Comments
Description
Transcript
FortiGate Administration Guide
管理ガイド FortiGate™ バージョン 3.0 MR4 www.fortinet.com FortiGate™ 管理ガ イ ド バージ ョ ン 3.0 MR4 2006 年 6 月 21 日 01-30002-0203-20060621 © Copyright 2006 Fortinet, Inc. All rights reserved. フ ォ ーテ ィ ネ ッ ト 社の書 面によ る事前の許可な く 、 電子的、 自動的、 手動式、 光学式、 その他い かな る方法、 またいかな る目的において も、 文章、 事例、 図表な ど本書 の全部または一部を複製、 転載、 頒布、 翻訳する こ と を禁 じ ます。 商標 Dynamic Threat Prevention System (DTPS)、 APSecure、 FortiASIC、 FortiBIOS、 FortiBridge、 FortiClient、 FortiGate、 FortiGate Unified Threat Management System、 FortiGuard、 FortiGuard-Antispam、 FortiGuardAntivirus、 FortiGuard-Intrusion、 FortiGuard-Web、 FortiLog、 FortiAnalyzer、 FortiManager、 Fortinet、 FortiOS、 FortiPartner、 FortiProtect、 FortiReporter、 FortiResponse、 FortiShield、 FortiVoIP、 お よ び FortiWiFi は、 米国またはその他の国々、 あ るいはその両方におけ る Fortinet, Inc. の商標です。 本書に記載 さ れた実際の社名およ び製品名は、 各社の商標です。 目次 目次 はじめに................................................................................................................................ 17 FortiGate ユニットの概要 ............................................................................................................... 17 FortiGate-5000 シ リ ーズ シ ャ ーシ ...................................................................................... FortiGate-5000 シ リ ーズ モ ジ ュ ールについて ............................................................. FortiGate-3,600A............................................................................................................................ FortiGate-3600 ................................................................................................................................ FortiGate-3000 ................................................................................................................................ FortiGate-1000A............................................................................................................................. FortiGate-1000AFA2..................................................................................................................... FortiGate-1000 ................................................................................................................................ FortiGate-800 .................................................................................................................................. FortiGate-800F................................................................................................................................ FortiGate-500A ............................................................................................................................... FortiGate-500 .................................................................................................................................. FortiGate-400A ............................................................................................................................... FortiGate-400 .................................................................................................................................. FortiGate-300A ............................................................................................................................... FortiGate-300 .................................................................................................................................. FortiGate-200A ............................................................................................................................... FortiGate-200 .................................................................................................................................. FortiGate-100A ............................................................................................................................... FortiGate-100 .................................................................................................................................. FortiGate-60/60M/ADSL ........................................................................................................... FortiWiFi-60/60A/60AM.............................................................................................................. FortiGate-50B.................................................................................................................................. FortiGate-50A.................................................................................................................................. 18 19 19 20 20 20 21 21 21 21 22 22 22 22 22 23 23 23 23 23 24 24 24 24 フォーティネット製品ファミリ................................................................................................... FortiGuard サブ ス ク リ プ シ ョ ン サービ ス ....................................................................... FortiAnalyzer .................................................................................................................................... FortiClient .......................................................................................................................................... FortiManager..................................................................................................................................... FortiBridge ......................................................................................................................................... FortiMail .............................................................................................................................................. FortiReporter .................................................................................................................................... 25 25 25 25 26 26 26 26 このドキュメントについて............................................................................................................. 27 ド キ ュ メ ン ト の規則.................................................................................................................... 29 FortiGate のドキュメント ............................................................................................................. 29 フ ォ ーテ ィ ネ ッ ト ツールお よび ド キ ュ メ ン ト CD .................................................... 31 Fortinet Knowledge Center ....................................................................................................... 31 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト に関する コ メ ン ト ........................ 31 カスタマ サービスおよびテクニカル サポート .................................................................. 31 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 3 目次 Web ベース マネージャ ............................................................................................... 33 ボタン バーの機能 ............................................................................................................................... 34 カ ス タ マ サポー ト への接続.................................................................................................... 34 オ ン ラ イ ン ヘルプの使用 .......................................................................................................... 35 ロ グアウ ト ........................................................................................................................................ 37 Web ベース マネージャ ページ .................................................................................................... 37 Web ベース マネージ ャ メ ニ ュ ー ........................................................................................ 38 リ ス ト .................................................................................................................................................. 39 ア イ コ ン ............................................................................................................................................. 39 システム - ステータス .................................................................................................. 41 [Status] ページ...................................................................................................................................... 41 シ ス テム ス テー タ スの表示.................................................................................................... 41 システム情報の変更............................................................................................................................ 49 シ ス テム時刻の設定 .................................................................................................................... 49 FortiGate ユニ ッ ト のホス ト 名の変更 ................................................................................ 50 FortiGate ファームウェアの変更................................................................................................. 51 新 し い フ ァ ームウ ェ ア バージ ョ ンへのア ッ プグ レ ー ド ......................................... 51 以前の フ ァ ームウ ェ ア バージ ョ ンへの復帰 ................................................................. 52 動作履歴の表示...................................................................................................................................... 52 FortiGuard 定義の手動による更新 .............................................................................................. 53 統計情報の表示...................................................................................................................................... 54 セ ッ シ ョ ン リ ス ト の表示......................................................................................................... 54 コ ン テ ン ツ アー カ イ ブ情報の表示..................................................................................... 55 攻撃ロ グの表示.............................................................................................................................. 57 トポロジ ビューア ............................................................................................................................... 58 ト ポロ ジ ビ ュ ーアのウ ィ ン ド ウ .......................................................................................... 58 ト ポロ ジ図のカ ス タ マ イ ズ ..................................................................................................... 60 ........................................................................................................................................................................ 60 バーチャル ドメインの使用 ...................................................................................... 61 バーチャル ドメイン .......................................................................................................................... 61 VDOM の設定 ................................................................................................................................... 62 グ ローバル設定.............................................................................................................................. 63 VDOM の有効化...................................................................................................................................... 64 VDOM とグローバル設定の設定 ................................................................................................... 64 VDOM と グローバル設定の操作............................................................................................ VDOM へのイ ン タ フ ェ ースの追加....................................................................................... VDOM への管理者の割 り 当て ................................................................................................ 管理 VDOM の変更........................................................................................................................ 4 65 66 67 67 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 システム - ネットワーク ............................................................................................. 69 インタフェース ..................................................................................................................................... 69 ス イ ッ チのモー ド ........................................................................................................................ イ ン タ フ ェ ース設定.................................................................................................................... ADSL イ ン タ フ ェ ースの設定 ................................................................................................. 802.3ad アグ リ ゲー ト イ ン タ フ ェ ースの作成............................................................... 冗長イ ン タ フ ェ ースの作成..................................................................................................... 無線イ ン タ フ ェ ースの作成..................................................................................................... イ ン タ フ ェ ース上での DHCP の設定................................................................................. PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定 ........................................... イ ン タ フ ェ ースの Dynamic DNS サービ スの設定 ....................................................... 仮想 IPSec イ ン タ フ ェ ースの設定 ...................................................................................... イ ン タ フ ェ ースの追加の設定................................................................................................ 71 72 75 76 77 79 80 81 83 83 85 ゾーン ......................................................................................................................................................... 88 ゾーンの設定 .................................................................................................................................. 89 ネットワーク オプション ................................................................................................................ 89 DNS サーバ....................................................................................................................................... 91 停止ゲー ト ウ ェ イ検出............................................................................................................... 91 ルーティング テーブル ( トランスペアレント モード )................................................. 92 ト ラ ン スペア レ ン ト モー ド のルー ト 設定...................................................................... 92 モデム インタフェースの設定 ...................................................................................................... モデムの設定 .................................................................................................................................. 冗長モー ド の設定 ........................................................................................................................ ス タ ン ド ア ロ ン モー ド の設定 .............................................................................................. モデム接続のためのフ ァ イ アウ ォ ール ポ リ シーの追加 ........................................ モデムの接続 と 接続解除.......................................................................................................... モデム状態の確認 ........................................................................................................................ 93 93 95 96 97 97 98 VLAN の概要........................................................................................................................................... 98 FortiGate ユニ ッ ト と VLAN ..................................................................................................... 99 NAT/ ルート モードでの VLAN................................................................................................... 99 VLAN ID のルール ....................................................................................................................... 100 VLAN IP ア ド レ スのルール ................................................................................................... 100 VLAN サブ イ ン タ フ ェ ースの追加 ..................................................................................... 101 トランスペアレント モードでの VLAN ................................................................................. 102 VLAN ID のルール ....................................................................................................................... 104 ト ラ ン スペア レ ン ト モー ド のバーチ ャル ド メ イ ン と VLAN ............................ 104 ARP に関する問題の ト ラ ブルシ ュ ーテ ィ ン グ........................................................... 107 FortiGate の IPv6 サポート........................................................................................................... 108 システム - 無線 .............................................................................................................. 109 FortiWiFi の無線 LAN インタフェース .................................................................................... 109 チャネル割り当て .............................................................................................................................. 110 システム無線の設定 (FortiWiFi-60) .......................................................................................... 112 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 5 目次 システム無線の設定 (FortiWiFi-60A および 60AM) ........................................................ 113 無線 MAC フィルタ........................................................................................................................... 114 無線モニタ............................................................................................................................................. 115 システム - DHCP ........................................................................................................... 117 FortiGate DH CP サーバおよびリレー................................................................................... 117 DHCP サービスの設定..................................................................................................................... 118 DHCP リ レ ー エージ ェ ン ト と し てのイ ン タ フ ェ ースの設定............................. 119 DHCP サーバの設定 .................................................................................................................. 120 アドレス リースの表示 .................................................................................................................. 121 特定ク ラ イ ア ン ト に対する IP ア ド レ スの予約 ......................................................... 121 システム - 設定.............................................................................................................. 123 HA............................................................................................................................................................... 124 HA オ プ シ ョ ン ............................................................................................................................. ク ラ ス タ メ ンバ リ ス ト ......................................................................................................... HA 統計の表示 ............................................................................................................................. 副系ユニ ッ ト のホス ト 名およ びデバイ ス プ ラ イ オ リ テ ィ の変更.................. ク ラ ス タ ユニ ッ ト のク ラ ス タ か らの切断 ................................................................... 124 128 130 131 131 SNMP......................................................................................................................................................... 133 SNMP の設定................................................................................................................................. SNMP コ ミ ュ ニ テ ィ の設定 ................................................................................................... フ ォ ーテ ィ ネ ッ ト MIB............................................................................................................. FortiGate ト ラ ッ プ..................................................................................................................... フ ォ ーテ ィ ネ ッ ト MIB フ ィ ール ド ................................................................................... 133 134 136 137 139 差し替えメッセージ......................................................................................................................... 143 差 し 替え メ ッ セージ リ ス ト ................................................................................................. 差 し 替え メ ッ セージの変更 .................................................................................................. 認証ロ グ イ ン ページの変更................................................................................................. FortiGuard Web フ ィ ル タ リ ン グ ブ ロ ッ ク無効化ページの変更 ........................ SSL-VPN ロ グ イ ン メ ッ セージの変更 ........................................................................... 認証免責ページの変更 ............................................................................................................ 143 144 146 147 147 147 動作モードおよび VDOM 管理アクセス ................................................................................ 148 動作モー ド の変更 ...................................................................................................................... 148 管理ア ク セス ................................................................................................................................ 149 システム管理者.............................................................................................................. 151 管理者 ...................................................................................................................................................... 151 管理者の RADIUS 認証の設定.............................................................................................. 152 管理者 リ ス ト の表示 ................................................................................................................. 152 管理者ア カ ウン ト の設定 ....................................................................................................... 154 アクセス プロファイル .................................................................................................................. 157 ア ク セス プ ロ フ ァ イル リ ス ト の表示............................................................................ 159 ア ク セス プ ロ フ ァ イルの設定............................................................................................ 160 6 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 FortiManager ........................................................................................................................................ 161 設定............................................................................................................................................................ 162 管理者の監視 ........................................................................................................................................ 163 システム - メンテナンス .......................................................................................... 165 バックアップおよび復元................................................................................................................ 165 FortiGuard Center ............................................................................................................................. 169 FortiGuard Distribution Network ............................................................................................ FortiGuard サービ ス ................................................................................................................... FortiGate ユニ ッ ト の FDN お よび FortiGuard サービ スの設定 ........................... FDN 接続性の ト ラ ブルシ ュ ーテ ィ ン グ.......................................................................... ア ン チウ イルスお よび攻撃の定義の更新 ..................................................................... プ ッ シ ュ更新の有効化............................................................................................................. 169 169 170 175 175 177 ライセンス ............................................................................................................................................. 180 システム - シャーシ (FortiGate-5000 シリーズ ) ..................................................................................... 181 SMC ( シェルフ マネージャ カード ) ...................................................................................... 181 ブレード (FortiGate-5000 シャーシ スロット ) ................................................................ 182 シャーシ モニタリングのイベント ログ メッセージ..................................................... 184 ルータ - スタティック ............................................................................................ 187 ルーティングの概念 ........................................................................................................................ 187 ルーテ ィ ン グ テーブルの成立ち ...................................................................................... ルーテ ィ ン グの決定方法 ...................................................................................................... マルチパス ルーテ ィ ン グ と 最良のルー ト の決定..................................................... ルー ト プ ラ イ オ リ テ ィ へのルー ト シーケ ン スの影響 ........................................ 等価 コ ス ト マルチパス (ECMP) ルー ト .......................................................................... 188 188 188 189 190 スタティック ルート ...................................................................................................................... 190 ス タ テ ィ ッ ク ルー ト の操作 ................................................................................................ 190 デ フ ォ ル ト ルー ト お よびデ フ ォル ト ゲー ト ウ ェ イ ............................................. 191 ルーテ ィ ン グ テーブルへのス タ テ ィ ッ ク ルー ト の追加 ................................... 194 ポリシー ルート.................................................................................................................................. 195 ルー ト ポ リ シーの追加 .......................................................................................................... 196 ルー ト ポ リ シーの移動 ........................................................................................................... 197 ルータ - ダイナミック ............................................................................................... 199 RIP ............................................................................................................................................................... 199 RIP の動作....................................................................................................................................... 基本的な RIP 設定の表示 と 編集 ......................................................................................... RIP 詳細設定オプ シ ョ ンの選択 .......................................................................................... イ ン タ フ ェ ース上の RIP 動作パラ メ ー タ の置き換え............................................. FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 200 200 202 203 7 目次 OSPF ......................................................................................................................................................... 204 OSPF 自律シ ス テム .................................................................................................................. OSPF AS の定義.......................................................................................................................... 基本的な OSPF 設定の表示 と 編集.................................................................................... OSPF 詳細設定オプ シ ョ ンの選択..................................................................................... OSPF エ リ アの定義 .................................................................................................................. OSPF ネ ッ ト ワー クの指定.................................................................................................... OSPF イ ン タ フ ェ ースの動作パラ メ ー タ の選択 ....................................................... 205 205 206 208 209 211 212 BGP ............................................................................................................................................................ 213 BGP の動作.................................................................................................................................... 213 BGP 設定の表示 と 編集 ........................................................................................................... 214 マルチキャスト................................................................................................................................... 215 マルチキ ャ ス ト 設定の表示 と 編集 ................................................................................... 216 イ ン タ フ ェ ース上のマルチキ ャ ス ト 設定の置き換え ............................................ 217 ルータ - モニタ.............................................................................................................. 219 ルーティング情報の表示 ............................................................................................................... 219 FortiGate ルーティング テーブルの検索 ............................................................................. 221 ファイアウォール - ポリシー ................................................................................ 223 ファイアウォール ポリシーについて..................................................................................... 223 ポ リ シー照合の動作 ................................................................................................................. 224 ファイアウォール ポリシー リストの表示 ......................................................................... 224 フ ァ イ アウ ォ ール ポ リ シーの追加 .................................................................................. 225 ポ リ シー リ ス ト 内の別の位置へのポ リ シーの移動 ............................................... 226 ファイアウォール ポリシーの設定.......................................................................................... 226 フ ァ イ アウ ォ ール ポ リ シーのオ プ シ ョ ン ................................................................... フ ァ イ アウ ォ ール ポ リ シーへの認証の追加 .............................................................. フ ァ イ アウ ォ ール ポ リ シーへの ト ラ フ ィ ッ ク シ ェ ーピ ン グの追加 ........... IPSec のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン .................................................... SSL-VPN のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン ............................................ ホス ト 上の FortiClient を確認する ためのオプ シ ョ ン............................................. 230 234 235 238 239 239 ファイアウォール ポリシーの例............................................................................................... 240 シナ リ オ 1: SOHO 規模の企業............................................................................................. 240 シナ リ オ 2: 大規模企業........................................................................................................... 243 ファイアウォール - アドレス ................................................................................ 247 ファイアウォール アドレスについて..................................................................................... 247 ファイアウォール アドレス リストの表示 ......................................................................... 248 アドレスの設定................................................................................................................................... 249 アドレス グループ リストの表示 ............................................................................................. 250 アドレス グループの設定 ............................................................................................................. 250 8 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 ファイアウォール - サービス ................................................................................ 253 定義済みサービス リストの表示 ............................................................................................... 253 カスタム サービス リストの表示.............................................................................................. 257 カスタム サービスの設定 .............................................................................................................. 257 サービス グループ リストの表示.............................................................................................. 259 サービス グループの設定 .............................................................................................................. 259 ファイアウォール - スケジュール....................................................................... 261 ワンタイム スケジュール リストの表示............................................................................... 261 ワンタイム スケジュールの設定 ............................................................................................... 262 反復スケジュール リストの表示 ............................................................................................... 262 反復スケジュールの設定................................................................................................................ 263 ファイアウォール - 仮想 IP ..................................................................................... 265 仮想 IP ....................................................................................................................................................... 265 仮想 IP によ る FortiGate ユニ ッ ト を介 し た接続のマ ッ ッ ピ ン グ方法........... 265 仮想 IP リストの表示 ........................................................................................................................ 269 仮想 IP の設定....................................................................................................................................... 269 単一の IP ア ド レ スに対する ス タ テ ィ ッ ク NAT 仮想 IP の追加 ........................ 270 IP ア ド レ ス範囲に対する ス タ テ ィ ッ ク NAT 仮想 IP の追加............................... 272 単一 IP ア ド レ スおよ び単一ポー ト に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ン グの追加.................................................................................................................. 274 IP ア ド レ ス範囲お よびポー ト 範囲に対する ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ン グの追加.................................................................................................................. 276 IP ア ド レ ス範囲または リ アル サーバに対する負荷分散仮想 IP の追加 ...... 277 負荷分散ポー ト フ ォ ワーデ ィ ン グ仮想 IP の追加 ................................................... 279 ダ イ ナ ミ ッ ク仮想 IP の追加................................................................................................. 281 仮想 IP グループ .................................................................................................................................. 282 VIP グループ リストの表示........................................................................................................... 282 VIP グループの設定........................................................................................................................... 282 IP プール .................................................................................................................................................. 283 IP プール と ダ イ ナ ミ ッ ク NAT............................................................................................. 284 固定ポー ト を用いた フ ァ イ アウ ォ ール ポ リ シーの IP プール .......................... 284 IP プール リストの表示................................................................................................................... 284 IP プールの設定 ................................................................................................................................... 285 ファイアウォール プロテクション プロファイル............................................................................... 287 プロテクション プロファイルとは .......................................................................................... 287 デ フ ォ ル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル............................................................... 288 プロテクション プロファイル リストの表示..................................................................... 288 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 9 目次 プロテクション プロファイルの設定..................................................................................... 289 ア ン チウ イルス オ プ シ ョ ン ................................................................................................. Web フ ィ ル タ リ ン グ オプ シ ョ ン ....................................................................................... FortiGuard-Web フ ィ ル タ リ ン グ オプ シ ョ ン .............................................................. スパム フ ィ ル タ リ ン グ オプ シ ョ ン ................................................................................ IPS オ プ シ ョ ン ............................................................................................................................ コ ン テ ン ツ アー カ イ ブ オプ シ ョ ン ................................................................................ IM お よび P2P オプ シ ョ ン ..................................................................................................... ロギン グ オ プ シ ョ ン................................................................................................................ VoIP オ プ シ ョ ン .......................................................................................................................... 290 291 292 294 296 297 298 299 300 ポリシーへのプロテクション プロファイルの追加 ....................................................... 300 プロテクション プロファイル CLI 設定 ................................................................................ 301 VPN - IPSEC .................................................................................................................... 303 IPSec インタフェース モードの概要 ...................................................................................... 303 自動キー.................................................................................................................................................. 305 新 し い フ ェ ーズ 1 設定の作成 ............................................................................................. フ ェ ーズ 1 詳細設定の定義 .................................................................................................. 新 し い フ ェ ーズ 2 設定の作成 ............................................................................................. フ ェ ーズ 2 詳細設定の定義 .................................................................................................. イ ン タ ーネ ッ ト ブ ラ ウジ ン グ設定.................................................................................. 305 308 311 311 314 手動キー.................................................................................................................................................. 315 新 し い手動キー設定の作成 .................................................................................................. 315 コンセントレータ ............................................................................................................................ 317 コ ン セ ン ト レ ー タ オ プ シ ョ ンの定義 ............................................................................. 318 モニタ ..................................................................................................................................................... 319 VPN - PPTP....................................................................................................................... 321 PPTP の範囲.......................................................................................................................................... 321 VPN - SSL.......................................................................................................................... 323 Config ...................................................................................................................................................... 323 Monitor ..................................................................................................................................................... 325 VPN - 証明書 ................................................................................................................... 327 ローカル証明書................................................................................................................................... 327 証明書要求の生成 ...................................................................................................................... 証明書要求のダウ ン ロ ー ド と 送信 ................................................................................... 署名済みサーバ証明書のイ ン ポー ト ............................................................................... エ ク スポー ト さ れたサーバ証明書お よび秘密鍵のイ ン ポー ト ........................ サーバ証明書お よび秘密鍵 フ ァ イルの個別イ ン ポー ト ....................................... 328 330 330 331 331 リモート証明書................................................................................................................................... 332 リ モー ト (OCSP サーバ ) 証明書のイ ン ポー ト ......................................................... 333 10 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 CA 証明書............................................................................................................................................... 333 CA 証明書のイ ン ポー ト .......................................................................................................... 334 CRL............................................................................................................................................................. 335 証明書失効 リ ス ト のイ ン ポー ト ......................................................................................... 335 ユーザ ................................................................................................................................. 337 ユーザ認証の設定 ............................................................................................................................. 337 認証 タ イ ムアウ ト の設定........................................................................................................ 338 ユーザ認証のプ ロ ト コ ル サポー ト の設定.................................................................... 338 ローカル ユーザ アカウント ....................................................................................................... 339 ユーザ ア カ ウ ン ト の設定 ...................................................................................................... 340 RADIUS サーバ..................................................................................................................................... 340 RADIUS サーバの設定 .............................................................................................................. 341 LDAP サーバ ......................................................................................................................................... 341 LDAP サーバの設定 ................................................................................................................... 342 PKI 認証.................................................................................................................................................... 343 PKI ユーザの設定 ...................................................................................................................... 344 Windows AD サーバ .......................................................................................................................... 345 Windows AD サーバの設定...................................................................................................... 345 ユーザ グループ.................................................................................................................................. 346 ユーザ グループの種類 ........................................................................................................... ユーザ グループの リ ス ト ...................................................................................................... ユーザ グループの設定 ........................................................................................................... ユーザ グループのための FortiGuard 置き換えオ プ シ ョ ンの設定................... SSL VPN ユーザ グループのオプ シ ョ ンの設定......................................................... 347 349 349 351 352 ピアおよびピア グループの設定 ............................................................................................... 354 アンチウイルス.............................................................................................................. 355 操作の順序 ............................................................................................................................................. 355 アンチウイルス要素 ......................................................................................................................... 355 FortiGuard ア ン チウ イルス .................................................................................................... 356 アンチウイルスの設定と制御...................................................................................................... 357 ファイル パターン............................................................................................................................. 358 フ ァ イル パ タ ーン リ ス ト カ タ ロ グの表示................................................................. 新 し い フ ァ イル パ タ ーン リ ス ト の作成 ....................................................................... フ ァ イル パ タ ーン リ ス ト の表示...................................................................................... フ ァ イル パ タ ーン リ ス ト の設定...................................................................................... 358 359 359 360 隔離............................................................................................................................................................ 361 隔離済みフ ァ イル リ ス ト の表示 ....................................................................................... 自動送信 リ ス ト の表示............................................................................................................. 自動送信 リ ス ト の設定............................................................................................................. 隔離オ プ シ ョ ンの設定............................................................................................................. FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 361 362 363 363 11 目次 [Config].................................................................................................................................................... 365 ウ イルス リ ス ト の表示........................................................................................................... 365 グ レ ーウ ェ ア リ ス ト の表示................................................................................................. 366 アンチウイルスの CLI 設定 .......................................................................................................... 368 system global optimize ............................................................................................................... config antivirus heuristic ........................................................................................................... config antivirus quarantine ....................................................................................................... config antivirus service <service_name> ............................................................................ 368 368 369 369 不正侵入防御................................................................................................................... 371 不正侵入防御について .................................................................................................................... 371 IPS の設定 と 制御 ....................................................................................................................... 372 IPS を使用する状況 .................................................................................................................. 373 定義済みシグネチャ......................................................................................................................... 373 定義済みシグネチ ャ リ ス ト の表示 .................................................................................. 373 定義済みシグネチ ャ の設定 .................................................................................................. 375 シ ス テム パ フ ォ ーマ ン ス向上のための IPS 定義済みシグネチ ャの微調整 376 カスタム シグネチャ ....................................................................................................................... 377 カ ス タ ム シグネチ ャ リ ス ト の表示 ................................................................................ 377 カ ス タ ム シグネチ ャの作成................................................................................................. 378 プロトコル デコーダ ....................................................................................................................... 378 プ ロ ト コ ル デ コ ーダ リ ス ト の表示 ................................................................................ 379 IPS プ ロ ト コ ル デ コ ーダ リ ス ト のア ッ プグ レ ー ド ............................................... 379 アノマリ.................................................................................................................................................. 379 ト ラ フ ィ ッ ク ア ノ マ リ リ ス ト の表示............................................................................ 380 IPS ト ラ フ ィ ッ ク ア ノ マ リ の設定 ................................................................................... 381 IPS の CLI 設定..................................................................................................................................... 381 system autoupdate ips ............................................................................................................... ips global fail-open....................................................................................................................... ips global ip_protocol ................................................................................................................... ips global socket-size................................................................................................................. (config ips anomaly) config limit ............................................................................................. 381 382 382 382 382 Web フィルタ.................................................................................................................. 383 Web フィルタリングの順序 ......................................................................................................... 383 Web フィルタリングの動作 ......................................................................................................... 383 Web フィルタの制御........................................................................................................................ 384 12 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 コンテンツ ブロック........................................................................................................................ 386 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト カ タ ロ グの表示.................................................. 新 し い Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の作成 ....................................................... Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の表示 ....................................................................... Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の設定 ....................................................................... Web コ ン テ ン ツ除外 リ ス ト カ タ ロ グの表示............................................................... 新 し い Web コ ン テ ン ツ除外 リ ス ト の作成 .................................................................... Web コ ン テ ン ツ除外 リ ス ト の表示 .................................................................................... Web コ ン テ ン ツ除外 リ ス ト の設定 .................................................................................... 387 387 388 389 389 390 390 391 URL フィルタ ........................................................................................................................................ 392 URL フ ィ ル タ リ ス ト カ タ ロ グの表示............................................................................ 新 し い URL フ ィ ル タ リ ス ト の作成 ................................................................................. URL フ ィ ル タ リ ス ト の表示 ................................................................................................. URL フ ィ ル タ リ ス ト の設定 ................................................................................................. URL フ ィ ル タ リ ス ト 内の URL の移動............................................................................ 392 393 393 394 396 FortiGuard-Web フィルタ .............................................................................................................. 396 FortiGuard-Web フ ィ ル タ リ ン グの設定 .......................................................................... 上書き リ ス ト の表示.................................................................................................................. 上書きルールの設定.................................................................................................................. ロー カル カ テ ゴ リ の作成 ...................................................................................................... ロー カル評価 リ ス ト の表示................................................................................................... ロー カル評価の設定.................................................................................................................. カ テ ゴ リ ブ ロ ッ クの CLI 設定............................................................................................. FortiGuard-Web フ ィ ル タ レ ポー ト ................................................................................... 397 397 398 400 400 401 402 402 アンチスパム................................................................................................................... 405 アンチスパム ........................................................................................................................................ 405 スパム フ ィ ル タ リ ン グの順序 ............................................................................................ 405 ア ン チ スパム フ ィ ル タ の制御 ............................................................................................ 406 禁止単語 .................................................................................................................................................. 408 ア ン チ スパム禁止単語 リ ス ト カ タ ロ グの表示.......................................................... 新 し いア ン チ スパム禁止単語 リ ス ト の作成 ................................................................ ア ン チ スパム禁止単語 リ ス ト の表示 ............................................................................... ア ン チ スパム禁止単語 リ ス ト の設定 ............................................................................... 409 409 410 411 ブラック / ホワイト リスト ......................................................................................................... 411 ア ン チ スパム IP ア ド レ ス リ ス ト カ タ ロ グの表示.................................................. 新 し いア ン チ スパム IP ア ド レ ス リ ス ト の作成 ........................................................ ア ン チ スパム IP ア ド レ ス リ ス ト の表示....................................................................... ア ン チ スパム IP ア ド レ ス リ ス ト の設定....................................................................... ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト カ タ ロ グの表示 .............................. 新 し いア ン チ スパム電子 メ ール ア ド レ ス リ ス ト の作成..................................... ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト の表示 ................................................... ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト の設定 ................................................... FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 412 412 413 413 414 415 415 416 13 目次 アンチスパムの詳細設定 ............................................................................................................... 417 config spamfilter mheader ........................................................................................................ 417 config spamfilter rbl..................................................................................................................... 417 Perl 正規表現の使用 ......................................................................................................................... 418 正規表現 と ワ イル ド カ ー ド の一致パ タ ーンの比較 ................................................. 単語境界.......................................................................................................................................... 大文字 と 小文字の区別 ............................................................................................................ Perl 正規表現形式 ...................................................................................................................... 正規表現の例................................................................................................................................ 418 419 419 419 420 IM、P2P、および VoIP................................................................................................ 421 概要 ........................................................................................................................................................... 421 IM/P2P プロトコルの設定 ............................................................................................................. 423 IM/P2P オプ シ ョ ン を有効または無効にする方法.................................................... プ ロ テ ク シ ョ ン プ ロ フ ァ イル内で IM/P2P オプ シ ョ ン を設定する方法 .... IM/P2P デ コ ーダのロ グ設定を設定する方法 ............................................................. 古いバージ ョ ンの IM/P2P ア プ リ ケーシ ョ ン を設定する方法.......................... サポー ト さ れていないプ ロ ト コ ルを設定する方法 ................................................. 423 423 424 424 424 統計 ........................................................................................................................................................... 425 概要の統計の表示 ...................................................................................................................... 425 プ ロ ト コ ルご と の統計の表示 ............................................................................................. 426 ユーザ ...................................................................................................................................................... 427 [Current Users] リ ス ト の表示.............................................................................................. ユーザ リ ス ト の表示................................................................................................................ ユーザ リ ス ト への新 し いユーザの追加 ........................................................................ 不明な IM ユーザのためのポ リ シーの設定 .................................................................. 427 428 428 429 ログおよびレポート.................................................................................................... 431 FortiGate ロギング ........................................................................................................................... 431 ログの重大度........................................................................................................................................ 432 ログの保存............................................................................................................................................. 433 FortiAnalyzer ユニ ッ ト へのロギン グ ............................................................................... 自動発見を使用 し た FortiAnalyzer への接続 ............................................................... FortiAnalyzer 設定のテ ス ト ................................................................................................... メ モ リ へのロギン グ ................................................................................................................. Syslog サーバへのロギン グ .................................................................................................. WebTrends へのロギン グ ........................................................................................................ FortiGuard ロ グお よび分析サーバへのロギン グ ....................................................... 434 435 435 436 437 438 438 高可用性クラスタ ロギング......................................................................................................... 439 14 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 目次 ログの種類 ............................................................................................................................................. 