構成
トポロジー
(Internet)------[FW]---------------(PC) ---------------(SV) |<------------->| |<------------->| WAN LAN 10.0.0.0/24 192.168.10.0/24 192.168.20.0/24
構成* Internet (CiscoRT)
- PC (CiscoRT)
- SV (CiscoRT)
- Fortigate
- I/F
- wan:
- PPPoE接続するWAN側I/F
- Zone: untrust
- port1:
- PCを接続するLocal側のI/F
- zone: trust
- port2:
- SVを接続するLocal側のI/F
- zone: trust
- wan:
- I/F
- IP情報
- WAN: 10.0.0.0/24
- LAN(port1): 192.168.10.0/24
- LAN(port2): 192.168.20.0/24
- Policy(許可内容)
- LAN ⇔ WAN
- source: 192.168.10.0/24, 192.168.20.0/24
- destination: 10.0.0.1/32
- protocol: icmp(ping)
- 許可
- LAN ⇔ LAN
- すべて拒否
- LAN ⇔ WAN
前提設定
Internet (CiscoRT)
interface GigabitEthernet0/0 ip address 10.0.0.1 255.255.255.0 ip route 192.168.10.0 255.255.255.0 10.0.0.2 ip route 192.168.20.0 255.255.255.0 10.0.0.2
PC (CiscoRT)
interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.10.2
SV (CiscoRT)
interface GigabitEthernet0/0 ip address 192.168.20.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 192.168.20.2
Fortigate
config system interface edit "wan" set vdom "root" set ip 10.0.0.2 255.255.255.0 set type physical next edit "port1" set vdom "root" set ip 192.168.10.2 255.255.255.0 set type physical next edit "port2" set vdom "root" set ip 192.168.20.2 255.255.255.0 set type physical next end
アドレスオブジェクトの作成
設定
config firewall address edit ADDR-OBJ_LAN-PC set subnet 192.168.10.0/24 next edit ADDR-OBJ_LAN-SV set subnet 192.168.20.0/24 next edit ADDR-OBJ_wan set subnet 10.0.0.1/32 next end
詳細
edit "[NAME]" :オブジェクト管理名の指定(大文字にするとわかりやすい) set subnet <[Network] [Subnet] | [Network]/[Prefix]>:フィルタ対象のセグメントを指定(今回はプレフィックス)
アドレスグループオブジェクトの作成
設定
config firewall addrgrp edit ADDRG-OBJ_LAN-Segment set member ADDR-OBJ_LAN-PC ADDR-OBJ_LAN-SV next end
詳細
edit [GroupName] :オブジェクト管理名の指定(大文字にするとわかりやすい) set member [OBJECT1] [OBJECT2]... :複数指定したいセグメントのアドレスオブジェクトを指定
Zone設定
- ZoneにはPolicyの[srcintf], [dstintf]で個別指定していないI/Fのみが参加できる
- Zoneのメンバとして指定したI/FはPolicyで個別のI/Fとして指定できない
設定
config system zone edit trust set interface "port1" "port2" set intrazone deny next edit untrust set interface "wan" next end
詳細
edit [Name] :Zone名を指定 set interface [I/F] [I/F]... :Zoneに参加させるI/Fを指定 set intrazone [ACTION] :同じゾーン間での通信を許可するかを指定
Zoneベースポリシー作成
※Zoneについての詳細は "Firewallとは ~Firewallに関する基礎知識~" を参照
設定
config firewall policy edit 1 set srcintf trust set dstintf untrust set srcaddr ADDRG-OBJ_LAN-Segment set dstaddr ADDR-OBJ_wan set action accept set schedule always set service PING next end
詳細
set srcintf [I/F] :[必須]送信元となるZone or I/Fを指定 set dstintf [I/F] :[必須]送信先となるZone or I/Fを指定 set srcaddr [OBJ] :送信元のアドレスの指定 set dstaddr [OBJ] :送信元のアドレスの指定 set action [ACTION] :通信の可否を指定 set schedule [TIME] :ポリシーが有効な期間を指定 set service [SERVICE] :通信のプロトコルを指定(ポート番号, プロトコル番号)