スの数、 Dp は固有の宛先ポー ト の数 と な り ます。 利用可能な宛先 IP ア ド レ スが多数ある場合は、 サポー ト さ れる同時接続の数は非常に多 く な り ます。 その数がどの程度の大き さ かを知る ために、 宛先 IP ア ド レ スが 1 つ、 お よび NAT IP ア ド レ スが 1 つで計算する と 、 N=1、 R=32,768、 P=2、 D=1、 お よび Dp=32,768 の条件か ら 、 次 が得 られます。 1 * 32,768 * 2 * 1 * 32,768 = 2,147,483,648. こ の計算の問題点は、 32,768 の宛先ポー ト がすべて使用 さ れるわけではない点です。 実際、 多 く の組織では、必須のイ ン タ ーネ ッ ト ト ラ フ ィ ッ ク は宛先ポー ト 80 を使用する Web ト ラ フ ィ ッ ク で、すべて TCP プ ロ ト コ ルを使用 し ます。 こ のため、TCP プ ロ ト コ ルを使用す る 1 つの NAT IP ア ド レ スか ら 1 つの宛先 IP ア ド レ スの Web ト ラ フ ィ ッ ク に対応する プール サイ ズ限度は、 N=1、 R=32,768、 P=1、 D=1、 および Dp=1 か ら、 以下が得 られます。 1* 32,768 * 1 * 1 * 1 = 32,768 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 287 フ ァ イ アウ ォ ール ポ リ シーの例 フ ァ イ アウ ォ ール ポ リ シー 284 ページの図 8 に示 さ れる ト ポロ ジ では、 検索エ ン ジ ン、 ソ ーシ ャ ル ネ ッ ト ワーキン グ、 お よびビデオ共有サイ ト に TCP ポー ト 80 で同時接続する学生の場合、 各サイ ト で 1 つの IP ア ド レ ス を使用する と き、各サ イ ト で最大 32,768 の同時接続が可能 と な り 、接続の総計は 32,768 * 3 = 98,304 と な り ます。 多 く の大規模なパブ リ ッ ク Web サイ ト では、 ラ ウン ド ロ ビ ン DNS を使用する こ と で、 4 つ以 上の IP ア ド レ ス を ローテーシ ョ ンする こ と があ り ます。 検索エ ン ジ ンお よびビデオ共有サイ ト で こ の方式を使用 し 、IP 使用負荷を均一にする と 、検索エ ン ジ ンへは最大 4 * 32,768 = 131,072 の接続、 ビ デオ共有サ イ ト へは 131,072 の接続、 ソ ー シ ャ ル ネ ッ ト ワーキ ン グ サ イ ト へは 32,768 の接続、 総計 294,912 の個別の接続が単一の FortiGate によ り サポー ト さ れ、 1 つの NAT IP および総計 9 つの宛先 IP ア ド レ ス、 お よび 1 つの宛先ポー ト が使用 さ れます。 ファイアウォール ポリシーの例 FortiGate ユニ ッ ト は、 自宅での使用か ら 、 SOHO、 さ ら には大規模企業や ISP ま での、 さ ま ざ ま なネ ッ ト ワー ク要件を完全に満たす こ と がで き ます。 次の 2 つのシナ リ オでは、 SOHO およ び大規模企業環境における フ ァ イ アウ ォ ール ポ リ シーの実用的な応用を示 し ます。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ 例 1:SOHO 規模の企業 ・ 例 2: 大規模企業 ・ フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示 ・ フ ァ イ アウ ォ ール ポ リ シーの設定 例 1:SOHO 規模の企業 企業 A は、 開発を行い、 カ ス タ マ サポー ト を提供 し てい る小規模な ソ フ ト ウ ェ ア会社です。 15 台の コ ン ピ ュ ー タ か ら成る内部ネ ッ ト ワー ク に加え て、 フ ル タ イムまたはパー ト タ イムで 自宅で作業を行 う 複数の従業員 も抱え ています。 現在のネ ッ ト ワー ク ト ポロ ジ では、 15 台の内部 コ ン ピ ュ ー タ のすべてがルー タ の背後に配置 さ れている ため、 外部の ISP メ ール サーバや Web サーバにア ク セスする必要があ り ます。 自 宅作業従業員はすべて、 セキ ュ リ テ ィ 保護 さ れていない、 オープ ン な コ ネ ク シ ョ ン を介 し て ルー タ にア ク セス し ます。 288 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの例 図 10: FortiGate をインストールする前の SOHO ネットワークの例 Internet IPS Mail Server Home-based Workers (no secure connection) ISP Web Server 172.16.10.3 192.168.100.1 Finance Department Help Desk Engineering Department Internal Network 企業 A には、 自宅作業者のためのセキ ュ ア な接続が必要です。 他の多 く の企業 と 同様に、 こ の 企業 も、ビ ジネスの遂行を電子 メ ールやイ ン タ ーネ ッ ト ア ク セスに大き く 依存 し ています。 こ の企業は、 ネ ッ ト ワー ク攻撃を検出お よび阻止 し 、 ウ イルス を ブ ロ ッ ク し 、 スパムを減 ら すた めの総合的な セキ ュ リ テ ィ ソ リ ュ ーシ ョ ン を望んでいます。 ま た、 異な る部門に対 し て異な る保護設定を適用 し たい と 考え ています。 さ ら に、 Web サーバお よび電子 メ ール サーバを そ のセキ ュ リ テ ィ ソ リ ュ ーシ ョ ンに統合する こ と も 希望 し ています。 最初の要件に対処 し て、自宅作業者 と 内部ネ ッ ト ワー クの間のセキ ュ ア な通信を保証する ため に、 企業 A は、 自宅作業者ご と に個別のポ リ シー を設定 し ます。 1 [Firewall]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し 、 Home_User_1 のための次の設定を入力または選択 し ます。 3 4 [Interface/Zone] [Source]:internal [Address] [Source]:CompanyA_Network [Destination]:Home_User_1 [Destination]:wan1 [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home1 [Allow Inbound] オン [Allow outbound] オン [Inbound NAT] オン [Outbound NAT] オフ [Protection Profile] チェック ボックスをオンにして、 [standard_profile] を選択します。 [OK] を選択 し ます。 [Create New] を選択 し 、 Home_User_2 のための次の設定を入力または選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 289 フ ァ イ アウ ォ ール ポ リ シーの例 5 フ ァ イ アウ ォ ール ポ リ シー [Interface/Zone] [Source]:internal [Destination]:wan1 [Address] [Source]:CompanyA_network [Destination]:All [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home2_Tunnel [Allow Inbound] オン [Allow outbound] オン [Inbound NAT] オン [Outbound NAT] オフ [Protection Profile] チ ェ ッ ク ボ ッ ク ス を オ ン に し て、 [standard_profile] を 選択 し ま す。 [OK] を選択 し ます。 図 11: FortiGate-100 を使用した SOHO ネットワーク トポロジ Home User 1 172.20.100.6 VPN Tunnel Internet VPN Tunnel Home User 2 172.25.106.99 External 172.30.120.8 DMZ 10.10.10.1 Email Server 10.10.10.2 Internal 192.168.100.1 Web Server 10.10.10.3 Finance Users 192.168.100.10 192.168.100.20 Help Desk Users 192.168.100.21- Engineering Users 192.168.100.51 - 192.168.100.50 192.168.100.100 提案 さ れたネ ッ ト ワー ク は、ForitGate 100A ユニ ッ ト に基づいています。15 台の内部 コ ン ピ ュ ー タ は、 FortiGate ユニ ッ ト の背後に配置 さ れています。 こ れ らの コ ン ピ ュ ー タ は現在、 DMZ 内 にあ る電子 メ ール サーバお よび Web サーバ ( 同様に、 FortiGate ユニ ッ ト の背後に配置 さ れて いる ) にア ク セス し ます。 すべての自宅作業従業員が、 VPN ト ン ネルを経由 し て、 FortiGate ユ ニ ッ ト を介 し てオ フ ィ ス ネ ッ ト ワー ク にア ク セスする よ う にな り ま し た。 例 2: 大規模企業 大都市に位置する図書館シ ス テムは、人口の大多数にサービ ス を提供 し ている都市中心部の本 館を主体 と す る と と も に、 10 数の分館が市内全域に分散 し ています。 各分館は イ ン タ ーネ ッ ト に接続 さ れていますが、専用の接続によ っ て互いに リ ン ク さ れてい る と こ ろは 1 つ も あ り ま せん。 290 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの例 本館の現在のネ ッ ト ワー ク ト ポロ ジは、 3 つのユーザ グループ で構成 さ れています。 本館職 員や公共端末は、 フ ァ イ アウ ォ ールの背後に位置する DMZ 内のサーバにア ク セス し ます。 カ タ ロ グ ア ク セス端末は、 フ ァ イ アウ ォ ールを経由する こ と な く 、 直接カ タ ログ サーバにア ク セス し ます。 分館には、 本館にあるサーバに、 セキ ュ リ テ ィ 保護 さ れていない イ ン タ ーネ ッ ト 接続を介 し て ア ク セスする 3 ユーザが存在 し ます。 図 12: 図書館システムの現在のネットワーク トポロジ Branch Staff Public terminals (non-Fortinet) Firewall Catalog access terminals Internet Branch configuration (only one branch shown) Main location configuration (non-Fortinet) Firewall Catalog server Mail Server Web Server Catalog access terminals Main branch staff and administration Public terminals 図書館は、 利用者 と 職員に対 し て異な る ア ク セス レベルを設定で き る必要があ り ます。 本館職員のための最初の フ ァ イ アウ ォ ール ポ リ シーでは、 イ ン タ ーネ ッ ト への常時 フ ル ア ク セス を許可 し ます。 2 番目のポ リ シーでは、 職員の DMZ への直接ア ク セス を許可 し ます。 分 館職員に こ れ と 同 じ ア ク セス を許可する ために、 ポ リ シーの 2 番目のペアが必要です。 職員のすべての フ ァ イ ア ウ ォ ール ポ リ シ ー で、 職員のア ク セ ス専用に設定 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用 し ます。有効にな っ てい る機能には、ウ イルス スキ ャ ン、電子 メ ー ル フ ィ ル タ リ ン グ、 IPS、 お よび P2P ト ラ フ ィ ッ ク すべてのブ ロ ッ キングが含まれます。 ま た、 ア ド バ タ イ ズ、 マルウ ェ ア、およびスパ イ ウ ェ ア サ イ ト を ブ ロ ッ ク する ために、FortiGuard Web フ ィ ル タ リ ング も使用 さ れます。 Web サーバやカ タ ログ サーバの設定方法に よ っ ては、 サーバに関する情報を更新する ために、 一部のユーザに こ れ ら のサーバへの特殊なア ク セスが必要にな る可能性があ り ます。 こ の特殊 なア ク セスは、 IP ア ド レ ス またはユーザに基づいて許可 さ れます。 提案 さ れた ト ポロ ジの場合、 本館職員 と カ タ ログ ア ク セス端末は、 FortiGate HA ク ラ ス タ を経 由 し て、 DMZ 内のサーバにア ク セス し ます。 公共のア ク セス端末は、 最初に ForitWiFi ユニ ッ ト を経由 し て ( こ こ で、 追加のポ リ シーを適用で き ます ) HA ク ラ ス タ にア ク セス し 、 最後に サーバに到達 し ます。 分館では、 3 ユーザがすべて、 VPN ト ンネルを経由 し て、 ForitWiFi ユニ ッ ト を介 し て本館に ルーテ ィ ング さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 291 フ ァ イ アウ ォ ール ポ リ シーの例 フ ァ イ アウ ォ ール ポ リ シー 図 13: 提案された図書館システムのネットワーク トポロジ Branch Staff Public terminals and WiFi access Internal DMZ WAN2 WAN1 VPN Tunnel Catalog access terminals Branch configuration (only one branch shown) Internet Main location configuration VPN Tunnel Ethernet Port3 HA cluster DMZ Port2 Mail Server Web Server Catalog Server Internal Public terminals and WiFi access Catalog access terminals Main branch staff and administration ポ リ シーは、 [Firewall]、 [Policy]、 [Policy] の順に選択 し て設定 し ます。 プ ロ フ ァ イルは、 [UTM] メ ニ ュ ーで設定 し 、 た と えばア ン チウ イルス プ ロ フ ァ イルは、 [UTM]、 [Antivirus]、 [Profile] の 順に選択 し て設定 し ます。 本館の " 職員か ら イ ン タ ーネ ッ ト への " ポ リ シー : [Source Interface] Internal [Source Address] All [Destination Interface] External [Destination Address] All [Schedule] Always [Action] Accept 本館の " 職員か ら DMZ への " ポ リ シー : 292 [Source Interface] Internal [Source Address] All [Destination Interface] DMZ [Destination Address] Servers [Schedule] Always [Action] Accept FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ポ リ シー フ ァ イ アウ ォ ール ポ リ シーの例 分館の " 職員か ら イ ン タ ーネ ッ ト への " ポ リ シー : [Source Interface] Branches [Source Address] Branch Staff [Destination Interface] External [Destination Address] All [Schedule] Always [Action] Accept 分館の " 職員か ら DMZ への " ポ リ シー : [Source Interface] Branches [Source Address] Branch Staff [Destination Interface] DMZ [Destination Address] Servers [Schedule] Always [Action] Accept こ れ らの例の詳細については、 次の資料を参照 し て く だ さ い。 ・ ・ SOHO および SMB の設定サン プル ガ イ ド Forti の大規模企業の設定例 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 293 フ ァ イ アウ ォ ール ポ リ シーの例 294 フ ァ イ アウ ォ ール ポ リ シー FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ア ド レ ス フ ァ イ アウ ォ ール ア ド レ スについて ファイアウォール アドレス フ ァ イ ア ウ ォ ール ア ド レ ス お よ び ア ド レ ス グル ー プ は、 フ ァ イ ア ウ ォ ー ル ポ リ シ ー の [Source Address] お よび [Destination Address] フ ィ ール ド を設定す る と き に使用で き る ネ ッ ト ワー ク ア ド レ スです。FortiGate ユニ ッ ト では、パケ ッ ト ヘ ッ ダに含まれる IP ア ド レ ス と フ ァ イ アウ ォ ール ポ リ シーの発信元お よび宛先ア ド レ ス を比較する こ と で、 フ ァ イ アウ ォ ール ポ リ シーがその ト ラ フ ィ ッ ク に一致す るか を判定 し ます。 IPv4 ア ド レ スお よ びア ド レ ス範囲、 IPv6 ア ド レ ス、 お よび完全修飾 ド メ イ ン名 (FQDN) を追加で き ます。 関連する ア ド レ ス を ア ド レ ス グループに、 および関連する IPv6 ア ド レ ス を IPv6 ア ド レ ス グ ループにそれぞれ構成 し 、 フ ァ イ アウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に フ ァ イ アウ ォ ール ア ド レ ス を個別に設定 し ますが、 ア ド レ ス を設定す る にはまずバー チ ャル ド メ イ ンにア ク セスする必要があ り ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ フ ァ イ アウ ォ ール ア ド レ スについて ・ IPv6 フ ァ イ アウ ォ ール ア ド レ スについて ・ フ ァ イ アウ ォ ール ア ド レ ス リ ス ト の表示 ・ ア ド レ スの設定 ・ ア ド レ ス グループ リ ス ト の表示 ・ ア ド レ ス グループの設定 ファイアウォール アドレスについて 注意 : 完全修飾 ド メ イ ン名 (FQDN) の フ ァ イ アウ ォ ール ア ド レ ス を使用する場合は、 注意 が必要です。 フ ァ イ アウ ォ ール ポ リ シーで FQDN を使用する と 便利な反面、 一部にセキ ュ リ テ ィ リ ス クが発生 し ます。 こ れは、 FQDN を使用する場合、 ポ リ シー照合の と き信頼で き る DNS サーバに依存する ためです。 万一 DNS サーバの信頼が失われる と 、 ド メ イ ン名 の名前解決を必要 と する フ ァ イ アウ ォ ール ポ リ シーは、正常に機能 し な く な る可能性があ り ます。 こ の項では、 フ ァ イ アウ ォ ール ア ド レ ス追加のオ プ シ ョ ン について説明 し ます。 こ れ ら のオ プ シ ョ ンには、 IPv4 ア ド レ ス、 ア ド レ ス範囲、 または完全修飾 ド メ イ ン名 (FQDN) があ り ます。 IPv6 ア ド レ スの追加 も 可能です。 詳 し く は、 296 ページの 「IPv6 フ ァ イ アウ ォ ール ア ド レ ス について」 を参照 し て く だ さ い。 1 つの フ ァ イ アウ ォ ール ア ド レ スには、 1 つ以上のネ ッ ト ワー ク ア ド レ スが含まれます。 ネ ッ ト ワー ク ア ド レ スは、 ネ ッ ト マス ク を と も な う IP ア ド レ ス、 IP ア ド レ ス範囲、 または完全修 飾 ド メ イ ン名 (FQDN) によ っ て表す こ と がで き ます。 ネ ッ ト マス ク を と も な う IP ア ド レ スによ り ホス ト を表す場合、 こ の IP ア ド レ スで 1 つ以上の ホス ト を表す こ と がで き ます。 た と えば、 フ ァ イ アウ ォ ール ア ド レ スは次のよ う にな り ます。 ・ 192.45.46.45 な どの、 単一の コ ン ピ ュ ー タ ・ ク ラ ス C サブ ネ ッ ト の 192.168.1.0 な どの、 サブネ ッ ト ワー ク ・ 0.0.0.0、 こ れはあ ら ゆる IP ア ド レ スに該当 ネ ッ ト マス ク は、 追加 さ れる ア ド レ スのサブネ ッ ト ク ラ スに対応 し 、 ド ッ ト 区切 り 10 進数ま たは CIDR 形式のいずれかで表す こ と がで き ます。 FortiGate ユニ ッ ト は、 CIDR 形式のネ ッ ト マス ク を ド ッ ト 区切 り 10 進数の形式に自動的に変換 し ます。 た と えば、 次のよ う な形式にな り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 295 IPv6 フ ァ イ アウ ォ ール ア ド レ スについて フ ァ イ アウ ォ ール ア ド レ ス ・ 単一 コ ン ピ ュ ー タ のネ ッ ト マス ク : 255.255.255.255、 または /32 ・ ク ラ ス A サブネ ッ ト のネ ッ ト マ ス ク : 255.0.0.0、 または /8 ・ ク ラ ス B サブネ ッ ト のネ ッ ト マス ク : 255.255.0.0、 または /16 ・ ク ラ ス C サブ ネ ッ ト のネ ッ ト マス ク : 255.255.255.0、 または /24 ・ すべての IP ア ド レ ス を含むネ ッ ト マス ク : 0.0.0.0 有効な IP ア ド レ スおよびネ ッ ト マス クの形式には、 以下があ り ます。 ・ x.x.x.x/x.x.x.x (192.168.1.0/255.255.255.0 な ど ) ・ x.x.x.x/x (192.168.1.0/24 な ど ) 注記 : ネ ッ ト マス ク 255.255.255.255 を と も な う IP ア ド レ ス 0.0.0.0 は、有効な フ ァ イ アウ ォ ール ア ド レ スではあ り ません。 IP 範囲によ り ホス ト を表す場合、 その範囲は、 サブネ ッ ト 内の連続する IP ア ド レ ス を持つホ ス ト を示 し 、 192.168.1.[2-10]、 または 192.168.1.* のよ う にな り ます。 こ れによ り 、 そのサブネ ッ ト 上のホス ト の完全な範囲を示 し ます。有効な IP 範囲の形式には、次があ り ます。 ・ x.x.x.x-x.x.x.x (192.168.110.100-192.168.110.120 など ) ・ x.x.x.[x-x] (192.168.110.[100-120] など ) ・ x.x.x.* (192.168.110.* な ど ) FQDN によ り ホス ト を表す場合、 ド メ イ ン名は、 mail.example.com な どのサブ ド メ イ ンが可能 です。 単一の FQDN フ ァ イ アウ ォ ール ア ド レ ス を使用する こ と によ り 、 負荷分散お よび高可 用性 (HA) での設定の よ う に、 フ ァ イ ア ウ ォ ール ポ リ シ ー を 複数のホ ス ト に適用で き ま す。 FortiGate ユニ ッ ト は、 すべてのア ド レ ス を自動的に決定 し 、 FQDN か ら解決 さ れるすべてのア ド レ スの記録を保持 し ます。 有効な FQDN の形式には、 次があ り ます。 ・ <host_name>.<second_level_domain_name>.<top_level_domain_name> (mail.example.com など ) ・ <host_name>.<top_level_domain_name> フ ァ イ アウ ォ ール ポ リ シーで FQDN を使用する と 、FortiGate ユニ ッ ト によ り DNS TTL を追跡 記録 し 、 レ コ ー ド の変化に対応で き る よ う にな る と い う 特長があ り ます。 こ の特長によ り 、 ダ イ ナ ミ ッ ク IP ア ド レ スに合わせて フ ァ イ アウ ォ ール ア ド レ ス を変更する保守作業の要件を軽 減で き ます。 さ ら に こ れに よ り 、 DHCP を使用す る ダ イ ナ ミ ッ ク ア ド レ スが設定 さ れてい る ネ ッ ト ワー ク の フ ァ イ アウ ォ ール ポ リ シーを作成で き ます。 IPv6 ファイアウォール アドレスについて デ フ ォル ト では、 IPv6 フ ァ イ アウ ォ ール ア ド レ スは、 CLI か らのみ設定で き ます。 Web ベース マネージ ャ で IPv6 設定を可能にする方法については、184 ページの「設定」を参照 し て く だ さ い。 1 つの IPv6 フ ァ イ アウ ォ ール ア ド レ スには、 1 つの IPv6 ア ド レ ス、 または IPv6 ア ド レ ス と サ ブ ネ ッ ト を含む こ と がで き ます。 IPv6 ア ド レ ス範囲を追加する こ と はで き ません。 IPv6 フ ァ イ アウ ォ ール ア ド レ スの例。 3ffe:ffff:1011:f101:0210:a4ff:fee3:9566/128 ネ ッ ト マス ク の /128 は、 FortiGate ユニ ッ ト によ り 追加 さ れています。 サブネ ッ ト の IPv6 フ ァ イ アウ ォ ール ア ド レ スの例。 2001:470:1f0e:162::/64 [IPv6 Address] フ ィ ール ド は、 34 文字前後に制限 さ れるので、 完全な IPv6 ア ド レ スお よびネ ッ ト マス クは追加で き ません。 こ のため、 例示 さ れる よ う に、 短い形式のネ ッ ト マス ク を使用 し ます。 IPv6 ア ド レ ス を FortiGate イ ン タ フ ェ ースに割 り 当て る こ と はで き ません。 296 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ア ド レ ス フ ァ イ アウ ォ ール ア ド レ ス リ ス ト の表示 ファイアウォール アドレス リストの表示 リ ス ト 中の フ ァ イ アウ ォ ール ア ド レ スは、 IP/Netmask、 FQDN、 または IPv6 の種類ご と にグ ループ化 さ れています。 FortiGate ユニ ッ ト のデ フ ォ ル ト 設定には、 あ ら ゆる ネ ッ ト ワー ク 上 のすべての IPv4 ア ド レ ス を表す all ア ド レ スが含まれています。 ア ド レ ス リ ス ト を表示するには、 [Firewall]、 [Address]、 [Address] の順に選択 し ます。 [Address] ページ こ のページには、 IP ア ド レ ス グループが一覧表示 さ れます。 こ のページ では、 IP ア ド レ ス グループの編 集、 削除、 ま たは新規作成が可能です。 [Create New] フ ァ イ ア ウ ォ ー ル ア ド レ ス を 追 加 し ま す。 [Create New] を 選 択 す る と 、 [New Address] ページの画面に自動的に移動 し ます。 [IPv6 Support] が有効に設定 さ れて い る 場合は、 [Create New] の下向 き 矢印 を 選択 し 、 [IPv6 Address] を 選択 し て、 IPv6 フ ァ イ ア ウ ォ ール ア ド レ ス を 追加で き ま す。 Web ベース マネージ ャ で IPv6 サポー ト を有効にする方法については、 184 ページの 「設定」 を参照 し て く だ さ い。 [Name] フ ァ イ アウ ォ ール ア ド レ スの名前。 [Address/FQDN] IP ア ド レ ス と ネ ッ ト マ ス ク、 IP ア ド レ ス範囲、 ま たは完全修飾 ド メ イ ン名。 [Interface] IP アドレスを関連づける、 インタフェース、 ゾーン、 またはバーチャル ドメイン (VDOM)。 [IP/Netmask] IPv4 フ ァ イ アウ ォ ール ア ド レ スお よびア ド レ ス範囲の リ ス ト 。 [FQDN] 完全修飾名 フ ァ イ アウ ォ ール ア ド レ スの リ ス ト 。 [IPv6] IPv6 フ ァ イ アウ ォ ール ア ド レ スの リ ス ト 。 [Delete] アドレスを削除するとき選択します。 [Delete] アイコンは、 このアドレスがファイアウォー ル ポリシーまたはアドレス グループにより使用されていない場合のみ表示されます。 [Edit] ア ド レ ス を編集する と き選択 し ます。 アドレスの設定 注意 : 完全修飾ドメイン名 (FQDN) のファイアウォール アドレスを使用する場合は、注意が必要 です。 ファイアウォール ポリシーで FQDN を使用すると便利な反面、 一部にセキュリティ リスク が発生します。 これは、 FQDN を使用する場合、 ポリシー照合のとき信頼できる DNS サーバに 依存するためです。 万一 DNS サーバの信頼が失われると、 ドメイン名の名前解決を必要とす るファイアウォール ポリシーは、 正常に機能しなくなる可能性があります。 フ ァ イ ア ウ ォ ール ア ド レ ス を追加す る には、 [Firewall]、 [Address]、 [Address] の順に選択 し 、 [Create New] を選択 し ます。 ス タ テ ィ ッ ク IP ア ド レ ス、 IP ア ド レ ス範囲、 または FQDN の追 加が可能です。 [IPv6 Support] が有効に設定 さ れている場合、IPv6 フ ァ イ アウ ォ ール ア ド レ ス を追加するには、 [Firewall]、 [Address]、 [Address] の順に選択 し 、 [Create New] の横にあ る下向 き矢印 を選択 し て、 [IPv6 Address] を選択 し ます。 ヒント : ファイアウォール ポリシーを設定する際にも、ファイアウォール アドレスを追 加できます。この場合、[Firewall]、[Policy]、[Policy] の順に選択し、適切なポリシー タブを選択して、[Create New] を選択します。[Source Address] リストから、[Address]、 [Create New] の順に選択します。 [New Address] ページ こ のページ では、 IP ア ド レ ス範囲か ら 構成 さ れる、 IP ア ド レ ス グループ を設定で き ます。 [Address Name] フ ァ イ アウ ォ ール ア ド レ ス を識別する名前を入力 し ます。 ア ド レ ス、 ア ド レ ス グルー プ、 お よび仮想 IP には、 固有の名前が必要です。 [Type] ア ド レ スの種類 と し て、 [Subnet/IP Range] ま たは [FQDN] を選択 し ます。 IP 範囲、 ま たはサブ ネ ッ ト マ ス ク を と も な う IP ア ド レ スのいずれかを入力で き ます。 [Subnet/IP Range] フ ァ イ アウ ォ ールの IP ア ド レ スに続いて フ ォ ワー ド ス ラ ッ シ ュ (/)、 次にサブ ネ ッ ト マ ス ク を入力するか、 ま たは IP ア ド レ ス範囲をハ イ フ ン で区切 っ て入力 し ます。 詳 し く は、 295 ページの 「フ ァ イ ア ウ ォ ール ア ド レ スについて」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 297 ア ド レ ス グループ リ ス ト の表示 フ ァ イ アウ ォ ール ア ド レ ス [Interface] IP ア ド レ ス を 関連づ け る、 イ ン タ フ ェ ー ス、 ゾ ー ン、 ま たはバー チ ャ ル ド メ イ ン (VDOM) リ ン ク を選択 し ます。 フ ァ イ アウ ォ ール ポ リ シーの作成時に IP ア ド レ ス を イ ン タ フ ェ ース / ゾ ーン に関連付け る場合は、 [Any] を選択 し ます。 [IPv6 Address] フ ァ イ アウ ォ ール IPv6 ア ド レ スに続いて フ ォ ワー ド ス ラ ッ シ ュ (/)、 次にサブ ネ ッ ト マ ス ク を入力 し ます。 詳 し く は、 296 ページの 「IPv6 フ ァ イ ア ウ ォ ール ア ド レ スにつ いて」 を参照 し て く だ さ い。 アドレス グループ リストの表示 複数の フ ァ イ ア ウ ォ ール ア ド レ ス を ア ド レ ス グルー プ に構成す る こ と に よ り 、 フ ァ イ ア ウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。た と えば、関連する異種の 5 つのフ ァ イ アウ ォ ー ル ア ド レ スに対応する 5 つの同一ポ リ シーを使用する代わ り に、5 つのア ド レ ス を単一のア ド レ ス グループにグループ化 し 、 1 つの フ ァ イ アウ ォ ール ポ リ シーが こ のア ド レ ス グループに 対応する よ う に構成で き ます。 ア ド レ ス グループ リ ス ト を表示するには、 [Firewall]、 [Address]、 [Group] の順に選択 し ます。 [Group] ページ こ のページには、 作成済みのア ド レ ス グループが一覧表示 さ れます。 こ のページ では、 ア ド レ ス グルー プの編集、 削除、 ま たは新規作成が可能です。 [Create New] ア ド レ ス グ ルー プ を 追加 し ま す。 [Create New] を 選択す る と 、 [New Address Group] ページの画面に自動的に移動 し ます。 [IPv6 Support] が有効に設定 さ れてい る場合は、 [Create New] の下向き矢印を選 択 し 、 [IPv6 Address Group] を選択 し て、 IPv6 フ ァ イ アウ ォ ール ア ド レ ス を追加 で き ます。 Web ベース マネージ ャ で IPv6 サポー ト を有効にする方法について は、 184 ページの 「設定」 を参照 し て く だ さ い。 [Group Name] ア ド レ ス グループの名前。 [Members] ア ド レ ス グループ内のア ド レ ス。 [Address Group] フ ァ イ アウ ォ ール IPv4 ア ド レ ス グループの リ ス ト 。 [IPv6 Address Group] フ ァ イ アウ ォ ール IPv6 ア ド レ ス グループの リ ス ト 。 [Delete] アドレス グループを削除するとき選択します。 [Delete] アイコンは、 アドレス グルー プがファイアウォール ポリシーにより使用されていない場合のみ表示されます。 [Edit] ア ド レ ス グループ を編集する と き選択 し ます。 アドレス グループの設定 フ ァ イ アウ ォ ール ポ リ シーには同種のネ ッ ト ワー ク イ ン タ フ ェ ース を と も な う ア ド レ スが必 要な こ と か ら 、 ア ド レ ス グループには、 必ず同 じ ネ ッ ト ワー ク イ ン タ フ ェ ース または Any イ ン タ フ ェ ースに関連づけ ら れる ア ド レ スのみが含まれます。イ ン タ フ ェ ースに Any が選択 さ れ てい る ア ド レ スは、 フ ァ イ アウ ォ ール ア ド レ ス作成時ではな く フ ァ イ アウ ォ ール ポ リ シー作 成時にネ ッ ト ワー ク イ ン タ フ ェ ース と 関連づけ ら れます。 た と えば、 ア ド レ ス A1 がポー ト 1、 ア ド レ ス A2 がポー ト 2 と 関連づけ られる場合、 こ れ ら のア ド レ スはグループ化で き ません。 一方、 ア ド レ ス A1 および A2 が Any イ ン タ フ ェ ース を と も な う 場合、 こ れ ら のア ド レ スが異 な る ネ ッ ト ワー ク と 関連する場合で も A1 お よび A2 を グループ化で き ます。 IPv4 フ ァ イ アウ ォ ール ア ド レ ス と IPv6 フ ァ イ アウ ォ ール ア ド レ スは、 同 じ ア ド レ ス グルー プに混合で き ません。 ア ド レ ス を ア ド レ ス グループ に構成す る には、 [Firewall]、 [Address]、 [Group] の順に選択 し 、 [Create New] を選択 し ます。 [IPv6 Support] が有効に設定 さ れている場合、IPv6 フ ァ イ アウ ォ ール ア ド レ ス グループ を追加 す る には、 [Firewall]、 [Address]、 [Group] の順に選択 し 、 [Create New] の横にあ る下向き矢印 を選択 し て、 [IPv6 Address Group] を選択 し ます。 298 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール ア ド レ ス ア ド レ ス グループの設定 ヒント : ファイアウォール ポリシーを設定する際にも、ファイアウォール アドレスを作 成できます。この場合、[Firewall]、[Policy]、[Policy] の順に選択し、適切なポリシー タブを選択して、[Create New] を選択します。[Source Address] リストから、[Address Group]、[Create New] の順に選択します。 [New Address Group] ページ こ のページ では、 IP ア ド レ ス グループ に構成 さ れる IP ア ド レ ス を設定で き ます。 [Group Name] ア ド レ ス グループ を 識別す る名前を入力 し ます。 ア ド レ ス、 ア ド レ ス グループ、 お よ び仮想 IP には、 固有の名前が必要です。 [Available Addresses] すべての IPv4 ま たは IPv6 フ ァ イ ア ウ ォ ール ア ド レ スの リ ス ト 。 矢印を使用 し 、 選択 さ れた ア ド レ ス を [Available Addresses] およ び [Members] の リ ス ト 間で移動 し ます。 IPv4 お よ び IPv6 フ ァ イ アウ ォ ール ア ド レ ス を、 同 じ ア ド レ ス グループ に追加で き ま せん。 IPv4 フ ァ イ アウ ォ ール ア ド レ ス グループ を追加す る場合は、 IPv4 ア ド レ スお よ び FQDN ア ド レ スのみが表示 さ れます。 IPv6 フ ァ イ アウ ォ ール ア ド レ ス グループ を追加す る場合は、 IPv6 ア ド レ スのみが表示 さ れます。 [Members] ア ド レ ス グループ に含まれる ア ド レ スの リ ス ト 。 矢印を使用 し 、 選択 さ れた ア ド レ ス を [Available Addresses] およ び [Members] の リ ス ト 間で移動 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 299 ア ド レ ス グループの設定 300 フ ァ イ アウ ォ ール ア ド レ ス FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール サービ ス 定義済みサービ ス リ ス ト の表示 ファイアウォール サービス フ ァ イ アウ ォ ール サービ スは、 サー ビ ス ご と に関連づけ ら れる 1 つ以上のプ ロ ト コ ルおよび ポー ト 番号を定義 し ます。 フ ァ イ アウ ォ ール ポ リ シーは、 サー ビ スの定義に基づいて、 セ ッ シ ョ ンの種類を照合 し ます。 関連するサービ ス をサービ ス グループに構成する こ と で、 フ ァ イ アウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に フ ァ イ アウ ォ ール サービ ス を個別に設定する必要があ り ます。詳細については、73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 定義済みサービ ス リ ス ト の表示 ・ カ ス タ ム サービ スの設定 ・ カ ス タ ム サービ ス グループの設定 定義済みサービス リストの表示 フ ァ イ アウ ォ ール サー ビ スには、 代表的な ト ラ フ ィ ッ ク の種類の多 く があ ら か じ め定義 さ れ ています。 こ れ ら の定義済みサービ スはデ フ ォ ル ト で固定 さ れてお り 、 編集または削除で き ま せん。 ただ し 、 異な るサービ スが必要な場合は、 カ ス タ ムのサービ ス を作成で き ます。 詳細に ついては、 306 ページの 「 カ ス タ ム サー ビ スの設定」 を参照 し て く だ さ い。 定義済みサービ ス リ ス ト を表示するには、 [Firewall]、 [Service]、 [Predefined] の順に選択 し ま す。 FortiGate の定義済み フ ァ イ アウ ォ ール サービ スについては、 表 50 の一覧を参照 し て く だ さ い。 [Predefined] ページ こ のページには、 利用可能な定義済みサービ スが一覧表示 さ れます。 FortiGate ユニ ッ ト で利用可能な定義 済みフ ァ イ アウ ォ ール サービ スの一覧お よび各サービ スの説明については、 表 50 を参照 し て く だ さ い。 [Name] 定義済みサービ スの名前。 [Detail] 定義済みサービ スのプ ロ ト コ ル (TCP、 UDP、 IP、 ICMP) お よびポー ト 番号。 表 50: 定義済みサービス サービス名 説明 AFS3 AFS 分散 フ ァ イ ル シ ス テ ム プ ロ ト コ ルの Advanced TCP File Security 暗号化 フ ァ イ ル、 バージ ョ ン 3。 UDP IP プロトコル ポート 7000-7009 7000-7009 AH Authentication Header ( 認証ヘ ッ ダ )。 AH に よ っ て、 発 信元 ホ ス ト の認証やデ ー タ の整合性が実現 さ れ ま す が、 秘密性は実現 さ れません。 こ のプ ロ ト コ ルは、 ア グ レ ッ シ ブ モー ド に設定 さ れた IPSec リ モー ト ゲー ト ウ ェ イ が認証のために使用 し ます。 ANY IP上のどのプ ロ ト コ ルを使用する接続に も 該当 し ます。 all all AOL America Online Instant Message プ ロ ト コ ル。 5190-5194 BGP Border Gateway Protocol。BGP は、内部 / 外部ルーテ ィ TCP ン グ プ ロ ト コ ルです。 CVSPSERVER Concurrent Versions System Proxy Server。 CSSPServer TCP は、 レ ポジ ト リ への匿名 CVS ア ク セ ス を実現する ため UDP に最適です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 51 TCP 179 2401 2401 301 定義済みサービ ス リ ス ト の表示 フ ァ イ アウ ォ ール サービ ス 表 50: 定義済みサービス ( 続き ) 302 サービス名 説明 IP プロトコル DCE-RPC Distributed Computing Environment / Remote Procedure TCP Calls。 DCE-RPC を使用する ア プ リ ケーシ ョ ンは、 別の ア プ リ ケーシ ョ ンか ら プ ロ シ ジ ャ を コ ールで き、 こ の UDP と き、 こ の別ア プ リ ケーシ ョ ンがどのホ ス ト で実行 し てい るかを把握す る必要はあ り ません。 135 DHCP Dynamic Host Configuration Protocol。 DHCP は、 DHCP UDP サーバか ら ホ ス ト に ネ ッ ト ワー ク ア ド レ ス を 割 り 当 て、 設定パ ラ メ ー タ を提供 し ます。 67 68 DHCP6 IPv6 対応の DHCP。 DNS Domain Name Service。 DNS は、 ド メ イ ン名を IP ア ド TCP レ スに解決 し ます。 UDP ESP Encapsulating Security Payload。 ESP は、 暗号化 さ れた デ ー タ を 通信 す る た め に、 手動 キ ー お よ び AutoIKE IPSec VPN ト ン ネルに よ っ て 使用 さ れ ま す。 AutoIKE VPN ト ン ネルは、 IKE に よ り ト ン ネル を 確立 し た後、 ESP を使用 し ます。 FINGER ユーザに関する情報を提供するネットワーク サービス。 TCP 79 FTP File Transfer Protocol。 TCP 21 FTP_GET File Transfer Protocol。FTP GET セ ッ シ ョ ンは、FTP サー TCP バか ら FTP ク ラ イ ア ン ト コ ン ピ ュ ー タ に リ モ ー ト フ ァ イ ルを転送 し ます。 21 FTP_PUT File Transfer Protocol。 FTP PUT セ ッ シ ョ ンは、 FTP ク TCP ラ イ ア ン ト か ら FTPサーバか ら に ロー カル フ ァ イルを 転送 し ます。 21 GOPHER Gopher は、 イ ン タ ーネ ッ ト サーバの内容を、 階層的に TCP 構造化 さ れた フ ァ イ ルの リ ス ト と し て構成 し 、 表示 し ます。 70 GRE Generic Routing Encapsulation。 GRE では、 GRE パケ ッ ト 内のプ ロ ト コ ルのパケ ッ ト を カ プ セル化す る こ と に よ っ て、 任意のネ ッ ト ワー ク プ ロ ト コ ルを、 他の任意 のネ ッ ト ワー ク プ ロ ト コ ルを介 し て転送で き ます。 47 GTP GPRS ト ン ネ リ ン グ プ ロ ト コ ル (GTP)。GTP を GSM お UDP よび UMTS ネ ッ ト ワー ク で使用する こ と に よ り 、 ユー ザ デー タ を GPRS コ ア ネ ッ ト ワー ク 内で伝送で き ま す。 FortiOS では、 IPv4 GTP パケ ッ ト を受け入れ、 処 理で き ます。 2123,2152,33 86 H323 H.323 マルチ メ デ ィ ア プ ロ ト コ ル。 H.323 は、 複数ネ ッ TCP ト ワ ー ク 上でのオーデ ィ オ ビ ジ ュ ア ル会議デー タ の 転 送 方 法 を 規 定 し て い る ITU (International UDP Telecommunication Union) に よ っ て 承認 さ れ た 標準規 格です。 詳細については、 『 FortiGate H.323 サポー ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 UDP ポート 135 546, 547 53 53 50 1720, 1503 1719 HTTP Hypertext Transfer Protocol。HTTP は、WWW (Word Wide TCP Web) 上の Web ページ を閲覧する ために使用 さ れます。 80 HTTPS SSL (Secure Socket Layer) を備えた HTTP。 HTTPS は、 TCP Web サーバ と のセキ ュ ア な通信のために使用 さ れます。 443 ICMP_ANY Internet Control Message Protocol。 ICMP に よ り 、 ホス ICMP ト お よびゲー ト ウ ェ イ ( イ ン タ ーネ ッ ト ) 間での メ ッ セージ制御お よびエ ラ ー レ ポー ト が可能 と な り ます。 Any IKE Internet Key Exchange。IKE は、IPSEC の ISAKMP (Internet UDP Security Association and Key Management Protocol) で使 用す る、 認証 さ れたキー作成材料を取得 し ます。 500, 4500 IMAP Internet Message Access Protocol。 IMAP は、 電子 メ ー TCP ル サーバか ら メ ール メ ッ セージ を検索する ために、電 子 メ ール ク ラ イ ア ン ト に よ り 使用 さ れます。 143 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール サービ ス 定義済みサービ ス リ ス ト の表示 表 50: 定義済みサービス ( 続き ) サービス名 説明 IP プロトコル ポート IMAPS SSL を備え た IMAP。 IMAPS は、 電子 メ ール ク ラ イ ア TCP ン ト およ びサーバ間のセキ ュ ア な IMAP 通信のために 使用 さ れます。 IMAPS は、 SSL コ ン テ ン ツ スキ ャ ン お よび イ ン スペ ク シ ョ ン をサポー ト する FortiGate ユニ ッ ト のみで使用で き ます。詳 し く は、『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 INFO_ADDRESS ICMP の情報要求 メ ッ セージ。 ICMP 17 INFO_REQUEST ICMP のア ド レ ス マ ス ク 要求 メ ッ セージ。 ICMP 15 IRC Internet Relay Chat。 IRC に よ り 、 ユ ー ザ は チ ャ ッ ト TCP チ ャ ネルに参加で き ます。 993 6660-6669 Internet-Locator- Internet-Locator-Service。ILS には、LDAP、User Locator TCP Service、 お よび LDAP over TLS/SSL が含まれます。 Service 389 L2TP Layer 2 Tunneling Protocol。 L2TP は、 リ モー ト ア ク セ TCP スのための PPP ベースの ト ン ネル プ ロ ト コ ルです。 UDP 1701 LDAP Lightweight Directory Access Protocol。 LDAP は、 情報 TCP デ ィ レ ク ト リ に ア ク セ スする ために使用 さ れる プ ロ ト コ ルです。 389 MGCP Media Gateway Control Protocol。 MGCP は、 分散 VoIP UDP (Voice over IP) シ ス テム内部で、 コ ール エージ ェ ン ト お よ び メ デ ィ ア ゲー ト ウ ェ イ に よ り 使用 さ れ る プ ロ ト コ ルです。 2427, 2727 MS-SQL Microsoft SQL Server は、Microsoft に よ り 開発 さ れた リ TCP レ ーシ ョ ナル デー タ ベース管理シ ス テム (RDBMS) で あ り 、その主な ク エ リ 言語は MS-SQL お よび T-SQL で す。 1433, 1434 MYSQL MySQL は、複数デー タ ベースへのマルチユーザ ア ク セ TCP ス を 可能にするサーバ と し て実行す る、 リ レ ーシ ョ ナ ル デー タ ベース管理シ ス テム (RDBMS) です。 3306 NFS Network File System。 NFS に よ り 、 ネ ッ ト ワー ク ユー TCP ザは共有 フ ァ イ ルを自身のシ ス テムにマウ ン ト し て扱 UDP う こ と がで き ます。 111, 2049 NNTP Network News Transport Protocol。 NNTP は、 USENET TCP メ ッ セージ を投稿、 配布、 お よ び取得する ために使用 さ れる プ ロ ト コ ルです。 NTP Network Time Protocol。 NTP は、 ホ ス ト の時刻を タ イ TCP ム サーバ と 同期 し ます。 UDP NetMeeting NetMeeting を使用する と 、 ユーザは、 イ ン タ ーネ ッ ト TCP を転送媒体 と し て使用 し 遠隔会議を実行で き ます。 ONC-RPC Open Network Computing Remote Procedure Call。 ONC- TCP RPC は、 幅広 く 展開 さ れて い る リ モ ー ト プ ロ シ ジ ャ UDP コ ール シ ス テムです。 1701 111, 2049 119 123 123 1720 111 111 OSPF Open Shortest Path First。OSPF は、一般的な リ ン ク ス テー ト ルーテ ィ ン グ プ ロ ト コ ルです。 89 PC-Anywhere PC-Anywhere は、 リ モー ト 制御お よ び フ ァ イル転送プ TCP ロ ト コ ルです。 UDP 5631 5632 PING Ping に よ り 、 ICMP プ ロ ト コ ルの echo メ ッ セージ を送 ICMP 信 し て応答を 要求す る こ と で、 他のホ ス ト と の接続性 を確認で き ます。 8 PING6 Ping6 に よ り 、ICMPv6 プ ロ ト コ ルの echo メ ッ セージ を ネ ッ ト ワ ー ク ホ ス ト に送信 し 、 応答 を 要求す る こ と で、 他のホ ス ト と の IPv6 接続性を確認で き ます。 58 POP3 Post Office Protocol version 3。POP は、電子 メ ール メ ッ TCP セージ を検索 し ます。 110 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 303 定義済みサービ ス リ ス ト の表示 フ ァ イ アウ ォ ール サービ ス 表 50: 定義済みサービス ( 続き ) 304 サービス名 説明 IP プロトコル ポート POP3S SSL (secure socket layer) を備えた Post Office Protocol TCP version 3。 POP3S は、 電子 メ ール メ ッ セージのセキ ュ ア な検索のために使用 さ れます。 POP3S は、 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン を サポー ト す る FortiGate ユニ ッ ト のみで使用で き ます。 詳 し く は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 995 PPTP Point-to-Point Tunneling Protocol。 PPTP は、 イ ン タ ー ネ ッ ト 上 で プ ラ イ ベー ト ネ ッ ト ワ ー ク のホ ス ト 同士 を ト ン ネル接続す る ために使用 さ れます。 注記 : IP プ TCP ロ ト コ ル 47 も必要 と な り ます。 47 QUAKE Quake のマルチ プ レ ーヤーに よ る コ ン ピ ュ ー タ ゲーム UDP の ト ラ フ ィ ッ ク。 26000, 27000, 27910, 27960 RADIUS Remote Authentication Dial In User Service。 RADIUS は、 TCP ネ ッ ト ワー ク サービ スに接続 し 使用するユーザまたは コ ン ピ ュ ー タ の、 ア ク セ ス、 認証、 お よ びア カ ウ ン ト を集中的に管理する、 ネ ッ ト ワー ク プ ロ ト コ ルです。 1812, 1813 RAUDIO RealAudio マルチ メ デ ィ ア ト ラ フ ィ ッ ク 。 UDP 7070 RDP RDP (Remote Desktop Protocol) は、 ユ ー ザ が ネ ッ ト TCP ワー ク 化 さ れた コ ン ピ ュ ー タ に接続す る こ と を 可能に す る、 マルチ チ ャ ネル プ ロ ト コ ルです。 3389 REXEC Rexec ト ラ フ ィ ッ ク に よ り 、 rexecd サービ ス ( デーモ TCP ン ) を実行する リ モー ト ホス ト 上で、 指定 し た コ マ ン ド を実行で き ます。 512 RIP Routing Information Protocol。 RIP は、 一般的な距離ベ UDP ク ト ル ルー テ ィ ン グ プ ロ ト コ ルです。 こ のサー ビ ス は、 RIPv1 に該当 し ます。 520 RLOGIN リ モー ト ロ グ イ ン ト ラ フ ィ ッ ク 。 TCP 513 RSH リ モー ト シ ェ ル ト ラ フ ィ ッ ク に よ り 、 rshd サー ビ ス ( TCP デーモ ン ) を実行する リ モー ト ホ ス ト 上で、 指定 し た コ マ ン ド を実行で き ます 514 RTSP RTSP (Real Time Streaming Protocol) は、 ス ト リ ー ミ ン TCP グ メ デ ィ ア シ ス テムで使用す る ための プ ロ ト コ ルで す。 RTSP に よ り 、 ク ラ イ ア ン ト か ら ス ト リ ー ミ ン グ メ デ ィ ア サーバを リ モー ト 制御で き る よ う にな り 、 再 UDP 生、停止な ど ビ デオデ ッ キのよ う な コ マ ン ド を発行 し 、 サーバ上にあ る フ ァ イ ルへの タ イ ムベースのア ク セ ス が可能にな り ます。 554, 7070, 8554 1723 554 SAMBA SMB ( サーバ メ ッ セージ ブ ロ ッ ク )。 SMB に よ り 、 ク TCP ラ イ ア ン ト は、 対応す る ホ ス ト か ら フ ァ イ ルお よ びプ リ ン ト 共有 を 利用で き ます。 SMB は、 主に Microsoft Windows ホス ト のために使用 さ れますが、 Samba デー モ ン を 実行す る オ ペ レ ー テ ィ ン グ シ ス テ ムに も 使用 さ れます。 139 SCCP Skinny Client Control Protocol。SCCPは、VoIP (voice over TCP IP) で使用す る ための、 Cisco 独自の端末制御プ ロ ト コ ルです。 2000 SIP Session Initiation Protocol。 SIP に よ り 、 オーデ ィ オ ビ UDP ジ ュ アル会議デー タ を複数のネ ッ ト ワー ク 上で転送で き ます。 詳細については、 『 FortiGate SIP サポー ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 5060 SIPMSNmessenger Session Initiation Protocol。 Microsoft Messenger に よ っ TCP て、 イ ン タ ラ ク テ ィ ブ な ( 一般には ) マルチ メ デ ィ ア セ ッ シ ョ ン を開始する ために使用 さ れます。 1863 SMTP Simple Mail Transfer Protocol。 SMTP は、 電子 メ ール ク TCP ラ イ ア ン ト と 電子 メ ール サーバ間、 お よび電子 メ ール サーバ同士で、 メ ール メ ッ セージ を送信する ために使 用 さ れます。 25 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール サービ ス 定義済みサービ ス リ ス ト の表示 表 50: 定義済みサービス ( 続き ) サービス名 説明 SMTPS SSL を備え る SMTP。 電子 メ ール ク ラ イ ア ン ト と 電子 TCP メ ール サーバ間、 およ び電子 メ ール サーバ同士での、 セ キ ュ ア な メ ール メ ッ セ ー ジ 送信の ために使用 さ れ ます。 SMTPS は、 SSL コ ン テ ン ツ スキ ャ ン お よ び イ ン スペ ク シ ョ ン をサポー ト す る FortiGate ユニ ッ ト のみ で使用で き ます。 詳 し く は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を 参照 し て く だ さ い。 465 SNMP Simple Network Management Protocol。 SNMP を使用す TCP る こ と に よ り 、 複雑なネ ッ ト ワー ク を監視お よ び管理 UDP で き ます。 161-162 SOCKS IP プロトコル SOCKetS。SOCKS は、 ク ラ イ ア ン ト サーバ ア プ リ ケー TCP シ ョ ン がネ ッ ト ワー ク フ ァ イ ア ウ ォ ールのサー ビ ス を 透過的に 使用 で き る よ う に す る た めの、 イ ン タ ー UDP ネ ッ ト プ ロ ト コ ルです。 ポート 161-162 1080 1080 SQUID プ ロキシ サーバお よ び Web キ ャ ッ シ ュ のデーモ ン。そ TCP の多種多様 な 用途 には、 繰 り 返 さ れ る 要求 を キ ャ ッ シ ュ する こ と で Web サーバを高速化する こ と 、 Web の キ ャ ッ シ ュ 、DNS お よび他の コ ン ピ ュ ー タ ネ ッ ト ワー ク で ネ ッ ト ワー ク リ ソ ース を 共有す る ユーザ グルー プ の検索、 ト ラ フ ィ ッ ク の フ ィ ル タ リ ン グ に よ る セ キ ュ リ テ ィ 支援、 な どが含まれます。 SSH Secure Shell。 SSH に よ り 、 セキ ュ ア な リ モー ト 管理お TCP よび ト ン ネ リ ン グが可能に な り ます。 UDP 22 SYSLOG リ モー ト ロギ ン グのための Syslog サービ ス。 514 TALK TALK に よ り 、 2 名以上のユーザ同士の対話が可能にな UDP り ます。 517-518 TCP あ ら ゆる TCP ポー ト を使用する接続に該当 し ます。 0-65535 TELNET プ レ ーン テキスト によ る リ モート 管理を 可能にし ます。 TCP 23 TFTP File Transfer Protocol。 TFTP は FTP と 類似のプ ロ ト コ UDP ルですが、 認証な どのセキ ュ リ テ ィ 機能が含まれてい ません。 69 TIMESTAMP ICMP の タ イ ムス タ ン プ要求 メ ッ セージ。 13 TRACEROUTE IP ネッ ト ワーク 上でパケッ ト が経由する 経路を 決める TCP ために使用さ れる 、コ ン ピ ュ ータ ネッ ト ワーク ツ ール。 UDP 33434 UDP あ ら ゆる UDP ポー ト を使用す る接続に該当 し ます。 0-65535 UUCP UNIX 同士の コ ピー プ ロ ト コ ル。 UUCP に よ り 、 単純な UDP フ ァ イ ル転送が可能です。 540 VDOLIVE VDO Live ストリーミング マルチメディア トラフィック。 7000-7010 VNC バー チ ャ ル ネ ッ ト ワー ク コ ン ピ ュ ー テ ィ ン グ。 VNC TCP は、 RFB プ ロ ト コ ル を 使用 し 別の コ ン ピ ュ ー タ を リ モー ト 制御する、 グ ラ フ ィ カ ルなデス ク ト ッ プ共有シ ス テムです。 5900 WAIS Wide Area Information Server。 WAIS は、 Gopher と と も TCP に使用 さ れる、 イ ン タ ーネ ッ ト 検索プ ロ ト コ ルです。 210 WINFRAME WinFrameは、Windows NTまたはCitrix WinFrame/MetaFrame TCP を 実行する コ ン ピ ュ ータ 同士の通信を 可能にし ます。 1494 WINS WINS (Windows Internet Name Service) は、 Microsoft の TCP NetBIOS Name Service (NBNS) 実装で、NetBIOS 名に対 UDP 応す る ネーム サーバお よびサービ スです。 X-WINDOWS FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク UDP TCP ICMP UDP TCP X Window シ ス テム ( 別称 X11) に よ り 、 X Window サー TCP バか ら X Window ク ラ イ ア ン ト にグ ラ フ ィ カ ル シ ェ ル を転送で き ます。 3128 22 33434 1512 1512 6000-6063 305 カ ス タ ム サービ スの設定 フ ァ イ アウ ォ ール サービ ス カスタム サービスの設定 定義済みサービ ス リ ス ト に含まれていないサービ スに対す る フ ァ イ アウ ォ ール ポ リ シー を作 成する必要がある場合、 カ ス タ ム サービ ス を追加で き ます。 カ ス タ ム サービ ス リ ス ト を表示するには、 [Firewall]、 [Service]、 [Custom] の順に選択 し ます。 カ ス タ ム サービ ス を設定する には、 [Firewall]、[Service]、[Custom] の順に選択 し 、 [Create New] を選択 し て、 カ ス タ ム サービ スに必要な情報を入力 し ます。 [OK] を選択 し ます。 ヒ ン ト : フ ァ イ アウ ォ ール ポ リ シー を設定す る際に も 、 カ ス タ ム サービ ス を作成で き ま す。 こ の場合、 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 適切なポ リ シー タ ブ を選択 し て、 [Create New] を選択 し ます。 [Service] リ ス ト か ら 、 [Service]、 [Create New] の順に選 択 し ます。 [Custom] ページ こ のページには、 作成済みの カ ス タ ム サービ スが一覧表示 さ れます。 こ のページ では、 カ ス タ ム サービ スの編集、 削除、 ま たは新規作成が可能です。 [Create New] カ ス タ ム サービ ス を追加 し ます。 [Create New] を選択する と 、 [New Custom Service] ページの画面に自動的に移動 し ます。 [Service Name] カ ス タ ム サービ スの名前。 [Detail] 各カ ス タ ム サービ スのプ ロ ト コ ル と ポー ト 番号。 [Delete] カ ス タ ム サービ ス を削除 し ます。 [Delete] ア イ コ ンは、 フ ァ イ アウ ォ ール ポ リ シー に よ り こ のサー ビ スが使用 さ れていない場合のみ表示 さ れます。 [Edit] カ ス タ ム サービ ス を編集 し ます。 [New Custom Service] ページ こ のページ では、 定義済みサービ ス リ ス ト には含まれていない カ ス タ ム サービ ス を設定で き ます。 [Name] カ ス タ ム サービ スの名前を入力 し ます。 [Protocol Type] カ ス タ ム サービ スのプ ロ ト コ ルの種類を選択 し ます。 [Protocol] 設定対象の ド ロ ッ プ ダウ ン リ ス ト か ら 、 プ ロ ト コ ルを選択 し ます。 [Source Port] [Low] と [High] のポー ト 番号 を 入力す る こ と に よ り 、 こ のサー ビ スの [Source Port] の番号範囲を指定 し ます。 こ のサービ ス でポー ト 番号を 1 つ し か使用 し ない場合は、 その番号を [Low] と [High] の両方のフ ィ ール ド に入力 し ます。デ フ ォ ル ト 値では、任 意の発信元ポー ト を使用で き ます。 [Destination Port] [Low] と [High] のポ ー ト 番号 を 入力す る こ と に よ り 、 こ のサー ビ ス の [Destination Port] の番号範囲を指定 し ます。 こ のサービ ス でポー ト 番号を 1 つ し か使用 し ない場 合は、 その番号を [Low] と [High] の両方の フ ィ ール ド に入力 し ます。 [Add] 作成 し てい る カ ス タ ム サー ビ ス に複数のポー ト 範囲が必要な場合は、 [Add] を選択 し 、 さ ら に発信元 と 宛先の範囲を入力で き る よ う に し ます。 [Delete] プ ロ ト コ ル (TCP、 UDP、 ま たは SCTP) を リ ス ト か ら 削除 し ます。 [Type] ICMP プ ロ ト コ ル設定の ICMP タ イ プ番号を入力 し ます。 [Code] ICMP プ ロ ト コ ル設定の ICMP コ ー ド 番号を入力 し ます。 [Protocol Number] IP プ ロ ト コ ル設定のプ ロ ト コ ル番号を入力 し ます。 次の項も参照してください。 ・ 306 フ ァ イ アウ ォ ール ポ リ シー FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール サービ ス カ ス タ ム サービ ス グループの設定 カスタム サービス グループの設定 複数の フ ァ イ ア ウ ォ ール サー ビ ス を サー ビ ス グルー プ に構成す る こ と に よ り 、 フ ァ イ ア ウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。た と えば、関連する異種の 5 つのフ ァ イ アウ ォ ー ル サービ スに対応する 5 つの同一ポ リ シーを使用する代わ り に、5 つのサービ ス を単一のサー ビ ス グループにグループ化 し 、 1 つの フ ァ イ アウ ォ ール ポ リ シーが こ のサー ビ ス グループに 対応する よ う に構成で き ます。 サー ビ ス グループ には、 定義済みサー ビ スお よび カ ス タ ム サー ビ スの双方を構成で き ます。 サービ ス グループには、 他のサービ ス グループ を含む こ と はで き ません。 サービ ス グループ リ ス ト を表示するには、 [Firewall]、 [Service]、 [Group] の順に選択 し ます。 複数の フ ァ イ ア ウ ォ ール サー ビ ス を サー ビ ス グルー プ に構成す る こ と に よ り 、 フ ァ イ ア ウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。た と えば、関連する異種の 5 つのフ ァ イ アウ ォ ー ル サービ スに対応する 5 つの同一ポ リ シーを使用する代わ り に、5 つのサービ ス を単一のサー ビ ス グループにグループ化 し 、 1 つの フ ァ イ アウ ォ ール ポ リ シーが こ のサー ビ ス グループに 対応する よ う に構成で き ます。 サー ビ ス グループ には、 定義済みサー ビ スお よび カ ス タ ム サー ビ スの双方を構成で き ます。 サービ ス グループには、 他のサービ ス グループ を含む こ と はで き ません。 サービ ス をサービ ス グループに構成するには、[Firewall]、[Service]、[Group] の順に選択 し ます。 ヒ ン ト : フ ァ イ アウ ォ ール ポ リ シーを設定する際に も、 カ ス タ ム サービ ス グループ を作 成で き ます。 こ の場合、 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 適切なポ リ シー タ ブ を選択 し て、 [Create New] を選択 し ます。 [Service] リ ス ト か ら 、 [Service Group]、 [Create New] の順に選択 し ます。 [Group] ページ こ のページには、 作成済みのサービ ス グループが一覧表示 さ れます。 こ のページ では、 サービ ス グルー プの編集、 削除、 ま たは新規作成が可能です。 [Create New] [Edit] サービ ス グループ を追加 し ます。[Create New] を選択する と 、[New Service Group] ページの画面に自動的に移動 し ます。 [Group Name] およ び [Members] の情報を編集す る と き選択 し ます。 [Delete] リ ス ト か ら サービ ス グループ を削除 し ます。 [Delete] ア イ コ ンは、 フ ァ イ ア ウ ォ ール ポ リ シーで こ のサービ ス グループが選択 さ れていない場合の み表示 さ れます。 [Group Name] サービ ス グループ を識別する名前。 [Members] こ のサービ ス グループ に追加 さ れたサービ ス。 [New Service Group] ページ こ のページ では、 サービ ス グループ に構成 さ れるサービ ス を設定で き ます。 [Group Name] サービ ス グループ を識別する名前を入力 し ます。 [Available Services] グループ に構成 さ れてい る定義済みサー ビ スの リ ス ト 。 リ ス ト 下部に、 カ ス タ ム サー ビ スが含まれます。 矢印 を使用 し 、 選択 さ れたサー ビ ス を こ の リ ス ト と [Members] 間で移動で き ます。 [Members] グループ内のサービ スの リ ス ト 。 矢印を使用 し 、 選択 さ れたサービ ス を こ の リ ス ト と [Available Services] 間で移動で き ます。 次の項も参照してください。 ・ フ ァ イ アウ ォ ール ポ リ シー FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 307 カ ス タ ム サービ ス グループの設定 308 フ ァ イ アウ ォ ール サービ ス FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール スケジ ュ ール 反復スケジ ュ ール リ ス ト の表示 ファイアウォール スケジュール フ ァ イ アウ ォ ール スケジ ュ ールに よ り 、 ポ リ シー を いつ有効にするかを管理で き ます。 作成 可能な スケ ジ ュ ールには、 ワ ン タ イ ム スケ ジ ュ ール と 反復スケジ ュ ールがあ り ます。 ワ ン タ イム スケジ ュ ールは、 スケジ ュ ールで指定 さ れた期間に 1 回だけ有効にな り ます。 反復スケ ジ ュ ールは、 指定 さ れた曜日の時間に繰 り 返 し 有効にな り ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に フ ァ イ アウ ォ ール スケジ ュ ールを個別に設定する必要があ り ます。詳細については、73 ページの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 反復スケジ ュ ール リ ス ト の表示 ・ 反復スケジ ュ ールの設定 ・ ワン タ イム スケジ ュ ール リ ス ト の表示 ・ ワン タ イム スケジ ュ ールの設定 ・ スケジ ュ ール グループの設定 反復スケジュール リストの表示 指定された期間にポリシーが有効になる反復スケジュールを作成できます。 たとえば、 就業時間を 対象とする反復スケジュールを作成することにより、 就業時間中のゲームを防止できます。 反復スケジ ュ ールの停止時刻が開始時刻よ り 前に設定 さ れる と 、スケジ ュ ールは開始時刻に有 効にな り 、 翌日の停止時刻に終了 し ます。 こ のテ ク ニ ッ ク を使用する こ と で、 ある日か ら 翌日 にかけて有効期間が続 く 反復スケジ ュ ールを作成で き ます。 た と えば、 昼食時間を除き ゲーム のプ レーを防止するには、 反復スケジ ュ ールの開始時刻を午後 1:00 に設定 し 停止時刻を正午 12:00 に設定で き ます。 24 時間効力が持続する反復スケジ ュ ールを作成する には、 開始時刻お よび停止時刻を 00 に設定 し ます。 反復スケジュール リストを表示するには、 [Firewall]、 [Schedule]、 [Recurring] の順に選択します。 [Recurring] ページ こ のページには、 作成済みの反復スケジ ュ ールが一覧表示 さ れます。 こ のページ では、 反復 スケジ ュ ールの編集、 削除、 または新規作成が可能です。 [Create New] 反復スケジ ュ ールを追加 し ます。 [Name] 反復スケジ ュ ールの名前。 [Day] スケジ ュ ールがア ク テ ィ ブに な る曜日の頭文字。 [Start] 反復スケジ ュ ールの開始時刻。 [Stop] 反復スケジ ュ ールの停止時刻。 [Delete] リ ス ト か ら ス ケ ジ ュ ール を 削除 し ま す。 [Delete] ア イ コ ン は、 こ の ス ケ ジ ュ ールがフ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場合にのみ表示 さ れます。 [Edit] スケジ ュ ールを編集 し ます。 反復スケジュールの設定 反復スケジ ュ ールを追加するには、 [Firewall]、 [Schedule]、 [Recurring] の順に選択 し ます。 以下 の表の情報を入力 し 、 [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 309 ワン タ イ ム スケジ ュ ール リ ス ト の表示 フ ァ イ アウ ォ ール スケジ ュ ール ヒント : ファイアウォール ポリシーを設定する際にも、反復スケジュールを作成できま す。この場合、[Firewall]、[Policy] の順に選択し、適切なポリシー タブを選択して、 [Create New] を選択します。[Schedule] リストから、[Recurring]、[Create New] の順 に選択します。 ポ リ シーが終日有効にな る よ う にするには、 スケジ ュ ールの開始および停止時刻を 00 に設定 し ます。 [New Recurring Schedule] ページ こ のページ では、 定期的にア ク テ ィ ブ と な る スケジ ュ ールを設定で き ます。 [Name] 反復スケジ ュ ールの名前を入力 し ます。 [Select] こ のスケジ ュ ールがア ク テ ィ ブ にな る曜日を選択 し ます。 [Start] こ の反復スケジ ュ ールの開始時刻を選択 し ます。 [Stop] こ の反復スケジ ュ ールの停止時刻を選択 し ます。 ワンタイム スケジュール リストの表示 指定 さ れた期間にポ リ シーが有効にな るワン タ イム スケジ ュ ールを作成で き ます。 た と えば、 イ ン タ ーネ ッ ト 上のすべてのサー ビ スに常時ア ク セ ス可能なデ フ ォ ル ト のポ リ シー を フ ァ イ ア ウ ォ ールに設定 し ておいて、 さ ら にワ ン タ イ ム スケジ ュ ールを追加す る こ と で休日に イ ン タ ーネ ッ ト へのア ク セス を ブ ロ ッ ク で き ます。 ワ ン タ イ ム スケ ジ ュ ール リ ス ト を表示す る には、 [Firewall]、 [Schedule]、 [One-time] の順に 選択 し ます。 [One-time] ページ こ のページ には、 1 回だけ有効にな る スケジ ュ ールの一覧が表示 さ れます。 こ のペー ジ では、 ワ ン タ イ ム スケジ ュ ールの編集、 削除、 ま たは新規作成が可能です。 [Create New] ワ ン タ イ ム スケジ ュ ールを追加 し ます。 [Create New] を選択する と 、 [New One-time Schedule] ページの画面に自動的に移動 し ます。 [Name] ワ ン タ イ ム スケジ ュ ールの名前。 [Start] こ のスケジ ュ ールの開始日付お よび時刻。 [Stop] こ のスケジ ュ ールの停止日付お よび時刻。 [Delete] リ ス ト から スケジ ュ ールを削除 し ます。 [Delete] ア イ コ ンは、 こ のス ケジ ュ ールが フ ァ イ ア ウ ォ ール ポ リ シーで使用 さ れていない場合に のみ表示 さ れます。 [Edit] スケジ ュ ールを編集 し ます。 ワンタイム スケジュールの設定 ワン タ イ ム スケジ ュ ールを追加するには、 [Firewall]、 [Schedule]、 [One-time] の順に選択 し ま す。 以下の表の情報を入力 し 、 [OK] を選択 し ます。 ヒント : ファイアウォール ポリシーを設定する際にも、ワンタイム スケジュールを作成 できます。この場合、[Firewall]、[Policy] の順に選択し、適切なポリシー タブを選択 して、[Create New] を選択します。[Schedule] リストから、[One-time]、[Create New] の順に選択します。 ポ リ シーが終日有効にな る よ う にするには、 スケジ ュ ールの開始および停止時刻を 00 に設定 し ます。 [New One-time Schedule] ページ こ のページ では、ワ ン タ イ ム スケジ ュ ールを設定で き ます。[Create New] を選択する と 、 こ のペー ジの画面に自動的に移動 し ます。 [Name] 310 ワ ン タ イ ム スケジ ュ ールの名前を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール スケジ ュ ール スケジ ュ ール グループの設定 [Start] こ のスケジ ュ ールの開始日付お よび時刻を選択 し ます。 [Stop] こ のスケジ ュ ールの停止日付お よび時刻を選択 し ます。 スケジュール グループの設定 複数の フ ァ イ ア ウ ォ ール ス ケ ジ ュ ール を一つのス ケ ジ ュ ール グルー プ に構成す る こ と に よ り 、 フ ァ イ アウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。 た と えば、 それぞれ異な る フ ァ イ アウ ォ ールスケジ ュ ールを も っ た別々のポ リ シーを 5 個持つかわ り に、 5 つのスケジ ュ ールを ひ と つのスケジ ュ ールグループにま と めて、 こ のスケジ ュ ールグループ を フ ァ イ アーウ ォ ール ポ リ シーに適用 さ せる こ と がで き ます。 スケジ ュ ール グループには、 反復お よびワン タ イ ム スケジ ュ ールの双方を含む こ と がで き ま す。 スケジ ュ ール グループには、 他のスケジ ュ ール グループ を含む こ と はで き ません。 スケジ ュ ールを スケジ ュ ール グループに構成するには、 [Firewall]、 [Schedule]、 [Group] の順に 選択 し ます。 [Group] ページ こ のページには、 作成済みのスケジ ュ ール グループが一覧表示 さ れます。 こ のページ では、 スケジ ュ ー ル グループの編集、 削除、 ま たは新規作成が可能です。 [Group Name] スケジ ュ ール グループの名前を入力 し ます。 [Available Schedules] グループ に含まれる反復お よ びワ ン タ イ ム スケジ ュ ールの リ ス ト 。 矢印を使用 し 、選 択 さ れたスケジ ュ ールを こ の リ ス ト と [Members] 間で移動で き ます。 [Members] グループ内のスケジ ュ ールの リ ス ト 。 矢印を使用 し 、 選択 さ れたスケジ ュ ールを こ の リ ス ト と [Available Schedule] 間で移動で き ます。 [New Schedule Group] ページ こ のページ では、 どのスケジ ュ ールを メ ンバ と し てグループに含むかを設定で き ます。 [Group Name] こ のスケジ ュ ール グループの名前を入力 し ます。 [Available Schedules] グループ に メ ンバ と し て含むスケジ ュ ールを選択 し 、 下向 き矢印を使用 し てそのスケ ジ ュ ールを [Members] に移動 し ます。 [Members] グループ と 関連づけ ら れる スケジ ュ ール。 [Members] リ ス ト か ら スケジ ュ ールを削除 す る に は、 ス ケ ジ ュ ー ル を 選 択 し 、 上 向 き 矢 印 を 使 用 し て そ の ス ケ ジ ュ ー ル を [Available Schedules] に戻 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 311 スケジ ュ ール グループの設定 312 フ ァ イ アウ ォ ール スケジ ュ ール FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP がどのよ う に FortiGate のユニ ッ ト を通る コ ネ ク シ ョ ン を マ ッ プするかについて ファイアウォール仮想 IP 仮想 IP ア ド レ ス (VIP) を利用 し て、 ネ ッ ト ワー ク イ ン タ ー フ ェ ース (モデム イ ン タ フ ェ ース を 含む) 上で受信 し たパケ ッ ト の IP ア ド レ ス と ポー ト を変換する よ う に フ ァ イ アーウ ォ ールポ リ シーを設定で き ます。 FortiGate ユニ ッ ト が、 [Destination Address] フ ィ ール ド に仮想 IP が指定 さ れてい る フ ァ イ ア ウ ォ ール ポ リ シー と 一致するパケ ッ ト を受信する と 、 FortiGate ユニ ッ ト は NAT を適用 し て、 パケ ッ ト の IP ア ド レ ス を仮想 IP にマ ッ プ さ れている IP ア ド レ スに変換 し ます。 IP プールを使っ て NAT を設定で き る と い う 点においては仮想 IP と 似ていますが、IP プールで は [Destination Interface/Zone] に基づいてパケ ッ ト の IP ア ド レ スの動的な変換を設定す る一 方、 仮想 IP では [Source Interface/Zone] に基づいてパケ ッ ト の IP ア ド レ スの静的または動的 な変換を設定 し ます。 仮想 IP または IP プールで設定 さ れた変換を動作 さ せるには、 それを NAT フ ァ イ アウ ォ ール ポ リ シーに追加する必要があ り ます。 詳細については、 317 ページの 「仮想 IP の設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に フ ァ イ アウ ォ ール仮想 IP を個別に設定 し ます。詳細については、73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 仮想 IP がどのよ う に FortiGate のユニ ッ ト を通る コ ネ ク シ ョ ン を マ ッ プするかについて ・ 仮想 IP リ ス ト の表示 ・ 仮想 IP の設定 ・ 仮想 IP グループ ・ VIP グループ リ ス ト の表示 ・ VIP グループの設定 ・ IP プールの設定 ・ IP プール リ ス ト の表示 ・ IP プールの設定ダ ブル NAT: IP プール と 仮想 IP の組み合わせ ・ ト ラ ン スペア レ ン ト モー ド での NAT フ ァ イ アウ ォ ール ポ リ シーの追加 注記 : ト ラ ン スペア レ ン ト モー ド では、 FortiGate の CLI か ら、 仮想 IP および IP プールを 含む NAT フ ァ イ アウ ォ ール ポ リ シーを設定で き ます。 詳 し く は、 332 ページの 「 ト ラ ン ス ペア レ ン ト モー ド での NAT フ ァ イ アウ ォ ール ポ リ シーの追加」 を参照 し て く だ さ い。 仮想 IP がどのように FortiGate のユニットを通るコネクションをマッ プするかについて 仮想 IP はイ ンバウン ド と アウ ト バウン ド の コ ネ ク シ ョ ンの両方にたい し て、 パケ ッ ト のポー ト 番号 と IP ア ド レ スの両方または一方だけの変換を定義する こ と がで き ます。 ト ラ ン スペア レ ン ト モー ド では、 FortiGate の CLI か ら 仮想 IP を設定で き ます。 受信接続 仮想 IP を、[Action] が [DENY] に設定 さ れていない フ ァ イ アウ ォ ール ポ リ シー と と も に使用す る こ と で、 双方向 NAT ( 受信 NAT と も呼ばれる ) を適用で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 313 仮想 IP がどのよ う に FortiGate のユニ ッ ト を通る コ ネ ク シ ョ ン を マ ッ プするかについて フ ァ イ アウ ォ ール仮想 IP パケ ッ ト を フ ァ イ アウ ォ ール ポ リ シー リ ス ト と 照合 し て一致す る ポ リ シー を特定す る と き、 フ ァ イ アウ ォ ール ポ リ シーの [Destination Address] が仮想 IP の場合は、 FortiGate ユニ ッ ト は パケ ッ ト の宛先ア ド レ ス を仮想 IP の外部 IP ア ド レ ス と 照合 し ます。 こ れ らが一致する場合、 FortiGate ユニ ッ ト では仮想 I P の受信 NAT マ ッ ピ ングが適用 さ れ、FortiGate ユニ ッ ト によ っ て、 パケ ッ ト のネ ッ ト ワー ク ア ド レ スお よびポー ト 番号が、 受信 ( 外部 ) ネ ッ ト ワー ク イ ン タ フ ェ ースか ら、宛先 ( マ ッ プ先 ) IP ア ド レ ス または IP ア ド レ ス範囲に接続 さ れる ネ ッ ト ワー ク イ ン タ フ ェ ースに、 どのよ う に変換 さ れるかを指定 し ます。 イ ン タ フ ェ ース間の IP ア ド レ スお よびポー ト のマ ッ ピ ング を指定する こ と に加え て、 仮想 IP の設定では、オプ シ ョ ン で追加 IP ア ド レ ス または IP ア ド レ ス範囲を受信側のネ ッ ト ワー ク イ ン タ フ ェ ースに関連づける こ と がで き ます。追加 IP ア ド レ ス を関連づけ る こ と で、ネ ッ ト ワー ク イ ン タ フ ェ ースに元か ら 設定済みの IP ア ド レ スではな く 関連づけ られた追加 IP ア ド レ ス と 一致する宛先を持つパケ ッ ト に FortiGate ユニ ッ ト によ っ て適用で き る マ ッ ピ ングの組み合わ せを、 別個に設定で き ます。 仮想 IP の設定によ り 、 そのマ ッ ピ ングは ポー ト ア ド レ ス変換 (PAT)、 ポー ト フ ォ ワーデ ィ ン グま たはネ ッ ト ワー ク ア ド レ ス ポー ト 変換 (NAPT) と も いわれる、 と IP ア ド レ スの ネ ッ ト ワー ク ア ド レ ス変換 (NAT) のいずれかまたは両方を含みます。 仮想 IP お よび フ ァ イ アウ ォ ール ポ リ シーで NAT を設定する場合は、NAT の動作は以下の選択 によ り 異な り ます。 ・ ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク NAT マ ッ ピ ング ・ ダ イ ナ ミ ッ ク NAT マ ッ ピ ングを使用する場合、 ダ イ ナ ミ ッ ク NAT の負荷分散ス タ イル ・ 完全な NAT または宛先 NAT (DNAT) 以下の表は、 仮想 IP を と も な う フ ァ イ アウ ォ ール ポ リ シーを設定する と き使用可能な、 PAT または NAT あるいは両方の組み合わせについて記述 し ています。 スタティック NAT ス タ テ ィ ッ ク な、 一対一の NAT マ ッ ピ ン グ。 外部 IP ア ド レ スは、 必ず同 じ マ ッ プ先 IP ア ド レ スに変換 さ れます。 IP ア ド レ ス範囲を使用する場合は、外部 IP ア ド レ ス範囲は同 じ 数の IP ア ド レ ス を含 んでい る マ ッ プ先 IP ア ド レ ス範囲に対応 し 、外部ア ド レ ス範囲に含まれる各 IP ア ド レ スは必ずマ ッ プ先ア ド レ ス範囲内の同 じ IP ア ド レ スに変換 さ れます。 ポート フォワー ディングをともな うスタティック NAT ポー ト フ ォ ワーデ ィ ン グ を と も な う 、 ス タ テ ィ ッ ク な一対一の NAT マ ッ ピ ン グ。 外 部 IP ア ド レ スは、 必ず同 じ マ ッ プ先 IP ア ド レ スに変換 さ れ、 外部ポー ト 番号は必ず 同 じ マ ッ プ先ポー ト 番号に変換 さ れます。 IP ア ド レ ス範囲を使用する場合は、外部 IP ア ド レ ス範囲は同 じ 数の IP ア ド レ ス を含 んでい る マ ッ プ先 IP ア ド レ ス範囲に対応 し 、外部ア ド レ ス範囲に含まれる各 IP ア ド レ スは必ずマ ッ プ先ア ド レ ス範囲内の同 じ IP ア ド レ スに変換 さ れます。 ポー ト 番号 範囲 を 使用す る 場合は、 外部ポ ー ト 番号範囲は同 じ 数のポ ー ト 番号 を 含ん で い る マ ッ プ先ポー ト 番号範囲に対応 し 、 外部ポー ト 番号範囲に含まれ る各ポー ト 番号は 必ずマ ッ プ先ポー ト 番号範囲内の同 じ ポー ト 番号に変換 さ れます。 サーバ ロード バラ ダ イ ナ ミ ッ ク な、 一対多の NAT マ ッ ピ ン グ。 外部 IP ア ド レ スは、 よ り 均等な ト ラ フ ィ ッ ク 分散のために採用 さ れ る負荷分散アルゴ リ ズムに よ る決定に従い、 マ ッ プ ンシング 先 IP ア ド レ スのいずれかに変換 さ れます。 外部 IP ア ド レ スは、 必ず同 じ マ ッ プ先 IP ア ド レ スに変換 さ れる と は限 り ません。 サーバ ロ ー ド バ ラ ン シ ン グでは、 1 台以上 8 台ま での リ アル サーバを設定する必要 があ り ます。 リ アル サーバは、 ヘルス チ ェ ッ ク モ ニ タ と と も に構成で き ます。 ヘル ス チ ェ ッ ク モ ニ タ を使用する こ と で、 パケ ッ ト を転送する前にサーバ応答性を計測 で き ます。 ポート フォワー ディングによる サーバ ロード バラ ンシング 314 ポー ト フ ォ ワーデ ィ ン グに よ る ダ イ ナ ミ ッ ク な一対多の NAT マ ッ ピ ン グ。外部 IP ア ド レ スは、 よ り 均等な ト ラ フ ィ ッ ク 分散のための選択 さ れた負荷分散アルゴ リ ズム に よ る決定に従い、 マ ッ プ先 IP ア ド レ スのいずれかに変換 さ れます。 外部 IP ア ド レ スは、 必ず同 じ マ ッ プ先 IP ア ド レ スに変換 さ れる と は限 り ません。 サーバ ロ ー ド バ ラ ン シ ン グでは、 1 台以上 8 台ま での リ アルなサーバを設定する必 要があ り ます。 リ アルなサーバは、 ヘルス チ ェ ッ ク モ ニ タ に よ り 設定で き ます。 