439 ト ラ フ ィ ッ ク ロ グ ..................................................................................................................... イ ベ ン ト ロ グ ............................................................................................................................... ア ン チウ イルス ロ グ ................................................................................................................ Web フ ィ ル タ ロ グ ..................................................................................................................... 攻撃ロ グ .......................................................................................................................................... スパム フ ィ ル タ ロ グ............................................................................................................... IM お よび P2P ロ グ .................................................................................................................... VoIP ロ グ ......................................................................................................................................... 440 440 441 442 442 443 443 443 ログ アクセス....................................................................................................................................... 444 メ モ リ に保存 さ れた ロ グ メ ッ セージへのア ク セス ................................................ ハー ド デ ィ ス ク に保存 さ れた ロ グ メ ッ セージへのア ク セス ........................... FortiAnalyzer ユニ ッ ト に保存 さ れた ロ グへのア ク セス......................................... FortiGuard ロ グお よび分析サーバ上のロ グへのア ク セス .................................... ロ グ情報の表示 ........................................................................................................................... 列の設定 .......................................................................................................................................... ロ グ メ ッ セージのフ ィ ル タ リ ン グ .................................................................................. FortiGuard ロ グお よび分析サーバに保存 さ れた ロ グの削除 ............................... 444 444 445 446 446 447 448 449 コンテンツ アーカイブ................................................................................................................... 450 アラート メール.................................................................................................................................. 451 ア ラ ー ト メ ールの設定 ........................................................................................................... 452 レポート .................................................................................................................................................. 454 基本 ト ラ フ ィ ッ ク レ ポー ト ................................................................................................. FortiAnalyzer レ ポー ト .............................................................................................................. FortiAnalyzer レ ポー ト の設定............................................................................................... FortiAnalyzer レ ポー ト の編集............................................................................................... FortiAnalyzer レ ポー ト の印刷............................................................................................... 454 455 456 464 464 FortiGate ユニットからの FortiAnalyzer レポートの表示 .......................................... 464 部分的な FortiAnalyzer レ ポー ト の表示.......................................................................... 465 索引 ...................................................................................................................................... 467 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 15 目次 16 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに FortiGate ユニットの概要 はじめに リ アル タ イム ネ ッ ト ワー ク保護を可能にする フ ォ ーテ ィ ネ ッ ト 製品を お選びい ただ き、 あ り が と う ご ざいます。 FortiGate ASIC ベースの複合脅威セキ ュ リ テ ィ シ ス テムは、 ネ ッ ト ワー クのパ フ ォ ーマ ン ス を低下 さ せる こ と な く 、 ネ ッ ト ワー ク セキ ュ リ テ ィ の強化、 ネ ッ ト ワー クの誤用 と 悪用の軽減、 そ し て通信 リ ソ ースのよ り 効率的な活用を実現 し ます。 FortiGate シ ステムは、 ア ン チウ イルス、 フ ァ イ アウ ォ ール、 IPSec、 SSLTLS、 IPS、 不正侵入検知、 およ び AntiSpyware サービ スについて ICSA の認 定を取得 し ています。 FortiGate シ ステムは管理の容易な専用のセキ ュ リ テ ィ 機器であ り 、 次のよ う な フルス イ ー ト の機能を提供 し ます。 • ウ イルス保護、 不正侵入防御、 スパム フ ィ ル タ リ ン グ、 Web コ ン テ ン ツ フ ィ ル タ リ ン グ、 IM、 P2P、 VoIP フ ィ ル タ リ ン グな どの、 ア プ リ ケーシ ョ ン レ ベ ルのサービ ス • フ ァ イ アウ ォ ール、 不正侵入検知、 IPSec およ び SSL VPN、 ト ラ フ ィ ッ ク シ ェ ーピ ン グな どの、 ネ ッ ト ワー ク レ ベルのサービ ス • ユーザ認証、 ロギン グ、 FortiAnalyzer に よ る レ ポー ト 、 管理プ ロ フ ァ イル、 セキ ュ ア な Web お よび CLI 管理ア ク セス、 SNMP な どの、 管理サービ ス FortiGate セキ ュ リ テ ィ シ ス テムは、 チ ッ プ設計、 ネ ッ ト ワー ク 、 セキ ュ リ テ ィ 、 コ ン テ ン ツ解析な どにおけ る ブ レ ー ク スルーを活用 し た、 フ ォ ーテ ィ ネ ッ ト の DTPS (Dynamic Threat Prevention System) テ ク ノ ロ ジ を使用 し ています。 こ のユニー ク な ASIC ベースのアーキテ ク チ ャ に よ っ て コ ン テ ン ツや動作が リ アル タ イムに解析 さ れる ため、 重要なア プ リ ケーシ ョ ン を、 ネ ッ ト ワー クの保護に最 も効果的なネ ッ ト ワー ク エ ッ ジにそのま ま展開で き ます。 こ の章で説明する内容は次の と お り です。 • • • • • FortiGate ユニ ッ ト の概要 フ ォ ーテ ィ ネ ッ ト 製品フ ァ ミ リ こ の ド キ ュ メ ン ト について FortiGate の ド キ ュ メ ン ト カ ス タ マ サービ スお よびテ ク ニ カル サポー ト FortiGate ユニットの概要 すべての FortiGate 統合脅威管理シ ス テムが、 SOHO か ら エ ン タ ープ ラ イ ズ ク ラ ス ま でのネ ッ ト ワー ク ベースのア ン チウ イルス、 コ ン テ ン ツ フ ィ ル タ リ ン グ、 フ ァ イ アウ ォ ール、 VPN、 お よびネ ッ ト ワー ク ベースの不正侵入検知 / 防御機 能 と い っ た同様の機能を提供 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 17 FortiGate ユニットの概要 はじめに FortiGate-5000 シリーズ シャーシ FortiGate-5000 シ リ ーズ セキ ュ リ テ ィ シ ス テムは、 マネージ ド セキ ュ リ テ ィ サービ ス プ ロバイ ダ (MSSP) や大規模企業が、 フ ァ イ アウ ォ ール、 VPN、 ア ン チ ウ イルス保護、 スパム フ ィ ル タ リ ン グ、 Web フ ィ ル タ リ ン グ、 不正侵入防御 (IPS) な どのサブ ス ク ラ イバ セキ ュ リ テ ィ サービ ス を実現で き る シ ャ ーシ ベー スのシ ス テムです。 FortiGate-5000 シ リ ーズでは多様なシ ス テム構成を採用で き る ため、 成長を続ける高性能ネ ッ ト ワー クの変化の激 し いニーズに柔軟に対応で き ます。 FortiGate-5000 シ リ ーズ シ ャ ーシは、 ホ ッ ト スワ ッ プ可能な複数の FortiGate-5000 シ リ ーズ モ ジ ュ ール と 電源をサポー ト し ます。 こ う し たモ ジ ュ ー ル型のア プ ローチによ り 、 拡張性に優れた高性能お よび耐障害ソ リ ュ ーシ ョ ンが 実現 し ます。 5140SAP 6 12 14 5 PWR ACC PWR ACC PWR ACC 3 4 5 6 7 8 2 3 4 5 6 7 8 CONSOLE USB 1 2 3 4 5 6 7 8 STA IPM STA IPM PWR ACC 1 1 1 1 OK 1 5 3 9 INT FLT EXT FLT 0 4 2 8 6 1 CLK 3 12 10 14 E2 E1 13 11 15 12 14 10 E2 ZRE 7 Z R E 2 E1 13 11 15 Z R E 1 Z R E 0 R S 2 3 2 SYSTEM CONSOLE SYSTEM E T H O CONSOLE MANAGEMENT 5000SM 10/100 link/Act 10/100 link/Act E T H O 2 2 2 2 INT FLT EXT FLT 5 OK 9 7 0 2 ZRE 4 Z R E 1 Z R E 0 R S 2 3 2 Z R E 2 8 1 6 ETH0 Service CLK 3 3 3 3 3 E2 POWER ETH0 ETH1 3 3 3 3 3 3 3 E1 2 2 2 2 2 2 2 2 E2 2 E1 LED MODE Z R E 2 2 1 STA IPM USB USB USB USB Z R E 1 Z R E 2 1 Z R E 1 1 Z R E 0 1 USB 1 1 1 1 1 1 R S 2 3 2 Z R E 0 USB CONSOLE PWR ACC 3 R S 2 3 2 CONSOLE PWR ACC 4 CONSOLE CONSOLE CONSOLE USB USB USB USB USB USB USB USB SYSTEM CONSOLE CONSOLE CONSOLE CONSOLE CONSOLE CONSOLE CONSOLE CONSOLE SYSTEM CONSOLE 10 PWR ACC E T H O CONSOLE E T H O CONSOLE MANAGEMENT PWR ACC PWR ACC MANAGEMENT 8 LED MODE 4 HOT SWAP 2 ALARM RESET 1 SERIAL 2 HOT SWAP 3 SERIAL 1 L 2 1 3 R R CA ITI MAJO MINO USER USER USER CR MANAGEMENT 5 PWR ACC PWR ACC 7 PWR ACC PWR ACC 9 PWR ACC 11 PWR ACC 13 T SE RE RESET 5140 RESET 4 4 9 4 11 8 4 15 13 10 9 4 14 12 11 8 4 15 13 10 STATUS 2 0 6 6 6 6 6 6 CLK INT FLT EXT FLT INT FLT 7 7 8 8 8 8 8 8 7 7 8 7 7 8 8 7 8 RESET LED MODE 8 7 RESET LED MODE 7 7 8 HOT SWAP 7 7 HOT SWAP STATUS Hot Swap SERIAL 2 RESET 5000SM 10/100 link/Act 10/100 link/Act ETH0 Service SERIAL 1 ETH0 ETH1 STATUS ETH0 Service 5050SAP Hot Swap 5000SM 10/100 link/Act 10/100 link/Act ALARM 2 SMC 1 12 OK 5000SM 10/100 link/Act 10/100 link/Act EXT FLT OK SMC 3 1 ZRE 6 6 6 6 6 6 CLK ETH0 ETH1 Hot Swap 5 3 1 ZRE 5 5 5 5 5 5 5 2 0 5 7 5 5 6 4 5 7 5 5 6 4 RESET 4 4 4 4 4 4 14 12 ETH0 ETH1 ETH0 Service STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM STA IPM RESET STATUS Hot Swap PSU A PSU B FILTER USB CONSOLE USB CONSOLE 1 62 53 4 1 62 53 4 5 6 5 6 ALT ON/OFF RESET STATUS IPM PWR ALT ON/OFF RESET STATUS 0 FA N T R AY 1 FA N T R AY 2 PWR IPM FA N T R AY FortiGate-5140 シャーシ FortiGate-5140 ATCA シ ャ ーシの 14 のス ロ ッ ト に、 最大 14 枚の FortiGate-5000 シ リ ーズ モ ジ ュ ールを装着で き ます。 FortiGate-5140 は、 -48 VDC デー タ セ ン タ ー DC 電源に接続 さ れる 2 つの冗長ホ ッ ト スワ ッ パブル DC 電源入力モ ジ ュ ー ルが搭載 さ れた 12U シ ャ ーシ です。 また、 FortiGate-5140 のシ ャ ーシには、 3 つ のホ ッ ト スワ ッ プ可能な冷却フ ァ ン ト レ イ も搭載 さ れています。 FortiGate-5050 シャーシ FortiGate-5050 ATCA シ ャ ーシの 5 つのス ロ ッ ト に、 最大 5 枚の FortiGate-5000 シ リ ーズ モ ジ ュ ールを装着で き ます。 FortiGate-5050 は、 -48 VDC デー タ セ ン タ ー DC 電源に接続 さ れる 2 つの冗長 DC 電源接続が搭載 さ れた 5U シ ャ ーシ で す。 また、 FortiGate-5050 のシ ャ ーシには、 ホ ッ ト スワ ッ プ可能な冷却 フ ァ ン ト レ イ も 搭載 さ れています。 FortiGate-5020 シャーシ FortiGate-5020 ATCA シ ャ ーシの 2 つのス ロ ッ ト に、 1 または 2 枚の FortiGate5000 シ リ ーズ モ ジ ュ ールを装着で き ます。 FortiGate-5020 は、 AC 電源に接続 さ れる 2 つの冗長 AC-DC 電源が搭載 さ れた 4U シ ャ ーシ です。 また、 FortiGate- 5020 のシ ャ ーシには、 内蔵冷却フ ァ ン ト レ イ も搭載 さ れています。 18 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに FortiGate ユニットの概要 FortiGate-5000 シリーズ モジュールについて 各 FortiGate-5000 シ リ ーズ モ ジ ュ ールは、 HA ク ラ ス タ の一部 と し て も機能で き る ス タ ン ド ア ロ ンのセキ ュ リ テ ィ シ ス テムです。 また、 すべての FortiGate-5000 シ リ ーズ モ ジ ュ ールがホ ッ ト スワ ッ プ可能です。 FortiGate-5000 シ リ ーズ ユ ニ ッ ト はすべて、 複数のギガ ビ ッ ト イ ン タ フ ェ ース、 複数のバーチ ャ ル ド メ イ ン処理能力、 その他のハイ エ ン ド FortiGate 機能を備えた大容量セキ ュ リ テ ィ シ ス テムです。 FortiGate-5005FA2 モジュール FortiGate-5005FA2 モ ジ ュ ールは、 8 つのギガ ビ ッ ト イ ーサネ ッ ト イ ン タ フ ェ ー ス を装備する、 独立 し た高性能セキ ュ リ テ ィ シ ス テムです。 こ れらのイ ン タ フ ェ ースの う ち 2 つには、 小型パケ ッ ト のパ フ ォ ーマ ン ス を高速化する フ ォ ー テ ィ ネ ッ ト テ ク ノ ロ ジが搭載 さ れています。 FortiGate- 5005FA2 モ ジ ュ ールはま た、 802.1Q VLAN や複数のバーチ ャ ル ド メ イ ン を含むハイ エ ン ド 機能もサポー ト し ています。 FortiGate-5001SX モジュール FortiGate-5001SX モ ジ ュ ールは、 8 つのギガ ビ ッ ト イ ーサネ ッ ト イ ン タ フ ェ ー ス を装備する、 独立 し た高性能セキ ュ リ テ ィ シ ス テムです。 FortiGate- 5001SX モ ジ ュ ールは、 802.1Q VLAN や複数のバーチ ャル ド メ イ ン な どのハイ エ ン ド 機 能をサポー ト し ます。 FortiGate-5001FA2 モジュール FortiGate-5001FA2 モ ジ ュ ールは、 6 つのギガ ビ ッ ト イ ーサネ ッ ト イ ン タ フ ェ ー ス を装備する、 独立 し た高性能セキ ュ リ テ ィ シ ス テムです。 FortiGate-5001FA2 モ ジ ュ ールは FortiGate-5001SX モ ジ ュ ールに似ていますが、 FortiGate-5001FA2 イ ン タ フ ェ ースの う ち 2 つに小型パケ ッ ト のパフ ォ ーマ ン ス を高速化する Fortinet テ ク ノ ロ ジが搭載 さ れてい る点が異な り ます。 FortiGate-5002FB2 モジュール FortiGate-5002FB2 モ ジ ュ ールは、 合計 6 つのギガ ビ ッ ト イ ーサネ ッ ト イ ン タ フ ェ ース を装備する、 独立 し た高性能 FortiGate セキ ュ リ テ ィ シ ス テムです。 FortiGate- 5002FB2 イ ン タ フ ェ ースの う ち 2 つには、 小型パケ ッ ト のパ フ ォ ーマ ン ス を高速化する Fortinet テ ク ノ ロ ジが搭載 さ れています。 FortiGate-3,600A FortiGate-3600A ユニ ッ ト は、 大 規 模 企 業 や サー ビ ス プ ロ バ イ ダ に要求 さ れる キ ャ リ ア ク ラ スのパ フ ォ ーマ ン ス と 信頼性を提供 し ま す。このユニ ッ ト は、複 数の CPU と FortiASIC チ ッ プ を使用 し て 4 Gbps のスループ ッ ト を実現 し てお り 、 最 も 要求の厳 し い ア プ リ ケーシ ョ ンのニーズ を満た し ます。 FortiGate-3600A ユ ニ ッ ト には、 単一障害点を最小限に抑え、 負荷分散機能をサポー ト する冗長電源 が搭載 さ れています。大容量、高信頼性、およ び容易な管理を特長 と する FortiGate3600A は、 マネージ ド サービ ス を提供する ための理想的な選択肢です。 CONSOLE PWR Esc Enter 1 2 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 3 4 5 6 7 8 9 10 MODEM USB Hi-Temp 19 FortiGate ユニットの概要 はじめに FortiGate-3600 FortiGate-3600 ユニ ッ ト は、 大規模企業や サービ ス プ ロバイ ダに 要求 さ れるキ ャ リ ア ク ラ スのパフ ォ ーマ ン ス と 信頼性を提供 し ま す。 こ のユニ ッ ト は、 複数の CPU と FortiASIC チ ッ プ を使用 し て 4 Gbps のスループ ッ ト を実現 し てお り 、 最 も要求の厳 し いア プ リ ケーシ ョ ンのニーズを満た し ます。 FortiGate-3600 ユニ ッ ト には、 単一障害点を最小限に抑え、 負荷分散機能をサポー ト する冗長電 源が搭載 さ れています。 大容量、 高信頼性、 およ び容易な管理を特長 と する FortiGate-3600 は、 マネージ ド サービ ス を提供する ための理想的な選択肢です。 Esc POWER 1 2 3 Hi-Temp 4 5/HA INT Enter 1 2 3 4 INTERNAL 5/HA EXT EXTERNAL FortiGate-3000 FortiGate- 3000 ユニ ッ ト は、 大規模企業や サービ ス プ ロバイ ダ に要求 さ れるキ ャ リ ア ク ラ スのパフ ォ ー マ ン ス と 信頼性を提 供 し ます。 こ のユニ ッ ト は、 複数の CPU と FortiASIC チ ッ プ を使用 し て 3 Gbps のスループ ッ ト を発揮 し 、 最も要求の厳 し いア プ リ ケーシ ョ ンのニーズを満た し ます。 FortiGate-3000 ユニ ッ ト には、 単一障害点を最小限に抑え、 サービ スの中 断な く 負荷分散機能や冗長 フ ェ ールオーバーをサポー ト する冗長電源が搭載 さ れ ています。 大容量、 高信頼性、 およ び容易な管理を特長 と する FortiGate-3000 は、 マネージ ド サービ ス を提供する ための理想的な選択肢です。 Esc POWER 1 2 3 Hi-Temp 4/HA INT EXT Enter 1 2 3 4/HA INTERNAL EXTERNAL FortiGate-1000A FortiGate- 1000A セ キ ュ リ テ ィ シ ス テム は、 最 も要求の厳 し い 大規模企業やサービ ス プ ロバイ ダ向けの高性 能ソ リ ュ ーシ ョ ン で す。 FortiGate-1000A は、 FortiGuard Distribution Network に よ る FortiGuard セキ ュ リ テ ィ サブ ス ク リ プ シ ョ ン サービ スで自動的に最新の情報を維持する こ と によ っ て、 最新のウ イル ス、 ワーム、 ト ロ イ、 その他の脅威に対する保護を 24 時間体制で保証 し ます。 FortiGate-1000A は、 スパイ ウ ェ ア、 フ ィ ッ シ ン グ、 フ ァ ー ミ ン グ と い っ た ID 窃 盗方法を含む、 IM、 P2P、 VOIP な どの新たに登場 し た テ ク ノ ロ ジに迅速に適応 する柔軟な アーキテ ク チ ャ を備え ています。 20 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに FortiGate ユニットの概要 FortiGate-1000AFA2 FortiGate-1000AFA2 セキ ュ リ テ ィ シ ス テ ムは、 最も要求の厳 し い大規模企業や サービ ス プ ロバイ ダ 向けの高性能 ソ リ ュ ーシ ョ ン です。 FortiGate- 1000AFA2 は、 Fortinet の FortiAccel テ ク ノ ロ ジ を使用 し た追加の光 フ ァ イバ ポー ト を 2 つ備え、 小型パケ ッ ト のパフ ォ ーマ ン スが向上 し ています。 FortiGate-1000AFA2 は、 信頼性、 操作性、 迅速な展開、 低い運用コ ス ト 、 およ び最 も重要な点 と し て既知お よび未知のア ノ マ リ に対する高い検知率を実現する よ う にチ ュ ーニ ン グ さ れた堅牢なセキ ュ リ テ ィ プ ラ ッ ト フ ォ ームであ り 、 ク リ テ ィ カルなセキ ュ リ テ ィ 機能を提供 し ます。 CONSOLE USB A1 A2 FortiGate-1000 FortiGate-1000 ユニ ッ ト は、 よ り 大規模な企業向けに設 計 さ れています。 FortiGate-1000 は、 複数の CPU と FortiASIC チ ッ プ を使用 し て 2 Gbps のスループ ッ ト を発揮 し 、 最も要求 の厳 し いア プ リ ケーシ ョ ンのニーズを満た し ます。 FortiGate-1000 ユニ ッ ト に は、 単一障害点を最小限に抑え、 サービ スの中断な く 負荷分散機能や冗長フ ェ ー ルオーバーをサポー ト する冗長電源が搭載 さ れています。 Esc Enter 1 2 3 4 / HA INTERNAL EXTERNAL FortiGate-800 FortiGate-800 は、 高 い ス ループ ッ ト 、合計 8 つのネ ッ ト ワー ク接続 ( う ち 4 つは ユーザ定義)、VLANのサポー ト 、 お よ びバーチ ャ ル ド メ イ ン を提供 し ます。 ま た、 FortiGate ユニ ッ ト の ク ラ ス タ が設定 さ れてい る場合、 FortiGate-800 はス テー ト フル フ ェ ールオーバー HA を提供 し ます。 FortiGate-800 は、 ト ッ プ レ ベルのネ ッ ト ワー ク セキ ュ リ テ ィ パ フ ォ ーマ ン ス を要求する大規模企業に と っ て理想的な選択肢 と な り ます。 INTERNAL Esc Enter EXTERNAL DMZ HA 1 2 3 4 CONSOLE USB PWR 8 FortiGate-800F FortiGate- 800F は FortiGate- 800 と 同 じ 機能を 提供 し 、 なおかつ、 Internal、 External、 DMZ、 お よび HA ポー ト は光フ ァ イバ と な り ます。 FortiGate-800F はまた、 ス テー ト フル フ ェ ールオーバー HA を提供 し 、 RIP お よび OSPF ルーテ ィ ン グ プ ロ ト コ ルもサ ポー ト し ます。 FortiGate-800F は、 大規模企業が求めてい る、 柔軟性、 信頼性、 お よび容易な管理を提供 し ます。 PWR INTERNAL Esc EXTERNAL DMZ HA 1 2 3 4 CONSOLE USB Enter 800F FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 21 FortiGate ユニットの概要 はじめに FortiGate-500A FortiGate-500A ユニ ッ ト は、 大規模企業やサービ ス プ ロ バイ ダに要求 さ れるキ ャ リ ア ク ラ スのパフ ォ ーマ ン ス と 信頼性のレ ベルを提供 し ます。 FortiGate-500A は、 合計 10 のネ ッ ト ワー ク接続 (4 ポー ト LAN ス イ ッ チ を 含む ) や、 セ ッ シ ョ ン ロ スのない自動フ ェ ールオーバーに よ る高可用性機能を 特長 と し 、 ミ ッ シ ョ ン ク リ テ ィ カルな ア プ リ ケーシ ョ ン に最適です。 優れた柔 軟性、 高信頼性、 およ び容易な管理を特長 と する FortiGate-500A は、 マネージ ド サービ ス を提供する ための理想的な選択肢です。 Esc CONSOLE Enter USB 10/100 LAN L1 L2 L3 L4 1 10/100/1000 2 3 4 5 6 A FortiGate-500 FortiGate-500 ユニ ッ ト は、 よ り 大規模な企業向けに設 計 さ れています。 優れた柔 軟性、 高信頼性、 およ び容 易な管理を特長 と する FortiGate-500 は、 マネージ ド サービ ス を提供する ための理想的な選択肢です。 FortiGate-500 は、 高可用性 (HA) をサポー ト し ています。 INTERNAL Esc EXTERNAL DMZ 1 HA 2 3 4 5 6 7 8 Enter FortiGate-400A FortiGate-400A ユニ ッ ト は、 パ フ ォ ーマ ン ス、 可用 性、 信頼性に対する エ ン タ ープ ラ イ ズ ク ラ スの要件 を満た し ています。 FortiGate-400A はまた、 高可用性 (HA) をサポー ト し 、 セ ッ シ ョ ン ロ スのない自 動フ ェ ールオーバー も備え てい る ため、 ミ ッ シ ョ ン ク リ テ ィ カルなア プ リ ケー シ ョ ン に最適です。 Esc CONSOLE Enter USB 10/100 1 10/100/1000 2 3 4 5 6 A FortiGate-400 FortiGate-400 ユニ ッ ト は、 よ り 大規模な企業向けに設 計 さ れています。 FortiGate-400 ユニ ッ ト は、 最大 500 Mbps のスルー プ ッ ト を発揮 し 、 セ ッ シ ョ ン ロ スのない自動 フ ェ ールオーバーな どの高可用性 (HA) をサポー ト し ています。 Esc CONSOLE Enter 1 3 2 4 / HA FortiGate-300A FortiGate-300A ユニ ッ ト は、 パ フ ォ ーマ ン ス、 可用 性、 信頼性に対する エ ン タ ープ ラ イ ズ ク ラ スの要 件を満た し ています。 FortiGate-300A はまた、 高可用性 (HA) をサポー ト し 、 セ ッ シ ョ ン ロ スのない自 動フ ェ ールオーバー も備え てい る ため、 ミ ッ シ ョ ン ク リ テ ィ カルなア プ リ ケー シ ョ ン に最適です。 Esc 22 Enter CONSOLE USB 10/100 1 2 10/100/1000 3 4 5 6 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに FortiGate ユニットの概要 FortiGate-300 FortiGate-300 ユニ ッ ト は、 よ り 大規模な企業向けに設 計 さ れています。 FortiGate-300 ユニ ッ ト は、 セ ッ シ ョ ン ロ スのない自動 フ ェ ールオーバーな どの高可用性 (HA) を備え ています。 こ の機能に よ り 、 FortiGate-300 は ミ ッ シ ョ ン ク リ テ ィ カルな ア プ リ ケーシ ョ ンのための優れた選 択肢にな っ ています。 Esc Enter FortiGate-200A FortiGate-200A ユニ ッ ト は、 展開 と 管理が容易な ソ リ ュ ーシ ョ ン であ り 、 小規 模オ フ ィ ス、 ホームオ フ ィ ス、 ブ ラ ン チオ フ ィ ス ア プ リ ケーシ ョ ン に比類のない価値 と パフ ォ ーマ ン ス を提供 し ます。 CONSOLE USB 1 Esc INTERNAL 2 DMZ1 3 DMZ2 WAN1 WAN2 4 Enter A FortiGate-200 FortiGate-200 ユニ ッ ト は、 小規模企業、 ホームオ フ ィ ス、 ブ ラ ン チオ フ ィ ス ア プ リ ケーシ ョ ン向けに設計 さ れています。 FortiGate-200 ユニ ッ ト は、 展開 と 管理の容易な ソ リ ュ ーシ ョ ン です。 FortiGate-200 はまた、 高可用性 (HA) もサポー ト し ています。 POWER STATUS INTERNAL EXTERNAL DMZ CONSOLE INTERNAL EXTERNAL DMZ FortiGate-100A FortiGate-100A ユニ ッ ト は、 小規 模オ フ ィ ス、 ホームオ フ ィ ス、 ブ ラ ン チオ フ ィ ス ア プ リ ケーシ ョ ン 向けに設計 さ れた、 管理の容易な ソ リ ュ ーシ ョ ン です。 INTERNAL PWR STATUS WAN 1 WAN 2 DMZ 1 DMZ 2 1 2 3 4 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 A FortiGate-100A は、 802.1Q VLAN、 バーチ ャル ド メ イ ン、 RIP およ び OSPF ルー テ ィ ン グ プ ロ ト コ ルな どの高度な機能をサポー ト し ます。 FortiGate-100 FortiGate-100 ユニ ッ ト は、 SOHO、 SMB、 お よびブ ラ ン チオ フ ィ ス ア プ リ ケーシ ョ ン向けに設計 さ れて います。 INTERNAL EXTERNAL DMZ POWER STATUS FortiGate-100 は、 802.1Q VLAN、 バーチ ャル ド メ イ ン、 高可用性 (HA)、 RIP およ び OSPF ルーテ ィ ン グ プ ロ ト コ ルな どの高度な機能をサポー ト し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 23 FortiGate ユニットの概要 はじめに FortiGate-60/60M/ADSL FortiGate-60 ユニ ッ ト は、 在宅勤務 者、 リ モー ト オ フ ィ ス、 およ び小 売店向けに設計 さ れています。 FortiGate-60 ユニ ッ ト には、 バ ッ ク ア ッ プ またはイ ン タ ーネ ッ ト への ス タ ン ド ア ロ ン接続 と し て使用で き る外付けモデム ポー ト が装備 さ れています。 これに対 し て FortiGate-60M ユ ニ ッ ト には、 バ ッ ク ア ッ プ またはイ ン タ ーネ ッ ト へのス タ ン ド ア ロ ン接続 と し て も使用で き る内蔵モデムが装備 さ れています。 FortiGate-60ADSL には、 内蔵 ADSL モデムが装備 さ れています。 INTERNAL PWR STATUS 1 2 LINK 100 LINK 100 3 LINK 100 4 DMZ WAN1 WAN2 LINK 100 LINK 100 LINK 100 LINK 100 FortiWiFi-60/60A/60AM FortiWiFi-60 モデルは、 無線接続のた めのセキ ュ ア な無線 LAN ソ リ ュ ー シ ョ ン を提供 し ます。 FortiWiFi Antivirus Firewall 機能にモバイル性 と 柔軟性を兼ね備え、 将来の無線テ ク ノ ロ ジへのア ッ プグ レ ー ド も可能で す。 FortiWiFi- 60 は、 無線ネ ッ ト ワー ク と 有線ネ ッ ト ワー クの間の接続ポ イ ン ト と し て、 ま たはス タ ン ド ア ロ ンの無線ネ ッ ト ワー クの中央ポ イ ン ト と し て機能 し ます。 INTERNAL PWR WLAN 1 2 3 4 DMZ WAN1 WAN2 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 LINK 100 FortiGate-50B FortiGate-50B は、 在宅勤務者や、 従業員 10 ~ 50 名の小規模な リ モー ト オ フ ィ ス向けに設計 さ れて います。 FortiGate-50B ユニ ッ ト には、 イ ン タ ーネ ッ ト への冗長接 続のための 2 つの WAN イ ン タ フ ェ ースが装備 さ れています。 FortiGate-50B ユニ ッ ト はまた、 内部ネ ッ ト ワー ク接続のための 3 ポー ト ス イ ッ チ も備え、 他の FortiGate-50B ユニ ッ ト と の HA 構成をサポー ト し ます。 INTERNAL WAN1 WAN2 LINK / ACT POWER STATUS 10/100 1 2 3 FortiGate-50A FortiGate-50A ユニ ッ ト は、在宅勤務者 や、従業員 10 名以下の小規模な リ モー ト オ フ ィ ス向けに設計 さ れています。 A FortiGate- 50 ユ ニ ッ ト に は、 バ ッ ク ア ッ プ ま た は イ ン タ ー ネ ッ ト への ス タ ン ド ア ロ ン接続 と し て使用で き る外付けモデム ポー ト が装備 さ れています。 PWR 24 STATUS INTERNAL EXTERNAL LINK 100 LINK 100 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに フォーティネット製品ファミリ フォーティネット製品ファミリ フ ォ ーテ ィ ネ ッ ト は、 ソ フ ト ウ ェ アおよ びハー ド ウ ェ ア ア プ ラ イ ア ン スで構成 さ れた製品 フ ァ ミ リ を提供 し 、 FortiGate 統合脅威管理シ ス テム と 統合する こ と で、 メ ール、 ロギン グ、 レ ポー ト 、 ネ ッ ト ワー ク管理、 およ びセキ ュ リ テ ィ を含 む完全なネ ッ ト ワー ク セキ ュ リ テ ィ ソ リ ュ ーシ ョ ンが実現 し ます。 フ ォ ーテ ィ ネ ッ ト 製品 フ ァ ミ リ の詳細については、 www.fortinet.com/products を参照 し て く だ さ い。 FortiGuard サブスクリプション サービス FortiGuard サブ ス ク リ プ シ ョ ン サービ スは、 フ ォ ーテ ィ ネ ッ ト セキ ュ リ テ ィ プ ロ フ ェ ッ シ ョ ナルのグ ローバル チームに よ っ て作成、 更新、 管理 さ れてい る セ キ ュ リ テ ィ サービ スです。 こ れに よ り 、 最新の攻撃が企業 リ ソ ースに害を与え た り エ ン ド ユーザの コ ン ピ ュ ーテ ィ ン グ デバイ スに感染 し た り する前に検出 さ れ、 確実にブ ロ ッ ク する こ と がで き ます。 こ れらのサービ スは、 最新のセキ ュ リ テ ィ テ ク ノ ロ ジに基づいて作成 さ れ、 可能な限 り 最小限の運用 コ ス ト で機能す る よ う に設計 さ れています。 FortiGuard サブ ス ク リ プ シ ョ ン サービ スの内容は次の と お り です。 • • • • • • FortiGuard ア ン チウ イルス サービ ス FortiGuard 不正侵入防御サブ ス ク リ プ シ ョ ン サービ ス (IPS) FortiGuard Web フ ィ ル タ リ ン グ FortiGuard ア ン チ スパム サービ ス FortiGuard ロ グお よび分析 FortiGuard プ レ ミ ア サービ ス また、 FortiGuard Center から 、 オ ン ラ イ ン ウ イルス スキ ャ ナやウ イルス エ ンサ イ ク ロ ペデ ィ ア も 参照で き ます。 FortiAnalyzer FortiAnalyzer は、 攻撃や脆弱性に対する ネ ッ ト ワー クの最適な保護 と セキ ュ リ テ ィ を可能にする ために必要な情報を ネ ッ ト ワー ク 管理者に提供 し ます。 FortiAnalyzer には、 次のよ う な機能があ り ます。 • • • • FortiGate デバイ スや syslog デバイ スお よび FortiClient か ら ロ グ を収集 収集 さ れた ロ グ デー タ を使用 し て数百種類のレ ポー ト を作成 脆弱性スキ ャ ン と レ ポー ト FortiGate ユニ ッ ト か ら検疫 さ れた フ ァ イルを格納 FortiAnalyzer ユニ ッ ト はまた、 フ ァ イ アウ ォ ールが使用 さ れていないネ ッ ト ワー クの各領域で リ アル タ イム ト ラ フ ィ ッ ク をキ ャ プ チ ャ する ネ ッ ト ワー ク アナ ラ イザ と し て も設定で き ます。 さ ら に、 FortiAnalyzer ハー ド デ ィ ス ク に保存 さ れ てい る レ ポー ト やロ グ を含む フ ァ イルにユーザがア ク セス し た り 共有 し た り で き る NAS と し て も使用で き ます。 FortiClient FortiClient Host Security ソ フ ト ウ ェ アは、 最 も一般的な Microsoft Windows オペ レ ーテ ィ ン グ シ ス テムを実行 し ている デス ク ト ッ プ と ラ ッ プ ト ッ プの両方の ユーザにセキ ュ ア な コ ン ピ ュ ーテ ィ ン グ環境を提供 し ます。 FortiClient は、 次の よ う な多 く の機能を提供 し ます。 • リ モー ト ネ ッ ト ワー ク への VPN 接続の作成 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 25 フォーティネット製品ファミリ はじめに • ウ イルスに対する リ アル タ イ ム保護の設定 • Windows レ ジ ス ト リ の変更に対する保護 • ウ イルス スキ ャ ン FortiClient ではサイ レ ン ト イ ン ス ト ール機能もサポー ト さ れてい る ため、 管理者 は構成済みの設定を使用 し て FortiClient を複数のユーザの コ ン ピ ュ ー タ に効率的 に配布で き ます。 FortiManager FortiManager は、 分散 し た多数の FortiGate イ ン ス ト ール環境全体にわた っ てセ キ ュ リ テ ィ ポ リ シーを確立、 維持する必要のあ る大規模企業 ( マネージ ド セ キ ュ リ テ ィ サービ ス プ ロバイ ダ を含む ) のニーズを満た し ます。 FortiManager を 使用する と 、 複数の FortiGate デバイ ス を設定 し 、 その状態を監視する こ と がで き ます。 ま た、 FortiGate デバイ スの リ アル タ イ ムお よび履歴ロ グ を表示する こ と がで き ます。 FortiManager は、 サー ド パーテ ィ シ ス テム と の容易な統合な ど、 使いやす さ を特長 と し ています。 FortiBridge FortiBridge 製品は、 FortiGate ユニ ッ ト を ト ラ ン スペア レ ン ト モー ド で稼動 さ せ てい る企業組織に、 電源異常や FortiGate シ ス テムの障害が発生 し た場合で も間 断ないネ ッ ト ワー ク ト ラ フ ィ ッ ク フ ロ ーを持続する よ う に設計 さ れています。 FortiBridge ユニ ッ ト は FortiGate ユニ ッ ト を迂回 し て、 ネ ッ ト ワー ク が引き続き ト ラ フ ィ ッ ク を処理で き る よ う に し ます。 FortiBridge 製品は、 電源異常や FortiGate シ ス テムの障害が発生 し た場合に カ ス タ マ イ ズ可能なア ク シ ョ ン を FortiBridge ユニ ッ ト が実行する な ど、 使用 と 展開が容易に行え ます。 FortiMail FortiMail は、 送受信双方向の電子 メ ール ト ラ フ ィ ッ ク に対する強力かつ柔軟な ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ン およ びレ ポー ト 機能を提供 し ます。 FortiMail ユ ニ ッ ト は、 悪意あ る添付フ ァ イルやスパムを検出お よびブ ロ ッ ク する ため、 FortiGuard ア ン チ スパム / ア ン チウ イルスがサポー ト し てい る ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ン、 グ レー リ ス テ ィ ン グ と Bayesian スキ ャ ン な どの信頼性に優れた高 性能な機能を備えています。 受賞実績を誇る フ ォ ーテ ィ ネ ッ ト の FortiOS お よび FortiASIC テ ク ノ ロ ジ をベースに構築 さ れている FortiMail ア ン チウ イルス テ ク ノ ロ ジは、 フル コ ン テ ン ツ検査機能が拡張 さ れ、 最 も先進の電子 メ ール脅威を検 知で き る よ う にな っ ています。 FortiReporter FortiReporter Security Analyzer ソ フ ト ウ ェ アは理解の容易な レ ポー ト を生成 し 、 任意の FortiGate ユニ ッ ト やサー ド パーテ ィ ベ ン ダが提供する 30 種以上のネ ッ ト ワー ク お よびセキ ュ リ テ ィ デバイ スから ロ グ を収集で き ます。 FortiReporter は、 ネ ッ ト ワー クの悪用の特定、 帯域要件の管理、 Web の使用状況の監視な ど を 実行 し 、 従業員がオ フ ィ ス ネ ッ ト ワー ク を適切に使用 し てい る こ と を保証 し ま す。 FortiReporter を使用すれば、 IT 管理者は攻撃を識別 し てそれに対処 し た り 、 あ る いはセキ ュ リ テ ィ 脅威が発生する前にネ ッ ト ワー ク を セキ ュ リ テ ィ 保護する 方法を見つけた り する こ と が可能にな り ます。 26 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに このドキュメントについて このドキュメントについて こ の FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド では、FortiGate ェ Web ベース マネー ジ ャ のオ プ シ ョ ン に関す る詳細情報 と 、 それ ら の使用方法につい て説明 し ます。 また、 こ のガ イ ド には、 FortiGate CLI に関する情報も い く つか含まれています。 こ の管理ガ イ ド では、 Web ベース マネージ ャの機能を、 Web ベース マネージ ャ メ ニ ュ ー と 同 じ 順序で説明 し ます。 こ の ド キ ュ メ ン ト の最初には、 FortiGate Web ベース マネージ ャの一般的な説明 と 、 FortiGate バーチ ャ ル ド メ イ ンの説明の章 が置かれています。 こ れ らの章に続いて、 [System] メ ニ ュ ー、 [Router] メ ニ ュ ー、 [Firewall] メ ニ ュ ー、 お よび [VPN] メ ニ ュ ー内の各項目に個別の章が割 り 当て られています。 次に、 ユーザ、 ア ン チウ イルス、 不正侵入防御、 Web フ ィ ル タ 、 ア ン チ スパム、 IM/P2P、 お よびロ グ と レ ポー ト が、 すべて単独の章で説 明 さ れています。 こ の ド キ ュ メ ン ト の最後には、 詳細な索引が付いています。 この ド キュ メ ン ト の最新バージ ョ ンは、「Fortinet テ ク ニ カル ド キュ メ ン ト 」 Web サ イ ト の 「FortiGate」 ページから入手で き ます。 この ド キュ メ ン ト の情報は、FortiGate Web ベース マネージ ャ オン ラ イ ン ヘルプに も別の形式で記載されています。 FortiOS v3.0 に関する情報は、 「Fortinet テ ク ニ カル ド キ ュ メ ン ト 」 Web サイ ト の 「FortiGate」 ページ、 または Fortinet Knowledge Center から入手で き ます。 こ の管理ガ イ ド は以下の章で構成 さ れています。 • Web ベース マネージ ャ では、FortiGate Web ベース マネージ ャ の機能について 紹介 し た後、 FortiGate ユニ ッ ト を登録する方法、 お よび Web ベース マネー ジ ャ オ ン ラ イ ン ヘルプ を使用する方法について説明 し ます。 • シ ス テム - ス テー タ ス では、 FortiGate ユニ ッ ト のダ ッ シ ュ ボー ド であ る [ シ ス テム - ス テー タ ス ] ページについて説明 し ます。 シ リ アル番号、 ア ッ プ タ イ ム、 FortiGuard ラ イ セ ン ス情報、 シ ス テム リ ソ ースの使用方法、 警告 メ ッ セージ、 ネ ッ ト ワー ク統計な どの、 FortiGate ユニ ッ ト の現在のシ ス テム状態 を一目でわかる よ う に表示で き ます。 また、 ユニ ッ ト のフ ァ ームウ ェ ア、 ホ ス ト 名、 シ ス テム時刻の変更な どの、 ユーザが実行で き る状態変更について も説明 し ます。 • バーチ ャル ド メ イ ンの使用では、バーチ ャル ド メ イ ン を使用 し て FortiGate ユ ニ ッ ト を複数の仮想 FortiGate ユニ ッ ト と し て動作 さ せ、 複数のネ ッ ト ワー ク に個別のフ ァ イ アウ ォ ールお よびルーテ ィ ン グ サービ ス を提供する方法につ いて説明 し ます。 • シ ス テム - ネ ッ ト ワー ク では、 FortiGate ユニ ッ ト で物理イ ン タ フ ェ ース、 仮 想イ ン タ フ ェ ース、 お よび DNS を設定する方法について説明 し ます。 • シ ス テム - 無線では、FortiWiFi-60 ユニ ッ ト で無線 LAN イ ン タ フ ェ ース を設定 する方法について説明 し ます。 • シ ス テム - DHCP では、FortiGate イ ン タ フ ェ ース を DHCP サーバまたは DHCP リ レ ー エージ ェ ン ト と し て設定する方法について説明 し ます。 • システム - 設定では、 HA と仮想ク ラ ス タ リ ングの設定、 SNMP と差し替え メ ッ セージの設定、 および動作モー ド の変更を行 う ための手順について説明し ます。 • シ ス テム管理者では、 管理者ア カ ウ ン ト の追加 と 編集、 管理者のア ク セス プ ロ フ ァ イルの定義、 FortiManager ア ク セスの設定、 言語、 タ イ ムアウ ト 、 Web 管理ポー ト な どの一般的な管理設定の定義な ど を行 う ための手順について説 明 し ます。 • シ ス テム - メ ン テナ ン ス では、 管理 コ ン ピ ュ ー タ または FortiUSB デバイ ス を 使用 し てシ ス テム設定をバ ッ ク ア ッ プお よび復元する方法、 FortiGuard サー ビ ス と FortiGuard Distribution Network (FDN) の更新を可能にする方法、 お よび バーチ ャル ド メ イ ンの最大数を増やすために ラ イ セ ン ス キーを入力する方法 について詳 し く 説明 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 27 このドキュメントについて はじめに • シ ス テム - シ ャ ーシ (FortiGate-5000 シ リ ーズ ) では、 FortiGate-5140 ま たは FortiGate-5050 のシ ャ ーシ内のすべてのハー ド ウ ェ ア コ ン ポーネ ン ト に関 し て、 シ ス テム シ ャ ーシの Web ベース マネージ ャのページに表示 さ れる情報 について説明 し ます。 • ルー タ - ス タ テ ィ ッ ク では、 ス タ テ ィ ッ ク ルー ト の定義、 お よびルー ト ポ リ シーの作成を行 う 方法について説明 し ます。 パケ ッ ト は、 ス タ テ ィ ッ ク ルー ト に よ っ て、 工場出荷時に設定 さ れている デ フ ォル ト ゲー ト ウ ェ イ以外の宛 先へ と 転送 さ れます。 • ルー タ - ダ イ ナ ミ ッ ク では、 大規模または複雑なネ ッ ト ワー ク を介 し て ト ラ フ ィ ッ ク をルーテ ィ ン グする ためにダ イ ナ ミ ッ ク プ ロ ト コ ルを設定する方法 について説明 し ます。 • ルー タ - モ ニ タ では、 [Routing Monitor] リ ス ト を解釈する方法について説明 し ます。 こ の リ ス ト には、 FortiGate ルーテ ィ ン グ テーブル内のエ ン ト リ が表示 さ れます。 • フ ァ イ アウ ォ ール - ポ リ シーでは、 FortiGate イ ン タ フ ェ ース、 ゾーン、 およ び VLAN サブ イ ン タ フ ェ ースの間の接続 と ト ラ フ ィ ッ ク を制御する ために フ ァ イ アウ ォ ール ポ リ シーを追加する方法について説明 し ます。 • フ ァ イ アウ ォ ール - ア ド レ ス では、 フ ァ イ アウ ォ ール ポ リ シーのア ド レ スお よ びア ド レ ス グループ を設定する方法について説明 し ます。 • フ ァ イ アウ ォ ール - サービ ス では、 使用可能なサービ ス と 、 フ ァ イ アウ ォ ー ル ポ リ シーのサービ ス グループ を設定する方法について説明 し ます。 • フ ァ イ アウ ォ ール - スケジ ュ ールでは、フ ァ イ アウ ォ ール ポ リ シーのワン タ イ ム スケジ ュ ール と 繰 り 返 し スケジ ュ ールを設定する方法について説明 し ます。 • フ ァ イ アウ ォ ール - 仮想 IP では、仮想 IP ア ド レ ス と IP プールを設定お よび使 用する方法について説明 し ます。 • フ ァ イ アウ ォ ール - プ ロ テ ク シ ョ ン プ ロ フ ァ イルでは、 フ ァ イ アウ ォ ール ポ リ シーの保護プ ロ フ ァ イルを設定する方法について説明 し ます。 • VPN - IPSEC では、 Web ベース マネージ ャ から使用可能な、 ト ン ネル モー ド お よびルー ト ベース ( イ ン タ フ ェ ース モー ド ) の IPSec (Internet Protocol Security) VPN オ プ シ ョ ン について説明 し ます。 • VPN - PPTP では、 Web ベース マネージ ャ を使用 し て、 PPTP ク ラ イ ア ン ト の IP ア ド レ スの範囲を指定する方法について説明 し ます。 • VPN - SSL では、 基本的な SSL VPN 設定について説明 し ます。 • VPN - 証明書では、 X.509 セキ ュ リ テ ィ 証明書を管理する方法について説明 し ます。 • ユーザでは、 ユーザ認証を介 し てネ ッ ト ワー ク リ ソ ースへのア ク セス を制御 する方法について詳 し く 説明 し ます。 • ア ン チウ イルス では、 フ ァ イ アウ ォ ール保護プ ロ フ ァ イルの作成時にア ン チ ウ イルス オ プ シ ョ ン を有効にする方法について説明 し ます。 • 不正侵入防御では、 フ ァ イ アウ ォ ール保護プ ロ フ ァ イルの作成時に IPS オ プ シ ョ ン を設定する方法について説明 し ます。 • Web フ ィ ル タ では、フ ァ イ アウ ォ ール保護プ ロ フ ァ イルの作成時に Web フ ィ ル タ オ プ シ ョ ン を設定する方法について説明 し ます。 • ア ン チ スパムでは、 フ ァ イ アウ ォ ール保護プ ロ フ ァ イルの作成時にスパム フ ィ ル タ オ プ シ ョ ン を設定する方法について説明 し ます。 • IM、 P2P、 お よび VoIP では、 フ ァ イ アウ ォ ール保護プ ロ フ ァ イルの作成時に IM、 P2P、 お よび VoIP オ プ シ ョ ン を設定する方法について説明 し ます。 IM、 P2P、 およ び VoIP 統計を表示する と 、 こ れ らのプ ロ ト コ ルがネ ッ ト ワー ク内 で どのよ う に使用 さ れているかを調べる こ と がで き ます。 28 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに FortiGate のドキュメント • ロ グお よび レ ポー ト では、 ロギン グ を有効に し た り 、 ロ グ フ ァ イルを表示 し た り 、 Web ベース マネージ ャ から使用可能な基本的な レ ポー ト を表示 し た り する方法について説明 し ます。 ドキュメントの規則 こ のガ イ ド では、 次の ド キ ュ メ ン ト 規則を使用 し ます。 • 例では、 プ ラ イ ベー ト IP ア ド レ スがプ ラ イ ベー ト IP ア ド レ ス と パブ リ ッ ク IP ア ド レ スの両方に使用 さ れています。 • 重要な情報を提供する ために、 次の注記 と 注意が使用 さ れています。 注記 : 役立つ追加情報をハイ ラ イ ト し ます。 ! 注意 : デー タ の損失や装置への損傷などの、 予期 し ない結果または望ま し く ない結果を 発生 さ せる恐れのある コ マ ン ド または手順について警告 し ます。 表記規則 フ ォ ーテ ィ ネ ッ ト の ド キ ュ メ ン ト では、 次の表記規則を使用 し ます。 規則 例 メニュー コマンド [VPN]、[IPSEC]、[Phase 1] の順に選択 し 、 [Create New] を 選択 し ます。 キーボード入力 [Gateway Name] フ ィ ール ド に、 リ モー ト の VPN ピ ア または ク ラ イ ア ン ト の名前 ( た と えば、 「Central_Office_1」 ) を入力 し ます。 コード例 config sys global set ips-open enable end CLI コマンド構文 config firewall policy edit id_integer set http_retry_count <retry_integer> set natip <address_ipv4mask> end ドキュメント名 『FortiGate 管理ガ イ ド 』 ファイルの内容 <HTML><HEAD><TITLE> フ ァ イ アウ ォ ール認証 </TITLE></HEAD> <BODY><H4> このサービ ス を利用するには、 認証を行わなけ ればな り ません。 </H4> プログラム出力 Welcome! 変数 <address_ipv4> FortiGate のドキュメント フ ォ ーテ ィ ネ ッ ト 製品 ド キ ュ メ ン ト の最新版お よび以前の リ リ ースは、 「フ ォ ー テ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 」 Web サイ ト (http://docs.forticare.com) か ら入手で き ます。 次の FortiGate 製品 ド キ ュ メ ン ト が入手可能です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 29 FortiGate のドキュメント はじめに • 『FortiGate ク イ ッ ク ス タ ー ト ガ イ ド 』 FortiGate ユニ ッ ト の接続お よび イ ン ス ト ールに関する基本的な情報を提供 し ます。 • 『FortiGate イ ン ス ト ール ガ イ ド 』 FortiGate ユニ ッ ト を イ ン ス ト ールする方法について説明 し ます。 ハー ド ウ ェ ア リ フ ァ レ ン ス、 デ フ ォ ル ト の設定情報、 イ ン ス ト ール手順、 接続手順、 お よ び基本的な設定手順が含まれています。 製品のモデル番号に対応 し たガ イ ド を選択 し て く だ さ い。 • 『FortiGate 管理ガ イ ド 』 FortiGate ユニ ッ ト を設定する方法に関する基本的な情報を提供 し ます。 FortiGate の保護プ ロ フ ァ イルやフ ァ イ アウ ォ ール ポ リ シーを定義する方法、 不正侵入防御、 ア ン チウ イルス保護、 Web コ ン テ ン ツ フ ィ ル タ リ ン グ、 お よ びスパム フ ィ ル タ リ ン グ を適用する方法、 VPN を設定する方法な どが含まれ ます。 • 『FortiGate オ ン ラ イ ン ヘルプ』 HTML 形式の 『管理ガ イ ド 』 の状況依存お よび検索可能なバージ ョ ン を提供 し ます。 オ ン ラ イ ン ヘルプには、 作業中に Web ベース マネージ ャから ア ク セスで き ます。 • 『FortiGate CLI リ フ ァ レ ン ス』 FortiGate CLI を使用する方法について説明 し てお り 、 すべての FortiGate CLI コ マ ン ド への リ フ ァ レ ン スが含まれています。 • 『FortiGate ログ メ ッ セージ リ フ ァ レ ン ス』 『FortiGate ロ グ メ ッ セージ リ フ ァ レ ン ス』 は、 Fortinet Knowledge Center か ら のみ使用可能であ り 、 FortiGate ロ グ メ ッ セージの構造を説明 し 、 FortiGate ユ ニ ッ ト に よ っ て生成 さ れる ロ グ メ ッ セージに関する情報を提供 し ています。 • 『FortiGate 高可用性の概要』 および 『FortiGate 高可用性ユーザ ガ イ ド 』 こ れら の ド キ ュ メ ン ト には、 FortiGate 高可用性 (HA) 機能 と FortiGate ク ラ ス タ リ ン グ プ ロ ト コ ルに関する詳細な情報が含まれています。 • 『FortiGate IPS ユーザ ガ イ ド 』 FortiGate 不正侵入防御シ ス テムを設定する方法、 お よびい く つかの一般的な 攻撃が FortiGate IPS によ っ て どのよ う に処理 さ れるかについて説明 し ます。 • 『FortiGate IPSec VPN ユーザ ガ イ ド 』 Web ベース マネージ ャ を使用 し て IPSec VPN を設定する ための手順を提供 し ます。 • 『FortiGate SSL VPN ユーザ ガ イ ド 』 FortiGate IPSec VPN と FortiGate SSL VPN のテ ク ノ ロ ジ を比較 し 、 Web ベー ス マネージ ャ を使用 し て リ モー ト ユーザの Web のみモー ド と ト ン ネル モー ド の SSL VPN ア ク セス を設定する方法について説明 し ます。 • 『FortiGate PPTP VPN ユーザ ガ イ ド 』 Web ベース マネージ ャ を使用 し て PPTP VPN を設定する方法について説明 し ます。 30 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 はじめに カスタマ サービスおよびテクニカル サポート • 『FortiGate 証明書管理ユーザ ガ イ ド 』 証明書要求の生成を含むデジ タ ル証明書の管理、 署名済み証明書のイ ン ス ト ール、 CA ルー ト 証明書 と 証明書失効 リ ス ト のイ ンポー ト 、 および イ ン ス ト ール さ れた証明書 と 秘密キーのバ ッ ク ア ッ プ と 復元を行 う ための手順が含 まれています。 • 『FortiGate VLAN および VDOM ユーザ ガ イ ド 』 NAT/ ルー ト モー ド と ト ラ ン スペア レ ン ト モー ド の両方で VLAN お よび VDOM を設定する方法について説明 し ます。 詳細な例が含まれています。 フォーティネット ツールおよびドキュメント CD お使いのフ ォ ーテ ィ ネ ッ ト 製品に付属する フ ォ ーテ ィ ネ ッ ト ツールおよ び ド キ ュ メ ン ト CD か ら、 すべての フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト にア ク セス で き ます。 こ の CD に収録 さ れてい る ド キ ュ メ ン ト は、 お使いの製品に対応 し た出荷 時点の最新版です。 すべてのフ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト の最新版について は、 「フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 」 Web サイ ト (http://docs.forticare.com) を参照 し て く だ さ い。 Fortinet Knowledge Center 追加の フ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト は、 Fortinet Knowledge Center から入手で き ます。 Knowledge Center には、 ト ラ ブルシ ュ ーテ ィ ン グの記事やハ ウ ツー記事、 FAQ、 テ ク ニ カル ノ ー ト 、 その他が含まれています。 Fortinet Knowledge Center (http://kc.forticare.com) にア ク セス し て く だ さ い。 フォーティネット テクニカル ドキュメントに関するコメント こ の ド キ ュ メ ン ト やその他のフ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト に誤 り または脱落があ り ま し た ら、 [email protected] ま でお知 らせ く だ さ い。 カスタマ サービスおよびテクニカル サポート フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト は、 お使いの フ ォ ーテ ィ ネ ッ ト シ ス テム の迅速な イ ン ス ト ール、 容易な設定、 お よびネ ッ ト ワー ク 内での確実な動作を支 援するサービ ス を提供 し ています。 フ ォ ーテ ィ ネ ッ ト が提供 し ている テ ク ニ カル サポー ト サービ スの詳細について は、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト Web サイ ト (http://support.fortinet.com) を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 31 カスタマ サービスおよびテクニカル サポート 32 はじめに FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web ベース マネージャ Web ベース マネージャ こ の項では、 FortiGate ユニ ッ ト の Web ベース マネージ ャの使いやすい管理イ ン タ フ ェ ースの機能について説明 し ます。 Web ブ ラ ウザを実行 し てい る任意の コ ン ピ ュ ー タ か ら HTTP 接続またはセキ ュ ア な HTTPS 接続を介 し て、 FortiGate ユニ ッ ト を設定お よび管理で き ます。 Web ベース マネージ ャは、 複数の言語をサポー ト し ています。 FortiGate ユニ ッ ト は、 任意の FortiGate イ ン タ フ ェ ースから HTTP およ び HTTPS 接続を介 し て管理 で き る よ う に設定で き ます。 図 1: FortiGate-5001SX Web ベース マネージャのダッシュボードの例 Web ベース マネージ ャ を使用する と 、 ほ と んどの FortiGate 設定を行っ た り 、 FortiGate ユニ ッ ト の状態を監視 し た り する こ と がで き ます。 Web ベース マネー ジ ャ で行われた設定変更は直ち に有効にな り 、 フ ァ イ アウ ォ ールを リ セ ッ ト し た り サービ ス を中断 し た り する必要はあ り ません。 設定が完了 し た ら、 その設定を バ ッ ク ア ッ プ で き ます。 保存 さ れた設定は、 いつで も復元で き ます。 こ の項には以下の ト ピ ッ クが含まれています。 • ボ タ ン バーの機能 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 33 ボタン バーの機能 Web ベース マネージャ • Web ベース マネージ ャ ページ ボタン バーの機能 Web ベース マネージ ャの右上に表示 さ れるボ タ ン バーか ら、 い く つかの重要な FortiGate 機能にア ク セスで き ます。 図 2: Web ベース マネージャのボタン バー カ ス タ マ サポー ト への接続 ロ グアウ ト オ ン ラ イ ン ヘルプ カスタマ サポートへの接続 [ カ ス タ マ サポー ト への接続 ] ボ タ ン を押す と 、 新 し いブ ラ ウザ ウ ィ ン ド ウが開 いて 「Fortinet Support」 Web ページが表示 さ れます。 こ のページから は、 次の操 作を行 う こ と がで き ます。 • • • • • Fortinet Knowledge Center にア ク セスする。 カ ス タ マ サポー ト に ロ グ イ ンする (Support Login)。 FortiGate ユニ ッ ト を登録する (Product Registration)。 Fortinet Training and Certification について検索する。 FortiGuard Center にア ク セスする。 FortiGate ユニ ッ ト を登録する には、 「Product Registration」 にア ク セス し てその 指示に従います。 34 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web ベース マネージャ ボタン バーの機能 オンラインヘルプの使用 [ オ ン ラ イ ン ヘルプ ] ボ タ ン を押す と 、 現在の Web ベース マネージ ャ ページに 関する オ ン ラ イ ン ヘルプが表示 さ れます。 表示 さ れる オ ン ラ イ ン ヘルプ ページ には、 現在の Web ベース マネージ ャ ページの操作に関する情報 と 手順が記載 さ れています。 また、 ほ と んどのヘルプ ページに、 関連する ト ピ ッ クへのハイ パー リ ン ク も含まれています。 オ ン ラ イ ン ヘルプ シ ス テムには、 追加情報の検 索に使用で き る コ ン ト ロールも い く つか含まれています。 図 3: 「システム ステータスの表示」に関するオンラインヘルプ ページ ブ ッ ク マー ク 印刷 電子 メ ール ナ ビゲーシ ョ ンの表示 前のページ 次のページ [ ナビゲーショ ンの表示 ] オ ン ラ イ ンヘルプ ナビゲーシ ョ ン ウ ィ ン ド ウを開き ます。 ナビゲー シ ョ ン ウ ィ ン ド ウから 、 オ ン ラ イ ンヘルプの目次、 索引、 および検索 を使用 し て、 オ ン ラ イ ンヘルプ内のすべての情報にア ク セスで き ます。 オ ン ラ イ ンヘルプは、 FortiGate Web ベース マネージ ャ および 『FortiGate 管理ガ イ ド 』 と 同 じ よ う に構成 さ れています。 [ 前のページ ] オ ン ラ イ ンヘルプ内の前のページ を表示 し ます。 [ 次のページ ] オ ン ラ イ ンヘルプ内の次のページ を表示 し ます。 [ 電子メール ] Fortinet Technical Documentation ([email protected]) に電子 メ ールを 送信 し ます。 こ の電子 メ ール ア ド レ ス を使用 し て、 オ ン ラ イ ンヘルプ をは じ め任意のフ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 製品に関す る コ メ ン ト または修正項目があるかど う かを お知ら せいただ く こ と がで き ます。 [ 印刷 ] 現在のオ ン ラ イ ンヘルプ ページ を印刷 し ます。 [ ブックマーク ] こ のオ ン ラ イ ンヘルプ ページのエ ン ト リ を、 ブ ラ ウザのブ ッ ク マー ク またはお気に入 り リ ス ト に追加 し ます。 このボ タ ン を使用する と 、 有用 なオ ン ラ イ ンヘルプ ページの検索が容易にな り ます。 Windows XP と サービ スパ ッ ク 2 がイ ン ス ト ール さ れている管理 PC 上の Internet Explorer から オン ラ イ ンヘルプ を表示 し ている場合、 [ ブ ッ ク マー ク ] ア イ コ ン を使用 し てお気に入 り リ ス ト にエ ン ト リ を追加する こ と はで き ません。 [ ナ ビゲーシ ョ ンの表示 ] ボ タ ン を押 し て、 オ ン ラ イ ン ヘルプ ナ ビゲーシ ョ ン ウ ィ ン ド ウ を表示 し ます。 図 4: 目次 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ナビゲーション ウィンドウを含むオンラインヘルプ ページ 索引 検索 目次の表示 35 ボタン バーの機能 Web ベース マネージャ [ 目次 ] オ ン ラ イ ンヘルプの目次を表示 し ます。 目次内を移動 し て、 オ ン ラ イ ン ヘルプ内の情報を検索で き ます。 オ ン ラ イ ンヘルプは、 FortiGate Web ベース マネージ ャ および 『FortiGate 管理ガ イ ド 』 と 同 じ よ う に構成 さ れています。 [ 索引 ] オ ン ラ イ ンヘルプの索引を表示 し ます。 索引を使用 し て、 オ ン ラ イ ンヘ ルプ内の情報を検索で き ます。 [ 検索 ] オ ン ラ イ ンヘルプの検索を表示 し ます。 オ ン ラ イ ンヘルプ内の情報を検 索する方法については、 36 ページの 「オン ラ イ ンヘルプの検索につい て」 を参照 し て く だ さ い。 [ 目次の表示 ] 索引、 検索、 またはハイパー リ ン ク を使用 し てオ ン ラ イ ンヘルプ内の情 報を検索 し た場合、 目次が表示 さ れないか、 または目次 と 現在のヘルプ ページの同期が と れていない可能性があ り ます。 [ 目次の表示 ] を選択 する と 、 目次を表示 し て現在のヘルプ ページの場所を示す こ と がで き ます。 オンラインヘルプの検索について オ ン ラ イ ン ヘルプの検索を使用 し て、 FortiGate オ ン ラ イ ン ヘルプ シ ス テムのテ キス ト 全体の中から 1 つの単語または複数の単語を検索で き ます。 検索について は、 次の点に注意 し て く だ さ い。 • 複数の単語を検索する と 、入力 し たすべての単語を含むヘルプ ページが検索 さ れます。 入力 し た単語のいずれかだけを含むヘルプ ページは検索 さ れません。 • 検索で見つか っ たヘルプ ページは、 関連性の順番に ラ ン ク付け さ れます。 ラ ン ク付けが高ければ高いほど、 そのヘルプ ページに検索対象の 1 つまたは複 数の単語に関する有用な情報や詳細な情報が含まれてい る可能性が高 く な り ます。 ヘルプ ページの タ イ ト ルに 1 つ以上の検索単語が含まれてい る ヘルプ ページには、 最も高い ラ ン クが付け られます。 • 検索のワ イル ド カ ー ド 文字 と し て ア ス タ リ ス ク (*) を使用 し て、 任意の数の 文字を置き換え る こ と がで き ます。 た と えば、 auth* を検索する と 、 auth、 authenticate、 authentication、 authenticates な ど を含むヘルプ ページが検索 さ れます。 • 場合によ っ ては、 検索で完全一致 し か見つから ない こ と があ り ます。 た と え ば、 windows を検索 し た場合は、 window と い う 単語を含むページが検索 さ れない可能性があ り ます。 ワ イル ド カ ー ド * を使用すれば ( た と えば、 window* を検索する )、 こ の事態を回避で き ます。 ヘルプ システム内を検索するには 1 任意の Web ベース マネージ ャ ページから、オン ラ イ ンヘルプ ボ タ ン を選択し ます。 2 [ ナビ ゲーシ ョ ンの表示 ] ボ タ ン を押 し て、 オ ン ラ イ ン ヘルプ ナ ビゲーシ ョ ン ウ ィ ン ド ウ を表示 し ます。 3 [ 検索 ] ボ タ ン を ク リ ッ ク し ます。 4 検索フ ィ ール ド に検索対象の 1 つ以上の単語を入力 し 、 Enter キーを押すか、 ま たは [Go] を選択 し ます。 検索ウ ィ ン ド ウに、 入力 し た 1 つまたは複数の単語を含むすべてのオ ン ラ イ ン ヘ ルプ ページの名前の リ ス ト が表示 さ れます。 リ ス ト から名前を選択 し て、 その ヘルプ ページ を表示 し ます。 キーボードを使用したオンラインヘルプ内の移動 表 1 のキーボー ド シ ョ ー ト カ ッ ト を使用 し て、 オ ン ラ イ ン ヘルプ内の情報を表 示 し た り 、 検索 し た り する こ と がで き ます。 36 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web ベース マネージャ Web ベース マネージャ ページ 表 1: オンラインヘルプ ナビゲーション キー キー 機能 Alt+1 目次を表示 し ます。 Alt+2 索引を表示 し ます。 Alt+3 [Search] タ ブ を表示 し ます。 Alt+4 前のページに移動 し ます。 Alt+5 次のページに移動 し ます。 Alt+7 Fortinet Technical Documentation ([email protected]) に電子 メ ールを 送信 し ます。 この電子 メ ール ア ド レ ス を使用 し て、 オ ン ラ イ ンヘルプ をは じ め任意のフ ォ ーテ ィ ネ ッ ト テ ク ニ カル ド キ ュ メ ン ト 製品に関 する コ メ ン ト または修正項目があるかど う かをお知ら せいただ く こ と がで き ます。 Alt+8 現在のオ ン ラ イ ンヘルプ ページ を印刷 し ます。 Alt+9 このオ ン ラ イ ンヘルプ ページのエ ン ト リ を、 ブ ラ ウザのブ ッ ク マー ク またはお気に入 り リ ス ト に追加 し ます。 このボ タ ン を使用する と 、 有 用なオ ン ラ イ ンヘルプ ページの検索が容易にな り ます。 ログアウト [ ロ グアウ ト ] ボ タ ン を押す と 、 Web ベース マネージ ャから 直ち にロ グアウ ト さ れます。 ブ ラ ウザ ウ ィ ン ド ウ を閉 じ る前に必ずロ グアウ ト し て く だ さ い。 ロ グ アウ ト せずにブ ラ ウザを閉 じ た り Web ベース マネージ ャ を終了 し た り する と 、 ア イ ド ル タ イ ムアウ ト ( デ フ ォル ト は 5 分 ) が経過する ま で ロ グ イ ン し たま まに な り ます。 Web ベース マネージャ ページ Web ベース マネージ ャ のイ ン タ フ ェ ースは、 1 つの メ ニ ュ ー と 複数のページ で 構成 さ れ、 多 く のページに複数の タ ブが用意 さ れています。 メ ニ ュ ー項目 ( た と えば [System]) を選択する と 、 その メ ニ ュ ー項目が展開 さ れ、 サブ メ ニ ュ ーが表 示 さ れます。 サブ メ ニ ュ ー項目の 1 つ を選択する と 、 関連付け ら れたページが最 初の タ ブに表示 さ れます。 別の タ ブ を表示する には、 その タ ブ を選択 し ます。 こ のマニ ュ アルの手順に従っ て、 次のよ う に メ ニ ュ ー項目、 サブ メ ニ ュ ー項目、 お よび タ ブ を指定する と ページが表示 さ れます。 1 [System]、[Network]、[Interface] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 37 Web ベース マネージャ ページ Web ベース マネージャ 図 5: Web ベース マネージャの各部分 (FortiGate-50B の場合 ) タブ ページ ボ タ ン バー メニュー Web ベース マネージャ メニュー こ の メ ニ ュ ーから、 FortiGate ユニ ッ ト のすべての主要な機能に対する設定オ プ シ ョ ンへア ク セスで き ます。 [System] ネ ッ ト ワー ク イ ン タ フ ェ ース、 バーチ ャ ル ド メ イ ン、 DHCP サービ ス、 高可用性 (HA)、 シ ス テム時刻、 シ ス テム オプ シ ョ ン な どのシ ス テム機 能を設定 し ます。 [Router] FortiGate のス タ テ ィ ッ ク ルーテ ィ ングやダ イ ナ ミ ッ ク ルーテ ィ ング を 設定 し ます。 [Firewall] ネ ッ ト ワー ク 保護機能に適用 さ れる フ ァ イ アウ ォ ール ポ リ シーや保護 プ ロ フ ァ イルを設定 し ます。 また、 仮想 IP ア ド レ スや IP プールも 設定 し ます。 [VPN] IPSec、SSL、お よび PPTP 仮想プ ラ イ ベー ト ネ ッ ト ワー ク を設定 し ます。 [User] ユーザ認証が必要な フ ァ イ アウ ォ ール ポ リ シーで使用するユーザ ア カ ウン ト を設定 し ます。 また、 RADIUS、 LDAP、 Windows AD などの外部 の認証サーバも 設定 し ます。 [AntiVirus] ア ン チウ イルス保護を設定 し ます。 [Intrusion Protection] FortiGate 不正侵入防御シ ス テム (IPS) を設定 し ます。 [Web Filter] Web フ ィ ル タ リ ングを設定 し ます。 [AntiSpam] 電子 メ ールのスパム フ ィ ル タ リ ングを設定 し ます。 [IM, P2P & VoIP] イ ン タ ーネ ッ ト メ ッ セージ ング、 ピ ア ツーピ ア メ ッ セージ ング、 お よ び VoIP (Voice over IP) ト ラ フ ィ ッ ク の監視および制御を設定 し ます。 [Log & Report] 38 ロギング、 ア ラ ー ト メ ール、 および FortiGuard ログおよび分析を設定 し ます。 ログ メ ッ セージやログ レポー ト を表示 し ます。 FortiAnalyzer に接続 し て、 ログ メ ッ セージやログ レポー ト を表示 し ます。 FortiGuard ログおよび分析によ っ て格納 さ れた ログ メ ッ セージ を表示 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web ベース マネージャ Web ベース マネージャ ページ リスト Web ベース マネージ ャ のページの多 く は、 リ ス ト 表示にな っ ています。 ネ ッ ト ワー ク イ ン タ フ ェ ース、 フ ァ イ アウ ォ ール ポ リ シー、 管理者、 ユーザな どの リ ス ト があ り ます。 図 6: Web ベース マネージャのリストの例 削除 編集 リ ス ト には、 各項目に関する い く つかの情報が表示 さ れます。 また、 右端の列に あ る ア イ コ ン を使用する と 、 各項目を操作で き ます。 こ の例では、 削除ボ タ ン を ク リ ッ ク し て項目を削除 し た り 、 編集ボ タ ン を ク リ ッ ク し て項目を変更 し た り す る こ と がで き ます。 リ ス ト に別の項目を追加する には、 [Create New] ボ タ ン を ク リ ッ ク し ます。 それ に よ っ て、 新 し い項目を定義する ためのダ イ ア ロ グ ボ ッ ク スが表示 さ れます。 新 し い項目を作成する ためのダ イ ア ロ グ ボ ッ ク スは、 既存の項目を編集する た めのダ イ ア ロ グ ボ ッ ク ス と ほぼ同 じ です。 アイコン Web ベース マネージ ャ には、 ボ タ ンの他に、 シ ス テム と 対話で き る ア イ コ ンが 用意 さ れています。 各ア イ コ ンの機能の理解に役立つツール ヒ ン ト があ り ます。 ア イ コ ンの上にマウス ポ イ ン タ を し ばら く 置 く と 、 ツール ヒ ン ト が表示 さ れま す。 表 2 は、 Web ベース マネージ ャ で使用で き る ア イ コ ン です。 表 2: Web ベース マネージャのアイコン アイコン 名称 説明 [Change Password] 管理者パスワー ド を変更 し ます。 このア イ コ ンは、 ア ク セス プ ロ フ ァ イルで管理者に書き込み権限を許可で き る よ う に設 定 さ れている場合に、 [Administrators] リ ス ト に表示 さ れます。 [Clear] ログ フ ァ イルを ク リ ア し ます。 [Collapse] このセ ク シ ョ ン を折 り たたんで、 い く つかのフ ィ ール ド を非 表示に し ます。 このア イ コ ンは、 一部のダ イ ア ログ ボ ッ ク ス や一部の リ ス ト で使用 さ れます。 [Column Settings] 表示する列を選択 し ます。 こ のア イ コ ンは、 特に [Log Access] および [Firewall Policy] リ ス ト で使用 さ れます。 [Delete] 項目を削除 し ます。 このア イ コ ンが リ ス ト に表示 さ れるのは、 その項目が削除可能であ り 、 かつユーザがそのページに対す る書き込み権限を持っ ている場合です。 [Description] このア イ コ ンのツール ヒ ン ト には、 このテーブル エ ン ト リ の [Description] フ ィ ール ド が表示 さ れます。 [Download or ログ フ ァ イルを ダウン ロー ド するか、 または設定フ ァ イルを Backup] バ ッ ク ア ッ プ し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 39 Web ベース マネージャ ページ Web ベース マネージャ 表 2: Web ベース マネージャのアイコン アイコン 40 名称 説明 [Download] 証明書署名要求を ダウン ロー ド し ます。 [Edit] 設定を編集し ます。このア イ コ ンがリ ス ト に表示されるのは、ユー ザがそのページに対する書き込み権限を持っ ている場合です。 [Expand] こ のセ ク シ ョ ン を展開 し て、 よ り 多 く のフ ィ ール ド が表示 さ れる よ う に し ます。 こ のア イ コ ンは、 一部のダ イ ア ログ ボ ッ ク スや一部の リ ス ト で使用 さ れます。 [Filter] こ のテーブル内の 1 つ以上の列に フ ィ ル タ を設定 し ます。 フ ィ ル タ を指定する ためのダ イ ア ログが開かれます。 こ のア イ コ ンは、 フ ィ ル タ が有効にな っ ている列では緑色、 それ以 外の場合は灰色にな り ます。 [Go] 検索を実行 し ます。 [Insert Policy before] 現在のポ リ シーの前に適用する新 し いポ リ シーを作成 し ます。 [Move to] リ ス ト 内の項目を移動 し ます。 [Next page] リ ス ト の次のページ を表示 し ます。 [Previous page] リ ス ト の前のページ を表示 し ます。 [Refresh] こ のページに関する情報を更新 し ます。 [Restore] フ ァ イルから 設定を復元 し ます。 [View] 設定を表示 し ます。 こ のア イ コ ンは、 ユーザがそのページに 対する書き込み権限を持っ ていない場合に、 編集ア イ コ ンの 代わ り に リ ス ト に表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス [Status] ページ システム - ステータス こ の項では、 FortiGate ユニ ッ ト のダ ッ シ ュ ボー ド であ る [System Status] ページ について説明 し ます。 シ リ アル番号、 ア ッ プ タ イ ム、 FortiGuard ラ イ セ ン ス情報、 シ ス テム リ ソ ースの使用方法、警告 メ ッ セージ、ネ ッ ト ワー ク統計な ど、FortiGate ユニ ッ ト の現在のシ ス テム ス テー タ スが一目でわかる よ う に表示で き ます。 注記 : [System Status] ページ を表示するには、 ブ ラ ウザで Javascript がサポー ト さ れてい る必要があ り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • [Status] ページ シ ス テム情報の変更 FortiGate フ ァ ームウ ェ アの変更 動作履歴の表示 FortiGuard 定義の手動に よ る更新 統計情報の表示 ト ポロ ジ ビ ュ ーア [Status] ページ FortiGate ユニ ッ ト の現在の動作状態のスナ ッ プ シ ョ ッ ト を見る には、 [System Status] ページ ( 別称 シ ス テム ダ ッ シ ュ ボー ド ) を表示 し ます。 FortiGate 管理者 にア ク セス プ ロ フ ァ イルで シ ス テム設定への読み取 り ア ク セスが許可 さ れてい れば、 シ ス テム状態情報を表示 さ せる こ と がで き ます。 FortiGate ユニ ッ ト が HA ク ラ ス タ の一部 と な っ ている場合、 [System Status] ページには、 ク ラ ス タ の名前や、 ホス ト 名を含む ク ラ ス タ メ ンバな どの HA ク ラ ス タ の基本的な ス テー タ ス情報も表示 さ れます。 ク ラ ス タ のよ り 詳細なス テー タ ス情報を表示する には、 [System]、[Config]、[HA] の順に選択 し ます。 詳細 については、 124 ページの 「HA」 を参照 し て く だ さ い。 FortiGate モデル 50A お よび 50AM では、 HA は使用で き ません。 FortiGate 管理者にア ク セス プ ロ フ ァ イルで シ ス テム設定への書き込みア ク セス が許可 さ れていれば、 FortiGate ユニ ッ ト の情報を変更または更新で き ます。 ア ク セス プ ロ フ ァ イルについては、 157 ページの 「ア ク セス プ ロ フ ァ イル」 を参 照 し て く だ さ い。 システム ステータスの表示 Web ベース マネージ ャ に ロ グ イ ンする と 、 [System Status] ページがデ フ ォ ル ト で表示 さ れます。 [System]、[Status] の順に選択する と 、 [System Status] ページ をいつで も表示 さ せる こ と がで き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 41 [Status] ページ システム - ステータス こ のページ を表示する には、 ア ク セス プ ロ フ ァ イルでシ ス テム設定への読み取 り ア ク セスが許可 さ れていな く てはな り ません。 シ ス テム設定への書き込みア ク セス も 許可 さ れている場合は、 シ ス テム情報を変更 し た り 、 FortiGuard (AV お よ び FortiGuard) の IPS 定義を更新 し た り する こ と も で き ます。 ア ク セス プ ロ フ ァ イルについては、 157 ページの 「ア ク セス プ ロ フ ァ イル」 を参照 し て く だ さ い。 [System Status] ページは自由に カ ス タ マ イ ズ可能です。 表示する内容、 ページ 上の表示位置、 お よびその表示を最小化または最大化するかど う かを選択で き ま す。 各表示には、 最小化 さ れていて も す ぐ に識別で き る ア イ コ ンが関連付け られ ています。 図 7: [System Status] ページ 現在 [System Status] ページ上にない表示を追加する には、 [Add Content] を選択 し ます。 [System Status] ページ上に各表示は 1 つ し か配置で き ないため、 すで に [System Status] ページ上にあ る表示はすべて灰色で表示 さ れます。 また、 [Back to default] を選択 し て、 デ フ ォル ト の [System Status] ページ設定に戻す こ と も で き ます。 特定の表示で使用可能なオプシ ョ ン を表示するには、その表示のタ イ ト ル バーの上 にマウス を置き ます。 これらのオプシ ョ ンは、 各表示ご と に多少異な っ ています。 図 8: 最小化された表示 表示 タ イ ト ル 拡大縮小ア イ コ ン 42 更新ア イ コ ン 閉じ るア イ コ ン 表示タイトル 表示する内容を示 し ます。 拡大縮小アイコン 表示を最大化または最小化する場合に選択 し ます。 更新アイコン 表示 さ れた情報を更新する場合に選択 し ます。 閉じるアイコン 表示を閉 じ る場合に選択 し ます。 閉 じ るかど う かの確認を求めら れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス [Status] ページ システム情報 図 9: FortiGate-5001 のシステム情報の例 [Serial Number] 現在の FortiGate ユニ ッ ト のシ リ アル番号。 このシ リ アル番号は FortiGate ユニ ッ ト に固有であ り 、 フ ァ ームウ ェ ア を ア ッ プグレー ド し て も 変わ り ません。 [Uptime] FortiGate ユニ ッ ト が最後に起動 さ れてから の時間を、 日数、 時間 数、 および分数で表 し た も の。 [System Time] FortiGate ユニ ッ ト の内部ク ロ ッ ク に基づ く 現在の日付 と 時刻。 こ の時間を変更するか、 または FortiGate ユニ ッ ト が NTP サーバか ら 時間を取得する よ う に設定するには、 [Change] を選択 し ます。 49 ページの 「シ ステム時刻の設定」 を参照 し て く だ さ い。 [Host Name] 現在の FortiGate ユニ ッ ト のホス ト 名。 FortiGate ユニ ッ ト が HA モー ド に設定 さ れている場合、 こ のフ ィ ー ル ド は表示 さ れません。 ホス ト 名を変更するには、 [Change] を選択 し ます。 50 ページの 「FortiGate ユニ ッ ト のホス ト 名の変更」 を参照 し て く だ さ い。 [Cluster Name] こ の FortiGate ユニ ッ ト の HA ク ラ ス タ の名前。 124 ページの 「HA」 を参照 し て く だ さ い。 こ のフ ィ ール ド を表示するには、 FortiGate ユニ ッ ト が HA モー ド で 動作 し ている必要があ り ます。 [Cluster Members] HA ク ラ ス タ 内の FortiGate ユニ ッ ト 。 各 メ ンバに関 し て、 ホス ト 名、 シ リ アル番号、 そのユニ ッ ト がク ラ ス タ 内の上位 ( マス タ ) ユニ ッ ト または下位 ( ス レーブ ) ユニ ッ ト のど ち ら であるか と い っ た情報 が表示 さ れます。 124 ページの 「HA」 を参照 し て く だ さ い。 こ のフ ィ ール ド を表示するには、 FortiGate ユニ ッ ト が、 バーチ ャ ル ド メ イ ンが有効にな っ ていない HA モー ド で動作 し ている必要があ り ます。 [Virtual Cluster 1] [Virtual Cluster 2] 仮想ク ラ ス タ 1 および仮想ク ラ ス タ 2 内の各 FortiGate ユニ ッ ト の役 割。 124 ページの 「HA」 を参照 し て く だ さ い。 こ れら のフ ィ ール ド を表示するには、 FortiGate ユニ ッ ト が、 バー チ ャ ル ド メ イ ンが有効にな っ ている HA モー ド で動作 し ている必要 があ り ます。 [Firmware Version] 現在の FortiGate ユニ ッ ト に イ ン ス ト ール さ れている フ ァ ームウ ェ ア のバージ ョ ン。 フ ァ ームウ ェ ア を変更するには、 [Update] を選択 し ます。 51 ページの 「新 し い フ ァ ームウ ェ ア バージ ョ ンへのア ッ プグレー ド 」 を参照 し て く だ さ い。 [FortiClient Version] 現在ロー ド さ れている FortiClient のバージ ョ ン。 管理コ ン ピ ュ ー タ から こ の FortiGate ユニ ッ ト に新 し い FortiClient ソ フ ト ウ ェ ア イ メ ージ を ア ッ プ ロー ド するには、 [Update] を選択 し ます。 FortiGate に ソ フ ト ウ ェ ア を ダウン ロー ド する ためのポー タ ルが用意 さ れてお り 、 ホス ト がそ こから FortiClient ソ フ ト ウ ェ ア を ダウン ロー ド で き る よ う な FortiGate モデルでのみ、 この フ ィ ール ド が表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 43 [Status] ページ システム - ステータス [Operation Mode] 現在の FortiGate ユニ ッ ト の動作モー ド 。 FortiGate は、 NAT モー ド または ト ラ ン スペア レ ン ト モー ド で動作 さ せる こ と がで き ます。 NAT モー ド と ト ラ ン スペア レ ン ト モー ド と を切 り 替え るには、 [Change] を選択 し ます。 148 ページの 「動作モー ド の変更」 を参照 し て く だ さ い。 バーチ ャ ル ド メ イ ンが有効にな っ ている場合、 こ のフ ィ ール ド に は、 現在のバーチ ャ ル ド メ イ ンの動作モー ド が表示 さ れます。 バー チ ャ ル ド メ イ ンは、 NAT モー ド または ト ラ ン スペア レ ン ト モー ド のど ち ら でで も 動作 し ます。 [Virtual Domain] FortiGate ユニ ッ ト 上のバーチ ャル ド メ イ ンのス テー タ ス。 バーチ ャ ル ド メ イ ンのス テー タ ス を変更するには、 [Enable] または [Disable] を選択 し ます。 バーチ ャ ル ド メ イ ンのス テー タ ス を変更する と 、 セ ッ シ ョ ンが終了 する ため、 ログ イ ン し 直す必要があ り ます。 詳細については、 61 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 [Current Administrators] 現在 FortiGate ユニ ッ ト にログ イ ン し ている管理者の数。 ログ イ ン し ている各管理者に関する よ り 詳細な情報を表示するには、 [Details] を選択 し ます。 追加情報には、 ユーザ名、 接続の種類、 接続元の IP ア ド レ ス、 およびログ イ ン し た時刻が含まれます。 ライセンス情報 [License Information] には、FortiGate サポー ト 契約 と FortiGuard サブ ス ク リ プ シ ョ ンのス テー タ スが表示 さ れます。 FortiGate ユニ ッ ト は、 FortiGuard ネ ッ ト ワー ク に接続する こ と に よ り 、 ラ イ セ ン ス情報のス テー タ ス イ ン ジケー タ を自動的に更 新 し ます。 FortiGuard サブ ス ク リ プ シ ョ ンのス テー タ ス イ ン ジ ケー タ は、 正常時 は緑色ですが、 FortiGate ユニ ッ ト が FortiGuard ネ ッ ト ワー ク に接続で き ない場合 は灰色、 ラ イ セ ン スの有効期限が切れてい る場合は黄色にな り ます。 いずれかの設定オ プ シ ョ ン を選択する と 、 メ ン テ ナ ン ス ページが表示 さ れます。 詳細については、 165 ページの 「シ ス テム - メ ン テナ ン ス」 を参照 し て く だ さ い。 図 10:ライセンス情報の例 [Support Contract] サポー ト 契約番号 と 終了日。 [Not Registered] が表示 さ れている場合は、 [Register] を選択 し てユニ ッ ト を登録 し て く だ さ い。 [Renew] が表示 さ れている場合は、 サポー ト 契約を更新する 必要があ り ます。 お近 く の販売代理店にご相談 く だ さ い。 [FortiGuard Subscriptions] 44 [AntiVirus] FortiGuard Antivirus ラ イ セ ン スのバージ ョ ン、 発行日、 およ びサービ ス ス テー タ ス。 ラ イ セ ン スの期限が切れている場 合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [AV Definitions] FortiGuard Antivirus 定義の現在イ ン ス ト ール さ れているバー ジ ョ ン。 こ れら の定義を手動で更新するには、 [Update] を 選択 し ます。 詳細については、 53 ページの 「FortiGuard AV 定義の手動によ る更新」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス [Status] ページ [Intrusion Protection] FortiGuard 不正侵入防御ラ イ セ ン スのバージ ョ ン、 発行日、 およびサービ ス ス テー タ ス。 ラ イ セ ン スの期限が切れてい る場合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [IPS Definitions] 不正侵入防御シ ス テム (IPS) 攻撃定義の現在イ ン ス ト ール さ れてい るバージ ョ ン。 こ れ ら の定義を手動で更新す る には、 [Update] を 選択 し ま す。 詳細 に つ い て は、 54 ペ ー ジ の 「FortiGuard IPS定義の手動によ る更新」を参照 し て く だ さ い。 [Web Filtering] FortiGuard Web フ ィ ル タ リ ング ラ イ セ ン スの種類、 終了日、 およびサービ ス ス テー タ ス。 ラ イ セ ン スの期限が切れてい る場合は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [Antispam] FortiGuard Antispam ラ イ セ ン スの種類、 終了日、 および サービ ス ス テー タ ス。 ラ イ セ ン スの期限が切れている場合 は、 [Renew] を選択 し て ラ イ セ ン ス を更新で き ます。 [Log & Analysis] FortiGuard Log & Analysis ラ イ セ ン スの種類、 終了日、 およ びサービ ス ス テー タ ス。 [Virtual Domain] ユニ ッ ト でサポー ト さ れているバーチ ャ ル ド メ イ ンの数。 FortiGate モデル 3000 以上の場合は、 [Purchase More] リ ン ク を選択 し て Fortinet サポー ト か ら ラ イ セ ン ス キーを購入 する こ と によ り 、 VDOM の最大数を増やす こ と がで き ます。 180 ページの 「 ラ イ セ ン ス」 を参照 し て く だ さ い。 CLI コンソール FortiOS には、 CLI か ら し かア ク セスで き ない コ マ ン ド があ り ます。 CLI を使用す る には一般に、 サー ド パーテ ィ の提供する プ ロ グ ラ ムを使用 し て telnet または SSH で接続 し ます。 [System Status] ページには、 フル機能の CLI コ ン ソ ールが含まれています。 コ ン ソ ールを使用する には、 その中を ク リ ッ ク し ます。 する と 、 現在 GUI で使用 し てい る ア カ ウ ン ト で CLI に自動的に ロ グ イ ン さ れます。 CLI コ ン ソ ールのデ フ ォル ト ビ ュ ーをサイ ズ変更 し た り 、 移動 し た り する こ と はで き ません。 CLI コ ン ソ ールか ら テキス ト を カ ッ ト & ペース ト する こ と は可能です。 図 11: CLI コンソール カ ス タ マ イズ アイ コン CLI コ ン ソ ール ウ ィ ン ド ウには、 カ ス タ マ イ ズ ア イ コ ン と デ タ ッ チ コ ン ト ロー ルの 2 つの コ ン ト ロールがあ り ます。 デ タ ッ チ コ ン ト ロ ールは、 CLI コ ン ソ ールを、 自由にサイ ズ変更 し た り 画面上の 位置を変更 し た り で き る独立 し たウ ィ ン ド ウに移動 し ます。 デ タ ッ チ さ れた CLI コ ン ソ ールには、 カ ス タ マ イ ズ と ア タ ッ チの 2 つの コ ン ト ロ ールがあ り ます。 カ ス タ マ イ ズはすでに説明 し た と お り です。 ア タ ッ チは、 デ タ ッ チの逆で、 CLI コ ン ソ ールを [System Status] ページの元の場所に戻 し ます。 カ ス タ マ イ ズ ア イ コ ン を使えば、 テキス ト と 背景のフ ォ ン ト や色を変え る こ と がで き、 コ ン ソ ールの外観を変更で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 45 [Status] ページ システム - ステータス 図 12: CLI コンソール ウィンドウのカスタマイズ [Preview] 変更がCLI コ ン ソール上でどのよ う に反映されるのかを表示し ます。 [Text] CLI コ ン ソ ール内のテキス ト の色を変更するには、 この コ ン ト ロールを選択 し た後、 右にある カ ラ ー マ ト リ ッ ク スから 色を選 択 し ます。 [Background] CLI コ ン ソ ール内の背景の色を変更するには、 この コ ン ト ロール を選択 し た後、 右にある カ ラ ー マ ト リ ッ ク スから 色を選択 し ま す。 [Use external command input box] ウ ィ ン ド ウの外に置かれた コ マ ン ド ボ ッ ク スから の入力を許可 する場合に選択 し ます。 [Console buffer length] コ ン ソ ール バ ッ フ ァ で メ モ リ 内に保持する行数を選択 し ます。 有効な数値は、 20 ~ 9999 です。 [Font] リ ス ト から フ ォ ン ト を選択 し ます。 [Size] フ ォ ン ト のサイ ズを選択 し ます。 デ フ ォル ト のサイ ズは 10 です。 [Reset defaults] デフ ォル ト の設定に戻し 、変更をすべて破棄する場合に選択し ます。 [OK] 変更を保存 し て、 CLI コ ン ソ ールに戻る場合に選択 し ます。 [Cancel] 変更を破棄 し て、 CLI コ ン ソ ールに戻る場合に選択 し ます。 システム リソース [System Status] ページに表示 さ れていないシ ス テム リ ソ ースはすべて、[History] ア イ コ ン を選択する こ と でグ ラ フ と し て表示で き ます。 図 13: システム リソースの例 [History] 46 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス [Status] ページ [History] アイコン CPU、 メ モ リ 、 セ ッ シ ョ ン、 およびネ ッ ト ワー ク の最新の 1 分間 の使用率を グ ラ フ ィ カルに表示 し ます。 このページにはまた、 最 新の 20 時間のウ イルスおよび不正侵入検知 も表示 さ れます。 詳細 については、 52 ページの 「動作履歴の表示」 を参照 し て く だ さ い。 [CPU Usage] ダ イ ヤル ゲージおよびパーセ ン テージ と し て表示 さ れた現在の CPU ス テー タ ス。 Web ベース マネージ ャ には、 コ ア プ ロ セスの CPU 使用率のみが 表示 さ れます。 管理プ ロ セス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続 ) が使 う CPU 使用率は除外 さ れます。 [Memory Usage] ダ イ ヤル ゲージおよびパーセ ン テージ表示 さ れた現在の メ モ リ ス テー タ ス。 Web ベース マネージ ャ には、 コ ア プ ロ セスのみの メ モ リ 使用率が 表示 さ れます。 管理プ ロ セス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続 ) の メ モ リ 使用率は除外 さ れます。 [FortiAnalyzer Disk Quota] 円グ ラ フ と パーセ ン テージ で表示 さ れる、 FortiGate ユニ ッ ト が使 用 し ている FortiAnalyzer デ ィ ス ク ク ォ ー タ の現在のス テー タ ス。 FortiAnalyzer ユニ ッ ト へのロギング を設定 し ている場合にのみ表示 さ れます。 インタフェース ステータス FortiGate ユニ ッ ト の フ ロ ン ト パネルの図には、 イ ーサネ ッ ト イ ン タ フ ェ ースの ス テー タ スが表示 さ れます。 ネ ッ ト ワー ク イ ン タ フ ェ ースが緑色にな っ ている 場合、 そのイ ン タ フ ェ ースは接続 さ れています。 イ ン タ フ ェ ースの上にマウス ポ イ ン タ を置 く と 、 IP ア ド レ ス、 ネ ッ ト マ ス ク、 お よび イ ン タ フ ェ ースの現在 のス テー タ スが表示 さ れます。 [Reboot] または [ShutDown] を選択する と 、 ウ ィ ン ド ウが開き、 シ ス テム イ ベ ン ト の理由を入力する こ と がで き ます。 入力 し た理由は、 デ ィ ス ク イ ベン ト ロ グ に追加 さ れます。 あ らか じ め CLI で、 デ ィ ス ク ロギン グ を有効に し てお く 必要 があ り ます。 イ ベ ン ト ロギン グで管理イ ベン ト を有効にする必要があ り ます。 イ ベ ン ト ロギン グの詳細については、 440 ページの 「イ ベ ン ト ロ グ」 を参照 し て く だ さ い。 図 14: FortiGate-800 のインタフェース ステータスの例 (FortiAnalyzer がない場合 ) [INT / EXT / DMZ / HA FortiGate ユニ ッ ト 上のポー ト 。 こ れら のポー ト の名前 と 数は、 ご使用のユニ ッ ト によ っ て異な り ます。 / 1 / 2 / 3 / 4] ポー ト 名の下のア イ コ ンは、 色で各ポー ト のステー タ ス を示 し ま す。 緑色はポー ト が接続 さ れている こ と を、 灰色は接続 さ れてい ない こ と を示 し ています。 ポー ト の設定の詳細を表示するには、 そのポー ト のア イ コ ンの上 にマウス を置き ます。 イ ン タ フ ェ ースのフ ル ネーム、 IP ア ド レ ス と ネ ッ ト マス ク 、 リ ン ク のステー タ ス、 イ ン タ フ ェ ースの速 度、 および送受信 さ れたパケ ッ ト の数が表示 さ れます。 [FortiAnalyzer] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 FortiGate ユニ ッ ト の図 と FortiAnalyzer の図の間の リ ン ク 上にあ る ア イ コ ンは、 その接続のステー タ ス を示 し ます。 赤いア イ コ ン の上にある "X" は、 接続がない こ と を示 し ています。 緑色のア イ コ ンの上にある チ ェ ッ ク マー ク は、 この 2 つのユニ ッ ト の間 で通信が行われている こ と を示 し ています。 FortiGate ユニ ッ ト で FortiAnalyzer のロギングを設定するには、 FortiAnalyzer の図を選択 し ます。 431 ページの 「ロ グおよびレ ポー ト 」 を参照 し て く だ さ い。 47 [Status] ページ システム - ステータス [Reboot] FortiGate ユニ ッ ト を シ ャ ッ ト ダウンおよび再起動する場合に選 択 し ます。 ログに記録する ため再起動の理由を入力する よ う 求め ら れます。 [Shutdown] FortiGate ユニ ッ ト を シ ャ ッ ト ダウンする場合に選択 し ます。 確 認を求めら れます。 ログに記録する ためシ ャ ッ ト ダウンの理由を 入力する よ う 求めら れます。 [Reset] FortiGate ユニ ッ ト を工場出荷のデ フ ォル ト 設定に リ セ ッ ト する 場合に選択 し ます。 確認を求めら れます。 警告メッセージ コンソール 警告 メ ッ セージは、 FortiGate ユニ ッ ト に対する変更を追跡するのに役立ち ます。 警告 メ ッ セージ コ ン ソ ールには、 次の種類の メ ッ セージ を表示で き ます。 図 15: 警告メッセージ コンソールの例 System restart シ ステムが再起動 さ れま し た。 再起動は、 オペ レー タ が操作 し たため、 または電源がオ フ / オン さ れた ために生 じ た可能性があ り ます。 Firmware upgraded by <admin_name> 指定の管理者が、 ア ク テ ィ ブ または非ア ク テ ィ ブ パーテ ィ シ ョ ンのど ち ら かで、 フ ァ ームウ ェ ア を よ り 新 し いバージ ョ ンにア ッ プグ レー ド し ま し た。 Firmware downgraded by <admin_name> 指定の管理者が、 ア ク テ ィ ブ または非ア ク テ ィ ブ パーテ ィ シ ョ ンのど ち ら かで、 フ ァ ームウ ェ ア を よ り 古いバージ ョ ンにダウング レー ド し ま し た。 FortiGate has reached connection limit for <n> seconds ア ン チウ イルス エ ン ジ ンが、 表示 さ れている時間、 メ モ リ 不足に陥 り ま し た。 この状況下では、 モデル や設定に も よ り ますが、 コ ン テ ン ツ を ブ ロ ッ ク する か、 またはスキ ャ ン な し で通過 さ せる こ と も 選択で き ます。 Found a new FortiAnalyzer Lost the connection to FortiAnalyzer FortiGate ユニ ッ ト が、 FortiAnalyzer ユニ ッ ト を発見 し たか、 または FortiAnalyzer ユニ ッ ト への接続を 失っ た こ と を示 し ます。 434 ページの 「FortiAnalyzer ユニ ッ ト へのロギング」 を参照 し て く だ さ い。 各 メ ッ セージには、 書き込まれた と きの日付 と 時刻が表示 さ れます。 すべての メ ッ セージ を表示で き る だけの領域がない場合は、 [Show All] を選択すれば、 リ ス ト 全体を新 し いウ ィ ン ド ウに表示する こ と がで き ます。 警告 メ ッ セージ を ク リ アする には、 [All] を選択 し た後、 新 し いウ ィ ン ド ウの一番 上にある [Clear Alert Messages] を選択 し ます。 それに よ り 、 現在のすべての警告 メ ッ セージが FortiGate ユニ ッ ト から 削除 さ れます。 統計情報 [System Status] ページの [Statistics] セ ク シ ョ ンは、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク や保護に関 し て、 FortiGate ユニ ッ ト で何が起き てい るのかを一目で理解で き る よ う に設計 さ れています。 ト ラ フ ィ ッ ク の量や種類だけでな く 、 シ ス テムに対 し て行われた攻撃の試みにつ いて、 すばや く 知る こ と がで き ます。 特に気にな る領域を調べる には、 [Details] を選択 し て、 最新の動作の詳細な リ ス ト を表示 さ せます。 48 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス システム情報の変更 [Statistics] セ ク シ ョ ン に表示 さ れる情報は、 FortiAnalyzer ユニ ッ ト に保存 し た り 、 ロー カルに保存 し た り 、 あ る いは外部 ソ ースへのバ ッ ク ア ッ プが可能な ロ グ フ ァ イルに保存 さ れます。 こ のデー タ を使用 し て、 時間の経過に伴 う ネ ッ ト ワー ク動作や攻撃の傾向を調べ、 それに応 じ て対処する こ と がで き ます。 統計 リ ス ト に関する詳細な手順については、 54 ページの 「統計情報の表示」 を 参照 し て く だ さ い。 図 16: 統計の例 リセッ ト [Since] カ ウン ト が リ セ ッ ト さ れた日付 と 時刻。 カ ウン ト は、 FortiGate ユニ ッ ト の再起動時、 または [Reset] ア イ コ ンの選択時に リ セ ッ ト さ れます。 リセット アイコン アー カ イ ブや攻撃ログのカ ウン ト を 0 に リ セ ッ ト し ます。 [Sessions] FortiGate ユニ ッ ト が処理 し ている通信セ ッ シ ョ ンの数。 詳細情報 を表示するには、 [Details] を選択 し ます。 54 ページの 「セ ッ シ ョ ン リ ス ト の表示」 を参照 し て く だ さ い。 [Content Archive] FortiGate ユニ ッ ト を通過 し た HTTP、 電子 メ ール、 FTP、 および IM/P2P ト ラ フ ィ ッ ク の概要。 [Details] ページには、 選択 さ れた種 類の ト ラ フ ィ ッ ク の最新 64 項目の リ ス ト が表示 さ れ、 アー カ イ ブ さ れた ト ラ フ ィ ッ ク が格納 さ れている FortiAnalyzer ユニ ッ ト への リ ン ク が示 さ れます。 FortiAnalyzer ユニ ッ ト へのロギングが設定 さ れていない場合、 [Details] ページには、 [Log & Report]、 [Log Config]、[Log Settings] ページへの リ ン クが表示 さ れます。 [Attack Log] ユニ ッ ト が阻止 し たウ イルス、 攻撃、 スパム電子 メ ール メ ッ セー ジ、 および URL の概要。 [Details] ページには最新 10 項目の リ ス ト が表示 さ れ、 時間、 発信元、 宛先などの情報が示 さ れます。 システム情報の変更 ア ク セス プ ロ フ ァ イルでシ ス テム設定への書き込みア ク セスが許可 さ れている FortiGate 管理者は、 シ ス テム時刻、 ホ ス ト 名、 お よび VDOM の動作モー ド を変 更で き ます。 システム時刻の設定 1 [System]、[Status] の順に選択 し ます。 2 [System Information] セ ク シ ョ ンの [System Time] 行にある [Change] を選択 し ます。 3 タ イム ゾーン を選択 し た後、 日付 と 時刻を手動で設定するか、 または NTP サー バ と の同期を設定 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 49 システム情報の変更 システム - ステータス 図 17: 時刻の設定 [System Time] 現在の FortiGate シス テムの日付 と 時刻。 [Refresh] 現在の FortiGate シス テムの日付 と 時刻の表示を更新 し ます。 [Time Zone] 現在の FortiGate シス テムの タ イ ム ゾーン を選択 し ます。 [Automatically adjust タ イム ゾーン で夏時間 と 標準時間が切 り 替わる際に FortiGate の シ ステム ク ロ ッ ク を自動的に調整 し たい場合に選択 し ます。 clock for daylight saving changes] [Set Time] FortiGate シ ステムの日付 と 時刻を、 [Hour]、 [Minute]、 [Second]、 [Year]、 [Month]、 および [Day] フ ィ ール ド に入力 し た値に設定す る場合に選択 し ます。 [Synchronize with NTP Server] NTP サーバを使用 し てシ ス テムの日付 と 時刻を自動的に設定する 場合に選択 し ます。 サーバ と 同期間隔を指定する必要があ り ます。 [Server] NTP サーバの IP ア ド レ ス または ド メ イ ン名を入力 し ます。 使用で き る NTP サーバを検索するには、 http://www.ntp.org を参照 し て く だ さ い。 [Sync Interval] FortiGate ユニ ッ ト が NTP サーバ と 時刻の同期を と る頻度を指定 し ます。 た と えば、 1440 分に設定する と 、 FortiGate ユニ ッ ト は 1 日 に 1 回時刻の同期を と り ます。 FortiGate ユニットのホスト名の変更 FortiGate のホ ス ト 名は、 [System Status] ページ と FortiGate CLI のプ ロ ン プ ト に 表示 さ れます。 ま た、 こ のホス ト 名は、 SNMP シ ス テム名 と し て も使用 さ れま す。 SNMP については、 133 ページの 「SNMP」 を参照 し て く だ さ い。 デ フ ォ ル ト のホス ト 名は、 FortiGate ユニ ッ ト のシ リ アル番号です。 た と えば、 FGT8002805030003 は、 FortiGate-800 ユニ ッ ト にな り ます。 ア ク セス プ ロ フ ァ イルで シ ス テム設定への書き込みア ク セスが許可 さ れてい る 管理者は、 FortiGate ユニ ッ ト のホ ス ト 名を変更で き ます。 注記 : FortiGate ユニ ッ ト が HA ク ラ ス タ の一部である場合は、 そのユニ ッ ト を ク ラ ス タ 内の他のユニ ッ ト から 区別で き る よ う に一意のホス ト 名を使用 し な く てはな り ません。 FortiGate ユニットのホスト名を変更するには 50 1 [System]、[Status] の順に選択 し ます。 2 [System Information] セ ク シ ョ ンの [Host Name] フ ィ ール ド で、 [Change] を選択 し ます。 3 [New Name] フ ィ ール ド に、 新 し いホス ト 名を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス FortiGate ファームウェアの変更 4 [OK] を選択 し ます。 新 し いホス ト 名が [Host Name] フ ィ ール ド と CLI プ ロ ン プ ト に表示 さ れ、 SNMP シ ス テム名に追加 さ れます。 FortiGate ファームウェアの変更 ア ク セス プ ロ フ ァ イルで メ ン テナ ン ス読み取 り およ び書き込みア ク セスが許可 さ れてい る FortiGate 管理者は、 FortiGate フ ァ ームウ ェ ア を変更で き ます。 フ ァ ームウ ェ ア変更では、 新 し いバージ ョ ン にア ッ プグ レ ー ド するか、 または以 前のバージ ョ ンへの復帰を行います。 実行する フ ァ ームウ ェ ア変更に応 じ て、 次 のいずれかの手順に従います。 • 新 し い フ ァ ームウ ェ ア バージ ョ ンへのア ッ プグ レ ー ド • 以前の フ ァ ームウ ェ ア バージ ョ ンへの復帰 新しいファームウェア バージョンへのアップグレード FortiGate ユニ ッ ト を新 し い フ ァ ームウ ェ ア バージ ョ ン にア ッ プグ レ ー ド する に は、 次の手順を使用 し ます。 注記 : フ ァ ームウ ェ ア を イ ン ス ト ールする と 、 現在のア ン チウ イルスおよび攻撃定義が、 イ ン ス ト ールする フ ァ ームウ ェ ア リ リ ースに含まれている定義に置き換え られます。 新 し い フ ァ ームウ ェ ア を イ ン ス ト ール し た後、 175 ページの 「ア ン チウ イルスおよび攻撃の 定義を更新する には」 の手順を使用 し て、 ア ン チウ イルスお よび攻撃定義を忘れずに最新 の ものに し ておいて く だ さ い。 Web ベース マネージャを使用してファームウェアをアップグレードするには 1 フ ァ ームウ ェ ア イ メ ージ フ ァ イルを管理 コ ン ピ ュ ー タ に コ ピー し ます。 2 スーパー管理者、 またはシ ス テム設定への読み取 り お よび書き込み特権を持つ管 理者ア カ ウン ト と し て Web ベース マネージ ャ に ロ グ イ ン し ます。 3 [System]、[Status] の順に選択 し ます。 4 [System Information] セ ク シ ョ ン で、 [Firmware Version] 行にあ る [Update] を選択 し ます。 5 フ ァ ームウ ェ ア イ メ ージ フ ァ イルのパス と フ ァ イル名を入力するか、 または [Browse] を選択 し て フ ァ イルを指定 し ます。 6 [OK] を選択 し ます。 FortiGate ユニ ッ ト は、 フ ァ ームウ ェ ア イ メ ージ フ ァ イルを ア ッ プ ロー ド し 、 新 し い フ ァ ームウ ェ ア バージ ョ ン にア ッ プグ レ ー ド し たあ と 、 すべてのセ ッ シ ョ ン を閉 じ て再起動を行い、 FortiGate ロ グ イ ン を表示 し ます。 こ の処理には数分 かか り ます。 7 Web ベース マネージ ャ に ロ グ イ ン し ます。 8 [System]、[Status] の順に選択 し 、 [Firmware Version] を確認 し て、 フ ァ ーム ウ ェ ア ア ッ プグ レ ー ド が正常に イ ン ス ト ール さ れてい る こ と を確認 し ます。 9 ア ン チウ イルスお よび攻撃定義を更新 し ます。 ア ン チウ イルスおよ び攻撃定義の 更新については、 169 ページの 「FortiGuard Center」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 51 動作履歴の表示 システム - ステータス 以前のファームウェア バージョンへの復帰 FortiGate ユニ ッ ト を以前の フ ァ ームウ ェ ア バージ ョ ン に戻すには、次の手順を使 用 し ます。 こ の手順ではまた、 FortiGate ユニ ッ ト は工場出荷のデ フ ォル ト 設定に 戻 さ れ、 IPS カ ス タ ム シグネチ ャ、 Web コ ン テ ン ツ リ ス ト 、 電子 メ ール フ ィ ル タ リ ン グ リ ス ト 、 お よび差 し 替え メ ッ セージへの変更 も削除 さ れます。 こ れら の 情報を保持する には、 FortiGate ユニ ッ ト の設定をバ ッ ク ア ッ プ し ます。 詳細につ いては、 165 ページの 「バ ッ ク ア ッ プおよ び復元」 を参照 し て く だ さ い。 以前の FortiOS ・ バージ ョ ン に ( た と えば、 FortiOS v3.0 か ら FortiOS v2.8 に ) 戻 す と 、 バ ッ ク ア ッ プの設定 フ ァ イルから 以前の設定を復元で き な く な る可能性が あ り ます。 注記 : フ ァ ームウ ェ ア を イ ン ス ト ールする と 、 現在のア ン チウ イルスおよび攻撃定義が、 イ ン ス ト ールする フ ァ ームウ ェ ア リ リ ースに含まれている定義に置き換え ら れて し まい ます。 新 し い フ ァ ームウ ェ ア を イ ン ス ト ール し た後、 175 ページの 「ア ン チウ イルスおよ び攻撃の定義を更新するには」 の手順を使用 し て、 ア ン チウ イルスおよび攻撃定義を確実 に最新版に し て く だ さ い。 Web ベース マネージャを使用して以前のファームウェア バージョンに戻すには 1 フ ァ ームウ ェ ア イ メ ージ フ ァ イルを管理 コ ン ピ ュ ー タ に コ ピー し ます。 2 スーパー管理者、 またはシ ス テム設定への読み取 り およ び書き込み特権を持つ管 理者ア カ ウ ン ト と し て Web ベース マネージ ャ に ロ グ イ ン し ます。 3 [System]、[Status] の順に選択 し ます。 4 [System Information] セ ク シ ョ ン で、 [Firmware Version] 行にある [Update] を選択 し ます。 5 フ ァ ームウ ェ ア イ メ ージ フ ァ イルのパス と フ ァ イル名を入力するか、 または [Browse] を選択 し て フ ァ イルを指定 し ます。 6 [OK] を選択 し ます。 FortiGate ユニ ッ ト は、 フ ァ ームウ ェ ア イ メ ージ フ ァ イルを ア ッ プ ロー ド し 、 古 い フ ァ ームウ ェ ア バージ ョ ン に戻 し 、 設定を リ セ ッ ト し たあ と 、 再起動を行い、 FortiGate ロ グ イ ン を表示 し ます。 こ の処理には数分かか り ます。 7 Web ベース マネージ ャ にロ グ イ ン し ます。 8 [System]、[Status] の順に選択 し 、 [Firmware Version] を確認 し て、 フ ァ ーム ウ ェ アが正常に イ ン ス ト ール さ れてい る こ と を確認 し ます。 9 設定を復元 し ます。 設定の復元については、 165 ページの 「バ ッ ク ア ッ プお よび復元」 を参照 し て く だ さ い。 10 ア ン チウ イルスお よび攻撃定義を更新 し ます。 ア ン チウ イルスお よび攻撃定義については、 175 ページの 「ア ン チウ イルスお よ び攻撃の定義を更新する には」 を参照 し て く だ さ い。 動作履歴の表示 [System Resource History] ページには、 シ ス テム リ ソ ースや保護の動作を表す 6 つのグ ラ フが表示 さ れます。 1 52 [System]、[Status] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス FortiGuard 定義の手動による更新 2 [System Resources] セ ク シ ョ ンの右上にあ る [History] を選択 し ます。 図 18: システム リソース履歴の例 [Time Interval] グ ラ フ を表示する時間間隔を選択 し ます。 [CPU Usage History] 指定 さ れた時間間隔毎の CPU 使用率。 [Memory Usage History] 指定 さ れた時間間隔毎の メ モ リ 使用率。 [Session History] 指定 さ れた時間間隔毎のセ ッ シ ョ ン数。 [Network Utilization History] 指定 さ れた時間間隔毎のネ ッ ト ワー ク 使用率。 [Virus History] 指定 さ れた時間間隔毎に検出 さ れたウ イルスの数。 [Intrusion History] 指定 さ れた時間間隔毎に検出 さ れた侵入の試みの数。 FortiGuard 定義の手動による更新 FortiGuard - AV お よび FortiGuard - の不正侵入防御の両定義は、 [System Status] ページの [License Information] セ ク シ ョ ンか ら いつで も更新で き ます。 注記 : AV および不正侵入防御 ( 攻撃 ) 定義が自動的に更新 さ れる よ う に FortiGate ユニ ッ ト を設定する方法については、 169 ページの 「FortiGuard Center」 を参照 し て く だ さ い。 FortiGuard AV 定義の手動による更新 1 最新の AV 定義更新フ ァ イルを Fortinet か ら ダウン ロー ド し 、 それを Web ベース マネージ ャへの接続に使用する コ ン ピ ュ ー タ に コ ピー し ます。 2 Web ベース マネージ ャ を起動 し 、 [System]、[Status] の順に選択 し ます。 3 [License Information] セ ク シ ョ ンの、 [FortiGuard Subscriptions] の [AV Definitions] フ ィ ール ド で、 [Update] を選択 し ます。 [Anti-Virus Definitions Update] ダ イ ア ロ グ ボ ッ ク スが表示 さ れます。 4 [Update File] フ ィ ール ド で、 AV 定義更新フ ァ イルのパス と フ ァ イル名を入力す るか、 または [Browse] を選択 し て AV 定義更新フ ァ イルを指定 し ます。 5 [OK] を選択 し て、 AV 定義更新 フ ァ イルを FortiGate ユニ ッ ト に コ ピー し ます。 FortiGate ユニ ッ ト は AV 定義を更新 し ます。 こ の処理には 1 分程度かか り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 53 統計情報の表示 システム - ステータス 6 [System]、[Status] の順に選択 し て、 FortiGuard の [AV Definitions] のバージ ョ ン 情報が更新 さ れている こ と を確認 し ます。 FortiGuard IPS 定義の手動による更新 1 最新の攻撃定義更新 フ ァ イルを Fortinet から ダウ ン ロー ド し 、それを Web ベース マネージ ャへの接続に使用する コ ン ピ ュ ー タ に コ ピー し ます。 2 Web ベース マネージ ャ を起動 し 、 [System]、[Status] の順に選択 し ます。 3 [License Information] セ ク シ ョ ンの、 [FortiGuard Subscriptions] の [IPS Definitions] フ ィ ール ド で、 [Update] を選択 し ます。 [Intrusion Prevention System Definitions Update] ダイ アログ ボ ッ ク スが表示さ れます。 4 [Update File] フ ィ ール ド で、 攻撃定義更新フ ァ イルのパス と フ ァ イル名を入力す るか、 または [Browse] を選択 し て攻撃定義更新 フ ァ イルを指定 し ます。 5 [OK] を選択 し て、 攻撃定義更新 フ ァ イルを FortiGate ユニ ッ ト に コ ピー し ます。 FortiGate ユニ ッ ト は攻撃定義を更新 し ます。 こ の処理には 1 分程度かか り ます。 6 [System]、[Status] の順に選択 し て、 [IPS Definitions] のバージ ョ ン情報が更新 さ れてい る こ と を確認 し ます。 統計情報の表示 [System Status] の [Statistics] セ ク シ ョ ン では、 セ ッ シ ョ ン、 コ ン テ ン ツ アー カ イ ブ、 お よびネ ッ ト ワー ク 保護の動作に関する情報が提供 さ れます。 セッション リストの表示 セ ッ シ ョ ン リ ス ト には、 FortiGate ユニ ッ ト 上の現在の通信セ ッ シ ョ ン に関する 情報が表示 さ れます。 セッション リストを表示するには 1 [System]、[Status] の順に選択 し ます。 2 [Statistics] セ ク シ ョ ン で、 [Sessions] 行にある [Details] を選択 し ます。 図 19: セッション リスト [Virtual Domain] 54 特定のバーチ ャ ル ド メ イ ンによ っ て処理 さ れている セ ッ シ ョ ンの リ ス ト を表示するには、 そのバーチ ャ ル ド メ イ ン を選択 し ます。 すべての バーチ ャ ル ド メ イ ンによ っ て処理 さ れてい る セ ッ シ ョ ン を表示するに は、 [All] を選択 し ます。 こ のオプ シ ョ ンは、 複数のバーチ ャ ル ド メ イ ンが有効にな っ ている場 合にのみ使用で き ます。 [Refresh] セ ッ シ ョ ン リ ス ト を更新 し ます。 前ページ セ ッ シ ョ ン リ ス ト の前のページ を表示 し ます。 次ページ セ ッ シ ョ ン リ ス ト の次のページ を表示 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス 統計情報の表示 [Line] セ ッ シ ョ ン リ ス ト の表示を開始する セ ッ シ ョ ンの行番号を入力 し ます。 た と えば、 5 つのセ ッ シ ョ ンがある場合に 「3」 を入力する と 、 3 番、 4 番、 および 5 番のセ ッ シ ョ ンのみが表示 さ れます。 "/" の次の数値は、 FortiGate ユニ ッ ト 上のア ク テ ィ ブ セ ッ シ ョ ンの数 です。 [Clear All Filters] 設定 さ れている表示フ ィ ル タ をすべて リ セ ッ ト する場合に選択 し ます。 [Filter Icon] [#] と [Expiry] を除 く すべての列の項目名の左側にある ア イ コ ン。 選択する と 、 [Edit Filter] ダ イ ア ロ グが表示 さ れ、 列ご と に 表示 フ ィ ル タ を設定で き る よ う にな り ます。 [Protocol] 接続のサービ ス プ ロ ト コ ル ( た と えば、 udp、 tcp、 icmp)。 [Source Address] 接続の発信元 IP ア ド レ ス。 [Source Port] 接続の発信元ポー ト 。 [Destination Address] 接続の宛先 IP ア ド レ ス。 [Destination Port] 接続の宛先ポー ト 。 [Policy ID] こ のセ ッ シ ョ ン を許可 し ている フ ァ イ アウ ォ ール ポ リ シの番号か、 ま たはセ ッ シ ョ ンに FortiGate イ ン タ フ ェ ースが 1 つ し か関係 し ていない 場合 ( た と えば、 管理セ ッ シ ョ ン ) は空白。 [Expiry (sec)] 接続が期限切れにな る までの時間 ( 秒単位 )。 削除アイコン ア ク テ ィ ブ な通信セ ッ シ ョ ン を停止 し ます。 ア ク セス プ ロ フ ァ イルで、 シス テム設定への読み取 り および書き込みア ク セスが許可 さ れている 必要があ り ます。 コンテンツ アーカイブ情報の表示 [System Status] ページの [Statistics] セ ク シ ョ ンから、 FortiGate ユニ ッ ト を通過 する HTTP、 電子 メ ール、 FTP、 お よび IM ト ラ フ ィ ッ ク に関する統計を読み取る こ と がで き ます。 各 ト ラ フ ィ ッ クの種類の横にあ る [Details] リ ン ク を選択する こ と に よ り 、 詳細情報を表示で き ます。 [Statistics] セ ク シ ョ ンのヘ ッ ダーにある [Reset] を選択する と 、 コ ン テ ン ツ アー カ イ ブお よび攻撃ロ グ情報を ク リ ア し 、 カ ウン ト を 0 に リ セ ッ ト する こ と がで き ます。 アーカイブされた HTTP コンテンツ情報の表示 1 [System]、[Status] の順に選択 し ます。 2 [Content Archive] セ ク シ ョ ン で、 [HTTP] の [Details] を選択 し ます。 [Date and Time] URL を ア ク セス し た時刻。 [From] URL を ア ク セス し た IP ア ド レ ス。 [URL] ア ク セス し た URL。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 55 統計情報の表示 システム - ステータス アーカイブされた電子メール コンテンツ情報の表示 1 [System]、[Status] の順に選択 し ます。 2 [Content Archive] セ ク シ ョ ン で、 [Email] の [Details] を選択 し ます。 [Date and Time] 電子 メ ールが FortiGate ユニ ッ ト を通過 し た時刻。 [From] 送信者の電子 メ ール ア ド レ ス。 [To] 受信者の電子 メ ール ア ド レ ス。 [Subject] 電子 メ ールの件名。 アーカイブされた FTP コンテンツ情報の表示 1 [System]、[Status] の順に選択 し ます。 2 [Content Archive] セ ク シ ョ ン で、 [FTP] の [Details] を選択 し ます。 [Date and Time] ア ク セス時刻。 [Destination] ア ク セス さ れた FTP サーバの IP ア ド レ ス。 [User] FTP サーバにログ イ ン し たユーザ ID。 [Downloads] ダウン ロー ド さ れた フ ァ イル名。 [Uploads] ア ッ プ ロー ド さ れた フ ァ イル名。 アーカイブされた IM コンテンツ情報の表示 56 1 [System]、[Status] の順に選択 し ます。 2 [Content Archive] セ ク シ ョ ン で、 [IM] の [Details] を選択 し ます。 [Date / Time] ア ク セス時刻。 [Protocol] こ の IM セ ッ シ ョ ン で使用 さ れている プ ロ ト コル。 [Kind] こ の ト ラ ンザク シ ョ ンの IM ト ラ フ ィ ッ クの種類。 [Local] こ の ト ラ ンザク シ ョ ンのロー カル ア ド レ ス。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス 統計情報の表示 [Remote] この ト ラ ンザク シ ョ ンの リ モー ト ア ド レ ス。 [Direction] このフ ァ イルが送信 さ れたか、 または受信 さ れたかを示 し ます。 攻撃ログの表示 [System Status] ページの [Statistics] セ ク シ ョ ンから、 FortiGate ユニ ッ ト が阻止 し たネ ッ ト ワー ク 攻撃に関する統計を表示で き ます。 各攻撃の種類の横にあ る [Details] リ ン ク を選択する こ と に よ り 、 詳細情報を表示で き ます。 [Statistics] セ ク シ ョ ンのヘ ッ ダーにある [Reset] を選択する と、 コ ン テ ン ツ アーカ イ ブおよび攻撃ログ情報を ク リ ア し 、カウン ト を 0 に リ セ ッ ト する こ と がで き ます。 捕捉したウイルスの表示 1 [System]、[Status] の順に選択 し ます。 2 [Attack Log] セ ク シ ョ ン で、 [AV] の [Details] を選択 し ます。 [Date and Time] ウ イルスが検出 さ れた時刻。 [From] 送信者の電子 メ ール ア ド レ スまたは IP ア ド レ ス。 [To] 対象 と さ れた受信者の電子 メ ール ア ド レ スまたは IP ア ド レ ス。 [Service] サービ スの種類 (POP、 HTTP な ど )。 [Virus] 検出 さ れたウ イルスの名前。 ブロックされた攻撃の表示 1 [System]、[Status] の順に選択 し ます。 2 [Attack Log] セ ク シ ョ ン で、 [IPS] の [Details] を選択 し ます。 [Date and Time] 攻撃が検出 さ れた時刻。 [From] 攻撃の発信元。 [To] 攻撃の対象 と さ れたホス ト 。 [Service] サービ スの種類。 [Attack] 検出 さ れ、 防御 さ れた攻撃の種類。 検出されたスパム電子メールの表示 1 [System]、[Status] の順に選択 し ます。 2 [Attack Log] セ ク シ ョ ン で、 [Spam] の [Details] を選択 し ます。 [Date and Time] スパムが検出 さ れた時刻。 [From->To IP] 送信者および対象 と さ れた受信者の IP ア ド レ ス。 [From->To Email Accounts] 送信者および対象 と さ れた受信者の電子 メ ール ア ド レ ス。 [Service] サービ スの種類 (SMTP、 POP、 IMAP な ど )。 [SPAM Type] 検出 さ れたスパムの種類。 ブロックされた URL の表示 1 [System]、[Status] の順に選択 し ます。 2 [Attack Log] セ ク シ ョ ン で、 [Web] の [Details] を選択 し ます。 [Date and Time] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 URL へのア ク セスの試みが検出 さ れた時刻。 57 トポロジ ビューア システム - ステータス [From] URL のア ク セス を試みたホス ト 。 [URL Blocked] ブ ロ ッ ク さ れた URL。 トポロジ ビューア ト ポロ ジ ビ ュ ーア を使用する と 、 FortiGate ユニ ッ ト に接続 さ れてい る ネ ッ ト ワー ク を、 図や ド キ ュ メ ン ト に表す こ と がで き ます。 こ の機能は、 FortiGate-50 お よび FortiGate-60 を除 く すべての FortiGate ユニ ッ ト で使用で き ます。 トポロジ ビューアのウィンドウ [Topology] ウ ィ ン ド ウは、 FortiGate の実装状況を示すネ ッ ト ワー ク ト ポロ ジ図 を描画で き る大き な " キ ャ ンバス " で構成 さ れています。 図 20:トポロジ ビューア 表示 / 編集 コ ン ト ロール テキス ト オブ ジ ェ ク ト サブネ ッ ト オブ ジ ェ ク ト メ イ ン ビ ュ ーポー ト ビ ュ ーポー ト コ ン ト ロール メイン ビューポートとビューポート コントロール メ イ ン ビ ュ ーポー ト は、 描画領域全体の中の一部です。 ビ ュ ーポー ト コ ン ト ロ ール内の濃い色の長方形に対応 し ています。 ビ ュ ーポー ト コ ン ト ロール内の メ イ ン ビ ュ ーポー ト の長方形を ド ラ ッ グ し て、 メ イ ン ビ ュ ーポー ト に描画領域 のどの部分を表示するかを決定する こ と がで き ます。 ビ ュ ーポー ト コ ン ト ロー ル内の "+" と "-" のボ タ ンは、 [Zoom in] およ び [Zoom out] 編集 コ ン ト ロール と 同 じ 機能を持 っ ています。 58 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ステータス トポロジ ビューア FortiGate ユニ ッ ト は、 ト ポロ ジ図の中の不変な部分です。 移動する こ と はで き ますが、 削除する こ と はで き ません。 表示 / 編集コントロール [Topology] ページの左上にあ る ツールバーには、 ト ポロ ジ図を表示お よび編集す る ための コ ン ト ロールが表示 さ れます。 表 3: トポロジ ビューアの表示 / 編集コントロール 表示 さ れている図を更新 し ます。 ズームイ ン し ます。 メ イ ン ビ ュ ーポー ト 内の描画領域のよ り 狭い 範囲を表示 し て、 オブ ジ ェ ク ト を拡大表示する場合に選択 し ます。 ズームアウ ト し ます。 メ イ ン ビ ュ ーポー ト 内の描画領域のよ り 広い 範囲を表示 し て、 オブ ジ ェ ク ト を縮小表示する場合に選択 し ます。 編集 し ます。 このボ タ ンは、図の編集を開始する と き に選択 し ます。 ツールバーが展開 さ れ、 以下に説明する編集コ ン ト ロールが表示 さ れます。 図に加え ら れた変更をすべて保存 し ます。 Web ベース マネージ ャ 内の他のページに切 り 替え る際には、 変更を保存する必要があ り ま す。 図にサブネ ッ ト オブ ジ ェ ク ト を追加 し ます。 サブネ ッ ト オブ ジ ェ ク ト は、 選択 し た フ ァ イ アウ ォ ール ア ド レ スに基づいて作成 さ れ ます。 オブ ジ ェ ク ト には、 そのフ ァ イ アウ ォ ール ア ド レ スの名前 が付け ら れ、 そのア ド レ スにひ も 付け ら れた イ ン タ フ ェ ースに線で 接続 さ れます。 こ のコ ン ト ロールを使用 し て新 し い フ ァ イ アウ ォ ール ア ド レ ス を 作成する こ と も で き ますが、 そのア ド レ ス を特定のイ ン タ フ ェ ース にひ も 付ける必要があ り ます。 フ ァ イ アウ ォ ール ア ド レ スの詳細 については、 247 ページの 「 フ ァ イ アウ ォ ール - ア ド レ ス」 を参照 し て く だ さ い。 テキス ト を挿入 し ます。 この コ ン ト ロールを選択 し た後、 テキス ト オブ ジ ェ ク ト を配置 し たい場所を ク リ ッ ク し ます。 テキス ト を入力 し 、 テキス ト ボ ッ ク スの外側を ク リ ッ ク し ます。 削除 し ます。 削除するオブ ジ ェ ク ト を選択 し た後、 こ のコ ン ト ロー ルを選択するか、 または Del キーを押 し ます。 カ ス タ マ イ ズ し ます。 描画で使用 さ れてい る線の色や太 さ を変更す る場合に選択 し ます。 See 60 ページの「 ト ポロ ジ図のカ ス タ マ イ ズ」. ド ラ ッ グ し ます。 必要に応 じ て、 こ のコ ン ト ロールを選択 し た後、 図内のオブ ジ ェ ク ト を ド ラ ッ グ し て配置 し ます。 ス ク ロール し ます。 こ のコ ン ト ロールを選択 し た後、 描画の背景を ド ラ ッ グ し て、 描画領域内で メ イ ン ビ ュ ーポー ト を移動 し ます。 こ の操作は、 ビ ュ ーポー ト コ ン ト ロール内で メ イ ン ビ ュ ーポー ト の長方形を移動するの と 同 じ 効果があ り ます。 選択 し ます。 こ のコ ン ト ロールを選択 し た後、 マウス ポ イ ン タ を ド ラ ッ グ し て、 選択範囲を決める長方形を作成 し ます。 マウス ボ タ ン を離す と 、 こ の長方形内のオブ ジ ェ ク ト が選択 さ れます。 終了 し ます。 このボ タ ンは、図の編集を終了する と き に選択 し ます。 ツールバーが縮小 し て、 [Refresh] および [Zoom] コ ン ト ロールだけ が表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 59 システム - ステータス トポロジ図のカスタマイズ [Topology Customization] ウ ィ ン ド ウ を開 く には、 [Customize] ボ タ ン を選択 し ま す。 必要に応 じ て設定を変更 し 、 終了 し た ら [OK] を選択 し ます。 図 21: [Topology Customization] ウィンドウ 60 [Preview] 選択 し た外観オプ シ ョ ンの実際の効果を示す、 シ ミ ュ レー ト さ れ た ト ポロ ジ図。 [Canvas Size] 描画サイ ズ ( ピ ク セル数 )。 [Resize to Image] [Background] と し て イ メ ージ を選択 し た場合、 そのイ メ ージ内に 収ま る よ う に図のサイ ズを変更 し ます。 [Background] 次の う ちのいずれかです。 [Solid] - [Background Color] で選択 さ れた無地。 [U.S. Map] - 米国地図。 [World Map] - 世界地図。 [Upload My Image] - [Image path] から イ メ ージ を ア ッ プ ロー ド し ます。 [Background Color] 図の背景色を選択 し ます。 [Image path] [Background] と し て [Upload My Image] を選択 し た場合は、 イ メ ー ジのパス を入力するか、 または [Browse] ボ タ ン を使用 し てパス を指定 し ます。 [Exterior Color] 図の外側の境界領域の色を選択 し ます。 [Line Color] サブネ ッ ト オブ ジ ェ ク ト と イ ン タ フ ェ ースの間の接続線の色を 選択 し ます。 [Line Width] 接続線の太 さ を選択 し ます。 [Reset to Default] すべての設定をデ フ ォル ト 値に リ セ ッ ト し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 バーチャル ドメインの使用 バーチャル ドメイン バーチャル ドメインの使用 こ の項では、 バーチ ャル ド メ イ ン を使用 し て FortiGate ユニ ッ ト を複数の仮想ユ ニ ッ ト と し て動作 さ せ、 複数のネ ッ ト ワー ク に個別のフ ァ イ アウ ォ ールお よび ルーテ ィ ング サービ ス を提供する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • バーチ ャル ド メ イ ン • VDOM の有効化 • VDOM と グロ ーバル設定の設定 バーチャル ドメイン バーチ ャル ド メ イ ン (VDOM) を使用する と 、 FortiGate ユニ ッ ト を複数の独立 し たユニ ッ ト と し て機能 さ せる こ と がで き ます。 こ れに よ り 、 FortiGate ユニ ッ ト 1 台で、 組織内の複数の部門や個別の組織それぞれにサービ ス を提供 し た り 、 サー ビ ス プ ロバイ ダのマネージ ド セキ ュ リ テ ィ サービ スの基盤に し た り する な ど、 優れた柔軟性を発揮 し ます。 VDOM は個別のセキ ュ リ テ ィ ド メ イ ン であ り 、 こ れによ っ て個別のゾーン、 ユーザ認証、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ン グ、 お よび VPN 設定が可 能にな り ます。 また、 VDOM を使用する と 、 一度に多数のルー ト または フ ァ イ ア ウ ォ ール ポ リ シーを管理する必要がな く な る ため、 複雑な設定の管理を簡略化 する こ と も で き ます。 62 ページの 「VDOM の設定」 を参照 し て く だ さ い。 VDOM を設定 し て使用する には、 バーチ ャル ド メ イ ン設定を有効にする必要が あ り ます。 64 ページの 「VDOM の有効化」 を参照 し て く だ さ い。 VDOM を作成 し て設定する場合は、 その VDOM に イ ン タ フ ェ ースまたは VLAN サブ イ ン タ フ ェ ース を割 り 当て る必要があ り ます。 必要に応 じ て、 その VDOM にのみロ グ イ ン で き る管理者ア カ ウ ン ト を割 り 当て る こ と がで き ます。 VDOM が 特定の組織にサービ ス を提供する よ う に作成 さ れてい る場合、 その組織自身で設 定を自主管理で き る よ う にな り ます。 動作モー ド (NAT/ ルー ト または ト ラ ン ス ペア レ ン ト ) を、 VDOM ご と に個別に選択で き ます。 VDOM に入 っ たパケ ッ ト は、 その VDOM に閉 じ 込め られます。 VDOM 内に、 VDOM 内の VLAN サブ イ ン タ フ ェ ース間またはゾーン間を結ぶためのフ ァ イ ア ウ ォ ール ポ リ シーを作成で き ます。 パケ ッ ト がバーチ ャ ル ド メ イ ンの境界を内 部で横断する こ と はあ り ません。 パケ ッ ト が VDOM 間を移動する には、 物理イ ン タ フ ェ ース上の フ ァ イ アウ ォ ールを通過する必要があ り ます。 次に、 パケ ッ ト は別のイ ン タ フ ェ ース上の別の VDOM に到着 し ますが、 別のフ ァ イ アウ ォ ール を通過 し てか ら で ない と そ こ に入る こ と はで き ません。 両方の VDOM と も同 じ FortiGate ユニ ッ ト 上に存在 し ます。 1 つの例外は、 CLI コ マ ン ド を使用 し て VDOM 間ルーテ ィ ン グを設定する場合です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 61 バーチャル ドメイン バーチャル ドメインの使用 FortiGate の残 り の機能はグローバルです。 すべての VDOM に適用 さ れます。 つ ま り 、 不正侵入防御設定、 ア ン チウ イルス設定、 Web フ ィ ル タ 設定、 保護プ ロ フ ァ イル設定な どはすべて、 1 つ し か存在 し ません。 また、 VDOM 共有 フ ァ ーム ウ ェ アのバージ ョ ン、 ア ン チウ イルスおよ び攻撃デー タ ベース も同様です。 共有 さ れる設定の完全な リ ス ト については、 63 ページの 「グロ ーバル設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト はデ フ ォ ル ト で、 NAT/ ルー ト モー ド と ト ラ ン スペア レ ン ト モー ド を任意に組み合わせた最大 10 個の VDOM をサポー ト し ます。 モデル番号 が 3000 以上の FortiGate モデルでは、 ラ イ セ ン ス キーを購入 し て VDOM の最大 数を 25、 50、 100、 または 250 に増やす こ と がで き ます。 詳細については、 180 ページの 「ラ イ セ ン ス」 を参照 し て く だ さ い。 バーチ ャル ド メ イ ン設定が有効にな っ てお り 、 デ フ ォル ト のスーパー管理者 と し て ロ グ イ ン し た場合は、 [System]、[Status] の順に選択 し 、 [License Information] セ ク シ ョ ン にあ る [Virtual Domain] を参照する こ と に よ り 、 FortiGate ユニ ッ ト 上でサポー ト さ れてい るバーチ ャル ド メ イ ンの最大数を確認で き ます。 デ フ ォ ル ト では、 各 FortiGate ユニ ッ ト に、 ルー ト と い う 名前の VDOM が存在 し ます。 こ の VDOM には、 FortiGate の物理イ ン タ フ ェ ース、 VLAN サブ イ ン タ フ ェ ース、 ゾーン、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ン グ設定、 およ び VPN 設定のすべてが含まれています。 SNMP、 ロギン グ、 ア ラ ー ト メ ール、 FDN ベースの更新、 NTP ベースの時刻設定 な どの管理シ ス テムは、 管理 VDOM 内のア ド レ ス と ルーテ ィ ン グを使用 し て ネ ッ ト ワー ク と 通信 し ます。 こ れ らの管理シ ス テムは、 管理バーチ ャル ド メ イ ン と 通信する ネ ッ ト ワー ク リ ソ ースにのみ接続で き ます。 管理 VDOM は、 デ フ ォル ト でルー ト に設定 さ れていますが、 変更する こ と も で き ます。 詳細につい ては、 67 ページの 「管理 VDOM の変更」 を参照 し て く だ さ い。 VDOM を追加 し た ら、 VLAN サブ イ ン タ フ ェ ース、 ゾーン、 フ ァ イ アウ ォ ール ポ リ シー、 ルーテ ィ ン グ設定、 お よび VPN 設定を追加する な ど、 その VDOM の設 定が行えます。 ま た、 ルー ト VDOM から 他の VDOM に物理イ ン タ フ ェ ース を移 動 し た り 、 ある VDOM から 別の VDOM に VLAN サブ イ ン タ フ ェ ース を移動 し た り する こ と も で き ます。 VLAN の詳細については、 98 ページの 「VLAN の概要」 を参照 し て く だ さ い。 VDOM の詳細については、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 VDOM の設定 以下の設定は、 1 つのバーチ ャル ド メ イ ン に限定 さ れ、 複数のバーチ ャル ド メ イ ン で共用する こ と はあ り ません。 VDOM の標準管理者には、 こ れらの設定のみ が表示 さ れます。 また、 デ フ ォル ト のスーパー管理者 も こ れ らの設定にア ク セス で き ますが、 最初に設定対象の VDOM を選択する必要があ り ます。 • シ ス テム設定 • ゾーン • DHCP サービ ス • 動作モー ド (NAT/ ルー ト または ト ラ ン スペア レ ン ト ) • 管理 IP ( ト ラ ン スペア レ ン ト モー ド ) • ルー タ 設定 62 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 バーチャル ドメインの使用 バーチャル ドメイン • フ ァ イ アウ ォ ール設定 • ポ リ シー • ア ド レス • サービ ス グループ と カ ス タ ム サービ ス • スケジ ュ ール • 仮想 IP • IP プール • VPN 設定 • IPSec • PPTP • SSL • ユーザ設定 • ユーザ • ユーザ グループ • RADIUS およ び LDAP サーバ • Microsoft Windows Active Directory サーバ • P2P 統計 ( 表示 / リ セ ッ ト ) • ロギン グ設定、 ロ グ ア ク セス、 お よびロ グ レ ポー ト グローバル設定 次の設定は、 すべてのバーチ ャ ル ド メ イ ン に影響 し ます。 バーチ ャル ド メ イ ン が有効にな る と 、 デ フ ォ ル ト のスーパー管理者だけがグ ローバル設定にア ク セス で き ます。 • シ ス テム設定 • 物理イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース • • • • • • • • • • • • • • • FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ( 各物理イ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ースは、 1 つの VDOM にのみ属 し ます。 各 VDOM は、 独自のイ ン タ フ ェ ースのみを使用 または設定で き ます。 ) DNS 設定 ホス ト 名、 シ ス テム時刻、 フ ァ ームウ ェ ア バージ ョ ン ([System Status] ページ上 ) ア イ ド ル タ イ ムアウ ト と 認証 タ イ ムアウ ト Web ベース マネージ ャ の言語 LCD パネルの PIN ( 該当する場合 ) 停止ゲー ト ウ ェ イ検知 HA 構成 SNMP 設定 差 し 替え メ ッ セージ 管理者 ( 各管理者は、 1 つの VDOM にのみ属 し ます。 各 VDOM は、 独自の管理者 のみを設定で き ます。 ) ア ク セス プ ロ フ ァ イル FortiManager 設定 設定のバ ッ ク ア ッ プ と 復元 FDN 更新設定 バグ レ ポー ト 63 VDOM の有効化 バーチャル ドメインの使用 • フ ァ イ アウ ォ ール • 定義済みサービ ス • 保護プ ロ フ ァ イル • VPN 証明書 • ア ン チウ イルス設定 • 不正侵入防御設定 • Web フ ィ ル タ 設定 • ア ン チ スパム設定 • IM 設定 • 統計情報 • ユーザ リ ス ト と ユーザ ポ リ シー VDOM の有効化 デ フ ォ ル ト の管理者ア カ ウン ト を使用 し て、 FortiGate ユニ ッ ト 上で複数の VDOM での動作を有効にする こ と がで き ます。 バーチャル ドメインを有効にするには 1 Web ベース マネージ ャ に管理者 と し て ロ グ イ ン し ます。 2 [System]、[Status] の順に選択 し ます。 3 [System Information] で、 [Virtual Domain] の横にあ る [Enable] を選択 し ます。 FortiGate ユニ ッ ト か ら ロ グオ フ さ れます。 こ こ で、 管理者 と し て再度ロ グ イ ン で き ます。 バーチ ャル ド メ イ ンが有効にな る と 、 Web ベース マネージ ャ と CLI が次のよ う に変更 さ れます。 • グ ローバル設定 と VDOM ご と の設定が分離 さ れます。 • [System] の下に、 新 し い VDOM エ ン ト リ が表示 さ れます。 • グ ローバル オ プ シ ョ ン を表示または設定で き るのは、 管理者ア カ ウ ン ト だけ です。 • 管理者ア カ ウン ト は、 すべての VDOM 設定を設定で き ます。 • 管理者ア カ ウン ト は、 ルー ト VDOM 内の任意のイ ン タ フ ェ ース、 または標準 管理者ア カ ウン ト が割 り 当て られてい る VDOM に属する任意のイ ン タ フ ェ ー ス を使用 し て接続で き ます。 • 標準管理者ア カ ウ ン ト は、 自らが割 り 当て ら れている VDOM のみを設定で き、 またその VDOM に属する イ ン タ フ ェ ース を使用 し てのみ FortiGate ユニ ッ ト にア ク セスで き ます。 バーチ ャル ド メ イ ンが有効にな っ ている場合は、 画面の左下を参照する こ と に よ っ て現在のバーチ ャル ド メ イ ン を確認で き ます。 そ こ にあ る [Current VDOM:] の後にバーチ ャル ド メ イ ンの名前が表示 さ れます。 VDOM とグローバル設定の設定 バーチ ャル ド メ イ ンが有効にな る と 、 デ フ ォ ル ト のスーパー管理者ア カ ウ ン ト のみ、 次の操作を行 う こ と がで き ます。 64 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 バーチャル ドメインの使用 VDOM とグローバル設定の設定 • • • • • グ ローバル設定の設定 VDOM の作成または削除 複数の VDOM の設定 VDOM へのイ ン タ フ ェ ースの割 り 当て VDOM への管理者の割 り 当て VDOM は、 受信 ト ラ フ ィ ッ ク用 と 送信 ト ラ フ ィ ッ ク用の少な く と も 2 つの物理イ ン タ フ ェ ースまたは仮想サブ イ ン タ フ ェ ースが含まれては じ めて効果を発揮 し ま す。 VDOM に イ ン タ フ ェ ース またはサブ イ ン タ フ ェ ース を割 り 当て る こ と がで き るのは、 スーパー管理者のみです。 標準管理者ア カ ウ ン ト は、 独自の VDOM 内 の物理イ ン タ フ ェ ース上に VLAN サブ イ ン タ フ ェ ース を作成で き ます。 標準管理者を作成 し 、 その管理者を VDOM に割 り 当てない限 り 、 スーパー管理 者だけが VDOM を設定で き ます。 VDOM に管理者を割 り 当て る こ と がで き るの は、 スーパー管理者だけです。 自分のア ク セス プ ロ フ ァ イルで Admin Users へ の読み取 り お よび書き込みア ク セスが許可 さ れている管理者ア カ ウ ン ト は、 独自 の VDOM 内に追加の管理者を作成で き ます。 VDOM とグローバル設定の操作 管理者 と し て ロ グ イ ン し た と き に、 バーチ ャ ル ド メ イ ンが有効にな っ てい る と 、 [System] の下の [VDOM] オ プ シ ョ ン で示 さ れてい る よ う に、 自動的にグ ローバ ル設定に入 り ます。 [System]、[VDOM] の順に選択 し て、 バーチ ャル ド メ イ ン を操作 し ます。 図 22: [VDOM] リスト [Create New] 新 し い VDOM を追加する場合に選択 し ます。 新 し い VDOM 名を 入力 し 、 [OK] を選択 し ます。 VDOM の名前を、 既存の VDOM、 VLAN、 またはゾーン と 同 じ に する こ と はで き ません。 VDOM 名の長 さ は最大 11 文字で、 ス ペースは含まれません。 [Management] 管理 VDOM を、 選択 さ れてい る VDOM に変更 し ます。 管理 VDOM は、 かっ こ 内に示 さ れます。 デ フ ォル ト の管理 VDOM は ルー ト です。 [Management] を選択 し た と き に複数の VDOM が選択 さ れている 場合は、 表の最初に表示 さ れている VDOM が管理 VDOM と し て 割 り 当て られます。 詳細については、 67 ページの 「管理 VDOM の変更」 を参照 し て く だ さ い。 [Delete] 選択 さ れてい る VDOM を削除 し ます。 ルー ト VDOM を削除する こ と はで き ません。 [Switch] その VDOM に入る場合に選択 し ます。 現在入 っ てい る VDOM は、 VDOM の名前が表示 さ れている、 画 面の左下を参照する こ と によ っ て確認で き ます。 グローバル設 定画面の場合は、 この場所に VDOM 名は表示 さ れません。 [Name] VDOM の名前。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 65 VDOM とグローバル設定の設定 バーチャル ドメインの使用 [Operation Mode] VDOM の動作モー ド ([NAT] または [Transparent])。 [Interfaces] この VDOM に関連付け ら れている イ ン タ フ ェ ース ( 仮想イ ン タ フ ェ ース を含む )。 [Management Virtual Domain] どの VDOM が管理 ド メ イ ンかを示 し ます。 管理 ド メ イ ン以外の ド メ イ ンはすべて、 "no" で示 さ れます。 VDOM へのインタフェースの追加 VDOM には、 少な く と も 2 つのイ ン タ フ ェ ースが含れてい る必要があ り ます。 こ れらのイ ン タ フ ェ ースは、 物理イ ン タ フ ェ ース で も、 VLAN サブ イ ン タ フ ェ ース な どの仮想イ ン タ フ ェ ース で もかまいません。 デ フ ォ ル ト では、 すべての物理イ ン タ フ ェ ースがルー ト バーチ ャル ド メ イ ン に含まれています。 FortiOS v3.0 MR1 の時点では、 VDOM 間ルーテ ィ ン グ を使用する と 、 物理イ ン タ フ ェ ース を使用 し な く て も VDOM 間で内部的に通信する こ と がで き ます。 こ の 機能は、 CLI でのみ設定で き ます。 VDOM 間イ ン タ フ ェ ースの設定については、 『FortiGate CLI リ フ ァ レ ン ス 』 お よび 『FortiGate VLAN および VDOM ガ イ ド 』 を 参照 し て く だ さ い。 VLAN サブ イ ン タ フ ェ ースは一般に、 物理イ ン タ フ ェ ース と は別の VDOM に含め る必要があ り ます。 それには、 スーパー管理者が最初に VDOM を作成 し 、 次に VLAN サブ イ ン タ フ ェ ース を作成 し た後、 それを必要な VDOM に割 り 当て る必要 があ り ます。 [System]、[Network]、[Interfaces] はグ ローバル設定に し か存在せず、 どの VDOM 内で も使用で き ません。 VLAN サブ イ ン タ フ ェ ースの作成については、 101 ページの 「VLAN サブ イ ン タ フ ェ ースの追加」 を参照 し て く だ さ い。 VDOM へのインタフェースの割り当て 次の手順は、 既存のイ ン タ フ ェ ース を、 あ るバーチ ャ ル ド メ イ ンから別のバー チ ャル ド メ イ ン に再割 り 当てする方法を説明 し ています。 こ こ では、 VDOM が 有効にな っ てお り 、 複数の VDOM が存在する こ と を前提に し ています。 VDOM が何 らかの設定で使用 さ れてい る ( た と えば、 その VDOM 内に イ ン タ フ ェ ースが存在する ) 場合は、 その VDOM を削除で き ません。 イ ン タ フ ェ ースが 次のいずれかの設定に含まれている場合は、 VDOM から そのイ ン タ フ ェ ース を削 除で き ません。 • • • • • • DHCP サーバ ゾーン ルーテ ィ ン グ フ ァ イ アウ ォ ール ポ リ シー IP プール proxy arp (CLI を使用 し てのみア ク セス可能 ) 先に進む前に、 こ れ らの項目を削除するか、 または こ れらの項目を変更 し て イ ン タ フ ェ ース を削除 し て く だ さ い。 注記 : イ ン タ フ ェ ース またはサブ イ ン タ フ ェ ースは、 削除ア イ コ ンが表示 さ れていれば、 再割 り 当てまたは削除が可能です。 それま で、 そのイ ン タ フ ェ ースはど こかの設定で使用 さ れています。 VDOM にインタフェースを割り当てるには 1 66 管理者 と し て ロ グ イ ン し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 バーチャル ドメインの使用 VDOM とグローバル設定の設定 2 [System]、[Network]、[Interface] の順に選択 し ます。 3 再割 り 当てする イ ン タ フ ェ ースの [Edit] を選択 し ます。 4 そのイ ン タ フ ェ ースの新 し いバーチ ャ ル ド メ イ ン を選択 し ます。 5 必要に応 じ て他の設定を設定 し 、 [OK] を選択 し ます。 他のイ ン タ フ ェ ース設定 の詳細については、 72 ページの 「 イ ン タ フ ェ ース設定」 を参照 し て く だ さ い。 イ ン タ フ ェ ースが VDOM に割 り 当て ら れます。 こ のイ ン タ フ ェ ースの既存の フ ァ イ アウ ォ ール IP プールや仮想 IP ア ド レ スは削除 さ れます。 こ のイ ン タ フ ェ ース を含むルー ト をすべて手動で削除 し 、 新 し い VDOM 内に こ のイ ン タ フ ェ ースの新 し いルー ト を作成する必要があ り ます。 そ う し ない と 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク が正 し く ルーテ ィ ング さ れません。 VDOM への管理者の割り当て 独自の リ ソ ース を管理 し てい る組織にサービ ス を提供する VDOM を作成 し てい る場合は、 その VDOM の管理者ア カ ウン ト を作成する必要があ り ます。 VDOM 管理者は、 その VDOM 内の設定を変更で き ますが、 FortiGate ユニ ッ ト 上 の他の VDOM に影響する変更を行 う こ と はで き ません。 VDOM に割 り 当て られた標準管理者は、 その VDOM に属する イ ン タ フ ェ ース上 の Web ベース マネージ ャ または CLI にのみロ グ イ ン で き ます。 スーパー管理者 は、 管理ア ク セス を許可する FortiGate ユニ ッ ト 上の任意のイ ン タ フ ェ ース を使 用 し て Web ベース マネージ ャ または CLI に接続で き ます。 コ ン ソ ール イ ン タ フ ェ ースに接続する こ と に よ っ て ロ グ イ ン で き るのは、 スーパー管理者または ルー ト ド メ イ ンの標準管理者だけです。 VDOM に管理者を割り当てるには 1 スーパー管理者 と し て ロ グ イ ン し ます。 バーチ ャル ド メ イ ンが有効にな っ てい る必要があ り ます。 2 [System]、[Admin]、[Administrators] の順に選択 し ます。 3 必要に応 じ て、 新 し い管理者ア カ ウ ン ト を作成または設定 し ます。 管理者ア カ ウ ン ト の設定の詳細については、 154 ページの 「管理者ア カ ウ ン ト の 設定」 を参照 し て く だ さ い。 4 こ の管理者ア カ ウン ト を設定する場合は、 こ の管理者が管理する VDOM を [Virtual Domain] リ ス ト から選択 し ます。 5 [Apply] を選択 し ます。 管理 VDOM の変更 FortiGate ユニ ッ ト 上の管理 VDOM から は、 い く つかのデ フ ォル ト の種類の ト ラ フ ィ ッ ク が発信 さ れます。 こ れら の ト ラ フ ィ ッ ク の種類には、 次のも のがあ り ます。 • • • • • SNMP ロギン グ ア ラ ー ト メ ール FDN ベースの更新 NTP ベースの時刻設定 管理 VDOM を変更する前に、 バーチ ャ ル ド メ イ ンが有効にな っ てい る こ と を確 認 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 67 VDOM とグローバル設定の設定 バーチャル ドメインの使用 特定の時点で管理 VDOM になれる VDOM は 1 つだけです。 管理 VDOM を設定す る と き に誤っ て複数の VDOM を選択 し た場合は、 リ ス ト の先頭に最 も近い VDOM が管理 VDOM にな り ます。 注記 : RADIUS 認証を使用 し ている管理者がいる場合は、 管理 VDOM を変更で き ません。 管理 VDOM を変更するには 1 [System]、 [VDOM] の順に選択 し ます。 2 新 し い管理 VDOM にな る VDOM を選択 し ます。 3 [Management] を選択 し て、 変更を適用 し ます。 こ れで、 管理 ト ラ フ ィ ッ ク は新 し い管理 VDOM から発信 さ れます。 68 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース システム - ネットワーク こ の項では、 FortiGate ユニ ッ ト を ネ ッ ト ワー ク で動作する よ う に設定する方法 について説明 し ます。 基本的なネ ッ ト ワー ク 設定 と し て、 FortiGate イ ン タ フ ェ ース と DNS の設定があ り ます。 さ ら に高度な設定 と し て、 FortiGate ネ ッ ト ワー ク構成への VLAN サブ イ ン タ フ ェ ースやゾーンの追加があ り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • • • イ ン タ フ ェ ース ゾーン ネ ッ ト ワー ク オプ シ ョ ン ルーテ ィ ン グ テーブル ( ト ラ ン スペア レ ン ト モー ド ) モデム イ ン タ フ ェ ースの設定 VLAN の概要 NAT/ ルー ト モー ド での VLAN ト ラ ン スペア レ ン ト モー ド での VLAN FortiGate の IPv6 サポー ト 注記 : 同 じ フ ィ ール ド 内に IP ア ド レ ス と ネ ッ ト マス ク の両方を入力で き る場所では、 短 い形式のネ ッ ト マス ク を使用で き ます。 た と えば、 「192.168.1.100/255.255.255.0」 は 「192.168.1.100/24」 と も入力で き ます。 インタフェース NAT/ ルー ト モー ド では、 [System]、[Network]、[Interface] の順に選択 し て、 FortiGate イ ン タ フ ェ ース を設定 し ます。 次の操作を行 う こ と がで き ます。 • • • • 物理イ ン タ フ ェ ースの設定変更 VLAN サブ イ ン タ フ ェ ースの追加およ び設定 ADSL イ ン タ フ ェ ースの設定 IEEE 802.3ad イ ン タ フ ェ ースへの複数の物理イ ン タ フ ェ ースのアグ リ ゲー ト (800 以上のモデルのみ ) • 物理イ ン タ フ ェ ースの冗長イ ン タ フ ェ ースへの結合 • 無線イ ン タ フ ェ ースの追加 (WiFi-60A お よび WiFi-60AM モデルのみ ) 注記 : 特に断 り のない限 り 、 この項で イ ン タ フ ェ ース と い う 用語は、 物理的な FortiGate イ ン タ フ ェ ースまたは FortiGate VLAN サブ イ ン タ フ ェ ース を指 し ます。 VLAN については、 99 ページの 「FortiGate ユニ ッ ト と VLAN」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 69 インタフェース システム - ネットワーク 図 23: インタフェース リスト - 標準管理者ビュー 図 24: インタフェース リスト - バーチャル ドメインが有効になった管理者ビュー [Create New] VLAN サブ イ ン タ フ ェ ース を作成するには、[Create New] を選択 し ます。 また、 800 以上のモデルでは、 IEEE 802.3ad アグ リ ゲー ト イ ン タ フ ェ ース を作成する こ と も で き ます。 [Switch Mode] ス イ ッ チ モー ド と イ ン タ フ ェ ース モー ド を切 り 替え る場合に選択 し ます。 ス イ ッ チ モー ド では、 すべての内蔵ポー ト が 1 つのイ ン タ フ ェ ースに含まれます。 イ ン タ フ ェ ース モー ド では、 各ポー ト に独自 の設定可能な イ ン タ フ ェ ースが割 り 当て ら れます。 モー ド を切 り 替え る前に、 "Internal" イ ン タ フ ェ ースへのすべての参照 を削除する必要があ り ます。 こ のオプ シ ョ ンは、 Rev2.0 以上のモデル 100A および 200A でのみ表示 さ れます。 詳細については、 71 ページの 「ス イ ッ チのモー ド 」 を参照 し て く だ さ い。 [show backplane 2 つのバ ッ ク プ レーン イ ン タ フ ェ ース を port9 および port10 と し て表 示する場合に選択 し ます。 表示 し た後は、 こ れら のイ ン タ フ ェ ース を interfaces] 通常の物理イ ン タ フ ェ ース と し て扱 う こ と がで き ます。 こ のオプ シ ョ ンは、 5000 モデルでのみ使用で き ます。 [Description] アイコン 70 こ のア イ コ ンのツール ヒ ン ト には、 こ のイ ン タ フ ェ ースの [Description] フ ィ ール ド が表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース [Name] FortiGate ユニ ッ ト 上の物理イ ン タ フ ェ ースの名前。 物 理 イ ン タ フ ェ ー ス の 名 前 と 数 は、 モ デ ル に よ っ て 異 な り ま す。 [Internal]、 [External]、 [DMZ] な どの一部の名前は、 そのイ ン タ フ ェ ース のデ フ ォル ト の機能を示 し ています。 その他は、 port1 などの、 一般的 な名前です。 50 および 60 の番号の FortiGate モデルは、 モデム イ ン タ フ ェースを備えて います。 93 ページの 「モデム イ ン タ フ ェ ースの設定」 を参照し て く だ さい。 oob/ha イ ン タ フ ェ ースは、 FortiGate モデル 4000 のアウ ト オブバン ド 管理イ ン タ フ ェ ースです。 こ のイ ン タ フ ェ ースに接続する こ と によ り 、 FortiGate ユニ ッ ト を管理で き ます。 こ のイ ン タ フ ェ ースはまた、 HA ハー ト ビー ト イ ン タ フ ェ ース と し て も 使用で き ます。 FortiGate 60ADSL ユニ ッ ト では、 ADSL イ ン タ フ ェ ース を設定で き ま す。 75 ページの 「ADSL イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 800 以上の FortiGate モデルで、 複数のイ ン タ フ ェ ース を アグ リ ゲー ト イ ン タ フ ェ ースに結合 し た場合は、 各 コ ンポーネン ト イ ン タ フ ェ ース ではな く 、 アグ リ ゲー ト イ ン タ フ ェ ースだけが表示 さ れます。 こ れ は、 冗長イ ン タ フ ェ ースの場合も 同 じ です。 76 ページの 「802.3ad ア グ リ ゲー ト イ ン タ フ ェ ースの作成」 または 77 ページの 「冗長イ ン タ フ ェ ースの作成」 を参照 し て く だ さ い。 VLAN サブ イ ン タ フ ェ ース を追加 し た場合、 こ れら のイ ン タ フ ェ ース は、 [Name] リ ス ト 内の追加先の物理イ ン タ フ ェ ースまたはアグ リ ゲー ト イ ン タ フ ェ ースの下に も 表示 さ れます。 98 ページの 「VLAN の概 要」 を参照 し て く だ さ い。 バーチ ャ ル ド メ イ ン設定が有効にな っ てお り 、 スーパー管理者でない 場合は、 独自のバーチ ャ ル ド メ イ ン内にある イ ン タ フ ェ ースの情報だ けを表示で き ます。 FortiGate モデル 100A または 200A Rev2.0 以降で [Interface Mode] を有 効に し ている場合は、 複数の Internal イ ン タ フ ェ ースが表示 さ れます。 [IP/Netmask] イ ン タ フ ェ ースの現在の IP ア ド レ ス / ネ ッ ト マス ク 。 [Access] イ ン タ フ ェ ースの管理ア ク セスの設定。 85 ページの 「イ ン タ フ ェ ースの追加の設定」 を参照 し て く だ さ い。 [Virtual Domain] こ のイ ン タ フ ェ ースが属するバーチ ャ ル ド メ イ ン。 こ の列は、 スー パー管理者に対 し てのみ、 かつバーチ ャ ル ド メ イ ン設定が有効にな っ ている場合にのみ表示 さ れます。 [Status] イ ン タ フ ェ ースの管理状態。 管理状態が緑色の矢印の場合、 このイ ン タ フ ェ ースは稼働 し てお り 、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を受信する こ と がで き ます。 管理状態が赤 色の矢印の場合、 こ のイ ン タ フ ェ ースは管理上ダウン し てお り 、 ト ラ フ ィ ッ ク を受け付ける こ と がで き ません。 管理状態を変更するには、 [Bring Down] または [Bring Up] を選択 し ます。 削除、編集、およ エ ン ト リ を削除、 編集、 または表示 し ます。 び表示アイコン スイッチのモード 100A お よび 200A FortiGate モデル上の Internal イ ン タ フ ェ ースは、4 ポー ト ス イ ッ チです。 通常、 こ の Internal イ ン タ フ ェ ースは、 4 つのすべてのポー ト で共有 さ れ る 1 つのイ ン タ フ ェ ース と し て設定 さ れます。ス イ ッ チのモー ド に よ っ て、ス イ ッ チ上の各イ ン タ フ ェ ース を独立イ ン タ フ ェ ース と し て個別に設定で き ます。 ス イ ッ チのモー ド には、 ス イ ッ チ モー ド と イ ン タ フ ェ ース モー ド の 2 つの状態 があ り ます。 ス イ ッ チ モー ド は、 ス イ ッ チ全体に対 し て 1 つのイ ン タ フ ェ ースだ けが存在する、 デ フ ォ ル ト のモー ド です。 イ ン タ フ ェ ース モー ド を使用する と 、 各 Internal イ ン タ フ ェ ース を別々に設定で き ます。 こ れに よ り 、 各 Internal イ ン タ フ ェ ースに異な るサブネ ッ ト と ネ ッ ト マス ク を割 り 当て る こ と がで き ます。 ス イ ッ チ モー ド は、 Rev2.0 以上の 100A お よび 200A モデルでのみ使用で き ます。 [System]、[Network]、[Interface] 画面上の [Switch Mode] コ ン ト ロールを選択 する と 、 [Switch Mode Management] 画面が表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 71 インタフェース システム - ネットワーク ! 注意 : [Switch Mode] と [Interface Mode] を切 り 替え るには、 " 内蔵 " イ ン タ フ ェ ースへの すべての参照を削除する必要があ り ます。 た と えば、 フ ァ イ アウ ォ ール ポ リ シー、 VDOM イ ン タ フ ェ ース割 り 当て、 VLAN、 ルーテ ィ ングな どの参照です。 図 25: [Switch Mode Management] 画面 [Switch Mode] ス イ ッ チ モー ド を選択 し ます。 1 つの Internal イ ン タ フ ェ ースだ けが表示 さ れます。 こ れがデ フ ォル ト のモー ド です。 [Interface Mode] イ ン タ フ ェ ース モー ド を選択 し ます。 ス イ ッ チ上のすべての Internal イ ン タ フ ェ ースが、 個別に設定可能な イ ン タ フ ェ ース と し て表示 さ れます。 [OK] 変更を保存 し て、 [Interface] 画面に戻る場合に選択 し ます。 [Cancel] 変更を破棄 し て、 [Interface] 画面に戻る場合に選択 し ます。 インタフェース設定 [System]、[Network]、[Interface] の順に選択 し ます。 新 し い イ ン タ フ ェ ース を 作成する には、 [Create New] を選択 し ます。 既存のイ ン タ フ ェ ース を編集する に は、 そのイ ン タ フ ェ ースの 編集ア イ コ ン を選択 し ます。 こ こ で仮想 IPSec イ ン タ フ ェ ース を作成する こ と はで き ませんが、 エ ン ド ポ イ ン ト ア ド レ ス を指定 し た り 、 管理ア ク セス を有効に し た り 、 説明を入力 し た り す る こ と がで き ます。 詳細については、 83 ページの 「仮想 IPSec イ ン タ フ ェ ース の設定」 を参照 し て く だ さ い。 図 26: 新しいインタフェースの設定 72 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース 図 27: インタフェースの設定変更 [Name] イ ン タ フ ェ ースの名前を入力 し ます。 既存のイ ン タ フ ェ ースの名前を変更 こ と はで き ません。 [Type] 800 以上のモデルでは、 VLAN、 802.3ad アグ リ ゲー ト 、 および冗長イ ン タ フ ェ ース を作成で き ます。 モデル WiFi-60A および WiFi-60AM では、 無線イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース を作成で き ます。 60ADSL モデルでは、 ADSL イ ン タ フ ェ ース を設定で き ます。 その他のモデルでは VLAN イ ン タ フ ェ ースの作成だけがサポー ト さ れ、 [Type] フ ィ ール ド は存在 し ません。 ADSL イ ン タ フ ェ ース を設定するには、 75 ページの 「ADSL イ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 VLAN サブ イ ン タ フ ェ ース を作成するには、 99 ページの 「FortiGate ユ ニ ッ ト と VLAN」 を参照 し て く だ さ い。 アグ リ ゲー ト イ ン タ フ ェ ース を作成するには、 76 ページの 「802.3ad アグ リ ゲー ト イ ン タ フ ェ ースの作成」 を参照 し て く だ さ い。 冗長イ ン タ フ ェ ース を作成するには、 77 ページの 「冗長イ ン タ フ ェ ー スの作成」 を参照 し て く だ さ い。 無線イ ン タ フ ェ ース を作成するには、 79 ページの 「無線イ ン タ フ ェ ー スの作成」 を参照 し て く だ さ い。 既存のイ ン タ フ ェ ースの種類を変更する こ と はで き ません。 [Interface] VLAN を作成する物理イ ン タ フ ェ ースの名前を選択 し ます。 作成 さ れる と 、 VLAN サブ イ ン タ フ ェ ースは、 イ ン タ フ ェ ース リ ス ト 内の対応す る物理イ ン タ フ ェ ースの下に表示 さ れます。 既存の VLAN サブ イ ン タ フ ェ ースのイ ン タ フ ェ ース を変更する こ と は で き ません。 このフ ィ ール ド は、 [Type] が [VLAN] に設定 さ れてい る場合にのみ表示 さ れます。 [Physical Interface Members] 802.3ad アグ リ ゲー ト または冗長イ ン タ フ ェ ースに含める イ ン タ フ ェ ー ス を、 [Available Interfaces] リ ス ト か ら [Selected Interfaces] リ ス ト に移 動 し ます。 このフ ィ ール ド は、 [Type] が [802.3ad Aggregate] または [Redundant] イ ン タ フ ェ ースのど ち ら かに設定 さ れている場合にのみ表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 73 インタフェース システム - ネットワーク [VLAN ID] こ の VLAN サブ イ ン タ フ ェ ースで受信 さ れるパケ ッ ト の VLAN ID に一 致する VLAN ID を入力 し ます。 既存の VLAN サブ イ ン タ フ ェ ースの VLAN ID を変更する こ と はで き ません。 VLAN ID は 1 ~ 4096 の任意の数値にする こ と がで き、 また、 この VLAN サブ イ ン タ フ ェ ースに接続 さ れた IEEE 802.1Q 準拠のルー タ また はス イ ッ チによ っ て追加 さ れる VLAN ID に一致 し ている必要があ り ま す。 98 ページの 「VLAN の概要」 を参照 し て く だ さ い。 こ のフ ィ ール ド は、 [Type] が [VLAN] に設定 さ れている場合にのみ表示 さ れます。 [Virtual Domain] こ の VLAN サブ イ ン タ フ ェ ースが属するバーチ ャル ド メ イ ン を選択 し ます。 こ のオプ シ ョ ンは、 バーチ ャ ル ド メ イ ン設定が有効にな っ ている場合 に、 スーパー管理者ア カ ウン ト だけが使用で き ます。 61 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 74 [Addressing mode] イ ン タ フ ェ ースの静的 IP ア ド レ ス を設定するには、 [Manual] を選択 し ます。 また、 イ ン タ フ ェ ースに動的 IP ア ド レ スの割 り 当て を設定する こ と も で き ます。 80 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 または 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 [IP/Netmask] [IP/Netmask] フ ィ ール ド に、 IP ア ド レ ス / サブ ネ ッ ト マス ク を入力 し ます。 こ の IP ア ド レ スは、 イ ン タ フ ェ ースの接続先のネ ッ ト ワー ク と 同 じ サブネ ッ ト 上に存在する必要があ り ます。 同 じ サブネ ッ ト 上で、 2 つのイ ン タ フ ェ ースに IP ア ド レ ス を設定する こ と はで き ません。 こ のフ ィ ール ド は、 [Manual] ア ド レ ッ シ ング モー ド が選択 さ れている 場合にのみ使用で き ます。 [DDNS] こ のイ ン タ フ ェ ースの Dynamic DNS サービ ス を設定するには、 [DDNS] を オ ンに し ます。 追加のフ ィ ール ド が表示 さ れます。 83 ページの 「イ ン タ フ ェ ースの Dynamic DNS サービ スの設定」 を参照 し て く だ さ い。 [Ping Server] 停止ゲー ト ウ ェ イ検出を有効にするには、 こ のイ ン タ フ ェ ースに接続 さ れているネ ッ ト ワー ク 上のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入 力 し 、 [Enable] を オ ンに し ます。 91 ページの 「停止ゲー ト ウ ェ イ検出」 を参照 し て く だ さ い。 [Administrative Access] このイ ン タ フ ェ ースで許可されている管理ア ク セスの種類を選択し ます。 [HTTPS] こ のイ ン タ フ ェ ース を介 し た Web ベース マネージ ャへのセキ ュ ア な HTTPS 接続を許可 し ます。 [PING] ping に応答する イ ン タ フ ェ ース。 この設定は、 イ ン ス ト ールの確認や テス ト に使用 し ます。 [HTTP] こ のイ ン タ フ ェ ース を介 し た Web ベース マネージ ャへの HTTP 接続を 許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者 によ っ て傍受 さ れる可能性があ り ます。 [SSH] こ のイ ン タ フ ェ ース を介 し た CLI への SSH 接続を許可 し ます。 [SNMP] リ モー ト の SNMP マネージ ャ が このイ ン タ フ ェ ースに接続する こ と に よ っ て SNMP 情報を要求で き る よ う に し ます。 133 ページの 「SNMP の 設定」 を参照 し て く だ さ い。 [TELNET] こ のイ ン タ フ ェ ース を介 し た CLI への Telnet 接続を許可 し ます。 Telnet 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者によ っ て傍受 さ れ る可能性があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース [MTU] MTU を変更するには、 [Override default MTU value (1500)] を オ ンに し 、 イ ン タ フ ェ ースのア ド レ ッ シ ング モー ド に基づいた MTU サイ ズを入力 し ます。 • 静的モー ド の場合は、 68 ~ 1,500 バイ ト • • • DHCP モー ド の場合は、 576 ~ 1,500 バイ ト PPPoE モー ド の場合は、 576 ~ 1,492 バイ ト ジ ャ ンボ フ レームの場合は、 最大 16,110 バイ ト (FortiGate3000 以上 のモデル ) このフ ィ ール ド は、 物理イ ン タ フ ェ ースでのみ使用で き ます。 VLAN は、 デ フ ォル ト で、 親イ ン タ フ ェ ースの MTU サイ ズを継承 し ます。 MTU と ジ ャ ンボ フ レームの詳細については、 85 ページの 「イ ン タ フ ェ ースの MTU パケ ッ ト サイズ」 を参照 し て く だ さ い。 [Log] このイ ン タ フ ェ ースで送受信 さ れるすべての ト ラ フ ィ ッ ク のログを記 録するには、 [Log] を オンに し ます。 ログ を記録するには、 ロギング場 所の ト ラ フ ィ ッ ク ログ も 有効に し 、 ロギング レ ベルを [Notification] 以 下に設定する必要があ り ます。 ロギングの場所 と 種類を設定するには、 [Log&Report]、[Log Config] の順に選択 し ます。 ロギングについては、 431 ページの 「ログおよびレポー ト 」 を参照 し て く だ さ い [Secondary IP Address] 青色の矢印を選択 し て このセ ク シ ョ ン を展開するか、 または非表示に し 、 このイ ン タ フ ェ ースに IP ア ド レ ス を追加 し ます。 86 ページの 「セ カ ン ダ リ IP ア ド レ ス」 を参照 し て く だ さ い。 [Description] 必要に応 じ て、 最大 63 文字ま での説明を入力 し ます。 注記 : ト ラ ン スペア レ ン ト モー ド では、 イ ン タ フ ェ ースの MTU を変更 し た場合、 その新 し い MTU に一致する よ う にすべてのイ ン タ フ ェ ースの MTU を変更する必要があ り ます。 ADSL インタフェースの設定 ADSL イ ン タ フ ェ ース を指定する ために必要な情報は、 ISP から使用する よ う 指 示 さ れてい る ア ド レ ッ シ ン グ モー ド に よ っ て異な り ます。 IPOA または EOA を 使用 し た静的ア ド レ ッ シ ン グには、 IP ア ド レ ス と ネ ッ ト マス ク だけが必要です。 動的ア ド レ ッ シ ン グ を使用 し てい る場合は、 80 ページの 「イ ン タ フ ェ ース上で の DHCP の設定」 または 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 の説明に従っ て設定する必要があ り ます。 FortiGate ユニ ッ ト が ト ラ ン スペア レ ン ト モー ド の場合、 ADSL イ ン タ フ ェ ース を設定する こ と はで き ません。 [System]、[Network]、[Interface] の順に選択 し ます。 [Create New] を選択する か、 または既存のイ ン タ フ ェ ースの編集ア イ コ ン を選択 し ます。 [Addressing mode] セ ク シ ョ ン で、 [IPoA] または [EoA] を選択 し ます。 図 28: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ADSL インタフェースのための設定 75 インタフェース システム - ネットワーク [Address mode] ISP か ら指定 さ れてい る ア ド レ ッ シ ング モー ド を選択 し ます。 [IPOA] IP over ATM。 ISP から 提供 さ れている IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 [EOA] Ethernet over ATM (Bridged モー ド と も呼ばれます )。 ISP から 提供 さ れている IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 [DHCP] 80 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 を参照 し て く だ さ い。 [PPPoE] 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 [PPPoA] 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 [Gateway] デ フ ォル ト のゲー ト ウ ェ イ を入力 し ます。 [Connect to Server] イ ン タ フ ェ ースが自動的に接続を試みる よ う にするには、 [Connect to Server] を オ ンに し ます。 イ ン タ フ ェ ース を オ フ ラ イ ン で設定する場合は、 このオプ シ ョ ン を オ フ に し ます。 [Virtual Circuit Identification] ISP か ら提供 さ れてい る VPI と VCI の値を入力 し ます。 [MUX Type] MUX の種類を [LLC Encap] または [VC Encap] から 選択 し ます。 ISP か ら この情報が提供 さ れてい る必要があ り ます。 802.3ad アグリゲート インタフェースの作成 2 つ以上の物理イ ン タ フ ェ ース を アグ リ ゲー ト ( 結合 ) する こ と によ っ て、 帯域 幅を増やす と 同時に、 あ る程度の リ ン ク の冗長性を実現で き ます。 こ れには、 冗 長イ ン タ フ ェ ース よ り 帯域幅が広がる と い う 利点があ り ますが、 障害ポ イ ン ト が 生まれる可能性も高 く な り ます。 こ れら のイ ン タ フ ェ ースは、 同 じ ネ ク ス ト ホ ッ プ ルーテ ィ ン グ宛先に接続する必要があ り ます。 800 以上のモデルの FortiGate フ ァ ームウ ェ アには、 リ ン ク アグ リ ゲーシ ョ ンの ための IEEE 標準 802.3ad が実装 さ れています。 イ ン タ フ ェ ースで アグ リ ゲーシ ョ ン を使用で き るのは、 そのイ ン タ フ ェ ースが次 の条件を満た し ている場合だけです。 • • • • • • • VLAN イ ン タ フ ェ ース ではな く 、 物理イ ン タ フ ェ ースであ る。 まだアグ リ ゲー ト または冗長イ ン タ フ ェ ースの一部にな っ ていない。 アグ リ ゲー ト イ ン タ フ ェ ース と 同 じ VDOM に含まれてい る。 IP ア ド レ スが定義 さ れてお ら ず、 DHCP や PPPoE も設定 さ れていない。 DHCP サーバまたは リ レ ーが設定 さ れていない。 VLAN サブ イ ン タ フ ェ ースが存在 し ない。 どのフ ァ イ アウ ォ ール ポ リ シー、 VIP、 IP プール、 マルチキ ャ ス ト ポ リ シー で も参照 さ れていない。 • HA ハー ト ビ ー ト イ ン タ フ ェ ースではない。 • FortiGate 5000 シ リ ーズ バ ッ ク プ レ ーン イ ン タ フ ェ ースのいずれで も ない。 イ ン タ フ ェ ースがアグ リ ゲー ト イ ン タ フ ェ ースに含まれてい る場合、 そのイ ン タ フ ェ ースは [System]、[Network]、[Interface] ページに表示 さ れません。 個別 に設定する こ と はで き な く な り 、 フ ァ イ アウ ォ ール ポ リ シー、 VIP、 IP プール、 またはルーテ ィ ン グに含める こ と も で き ません。 76 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース 図 29: 802.3ad アグリゲート インタフェースのための設定 802.3ad アグリゲート インタフェースを作成するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Name] フ ィ ール ド に、 アグ リ ゲー ト イ ン タ フ ェ ースの名前を入力 し ます。 こ のイ ン タ フ ェ ース名は、 他のどのイ ン タ フ ェ ース、 ゾーン、 VDOM と も同 じ で あ っ てはな り ません。 4 [Type] リ ス ト か ら、 [802.3ad Aggregate] を選択 し ます。 5 一度に 1 つずつ、 [Available Interfaces] リ ス ト から アグ リ ゲー ト イ ン タ フ ェ ース に含める各イ ン タ フ ェ ース を選択 し た後、 右矢印ボ タ ン を選択 し て [Selected Interfaces] リ ス ト に移動 し ます。 6 こ のイ ン タ フ ェ ース を NAT/ ルー ト モー ド で動作 さ せる場合は、 そのためのア ド レ ッ シ ン グ を設定する必要があ り ます。 動的ア ド レ ッ シ ン グについては、 次の 項を参照 し て く だ さ い。 • 80 ページの 「 イ ン タ フ ェ ース上での DHCP の設定」 • 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 7 必要に応 じ て、 他のイ ン タ フ ェ ース オ プ シ ョ ン を設定 し ます。 8 [OK] を選択 し ます。 冗長インタフェースの作成 2 つ以上の物理イ ン タ フ ェ ース を結合する こ と によ っ て、 リ ン クの冗長性を実現 で き ます。 こ の機能を使用する と 、 2 つ以上のス イ ッ チに接続 し て、 1 つの物理 イ ン タ フ ェ ース またはそのイ ン タ フ ェ ース上の装置に障害が発生 し た場合で も 接 続を保証する こ と がで き ます。 冗長 リ ン クは、 ト ラ フ ィ ッ クが ( 冗長 リ ン ク内に イ ン タ フ ェ ースがい く つ含まれ ていて も ) 常に 1 つのイ ン タ フ ェ ース し か通過 し ない と い う 点で リ ン ク アグ リ ゲーシ ョ ン と は異な り ますが、 冗長イ ン タ フ ェ ースに よ っ て、 発生 し 得る障害ポ イ ン ト の少ない、 よ り 安定 し た構成が可能にな り ます。 フ ル メ ッ シ ュ HA 構成で は、 こ の点が重要です。 800 以上のモデルの FortiGate フ ァ ームウ ェ アには、 冗長イ ン タ フ ェ ースが実装 さ れています。 イ ン タ フ ェ ース を冗長イ ン タ フ ェ ースに含める こ と がで き るのは、 そのイ ン タ フ ェ ースが次の条件を満た し てい る場合だけです。 • VLAN イ ン タ フ ェ ースではな く 、 物理イ ン タ フ ェ ース であ る。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 77 インタフェース システム - ネットワーク • • • • • • まだアグ リ ゲー ト または冗長イ ン タ フ ェ ースの一部にな っ ていない。 冗長イ ン タ フ ェ ース と 同 じ VDOM に含まれている。 IP ア ド レ スが定義 さ れてお ら ず、 DHCP や PPPoE も設定 さ れていない。 DHCP サーバまたは リ レ ーが設定 さ れていない。 VLAN サブ イ ン タ フ ェ ースが存在 し ない。 どのフ ァ イ アウ ォ ール ポ リ シー、 VIP、 IP プール、 マルチキ ャ ス ト ポ リ シー で も参照 さ れていない。 • HA に よ っ て監視 さ れていない。 イ ン タ フ ェ ースが冗長イ ン タ フ ェ ースに含まれてい る場合、 そのイ ン タ フ ェ ース は [System]、[Network]、[Interface] ページに表示 さ れません。 個別に設定する こ と はで き な く な り 、 フ ァ イ アウ ォ ール ポ リ シー、 VIP、 IP プール、 またはルー テ ィ ン グに含める こ と も で き ません。 図 30: 冗長インタフェースのための設定 冗長インタフェースを作成するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Name] フ ィ ール ド に、 冗長イ ン タ フ ェ ースの名前を入力 し ます。 こ のイ ン タ フ ェ ース名は、 他のどのイ ン タ フ ェ ース、 ゾーン、 VDOM と も同で あ っ てはな り ません。 4 [Type] リ ス ト から、 [Redundant Interface] を選択 し ます。 5 一度に 1 つずつ、 [Available Interfaces] リ ス ト から冗長イ ン タ フ ェ ースに含める 各物理イ ン タ フ ェ ース を選択 し た後、 右矢印ボ タ ン を選択 し て [Selected Interfaces] リ ス ト に移動 し ます。 追加 し た イ ン タ フ ェ ースは、 [Selected Interfaces] リ ス ト に表示 さ れてい る順序で使用 さ れます。 た と えば、 リ ス ト 内の 最初のイ ン タ フ ェ ースに障害が発生 し た場合は、 2 番目のイ ン タ フ ェ ースが使用 さ れます。 6 こ のイ ン タ フ ェ ース を NAT/ ルー ト モー ド で動作 さ せる場合は、 そのためのア ド レ ッ シ ン グ を設定する必要があ り ます。 動的ア ド レ ッ シ ン グについては、 次の 項を参照 し て く だ さ い。 • 80 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 • 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの設定」 78 7 必要に応 じ て、 他のイ ン タ フ ェ ース オ プ シ ョ ン を設定 し ます。 8 [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース 無線インタフェースの作成 FortiWiFi-60A およ び FortiWiFi-60AM モデルでは、 無線 WLAN イ ン タ フ ェ ース を 作成で き ます。 (FortiWiFi-60 ユニ ッ ト で無線イ ン タ フ ェ ース を作成する には、 112 ページの 「シ ス テム無線の設定 (FortiWiFi-60)」 を参照 し て く だ さ い。 ) 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Name] フ ィ ール ド に、 無線イ ン タ フ ェ ースの名前を入力 し ます。 こ のイ ン タ フ ェ ース名は、 他のどのイ ン タ フ ェ ース、 ゾーン、 VDOM と も同で あ っ てはな り ません。 4 [Type] リ ス ト か ら、 [Wireless] を選択 し ます。 5 [Wireless Settings] セ ク シ ョ ン で、 次の情報を入力 し ます。 図 31: 無線インタフェースの設定 [SSID] FortiWiFi-60 ユニ ッ ト がブ ロー ド キ ャ ス ト する無線ネ ッ ト ワー ク名を入力 し ます。 無線ネ ッ ト ワー ク を使用するユー ザは、 自分の コ ン ピ ュ ー タ を、 このネ ッ ト ワー ク名を ブ ロー ド キ ャ ス ト する ネ ッ ト ワー ク に接続する よ う に設定す る必要があ り ます。 [SSID Broadcast] ユニ ッ ト で SSID を ブ ロー ド キ ャ ス ト する場合に選択 し ま す。 ( ア ク セス ポ イ ン ト モー ド のみ ) [Security Mode] WEP を使用するには、 [WEP64] または [WEP128] を選択 し ます。 WPA ( ア ク セス ポ イ ン ト モー ド でのみ使用可能 ) を 使用するには、 [WPA Pre-shared Key] または [WPA_Radius] を選択 し ます。 FortiWiFi-60 無線ネ ッ ト ワー クのユーザは、 各自の コ ン ピ ュ ー タ を、 同 じ 設定を使用 し て設定する必要 があ り ます。 [Key] 64 ビ ッ ト WEP キーの場合は、 10 桁の 16 進数 (0-9、 a-f) を 入力 し ます。 128 ビ ッ ト WEP キーの場合は、 26 桁の 16 進 数 (0-9、 a-f) を入力 し ます。 無線ネ ッ ト ワー ク のユーザは、 各自の コ ン ピ ュ ー タ に同 じ キーを設定する必要があ り ます。 [Pre-shared Key] [WPA Pre-shared Key] セキ ュ リ テ ィ モー ド の場合は、 事前 共有キーを入力 し ます。 無線ネ ッ ト ワー クのユーザは、 各 自の コ ン ピ ュ ー タ に同 じ キーを設定する必要があ り ます。 [RADIUS Server Name] [WPA Radius] セ キ ュ リ テ ィ モ ー ド の場合は、 リ ス ト か ら Radius サーバ名を選択 し ます。この Radius サーバは、[User]、 [Radius] で設定 さ れて い る必要があ り ま す。 詳細につい て は、 340 ページの 「RADIUS サーバ」 を参照 し て く だ さ い。 [Data Encryption] WPA モー ド の場合に適用 さ れます。 [TKIP] または [AES (WPA2)] のど ち ら かのデー タ 暗号化を選択 し ます。 [RTS Threshold] RTS (Request to Send) し き い値は、 ユニ ッ ト が別の無線デ バイ スか らの CTS (Clear to Send) 受信確認を待つ時間を設 定 し ます。 [Fragmentation Threshold] 2 つ以上のパケ ッ ト に分割 さ れないデー タ パケ ッ ト の最大 サイ ズを設定 し ます。 この し き い値を下げる と 、 受信状態 の悪い環境のパ フ ォ ーマ ン スが向上する可能性があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 79 インタフェース システム - ネットワーク 6 必要に応 じ て、 他のイ ン タ フ ェ ース オ プ シ ョ ン を設定 し ます。 7 [OK] を選択 し ます。 インタフェース上での DHCP の設定 DHCP を使用する よ う に イ ン タ フ ェ ース を設定 し た場合、 FortiGate ユニ ッ ト は DHCP 要求を自動的にブ ロー ド キ ャ ス ト し ます。 こ のイ ン タ フ ェ ースには、 IP ア ド レ ス と オプ シ ョ ンの DNS サーバ ア ド レ ス、 およ び DHCP サーバに よ っ て提供 さ れるデ フ ォ ル ト ゲー ト ウ ェ イ ア ド レ スが設定 さ れます。 [System]、[Network]、[Interface] の順に選択 し ます。 [Create New] を選択する か、 または既存のイ ン タ フ ェ ースの編集ア イ コ ン を選択 し ます。 [Addressing mode] セ ク シ ョ ン で、 [DHCP] を選択 し ます。 図 32: インタフェースの DHCP 設定 図 33: ADSL インタフェースの DHCP 設定 [Status] 80 FortiGate ユニ ッ ト が DHCP サーバに接続 し 、 ア ド レ ッ シ ング情 報を取得する と きの DHCP の状態 メ ッ セージ を表示 し ます。 ア ド レ ッ シ ング モー ド の状態 メ ッ セージ を更新するには、 [Status] を 選択 し ます。 こ れは、 [Edit] を選択 し た場合にのみ表示 さ れます。 [Status] には、 次のいずれかが表示 さ れます。 • [initializing] - 動作 し ていません。 • [connecting] - イ ン タ フ ェ ースは、 DHCP サーバに接続 し よ う と し ています。 • [connected] - イ ン タ フ ェ ースは、 DHCP サーバか ら IP ア ド レ ス、 ネ ッ ト マス ク、 その他の設定を取得 し ま し た。 • [failed] - イ ン タ フ ェ ースは、DHCP サーバから IP ア ド レ スやそ の他の情報を取得で き ませんで し た。 [Obtained IP/Netmask] DHCP サーバから リ ース さ れた IP ア ド レ ス と ネ ッ ト マス ク。 こ れは、 [Status] が [connected] の場合にのみ表示 さ れます。 [Renew] こ のイ ン タ フ ェ ースの DHCP ラ イ セ ン ス を更新する場合に選択 し ます。 こ れは、 [Status] が [connected] の場合にのみ表示 さ れます。 [Expiry Date] リ ース さ れた IP ア ド レ ス と ネ ッ ト マス クが有効でな く な る時刻 と 日付。 こ れは、 [Status] が [connected] の場合にのみ表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース [Default Gateway] [Distance] DHCP サーバで定義 さ れたゲー ト ウ ェ イの IP ア ド レ ス。 こ れは、 [Status] が [connected] で あ り 、 か つ [Retrieve default gateway from server] がオンにな っ ている場合にのみ表示 さ れます。 DHCP サーバか ら取得 さ れたデ フ ォル ト ゲー ト ウ ェ イのデ ィ ス タ ン ス を入力 し ます。 デ ィ ス タ ン ス (1 ~ 255 の整数 ) は、 同 じ 宛 先へのルー ト が複数存在する場合の、 ルー ト の相対的な優先順位 を指定 し ます。 デ ィ ス タ ン スが小 さ いほど、 優先順位が高いルー ト である こ と を示 し ます。 デ フ ォル ト ゲー ト ウ ェ イのデ フ ォル ト の距離は 1 です。 [Retrieve default DHCP サーバか ら デ フ ォル ト ゲー ト ウ ェ イの IP ア ド レ ス を取得 gateway from server] するには、 [Retrieve default gateway from server] を オ ンに し ます。 このデ フ ォル ト ゲー ト ウ ェ イは、 ス タ テ ィ ッ ク ルーテ ィ ング テーブルに追加 さ れます。 [Override internal DNS] [DNS] ページ上の DNS サーバ IP ア ド レ スの代わ り に、 DHCP サーバから 取得 さ れた DNS ア ド レ ス を使用する には、 [Override internal DNS] を オ ンに し ます。 100 以下の番号のモデルでは、 [System]、[Network]、[Options] ページにある [Obtain DNS server address automatically] も オ ンに する必要があ り ます。 91 ページの 「DNS サーバ」 を参照 し て く だ さ い。 [Connect to Server] イ ン タ フ ェ ースが自動的に DHCP サーバへの接続を試みる よ う に す る には、 [Connect to Server] を オ ン に し ます。 イ ン タ フ ェ ース を オ フ ラ イ ン で設定する場合は、 このオプ シ ョ ン を オ フ に し ます。 PPPoE または PPPoA のためのインタフェースの設定 PPPoE または PPPoA を使用する よ う に イ ン タ フ ェ ース を設定 し た場合、 FortiGate ユニ ッ ト は PPPoE または PPPoA 要求を自動的にブ ロー ド キ ャ ス ト し ま す。 FortiGate ユニ ッ ト を オ フ ラ イ ン で設定 し 、 FortiGate ユニ ッ ト で PPPoE また は PPPoA 要求を送信 し ない よ う にする場合は、 [Connect to Server] を オ フ にする こ と がで き ます。 FortiGate ユニ ッ ト は、 Unnumbered IP、 初期検出 タ イ ムアウ ト 、 PADT (PPPoE Active Discovery Terminate) な ど、 PPPoE RFC 機能 (RFC 2516) の多 く をサポー ト し ています。 PPPoA は、 ADSL をサポー ト する FortiGate モデルでのみ使用で き ます。 [System]、[Network]、[Interface] の順に選択 し ます。 [Create New] を選択する か、 または既存のイ ン タ フ ェ ースの編集ア イ コ ン を選択 し ます。 [Addressing mode] セ ク シ ョ ン で、 [PPPoE] または [PPPoA] を選択 し ます。 図 34: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 インタフェースの PPPoE 設定 81 インタフェース システム - ネットワーク 図 35: ADSL インタフェースの PPPoE または PPPoA 設定 [Status] [initializing] FortiGate ユニ ッ ト が PPPoE または PPPoA サーバに接続 し 、 ア ド レ ッ シ ング情報を取得する と きの PPPoE または PPPoA の状態 メ ッ セージ を表示 し ます。 ア ド レ ッ シ ング モー ド の状態 メ ッ セージ を更 新するには、 [Status] を選択 し ます。 こ れは、 [Edit] を選択 し た場合にのみ表示 さ れます。 [Status] には、 次の 4 つの メ ッ セージのいずれかが表示 さ れます。 動作 し ていません。 [connecting] イ ン タ フ ェ ースは、 PPPoE または PPPoA サーバに接続 し よ う と し て います。 [connected] イ ン タ フ ェ ースは、 PPPoE サーバから IP ア ド レ ス、 ネ ッ ト マス ク 、 その他の設定を取得 し ま し た。 [Status] が [connected] の場合は、 PPPoE または PPPoA の接続情報が 表示 さ れます。 [failed] イ ン タ フ ェ ースは、 PPPoE または PPPoA サーバか ら IP ア ド レ スやそ の他の情報を取得で き ませんで し た。 [Reconnect] PPPoE または PPPoA サーバに再接続する場合に選択 し ます。 こ れは、 [Status] が [connected] の場合にのみ表示 さ れます。 82 [User Name] PPPoE または PPPoA ア カ ウン ト のユーザ名。 [Password] PPPoE または PPPoA ア カ ウン ト のパスワー ド 。 [Unnumbered IP] イ ン タ フ ェ ースの IP ア ド レ ス を指定 し ます。 ISP から IP ア ド レ スの ブ ロ ッ ク が割 り 当て ら れている場合は、 その う ちの 1 つを使用 し ま す。 それ以外の場合、 この IP ア ド レ スは別のイ ン タ フ ェ ースの IP ア ド レ ス と 同 じ で も 、 その他の任意の IP ア ド レ スで も かまいません。 [Initial Disc Timeout] 初期検出 タ イ ムアウ ト 。 PPPoE または PPPoA 検出の再試行を開始す る ま でに待つ時間。 無効にするには、 [Initial Disc Timeout] を 0 に設定 し ます。 [Initial PADT timeout] 初期の PADT (PPPoE Active Discovery Terminate) タ イムアウ ト ( 秒単 位 )。 この秒数の間ア イ ド ルにな っ ている PPPoE または PPPoA セ ッ シ ョ ン を シ ャ ッ ト ダウンするには、 この タ イムアウ ト を使用 し ます。 ISP で PADT がサポー ト さ れている必要があ り ます。 無効にするに は、 [Initial PADT timeout] を 0 に設定 し ます。 [Distance] PPPoE または PPPoA サーバか ら取得 さ れたデ フ ォル ト ゲー ト ウ ェ イ のデ ィ ス タ ン ス を入力 し ます。 デ ィ ス タ ン ス (1 ~ 255 の整数 ) は、 同 じ 宛先へのルー ト が複数存在する場合の、 ルー ト の相対的な優先順 位を指定 し ます。 デ ィ ス タ ン スが小 さ いほど、 優先順位が高いルー ト である こ と を示 し ます。 デ フ ォル ト ゲー ト ウ ェ イのデ フ ォル ト の デ ィ ス タ ン スは 1 です。 [Retrieve default gateway from server] PPPoE サーバから デ フ ォル ト ゲー ト ウ ェ イの IP ア ド レ ス を取得する には、 [Retrieve default gateway from server] を オ ンに し ます。 こ のデ フ ォル ト ゲー ト ウ ェ イは、 ス タ テ ィ ッ ク ルーテ ィ ング テーブルに追 加 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース [Override internal [System DNS] ページ上の DNS サーバ IP ア ド レ ス を、 PPPoE または PPPoA サーバから 取得 さ れた DNS ア ド レ スで置き換え るには、 DNS] [Override internal DNS] を オ ンに し ます。 [Connect to Server] [OK] または [Apply] を選択 し た と き に、 イ ン タ フ ェ ースが自動的に PPPoE または PPPoA サーバへの接続を試みる よ う にするには、 [Connect to Server] を オンに し ます。 イ ン タ フ ェ ース を オ フ ラ イ ン で 設定する場合は、 このオプ シ ョ ン を オ フ に し ます。 インタフェースの Dynamic DNS サービスの設定 FortiGate ユニ ッ ト に静的な ド メ イ ン名 と 動的なパブ リ ッ ク IP ア ド レ スが設定 さ れてい る場合は、 DDNS サービ ス を使用 し て、 ド メ イ ンの IP ア ド レ スの変更時 に イ ン タ ーネ ッ ト DNS サーバを更新で き ます。 Dynamic DNS は、 NAT/ ルー ト モー ド でのみ使用で き ます。 [System]、[Network]、[Interface] の順に選択 し ます。 [Create New] を選択する か、 または既存のイ ン タ フ ェ ースの編集ア イ コ ン を選択 し ます。 [Addressing mode] セ ク シ ョ ンのす ぐ下にあ る [DDNS] を オ ン に し 、 提供 さ れてい る情報を使 用 し て DDNS サービ ス を設定 し ます。 FortiGate ユニ ッ ト は、 DDNS サーバに接続で き ない場合は常に、 1 分間隔で 3 回 の再試行を行 っ た後、 3 分間隔での再試行に移行 し ます。 こ れは、 DDNS サーバ のフ ラ ッ デ ィ ング を防ぐ ためです。 図 36: DDNS サービスの設定 [Server] 使用する DDNS サーバを選択 し ます。 これら のサービ スのク ラ イ ア ン ト ソ フ ト ウ ェ アは、 FortiGate フ ァ ームウ ェ アに組み込まれています。 FortiGate ユ ニ ッ ト は、 これ らのサービ スのいずれかにのみ接続で き ます。 [Domain] DDNS サービ スの完全修飾 ド メ イ ン名。 [Username] DDNS サーバに接続する と き に使用するユーザ名。 [Password] DDNS サーバに接続する と き に使用するパスワー ド 。 仮想 IPSec インタフェースの設定 仮想 IPSec イ ン タ フ ェ ース を作成する には、 VPN の作成時に [VPN]、[IPSec]、 [Auto Key] または [VPN]、[IPSec]、[Manual Key] で [IPSec Interface Mode] を選 択 し ます。 また、 [Local Interface] リ ス ト から 物理イ ン タ フ ェ ース または VLAN イ ン タ フ ェ ース を選択する こ と も で き ます。 仮想 IPSec イ ン タ フ ェ ースは、 [System]、[Network]、[Interface] ページに、 そのイ ン タ フ ェ ースのサブ イ ン タ フ ェ ース と し て表示 さ れます。 詳細については、 次の項を参照 し て く だ さ い。 • 303 ページの 「IPSec イ ン タ フ ェ ース モー ド の概要」 • 305 ページの 「自動キー」 または 315 ページの 「手動キー」 [System]、[Network]、[Interface] の順に選択 し 、 IPSec イ ン タ フ ェ ースの [Edit] を選択 し て、 次の操作を行います。 • IPSec イ ン タ フ ェ ースのロー カルおよび リ モー ト エ ン ド ポ イ ン ト の IP ア ド レ ス を設定する こ と によ り 、そのイ ン タ フ ェ ース を介 し てダ イ ナ ミ ッ ク ルーテ ィ ン グを実行 し た り 、 ping を使用 し て ト ン ネルを テ ス ト し た り で き る よ う にする。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 83 インタフェース システム - ネットワーク • IPSec イ ン タ フ ェ ース を介 し た管理ア ク セス を有効にする。 • イ ン タ フ ェ ース上のロギン グ を有効にする。 • イ ン タ フ ェ ースの説明を入力する。 図 37: 84 仮想 IPSec インタフェースの設定 [Name] IPSec イ ン タ フ ェ ースの名前。 [Virtual Domain] IPSec イ ン タ フ ェ ースの VDOM を選択 し ます。 [IP] [Remote IP] ト ンネルでダ イ ナ ミ ッ ク ルーテ ィ ン グを使用する場合や、 ト ン ネ ル イ ン タ フ ェ ースに ping を発行で き る よ う にする場合は、 ト ンネ ルのロー カルお よび リ モー ト エ ン ド ポ イ ン ト の IP ア ド レ ス を入力 し ます。 この 2 つのア ド レ スは、 ネ ッ ト ワー ク内の他のどの場所 で も使用 さ れていないア ド レ スにする必要があ り ます。 [Administrative Access] このイ ン タ フ ェ ースで許可 さ れている管理ア ク セスの種類を選択 し ます。 [HTTPS] このイ ン タ フ ェ ース を介 し た Web ベース マネージ ャ へのセキ ュ ア な HTTPS 接続を許可 し ます。 [PING] ping に応答する イ ン タ フ ェ ース。 この設定は、 イ ン ス ト ールの確 認やテス ト に使用 し ます。 [HTTP] このイ ン タ フ ェ ース を介 し た Web ベース マネージ ャ への HTTP 接 続を許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないた め、 第三者によ っ て傍受 さ れる可能性があ り ます。 [SSH] このイ ン タ フ ェ ース を介 し た CLI への SSH 接続を許可 し ます。 [SNMP] リ モー ト の SNMP マネージ ャ がこ のイ ン タ フ ェ ースに接続する こ と によ っ て SNMP 情報を要求で き る よ う に し ます。 133 ページの 「SNMP の設定」 を参照 し て く だ さ い。 [TELNET] このイ ン タ フ ェ ース を介 し た CLI への Telnet 接続を許可 し ます。 Telnet 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者によ っ て傍受 さ れる可能性があ り ます。 [Log] このイ ン タ フ ェ ースで送受信 さ れるすべての ト ラ フ ィ ッ クのログ を記録するには、 [Log] を オ ンに し ます。 ログを記録するには、 ロ ギング場所の ト ラ フ ィ ッ ク ロ グ も有効に し 、 ロギン グ レベルを [Notification] 以下に設定する必要があ り ます。 ロギングの場所 と 種 類を設定するには、 [Log&Report]、[Log Config] の順に選択 し ま す。 ロギングについては、 431 ページの 「ログおよびレポー ト 」 を参照 し て く だ さ い [Description] 必要に応 じ て、 最大 63 文字ま での説明を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース インタフェースの追加の設定 基本的な設定が実行 さ れた イ ン タ フ ェ ースに対 し て、 い く つかの追加の設定を実 行する こ と が可能です。 イ ン タ フ ェ ースの追加の設定には、 次の設定が含まれま す。 • • • • イ ン タ フ ェ ースへの管理ア ク セス イ ン タ フ ェ ースの MTU パケ ッ ト サイ ズ イ ン タ フ ェ ースの ト ラ フ ィ ッ ク ロギン グ セ カ ン ダ リ IP ア ド レ ス インタフェースへの管理アクセス NAT/ ルー ト モー ド で動作 し てい る VDOM の場合は、 その VDOM 内のイ ン タ フ ェ ースへの管理ア ク セス を制御で き ます。 FortiGate ユニ ッ ト の リ モー ト 管理を許可する こ と がで き ます。 ただ し 、 イ ン タ ーネ ッ ト か らの リ モー ト 管理を許可する と 、 FortiGate ユニ ッ ト のセキ ュ リ テ ィ が危険に さ ら さ れる可能性があ り ます。 設定に と っ て必須で ない限 り 、 こ の 危険性を避け る よ う に し て く だ さ い。 イ ン タ ーネ ッ ト から の リ モー ト 管理を許可 し た FortiGate ユニ ッ ト のセキ ュ リ テ ィ を向上 さ せる には、 次のよ う に し ます。 セキ ュ ア な管理ユーザ パスワー ド を使用 し ます。 こ れ らのパスワー ド を定期的に変更 し ます。 HTTPS または SSH のみを使用 し て、 こ のイ ン タ フ ェ ースへのセキ ュ ア な管理ア ク セス を有効に し ます。 シ ス テムのア イ ド ル タ イ ムアウ ト をデ フ ォ ル ト 値の 5 分から変更 し ないで く だ さ い (162 ページの 「設定」 を参照 )。 ト ラ ン スペア レ ン ト モー ド で管理ア ク セス を設定する方法の詳細については、 148 ページの 「動作モー ド お よび VDOM 管理ア ク セス」 を参照 し て く だ さ い。 インタフェースへの管理アクセスを制御するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 イ ン タ フ ェ ース を選択 し 、 [Edit] を選択 し ます。 3 イ ン タ フ ェ ースの管理ア ク セス方法を選択 し ます。 4 [OK] を選択 し て変更を保存 し ます。 インタフェースの MTU パケット サイズ ネ ッ ト ワー ク パ フ ォ ーマ ン ス を向上 さ せる ために、 FortiGate ユニ ッ ト が転送す るパケ ッ ト の最大転送単位 (MTU) を変更で き ます。 MTU は、 FortiGate ユニ ッ ト と パケ ッ ト の宛先 と の間のすべてのネ ッ ト ワー クの最小の MTU と 同 じ であ る こ と が理想です。 FortiGate ユニ ッ ト が送信するパケ ッ ト が この MTU よ り 大き い場 合は、 パケ ッ ト が分割 ( または細分化 ) さ れ、 それによ っ て転送速度が低下 し ま す。 MTU を小 さ く し てみて、 最高のネ ッ ト ワー ク パ フ ォ ーマ ン スが得られる MTU サイ ズを見つけて く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 85 インタフェース システム - ネットワーク 3000 以上の番号の FortiGate モデルは、ジ ャ ン ボ フ レ ームをサポー ト し ています。 モデルに よ っ て、 9,000 バイ ト の制限をサポー ト し ている場合 と 、 16,110 バイ ト を サポー ト し てい る場合があ り ます。 ジ ャ ン ボ フ レ ームは最大 9,000 または 16,110 バイ ト であ り 、 標準のイ ーサネ ッ ト フ レ ームよ り はるかに大き く する こ と がで き ます。 標準の イ ーサネ ッ ト フ レ ーム ( パケ ッ ト ) は、 ヘ ッ ダ情報を含めて最大 1,500 バイ ト です。新 し い イ ーサネ ッ ト 標準 ( ギガ ビ ッ ト イ ーサネ ッ ト な ど ) が実 装 さ れて も、 1,500 バイ ト フ レ ームは下位互換性のために維持 さ れています。 あ るルー ト を介 し て ジ ャ ン ボ フ レ ームを送信する には、 そのルー ト 上のすべて のイ ーサネ ッ ト デバイ スがジ ャ ン ボ フ レ ームをサポー ト し てい る必要があ り ま す。 そ う でない と 、 ジ ャ ン ボ フ レ ームが認識 さ れず、 転送 さ れません。 同 じ イ ン タ フ ェ ース上に標準のイ ーサネ ッ ト フ レ ーム と ジ ャ ンボ フ レームの ト ラ フ ィ ッ クが存在する場合は、 ルーテ ィ ン グの仕組みだけでは、 フ レ ームサイ ズ のみに基づいてそれぞれの ト ラ フ ィ ッ ク を異な るルー ト にルーテ ィ ン グする こ と はで き ません。 ただ し 、 VLAN を使用する と 、 ジ ャ ンボ フ レ ームの ト ラ フ ィ ッ ク が、 ジ ャ ンボ フ レームをサポー ト する ネ ッ ト ワー ク デバイ ス を介 し てルーテ ィ ング さ れる こ と を保証で き ます。 VLAN は、 MTU サイ ズを親イ ン タ フ ェ ースか ら 継承 し ます。 VLAN を、 そのルー ト の両端だけで な く 、 そのルー ト に沿っ たすべ てのス イ ッ チお よびルー タ に設定する必要があ り ます。 VLAN 設定の詳細につい ては、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 インタフェースから送信されるパケットの MTU サイズを変更するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 物理イ ン タ フ ェ ース を選択 し 、 [Edit] を選択 し ます。 3 [Override default MTU value (1500)] を オ ン に し ます。 4 MTU サイ ズを設定 し ます。 FortiGate ユニ ッ ト でサポー ト さ れてい るサイ ズよ り 大き い MTU サイ ズを選択す る と 、 エ ラ ー メ ッ セージが表示 さ れます。 こ の場合は、 値がサポー ト さ れるサ イ ズにな る ま で MTU サイ ズを小 さ く し てみて く だ さ い。 サポー ト さ れてい る最 大値は、 16,110、 9,000、 およ び 1,500 です。 注記 : MTU を変更 し た場合は、 変更 さ れた イ ン タ フ ェ ース上の VLAN サブ イ ン タ フ ェ ー スの MTU 値を更新するために、 FortiGate ユニ ッ ト を再起動する必要があ り ます。 注記 : ト ラ ン スペア レ ン ト モー ド では、 イ ン タ フ ェ ースの MTU を変更 し た場合、 その新 し い MTU に一致する よ う にすべてのイ ン タ フ ェ ースの MTU を変更する必要があ り ます。 インタフェースのトラフィック ロギング 任意のイ ン タ フ ェ ースの ト ラ フ ィ ッ ク ロ ギン グ を有効にする こ と がで き ます。 詳細については、 440 ページの 「 ト ラ フ ィ ッ ク ロ グ」 を参照 し て く だ さ い。 セカンダリ IP アドレス 1 つのイ ン タ フ ェ ースに、 複数の IP ア ド レ ス を割 り 当て る こ と がで き ます。 イ ン タ フ ェ ース上の IP ア ド レ ス ご と に別のフ ァ イ アウ ォ ール ポ リ シーを作成 し 、 適用する こ と がで き ます。 また、 セ カ ン ダ リ IP ア ド レ スで ト ラ フ ィ ッ ク を転送 し た り 、 RIP または OSPF ルーテ ィ ン グ を使用 し た り する こ と も で き ます。 イ ン タ フ ェ ースあた り 、 最大 32 のセ カ ン ダ リ IP ア ド レ ス を設定で き ます。 プ ラ イ マ リ IP ア ド レ ス と セ カ ン ダ リ IP ア ド レ スは、 同 じ ping ジ ェ ネ レー タ を共有で き ます。 86 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク インタフェース セ カ ン ダ リ IP ア ド レ ス を割 り 当て る際には、 以下が適用 さ れてい る必要があ り ます。 • 先に イ ン タ フ ェ ースにプ ラ イ マ リ IP ア ド レ ス を割 り 当て る必要があ り ます。 • イ ン タ フ ェ ースは、 手動ア ド レ ッ シ ン グ モー ド で設定する必要があ り ます。 • デ フ ォ ル ト では、 同 じ サブ ネ ッ ト に含まれる複数の IP ア ド レ ス を使用する こ と はで き ません。 イ ン タ フ ェ ース サブネ ッ ト の重複を許可する には、 次の CLI コ マ ン ド を使用 し ます。 config system global (global)# set allow-interface-subnet-overlap enable (global)#end セ カ ン ダ リ IP ア ド レ スは、 VPN ト ン ネルを終端で き ません。 CLI コ マ ン ド の config system interface を使用 し て、 イ ン タ フ ェ ースにセ カ ン ダ リ IP ア ド レ ス を追加で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の 「system interface」 の下にあ る 「config secondaryip」 を参照 し て く だ さ い。 図 38: セカンダリ IP アドレスの追加 [IP/Netmask] [IP/Netmask] フ ィ ール ド に、 IP ア ド レ ス / サブネ ッ ト マス ク を 入力 し ます。 この IP ア ド レ スは、 イ ン タ フ ェ ースの接続先の ネ ッ ト ワー ク と 同 じ サブネ ッ ト 上に存在する必要があ り ます。 2 つのイ ン タ フ ェ ースに同 じ サブネ ッ ト 上の IP ア ド レ ス を設定 する こ と はで き ません。 この フ ィ ール ド は、 [Manual] ア ド レ ッ シ ング モー ド が選択 さ れ ている場合にのみ使用で き ます。 [Ping Server] 停止ゲー ト ウ ェ イ検出を有効にするには、 このイ ン タ フ ェ ース に接続 さ れている ネ ッ ト ワー ク上のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し 、 [Enable] を オ ンに し ます。 91 ページの 「停 止ゲー ト ウ ェ イ検出」 を参照 し て く だ さ い。 複数のア ド レ スで同 じ ping サーバを共有で き ます。 こ のフ ィ ー ル ド はオプ シ ョ ン です。 [Administrative Access] セ カ ン ダ リ IP で許可 さ れてい る管理ア ク セスの種類を選択 し ま す。 プ ラ イ マ リ ア ド レ ス と は異な る種類を選択で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [HTTPS] このセ カ ン ダ リ IP を介 し た Web ベース マネージ ャ へのセキ ュ ア な HTTPS 接続を許可 し ます。 [PING] ping に応答する セ カ ン ダ リ IP。 この設定は、 イ ン ス ト ールの確 認やテ ス ト に使用 し ます。 [HTTP] このセ カ ン ダ リ IP を介 し た Web ベース マネージ ャ への HTTP 接 続を許可 し ます。 HTTP 接続はセキ ュ リ テ ィ 保護 さ れていないた め、 第三者によ っ て傍受 さ れる可能性があ り ます。 [SSH] このセ カ ン ダ リ IP を介 し た CLI への SSH 接続を許可 し ます。 [SNMP] リ モー ト の SNMP マネージ ャ がこ のセ カ ン ダ リ IP に接続する こ と によ っ て SNMP 情報を要求で き る よ う に し ます。 133 ページの 「SNMP の設定」 を参照 し て く だ さ い。 87 ゾーン システム - ネットワーク [TELNET] このセ カ ン ダ リ IP を介 し た CLI への Telnet 接続を許可 し ます。 Telnet 接続はセキ ュ リ テ ィ 保護 さ れていないため、 第三者に よ っ て傍受 さ れる可能性があ り ます。 [Add] 設定 さ れたセ カ ン ダ リ IP ア ド レ ス を、 下に表示 さ れている セ カ ン ダ リ IP テーブルに追加するには、 [Add] を選択 し ます。 このテーブル内のア ド レ スは、 この画面の一番下にある [OK] ま たは [Apply] を選択する ま で イ ン タ フ ェ ースには追加 さ れませ ん。 [Secondary IP table] このイ ン タ フ ェ ースに追加 さ れたすべてのセ カ ン ダ リ IP ア ド レ ス を示すテーブル。 これら のア ド レ スは、 この画面の一番下にある [OK] または [Apply] を選択する ま で イ ン タ フ ェ ースに完全には追加 さ れませ ん。 それ以外の場合は、 上の制限のために、 一部のア ド レ スが テーブルから 削除 さ れる可能性があ り ます。 # セ カ ン ダ リ IP ア ド レ スの番号。 1 つのイ ン タ フ ェ ースには、 最 大 32 の追加の IP ア ド レ スが存在で き ます。 [IP/Netmask] このセ カ ン ダ リ IP の IP ア ド レ ス と ネ ッ ト マス ク。 [Ping Server] このア ド レ スのための ping サーバの IP ア ド レ ス。 ping サーバ は、 複数のア ド レ スで共有で き ます。 ping サーバはオプ シ ョ ン です。 [Enable] ping サーバのオプ シ ョ ンが選択 さ れているかど う かを示 し ます。 [Access] このア ド レ スの管理ア ク セス方法。 プ ラ イ マ リ IP ア ド レ ス と は 異な る方法を選択で き ます。 削除アイコン このセ カ ン ダ リ IP のエ ン ト リ を削除する場合に選択 し ます。 注記 : セ カ ン ダ リ IP を追加 し た ら 、 セ カ ン ダ リ IP テーブルに戻 り 、 新 し いア ド レ スが表 示 さ れている こ と を確認する こ と をお勧め し ます。 表示 さ れていない場合、 そのア ド レ ス はいずれかの制限のために追加 さ れませんで し た。 ゾーン ゾーン を使用 し て、 関連する イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース を グ ループ化する こ と がで き ます。 イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース を ゾーン にグループ化する と 、 ポ リ シーの作成が簡略化 さ れます。 イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ース を ゾーン にグループ化 し た場合は、 こ のゾーン と 外 部の間の接続に関する ポ リ シーは設定で き ますが、 ゾーン内のイ ン タ フ ェ ース間 のポ リ シーは設定で き ません。 ゾーンの追加、 ゾーンの名前変更や編集、 ゾーン リ ス ト か らのゾーンの削除を 行 う こ と がで き ます。 ゾーン を追加する場合は、 ゾーン に追加する イ ン タ フ ェ ー ス と VLAN サブ イ ン タ フ ェ ースの名前を選択 し ます。 ゾーンは、 バーチ ャ ル ド メ イ ン に追加 さ れます。 FortiGate の設定に複数のバー チ ャル ド メ イ ン を追加 し てい る場合は、 ゾーン を追加または編集する前に、 正 し いバーチ ャ ル ド メ イ ン を設定 し ている こ と を確認 し て く だ さ い。 図 39: 88 ゾーン リスト FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク ネットワーク オプション [Create New] 新 し いゾーン を作成するには、 [Create New] を選択 し ます。 [Name] 追加 し たゾーンの名前。 [Block intra-zone traffic] 同 じ ゾーン内のイ ン タ フ ェ ース間の ト ラ フ ィ ッ ク がブ ロ ッ ク さ れて いる場合は [Yes]、 同 じ ゾーン内のイ ン タ フ ェ ース間の ト ラ フ ィ ッ ク がブ ロ ッ ク さ れていない場合は [No] を表示 し ます。 [Interface Members] こ のゾーンに追加 さ れた イ ン タ フ ェ ースの名前。 イ ン タ フ ェ ース名 は、 FortiGate モデルによ っ て異な り ます。 編集 / 表示アイコン ゾーン を編集または表示 し ます。 削除アイコン ゾーン を削除 し ます。 ゾーンの設定 ゾーン を設定する には、 [System]、[Network]、[Zone] の順に選択 し ます [Create New] を選択するか、 またはゾーンの編集ア イ コ ン を選択 し てそのゾーン を変更 し ます。 図 40: ゾーンのオプション [Name] ゾーン を識別する名前を入力 し ます。 [Block intra-zone traffic] 同 じ ゾーン内のイ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ース間 の ト ラ フ ィ ッ ク を ブ ロ ッ ク するには、 [Block intra-zone traffic] を オ ンに し ます。 [Interface members] こ のゾーンの一部にする イ ン タ フ ェ ース を選択 し ます。 こ の リ ス ト には、 設定済みの VLAN が含まれています。 ネットワーク オプション ネ ッ ト ワー ク オプ シ ョ ン には、 DNS サーバや停止ゲー ト ウ ェ イ検出の設定が含 まれます。 こ れら のオプ シ ョ ンは、 [Configuring Network Options] 画面で設定 さ れ ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 89 ネットワーク オプション システム - ネットワーク DNS サーバや停止ゲー ト ウ ェ イ検出の設定を行 う には、 [System]、[Network]、 [Options] の順に選択 し ます。 図 41: ネットワーク オプション - 200 以上の FortiGate モデル 図 42: ネットワーク オプション - 100 以下の番号のモデル [Obtain DNS server address automatically] このオプ シ ョ ンは、 100 以下の FortiGate モデルにのみ適 用 さ れます。 イ ン タ フ ェ ース上で DHCP が使用 さ れている場合は、 DNS サーバ IP ア ド レ ス も 取得 し ます。 NAT/ ルー ト モー ド でのみ使用で き ます。 また、 イ ン タ フ ェ ースの DHCP 設定で [Override internal DNS] も オン にする必要があ り ま す。 80 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 を参照 し て く だ さ い。 [Use the following DNS server このオプ シ ョ ンは、 100 以下の FortiGate モデルにのみ適 用 さ れます。 addresses] 指定 さ れた プ ラ イ マ リ およびセ カ ン ダ リ DNS サーバ ア ド レ ス を使用 し ます。 [Primary DNS Server] プ ラ イ マ リ DNS サーバ IP ア ド レ ス を入力 し ます。 [Secondary DNS Server] セ カ ン ダ リ DNS サーバ IP ア ド レ ス を入力 し ます。 [Local Domain Name] 90 DNS 参照の実行時に ド メ イ ン部分のないア ド レ スに追加 する ド メ イ ン名を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク ネットワーク オプション [Enable DNS forwarding from] このオプ シ ョ ンは、 NAT/ ルー ト モー ド で動作 し ている 100 以下の FortiGate モデルにのみ適用 さ れます。 受信 し た DNS 要求を設定 さ れた DNS サーバに転送する イ ン タ フ ェ ース を選択 し ます。 [Dead Gateway Detection] 停止ゲー ト ウ ェ イ検出は、 イ ン タ フ ェ ース設定に追加 さ れた ping サーバを使用 し て接続を確認 し ます。 イ ン タ フ ェ ースへの ping サーバの追加については、 91 ページの 「停止ゲー ト ウ ェ イ検出」 を参照 し て く だ さ い。 [Detection Interval] FortiGate ユニ ッ ト が対象に ping を発行する頻度を示す秒 数を入力 し ます。 [Fail-over Detection] FortiGate ユニ ッ ト がゲー ト ウ ェ イ を機能 し ていない と 見 なすまでの ping テ ス ト の失敗の回数を入力 し ます。 DNS サーバ ア ラ ー ト メ ールや URL ブ ロ ッ キン グな ど、 FortiGate 機能の一部は DNS を使用 し ています。 FortiGate ユニ ッ ト の接続先の DNS サーバの IP ア ド レ ス を指定する こ と がで き ます。 DNS サーバ IP ア ド レ スは通常、 ISP に よ っ て指定 さ れます。 100 以下の番号の FortiGate モデルは、 DNS サーバ ア ド レ ス を自動的に取得する よ う に設定で き ます。 こ れらのア ド レ ス を自動的に取得する には、 少な く と も 1 つの FortiGate ユニ ッ ト イ ン タ フ ェ ースが DHCP または PPPoE ア ド レ ッ シ ン グ モー ド を使用する必要があ り ます。 