ヘ ルス チ ェ ッ ク モ ニ タ を使用する こ と で、 パケ ッ ト を転送す る前にサーバ応答性を計 測で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP がどのよ う に FortiGate のユニ ッ ト を通る コ ネ ク シ ョ ン を マ ッ プするかについて [NAT] チ ェ ッ ク ボ ッ ク スが オ フ の状態で フ ァ イ アウ ォ ール ポ リ シーを構成する場合、 作成 さ れたポ リ シーは完全な ( 発信元および宛先 ) NAT を実行せず、 DNAT ( 宛先ネ ッ ト ワー ク ア ド レ ス変換 ) を実行 し ます。 受信 ト ラ フ ィ ッ ク については、 DNAT によ り パケ ッ ト の宛先ア ド レ スはマ ッ プ先プ ラ イ ベー ト IP ア ド レ スに変換 さ れますが、 発信元ア ド レ スは変換 さ れません。 プ ラ イ ベー ト ネ ッ ト ワー クは、発信元のパブ リ ッ ク IP ア ド レ ス を意識 し ます。応答 ト ラ フ ィ ッ ク については、 FortiGate ユニ ッ ト はパケ ッ ト のプ ラ イ ベー ト ネ ッ ト ワー クの ソ ース IP ア ド レ ス を、セ ッ シ ョ ン テーブルで管理 さ れている最初に発信 さ れたパケ ッ ト の宛先ア ド レ スに一致 する よ う に変換 し ます。 ス タ テ ィ ッ ク NAT の代表例は、ク ラ イ ア ン ト がパブ リ ッ ク ネ ッ ト ワー ク か ら FortiGate ユニ ッ ト に よ り 保護 さ れている プ ラ イ ベー ト ネ ッ ト ワー ク上の Web サーバにア ク セスす る こ と を許 可する こ と です。 最 も 簡潔に表す場合、 図 14 に示 さ れる よ う に、 こ の例には 3 台のみのホス ト が含まれます。 こ れ ら は、 プ ラ イ ベー ト ネ ッ ト ワー ク 上の Web サーバ、 イ ン タ ーネ ッ ト な ど別のネ ッ ト ワー ク上のク ラ イ ア ン ト コ ン ピ ュ ー タ 、 および こ れ ら 2 つのネ ッ ト ワー ク を接 続する FortiGate ユニ ッ ト です。 ク ラ イ ア ン ト コ ン ピ ュ ー タ がWebサーバに接続 し よ う と する と 、こ の コ ン ピ ュ ー タ はFortiGate ユニ ッ ト の外部イ ン タ フ ェ ース上で仮想 IP を使用 し ます。 FortiGate ユニ ッ ト は、 ク ラ イ ア ン ト か らのパケ ッ ト を受信 し 、 パケ ッ ト に含まれる ア ド レ スはプ ラ イ ベー ト ネ ッ ト ワー ク IP ア ド レ スに変換 さ れ、 パケ ッ ト はプ ラ イ ベー ト ネ ッ ト ワー ク上の Web サーバに転送 さ れます。 図 14: 単純なスタティック NAT 仮想 IP の例 Internal IP 10.10.10.2 Server IP 10.10.10.42 Virtual IP 192.168.37.4 Client IP 192.168.37.55 ク ラ イ ア ン ト コ ン ピ ュ ー タ か ら 送信 さ れたパケ ッ ト には、 192.168.37.55 と い う 発信元 IP と 192.168.37.4 と い う 宛先 IP が含まれています。 FortiGate ユニ ッ ト は、 こ れ ら のパケ ッ ト を外部 イ ン タ フ ェ ースで受信 し 、 その仮想 IP の フ ァ イ アウ ォ ール ポ リ シー と それ ら のパケ ッ ト を照 合 し ます。 仮想 IP 設定に よ り 192.168.37.4 が 10.10.10.42 にマ ッ ピ ング さ れ、 FortiGate ユニ ッ ト はパケ ッ ト のア ド レ ス を変更 し ます。 発信元ア ド レ スは 10.10.10.2 に、 宛先は 10.10.10.42 に それぞれ変更 さ れます。 FortiGate ユニ ッ ト は、 内部に保持する フ ァ イ アウ ォ ール セ ッ シ ョ ン テーブルに こ の変換を記録 し ます。 パケ ッ ト は、 こ れ らの処理を経て、 Web サーバに転送 さ れ ます。 図 15: クライアントからサーバへの NAT 変換におけるパケット アドレス再マッピングの例 3 1 2 Source IP 10.10.10.2 Destination IP 10.10.10.24 NAT with a virtual IP 3 1 2 Source IP 192.168.37.55 Destination IP 192.168.37.4 ク ラ イ ア ン ト コ ン ピ ュ ー タ のア ド レ スは、 サーバが受信す るパケ ッ ト には含まれない こ と に 注意 し て く だ さ い。 FortiGate ユニ ッ ト でネ ッ ト ワー ク ア ド レ スが変換 さ れる と 、 ク ラ イ ア ン ト コ ン ピ ュ ー タ の IP ア ド レ スへの参照はな く な り ます。 ただ し 、 セ ッ シ ョ ン テーブルにはそ の IP ア ド レ スが残 り ます。 Web サーバは、 別のネ ッ ト ワー ク が存在する こ と を意識せず、 す べてのパケ ッ ト が FortiGate ユニ ッ ト か ら送信 さ れる も の と 認識 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 315 仮想 IP がどのよ う に FortiGate のユニ ッ ト を通る コ ネ ク シ ョ ン を マ ッ プするかについて フ ァ イ アウ ォ ール仮想 IP Web サーバが ク ラ イ ア ン ト コ ン ピ ュ ー タ に応答する と き、 同 じ よ う にア ド レ ス変換が逆方向 で処理 さ れます。 Web サーバは、 発信元 IP ア ド レ スが 10.10.10.42、 宛先ア ド レ スが 10.10.10.2 の応答パケ ッ ト を送信 し ます。 FortiGate ユニ ッ ト は、 こ れ ら のパケ ッ ト を内部イ ン タ フ ェ ー ス で受信 し ます。 ただ し 今回は、 ア ド レ ス変換の宛先ア ド レ ス と し て、 セ ッ シ ョ ン テーブル か ら ク ラ イ ア ン ト コ ン ピ ュ ー タ の IP ア ド レ スが呼び戻 さ れます。 応答パケ ッ ト では、 発信元 ア ド レ スは 192.168.37.4 に、 宛先ア ド レ スは 192.168.37.55 にそれぞれ変更 さ れます。 パケ ッ ト は、 こ れ ら の処理を経て ク ラ イ ア ン ト コ ン ピ ュ ー タ に転送 さ れます。 Web サーバのプ ラ イ ベー ト IP ア ド レ スは、 ク ラ イ ア ン ト が受信するパケ ッ ト には含まれませ ん。 FortiGate ユニ ッ ト でネ ッ ト ワー ク ア ド レ スが変換 さ れる と 、 Web サーバのネ ッ ト ワー ク への参照はな く な り ます。 ク ラ イ ア ン ト は、 Web サーバの IP ア ド レ スが仮想 IP ではない こ と を意識せず、 FortiGate ユニ ッ ト の仮想 IP が Web サーバである と 認識 し ます。 図 16: サーバからクライアントへの NAT 変換におけるパケット アドレス再マッピングの例 3 1 2 Source IP 10.10.10.42 Destination IP 10.10.10.2 NAT with a virtual IP 3 1 2 Source IP 192.168.37.4 Destination IP 192.168.37.55 上記の例では、 フ ァ イ アウ ォ ール ポ リ シーの設定時に、 [NAT] チ ェ ッ ク ボ ッ ク スがオ ンの状 態で し た。[NAT] チ ェ ッ ク ボ ッ ク スが オ フ の状態で フ ァ イ アウ ォ ール ポ リ シーを構成する と 、 作成 さ れたポ リ シーは完全な NAT を実行せず、 DNAT ( 宛先ネ ッ ト ワー ク ア ド レ ス変換 ) を実 行 し ます。 受信 ト ラ フ ィ ッ ク では、DNAT によ り パケ ッ ト の宛先ア ド レ スがマ ッ プ先プ ラ イ ベー ト IP ア ド レ スに変換 さ れますが、 発信元ア ド レ スは変換 さ れません。 Web サーバは、 ク ラ イ ア ン ト の IP ア ド レ ス を意識 し ます。 応答 ト ラ フ ィ ッ ク については、 FortiGate ユニ ッ ト はパケ ッ ト のプ ラ イ ベー ト ネ ッ ト ワー ク のソ ース IP ア ド レ ス を、 セ ッ シ ョ ン テーブルで管理 さ れてい る最初に 発信 さ れたパケ ッ ト の宛先ア ド レ スに一致する よ う に変換 し ます。 送信接続 仮想 IP は、 送信 フ ァ イ アウ ォ ール ポ リ シーで選択 さ れない場合で も 、 送信 NAT に影響 し ま す。 仮想 IP を設定 し ない場合、 FortiGate ユニ ッ ト は、 プ ラ イ ベー ト ネ ッ ト ワー ク IP ア ド レ スか らパブ リ ッ ク ネ ッ ト ワー ク IP ア ド レ スへの送信接続に、 従来の送信 NAT を適用 し ます。 一方、 仮想 IP 設定が存在する場合、 FortiGate ユニ ッ ト は仮想 IP の受信 NAT マ ッ ピ ングを逆 方向に使用する こ と で送信 NAT を適用 し 、送受信 ト ラ フ ィ ッ クの IP ア ド レ ス マ ッ ピ ングを対 称に し ます。 た と えば、 ネ ッ ト ワー ク イ ン タ フ ェ ースの IP ア ド レ スが 10.10.10.1、 関連付け られる仮想 IP の外部IPが10.10.10.2 で、受信 ト ラ フ ィ ッ ク を プ ラ イ ベー ト ネ ッ ト ワー ク IP ア ド レ ス 192.168.2.1 にマ ッ ピ ングする場合、 192.168.2.1 か ら の送信 ト ラ フ ィ ッ クは、 10.10.10.1 ではな く 10.10.10.2 に変換 さ れます。 316 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP リ ス ト の表示 仮想 IP、負荷分散仮想サーバ、および負荷分散リアル サーバの制限 仮想 IP、 負荷分散仮想サーバ、 負荷分散 リ アル サーバを追加する と き、 以下のよ う な制限が あ り ます。 負荷分散仮想サーバは、 実際にはサーバ ロー ド バ ラ ン シ ン グ仮想 IP です。 サーバ ロー ド バラ ン シ ング仮想 IP は、 CLI か ら 追加で き ます。 ・ 仮想 IP の [External IP Address/Range] のエ ン ト リ または範囲は、エ ン ト リ お よび範囲同 士、 または負荷分散仮想サーバの [Virtual Server IP] のエ ン ト リ と は重複で き ません。 ・ 仮想 IP の [Mapped IP Address/Range] は、必ず 0.0.0.0 お よび 255.255.255.255 以外に し な ければな り ません。 ・ リ アル サーバの [IP] は、必ず0.0.0.0および255.255.255.255以外に し なければな り ません。 ・ ス タ テ ィ ッ ク NAT 仮想 IP の [External IP Address/Range] が 0.0.0.0 の場合、 [Mapped IP Address/Range] は、 必ず単一の IP ア ド レ スに し なければな り ません。 ・ 負荷分散仮想 IP の [External IP Address/Range] が 0.0.0.0 の場合、 [Mapped Address/Range] には、 ア ド レ ス範囲を設定で き ます。 ・ ポー ト フ ォ ワーデ ィ ン グでは、 マ ッ プ先ポー ト 番号および外部ポー ト 番号の数は必ず 同 じ にな り ます。 Web ベース マネージ ャ では、 こ れを自動的に処理で き ますが、 CLI で は自動処理で き ません。 ・ 仮想 IP お よび仮想サーバの名前は、 フ ァ イ アウ ォ ール ア ド レ スまたはア ド レ ス グルー プの名前 と は異な る も のに し なければな り ません。 IP 仮想 IP リストの表示 仮想 IP リ ス ト を表示するには、 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 [Virtual IP] ページ こ のページには、 作成済みの仮想 IP が一覧表示 さ れます。 こ のページ では、 仮想 IP の編集、 削除、 また は新規作成が可能です。 [Create New] 仮想 IP を追加する場合に選択 し ます。 [Create New] を選択する と 、 [Add New Virtual IP Mapping] ページの画面に自動的に移動 し ます。 [Name] 仮想 IP の名前。 [IP] 関連付け ら れる ネ ッ ト ワー ク イ ン タ フ ェ ースお よび外部 IP ア ド レ ス ま たは IP ア ド レ ス。 ス ラ ッ シ ュ (/) に よ り 区切 ら れます。 [Service Port] 外部ポー ト 番号またはポー ト 番号の範囲。 仮想 IP でポー ト フ ォ ワーデ ィ ン グが指定 さ れない場合、 こ の フ ィ ール ド は空白です。 [Map to IP/IP Range] 宛先ネ ッ ト ワー ク 上のマ ッ プ先 IP ア ド レ ス ま たはア ド レ ス範囲。 [Map to Port] マ ッ プ先のポー ト 番号ま たはポー ト 番号の範囲。 仮想 IP でポー ト フ ォ ワーデ ィ ン グ が指定 さ れない場合、 こ の フ ィ ール ド は空白です。 [Delete] リ ス ト か ら 仮想 IP を削除 し ます。 [Delete] ア イ コ ンは、 仮想 IP が フ ァ イ アウ ォ ール ポ リ シーで選択 さ れていない場合にのみ表示 さ れます。 [Edit] 仮想 IP を編集 し 、 仮想 IP 名な どの仮想 IP オ プ シ ョ ン を変更 し ます。 仮想 IP の設定 仮想 IP の外部 IP ア ド レ ス と し て、単一の IP ア ド レ ス または IP ア ド レ ス範囲を設定 し 、FortiGate ユニ ッ ト イ ン タ フ ェ ースに関連付け る こ と がで き ます。仮想 IP の外部 IP ア ド レ ス を FortiGate ユニ ッ ト イ ン タ フ ェ ースに関連付ける と 、 デ フ ォ ル ト で、 関連付け ら れた IP ア ド レ ス または IP ア ド レ ス範囲への ARP 要求に対 し て、そのネ ッ ト ワー ク イ ン タ フ ェ ースが応答 し ます。RFC 1027 の規定に従い、 仮想 IP はプ ロキシ ARP を使用するので、 FortiGate ユニ ッ ト は別のネ ッ ト ワー ク上のサーバに対する ARP 要求に応答で き ます。 ARP 応答を無効にする方法について は、 『FortiGate CLI Reference リ フ ァ レ ン ス』 を参照 し て く だ さ い。 仮想 IP のマ ッ プ先 IP ア ド レ スには、単一 IP ア ド レ スまたは IP ア ド レ ス範囲を設定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 317 仮想 IP の設定 フ ァ イ アウ ォ ール仮想 IP FortiGate ユニ ッ ト で、 [Destination Address] フ ィ ール ド に仮想 IP が指定 さ れてい る フ ァ イ ア ウ ォ ール ポ リ シー と 一致するパケ ッ ト が受信 さ れる と 、 FortiGate ユニ ッ ト は NAT を適用 し 、 パケ ッ ト の宛先 IP ア ド レ ス を仮想 IP のマ ッ プ先 IP ア ド レ ス と 差 し 替えます。 仮想 IP または IP プールで設定 さ れた変換を実装するには、 それを NAT フ ァ イ アウ ォ ール ポ リ シーに追加する必要があ り ます。た と えば、パブ リ ッ ク ネ ッ ト ワー ク ア ド レ ス を プ ラ イ ベー ト ネ ッ ト ワー ク に マ ッ ピ ン グす る フ ァ イ ア ウ ォ ール ポ リ シ ー を追加す る には、 [Destination Address] フ ィ ール ド に仮想 IP が設定 さ れている外部か ら 内部への フ ァ イ アウ ォ ール ポ リ シー を追加 し ます。 仮想 IP を作成する際の制限事項については、 317 ページの 「仮想 IP、 負荷分散仮想サーバ、 お よび負荷分散 リ アル サーバの制限」 を参照 し て く だ さ い。 [Add New Virtual IP Mapping] ページ こ のページ で、 仮想 IP を設定で き ます。 [Name] 仮想 IP を識別す る ための名前を入力ま たは変更 し ます。 混乱を避け る ため、 ア ド レ ス、 ア ド レ ス グループ、 お よび仮想 IP を同一の名前にする こ と はで き ません。 [External Interface] リ ス ト か ら 仮想 IP 外部イ ン タ フ ェ ース を選択 し ます。 外部イ ン タ フ ェ ースは送信 元ネ ッ ト ワー ク に接続 さ れ、 宛先ネ ッ ト ワー ク に転送 さ れ るパケ ッ ト を 受信 し ま す。 FortiGate イ ン タ フ ェ ース、 VLAN サブ イ ン タ フ ェ ース、 VPN イ ン タ フ ェ ース、 ま たはモデム イ ン タ フ ェ ースの、 いずれ も 選択で き ます。 [Type] VIP の種類は、 ス タ テ ィ ッ ク NAT、 読み取 り 専用です。 [External IP Address/Range] 宛先ネ ッ ト ワー ク 上のア ド レ スにマ ッ プする外部 IP ア ド レ ス を入力 し ます。 すべての IP ア ド レ スの接続を許可する ダ イ ナ ミ ッ ク 仮想 IP を設定する には、 外部 IP ア ド レ ス を 0.0.0.0 に設定 し ます。 ス タ テ ィ ッ ク NAT ダ イ ナ ミ ッ ク 仮想 IP に追加 で き る マ ッ プ先 IP ア ド レ スは 1 つのみです。 負荷分散ダ イ ナ ミ ッ ク 仮想 IP には、 単一のマ ッ プ先ア ド レ ス ま たはマ ッ プ先ア ド レ ス範囲を指定で き ます。 [Mapped IP Address/Range] 外部 IP ア ド レ スのマ ッ プ先 と な る宛先ネ ッ ト ワー ク 上の リ アル IP ア ド レ ス を入力 し ます。 ア ド レ スの範囲を入力 し て、 宛先ネ ッ ト ワー ク 上の複数の IP ア ド レ スにパケ ッ ト を転送する こ と も で き ます。 ス タ テ ィ ッ ク NAT 仮想 IP では、 マ ッ プ先 IP ア ド レ ス範囲を追加する と 、 FortiGate ユニ ッ ト が外部 IP ア ド レ ス範囲 を 計算 し 、 その IP ア ド レ ス範囲が [External IP Address/Range] フ ィ ール ド に追加 さ れます。 こ のオ プ シ ョ ンは、 [Type] が [Static NAT] の場合のみ表示 さ れます。 [Port Forwarding] PAT ( ポー ト ア ド レ ス変換 ) を実行す る場合に選択 し ます。 [Protocol] 転送 さ れるパケ ッ ト のプ ロ ト コ ルを選択 し ます。 こ のオ プ シ ョ ンは、 [Port Forwarding] が有効な と き表示 さ れます。 [External Service Port] ポート フォワーディングを設定する外部インタフェース ポート番号を入力します。 こ のオ プ シ ョ ンは、 [Port Forwarding] が有効な と き表示 さ れます。 [Map to Port] 外部ポー ト 番号のマ ッ プ先 と な る宛先ネ ッ ト ワー ク上のポー ト 番号を入力 し ます。 ポー ト 番号の範囲を入力 し て、 宛先ネ ッ ト ワー ク 上の複数のポー ト にパケ ッ ト を転 送す る こ と も で き ます。 ス タ テ ィ ッ ク NAT を と も な う 仮想 IP では、 ポー ト の範囲に マ ッ プ を追加する と 、 FortiGate ユ ニ ッ ト が外部ポ ー ト 番号の範囲 を 計算 し 、 そのポ ー ト 番号の範囲が [External Service Port] フ ィ ール ド に追加 さ れます。 こ のオ プ シ ョ ンは、 [Port Forwarding] が有効な と き表示 さ れます。 仮想 IP を設定するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 318 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP の設定 3 必要に応 じ て、 ネ ッ ト ワー ク イ ン タ フ ェ ースに関連付け られる仮想 IP ア ド レ ス を入力 し 、 マ ッ ピ ングの種類、 およびマ ッ プ先 IP ア ド レ スまたはポー ト あ るいは双方を選択する こ と に よ り 、 仮想 IP を設定 し ます。 各種の設定例については、 以下を参照 し て く だ さ い。 ・ 319 ページの 「単一 IP ア ド レ スに対する ス タ テ ィ ッ ク NAT 仮想 IP の追加」 ・ 320 ページの 「IP ア ド レ ス範囲に対する ス タ テ ィ ッ ク NAT 仮想 IP の追加」 ・ 322 ページの 「単一 IP ア ド レ スおよび単一ポー ト に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ングの追加」 ・ 323 ページの 「IP ア ド レ ス範囲およびポー ト 範囲に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ングの追加」 ・ 325 ページの 「ダ イ ナ ミ ッ ク 仮想 IP の追加」 ・ 326 ページの 「ポー ト 変換のみの仮想 IP の追加」 4 [OK] を選択 し ます。 仮想 IP が、仮想 IP リストに表示されます。 5 仮想 IP を実装するには、 フ ァ イ アウ ォ ール ポ リ シーで仮想 IP を選択 し ます。 たとえば、パブリック ネットワーク アドレスをプライベート ネットワークにマップする ファイアウォール ポリシーを追加するには、外部から内部へのファイアウォール ポリ シーを追加し、仮想 IP が関連付けられる [Source Interface/Zone] を選択し、次にポリ シーの [Destination Address] フィールドで仮想 IP を選択します。詳細については、268 ページの「ファイアウォール ポリシーの設定」を参照してください。 単一 IP アドレスに対するスタティック NAT 仮想 IP の追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス 192.168.37.4 は、 プ ラ イ ベー ト ネ ッ ト ワー ク 上の 10.10.10.42 にマ ッ ピ ング さ れます。イ ン タ ーネ ッ ト か ら 192.168.37.4 に接続 し よ う と する通信は、FortiGate ユニ ッ ト によ っ て 10.10.10.42 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か らは、 こ の変換は意識 さ れず、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト で はな く 、 IP ア ド レ ス 192.168.37.4 の 1 台の コ ン ピ ュ ー タ が認識 さ れます。 図 17: 単一 IP アドレスに対するスタティック NAT 仮想 IP の例 3 1 NAT with a virtual IP 3 Source IP 10.10.10.2 Destination IP 10.10.10.42 Server IP 10.10.10.42 Internal IP 10.10.10.2 1 2 2 Source IP 192.168.37.55 Destination IP 192.168.37.4 Virtual IP 192.168.37.4 Client IP 192.168.37.55 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク 上の Web サーバに接続 で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の wan1 イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmz1 イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 単一 IP アドレスに対するスタティック NAT 仮想 IP を追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の情報を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 319 仮想 IP の設定 フ ァ イ アウ ォ ール仮想 IP [Name] static_NAT [External Interface] wan1 4 [Type] Static NAT [External IP Address/Range] Web サーバの イ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、通常は Web サーバの ISP か ら 取得 さ れる ス タ テ ィ ッ ク IP ア ド レ ス です。 こ のア ド レ スは、 別のホ ス ト に よ り 使用 さ れない固有の IP ア ド レ ス でなければな ら ず、 仮想 IP が使用す る外部 イ ン タ フ ェ ースの IP ア ド レ ス と 同 一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外 部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定で き ます。 仮想 IP を追加する と 、 外部 イ ン タ フ ェ ースはその外部 IP ア ド レ スへの ARP 要求に応答 し ます。 [Mapped IP Address/Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 IP ア ド レ スは 1 つだけなので、 2 番目の フ ィ ール ド は空白のま ま と し ます。 [OK] を選択 し ます。 単一 IP アドレスに対するスタティック NAT 仮想 IP をファイアウォール ポリシーに追加する には 外部か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シー を追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ ス に接続 し よ う と し た と き、 パケ ッ ト が FortiGateユニ ッ ト の外部イ ン タ フ ェ ースから dmz1イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 外部 IP か ら Web サーバの DMZ ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address] All ( ま たはよ り 具体的な ア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address] simple_static_nat [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] を選択 し ます。 4 [OK] を選択 し ます。 3 IP アドレス範囲に対するスタティック NAT 仮想 IP の追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス範囲 192.168.37.4 ~ 192.168.37.6 は、プ ラ イ ベー ト ネ ッ ト ワー ク上の 10.10.10.42 ~ 10.10.123.44 にマ ッ ピ ング さ れます。 192.168.37.4 と 通信 し よ う と する イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か ら のパケ ッ ト は、 FortiGate ユニ ッ ト によ っ て 10.10.10.42 に 変換 さ れ、 送信 さ れます。 同様に、 宛先が 192.168.37.5 のパケ ッ ト は 10.10.10.43 に、 また宛先 が 192.168.37.6 のパケ ッ ト は 10.10.10.44 にそれぞれ変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か ら は、 こ の変換は意識 さ れず、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 個別の IP ア ド レ ス を持つ 3 台の コ ン ピ ュ ー タ が認識 さ れます。 320 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP の設定 図 18: IP アドレス範囲に対するスタティック NAT 仮想 IP の例 NAT with a virtual IP Source IP 10.10.10.2 Destination IP 10.10.10.42 Source IP 10.10.10.2 Destination IP 10.10.10.43 Source IP 10.10.10.2 Destination IP 10.10.10.44 3 3 1 1 2 2 3 1 NAT with a virtual IP 3 3 1 Source IP 172.20.27.126 Destination IP 192.168.37.5 1 Source IP 172.199.190.25 Destination IP 192.168.37.6 2 2 1 NAT with a virtual IP 3 2 2 Source IP 172.168.37.55 Destination IP 192.168.37.4 Client IP 172.168.37.55 Internal network Server IP 10.10.10.42 Virtual IPs 192.168.37.4 Server IP 10.10.10.41 Internal IP 10.10.10.2 Client IP 172.20.37.126 Internet 192.168.37.5 192.168.37.6 Client IP 172.199.190.25 Server IP 10.10.10.44 IP アドレス範囲に対するスタティック NAT 仮想 IP を追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の 3 台の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユ ニ ッ ト の wan1 イ ン タ フ ェ ースは イ ン タ ーネ ッ ト に接続 さ れ、 dmz1 イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 4 [Name] static_NAT_range [External Interface] wan1 [Type] Static NAT [External IP Address/Range] Web サーバの イ ン タ ーネ ッ ト IP ア ド レ ス範囲。 外部 IP ア ド レ スは、通常は Web サーバの ISP か ら 取得 さ れる ス タ テ ィ ッ ク IP ア ド レ ス です。 こ れ ら のア ド レ スは、 別のホス ト に よ り 使用 さ れ ない固有の IP ア ド レ ス で なければな ら ず、仮想 IP が使用する外部 イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々 のサブ ネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加す る と 、 外 部 イ ン タ フ ェ ースは外部 IP ア ド レ スへの ARP 要求に応答 し ます。 [Mapped IP Address/Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス範囲。 範囲の最初のア ド レ ス を最初の フ ィ ール ド に、 最後のア ド レ ス を 2 番目の フ ィ ール ド にそ れぞれ入力 し て、 範囲を定義 し ます。 [OK] を選択 し ます。 IP アドレス範囲に対するスタティック NAT 仮想 IP をファイアウォール ポリシーに追加する には wan1 か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザがサーバ IP ア ド レ スに接続 し よ う と し た と き、 パケ ッ ト が FortiGate ユ ニ ッ ト の wan1 イ ン タ フ ェ ースか ら dmz1 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 wan1IP か らサーバの DMZ ネ ッ ト ワー ク IP ア ド レ ス に変換 し ます。 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 321 仮想 IP の設定 フ ァ イ アウ ォ ール仮想 IP [Source Interface/Zone] wan1 [Source Address] All ( ま たはよ り 具体的な ア ド レ ス ) [Destination Interface/Zone] dmz1 3 4 [Destination Address] static_NAT_range [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] を選択 し ます。 [OK] を選択 し ます。 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポート フォワーディン グの追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス 192.168.37.4、 ポー ト 80 は、 プ ラ イ ベー ト ネ ッ ト ワー ク 上の 10.10.10.42、 ポー ト 8000 にマ ッ ピ ング さ れます。 イ ン タ ーネ ッ ト か ら 192.168.37.4、 ポー ト 80 に接続 し よ う と する通信は、 FortiGate ユニ ッ ト によ っ て 10.10.10.42、 ポー ト 8000 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か ら は、 こ の変換は意識 さ れず、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 IP ア ド レ ス 192.168.37.4、 ポー ト 80 の 1 台の コ ン ピ ュ ー タ が認識 さ れます。 図 19: 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポート フォワーディ ングの例 3 3 1 Source IP 10.10.10.2 Destination IP 10.10.10.42 Destination port 8000 Server IP 10.10.10.42 1 2 2 Internal IP 10.10.10.2 Source IP 192.168.37.55 Destination IP 192.168.37.4 Destination Port 80 Virtual IP 192.168.37.4 Client IP 192.168.37.55 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポート フォワーディン グを追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに 接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の wan1 イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmz1 イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 322 [Name] Port_fwd_NAT_VIP [External Interface] wan1 [Type] Static NAT FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP の設定 4 [External IP Address/Range] Web サーバの イ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、通常は Web サーバの ISP か ら 取得 さ れる ス タ テ ィ ッ ク IP ア ド レ ス です。 こ のア ド レ スは、 別のホス ト に よ っ て使用 さ れな い固有の IP ア ド レ ス で なければな ら ず、仮想 IP が使用する外部 イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにす る こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々の サブ ネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加す る と 、 外部 イ ン タ フ ェ ースは外部 IP ア ド レ スへの ARP 要求に応答 し ます。 [Mapped IP Address/Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 IP ア ド レ スは 1 つだけな ので、 2 番目の フ ィ ール ド は空白のま ま と し ます。 [Port Forwarding] 選択 [Protocol] TCP [External Service Port] イ ン タ ーネ ッ ト か ら の ト ラ フ ィ ッ ク が使用す る ポー ト 。 Web サーバに 対す るポー ト は、 通常はポー ト 80 です。 [Map to Port] サーバが ト ラ フ ィ ッ ク を待つポー ト 。 ポー ト は 1 つだけなので、 2 番目 の フ ィ ール ド は空白のま ま と し ます。 [OK] を選択 し ます。 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポート フォワーディン グをファイアウォール ポリシーに追加するには wan1 か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバ IP ア ド レ スに接続 し よ う と し た と き、パケ ッ ト が FortiGate ユニ ッ ト の wan1 イ ン タ フ ェ ースか ら dmz1 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ ら のパケ ッ ト の宛先ア ド レ ス と ポー ト を、 外部 IP か ら Web サーバの dmz ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 [Source Interface/Zone] wan1 [Source Address] All ( またはよ り 具体的な ア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address] Port_fwd_NAT_VIP [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] を選択 し ます。 4 [OK] を選択 し ます。 3 IP アドレス範囲およびポート範囲に対するスタティック NAT ポート フォワーディン グの追加 イ ン タ ーネ ッ ト 上のア ド レ ス 192.168.37.4 ~ 192.168.37.7 のポー ト 80 ~ 83 は、 プ ラ イ ベー ト ネ ッ ト ワー ク 上のア ド レ ス 10.10.10.42 ~ 10.10.10.44 のポー ト 8000 ~ 8003 にマ ッ ピ ング さ れ ます。 た と えば、 イ ン タ ーネ ッ ト か ら 192.168.37.5、 ポー ト 82 に接続 し よ う と す る通信は、 FortiGate ユニ ッ ト に よ っ て 10.10.10.43、ポー ト 8002 に変換 さ れ、送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か ら は、 こ の変換は意識 さ れず、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持 つ FortiGate ユニ ッ ト ではな く 、IP ア ド レ ス 192.168.37.5 の 1 台の コ ン ピ ュ ー タ が認識 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 323 仮想 IP の設定 フ ァ イ アウ ォ ール仮想 IP 図 20: IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディ ングの例 IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディン グを追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに 接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の外 部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmz1 イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] Port_fwd_NAT_VIP_port_range [External Interface] external [Type] Static NAT [External IP Address/Range] 外部 IP ア ド レ スは、通常は ISP か ら 取得 さ れる ス タ テ ィ ッ ク IP ア ド レ ス です。 こ のア ド レ スは、 必ず別のホ ス ト では使用 さ れな い固有ア ド レ ス と な り 、仮想 IP が使用す る外部 イ ン タ フ ェ ースの IP ア ド レ ス と 同 じ ア ド レ スには設定で き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れ た イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加する と 、 外部 イ ン タ フ ェ ースは外部 IP ア ド レ ス への ARP 要求に応答 し ます。 [Mapped IP Address/Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 範囲の最初のア ド レ ス を 最初の フ ィ ール ド に、 最後のア ド レ ス を 2 番目の フ ィ ール ド にそれぞ れ入力 し て、 範囲を定義 し ます。 4 324 [Port Forwarding] 選択 [Protocol] TCP [External Service Port] イ ン タ ーネ ッ ト か ら の ト ラ フ ィ ッ ク が使用す る ポー ト 。 Web サーバに 対する ポー ト は、 通常はポー ト 80 です。 [Map to Port] サーバが ト ラ フ ィ ッ ク を 待つ ポ ー ト 。 範囲の最初のポ ー ト を 最初の フ ィ ール ド に、 最後のポー ト を 2 番目の フ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 ポー ト が 1 つのみの場合、 2 番目の フ ィ ール ド は空白のま ま と し ます。 [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP 仮想 IP の設定 IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディン グをファイアウォール ポリシーに追加するには 外部か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シー を追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバ IP ア ド レ スに接続 し よ う と し た と き、パケ ッ ト が FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースか ら dmz1 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ ら のパケ ッ ト の宛先ア ド レ ス と ポー ト を、 外部 IP か ら Web サーバの dmz ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address] All ( またはよ り 具体的な ア ド レ ス ) [Destination Interface/Zone] dmz1 3 4 [Destination Address] Port_fwd_NAT_VIP_port_range [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] を選択 し ます。 [OK] を選択 し ます。 ダイナミック仮想 IP の追加 ダ イ ナ ミ ッ ク 仮想 IP の追加は、 仮想 IP の追加 と 同様です。 ただ し 、 外部 IP ア ド レ スがすべて の IP ア ド レ スに適合する よ う に、 外部 IP ア ド レ ス を必ず 0.0.0.0 に設定する点が異な り ます。 ダイナミック仮想 IP を追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 ダ イ ナ ミ ッ ク 仮想 IP の名前を入力 し ます。 4 リ ス ト か ら 、 仮想 IP [External Interface] を選択 し ます。 外部インタフェースは、送信元ネットワークに接続され、宛先ネットワークに転送される パケットを受信します。 いずれかのファイアウォール インタフェースまたは VLAN サブインタフェースを選択しま す。 5 [External IP Address] を、 0.0.0.0 に設定 し ます。 [External IP Address] に 0.0.0.0を設定することで、すべてのIPアドレスに適合します。 6 外部 IP ア ド レ スのマ ッ プ先 と な る IP ア ド レ ス を、 [Mapped IP Address] に入力 し ます。 た と えば、 内部ネ ッ ト ワー ク 上の PPTP サーバの IP ア ド レ スです。 7 [Port Forwarding] を選択 し ます。 8 [Protocol] には、 [TCP] を選択 し ます。 9 ダイナミック ポート フォワーディングを設定する、 [External Service Port] 番号を入力します。 外部のサービス ポート番号は、転送されるパケットの宛先ポートに一致する必要がありま す。たとえば、仮想 IP によりインターネットから PPTP サーバへの PPTP パススルー アク セスを可能にする場合は、外部のサービス ポート番号を 1723 (PPTP ポート ) に設定する 必要があります。 10 パケ ッ ト が転送 さ れる際にパケ ッ ト に追加 さ れる、 [Map to Port] 番号を入力 し ます。 ポートが変換されない場合は、[External Service Port] と同じ番号を入力します。 11 [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 325 仮想 IP グループ フ ァ イ アウ ォ ール仮想 IP ポート変換のみの仮想 IP の追加 仮想 IP を追加する と き、マ ッ プ先 IP ア ド レ ス と 同 じ 仮想 IP ア ド レ ス を入力 し ポー ト フ ォ ワー デ ィ ングを適用する場合は、 宛先 IP ア ド レ スは変わ り ませんが、 ポー ト 番号は変換 さ れます。 ポート変換のみをともなう仮想 IP を追加するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 ダ イ ナ ミ ッ ク 仮想 IP の名前を入力 し ます。 4 リ ス ト か ら 、 仮想 IP [External Interface] を選択 し ます。 外部インタフェースは、送信元ネットワークに接続され、宛先ネットワークに転送される パケットを受信します。 いずれかのファイアウォール インタフェースまたはVLANサブインタフェースを選択します。 5 リ ス ト か ら 、 [External IP Address] を設定 し ます。 6 外部 IP ア ド レ ス を マ ッ プする、 [Mapped IP Address] を入力 し ます。 た と えば、 内部ネ ッ ト ワー ク上の PPTP サーバの IP ア ド レ ス です。 7 [Port Forwarding] を選択 し ます。 8 [Protocol] には、 [TCP] を選択 し ます。 9 ダ イ ナ ミ ッ ク ポー ト フ ォ ワーデ ィ ング を設定する、 [External Service Port] 番号を入力 し ます。 外部のサービス ポート番号は、転送されるパケットの宛先ポートに一致する必要がありま す。たとえば、仮想 IP によりインターネットから PPTP サーバへの PPTP パススルー アク セスを可能にする場合は、外部のサービス ポート番号を 1723 (PPTP ポート ) に設定する 必要があります。 10 パケ ッ ト が転送 さ れる際にパケ ッ ト に追加 さ れる、 [Map to Port] 番号を入力 し ます。 11 [OK] を選択 し ます。 注記 : 仮想 IP ア ド レ ス を外部イ ン タ フ ェ ースに関連づけずに、その外部イ ン タ フ ェ ースに ポー ト フ ォ ワーデ ィ ングを適用するには、 仮想 IP ア ド レ スの変わ り にネ ッ ト ワー ク イ ン タ フ ェ ースのア ド レ ス を入力 し 、 さ ら にポー ト フ ォ ワーデ ィ ングを通常のよ う に設定 し ま す。 上記の設定を完了 し た状態で、 外部イ ン タ フ ェ ース で受信 さ れたパケ ッ ト が FortiGate ユニ ッ ト に よ り 破棄 さ れる場合があ り ます。 こ れを防ぐ ために、 FortiGate の CLI にログ イ ン し 、 以 下の手順を使用 し て、 ポー ト 変換のみの仮想 IP の ARP 応答を無効にで き ます。 ARP 応答を無効にするには 1 FortiGate の CLI に ロ グ イ ン し ます。 2 以下の コ マ ン ド を入力 し ます。 こ こ では、 <vip_name> config firewall vip edit <vip_name> set arp-reply disable end 仮想 IP グループ 複数の仮想 IP を仮想 IP グループ (VIP グループ ) に構成する こ と によ り 、フ ァ イ アウ ォ ール ポ リ シー リ ス ト を簡素化で き ます。 た と えば、 同 じ ネ ッ ト ワー ク イ ン タ フ ェ ース上にある異種 の関連する 5 つの仮想 IP に対 し て、5 つの同一ポ リ シーを使用する代わ り に、5 つの仮想 IP を 単一の仮想 IP グループにグループ化 し 、 1 つの フ ァ イ アウ ォ ール ポ リ シーが こ のグループに 対応する よ う に構成で き ます。 326 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP VIP グループ リ ス ト の表示 VIP グループ を使用する フ ァ イ アウ ォ ール ポ リ シーは、1 つまたは複数の メ ンバ VIP IP ア ド レ スお よびポー ト 番号の双方 と 比較、 照合 さ れます。 VIP グループ リストの表示 仮想 IP グループ リ ス ト を表示する には、 [Firewall]、[Virtual IP]、[VIP Group] の順に選択 し ます。 [VIP Group] ページ こ のページには、 作成済みの VIP グループが一覧表示 さ れます。 こ のページ では、 VIP グループの編集、 削除、 ま たは新規作成が可能です。 [Create New] 新 し い VIP グループ を追加す る場合に選択 し ます。 詳 し く は、 327 ページの 「VIP グ ループの設定」 を参照 し て く だ さ い。 [Create New] を選択する と 、 [New VIP Group] ページの画面に自動的に移動 し ます。 [Group Name] 仮想 IP グループの名前。 [Members] グループの メ ンバを表示 し ます。 [Interface] VIP グループが属する イ ン タ フ ェ ース を表示 し ます。 [Delete] リ ス ト か ら VIP グループ を削除 し ます。 [Delete] ア イ コ ンは、 フ ァ イ ア ウ ォ ール ポ リ シーで VIP グループが使用 さ れていない場合にのみ表示 さ れます。 [Edit] グループ名や メ ンバな ど、 VIP グループ情報を編集 し ます。 VIP グループの設定 VIP グループ を追加するには、 [Firewall]、 [Virtual IP]、 [VIP Group] の順に選択 し 、 [Create new] を選択 し ます。 VIP グループ を編集するには、 [Firewall]、 [Virtual IP]、 [VIP Group] の順に選択 し 、 編集する VIP グループの [Edit] ア イ コ ン を選択 し ます。 以下の表の情報を入力 し 、 [OK] を 選択 し ます。 [New VIP Group] ページ こ のページ では、 グループ に含まれる VIP を設定で き ます。 [Group Name] グループ名を入力または編集 し ます。 [Interface] VIP グループ を作成する イ ン タ フ ェ ース を選択 し ます。 グループの編集中 は、 [Interface] ボ ッ ク スは灰色に表示 さ れます。 [Available VIPs] および [Members] 上または下向 き矢印を選択 し 、仮想 IP を [Available VIPs] お よび [Members] 間で移動 し ます。 [Members] には、 こ の仮想 IP グループ を構成する仮想 IP が表示 さ れます。 IP プールの設定 IP プールを使用する こ と で、 発信元ア ド レ ス を FortiGate ユニ ッ ト のイ ン タ フ ェ ースに割 り 当 て られる IP ア ド レ スではな く 、IP プールか ら ラ ンダムに選択 さ れる ア ド レ スに変換する、NAT ポ リ シーを追加で き ます。 ト ラ ン スペア レ ン ト モー ド では、 FortiGate の CLI か らのみ IP プー ルを利用で き ます。 IP プールでは、 単一の I P ア ド レ スまたは IP ア ド レ スの範囲が定義 さ れます。 IP プールに入 力 さ れる単一の IP ア ド レ スは、 1 つの IP ア ド レ スの範囲にな り ます。 た と えば、 IP プールに 1.1.1.1 を入力する と 、 こ の IP プールは実質的に 1.1.1.1 か ら 1.1.1.1 のア ド レ ス範囲 と な り ます。 FortiGate イ ン タ フ ェ ースの IP ア ド レ スが、1 つまたは複数の IP プール ア ド レ ス範囲 と 重複す る場合は、イ ン タ フ ェ ースは重複する IP プールに含まれるすべての IP ア ド レ スへの ARP 要求 に応答 し ます。 た と えば、 FortiGate ユニ ッ ト に、 以下の IP ア ド レ スのポー ト 1 お よびポー ト 2、 ・ ポー ト 1 の IP ア ド レ ス : 1.1.1.1/255.255.255.0 ( 範囲は 1.1.1.0 ~ 1.1.1.255) ・ ポー ト 2 の IP ア ド レ ス : 2.2.2.2/255.255.255.0 ( 範囲は 2.2.2.0 ~ 2.2.2.255) および以下の IP プールを と も な う 場合について説明 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 327 IP プールの設定 フ ァ イ アウ ォ ール仮想 IP ・ IP_pool_1: 1.1.1.10-1.1.1.20 ・ IP_pool_2: 2.2.2.10-2.2.2.20 ・ IP_pool_3: 2.2.2.30-2.2.2.40 ポー ト 1 イ ン タ フ ェ ース と IP_pool_1 の重複する IP 範囲は、 次のよ う にな り ます。 ・ (1.1.1.0 ~ 1.1.1.255) および (1.1.1.10 ~ 1.1.1.20) の重複部分は、 1.1.1.10 ~ 1.1.1.20 ポー ト 2 イ ン タ フ ェ ース と IP_pool_2 の重複する IP 範囲は、 次のよ う にな り ます。 ・ (2.2.2.0 ~ 2.2.2.255) および (2.2.2.10 ~ 2.2.2.20) の重複部分は、 2.2.2.10 ~ 2.2.2.20 ポー ト 3 イ ン タ フ ェ ース と IP_pool_3 の重複する IP 範囲は、 次のよ う にな り ます。 ・ (2.2.2.0 ~ 2.2.2.255) および (2.2.2.30 ~ 2.2.2.40) の重複部分は、 2.2.2.30 ~ 2.2.2.40 こ の結果、 以下のよ う にな り ます。 ・ ポー ト 1 イ ン タ フ ェ ースは、 1.1.1.10 ~ 1.1.1.20 への ARP 要求に応答 し ます。 ・ ポー ト 2 イ ン タ フ ェ ースは、 2.2.2.10 ~ 2.2.2.20 および 2.2.2.30 ~ 2.2.2.40 への ARP 要求に 応答 し ます。 フ ァ イ アウ ォ ール ポ リ シーか ら [NAT] を選択 し 、 [Dynamic IP Pool] を選択 し ます。 IP プール を選択 し 、 FortiGate ユニ ッ ト から 送信 さ れるパケ ッ ト の発信元ア ド レ ス を、 IP プールか ら ラ ン ダムに選択 さ れる ア ド レ スに変換 し ます。 IP プールとダイナミック NAT ダ イ ナ ミ ッ ク NAT に IP プールを使用 し ます。 た と えば、 ある組織が一定範囲のイ ン タ ーネ ッ ト ア ド レ ス を購入 し た ものの、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースではイ ン タ ーネ ッ ト 接続は 1 つのみ と い う 場合があ り ます。 こ う し た場合、 組織の イ ン タ ーネ ッ ト IP ア ド レ スの 1 つを、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースに割 り 当て ます。 FortiGate ユニ ッ ト が NAT/ ルー ト モー ド で機能 し てい る場合、 組 織のネ ッ ト ワー クか ら イ ン タ ーネ ッ ト への接続は、 すべて こ の IP ア ド レ スから 行われている よ う に見え ます。 すべてのイ ン タ ーネ ッ ト IP ア ド レ スか ら 接続を開始するには、 IP プールに こ のア ド レ ス範囲 を追加 し ます。 次いで、 外部 イ ン タ フ ェ ースのすべてのポ リ シーに、 宛先 と し て [Dynamic IP Pool] を選択 し ます。 各接続に対 し 、 フ ァ イ アウ ォ ールは IP プールか ら動的に IP ア ド レ ス を 選択 し 、 接続の送信元ア ド レ ス と し ます。 こ れによ り 、 イ ン タ ーネ ッ ト への接続は、 IP プール に含まれるいずれかの IP ア ド レ スか ら開始 さ れてい る よ う に見え ます。 固定ポートを用いるファイアウォール ポリシーの IP プール 接続に使用 さ れるパケ ッ ト の送信元ポー ト が NAT ポ リ シーによ り 変換 さ れる場合、ネ ッ ト ワー ク 設定が正 し く 機能 し ない場合があ り ます。 NAT では、 特定のサー ビ スの接続を追跡する た め、 送信元ポー ト が変換 さ れます。 CLI か ら 、 NAT ポ リ シーの fixedport を有効に設定 し 、 発信元ポー ト の変換を回避で き ます。 ただ し 、 fixedport を選択する と 、 こ のサービ スでは、 フ ァ イ アウ ォ ールによ り サポー ト さ れる接続は 1 つのみにな る こ と を意味 し ます。複数の接続 をサポー ト 可能にするには、 IP プールを追加 し た後、 ポ リ シー内で [Dynamic IP pool] を選択 し ます。 フ ァ イ アウ ォ ールは IP ア ド レ ス を IP プールか ら ラ ン ダムに選択 し て、 各接続に割 り 当 てます。 こ の場合、 フ ァ イ アウ ォ ールでサポー ト 可能な接続の数は、 IP プール内の IP ア ド レ スの数によ っ て制限 さ れます。 発信元 IP アドレスおよび IP プール アドレスの一致 発信元ア ド レ スが IP プール ア ド レ スに変換 さ れる と き、 以下に示 さ れる 3 つのケースのいず れかに該当する場合があ り ます。 シナリオ 1: 発信元アドレスの数および IP プール アドレスの数が同じ場合 こ のケース では、 FortiGate ユニ ッ ト は必ず IP ア ド レ ス同士を一対一で一致 さ せます。 328 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP IP プール リ ス ト の表示 こ のよ う な場合に、 fixedport を有効にする と 、 FortiGate ユニ ッ ト は最初の発信元ポー ト を 保持 し ます。 同 じ IP プールが複数の フ ァ イ アウ ォ ール ポ リ シーで使用 さ れる場合、 または同 じ IP ア ド レ スが複数の IP プールで使用 さ れる場合は、 こ れは競合の原因 と な り ます。 最初のアドレス 変換後 192.168.1.1 172.16.30.1 192.168.1.2 172.16.30.2 192.168.1.254 172.16.30.254 シナリオ 2: 発信元アドレスの数および IP プール アドレスの数より多い 場合 こ のケース では、 FortiGate ユニ ッ ト は ラ ッ プ ア ラ ウン ド を使用 し IP ア ド レ ス を変換 し ます。 こ のよ う な場合に fixedport を有効にする と 、FortiGate ユニ ッ ト は最初の発信元ポー ト を保 持 し ます。 し か し 、 複数のユーザが異な る セ ッ シ ョ ン で同 じ TCP の 5 つの タ プルを使用する 場合には、 競合が発生する可能性 も あ り ます。 最初のアドレス 変換後 192.168.1.1 172.16.30.10 192.168.1.2 172.16.30.11 192.168.1.10 172.16.30.19 192.168.1.11 172.16.30.10 192.168.1.12 172.16.30.11 192.168.1.13 172.16.30.12 シナリオ 3: 発信元アドレスの数および IP プール アドレスの数より少な い場合 こ のケース では、 IP プール ア ド レ スの一部が使用 さ れ、 残 り のア ド レ スは使用 さ れません。 最初のアドレス 変換後 192.168.1.1 172.16.30.10 192.168.1.2 172.16.30.11 192.168.1.3 172.16.30.12 以上の発信元ア ド レ スのみ 172.16.30.13、 他のア ド レ スは使 用 さ れない IP プール リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効に設定 さ れる場合、 IP プールはバーチ ャ ル ド メ イ ン ご と に個別に作成 さ れます。 IP プールにア ク セスする には、 メ イ ン メ ニ ュ ーの リ ス ト か らバーチ ャル ド メ イ ン を選択 し ます。 IP プール リ ス ト を表示するには、 [Firewall]、 [Virtual IP]、 [IP Pool] の順に選択 し ます。 [IP Pool] ページ こ のページには、 作成済みの IP プールが一覧表示 さ れます。 こ のページ では、 IP プールの編集、 削除、 または新規作成が可能です。 [Create New] IP プールを追加する場合に選択 し ます。[Create New] を選択する と 、[New Dynamic IP Pool] ページの画面に自動的に移動 し ます。 [Name] IP プールの名前。 フ ァ イ アウ ォ ール ポ リ シーで こ の名前を選択 し ます。 [Start IP] 開始 IP を入力 し 、 IP プール ア ド レ ス範囲の最初を指定 し ます。 [End IP] 最終 IP を入力 し 、 IP プール ア ド レ ス範囲の最後を指定 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 329 IP プールの設定 フ ァ イ アウ ォ ール仮想 IP [Delete] リ ス ト か ら こ のエ ン ト リ を削除する場合に選択 し ます。 [Delete] ア イ コ ンは、 IP プー ルが フ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場合にのみ表示 さ れます。 [Edit] IP プールを編集する場合に選択 し ます。 [Name]、 [Interface]、 [IP Range/Subnet] を変 更で き ます。 IP プールの設定 単一の IP ア ド レ スは、 通常どお り 入力 し ます。 た と えば、 192.168.110.100 は有効な IP プール ア ド レ スです。 IP ア ド レ ス範囲が必要な場合は、 以下のいずれかの形式を使用 し ます。 ・ x.x.x.x-x.x.x.x、 た と えば 192.168.110.100-192.168.110.120 ・ x.x.x.[x-x]、 た と えば 192.168.110.[100-120] IP プールを追加す るには、 [Firewall]、 [Virtual IP]、 [IP Pool] の順に選択 し ます。 [New Dynamic IP Pool] ページ こ のページ では、 IP プールの IP ア ド レ ス範囲およ びサブ ネ ッ ト を設定で き ます。 ま た、 IP プールの単一 IP ア ド レ ス も 入力で き ます。 [Name] IP プールの名前を入力 し ます。 [IP Range/Subnet] IP プールの IP ア ド レ ス範囲を入力 し ます。 IP 範囲は、 ア ド レ ス範囲の最初 と 最後を 定義 し ます。 範囲の最初は範囲の最後よ り も 小 さ く なければな り ません。 IP 範囲の 最初 と 最後は、 IP プールを追加す る イ ン タ フ ェ ースの IP ア ド レ ス と 同 じ サブ ネ ッ ト 上にあ る必要あ り ません。 ダブル NAT: IP プールと仮想 IP の組み合わせ フ ァ イ アウ ォ ール ポ リ シー を作成する と き、 IP プールおよび仮想 IP の双方を、 二重の IP また はポー ト あるいは双方の変換に使用で き ます。 こ こ では、 以下のよ う なネ ッ ト ワー ク ト ポロ ジ を例に説明 し ます。 ・ 10.1.1.0/24 サブネ ッ ト 内のユーザが、 ポー ト 8080 を使用 し サーバ 172.16.1.1 にア ク セス。 ・ サーバの リ スニ ン グ ポー ト は 80。 ・ 必ず固定ポー ト を使用。 図 21: ダブル NAT 10.1.1.0/24 Router without NAT Internal 10.1.3.0/16 Internet 10.1.2.0/24 Router without NAT 172.16.1.1 172.16.1.3 330 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP ダブル NAT: IP プール と 仮想 IP の組み合わせ ロー カル ユーザがサーバにア ク セスで き る よ う にするには、 固定ポー ト および IP プールを使 用 し 、 仮想 IP に よ り 宛先ポー ト を 8080 か ら 80 に変換する こ と で、 複数のユーザ接続を可能 にで き ます。 IP プールを作成するには 1 [Firewall]、 [Virtual IP]、 [IP Pool] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の情報を入力 し 、 [OK] を選択 し ます。 [Name] pool-1 [IP Range/Subnet] 10.1.3.1-10.1.3.254 ポート変換のみの仮想 IP を作成するには 1 [Firewall]、 [Virtual IP]、 [Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の情報を入力 し 、 [OK] を選択 し ます。 [Name] server-1 [External Interface] Internal [Type] Static NAT [External IP Address/Range] 172.16.1.1 注 : こ のア ド レ スはサーバ ア ド レ ス と 同 じ にな り ます。 [Mapped IP Address/Range] 172.16.1.1. [Port Forwarding] Enable [Protocol] TCP [External Service Port] 8080 [Map to Port] 80 ファイアウォール ポリシーを作成するには 内部か ら DMZ への フ ァ イ アウ ォ ール ポ リ シーを追加 し ます。 こ のポ リ シーは、 仮想 IP を使用 し て宛先ポー ト 番号を変換 し 、 IP プールを使用 し て発信元ア ド レ ス を変換 し ます。 1 [Firewall]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 [Source Interface/Zone] internal [Source Address] 10.1.1.0/24 [Destination Interface/Zone] dmz 4 [Destination Address] server-1 [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] 選択 [Dynamic IP Pool] 選択、 およ び pool-1 IP プールを選択。 [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 331 ト ラ ン スペア レ ン ト モー ド での NAT フ ァ イ アウ ォ ール ポ リ シーの追加 フ ァ イ アウ ォ ール仮想 IP トランスペアレント モードでの NAT ファイアウォール ポリシーの追加 NAT/ ルー ト モー ド での機能 と 同様に、 FortiGate ユニ ッ ト を ト ラ ン スペア レ ン ト モー ド で使 用する と き、 フ ァ イ アウ ォ ール ポ リ シー を追加 し 、 以下を行 う こ と がで き ます。 ・ NAT を有効に設定 し 、パケ ッ ト が FortiGate ユニ ッ ト を通過する と きパケ ッ ト の発信元ア ド レ ス を変換 し ます。 ・ 仮想 IP を追加 し 、 パケ ッ ト が FortiGate ユニ ッ ト を通過する と きパケ ッ ト の宛先ア ド レ ス を変換 し ます。 ・ 発信元ア ド レ スの変換に必要な IP プールを追加 し ます。 NAT フ ァ イ アウ ォ ール ポ リ シーが NAT/ ルー ト モー ド で機能するには、 異な る ネ ッ ト ワー ク 上に 2 つの イ ン タ フ ェ ースがあ り 、2 つの異な るサブ ネ ッ ト ア ド レ ス を と も な う 必要があ り ま す。 こ れに よ り 、 フ ァ イ アウ ォ ール ポ リ シーを作成する こ と で、 パケ ッ ト が FortiGate ユニ ッ ト で一方の イ ン タ フ ェ ースか ら も う 一方のイ ン タ フ ェ ースに リ レー さ れる と き、パケ ッ ト の発 信元または宛先ア ド レ ス を変換で き ます。 ト ラ ン スペア レ ン ト モー ド で機能する FortiGate ユニ ッ ト にあ る IP ア ド レ スは、通常は 1 つの 管理 IP のみです。 NAT を ト ラ ン スペア レ ン ト モー ド でサポー ト する ために、 第 2 の管理 IP を 追加で き ます。 こ れ ら 2 つの管理 IP は、 異な るサブ ネ ッ ト 上にある こ と が必要です。 2 つの管 理 IP ア ド レ ス を追加する と き、FortiGate ユニ ッ ト のすべてのネ ッ ト ワー ク イ ン タ フ ェ ースは、 こ れ らの IP ア ド レ スへの接続に応答 し ます。 図 22 に示 さ れる例では、 内部ネ ッ ト ワー ク 上 ( サブネ ッ ト ア ド レ ス 192.168.1.0/24) のすべて の PC は、 デ フ ォル ト のルー ト と し て 192.168.1.99 に設定 さ れています。 FortiGate ユニ ッ ト の 管理 IP の 1 つは、 192.168.1.99 に設定 さ れています。 こ の設定では、 一般的な NAT モー ド の フ ァ イ アウ ォ ールが構成 さ れます。 内部ネ ッ ト ワー ク上のいずれかの PC が イ ン タ ーネ ッ ト に 接続 し よ う と す る と 、 イ ン タ ー ネ ッ ト 宛のパ ケ ッ ト が そ の PC のデ フ ォ ル ト のル ー ト で FortiGate ユニ ッ ト の内部 イ ン タ フ ェ ースに送信 さ れます。 同様に、 DMZ ネ ッ ト ワー ク ( サブネ ッ ト ア ド レ ス 10.1.1.0/24) では、 すべての PC にデ フ ォ ル ト のルー ト 10.1.1.99 があ り ます。 こ の例では、こ れ ら のパケ ッ ト を内部イ ン タ フ ェ ースか ら wan1 イ ン タ フ ェ ース を経て イ ン タ ー ネ ッ ト へ リ レーするための、内部か ら wan1 への フ ァ イ アウ ォ ール ポ リ シーの追加について説 明 し ます。 wan1 イ ン タ フ ェ ースには専用の IP ア ド レ スがないので、 送信パケ ッ ト の発信元ア ド レ ス を wan1 イ ン タ フ ェ ースに接続 さ れるネ ッ ト ワー ク上の IP ア ド レ スに変換する wan1 イ ン タ フ ェ ースに、 IP プールを追加する必要があ り ます。 さ ら に こ の例では、 単一 IP ア ド レ ス 10.1.1.201 を と も な う IP プールの追加について説明 し ま す。 内部ネ ッ ト ワー ク 上の PC に よ っ て送信 さ れ、 内部か ら wan1 へのポ リ シーに よ っ て許可 さ れるすべてのパケ ッ ト は、それ らの発信元ア ド レ スが 10.1.1.201 に変換 さ れた状態で wan1 イ ン タ フ ェ ースか ら伝送 さ れます。 こ の時点で、 こ れ らのパケ ッ ト は、 イ ン タ ーネ ッ ト を経由 し 宛先ま で伝送 さ れる こ と が可能にな り ます。 応答パケ ッ ト は、 10.1.1.201 の宛先ア ド レ ス を持 つので、 wan1 に返 り ます。 内部か ら wan1 への NAT ポ リ シーは、 こ れ らの応答パケ ッ ト の宛 先ア ド レ ス を、 発信元 PC の IP ア ド レ スに変換 し 、 応答パケ ッ ト を内部イ ン タ フ ェ ースか ら 発 信元 PC に伝送 し ます。 以下の手順を使用 し 、 ト ラ ン スペア レ ン ト モー ド で機能する NAT を設定 し ます。 332 ・ 2 つの管理 IP を追加する ・ wan1 イ ン タ フ ェ ースに IP プールを追加す る ・ 内部か ら wan1 への フ ァ イ アウ ォ ール ポ リ シーを追加する FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール仮想 IP ト ラ ン スペア レ ン ト モー ド での NAT フ ァ イ アウ ォ ール ポ リ シーの追加 図 22: トランスペアレント モードでの NAT 設定例 Internet Router 10.1.1.0/24 Transparent mode Management IPs: 10.1.1.99 192.168.1.99 WAN 1 Internal network 192.168.1.0/24 Internal DMZ DMZ network 10.1.1.0/24 トランスペアレント モードで発信元アドレス変換の NAT ポリシーを追加するには 1 以下の コ マ ン ド を入力 し 、 2 つの管理 IP を追加 し ます。 2 番目の管理 IP は、内部ネットワークのデフォルトのゲートウェイです。 config system settings set manageip 10.1.1.99/24 192.168.1.99/24 end 2 以下の コ マ ン ド を入力 し て、 IP プールを wan1 イ ン タ フ ェ ースに追加 し ます。 config firewall ippool edit nat-out set interface "wan1" set startip 10.1.1.201 set endip 10.1.1.201 end 3 以下の コ マ ン ド を入力 し 、 NAT が有効に設定 さ れ IP プールを含む、 内部か ら wan1 への フ ァ イ アウ ォ ール ポ リ シー を追加 し ます。 config firewall policy edit 1 set srcintf "internal" set dstintf "wan1" set scraddr "all" set dstaddr "all" set action accept set schedule "always" set service "ANY" set nat enable set ippool enable set poolname nat-out end FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 333 ト ラ ン スペア レ ン ト モー ド での NAT フ ァ イ アウ ォ ール ポ リ シーの追加 フ ァ イ アウ ォ ール仮想 IP 注記 : ウ ェ ブ ベース マネージ ャ から フ ァ イ アウ ォ ール ポ リ シーを追加 し 、 次に CLI から NAT を有効に設定 し て IP プールを追加で き ます。 334 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ト ラ フ ィ ッ ク シ ェ ーピ ング 保証帯域幅 と 最大帯域幅 トラフィック シェーピング ト ラ フ ィ ッ ク シ ェ ーピ ングを フ ァ イ アウ ォ ール ポ リ シーに組み込む こ と によ り 、 ポ リ シーに 割 り 当て ら れる帯域幅を制御 し 、ポ リ シーに よ っ て処理 さ れる ト ラ フ ィ ッ ク のプ ラ イ オ リ テ ィ を設定で き ます。 ト ラ フ ィ ッ ク シ ェ ーピ ングによ り 、 大量のデー タ が FortiGate ユニ ッ ト を通 過する と き、 どのポ リ シーが最 も高いプ ラ イ オ リ テ ィ を も つか設定で き ます。 た と えば、 社内 Web サーバのポ リ シーを、大部分の従業員が使用する コ ン ピ ュ ー タ のポ リ シーよ り も高いプ ラ イ オ リ テ ィ に指定で き ます。 また、 通常よ り 高速な イ ン タ ーネ ッ ト ア ク セス を必要 と する従業 員には、 特別によ り 広い帯域幅を設定 し た送信ポ リ シー を許可する こ と も で き ます。 ト ラ フ ィ ッ ク シ ェ ーピ ングは、 [Action] を ACCEPT、 IPSEC、 または SSL-VPN に設定 し た フ ァ イ アウ ォ ール ポ リ シーで利用で き ます。 また、 H.323、 TCP、 UDP、 ICMP、 お よび ESP な ど、 サポー ト さ れるすべてのサービ スで使用で き ます。 保証帯域幅 と 最大帯域幅をキ ュ ー イ ング と 組み合わせる こ と で、 ト ラ フ ィ ッ ク に対する最小帯 域幅お よび最大帯域幅を保証で き ます。 ト ラ フ ィ ッ ク シ ェ ー ピ ン グ を使用 し て も 、 利用可能な帯域幅の総量を増やす こ と はで き ませ んが、帯域を大量に消費する ト ラ フ ィ ッ クや帯域幅の影響を受けやすい ト ラ フ ィ ッ クの品質を 向上 さ せる こ と がで き ます。 フ ァ イ アウ ォ ール ポ リ シーの詳細については、 265 ページの 「 フ ァ イ アウ ォ ール ポ リ シー」 を 参照 し て く だ さ い。 ト ラ フ ィ ッ ク シ ェ ー ピ ン グの詳細については、 『FortiGate ト ラ フ ィ ッ ク シ ェ ーピ ング テ ク ニ カル ノ ー ト 』 も 参考に し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 保証帯域幅 と 最大帯域幅 ・ ト ラ フ ィ ッ ク プラ イオ リ テ ィ ・ ト ラ フ ィ ッ ク シ ェ ーピ ングについて ・ 共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定 ・ "IP ご と の ト ラ フ ィ ッ ク シ ェ ーピ ング " の設定 保証帯域幅と最大帯域幅 ト ラ フ ィ ッ ク シ ェ ーパー を追加する と き、 [Guaranteed Bandwidth] フ ィ ール ド に値を入力する と 、選択 し たネ ッ ト ワー ク ト ラ フ ィ ッ ク に使用可能な帯域幅の量 ( キロバ イ ト / 秒単位 ) を保 証 し ます。 た と えば、 電子商取引 ト ラ フ ィ ッ ク に対 し て、 よ り 高い保証帯域幅を与え る こ と が で き ます。 ト ラ フ ィ ッ ク シ ェ ーパー を追加する と き、[Maximum Bandwidth] フ ィ ール ド に値を入力する と 、 選択 し たネ ッ ト ワー ク ト ラ フ ィ ッ ク に使用可能な帯域幅の量 ( キロバ イ ト / 秒単位 ) を制限 し ます。 た と えば、 IM ト ラ フ ィ ッ ク で利用 さ れる帯域幅を制限 し て、 帯域幅の一部を よ り 重要 な電子商取引 ト ラ フ ィ ッ ク のために確保で き ます。 ト ラ フ ィ ッ ク に使用可能な帯域幅を ト ラ フ ィ ッ ク シ ェ ーパーで設定す る と 、 制御セ ッ シ ョ ン と デー タ セ ッ シ ョ ンの両方で、 その帯域幅が双方向の ト ラ フ ィ ッ ク に使用 さ れます。 た と え ば、 保証帯域幅を内部および外部への FTP ポ リ シーに適用 し た状態で、 内部ネ ッ ト ワー ク 上 のユーザが FTP を使用 し て フ ァ イルを put お よび get する と 、 put および get の両セ ッ シ ョ ン は、 こ のポ リ シーが適用 さ れる ト ラ フ ィ ッ ク に割 り 当て られる帯域幅を共有 し ます。 保証帯域幅および最大帯域幅をポ リ シーに設定する と 、 こ の帯域幅は、 そのポ リ シーが適用 さ れるすべての ト ラ フ ィ ッ ク において利用可能な、 総帯域幅 と な り ます。 複数のユーザが、 同 じ ポ リ シーを用いる複数の通信セ ッ シ ョ ン を開始する と 、 こ れ ら すべての通信セ ッ シ ョ ンは、 そ のポ リ シーに割 り 当て ら れる帯域幅を必ず共有 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 335 ト ラ フ ィ ッ ク プラ イオ リ テ ィ ト ラ フ ィ ッ ク シ ェ ーピ ング ただ し 、 同 じ サービ ス を使用する場合の複数のイ ン ス タ ン スに、 それぞれ異な るポ リ シーが適 用 さ れる場合は、 利用可能な帯域幅は こ れ ら の複数のイ ン ス タ ン ス間で共有 さ れません。 た と えば、あるネ ッ ト ワー ク ア ド レ スに対 し て、FTP で使え る帯域幅を制限する ための 1 つの FTP ポ リ シー を作成す る と 同時に、 別のネ ッ ト ワー ク ア ド レ スに対 し て、 別の帯域幅が使え る よ う な別の FTP ポ リ シー を作成する こ と がで き ます。 注記 : 保証帯域幅 と 最大帯域幅の両方を 0 ( ゼロ ) に設定 し た場合、そのポ リ シーではどの ト ラ フ ィ ッ ク も許可 さ れません。 トラフィック プライオリティ ト ラ フ ィ ッ ク シ ェ ーパーを追加する と き、 ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ を設定する こ と によ り 、 異な る ト ラ フ ィ ッ クの種類ご と に相対的な プ ラ イ オ リ テ ィ を管理で き ます。 遅延に影響 さ れやすい重要な ト ラ フ ィ ッ ク には高いプ ラ イ オ リ テ ィ を割 り 当て、遅延の影響が少ない重要度 の低い ト ラ フ ィ ッ ク には低いプ ラ イ オ リ テ ィ を割 り 当て る必要があ り ます。 FortiGate ユニ ッ ト は、 プ ラ イ オ リ テ ィ の高い接続に帯域幅が必要ない場合にのみ、 プ ラ イ オ リ テ ィ の低い接続に帯域幅を提供 し ます。 た と えば、音声 ト ラ フ ィ ッ ク と 電子商取引 ト ラ フ ィ ッ ク に帯域幅を保証する ためのポ リ シー を 追加 し 、 次に音声 ト ラ フ ィ ッ ク を制御するポ リ シーには高いプ ラ イ オ リ テ ィ を、 電子商取引 ト ラ フ ィ ッ ク を制御するポ リ シーには中程度のプ ラ イ オ リ テ ィ を割 り 当て る こ と がで き ます。帯 域幅の使用が集中する時間帯に、音声 ト ラ フ ィ ッ ク と 電子商取引 ト ラ フ ィ ッ ク の両方で帯域幅 が競合 し た場合は、プ ラ イ オ リ テ ィ の高い音声 ト ラ フ ィ ッ クが電子商取引 ト ラ フ ィ ッ クの前に 送 り 出 さ れます。 トラフィック シェーピングについて ト ラ フ ィ ッ ク シ ェ ーピ ングは特定の フ ローを他の フ ローよ り 優先 さ せる ために、 ト ラ フ ィ ッ クのピー ク / バース ト を " 正規化 " し よ う と 試みます。 ただ し 、 バ ッ フ ァ 処理で き るデー タ の 量やその期間には物理的な制限があ り ます。 こ れ らの し き い値を超えた状態では、 フ レームお よびパケ ッ ト が破棄 さ れ、 セ ッ シ ョ ンに別の形で影響を与え る こ と にな り ます。 た と えば、 正 し く ない ト ラ フ ィ ッ ク シ ェ ー ピ ン グの設定はネ ッ ト ワー ク フ ロ ーの余計な品質低下を も た ら す こ と があ り ます。過剰なパケ ッ ト の廃棄がエ ラ ーか ら回復 し よ う と する上位レ イヤーの余分 なオーバーヘ ッ ド を引き起 こ すか ら です。 ト ラ フ ィ ッ ク シ ェ ー ピ ン グの基本的 な ア プ ロ ー チ は、 破棄 さ れ る と 不都合 な 特定の ト ラ フ ィ ッ ク フ ロ ーに、 他の ト ラ フ ィ ッ ク よ り も 高いプ ラ イ オ リ テ ィ を設定す る こ と です。 つま り 、プ ラ イ オ リ テ ィ の低い ト ラ フ ィ ッ ク のパ フ ォ ーマ ン スお よび安定性を ある程度犠牲に し て も、 プ ラ イ オ リ テ ィ の高い ト ラ フ ィ ッ クのパフ ォ ーマ ン スおよび安定性を高める、 または保証 する こ と を意味 し ます。 た と えば、 特定の フ ローに帯域幅の制限を適用する場合は、 こ れら のセ ッ シ ョ ンが制限によ り 悪影響を受ける可能性を認めた上で、 制限を適用する こ と にな り ます。 フ ァ イ アウ ォ ール ポ リ シーに設定する ト ラ フ ィ ッ ク シ ェ ーピ ングは、 いずれの方向に流れる ト ラ フ ィ ッ ク に対 し て も 適用 さ れます。 そのため、 あ る セ ッ シ ョ ンが、 内部のホス ト か ら 外部 のホ ス ト に向けて設定 さ れてお り 、 内部か ら 外部へのポ リ シーが適用 さ れる場合、 デー タ ス ト リ ームが外部か ら 内部への流れであ っ て も、 そのセ ッ シ ョ ン に対 し て ト ラ フ ィ ッ ク シ ェ ー ピ ン グが適用 さ れます。 こ のよ う な例には、 FTP の "get"、 または電子 メ ールを取得する ため に外部サーバに接続する SMTP サーバがあ り ます。 トラフィック シェーピングは、 通常のトラフィック レートの標準的な IP トラフィックに対して有効であり、 トラフィックが FortiGate ユニットの容量を超えている間は有効でないことに注意してください。 パケッ トは、 トラフィック シェーピングを適用される前に FortiGate ユニットにより受信される必要があるの で、 FortiGate ユニットが受信したすべてのトラフィックを処理できない場合は、 パケットが破棄され て、 遅延、 待ち時間が発生する可能性があります。 336 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ト ラ フ ィ ッ ク シ ェ ーピ ング 共有 ト ラ フ ィ ッ ク シ ェ ーパーの設定 ト ラ フ ィ ッ ク シ ェ ーピ ングが最 も効果的に機能する よ う に、 イーサネ ッ ト イ ン タ フ ェ ースの 統計情報にエ ラ ー、 コ リ ジ ョ ン、 バ ッ フ ァ オーバー ラ ン などがない こ と を確認 し て く だ さ い。 こ れ らのいずれかが発生する と 、 場合によ り FortiGate お よびス イ ッ チ設定の調整が必要にな り ます。 詳細については、 『FortiGate ト ラ フ ィ ッ ク シ ェ ーピ ング テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 共有トラフィック シェーパーの設定 共有 ト ラ フ ィ ッ ク シ ェ ーパー を設定する こ と で、 ト ラ フ ィ ッ ク シ ェ ーピ ングおよび逆方向の ト ラ フ ィ ッ ク シ ェ ーピ ング を フ ァ イ ウ ォ ール ポ リ シーに追加で き ます。 共有 ト ラ フ ィ ッ ク シ ェ ーパー リ ス ト を表示するには、 [Firewall]、 [Traffic Shaper]、 [Shared] の 順に選択 し ます。 共有 ト ラ フ ィ ッ ク シ ェ ーパーを追加するには、 [Create New] を選択 し ます。 FortiGate ユニットには、 デフォルトで定義済みの共有トラフィック シェーパーが含まれています。 こ れらのシェーパーをファイアウォール ポリシーにそのまま追加することもカスタマイズすることもでき、 あるいは新しい共有トラフィック シェーパーを追加することが可能です。 共有トラフィック シェーパーを作成または編集し、 それをファイアウォール ポリシーに追加するには、 [Firewall]、 [Policy]、 [Policy] の順に選択し、 新しいファイアウォール ポリシーを追加するかまたは ファイアウォール ポリシーを編集します。 さらに、 [Firewall]、 [Policy]、 [IPv6 Policy] の順に選択 し、 新しい Ipv6 ファイアウォール ポリシーを追加するか Ipv6 ファイアウォール ポリシーを編集するこ とで、 Ipv6 トラフィックにトラフィック シェーピングを適用できます。 フ ァ イ ア ウ ォ ール ポ リ シ ー で共有 ト ラ フ ィ ッ ク シ ェ ー ピ ン グ を 有効に す る には、 [Traffic Shaping] を選択 し 、共有 ト ラ フ ィ ッ ク シ ェ ーパーを選択 し ます。また、[Reverse Direction Traffic Shaping] を選択 し 共有 ト ラ フ ィ ッ ク シ ェ ーパー を選択す る こ と で、 返信 ト ラ フ ィ ッ ク に共有 ト ラ フ ィ ッ ク シ ェ ーピ ング を適用する こ と も で き ます。 注記 : ト ラ フ ィ ッ ク シ ェ ーピ ングが最も 効果的に機能する よ う に、 イーサネ ッ ト イ ン タ フ ェ ースの統計情報にエ ラ ー、 衝突、 バ ッ フ ァ オーバー ラ ン な どがない こ と を確認 し て く だ さ い。 こ れら のいずれかが発生する と 、 場合によ り FortiGate およびス イ ッ チ設定の調整 が 必 要 に な り ま す。 診 断 コ マ ン ド を 使 用 し て こ の 情 報 を 取 得 す る 方 法 に つ い て は、 『FortiGate ト ラ フ ィ ッ ク シ ェ ーピ ン グ テ ク ニ カル ノ ー ト 』 の ト ラ ブルシ ュ ーテ ィ ン グの 項を参照 し て く だ さ い。 [Shared] ページ こ のページ には、 作成済みの共有 ト ラ フ ィ ッ ク シ ェ ーパーが一覧表示 さ れます。 こ のページ では、 共有 ト ラ フ ィ ッ ク シ ェ ーパーの編集、 削除、 ま たは新規作成が可能です。 [Create New] 新 し い共有 ト ラ フ ィ ッ ク シ ェ ーパー を追加する場合に選択 し ます。 [Name] こ の ト ラ フ ィ ッ ク シ ェ ーパーの名前を入力 し ます。 [Delete] ト ラ フ ィ ッ ク シ ェ ーパー を削除す る と き選択 し ます。 [Edit] ト ラ フ ィ ッ ク シ ェ ーパー を編集す る と き選択 し ます。 [New Shared Traffic Shaper] ページ こ のページ では、 新 し い共有 ト ラ フ ィ ッ ク シ ェ ーパー を設定で き ます。 [Apply Shaping] [Per Policy] を 選択す る と 、 ト ラ フ ィ ッ ク シ ェ ーパー を 使用す る 1 つの フ ァ イ ア ウ ォ ール ポ リ シーに こ のシ ェ ーパー を適用 し ます。 [For all policies using this shaper] を選択する と 、 こ の ト ラ フ ィ ッ ク シ ェ ーパーを使用 する すべての フ ァ イ アウ ォ ール ポ リ シーに こ のシ ェ ーパーを適用 し ます。 [Shaping Methods] 共有 ト ラ フ ィ ッ ク シ ェ ーパーに よ り 使用 さ れ る ト ラ フ ィ ッ ク シ ェ ー ピ ン グの方法 を設定 し ます。 [Guaranteed Bandwidth] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 値を選択 し 、 プ ラ イ オ リ テ ィ の高いサービ スが使用可能な帯域幅を十分確保 し ます。 すべ て の フ ァ イ ア ウ ォ ール ポ リ シ ーの [Guaranteed Bandwidth] の総計が、 イ ン タ フ ェ ースの帯域幅容量を大幅に下回る よ う に し て く だ さ い。 337 "IP ご と の ト ラ フ ィ ッ ク シ ェ ーピ ング " の設定 [Maximum Bandwidth] ト ラ フ ィ ッ ク シ ェ ーピ ング 帯域幅 を必要 と す る よ り 重要なサー ビ スのために、 重要性の低いサー ビ スの帯域幅 利用を制限す る と き選択 し ます。 [Guaranteed Bandwidth] およ び [Maximum Bandwidth] の双方を、 ゼロ に設定 し ないで く だ さ い。 両方をゼロ に設定する と 、 こ の共有 ト ラ フ ィ ッ ク シ ェ ーパーが追加 さ れ る フ ァ イ アウ ォ ール ポ リ シーでは、 どの ト ラ フ ィ ッ ク も 許可 さ れな く な り ます。 [Traffic Priority] [High]、 [Medium]、 または [Low] を選択 し ます。 [Traffic Priority] を選択 し 、 FortiGate ユニ ッ ト で、 異な る ト ラ フ ィ ッ ク の種類ご と に相対的な プ ラ イ オ リ テ ィ を管理 し ま す。 た と えば、 電子商取引 ト ラ フ ィ ッ ク のサポー ト に必要なセキ ュ ア な Web サーバ への接続ポ リ シーには、 高い ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ を割 り 当て、 重要性の低 いサー ビ ス には低い プ ラ イ オ リ テ ィ を割 り 当て ます。 プ ラ イ オ リ テ ィ の高い接続に 帯域幅が必要ない場合のみ、 フ ァ イ ア ウ ォ ールに よ っ て プ ラ イ オ リ テ ィ の低い接続 に帯域幅が割 り 当て ら れます。 すべての フ ァ イ ア ウ ォ ール ポ リ シーで、 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を有効に し て く だ さ い。 ポ リ シーに ト ラ フ ィ ッ ク シ ェ ー ピ ン グのルールを適用 し ない場合、 そのポ リ シーは、 デ フ ォ ル ト で高いプ ラ イ オ リ テ ィ に設定 さ れます。 フ ァ イ アウ ォ ール ポ リ シー を、 3 つのプ ラ イ オ リ テ ィ キ ュ ーのすべてに分散 さ せて く だ さ い。 "IP ごとのトラフィック シェーピング " の設定 ポ リ シーまたはシ ェ ーパーご と ではな く IP ア ド レ ス ご と に適用 さ れる ト ラ フ ィ ッ ク シ ェ ーピ ング を設定 し ます。 共有 ト ラ フ ィ ッ ク シ ェ ーパー と 同様に、 フ ァ イ アウ ォ ール ポ リ シーで 祢 P ご と の ト ラ フ ィ ッ ク シ ェ ーパー・ を選択 し ます。 [Firewall]、 [Traffic Shaper]、 [Per-IP] の順に選択 し 、 祢 P ご と の ト ラ フ ィ ッ ク シ ェ ーパー・ を 追加 し ます。 "IP ご と の ト ラ フ ィ ッ ク シ ェ ー ピ ン グ " を フ ァ イ ア ウ ォ ール ポ リ シ ー に適用す る には、 [Firewall]、 [Policy]、 [Policy] の順に選択 し 、 フ ァ イ アウ ォ ール ポ リ シーを追加または編集 し ま す。 [Per-IP Traffic Shaping] を選択 し て "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " を選択 し ます。 [Per-IP] ページ こ のページには、 作成済みの "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " が一覧表示 さ れます。 こ のページ で は、 "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " の編集、 削除、 ま たは新規作成が可能です。 [Create New] 新しい "IP ごとのトラフィック シェーパー " を追加する場合に選択します。 [Name] こ の "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " の名前。 [Delete] "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " を削除する と き選択 し ます。 [Edit] "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " を編集する と き選択 し ます。 [Per-IP Traffic Shaper] 設定 こ こ では、 "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " を設定で き ます。 "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " は、 ト ラ フ ィ ッ ク シ ェ ーパーがそれぞれに IP ア ド レ ス を設定 さ れて、 "IP ご と の ト ラ フ ィ ッ ク シ ェ ー パー " が フ ァ イ アウ ォ ール ポ リ シーに適用 さ れます。 338 [Maximum Bandwidth] 最大限の帯域幅を Kbps 単位で入力 し ます。 こ の制限は、 IP ア ド レ ス ご と に適用 さ れます。 範囲は、 1 か ら 2 097 000 です。 帯域幅の制限を無効にす る には、 0 ( ゼロ ) を入力 し ます。 [IP List] [IP/Range] こ の "IP ご と の ト ラ フ ィ ッ ク シ ェ ーパー " が適用 さ れる IP ア ド レ ス また は IP ア ド レ ス範囲を追加 し ます。 [Delete] IP ア ド レ ス ま たはア ド レ ス範囲のエ ン ト リ を削除 し ます。 [Add] 単一の IP ア ド レ ス またはア ド レ ス範囲を追加 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 FortiGate の負荷分散機能の仕組み ファイアウォール負荷分散 FortiGate の負荷分散機能を使用 し て受信 ト ラ フ ィ ッ ク を イ ン タ ーセ プ ト す る こ と で、 利用可 能な複数のサーバ間でその ト ラ フ ィ ッ ク を分け る こ と がで き ます。 そ う する こ と で、 FortiGate ユニ ッ ト は複数のサーバがあたか も 一台のデバ イ ス ま たはサーバのよ う に応答 さ せる こ と が で き ます。 こ れはつま り 、 同時によ り 多 く の リ ク エ ス ト を処理で き る こ と を意味 し ます。 サーバーロー ド バ ラ ン スには他に も メ リ ッ ト があ り ます。 まず、 負荷が複数のサーバに分散 さ れる こ と で、 提供 さ れるサービ スの可用性を非常に高 く する こ と がで き ます。 一台のサーバが 故障 し て も 、 他のサーバによ り 処理 さ れます。 さ ら に、 拡張性を増す こ と がで き ます。 負荷が かな り 増えた と き に、 FortiGate ユニ ッ ト の背後に さ ら にサーバを追加 し て負荷の増加に対処 で き ます。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ FortiGate の負荷分散機能の仕組み ・ 仮想サーバの設定 ・ リ アル サーバの設定 ・ ヘルスチ ェ ッ ク モ ニ タ の設定 ・ サーバの監視 ・ 負荷分散の例 FortiGate の負荷分散機能の仕組み [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し 、 FortiGate ユニ ッ ト ( ロー ド バ ラ ンサ ) で仮想サーバの設定を お こ なえ ます。 次に、 [Firewall]、 [Load Balance]、 [Real Server] の順に 選択 し て、 > リ アル サーバを追加で き ます。 各 リ アル サーバは、 必ず仮想サーバ と 関連付け られなければな り ません。 1 台の仮想サーバに リ アル サーバを 8 台ま で関連付ける こ と がで き ます。 リ アル サーバの ト ポロ ジはエ ン ド ユーザには ト ラ ン スペア レ ン ト であ り 、ユーザは仮想サーバのシ ス テムがあた か も仮想サーバの IP ア ド レ ス と ポー ト 番号を も っ た一台のサーバであ るかのよ う にや り と り し ます。 リ アル サーバ間は高速 LAN で接続 さ れているか も し れない し 、 または地理的に分散 さ れている WAN によ っ て接続 さ れてい るかも し れません。 FortiGate ユニ ッ ト は リ ク エ ス ト を リ アル サーバ間にスケジ ュ ール し て、 単一の IP ア ド レ ス を持 っ てい る よ う に見え る仮想サー バでパ ラ レルなサービ ス を作 り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 339 仮想サーバの設定 フ ァ イ アウ ォ ール負荷分散 図 23: 仮想サーバおよびリアル サーバの構成 Internet/Intranet User (Virtual Server/Load Balancer) LAN/WAN Real Server Real Server Real Server 仮想サーバの設定 仮想サーバの外部 IP ア ド レ ス を設定 し 、 それを FortiGate イ ン タ フ ェ ースにバイ ン ド し て く だ さ い。 仮想サーバの外部 IP ア ド レ ス を FortiGate ユニ ッ ト のイ ン タ フ ェ ースに関連付ける と 、 ネ ッ ト ワー ク イ ン タ フ ェ ースはデ フ ォル ト で関連付け ら れた IP ア ド レ スへの ARP 要求に応答 し ます。 仮想サーバは RFC 1027 に定義 さ れた プ ロキシ ARP を使用 し 、 こ れに よ り FortiGate ユニ ッ ト は実際には異な る ネ ッ ト ワー ク に イ ン ス ト ール さ れている リ アル サーバへの ARP リ ク エ ス ト に応答する こ と がで き ます。 ARP 応答を無効にする方法については、 『FortiGate CLI リ フ ァ レ ン ス』 を参照 し て く だ さ い。 仮想サーバ リ ス ト を表示す る には、 [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し ます。 新 し い仮想サーバを作成する には、 [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し 、 [Create New] を選択 し ます。 [OK] を選択 し て、 新 し い仮想サーバを保存 し ます。 仮想サーバを作成する際の制限事項については、 317 ページの 「仮想 IP、 負荷分散仮想サーバ、 および負荷分散 リ アル サーバの制限」 を参照 し て く だ さ い。 [Virtual Service] ページ こ のページ には、 作成済みの仮想サーバが一覧表示 さ れます。 こ のページ では、 仮想サーバの編集、 削 除、 ま たは新規作成が可能です。 340 [Create New] 仮想サーバを追加す る と き選択 し ます。 詳細については、 340 ページの 「仮 想サーバの設定」 を参照 し て く だ さ い。 [Name] 仮想サーバの名前。 [Type] こ の仮想サーバに よ り 負荷分散 さ れる プ ロ ト コ ル。 [Comments] 仮想サーバの説明。 [Virtual Server IP] 仮想サーバの IP ア ド レ ス。 宛先ネ ッ ト ワー ク 上のア ド レ スにマ ッ プす る、 外 部 イ ン タ フ ェ ース上の IP ア ド レ ス です。 [Virtual server Port] 宛先ネ ッ ト ワー ク 上のポー ト 番号にマ ッ プする、 外部ポー ト 番号。 こ の宛先 ポー ト と のセ ッ シ ョ ンは、 こ の仮想サーバに よ り 負荷分散 さ れます。 [Load Balance Method] こ の仮想サーバの負荷分散方法。 [Health Check] こ の仮想サーバに選択 さ れる ヘルス チ ェ ッ ク モ ニ タ 。 詳細については、 343 ページの 「[Health Check]」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 仮想サーバの設定 [Persistence] こ の仮想サーバに適用 さ れるパーシ ス タ ン スの種類。 [Delete] リ ス ト か ら 仮想サーバ を削除 し ます。 [Delete] ア イ コ ンは、 仮想サーバが リ アル サーバに関連付け ら れていない と きのみ表示 さ れます。 [Edit] 仮想サーバを編集 し 、 仮想サーバ名な どの仮想サーバのオ プ シ ョ ン を変更 し ます。 [New Virtual Server] ページ こ のページ で、 仮想サーバを設定で き ます。 [Name] 仮想サーバの名前を入力 し ます。 こ の名前は、 FortiGate ユニ ッ ト のホ ス ト 名 ではあ り ません。 [Type] こ の仮想サーバに よ り 負荷分散 さ れる プ ロ ト コ ルを選択 し ます。 [IP]、 [TCP]、 ま たは [UDP] な どの一般的な プ ロ ト コ ルを選択する場合は、 仮想サーバに よ り すべての IP、 TCP、 または UDP セ ッ シ ョ ンが負荷分散 さ れます。 [HTTP]、 [HTTPS]、 ま た は [SSL] な ど の 特 定 の プ ロ ト コ ル を 選 択 す る 場 合 は、 [Persistence] お よ び [HTTP Multiplexing] な ど、 他のサーバ負荷分散機能を適 用で き ます。 ・ [HTTP] を選択す る と 、[Virtual Server Port] の設定 と 宛先ポー ト 番号が 一致するHTTPセ ッ シ ョ ンのみを負荷分散 し ます。負荷分散 さ れる セ ッ シ ョ ン の宛先ポー ト と 一致す る よ う にバーチ ャ ル サーバのポー ト を 変更 し ます ( 通常は HTTP セ ッ シ ョ ンはポー ト 80)。 [HTTP Multiplex] を選択す る こ と も で き ます。 ま た、 [Persistence] を [HTTP Cookie] に 設定 し 、 cooki ベースのパーシ ス タ ン ス を選択で き ます。 高度な HTTP Coookie パーシ ス タ ン ス オ プ シ ョ ンの詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の config firewall VIP コ マ ン ド の説明を参照 し て く だ さ い。 ・ [HTTPS] を選択す る と 、 [Virtual Server Port] の設定 と 宛先ポー ト 番号 が一致する HTTPS セ ッ シ ョ ンのみを負荷分散 し ます。 負荷分散 さ れ る セ ッ シ ョ ン の宛先 ポ ー ト と 一致す る よ う に バー チ ャ ル サ ーバの ポー ト を変更 し ます ( 通常は HTTPS セ ッ シ ョ ンはポー ト 443)。 [HTTP Multiplex] を 選択す る こ と も で き ま す。 ま た、 [Persistence] を [HTTP Cookie] に 設定 し 、 cooki ベ ー ス のパー シ ス タ ン ス を 選択 で き ま す。 [Persistence] を、 [SSL Session ID] に設定す る こ と も で き ます。 高度な HTTP Coookie パーシ ス タ ン ス オ プ シ ョ ン お よび SSL オプ シ ョ ンの詳 細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の config firewall VIP コ マ ン ド の説明を参照 し て く だ さ い。 HTTPS は、 SSL 高速化をサ ポー ト する FortiGate ユニ ッ ト で利用で き ます。 ・ [IP] を選択す る と 、 こ の仮想サーバを含んだ フ ァ イ アウ ォ ール ポ リ シーに よ り 許可 さ れる すべてのセ ッ シ ョ ン を負荷分散 し ます。 ・ [SSL] を選択する と 、 [Virtual Server Port] の設定 と 一致す る宛先ポー ト 番号を も っ た SSL セ ッ シ ョ ンのみを負荷分散 し ます。負荷分散 さ れ る セ ッ シ ョ ン の宛先ポ ー ト と 一致す る よ う に バー チ ャ ル サ ーバの ポ ー ト を 変更 し ま す。 高度 な SSL オ プ シ ョ ン の詳細 に つ い て は、 『FortiGate CLI リ フ ァ レ ン ス 』の config firewall VIP コ マ ン ド の 説明を参照 し て く だ さ い。 ・ [TCP] を選択する と 、 [Virtual Server Port] の設定 と 宛先ポー ト 番号を も っ た TCP セ ッ シ ョ ンのみを負荷分散 し ます。[Virtual Server Port] を 変更 し 、 負荷分散 さ れる セ ッ シ ョ ンの宛先ポー ト を一致 さ せます。 ・ [UDP] を選択す る と 、 [Virtual Server Port] の設定 と 宛先ポー ト 番号を も っ た UDP セ ッ シ ョ ンのみを負荷分散 し ます。[Virtual Server Port] を 変更 し 、 負荷分散 さ れる セ ッ シ ョ ンの宛先ポー ト を一致 さ せます。 [Interface] リ ス ト か ら 仮想サーバ外部 イ ン タ フ ェ ース を選択 し ます。 外部 イ ン タ フ ェ ー スは、 送信元ネ ッ ト ワ ー ク に接続 さ れ、 宛先ネ ッ ト ワー ク に転送 さ れ る パ ケ ッ ト を受信 し ます。 [Virtual Server IP] 仮想サーバの IP ア ド レ ス。 宛先ネ ッ ト ワー ク 上のア ド レ スにマ ッ プす る、 外 部 イ ン タ フ ェ ース上の IP ア ド レ ス です。 [Virtual server Port] 宛先ネ ッ ト ワー ク 上のポー ト 番号にマ ッ プする、 外部ポー ト 番号を入力 し ま す。 こ の宛先ポー ト を も つセ ッ シ ョ ンは、 こ の仮想サーバに よ り 負荷分散 さ れます。 [Load Balance Method] 負荷分散の方法。 以下の方法があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 341 仮想サーバの設定 フ ァ イ アウ ォ ール負荷分散 ・ [Static]。 ト ラ フ ィ ッ ク の負荷を すべてのサーバに均等に分散 し 、 追加 サーバは必要あ り ません。 こ の負荷分散方法は、 同 じ 発信元ア ド レ ス か ら のすべてのセ ッ シ ョ ンが必ず同 じ サーバに分散 さ れるので、 い く ら かの一貫性を提供 し ます。 ただ し 、 分散はス テー ト レ ス なので、 リ アル サーバを追加ま たは削除 ( あ る いは起動ま たは停止 ) し て分散が 変更 さ れる と 一貫性は失われます。別個の リ アル サーバは必要あ り ま せん。 ・ [Round Robin]。 要求を次のサーバに転送 し 、 応答時間ま たは接続数に かかわ ら ずすべてのサーバを同等に扱います。 機能停止 し たサーバま たは応答な し のサーバへは転送 し ません。 別個のサーバが必要です。 ・ [Weighted]。 よ り 大き い重み付けの値を持つサーバが、 よ り 大き いパー セ ン テージ で接続 さ れます。 サーバを追加す る と きは、 サーバの重み 付け を設定 し ます。 ・ [First Alive]。 必ず要求を稼働中の最初の リ アル サーバに転送 し ます。 こ の場合の 「最初」 と は、 仮想サーバを構成する際の リ アル サーバの 順番を指 し ます。 た と えば、 リ アル サーバ A、 B、 C を こ の順序で追 加 し た場合、 A が稼働 し ていれば ト ラ フ ィ ッ ク は必ず A に転送 さ れま す。 A が停止 し てい る場合、 ト ラ フ ィ ッ ク は B に、 B が停止 し てい る 場合は C に転送 さ れます。 A が再び起動す る と 、 ト ラ フ ィ ッ ク は A に 転送 さ れます。 リ アル サーバは、 それ ら が追加 さ れた順序で仮想サー バ構成に順位付け ら れ、最後に追加 さ れた リ アル サーバが最下位 と な り ます。 順位を変更する場合は、 順位に応 じ て リ アル サーバを削除 し も う 一度追加す る必要があ り ます。 ・ [Least RTT]。 ラ ウ ン ド ト リ ッ プ時間が最短のサーバに、 要求を転送 し ます。 ラ ウ ン ド ト リ ッ プ時間は、 Ping ヘルス チ ェ ッ ク モ ニ タ に よ り 決定 さ れ、 Ping ヘルス チ ェ ッ ク モ ニ タ を仮想サーバに加え ない場合 はデ フ ォ ル ト で 0 ( ゼロ ) に設定 さ れます。 ・ [Least Session]。 現在の接続数が最 も 少ないサーバに、 要求を転送 し ます。 こ の方法は、 負荷分散 さ れるサーバま たは他の機器が同等の性 能を も っ た環境の場合に、 最 も 効果的に機能 し ます。 [Persistence] パーシ ス タ ン ス を設定 し 、 ユーザが同 じ セ ッ シ ョ ンの中で要求を送信する た びに同一サーバに接続 さ れる こ と を保証 し ます。 パーシ ス タ ン ス を設定する と 、FortiGate ユニ ッ ト は [Load Balance Method] の 設定に し たがい、 新 し いセ ッ シ ョ ン を リ アル サーバに負荷分散 し ます。 セ ッ シ ョ ン に HTTP ク ッ キーか SSL セ ッ シ ョ ン ID があ る と きは、FortiGate ユニ ッ ト は同 じ HTTP ク ッ キーま たは SSL セ ッ シ ョ ン ID を も っ たそれ以後のすべ てのセ ッ シ ョ ン を同 じ サーバに送 り ます。 [Type] を [HTTP]、 [HTTPS]、 ま たは [SSL] に設定 し てい る場合に、 パーシ ス タ ン ス を設定で き ます。 ・ [None] を選択する と 、パーシ ス タ ン ス を使用 し ません。セ ッ シ ョ ンは、 [Load Balance Method] の設定のみに従い分散 さ れます。 [Load Balance Method] を [Static] ( デ フ ォ ル ト ) に設定する と 、 パーシ ス タ ン ス と 同 等の動作にな り ます。 詳 し く は、 [Load Balance Method] の説明を参照 し て く だ さ い。 ・ [HTTP Cookie] を選択す る と 、 同 じ HTTP セ ッ シ ョ ン Cookie を と も な う HTTP ま たは HTTPS の全セ ッ シ ョ ンは、 同 じ リ アル サーバに送信 さ れます。 [HTTP Cookie] は、 [Type] を [HTTP] ま たは [HTTPS] に設 定 し てい る と き使用で き ます。 高度な HTTP Coookie パーシ ス タ ン ス オ プ シ ョ ンの詳細については、『FortiGate CLI リ フ ァ レ ン ス 』の config firewall VIP コ マ ン ド の説明を参照 し て く だ さ い。 ・ [SSL Session ID] を選択すると、 同じ SSL セッション ID をともなう全セッ ションは、同じリアル サーバに送信されます。 [SSL Session ID] は、 [Type] を [HTTPS] または [SSL] に設定しているとき使用できます。 注記 : [Static] の負荷分散方法では、 リ アル サーバの台数が変わ ら ない限 り 、 パーシ ス タ ン スが有効です。 [HTTP Multiplexing] 342 FortiGate ユニ ッ ト を使用 し て、 FortiGate ユニ ッ ト と リ アル サーバ間の複数 の ク ラ イ ア ン ト か ら の コ ネ ク シ ョ ン を、 ご く 少数の接続に多重化す る と き使 用 し ます。 複数の コ ネ ク シ ョ ン を確立す る こ と に よ るサーバのオーバーヘ ッ ド を減 ら し てパ フ ォ ーマ ン ス を改善 し ます。 サーバは、 HTTP/1.1 に準拠する 必要があ り ます。 こ のオ プ シ ョ ンは、 [Type] を [HTTP] ま たは [HTTPS] に設定 し てい る場合の み表示 さ れます。 注記 :CLI か ら 、 その他の HTTP Multiplexing オ プ シ ョ ン を利用で き ます。 詳細 については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 リ アル サーバの設定 [Preserve Client IP] X-Forwarded-For HTTP ヘ ッ ダに、ク ラ イ ア ン ト の IP ア ド レ ス を保存する と き選択 し ます。 こ れは リ アル サーバで ク ラ イ ア ン ト のオ リ ジ ナルの IP ア ド レ ス を ロ グ メ ッ セージ に欲 し い と き に有用です。 こ のオ プ シ ョ ン を選択 し ない場合は、 ヘ ッ ダには FortiGate ユニ ッ ト の IP ア ド レ スが含まれます。 こ のオ プ シ ョ ンは、 [Type] を [HTTP] ま たは [HTTPS] に設定 し てい る と きの み表示 さ れ、 [HTTP Multiplexing] を選択 し てい る と きのみ利用で き ます。 [SSL Offloading] FortiGate ユニ ッ ト を使用 し SSL 機能を実行する こ と でサーバへの ク ラ イ ア ン ト SSL 接続を高速化す る と き選択 し 、次に接続のどのセグ メ ン ト で SSL オ フ ロー ド を適用するかを選択 し ます。 ・ [Client <-> FortiGate] ハー ド ウ ェ ア で高速化 さ れた SSL を、ク ラ イ ア ン ト と FortiGate ユニ ッ ト 間 の 部 分 の コ ネ ク シ ョ ン に の み に 適 用 す る と き 選 択 し ま す。 FortiGate ユニ ッ ト と サーバの間では、サーバは ク リ ア テキス ト の通信 を お こ な い ます。 こ れに よ り 最 も よ いパ フ ォ ーマ ン ス に な り ますが、 フ ェ イ ルオーバー パス に SSL ア ク セ ラ レ ー タ がな い フ ェ イ ルオ ー バー構成では使 う こ と はで き ません。 ・ [Client <-> FortiGate <-> Server] ハー ド ウ ェ ア で高速化 さ れた SSL を、ク ラ イ ア ン ト と FortiGate ユニ ッ ト 間のセグ メ ン ト 、 お よび FortiGate ユニ ッ ト と サーバ間のセグ メ ン ト の、 両接続部分に適用する と き選択 し ます。 ユニ ッ ト と サーバ間の セグ メ ン ト では、 暗号化 さ れた通信を使用 し ますが、 ハン ド シ ェ ー ク は短縮形にな り ます。 こ れに よ り 、 パ フ ォ ーマ ン スは他のオ プ シ ョ ン を下回 り ますが、 SSL ア ク セ ラ レ ーシ ョ ンのない コ ミ ュ ニケーシ ョ ン よ り は改善 さ れます。 フ ェ イ ルオーバー パスに SSL 高速化を も た な い フ ェ イルオーバー構成に使用で き ます。すでに SSL を使用する よ う にサーバを設定 し てい る場合は、サーバの設定を変更せずに SSL 高速 化を有効にで き ます。 SSL 3.0 お よび TLS 1.0 がサポー ト さ れます。 [SSL Offloading] は、 [Type] を [HTTPS] ま たは [SSL] に設定 し てい る場合の み、 お よび SSL 高速化をサポー ト するハー ド ウ ェ ア を も っ た FortiGate モデ ル上でのみ表示 さ れます。 注記 :CLI か ら 、 その他の SSL Offloading オ プ シ ョ ン を利用で き ます。 詳細に ついては、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [Certificate] [SSL Offloading] で使用する証明書を選択 し ます。 証明書の鍵のサ イ ズは、 必 ず 1024 ま たは 2048 ビ ッ ト と な り ます。 4096 ビ ッ ト の鍵は、 サポー ト さ れま せん。 こ のオ プ シ ョ ンは、[Type] を [HTTPS] ま たは [SSL] に設定 し てい る と きのみ 表示 さ れ、 [SSL Offloading] を選択 し てい る と きのみ利用で き ます。 [Health Check] どのヘル ス チ ェ ッ ク モ ニ タ 設定 を 使用 し サーバの接続状態 を 判断す る か を 選択 し ます。 ヘルスチ ェ ッ ク モ ニ タ の詳 し い設定方法については、 344 ページの 「ヘルス チ ェ ッ ク モ ニ タ の設定」 を参照 し て く だ さ い。 [Comments] こ の仮想サーバについての コ メ ン ト または注記。 リアル サーバの設定 リ アル サーバを設定 し 、 仮想サーバ と 関連付けます。 リ アル サーバ リ ス ト を表示するには、 [Firewall]、 [Load Balance]、 [Real Server] の順に選択 し ます。 リ アル サーバを作成する際の制限事項については、 317 ページの 「仮想 IP、 負荷分散仮想サー バ、 お よび負荷分散 リ アル サーバの制限」 を参照 し て く だ さ い。 [Real Server] ページ こ のページには、作成済みの リ アル サーバが一覧表示 さ れます。 こ のページ では、 リ アル サーバの編集、 削除、 ま たは新規作成が可能です。 [Create New] リ アル サーバ を 追加す る と き 選択 し ま す。 詳細につい ては、 343 ページの 「 リ アル サーバの設定」 を参照 し て く だ さ い。 [IP Address] 仮想サーバ名の横にあ る青色の矢印を選択する こ と に よ り 、 その仮想サーバ に関連付け られる リ アル サーバの IP ア ド レ ス を表示 し ます。 [Port] 外部ポー ト 番号のマ ッ プ先 と な る、 宛先ネ ッ ト ワー クのポー ト 番号。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 343 ヘルスチ ェ ッ ク モニ タ の設定 フ ァ イ アウ ォ ール負荷分散 [Weight] リ アル サーバの重み付けの値。 重み付けの値が大 き いほど、 サーバが処理す る コ ネ ク シ ョ ンのパーセ ン テージは大き く な り ます。 [Max Connections] リ ア ル サーバに 転送 さ れ る ア ク テ ィ ブ な コ ネ ク シ ョ ン 数の上限。 リ ア ル サーバの コ ネ ク シ ョ ンが最大数に達する と 、 コ ネ ク シ ョ ン数が指定 さ れた上 限よ り 下がる ま で、 以降のすべての コ ネ ク シ ョ ン要求は FortiGate ユニ ッ ト に よ り 別のサーバに自動的に切 り 替え られます。 [Delete] リ ス ト か ら リ アル サーバを削除 し ます。 [Edit] リ アル サーバを編集 し 、 仮想サーバの任意のオ プ シ ョ ン を変更 し ます。 [New Real Server] ページ こ のページ では、 リ アル サーバを設定 し 仮想サーバに関連付け る こ と がで き ます。 [Virtual Server] こ の リ アル サーバを関連付け る仮想サーバを選択 し ます。 [IP] リ アル サーバの IP ア ド レ ス を入力 し ます。 [Port] 外部ポー ト 番号の マ ッ プ 先 と な る 宛先ネ ッ ト ワー ク のポー ト 番号 を 入力 し ます。 [Weight] リ ア ル サーバの重み付けの値 を 入力 し ま す。 重み付けの値が大 き いほ ど、 サーバが処理す る コ ネ ク シ ョ ン のパー セ ン テ ー ジ は大 き く な り ま す。 1 ~ 255 の範囲を使用で き ます。 こ のオ プ シ ョ ンは、 関連付け ら れる仮想サーバ の負荷分散方法が [Weighted] の場合のみ利用で き ます。 [Maximum Connections] リ アル サーバに転送 さ れ る ア ク テ ィ ブ な コ ネ ク シ ョ ン数の上限 を 入力 し ま す。 1 ~ 99999 の範囲を使用で き ます。 リ アル サーバの コ ネ ク シ ョ ンが最大 数に達す る と 、 コ ネ ク シ ョ ン数が指定 さ れた上限よ り 下がる ま で、 以降のす べての コ ネ ク シ ョ ン要求は FortiGate ユニ ッ ト に よ り 別のサーバに自動的に 切 り 替え ら れます。 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの コ ネ ク シ ョ ン数は FortiGate ユニ ッ ト に よ り 制限 さ れません。 [Mode] リ アル サーバのモー ド を選択 し ます。 ヘルスチェックモニタの設定 ポー リ ン グに よ り 仮想サーバの コ ネ ク テ ィ ビ テ ィ のス テー タ ス を判断す る と き、 どのヘルス チ ェ ッ ク モニ タ 設定を使用するかを指定で き ます。 ヘルス チ ェ ッ ク モ ニ タ 設定では、 TCP、 HTTP、 または ICMP PING を指定で き ます。 ヘルス チ ェ ッ クは、 間隔 と し て示 さ れる秒数ご と に行われます。 制限時間内に応答が受信 さ れず、 ヘ ルス チ ェ ッ ク を再試行す る よ う に設定 し てい る場合は、 ヘルス チ ェ ッ ク を再度実行 し ます。 再試行 を設定 し てい ない場合は、 仮想サーバが応答不能の状態にあ る と 判断 さ れ、 その仮想 サーバが再び応答可能にな る ま で、そのサーバへ ト ラ ッ フ ィ ク を送 ら ない こ と で負荷分散を継 続 し ます。 ヘルスチ ェ ッ ク モ ニ タ 設定を作成するには、 [Firewall]、 [Load Balance]、 [Health Check Monitor] の順に選択 し 、 [Create New] を選択 し ます。 [Health Check Monitor] ページ こ のページには、作成済みのヘルス チ ェ ッ ク モ ニ タ が一覧表示 さ れます。こ のページ では、ヘルス チ ェ ッ ク モ ニ タ の編集、 削除、 ま たは新規作成が可能です。 [Create New] ヘルス チ ェ ッ ク モ ニ タ 設定を追加する と き選択 し ます。 [Name] ヘルス チ ェ ッ ク モ ニ タ 設定の名前。 名前は、 ヘルス チ ェ ッ ク モ ニ タ の種類ご と にグループ化 さ れます。 [Details] ヘルス チ ェ ッ ク モ ニ タ 設定の詳細。 ヘルス チ ェ ッ ク モ ニ タ の種類に応 じ て異な り 、 種類にかかわ ら ず共通の設定 と な る [Interval]、 [Timeout]、 または [Retry] は含 まれません。 こ の フ ィ ール ド は、 ヘルス チ ェ ッ ク モ ニ タ の種類が PING の場合は空白です。 [Delete] ヘルス チ ェ ッ ク モ ニ タ 設定を削除する と き選択 し ます。 こ のオ プ シ ョ ンは、 現在 ヘルス チ ェ ッ ク モ ニ タ 設定が仮想サーバ設定で使用 さ れていない場合に表示 さ れ ます。 [Edit] ヘルス チ ェ ッ ク モ ニ タ の設定を変更する と き選択 し ます。 [Add New Health Check Monitor] こ のページ では、 ヘルス チ ェ ッ ク モ ニ タ を設定で き ます。 344 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 サーバの監視 [Name] ヘルス チ ェ ッ ク モ ニ タ 設定の名前を入力 し ます。 [Type] ヘルス チ ェ ッ ク の実行に使用する プ ロ ト コ ルを選択 し ます。 ・ TCP ・ HTTP ・ PING [Port] ヘルス チ ェ ッ ク の実行に使用する ポー ト 番号を入力 し ます。 [Port] を 0 ( ゼロ ) に 設定する と 、 リ アル サーバで定義す るポー ト がヘルス チ ェ ッ ク モ ニ タ で使用 さ れ ます。 こ れに よ り 、 異な る リ アル サーバに、 共通のヘルス チ ェ ッ ク モ ニ タ を使用 で き ます。 こ のオ プ シ ョ ンは、 [Type] を [PING] に設定 し た と きは表示 さ れません。 [Interval] サーバご と のヘルス チ ェ ッ ク の間隔を、 秒数で入力 し ます。 [URL] HTTP ヘルス チ ェ ッ ク モ ニ タ では、FortiGate ユニ ッ ト が get 要求を送信 し HTTP サー バの状態を確認す る と き使用す る URL を追加 し ます。 こ の URL は、 リ アル HTTP サーバの実際の URL と 一致する必要があ り ます。 URL は、 オプ シ ョ ン です。 通常は、 URL には IP ア ド レ ス ま たは ド メ イ ン名は含まれません。 代わ り に、 / か ら 始ま り 、 リ アル サーバ上にあ る実際の Web ページのア ド レ スが続き ます。 た と えば、リ アル サーバの IP ア ド レ スが 1010.10.1 の場合は、/test_page.htm と い う URL に よ り 、 FortiGate ユニ ッ ト は HTTP の get 要求を http://10.10.10.1/test_page.htm に 送信 し ます。 こ のオ プ シ ョ ンは、 [Type] を [HTTP] に設定 し た場合のみ表示 さ れます。 [Matched Content] HTTP ヘ ル ス チ ェ ッ ク モ ニ タ で は、 [URL] オ プ シ ョ ン の 設 定 内 容 に 基 づ い て FortiGate ユニ ッ ト か ら 送信 さ れる get 要求に対 し て、 リ アル HTTP サーバか ら 応答 が返信 さ れますが、 その応答に含まれる フ レ ーズを加え てお き ます。 その [URL] か ら Web ページが返信 さ れる場合は、 [Matched Content] はその Web ページ に記載 さ れ る テ キ ス ト の一部 と 完全 に 一致す る 必要が あ り ま す。 [URL] お よ び [Matched Content] オ プ シ ョ ン を使用する こ と に よ り 、 get 要求に対 し て想定 さ れる Web ペー ジの内容 と と も に応答が返信 さ れれば、 その HTTP サーバが実際に正常に機能 し て い る と 判断で き ます。 [Matched Content] は、 URL を追加す る場合のみ必要 と な り ます。 た と えば、 [URL] オ プ シ ョ ン に よ り 定義 さ れる リ アル HTTP サーバ ページに server test page と い う フ レ ーズが記載 さ れていれば、[Matched Content] に server test page を設定で き ます。 URL get 要求に対す る応答 と し て、 FortiGate ユニ ッ ト がその Web ペ ー ジ を 受信 す る と 、 シ ス テ ムは そ の Web ペ ー ジ の コ ン テ ン ツ か ら [Matched Content] の フ レ ーズ を検索 し ます。 こ のオ プ シ ョ ンは、 [Type] を [HTTP] に設定 し た場合のみ表示 さ れます。 [Timeout] サーバ ヘルス チ ェ ッ ク 後に、 ヘルス チ ェ ッ クの失敗を表示する ために必要な経過 時間を、 秒単位で入力 し ます。 [Retry] ヘルス チ ェ ッ ク 失敗の と き、 サーバがア ク セ ス不能状態にあ る と 判断 さ れる ま で、 ヘルス チ ェ ッ ク を再試行す る回数 ( 再試行する場合 ) を入力 し ます。 サーバの監視 仮想サーバおよび リ アル サーバの状態を個別に監視 し 、 リ アル サーバの機能を起動または停 止で き ます。 [Monitor ] ページ こ のページには、現在 FortiGate ユニ ッ ト に よ り 監視 さ れてい る個別のサーバお よび リ アル サーバが一覧 表示 さ れます。 [Virtual Server] 既存の仮想サーバの IP ア ド レ ス。 [Real Servers] 既存の リ アル サーバの IP ア ド レ ス。 [Health Status] 各 リ アル サーバの状態を、 ヘルス チ ェ ッ ク の結果に基づいて表示 し ます。 緑の矢 印は、 サーバが稼働 し てい る こ と を示 し ます。 赤の矢印は、 サーバが機能停止 し て い る こ と を示 し ます。 [Monitor Events] 各 リ アル サーバの稼働時間およ び停止時間を表示 し ます。 [Active Sessions] 各 リ アル サーバのア ク テ ィ ブ なセ ッ シ ョ ン を表示 し ます。 [RTT] (ms) 各 リ アル サーバの ラ ウ ン ド ト リ ッ プ時間 を 表示 し ま す。 デ フ ォ ル ト では、 [RTT] は <1 です。こ の値は、 リ アル サーバで PING 監視が有効な場合のみ変更 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 345 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 [Bytes Processed] 各 リ アル サーバに よ り 処理 さ れた ト ラ フ ィ ッ ク を表示 し ます。 [Graceful Stop/Start] リ ア ル サ ー バ を 起 動 ま た は停 止 す る と き 選 択 し ま す。 サ ー バ を 停 止 す る と 、 FortiGate ユニ ッ ト は新 し いセ ッ シ ョ ン を許可せず、 ア ク テ ィ ブ な セ ッ シ ョ ンが終 了す るのを待ち ます。 負荷分散の例 こ の項には、 以下の例が含まれています。 ・ 3 台の リ アル Web サーバによ る 1 台の仮想 Web サーバの設定 ・ サーバ負荷分散ポー ト フ ォ ワーデ ィ ング仮想 IP の追加 ・ 重み付けによ る負荷分散の設定 ・ HTTP および HTTPS のパーシ ス タ ン スの設定 3 台のリアル Web サーバによる 1 台の仮想 Web サーバの設定 こ の例では、 イ ン タ ーネ ッ ト 上にある IP ア ド レ ス 192.168.37.4 の仮想 Web サーバを、FortiGate ユニ ッ ト の dmz1 イ ン タ フ ェ ースに接続 さ れている 3 台の リ アル Web サーバにマ ッ プ し ます。 リ アル サーバの IP ア ド レ スは、 それぞれ 10.10.123.42、 10.10.123.43、 および 10.10.123.44 です。 仮想サーバの負荷分散方法には、[First Alive] を設定 し ます。こ の構成には、HTTP ヘルス チ ェ ッ ク モ ニ タ が含まれてお り 、FortiGate ユニ ッ ト では こ のヘルス チ ェ ッ ク モ ニ タ に含まれている URL を get 要求のために使用 し 、 リ アル サーバの状態を監視 し ます。 イ ン タ ーネ ッ ト か ら IP ア ド レ ス 192.168.37.4 の仮想 Web サーバへの接続は、 FortiGate ユニ ッ ト に よ っ て変換 さ れ、 リ アル サーバに負荷分散 さ れます。 [First alive] の負荷分散方法によ り 、 すべてのセ ッ シ ョ ンは最初の リ アル サーバに転送 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ か らは こ の変換お よび負荷分散は意識 さ れず、 FortiGate ユニ ッ ト 背後の リ アル サーバ 3 台 の代わ り に、 IP ア ド レ ス 192.168.37.4 を持つ 1 台の仮想サーバが認識 さ れます 図 24: 仮想サーバの設定例 Source IP 10.10.10.2 Destination IP Range 10.10.10.[42-44] 3 1 HTTP load balancing 2 virtual server 3 1 2 Source IP 172.199.190.25 Destination IP 192.168.37.4 DMZ network Real HTTP Server IP 10.10.10.42 Real HTTP Server IP 10.10.10.43 Virtual Server IP 192.168.37.4 dmz1 IP 10.10.10.2 Client IP 172.199.190.25 Real HTTP Server IP 10.10.10.44 HTTP ヘルス チェック モニタを追加するには この例では、HTTP ヘルスチ ェ ッ ク モ ニ タ に [URL] と し て /index.html を、また [Matched Phrase] と し て Fortinet products を設定 し ます。 1 [Firewall]、 [Load Balance]、 [Health Check Monitor] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 HTTP ヘルス チェ ッ ク モ ニ タ を追加 し 、 こ のヘルス チェ ッ ク モ ニ タ によ り 、 http://<real_server_IP_address>/index.html に get 要求を送信 し 、 応答 さ れる Web ページか ら Fortinet products と い う フ レーズを検索 し ます。 346 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 負荷分散の例 4 [Name] HTTP_health_chk_1 [Type] HTTP [Port] 80 [URL] /index.html [Matched Content] Fortinet products [Interval] 10 秒 [Timeout] 2秒 [Retry] 3 [OK] を選択 し ます。 HTTP 仮想サーバを追加するには 1 [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 イ ン タ ーネ ッ ト 上のユーザが内部ネ ッ ト ワー ク上の リ アル サーバに接続で き る よ う にす る ための、 HTTP 仮想サーバを追加 し ます。 こ の例では、 FortiGate の wan1 イ ン タ フ ェ ース がイ ン タ ーネ ッ ト に接続 さ れます。 4 [Name] Load_Bal_VS1 [Type] HTTP [Interface] wan1 [Virtual Server IP] 192.168.37.4 Web サーバのパブ リ ッ ク IP ア ド レ ス。 仮想サーバの IP ア ド レ スは、通常は Web サーバの ISP か ら 取得 さ れる ス タ テ ィ ッ ク IP ア ド レ ス です。 こ のア ド レ スは、 別のホス ト に よ っ て 使用 さ れない固有の IP ア ド レ ス で なければな ら ず、 仮想 IP が使用す る外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 仮想 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定で き ます。 仮想 IP を追加する と 、 外部 イ ン タ フ ェ ースは仮想 IP ア ド レ スへの ARP 要求に応答 し ます。 [Virtual server Port] 80 [Load Balance Method] First Alive [Persistence] HTTP cookie [HTTP Multiplexing] 選択 し ます。 FortiGate ユニ ッ ト は、FortiGate ユニ ッ ト お よび リ アル HTTP サーバ間 での複数の ク ラ イ ア ン ト 接続 を、 少数の接続に多重化 し ます。 こ れに よ り 、 複数接続の確立に と も な う サーバ オーバーヘ ッ ド を削減する こ と で、 パ フ ォ ーマ ン ス を強化で き ます。 [Preserve Client IP] 選択 し ます。 FortiGate ユニ ッ ト は、 ク ラ イ ア ン ト の IP ア ド レ ス を X-ForwardedFor HTTP ヘ ッ ダに保存 し ます。 [Health Check] HTTP_health_chk_1 ヘルス チ ェ ッ ク モ ニ タ を、 [Selected] リ ス ト に移動 し ます。 [OK] を選択 し ます。 リアル サーバを追加し仮想サーバに関連付けるには 1 [Firewall]、 [Load Balance]、 [Real Server] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 Configure three real servers that include the virtual server Load_Bal_VS1. こ れ ら の リ アル サー バは、それぞれ内部ネ ッ ト ワー ク 上の リ アル サーバの IP ア ド レ ス を と も な う 必要があ り ま す。 最初のリアル サーバを設定します。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 347 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.42 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバへの 接続数を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必 要があ る場合が考え ら れます。 こ の例では、 [Maximum Connections] は 最初に 0 ( ゼロ ) に設定 さ れますが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら 設定値を調整で き ます。 2 番目のリアル サーバを設定します。 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.43 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバの接 続数 を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必要 があ る場合が考え ら れます。 In this example, the[Maximum Connections] は最初に 0 ( ゼロ ) に設定 さ れますが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら設定値を調整で き ます。 3 番目のリアル サーバを設定します。 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.44 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバの接 続数 を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必要 があ る場合が考え ら れます。 こ の例では、 [Maximum Connections] は最 初に 0 ( ゼ ロ ) に設定 さ れま すが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら 設定値を調整で き ます。 仮想サーバをファイアウォール ポリシーに追加するには wan1 か ら dmz1 への、 仮想サーバを使用する フ ァ イ アウ ォ ール ポ リ シーを追加す る こ と によ り 、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スに接続 し よ う と し た と き、 パケ ッ ト が FortiGate ユニ ッ ト の wan1 イ ン タ フ ェ ースか ら dmz1 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 仮想サーバの IP ア ド レ スか ら リ ア ル サーバの IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 348 [Source Interface/Zone] wan1 [Source Address] All ( またはよ り 具体的な ア ド レ ス ) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 負荷分散の例 [Destination Interface/Zone] dmz1 [Destination Address] Load_Bal_VS1 [Schedule] always [Service] HTTP [Action] ACCEPT [NAT] 選択 し ます。 [Log Allowed Traffic] 仮想サーバの ト ラ フ ィ ッ ク を ロ グ記録する と き選択 し ます。 4 必要に応 じ て、 他の フ ァ イ アウ ォ ール オ プ シ ョ ン を設定 し ます。 5 [OK] を選択 し ます。 サーバ負荷分散ポート フォワーディング仮想 IP の追加 こ の例は、 346 ページの 「3 台の リ アル Web サーバによ る 1 台の仮想 Web サーバの設定」 に示 さ れる例 と 同 じ です。 ただ し 、 リ アル サーバご と に異な るポー ト 番号で HTTP 接続を許可す る点が異な り ます。 最初の リ アル サーバはポー ト 8080、 2 番目はポー ト 8081、 3 番目はポー ト 8082 で、 それぞれ接続を許可 し ます。 図 25: サーバ負荷分散仮想 IP ポート フォワーディング Source IP 10.10.10.2 Destination IP Range 10.10.10.[42-44] Port Range 8080 - 8082 3 1 HTTP load balancing 2 virtual server 3 1 2 Source IP 172.199.190.25 Destination IP 192.168.37.4 Port 80 DMZ network Real HTTP Server IP 10.10.10.42 Real HTTP Server IP 10.10.10.43 Virtual Server IP 192.168.37.4 dmz1 IP 10.10.10.2 Client IP 172.199.190.25 Real HTTP Server IP 10.10.10.44 こ の設定の手順は、 リ アル サーバの設定を除き、 346 ページの 「3 台の リ アル Web サーバによ る 1 台の仮想 Web サーバの設定」 に示 さ れる手順 と すべて同 じ です。 リアル サーバを追加し仮想サーバに関連付けるには 以下の手順を使用 し 、 ポー ト 8080、 8081、 8082 上の 3 台の リ アル サーバに HTTP パケ ッ ト を ポー ト フ ォ ワーデ ィ ングする よ う に、 FortiGate ユニ ッ ト を設定 し ます。 1 [Firewall]、 [Load Balance]、 [Real Server] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 仮想サーバ Load_Bal_VS1 を と も な う 、 3 台の リ アル サーバを設定 し ます。 こ れ らの リ アル サーバは、 それぞれ内部ネ ッ ト ワー ク上の リ アル サーバの IP ア ド レ ス、 および異な るポー ト 番号を と も な う 必要があ り ます。 最初のリアル サーバを設定します。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 349 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.42 [Port] 8080 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 2 番目のリアル サーバを設定します。 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.43 [Port] 8081 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 3 番目のリアル サーバを設定します。 [Virtual Server] Load_Bal_VS1 [IP] 10.10.10.44 [Port] 8082 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 重み付けによる負荷分散の設定 こ の例では、 フ ァ イ アウ ォ ールの負荷分散を使用 し 、 すべての ト ラ フ ィ ッ ク を 3 台の リ アル サーバに負荷分散する方法を示 し ています。 こ こ では、 イ ン タ ーネ ッ ト は port2 に接続 さ れ、 仮想サーバの仮想 IP ア ド レ スは 192.168.20.20 です。 負荷分散方法は、 weighted を使用 し ま す。 リ アル サーバの IP ア ド レ スは、 10.10.10.1、 10.10.10.2、 および 10.10.10.3 です。 リ アル サー バの重み付けの値は、 1、 2、 お よび 3 です。 こ の設定には、 ヘルス チ ェ ッ ク モニ タ は含まれません。 HTTP 仮想サーバを追加するには 1 [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 イ ン タ ーネ ッ ト 上のユーザが内部ネ ッ ト ワー ク上の リ アル サーバに接続で き る よ う にす る ための、 IP 仮想サーバを追加 し ます。 こ の例では、 FortiGate の port2 イ ン タ フ ェ ースが イ ン タ ーネ ッ ト に接続 さ れます。 4 [Name] All_Load_Balance [Type] IP [Interface] port2 [Virtual Server IP] 192.168.20.20 [Load Balance Method] Weighted その他すべての仮想サーバの設定は、必要ないかまたは変更できません。 [OK] を選択 し ます。 リアル サーバを追加し仮想サーバに関連付けるには 1 [Firewall]、 [Load Balance]、 [Real Server] の順に選択 し ます。 350 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 負荷分散の例 2 [Create New] を選択 し ます。 3 仮想サーバ All_Load _Balance を と も な う 、3 台の リ アル サーバを設定 し ます。[Load Balancing Method] には [Weighted] が使用 さ れるので、 リ アル サーバご と に重み付けの値が含まれま す。 よ り 大き な重み付けのサーバでは、 転送 さ れる接続の割合が大き く な り ます。 最初のリアル サーバを設定します。 [Virtual Server] All_Load_Balance [IP] 10.10.10.1 [Port] 仮想サーバは IP サーバなので設定で き ません。 [Weight] 1 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバの接 続数 を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必要 があ る場合が考え ら れます。 こ の例では、 [Maximum Connections] は最 初に 0 ( ゼ ロ ) に設定 さ れま すが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら 設定値を調整で き ます。 2 番目のリアル サーバを設定します。 [Virtual Server] All_Load_Balance [IP] 10.10.10.2 [Port] 仮想サーバは IP サーバなので設定で き ません。 [Weight] 2 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバの接 続数 を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必要 があ る場合が考え ら れます。 こ の例では、 [Maximum Connections] は最 初に 0 ( ゼ ロ ) に設定 さ れま すが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら 設定値を調整で き ます。 3 番目のリアル サーバを設定します。 [Virtual Server] All_Load_Balance [IP] 10.10.10.3 [Port] 仮想サーバは IP サーバなので設定で き ません。 [Weight] 3 [Maximum Connections] 0 [Maximum Connections] を 0 ( ゼロ ) に設定する と 、 リ アル サーバへの 接続数は FortiGate ユニ ッ ト に よ り 制限 さ れません。仮想サーバに設定 さ れてい る負荷分散方法は [First Alive] なので、 各 リ アル サーバの接 続数 を制限 し 、 各サーバで受信 さ れる ト ラ フ ィ ッ ク 量 を制限す る必要 があ る場合が考え ら れます。 こ の例では、 [Maximum Connections] は最 初に 0 ( ゼ ロ ) に設定 さ れま すが、 リ アル サーバで膨大な量の ト ラ フ ィ ッ ク が受信 さ れる場合は、 後か ら 設定値を調整で き ます。 仮想サーバをファイアウォール ポリシーに追加するには port2 か ら port1 への、 仮想サーバを使用する フ ァ イ アウ ォ ール ポ リ シーを追加す る こ と によ り 、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スに接続 し よ う と し た と き、 パケ ッ ト が FortiGate ユニ ッ ト の port1 イ ン タ フ ェ ースか ら port2 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 仮想サーバの IP ア ド レ スか ら リ ア ル サーバの IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 351 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 3 フ ァ イ アウ ォ ール ポ リ シー を次のよ う に設定 し ます。 [Source Interface/Zone] port2 [Source Address] All ( またはよ り 具体的な ア ド レ ス ) [Destination Interface/Zone] port1 [Destination Address] All_Load_Balance [Schedule] always [Service] ANY [Action] ACCEPT [NAT] 選択 し ます。 4 必要に応 じ て、 他の フ ァ イ アウ ォ ール オ プ シ ョ ン を設定 し ます。 5 [OK] を選択 し ます。 CLI による設定 負荷分散は、 CLI か ら config firewall vip コ マ ン ド を使用 し 、 type を server-loadbalance に指定する こ と に よ り 設定 し ます。デ フ ォ ル ト の重み付けの値は 1 で、最初の リ アル サーバでは変更する必要はあ り ません。 以下の コ マ ン ド を使用 し 、 仮想サーバおよび重み付け を と も な う 3 台の リ アル サーバを追加 し ます。 config firewall vip edit All_Load_Balance set type server-load-balance set server-type ip set extintf port2 set extip 192.168.20.20 set ldb-method weighted config realservers edit 1 set ip 10.10.10.1 next edit 2 set ip 10.10.10.2 set weight 2 next edit 3 set ip 10.10.10.3 set weight 3 end end HTTP および HTTPS のパーシスタンスの設定 こ の例では、 ポー ト 80 を使用 し HTTP ト ラ フ ィ ッ ク を負荷分散する Http_Load_Balance と い う 名 前 の 仮 想 サ ー バ、 お よ び ポ ー ト 443 を 使 用 し HTTPS ト ラ フ ィ ッ ク を 負 荷 分 散 す る Https_Load_Balance と い う 名前の 2 番目の仮想サーバを追加する方法を示 し ています。イ ン タ ー ネ ッ ト は port2 に接続 さ れ、仮想サーバの仮想 IP ア ド レ スは 192.168.20.20 です。両方のサーバ 負荷分散仮想 IP と も 、 セ ッ シ ョ ン を、 10.10.10.2、 10.10.10.2、 および 10.10.10.3 の IP ア ド レ ス を持つ同 じ 3 台の リ アル サーバに負荷分散 し ます。 リ アル サーバは、 HTTP お よび HTTPS サービ ス を提供 し ます。 両方の仮想サーバでは、 [Persistence] を [HTTP Cookie] に設定する こ と で HTTP cookie パーシ ス タ ン ス を有効に し ます。 352 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 負荷分散の例 HTTP および HTTPS 仮想サーバを追加するには 1 [Firewall]、 [Load Balance]、 [Virtual Server] の順に選択 し ます。 2 HTTP Cookie パーシ ス タ ン ス を と も な う HTTP 仮想サーバを追加 し ます。 [Name] HTTP_Load_Balance [Type] HTTP [Interface] port2 [Virtual Server IP] 192.168.20.20 [Virtual server Port] 8080 こ の例では、仮想サーバは HTTP セ ッ シ ョ ン にポー ト 80 ではな く ポー ト 8080 を使用 し ます。 [Load Balance Method] Static [Persistence] HTTP cookie [OK] を選択 し ます。 4 [Create New] を選択 し ます。 3 5 6 HTTP Cookie persistence を と も な う HTTPS 仮想サーバを追加 し ます。 [Name] HTTPS_Load_Balance [Type] HTTPS [Interface] port2 [Virtual Server IP] 192.168.20.20 [Virtual Server Port] 443 [Load Balance Method] Static [Persistence] HTTP cookie [OK] を選択 し ます。 リアル サーバを追加し仮想サーバに関連付けるには 1 [Firewall]、 [Load Balance]、 [Real Server] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 仮想サーバ HTTP_Load_Balance を と も な う 、 3 台の HTTP リ アル サーバを設定 し ます。 最初の HTTP リアル サーバを設定します。 [Virtual Server] HTTP_Load_Balance [IP] 10.10.10.1 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 2 番目の HTTP リアル サーバを設定します。 [Virtual Server] HTTP_Load_Balance [IP] 10.10.10.2 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 3 番目の HTTP リアル サーバを設定します。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 353 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 4 [Virtual Server] HTTP_Load_Balance [IP] 10.10.10.3 [Port] 80 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 仮想サーバ HTTPS_Load_Balance を と も な う 、 3 台の HTTPS リ アル サーバを設定 し ます。 最初の HTTPS リアル サーバを設定します。 [Virtual Server] HTTPS_Load_Balance [IP] 10.10.10.1 [Port] 443 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 2 番目の HTTPS リアル サーバを設定します。 [Virtual Server] HTTPS_Load_Balance [IP] 10.10.10.2 [Port] 443 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 3 番目の HTTPS リアル サーバを設定します。 [Virtual Server] HTTPS_Load_Balance [IP] 10.10.10.3 [Port] 443 [Weight] 仮想サーバには重み付けに よ る負荷分散が含まれないので、 設定で き ません。 [Maximum Connections] 0 仮想サーバをファイアウォール ポリシーに追加するには port2 か ら port1 への、 仮想サーバを使用する フ ァ イ アウ ォ ール ポ リ シーを追加す る こ と によ り 、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スに接続 し よ う と し た と き、 パケ ッ ト が FortiGate ユニ ッ ト の port2 イ ン タ フ ェ ースか ら port1 イ ン タ フ ェ ースへ と 通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 仮想サーバの IP ア ド レ スか ら リ ア ル サーバの IP ア ド レ スに変換 し ます。 1 [Firewall]、 [Policy] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 HTTP フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 354 [Source Interface/Zone] port2 [Source Address] all [Destination Interface/Zone] port1 [Destination Address] HTTP_Load_Balance [Schedule] always [Service] HTTP FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク フ ァ イ アウ ォ ール負荷分散 負荷分散の例 4 [Action] ACCEPT [NAT] 選択 し ます。 必要に応 じ て、 他の フ ァ イ アウ ォ ール オ プ シ ョ ン を設定 し ます。 [OK] を選択 し ます。 6 [Create New] を選択 し ます。 5 7 HTTPS フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] port2 [Source Address] all [Destination Interface/Zone] port1 [Destination Address] HTTPS_Load_Balance [Schedule] always [Service] HTTPS [Action] ACCEPT [NAT] 選択 し ます。 8 必要に応 じ て、 他の フ ァ イ アウ ォ ール オ プ シ ョ ン を設定 し ます。 9 [OK] を選択 し ます。 CLI による設定 : 特定ドメインの persistence を追加 負荷分散は、 CLI か ら config firewall vip コ マ ン ド を使用 し 、 type を server-loadbalance に指定する こ と に よ り 設定 し ます。 CLI によ る設定では、 両方の仮想サーバの http-cookie-domain を .example.org に設定 し ます。 こ れは、 example.org ド メ イ ンに HTTP cookie persistence が必要なためです。 まず、 HTTP 仮想 IP を以下のよ う に設定 し ます。 config firewall vip edit HTTP_Load_Balance set type server-load-balance set server-type http set extport 8080 set extintf port2 set extip 192.168.20.20 set persistence http-cookie set http-cookie-domain .example.org config realservers edit 1 set ip 10.10.10.1 next edit 2 set ip 10.10.10.2 next edit 3 set ip 10.10.10.3 end end 次に、 HTTPS 仮想 IP を以下のよ う に設定 し ます。 こ の設定では、 extport を 443 に設定す る必要はあ り ません。 こ れは、 server-type を https に設定する と 、 extport は自動的に 443 に設定 さ れるか ら です。 config firewall vip edit HTTPS_Load_Balance set type server-load-balance FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 355 負荷分散の例 フ ァ イ アウ ォ ール負荷分散 set server-type https set extport 443 set extintf port2 set extip 192.168.20.20 set persistence http-cookie set http-cookie-domain .example.org config realservers edit 1 set ip 10.10.10.1 next edit 2 set ip 10.10.10.2 next edit 3 set ip 10.10.10.3 end end 356 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 統合脅威管理の概要 統合脅威管理 (UTM) こ の項では、 [UTM] メ ニ ュ ーの基本的な設定について説明 し ます。 ア ン チウ イルスの設定方法 な ど、 [UTM] メ ニ ュ ーの詳 し い設定方法については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ 統合脅威管理の概要 ・ ア ン チウ イルス ・ 不正侵入防御 ・ Web フ ィ ル タ ・ 電子 メ ール フ ィ ル タ ・ 情報漏洩防止 ・ ア プ リ ケーシ ョ ン制御 ・ VoIP 統合脅威管理の概要 [UTM] メ ニ ュ ーには、 ア ン チウ イルスまたは DoS セ ンサーな どの、 各種セキ ュ リ テ ィ 機能の 他、 フ ァ イ アウ ォ ール ポ リ シーに適用 さ れる プ ロ フ ァ イル も 含まれています。 プ ロ フ ァ イル に含まれる特定の情報は、 ポ リ シーに基づ き ト ラ フ ィ ッ ク がどのよ う に検証 さ れ、 検証に基づ いて どのよ う なア ク シ ョ ンが実行 さ れるかを定義 し ます。 [UTM] メ ニ ュ ーには、 以下の 7 種類の機能が含まれてお り 、 こ れ ら の機能の一部は、 フ ァ イ ア ウ ォ ール ポ リ シーに適用可能な プ ロ フ ァ イルを含んでいます。 ・ ア ン チウ イルス - ウ イルス を フ ィ ル タ リ ングおよびスキ ャ ンする ための設定、 お よび隔離 設定が含まれています。 また、 ネ ッ ト ワー クの要件に適する ア ン チウ イルス デー タ ベース を選択する設定 も含まれています。 こ の機能では、 プ ロ フ ァ イルを利用で き ます。 ・ 不正侵入防御 - カ ス タ ム シグネチ ャの作成、 IPS セ ンサーお よび DoS セ ンサーの設定など が含まれています。 さ ら に、 定義済みシグネチ ャ の詳細情報、 およびデ フ ォ ル ト のプ ロ ト コ ル デ コ ーダ も表示で き ます。 ・ Web フ ィ ル タ - Web コ ン テ ン ツの フ ィ ル タ リ ング、 および FortiGuard Web フ ィ ル タ と その FortiGuard Web フ ィ ル タ リ ングの上書き を有効にする設定が含まれています。 さ ら に、 URL フ ィ ル タ 、 ロー カル カ テ ゴ リ 、 ロー カル評価の設定が含まれています。 こ の機能では、 プ ロ フ ァ イルを利用で き ます。 ・ 電子 メ ール フ ィ ル タ リ ング - ア ン チスパム機能 と し て も知 られる機能ですが、 禁止単語、 IP ア ド レ ス、 メ ール ア ド レ ス を、 フ ィ ル タ リ ングお よびスキ ャ ンする ための設定が含まれ ています。 こ の機能では、 プ ロ フ ァ イルを利用で き ます。 ・ 情報漏洩防止 (DLP) - DLP セ ンサーの作成、 コ ンパウン ド ルール、 お よび個別ルールの設 定が含まれています。 プ ロ フ ァ イ ルの代わ り に、 DLP セ ンサー を フ ァ イ アウ ォ ール ポ リ シーに適用 し ます。 ・ ア プ リ ケーシ ョ ン制御 - ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト 作成の設定が含 まれています。 さ ら に [Application List] ページ では、 ア プ リ ケーシ ョ ン一覧か ら ア プ リ ケー シ ョ ンに関する情報を表示で き ます。 ・ VoIP - フ ァ イ アウ ォ ール ポ リ シーに適用可能な プ ロ フ ァ イルを作成する ための設定が含 まれています。 こ のプ ロ フ ァ イルには、 SIP および SCCP ト ラ フ ィ ッ ク、 および ト ラ フ ィ ッ ク違反のロギング を有効にする設定 も 含まれています。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 357 ア ン チウ イルス 統合脅威管理 (UTM) アンチウイルス こ こ では、 [Antivirus] メ ニ ュ ーを使用 し て設定する、 ア ン チウ イルス オプ シ ョ ンについて説明 し ます。 プ ロ フ ァ イルを設定する こ と によ り 、 HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM、 NNTP セ ッ シ ョ ンの フ ァ イ ア ウ ォ ール ポ リ シーに、 ア ン チウ イルス プ ロ フ ァ イルを適用で き ます。 FortiGateユニ ッ ト がSSL コ ン テ ン ツ スキ ャ ンおよび イ ン スペ ク シ ョ ン をサポー ト する場合は、 HTTPS、 IMAPS、 POP3S、 SMTPS の各セ ッ シ ョ ンのア ン チウ イルス プ ロ テ ク シ ョ ン を設定で き ます。 詳 し く は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と にア ン チウ イルス オ プ シ ョ ン を個別に設定 し ます。 詳細については、 73 ページの 「バー チ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ プ ロ フ ァ イル ・ フ ァ イル フ ィ ル タ ・ 隔離 ・ 隔離の設定 ・ ウ イルス デー タ ベース プロファイル [Profile] ページ では、 フ ァ イ アウ ォ ール ポ リ シーに適用する ためのア ン チウ イルス プ ロ フ ァ イルを設定で き ます。 プ ロ フ ァ イルに含まれる特定の情報は、 ポ リ シーに基づ き ト ラ フ ィ ッ ク がどのよ う に検証 さ れ、 検証に基づいて どのよ う なア ク シ ョ ンが実行 さ れるかを定義 し ます。 ア ン チウ イルス スキ ャ ンの さ ま ざ まな要件に応 じ て、 複数のア ン チウ イルス プ ロ フ ァ イルを 作成で き ます。た と えば、POP3 のウ イルス スキ ャ ンのみを指定する ア ン チウ イルス プ ロ フ ァ イルを作成 し 、 そのプ ロ フ ァ イルを送信 フ ァ イ アウ ォ ール ポ リ シーに適用で き ます。 ア ン チウ イルス プ ロ フ ァ イルを設定するには、[UTM]、[Antivirus]、[Profile] の順に選択 し ます。 [Profile] ページ こ のページには、 作成済みのア ン チウ イ ルス プ ロ フ ァ イルが一覧表示 さ れます。 こ のページ では、 ア ン チウ イルス プ ロ フ ァ イ ルを編集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を選択す る と 、 [New Antivirus Profile] ページの画面に自動的 に移動 し ます。 編集アイコン ア ン チウ イ ルス プ ロ フ ァ イルの設定を編集する と き選択 し ます。 削除アイコン ア ン チウ イ ルス プ ロ フ ァ イルを削除する と き選択 し ます。 [ 名前 ] ア ン チウ イ ルス プ ロ フ ァ イルの名前。 [ コメント ] ア ン チウ イ ルス プ ロ フ ァ イルについての説明。 [New Antivirus Profile] ページ こ のページ では、新 し いア ン チウ イルス プ ロ フ ァ イ ルを設定で き ます。 また、 ウ イルス送信者を [Banned User List] に加え る ための隔離 も 設定で き ます。 既存のア ン チウ イ ルス プ ロ フ ァ イ ルを編集する場合は、 画面が [Edit Antivirus Profile] ページに移動 し ます。 こ のページ には、 [New Antivirus Profile] ページ と 同 じ 設定が含まれています。 358 [ 名前 ] こ のプ ロ フ ァ イ ルの名前を 入力 し ます。 既存のア ン チ ウ イ ルス プ ロ フ ァ イ ルを編集 し プ ロ フ ァ イ ル名を変更す る場合は、 こ の フ ィ ール ド に新 し い 名前を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [ コメント ] プ ロ フ ァ イ ルの説明を入力 し ます。 こ の項目はオ プ シ ョ ン です。 既存のア ン チ ウ イ ル ス プ ロ フ ァ イ ル を 編集 し 説明内容 を 変更す る 場合は、 こ の フ ィ ール ド に新た な説明を入力 し ます。 変更 を保存す る には、 必ず [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) ア ン チウ イルス [Virus Scan] 以下か ら 任意のプ ロ ト コ ルを選択 し 、 こ れ ら のプ ロ ト コ ルを使用する と き FortiGate ユニ ッ ト に よ り ウ イ ルス スキ ャ ンが行われる よ う に し ます。 ・ HTTP ・ FTP ・ IMAP ・ POP3 ・ SMTP ・ NNTP ・ IM こ れ ら の イ ベ ン ト のロ グ記録が必要な場合は、 [Logging] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [File Filter] 以下か ら 任意のプ ロ ト コ ルを選択 し 、 こ れ ら のプ ロ ト コ ルを使用する と き FortiGate ユニ ッ ト に よ り フ ァ イ ル フ ィ ル タ リ ス ト に基づ く ウ イ ルス ス キ ャ ンが行われる よ う に し ます。 ・ HTTP ・ FTP ・ IMAP ・ POP3 ・ SMTP ・ NNTP ・ IM [Options] ド ロ ッ プ ダウ ン リ ス ト か ら 、 フ ィ ル タ を選択 し ます。 [Quarantine Virus Sender (to 送信者の隔離 を 有効に し て設定す る と き 選択 し ま す。 ウ イ ルスの送信者 は、 [Banned Users List] ( 禁止ユーザ リ ス ト ) に加え ら れます。 Banned Users List)] [Method] [Quarantine Virus Sender (to Banned Users List)] を 選択 し た と き 表示 さ れ ます。 [Source IP address] を選択する と 、攻撃者の IP ア ド レ スか ら 送信 さ れるす べての ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 さ ら に攻撃者の IP ア ド レ スが、 [Banned User List] に追加 さ れます。標的のア ド レ スは、影響を受けません。 [Virus 痴 Incoming Interface] を選択す る と 、 攻撃を受けた FortiGate イ ン タ フ ェ ースに接続 し よ う と す る ト ラ フ ィ ッ ク を、 すべて ブ ロ ッ ク し ます。 こ の イ ン タ フ ェ ースは、 [Banned User List] に追加 さ れます。 [Expires] [Quarantine Virus Sender (to Banned Users List)] を 選択 し た と き 表示 さ れ ます。 ウ イルス を無期限に禁止す るか、 または指定 さ れた日数、 時間数、 ま たは 分数に限 り 禁止するかを選択で き ます。 ファイル フィルタ [Filter] メ ニ ュ ー を使用 し 、 特定の フ ァ イル パ タ ーン および フ ァ イルの種類を ブ ロ ッ ク す る た めの、 フ ィ ル タ オプ シ ョ ン を設定で き ます。 フ ァ イルは、 [ 有効 ] に設定 さ れてい る フ ァ イル パ タ ーン、 次に フ ァ イルの種類 と 、 上か ら 順に比較 さ れます。 フ ァ イルが、 指定 さ れている ど のパ タ ーンに も一致 し ない場合、その フ ァ イルはア ン チウ イルス スキ ャ ン ( 有効な場合 ) に転 送 さ れ ま す。 事実上、 フ ァ イ ルは、 明示的に ブ ロ ッ ク さ れ な い限 り 許可 さ れ ま す。 さ ら に FortiGate ユニ ッ ト によ っ て、 ウ イルス ログに メ ッ セージが書き込まれ、 ア ラ ー ト の電子 メ ー ル メ ッ セージが送信 さ れます ( こ れ ら の実行が設定 さ れてい る場合 )。 ファイルが、 設定されているファイル パターンまたはファイル タイプに一致する場合は、 FortiGate ユニットによって、 そのファイルに対し以下のいずれかのアクションが実行されます。 ・ Allow ( 許可 )。 フ ァ イルの通過が許可 さ れます。 ・ Block ( ブ ロ ッ ク )。 フ ァ イルはブ ロ ッ ク さ れ、 置換 メ ッ セージがユーザに送信 さ れます。 フ ァ イル フ ィ ル タ と ウ イルス スキ ャ ンの双方が有効な場合、[有効] に設定 さ れてい る フ ァ イル フ ィ ル タ と 一致する フ ァ イルが、 FortiGate ユニ ッ ト によ っ て ブ ロ ッ ク さ れますが、 そ の フ ァ イルに対 し てウ イルス スキ ャ ンは実行 さ れません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 359 ア ン チウ イルス 統合脅威管理 (UTM) 許可のア ク シ ョ ン を使用する場合、 こ の動作を逆に し て、 明示的に許可 さ れない フ ァ イルをす べて ブ ロ ッ ク する よ う に処理で き ます。 許可の属性によ っ て通過が許 さ れる、 すべての フ ァ イ ル パ タ ーン または種類を入力 し ます。 リ ス ト の末尾に、 ブ ロ ッ クのア ク シ ョ ン を と も な う 「す べて包含」 のワ イル ド カ ー ド (*.*) を追加 し ます。 許可 さ れた フ ァ イルには引き続き ア ン チウ イルス スキ ャ ン ( 有効な場合 ) が行われる一方、 どの許可パ タ ー ンに も一致 し ない フ ァ イル は、 末尾に追加 さ れたワ イル ド カ ー ド によ っ て ブ ロ ッ ク さ れます。 通常の運用では、 プ ロ フ ァ イルで フ ァ イル フ ィ ル タ を無効に設定 し 、 特定の脅威が発生 し た場合にその脅威を ブ ロ ッ ク する ために、 一時的に フ ァ イル フ ィ ル タ を有効に設定で き ます。 FortiGate ユニ ッ ト には、 フ ァ イル パ タ ーンの リ ス ト がデ フ ォ ル ト であ らか じ め設定 さ れてい ます。 ・ 実行可能 フ ァ イル (*.bat、 *.com、 および *.exe) ・ 圧縮またはアー カ イ ブ フ ァ イル (*.gz、 *.rar、 *.tar、 *.tgz、 および *.zip) ・ ダ イ ナ ミ ッ ク リ ン ク ラ イ ブ ラ リ (*.dll) ・ HTML ア プ リ ケーシ ョ ン (*.hta) ・ Microsoft Office フ ァ イル (*.doc、 *.ppt、 *.xl?) ・ Microsoft Works フ ァ イル (*.wps) ・ Visual Basic フ ァ イル (*.vb?) ・ ス ク リ ーン セーバー フ ァ イル (*.scr) ・ プ ロ グ ラ ム情報 フ ァ イル (*.pif) ・ コ ン ト ロール パネル フ ァ イル (*.cpl) FortiGate ユニ ッ ト は、 以下の フ ァ イルの種類を検出で き ます。 表 51: サポートされるファイルの種類 arj activemime aspack base64 bat binhex bzip bzip2 cab class cod elf exe fsg gzip hlp hta html jad javascript lzh mime msc msoffice petite prc rar sis tar upx uue zip unknown ignored 注記 : unknown は、 表に未掲載のあ ら ゆる フ ァ イルの種類です。 ignored は、 FortiGate ユ ニ ッ ト によ り 通常はスキ ャ ン さ れない ト ラ フ ィ ッ ク です。 こ の種類には、 主にス ト リ ー ミ ングの音声お よびビデオが含まれます。 以下の基準で フ ァ イルを ブ ロ ッ ク する よ う に、 FortiGate フ ァ イル フ ィ ル タ を設定 し ます。 ・ フ ァ イル パ タ ーン。 名前、 拡張子、 または他の任意のパ タ ーン で、 フ ァ イルを ブ ロ ッ ク で き ます。 フ ァ イル パ タ ーンによ り フ ァ イルを ブ ロ ッ ク する場合、 有害 と 考え られる コ ン テ ン ツ を柔軟にブ ロ ッ ク で き ます。 フ ァ イル パ タ ーンのエ ン ト リ には、 大文字、 小文字の区別はあ り ません。 た と えば、 フ ァ イル パ タ ーン リ ス ト に *.exe を追加する と 、 末尾が大文字の .EXE で表記 さ れる フ ァ イ ル も すべて ブ ロ ッ ク し ます。 デ フ ォル ト のビル ト イ ン パ タ ーン以外に も、ブ ロ ッ ク する フ ァ イル パ タ ーン を指定で き ま す。 詳細については、 359 ページの 「 フ ァ イル フ ィ ル タ 」 を参照 し て く だ さ い。 ・ フ ァ イルの種類。 フ ァ イルの種類を示す フ ァ イル名 と は無関係に、 種類に応 じ て フ ァ イル を ブ ロ ッ ク で き ます。 フ ァ イルの種類を基準に フ ァ イルを ブ ロ ッ ク する場合、 FortiGate ユ ニ ッ ト の フ ァ イル分析によ っ て、フ ァ イル名 と は無関係に フ ァ イルの種類が特定 さ れます。 ファイル フィルタの設定 複数の フ ァ イル フ ィ ル タ リ ス ト を、 ア ン チウ イルス プ ロ フ ァ イルに追加で き ます。 フ ァ イル パ タ ーンの場合、 5,000 ま でのパ タ ーン を リ ス ト に追加で き ます。 フ ァ イルの種類の場合、 サ ポー ト さ れる種類のみから 選択で き ます。 360 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) ア ン チウ イルス フ ァ イル フ ィ ル タ を設定する には、 [UTM]、 [Antivirus]、 [File Filter] の順に選択 し ます。 [File Filter] ページ こ のページには、 作成済みの フ ァ イル フ ィ ル タ が一覧表示 さ れます。 こ のページ では、 フ ァ イル フ ィ ル タ を編集、 削除、 ま たは新規作成で き ます。 [Create New] カ タ ロ グに新 し い フ ァ イ ル フ ィ ル タ リ ス ト を追加す る には、 [Create New] を選択 し ます。 [ 名前 ] 使用可能な フ ァ イ ル フ ィ ル タ リ ス ト 。 [# Entries] 各 フ ァ イ ル フ ィ ル タ リ ス ト 内の フ ァ イ ル パ タ ー ン ま たは フ ァ イ ルの種類の数。 [DLP Rule] 各 フ ィ ル タ 適用の基準 と な る DLP ルール。 [ コメント ] 各 フ ァ イ ル フ ィ ル タ リ ス ト の説明。 説明はオプ シ ョ ン です。 削除アイコン カ タ ロ グか ら こ の フ ァ イ ル フ ィ ル タ リ ス ト を削除す る場合に選択 し ます。 編集アイコン フ ァ イ ル フ ィ ル タ を編集する と き選択 し ます。 [File Filter Settings] ページ こ のページ では、 フ ァ イ ル フ ィ ル タ を構成す る複数の フ ァ イ ル パ タ ーン お よび フ ァ イルの種類を設定 で き ます。 ま た、 フ ァ イ ル フ ィ ル タ 用に作成済みのフ ァ イ ル パ タ ー ンお よ び フ ァ イ ルの種類が一覧表 示 さ れます。 フ ァ イル フ ィ ル タ を編集する場合は、 画面が こ のページに移動 し ます。 [ 名前 ] フ ァ イ ル フ ィ ル タ の名前。 こ の名前を変更する には、 [ 名前 ] フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [ コメント ] オ プ シ ョ ン で入力す る コ メ ン ト 。 コ メ ン ト を追加ま たは編集す る には、 [ コ メ ン ト ] フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [OK] リ ス ト 名または コ メ ン ト に変更を加えた場合は、 [OK] を選択 し て変更を保存 し ます。 [Create New] フ ァ イ ル フ ィ ル タ リ ス ト に新 し い フ ァ イ ル パ タ ー ン ま たは フ ァ イ ルの種類を追加す る には、 [Create New] を選択 し ます。 [ 無効 ] フ ァ イ ル パ タ ー ン または フ ァ イ ルの種類を無効にする と き選択 し ます。 削除アイコン リストからこのファイル パターンまたはファイルの種類を削除する場合に選択します。 編集アイコン フ ァ イ ル パ タ ー ン または フ ァ イ ルの種類を編集する場合に選択 し ます。 移動アイコン こ の フ ァ イ ル パ タ ーン ま たは フ ァ イルの種類を、リ ス ト 内の任意の位置に移動する場 合に選択 し ます。 [Filter] フ ァ イ ル パ タ ー ン およ び フ ァ イ ルの種類の現行 リ ス ト 。 [ アクション ] フ ァ イ ルが フ ァ イ ル パ タ ーン お よび フ ァ イ ルの種類に一致する場合、その フ ァ イ ルに 対する ア ク シ ョ ン を、 [Block] ま たは [Allow] に設定で き ます。 ア ク シ ョ ンの詳細につ いては、 359 ページの 「 フ ァ イル フ ィ ル タ 」 を参照 し て く だ さ い。 [ 有効 ] フ ァ イ ル パ タ ーン ま たは フ ァ イ ルの種類を無効にす る には、 こ のチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 [New File Filter] ページ [Filter Type] [File Name Pattern] ま たは [File Type] を選択 し ます。 [File Type] リ ス ト か ら フ ァ イ ルの種類を選択 し ます。 [Filter Type] で [File Type] を選択 し てい る 場合のみ表示 さ れます。 [Pattern] フ ァ イ ル パ タ ー ン を入力 し ます。 フ ァ イ ル パ タ ー ンは、 正確な フ ァ イ ル名のみ、 ま たはワ イ ル ド カ ー ド を加え て入力で き ます。 フ ァ イ ル パ タ ーン を入力する文字数は、 80 文字ま で です。 [ アクション ] ド ロ ッ プ ダウ ン リ ス ト か ら、 [Block] ま たは [Allow] のア ク シ ョ ン を選択 し ます。 ア ク シ ョ ンの詳細については、 359 ページの 「フ ァ イ ル フ ィ ル タ 」 を参照 し て く だ さ い。 [ 有効 ] フ ィ ル タ を有効ま たは無効にする と き オ ン ま たはオ フ に し ます。 注記 : デ フ ォル ト の フ ァ イル パ タ ーン リ ス ト カ タ ログは builtin-patterns と 呼ばれます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 361 ア ン チウ イルス 統合脅威管理 (UTM) 隔離 ロー カル デ ィ ス ク を備え る FortiGate ユニ ッ ト を使用 し 、 ブ ロ ッ ク さ れた フ ァ イルお よび感染 フ ァ イルを隔離で き ます。 ログ フ ァ イルに記録 さ れてい る フ ァ イルの詳細情報を表示する に は、 [Log&Report ]、 [Archive Access]、 [Quarantine] の順に選択 し ます。 [AutoSubmit] リ ス ト に 特定の フ ァ イルを送信 し フ ァ イル パ タ ーン を追加する こ と で、こ れ らの フ ァ イルが Fortinet に 自動的にア ッ プ ロー ド さ れ、 解析 さ れます。 また FortiGate ユニ ッ ト によ っ て、ブ ロ ッ ク さ れた フ ァ イルおよび感染 フ ァ イルを FortiAnalyzer ユニ ッ ト に隔離する こ と も 可能です。それら の フ ァ イルを表示するには、[Log&Report]、[Archive Access]、 [Quarantine] の順に選択 し ます。 隔離の設定 HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM、 および NNTP ト ラ フ ィ ッ クの、 隔離オ プ シ ョ ン を設 定で き ます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ スキ ャ ンおよび イ ン スペ ク シ ョ ン をサポー ト する場合は、 HTTPS、 IMAPS、 POP3S、 および SMTPS ト ラ フ ィ ッ クか ら ブ ロ ッ ク さ れた フ ァ イルお よび感染 し た フ ァ イルを隔離で き ます。 詳 し く は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 隔離を設定するには、 [UTM]、 [Antivirus]、 [Quarantine] の順に選択 し ます。 [Quarantine Configuration] ページ こ のペー ジ では、 ウ イ ルス ス キ ャ ン で、 感染 フ ァ イ ル、 不審な フ ァ イ ル、 ブ ロ ッ ク さ れた フ ァ イ ルが あ っ た場合の FortiGate ユニ ッ ト のア ク シ ョ ン を 設定で き ま す。 こ れ ら は、 ロ ー カ ル デ ィ ス ク ま たは FortiAnalyzer ユニ ッ ト の設定です。 こ れ ら の設定は、 [Quarantine Configuration] ページ で表示または変更 で き ます。 [Quarantine Infected Files] FortiGate ユニ ッ ト に よ り 検証する プ ロ ト コ ルを選択 し ます。 [Quarantine Suspicious Files] FortiGate ユニ ッ ト に よ り 検証する プ ロ ト コ ルを選択 し ます。 [Quarantine Blocked Files] FortiGate ユニ ッ ト に よ り 検証する プ ロ ト コ ルのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [Quarantine To] ブ ロ ッ ク さ れた フ ァ イ ル、不審な フ ァ イ ル、感染 フ ァ イ ルを、FortiAnalyzer ユニ ッ ト ま たは ロ ー カ ル デ ィ ス ク に保存す る設定を 有効にす る と き選択 し ます。 デ フ ォ ル ト では、 こ の設定は [None] に設定 さ れてお り 、 隔離 フ ァ イ ルを保存す る場合は、 [FortiAnalyzer] を選択する必要があ り ます。 [Max Filesize to Quarantine] 隔離 フ ァ イ ルの保存場所 と し て、 FortiAnalyzer ユニ ッ ト ま たは ロ ー カ ル デ ィ ス ク が選択 さ れてい る場合のみ、 表示 さ れます。 隔離 さ れる フ ァ イ ル の最大サ イ ズ を、 MB 単位で設定 し ます。 設定するサ イ ズが大 き すぎ る と 、 パ フ ォ ーマ ン スに影響す る場合があ り ます。 [Disk Age Limit] ( ローカル フ ァ イルを隔離場所に保持する時間の制限 ( 時間単位 )。 Age Limit は、 隔 ディスク搭載の FortiGate モ 離 フ ァ イ ル リ ス ト の [TTL] カ ラ ムの値 を 算出す る ために使用 さ れ ま す。 隔離済み フ ァ イ ル リ ス ト は、 [Log&Report]、 [Archive Access]、 [Quarantine] デルのみ ) の順に選択 し て表示 し ます。 こ の Age Limit に達する と 、 隔離 フ ァ イ ル リ ス ト の [TTL] カ ラ ムには [EXP] が表示 さ れ、 フ ァ イルが削除 さ れます ( た だ し 、 隔離 フ ァ イル リ ス ト 内のエ ン ト リ は保持 さ れます )。 0 ( ゼロ ) の Age Limit を入力する と 、 [Low Disk Space] で選択 さ れる ア ク シ ョ ン に応 じ て、 フ ァ イ ルがデ ィ ス ク 上に無期限に格納 さ れます。 [Low Disk space] ロ ー カ ル デ ィ ス ク に空 き ス ペースがない と き、 最 も 古い フ ァ イ ル を上書 き するかま たは最新の フ ァ イ ルを破棄す るか、 いずれかを選択 し ます。 [Enable AutoSubmit] ( ローカ 自動送信機能を有効にす る と き選択 し ます。 ル ディスク搭載の FortiGate モデルのみ ) 362 [Use File Pattern] フ ァ イ ル パ タ ー ン に一致す る フ ァ イ ルの自動ア ッ プ ロ ー ド を 有効にす る と き選択 し ます。 [Use File Status] [AutoSubmit] リ ス ト にあ る フ ァ イ ル パ タ ー ン と 一致す る フ ァ イ ルの自動 ア ッ プ ロー ド を有効にす る と き選択 し ます。 [Heuristics] ヒ ュ ー リ ス テ ィ ッ ク ス テー タ スに基づ く フ ァ イ ル自動ア ッ プ ロ ー ド の と き選択 し ます。 [Block Pattern] ブ ロ ッ ク パ タ ーン ス テー タ スに基づ く フ ァ イ ル自動ア ッ プ ロー ド の と き 選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 不正侵入防御 ウイルス データベース FortiGate ユニ ッ ト には複数のア ン チ ウ イ ルス デー タ ベー スが含まれてお り 、 必要に応 じ た デー タ ベース を選択す る こ と に よ り 、 ネ ッ ト ワー ク 環境を最大限に保護で き ます。 ウ イ ルス デー タ ベー ス を 使用 し て ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク に含 ま れ る ウ イ ル ス を 検出す る には、 [UTM]、 [Antivirus]、 [Virus Database] の順に選択 し ます。 [Virus Database] ページ では、 以下の デー タ ベース を利用で き ます。 ・ 通常のウ イルス デー タ ベース ・ Extended ウ イルス デー タ ベース ・ Extreme ウ イルス デー タ ベース ・ Flow ベース ウ イルス デー タ ベース [Virus Database] ページ では、 グ レーウ ェ アの検出を有効に設定で き ます。 グ レーウ ェ ア検出 には、 ア ド ウ ェ ア、 Dial、 ダウン ローダ、 ハ ッ カ ー ツール、 キーロガー、 RAT、 お よびスパイ ウ ェ アが含まれています。 Extended デー タ ベースには、 in the wild ウ イルス、 および最近のウ イルス調査では見 られない zoo ウ イ ルスが幅広 く 含まれてい ます。 セキ ュ リ テ ィ 強化 を必要 と す る環境には、 こ の種の デー タ ベースが適 し ています。 Flow ベース デー タ ベースには、 in the wild ウ イルスお よびネ ッ ト ワー ク上で一般的に見ら れる ウ イルスが含まれています。 Flow ベースのウ イルス スキ ャ ン は、 File ベースのウ イルス スキ ャ ンの代わ り に使用 さ れ、 File ベースのウ イルス スキ ャ ン よ り パ フ ォ ーマ ン スに優れますがウ イルスのカバー率が下が り ます。 Extreme ア ン チウ イルス デー タ ベースでは、 in the wild と 最近のウ イルス調査では見 られない zoo 双方のウ イルス スキ ャ ン、お よび現在サポー ト さ れてい るすべてのシグネチ ャのスキ ャ ン が可能です。 ネ ッ ト ワー ク を最大限に保護する柔軟性を持ち、 セキ ュ リ テ ィ 強化を必要 と する ネ ッ ト ワー ク 環境に最適です。 Extreme ア ン チウ イルス デー タ ベースは、 AMC 対応プ ラ ッ ト フ ォ ームおよび大容量ハー ド ド ラ イ ブ を備え る FortiGate モデルのみで利用可能です。 Flow ベース ア ン チウ イルス デー タ ベースは、 IPS によ る マルウ ェ ア検出を支援 し ます。 Flow ベース デー タ ベースには、 in the wild ウ イルスおよびネ ッ ト ワー ク 上に一般的に見 られるウ イ ルスが含まれています。 また、 File ベースのウ イルス スキ ャ ンの代替 と し て機能 し 、 よ り 優れ たパ フ ォ ーマ ン ス も提供 し ます。 FortiGuard のウ イルス定義は、 最新バージ ョ ンのア ン チウ イルス定義を FortiGate ユニ ッ ト が FDN か ら受信 し た時点で更新 さ れます。 FortiGuard Center Virus Encyclopedia には、 FortiGuard ウ イルス定義に含まれる情報に基づ き FortiGate ユニ ッ ト に よ り 検出、 削除 さ れる、 ウ イルス、 ワーム、 ト ロ イ、 その他の脅威の詳 細な説明が含まれています。 FortiGuard ア ン チウ イルス定義は、FortiGuard Distribution Network (FDN) か ら 自動的に更新 さ れ ます。 ア ン チウ イルス定義の自動更新を設定するには、 [System]、 [Maintenance]、 [FortiGuard] の順に選択 し ます。 ま た、 ア ン チウ イルス定義を シ ス テム ダ ッ シ ュ ボー ド か ら 手動で更新す るには、 [System]、 [Dashboard]、 [Status] の順に選択 し ます。 注記 : バーチ ャ ル ド メ イ ン を有効に設定 し ている場合は、 ア ン チウ イルス プ ロ フ ァ イル での フ ァ イル フ ィ ル タ お よびア ン チウ イルス設定をバーチ ャ ル ド メ イ ン ご と に個別に設 定する必要があ り ます。 グレーウ ェ アの設定は、 FortiOS 4.0 MR2 以降を FortiGate ユニ ッ ト で実行 し てい る場合のみ有効または無効に設定で き ます。 不正侵入防御 FortiGate の不正侵入防御シ ス テムは、 シグネチ ャ と ア ノ マ リ に よ る侵入検知 と 防御、 お よび 最小限の待ち時間 と 高い信頼性を両立 さ せてい ます。 不正侵入防御では、 それぞれがシ グネ チ ャ に基づ く 完全な設定を と も な う 、 複数の IPS セ ンサーを作成で き ます。 作成 し た IPS セ ン サーは、 いずれ も フ ァ イ アウ ォ ール ポ リ シーに適用で き ます。 また、 DoS セ ンサーを作成 し 、 ト ラ フ ィ ッ ク か ら ア ノ マ リ に基づ く 攻撃を割 り 出す こ と がで き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 363 不正侵入防御 統合脅威管理 (UTM) FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に不正侵入防御を個別に設定 し ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ IPS セ ンサー ・ DoS セ ンサー ・ 定義済みシグネチ ャ ・ カ ス タ ム シグネチ ャ ・ プ ロ ト コ ル デ コ ーダ IPS センサー シグネチ ャ を IPS セ ンサーにグループ化する こ と によ り 、 フ ァ イ アウ ォ ール ポ リ シーに適用 する と き シグネチ ャ を容易に選択で き る よ う にな り ます。 ト ラ フ ィ ッ クの特定種類に対する シ グネチ ャ を個別の IPS セ ンサーに定義 し 、その ト ラ フ ィ ッ クの種類を処理する よ う に設計 さ れ た プ ロ フ ァ イルか ら、 こ れ らのセ ンサー を選択で き ます。 た と えば、 Web サーバ関連のシグネ チ ャ すべて を特定の IPS セ ンサーで指定 し 、 FortiGate ユニ ッ ト によ り 保護 さ れる Web サーバ に出入 り す るすべての ト ラ フ ィ ッ ク を制御す る フ ァ イ ア ウ ォ ール ポ リ シーに、 そのセ ンサー を適用で き ます。 FortiGuard サービ スでは、 定義済みシグネチ ャ が定期的に更新 さ れ、 新たな脅威を撃退する た めのシグネチ ャが追加 さ れます。 フ ィ ル タ に含まれる シグネチ ャは、 シグネチ ャ 属性を指定す る こ と で定義 さ れるので、既存の フ ィ ル タ 仕様に一致す る新 し いシグネチ ャ は自動的に こ れ ら の フ ィ ル タ に組み込まれます。 た と えば、 Windows オペ レーテ ィ ング シ ス テムのすべてのシグ ネチ ャ を含んでい る フ ィ ル タ がある場合、 新 し い Windows シグネチ ャ を追加する と 、 それ ら が フ ィ ル タ に自動的に組み込まれます。 各 IPS セ ンサーは、フ ィ ル タ (Filters) お よび置き換え (Overrides) の 2 部分か ら 構成 さ れていま す。 置き換えは、 フ ィ ル タ の前に必ずチ ェ ッ ク さ れます。 各 フ ィ ル タ は、 複数のシグネチ ャ属性か ら 構成 さ れます。 フ ィ ル タ の実行時に、 こ れ らの属性 を持つすべてのシグネチ ャ 、 および こ れ ら の属性のみが、 ト ラ フ ィ ッ ク に対 し てチ ェ ッ ク さ れ ます。IPS セ ンサーに複数の フ ィ ル タ が定義 さ れてい る場合は、それ らの フ ィ ル タ は ト ラ フ ィ ッ ク に対 し て一度に 1 つずつ上か ら順にチ ェ ッ ク さ れます。一致する ト ラ フ ィ ッ ク が検出 さ れる と 、 FortiGate ユニ ッ ト に よ り 既定の処理が行われ、 その時点で フ ィ ル タ と の照合は中止 さ れ ます。 シグネチ ャ 置き換えによ っ て、 フ ィ ル タ に指定 さ れている シグネチ ャ の動作を編集で き、 さ ら に IPS セ ンサーの フ ィ ル タ に指定 さ れていないシグネチ ャ を追加で き ます。 置き換え を使用 し 、 カ ス タ ム シグネチ ャ を IPS セ ンサーに加え る こ と も可能です。 まず置き換えのシ グネチ ャ が、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク と 比較 さ れます。 IPS セ ンサーに よ っ て ト ラ フ ィ ッ クの一致が検出 さ れない場合は、 フ ィ ル タ のシグネチ ャが一度に 1 つの フ ィ ル タ ずつ、 上か ら 順にネ ッ ト ワー ク ト ラ フ ィ ッ ク と 比較 さ れます。 シ グネチ ャ 一致が検出 さ れなければ、 IPS セ ンサーによ っ てネ ッ ト ワー ク ト ラ フ ィ ッ クが許可 さ れます。 フ ィ ル タ には、 指定 さ れているすべての属性 と 一致する シグネチ ャのみが含まれます。 新 し い フ ィ ル タ を作成する と 、 すべての属性が [all] に設定 さ れている状態なので、 その フ ィ ル タ には すべてのシグネチ ャ含まれる こ と にな り ます。 [ 重要度 ] を [high] に、 [Target] を [server] に変 更する と 、 フ ィ ル タ にはサーバを標的 と する プ ラ イ オ リ テ ィ の高い攻撃を チ ェ ッ ク する シグネ チ ャのみが含まれます。 IPS セ ンサーを設定するには、 [UTM]、 [Intrusion Protection]、 [IPS Sensor] の順に選択 し ます。 364 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 不正侵入防御 [IPS Sensor] ページ こ のページには、 デ フ ォ ル ト または こ れま でに作成 し た IPS セ ンサーが一覧表示 さ れます。 こ のページ では、 IPS セ ンサーを編集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を選択する と 、 [New IPS Sensor] ページの画面に自動的に移 動 し ます。 [New IPS Sensor] ページには、 [ 名前 ] フ ィ ール ド およ び [ コ メ ン ト ] フ ィ ール ド が表示 さ れます。 [IPS Sensor Settings] ページ を表示す る には、 必ず名前を入力 し ます。 [ 名前 ] 各 IPS セ ンサーの名前。 [ コメント ] オ プ シ ョ ン で記述 さ れる IPS セ ンサーの説明。 [all_defaults] ( デフォルト ) すべてのシグネチ ャ を含みます。 IPS セ ンサーは、 各シグネチ ャの [ 有効 ] ス テー タ スお よび [ ア ク シ ョ ン ] を [Default] で使用する よ う に設定 さ れ ます。 [all_default_pass] ( デフォルト ) すべてのシグネチ ャ を含みます。 セ ンサーは、 各シグネチ ャ の [ 有効 ] ス テー タ ス を [Default] で、 [ ア ク シ ョ ン ] を [pass] で使用する よ う に設定 さ れます。 [protect_client] ( デフォルト ) ク ラ イ ア ン ト に対す る 攻撃 を 検出す る よ う に設計 さ れた シ グ ネ チ ャ のみ を含み、各シグネチ ャ の [有効] ス テー タ スお よ び [ ア ク シ ョ ン ] を [Dfault] で使用 し ます。 [protect_email_server] ( デフォルト ) サーバお よび SMTP、 POP3、 または IMAP プ ロ ト コ ルに対す る攻撃を検出 する よ う に設計 さ れた シグネチ ャ のみを含み、 各シグネチ ャ の [ 有効 ] ス テー タ スお よび [ ア ク シ ョ ン ] を [Default] で使用 し ます。 [protect_http_server] ( デフォルト ) サーバお よび HTTP プ ロ ト コ ルに対する攻撃を検出する よ う に設計 さ れた シ グネチ ャ のみを含み、 各シ グネチ ャ の [ 有効 ] ス テー タ スお よび [ ア ク シ ョ ン ] を [Default] で使用 し ます。 削除アイコン リ ス ト か ら IPS セ ンサー を削除 し ます。 編集アイコン IPS セ ンサー を編集 し ます。 [IPS Sensor Settings] ページ こ のページ では、 IPS セ ンサーを 構成す る複数の フ ィ ル タ お よ び置 き換え を設定で き ます。 [IPS Sensor Settings] ページには、 ページ内の [Filters] セ ク シ ョ ン に フ ィ ル タ の一覧、 [Override] セ ク シ ョ ン に置 き換 えの一覧が表示 さ れます。 定義済み置 き換え を ISP セ ンサーに追加する には [Add Pre-defined Override] を、 カ ス タ ムの置き換え を セ ンサーに追加する には [Add Custom Override] を選択 し ます。 [ 名前 ] 既存の IPS セ ンサー を編集 し 名前を変更する場合は、 こ の フ ィ ール ド に新 し い名前を入力 し ます。 変更を保存す る には、 必ず [OK] を選択 し ます。 [ コメント ] 既存の IPS センサーを編集し説明内容を変更する場合は、 このフィールドに新 たな説明を入力します。 変更を保存するには、 必ず [OK] を選択します。 [OK] リ ス ト の変更内容を保存す る と き選択 し ます。 [Enable Logging] IPS フ ィ ル タ お よ びパ タ ーン を ロ グ記録する と き選択 し ます。 こ れ ら のロ グ を表示す る には、 [Log&Report]、 [Log Access] の順に選択 し ます。 [Filters] [IPS Sensor Settings] ページの [Filters] セ ク シ ョ ン。 こ のセ ク シ ョ ン には、 現在 IPS セ ンサーに設定 さ れてい るすべての フ ィ ル タ が表示 さ れます。 こ のセ ク シ ョ ンか ら 、各 フ ィ ル タ の編集お よ び新たな フ ィ ル タ の作成が可能 です。 [Create New] 新 し い フ ィ ル タ を追加す る場合に選択 し ます。挿入ア イ コ ン も 使用で き ま す。 詳細については、 366 ページの 「フ ィ ル タ 」 を参照 し て く だ さ い。 編集アイコン フ ィ ル タ 設定を変更する場合に選択 し ます。 削除アイコン リ ス ト か ら フ ィ ル タ を削除する場合に選択 し ます。 挿入アイコン 新 し い フ ィ ル タ を挿入す る場合に選択 し ます。 移動アイコン リ ス ト 内で フ ィ ル タ を移動する場合に選択 し ます。 [View Rules] フ ィ ル タ 内のルールを表示 し ます。 [ 名前 ] 作成 し た フ ィ ル タ の名前。 [ 重要度 ] フ ィ ル タ の重大度。 [Target] フ ィ ル タ に指定 さ れた標的。 [ プロトコル ] フ ィ ル タ のプ ロ ト コ ルの種類。 [OS] オペ レ ーテ ィ ン グ シ ス テムの種類。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 365 不正侵入防御 統合脅威管理 (UTM) [Application] Adobe な どの ソ フ ト ウ ェ ア ア プ リ ケーシ ョ ン。 [ 有効 ] フ ィ ル タ の設定内で [Enable all] を 選択す る と 、 緑色のチ ェ ッ ク マー ク が 表示 さ れます。 [Disable all] を選択する と 、 灰色の x が表示 さ れます。 [Logging] フ ィ ル タ の設定内で [Enable all] を 選択す る と 、 緑色のチ ェ ッ ク マー ク が 表示 さ れます。 [Disable all] を選択する と 、 灰色の x が表示 さ れます。 [ アクション ] FortiGate ユニ ッ ト に よ っ て実行 さ れる ア ク シ ョ ンの種類。 こ のア ク シ ョ ン には、 [Block]、 [Pass]、 または [Reset] を設定で き ます。 [Count] フ ィ ル タ に含まれる シグネチ ャ の数。 置き換えは、 総数に含まれません。 [Overrides] [IPS Sensor Settings] ページの [Overrides] セ ク シ ョ ン。 こ のセ ク シ ョ ン に は、現在IPSセ ンサーに設定 さ れてい るすべての置き換えが表示 さ れます。 編集アイコン カスタムの置き換えまたは定義済みの置き換えを編集するとき選択します。 削除アイコン カスタムの置き換えまたは定義済みの置き換えを削除するとき選択します。 [Add Pre-defined Override] 定義済みの置き換え を追加する と き選択 し ます。 詳 し く は、 367 ページの 「定義済み置 き換えおよ び カ ス タ ム置き換え」 を参照 し て く だ さ い。 [Add Custom Override] カ ス タ ムの置き換え を追加する と き選択 し ます。 詳 し く は、 367 ページの 「定義済み置 き換えおよ び カ ス タ ム置き換え」 を参照 し て く だ さ い。 フィルタ フ ィ ル タ には、 複数のシグネチ ャ 属性が含まれてお り 、 こ れ ら の属性を必要に応 じ て設定 し ま す。 フ ィ ル タ に指定 さ れている属性すべて を と も な う シグネチ ャ が、 IPS シグネチ ャ に含まれ ます。 IPS セ ンサーには、 複数の IPS フ ィ ル タ を含む こ と がで き ます。 フ ィ ル タ の設定には、 以下の設定オプ シ ョ ンがあ り ます。 IPS セ ンサーで フ ィ ル タ を設定するには、 [UTM]、 [Intrusion Protection]、 [IPS Sensors] の順に 選択 し ます。 [Edit IPS Filter] ページ こ のページ で、 フ ィ ル タ を設定で き ます。 [IPS Sensor Settings] ページの [Filters] セ ク シ ョ ン で [Create New] を選択する と 、 画面が自動的に こ のページの表示に移動 し ます。 366 [ 名前 ] フ ィ ル タ の名前を入力 し ます。 [ 重要度 ] 重大度を選択 し ます。 [All] ( すべてのレ ベル ) に設定 し ない場合は、 必ず いずれかのレ ベルを指定 し ます。 [Target] 攻撃の標的 と な る シ ス テムの種類を選択 し ます。 [OS] オペ レ ーテ ィ ン グ シ ス テムの種類 を指定 し ま す。 全種のオペ レ ー テ ィ ン グ シ ス テム を含む場合は、 [All] を 選択 し ま す。 指定可能なオペ レ ーテ ィ ン グ シ ス テムには、 BSD お よび Solaris が含まれます。 OS 攻撃の属性が 「すべての OS」 に該当する シグネチ ャは、 あ ら ゆる オペ レ ーテ ィ ン グ シ ス テムに影響 し ます。 こ の よ う な シ グネ チ ャ は、 指定 さ れてい る オペ レ ーテ ィ ン グ シ ス テムの種類の数にかかわ ら ず、 自動的に どの フ ィ ル タ に も 含まれます。 [ プロトコル ] い く つかの プ ロ ト コ ル ま たは利用可能なすべての プ ロ ト コ ル を 選択 し ま す。 特定のプ ロ ト コ ルを選択す る には、 [Specify] を選択 し 、 必要な プ ロ ト コ ル を [Available] カ ラ ムから [Selected] カ ラ ムに -> 矢印を使用 し て移動 し ま す。 [Selected] カ ラ ムか ら プ ロ ト コ ルを削除す る には、 そのプ ロ ト コ ルを選択 し 、 <- 矢印を使用 し て プ ロ ト コ ルを [Available] カ ラ ムに戻 し ます。 [Application] い く つかのア プ リ ケーシ ョ ン、ま たは利用可能なすべてのア プ リ ケーシ ョ ン を選択 し ます。 特定のア プ リ ケーシ ョ ン を選択する には、 [Specify] を選択 し 、 必要な ア プ リ ケーシ ョ ン を [Available] カ ラ ムから [Selected] カ ラ ムに -> 矢印を使用 し て移動 し ます。 [Selected] カ ラ ムか ら ア プ リ ケーシ ョ ン を削除する には、 そのア プ リ ケー シ ョ ン を選択 し 、 <- 矢印を 使用 し て ア プ リ ケーシ ョ ン を [Available] カ ラ ムに戻 し ます。 [Quarantine Attackers (to Banned Users List)] 攻撃者を [Banned Users List] に追加する場合に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 不正侵入防御 [Method] [Attacker 痴 IP Address] を選択する と 、攻撃者の IP ア ド レ スか ら 送信 さ れ るすべての ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 攻撃者の IP ア ド レ スか ら の ト ラ フ ィ ッ ク が ブ ロ ッ ク さ れ る のは、 攻撃者の IP ア ド レ スが [Banned Users List] に追加 さ れてい る ためです。 [Attacker and Victim IP Addresses] を選択する と 、 攻撃者の IP ア ド レ スか ら 標的 ( 被害者 ) の IP ア ド レ スに送信 さ れるすべての ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 攻撃者の IP ア ド レ スか ら被害者以外の IP ア ド レ スへの ト ラ フ ィ ッ ク は許可 さ れます。 攻撃者およ び標的の IP ア ド レ スは、 [Banned User List ] に 1 つのエ ン ト リ と し て追加 さ れます。 [Attack 痴 Incoming Interface] を選択する と 、 攻撃を受けた FortiGate イ ン タ フ ェ ースに接続 し よ う と す る ト ラ フ ィ ッ ク を、 すべて ブ ロ ッ ク し ます。 こ の イ ン タ フ ェ ースは、 [Banned User List] に追加 さ れます。 [Logging] 隔離 さ れた攻撃者の情報を ロ グ記録す る場合に選択 し ます。 [Expires] 攻撃者を無期限に禁止す るか、 ま たは指定 さ れた日数、 時間数、 ま たは分 数に限 り 禁止するかを選択で き ます。 [Signature Settings] フ ィ ル タ に よ っ て、 以下のシグネチ ャ 設定が解除 さ れるか、 またはシグネ チ ャ のデ フ ォ ル ト 設定が使用 さ れるかを設定 し ます。 [ 有効 ] フ ィ ル タ に含まれる シグネチ ャ に対す る FortiGate ユニ ッ ト の動作を指定 する ために、 「すべて有効」 、 「すべて無効」 、 ま たは 「シグネチ ャ リ ス ト に表示 さ れる個別のデ フ ォ ル ト 値に応 じ て有効ま たは無効」 の、 いずれか のオプ シ ョ ン を選択 し ます。 [Logging] フ ィ ル タ に含まれる シ グネ チ ャ の ロ グ エ ン ト リ を FortiGate ユニ ッ ト に よ っ て作成す るか否かを指定する ために、 「すべて有効」、 「すべて無効」、 ま たは、 「シ グ ネ チ ャ リ ス ト に表示 さ れ る 個別のデ フ ォ ル ト 値に応 じ て 個々のロギ ン グ を有効ま たは無効」 の、 いずれかのオ プ シ ョ ン を選択 し ま す。 [ アクション ] シ グネチ ャ と 一致する ト ラ フ ィ ッ ク に対する FortiGate ユニ ッ ト の動作を 指定する ために、 「すべて ブ ロ ッ ク 」、 「すべて リ セ ッ ト 」、 または 「シグネ チ ャ リ ス ト に表示 さ れ る個別の値に応 じ て ト ラ フ ィ ッ ク を ブ ロ ッ ク ま た は許可」 の、 いずれかのオ プ シ ョ ン を選択 し ます。 定義済み置き換えおよびカスタム置き換え 定義済みおよび カ ス タ ムの置き換えは、 基本的に フ ィ ル タ と 同様に設定 し 、 また フ ィ ル タ のよ う に機能 し ます。 ただ し フ ィ ル タ と は異な り 、 個々の置き換えは 1 つのシグネチ ャの動作を定 義 し ます。 置き換えは、 以下の 2 つの方法で使用で き ます。 ・ すでに フ ィ ル タ に含まれている シグネチ ャの動作を変更 し ます。 た と えば、 Web サーバを 保護す るには、 サーバ と 関連する全シグネチ ャ を含みそれ ら を有効に設定 し た フ ィ ル タ を 作成 し ます。 必要に応 じ て こ れ らのシグネチ ャの 1 つを無効にす る場合、 置き換え を作成 し シグネチ ャ を無効に指定するのが最も 容易な方法です。 ・ どの フ ィ ル タ に も含まれない単独シグネチ ャ を、 IPS セ ンサーに追加 し ます。 こ れは、 カ ス タ ムのシグネチ ャ を IPS セ ンサーに追加する、 唯一の方法です。 定義済みシグネチ ャ を置き換えに指定する場合、 [Dfault] ス テー タ スお よび [ ア ク シ ョ ン ] の 属性は影響を受けません。置き換え を作成する と き、こ れ ら の設定を必ず明示的に設定 し ます。 定義済みまたはカ ス タ ムの置き換えの設定には、 いずれ も 以下の設定オプ シ ョ ンがあ り ます。 定 義 済 み お よ び カ ス タ ム の 置 き 換 え を 設 定 す る に は、 [UTM]、 [Intrusion Protection]、 [IPS Sensors] の順に選択 し 、 IPS セ ンサーか ら 設定 し ます。 注記 : ネットワーク トラフィックに対して置き換えを有効にするには、 まず置き換えをフィルタに追 加し、 IPS センサーを選択し、 さらにポリシーに適用する必要があります。 これらの手順を経な いと、 置き換えはネットワーク トラフィックに対して有効に機能しません。 [Configure IPS Override] こ こ では、定義済みおよ び カ ス タ ムの置 き換え を設定で き ます。 [IPS Sensor Settings] ページの [Override] セ ク シ ョ ン で [Add Pre-defined Override] または [Add Custom Override] を選択する と 、 画面が こ のページ に自動的に移動 し ます。 [Signature] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 参照ア イ コ ン を選択す る と 、 利用可能な シグネチ ャ が一覧表示 さ れます。 こ の一 覧か ら 、 置き換え を適用する シグネチ ャ を選択 し 、 [OK] を選択 し ます。 367 不正侵入防御 統合脅威管理 (UTM) [ 有効 ] シグネチ ャ の置 き換え を有効にする と き オ ン に し ます。 [ アクション ] [Pass] 、 [Block] 、 または [Reset] を選択 し ます。 置き換え を有効に設定する と 、 [ ア ク シ ョ ン ] の設定に応 じ て、 指定のシ グネ チ ャ を 含む ト ラ フ ィ ッ ク に対す る FortiGate ユニ ッ ト の動作が決ま り ます。 [Logging] こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 ネ ッ ト ワー ク ト ラ フ ィ ッ クか ら シグネ チ ャ が発見 さ れた場合に、 ロ グ エ ン ト リ を作成 し ます。 [Packet Log] こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と、 置 き換え を ト リ ガす るパケ ッ ト を FortiGate のハー ド ド ラ イ ブ に保存 し ます。 後か ら パケ ッ ト を検証で き ます。 詳 細については、 373 ページの 「パケ ッ ト ロギ ン グ」 を参照 し て く だ さ い。 [Quarantine Attackers こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 こ の置 き換えの NAC 隔離を有効に し ま (to Banned Users List)] す。 NAC 隔離の詳細については、 466 ページの 「NAC 隔離お よび禁止ユーザ リ ス ト 」 を参照 し て く だ さ い。 こ の設定にかかわ ら ず、 攻撃は、 IPS セ ンサーま たは DoS セ ンサーの設定に応 じ て、 FortiGate ユニ ッ ト に よ り 処理 さ れます。 [Method] [Attacker 痴 IP address] を選択す る と 、攻撃者の IP ア ド レ スか ら 送信 さ れるすべ ての ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 さ ら に攻撃者の IP ア ド レ スが、 [Banned User List] に追加 さ れます。 標的のア ド レ スは、 影響を受けません。 [Attacker and Victim IP Addresses] を選択す る と 、 攻撃者の IP ア ド レ スか ら 標的 ( 被害者 ) の IP ア ド レ スに送信 さ れる すべての ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 攻撃者の IP ア ド レ スか ら 被害者以外の IP ア ド レ スへの ト ラ フ ィ ッ ク は許可 さ れ ます。 攻撃者お よび標的の IP ア ド レ スは、 [Banned User List ] に 1 つのエ ン ト リ と し て追加 さ れます。 [Attack 痴 Incoming Interface] を選択する と 、攻撃を受けた FortiGate イ ン タ フ ェ ー ス に 接続 し よ う と す る ト ラ フ ィ ッ ク を、 すべ て ブ ロ ッ ク し ま す。 こ の イ ン タ フ ェ ースは、 [Banned User List] に追加 さ れます。 [Logging] 個別のシグネチ ャ を ロ グ記録する と き選択で き ます。 [Expires] 攻撃者を無期限に禁止するか、 ま たは指定 さ れた日数、 時間数、 または分数に限 り 禁止す るかを選択で き ます。 [Exempt IP] [Source] 置き換えか ら除外する IP ア ド レ ス を入力 し ます。 こ れに よ り 、 除外に指定 さ れ た以外のすべての IP ア ド レ スに、 置き換えが適用 さ れます。 除外 さ れる I P ア ド レ スは、 発信元およ び宛先のペア で定義 さ れ、 その発信元か ら 宛先に移動す る ト ラ フ ィ ッ クが置 き換えか ら 除外 さ れます。 除 外 さ れ る 発 信 元 IP ア ド レ ス。 す べ て の 発 信 元 IP ア ド レ ス を 含 む に は、 0.0.0.0/0 を入力 し ます。 [Destination]: 除外 さ れる宛先IP ア ド レ ス。すべての宛先IP ア ド レ ス を含むには、0.0.0.0/0 を入力 し ます。 [Add] 他の除外 IP ア ド レ ス を [Add] 下の リ ス ト に追加す る と き選択 し ます。 # リ ス ト 中の項目の順序を示す番号。 [Source] 入力 さ れる発信元 IP ア ド レ スお よびネ ッ ト マス ク 。 [Destination] 入力 さ れる宛先 IP ア ド レ スお よびネ ッ ト マ ス ク 。 削除アイコン リ ス ト か ら 項目を削除する場合に選択 し ます。 DoS センサー FortiGateIPS は、 ト ラ フ ィ ッ ク ア ノ マ リ 検出機能を使用 し 、 ト ラ フ ィ ッ クの一般的なパ タ ーン および動作に当てはま ら ないネ ッ ト ワー ク ト ラ フ ィ ッ ク を特定 し ます。た と えば、 フ ラ ッ デ ィ ングの 1 種には DoS 攻撃があ り ます。 DoS 攻撃は、 攻撃シ ス テムが標的のシ ステムに対 し て 異常に膨大な量のセ ッ シ ョ ン を開始する こ と で発生 し ます。 膨大なセ ッ シ ョ ンによ り 、 標的シ ステムの処理速度が著 し く 低下するか、 または機能停止の状態に陥 り 、 正規ユーザがそのシ ス テムを使用で き な く な り ます。 こ のよ う な DoS 攻撃が Dos セ ンサーの名前の由来ですが、 DoS セ ンサーは幅広いア ノ マ リ 攻撃を検出 し 防御する機能を備えています。 各 ト ラ フ ィ ッ ク ア ノ マ リ のロギン グ を有効または無効に設定で き る と と も に、 検出 し き い値 を設定 し 、 その値を超えた場合に実行 さ れる ア ク シ ョ ン も設定で き ます。 368 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 不正侵入防御 複数の DoS セ ンサーを作成で き ます。各セ ンサーには、12 のア ノ マ リ タ イ プが含まれてお り 、 それぞれのア ノ マ リ タ イ プ を設定で き ます。 セ ンサーに よ り ア ノ マ リ が検出 さ れる と 、 設定 さ れている ア ク シ ョ ンが適用 さ れます。 DoS ポ リ シーご と に、 使用する 1 つのセ ンサーを選択 し 、 各イ ン タ フ ェ ースのア ノ マ リ し き い値を個別に設定で き ます。 個々のセ ンサーは、 それ ら が DoS ポ リ シーによ り 追加 さ れる イ ン タ フ ェ ースの特有の条件に合わせて設定で き るので、複 数のセ ンサー を使用する こ と で、 非常に きめ細か く ア ノ マ リ を検出で き ます。 ト ラ フ ィ ッ ク ア ノ マ リ 検知 リ ス ト は、 FortiGate フ ァ ームウ ェ ア イ メ ージがア ッ プグ レー ド さ れた場合にのみ更新で き ます。 DoS セ ンサーが不適切に設定 さ れる と 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を妨害する原因にな るの で、 FortiGate ユニ ッ ト は DoS セ ンサー を と も なわない状態で出荷 さ れます。 まず DoS セ ン サーを独自に作成 し 、 それ ら を DoS ポ リ シーで選択する手順を経て、 DoS セ ンサーが有効に 機能 し ます。 新規作成 し たセ ンサーの し き い値は、 あ らか じ め推奨値に設定 さ れてお り 、 ネ ッ ト ワー クの必要性に応 じ てその値を調整で き ます。 FortiGate の CLI から 、 DoS セ ンサーの NAC 隔離を設定で き ます。 詳細については、 466 ペー ジの 「NAC 隔離の設定」 を参照 し て く だ さ い。 注記 : デ フ ォル ト のア ノ マ リ し き い値を変更する前に、 正常なネ ッ ト ワー ク ト ラ フ ィ ッ ク と 予測 さ れるネ ッ ト ワー ク ト ラ フ ィ ッ ク を把握する こ と が重要です。 し き い値を低 く 設定 し すぎ る と 誤検知が発生する可能性があ り 、 し き い値を高 く 設定 し すぎ る と 回避可能な攻 撃を見逃す可能性があ り ます。 注記 : FortiGate ユニ ッ ト でバーチ ャル ド メ イ ン を有効に設定 し ている場合は、 不正侵入 防御を各 VDOM で個別に設定する必要があ り ます。すべてのセ ンサーおよび カ ス タ ム シグ ネチ ャは、 それ らが作成 さ れた VDOM のみに表示 さ れます。 [DoS Sensor] ページ こ のページには、 デ フ ォ ル ト およ び作成済みの DoS セ ンサーが一覧表示 さ れます。 こ のページ では、 DoS セ ンサーを編集、 削除、 ま たは新規作成で き ます。 [Create New] DoS セ ンサー を新規作成する場合、 [New DoS Sensor] ページの画面に自動 的に移動 し ます。 [New DoS Sensor ] ページ には、 [ 名前 ] フ ィ ール ド およ び [ コ メ ン ト ] フ ィ ール ド があ り 、 [Edit DoS Sensor] ページ を表示す る には必 ず名前を入力 し ます。 [ 名前 ] DoS セ ンサーの名前。 [ コメント ] オプ シ ョ ン で記述 さ れる、 DoS セ ンサーの説明。 削除アイコン DoS セ ンサーを削除 し ます。 編集アイコン [ ア ク シ ョ ン ]、 [ 重要度 ]、 お よび [Threshold] の情報を編集 し ます。 [Edit DoS Sensor] ページ こ のページ では、 ア ク シ ョ ンの種類、 し き い値量の設定、 お よ び必要に応 じ て ア ノ マ リ のロ ギ ン グ を有 効に設定で き ます。 設定可能な ア ノ マ リ は、 デ フ ォ ル ト で 12 種類あ り ます。 DoS セ ンサーを編集する場 合は、 画面が こ のページに移動 し ます。 [ 名前 ] DoS セ ンサーの名前を入力ま たは変更 し ます。 [ コメント ] オプ シ ョ ン で、DoS セ ンサーの説明を入力または変更で き ます。 こ の フ ィ ー ル ド に入力 さ れる説明は、 DoS セ ンサー リ ス ト に表示 さ れます。 [Anomalies Configuration] [ 名前 ] ア ノ マ リ の名前。 [ 有効 ] DoS セ ンサーを有効に し て、指定 さ れた ア ノ マ リ の発生を検出する と き、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 ヘ ッ ダ行にあ る チ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、 すべてのア ノ マ リ を有効に し ます。 [Logging] DoS セ ンサー を有効に し て、 発生 し た ア ノ マ リ を ロ グ記録す る と き、 こ の チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 ヘ ッ ダ行にあ る チ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、 すべてのア ノ マ リ のロ ギ ン グ を 有効に し ます。 有効に設定 さ れていないア ノ マ リ は、 ロ グ記録 さ れません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 369 不正侵入防御 統合脅威管理 (UTM) [ アクション ] [Pass] を選択す る と 、 FortiGate ユニ ッ ト で検出 さ れた異常な ト ラ フ ィ ッ ク を許可 し 、 [Block] を選択する と そのよ う な ト ラ フ ィ ッ ク を許可 し ません。 [Threshold] [ ア ク シ ョ ン ] に指定 さ れてい る ア ノ マ リ 対処機能 (Pass ま たは Block) が FortiGate ユニ ッ ト に よ り ト リ ガ さ れる ま での、 異常な動作が見 ら れる セ ッ シ ョ ン / パケ ッ ト の数を表示 し ます。 必要に応 じ て、 数値を変更で き ます。 設定範囲は、 1 ~ 2 147 483 647 です。 こ れ ら の設定が特定ア ノ マ リ に どの よ う に影響するかについては、 370 ページの表 52 を参照 し て く だ さ い。 アノマリについて DoS セ ンサーには、 TCP、 UDP、 ICMP のプ ロ ト コ ルご と に、 4 種類の統計的な ア ノ マ リ タ イ プがあ り ます。 こ れによ り DoS セ ンサーには、 表 52 に示 さ れる合計 12 種類のア ノ マ リ 設定 項目があ り ます。 表 52: 12 種類のアノマリ設定項目 アノマリ 説明 tcp_syn_flood 1 つの宛先 IP ア ド レ スへの SYN パケ ッ ト 転送速度 ( 再送信を含む ) が、 設定 さ れて い る し き い値 を 超え る と 、 ア ク シ ョ ン が実行 さ れま す。 し き い値は、 パケ ッ ト / 秒の単位で示 さ れます。 tcp_port_scan 1 つの発信元 IP ア ド レ スか ら の SYN パケ ッ ト 転送速度 ( 再送信を含む ) が、 設定 さ れてい る し き い値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 し き い値 は、 パケ ッ ト / 秒の単位で示 さ れます。 tcp_src_session 1 つの発信元 IP ア ド レ スか ら の同時 TCP 接続の数が、設定 さ れてい る し き い 値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 tcp_dst_session 1 つの宛先 IP ア ド レ スへの同時 TCP 接続の数が、設定 さ れてい る し き い値を 超え る と 、 ア ク シ ョ ンが実行 さ れます。 udp_flood 1 つの宛先 IP ア ド レ スへの UDP ト ラ フ ィ ッ クが、設定 さ れてい る し き い値を 超え る と 、 ア ク シ ョ ンが実行 さ れます。 し き い値は、 パケ ッ ト / 秒の単位で 示 さ れます。 udp_scan 1 つの発信元 IP ア ド レ スか ら 発生する UDP セ ッ シ ョ ンの数が、設定 さ れてい る し き い値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 し き い値は、 パケ ッ ト / 秒の単位で示 さ れます。 udp_src_session 1 つの発信元 IP ア ド レ スか ら の同時 UDP 接続の数が、設定 さ れてい る し き い 値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 udp_dst_session 1 つの宛先 IP ア ド レ スへの同時 UDP 接続の数が、設定 さ れてい る し き い値を 超え る と 、 ア ク シ ョ ンが実行 さ れます。 icmp_flood 1 つの宛先 IP ア ド レ スに送信 さ れる ICMP パケ ッ ト の数が、 設定 さ れている し き い値 を超え る と 、 ア ク シ ョ ンが実行 さ れます。 し き い値は、 パケ ッ ト / 秒の単位で示 さ れます。 icmp_sweep 1 つの発信元 IP ア ド レ スか ら 発生する ICMP パケ ッ ト の数が、 設定 さ れてい る し き い値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 し き い値は、 パケ ッ ト / 秒の単位で示 さ れます。 icmp_src_session 1 つの発信元 IP ア ド レ スか ら の同時 ICMP 接続の数が、 設定 さ れてい る し き い値を超え る と 、 ア ク シ ョ ンが実行 さ れます。 icmp_dst_session 1 つの宛先 IP ア ド レ スへの同時 ICMP 接続の数が、 設定 さ れてい る し き い値 を超え る と 、 ア ク シ ョ ンが実行 さ れます。 定義済みシグネチャ IPS セ ンサーに必要な シグネチ ャ を グループ化 し た後は、 FortiGate 不正侵入防御シ ス テムに よ っ てそれ ら のシグネチ ャ を使用で き ます。 必要に応 じ て、 IPS セ ンサーに指定 さ れている シ グネチ ャのデ フ ォル ト 設定を置き換え る こ と も で き ます。 FortiGate ユニ ッ ト には、 多数の IPS セ ン サーがあ ら か じ め内蔵 さ れ て い ま すが、 IPS セ ン サー を 使用す る 前に それ ら の設定 を チ ェ ッ ク し 、 ネ ッ ト ワー ク の要件を満たすかど う かを確かめる こ と が重要です。 必要なシグネチ ャのみを使用する こ と で、 シ ス テムのパ フ ォ ーマ ン ス を強化 し 、 IPS セ ンサー によ り 作成 さ れる ログ メ ッ セージおよびア ラ ー ト メ ール メ ッ セージの数を削減で き ます。 た と えば、 FortiGate ユニ ッ ト が Web サーバを保護 し ない場合は、 Web サーバのシグネチ ャ は含 まれません。 370 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 不正侵入防御 定義済みのシグネチ ャ リ ス ト は、 [UTM]、 [Intrusion Protection]、 [Predefined] の順に選択 し て 表示で き ます。 こ の リ ス ト には、 現在 FortiGuard Center Vulnerability Encyclopedia に含まれて い る シグネチ ャ が表示 さ れます。 こ のエ ンサイ ク ロ ペデ ィ アには、 [Predefined] メ ニ ュ ーには 含 ま れ る シ グ ネ チ ャ 以外の、 他の シ グ ネ チ ャ も 含 ま れ て い ま す。 各 シ グ ネ チ ャ の名前は、 Vulnerability Encyclopedia に 含 ま れ る そ の シ グ ネ チ ャ の エ ン ト リ と リ ン ク し て い ま す。 Vulnerability Encyclopedia には、 シグネチ ャ に よ り 検出 さ れた攻撃についての説明があ り 、 推奨 さ れる ア ク シ ョ ンお よび詳細情報への リ ン クが記載 さ れています。 定義済みシグネチ ャ リ ス ト には、 攻撃の重大度、 プ ロ ト コ ル、 各シグネチ ャ に影響 さ れる ア プ リ ケーシ ョ ン な どの特性 も含まれています。 こ れ らの特性は、 シグネチ ャ の目的を理解する ための ク イ ッ ク リ フ ァ レ ン ス と し て役立ち ます。 また、 こ れ ら の特性を シグネチ ャ リ ス ト の 並べ替えに利用 し 、 共通の特性ご と にシ グネチ ャ を グループ化で き ます。 シグネチ ャ リ ス ト には、 デ フ ォ ル ト のア ク シ ョ ン、 デ フ ォ ル ト のロギング ス テー タ ス、 お よびシグネチ ャ がデ フ ォル ト で有効かど う かも 表示 さ れます。 シグネチ ャは、 デ フ ォ ル ト で名前を基準に並べ ら れ ています。 定義済みシグネチ ャ を表示する には、 [UTM]、 [Intrusion Protection]、 [Predefined] の順に選択 し ます。 注記 : FortiGate ユニ ッ ト でバーチ ャル ド メ イ ン を有効に設定 し ている場合は、 不正侵入 防御を各 VDOM で個別に設定 し ます。 すべてのセ ンサーおよび カ ス タ ム シグネチ ャは、 そ れ らが作成 さ れた VDOM のみに表示 さ れます。 [Predefined] ページ こ のページには、 現在 FortiGate ユニ ッ ト に含まれている定義済みシ グネチ ャ が一覧表示 さ れます。 シグ ネチ ャ の名前を選択する と 、FortiGuard Center Vulnerability Encyclopedia に記載 さ れてい る そのシグネチ ャ の詳細な定義の画面に、 自動的に移行 し ます。 ま た こ のページ には、 どのシ グネチ ャ が有効ま たは無効 に設定 さ れてい るかが表示 さ れます。 [Column Settings] 一覧表示 さ れて い る シ グ ネチ ャ 情報 を カ ス タ マ イ ズす る 場合に選択 し ま す。 ま た、 カ ラ ムの順序を再調整す る こ と も で き ます。 詳細については、 34 ページの 「表示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 お よび 35 ページの 「カ ラ ム設定 と 組み合 わせた フ ィ ル タ の使用」 を参照 し て く だ さ い。 [Clear All Filters] 定義済みシグネチ ャ リ ス ト 表示に フ ィ ル タ リ ン グ を適用 し てい る場合は、 すべての フ ィ ル タ を解除 し シグネチ ャ を すべて表示する と き、こ のオ プ シ ョ ン を選択 し ます。 [Filter] 指定 し た条件に応 じ て定義済みシ グネ チ ャ リ ス ト を フ ィ ル タ 処理ま たは並べ替え る ための、 カ ラ ム フ ィ ル タ を編集 し ます。 詳細については、 32 ページの 「Web ベー ス マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 [ 名前 ] こ の シ グ ネ チ ャ の 名 前。 各 シ グ ネ チ ャ の 名 前 は、 FortiGuard Center Vulnerability Encyclopedia に含まれる シグネチ ャ の説明に リ ン ク し ています。 [ 重要度 ] こ のシグネチ ャ の重大度。重大度のレ ベルは、低か ら 高の順に、[Information]、[Low]、 [Medium]、 [High]、 お よ び [Critical] です。 [Target] こ のシグネチ ャ の対象。 サーバま たは ク ラ イ ア ン ト 、 あ るいは こ の双方です。 [Protocols] こ のシグネチ ャ が適用 さ れる プ ロ ト コ ル。 [OS] こ のシグネチ ャ が適用 さ れる オペ レ ーテ ィ ン グ シ ス テム。 [Applications] こ のシグネチ ャ が適用 さ れる ア プ リ ケーシ ョ ン。 [ 有効 ] シ グネ チ ャ のデ フ ォ ル ト の状態。 緑色の円は こ のシ グ ネチ ャ が有効な こ と を 示 し 、 灰色の円はシグネチ ャ が有効で ない こ と を示 し ます。 [ アクション ] シ グネチ ャ のデ フ ォ ル ト のア ク シ ョ ン。 Pass - 変更を加えずに ト ラ フ ィ ッ ク を許可 し ます。 Drop - シグネチ ャ が検出 さ れた ト ラ フ ィ ッ ク を、宛先ま で到達 さ せずに破棄 し ます。 ロギ ン グが有効に設定 さ れてい る場合は、 こ のシグネチ ャ に よ っ て生成 さ れる ロ グ メ ッ セージのス テー タ ス フ ィ ール ド にア ク シ ョ ンが表示 さ れます。 ヒント: IPS 保護機能がネットワーク トラフィックにどのように作用するかを確認するに は、必要なシグネチャを有効にして、[ アクション ] を [Pass] に設定し、ロギングを有 効に設定します。トラフィックは中断されませんが、どのシグネチャが検出されたかを詳 しく調べることができます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 371 不正侵入防御 統合脅威管理 (UTM) 表示フィルタの使用 デ フ ォル ト では、 すべての定義済みシグネチ ャ が表示 さ れます。 特定のシグネチ ャのみを表示 す るには、 フ ィ ル タ を適用で き ます。 た と えば、 Windows シグネチ ャ のみを表示する場合は、 OS ス テー タ ス フ ィ ル タ を使用 し ます。詳細については、 32 ページの 「Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 カスタム シグネチャ 注意 : カ ス タ ム シグネチ ャ は高度な機能です。 こ の ド キ ュ メ ン ト では、 本書の読者ユーザ が不正侵入検知シグネチ ャ作成の経験者である こ と を前提に し ています。 カ ス タ ム シグネチ ャは、 さ ま ざ ま なネ ッ ト ワー ク環境に合わせて FortiGate 不正侵入防御シ ス テムを カ ス タ マ イ ズす る ための、 高度な機能 と 柔軟性を備え ています。 FortiGate の定義済み シグネチ ャ は、 一般的な攻撃を カバー し ています。 例外的なア プ リ ケーシ ョ ンや特殊な ア プ リ ケーシ ョ ン、 または一般的でないプ ラ ッ ト フ ォ ームを使用 し てい る場合は、 ア プ リ ケーシ ョ ン ま たはプ ラ ッ ト フ ォ ームのベ ン ダか ら リ リ ース さ れる セキ ュ リ テ ィ 警告に応 じ て、 カ ス タ ム シグネチ ャ を追加で き ます。 また、 P2P プ ロ ト コ ルのブ ロ ッ ク に有用な カ ス タ ム シグネチ ャ も作成で き ます。 カ ス タ ム シグネチ ャ を作成 し た後は、 ト ラ フ ィ ッ ク スキ ャ ンのために作成 し た IPS セ ンサー に、 そのシグネチ ャ を指定する必要があ り ます。 カ ス タ ム シグネチ ャは、特定の ト ラ フ ィ ッ ク を ブ ロ ッ ク または許可する ために使用 し ます。た と えば、 公序良俗に反する内容を含む ト ラ フ ィ ッ ク を ブ ロ ッ ク するには、 次のよ う な カ ス タ ム シグネチ ャ を追加 し ます。 set signature 'F-SBID (--protocol tcp; --flow bi_direction; -pattern "bad words"; --no_case)' カ ス タ ム シグネチ ャ を実際に機能 さ せるには、IPS フ ィ ル タ のシグネチ ャ置き換えにそのシグ ネチ ャ を追加す る必要があ り ます。 カ ス タ ム シグネチ ャ を作成 し て も、 単に作成 し ただけで は、 ト ラ フ ィ ッ ク に対 し て何の効果 も 作用 し ません。 カスタム シグネチャを設定するには、 [UTM]、 [Intrusion Protection]、 [Custom] の順に選択します。 注記 : FortiGate ユニ ッ ト でバーチ ャル ド メ イ ン を有効に設定 し ている場合は、 不正侵入 防御を各 VDOM で個別に設定 し ます。 すべてのセ ンサーおよび カ ス タ ム シグネチ ャは、 そ れ らが作成 さ れた VDOM のみに表示 さ れます。 [Custom] ページ こ のページ には、 作成済みの カ ス タ ム シ グネ チ ャ が一覧表示 さ れます。 こ のページ では、 カ ス タ ム シグネチ ャ を編集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を選択する と 、 [New Custom Signature] ページの画面に自動的に移 動 し ます。 編集アイコン カ ス タ ム シグネチ ャ を編集す る場合に選択 し ます。 削除アイコン こ のページの リ ス ト か ら カ ス タ ム シグネチ ャ を削除す る と き選択 し ます。 [ 名前 ] カ ス タ ム シグネチ ャ の名前。 [Signature] シグネチ ャ 本体。 [New Custom Signature] ページ 372 [ 名前 ] カ ス タ ム シグネチ ャ の名前を入力 し ます。 [Signature] シグネチ ャ を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) パケ ッ ト ロギング プロトコル デコーダ FortiGate の不正侵入防御シ ス テムは、 プ ロ ト コ ル デ コ ーダ を使用す る こ と によ り 、 プ ロ ト コ ル要件および規格に一致 し ない異常な ト ラ フ ィ ッ ク パ タ ーン を特定 し ます。 た と えば、 HTTP デ コ ーダは ト ラ フ ィ ッ ク を監視 し て、 HTTP プ ロ ト コ ル規格 と 一致 し ない HTTP パケ ッ ト を特 定 し ます。 リ フ ァ レ ン ス と し て提供 さ れてい るデ コ ーダ リ ス ト は、 CLI か ら設定内容を編集で き ます。 詳 細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 プ ロ ト コ ル デ コ ーダ を表示す る には、 [UTM]、 [Intrusion Protection]、 [Protocol Decoder] の順 に選択 し ます。 [Protocol Decoder] ページ こ のペー ジ には、 FortiGate ユ ニ ッ ト に含まれて い る 現行の プ ロ ト コ ル デ コ ーダが一覧表示 さ れま す。 FortiGate ユニ ッ ト は、 FDN への問い合わせに よ り 、 こ の リ ス ト を自動的に更新 し ます。 こ の リ ス ト には、 プ ロ ト コ ル デ コ ーダに よ っ て監視 さ れる ポー ト 番号が含まれています。 [Protocols] プ ロ ト コ ル デ コ ーダの名前。 [Ports] こ のデ コ ーダが監視する (1 つま たは複数の ) ポー ト 番号。 IPS プロトコル デコーダ リストのアップグレード 不正侵入防御シ ス テムのプ ロ ト コ ル デ コ ーダは、 既存のデ コ ーダ設定を変更 し た と き、 ま た は新 し いデ コ ーダ を追加 し た と き、 FDN (FortiGuard Distribution Network) に よ り 自動的にア ッ プグ レー ド さ れます。 プ ロ ト コ ル デ コ ーダ リ ス ト は、FDN によ っ て、既存 IM/P2P の最新バー ジ ョ ンおよび新 し いア プ リ ケーシ ョ ン な どの新たな脅威に対する保護を含む、最新の状態に維 持 さ れます。 パケット ロギング パケ ッ ト ロギングは、 カ ス タ ム シグネチ ャ をデバ ッ グする ための手法であ り 、 あ ら ゆる シグ ネチ ャがネ ッ ト ワー ク 環境で どのよ う に機能するかを知るための手法で も あ り ます。 カ ス タ ム置き換え で シ グネチ ャ を選択 し 、 パケ ッ ト ロギン グ を有効にす る と 、 シグネチ ャ を ト リ ガするすべてのネ ッ ト ワー ク パケ ッ ト が FortiGate ユニ ッ ト によ っ て、 メ モ リ 、 内蔵ハー ド ド ラ イ ブ ( こ の目的で設置 さ れている場合 )、 FortiAnalyzer、 または FortiGuard Analysis およ び Management Service に保存 さ れます。 こ れ ら の保存 さ れたパケ ッ ト は、 後か ら表示 し PCAP 形式で保存 し て、 詳 し く 検証で き ます。 パケ ッ ト のログ記録は、 IPS セ ンサーの中で、 定義済み置き換え またはカ ス タ ム置き換え で有 効に設定で き ます。 IPS セ ンサーを表示する には、 [UTM]、 [Intrusion Protection]、 [IPS Sensor] の順に選択 し ます。 パケット ロギングの設定 パケ ッ ト ロギン グによ っ て、 IPS シグネチ ャ に一致する ネ ッ ト ワー ク パケ ッ ト が、 攻撃ログ に保存 さ れます。 こ のログの種類は、 診断ツールの一種 と し て使用する ためのログです。 ロギ ング さ れたパケ ッ ト は、そのログの保存場所 と し て設定 さ れてい る FortiAnalyzer ユニ ッ ト など の場所に、 FortiGate ユニ ッ ト によ っ て保存 さ れます。 パケ ッ ト ロギングは、 シグネチ ャ置き換えのみで利用で き、 IPS セ ンサーまたは フ ィ ル タ で利 用で き る オ プ シ ョ ン ではあ り ません。 と い う の も、 多数のシグネチ ャ でパケ ッ ト ロギン グ を 有効にする と 、 利用不可能な多数のデー タ を生成する原因にな るか ら です。 パケ ッ ト ロギングを詳細設定する ために、 多数の CLI コ マ ン ド が用意 さ れています。 メ モ リ にロギングする と きは、 packet-log-memory コ マ ン ド によ り 、 ロギング さ れたパケ ッ ト を保存する ための最大 メ モ リ 容量を定義 し ます。 こ の コ マ ン ド は、 メ モ リ にロギングする場合 のみ有効です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 373 Web フ ィ ル タ 統合脅威管理 (UTM) シグネチ ャ を含むパケ ッ ト だけでは問題解決に不十分な場合には、 packet-log-history コ マ ン ド を使用 し 、パケ ッ ト か ら IPS シグネチ ャ が検出 さ れた と きキ ャ プ チ ャ するパケ ッ ト の 量を指定で き ます。 こ の値を 1 よ り 大き く 設定する と 、 シグネチ ャ を含むパケ ッ ト 、 お よびそ のパケ ッ ト に先行するパケ ッ ト の双方を、 コ マ ン ド の設定値 と 同 じ 合計数だけパケ ッ ト ロ グ に保存で き ます。 た と えば、 packet-log-history を 7 に設定する と 、 FortiGate ユニ ッ ト に よ っ て、 IPS シグネチ ャ を含むパケ ッ ト 、 およびそれに先行する 6 個のパケ ッ ト が保存 さ れます。 FortiGate ユニ ッ ト によ り ロギン グ さ れたパケ ッ ト を、 表示または保存で き ます。 ロギング さ れたパケ ッ ト は、 PCAP 形式で保存で き ます。 PCAP 形式の フ ァ イルは、 Wireshark な どのネ ッ ト ワー ク分析 ソ フ ト ウ ェ ア を使用 し て表示 し 、 詳 し く 検証で き ます。 注記 : packet-log-history の値を 1 よ り 大き く 設定する と 、ネ ッ ト ワー ク ト ラ フ ィ ッ ク をバ ッ フ ァ する必要がある こ と か ら、 FortiGate ユニ ッ ト の性能が制限 さ れる場合があ り ます。 性能がどの程度制限 さ れるかは、 モデル、 設定、 お よび ト ラ フ ィ ッ ク の負荷に応 じ て異な り ます。 Web フィルタ こ こ では、[Web Filtering] メ ニ ュ ーに含まれている FortiGate Web フ ィ ル タ リ ング オプ シ ョ ンに ついて説明 し ます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ スキ ャ ンお よび イ ン スペ ク シ ョ ン を サポー ト する場合は、 HTTPS ト ラ フ ィ ッ クの Web フ ィ ル タ リ ング を設定で き ます。 詳 し く は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM」 の章を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に Web フ ィ ル タ リ ング を個別に設定 し ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ プ ロ フ ァ イル ・ We コ ン テ ン ツ フ ィ ル タ URL フ ィ ル タ ・ URL フ ィ ル タ ・ 上書き ・ ロ ー カル カ テ ゴ リ ・ ロ ー カル評価 ・ レポー ト プロファイル [Profile] メニューには、 ファイアウォール ポリシーに適用する Web フィルタ プロファイルの設定が含 まれています。 プロファイルに含まれる特定の情報は、 ポリシーに基づきトラフィックがどのように検 証され、 検証に基づいてどのようなアクションが実行されるかを定義します。 FortiGuard カ テ ゴ リ 機能によ り SSL プ ロキシ除外を使用する場合は、 [New Web Filter Profile] ページの [Web Filtering] セ ク シ ョ ン で こ の機能を有効にする必要があ り ます。 SSL プ ロキシ除 外機能によ っ て、 FortiGuard カ テ ゴ リ に基づ く 特定の宛先に接続する際に、 FortiGuard カ テ ゴ リ がプ ロキシ設定を迂回で き る よ う にな り ます。こ の Web フ ィ ル タ リ ング チ ェ ッ ク によ っ て、 接続を除外する必要があるかど う かはチ ェ ッ ク さ れず、 ト ラ フ ィ ッ クのブ ロ ッ キングまたはロ ギン グが HTTP プ ロキシ で通常どお り に発生 し ます。 Web フ ィ ル タ プ ロ フ ァ イルを設定するには、 [UTM]、 [Web Filter]、 [Profile] の順に選択 し ます。 [Profile] ページ こ のページ には、 作成済みの Web フ ィ ル タ プ ロ フ ァ イ ルが一覧表示 さ れます。 こ のページ では、 Web フ ィ ル タ プ ロ フ ァ イ ルを編集、 削除、 ま たは新規作成で き ます。 374 [Create New] 新 し い Web フ ィ ル タ プ ロ フ ァ イ ルを作成する と き選択 し ます。 編集アイコン Web フ ィ ル タ プ ロ フ ァ イ ルの設定を変更する と き選択 し ます。 削除アイコン Web フ ィ ル タ プ ロ フ ァ イ ルを削除す る と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ [ 名前 ] Web フ ィ ル タ プ ロ フ ァ イ ルの名前。 [ コメント ] Web フ ィ ル タ プ ロ フ ァ イ ルの説明。 こ の設定は、 オ プ シ ョ ン です。 [New Web Filter Profile] ページ こ のページ で、 Web フ ィ ル タ プ ロ フ ァ イルを設定で き ます。 Web コ ン テ ン ツ フ ィ ル タ を有効にする場合 は Web コ ン テ ン ツ フ ィ ル タ 、 Web URL フ ィ ル タ を有効にする場合は URL フ ィ ル タ が、 それぞれ必要で す。 Web フ ィ ル タ プ ロ フ ァ イ ルを編集する場合は、 画面が [Edit Web Filter Profile] ページに移動 し ます。 [ 名前 ] Web フ ィ ル タ プ ロ フ ァ イ ルの名前を入力 し ます。 [ コメント ] Web フ ィ ル タ プ ロ フ ァ イ ルの説明を入力 し ます (入力はオ プ シ ョ ン です)。 [Web Content Filter] Web コ ン テ ン ツ フ ィ ル タ リ ン グ に 適用す る プ ロ ト コ ル を 選択 し ま す。 [Options] カ ラ ムで、 ド ロ ッ プ ダウ ン リ ス ト か ら Web コ ン テ ン ツ フ ィ ル タ リ ス ト を選択 し ます。 Web コ ン テ ン ツ フ ィ ル タ を ロ グ記録する には、 [Logging] カ ラ ムのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 し き い値を適用する には、 [Threshold] フ ィ ール ド に数値を入力 し ます。 [Web URL Filter] Web URL フ ィ ル タ リ ン グ に適用す る プ ロ ト コ ル を 選択 し ま す。 [Options] カ ラ ムで、ド ロ ッ プ ダウ ン リ ス ト か ら URL フ ィ ル タ リ ス ト を選択 し ます。 URL フ ィ ル タ リ ン グ を ロ グ記録す る には、[Logging] カ ラ ムのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [Safe Search] 有効に設定す る と 、 サポー ト さ れる検索エ ン ジ ンは、 検索結果か ら 攻撃的 な情報 を 除外 し ま す。 こ のオ プ シ ョ ン で有効に設定可能 な検索エ ン ジ ン は、 Google、 Yahoo!、 およ び Bing です。 [Google] [Options] カ ラ ムにあ る こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 Google 検 索に適用 さ れる セー フ サーチ保護の厳格な フ ィ ル タ リ ン グ レ ベルを強制 的に設定 し ます。 厳格な フ ィ ル タ リ ン グは、 明示的な テキス ト お よび画像 の双方を フ ィ ル タ 処理 し ます。 [Yahoo!] [Options] カ ラ ムにあ る こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 Yahoo! 検 索に適用 さ れる セー フ サーチ保護の厳格な フ ィ ル タ リ ン グ レ ベルを強制 的に設定 し ます。 [Bing] [Options] カ ラ ムにあ る こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 Bing 検索 に適用 さ れる セー フ サーチ保護の厳格な フ ィ ル タ リ ン グ レ ベルを強制的 に設定 し ます。 [FortiGuard Web Filtering] FortiGuard Web フ ィ ル タ リ ン グのオプ シ ョ ン を有効に設定 し 、 プ ロ フ ァ イ ルに適用 し ます。 Web フ ィ ル タ リ ン グの設定を 適用する プ ロ ト コ ルのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 FortiGuard カ テ ゴ リ に よ り SSL Exempt のプ ロキシ除外を有効に設定する には、 有効にする カ テ ゴ リ 行の [SSL Exempt] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 FortiGuard Quota 設 定 を 適 用 す る こ と も で き ま す。 [Classification] で、 FortiGuard Quota 設定を適用で き ます。 [FortiGuard Web Filtering Override] プ ロ フ ァ イ ルで Web フ ィ ル タ リ ン グ置き換えオ プ シ ョ ン を可能にする と き、 有効に設定 し ます。 こ れ ら のオ プ シ ョ ンは、 FortiGuard Web フ ィ ル タ リ ン グに よ り ブ ロ ッ ク さ れてい る Web サ イ ト にア ク セ スす る必要があ る ユーザのために提供 さ れています。 Web フ ィ ル タ リ ン グ置き換え を適用す る プ ロ ト コ ルのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 プ ロ ト コ ルは必ず選択 し ます。 選択 し ない場合は、 オプ シ ョ ン に ア ク セ ス で き ません。 各種 Web カ テ ゴ リ を ユ ーザが ブ ラ ウ ズ で き る 時間 を 指定す る 場合は、 [FortiGuard Web Filtering Override] の [FortiGuard Web Quota ] 領域で [ 有効 ] を選択 し ます。 時間の長 さ は、 時間、 分、 ま たは秒単位で指定で き ます。 [Override Scope] ド ロ ッ プ ダウ ン リ ス ト から 、 いずれかのオプ シ ョ ン を選択 し ます。 [Override Type] ド ロ ッ プ ダウ ン リ ス ト から 、 いずれかのオプ シ ョ ン を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 375 Web フ ィ ル タ 統合脅威管理 (UTM) [Off-site URLs] こ のオプ シ ョ ンは、 上書き Web ページが、 ブ ロ ッ ク さ れてい る オ フ サ イ ト URL か ら 画像な どの コ ン テ ン ツ を表示するかど う かを定義 し ます。 た と えば、 すべての FortiGuard カ テ ゴ リ がブ ロ ッ ク さ れてお り 、 別の ド メ イ ンか ら 画像が提供 さ れているサ イ ト を閲覧する と し ます。 そのサ イ ト の デ ィ レ ク ト リ 上書き を作成 し 、 そのページ を表示で き ます。 [Off-site URL] を [Deny] に設定す る場合は、 そのページの全画像は既存の上書きルール が適用 さ れない別の ド メ イ ンか ら 転送 さ れてい るので、画像は崩れて表示 さ れます。 [Off-site URL] を [Allow] に設定する場合は、 そのページの画像 は正常に表示 さ れます。 そのページ上書きの対象に含まれるユーザのみが、 一時的な上書き に よ る 画像を表示で き ます。 新 し い上書きルールを作成する必要な く 、 ユーザは 画像の元 と な る そのサ イ ト のどのページ も ( ページが画像自体 と 同 じ デ ィ レ ク ト リ か ら 提供 さ れていない限 り ) 表示で き な く な り ます。 [Override Time] 上書きルールが終了する時点を指定 し ます。 [User Group] [Override Scope] で [User Group] を選択 し てい る場合は、[Available] カ ラ ム でそのユーザ グループ選択 し 、そのグループ を [Selected] カ ラ ムに移動 し ます。 [Advanced Filter] 利用可能な高度な フ ィ ル タ オプ シ ョ ン を選択 し ます。 こ れ ら のオ プ シ ョ ン を ロ グ記録す る 場合は、 [Logging] カ ラ ムのチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [HTTP POST Action] 行では、[Option] ド ロ ッ プ ダウ ン リ ス ト か ら ア ク シ ョ ン を選択 し ます。 We コンテンツ フィルタ Web コ ン テ ン ツ フ ィ ル タ によ り 、Web ページへのア ク セス を制御する特定の語彙またはパ タ ー ンの リ ス ト を設定で き ます。 た と えば、 Example と い う 単語を含む Web ページには誰 も ア ク セ スで き ないよ う に設定で き ます。 また、 ワ イル ド カ ー ド または Perl 正規表現を入力 し 、 Web コ ン テ ン ツ を フ ィ ル タ リ ングで き ます。 注記 : Web コ ン テ ン ツ フ ィ ル タ では、 Perl 正規表現パ タ ーンの大文字 と 小文字は区別 さ れ ます。単語または語句の大文字 と 小文字が区別 さ れないよ う にするには、正規表現の /i を 使用 し ます。 た と えば、 /bad language/i を指定する と 、 文字の大小にかかわ ら ず、 bad language と い う フ レーズであればすべて ブ ロ ッ ク さ れます。 ワ イル ド カ ー ド パ タ ーン では、 文字の大小は区 別 さ れません。 詳細については、 393 ページの 「ワ イル ド カ ー ド および Perl 正規表現の使 用」 を参照 し て く だ さ い。 Web コ ン テ ン ツ フ ィ ル タ が有効の場合、 フ ァ イ アウ ォ ール ポ リ シーでは、 要求 さ れたすべて の Web ページは コ ン テ ン ツ フ ィ ル タ リ ス ト に対する チ ェ ッ クが行われます。 ページに現れる 各パ タ ーンのス コ ア値が加算 さ れ、 その合計が、 Web フ ィ ル タ プ ロ フ ァ イルに設定 さ れてい る し き い値を超え る と 、 そのページはブ ロ ッ ク さ れます。 ある同 じ パ タ ーンが Web ページに 繰 り 返 し 現れて も、 そのパ タ ーンにス コ アが適用 さ れるのは 1 回のみです。 パ タ ー ン ご と に、 [Block] ま たは [Exempt] を 選択で き ます。 [Block] は、 パ タ ー ン と 一致す る Web ページへのア ク セス を ブ ロ ッ ク し ます。 [Exempt] は、 Web ページへのア ク セス を ブ ロ ッ ク する他のエ ン ト リ が リ ス ト 中にある場合で も、 その Web ページへのア ク セス を可能に し ます。 Web コ ン テ ン ツパ タ ーンには、 1 単語または最大 80 文字のテキス ト 文字列が可能です。 リ ス ト 中には、 最大 5,000 のパ タ ーン を含む こ と がで き ます。 Web コ ン テ ン ツ フ ィ ル タ を設定するには、 [UTM]、 [Web Filter]、 [Web Content Filter] の順に選 択 し ます。 [Web Content Filter] ページ こ のページには、 作成済みの Web コ ン テ ン ツ フ ィ ル タ が一覧表示 さ れます。 こ のページ では、 Web コ ン テ ン ツ フ ィ ル タ を編集、 削除、 ま たは新規作成で き ます。 376 [Create New] [Create New] を選択する と 、 [New List] ページの画面に自動的に移動 し ま す。 [New List] ページには、 [ 名前 ] フ ィ ール ド およ び [ コ メ ン ト ] フ ィ ー ル ド があ り 、 [Web Content Filter List] ページ を表示する には リ ス ト の名前 を入力する必要があ り ます。 [ 名前 ] Web コ ン テ ン ツ フ ィ ル タ リ ス ト の名前。 [# Entries] 各 Web コ ン テ ン ツ フ ィ ル タ リ ス ト 内の コ ン テ ン ツ パ タ ーンの数。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ [ コメント ] オ プ シ ョ ン で記述 さ れる Web コ ン テ ン ツ フ ィ ル タ リ ス ト の説明。 説明テ キス ト は、63 文字ま で入力で き ます。超過 し た文字は、切 り 捨て ら れます。 削除アイコン Web コ ン テ ン ツ フ ィ ル タ を こ のページか ら 削除 し ます。 編集アイコン Web コ ン テ ン ツ フ ィ ル タ を編集 し ます。 編集ア イ コ ン を選択する と 、 画 面が [Web Content Filter Settings] ページ に自動的に移動 し ます。 [Web Content Filter Settings] ページ こ のページ では、 Web コ ン テ ン ツ フ ィ ル タ を構成する複数のパ タ ー ン を設定で き ます。 また、 Web コ ン テ ン ツ フ ィ ル タ 用に作成 し たパ タ ー ンが一覧表示 さ れます。 [New List] ページか ら こ のページの画 面に、 自動的に移動 し ます。 Web コ ン テ ン ツ フ ィ ル タ を編集す る場合は、 こ のページの画面に移動 し ます。 [ 名前 ] 既存の Web コ ン テ ン ツ フ ィ ル タ を編集 し プ ロ フ ァ イ ル名を変更す る場合 は、 こ の フ ィ ール ド に新 し い名前を入力 し ます。 変更を保存する には、 必 ず [OK] を選択 し ます。 [ コメント ] 既存の Web コ ン テ ン ツ フ ィ ル タ を編集 し 、 説明内容を変更する場合は、 こ の フ ィ ール ド に新 し い説明を入力 し ます。 説明を変更する場合は、 変更 を こ の フ ィ ール ド に入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [OK] [ 名前 ] フ ィ ール ド で名前を変更 し た場合、 ま たは [ コ メ ン ト ] フ ィ ール ド に説明を加え た ( ま たは変更 し た ) 場合のみ、 [OK] を選択 し ます。 [Create New] Web コ ン テ ン ツ フ ィ ル タ の新 し いパ タ ー ン を 設定す る と き 選択 し ま す。 [Create New] を選択す る と 、 画面が [New Pattern] ページ に自動的に移動 し ます。 [ 有効 ] パ タ ーンが有効または無効のいずれかを示 し ます。 [Pattern] Web コ ン テ ン ツ フ ィ ル タ 用に作成 し たパ タ ーンの、 現行の リ ス ト 。 [ パターンタイプ ] パ タ ー ン リ ス ト 内のそれぞれのエ ン ト リ で使用 さ れ る パ タ ー ン の種類。 パ タ ーンの種類は、[Wildcard] ま たは [Regular Expression] が表示 さ れます。 [Language] こ の パ タ ー ン が 属 す る 文 字 セ ッ ト 。 [Simplified Chinese]、 [Traditional Chinese]、 [Cyrillic]、 [French]、 [Japanese]、 [Korean]、 [Spanish]、 [Thai]、 ま たは [Western] が表示 さ れます。 [ アクション ] [ ア ク シ ョ ン ] には、 [Block] ま たは [Exempt] が表示 さ れます。 [Score] こ のパ タ ーン に適用 さ れる重み付けのス コ ア値。あ る ページに現れるすべ ての一致パ タ ー ンのス コ ア値が加算 さ れ、 その合計が Web フ ィ ル タ プ ロ フ ァ イルで設定 さ れてい る し き い値を超え る と 、そのページはブ ロ ッ ク さ れます。 [ ア ク シ ョ ン ] を [Exempt] に設定 し ている場合は、 ス コ ア値は適 用 さ れません。 ページ コントロール ページ コ ン ト ロ ールを使用 し 、 [Web Content Filter Settings] ページ に含ま れる Web コ ン テ ン ツ フ ィ ル タ を表示 し ます。 編集アイコン リ ス ト 内のパ タ ーン を編集 し ます。 削除アイコン リ ス ト 内のパ タ ーン を削除 し ます。 [ 有効 ] パ タ ーン を有効に設定 し 、 リ ス ト 内で使用 し ます。 [ 無効 ] パ タ ーン を無効に設定 し 、 リ ス ト 内で使用 し ません。 [Remove All Entries] リ ス ト 内か ら すべてのパ タ ー ン を削除する と き選択 し ます。 [New Pattern] ページ [ アクション ] 次のいずれかを選択 し ます。 [Block] - パ タ ー ンが一致する場合は、 その Web ページのス コ ア を すべて 加算 し ます。 Web ページのス コ ア合計が、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル に定義 さ れてい る Web コ ン テ ン ツ ブ ロ ッ ク の し き い値を超え る と 、 その Web ページがブ ロ ッ ク さ れます。 [Exempt] - パ タ ーンが一致する場合は、 ブ ロ ッ ク に一致する エ ン ト リ が あ る場合で も 、 Web ページはブ ロ ッ ク さ れません。 [Pattern] コ ン テ ン ツ パ タ ーン を入力 し ます。 Web コ ン テ ン ツのパ タ ーン には、 1 単 語、 ま たは最大 80 文字のテキス ト 文字列が可能です。 1 単語の場合、 すべての Web ページ でその単語の有無が FortiGate ユニ ッ ト に よ っ てチ ェ ッ ク さ れます。 語句の場合、 すべての Web ページ で語句 に含まれる いずれかの単語の有無が FortiGate ユニ ッ ト に よ っ て チ ェ ッ ク さ れます。 引用符で囲まれた語句の場合、 すべての Web ページ でその語 句全体の有無が FortiGate ユニ ッ ト に よ っ て チ ェ ッ ク さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 377 Web フ ィ ル タ 統合脅威管理 (UTM) [ パターンタイプ ] ド ロ ッ プ ダ ウ ン リ ス ト か ら 、 パ タ ー ン の種類 [Wildcard] ま たは [Regular Expression] のいずれかを選択 し ます。 [Language] こ の パ タ ー ン が 属 す る 文 字 セ ッ ト 。 [Simplified Chinese]、 [Traditional Chinese]、 [Cyrillic]、 [French]、 [Japanese]、 [Korean]、 [Spanish]、 [Thai]、 ま たは [Western] か ら 選択 し ます。 [Score] こ のパ タ ーンのス コ ア値を入力 し ます。 Web コ ン テ ン ツ リ ス ト を プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルに追加す る と き、 そのプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルの Web コ ン テ ン ツ フ ィ ル タ の し き い値 を設定 し ます。 Web ページが コ ン テ ン ツ ブ ロ ッ ク リ ス ト のエ ン ト リ と 一 致する場合は、 ス コ アが記録 さ れます。 Web ページが 2 つ以上のエ ン ト リ と 一致する場合は、 Web ページのス コ アは加算 さ れます。 Web ページのス コ ア合計が し き い値以上の場合は、 その Web ページはブ ロ ッ ク さ れます。 コ ン テ ン ツ リ ス ト エ ン ト リ のデ フ ォ ル ト のス コ アは 10、 お よびデ フ ォ ル ト の し き い値は 10 です。 し たが っ て、 デ フ ォ ル ト では Web ページは 1 つ の一致で ブ ロ ッ ク さ れます。 複数の一致があ る場合のみ Web ページがブ ロ ッ ク さ れる よ う に、 ス コ アおよ び し き い値を変更で き ます。 [ 有効 ] こ のエ ン ト リ を有効にする場合にオ ン に し ます。 HTTP および FTP クライアント コンフォーティング 注意 : ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングでは、 スキ ャ ン さ れていない、 し たが っ て感染の 可能性がある コ ン テ ン ツ を、 ク ラ イ ア ン ト に送信する場合があ り ます。 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングは、 この リ ス ク を受け入れた上で有効に し て く だ さ い。 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ン グの [Interval] を高 く 、 [Amount] を低 く 設定 し 、 その状態を維持す る と 、 感 染の可能性があるデー タ を ダウン ロー ド する量を削減で き ます。 