80 ページの 「イ ン タ フ ェ ース上での DHCP の設定」 または 81 ページの 「PPPoE または PPPoA のためのイ ン タ フ ェ ースの 設定」 を参照 し て く だ さ い。 100 以下の FortiGate モデルは、 そのイ ン タ フ ェ ース上で DNS 転送を実行で き ま す。 接続 さ れたネ ッ ト ワー ク上のホス ト は、 こ のイ ン タ フ ェ ースの IP ア ド レ ス を DNS サーバ と し て使用 し ます。 こ のイ ン タ フ ェ ースに送信 さ れた DNS 要求 は、 ユーザに よ っ て設定 さ れたか、 または FortiGate ユニ ッ ト に よ っ て自動的に 取得 さ れた DNS サーバ ア ド レ スに転送 さ れます。 停止ゲートウェイ検出 停止ゲー ト ウ ェ イ検出は、 ping サーバに定期的に ping を発行 し てネ ッ ト ワー ク 接続を確認 し ます。 一般に、 こ の ping サーバは、 外部ネ ッ ト ワー ク またはイ ン タ ーネ ッ ト につながる ネ ク ス ト ホ ッ プ ルー タ です。 ping の間隔 ([Detection Interval]) と 、 接続の切断を示す と 見な さ れる ping の失敗回数 ([Fail-over Detection]) は、 [System]、[Network]、[Options] ページ で設定 さ れます。 イ ン タ フ ェ ースに対 し て停止ゲー ト ウ ェ イ検出を適用する には、 そのイ ン タ フ ェ ース上に ping サーバを設定する必要があ り ます。 インタフェースに ping サーバを追加するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 イ ン タ フ ェ ース を選択 し 、 [Edit] を選択 し ます。 3 [Ping Server] を、 こ のイ ン タ フ ェ ースに接続 さ れてい る ネ ッ ト ワー ク上のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ スに設定 し ます。 4 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 5 [OK] を選択 し て変更を保存 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 91 ルーティング テーブル ( トランスペアレント モード ) システム - ネットワーク ルーティング テーブル ( トランスペアレント モード ) ト ラ ン スペア レ ン ト モー ド では、 [System]、[Network]、[Routing Table] の順に 選択 し て、 FortiGate ユニ ッ ト から ロ ー カル ルー タ への静的ルー ト を追加 し ます。 図 43: ルーティング テーブル [Create New] 新 し いルー ト を追加 し ます。 # ルー ト の番号。 [IP] このルー ト の宛先 IP ア ド レ ス。 [Mask] このルー ト のネ ッ ト マス ク 。 [Gateway] このルー ト が ト ラ フ ィ ッ ク を転送する先のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス。 [Distance] このルー ト の相対的な優先順位。 1 が最も 高い優先順位です。 削除アイコン ルー ト を削除 し ます。 表示 / 編集アイコ ルー ト を編集または表示 し ます。 ン 移動アイコン リ ス ト 内のルー ト の位置を変更 し ます。 トランスペアレント モードのルート設定 ルー ト を追加する には、 [System]、[Network]、[Routing Table] の順に選択 し 、 [Create New] を選択 し ます。 また、 既存のルー ト の 編集ア イ コ ン を選択 し てそ のルー ト を変更する こ と も で き ます。 図 44: トランスペアレント モードのルート オプション [Destination IP このルー ト の宛先 IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 /Mask] デ フ ォル ト のルー ト を作成するには、 宛先 IP と マス ク を 「0.0.0.0」 に設 定 し ます。 92 [Gateway] このルー ト が ト ラ フ ィ ッ ク を転送する先のネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 イ ン タ ーネ ッ ト 接続の場合は、 ネ ク ス ト ホ ッ プ ルーテ ィ ング ゲー ト ウ ェ イが ト ラ フ ィ ッ ク を イ ン タ ーネ ッ ト にルーテ ィ ング し ます。 [Distance] このルー ト の相対的な優先順位。 1 が最も 高い優先順位です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク モデム インタフェースの設定 モデム インタフェースの設定 モデムがサポー ト さ れてい る FortiGate モデルでは、 NAT/ ルー ト モー ド で、 モ デムをバ ッ ク ア ッ プ イ ン タ フ ェ ース またはス タ ン ド ア ロ ン イ ン タ フ ェ ースのど ち ら と し て も使用で き ます。 • 冗長 ( バ ッ ク ア ッ プ ) モー ド では、イ ーサネ ッ ト イ ン タ フ ェ ースが使用で き な く な る と 、 モデム イ ン タ フ ェ ースが、 選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ー スか ら自動的に処理を引き継ぎ ます。 • ス タ ン ド ア ロ ン モー ド では、 モデム イ ン タ フ ェ ースが、 FortiGate ユニ ッ ト か ら イ ン タ ーネ ッ ト への接続にな り ます。 ISP に接続する場合 ( ど ち ら の設定の場合 も )、 FortiGate ユニ ッ ト のモデムは、 モデムが ISP に接続 さ れる ま で最大 3 つのダ イ ヤルア ッ プ ア カ ウ ン ト を自動的 にダ イ ヤルで き ます。 FortiGate モデル 50AM お よび 60M は、 内蔵モデムを備え ています。 こ れらのモ デルの場合は、 Web ベース マネージ ャ でモデムの動作を設定で き ます。 「モデム の設定」 を参照 し て く だ さ い。 モデル 50A お よび 60 は、 USB シ リ アル コ ンバー タ を介 し て外付けモデムに接 続で き ます。 こ れ らのモデルの場合は、 CLI を使用 し てモデムの動作を設定する 必要があ り ます。 『FortiGate CLI リ フ ァ レ ン ス 』 にあ る system modem コ マ ン ド を 参照 し て く だ さ い。 注記 : モデム イ ン タ フ ェ ースは、 リ モー ト コ ン ソ ール接続に使用 さ れるポー ト である AUX ポー ト と は異な り ます。 AUX ポー ト には、 関連付け ら れた イ ン タ フ ェ ースがあ り ま せん。 AUX ポー ト は、 FortiGate モデル 1000A、 1000AFA2、 および 3000A でのみ使用で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 にある config system aux コ マ ン ド を参照 し て く だ さ い。 モデムの設定 FortiGate ユニ ッ ト がモデムを使用 し て ISP のダ イ ヤルア ッ プ ア カ ウ ン ト に接続 する よ う に、 モデム設定を設定 し ます。 最大 3 つのダ イ ヤルア ッ プ ア カ ウ ン ト を設定 し た り 、 ス タ ン ド ア ロ ン または冗長の動作を選択 し た り 、 モデムのダ イヤ ルや接続解除の方法を設定 し た り する こ と がで き ます。 モデムを設定 し た り 使用 し た り で き るのは、NAT/ ルー ト モー ド の場合だけです。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 93 モデム インタフェースの設定 システム - ネットワーク 図 45: モデム設定 ( スタンドアロン ) 図 46: モデム設定 ( 冗長 ) [Enable Modem] FortiGate のモデムを有効にする場合に選択 し ます。 [Modem status] モデム状態には、 "not active"、 "connecting"、 "connected"、 "disconnecting"、 "hung up" のいずれかが表示 さ れます ( ス タ ン ド ア ロ ン モー ド のみ )。 [Dial Now]/[Hang Up] ( ス タ ン ド ア ロ ン モー ド のみ ) ダ イヤルア ッ プ ア カ ウン ト に手動 で接続するには、 [Dial Now] を選択 し ます。 モデムが接続 さ れて いる場合は、 [Hang Up] を選択 し て手動でモデムを接続解除で き ま す。 [Mode] 94 [Standalone] または [Redundant] モー ド を選択 し ます。 ス タ ン ド ア ロ ン モー ド では、 モデムは独立 し た イ ン タ フ ェ ースです。 冗長 モー ド では、 モデムは、 選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ース のためのバ ッ ク ア ッ プ機能です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク モデム インタフェースの設定 [Auto-dial] ( ス タ ン ド ア ロ ン モー ド のみ ) 接続が失われるか、 または FortiGate ユニ ッ ト が再起動 さ れた ら自動的にモデムを ダ イヤルす る場合に選択 し ます。 [Dial on demand] がオ ンにな っ ている場合 は、 [Auto- dial] を オ ンにで き ません。 [Redundant for] ( 冗長モー ド のみ ) モデムがバ ッ ク ア ッ プ サービ ス を提供する対 象のイ ーサネ ッ ト イ ン タ フ ェ ース を選択 し ます。 [Dial on demand] パケ ッ ト がモデム イ ン タ フ ェ ースにルーテ ィ ング さ れた ら モデム を ダ イヤルする場合に選択 し ます。 ネ ッ ト ワー ク が動作 し ていな い場合、 モデムはア イ ド ル タ イムアウ ト 期間の後に接続解除 し ま す。 ス タ ン ド ア ロ ン モー ド で、 [Auto-dial] がオ ンにな っ ている場 合は [Dial on demand] を オ ンにで き ません。 [Idle timeout] タ イムアウ ト 期間 ( 分単位 ) を入力 し ます。 動作 し ていない状態 がこ の期間続 く と 、 モデムは接続解除 し ます。 [Holddown Timer] ( 冗長モー ド のみ ) プ ラ イ マ リ イ ン タ フ ェ ースが復旧 し た後、 モ デム イ ン タ フ ェ ースか ら プ ラ イ マ リ イ ン タ フ ェ ースに切 り 替え る までに FortiGate ユニ ッ ト が待つ時間 (1 ~ 60 秒 ) を入力 し ます。 デ フ ォル ト 値は 1 秒です。 プ ラ イ マ リ イ ン タ フ ェ ース と モデム イ ン タ フ ェ ースの間で FortiGate ユニ ッ ト の切 り 替えが繰 り 返 し 発生 する場合は、 設定する値を大き く し ます。 [Redial Limit] 接続に障害が発生 し た場合に、 FortiGate ユニ ッ ト のモデムが ISP への再接続を試行する最大回数 (1 ~ 10)。 デ フ ォル ト の再ダ イヤ ル制限は 1 回です。 再ダ イヤルの試行回数を制限 し ないよ う にす るには、 [None] を選択 し ます。 [Dialup Account] 最大 3 つのダ イヤルア ッ プ ア カ ウン ト を設定 し ます。 FortiGate ユ ニ ッ ト は、 接続を確立で き る まで、 順番に各ア カ ウン ト への接続 を試みます。 [Phone Number] ダ イヤルア ッ プ ア カ ウン ト に接続するために必要な電話番号。 電 話番号にはスペース を追加 し ないで く だ さ い。 ダ イヤルア ッ プ ア カ ウン ト に接続するためにモデムに必要な一時停止、 国番号、 そ の他の機能に対する標準の特殊文字を間違いな く 含める よ う に し て く だ さ い。 [User Name] ISP に送信 さ れるユーザ名 ( 最大 63 文字 )。 [Password] ISP に送信 さ れるパスワー ド 。 冗長モー ド でモデムを設定する には、 95 ページの 「冗長モー ド の設定」 を参照 し て く だ さ い。 ス タ ン ド ア ロ ン モー ド でモデムを設定する には、 96 ページの 「ス タ ン ド ア ロ ン モー ド の設定」 を参照 し て く だ さ い。 冗長モードの設定 冗長モー ド でのモデム イ ン タ フ ェ ースは、 選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ース をバ ッ ク ア ッ プ し ます。 そのイ ーサネ ッ ト イ ン タ フ ェ ースがネ ッ ト ワー クから接続解除 し た場合、 モデムは、 設定済みのダ イヤルア ッ プ ア カ ウン ト に自動的にダ イヤル し ます。 モデムがダ イヤルア ッ プ ア カ ウン ト に接続する と 、 FortiGate ユニ ッ ト は、 通常は選択 さ れた イ ーサネ ッ ト イ ン タ フ ェ ースに宛 て られる IP パケ ッ ト を モデム イ ン タ フ ェ ースにルーテ ィ ン グ し ます。 イ ーサネ ッ ト イ ン タ フ ェ ースが再びネ ッ ト ワー ク に接続で き る よ う にな る と 、 FortiGate ユニ ッ ト はモデム イ ン タ フ ェ ース を接続解除 し て、 イ ーサネ ッ ト イ ン タ フ ェ ースに戻 し ます。 オ プ シ ョ ンの タ イ ムアウ ト 設定が存在 し 、 こ の期間ネ ッ ト ワー クが動作 し ていない場合はモデムが接続解除 し ます。 こ の機能は、 ダ イヤ ルア ッ プ接続料金の節約に役立ち ます。 FortiGate ユニ ッ ト でのイ ーサネ ッ ト イ ン タ フ ェ ースから モデムへの切 り 替え を 可能にする には、 モデム設定で イ ン タ フ ェ ースの名前を選択 し 、 そのイ ン タ フ ェ ースのための ping サーバを設定する必要があ り ます。 また、 モデム イ ン タ フ ェ ース と その他の FortiGate イ ン タ フ ェ ースの間の接続のためのフ ァ イ ア ウ ォ ール ポ リ シー も設定する必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 95 モデム インタフェースの設定 システム - ネットワーク 注記 : モデム イ ン タ フ ェ ース と 、 モデムがバ ッ ク ア ッ プ し ている イ ン タ フ ェ ースの間の 接続のためのポ リ シーは追加 し ないで く だ さ い。 冗長モードを設定するには 1 [System]、[Network]、[Modem] の順に選択 し ます。 2 [Redundant] モー ド を選択 し ます。 3 次の情報を入力 し ます。 [Mode] [Redundant]。 [Redundant for] リ ス ト か ら、 バ ッ ク ア ッ プする イ ン タ フ ェ ース を選択 し ます。 [Holddown Timer] イ ン タ フ ェ ースが復旧 し た後 も モデムを使用 し 続ける秒数を入力 し ます。 [Redial Limit] ISP が応答 し ない場合の再試行の最大回数を入力 し ます。 [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] 最大 3 つのダ イヤルア ッ プ ア カ ウン ト に対する ISP の電話番号、 ユーザ名、 およびパスワー ド を入力 し ます。 4 [Apply] を選択 し ます。 5 モデムがバ ッ ク ア ッ プする イ ーサネ ッ ト イ ン タ フ ェ ースのための ping サーバを 設定 し ます。 91 ページの「イ ン タ フ ェ ースに ping サーバを追加する には」 を参照 し て く だ さ い。 6 モデム イ ン タ フ ェ ースへの接続のためのフ ァ イ アウォール ポ リ シーを設定し ます。 97 ページの 「モデム接続のための フ ァ イ アウ ォ ール ポ リ シーの追加」 を参照 し て く だ さ い。 スタンドアロン モードの設定 ス タ ン ド ア ロ ン モー ド では、 モデムは、 イ ン タ ーネ ッ ト への接続を提供する た めにダ イ ヤルア ッ プ ア カ ウ ン ト に接続 し ます。 FortiGate ユニ ッ ト が再起動 し た 場合や、 ルーテ ィ ン グ さ れていないパケ ッ ト が存在する場合にダ イ ヤルする よ う にモデムを設定で き ます。 また、 手動で モデムを接続解除 し た り 、 再ダ イ ヤル し た り する こ と も で き ます。 ダ イ ヤルア ッ プ ア カ ウ ン ト への接続が切断 し た場合、 FortiGate ユニ ッ ト はモデ ムを再ダ イ ヤル し ます。 モデムは、 再ダ イ ヤル制限で指定 さ れた回数に達する か、 またはダ イ ヤルア ッ プ ア カ ウ ン ト に接続する ま で再ダ イ ヤル し ます。 オ プ シ ョ ンの タ イ ムアウ ト 設定が存在 し 、 こ の期間ネ ッ ト ワー クが動作 し ていな い場合はモデムが接続解除 し ます。 こ の機能は、 ダ イ ヤルア ッ プ接続料金の節約 に役立ち ます。 モデム イ ン タ フ ェ ース と その他の FortiGate イ ン タ フ ェ ースの間の接続のための フ ァ イ アウ ォ ール ポ リ シーを設定する必要があ り ます。 スタンドアロン モードで動作させるには 96 1 [System]、[Network]、[Modem] の順に選択 し ます。 2 次の情報を入力 し ます。 [Mode] [Standalone]。 [Auto-dial] FortiGate ユニ ッ ト が再起動 し た ら モデムがダ イヤルする よ う にする 場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク モデム インタフェースの設定 [Dial on demand] ルーテ ィ ング さ れていないパケ ッ ト が存在 し た ら 常にモデムが ISP に接続する よ う に し たい場合に選択 し ます。 [Idle timeout] タ イムアウ ト 期間 ( 分単位 ) を入力 し ます。 動作 し ていない状態が こ の期間続 く と 、 モデムは接続解除 し ます。 [Redial Limit] ISP が応答 し ない場合の再試行の最大回数を入力 し ます。 [Dialup Account 1] [Dialup Account 2] [Dialup Account 3] 最大 3 つのダ イヤルア ッ プ ア カ ウン ト に対する ISP の電話番号、 ユーザ名、 およびパスワー ド を入力 し ます。 3 [Apply] を選択 し ます。 4 モデム イ ン タ フ ェ ースへの接続のためのフ ァ イ アウォール ポ リ シーを設定し ます。 97 ページの 「モデム接続のための フ ァ イ アウ ォ ール ポ リ シーの追加」 を参照 し て く だ さ い。 モデム接続のためのファイアウォール ポリシーの追加 モデム イ ン タ フ ェ ースには、 フ ァ イ アウ ォ ール ア ド レ ス と フ ァ イ アウ ォ ール ポ リ シーが必要です。 モデム イ ン タ フ ェ ースに 1 つ以上のア ド レ ス を追加で き ま す。 ア ド レ スの追加については、 249 ページの 「IP ア ド レ ス、 IP 範囲、 または FQDN を追加する には、 [Firewall]、[Address] の順に選択し、[Create New] を 選択 し ます。」 を参照 し て く だ さ い。 ア ド レ ス を追加する と 、 ポ リ シー グ リ ッ ド にモデム イ ン タ フ ェ ースが表示 さ れます。 フ ァ イ アウ ォ ール ポ リ シーを設定する こ と に よ り 、 モデム イ ン タ フ ェ ース と 、 FortiGate ユニ ッ ト 上のその他のイ ン タ フ ェ ースの間のパケ ッ ト の フ ローを制御 で き ます。 フ ァ イ アウ ォ ール ポ リ シーの追加については、 225 ページの 「フ ァ イ アウ ォ ール ポ リ シーの追加」 を参照 し て く だ さ い。 モデムの接続と接続解除 モデムは、 ス タ ン ド ア ロ ン モー ド にあ る必要があ り ます。 ダイヤルアップ アカウントに接続するには 1 [System]、[Network]、[Modem] の順に選択 し ます。 2 [Enable USB Modem] を選択 し ます。 3 1 つ以上のダ イ ヤルア ッ プ ア カ ウン ト に正 し い情報が設定 さ れてい る こ と を確 認 し て く だ さ い。 4 設定を変更 し た場合は、 [Apply] を選択 し ます。 5 [Dial Now] を選択 し ます。 FortiGate ユニ ッ ト は、 モデムが ISP に接続する ま で、 順番に各ダ イ ヤルア ッ プ ア カ ウ ン ト にダ イヤル し 始めます。 モデム接続を解除するには ダ イヤルア ッ プ ア カ ウン ト か ら モデムの接続を解除する には、 次の手順を使用 し ます。 1 [System]、[Network]、[Modem] の順に選択 し ます。 2 ダ イヤルア ッ プ ア カ ウン ト か ら接続解除する場合は、 [Hang Up] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 97 VLAN の概要 システム - ネットワーク モデム状態の確認 モデムの接続状態や、 現在どのダ イ ヤルア ッ プ ア カ ウ ン ト がア ク テ ィ ブにな っ てい るかを確認で き ます。 モデムが ISP に接続 さ れてい る場合は、 IP ア ド レ ス と ネ ッ ト マス ク を表示で き ます。 モデム状態を確認する には、 [System]、[Network]、[Modem] の順に選択 し ます。 モデム状態は次のいずれかです。 [not active] モデムは、 ISP に接続 さ れていません。 [connecting] モデムは、 ISP に接続 し よ う と し ています。 [connected] モデムは、 ISP に接続 さ れています。 [disconnecting] モデムは、 ISP か ら接続解除 し ています。 [hung up] モデムは、 ISP か ら接続解除 し ま し た。 ( ス タ ン ド ア ロ ン モー ド のみ ) [Dial Now] を選択 し ない限 り 、 モデムは再ダ イヤル し ません。 緑色のチ ェ ッ ク マー クは、 ア ク テ ィ ブ なダ イ ヤルア ッ プ ア カ ウ ン ト を示 し ます。 モデム イ ン タ フ ェ ースに割 り 当て られた IP ア ド レ ス と ネ ッ ト マ ス クは、 Web ベース マネージ ャ の [System]、 [Network]、 [Interface] ページに表示 さ れます。 VLAN の概要 VLAN は、 実際に配置 さ れてい る場所には関係な く 同 じ LAN セグ メ ン ト 上に存在 するかのよ う に通信する、 PC、 サーバ、 その他のネ ッ ト ワー ク デバイ スのグ ループ です。 た と えば、 経理部門のワー ク ス テーシ ョ ンやサーバがオ フ ィ ス全体 または市全域にわた っ て分散 し 、 多数のネ ッ ト ワー ク セグ メ ン ト に接続 さ れて いて も 、 同 じ VLAN に属する こ と がで き ます。 VLAN では、 デバイ スが物理的にではな く 、 論理的に分離 さ れます。 各 VLAN は、 ブ ロ ー ド キ ャ ス ト ド メ イ ン と し て扱われます。 VLAN 1 内のデバイ スは、 VLAN 1 内の他のデバイ ス と 接続で き ますが、 他の VLAN 内のデバイ ス と は接続 で き ません。 VLAN 上のデバイ ス間の通信は、 物理的なネ ッ ト ワー ク と は独立 し ています。 VLAN は、 VLAN 内のデバイ スによ っ て送受信 さ れるすべてのパケ ッ ト に 802.1Q VLAN タ グ を追加する こ と によ っ てデバイ ス を分離 し ます。 VLAN タ グは、 VLAN 識別子やその他の情報を含む、 4 バイ ト のフ レーム拡張です。 VLAN の詳細については、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 98 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク NAT/ ルート モードでの VLAN 図 47: 基本的な VLAN トポロジ Internet Untagged packets Router VL AN 1 VL AN 2 VL AN 1 VLAN Switch VL AN 1 Network VL AN 2 VL AN 2 Network FortiGate ユニットと VLAN 標準的な VLAN 設定では、802.1Q 準拠の VLAN レ イ ヤ 2 ス イ ッ チか、レ イ ヤ 3 ルー タ またはフ ァ イ アウ ォ ールがパケ ッ ト に VLAN タ グ を追加 し ます。 同 じ VLAN 内 のデバイ ス間を通過するパケ ッ ト は、 レ イ ヤ 2 ス イ ッ チで処理で き ます。 異な る VLAN 内のデバイ ス間を通過するパケ ッ ト は、 ルー タ 、 フ ァ イ アウ ォ ール、 レ イ ヤ 3 ス イ ッ チ な どのレ イヤ 3 デバイ ス で処理する必要があ り ます。 VLAN を使用する と 、 単一の FortiGate ユニ ッ ト がセキ ュ リ テ ィ サービ ス を提供 し た り 、 複数のセキ ュ リ テ ィ ド メ イ ン間の接続を制御 し た り する こ と がで き ま す。 各セキ ュ リ テ ィ ド メ イ ンからの ト ラ フ ィ ッ ク には、 異な る VLAN ID が割 り 当て られます。 FortiGate ユニ ッ ト は、 VLAN ID を認識 し 、 セキ ュ リ テ ィ ポ リ シーを適用する こ と に よ っ て、 セキ ュ リ テ ィ ド メ イ ン間のネ ッ ト ワー ク お よび IPSec VPN ト ラ フ ィ ッ ク を セキ ュ リ テ ィ 保護する こ と がで き ます。 FortiGate ユ ニ ッ ト はまた、 セキ ュ リ テ ィ ド メ イ ン間を通過する こ と を許可 さ れたネ ッ ト ワー ク お よび VPN ト ラ フ ィ ッ ク に認証、 保護プ ロ フ ァ イル、 その他の フ ァ イ ア ウ ォ ール ポ リ シー機能を適用する こ と も で き ます。 NAT/ ルート モードでの VLAN FortiGate ユニ ッ ト は、 NAT/ ルー ト モー ド で動作する こ と によ り 、 VLAN 間のパ ケ ッ ト のフ ローを制御する レ イヤ 3 デバイ ス と し て動作 し ます。 FortiGate ユニ ッ ト はまた、 受信 し た VLAN パケ ッ ト か ら VLAN タ グ を削除 し 、 タ グな し パケ ッ ト を イ ン タ ーネ ッ ト な どの他のネ ッ ト ワー ク に転送 し た り する こ と も で き ます。 NAT/ ルー ト モー ド では、 FortiGate ユニ ッ ト は、 IEEE 802.1Q 準拠のス イ ッ チ ( またはルー タ ) と FortiGate ユニ ッ ト の間の VLAN ト ラ ン ク を作成する ために VLAN をサポー ト し ています。 通常、 FortiGate ユニ ッ ト の Internal イ ン タ フ ェ ー スは内部ス イ ッ チ上の VLAN ト ラ ン ク に接続 し 、 外部イ ン タ フ ェ ースは上位のイ ン タ ーネ ッ ト ルー タ に タ グな し で接続 し ます。 こ れに よ り 、 FortiGate ユニ ッ ト FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 99 NAT/ ルート モードでの VLAN システム - ネットワーク は、 Internal イ ン タ フ ェ ースに接続する各 VLAN 上の ト ラ フ ィ ッ ク に対 し て異な る ポ リ シーを適用で き ます。 こ の構成では、 VLAN ト ラ ン ク内のパケ ッ ト の VLAN ID に一致する VLAN ID が割 り 当て られた FortiGateInternal イ ン タ フ ェ ースに VLAN サブ イ ン タ フ ェ ース を追 加 し ます。 FortiGate ユニ ッ ト は、 VLAN ID を含むパケ ッ ト を、 VLAN ID が一致す るサブ イ ン タ フ ェ ースに転送 し ます。 また、 すべての FortiGate イ ン タ フ ェ ース上に VLAN サブ イ ン タ フ ェ ース を定義 する こ と も で き ます。 FortiGate ユニ ッ ト は、 VLAN サブ イ ン タ フ ェ ースから送信 さ れるパケ ッ ト に VLAN タ グ を追加 し た り 、 受信パケ ッ ト から VLAN タ グ を削除 し 、 送信パケ ッ ト に別の VLAN タ グ を追加 し た り する こ と がで き ます。 VLAN ID のルール NAT/ ルー ト モー ド では、 同 じ 物理イ ン タ フ ェ ースに追加 さ れた 2 つの VLAN サ ブ イ ン タ フ ェ ースに同 じ VLAN ID を割 り 当て る こ と はで き ません。 ただ し 、 同 じ VLAN ID が割 り 当て られた 2 つ以上の VLAN サブ イ ン タ フ ェ ース を、 別の物理 イ ン タ フ ェ ースに追加する こ と は可能です。 同 じ VLAN ID が割 り 当て られた 2 つの VLAN サブ イ ン タ フ ェ ース間に内部の接続または リ ン クは存在 し ません。 こ れらの関係は、 任意の 2 つの FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ースの関係 と 同 じ です。 VLAN IP アドレスのルール すべての FortiGate イ ン タ フ ェ ースの IP ア ド レ スは重複で き ません。 つま り 、 す べてのイ ン タ フ ェ ースの IP ア ド レ スが別のサブ ネ ッ ト 上に存在する必要があ り ます。 こ のルールは、 物理イ ン タ フ ェ ース と VLAN サブ イ ン タ フ ェ ースの両方に 適用 さ れます。 注記 : IP の重複を防ぐ ために既存の設定を変更で き ない場合は、CLI コ マ ン ド の config system global を入力 し 、allow-interface-subnet-overlap enable を設定 し て IP ア ド レ スの重複を許可 し ます。 この コ マ ン ド を入力 し た場合は、 複数の VLAN イ ン タ フ ェ ースに、 別のイ ン タ フ ェ ースで使用 さ れているサブネ ッ ト の一部である IP ア ド レ ス を割 り 当て る こ と がで き ます。 この コ マ ン ド は、 経験の豊富なユーザにのみお勧め し ま す。 図 37 は、 NAT/ ルー ト モー ド の簡略化 さ れた VLAN 設定を示 し ています。 こ の例 の場合、 FortiGate の Internal イ ン タ フ ェ ースは 802.1Q ト ラ ン ク を使用 し て VLAN ス イ ッ チに接続 し てお り 、 また 2 つの VLAN サブ イ ン タ フ ェ ース (VLAN 100 と VLAN 200) が設定 さ れています。 外部イ ン タ フ ェ ースは、 イ ン タ ーネ ッ ト に接続 し ます。 外部イ ン タ フ ェ ースには、 VLAN サブ イ ン タ フ ェ ースは設定 さ れていま せん。 VLAN ス イ ッ チは、 VLAN 100 お よび VLAN 200 からパケ ッ ト を受信する と 、 VLAN タ グ を適用 し 、 それらのパケ ッ ト を ロ ー カル ポー ト と 、 ト ラ ン ク経由で FortiGate ユニ ッ ト に転送 し ます。 FortiGate ユニ ッ ト には、 ト ラ フ ィ ッ クの VLAN 間、 および VLAN か ら外部ネ ッ ト ワー ク へのフ ローを許可するポ リ シーが 設定 さ れています。 100 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク NAT/ ルート モードでの VLAN 図 48: NAT/ ルート モードの FortiGate ユニット Internet Untagged packets External 172.16.21.2 FortiGate unit Internal 192.168.110.126 802.1Q trunk Fa 0/24 VLAN 100 VLAN 100 Network 10.1.1.0 Fa 0/9 Fa 0/3 VLAN Switch VLAN 200 VLAN 200 Network 10.1.2.0 VLAN サブインタフェースの追加 各 VLAN サブ イ ン タ フ ェ ースの VLAN ID は、 IEEE 802.1Q 準拠のルー タ によ っ て 追加 さ れる VLAN ID に一致 し てい る必要があ り ます。 VLAN ID は、 1 ~ 4096 の 任意の数値にする こ と がで き ます。 また、 各 VLAN サブ イ ン タ フ ェ ースには、 独 自の IP ア ド レ ス と ネ ッ ト マス クが設定 さ れてい る必要があ り ます。 注記 : VLAN の名前が、 バーチ ャ ル ド メ イ ン またはゾーン と 同 じ であ っ てはな り ません。 VLAN タ グ付きパケ ッ ト を受信する物理イ ン タ フ ェ ースに VLAN サブ イ ン タ フ ェ ース を追加 し ます。 NAT/ ルート モードで VLAN サブインタフェースを追加するには 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 [Create New] を選択 し て、 VLAN サブ イ ン タ フ ェ ース を追加 し ます。 3 VLAN サブ イ ン タ フ ェ ース を識別する名前を入力 し ます。 4 こ の VLAN サブ イ ン タ フ ェ ースに宛て られた VLAN パケ ッ ト を受信する物理イ ン タ フ ェ ース を選択 し ます。 5 こ の VLAN サブ イ ン タ フ ェ ースで受信 さ れるパケ ッ ト の VLAN ID に一致する VLAN ID を入力 し ます。 6 スーパー管理者の場合は、 こ の VLAN サブ イ ン タ フ ェ ース を追加する先のバー チ ャル ド メ イ ン を選択 し ます。 それ以外の場合は、 独自の VDOM 内にのみ VLAN サブ イ ン タ フ ェ ース を作成で き ます。 バーチ ャル ド メ イ ン については、 61 ページの 「バーチ ャル ド メ イ ンの使用」 を 参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 101 トランスペアレント モードでの VLAN 7 システム - ネットワーク 他の任意の FortiGate イ ン タ フ ェ ース と 同様に、 VLAN サブ イ ン タ フ ェ ース を設 定 し ます。 72 ページの 「イ ン タ フ ェ ース設定」 を参照 し て く だ さ い。 8 [OK] を選択 し て変更を保存 し ます。 FortiGate ユニ ッ ト によ っ て、 手順 4 で選択 し た イ ン タ フ ェ ースに新 し い VLAN サブ イ ン タ フ ェ ースが追加 さ れます。 VLAN サブインタフェースのためのファイアウォール ポリシーを追加するには VLAN サブ イ ン タ フ ェ ース を追加 し た ら、 VLAN サブ イ ン タ フ ェ ース間、 または VLAN サブ イ ン タ フ ェ ースか ら物理イ ン タ フ ェ ースへの接続のための フ ァ イ ア ウ ォ ール ポ リ シーを追加で き ます。 1 [Firewall]、[Address] の順に選択 し ます。 2 [Create New] を選択 し て、 VLAN パケ ッ ト の発信元およ び宛先 IP ア ド レ スに一致 する フ ァ イ アウ ォ ール ア ド レ ス を追加 し ます。 247 ページの 「 フ ァ イ アウ ォ ール ア ド レ スについて」 を参照 し て く だ さ い。 3 [Firewall]、[Policy] の順に選択 し ます。 4 必要に応 じ て、 フ ァ イ アウ ォ ール ポ リ シーを作成または追加 し ます。 トランスペアレント モードでの VLAN ト ラ ン スペア レ ン ト モー ド では、 FortiGate ユニ ッ ト は、 IEEE 802.1 VLAN ト ラ ン ク上の ト ラ フ ィ ッ ク に認証、 保護プ ロ フ ァ イル、 その他のフ ァ イ アウ ォ ール機能 な どの フ ァ イ アウ ォ ール ポ リ シーお よびサービ ス を適用で き ます。 ト ラ ン スペ ア レ ン ト モー ド で動作 し てい る FortiGate ユニ ッ ト を、 ネ ッ ト ワー ク に変更を加 え る こ と な く ト ラ ン ク に挿入で き ます。 標準的な設定では、 FortiGate の Internal イ ン タ フ ェ ースは、 内部の VLAN に接続 さ れた VLAN ス イ ッ チ またはルー タ から の VLAN ト ラ ン ク 上の VLAN パケ ッ ト を受け付けます。 FortiGate の外部イ ン タ フ ェ ースは、 イ ン タ ーネ ッ ト に接続 さ れる可能性のある外部の VLAN ス イ ッ チ ま たはルー タ に、 ト ラ ン ク を介 し て タ グ付きパケ ッ ト を転送 し ます。 FortiGate ユ ニ ッ ト は、 ト ラ ン ク 内の各 VLAN 上の ト ラ フ ィ ッ ク に対 し て異な る ポ リ シーを適 用する よ う に設定で き ます。 FortiGate の内部お よび外部イ ン タ フ ェ ース間を通過で き る VLAN ト ラ フ ィ ッ ク の場合は、 Internal イ ン タ フ ェ ースに 1 つの VLAN サブ イ ン タ フ ェ ース を、 外部 イ ン タ フ ェ ースに別の VLAN サブ イ ン タ フ ェ ース を追加 し ます。 こ れ らの VLAN サブ イ ン タ フ ェ ースの VLAN ID が同 じ 場合、 FortiGate ユニ ッ ト は、 こ の VLAN 上の ト ラ フ ィ ッ ク に フ ァ イ アウ ォ ール ポ リ シーを適用 し ます。 こ れらの VLAN サブ イ ン タ フ ェ ースの VLAN ID が異な る場合、 または 3 つ以上の VLAN サブ イ ン タ フ ェ ース を追加する場合は、 フ ァ イ アウ ォ ール ポ リ シーを使用 し て VLAN 間 の接続を制御する こ と も で き ます。 ネ ッ ト ワー ク でネ ッ ト ワー ク ト ラ フ ィ ッ クのセグ メ ン ト 化に IEEE 802.1 VLAN タ グが使用 さ れてい る場合は、 ト ラ ン スペア レ ン ト モー ド で動作 し てい る FortiGate ユニ ッ ト を、 異な る VLAN 間を通過する ネ ッ ト ワー ク ト ラ フ ィ ッ ク に 対する セキ ュ リ テ ィ を提供する よ う に設定で き ます。 ト ラ ン スペア レ ン ト モー ド で VLAN ト ラ フ ィ ッ ク をサポー ト する には、 FortiGate ユニ ッ ト 設定にバー チ ャル ド メ イ ン を追加 し ます。 バーチ ャル ド メ イ ンは、 2 つ以上の VLAN サブ イ ン タ フ ェ ースま たはゾーン で構成 さ れます。 バーチ ャル ド メ イ ン内では、 ゾーン に 1 つ以上の VLAN サブ イ ン タ フ ェ ース を含める こ と がで き ます。 102 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク トランスペアレント モードでの VLAN FortiGate ユニ ッ ト がイ ン タ フ ェ ース上で VLAN タ グ付きパケ ッ ト を受信する と 、 そのパケ ッ ト は、 VLAN ID が一致する VLAN サブ イ ン タ フ ェ ースに転送 さ れま す。 その VLAN サブ イ ン タ フ ェ ースは VLAN タ グ を削除 し 、 その宛先 MAC ア ド レ スに基づいてパケ ッ ト に宛先イ ン タ フ ェ ース を割 り 当て ます。 こ の発信元およ び宛先 VLAN サブ イ ン タ フ ェ ース ペアのための フ ァ イ アウ ォ ール ポ リ シーがパ ケ ッ ト に適用 さ れます。 パケ ッ ト がフ ァ イ アウ ォ ールに よ っ て受け付け られた場 合、 FortiGate ユニ ッ ト は、 そのパケ ッ ト を宛先 VLAN サブ イ ン タ フ ェ ースに転 送 し ます。 FortiGate ユニ ッ ト によ っ てパケ ッ ト に宛先 VLAN ID が追加 さ れ、 そ のパケ ッ ト が VLAN ト ラ ン ク に送信 さ れます。 注記 : ト ラ ン スペア レ ン ト モー ド では、 VDOM あた り 、 合計で最大 255 のイ ン タ フ ェ ー スが許可 さ れています。 これには VLAN が含まれます。 VDOM に他のイ ン タ フ ェ ースが設 定 さ れていない場合は、 その VDOM 内に最大 255 の VLAN を設定で き ます。 図 49: 2 つのバーチャル ドメインを含む、トランスペアレント モードの FortiGate ユニット FortiGate unit VLAN1 VLAN2 Internal VLAN1 VLAN2 VLAN3 VLAN trunk VLAN Switch or router root virtual domain VLAN1 VLAN1 New virtual domain VLAN2 VLAN2 VLAN3 VLAN3 External VLAN1 VLAN2 VLAN3 VLAN trunk Internet VLAN Switch or router VLAN3 図 50 は、 ト ラ ン スペア レ ン ト モー ド で動作 し 、 3 つの VLAN サブ イ ン タ フ ェ ー スが設定 さ れてい る FortiGate ユニ ッ ト を示 し ています。 こ の構成では、 こ の ネ ッ ト ワー ク に FortiGate ユニ ッ ト を追加する こ と に よ り 、 各 VLAN にウ イルス スキ ャ ン、 Web コ ン テ ン ツ フ ィ ル タ リ ン グ、 その他のサービ ス を提供で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 103 トランスペアレント モードでの VLAN システム - ネットワーク 図 50: トランスペアレント モードの FortiGate ユニット Internet Router Untagged packets VLAN Switch VLAN Trunk VL AN 1 VL AN 2 VL AN 3 FortiGate unit in Transparent mode VLAN Trunk VL AN 1 VL AN 2 VL AN 3 VLAN Switch VL AN 1 VL AN 1 Network VL AN 3 VL AN 2 VL AN 2 Network VL AN 3 Network VLAN ID のルール ト ラ ン スペア レ ン ト モー ド では、 同 じ 物理イ ン タ フ ェ ースに追加 さ れた 2 つの VLAN サブ イ ン タ フ ェ ースに同 じ VLAN ID を割 り 当て る こ と はで き ません。 ただ し 、 同 じ VLAN ID が割 り 当て ら れた 2 つ以上の VLAN サブ イ ン タ フ ェ ース を、 別 の物理イ ン タ フ ェ ースに追加する こ と は可能です。 同 じ VLAN ID が割 り 当て ら れた 2 つの VLAN サブ イ ン タ フ ェ ース間に内部の接続または リ ン クは存在 し ませ ん。 こ れらの関係は、 任意の 2 つの FortiGate ネ ッ ト ワー ク イ ン タ フ ェ ースの関 係 と 同 じ です。 注記 : ト ラ ン スペア レ ン ト モー ド では、 イ ン タ フ ェ ースあた り 、 最大 255 の VLAN が許 可 さ れています。 トランスペアレント モードのバーチャル ドメインと VLAN VLAN サブ イ ン タ フ ェ ースはバーチ ャル ド メ イ ン に追加 さ れ、 そのバーチ ャル ド メ イ ン に関連付け られます。 FortiGate の設定には、 デ フ ォ ル ト で、 ルー ト と い う 名前の 1 つのバーチ ャ ル ド メ イ ンが含まれてお り 、 こ のバーチ ャル ド メ イ ン には必要なだけの数の VLAN サブ イ ン タ フ ェ ース を追加で き ます。 VLAN サブ イ ン タ フ ェ ースのグループ をバーチ ャ ル ド メ イ ン に分離する場合は、 さ ら に多 く のバーチ ャル ド メ イ ン を追加で き ます。 バーチ ャル ド メ イ ンの追加 お よび設定については、 61 ページの 「バーチ ャル ド メ イ ンの使用」 を参照 し て く だ さ い。 104 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク トランスペアレント モードでの VLAN トランスペアレント モードで VLAN サブインタフェースを追加するには 各 VLAN サブ イ ン タ フ ェ ースの VLAN ID は、 IEEE 802.1Q 準拠のルー タ またはス イ ッ チに よ っ て追加 さ れる VLAN ID に一致 し てい る必要があ り ます。 VLAN ID は、 1 ~ 4096 の任意の数値にする こ と がで き ます。 VLAN タ グ付きパケ ッ ト を受 信する物理イ ン タ フ ェ ースに VLAN サブ イ ン タ フ ェ ース を追加 し ます。 注記 : VLAN の名前が、 バーチ ャ ル ド メ イ ン またはゾーン と 同 じ であ っ てはな り ません。 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 [Create New] を選択 し て、 VLAN サブ イ ン タ フ ェ ース を追加 し ます。 3 VLAN サブ イ ン タ フ ェ ース を識別する名前を入力 し ます。 4 こ の VLAN サブ イ ン タ フ ェ ースに宛て られた VLAN パケ ッ ト を受信する物理イ ン タ フ ェ ース を選択 し ます。 5 こ の VLAN サブ イ ン タ フ ェ ースで受信 さ れるパケ ッ ト の VLAN ID に一致する VLAN ID を入力 し ます。 6 この VLAN サブ イ ン タ フ ェ ース を追加する先のバーチ ャル ド メ イ ン を選択し ます。 バーチ ャル ド メ イ ン については、 61 ページの 「バーチ ャル ド メ イ ンの使用」 を 参照 し て く だ さ い。 7 他の任意のFortiGate イ ン タ フ ェ ース と 同様に、管理ア ク セス と ロ グ を設定 し ます。 こ れ らの設定の詳細については、 72 ページの 「イ ン タ フ ェ ース設定」 を参照 し て く だ さ い。 8 [OK] を選択 し て変更を保存 し ます。 FortiGate ユニ ッ ト によ っ て、 選択 し た イ ン タ フ ェ ースに新 し いサブ イ ン タ フ ェ ースが追加 さ れます。 9 [Bring Up] を選択 し て、 VLAN サブ イ ン タ フ ェ ース を起動 し ます。 VLAN サブインタフェースのためのファイアウォール ポリシーを追加するには VLAN サブ イ ン タ フ ェ ース を追加 し た ら、 VLAN サブ イ ン タ フ ェ ース間、 または VLAN サブ イ ン タ フ ェ ースか ら物理イ ン タ フ ェ ースへの接続のための フ ァ イ ア ウ ォ ール ポ リ シーを追加で き ます。 1 [Firewall]、[Address] の順に選択 し ます。 2 [Create New] を選択 し て、 VLAN パケ ッ ト の発信元お よび宛先 IP ア ド レ スに一致 する フ ァ イ アウ ォ ール ア ド レ ス を追加 し ます。 247 ページの 「 フ ァ イ アウ ォ ール ア ド レ スについて」 を参照 し て く だ さ い。 3 [Firewall]、[Policy] の順に選択 し ます。 4 必要に応 じ て、 フ ァ イ アウ ォ ール ポ リ シーを追加 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 105 トランスペアレント モードでの VLAN システム - ネットワーク 図 51: 2 つのバーチャル ドメインを含む、トランスペアレント モードの FortiGate ユニット FortiGate unit VLAN1 Internal VLAN1 VLAN2 VLAN3 VLAN trunk VLAN2 VLAN Switch or router External root virtual domain VLAN1 VLAN1 New virtual domain VLAN2 VLAN2 VLAN3 VLAN3 VLAN1 VLAN2 VLAN3 VLAN trunk Internet VLAN Switch or router VLAN3 図 52 は、 ト ラ ン スペア レ ン ト モー ド で動作 し 、 3 つの VLAN サブ イ ン タ フ ェ ー スが設定 さ れてい る FortiGate ユニ ッ ト を示 し ています。 こ の構成では、 この ネ ッ ト ワー ク に FortiGate ユニ ッ ト を追加する こ と に よ り 、 各 VLAN にウ イルス スキ ャ ン、 Web コ ン テ ン ツ フ ィ ル タ リ ン グ、 その他のサービ ス を提供で き ます。 図 52: トランスペアレント モードの FortiGate ユニット Internet Router Untagged packets VLAN Switch VLAN Trunk VL AN 1 VL AN 2 VL AN 3 FortiGate unit in Transparent mode VLAN Trunk VL AN 1 VL AN 2 VL AN 3 VLAN Switch VL AN 1 VL AN 1 Network 106 VL AN 3 VL AN 2 VL AN 2 Network VL AN 3 Network FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - ネットワーク トランスペアレント モードでの VLAN ARP に関する問題のトラブルシューティング ARP (Address Resolution Protocol) ト ラ フ ィ ッ ク は、 ネ ッ ト ワー ク 上の通信に と っ て不可欠であ り 、 FortiGate イ ン タ フ ェ ース上ではデ フ ォル ト で有効にな り ます。 通常、 FortiGate ユニ ッ ト が ク ラ イ ア ン ト と サーバの間または ク ラ イ ア ン ト と ルー タ の間に配置 さ れてい る場合は特に、 ARP パケ ッ ト が FortiGate ユニ ッ ト を 通過する よ う に し ます。 重複した ARP パケット あ る イ ン タ フ ェ ースに到着 し た ARP パケ ッ ト が他のすべてのイ ン タ フ ェ ース (VLAN サブ イ ン タ フ ェ ース を含む ) に送信 さ れる ト ラ ン スペア レ ン ト モー ド で は、 ARP ト ラ フ ィ ッ ク に よ っ て問題が発生する こ と があ り ます。 一部のレ イヤ 2 ス イ ッ チは、 複数のス イ ッ チ イ ン タ フ ェ ース または複数の VLAN か ら同 じ MAC ア ド レ ス を検出する と 不安定にな り ます。 こ の不安定 さ は、 そのレ イ ヤ 2 ス イ ッ チに、 各 VLAN 用の個別の MAC ア ド レ ス テーブルが保持 さ れていない場合に発 生 し ます。 不安定なス イ ッ チの リ セ ッ ト に よ っ て、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク が低速にな る可能性があ り ます。 ARP 転送 こ の問題の 1 つの解決策に、 ARP 転送の有効化があ り ます。 ARP 転送は、 GUI または CLI で有効にする こ と がで き ます。 GUI では、 [System]、[Config]、 [Operation] の順に選択 し 、 [ARP Forwarding] を選択 し ます。 CLI での操作の詳細 については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 ARP 転送が有効にな る と 、 FortiGate ユニ ッ ト で重複 し た ARP パケ ッ ト が許可 さ れる ため、 前の配信の問題が解決 さ れます。 ただ し 、 こ れに よ り ネ ッ ト ワー ク が、 パケ ッ ト を偽装するハ ッ キン グの試みに さ ら さ れる可能性も 発生 し ます。 よ り 安全な解決策については、 『FortiGate VLAN および VDOM ガ イ ド 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 107 FortiGate の IPv6 サポート システム - ネットワーク FortiGate の IPv6 サポート FortiGate ユニ ッ ト 上の任意のイ ン タ フ ェ ースに IPv4 ア ド レ ス と IPv6 ア ド レ スの 両方を割 り 当て る こ と がで き ます。 こ のイ ン タ フ ェ ースは、 IPv4 ア ド レ ス指定 パケ ッ ト 用 と 、 IPv6 ア ド レ ス指定パケ ッ ト 用の 2 つのイ ン タ フ ェ ース と し て機 能 し ます。 FortiGate ユニ ッ ト は、 IPv4 ア ド レ ス指定ネ ッ ト ワー ク上で、 IPv6 ア ド レ ス指定 ト ラ フ ィ ッ ク のス タ テ ィ ッ ク ルーテ ィ ン グ、 定期的なルー タ ア ド バ タ イ ズ、 フ ァ イ アウ ォ ール ポ リ シー、 およ び ト ン ネ リ ン グをサポー ト し ます。 こ れらの 機能はすべて、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) を介 し て設定する必要が あ り ます。 次のコ マ ン ド については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 表 4: IPv6 の CLI コマンド 108 機能 CLI コマンド イ ン タ フ ェ ース設定 ( 定期的なルー タ ア ド バ タ イズを含む ) config system interface "ip6" で始ま るキーワー ド を参照 し て く だ さ い。 config ip6-prefix-list ス タ テ ィ ッ ク ルーテ ィ ング config router static6 IPv6 ト ン ネ リ ング config system ipv6_tunnel フ ァ イ アウ ォ ール config firewall address6 config firewall addrgrp6 config firewall policy6 実行 execute ping6 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 無線 FortiWiFi の無線 LAN インタフェース システム - 無線 こ の項では、 FortiWiFi ユニ ッ ト で無線 LAN イ ン タ フ ェ ース を設定する方法につ いて説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • FortiWiFi の無線 LAN イ ン タ フ ェ ース チ ャ ネル割 り 当て シ ス テム無線の設定 (FortiWiFi-60) シ ス テム無線の設定 (FortiWiFi-60A お よび 60AM) 無線 MAC フ ィ ル タ 無線モ ニ タ FortiWiFi の無線 LAN インタフェース FortiWiFi の無線イ ン タ フ ェ ース を設定する と 、 以下が可能にな り ます。 • 無線ネ ッ ト ワー ク カ ー ド を持つユーザが接続で き る ア ク セス ポ イ ン ト を提供 する ( ア ク セス ポ イ ン ト モー ド )。 または • FortiWiFiユニ ッ ト を別の無線ネ ッ ト ワー ク に接続する ( ク ラ イ ア ン ト モー ド )。 ア ク セス ポ イ ン ト モー ド は、 デ フ ォル ト のモー ド です。 FortiWiFi-60A お よび FortiWiFi-60AM ユニ ッ ト は、 複数の WLAN を提供で き ます。 FortiWiFi ユニ ッ ト は、 次の無線ネ ッ ト ワー ク標準をサポー ト し ています。 • • • • • IEEE 802.11a (5 GHz 帯 ) IEEE 802.11b (2.4 GHz 帯 ) IEEE 802.11g (2.4 GHz 帯 ) WEP (Wired Equivalent Privacy) 事前共有鍵またはRadiusサーバを使用 し た WPA (Wi-Fi Protected Access) ( ア ク セス ポ イ ン ト モー ド のみ ) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 109 チャネル割り当て システム - 無線 チャネル割り当て 次の表は、 無線 LAN のチ ャ ネル割 り 当て を示 し ています。 表 5: IEEE 802.11a (5 GHz 帯 ) のチャネル番号 規制地域 チャネル 番号 周波数 (MHz) アメリカ ヨーロッパ 台湾 シンガ ポール 日本 34 5170 - X - - X 36 5180 X X - X - 38 5190 - X - - X 40 5200 X X - X - 42 5210 - X - - X 44 5220 X X - X - 46 5230 - X - - X 48 5240 X X - X - 52 5260 X X X - - 56 5280 X X X - - 60 5300 X X X - - 64 5320 X X X - - 149 5745 - - - - - 153 5765 - - - - - 157 5785 - - - - - 161 5805 - - - - - ア メ リ カ を除き、 すべてのチ ャ ネルが屋内使用に制限 さ れています。 ア メ リ カの場合、 米国ではチ ャ ネル 52 ~ 64 について屋内および屋外使用が許可 さ れています。 110 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 無線 チャネル割り当て 表 6: IEEE 802.11b (2.4 GHz 帯 ) のチャネル番号 規制地域 チャネル 番号 周波数 (MHz) アメリカ EMEA イスラエル 日本 1 2412 X X - X 2 2417 X X - X 3 2422 X X - X 4 2427 X X X X 5 2432 X X X X 6 2437 X X X X 7 2442 X X X X 8 2447 X X X X 9 2452 X X X X 10 2457 X X X X 11 2462 X X - X 12 2467 - X - X 13 2472 - X - X 14 2484 - - - X メ キシ コ は、 ア メ リ カ規制 ド メ イ ンに含まれています。 チ ャ ネル 1 ~ 8 は、 屋内使用の み可能です。 チ ャ ネル 9 ~ 11 は、 屋内お よび屋外で使用で き ます。 チ ャ ネル番号が メ キシ コ の規制標準に準拠 し ている こ と を確認する必要があ り ます。 表 7: IEEE 802.11g (2.4 GHz 帯 ) のチャネル番号 規制地域 アメリカ EMEA イスラエル 日本 チャネ ル番号 周波数 (MHz) CCK ODFM CCK ODFM CCK ODFM CCK ODFM 1 2412 X X X X - - X X 2 2417 X X X X - - X X 3 2422 X X X X - - X X 4 2427 X X X X - - X X 5 2432 X X X X X X X X 6 2437 X X X X X X X X 7 2442 X X X X X X X X 8 2447 X X X X X X X X 9 2452 X X X X - - X X 10 2457 X X X X - - X X 11 2462 X X X X - - X X 12 2467 - - X X - - X X 13 2472 - - X X - - X X 14 2484 - - - - - - X - FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 111 システム無線の設定 (FortiWiFi-60) システム - 無線 システム無線の設定 (FortiWiFi-60) 無線 LAN 設定を設定する には、 [System]、[Wireless]、[Settings] の順に選択 し ます。 図 53: 無線パラメータの設定 [MAC Address] 無線イ ン タ フ ェ ースの MAC ア ド レ ス。 [Operation Mode] 現在の動作モー ド 。 変更する場合は、 [Change] を選択 し ます。 ア ク セス ポ イ ン ト モー ド は、 FortiWiFi-60 ユニ ッ ト を、 複数の ク ラ イ ア ン ト が接続で き る無線ア ク セス ポ イ ン ト と し て機能 さ せます。 ク ラ イ ア ン ト モー ド は、別の無線ネ ッ ト ワー ク に ク ラ イ ア ン ト と し て接 続する よ う にユニ ッ ト を設定 し ます。 [Geography] 国または地域を選択 し ます。 これによ り 、 使用可能なチ ャ ネルが決定 さ れます。 [Americas]、 [EMEA]、 [Israel]、 または [Japan] を選択で き ます。 その他の地域にいる場合は、 [World] を選択 し ます。 [Channel] FortiWiFi-60 無線ネ ッ ト ワー ク のチ ャ ネルを選択 し ます。無線ネ ッ ト ワー ク のユーザは、 自分の コ ン ピ ュ ー タ を このチ ャ ネルを使用する よ う に設 定す る必要があ り ます。 選択で き る チ ャ ネルは、 [Geography] の設定に よ っ て異な り ます。 チ ャ ネルの情報については、 110 ページの 「チ ャ ネ ル割 り 当て」 を参照 し て く だ さ い。 [SSID] FortiWiFi-60 ユニ ッ ト がブ ロー ド キ ャ ス ト す る無線ネ ッ ト ワー ク 名を入 力 し ます。 無線ネ ッ ト ワー ク を使用するユーザは、 自分の コ ン ピ ュ ー タ を、 このネ ッ ト ワー ク 名を ブ ロー ド キ ャ ス ト する ネ ッ ト ワー ク に接続す る よ う に設定する必要があ り ます。 [SSID Broadcast] FortiWiFi-60 ユニ ッ ト に SSID を ブ ロー ド キ ャ ス ト さ せる場合は、[Enable] を選択 し ます。 ( ア ク セス ポ イ ン ト モー ド のみ ) [Security mode] WEP を使用す る には、 [WEP64] ま たは [WEP128] を選択 し ます。 WPA ( ア ク セス ポ イ ン ト モー ド でのみ使用可能 ) を使用するには、 [WPA Preshared Key] または [WPA_Radius] を選択 し ます。 FortiWiFi-60 無線ネ ッ ト ワー ク のユーザは、 各自の コ ン ピ ュ ー タ を、 同 じ 設定を使用 し て設定す る必要があ り ます。 [Key] 64 ビ ッ ト WEP キーの場合は、 10 桁の 16 進数 (0-9、 a-f) を入力 し ます。 128 ビ ッ ト WEP キーの場合は、26 桁の 16 進数 (0-9、 a-f) を入力 し ます。 無線ネ ッ ト ワー ク のユーザは、 各自の コ ン ピ ュ ー タ に同 じ キーを設定す る必要があ り ます。 [Pre-shared Key] [WPA Pre-shared Key] セキ ュ リ テ ィ モー ド の場合は、仮共有鍵を入力 し ます。 無線ネ ッ ト ワー ク のユーザは、 各自の コ ン ピ ュ ー タ に同 じ キーを 設定する必要があ り ます。 112 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 無線 システム無線の設定 (FortiWiFi-60A および 60AM) [Radius Server Name] [WPA Radius] セキ ュ リ テ ィ モー ド の場合は、 リ ス ト か ら Radius サーバ 名を選択 し ます。 この Radius サーバは、 [User]、 [Radius] で設定 さ れて いる必要があ り ます。 詳細については、 340 ページの 「RADIUS サーバ」 を参照 し て く だ さ い。 [Advanced] [Wireless Parameters] の [Advanced] 設定のセ ク シ ョ ン を開 く か、 または 閉 じ ます。 パ フ ォ ーマ ン スの問題に対応する ために、 必要に応 じ て設定を変更 し ます。 デ フ ォル ト 値は、 ほ と んどの状況に対 し て 適切に機能 し ます。 以下、 [Advanced] 設定について説明 し ます。 ( ア ク セス ポ イ ン ト モー ド のみ ) [Tx Power] 送信機の出力レベルを設定 し ます。 デ フ ォル ト 値は、最大出力の 31 dBm です。 [Beacon Interval] ビー コ ン パケ ッ ト 間の間隔を設定 し ます。 ア ク セス ポ イ ン ト は、 無線 ネ ッ ト ワー ク の同期を と る ために、ビー コ ン または TIM (Traffic Indication Messages) を ブ ロ ー ド キ ャ ス ト し ま す。 受信 状態 の悪 い 環 境 で は、 [Beacon Interval] を小 さ く する と ネ ッ ト ワー ク パフ ォ ーマ ン スが向上す る可能性があ り ます。 無線 ノ ー ド がほ と んど存在 し ない場所では、 この 値を増やす こ と がで き ます。 [RTS Threshold] RTS (Request to Send) し き い値は、 ユニ ッ ト が別の無線デバイ スか らの CTS (Clear to Send) 受信確認を待つ時間を設定 し ます。 [Fragmentation Threshold] 2 つ以上のパケ ッ ト に分割 さ れないデー タ パケ ッ ト の最大サイ ズを設定 し ます。 この し き い値を下げる と 、 受信状態の悪い環境のパ フ ォ ーマ ン スが向上する可能性があ り ます。 システム無線の設定 (FortiWiFi-60A および 60AM) 無線 LAN 設定を設定する には、 [System]、[Wireless]、[Settings] の順に選択 し ます。 図 54: 無線パラメータ - FortiWiFi-60A および FortiWiFi-60AM [Operation Mode] 現在の動作モー ド 。 ア ク セス ポ イ ン ト モー ド は、 FortiWiFi ユニ ッ ト を、 複数のク ラ イ ア ン ト が接続で き る無線ア ク セス ポ イ ン ト と し て機能 さ せます。 ク ラ イ ア ン ト モー ド は、別の無線ネ ッ ト ワー ク に ク ラ イ ア ン ト と し て接 続する よ う にユニ ッ ト を設定 し ます。 [Band] 使 用 す る 無 線 周 波 数 帯 を 選 択 し ま す。 [802.11a]、 [802.11b]、 お よ び [802.11g] から 選択で き ます。 [Geography] 国または地域を選択 し ます。 これによ り 、 使用可能なチ ャ ネルが決定 さ れます。 [Americas]、 [EMEA]、 [Israel]、 または [Japan] を選択で き ます。 その他の地域にいる場合は、 [World] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 113 無線 MAC フィルタ システム - 無線 [Channel] FortiWiFi-60 無線ネ ッ ト ワー ク のチ ャ ネルを選択 し ます。無線ネ ッ ト ワー ク のユーザは、 自分の コ ン ピ ュ ー タ を このチ ャ ネルを使用する よ う に設 定す る必要があ り ます。 選択で き る チ ャ ネルは、 [Geography] の設定に よ っ て異な り ます。 チ ャ ネルの情報については、 110 ページの 「チ ャ ネ ル割 り 当て」 を参照 し て く だ さ い。 [Tx Power] 送信機の出力レ ベルを設定 し ます。 デ フ ォル ト 値は、 最大出力の 31 dBm です。 [Beacon Interval] ビー コ ン パケ ッ ト 間の間隔を設定 し ます。 ア ク セス ポ イ ン ト は、 無線 ネ ッ ト ワー ク の同期を と る ために、ビー コ ン または TIM (Traffic Indication Messages) を ブ ロ ー ド キ ャ ス ト し ま す。 受信 状態 の悪 い 環 境 で は、 [Beacon Interval] を小 さ く する と ネ ッ ト ワー ク パフ ォ ーマ ン スが向上す る可能性があ り ます。 無線 ノ ー ド がほ と んど存在 し ない場所では、 この 値を増やす こ と がで き ます。 無線インタフェースのリスト [Interface] WLAN イ ン タ フ ェ ースの名前。 イ ン タ フ ェ ース を編集する名前を選択 し ます。 [MAC Address] 無線イ ン タ フ ェ ースの MAC ア ド レ ス。 [SSID] こ のユニ ッ ト がブ ロー ド キ ャ ス ト する無線ネ ッ ト ワー ク 名。 無線ネ ッ ト ワー ク を使用するユーザは、 自分の コ ン ピ ュ ー タ を、 このネ ッ ト ワー ク 名 を ブ ロ ー ド キ ャ ス ト す る ネ ッ ト ワー ク に接続す る よ う に設定す る必 要があ り ます。 [SSID Broadcast] 緑色のチ ェ ッ ク マー ク ア イ コ ンは、こ のユニ ッ ト が固有のSSID を ブ ロー ド キ ャ ス ト する こ と を示 し ています。 ( ア ク セス ポ イ ン ト モー ド のみ ) [Security Mode] [WEP64]、[WEP128]、[WPA Pre-shared Key]、[WPA_Radius]、または [None]。 [WPA] は、 ア ク セ ス ポ イ ン ト モー ド でのみ使用で き ます。 無線ネ ッ ト ワー ク のユーザは、 自分の コ ン ピ ュ ー タ に同 じ 設定を設定する必要があ り ます。 無線 MAC フィルタ ユーザの無線ア ク セス を そのユーザの MAC ア ド レ スに基づいて許可または拒否 す るには、 [System]、[Wireless]、[MAC Filter] の順に選択 し ます。 図 55: 114 無線 MAC フィルタ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 無線 無線モニタ [MAC Filter Enable] MAC フ ィ ル タ を有効に し ます。 [Access for PCs not リ ス ト にない MAC ア ド レ スへのア ク セス を許可するか、 または拒否 するかを選択 し ます。 listed below] [MAC Address] フ ィ ル タ 処理する MAC ア ド レ ス を入力 し ます。 [Allow] または [Deny] この MAC ア ド レ ス を許可するか、 または拒否するかを選択 し ます。 [Add] MAC ア ド レ ス を、 選択に従っ て [Allow List] または [Deny List] に追 加 し ます。 [Allow List] 無線ネ ッ ト ワー クへのア ク セス を許可 さ れた MAC ア ド レ スの リ ス ト 。 [Deny List] 無線ネ ッ ト ワー クへのア ク セス を拒否 さ れた MAC ア ド レ スの リ ス ト 。 矢印ボタン リ ス ト 間で MAC ア ド レ ス を移動 し ます。 [Remove] ([Allow List] の下 ) 選択 さ れた MAC ア ド レ ス を [Allow List] か ら削除 し ます。 [Remove] ([Deny List] の下 ) 選択 さ れた MAC ア ド レ ス を [Deny List] から 削除 し ます。 無線モニタ 無線 LAN に接続 し てい るユーザを確認する には、 [System]、[Wireless]、 [Monitor] の順に選択 し ます。 こ の機能は、 無線イ ン タ フ ェ ース を [WPA] セキ ュ リ テ ィ モー ド で動作 さ せている場合にのみ使用で き ます。 図 56: 無線モニタ (FortiWiFi-60) 図 57: 無線モニタ (FortiWiFi-60A および 60AM) [Statistics] [AP Name] 各 WLAN の無 線の パ フ ォ ー マ ン ス に 関 す る 統 計情 報。 FortiWiFi-60A および FortiWiFi-60AM でのみ使用で き ます。 WLAN イ ン タ フ ェ ースの SSID。 [Signal Strength (dBm)] ク ラ イ ア ン ト から の信号の強度。 [Noise (dBm)] 受信 さ れた ノ イ ズ レ ベル。 [S/N (dB)] 信号強度 と ノ イ ズ レベルか ら計算 さ れた信号対雑音比 ( デ シベル値 )。 [Rx (KBytes)] こ のセ ッ シ ョ ン で受信 さ れたデー タ 量 (KB 単位 )。 [Tx (KBytes)] こ のセ ッ シ ョ ン で送信 さ れたデー タ 量 (KB 単位 )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 115 無線モニタ システム - 無線 [Clients] 116 WLAN に接続 さ れた ク ラ イ ア ン ト の数 と 、 各ク ラ イ ア ン ト に関する情報。 [MAC Address] 接続 さ れた無線ク ラ イ ア ン ト の MAC ア ド レ ス。 [IP Address] 接続 さ れた無線ク ラ イ ア ン ト に割 り 当て られた IP ア ド レ ス。 [AP Name] ク ラ イ ア ン ト が接続 さ れている WLAN の名前。 FortiWiFi-60A および FortiWiFi-60AM でのみ使用で き ます。 [ID] [WPA RADIUS] セキ ュ リ テ ィ モー ド を使用 し て接続 さ れた ユーザのユーザ ID。 ク ラ イ ア ン ト が [WPA Pre-shared Key] または [WEP] セキ ュ リ テ ィ モー ド を使用 し ている場合、こ のフ ィ ール ド は空白です。 FortiWiFi-60 でのみ使用で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - DHCP FortiGate DH CP サーバおよびリレー システム - DHCP こ の項では、 DHCP を用いて ク ラ イ ア ン ト のネ ッ ト ワー ク構成を自動で行 う 方法 について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • FortiGate DH CP サーバお よび リ レ ー • DHCP サービ スの設定 • ア ド レ ス リ ースの表示 FortiGate DH CP サーバおよびリレー DHCP は、 指定 さ れた IP ア ド レ ス を ホス ト が自動的に取得で き る よ う にする プ ロ ト コ ルです。 必要に応 じ て、 デ フ ォ ル ト のゲー ト ウ ェ イ お よび DNS サーバ設 定を取得する こ と も可能です。 FortiGate イ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ース では、 次の DHCP サービ ス を提供で き ます。 • 標準的な イ ーサネ ッ ト 接続のための標準 DHCP サーバ • IPSec (VPN) 接続のための IPSec DHCP サーバ • 標準的な イ ーサネ ッ ト または IPSec (VPN) 接続のための DHCP リ レ ー 同 じ タ イ プの接続 ( 標準または IPSec) に イ ン タ フ ェ ース でサーバ と リ レーの両 方を提供する こ と はで き ません。 注記 : イ ン タ フ ェ ース上の標準 DHCP サーバは、 そのイ ン タ フ ェ ースの IP ア ド レ スがス タ テ ィ ッ ク な場合に限 り 、 設定で き ます。 ス タ テ ィ ッ ク またはダ イ ナ ミ ッ ク IP ア ド レ スの いずれかが設定 さ れた イ ン タ フ ェ ース上の IPSec DHCP サーバを設定する こ と は可能です。 任意の FortiGate イ ン タ フ ェ ースに 1 つ以上の DHCP サーバを設定で き ます。 DHCP サーバは、 イ ン タ フ ェ ースに接続 さ れたネ ッ ト ワー ク上のホス ト に動的に IP ア ド レ ス を割 り 当て ます。 DHCP を使用 し て IP ア ド レ ス を取得する には、 ホ ス ト コ ン ピ ュ ー タ を設定する必要があ り ます。 イ ン タ フ ェ ースがルー タ を介 し て複数のネ ッ ト ワー ク に接続 さ れてい る場合、 そ れぞれのネ ッ ト ワー ク に DHCP を追加で き ます。 各 DHCP の IP の範囲は、 ネ ッ ト ワー ク ア ド レ スの範囲 と 一致する必要があ り ます。 ルー タ は、 DHCP リ レ ー 用に設定 し なければな り ません。 DHCP サーバを設定する には、 120 ページの 「DHCP サーバの設定」 を参照 し て く だ さ い。 FortiGate イ ン タ フ ェ ースは、 DHCP リ レー と し て設定で き ます。 イ ン タ フ ェ ー スによ り 、 DHCP の リ ク エ ス ト は DHCP ク ラ イ ア ン ト か ら外部の DHCP サーバに 転送 さ れ、 DHCP ク ラ イ ア ン ト には応答が返 さ れます。 DHCP ク ラ イ ア ン ト への 応答パケ ッ ト が FortiGate ユニ ッ ト に到達する よ う 、 DHCP サーバは適切なルー テ ィ ン グ を行 う 必要があ り ます。 DHCP リ レ ーの設定については、 119 ページの 「DHCP リ レー エージ ェ ン ト と し てのイ ン タ フ ェ ースの設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 117 DHCP サービスの設定 システム - DHCP DHCP サービ スは、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) で設定する こ と も で き ます。 詳細は、 FortiGate CLI リ フ ァ レ ン ス を参照 し て く だ さ い。 DHCP サービスの設定 DHCP サービ ス を設定する には、 [System]、[DHCP]、[Service] の順に選択 し ま す。 各 FortiGate イ ン タ フ ェ ースでは、 必要に応 じ て DHCP リ レ ーを設定 し た り 、 DHCP サーバを追加 し た り する こ と がで き ます。 FortiGate モデル 50 お よび 60 では、 DHCP サーバはデ フ ォル ト で次のよ う に内部 イ ン タ フ ェ ースで設定 さ れています。 IP 範囲 192.168.1.110 ~ 192.168.1.210 ネットマスク 255.255.255.0 デフォルト ゲート ウェイ 192.168.1.99 リース期間 7日 DNS サーバ 1 192.168.1.99 こ のデ フ ォル ト の DHCP サーバ設定は、 無効に し た り 変更 し た り する こ と がで き ます。 こ れら の設定は、 内部イ ン タ フ ェ ースのデ フ ォ ル ト IP ア ド レ ス 192.168.1.99 に適 し ています。 こ のア ド レ ス を異な る ネ ッ ト ワー ク に変更する場合、 DHCP サーバ 設定を変更 し て一致 さ せる必要があ り ます。 図 58: DHCP サーバ リスト - FortiGate-200A の場合 編集 削除 DHCP サーバの追加 118 [Interface] FortiGate イ ン タ フ ェ ースの リ ス ト です。 一覧表示 さ れた イ ン タ フ ェ ース を展開する と 、 リ レー と サーバが表示 さ れます。 [Server Name/ Relay IP] リ レーがア ク セスする FortiGateDHCP サーバの名前または DHCP サーバの IP ア ド レ スです。 [Type] DHCP リ レーまたはサーバの タ イ プ です。 Regular ( 標準 ) また は IPSec と な り ます。 [Enable] 緑のチ ェ ッ ク マー クのア イ コ ンは、 サーバまたは リ レ ーが有効 である こ と を示 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - DHCP DHCP サービスの設定 [DHCP サーバの こ のイ ン タ フ ェ ースの DHCP サーバを設定お よび追加 し ます。 追加 ] アイコン 編集 DHCP リ レ ーまたはサーバの設定を編集 し ます。 削除 DHCP サーバを削除 し ます。 DHCP リレー エージェントとしてのインタフェースの設定 イ ン タ フ ェ ースの DHCP リ レ ー設定を表示 し た り 修正 し た り する には、 [System]、[DHCP]、[Service] の順に選択 し 、 編集ア イ コ ン を選択 し ます。 図 59: インタフェースの DHCP リレー設定の編集 [Interface Name] イ ン タ フ ェ ースの名前です。 [Enable] こ のイ ン タ フ ェ ースで DHCP リ レ ー エージ ェ ン ト を有効に し ます。 [Type] 必要な DHCP サービ スの タ イ プ を選択 し ます。 [Regular] こ のイ ン タ フ ェ ースに接続する ネ ッ ト ワー ク上の コ ン ピ ュ ー タ の DHCP リ レー エージ ェ ン ト と な る よ う に、 イ ン タ フ ェ ー ス を設定 し ます。 [IPSEC] こ のイ ン タ フ ェ ースに IPSec VPN 接続を行っ てい る リ モー ト VPN ク ラ イ ア ン ト に対 し てのみ DHCP リ レ ー エージ ェ ン ト と な る よ う に、 イ ン タ フ ェ ース を設定 し ます。 [DHCP Server IP] イ ン タ フ ェ ースに接続する ネ ッ ト ワー ク上の コ ン ピ ュ ー タ か らの DHCP リ ク エ ス ト に応答する DHCP サーバの IP ア ド レ ス を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 119 DHCP サービスの設定 システム - DHCP DHCP サーバの設定 イ ン タ フ ェ ースの DHCP サーバを設定する には、 [System]、 [DHCP]、[Service] の順に選択 し ます。 イ ン タ フ ェ ースの横にあ る [DHCP サーバの追加 ] ボ タ ン、 または既存の DHCP サーバの横にある [ 編集 ] ボ タ ン を ク リ ッ ク し て、 設定を変 更 し ます。 図 60: DHCP サーバ オプション [Name] DHCP サーバの名前を入力 し ます。 [Enable] DHCP サーバを有効に し ます。 [Type] Regular ( 標準 ) または IPSEC DHCP サーバを選択 し ます。 ダ イ ナ ミ ッ ク IP ア ド レ ス を持つ イ ン タ フ ェ ース上の標準 DHCP サーバは設定で き ません。 [IP Range] こ の DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る IP ア ド レ スの範囲の始め と 終わ り を入力 し ます。 [Network Mask] DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る ネ ッ ト マ ス ク を入力 し ます。 [Default Gateway] DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る デ フ ォル ト ゲー ト ウ ェ イの IP ア ド レ ス を入力 し ます。 120 [Domain] DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る ド メ イ ン を 入力 し ます。 [Lease Time] [Unlimited] を選択 し て リ ース期間を無期限 と するか、 または 日、 時間、 お よび分で期間を入力 し ます。 その期間を過ぎ る と 、 DHCP ク ラ イ ア ン ト は DHCP サーバに新 し い設定を照会 し なければな り ません。 リ ース期間は、 5 分か ら 100 日ま で の範囲を設定で き ます。 [Advanced] 詳細オプ シ ョ ン を設定するのに選択 し ます。 このテーブルの 残 り のオ プ シ ョ ンは、 詳細オ プ シ ョ ン です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - DHCP アドレス リースの表示 [DNS Server 1] [DNS Server 2] [DNS Server 3] DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る最大 3 台の DNS サーバの IP ア ド レ ス を入力 し ます。 [WINS Server 1] [WINS Server 2] DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る 1 つまたは 2 つの WINS サーバの IP ア ド レ ス を追加 し ます。 [Option 1] [Option 2] [Option 3] DHCP サーバが送信可能な カ ス タ ム DHCP オ プ シ ョ ン を 3 つ ま で入力 し ます。 コ ー ド は、 1 ~ 255 の範囲の DHCP オ プ シ ョ ン コ ー ド です。 オプ シ ョ ンは偶数の 16 進文字で、 オ プ シ ョ ン コ ー ド に よ っ ては不要です。 DHCP のオ プ シ ョ ン に ついては、 RFC 2132、 DHCP オプ シ ョ ン およ び BOOTP ベ ン ダ拡張を参照 し て く だ さ い。 [Exclude Ranges] [Add] IP 除外範囲を追加 し ます。 DHCP サーバが DHCP ク ラ イ ア ン ト に割 り 当て る こ と ので き ない最大 16 の IP ア ド レ スの範囲を追加で き ます。 どの範囲 も 65536 の IP ア ド レ ス を超え る こ と はで き ません。 [Starting IP] 除外範囲の最初の IP ア ド レ ス を入力 し ます。 [End IP] 除外範囲の最後の IP ア ド レ ス を入力 し ます。 削除アイコン 除外範囲を削除 し ます。 アドレス リースの表示 DHCP サーバが割 り 当てた IP ア ド レ スお よび対応する ク ラ イ ア ン ト MAC ア ド レ ス を表示する には、 [System]、[DHCP]、 [Address Leases] の順に選択 し ます。 図 61: アドレス リース リスト [Interface] リ ース を表示する イ ン タ フ ェ ース を選択 し ます。 [Refresh] ア ド レ ス リ ースの リ ス ト を更新 し ます。 [IP] 割 り 当て られた IP ア ド レ スです。 [MAC] IP ア ド レ スが割 り 当て られたデバイ スの MAC ア ド レ スです。 [Expire] DHCP リ ースの期限が切れる日時です。 特定クライアントに対する IP アドレスの予約 ク ラ イ ア ン ト デバイ スの MAC ア ド レ ス と 標準イ ーサネ ッ ト または IPSec の接続 タ イ プ で識別 さ れる特定のク ラ イ ア ン ト に対 し て IP ア ド レ ス を予約する こ と が で き ます。 DHCP サーバは、 その ク ラ イ ア ン ト に常に予約済みのア ド レ ス を割 り 当て ます。 最大 50 の予約ア ド レ ス を定義で き ます。 CLI の system dhcp reserved-address コ マ ン ド を使用 し ます。 詳細につい ては、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 121 アドレス リースの表示 122 システム - DHCP FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 システム - 設定 こ の項では、 HA、 SNMP、 カ ス タ ム差 し 替え メ ッ セージ、 VDOM 動作な ど、 ネ ッ ト ワー ク に関係 し ないい く つかの機能を設定する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • HA SNMP 差 し 替え メ ッ セージ 動作モー ド お よび VDOM 管理ア ク セス HA、 SNMP、 およ び差 し 替え メ ッ セージは、 FortiGate ユニ ッ ト のグ ローバル設 定の一部です。 動作モー ド の変更は、 各 VDOM に適用 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 123 HA システム - 設定 HA FortiGate 高可用性 (HA) は、 信頼性の向上 と パフ ォ ーマ ン スの増強 と い う 2 つ の重要なエ ン タ ープ ラ イ ズ ネ ッ ト ワーキン グ要件を満たす ソ リ ュ ーシ ョ ン を提 供 し ます。 こ の項では、 HA Web ベース マネージ ャ設定オプ シ ョ ン、 HA ク ラ ス タ メ ンバ リ ス ト 、 HA 統計、 お よび ク ラ ス タ メ ンバの切断について概説 し ます。 FortiGate HA ク ラ ス タ の設定お よび操作方法の詳細については、 『FortiGate HA 概 要』、 『FortiGate HA ガ イ ド 』、 およ び Fortinet Knowledge Center を参照 し て く だ さ い。 注記 : FortiOS v3.0 MR2 以前のバージ ョ ン では、 この HA の項に HA の詳細が含まれてい ま し た。 FortiOS v3.0 MR3 以降、 HA の詳細については 『FortiGate HA 概要』 または 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 FortiGate モデル 50A、 50AM、 お よび 224B では、 HA は使用で き ません。 HA は、 FortiGate-50B をは じ め と する他のすべての FortiGate で使用で き ます。 こ の項には以下の ト ピ ッ ク が含まれています。 • • • • • HA オ プ シ ョ ン ク ラ ス タ メ ンバ リ ス ト HA 統計の表示 副系ユニ ッ ト のホス ト 名およ びデバイ ス プ ラ イ オ リ テ ィ の変更 ク ラ ス タ ユニ ッ ト のク ラ ス タ か らの切断 HA オプション FortiGate ユニ ッ ト を ク ラ ス タ に加えた り 、 動作中のク ラ ス タ または ク ラ ス タ メ ンバの設定を変更 し た り する には、 HA オプ シ ョ ン で設定 し ます。 FortiGate ユニ ッ ト を HA ク ラ ス タ に加え る よ う HA オ プ シ ョ ン を設定する には、 [System]、[Config ]、[HA] の順に選択 し ます。 HA が有効に設定 さ れてい る場合、 ク ラ ス タ メ ンバ リ ス ト を表示する には、 [System]、[Config]、[HA] の順に選択 し ます。 マス タ の FortiGate ユニ ッ ト ( 別 称プ ラ イ マ リ ユニ ッ ト ) に対 し て編集を選択 し ます。 プ ラ イ マ リ ユニ ッ ト の HA 設定を編集する と 、 すべての変更が他の ク ラ ス タ ユニ ッ ト に も同期 さ れます。 124 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 HA 図 62: FortiGate-1000AFA2 ユニットの HA 設定 注記 : FortiGate ク ラ ス タ でバーチ ャ ル ド メ イ ン を使用 し ている場合、 HA 仮想ク ラ ス タ が 設定 さ れます。 ほ と んどの仮想 ク ラ ス タ の HA オプ シ ョ ンは、 標準の HA オプ シ ョ ン と 同 一です。 ただ し 、 仮想 ク ラ ス タ には VDOM パーテ ィ シ ョ ニ ング オプ シ ョ ンが含まれます。 標準 HA 設定オプ シ ョ ン と 仮想 ク ラ ス タ HA 設定オプ シ ョ ンのその他の違いについては、 以下の説明、 および 『FortiGate HA 概要』 と 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 バーチ ャル ド メ イ ン を有効に し て FortiGate ユニ ッ ト の HA オプ シ ョ ン を設定す る には、 グローバル管理者 と し て ロ グ イ ン し 、 [System]、[Config]、[HA] の順 に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 125 HA システム - 設定 図 63: [Mode] FortiGate-5001SX HA 仮想クラスタの設定 ク ラ ス タ に HA モー ド を選択するか、 またはク ラ ス タ 内の FortiGate ユ ニ ッ ト を ス タ ン ド ア ロ ン モー ド に戻 し ます。 ク ラ ス タ を設定する場合、 HA ク ラ ス タ のすべての メ ンバを同一の HA モー ド に設定する必要があ り ます。 [Standalone] (HA を無効化)、 [Active-Passive]、 または [ActiveActive] を選択で き ます。 バーチ ャル ド メ イ ンが有効にな っ ている場 合、 [Active-Passive] または [Standalone] を選択で き ます。 [Device Priority] オプ シ ョ ン で、 ク ラ ス タ ユニ ッ ト のデバイ ス プ ラ イ オ リ テ ィ を設定 し ます。 ク ラ ス タ ユニ ッ ト には、 それぞれ別々のデバイ ス プ ラ イ オ リ テ ィ を設定で き ます。 HA ネゴ シ エーシ ョ ン中、 デバイ ス プ ラ イ オ リ テ ィ の最も 高いユニ ッ ト が通常プ ラ イ マ リ ユニ ッ ト と な り ます。 仮想ク ラ ス タ 設定では、 2 つのデバイ ス プ ラ イ オ リ テ ィ を設定する こ と がで き、 各仮想 ク ラ ス タ に 1 つ、 それぞれ設定で き ます。 HA ネゴ シ エーシ ョ ン中、 仮想 ク ラ ス タ 内でデバイ ス プ ラ イ オ リ テ ィ の最も 高い ユニ ッ ト が、 その仮想 ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト と な り ます。 デバイ ス プ ラ イ オ リ テ ィ の変更は同期 さ れません。 最初に ク ラ ス タ を 設定する と き に、 デ フ ォル ト のデバイ ス プ ラ イ オ リ テ ィ を使用で き ま す。 ク ラ ス タ が動作 し ている場合、 必要に応 じ て他の ク ラ ス タ ユニ ッ ト のデバイ ス プ ラ イ オ リ テ ィ を変更で き ます。 126 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 HA [Group Name] ク ラ ス タ を識別するための名前を追加 し ます。 グループ名は最大 7 文 字です。 ク ラ ス タ を形成するには、 まず全 ク ラ ス タ ユニ ッ ト に対 し て グループ名を同一にする必要があ り ます。 グループ名は、 ク ラ ス タ が 作動 し た後に変更で き ます。 グループ名の変更は、 すべての ク ラ ス タ ユニ ッ ト に対 し て同期 さ れます。 デ フ ォル ト のグループ名は FGT-HA です。 最初に ク ラ ス タ を設定する と き に、 デ フ ォル ト のグループ名を使用で き ます。 ク ラ ス タ が作動 し た ら、 必要に応 じ てグループ名を変更で き ます。 同一ネ ッ ト ワー ク上 の 2 つの ク ラ ス タ に同一のグループ名を設定する こ と はで き ません。 [Password] ク ラ ス タ を識別するためのパスワー ド を追加 し ます。 パスワー ド は最 大 15 文字です。 ク ラ ス タ を形成するには、 まず全ク ラ ス タ ユニ ッ ト に 対 し てパスワー ド を同一にする必要があ り ます。 デ フ ォル ト ではパスワー ド は設定 さ れていません。 最初に ク ラ ス タ を設 定する と き に、 デ フ ォル ト を使用で き ます。 ク ラ ス タ が作動 し た ら 、 必 要に応 じ てパスワー ド を追加で き ます。 同一ネ ッ ト ワー ク 上の 2 つのク ラ ス タ には、 それぞれ別々のパスワー ド を設定する必要があ り ます。 [Enable Session pickup] プ ラ イ マ リ ユニ ッ ト に不具合が生 じ た場合に、 新たにプ ラ イ マ リ ユ ニ ッ ト と な っ た ク ラ ス タ ユニ ッ ト にすべてのセ ッ シ ョ ンが引き継がれ る よ う にするには、 セ ッ シ ョ ン ピ ッ ク ア ッ プ を有効に し ます。 セ ッ シ ョ ン ピ ッ ク ア ッ プはデ フ ォル ト で無効に設定 さ れています。 一 旦セ ッ シ ョ ン ピ ッ ク ア ッ プのデ フ ォル ト 設定を使用 し 、 ク ラ ス タ が作 動 し た後にセ ッ シ ョ ン ピ ッ ク ア ッ プ を有効にする こ と も可能です。 [Port Monitor] 監視 さ れる イ ン タ フ ェ ースが適切に機能 し 、 ネ ッ ト ワー ク に接続 さ れ てい る こ と を監視するには、 FortiGate イ ン タ フ ェ ースの監視を有効ま たは無効に し ます。 監視対象のイ ン タ フ ェ ースに不具合が生 じ るか、 またはネ ッ ト ワー ク か ら切断 さ れた場合、 イ ン タ フ ェ ースは ク ラ ス タ か ら切 り 離れ、 リ ン ク フ ェ ールオーバーが発生 し ます。 リ ン ク フ ェ ールオーバーが発生す る と 、 ク ラ ス タ は、 そのイ ン タ フ ェ ースで処理 さ れている ト ラ フ ィ ッ ク を、 まだネ ッ ト ワー ク に接続 し ている別の ク ラ ス タ ユニ ッ ト の同 じ イ ン タ フ ェ ースへ と ルー ト 変更 し ます。 この別の ク ラ ス タ ユニ ッ ト が、 新 し いプ ラ イ マ リ ユニ ッ ト と な り ます。 ポー ト 監視はデ フ ォル ト で無効に設定 さ れています。 ク ラ ス タ が作動 する までポー ト 監視を無効に し ておき、 接続 さ れている イ ン タ フ ェ ー スに対 し てのみポー ト 監視を有効に し ます。 [Heartbeat Interface] 各イ ン タ フ ェ ースの HA ハー ト ビー ト 通信を有効または無効に し た り 、 ハー ド ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ を設定 し た り し ます。 最 も プ ラ イ オ リ テ ィ の高いハー ド ビー ト イ ン タ フ ェ ースが、 すべての ハー ト ビー ト ト ラ フ ィ ッ ク を処理 し ます。 複数のハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ が同一である場合、 イ ン タ フ ェ ース リ ス ト 最上位のハー ト ビー ト イ ン タ フ ェ ースがすべてのハー ト ビー ト ト ラ フ ィ ッ ク を処理 し ます。 デ フ ォル ト のハー ト ビー ト イ ン タ フ ェ ース設定は FortiGate ご と に異な り ますが、 2 つのハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ は通 常 50 に設定 さ れます。 デ フ ォル ト のハー ト ビー ト イ ン タ フ ェ ースの 1 つまたは両方が接続 さ れている場合、 デ フ ォル ト のハー ト ビー ト イ ン タ フ ェ ース設定を使用で き ます。 ハー ト ビー ト イ ン タ フ ェ ースのプ ラ イ オ リ テ ィ の範囲は、 0 ~ 512 で す。 新 し いハー ト ビー ト イ ン タ フ ェ ース を選択 し た場合、 デ フ ォル ト のプ ラ イ オ リ テ ィ は 0 です。 ハー ト ビー ト イ ン タ フ ェ ースは少な く と も 1 つ選択する必要があ り ま す。 ハー ト ビー ト 通信が中断 さ れる と 、 ク ラ ス タ は ト ラ フ ィ ッ クの処 理を中止 し ます。 ハー ト ビー ト イ ン タ フ ェ ースの設定については、 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 [VDOM partitioning] 仮想 ク ラ ス タ を設定する場合、 仮想 ク ラ ス タ 1 と な るバーチ ャル ド メ イ ン と 、 仮想 ク ラ ス タ 2 と な るバーチ ャル ド メ イ ン を選択で き ます。 ルー ト バーチ ャル ド メ イ ンは、 常に仮想 ク ラ ス タ 1 である必要があ り ます。 VDOM パーテ ィ シ ョ ニ ングの設定については、 『FortiGate HA ガ イ ド 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 127 HA システム - 設定 クラスタ メンバ リスト 動作中のク ラ ス タ のス テー タ ス、 お よび ク ラ ス タ 内の FortiGate ユニ ッ ト のス テー タ ス を表示する には、 ク ラ ス タ メ ンバ リ ス ト を表示 し ます。 ク ラ ス タ メ ン バ リ ス ト を表示する には、 動作中のク ラ ス タ に ロ グ イ ン し て、 [System ]、 [Config ]、[HA] の順に選択 し ます。 図 64: 上下 矢印 FortiGate-5001SX クラスタ メンバ リストの例 デバ ッ グ ログのダウン ロー ド 編集 ク ラ ス タ からの切断 バーチ ャル ド メ イ ンが有効にな っ ている場合、 ク ラ ス タ メ ンバ リ ス ト を表示 し て、 動作中の仮想ク ラ ス タ のス テー タ ス を確認で き ます。 仮想ク ラ ス タ メ ンバ リ ス ト には、 各仮想 ク ラ ス タ に追加 さ れたバーチ ャル ド メ イ ン を含む、 両方の 仮想ク ラ ス タ のス テー タ スが示 さ れます。 動作中のク ラ ス タ のバーチ ャル ク ラ ス タ メ ンバ リ ス ト を表示する には、 グ ロー バル管理者 と し て ロ グ イ ン し 、 グロ ーバル設定を選択 し て、 [System ]、[Config ]、[HA] の順に選択 し ます。 図 65: 上下 矢印 128 FortiGate-5001SX 仮想クラスタ メンバ リストの例 デバ ッ グ ログのダウン ロー ド 編集 ク ラ ス タ か らの切断 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 HA [View HA Statistics] 各ク ラ ス タ ユニ ッ ト のシ リ アル番号、 ステー タ ス、 および監視 情報を表示 し ます。 130 ページの 「HA 統計の表示」 を参照 し て く だ さ い。 上下矢印 ク ラ ス タ メ ンバの表示順を変更 し ます。 ク ラ ス タ またはク ラ ス タ 内のユニ ッ ト の動作には影響あ り ません。 ク ラ ス タ ユニ ッ ト がク ラ ス タ メ ンバ リ ス ト に表示 さ れる順番が変わる だけです。 [Cluster member] ク ラ ス タ ユニ ッ ト のフ ロ ン ト パネルの図です。 イ ン タ フ ェ ース のネ ッ ト ワー ク ジ ャ ッ ク が緑色で表示 さ れている場合、 イ ン タ フ ェ ースは接続 さ れています。 ク ラ ス タ ユニ ッ ト のホス ト 名、 シ リ アル番号、 ユニ ッ ト の動作時間 ( ア ッ プ タ イム )、 および ポー ト 監視が設定 さ れている イ ン タ フ ェ ース を表示するには、 マ ウス ポ イ ン タ を各図の上で静止 さ せます。 [Hostname] FortiGate ユニ ッ ト のホス ト 名。 FortiGate ユニ ッ ト のデ フ ォル ト のホス ト 名は、 FortiGate ユニ ッ ト のシ リ アル番号です。 • プ ラ イ マ リ ユニ ッ ト のホス ト 名を変更するには、 [System]、 [Status] の順に選択 し 、 現在のホス ト 名の隣にある [Change] を選択 し ます。 • [Role] ク ラ ス タ メ ンバ リ ス ト から 副系ユニ ッ ト のホス ト 名を変更す るには、 その副系ユニ ッ ト の編集ア イ コ ン を選択 し ます。 ク ラ ス タ 内のク ラ ス タ ユニ ッ ト のステー タ スまたはロール。 プ ラ イ マ リ ( またはマス タ ) ユニ ッ ト のロールは [MASTER] ( マ ス タ ) です。 • • 副系 ( またはバ ッ ク ア ッ プ ) ク ラ ス タ ユニ ッ ト のロールは、す べて [SLAVE] ( ス レーブ ) です。 [Priority] ク ラ ス タ ユニ ッ ト のデバイ スのプ ラ イ オ リ テ ィ 。 ク ラ ス タ ユ ニ ッ ト には、 それぞれ別々のデバイ ス プ ラ イ オ リ テ ィ を設定で き ます。 HA ネゴ シ エーシ ョ ン中、 デバイ ス プ ラ イ オ リ テ ィ の最 も 高いユニ ッ ト がプ ラ イ マ リ ユニ ッ ト と な り ます。 デバイ ス プ ラ イ オ リ テ ィ の範囲は、 0 ~ 255 です。 クラスタからの切断 選択 し た ク ラ ス タ ユニ ッ ト を ク ラ ス タ から 切断 し ます。 131 ペー ジの 「 ク ラ ス タ ユニ ッ ト のク ラ ス タ から の切断」 を参照 し て く だ さ い。 編集 ク ラ ス タ ユニ ッ ト の HA 設定を変更するには、編集を選択 し ます。 プ ラ イ マ リ ユニ ッ ト では、編集を選択 し て ク ラ ス タ HA 設定を 変更 し ます。 プ ラ イ マ リ ユニ ッ ト のデバイ ス プ ラ イ オ リ テ ィ を変更する こ と も で き ます。 • • 仮想 ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト では、 編集を選択 し て仮 想 ク ラ ス タ HA 設定を変更 し ます。 この ク ラ ス タ ユニ ッ ト の 仮想 ク ラ ス タ 1 お よび仮想 ク ラ ス タ 2 のデバイ ス プ ラ イ オ リ テ ィ を変更する こ と も で き ます。 • 副系ユニ ッ ト では、 編集を選択 し て副系ユニ ッ ト のホス ト 名 と デバイ ス プ ラ イ オ リ テ ィ を変更 し ます。 131 ページの 「副 系ユニ ッ ト のホス ト 名およびデバイ ス プ ラ イ オ リ テ ィ の変 更」 を参照 し て く だ さ い。 • 仮想 ク ラ ス タ の副系ユニ ッ ト では、 編集を選択 し て副系ユ ニ ッ ト のホス ト 名を変更 し ます。 また、 選択 し た仮想 ク ラ ス タ の副系ユニ ッ ト のデバイ ス プ ラ イ オ リ テ ィ を変更で き ま す。 131 ページの 「副系ユニ ッ ト のホス ト 名およびデバイ ス プ ラ イ オ リ テ ィ の変更」 を参照 し て く だ さ い。 デバッグ ログのダウン 暗号化 さ れたデバ ッ グ ログ を フ ァ イ ルにダウ ン ロー ド し ます。 こ のデバ ッ グ ロ グ を フ ォ ー テ ィ ネ ッ ト テ ク ニ カ ル サポ ー ト ロード (http://support.fortinet.com) に送信する こ と で、 ク ラ ス タ または個々 のク ラ ス タ ユニ ッ ト の問題の診断に役立て る こ と がで き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 129 HA システム - 設定 HA 統計の表示 ク ラ ス タ メ ンバ リ ス ト から [View HA statistics] を選択 し て、 各ク ラ ス タ ユニ ッ ト のシ リ アル番号、 ス テー タ ス、 お よび監視情報を表示で き ます。 HA 統計を表 示する には、 [System]、[Config]、[HA] の順に選択 し 、 [View HA statistics] を選 択 し ます。 図 66: HA 統計の例 ( アクティブ - パッシブ クラスタ ) [Refresh every] Web ベース マネージ ャ が HA 統計の表示を更新する頻度を制御する 場合に選択 し ます。 [Back to HA monitor] HA 統計を閉 じ て、 ク ラ ス タ メ ンバ リ ス ト に戻 り ます。 [Unit] ク ラ ス タ ユニ ッ ト のホス ト 名 と シ リ アル番号。 [Status] 各ク ラ ス タ ユニ ッ ト のステー タ ス を示 し ます。 緑色のチ ェ ッ ク マー ク は、 ク ラ ス タ ユニ ッ ト が正常に動作 し ている こ と を示 し ま す。 赤色の X は、 ク ラ ス タ ユニ ッ ト と プ ラ イ マ リ ユニ ッ ト が通信 不能である こ と を示 し ます。 [Up Time] ク ラ ス タ ユニ ッ ト が前回起動 し てから の、 日、 時、 分、 および秒に よ る時間。 [Monitor] 各ク ラ ス タ ユニ ッ ト のシ ステム ステー タ ス情報を表示 し ます。 [CPU Usage] 各ク ラ ス タ ユニ ッ ト の現在の CPU ス テー タ ス。 Web ベース マネー ジ ャ には、 コ ア プ ロ セスの CPU 使用率のみが表示 さ れます。 管理 プ ロ セス ( た と えば、 Web ベース マネージ ャへの HTTPS 接続 ) が 使 う CPU 使用率は除外 さ れます。 [Memory Usage] 各ク ラ ス タ ユニ ッ ト の現在の メ モ リ ステー タ ス。 Web ベース マ ネージ ャ には、 コ ア プ ロ セスのみの メ モ リ 使用率が表示 さ れます。 管理プ ロ セス ( た と えば、 Web ベース マネージ ャ への HTTPS 接続 ) の メ モ リ 使用率は除外 さ れます。 [Active Sessions] ク ラ ス タ ユニ ッ ト が処理 し ている通信セ ッ シ ョ ンの数。 [Total Packets] 前回の起動以降に ク ラ ス タ ユニ ッ ト が処理 し たパケ ッ ト の数。 [Virus Detected] ク ラ ス タ ユニ ッ ト が検出 し たウ イルスの数。 [Network Utilization] すべてのク ラ ス タ ユニ ッ ト イ ン タ フ ェ ースで使用 さ れている ネ ッ ト ワー ク の総帯域幅。 [Total Bytes] 前回の起動以降に ク ラ ス タ ユニ ッ ト が処理 し たバイ ト 数。 [Intrusion Detected] ク ラ ス タ ユニ ッ ト の侵入防御機能によ っ て検出 さ れた侵入または攻 撃の数。 130 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 HA 副系ユニットのホスト名およびデバイス プライオリティの変更 動作中のク ラ ス タ 内の副系ユニ ッ ト のホス ト 名 と デバイ ス プ ラ イ オ リ テ ィ を変 更する には、 [System]、[Config]、[HA] の順に選択 し て、 ク ラ ス タ メ ンバ リ ス ト を表示 し ます。 ク ラ ス タ メ ンバ リ ス ト のいずれかのス レ ーブ ( 下位 ) ユニ ッ ト の編集を選択 し ます。 バーチ ャル ド メ イ ンが有効な動作中のク ラ ス タ 内の副系ユニ ッ ト のホス ト 名 と デバイ ス プ ラ イ オ リ テ ィ を変更する には、 グ ローバル管理者 と し て ロ グ イ ン し 、 [System]、[Config]、[HA] の順に選択 し て、 ク ラ ス タ メ ンバ リ ス ト を表示 し ま す。 ク ラ ス タ メ ンバ リ ス ト のいずれかのス レ ーブ ( 下位 ) ユニ ッ ト の編集を選 択 し ます。 こ の副系ユニ ッ ト のホス ト 名 ([Peer]) およ びデバイ ス プ ラ イ オ リ テ ィ ([Priority]) を変更で き ます。 こ れら の変更は、 副系ユニ ッ ト の設定にのみ影響 し ます。 図 67: 副系ユニットのホスト名およびデバイス プライオリティの変更 [Peer] 副系ユニ ッ ト のホス ト 名を表示 し 、 オプ シ ョ ン で変更 し ます。 [Priority] 副系ユニ ッ ト のデバイ ス プ ラ イ オ リ テ ィ を表示 し 、 オプ シ ョ ン で変更 し ます。 デバイ ス プ ラ イ オ リ テ ィ は、 ク ラ ス タ メ ンバ間で同期 さ れませ ん。 動作中のク ラ ス タ において、 デバイ ス プ ラ イ オ リ テ ィ を変 更 し て、 ク ラ ス タ 内の任意のユニ ッ ト のプ ラ イ オ リ テ ィ を変更で き ます。 次回ク ラ ス タ がネゴ シ エー ト する際に、 デバイ ス プ ラ イ オ リ テ ィ の最も 高い ク ラ ス タ ユニ ッ ト がプ ラ イ マ リ ユニ ッ ト と な り ます。 デバイ ス プ ラ イ オ リ テ ィ の範囲は、 0 ~ 255 です。 デ フ ォル ト の デバイ ス プ ラ イ オ リ テ ィ は 128 です。 クラスタ ユニットのクラスタからの切断 [System]、[Config]、[HA] の順に選択 し 、 [ ク ラ ス タ から切断 ] ア イ コ ン を選択 する と 、 ク ラ ス タ の動作を中断 さ せる こ と な く 、 動作中のク ラ ス タ から ク ラ ス タ ユニ ッ ト を切断で き ます。 FortiGate ユニ ッ ト を、 た と えばス タ ン ド ア ロ ン フ ァ イ アウ ォ ールな ど別の役割 と し て使用する必要がある場合は、 ク ラ ス タ ユニ ッ ト を切断で き ます。 図 68: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 クラスタ メンバの切断 131 HA 132 システム - 設定 [Serial Number] ク ラ ス タ から 切断 さ れる ク ラ ス タ ユニ ッ ト のシ リ アル番号を表 示 し ます。 [Interface] 設定する イ ン タ フ ェ ース を選択 し ます。 こ のイ ン タ フ ェ ースの IP ア ド レ ス と ネ ッ ト マス ク も 指定 し ます。 FortiGate ユニ ッ ト が切 断 さ れる と 、 こ のイ ン タ フ ェ ースに対する管理ア ク セスのすべて のオプ シ ョ ンが有効にな り ます。 [IP/Netmask] イ ン タ フ ェ ースの IP ア ド レ ス と ネ ッ ト マス ク を指定 し ます。 こ の IP ア ド レ ス を使用 し て このイ ン タ フ ェ ースに接続 し 、 切断 さ れた FortiGate ユニ ッ ト を設定で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 SNMP SNMP SNMP (Simple Network Management Protocol) によ り 、 ネ ッ ト ワー ク 上のハー ド ウ ェ ア を監視で き ます。 ハー ド ウ ェ ア、 つま り FortiGate SNMP エージ ェ ン ト を 設定 し て、 SNMP マネージ ャ にシ ステム情報を報告 し た り 、 ト ラ ッ プ ( ア ラ ーム やイ ベ ン ト メ ッ セージ ) を送信 し た り で き ます。 SNMP マネージ ャ と は、 エー ジ ェ ン ト か らの受信 ト ラ ッ プ を読み取 っ た り 情報を追跡で き る ア プ リ ケーシ ョ ン が動作 し てい る コ ン ピ ュ ー タ です。 SNMP マネージ ャ を使用すれば、 どの FortiGate イ ン タ フ ェ ース または SNMP 管理ア ク セス用に設定 さ れた VLAN サブ イ ン タ フ ェ ースか ら で も 、 SNMP ト ラ ッ プお よびデー タ にア ク セス で き ます。 注記 : SNMP マネージ ャ の設定の 1 つ と し て、 監視対象 と な る FortiGate ユニ ッ ト 上の コ ミ ュ ニ テ ィ のホス ト と し て自身を リ ス ト に加え る作業があ り ます。 これを行わない と 、 SNMP モニ タ は FortiGate ユニ ッ ト か らの ト ラ ッ プ を一切受信せず、 ク エ リ も 行え ません。 FortiGate SNMP 実装は読み取 り 専用です。 SNMP v1 お よび v2c に準拠 し た SNMP マネージ ャは、 FortiGate シ ス テム情報への読み取 り 専用ア ク セスが行え る と と も に、 FortiGate ト ラ ッ プ を受信で き ます。 FortiGate シ ス テム情報を監視 し 、 FortiGate の ト ラ ッ プ を受信する には、 フ ォ ーテ ィ ネ ッ ト 独自 MIB と フ ォ ー テ ィ ネ ッ ト がサポー ト する標準 MIB を SNMP マネージ ャ に コ ンパイルする必要 があ り ます。 RFC サポー ト には、 大部分の RFC 2665 (Ethernet-like MIB) と 、 大部分の RFC 1213 (MIB II) のサポー ト が含まれます ( 詳細については、 136 ページの 「 フ ォ ーテ ィ ネ ッ ト MIB」 を参照 し て く だ さ い。 ) SNMP の設定 SNMP エージ ェ ン ト を設定する には、 [System]、[Config]、[SNMP v1/v2c] の順 に選択 し ます。 図 69: SNMP の設定 [SNMP Agent] FortiGateSNMP エージ ェ ン ト を有効に し ます。 [Description] FortiGate ユニ ッ ト についての説明情報を入力 し ます。 文字数は最大 35 文字です。 [Location] FortiGate ユニ ッ ト の物理的な場所を入力 し ます。 シ ステムの場所情 報は最大 35 文字です。 [Contact] この FortiGate ユニ ッ ト の担当者の連絡先情報を入力 し ます。 連絡先 情報は最大 35 文字です。 [Apply] 説明、 場所、 および連絡先情報への変更を保存 し ます。 [Create New] 新 し い SNMP コ ミ ュ ニ テ ィ を追加するには、 [Create New] を選択 し ます。 134 ページの 「SNMP コ ミ ュ ニ テ ィ の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 133 SNMP システム - 設定 [Communities] FortiGate の設定に追加 さ れた SNMP コ ミ ュ ニ テ ィ の リ ス ト 。 最大で 3 つの コ ミ ュ ニ テ ィ を追加で き ます。 [Name] SNMP コ ミ ュ ニ テ ィ の名前。 [Queries] 各 SNMP コ ミ ュ ニ テ ィ の SNMP ク エ リ のス テー タ ス。 ク エ リ ス テー タ スは有効または無効にで き ます。 [Traps] 各 SNMP コ ミ ュ ニ テ ィ の SNMP ト ラ ッ プのス テー タ ス。 ト ラ ッ プ ス テー タ スは有効または無効にで き ます。 [Enable] SNMP コ ミ ュ ニ テ ィ を ア ク テ ィ ブにするには、 [Enable] を選択 し ます。 削除アイコン SNMP コ ミ ュ ニ テ ィ を削除するには、削除ア イ コ ン を ク リ ッ ク し ます。 編集 / 表示 アイコン SNMP コ ミ ュ ニ テ ィ を表示または修正する場合に選択 し ます。 SNMP コミュニティの設定 SNMP コ ミ ュ ニ テ ィ と は、 ネ ッ ト ワー ク 管理を目的 と し た機器のグループ です。 SNMP コ ミ ュ ニ テ ィ を追加する と 、 SNMP マネージ ャは FortiGate ユニ ッ ト に接続 し 、 シ ス テム情報を表示 し た り 、 SNMP ト ラ ッ プ を受信 し た り で き ます。 最大で 3 つの SNMP コ ミ ュ ニ テ ィ を追加で き ます。 各コ ミ ュ ニ テ ィ には、 それぞれ別々 の SNMP ク エ リ およ び ト ラ ッ プ を設定で き ます。 各 コ ミ ュ ニ テ ィ は、 FortiGate ユ ニ ッ ト の別々のイ ベン ト セ ッ ト を監視する よ う に設定で き ます。 また、 各コ ミ ュ ニ テ ィ には、 最大 8 つの SNMP マネージ ャの IP ア ド レ ス を追加で き ます。 図 70: 134 SNMP コミュニティ オプション ( パート 1) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 SNMP 図 71: SNMP コミュニティ オプション ( パート 2) [Community Name] SNMP コ ミ ュ ニ テ ィ を識別する名前を入力 し ます。 [Hosts] FortiGate ユニ ッ ト を監視す る ために、 IP ア ド レ ス を 入力 し 、 こ の SNMP コ ミ ュ ニ テ ィ の設定を使用で き る SNMP マネージ ャ を特定 し ます。 [IP Address] FortiGate ユニ ッ ト を監視する ために こ の SNMP コ ミ ュ ニ テ ィ の設 定を使用で き る SNMP マネージ ャの IP ア ド レ ス。 IP ア ド レ ス を 0.0.0.0 に設定する と 、 任意の SNMP マネージ ャが この SNMP コ ミ ュ ニ テ ィ を使用で き る よ う にな り ます。 [Interface] オプ シ ョ ン で、 FortiGate ユニ ッ ト に接続する ために こ の SNMP マ ネージ ャ が使用する イ ン タ フ ェ ースの名前を選択 し ます。 SNMP マ ネージ ャ が FortiGate ユニ ッ ト と 同一のサブネ ッ ト 上にない場合の み、 イ ン タ フ ェ ース を選択する必要があ り ます。 このよ う な状況 は、 SNMP マネージ ャがイ ン タ ーネ ッ ト 上にある場合や、 ルー タ の 背後にある場合に生 じ る可能性があ り ます。 [Delete] SNMP マネージ ャ を削除するには、 削除ア イ コ ン を選択 し ます。 [Add] ホス ト リ ス ト に空白行を追加 し ます。 1 つの コ ミ ュ ニ テ ィ に最大 8 つの SNMP マネージ ャ を追加で き ます。 [Queries] FortiGate ユニ ッ ト から 設定情報を受信する ために、 こ のコ ミ ュ ニ テ ィ の SNMP マネージ ャが SNMP v1 および SNMP v2c ク エ リ に使用 するポー ト 番号 ( デ フ ォル ト で 161) を入力 し ます。 各 SNMP バー ジ ョ ンのク エ リ を ア ク テ ィ ブにするには、 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [Traps] FortiGate ユニ ッ ト が、 こ のコ ミ ュ ニ テ ィ の SNMP マネージ ャ に SNMP v1 および SNMP v2c ト ラ ッ プ を送信するのに使用する、 ロー カルおよび リ モー ト ポー ト 番号を入力 し ます ( それぞれデ フ ォル ト でポー ト 162)。 各 SNMP バージ ョ ンの ト ラ ッ プ を ア ク テ ィ ブにする には、 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [SNMP Event] FortiGate ユニ ッ ト が この コ ミ ュ ニテ ィ の SNMP マネージ ャ に ト ラ ッ プ を送信する必要がある SNMP イ ベン ト を それぞれ有効に し ます。 [Temperature too high] と [Voltage out of range] のイ ベン ト ト ラ ッ プ は、 FortiGate 5001 でのみ使用で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 135 SNMP システム - 設定 SNMP アクセスについてインタフェースを設定するには SNMP マネージ ャが FortiGate エージ ェ ン ト に接続で き る よ う にする には、 SNMP 接続を認める よ う FortiGate イ ン タ フ ェ ース を 1 つ以上設定する必要があ り ます。 1 [System]、[Network]、[Interface] の順に選択 し ます。 2 SNMP マネージ ャが接続する イ ン タ フ ェ ース を選択 し て、 編集を選択 し ます。 3 [Administrative Access] で [SNMP] を選択 し ます。 4 [OK] を選択 し ます。 トランスペアレント モードで SNMP アクセスを設定するには 1 [System]、[Config]、[Operation]、[Mode] の順に選択します。 2 管理ア ク セスに使用する IP ア ド レ ス と ネ ッ ト マス ク を [Management IP/Netmask] フ ィ ール ド に入力 し ます。 3 [Apply] を選択 し ます。 フォーティネット MIB FortiGate SNMP エージ ェ ン ト は、 フ ォ ーテ ィ ネ ッ ト 独自 MIB と 標準 RFC 1213 お よ び RFC 2665 MIB をサポー ト し ます。 RFC のサポー ト には、 RFC 2665 (Ethernet-like MIB) の一部 と 、FortiGate ユニ ッ ト 設定に適用 さ れる RFC 1213 (MIB II) の一部のサポー ト が含まれます。 FortiGate MIB と 2 つの RFC MIB を表 8 に示 し ます。 これ らの MIB フ ァ イルは、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト か ら入手可能です。 SNMP エージ ェ ン ト と 通信を行え る よ う にする には、 こ れら の MIB をすべて SNMP マネージ ャ に コ ンパイルする必要があ り ます。 SNMP マネージ ャ に よ っ ては、 す ぐ に使用で き る コ ンパイル済みのデー タ ベース に標準お よび非公開の MIB がすでに含まれてい る場合があ り ます。 フ ォ ーテ ィ ネ ッ ト 独自 MIB は、 こ のデー タ ベースに追加する必要があ り ます。 フ ォ ーテ ィ ネ ッ ト SNMP エージ ェ ン ト が使用する標準 MIB が SNMP マネージ ャ に コ ンパイ ル済みであ る場合は、 再度 コ ンパイルする必要はあ り ません。 表 8: フォーティネット MIB MIB ファイル名または RFC 説明 fortinet.3.00.mib フ ォ ーテ ィ ネ ッ ト 独自 MIB には、 FortiGate の詳細なシ ス テム設 定情報 と ト ラ ッ プ情報が含まれます。 SNMP マネージ ャ は、 FortiGate の設定を監視 し た り 、 FortiGate SNMP エージ ェ ン ト か ら ト ラ ッ プ を受信 し た り するのに、 こ の情報を必要 と し ます。 137 ページの 「FortiGate ト ラ ッ プ」 および 139 ページの 「フ ォ ーテ ィ ネ ッ ト MIB フ ィ ール ド 」 を参照 し て く だ さ い。 RFC-1213 (MIB II) FortiGate SNMP エージ ェ ン ト は、 以下を例外 と し て、 MIB II グ ループ をサポー ト し ます。 • MIB II から の EGP グループはサポー ト さ れません (RFC 1213、 項 3.11 および 6.10)。 • RFC-2665 (Ethernet-like MIB) MIB IIグループ (IP/ICMP/TCP/UDPな ど) に返 さ れる プ ロ ト コ ル統計では、 FortiGate の ト ラ フ ィ ッ ク 活動がすべて正確に キ ャ プ チ ャ さ れるわけではあ り ません。 よ り 正確な情報は、 フ ォ ーテ ィ ネ ッ ト MIB が報告する情報から 取得で き ます。 FortiGate SNMP エージ ェ ン ト は、 以下を例外 と し て、 Ethernetlike MIB の情報をサポー ト し ます。 dot3Tests および dot3Errors グループはサポー ト さ れません。 136 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 SNMP FortiGate トラップ FortiGate エージ ェ ン ト は、 SNMP コ ミ ュ ニ テ ィ に追加 し た SNMP マネージ ャ に ト ラ ッ プ を送信で き ます。 ト ラ ッ プ を受信する には、 SNMP マネージ ャ に フ ォ ー テ ィ ネ ッ ト 3.0 MIB を ロー ド お よび コ ンパイルする必要があ り ます。 すべての ト ラ ッ プに、 ト ラ ッ プ メ ッ セージに加え て FortiGate ユニ ッ ト のシ リ ア ル番号 と ホ ス ト 名が含まれます。 表 9: 一般的な FortiGate トラップ トラップ メッセージ 説明 ColdStart WarmStart LinkUp LinkDown RFC 1215 に記述 さ れている標準的な ト ラ ッ プ。 表 10: FortiGate システム トラップ トラップ メッセージ 説明 CPU 使用率が高い (fnTrapCpuHigh) CPU 使用率が 90% を超えています。 この し き い値は、 CLI で config system global を実行 し て設定で き ます。 メ モ リ の残量が少ない (fnTrapMemLow) メ モ リ 使用率が 90% を超えています。 こ の し き い値は、 CLI で config system global を実行 し て設定で き ます。 イ ン タ フ ェ ース IP の変更 (fnTrapIfChange) FortiGate イ ン タ フ ェ ースの IP ア ド レ スの変更。 ト ラ ッ プ メ ッ セージには、 FortiGate ユニ ッ ト のイ ン タ フ ェ ース名、 新 し い IP ア ド レ ス、 およびシ リ アル番号が含まれます。 こ の ト ラ ッ プ を使用する と 、 DHCP または PPPoE を使用 し てダ イ ナ ミ ッ ク IP ア ド レ スが設定 さ れた イ ン タ フ ェ ー スの IP ア ド レ スの変更を追跡で き ます。 温度が高過ぎ る (fnTrapTempHigh) ハー ド ウ ェ アのセ ンサが高温を検出 し ています。 こ れは、 FortiGate 5001 でのみ利用で き ます。 電圧が範囲外 (fnTrapVoltageOutOfRange) ハー ド ウ ェ アのセンサが異常な電力レベルを検出し ています。 こ れは、 FortiGate 5001 でのみ利用で き ます。 (fnFMTrapIfChange) メ ッ セージはあ り ません。 イ ン タ フ ェ ースによ っ て IP が 変更 さ れています。 監視を行 う FortiManager にのみ送信 さ れます。 (fnFMTrapConfChange) 接続 さ れた FortiManager ユニ ッ ト によ る変更を除 く 、 FortiGate ユニ ッ ト に対 し て行われた任意の設定変更。 表 11: FortiGate VPN トラップ トラップ メッセージ 説明 VPN ト ン ネルが起動 (fnTrapVpnTunUp) IPSec VPN ト ンネルが起動 し ま し た。 VPN ト ン ネルが停止 (fnTrapVpnTunDown) IPSec VPN ト ンネルが停止 し ま し た。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 137 SNMP システム - 設定 表 12: FortiGate IPS トラップ トラップ メッセージ 説明 IPS ア ノ マ リ fnTrapIpsAnomaly IPS ア ノ マ リ が検出 さ れま し た。 IPS シグネチ ャ fnTrapIpsSignature) IPS シグネチ ャ が検出 さ れま し た。 表 13: FortiGate アンチウイルス トラップ トラップ メッセージ 説明 ウ イルス を検出 (fnTrapAvEvent) FortiGate ユニ ッ ト がウ イルス を検出 し 、 HTTP または FTP ダウン ロー ド 、 あるいは電子 メ ール メ ッ セージから 感染 し た フ ァ イルを除去 し ま し た。 サイ ズ超過のフ ァ イル / 電子 メ ールを検出 (fnTrapAvOversize) FortiGate ユニ ッ ト のア ン チウ イルス スキ ャ ナが、 サイ ズ 超過のフ ァ イルを検出 し ま し た。 フ ァ イル名のブ ロ ッ ク を検出 FortiGate ユニ ッ ト のア ン チウ イルス スキ ャ ナが、 パ タ ー ンに一致 し た フ ァ イルを ブ ロ ッ ク し ています。 (fnTrapAvPattern) 断片化 し た電子 メ ールを検出 FortiGate ユニ ッ ト のア ン チウ イルス スキ ャ ナが、 断片化 し た フ ァ イルまたは添付フ ァ イルを検出 し ています。 (fnTrapAvFragmented) 表 14: FortiGate ロギング トラップ トラップ メッセージ 説明 ログの空き な し (fnTrapLogFull) ハー ド ド ラ イ ブ搭載の FortiGate ユニ ッ ト では、 ハー ド ド ラ イ ブの使用率が 90% を超えています。 ハー ド ド ラ イ ブ を搭載 し な い FortiGate ユニ ッ ト では、 メ モ リ へのログの使用率が 90% を 超えています。 この し き い値は、 CLI で config system global を実行 し て 設定で き ます。 表 15: FortiGate HA トラップ トラップ メッセージ 説明 HA の切 り 替え (fnTrapHaSwitch) HA ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト に障害が発生 し 、 新 し いプ ラ イ マ リ ユニ ッ ト に切 り 換わ っ ています。 HA ハー ト ビー ト の障害 HA 監視イ ン タ フ ェ ースがハー ト ビー ト を行っ ていません。 (fnTrapHaHBFail) 表 16: FortiBridge トラップ トラップ メッセージ 説明 FortiBridge が障害を検出 FortiBridge ユニ ッ ト が、 FortiGate ユニ ッ ト の障害を検出 し て います。 (fnTrapBridge) 138 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 SNMP フォーティネット MIB フィールド フ ォ ーテ ィ ネ ッ ト MIB には、 FortiGate ユニ ッ ト の現在のス テー タ ス情報を報告 する フ ィ ール ド が含まれています。 次の表は、 MIB フ ィ ール ド の名前 と それぞれ のス テー タ ス情報の一覧です。 fortinet.3.00.mib フ ァ イルを SNMP マネージ ャ に コ ンパイル し 、 Fortinet MIB フ ィ ール ド を表示する こ と で、 すべてのフ ォ ーテ ィ ネ ッ ト MIB フ ィ ール ド の情報の詳細を表示で き ます。 表 17: システム MIB フィールド MIB フィールド 説明 fnSysModel FortiGate モデル番号。た と えば FortiGate-400 では 400 と な り ます。 fnSysSerial FortiGate ユニ ッ ト のシ リ アル番号。 fnSysVersion FortiGate ユニ ッ ト で現在実行中の フ ァ ームウ ェ アのバージ ョ ン。 fnSysVersionAv FortiGate ユニ ッ ト に イ ン ス ト ール さ れたア ン チウ イルス定義の バージ ョ ン。 fnSysVersionNids FortiGate ユニ ッ ト に イ ン ス ト ール さ れた攻撃定義のバージ ョ ン。 fnSysHaMode 現在の高可用性 (HA) モー ド ( ス タ ン ド ア ロ ン、 A- A、 A- P)。 fnSysOpMode FortiGate ユニ ッ ト の動作モー ド (NAT または ト ラ ン スペア レ ン ト )。 fnSysCpuUsage 現在の CPU 使用率 (%)。 fnSysMemUsage 現在の メ モ リ 使用量 (MB)。 fnSysDiskCapacity ハー ド デ ィ ス クの容量 (MB)。 fnSysDiskUsage 現在のハー ド デ ィ ス クの使用量 (MB)。 fnSysSesCount 現在の IP セ ッ シ ョ ン数。 表 18: HA MIB フィールド MIB フィールド 説明 fnHaSchedule A-A モー ド の負荷分散スケジ ュ ール。 fnHaStatsTable HA ク ラ ス タ の個々の FortiGate ユニ ッ ト の統計。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 fnHaStatsIndex ク ラ ス タ 内のユニ ッ ト のイ ンデ ッ ク ス番号。 fnHaStatsSerial FortiGate ユニ ッ ト のシ リ アル番号。 fnHaStatsCpuUsage 現在の FortiGate ユニ ッ ト の CPU 使用率 (%)。 fnHaStatsMemUsage 現在のユニ ッ ト の メ モ リ 使用量 (MB)。 fnHaStatsNetUsage 現在のユ ニ ッ ト のネ ッ ト ワ ー ク 使用量 (Kbps)。 fnHaStatsSesCount ア ク テ ィ ブ なセ ッ シ ョ ンの数。 fnHaStatsPktCount 処理 さ れたパケ ッ ト の数。 fnHaStatsByteCount FortiGate ユニ ッ ト が処理 し たバイ ト 数。 fnHaStatsIdsCount 直近 20 時間に IPS が検出 し た攻撃の数。 fnHaStatsAvCount 直近20時間にア ン チウ イルス シ ス テムが検 出 し たウ イルスの数。 139 SNMP システム - 設定 表 19: 管理者アカウント MIB フィールド 説明 fnAdminNumber FortiGate ユニ ッ ト 上の管理者の人数。 fnAdminTable 管理者の表。 fnAdminIndex 管理者ア カ ウン ト のイ ンデ ッ ク ス番号。 fnAdminName 管理者ア カ ウン ト のユーザ名。 fnAdminAddr こ の管理者ア カ ウン ト を使用する こ と ので き る、 信頼で き る ホス ト またはサブネ ッ ト のア ド レ ス。 fnAdminMask fnAdminAddr のネ ッ ト マス ク。 表 20: ローカル ユーザ MIB フィールド 説明 fnUserNumber FortiGate ユニ ッ ト 上のロー カル ユーザ ア カ ウン ト 数。 fnUserTable ロー カル ユーザの表。 fnUserIndex ロー カル ユーザ ア カ ウン ト のイ ンデ ッ ク ス番号。 fnUserName ロー カル ユーザ ア カ ウン ト のユーザ名。 fnUserAuth ロー カル ユーザの認証 タ イ プ。 local - FortiGate ユニ ッ ト に保存 さ れたパスワー ド radius-single - RADIUS サーバに保存されたパスワー ド radius-multiple - RADIUS サーバで認証で き るすべて のユーザがログオ ン可能 ldap - LDAP サーバに保存 さ れたパスワー ド fnUserState ロー カル ユーザが有効か無効かを示 し ます。 表 21: オプション MIB フィールド 説明 fnOptIdleTimeout 分単位のア イ ド ル期間で、 これを過ぎ る と 管理者は再認証を受け る必要があ り ます。 fnOptAuthTimeout 分単位のア イ ド ル期間で、 これを過ぎ る と ユーザは フ ァ イ ア ウ ォ ールで再認証を受ける必要があ り ます。 fnOptLanguage Web ベース マネージ ャ の言語。 fnOptLcdProtection LCD PIN が設定 さ れているかど う かを示 し ます。 表 22: [Logging] MIB フィールド 説明 fnLogOption ロギングの基本設定。 表 23: カスタム メッセージ 140 MIB フィールド 説明 fnMessages FortiGate ユニ ッ ト 上のカ ス タ ム メ ッ セージの数。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 SNMP 表 24: バーチャル ドメイン MIB フィールド 説明 fnVdNumber FortiGate ユニ ッ ト 上のバーチ ャ ル ド メ イ ン数。 fnVdTable バーチ ャ ル ド メ イ ンの表。 fnVdIndex FortiGate ユニ ッ ト 上の内部バーチ ャ ル ド メ イ ンのイ ン デ ッ ク ス番号。 fnVdName バーチ ャル ド メ イ ンの名前。 表 25: アクティブ IP セッション MIB フィールド 説明 fnIpSessIndex ア ク テ ィ ブ な IP セ ッ シ ョ ンのイ ンデ ッ ク ス番号。 fnIpSessProto セ ッ シ ョ ンの IP プ ロ ト コル (TCP、 UDP、 ICMP な ど )。 fnIpSessFromAddr ア ク テ ィ ブ な IP セ ッ シ ョ ンの送信 IP ア ド レ ス。 fnIpSessFromPort ア ク テ ィ ブ な IP セ ッ シ ョ ンの送信ポー ト 。 fnIpSessToPort ア ク テ ィ ブ な IP セ ッ シ ョ ンの送信 IP ア ド レ ス。 fnIpSessToAddr ア ク テ ィ ブ な IP セ ッ シ ョ ンの受信ポー ト です。 fnIpSessExp セ ッ シ ョ ンの秒単位の有効期限または TTL (time-to-live)。 表 26: ダイヤルアップ VPN MIB フィールド 説明 fnVpnDialupIndex ダ イヤルア ッ プ VPN ピ アのイ ンデ ッ ク ス。 fnVpnDialupGateway リ モー ト ゲー ト ウ ェ イ IP ア ド レ ス。 fnVpnDialupLifetime 秒単位の VPN ト ン ネル存続期間。 fnVpnDialupTimeout 次のキー交換ま での残 り 時間 ( 秒 )。 fnVpnDialupSrcBegin リ モー ト サブネ ッ ト ア ド レ ス。 fnVpnDialupSrcEnd リ モー ト サブネ ッ ト マス ク 。 fnVpnDialupDstAddr ロー カル サブネ ッ ト ア ド レ ス。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 141 SNMP システム - 設定 表 27: VPN トンネル 142 MIB フィールド 説明 fnVpnTunEntIndex VPN ト ン ネルの固有イ ンデ ッ ク ス。 fnVpnTunEntPhase1Name フ ェ ーズ 1 設定の説明用の名前。 fnVpnTunEntPhase2Name フ ェ ーズ 2 設定の説明用の名前。 fnVpnTunEntRemGwyIp リ モー ト ゲー ト ウ ェ イの IP。 fnVpnTunEntRemGwyPort リ モー ト ゲー ト ウ ェ イのポー ト 。 fnVpnTunEntLocGwyIp ロー カル ゲー ト ウ ェ イの IP。 fnVpnTunEntLocGwyPort ロー カル ゲー ト ウ ェ イのポー ト 。 fnVpnTunEntSelectorSrcBeginIp 送信元セ レ ク タ のア ド レ ス範囲の始ま り 。 fnVpnTunEntSelectorSrcEndIp 送信元セ レ ク タ のア ド レ ス範囲の終わ り 。 fnVpnTunEntSelectorSrcPort 送信元セ レ ク タ ポー ト 。 fnVpnTunEntSelectorDstBeginIp 送信先セ レ ク タ のア ド レ ス範囲の始ま り 。 fnVpnTunEntSelectorDstEndIp 送信先セ レ ク タ のア ド レ ス範囲の終わ り 。 fnVpnTunEntSelectorDstPort 送信先セ レ ク タ ポー ト 。 fnVpnTunEntSelectorProto セ レ ク タ のプ ロ ト コ ル番号。 fnVpnTunEntSelectorLifeSecs 秒単位の ト ンネル存続期間。 fnVpnTunEntSelectorLifeBytes バイ ト 単位の ト ンネル存続期間。 fnVpnTunEntTimeout 秒単位の ト ンネルの タ イ ムアウ ト 。 fnVpnTunEntInOctets ト ンネルの受信バイ ト 数。 fnVpnTunEntOutOctets ト ンネルの送信バイ ト 数。 fnVpnTunEntStatus ト ンネルの現在のス テー タ スで、 起動または停止 のいずれかです。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 差し替えメッセージ 差し替えメッセージ 差 し 替え メ ッ セージ を変更 し 、 FortiGate ユニ ッ ト によ り 電子 メ ール メ ッ セー ジ、 Web ページ、 およ び FTP セ ッ シ ョ ン に追加 さ れる ア ラ ー ト メ ールや情報を カ ス タ マ イ ズする には、 [System]、[Config ]、[Replacement Messages] の順に 選択 し ます。 FortiGate ユニ ッ ト は、 さ ま ざ ま な コ ン テ ン ツ ス ト リ ームに差 し 替え メ ッ セージ を追加 し ます。 た と えば、 電子 メ ール メ ッ セージにウ イルスが発見 さ れた場合、 電子 メ ールか ら そのフ ァ イルが除去 さ れ、 差 し 替え メ ッ セージに置き換え られま す。 Web フ ィ ル タ リ ン グで ブ ロ ッ ク さ れたページや、 スパム フ ィ ル タ リ ン グで ブ ロ ッ ク さ れた電子 メ ールも同様です。 注記 : フ ォ ーテ ィ ネ ッ ト が用意 し た免責の差 し 替え メ ッ セージは、 例に過ぎません。 差し替えメッセージ リスト 図 72: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 差し替えメッセージ リスト 143 差し替えメッセージ システム - 設定 [Name] 差 し 替え メ ッ セージの種類。 カ テ ゴ リ を展開または縮小するには、 青色 の三角形を選択 し ます。 メ ッ セージ を変更 し て以下に追加で き ます。 • ウ イルス感染フ ァ イルが添付 さ れた電子 メ ール • • • • • • Web ページ (http) ftp セ ッ シ ョ ン 警告 メ ール メ ッ セージ スパム と し て ブ ロ ッ ク さ れた smtp 電子 メ ール Web フ ィ ル タ のカ テ ゴ リ ブ ロ ッ ク で ブ ロ ッ ク さ れた Web ページ イ ン ス タ ン ト メ ッ セージおよびピ ア ツーピ ア セ ッ シ ョ ン また、 以下の変更 も行え ます。 • ユーザ認証用のログ イ ン ページおよびログ イ ン拒否ページ • • • • ユーザおよび管理者認証用の免責 メ ッ セージ ( 一部のモデル ) 認証用のキープ ア ラ イ ブ ページ FortiGuard Web フ ィ ル タ リ ン グ ブ ロ ッ ク 無効化ページ SSL-VPN のログ イ ン ページ [Description] 差 し 替え メ ッ セージの種類の説明。 Web ベース マネージ ャ は、 それぞれ の差 し 替え メ ッ セージが FortiGate ユニ ッ ト で使用 さ れる箇所を示 し ます。 編集または 表示アイコン 差 し 替え メ ッ セージ を編集または表示する場合に選択 し ます。 注記 : FortiOS は、 フ ァ イ アウ ォ ールが有効にな る前に、 ユーザが承認する認証免責ペー ジ を HTTP を使用 し て送信 し ます。 し たが っ て、 認証免責ページ を表示 さ せるには、 ユー ザは、 まず HTTP ト ラ フ ィ ッ ク を開始する必要があ り ます。 免責事項が承認 さ れる と 、 ユーザはフ ァ イ アウ ォ ール ポ リ シーで許可 さ れた ト ラ フ ィ ッ ク をすべて送信で き ます。 差し替えメッセージの変更 図 73: サンプルの HTTP ウイルス差し替えメッセージ 差 し 替え メ ッ セージは、 テキス ト または HTML メ ッ セージが可能です。 HTML メ ッ セージには HTML コ ー ド を追加で き ます。 差 し 替え メ ッ セージ で使用する形 式は、 [Allowed Formats] に表示 さ れます。 差 し 替え メ ッ セージには、 各々 8192 文字の制限があ り ます。 また、 差 し 替え メ ッ セージには、 差 し 替え メ ッ セージ タ グ を含める こ と がで き ます。 ユーザが差 し 替え メ ッ セージ を受信する と 、 差 し 替え メ ッ セージ タ グは その メ ッ セージに関連 し た コ ン テ ン ツ に置き換え られます。 表 28 は、 追加で き る差 し 替え メ ッ セージ タ グの一覧です。 144 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 差し替えメッセージ 表 28: 差し替えメッセージ タグ タグ 説明 %%AUTH_LOGOUT%% 現在のポ リ シーを ただ ちに削除 し 、 セ ッ シ ョ ン を終了する URL。 auth-keepalive ページ で使用 さ れます。 %%AUTH_REDIR_URL%% auth-keepalive ページで、 こ の タ グに リ ン ク し た新 し いウ ィ ン ド ウを開 く よ う ユーザに促す こ と がで き ます。 %%CATEGORY%% Web サイ ト の コ ン テ ン ツ カ テゴ リ の名前。 %%DEST_IP%% ウ イルスが送信 さ れた要求宛先の IP ア ド レ ス。 電子 メ ールの 場合、 これはウ イルス を含む電子 メ ールを送信 し た電子 メ ー ル サーバの IP ア ド レ スです。 HTTP の場合は、 こ れはウ イル ス を送信 し た Web ページの IP ア ド レ スです。 %%EMAIL_FROM%% フ ァ イルが除去 さ れた メ ッ セージの送信者の電子 メ ール ア ド レ ス。 %%EMAIL_TO%% フ ァ イルが除去 さ れた メ ッ セージの所定の受信者の電子 メ ー ル ア ド レ ス。 %%FAILED_MESSAGE%% auth-login-failed ページに表示 さ れる ログ イ ン失敗 メ ッ セージ。 %%FILE%% コ ン テ ン ツ ス ト リ ームか ら除去 さ れた フ ァ イルの名前。 これ は、 ウ イルス を含んだ フ ァ イル、 またはア ン チウ イルスの フ ァ イル ブ ロ ッ ク によ っ て ブ ロ ッ ク さ れた フ ァ イルの場合が あ り ます。 ウ イルスおよび フ ァ イル ブ ロ ッ ク メ ッ セージに は、 %%FILE%% が使用で き ます。 %%FORTIGUARD_WF%% FortiGuard - Web フ ィ ル タ リ ングのロ ゴ。 %%FORTINET%% フ ォ ーテ ィ ネ ッ ト のロ ゴ。 %%HTTP_ERR_CODE%% HTTP エ ラ ー コ ー ド 。 た と えば "404"。 %%HTTP_ERR_DESC%% HTTP エ ラ ー コ ー ド の説明。 %%KEEPALIVEURL%% auth-keepalive-page は、 %%TIMEOUT%% の秒ご と に この URL に 自動的に接続 し 、 接続ポ リ シーを更新 し ます。 %%NIDSEVENT%% IPS 攻撃 メ ッ セージ。 電子 メ ールの侵入 メ ッ セージ を警告する ため、 %%NIDSEVENT%% が追加 さ れます。 %%OVERRIDE%% FortiGuard Web フ ィ ル タ リ ング無効化フ ォ ームへの リ ン ク 。 こ れは、 FortiGuard Web フ ィ ル タ リ ング無効化の作成が許可 さ れ たグループにユーザが属する場合にのみ表示 さ れます。 %%OVRD_FORM%% FortiGuard Web フ ィ ル タ ブ ロ ッ ク 無効化ページ。 この タ グは、 FortiGuard Web フ ィ ル タ リ ング無効化フ ォ ームになければな り ません。 他の差 し 替え メ ッ セージに使用 し ないで く だ さ い。 %%PROTOCOL%% ウ イルスが検出 さ れた プ ロ ト コ ル (http、 ftp、 pop3、 imap、 ま たは smtp)。 電子 メ ールのウ イルス メ ッ セージ を警告する た め、 %%PROTOCOL%% が追加 さ れます。 %%QUARFILENAME%% コ ン テ ン ツ ス ト リ ームか ら除去 さ れ、 隔離場所に追加 さ れた フ ァ イルの名前。 こ れは、 ウ イルス を含んだ フ ァ イル、 また はア ン チウ イルスのフ ァ イル ブ ロ ッ ク によ っ て ブ ロ ッ ク さ れ た フ ァ イルの場合があ り ます。 ウ イルスおよび フ ァ イル ブ ロ ッ ク メ ッ セージには、 %%QUARFILENAME%% が使用で き ま す。 隔離は、 ロー カル デ ィ ス ク を備えた FortiGate ユニ ッ ト で のみ利用で き ます。 %%QUESTION%% auth-challenge ページの認証チ ャ レ ン ジの質問。 auth-login ページでユーザ名とパスワー ド の入力が求められます。 %%SERVICE%% Web フ ィ ル タ リ ング サービ ス名。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 145 差し替えメッセージ システム - 設定 表 28: 差し替えメッセージ タグ ( 続き ) タグ 説明 %%SOURCE_IP%% ブ ロ ッ ク さ れた フ ァ イルを受信する要求発信元の IP ア ド レ ス。 電子 メ ールでは、 これは、 フ ァ イルが除去 さ れた メ ッ セージ を ダウン ロー ド し よ う と し たユーザの コ ン ピ ュ ー タ の IP ア ド レ スです。 %%TIMEOUT%% 認証キープ ア ラ イ ブ接続間の設定秒数。 auth-keepalive ページ で使用 さ れます。 %%URL%% Web ページの URL。 これは、 Web フ ィ ル タ の コ ン テ ン ツ ブ ロ ッ ク または URL ブ ロ ッ ク でブ ロ ッ ク さ れた Web ページ であ る可能性があ り ます。 %%URL%% は、 ブ ロ ッ ク さ れた フ ァ イル のダウン ロー ド をユーザが試みる Web ページの URL と する た めに、 http ウ イルスおよび フ ァ イル ブ ロ ッ ク メ ッ セージ で も 使用 さ れる場合があ り ます。 %%VIRUS%% ア ン チウ イルス シ ステムで フ ァ イル内に発見 さ れたウ イルス の名前。 %%VIRUS%% は、 ウ イルス メ ッ セージ内で使用で き ます。 認証ログイン ページの変更 ユーザが認証に必要な VPN またはフ ァ イ アウ ォ ール ポ リ シーを使用する際、 認 証ロ グ イ ン ページが表示 さ れます。 こ のページは、 他の差 し 替え メ ッ セージの 変更 と 同様の方法で カ ス タ マ イ ズで き ますが、 い く つか固有の条件があ り ます。 • ロ グ イ ン ページは、 ACTION="/" お よび METHOD="POST" のフ ォ ームを含む HTML ページ であ る必要があ り ます。 • フ ォ ームには、 次の隠 し 制御が含まれてい る必要があ り ます。 • <INPUT TYPE="hidden" NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%"> • <INPUT TYPE="hidden" NAME="%%STATEID%%" VALUE="%%STATEVAL%%"> • <INPUT TYPE="hidden" NAME="%%REDIRID%%" VALUE="%%PROTURI%%"> • フ ォ ームには、 目に見え る次の制御が含まれてい る必要があ り ます。 • <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> • <INPUT TYPE="text" NAME="%%USERNAMEID%%" size=25> 例 以下は、 上述の条件を満たすシ ン プルな認証ページの一例です。 <HTML><HEAD><TITLE> フ ァ イ アウ ォ ール認証 </TITLE></HEAD> <BODY><H4> このサービ ス を利用する には、 認証を行わなければな り ません。 </H4> <FORM ACTION="/" method="post"> <INPUT NAME="%%MAGICID%%" VALUE="%%MAGICVAL%%" TYPE="hidden"> <TABLE ALIGN="center" BGCOLOR="#00cccc" BORDER="0" CELLPADDING="15" CELLSPACING="0" WIDTH="320"><TBODY> <TR><TH> ユーザ名 :</TH> <TD><INPUT NAME="%%USERNAMEID%%" SIZE="25" TYPE="text"> </TD></TR> <TR><TH> パスワー ド :</TH> <TD><INPUT NAME="%%PASSWORDID%%" SIZE="25" TYPE="password"> </TD></TR> 146 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 差し替えメッセージ <TR><TD COLSPAN="2" ALIGN="center" BGCOLOR="#00cccc"> <INPUT NAME="%%STATEID%%" VALUE="%%STATEVAL%%" TYPE="hidden"> <INPUT NAME="%%REDIRID%%" VALUE="%%PROTURI%%" TYPE="hidden"> <INPUT VALUE="Continue" TYPE="submit"> </TD></TR> </TBODY></TABLE></FORM></BODY></HTML> FortiGuard Web フィルタリング ブロック無効化ページの変更 %%OVRD_FORM%% タ グは、 FortiGuard Web フ ィ ル タ リ ン グで Web ページへのア ク セスがブ ロ ッ ク さ れた場合に、 無効の処理を開始する ために使用 さ れる フ ォ ーム です。 差 し 替え メ ッ セージから こ の タ グ を削除 し ないで く だ さ い。 SSL-VPN ログイン メッセージの変更 SSL VPN ロ グ イ ン メ ッ セージは、 ユーザが SSL-VPN Web ポー タ ルへのロ グ イ ン に使用する Web ページ を表示 し ます。 こ のページは FortiGate の機能に リ ン ク さ れています。 その動作を保証するために、 次のガ イ ド ラ イ ンに従っ て構築する 必要があ り ます。 • ロ グ イ ン ページは、 ACTION="%%SSL_ACT%%" お よび METHOD="%%SSL_METHOD%%" が含まれる HTML ページ で なければな り ませ ん。 • フ ォ ームには、 ロ グ イ ン フ ォ ームを提供する %%SSL_LOGIN%% が含まれてい る必要があ り ます。 • フ ォ ームには、 %%SSL_HIDDEN%% タ グが含まれてい る必要があ り ます。 認証免責ページの変更 一部のモデルでサポー ト さ れてい る認証免責ページは、 FortiGate ユニ ッ ト でア ク セスが許可 さ れる前にユーザが承認する必要のある利用方針について示 し てい ます。 免責は フ ァ イ アウ ォ ール ポ リ シーで有効に し ます。 230 ページの 「フ ァ イ アウ ォ ール ポ リ シーのオプ シ ョ ン」 のユーザ認証免責を参照 し て く だ さ い。 変更は、 HTML 形式の コ ー ド ではな く 、 免責本文のみ と し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 147 動作モードおよび VDOM 管理アクセス システム - 設定 動作モードおよび VDOM 管理アクセス VDOM の動作モー ド は、 他の VDOM に関係な く 変更で き ます。 こ れに よ り 、 FortiGate ユニ ッ ト 上の VDOM で、 NAT/ ルー ト と ト ラ ン スペア レ ン ト の動作モー ド を任意に組み合わせる こ と がで き ます。 VDOM への管理ア ク セスは、 FortiGate ユニ ッ ト への接続に使用可能な イ ン タ フ ェ ースお よびプ ロ ト コ ルに基づいて制限で き ます。 動作モードの変更 VDOM の動作モー ド を設定 し 、 ネ ッ ト ワー ク 設定を十分に行 う こ と で、 新 し い モー ド で確実に Web ベース マネージ ャ に接続で き ます。 NAT/ ルート モードからトランスペアレント モードに切り替えるには 1 [System]、[Config]、[Operation Mode] の順に選択するか、 またはバーチ ャル ド メ イ ンの [System Status] ページの [Operation Mode] の隣にある [Change] を選択 し ます。 2 [Operation Mode] で、 [Transparent] を選択 し ます。 3 次の情報を入力 し 、 [Apply] を選択 し ます。 [Management IP/Netmask] 管理 IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 こ れは、 [Default Gateway] FortiGate ユニ ッ ト から 他のネ ッ ト ワー ク に到達するのに 必要な、 デ フ ォル ト ゲー ト ウ ェ イ を入力 し ます。 [Asymmetric Routing] 非対称ルーテ ィ ン グを可能にする場合に選択 し ます。 FortiGate ユニ ッ ト を管理する ネ ッ ト ワー ク の有効な IP ア ド レ スであ る必要があ り ます。 トランスペアレント モードから NAT/ ルート モードに切り替えるには 148 1 [System]、[Config]、[Operation Mode] の順に選択するか、 またはバーチ ャル ド メ イ ンの [System Status] ページの [Operation Mode] の隣にある [Change] を選択 し ます。 2 [ 動作モー ド ] リ ス ト か ら、 [NAT] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - 設定 動作モードおよび VDOM 管理アクセス 3 次の情報を入力 し 、 [Apply] を選択 し ます。 [Interface IP/Netmask] FortiGate ユニ ッ ト を管理する ネ ッ ト ワー クの有効な IP ア ド レ スおよびネ ッ ト マス ク を入力 し ます。 [Device] [Interface IP/Netmask] の設定を適用する イ ン タ フ ェ ース を 選択 し ます。 [Default Gateway] FortiGate ユニ ッ ト か ら他のネ ッ ト ワー ク に到達するのに 必要な、 デ フ ォル ト ゲー ト ウ ェ イ を入力 し ます。 [Gateway Device] デ フ ォル ト ゲー ト ウ ェ イが接続 さ れる イ ン タ フ ェ ース を 選択 し ます。 [Asymmetric Routing] 非対称ルーテ ィ ングを可能にする場合に選択 し ます。 管理アクセス 管理ア ク セスは、 VDOM の任意のイ ン タ フ ェ ースに設定で き ます。 85 ページの 「NAT/ ルー ト モー ド で動作 し ている VDOM の場合は、 その VDOM 内のイ ン タ フ ェ ースへの管理ア ク セス を制御で き ます。」 を参照 し て く だ さ い。 NAT/ ルー ト モー ド では、 管理ア ク セスに イ ン タ フ ェ ース IP ア ド レ スが使用 さ れます。 ト ラ ン スペア レ ン ト モー ド では、 管理ア ク セスが可能な VDOM のすべてのイ ン タ フ ェ ースに適用 さ れる単一の管理 IP ア ド レ ス を設定 し ます。 また、 FortiGate は こ の IP ア ド レ ス を使用 し て FDN に接続 し 、 ウ イルスお よび攻撃の更新を行いま す (169 ページの 「FortiGuard Center」 参照 )。 シ ス テム管理者 (admin) はすべての VDOM にア ク セス で き、 標準の管理者ア カ ウ ン ト を作成で き ます。 標準の管理者ア カ ウ ン ト では、 所属する VDOM にのみア ク セスで き ます。 管理 コ ン ピ ュ ー タ は、 その VDOM のイ ン タ フ ェ ースに接続す る必要があ り ます。 イ ン タ フ ェ ースがどの VDOM に属 し てい るのかは関係あ り ません。 ど ち らの場合も 、 管理 コ ン ピ ュ ー タ は、 管理ア ク セスが可能な イ ン タ フ ェ ースに接続 し なければな ら ず、 その IP ア ド レ スは同一のネ ッ ト ワー ク上で なければな り ません。 イ ン タ フ ェ ース で HTTP、 HTTPS、 telnet、 または SSH の サービ スが有効な場合、 管理ア ク セスにそれ らのセ ッ シ ョ ン を利用で き ます。 HTTPS と SSH は安全性が高い こ と から、 それら の使用が望まれます。 FortiGate ユニ ッ ト では リ モー ト 管理が行え ます。 ただ し 、 イ ン タ ーネ ッ ト か ら の リ モー ト 管理を許可する と 、 FortiGate ユニ ッ ト のセキ ュ リ テ ィ が危険に さ ら さ れる可能性があ り ます。 設定に と っ て必須でない限 り 、 こ の危険性を避け る よ う に し て く だ さ い。 イ ン タ ーネ ッ ト か らの リ モー ト 管理を許可する FortiGate ユ ニ ッ ト のセキ ュ リ テ ィ を向強化する方法は次の と お り です。 • セキ ュ ア な管理ユーザ パスワー ド を使用 し ます。 • こ れ らのパスワー ド を定期的に変更 し ます。 • HTTPS または SSH のみを使用 し て、 こ のイ ン タ フ ェ ースへのセキ ュ ア な管理 ア ク セス を実現する。 • 信頼で き る ホス ト を使用 し て、 リ モー ト ア ク セスの発信元を限定する。 • シ ス テム ア イ ド ル タ イ ムアウ ト をデ フ ォ ル ト の 5 分から 変更 し ない (162 ペー ジの 「設定」 参照 )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 149 動作モードおよび VDOM 管理アクセス 150 システム - 設定 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 管理者 システム管理者 こ の項では、 FortiGate ユニ ッ ト の管理者ア カ ウ ン ト の設定方法について説明 し ます。 管理者は、 FortiGate ユニ ッ ト にア ク セス し てその動作を設定 し ます。 工 場出荷時の設定では、 ユニ ッ ト には admin と い う 管理者ア カ ウ ン ト が 1 つ設定 さ れています。 Web ベース マネージ ャ または CLI に接続後、 FortiGate ユニ ッ ト 設 定の各部分に さ ま ざ ま な レ ベルでア ク セスする管理者を追加設定で き ます。 注記 : FortiGate のセ ッ シ ョ ンは、 必ず CLI または GUI で ログアウ ト し て終了 し て く だ さ い。 さ も ない と 、 セ ッ シ ョ ンは開いたま ま と な り ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 • • • • • 管理者 ア ク セス プ ロ フ ァ イル FortiManager 設定 管理者の監視 管理者 管理者ア カ ウ ン ト には次の 2 つのレ ベルがあ り ます。 • 標準管理者 ― super_admin 以外の任意のア ク セス プ ロ フ ァ イルに割 り 当て ら れてい る管理者 • シ ス テム管理者 ― 最初に設定 さ れてい る シ ス テム管理者 "admin" や、 super_admin プ ロ フ ァ イルに割 り 当て られてい る任意の管理者 標準管理者ア カ ウン ト では、 そのア ク セス プ ロ フ ァ イルで定め られてい る設定 オプ シ ョ ン にア ク セスで き ます。 バーチ ャル ド メ イ ンが有効にな っ てい る場合、 標準管理者は 1 つの VDOM に割 り 当て られ、 グ ローバル設定オプ シ ョ ン または 他の VDOM の設定にはア ク セス で き ません。 グ ローバル オ プ シ ョ ン と VDOM ご と のオ プ シ ョ ン については、 62 ページの 「VDOM の設定」 お よび 63 ページの 「グ ローバル設定」 を参照 し て く だ さ い。 super_admin ア ク セス プ ロ フ ァ イルに割 り 当て られてい る管理者は、 デ フ ォル ト の管理者 "admin" と 同様に、 FortiGate ユニ ッ ト の設定に全面的にア ク セスで き ます。 さ ら に、 以下が行えます。 • • • • • VDOM 設定の有効化 VDOM の作成 VDOM の設定 標準管理者の VDOM への割 り 当て グ ローバル オプ シ ョ ンの設定 最初の "admin" 管理者の権限を制限 し た り 、 変更 し た り する こ と はで き ません。 "admin" ア カ ウ ン ト は削除で き ませんが、 名前の変更、 信頼で き る ホ ス ト の定 義、 お よびパスワー ド の変更は行え ます。 デ フ ォル ト では "admin" にパスワー ド は設定 さ れていません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 151 管理者 システム管理者 管理者の認証は、 FortiGate ユニ ッ ト または RADIUS サーバに保存 さ れたパス ワー ド を使用 し て行 う こ と がで き ます。 オ プ シ ョ ン で、 デ フ ォル ト の "admin" ア カ ウ ン ト を除 く すべての管理者ア カ ウ ン ト を RADIUS サーバに保存する こ と がで き ます。 同一の RADIUS サーバ上の RADIUS に基づ く ア カ ウ ン ト は、 同一のア ク セス プ ロ フ ァ イルを共有 し ます。 管理者の RADIUS 認証の設定 RADIUS サーバを使用 し て VDOM 内の管理者を認証する場合、 管理者ア カ ウ ン ト を作成する前に、 認証を設定する必要があ り ます。 そのためには次のこ と を行 う 必要があ り ます。 • RADIUS サーバにア ク セスする よ う FortiGate ユニ ッ ト を設定する。 • RADIUS サーバを唯一の メ ンバ と し たユーザ グループ を作成する。 次の手順は、 ネ ッ ト ワー ク 上に RADIUS サーバがあ り 、 管理者の名前 と パスワー ド がそ こ に設定 さ れてい る こ と を前提 と し ています。RADIUS サーバのセ ッ ト ア ッ プ方法についての情報は、 RADIUS サーバの ド キ ュ メ ン ト を参照 し て く だ さ い。 RADIUS サーバにアクセスするよう FortiGate ユニットを設定するには 1 [User]、[RADIUS] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の情報を入力 し ます。 [Name] RADIUS サーバの名前。 ユーザ グループ を作成する際は、 こ の名前を 使用 し ます。 [Server Name/IP] RADIUS サーバの ド メ イ ン名または IP ア ド レ ス。 [Server Secret] RADIUS のサーバ シー ク レ ッ ト 。 RADIUS サーバ管理者が こ の情 報を提供で き ます。 4 [OK] を選択 し ます。 管理者ユーザ グループを作成するには 1 [User]、[User Group] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Group Name] フ ィ ール ド で、 管理者グループの名前を入力 し ます。 4 [Available Users] リ ス ト で、 RADIUS サーバ名を選択 し ます。 5 緑色の右矢印を選択 し て、 名前を メ ンバ リ ス ト に移動 さ せます。 6 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 7 [OK] を選択 し ます。 管理者リストの表示 新たな管理者ア カ ウン ト を作成 し 、 そのア ク セス権のレ ベルを制御する には、 デ フ ォル ト の "admin" ア カ ウン ト 、 super_admin ア ク セス プ ロ フ ァ イルが割 り 当て られてい る ア カ ウ ン ト 、 または読み取 り お よび書き込みア ク セス制御が許可 さ れ てい る管理者を使用 し て く だ さ い。 [System]、[Admin]、[Administrators] の順 に選択 し ます。 管理者ア カ ウン ト のア ク セス プ ロ フ ァ イルが super_admin で ない場合、 管理者 リ ス ト には、 現在のバーチ ャ ル ド メ イ ンの管理者以外、 表示 さ れません。 152 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 管理者 図 74: 管理者リスト [Create New] 管理者ア カ ウン ト を追加 し ます。 [Name] 管理者ア カ ウン ト のログ イ ン名。 [Trusted hosts] 管理者がログ イ ン可能な信頼で き る ホス ト の IP ア ド レ スおよびネ ッ ト マス ク 。 詳細については、 156 ページの 「信頼で き る ホス ト の使 用」 を参照 し て く だ さ い。 [Profile] 管理者のア ク セス プ ロ フ ァ イル。 [Type] この管理者の認証の タ イ プ で、 次のいずれかです。 Local ― ロー カル パスワー ド RADIUS ― RADIUS サーバ上の特定のア カ ウン ト の認証 RADIUS+ ワ イル ド カ ー ド ― RADIUS サーバ上のあ ら ゆる ア カ ウン ト の認証 削除アイコン 管理者ア カ ウン ト を削除 し ます。 最初の "admin" 管理者ア カ ウン ト は削除で き ません。 編集または表示ア イコン 管理者ア カ ウン ト の編集または表示を行います。 [ パスワードの変更 管理者ア カ ウン ト のパスワー ド を変更 し ます。 ] アイコン 管理者パスワードを変更するには 1 [System]、[Admin]、[Administrators] の順に選択 し ます。 2 パスワー ド を変更する管理者ア カ ウ ン ト の [ パスワー ド の変更 ] ア イ コ ン を選択 し ます。 3 新 し いパスワー ド を入力 し 、 確認のため再入力 し ます。 4 [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 153 管理者 システム管理者 管理者アカウントの設定 新た な管理者ア カ ウ ン ト を 作成す る には、 デ フ ォ ル ト の "admin" ア カ ウ ン ト 、 super_admin ア ク セ ス プ ロ フ ァ イルが割 り 当て ら れてい る ア カ ウ ン ト 、 ま たは読 み取 り お よ び書 き 込みア ク セ ス制御が許可 さ れて い る 管理者 を 使用 し て く だ さ い。 [System]、[Admin]、[Administrators] の順に選択 し 、 [Create New] を選択 し ます。 154 図 75: 管理者アカウントの設定 ― ローカル認証 図 76: 管理者アカウントの設定 ― RADIUS 認証 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 管理者 図 77: 管理者アカウントの設定 ― PKI 認証 [Administrator] 管理者ア カ ウン ト のログ イ ン名を入力 し ます。 [RADIUS] RADIUS サーバを使用 し て管理者を認証する場合に選択 し ます。 まず、 管理者に対する RADIUS 認証を設定する必要があ り ます。 152 ページの 「管理者の RADIUS 認証の設定」 を参照 し て く だ さ い。 [User Group] RADIUS 認証を使用する場合、 メ ンバ と し て適切な RADIUS サーバが含 まれる管理者ユーザ グループ を選択 し ます。 [Wildcard] こ れを選択する と 、 RADIUS サーバ上のすべてのア カ ウン ト を管理者に する こ と がで き ます。 こ れは RADIUS が選択 さ れた場合のみ使用で き ます。 [PKI] これを選択する と、 管理者に対する証明書ベースの認証が有効にな り ます。 注記 :PKI オプ シ ョ ン を常に有効にで き るのは、 1 つの管理者ア カ ウン ト に限ら れます。 [User Group] PKI 証明書ベースの認証を使用し ている場合、 ユーザ グループの メ ンバ と し て PKI ( ピ ア ) ユーザが含まれる管理者ユーザ グループ を選択 し ます。 [Password] 管理者ア カ ウン ト のパスワー ド を入力 し ます。 セキ ュ リ テ ィ 強化のた め、 パスワー ド は 6 文字以上にする必要があ り ます。 RADIUS が有効な場合、 FortiGate ユニ ッ ト ではまず RADIUS 認証が試行 さ れ、 それに失敗する と 、 パスワー ド 認証が試行 さ れます。 ワ イル ド カ ー ド が選択 さ れている場合、 こ れは使用で き ません。 PKI 認 証が選択 さ れている場合も 使用で き ません。 [Confirm Password] 管理者ア カ ウン ト のパスワー ド を再入力 し て、 パスワー ド が正 し く 入力 さ れた こ と を確認 し ます。 ワ イル ド カ ー ド が選択 さ れている場合、 こ れは使用で き ません。 PKI 認 証が選択 さ れている場合も 使用で き ません。 [Trusted Host #1] オプ シ ョ ン で、 FortiGate ユニ ッ ト に管理者 と し て ログ イ ンする際に使 [Trusted Host #2] 用する信頼で き る ホス ト の IP ア ド レ スおよびネ ッ ト マス ク を限定する [Trusted Host #3] こ と がで き ます。 信頼で き る ホス ト は 3 つまで指定で き ます。 こ れら の ア ド レ スはすべてデ フ ォル ト で 0.0.0.0/0 に設定 さ れています。 すべての管理者に信頼で き る ホス ト を設定する こ と で、 シス テムのセ キ ュ リ テ ィ を強化で き ます。 詳細については、 156 ページの 「信頼で き る ホス ト の使用」 を参照 し て く だ さ い。 [Access Profile] 管理者のア ク セス プ ロ フ ァ イルを選択 し ます。 あ ら か じ め設定 さ れて いる super_admin プ ロ フ ァ イルでは、 FortiGate ユニ ッ ト に全面的にア ク セスで き ます。 [Create New] を選択 し て、 新 し いア ク セス プ ロ フ ァ イル を作成する こ と も で き ます。 ア ク セス プ ロ フ ァ イルについては、 160 ページの 「ア ク セス プ ロ フ ァ イルの設定」 を参照 し て く だ さ い。 管理者アカウントを設定するには 1 [System]、[Admin]、[Administrators] の順に選択 し ます。 2 [Create New] を選択 し て管理者ア カ ウ ン ト を追加するか、 または [ 編集 ] ア イ コ ン を選択 し て既存の管理者ア カ ウ ン ト を変更 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 155 管理者 システム管理者 3 [Administrator] フ ィ ール ド で、 管理者ア カ ウ ン ト のロ グ イ ン名を入力 し ます。 こ の管理者に RADIUS 認証を使用 し ているがワ イル ド カ ー ド のオプ シ ョ ンは使用 し ていない場合、 管理者名は RADIUS サーバ上のア カ ウ ン ト と 一致する必要があ り ます。 4 認証の タ イ プ を選択 し ます。 こ の管理者に RADIUS 認証を使用 し ている場合 : • [RADIUS] を選択 し ます。 • RADIUSサーバ上のすべてのア カ ウン ト を こ のFortiGate ユニ ッ ト の管理者 と す る場合、 ワ イル ド カ ー ド を選択 し ます。 • [User Group] リ ス ト から管理者ユーザ グループ を選択 し ます。 こ の管理者に PKI 証明書ベース認証を使用 し ている場合 : • [PKI] を選択 し ます。 • [User Group] リ ス ト から管理者ユーザ グループ を選択 し ます。 5 管理者ア カ ウン ト のパスワー ド を入力 し 、 確認のため再入力 し ます。 こ の手順は、 RADIUS ワ イル ド カ ー ド または PKI 証明書ベース認証を使用 し てい る場合、 適用 さ れません。 6 オ プ シ ョ ン で、 管理者が Web ベース マネージ ャ に ロ グ イ ン で き る信頼で き る ホ ス ト の IP ア ド レ スお よびネ ッ ト マス ク を入力 し ます。 7 管理者のア ク セス プ ロ フ ァ イルを選択 し ます。 8 [OK] を選択 し ます。 信頼できるホストの使用 信頼で き る ホ ス ト をすべての管理者に設定する と 、 管理ア ク セスが さ ら に制限 さ れる こ と にな る ため、 ネ ッ ト ワー クのセキ ュ リ テ ィ が向上 し ます。 管理者は、 パ スワー ド を知る こ と に加え、 指定のサブ ネ ッ ト だけ を介 し て接続 し なければな り ません。 さ ら に、 ネ ッ ト マス ク が 255.255.255.255 の信頼で き る ホス ト IP ア ド レ ス を 1 つだけ設定すれば、 管理者を 1 つの IP ア ド レ スに制限する こ と も で き ます。 すべての管理者に信頼で き る ホス ト を設定する と 、 FortiGate ユニ ッ ト で他のホ ス ト か らの管理ア ク セスの試行に対 し て一切応答が行われな く な り ます。 こ れに よ り 、 最高のセキ ュ リ テ ィ が実現 し ます。 管理者を 1 つで も 制限 し ないでお く と 、 管理ア ク セスが有効にな っ てい る あ ら ゆる イ ン タ フ ェ ースで管理ア ク セスが 試行 さ れ、 ユニ ッ ト が不正ア ク セスの危険に さ ら さ れる恐れがあ り ます。 定義 さ れた信頼で き る ホス ト は、 telnet または SSH を介 し て ア ク セス さ れる際 に、 Web ベース マネージ ャ と CLI の両方に適用 さ れます。 コ ン ソ ール コ ネ ク タ を介 し た CLI ア ク セスには影響あ り ません。 信頼で き る ホス ト のア ド レ スは、 すべてデ フ ォ ル ト で 0.0.0.0/0 に設定 さ れてい ます。 0.0.0.0/0 のア ド レ ス を 1 つで も 0 以外のア ド レ スに設定する と 、 他の 0.0.0.0/0 は無視 さ れます。 信頼で き る ホス ト を 0.0.0.0/0 のま ま変更 し ない こ と が、 ワ イル ド カ ー ド のエ ン ト リ を使用する唯一の方法です。 ただ し 、 こ れは安全 でない設定です。 156 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 アクセス プロファイル アクセス プロファイル 管理者ア カ ウ ン ト はそれぞれ 1 つのア ク セス プ ロ フ ァ イルに属 し ます。 ア ク セ ス プ ロ フ ァ イルでは、 FortiGate の機能を、 読み取 り または書き込み、 あ る いは その両方のア ク セス を有効にで き る ア ク セス制御カ テ ゴ リ に分類 し ます。 次の表 は、 各カ テ ゴ リ で ア ク セスで き る Web ベース マネージ ャのページ です。 表 29: Web ベース マネージャのページへのアクセス プロファイル制御 アクセス制御 影響を受ける Web ベース マネージャのページ 管理者ユーザ System > Admin System > Admin > FortiManager System > Admin > Settings ア ン チウ イルス設定 AntiVirus ユーザ認証 User フ ァ イ アウ ォ ール設定 Firewall FortiGuard 更新 System > Maintenance > FortiGuard Center IPS 設定 Intrusion Protection ログおよびレ ポー ト Log & Report メ ン テナン ス System > Maintenance ネ ッ ト ワー ク 設定 System > Network > Interface System > Network > Zone System > DHCP ルー タ 設定 Router スパム フ ィ ル タ 設定 AntiSpam シ ステム設定 System System System System System System System VPN 設定 VPN Web フ ィ ル タ 設定 Web Filter > > > > > > > Status、 セ ッ シ ョ ン情報を含む Config Hostname Network > Options Admin > FortiManager Admin > Settings Status > System Time 読み取 り ア ク セスに よ り 、 管理者は Web ベース マネージ ャのページ を表示で き ます。 そのページの設定を変更する には、 書き込みア ク セスが必要にな り ます。 現在では、 フ ァ イ アウ ォ ール設定のア ク セス制御を拡張 し 、 フ ァ イ アウ ォ ールの 機能に対 し て よ り きめ細かいア ク セス制御が可能 と な っ ています。 ポ リ シー、 ア ド レ ス、 サービ ス、 スケジ ュ ール、 プ ロ フ ァ イル、 その他 (VIP) の設定に対する 管理ア ク セス を制御で き ます。 注記 : バーチ ャ ル ド メ イ ン設定が有効にな っ ている場合 (162 ページの 「設定」 を参照 )、 ア ク セス プ ロ フ ァ イルが super_admin の管理者以外はグローバル設定にア ク セスで き ませ ん。 バーチ ャル ド メ イ ンが有効にな っ ている場合、 他の管理者は 1 つの VDOM に割 り 当 て られ、 グローバル設定オプ シ ョ ン または他の VDOM の設定にはア ク セスで き ません。 グローバル設定については、 62 ページの 「VDOM の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 157 アクセス プロファイル システム管理者 ア ク セス プ ロ フ ァ イルは、 CLI コ マ ン ド への管理者ア ク セスに も 同様の効果があ り ます。 次の表は、 各ア ク セス制御カ テ ゴ リ で使用で き る コ マ ン ド の タ イ プ で す。 "get" および "show" コ マ ン ド は、 読み取 り ア ク セスで使用で き ます。 "config" コ マ ン ド を使用する には、 書き込みア ク セスが必要です。 表 30: CLI コマンドへのアクセス プロファイル制御 アクセス制御 使用可能な CLI コマンド 管理ユーザ (admingrp) system admin system accprofile アンチウイルス設定 (avgrp) antivirus ユーザ認証 (authgrp) user ファイアウォール設定 (fwgrp) firewall い く つかのフ ァ イ アウ ォ ールの許可を個別に設 定するには、 set fwgrp custom、 config fwgrp-permission を使用 し ます。 ポ リ シー、 ア ド レ ス、 サービ ス、 スケジ ュ ール、 プ ロ フ ァ イル、 その他 (VIP) の設定については、 選択が可能です。 詳細は、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 158 FortiProtect 更新 (updategrp) system autoupdate execute update-av execute update-ips execute update-now IPS 設定 (ipsgrp) ips ログおよびレポート (loggrp) alertemail log system fortianalyzer execute log メンテナンス (mntgrp) execute execute execute execute execute ネットワーク設定 (netgrp) system arp-table system dhcp system interface system zone execute dhcp lease-clear execute dhcp lease-list execute clear system arp table execute interface ルータ設定 (routegrp) router execute router execute mrouter formatlogdisk restore backup batch usb-disk FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 アクセス プロファイル 表 30: CLI コマンドへのアクセス プロファイル制御 スパムフィルタ設定 (spamgrp) spamfilter システム設定 (sysgrp) accprofile、 admin、 arp-table、 autoupdate、 fortianalyzer、 interface、 お よび zone を除 く system execute date execute execute execute execute execute execute execute execute execute execute execute execute execute execute execute execute ha ping ping-options ping6 time traceroute cfg factoryreset reboot shutdown deploy set-next-reboot ssh telnet disconnect-admin-session usb VPN 設定 (vpngrp) vpn execute vpn Web フィルタ設定 (webgrp) webfilter FortiGate 管理者のア ク セス プ ロ フ ァ イルを追加する には、 [System]、[Admin]、 [Access Profile] の順に選択 し ます。 管理者ア カ ウン ト はそれぞれ 1 つのア ク セ ス プ ロ フ ァ イルに属 し ます。 ア ク セス プ ロ フ ァ イルは、 FortiGate の各設定への ア ク セス を拒否する もの、 読み取 り のみ許可する も の、 そ し て読み取 り と 書き込 みの両方を許可する ものを作成で き ます。 機能へのア ク セスが読み取 り 専用の場合、 管理者は Web ベース マネージ ャのそ の機能のページにア ク セスで き ますが、 設定を変更する こ と はで き ません。 リ ス ト には、 [Create] や [Apply] のボ タ ン、 お よび編集、 削除、 その他の変更 コ マ ン ド のア イ コ ンはな く 、 表示ア イ コ ン ( ) のみが表示 さ れます。 アクセス プロファイル リストの表示 ア ク セス プ ロ フ ァ イルを作成または編集する には、 admin ア カ ウ ン ト 、 または管 理ユーザの読み取 り お よび書き込みア ク セスが許可 さ れたア カ ウン ト を使用 し ま す。 [System]、[Admin]、[Access Profile] の順に選択 し ます。 図 78: アクセス プロファイル リスト [Create New] 新 し いア ク セス プ ロ フ ァ イルを追加 し ます。 [Profile Name] ア ク セス プ ロ フ ァ イルの名前。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 159 アクセス プロファイル システム管理者 削除アイコン ア ク セス プ ロ フ ァ イルを削除する場合に選択 し ます。 管理者が割 り 当て ら れている ア ク セス プ ロ フ ァ イルは削除で き ません。 編集アイコン ア ク セス プ ロ フ ァ イルを変更する場合に選択 し ます。 アクセス プロファイルの設定 ア ク セス プ ロ フ ァ イルを編集する には、 admin ア カ ウ ン ト 、 ま たは管理ユーザの 読 み 取 り お よ び 書 き 込 み ア ク セ ス が 許 可 さ れ た ア カ ウ ン ト を 使 用 し ま す。 [System]、[Admin]、[Access Profile] の順に選択 し 、 [Create New] を選択 し ます。 図 79: 160 アクセス プロファイル オプション [Profile Name] ア ク セス プ ロ フ ァ イルの名前を入力 し ます。 [Access Control] ア ク セス プ ロ フ ァ イルによ っ てア ク セス制御 さ れる ア イ テムを一 覧表示 し ます。 [None] すべてのア ク セス制御カ テ ゴ リ へのア ク セス を無効にするには、 [None] を選択 し ます。 [Read Only] すべてのア ク セス制御カ テ ゴ リ に読み取 り ア ク セス を選択するに は、 [Read Only] を選択 し ます。 [Read Write] すべてのア ク セス制御カ テ ゴ リ に読み取 り および書き込みのア ク セ ス を選択するには、 [Read Write] を選択 し ます。 [Access Control] カテゴリ 必要に応 じ て、 [Access Control] のカ テ ゴ リ に読み取 り または読み 取 り / 書き込み、 あるいはその両方を選択 し ます。 ア ク セス制御カ テ ゴ リ については、 157 ページの 「ア ク セス プ ロ フ ァ イル」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 FortiManager FortiManager FortiManager サーバを介 し て FortiGate ユニ ッ ト を管理する よ う 設定する には、 [System]、[Admin]、[FortiManager] の順に選択 し ます。 FortiGate ユニ ッ ト と FortiManager サーバ と の間の通信は、 FortiGate ユニ ッ ト に事前に設定 さ れてい る IPSec VPN 経由で行われます。 図 80: FortiManager の設定 FortiManager 設定 [Enable] FortiGate ユニ ッ ト と FortiManager サーバ と の間のセキ ュ ア な IPSec VPN 通信を有効に し ます。 これを行わない と 、 通信の安全は保証 さ れません。 [ID] FortiManager サーバのシ リ アル番号を入力 し ます。 [IP] FortiManager サーバの IP ア ド レ ス を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 161 設定 システム管理者 設定 次のオプ シ ョ ン を設定する には、 [System]、[Admin]、[Settings] の順に選択 し ます。 • • • • HTTP お よび HTTPS 管理ア ク セス用のポー ト ア イ ド ル タ イ ムアウ ト の設定 Web ベース マネージ ャ の言語 LCD お よび制御ボ タ ンの PIN 保護 (LCD 装備モデルのみ ) 図 81: 管理者設定 [Web Administration Ports] [HTTP] 管理 HTTP ア ク セスで使用する TCP ポー ト を入力 し ま す。 デ フ ォル ト は 80 です。 [HTTPS] 管理 HTTPS ア ク セスで使用する TCP ポー ト を入力 し ま す。 デ フ ォル ト は 443 です。 [Telnet Port] 管理ア ク セスで使用する telnet ポー ト を入力 し ます。 デ フ ォル ト は 23 です。 [SSH Port] 管理ア ク セスで使用する SSH ポー ト を入力 し ます。 デ フ ォル ト は 22 です。 [Enable v1 compatibility] SSH v2 に加え、 v1 と の互換性を有効にする場合に選択 し ます。 ( オプ シ ョ ン ) [Timeout Settings] [Idle Timeout] 再ロ グ イ ンが必要 と な る ま で管理接続を ア イ ド ル状態に し ておける時間を分単位で入力し ます。最大値は 480 分 (8 時間 ) です。セキ ュ リ テ ィ を強化するために、ア イ ド ル タ イムアウ ト をデ フ ォル ト の 5 分のま まに し て く だ さ い。 [Language] 162 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム管理者 管理者の監視 [Web Administration] 使用する Web ベース マネージ ャ の言語を選択 し ます。 英語、 日本語、 簡体字中国語、 繁体字中国語、 韓国語、 またはフ ラ ン ス語から 選択 し ます。 注記 : 管理 コ ン ピ ュ ー タ のオペレーテ ィ ング シス テムで 使用 さ れている言語を選択する必要があ り ます。 [LCD Panel] (LCD 装備モデルのみ ) [PIN Protection] [Enable SCP] [PIN Protection] チ ェ ッ ク ボ ッ ク ス を オ ンに し 、 6 桁の PIN を入力 し ます。 制御ボ タ ンおよび LCD を使用する ためには、 PIN を入力 する必要があ り ます。 こ れを有効にする と 、 SSH を介 し て ログ イ ン し たユーザ が SCP を使用 し て設定フ ァ イルを コ ピーで き る よ う に な り ます。 管理者の監視 ロ グ イ ン し てい る管理者の人数を調べる には、 [System]、[Status] の順に選択 し ます。 [System Information] に現在の管理者が表示 さ れます。 FortiGate ユニ ッ ト に現在ロ グ イ ン し てい る管理者に関する情報を表示する には、 [Details] を ク リ ッ ク し ます。 図 82: [System Information] > [Current Administrators] 図 83: 監視ウィンドウに表示されたログインした管理者 [Disconnect] 特定の管理者を切断する場合に選択 し ます。 これは、 ア ク セス プ ロ フ ァ イルでシ ステム設定の書き込み許可が与え られている場合のみ、 使用で き ます。 [Refresh] リ ス ト を更新する場合に選択 し ます。 [Close] ウ ィ ン ド ウ を閉 じ る場合に選択 し ます。 チェック ボックス 管理者を ログオ フ さ せる場合、 このチ ェ ッ ク ボ ッ ク ス を オンに し て から [Disconnect] を選択 し ます。 こ れは、 ア ク セス プ ロ フ ァ イルで シ ステム設定の書き込みア ク セスが与え られている場合のみ、 使用で き ます。 注記 : デ フ ォル ト の "admin" ユーザを ロ グオ フ さ せる こ と は で き ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 163 管理者の監視 164 システム管理者 [User Name] 管理者ア カ ウン ト の名前。 [Type] ア ク セスの タ イ プ で、 WEB または CLI。 [From] タ イ プが WEB の場合、 [From] の値は管理者の IP ア ド レ スです。 タ イ プが CLI の場合、 [From] の値は "ssh" または "telnet" で、 管理者 の IP ア ド レ スか "console" のいずれかです。 [Time] 管理者がログ イ ン し た日時。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス バックアップおよび復元 システム - メンテナンス こ の項では、 シ ス テム設定をバ ッ ク ア ッ プおよ び復元する方法、 また FortiGuard Distribution Network からの自動更新を設定する方法について説明 し ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 • バ ッ ク ア ッ プお よび復元 • FortiGuard Center • ラ イセンス バックアップおよび復元 シ ス テム設定のバ ッ ク ア ッ プや復元を行っ た り 、 フ ァ ームウ ェ ア を管理 し た り す る には、 [System]、[Maintenance]、[Backup & Restore] の順に選択 し ます。 Web コ ン テ ン ツ フ ァ イルやスパム フ ィ ル タ リ ン グ フ ァ イルな どのシ ス テムの設 定は、 管理 コ ン ピ ュ ー タ か、 USB デ ィ ス ク をサポー ト する モデルの USB デ ィ ス ク にバ ッ ク ア ッ プ で き ます。 また、 以前ダウン ロー ド し たバ ッ ク ア ッ プ フ ァ イ ルか ら シ ス テム設定を復元する こ と も 可能です。 バ ッ ク ア ッ プ フ ァ イルに VPN 証明書を含める場合は、 そのバ ッ ク ア ッ プ フ ァ イ ルの暗号化を有効にする必要があ り ます。 バーチ ャル ド メ イ ン設定が有効にな っ ている場合、 バ ッ ク ア ッ プ フ ァ イルの内 容は、 その フ ァ イルを作成 し た管理者ア カ ウン ト によ っ て異な り ます。 スーパー 管理者ア カ ウ ン ト に よ る シ ス テム設定のバ ッ ク ア ッ プには、 グ ローバル設定 と 各 VDOM の設定が含まれます。 こ のフ ァ イルか ら設定を復元で き るのは、 スーパー 管理者のみです。 標準管理者ア カ ウ ン ト でシ ス テム設定をバ ッ ク ア ッ プする と 、 バ ッ ク ア ッ プ フ ァ イルには、 グ ローバル設定 と 標準管理者が属する VDOM の設 定が含まれます。 こ のフ ァ イルから設定を復元で き るのは、 標準管理者ア カ ウン ト のみです。 注記 : FortiGate のモデル番号が 100 未満の場合、 [Maintenance] 画面の [Firmware] のセ ク シ ョ ンは表示 さ れません。こ の場合、フ ァ ームウ ェ アのバージ ョ ンは、[System]、[Status] の順に選択 し 、 [Update for Firmware Version] を選択する こ と によ り 、 変更で き ます。 FortiGate の一部のモデルでは、 ユーザがダウン ロー ド で き る FortiClient イ メ ー ジ を保存する こ と に よ り 、 FortiClient がサポー ト さ れます。 バ ッ ク ア ッ プ と 復元 の [FortiClient] セ ク シ ョ ンは、 使用する FortiGate モデルで FortiClient がサポー ト さ れる場合のみ使用で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 165 バックアップおよび復元 システム - メンテナンス 図 84: バックアップおよび復元のオプション 図 85: [Backup] および [Restore] [Last Backup] 前回のロー カル PC へのバ ッ ク ア ッ プの日時。 USB へバ ッ ク ア ッ プ し た場合、 バ ッ ク ア ッ プの時間は保 存 さ れません。 [Backup] 現在の設定をバ ッ ク ア ッ プ し ます。 [Backup configuration to:] 166 設定フ ァ イルを保存する ためのロー カル PC または USB デ ィ ス ク を選択 し ます。 USB デ ィ ス ク は、 デ ィ ス ク が FortiGate ユニ ッ ト に接続 さ れている場合に限 り 、 選択で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス バックアップおよび復元 [Filename] USB デ ィ ス ク を選択 し た場合は、 バ ッ ク ア ッ プ フ ァ イ ルの名前を入力 し ます。 [Encrypt configuration file] バ ッ ク ア ッ プ フ ァ イルを暗号化する場合に選択 し ます。 [Password] フ ィ ール ド にパスワー ド を入力 し 、 [Confirm] フ ィ ール ド に再度入力 し ます。 フ ァ イルを復元するに は、 こ のパスワー ド が必要にな り ます。 VPN 証明書をバ ッ ク ア ッ プするには、 バ ッ ク ア ッ プ フ ァ イルで暗号化が有効にな っ ている必要があ り ます。 [Backup] 設定をバ ッ ク ア ッ プ し ます。 [Restore] フ ァ イルから 設定を復元 し ます。 [Restore 設定フ ァ イルの場所 と し て、 ロー カル PC または USB configuration from:] デ ィ ス ク を選択 し ます。 USB デ ィ ス クは、 デ ィ ス クが FortiGate ユニ ッ ト に接続 さ れている場合に限 り 、 選択で き ます。 図 86: [Filename] USB デ ィ ス クか ら設定を復元する場合は、 リ ス ト か ら設 定フ ァ イルの名前を選択 し ます。 管理コ ン ピ ュ ー タ 上のフ ァ イルから 設定を復元する場合 は、 設定フ ァ イルの名前を入力するか、 または [Browse] ボ タ ン を使用 し ます。 [Password] バ ッ ク ア ッ プ フ ァ イルが暗号化 さ れている場合は、 パ スワー ド を入力 し ます。 [Restore] 選択 し た フ ァ イルから 設定を復元 し ます。 [Firmware] [Partition] パーテ ィ シ ョ ンに含め ら れるのは、 1 つのバージ ョ ンのフ ァ ームウ ェ ア と シス テム設定のみです。 モデル番号が 100 以上の FortiGate には、 パーテ ィ シ ョ ンが 2 つあ り ます。 一方のパーテ ィ シ ョ ンがア ク テ ィ ブ、 も う 一方がバ ッ ク ア ッ プ と な り ます。 [Active] 現在使用中のフ ァ ームウ ェ ア と 設定が含まれているパーテ ィ シ ョ ン が、 緑色のチ ェ ッ ク マー ク で示 さ れます。 [Last Upgrade] こ のパーテ ィ シ ョ ンの前回の更新日時。 [Firmware Version] FortiGate フ ァ ームウ ェ アのバージ ョ ンおよびビル ド 番号。 バ ッ ク ア ッ プ パーテ ィ シ ョ ン では、 次の操作が行え ます。 • [Upload] を選択 し て、 管理 コ ン ピ ュ ー タ または USB デ ィ ス クか ら フ ァ ームウ ェ ア を置き換え る。 • [Boot alternate firmware] 図 87: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [Upload and Reboot] を選択 し て、 フ ァ ームウ ェ ア を置き換え、 こ れを ア ク テ ィ ブ なパーテ ィ シ ョ ン と する。 バ ッ ク ア ッ プ フ ァ ームウ ェ ア を使用 し て、 FortiGate ユニ ッ ト を再起 動 し ます。 こ れが使用で き るのは、 モデル番号が 100 以上の FortiGate のみです。 [FortiClient] 167 バックアップおよび復元 システム - メンテナンス [Software Image] この FortiGate ユニ ッ ト の現在の FortiClient イ メ ージ です。 管理 コ ン ピ ュ ー タ から 新 し い FortiClient イ メ ージ を ア ッ プ ロー ド するに は、 [Upload] を選択 し ます。 [Antivirus Database] この FortiGate ユニ ッ ト の FortiGuard ア ン チウ イルス デー タ ベース の現在のバージ ョ ン です。 詳細については、 170 ページの 「FortiGate ユニ ッ ト の FDN および FortiGuard サービ スの設定」 を参 照 し て く だ さ い。 [Antivirus Engine] この FortiGate ユニ ッ ト の FortiGuard ア ン チウ イルス エ ン ジ ンの現在 のバージ ョ ン です。 詳細については、 170 ページの 「FortiGate ユニ ッ ト の FDN および FortiGuard サービ スの設定」 を参照 し て く だ さ い。 [Web Portal Port] フ ァ イ アウ ォ ール ポ リ シーの FortiClient チ ェ ッ ク オプ シ ョ ン に よ っ てユーザのア ク セスが拒否 さ れた場合、 そのユーザが リ ダ イ レ ク ト さ れる Web ポー タ ルのポー ト を選択 し ます。 ポー ト 番号の変更 後、 [Save] を選択 し て変更を有効に し ます。 デ フ ォル ト のポー ト 番号は 8009 です。 番号が競合する場合のみ、 ポー ト 番号を変更 し て く だ さ い。 図 88: [Advanced] [Advanced (USB Auto-Install)] 168 こ のセ ク シ ョ ンは、USB デ ィ ス クが FortiGate ユニ ッ ト に 接続 さ れてい る場合のみ利用で き ます。 必要に応 じ てオ プ シ ョ ン を選択 し 、 FortiGate ユニ ッ ト を再起動 し ます。 設定 と フ ァ ームウ ェ アの更新を両方 と も 選択 し た場合 は、 1 度の再起動で両方が適用 さ れます。 FortiGate ユ ニ ッ ト では、 すでにロー ド 済みのフ ァ ームウ ェ ア または 設定フ ァ イルは再ロー ド さ れません。 [On system restart, automatically update FortiGate configuration] 再起動時、 設定を自動的に更新 し ます。 [Default configuration file name] が USB デ ィ ス ク上の設定 フ ァ イ ル名 と 一致する こ と を確認 し て く だ さ い。 [On system restart, automatically update FortiGate firmware] 再起動時、 フ ァ ームウ ェ ア を自動的に更新 し ます。 [Default image name] が USB デ ィ ス ク上の フ ァ ームウ ェ ア フ ァ イル名 と 一致する こ と を確認 し て く だ さ い。 [Import Bulk CLI Commands] 管理コ ン ピ ュ ー タ 上のテキス ト フ ァ イルから FortiGate ユニ ッ ト に URL フ ィ ル タ およびスパム フ ィ ル タ の定義 を イ ンポー ト し ます。 フ ァ イル名 と パス を入力するか、 [Browse] ボ タ ン を使用 し て フ ァ イルを選択 し ます。 テキス ト フ ァ イルは、 FortiGate 設定のバ ッ ク ア ッ プ フ ァ イルの適切なセ ク シ ョ ン を引用するか、 または適切 な CLI コ マ ン ド を入力 し て作成で き ます。 [Download Debug Log] 暗号化 さ れたデバ ッ グ ログを フ ァ イルにダウン ロー ド し ます。 こ のデバ ッ グ ログを フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト に送信する こ と で、 FortiGate ユニ ッ ト の 問題の診断に役立て る こ と がで き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center FortiGuard Center FortiGuard Center は、 FortiGuard Distribution Network (FDN) およ び FortiGuard サービ ス用に、 FortiGate ユニ ッ ト を設定 し ます。 FDN は、 ア ン チウ イルス と 攻 撃の定義の更新を提供 し ます。 FortiGuard サービ スは、 IP ア ド レ ス ブ ラ ッ ク リ ス ト 、 URL ブ ラ ッ ク リ ス ト 、 その他のスパム フ ィ ル タ リ ン グ ツールを オ ン ラ イ ン で提供 し ます。 FortiGuard Distribution Network FortiGuard Distribution Network (FDN) は、 世界規模の FortiGuard Distribution Server (FDS) ネ ッ ト ワー ク です。 FDN は、 ア ン チウ イルス ( グ レ ーウ ェ ア を含む ) と IPS 攻撃の定義の更新を提供 し ます。 FDN に接続する際、 FortiGate ユニ ッ ト は現在の タ イ ムゾーン設定に基づいて、 最も 近い FDS に接続 し ます。 FortiGate ユニ ッ ト は、 次の更新機能をサポー ト し ます。 • FDN から ユーザが実行する更新 • 1 時間、1 日、または 1 週間ご と の、FDN か らのア ン チウ イルスお よび攻撃の定 義の定期更新 • FDN から のプ ッ シ ュ更新 • バージ ョ ン番号、 有効期限、 およ び更新日時を含む、 更新ス テー タ ス • NAT デバイ ス を介 し たプ ッ シ ュ 更新 フ ォ ーテ ィ ネ ッ ト のサポー ト Web ページに FortiGate ユニ ッ ト を登録する必要が あ り ます。 FortiGate ユニ ッ ト を登録する には、 「Product Registration」 にア ク セ ス し てその指示に従います。 定期更新を受信する には、 FortiGate ユニ ッ ト はポー ト 443 で HTTPS を使用 し て FDN に接続で き る必要があ り ます。 定期更新の設定については、 176 ページの 「定期更新を有効にする には」 を参照 し て く だ さ い。 また、 プ ッ シ ュ更新を受信する よ う に FortiGate ユニ ッ ト を設定する こ と も 可能 です。 こ れを正 し く 行 う ためには、 FDN が UDP ポー ト 9443 を使用 し てパケ ッ ト を FortiGate ユニ ッ ト に転送で き る必要があ り ます。 プ ッ シ ュ 更新の設定につい ては、 177 ページの 「プ ッ シ ュ 更新を有効にする には」 を参照 し て く だ さ い。 FortiGuard サービス 世界を網羅する FortiGuard サービ スは、 FortiGuard サービ ス ポ イ ン ト で提供 さ れ ます。 FDN に接続する際、 FortiGate ユニ ッ ト は最 も近い FortiGuard サービ ス ポ イ ン ト に接続 し ます。 フ ォ ーテ ィ ネ ッ ト は必要に応 じ て新 し いサービ ス ポ イ ン ト を追加 し ます。 FortiGate ユニ ッ ト は、 デ フ ォル ト で最 も近いサービ ス ポ イ ン ト と 通信を行いま す。 何 らかの理由でそのサービ ス ポ イ ン ト に接続で き な く な っ た場合、 FortiGate ユニ ッ ト は別のサービ ス ポ イ ン ト と 通信を行い、 情報が数秒以内に入 手可能 と な り ます。 FortiGate ユニ ッ ト は、 デ フ ォル ト で UDP を介 し てポー ト 53 でサービ ス ポ イ ン ト と 通信を行います。 ある いは、 [System]、[Maintenance]、 [FortiGuard Center] の順に選択 し て、 サービ ス ポ イ ン ト と の通信で使用する UDP ポー ト を ポー ト 8888 に切 り 替え る こ と も で き ます。 デ フ ォ ル ト の FortiGuard サービ ス ポ イ ン ト のホス ト 名を変更する必要がある場 合、 CLI コ マ ン ド system fortiguard でキーワー ド hostname を使用 し ま す。 Web ベース マネージ ャ を使用 し て FortiGuard サービ ス ポ イ ン ト 名を変更す る こ と はで き ません。 FortiGuardサービスについては、FortiGuard CenterのWebページ を参照し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 169 FortiGuard Center システム - メンテナンス FortiGuard-Antispam サービス フ ォ ーテ ィ ネ ッ ト のア ン チスパム システムである FortiGuard-Antispam には、 IP ア ド レ ス ブ ラ ッ ク リ ス ト 、URL ブ ラ ッ ク リ ス ト 、 およびスパム フ ィ ル タ リ ング ツー ルが包含 さ れています。 IP ア ド レ ス ブ ラ ッ ク リ ス ト には、 スパムの生成に使用 さ れている既知の電子 メ ール サーバの IP ア ド レ スが含まれています。URL ブ ラ ッ ク リ ス ト には、 スパム メ ールで発見 さ れた Web サイ ト の URL が含まれています。 FortiGuard-Antispam の処理は、 フ ォ ーテ ィ ネ ッ ト に よ っ て完全に自動化 さ れ、 設定 さ れています。 常時監視 と 動的更新に よ り 、 FortiGuard-Antispam は常に最 新の状態に保たれています。 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イル内 で FortiGuard-Antispam を有効または無効に し ます。 詳細については、 294 ペー ジの 「スパム フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト にはすべて、 30 日間の FortiGuard-Antispam ト ラ イ アル ラ イ セ ン スが付属 し ています。 FortiGuard-Antispam の ラ イ セ ン ス管理はフ ォ ーテ ィ ネ ッ ト サービ スによ っ て行われる ため、 ラ イ セ ン ス番号を入力する必要はあ り ません。 FortiGuard-Antispam を有効にする と 、 FortiGate ユニ ッ ト は自動的に FortiGuard-Antispam サービ ス ポ イ ン ト と 通信を行います。 無償 ト ラ イ アルの後、 FortiGuard-Antispam の ラ イ セ ン ス を更新する には、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カ ル サポー ト に連絡 し て く だ さ い。 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し て FortiGuardAntispam を グ ローバルで有効に し た後、 それぞれの フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルでスパム フ ィ ル タ リ ン グの設定を行います。 294 ページの 「スパム フ ィ ル タ リ ン グ オ プ シ ョ ン」 を参照 し て く だ さ い。 FortiGuard-Web サービス FortiGuard-Web は、 Fortinet が提供 し てい る、 管理 さ れた Web フ ィ ル タ リ ン グ ソ リ ュ ーシ ョ ン です。 FortiGuard-Web は、 数億の Web ページ を、 ユーザが許可、 ブ ロ ッ ク、 または監視で き る広範囲な カ テ ゴ リ に並べ替えています。 FortiGate ユニ ッ ト は、 最も近い FortiGuard-Web Service Point にア ク セス し て、 要求 さ れ た Web ページのカ テ ゴ リ を決定 し た後、 そのユーザまたはイ ン タ フ ェ ースに対 し て設定 さ れた フ ァ イ アウ ォ ール ポ リ シーに従います。 FortiGate ユニ ッ ト にはすべて、 30 日間の FortiGuard-Web フ ィ ル タ ト ラ イ アル ラ イ セ ン スが付属 し ています。 FortiGuard の ラ イ セ ン ス管理は、 フ ォ ーテ ィ ネ ッ ト サーバが行います。 ラ イ セ ン ス番号を入力する必要はあ り ません。 FortiGuard カ テ ゴ リ ブ ロ ッ ク を有効にする と 、FortiGate ユニ ッ ト は自動的に FortiGuard サービ ス ポ イ ン ト と 通信を行います。 無償 ト ラ イ アルの後、 FortiGuard のラ イ セ ン ス を 更新する には、 フ ォ ーテ ィ ネ ッ ト テ ク ニ カル サポー ト に連絡 し て く だ さ い。 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し て FortiGuard-Web をグ ローバルで有効に し た後、 それぞれのフ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルで FortiGuard Web フ ィ ル タ リ ン グの設定を行います。 292 ページの 「FortiGuard-Web フ ィ ル タ リ ン グ オ プ シ ョ ン」 を参照 し て く だ さ い。 FortiGate ユニットの FDN および FortiGuard サービスの設定 Update Center ページにおける FDN 更新および FortiGuard サービ スへのア ク セス を 設定する には、 [System]、[Maintenance]、[FortiGuard Center] の順に選択し ます。 Update Center には次の 3 つのセ ク シ ョ ンがあ り ます。 • サポー ト 契約お よび FortiGuard サブ ス ク リ プ シ ョ ン サービ ス • ア ン チウ イルスお よび IPS のダウン ロー ド • Web フ ィ ル タ リ ン グお よびア ン チ スパム オプ シ ョ ン 170 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center サポート契約および FortiGuard サブスクリプション サービス サポー ト 契約お よび FortiGuard サブ ス ク リ プ シ ョ ン サービ スのセ ク シ ョ ンは、 シ ス テム ス テー タ スのページに短縮形式で表示 さ れます。 41 ページの 「シ ス テ ム ス テー タ スの表示」 を参照 し て く だ さ い。 図 89: サポート契約および FortiGuard サブスクリプション サービスのセクション [Support Contract] FortiGate ユニ ッ ト のサポー ト 契約の有効性またはス テー タ ス。 表示 さ れる ステー タ スは、 "Unreachable" ( 到達不能 )、 "Not Registered" ( 未登録 )、 または "Valid Contract" ( 有効な契約 ) の いずれかです。 "Valid Contract" と 表示 さ れている場合、 FortiOS のバージ ョ ン、 契約の有効期限、 サポー ト レ ベルも 表示 さ れます。 [Register] FortiGate ユニ ッ ト のサポー ト 契約を登録する場合に選択 し ます。 こ れは、 サポー ト 契約が未登録の場合のみ表示 さ れます。 FortiGuard サブスクリ 次のよ う な、 各 FortiGuard サブ ス ク リ プ シ ョ ン サービ スの有効 性 と ステー タ スの情報。 プション サービス • ア ン チウ イルス AV 定義 • • • [Availability] 侵入防御 IPS 定義 Web フ ィ ル タ リ ング ア ン チ スパム こ の FortiGate ユニ ッ ト におけ るサービ スの有効性。 サービ スの サブ ス ク リ プ シ ョ ンによ っ て異な り ます。 表示 さ れる ステー タ ス は、 "Unreachable" ( 到達不能 )、 "Not Registered" ( 未登録 )、 ま たは "Valid Contract" ( 有効な契約 ) のいずれかです。 [Availability] が "Not Registered" の場合、 [Subscribe] のオプ シ ョ ンが表示 さ れます。 [Availability] が "Expired" の場合、 [Renew] のオプ シ ョ ンが表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 171 FortiGuard Center システム - メンテナンス ス テー タ ス ア イ コ 表示 さ れたア イ コ ンは、 サブ ス ク リ プ シ ョ ン サービ スのス テー ン タ ス を表 し ます。 ア イ コ ンは、 有効性の記述に対応 し ます。 • グレー―到達不能―FortiGate ユニ ッ ト はサービ スに接続で き ません。 • 黄色―未登録―FortiGate ユニ ッ ト は接続で き ますが、 こ の サービ スにサポー ト 登録 さ れていません。 • 黄色―期限切れ―FortiGate ユニ ッ ト には期限切れ と な っ た ラ イ セ ン スがあ り ます。 • 緑色―有効な ラ イ セ ン ス―FortiGate ユニ ッ ト は FDN に接続で き、 サポー ト 契約に登録 さ れています。 ス テー タ ス ア イ コ ンが緑色の場合は、 有効期限が表示 さ れます。 [Version] FortiGate ユニ ッ ト に現在イ ン ス ト ール さ れている、 このサービ スの定義フ ァ イルのバージ ョ ン番号。 (Last update date and method) 前回の更新日 と 、 こ のサービ スの最新定義のダウン ロー ド に使 用 さ れた方法。 [Update] FortiGate ユニ ッ ト で このサービ ス を手動で更新する場合に選択 し ます。 こ れを実行する と 、 ロー カル コ ン ピ ュ ー タ から 更新 フ ァ イルを ダウン ロー ド する よ う 指示 さ れます。 FDN か ら更新 を直接ダウン ロー ド するには、 [Update Now] の コ ン ト ロールを 使用 し ます。 (Date) FortiGate ユニ ッ ト の このサービ スの更新が最後に確認 さ れた ロー カル シ ス テムの日付。 [AntiVirus and IPS Downloads] こ のセ ク シ ョ ンの表示、 非表示を切 り 替え るには、 青い矢印を 選択 し ます。 172 ページの 「ア ン チウ イルスおよび IPS のダウン ロー ド 」 を参照 し て く だ さ い。 [Web Filtering and AntiSpam Options] こ のセ ク シ ョ ンの表示、 非表示を切 り 替え るには、 青い矢印を 選択 し ます。 173 ページの 「Web フ ィ ル タ リ ングおよびア ン チス パム オプ シ ョ ン」 を参照 し て く だ さ い。 [Log & Analysis Options] こ のセ ク シ ョ ンの表示、 非表示を切 り 替え るには、 青い矢印を 選択 し ます。 174 ページの 「ログおよび分析オプ シ ョ ン」 を参照 し て く だ さ い。 FortiGuard の FortiAnalyzer ユニ ッ ト に接続 さ れていない場合、 こ のセ ク シ ョ ンは空白 と な り ます。 [IPS Options] こ のセ ク シ ョ ンの表示、 非表示を切 り 替え るには、 青い矢印を 選択 し ます。 IPS シグネチ ャ の品質向上を目的に、 FNS に攻撃の詳細を送信す る場合に選択 し ます。 フ ォーテ ィ ネ ッ ト は、この機能を有効にする こ と をお勧め し ます。 アンチウイルスおよび IPS のダウンロード こ のセ ク シ ョ ン にア ク セスする には、 [AntiVirus and IPS Downloads] の隣にあ る青 色の矢印を選択 し ます。 図 90: 172 [AntiVirus and IPS Downloads] セクション FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center [Use override server address] FDN に接続で き ない場合、 または自社の FortiGuard サーバを使用 し て、 社内で更新を提供する場合に、 オーバー ラ イ ド サーバを設定する のに選択 し ます。 選択する際は、 FortiGuard サーバの IP ア ド レ ス または ド メ イ ン名を入 力 し 、 [Apply] を選択 し ます。 FDN ステー タ スに FDN への接続が表示 さ れない場合は、 175 ページの 「FDN 接続性の ト ラ ブルシ ュ ーテ ィ ン グ」 を参照 し て く だ さ い。 [Allow Push Update] プ ッ シ ュ更新を行 う 場合に選択 し ます。 プ ッ シ ュ更新ステー タ ス ア イ コ ンによ り 、 プ ッ シ ュ更新サービ スのス テー タ スが示 さ れます。 プッシュ更新 FortiGate ユニ ッ ト における プ ッ シ ュ更新の受信状況のス テー タ ス。 ステータス • グ レー―到達不能―FortiGateユニ ッ ト はプ ッ シ ュ更新サービ スに接 アイコン 続で き ません。 • 黄色―利用不可―現在のサポー ト ラ イ セ ン スではプ ッ シ ュ更新 サービ ス を利用で き ません。 • 緑色―利用可能―プ ッ シ ュ更新サービ ス を利用で き ます。 177 ペー ジの 「プ ッ シ ュ更新を有効にする には」 を参照 し て く だ さ い。 ア イ コ ンがグレーまたは黄色のいずれかの場合は、 175 ページの 「FDN 接続性の ト ラ ブルシ ュ ーテ ィ ング」 を参照 し て く だ さ い。 [Use override push] プ ッ シ ュ更新サービ スへの接続で使用する カ ス タ ム IP ア ド レ スおよび ポー ト を有効にする場合に選択 し ます。 [Allow Push Update] がオ ンの場合のみ、 利用で き ます。 [IP] FDNプ ッ シ ュ サーバに接続する ための新 し いIPア ド レ ス を入力 し ます。 [Allow Push Update] と [Use override push] がオ ンの場合のみ、 利用で き ます。 [port] FDN プ ッ シ ュ サーバに接続する ための新 し いポー ト を選択 し ます。 [Use override push] と IP ア ド レ スが設定 さ れている場合のみ、 利用で き ます。 [Scheduled Update] こ のチ ェ ッ ク ボ ッ ク スは、 定期更新を可能にする場合にオ ンに し ま す。 [Every] 1 ~ 23 時間ご と に 1 回更新を試みます。 更新 リ ク エ ス ト の間隔を時間 数で選択 し ます。 [Daily] 1 日に 1 回更新を試みます。 更新を チ ェ ッ ク する時間を指定で き ます。 選択 さ れた時間内で タ イ ミ ングがラ ン ダムで決定 さ れ、 更新が試行 さ れます。 [Weekly] 1 週間に 1 回更新を試みます。 更新を チ ェ ッ ク する曜日 と 時間を指定 で き ます。 選択 さ れた時間内で タ イ ミ ングがラ ン ダムで決定 さ れ、 更 新が試行 さ れます。 [Update Now] 手動で FDN 更新を開始するには、 [Update Now] を選択 し ます。 Web フィルタリングおよびアンチスパム オプション こ のセ ク シ ョ ン にア ク セスする には、 [Web Filtering and AntiSpam Options] の隣に あ る青色の矢印を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 173 FortiGuard Center システム - メンテナンス 図 91: [Web Filtering and AntiSpam Options] セクション [Enable Web Filter] FortiGuard Web フ ィ ル タ サービ ス を有効にする場合に選択 し ます。 [Enable Cache] FortiGuard サービ ス情報のキ ャ ッ シ ュ を有効にする場合に選択 し ま す。 こ れによ り 、 FortiGuard サーバへの FortiGate ユニ ッ ト の リ ク エス ト が減少 し 、 パフ ォ ーマ ン スが向上 し ます。 キ ャ ッ シ ュ では、 FortiGate の メ モ リ の 6% が使用 さ れます。 キ ャ ッ シ ュ に空きがな く な る と 、 IP ア ド レ スまたは URL が、 使用 さ れていない期間の最も 長い も のから 削除 さ れます。 [Enable Web Filter] がオ ンの場合のみ利用で き ます。 [TTL] [Enable Anti Spam] 有効期間 (Time to Live)。 再びサーバ と 通信する ま でに、 ブ ロ ッ ク さ れた IP ア ド レ スおよび URL をキ ャ ッ シ ュ に保存 し てお く 秒数。 [Enable Web Filter] と [Enable Cache] が両方 と も オ ンの場合のみ、 利用で き ます。 FortiGuard ア ン チスパム サービ ス を有効にする場合に選択 し ます。 [Enable cache] FortiGuard サービス情報のキャ ッ シ ュ を有効にする場合に選択し ます。 こ れによ り 、 FortiGuard サーバへの FortiGate ユニ ッ ト の リ ク エス ト が減少 し 、 パフ ォ ーマ ン スが向上 し ます。 キ ャ ッ シ ュ では、 FortiGate の メ モ リ の 6% が使用 さ れます。 キ ャ ッ シ ュ に空きがな く な る と 、 IP ア ド レ スまたは URL が、 使用 さ れていない期間の最も 長い も のから 削除 さ れます。 [Enable Anti Spam] がオ ンの場合のみ利用で き ます。 [TTL] TTL (Time to Live)。 再びサーバ と 通信する ま でに、 ブ ロ ッ ク さ れた IP ア ド レ スおよび URL をキ ャ ッ シ ュ に保存 し てお く 秒数。 [Use Default Port (53)] FortiGuard ア ン チスパム サーバ と の通信でポー ト 53 を使用する場 合に選択 し ます。 [Use Alternate Port FortiGuard ア ン チスパム サーバ と の通信でポー ト 8888 を使用する 場合に選択 し ます。 (8888)] [Test Availability] FortiGuard ア ン チスパム サーバへの接続を テ ス ト する場合に選択 し ます。 結果は、 ボ タ ンの下 と ス テー タ ス イ ン ジケー タ に表示 さ れます。 [please click here] FortiGurad Web フ ィ ル タ サービ スの URL カ テ ゴ リ のレーテ ィ ング を再評価する場合に選択 し ます。 ログおよび分析オプション こ のセ ク シ ョ ン では、 FortiGuard ロ グお よび分析サーバの設定オ プ シ ョ ンが表示 さ れます。 こ のセ ク シ ョ ン にア ク セスする には、 [Log & Analysis Options] の隣にある青色の 矢印を選択 し ます。 174 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center 図 92: FDN ログおよび分析オプション こ のセ ク シ ョ ン では、 設定 を 行 っ た り ロ グ を 消去 し た り で き る、 438 ペー ジの 「FortiGuardロ グお よび分析サーバへのロギン グ」への リ ン クが用意 さ れています。 ロ グ を消去する頻度を設定する には、 消去する ま で ロ グ を保存する期間を月数で 選択 し ます。 FDN 接続性のトラブルシューティング FortiGate ユニ ッ ト が FDN に接続で き ない場合、 設定を確認 し ます。 た と えば、 FortiGate ルーテ ィ ン グ テーブルにルー ト を追加 し た り 、 FortiGate ユニ ッ ト がイ ン タ ーネ ッ ト へ接続する際にポー ト 443 で HTTPS を使用で き る よ う にネ ッ ト ワー ク を設定 し た り する必要があ る場合があ り ます。 更新を受信する ために、 FortiGuard のオーバー ラ イ ド サーバに接続 し なければな ら ない場合があ り ます。 176 ページの 「オーバー ラ イ ド サーバを追加する には」 を参照 し て く だ さ い。 こ れがで き ない場合は、 設定を チ ェ ッ ク し 、 FortiGate ユ ニ ッ ト から FortiGuard オーバー ラ イ ド サーバに接続で き る こ と を確認 し ます。 次のよ う な場合、 プ ッ シ ュ 更新が使用で き ない こ と があ り ます。 • FortiGate ユニ ッ ト を登録 し ていない (FortiGate ユニ ッ ト を登録する には、製品 登録のページにア ク セス し て、 指示に従っ て く だ さ い )。 • FortiGate ユニ ッ ト と FDN と の間に NAT デバイ スが設置 さ れてい る (178 ページ の 「NAT デバイ ス を介 し た プ ッ シ ュ 更新の有効化」 参照 )。 • FortiGate ユニ ッ ト がプ ロキシ サーバを使用 し て イ ン タ ーネ ッ ト に接続 し てい る (177 ページの「プ ロキシ サーバを介 し た定期更新を有効にする には」参照 )。 アンチウイルスおよび攻撃の定義の更新 FortiGuard Distribution Network (FDN) に接続 し てア ン チウ イルス ( グ レ ーウ ェ ア を含む ) の定義お よび攻撃の定義を更新する よ う FortiGate ユニ ッ ト を設定する には、 下記の手順を実行 し ます。 FortiGate ユニットが FDN に接続できることを確認するには 1 [System]、[Status] の順に選択 し 、 [System Information] セ ク シ ョ ンの [Change on System Time line] を オ ン に し ます。 2 タ イム ゾーンが、 FortiGate ユニ ッ ト が設置 さ れてい る地域に正 し く 設定 さ れて い る こ と を確認 し ます。 3 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 4 [Refresh] を選択 し ます。 FortiGate ユニ ッ ト が FDN への接続テ ス ト を実施 し ます。 テ ス ト の結果は、 シ ス テム更新のページの最上部に表示 さ れます。 アンチウイルスおよび攻撃の定義を更新するには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Update Now] を選択 し て、 ア ン チウ イルス と 攻撃の定義を更新 し ます。 FDN ま たはオーバー ラ イ ド サーバへの接続に成功する と 、 Web ベース マネー ジ ャ に、 次のよ う な メ ッ セージが表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 175 FortiGuard Center システム - メンテナンス Your update request has been sent.Your database will be updated in a few minutes.Please check your update page for the status of the update. 数分後、 更新が利用可能にな る と 、 ア ン チウ イルス と 攻撃の定義の新たなバー ジ ョ ンの情報がシ ス テム更新セ ン タ ーのページに表示 さ れます。 また、 シ ス テム ス テー タ スのページに も、 ア ン チウ イルス、 攻撃、 そ し て IPS の定義の新 し い日 付 と バージ ョ ン番号が表示 さ れます。 メ ッ セージはイ ベ ン ト ロ グに記録 さ れ、 更新の成否が示 さ れます。 注記 : ア ン チウ イルスおよび攻撃の定義を更新する と 、 FortiGate ユニ ッ ト が新 し いシグ ネチ ャ のデー タ ベース を適用 し ている間、 現在スキ ャ ン さ れている ト ラ フ ィ ッ ク にご く 短 時間、 中断が生 じ る恐れがあ り ます。 この可能性を最低限に止めるには、 ト ラ フ ィ ッ ク の 少ない時間帯に更新を予定 し て く だ さ い。 定期更新を有効にするには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Scheduled Update] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 3 次のいずれか 1 つを オ ン に し て、 更新を ダウ ン ロ ー ド し ます。 4 [Every] 1 ~ 23 時間ご と に 1 回。 更新 リ ク エス ト の間隔を時数 と 分数で選択 し ます。 [Daily] 1 日に 1 回。 更新を チ ェ ッ ク する時間を指定で き ます。 [Weekly] 1 週に 1 回。 更新を チ ェ ッ ク する曜日 と 時間を指定で き ます。 [Apply] を選択 し ます。 FortiGate ユニ ッ ト が、 新 し い更新スケジ ュ ールに従っ て次回の定期更新を実行 し ます。 FortiGate ユニ ッ ト が定期更新を実行する たびに、 そのイ ベ ン ト が FortiGate のイ ベ ン ト ロ グに記録 さ れます。 オーバーライド サーバを追加するには FDN に接続で き ない場合、 または自社の FortiGuard サーバを使用 し て、 社内で更 新が提供 さ れてい る場合は、 次の手順を使用 し て、 FortiGuard オーバー ラ イ ド サーバの IP ア ド レ ス を追加で き ます。 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Use override server address] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 3 FortiGuard サーバの完全な正規 ド メ イ ン名または IP ア ド レ ス を入力 し ます。 4 [Apply] を選択 し ます。 FortiGate ユニ ッ ト が、 オーバー ラ イ ド サーバへの接続テ ス ト を実施 し ます。 FortiGuard Distribution Network の有効性のア イ コ ンがグ レ ーから変われば、 FortiGate ユニ ッ ト はオーバー ラ イ ド サーバに支障な く 接続 し ています。 FortiGuard Distribution Network の有効性のア イ コ ンがグ レ ーか ら変わ ら なければ、 FortiGate ユニ ッ ト はオーバー ラ イ ド サーバに接続で き ません。 FortiGateFortiGuard オーバー ラ イ ド サーバへの接続を阻むよ う な設定について、 FortiGate の設定をお よびネ ッ ト ワー クの設定を チ ェ ッ ク し て く だ さ い。 176 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center プロキシ サーバを介した定期更新を有効にするには FortiGate ユニ ッ ト によ る イ ン タ ーネ ッ ト への接続がプ ロキシ サーバを経由 し て 行 う 必要があ る場合、 config system autoupdate tunneling コ マ ン ド を 用いて、 FortiGate ユニ ッ ト がプ ロキシ サーバを経由 し て FDN に接続 ( または ト ン ネル ) する よ う に設定で き ます。 詳細については、 FortiGate CLI リ フ ァ レ ン ス を 参照 し て く だ さ い。 プッシュ更新の有効化 FDN では、 危機的状況に可能な限 り 迅速に対応で き る よ う 、 FortiGate ユニ ッ ト に対 し て プ ッ シ ュ 更新を行 う こ と がで き ます。 プ ッ シ ュ更新を受信で き る よ う に する には、 まず FortiGate ユニ ッ ト を登録する必要があ り ます。 FortiGate ユニ ッ ト を登録する には、 製品登録のページ を開き、 指示に従っ て く だ さ い。 プ ッ シ ュ更新を行え る よ う に FortiGate ユニ ッ ト を設定する と 、 その FortiGate ユ ニ ッ ト から FDN に SETUP メ ッ セージが送信 さ れます。 次回ア ン チウ イルス定義 または攻撃の定義が公開 さ れる と 、 プ ッ シ ュ 更新の設定が行われたすべての FortiGate ユニ ッ ト に対 し 、 新た な更新が利用可能 と な っ た こ と が FDN か ら通知 さ れます。 FortiGate ユニ ッ ト は、 プ ッ シ ュ通知を受信 し てか ら 60 秒以内に、 FDN から の更新を リ ク エ ス ト し ます。 注記 : FortiGate ユニ ッ ト がプ ロキシ サーバを使用 し て FDN に接続する必要がある場合、 プ ッ シ ュ更新はサポー ト さ れません。 詳細については、 177 ページの 「プ ロキシ サーバを 介 し た定期更新を有効にする には」 を参照 し て く だ さ い。 ネ ッ ト ワー クの設定で可能な ら ば、 定期更新の設定に加え、 プ ッ シ ュ更新を設定 し てお く こ と をお勧めます。 定期更新だけ を受信する よ り も、 プ ッ シ ュ 更新を使 用 し た方が、 FortiGate ユニ ッ ト が新 し い更新を受信する タ イ ミ ン グが早 く な り ます。 ただ し 、 FortiGate ユニ ッ ト が最新の更新を受信 し てい る こ と は、 定期更 新によ っ て保証 さ れます。 更新を取得する唯一の方法 と し て プ ッ シ ュ更新を有効にする こ と は推奨 さ れませ ん。 FortiGate ユニ ッ ト で プ ッ シ ュ 通知が受信 さ れない場合があ り ます。 また、 プ ッ シ ュ通知を受信 し た際、 FDN に接続 し て更新を ダウン ロー ド し よ う と する FortiGate ユニ ッ ト の試みは 1 回に限られます。 プッシュ更新を有効にするには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Allow Push Update] を選択 し ます。 3 [Apply] を選択 し ます。 FortiGate の IP アドレスが変更された場合のプッシュ更新 プ ッ シ ュ更新を有効に し た際に FortiGate ユニ ッ ト から 送信 さ れる SETUP メ ッ セージには、 FDN が接続する FortiGate のイ ン タ フ ェ ースの IP ア ド レ スが含まれ ます。 プ ッ シ ュ更新で使用 さ れる イ ン タ フ ェ ースは、 ス タ テ ィ ッ ク ルーテ ィ ン グ テーブルのデ フ ォル ト ルー ト で設定 さ れた イ ン タ フ ェ ース です。 イ ン タ フ ェ ースの IP ア ド レ ス を手動で変更 し た場合、 または、 イ ン タ フ ェ ース のア ド レ シ ン グ モー ド を DHCP または PPPoE に変更 し 、 DHCP または PPPoE サーバで IP ア ド レ スが変更 さ れた場合、 FortiGate ユニ ッ ト は、 SETUP メ ッ セー ジ を送信 し ます。 FDN は、 プ ッ シ ュ 更新 メ ッ セージ を受信で き る よ う 、 FortiGate ユニ ッ ト の こ の IP ア ド レ スに接続で き なければな り ません。 FortiGate ユニ ッ ト が NAT デバイ ス FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 177 FortiGuard Center システム - メンテナンス の背後にあ る場合は、 178 ページの 「NAT デバイ ス を介 し た プ ッ シ ュ 更新の有効 化」 を参照 し て く だ さ い。 また、 イ ン タ ーネ ッ ト への冗長経路がある場合、 一方のイ ン タ ーネ ッ ト 接続がダ ウ ンする と 、 FortiGate ユニ ッ ト は SETUP メ ッ セージ を送信 し て、 も う 一方のイ ン タ ーネ ッ ト 接続に フ ェ ールオーバ し ます。 ト ラ ン スペア レ ン ト モー ド では、 管理 IP ア ド レ スが変更 さ れた場合、 FortiGate ユニ ッ ト は SETUP メ ッ セージ を送信 し て FDN にア ド レ スの変更を通知 し ます。 NAT デバイスを介したプッシュ更新の有効化 FDN が NAT デバイ ス を介 し てのみ FortiGate ユニ ッ ト に接続可能であ る場合、 NAT デバイ スのポー ト フ ォ ワーデ ィ ン グ を設定 し 、 プ ッ シ ュ更新の設定にポー ト フ ォ ワーデ ィ ン グ情報を追加する必要があ り ます。 ポー ト フ ォ ワーデ ィ ン グ を使用する と 、 FDN はポー ト 9443 または指定 し たオーバー ラ イ ド プ ッ シ ュ ポー ト のいずれかを使用 し て、 FortiGate ユニ ッ ト に接続 し ます。 注記 : NAT デバイ スの外部 IP ア ド レ スが動的な場合 ( た と えば PPPoE または DHCP を使 用 し て設定 し た場合 )、 NAT デバイ ス を介 し て プ ッ シ ュ更新を受信する こ と はで き ません。 図 93: ネットワーク例 :NAT デバイスを介したプッシュ更新 FDN Server Internet NAT Device Push Updates Internal Network 基本手順 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト がプ ッ シ ュ更新を受信で き る よ う に、 内部ネ ッ ト ワー クの FortiGate ユニ ッ ト お よび NAT デバイ ス を設定する には、 次 の手順を実行 し ます。 1 178 プ ッ シ ュ 更新を受信で き る よ う に、 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト を 登録 し 、 使用を許可 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - メンテナンス FortiGuard Center 2 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト の FortiGuard Center を設定 し ます。 • プ ッ シ ュ更新を可能にする。 • オーバー ラ イ ド プ ッ シ ュ 更新の IP を追加する。 通常、 こ れは NAT デバイ スの 外部イ ン タ フ ェ ースの IP ア ド レ スです。 • 必要に応 じ て、 オーバー ラ イ ド プ ッ シ ュ更新ポー ト を変更する。 3 NAT デバイ スにポー ト フ ォ ワーデ ィ ン グ仮想 IP を追加 し ます。 • オーバー ラ イ ド プ ッ シ ュ更新 IP と 一致する よ う に、仮想 IP の外部 IP ア ド レ ス を設定 し ます。 通常、 こ れは NAT デバイ スの外部イ ン タ フ ェ ースの IP ア ド レ ス です。 4 ポー ト フ ォ ワーデ ィ ン グ仮想 IP を含む FortiGate の NAT デバイ スに、 フ ァ イ ア ウ ォ ールのポ リ シーを追加 し ます。 内部ネットワーク上の FortiGate ユニットの FortiGuard Center を設定するには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Allow Push Update] を選択 し ます。 3 [Use override push IP] を選択 し 、 NAT デバイ スの外部イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ます。 4 UDP ポー ト 9443 がブ ロ ッ ク さ れているか、 あ る いはネ ッ ト ワー クの他のサービ スで使用 さ れていない限 り 、 プ ッ シ ュ 更新のポー ト は変更 し ないで く だ さ い。 5 [Apply] を選択 し ます。 FortiGate ユニ ッ ト は、 FDN にオーバー ラ イ ド プ ッ シ ュ IP ア ド レ スお よびポー ト を送信 し ます。 こ れで FDN は、 内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト への プ ッ シ ュ更新に、 こ の IP ア ド レ ス と ポー ト を使用 し ます。 仮想 IP を NAT デバ イ スに追加 し て、 プ ッ シ ュ 更新パケ ッ ト が NAT デバイ スに よ っ て受信 さ れ、 内 部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト に転送 さ れる よ う にする まで、 プ ッ シ ュ 更新は実際には動作 し ません。 注記 : 外部 IP ア ド レ スまたは外部サービ ス ポー ト が変わっ た場合、 [Use override push configuration] にその変更を追加 し 、 [Apply] を選択 し て、 FDN のプ ッ シ ュ情報を更新 し て く だ さ い。 FortiGate の NAT デバイスにポート フォワーディング仮想 IP を追加するには ポー ト フ ォ ワーデ ィ ング を使用 し て、 FDN か ら内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト にプ ッ シ ュ 更新接続が転送 さ れる よ う に、 NAT デバイ ス を設定 し ます。 1 [Firewall]、[Virtual IP] の順に選択 し て、 [Create New] を選択 し ます。 2 プ ッ シ ュ更新の UDP ポー ト を使用 し て、 NAT デバイ スの外部イ ン タ フ ェ ース を 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト の IP ア ド レ スにマ ッ プする、 ポー ト フ ォ ワーデ ィ ン グ仮想 IP を追加 し ます。 [Name] 仮想 IP の名前を追加 し ます。 [External Interface] イ ン タ ーネ ッ ト に接続する NAT デバイ スのイ ン タ フ ェ ース。 [Type] ス タ テ ィ ッ ク NAT。 [External IP Address/Range] プ ッ シ ュ更新を内部ネ ッ ト ワー ク上の FortiGate ユニ ッ ト に送信する ために、 FDN が接続する IP ア ド レ ス。 これは、 通常、 NAT デバイ ス の外部イ ン タ フ ェ ースの IP ア ド レ スです。 こ の IP ア ド レ スは、 内部 ネ ッ ト ワー ク上の FortiGate ユニ ッ ト の、 FortiGuard Center のプ ッ シ ュ更新オーバー ラ イ ド IP と 同一でなければな り ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 179 ライセンス システム - メンテナンス [Mapped IP Address/Range] 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ ト の IP ア ド レ ス。 [Port Forwarding] ポー ト フ ォ ワーデ ィ ングを選択 し ます。 [Protocol] UDP。 [External Service FDN が接続する外部サービ ス ポー ト 。 プ ッ シ ュ更新の外部サービ ス ポー ト は、 通常、 9443 です。 内部ネ ッ ト ワー ク 上の FortiGate ユニ ッ Port] ト の FortiGuard Center の設定で プ ッ シ ュ更新ポー ト を変更 し た場合 は、 外部サービ ス ポー ト を変更 さ れたプ ッ シ ュ更新ポー ト に設定 し なければな り ません。 [Map to Port] 3 ポー ト へのマ ッ プは、 外部サービ ス ポー ト と 同一でなければな り ま せん。 [OK] を選択 し ます。 FortiGate の NAT デバイスにファイアウォール ポリシーを追加するには 1 外部か ら内部への新たな フ ァ イ アウ ォ ール ポ リ シーを追加 し ます。 2 次の設定でポ リ シーを構成 し ます。 3 [OK] を選択 し ます。 内部ネットワーク上の FortiGate ユニットへのプッシュ更新が動作していること を確認するには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 [Refresh] を選択 し ます。 [Push Update] のイ ン ジケー タ が緑色に変わ り ます。 ライセンス FortiGate ユニ ッ ト がモデル 3000 以上であれば、 フ ォ ーテ ィ ネ ッ ト から ラ イ セ ン ス キーを購入 し て、 VDOM の最大数を 25、 50、 100、 または 250 に増やす こ と が で き ます。 FortiGate ユニ ッ ト では、 デ フ ォル ト で最大 10 の VDOM がサポー ト さ れます。 ラ イ セ ン ス キー と は、 フ ォ ーテ ィ ネ ッ ト が提供する 32 文字の文字列です。 フ ォ ーテ ィ ネ ッ ト が ラ イ セ ン ス キーを生成する際に、 ユニ ッ ト のシ リ アル番号 が必要 と な り ます。 ラ イ セ ン ス キーを入力する には、 [System]、[Maintenance]、[License] の順に選 択 し ます。 図 94: 180 追加の VDOM のライセンス キー [Current License] バーチ ャ ル ド メ イ ンの現在の最大数。 [Input License Key] フ ォ ーテ ィ ネ ッ ト が提供する ラ イ セ ン ス キーを入力 し 、 [Apply] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - シャーシ (FortiGate-5000 シリーズ ) SMC ( シェルフ マネージャ カード ) システム - シャーシ (FortiGate-5000 シリーズ ) [System]、[Chassis] の順に選択する と 、 FortiGate-5050 または FortiGate-5140 のシ ャ ーシに装着 さ れた FortiGate-5000 シ リ ーズ モ ジ ュ ールをは じ め、 シ ャ ー シに装着 さ れてい るハー ド ウ ェ ア コ ン ポーネ ン ト の動作ス テー タ ス情報を リ ア ル タ イ ムで表示する こ と がで き ます。 シ ス テム シ ャ ーシのページ では、 シ ャ ーシ内のすべてのハー ド ウ ェ ア コ ン ポー ネ ン ト に関する情報を表示で き ます。 FortiGate CLI から get chassis status コ マ ン ド を使用する と 、 同様のシ ャ ーシ情報を表示で き ます。 シ ス テム シ ャ ーシ のページお よび get chassis status コ マ ン ド で表示 さ れる情報は、接続先の FortiGate-5000 モ ジ ュ ールではな く 、FortiGate-5000 シ リ ーズ シ ャ ーシ と 、シ ャ ー シに装着 さ れてい る FortiGate-5000 シ リ ーズ モ ジ ュ ールに よ っ て決ま り ます。 シス テム シ ャ ーシのページ では、 シ ャ ーシ シ ェ ルフ マネージ ャ か ら 受信 し た情 報が表示 さ れます。 シ ス テム シ ャ ーシのページに情報が表示 さ れるのは、 シ ャ ーシ内でシ ェ ルフ マネージ ャが 1 つ以上動作 し てお り 、 なおかつ接続先の FortiGate-5000 モ ジ ュ ールがシ ェ ルフ マネージ ャ と 通信で き る場合に限 り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • SMC ( シ ェ ル フ マネージ ャ カ ー ド ) • ブ レ ー ド (FortiGate-5000 シ ャ ーシ ス ロ ッ ト ) • シ ャ ーシ モ ニ タ リ ン グのイ ベン ト ロ グ メ ッ セージ SMC ( シェルフ マネージャ カード ) FortiGate-5000 シ リ ーズ シ ャ ーシに装着 さ れている シ ェ ルフ マネージ ャ カ ー ド (SMC) のス テー タ ス を表示する には、 [System]、[Chassis]、[SMC] の順に選択 し ます。 SMC リ ス ト は、 FortiGate-5140 シ ャ ーシ と FortiGate-5050 シ ャ ーシ で共 通です。 SMC リ ス ト には、 シ ャ ーシ内のシ ェ ルフ マネージ ャ カ ー ド の基本的な ス テー タ ス情報が表示 さ れます。 図 95: シェルフ マネージャ カード (SMC) リスト [Refresh interval] SMC リ ス ト に表示 さ れる情報が Web ベース マネージ ャ で更新 さ れる 頻度を設定 し ます。 [Refresh] SMC リ ス ト の表示情報を手動で更新 し ます。 [SMC #] シ ェ ルフ マネージ ャ カ ー ド のス ロ ッ ト 番号で、 SMC 1 または SMC 2。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 181 ブレード (FortiGate-5000 シャーシ スロット ) システム - シャーシ (FortiGate-5000 シリーズ ) [Status] 各シ ャ ーシ ス ロ ッ ト 内のシ ェ ル フ マネージ ャ カ ー ド の現在のス テー タ ス。 ス テー タ スは、 シ ェ ルフ マネージ ャ カ ー ド がス ロ ッ ト に装着 さ れていれば “Persent”、 装着 さ れていなければ “Empty” にな り ます。 [Active/Standby] 各シ ャ ーシ ス ロ ッ ト 内のシ ェ ルフ マネージ ャ カ ー ド のモー ド 。 シ ェ ルフ マネージ ャ は、 ア ク テ ィ ブ モー ド またはス タ ンバイ モー ド での 動作が可能です。 ア ク テ ィ ブ モー ド では、 シ ェ ルフ マネージ ャ が シ ャ ーシ を操作 し ます。 ス タ ンバイ モー ド では、 ア ク テ ィ ブ な シ ェ ルフ マネージ ャ が動作 し ていない こ と を検知 し た場合、 シ ェ ルフ マ ネージ ャ はア ク テ ィ ブ モー ド に切 り 替わるのを待ち ます。 ス テー タ スが “Empty” の場合、 [Active/Standby] は空白 と な り ます。 ブレード (FortiGate-5000 シャーシ スロット ) FortiGate-5000 シ リ ーズ モ ジ ュ ールが装着 さ れてい る FortiGate-5000 シ ャ ーシの ス ロ ッ ト の リ ス ト を表示する には、 [System]、[Chassis]、[Blades] の順に選択 し ます。 ス ロ ッ ト の リ ス ト には、 ス ロ ッ ト が未使用の状態か、 または FortiGate-5000 モ ジ ュ ールが装着 さ れてい る状態かが示 さ れます。 ス ロ ッ ト にモ ジ ュ ールが装着 さ れてい る場合、デ ィ ス プ レ イ にはス ロ ッ ト 内のモ ジ ュ ールの種類が示 さ れます。 ス ロ ッ ト には、 FortiGate-5001SX モ ジ ュ ールな どの ノ ー ド カ ー ド や、 FortiSwitch5003 モ ジ ュ ールな どのス イ ッ チ カ ー ド を装着で き ます。 接続先の FortiGate-5000 モ ジ ュ ールが装着 さ れている ス ロ ッ ト は、 黄色で強調表示 さ れます。 接続先の FortiGate-5000 シ リ ーズ モ ジ ュ ールが FortiGate-5050 シ ャ ーシに装着 さ れてい る場合、 ブ レ ー ド リ ス ト は 5 つの行が構成 さ れます。 FortiGate-5140 シ ャ ーシ では、 ブ レ ー ド リ ス ト に 14 行にな り ます。 モ ジ ュ ールが装着 さ れている各ス ロ ッ ト について、 ブ レ ー ド リ ス ト には、 ス ロ ッ ト 内のモ ジ ュ ールの温度 と 電圧が許容範囲内にあるかど う かが示 さ れます。 温度 と 電圧に “Good” と 表示 さ れれば、 モ ジ ュ ールは許容範囲内で動作 し てい ます。 温度または電圧に “Alarm” と 表示 さ れた場合、 温度ま たは電圧が許容範 囲外であ る ため、 シ ェ ルフ マネージ ャ が警告を記録 し ます。 SNMP が有効に設定 さ れ、 “Temperature too high” ( 温度超過 ) “Voltage out of range” ( 電圧許容範囲外 ) の SNMP イ ベン ト が選択 さ れている場合、 シ ェ ルフ マ ネージ ャが温度ま たは電圧の警告を記録する と 、 FortiGate-5000 モ ジ ュ ールの SNMP エージ ェ ン ト によ っ て SNMP ト ラ ッ プが送信 さ れます。 図 96: 182 FortiGate-5050 のブレード リストの例 [Refresh interval] ブ レー ド リ ス ト に表示 さ れる情報が Web ベース マネージ ャ で更新 さ れる頻度を設定 し ます。 [Refresh] ブ レー ド リ ス ト の表示情報を手動で更新 し ます。 [Slot #] シ ャ ーシのス ロ ッ ト 番号。FortiGate-5050 シ ャ ーシにはス ロ ッ ト 1 ~ 5、 FortiGate-5140 シ ャ ーシにはス ロ ッ ト 1 ~ 14 が示 さ れます。 [Blade Type] ス ロ ッ ト に ノ ー ド カ ー ド ( た と えば FortiGate-5001 SX モ ジ ュ ール ) またはス イ ッ チ カー ド ( た と えば FortiSwitch-5003 モ ジ ュ ール ) が装 着 さ れているかど う かが示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - シャーシ (FortiGate-5000 シリーズ ) [Temperature] ブレード (FortiGate-5000 シャーシ スロット ) 各ス ロ ッ ト 内のモ ジ ュ ールの温度セ ンサーが検知 し ている温度が許 容範囲内かど う かを示 し ます。 “Good” は、 監視 さ れている温度がす べて許容範囲内である こ と を示 し ます。 “Alarm” は、 監視 さ れてい る 温度が高すぎ るか ( 通常は約 75 ℃ )、 または低すぎ る (10 ℃以下 ) こ と を示 し ます。 温度イ ン ジケー タ 上にマウス を移動 さ せる と 、 モ ジ ュ ールの各セ ン サーが読み取っ ている温度を表示で き ます。 その表示内容には、 温 度セ ンサーの名前 と 温度の測定値が含まれます。 表示 さ れる温度は、 FortiGate または FortiSwitch モ ジ ュ ールによ っ て 異な り ます。 例 : FortiGate-5005FA2 モ ジ ュ ールの場合 : • Incoming Air-Flow ( 流入空気 ): 37 ℃ • • • CPU Board Temp (CPU ボー ド 温度 ): 49 ℃ CPU1 Temp (CPU1 温度 ): 65 ℃ CPU2 Temp (CPU2 温度 ): 66 ℃ FortiGate-5001SX モ ジ ュ ールおよび FortiGate-5001FA2 モ ジ ュ ールの 場合 : • TEMP1: 37 ℃ • TEMP2: 30 ℃ FortiSwitch-5003 モ ジ ュ ールの場合 : • Baseboard Temp ( ベースボー ド 温度 ): 35 ℃ • • • FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Board (BRD) Top Temp ( ボー ド (BRD) 上部温度 ): 33 ℃ BRD Bottom Temp (BRD 底部温度 ): 33 ℃ BRD Center Temp (BRD 中心部温度 ): 38 ℃ 183 シャーシ モニタリングのイベント ログ メッセージ [Voltage] システム - シャーシ (FortiGate-5000 シリーズ ) 各ス ロ ッ ト 内のモ ジ ュ ールの電圧センサーが検知 し ている電圧が許 容範囲内かど う かを示 し ます。 “Good” は、 監視 さ れている電圧がす べて許容範囲内である こ と を示 し ます。 “Alarm” は、 監視 さ れている 電圧が高すぎ るか、 または低すぎ る こ と を示 し ます。 各ス ロ ッ ト の電圧のイ ン ジケー タ 上にマウス を移動 さ せる と 、 各セ ンサーが読み取 っ ている電圧を表示で き ます。 各センサーが読み取 る情報 と し て、 設計電圧 ( た と えば 3.3V) と 実際に測定 さ れた電圧 ( た と えば 3.288V) があ り ます。 電圧の許容範囲はセ ンサーによ っ て異 な り ます。 表示 さ れる電圧は、 FortiGate-5000 シ リ ーズ モ ジ ュ ールによ っ て異 な り ます。 例 : FortiGate-5005FA2 モ ジ ュ ールの場合 : • CPU1 Voltage (CPU1 電圧 ): 1.1956V • • • • • • • CPU1 Voltage (CPU1 電圧 ): 1.1858V • • • • 3.3V: 3.4884V • • • • • • +2V: 1.989V +5.0V: 4.851V +3.3V: 3.321V +2.5V CPU1: 2.5376V +2.5V CPU2: 2.5498V +1.2V 1: 1.1956V +1.2V 2: 1.2054V FortiGate-5001SX モ ジ ュ ールおよび FortiGate-5001FA2 モ ジ ュ ールの 場合 : • 5V: 5.0764V 2.5V: 2.534V 1.8V: 1.8236V 1.5V: 1.5326V FortiSwitch-5003 モ ジ ュ ールの場合 : • +1.5V: 1.521V +2.5V: 2.4921V +3.3V: 3.3024V +3.3VSB: 3.3712V +5VSB5.096V +12V: 12.096V シャーシ モニタリングのイベント ログ メッセージ FortiGate-5000 シ リ ーズ モ ジ ュ ールでは、 シ ャ ーシ モニ タ リ ン グで通常の動作 パラ メ ー タ を逸脱 し た温度、 電圧、 またはフ ァ ン速度が検知 さ れた場合に、 表 31 に示 し た ロ グ メ ッ セージ を送信する こ と がで き ます。 表 31 のすべての メ ッ セージに、 シ ャ ーシのロ グ タ イ プ と 深刻度 ( 警告または重大 ) が含まれま す。 警告 メ ッ セージは、 重大でない し き い値に達する と 記録 さ れます。 重大 メ ッ セージは、 重大な し き い値に達する と 記録 さ れます。 184 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 システム - シャーシ (FortiGate-5000 シリーズ ) シャーシ モニタリングのイベント ログ メッセージ 表 31: シャーシ モニタリングの警告および重大イベント ログ メッセージ ID メッセージ 意味 99503 Chassis fan anomaly:Fan <fan_integer>, <rpm_integer> RPM Chassis fan anomaly シ ャ ーシのフ ァ ンが、 通常の動作範囲を逸脱 し た RPM 値で動作 し ています。 <fan_integer> は フ ァ ン ト レ イの番号です。 FortiGate-5140 では、 <fan_integer> は 0、 1、 または 2 と な り ます。 FortiGate-5050 にはフ ァ ン ト レ イは 1 つ し かあ り ません。 <rpm_integer> は、 動作 し ている フ ァ ンの RPM です。 99504 Chassis temperature anomaly:T <sensor_integer>, <temp_integer> Celsius 温度セ ンサーが、 こ のセ ンサーの通常の動作範 囲を逸脱 し た温度を検知 し ま し た。 通常の動作 範囲は 10 ~ 75 ℃です。 <temp_integer> は温度セ ンサーを識別 し ます。 <temp_integer> は、 セ ン サーが報告 し ている温度です。 99505 Chassis voltage anomaly:V<design_voltage>, <monitored_voltage> V シ ャ ーシ電圧セ ンサーが、 セ ンサーの動作範囲 を逸脱 し た電圧レ ベルを検知 し ま し た。 <design_voltage> は、 通常の動作時、 セ ンサーの 位置で回路に必要 と さ れる電圧です。 た と えば、 <design_voltage> は 3.3 や 5 な どの場合があ り ま す。 <monitored_voltage> は、 センサーで測定 さ れた実際の電圧です。 99506 Blade fan anomaly:Fan <fan_integer>, <rpm_integer> RPM ブ レー ド のフ ァ ンが、 通常の動作範囲を逸脱 し た RPM 値で動作 し ています。 <fan_integer> は、 フ ァ ン を識別 し ます。 <rpm_integer> は、 動作 し ている フ ァ ンの RPM です。 99507 Blade temperature anomaly:Blade <temp_integer>, <temp_integer> Celsius FortiGate-5000 または FortiSwitch-5000 シ リ ーズ モ ジ ュ ール上の温度セ ンサーが、 こ のセ ンサー の通常の動作範囲を逸脱 し た温度を検知 し ま し た。 通常の動作範囲は 10 ~ 75 ℃です。 <temp_integer> は、 モ ジ ュ ールの温度セ ンサーを 識別 し ます。 <temp_integer> は、 セ ンサーが報告 し ている温度です。 99508 Blade voltage anomaly:Blade <design_voltage>, <monitored_voltage> V FortiGate-5000 または FortiSwitch-5000 シ リ ーズ モ ジ ュ ール上の電圧セ ンサーが、 セ ンサーの動 作範囲を逸脱 し た電圧レ ベルを検知 し ま し た。 <design_voltage> は、 通常の動作時、 セ ンサーの 位置で回路に必要 と さ れる電圧です。 た と えば、 <design_voltage> は 3.3 や 5 な どの場合があ り ま す。 <monitored_voltage> は、 センサーで測定 さ れた実際の電圧です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 185 シャーシ モニタリングのイベント ログ メッセージ 186 システム - シャーシ (FortiGate-5000 シリーズ ) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック ルーティングの概念 ルータ - スタティック こ の項では、 一般的なルーテ ィ ン グの概念、 ス タ テ ィ ッ ク ルー ト の定義方法、 お よびルー ト ポ リ シーについて説明 し ます。 ルー ト は、 ネ ッ ト ワー ク 上の特定 の宛先にパケ ッ ト を転送するのに必要な情報を FortiGate ユニ ッ ト に提供 し ます。 パケ ッ ト は、 ス タ テ ィ ッ ク ルー ト によ っ て、 工場出荷時に設定 さ れてい るデ フ ォル ト ゲー ト ウ ェ イ以外の宛先へ と 転送 さ れます。 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォル ト ルー ト は、 デ フ ォ ル ト ゲー ト ウ ェ イ を設定する ための出発点 と な り ます。 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォ ル ト ルー ト を変更 し て異な るデ フ ォル ト ゲー ト ウ ェ イ を FortiGate ユ ニ ッ ト に設定するか、 または工場出荷時に設定済みのルー ト を削除 し て、 デ フ ォ ル ト ゲー ト ウ ェ イ を示すス タ テ ィ ッ ク デ フ ォル ト ルー ト を FortiGate ユニ ッ ト に設定する必要があ り ます。 191 ページの 「デ フ ォ ル ト ルー ト お よびデ フ ォ ル ト ゲー ト ウ ェ イ」 を参照 し て く だ さ い。 ス タ テ ィ ッ ク ルー ト は手動で定義 し ます。 FortiGate ユニ ッ ト か ら送出 さ れる ト ラ フ ィ ッ クはス タ テ ィ ッ ク ルー ト が制御 し ますが、 パケ ッ ト を送出する イ ン タ フ ェ ース と パケ ッ ト の転送先のデバイ スはユーザが指定で き ます。 オプ シ ョ ン でルー ト ポ リ シーを定義する こ と がで き ます。 ルー ト ポ リ シーは、 着信パケ ッ ト のプ ロパテ ィ を分析する ための基準を追加指定する ものです。 ルー ト ポ リ シーを使用する と 、 パケ ッ ト ヘ ッ ダ内の IP 送信元 / 宛先ア ド レ ス をは じ め、 パケ ッ ト を受信する イ ン タ フ ェ ース、 パケ ッ ト 送信に使用 さ れる プ ロ ト コ ル ( サービ ス ) やポー ト な どの条件に基づいてパケ ッ ト をルーテ ィ ン グする よ う に、 FortiGate ユニ ッ ト を設定で き ます。 こ の項には以下の ト ピ ッ クが含まれています。 • ルーテ ィ ン グの概念 • ス タ テ ィ ッ ク ルー ト • ポ リ シー ルー ト ルーティングの概念 ルーテ ィ ン グは複雑な テーマです。 FortiGate ユニ ッ ト はネ ッ ト ワー ク上のセ キ ュ リ テ ィ デバイ ス と し て機能 し 、 パケ ッ ト はその FortiGate ユニ ッ ト を経由 し なければな り ません。 そのため、 FortiGate ユニ ッ ト を適切に設定する には、 数々の基本的なルーテ ィ ン グの概念を理解する必要があ り ます。 管理する ネ ッ ト ワー クの規模の大小を問わず、 こ の項は FortiGate ユニ ッ ト がど のよ う にルーテ ィ ン グ機能を実行するのかを理解するのに役立ち ます。 こ の項には以下の ト ピ ッ クが含まれています。 • ルーテ ィ ン グ テーブルの成立ち • ルーテ ィ ン グの決定方法 • マルチパス ルーテ ィ ン グ と 最良のルー ト の決定ルー ト プ ラ イ オ リ テ ィ への ルー ト シーケ ン スの影響 • ルー ト プ ラ イ オ リ テ ィ へのルー ト シーケ ン スの影響 • 等価 コ ス ト マルチパス (ECMP) ルー ト FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 187 ルーティングの概念 ルータ - スタティック ルーティング テーブルの成立ち 工場出荷時では、 FortiGate のルーテ ィ ン グ テーブルにはス タ テ ィ ッ ク デ フ ォ ル ト ルー ト が 1 つ設定 さ れています。 別のス タ テ ィ ッ ク ルー ト を定義する こ と に よ り 、 ルーテ ィ ン グ テーブルにルーテ ィ ン グ情報を追加で き ます。 テーブルに は、 同 じ 宛先への異な るルー ト を い く つか含める こ と がで き ます。 その場合、 ルー タ またはルー タ に関連する FortiGate イ ン タ フ ェ ースに指定 さ れてい る ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ スは、 それぞれ別々にな る こ と があ り ます。 FortiGate ユニ ッ ト は、 ルーテ ィ ン グ テーブルの情報を評価する こ と で、 パケ ッ ト に 「最良」 のルー ト を選択 し ます。 宛先への最良のルー ト は通常、 FortiGate ユニ ッ ト と それに最 も近いネ ク ス ト ホ ッ プ ルー タ と の間の最短距離 と 関係 し ま す。 何 らかの理由で最良のルー ト が利用で き ない場合は、 その次に最良なルー ト が選択 さ れる場合があ り ます。 最良のルー ト は、 FortiGate のルーテ ィ ン グ テー ブルの一部であ る FortiGate の フ ォ ワーデ ィ ン グ テーブルに設定 さ れます。 パ ケ ッ ト は、 フ ォ ワーデ ィ ン グ テーブルの情報に基づいて転送 さ れます。 ルーティングの決定方法 パケ ッ ト が FortiGate ユニ ッ ト のイ ン タ フ ェ ースの 1 つに到達する と 、 FortiGate ユニ ッ ト は、 パケ ッ ト ヘ ッ ダの送信元 IP ア ド レ ス を使用 し て逆引き を行 う こ と に よ り 、 パケ ッ ト が正当な イ ン タ フ ェ ースで受信 さ れたかど う かを判断 し ます。 パケ ッ ト を受信 し た イ ン タ フ ェ ース を介 し て送信元 IP ア ド レ スの コ ン ピ ュ ー タ と 通信で き ない場合、 ハ ッ キン グの試みであ る こ と が考え ら れるので、 FortiGate ユニ ッ ト はパケ ッ ト を破棄 し ます。 宛先ア ド レ スがロー カル ア ド レ ス と 一致 し た場合 ( なおかつロー カル設定で配 信が許可 さ れてい る場合 )、 FortiGate ユニ ッ ト はロー カル ネ ッ ト ワー ク にパケ ッ ト を配信 し ます。 パケ ッ ト の宛先が別のネ ッ ト ワー ク であ る場合、 FortiGate ユ ニ ッ ト は、 ルー ト ポ リ シーまたは FortiGate フ ォ ワーデ ィ ン グ テーブルに保存 さ れた情報、 ある いはその両方に従 っ て、 ネ ク ス ト ホ ッ プ ルー タ にパケ ッ ト を転 送 し ます。 195 ページの 「ポ リ シー ルー ト 」 を参照 し て く だ さ い。 マルチパス ルーティングと最良のルートの決定 マルチパス ルーテ ィ ン グは、 同 じ 宛先へのエ ン ト リ がルーテ ィ ン グ テーブルに 複数存在する場合に発生 し ます。 マルチパス ルーテ ィ ン グが発生する と 、 FortiGate ユニ ッ ト は着信パケ ッ ト に複数の宛先を使用で き る こ と にな り 、 どの ネ ク ス ト ホ ッ プが最良か判断を迫 られます。 同 じ 宛先への複数のルー ト と い う 問題を手動で解決する には、 一方のルー ト の デ ィ ス タ ン ス を短 く するか、 または両方のルー ト にプ ラ イ オ リ テ ィ を設定する と い う 2 つの方法があ り ます。 FortiGate ユニ ッ ト にプ ラ イ マ リ ( 優先 ) ルー ト を選 択 さ せる には、 可能なルー ト のいずれかに関連 し たデ ィ ス タ ン ス を手動で短 く し ます。 デ ィ ス タ ン スは 1 ~ 255 の値を設定で き ます。 両方のルー ト のプ ラ イ オ リ テ ィ を手動で変更する と い う 方法 も あ り ます。 FortiGate ユニ ッ ト の 2 つのルー ト で、 ネ ク ス ト ホ ッ プのデ ィ ス タ ン スが同 じ で あ る と 、 パケ ッ ト がた ど るルー ト が明確でない場合があ り ます。 それらのルー ト のそれぞれにプ ラ イ オ リ テ ィ を設定すれば、 デ ィ ス タ ン スが同一の場合に使用 さ れる ネ ク ス ト ホ ッ プが明確にな り ます。 ルー ト のプ ラ イ オ リ テ ィ は、 CLI でのみ 設定で き ます。 プ ラ イ オ リ テ ィ の値が小 さ い方が優先 さ れます。 188 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック ルーティングの概念 ルーテ ィ ン グ テーブルのエ ン ト リ は、 すべてデ ィ ス タ ン ス と 関連付け られます。 同一の宛先をポ イ ン ト する エ ン ト リ がルーテ ィ ン グ テーブルに複数含まれてい る場合 ( エ ン ト リ のゲー ト ウ ェ イ またはイ ン タ フ ェ ースの関係は異な る可能性が あ り ます )、 FortiGate ユニ ッ ト はそれら のエ ン ト リ のデ ィ ス タ ン ス を比較 し て距 離が最短のエ ン ト リ を選択 し 、 FortiGate フ ォ ワーデ ィ ン グ テーブルにルー ト と し て設定 し ます。 その結果、 FortiGate フ ォ ワーデ ィ ン グ テーブルには、 可能な 限 り すべての宛先への距離が最短のルー ト のみが含まれる こ と にな り ます。 ス タ テ ィ ッ ク ルー ト に関連 し たデ ィ ス タ ン スの変更方法については、 194 ページの 「ルーテ ィ ン グ テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を参照 し て く だ さ い。 ルート プライオリティへのルート シーケンスの影響 FortiGate ユニ ッ ト がデ ィ ス タ ン スに基づいて フ ォ ワーデ ィ ン グ テーブルのス タ テ ィ ッ ク ルー ト を選択 し た後、 それ らのルー ト のシーケ ン ス番号に よ っ てルー テ ィ ン グのプ ラ イ オ リ テ ィ が決定 さ れます。 フ ォ ワーデ ィ ン グ テーブル内に同 じ 宛先のルー ト が 2 つ存在する場合、 シーケ ン ス番号の最 も小 さ いルー ト が最良 の選択にな り ます。 FortiOS v3.0 では、 CLI で設定 さ れたルー ト にプ ラ イ オ リ テ ィ フ ィ ール ド が追加 さ れています。 プ ラ イ オ リ テ ィ フ ィ ール ド は、 デ ィ ス タ ン スが等 し い 2 つの ルー ト を解決する ため、 ルー ト シーケ ン ス を無効に し ます。 プ ラ イ オ リ テ ィ フ ィ ール ド の値が最も小 さ いルー ト が、 最良のルー ト と 見な さ れます。 プ ラ イ オ リ テ ィ が同 じ か、 または使用 さ れていない場合は、 ルーテ ィ ン グ テーブル内で シーケ ン ス番号の最も小 さ いルー ト が最良のルー ト と な り ます。 最良のルー ト は プ ラ イ マ リ ルー ト で も あ り ます。 プ ラ イ オ リ テ ィ フ ィ ール ド を設定する コ マ ン ド は、 config route static コ マ ン ド 下の set priority <integer> で す。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 Web ベース マネージ ャ で [Static Route] リ ス ト にス タ テ ィ ッ ク ルー ト を追加す る場合、 FortiGate ユニ ッ ト は、 使用 さ れていない次のシーケ ン ス番号を自動的 に新エ ン ト リ に割 り 当て ます。 た と えば図 97 では、 同一の宛先 (1.1.1.0/24) への 2 つのス タ テ ィ ッ ク ルー ト が作成 さ れ、 エ ン ト リ 番号 と シーケ ン ス番号が Web ベース マネージ ャ を介 し て どのよ う に割 り 当て ら れるのかを示 し ています。 2 つのルー ト は同一のゲー ト ウ ェ イ を指定 し ていますが、 ある ケースでは、 パケ ッ ト は " ポー ト 1" と い う 名前のイ ン タ フ ェ ース を介 し て FortiGate ユニ ッ ト か ら 発信 さ れ、 また別のケースでは、 " ポー ト 2" と い う 名前のイ ン タ フ ェ ース を介 し て発信 さ れます。 図 97: Web ベース マネージャを介して作成されたスタティック ルート まずエ ン ト リ 番号 2 が作成 さ れ、 次にエ ン ト リ 番号 3 が作成 さ れています。 その ため、 ルーテ ィ ン グ テーブルにおける こ れ らのシーケ ン ス番号は、 それぞれ 2 と 3 にな り ます。 FortiGate ユニ ッ ト が宛先を同 じ く する これ ら 2 つのルー ト を 評価する場合、 2 つ と も デ ィ ス タ ン スが小 さ いため、 両方 と も フ ォ ワーデ ィ ン グ テーブルに追加 さ れます。 フ ォ ワーデ ィ ン グ テーブルにルー ト が追加 さ れる と 、 CLI の set priority コ マ ン ド で プ ラ イ オ リ テ ィ が設定 さ れていない限 り 、 そ のシーケ ン ス番号に よ っ てルー ト のプ ラ イ オ リ テ ィ が決定 し ます。 エ ン ト リ 番号 2 のシーケ ン ス番号が最 も小 さ いため、 こ れが優先ルー ト と な り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 189 スタティック ルート ルータ - スタティック 注記 : ス タ テ ィ ッ ク ルー ト のシーケ ン ス番号は、 CLI で config router static と 入 力 し た後、 get と 入力する こ と で、 ルーテ ィ ング テーブルに表示で き ます。 ルー ト の シーケン ス番号は、 CLI でス タ テ ィ ッ ク ルー ト を定義する際に入力する edit <ID_integer> の値 と 等 し く な り ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の config router static を参照 し て く だ さ い。 Web ベース マネージ ャ で ス タ テ ィ ッ ク ルー ト がすべて設定 さ れる と 、ス タ テ ィ ッ ク ルー タ リ ス ト のエ ン ト リ の順番は、 通常、 ルーテ ィ ン グ テーブルにおけ る ス タ テ ィ ッ ク ルー ト の順番 と 同一にな り ます。 ただ し 、 CLI でルー ト を追加する と き にス タ テ ィ ッ ク ルー ト のシーケ ン ス番号を指定で き る ため、 ルー ト のシーケ ン ス番号は ス タ テ ィ ッ ク ルー タ リ ス ト のエ ン ト リ の番号 と 常に一致する と は限 り ません。 シーケ ン ス番号は、 CLI でのみ、 ス タ テ ィ ッ ク ルー ト に指定で き ます。 ま と める と 、 ルーテ ィ ン グ テーブル内のあるルー ト のシーケ ン ス番号が同 じ 宛 先の他のルー ト よ り も小 さ い場合、 FortiGate ユニ ッ ト は他のルー ト を選択する 前に、 シーケ ン ス番号が小 さ いそのルー ト を選択 し ます。 ス タ テ ィ ッ ク ルー ト を設定する際、 使用する シーケ ン ス番号またはプ ラ イ オ リ テ ィ フ ィ ール ド の設 定を CLI で指定で き る ため、 シーケ ン ス番号お よびプ ラ イ オ リ テ ィ フ ィ ール ド の設定に従っ て、 同 じ 宛先の複数のルー ト にプ ラ イ オ リ テ ィ を設定する こ と がで き ます。 ス タ テ ィ ッ ク ルー ト を優先ルー ト と する には、 CLI コ マ ン ド config router static を使用 し てルー ト を作成 し 、 そのルー ト に小 さ いシーケ ン ス番 号ま たはプ ラ イ オ リ テ ィ を指定する必要があ り ます。 等価コスト マルチパス (ECMP) ルート 宛先が同 じ ルー ト が複数ある場合、 どのルー ト を設定 し て使用するか不明確な場 合があ り ます。 こ れは前述のよ う に、 距離 と プ ラ イ オ リ テ ィ に基づ き ます。 両方 のルー ト の距離も プ ラ イ オ リ テ ィ も同一であ る な らば、 それ らのルー ト は等価 コ ス ト マルチパス (ECMP) ルー ト と な り ます。 ECMP ルー ト で ロー ド バラ ン スが 設定 さ れている場合、 同 じ ア ド レ スに対 し てセ ッ シ ョ ン ご と に別々のルー ト が使 用 さ れ、 ト ラ フ ィ ッ クが負荷分散 さ れる こ と にな り ます。 スタティック ルート ス タ テ ィ ッ ク ルー ト は、 FortiGate ユニ ッ ト が傍受するパケ ッ ト の宛先 IP ア ド レ ス と ネ ッ ト マ ス ク を定義 し 、 それ らのパケ ッ ト の ( ゲー ト ウ ェ イ ) IP ア ド レ ス を 指定する こ と に よ っ て設定 し ます。 ゲー ト ウ ェ イ ア ド レ スは、 ト ラ フ ィ ッ クが ルーテ ィ ン グ さ れる ネ ク ス ト ホ ッ プ ルー タ を指定 し ます。 注記 : IPv6 ト ラ フ ィ ッ クのス タ テ ィ ッ ク ルー ト の追加、 編集、 削除には、 CLI コ マ ン ド config router static6 を使用で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 スタティック ルートの操作 ス タ テ ィ ッ ク ルー タ リ ス ト には、 パケ ッ ト をルーテ ィ ン グする ために FortiGate ユニ ッ ト がパケ ッ ト のヘ ッ ダ と 比較 し た情報が表示 さ れます。 当初、 こ の リ ス ト には工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォル ト ルー ト が含まれています。 191 ページの 「デ フ ォル ト ルー ト お よびデ フ ォル ト ゲー ト ウ ェ イ 」 を参照 し て く だ さ い。 新 し いエ ン ト リ は手動で追加で き ます。 190 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック スタティック ルート ス タ テ ィ ッ ク ルー タ リ ス ト にス タ テ ィ ッ ク ルー ト を追加する と 、 FortiGate ユ ニ ッ ト はその情報を評価 し 、 FortiGate のルーテ ィ ン グ テーブルにすでに存在す る他のルー ト と 比較 し て、 それが異な るルー ト かど う か判定 し ます。 宛先が同 じ ルー ト がルーテ ィ ン グ テーブルになければ、 FortiGate ユニ ッ ト はそのルー ト を ルーテ ィ ン グ テーブルに追加 し ます。 ス タ テ ィ ッ ク ルー ト の リ ス ト を表示する には、 [Router]、[Static]、[Static Route] の順に選択 し ます。 既存のス タ テ ィ ッ ク ルー ト のエ ン ト リ を編集する に は、 [Router]、[Static]、[Static Route] の順に選択 し 、 編集する エ ン ト リ の隣に あ る編集ア イ コ ン を選択 し ます。 図 98 は、 "External" お よび "Internal" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト のス タ テ ィ ッ ク ルー ト リ ス ト です。 FortiGate ユニ ッ ト 上の 実際のイ ン タ フ ェ ースの名前は こ れ と は異な る場合があ り ます。 図 98: スタティック ルート リスト 削除 編集 [Create New] ス タ テ ィ ッ ク ルー タ リ ス ト にス タ テ ィ ッ ク ルー ト を追加 し ます。 194 ページの 「ルーテ ィ ング テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を 参照 し て く だ さ い。 [IP] FortiGate ユニ ッ ト が傍受するパケ ッ ト の宛先 IP ア ド レ ス。 [Mask] IP ア ド レ スに関連 し たネ ッ ト ワー ク マス ク 。 [Gateway] 傍受 さ れたパケ ッ ト が転送 さ れる ネ ク ス ト ホ ッ プ ルー タ のIP ア ド レ ス。 [Device] 傍受 さ れたパケ ッ ト が送受信 さ れる FortiGate イ ン タ フ ェ ースの名前。 [Distance] 各ルー ト に関連 し たデ ィ ス タ ン ス。 値は、 ネ ク ス ト ホ ッ プ ルー タ への 距離を表 し ます。 削除アイコンと 編集アイコン リ ス ト のエ ン ト リ を削除または編集 し ます。 デフォルト ルートおよびデフォルト ゲートウェイ 工場出荷時の設定では、 ス タ テ ィ ッ ク ルー タ リ ス ト のエ ン ト リ 番号 1 は、 すべ ての宛先を意味す る宛先ア ド レ ス 0.0.0.0/0.0.0.0 に関連付け ら れてい ます。 こ の ルー ト は、 「ス タ テ ィ ッ ク デ フ ォ ル ト ルー ト 」 と 呼ばれます。 ルーテ ィ ン グテー ブルに他のルー ト が存在せず、 FortiGate ユニ ッ ト の先へ と パケ ッ ト を転送する必 要があ る場合、 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォル ト ルー ト によ り 、 FortiGate ユニ ッ ト はパケ ッ ト をデ フ ォル ト ゲー ト ウ ェ イ に転送 し ます。 こ れを防ぐ には、 工場出荷時に設定済みのス タ テ ィ ッ ク デ フ ォ ル ト ルー ト を編 集 し て異な るデ フ ォ ル ト ゲー ト ウ ェ イ を FortiGate ユニ ッ ト に指定するか、 また は工場出荷時に設定済みのルー ト を削除 し 、 デ フ ォ ル ト ゲー ト ウ ェ イ をポ イ ン ト する ス タ テ ィ ッ ク デ フ ォル ト ルー ト を自身で FortiGate ユニ ッ ト に指定する 必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 191 スタティック ルート ルータ - スタティック た と えば、 FortiGate ユニ ッ ト がルー タ に接続 し てい る図 99 を考え てみま し ょ う 。 ルー タ を超えた任意のネ ッ ト ワー ク を目的地 と する すべての送信パケ ッ ト が 適切な宛先へ と 確実にルーテ ィ ン グ さ れる よ う にする には、 工場出荷時のデ フ ォ ル ト 設定を編集 し て、 こ のルー タ を FortiGate ユニ ッ ト のデ フ ォ ル ト ゲー ト ウ ェ イ に設定する必要があ り ます。 図 99: ルータをデフォルト ゲートウェイとして設定 Internet Router 192.168.10.1 external FortiGate_1 Internal network 192.168.20.0/24 内部ネ ッ ト ワー クか ら ネ ッ ト ワー ク 192.168.20.0/24 上の宛先へ と 送信パケ ッ ト をルーテ ィ ン グする には、 デ フ ォ ル ト ルー ト を編集 し て以下の設定を含めます。 • [Destination IP/Mask]: 0.0.0.0/0.0.0.0 • [Gateway]: 192.168.10.1 • [Device]: ネ ッ ト ワー ク 192.168.10.0/24 に接続する イ ン タ フ ェ ースの名前 ( た と えば external) • [Distance]: 10 [Gateway] 設定には、 FortiGate 外部イ ン タ フ ェ ースへのネ ク ス ト ホ ッ プ ルー タ イ ン タ フ ェ ースの IP ア ド レ ス を指定 し ます。 ルー タ の背後のイ ン タ フ ェ ース (192.168.10.1) は、 FortiGate_1 のデ フ ォ ル ト ゲー ト ウ ェ イ です。 192 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック スタティック ルート 場合に よ っ ては、 FortiGate ユニ ッ ト の背後にルー タ が存在する こ と があ り ます。 パケ ッ ト の宛先 IP ア ド レ スがロー カル ネ ッ ト ワー ク ではな く 、 それ らのルー タ の背後のネ ッ ト ワー ク であ る場合、 FortiGate のルーテ ィ ン グ テーブルには、 そ のネ ッ ト ワー ク へのス タ テ ィ ッ ク ルー ト が含まれてい る必要があ り ます。 た と えば図 100 では、 FortiGate ユニ ッ ト が Network_1 と Network_2 にパケ ッ ト を転送 する ためには、 それぞれイ ン タ フ ェ ース 192.168.10.1 と 192.168.11.1 へのス タ テ ィ ッ ク ルー ト を こ のユニ ッ ト に設定する必要があ り ます。 図 100: 宛先が内部ルータの背後のネットワークである場合 Internet FortiGate_1 internal Router_1 192.168.10.1 Network_1 192.168.20.0/24 dmz 192.168.11.1 Router_2 Network_2 192.168.30.0/24 Network_1 から Network_2 にパケ ッ ト をルーテ ィ ン グする には、 FortiGate 内部イ ン タ フ ェ ース をデ フ ォル ト ゲー ト ウ ェ イ と し て使用する よ う に Router_1 を設定 する必要があ り ます。 FortiGate ユニ ッ ト には、 新 し いス タ テ ィ ッ ク ルー ト を以 下の設定で作成 し ます。 [Destination IP/Mask]: 192.168.30.0/24 [Gateway]: 192.168.11.1 [Device]: dmz [Distance]: 10 Network_2 から Network_1 にパケ ッ ト をルーテ ィ ン グする には、 FortiGate dmz イ ン タ フ ェ ース をデ フ ォル ト ゲー ト ウ ェ イ と し て使用する よ う に Router_2 を設定 する必要があ り ます。 FortiGate ユニ ッ ト には、 新 し いス タ テ ィ ッ ク ルー ト を以 下の設定で作成 し ます。 [Destination IP/Mask]: 192.168.20.0/24 [Gateway]: 192.168.10.1 [Device]: internal [Distance]: 10 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 193 スタティック ルート ルータ - スタティック デフォルト ルートのゲートウェイの変更 デ フ ォ ル ト ゲー ト ウ ェ イは、 デ フ ォル ト ルー ト に一致するパケ ッ ト の転送先を 決定 し ます。 デフォルト ルートのゲートウェイを変更するには 1 [Router]、[Static]、[Static Route] の順に選択 し ます。 2 1 列目の [ 編集 ] ア イ コ ン を選択 し ます。 3 [Gateway] フ ィ ール ド に、 送信 ト ラ フ ィ ッ ク を方向づけ る こ と ので き る ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 4 FortiGate ユニ ッ ト が、 [Device] フ ィ ール ド で現在選択 さ れてい る イ ン タ フ ェ ース と は別のイ ン タ フ ェ ース を介 し てネ ク ス ト ホ ッ プ ルー タ に到達する場合、 [Device] フ ィ ール ド から イ ン タ フ ェ ースの名前を選択 し ます。 5 [Distance] フ ィ ール ド では、 オ プ シ ョ ン でデ ィ ス タ ン スの値を調整 し ます。 6 [OK] を選択 し ます。 ルーティング テーブルへのスタティック ルートの追加 ルー ト は、 特定の宛先にパケ ッ ト を転送するのに必要な情報を FortiGate ユニ ッ ト に提供 し ます。 パケ ッ ト は、 ス タ テ ィ ッ ク ルー ト に よ っ て、 デ フ ォル ト ゲー ト ウ ェ イ以外の宛先へ と 転送 さ れます。 ス タ テ ィ ッ ク ルー ト は手動で定義 し ます。 FortiGate ユニ ッ ト から 送出 さ れる ト ラ フ ィ ッ クはス タ テ ィ ッ ク ルー ト が制御 し ますが、 パケ ッ ト を送出する イ ン タ フ ェ ース と パケ ッ ト の転送先のデバイ スはユーザが指定で き ます。 ス タ テ ィ ッ ク ルー ト を追加する には、 [Router]、[Static]、[Static Routes] の順 に選択 し て、 [Create New] を選択 し ます。 Web ベース マネージ ャ で ス タ テ ィ ッ ク ルー ト を追加する場合、 FortiGate ユニ ッ ト は、 使用 さ れていない次のシーケ ン ス番号を自動的にルー ト に割 り 当て て、 そ のエ ン ト リ を ス タ テ ィ ッ ク ルー タ リ ス ト に追加 し ます。 図 101 は、 "internal" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [Edit Static Route] ダ イ ア ロ グ ボ ッ ク スです。 FortiGate ユニ ッ ト 上の実際のイ ン タ フ ェ ースの名前は こ れ と は異な る場合があ り ます。 図 101: 194 [Edit Static Route] [Destination IP/Mask] FortiGate ユニ ッ ト が傍受する必要のあるパケ ッ ト の宛先 IP ア ド レ スお よびネ ッ ト ワー ク マス ク を入力 し ます。 0.0.0.0/0.0.0.0 の値は、 デ フ ォル ト ルー ト に予約 さ れています。 [Gateway] 傍受 し たパケ ッ ト を FortiGate ユニ ッ ト が転送する ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック ポリシー ルート [Device] 傍受 さ れたパケ ッ ト を ネ ク ス ト ホ ッ プ ルー タ へ と ルーテ ィ ングで き る FortiGate イ ン タ フ ェ ースの名前を選択 し ます。 [Distance] ルー ト のデ ィ ス タ ン ス を入力 し ます。 距離の値は任意で、 ネ ク ス ト ホ ッ プ ルー タ への距離を反映 さ せる必要があ り ます。 値が小 さ いほど、 優先 さ れるルー ト である こ と を示 し ます。 値は 1 ~ 255 の整数を設定で き ま す。 ポリシー ルート パケ ッ ト が FortiGate ユニ ッ ト のイ ン タ フ ェ ースに到達する と 、 FortiGate ユニ ッ ト は、 パケ ッ ト ヘ ッ ダの送信元 IP ア ド レ ス を使用 し て逆引き を行 う こ と によ り 、 パケ ッ ト が正当な イ ン タ フ ェ ース で受信 さ れたかど う かを判断 し ます。 パ ケ ッ ト を受信 し た イ ン タ フ ェ ース を介 し て送信元 IP ア ド レ スの コ ン ピ ュ ー タ と 通信で き ない場合、 FortiGate ユニ ッ ト はパケ ッ ト を破棄 し ます。 宛先ア ド レ スがロー カル ア ド レ ス と 一致 し た場合 ( なおかつロ ー カル設定で配 信が許可 さ れてい る場合 )、 FortiGate ユニ ッ ト はロー カル ネ ッ ト ワー ク にパ ケ ッ ト を配信 し ます。 パケ ッ ト の宛先が別のネ ッ ト ワー ク であ る場合、 FortiGate ユニ ッ ト は、 ルー ト ポ リ シーまたは FortiGate フ ォ ワーデ ィ ン グ テーブルに保 存 さ れた情報、 ある いはその両方に従 っ て、 ネ ク ス ト ホ ッ プ ルー タ にパケ ッ ト を転送 し ます (187 ページの 「ルーテ ィ ン グの概念」 を参照 )。 ルーテ ィ ン グ ポ リ シーが存在する場合、 パケ ッ ト が FortiGate ユニ ッ ト に到達す る と 、 FortiGate ユニ ッ ト は [Policy Route] リ ス ト の先頭か ら開始 し て、 パケ ッ ト と ポ リ シーの照合を試みます。 一致する こ と が判明 し 、 パケ ッ ト をルーテ ィ ン グ するのに十分な情報がポ リ シーに含まれていれば ( ネ ク ス ト ホ ッ プ ルー タ にパ ケ ッ ト を転送する ための FortiGate イ ン タ フ ェ ース と と も に、 ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ スが指定 さ れてい る必要があ り ます )、 FortiGate ユニ ッ ト は そのポ リ シーの情報を使用 し てパケ ッ ト をルーテ ィ ン グ し ます。 パケ ッ ト に一致 するルー ト ポ リ シーがない場合、 FortiGate ユニ ッ ト はルーテ ィ ン グ テーブルを 使用 し てパケ ッ ト をルーテ ィ ン グ し ます。 注記 : 大部分のポ リ シー設定はオプ シ ョ ン である ため、 一致するポ リ シーの情報だけで は、 FortiGate ユニ ッ ト がパケ ッ ト を転送するには不十分である場合があ り ます。 FortiGate ユニ ッ ト は、 パケ ッ ト ヘ ッ ダ内の情報をルーテ ィ ング テーブルのルー ト と 一致 さ せる ために、 ルーテ ィ ン グ テーブルを参照する こ と があ り ます。 た と えば、 ポ リ シーの情報では送信イ ン タ フ ェ ース以外わか ら ない場合、 FortiGate ユ ニ ッ ト はルーテ ィ ン グ テーブルにおける ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を検索 し ま す。 こ う し た状況が発生する可能性があるのは、 FortiGate イ ン タ フ ェ ースが動的 ( イ ン タ フ ェ ースは DHCP または PPPoE を介 し て IP ア ド レ ス を入手 ) で、 IP ア ド レ スの変更が動 的である ために、 ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を変更 し た く ない場合や変更で き ない場合です。 ルー ト ポ リ シーの リ ス ト を表示する には、 [Router]、[Static]、[Policy Route] の 順に選択 し ます。 既存のルー ト ポ リ シーを編集する には、 [Router]、[Static]、 [Policy Route] の順に選択 し 、 編集する ポ リ シーの隣にあ る編集ア イ コ ン を選択 し ます。 図 102 は、 "external" お よび "internal" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト のポ リ シー ルー ト リ ス ト です。 FortiGate ユニ ッ ト 上の実際 のイ ン タ フ ェ ースの名前はこ れ と は異な る場合があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 195 ポリシー ルート ルータ - スタティック 図 102: ポリシー ルート リスト 削除 編集 移動 [Create New] ルー ト ポ リ シーを追加 し ます。 196 ページの 「ルー ト ポ リ シーの追加」 を 参照 し て く だ さ い。 # 設定 さ れたルー ト ポ リ シーの ID 番号。 これ らの番号は、 テーブル内でポ リ シーが移動 さ れていない限 り 、 連番 と な り ます。 [Incoming] ルー ト ポ リ シーの対象 と な るパケ ッ ト を受信する イ ン タ フ ェ ース。 [Outgoing] ポ リ シーによ っ てルーテ ィ ング さ れるパケ ッ ト をルーテ ィ ングする イ ン タ フ ェ ース。 [Source] ポ リ シー ルーテ ィ ングを実行する IP 送信元ア ド レ スおよびネ ッ ト ワー ク マス ク。 [Destination] ポ リ シー ルーテ ィ ングを実行する IP 宛先ア ド レ スおよびネ ッ ト ワー ク マ ス ク。 削除アイコン ポ リ シー ルー ト を削除する場合に選択 し ます。 編集アイコン ポ リ シー ルー ト を編集する場合に選択 し ます。 移動アイコン ポ リ シー ルー ト テーブル内でポ リ シーを上下に移動する場合に選択 し ま す。 このア イ コ ン を選択する と [Move Policy Route] 画面が表示 さ れ、 [Policy Route] テーブル内の新 し い場所を指定で き ます。 「ルー ト ポ リ シー の移動」 を参照 し て く だ さ い。 ルート ポリシーの追加 ルー ト ポ リ シー オプ シ ョ ンは、 ポ リ シー ルーテ ィ ン グ を発生 さ せる着信パケ ッ ト の属性を定義 し ます。 パケ ッ ト の属性がすべての指定条件 と 一致 し た場合 と 、 FortiGate ユニ ッ ト は指定ゲー ト ウ ェ イへの指定イ ン タ フ ェ ース を介 し てパケ ッ ト をルーテ ィ ン グ し ます。 ルー ト ポ リ シーを追加する には、 [Router]、[Static]、[Policy Route] の順に選択 し て、 [Create New] を選択 し ます。 図 103 は、 "external" およ び "internal" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [New Routing Policy] ダ イ ア ロ グ ボ ッ ク ス です。 FortiGate ユ ニ ッ ト 上の実際のイ ン タ フ ェ ースの名前はこ れ と は異な る場合があ り ます。 図 103: 196 [New Routing Policy] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - スタティック ポリシー ルート [Protocol] パケ ッ ト のプ ロ ト コル フ ィ ール ド の値に基づいてポ リ シー ルー テ ィ ング を実行するには、 一致する プ ロ ト コル番号を入力 し ます。 範囲は 0 ~ 255 です。 0 の値で機能は無効にな り ます。 [Incoming Interface] ポ リ シーの対象 と な る着信パケ ッ ト が経由する イ ン タ フ ェ ースの名 前を選択 し ます。 [Source Address / Mask] パケ ッ ト の IP 送信元ア ド レ スに基づいてポ リ シー ルーテ ィ ング を 実行するには、 一致する送信元ア ド レ ス と ネ ッ ト ワー ク マス ク を 入力 し ます。 0.0.0.0/0.0.0.0 の値で機能は無効にな り ます。 [Destination Address パケ ッ ト の IP 宛先ア ド レ スに基づいてポ リ シー ルーテ ィ ング を実 行するには、 一致する宛先ア ド レ ス と ネ ッ ト ワー ク マス ク を入力 / Mask] し ます。 0.0.0.0/0.0.0.0 の値で機能は無効にな り ます。 [Destination Ports] パケ ッ ト を受信するポー ト に基づいてポ リ シー ルーテ ィ ング を実 行するには、 [From] および [To] のフ ィ ール ド と 同 じ ポー ト 番号を 入力 し ます。 ポ リ シー ルーテ ィ ングを さ ま ざ ま なポー ト に適用す る場合、 [From] フ ィ ール ド に最初のポー ト 番号を、 そ し て [To] フ ィ ール ド に最後のポー ト 番号を入力 し ます。 0 の値で機能は無効 にな り ます。 [Outgoing Interface] ポ リ シーの影響を受けるパケ ッ ト がルーテ ィ ング さ れる イ ン タ フ ェ ースの名前を選択 し ます。 [Gateway Address] 指定 さ れた イ ン タ フ ェ ース を通 じ て FortiGate ユニ ッ ト がア ク セス で き る ネ ク ス ト ホ ッ プ ルー タ の IP ア ド レ ス を入力 し ます。 0.0.0.0 の値は無効です。 ルート ポリシーの移動 ルーテ ィ ン グ ポ リ シーを作成する と 、 ルーテ ィ ン グ テーブルの最下部に追加 さ れます。 ある ポ リ シーを優先的に使用する場合、 そのポ リ シーをルーテ ィ ン グ ポ リ シー テーブルの別の場所に移す こ と がで き ます。 た と えば 172.20.0.0/255.255.0.0 と 172.20.120.0/255.255.255.0 のよ う に 2 つのルー ト が合致する と 、 ど ち ら か一方のルー ト を選択 し なければな り ません。 こ れら の ルー ト がいずれも ポ リ シー テーブルにあ る場合、 ど ち ら も 172.20.120.112 への ルー ト に合致 し ますが、 後者の方がよ り 適 し ています。 その場合、 ポ リ シー テーブル内で最適なルー ト を他方のルー ト よ り も前に配置する必要があ り ます。 CLI を使用する と 、 ルー ト にプ ラ イ オ リ テ ィ を指定で き ます。 ルーテ ィ ン グ テー ブルで 2 つの一致があ る場合、 どのルー ト を使用するかはプ ラ イ オ リ テ ィ で決定 さ れます。 こ の機能は、 CLI でのみ可能です。 図 104: [Move Policy Route] [Before / After] 選択 し たポ リ シー ルー ト を表示のルー ト の前に配置するには、 [Bofore] を選択 し ます。 表示のルー ト の後に配置するには [After] を選択 し ます。 [Policy route ID] ポ リ シー ルー ト テーブル内のルー ト のポ リ シー ルー ト ID を入 力 し 、 選択 し たルー ト を前後に移動 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 197 ポリシー ルート 198 ルータ - スタティック FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック RIP ルータ - ダイナミック こ の項では、 大規模または複雑なネ ッ ト ワー ク を介 し て ト ラ フ ィ ッ ク をルーテ ィ ン グする ために動的プ ロ ト コ ルを設定する方法について説明 し ます。 ダ イ ナ ミ ッ ク ルーテ ィ ン グ プ ロ ト コ ルを使用する と 、 FortiGate ユニ ッ ト は、 ルー ト に関す る情報の隣接ルー タ と の共有や、 隣接ルー タ に よ っ てア ド バ タ イ ズ さ れたルー ト お よびネ ッ ト ワー クの学習を自動的に行 う こ と がで き ます。 FortiGate ユニ ッ ト は、 次のダ イ ナ ミ ッ ク ルーテ ィ ン グ プ ロ ト コ ルをサポー ト し ています。 • RIP (Routing Information Protocol) • OSPF (Open Shortest Path First) • BGP (Border Gateway Protocol) 注記 : 基本的な RIP、 OSPF、 および BGP ルーテ ィ ング オプ シ ョ ンは、 Web ベース マネー ジ ャ で設定で き ます。 追加オプ シ ョ ンの多 く は、 CLI コ マ ン ド を使用 し てのみ設定で き ま す。 RIP、 OSPF、 および BGP 設定を設定する ための CLI コ マ ン ド の詳細な説明 と 使用方法 の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト は、 ユーザが指定 し たルールに基づいてルー ト を選択 し 、 ルーテ ィ ン グ テーブルを動的に更新 し ます。 一連のルールが指定 さ れる と 、 FortiGate ユニ ッ ト は、 パケ ッ ト を宛先に送信する ための最適なルー ト またはパ ス を決定で き ます。 また、 隣接ルー タ へのルー ト のア ド バ タ イ ズを抑制する ため のルールを定義 し た り 、 ア ド バ タ イ ズ さ れる前の FortiGate ルーテ ィ ン グ情報を 変更 し た り する こ と も で き ます。 注記 : FortiGate ユニ ッ ト は、 ルー ト バーチ ャ ル ド メ イ ン内で PIM (Protocol Independent Multicast) バージ ョ ン 2 ルー タ と し て動作で き ます。 FortiGate ユニ ッ ト は、 PIM スパース モー ド およびデン ス モー ド をサポー ト し てお り 、 FortiGate イ ン タ フ ェ ースが接続 さ れて いる ネ ッ ト ワー ク セグ メ ン ト 上のマルチキ ャ ス ト サーバまたはレ シーバにサービ ス を提 供で き ます。 PIM は、 静的ルー ト 、 RIP、 OSPF、 または BGP を使用 し て、 マルチキ ャ ス ト パケ ッ ト を宛先に転送で き ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • RIP OSPF BGP マルチキ ャ ス ト RIP RIP は、 小規模で、 比較的均質なネ ッ ト ワー ク向けの、 距離ベ ク ト ル ルーテ ィ ン グ プ ロ ト コ ルです。 FortiGate での RIP の実装は、 RIP バージ ョ ン 1 (RFC 1058 を参照 ) お よび RIP バージ ョ ン 2 (RFC 2453 を参照 ) をサポー ト し ています。 注記 : 基本的なルーテ ィ ング オプ シ ョ ンは、 Web ベース マネージ ャ で設定で き ます。 追 加オプ シ ョ ンの多 く は、 CLI コ マ ン ド を使用 し てのみ設定で き ます。 RIP 設定を設定する ための CLI コ マ ン ド の詳細な説明 と 使用方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 199 RIP ルータ - ダイナミック RIP の動作 RIP が有効にな っ てい る場合、 FortiGate ユニ ッ ト は、 RIP が有効な各イ ン タ フ ェ ースから の RIP 更新への要求を ブ ロー ド キ ャ ス ト し ます。 隣接ルー タ は、 そ れぞれのルーテ ィ ン グ テーブルの情報で応答 し ます。 FortiGate ユニ ッ ト は、 隣 接ルー タ から のルー ト がまだ独自のルーテ ィ ン グ テーブルに記録 さ れていない 場合にのみ、 それら のルー ト をルーテ ィ ン グ テーブルに追加 し ます。 ルー ト が すでにルーテ ィ ン グ テーブル内に存在する場合、 FortiGate ユニ ッ ト は、 ア ド バ タ イ ズ さ れたルー ト と 記録 さ れてい るルー ト を比較 し 、 最短のルー ト をルーテ ィ ン グ テーブル用に選択 し ます。 RIP は、 最適なルー ト を選択する ための メ ト リ ッ ク と し てホ ッ プ カ ウン ト を使用 し ます。 1 のホ ッ プ カ ウ ン ト は、 FortiGate ユニ ッ ト に直接接続 さ れてい る ネ ッ ト ワー ク を表 し ます。 こ れに対 し て、 16 のホ ッ プ カ ウ ン ト は、 FortiGate ユニ ッ ト が到達で き ないネ ッ ト ワー ク を表 し ます。 通常は、 パケ ッ ト が宛先に到達する ま でに経由する各ネ ッ ト ワー クが 1 ホ ッ プ と し て カ ウン ト さ れます。 FortiGate ユニ ッ ト が同 じ 宛先への 2 つのルー ト を比較 し た と き、 ホ ッ プ カ ウ ン ト の最 も 小 さ いルー ト がルーテ ィ ン グ テーブルに追加 さ れます。 同様に、 イ ン タ フ ェ ース上で RIP が有効にな っ てい る場合、 FortiGate ユニ ッ ト は隣接ルー タ に定期的に RIP 応答を送信 し ます。 こ れ らの更新では、 FortiGate ルーテ ィ ン グ テーブル内のルー ト に関する情報が、 こ れ らのルー ト を ア ド バ タ イ ズする ためにユーザが指定 し たルールに従っ て提供 さ れます。 ユーザは、 FortiGate ユニ ッ ト が更新を送信する頻度や、 更新せずにルー ト を FortiGate ルー テ ィ ン グ テーブル内に保持で き る期間、 また定期的に更新 さ れないルー ト につ いては、 FortiGate ユニ ッ ト が FortiGate ルーテ ィ ン グ テーブルからルー ト を削除 する ま でにそのルー ト を到達不可 と し て ア ド バ タ イ ズする期間を指定で き ます。 基本的な RIP 設定の表示と編集 RIP 設定を設定する場合は、 RIP を実行 し てい る ネ ッ ト ワー ク を指定する と 共に、 RIP が有効なネ ッ ト ワー ク に接続 さ れてい る FortiGate イ ン タ フ ェ ース上の RIP 動作を調整する ために必要なすべての追加の設定を指定する必要があ り ます。 RIP ネ ッ ト ワー ク に接続 さ れた FortiGate ユニ ッ ト の基本的な設定を設定する に は、 [Router]、[Dynamic]、[RIP] の順に選択 し ます。 RIP が有効な イ ン タ フ ェ ー スの動作パラ メ ー タ を編集する には、 [Router]、[Dynamic]、[RIP] の順に選択 し 、 RIP が有効な イ ン タ フ ェ ースに対応 し た行にある編集ア イ コ ン を選択 し ます。 図 105 は、 "dmz" お よび "external" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の基本的な RIP 設定です。 FortiGate ユニ ッ ト 上の実際のイ ン タ フ ェ ースの名前は こ れ と は異な る場合があ り ます。 200 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック RIP 図 105: 基本的な RIP 設定 削除 削除 編集 [RIP Version] FortiGate ユニ ッ ト で必要な RIP 互換性のレ ベルを選択 し ます。 RIP が有 効なネ ッ ト ワー ク に接続 さ れたすべての FortiGate イ ン タ フ ェ ース上でグ ローバルな RIP 設定を有効にする こ と がで き ます。 • RIP バージ ョ ン 1 パケ ッ ト を送受信するには、 [1] を選択 し ます。 • RIP バージ ョ ン 2 パケ ッ ト を送受信するには、 [2] を選択 し ます。 必要に応 じ て、 特定の FortiGate イ ン タ フ ェ ースのグローバル設定を置き 換え る こ と がで き ます (203 ページの 「イ ン タ フ ェ ース上の RIP 動作パラ メ ー タ の置き換え」 を参照 )。 [Advanced Options] RIP 詳細設定オプ シ ョ ン を選択 し ます。 202 ページの 「RIP 詳細設定オプ シ ョ ンの選択」 を参照 し て く だ さ い。 [Networks] RIP を実行 し ている (FortiGate ユニ ッ ト に接続 さ れた ) 主要なネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 [Networks] リ ス ト にネ ッ ト ワー ク を追加する と 、 そのネ ッ ト ワー ク に含まれている FortiGate イ ン タ フ ェ ースが RIP 更新でア ド バ タ イ ズ さ れます。 RIP ネ ッ ト ワー ク ア ド レ ス空間に一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上 で RIP を有効にする こ と がで き ます。 [Interfaces] [IP/Netmask] RIP が有効なネ ッ ト ワー ク を定義する IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 [Add] [Networks] リ ス ト にネ ッ ト ワー ク 情報を追加する場合 に選択 し ます。 FortiGate イ ン タ フ ェ ース上の RIP 動作を調整する ために必要な任意の追 加の設定。 [Create New] イ ン タ フ ェ ースの RIP 動作パラ メ ー タ を設定する場合 に選択 し ます。 これら のパラ メ ー タ によ っ て、 そのイ ン タ フ ェ ースのグローバルな RIP 設定が置き換え ら れ ます。 203 ページの 「イ ン タ フ ェ ース上の RIP 動作パ ラ メ ー タ の置き換え」 を参照 し て く だ さ い。 [Interface] RIP 動作パラ メ ー タ を設定する イ ン タ フ ェ ース を選択 し ます。 [Send Version] 各イ ン タ フ ェ ース を介 し て更新を送信する ために使用 する RIP のバージ ョ ン を [1]、 [2]、 または [Both] から 選択 し ます。 [Receive Version] 各イ ン タ フ ェ ース上で更新を待機する ために使用する RIP のバージ ョ ン を [1]、 [2]、 または [Both] か ら選択 し ます。 [Authentication] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 このイ ン タ フ ェ ース上で使用する認証の種類を [None]、 [Text]、 または [MD5] から 選択 し ます。 201 RIP ルータ - ダイナミック [Passive] こ のイ ン タ フ ェ ース上で RIP ブ ロー ド キ ャ ス ト を ブ ロ ッ ク する場合に選択 し ます。 削除アイコン RIP ネ ッ ト ワー ク エ ン ト リ または RIP イ ン タ フ ェ ース定義を削除または と編集アイコ 編集 し ます。 ン RIP 詳細設定オプションの選択 RIP 詳細設定オ プ シ ョ ン を使用する と 、 RIP タ イ マの設定を指定 し た り 、 FortiGate ユニ ッ ト が RIP 更新以外の何ら かの手段に よ っ て学習するルー ト を再配布する た めの メ ト リ ッ ク を定義 し た り する こ と がで き ます。 た と えば、 FortiGate ユニ ッ ト が OSPF または BGP ネ ッ ト ワー ク に接続 さ れている場合、 ま たは FortiGate ルー テ ィ ン グ テーブルに静的ルー ト を手動で追加する場合は、 こ れらのルー ト を RIP が有効な イ ン タ フ ェ ース上でア ド バ タ イ ズする よ う にFortiGateユニ ッ ト を設定で き ます。 RIP 詳細設定オ プ シ ョ ン を選択する には、 [Router]、[Dynamic]、[RIP] の順に選 択 し 、 [Advanced Options] を展開 し ます。 オプ シ ョ ン を選択 し た ら 、 [Apply] を選 択 し ます 注記 : 追加の詳細設定オプ シ ョ ンは、 CLI を使用 し て設定で き ます。 た と えば、 受信 し た 更新または送信する更新を、 ルー ト マ ッ プ、 ア ク セス リ ス ト 、 またはプ レ フ ィ ッ ク ス リ ス ト を使用 し て フ ィ ル タ 処理で き ます。 FortiGate ユニ ッ ト ではまた、 指定 し たオ フ セ ッ ト をルー ト の メ ト リ ッ ク に追加する オ フ セ ッ ト リ ス ト も サポー ト さ れています。 詳細に ついては、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 図 106: 202 高度なオプション (RIP) [Default Metric] FortiGate ユニ ッ ト が、 Fortinet ルーテ ィ ング テーブルに追加 さ れたルー ト に割 り 当て るデ フ ォル ト のホ ッ プ カ ウン ト を入力 し ます。 範囲は 1 ~ 16 です。 特に指定 さ れていない限 り 、 この値は [Redistribute] に も適用 さ れます。 [Enable Defaultinformation-originate] FortiGate ユニ ッ ト の RIP が有効なネ ッ ト ワー ク へのデ フ ォル ト ルー ト を生成 し 、 無条件にア ド バ タ イズする場合にオ ンに し ま す。 生成 さ れるルー ト は、 ダ イ ナ ミ ッ ク ルーテ ィ ング プ ロ ト コ ルを介 し て学習 さ れたルー ト 、 ルーテ ィ ング テーブル内のルー ト 、 またはその両方に基づいている可能性があ り ます。 [RIP Timers] デ フ ォル ト の RIP タ イ マ設定を置き換えます。 デ フ ォル ト 設定 は、 ほ と んどの構成で有効です。 これら の設定を変更する場合 は、 新 し い設定がロー カル ルー タ やア ク セス サーバ と 互換性が ある こ と を慎重に確認 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック RIP [Redistribute] [Update] FortiGate ユニ ッ ト が RIP 更新を送信する間に待つ 時間 ( 秒単位 ) を入力 し ます。 [Timeout] ルー ト に関する更新が受信 さ れな く て も 、 その ルー ト が到達可能 と 見な さ れる最長時間 ( 秒単位 ) を入力 し ます。 これは、 ルー ト に関する更新が受 信 さ れな く て も 、 FortiGate ユニ ッ ト がその到達可 能なルー ト をルーテ ィ ング テーブル内に保持する 最長時間です。 [Timeout] の期間が切れる前に FortiGate ユニ ッ ト がそのルー ト に関する更新を受 信する と 、 タ イ マは再起動 さ れます。 [Timeout] の期間は、 [Update] の期間の少な く と も 3 倍の長 さ にする必要があ り ます。 [Garbage] FortiGate ユ ニ ッ ト がルー テ ィ ン グ テ ー ブ ルか ら ルー ト を 削除す る ま で に そのルー ト を 到達不可 と し てア ド バ タ イズする時間 ( 秒単位 ) を入力 し ます。 この値によ っ て、 到達不可のルー ト がルーテ ィ ング テーブル内に保持 さ れる期間が決定 さ れます。 RIP を介 し て学習 さ れなか っ たルー ト に関する RIP 更新を有効ま たは無効に し ます。 FortiGate ユニ ッ ト は、 RIP を使用 し て、 直 接接続 さ れたネ ッ ト ワー ク 、 静的ルー ト 、 OSPF、 または BGP から 学習 さ れたルー ト を再配布で き ます。 [Connected] 直接接続 さ れたネ ッ ト ワー ク から 学習 さ れたルー ト を再配布する場合にオンに し ます。 これら の ルー ト のホ ッ プ カ ウン ト を指定する場合は、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウン ト を入力 し ます。 範囲は 1 ~ 16 です。 [Static] 静的ルー ト から 学習 さ れたルー ト を再配布する場 合にオンに し ます。 これら のルー ト のホ ッ プ カ ウ ン ト を指定する場合は、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウン ト を入力 し ま す。 範囲は 1 ~ 16 です。 [OSPF] OSPF を介 し て学習 さ れたルー ト を再配布する場合 にオンに し ます。 これら のルー ト のホ ッ プ カ ウン ト を指定する場合は、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウン ト を入力 し ます。 範囲 は 1 ~ 16 です。 [BGP] BGP を介 し て学習 さ れたルー ト を再配布する場合 にオンに し ます。 これら のルー ト のホ ッ プ カ ウン ト を指定する場合は、 [Metric] を選択 し 、 [Metric] フ ィ ール ド にホ ッ プ カ ウン ト を入力 し ます。 範囲 は 1 ~ 16 です。 インタフェース上の RIP 動作パラメータの置き換え RIP イ ン タ フ ェ ース オ プ シ ョ ン を使用する と 、 RIP が有効なネ ッ ト ワー ク に接続 さ れたすべての Fortinet イ ン タ フ ェ ースに適用 さ れる グ ローバルな RIP 設定を置 き換え る こ と がで き ます。 た と えば、 RIP が有効なネ ッ ト ワー ク のサブ ネ ッ ト に 接続 さ れた イ ン タ フ ェ ース上の RIP ア ド バ タ イ ズを抑制する場合は、 そのイ ン タ フ ェ ースの受動的な動作を有効にする こ と がで き ます。 受動的な イ ン タ フ ェ ース は RIP 更新を待機 し ますが、 RIP 要求には応答 し ません。 イ ン タ フ ェ ース上で RIP バージ ョ ン 2 が有効にな っ てい る場合は、 FortiGate ユ ニ ッ ト が隣接ルー タ から の更新を受け付け る前にそのルー タ を確実に認証で き る よ う にパスワー ド 認証を選択する こ と も で き ます。 FortiGate ユニ ッ ト と 隣接 ルー タ の両方に同 じ パスワー ド が設定 さ れてい る必要があ り ます。 認証に よ っ て、 更新パケ ッ ト の正当性が保証 さ れますが、 パケ ッ ト 内のルーテ ィ ン グ情報の 機密性は保証 さ れません。 RIP が有効な イ ン タ フ ェ ースの特定の RIP 動作パラ メ ー タ を設定する には、 [Router]、[Dynamic]、[RIP] の順に選択 し 、 [Create New] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 203 OSPF ルータ - ダイナミック 注記 : ス プ リ ッ ト ホ ラ イ ズン設定やキー チ ェ ーン設定な どの追加オプ シ ョ ンは、 CLI を 使用 し て イ ン タ フ ェ ースご と に設定で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 図 107 は、 "internal" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [New/Edit RIP Interface] ダ イ ア ロ グ ボ ッ ク ス です。 FortiGate ユニ ッ ト 上の実際 のイ ン タ フ ェ ースの名前は こ れ と は異な る場合があ り ます。 図 107: [New/Edit RIP Interface] [Interface] これら の設定を適用する FortiGate イ ン タ フ ェ ースの名前を選択 し ます。 このイ ン タ フ ェ ースは、 RIP が有効なネ ッ ト ワー ク に接続 さ れている必要があ り ます。 このイ ン タ フ ェ ースは、 仮想 IPSec また は GRE イ ン タ フ ェ ースである可能性があ り ます。 [Send Version]、 [Receive Version] イ ン タ フ ェ ース を介 し て更新を送受信する ためのデ フ ォル ト の RIP 互換性設定を置き換え る場合に、 RIP バージ ョ ン を [1]、 [2]、 また は [Both] か ら 選択 し ます。 [Authentication] 指定 し た イ ン タ フ ェ ースでの RIP 交換の認証方法を選択 し ます。 • 認証を無効にするには、 [None] を選択 し ます。 • イ ン タ フ ェ ースが、 RIP バージ ョ ン 2 を実行 し ている ネ ッ ト ワー ク に接続 さ れている場合は、 必要に応 じ て [Text] を選択 し 、 [Password] フ ィ ール ド にパスワー ド ( 最大 35 文字 ) を入力 し ま す。 FortiGate ユニ ッ ト と RIP 更新ルー タ の両方に同 じ パスワー ド が設定 さ れている必要があ り ます。 このパスワー ド は、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で送信 さ れます。 • MD5 を使用 し て交換を認証するには、 [MD5] を選択 し ます。 [Passive Interface] 指定 し た イ ン タ フ ェ ース を介 し た FortiGate ルーテ ィ ング情報のア ド バ タ イズを抑制する場合にオ ンに し ます。 イ ン タ フ ェ ースが RIP 要 求に応答する よ う にするには、 [Passive Interface] を オ フ に し ます。 OSPF OSPF (Open Shortest Path First) は、 同 じ 自律シ ス テム (AS) 内のルー タ 間でルー テ ィ ン グ情報を共有する ために、 大規模な異種ネ ッ ト ワー ク で最も よ く 使用 さ れ てい る リ ン ク 状態ルーテ ィ ン グ プ ロ ト コ ルです。 FortiGate ユニ ッ ト は、 OSPF バージ ョ ン 2 (RFC 2328 を参照 ) をサポー ト し ています。 注記 : 基本的な OSPF ルーテ ィ ング オプ シ ョ ンは、 Web ベース マネージ ャ で設定で き ま す。 追加オプ シ ョ ンの多 く は、 CLI コ マ ン ド を使用 し てのみ設定で き ます。 OSPF 設定を 設定する ための CLI コ マ ン ド の詳細な説明 と 使用方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 204 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック OSPF OSPF 自律システム OSPF AS は一般に、 エ リ ア境界ルー タ に よ っ て リ ン ク さ れた論理的な エ リ アに 分割 さ れます。 1 つのエ リ アは、 隣接ネ ッ ト ワー クのグループ で構成 さ れます。 エ リ ア境界ルー タ は、 1 つ以上のエ リ ア を OSPF ネ ッ ト ワー ク バ ッ ク ボーン ( エ リ ア ID 0) に リ ン ク し ます。 OSPF AS の特性を指定する には、 205 ページの 「OSPF AS の定義」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト が OSPF エ リ アへのイ ン タ フ ェ ース を備えてい る場合、 その ユニ ッ ト は OSPF 通信に参加で き ます。 FortiGate ユニ ッ ト は、 OSPF Hello プ ロ ト コルを使用 し て、 エ リ ア内の隣接機器を取得 し ます。 隣接機器 と は、 FortiGate ユニ ッ ト と 同 じ エ リ アへのイ ン タ フ ェ ース を備えた任意のルー タ です。 初期の接 続が終了 し た後、 FortiGate ユニ ッ ト は OSPF 隣接機器 と の間で定期的に Hello パ ケ ッ ト を交換 し て、 それ らの隣接機器に到達で き る こ と を確認 し ます。 OSPF が有効なルー タ は、 リ ン ク状態ア ド バ タ イ ズ メ ン ト を生成 し 、 隣接機器の 状態が変化するか、 または新 し い隣接機器がオ ン ラ イ ン にな る と 常にその リ ン ク 状態ア ド バ タ イ ズ メ ン ト を隣接機器に送信 し ます。 OSPF ネ ッ ト ワー クが安定な 状態にあ る限 り 、 OSPF 隣接機器間の リ ン ク 状態ア ド バ タ イ ズ メ ン ト は発生 し ま せん。 リ ン ク状態ア ド バ タ イ ズ メ ン ト (LSA) は、 エ リ ア内の OSPF が有効なすべ てのルー タ のイ ン タ フ ェ ース を識別 し 、 OSPF が有効なルー タ が宛先への最短パ ス を選択で き る よ う にする ための情報を提供 し ます。 OSPF が有効なルー タ 間の すべての LSA 交換が認証 さ れます。 FortiGate ユニ ッ ト は、 OSPF が有効なルー タ から受信 し たア ド バ タ イ ズ メ ン ト に 基づいて リ ン ク状態情報のデー タ ベース を保守 し ます。 宛先への最適なルー ト ( 最短パス ) を計算する ために、 FortiGate ユニ ッ ト は、 累積 さ れた リ ン ク状態情 報に SPF (Shortest Path First) アルゴ リ ズムを適用 し ます。 OSPF は、 最適なルー ト を選択する ための基本的な メ ト リ ッ ク と し て相対的な コ ス ト を使用 し ます。 コ ス ト に よ り 、 FortiGate イ ン タ フ ェ ースの送信方向に対 し てペナルテ ィ が課せら れます。 ルー ト の コ ス ト は、 宛先へのパスに沿っ た送信イ ン タ フ ェ ースに関連付 け られた コ ス ト をすべて加算する こ と に よ っ て計算 さ れます。 最 も低い合計 コ ス ト が最適なルー ト を示 し ます。 FortiGate ユニ ッ ト は、 OSPF パケ ッ ト が宛先への最短パス を使用 し てルーテ ィ ン グ さ れる こ と を保証する ために、 SPF 計算の結果に基づいてルーテ ィ ン グ テー ブルを動的に更新 し ます。 ネ ッ ト ワー ク ト ポロ ジに応 じ て、 FortiGate ルーテ ィ ン グ テーブル内のエ ン ト リ には次の ものが含まれます。 • ロー カルの OSPF エ リ ア内にあ る ネ ッ ト ワー クのア ド レ ス ( パケ ッ ト の直接の 送信先 ) • OSPF エ リ ア境界ルー タ へのルー ト ( 別のエ リ ア宛てのパケ ッ ト の送信先 ) • ネ ッ ト ワー ク に OSPF エ リ ア と OSPF 以外の ド メ イ ンが含まれてい る場合は、 OSPF ネ ッ ト ワー ク バ ッ ク ボーン に存在 し 、 パケ ッ ト を OSPF AS の外部の宛 先に転送する よ う に設定 さ れた AS 境界ルー タ へのルー ト FortiGate ユニ ッ ト が OSPF を介 し て学習で き るルー ト の数は、 ネ ッ ト ワー ク ト ポロ ジに よ っ て異な り ます。 OSPF ネ ッ ト ワー クが正 し く 設定 さ れている場合、 1 つの FortiGate ユニ ッ ト は数万のルー ト をサポー ト で き ます。 OSPF AS の定義 OSPF AS の定義には、 次の操作が含まれます。 • 1 つ以上の OSPF エ リ アの特性の定義 • 定義 し た OSPF エ リ ア と 、 その OSPF AS に含める ロー カル ネ ッ ト ワー クの間 の関連付けの作成 • 必要に応 じ て、 OSPF が有効な イ ン タ フ ェ ースの設定の調整 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 205 OSPF ルータ - ダイナミック Web ベース マネージ ャ を使用 し て こ れ らの タ ス ク を実行する方法の詳細につい ては、 下に示 さ れてい る手順に従 っ て く だ さ い。 OSPF AS を定義するには 1 [Router]、[Dynamic]、[OSPF] の順に選択 し ます。 2 [Areas] の [Create New] を選択 し ます。 3 1 つ以上の OSPF エ リ アの特性を定義 し ます。 209 ページの 「OSPF エ リ アの定 義」 を参照 し て く だ さ い。 4 [Networks] の [Create New] を選択 し ます。 5 定義 し た OSPF エ リ ア と 、 その OSPF AS に含める ロー カル ネ ッ ト ワー ク の間の 関連付け を作成 し ます。 211 ページの 「OSPF ネ ッ ト ワー クの指定」 を参照 し て く だ さ い。 6 OSPF が有効な イ ン タ フ ェ ースのデ フ ォ ル ト 設定を調整する必要があ る場合は、 [Interfaces] の [Create New] を選択 し ます。 7 イ ン タ フ ェ ースの OSPF 動作パラ メ ー タ を選択 し ます。 212 ページの 「OSPF イ ン タ フ ェ ースの動作パラ メ ー タ の選択」 を参照 し て く だ さ い。 8 OSPF が有効な他のイ ン タ フ ェ ースに対 し て、 必要に応 じ て手順 6. と 7. を繰 り 返 し ます。 9 必要に応 じ て、 OSPF AS の OSPF 詳細設定オプ シ ョ ン を選択 し ます。 208 ページ の 「OSPF 詳細設定オプ シ ョ ンの選択」 を参照 し て く だ さ い。 10 [Apply] を選択 し ます。 基本的な OSPF 設定の表示と編集 OSPF 設定を設定する場合は、 OSPF を有効にする AS を定義する と 共に、 その AS に参加する FortiGate イ ン タ フ ェ ース を指定する必要があ り ます。 AS の定義 の一部 と し て、 AS エ リ ア を指定 し 、 それらのエ リ アに含める ネ ッ ト ワー ク を指 定 し ます。 また、 FortiGate イ ン タ フ ェ ース上の OSPF 動作に関連付け られた設 定を調整する こ と も で き ます。 OSPF 設定を表示およ び編集する には、 [Router]、[Dynamic]、[OSPF] の順に選 択 し ます。 図 108 は、 "port1" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の基本 的な OSPF 設定です。 FortiGate ユニ ッ ト 上の実際のイ ン タ フ ェ ースの名前はこ れ と は異な る場合があ り ます。 206 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック OSPF 図 108: 基本的な OSPF 設定 [Router ID] FortiGate ユニ ッ ト を他の OSPF ルー タ と 区別する ための一意のルー タ ID を 入力 し ます。 慣例によ り 、 ルー タ ID は、 OSPF AS 内のいずれかの FortiGate イ ン タ フ ェ ースに割 り 当て ら れた数値的に最も 大き い IP ア ド レ ス です。 OSPF の実行中は、 ルー タ ID を変更 し ないで く だ さ い。 [Advanced Options] OSPF の詳細設定を選択 し ます。 208 ページの 「OSPF 詳細設定オプ シ ョ ン の選択」 を参照 し て く だ さ い。 [Areas] OSPF AS を構成 し てい る エ リ アに関する情報。OSPF パケ ッ ト のヘ ッ ダには、 AS 内にあるパケ ッ ト の発信元の識別に役立つエ リ ア ID が含まれています。 [Create New] OSPF エ リ ア を定義 し 、 [Areas] リ ス ト に新 し いエ リ ア を追 加する場合に選択 し ます。 209 ページの 「OSPF エ リ アの 定義」 を参照 し て く だ さ い。 [Area] ド ッ ト 区切 り 10 進数で表記 さ れた、 AS 内にある エ リ アの 一意の 32 ビ ッ ト 識別子。 エ リ ア ID 0.0.0.0 は AS のバ ッ ク ボーン を参照 し てお り 、 変更や削除はで き ません。 [Type] AS 内のエ リ アの種類には、 次のも のがあ り ます。 • エ リ アが通常の OSPF エ リ ア である場合は、"Regular" が 表示 さ れます。 • • エ リ アが NSSA である場合は、"NSSA" が表示 さ れます。 エ リ アがス タ ブ である場合は、 "stub" が表示 さ れます。 詳細については、 209 ページの 「OSPF エ リ アの定義」 を 参照 し て く だ さ い。 [Authentication] 各エ リ アに リ ン ク さ れてい るすべての FortiGate イ ン タ フ ェ ース を介 し て送受信 さ れた OSPF パケ ッ ト を認証する ための方法。 • 認証が無効にな っ ている場合は、"None" が表示 さ れます。 • テキス ト ベースのパスワー ド 認証が有効にな っ ている 場合は、 "Text" が表示 さ れます。 • MD5 認証が有効にな っ ている場合は、"MD5" が表示 さ れ ます。 [Interfaces] に表示 さ れている よ う に、 エ リ ア内の一部のイ ン タ フ ェ ースに対 し て別の認証設定が適用 さ れる可能性が あ り ます。 た と えば、 ある エ リ ア で単純なパスワー ド を認 証に使用 し てい る場合は、 そのエ リ ア内の 1 つ以上のネ ッ ト ワー ク に対 し て別のパスワー ド を設定で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 207 OSPF ルータ - ダイナミック [Networks] OSPF AS 内のネ ッ ト ワー ク と 、 それぞれのエ リ ア ID。 [Networks] リ ス ト に ネ ッ ト ワー ク を追加する と 、 そのネ ッ ト ワー ク に含まれているすべての FortiGate イ ン タ フ ェ ースが OSPF リ ン ク 状態ア ド バ タ イ ズ メ ン ト で ア ド バ タ イ ズ さ れます。 OSPF ネ ッ ト ワー ク ア ド レ ス空間に一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上で OSPF を有効にする こ と がで き ます。 [Create New] AS にネ ッ ト ワー ク を追加 し 、 そのエ リ ア ID を指定 し 、 定 義を [Networks] リ ス ト に追加する場合に選択 し ます。 211 ページの 「OSPF ネ ッ ト ワー クの指定」 を参照 し て く だ さ い。 [Network] OSPF を実行 し てい る AS 内のネ ッ ト ワー クの IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 FortiGate ユニ ッ ト は、 そのネ ッ ト ワー ク に接続 さ れた物理または VLAN イ ン タ フ ェ ース を 備えている可能性があ り ます。 [Area] OSPF ネ ッ ト ワー ク ア ド レ ス空間に割 り 当て られたエ リ ア ID。 [Interfaces] FortiGate イ ン タ フ ェ ース上の OSPF 動作を調整する ために必要な任意の追 加の設定。 [Create New] FortiGate イ ン タ フ ェ ースの追加または別の OSPF 動作パラ メ ー タ を追加 し 、 設定を [Interfaces] リ ス ト に追加する場 合に選択 し ます。 212 ページの 「OSPF イ ン タ フ ェ ースの 動作パラ メ ー タ の選択」 を参照 し て く だ さ い。 [Name] OSPF イ ン タ フ ェ ース定義の名前。 [Interface] 同 じ エ リ ア内の他のすべてのイ ン タ フ ェ ースに割 り 当て ら れたデ フ ォル ト 値 と は異な る OSPF 設定を持つ FortiGate 物理または VLAN イ ン タ フ ェ ースの名前。 [IP] 追加または別の設定を持つ OSPF が有効な イ ン タ フ ェ ース の IP ア ド レ ス。 [Authentication] OSPF が有効な特定のイ ン タ フ ェ ース上で送受信 さ れた LSA 交換を認証する ための方法。 こ れら の設定によ っ て、 そのエ リ アの [Authentication] 設定が置き換え ら れます。 削除アイコ OSPF エ リ ア エ ン ト リ 、 ネ ッ ト ワー ク エ ン ト リ 、 またはイ ン タ フ ェ ース定 ンと編集ア 義を削除または編集する場合に選択 し ます。 イコン OSPF 詳細設定オプションの選択 OSPF 詳細設定オプ シ ョ ン を使用する と 、 FortiGate ユニ ッ ト が OSPF リ ン ク状態 ア ド バ タ イ ズ メ ン ト 以外の何らかの手段に よ っ て学習するルー ト を再配布する た めの メ ト リ ッ ク を指定で き ます。 た と えば、 FortiGate ユニ ッ ト が RIP または BGP ネ ッ ト ワー ク に接続 さ れてい る場合、 または FortiGate ルーテ ィ ン グ テーブ ルに静的ルー ト を手動で追加する場合は、 こ れ らのルー ト を OSPF が有効な イ ン タ フ ェ ース上でア ド バ タ イ ズする よ う に FortiGate ユニ ッ ト を設定で き ます。 RIP 詳細設定オ プ シ ョ ン を選択する には、 [Router]、[Dynamic]、[RIP] の順に選 択 し 、 [Advanced Options] を展開 し ます。 オプ シ ョ ン を選択 し た ら 、 [Apply] を選 択 し ます 208 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック OSPF 図 109: 高度なオプション (OSPF) [Default Information] [Redistribute] OSPF AS へのデ フ ォル ト ( 外部 ) ルー ト を生成 し 、 ア ド バ タ イズ し ます。 生成 さ れるルー ト は、 ダ イ ナ ミ ッ ク ルーテ ィ ン グ プ ロ ト コルを介 し て学 習 さ れたルー ト 、 ルーテ ィ ング テーブル内のルー ト 、 またはその両方に 基づいてい る可能性があ り ます。 [None] デ フ ォル ト ルー ト の生成を無効に し ます。 [Regular] OSPF AS へのデ フ ォル ト ルー ト を生成 し 、 そのルー ト が FortiGate ルーテ ィ ング テーブルに格納 さ れる場合のみ、 そ のルー ト を隣接する自律シ ス テムにア ド バ タ イ ズ し ます。 [Always] OSPF AS へのデ フ ォル ト ルー ト を生成 し 、 そのルー ト が FortiGate ルーテ ィ ング テーブルに格納 さ れない場合であ っ て も、 そのルー ト を隣接する自律シ ス テムに無条件にア ド バ タ イ ズ し ます。 OSPF を介 し て学習 さ れなかっ たルー ト に関する OSPF リ ン ク 状態ア ド バ タ イ ズ メ ン ト を有効または無効に し ます。 FortiGate ユニ ッ ト は、 OSPF を使用 し て、 直接接続 さ れたネ ッ ト ワー ク、 静的ルー ト 、 RIP、 または BGP から 学習 さ れたルー ト を再配布で き ます。 [Connected] 直接接続 さ れたネ ッ ト ワー クか ら学習 さ れたルー ト を再配布 する場合にオン に し ます。 これ らのルー ト の コ ス ト を指定する場合は、 [Metric] フ ィ ー ル ド に コ ス ト を入力 し ます。 範囲は 1 ~ 16,777,214 です。 [Static] 静的ルー ト か ら学習 さ れたルー ト を再配布する場合にオン に し ます。 これ らのルー ト の コ ス ト を指定する場合は、 [Metric] フ ィ ー ル ド に コ ス ト を入力 し ます。 範囲は 1 ~ 16,777,214 です。 [RIP] RIP を介 し て学習 さ れたルー ト を再配布する場合にオ ンに し ます。 これ らのルー ト の コ ス ト を指定する場合は、 [Metric] フ ィ ー ル ド に コ ス ト を入力 し ます。 範囲は 1 ~ 16,777,214 です。 [BGP] BGP を介 し て学習 さ れたルー ト を再配布する場合にオ ンに し ます。 これ らのルー ト の コ ス ト を指定する場合は、 [Metric] フ ィ ー ル ド に コ ス ト を入力 し ます。 範囲は 1 ~ 16,777,214 です。 注記 : CLI を使用する と 、 更に多 く の OSPF 詳細設定が可能です。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 OSPF エリアの定義 エ リ アに よ っ て、 OSPF AS の一部が論理的に定義 さ れます。 各エ リ アは、 10 進 数 ド ッ ト 表記で表現 さ れた 32 ビ ッ ト のエ リ ア ID によ っ て識別 さ れます。 エ リ ア ID 0.0.0.0 は、 OSPF ネ ッ ト ワー ク バ ッ ク ボーンのために予約 さ れています。 AS の残 り のエ リ ア を、 次の 3 つの方法のいずれかで分類で き ます。 • 通常 • スタブ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 209 OSPF ルータ - ダイナミック • NSSA 通常エ リ アには、 そのエ リ アへの OSPF が有効な イ ン タ フ ェ ース を、 それぞれが 少な く と も 1 つは備えた複数のルー タ が含まれます。 OSPF バ ッ ク ボーン に到達する には、 ス タ ブ エ リ ア内のルー タ はパケ ッ ト を エ リ ア境界ルー タ に送信する必要があ り ます。 OSPF 以外の ド メ イ ン につながるルー ト は、 ス タ ブ エ リ ア内のルー タ にはア ド バ タ イ ズ さ れません。 エ リ ア境界ルー タ は、 OSPF AS に、 ス タ ブ エ リ アへの単一のデ フ ォル ト ルー ト ( 宛先は 0.0.0.0) を ア ド バ タ イ ズ し ます。 こ れに よ り 、 特定のルー ト に該当 し ない OSPF パケ ッ ト は全てデ フ ォ ル ト ルー ト に従 う こ と が保証 さ れます。 ス タ ブ エ リ アに接続 さ れ たルー タ はすべて、 そのス タ ブ エ リ アの一部 と 見な さ れます。 NSSA (Not-So-Stubby Area) では、 そのエ リ アから 出て OSPF 以外の ド メ イ ン に つながるルー ト が OSPF AS に通知 さ れます。 ただ し 、 そのエ リ ア自体は、 AS の 他の部分に よ っ て引き続き ス タ ブ エ リ アのよ う に扱われます。 通常エ リ ア と ス タ ブ エ リ ア (NSSA を含む ) は、 エ リ ア境界ルー タ を介 し て OSPF バ ッ ク ボーン に接続 さ れます。 OSPF エ リ ア を定義する には、 [Router]、[Dynamic]、[OSPF] の順に選択 し 、 [Areas] の [Create New] を選択 し ます。 OSPF エ リ アの属性を編集する には、 [Router]、[Dynamic]、[OSPF] の順に選択 し 、 そのエ リ アに対応 し た行にあ る編 集ア イ コ ン を選択 し ます。 注記 : 必要に応 じ て、 OSPF バ ッ ク ボーンへの物理的な接続が失われたエ リ アへの仮想 リ ン ク を定義で き ます。 仮想 リ ン ク は、 エ リ ア境界ルー タ と し て機能する 2 つの FortiGate ユニ ッ ト 間にのみ設定で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の OSPF "config area" サブ コ マ ン ド の下にある "config virtual-link" を参照 し て く だ さ い。 図 110: [Area] 210 [New/Edit OSPF Area] エ リ アの 32 ビ ッ ト 識別子を入力 し ます。 こ の値は、 10 進数 ド ッ ト 表記 で表現 さ れた IP ア ド レ ス と 同 じ 形式にする必要があ り ます。 OSPF エ リ ア を作成 し た後、 エ リ ア IP の値を変更する こ と はで き ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック OSPF [Type] そのエ リ アに割 り 当て られるネ ッ ト ワー クの特性を分類するためのエ リ アの種類を選択 し ます。 • エ リ アに、 そのエ リ アへの OSPF が有効な イ ン タ フ ェ ース を それぞ れが少な く と も 1 つは備えた複数のルー タ を含める場合は、 [Regular] を選択 し ます。 • 外部の OSPF 以外の ド メ イ ンへのルー ト を OSPF AS に通知するが、 そのエ リ アは AS の他の部分によ っ てス タ ブ エ リ アのよ う に扱われ る よ う にする場合は、 [NSSA] を選択 し ます。 • エ リ ア内のルー タ がバ ッ ク ボーンに到達するにはパケ ッ ト を エ リ ア 境界ルー タ に送信する必要があ り 、 OSPF 以外の ド メ イ ンへのルー ト がエ リ ア内のルー タ にア ド バ タ イ ズ さ れないよ う にする場合は、 [STUB] を選択 し ます。 [Authentication] エ リ ア内のすべてのイ ン タ フ ェ ース を介 し て送受信 さ れた OSPF パ ケ ッ ト を認証するための方法を選択 し ます。 • 認証を無効にするには、 [None] を選択 し ます。 • プ レーン テキス ト のパスワー ド を使用 し て LSA 交換を認証するため にテキス ト ベースのパスワー ド 認証を有効にするには、 [Text] を選 択 し ます。 こ のパスワー ド は、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で 送信 さ れます。 • MD5 ハ ッ シ ュ を使用 し た MD5 認証を有効にするには、 [MD5] を選択 し ます。 必要に応 じ て、 そのエ リ ア内の 1 つ以上のイ ン タ フ ェ ースに対 し て こ の設定を置き換え る こ と がで き ます (212 ページの 「OSPF イ ン タ フ ェ ースの動作パ ラ メ ー タ の選択」 を参照 )。 注記 : エ リ アにネ ッ ト ワー ク を割 り 当て るには、 211 ページの 「OSPF ネ ッ ト ワー ク の指 定」 を参照 し て く だ さ い。 OSPF ネットワークの指定 OSPF エ リ アに よ っ て、 い く つかの隣接ネ ッ ト ワー クがグループ化 さ れます。 ネ ッ ト ワー ク ア ド レ ス空間にエ リ ア ID を割 り 当て る と 、 そのエ リ アの属性が ネ ッ ト ワー ク に関連付け られます。 ネ ッ ト ワー ク に OSPF エ リ ア ID を割 り 当て る には、 [Router]、[Dynamic]、 [OSPF] の順に選択 し 、 [Networks] の [Create New] を選択 し ます。 ネ ッ ト ワー ク に割 り 当て られた OSPF エ リ ア ID を変更する には、 [Router]、[Dynamic]、 [OSPF] の順に選択 し 、 そのネ ッ ト ワー ク に対応 し た行にある編集ア イ コ ン を選 択 し ます。 図 111: [New/Edit OSPF Network] [IP/Netmask] OSPF エ リ アに割 り 当て る ロー カル ネ ッ ト ワー クの IP ア ド レ ス と ネ ッ ト ワー ク マス ク を入力 し ます。 [Area] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ネ ッ ト ワー ク のエ リ ア ID を選択 し ます。 こ のエ リ アの属性は、 指定 し た ネ ッ ト ワー ク の特性および ト ポロ ジに一致 し ている必要があ り ます。 エ リ ア ID を選択する前に、 エ リ ア を定義する必要があ り ます。 209 ページ の 「OSPF エ リ アの定義」 を参照 し て く だ さ い。 211 OSPF ルータ - ダイナミック OSPF インタフェースの動作パラメータの選択 OSPF イ ン タ フ ェ ース定義には、 FortiGate の OSPF が有効な イ ン タ フ ェ ースの特 定の動作パラ メ ー タ が含まれています。 こ の定義には、 イ ン タ フ ェ ースの名前 ( た と えば、 external または VLAN_1)、 イ ン タ フ ェ ースに割 り 当て られた IP ア ド レ ス、 イ ン タ フ ェ ース を介 し て LSA 交換を認証する ための方法、 お よび OSPF の Hello パケ ッ ト や停止間隔パケ ッ ト を送受信する ための タ イ マ設定が含まれます。 OSPF が有効なネ ッ ト ワー ク エ リ アに一致する IP ア ド レ ス を持つすべての FortiGate イ ン タ フ ェ ース上で OSPF を有効にする こ と がで き ます。 た と えば、 0.0.0.0 のエ リ ア を定義する と 、 OSPF ネ ッ ト ワー ク は 10.0.0.0/16 と し て定義 さ れ ます。 次に、 vlan1 を 10.0.1.1/24 と し て、 vlan2 を 10.0.2.1/24 と し て、 vlan3 を 10.0.3.1/24 と し て定義 し ます。 こ の 3 つの VLAN がすべて、 エ リ ア 0.0.0.0 で OSPF を実行 し ます。 すべてのイ ン タ フ ェ ース を有効にする には、 特定の IP ア ド レ スに一致する エ リ ア を持つ OSPF ネ ッ ト ワー ク 0.0.0.0/0 を作成 し ます。 イ ン タ フ ェ ースに複数の IP ア ド レ スが割 り 当て られてい る場合は、 同 じ FortiGate イ ン タ フ ェ ースに対 し て異な る OSPF パラ メ ー タ を設定で き ます。 た と えば、 異な るサブ ネ ッ ト を介 し て、 2 つの隣接機器に同 じ FortiGate イ ン タ フ ェ ース を接続で き ます。 あ る隣接機器の設定 と の互換性のために、 Hello およ び停止間隔パ ラ メ ー タ の 1 つのセ ッ ト を含む OSPF イ ン タ フ ェ ース定義を設定す る と 同時に、 2 つ目の隣接機器の設定 と の互換性を保証する ために、 同 じ イ ン タ フ ェ ースの 2 つ目の OSPF イ ン タ フ ェ ース定義を設定で き ます。 FortiGate イ ン タ フ ェ ースの OSPF 動作パラ メ ー タ を選択する には、 [Router]、 [Dynamic]、[OSPF] の順に選択 し 、 [Interfaces] の [Create New] を選択 し ます。 OSPF が有効な イ ン タ フ ェ ースの動作パ ラ メ ー タ を編集する には、 [Router]、 [Dynamic]、[OSPF] の順に選択 し 、 OSPF が有効な イ ン タ フ ェ ースに対応 し た行 にあ る編集ア イ コ ン を選択 し ます。 図 112 は、 "port1" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [New/Edit OSPF Interface] ダ イ ア ロ グ ボ ッ ク スです。 FortiGate ユニ ッ ト 上の実 際のイ ン タ フ ェ ースの名前はこ れ と は異な る場合があ り ます。 図 112: [New/Edit OSPF Interface] 追加 212 [Name] OSPF イ ン タ フ ェ ース定義を識別する名前を入力 し ます。 た と えば、 そ のイ ン タ フ ェ ースの リ ン ク 先の OSPF エ リ ア を示す名前にする こ と がで き ます。 [Interface] こ の OSPF イ ン タ フ ェ ース定義に関連付ける FortiGate イ ン タ フ ェ ース の名前 ( た と えば、 port1、 external、 VLAN_1) を選択 し ます。 FortiGate ユニ ッ ト は、 OSPF が有効なネ ッ ト ワー ク に接続 さ れた物理、 VLAN、 仮 想 IPSec、 または GRE イ ン タ フ ェ ース を備えている可能性があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック BGP [IP] OSPF が有効な イ ン タ フ ェ ースに割 り 当て られている IP ア ド レ ス を入力 し ます。 このイ ン タ フ ェ ースは、 IP ア ド レ スが OSPF ネ ッ ト ワー ク ア ド レ ス空間に一致する ため、 OSPF が有効な イ ン タ フ ェ ースにな り ます。 た と えば、 172.20.120.0/24 の OSPF ネ ッ ト ワー ク を定義 し てお り 、 port1 に IP ア ド レ ス 172.20.120.140 が割 り 当て られている場合は、 「172.20.120.140」 を入力 し ます。 [Authentication] 指定 し た イ ン タ フ ェ ースでの LSA 交換のための認証方法を選択 し ます。 • 認証を無効にするには、 [None] を選択 し ます。 • プ レーン テキス ト のパスワー ド を使用 し て LSA 交換を認証する には、 [Text] を選択 し ます。 このパスワー ド は最大 35 文字であ り 、 ネ ッ ト ワー ク 上を ク リ ア テキス ト で送信 さ れます。 • 1 つ以上のキーを使用 し て MD5 ハ ッ シ ュ を生成するには、 [MD5] を選 択 し ます。 この設定によ っ て、 そのエ リ アの [Authentication] 設定が置き換え られます。 [Password] プ レーン テキス ト のパスワー ド を入力 し ます。 最大 15 文字の英数字の 値を入力 し ます。 この FortiGate イ ン タ フ ェ ースに リ ン ク 状態ア ド バ タ イズ メ ン ト を送信する OSPF 隣接機器に も 、 同 じ パスワー ド が設定 さ れ ている必要があ り ます。 このフ ィ ール ド は、 プ レーン テキス ト 認証を選 択 し た場合にのみ使用で き ます。 [MD5 Keys] [ID] フ ィ ール ド に ( 最初の ) パスワー ド のキー識別子 ( 範囲は 1 ~ 255) を入力 し た後、 [Key] フ ィ ール ド にそれに関連付け られたパスワー ド を 入力 し ます。 このパスワー ド は、 最大 16 文字の英数字文字列です。 こ の FortiGate イ ン タ フ ェ ースに リ ン ク 状態ア ド バ タ イ ズ メ ン ト を送信す る OSPF 隣接機器に も 、 同 じ MD5 キーが設定 さ れている必要があ り ま す。 OSPF 隣接機器が MD5 ハ ッ シ ュの生成に複数のパスワー ド を使用 し ている場合は、 [Add] ア イ コ ン を選択 し て リ ス ト に MD5 キーを追加 し ま す。 このフ ィ ール ド は、 MD5 認証を選択 し た場合にのみ使用で き ます。 [Hello Interval] 必要に応 じ て、 すべての OSPF 隣接機器上の [Hello Interval] 設定 と 互換 性がある よ う に [Hello Interval] を設定 し ます。 この設定によ っ て、 FortiGate ユニ ッ ト がイ ン タ フ ェ ース を介 し て Hello パケ ッ ト を送信する間に待つ期間 ( 秒単位 ) が定義 さ れます。 [Dead Interval] 必要に応 じ て、 すべての OSPF 隣接機器上の [Dead Interval] 設定 と 互換 性がある よ う に [Dead Interval] を設定 し ます。 この設定によ っ て、 FortiGate ユニ ッ ト がイ ン タ フ ェ ース を介 し て OSPF 隣接機器から Hello パケ ッ ト を受信する までに待つ期間 ( 秒単位 ) が定義 さ れます。 指定 さ れた時間内に FortiGate ユニ ッ ト が Hello パケ ッ ト を受 信 し ない場合、 FortiGate ユニ ッ ト は、 この隣接機器を ア ク セス不可 と し て宣言 し ます。 慣例によ り 、[Dead Interval] の値は一般に [Hello Interval] の値の 4 倍です。 BGP BGP (Border Gateway Protocol) は、 異な る ISP ネ ッ ト ワー ク 間でルーテ ィ ン グ情 報を交換する ために ISP に よ っ て一般に使用 さ れる イ ン タ ーネ ッ ト ルーテ ィ ン グ プ ロ ト コ ルです。 た と えば、 BGP を使用する と 、 ISP ネ ッ ト ワー ク と 、 RIP や OSPF を使用 し て自律シ ス テム (AS) 内でパケ ッ ト をルーテ ィ ン グ し ている AS の 間でネ ッ ト ワー ク パス を共有で き ます。 FortiGate での BGP の実装は BGP-4 を サポー ト し てお り 、 RFC 1771 に準拠 し ています。 BGP の動作 BGP が有効にな っ てい る場合、 FortiGate ユニ ッ ト は、 FortiGate ルーテ ィ ン グ テーブルのどの部分が変更 さ れて も常に、 ルーテ ィ ン グ テーブルの更新を隣接 する自律シ ス テムに送信 し ます。 各 AS (FortiGate ユニ ッ ト が メ ンバにな っ てい る ロー カル AS を含む ) は、 AS 番号に関連付け られます。 この AS 番号は、 特定 の宛先ネ ッ ト ワー ク を参照 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 213 BGP ルータ - ダイナミック BGP 更新に よ っ て、 最適なパスが宛先ネ ッ ト ワー ク に ア ド バ タ イ ズ さ れま す。 FortiGate ユニ ッ ト が BGP 更新を受信する と 、 FortiGate ユニ ッ ト は、 可能性のある ルー ト の MED (Multi-Exit Discriminator) 属性を検証 し て宛先ネ ッ ト ワー クへの最適 なパス を決定 し た後、 そのパス を FortiGate ルーテ ィ ング テーブルに記録 し ます。 BGP には、 グ レ ース フル リ ス タ ー ト の機能があ り ます。 こ の機能に よ り 、 ルー タ の コ ン ト ロール プ レ ーン に障害が発生 し て も転送を継続で き る ため、 ソ フ ト ウ ェ アの問題の影響が軽減 さ れます。 また、 ネ ッ ト ワー クの安定化に よ っ て、 ルーテ ィ ン グ フ ラ ッ プ も 削減 さ れます。 注記 : グレース フ ル リ ス タ ー ト やその他の詳細設定は、 Web ベース マネージ ャ では設定 で きず、 CLI コ マ ン ド を使用 し てのみ設定で き ます。 BGP 設定を設定する ための CLI コ マ ン ド の詳細な説明 と 使用方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 BGP 設定の表示と編集 BGP 設定を設定する場合は、 FortiGate ユニ ッ ト を メ ンバ と し て含む AS を指定 する と 共に、 FortiGate ユニ ッ ト を他の BGP ルー タ と 区別する ためのルー タ ID を 入力 し ます。 また、 FortiGate ユニ ッ ト の BGP 隣接機器を識別 し 、 それらの BGP 隣接機器に FortiGate ユニ ッ ト のどのロ ー カル ネ ッ ト ワー ク を ア ド バ タ イ ズする かを指定する こ と も 必要です。 BGP 設定を表示お よび編集する には、 [Router]、[Dynamic]、[BGP] の順に選択 し ます。 Web ベース マネージ ャ に よ っ て、 基本的な BGP オ プ シ ョ ン を設定する ための簡略化 さ れたユーザ イ ン タ フ ェ ースが提供 さ れます。 CLI を使用する と 、 多 く の BGP 詳細設定オプ シ ョ ン を設定で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 図 113: 214 基本的な BGP オプション [Local AS] FortiGateユニ ッ ト が メ ンバにな っ ている ローカルASの番号を入力 し ます。 [Router ID] FortiGate ユニ ッ ト を他の BGP ルー タ と 区別する ための一意のルー タ ID を入力 し ます。 ルー タ ID は、 ド ッ ト 区切 り 10 進数の形式で記述 さ れた IP ア ド レ スです。 BGP の実行中にルー タ ID を変更する と 、 BGP ピ アへのすべての接続が 一時的に停止 し 、 接続が再確立 さ れる まで復旧 し ません。 [Neighbors] 隣接する自律シ ス テム内にある BGP ピ アの IP ア ド レ ス と AS 番号。 [IP] BGP が有効なネ ッ ト ワー クへの隣接機器イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ます。 [Remote AS] こ の隣接機器が属 し ている AS の番号を入力 し ます。 [Add/Edit] [Neighbors] リ ス ト に隣接機器情報を追加するか、 または リ ス ト 内のエ ン ト リ を編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック マルチキャスト [Neighbor] BGP ピ アの IP ア ド レ ス。 [Remote AS] この BGP ピ アに関連付け られ自律シ ス テムの番号。 [Networks] BGP ピ アにア ド バ タ イ ズするネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 FortiGate ユニ ッ ト は、 それら のネ ッ ト ワー ク に接続 さ れた物 理または VLAN イ ン タ フ ェ ース を備えている可能性があ り ます。 [IP/Netmask] ア ド バ タ イズ さ れる ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト マ ス ク を入力 し ます。 削除アイコン [Add] [Networks] リ ス ト にネ ッ ト ワー ク 情報を追加する場合に選 択 し ます。 [Network] BGP ピ アにア ド バ タ イ ズ さ れる主要なネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マス ク 。 BGP 隣接機器エ ン ト リ または BGP ネ ッ ト ワー ク 定義を削除する場合に 選択 し ます。 マルチキャスト FortiGate ユニ ッ ト は、 ルー ト バーチ ャル ド メ イ ン内で PIM (Protocol Independent Multicast) バージ ョ ン 2 ルー タ と し て動作で き ます。 FortiGate ユニ ッ ト は、 PIM スパース モー ド (RFC 2362) お よび PIM デン ス モー ド (RFC 3973) を サポー ト し てお り 、 FortiGate イ ン タ フ ェ ースが接続 さ れてい る ネ ッ ト ワー ク セ グ メ ン ト 上のマルチキ ャ ス ト サーバまたはレ シーバにサービ ス を提供で き ます。 マルチキ ャ ス ト サーバ ア プ リ ケーシ ョ ンは、 マルチキ ャ ス ト ア ド レ ス ( ク ラ ス D) を使用 し て、 パケ ッ ト の 1 つの コ ピ ーを レ シーバのグループに送信 し ます。 ネ ッ ト ワー ク全体にわた る PIM ルー タ によ っ て、 パケ ッ ト がエ ン ド ポ イ ン ト 宛 先に到達する ま で、 ネ ッ ト ワー ク を介 し てそのパケ ッ ト の 1 つの コ ピーのみが転 送 さ れる こ と が保証 さ れます。 エ ン ド ポ イ ン ト 宛先では、 そのマルチキ ャ ス ト ア ド レ スに宛て ら れた ト ラ フ ィ ッ ク を要求する マルチキ ャ ス ト ク ラ イ ア ン ト ア プ リ ケーシ ョ ン に情報を配信する ために必要な場合にのみ、 こ のパケ ッ ト の複数 の コ ピーが作成 さ れます。 注記 : PIM 通信をサポー ト するには、 送信 / 受信ア プ リ ケーシ ョ ン と 、 その間を接続 し て いるすべての PIM ルー タ で PIM バージ ョ ン 2 が有効にな っ ている必要があ り ます。 PIM は、 静的ルー ト 、 RIP、 OSPF、 または BGP を使用 し て、 マルチキ ャ ス ト パケ ッ ト を宛先 に転送で き ます。 発信元から 宛先へのパケ ッ ト 配信を有効にするには、 すべての PIM ルー タ イ ン タ フ ェ ース上で、 スパース モー ド またはデン ス モー ド のど ち らかが有効に な っ ている必要があ り ます。 スパース モー ド のルー タ は、 デン ス モー ド のルー タ にマル チキ ャ ス ト メ ッ セージ を送信で き ません。 さ ら に、 FortiGate ユニ ッ ト が発信元 と PIM ルー タ の間、 または 2 つの PIM ルー タ の間に配置 さ れているか、 レ シーバに直接接続 さ れている場合は、 カ プ セル化 さ れた ( マルチキ ャ ス ト ) パケ ッ ト またはカ プ セル化解除 さ れたデー タ (IP ト ラ フ ィ ッ ク ) が発信元 と 宛先の間を通過で き る よ う に、 フ ァ イ アウ ォ ー ル ポ リ シーを手動で作成する必要があ り ます。 PIM ド メ イ ンは、 い く つかの隣接ネ ッ ト ワー ク で構成 さ れた論理的なエ リ ア で す。 こ の ド メ イ ン には、 少な く と も 1 つのブー ト ス ト ラ ッ プ ルー タ (BSR) が含 まれます。 