基本的に、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングによ り 、 Web ページのロー ド または HTTP ある いは FTP フ ァ イルのダウン ロー ド 進行状況が視覚的に表示 さ れます。 こ の表示を行 う ために、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングは、 ダウン ロー ド さ れている フ ァ イルまたは Web ページの 最初のパケ ッ ト の一部を、 [Interval] の設定に基づいて ク ラ イ ア ン ト に送信するので、 ク ラ イ ア ン ト はダウン ロー ド の遅れを意識 し ません。 ク ラ イ ア ン ト は、 Web ブ ラ ウザまたは FTP ク ラ イ ア ン ト です。 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング を使用 し ない場合、 FortiGate ユニ ッ ト がダ ウ ン ロー ド デー タ のバ ッ フ ァ お よびスキ ャ ン を完了する ま で、 ク ラ イ ア ン ト のユーザにはダ ウン ロー ド 開始が示 さ れません。 ダウ ン ロー ド が進行中である こ と がわか ら ないため、 ユーザ はダウン ロー ド 失敗 と 考え、 転送処理をキ ャ ン セルまたは何度 も繰 り 返す可能性があ り ます。 クライアント コンフォーティング メッセージの表示 ( 進捗バーなど ) は、 クライアントに応じて異なりま す。 クライアント コンフォーティングが、 視覚的に表示されない場合もあります。 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ン グの最中に、 ダウ ン ロー ド 中の フ ァ イルか ら 感染が検出 さ れ る と 、 FortiGate ユニ ッ ト はその URL をキ ャ ッ シ ュ し 、 接続を破棄 し ます。 ク ラ イ ア ン ト への ダウ ン ロー ド はすでに開始 さ れているので、 ク ラ イ ア ン ト には何が発生 し たかについて通知 さ れずに、 ダウン ロー ド が停止 し 、 フ ァ イルの一部のみがダウン ロー ド さ れたま まの状態 と な り ます。 ユーザが短時間の内に同 じ フ ァ イルを再ダウ ン ロー ド す る と 、 キ ャ ッ シ ュ さ れた URL が照合 さ れダウ ン ロー ド はブ ロ ッ ク さ れます。 感染キ ャ ッ シ ュ メ ッ セージの差 し 替え メ ッ セージに よ り 、 ダウ ン ロ ー ド がブ ロ ッ ク さ れた状況が ク ラ イ ア ン ト に通知 さ れます。 キ ャ ッ シ ュ 内の URL 数は、 キ ャ ッ シ ュ サイ ズによ り 制限 さ れます。 FTP および HTTP クライアント コンフォーティングの設定 以下のス テ ッ プは、 FTP または HTTP ダウン ロー ド の ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングが機 能する仕組みを示 し ています。 こ こ では、 ダウ ン ロー ド フ ァ イルのサイ ズは 10 MB、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングの [Interval] は 20 秒、 [Amount] は 512 バイ ト です。 1 FTP または HTTP ク ラ イ ア ン ト から 、 フ ァ イルが要求 さ れます。 378 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ 2 FortiGate ユニ ッ ト に よ り 、 サーバか ら のフ ァ イルがバ ッ フ ァ さ れます。 接続は低速なの で、 20 秒後に フ ァ イルの約半分がバ ッ フ ァ さ れています。 3 FortiGate ユニ ッ ト は、 サーバか ら フ ァ イルを引き続きバ ッ フ ァ 処理 し なが ら、 512 バイ ト を ク ラ イ ア ン ト に送信 し ます。 4 さ ら に 20 秒後、 FortiGate ユニ ッ ト はバ ッ フ ァ 処理 し た フ ァ イルか ら次の 512 バイ ト を ク ラ イ ア ン ト に送信 し ます。 5 ファイルが完全にバッファ処理されると、 クライアントには以下のデータ量が転送されます。 ca * (T/ci) bytes == 512 * (40/20) == 512 * 2 == 1024 bytes ここでは、ca はクライアント コンフォーティングの [Amount]、T はバッファ時間、 ci はクライアント コンフォーティングの [Interval] です。 6 FTP ク ラ イ ア ン ト 。 フ ァ イルにウ イルスが含まれない場合は、 FortiGate ユニ ッ ト か ら フ ァ イルの残 り が ク ラ イ ア ン ト に送信 さ れます。 フ ァ イルが感染 し てい る場合は、 FortiGate ユニ ッ ト に よ り デー タ 接続が遮断 さ れ、 FTP ウ イルス差 し 替え メ ッ セージが ク ラ イ ア ン ト に送信 さ れます。 HTTP クライアント。ファイルにウイルスが含まれない場合は、FortiGate ユニットか らファイルの残りがクライアントに送信されます。ファイルが感染している場合は、 FortiGate ユニットによりデータ接続が遮断されますが、クライアントにメッセージ は送信されません。 文字セットおよび Web コンテンツ フィルタリング、電子メール フィルタリ ングの禁止単語、および DLP スキャン 注意 : 複数の文字セ ッ ト を指定する と 、 Web フ ィ ル タ リ ングおよび DLP のパ フ ォ ーマ ン ス が低下 し ます。 FortiGate ユニ ッ ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルでの指定に応 じ た電子 メ ール フ ィ ル タ リ ング禁止単語チ ェ ッ ク 、Web フ ィ ル タ リ ングおよび DLP コ ン テ ン ツ スキ ャ ン を適用する前に、 HTTP、 HTTPS、 および電子 メ ールの コ ン テ ン ツ を、 UTF-8 文字セ ッ ト に変換 し ます。 電子 メ ール メ ッ セージの場合、 FortiGate ユニ ッ ト は、 MIME コ ン テ ン ツの解析 と 並行 し て、 電 子 メ ール フ ィ ル タ リ ング禁止単語チ ェ ッ ク および DLP スキ ャ ン を適用する前に、 電子 メ ール メ ッ セージの文字セ ッ ト フ ィ ール ド に応 じ て、 メ ールの コ ン テ ン ツ を UTF-8 エ ン コ ーデ ィ ン グに変換 し ます。 HTTP get ページの場合、 FortiGate ユニ ッ ト は、 Web コ ン テ ン ツ フ ィ ル タ リ ングお よび DLP ス キ ャ ン を適用する前に、そのページに指定 さ れる文字セ ッ ト に応 じ て、Web コ ン テ ン ツ を UTF8 エ ン コ ーデ ィ ングに変換 し ます。 HTTP post ページの場合、HTTP post では文字セ ッ ト が必ず し も正確に表示 さ れない こ と か ら、 以下の CLI コ マ ン ド を使用 し て 5 種類ま での文字セ ッ ト エ ン コ ーデ ィ ン グを指定で き ます。 config firewall profile edit <profile_name> set http-post-lang <charset1> [<charset2> ... <charset5>] end FortiGate ユニ ッ ト は、 HTTP post ページ を指定 さ れた文字セ ッ ト ご と に強制的に UTF-8 に変 換 し ます。各変換後に、FortiGate ユニ ッ ト に よ り Web フ ィ ル タ リ ングおよび DLP スキ ャ ンが、 変換 さ れたページの コ ン テ ン ツ に適用 さ れます。 利用可能 な文字 セ ッ ト を 表示す る には、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルの編集 シ ェ ルか ら、 set http-post-lang ? を入力 し ます。 複数の文字セ ッ ト 名は、 スペース で区切 り ます。 最大 5 種類の文字セ ッ ト 名ま で追加で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 379 Web フ ィ ル タ 統合脅威管理 (UTM) URL フィルタ 特定の URL へのア ク セス を許可またはブ ロ ッ ク するには、 それ らの URL を URL フ ィ ル タ リ ス ト に追加 し ます。 URL を許可またはブ ロ ッ ク するには、 テキス ト や正規表現 ( またはワ イル ド カ ー ド 文字 ) を使用 し てパ タ ーン を追加 し ます。 FortiGate ユニ ッ ト は、 指定 さ れた任意の URL またはパ タ ーンに一致する Web ページ を許可またはブ ロ ッ ク し 、 差 し 替え メ ッ セージ を 表示 し ます。 複数の URL フ ィ ル タ リ ス ト を追加 し 、 その中か ら各プ ロ フ ァ イルに最適な URL フ ィ ル タ リ ス ト を選択で き ます。 以下を追加する こ と によ り 、 URL を ブ ロ ッ ク または除外で き ます。 ・ 完全な URL ・ IP ア ド レ ス ・ すべてのサブ ド メ イ ン を許可またはブ ロ ッ ク する ための部分的な URL URL フ ィ ル タ リ ス ト 内のエ ン ト リ の最大数は 5,000 です。 URL フ ィ ル タ を設定するには、 [UTM]、 [Web Filter]、 [URL Filter] の順に選択 し ます。 注記 : URL ブ ロ ッ キングでは、ユーザが Web ブ ラ ウザを使用 し て ア ク セスで き る他のサー ビ ス へ の ア ク セ ス は ブ ロ ッ ク さ れ ま せ ん。 た と え ば、 URL ブ ロ ッ キ ン グ で は、 ftp://ftp.example.com へのア ク セスはブ ロ ッ ク さ れません。 FTP 接続を拒否するに は、 代わ り に フ ァ イ アウ ォ ール ポ リ シーを使用 し ます。 [URL Filter] ページ こ のページには、 作成済みの URL フ ィ ル タ が一覧表示 さ れます。 こ のページ では、 URL フ ィ ル タ を編 集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を 選択す る と 、 [New List] ペー ジ の画面に自動的に移動 し ま す。 [New List] ページには、 [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ール ド があ り 、 [URL Filter Settings] ページ を表示す る には リ ス ト の名前を入力す る必要があ り ます。 [ 名前 ] 使用可能な URL フ ィ ル タ リ ス ト 。 [# Entries] 各 URL フ ィ ル タ リ ス ト 内の URL パ タ ーンの数。 [ コメント ] オプ シ ョ ン で記述 さ れる URL フ ィ ル タ リ ス ト の説明。 削除アイコン カ タ ロ グか ら こ の URL フ ィ ル タ リ ス ト を削除する場合に選択 し ます。 削除ア イ コ ン は、こ の URL フ ィ ル タ リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで も 選択 さ れてい ない場合にのみ使用で き ます。 編集アイコン URL フ ィ ル タ リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集する場合に選択 し ます。 [URL Filter Settings] ページ こ のページには、 URL フ ィ ル タ を構成す る URL の設定が含まれてお り 、 作成済みの URL が一覧表示 さ れます。 [New List] ページか ら こ のページの画面に、 自動的に移動 し ます。 フ ァ イ ル フ ィ ル タ を編集す る場合は、 画面が こ のページ に自動的に移動 し ます。 380 [ 名前 ] 既存の URL フ ィ ル タ 設定を編集 し フ ィ ル タ 名を変更する場合は、 こ の フ ィ ール ド に 新 し い名前を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [ コメント ] 既存の URL フ ィ ル タ 設定を編集 し 、 説明内容を変更する場合は、 こ の フ ィ ール ド に 変更を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [OK] リ ス ト の変更内容を保存する と き選択 し ます。 [Create New] URL フ ィ ル タ リ ス ト に URL を追加する場合に選択 し ます。 [Create New] を選択する と 、 以下が表示 さ れます。 編集アイコン 設定を変更する と き選択 し ます。 削除アイコン リ ス ト か ら こ のエ ン ト リ を削除する場合に選択 し ます。 [ 有効 ] リ ス ト 中の フ ィ ル タ を有効にする場合に選択 し ます。 [ 無効 ] リ ス ト 中の フ ィ ル タ を無効にする場合に選択 し ます。 移動アイコン [Move URL Filter] ダ イ ア ロ グ ボ ッ ク ス を開き、 リ ス ト 中で URL が表示 さ れる位置を 設定する と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ [Remove All Entries] リ ス ト か ら すべての フ ィ ル タ エ ン ト リ を削除す る場合に選択 し ます。 [New URL Filter] ページ [URL] URL を入力 し ます。 http:// を含めないで く だ さ い。 URL 形式の詳細については、 381 ページの 「URL 形式」 を参照 し て く だ さ い。 [Type] ド ロ ッ プ ダウ ン リ ス ト か ら 、 フ ィ ル タ の種類 [Simple]、 [Regex] ( 正規表現 )、 ま た は [Wildcard] のいずれかを選択 し ます。 [ アクション ] FortiGate ユニ ッ ト が実行す る ア ク シ ョ ン を、 [Allow]、 [Exempt]、 ま たは [Block] か ら 選択 し ます。 許可に一致する と 、 その URL フ ィ ル タ リ ス ト のチ ェ ッ ク は終了 し 、 他の Web フ ィ ル タ がチ ェ ッ ク さ れます。 除外に一致する と 、AVスキ ャ ン を含むそれ以降のチ ェ ッ ク はすべて実行 さ れません。 ブ ロ ッ ク に一致する と 、 その URL はブ ロ ッ ク さ れ、 それ以降のチ ェ ッ ク は実行 さ れ ません。 [ 有効 ] こ の URL を有効にする場合にオ ン に し ます。 ヒント : トップレベルのドメイン サフィックス ( たとえば、前にピリオドが付かない "com") を入力すると、このサフィックスを含むすべての URL へのアクセスがブロックされ ます。 URL 形式 URL を URL フ ィ ル タ リ ス ト に追加する と きは (380 ページの 「URL フ ィ ル タ 」 を参照 )、 以下 のルールに従います。 HTTPS を使用する場合に URL 形式を検出する方法 ユ ニ ッ ト が SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン を サポー ト し な い、 ま たは、 [Protocol Recognition] の [HTTPS content filtering mode] に、 Web コ ン テ ン ツ プ ロ フ ァ イ ルで [URL filtering] オプ シ ョ ン を選択 し ている場合は、 www.example.com な どの ト ッ プ レ ベル ド メ イ ン名を入力する こ と で HTTPS ト ラ フ ィ ッ ク を フ ィ ル タ 処理 し ます。暗号化 さ れたセ ッ シ ョ ンの HTTPS URL フ ィ ル タ リ ングは、 SSL ネゴ シ エーシ ョ ン中にサーバ証明書から CN を抽出 する こ と によ っ て機能 し ます。 CN には、 ア ク セス中のサイ ト の ド メ イ ン名のみが含まれるの で、 暗号化 さ れた HTTPS セ ッ シ ョ ンの Web フ ィ ル タ リ ングは ド メ イ ン名によ る フ ィ ル タ 処理 のみが可能です。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ スキ ャ ンおよび イ ン スペ ク シ ョ ン をサポー ト し 、 [Deep Scan] を選択 し ている場合は、HTTP ト ラ フ ィ ッ ク と 同 じ 方法で HTTPS ト ラ フ ィ ッ ク を フ ィ ル タ 処理 で き ま す。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン の詳細 に つ い て は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 HTTP を使用する場合に URL 形式を検出する方法 ア ク シ ョ ンが [Exempt] に設定 さ れた URL に対 し ては、 ウ イルス スキ ャ ンが実行 さ れません。 ネ ッ ト ワー ク 上のユーザが、 信頼で き る Web サイ ト か ら FortiGate ユニ ッ ト を介 し て フ ァ イル を ダウン ロー ド する場合は、 こ の Web サイ ト の URL を [Exempt] のア ク シ ョ ン で URL フ ィ ル タ リ ス ト に追加 し てお く こ と で、こ のURLから ダウ ン ロー ド さ れた フ ァ イルに対 し てFortiGate ユニ ッ ト がウ イルス スキ ャ ン を実行 し ない よ う に し ます。 ・ Web サイ ト 上のすべてのページへのア ク セス を制御するには、 ト ッ プ レ ベルの URL または IP ア ド レ ス を入力 し ます。 た と えば、 www.example.com または 192.168.144.155 を 入力する と 、 こ の Web サイ ト にあ るすべてのページへのア ク セスが制御 さ れます。 ・ Web サイ ト 上の特定のページへのア ク セス を制御するには、 ト ッ プ レ ベルの URL に続けて そのパス と フ ァ イル名を入力 し ます。 た と えば、 www.example.com/news.html または 192.168.144.155/news.html を入力する と 、こ の Web サイ ト 上のニ ュ ース ページが制 御 さ れます。 ・ example.com で終わる URL を含むすべてのページへのア ク セス を制御するには、 フ ィ ル タ リ ス ト に example.com を 追加 し ま す。 た と え ば、 example.com を 追加 す る と 、 www.example.com、 mail.example.com、 www.finance.example.com な どへのア ク セスが制御 さ れます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 381 Web フ ィ ル タ 統合脅威管理 (UTM) ・ テキス ト と 正規表現 ( またはワ イル ド カ ー ド 文字 ) を使用 し て作成 さ れたパ タ ーンに一致 するすべての URL へのア ク セス を制御 し ます。た と えば、example.* は、example.com、 example.org、 example.net な どに一致 し ます。 FortiGate URL フ ィ ル タ リ ングは、 標準の正規表現をサポー ト し ます。 上書き FortiGuard Web フ ィ ル タ リ ングによ っ て ブ ロ ッ ク さ れてい る Web サイ ト にア ク セスする必要の あるユーザのために、 FortiGuard Web フ ィ ル タ リ ン グの上書き を編集で き ます。 Web フ ィ ル タ 上書きの詳 し い設定方法については、 461 ページの 「ユーザ グループか ら の動的な VPN ク ラ イ ア ン ト IP ア ド レ ス割 り 当て」 を参照 し て く だ さ い。 ブ ロ ッ ク さ れて い るサ イ ト にユーザがア ク セ ス し よ う と し た と き、 そのユーザのユーザ グ ループ で上書きが有効にな っ てい る と 、そのユーザを認証 フ ォ ームに導 く リ ン ク がブ ロ ッ ク さ れてい るページに表示 さ れます。 ユーザはユーザ名およびパスワー ド を入力 し 、 その Web サ イ ト の FortiGuard Web フ ィ ル タ リ ン グを解除で き ます。 上書き を編集する には、 [UTM]、 [Web Filter]、 [Override] の順に選択 し ます。 [Override] ページ こ のページには、 デ フ ォ ル ト の 2 種類の上書 き であ る、 「管理上書き」 およ び 「ユーザ上書き」 が表示 さ れます。 こ のページ では、 上書 きの編集、 およ びデ フ ォ ル ト の上書き に新た な上書 き を追加で き ま す。 上書きの新規作成には対応 し ていません。 編集アイコン 上書 きの設定を変更す る と き選択 し ます。 [ 名前 ] 上書 き設定の名前。 [Administrative Overrides] 管理上書き。 こ れ ら を編集す るか、 または管理上書き を追加で き ます。 詳 し く は、 382 ページの 「管理上書 き」 を参照 し て く だ さ い。 [User Overrides] ユーザ上書き。こ れ ら のユーザ上書き を編集で き ます。詳 し く は、383 ペー ジの 「ユーザ上書 き」 を参照 し て く だ さ い。 管理上書き 管理上書きルールを編集する こ と によ り 、 デ ィ レ ク ト リ 、 ド メ イ ン名、 またはカ テ ゴ リ に基づ い て、 ブ ロ ッ ク さ れて い る Web サ イ ト へのア ク セ ス を許可で き ます。 ま た、 [Administrative Overrides] グループ内に新 し い上書き を作成で き ます。 管理上書きは、 メ イ ンの設定によ っ てバ ッ ク ア ッ プ さ れ、 シ ステムによ り 管理 さ れます。 管理 上書きは有効期限を経過 し て も抹消 さ れず、有効期限の日付を延長す る こ と で上書きのエ ン ト リ を再利用で き ます。 管理上書き を作成する には、 CLI お よび Web ベース マネージ ャの双方 を利用で き ます。 管理上書き にア ク セスするには、 [UTM]、[Web Filter]、[Override] の順に選択 し 、 [Override] ペー ジ を 表示 し ま す。 管理上書 き リ ス ト のルール を 編集 ま た は新規ルール を 作成す る 場合は、 [Override] ページの [Administrative Overrides] にア ク セス し ます。 [Administrative Overrides] ページ こ のページには、 管理上書き に作成 さ れてい るルールが一覧表示 さ れます。 こ のページ では、 上書き を編集、 削除、 ま たは新規作成で き ます。 リ ス ト では、 個別の上書き を無効にす るか、 ま たは リ ス ト の上書き すべて を削除で き ます。 382 [Create New] こ の リ ス ト に新 し い上書 きルールを追加す る場合に選択 し ます。 [User Overrides] では利用で き ません。 編集アイコン 管理上書 きの設定を編集する と き選択 し ます。 削除アイコン 管理上書 きのルールを削除す る と き選択 し ます。 [ 有効 ] 管理上書 きのルールを有効にす る と き選択 し ます。 [ 無効 ] 管理上書 きのルールを無効にす る と き選択 し ます。 [Remove All Entries] リ ス ト か ら すべての管理上書き エ ン ト リ を削除する場合に選択 し ます。 # リ ス ト 中に表示 さ れる上書 きの順序を示す番号。 [ 有効 ] リ ス ト 中のルールの順序を示す番号。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ [URL/Category] こ のルールが適用 さ れる URL ま たはカ テ ゴ リ 。 [Scope] こ のルールを使用で き る ユーザまたはユーザ グループ。 [Off-site URLs] 緑色のチ ェ ッ ク マー ク は [Off-site URL] オ プ シ ョ ンが [Allow] に設定 さ れ てい る こ と を示 し 、 こ の場合、 Web ページの上書 き に よ り オ フ サ イ ト の ド メ イ ンか ら コ ン テ ン ツが表示 さ れます。 灰色の ク ロ ス マー ク は [Off-site URL] オプ シ ョ ンが [Block] に設定 さ れてい る こ と を示 し 、 こ の場合、 Web ページの上書 き に よ り オ フ サ イ ト の ド メ イ ン か ら コ ン テ ン ツ が表示 さ れ ません。詳細については、382 ページの「管理上書 き」 を参照 し て く だ さ い。 [Initiator] こ の上書 きルールの作成者。 [Expiry Date] こ の上書 きルールの有効期限日。 ページ コントロール ページ コ ン ト ロ ールを使用 し 、 ページに含まれる リ ス ト を表示 し ます。 [New Override Rule] ページ [Type] [Directory]、 正 確 な [Domain]、 ま た は [Categories] を 選 択 し ま す。 [Categories] を選択する と 、 Web フ ィ ル タ リ ン グの カ テ ゴ リ オプ シ ョ ンが 分類 (Classification) と と も に表示 さ れます。 [URL] Web サイ ト の URL ま たは ド メ イ ン名を入力 し ます。 [Scope] [User]、 [User Group]、 [IP] または [Profile] のいずれかを選択 し ます。 選択 し たオ プ シ ョ ン に応 じ て、 [Scope] の下に異な る オ プ シ ョ ンが表示 さ れま す。 [User Group] ド ロ ッ プ ダ ウ ン リ ス ト か ら 、 ユーザ グルー プ を 選択 し ま す。 ユーザ グ ループは、FortiGuard Web フ ィ ル タ リ ン グ を設定する前に必ず設定 し ます。 詳細については、 457 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 [User] [Scope] で選択 し たユーザの名前を入力 し ます。 [IP] こ の フ ィ ール ド に IP ア ド レ ス を入力 し ます。 こ の設定は IPv4 ア ド レ ス用 です。 [IPv6] こ の フ ィ ール ド に IPv6 ア ド レ ス を入力 し ます。 [Off-site URLs] こ のオ プ シ ョ ンは、 上書 き Web ページが、 ブ ロ ッ ク さ れてい る オ フ サ イ ト URL か ら 画像な どの コ ン テ ン ツ を表示するかど う かを定義 し ます。 た と えば、 すべての FortiGuard カ テ ゴ リ がブ ロ ッ ク さ れてお り 、 別の ド メ イ ンか ら 画像が提供 さ れてい るサ イ ト を閲覧する と し ます。そのサ イ ト の デ ィ レ ク ト リ 上書き を作成 し 、 そのページ を表示で き ます。 [Off-site URL] を [Deny] に設定す る場合は、 そのページの全画像は既存の上書 きルール が適用 さ れない別の ド メ イ ンか ら 転送 さ れているので、画像は崩れて表示 さ れます。 [Off-site URL] を [Allow] に設定す る場合は、 そのページの画像 は正常に表示 さ れます。 そのページ上書きの対象に含まれる ユーザのみが、一時的な上書き に よ る 画像を表示で き ます。 新 し い上書きルールを作成する必要な く 、 ユーザは 画像の元 と な る そのサ イ ト のどのページ も ( ページが画像自体 と 同 じ デ ィ レ ク ト リ か ら 提供 さ れていない限 り ) 表示で き な く な り ます。 [Override End Time] 利用可能な時間オ プ シ ョ ン を使用 し 、上書きルールが終了する時点を指定 し ます。 ユーザ上書き ユーザ認証によ り ユーザ上書きが有効にな る と 、ユーザ上書き リ ス ト にエ ン ト リ が追加 さ れま す。 ユーザ上書きは、 FortiGate 設定の一部 と し てバ ッ ク ア ッ プ さ れません。 また、 有効期限 が経過する と 消去 さ れます。 管理者は、 ユーザ上書き を表示および削除で き ます。 ユーザ上書き にア ク セ スす る には、 [UTM]、 [Web Filter]、 [Override] の順に選択 し 、 [Override] ページ を表示 し ます。 [Override] ページの リ ス ト に含まれる エ ン ト リ は、 編集で き ません。 [User Override] ページ こ のページには、 認証ユーザが一覧表示 さ れます。 リ ス ト に新規上書き を追加で き ません。 削除アイコン ユーザ上書き設定を削除す る と き選択 し ます。 [ 有効 ] ユーザ上書き を有効にす る と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 383 Web フ ィ ル タ 統合脅威管理 (UTM) [ 無効 ] ユーザ上書き を無効にす る と き選択 し ます。 [Remove All Entries] リ ス ト か ら すべてのユーザ上書き を削除する場合に選択 し ます。 # リ ス ト 中の項目の順序を示す番号。 [ 有効 ] ユーザ上書きが有効の場合、緑色のチ ェ ッ ク マー ク が表示 さ れます。ユー ザ上書 きが無効の場合、 灰色の ク ロ ス マー ク が表示 さ れます。 [URL/Category] こ の上書 きが適用 さ れる URL ま たは カ テ ゴ リ 。 [Scope] こ の上書 き を使用で き るユーザま たはユーザ グループ。 [Off-site URLs] 緑色のチ ェ ッ ク マー クは [Off-site URL] オ プ シ ョ ンが [Allow] に設定 さ れ てい る こ と を示 し 、 こ の場合、 Web ページの上書き に よ り オ フ サイ ト の ド メ イ ン に よ る コ ン テ ン ツ が表示 さ れ ま す。 灰色の ク ロ ス マ ー ク は [Offsite URL] オ プ シ ョ ンが [Block] に設定 さ れてい る こ と を示 し 、 こ の場合、 Web ページの上書 き に よ り オ フ サ イ ト の ド メ イ ン に よ る コ ン テ ン ツが表 示 さ れません。 詳細については、 382 ページの 「管理上書 き」 を参照 し て く だ さ い。 [Initiator] こ の上書 きルールの作成者。 [Expiry Date] こ の上書 きルールの有効期限日。 ローカル カテゴリ ユーザがプ ロ フ ァ イル単位に URL のグループ を ブ ロ ッ ク で き る よ う にする ために、 ユーザ定 義の カ テ ゴ リ を作成で き ます。 こ こ で定義 さ れた カ テ ゴ リ は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル の設定時にグローバル URL カ テ ゴ リ リ ス ト に表示 さ れます。 ユーザは URL を、 こ れ らのロー カル カ テ ゴ リ に基づいて評価で き ます。 ユーザは、 ユーザ定義のカ テ ゴ リ を作成 し た後、 そのカ テ ゴ リ に属する URL を指定で き ます。 こ れによ り 、 ユーザは Web サイ ト のグループ を プ ロ フ ァ イル単位で ブ ロ ッ ク で き る よ う にな り ます。 グローバル URL リ ス ト の中には、 評価が、 関連する カ テ ゴ リ と と も に含まれてお り 、 URL ブ ロ ッ ク リ ス ト の処理 と 同 じ 方法で照合 さ れます。 こ れ ら の ロ ー カ ル評価は FortiGuard サ ー バの評価 よ り 優先 さ れ、 レ ポ ー ト 内 で は "Local Category" と 表示 さ れます。 ロー カル カ テ ゴ リ を設定する には、[UTM]、[Web Filter]、[Local Categories] の順に選択 し ます。 [Local Cateogries] ページ こ のページには、 作成済みのロー カル カ テ ゴ リ が一覧表示 さ れます。 [Create New] フ ィ ール ド に ロ ー カ ル カ テ ゴ リ 名を入力す る と 、 ロー カ ル カ テ ゴ リ が作成 さ れます。 ロ ー カ ル カ テ ゴ リ は編集で きず、 リ ス ト か ら の削除のみ可能です。 [Create New] ロ ー カ ル カ テ ゴ リ の名前 を こ の フ ィ ール ド に入力 し 、 [Create New] を 選 択 し ます。 . 削除アイコン リ ス ト か ら ロー カル カ テ ゴ リ を削除する場合に選択 し ます。 [Local categories] こ の URL が属 し ている カ テ ゴ リ ま たは分類。 こ の URL が複数の カ テ ゴ リ ま た は分 類 で 評 価 さ れ て い る 場 合は、 後続 の ド ッ ト が 表示 さ れ ま す。 [Category Filter] ダ イ ア ロ グ ボ ッ ク ス を開 く には、 灰色の じ ょ う ご ア イ コ ン を選択 し ます。 リ ス ト が フ ィ ル タ 処理 さ れる と 、 じ ょ う ご ア イ コ ンが緑 色で表示 さ れます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効に設定 さ れている場合、Web フ ィ ル タ リ ング機能はグローバルに設定 さ れます。 こ れら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーか ら [Global Configuration] を選択 し ます。 ローカル評価 ユーザ定義の カ テ ゴ リ を設定 し 、 その カ テ ゴ リ に属す る URL を指定で き ます。 こ れに よ り 、 ユーザは Web サ イ ト のグループ を プ ロ フ ァ イル単位で ブ ロ ッ ク で き る よ う にな り ます。グロー バル URL リ ス ト の中には、 評価が、 関連する カ テ ゴ リ と と も に含まれてお り 、 URL ブ ロ ッ ク リ ス ト の処理 と 同 じ 方法で照合 さ れます。 ローカル評価を設定するには、 [UTM]、 [Web Filter]、 [Local Ratings] の順に選択 し ます。 384 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) Web フ ィ ル タ [Local Ratings] ページ こ のページには、 作成済みのロー カ ル評価が一覧表示 さ れます。 こ のページ では、 ロー カル評価の編集、 削除、 ま たは新規作成、 ロー カ ル評価の有効 / 無効の設定が可能です。 ま た、 ページか ら すべてのロー カ ル評価を削除で き ます。 [Create New] ロー カル評価を新規作成す る と き選択 し ます。 [Search] リ ス ト か ら ロ ー カ ル評価 を検索する ための語句ま たは名前を 入力 し ます。 [Go] を選択 し て、 検索を開始 し ます。 編集アイコン ロー カル評価の設定を変更する と き選択 し ます。 削除アイコン リ ス ト か ら ロー カル評価を削除する場合に選択 し ます。 [ 有効 ] ロー カル評価を有効にす る と き選択 し ます。 [ 無効 ] ロー カル評価を無効にす る と き選択 し ます。 全エントリ削除アイコン リ ス ト か ら すべてのロー カ ル評価を削除する場合に選択 し ます。 # リ ス ト 中の項目の順序を示す番号。 [ 有効 ] ロー カル評価が有効の場合、緑色のチ ェ ッ ク マー ク が表示 さ れます。 ロー カ ル評価が無効の場合、 灰色の ク ロ ス マー ク が表示 さ れます。 [URL] ロー カル評価の URL ア ド レ ス。 [Category] ロー カル評価に選択 さ れている カ テ ゴ リ 。 [New Local Rating] ページ こ のページ では、 [Category Rating] およ び [Classification Rating] に属する URL ア ド レ ス を設定で き ます。 ロー カル評価を編集する と き、 同 じ 設定を含む [Edit Local Rating] ページの画面に自動的に移動 し ます。 [URL] URL ア ド レ ス を入力 し ます。 [Category Rating] URL の評価を選択 し ます。 [Classification Rating] 分類 (Classification) を追加する と き選択 し ます。 レポート [Reports] メ ニ ュ ーは、 ロ ー カ ル デ ィ ス ク を 備 え る FortiGate モ デル で のみ表示 さ れ ま す。 [Reports] メ ニ ュ ー を表示するには、 [UTM]、 [Web Filtering] の順に選択 し ます。 メ ニ ュ ーか ら、 Web フ ィ ル タ リ ング プ ロ フ ァ イルに基づ く レポー ト を使用で き ます。 情報は、 テキス ト およ び円グ ラ フ の形式で生成 さ れます。 FortiGate ユニ ッ ト には、 Web ページの許可、 ブ ロ ッ ク、 お よび監視に関する統計が、 カ テ ゴ リ ご と に保持 さ れています。 所定の時間数または日数に応 じ た レポー ト の表示、 またはア ク テ ィ ビ テ ィ 全体の表示が可能です。 レポー ト を作成するには、 [UTM]、 [Web Filtering]、 [Reports] の順に選択 し ますが、 レポー ト 作 成の前に Web フ ィ ル タ リ ング プ ロ フ ァ イル (1 つまたは複数 ) を必ず設定 し てお き ます。 [Reports] ページ こ のページ では、 作成 し た レ ポー ト の設定が可能です。 レ ポー ト に含まれる情報は、 Web フ ィ ル タ プ ロ フ ァ イルか ら 取得 し ます。 レ ポー ト を作成する前に、 Web フ ィ ル タ プ ロ フ ァ イ ルを設定す る必要があ り ます。 [Web Filter Profile] レ ポー ト のベース と な る Web フ ィ ル タ プ ロ フ ァ イ ルを選択 し て表示 し ま す。 [Clear report data] 現在表示 さ れてい る レ ポー ト か ら 、 すべてのデー タ を削除 し ます。 [Report Type] レ ポー ト の期間を選択 し ます。[Hour]、[Day]、ま たは [All] か ら 選択 し ます。 [Report Range] レ ポー ト の時間の範囲 (24 時間表示 ) ま たは日に ちの範囲 (6 日前か ら 今日 ま で ) を選択 し ます。 た と えば、 [Hour] レ ポー ト の種類で範囲が 13 ~ 16 の場合は、 今日の午後 1 時か ら 午後 4 時ま での カ テ ゴ リ ブ ロ ッ ク レ ポー ト にな り ます。 [Day] レ ポー ト の種類で範囲が 0 ~ 3 の場合は、 3 日前か ら 今日ま での カ テ ゴ リ ブ ロ ッ ク レ ポー ト にな り ます。 [Get Report] レ ポー ト を生成する場合に選択 し ます。 生成されるレポートには、[Reports] ページの円グラフの下に表示される、以下のカラムが含まれ ます。 [Category] こ の統計が生成 さ れた カ テ ゴ リ 。 [Allowed] 選択 さ れた期間にア ク セ ス さ れた、 許可 さ れた Web ア ド レ スの数。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 385 電子 メ ール フ ィ ル タ 統合脅威管理 (UTM) [Blocked] 選択 さ れた期間にア ク セ ス さ れた、 ブ ロ ッ ク さ れた Web ア ド レ スの数。 [Monitored] 選択 さ れた期間にア ク セ ス さ れた、 監視 さ れた Web ア ド レ スの数。 電子メール フィルタ こ こ では、 IMAP、 POP3、 お よび SMTP 電子 メ ールの FortiGate 電子 メ ール フ ィ ル タ リ ングに ついて説明 し ます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ スキ ャ ンお よび イ ン スペ ク シ ョ ン を サポー ト する場合は、 IMAPS、 POP3S、 SMTPS 電子 メ ール ト ラ フ ィ ッ クの電子 メ ール フ ィ ル タ リ ング を設定で き ます。 SSL コ ン テ ン ツ スキ ャ ンお よび イ ン スペ ク シ ョ ンの詳細について は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に電子 メ ール フ ィ ル タ リ ング を個別に設定 し ます。 詳細については、 73 ページの 「バー チ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト の電子 メ ール フ ィ ル タ 機能を設定 し 、 既知のスパム サーバまたは疑わ し い スパム サーバか らのスパム メ ッ セージ を特定する こ と によ り 、 迷惑 メ ールに対処で き ます。 FortiGuard Antispam Service に よ り 、送信者 IP 評価デー タ ベースおよびスパム シグネチ ャ デー タ ベースの双方 と と も に、 洗練 さ れたスパム フ ィ ル タ リ ング ツールを利用 し 、 幅広いスパム メ ッ セージ を検出 し て ブ ロ ッ ク で き ます。 FortiGuard 電子 メ ール フ ィ ル タ リ ング プ ロ フ ァ イ ルの設定を使用する こ と によ り 、 IP ア ド レ ス チ ェ ッ ク、 URL チ ェ ッ ク 、 電子 メ ール チ ェ ッ ク サム チ ェ ッ ク、 スパム提出を有効に設定で き ます。 IP 評価お よびスパム シグネチ ャの両デー タ ベースは、 グローバルな FDN (FortiGuard Distribution Network) によ り 、 継続的にア ッ プデー ト さ れます。 [FortiGuard Center] の [FortiGuard Antispam Service] ページか ら IP お よびシグネチ ャ検索を使 用 し 、 IP ア ド レ スが FortiGuard ア ン チスパム IP 評価デー タ ベースで ブ ラ ッ ク リ ス ト に登録 さ れてい るかど う か、 あるいは URL または電子 メ ール ア ド レ スがシグネチ ャ デー タ ベースにあ るかど う かを チ ェ ッ ク で き ます。 こ の項では、 電子 メ ール フ ィ ル タ リ ン グ設定の基礎につい て説明 し ます。 詳細につい ては、 『FortiGate UTM ユーザ ガ イ ド 』 を参照 し て く だ さ い。 電子メール フィルタリングの順序 FortiGate 電子 メ ール フ ィ ル タ リ ン グ では、 各種の フ ィ ル タ リ ン グ手法 を 使用 し て い ま す。 FortiGate ユニ ッ ト が こ れ らの フ ィ ル タ を使用する順序は、 使用 さ れる メ ール プ ロ ト コ ルに応 じ て異な り ます。 サーバへの ク エ リ と 応答が必要な フ ィ ル タ (FortiGuard Antispam サー ビ ス と DNSBL/ORDBL) は、 同時に実行 さ れます。 遅延を回避する ために、 ク エ リ は、 他の フ ィ ル タ が実行 さ れている 間に送信 さ れます。 スパム ア ク シ ョ ン を ト リ ガす る最初の応答は、 その応答が受信 さ れる と す ぐ に有効にな り ます。 一致や問題が発見 さ れない場合、 各 フ ィ ル タ は電子 メ ールを次の フ ィ ル タ に渡 し ます。 フ ィ ル タ 内のア ク シ ョ ンが [Mark as Spam] である場合、 FortiGate ユニ ッ ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル内の設定に従 っ て、 その電子 メ ールにスパムの タ グを付けます。 SMTP および SMTPS では、 ア ク シ ョ ンが [Discard] であ る場合、電子 メ ール メ ッ セージは破棄 または削除 さ れます。 フ ィ ル タ 内のア ク シ ョ ンが [Mark as Clear] である場合、その電子 メ ールは残 り のすべての フ ィ ル タ か ら除外 さ れます。フ ィ ル タ 内のア ク シ ョ ンが [Mark as Reject] である場合、その電子 メ ー ル セ ッ シ ョ ンは破棄 さ れます。拒否 さ れた SMTP または SMTPS 電子 メ ール メ ッ セージは、設 定可能な差 し 替え メ ッ セージに置き換え られます。 386 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 電子 メ ール フ ィ ル タ SMTP および SMTPS 電子メール フィルタリングの順序 SMTPS 電子 メ ール フ ィ ル タ リ ングは、SSL コ ン テ ン ツ スキ ャ ンおよび イ ン スペ ク シ ョ ン をサ ポー ト する FortiGate ユニ ッ ト のみで使用で き ます。 SSL コ ン テ ン ツ スキ ャ ンおよび イ ン スペ ク シ ョ ンの詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 1 2 3 4 5 6 7 ラ ス ト ホ ッ プ IP に対する IP ア ド レ ス BWL チ ェ ッ ク ラ ス ト ホ ッ プ IP に対する DNSBL/ORDBL チ ェ ッ ク、 ラ ス ト ホ ッ プ IP に対する FortiGuard 電子 メ ール フ ィ ル タ リ ング IP ア ド レ ス チ ェ ッ ク 、 HELO DNS 参照 MIME ヘ ッ ダ チ ェ ッ ク 、 電子 メ ール ア ド レ ス BWL チ ェ ッ ク 電子 メ ールの件名に対する禁止単語チ ェ ッ ク IP ア ド レ ス BWL チ ェ ッ ク ("Received" ヘ ッ ダか ら取得 さ れた IP に対 し て ) 電子 メ ールの本文に対する禁止単語チ ェ ッ ク 返信電子 メ ール DNS チ ェ ッ ク 、 FortiGuard Antispam 電子 メ ール チ ェ ッ ク サム チ ェ ッ ク、 FortiGuard 電子 メ ール フ ィ ル タ リ ング URL チ ェ ッ ク、 ヘ ッ ダか ら取得 さ れたパブ リ ッ ク IP に対する DNSBL/ORDBL チ ェ ッ ク IMAP、POP3、IMAPS、および POP3S 電子メール フィルタリングの順序 IMAPS お よび POP3S 電子 メ ール フ ィ ル タ リ ングは、 SSL コ ン テ ン ツ スキ ャ ンお よび イ ン ス ペ ク シ ョ ン をサポー ト する FortiGate ユニ ッ ト のみで使用で き ます。 SSL コ ン テ ン ツ スキ ャ ン お よび イ ン スペ ク シ ョ ンの詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 1 2 3 4 5 MIME ヘ ッ ダ チ ェ ッ ク 、 電子 メ ール ア ド レ ス BWL チ ェ ッ ク 電子 メ ールの件名に対する禁止単語チ ェ ッ ク IP BWL チ ェ ッ ク 電子 メ ールの本文に対する禁止単語チ ェ ッ ク 返信電子 メ ール DNS チ ェ ッ ク 、 FortiGuard 電子 メ ール フ ィ ル タ リ ング電子 メ ール チ ェ ッ クサム チ ェ ッ ク、 FortiGuard 電子 メ ール フ ィ ル タ リ ング URL チ ェ ッ ク 、 DNSBL/ORDBL チェ ック 電子 メ ール ア ド レ ス プロファイル [Profile] メ ニ ュ ーでは、 フ ァ イ アウ ォ ール ポ リ シーに適用する ための電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルを設定で き ます。 プ ロ フ ァ イ ルに含まれる特定の情報は、 ポ リ シーに基づ き ト ラ フ ィ ッ クがどのよ う に検証 さ れ、検証に基づいて どのよ う なア ク シ ョ ンが実行 さ れるかを定義 し ます。 電子 メ ール フ ィ ル タ プ ロ フ ァ イルを設定す る には、 [UTM]、 [Email Filter]、 [Profile] の順に選 択 し ます。 [Profile] ページ こ のページ には、 作成済みの電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルが一覧表示 さ れます。 こ のページ では、 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルを編集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し い電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルを作成する と き選択 し ます。 編集アイコン 電子メール フィルタリング プロファイルの設定を編集するとき選択します。 削除アイコン 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルを削除す る と き選択 し ます。 [ 名前 ] 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルの名前。 [ コメント ] 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルの説明。こ の設定は、オ プ シ ョ ン です。 [New Email Filter Profile] ページ こ のページ では、 複数の電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルを設定で き ます。 電子 メ ール フ ィ ル タ プ ロ フ ァ イルを編集する場合は、 [Edit Email Filter Profile] ページの画面に自動的に移動 し ます。 [ 名前 ] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルの名前を入力 し ます。 387 電子 メ ール フ ィ ル タ 統合脅威管理 (UTM) [ コメント ] 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルの説明を入力 し ます ( 入力はオ プ シ ョ ン です )。 [Enable logging] 電子メール フィルタ プロファイルのロギングを有効にするとき選択します。 [FortiGuard Email Filtering] こ の オ プ シ ョ ン を 利用す る に は、 設定す る プ ロ ト コ ル列名の横に あ る チ ェ ッ ク ボ ッ ク ス を オ ン にする必要があ り ます。 た と えば、 IMAP の横に あ る チ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、 IMAP で利用可能なオ プ シ ョ ン に ア ク セ スで き ます。 [IP Address Check] FortiGuard IP ア ド レ スのブ ラ ッ ク リ ス ト のチ ェ ッ ク を有効にす る と き選 択 し ます。 IP ア ド レ ス チ ェ ッ ク が有効で ない場合は、 FortiGate ユニ ッ ト はその種類の ト ラ フ ィ ッ ク を検証 し ません。 注記 : チ ェ ッ ク 不要な ト ラ フ ィ ッ ク の種類を無効にす る と 、 シ ス テムの リ ソ ース を節約で き ます。 [URL Check] FortiGuard URL ブ ラ ッ ク リ ス ト のチ ェ ッ ク を有効にする と き選択 し ます。 [Email Checksum Check] 電子 メ ール メ ッ セー ジ チ ェ ッ ク サム チ ェ ッ ク を 有効にす る と き 選択 し ます。 [Spam submission] FortiGuard 電子 メ ール フ ィ ル タ リ ン グに よ っ て スパム と し て マー ク さ れ たすべての電子 メ ール メ ッ セージの本文に、 スパム提供 メ ッ セージ と リ ン ク を 追加す る場合に選択 し ま す。 受信者が電子 メ ール メ ッ セージ を ス パムではない と 判断 し た場合は、本文 メ ッ セージ に含まれる リ ン ク を使用 し て語検知であ る こ と を通知で き ます。スパム提供 メ ッ セージの内容を変 更する には、 [Replacement Messages] ページ を表示 し 、 メ ッ セージ内容を カ ス タ マ イ ズ し ま す。 詳細につ い ては、 159 ペー ジの 「スパム差 し 替 え メ ッ セージ」 を参照 し て く だ さ い。 [IP address BWL check] [Options] カ ラ ムで、ド ロ ッ プ ダウ ン リ ス ト か ら IP ア ド レ ス ブ ラ ッ ク / ホ ワ イ ト リ ス ト を選択 し ます。 [HELO DNS Lookup] SMTP 電子 メ ール メ ッ セージの送信元 ド メ イ ン名を (SMTP HELO コ マ ン ド か ら ) 検索する と き選択 し ます。 [E-mail Address DNS Check] 電子 メ ール ア ド レ スの DNS を検索する と き選択 し ます。 [Return E-mail DNS Check] 返信先ま たは返信元のア ド レ ス で指定 さ れた ド メ イ ン に A または MX レ コ ー ド が含まれてい るかど う かを チ ェ ッ ク する場合に選択 し ます。 [Banned Word Check] 選択 さ れてい る電子 メ ール フ ィ ル タ 禁止単語 リ ス ト の単語ま たは語句 と メ ール メ ッ セ ー ジ 内容の照合に基づ い て、 電子 メ ール メ ッ セ ー ジ を ブ ロ ッ ク する場合に選択 し ます。 [Spam Action] FortiGate ユニ ッ ト に よ り スパム と し て識別 さ れた電子 メ ールに タ グ付け するか、 ま たは電子 メ ールを破棄するかを選択 し ます。 [Tagging] を選択す る と 、 [Tag Format] フ ィ ール ド のテキス ト を、 スパム と し て識別 さ れた電 子 メ ールの件名行ま たはヘ ッ ダに追加 し ます。 注記 : ア ン チウ イ ルス プ ロ フ ァ イルで SMTP およ び SMTPS のウ イルス スキ ャ ン を有効にする場合、ス プ ラ イ ス モー ド (別名ス ト リ ー ミ ン グ モー ド ) が自動的に有効に設定 さ れます。ス プ ラ イ ス モー ド で スキ ャ ン を行 う 場合、 FortiGate ユニ ッ ト に よ っ て、 ト ラ フ ィ ッ ク のスキ ャ ン お よ び ト ラ フ ィ ッ ク を送信先に ス ト リ ー ミ ン グす る処理が同時に行われ、ウ イルスが 検出 さ れる と 送信先へのス ト リ ー ミ ン グが中止 さ れます。ス プ ラ イ ス設定 の詳細については、『FortiGate CLI リ フ ァ レ ン ス 』 の、config firewall profile コ マ ン ド の各プ ロ ト コ ルのス プ ラ イ ス オ プ シ ョ ン を参照 し て く だ さ い。 SMTP のス プ ラ イ ス動作の詳細については、Knowledge Base の、『FortiGate プ ロキシ スプ ラ イ スおよび ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング テ ク ニ カ ル ノ ー ト 』 を参照 し て く だ さ い。 SMTP のウ イ ルス スキ ャ ン を有効にす る と 、 FortiGate ユニ ッ ト はウ イ ル ス が検出 さ れ た 場合 に ス パム メ ー ル の 破 棄 の み を 実 行 で き ま す。 [Discarding] を選択する と 、 接続を ただ ち に中断 し ます。 ウ イ ルス スキ ャ ン を有効に設定 し ない場合、 SMTP スパムに タ グ付けするかまたは破棄す るかを選択で き ます。 388 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 電子 メ ール フ ィ ル タ [Tag Location] スパム と し て識別 さ れた電子 メ ールの件名ま たは MIME ヘ ッ ダに タ グ を追 加する場合に選択 し ます。 件名行への タ グ追加 を選択す る と 、 FortiGate ユニ ッ ト に よ り 、 タ グ を含 む件名行のすべてが UTF-8 形式に変換 さ れます。 こ れに よ っ て、 複数の エ ン コ ーデ ィ ン グ を用い る件名 を正 し く 表示で き ない電子 メ ール ク ラ イ ア ン ト で、 表示を改善す る こ と がで き ます。 件名行を UTF-8 に変換 し な い設定の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の 「シ ス テム設 定」 の章を参照 し て く だ さ い。 MIME ヘッダにタグを追加するには、 プロトコルごとに (IMAP、 SMTP、 および POP3) CLI から spamhdrcheck を有効にする必要があります。 詳細につい ては、 『FortiGate CLI リファレンス』 の profile を参照してください。 [Tag Format] スパム と し て識別 さ れた電子 メ ールに タ グ と し て付加す る語句 を 入力 し ます。 タ グ を入力す る と き、 FortiGate ユニ ッ ト の現在設定 さ れてい る管 理者言語 と 同 じ 言語を使用 し ます。他のエ ン コ ーデ ィ ン グ を使用する タ グ テキス ト は、 許可 さ れない場合があ り ます。 た と えば、 日本語の文字を使 用 し て スパム タ グ を 入力す る場合、 まず管理者言語が日本語に設定 さ れ て い る こ と を 確認 し ま す。 管理者言語が日本語以外の設定の ま ま で は、 FortiGate ユニ ッ ト で日本語文字のスパム タ グ を設定で き ません。 言語変 更の詳 し い方法については、 27 ページの 「Web ベース マネージ ャ の言語 の変更」 を参照 し て く だ さ い。 タ グの長 さ は、 64 バ イ ト に限 ら れます。 64 バ イ ト に含まれる文字数は、 FortiGate の管理者言語の設定に応 じ た テキス ト エ ン コ ーデ ィ ン グに よ り 異な り ます。 禁止単語 特定の単語またはパ タ ー ン を含む電子 メ ール メ ッ セージ を ブ ロ ッ ク す る こ と に よ っ て、 スパ ムを制御 し ます。 単語、 語句、 ワ イル ド カ ー ド 、 Perl 正規表現を追加 し 、 電子 メ ール メ ッ セー ジの コ ン テ ン ツ と 照合で き ます。 ワ イル ド カ ー ド および Perl 正規表現の詳細については、 393 ページの 「ワ イル ド カ ー ド および Perl 正規表現の使用」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト によ っ て、 禁止単語 リ ス ト に対する電子 メ ール メ ッ セージのチ ェ ッ クが行 われます。 FortiGate ユニ ッ ト では、 禁止単語を件名、 本文、 または双方に含む電子 メ ール メ ッ セージの分類が可能です。 メ ッ セージに現れる各禁止単語のス コ ア値が加算 さ れ、 その合計が プ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れている し き い値を超え る と 、 FortiGate ユニ ッ ト はプ ロ フ ァ イルの設定に基づいて メ ッ セージ を処理 し ます。あ る単語が メ ッ セージに複数回現れた 場合で も、 そのパ タ ーンのス コ アは 1 回だけ適用 さ れます。 禁止単語を設定するには、 [UTM]、 [Email Filter]、 [Banned Word] の順に選択 し ます。 [Banned Word] ページ こ のページには、 作成済みの禁止単語 リ ス ト が表示 さ れます。 こ のページ では、 禁止単語を編集、 削 除、 ま たは新規作成で き ます。 [Create New] [Create New] を選択する と 、[New List] ページの画面に自動的に移動 し ます。[New List] ページ には、 [ 名前 ] フ ィ ール ド お よ び [ コ メ ン ト ] フ ィ ール ド があ り 、 [Banned Word Settings] ページ を 表示す る には リ ス ト の名前 を入力する必要があ り ます。 [ 名前 ] 使用可能な電子 メ ール フ ィ ル タ 禁止単語 リ ス ト 。 [# Entries] 各禁止単語 リ ス ト 内のエ ン ト リ の数。 [ コメント ] オ プ シ ョ ン で記述 さ れる各禁止単語 リ ス ト の説明。 削除アイコン カ タ ロ グか ら 禁止単語 リ ス ト を削除 し ます。 削除ア イ コ ンは、 禁止単語 リ ス ト が どの電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルで も 選択 さ れていない場合のみ使用で き ます。 編集アイコン 禁止単語 リ ス ト 、 リ ス ト 名、 ま たは リ ス ト の コ メ ン ト を編集 し ます。 [Banned Word Settings] ページ こ のページ では、 FortiGate ユニ ッ ト に よ り 禁止 と 判断 さ れる単語パ タ ー ン ま たは単語を設定で き ま す。 [Banned Word] ページ に表示 さ れる禁止単語 リ ス ト は、 こ れ ら の単語お よ び単語パ タ ーン に よ り 構成 さ れています。 禁止単語を 編集す る場合は、 [Banned Word Settings] ページの画面に自動的に移 動 し ます。 [ 名前 ] 既存の禁止単語 リ ス ト を編集 し 、 リ ス ト 名を変更する場合は、 こ の フ ィ ール ド に 新 し い名前を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [ コメント ] 既存の禁止単語 リ ス ト を編集 し 、 説明内容を変更する場合は、 こ の フ ィ ール ド に 新たな説明を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 389 電子 メ ール フ ィ ル タ 統合脅威管理 (UTM) [OK] リ ス ト の変更を保存する ために選択 し ます。 [Create New] 禁止単語 リ ス ト に単語ま たは語句を追加する場合に選択 し ます。[Create New] を 選択する と 、 以下が表示 さ れます。 [ 有効 ] 禁止単語が有効の場合、 緑色のチ ェ ッ ク マー ク が表示 さ れます。 [Pattern] 禁止単語の リ ス ト 。 リ ス ト 内のすべての禁止単語を有効にす る には、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [ パターンタイプ ] 禁止単語 リ ス ト の入力で使用 さ れるパ タ ー ンの種類。 [Wildcard] ま たは [Regular Expression] か ら 選択 し ます。 詳細については、 393 ページの 「ワ イル ド カ ー ド お よび Perl 正規表現の使用」 を参照 し て く だ さ い。 [Language] 禁止単語が属す る文字セ ッ ト 。 [Where] FortiGate ユニ ッ ト に よ り 禁止単語が検索 さ れる、 [Subject]、 [Body]、 ま たは [All] のいずれかの場所。 [Score] こ の禁止単語に適用 さ れる重み付けの数値。 電子 メ ール メ ッ セージに現れる す べての一致単語のス コ ア値を加算 し 、 その合計がプ ロ テ ク シ ョ ン プ ロ フ ァ イ ル に設定 さ れてい る禁止単語チ ェ ッ ク値を超え る場合、 その メ ールは、 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルの [Spam Action] の設定、 [Discard] または [Tagged] に 応 じ て処理 さ れます。 あ る禁止単語が電子 メ ールの Web ページ に複数回現れた 場合で も 、 その単語のス コ アは 1 回だけ カ ウ ン ト さ れます。 編集アイコン 禁止単語の設定を変更する と き選択 し ます。 削除アイコン リ ス ト か ら 禁止単語を削除す る と き選択 し ます。 [ 有効 ] 禁止単語を有効にする と き オ ン に し ます。 [ 無効 ] 禁止単語を無効にする と き オ ン に し ます。 [Remove All Entries] リ ス ト か ら すべての禁止単語エ ン ト リ を削除する と き選択 し ます。 ページ コントロー ページ コ ン ト ロールを使用 し 、 [Banned Word] メ ニ ュ ーに含まれる情報を表示 し ます。 ル [Add Banned Word] ページ [Pattern] 禁止単語パ タ ー ン を入力 し ます。 パ タ ーンは、 単語の一部、 単語全体、 または語句が可能です。 1 つのパ タ ー ン と し て複数の単語を入力する と 、 1 つの語句 と し て扱われます。 語句が一致す る に は、 その語句が入力 し た と お り に現れる必要があ り ます。 ワ イ ル ド カ ー ド ま たは 正規表現を使用 し 、パ タ ーン を複数の単語ま たは語句 と 一致 さ せる こ と も で き ま す。 [ パターンタイプ 禁止単語のパ タ ー ンの種類を選択 し ます。 [Wildcard] ま たは [Regular Expression] か ら 選択 し ます。 詳細については、 393 ページの 「ワ イ ル ド カ ー ド お よび Perl 正 ] 規表現の使用」 を参照 し て く だ さ い。 [Language] 禁止単語の文字セ ッ ト を選択 し ます。 [Where] FortiGate ユニ ッ ト が禁止単語を検索する場所を、 [Subject]、 [Body]、 ま たは [All] か ら 選択 し ます。 [Score] こ のパ タ ーンのス コ ア値を入力 し ます。 プ ロ フ ァ イルに追加 さ れる禁止単語 リ ス ト の各エ ン ト リ には、ス コ アが含まれて います。電子 メ ール メ ッ セージが禁止単語 リ ス ト のエ ン ト リ と 一致す る場合は、 ス コ アが記録 さ れます。 電子 メ ール メ ッ セージが複数のエ ン ト リ と 一致す る場 合は、 その メ ール メ ッ セージのス コ アは増加 し ます。 電子 メ ール メ ッ セージの ス コ ア合計が、 し き い値以上の場合は、 メ ッ セ ージはスパム と 判断 さ れ、 プ ロ フ ァ イ ルで設定 さ れる [Spam Action] の設定に応 じ て処理 さ れます。 注記 : 禁止単語では、 Perl 正規表現パ タ ーンは大文字 と 小文字が区別 さ れます。 単語また は語句の大文字 と 小文字が区別 さ れない よ う にするには、正規表現の /i を使用 し ます。 た と えば、 /bad language/i を指定する と 、 文字の大小にかかわ ら ず、 bad language と い う フ レーズであればすべて ブ ロ ッ ク さ れます。 ワ イル ド カ ー ド パ タ ーン では、 文字の大小は区 別 さ れません。 390 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 電子 メ ール フ ィ ル タ IP アドレス IP ア ド レ ス ブ ラ ッ ク / ホワ イ ト リ ス ト および電子 メ ール ア ド レ ス ブ ラ ッ ク / ホワ イ ト リ ス ト を追加 し て、 電子 メ ールを フ ィ ル タ 処理で き ます。 IP ア ド レ ス リ ス ト チ ェ ッ ク を実行する 場合、 FortiGate ユニ ッ ト は、 メ ッ セージの送信者の IP ア ド レ ス を IP ア ド レ ス リ ス ト に対 し て順番に比較 し ます。電子 メ ール リ ス ト チ ェ ッ ク を実行する場合、FortiGate ユニ ッ ト は、メ ッ セージの送信者の電子 メ ール ア ド レ ス を電子 メ ール ア ド レ ス リ ス ト に対 し て順番に比較 し ます。 一致が見つか っ た場合は、 その IP ア ド レ ス または電子 メ ール ア ド レ スに関連付け ら れ た ア ク シ ョ ンが実行 さ れます。 一致が見つか ら ない場合、 その メ ッ セージは次の有効な電子 メ ール フ ィ ル タ に渡 さ れます。 複数の IP ア ド レ ス リ ス ト を追加 し 、 後か ら電子 メ ール フ ィ ル タ プ ロ フ ァ イルご と に最適な リ ス ト を選択で き ます。 特定の IP ア ド レ スか らの電子 メ ールを フ ィ ル タ 処理する よ う に、 FortiGate ユニ ッ ト を設定 し ます。 FortiGate ユニ ッ ト は、 送信者の IP ア ド レ ス を チ ェ ッ ク リ ス ト に対 し て順番に比較 し ま す。 各 IP ア ド レ ス を、 [Mark as Clear]、 [Mark as Spam]、 または [Mark as Reject] と し てマー ク し ます。 単一の IP ア ド レ ス を フ ィ ル タ 処理するか、 またはア ド レ ス と マス ク を設定する こ と でネ ッ ト ワー ク レ ベルで複数のア ド レ ス を フ ィ ル タ 処理 し ます。 IP ア ド レ ス リ ス ト を作成 し た後、 IP ア ド レ ス を リ ス ト に追加で き ます。 IP ア ド レ ス、 または IP ア ド レ ス と マス クのペア を、 次の形式で入力 し ます。 ・ x.x.x.x、 た と えば 192.168.69.100 ・ x.x.x.x/x.x.x.x、 た と えば 192.168.69.100/255.255.255.0 ・ x.x.x.x/x、 た と えば 192.168.69.100/24 IP ア ド レ ス ブ ラ ッ ク / ホワ イ ト リ ス ト を設定するには、 [UTM]、 [Email Filter]、 [IP Address] の 順に選択 し ます。 [IP Address] ページ こ のページには、 作成済みの IP ア ド レ ス リ ス ト が一覧表示 さ れます。 こ のページ では、 IP ア ド レ ス リ ス ト を編集、 削除、 ま たは新規作成で き ます。 IP ア ド レ ス リ ス ト には複数の IP ア ド レ スが含まれ、 リ ス ト は [IP Address Settings] ページ で設定 し ます。 [Create New] [Create New] を選択する と 、 [New List] ページの画面に自動的に移動 し ま す。 [New List] ページ には、 [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ー ル ド があ り 、 [IPS Address Settings] ページ を表示する には リ ス ト の名前を 入力する必要があ り ます。 [ 名前 ] IP ア ド レ ス リ ス ト の名前。 [# Entries] 各 IP ア ド レ ス リ ス ト 内のエ ン ト リ の数。 [ コメント ] オ プ シ ョ ン で記述 さ れる IP ア ド レ ス リ ス ト の説明。 削除アイコン カ タ ロ グか ら IP ア ド レ ス リ ス ト を削除 し ます。 削除ア イ コ ンは、 IP ア ド レ ス リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで も 選択 さ れていない場 合にのみ使用で き ます。 編集アイコン IP ア ド レ ス リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集する場合 に選択 し ます。 [IP Address Settings] ページ こ のページ では、 複数の IP ア ド レ ス を設定 し 、 それ ら を グループ化 し て IP ア ド レ ス リ ス ト を作成で き ます。 作成 し た リ ス ト を、 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルに適用 し ます。 [New List] ページか ら こ の ページの画面に、 自動的に移動 し ます。 IP ア ド レ ス を編集する場合は、 [IP Address Settings] ページの画 面に自動的に移動 し ます。 [ 名前 ] 既存の IP ア ド レ ス リ ス ト を編集 し 、 リ ス ト の名前を変更す る場合は、 こ の フ ィ ール ド に新 し い名前を入力 し ます。変更を保存する には、必ず [OK] を選択 し ます。 [ コメント ] 既存の IP ア ド レ ス リ ス ト を 編集 し 、 説明内容 を 変更す る 場合は、 こ の フ ィ ール ド に新た な説明を入力 し ます。 変更 を保存す る には、 必ず [OK] を選択 し ます。 [OK] リ ス ト の変更を保存する ために選択 し ます。 [Create New] 新規 IP ア ド レ ス リ ス ト を作成す る と き選択 し ます。 編集アイコン ア ド レ ス情報を編集 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 391 電子 メ ール フ ィ ル タ 統合脅威管理 (UTM) 削除アイコン リ ス ト か ら IP ア ド レ ス を削除する場合に選択 し ます。 [ 有効 ] IP ア ド レ ス を有効にする場合に選択 し ます。 [ 無効 ] IP ア ド レ ス を無効にする場合に選択 し ます。 移動アイコン エ ン ト リ を リ ス ト 内の別の位置に移動す る場合に選択 し ます。 フ ァ イ ア ウ ォ ール ポ リ シーは、 リ ス ト を上か ら 順に実行 し ます。 た と え ば、Spam と し ての IP ア ド レ ス 192.168.100.1 およ び Clear と し ての IP ア ド レ ス 192.168.100.2が リ ス ト 中にあ る場合、192.168.100.2の上に 192.168.100.1 を置 く こ と に よ り 、 192.168.100.1 を有効にする必要があ り ます。 全エントリ削除アイコン リ ス ト か ら IP ア ド レ ス を すべて削除する場合に選択 し ます。 [Add IP Address] ページ [IP/Netmask] IP ア ド レ ス または IP ア ド レ ス / マス ク のペア を入力 し ます。 [ アクション ] プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで設定 さ れてい る スパム ア ク シ ョ ン を適用 する ための [Mark as Spam]、こ の フ ィ ル タ と 残 り のスパム フ ィ ル タ をバイ パスする ための [Mark as Clear]、 または こ のセ ッ シ ョ ン を破棄する ための [Mark as Reject] (SMTP ま たは SMTPS) のいずれかを選択 し ます。 [ 有効 ] ア ド レ ス を有効にする と き オ ン に し ます。 電子メール アドレス FortiGate ユ ニ ッ ト に よ っ て、 特定の送信者か ら 送信 さ れ る 電子 メ ー ル、 ま た は ド メ イ ン (example.net な ど ) か ら 送信 さ れるすべての電子 メ ールを、 フ ィ ル タ 処理で き ます。 電子 メ ー ル ア ド レ ス リ ス ト を追加 し 、 後か ら プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に最適な リ ス ト を選択 で き ます。 電子 メ ール ア ド レ ス リ ス ト を設定するには、 [UTM]、 [Email Filter]、 [Email ア ド レ ス ] の順に 選択 し ます。 [Email アドレス ] ページ こ のページ には、 作成済みの電子 メ ール ア ド レ ス リ ス ト が一覧表示 さ れます。 こ のページ では、 電子 メ ール ア ド レ ス リ ス ト を編集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を選択する と 、 [New List] ページの画面に自動的に移動 し ま す。 [New List] ページ には、 [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ー ル ド があ り 、[E-mail Address Settings] ページ を表示する には リ ス ト の名前 を入力する必要があ り ます。 [ 名前 ] 電子 メ ール ア ド レ ス リ ス ト の名前。 [# Entries] 各電子 メ ール ア ド レ ス リ ス ト 内のエ ン ト リ の数。 [ コメント ] オ プ シ ョ ン で記述 さ れる電子 メ ール ア ド レ ス リ ス ト の説明。 削除アイコン カ タ ロ グか ら 電子 メ ール ア ド レ ス リ ス ト を削除 し ます。削除ア イ コ ンは、 電子 メ ール ア ド レ ス リ ス ト が どの プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで も 選 択 さ れていない場合にのみ使用で き ます。 編集アイコン 電子 メ ール ア ド レ ス リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集 する場合に選択 し ます。 [E-mail Address Settings] ページ こ のページ では、 複数の IP ア ド レ ス を設定 し 、 それ ら を グループ化 し て IP ア ド レ ス リ ス ト を作成で き ます。 作成 し た リ ス ト を、 電子 メ ール フ ィ ル タ プ ロ フ ァ イ ルに適用 し ます。 [New List] ページか ら こ の ページの画面に、自動的に移動 し ます。電子 メ ール ア ド レ ス を編集す る場合は、[E-mail Address Settings] ページの画面に自動的に移動 し ます。 392 [ 名前 ] 既存の電子 メ ール ア ド レ ス リ ス ト を編集 し 、 リ ス ト の名前を変更する場 合は、 こ の フ ィ ール ド に新 し い名前 を入力 し ます。 変更 を保存す る には、 必ず [OK] を選択 し ます。 [ コメント ] 既存の電子 メ ール ア ド レ ス リ ス ト を編集 し 、説明内容を変更する場合は、 こ の フ ィ ール ド に新た な説明 を 入力 し ま す。 変更 を 保存す る には、 必ず [OK] を選択 し ます。 [OK] リ ス ト の変更を保存する ために選択 し ます。 [Create New] 新 し い電子 メ ール ア ド レ ス を電子 メ ール ア ド レ ス リ ス ト に追加 し ます。 [Create New] を選択す る と 、 以下が表示 さ れます。 編集アイコン 電子 メ ール ア ド レ スに変更を加え る と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) ワ イル ド カ ー ド および Perl 正規表現の使用 削除アイコン 電子 メ ール ア ド レ ス を削除する と き選択 し ます。 [ 有効 ] 電子 メ ール ア ド レ ス を有効にする と き選択 し ます。 [ 無効 ] 電子 メ ール ア ド レ ス を無効にする と き選択 し ます。 全エントリ削除アイコン リ ス ト か ら すべてのエ ン ト リ を削除 し ます。 [ 有効 ] 電子 メ ール ア ド レ スが有効の場合、 緑色のチ ェ ッ ク マー ク が表示 さ れま す。 電子 メ ール ア ド レ スが無効の場合、 灰色の ク ロ ス マー ク が表示 さ れ ます。 [Email-Address] 入力 さ れた電子 メ ール ア ド レ ス。 [ パターンタイプ ] その電子 メ ール ア ド レ スに対 し て選択 さ れたパ タ ーンの種類。 [ アクション ] その電子 メ ール ア ド レ スが検出 さ れた と き実行 さ れる ア ク シ ョ ン。 ページ コントロール ページ コ ン ト ロ ール を使用 し 、 [E-mail Address Settings] ページの リ ス ト を表示 し ます。 [Add E-Mail Address] ページ [Email アドレス ] 電子 メ ール ア ド レ ス を入力 し ます。 [ パターンタイプ ] パ タ ーンの種類 と し て、 [Wildcard] または [Regular Expression] のいずれか を 選択 し ま す。 詳細に つい ては、 393 ペー ジ の 「ワ イ ル ド カ ー ド お よ び Perl 正規表現の使用」 を参照 し て く だ さ い。 [ アクション ] プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで設定 さ れてい る スパム ア ク シ ョ ン を適用 する ための [Mark as Spam]、ま たは こ の電子 メ ール フ ィ ル タ と 残 り の フ ィ ル タ をバ イ パスする [Mark as Clear] のいずれかを選択 し ます。 [ 有効 ] 電子 メ ール ア ド レ ス を有効にする と き オ ン に し ます。 注記 : FortiGate ユニ ッ ト では、サーバの ド メ イ ン名に基づいて DNSBL または ORDBL サー バに接続するため、 この名前を DNS サーバで検索で き る必要があ り ます。 DNS 設定の詳 細については、 112 ページの 「ネ ッ ト ワー ク オプ シ ョ ンの設定」 を参照 し て く だ さ い。 ワイルドカードおよび Perl 正規表現の使用 電子 メ ール ア ド レ ス リ ス ト 、 MIME ヘ ッ ダ リ ス ト 、 お よび禁止単語 リ ス ト のエ ン ト リ には、 ワ イル ド カ ー ド または Perl 正規表現を含める こ と がで き ます。 Perl 正規表現の詳 し い利用方法については、 http://perldoc.perl.org/perlretut.html を参照 し て く だ さ い。 正規表現とワイルドカードの一致パターンの比較 ワ イル ド カ ー ド 文字は、 1 つ以上の任意の文字を表す特殊文字です。 最 も よ く 使用 さ れるワ イ ル ド カ ー ド 文字には、一般に長 さ が文字数ゼロ以上の任意の文字列を表すア ス タ リ ス ク (*) と 、 一般に任意の 1 文字を表す疑問符 (?) があ り ます。 Perl 正規表現では、 '.' の文字は任意の 1 文字を示 し ます。 ワ イル ド カ ー ド の一致パ タ ーンにあ る '?' の文字 と 同様です。 そのため、 次のよ う にな り ます。 ・ fortinet.com は、 fortinet.com だけでな く 、 fortinetacom、 fortinetbcom、 fortinetccom な どに も一致 し ます。 注記 : FortiGate CLI か ら疑問符 (?) 文字を正規表現に追加するには、 Ctrl+V に続いて ? を 入力 し ます。、 CLI から バ ッ ク ス ラ ッ シ ュ (\) 1 文字を正規表現に追加するには、 それに先 行す る も う 1 つ の バ ッ ク ス ラ ッ シ ュ 文字 を 加 え る 必要 が あ り ま す。 た と え ば、 fortinet\\.com のよ う に入力 し ます。 '.' や '*' な どの特殊文字に一致 さ せるには、 エ スケープ文字の '\' を使用 し ます。 た と えば、 ・ fortinet.com に一致 さ せるには、 正規表現を fortinet\.com にする必要があ り ます。 Perl 正規表現では、 '*' は、 任意の文字が 0 回以上一致するのではな く 、 その直前の文字が 0 回 以上一致する こ と を示 し ます。 た と えば、 次のよ う にな り ます。 ・ forti*.com は fortiiii.com に一致 し ますが、 fortinet.com には一致 し ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 393 ワ イル ド カ ー ド および Perl 正規表現の使用 統合脅威管理 (UTM) 任意の文字を 0 回以上一致 さ せるには、 '.*' を使用 し ます。 こ こ で、 '.' は任意の文字を示 し 、 '*' は 0 回以上一致する こ と を示 し ます。 し たが っ て、 た と えば、 ワ イル ド カ ー ド の一致パ タ ーン forti*.com は、 fort.*\.com にする必要があ り ます。 単語境界 Perl 正規表現では、 パ タ ー ン に暗黙の単語境界は含まれてい ません。 た と えば、 正規表現の "test" は単語 "test" に一致す る だけで な く 、 "atest"、 "mytest"、 "testimony"、 "atestb" な ど の、 "test" を 含む任意の単語に一致 し ま す。 "\b" の表記は、 単語境界 を 指定 し ま す。 単語 "test" に正確に一致 さ せるには、 式を \btest\b にする必要があ り ます。 大文字と小文字の区別 Web フ ィ ル タ や電子 メ ール フ ィ ル タ では、 正規表現のパ タ ーン一致は大文字 と 小文字が区別 さ れます。 単語または語句の大文字 と 小文字が区別 さ れない よ う にす るには、 正規表現の /i を使用 し ます。 た と えば、 /bad language/i を指定する と 、 文字の大小にかかわ ら ず、 "bad language" と い う フ レーズであればすべて ブ ロ ッ ク さ れます。 Perl 正規表現形式 表 53 は、 Perl 正規表現形式のい く つかの例を説明 し ています。 表 53: Perl 正規表現形式 394 表現 一致する文字列 abc "abc" ( 文字シーケ ン スは正確に一致するが、文字列内のどの位置にあ っ て も よい ) ^abc 文字列の先頭にあ る "abc" abc$ 文字列の最後尾にあ る "abc" a|b "a" ま たは "b" のど ち ら か ^abc|abc$ 文字列の先頭または最後尾にあ る文字列 "abc" ab{2,4}c "a" の後に 2 ~ 4 個の "b"、 その後に 1 個の "c" ab{2,}c "a" の後に少な く と も 2 個の "b"、 その後に 1 個の "c" ab*c "a" の後に任意個数 (0 個以上 ) の "b"、 その後に 1 個の "c" ab+c "a" の後に 1 個以上の "b"、 その後に 1 個の "c" ab?c "a" の後にオ プ シ ョ ンの "b"、 その後に 1 個の "c" ( つま り 、 "abc" または "ac" のど ち ら か ) a.c "a" の後に任意の 1 文字 ( 改行以外 )、 その後に 1 個の "c" a\.c 正確に "a.c" [abc] "a"、 "b"、 "c" の う ちの任意の 1 つ [Aa]bc "Abc" または "abc" のど ち ら か [abc]+ 複数個の "a"、 複数個の "b"、 複数個の "c" か ら 成る任意の ( 空以外の ) 文 字列 ("a"、 "abba"、 "acbabcacaa" な ど ) [^abc]+ "a"、 "b"、 "c" を ま っ た く 含ま ない任意の ( 空以外の ) 文字列 ("defg" な ど ) \\d\d 任意の 2 桁 10 進数 (42 な ど )、 \d{2} と 同 じ /i パ タ ー ンの大文字 と 小文字が区別 さ れない よ う に し ま す。 た と えば、 /bad language/i を指定す る と 、 文字の大小にかかわ ら ず、 bad language と い う フ レ ーズであればすべて ブ ロ ッ ク さ れます。 \w+ 1 つの " 単語 ": 英数字 と ア ン ダー ラ イ ン ( ア ン ダース コ ア ) か ら 記述 さ れる 空以外のシーケ ン ス (foo、 12bar8、 foo_1 な ど ) 100\s*mk オ プ シ ョ ン で任意数の空白 ( スペース、 タ ブ、 改行 ) に よ っ て分け ら れた文 字列 "100" と "mk" abc\b 後に単語境界が存在す る場合の "abc" ( た と えば、 "abc!" には含まれ るが、 "abcd" には含まれない ) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 情報漏洩防止 表 53: Perl 正規表現形式 ( 続き ) perl\B 後に単語境界が存在 し ない場合の "perl" ( た と えば、 "perlert" には含まれる が、 "perl stuff" には含まれない ) \x 正規表現パーサーに、 直前にバ ッ ク ス ラ ッ シ ュ 文字がな く 、 かつ文字 ク ラ ス に も 含まれていない空白を無視する よ う に指示 し ます。 正規表現を い く つか の部分に分割 し て ( 若干 ) 読みやす く する ために使用 し ます。 /x 他のテキス ト 内に正規表現を追加する ために使用 さ れます。 パ タ ー ン内の最 初の文字が フ ォ ワー ド ス ラ ッ シ ュ '/' であ る場合、 その '/' は区切 り 記号 と し て処理 さ れます。 こ のパ タ ー ン には、 2 つ目の '/' が含まれてい る必要があ り ます。 '/' の間にあ るパ タ ー ンは正規表現 と 見な さ れ、 2 つ目の '/' の後の任 意の文字は正規表現のオプ シ ョ ン ('i'、 'x'、 その他 ) の リ ス ト と し て解析 さ れ ます。 2 つ目の '/' がない と 、 エ ラ ーが発生 し ます。 正規表現では、 前や後に 置かれてい る スペースは正規表現の一部 と し て処理 さ れます。 正規表現の例 語句に含まれてい る任意の単語を ブ ロ ッ ク する /block|any|word/ 意図的なスペル間違いの単語を ブ ロ ッ ク する スパム発信者は多 く の場合、 スパム ブ ロ ッ キング ソ フ ト ウ ェ ア を通 り 抜け る ために、 単語の 文字の間に他の文字を挿入 し ます。 /^.*v.*i.*a.*g.*r.*o.*$/i /cr[eéèêë][\+\-\*=<>\.\,;!\?%&§@\^°\$£€\{\}()\[\]\|\\_01]dit/i 一般的なスパム語句を ブ ロ ッ ク する 次の語句は、 スパム メ ッ セージ内に見 られる一般的な語句のい く つかの例です。 /try it for free/i /student loans/i /you're already approved/i /special[\+\-\*=<>\.\,;!\?%&~#§@\^°\$£€\{\}()\[\]\|\\_1]offer/i 情報漏洩防止 FortiGate の情報漏洩防止 (DLP) シ ス テムを利用する こ と に よ り 、 機密情報がネ ッ ト ワー ク を 出入 り する こ と を防止で き ます。 機密情報のパ タ ーン を定義す る こ と で、 そのパ タ ーンに一致 する情報が FortiGate ユニ ッ ト を通過する と き、 その情報を ブ ロ ッ ク、 ログ記録またはアー カ イ ブ で き ます。 DLP シ ス テムを設定するには、 ルールを個別に策定 し 、 そのルールを DLP セ ンサーに組み合わせ、 DLP セ ンサーを プ ロ テ ク シ ョ ン プ ロ フ ァ イルに割 り 当てます。 DLP 機能の主な目的は、 機密情報を ネ ッ ト ワー クか ら漏出 さ せない こ と ですが、 他に も、 望ま し く ない情報がネ ッ ト ワー ク に入 り 込む こ と を防止 し 、 FortiGate ユニ ッ ト を通過する コ ン テ ン ツの一部またはすべて を アー カ イ ブする ために も 利用で き ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に情報漏洩防止を個別に設定 し ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ セ ンサー ・ 複合ルール ・ ルール ・ DLP アー カ イ ブ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 395 情報漏洩防止 統合脅威管理 (UTM) センサー 注意 : センサーを使用する前に、 センサーおよびそこに含まれるルールを慎重に確認し、 それ らがネットワーク上のトラフィックに及ぼす影響について十分理解してください。 DLP セ ンサーは、 DLP ルールお よび DLP 複合ルールか ら 構成 さ れています。 また DLP セ ン サーには、 [ ア ク シ ョ ン ]、 [ アー カ イ ブ ]、 [ 重要度 ] な ど、 ルールまたは複合ルールご と の設 定 も含まれています。 設定を完了 し た DLP セ ンサーは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで指定 で き ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルが指定 さ れてい るポ リ シーに よ っ て処理 さ れるすべ ての ト ラ フ ィ ッ ク には、 強制的に DLP セ ンサーの設定が適用 さ れます。 新 し い DLP セ ンサーを作成 し 、 ネ ッ ト ワー クか ら 送出 さ れる ト ラ フ ィ ッ ク を保護する ために 必要な DLP ルールお よび DLP 複合ルールを含むよ う に、 セ ンサーを設定で き ます。 DLP セ ンサーを設定する前に、 ルールおよび複合ルールを加えて DLP セ ンサー を作成する必 要があ り ます。 DLP セ ンサー を設定するには、 [UTM]、 [ デー タ 漏えい防止 ]、 [ セ ンサー ] の順に選択 し ます。 [ センサー ] ページ こ のページには、 作成済みの DLP セ ンサーお よ びデ フ ォ ル ト の DLP セ ンサーが一覧表示 さ れます。 こ の ページ では、 DLP セ ンサー を編集 ( デ フ ォ ル ト ま たは作成済みのセ ンサー )、 削除、 ま たは新規作成で き ます。 396 [Create New] [Create New] を選択する と 、 [New DLP List] ページの画面に自動的に移動 し ます。 [New DLP List] ページには、 [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ール ド があ り 、[Sensor Settings] ページ を表示す る には DLP セ ンサー の名前を入力する必要があ り ます。 [ 名前 ] DLP セ ンサーの名前。 デ フ ォ ル ト の DLP セ ンサーには 6 種類があ り 、 以 下のデ フ ォ ル ト DLP セ ンサーが FortiGate ユニ ッ ト に含まれています。 こ れ ら は、 そのま ま使用す るか、 ま たは必要に応 じ て編集で き ます。 Content_Archive ( デフォルト ) すべての電子 メ ール (POP3、 IMAP、 およ び SMTP)、 FTP、 HTTP、 お よび IM ト ラ フ ィ ッ ク を アー カ イ ブする DLP。 セ ンサーに含まれる各ルール と も 、 [ アー カ イ ブ ] は [ フ ル ] に設定 さ れています。 ブ ロ ッ ク または隔離 は実行 さ れません。 詳 し く は、 404 ページの 「DLP アー カ イ ブ」 を参照 し て く だ さ い。 [All-Session-Control] ルール を追加 し 、 セ ッ シ ョ ン制御 コ ン テ ン ツ を アー カ イ ブ する こ と も で き ます。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン を サ ポ ー ト す る FortiGate ユニ ッ ト の場合、 [All-Email] ルールを編集 し 、 POP3S、 IMAPS、 およ び SMTPS ト ラ フ ィ ッ ク を アー カ イ ブ で き ます。 SSL コ ン テ ン ツ スキ ャ ン お よび イ ン スペ ク シ ョ ンの詳細については、『FortiOS ハ ン ド ブ ッ ク 』 の 「UTM 」 の章 を参照 し て く だ さ い。 ま た、 [All-HTTP] ルー ルを編集 し 、 HTTPS ト ラ フ ィ ッ ク を アー カ イ ブする こ と も で き ます。 Content_Summary ( デフォルト ) すべての電子 メ ール (POP3、 IMAP、 およ び SMTP)、 FTP、 HTTP、 お よび IM ト ラ フ ィ ッ ク を アー カ イ ブす る DLP サマ リ 。セ ンサーに含まれる各ルー ル と も 、 [ アー カ イ ブ ] は [Summary Only] に設定 さ れています。 ブ ロ ッ ク または隔離は実行 さ れません。 詳 し く は、 404 ページの 「DLP アー カ イ ブ」 を参照 し て く だ さ い。 [All-Session-Control] ルール を追加 し 、 セ ッ シ ョ ン制御 コ ン テ ン ツ を アー カ イ ブ する こ と も で き ます。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン を サ ポ ー ト す る FortiGate ユニ ッ ト の場合、 [All-Email] ルールを編集 し 、 POP3S、 IMAPS、 およ び SMTPS ト ラ フ ィ ッ ク を アー カ イ ブ で き ます。ま た、[All-HTTP] ルー ルを編集 し 、 HTTPS ト ラ フ ィ ッ ク を アー カ イ ブする こ と も で き ます。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン の詳細 に つ い て は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 Credit-Card ( デフォルト ) American Express、 Visa、 Mastercard の ク レ ジ ッ ト カ ー ド で使われる番号 書式を、 HTTP お よび電子 メ ール ト ラ フ ィ ッ ク で検出 し ます。 こ の DLP セ ンサーは、 デ フ ォ ル ト では一致 ト ラ フ ィ ッ ク を アー カ イ ブせ ず、 [ ア ク シ ョ ン ] は [None] に設定 さ れています。 [ ア ク シ ョ ン ] お よび [ アー カ イ ブ ] オプ シ ョ ンは、 必要に応 じ て設定で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 情報漏洩防止 Large-File ( デフォルト ) 5MB を超え る フ ァ イ ルが電子 メ ール メ ッ セージ に添付 さ れてい るか、 ま たは HTTP あ る いは FTP に よ り 送信 さ れる場合、 その フ ァ イ ルを検出 し ます。 こ の DLP セ ンサーは、 デ フ ォ ル ト では一致 ト ラ フ ィ ッ ク を アー カ イ ブせ ず、 [ ア ク シ ョ ン ] は [None] に設定 さ れています。 [ ア ク シ ョ ン ] お よび [ アー カ イ ブ ] オプ シ ョ ンは、 必要に応 じ て設定で き ます。 SSN-Sensor ( デフォルト ) 米国社会保障番号お よび カ ナダ社会保険番号で使われる番号書式を、電子 メ ールお よび HTTP ト ラ フ ィ ッ ク で検出 し ます。 こ の DLP セ ンサーは、 デ フ ォ ル ト では一致 ト ラ フ ィ ッ ク を アー カ イ ブせ ず、 [ ア ク シ ョ ン ] は [None] に設定 さ れています。 [ ア ク シ ョ ン ] お よび [ アー カ イ ブ ] オプ シ ョ ンは、 必要に応 じ て設定で き ます。 [ コメント ] オ プ シ ョ ン で記述 さ れる DLP セ ンサーの説明。 削除アイコン リ ス ト か ら DLP セ ンサー を削除す る場合に選択 し ます。 編集アイコン DLP セ ンサーに変更を加え る と き選択 し ます。 [Sensor Settings] ページ こ のページ では、 DLP セ ンサーに加え るルールを設定で き ます。 [Create New] を選択 し 新 し いセ ンサー を 作成す る場合は、 [New DLP Sensor] ページの画面に自動的に移動 し ます。 [Sensor Settings] ページの 画面に移動 し セ ンサー を設定する には、 [ 名前 ] フ ィ ール ド にセ ンサーの名前を入力す る必要があ り ま す。 こ のページ で [Create New] を選択する と 、 [New DLP Sensor Rule] ページの画面に移動 し ます。 [ 名前 ] 既存の DLP セ ンサー を編集 し セ ンサー名を変更する場合は、 こ の フ ィ ー ル ド に新 し い名前を入力 し ます。 変更を保存する には、 必ず [OK] を選択 し ます。 [ コメント ] 既存の DLP セ ンサー を編集 し 説明内容を変更す る場合は、 こ の フ ィ ール ド に変更を入力 し ます。 変更を保存す る には、 必ず [OK] を選択 し ます。 [Create New] [Create New] を選択す る と 、 新 し いルールま たは複合ルールを セ ンサーに 加え ます。 メ ンバの種類を [ コ ンパウ ン ド ルール ] ま たは [ ルール ] に指 定する と 、 異な る オプ シ ョ ンが表示 さ れます。 [ 有効 ] こ のチ ェ ッ ク ボ ッ ク ス を オ フ にす る と 、 ルールま たは複合ルール を無効 に設定で き ます。 こ の項目はセ ンサーの一部 と し て表示 さ れますが、 使用 さ れません。 [ ルール名 ] セ ンサーに含まれるルールおよ び複合ルールの名前。 [ アクション ] 各ルールに設定 さ れてい る ア ク シ ョ ン。 [None] を選択 し ている場合は、 ア ク シ ョ ンは表示 さ れません。 ア ク シ ョ ンの設定にかかわ ら ずアー カ イ ブは有効にな り ますが、選択 さ れ てい る [ ア ク シ ョ ン ] の内容 と と も に [ アー カ イ ブ ] が表示 さ れます。 た と えば、 あ るルールで、 [ ア ク シ ョ ン ] を [Block] に設定 し [ アー カ イ ブ ] を [ フ ル ] に設定す る と 、 セ ンサー ルール リ ス ト に表示 さ れる [ ア ク シ ョ ン ] は、 [Block, Archive] と な り ます。 [ コメント ] ルールま たは複合ルールの説明。 説明はオ プ シ ョ ン です。 編集アイコン ルールま たは複合ルールを編集する と き選択 し ます。 削除アイコン 複合ルールまたはルールを リ ス ト か ら 削除する と き選択 し ます。 [ 有効 ] ルールま たは複合ルールを有効にする と き選択 し ます。 [ 無効 ] ルールま たは複合ルールを無効にする と き選択 し ます。 [New DLP Sensor Rule] ページ [ アクション ] 特定のルールま たは複合ルールに対 し て、 FortiGate ユニ ッ ト が実行す る ア ク シ ョ ン を選択 し ます。 [Ban]、 [Ban Sender]、 [Quarantine IP address]、 または [Quarantine Interface] を選択する と 、 [Expires] オプ シ ョ ンが表示 さ れます。 [ アーカイブ ] そのセ ンサーで アー カ イ ブ さ れる ロギ ン グの種類を選択 し ます。 [Expires] [Quarantine Virus Sender (to Banned Users List)] を 選択 し た と き 表示 さ れ ます。 攻撃者を無期限に禁止す るか、 ま たは指定 さ れた日数、 時間数、 ま たは分 数に限 り 禁止するかを選択で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 397 情報漏洩防止 統合脅威管理 (UTM) [ 重要度 ] ルール ま たは複合ルールに一致す る コ ン テ ン ツ の重大度 を 入力 し ま す。 FortiGate ユニ ッ ト を通過す る コ ン テ ン ツが原因 と な り 発生する問題の深 刻 さ を、 重大度に よ っ て示 し ます。 た と えば、 DLP ルールが高度なセキ ュ リ テ ィ を と も な う コ ン テ ン ツ と 一致す る場合、 重大度は 5 に匹敵 し ます。 一方、 DLP ルールがどのよ う な コ ン テ ン ツ と も 一致する場合であれば、 重 大度は 1 で も 妥当です。 ルール ま た は複合ルールが コ ン テ ン ツ に一致す る と き 生成 さ れ る ロ グ メ ッ セージの [ 重要度 ] フ ィ ール ド に、 DLP に よ っ て重大度が加え ら れま す。 数字が大き いほど、 重大度は大 き く な り ます。 [ メンバータイプ ] [ ルール ] または [ コ ンパウ ン ド ルール ]. を選択 し ます。 選択 し た種類の ルールが、 その下の表に表示 さ れます。 注記 : DLP は、 ア ク シ ョ ンの重複を避けます。 1 つのセ ンサーに含まれている複数のルー ルが コ ン テ ン ツに一致する場合で も、 DLP は同 じ コ ン テ ン ツか らは DLP アー カ イ ブ エ ン ト リ 、 隔離ア イ テム、 または禁止エ ン ト リ を、 1 つ し か作成 し ません。 複合ルール DLP 複合ルールは、 DLP ルールをグループ化 し た もので、DLP セ ンサーに加わる と 動作の仕方 が変わ り ます。 個別のルールは、 1 つの属性のみに よ っ て設定で き ます。 こ の属性がネ ッ ト ワー ク ト ラ フ ィ ッ クか ら 発見 さ れる と 、 ルールの動作が始ま り ます。 複合ルールによ り 、 個別のルールを グループ化 し 、 よ り 詳 し い動作の状態を指定で き ます。 複 合ルールに含まれる個々のルールには 1 つの属性 ( または条件 ) が設定 さ れますが、 ルールが 動作するにはその属性があ らか じ め ト ラ フ ィ ッ ク に存在する必要があ り ます。 た と えば、 以下の 2 つのルールを作成 し 、 それ ら を セ ンサーに加えます。 ・ ルール 1 は、 SMTP ト ラ フ ィ ッ クの送信者ア ド レ ス [email protected] を チ ェ ッ ク 。 ・ ルール 2 は、SMTP ト ラ フ ィ ッ クの メ ッ セージ本文に含まれる sale と い う 単語を チ ェ ッ ク。 セ ンサーを使用する と 、 いずれのルール も 設定 さ れた条件が true であれば作動 し ます。 1 の条 件のみ true の場合は、 該当するルールのみが作動 し ます。 SMTP ト ラ フ ィ ッ ク の コ ン テ ン ツ次 第で、 両ルール と も作動する、 両ルール と も作動 し ない、 または片方のみ作動 し ます。 こ れ らのルールを セ ンサーか ら削除する場合は、 こ れ ら を複合ルールに加えて、 その複合ルー ル を セ ン サーに加え、 こ の複合ルールが作動す る にはネ ッ ト ワー ク ト ラ フ ィ ッ ク に両方の ルールの条件が存在する必要があ り ます。 1 つの条件のみが存在する場合は、 ルールまたは複 合ルールが何 も作動 し ないま ま、 メ ッ セージは通過を許可 さ れます。 複数のルールに と も な う 個別に設定可能な属性を組み合わせた複合ルールによ っ て、ルールの 動作を ト リ ガする特定の条件を きめ細か く 指定で き ます。 DLP セ ンサーの複合ルールを設定するには、 [UTM]、 [ デー タ 漏えい防止 ]、 [Compund] の順に 選択 し ます。 [ コンパウンド ] ページ こ のページ には、 作成済みの複合ルールが一覧表示 さ れます。 こ のページ では、 複合ルールを編集、 削 除、 ま たは新規作成で き ます。 [Create New] 新 し い複合ルールを追加す る には、 [Create New] を選択 し ます。 [ 名前 ] 複合ルールの名前。 [ コメント ] オ プ シ ョ ン で記述 さ れる複合ルールの説明。 [DLP センサー ] 複合ルールがいずれかの DLP セ ンサーに使用 さ れる場合は、 セ ンサーの 名前が こ こ に表示 さ れます。 編集アイコン 複合ルールを編集する と き選択 し ます。 削除アイコン [ コ ンパウ ン ド ] ページか ら 複合ルールを削除する と き選択 し ます。 DLP セ ンサーで複合ルールが使用 さ れる場合は、削除ア イ コ ンは使用で き ませ ん。 DLP セ ンサーか ら 複合ルールを削除 し 、 さ ら に こ のページの リ ス ト か ら 削除 し ます。 [New/Edit Compound Rule] ページ こ のページ では、 複合ルールを設定で き ます。 既存の複合ルールを編集す る場合は、 こ のページの画面 に自動的に移動 し ます。 [ 名前 ] 398 複合ルールの名前を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 情報漏洩防止 [ コメント ] オ プ シ ョ ン で記述 さ れる複合ルールの説明。 [ プロトコル ] DLP 複合ルールが適用 さ れる コ ン テ ン ツ ト ラ フ ィ ッ ク の種類を選択 し ま す。 複合ルールに加え る こ と がで き るルールは、 選択する プ ロ ト コ ルに応 じ て異な り ます。 プ ロ ト コ ルは、 [Email]、 [HTTP]、 [FTP]、 [NNTP]、 お よ び [Instant Messaging] か ら 選択で き ます。 [AIM]、[ICQ]、[MSN]、 [Yahoo!] [Instant Messaging] プ ロ ト コ ル を選択す る と 、 ルールが加え ら れるサポー [HTTP POST]、[HTTP GET] [HTTP] プ ロ ト コ ルを選択する と 、 HTTP post セ ッ シ ョ ン ま たは HTTP get ト 対象の IM プ ロ ト コ ルを選択で き ます。 選択 し た プ ロ ト コ ルすべて を含 むルールのみを、 複合ルールに加え る こ と がで き ます。 セ ッ シ ョ ン あ るいは両方に適用する複合ルールを設定で き ます。選択 し た オ プ シ ョ ンすべて を含むルールのみを、複合ルールに加え る こ と がで き ま す。 [HTTPS POST]、[HTTPS [HTTP] プ ロ ト コ ルを選択す る と 、FortiGate ユニ ッ ト が SSL コ ン テ ン ツ ス キ ャ ン お よび イ ン スペ ク シ ョ ン をサポー ト する場合は、 HTTPS post セ ッ GET] シ ョ ン ま たはHTTPS getセ ッ シ ョ ン あ る いは両方に適用する複合ルールを 設定で き ます。 選択 し たオ プ シ ョ ンすべて を含むルールのみを、 複合ルー ルに加え る こ と がで き ます。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン の詳細 に つ い て は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 こ れ ら の暗号化 さ れた ト ラ フ ィ ッ ク の種類を スキ ャ ンする には、プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル の [Protocol Recognition] セ ク シ ョ ン で、 [HTTPS Content Filtering Mode] を [Deep Scan (Decrypt on SSL Traffic)] に設定する 必要があ り ます。 [URL Filtering] を選択 し てい る場合は、 DLP セ ンサーは HTTPS コ ン テ ン ツ を スキ ャ ン し ません。 [FTP]、[PUT]、[GET] [FTP] プ ロ ト コ ルを選択す る と 、 FTP post セ ッ シ ョ ン ま たは FTP get セ ッ シ ョ ン あ る いは両方に適用する複合ルールを設定で き ます。選択 し たオプ シ ョ ン すべて を含むルールのみを、 複合ルールに加え る こ と がで き ます。 [SMTP]、[IMAP]、[POP3] [Email] プ ロ ト コ ルを選択する と 、ルールが加え ら れるサポー ト 対象の電子 メ ール プ ロ ト コ ル を 選択 で き ま す。 選択 し た プ ロ ト コ ルすべ て を 含む ルールのみを、 複合ルールに加え る こ と がで き ます。 [ ルール ] 複合ルールに加え るルールを選択 し ます。選択 し た プ ロ ト コ ルすべて を含 むルールのみを、 複合ルールに加え る こ と がで き ます。 ルール追加 / ルール削除 ( プ ルール追加お よびルール削除ア イ コ ン を使用 し て、複合ルールにルールを 追加ま たは削除 し ます。 ルール追加ア イ コ ン を選択 し てか ら 、 リ ス ト 中の ラスおよびマイナス記号 ) ルールを選択 し ます。 ルール 注意 : ルールを使用する前に慎重に確認 し 、 それ らがネ ッ ト ワー ク上の ト ラ フ ィ ッ ク に及 ぼす影響について十分理解 し て く だ さ い。 DLP ルールは、 情報漏洩防止機能の中心的な要素です。 こ れ ら のルールによ っ て保護 さ れる情 報を定義する こ と で、 FortiGate ユニ ッ ト がその情報を識別で き ます。 た と えば、 含まれるルー ルは正規表現を使用 し 、 社会保障番号を表 し ます。 ([0-6]\d{2}|7([0-6]\d|7[0-2]))[ \-]?\d{2}[ \-]\d{4} こ の正規表現によ っ て、 可能な社会保障番号をすべて表示する変わ り に、 社会保障番号の構成 が表 さ れます。 こ のパ タ ーン を、 FortiGate ユニ ッ ト によ り 容易に識別で き ます。 DLP ルールを、 複合ルールに組み合わせ、 それ らの複合ルールを DLP セ ンサーに加え る こ と がで き ます。 DLP セ ンサーの中でルールを直接指定する場合は、 ト ラ フ ィ ッ ク がいずれか 1 つ のルールに一致 し た と き、 設定済みのア ク シ ョ ンが発生 し ます。 まずルールを複合ルールにグ ループ化 し 、 次に DLP セ ンサーで指定する場合は、 複合ルールに含まれるすべてのルールが ト ラ フ ィ ッ ク と 一致 し なければ、 設定済みのア ク シ ョ ンは発生 し ません。 DLP セ ンサーに含まれる個別のルールは、 暗示的 OR 条件 と 関連付け られてお り 、 一方で複合 ルールに含まれるルールは暗示的 AND 条件 と 関連付け られています。 CLI か ら 、 SIP、 SIMPLE、 または SCCP を含むセ ッ シ ョ ン制御 DLP ルールを作成 し DLP アー カ イ ブ を行 う こ と も で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 399 情報漏洩防止 統合脅威管理 (UTM) ルールを設定する には、 [UTM]、 [ デー タ 漏えい防止 ]、 [ ルール ] の順に選択 し ます。 注記 : こ れ ら のルールは、 暗号化 さ れ て い な い ト ラ フ ィ ッ ク の種類のみに有効 で す。 FortiGate ユニ ッ ト で、 暗号化 さ れた ト ラ フ ィ ッ ク を暗号化解除 し 検証で き る場合は、 必要 に応 じ て これ ら のルールでそのよ う な ト ラ フ ィ ッ ク の種類を有効に設定 し 、 ルールの機能 を拡張で き ます。 [ ルール ] ページ こ のページには、 作成済みのルールが一覧表示 さ れます。 こ のページ では、 ルール を編集、 削除、 ま た は新規作成で き ます。 [Create New] 新 し いルールを追加する には、 [Create New] を選択 し ます。 編集アイコン ルールを編集する と き選択 し ます。 削除アイコン こ のページの リ ス ト か ら ルールを削除す る と き選択 し ます。複合ルールま たは DLP セ ンサーで複合ルールが使用 さ れる場合は、 削除ア イ コ ンは使 用で き ません。 複合ルールま たは DLP セ ンサーか ら 複合ルールを削除 し 、 さ ら に こ のページの リ ス ト から 削除 し ます。 [ 名前 ] ルールの名前。FortiGate ユニ ッ ト には、あ らか じ め数種のデ フ ォ ル ト ルー ルが含まれて お り 、 そ こ か ら 任意のルール を 選択で き ま す。 必要に応 じ て、 デ フ ォ ル ト ルールを編集で き ます。 All-Email、All-FTP、 All-HTTP、All-IM、AllNNTP、All-SessionControl こ れ ら のルールに よ り 、指定 さ れた種類の ト ラ フ ィ ッ ク すべてが検出 さ れ ます。 Email-AmEx、 Email-Canada-SIN、 Email-US-SSN、 Email-Visa-Mastercard こ れ ら 4 種類のルールは、 SMTP、 POP3、 お よび IMAP 電子 メ ール ト ラ フ ィ ッ ク の メ ッ セージ本文か ら 、 American Express ク レ ジ ッ ト カ ー ド 番 号、カ ナダ社会保険番号、米国社会保障番号、ま たは Visa お よび Mastercard ク レ ジ ッ ト カ ー ド 番号を検出 し ます。 HTTP-AmEx、 HTTP-Canada-SIN、 HTTP-US-SSN、 HTTP-Visa-Mastercard こ れ ら 4 種類のルールは、 HTTP ト ラ フ ィ ッ ク の POST コ マ ン ド か ら、 American Express ク レ ジ ッ ト カ ー ド 番号、 カ ナダ社会保険番号、 米国社会 保障番号、 ま たは Visa およ び Mastercard ク レ ジ ッ ト カ ー ド 番号を検出 し ます。 HTTP POST は、 Web サーバに情報を送信する ために使用 さ れます。 上述のよ う に、 こ れ ら のルールは、 ユーザが Web サーバに送信する情報 を検出する よ う に設計 さ れています。 こ のルールは、 Web ページ を読み込 み取得する HTTP GET コ マ ン ド に よ り 得た情報は、 検出 し ません。 [Email-Not-Webex]、 [HTTP-Post-Not-Webex] こ れ ら のルールは、 DLP が、 WebEx と い う 文字列を含む電子 メ ールま たは HTTP ページ と 一致す るのを阻止 し ます。 [Large-Attachment] こ のルールは、 SMTP、 POP3、 IMAP 電子 メ ール メ ッ セージに添付 さ れて いる、 5 MB よ り 大き な フ ァ イルを検出 し ます。 [Large-FTP-Put] こ のルールは、 FTP PUT プ ロ ト コ ルに よ り 送信 さ れる、 5 MB よ り 大 き な フ ァ イルを検出 し ます。 FTP GET を使用 し て受信 さ れる フ ァ イルは、 検出 さ れません。 [Large-HTTP-Post] こ のルールは、 FTP POST プ ロ ト コ ルに よ り 送信 さ れる、 5 MB よ り 大 き な フ ァ イ ルを検出 し ます。 HTTP GET を使用 し て受信 さ れる フ ァ イ ルは、 検出 さ れません。 [ コメント ] オ プ シ ョ ン で記述 さ れるルールの説明。 [Compound Rules] ルールがいずれかの複合ルールに含まれている場合は、その複合ルールが こ こ に表示 さ れます。 [DLP センサー ] ルールがいずれかの DLP セ ンサーで使用 さ れてい る場合は、そのセ ンサー の名前が こ こ に表示 さ れます。 [New/Edit Regular Rule] こ こ では、 電子 メ ールに適用 さ れるルールな ど、 種類ご と にルールを設定で き ます。 400 [ 名前 ] ルールの名前。 [ コメント ] オ プ シ ョ ン で記述 さ れるルールについての説明。 [ プロトコル ] DLP ルールが適用 さ れる コ ン テ ン ツ ト ラ フ ィ ッ ク の種類を選択 し ます。利 用可能なルール オ プ シ ョ ンは、 選択 さ れ る プ ロ ト コ ルに応 じ て異な り ま す。 プ ロ ト コ ルは、 [Email]、 [HTTP]、 [FTP]、 [NNTP]、 [Instant Messaging]、 およ び [Session Control] か ら 選択で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 情報漏洩防止 [AIM]、[ICQ]、[MSN]、 [Yahoo!] [Instant Messaging] プ ロ ト コ ルを選択する と 、サポー ト さ れる IM プ ロ ト コ ル (AIM、 ICQ、 MSN、 お よび Yahoo!) のいずれかまたはすべて を使用する フ ァ イル転送に適用 さ れるルールを設定で き ます。 IM プ ロ ト コ ルを使用す る フ ァ イル転送のみが、 DLP ルール適用の対象 と な り ます。 IM メ ッ セージは、 スキ ャ ン さ れません。 [HTTP POST]、[HTTP GET] [HTTP] プ ロ ト コ ル を選択す る と 、 HTTP post ト ラ フ ィ ッ ク ま たは HTTP get ト ラ フ ィ ッ ク あ る いは両方に適用す るルールを設定で き ます。 [HTTPS POST]、[HTTPS [HTTP] プ ロ ト コ ルを選択す る と 、FortiGate ユニ ッ ト が SSL コ ン テ ン ツ ス キ ャ ン お よび イ ン スペ ク シ ョ ン をサポー ト する場合は、 HTTPS post セ ッ GET] シ ョ ン ま たは HTTPS get セ ッ シ ョ ン あ る いは両方に適用す る HTTP ルール を設定で き ます。 SSL コ ン テ ン ツ スキ ャ ン お よび イ ン スペ ク シ ョ ンの詳 細については、『FortiOS ハン ド ブ ッ ク 』の「UTM 」の章を参照 し て く だ さ い。 こ れ ら の暗号化 さ れた ト ラ フ ィ ッ ク の種類を スキ ャ ンする には、プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル の [Protocol Recognition] セ ク シ ョ ン で、 [HTTPS Content Filtering Mode] を [Deep Scan (Decrypt on SSL Traffic)] に設定する 必要があ り ます。 [URL Filtering] を選択 し てい る場合は、 DLP セ ンサーは HTTPS コ ン テ ン ツ を スキ ャ ン し ません。 [FTP]、[PUT]、[GET] [FTP] プ ロ ト コ ルを選択する と 、 FTP put セ ッ シ ョ ン または FTP get セ ッ シ ョ ン あ る いは両方に適用するルールを設定で き ます。 [SMTP]、[IMAP]、[POP3] [Email] プ ロ ト コ ルを選択す る と 、 サポー ト 対象の電子 メ ール プ ロ ト コ ル (SMTP、 IMAP、 お よび POP3) のいずれかまたはすべてに適用するルール を設定で き ます。 [SMTPS]、[IMAPS]、 [POP3S] [Email] プ ロ ト コ ルを選択する と 、FortiGate ユニ ッ ト が SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン スペ ク シ ョ ン をサポー ト す る場合は、 SMTPS、 IMAPS、 POP3S、 ま たは こ れ ら の組み合わせに適用するルールを設定で き ます。 SSL コ ン テ ン ツ ス キ ャ ン お よ び イ ン ス ペ ク シ ョ ン の詳細 に つ い て は、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 [SIP]、[SIMPLE]、[SCCP] [Session Control] プロトコルを選択すると、 サポート対象のセッション制御プロ トコル (SIP、SIMPLE、および SCCP) のいずれかまたはすべてに適用するルー ルを設定できます。 セッション制御プロトコルの唯一のルール オプションは、 [Always] です。 このオプションは、 すべてのセッション制御トラフィックと一致 し、 セッション制御 DLP アーカイブに使用されます。 [ ルール ] [ ルール ] 設定を使用す る こ と に よ り 、 DLP ルール と 一致す る コ ン テ ン ツ を設定 し ます。 こ れ ら の設定は、 選択 し てい る プ ロ ト コ ルに応 じ て異な り ます。 た と えば、 [HTPS] プ ロ ト コ ルを選択 し てい る場合は、 [ ルール ] 設 定は表示 さ れません。 注記 : HTTPS の場合、 設定は何 も ないので表示 さ れません。 [ プロトコル ] でプロトコルの種類に [Email] を選択すると、以下が表示されます。 [Always] どの コ ン テ ン ツ と も 一致 し ます。 こ のオ プ シ ョ ンは、 すべてのプ ロ ト コ ル で利用で き ます。 [Body] メ ッ セージ またはページの本文か ら 、 指定 さ れた文字列を検索 し ます。 [Subject] メ ッ セージの件名か ら 、 指定 さ れた文字列を検索 し ます。 こ のオプ シ ョ ンは、 すべての電子 メ ールで利用で き ます。 [Sender] メ ッ セージ送信者ユーザ ID ま たは電子 メ ール ア ド レ スか ら 、 指定 さ れた 文字列 を検索 し ます。 こ のオ プ シ ョ ンは、 すべての電子 メ ールお よ び IM で利用で き ます。 電子 メ ールの場合、 メ ール ヘ ッ ダの From: ア ド レ ス か ら 送信者を識別 し ます。 IM の場合、 IM セ ッ シ ョ ンの全 メ ンバが送信者 と な り 、 セ ッ シ ョ ン から IM ユーザ ID を見分け る こ と で送信者を識別 し ます。 [Receiver] メ ッ セージ受信者の電子 メ ール ア ド レ スか ら 、 指定 さ れた文字列を検索 し ます。 [Attachment Size] 添付 フ ァ イ ルのサ イ ズ を チ ェ ッ ク し ます。 [Attachment Type] 選択 さ れた フ ァ イ ル フ ィ ル タ の指定に応 じ て、 電子 メ ール メ ッ セージか ら フ ァ イ ルの種類ま たは フ ァ イル パ タ ーン を検索 し ます。 [Attachment Text] 場合に よ り ワ イ ル ド カ ー ド ま たは正規表現 を 含ん で い る UTF-8 ま たは ASCII 形式の添付 フ ァ イルか ら 、 テキス ト を検索 し ます。 [Transfer Size] 転送 さ れる情報の合計サ イ ズ を チ ェ ッ ク し ます。た と えば、電子 メ ール ト ラ フ ィ ッ ク の場合は、 転送サ イ ズには メ ッ セージ ヘ ッ ダ、 本文、 エ ン コ ー デ ィ ン グ さ れた添付デー タ が含まれます。 [Binary file pattern (enter ネットワーク トラフィックから、 指定されたバイナリ文字列を検索します。 in base 64)] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 401 情報漏洩防止 統合脅威管理 (UTM) [Authenticated User] 指定 さ れた認証ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [User group] 指定 さ れたユーザ グルー プ に含まれる ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [File] フ ァ イルが暗号化 さ れてい るか否かを チ ェ ッ ク し ます。暗号化 さ れてい る フ ァ イ ル と は、 ア ー カ イ ブ さ れた フ ァ イ ルお よ びパス ワー ド 保護付 き の Microsoft Word フ ァ イ ルを指 し ます。 こ れ ら はパスワー ド で保護 さ れてい るので、 FortiGate ユニ ッ ト は暗号化 さ れた フ ァ イ ルの中身を スキ ャ ン で き ません。 [ プロトコル ] でプロトコルの種類に [HTTP] を選択すると、以下が表示されます。 [Always] どの コ ン テ ン ツ と も 一致 し ます。 こ のオ プ シ ョ ンは、 すべてのプ ロ ト コ ル で利用で き ます。 [Body] メ ッ セージ またはページの本文か ら 、 指定 さ れた文字列を検索 し ます。 [URL] HTTP ト ラ フ ィ ッ ク か ら 、 指定 さ れた URL を検索 し ます。 [Transfer Size] 転送 さ れる情報の合計サ イ ズ を チ ェ ッ ク し ます。た と えば、電子 メ ール ト ラ フ ィ ッ ク の場合は、 転送サ イ ズには メ ッ セージ ヘ ッ ダ、 本文、 エ ン コ ー デ ィ ン グ さ れた添付デー タ が含まれます。 [Cookie] Cookie の コ ン テ ン ツか ら 指定 さ れた テキス ト を検索 し ます。 こ のオプ シ ョ ンは、 HTTP で利用で き ます。 [CGI parameters] CGI コ ー ド を と も な う あ ら ゆる Web ページか ら 、指定 さ れた CGI パ ラ メ ー タ を検索 し ます。 こ のオプ シ ョ ンは、 HTTP で利用で き ます。 [HTTP header] HTTP ヘ ッ ダか ら 、 指定 さ れた文字列を検索 し ます。 [Hostname] HTTP サーバに接続す る と き、 指定 さ れたホ ス ト 名を検索 し ます。 [File type] 指定 さ れた フ ァ イ ル パ タ ー ン お よ び フ ァ イ ルの種類を 検索 し ます。 フ ァ イ ル フ ィ ル タ リ ス ト で設定 さ れた フ ァ イ ル パ タ ー ン およ び種類、 お よび リ ス ト が、 DLP ルールで選択 さ れます。 [Binary file pattern (enter ネットワーク トラフィックから、 指定されたバイナリ文字列を検索します。 in base 64)] [Authenticated User] 指定 さ れた認証ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [User group] 指定 さ れたユーザ グルー プ に含まれる ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [File] フ ァ イルが暗号化 さ れてい るか否かを チ ェ ッ ク し ます。暗号化 さ れてい る フ ァ イ ル と は、 ア ー カ イ ブ さ れた フ ァ イ ルお よ びパス ワー ド 保護付 き の Microsoft Word フ ァ イ ルを指 し ます。 こ れ ら はパスワー ド で保護 さ れてい るので、 FortiGate ユニ ッ ト は暗号化 さ れた フ ァ イ ルの中身を スキ ャ ン で き ません。 [ プロトコル ] でプロトコルの種類に [FTP] を選択すると、以下が表示されます。 [Always] どの コ ン テ ン ツ と も 一致 し ます。 こ のオ プ シ ョ ンは、 すべてのプ ロ ト コ ル で利用で き ます。 [Transfer Size] 転送 さ れる情報の合計サ イ ズ を チ ェ ッ ク し ます。た と えば、電子 メ ール ト ラ フ ィ ッ ク の場合は、 転送サ イ ズには メ ッ セージ ヘ ッ ダ、 本文、 エ ン コ ー デ ィ ン グ さ れた添付デー タ が含まれます。 [Server: Start/End] 指定 さ れたア ド レ ス範囲か ら 、 サーバの IP ア ド レ ス を検索 し ます。 [File type] 指定 さ れた フ ァ イ ル パ タ ー ン お よ び フ ァ イ ルの種類を 検索 し ます。 フ ァ イ ル フ ィ ル タ リ ス ト で設定 さ れた フ ァ イ ル パ タ ー ン およ び種類、 お よび リ ス ト が、 DLP ルールで選択 さ れます。 [File text] 転送 さ れた テキス ト フ ァ イルか ら 、 指定 さ れた テキス ト を検索 し ます。 [Binary file pattern (enter ネットワーク トラフィックから、 指定されたバイナリ文字列を検索します。 in base 64)] 402 [Authenticated User] 指定 さ れた認証ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [User group] 指定 さ れたユーザ グルー プ に含まれる ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) 情報漏洩防止 [File] フ ァ イルが暗号化 さ れてい るか否かを チ ェ ッ ク し ます。暗号化 さ れてい る フ ァ イ ル と は、 ア ー カ イ ブ さ れた フ ァ イ ルお よ びパス ワー ド 保護付 き の Microsoft Word フ ァ イ ルを指 し ます。 こ れ ら はパスワー ド で保護 さ れてい るので、 FortiGate ユニ ッ ト は暗号化 さ れた フ ァ イ ルの中身を スキ ャ ン で き ません。 [ プロトコル ] でプロトコルの種類に [NNTP] を選択すると、以下が表示されます。 [Always] どの コ ン テ ン ツ と も 一致 し ます。 こ のオ プ シ ョ ンは、 すべてのプ ロ ト コ ル で利用で き ます。 [Body] メ ッ セージ またはページの本文か ら 、 指定 さ れた文字列を検索 し ます。 [Transfer Size] 転送 さ れる情報の合計サ イ ズ を チ ェ ッ ク し ます。た と えば、電子 メ ール ト ラ フ ィ ッ ク の場合は、 転送サ イ ズには メ ッ セージ ヘ ッ ダ、 本文、 エ ン コ ー デ ィ ン グ さ れた添付デー タ が含まれます。 [Server: Start/End] 指定 さ れたア ド レ ス範囲か ら 、 サーバの IP ア ド レ ス を検索 し ます。 [File type] 指定 さ れた フ ァ イ ル パ タ ー ン お よ び フ ァ イ ルの種類を 検索 し ます。 フ ァ イ ル フ ィ ル タ リ ス ト で設定 さ れた フ ァ イ ル パ タ ー ン およ び種類、 お よび リ ス ト が、 DLP ルールで選択 さ れます。 [File text] 転送 さ れた テキス ト フ ァ イルか ら 、 指定 さ れた テキス ト を検索 し ます。 [Binary file pattern (enter ネットワーク トラフィックから、 指定されたバイナリ文字列を検索します。 in base 64)] [Authenticated User] 指定 さ れた認証ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [User group] 指定 さ れたユーザ グルー プ に含まれる ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [File] フ ァ イルが暗号化 さ れてい るか否かを チ ェ ッ ク し ます。暗号化 さ れてい る フ ァ イ ル と は、 ア ー カ イ ブ さ れた フ ァ イ ルお よ びパス ワー ド 保護付 き の Microsoft Word フ ァ イ ルを指 し ます。 こ れ ら はパスワー ド で保護 さ れてい るので、 FortiGate ユニ ッ ト は暗号化 さ れた フ ァ イ ルの中身を スキ ャ ン で き ません。 [ プロトコル ] でプロトコルの種類に [Instant Messaging] を選択すると、以下が表示されま す。 [Always] どの コ ン テ ン ツ と も 一致 し ます。 こ のオ プ シ ョ ンは、 すべてのプ ロ ト コ ル で利用で き ます。 [Sender] メ ッ セージ送信者ユーザ ID ま たは電子 メ ール ア ド レ スか ら 、 指定 さ れた 文字列 を検索 し ます。 こ のオ プ シ ョ ンは、 すべての電子 メ ールお よ び IM で利用で き ます。 電子 メ ールの場合、 メ ール ヘ ッ ダの From: ア ド レ ス か ら 送信者を識別 し ます。 IM の場合、 IM セ ッ シ ョ ンの全 メ ンバが送信者 と な り 、 セ ッ シ ョ ン から IM ユーザ ID を見分け る こ と で送信者を識別 し ます。 [Transfer Size] 転送 さ れる情報の合計サ イ ズ を チ ェ ッ ク し ます。た と えば、電子 メ ール ト ラ フ ィ ッ ク の場合は、 転送サ イ ズには メ ッ セージ ヘ ッ ダ、 本文、 エ ン コ ー デ ィ ン グ さ れた添付デー タ が含まれます。 [File type] 指定 さ れた フ ァ イ ル パ タ ー ン お よ び フ ァ イ ルの種類を 検索 し ます。 フ ァ イ ル フ ィ ル タ リ ス ト で設定 さ れた フ ァ イ ル パ タ ー ン およ び種類、 お よび リ ス ト が、 DLP ルールで選択 さ れます。 [File Text] 転送 さ れた テキス ト フ ァ イルか ら 、 指定 さ れた テキス ト を検索 し ます。 [Binary file pattern (enter ネットワーク トラフィックから、 指定されたバイナリ文字列を検索します。 in base 64)] [Authenticated User] 指定 さ れた認証ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [User group] 指定 さ れたユーザ グルー プ に含まれる ユーザか ら 送信 さ れた ト ラ フ ィ ッ ク を検索 し ます。 [File] フ ァ イルが暗号化 さ れてい るか否かを チ ェ ッ ク し ます。暗号化 さ れてい る フ ァ イ ル と は、 ア ー カ イ ブ さ れた フ ァ イ ルお よ びパス ワー ド 保護付 き の Microsoft Word フ ァ イ ルを指 し ます。 こ れ ら はパスワー ド で保護 さ れてい るので、 FortiGate ユニ ッ ト は暗号化 さ れた フ ァ イ ルの中身を スキ ャ ン で き ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 403 情報漏洩防止 統合脅威管理 (UTM) [New/Edit Regular Rule] ページには、 以下のルール演算子が表示 さ れます。 [matches] [does not match] こ の演算子は、 FortiGate ユニ ッ ト が特定の文字列があ る場合、 ま たは特 定の文字列がない場合の、 いずれを検索するかを指定 し ます。 ・ [Matches] ネ ッ ト ワー ク ト ラ フ ィ ッ ク か ら 特定の文字列が発見 さ れる と 、 ルールが ト リ ガ さ れます。 ・ [Does not match] ネ ッ ト ワー ク ト ラ フ ィ ッ ク か ら 特定の文字列が発見 さ れない場合に、 ルールが ト リ ガ さ れます。 [ASCII] [UTF-8] テキス ト フ ァ イ ルお よ び メ ッ セージに使用 さ れてい る エ ン コ ーデ ィ ン グ を選択 し ます。 [Regular Expression] [Wildcard] パ タ ーン を定義する方法を選択 し ます。 [is] [is not] こ の演算子は、 ルールのア ク シ ョ ンが ト リ ガ さ れるのは、 条件に一致する 場合か、 ま たは一致 し ない場合かを指定 し ます。 ・ [is] ルール条件が一致すれば、 ルールのア ク シ ョ ンが ト リ ガ さ れます。 ・ [is not] ルール条件が一致 し なければ、 ルールのア ク シ ョ ンが ト リ ガ さ れます。 た と えば、 指定 さ れた フ ァ イ ル タ イ プ リ ス ト にその フ ァ イ ルの種類が含 まれてい る、 と い う 条件をルールが指定する場合、 フ ァ イ ルが一致する た びにルールのア ク シ ョ ンが ト リ ガ さ れます。 反対に、 指定 さ れた フ ァ イ ル タ イ プ リ ス ト にその フ ァ イ ルの種類が含まれない、 と い う 条件を ルール が指定する場合、 リ ス ト に含まれない フ ァ イ ルの種類に よ っ てのみルール のア ク シ ョ ンが ト リ ガ さ れます。 ==/>=/<=/!= こ れ ら の演算子に よ り 、 転送 フ ァ イ ルまたは添付 フ ァ イルのサ イ ズ を、 指 定 さ れた値 と 比較で き ます。 ・ == は、 指定 さ れた値に等 し いサ イ ズ。 ・ >= は、 指定 さ れた値以上のサ イ ズ。 ・ <= は、 指定 さ れた値以下のサ イ ズ。 ・ !== は、 指定 さ れた値 と 等 し く ないサ イ ズ。 DLP アーカイブ DLP アー カ イ ブ を使用する こ と によ り 、 FortiGuard Analysis and Management Service (FAMS) に アー カ イ ブ さ れてい る履歴ログ を、収集お よび表示で き ます。DLP アー カ イ ブは、FortiAnalyzer ユ ニ ッ ト を FortiGate の構成に加え る 場合に利用可能に な り ま す ( 詳 し く は 491 ペー ジの 「FortiAnalyzer ユニ ッ ト への リ モー ト ロギング」 を参照 )。 FortiGuard Analysis and Management サーバは、 FortiGuard Analysis and Management Service (FAMS) に加入する こ と で利用可能にな り ます ( 詳 し く は、 FortiGuard Analysis and Management Service 管理ガ イ ド を参照 )。 完全な DLP アー カ イ ブおよびサマ リ DLP アー カ イ ブ を設定で き ます。 完全な DLP アー カ イ ブ にはすべての コ ン テ ン ツが含まれてお り 、 た と えば、 完全な電子 メ ール DLP アー カ イ ブには 完全な電子 メ ール メ ッ セージお よび添付デー タ が含まれます。 サマ リ DLP アー カ イ ブには コ ン テ ン ツ に関す る メ タ デー タ のみが含まれてお り 、 た と えば、 電子 メ ール メ ッ セージのサマ リ レ コ ー ド には、 電子 メ ール ヘ ッ ダのみが含まれます。 アー カ イ ブ で き るのは、 電子 メ ール、 FTP、 HTTP、 IM、 およびセ ッ シ ョ ン制御 コ ン テ ン ツ です。 ・ 電子 メ ール コ ン テ ン ツには、IMAP、POP3、SMTP セ ッ シ ョ ンが含まれます。また、FortiGate 電子 メ ール フ ィ ル タ リ ン グによ り スパム と し て タ グ付け さ れる電子 メ ール メ ッ セージ も、 電子 メ ール コ ン テ ン ツに加え る こ と がで き ます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ ス キ ャ ンおよび イ ン スペ ク シ ョ ン をサポー ト する場合は、 電子 メ ール コ ン テ ン ツに IMAPS、 POP3S、 および SMTPS のセ ッ シ ョ ン も加え る こ と がで き ます。 SSL コ ン テ ン ツ スキ ャ ン および イ ン スペ ク シ ョ ンの詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参 照 し て く だ さ い。 ・ HTTP コ ン テ ン ツには、 HTTP セ ッ シ ョ ンが含まれます。 FortiGate ユニ ッ ト が SSL コ ン テ ン ツ スキ ャ ンお よび イ ン スペ ク シ ョ ン をサポー ト する場合は、 HTTP コ ン テ ン ツに HTTPS セ ッ シ ョ ン も 加え る こ と がで き ます。 SSL コ ン テ ン ツ スキ ャ ンお よび イ ン スペ ク シ ョ ンの詳細については、 『FortiOS ハン ド ブ ッ ク 』 の 「UTM 」 の章を参照 し て く だ さ い。 ・ 404 IM コ ン テ ン ツには、 AIM、 ICQ、 MSN、 および Yahoo! のセ ッ シ ョ ンが含まれます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) アプ リ ケーシ ョ ン制御 ・ セ ッ シ ョ ン制御 コ ン テ ン ツには、 SIP、 SIMPLE、 および SCCP のセ ッ シ ョ ンが含まれます。 SIP よび SCCP では、 サマ リ DLP アー カ イ ブのみを利用で き ます。 SIMPLE では、 完全およ びサマ リ の DLP アー カ イ ブ を利用で き ます。 DLP セ ンサー を加え る こ と に よ り 、 電子 メ ール、 Web、 FTP、 IM、 お よびセ ッ シ ョ ン制御の コ ン テ ン ツ を アー カ イ ブ し ます。 スパム電子 メ ール メ ッ セージのアー カ イ ブは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 し ます。 DLP アー カ イ ブは、 DLP セ ンサーの中で有効に設定 し ます。 DLP セ ンサー を設定す る には、 [UTM]、 [ デー タ 漏えい防止 ]、 [ セ ンサー ] の順に選択 し ます。 また、 アー カ イ ブのために新 し い DLP セ ンサー を作成する代わ り に、 Content_Archive または Content_Summary セ ンサーの いずれかを使用 し DLP ログ を アー カ イ ブ で き ます。 CLI か ら 、 SIP、 SIMPLE、 または SCCP を含むセ ッ シ ョ ン制御 DLP ルールを作成 し DLP アー カ イ ブ を行 う こ と も で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 アプリケーション制御 こ の項では、 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルに関連する ア プ リ ケーシ ョ ン制 御オプ シ ョ ン を設定する方法について説明 し ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と にア プ リ ケーシ ョ ン制御を個別に設定 し ます。 た と えば、 ある VDOM で作成 さ れたア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト は、 他の VDOM では表示 さ れません。 詳細について は、 73 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 ア プ リ ケーシ ョ ン制御 UTM 機能を使用する場合、FortiGate ユニ ッ ト に よ り ネ ッ ト ワー ク ト ラ フ ィ ッ クが検出 さ れ、 ト ラ フ ィ ッ ク を生成 し たア プ リ ケーシ ョ ンに応 じ て、 その ト ラ フ ィ ッ ク に対する ア ク シ ョ ンが実行 さ れます。 FortiGate 不正侵入防御プ ロ ト コ ル デ コ ーダに基づ く ア プ リ ケーシ ョ ン制御は、 FortiGate ユニ ッ ト を通過する ア プ リ ケーシ ョ ン ト ラ フ ィ ッ クの動作 を ロ グ記録および管理する ための、 扱いやす く 高機能な手法を提供 し ます。 ア プ リ ケーシ ョ ン 制御で使用 さ れる IPS プ ロ ト コ ル デ コ ーダは、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク の分析に よ り 、 標 準以外のポー ト ま たはプ ロ ト コ ルに基づ く ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク であ っ て も 、 ト ラ フ ィ ッ ク を検出で き ます。 FortiGate ユニ ッ ト によ り 、 多数のア プ リ ケーシ ョ ンか ら 生成 さ れたネ ッ ト ワー ク ト ラ フ ィ ッ ク を識別で き ます。 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を作成 し 、 管理する必 要があ る ア プ リ ケー シ ョ ン ト ラ フ ィ ッ ク お よ び ア プ リ ケー シ ョ ン 実行の土台 と な る ネ ッ ト ワー ク に対 し て実行 さ れる ア ク シ ョ ン を指定で き ます。 監視の対象 と な る ネ ッ ト ワー ク ト ラ フ ィ ッ ク に適用 さ れる プ ロ テ ク シ ョ ン プ ロ フ ァ イルに、 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホ ワ イ ト リ ス ト を加え ます。 フ ォ ーテ ィ ネ ッ ト は、 FortiGuard ア プ リ ケーシ ョ ン制御デー タ ベースにア プ リ ケーシ ョ ン を追 加する こ と によ り 、ア プ リ ケーシ ョ ン制御に基づいて検出 さ れる ア プ リ ケーシ ョ ンの リ ス ト を 継続的に更新 し 充実 さ せて い ま す。 ア プ リ ケー シ ョ ン制御では不正侵入防御 プ ロ ト コ ル デ コ ーダが利用 さ れるので、 ア プ リ ケーシ ョ ン制御デー タ ベースは FortiGuard 不正侵入防止シ ス テム デー タ ベースの一部 と な り 、 双方のデー タ ベースのバージ ョ ン番号は同 じ にな り ます。 FortiGate ユニ ッ ト に イ ン ス ト ール さ れてい る ア プ リ ケーシ ョ ン制御デー タ ベースのバージ ョ ン を確認するには、[License Information] ダ ッ シ ュ ボー ド ウ ィ ジ ェ ッ ト を表示 し 、IPS Definitions バージ ョ ン を確認 し ます。 FortiGuard ア プ リ ケーシ ョ ン制御によ り サポー ト さ れる ア プ リ ケーシ ョ ンの完全な リ ス ト を に 表示するには、 FortiGuard Application Control List にア ク セス し ます。 こ の Web ページには、 サ ポー ト さ れる ア プ リ ケーシ ョ ンがすべて表示 さ れます。 任意のア プ リ ケーシ ョ ン名を選択 し 、 そのア プ リ ケーシ ョ ンの詳細を確認で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 405 ア プ リ ケーシ ョ ン制御 統合脅威管理 (UTM) 図 26: ISIS.Over.IPv4 アプリケーション ページ こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ ブ ラ ッ ク / ホワ イ ト リ ス ト ・ ア プ リ ケーシ ョ ン リ ス ト ブラック / ホワイト リスト ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト には、 監視 さ れる ア プ リ ケーシ ョ ン ト ラ フ ィ ッ ク、 お よび ト ラ フ ィ ッ ク が検出 さ れた と き実行 さ れる ア ク シ ョ ンについての、 詳 し い設 定内容が含まれています。 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を有効にするに は、 フ ァ イ アウ ォ ール ポ リ シーで リ ス ト を選択する必要があ り ます。 デ フ ォル ト のブ ラ ッ ク / ホワ イ ト リ ス ト はあ り ません。 FortiGate ユニ ッ ト は、 リ ス ト の並び順に従い最上位か ら順次、 一度に 1 つずつ、 エ ン ト リ さ れてい る ア プ リ ケーシ ョ ンのネ ッ ト ワー ク ト ラ フ ィ ッ ク を検証 し ます。 ト ラ フ ィ ッ ク の一致 が検出 さ れる と 、 一致ルールに指定 さ れている ア ク シ ョ ンがその ト ラ フ ィ ッ ク に適用 さ れ、 エ ン ト リ さ れている ア プ リ ケーシ ョ ン と の照合作業はその時点で停止 し ます。 こ のため、 両方の ア ク シ ョ ン ( 許可お よびブ ロ ッ ク ) に基づ く 複合的なルールを、少数のア プ リ ケーシ ョ ン エ ン ト リ を リ ス ト に加え る こ と で作成で き ます。 た と えば、組織内の標準イ ン ス タ ン ト メ ッ セージ ングに AIM を採用 し ている場合、2 つのア プ リ ケーシ ョ ン を エ ン ト リ する だけで、 AIM を許可 し 他の IM ク ラ イ ア ン ト をすべて ブ ロ ッ ク で き ます。 まず、 [Application] に AIM を指定 し たア プ リ ケーシ ョ ン エ ン ト リ を作成 し ます。 こ の エ ン ト リ の [ ア ク シ ョ ン ] を [Pass] に設定 し ます。 次に、 [Category] を [im]、 [Application] を [all]、および [ ア ク シ ョ ン ] を [Block] に設定 し たア プ リ ケーシ ョ ン エ ン ト リ を作成 し ます。 ア プ リ ケーシ ョ ン エ ン ト リ は上位か ら 下位の順にチ ェ ッ ク さ れるので、AIM ト ラ フ ィ ッ ク によ り 最初のルール (AIM ア プ リ ケーシ ョ ン エ ン ト リ ) が ト リ ガ さ れ、 AIM ト ラ フ ィ ッ クは許可 さ れ ます。AIM 以外の IM ト ラ フ ィ ッ クが検出 さ れる場合、2 番目のルール (All ア プ リ ケーシ ョ ン エ ン ト リ ) が ト リ ガ さ れるので、FortiGateユニ ッ ト に よ り その ト ラ フ ィ ッ ク はブ ロ ッ ク さ れます。 [Black/White List] メ ニ ュ ーでは、 監視を有効にする こ と によ り 、 ネ ッ ト ワー ク を監視状態に設 定で き ます。 [Black/White Lists Setting] ページの [Monitor] 横にあ る チ ェ ッ ク ボ ッ ク ス を オ ン にする と 、 ネ ッ ト ワー ク 監視が有効に設定 さ れます。 ブ ラ ッ ク / ホワ イ ト リ ス ト を設定するには、 [UTM]、 [Application Control]、 [Black/White List] の順に選択 し ます。 [Black/White Lists] ページ こ のページには、 作成済みのブ ラ ッ ク / ホワ イ ト リ ス ト が一覧表示 さ れます。 こ のページ では、 ブ ラ ッ ク / ホワ イ ト リ ス ト を編集、 削除、 または新規作成で き ます。 [Create New] 406 [Create New] を選択す る と 、[New Application Control Black/White List] ペー ジの画面に自動的に移動 し ます。 こ のページには、 [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ール ド があ り 、 [Black/White Lists Settings] ページ を 表示する には DLP セ ンサーの名前を入力する必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) アプ リ ケーシ ョ ン制御 [ 名前 ] 利用可能な、 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト 。 [# of Entries] 各ア プ リ ケー シ ョ ン 制御 ブ ラ ッ ク / ホ ワ イ ト リ ス ト に含まれ る ア プ リ ケーシ ョ ン ルールの数。 [Profiles] 各ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト が適用 さ れてい る、プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル。 ブ ラ ッ ク / ホワ イ ト リ ス ト がプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルに提供 さ れてい ない場合は、 こ の フ ィ ール ド は空白に な り ます。 [ コメント ] オ プ シ ョ ン で記述 さ れる、 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト の説明。 削除アイコン ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を削除す る と き選択 し ます。 削除ア イ コ ンは、 ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルで も 選択 さ れて いない場合にのみ 使用で き ます。 編集アイコン ア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト を編集す る と き選択 し ます。 [Black/White Lists Settings] ページ こ のページ では、 ブ ラ ッ ク / ホワ イ ト リ ス ト のア プ リ ケーシ ョ ン を設定で き ます。 ブ ラ ッ ク / ホワ イ ト リ ス ト を編集す る場合は、 こ のページの画面に移動 し ます。 [ 名前 ] 既存のブ ラ ッ ク / ホワ イ ト リ ス ト を編集 し 、 リ ス ト の名前を変更する場 合は、 こ の フ ィ ール ド に新 し い名前 を入力 し ます。 変更 を保存す る には、 必ず [OK] を選択 し ます。 [ コメント ] 既存のブ ラ ッ ク / ホワ イ ト リ ス ト を編集 し 、 説明内容を変更する場合は、 こ の フ ィ ール ド に説明の変更 を 入力 し ま す。 変更 を 保存す る には、 必ず [OK] を選択 し ます。 [OK] [ 名前 ] フ ィ ール ド お よび [ コ メ ン ト ] フ ィ ール ド に加えた変更を保存す る と き選択 し ます。 [Monitor] ネ ッ ト ワー ク 監視を有効にする と き オ ン に し ます。 [Create New] 新 し いア プ リ ケーシ ョ ン エ ン ト リ を作成する と き選択 し ます。 [ID] 主にア プ リ ケーシ ョ ン エ ン ト リ を並べ替え る と き使用する、 固有の番号。 [Category] [Category] は、[Application] が [all] に設定 さ れてい る場合、ア プ リ ケーシ ョ ン エ ン ト リ に含まれてい る ア プ リ ケーシ ョ ンの対象範囲を示 し ます。 た と えば、 [Application] が [all] に設定 さ れ、 [Category] が [toolbar] に設定 さ れてい る と き、 個別のア プ リ ケーシ ョ ンが指定 さ れていない場合 も 、 すべ てのツ ールバー ア プ リ ケーシ ョ ンがア プ リ ケーシ ョ ン エ ン ト リ に含まれ ます。 [Application] が単一のア プ リ ケーシ ョ ンの場合、 [Category] はア プ リ ケー シ ョ ン エ ン ト リ の実行に何 も 影響 し ません。 [Application] 表 示 さ れ て い る ア プ リ ケ ー シ ョ ン の ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が、 FortiGate ユニ ッ ト に よ っ て検証 さ れます。 [Application] を [all] に設定 し て いる場合は、選択 さ れた カ テ ゴ リ に該当するすべてのア プ リ ケーシ ョ ンが 含まれます。 [ アクション ] FortiGate ユ ニ ッ ト に よ っ て、 指定の ア プ リ ケ ー シ ョ ン か ら 生 じ た ト ラ フ ィ ッ ク が検出 さ れる と 、 選択 さ れてい る ア ク シ ョ ンが実行 さ れます。 [Logging] 指定の ア プ リ ケ ー シ ョ ン か ら 生 じ た ト ラ フ ィ ッ ク が検出 さ れ る と、 FortiGate ユニ ッ ト はその検出お よ び実行 さ れた ア ク シ ョ ン を ロ グ記録 し ます。 削除アイコン ア プ リ ケーシ ョ ン エ ン ト リ を削除す る と き選択 し ます。 編集アイコン ア プ リ ケーシ ョ ン エ ン ト リ を編集す る と き選択 し ます。 挿入アイコン 挿入ア イ コ ン を選択 し た ア プ リ ケーシ ョ ン エ ン ト リ の上に、 新 し いア プ リ ケーシ ョ ン エ ン ト リ を作成する と き選択 し ます。 移動アイコン ア プ リ ケーシ ョ ン エ ン ト リ を ブ ラ ッ ク / ホワ イ ト リ ス ト 内の別の位置に 移動する場合に選択 し ます。 [New Application Entry] ページ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 407 ア プ リ ケーシ ョ ン制御 統合脅威管理 (UTM) [Category] ア プ リ ケーシ ョ ンは、 種類に応 じ て カ テ ゴ リ に分類 さ れます。 た と えば、 IM ア プ リ ケーシ ョ ン を選択する場合は、 [im] カ テ ゴ リ を選択する と 、 ア プ リ ケーシ ョ ン ブ ラ ッ ク / ホワ イ ト リ ス ト の [Application] には [im] のみが 表示 さ れます。 また、 [Category] を使用 し 、 ア プ リ ケーシ ョ ンの包括的な カ テ ゴ リ を指定 で き ます。 た と えば、 すべての IM ア プ リ ケーシ ョ ン を選択する には、 [im] カ テ ゴ リ を 選択 し 、 [Application] に [all] を 選択 し ます。 こ の設定に よ り 、 1 つのア プ リ ケーシ ョ ン制御ブ ラ ッ ク / ホワ イ ト リ ス ト エ ン ト リ のみで、 すべての IM ア プ リ ケーシ ョ ン を指定で き ます。 [Application] 表 示 さ れ て い る ア プ リ ケ ー シ ョ ン の ネ ッ ト ワ ー ク ト ラ フ ィ ッ ク が、 FortiGate ユニ ッ ト に よ っ て検証 さ れます。 [Application] を [all] に設定 し て いる場合は、選択 さ れた カ テ ゴ リ に該当するすべてのア プ リ ケーシ ョ ンが 含まれます。 [ アクション ] FortiGate ユ ニ ッ ト に よ っ て、 指定の ア プ リ ケ ー シ ョ ン か ら 生 じ た ト ラ フ ィ ッ ク が検出 さ れる と 、 選択 さ れてい る ア ク シ ョ ンが実行 さ れます。 [Options] ブ ラ ッ ク / ホワ イ ト リ ス ト で選択可能なオプ シ ョ ン。 [Session TTL] ア プ リ ケーシ ョ ンのセ ッ シ ョ ン TTL。 こ のオプ シ ョ ン を有効に し ない場合 は、 TTL はデ フ ォ ル ト で CLI コ マ ン ド config system session-ttl の設定に従います。 [Enable Logging] こ の オ プ シ ョ ン を 有効 に す る と 、 指定 さ れ た ア プ リ ケ ー シ ョ ン の ト ラ フ ィ ッ ク が 検 出 さ れ と き、 そ の 検 出 お よ び 実 行 さ れ た ア ク シ ョ ン が FortiGate ユニ ッ ト に よ っ て ロ グ記録 さ れます。 [Enable Packet Logging] アプリケーション リスト ア プ リ ケーシ ョ ン リ ス ト は、 ア プ リ ケーシ ョ ン お よびその普及度 と リ ス ク を表示 し ます。 各 ア プ リ ケーシ ョ ンの詳 し い情報を表示するには、 ア プ リ ケーシ ョ ンの名前を選択 し ます。 名前 に リ ン ク さ れてい る FortiGuard Application Control List が表示 さ れ、そのア プ リ ケーシ ョ ンに関 する詳細を確認で き ます。 また、 [UTM]、 [Application Control]、 [Application List] の順に選択 し て表示 さ れる情報を フ ィ ル タ リ ングで き ます。情報を フ ィ ル タ リ ングする詳 し い方法について は、 を参照 し て く だ さ い。 FortiGuard ア プ リ ケーシ ョ ン制御によ り サポー ト さ れる ア プ リ ケーシ ョ ンの完全な リ ス ト を表 示するには、 FortiGuard Application Control List にア ク セス し ます。 こ の Web ページには、 サ ポー ト さ れる ア プ リ ケーシ ョ ンがすべて表示 さ れます。 任意のア プ リ ケーシ ョ ン名を選択 し 、 そのア プ リ ケーシ ョ ンの詳細を確認で き ます。 ア プ リ ケーシ ョ ン リ ス ト を設定するには、 [UTM]、 [Application Control]、 [Application List] の順 に選択 し ます。 [Application List] ページ こ のページには、 ユニ ッ ト で利用可能な ア プ リ ケーシ ョ ンが、 カ テ ゴ リ (Category)、 普及度 (Popularity)、 およ び リ ス ク (Risk) と と も に表示 さ れます。 408 [Current Page] 表示 さ れ る リ ス ト 項目の現在のページ番号。 左右の矢印 を 選択 し 、 電子 メ ール ア ド レ ス リ ス ト の最初、前、次、ま たは最後のページ を表示 し ます。 [Total: 1083] FortiGuard Application Control List に含まれる ア プ リ ケーシ ョ ンの最大数。 [Application Name] ア プ リ ケーシ ョ ンの名前。 [Category] ア プ リ ケーシ ョ ン と 関連す る カ テ ゴ リ 。 [Popularity] ア プ リ ケーシ ョ ンの普及度。 [Popularity] には、 [Low]、 [Medium]、 [High] の 3 段階があ り ます。 [Risk] ア プ リ ケ ー シ ョ ン に 関 連 す る リ ス ク の レ ベ ル。 [Risk] [Medium]、 [High] の 3 段階があ り ます。 に は、 [Low]、 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 統合脅威管理 (UTM) VoIP VoIP FortiGate ユニ ッ ト は、 VoIP プ ロ ト コ ルをサポー ト し シグナ リ ング層のス テー ト を メ デ ィ ア層 のパケ ッ ト フ ロー と 関連付ける こ と に よ り 、 VoIP ソ リ ュ ーシ ョ ンのセキ ュ リ テ ィ を効果的に 実現で き ます。 SIP ALG 制御を使用す る こ と で、 FortiGate ユニ ッ ト はネ ッ ト ワー ク で使用 さ れ る VoIP シグナ リ ング プ ロ ト コ ルを解釈 し 、 特定の VoIP 通話ご と にポー ト を ダ イ ナ ミ ッ ク に 開閉 ( ピ ン ホール ) し てセキ ュ リ テ ィ を維持で き ます。 [UTM]、 [VoIP]、 [Profile] の順に選択 し て表示 さ れる画面では、 VoIP プ ロ ト コ ルのみを対象 と する フ ァ イ アウ ォ ール ポ リ シーに適用する ための、 複数のプ ロ フ ァ イルを設定で き ます。 プロファイル [Profile] メ ニ ュ ーでは、 フ ァ イ アウ ォ ール ポ リ シーに適用する ための VoIP プ ロ フ ァ イルを設 定で き ます。 プ ロ フ ァ イルに含まれる特定の情報は、 ポ リ シーに基づき ト ラ フ ィ ッ クがどのよ う に検証 さ れ、 検証に基づいて どのよ う なア ク シ ョ ンが実行 さ れるかを定義 し ます。 VoIP プ ロ フ ァ イルを設定するには、 [UTM]、 [VoIP]、 [Profile] の順に選択 し ます。 [Profile] ページ こ のページには、 SIP お よび SCCP プ ロ ト コ ル用に作成 さ れた プ ロ フ ァ イ ルが一覧表示 さ れます。 こ の ページ では、 VoIP プ ロ ト コ ル プ ロ フ ァ イルを編集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し い VoIP プ ロ フ ァ イ ルを作成す る と き選択 し ます。 編集アイコン プ ロ フ ァ イ ルの設定を変更する と き選択 し ます。 削除アイコン プ ロ フ ァ イ ルを削除する と き選択 し ます。 [ 名前 ] プ ロ フ ァ イ ルの名前。 [ コメント ] プ ロ フ ァ イ ルの説明。 こ の設定は、 オ プ シ ョ ン です。 [New VoIP Profile] ページ こ のページ では、 プ ロ フ ァ イ ルの SIP お よび SCCP オプ シ ョ ン を設定で き ます。 VoIP プ ロ フ ァ イルを編 集する場合は、 [Edit VoIP Profile] ページに自動的に移動 し ます。 [ 名前 ] こ のプ ロ フ ァ イ ルの名前を入力 し ます。 [ コメント ] プ ロ フ ァ イ ルの説明を入力 し ます ( 入力はオ プ シ ョ ン です )。 [SIP] SIP プ ロ ト コ ルの設定。 [Limit REGISTER requests] REGISTER 要求の帯域制限を設定する数値を入力 し ます。 [Limit INVITE requests] INVITE 要求の帯域制限を設定する数値を入力 し ます。 [Enable Logging] SIP 要求を ロ グ記録す る と き選択 し ます。 [Enable Logging of Violations] SIP 違反を ロ グ記録す る と き選択 し ます。 [SCCP] SCCP プ ロ ト コ ルの設定。 [Limit Call Setup] コ ール セ ッ ト ア ッ プ に帯域制限を設定する数値を入力 し ます。 [Enable Logging] SCCP を ロ グ記録す る と き選択 し ます。 [Enable Logging of Violations] SCCP 違反を ロ グ記録する と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 409 VoIP 410 統合脅威管理 (UTM) FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN IPsec VPN の概要 IPsec VPN こ の項では、 Web ベース マネージ ャか ら お こ なえ る IPsec (Internet Protocol Security) VPN の 設定オプ シ ョ ンの導入を説明 し ます。FortiGate ユニ ッ ト では、ポ リ シーベース ( ト ン ネル モー ド ) およびルー ト ベース ( イ ン タ フ ェ ース モー ド ) VPN の両方をサポー ト し ます。 IPsec VPN の設定方法およびその他の詳細については、 『FortiGate IPSec VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効に し てい る と きは、 それぞれのバー チ ャル ド メ イ ン ご と に VPN IPsec を個別に設定 し ます。 詳細については、 73 ページの 「バー チ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ IPsec VPN の概要 ・ ポ リ シーベース VPN お よびルー ト ベース VPN の比較 ・ 自動キー (IKE) ・ 手動キー ・ イ ン タ ーネ ッ ト ブ ラ ウジ ング ・ コ ン セ ン ト レー タ ・ VPN のモ ニ タ 注記 : L2TP および IPSec は、 Windows XP、 Windows Vista、 および Mac OSX のネ イ テ ィ ブ VPN ク ラ イ ア ン ト でサポー ト さ れます。 IPsec VPN の概要 [IPsec VPN] メ ニ ュ ーには、 IPsecVPN の設定項目およびオプ シ ョ ンがあ り ます。 IPsec VPN は 仮想プ ラ イ ベー ト ネ ッ ト ワー ク であ り 、 IPsec プ ロ ト コ ルス イ ー ト を用い て その仮想プ ラ イ ベー ト ネ ッ ト ワー ク にセキ ュ リ テ ィ と 保護を提供 し ます。 こ れはつま り 、 ネ ッ ト ワー クへ入 っ て く るデー タ も、 ネ ッ ト ワー クか ら 出てい く デー タ も 暗号化 さ れる こ と を意味 し ます。 FortiOS で設定される IPsec VPN は、以下の基本的な手順を使用して設定しなければなりません。 1 FortiGate が リ モー ト ピ ア または ク ラ イ ア ン ト を認証 し 、 セキ ュ ア な コ ネ ク シ ョ ン を確立 する ために必要な フ ェ ーズ 1 パ ラ メ ー タ を定義 し ます。 詳 し く は、 413 ページの 「フ ェ ー ズ 1 の設定」 を参照 し て く だ さ い。 2 FortiGate ユニ ッ ト が リ モー ト ピ ア またはダ イ アルア ッ プ ク ラ イ ア ン ト と VPN ト ンネルを 張る ために必要な フ ェ ーズ 2 パ ラ メ ー タ を定義 し ます。 詳 し く は、 417 ページの 「フ ェ ー ズ 2 の設定」 を参照 し て く だ さ い。 注記 : も し FortiGate ユニ ッ ト がユニー ク な IPsec 暗号化キー と 認証キーを自動的に生 成 さ せたいのであれば、 ステ ッ プ 1 と ステ ッ プ 2 を踏ま なければな り ません。 も し リ モー ト VPN ピ ア または ク ラ イ ア ン ト が特定の IPsec 暗号化キー と 認証キーを要求する のであれば、 FortiGate ユニ ッ ト がマニ ュ アルキーを使 う よ う に設定 し なければな り ま せん。 詳細については、 419 ページの 「手動キー」 を参照 し て く だ さ い。 3 あなたのプ ラ イ ベー ト ネ ッ ト ワー ク と VPN 間での通信を許可する フ ァ イ アウ ォ ールポ リ シーを作成 し て く だ さ い。 ポ リ シーベース VPN の場合は、 フ ァ イ アウ ォ ール ポ リ シーの [Action] を [IPSEC] に設定 し ます。 イ ン タ フ ェ ースベース VPN の場合は、 フ ァ イ アウ ォ ー ル ポ リ シーの [Action] を [ACCEPT] に設定 し ます。 詳 し く は、 268 ページの 「フ ァ イ ア ウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 411 IPsec VPN の概要 IPsec VPN フ ェ ーズ 1 は IPsecVPN の最初のパー ト を構成する一連の設定です。 こ れ ら の設定は リ モー ト ピ ア ま たは ク ラ イ ア ン ト を認証 し て、 セキ ュ ア な コ ネ ク シ ョ ン を確立する ために使われます。 フ ェ ーズ 2 は IPsecVPN の 2 番目であ り 、 かつ最後のパー ト を構成するの一連の設定であ り 、 FortiGate ユニ ッ ト が リ モー ト ピ ア またはダ イ アルア ッ プ ク ラ イ ア ン ト と VPN ト ン ネルを作成 する ために必要な情報を提供 し ます。 FortiGate ユニ ッ ト は、 ESP (Encapsulated Security Payload) プ ロ ト コ ルを実装 し ています。 暗号 化 さ れたパケ ッ ト は通常のパケ ッ ト と 同 じ よ う に、 IP ネ ッ ト ワー ク でルーテ ィ ング さ れます。 IKE ( イ ン タ ーネ ッ ト 鍵交換 ) は、事前共有キーまたは X.509 デジ タ ル証明書に基づいて自動的 に実行 さ れます。 オプ シ ョ ン で手動キーを指定で き ます。 NAT/ ルー ト モー ド のみでサポー ト さ れる イ ン タ フ ェ ース モー ド では、 VPN ト ンネルのロー カル エ ン ド の仮想 イ ン タ フ ェ ースが 作成 さ れます。 ポリシーベース VPN およびルートベース VPN の比較 FortiGate ユニ ッ ト はポ リ シーベース VPN と ルー ト ベース VPN のど ち ら も サポー ト し ます。一 般的には、 ルー ト ベース VPN のほ う がポ リ シーベース VPN よ り も 容易に設定する こ と がで き ます。 し か し なが ら、 こ れ ら 2 種類の VPN には使用で き る場所を制約する異な っ た要件があ り ます ( 表 54 を参照 )。 表 54: ポリシーベース VPN およびルートベース VPN の対比 ポリシーベース ルートベース NAT/ ル ー ト ま た は ト ラ ン ス ペ ア レ ン ト NAT/ ルー ト モー ド でのみ使用可能 モー ド で利用可能 [Action] が [IPSEC] に設定 さ れた、 VPN ト ン [Action] が [ACCEPT] に指定 さ れた、 簡潔な フ ァ ネルを 指定す る フ ァ イ ア ウ ォ ール ポ リ シー イ ア ウ ォ ール ポ リ シーのみが必要。 各方向の接 が必要。 1 つのポ リ シーで、 両方向の接続を 続に個別のポ リ シーが必要です。 制御 し ます。 ポ リ シーベースの VPN を作成する には、2 つのネ ッ ト ワー ク イ ン タ フ ェ ースの間に IPsec フ ァ イ アウ ォ ール ポ リ シーを定義 し て、それに VPN ト ン ネル ( フ ェ ーズ 1 またはマニ ュ アルキー) の設定を関連付けます。 作成 し た VPN のいずれの側か ら コ ネ ク シ ョ ン を開始 し て も、 必要な フ ァ イ アウ ォ ールポ リ シーはひ と つだけです。 ルー ト ベースの VPN を作成するには、 VPN フ ェ ーズ 1 または手動キーの設定を作成する と き に、 IPsec イ ン タ フ ェ ース モ ー ド を 有効に し ます。 こ れに よ り 、 選択 さ れた ロ ー カ ル イ ン タ フ ェ ースにバイ ン ド さ れた仮想 IPsec イ ン タ フ ェ ースが作成 さ れます。 次に、 仮想 IPsec イ ン タ フ ェ ース と も う ひ と つのネ ッ ト ワー ク イ ン タ フ ェ ースの間に ト ラ フ ィ ッ ク が流れる こ と を 許可する ために、 [Action] が [ACCEPT] の フ ァ イ アウ ォ ール ポ リ シー を定義 し ます。 VPN 両端 のいずれか ら も接続を開始で き る よ う にする には、 各方向に 1 つずつ、 合わせて 2 つの フ ァ イ アウ ォ ール ポ リ シーが必要 と な り ます。 仮想 IPSec イ ン タ フ ェ ースのバ イ ン ド はネ ッ ト ワー ク イ ン タ フ ェ ースページに表示 さ れます ([System]、 [Network]、 [Interface] の順に選択 し て表示 し ます )。 物理イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 VLAN イ ン タ フ ェ ース、 VDOM 間 リ ン ク イ ン タ フ ェ ース、 またはワ イヤレ ス イ ン タ フ ェ ースにバ イ ン ド さ れたすべての ト ン ネルの名前は関連付け ら れた物理 イ ン タ フ ェ ースの名前カ ラ ムの下に表示 さ れます。 詳細については、 89 ページの 「イ ン タ フ ェ ー スの設定」 を参照 し て く だ さ い。 その他のイ ン タ フ ェ ース と と も に、 仮想 IPsec イ ン タ フ ェ ー ス を ゾーンに加え る こ と がで き ます。 ハブアンドスポークの設定 ハブ ア ン ド スポー ク VPN のハブ と し て機能する ために、FortiGate ユニ ッ ト には コ ン セ ン ト レー タ 機能が含まれています。 こ の機能はポ リ シーベース VPN のみで利用で き ますが、 以下のい ずれかの方法によ っ て、 ルー ト ベース VPN で も同等の機能を実現で き ます。 412 ・ 集結 さ せたい IPsec イ ン タ フ ェ ースの各ペア間で、フ ァ イ アウ ォ ール ポ リ シーを定義する。 サイ ト 間の接続数が多い場合、 スポー ク の数が増加す るにつれ、 必要なポ リ シー数が急増 する ため、 こ れを維持するには多 く の時間がかかる場合があ り ます。 ・ すべての IPsec イ ン タ フ ェ ース を 1 つのゾーンにま と め、 ひ と つのゾーン間ポ リ シーを定 義する。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN 自動キー (IKE) ・ すべての IPsec イ ン タ フ ェ ース を 1 つのゾーンにま と め、 ゾーン内の ト ラ フ ィ ッ ク を有効 にする。 こ の場合、 そのゾーン内に複数の IPsec イ ン タ フ ェ ースが必要 と な り ます。 冗長設定 ルー ト ベース VPN を使 っ て、 VPN ト ン ネルを冗長化 さ せる ための実装を シ ン プルにお こ なえ ます。 同 じ 宛先に異な る経路 メ ト リ ッ ク を持 っ た複数の経路 を設定す る こ と がで き ます。 ま た、 VPN ト ンネルを通 し てダ イ ナ ミ ッ ク ルーテ ィ ング (RIP, OSPF や BGP) の経路情報の交換 を設定する こ と も で き ます。 も し 、 プ ラ イ マ リ ーの VPN コ ネ ク シ ョ ンが切れた り 、 経路のプ ラ イ オ リ テ ィ がダ イ ナ ミ ッ ク ルーテ ィ ン グに よ り 変わる と 、 冗長経路を使 っ て ト ラ フ ィ ッ ク を転送する ために代替経路が選択 さ れます。 単に フ ェ イルオーバーの冗長性を提供する方法は、 バ ッ ク ア ッ プの IPsec イ ン タ フ ェ ース を作 成する こ と です。CLI か ら こ の作業を お こ な う こ と がで き ます。設定例などの詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の、 ipsec vpn phase1-interface コ マ ン ド の monitorphase1 キーワー ド を参照 し て く だ さ い。 ルーティング 任意に CLI か ら 仮想 IPsec イ ン タ フ ェ ースに特定のデ フ ォ ル ト ルー ト を定義する こ と も で き ま す。 詳 し く は、 『FortiGate CLI リ フ ァ レ ン ス 』 の、 vpn ipsec phase1-interface コ マ ン ド の default-gw 変数を参照 し て く だ さ い。 自動キー (IKE) 2 つの VPN ピ ア ( または FortiGate ダ イヤルア ッ プ サーバおよび VPN ク ラ イ ア ン ト ) を設定す る こ と によ り 、 IPSec フ ェ ーズ 1 お よび フ ェ ーズ 2 の交換の際に、 固有の IKE ( イ ン タ ーネ ッ ト 鍵交換 ) キー を自動的に生成で き ます。 フ ェ ーズ 2 パラ メ ー タ を定義する と き、 フ ェ ーズ 1 パラ メ ー タ の任意のセ ッ ト を選択する こ と で、 ト ンネルのセキ ュ ア な接続を確立 し 、 リ モー ト ピ ア を認証で き ます。 自動キーの設定は、 ト ンネル モー ド と イ ン タ フ ェ ース モー ド 双方の VPN に適用 さ れます。 2 つの VPN ピ ア を設定するには、 [VPN]、 [IPsec]、 [Auto Key (IKE)] の順に選択 し ます。 [Auto Key (IKE)] ページ こ のページには、IKEキーを構成す る2つのVPN ピ アの フ ェ ーズ1お よび フ ェ ーズ2の設定が表示 さ れます。 [Create Phase 1] 新 し い フ ェ ーズ 1 ト ン ネル設定を作成 し ます。 詳細については、 413 ページの 「 フ ェ ーズ 1 の設定」 を参照 し て く だ さ い。 [Create Phase 2] 新 し い フ ェ ーズ 2 ト ン ネル設定を作成 し ます。 詳細については、 417 ページの 「 フ ェ ーズ 2 の設定」 を参照 し て く だ さ い。 [Phase 1] 既存の フ ェ ーズ 1 ト ン ネル設定の名前。 [Phase 2] 既存の フ ェ ーズ 2 設定の名前。 [Interface Binding] IPSec ト ン ネルがバイ ン ド さ れる ロー カ ル イ ン タ フ ェ ースの名前。ロー カ ル イ ン タ フ ェ ースには、物理 イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 VLAN イ ン タ フ ェ ース、 VDOM 間 イ ン タ フ ェ ース、 またはワ イ ヤレ ス イ ン タ フ ェ ース が該当 し ます。 編集アイコン 交換の設定を変更する と き選択 し ます。 削除アイコン IKE キーを削除する と き選択 し ます。 フェーズ 1 の設定 フ ェ ーズ 1 では、2 つの VPN ピ ア ( または FortiGate ダ イヤルア ッ プ サーバ と VPN ク ラ イ ア ン ト ) が相互に認証を行い、キーを交換 し て、双方間にセキ ュ ア な通信チ ャ ン ネルを確立 し ます。 基本的な フ ェ ーズ 1 設定では、IPSec フ ェ ーズ 1 パ ラ メ ー タ を リ モー ト ゲー ト ウ ェ イ に関連付 け、 以下を定義 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 413 自動キー (IKE) IPsec VPN ・ さ ま ざ まな フ ェ ーズ 1 パ ラ メ ー タ が、 暗号化 さ れた認証情報によ っ て複数の ラ ウ ン ド で交 換 さ れるか ( メ イ ン モー ド )、または暗号化 さ れていない認証情報に よ っ て単一の メ ッ セー ジ で交換 さ れるか ( アグレ ッ シ ブ モー ド )。 ・ 2 つの VPN ピ ア ( または VPN サーバ と そのク ラ イ ア ン ト ) の身元を認証する ために、 事前 共有キーまたはデジ タ ル証明が使用 さ れるか。 ・ 接続が試み ら れた際、 リ モー ト VPN ピ ア または ク ラ イ ア ン ト を識別するために、 特別な識 別子、 証明書識別名、 またはグループ名が使用 さ れるか。 [New Phase 1] ページ こ のページには、 フ ェ ーズ 1 の設定項目が表示 さ れます。 [Auto Key (IKE)] ページ で [Create Phase 1] を選 択する と 、 画面が [New Phase 1] ページに自動的に移動 し ます。 [Name] [Remote Gateway] フ ェ ーズ 1 の定義を表す名前を入力 し ます。 名前の長 さ は、 イ ン タ フ ェ ー ス モー ド VPN では最大 15 文字、ポ リ シー ベース VPN では最大 35 文字で す。 [Remote Gateway] を [Dialup User] に設定す る場合は、 確立可能なダ イ ヤルア ッ プ ト ン ネルの数に応 じ て、 名前の最長文字数は減 り 、 ト ン ネル 9 個ま では 2 文字、 99 個ま では 3 文字、 999 個ま では 4 文字減 り 、 以下同様 に最長文字数が短 く な り ます。 ト ン ネル モー ド VPN では、 名前に リ モー ト 接続の起点を反映 さ せる必要 があ り ます。 ルー ト ベースの ト ン ネルでは、 FortiGate ユニ ッ ト に よ っ て自 動的に作成 さ れる仮想 IPSec イ ン タ フ ェ ースの名前が使用 さ れます。 リ モー ト 接続の カ テ ゴ リ を、 以下か ら 選択 し ます。 [Static IP Address] - リ モー ト ピ アの IP ア ド レ スがス タ テ ィ ッ ク IP ア ド レ ス であ る場合に選択 し ます。 [Dialup User] - ダ イ ナ ミ ッ ク IP ア ド レ ス を持つ 1 つ以上の FortiClient ま た は FortiGate ダ イ ヤルア ッ プ ク ラ イ ア ン ト が FortiGate ユニ ッ ト に接続する 場合に選択 し ます。 [Dynamic DNS] - ド メ イ ン名を持ち ダ イ ナ ミ ッ ク DNS サービ スに登録 し ている リ モー ト ピ アが、 FortiGate ユニ ッ ト に接続す る場合に選択 し ます。 [IP Address] [Static IP Address] を選択 し た場合に、 リ モー ト ピ アの IP ア ド レ ス を入力 [Dynamic DNS] [Dynamic DNS] を選択 し た場合に、 リ モー ト ピ アの ド メ イ ン名を入力 し ま [Local Interface] こ のオ プ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 リ モー ト ピ ア またはダ イ ヤルア ッ プ ク ラ イ ア ン ト が FortiGate ユニ ッ ト に接続する と き経由する、 イ ン タ フ ェ ースの名前を選択 し ます。 デ フ ォ ル ト では、 ロ ー カ ル VPN ゲー ト ウ ェ イ の IP ア ド レ スは、 選択 し た イ ン タ フ ェ ースの IP ア ド レ ス です。 オ プ シ ョ ン で、 VPN ゲー ト ウ ェ イの固 有 IP ア ド レ ス を、 [Advanced] 設定で指定で き ます。 [Mode] し ます。 す。 [Main (ID Protection)] または [Aggressive] を選択 し ます。 ・ [Main] モー ド では、フ ェ ーズ 1 パ ラ メ ー タ は暗号化 さ れた認証情報 と と も に複数の ラ ウ ン ド で交換 さ れます。 ・ [Aggressive] モー ド では、 フ ェ ーズ 1 パ ラ メ ー タ は暗号化 さ れていない 認証情報 と と も に単一の メ ッ セージ で交換 さ れます。 VPN ピ アが、 ダ イ ナ ミ ッ ク IP ア ド レ ス を持ち、 事前共有キーに よ り 認証 さ れる場合は、 イ ン タ フ ェ ース IP ア ド レ スのダ イ ヤルア ッ プ フ ェ ーズ 1 設 定が複数あれば、 必ず [Aggressive] モー ド を選択 し ます。 リ モー ト VPN ピ アが、 ダ イ ナ ミ ッ ク IP ア ド レ ス を持ち、 証明書に よ り 認 証 さ れる場合は、イ ン タ フ ェ ース IP ア ド レ スのダ イ ヤルア ッ プ フ ェ ーズ 1 設定が複数あ り 、 こ れ ら の フ ェ ーズ 1 設定が異な る プ ロ ト コ ルを使用する のであれば、 必ず [Aggressive] モー ド を選択 し ます。 [Peer Options] 設定に特定のモ ー ド が必要に な る場合があ り ま す。 下記の [Peer Options] を参照 し て く だ さ い。 414 [Authentication Method] [Preshared Key] ま たは [RSA Signature] を選択 し ます。 [Pre-shared Key] [Authentication Method] で [Pre-shared Key] を 選択 し た場合は、 事前共有 キー を入力 し ます。 FortiGate ユニ ッ ト は、 フ ェ ーズ 1 のネゴ シ エーシ ョ ン 中に こ の事前共有キー を 用いて、 リ モー ト ピ ア ま たはダ イ ヤルア ッ プ ク ラ イ ア ン ト に対 し てユニ ッ ト 自体の認証を行います。 リ モー ト ピ ア ま たは ク ラ イ ア ン ト では、 同 じ 値を定義する必要があ り ます。 こ の鍵には、 印字 可能な文字が 6 字以上含まれる必要があ り 、 ネ ッ ト ワー ク 管理者以外に こ の鍵を知 ら れてはな り ません。 既知の攻撃に対 し て最大限の保護を実施す る ためには、鍵には ラ ン ダムに選択 し た 16 字以上の英数文字を使用 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN 自動キー (IKE) [Certificate Name] [Authentication Method] で [RSA Signature] を選択 し た場合、 サーバ証明書 の名前を選択 し ます。 FortiGate ユニ ッ ト は、 フ ェ ーズ 1 のネゴ シ エーシ ョ ン中にそのサーバ証明書を用いて、リ モー ト ピ ア ま たはダ イ ヤルア ッ プ ク ラ イ ア ン ト に対 し てユニ ッ ト 自体の認証を行います。 必要なサーバ証明書 を取得お よび ロー ド する方法については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Peer Options] [Remote Gateway] およ び [Authentication Method] の設定に応 じ て、 VPN ピ ア または ク ラ イ ア ン ト を認証する ための、以下の1つま たは複数のオ プ シ ョ ンが表示 さ れます。 [Accept any peer ID] 任意の リ モー ト VPN ピ ア ま たは ク ラ イ ア ン ト のロ ー カ ル ID を受け入れま す。 FortiGate ユニ ッ ト では識別子 ( ロ ー カ ル ID) の確認は行われません。 [Mode] を、 [Aggressive] または [Main] のど ち ら に も 設定で き ます。 こ のオ プ シ ョ ン を、 RSA シグネチ ャ 認証で使用で き ます。 ただ し 、 最高レ ベルのセキ ュ リ テ ィ を確保す る には、 ピ アの PKI ユーザ / グループ を設定 し 、[Peer Options] を [Accept this peer certificate only] に設定 し て く だ さ い。 [Accept this peer ID] こ のオ プ シ ョ ンは、 リ モー ト ピ アにダ イ ナ ミ ッ ク IP ア ド レ スが設定 さ れ て い る 場合に限 り 使用で き ま す。 リ モ ー ト ピ ア を 認証す る ために使用す る、 識別子を入力 し ます。 こ の識別子は、 リ モー ト ピ アの管理者が設定 し た識別子 と 一致する必要があ り ます。 リ モー ト ピ アが FortiGate ユニ ッ ト であ る場合、 フ ェ ーズ 1 設定の [Local ID] フ ィ ール ド に識別子を指定 し ます。 リ モ ー ト ピ アが FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト で あ る場合は、 VPN 接続の [Advanced Settings] の [Policy] セ ク シ ョ ン で [Config] を選択 し て表示 さ れる [Local ID] フ ィ ール ド に、 識別子を指定 し ます。 [Accept peer ID in dialup group] 同 じ VPN ト ン ネルを経由 し て、 固有の識別子お よび固有の PSK ( または固 有の PSK のみ ) を使用する、 複数の FortiGate または FortiClient ダ イ ヤル ア ッ プ ク ラ イ ア ン ト を認証 し ます。 認証用 と し てダ イ ヤルア ッ プ ユーザ グループ を必ず作成 し ます ( 詳細に ついては、 457 ページの 「ユーザ グループ」 を参照 し て く だ さ い )。 [Accept peer ID in dialup group] オ プ シ ョ ンの横に表示 さ れる リ ス ト か ら 、 グループ を選択 し ます。 FortiGate ダ イ ヤルア ッ プ ク ラ イ ア ン ト の設定方法については、 『FortiGate IPSec VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト の設定方法については、 『FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト 認証テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 ダ イ ヤルア ッ プ ク ラ イ ア ン ト が固有の識別子お よび固有の PSK を使用す る場合は、[Mode] を [Aggressive] に設定す る必要があ り ます。ダ イ ヤルア ッ プ ク ラ イ ア ン ト が固有の PSK のみを使用する場合に、 こ の イ ン タ フ ェ ー ス IP ア ド レ スに対する ダ イ ヤルア ッ プ フ ェ ーズ 1 設定が 1 つのみであれ ば、 [Mode] を [Main] に設定で き ます。 [Advanced] フ ェ ーズ 1 の詳細パ ラ メ ー タ を定義 し ます。 詳細については、 415 ページ の 「フ ェ ーズ 1 の詳細設定」 を参照 し て く だ さ い。 フェーズ 1 の詳細設定 詳細設定に含まれている [P1 Proposal] のパラ メ ー タ を設定する こ と で、IKE 交換キーの生成時 に FortiGate ユニ ッ ト によ っ て使用 さ れる、 暗号化および認証アルゴ リ ズムを選択 し ます。 ま た、 こ の詳細設定を選択 し 、 フ ェ ーズ 1 ネゴ シ エーシ ョ ンの円滑な実行を保証で き ます。 [New Phase 1] ページの [Advanced] セクション [Enable IPsec Interface Mode] こ のオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 VPN ト ン ネルのロー カ ル エ ン ド に仮想イ ン タ フ ェ ース を作成 し ます。 こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と ルー ト ベース VPN を作成 し 、 オ フ に する と ポ リ シーベース VPN を作成 し ます。 [IKE Version] 使用する IKE のバージ ョ ン と し て、 [1] ま たは [2] を選択 し ます。 デ フ ォ ル ト は [1] です。 こ のオプ シ ョ ンは、 [Enable IPsec Interface Mode] を有効に 設定 し てい る場合のみ利用で き ます。 IKE v2 の詳細については、 RFC 4306 を参照 し て く だ さ い。 [Mode] を [Aggressive] に設定 し てい る場合は、 IKE v2 は利用で き ません。 [IKE Version] が [2] の場合は、 [Mode] お よび [XAUTH] は利用で き ません。 [IPv6 Version] リ モー ト ゲー ト ウ ェ イ お よ び イ ン タ フ ェ ース IP ア ド レ スに IPv6 を使用す る場合に選択 し ます。 こ のオ プ シ ョ ンは、 [Enable IPsec Interface Mode] を 有効に設定 し 、 管理設定で [IPv6 Support] を有効に設定 し てい る場合のみ 利用で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 415 自動キー (IKE) IPsec VPN [Local Gateway IP] [P1 Proposal] [Enable IPsec Interface Mode] を オ ン に し た場合、VPN ト ン ネルのロ ー カ ル エ ン ド の IP ア ド レ ス を指定 し ます。 次のいずれかを選択 し ます。 [Main Interface IP] - FortiGate ユニ ッ ト はイ ン タ フ ェ ースの IP ア ド レ ス を ネ ッ ト ワー ク イ ン タ フ ェ ース設定か ら 取得 し ます。詳細については、89 ページの 「 イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 Specify - フ ェ ーズ 1 の [Local Interface] フ ィ ール ド で選択 し た イ ン タ フ ェ ースの第 2 ア ド レ ス を指定で き ます。 詳細については、 414 ページの 「[Local Interface]」 を参照 し て く だ さ い。 ト ラ ン スペア レ ン ト モー ド VDOM では、 イ ン タ フ ェ ース モー ド を設定で き ません。 ネゴ シ エーシ ョ ン を保護す る ためのキーの生成に使用する、暗号化お よび 認証アルゴ リ ズム を選択 し ます。 必要に応 じ て、 暗号化お よ び認証アルゴ リ ズム を追加ま たは削除 し ます。 組み合わせを、 3 つま で選択 し ます。 定義 し た プ ロポーザルを少な く と も 1 つは使用する よ う に、 リ モー ト ピ ア ま たは ク ラ イ ア ン ト を設定する必要 があ り ます。 以下のいずれかの対称キー アルゴ リ ズムを選択 し ます。 DES ― 56 ビ ッ ト キーを使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 3DES ― プ レ ーン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 AES128 - 128 ビ ッ ト キーを使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES192 - 192 ビ ッ ト キーを使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES256 - 256 ビ ッ ト キーを使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム 次の メ ッ セージ ダ イ ジ ェ ス ト のいずれかを選択 し て、 フ ェ ーズ 1 ネゴ シ エーシ ョ ン中の メ ッ セージの信憑性を確認 し ます。 MD5 (Message Digest 5) ― RSA Data Security が開発 し たハ ッ シ ュ ア ルゴ リ ズム。 SHA1 ― Secure Hash Algorithm 1。 160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成 し ます。 SHA256 ― Secure Hash Algorithm 2。256 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成 し ます。 3 つ目の組み合わせを指定す る には、2 つ目の組み合わせを設定する フ ィ ー ル ド の横にあ る 追加 ボ タ ン を ク リ ッ ク し ます。 [DH Group] DH Group 1、 2、 5、 およ び 14 の各チ ェ ッ ク ボ ッ ク ス を オ ン に し て、 1 つ または複数の Diffie-Hellman グループ を選択 し ます。 リ モー ト ピ ア ま たは ク ラ イ ア ン ト の [DH Group] 設定の 1 つ以上が、 FortiGate ユニ ッ ト の設定 と 一致する必要があ り ます。 [Keylife] IKE 暗号化キーが期限切れに な る ま での時間 ( 秒 ) を入力 し ます。 キーが 期限切れにな る と 、 サー ビ ス を中断 さ せる こ と な く 、 新 し いキーが生成 さ れます。 [Keylife] は 120 ~ 172,800 秒に設定で き ます。 [Local ID] FortiGate ユニ ッ ト が VPN ク ラ イ ア ン ト と し て動作 し 、認証に ピ ア ID を使 用 し てい る場合は、 フ ェ ーズ 1 交換中に FortiGate ユニ ッ ト が VPN サーバ に提供する識別子を入力 し ます。 FortiGate ユニ ッ ト が VPN ク ラ イ ア ン ト と し て動作 し 、認証にセキ ュ リ テ ィ 証明書 を使用 し てい る場合は、 FortiGate ユニ ッ ト が認証に使用す る ロー カ ル サーバ証明書の識別名 (DN) を選択 し ます。 FortiGate ユニ ッ ト がダ イ ヤルア ッ プ ク ラ イ ア ン ト で、 他のダ イ ヤルア ッ プ ク ラ イ ア ン ト と ト ン ネル を共有 し ない場合 ( つ ま り 、 ト ン ネルが こ の FortiGate のダ イ ヤル ア ッ プ ク ラ イ ア ン ト 専用 と な る 場合 )、 [Mode] を [Aggressive] に設定 し ます。 [XAuth] こ のオ プ シ ョ ン は、 ダ イ ヤル ア ッ プ ク ラ イ ア ン ト の認証 を サポー ト し 、 IKE v1 のみで利用で き ます。 [Disable] - XAuth を使用 し ない場合に選択 し ます。 [Enable as Client] - FortiGate ユニ ッ ト がダ イ ヤルア ッ プ ク ラ イ ア ン ト の場合は、 FortiGate ユニ ッ ト が リ モー ト の XAuth サーバに対 し て自己認 証する ために必要なユーザ名 と パスワー ド を入力 し ます。 [Enable as Server] - こ の オ プ シ ョ ン は、 [Remote Gateway] を [Dialup User] に設定 し た場合のみ利用で き ま す。 ダ イ ヤルア ッ プ ク ラ イ ア ン ト は、 ダ イ ヤルア ッ プ ユーザ グループの メ ンバ と し て認証を行います。 最 初に、 FortiGate ユニ ッ ト 背後にあ る ネ ッ ト ワー ク に ア ク セ スす る必要が あ る ダ イ ヤルア ッ プ ク ラ イ ア ン ト のユーザ グループ を、必ず作成 し ます。 詳細については、 460 ページの 「ユーザ グループの設定」 を参照 し て く だ さ い。 416 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN 自動キー (IKE) また、 認証 リ ク エ ス ト を外部の RADIUS または LDAP 認証サーバに転送す る よ う に、FortiGate ユニ ッ ト を設定す る必要があ り ます。 こ れ ら の ト ピ ッ ク の詳細については、 450 ページの 「RADIUS サーバの設定」 または 452 ページの 「LDAP サーバの設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト 、 XAuth ク ラ イ ア ン ト 、 お よび外部認証サーバの間で使 用する暗号化の種類を決定する ために、 [Server Type] 設定を選択 し 、 続い て [User Group] リ ス ト か ら ユーザ グループ を選択 し ます。 [Username] 認証に使用す るユーザ名を入力 し ます。 [Password] 認証に使用す るパスワー ド を入力 し ます。 [NAT Traversal] ロー カルの FortiGate ユニ ッ ト と VPN ピ ア ま たは ク ラ イ ア ン ト と の間に NAT デバ イ スが存在する場合は、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 信頼性の高い接続を確立す る には、 ロー カル FortiGate ユニ ッ ト と VPN ピ ア ま たは ク ラ イ ア ン ト の NAT ト ラ バーサル設定が同一であ る必要があ り ます ( 両方を選択ま たは解除 )。 [Keepalive Frequency] [NAT-traversal] を有効に設定 し た場合は、 [Keepalive Frequency] の設定を [Dead Peer Detection] 入力 し ます。 入力する数値は、 10 ~ 900 秒の範囲で間隔を表 し ます。 こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、ア イ ド ル状態の接続においてVPN ト ン ネルが回復する と と も に、 必要に応 じ て、 切断 さ れた IKE ピ ア を除去 し ます。 こ のオプ シ ョ ン を使用する こ と で、 ト ン ネルの始動または停止時 に通知を受け取るか、または ト ン ネル内で ト ラ フ ィ ッ ク が発生 し ない場合 に ト ン ネル接続を開いた ま まの状態にで き ます ( た と えば、 定期的に変化 す る IP ア ド レ スか ら ダ イ ヤルア ッ プ ク ラ イ ア ン ト ま たはダ イ ナ ミ ッ ク DNS ピ アが接続する状況では、 IP ア ド レ スが変化する間に ト ラ フ ィ ッ ク が一時的に中断 さ れる場合があ り ます )。 [Dead Peer Detection] オ プ シ ョ ン を オ ン に し た 状態 では、 CLI コ マ ン ド config vpn ipsec phase1 ( ト ン ネル モー ド ) または config vpn ipsec phase1-interface ( イ ン タ フ ェ ース モー ド ) を使用 し て、リ ト ラ イ の 回 数 と 間 隔 を オ プ シ ョ ン で 指 定 で き ま す。 詳 細 に つ い て は、 『FortiGateCLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 フェーズ 2 の設定 IPsec フ ェ ーズ 1 のネゴ シ エーシ ョ ンが正 し く 終了 し た後、 フ ェ ーズ 2 を開始 し ます。 フ ェ ー ズ 2 パ ラ メ ー タ を設定する こ と で、以降のセ ッ シ ョ ン で扱われるデー タ を暗号化お よび転送す る ために、 FortiGate ユニ ッ ト に よ っ て使用 さ れる アルゴ リ ズムを定義 し ます。 フ ェ ーズ 2 で は、 セキ ュ リ テ ィ サービ ス を実装 し ト ンネルを確立す る ために必要な、 特定の IPSec セキ ュ リ テ ィ ア ソ シ エーシ ョ ン を選択 し ます。 フ ェ ーズ 2 の基本設定では、 IPsec フ ェ ーズ 2 パ ラ メ ー タ と 、 VPN ト ン ネルの リ モー ト エ ン ド ポ イ ン ト を指定する フ ェ ーズ 1 設定を関連付けます。 ほ と んどの場合、 設定する必要があるの は基本的な フ ェ ーズ 2 設定のみです。 [New Phase 2] ページ こ のページには、 フ ェ ーズ 2 の設定項目が表示 さ れます。 [Auto Key (IKE)] ページ で [Create Phase 2] を 選択する と 、 画面が [New Phase 2] ページに自動的に移動 し ます。 [Name] フ ェ ーズ 2 の設定を識別する名前を入力 し ます。 [Phase 1] フ ェ ーズ 1 ト ン ネル設定を選択 し ます。 詳細については、 413 ページの 「フ ェ ーズ 1 の 設定」 を参照 し て く だ さ い。 フ ェ ーズ 1 設定では、 リ モー ト VPN ピ ア ま たは ク ラ イ ア ン ト が こ の ト ン ネルで どのよ う に認証 さ れるか、 ま た リ モー ト ピ ア または ク ラ イ ア ン ト への接続がどのよ う に保護 さ れるかを設定 し ます。 [Advanced] フ ェ ーズ 2 詳細パ ラ メ ー タ を定義 し ます。 詳細については、 417 ページの 「フ ェ ーズ 2 の詳細設定」 を参照 し て く だ さ い。 フェーズ 2 の詳細設定 フ ェ ーズ 2 では、FortiGate ユニ ッ ト と VPN ピ ア または ク ラ イ ア ン ト が再びキーを交換 し 合い、 セキ ュ ア な通信チ ャ ンネルを確立 し ます。 セキ ュ リ テ ィ ア ソ シ エーシ ョ ン (SA) の実装詳細を 保護す る ために、 キーの生成に必要な暗号化お よ び認証アルゴ リ ズムを選択 し ます。 こ れ ら は、 P2 Proposal パ ラ メ ー タ と 呼ばれます。 キーは、 Diffie-Hellman のアルゴ リ ズムを使用 し て、 自動的に生成 さ れます。 フ ェ ーズ 2 の各種の詳細設定を使用する こ と で、 ト ン ネルの機能を強化で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 417 自動キー (IKE) IPsec VPN [Advanced section of New Phase 2] ページ [P2 Proposal] リ モー ト VPN ピ アに提案 さ れる、暗号化お よび認証アルゴ リ ズムを選択 し ます。 こ のプ ロ ポーザルは、 3 つま で指定で き ます。 VPN 接続を確立する には、 指定 し た プ ロポーザルの少な く と も 1 つが、 リ モー ト ピ アの設定 と 一致する必要があ り ます。 ペ ー ジ に は、 デ フ ォ ル ト で 2 つ の プ ロ ポ ーザルが表 示 さ れ ま す。 2 番目の [Authentication] フ ィ ール ド の横には、 追加 ア イ コ ン お よ び 削除 ア イ コ ンが表示 さ れます。 プ ロ ポーザルを 1 つだけ指定する場合は、 削除 ア イ コ ン を使用 し て 2 番目のプ ロ ポーザルを削除 し ます。 3 番目のプ ロポーザルを指定する には、 追加 ア イ コ ン を選択 し ます。 [Encryption] お よび [Authentication] の双方を [NULL] に設定す るのは無効です。 [Encryption] 以下のいずれかの対称キー アルゴ リ ズムを選択 し ます。 NULL ― 暗号化アルゴ リ ズムを使用 し ません。 DES (Digital Encryption Standard) ― 56 ビ ッ ト キー を使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 3DES ― プ レ ーン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 AES128 - 128 ビ ッ ト キー を使用す る、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES192 - 192 ビ ッ ト キー を使用す る、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES256 - 256 ビ ッ ト キー を使用す る、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム [Authentication] 次の メ ッ セージ ダ イ ジ ェ ス ト のいずれかを 選択 し て、 暗号化 さ れたセ ッ シ ョ ン 中に、 メ ッ セージの信憑性を確認 し ます。 NULL ― メ ッ セージ ダ イ ジ ェ ス ト を使用 し ません。 MD5 (Message Digest 5) ― RSA Data Security が開発 し たハ ッ シ ュ アルゴ リ ズム。 SHA1 ― Secure Hash Algorithm 1。160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成 し ます。 SHA256 ― Secure Hash Algorithm 2。256 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生 成 し ます。 [Enable replay detection] オ プ シ ョ ン で、 リ プ レ イ 攻撃の検知 を 有効ま たは無効に し ます。 リ プ レ イ 攻撃 は、 許可 さ れていない相手が一連の IPsec パケ ッ ト を傍受 し 、 ト ン ネルに向けて それを再送信す る こ と で発生 し ます。 [Enable perfect forward secrecy (PFS)] PFS を有効ま たは無効に し ます。 PFS (Perfect Forward Secrecy) は、 キーの期限 が切れる たびに新 し いDiffie-Hellman交換を強制的に実行す る こ と に よ り 、セキ ュ リ テ ィ を強化 し ます。 [DH Group] Diffie-Hellman グループのオ プ シ ョ ン を、 1 つ選択 し ます (1、 2、 5、 ま たは 14)。 こ の DH Group は、 リ モー ト ピ ア ま たはダ イ ヤルア ッ プ ク ラ イ ア ン ト が使用す る DH Group と 一致す る必要があ り ます。 [Keylife] フ ェ ーズ 2 キーの期限を定める方法を、 [Seconds] ( 秒 )、 [Kbytes] ( キロバ イ ト )、 ま たは [Both] ( 両方 )、 か ら 選択 し ます。 [Both] を選択 し た場合、 指定の時間 が経過す るか、 ま たは指定のバ イ ト 数の処理が完了す る と 、 キーは期限切れ と な り ます。 範囲は 120 ~ 172,800 秒、 または 5120 ~ 2,147,483,648 KB です。 [Autokey Keep Alive] デー タ が処理 さ れてい ない間 も ト ン ネル を 有効に維持す る場合は、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 [DHCP-IPSec] 418 VPN ク ラ イ ア ン ト に、 I P ア ド レ ス を動的に付与 し ます。 こ のオ プ シ ョ ンは、 ダ イ ヤルア ッ プの フ ェ ーズ 1 設定 と 関連する フ ェ ーズ 2 設定のみで使用で き ま す。 ま た、 DHCP サーバ ま たは プ ラ イ ベー ト ネ ッ ト ワー ク イ ン タ フ ェ ー ス上の リ レ ー を設定する必要があ り ます。 DHCP パ ラ メ ー タ は、 必ず別途設定 し ます。 詳 細については、 133 ページの 「シ ス テム - DHCP サーバ」 を参照 し て く だ さ い。 RADIUS ユーザ グループの属性に基づ き IP ア ド レ ス を割 り 当て る よ う に、DHCP サーバを設定す る場合は、フ ェ ーズ 1 の [Peer Options] を [Accept peer ID in dialup group] に設定 し 、 適切なユーザ グループ を選択 し ます。 詳 し く は、 413 ページ の 「フ ェ ーズ 1 の設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト がダ イ ヤルア ッ プ サーバ と し て機能 し 、ダ イ ヤルア ッ プ サー バの背後にあ る ネ ッ ト ワー ク と 一致する FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト VIP ア ド レ ス を手動で割 り 当てた場合は、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン にす る と 、 FortiGate ユニ ッ ト はダ イ ヤルア ッ プ ク ラ イ ア ン ト のプ ロキシ と し て機能 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN 手動キー [Quick Mode Selector] オ プ シ ョ ン で、 IKE ネゴ シ エーシ ョ ンのセ レ ク タ と し て使用する、 送信元お よび 宛先 IP ア ド レ ス を指定 し ます。FortiGate ユニ ッ ト がダ イ ヤルア ッ プ サーバであ る場合、VPN を構成する 1 つ以上のプ ラ イ ベー ト ネ ッ ト ワー ク 間の IP ア ド レ ス が不明瞭な こ と に よ っ て生 じ る問題 を 防止す る必要があ る場合 を 除 き、 デ フ ォ ル ト 値の 0.0.0.0/0 を変更 し ないで く だ さ い。 単一のホス ト IP ア ド レ ス、 IP ア ド レ ス範囲、 ま たはネ ッ ト ワー ク ア ド レ ス を指定で き ます。 オ プ シ ョ ン で、 送信 元 と 宛先のポー ト 番号お よびプ ロ ト コ ル番号を指定で き ます。 既存の フ ェ ーズ 2 設定を編集する場合、 フ ァ イ アウ ォ ールのア ド レ ス を セ レ ク タ と し て使用す る よ う に ト ン ネルが設定 さ れている と 、 [Source address] お よび [Destination address] の フ ィ ール ド は使用で き ません。 こ のオプ シ ョ ンは、 CLI で のみ使用で き ます。 詳 し く は、 『FortiGate CLI リ フ ァ レ ン ス 』 の、 vpn ipsec phase2 コ マ ン ド のキーワー ド 、 dst-addr-type、 dst-name、 src-addrtype、 お よび src-name を参照 し て く だ さ い。 [Source address] FortiGate ユニ ッ ト がダ イ ヤルア ッ プ サーバであ る場合、 ロ ー カ ルの送信者、 ま たはロー カル VPN ピ アの背後にあ る ネ ッ ト ワー ク に対応する、送信元 IP ア ド レ ス を 入力 し ま す ( た と え ば、 サ ブ ネ ッ ト に は 172.16.5.0/24 ま た は 172.16.5.0/255.255.255.0、 サーバま たはホス ト には 172.16.5.1/32 ま たは 172.16.5.1/255.255.255.255、 あ る い は ア ド レ ス 範 囲 に は 192.168.10.[80-100] ま たは 192.168.10.80-192.168.10.100 な ど )。 0.0.0.0/0の値は、ロ ー カ ルVPN ピ ア背後のすべてのIP ア ド レ ス を意味 し ます。 FortiGate ユニ ッ ト がダ イ ヤルア ッ プ ク ラ イ ア ン ト であ る場合、 送信元ア ド レ ス は、 FortiGate ダ イ ヤルア ッ プ ク ラ イ ア ン ト の背後にあ る プ ラ イ ベー ト ネ ッ ト ワー ク を参照す る必要があ り ます。 [Source port] 指定 さ れたサー ビ ス ( プ ロ ト コ ル番号 ) に関係す る ト ラ フ ィ ッ ク を伝送する ため に、 ロ ー カ ル VPN ピ アに よ っ て使用 さ れる ポー ト 番号を入力 し ます。 範囲は、 0 ~ 65535 です。 すべてのポー ト を指定す る には、 0 を入力 し ます。 [Destination address] リ モー ト VPN ピ アの背後にあ る受信者またはネ ッ ト ワー ク に対応す る宛先 IP ア ド レ ス を入力 し ます ( た と えば、 サブ ネ ッ ト には 192.168.20.0/24、 サーバ ま たはホ ス ト には 172.16.5.1/32、 あ る い は ア ド レ ス 範 囲 に は 192.168.10.[80-100] な ど )。0.0.0.0/0 の値は、リ モー ト VPN ピ アの背後に あ るすべての IP ア ド レ ス を意味 し ます。 [Destination port] 指定 さ れたサー ビ ス ( プ ロ ト コ ル番号 ) に関係す る ト ラ フ ィ ッ ク を伝送する ため に リ モー ト VPN ピ アが使用する ポー ト 番号を入力 し ます。 範囲は、 0 ~ 65535 です。 すべてのポー ト を指定す る には、 0 を入力 し ます。 [Protocol] サー ビ スの IP プ ロ ト コ ル番号を入力 し ます。 範囲は、 0 ~ 255 です。 すべての サー ビ ス を指定す る には、 0 を入力 し ます。 注記 : VPN ユーザが FortiGate ユニ ッ ト 経由で イ ン タ ーネ ッ ト を閲覧で き る よ う に、 各項 目を設定で き ます。 詳細については、 421 ページの 「イ ン タ ーネ ッ ト ブ ラ ウジ ング」 を参 照 し て く だ さ い。 手動キー 注意 : 手動キーは、 やむを得ない場合のみ使用 し て く だ さ い。 キーの機密性を保持する こ と 、 お よび リ モー ト VPN ピ アに変更キーを安全に伝え る こ と は、 困難な場合があ り ます。 必要に応 じ て、 IPSec VPN ト ン ネルを確立する ための暗号化キーを手動で定義で き ます。 手動 キーは、 次のよ う な状況で定義 し ます。 ・ 暗号化キーまたは認証キーについての予備知識が必要な ( いずれかの VPN ピ アが特定の IPSec 暗号化キーまたは認証キーを必要 と する ) 場合。 ・ 暗号化および認証を無効にする必要がある場合。 ど ち ら の場合 も 、 IPSec の フ ェ ーズ 1 お よ び フ ェ ーズ 2 のパ ラ メ ー タ は指定せず、 [VPN]、 [IPSEC]、 [Manual Key] の順に選択 し て表示 さ れるページ で、 手動キー を定義 し ます。 [Manual Key] ページ こ のページには、 IPsec VPN を確立す る ために作成 し た暗号化キーが一覧表示 さ れます。 [Create New] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 新 し い手動キー設定を作成 し ます。詳 し く は、420 ページの 「新 し い手動キー の設定」 を参照 し て く だ さ い。 419 手動キー IPsec VPN [Tunnel Name] 既存の手動キー設定の名前。 [Remote Gateway] リ モー ト ピ ア ま たはダ イ ヤルア ッ プ ク ラ イ ア ン ト の IP ア ド レ ス。 [Encryption Algorithm] 手動キー設定で指定 さ れた暗号化アルゴ リ ズムの名前。 [Authentication Algorithm] 手動キー設定で指定 さ れた認証アルゴ リ ズムの名前。 編集アイコン 暗号化キーの設定を編集する と き選択 し ます。 削除アイコン リ ス ト か ら 暗号化キー を削除する と き選択 し ます。 新しい手動キーの設定 注意 : 実際のシス テム環境に適する セキ ュ リ テ ィ ポ リ シー、 SA、 セ レ ク タ 、 および SA デー タ ベース を扱い慣れていない場合は、 必ず資格を持つ専門技術者の協力を得て、 以下 の手順を実施 し て く だ さ い。 一方の VPN デバイ スのキーを手動で設定する場合は、 他方の VPN デバイ スのキー も同一の認 証キーお よび暗号化キー を用いて同様に手動で設定す る必要があ り ます。 ま た、 両方の VPN デバイ ス を相補的な SPI ( セキ ュ リ テ ィ パ ラ メ ー タ イ ンデ ッ ク ス ) で設定する こ と が重要で す。 デバイ スの管理者同士が連携 し なが ら、 こ れ ら の設定を行 う 必要があ り ます。 各 SPI は、 SA ( セキ ュ リ テ ィ ア ソ シ エーシ ョ ン ) を識別 し ます。 値は、 ESP デー タ グ ラ ムを SA に リ ン ク するために、 そのデー タ グ ラ ムに配置 さ れます。 ESP デー タ グ ラ ムを受信する と 、 受信者は SPI を参照 し て、 デー タ グ ラ ムに適用する SA を決定 し ます。 SPI は、 SA ご と に必ず 手動で指定 し ます。 通信の方向ご と に SA があるので、 各 VPN にロー カル SPI および リ モー ト SPI の 2 つの SPI を指定 し て、2 台の VPN デバイ ス間の双方向通信に対応する必要があ り ます。 [New Manual Key] ページ こ のページ では、 IPsec VPN の暗号化キー を設定で き ます。 420 [Name] VPN ト ン ネルの名前を入力 し ます。 名前の長 さ は、 イ ン タ フ ェ ース モー ド VPN では最大 15 文字、 ポ リ シーベース VPN では最大 35 文字です。 [Local SPI] ロ ー カ ル FortiGate ユニ ッ ト の送信 ト ラ フ ィ ッ ク を処理する SA を表す、16 進数の 値 ( 最大 8 文字、0 ~ 9、a ~ f) を入力 し ます。有効範囲は、0x100 ~ 0xffffffff です。 こ の値は、 リ モー ト ピ アにおける手動キー設定の [Remote SPI] の値 と 一致 する必要があ り ます。 [Remote SPI] ロ ー カ ル FortiGate ユニ ッ ト の受信 ト ラ フ ィ ッ ク を処理する SA を表す、16 進数の 値 ( 最大 8 文字、0 ~ 9、a ~ f) を入力 し ます。有効範囲は、0x100 ~ 0xffffffff です。 こ の値は、 リ モー ト ピ アにおけ る手動キー設定の [Local SPI] の値 と 一致す る必要があ り ます。 [Remote Gateway] リ モー ト ピ アへのパブ リ ッ ク イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ます。 こ の ア ド レ スは、 ESP デー タ グ ラ ムの受信者を識別 し ます。 [Local Interface] こ のオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 IPsec ト ン ネルが結 合 さ れる イ ン タ フ ェ ースの名前を選択 し ます。 FortiGate ユニ ッ ト は、 ネ ッ ト ワー ク イ ン タ フ ェ ースの設定か ら 、 イ ン タ フ ェ ースの IP ア ド レ ス を取得 し ます。 詳 細については、 89 ページの 「イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 [Encryption Algorithm] 以下のいずれかの対称キー暗号化アルゴ リ ズムを選択 し ます。 NULL ― 暗号化アルゴ リ ズムを使用 し ません。 DES (Digital Encryption Standard) ― 56 ビ ッ ト キー を使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 3DES ― プ レ ー ン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 AES128 - 128 ビ ッ ト キー を使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES192 - 192 ビ ッ ト キー を使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム AES256 - 256 ビ ッ ト キー を使用する、 128 ビ ッ ト ブ ロ ッ ク CBC (Cipher Block Chaining) アルゴ リ ズム 注記 : 暗号化お よ び認証に使用 さ れる アルゴ リ ズムは、両方を NULL に設定す る こ と はで き ません。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN イ ン タ ーネ ッ ト ブ ラ ウジ ング [Encryption Key] 暗号化アルゴ リ ズムに適する暗号化キー を入力 し ます。 ・ DES を選択 し た場合は、 16 字の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 ・ 3DES を選択 し た場合は、 48 字の 16 進数 (0 ~ 9、 a ~ f) を、 3 つの 16 文字セ グ メ ン ト に分けて入力 し ます。 ・ AES128 を選択 し た場合は、 32 字の 16 進数 (0 ~ 9、 a ~ f) を、 2 つの 16 文字 セグ メ ン ト に分けて入力 し ます。 ・ AES192 を選択 し た場合は、 48 字の 16 進数 (0 ~ 9、 a ~ f) を、 3 つの 16 文字 セグ メ ン ト に分けて入力 し ます。 ・ AES256 を選択 し た場合は、 64 字の 16 進数 (0 ~ 9、 a ~ f) を、 4 つの 16 文字 セグ メ ン ト 分けて入力 し ます。 [Authentication Algorithm] 以下のいずれかの メ ッ セージ ダ イ ジ ェ ス ト を選択 し ます。 NULL― メ ッ セージ ダ イ ジ ェ ス ト を使用 し ません。 MD5 (Message Digest 5) ― 128 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成す る ア ルゴ リ ズム。 SHA1 ― Secure Hash Algorithm 1。 160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成 し ます。 SHA256 ― Secure Hash Algorithm 2。 256 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生 成 し ます。 注記 : 暗号化お よ び認証に使用 さ れる アルゴ リ ズムは、両方を NULL に設定す る こ と はで き ません。 [Authentication Key] 認証アルゴ リ ズムに適す る認証キー を入力 し ます。 ・ MD5 を選択 し た場合は、 32 字の 16 進数 (0 ~ 9、 a ~ f) を、 2 つの 16 文字セ グ メ ン ト に分けて入力 し ます。 ・ SHA1 を選択 し た場合は、 40 字の 16 進数を、 2 つの 16 文字セグ メ ン ト お よび 1 つの 8 文字セグ メ ン ト の、 3 つのセグ メ ン ト に分けて入力 し ます。 ・ SHA256 を選択 し た場合は、 64 字の 16 進数を、 4 つの 16 文字セグ メ ン ト に分 けて入力 し ます。 ダ イ ジ ェ ス ト の入力範囲は、 0 ~ 9、 お よび a ~ f です。 [IPSec Interface Mode] VPN ト ン ネルのロ ー カ ル エ ン ド に仮想 イ ン タ フ ェ ース を作成 し ます。 こ のチ ェ ッ ク ボ ッ ク ス を オ ン にする と ルー ト ベース VPN を作成 し 、 オ フ にする と ポ リ シー ベース VPN を作成 し ます。 こ のオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 インターネット ブラウジング 適切な フ ァ イ アウ ォ ールポ リ シーを使用する こ と によ り 、 VPN ユーザの FortiGate ユニ ッ ト 経 由に よ る イ ン タ ーネ ッ ト 閲覧が可能にな り ます。 必要なポ リ シーは、 ポ リ シーベース VPN と ルー ト ベース VPN で異な り ます。詳細については、268 ページの 「 フ ァ イ アウ ォ ール ポ リ シー の設定」 を参照 し て く だ さ い。 コンセントレータ ハブ ア ン ド スポー クの構成では、 多数の リ モー ト ピ アへのポ リ シー ベース VPN 接続は、 中央 にあ る単一の FortiGate ユニ ッ ト か ら放射状に広が り ます。 リ モー ト ピ ア同士のサイ ト 間接続 は存在 し ませんが、 ハブ FortiGate ユニ ッ ト を経由する こ と で、 任意の 2 つの リ モー ト ピ ア間 に VPN ト ンネルを確立で き ます。 ハブ ア ン ド スポー ク ネ ッ ト ワー ク では、 VPN ト ン ネルはすべてハブが終端 と な り ます。 ハブ に接続する ピ アは 「スポー ク 」 と 呼ばれます。 ハブは、 ネ ッ ト ワー クの コ ン セ ン ト レー タ と し て機能 し 、 スポー ク間のすべての VPN 接続を管理 し ます。 VPN ト ラ フ ィ ッ ク は、 ハブ を介 し て 1 つの ト ン ネルか ら別の ト ン ネルへ と 進みます。 ハブ ア ン ド スポー ク設定にスポー ク が含まれる よ う に、 コ ン セ ン ト レー タ を定義 し ます。 コ ン セ ン ト レ ー タ を作成す る には、 [VPN]、 [IPSec]、 [Concentrator] の順に選択 し ます。 コ ン セ ン ト レー タ の設定では、 IPSec ハブ ア ン ド スポー ク 設定に加え る スポー ク を指定 し ます。 [Concentrator] ページ こ のページには、 スポー ク か ら 構成 さ れる コ ン セ ン ト レ ー タ が一覧表示 さ れます。 こ のページ では、 コ ン セ ン ト レ ー タ を編集、 削除、 ま たは新規作成で き ます。 [Create New] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPSec ハブ ア ン ド スポー ク 設定の新 し い コ ン セ ン ト レ ー タ を定義 し ます。 詳細に ついては、 422 ページの 「VPN のモ ニ タ 」 を参照 し て く だ さ い。 421 VPN のモニ タ IPsec VPN [Concentrator Name] 既存の IPsec VPN コ ン セ ン ト レ ー タ の名前。 [Members] コ ン セ ン ト レ ー タ と 関連付け ら れる ト ン ネル。 削除アイコン リ ス ト か ら コ ン セ ン ト レ ー タ を削除す る と き選択 し ます。 編集アイコン コ ン セ ン ト レ ー タ の設定を編集する と き選択 し ます。 [New VPN Concentrator] こ こ では、 IPsec ト ン ネル ( メ ンバ と 呼ばれる ) か ら 構成 さ れる コ ン セ ン ト レ ー タ を設定で き ます。 [Concentrator Name] コ ン セ ン ト レ ー タ の名前を入力 し ます。 [Available Tunnels] 定義済みの IPSec VPN ト ン ネルの リ ス ト 。 こ の リ ス ト か ら ト ン ネルを選択 し 、右 向きの矢印を ク リ ッ ク し ます。 こ の手順を繰 り 返 し 、 スポー ク に関連付け ら れる すべての ト ン ネルを、 コ ン セ ン ト レ ー タ に加え ます。 [Members] コ ン セ ン ト レ ー タ の メ ンバであ る ト ン ネルの リ ス ト 。コ ン セ ン ト レ ー タ か ら ト ン ネルを削除する には、 ト ン ネルを選択 し 左向 きの矢印を ク リ ッ ク し ます。 VPN のモニタ IPSec モ ニ タ を使用する こ と によ り 、 IPSec VPN ト ン ネルの活動を表示 し 、 それ らの ト ンネル を開始または停止で き ます。 モ ニ タ リ ス ト には、 ト ンネル モー ド およびルー ト ベース ( イ ン タ フ ェ ース モー ド ) ト ンネルを含む、 ア ク テ ィ ブ なすべての ト ン ネルの、 ア ド レ ス、 プ ロキシ ID、 タ イムアウ ト な どの情報が表示 さ れます。 ダ イヤルア ッ プ VPN の場合、 モ ニ タ リ ス ト には、 ダ イヤルア ッ プ ク ラ イ ア ン ト に よ り 確立 さ れた VPN ト ンネルについての、 IP ア ド レ スな どのステー タ ス情報が表示 さ れます。 リ ス ト に 表示 さ れる ト ン ネルの数は、 ダ イ ヤルア ッ プ ク ラ イ ア ン ト の接続お よび接続切断に応 じ て変 わる可能性があ り ます。 ス タ テ ィ ッ ク IP またはダ イ ナ ミ ッ ク DNS VPN の場合、 モニ タ リ ス ト には、 IP ア ド レ ス また は ド メ イ ン名を持つ リ モー ト ピ アに対する VPN ト ンネルについての、ス テー タ スおよび IP ア ド レ ッ シ ング情報、 ア ク テ ィ ブ または非ア ク テ ィ ブの状態が表示 さ れます。 また、 リ ス ト か ら 個々の ト ンネルを開始または停止で き ます。 フ ィ ル タ を使用する こ と によ り 、 リ ス ト にどの情報を表示するかを調整で き ます。 詳細につい ては、 32 ページの 「Web ベース マネージ ャ リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 [Monitor] ページ こ のページには、 現在モ ニ タ さ れている IPSec VPN が一覧表示 さ れます。 IPSec VPN の表示を、 Dialup ま たは Static or Dynamic DNS に切 り 替え る こ と がで き ます。 [Type] リ ス ト に表示する VPN の種類を、 [All]、 [Dialup]、 ま たは [Static IP or Dynamic DNS] か ら 選択 し ます。 [Column Settings] テーブルの表示を カ ス タ マ イ ズ し ます。 カ ラ ムの表示、 非表示を選択 し 、 テーブル内 のカ ラ ムの表示順序を指定で き ます。 詳細については、 34 ページの 「表示 さ れる カ ラ ムの カ ラ ム設定を使用 し た制御」 お よび 35 ページの 「」 を参照 し て く だ さ い。 [Clear All Filters] 適用 さ れている カ ラ ム表示 フ ィ ル タ を すべて解除す る と き選択 し ます。 ページ コント ロール 表示 さ れている リ ス ト 項目の現在のページ番号。 左右の矢印を選択 し 、 モ ニ タ さ れる VPN の最初、 前、 次、 ま たは最後のページ を表示 し ます。 フィルタ アイコ 指定 し た条件に応 じ て IPsec モ ニ タ リ ス ト を フ ィ ル タ 処理または並べ替え る ための、 カ ラ ム フ ィ ル タ を編集 し ます。 詳細については、 32 ページの 「Web ベース マネージ ャ ン リ ス ト への フ ィ ル タ の追加」 を参照 し て く だ さ い。 422 [Name] VPN の フ ェ ーズ 1 設定の名前。 [Type] [Type] フ ィ ール ド で [All] を選択 し た と き表示 さ れます。 [Remote Gateway] リ モー ト ホ ス ト デバ イ スのパブ リ ッ ク IP ア ド レ ス。 ま たは、 リ モー ト ホ ス ト の前に NAT デバ イ スがあ る場合は、 NAT デバ イ スのパブ リ ッ ク IP ア ド レ ス。 [Remote Port] リ モー ト ホ ス ト デバ イ スの UDP ポー ト 。 ま たは、 リ モー ト ホス ト の前に NAT デバ イ スがあ る場合は、 NAT デバイ スの UDP ポー ト 。 ゼロ (0) は、 どのポー ト も 使用 さ れ る こ と を示 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク IPsec VPN VPN のモニ タ [Proxy ID Source] FortiGate ユニ ッ ト の背後にあ る ホ ス ト 、 サーバ、 ま たはプ ラ イ ベー ト ネ ッ ト ワー ク の IP ア ド レ ス。 フ ァ イ ア ウ ォ ール暗号化ポ リ シーの送信元ア ド レ スが IP ア ド レ スの 範囲 と し て表 さ れる場合は、 ページにネ ッ ト ワー ク 範囲が表示 さ れます。 [Proxy ID Destination] FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト に よ り ト ン ネルが確立 さ れる場合、 次の表示 にな り ます。 ・ VIP ア ド レ スが使用 さ れない場合、 [Proxy ID Destination] フ ィ ール ド には、 リ モー ト ホ ス ト のネ ッ ト ワー ク イ ン タ フ ェ ース カ ー ド (NIC) のパブ リ ッ ク IP ア ド レ ス が表示 さ れます。 ・ VIP ア ド レ ス を ( 手動ま たは FortiGate の DHCP リ レ ーに よ り ) 設定 し た場合、[Proxy ID Destination] フ ィ ール ド には、 FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト に属する VIP ア ド レ ス、 ま たは VIP ア ド レ スが指定 さ れたサブ ネ ッ ト ア ド レ スのいずれか が表示 さ れます。 FortiGate のダ イ ヤルア ッ プ ク ラ イ ア ン ト に よ り ト ン ネルが確立 さ れる場合、[Proxy ID Destination] フ ィ ール ド には、リ モー ト プ ラ イ ベー ト ネ ッ ト ワー ク の IP ア ド レ スが表 示 さ れます。 [Status] 緑の矢印は、 現在 ト ン ネルが ト ラ フ ィ ッ ク を処理 し てい る こ と を意味 し ます。 こ れを 選択する と 、 ト ン ネルが停止 し ます。 赤の矢印は、 ト ン ネルが ト ラ フ ィ ッ ク を処理 し ていない こ と を意味 し ます。 こ れを選 択する と 、 ト ン ネルが開始 し ます。 [Reset Statistics] ページに表示 さ れてい る現在の統計を リ セ ッ ト する と き選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 423 VPN のモニ タ 424 IPsec VPN FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク PPTP VPN FortiGate Web ベース マネージ ャ によ る PPTP 設定 PPTP VPN FortiGate ユニ ッ ト では、 2 つの VPN ピ ア間で PPP ト ラ フ ィ ッ ク を ト ン ネ リ ングする ための、 PPTP がサポー ト さ れます。 Windows または Linux の PPTP ク ラ イ ア ン ト は、 PPTP サーバ と し て機能する よ う に設定 さ れた FortiGate ユニ ッ ト と の間に、PPTP ト ン ネルを確立で き ます。 ま たは、FortiGate ユニ ッ ト の背後にあ るネ ッ ト ワー ク上の PPTP サーバに PPTP パケ ッ ト を転送 する よ う に、 FortiGate ユニ ッ ト を設定する こ と も可能です。 PPTP VPN は、 NAT/ ルー ト モー ド でのみ使用で き ます。 現時点では、 PPTP セ ッ シ ョ ンの最 大数は 254 です。FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、バー チ ャル ド メ イ ン ご と に VPN PPTP を個別に設定する必要があ り ます。詳細については、73 ペー ジの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト を PPTP ゲー ト ウ ェ イ と し て使用する場合は、 ロー カル ア ド レ ス範囲か ら PPTP ク ラ イ ア ン ト IP を選択するか、 または PPTP ユーザ グループ で定義 さ れたサーバを使 用で き ます。 IP ア ド レ ス を取得する ために使用する方法を選択 し 、 ユーザ グループ サーバの 場合は、 IP ア ド レ スお よびユーザ グループ を指定 し ます。 こ の項では、 PPTP ク ラ イ ア ン ト の IP ア ド レ ス範囲を指定する方法、 または ト ン ネルのセ ッ ト ア ッ プ で使用する ク ラ イ ア ン ト 側 IP ア ド レ ス を設定する方法について説明 し ます。PPTP VPN を セ ッ ト ア ッ プするための他の設定方法については、 『FortiGate PPTP VPN ユーザ ガ イ ド 』 を 参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ FortiGate Web ベース マネージ ャ によ る PPTP 設定 ・ CLI コ マ ン ド に よ る PPTP 設定 注記 : FortiGate Web ベース マネージ ャ では、PPTP 機能はデ フ ォル ト で無効に設定 さ れて います。 PPTP ト ン ネルを設定するには、 カ ス タ ムの FortiGate 画面を作成 し ます。 FortiGate Web ベース マネージャによる PPTP 設定 PPTP ト ン ネルを設定す る には、 Web ベース マネージ ャ で カ ス タ ム画面を作成 し ます。 Web ベース マネージ ャの [Categories] 見出 し 下に表示 さ れる [Additional] カ テ ゴ リ の 1 つに、[PPTP Range] タ ブがあ り ます。 PPTP には、 ト ンネルの各端に 1 つずつ、 IP ア ド レ スが必要です。 PPTP ア ド レ ス範囲は、 リ モー ト PPTP ク ラ イ ア ン ト 用に予約 さ れたア ド レ スの範囲です。 リ モー ト PPTP ク ラ イ ア ン ト が接続を確立する と 、 FortiGate ユニ ッ ト は、 予約 さ れた IP ア ド レ ス範囲か ら IP ア ド レ ス を ク ラ イ ア ン ト PPTP イ ン タ フ ェ ースに割 り 当て るか、または割 り 当て られた IP ア ド レ ス を PPTP ユーザ グループから 取得 し ます。 PPTP ユーザ グループ を使用する場合は、 FortiGate ユニ ッ ト の IP ア ド レ ス を [Local IP] (Web ベース マネージ ャ ) または local-ip (CLI) に入力 し 、 ト ン ネルの FortiGate 側端を定義する必要があ り ます。PPTP ク ラ イ ア ン ト は接続中、割 り 当て ら れた IP ア ド レ ス を送信元ア ド レ ス と し て使用 し ます。 PPTP を有効に し て、 PPTP ア ド レ ス範囲を指定するか、 または PPTP ク ラ イ ア ン ト 側で ピ ア の リ モー ト IP の IP ア ド レ ス を指定するには、 Web ベース マネージ ャ で カ ス タ ム画面を表示 し 、 必要に応 じ てオプ シ ョ ン を選択 し て、 [Apply] を選択 し ます。 注記 : PPTP ア ド レ ス範囲での開始および終了 IP は、た と えば 192.168.1.1 ~ 192.168.1.254 のよ う に、 同 じ 24 ビ ッ ト サブネ ッ ト に含まれる必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 425 CLI コ マ ン ド によ る PPTP 設定 PPTP VPN [Enable PPTP] PPTP を有効に し ます。 こ のオ プ シ ョ ン を選択する前に、 ユーザ グループ を 追加する必要があ り ます。 詳 し く は、 457 ページの 「ユーザ グループ」 を参 照 し て く だ さ い。 [IP Mode] PPTP ユーザに IP ア ド レ ス を割 り 当て る方法を選択 し ます。 [Range] ユーザの IP ア ド レ スは、[Starting IP] お よ び [Ending IP] の フ ィ ール ド に指定 さ れる IP ア ド レ ス範囲か ら 割 り 当て ら れます。 [User Group] ユーザの IP ア ド レ スは、 ユーザの認証に使用 さ れるユーザ グループ に よ っ て割 り 当て ら れ ま す。 そのユーザ グルー プ を 選択 し ま す。 詳 し く は、 461 ページの「ユーザ グループから の動的な VPN ク ラ イ ア ン ト IP ア ド レ ス割 り 当て」 を参照 し て く だ さ い。 [Starting IP] 予約する IP ア ド レ ス範囲の開始ア ド レ ス を入力 し ます。 [Ending IP] 予約する IP ア ド レ ス範囲の終了ア ド レ ス を入力 し ます。 [Local IP] PPTP ク ラ イ ア ン ト 側で ピ アの リ モー ト IP に使用す る IP ア ド レ ス を入力 し ます。 [User Group] リ ス ト か ら PPTP ユーザ グループ を選択 し ます。 [Disable PPTP] PPTP サポー ト を無効にす る場合に選択 し ます。 CLI コマンドによる PPTP 設定 FortiGate Web ベース マネージ ャ で カ ス タ ム画面を設定 し ない こ と が望ま し い場合は、 CLI を 使用 し て PPTP ト ンネルを設定で き ます。 構文 config vpn pptp set eip <address_ipv4> set ip-mode {range | usrgrp} set local-ip <address_localip> set sip <address_ipv4> set status {disable | enable} set usrgrp <group_name> end 426 変数 説明 デフォルト eip <address_ipv4> PPTP ア ド レ ス範囲の終了ア ド レ ス。 0.0.0.0 ip-mode {range | usrgrp} range 次のいずれかを選択 し ます。 range - sipおよ びeipに よ り 設定 さ れるIPア ド レ ス 範囲か ら 、 ユーザ IP ア ド レ ス を割 り 当て ます。 usrgrp - ユーザの認証に使用す る ユーザ グルー プ か ら IP ア ド レ ス を取得 し ます。 usrgrp で、 ユーザ グループ を選択 し ます。 local-ip <address_localip> PPTP ク ラ イ ア ン ト 側で ピ アの リ モー ト IP に使用す る 0.0.0.0 IP ア ド レ ス を入力 し ます。 sip <address_ipv4> PPTP IP ア ド レ ス範囲の開始ア ド レ ス。 0.0.0.0 status {disable | enable} PPTP VPN を有効ま たは無効に設定 し ます。 disable usrgrp <group_name> ip-mode を usrgrp に設定す る と き、キーワー ド を利 Null 用で き ます。 PPTP ク ラ イ ア ン ト を 認証す る ためのユーザ グルー プ名 を 入力 し ます。 こ こ でユーザ グループ を指定す る には、 事前にユーザ グループ を FortiGate 設定に加 え る必要があ り ます。 eip <address_ipv4> PPTP ア ド レ ス範囲の終了ア ド レ ス。 0.0.0.0 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク SSL VPN SSL VPN の概要 SSL VPN こ の項では、 [SSL VPN] メ ニ ュ ーの基本的な設定について説明 し ます。 SSL VPN の詳 し い設定 方法、 お よ びその他の一般的な情報については、 『FortiOS ハン ド ブ ッ ク 』 の 「FortiGate SSL VPN」 の章を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に VPN SSL を個別に設定 し ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの 使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ SSL VPN の概要 Config ・ ポー タ ル ・ 仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン制御 ・ ホス ト チ ェ ッ ク ・ SSL VPN モニ タ リ ス ト 注記 : iPhone または iPod touch 用の Fortinet SSL VPN App を使用する と 、FortiGate ユニ ッ ト の SSL VPN に直接接続で き ます。 こ の App では、 Web モー ド のア ク セスのみがサポー ト さ れます。 また こ の App によ っ て、 ユーザ定義のブ ッ ク マー ク を追加、 編集、 または削除 で き ます。 SSL VPN の概要 SSL (Secure Sockets Layer) VPN は、 標準の Web ブ ラ ウザ と と も に利用可能な VPN の一種で す。 SSL VPN では、 エ ン ド ユーザの コ ン ピ ュ ー タ に専用の ク ラ イ ア ン ト ソ フ ト ウ ェ ア を イ ン ス ト ールす る必要はな く 、 Web ベー スの電子 メ ール、 企業お よ び行政機関のデ ィ レ ク ト リ 、 フ ァ イル共有、 リ モー ト バ ッ ク ア ッ プ、 リ モー ト シ ス テム管理、 コ ン シ ュ ーマ向け電子商取 引な どのア プ リ ケーシ ョ ンに適 し ています。 SSL VPN には、 以下の 2 種類の機能モー ド があ り ます (NAT/ ルー ト モー ド でのみサポー ト )。 ・ Web 専用モー ド 。 Web ブ ラ ウザのみを と も な う リ モー ト のシ ン ク ラ イ ア ン ト 向け。 ・ ト ン ネル モー ド 。 各種の ク ラ イ ア ン ト / サーバ ア プ リ ケーシ ョ ン を実行する リ モー ト コ ン ピ ュ ー タ 向け。 FortiGate ユニ ッ ト が Web 専用モー ド でサービ ス を実行する場合は、 FortiGate ユニ ッ ト の SSL VPN セキ ュ リ テ ィ お よび Web ブ ラ ウザの SSL セキ ュ リ テ ィ に よ り 、 リ モー ト ク ラ イ ア ン ト お よび FortiGate ユニ ッ ト 間にセキ ュ ア な接続が確立 さ れます。 FortiGate ユニ ッ ト と の接続が確 立する と 、 Web ポー タ ルか ら 選択 さ れたサービ スお よびネ ッ ト ワー ク リ ソ ースにア ク セス で き ます。 FortiGateSSL VPN Web ポー タ ルには、 表示形式のカ ス タ マ イ ズが可能なウ ィ ジ ェ ッ ト が、 所定のレ イ アウ ト で表示 さ れます。 各ウ ィ ジ ェ ッ ト は、 1 列または 2 列の配置で表示 さ れ、 設定の変更、 ウ ィ ジ ェ ッ ト ウ ィ ン ド ウの最小化な ど、 ウ ィ ジ ェ ッ ト の表示内容に応 じ て 設定お よび表示を調整で き ます。 ユーザが各自の コ ン ピ ュ ー タ の完全な管理者権限を持ち、 さ ま ざ ま なア プ リ ケーシ ョ ン を実行 する場合、 ト ン ネル モー ド を使用する こ と で、 あたか も リ モー ト ク ラ イ ア ン ト が直接ネ ッ ト ワー ク に接続 さ れてい るかのよ う に、 リ モー ト ク ラ イ ア ン ト か ら ロー カルの内部ネ ッ ト ワー クへのア ク セスが可能 と な り ます。 基本的な設定手順 FortiGate の SSL VPN テ ク ノ ロ ジ を最も 効果的に設定す るには、 以下の基本的な設定手順に従 います。 以下の手順は、 必ず記述 さ れてい る順序で行 っ て く だ さ い。 手順の間に別の設定作業 を行 う と 、 設定結果が異な る原因にな り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 427 Config SSL VPN 1 SSL VPN 接続を有効に し て、 SSL VPN 構成をサポー ト する ために必要な基本オプ シ ョ ン を設定 し ます。 2 Web ポー タ ルを作成 し 、 ネ ッ ト ワー ク リ ソ ースへのユーザ ア ク セス を定義 し ます。 異な るユーザ グループへの異な る種類のア ク セス を可能にする場合は、 複数の Web ポー タ ル を作成する必要があ り ます。 3 リ モー ト ク ラ イ ア ン ト のユーザ ア カ ウン ト を作成 し ます。 SSL VPN ユーザ グループ を作 成 し 、 それ ら のグループ を Web ポー タ ルまたは作成 し たポー タ ル と 関連付けます。 ユー ザを、 適切な SSL VPN ユーザ グループに割 り 当てます。 4 フ ァ イ アウ ォ ール ポ リ シー、 お よび VPN モー ド 機能のサポー ト に必要な残 り のパラ メ ー タ を設定 し ます。 5 ト ン ネルモー ド を使用する場合は、 ト ン ネルモー ド の ク ラ イ ア ン ト パケ ッ ト が SSL VPN イ ン タ フ ェ ースに確実に届 く よ う にルーテ ィ ングを加えます。 6 オ プ シ ョ ン で、 SSL VPN イ ベン ト ロギング パ ラ メ ー タ を定義 し 、 ア ク テ ィ ブ な SSL VPN セ ッ シ ョ ン を監視 し ます。 ト ラ ブルシ ュ ーテ ィ ングについては、 『FortiOS ハン ド ブ ッ ク』 の 「SSL VPN」 の章を参照 し て く だ さ い。 ssl.root FortiGate ユニ ッ ト には、 ssl.<vdom 名 > で表 さ れる仮想 SSL VPN イ ン タ フ ェ ースがあ り ます。 フ ァ イ アウ ォ ール ポ リ シー イ ン タ フ ェ ース リ ス ト およびス タ テ ィ ッ ク ルー ト イ ン タ フ ェ ー ス リ ス ト には、 ssl.root と い う ルー ト VDOM が表示 さ れます。 ssl-root イ ン タ フ ェ ース を使用 する こ と で、 他のネ ッ ト ワー ク へのア ク セスが可能 と な り 、 ネ ッ ト ワー ク に接続 し たユーザが FortiGate ユニ ッ ト 経由で容易に イ ン タ ーネ ッ ト を閲覧で き る よ う にな り ます。 SSL VPN ト ンネルモー ド のア ク セスには、 以下の フ ァ イ アウ ォ ール ポ リ シーが必要です。 ・ External > Internal の フ ァ イ アウ ォ ール ポ リ シー、 [Action] を [SSL] に設定 し 、 ユーザ グ ループ を加えます。 ・ ssl.root > Internal の フ ァ イ アウ ォ ール ポ リ シー、 [Action] を [Accept] に設定 し ます。 ・ Internal > ssl.root の フ ァ イ アウ ォ ール ポ リ シー、 [Action] を [Accept] に設定 し ます。 また SSL VPN ト ンネル モー ド のア ク セスには、 新 し いス タ テ ィ ッ ク ルー ト と し て、 宛先ネ ッ ト ワー ク ・ <ssl ト ンネルモー ド によ り 割 り 当て ら れる範囲>イ ン タ フ ェ ースssl.rootが必要です。 SSL VPN ト ンネル経由でのイ ン タ ーネ ッ ト ア ク セス を設定するには、 [Action] を [Accept] お よび NAT を有効に設定 し た Internal > ssl.root の フ ァ イ アウ ォ ール ポ リ シー設定を追加する必 要があ り ます。 Config こ こ では、 タ イムアウ ト の値お よび SSL 暗号化な ど、 SSL VPN の基本的な設定について説明 し ます。 必要に応 じ て、 デジ タ ル証明書を使用 し て リ モー ト ク ラ イ ア ン ト 認証を行 う よ う に 設定で き ます。 SSL VPN を設定する には、 [VPN]、 [SSL]、 [Config] の順に選択 し ます。 注記 : 必要に応 じ て、 FortiGate の CLI コ マ ン ド か ら、 SSL バージ ョ ン 2 暗号化を有効に ( 旧バージ ョ ンのブ ラ ウザ と の互換性のため ) 設定で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の ssl settings コ マ ン ド を参照 し て く だ さ い。 [SSL-VPN Settings] ページ こ のページには、 SSL-VPN の設定が含まれています。 ま た、 DNS およ び WINS サーバの詳細な設定 も 行 う こ と がで き ます。 [Enable SSL VPN] 428 こ のオ プ シ ョ ン を オ ン にす る と 、 SSL VPN 接続を有効に設定 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク SSL VPN ポー タ ル [IP Pools] [Edit] を選択す る と 、 ト ン ネルモー ド SSL VPN ク ラ イ ア ン ト に予約 さ れて い る IP ア ド レ ス範囲を表す、 範囲ま たはサブ ネ ッ ト フ ァ イ アウ ォ ール ア ド レ ス を選択で き ます。 適切な ア ド レ スがない場合は、 [Firewall]、 [Address] の順に選択 し 、 ア ド レ ス を作成 し ます。 すべての (all) フ ァ イ アウ ォ ール ア ド レ ス ま たは FQDN フ ァ イ アウ ォ ール ア ド レ スは、追加で き ません。 また、 すべての (all) フ ァ イ アウ ォ ール ア ド レ ス ま たは FQDN ア ド レ ス を含むア ド レ ス グループ も 、 追加で き ません。 [Server Certificate] 認証に使用す る 署名済みサーバ証明書 を 選択 し ま す。 デ フ ォ ル ト の設定 ([Self-Signed]) を使用す る場合は、FortiGate ユニ ッ ト 出荷時に導入 さ れてい る フ ォ ーテ ィ ネ ッ ト に よ る ( 自己署名済み ) 証明書が、ネ ッ ト ワー ク に接続 す る リ モー ト ク ラ イ ア ン ト にユニ ッ ト か ら 提供 さ れます。 [Require Client Certificate] リ モー ト ク ラ イ ア ン ト の認証にグループ証明書を使用で き る よ う にする に は、 こ のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 設定以後、 リ モー ト ク ラ イ ア ン ト が接続を開始する と 、 FortiGate ユニ ッ ト は ク ラ イ ア ン ト に対 し 、 認証 プ ロ セ スの一部 と し て ク ラ イ ア ン ト 側の証明書を要求 し ます。 [Encryption Key Algorithm] リ モー ト ク ラ イ ア ン ト のWeb ブ ラ ウザ と FortiGate ユニ ッ ト と の間にセキ ュ ア な SSL コ ネ ク シ ョ ン を確立す る ためのアルゴ リ ズムを選択 し ます。 [Default - RC4(128 bits) リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが 128 ビ ッ ト 以上の暗号ス イ ー ト に 対応で き る場合は、 こ のオ プ シ ョ ン を選択 し ます。 and higher] [High - AES(128/256 bits) and 3DES] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが高度な SSL 暗号化に対応で き る場 合は、 こ のオ プ シ ョ ン を選択 し て、 128 ビ ッ ト を超え る ビ ッ ト 数でデー タ を 暗号化する暗号ス イ ー ト を有効に し ます。 [Low - RC4(64 bits), DES リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザでサポー ト さ れる SSL 暗号化のレ ベ ルが分か ら ない場合は、 こ のオ プ シ ョ ン を選択 し て、 64 ビ ッ ト 以上の暗号 and higher] ス イ ー ト を有効に し ます。 [Idle Timeout] シ ス テムがユーザ を強制的に再 ロ グ イ ン さ せる前に、 コ ネ ク シ ョ ンがア イ ド ル状態のま ま でい ら れる時間 (秒単位) を入力 し ます。範囲は 10 ~ 28,800 秒です。 ア イ ド ル接続の タ イ ムア ウ ト を設定 し ない場合は、 値を 0 に設定 で き ます。 こ の設定は、 SSL VPN セ ッ シ ョ ン に適用 さ れます。 Web ア プ リ ケ ー シ ョ ン の セ ッ シ ョ ン ま た は ト ン ネ ルが 活 動 し て い る 場 合、 イ ン タ フ ェ ースは タ イ ムアウ ト し ません。 [Advanced (DNS and WINS Servers)] [DNS Server #1] [DNS Server #2] ク ラ イ ア ン ト が使用で き る DNS サーバを 2 台ま で入力 し ます。 [WINS Server #1] [WINS Server #2] ク ラ イ ア ン ト が使用で き る WINS サーバを 2 台ま で入力 し ます。 ポータル SSL VPN Service ポー タ ルを使用する こ と によ り 、 Web ブ ラ ウザか ら セキ ュ ア なチ ャ ネルを経 由 し て、 ネ ッ ト ワー ク リ ソ ースにア ク セスで き ます。 FortiGate の管理者は、 シ ステム ユーザ のロ グ イ ン権限を設定 し 、 さ ら に HTTP/HTTPS、 telnet、 FTP、 SMB/CIFS、 VNC、 RDP、 およ び SSH な ど、 ユーザが利用可能なネ ッ ト ワー ク リ ソ ース を指定で き ます。 シ ス テム ユーザが FortiGate にログ イ ン し た と き開 く 画面の内容は、 Web ポー タ ルの設定に応 じ て表示 さ れます。 シ ス テム管理者およびシ ス テム ユーザの両者 と も 、 SSL VPN ポー タ ルを カ ス タ マ イ ズで き ます。 Web ポー タ ルには、 デ フ ォ ル ト で 3 種類の定義済みの設定があ り ます。 ・ ・ [full-access]。 ユーザが利用可能な、 [Session Information]、 [Connection Tool]、 [Bookmarks]、 および [Tunnel Mode] の全ウ ィ ジ ェ ッ ト が含まれます。 [tunnel-access]。 [Session Information] ウ ィ ジ ェ ッ ト および [Tunnel Mode] ウ ィ ジ ェ ッ ト が含 まれます。 ・ [web-access]。 [Session Information] ウ ィ ジ ェ ッ ト お よび [Bookmarks] ウ ィ ジ ェ ッ ト が含ま れます。 また、 [VPN]、 [SSL]、 [Portal] の順に選択 し 、 独自の Web ポー タ ルの作成 も 選択で き ます。 こ の ト ピ ッ ク には、 以下の項目が含まれています。 ・ ポー タ ルの設定 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 429 ポー タ ル SSL VPN ・ ポー タ ル ウ ィ ジ ェ ッ ト [Portal] ページ こ のページには、 作成済みの Web ポー タ ルお よびデ フ ォ ル ト の Web ポー タ ルが一覧表示 さ れます。 こ の ページ では、 Web ポー タ ルを編集、 削除、 ま たは新規作成で き ます。 必要に応 じ て、 デ フ ォ ル ト の Web ポー タ ル も 編集で き ます。 [Create New] [Create New] を選択す る と 、画面が [Portal Settings] ページに自動的に移動 し ます。 編集アイコン デ フ ォ ル ト ま たは作成済みの Web ポー タ ルを編集す る場合に選択 し ます。[Edit] を 選択する と 、 画面が [Portal Settings] ページに自動的に移動 し ます。 削除アイコン [Portal] ページか ら Web ポー タ ルを削除する と き選択 し ます。 [Name] Web ポー タ ルの名前。 ポータル設定ページ こ のページには、 [SSL VPN Service] ページの設定が含まれています。 設定ウィンドウ こ の ウ ィ ン ド ウ で は、 [SSL VPN Service] ポ ー タ ル ペ ー ジ の設 定が、 [General]、 [Virtual Desktop ]、 およ び [Security Control] の各 タ ブ に含まれています。 こ のウ ィ ン ド ウは、 [Settings] を 選択 し た と き表示 さ れます。 ま た、 [Create New] を選択 し て [Portal Settings] ページの画面に自動的に移動する際に も 表示 さ れます。 詳細に ついては、 430 ページの 「ポー タ ルの設定」 を参照 し て く だ さ い。 [OK] 設定を保存す る場合に選択 し ます。 [OK] を選択す る と 、 SSL VPN Web ポー タ ル設 定ウ ィ ン ド ウが閉 じ ます。 [Cancel] 変更を保存せずに設定ウ ィ ン ド ウ を閉 じ る と き選択 し ます。 [Apply] Web ポー タ ル設定の変更 を 適用す る と き選択 し ます。 [Apply] を 選択 し た場合は、 ポー タ ル設定ウ ィ ン ド ウは閉 じ ません。 [Settings] SSL VPN Web ポー タ ルの設定を編集する と き選択 し ます。 詳 し く は、 429 ページの 「ポー タ ル」 を参照 し て く だ さ い。 [Widgets] [SSL VPN Service] ページに表示 さ れる ウ ィ ジ ェ ッ ト 。 [Add Widgets] ド ロ ッ プ ダウ ン リ ス ト か ら ウ ィ ジ ェ ッ ト を追加で き ます。 詳細については、 432 ページの 「ポー タ ル ウ ィ ジ ェ ッ ト 」 を参照 し て く だ さ い。 [Add Widget] ページに新 し いウ ィ ジ ェ ッ ト を追加する場合に選択 し ます。 [Session Information] ユーザのロ グ イ ン名、 ユーザのロ グ イ ン以降の経過時間、 HTTP お よび HTTPS の 送 受信 ト ラ フ ィ ッ ク を 表 示 し ま す。 詳 細 に つ い て は、 432 ペ ー ジ の 「Session Information」 を参照 し て く だ さ い。 [Bookmarks] 設定 さ れてい る ブ ッ ク マー ク が表示 さ れます。 ま た、 新 し いブ ッ ク マー ク の追加、 お よ び 既 存 ブ ッ ク マ ー ク の 編 集 が 可 能 で す。 詳 細 に つ い て は、 432 ペ ー ジ の 「Bookmarks」 を参照 し て く だ さ い。 [Connection Tool] 接続ツール ア プ リ ケーシ ョ ン / サーバの URL ま たは IP ア ド レ ス を入力 し ます ([Connection Tool] の設定時に選択 )。[Type] を [Ping] に設定する こ と で、FortiGate ユニ ッ ト 背後にあ る ネ ッ ト ワー ク 上のホ ス ト ま たはサーバ と の接続 を チ ェ ッ ク で き ます。 詳細については、 433 ページの 「Connection Tool」 を参照 し て く だ さ い。 [Tunnel Mode] ト ン ネル情報お よ びユーザ モー ド のア ク シ ョ ンが表示 さ れます。 管理者は、 ス プ リ ッ ト ト ン ネ リ ン グ オ プ シ ョ ン を設定で き ます。 詳細については、 433 ページの 「Tunnel Mode」 を参照 し て く だ さ い。 ポータルの設定 W e b ポー タ ルでは、 SSL VPN ユーザによ る、 HTTP/HTTPS、 telnet および SSH な どのネ ッ ト ワー ク リ ソ ースへのア ク セス を定義 し ます。SSL VPN ユーザが FortiGate にログ イ ンする と きの画面の内容は、 Web ポー タ ルの設定に応 じ て表示 さ れます。 FortiGate 管理者お よび SSL VPN ユーザの両者 と も 、 Web ポー タ ルの設定を カ ス タ マ イズで き ます。 ポー タ ルを設定するに は、 [VPN]、 [SSL]、 [Portal] の順に選択 し ます。 設定 ウ ィ ン ド ウ で は、 Web ポ ー タ ルの設定項目が、 [General]、 [Virtual Desktop ]、 [Security control] の各 タ ブに含まれています。 430 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク SSL VPN ポー タ ル Windows XP および Windows Vista ク ラ イ ア ン ト PC で利用可能な [Virtual Desktop] オプ シ ョ ン を設定する こ と に よ り 、SSL VPNセ ッ シ ョ ン を ク ラ イ ア ン ト コ ン ピ ュ ー タ の通常のデス ク ト ッ プ環境か ら 完全に隔離で き ます。 キ ャ ッ シ ュ さ れるユーザの認証情報、 ブ ラ ウザ履歴、 Cookie、 一時 フ ァ イル、 セ ッ シ ョ ン中に作成 さ れるユーザ フ ァ イルな ど、 すべてのデー タ が暗号化 さ れます。 SSL VPN セ ッ シ ョ ンが正常に終了す る と 、 フ ァ イルは削除 さ れます。 何 ら かの異常 が原因でセ ッ シ ョ ンが終了 し た場合は、 フ ァ イルは削除 さ れない場合があ り ますが、 それ ら は 暗号化 さ れてお り 情報は保護 さ れます。 仮想デス ク ト ッ プが有効な状態でユーザが SSL VPN セ ッ シ ョ ン を開始する と 、 ユーザの通常 のデス ク ト ッ プが仮想デス ク ト ッ プに入れ替わ り ます。 仮想デス ク ト ッ プが終了する と 、 ユー ザの通常のデス ク ト ッ プに戻 り ます。 仮想デス ク ト ッ プには、 フ ォ ーテ ィ ネ ッ ト のホス ト チ ェ ッ ク プ ラ グ イ ンが必要です。 プ ラ グ イ ンがない場合は、 ク ラ イ ア ン ト コ ン ピ ュ ー タ に自動的にダウン ロー ド さ れます。 セキ ュ リ テ ィ 制御オプ シ ョ ンに よ り 、 キ ャ ッ シ ュの消去、 お よび Web ポー タ ルの ク ラ イ ア ン ト に対する ホス ト チ ェ ッ ク を実行で き ます。キ ャ ッ シ ュ消去を実行する と 、SSL VPN セ ッ シ ョ ン終了の直前に、 ク ラ イ ア ン ト のブ ラ ウザ キ ャ ッ シ ュ情報が消去 さ れます。 キ ャ ッ シ ュ が消 去 さ れるのは、 セ ッ シ ョ ンが正常に終了する場合に限 ら れます。 セ ッ シ ョ ンが停電な ど何 ら か の異常が原因で終了する場合は、 キ ャ ッ シ ュは消去 さ れません。 ホス ト チ ェ ッ ク を実行する と 、 ア ン チウ イルス または フ ァ イ アウ ォ ール ソ フ ト ウ ェ ア を、 ク ラ イ ア ン ト に強制的に使用 さ せま す。 Windows Security Center に よ っ て認識 さ れ る セキ ュ リ テ ィ ソ フ ト ウ ェ アのチ ェ ッ ク が、 各 ク ラ イ ア ン ト に対 し て行われます。 ま たは、 カ ス タ ムの ホ ス ト チ ェ ッ ク を作成 し 、 ホ ス ト チ ェ ッ ク リ ス ト で選択 さ れてい る特定のセキ ュ リ テ ィ ソ フ ト ウ ェ ア を検索する こ と も可能です。ホス ト チ ェ ッ ク リ ス ト を表示するには、[VPN]、[SSL]、 [Host Check] の順に選択 し ます。 詳 し く は、 434 ページの 「ホス ト チ ェ ッ ク」 を参照 し て く だ さ い。 設定ウィンドウ こ のウ ィ ン ド ウには、 特定の設定項目 を含む [General]、 [Virtual desktop]、 [Security control] タ ブが表示 さ れます。 [OK] を選択す る と 、 こ れ ら の設定が [Portal Settings] ページの表示に反映 さ れます。 た と え ば、 通常のカ ラ ー スキームに [Orange] を指定 し [OK] を選択す る と 、 ウ ィ ジ ェ ッ ト お よびページの表示 にその カ ラ ー スキームが適用 さ れます。 [General] タブ カ ラ ー スキームな ど、 ページの一般的な設定。 [Name] Web ポー タ ル設定の名前を入力 し ます。 [Applications] サーバ ア プ リ ケーシ ョ ン ま たは ク ラ イ ア ン ト が使用可能なネ ッ ト ワー ク サービ スの略称を選択 し ます。 [Portal Message] Web ポー タ ル ホーム ページの上部に表示 さ れるキ ャ プ シ ョ ン を入力 し ま す。 [Theme] Webポー タ ル ホーム ページの カ ラ ー スキームを、リ ス ト か ら 選択 し ます。 [Page Layout] Web ポー タ ル ホーム ページの表示レ イ アウ ト を、 1 列ま たは 2 列か ら 選 択 し ます。 [Redirect URL] Web ポー タ ル ホーム ページ を表示す る と 、ポ ッ プ ア ッ プ ウ ィ ン ド ウに別 の HTML ページが表示 さ れる よ う に設定で き ます。 こ の HTML ページの URL を入力 し ます。 [Virtual Desktop] タブ [Enable Virtual Desktop] こ の タ ブ では、 仮想デ ス ク ト ッ プ と 通常デ ス ク ト ッ プ の切 り 替 え な ど、 ユーザが利用な仮想デス ク ト ッ プのオプ シ ョ ン を、有効ま たは無効に設定 で き ます。 こ のオ プ シ ョ ン を オ ン にする と 、仮想デス ク ト ッ プ機能を有効に設定 し ま す。 [Allow switching between こ のオ プ シ ョ ン を オ ン にする と 、ユーザに よ る仮想デス ク ト ッ プ と 通常デ virtual desktop and regular ス ク ト ッ プの切 り 替えが可能にな り ます。 desktop] [Allow clipboard contents to be shared with regular desktop] こ のオ プ シ ョ ン を オ ン にする と 、 通常デス ク ト ッ プの使用中に、 ユーザが ク リ ッ プボー ド 内のデー タ にア ク セ ス で き ます。 [Allow use of removable media] こ のオ プ シ ョ ン を オ ン にする と 、 ユーザが リ ムーバブル メ デ ィ ア を 使用 で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 431 ポー タ ル SSL VPN [Allow network share access] こ のオ プ シ ョ ン を オ ン にする と 、ユーザが共有ネ ッ ト ワー ク にア ク セ ス で き ます。 [Allow printing] こ のオ プ シ ョ ン を オ ン にする と 、ユーザが仮想デス ク ト ッ プか ら 印刷を実 行で き ます。 [Quit the virtual desktop and logout session when browser is closed] こ のオ プ シ ョ ン を オ ン にする と 、 ブ ラ ウザの終了時に、 仮想デス ク ト ッ プ を終了 し て実行中のセ ッ シ ョ ンか ら ユーザを ロ グアウ ト し ます。 [Application Control List] ド ロ ッ プ ダウ ン リ ス ト か ら 、仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト を選択 し ます。 [Security Control] タブ Web ポー タ ルのセキ ュ リ テ ィ 設定が含まれています。 [Clean Cache] こ のオ プ シ ョ ン を選択する と 、SSL VPN セ ッ シ ョ ン終了の直前に、 リ モー ト ク ラ イ ア ン ト コ ン ピ ュ ー タ に残る情報がFortiGateユニ ッ ト に よ っ て削 除 さ れます。 [Host Check] こ のオ プ シ ョ ン を選択する と 、 ホ ス ト チ ェ ッ ク を有効に し ます。 [Interval] ホス ト チ ェ ッ ク を繰 り 返す頻度を入力 し ます。 [Policy] 検索す る 特定のホ ス ト チ ェ ッ ク ソ フ ト ウ ェ ア を 選択 し ま す。 こ のオ プ シ ョ ンは、 [Host Check] で [Custom] を選択 し た場合のみ表示 さ れます。 ポータル ウィジェット ユーザが Web ポー タ ルを開 く と 、ポー タ ル内に配置 さ れてい るポー タ ル ウ ィ ジ ェ ッ ト に、様々 な設定情報および選択項目が表示 さ れます。 こ れ ら の設定情報には、 Web URL ブ ッ ク マー ク、 またはネ ッ ト ワー ク リ ソ ースへの接続な どが含まれます。 Web ポー タ ルに ト ンネル ア ク セス が含まれる場合は、 [Tunnel Mode] ウ ィ ジ ェ ッ ト を利用 し て、 IP ア ド レ スが割 り 当て られる ト ン ネル モー ド ク ラ イ ア ン ト の数を設定 し 、 ス プ リ ッ ト ト ン ネ リ ングを有効に設定で き ます。 編集アイコン ウ ィ ジ ェ ッ ト に表示 さ れる情報を編集する場合に選択 し ます。 [OK] [Session Information] の設定を保存す る場合に選択 し ます。 [Cancel] 変更を保存せずに [Session Information] ウ ィ ジ ェ ッ ト を閉 じ る場合に選択 し ます。 [Name] [Session Information] ウ ィ ジ ェ ッ ト の名前 を カ ス タ マ イ ズす る と き、 その 名前を入力 し ます。 ウィジェット削除アイ ウ ィ ジ ェ ッ ト を閉 じ て、 Web ポー タ ル ホーム ページか ら そのウ ィ ジ ェ ッ ト 削除す る場合に選択 し ます。 コン (x マーク ) Session Information [Session Information] ウ ィ ジ ェ ッ ト には、 ユーザのロ グ イ ン名、 ユーザのロ グ イ ン以降の経過 時間、 HTTP お よび HTTPS の送受信 ト ラ フ ィ ッ ク統計が表示 さ れます。 Bookmarks [Bookmark] ウ ィ ジ ェ ッ ト は、 ネ ッ ト ワー ク 上の特定 リ ソ ースへの リ ン ク に使用 し ます。 ブ ッ ク マー ク リ ス ト か ら ブ ッ ク マー ク を選択する と 、ポ ッ プ ア ッ プ ウ ィ ン ド ウが開き、要求 し た Web ページが表示 さ れます。 