スパース モー ド が有効にな っ てい る場合は、 い く つかのラ ン デブー ポ イ ン ト (RP) およ び指定ルー タ (DR) も含まれます。 FortiGate ユニ ッ ト 上で PIM が有効にな っ てい る場合、 FortiGate ユニ ッ ト は、 これ らの任意の機能を設定に 従っ ていつで も実行で き ます。 スパース モー ド 動作に必要な場合は、 静的 RP を定義で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 215 マルチキャスト ルータ - ダイナミック 注記 : 基本的なオプ シ ョ ンは、 Web ベース マネージ ャ で設定で き ます。 追加オプ シ ョ ン の多 く は、 CLI コ マ ン ド を使用 し てのみ設定で き ます。 PIM 設定を設定する ための CLI コ マ ン ド の詳細な説明 と 使用方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 にある 「マルチキ ャ ス ト 」 を参照 し て く だ さ い。 マルチキャスト設定の表示と編集 マルチキ ャ ス ト (PIM) ルーテ ィ ン グが有効にな っ てい る場合は、 任意の FortiGate イ ン タ フ ェ ース上で スパース モー ド またはデン ス モー ド 動作を設定で き ます。 PIM 設定を表示お よび編集する には、 [Router]、[Dynamic]、[Multicast] の順に選 択 し ます。 Web ベース マネージ ャ に よ っ て、 基本的な PIM オ プ シ ョ ン を設定す る ための簡略化 さ れたユーザ イ ン タ フ ェ ースが提供 さ れます。 PIM 詳細設定オ プ シ ョ ンは、 CLI を使用 し て設定で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ルー タ 」 を参照 し て く だ さ い。 図 114: 基本的なマルチキャスト オプション スタテ ィ ッ ク RP の追加 削除 編集 [Enable Multicast Routing] PIM バージ ョ ン 2 のルーテ ィ ングを有効にする場合にオ ンに し ま す。 カ プ セル化 さ れたパケ ッ ト やカ プ セル化解除 さ れたデー タ が 発信元 と 宛先の間を通過で き る よ う にするには、 PIM が有効な イ ン タ フ ェ ース上で フ ァ イ アウ ォ ール ポ リ シーを作成する必要が あ り ます。 [ スタティック RP の追 スパース モー ド 動作に必要な場合は、 マルチキ ャ ス ト グループ のためのパケ ッ ト 配布ツ リ ーのルー ト と し て使用で き る ラ ンデ 加 ] ボタン ブー ポ イ ン ト (RP) の IP ア ド レ ス を入力 し ます。マルチキ ャ ス ト グループから の結合 メ ッ セージや、 発信元から のデー タ が RP に 送信 さ れます。 指定 さ れた IP のマルチキ ャ ス ト グループの RP がすでにブー ト ス ト ラ ッ プ ルー タ (BSR) に通知 さ れている場合は、BSR に通知 さ れ ている RP が使用 さ れ、指定 し た静的 RP ア ド レ スは無視 さ れます。 216 [Apply] 指定 し た静的 RP ア ド レ ス を保存する場合に選択 し ます。 [Create New] イ ン タ フ ェ ースの新 し いマルチキ ャ ス ト エ ン ト リ を作成する場 合に選択 し ます。 こ れによ り 、 特定の FortiGate イ ン タ フ ェ ース上の PIM 動作を微 調整 し た り 、 特定のイ ン タ フ ェ ース上でグローバルな PIM 設定を 置き換えた り する こ と がで き ます。 217 ページの 「 イ ン タ フ ェ ー ス上のマルチキ ャ ス ト 設定の置き換え」 を参照 し て く だ さ い。 [Interface] 特定の PIM 設定を持つ FortiGate イ ン タ フ ェ ースの名前。 [Mode] そのイ ン タ フ ェ ース上の PIM 動作のモー ド ([Sparse] または [Dense])。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - ダイナミック マルチキャスト [Status] イ ン タ フ ェ ース上のスパース モー ド RP 候補の状態。 イ ン タ フ ェ ース上の RP 候補を有効または無効にするには、 その イ ン タ フ ェ ースに対応 し た行にある編集ア イ コ ン を選択 し ます。 [Priority] そのイ ン タ フ ェ ース上の RP 候補に割 り 当て ら れたプ ラ イ オ リ テ ィ 番号。 RP 候補が有効にな っ ている場合にのみ使用で き ます。 [DR Priority] イ ン タ フ ェ ース上の指定ルー タ (DR) 候補に割 り 当て ら れたプ ラ イ オ リ テ ィ 番号。 スパース モー ド が有効にな っ ている場合にの み使用で き ます。 削除アイコンと 編集アイコン イ ン タ フ ェ ース上の PIM 設定を削除または編集する場合に選択 し ます。 インタフェース上のマルチキャスト設定の置き換え マルチキ ャ ス ト (PIM) イ ン タ フ ェ ース オプ シ ョ ン を使用する と 、 PIM ド メ イ ン に 接続 さ れた FortiGate イ ン タ フ ェ ースの動作パラ メ ー タ を設定で き ます。 た と え ば、 PIM が有効なネ ッ ト ワー ク セグ メ ン ト に接続 さ れた イ ン タ フ ェ ース上でデ ン ス モー ド を有効にする こ と がで き ます。 スパース モー ド が有効にな っ てい る 場合は、 イ ン タ フ ェ ース上のラ ン デブー ポ イ ン ト (RP) または指定ルー タ (DR) 候補のア ド バ タ イ ズに使用 さ れる プ ラ イ オ リ テ ィ 番号を調整で き ます。 図 115: マルチキャスト インタフェースの設定 [Interface] これら の設定を適用するルー ト VDOM FortiGate イ ン タ フ ェ ースの 名前を選択 し ます。 このイ ン タ フ ェ ースは、 PIM バージ ョ ン 2 が有 効なネ ッ ト ワー ク セグ メ ン ト に接続 さ れている必要があ り ます。 [PIM Mode] 動作のモー ド を [Sparse Mode] または [Dense Mode] から 選択 し ま す。 同 じ ネ ッ ト ワー ク セグ メ ン ト に接続 さ れたすべての PIM ルー タ が同 じ 動作モー ド を実行 し ている必要があ り ます。 [Sparse Mode] を選択 し た場合は、 残 り のオプ シ ョ ン を以下の説 明に従っ て調整 し ます。 [DR Priority] FortiGate イ ン タ フ ェ ース上の DR 候補を ア ド バ タ イズする ための プ ラ イ オ リ テ ィ 番号を入力 し ます。範囲は 1 ~ 4,294,967,295 です。 この値は、 同 じ ネ ッ ト ワー ク セグ メ ン ト 上の他のすべての PIM ルー タ の DR イ ン タ フ ェ ース と 比較 さ れ、 DR プ ラ イ オ リ テ ィ の 最も 高いルー タ が DR と し て選択 さ れます。 [RP Candidate] イ ン タ フ ェ ース上の RP 候補を有効または無効にする場合に選択 し ます。 [RP Candidate Priority] FortiGate イ ン タ フ ェ ース上の RP 候補を ア ド バ タ イ ズするための プ ラ イ オ リ テ ィ 番号を入力 し ます。 範囲は 1 ~ 255 です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 217 マルチキャスト 218 ルータ - ダイナミック FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - モニタ ルーティング情報の表示 ルータ - モニタ こ の項では、 [Routing Monitor] リ ス ト の読み取 り 方について説明 し ます。 こ の リ ス ト には、 FortiGate ルーテ ィ ン グ テーブル内のエ ン ト リ が表示 さ れます。 こ の項には以下の ト ピ ッ クが含まれています。 • ルーテ ィ ン グ情報の表示 • FortiGate ルーテ ィ ン グ テーブルの検索 ルーティング情報の表示 デ フ ォ ル ト では、 すべてのルー ト が [Routing Monitor] リ ス ト に表示 さ れます。 デ フ ォル ト のス タ テ ィ ッ ク ルー ト は、 " 任意の / すべての " パケ ッ ト の宛先 IP ア ド レ スに一致する、 0.0.0.0/0 と し て定義 さ れます。 ルーテ ィ ン グ テーブル内のルー ト を表示する には、 [Router]、[Monitor] の順に 選択 し ます。 図 116 は、 "port1"、 "port4" お よび "lan" と い う 名前のイ ン タ フ ェ ース を持つ FortiGate ユニ ッ ト の [Routing Monitor] リ ス ト です。 FortiGate ユニ ッ ト 上の実際 のイ ン タ フ ェ ースの名前はこ れ と は異な る場合があ り ます。 図 116: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [Routing Monitor] リスト 219 ルーティング情報の表示 ルータ - モニタ [Type] 以下のいずれかのルー ト タ イ プ を選択する と 、 ルーテ ィ ング テーブルが検 索 さ れ、 選択 し た タ イ プのルー ト のみが表示 さ れます。 • [All] は、 ルーテ ィ ング テーブル内に記録 さ れているすべてのルー ト を表 示 し ます。 • [Connected] は、FortiGate イ ン タ フ ェ ースへの直接接続に関連付け ら れた すべてのルー ト を表示 し ます。 • [Static] は、 ルーテ ィ ング テーブルに手動で追加 さ れたス タ テ ィ ッ ク ルー ト を表示 し ます。 • • • • [RIP] は、 RIP を介 し て学習 さ れたすべてのルー ト を表示 し ます。 [OSPF] は、 OSPF を介 し て学習 さ れたすべてのルー ト を表示 し ます。 [BGP] は、 BGP を介 し て学習 さ れたすべてのルー ト を表示 し ます。 [HA] は、 高可用性 (HA) ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト と 下位ユニ ッ ト の間で同期化 さ れた RIP、 OSPF、 および BGP ルー ト を表示 し ます。 HA ルー ト は、下位ユニ ッ ト 上に保持 さ れ、仮想ク ラ ス タ 内の下位のバーチ ャ ル ド メ イ ン と し て設定 さ れたバーチ ャ ル ド メ イ ンか ら ルー タ モ ニ タ を 表示 し ている場合にのみ表示 さ れます。 HA ルーテ ィ ングの同期の詳細に ついては、 『FortiGate 高可用性ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Network] ルーテ ィ ング テーブルを検索 し 、 指定 し たネ ッ ト ワー ク に一致するルー ト を表示する ための IP ア ド レ ス と ネ ッ ト マス ク ( た と えば、 172.16.14.0/24) を入力 し ます。 [Gateway] ルーテ ィ ング テーブルを検索 し 、 指定 し たゲー ト ウ ェ イ に一致するルー ト を表示する ための IP ア ド レ ス と ネ ッ ト マス ク ( た と えば、 192.168.12.1/32) を入力 し ます。 [Apply Filter] 指定 し た検索条件に基づいてルーテ ィ ング テーブル内のエ ン ト リ を検索 し 、 一致 し たルー ト をすべて表示する場合に選択 し ます。 [Type] FortiGate のルー ト に割 り 当て ら れた タ イ プの値 ([Static]、 [Connected]、 [RIP]、 [OSPF]、 または [BGP])。 [Subtype] 該当する場合は、 OSPF ルー ト に割 り 当て られたサブ タ イ プの分類。 空の文字列は、 エ リ ア内のルー ト である こ と を示 し ています。 宛先は、 FortiGate ユニ ッ ト が接続 さ れている エ リ ア内にあ り ます。 • 220 • [OSPF inter area] は、宛先は OSPF AS 内にあるが、FortiGate ユニ ッ ト がそのエ リ アに接続 さ れていない こ と を示 し ています。 • [External 1] は、 宛先が OSPF AS の外部にある こ と を示 し ています。 再配布 さ れたルー ト の メ ト リ ッ ク は、 外部のコ ス ト と OSPF のコ ス ト を 加算する こ と によ っ て計算 さ れます。 • [External 2] は、 宛先が OSPF AS の外部にある こ と を示 し ています。 こ の場合、 再配布 さ れたルー ト の メ ト リ ッ ク は外部のコ ス ト のみ と 等価 であ り 、 OSPF のコ ス ト と し て表現 さ れます。 • [OSPF NSSA 1] は [External 1] と 同 じ 意味を持 っ ていますが、 ルー ト は NSSA を介 し て受信 さ れています。 • [OSPF NSSA 2] は [External 2] と 同 じ 意味を持 っ ていますが、 ルー ト は NSSA を介 し て受信 さ れています。 [Network] FortiGate ユニ ッ ト が到達で き る宛先ネ ッ ト ワー ク の IP ア ド レ ス と ネ ッ ト ワー ク マ ス ク 。 [Distance] このルー ト に関連付け ら れたデ ィ ス タ ン ス。 0 の値は、 同 じ 宛先への他の ルー ト よ り このルー ト が優先 さ れる こ と を示 し ています。 ス タ テ ィ ッ ク ルー ト に割 り 当て ら れたデ ィ ス タ ン ス を変更するには、 194 ページの 「ルーテ ィ ング テーブルへのス タ テ ィ ッ ク ルー ト の追加」 を参照 し て く だ さ い。 ダ イ ナ ミ ッ ク ルー ト については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ルータ - モニタ FortiGate ルーティング テーブルの検索 [Metric] ルー ト タ イ プに関連付け られた メ ト リ ッ ク。 ルー ト の メ ト リ ッ クは、 FortiGate ユニ ッ ト がそのルー ト をルーテ ィ ング テーブルに動的に追加する と きの方法に影響 し ます。 • RIP を介 し て学習 さ れたルー ト には、 ホ ッ プ カ ウン ト が使用 さ れます。 • • OSPF を介 し て学習 さ れたルー ト には、 相対的な コ ス ト が使用 さ れます。 BGP を介 し て学習 さ れたルー ト には、 この メ ト リ ッ クの MED (Multi-Exit Discriminator) が使用 さ れます。 ただ し 、 宛先ネ ッ ト ワー ク への最適なパ ス を決定する ための属性は MED 以外に も い く つかあ り ます。 [Gateway] 宛先ネ ッ ト ワー クへのゲー ト ウ ェ イの IP ア ド レ ス。 [Interface] パケ ッ ト が宛先ネ ッ ト ワー クのゲー ト ウ ェ イ に転送 さ れる と き に使用 さ れ る イ ン タ フ ェ ース。 [Up Time] RIP、 OSPF、 または BGP を介 し て学習 さ れたルー ト が到達可能にな る まで に要 し た合計の累積時間。 FortiGate ルーティング テーブルの検索 フ ィ ル タ を適用する こ と で、 ルーテ ィ ン グ テーブルを検索 し て特定のルー ト の みを表示で き ます。 た と えば、 ス タ テ ィ ッ ク ルー ト 、 接続 さ れたルー ト 、 RIP/OSPF/BGP を介 し て学習 さ れたルー ト 、 指定 し たネ ッ ト ワー ク またはゲー ト ウ ェ イ に関連付け られたルー ト な ど を表示で き ます。 ルー ト タ イ プによ っ てルーテ ィ ン グ テーブルを検索 し 、 その表示を さ ら にネ ッ ト ワー ク またはゲー ト ウ ェ イ に従っ て制限する場合、 そのエ ン ト リ が表示 さ れる よ う にする には、 検索条件 と し て指定するすべての値が、 同 じ ルーテ ィ ン グ テーブル エ ン ト リ 内の対応する値に一致 し てい る必要があ り ます ( 指定する す べての検索パ ラ メ ー タ に暗黙の AND 条件が適用 さ れます )。 た と えば、 FortiGate ユニ ッ ト がネ ッ ト ワー ク 172.16.14.0/24 に接続 さ れてい る と き に、 ネ ッ ト ワー ク 172.16.14.0/24 に直接接続 さ れたすべてのルー ト を表示する 場合は、 [Type] リ ス ト か ら [Connected] を選択 し 、 [Network] フ ィ ール ド に 「172.16.14.0/24」 を入力 し た後 [Apply Filter] を選択 し て、 関連付け られた (1 つまたは複数の ) ルーテ ィ ン グ テーブル エ ン ト リ を表示する必要があ り ます。 [Type] フ ィ ール ド に "Connected" と い う 単語が含まれ、 かつ [Gateway] フ ィ ール ド に指定 し た値が含まれたすべてのエ ン ト リ が表示 さ れます。 FortiGate ルーティング テーブルを検索するには 1 [Router]、[Monitor]、[Routing Monitor] の順に選択 し ます。 2 [Type] リ ス ト か ら、 表示するルー ト の タ イ プ を選択 し ます。 た と えば、 接続 さ れたすべてのルー ト を表示する には [Connected] を、 RIP を介 し て学習 さ れたす べてのルー ト を表示する には [RIP] を選択 し ます。 3 特定のネ ッ ト ワー クへのルー ト を表示する場合は、 [Network] フ ィ ール ド にその ネ ッ ト ワー クの IP ア ド レ ス と ネ ッ ト マス ク を入力 し ます。 4 特定のゲー ト ウ ェ イへのルー ト を表示する場合は、 [Gateway] フ ィ ール ド にその ゲー ト ウ ェ イの IP ア ド レ ス を入力 し ます。 5 [Apply Filter] を選択 し ます。 注記 : 検索条件 と し て指定するすべての値が、 同 じ ルーテ ィ ング テーブル エ ン ト リ 内の 対応する値に一致 し ている必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 221 FortiGate ルーティング テーブルの検索 222 ルータ - モニタ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーについて ファイアウォール - ポリシー フ ァ イ アウ ォ ール ポ リ シーは、 FortiGate ユニ ッ ト を通過するすべての ト ラ フ ィ ッ ク を制御 し ます。 フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 FortiGate イ ン タ フ ェ ース、 ゾーン、 お よび VLAN サブ イ ン タ フ ェ ース間の接続 と ト ラ フ ィ ッ ク を制御で き ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • フ ァ イ アウ ォ ール ポ リ シーについて フ ァ イ アウ ォ ール ポ リ シー リ ス ト の表示 フ ァ イ アウ ォ ール ポ リ シーの設定 フ ァ イ アウ ォ ール ポ リ シーの例 ファイアウォール ポリシーについて フ ァ イ アウ ォ ール ポ リ シーは、 FortiGate ユニ ッ ト が接続要求を ど う 処理するの かを判断する ために用い る手順です。 フ ァ イ アウ ォ ールは、 接続要求をパケ ッ ト の形式で受信する と 、 そのパケ ッ ト を解析 し て発信元ア ド レ ス、 宛先ア ド レ ス、 お よびサービ ス ( ポー ト 番号に よ る ) を抽出 し ます。 パケ ッ ト が FortiGate ユニ ッ ト を介 し て接続 さ れる には、 そのパケ ッ ト の発信元 ア ド レ ス、 宛先ア ド レ ス、 お よびサービ スが フ ァ イ アウ ォ ール ポ リ シーに一致 し てい る必要があ り ます。 ポ リ シーによ っ て、 パケ ッ ト に対する フ ァ イ アウ ォ ー ル ア ク シ ョ ンが指示 さ れます。 ア ク シ ョ ンの種類には、 接続を許可する、 接続 を拒否する、 接続を許可する前に認証を必要 と する、 パケ ッ ト を IPSec VPN パ ケ ッ ト と し て処理する、 な どがあ り ます。 各ポ リ シーを設定する こ と に よ り 、 接続をルーテ ィ ン グ し た り 、 ネ ッ ト ワー ク ア ド レ ス変換 (NAT) を適用 し て発信元 と 宛先の IP ア ド レ スやポー ト を変換 し た り する こ と がで き ます。 フ ァ イ アウ ォ ールでの発信元ア ド レ スの変換時にダ イ ナ ミ ッ ク NAT を使用する には、 IP プールを追加 し ます。 ポ リ シーを使用 し て、 FortiGate ユニ ッ ト を介 し たポー ト ア ド レ ス変換 (PAT) を設定 し ます。 フ ァ イ アウ ォ ール ポ リ シーで制御 さ れる ト ラ フ ィ ッ ク に対 し て異な る保護設定 を適用する には、 フ ァ イ アウ ォ ール ポ リ シーにプ ロ テ ク シ ョ ン プ ロ フ ァ イルを 追加 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの詳細については、 287 ページの 「 フ ァ イ アウ ォ ール - プ ロ テ ク シ ョ ン プ ロ フ ァ イル」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ポ リ シーの ト ラ フ ィ ッ ク ロギン グを有効にする と 、 このポ リ シーを使用するすべての接続が FortiGate ユニ ッ ト で ロ グに記録 さ れます。 フ ァ イ アウ ォ ールでのポ リ シー照合は、 ポ リ シー リ ス ト の一番上から 検索を開 始 し 、 最初の一致が見つかる ま で リ ス ト 内を下に移動する こ と によ っ て行われま す。 ポ リ シーは、 ポ リ シー リ ス ト 内に、 よ り 具体的なポ リ シーから よ り 一般的 なポ リ シーへの順序で配置 し ます。 た と えば、 デ フ ォル ト ポ リ シーはすべての 接続試行に一致する ため、 非常に一般的なポ リ シーです。 そのポ リ シーに対する 例外は、 ポ リ シー リ ス ト 内のデ フ ォ ル ト ポ リ シーの上に追加 さ れます。 デ フ ォ ル ト ポ リ シーの下にある ポ リ シーが照合 さ れる こ と はあ り ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 223 ファイアウォール ポリシー リストの表示 ファイアウォール - ポリシー フ ァ イ アウ ォ ール ポ リ シーを作成または編集する場合は、 ポ リ シー オ プ シ ョ ン を設定で き ます。 選択 さ れたア ク シ ョ ンの種類に応 じ て、 異な る一連のオ プ シ ョ ンが提供 さ れます。 ポリシー照合の動作 FortiGate ユニ ッ ト がイ ン タ フ ェ ース上で接続試行を受信する と 、 その接続試行 に一致するポ リ シーを検索する ためのポ リ シー リ ス ト が選択 さ れます。 FortiGate ユニ ッ ト は、 接続試行の発信元お よび宛先ア ド レ スに基づいてポ リ シー リ ス ト を選択 し ます。 FortiGate ユニ ッ ト は次に、 選択 し たポ リ シー リ ス ト の一番上から 開始 し て、 そ の接続試行の発信元お よび宛先ア ド レ ス、 サービ ス ポー ト 、 お よび接続試行が 受信 さ れた時刻 と 日付に一致する最初のポ リ シーが見つかる ま で リ ス ト を下に検 索 し ます。 一致 し た最初のポ リ シーが、 その接続試行に適用 さ れます。 一致する ポ リ シーが存在 し ない場合、 その接続は削除 さ れます。 一般的なルール と し て、 フ ァ イ アウ ォ ール ポ リ シーは常に、 最 も具体的なポ リ シーから最 も一般的なポ リ シーへの順序に配置 し ます。 一般的なポ リ シーは、 複数の発信元お よび宛先ア ド レ ス、 またはア ド レ ス範囲か らの接続を受け付ける こ と ので き る ポ リ シーです。 一般的なポ リ シーはまた、 複 数のサービ ス ポー ト から の接続を受け付けた り 、 スケジ ュ ールを設定 し た り す る こ と も で き ます。 つま り 、 広範囲の時刻 と 日付にわた っ てポ リ シーを照合で き ます。 一般的なポ リ シーに対する例外であ るポ リ シーを追加する場合は、 こ れら の特定の例外ポ リ シーを、 ポ リ シー リ ス ト 内の一般的なポ リ シーの上に追加す る必要があ り ます。 た と えば、 内部ネ ッ ト ワー ク上のすべてのユーザの、 イ ン タ ーネ ッ ト 上のすべて のサービ スへのア ク セス を許可する一般的なポ リ シーを設定で き ます。 イ ン タ ー ネ ッ ト 上の FTP サーバへのア ク セス を ブ ロ ッ ク する場合は、 FTP 接続を拒否す る ポ リ シーを、 一般的なポ リ シーの上に追加する必要があ り ます。 こ の拒否ポ リ シーによ っ て FTP 接続がブ ロ ッ ク さ れますが、 その他のすべての種類のサービ スへの接続試行は FTP ポ リ シーに一致せず、 一般的なポ リ シーに一致 し ます。 そのため、 フ ァ イ アウ ォ ールは引き続き、 FTP 接続以外の、 内部ネ ッ ト ワー クか ら イ ン タ ーネ ッ ト へのすべての接続を受け付けます。 ポ リ シー照合に関 し ては、 次の点に も注意 し て く だ さ い。 • 認証を必要 と するポ リ シーは、 ポ リ シー リ ス ト 内の、 認証を必要 と し ない一 致する ポ リ シーの上に追加する必要があ り ます。 そ う し ない と 、 認証を必要 と し ないポ リ シーが最初に選択 さ れます。 • IPSec VPN ト ン ネル モー ド ポ リ シーは、 ポ リ シー リ ス ト 内の、 一致する許可 または拒否ポ リ シーの上に追加する必要があ り ます。 • SSL VPN ポ リ シーは、 ポ リ シー リ ス ト 内の、 一致する許可または拒否ポ リ シーの上に追加する必要があ り ます。 ファイアウォール ポリシー リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 フ ァ イ ア ウ ォ ール ポ リ シーはバーチ ャル ド メ イ ン ご と に別々に設定 さ れます。 ポ リ シー にア ク セスする には、 メ イ ン メ ニ ュ ーからバーチ ャル ド メ イ ン を選択 し ます。 ポ リ シー リ ス ト 内のポ リ シーに対 し て追加、 削除、 編集、 お よび並べ替え を行 う こ と がで き ます。 ポ リ シー リ ス ト を表示する には、 [Firewall]、[Policy] の順に選択 し ます。 224 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシー リストの表示 図 117: サンプルのポリシー リスト 削除 編集 [Insert Policy Before] フ ィ ルタ 移動 ポ リ シー リ ス ト には、 デ フ ォ ル ト で次の情報が表示 さ れます。 [Create New] フ ァ イ アウ ォ ール ポ リ シーを追加する場合に選択 し ます。 225 ページの 「フ ァ イ アウ ォ ール ポ リ シーの追加」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ポ リ シーまたは フ ァ イ ア ウ ォ ール ポ リ シー セ ク シ ョ ンのど ち ら を追加するかを選択 するには、 [Create New] の横にある下矢印を選択 し ます。 フ ァ イ アウ ォ ール ポ リ シー セ ク シ ョ ンは、 フ ァ イ アウ ォ ー ル ポ リ シーを グループ化するための方法です。 [Column Settings] テーブルの表示を カ ス タ マ イ ズする場合に選択 し ます。 表示 する列を選択 し 、 テーブル内の列の表示順序を指定する こ と がで き ます。 フィルタ アイコン 列 フ ィ ル タ を編集する場合に選択 し ます。 列フ ィ ル タ を使用 する と 、 指定 し た条件に従っ てポ リ シー リ ス ト を フ ィ ル タ 処理 し た り 、 並べ替えた り する こ と がで き ます。 ID ポ リ シー識別子。 ポ リ シーには、 ポ リ シー リ ス ト に追加 さ れた順序で番号が付け ら れます。 [Source] このポ リ シーを適用する発信元ア ド レ ス またはア ド レ ス グ ループ。 247 ページの 「フ ァ イ アウ ォ ール - ア ド レ ス」 を参 照 し て く だ さ い。 また、 ポ リ シー リ ス ト か ら ア ド レ ス情報 を編集する こ と も で き ます。 ア ド レ ス を ク リ ッ ク する と 、 [Edit Address] ダ イ ア ログ ボ ッ ク スが開き ます。 [Destination] このポ リ シーを適用する宛先ア ド レ ス またはア ド レ ス グ ループ。 247 ページの 「フ ァ イ アウ ォ ール - ア ド レ ス」 を参 照 し て く だ さ い。 また、 ポ リ シー リ ス ト か ら ア ド レ ス情報 を編集する こ と も で き ます。 ア ド レ ス を ク リ ッ ク する と 、 [Edit Address] ダ イ ア ログ ボ ッ ク スが開き ます。 [Schedule] このポ リ シーがア ク テ ィ ブにな る時期を制御するためのスケ ジ ュ ール。 261 ページの 「フ ァ イ アウ ォ ール - スケジ ュ ー ル」 を参照 し て く だ さ い。 [Service] このポ リ シーを適用するサービ ス。 253 ページの 「 フ ァ イ ア ウ ォ ール - サービ ス」 を参照 し て く だ さ い。 [Profile] このポ リ シーに関連付け られたプ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Action] このポ リ シーが接続試行に一致 し た と き に実行する応答。 削除アイコン リ ス ト か ら このポ リ シーを削除する場合に選択 し ます。 編集アイコン このポ リ シーを編集のために開 く 場合に選択 し ます。 [Insert Policy Before] アイコン 対応するポ リ シーの上に新 し いポ リ シーを追加する場合に選 択 し ます ([New Policy] 画面が表示 さ れます )。 移動アイコン 対応するポ リ シーを、 リ ス ト 内の別のポ リ シーの前または後 に移動する場合に選択 し ます。 226 ページの 「ポ リ シー リ ス ト 内の別の位置へのポ リ シーの移動」 を参照 し て く だ さ い。 ファイアウォール ポリシーの追加 フ ァ イ アウ ォ ール ポ リ シー リ ス ト に フ ァ イ アウ ォ ール ポ リ シーを追加する に は、 次の手順を使用 し ます。 1 [Firewall]、[Policy] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 225 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー 2 [Create New] を選択するか、 または リ ス ト 内のポ リ シーの横にある [Insert Policy Before] ア イ コ ン を選択 し て、 そのポ リ シーの上に新 し いポ リ シーを追加 し ます。 3 発信元お よび宛先イ ン タ フ ェ ース を選択 し ます。 4 発信元お よび宛先ア ド レ ス を選択 し ます。 5 ポ リ シーを設定 し ます。 ポ リ シーの設定については、 226 ページの 「フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 6 [OK] を選択 し ます。 7 予期 し た結果が得ら れる よ う に、 ポ リ シー リ ス ト 内にポ リ シーを配置 し ます。 ポ リ シー リ ス ト 内でのポ リ シーの配置については、 224 ページの 「ポ リ シー照合 の動作」 お よび 「ポ リ シー リ ス ト 内の別の位置へのポ リ シーの移動」 を参照 し て く だ さ い。 ポリシー リスト内の別の位置へのポリシーの移動 リ ス ト 内でポ リ シーを移動 し て、 そのポ リ シーの評価方法に影響を与え る こ と が で き ます。 同 じ イ ン タ フ ェ ース ペアに対 し て複数のポ リ シーが定義 さ れてい る 場合は、 リ ス ト 内で先頭にあ るポ リ シーが最初に評価 さ れます。 フ ァ イ アウ ォ ール暗号化ポ リ シーを予期 し た と お り に有効にする には、 それらの 順序が重要にな り ます。 フ ァ イ アウ ォ ール暗号化ポ リ シーは、 通常のフ ァ イ ア ウ ォ ール ポ リ シーの前に評価する必要があ り ます。 リ ス ト 内でポ リ シーを移動 し て も 、 そのポ リ シーの ID 番号は変更 さ れません。 図 118: ポリシーの移動 1 [Firewall]、[Policy] の順に選択 し ます。 2 移動する ポ リ シーの横の同 じ 行内にあ る [Move To] ア イ コ ン を選択 し ます。 3 ポ リ シーの位置を指定 し ます。 4 [OK] を選択 し ます。 ファイアウォール ポリシーの設定 フ ァ イ アウ ォ ール ポ リ シーを使用 し て、 通信セ ッ シ ョ ン に適用する フ ァ イ ア ウ ォ ール ポ リ シーの選択方法、 お よび FortiGate ユニ ッ ト でのその通信セ ッ シ ョ ン内のパケ ッ ト の処理方法を定義 し ます。 フ ァ イ アウ ォ ール ポ リ シーを追加または編集するには、 [Firewall]、[Policy] の順 に選択 し ます。 226 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 通信セ ッ シ ョ ン を受け付け る ための ACCEPT ポ リ シーを追加で き ます。 ACCEPT ポ リ シーを使用する と 、 ポ リ シーで受け付け られる通信セ ッ シ ョ ン に対 し て、 ウ イルス スキ ャ ンや認証な どの FortiGate の機能を適用で き ます。 ACCEPT ポ リ シーでは、 発信元または宛先のど ち ら かが IPSec 仮想イ ン タ フ ェ ースであ る場 合、 イ ン タ フ ェ ース モー ド の IPSec VPN ト ラ フ ィ ッ ク を有効にする こ と がで き ます。 詳細については、 303 ページの 「IPSec イ ン タ フ ェ ース モー ド の概要」 を 参照 し て く だ さ い。 通信セ ッ シ ョ ン を拒否する ための DENY ポ リ シーを追加で き ます。 また、IPSec ト ン ネル モー ド の VPN ト ラ フ ィ ッ ク を有効にする ための IPSec 暗号 化ポ リ シーや、 SSL VPN ト ラ フ ィ ッ ク を有効にする ための SSL VPN 暗号化ポ リ シーを追加する こ と も で き ます。 フ ァ イ アウ ォ ール暗号化ポ リ シーは、 IPSec ま たは SSL VPN セ ッ シ ョ ン中に許可 さ れる IP ト ラ フ ィ ッ クの種類を決定 し ます。 フ ァ イ アウ ォ ール暗号化ポ リ シーに よ っ て許可 さ れた場合、指定 し た種類の IP パ ケ ッ ト がロー カル プ ラ イ ベー ト ネ ッ ト ワー クへの FortiGate イ ン タ フ ェ ースに到 着 し た場合は常に、 ト ン ネルを自動的に開始で き ます。詳細については、 238 ペー ジの「IPSec の フ ァ イ アウ ォ ール ポ リ シー オ プ シ ョ ン」または 239 ページの「SSLVPN の フ ァ イ アウ ォ ール ポ リ シー オ プ シ ョ ン」 を参照 し て く だ さ い。 図 119: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ポリシー オプション - NAT/ ルート モードの ACCEPT ポリシー 227 ファイアウォール ポリシーの設定 228 ファイアウォール - ポリシー 図 120: ポリシー オプション - トランスペアレント モードの ACCEPT ポリシー 図 121: ポリシー オプション - DENY ポリシー FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 図 122: ポリシー オプション - FortiClient の確認 発信元お よび宛先の [Interface/Zone] は、 フ ァ イ アウ ォ ール ポ リ シー と 通信セ ッ シ ョ ンの発信元お よび宛先を照合 し ます。 [Address Name] は、 通信セ ッ シ ョ ンの 発信元お よび宛先ア ド レ ス を照合 し ます。 [Schedule] は、 フ ァ イ アウ ォ ール ポ リ シーが有効にな る時期を定義 し ます。 [Service] は、 フ ァ イ アウ ォ ール ポ リ シー と 、 通信セ ッ シ ョ ン で使用 さ れてい る サービ ス を照合 し ます。 [Action] は、 FortiGate ユニ ッ ト での ト ラ フ ィ ッ クの処理方法を定義 し ます。 ト ラ フ ィ ッ ク を許可または拒否する ア ク シ ョ ン を指定するか、 または フ ァ イ アウ ォ ー ル暗号化ポ リ シーを設定 し ます。 残 り の フ ァ イ アウ ォ ール ポ リ シー オ プ シ ョ ン ([NAT]、 [Protection Profile]、 [Log Allowed Traffic]、 [Log Violation Traffic]、 [Authentication]、 お よび [Traffic Shaping]) は、 追加機能を設定する場合に使用で き ます。 [Log Violation Traffic] は、 ト ラ フ ィ ッ ク を拒否する ためのポ リ シーに適用で き ます。 CLI コ マ ン ド を使用 し て、 Differentiated Services を設定で き ます ( 『FortiGate CLI リ フ ァ レ ン ス 』 の 「 フ ァ イ アウ ォ ール」 の章を参照 )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 229 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー ファイアウォール ポリシーのオプション フ ァ イ アウ ォ ール ポ リ シーを追加する には、 [Firewall]、[Policy] の順に選択 し 、 [Create New] を選択 し ます。 次のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン を設定 で き ます。 [Source] こ のポ リ シーに従 う IP パケ ッ ト の発信元の特性を指定 し ます。 [Interface/Zone] IP パケ ッ ト が受信 さ れる FortiGate イ ン タ フ ェ ース また はゾーンの名前を選択 し ます。 イ ン タ フ ェ ース と ゾーン は、 [System]、 [Network] ページ で設定 さ れます。 イ ン タ フ ェ ースについては、 69 ページの 「イ ン タ フ ェ ース」 を参照 し て く だ さ い。 ゾーンについては、 88 ページの 「ゾーン」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れている場合、 このイ ン タ フ ェ ースは、 ロー カル プ ラ イ ベー ト ネ ッ ト ワー ク に関 連付け ら れます。 [Action] が [SSL-VPN] に設定 さ れている場合、 このイ ン タ フ ェ ースは、 リ モー ト の SSL VPN ク ラ イ ア ン ト から の接続に関連付け ら れます。 [Address Name] 発信元のイ ン タ フ ェ ース またはゾーンに関連付ける、 以 前に定義 し た IP ア ド レ スの名前を選択するか、 または [Create New] を選択 し て新 し い IP ア ド レ ス を定義 し ま す。 パケ ッ ト がこ のポ リ シーに従 う ためには、 関連付け ら れた IP ア ド レ スがそのヘ ッ ダに含まれている必要が あ り ます。 ア ド レ スは、 前も っ て作成 し てお く こ と がで き ます。 249 ページの 「ア ド レ スの設定」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れている場合、 このア ド レ スは、 FortiGate ユニ ッ ト の背後に配置 さ れてい るホス ト 、 サーバ、 またはネ ッ ト ワー ク のプ ラ イ ベー ト IP ア ド レ スです。 [Action] が [SSL-VPN] に設定 さ れてお り 、 これが Web のみモー ド のク ラ イ ア ン ト のためのポ リ シーである場合 は、 [all] を選択 し ます。 [Action] が [SSL-VPN] に設定 さ れてお り 、 これが ト ン ネ ル モー ド の ク ラ イ ア ン ト のためのポ リ シーである場合 は、 その ト ンネル モー ド の ク ラ イ ア ン ト のために予約 し たア ド レ スの名前を選択 し ます。 [Destination] こ のポ リ シーに従 う IP パケ ッ ト の宛先の特性を指定 し ます。 230 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 [Interface/Zone] IP パケ ッ ト の転送先の FortiGate イ ン タ フ ェ ース または ゾーンの名前を選択 し ます。 イ ン タ フ ェ ース と ゾーン は、 [System]、 [Network] ページ で設定 さ れます。 イ ン タ フ ェ ースについては、 69 ページの 「 イ ン タ フ ェ ース」 を参照 し て く だ さ い。 ゾーンについては、 88 ページの 「ゾーン」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れてい る場合、 こ の イ ン タ フ ェ ースは、VPN ト ンネルへの入口に関連付け ら れます。 [Action] が [SSL-VPN] に設定 さ れている場合、 このイ ン タ フ ェ ースは、 ロー カル プ ラ イ ベー ト ネ ッ ト ワー ク に 関連付け ら れます。 [Address Name] 宛先のイ ン タ フ ェ ース またはゾーンに関連付ける、 以前 に定義 し た IP ア ド レ スの名前を選択するか、 または [Create New] を選択 し て新 し い IP ア ド レ ス を定義 し ま す。 パケ ッ ト がこ のポ リ シーに従 う ためには、 関連付け ら れた IP ア ド レ スがそのヘ ッ ダに含まれている必要が あ り ます。 ア ド レ スは、 前も っ て作成 し てお く こ と がで き ます。 249 ページの 「ア ド レ スの設定」 を参照 し て く だ さ い。 [Action] が [IPSEC] に設定 さ れてい る場合、 このア ド レ スは、 VPN ト ン ネルの リ モー ト エ ン ド ポ イ ン ト にある、 パケ ッ ト の配信先にな る可能性のある プ ラ イ ベー ト IP ア ド レ スです。 [Action] が [SSL-VPN] に設定 さ れている場合は、 FortiGate ユニ ッ ト の背後に配置 さ れている、 リ モー ト ク ラ イ ア ン ト がア ク セスする必要のある ホス ト 、 サー バ、 またはネ ッ ト ワー ク に対応する IP ア ド レ スの名前 を選択 し ます。 [Schedule] ポ リ シー と 通信セ ッ シ ョ ン と の照合が可能にな る時期を制御する ため の、 ワン タ イム スケジ ュ ールまたは反復スケジ ュ ールを選択 し ます。 スケジ ュ ールは、 [Firewall]、 [Schedule] の順に選択する こ と によ り 、 前も っ て作成 し てお く こ と がで き ます。 261 ページの 「フ ァ イ ア ウ ォ ール - スケジ ュ ール」 を参照 し て く だ さ い。 また、 ポ リ シーの設定中に [Create New] を選択 し て、 反復スケジ ュ ー ルまたはワン タ イム スケジ ュ ールを作成する こ と も で き ます。 反復ス ケジ ュ ールまたはワン タ イム スケジ ュ ールに必要な情報を追加 し 、 [OK] を選択 し ます。 新 し いスケジ ュ ールが [Schedule] リ ス ト に追加 さ れます。 [Service] このポ リ シー と 照合するパケ ッ ト のサービ スまたはプ ロ ト コルに一致 するサービ スまたはサービ ス グループの名前を選択 し ます。 広範囲の 定義済みサービ スか ら選択 し ます。 カ ス タ ム サービ スは、 [Firewall]、 [Service]、 [Custom] の順に選択する こ と によ り 、 前も っ て作成 し てお く こ と がで き ます。 サービ ス グループは、 [Firewall]、 [Service]、 [Group] の順に選択する こ と によ り 、 前も っ て作成 し てお く こ と がで き ます。 257 ページの 「カ ス タ ム サービ スの設定」 および 259 ページ の 「サービ ス グループの設定」 を参照 し て く だ さ い。 また、 ポ リ シーの設定中に [Create New] を選択 し て、 カ ス タ ム サー ビ スまたはサービ ス グループ を作成する こ と も で き ます。 カ ス タ ム サービ スまたはサービ ス グループに必要な情報を追加 し 、 [OK] を選 択 し ます。 新 し い カ ス タ ム サービ スまたはサービ ス グループが [Service] リ ス ト に追加 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 231 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー [Action] [NAT] 232 パケ ッ ト がポ リ シーの条件に一致 し た と きのフ ァ イ アウ ォ ールの対応 を選択 し ます。 [ACCEPT] こ のポ リ シーに一致 し た ト ラ フ ィ ッ ク を受け付けます。 NAT、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル、 ト ラ フ ィ ッ クのロ グ記録、 ト ラ フ ィ ッ ク の ト ラ フ ィ ッ ク シ ェ ーピ ング、 認 証オプ シ ョ ンに関する各種設定 と 、 こ のポ リ シーへのコ メ ン ト の追加を行 う こ と がで き ます。 [DENY] こ のポ リ シーに一致 し た ト ラ フ ィ ッ ク を拒否 し ます。 こ れを選択 し た場合に設定可能なポ リ シー オプ シ ョ ンは、 ト ラ フ ィ ッ ク のログ記録 ( このポ リ シーで拒否 さ れた接 続のログ記録 ) と 、 このポ リ シーへの コ メ ン ト の追加だ けです。 [IPSEC] IPSec のフ ァ イ アウ ォ ール暗号化ポ リ シーを設定 し ます。 これによ り 、 FortiGate ユニ ッ ト で IPSec VPN パケ ッ ト が 処理 さ れる よ う にな り ます。 238 ページの 「IPSec のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン」 を参照 し て く だ さ い。 [SSL-VPN] SSL-VPN のフ ァ イ アウ ォ ール暗号化ポ リ シーを設定 し ま す。 こ れによ り 、 FortiGate ユニ ッ ト で SSL VPN ト ラ フ ィ ッ ク が受け付け ら れる よ う にな り ます。 こ のオプ シ ョ ンは、 SSL VPN ユーザ グループ を追加 し ない と 使用 で き ません。 239 ページの 「SSL-VPN の フ ァ イ アウ ォ ー ル ポ リ シー オプ シ ョ ン」 を参照 し て く だ さ い。 このポ リ シーに対する ネ ッ ト ワー ク ア ド レ ス変換を有効に し ます。 NAT は、 このポ リ シーで受け付け られるパケ ッ ト の、 発信元ア ド レ ス と ポー ト 番号を変換 し ます。 [NAT] が選択 さ れている場合は、 [Dynamic IP Pool] と [Fixed Port] を設定で き ます。 NAT は、 ト ラ ン ス ペア レ ン ト モー ド では使用で き ません。 [Dynamic IP Pool] 発信元ア ド レ ス を、 IP プールから ラ ン ダムに選択 さ れたア ド レ スに変換する場合に選択 し ます。 IP プールは、 単一の IP ア ド レ ス または IP ア ド レ ス の範囲 と な り ます。 IP プールのア ド レ スがあ ら か じ め宛先イ ン タ フ ェ ースに追加 さ れている場合 は、 IP プールの リ ス ト が表示 さ れます。 FortiGate ユニ ッ ト で、 発信元ア ド レ ス を この IP プールで定義 さ れたいずれかのア ド レ スに変換す るには、 宛先イ ン タ フ ェ ースに追加 さ れた IP プールの名前を選択 し ます。 宛先イ ン タ フ ェ ース、 VLAN サブ イ ン タ フ ェ ース、 または宛先ゾーン内のイ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ースのいずれかが、 DHCP または PPPoE を使用 し て設定 さ れている場合は、 [Dynamic IP Pool] を選択で き ません。 ゾーン を使用 し てい る場合は、 IP プールを使用で き ません。 IP プールは、 イ ン タ フ ェ ースにのみ関 連付け る こ と がで き ます。 IP プールの追加については、 283 ページの 「IP プール」 を参照 し て く だ さ い。 [Fixed Port] NAT で発信元ポー ト を変換 し ないよ う にするに は、 [Fixed Port] を選択 し ます。 一部のア プ リ ケーシ ョ ン では、 発信元ポー ト が変 更 さ れて し ま う と 正 し く 機能 し ません。 ほ と んど の場合、 [Fixed Port] を選択する と きは [Dynamic IP Pool] も 選択 し ます。 [Dynamic IP Pool] を選択 し ていない場合には、 [Fixed Port] を選択 し たポ リ シーは、 一度に 1 つの接続 し か許可 し ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 [Protection Profile] フ ァ イ アウ ォ ール ポ リ シーにア ン チウ イルス、 Web フ ィ ル タ リ ング、 Web カ テ ゴ リ フ ィ ル タ リ ング、 スパム フ ィ ル タ リ ング、 IPS、 コ ン テ ン ツ アー カ イ ブ、 およびロギング を適用する方法を設定する ためのプ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルは前 も っ て作成する こ と も、 プ ロ フ ァ イルの設定中に作成する こ と も で き ます。 この時点で作成 さ れた プ ロ フ ァ イルは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル リ ス ト に表示 さ れます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルの追加および設定については、 287 ページの 「フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イル」 を参照 し て く だ さ い。 詳細設定の中の [Authentication] を選択する と 、 認証用に選択するユー ザ グループはすでにプ ロ テ ク シ ョ ン プ ロ フ ァ イル と 結び付け ら れて いる ため、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル オプ シ ョ ンは無効にな り ま す。 フ ァ イ アウ ォ ール ポ リ シーへの認証の追加の詳細については、 234 ページの 「フ ァ イ アウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 [Log Allowed Traffic] ACCEPT、 IPSEC、 または SSL-VPN ポ リ シーの場合、 こ のポ リ シーで 接続が処理 さ れた際に常に メ ッ セージ を ト ラ フ ィ ッ ク ログに記録する には、 [Log Allowed Traffic] を選択 し ます。 ロギング場所 (syslog、 WebTrends、 使用可能な場合はロー カル デ ィ ス ク 、 メ モ リ 、 または FortiAnalyzer) の ト ラ フ ィ ッ ク ログ を有効に し 、 ロギング レベルを [Notification] 以下に設定 し ます。 ロギングについては、 431 ページの 「ログおよびレポー ト 」 を参照 し て く だ さ い。 [Log Violation Traffic] DENY ポ リ シーの場合、 このポ リ シーで接続が処理 さ れた際に常に メ ッ セージ を ト ラ フ ィ ッ ク ログに記録するには、 [Log Violation Traffic] を選択 し ます。 ロギング場所 (syslog、 WebTrends、 使用可能な 場合はロー カル デ ィ ス ク 、 メ モ リ 、 または FortiAnalyzer) の ト ラ フ ィ ッ ク ログを有効に し 、 ロギング レ ベルを [Notification] 以下に設 定 し ます。 ロギングについては、 431 ページの 「ロ グおよびレポー ト 」 を参照 し て く だ さ い。 [Authentication] [Authentication] を選択する前に、 ユーザ グループにユーザ と フ ァ イ ア ウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加 し てお き ます。 ユーザ グループの追加および設定については、 346 ページの 「ユーザ グルー プ」 を参照 し て く だ さ い。 [Authentication] は、 [Action] が [ACCEPT] または [SSL-VPN] に設定 さ れている場合に使用で き ます。 フ ァ イ ア ウ ォ ール ポ リ シーへの認証の追加の詳細については、 234 ページの 「 フ ァ イ アウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 [Check FortiClient FortiGate モデル 1000A、 3600A、 および 5005FA2 の場合は、 FortiClient Host Security ソ フ ト ウ ェ ア を イ ン ス ト ール し てお ら ず動作 さ せていな is Installed and いホス ト のア ク セス を フ ァ イ アウ ォ ール ポ リ シーで拒否で き ます。 Running] 239 ページの 「ホス ト 上の FortiClient を確認する ためのオプ シ ョ ン」 を参照 し て く だ さ い。 [Traffic Shaping] [Traffic Shaping] は、 このポ リ シーで使用可能な帯域幅を制御 し 、 この ポ リ シーで処理 さ れる ト ラ フ ィ ッ クのプ ラ イ オ リ テ ィ を設定 し ます。 注記 : • すべての フ ァ イ アウ ォ ール ポ リ シーで ト ラ フ ィ ッ ク シ ェ ーピ ング を有効にする よ う に し て く だ さ い。 ポ リ シーに ト ラ フ ィ ッ ク シ ェ ーピ ング ルールを何 も適用 し ない場合、 そのポ リ シーは、 デ フ ォル ト で高いプ ラ イ オ リ テ ィ に設定 さ れます。 • フ ァ イ アウ ォ ール ポ リ シーを、 3 つのプ ラ イ オ リ テ ィ キ ュ ー ( 低、 中、 高 ) のすべてに分散 さ せて く だ さ い。 • すべての フ ァ イ アウ ォ ール ポ リ シーの [Guaranteed Bandwidth] の 合計が、 イ ン タ フ ェ ースの総帯域幅を大幅に下回る よ う に し て く だ さ い。 ト ラ フ ィ ッ ク シ ェ ーピ ング を設定する方法については、 235 ページの 「 フ ァ イ アウ ォ ール ポ リ シーへの ト ラ フ ィ ッ ク シ ェ ーピ ングの追加」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 233 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー [User Authentication Disclaimer] [Authentication Disclaimer] ページ ( 差 し 替え メ ッ セージ ) を表示 し ま す。 ユーザが宛先に接続するには、 この表示 さ れた、 ユーザ認証免責 条項を受け入れる必要があ り ます。 この免責条項表示は、 認証または プ ロ テ ク シ ョ ン プ ロ フ ァ イル と 共に使用で き ます。 こ のオプ シ ョ ン は、 一部のモデルで使用で き ます。 SSL-VPN ポ リ シーには使用で き ません。 [Redirect URL] こ こ に URL を入力 し てお く と 、 認証の後またはユーザ認証免責条項を 受け入れた後、 ユーザがその URL に リ ダ イ レ ク ト さ れます。 こ のオプ シ ョ ンは、 一部のモデルで使用で き ます。 SSL-VPN ポ リ シーには使 用で き ません。 [Comments] 説明、 またはポ リ シーに関する その他の情報を追加 し ます。 コ メ ン ト は、 スペース を含め、 最大 63 文字ま で入力で き ます。 ファイアウォール ポリシーへの認証の追加 [Authentication] を選択する前に、 ユーザ グループにユーザ と フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加 し てお き ます。 ユーザ グループの追加お よ び設定については、 346 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 認証 は、 [Action] が [ACCEPT] に設定 さ れてい る場合に使用で き ます。 [Authentication] を選択 し 、 フ ァ イ アウ ォ ールで接続を受け付ける前に、 ユーザに ユーザ名 と パスワー ド の入力を義務付ける、 1 つ以上のユーザ グループ を選択 し ます。 図 123: 認証のためのユーザ グループの選択 任意のサービ スに対 し て [Authentication] を選択 し ます。 ユーザは フ ァ イ ア ウ ォ ールに対 し て、 HTTP、 Telnet、 または FTP で認証する こ と がで き ます。 ユーザを認証で き る よ う にする には、 認証のために設定 さ れた HTTP、 Telnet、 または FTP のポ リ シーを追加 し ます。 ユーザが、 こ のポ リ シーを使用 し て フ ァ イ アウ ォ ールを介 し た接続を し よ う と する と 、 フ ァ イ アウ ォ ールのユーザ名 と パ スワー ド を入力する よ う 求め られます。 フ ァ イ アウ ォ ールの認証方法には、 ロー カルに定義 さ れたユーザ グループ以外 に、 LDAP お よび RADIUS ユーザ も含まれます。 [User]、[User Group] で定義 さ れた Active Directory グループ を選択する には、 ド ロ ッ プ ダウ ン リ ス ト から [Active Directory] を選択 し ます。 Active Directory グループ と その他のグループ で の認証を同 じ ポ リ シー内で組み合わせる こ と はで き ません。 注記 : Active Directory サーバで FortiGate ユニ ッ ト を認証で き る よ う にするには、 Active Directory ド メ イ ン コ ン ト ロー ラ に FSAE (Fortinet Server Authentication Extensions) がイ ン ス ト ール さ れている必要があ り ます。 FSAE は、 Fortinet テ ク ニ カル サポー ト か ら入手で き ます。 他のサービ ス ( た と えば、 POP3 または IMAP) を使用 し てユーザを認証する に は、 HTTP、 Telnet、 お よび FTP に加えて、 認証を必要 と するサービ ス を含む サービ ス グループ を作成 し ます。 それに よ っ て、 他のサービ ス を使用する前に、 HTTP、 Telnet、 または FTP を使用する ポ リ シーでユーザを認証で き ます。 234 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 ほ と んどの場合は、 ユーザが認証な し で も、 フ ァ イ アウ ォ ールを介 し て DNS が 使用で き る よ う に し ておいて く だ さ い。 DNS を使用で き ない場合、 ユーザは ド メ イ ン名を使用 し て Web、 FTP、 または Telnet サーバに接続で き な く な っ て し ま います。 注記 : 認証を必要 と するポ リ シーは、 ポ リ シー リ ス ト 内の、 条件に合っ て し ま う 認証を 必要 と し ないポ リ シーの上に追加する必要があ り ます。 そ う し ない と 、 認証を必要 と し な いポ リ シーが最初に選択 さ れて し まいます。 ファイアウォール ポリシーへのトラフィック シェーピングの追加 ト ラ フ ィ ッ ク シ ェ ーピ ン グは、 利用可能な帯域幅を制御 し 、 処理対象の ト ラ フ ィ ッ クのプ ラ イ オ リ テ ィ をポ リ シーに基づいて設定 し ます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を行 う こ と で、 大量のデー タ が FortiGate デバイ ス を通過 し てい る と き に、 どのポ リ シーに最も高いプ ラ イ オ リ テ ィ を与え るかを制御で き る よ う に な り ます。 た と えば、 企業の Web サーバのためのポ リ シーには、 大部分の従業 員の コ ン ピ ュ ー タ のためのポ リ シーよ り も高いプ ラ イ オ リ テ ィ を与え る こ と がで き ます。 きわめて高速な イ ン タ ーネ ッ ト ア ク セスが必要な従業員に、 通常よ り 広い帯域幅を設定 し た特殊な送信ポ リ シーを許可する こ と も で き ます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グは、 ACCEPT、 IPSEC、 お よび SSL-VPN ポ リ シーに 使用で き ます。 また、 サポー ト さ れてい るすべてのサービ ス (H.323、 TCP、 UDP、 ICMP、 およ び ESP を含む ) に も使用で き ます。 保証帯域幅 と 最大帯域幅をキ ュ ー イ ン グ と 組み合わせる と 、 ト ラ フ ィ ッ ク に対す る最小帯域幅 と 最大帯域幅が保証 さ れます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を使用 し て も、 利用可能な帯域幅の総量を増やす こ と はで き ませんが、 帯域を大量に消費する ト ラ フ ィ ッ クや帯域幅の影響を受けや すい ト ラ フ ィ ッ ク の品質を向上 さ せる こ と がで き ます。 注記 : ト ラ フ ィ ッ ク シ ェ ーピ ングの詳細については、 『FortiGate ト ラ フ ィ ッ ク シ ェ ーピ ン グテ ク ニ カル ノ ー ト 』 も参考に し て く だ さ い。 保証帯域幅と最大帯域幅 フ ァ イ アウ ォ ール ポ リ シーの [Guaranteed Bandwidth] フ ィ ール ド に値を入力する と 、 選択 し たネ ッ ト ワー ク ト ラ フ ィ ッ ク に使用可能な帯域幅の量 ( キロバイ ト / 秒単位 ) が保証 さ れます。 た と えば、 電子商取引 ト ラ フ ィ ッ ク に対 し て よ り 高い 保証帯域幅を与え る こ と がで き ます。 フ ァ イ アウ ォ ール ポ リ シーの [Maximum Bandwidth] フ ィ ール ド に値を入力する と 、 選択 し たネ ッ ト ワー ク ト ラ フ ィ ッ ク に使用可能な帯域幅の量 ( キロバイ ト / 秒単位 ) が制限 さ れます。 た と えば、 IM ト ラ フ ィ ッ ク使用の帯域幅を制限 し て、 一部の帯域幅を よ り 重要な電子商取引 ト ラ フ ィ ッ ク のために取っ てお く こ と がで き ます。 ポ リ シーで制御 さ れる ト ラ フ ィ ッ ク に使用可能な帯域幅は、 制御セ ッ シ ョ ン と デー タ セ ッ シ ョ ンの両方に使用 さ れ、 また双方向の ト ラ フ ィ ッ ク に使用 さ れま す。 た と えば、 内部から 外部への FTP ポ リ シーに保証帯域幅が適用 さ れている と き に、 内部ネ ッ ト ワー ク上のユーザが FTP を使用 し て フ ァ イルを put およ び get し てい る場合は、 こ のポ リ シーで制御 さ れる ト ラ フ ィ ッ クが使え る帯域幅 を、 put お よび get の両セ ッ シ ョ ンが共有 し ます。 あ るポ リ シーで使え る保証帯域幅お よび最大帯域幅は、 そのポ リ シーで制御 さ れ るすべての ト ラ フ ィ ッ ク で使え る総帯域幅です。 複数のユーザが同 じ ポ リ シーを 使用 し て複数の通信セ ッ シ ョ ン を開始 し た場合は、 こ れら の通信セ ッ シ ョ ンのす べてが、 そのポ リ シーで使え る帯域幅を共有する必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 235 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー ただ し 、 同 じ サービ ス を使用する複数のイ ン ス タ ン スが異な る ポ リ シーで制御 さ れている場合は、 こ れらの複数のイ ン ス タ ン ス間で使え る帯域幅は共有 さ れませ ん。 た と えば、 あ る ネ ッ ト ワー ク ア ド レ スに対 し て、 FTP で使え る帯域幅を制 限する ための 1 つの FTP ポ リ シーを作成する と 同時に、 別のネ ッ ト ワー ク ア ド レ スに対 し て、 別の帯域幅が使え る よ う な別の FTP ポ リ シーを作成する こ と が で き ます。 トラフィック プライオリティ 異な る種類の ト ラ フ ィ ッ ク 間の相対的な プ ラ イ オ リ テ ィ を管理する には、 ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ を設定 し ます。 遅延に影響 さ れやすい重要な ト ラ フ ィ ッ ク には、 高いプ ラ イ オ リ テ ィ を割 り 当て る必要があ り ます。 遅延の影響が 少ない重要度の低い ト ラ フ ィ ッ ク には、 低いプ ラ イ オ リ テ ィ を割 り 当て る必要が あ り ます。 FortiGate Antivirus Firewall は、 プ ラ イ オ リ テ ィ の高い コ ネ ク シ ョ ンに帯域幅を割 り 当て る必要がない場合にのみ、 プ ラ イ オ リ テ ィ の低い接続に帯域幅を提供し ます。 た と えば、 音声 ト ラ フ ィ ッ ク と 電子商取引 ト ラ フ ィ ッ ク に帯域幅を保証する ため のポ リ シーを追加で き ます。 次に、 音声 ト ラ フ ィ ッ ク を制御するポ リ シーには高 いプ ラ イ オ リ テ ィ を、 電子商取引 ト ラ フ ィ ッ ク を制御するポ リ シーには中程度の プ ラ イ オ リ テ ィ を割 り 当て る こ と がで き ます。 帯域幅の使用が集中する時間帯 に、 音声 ト ラ フ ィ ッ ク と 電子商取引 ト ラ フ ィ ッ クの両方で帯域幅が競合 し た場合 は、 プ ラ イ オ リ テ ィ の高い音声 ト ラ フ ィ ッ クが電子商取引 ト ラ フ ィ ッ クの前に送 り 出 さ れます。 トラフィック シェーピングの考慮事項 ト ラ フ ィ ッ ク シ ェ ーピ ン グは、 その定義上、 ト ラ フ ィ ッ クのピー ク / バース ト の " 正規化 " を試みよ う と する ものであ り 、 特定の フ ローを他の フ ローよ り 優先 する よ う に設定で き ます。 ただ し 、 バ ッ フ ァ 処理で き る デー タ の量やその期間に は物理的な制限があ り ます。 こ れ らの し き い値を超え て し ま う と 、 フ レ ームやパ ケ ッ ト が削除 さ れ、 セ ッ シ ョ ン に影響を与え る こ と にな り ます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グの設定が正 し く ない場合は、 パケ ッ ト の過剰な破棄が起き て し ま い、 こ れらのエ ラ ーからの回復を試みよ う と する上位レ イ ヤで余計なオーバー ヘ ッ ド が発生する こ と がある ため、 実際には特定のネ ッ ト ワー ク フ ローの品質 を大幅に低下 さ せて し ま う 可能性があ り ます。 基本的な ト ラ フ ィ ッ ク シ ェ ーピ ン グの例 と し て、 破棄 さ れて もかまわない他の ト ラ フ ィ ッ ク の損失を前提に、 特定の ト ラ フ ィ ッ ク フ ローを優先する場合があ り ます。 つま り 、 ト ラ フ ィ ッ ク X に対するパ フ ォ ーマ ン スや安定性を増加また は保証する ために、 ト ラ フ ィ ッ ク Y に対する特定のパフ ォ ーマ ン スや安定性を 犠牲にする こ と を受け入れる こ と にな り ます。 た と えば、 特定のフ ロ ーに帯域幅の制限を適用する場合は、 こ れら のセ ッ シ ョ ン が制限 さ れる可能性があ り 、 それに よ っ て悪影響を受け る こ と がある と い う 点を 容認 し なければな り ません。 フ ァ イ アウ ォ ール ポ リ シーに適用 さ れる ト ラ フ ィ ッ ク シ ェ ーピ ン グは、 ど ち ら の方向に流れる ト ラ フ ィ ッ ク に対 し て も 適用 さ れます。 そのため、 あ る セ ッ シ ョ ンが [Internal -> External] ポ リ シーに よ っ て内部のホス ト か ら外部のホス ト に向 けて設定 さ れていた と し て も、 次にデー タ ス ト リ ームが外部か ら内部に入っ て 来る と 、 そのセ ッ シ ョ ン に対 し て も ト ラ フ ィ ッ ク シ ェ ーピ ン グが適用 さ れます。 た と えば、 FTP の "get" や、 電子 メ ールを取得する ために外部のサーバに接続 さ れた SMTP サーバな どがあ り ます。 236 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 また、 ト ラ フ ィ ッ ク シ ェ ーピ ン グは、 通常の ト ラ フ ィ ッ ク レー ト の標準的な IP ト ラ フ ィ ッ ク に対 し てのみ効果があ る こ と に も注意 し て く だ さ い。 ト ラ フ ィ ッ ク が FortiGate ユニ ッ ト の容量を超え て し ま っ ている よ う な、 極端な高 ト ラ フ ィ ッ クの下では、 ト ラ フ ィ ッ ク シ ェ ーピ ン グは効果があ り ません。 パケ ッ ト は、 ト ラ フ ィ ッ ク シ ェ ーピ ン グに従 う 前に、 FortiGate ユニ ッ ト に受信 さ れる必要があ り ます。 FortiGate ユニ ッ ト が、 受信 し たすべての ト ラ フ ィ ッ ク を処理で き ない 場合は、 パケ ッ ト の破棄、 遅延、 待ち時間な どが発生する可能性があ り ます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グが最高の状態で機能する こ と を保証する ために、 イ ーサネ ッ ト イ ン タ フ ェ ースの統計情報にエ ラ ー、 衝突、 バ ッ フ ァ オーバー ラ ン な どがない こ と を確認 し て く だ さ い。 こ れ らが存在する場合は、 FortiGate や ス イ ッ チの設定の調整が必要にな っ てい る可能性があ り ます。 ト ラ フ ィ ッ ク シ ェ ーピ ン グ を効率的に機能 さ せる ために、 次のルールを守る よ う に し て く だ さ い。 • すべてのフ ァ イ アウ ォ ール ポ リ シーで ト ラ フ ィ ッ ク シ ェ ーピ ン グ を有効に し て く だ さ い。 ポ リ シーに ト ラ フ ィ ッ ク シ ェ ーピ ン グルールを適用 し ない場合、 そのポ リ シーは、 デ フ ォ ル ト で高いプ ラ イ オ リ テ ィ に設定 さ れて し まいます。 • フ ァ イ アウ ォ ール ポ リ シーを、 3 つのプ ラ イ オ リ テ ィ キ ュ ー ( 低、 中、 高 ) の すべてに分散 さ せて く だ さ い。 すべてのフ ァ イ アウ ォ ール ポ リ シーのすべての [Guaranteed Bandwidth] の合計 が、 イ ン タ フ ェ ースの帯域幅容量を大幅に下回る よ う に し て く だ さ い。 FortiGate の ト ラ フ ィ ッ ク シ ェ ーピ ン グの設定 フ ァ イ アウ ォ ール ポ リ シーを設定する と き に、 ト ラ フ ィ ッ ク シ ェ ーピ ン グの設 定を有効に し て指定 し ます。 トラフィック シェーピングを設定するには 1 [Firewall]、[Policy] の順に選択 し ます。 2 新 し いポ リ シーを作成する と き、 またはポ リ シーを編集する と き に、 [Traffic Shaping] オ プ シ ョ ン を選択 し ます。 3 次の 3 つのオ プ シ ョ ン を設定 し ます。 [Guaranteed Bandwidth] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ト ラ フ ィ ッ ク シ ェ ーピ ングを使用 し て、 そのポ リ シーに対する フ ァ イ アウ ォ ールで使用可能な帯域幅の量を保証 し ます。 プ ラ イ オ リ テ ィ の 高いサービ スに使用可能な十分な帯域幅が確保 さ れる よ う に、 帯域幅 ( キロバイ ト 単位 ) を保証 し ます。 すべてのフ ァ イ アウ ォ ール ポ リ シーの [Guaranteed Bandwidth] の総計が、 イ ン タ フ ェ ースの帯域幅容 量を大幅に下回る よ う に し て く だ さ い。 237 ファイアウォール ポリシーの設定 ファイアウォール - ポリシー [Maximum Bandwidth] ト ラ フ ィ ッ ク シ ェ ーピ ングを使用 し て、 そのポ リ シーに対する フ ァ イ アウ ォ ールで使用可能な帯域幅の量を制限 し ます。 重要性の低いサー ビ スが、 よ り 重要なサービ スに必要な帯域幅を使っ て し まわないよ う にするために、 帯域幅を制限 し ます。 [Traffic Priority] [High]、 [Medium]、 または [Low] を選択 し ます。 [Traffic Priority] を選択 し て、 FortiGate ユニ ッ ト で、 異な る種類の ト ラ フ ィ ッ ク間の相対的な プ ラ イ オ リ テ ィ を管理する よ う に し ます。 た と えば、 電子商取引 ト ラ フ ィ ッ クのサポー ト に必要なセキ ュ ア な Web サーバに接続する ための ポ リ シーには、 高い ト ラ フ ィ ッ ク プ ラ イ オ リ テ ィ を割 り 当て る必要が あ り ます。 重要性の低いサービ スには、 低いプ ラ イ オ リ テ ィ を割 り 当 て る必要があ り ます。 フ ァ イ アウ ォ ールは、 プ ラ イ オ リ テ ィ の高い接 続に帯域幅を割 り 当て る必要がない場合にのみ、 プ ラ イ オ リ テ ィ の低 い接続に帯域幅を提供 し ます。 すべての フ ァ イ アウ ォ ール ポ リ シーで ト ラ フ ィ ッ ク シ ェ ーピ ング を 有効にする よ う に し て く だ さ い。 ポ リ シーに ト ラ フ ィ ッ ク シ ェ ーピ ン グルールを適用 し ない場合、 そのポ リ シーは、 デ フ ォル ト で高いプ ラ イ オ リ テ ィ に設定 さ れて し まいます。 フ ァ イ アウ ォ ール ポ リ シーを、 3 つのプ ラ イ オ リ テ ィ キ ュ ーのすべて に分散 さ せて く だ さ い。 注記 : 保証帯域幅 と 最大帯域幅の両方を 0 ( ゼロ ) に設定 し た場合、 そのポ リ シーではどの ト ラ フ ィ ッ ク も許可 さ れません。 IPSec のファイアウォール ポリシー オプション [Action] が [IPSEC] に設定 さ れてい る場合は、 次のオ プ シ ョ ンが使用で き ます。 図 124: IPSec 暗号化ポリシー [VPN Tunnel] フ ェ ーズ 1 の設定で定義 さ れた VPN ト ン ネルの名前を選択 し ます。 指定 さ れた ト ン ネルは、 このフ ァ イ アウ ォ ール暗号化ポ リ シーに従 います。 [Allow Inbound] リ モー ト プ ラ イ ベー ト ネ ッ ト ワー ク 上のダ イヤルア ッ プ ク ラ イ ア ン ト または コ ン ピ ュ ー タ から の ト ラ フ ィ ッ ク で、 ト ン ネルを開始で き る よ う にする場合に選択 し ます。 [Allow outbound] ロー カル プ ラ イ ベー ト ネ ッ ト ワー ク 上のコ ン ピ ュ ー タ から の ト ラ フ ィ ッ ク で ト ン ネルを開始で き る よ う にする場合に選択 し ます。 [Inbound NAT] 暗号化解除 さ れた受信パケ ッ ト の発信元 IP ア ド レ ス を、 ロー カル プ ラ イ ベー ト ネ ッ ト ワー ク の FortiGate イ ン タ フ ェ ースの IP ア ド レ ス に変換する場合に選択 し ます。 [Outbound NAT] 送信のク リ ア テキス ト パケ ッ ト の発信元ア ド レ ス を、 指定 し た IP ア ド レ スに変換する ために、 CLI の natip 値 と 組み合わせて選択 し ま す。 CLI で natip 値を指定 し ていない限 り 、 [Outbound NAT] を選択 し ないで く だ さ い。 natip 値が指定 さ れている場合、 送信 IP パケ ッ ト の発信元ア ド レ スは、 それら のパケ ッ ト が ト ンネルを経由 し て送信 さ れる前に置き換え ら れます。詳細については、『FortiGate CLI リ フ ァ レ ン ス 』 の 「フ ァ イ アウ ォ ール」 の章を参照 し て く だ さ い。 注記 : ルー ト ベース ( イ ン タ フ ェ ース モー ド ) の IPSec ト ンネルは、 ト ンネル モー ド の IPSec ト ンネル と は別の方法で設定 さ れます。 ト ンネル モー ド の "IPSEC" フ ァ イ ア ウ ォ ール暗号化ポ リ シーを定義する こ と で、 VPN 接続を許可 し 、 ト ンネルを経由 し た IP ト ラ フ ィ ッ ク を制御するのではな く 、 ルー ト ベースの VPN ト ン ネルを IPSec 仮想イ ン タ フ ェ ースにバイ ン ド し た後、 その IPSec 仮想イ ン タ フ ェ ース を通常の (ACCEPT または DENY) フ ァ イ アウ ォ ール ポ リ シーの発信元または宛先イ ン タ フ ェ ース と し て指定 し ます。 詳細については、 『FortiGate IPSec VPN ユーザ ガ イ ド 』 の 「フ ァ イ アウ ォ ール暗 号化ポ リ シーの定義」 の章を参照 し て く だ さ い。 238 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの設定 SSL-VPN のファイアウォール ポリシー オプション [Action] が [SSL-VPN] に設定 さ れている場合は、 次のオプ シ ョ ンが使用で き ます。 注記 : [SSL-VPN] オプ シ ョ ンは、 1 つ以上の SSL VPN ユーザ グループ を作成 し た後、 [Action] リ ス ト から 使用で き ます。 ユーザ ア カ ウン ト および SSL VPN ユーザ グループ を 作成する には、 352 ページの 「SSL VPN ユーザ グループのオプ シ ョ ンの設定」 を参照 し て く だ さ い。 図 125: SSL VPN 暗号化ポリシー [SSL Client Certificate Restrictive] ( 共有 さ れている ) グループ証明書の所有者が生成 し た ト ラ フ ィ ッ ク を 許可 し ます。 グループ証明書の所有者は SSL VPN ユーザ グループの メ ンバである必要があ り 、 そのユーザ グループの名前が [Allowed] フ ィ ール ド に存在する必要があ り ます。 [Cipher Strength] 次のいずれかのオプ シ ョ ン を選択 し て、 使用する SSL 暗号化のレベル を決定 し ます。 リ モー ト ク ラ イ ア ン ト 上の Web ブ ラ ウザが、 選択す る レベルに一致 し ている必要があ り ます。 • 任意の暗号ス イ ー ト を使用するには、 [Any] を選択 し ます。 • 164 ビ ッ ト 以上の暗号ス イ ー ト を使用するには、 [High >= 164] を選 択 し ます。 • 128 ビ ッ ト 以上の暗号ス イ ー ト を使用するには、 [Medium >= 128] を 選択 し ます。 [User Authentication Method] 次のいずれかのオプ シ ョ ン を選択 し ます。 • この フ ァ イ アウ ォ ール ポ リ シーに結び付け られるユーザ グループ がロー カル ユーザ グループ である場合は、 [Local] を選択 し ます。 • リ モー ト ク ラ イ ア ン ト が外部の RADIUS サーバで認証 さ れる場合 は、 [Radius] を選択 し ます。 • リ モー ト ク ラ イ ア ン ト が外部の LDAP サーバで認証 さ れる場合は、 [LDAP] を選択 し ます。 • 上のすべての認証方法を有効にするには、 [Any] を選択 し ます。 [Local] が最初に試行 さ れ、 次に [Radius]、 [LDAP] の順に試行 さ れ ます。 [Available Groups] SSL VPN ア ク セスが必要なユーザ グループの名前を選択 し てから 、 右 矢印を押 し て く だ さ い。 選択 し たユーザ グループのすべての メ ンバの ア ク セス要件が同 じ でない限 り 、 複数のユーザ グループ を選択 し ては いけません。 SSL VPN ユーザのためのフ ァ イ アウ ォ ール暗号化ポ リ シーを作成する方法につ いては、 『FortiGate SSL VPN ユーザ ガ イ ド 』 の 「SSL VPN の管理 タ ス ク」 の章 を参照 し て く だ さ い。 ホスト上の FortiClient を確認するためのオプション FortiGate モデル 1000A、 3600A、 およ び 5005FA2 の場合は、 FortiClient Host Security ソ フ ト ウ ェ ア を イ ン ス ト ール し てお ら ず動作 さ せていないホ ス ト のア ク セス を フ ァ イ アウ ォ ール ポ リ シーで拒否で き ます。 こ の機能では、 FortiClient ソ フ ト ウ ェ ア バージ ョ ン 3.0 MR2 以降を検出で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 239 ファイアウォール ポリシーの例 ファイアウォール - ポリシー 図 126: FortiClient Host Security の確認オプション [Check FortiClient is Installed and Running] [Redirect Restricted Users to FortiGate Download Portal] 発信元ホス ト が FortiClient Host Security ソ フ ト ウ ェ ア を 動作 さ せている こ と を確認する場合に選択 し ます。 必要 に応 じ て、 以下の理由でア ク セス拒否を有効に し ます。 • [FortiClient is Not Installed] (FortiClient がイ ン ス ト ール さ れていない ) • [FortiClient is Not Licensed] (FortiClient がラ イ セ ン ス さ れていない ) • [AV/IPS Database Out-of-Date] (AV/IPS デー タ ベース が期限切れにな っ ている ) • • [AV Disabled] (AV が無効にな っ ている ) • [Web Filter Disabled] (Web フ ィ ル タ が無効にな っ ている ) [Firewall Disabled] ( フ ァ イ アウ ォ ールが無効にな っ て いる ) 拒否 さ れたユーザを、 拒否の理由を表示する内部の Web ポー タ ルに リ ダ イ レ ク ト する場合に選択 し ます。 この機 能をサポー ト し ているユニ ッ ト の場合、 ユーザは FortiClient Host Security ソ フ ト ウ ェ ア を ダウン ロー ド で き ます。 ファイアウォール ポリシーの例 FortiGate ユニ ッ ト は、 自宅での使用から 、 SOHO、 さ ら には大規模企業や ISP ま での さ ま ざ ま なネ ッ ト ワー ク要件を完全に満たす こ と がで き ます。 次の 2 つのシ ナ リ オでは、 SOHO お よび大規模企業環境におけ る フ ァ イ アウ ォ ール ポ リ シー の実際的な応用を示 し ます。 こ れら の 2 つの例の詳細については、 FortiOS v3.0 MR2 のマニ ュ アルにあ る 『 ラ イ ブ ラ リ ネ ッ ト ワー クの例』 およ び 『SOHO お よび SMB のネ ッ ト ワー ク保護』 のサン プル ガ イ ド を参照 し て く だ さ い。 • シナ リ オ 1: SOHO 規模の企業 • シナ リ オ 2: 大規模企業 シナリオ 1: SOHO 規模の企業 企業 A は、 開発を行い、 カ ス タ マ サポー ト を提供 し てい る小規模な ソ フ ト ウ ェ ア会社です。 15 台の コ ン ピ ュ ー タ か ら成る内部ネ ッ ト ワー ク に加え て、 フル タ イ ムまたはパー ト タ イ ムで自宅で作業を行 う 複数の従業員も 抱えています。 240 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの例 現在のネ ッ ト ワー ク ト ポ ロ ジ では、 15 台の内部 コ ン ピ ュ ー タ のすべてがルー タ の背後に配置 さ れてい る ため、 IP メ ール サーバや Web サーバにア ク セスする に は外部 ソ ースに移動する必要があ り ます。自宅作業従業員はすべて、セキ ュ リ テ ィ 保護 さ れていない、 オープ ン な コ ネ ク シ ョ ン を介 し てルー タ にア ク セス し ます。 図 127: FortiGate をインストールする前の SOHO ネットワークの例 企業 A には、 自宅作業者のためのセキ ュ ア な接続が必要です。 他の多 く の企業 と 同様に、 こ の企業も、 ビ ジネスの遂行を電子 メ ールやイ ン タ ーネ ッ ト ア ク セ スに大き く 依存 し ています。 こ の企業は、 ネ ッ ト ワー ク攻撃を検出お よび阻止 し 、 ウ イルス を ブ ロ ッ ク し 、 スパムを減ら すための総合的なセキ ュ リ テ ィ ソ リ ュ ーシ ョ ン を望んでいます。 また、 異な る部門に対 し て異な る保護設定を適用 し たい と 考えています。 さ ら に、 Web サーバお よび電子 メ ール サーバを そのセ キ ュ リ テ ィ ソ リ ュ ーシ ョ ン に統合する こ と も希望 し ています。 最初の要件に対処 し て、 自宅作業者 と 内部ネ ッ ト ワー クの間のセキ ュ ア な通信を 保証するする ために、企業 A は、自宅作業者ご と に個別のポ リ シーを設定 し ます。 1 [Firewall]、[Policy] の順に選択 し ます。 2 [Create New] を選択 し 、 Home_User_1 のための次の設定を入力または選択 し ます。 [Interface/Zone] Source:internal Destination: wan1 [Address Name] Source: CompanyA_Network Destination: Home_User_1 [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home1 [Allow Inbound] オン FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 241 ファイアウォール ポリシーの例 ファイアウォール - ポリシー [Allow outbound] オン [Inbound NAT] オン [Outbound NAT] オフ [Protection Profile] [standard_profile] を有効に し て選択する 3 [OK] を選択 し ます。 4 [Create New] を選択 し 、 Home_User_2 のための次の設定を入力または選択 し ます。 5 [Interface/Zone] Source:internal Destination: wan1 [Address Name] Source: CompanyA_network Destination:All [Schedule] Always [Service] ANY [Action] IPSEC [VPN Tunnel] Home2_Tunnel [Allow Inbound] オン [Allow outbound] オン [Inbound NAT] オン [Outbound NAT] オフ [Protection Profile] [standard_profile] を有効に し て選択する [OK] を選択 し ます。 図 128: 242 FortiGate-100 を使用した SOHO ネットワーク トポロジ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの例 提案 さ れたネ ッ ト ワー ク は、 ForitGate 100A ユニ ッ ト に基づいています。 15 台の 内部 コ ン ピ ュ ー タ は、 FortiGate ユニ ッ ト の背後に配置 さ れています。 これ らの コ ン ピ ュ ー タ は現在、 DMZ 内にあ る電子 メ ール サーバおよ び Web サーバ ( 同様 に、 FortiGate ユニ ッ ト の背後に配置 さ れてい る ) にア ク セス し ます。 すべての 自宅作業従業員が、 VPN ト ン ネルを経由 し て、 FortiGate ユニ ッ ト を介 し てオ フ ィ ス ネ ッ ト ワー ク にア ク セスする よ う にな り ま し た。 シナリオ 2: 大規模企業 大都市に位置する図書館シ ス テムは、 人口の大多数にサービ ス を提供 し てい る都 市中心部の本館を主体 と する と と も に、 10 数の分館が市内全域に分散 し ていま す。 各分館はイ ン タ ーネ ッ ト に接続 さ れていますが、 専用の接続に よ っ て互いに リ ン ク さ れてい る と こ ろは 1 つ も あ り ません。 本館の現在のネ ッ ト ワー ク ト ポロ ジは、 3 つのユーザ グループ で構成 さ れてい ます。 本館職員や公共端末は、 フ ァ イ アウ ォ ールの背後に位置する DMZ 内の サーバにア ク セス し ます。 カ タ ロ グ ア ク セス端末は、 フ ァ イ アウ ォ ールを経由 する こ と な く 、 直接カ タ ロ グ サーバにア ク セス し ます。 すべての分館の ト ポ ロ ジに、 本館にあるサーバに、 セキ ュ リ テ ィ 保護 さ れていな い イ ン タ ーネ ッ ト 接続を介 し て ア ク セスする 3 ユーザが存在 し ます。 図 129: 図書館システムの現在のネットワーク トポロジ 図書館は、 利用者 と 職員に対 し て異な る ア ク セス レ ベルを設定で き る必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 243 ファイアウォール ポリシーの例 ファイアウォール - ポリシー 本館職員のための最初のフ ァ イ アウ ォ ール ポ リ シーでは、 イ ン タ ーネ ッ ト への 常時フ ル ア ク セス を許可 し ます。 2 番目のポ リ シーでは、 職員の DMZ への直接 ア ク セス を許可 し ます。 分館職員に こ れ と 同 じ ア ク セス を許可する ために、 ポ リ シーの 2 番目のペアが必要です。 職員のすべてのフ ァ イ アウ ォ ール ポ リ シーで、 職員のア ク セス専用に設定 さ れ た プ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用 し ます。 有効にな っ てい る機能には、 ウ イルス スキ ャ ン、 スパム フ ィ ル タ リ ン グ、 IPS、 お よびすべての P2P ト ラ フ ィ ッ クのブ ロ ッ キン グが含まれます。 また、 ア ド バ タ イ ズ、 マルウ ェ ア、 お よ びスパイ ウ ェ ア サイ ト を ブ ロ ッ ク する ために、 FortiGuard Web フ ィ ル タ リ ン グ も 使用 さ れます。 Web サーバやカ タ ロ グ サーバの設定方法に よ っ ては、 サーバに関する情報を更 新する ために、 一部のユーザに こ れらのサーバへの特殊な ア ク セスが必要にな る 可能性があ り ます。 こ の特殊な ア ク セスは、 IP ア ド レ ス またはユーザに基づい て許可 さ れます。 提案 さ れた ト ポロ ジの場合、 本館職員 と カ タ ロ グ ア ク セス端末は、 Fortigate HA ク ラ ス タ を経由 し て、 DMZ 内のサーバにア ク セス し ます。 公共のア ク セス端末 は、 最初に ForitWiFi ユニ ッ ト を経由 し て ( こ こ で、 追加のポ リ シーを適用で き ま す ) HA ク ラ ス タ にア ク セス し 、 最後にサーバに到達 し ます。 分館では、 3 ユーザがすべて、 VPN ト ン ネルを経由 し て、 ForitWiFi ユニ ッ ト を介 し て本館にルーテ ィ ン グ さ れます。 図 130: 244 提案された図書館システムのネットワーク トポロジ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - ポリシー ファイアウォール ポリシーの例 ポ リ シーは、 [Firewall]、[Policy] で設定 さ れます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イル は、 [Firewall]、[Protection Profile] で設定 さ れます。 本館の " 職員か ら イ ン タ ーネ ッ ト への " ポ リ シー : 発信元インタフェース Internal 発信元アドレス All 宛先インタフェース External 宛先アドレス All [Schedule] Always [Action] Accept 本館の " 職員か ら DMZ への " ポ リ シー : 発信元インタフェース Internal 発信元アドレス All 宛先インタフェース DMZ 宛先アドレス サーバ [Schedule] Always [Action] Accept 分館の " 職員か ら イ ン タ ーネ ッ ト への " ポ リ シー : 発信元インタフェース 分館 発信元アドレス 分館職員 宛先インタフェース External 宛先アドレス All [Schedule] Always [Action] Accept 分館の " 職員か ら DMZ への " ポ リ シー : 発信元インタフェース 分館 発信元アドレス 分館職員 宛先インタフェース DMZ 宛先アドレス サーバ [Schedule] Always [Action] Accept こ れ らの例の詳細については、 次の資料を参照 し て く だ さ い。 • 『SOHO お よび SMB の設定サン プル ガ イ ド 』 • 『FortiGate の大規模企業の設定例』 こ れ らの資料は、 http://docs.forticare.com の FortiGate のセ ク シ ョ ン にあ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 245 ファイアウォール ポリシーの例 246 ファイアウォール - ポリシー FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - アドレス ファイアウォール アドレスについて ファイアウォール - アドレス 必要に応 じ て、 フ ァ イ アウ ォ ール ア ド レ ス を追加、 編集、 お よび削除 し ます。 フ ァ イ アウ ォ ール ア ド レ スは、 フ ァ イ アウ ォ ール ポ リ シーの発信元お よび宛先 ア ド レ ス フ ィ ール ド に追加 さ れます。 フ ァ イ アウ ォ ール ア ド レ スは、 FortiGate ユニ ッ ト が受信 し たパケ ッ ト の発信元または宛先 IP ア ド レ ス を照合する ために フ ァ イ アウ ォ ール ポ リ シーに追加 さ れます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • フ ァ イ アウ ォ ール ア ド レ スについて フ ァ イ アウ ォ ール ア ド レ ス リ ス ト の表示 ア ド レ スの設定 ア ド レ ス グループ リ ス ト の表示 ア ド レ ス グループの設定 ファイアウォール アドレスについて フ ァ イ アウ ォ ール ア ド レ スには、 次のものがあ り ます。 • 単一の コ ン ピ ュ ー タ の IP ア ド レ ス ( た と えば、 192.45.46.45) • サブネ ッ ト ワー ク の IP ア ド レ ス ( た と えば、 ク ラ ス C のサブ ネ ッ ト の場合は、 192.168.1.0) • 可能性のあるすべての IP ア ド レ ス を表す場合は、 0.0.0.0 ネ ッ ト マス クは、 追加 さ れる ア ド レ スの種類に対応 し ます。 た と えば、 次のよ う に し ます。 • 単一の コ ン ピ ュ ー タ の IP ア ド レ スに対する ネ ッ ト マス ク は、255.255.255.255 に し て く だ さ い。 • • • • ク ラ ス A のサブネ ッ ト に対する ネ ッ ト マス ク は、 255.0.0.0 に し て く だ さ い。 ク ラ ス B のサブネ ッ ト に対する ネ ッ ト マス クは、 255.255.0.0 に し て く だ さ い。 ク ラ ス Cのサブネ ッ ト に対する ネ ッ ト マス ク は、255.255.255.0 に し て く だ さ い。 すべてのア ド レ スに対する ネ ッ ト マス クは、 0.0.0.0 に し て く だ さ い。 [IP Range] のア ド レ スは、 次のものを表 し ます。 • サブネ ッ ト 内の IP ア ド レ スの範囲 ( た と えば、 192.168.20.1 ~ 192.168.20.10) 注記 : IP ア ド レ ス : 0.0.0.0 と ネ ッ ト マス ク : 255.255.255.255 は、 有効な フ ァ イ アウ ォ ール ア ド レ スではあ り ません。 ポ リ シーの作成を簡略化する には、 関連する ア ド レ ス を ア ド レ ス グループに構 成 し ます。 フ ァ イ アウ ォ ール ア ド レ スは、 名前、 IP ア ド レ ス、 およ びネ ッ ト マ ス ク を使用 するか、 または名前 と IP ア ド レ ス範囲を使用 し て設定で き ます。 また、 完全修 飾 ド メ イ ン名 (FQDN) にする こ と も で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 247 ファイアウォール アドレス リストの表示 ファイアウォール - アドレス IP ア ド レ ス と ネ ッ ト マス クは、 次の形式を使用 し て入力 し ます。 • x.x.x.x/x.x.x.x ( た と えば、 192.168.1.0/255.255.255.0) • x.x.x.x/x ( た と えば、 192.168.1.0/24) IP ア ド レ ス範囲は、 次の形式を使用 し て入力 し ます。 • x.x.x.x-x.x.x.x、 た と えば 192.168.110.100-192.168.110.120 • x.x.x.[x-x]、 た と えば 192.168.110.[100-120] • x.x.x.* ( た と えば、 サブネ ッ ト 上のすべてのア ド レ ス を表すには、 192.168.110.*) [IP/Mask] のア ド レ スは、 次の ものを表す こ と がで き ます。 • サブネ ッ ト のア ド レ ス ( た と えば、 ク ラ ス C のサブネ ッ ト の場合は、IP ア ド レ ス : 192.168.20.0 と ネ ッ ト マス ク : 255.255.255.0) • 単一の IP ア ド レ ス ( た と えば、 IP ア ド レ ス : 192.168.20.1 と ネ ッ ト マス ク : 255.255.255.255) • 可能性のあ るすべてのIPア ド レ ス (IPア ド レ ス: 0.0.0.0 と ネ ッ ト マス ク : 0.0.0.0で 表 さ れる ) FQDN は、 次の形式を使用 し て入力 し ます。 • <host_name>.<second_level_domain_name>.<top_level_domain_name> • <host_name>.<top_level_domain_name> FQDN の例を次に示 し ます。 • www.fortinet.com • example.com ファイアウォール アドレス リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 ア ド レ ス はバーチ ャル ド メ イ ン ご と に別々に設定 さ れます。 ア ド レ スにア ク セスする に は、 メ イ ン メ ニ ュ ー内の リ ス ト からバーチ ャル ド メ イ ン を選択 し ます。 リ ス ト にア ド レ ス を追加 し た り 、 既存のア ド レ ス を編集 し た り し ます。 FortiGate ユニ ッ ト には、 ネ ッ ト ワー ク上のすべての IP ア ド レ ス を表す、 デ フ ォル ト の "All" ア ド レ スが標準で設定 さ れています。 リ ス ト 内のア ド レ スは、 [IP/Mask]、 [IP Range]、 お よび [FQDN] の種類ご と に並べら れています。 ア ド レ ス リ ス ト を表示する には、 [Firewall]、[Address] の順に選択 し ます。 図 131: 248 サンプルのアドレス リスト FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - アドレス アドレスの設定 ア ド レ ス リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] フ ァ イ アウ ォ ール ア ド レ ス を追加する場合に選択 し ます。 [Name] フ ァ イ アウ ォ ール ア ド レ スの名前。 [Address/FQDN] IP ア ド レ ス と マス ク 、 IP ア ド レ ス範囲、 または完全修飾 ド メ イ ン名。 削除アイコン リ ス ト か ら このア ド レ ス を削除する場合に選択 し ます。 削除ア イ コ ン は、 このア ド レ スが フ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場 合にのみ使用で き ます。 編集アイコン [Name]、 [Type]、 および [Subnet/IP Range] の情報を編集する場合に選 択 し ます。 アドレスの設定 ア ド レ スはまた、 フ ァ イ アウ ォ ール ポ リ シーの設定中に、 フ ァ イ アウ ォ ール ポ リ シー ウ ィ ン ド ウから 作成または編集する こ と も で き ます。 負荷分散 と HA を実現する ために、 1 つの FQDN を複数のマシ ン にマ ッ プ で き ま す。 1 つの FQDN フ ァ イ アウ ォ ール ポ リ シーを作成 し 、 その FQDN で解決 さ れ るすべてのア ド レ スのレ コ ー ド が、 FortiGate ユニ ッ ト で自動的に解決お よび保 持 さ れる よ う にする こ と がで き ます。 ! 注意 : フ ァ イ アウ ォ ール ポ リ シーでの完全修飾 ド メ イ ン名の使用は、 便利である一方で、 ある程度のセキ ュ リ テ ィ 上の リ ス クが存在 し ます。 この機能を使用する場合は、 十分に注 意 し て く だ さ い。 IP ア ド レ ス、 IP 範囲、 ま たは FQDN を追加する には、 [Firewall]、[Address] の 順に選択 し 、 [Create New] を選択 し ます。 図 132: 新しいアドレスまたは IP 範囲のオプション [Address Name] フ ァ イ アウ ォ ール ア ド レ ス を識別する名前を入力 し ます。 フ ァ イ ア ウ ォ ール ポ リ シー内での混乱を避け るために、 ア ド レ ス、 ア ド レ ス グ ループ、 および仮想 IP には一意の名前を付ける必要があ り ます。 [Type] ア ド レ スの種類を [Subnet/IP Range] または [FQDN] から 選択 し ます。 [Subnet/IP Range] フ ァ イ アウ ォ ールの IP ア ド レ ス、 フ ォ ワー ド ス ラ ッ シ ュ、 およびサブ ネ ッ ト マス ク を入力するか、 または IP ア ド レ ス範囲をハイ フ ン で区 切 っ て入力 し ます。 [Interface] この IP ア ド レ ス を関連付ける イ ン タ フ ェ ース またはゾーン を選択 し ま す。 ポ リ シーの作成時に IP ア ド レ ス を イ ン タ フ ェ ース / ゾーンに関連 付ける場合は、 [Any] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 249 アドレス グループ リストの表示 ファイアウォール - アドレス アドレス グループ リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 ア ド レ ス グループはバーチ ャ ル ド メ イ ン ご と に別々に設定 さ れます。 ア ド レ ス グループ にア ク セスするには、 メ イ ン メ ニ ュ ー内の リ ス ト か らバーチ ャル ド メ イ ン を選 択 し ます。 ポ リ シーの設定を容易にする には、 関連する ア ド レ ス を ア ド レ ス グループに構 成 し ます。 た と えば、 3 つのア ド レ ス を追加 し 、 それ ら を同 じ ア ド レ ス グループ に設定 し た後、 それ ら 3 つのア ド レ スすべてに対する設定を、 1 つのポ リ シーで 設定する こ と がで き ます。 ア ド レ ス グループ リ ス ト を表示する には、 [Firewall]、[Address]、[Group] の順 に選択 し ます。 注記 : ア ド レ ス グループがポ リ シーに含まれている場合は、 まずそのポ リ シーから 削除 さ れないない限 り 、 そのア ド レ ス グループ を削除で き ません。 図 133: サンプルのアドレス グループ リスト ア ド レ ス グループ リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] ア ド レ ス グループ を追加する場合に選択 し ます。 [Group Name] ア ド レ ス グループの名前。 [Members] ア ド レ ス グループ内のア ド レ ス。 削除アイコン リ ス ト か ら このグループ を削除する場合に選択 し ます。 削除ア イ コ ン は、 このア ド レ ス グループがフ ァ イ アウ ォ ール ポ リ シーで使用 さ れて いない場合にのみ使用で き ます。 編集アイコン [Group Name] や [Members] の情報を編集する場合に選択 し ます。 アドレス グループの設定 ア ド レ ス グループは、 フ ァ イ アウ ォ ールの設定中に、 [Address] ド ロ ッ プ ダウ ン リ ス ト から [Create New] を選択する こ と によ っ て作成で き ます。 ア ド レ ス を ア ド レ ス グループに構成する には、 [Firewall]、[Address]、[Group] の順に選択 し ます。 250 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - アドレス アドレス グループの設定 図 134: アドレス グループのオプション [Group Name] ア ド レ ス グループ を識別する名前を入力 し ます。 フ ァ イ アウ ォ ール ポ リ シー内での混乱を避ける ために、 ア ド レ ス、 ア ド レ ス グループ、 および仮想 IP には一意の名前を付ける必要があ り ます。 [Available Addresses] 設定済みのフ ァ イ アウ ォ ール ア ド レ ス と デ フ ォル ト のフ ァ イ アウ ォ ー ル ア ド レ スの リ ス ト 。 リ ス ト 間でア ド レ ス を移動するには、 矢印を使 用 し ます。 [Members] グループ内のア ド レ スの リ ス ト 。 リ ス ト 間で ア ド レ ス を移動するには、 矢印を使用 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 251 アドレス グループの設定 252 ファイアウォール - アドレス FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - サービス 定義済みサービス リストの表示 ファイアウォール - サービス フ ァ イ アウ ォ ールで許可または拒否する通信の種類を決定する には、 サービ ス を 使用 し ます。 任意の定義済みサービ ス をポ リ シーに追加で き るほか、 バーチ ャル ド メ イ ン ご と に カ ス タ ム サービ ス を作成 し てサービ ス グループに追加する こ と も で き ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • 定義済みサービ ス リ ス ト の表示 カ ス タ ム サービ ス リ ス ト の表示 カ ス タ ム サービ スの設定 サービ ス グループ リ ス ト の表示 サービ ス グループの設定 定義済みサービス リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 定義済み サービ スはグ ローバルに使用で き ます。 定義済みサービ ス リ ス ト を表示する には、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し 、 [Firewall]、[Service] の順に選択 し ます。 図 135: 定義済みサービス リスト 定義済みサービ ス リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] 定義済みサービ スの名前。 [Detail] 各定義済みサービ スのプ ロ ト コル。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 253 定義済みサービス リストの表示 ファイアウォール - サービス 表 32 は、 FortiGate の定義済み フ ァ イ アウ ォ ール サービ ス を示 し ています。 こ れ らのサービ ス を任意のポ リ シーに追加 し て く だ さ い。 表 32: FortiGate 定義済みサービス 254 サービス名 説明 プロトコル ポート AH Authentication Header ( 認証ヘ ッ ダ )。AH に よ っ て、 発信元ホス ト の認証やデー タ の整 合性が実現 さ れますが、 秘密性は実現 さ れ ません。 このプ ロ ト コルは、 アグレ ッ シ ブ モー ド に設定 さ れたIPSec リ モー ト ゲー ト ウ ェ イが認証のために使用 し ます。 51 ANY 任意のポー ト 上の接続を照合 し ます。 任 すべて 意の定義済みサービ ス を使用する接続が フ ァ イ アウ ォ ールの通過を許可 さ れます。 すべて AOL AOL イ ン ス タ ン ト メ ッ セ ン ジ ャ ー プ ロ ト TCP コル。 5190-5194 BGP Border Gateway Protocol ルーテ ィ ング プ ロ ト コル。 BGP は、 内部 / 外部ルーテ ィ ング プ ロ ト コルです。 179 DHCP DHCP (Dynamic Host Configuration UDP Protocol) は、 ネ ッ ト ワー ク ア ド レ ス を割 り 当て る と 共に、 設定パ ラ メ ー タ を DHCP サーバか ら ホス ト に配信 し ます。 DNS ド メ イ ン名を IP ア ド レ スに変換する ため TCP の Domain Name Service ( ド メ イ ン ネーム UDP サービ ス )。 TCP 67 53 53 ESP Encapsulating Security Payload。 こ のサー ビ スは、 暗号化 さ れたデー タ を通信する ために、 手動キーおよび AutoIKE VPN ト ンネルによ っ て使用 さ れます。 AutoIKE キー VPN ト ンネルは、 IKE を使用 し て ト ンネルを確立 し た後、 ESP を使用 し ます。 50 FINGER ユーザに関する情報を提供するネ ッ ト ワー ク サービ ス。 TCP 79 FTP フ ァ イルを転送するための FTP サービ ス。 TCP 21 FTP_GET フ ァ イルを ア ッ プ ロー ド するための FTP サービ ス。 TCP 21 FTP_PUT フ ァ イルを ダウン ロー ド するための FTP サービ ス。 TCP 21 GOPHER Gopher 通信サービ ス。 Gopher は、 イ ン タ ーネ ッ ト サーバの内容を、 階層的に構 造化 さ れた フ ァ イルの リ ス ト と し て構成 し 、 表示 し ます。 TCP 70 GRE Generic Routing Encapsulation。 GRE パケ ッ ト 内のプ ロ ト コルのパケ ッ ト を カ プ セル 化する こ と によ っ て、 任意のネ ッ ト ワー ク プ ロ ト コルを他の任意のネ ッ ト ワー ク プ ロ ト コルを介 し て転送で き る よ う にす る プ ロ ト コル。 47 H323 H.323 マルチ メ デ ィ ア プ ロ ト コ ル。 H.323 TCP は、 ネ ッ ト ワー ク にわた るオーデ ィ オ ビ ジ ュ アル会議デー タ の転送方法を規定 し ているITU (International Telecommunication Union) によ っ て承認 さ れた標準です。 詳 細については、 『FortiGate H.323 サポー ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 1720, 1503 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - サービス 定義済みサービス リストの表示 表 32: FortiGate 定義済みサービス ( 続き ) サービス名 説明 HTTP HTTP は、 Web ページのデー タ を転送する TCP ために、 WWW (Word Wide Web) によ っ て使 用 さ れる プ ロ ト コ ルです。 80 HTTPS Web サーバ と のセキ ュ ア な通信のための、 TCP SSL (Secure Socket Layer) サービ ス を備え た HTTP。 443 ICMP_ANY Internet Control Message Protocol は、 ホス ICMP ト と ゲー ト ウ ェ イ ( イ ン タ ーネ ッ ト ) の間 の メ ッ セージ制御およびエ ラ ー報告プ ロ ト コ ルです。 IKE IKE は、 IPSEC の ISAKMP で使用する認証 UDP さ れたキー作成材料を取得する ためのプ ロ ト コ ルです。 500 IMAP Internet Message Access Protocol は、 電子 TCP メ ール メ ッ セージ を取得する ために使用 さ れる プ ロ ト コ ルです。 143 INFO_ADDRESS ICMP の情報要求 メ ッ セージ。 ICMP 17 INFO_REQUEST ICMP のア ド レ ス マス ク要求 メ ッ セージ。 ICMP 15 IRC Internet Relay Chat を使用する と 、 ユーザ はラ イ ブ デ ィ ス カ ッ シ ョ ンに参加する た めに イ ン タ ーネ ッ ト に接続で き ます。 TCP 6660-6669 Internet-Locator- Internet Locator Service には、 LDAP、 User Locator Service、 および LDAP over Service TLS/SSL が含まれます。 TCP 389 L2TP L2TP は、 リ モー ト ア ク セスのための PPP ベースの ト ン ネル プ ロ ト コルです。 TCP 1701 LDAP Lightweight Directory Access Protocol は、 情報デ ィ レ ク ト リ にア ク セスする ために 使用 さ れる一連のプ ロ ト コ ルです。 TCP 389 NFS Network File System ( ネ ッ ト ワー ク フ ァ イ TCP ル シ ス テム ) を使用する と 、 ネ ッ ト ワー ク ユーザは、 異な る種類のコ ン ピ ュ ー タ 上に格納 さ れた共有フ ァ イルにア ク セス で き ます。 111, 2049 NNTP Network News Transport Protocol は、USENET TCP メ ッ セージ を投稿、 配布、 お よび取得する ために使用 さ れる プ ロ ト コ ルです。 119 NTP コ ン ピ ュ ー タ の時刻を タ イ ム サーバ と 同 期する ためのネ ッ ト ワー ク タ イム プ ロ ト コ ル。 TCP 123 NetMeeting NetMeeting を使用する と 、 ユーザは、 イ ン タ ーネ ッ ト を転送媒体 と し て使用 し て 遠隔会議する こ と がで き ます。 TCP 1720 OSPF OSPF (Open Shortest Path First) ルーテ ィ ング プ ロ ト コ ル。 OSPF は、 一般的な リ ン ク 状態ルーテ ィ ング プ ロ ト コ ルです。 PC-Anywhere PC-Anywhere は、 リ モー ト 制御お よび フ ァ イル転送プ ロ ト コ ルです。 UDP 5632 PING 他のデバイ スへの接続を テス ト する ため の、 ICMP のエ コ ー要求 / 応答。 ICMP 8 POP3 Post Office Protocol は、 POP3 サーバか ら 電子 メ ールを ダウン ロー ド する ための電 子 メ ール プ ロ ト コ ルです。 TCP 110 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 プロトコル ポート 89 255 定義済みサービス リストの表示 ファイアウォール - サービス 表 32: FortiGate 定義済みサービス ( 続き ) サービス名 説明 PPTP Point-to-Point Tunneling Protocol は、 企業 TCP が独自の企業ネ ッ ト ワー ク をパブ リ ッ ク イ ン タ ーネ ッ ト 上のプ ラ イ ベー ト ト ン ネ ルを通 し て拡張で き る よ う にする プ ロ ト コルです。 1723 QUAKE 普及 し ている Quake マルチ プ レーヤー コ ン ピ ュ ー タ ゲームで使用 さ れる接続のた めのサービ ス。 26000, 27000, 27910, 27960 RAUDIO ス ト リ ー ミ ング リ アル オーデ ィ オ マルチ UDP メ デ ィ ア ト ラ フ ィ ッ クのためのサービ ス。 7070 RIP Routing Information Protocol は、 一般的な距 UDP 離ベ ク ト ル ルーテ ィ ング プ ロ ト コ ルです。 520 RLOGIN サーバに リ モー ト で ログ イ ンするための Rlogin サービ ス。 TCP 513 SAMBA Samba を使用する と 、Microsoft Windows ク TCP ラ イ ア ン ト は、 TCP/IP が有効なホス ト の フ ァ イル と 印刷サービ ス を利用で き ます。 139 SIP Session Initiation Protocol は、 ネ ッ ト ワー UDP ク にわた るオーデ ィ オ ビ ジ ュ アル会議 デー タ の転送方法を規定 し ています。 詳 細については、 『FortiGate SIP サポー ト テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 5060 SIPMSNmessenger Session Initiation Protocol は、 イ ン タ ラ ク テ ィ ブ な ( 一般には ) マルチ メ デ ィ ア セ ッ シ ョ ン を開始するために、 Microsoft Messenger によ っ て使用 さ れます。 1863 SMTP Simple Mail Transfer Protocol は、 イ ン タ ー TCP ネ ッ ト 上の電子 メ ール サーバ間で メ ール を送信するために使用 さ れます。 SNMP Simple Network Management Protocol は、 複雑なネ ッ ト ワー ク を管理するための一 連のプ ロ ト コルです。 SSH 256 プロトコル ポート UDP。 TCP 25 TCP 161-162 UDP 161-162 Secure Shell は、 リ モー ト 管理を行 う ため TCP の、 コ ン ピ ュ ー タ へのセキ ュ ア な接続の UDP ためのサービ スです。 22 SYSLOG リ モー ト ロギングのためのSyslogサービス。 UDP 514 TALK 2 ユーザ以上の間の会話をサポー ト する プ UDP ロ ト コル。 517-518 TCP すべての TCP ポー ト 。 0-65535 TELNET コ マ ン ド を 実行す る ために リ モ ー ト コ ン TCP ピ ュ ー タ に接続する ためのTelnetサービ ス。 23 TFTP Trivial File Transfer Protocol は単純な フ ァ UDP イル転送プ ロ ト コルであ り 、 FTP に似てい ますが、 セキ ュ リ テ ィ 機能はあ り ません。 69 TIMESTAMP ICMP の タ イムス タ ン プ要求 メ ッ セージ。 ICMP 13 UDP すべての UDP ポー ト 。 UDP 0-65535 UUCP 単純な フ ァ イル コ ピー プ ロ ト コルであ る、 UNIX to UNIX Copy ユーテ ィ リ テ ィ 。 UDP 540 VDOLIVE VDO Live ス ト リ ー ミ ング マルチ メ デ ィ ア ト ラ フ ィ ッ クのためのサービ ス。 TCP 7000-7010 WAIS Wide Area Information Server は、 イ ン タ ー ネ ッ ト 検索プ ロ ト コルです。 TCP 210 TCP 22 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - サービス カスタム サービス リストの表示 表 32: FortiGate 定義済みサービス ( 続き ) サービス名 説明 プロトコル ポート WINFRAME Windows NT を実行 し ている コ ン ピ ュ ー タ 間の WinFrame 通信のためのサービ ス。 TCP X-WINDOWS X- Window サーバ と X-Window ク ラ イ ア ン TCP ト の間の リ モー ト 通信のためのサービ ス。 1494 6000-6063 カスタム サービス リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 カ ス タ ム サービ スはバーチ ャル ド メ イ ン ご と に別々に設定 さ れます。 カ ス タ ム サービ ス にア ク セスする には、 メ イ ン メ ニ ュ ー内の リ ス ト からバーチ ャ ル ド メ イ ン を選 択 し ます。 定義済みサービ ス リ ス ト にないサービ スに対する ポ リ シーを作成する には、 カ ス タ ム サービ ス を追加 し ます。 カ ス タ ム サービ ス リ ス ト を表示する には、 [Firewall]、[Service]、[Custom] の 順に選択 し ます。 図 136: カスタム サービス リスト カ ス タ ム サービ ス リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] カ ス タ ム サービ ス を追加するには、 プ ロ ト コ ルを選択 し てから 、 [Create New] を選択 し ます。 [Service Name] カ ス タ ム サービ スの名前。 [Detail] 各カ ス タ ム サービ スのプ ロ ト コ ル と ポー ト 番号。 削除アイコン リ ス ト から このエ ン ト リ を削除する場合に選択 し ます。 削除ア イ コ ン は、 このサービ スがフ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場 合にのみ使用で き ます。 編集アイコン [Name]、 [Protocol Type]、 [Type]、 [Protocol Number]、 [Code]、 [Source Port]、 および [Destination Port] の情報を編集する場合に選択 し ます。 カスタム サービスの設定 カ ス タ ム サービ スは、 フ ァ イ アウ ォ ール ポ リ シーの設定中に、 [Service] ド ロ ッ プダウ ン リ ス ト から [Create New] を選択する こ と によ っ て作成で き ます。 TCP または UDP カスタム サービスを追加するには 1 [Firewall]、[Service]、[Custom] の順に選択 し ます。 2 [Protocol Type] を [TCP/UDP] に設定 し ます。 3 次のオ プ シ ョ ン を設定 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 257 カスタム サービスの設定 ファイアウォール - サービス 図 137: 新しいカスタム サービス - TCP/UDP [Name] カ ス タ ム サービ スの名前を入力 し ます。 [Protocol Type] こ のカ ス タ ム サービ スのプ ロ ト コ ルの種類 と し て [TCP/UDP] を選択 し ます。 [Protocol] 追加 し ているポー ト 範囲のプ ロ ト コ ル と し て [TCP] または [UDP] を選 択 し ます。 [Source Port] [Low] と [High] のポー ト 番号を入力する こ と によ り 、 こ のサービ スの [Source Port] の番号範囲を指定 し ます。 このサービ スでポー ト 番号を 1 つ し か使用 し ない場合は、 その番号を [Low] と [High] の両方の フ ィ ール ド に入力 し ます。 デ フ ォル ト 値では、 任意の発信元ポー ト を 使用で き ます。 [Destination Port] [Low] と [High] のポー ト 番号を入力する こ と によ り 、 こ のサービ スの [Destination Port] の番号範囲を指定 し ます。 このサービ スでポー ト 番 号を 1 つ し か使用 し ない場合は、 その番号を [Low] と [High] の両方の フ ィ ール ド に入力 し ます。 [Add] 作成 し て い る カ ス タ ム サー ビ ス に複数のポー ト 範囲が必要な場合は、 [Add] を選択し て、さ らに発信元と 宛先の範囲を入力でき る よ う に し ます。 削除アイコン リ ス ト から こ のエ ン ト リ を削除する場合に選択 し ます。 