Telnet、 VNC、 お よび RDP では、 いずれ も ポ ッ プ ア ッ プ ウ ィ ン ド ウ が開き ますが、 こ れ ら のウ ィ ン ド ウにはブ ラ ウザ プ ラ グ イ ンが必要です。 FTP お よび Samba は、 ブ ッ ク マー ク ページ を HTML フ ァ イルブ ラ ウザに置き換え ます。 432 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク SSL VPN 仮想デス ク ト ッ プ アプ リ ケーシ ョ ン制御 Web ブ ッ ク マー ク には、 SSL VPN ユーザを Web サイ ト に自動的にログ イ ン さ せる ための、 ロ グ イ ン認証情報を加え る こ と がで き ます。 こ れによ り 、 ユーザが SSL VPN に一度ログ イ ン し た後は、 そのユーザは認証情報を入力する こ と な く 、 設定済みの Web サイ ト を閲覧で き ます。 管理者がブ ッ ク マー ク を設定する と き、 Web サイ ト の認証情報はユーザの SSL VPN 認証情報 と 同一である必要があ り ます。 各自のブ ッ ク マー ク を設定するユーザは、 Web サイ ト 用に別の 認証情報を指定で き ます。 Connection Tool [Connection Tool] ウ ィ ジ ェ ッ ト を使用する こ と で、ブ ッ ク マー ク リ ス ト にブ ッ ク マー ク を加え る こ と な く 、 ネ ッ ト ワー ク リ ソ ースに接続で き ます。 リ ソ ースの種類を選択 し 、 ホス ト コ ン ピ ュ ー タ の URL または IP ア ド レ ス を指定 し ます。 Tunnel Mode Web ポー タ ルか ら ト ン ネル モ ー ド の ア ク セ ス を 提供す る 場合は、 必ず [Tunnel Mode] ウ ィ ジ ェ ッ ト を設定 し ます。 こ の設定に よ り 、 ト ンネル モー ド ク ラ イ ア ン ト に IP ア ド レ スがどの よ う に割 り 当て ら れるかが指定 さ れます。 ま た、 ス プ リ ッ ト ト ン ネ リ ン グ設定を有効にす る こ と で、 FortiGate ユニ ッ ト 背後にあ るネ ッ ト ワー クの ト ラ フ ィ ッ ク のみが VPN に よ っ て転送 さ れる よ う に設定で き ます。ユーザが扱 う 他の ト ラ フ ィ ッ クは、通常のルー ト で転送 さ れます。 仮想デスクトップ アプリケーション制御 仮想デス ク ト ッ プ上でユーザがどのア プ リ ケーシ ョ ン を実行で き るかを、制御する こ と がで き ます。 こ の制御を行 う ために、 許可ま たはブ ロ ッ ク さ れる ア プ リ ケーシ ョ ンの リ ス ト を作成 し 、 仮想デス ク ト ッ プの設定時に リ ス ト か ら ア プ リ ケーシ ョ ン を選択 し ます。 こ の設定を行 う には、 [VPN]、 [SSL]、 [Virtual Desktop Application Control] の順に選択 し ます。 [Virtual Desktop Application] ページ こ のページには、 作成済みの仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト が一覧表示 さ れます。 こ のペー ジ では、 仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト を編集、 削除、 ま たは新規作成で き ます。 [Create New] [Create New] を 選 択 す る と 、 画面が [Virtual Desktop Application Settings] ページに自動的に移動 し ます。 [Name] 仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン制御 リ ス ト の名前。 [Action] 仮想デ ス ク ト ッ プ ア プ リ ケ ー シ ョ ン 制御 リ ス ト ご と に設定 さ れ る ア ク シ ョ ン。 [Block the applications on this list and allow all others] ( この リ ス ト に含まれ る ア プ リ ケーシ ョ ン を ブ ロ ッ ク し 、 他のア プ リ ケーシ ョ ン をすべて許可す る) ま たは、 [Allow the applications on this list and block all others] ( こ の リ ス ト に含まれる ア プ リ ケーシ ョ ン を許可 し 、 他のア プ リ ケーシ ョ ン をすべて ブ ロ ッ ク す る ) を選択 し ます。 編集アイコン 編集 ア イ コ ン を 選択す る と 、 画面が [Virtual Desktop Application Settings] ページに自動的に移動 し ます。 削除アイコン ア プ リ ケーシ ョ ン制御 リ ス ト を削除 し ます。 クローン アイコン ア プ リ ケーシ ョ ン制御 リ ス ト の コ ピー を作成 し ます。 コ ピ ー し た リ ス ト を 編集 し 、 新規のア プ リ ケーシ ョ ン制御 リ ス ト を作成で き ます。 [Virtual Desktop Application Settings] ページ こ のページ では、複数のア プ リ ケーシ ョ ン を含む仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト を設定で き ます。 ブ ロ ッ ク す る ア プ リ ケーシ ョ ン ま たは許可す る ア プ リ ケーシ ョ ンの、 いずれの リ ス ト も 設定で き ます。 [Name] 仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト の名前を入力 し ます。 [Allow the applications on the こ のオプ シ ョ ン を選択す る と 、 こ の リ ス ト に含まれる ア プ リ ケーシ ョ ン を 許可 し 、 他のア プ リ ケーシ ョ ン を すべて ブ ロ ッ ク し ます。 list and block all others] [Block the application on the こ のオプ シ ョ ン を選択す る と 、 こ の リ ス ト に含まれる ア プ リ ケーシ ョ ン を ブ ロ ッ ク し 、 他のア プ リ ケーシ ョ ン を すべて許可 し ます。 list and allow all others] FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 433 ホス ト チ ェ ッ ク SSL VPN [Create New] 仮想デス ク ト ッ プ ア プ リ ケーシ ョ ン リ ス ト にア プ リ ケーシ ョ ン を加え る と き選択 し ます。 [Create New] を選択する と 、 [Application Signatures] ウ ィ ン ド ウが開き ます。 編集アイコン リ ス ト 内のア プ リ ケーシ ョ ン設定を変更する と き選択 し ます。 削除アイコン リ ス ト か ら ア プ リ ケーシ ョ ン を削除す る と き選択 し ます。 [Applications] ア プ リ ケーシ ョ ンの名前。 [Application Signatures] ページ [Name] ア プ リ ケーシ ョ ンの名前を入力 し ます。 こ の名前は、 ア プ リ ケーシ ョ ンの 正式名 と 一致する必要はあ り ません。 [MD5 Signatures (one per line)] ア プ リ ケーシ ョ ンの実行可能 フ ァ イ ルの MD5 シ グネチ ャ を入力 し ます。複 数のシグネチ ャ を入力す る場合は、 必ずシグネチ ャ ご と に改行 し て入力 し ます。 サー ド パーテ ィ のユーテ ィ リ テ ィ を使用 し 、 フ ァ イルの MD5 シグ ネチ ャ ま たは MD5 ハ ッ シ ュ を計算で き ます。 複数の MD5 シグネチ ャ を入力する こ と に よ り 、 ア プ リ ケーシ ョ ンの複数 バージ ョ ン と の一致が容易にな り ます。 ホスト チェック Web ポー タ ルの [Security Control] タ ブ設定で、 [AV]、 [FW]、 または [AV-FW] ホス ト チ ェ ッ ク を有効にす る と 、 Windows Security Center に よ っ て認識 さ れる セキ ュ リ テ ィ ソ フ ト ウ ェ アの チ ェ ッ クが ク ラ イ ア ン ト ご と に行われます。 あるいは、 カ ス タ ムのホス ト チ ェ ッ ク を作成 し 、 ホス ト チ ェ ッ ク リ ス ト で選択 さ れている セキ ュ リ テ ィ ソ フ ト ウ ェ ア を検索で き ます。 詳細に ついては、 430 ページの 「ポー タ ルの設定」 を参照 し て く だ さ い。 ホス ト チ ェ ッ ク リ ス ト には、 多数のセキ ュ リ テ ィ ソ フ ト ウ ェ ア製品がデ フ ォ ル ト のエ ン ト リ と し て含まれています。 [Host Check] ページ こ のページ には、 Web ポー タ ルのホ ス ト チ ェ ッ ク のために作成 し たホス ト チ ェ ッ ク リ ス ト が一覧表示 さ れます。 こ のページ では、 ホ ス ト チ ェ ッ ク リ ス ト を編集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し いア プ リ ケーシ ョ ン を、 ホ ス ト チ ェ ッ ク リ ス ト に追加 し ます。 [Name] ホ ス ト チ ェ ッ ク リ ス ト に追加す る ア プ リ ケーシ ョ ンの名前。 名前は、 実際のア プ リ ケーシ ョ ン名 と 一致する必要はあ り ません。 [Type] ホ ス ト チ ェ ッ ク ア プ リ ケーシ ョ ンの種類。 AV はア ン チウ イルス、 FW は フ ァ イ ア ウ ォ ールを表 し ます。 [Version] ホ ス ト チ ェ ッ ク ア プ リ ケーシ ョ ンのバージ ョ ン。 編集アイコン 既存のホ ス ト チ ェ ッ ク ア プ リ ケーシ ョ ン横にあ る 編集 ア イ コ ン を 選択す る と 、 ホ ス ト チ ェ ッ ク ア プ リ ケーシ ョ ン を編集で き ます。 削除アイコン ホ ス ト チ ェ ッ ク ア プ リ ケーシ ョ ン を削除 し ます。 [Host Check Software] ページ こ のページには、ア プ リ ケーシ ョ ン と それ ら のチ ェ ッ ク 方法を表示する ホ ス ト チ ェ ッ ク リ ス ト を設定す る ための項目が含まれています。 434 [Name] ホ ス ト チ ェ ッ ク リ ス ト の名前を入力 し ます。 [Type] ホ ス ト チ ェ ッ ク の種類を、 [AV] または [FW] か ら選択 し ます。 [GUID] ホ ス ト チ ェ ッ ク ア ッ プ リ ケーシ ョ ンの GUID ( グ ローバル一意識別子 ) を入力 し ま す。 GUID は通常、 xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx の形式で使用 さ れ、 x はい ずれ も 16 進数にな り ます。 Windows では GUID を使用 し て Windows レ ジ ス ト リ 内の ア プ リ ケーシ ョ ン を識別 し ます。 [Version] ソ フ ト ウ ェ アのバージ ョ ン を入力 し ます。 [Create New] 新 し いチ ェ ッ ク ア イ テム を作成 し リ ス ト に追加す る と き選択 し ます。 [Create New] を選択す る と 、 [Check Item] ウ ィ ン ド ウが開き ます。 編集アイコン ホ ス ト チ ェ ッ ク の設定を変更す る と き選択 し ます。 削除アイコン リ ス ト 内のチ ェ ッ ク ア イ テムを削除する と き選択 し ます。 # 各ア イ テムが表示 さ れる順序。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク SSL VPN SSL VPN モニ タ リ ス ト [Target] 選択 し た タ ーゲ ッ ト の種類。 [Type] 選択 し たチ ェ ッ ク の種類。 [Action] 選択 し たア ク シ ョ ンの種類。 [Check Item] ページ [Type] ア プ リ ケーシ ョ ンのチ ェ ッ ク 方法を選択 し ます。 [Action] 次のいずれかを選択 し ます。 [Require] - チ ェ ッ ク 対象が検出 さ れる場合、 ク ラ イ ア ン ト はチ ェ ッ ク ア イ テムの 条件を満た し ています。 [Deny] - チ ェ ッ ク 対象が検出 さ れ る場合、 ク ラ イ ア ン ト はチ ェ ッ ク ア イ テムの条 件を満た さ ない と 見な さ れます。 特定のセキ ュ リ テ ィ 製品の使用を避け る必要があ る場合は、 こ のオプ シ ョ ン を使用 し ます。 [File/Path] フ ァ イ ル名お よ びパス を入力 し ます。 [Process] ア プ リ ケーシ ョ ンの実行可能 フ ァ イ ルの名前を入力 し ます。[Process] を選択する場 合は、 1 つ以上の MD5 シ グネチ ャ を [MD5 Signatures] フ ィ ール ド に入力す る必要が あ り ます。 サー ド パーテ ィ のユーテ ィ リ テ ィ を使用 し 、 フ ァ イ ルの MD5 シグネチ ャ ま たは MD5 ハ ッ シ ュ を計算で き ます。 [Registery] ア プ リ ケーシ ョ ンのレ ジ ス ト リ 番号を入力 し ます。 [Version] ア プ リ ケーシ ョ ンのバージ ョ ン を入力 し ます。 [MD5 Signatures (one per line)] ア プ リ ケーシ ョ ンの実行可能 フ ァ イ ルの MD5 シ グネチ ャ を入力 し ます。複数のシグ ネチ ャ を入力す る場合は、 必ずシ グネチ ャ ご と に改行 し て入力 し ます。 サー ド パー テ ィ のユーテ ィ リ テ ィ を使用 し 、 フ ァ イルの MD5 シ グネチ ャ または MD5 ハ ッ シ ュ を計算で き ます。 複数の MD5 シグネチ ャ を入力す る こ と に よ り 、ア プ リ ケーシ ョ ンの複数バージ ョ ン と の一致が容易に な り ます。 SSL VPN モニタ リスト ア ク テ ィ ブ なすべての SSL VPN セ ッ シ ョ ンの リ ス ト を表示で き ます。 リ ス ト には、 リ モー ト ユーザのユーザ名、 リ モー ト ク ラ イ ア ン ト の IP ア ド レ ス、 接続が開始 さ れた時間が表示 さ れ ます。 また、 提供 さ れているサービ ス を表示 し 、 ア ク テ ィ ブ な Web または ト ン ネルのセ ッ シ ョ ン を FortiGate ユニ ッ ト か ら削除で き ます。 詳細については、 427 ページの 「SSL VPN」 を参照 し て く だ さ い。 [Monitor] ページ こ のページには、 現在モ ニ タ さ れてい る SSL VPN セ ッ シ ョ ンが一覧表示 さ れます。 こ のペー ジ では、 現在モ ニ タ 中の SSL VPN セ ッ シ ョ ン を削除で き ます。 [No.] 接続の識別番号。 [User] 接続 さ れている すべての リ モー ト ユーザのユーザ名。 [Source IP] FortiGate ユニ ッ ト に接続 さ れてい る ホス ト デバイ スの IP ア ド レ ス。 [Begin Time] 各接続の開始時間。 [Description] SSL VPN ト ン ネル サブ セ ッ シ ョ ンの場合、 ク ラ イ ア ン ト に割 り 当て ら れ た ト ン ネル IP ア ド レ スが表示 さ れます。 [Action] 現在の SSL VPN ト ン ネル セ ッ シ ョ ン ま たはサブ セ ッ シ ョ ン に適用する ア ク シ ョ ン を選択 し ます。 削除アイコン 現在のセ ッ シ ョ ン ま たはサブ セ ッ シ ョ ン を削除 し ます。 ・ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 435 SSL VPN モニ タ リ ス ト 436 SSL VPN FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク WAN 最適化および Web キ ャ ッ シ ュ WAN 最適化の設定 WAN 最適化および Web キャッシュ FortiGate WAN 最適化お よび Web キ ャ ッ シ ュ を使用する こ と によ り 、 WAN (wide area network) 上のサイ ト 同士、 またはイ ン タ ーネ ッ ト か ら Web サーバを通過する ト ラ フ ィ ッ クのパ フ ォ ー マ ン スお よ びセキ ュ リ テ ィ を強化で き ます。 こ の項では、 FortiGate WAN 最適化お よ び Web キ ャ ッ シ ュの概要、 および こ れ らの設定方法について説明 し ます。 WAN 最適化は、 一部の FortiGate モデルでのみ利用で き ます。 サポー ト 対象のモデル、 および FortiGate WAN 最適化、 Web キ ャ ッ シ ュの詳細な説明については、 『FortiGate WAN 最適化、 Web キ ャ ッ シ ュ、 および Web プ ロキシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と に WAN 最適化を利用で き ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ンの使 用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ WAN 最適化の設定 ・ WAN 最適化ルールの設定 ・ WAN 最適化 ピ アの設定 ・ 認証グループの設定 ・ WAN 最適化のモ ニ タ リ ング ・ Web キ ャ ッ シ ュ設定の変更 WAN 最適化の設定 WAN 最適化ルール リ ス ト には、 WAN 最適化ルールが照合の優先順に表示 さ れます。 FortiGate ユニ ッ ト で、 バーチ ャル ド メ イ ンが有効に設定 さ れている場合は、 各バーチ ャル ド メ イ ン ご と に個別の WAN 最適化ルールを設定 し ますが、 ルールを設定するにはまずバーチ ャ ル ド メ イ ン に ア ク セ ス す る 必要が あ り ま す。 バ ー チ ャ ル ド メ イ ン に ア ク セ ス す る には、 [System]、 [VDOM] の順に選択 し 、 ポ リ シー を設定す るバーチ ャ ル ド メ イ ンに該当す る行で、 [Enter] を選択 し ます。 バーチ ャ ル ド メ イ ン を有効に設定す る方法については、 77 ページの 「バーチ ャル ド メ イ ンの有効化」 を参照 し て く だ さ い。 ルール リ ス ト では、 ルールを追加、 削除、 編集 し 、 さ ら に並べ替え る こ と がで き ます。 WAN 最適化ルールの順序は、 ト ラ フ ィ ッ ク と ルールの照合に密接に関係 し てい ます。 ルール リ ス ト 内でルールを並べ替え る手順については、 438 ページの 「ルール リ ス ト 内のルール位置の移 動」 を参照 し て く だ さ い。 WAN 最適化ルール リ ス ト を表示するには、 [WAN Opt. & Cache]、 [Rule]、 [Rule] の順に選択 し ます。 WAN 最適化ルール を 追加す る前に、 最適化す る ト ラ フ ィ ッ ク を 許可す る ための、 フ ァ イ ア ウ ォ ール ポ リ シーを追加する必要があ り ます。 さ ら に、 以下のよ う な WAN 最適化ルールを追 加 し ます。 ・ 最適化 さ れる WAN ト ラ フ ィ ッ ク と 一致するルール。 こ の WAN ト ラ フ ィ ッ ク は、 送信元お よ び宛先のア ド レ スお よ び ト ラ フ ィ ッ ク の宛先ポー ト に基づ き、 フ ァ イ ア ウ ォ ール ポ リ シーで許可 さ れる ト ラ フ ィ ッ ク です。 ・ ト ラ フ ィ ッ ク に適用 さ れる WAN 最適化テ ク ニ ッ ク を追加するルール。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 437 WAN 最適化の設定 WAN 最適化および Web キ ャ ッ シ ュ [Rule] ページ こ のページには、 作成済みの WAN 最適化ルールが一覧表示 さ れます。 こ のページ では、 WAN 最適化ルー ルを編集、 削除、 ま たは新規作成で き ます。 ま た、 リ ス ト 中で WAN 最適化ルールを挿入または移動で き ます。 [Create New] 新 し い WAN 最適化ルールを追加 し ます。 新 し いルールは、 リ ス ト の下部に追加 さ れ ます。 [Status] チ ェ ッ ク ボ ッ ク ス を オ ン にす る と ルール を 有効に設定 し 、 オ フ にす る と ルール を 無 効に設定 し ます。 無効に設定 し たルールは、 適用 さ れません。 [ID] ルールの識別番号。 ルールには、 ルール リ ス ト に追加 さ れた順序で番号が付け ら れ ます。 [Source] ルールに一致する発信元ア ド レ ス ま たはア ド レ ス範囲。詳 し く は、441 ページの「WAN 最適化ア ド レ スについて」 を参照 し て く だ さ い。 [Destination] ルールに一致する宛先ア ド レ ス ま たはア ド レ ス範囲。 詳 し く は、 441 ページの 「WAN 最適化ア ド レ スについて」 を参照 し て く だ さ い。 [Port] ルールに一致する宛先ポー ト 番号ま たはポー ト 番号範囲。 [Method] WAN 最適化ルールで、 バ イ ト キ ャ ッ シ ュ が選択 さ れてい るかど う かを表示 し ます。 [Auto-Detect] ルールがア ク テ ィ ブ ( ク ラ イ ア ン ト ) ルールま たはパ ッ シ ブ ( サーバ ) ルールか、 ま たは Auto-Detect がオ フ かを表示 し ます。 Auto-Detect がオ フ の場合は、 ルールはピ ア ツ ーピ ア ルール、 または Web Cache Only ルールのいずれかにな り ます。 [Protocol] ルールに よ っ て適用 さ れる、 プ ロ ト コ ル最適化の WAN 最適化テ ク ニ ッ ク 。詳 し く は、 『FortiGateWAN 最適化、 Web キ ャ ッ シ ュ、 およ び Web プ ロ キシ ユーザ ガ イ ド 』 を参 照 し て く だ さ い。 [Peer] ピ ア ツ ーピ ア ルールでは、 リ ン ク 別端ピ アの WAN オプ テ ィ マ イザの名前。 [Mode] ルールが、 [Full Optimization] ま たは [Web Cache Only] のいずれを 適用するかを 表示 し ます。 [SSL] ルールに SSL オ フ ロ ー ド が設定 さ れてい るかど う かを表示 し ます。 [Secure Tunnel] ルールが WAN 最適化トンネルを使用するように設定されているかどうかを表示します。 削除アイコン リ ス ト か ら ルールを削除 し ます。 編集アイコン ルールを編集 し ます。 該当ルールの直前 ( 上 ) の行に、 新 し いルールを追加 し ます ([New rule] 画面が表示 [Insert WAN Optimization Rule さ れます )。 Before] 移動アイコン リ ス ト 内 で、 該当ルール を 別のルールの前 ま たは後に移動 し ま す。 詳 し く は、 438 ページの 「ルール リ ス ト 内のルール位置の移動」 を参照 し て く だ さ い。 ルール リスト内のルール位置の移動 ルール と 着信する ト ラ フ ィ ッ ク を照合する順序を、 目的に応 じ て変更する ために、 WAN 最適 化ルール リ ス ト 内のルールを並べ替え る こ と がで き ます。 複数のルールが定義 さ れてい る場 合、 最初に一致するルールが ト ラ フ ィ ッ クのセ ッ シ ョ ンに適用 さ れます。 ルール リ ス ト 内でルールを移動 し て も 、 ルールが作成 さ れた順番を示すポ リ シーの ID は変わ り ません。 WAN 最適化ルール リストでルールを移動するには 1 2 3 4 [WAN Opt & Cache]、 [Rule]、 [Rule] の順に選択 し ます。 ルール リ ス ト で、 移動先 と し て指定する前または後の基準 と な る ID を確認 し ます。 移動するルールの行で、 移動 ア イ コ ン を選択 し ます。 [Before] または [After] を選択 し 、 基準 と な るルール ID を入力 し ます。 入力 し た ID の前 (before) または後 (after) が、 移動先 と な り ます。 こ の設定によ り 、 WAN 最適化ルール リ ス ト 内でルールの新 し い位置が決ま り ます。 5 438 [OK] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク WAN 最適化および Web キ ャ ッ シ ュ WAN 最適化ルールの設定 WAN 最適化ルールの設定 こ の項では、 WAN 最適化ルールのオプ シ ョ ンについて説明 し ます。 WAN 最適化ルールに表示 さ れるオプ シ ョ ンは、 ルールを どのよ う に設定するかに応 じ て異な り ます。 こ の項では、 すべ てのオプ シ ョ ンについて説明 し ます。 WAN 最適化ルールを追加するには、[WAN Opt. & Cache] > [Rule] > [Rule] の順に選択 し 、[Create New] を選択 し ます。 [New WAN Optimization Rule] ページ こ のページ で、 WAN 最適化ルールを設定で き ます。 [Mode] [Full Optimization] を選択する と 、 すべての WAN 最適化機能を適用可能なルールを追加 し ます。 [Web Cache Only] を選択す る と 、 Web キ ャ ッ シ ュ のみを適用す るルールを追加 し ます。 [Web Cache Only] を選択する場合は、ルールの発信元お よび宛先ア ド レ スおよ びポー ト を指定で き ます。 ま た、 [Transparent Mode] お よび [Enable SSL] も 選択で き ます。 [Source] IP ア ド レ スに続いて フ ォ ワー ド ス ラ ッ シ ュ (/)、 次にサブ ネ ッ ト マ ス ク を入力するか、 ま たは IP ア ド レ ス範囲 を ハ イ フ ン で区切 っ て入力 し ま す。 詳 し く は、 441 ペー ジの 「WAN 最適化ア ド レ スについて」 を参照 し て く だ さ い。 この IP アドレスまたはアドレス範囲と一致する IP アドレスが発信元アドレスのヘッダに含まれ るパケットのみが、 このルールによって許可されルールの適用対象となります。 パ ッ シ ブ ルールでは、 サーバ ( パ ッ シ ブ ) 発信元ア ド レ ス範囲が、 一致する ク ラ イ ア ン ト ( ア ク テ ィ ブ ) ルールの発信元ア ド レ ス と 互換性を持つ必要があ り ます。 1 つのパ ッ シ ブ ルールが多数のア ク テ ィ ブ ルール と 一致する には、パ ッ シ ブ ルールの発信元ア ド レ ス範囲にすべてのア ク テ ィ ブ ルールの発信元ア ド レ スが含まれる必要があ り ます。 [Destination] IP ア ド レ スに続いて フ ォ ワー ド ス ラ ッ シ ュ (/)、 次にサブ ネ ッ ト マ ス ク を入力するか、 ま たは IP ア ド レ ス範囲 を ハ イ フ ン で区切 っ て入力 し ま す。 詳 し く は、 441 ペー ジの 「WAN 最適化ア ド レ スについて」 を参照 し て く だ さ い。 こ の IP ア ド レ ス ま たはア ド レ ス範囲 と 一致する IP ア ド レ スが宛先ア ド レ スのヘ ッ ダに 含まれるパケ ッ ト のみが、 こ のルールに よ っ て許可 さ れルールの適用対象 と な り ます。 ヒント : [Web Cache Only] ルールでは、[Destination] を 0.0.0.0 に設定する と、インターネットまたは任意のネットワーク上の Web ページが、ルールによっ てキャッシュされます。 パ ッ シ ブ ルールでは、 サーバ ( パ ッ シ ブ ) 宛先ア ド レ ス範囲が、 一致す る ク ラ イ ア ン ト ( ア ク テ ィ ブ ) ルールの宛先ア ド レ ス と 互換性を持つ必要があ り ます。 1 つのパ ッ シ ブ ルールが多数のア ク テ ィ ブ ルール と 一致す る には、 パ ッ シ ブ ルールの宛先ア ド レ ス範 囲にすべてのア ク テ ィ ブ ルールの宛先ア ド レ スが含まれる必要があ り ます。 [Port] 単一のポー ト 番号ま たはポー ト 番号の範囲を入力 し ます。こ のポー ト 番号ま たはポー ト 番号範囲 と 一致す る宛先ポー ト 番号のパケ ッ ト のみが、 こ のルールに よ っ て許可 さ れ ルールの適用対象 と な り ます。 パ ッ シ ブ ルールでは、 サーバ ( パ ッ シ ブ ) ポー ト 範囲が、 一致する ク ラ イ ア ン ト ( ア ク テ ィ ブ ) ルールのポー ト 範囲 と 互換性を持つ必要があ り ます。1 つのパ ッ シ ブ ルールが 多数のア ク テ ィ ブ ルール と 一致する には、 パ ッ シ ブ ルールのポー ト 範囲にすべてのア ク テ ィ ブ ルールのポー ト 範囲が含まれる必要があ り ます。 [Auto-Detect] こ のオ プ シ ョ ンは、 [Mode] を [Full Optimization] に設定 し た場合のみ利用で き ます。 ルールが、 [Active] ( ク ラ イ ア ン ト ) ルール、 ま たは [Passive] ( サーバ ) ルールか、 ま た は Auto-Detect が [Off] かを指定 し ます。 [Auto-Detect] がオ フ の場合は、 ルールはピ ア ツー ピ ア ルールです。 ・ [Active] ( ク ラ イ ア ン ト ) ルールでは、 こ のルールに よ っ て適用 さ れるすべての WAN 最適化機能を選択す る必要があ り ます。 最適化する プ ロ ト コ ル、 ト ラ ン スペア レ ン ト モー ド 、 バ イ ト キ ャ ッ シ ュ 、 SSL オ フ ロー ド 、 セキ ュ ア ト ン ネル、 認証グルー プ を選択で き ます。 ・ [Passive] ( サーバ ) ルールでは、 ク ラ イ ア ン ト FortiGate ユニ ッ ト 上のア ク テ ィ ブ ルールの設定を使用 し て、 WAN 最適化設定を適用 し ます。 また、 パ ッ シ ブ ルールの Web キ ャ ッ シ ュ を選択で き ます。 ・ [Auto-Detect] が [Off] の場合は、 必要なすべての WAN 最適化機能がルールに含まれ る必要があ り 、 ルールの [Peer] を必ず選択 し ます。 こ のオ プ シ ョ ンは、 こ のルール に よ っ て WAN 最適化 ト ン ネルを こ のピ アのみか ら 開始可能な、 ピ ア ツーピ ア WAN 最適化を設定する場合に選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 439 WAN 最適化ルールの設定 WAN 最適化および Web キ ャ ッ シ ュ [Protocol] こ の オ プ シ ョ ン は、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Off] ま た は [Active] に設定 し た場合のみ利用で き ます。 CIFS、 FTP、 HTTP、 ま たは MAPI のいずれかに プ ロ ト コ ル最適化を適用する場合は、 こ れ ら の プ ロ ト コ ルの い ずれか を 選択 し ま す。 プ ロ ト コ ル最適化の詳細 に つ い て は、 『FortiGateWAN 最適化、 Web キ ャ ッ シ ュ、 お よび Web プ ロキシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 WAN 最適化 ト ン ネルが、 複数のプ ロ ト コ ルを使用す る セ ッ シ ョ ン、 ま たは CIFS、 FTP、 HTTP または MAPI プ ロ ト コ ルを使用 し ないセ ッ シ ョ ン を許可す る場合は、 [TCP] を選 択 し ます。 [Peer] こ のオ プ シ ョ ンは、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Off] に設定 し た 場合のみ利用で き ます。 こ のピ ア ツ ーピ ア WAN 最適化ルールが WAN 最適化 ト ン ネルを開始する側のピ アの、ピ ア ホ ス ト ID を選択 し ます。 ま た、 新 し いピ ア を追加する場合は、 [Create New ...] を選 択 し ます。 [Enable Web Cache] こ の オ プ シ ョ ン は、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Off] ま た は [Passive] に設定 し た場合のみ利用で き ます。 [Auto-Detect] を [Off] に設定 し た場合は、 [Protocol] を必ず [HTTP] に設定 し ます。 こ のオ プ シ ョ ン を オ ン にする と 、 こ のルールに よ っ て許可 さ れた セ ッ シ ョ ン に WAN 最 適化 Web キ ャ ッ シ ュ を適用 し ます。詳 し く は、『FortiGateWAN 最適化、Web キ ャ ッ シ ュ、 お よび Web プ ロキシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Transparent Mode] WAN 最適化の適用後にパケ ッ ト を受信するサーバは、 [Transparent Mode] の設定に応 じ て、 異な る 発信元ア ド レ ス を 認識 し ま す。 こ のオ プ シ ョ ン を 選択で き る のは、 [AutoDetect] を [Active] ま たは [Off] に設定 し てい る場合です。 ま た、 [Web Cache Only] ルー ルで も こ のオプ シ ョ ン を選択で き ます。 こ のオ プ シ ョ ン を オ ン にする と 、パケ ッ ト をサーバに送信する と きパケ ッ ト の元の発信 元ア ド レ スが維持 さ れます。 こ れに よ り サーバは、 ト ラ フ ィ ッ ク を直接 ク ラ イ ア ン ト か ら 受信す るかた ち で機能 し ます。 サーバ ネ ッ ト ワー ク を構成す る際には、 ク ラ イ ア ン ト 発信元 IP ア ド レ ス を持つ ト ラ フ ィ ッ ク のルーテ ィ ン グ を、 サーバ側 FortiGate ユニ ッ ト か ら サーバに、 さ ら にサーバ側 FortiGate ユニ ッ ト に戻る よ う に、 設定する必要があ り ます。 こ のオ プ シ ョ ン を オ ン に し ない場合、 サーバ側 FortiGate ユニ ッ ト は、 サーバに よ り 受 信 さ れるパケ ッ ト の発信元ア ド レ ス を、 パケ ッ ト をサーバに送信する FortiGate ユニ ッ ト イ ン タ フ ェ ースのア ド レ スに変更 し ます。 こ のためサーバは、 パケ ッ ト を サーバ側 FortiGate ユニ ッ ト か ら 受信す るかた ち で機能 し ます。 こ の場合、 ク ラ イ ア ン ト のア ド レ スは扱われないので、 サーバ ネ ッ ト ワー ク 上のルーテ ィ ン グは比較的簡素にな り ま す が、 サ ー バ は す べ て の ト ラ フ ィ ッ ク を、 個 別 の ク ラ イ ア ン ト で は な く サ ー バ 側 FortiGate ユニ ッ ト か ら 送信 さ れる も の と し て認識 し ます。 [Enable Byte Caching] こ の オ プ シ ョ ン は、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Off] ま た は [Active] に設定 し た場合のみ利用で き ます。 [Enable SSL] こ のオ プ シ ョ ンは、 [Auto-Detect] を [Active] ま たは [Off] に設定 し た場合のみ利用で き ます。 こ のオ プ シ ョ ン を オ ン にする と 、HTTPS ト ラ フ ィ ッ ク の SSL オ フ ロー ド を適用 し ます。 SSL オ フ ロー ド を使用する こ と で、 SSL 暗号化お よび復号の負荷を、 1 台以上の HTTP サーバから FortiGate ユニ ッ ト に移す こ と がで き ます。 こ のオ プ シ ョ ン を オ ン にする場 合は、 SSL 暗号化 ト ラ フ ィ ッ ク を許可する よ う にルールを設定する必要があ り 、 た と え ば、 [Port] を 443 に設定する こ と で HTTPS ト ラ フ ィ ッ ク を許可する よ う にルールを設 定 し ます。 SSL オ フ ロ ー ド を 有効 に 設定 す る 場合は、 さ ら に CLI コ マ ン ド config wanopt ssl-server を使用 し て、SSL暗号化/復号の負荷を軽減す る各HTTPサーバのSSLサー バを追加する必要があ り ます。 詳 し く は、 『FortiGateWAN 最適化、 Web キ ャ ッ シ ュ、 お よび Web プ ロキシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 こ のオ プ シ ョ ン を オ ン にする と 、 こ のルールに よ っ て許可 さ れた セ ッ シ ョ ン に WAN 最 適化バイ ト キ ャ ッ シ ュ を適用 し ます。 詳 し く は、 『FortiGateWAN 最適化、 Web キ ャ ッ シ ュ、 およ び Web プ ロ キシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Enable Secure こ の オ プ シ ョ ン は、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Active] ま た は [Off] に設定 し た場合のみ利用で き ます。 Tunnel] [Enable Secure Tunnel] オプ シ ョ ン を オ ン にする場合は、 SSL 暗号化に よ っ て WAN 最適 化 ト ン ネルが暗号化 さ れます。 ま た、 認証グループ をルールに加え る必要があ り ます。 詳 し く は、 『FortiGateWAN 最適化、 Web キ ャ ッ シ ュ、 お よび Web プ ロキシ ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Authentication こ の オ プ シ ョ ン は、 [Mode] を [Full Optimization] に、 [Auto-Detect] を [Active] ま た は [Off] に設定 し た場合のみ利用で き ます。 Group] WAN 最適化 ト ン ネルを開始する前に FortiGate ユニ ッ ト のグループ同士が認証を行 う よ う にす る 場合は、 こ のオ プ シ ョ ン を オ ン に し て、 リ ス ト か ら 認証グルー プ を 選択 し ま す。 ま た、 [Enable Secure Tunnel] オ プ シ ョ ン を オ ン にする場合 も 、 認証グループ を必ず 選択 し ます。 ルールに よ っ て開始 さ れる WAN 最適化 ト ン ネルに参加する両側の FortiGate ユニ ッ ト に、 同一の認証グルー プ を 追加す る 必要があ り ます。 詳細については、 442 ページの 「認証グループの設定」 を参照 し て く だ さ い。 440 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク WAN 最適化および Web キ ャ ッ シ ュ WAN 最適化 ピ アの設定 WAN 最適化アドレスについて WAN 最適化の発信元または宛先ア ド レ スには、 1 つ以上のネ ッ ト ワー ク ア ド レ スが含まれま す。 ネ ッ ト ワー ク ア ド レ スは、 IP ア ド レ ス と ネ ッ ト マス ク、 または IP ア ド レ ス範囲によ っ て 表 さ れます。 ネ ッ ト マス ク を と も な う IP ア ド レ スによ り ホス ト を表す場合、 こ の IP ア ド レ スで 1 つ以上の ホス ト を表す こ と がで き ます。 た と えば、 発信元または宛先ア ド レ スは次のよ う にな り ます。 ・ 192.45.46.45 な どの、 単一の コ ン ピ ュ ー タ ・ ク ラ ス C サブ ネ ッ ト の 192.168.1.0 な どの、 サブネ ッ ト ワー ク ・ 0.0.0.0、 こ れはあ ら ゆる IP ア ド レ スに該当 ネ ッ ト マス ク は、 追加 さ れる ア ド レ スのサブネ ッ ト ク ラ スに対応 し 、 ド ッ ト 区切 り 10 進数ま たは CIDR 形式のいずれかで表す こ と がで き ます。 FortiGate ユニ ッ ト は、 CIDR 形式のネ ッ ト マス ク を ド ッ ト 区切 り 10 進数の形式に自動的に変換 し ます。 た と えば、 次のよ う な形式にな り ます。 ・ 単一 コ ン ピ ュ ー タ のネ ッ ト マス ク : 255.255.255.255、 または /32 ・ ク ラ ス A サブネ ッ ト のネ ッ ト マ ス ク : 255.0.0.0、 または /8 ・ ク ラ ス B サブネ ッ ト のネ ッ ト マス ク : 255.255.0.0、 または /16 ・ ク ラ ス C サブ ネ ッ ト のネ ッ ト マス ク : 255.255.255.0、 または /24 ・ すべての IP ア ド レ ス を含むネ ッ ト マス ク : 0.0.0.0 有効な IP ア ド レ スおよびネ ッ ト マス クの形式には、 以下があ り ます。 ・ x.x.x.x/x.x.x.x (192.168.1.0/255.255.255.0 な ど ) ・ x.x.x.x/x (192.168.1.0/24 な ど ) 注記 : ネ ッ ト マス ク 255.255.255.255 を と も な う IP ア ド レ ス 0.0.0.0 は、 有効な発 信元または宛先ア ド レ スではあ り ません。 IP 範囲によ り ホス ト を表す場合、 その範囲は、 サブネ ッ ト 内の連続する IP ア ド レ ス を持つホ ス ト を示 し 、 192.168.1.[2-10]、 または 192.168.1.* のよ う にな り ます。 こ れによ り 、 そのサブネ ッ ト 上のホス ト の完全な範囲を示 し ます。有効な IP 範囲の形式には、次があ り ます。 ・ x.x.x.x-x.x.x.x (192.168.110.100-192.168.110.120 など ) ・ x.x.x.[x-x] (192.168.110.[100-120] など ) ・ x.x.x.* (192.168.110.* な ど ) WAN 最適化 ピアの設定 WAN 最適化を使用する際に FortiGate ユニ ッ ト を識別する ためのロー カル ホス ト ID を追加 し 、 さ ら に FortiGate ユニ ッ ト に よ る WAN 最適化 ト ンネル作成で使用 さ れる各 FortiGate ユニ ッ ト のピ ア ホス ト ID お よび IP ア ド レ ス を追加する こ と がで き ます。 WAN 最適化のピ ア を設定するには、 [WAN Opt & Cache]、 [Peer]、 [Peer] の順に選択 し ます。 [Peer] ページ こ のページには、 作成済みの WAN 最適化ピ アが一覧表示 さ れます。 [Create New] 新 し い ピ ア を追加 し ます。 [Create New] を選択する と 、 画面が [New WAN Optimization Peer] ページに自動的に移動 し ます。 [Local Host ID] こ のフ ィ ール ド に、 こ の FortiGate ユニ ッ ト のロー カル ホス ト ID を入力 し 、 [Apply] を選択 し ます。 こ の FortiGate ユニ ッ ト を ピ ア と し て別の FortiGate ユニ ッ ト に追加す る場合は、 こ の ID を こ のユニ ッ ト のピ ア ホ ス ト ID と し て使用 し ます。 [Apply] [Local Host ID] に加えた変更を、 FortiGate 設定に保存 し ます。 編集アイコン 既存のピ アの横にあ る 編集 ア イ コ ン を選択する と 、 そのピ ア を編集で き ます。 削除アイコン ピ ア を削除 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 441 認証グループの設定 WAN 最適化および Web キ ャ ッ シ ュ [New WAN Optimization Peer] ページ こ のページ では、 ピ ア ホス ト ID お よびピ アの IP ア ド レ ス を設定で き ます。 [Peer Host ID] ピ ア FortiGate ユニ ッ ト のピ ア ホス ト ID。 こ れは、 ピ ア FortiGate ユニ ッ ト に追加 さ れる ロ ー カ ル ホ ス ト ID です。 [IP Address] FortiGate ユニ ッ ト の IP ア ド レ ス。 通常 こ れは、 WAN に接続 さ れる FortiGate イ ン タ フ ェ ースの IP ア ド レ ス です。 認証グループの設定 WAN 最適化ピ ア同士の認証およびセキ ュ ア ト ンネルをサポー ト する ために、 認証グループ を 加え る必要があ り ます。 認証を実行する ために、 WAN 最適化ピ ア では、 WAN 最適化 ト ン ネルの形成前に、 認証グルー プに追加 さ れた証明書または事前共有キーに基づいて、ピ ア同士で相互の身元確認が行われま す。 双方のピ ア には、 同 じ 名前 と 設定が含まれる認証グルー プが必要です。 ク ラ イ ア ン ト 側 FortiGate ユニ ッ ト 上のピ ア ツーピ ア ルールまたはア ク テ ィ ブ ルールに、 認証グループ を加え ます。 認証グループが追加 さ れた ク ラ イ ア ン ト 側 FortiGate ユニ ッ ト か ら ト ン ネル開始が要求 さ れ、 サーバ側 FortiGate ユニ ッ ト でその要求が受信 さ れる と 、 サーバ側 FortiGate ユニ ッ ト は 同 じ 名前を持つ認証グループ を同ユニ ッ ト の設定から 検索 し ます。両方の認証グループに同 じ 証明書または事前共有キーがあれば、 ピ アは認証を行い ト ンネルを作成で き ます。 認証グループは、 セキ ュ ア ト ン ネルに も 必要です。 セキ ュ ア ト ンネルを設定するには、 両方 のピ アに同 じ 名前 と 設定を と も な う 認証グループが必要です。 ク ラ イ ア ン ト 側の FortiGate ユ ニ ッ ト では、 セキ ュ ア ト ンネルを有効にす るために、 ピ ア ツーピ ア ルールまたはア ク テ ィ ブ ルールの [Enable Secure Tunnel] オ プ シ ョ ン を オ ン にする必要があ り ます。 ク ラ イ ア ン ト 側お よびサーバ側 FortiGate ユニ ッ ト 同士の認証後に、 こ れ らのユニ ッ ト では認証グループに含ま れる事前共有キーまたは証明書に基づ き、 ト ン ネル パケ ッ ト が暗号化および復号化 さ れます。 ト ン ネルの暗号化には、 SSL 暗号化を使用 し ます。 認証グループ を追加するには、 [WAN Opt. & Cache]、 [Peer]、 [Authentication Group] の順に選択 し ます。 [Authentication Group] ページ こ のページには、 作成済みの認証グループが一覧表示 さ れます。 こ のページ では、 認証グループ を編集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し い認証グループ を追加 し ます。 [Name] 認証グループの名前。 [Authentication Method] ト ン ネルの認証に使用す る方法 と し て、 [Certificate] ( お よ び証明書名 ) ま たは [Pre-shared key] が表示 さ れます [Peer(s)] 認証グループに追加 さ れた ピ アのホス ト ID。 認証グループ を WAN 最適化ルール に追加する と 、 こ れ ら の FortiGate ユニ ッ ト に限 り 、 こ の WAN 最適化ルールを使 用す る ための認証が行われます。 [Peer(s)] には、 すべてのピ ア、 FortiGate ユニ ッ ト のピ ア リ ス ト に追加 さ れた ピ ア ( 定義済みピ ア )、 または選択 さ れた ピ アのい ずれかが示 さ れます。 [New Authentication Group] ページ こ のページ では、 認証グループ を設定で き ます。 442 [Name] 認証グループの名前を入力ま たは変更 し ます。認証グループ をルールに追加す る と きは、 こ の名前を選択 し ます。 こ の FortiGate ユニ ッ ト と と も に WAN 最適化 ト ン ネルに参加す る他の FortiGate ユニ ッ ト には、 同 じ 名前の認証グループが必要です。 [Authentication Method] 使用す る認証方法を選択 し ます。 WAN 最 適 化 ト ン ネ ル の 認 証 お よ び 暗 号 化 に 証 明 書 を 使 用 す る 場 合 は、 [Certificate] を選択 し ます。 WAN 最適化 ト ン ネルの認証お よび暗号化に事前共有キーま たはパスワー ド を使 用す る場合は、 [Pre-shared key] を選択 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク WAN 最適化および Web キ ャ ッ シ ュ WAN 最適化のモニ タ リ ング [Certificate] ( リスト こ のオ プ シ ョ ンは、 [Authentication Method] で [Certificate] を 選択 し た場合のみ 利用で き ます。 ) こ の FortiGate ユニ ッ ト に追加 さ れてい る ロ ー カ ル証明書 を 選択 し ま す。 こ の FortiGate ユニ ッ ト と と も に WAN 最適化 ト ン ネルに参加する他の FortiGate ユニ ッ ト には、 同 じ 名前の証明書を と も な う 認証グループが必要です。 ロー カ ル証明書を FortiGate ユニ ッ ト に追加す る には、 [System]、 [Certificates]、 [Local Certificates] の順に選択 し ます。 [Password] こ のオ プ シ ョ ンは、 [Authentication Method] で [Pre-shared key] を 選択 し た場合 のみ利用で き ます。 認証グループに よ っ て使用 さ れるパスワー ド ( または事前共有キー ) を追加 し ま す。こ のFortiGateユニ ッ ト と と も にWAN最適化 ト ン ネルに参加する他のFortiGate ユニ ッ ト には、 同 じ 名前のパスワー ド を と も な う 認証グループが必要です。 こ の鍵には、 印字可能な文字が 6 字以上含まれる必要があ り 、 ネ ッ ト ワー ク 管理 者以外に こ の鍵を知 ら れてはな り ません。既知の攻撃に対 し て最大限の保護を実 施す る ためには、 鍵には ラ ン ダムに選択 し た 16 字以上の英数文字を使用 し て く だ さ い。 [Peer Acceptance] WAN 最適化ピ ア認証のオ プ シ ョ ン と し て、 以下の う ち 1 つま たは複数の項目が 表示 さ れます。 [Accept Any Peer] どのピ ア と も 認証を行います。 こ の認証グループ を使用す る ピ アの ピ ア ホ ス ト ID ま たは ID ア ド レ スが不明の場合に、 こ の設定 を 使用 し ま す。 こ の設定は、 FortiClientア プ リ ケーシ ョ ン を と も な う WAN最適化で、最 も 頻繁に使用 さ れます。 [Accept Defined Peers] FortiGate ユニ ッ ト のピ ア リ ス ト に含まれる どのピ ア と も 認証を行います。 [Specify Peer] 選択 さ れた ピ アのみ と 認証を行います。 こ のオ プ シ ョ ン を選択する場合、 さ ら に こ の認証グループ に追加する ピ ア を選択 し ます。 WAN 最適化のモニタリング WAN 最適化モ ニ タ を使用する こ と によ り 、 WAN 最適化のパ フ ォ ーマ ン ス を表示 し 強化する こ と がで き ます。 こ のモ ニ タ リ ン グ ツールは、 パ フ ォ ーマ ン スの問題の切 り 分けお よ び ト ラ ブ ルシ ュ ーテ ィ ングに役立ち、ネ ッ ト ワー ク最適化および能力計画 ( キ ャパシ テ ィ プ ラ ン ニ ング ) を支援 し ます。 モ ニ タ ユニ ッ ト には、 収集 さ れた ロ グ記録の情報に基づ く 統計が、 グ ラ フ ィ カルな形式で表 示 さ れ、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク のサマ リ および帯域の最適化情報な どが示 さ れます。 WAN 最適化モニ タ を表示するには、[WAN Opt. & Cache]、[Monitor]、[Monitor] の順に選択 し ます。 [Monitor] ページ こ のページ には、 ト ラ フ ィ ッ ク お よ び帯域最適化の情報 を 示す、 2 つのウ ィ ジ ェ ッ ト が表示 さ れま す。 [Traffic Summary] ウ ィ ジ ェ ッ ト に は、 プ ロ ト コ ル 情 報 お よ び 円 グ ラ フ が 表 示 さ れ ま す。 [Bandwidth Optimization] ウ ィ ジ ェ ッ ト には、 帯域幅の最適化情報が棒グ ラ フ で示 さ れ、 グ ラ フ の表示形式は変更で き ます。 [Monitor] ページの [Traffic Summary] ウィジェット こ のセ ク シ ョ ン には、 ト ラ フ ィ ッ ク 最適化の情報が表示 さ れます。 円グ ラ フ には、 [Period] フ ィ ール ド で 選択 さ れた期間に処理 さ れたサポー ト さ れ る ア プ リ ケーシ ョ ンの ト ラ フ ィ ッ ク の割合が示 さ れます。 表 には、各プ ロ ト コ ルの LAN お よび WAN ト ラ フ ィ ッ ク 量 と 比較 し た場合の、WAN 最適化に よ る ト ラ フ ィ ッ ク 削減率が示 さ れます。 更新アイコン [Traffic Summary] の表示を更新 し ます。 [Period] 表示する [Traffic Summary] 情報の期間を、 以下の項目か ら 選択 し ます。 ・ [Last 10 Minutes] ( 直近 10 分間の統計 ) ・ [Last 1 Hour] ( 直近 1 時間の統計 ) ・ [Last 1 Day] ( 直近 1 日の統計 ) ・ [Last 1 Week] ( 直近 1 週間の統計 ) ・ [Last 1 Month] ( 直近 1 か月の統計 ) [Reduction Rate] ア プ リ ケーシ ョ ン ご と の最適化率を表示 し ます。 た と えば、 80% の最適化率は、 そのア プ リ ケーシ ョ ン に よ り 処理 さ れたデー タ 量が 20% 削減 さ れてい る こ と を 意味 し ます。 [LAN] ア プ リ ケーシ ョ ン ご と の、 LAN か ら 受信 さ れたデー タ 量 (MB 単位 )。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 443 Web キ ャ ッ シ ュ設定の変更 WAN 最適化および Web キ ャ ッ シ ュ [WAN] ア プ リ ケーシ ョ ン ご と の、 WAN 経由で送信 さ れたデー タ 量 (MB 単位 )。 LAN お よ び WAN デー タ の差が大 き いほ ど、 WAN 最適化のバ イ ト キ ャ ッ シ ュ 、 Web キ ャ ッ シ ュ 、 お よ び プ ロ ト コ ル最適化に よ る デー タ 量の削減率が大 き い こ と を 意味 し ます。 [Monitor] ページの [Bandwidth Optimization] ウィジェット こ のセ ク シ ョ ン には、 [Period] に指定 さ れ る期間に応 じ て、 ネ ッ ト ワー ク 帯域幅の最適化が示 さ れます。 折れ線グ ラ フ または棒グ ラ フ に よ り 、 ア プ リ ケーシ ョ ンの最適化前 (LAN デー タ ) のサ イ ズ と 、 最適化後 のサ イ ズ (WAN デー タ ) と の比較が示 さ れます。 更新アイコン [Bandwidth Optimization] の表示を更新する と き選択 し ます。 [Period] 表示する [Bandwidth Optimization] の期間を、 以下の項目か ら 選択 し ます。 ・ [Last 10 Minutes] ( 直近 10 分間の統計 ) ・ [Last 1 Hour] ( 直近 1 時間の統計 ) ・ [Last 1 Day] ( 直近 1 日の統計 ) ・ [Last 1 Week] ( 直近 1 週間の統計 ) ・ [Last 1 Month] ( 直近 1 か月の統計 ) [Protocol] [All] を選択する と 、 すべてのア プ リ ケーシ ョ ンの帯域幅最適化が表示 さ れます。 [Chart Type] 帯域幅最適化の表示形式を、 折れ線グ ラ フ ま たは棒グ ラ フか ら 選択 し ます。 個別のプ ロ ト コ ルを選択す る と 、 そのプ ロ ト コ ルの帯域幅最適化が示 さ れます。 Web キャッシュ設定の変更 多 く の場合、 WAN 最適化 Web キ ャ ッ シ ュの設定は、 デ フ ォ ル ト のま ま使用で き ます。 一方、 パ フ ォ ーマ ン スの強化、 キ ャ ッ シ ュ可能なオブ ジ ェ ク ト のサイズ調整、 または実際の環境に合 わせた キ ャ ッ シ ュ の最適化 な ど が必要 な場合は、 デ フ ォ ル ト の設定 を 変更 で き ま す。 Web キ ャ ッ シ ュの設定を変更するには、[WAN Opt. & Cache]、[Cache]、[Settings] の順に選択 し ます。 除外 URL をキ ャ ッ シ ュ し ない よ う にするには、 こ の設定を CLI か ら有効に し て、 キ ャ ッ シ ュ し ない除外 URL の URL フ ィ ル タ リ ス ト を設定する必要があ り ます。URL をキ ャ ッ シ ュ対象か ら除外する コ マ ン ド 構文は、 以下のよ う にな り ます。 config wanopt webcache set explicit enable set cache-exempt enable end Web キ ャ ッ シ ュの各種設定の詳細については、 RFC 2616 を参照 し て く だ さ い。 [Settings] ページ こ のページ では、 WAN 最適化 Web キ ャ ッ シ ュ を設定で き ます。 444 [Always revalidate] こ のオ プ シ ョ ン を オ ン にする と 、サーバ上の コ ン テ ン ツ を と も な う キ ャ ッ シ ュ さ れたオ ブ ジ ェ ク ト が要求 さ れた と き、そのオブ ジ ェ ク ト を ク ラ イ ア ン ト に提供す る前に必ず検証 し ます。 [Max Cache Object Size] キャッシュされるオブジェクト ( ファイル ) の最大サイズを設定します。 デフォルトのサ イズは 512000 KB です。 この設定により、 Web キャッシュに保存されるオブジェクトの 上限サイズが決まります。 このサイズを超えるオブジェクトは、 クライアントに提供さ れますが、 FortiGate の Web キャッシュには保存されません。 [Negative Response Duration] ネガ テ ィ ブ レ スポ ン ス ( 否定的な応答 ) を キ ャ ッ シ ュ す る時間の長 さ を、分単位 で設定 し ます。 デ フ ォ ル ト の値は 0 ですが、 こ の場合ネガ テ ィ ブ レ スポ ン ス を キ ャ ッ シ ュ し ない こ と を意味 し ます。 コ ン テ ン ツ サーバは、 一部の要求に対 し て、 ク ラ イ ア ン ト エ ラ ー コ ー ド (HTTP レ スポ ン ス、 4xx) ま たはサーバ エ ラ ー コ ー ド (HTTP レ スポ ン ス、 5xx) の応答を返信す る場合があ り ます。 こ のよ う な ネガ テ ィ ブ レ スポ ン ス を キ ャ ッ シ ュ する よ う に Web キ ャ ッ シ ュ を設定する と 、 以降にそのページ ま たは画像への要求が送信 さ れた と き、指定 さ れた分単位の時 間は Web キ ャ ッ シ ュ か ら そのレ スポ ン スが返 さ れます。 [Fresh Factor] [Fresh Factor] には、 パーセントの数値を設定します。 デフォルト値は 100、 設定範 囲は 1 ~ 100 です。 有効期限を持たないキャッシュされたオブジェクトに対して、 Web キャッシュはそのオブジェクトが期限切れかどうかを定期的にチェックします。 [Fresh Factor] の設定値が大きいほど、 チェックの頻度は低くなります。 た と えば、 [Max TTL] の値お よび [Default TTL] を 7200 分 (5 日 ) に設定 し 、[Fresh Factor] を 20 に設定す る と 、 キ ャ ッ シ ュ さ れたオ ブ ジ ェ ク ト はその期限が切れる 前に Web キ ャ ッ シ ュ に よ っ て 5 回チ ェ ッ ク さ れます。 [Fresh Factor] を 100 に設 定す る と 、 Web キ ャ ッ シ ュ のチ ェ ッ ク 回数は 1 回です。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク WAN 最適化および Web キ ャ ッ シ ュ Web キ ャ ッ シ ュ設定の変更 [Max TTL] サーバ上で期限切れかど う かのキ ャ ッ シ ュ チ ェ ッ ク な し にオ ブ ジ ェ ク ト が Web キ ャ ッ シ ュ に存在で き る最長時間 (Time to Live)。デ フ ォ ル ト の値は、7200 分 (120 時間、 または 5 日 ) です。 [Min TTL] サーバ上で期限切れかど う かの Web キ ャ ッ シ ュ チ ェ ッ ク が行われる前に、 オ ブ ジ ェ ク ト が Web キ ャ ッ シ ュ に存在で き る最短時間。デ フ ォ ル ト の値は、5 分です。 [Default TTL] Web サーバに よ り 設定 さ れる有効期間を持た ないオ ブ ジ ェ ク ト の、デ フ ォ ル ト の 有効期間。 デ フ ォ ル ト の有効期間は、 1440 分 (24 時間 ) です。 [Explicit Proxy] FortiGate ユニ ッ ト で [Explicit Web Proxy] が有効に設定 さ れてい るかど う かを示 し ます。 詳 し く は、 117 ページの 「Explicit Web プ ロキシの設定」 を参照 し て く だ さ い。 [Enable Cache Explicit こ のオ プ シ ョ ン を オ ン にする と 、WAN 最適化 Web キ ャ ッ シ ュ を使用 し て、Explicit Web Proxy に よ り 受信 さ れた コ ン テ ン ツ を キ ャ ッ シ ュ し ます。 Proxy] [Ignore] [If-modified-since] デ フ ォ ル ト では、 ク ラ イ ア ン ト の条件付き要求に含まれる if-modified-since (IMS) ヘ ッ ダに よ っ て指定 さ れる時刻が、キ ャ ッ シ ュ さ れている オブ ジ ェ ク ト の最終更 新時刻よ り 遅い場合は、キ ャ ッ シ ュ さ れてい る コ ピーが陳腐化 し ている こ と を強 く 示唆 し ています。 その場合、 キ ャ ッ シ ュ さ れてい る オ ブ ジ ェ ク ト の最終更新時 刻に基づいて、 HTTP か ら OCS (Overlay Caching Scheme) に条件付き GET が送信 さ れます。 このオプションをオンにして [Ignore] を有効にすると、 この動作を無効にします。 [HTTP 1.1 Conditionals] HTTP 1.1 には他に も 、陳腐化 し たオ ブ ジ ェ ク ト を処理する キ ャ ッ シ ュ の動作を ク ラ イ ア ン ト 向けに コ ン ト ロ ールす る機能が含まれています。各種の cache-control ヘ ッ ダに応 じ て、 キ ャ ッ シ ュ か ら オブ ジ ェ ク ト を提供す る前に、FortiGate ユニ ッ ト に OCS への問い合わせを実行 さ せる こ と がで き ます。 cache-control ヘ ッ ダ値 の詳 し い動作については、 RFC 2616 を参照 し て く だ さ い。 [Pragma-nocache] 通常は、 ク ラ イ ア ン ト か ら Pragma: no-cache (PNC) ま たは Cache-Control: nocache ヘ ッ ダ を と も な う HTTP GET 要求が送信 さ れる と 、 コ ン テ ン ツが提供 さ れ る前に、 キ ャ ッ シ ュ か ら OCS への問い合わせが必ず行われます。 し たが っ て、 FortiGate ユニ ッ ト では、 キ ャ ッ シ ュ さ れてい る オ ブ ジ ェ ク ト の コ ピ ーが最新の 場合で も 、 OCS か ら オ ブ ジ ェ ク ト 全体が必ず新たに フ ェ ッ チ さ れます。 こ のよ う な動作のために、 PNC リ ク エ ス ト は、 パ フ ォ ーマ ン ス を低下 さ せ、 サー バ側帯域幅の使用量を増大 さ せる原因にな り ます。 し か し 、 こ のオ プ シ ョ ン を オ ン に し て Pragma-no-cache の無視を有効にす る と 、ク ラ イ ア ン ト か ら の リ ク エ ス ト に含まれる PNC ヘ ッ ダが無視 さ れます。 その リ ク エ ス ト は、 PNC ヘ ッ ダがな い も の と し て FortiGate ユニ ッ ト に よ っ て処理 さ れます。 [IE Reload] Internet Explorer の一部バージ ョ ン では、 [ 最新の情報に更新 ] を 選択す る と 、 Pragma: no-cache ヘ ッ ダの代わ り に Accept / ヘ ッ ダが発行 さ れます。Accept ヘ ッ ダが / の値のみの と き、 type-N オブ ジ ェ ク ト の場合は FortiGate ユニ ッ ト はそれ を PNC ヘ ッ ダ と し て処理 し ます。 こ のオ プ シ ョ ン を オ ン に し て IE の再ロー ド を無視する と 、 FortiGate ユニ ッ ト は Accept / ヘ ッ ダ を PNC と し て解釈す る処理を無視 し ます。 [Cache Expired Objects] type-1 オ ブ ジ ェ ク ト のみに適用 さ れます。 こ のオ プ シ ョ ン を選択す る と 、 期限切 れの type-1 オブ ジ ェ ク ト がキ ャ ッ シ ュ さ れます ( 他の条件すべてに よ り オブ ジ ェ ク ト がキ ャ ッ シ ュ 可能な場合 )。 [Revalidated Pragma- ク ラ イ ア ン ト の リ ク エ ス ト に 含 ま れ る Pragma: no-cache (PNC) ヘ ッ ダ は、 FortiGate ユニ ッ ト の効率的な帯域幅の利用に影響する場合があ り ます。 ク ラ イ no-cache] ア ン ト の リ ク エ ス ト に含まれる PNC を完全に無視 ( 上記 [Ignore] の [Pragma-nocache] オ プ シ ョ ン を オ ン に設定 ) す る こ と が望 ま し く な い場合は、 [Revalidate Pragma-no-cache] オ プ シ ョ ン を オ ン にす る こ と で、 帯域幅利用への影響を 緩和 で き ます。 [Revalidate Pragma-no-cache] をオンにすると、 オブジェクトがすでにキャッシュにあ る場合、 クライアントの条件なし PNC-GET 要求は、 条件付き GET 要求として OCS に送信されます。 これにより、 場合によっては OCS から 304 Not Modified のレスポ ンスが返される可能性があり、 その場合 OCS からフル コンテンツが返される必要は ないので、 サーバ側帯域幅の使用量が節約される可能性があります。 [Revalidate Pragma-no-cache] オ プ シ ョ ンは、デ フ ォ ル ト ではオ フ に設定 さ れてお り 、 ま た ト ッ プ レ ベル プ ロ フ ァ イルの変更に影響 さ れません。 大半のダウ ン ロー ド マネージ ャ は、 PNC ヘ ッ ダ を と も な う byte-range リ ク エ ス ト を送信 し ます。こ のよ う な リ ク エ ス ト にキ ャ ッ シ ュ か ら 応え る には、[Revalidate pragma-no-cache] オプ シ ョ ン を設定する と き byte-range のサポー ト も 設定す る 必要があ り ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 445 Web キ ャ ッ シ ュ設定の変更 446 WAN 最適化および Web キ ャ ッ シ ュ FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ユーザ ユーザ認証の設定 ユーザ こ の項では、 ユーザ ア カ ウン ト 、 ユーザ グループ、 および外部の認証サーバを設定する方法 について説明 し ます。 こ れ ら のユーザ認証の コ ンポーネ ン ト を使用する こ と で、 ネ ッ ト ワー ク リ ソ ースへのア ク セス を制御で き ます。 FortiGate ユニ ッ ト でバーチ ャ ル ド メ イ ン (VDOM) を有効にする場合は、 バーチ ャル ド メ イ ン ご と にユーザ認証を個別に設定 し ます。 詳細については、 73 ページの 「バーチ ャ ル ド メ イ ン の使用」 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ ク が含まれています。 ・ ユーザ認証の設定 ・ ロ ー カル ユーザ ア カ ウン ト ・ リ モー ト 認証 ・ RADIUS ・ LDAP ・ TACACS+ ・ PKI 認証 ・ デ ィ レ ク ト リ サービ ス ・ ユーザ グループ ・ 認証 ・ モニ タ ・ NAC 隔離お よび禁止ユーザ リ ス ト ユーザ認証の設定 FortiGate の認証では、 ユーザ グループ ご と にア ク セス を制御 し ますが、 ユーザ グループ を作 成する前に、 以下の う ち 1 つ以上の設定を し てお く 必要があ り ます。 ・ ロー カル ユーザ ア カ ウン ト を設定 し ます。各ユーザについて、FortiGate ユニ ッ ト 、RADIUS サーバ、 LDAP サーバ、 または TACACS+ サーバの、 いずれによ っ てパスワー ド を確認する かを選択で き ます。 詳細については、 448 ページの 「ロー カル ユーザ ア カ ウン ト 」 を参照 し て く だ さ い。 ・ IM ユーザ プ ロ フ ァ イルを設定 し ます。 IM ユーザの場合、 ネ ッ ト ワー ク リ ソ ースの使用を 許可またはブ ロ ッ ク する ためのユーザ リ ス ト を作成で き ます。FortiGate。詳細については、 465 ページの 「IM ユーザ モニ タ リ ス ト 」 を参照 し て く だ さ い。 ・ RADIUS、 LDAP、 または TACACS+ サーバを使用 し てユーザ認証を行 う よ う に、 FortiGate ユニ ッ ト を設定 し ます。 詳細については、 449 ページの 「RADIUS」、 451 ページの 「LDAP」、 および 453 ページの 「TACACS+」 を参照 し て く だ さ い。 ・ 認証を行 う ためにデ ィ レ ク ト リ サービ ス サーバを使用する場合は、 FortiGate ユニ ッ ト へ のア ク セス を設定 し ます。 詳細については、 455 ページの 「デ ィ レ ク ト リ サービ ス サーバ の設定」 を参照 し て く だ さ い。 ・ 管理ア ク セス (HTTPS Web ベース マネージ ャ )、 IPSec、 SSL-VPN、 お よび Web ベースの フ ァ イ ア ウ ォ ール認証のための、 証明書ベース認証を設定 し ます。 詳細につい ては、 456 ページの 「PKI 認証」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 447 ロー カル ユーザ ア カ ウン ト ユーザ シ ス テム管理者の認証を、 FortiGate ユニ ッ ト で RADIUS、 LDAP、 お よび TACACS+ サーバを使 用 し て実行する よ う に、 および PKI を使用する証明書ベースの認証によ っ て実行する よ う に、 FortiGate ユニ ッ ト を設定で き ます。 詳細については、 169 ページの 「シ ス テム - 管理者」 を参 照 し て く だ さ い。 また、 認証の タ イムアウ ト 値を変更 し た り 、 または フ ァ イ アウ ォ ール認証で サポー ト さ れる プ ロ ト コ ルを選択で き ます。 詳細については、 463 ページの 「認証」 を参照 し て く だ さ い。 現在認証 さ れてい るユーザ、 認証 さ れてい る IM ユーザ、 お よび禁止ユーザの リ ス ト を表示で き ます。 詳細については、 464 ページの 「モ ニ タ 」 を参照 し て く だ さ い。 認証が必要な各ネ ッ ト ワー ク リ ソ ースについては、 どのユーザ グループがネ ッ ト ワー ク への ア ク セ ス を許可 さ れるかを指定 し ます。 ユーザ グループ には、 フ ァ イ アウ ォ ール、 デ ィ レ ク ト リ サービ ス、 および SSL VPN の 3 種類があ り ます。 詳細については、 459 ページの 「フ ァ イ アウ ォ ール ユーザ グループ」、 459 ページの 「デ ィ レ ク ト リ サービ ス ユーザ グループ」、 お よび 460 ページの 「SSL VPN ユーザ グループ」 を参照 し て く だ さ い。 ローカル ユーザ アカウント ロー カル ユーザは、 FortiGate ユニ ッ ト で設定 さ れるユーザです。 ロー カル ユーザの認証は、 FortiGate ユニ ッ ト に保存 さ れているパスワー ド を使用するか ( ユーザ名お よびパスワー ド が FortiGate ユニ ッ ト に保存 さ れてい るユーザ ア カ ウン ト と 一致する必要があ り ます )、または認 証サーバに保存 さ れているパスワー ド を使用 し て ( ユーザ名が FortiGate ユニ ッ ト に保存 さ れ てい るユーザ ア カ ウ ン ト と 一致 し 、 ユーザ名お よびパスワー ド がユーザ と 関連付け ら れてい る認証サーバに保存 さ れているユーザ ア カ ウン ト と 一致する必要があ り ます ) 実行で き ます。 IM (Instant Messenger) プ ロ ト コ ルは、 2 名以上の個人が リ アル タ イムに通信する主な手法 と し て普及 し つつあ り ます。 企業に よ っ ては、 顧客サポー ト またはテ ク ニ カル サポー ト な ど重要 な業務ア プ リ ケーシ ョ ンの運用に、 IM プ ロ ト コ ルを採用 し てい る場合 も あ り ます。 現在、 IM プ ロ ト コ ル に よ る 代表的 な サ ー ビ ス に は、 AOL Instant Messenger、 Yahoo Instant Messenger、 MSN messenger、 および ICQ などがあ り ます。 FortiGate ユニ ッ ト では、 ア プ リ ケー シ ョ ンの利用を許可またはブ ロ ッ ク する よ う に IM ユーザを設定 し 、 どのア プ リ ケーシ ョ ンの 使用を許可するかを指定で き ます。 ローカル ユーザ アカウントの設定 有効な ロー カル ユーザ ア カ ウン ト を持つユーザの認証実行を完全にブ ロ ッ ク するか、 または FortiGate ユニ ッ ト を設定する こ と によ り 、 FortiGate ユニ ッ ト に保存済みのユーザ名お よびパ スワー ド あるいは特定サーバ (LDAP、 RADIUS、 または TACACS+) に保存済みのア カ ウン ト を 使用するユーザ認証の実行を許可で き ます。 既存のロー カル ユーザの リ ス ト を表示する には、 [User]、 [User]、 [User] の順に選択 し ます。 [User] ページ こ のページには、 作成済みのロ ー カ ル ユーザの リ ス ト が一覧表示 さ れます。 こ のページ では、 ロー カ ル ユーザ リ ス ト を編集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し いロ ー カ ル ユーザ ア カ ウ ン ト を追加 し ます。 [User Name] ロー カル ユーザ名。 [Type] こ のユーザに対 し て使用す る認証の種類。 認証の種類は、 Local ( ユーザお よ びパス ワー ド が FortiGate ユニ ッ ト に保存 さ れてい る )、 LDAP、 RADIUS、 およ び TACACS+ ( ユーザお よびパスワー ド が認証サーバに保存 さ れてい るユーザ ア カ ウ ン ト と 一致す る ) です。 削除アイコン ユーザを削除 し ます。 削除ア イ コ ンは、 ユーザがユーザ グループ に属 し ている場合は使用で き ません。 編集アイコン ユーザ ア カ ウ ン ト を編集 し ます。 注記 : ユーザ名を削除する と 、 そのユーザに設定 さ れている認証が削除 さ れます。 448 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ユーザ リ モー ト 認証 Local ユーザを追加するには、 [User]、 [User]、 [User] の順に選択 し 、 [Create New] を選択 し て、 以下の項目を入力または選択 し ます。 [New User] ページ こ のページ では、 ロ ー カ ル ユーザの認証実行を許可またはブ ロ ッ ク する よ う に設定で き ます。 [User Name] ユーザを識別す る名前。 [Disable] こ のユーザに認証を実行 さ せない場合にオ ン に し ます。 [Password] FortiGate ユニ ッ ト に保存 さ れているパスワー ド を使用 し て こ のユーザを認証する場 合に選択 し 、 フ ィ ール ド にパスワー ド を入力 し ます。 パスワー ド には、 必ず 6 文字 以上を使用 し ます。 [LDAP] LDAPサーバに保存 さ れてい るパスワー ド を使用 し て こ のユーザを認証す る場合に選 択 し ます。 リ ス ト か ら LDAP サーバを選択 し ます。 FortiGate の LDAP 設定に追加 さ れてい る LDAP サーバのみを選択で き ます。 詳細に ついては、 451 ページの 「LDAP」 を参照 し て く だ さ い。 [RADIUS] RADIUSサーバに保存 さ れてい るパスワー ド を使用 し て こ のユーザを認証す る場合に 選択 し ます。 リ ス ト か ら RADIUS サーバを選択 し ます。 FortiGate の RADIUS 設定に追加 さ れてい る RADIUS サーバのみを選択で き ます。 詳 細については、 449 ページの 「RADIUS」 を参照 し て く だ さ い。 [TACACS+] TACACS サーバに保存 さ れてい るパスワー ド を使用 し て こ のユーザを認証す る場合 に選択 し ます。 リ ス ト か ら TACACS+ サーバを選択 し ます。 FortiGate の TACACS 設定に追加 さ れている TACACS サーバのみを選択で き ます。詳 細については、 453 ページの 「TACACS+」 を参照 し て く だ さ い。 リモート認証 リ モー ト 認証の最 も一般的な目的は、 外出先で勤務する従業員が、 適切なセキ ュ リ テ ィ 対策 と と も に企業ネ ッ ト ワー ク に リ モー ト ア ク セスで き る よ う にする こ と です。認証は基本的に、通 信を行 う と き、 ログ イ ン要求な ど を送付する送信者の ( デジ タ ルの ) 身元を確認す るためのプ ロ セスです。 送信者には、 コ ン ピ ュ ー タ の利用者、 コ ン ピ ュ ー タ 自体、 または コ ン ピ ュ ー タ プ ロ グ ラ ムな どが該当 し ます。 コ ン ピ ュ ー タ シ ス テムは、 使用を許可 さ れたユーザのみに よ っ て使用 さ れる必要があるので、未承認の使用を検出 し それを排除する ための手段が必要 と な り ます。 FortiGate ユニ ッ ト では、 ユーザ グループ と 呼ばれる、 認証 さ れたユーザの リ ス ト を定義する こ と によ り 、 ネ ッ ト ワー ク リ ソ ースへのア ク セス を制御で き ます。 ネ ッ ト ワー ク または VPN ト ン ネルな ど、 特定の リ ソ ース を使用する ために、 ユーザには以下が要求 さ れます。 ・ ア ク セス を許可 さ れた、 いずれかのユーザ グループに属する こ と 。 ・ 要求に応 じ て、 自身の身元を提示するユーザ名およびパスワー ド を正 し く 入力する こ と 。 RADIUS RADIUS (Remote Authentication and Dial-in User Service) サーバには、 認証 (authentication)、 使 用権の付与 (authorization)、 およびア カ ウン テ ィ ング (accounting) の各機能が含まれています。 FortiGate ユニ ッ ト では、 RADIUS サーバの認証機能を使用 し ます。 認証のために RADIUS サー バを使用するには、 そのサーバを必要 と する FortiGate ユーザまたはユーザ グループ を設定す る前に、 サーバを設定する必要があ り ます。 RADIUS サポー ト が設定済みで、 ユーザに RADIUS サーバによ る認証を要求する場合は、 その ユーザの資格情報が FortiGate ユ ニ ッ ト か ら RADIUS サーバに認証のために送信 さ れま す。 RADIUS サーバによ っ てそのユーザが認証 さ れれば、 FortiGate ユニ ッ ト でのユーザ認証が成功 し ます。 RADIUS サーバによ っ てそのユーザを認証で き ない場合、 その接続は FortiGate ユニ ッ ト に よ っ て拒否 さ れます。 特定の認証プ ロ ト コ ルを選択するか、 または RADIUS ト ラ フ ィ ッ ク のデ フ ォル ト ポー ト を変更する こ と によ り 、 デ フ ォ ル ト の認証方式を変更で き ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 449 RADIUS ユーザ 注記 : RADIUS ト ラ フ ィ ッ クのデ フ ォル ト ポー ト は、 1812 です。 RADIUS サーバがポー ト 1645 を使用 し ている場合は、 CLI を使用 し てデ フ ォル ト の RADIUS ポー ト を変更 し ます。 詳細については、 『FortiGateCLI リ フ ァ レ ン ス 』 の config system global コ マ ン ド を 参照 し て く だ さ い。 UTF-8 エ ン コ ーデ ィ ング を設定するには、 CLI か ら こ れを有効にする必要があ り ます。 UTF-8 エ ン コ ーデ ィ ング を有効にする には、 以下の コ マ ン ド 構文を使用 し ます。 config vpn ssl settings set force-utf8-login enable end RADIUS サーバの リ ス ト を表示する には、 [User]、 [Remote]、 [RADIUS] の順に選択 し ます。 [RADIUS] ページ こ のページには、 作成済みの RADIUS サーバが一覧表示 さ れます。 こ のページ では、 RADIUS サーバを編 集、 削除、 ま たは新規作成で き ます。 [Create New] 新 し い RADIUS サーバを追加 し ます。 最大数は、 10 です。 [Name] FortiGate ユニ ッ ト 上の RADIUS サーバを識別する名前。 [Server Name/IP] RADIUS サーバの ド メ イ ン名または IP ア ド レ ス。 削除アイコン RADIUS サーバの設定を削除 し ます。 ユーザ グループ に追加 さ れてい る RADIUS サーバを削除す る こ と はで き ません。 編集アイコン RADIUS サーバの設定を編集 し ます。 RADIUS サーバの設定 RADIUS サーバは、 共有鍵を使用する こ と で、 サーバ自体 と FortiGate ユニ ッ ト な どの ク ラ イ ア ン ト と の間でや り 取 り さ れる情報を暗号化 し ます。 RADIUS サーバの設定では、 さ ら に予備の RADIUS サーバを設定で き ます。 FortiGate ユニ ッ ト は、 最初に メ イ ンの RADIUS サーバ と 認証 を試み、 応答がない場合は予備のサーバ と 認証を行います。 RADIUS サーバをユーザ グループ の設定に特別に加え る こ と な く 、 すべてのユーザ グループに RADIUS サーバを加え る こ と が で き ます。 注記 : サーバの共有鍵に使用する文字数は、 16 文字までです。 RADIUS サーバでは、 認証プ ロ セスの際に数種類の異な る認証プ ロ ト コ ルを使用で き ます。 ・ MS-CHAP-V2 は、 Microsoft チ ャ レ ン ジ ハン ド シ ェ イ ク認証プ ロ ト コ ル v2 です。 ・ MS-CHAP は、 Microsoft チ ャ レ ン ジ ハン ド シ ェ イ ク認証プ ロ ト コ ル v1 です。 ・ CHAP ( チ ャ レ ン ジ ハン ド シ ェ イ ク認証プ ロ ト コ ル ) は、 PAP と 同様に機能 し ますが、 パ スワー ド な どのユーザ情報を、 ネ ッ ト ワー ク を経由 し てセキ ュ リ テ ィ サーバに送信 し ませ ん。 ・ PAP (password authentication protocol) は、 PPP 接続の認証に使用 し ます。 PAP では、 パス ワー ド な どのユーザ情報が ク リ ア テキス ト で ( 暗号化 さ れずに ) 送信 さ れます。 プ ロ ト コ ル を選択 し ていない場合は、 デ フ ォ ル ト のプ ロ ト コ ル設定では PAP、 MS-CHAPv2、 および CHAP が、 こ の順序で使用 さ れます。 RADIUS サーバを追加す るには、 [User]、 [Remote]、 [RADIUS] の順に選択 し 、 [Create New] を 選択 し て、 以下の項目を入力または選択 し ます。 [New RADIUS Server] ページ こ のページ では、 RADIUS サーバを設定で き ます。 450 [Name] FortiGate ユニ ッ ト で RADIUS サーバを識別する ために使用する名前を入 力 し ます。 [Primary Server Name/IP] メ イ ンの RADIUS サーバの ド メ イ ン名ま たは IP ア ド レ ス を入力 し ます。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク ユーザ LDAP [Primary Server Secret] メ イ ンの RADIUS サーバに使用す る、 RADIUS サーバ共有鍵を入力 し ま す。 サーバの共有鍵に使用可能な文字数は、 16 文字ま で です。 [Secondary Server Name/IP] 予備の RADIUS サーバがあ る場合は、 その ド メ イ ン名ま たは IP ア ド レ ス を入力 し ます。 [Secondary Server Secret] 予備の RADIUS サーバに使用する、 RADIUS サーバ共有鍵を入力 し ます。 予備サーバの共有鍵に使用可能な文字数は、 16 文字ま で です。 [Authentication Scheme] デ フ ォ ル ト の 方 法 で 認 証 を 行 う 場 合 は、 [Use Default Authentication Scheme] を 選択 し ま す。 デ フ ォ ル ト の認証方法では、 PAP、 MS-CHAPV2、 およ び CHAP が、 こ の順序で使用 さ れます。 デ フ ォ ル ト の 認 証 方 法 を 無 効 に す る に は、 [Specify Authentication Protocol] を選択 し 、 リ ス ト か ら MS-CHAP-V2、 MS-CHAP、 CHAP、 また は PAP のプ ロ ト コ ルを、 RADIUS サーバの要件に合わせて選択 し ます。 [NAS IP/Called Station ID] NAS IP ア ド レ スおよ び Called Station ID を入力 し ます (RADIUS 属性 31 の 詳細 に つ い て は、 RFC 2548 Microsoft Vendor-specific RADIUS Attributes を参照 し て く だ さ い )。 IP ア ド レ ス を入力 し ない場合は、 FortiGate イ ン タ フ ェ ースに よ っ て RADIUS サーバ と の通信のために使用 さ れる IP ア ド レ スが適用 さ れます。 [Include in every User Group] RADIUS サーバがすべてのユーザ グループ に自動的に含まれる よ う にす る場合に、 こ のオ プ シ ョ ン を オ ン に し ます。 LDAP LDAP (Lightweight Directory Access Protocol) は、 部門、 複数の個人、 個人同士のグループ、 パ スワー ド 、 電子 メ ール ア ド レ ス、 プ リ ン タ な どが含まれる認証デー タ を管理す る ために使用 さ れる、 イ ン タ ーネ ッ ト プ ロ ト コ ルです。 LDAP は、 デー タ 表現スキーム、 定義済み機能の セ ッ ト 、 および リ ク エス ト / レ スポン ス型ネ ッ ト ワー クか ら構成 さ れます。 LDAP サポー ト が設定済みで、ユーザに LDAP サーバによ る認証を行 う よ う に要求する場合は、 認証のために FortiGate ユニ ッ ト か ら LDAP サーバへの通信が行われます。 FortiGate ユニ ッ ト で認証を行 う 際には、 ユーザはユーザ名 と パスワー ド を入力 し ます。 入力 さ れたユーザ名 と パ スワー ド は、 FortiGate ユニ ッ ト か ら LDAP サーバに送信 さ れます。 LDAP サーバに よ っ てその ユーザが認証 さ れる場合は、FortiGate ユニ ッ ト におけ るユーザ認証 も正 し く 行われます。LDAP サーバによ っ てそのユーザを認証で き ない場合、 その接続は FortiGate ユニ ッ ト に よ っ て拒否 さ れます。 FortiGate ユニ ッ ト では、 RFC 2251: Lightweight Directory Access Protocol v3 で規定 さ れている LDAP プ ロ ト コ ル機能がサポー ト さ れてお り 、 こ れによ り ユーザ名 と パスワー ド が検索および 検証 さ れます。 FortiGate の LDAP は、 LDAP v3 に準拠するすべての LDAP サーバをサポー ト し ます。 さ ら に、 FortiGate の LDAP は、 LDAP over SSL/TLS も サポー ト し ます。 SSL/TLS 認証 の設定については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate の LDAP はパスワー ド 更新をサポー ト し てお り 、 こ れ らの設定は CLI か ら 行います。 こ の と き行 う 設定には、 パスワー ド の失効を知 らせる警告、 および失効の し き い値の設定が含 まれます。 LDAP のパスワー ド 更新を設定するには、 以下の コ マ ン ド を使用 し ます。 config user ldap edit <name> set password-expiry-warning {enable | disable} set password-expiry-threshold <number_of_days> set password-renewal {enable | disable} end LDAP サーバの リ ス ト を表示するには、 [User]、 [Remote]、 [LDAP] の順に選択 し ます。 [LDAP] ページ こ のページには、 作成済みの LDAP サーバが一覧表示 さ れます。 こ のページ では、 LDAP サーバの編集、 削除、 ま たは新規作成が可能です。 [Create New] 新 し い LDAP サーバを追加 し ます。 最大数は、 10 です。 [Name] FortiGate ユニ ッ ト 上の LDAP サーバを識別する名前。 [Server Name/IP] LDAP サーバの ド メ イ ン名または IP ア ド レ ス。 FortiGate バージ ョ ン 4.0 MR2 管理ガ イ ド 01-420-89802-20100326 http://docs.fortinet.com/ へ フ ィ ー ド バ ッ ク 451 LDAP ユーザ [Port] LDAP サーバ と の通信に使用 さ れる TCP ポー ト 。 [Common Name identifier] LDAP サーバの共通名識別子。 ほ と んどの LDAP サーバは、 cn を使用 し ます。 ただ し 、 一部のサーバは、 uid な ど他の共通名識別子を使用する場合 も あ り ます。 [Distinguished Name] LDAP サーバ上のエ ン ト リ の検索に使用 さ れる識別名。 こ の識別名には、 共通名識別 子よ り 上にあ る LDAP デー タ ベース オ ブ ジ ェ ク ト ク ラ スの階層が反映 さ れています。 削除アイコン LDAP サーバの設定を削除 し ます。 編集アイコン LDAP サーバの設定を編集 し ます。 LDAP サーバの設定 デ ィ レ ク ト リ には、 類似の属性を持つオブ ジ ェ ク ト が、 論理的、 階層的に整理 さ れ置かれてい ます。 一般的に、 LDAP デ ィ レ ク ト リ ツ リ ーは地理的または組織的な境界を表 し 、 階層の最上 位には DNS (Domain Name System) 名があ り ます。 多 く の LDAP サーバでは、 共通名識別子は cn ですが、 一部のサーバでは uid な ど他の共通名識別子が使用 さ れます。 た と えば、 次の基本識別名を使用で き ます。 ou=marketing,dc=fortinet,dc=com こ こ で、 ou は組織単位であ り 、 dc は ド メ イ ン コ ンポーネ ン ト です。 ま た、 識別名に同 じ フ ィ ール ド の複数のイ ン ス タ ン ス を指定す る こ と も で き ます。 た と えば、 複数の組織単位を指定するには次のよ う に し ます。 ou=accounts,ou=marketing,dc=f
© Copyright 2024 Paperzz