ICMP カスタム サービスを追加するには 1 [Firewall]、[Service]、[Custom] の順に選択 し ます。 2 [Protocol Type] を [ICMP] に設定 し ます。 3 次のオプ シ ョ ン を設定 し ます。 図 138: 新しいカスタム サービス - ICMP [Name] ICMP カ ス タ ム サービ スの名前を入力 し ます。 [Protocol Type] 追加 し ているサービ スのプ ロ ト コルの種類 と し て [ICMP] を選択 し ます。 [Type] こ のサービ スの ICMP タ イ プ番号を入力 し ます。 [Code] 必要に応 じ て、 こ のサービ スの ICMP コ ー ド 番号を入力 し ます。 IP カスタム サービスを追加するには 258 1 [Firewall]、[Service]、[Custom] の順に選択 し ます。 2 [Protocol Type] を [IP] に設定 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - サービス 3 サービス グループ リストの表示 次のオ プ シ ョ ン を設定 し ます。 図 139: 新しいカスタム サービス - IP [Name] IP カ ス タ ム サービ スの名前を入力 し ます。 [Protocol Type] 追加 し ているサービ スのプ ロ ト コルの種類 と し て [IP] を選択 し ます。 [Protocol Number] このサービ スの IP プ ロ ト コル番号。 サービス グループ リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 サービ ス グループはバーチ ャル ド メ イ ン ご と に別々に作成 さ れます。 サービ ス グループ にア ク セスする には、 メ イ ン メ ニ ュ ー内の リ ス ト からバーチ ャ ル ド メ イ ン を選 択 し ます。 ポ リ シーの追加を容易にする には、 サービ スのグループ を作成 し てから 1 つのポ リ シーを追加 し て、 そのグループ内のすべてのサービ スに対する ア ク セス を許可 またはブ ロ ッ ク し ます。 サービ ス グループには、 定義済みサービ ス と カ ス タ ム サービ ス を任意の組み合わせで含める こ と がで き ます。 サービ ス グループ を別 のサービ ス グループに追加する こ と はで き ません。 サービ ス グループ リ ス ト を表示する には、 [Firewall]、[Service]、[Group] の順 に選択 し ます。 図 140: サービス グループ リストの例 サービ ス グループ リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] サービ ス グループ を追加する場合に選択 し ます。 [Group Name] サービ ス グループ を識別する名前。 [Members] このサービ ス グループに追加 さ れたサービ ス。 削除アイコン リ ス ト から このエ ン ト リ を削除する場合に選択 し ます。 削除ア イ コ ン は、 このサービ ス グループがフ ァ イ アウ ォ ール ポ リ シーで使用 さ れて いない場合にのみ使用で き ます。 編集アイコン [Group Name] や [Members] の情報を編集する場合に選択 し ます。 サービス グループの設定 サービ ス グループは、 フ ァ イ アウ ォ ール ポ リ シーの設定中に、 ド ロ ッ プ ダウ ン リ ス ト から [Create New] を選択する こ と に よ っ て作成で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 259 サービス グループの設定 ファイアウォール - サービス サービ ス をサービ ス グループに構成する には、 [Firewall]、[Service]、[Group] の順に選択 し ます。 図 141: 260 サービス グループのオプション [Group Name] サービ ス グループ を識別する名前を入力 し ます。 [Available Services] 設定 さ れたサービ ス と 定義済みサービ スの リ ス ト 。 リ ス ト 間でサービ ス を移動するには、 矢印を使用 し ます。 [Members] グループ内のサービ スの リ ス ト 。 リ ス ト 間でサービ ス を移動するには、 矢印を使用 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - スケジュール ワンタイム スケジュール リストの表示 ファイアウォール - スケジュール こ の項では、 スケジ ュ ールを使用 し て、 ポ リ シーがア ク テ ィ ブ または非ア ク テ ィ ブにな る時期を制御する方法について説明 し ます。 ワ ン タ イ ム スケジ ュ ールま たは反復スケジ ュ ールを作成で き ます。 ワ ン タ イ ム スケジ ュ ールは、 スケ ジ ュ ールで指定 さ れた期間、 1 回だけ有効にな り ます。 反復スケジ ュ ールは、 毎 週繰 り 返 さ れます。 反復スケジ ュ ールは、 1 日の指定 さ れた時刻、 または指定 さ れた曜日にのみ有効にな り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • ワ ン タ イ ム スケジ ュ ール リ ス ト の表示 ワ ン タ イ ム スケジ ュ ールの設定 反復スケジ ュ ール リ ス ト の表示 反復スケジ ュ ールの設定 ワンタイム スケジュール リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 ワ ン タ イ ム スケジ ュ ールはバーチ ャル ド メ イ ン ご と に別々に設定 さ れます。 ワ ン タ イ ム スケジ ュ ールにア ク セスする には、 メ イ ン メ ニ ュ ー内の リ ス ト からバーチ ャ ル ド メ イ ン を選択 し ます。 指定 さ れた期間だけポ リ シーがア ク テ ィ ブ または非ア ク テ ィ ブにな る ワン タ イ ム スケジ ュ ールを作成 し ます。 た と えば、 フ ァ イ アウ ォ ールに、 イ ン タ ーネ ッ ト 上 のすべてのサービ スへのア ク セス を常に許可するデ フ ォル ト ポ リ シーが設定 さ れてい る と し ます。 休日期間中のイ ン タ ーネ ッ ト へのア ク セス を ブ ロ ッ ク する た めのワ ン タ イ ム スケジ ュ ールを追加 し ます。 ワ ン タ イ ム スケジ ュ ール リ ス ト を表示する には、 [Firewall]、[Schedule]、[Onetime] の順に選択 し ます。 図 142: ワンタイム スケジュール リスト ワ ン タ イ ム スケジ ュ ール リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] ワン タ イム スケジ ュ ールを追加する場合に選択 し ます。 [Name] ワン タ イム スケジ ュ ールの名前。 [Start] このスケジ ュ ールの開始日付および時刻。 [Stop] このスケジ ュ ールの停止日付および時刻。 削除アイコン リ ス ト か ら このスケジ ュ ールを削除する場合に選択 し ます。 削除ア イ コ ンは、 このスケジ ュ ールが フ ァ イ アウ ォ ール ポ リ シーで使用 さ れて いない場合にのみ表示 さ れます。 編集アイコン このスケジ ュ ールを編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 261 ワンタイム スケジュールの設定 ファイアウォール - スケジュール ワンタイム スケジュールの設定 ワ ン タ イ ム スケジ ュ ールは、 フ ァ イ アウ ォ ール ポ リ シーの設定中に、 [Schedule] ド ロ ッ プ ダウン リ ス ト か ら [Create New] を選択する こ と によ っ て作成で き ます。 ワ ン タ イ ム スケジ ュ ールを追加する には、 [Firewall]、[Schedule]、[One-time] の順に選択 し ます。 図 143: 新しいワンタイム スケジュール [Name] ワン タ イム スケジ ュ ールを識別する名前を入力 し ます。 [Start] このスケジ ュ ールの開始日付および時刻を入力 し ます。 [Stop] このスケジ ュ ールの停止日付および時刻を入力 し ます。 スケジ ュ ールがま る 1 日ア ク テ ィ ブにな る よ う にする には、 開始時刻 と 停止時刻 を 「00」 に設定 し ます。 ワン タ イ ム スケジ ュ ールは、 24 時間時計を使用 し ます。 反復スケジュール リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 反復スケ ジ ュ ールはバーチ ャ ル ド メ イ ン ご と に別々に作成 さ れます。 反復スケジ ュ ール にア ク セスするには、 メ イ ン メ ニ ュ ー内の リ ス ト か らバーチ ャル ド メ イ ン を選 択 し ます。 1 日の指定 さ れた時刻、 または指定 さ れた曜日にポ リ シーがア ク テ ィ ブ または非 ア ク テ ィ ブにな る反復スケジ ュ ールを作成 し ます。 た と えば、 反復スケジ ュ ール を作成する こ と に よ っ て就業時間中のゲームを防止 し ます。 注記 : 停止時刻が開始時刻の前にな っ ている反復スケジ ュ ールは、 その開始時刻に開始 し 、 翌日のその停止時刻に終了 し ます。 このテ ク ニ ッ ク を使用 し て、 ある日から 翌日ま で 実行 さ れる反復スケジ ュ ールを作成 し ます。 開始時刻 と 停止時刻を同 じ 時刻に設定する こ と によ り 、 24 時間実行 さ れる反復スケジ ュ ールを作成 し ます。 反復スケジ ュ ール リ ス ト を表示する には、 [Firewall]、[Schedule]、[Recurring] の順に選択 し ます。 図 144: 262 反復スケジュール リスト FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - スケジュール 反復スケジュールの設定 反復スケジ ュ ール リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] 反復スケジ ュ ールを追加する場合に選択 し ます。 [Name] こ の反復スケジ ュ ールの名前。 [Day] こ のスケジ ュ ールがア ク テ ィ ブにな る曜日の頭文字。 [Start] こ の反復スケジ ュ ールの開始時刻。 [Stop] こ の反復スケジ ュ ールの停止時刻。 削除アイコン リ ス ト から こ のスケジ ュ ールを削除する場合に選択 し ます。 削除ア イ コ ンは、 こ のスケジ ュ ールがフ ァ イ アウ ォ ール ポ リ シーで使用 さ れて いない場合にのみ表示 さ れます。 編集アイコン こ のスケジ ュ ールを編集する場合に選択 し ます。 反復スケジュールの設定 反復スケジ ュ ールは、 フ ァ イ アウ ォ ール ポ リ シーの設定中に、 [Schedule] ド ロ ッ プ ダウン リ ス ト か ら [Create New] を選択する こ と によ っ て作成で き ます。 反復スケジ ュ ールを追加する には、 [Firewall]、[Schedule]、[Recurring] の順に 選択 し ます。 図 145: 新しい反復スケジュール [Name] 反復スケジ ュ ールを識別する名前を入力 し ます。 [Select] このスケジ ュ ールがア ク テ ィ ブにな る曜日を オ ンに し ます。 [Start] この反復スケジ ュ ールの開始時刻を選択 し ます。 [Stop] この反復スケジ ュ ールの停止時刻を選択 し ます。 反復スケジ ュ ールは、 24 時間時計を使用 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 263 反復スケジュールの設定 264 ファイアウォール - スケジュール FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP ファイアウォール - 仮想 IP こ の項では、 FortiGate の仮想 IP と IP プールについて、 およ びそれら を フ ァ イ ア ウ ォ ール ポ リ シーに設定 し て使用する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • • • 仮想 IP 仮想 IP リ ス ト の表示 仮想 IP の設定 仮想 IP グループ VIP グループ リ ス ト の表示 VIP グループの設定 IP プール IP プール リ ス ト の表示 IP プールの設定 仮想 IP 仮想 IP を使用する と 、 ネ ッ ト ワー ク ア ド レ ス変換 (NAT) フ ィ アウ ォ ール ポ リ シーを用い る FortiGate ユニ ッ ト を介 し た接続が可能にな り ます。 仮想 IP はプ ロ キシ ARP を使用するので、 FortiGate ユニ ッ ト は別のネ ッ ト ワー ク 上のサーバに 対する ARP 要求に応答する こ と がで き ます。 プ ロキシ ARP は RFC 1027 で定義 さ れています。 た と えば、 仮想 IP を外部の FortiGate ユニ ッ ト のイ ン タ フ ェ ースに追加する こ と で、 DMZ または内部ネ ッ ト ワー ク上のサーバに接続 し ている ユーザの接続要求 にその外部イ ン タ フ ェ ースが応答で き る よ う する こ と が可能です。 仮想 IP による FortiGate ユニットを介した接続のマッッピング方法 ス タ テ ィ ッ ク NAT 仮想 IP の一つの使用例 と し て、 FortiGate ユニ ッ ト が保護する プ ラ イ ベー ト ネ ッ ト ワー ク上の Web サーバへのパブ リ ッ ク ア ク セス を容易にす る こ と がで き ます。 図 146 のよ う に、 こ の例の基本的な要素だけ を考えてみる と 、 プ ラ イ ベー ト ネ ッ ト ワー ク上の Web サーバ、 イ ン タ ーネ ッ ト 上の閲覧 コ ン ピ ュ ー タ 、 お よび 2 つのネ ッ ト ワー ク に接続する FortiGate ユニ ッ ト と い う 3 つ の要素 し かあ り ません。 ク ラ イ ア ン ト コ ン ピ ュ ー タ は、 サーバへの接続を試みます。 ク ラ イ ア ン ト コ ン ピ ュ ー タ がデー タ パケ ッ ト を送信 し 、 FortiGate ユニ ッ ト がそれを受信 し ます。 パケ ッ ト 内のア ド レ スは再マ ッ プ さ れて、 プ ラ イ ベー ト ネ ッ ト ワー ク 上のサー バに転送 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 265 仮想 IP ファイアウォール - 仮想 IP 図 146: 簡単なスタティック NAT 仮想 IP の例 ク ラ イ ア ン ト コ ン ピ ュ ー タ から 送信 さ れたパケ ッ ト には、 192.168.37.55 と い う 送信元 IP と 192.168.37.4 と い う 宛先 IP が含まれています。 FortiGate ユニ ッ ト は、 こ れら のパケ ッ ト を外部のイ ン タ フ ェ ースで受信 し ます。 仮想 IP 設定によ っ て 192.168.37.4 から 10.10.10.42 へのマ ッ ピ ン グが指示 さ れて、 パケ ッ ト のア ド レ ス が変更 さ れます。 送信元ア ド レ スは 10.10.10.2 に、 宛先は 10.10.10.42 にそれぞれ 変更 さ れます。 FortiGate ユニ ッ ト は、 内部に保持する フ ァ イ アウ ォ ール セ ッ シ ョ ン テーブルに こ の変換を記録 し ます。 その後、 パケ ッ ト は送信 さ れてサー バ コ ン ピ ュ ー タ に到着 し ます。 図 147: クライアントからサーバへの NAT 変換におけるパケット アドレス再マッピン グの例 ク ラ イ ア ン ト コ ン ピ ュ ー タ のア ド レ スは、 サーバが受信するパケ ッ ト には含ま れない こ と に注意 し て く だ さ い。 FortiGate ユニ ッ ト でネ ッ ト ワー ク ア ド レ スが 変換 さ れる と 、 ク ラ イ ア ン ト コ ン ピ ュ ー タ のネ ッ ト ワー クへの参照はな く な り ます。 サーバは、 別のネ ッ ト ワー クが存在する こ と を認識 し ません。 サーバに と っ ては、 通信はすべて直接 FortiGate ユニ ッ ト か ら送信 さ れます。 サーバがク ラ イ ア ン ト コ ン ピ ュ ー タ に応答する際は、 こ の手順が同様に逆方向へ と 実行 さ れます。 サーバは、 送信元 IP ア ド レ スが 10.10.10.42、 宛先ア ド レ スが 10.10.10.2 の応答パケ ッ ト を送信し ます。 FortiGate ユニ ッ ト は、 これらのパケ ッ ト を内部イ ン タ フ ェ ース で受信 し ます。 ただ し 今回は、 宛先ア ド レ スの変換先を決 定するのに、 フ ァ イ アウ ォ ール セ ッ シ ョ ン テーブルのエ ン ト リ が使用 さ れます。 こ の例では、 送信元ア ド レ スは 192.168.37.4 に、 宛先ア ド レ スは 192.168.37.55 に それぞれ変更 さ れます。 その後、 パケ ッ ト は送信 さ れて ク ラ イ ア ン ト コ ン ピ ュ ー タ に到着 し ます。 サーバ コ ン ピ ュ ー タ のア ド レ スは、 ク ラ イ ア ン ト が受信するパケ ッ ト には含ま れません。 FortiGate ユニ ッ ト でネ ッ ト ワー ク ア ド レ スが変換 さ れる と 、 サーバ コ ン ピ ュ ー タ のネ ッ ト ワー クへの参照はな く な り ます。 ク ラ イ ア ン ト は、 サーバ のプ ラ イ ベー ト ネ ッ ト ワー クが存在する こ と を認識 し ません。 ク ラ イ ア ン ト に と っ ては、 FortiGate ユニ ッ ト が Web サーバ と な り ます。 図 148: 266 サーバからクライアントへの NAT 変換におけるパケット アドレス再マッピン グの例 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP 注記 : ト ラ ン スペア レ ン ト モー ド では、 仮想 IP は使用で き ないか、 または不要です。 仮想 IP ア ド レ ス と し て、 FortiGate ユニ ッ ト イ ン タ フ ェ ースにバイ ン ド さ れた単 一の IP ア ド レ ス または IP ア ド レ ス範囲を設定で き ます。 仮想 IP を使用 し て FortiGate ユニ ッ ト イ ン タ フ ェ ースに IP ア ド レ ス または IP ア ド レ ス範囲をバイ ン ド する と 、 バイ ン ド さ れた IP ア ド レ ス または IP ア ド レ ス範囲の ARP 要求に 対 し てそのイ ン タ フ ェ ースが応答 し ます。 フ ァ イ アウ ォ ール ポ リ シーを構築する際に NAT のチ ェ ッ ク ボ ッ ク スがオ フ に設 定 さ れてい る場合、 そのポ リ シーでは宛先ネ ッ ト ワー ク ア ド レ ス変換 (DNAT) が 行われます。 DNAT は、 特定の宛先 IP ア ド レ スに向け られた外部ネ ッ ト ワー ク からのパケ ッ ト を受信 し 、 そのパケ ッ ト の宛先ア ド レ ス を別の隠れたネ ッ ト ワー ク上のマ ッ プ先 IP ア ド レ スに変換 し た後、 パケ ッ ト を FortiGate ユニ ッ ト を介 し て隠れた宛先ネ ッ ト ワー ク に転送 し ます。 前の例 と 異な り 、 送信元ア ド レ スは変 換 さ れません。 隠れた宛先ネ ッ ト ワー ク上に転送 さ れれば、 パケ ッ ト は最終的な 宛先に到達で き ます。 仮想 IP はまた、 隠れたネ ッ ト ワー ク上の送信元 IP ア ド レ ス、 または送信元ア ド レ スか らの リ タ ーン パケ ッ ト のア ド レ ス も 、 最初のパケ ッ ト の宛先 と 同 じ ア ド レ ス と な る よ う に変換 し ます。 仮想 IP の範囲はほぼすべてのサイ ズを設定で き、 異な るサブネ ッ ト へのア ド レ スに変換で き ます。 仮想 IP の範囲には、 次のよ う な制限があ り ます。 • マ ッ プ先 IP に 0.0.0.0 または 255.255.255.255 を含める こ と はで き ません。 • 仮想 IP の タ イ プがス タ テ ィ ッ ク NAT で、IP ア ド レ スのあ る範囲にマ ッ プ さ • • • • • れてい る場合、 外部 IP を 0.0.0.0 に設定する こ と はで き ません。 0.0.0.0 の 外部 IP ア ド レ ス をサポー ト するのは、 ロ ー ド バラ ン ス仮想 IP と 、 単一の IP ア ド レ スにマ ッ プ さ れたス タ テ ィ ッ ク NAT 仮想 IP のみです。 ポー ト マ ッ ピ ン グでは、 外部ポー ト 番号の範囲が内部ポー ト 番号の範囲 にマ ッ プ さ れます。 こ れ ら 2 つの範囲のポー ト 数は等 し く なければな り ま せん。 し たがっ て、 範囲が 65535 を超え る よ う に外部ポー ト を設定 し ては な り ません。 た と えば、 20 ポー ト の内部ポー ト の範囲を外部ポー ト 65530 から マ ッ プする と 、 その範囲の最後のポー ト が 65550 と な る ため、 無効 と な り ます。 ポー ト フ ォ ワーデ ィ ン グの際、外部 IP の範囲には一切イ ン タ フ ェ ースの IP ア ド レ ス を含める こ と はで き ません。 マ ッ プ先の IP 範囲には、イ ン タ フ ェ ースの IP ア ド レ ス を一切含めてはな り ません。 仮想 IP の名前を、 ア ド レ ス名またはア ド レ ス グループ名 と 同 じ 名前にす る こ と はで き ません。 エ ン ト リ または範囲の重複はで き ません。 IP ア ド レ スまたは IP ア ド レ ス範囲を イ ン タ フ ェ ースにバイ ン ド する こ と に加え、 仮想 IP には、 受信する イ ン タ フ ェ ースから同一のネ ッ ト ワー ク に接続する イ ン タ フ ェ ースへ と 、 IP ア ド レ ス または IP ア ド レ ス範囲を実際の IP ア ド レ ス または IP ア ド レ ス範囲 と し て マ ッ プする ために必要な情報も すべて含まれます。 さ ま ざ ま な種類の仮想 IP を作成する こ と が可能で、 それぞれ異な る DNAT に使 用で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 267 仮想 IP ファイアウォール - 仮想 IP スタティック NAT ス タ テ ィ ッ ク NAT 仮想 IP は、 送信元ネ ッ ト ワー ク上の外部 IP ア ド レ スまたは IP ア ド レ ス範囲を、 宛先ネ ッ ト ワー ク 上のマ ッ プ先 IP ア ド レ スまたは IP ア ド レ ス範囲にマ ッ プ し ます。 ス タ テ ィ ッ ク NAT 仮想 IP では、 1 対 1 でマ ッ ピ ング さ れます。 単一 の外部 IP ア ド レ スは、 単一のマ ッ プ先 IP ア ド レ スにマ ッ プ さ れます。 外部 IP ア ド レ スの範囲は、 対応する マ ッ プ先 IP ア ド レ ス範囲にマ ッ プ さ れます。 送信元ア ド レ ス範囲内のある所定の IP ア ド レ スは、 常 に宛先ア ド レ ス範囲内の同一の IP ア ド レ スにマ ッ プ さ れます。 スタティック NAT ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ングは、 ある ネ ッ ト ワー ク 上 ポート フォワー の単一 IP ア ド レ スまたはア ド レ ス範囲、 および単一のポー ト 番号ま たはポー ト 範囲を、 別のネ ッ ト ワー ク 上の異な る単一 IP ア ド レ スま ディング たはア ド レ ス範囲、 および異な る単一ポー ト 番号またはポー ト 範囲に マ ッ プ し ます。 ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ングは、 単にポー ト フ ォ ワー デ ィ ング と も 呼ばれます。 ス タ テ ィ ッ ク NAT ポー ト フ ォ ワーデ ィ ン グ仮想 IP では、 1 対 1 でマ ッ ピ ング さ れます。 外部 IP ア ド レ スの範 囲は対応する マ ッ プ先 IP ア ド レ ス範囲にマ ッ プ さ れ、 外部ポー ト 番 号の範囲は対応する マ ッ プ先ポー ト 番号の範囲にマ ッ プ さ れます。 ポー ト フ ォ ワーデ ィ ング仮想 IP は、 FortiGate ユニ ッ ト のポー ト ア ド レ ス変換 (PAT) の設定に使用で き ます。 負荷分散 ダ イ ナ ミ ッ ク ポー ト フ ォ ワーデ ィ ング と も 呼ばれます。 負荷分散仮 想 IP は、 ある ネ ッ ト ワー ク 上の単一の IP ア ド レ ス を別のネ ッ ト ワー ク 上の IP ア ド レ ス範囲にマ ッ プ し ます。 負荷分散では、 IP ア ド レ ス範囲か ら宛先 IP ア ド レ ス を指定 し て、 よ り 均等に ト ラ フ ィ ッ ク を分散 さ せる よ う 、 1 対多のマ ッ ピ ング と 負荷 分散アルゴ リ ズムが使用 さ れます。 負荷分散ポート ポー ト フ ォ ワーデ ィ ングによ る負荷分散では、 あるネ ッ ト ワー ク 上の フォワーディング 単一の IP ア ド レ ス と ポー ト 番号が、 別のネ ッ ト ワー ク 上の IP ア ド レ スの範囲 と ポー ト 番号の範囲にマ ッ プ さ れます。 負荷分散ポー ト フ ォ ワーデ ィ ングでは、 IP ア ド レ ス範囲か ら宛先 IP ア ド レ ス を指定 し て、 よ り 均等に ト ラ フ ィ ッ ク を分散 さ せる よ う 、 1 対多の負荷分散アルゴ リ ズムが使用 さ れる と と も に、 宛先ポー ト 番号 の範囲から 宛先ポー ト が割 り 当て ら れます。 ダイナミック仮想 仮想 IP の外部 IP ア ド レ ス を 0.0.0.0 に設定する と 、 すべての外部 IP ア ド レ ス を マ ッ プ先 IP ア ド レ スまたはマ ッ プ先 IP ア ド レ ス範囲に変換 IP する ダ イ ナ ミ ッ ク 仮想 IP が作成 さ れます。 サーバ負荷分散 サーバ負荷分散は、 ある ネ ッ ト ワー ク 上の単一の IP を別のネ ッ ト ワー ク 上にある最大 8 つの リ アル サーバ IP にマ ッ プ し ます。 この機能を使用するには、 リ アル ア ド レ ス を少な く と も 1 つ追加する 必要があ り ます。 サーバ負荷分散 ポート フォワー ディング ポー ト フ ォ ワーデ ィ ン グによ るサーバ負荷分散では、 あるネ ッ ト ワー ク 上の単一 IP ア ド レ ス と ポー ト 番号が、 別のネ ッ ト ワー ク 上にある特 定のサーバ ア ド レ ス と ポー ト にそれぞれ最大8つま でマ ッ プ さ れます。 仮想 IP で設定 さ れたマ ッ ピ ン グ を実装する には、 NAT フ ァ イ アウ ォ ール ポ リ シーに仮想 IP を追加する必要があ り ます。 外部ネ ッ ト ワー ク上のア ド レ ス を内 部ネ ッ ト ワー ク にマ ッ プする フ ァ イ アウ ォ ール ポ リ シーを追加する には、 外部 から内部への フ ァ イ アウ ォ ール ポ リ シーを追加 し 、 そのポ リ シーの宛先ア ド レ ス フ ィ ール ド に仮想 IP を追加 し ます。 た と えば、 Web サーバを ホ ス テ ィ ン グする コ ン ピ ュ ー タ が内部ネ ッ ト ワー ク上に あ る場合、 そのプ ラ イ ベー ト IP ア ド レ スは 10.10.10.42 な ど であ る こ と があ り ま す。 イ ン タ ーネ ッ ト から Web サーバへのパケ ッ ト を取得する には、 イ ン タ ー ネ ッ ト 上の Web サーバに外部ア ド レ スがなければな り ません。 イ ン タ ーネ ッ ト 上の Web サーバの外部 IP ア ド レ ス を内部ネ ッ ト ワー ク 上の Web サーバの実際の ア ド レ スにマ ッ プする フ ァ イ アウ ォ ールに、 仮想 IP を追加 し ます。 イ ン タ ー ネ ッ ト から Web サーバに接続で き る よ う にする には、 外部か ら内部へのフ ァ イ アウ ォ ール ポ リ シーを追加 し 、 宛先ア ド レ ス を仮想 IP に設定 し ます。 268 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP リストの表示 仮想 IP リストの表示 仮想 IP リ ス ト を表示する には、 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 図 149: 仮想 IP リスト 仮想 IP リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] 仮想 IP を追加する場合に選択 し ます。 [Name] 仮想 IP の名前。 [IP] 外部 IP ア ド レ スまたは IP ア ド レ ス範囲。 [Service Port] 外部ポー ト 番号またはポー ト 番号の範囲。 サービ ス ポー ト は、 ポー ト フ ォ ワーデ ィ ング仮想 IP に含まれます。 [Map to IP/IP Range] 宛先ネ ッ ト ワー ク 上のマ ッ プ先 IP ア ド レ スまたはア ド レ ス範囲。 [Map to Port] マ ッ プ先のポー ト 番号またはポー ト 番号の範囲。 マ ッ プ先ポー ト は、 ポー ト フ ォ ワーデ ィ ング仮想 IP に含まれます。 削除アイコン リ ス ト から 仮想 IP を削除 し ます。 削除ア イ コ ンは、 仮想 IP が フ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場合にのみ表示 さ れます。 編集アイコン 仮想 IP を編集 し て、 仮想 IP 名な どの仮想 IP オプ シ ョ ン を変更 し ます。 仮想 IP の設定 仮想 IP を追加する には、 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し 、 [Create new] を選択 し ます。 仮想 IP を編集する には、 [Firewall]、[Virtual IP]、 [Virtual IP] の順に選択 し 、 編集する仮想 IP の編集ア イ コ ン を選択 し ます。 [Name] 仮想 IP を識別するための名前を入力または変更 し ます。 混乱を避け る ため、 フ ァ イ アウ ォ ール ポ リ シー、 ア ド レ ス、 ア ド レ ス グルー プ、 および仮想 IP を同一の名前にする こ と はで き ません。 [External Interface] リ ス ト か ら仮想 IP 外部イ ン タ フ ェ ース を選択 し ます。 外部イ ン タ フ ェ ースは送信元ネ ッ ト ワー ク に接続 さ れ、 宛先ネ ッ ト ワー ク に転 送 さ れるパケ ッ ト を受信 し ます。 FortiGate イ ン タ フ ェ ース、 VLAN サブ イ ン タ フ ェ ース、 または VPN イ ン タ フ ェ ースのいずれ も選択で き ます。 [Type] [Static NAT]、 [Load Balance]、 または [Server Load Balance] を選択 し ます。 VIP の タ イ プの詳細については、 265 ページの 「仮想 IP によ る FortiGate ユニ ッ ト を介 し た接続のマ ッ ッ ピ ング方法」 を参照 し て く だ さ い。 [External IP Address/Range] 宛先ネ ッ ト ワー ク上のア ド レ スにマ ッ プする外部 IP ア ド レ ス を入力 し ます。 すべての IP ア ド レ スの接続を許可するダ イ ナ ミ ッ ク仮想 IP を設定す るには、 外部 IP ア ド レ ス を 0.0.0.0 に設定 し ます。 ス タ テ ィ ッ ク NAT ダ イ ナ ミ ッ ク仮想 IP に追加で き る マ ッ プ先 IP ア ド レ スは 1 つのみで す。 負荷分散ダ イ ナ ミ ッ ク仮想 IP には、 単一のマ ッ プ先ア ド レ ス ま たはマ ッ プ先ア ド レ ス範囲を指定で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 269 仮想 IP の設定 ファイアウォール - 仮想 IP [Mapped IP Address/Range] 外部 IP ア ド レ スのマ ッ プ先 と な る宛先ネ ッ ト ワー ク 上の リ アル IP ア ド レ ス を入力 し ます。 また、 ア ド レ スの範囲を入力 し て、 宛先ネ ッ ト ワー ク 上の複数の IP ア ド レ スにパケ ッ ト を転送する こ と も で き ます。 ス タ テ ィ ッ ク NAT 仮想 IP では、マ ッ プ先 IP ア ド レ ス範囲を追加する と 、 FortiGate ユニ ッ ト が外部 IP ア ド レ ス範囲を計算 し 、 その IP ア ド レ ス範囲が [External IP Address/Range] フ ィ ール ド に追加 さ れます。 [Port forwarding] ポー ト フ ォ ワーデ ィ ング仮想 IP を追加する場合に選択 し ます。 [Protocol] 転送 さ れるパケ ッ ト で使用する プ ロ ト コル (TCP または UDP) を選択 し ます。 [External Service Port] ポー ト フ ォ ワーデ ィ ングを設定する外部サービ ス ポー ト 番号を入力 し ます。 [Map to Port] 外部ポー ト 番号のマ ッ プ先 と な る宛先ネ ッ ト ワー ク 上のポー ト 番号 を入力 し ます。 また、 ポー ト 番号の範囲を入力 し て、 宛先ネ ッ ト ワー ク 上の複数の ポー ト にパケ ッ ト を転送する こ と も で き ます。 ス タ テ ィ ッ ク NAT 仮想 IP では、 ポー ト の範囲にマ ッ プ を追加する と 、 FortiGate ユニ ッ ト が外部ポー ト 番号の範囲を計算 し 、 そのポー ト 番号の範囲が [External Service Port] フ ィ ール ド に追加 さ れます。 [Real Servers] VIP の タ イ プ と し てサーバ負荷分散を選択する場合は、 リ アルのサー バ IP ア ド レ ス を入力 し ます。 IP ア ド レ スが少な く と も 1 つは必要 で、 最大 8 つのア ド レ ス を入力で き ます。 サーバ IP ア ド レ ス を入力するには、 [Real Servers] の下にある [Add] を選択 し て、 以下の情報を入力 し ます。 [IP]: サーバの IP ア ド レ ス を入力 し ます。 [Port]: ポー ト フ ォ ワーデ ィ ングを有効にする場合は、 外部ポー ト 番 号がマ ッ プ さ れる宛先ネ ッ ト ワー ク 上のポー ト 番号を入力 し ます。 [Dead interval]: 削除 さ れる までに接続を ア イ ド ルの状態に し ておけ る時間間隔です。 10 ~ 255 秒の範囲を使用で き ます。 [Wake interval]: 中断する までに接続がサーバの検知を試みる時間間 隔です。 10 ~ 255 秒の範囲を使用で き ます。 [Weight]: 特定サーバの重み付けの値を定めます。 重み付けの値が大 き いほど、 サーバが処理する接続のパーセ ン テージは大き く な り ま す。 1 ~ 255 の範囲を使用で き ます。 [Health Check]: セ ッ シ ョ ンの転送に先立っ てサーバのステー タ ス を チ ェ ッ ク するには、 このオプ シ ョ ン を選択 し ます。 [Ping Detection]:ping を使用 し てサーバのス テー タ ス を テス ト するに は、 このオプ シ ョ ン を有効に し ます。 ヘルス チ ェ ッ ク は、 ping 検知 の前に有効にする必要があ り ます。 単一の IP アドレスに対するスタティック NAT 仮想 IP の追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス 192.168.37.4 は、 プ ラ イ ベー ト ネ ッ ト ワー ク上 の 10.10.10.42 にマ ッ プ さ れます。 イ ン タ ーネ ッ ト から 192.168.37.4 と 通信 し よ う と する と 、 FortiGate ユニ ッ ト に よ っ て 10.10.10.42 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ がこ の変換を認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 192.168.37.4 の単一 のコ ン ピ ュ ー タ に見えます。 270 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 図 150: 単一の IP アドレスに対するスタティック NAT 仮想 IP の例 単一の IP アドレスに対するスタティック NAT 仮想 IP を追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 この例では、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] simple_static_NAT [External Interface] external [Type] Static NAT [External IP Address/Range] Web サーバのイ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、 Web サーバの ISP か ら取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 このア ド レ スは、 別のホス ト が使 用 し ない固有の IP ア ド レ スでなければな ら ず、 仮想 IP が使用する 外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ング さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ スの ARP 要 求に応答 し ます。 [Map to IP/IP Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 IP ア ド レ スは 1 つだけ なので、 2 番目の フ ィ ール ド は空白のま ま と し ます。 図 151: 4 仮想 IP オプション : 単一の IP アドレスに対するスタティック NAT 仮想 IP [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 271 仮想 IP の設定 ファイアウォール - 仮想 IP 単一の IP アドレスに対するスタティック NAT 仮想 IP をファイアウォール ポリ シーに追加するには 外部か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スへの接続を試み た際に、 パケ ッ ト が外部イ ン タ フ ェ ースから dmzl イ ン タ フ ェ ースへ と FortiGate ユニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 外部 IP から Web サーバの DMZ ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] simple_static_nat [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 IP アドレス範囲に対するスタティック NAT 仮想 IP の追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス範囲 192.168.37.4 ~ 192.168.37.6 は、 プ ラ イ ベー ト ネ ッ ト ワー ク上の 10.10.10.42 ~ 10.10.123.44 にマ ッ プ さ れます。192.168.37.4 と 通信する イ ン タ ーネ ッ ト 上のコ ン ピ ュ ー タ から のパケ ッ ト は、 FortiGate ユニ ッ ト に よ っ て 10.10.10.42 に変換 さ れ、 送信 さ れます。 同様に、 宛先が 192.168.37.5 の パケ ッ ト は 10.10.10.43 に、 また宛先が 192.168.37.6 のパケ ッ ト は 10.10.10.44 にそ れぞれ変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ が こ の変換を 認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 個別の IP ア ド レ ス を持つ 3 台の コ ン ピ ュ ー タ に見え ます。 図 152: IP アドレス範囲に対するスタティック NAT 仮想 IP の例 IP アドレス範囲に対するスタティック NAT 仮想 IP を追加するには 1 272 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の 3 つ の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例で は、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] static_NAT_range [External Interface] external [Type] Static NAT [External IP Address/Range] Web サーバのイ ン タ ーネ ッ ト IP ア ド レ ス範囲。 外部 IP ア ド レ スは、 Web サーバの ISP から 取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 これら のア ド レ スは、 別のホス ト が使用 し ない固有の IP ア ド レ スでなけ ればな ら ず、 仮想 IP が使用する外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルー テ ィ ング さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定する こ と がで き ま す。 仮想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ スの ARP 要求に応答 し ます。 [Map to IP/IP Range] 図 153: 4 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス範囲。 範囲の最 初のア ド レ ス を最初のフ ィ ール ド に、 最後のア ド レ ス を 2 番目のフ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 仮想 IP オプション : IP アドレス範囲に対するスタティック NAT 仮想 IP [OK] を選択 し ます。 IP アドレス範囲に対するスタティック NAT 仮想 IP をファイアウォール ポリ シーに追加するには 外部か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザがサーバ IP ア ド レ スへの接続を試みた際に、 パケ ッ ト が外部イ ン タ フ ェ ースから dmzl イ ン タ フ ェ ースへ と FortiGate ユニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス を、 外 部 IP からサーバの DMZ ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] static_NAT_range [Schedule] always [Service] HTTP [Action] ACCEPT FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 273 仮想 IP の設定 ファイアウォール - 仮想 IP 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポート フォワーディ ングの追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス 192.168.37.4、 ポー ト 80 は、 プ ラ イ ベー ト ネ ッ ト ワー ク上の 10.10.10.42、 ポー ト 8000 にマ ッ プ さ れます。 イ ン タ ーネ ッ ト か ら 192.168.37.4、 ポー ト 80 と 通信 し よ う と する と 、 FortiGate ユニ ッ ト に よ っ て 10.10.10.42、 ポー ト 8000 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ が こ の変換を認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後 に持つ FortiGate ユニ ッ ト ではな く 、 192.168.37.4、 ポー ト 80 の単一のコ ン ピ ュ ー タ に見えます。 図 154: 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポート フォワーディングの例 単一 IP アドレスおよび単一ポート対するスタティック NAT 仮想 IP ポート フォ ワーディングを追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] Port_fwd_NAT_VIP [External Interface] external [Type] Static NAT [External IP Address/Range] Web サーバのイ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、 Web サーバの ISP から 取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 こ のア ド レ ス は、 別のホス ト が使用 し ない固有の IP ア ド レ スでなければ な ら ず、 仮想 IP が使用する外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外 部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブネ ッ ト 上に設定する こ と がで き ます。 仮 想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ ス の ARP 要求に応答 し ます。 [Map to IP/IP Range] 274 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 IP ア ド レ スは 1 つだけなので、2 番目の フ ィ ール ド は空白のま ま と し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 [Port Forwarding] 選択 [Protocol] TCP [External Service Port] イ ン タ ーネ ッ ト から の ト ラ フ ィ ッ ク が使用するポー ト 。 Web サーバに対するポー ト は通常、 ポー ト 80 です。 [Map Port] サーバが ト ラ フ ィ ッ ク を待つポー ト 。 ポー ト は 1 つだけな ので、 2 番目のフ ィ ール ド は空白のま ま と し ます。 図 155: 4 仮想 IP オプション : 単一 IP アドレスおよび単一ポートに対するスタティック NAT ポート フォワーディング仮想 IP [OK] を選択 し ます。 単一 IP アドレスおよび単一ポートに対するスタティック NAT 仮想 IP ポート フォワーディングをファイアウォール ポリシーに追加するには 外部か ら dmz1 への、 仮想 IP を使用する フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバ IP ア ド レ スへの接続を試みた 際に、 パケ ッ ト が外部イ ン タ フ ェ ースから dmzl イ ン タ フ ェ ースへ と FortiGate ユ ニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れ らのパケ ッ ト の宛先ア ド レ ス と ポー ト を、 外部 IP か ら Web サーバの dmz ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Port_fwd_NAT_VIP [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 275 仮想 IP の設定 ファイアウォール - 仮想 IP IP アドレス範囲およびポート範囲に対するスタティック NAT ポート フォワーディ ングの追加 イ ン タ ーネ ッ ト 上のア ド レ ス 192.168.37.4 ~ 192.168.37.7 のポー ト 80 ~ 83 は、 プ ラ イ ベー ト ネ ッ ト ワー ク上のア ド レ ス 10.10.10.42 ~ 10.10.10.44 のポー ト 8000 ~ 8003 にマ ッ プ さ れます。 イ ン タ ーネ ッ ト か ら 192.168.37.5、 ポー ト 82 と 通信 し よ う と する と 、 FortiGate ユニ ッ ト に よ っ て 10.10.10.43、 ポー ト 8002 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ がこ の変換を認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 192.168.37.5 の単一の コ ン ピ ュ ー タ に見え ます。 図 156: IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディングの例 IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディングを追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] Port_fwd_NAT_VIP_port_range [External Interface] external [Type] Static NAT [External IP Address/Range] 外部 IP ア ド レ スは、 ISP か ら取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 こ のア ド レ スは、 別のホス ト が使用 し ない固有のア ド レ スでなければな ら ず、 仮想 IP が 使用する外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選 択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ング さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブ ネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ スの ARP 要求に応 答 し ます。 276 [Map to IP/IP Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 範囲の最初の ア ド レ ス を最初のフ ィ ール ド に、 最後のア ド レ ス を 2 番目 のフ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 [Port Forwarding] 選択 [Protocol] TCP FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 4 [External Service Port] イ ン タ ーネ ッ ト から の ト ラ フ ィ ッ ク が使用するポー ト 。 Web サーバに対するポー ト は通常、 ポー ト 80 です。 [Map Port] サーバが ト ラ フ ィ ッ ク を待つポー ト 。 範囲の最初のポー ト を最初のフ ィ ール ド に、 最後のポー ト を 2 番目のフ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 ポー ト が 1 つ だけな ら ば、 2 番目のフ ィ ール ド は空白のま ま と し ます。 [OK] を選択 し ます。 IP アドレス範囲およびポート範囲に対するスタティック NAT 仮想 IP ポート フォワーディングをファイアウォール ポリシーに追加するには 仮想 IP を使用する dmzl フ ァ イ アウ ォ ール ポ リ シーに外部フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバ IP ア ド レ ス への接続を試みた際に、 パケ ッ ト が外部イ ン タ フ ェ ースか ら dmzl イ ン タ フ ェ ー スへ と FortiGate ユニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れらのパケ ッ ト の宛先ア ド レ ス と ポー ト を、 外部 IP から Web サーバの dmz ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Port_fwd_NAT_VIP_port_range [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 IP アドレス範囲またはリアル サーバに対する負荷分散仮想 IP の追加 イ ン タ ーネ ッ ト 上の IP ア ド レ ス 192.168.37.4 は、 プ ラ イ ベー ト ネ ッ ト ワー ク上 の 10.10.123.42 ~ 10.10.123.44 にマ ッ プ さ れます。 IP ア ド レ スのマ ッ ピ ン グは、 FortiGate ユニ ッ ト の負荷分散アルゴ リ ズムによ っ て決定 さ れます。 イ ン タ ー ネ ッ ト から 192.168.37.4 と 通信 し よ う と する と 、 FortiGate ユニ ッ ト に よ っ て 10.10.10.42、 10.10.10.43、 または 10.10.10.44 に変換 さ れ、 送信 さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ が こ の変換を認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を背後に持つ FortiGate ユニ ッ ト ではな く 、 192.168.37.4 の単一の コ ン ピ ュ ー タ に見え ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 277 仮想 IP の設定 ファイアウォール - 仮想 IP 図 157: IP アドレス範囲に対する負荷分散仮想 IP IP アドレス範囲に対する負荷分散仮想 IP を追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] Load_Bal_VIP [External Interface] external [Type] Load Balance または Server Load Balance [External IP address/Range] Web サーバのイ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、 Web サーバの ISP から 取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 このア ド レ ス は、 別のホス ト が使用 し ない固有の IP ア ド レ スでなければ な ら ず、 仮想 IP が使用する外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外 部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ン グ さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ スは、 別々のサブネ ッ ト 上に設定する こ と がで き ます。 仮 想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ ス の ARP 要求に応答 し ます。 [Map to IP/IP Range] ([Load 内部ネ ッ ト ワー ク上のサーバの IP ア ド レ ス。 範囲の最初の ア ド レ ス を最初の フ ィ ール ド に、 最後のア ド レ ス を 2 番目 Balance] タイプ ) の フ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 [Real Servers] ([Server Load Balance] タイプ ) 図 158: 278 VIP の タ イ プ と し てサーバ負荷分散を選択する場合は、 リ ア ルのサーバ IP ア ド レ ス を入力 し ます。 リ アル サーバの設定 の詳細については、 269 ページの 「仮想 IP の設定」 を参照 し て く だ さ い。 仮想 IP オプション : 負荷分散仮想 IP FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 4 [OK] を選択 し ます。 IP アドレス範囲に対する負荷分散仮想 IP をファイアウォール ポリシーに追加す るには 仮想 IP を使用する dmzl フ ァ イ アウ ォ ール ポ リ シーに外部フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スへの接続を試みた際に、 パケ ッ ト が外部イ ン タ フ ェ ースから dmzl イ ン タ フ ェ ースへ と FortiGate ユニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れらの パケ ッ ト の宛先ア ド レ ス を、 外部 IP か ら Web サーバの DMZ ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Load_Bal_VIP [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 負荷分散ポート フォワーディング仮想 IP の追加 イ ン タ ーネ ッ ト 上の 192.168.37.4 への接続は、 プ ラ イ ベー ト ネ ッ ト ワー ク 上の 10.10.10.42 ~ 10.10.10.44 にマ ッ プ さ れます。 IP ア ド レ スのマ ッ ピ ン グは、 FortiGate ユニ ッ ト の負荷分散アルゴ リ ズムによ っ て決定 さ れます。 192.168.37.4 のポー ト 80 ~ 83 は、 8000 ~ 8003 に順にマ ッ プ さ れます。 イ ン タ ーネ ッ ト 上の コ ン ピ ュ ー タ が こ の変換を認識する こ と はな く 、 プ ラ イ ベー ト ネ ッ ト ワー ク を 背後に持つ FortiGate ユニ ッ ト ではな く 、 192.168.37.4 の単一の コ ン ピ ュ ー タ に見 え ます。 図 159: IP アドレス範囲およびポート範囲に対する負荷分散仮想 IP ポート フォワー ディングの例 IP アドレス範囲に対する負荷分散仮想 IP を追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 279 仮想 IP の設定 ファイアウォール - 仮想 IP 3 次の手順を使用 し て、 イ ン タ ーネ ッ ト 上のユーザが DMZ ネ ッ ト ワー ク上の Web サーバに接続で き る よ う にする ための仮想 IP を追加 し ます。 こ の例では、 FortiGate ユニ ッ ト の外部イ ン タ フ ェ ースはイ ン タ ーネ ッ ト に接続 さ れ、 dmzl イ ン タ フ ェ ースは DMZ ネ ッ ト ワー ク に接続 さ れます。 [Name] Load_Bal_VIP_port_forward [External Interface] external [Type] Load Balance [External IP Address/Range] Web サーバのイ ン タ ーネ ッ ト IP ア ド レ ス。 外部 IP ア ド レ スは、 Web サーバの ISP から 取得 し たス タ テ ィ ッ ク IP ア ド レ スである必要があ り ます。 こ のア ド レ ス は、 別のホス ト が使用 し ない固有の IP ア ド レ スでなければ な ら ず、 仮想 IP が使用する外部イ ン タ フ ェ ースの IP ア ド レ ス と 同一のア ド レ スにする こ と はで き ません。 し か し 、 外部 IP ア ド レ スは選択 さ れた イ ン タ フ ェ ースへ と ルーテ ィ ング さ れる必要があ り ます。 仮想 IP ア ド レ ス と 外部 IP ア ド レ ス は、 別々のサブネ ッ ト 上に設定する こ と がで き ます。 仮想 IP を追加する と 、 外部イ ン タ フ ェ ースは外部 IP ア ド レ スの ARP 要求に応答 し ます。 4 [Map to IP/IP Range] 内部ネ ッ ト ワー ク 上のサーバの IP ア ド レ ス。 範囲の最初の ア ド レ ス を最初のフ ィ ール ド に、 最後のア ド レ ス を 2 番目の フ ィ ール ド にそれぞれ入力 し て、 範囲を定義 し ます。 [Real Servers] VIP の タ イ プ と し てサーバ負荷分散を選択する場合は、 リ ア ルのサーバ IP ア ド レ ス を入力 し ます。 リ アル サーバの設定 の詳細については、 269 ページの 「仮想 IP の設定」 を参照 し て く だ さ い。 [Port Forwarding] 選択 [Protocol] TCP [External Service Port] イ ン タ ーネ ッ ト から の ト ラ フ ィ ッ ク が使用するポー ト 。 Web サーバに対するポー ト は通常、 ポー ト 80 です。 [Map Port] サーバが ト ラ フ ィ ッ ク を待つポー ト 。 範囲の最初のポー ト を 最初のフ ィ ール ド に、 最後のポー ト を 2 番目のフ ィ ール ド に それぞれ入力 し て、 範囲を定義 し ます。 ポー ト が 1 つだけな ら ば、 2 番目のフ ィ ール ド は空白のま ま と し ます。 [OK] を選択 し ます。 IP アドレス範囲に対する負荷分散仮想 IP をファイアウォール ポリシーに追加す るには 仮想 IP を使用する dmzl フ ァ イ アウ ォ ール ポ リ シーに外部 フ ァ イ アウ ォ ール ポ リ シーを追加する こ と で、 イ ン タ ーネ ッ ト 上のユーザが Web サーバの IP ア ド レ スへの接続を試みた際に、 パケ ッ ト が外部イ ン タ フ ェ ースか ら dmzl イ ン タ フ ェ ースへ と FortiGate ユニ ッ ト を通過する よ う に し ます。 仮想 IP は、 こ れ らの パケ ッ ト の宛先ア ド レ ス を、 外部 IP か ら Web サーバの DMZ ネ ッ ト ワー ク IP ア ド レ スに変換 し ます。 1 280 [Firewall]、[Policy] の順に選択 し て、 [Create New] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP 仮想 IP の設定 2 フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] external [Source Address Name] All ( またはよ り 具体的なア ド レ ス ) [Destination Interface/Zone] dmz1 [Destination Address Name] Load_Bal_VIP_port_forward [Schedule] always [Service] HTTP [Action] ACCEPT 3 [NAT] を選択 し ます。 4 [OK] を選択 し ます。 ダイナミック仮想 IP の追加 ダ イ ナ ミ ッ ク仮想 IP の追加は、 仮想 IP の追加 と 同様です。 異な る点 と し て、 外 部 IP ア ド レ ス を 0.0.0.0 に設定 し 、 すべての IP ア ド レ スに適合する よ う にする必 要があ り ます。 ダイナミック仮想 IP を追加するには 1 [Firewall]、[Virtual IP]、[Virtual IP] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 ダ イ ナ ミ ッ ク仮想 IP の名前を入力 し ます。 4 リ ス ト から仮想 IP 外部イ ン タ フ ェ ース を選択 し ます。 外部イ ン タ フ ェ ースは送信元ネ ッ ト ワー ク に接続 さ れ、 宛先ネ ッ ト ワー ク に転送 さ れるパケ ッ ト を受信 し ます。 いずれかの フ ァ イ アウ ォ ール イ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ース を選択 し ます。 5 外部 IP ア ド レ ス を 0.0.0.0 に設定 し ます。 外部 IP ア ド レ ス 0.0.0.0 は、 すべての IP ア ド レ スに適合 し ます。 6 ダ イ ナ ミ ッ ク ポー ト フ ォ ワーデ ィ ン グ を設定する外部サービ ス ポー ト 番号を入 力 し ます。 外部のサービ ス ポー ト 番号は、 転送 さ れるパケ ッ ト の宛先ポー ト に一致 し てい る必要があ り ます。 た と えば、 仮想 IP がイ ン タ ーネ ッ ト か ら PPTP サーバへの PPTP パス スルー ア ク セス を提供 し てい る場合は、 外部のサービ ス ポー ト 番号 を 1723 (PPTP ポー ト ) にする必要があ り ます。 7 外部 IP ア ド レ ス を マ ッ プする マ ッ プ先 IP ア ド レ ス を入力 し ます。 た と えば、 内 部ネ ッ ト ワー ク上の PPTP サーバの IP ア ド レ スです。 8 転送の際にパケ ッ ト に追加 さ れる マ ッ プ先ポー ト 番号を入力 し ます。 ポー ト が変換 さ れない場合は、 外部サービ スポー ト と 同 じ 番号を入力 し ます。 9 [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 281 仮想 IP グループ ファイアウォール - 仮想 IP 仮想 IP グループ 仮想 IP グループ を作成する こ と で、 フ ァ イ アウ ォ ール ポ リ シー ト ラ フ ィ ッ ク制 御を容易にする こ と がで き ます。 た と えば、 DMZ イ ン タ フ ェ ースにおいて、 仮 想 IP マ ッ ピ ン グ を用い る電子 メ ール サーバが 2 つあ る場合、 こ れら 2 つの VIP を 1 つの VIP グループにま と める と と も に、 外部から DMZ へのポ リ シーを 2 つ ではな く 1 つ作成 し て、 ト ラ フ ィ ッ ク を制御で き ます。 VIP グループ リストの表示 仮想 IP グループ リ ス ト を表示する には、 [Firewall]、[Virtual IP]、[VIP Group] の 順に選択 し ます。 図 160: VIP グループ リスト VIP グループ リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] 新 し い VIP グループ を追加する場合に選択 し ます。 282 ページの 「VIP グループの設定」 を参照 し て く だ さ い。 [Group Name] 仮想 IP グループの名前。 [Members] グループの メ ンバを表示 し ます。 [Interface] VIP グループが属する イ ン タ フ ェ ース を表示 し ます。 削除アイコン リ ス ト から VIP グループ を削除 し ます。 削除ア イ コ ンは、 フ ァ イ ア ウ ォ ール ポ リ シーで VIP グループが使用 さ れていない場合にのみ表示 さ れます。 編集アイコン グループ名や メ ンバな ど、 VIP グループ情報を編集 し ます。 VIP グループの設定 VIP グループ を追加する には、 [Firewall]、[Virtual IP]、[VIP Group] の順に選択 し 、 [Create new] を選択 し ます。 VIP グループ を編集する には、 [Firewall]、 [Virtual IP]、[VIP Group] の順に選択 し 、 編集する VIP グループの編集ア イ コ ン を選択 し ます。 282 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP IP プール 図 161: VIP グループの編集 次の設定を行い、 [OK] を選択 し ます。 [Group Name] グループ名を入力または編集 し ます。 [Interface] VIP グループ を作成する イ ン タ フ ェ ース を選択 し ます。 グ ループの編集中は、 [Interface] ボ ッ ク スはグレーにな っ て選 択不可能 と な り ます。 [Available VIPs] および [Members] メ ンバを追加または削除 し ます。 IP プール 宛先イ ン タ フ ェ ースの IP ア ド レ スに制限するのではな く 、 IP プールから ラ ン ダ ムに選択 さ れたア ド レ スに送信元ア ド レ ス を変換する NAT ポ リ シーを追加する には、 IP プールを使用 し ます。 IP プールは、 IP プールが追加 さ れた イ ン タ フ ェ ースで ARP 要求に応答する ア ド レ ス または IP ア ド レ ス範囲をすべて定義 し ます。 送信パケ ッ ト の送信元ア ド レ ス を IP プールか ら ラ ン ダムに選択 さ れた ア ド レ ス に変換する には、 フ ァ イ アウ ォ ール ポ リ シーで [Enable Dynamic IP Pool] を選択 し ます。 ポ リ シーの宛先イ ン タ フ ェ ースが IP プールのイ ン タ フ ェ ース と 同一で あ る場合、 IP プール リ ス ト が表示 さ れます。 内部イ ン タ フ ェ ースに IP プールを追加する と 、 その内部イ ン タ フ ェ ースのポ リ シーに動的 IP プールを宛先 と し て選択で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 283 IP プール リストの表示 ファイアウォール - 仮想 IP すべてのイ ン タ フ ェ ースに複数の IP プールを追加 し 、 フ ァ イ アウ ォ ール ポ リ シーを設定する際に、 使用する IP プールを選択 し ます。 単一の IP ア ド レ スは通常どお り 入力 し ます。 た と えば、 192.168.110.100 は有効 な IP プール ア ド レ スです。 IP ア ド レ ス範囲が必要な場合は、 以下のいずれかの 形式を使用 し ます。 • x.x.x.x-x.x.x.x、 た と えば 192.168.110.100-192.168.110.120 • x.x.x.[x-x]、 た と えば 192.168.110.[100-120] IP プールとダイナミック NAT ダ イ ナ ミ ッ ク NAT に対 し ては IP プールを使用 し ます。 た と えば、 あ る組織が一 定の範囲のイ ン タ ーネ ッ ト ア ド レ ス を購入 し た ものの、 FortiGate ユニ ッ ト の外 部イ ン タ フ ェ ースのイ ン タ ーネ ッ ト 接続は 1 つのみ と い う 場合があ り ます。 こ う し た場合、 組織のイ ン タ ーネ ッ ト IP ア ド レ スの 1 つを FortiGate ユニ ッ ト の 外部イ ン タ フ ェ ースに割 り 当て ます。 FortiGate ユニ ッ ト が NAT/ ルー ト モー ド で動作 し ている場合、 ネ ッ ト ワー クから イ ン タ ーネ ッ ト への接続は、 すべて こ の IP ア ド レ スから行われてい る よ う に見え ます。 すべてのイ ン タ ーネ ッ ト IP ア ド レ スか ら接続を開始する には、 外部イ ン タ フ ェ ースの IP プールに このア ド レ ス範囲を追加 し ます。 次いで、 外部イ ン タ フ ェ ースのすべてのポ リ シーに、 宛先 と し てダ イ ナ ミ ッ ク IP プールを選択 し ま す。 各接続に対 し 、 フ ァ イ アウ ォ ールは IP プールか ら動的に IP ア ド レ ス を選択 し 、 接続の送信元ア ド レ ス と し ます。 こ のため、 イ ン タ ーネ ッ ト への接続は、 IP プールのすべての IP ア ド レ スか ら開始 さ れてい る よ う に見えます。 固定ポートを用いたファイアウォール ポリシーの IP プール 接続で使用 さ れるパケ ッ ト の送信元ポー ト が NAT ポ リ シーで変換 さ れる場合、 正 し く 動作 し ないネ ッ ト ワー ク設定があ り ます。 NAT では、 特定のサービ スの 接続を追跡する ため、 送信元ポー ト が変換 さ れます。 送信元ポー ト の変換を防ぐ には、 NAT ポ リ シーの固定ポー ト を選択 し ます。 ただ し 、 固定ポー ト を選択す る と い う こ と は、 こ のサービ スにおいて 1 つの接続 し かフ ァ イ アウ ォ ールを介 し てサポー ト で き ない こ と を意味 し ます。 複数の接続をサポー ト で き る よ う にする には、 宛先イ ン タ フ ェ ースに IP プールを追加 し た後、 ポ リ シー内でダ イ ナ ミ ッ ク IP プールを選択 し ます。 フ ァ イ アウ ォ ールは IP ア ド レ ス を IP プールから ラ ン ダムに選択 し て、 各接続に割 り 当て ます。 こ の場合、 フ ァ イ アウ ォ ールでサ ポー ト 可能な接続の数は、 IP プール内の IP ア ド レ スの数に よ っ て制限 さ れます。 IP プール リストの表示 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 IP プール はバーチ ャル ド メ イ ン ご と に別々に作成 さ れます。 IP プールにア ク セスする に は、 メ イ ン メ ニ ュ ーの リ ス ト か らバーチ ャル ド メ イ ン を選択 し ます。 IP プール は ト ラ ン スペア レ ン ト モー ド では使用で き ません。 IP プール リ ス ト を表示する には、 [Firewall]、[Virtual IP]、[IP Pool] の順に選択 し ます。 284 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - 仮想 IP IP プールの設定 図 162: IP プール リスト IP プール リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] IP プールを追加する場合に選択 し ます。 [Name] IP プールの名前。 [Start IP] 開始 IP はア ド レ ス範囲の始ま り を定義 し ます。 [End IP] 終了 IP はア ド レ ス範囲の終わ り を定義 し ます。 削除アイコン リ ス ト から このエ ン ト リ を削除する場合に選択 し ます。 削除ア イ コ ン は、 IP プールが フ ァ イ アウ ォ ール ポ リ シーで使用 さ れていない場合に のみ表示 さ れます。 編集アイコン 名前、 イ ン タ フ ェ ース、 IP、 範囲 / サブネ ッ ト の情報を編集する場合 に選択 し ます。 IP プールの設定 IP プールを追加する には、 [Firewall]、[Virtual IP]、[IP Pool] の順に選択 し ます。 図 163: 新しいダイナミック IP プール [Name] IP プールの名前を編集または変更 し ます。 [Interface] IP プールを追加する イ ン タ フ ェ ース を選択 し ます。 [IP Range/Subnet] IP プールの IP ア ド レ ス範囲を入力 し ます。 IP 範囲は、 ア ド レ ス範囲の 最初 と 最後を定義 し ます。 範囲の最初は範囲の最後よ り も 小 さ く なけ ればな り ません。 IP 範囲は、 IP プールが追加 さ れる イ ン タ フ ェ ースの IP ア ド レ ス と 同一のサブネ ッ ト 上である必要はあ り ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 285 IP プールの設定 286 ファイアウォール - 仮想 IP FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルとは ファイアウォール プロテクション プロファイル こ の項では、 NAT/ ルー ト モー ド お よび ト ラ ン スペア レ ン ト モー ド のポ リ シー にプ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • プ ロ テ ク シ ョ ン プ ロ フ ァ イル と は プ ロ テ ク シ ョ ン プ ロ フ ァ イル リ ス ト の表示 デ フ ォ ル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル プ ロ テ ク シ ョ ン プ ロ フ ァ イルの設定 ポ リ シーへのプ ロ テ ク シ ョ ン プ ロ フ ァ イルの追加 プ ロ テ ク シ ョ ン プ ロ フ ァ イル CLI 設定 プロテクション プロファイルとは プ ロ テ ク シ ョ ン プ ロ フ ァ イル と は、 特定の目的に合わせて調整可能な設定のグ ループ です。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルは、 フ ァ イ アウ ォ ール ポ リ シーに よ っ て制御 さ れる ト ラ フ ィ ッ ク にそれぞれ個別の保護設定を適用 し ます。 こ れに よ り 、 各ポ リ シーが処理する ト ラ フ ィ ッ クの タ イ プに応 じ て設定を調整で き ま す。 次の操作を行 う 場合にプ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用 し ます。 • HTTP、 FTP、 IMAP、 POP3、 SMTP、 およ び IM ポ リ シーのア ン チウ イルス保護 の設定。 • • • • • HTTP ポ リ シーお よび HTTPS ポ リ シーの Web フ ィ ル タ リ ン グの設定。 HTTP ポ リ シーお よび HTTPS ポ リ シーの Web カ テ ゴ リ フ ィ ル タ リ ン グの設定。 IMAP、 POP3、 およ び SMTP ポ リ シーのスパム フ ィ ル タ リ ン グの設定。 すべてのサービ スの IPS の有効化。 HTTP、 FTP、 IMAP、 POP3、 SMTP、 お よ び IM ポ リ シーの コ ン テ ン ツ アー カ イ ブの設定。 • AIM、 ICQ、 MSN、 Yahoo、 お よび SIMPLE のイ ン ス タ ン ト メ ッ セージ ン グの IM フ ィ ル タ リ ン グ と ア ク セス制御の設定。 • Bit Torrent、 eDonkey、 Gnutella、 Kazaa、 Skype、 お よび WinNY のピ ア ツーピ ア ク ラ イ ン ア ン ト の P2P ア ク セスお よび帯域幅制御の設定。 • ロ グ を作成する プ ロ テ ク シ ョ ン プ ロ フ ァ イルのア ク シ ョ ンの設定。 • VoIP プ ロ ト コ ル (SIP お よび SCCP) の帯域制限の設定。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用すれば、 さ ま ざ まな フ ァ イ アウ ォ ール ポ リ シーの保護の タ イ プお よびレ ベルを カ ス タ マ イ ズで き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 287 プロテクション プロファイル リストの表示 ファイアウォール - プロテクション プロファイル た と えば、 内部ア ド レ ス と 外部ア ド レ ス と の間の ト ラ フ ィ ッ ク には厳重な保護が 必要か も し れませんが、 信頼で き る内部ア ド レ ス同士の ト ラ フ ィ ッ ク には さ ほど 厳格な保護は必要ない場合があ り ます。 別々の ト ラ フ ィ ッ ク サービ スに対 し て、 同一または異な る プ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用する よ う ポ リ シーを設定 し て く だ さ い。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルはグロ ーバルに設定 さ れ、 すべてのバーチ ャル ド メ イ ン で 利用で き ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルにア ク セスする には、 [Global Configuration]、[Firewall]、[Protection Profile] の順に選択 し て く だ さ い。 デフォルトのプロテクション プロファイル FortiGate ユニ ッ ト には、 あ らか じ め次の 4 つのプ ロ テ ク シ ョ ン プ ロ フ ァ イルが 設定 さ れています。 Strict HTTP、 FTP、 IMAP、 POP3、 および SMTP ト ラ フ ィ ッ ク に最大の保護 を適用 し ます。 こ の [strict] プ ロ テ ク シ ョ ン プ ロ フ ァ イルは、 通常の状 況では不便な こ と があ り ますが、 最大の保護が求め られる場合に利用 で き ます。 スキャン HTTP、 FTP、 IMAP、 POP3、 および SMTP ト ラ フ ィ ッ ク にウ イルス ス キ ャ ン を適用 し ます。 また、 すべての コ ン テ ン ツ サービ スに対 し て隔 離が選択 さ れます。 ハー ド ド ラ イ ブ内蔵の FortiGate モデルでは、 ア ン チウ イルス スキ ャ ンによ っ て フ ァ イルにウ イルスが発見 さ れる と 、 そ の フ ァ イルは FortiGate のハー ド デ ィ ス ク に隔離 さ れます。 シ ステム管 理者は、 必要に応 じ て隔離 さ れた フ ァ イルを回復で き ます。 Web HTTP ト ラ フ ィ ッ ク にウ イルス スキ ャ ン と Web コ ン テ ン ツ ブ ロ ッ ク を 適用 し ます。 このプ ロ テ ク シ ョ ン プ ロ フ ァ イルは、 HTTP ト ラ フ ィ ッ ク を制御する フ ァ イ アウ ォ ール ポ リ シーに追加 し て く だ さ い。 Unfiltered スキ ャ ン、 ブ ロ ッ ク、 または IPS を一切適用 し ません。 コ ン テ ン ツ ト ラ フ ィ ッ ク を保護する必要がない場合は、 こ の [unfiltered] コ ン テ ン ツ プ ロ フ ァ イルを使用 し ます。 こ のプ ロ テ ク シ ョ ン プ ロ フ ァ イ ルは、 コ ン テ ン ツ を保護する必要のない、 信頼性または安全性の高いネ ッ ト ワー ク 間の接続に対する フ ァ イ アウ ォ ール ポ リ シーに追加 し て く だ さ い。 プロテクション プロファイル リストの表示 プ ロ テ ク シ ョ ン プ ロ フ ァ イル リ ス ト を表示する には、 [Firewall]、[Protection Profile] の順に選択 し ます。 図 164: デフォルトのプロテクション プロファイル プロテ ク シ ョ ン プロ フ ァ イル リ ス ト には、次のアイ コ ン と機能が用意されています。 288 [Create New] プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加する場合に選択 し ます。 [Name] プ ロ テ ク シ ョ ン プ ロ フ ァ イルの名前。 削除 リ ス ト か ら プ ロ テ ク シ ョ ン プ ロ フ ァ イルを削除する場合に選択 し ま す。 削除ア イ コ ンは、 プ ロ フ ァ イルが フ ァ イ アウ ォ ール ポ リ シーで使 用 さ れていない場合にのみ使用で き ます。 編集 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを変更する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルの設定 注記 : フ ァ イ アウ ォ ール ポ リ シーで選択 さ れているか、 またはユーザ グループに含まれ ている場合、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルは削除で き ません ( 削除ア イ コ ンは表示 さ れ ません )。 プロテクション プロファイルの設定 必要な設定がデ フ ォ ル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イルで用意 さ れていない場 合は、 カ ス タ ムプ ロ テ ク シ ョ ン プ ロ フ ァ イルを作成 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加する には、 [Firewall]、[Protection Profile] の順 に選択 し て、 [Create New] を選択 し ます。 図 165: 新規のプロテクション プロファイル [Profile Name] プ ロ テ ク シ ョ ン プ ロ フ ァ イルの名前を入力 し ます。 [Comments] 必要に応 じ て、 プ ロ フ ァ イルの説明を入力 し ます。 [AntiVirus] 290ページの「ア ンチウイルス オプ シ ョ ン」を参照 し て く だ さ い。 [Web Filtering] 291 ページの 「Web フ ィ ル タ リ ング オプ シ ョ ン」 を参照 し て く だ さ い。 [FortiGuard-Web Filtering] 292 ページの 「FortiGuard-Web フ ィ ル タ リ ング オプ シ ョ ン」 を 参照 し て く だ さ い。 [Spam Filtering] 294 ページの 「スパム フ ィ ル タ リ ング オプ シ ョ ン」 を参照 し て く だ さ い。 [IPS] 296 ページの 「IPS オプ シ ョ ン」 を参照 し て く だ さ い。 [Content Archive] 297 ページの 「コ ン テ ン ツ アー カ イ ブ オプ シ ョ ン」 を参照 し て く だ さ い。 [IM & P2P] 298 ページの「IM および P2P オプ シ ョ ン」を参照 し て く だ さ い。 [Logging] 299 ページの 「ロギング オプ シ ョ ン」 を参照 し て く だ さ い。 [VoIP] 300 ページの 「VoIP オプ シ ョ ン」 を参照 し て く だ さ い。 注記 : ウ イルス スキ ャ ン と フ ァ イル ブ ロ ッ ク の両方が有効にな っ ている場合、 FortiGate ユニ ッ ト は、 有効な フ ァ イル パ タ ーン と 比較 し てか ら、 ウ イルスのスキ ャ ン を実行 し ま す。 フ ァ イル ブ ロ ッ ク機能で ブ ロ ッ ク さ れた フ ァ イルのウ イルス スキ ャ ンは実行 さ れま せん。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 289 プロテクション プロファイルの設定 ファイアウォール - プロテクション プロファイル アンチウイルス オプション 図 166: プロテクション プロファイルのアンチウイルス オプション 注記 : NNTP オプ シ ョ ンは選択で き ません。 将来サポー ト さ れる予定です。 ア ン チウ イルスについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオ プ シ ョ ン を使用で き ます。 [Virus Scan] 各プ ロ ト コ ル (HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM) に対 し て、 ウ イルス スキ ャ ン を有効または無効に し ます。 [AntiVirus]、[Config]、 [Grayware] の順に選択 し て有効に設定 さ れている場合、 ウ イルス ス キ ャ ンにグレーウ ェ アが含まれます。 CLI で有効に設定 さ れている場 合、 ウ イルス スキ ャ ンに ヒ ュ ー リ ス テ ィ ッ ク も 含まれます。 ウ イル ス スキ ャ ン を有効にする と 、 ス ト リ ー ミ ング モー ド も自動的に有効 にな る こ と に注意 し て く だ さ い。 [File Pattern] 各プ ロ ト コ ルに対 し て、 フ ァ イル パ タ ーンの処理を有効または無効 に し ます。 フ ァ イルは、 名前、 拡張子、 その他のパ タ ーンに応 じ て、 ブ ロ ッ ク し た り 許可 し た り する こ と がで き ます。 フ ァ イル パ タ ーン の処理によ っ て、 有害な コ ン テ ン ツが含まれる可能性のある フ ァ イル が柔軟にブ ロ ッ ク さ れます。 [File Pattern] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イル で使用する フ ァ イル パ タ ーン リ ス ト を選択 し ます。 デ フ ォル ト の フ ァ イル パ タ ーン リ ス ト はビル ト イ ン パ タ ーン と 呼ばれます。 [Quarantine] (ログ 各プ ロ ト コ ルに対 し て、 隔離を有効または無効に し ます。 疑わ し い ディスクが必要 ) フ ァ イルを隔離 し て表示するか、 または分析のために フ ォ ーテ ィ ネ ッ ト に フ ァ イルを提出 し ます。 FortiGate にハー ド ド ラ イ ブ または設定済 みの FortiAnalyzer ユニ ッ ト がない場合、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルに隔離のオプ シ ョ ンは表示 さ れません。 [Pass fragmented メ ール プ ロ ト コル (IMAP、 POP3、 SMTP) に対 し て、 断片化 さ れた電 子 メ ールの通過を有効または無効に し ます。 断片化 さ れた電子 メ ール emails] にウ イルスのスキ ャ ンは行え ません。 [Comfort Clients] 290 HTTP ト ラ フ ィ ッ ク および FTP ト ラ フ ィ ッ クの ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングを有効または無効に し ます。 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ングを有効にする と 、 HTTP および FTP によ る ダウン ロー ド でバ ッ フ ァ リ ング さ れている フ ァ イルの状態が視覚的に表示 さ れま す。 ユーザは、 Web ページの表示やフ ァ イルのダウン ロー ド が処理 さ れている と こ ろ を確認する こ と がで き ます。 こ れが無効にな っ ている 場合、 ユーザは FortiGate ユニ ッ ト がダウン ロー ド をバ ッ フ ァ リ ング し ている最中である こ と がわから ないため、 ダウン ロー ド が失敗 し た も の と 見な し て転送をキ ャ ン セル し て し ま う 可能性があ り ます。 [Interval] ダウン ロー ド の開始後、 ク ラ イ ア ン ト コ ン フ ォ ー テ ィ ングが始ま る までの秒数。 こ れは、 それ以降の イ ン タ ーバル間の時間の長 さ で も あ り ます。 [Amount] 各イ ン タ ーバルで送信 さ れるバイ ト 数。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル [Oversized File/Email] プロテクション プロファイルの設定 設定 さ れた各プ ロ ト コ ルの し き い値を超え る フ ァ イルおよび電子 メ ー ル メ ッ セージのブ ロ ッ ク またはパス を選択 し ます。 [Threshold] フ ァ イルが メ ガバイ ト 単位の し き い値を超えた場合、 フ ァ イルは、 [Oversized File/Email] ド ロ ッ プ ダウン リ ス ト で設定 さ れた と お り 、 パス またはブ ロ ッ ク さ れ ます。 メ モ リ 内のスキ ャ ンの最大 し き い値は、 FortiGate ユニ ッ ト の RAM の 10% です。 注記 : 電子 メ ール スキ ャ ン では、 サイ ズ超過の し き い値は、 電子 メ ール ク ラ イ ア ン ト で エ ン コ ー ド さ れ た後の、 添付フ ァ イルを含む最終的なサイ ズです。 電子 メ ール ク ラ イ ア ン ト では、 さ ま ざ まな タ イ プの エ ン コ ー ド が使用 さ れる こ と があ り 、 エ ン コ ー ド の タ イ プによ っ ては元の添付フ ァ イルよ り も 大き い フ ァ イル サイ ズにな り ます。 最も 一般的な エ ン コ ー ド である base64 では、 3 バイ ト のバイ ナ リ デー タ が 4 バイ ト の base64 デー タ に変換 さ れます。 そのため、 添付デー タ が設定 さ れたサイ ズ超過の し き い値を数 メ ガバイ ト 下回っ ていた と し て も 、 フ ァ イルはサイ ズ超過 と し て ブ ロ ッ ク さ れた り 、 ロギング さ れた り する場合があ り ます。 [Add signature to 送信する電子 メ ールに付加する シグネチ ャ を作成 し 、 有効に し ます (SMTP のみ )。 outgoing emails] ア ン チウ イルス設定オプ シ ョ ンの詳細については、 355 ページの 「ア ン チウ イル ス」 を参照 し て く だ さ い。 Web フィルタリング オプション 図 167: プロテクション プロファイル Web フィルタリング オプション Web フ ィ ル タ リ ン グについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオプ シ ョ ン を使用で き ます。 [Web Content Block] コ ン テ ン ツ ブ ロ ッ ク リ ス ト の コ ン テ ン ツ ブ ロ ッ ク パ タ ーン に基づいて、 HTTP ト ラ フ ィ ッ ク の Web ページ ブ ロ ッ ク を有 効または無効に し ます。 [Web content block] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用する コ ン テ ン ツ ブ ロ ッ ク リ ス ト を選択 し ます。 [Threshold] : Web ページに現れる コ ン テ ン ツ ブ ロ ッ ク パ タ ー ンの総合ス コ アが し き い値を超え る と 、 そのページはブ ロ ッ ク さ れます。 詳細については、 388 ページの 「Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の表示」 を参照 し て く だ さ い。 [Web Content Exempt] コ ン テ ン ツ除外 リ ス ト のコ ン テ ン ツ除外パ タ ーンに基づいて、 Web コ ン テ ン ツ ブ ロ ッ クの解除を有効または無効に し ます。 [Web content exempt] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用する コ ン テ ン ツ除外 リ ス ト を選択 し ま す。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 291 プロテクション プロファイルの設定 ファイアウォール - プロテクション プロファイル [Web URL Filter] URL リ ス ト に基づいて、 HTTP および HTTPS ト ラ フ ィ ッ ク の Web ページ フ ィ ル タ リ ングを有効または無効に し ます。 [Web URL filter] ドロップダウン リスト : プロ テ ク シ ョ ン プ ロ フ ァ イルで使用する Web URL フ ィ ルタ リ ス ト を選択し ます。 [ActiveX Filter] ActiveX コ ン ト ロールのブ ロ ッ ク を有効に し ます。 [Cookie Filter] ク ッ キーのブ ロ ッ ク を有効に し ます。 [Java Applet Filter] Java ア プ レ ッ ト のブ ロ ッ ク を有効に し ます。 [Web resume download block] すでに一部がダウン ロー ド さ れている フ ァ イルの、 ダウン ロー ド 部分のブ ロ ッ ク を有効に し ます。 こ のオプ シ ョ ン を有 効にする と 、 断片化 し た フ ァ イルに潜むウ イルス フ ァ イルの 意図せぬダウン ロー ド を防止する こ と がで き ます。 ただ し 、 PDF な どの一部の種類の フ ァ イルでは、 ダウン ロー ド を高速 化する ために断片化 さ れる こ と に注意 し て く だ さ い。 それら の種類のフ ァ イルでは、 こ のオプ シ ョ ン を有効にする と 、 ダ ウン ロー ド が中断 さ れる場合があ り ます。 [Block Invalid URLs] FortiGate ユニ ッ ト は、 CN の検証を行っ て有効なホス ト 名で ある こ と を確認 し てから 、 Web フ ィ ル タ リ ングを適用する こ と がで き ます。 こ のオプ シ ョ ン を有効にする と 、 CN が有効な ホス ト 名でない場合、 ト ラ フ ィ ッ ク はブ ロ ッ ク さ れます。 Web フ ィ ル タ 設定オプ シ ョ ンの詳細については、 383 ページの 「Web フ ィ ル タ 」 を参照 し て く だ さ い。 FortiGuard-Web フィルタリング オプション 図 168: プロテクション プロファイル FortiGuard-Web フィルタリング オプション Web カ テ ゴ リ フ ィ ル タ リ ン グについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て 次のオプ シ ョ ン を使用で き ます。 [Enable FortiGuard-Web Filtering] 292 FortiGuard-Web カ テ ゴ リ ブ ロ ッ ク を有効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルの設定 [Enable FortiGuard-Web Filtering Overrides] カ テ ゴ リ の解除 を有効に し ま す。 こ れ を選択す る と 、 グ ループの リ ス ト が表示 さ れます。利用で き るグループがな い場合、このオプ シ ョ ンはグ レーにな っ て選択不可能 と な り ます。 解除の詳細については、 397 ページの 「上書き リ ス ト の表示」 および 398 ページの 「上書きルールの設定」 を 参照 し て く だ さ い。 グルー プ の詳細につ い ては、 346 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 [Provide details for blocked HTTP 4xx and 5xx errors] (HTTP のみ ) 400 および 500 シ リ ーズの HTTP エ ラ ーの差 し 替え メ ッ セージ を表示 し ます。 エ ラ ーの通過が許可 さ れている場 合、 悪意のあるサイ ト または好ま し く ないサイ ト は、 こ れら の一般的な エ ラ ー ページ を使用 し て、 Web カ テ ゴ リ のブ ロ ッ ク を逃れる こ と がで き ます。 [Rate images by URL (blocked images will be replaced with blanks)] (HTTP のみ ) FortiGuard によ っ て評価 さ れた画像を ブ ロ ッ ク し ます。 ブ ロ ッ ク さ れた画像は、 送信元の Web ページ では空白に 置き換え ら れます。 評価対象の画像の種類は、 GIF、 JPEG、 PNG、 BMP、 お よび TIFF です。 [Allow websites when a rating Web フ ィ ル タ リ ング サービ スか ら評価エ ラ ーが返 さ れた Web ページ を使用で き る よ う に し ます。 error occurs] [Strict Blocking] FortiGate ユニ ッ ト によ る Strict Blocking の使用方法に関 する情報。 [Rate URLs by domain and IP address] こ のオプ シ ョ ン を有効にする と 、 要求 さ れたサイ ト の URL と IP ア ド レ スの両方が送信 さ れて確認 さ れる ため、 FortiGuard シ ステムを迂回 し よ う と する試みに対する セ キ ュ リ テ ィ が向上 し ます。 ただ し 、 IP の評価は URL の評価ほど迅速には行われない ため、 何ら かの誤っ た評価が生 じ る場合があ り ます。 こ のオプ シ ョ ンはデ フ ォル ト で無効に設定 さ れています。 [Category] FortiGuard-Web コ ン テ ン ツ フ ィ ル タ リ ング サービ スに は、 Web ト ラ フ ィ ッ ク を フ ィ ル タ リ ングする ためのカ テ ゴ リ が多数用意 さ れています。 各カ テ ゴ リ に対 し て、 実 行する ア ク シ ョ ン を Web ページ で設定 し ます。 [Allow]、 [Block]、 [Monitor]、 [Allow Override] か ら選択 し ます。 [Classification] 分類では、 Web サイ ト のク ラ ス全体がブ ロ ッ ク さ れます。 た と えば Google な ど、 コ ン テ ン ツ をキ ャ ッ シ ュ し て提供 する Web サイ ト を ブ ロ ッ ク で き ます。 画像、 オーデ ィ オ、 またはビデオの検索が行え る Web サイ ト も ブ ロ ッ ク で き ます。 また、 分類 さ れた Web サイ ト は、 いずれかのカ テ ゴ リ で評価 さ れるか、または一切評価 さ れません。[Allow]、 [Block]、 [Monitor]、 [Allow Override] か ら選択 し ます。 カ テ ゴ リ ブ ロ ッ ク設定オ プ シ ョ ンの詳細については、 396 ページの 「FortiGuardWeb フ ィ ル タ 」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 293 プロテクション プロファイルの設定 ファイアウォール - プロテクション プロファイル スパム フィルタリング オプション 図 169: プロテクション プロファイルのスパム フィルタリング オプション 注記 : NNTP オプ シ ョ ンは選択で き ません。 将来サポー ト さ れる予定です。 294 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルの設定 スパム フ ィ ル タ リ ン グについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオ プ シ ョ ン を使用で き ます。 [FortiGuard-Antispam] [IP address check] FortiGuard-Antispam フ ィ ル タ リ ングの IP ア ド レ ス ブ ラ ッ ク リ ス ト を有効または無効に し ます。 FortiGuard-Antispam は、 SMTP メ ール サーバの送 信元ア ド レ ス を抽出 し 、 FortiGuard-Antispam サー バにその IP ア ド レ ス を送信 し て、 既知のスパム発 信者 と 一致するかど う かを調べます。 該当する IP ア ド レ スが発見 さ れた場合、 FortiGuard-Antispam はセ ッ シ ョ ン を終了 し ます。 FortiGuard-Antispam で一致する ものが見つか ら なか っ た場合、 メ ール サーバは電子 メ ールを受信者に送信 し ます。 こ のサー ビ ス の詳細に つ い て は、 170 ペ ー ジ の 「FortiGuard-Antispam サービ ス」 を参照し て く だ さ い。 [URL check] FortiGuard-Antispam スパム フ ィ ル タ リ ングの URL ブ ラ ッ ク リ ス ト を 有 効 ま た は 無 効 に し ま す。 FortiGuard-Antispam は、 電子 メ ール メ ッ セージの 本文 を チ ェ ッ ク し て、 URL リ ン ク を すべて抽出ま す。 これら の URL の リ ン ク は、 FortiGuard-Antispam サーバに送信 さ れて、 リ ス ト に該当する ものがある か ど う かチ ェ ッ ク さ れま す。 多 く の場合、 スパム メ ッ セージには広告への URL リ ン クが含まれてい ます ( スパム広告 と も呼ばれます )。 URL の一致が 発見 さ れた場合、FortiGuard-Antispam はセ ッ シ ョ ン を終了 し ます。FortiGuard-Antispam で一致する もの が見 つ か ら な か っ た 場合、 メ ー ル サー バは電子 メ ールを受信者に送信 し ます。 このサービ スの詳細については、 170 ページの 「FortiGuard-Antispam サービ ス」 を参照 し て く だ さ い。 [E-mail checksum check] FortiGuard-Antispam 電子 メ ール メ ッ セージ チ ェ ッ クサム ブ ラ ッ ク リ ス ト を有効または無効に し ま す。 有効に し た場合、 この フ ィ ル タ は電子 メ ール メ ッ セージのチ ェ ッ クサムを計算 し て FortiGuard サーバに送信 し 、 ブ ラ ッ ク リ ス ト に含まれるかど う か判定 し ます。 FortiGate ユニ ッ ト は、 サーバの 応答に従 っ て電子 メ ール メ ッ セージ をパスまたは マー ク / ブ ロ ッ ク し ます。 [Spam submission] 有効に し た場合、 スパム と し てマー ク さ れたすべ ての電子 メ ール メ ッ セージの本文に リ ン クが加え られます。 電子 メ ール メ ッ セージがスパムでない 場合、 メ ッ セージ内の リ ン ク を ク リ ッ ク し て、 誤 検知である こ と を FortiGuard に通知 し ます。 [IP address BWL check] ブ ラ ッ ク / ホワ イ ト リ ス ト のチ ェ ッ ク 。 受信 IP ア ド レ ス と 設定 済みのスパム フ ィ ル タ の IP ア ド レ ス リ ス ト と の照合を有効ま たは無効に し ます。 (SMTP のみ ) [IP address BWL check] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用する IP ア ド レ ス ブ ラ ッ ク リ ス ト / ホワ イ ト リ ス ト を選択 し ます。 [HELO DNS lookup] ド メ イ ン ネーム サーバの送信元 ド メ イ ン名の (SMTP HELO コ マ ン ド か らの ) 検索を有効または無効に し ます。 [E-mail address BWL check] 設定 さ れている スパム フ ィ ル タ 電子 メ ール ア ド レ ス リ ス ト に 対する受信電子 メ ール ア ド レ スのチ ェ ッ ク を有効または無効に し ます。 [E-mail address BWL check] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用する電子 メ ール ア ド レ ス ブ ラ ッ ク リ ス ト / ホワ イ ト リ ス ト を選択 し ます。 [Return e-mail DNS check] 返信先または送信元のア ド レ スで指定 さ れた ド メ イ ン に A また は MX レ コ ー ド が含まれているかど う かのチ ェ ッ ク を有効また は無効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 295 プロテクション プロファイルの設定 ファイアウォール - プロテクション プロファイル [Banned word check] 設定 さ れている スパム フ ィ ル タ 禁止単語 リ ス ト に対する発信元 電子 メ ールのチ ェ ッ ク を有効または無効に し ます。 [Banned word check] ドロップダウン リスト : プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用する禁句 リ ス ト を選択 し ます。 [Threshold] : 電子 メ ール メ ッ セージ に現れる禁句パ タ ー ンの総 合ス コ アが し き い値を超え る と 、その メ ッ セージは [Spam Action] の設定に従 っ て処理 さ れま す。 詳細につい ては、 410 ペー ジの 「ア ン チスパム禁止単語 リ ス ト の表示」 を参照 し て く だ さ い。 [Spam Action] スパム フ ィ ル タ が行 う 処置。 [tagged] を設定する と 、 スパム と し て識別 さ れた電子 メ ールの件名またはヘ ッ ダに カ ス タ ム タ グ を付ける こ と がで き ます。 SMTP では、 ウ イルス スキ ャ ン また はス ト リ ー ミ ング モー ド ( 別称ス プ ラ イ ス ) を有効に し た場合、 スパム電子 メ ールは破棄のみ可能 と な り ます。 ( ウ イルス ス キ ャ ン を有効にする と 、 ス ト リ ー ミ ン グ モー ド も 自動的に有効 にな る こ と に注意 し て く だ さ い。 )[Discard] は、 ただ ちに接続を 中断 し ます。 ス ト リ ー ミ ング モー ド またはスキ ャ ンが有効に設 定 さ れていない場合、 SMTP スパムに タ グ を付けるか、 または SMTP スパムを破棄するかを選択で き ます。 電子 メ ールには、 特別な語句を件名に追加するか、 または電子 メ ールのヘ ッ ダに MIME のヘ ッ ダ と 値を挿入する こ と で、 タ グ を付ける こ と がで き ます。 任意のスパム ア ク シ ョ ン を イ ベン ト ログに記録する こ と を選択で き ます。 [Append to] スパム と し て識別 さ れた電子 メ ールの件名または MIME ヘ ッ ダ に タ グ を追加 し ます。 [Append with] スパム と し て識別 さ れた電子 メ ールに付加する語句 ( タ グ ) を入 力 し ます。 最大の長 さ は 63 文字です。 注記 : 一般的な電子 メ ール ク ラ イ ア ン ト には、 MIME ヘ ッ ダに基づ く メ ッ セージの フ ィ ル タ リ ングが行えない も のがあ り ます。 スパムに タ グ付けする方法を決める前に、 電子 メ ー ル ク ラ イ ア ン ト の機能を確認 し て く だ さ い。 スパム フ ィ ル タ 設定オプ シ ョ ンの詳細については、 405 ページの 「ア ン チスパ ム」 を参照 し て く だ さ い。 FortiGuard Anti-spam サービ ス を設定する には、 170 ページの 「FortiGate ユニ ッ ト の FDN お よび FortiGuard サービ スの設定」 を参照 し て く だ さ い。 IPS オプション 図 170: プロテクション プロファイル IPS オプション IPS について、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオプ シ ョ ン を使用で き ます。 [IPS Signature] プ ロ フ ァ イルの IPS シグネチ ャ 重大度を 1 つまたは複数選択 し ます。 選択肢は、 [Critical] ( 重大 )、 [High] ( 高 )、 [Medium] ( 中 )、 [Low] ( 低 )、 [Information] ( 情報 ) です。 重大度が選択 さ れていないシグネチ ャ は ト リ ガ さ れません。 [IPS Anomaly] プ ロ フ ァ イルの IPS ア ノ マ リ 重大度を 1 つまたは複数選択 し ます。 選 択肢は、 [Critical] ( 重大 )、 [High] ( 高 )、 [Medium] ( 中 )、 [Low] ( 低 )、 [Information] ( 情報 ) です。 重大度が選択 さ れていないア ノ マ リ は ト リ ガ さ れません。 IPS 設定オプ シ ョ ンの詳細については、 371 ページの 「不正侵入防御」 を参照 し て く だ さ い。 296 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルの設定 コンテンツ アーカイブ オプション すべての コ ン テ ン ツ アー カ イ ビ ン グ オプ シ ョ ン にア ク セスで き る よ う にする に は、 FortiAnalyzer ユニ ッ ト を設定する と と も に、 FortiAnalyzer へのロギン グ を有 効にする必要があ り ます。 詳細については、 434 ページの 「FortiAnalyzer ユニ ッ ト へのロギン グ」 を参照 し て く だ さ い。 図 171: プロテクション プロファイル コンテンツ アーカイブ オプション 注記 : NNTP および フ ァ イル アー カ イ ビ ングのオプ シ ョ ンは選択で き ません。 将来サポー ト さ れる予定です。 コ ン テ ン ツ アー カ イ ブについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオ プ シ ョ ン を使用で き ます。 [Display content metainformation on the system dashboard] FortiGate ス テー タ ス ページの [Statistics] セ ク シ ョ ン にお ける各種 ト ラ フ ィ ッ ク の メ タ 情報の表示を有効に し ます。 HTTP ト ラ フ ィ ッ ク 、 HTTPS ト ラ フ ィ ッ ク、 FTP ト ラ フ ィ ッ ク 、 および電子 メ ール メ ッ セージ ト ラ フ ィ ッ ク (IMAP、 POP3、 および SMTP の組み合わせ ) の統計を表示 し ます。 [Archive to FortiAnalyzer] 次の 3 つのオプ シ ョ ンから 1 つ選択 し ます。 [None] : アー カ イ ブ し ません。 [Summary] : プ ロ ト コルご と に コ ン テ ン ツの メ タ 情報を FortiAnalyzer ユニ ッ ト にアー カ イ ブ し ます。 コ ン テ ン ツ メ タ 情報には、 日時、 送信元および宛先の情報、 要求 と 応答 のサイ ズ、 およびスキ ャ ン結果を含める こ と がで き ます。 コ ン テ ン ツ アー カ イ ブは、 [Log&Report]、 [Log Config]、 [LogSetting] の順に選択 し て表示 さ れるページ で、 FortiAnalyzer が有効に設定 さ れている場合にのみ使用で き ます。 [Full] : HTTP および FTP のダウン ロー ド フ ァ イルの コ ピー、 または IMAP、 POP3、 および STMP のすべての電子 メ ール メ ッ セージのコ ピーを アー カ イ ブ し ます。 [Archive SPAMed emails to FortiAnalyzer] 通常の電子 メ ール メ ッ セージ と と も にスパム電子 メ ール メ ッ セージ を保存で き る よ う に し ます。 デ フ ォル ト では、 スパム電子 メ ール メ ッ セージはアー カ イ ブ さ れません。 [Display content metaFortiGate ス テー タ ス ページの [Statistics] セ ク シ ョ ン にお ける各種 ト ラ フ ィ ッ ク の メ タ 情報の表示を有効に し ます。 information on the system dashboard] (AIM、ICQ、MSN、 Yahoo!) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 297 プロテクション プロファイルの設定 ファイアウォール - プロテクション プロファイル [Archive IM to FortiAnalyzer] 次の 3 つのオプ シ ョ ンから 1 つ選択 し ます。 (AIM、ICQ、MSN、Yahoo!) [None] : アー カ イ ブ し ません。 [Summary] : AIM、 ICQ、 MSN、 および Yahoo の IM プ ロ ト コ ルのサマ リ 情報を ロギング し ます。 サマ リ 情報には、 日 時、 送信元および宛先の情報、 要求 と 応答のサイ ズ、 およ びスキ ャ ン結果を含める こ と がで き ます。 [Full] : プ ロ ト コ ルご と に IM プ ロ ト コルの完全なチ ャ ッ ト 情報を FortiAnalyzer ユニ ッ ト にアー カ イ ブ し ます。 コ ン テ ン ツ アー カ イ ブは、 [Log&Report]、 [Log Config]、 [LogSetting] の順に選択 し て表示 さ れるページ で、 FortiAnalyzer が有効に設定 さ れている場合にのみ使用で き ます。 注記 : コ ン テ ン ツ アー カ イ ビ ングを機能 さ せるには、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの [IM & P2P] セ ク シ ョ ン で IM オ プ シ ョ ン を有効にする必要があ り ます。 IM および P2P オプション 図 172: プロテクション プロファイル IM および P2P オプション IM および P2P について、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオプ シ ョ ン を使用で き ます。 [Block Login] イ ン ス タ ン ト メ ッ セージのユーザが AIM、 ICQ、 MSM、 Yahoo、 および SIMPLE のサービ スにログ イ ン で き ないよ う に し ます。 [Block File Transfers] AIM、 ICQ、 MSN、 および Yahoo のプ ロ ト コルのフ ァ イル 転送のブ ロ ッ ク を有効に し ます。 [Block Audio] AIM、 ICQ、 MSN、 および Yahoo のプ ロ ト コルのオーデ ィ オのブ ロ ッ ク を有効に し ます。 [Inspect Non-standard Port] IM ト ラ フ ィ ッ ク の非標準ポー ト の検査を有効に し ます。 [Action] BitTorrent、 eDonkey、 Gnutella、 Kazaa、 および WinNY プ ロ ト コ ルの P2P 転送のパス、 ブ ロ ッ ク、 または帯域制限を 行います。 Skype 転送は、 パス と ブ ロ ッ ク はで き ますが、 帯域制限は行えません。 [Limit (KBytes/s)] 帯域制限が設定 さ れている場合、 BitTorrent、 eDonkey、 Gnutella、 Kazaa、 および WinNY プ ロ ト コ ルの帯域幅の制限 を指定 し ます。 IM ユーザのロ グ イ ン中に IM プ ロ テ ク シ ョ ン プ ロ フ ァ イルを変更 し た場合、 次回 のロ グ イ ン時ま で有効にな り ません。 た と えば、 現在ロ グ イ ン し てい るユーザの 接続を切断する場合に、 [Enabling Block Login] は使用で き ません。 IM 設定オ プ シ ョ ンの詳細については、 421 ページの 「IM、 P2P、 お よび VoIP」 を 参照 し て く だ さ い。 298 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイルの設定 ロギング オプション 図 173: プロテクション プロファイル ロギング オプション ロギン グについて、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオ プ シ ョ ン を使 用で き ます。 [Antivirus] [Viruses] スキャ ン されたウイルスのロギングを有効にし ます。 [Blocked Files] ブロ ッ ク されたフ ァ イルのロギングを有効にし ます。 [Oversized Files/Emails] サイ ズ超過の フ ァ イルおよび電子 メ ール メ ッ セージのロギング を有効に し ます。 [Web Filtering] [Content Block] コ ン テ ン ツ ブ ロ ッ クのロギングを有効に し ます。 [URL Block] ブ ロ ッ ク および除外 さ れた URL のロギングを有 効に し ます。 [ActiveX Filter] ブロ ッ ク された ActiveXのロギングを有効にし ます。 [Cookie Filter] ブロ ッ ク されたク ッキーのロギングを有効にし ます。 [Java Applet Filter] ブ ロ ッ ク さ れた Java ア プ レ ッ ト のロギングを有 効に し ます。 [FortiGuard Web [Log rating errors] (HTTP のみ ) Filtering] 評価エ ラ ーのロギング を有効に し ます。 [Spam Filtering] [Log Spam] 検知 さ れたスパムのロギング を有効に し ます。 [IPS] [Log Intrusions] シグネチ ャ およびア ノ マ リ の侵入のロギング を 有効に し ます。 [IM and P2P] [Log IM Activity] IM ア ク テ ィ ビ テ ィ のロギングを有効に し ます。 [Log P2P Activity] P2P ア ク テ ィ ビ テ ィ のロギングを有効に し ます。 [Log VoIP Activity] VoIP ア ク テ ィ ビ テ ィ のロギングを有効に し ます。 [VoIP] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 299 ポリシーへのプロテクション プロファイルの追加 ファイアウォール - プロテクション プロファイル ロギン グの詳細については、 431 ページの 「ロ グお よびレ ポー ト 」 を参照 し て く だ さ い。 VoIP オプション FortiGate ユニ ッ ト は、 SIP プ ロ ト コ ル (SIMPLE を含む ) お よび SCCP プ ロ ト コ ル の帯域制限をサポー ト し ます。 図 174: プロテクション プロファイル VoIP オプション VoIP について、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを介 し て次のオプ シ ョ ン を使用で き ます。 [Limit RIGISTER Request] SIP REGISTER 要求の帯域制限を設定 し ます ( 毎秒 )。 [Limit INVITE Request] SIP INVITE 要求の帯域制限を設定 し ます ( 毎秒 )。 [Limit Call Setup] コ ール ク ラ イ ア ン ト と コ ール マネージ ャ 間の SCCP コ ー ルのセ ッ ト ア ッ プに帯域制限を設定 し ます (1 分あた り の コ ール数 )。 ポリシーへのプロテクション プロファイルの追加 ア ク シ ョ ン を allow または IPSec に設定 し 、 またサービ ス を ANY、 HTTP、 FTP、 IMAP、 POP3、 SMTP、 または こ れ らのサービ ス を含むサービ ス グループに設定 し て、 フ ァ イ アウ ォ ール ポ リ シーのプ ロ テ ク シ ョ ン プ ロ フ ァ イルを有効に し ます。 FortiGate ユニ ッ ト 上でバーチ ャル ド メ イ ンが有効にな っ てい る場合、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを各バーチ ャル ド メ イ ンのポ リ シーに追加する必要があ り ます。 ポ リ シーにア ク セスするには、 メ イ ン メ ニ ュ ーか らバーチ ャル ド メ イ ン を選択 し ます。 1 [Firewall]、[Policy] の順に選択 し ます。 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加する ポ リ シー リ ス ト を選択 し ます。 た と えば、 内部ネ ッ ト ワー クのユーザが Web か ら ダウン ロ ー ド し た フ ァ イルの ネ ッ ト ワー ク 保護を有効にする には、 内部から 外部へのポ リ シー リ ス ト を選択 し ます。 300 3 [Create New] を選択 し てポ リ シーを追加するか、 または変更する ポ リ シーの編集 を選択 し ます。 4 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 5 リ ス ト から プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 6 必要に応 じ て、 残 り のポ リ シー設定を行います。 7 [OK] を選択 し ます。 8 ネ ッ ト ワー ク 保護を有効にするすべてのポ リ シーに対 し て、 こ の手順を繰 り 返 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ファイアウォール - プロテクション プロファイル プロテクション プロファイル CLI 設定 プロテクション プロファイル CLI 設定 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを追加、 編集、 または削除する には、 CLI コ マ ン ド config firewall profile を使用 し ます。フ ァ イ アウ ォ ール ポ リ シーで制御 さ れる ト ラ フ ィ ッ ク に対 し て異な る保護設定を適用する には、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルを使用 し ます。 注記 : CLI コ マ ン ド を使用する方法の完全な説明や例については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 301 プロテクション プロファイル CLI 設定 302 ファイアウォール - プロテクション プロファイル FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC IPSec インタフェース モードの概要 VPN - IPSEC こ の項では、 Web ベース マネージ ャ から使用可能な、 ポ リ シー ベース ( ト ン ネ ルモー ド ) お よびルー ト ベース ( イ ン タ フ ェ ース モー ド ) の IPSec (Internet Protocol Security) VPN オプ シ ョ ン について説明 し ます。 FortiGate ユニ ッ ト は、 ESP (Encapsulated Security Payload) プ ロ ト コ ルを実装 し ています。 暗号化 さ れた パケ ッ ト は、 あ ら ゆる IP ネ ッ ト ワー ク で転送可能な通常のパケ ッ ト のよ う に見 え ます。 IKE ( イ ン タ ーネ ッ ト 鍵交換 ) は、 事前共有キーまたは X.509 デジ タ ル証 明書に基づいて自動的に実行 さ れます。 オプ シ ョ ン で手動キーを指定で き ます。 イ ン タ フ ェ ース モー ド は、 NAT/ ルー ト モー ド でのみサポー ト さ れます。 こ れ は、 VPN ト ン ネルのロー カル エ ン ド に仮想イ ン タ フ ェ ース を作成 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • IPSec イ ン タ フ ェ ース モー ド の概要 自動キー 手動キー コ ン セ ン ト レー タ モニ タ IPSec インタフェース モードの概要 ルー ト ベース ( イ ン タ フ ェ ース モー ド ) IPSec ト ン ネルを定義する と 、 仮想 IPSec イ ン タ フ ェ ースが自動的に作成 さ れます。 IKE キーの自動作成を選択する か、 または手動でキーを指定するかに関係な く 、 仮想 IPSec イ ン タ フ ェ ースは、 IPSec フ ェ ーズ 1 パラ メ ー タ を定義する際に選択 し た ロー カル FortiGate の物理 イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 または VLAN イ ン タ フ ェ ース のサブ イ ン タ フ ェ ース と し て作成 さ れます。 IPSec 仮想イ ン タ フ ェ ースは、 VPN ピ ア または ク ラ イ ア ン ト と フ ェ ーズ 1 接続を 確立で き る場合に起動 し ます。 し か し 、 フ ェ ーズ 2 定義に結合 さ れる ま では、 ト ン ネルを介 し て ト ラ フ ィ ッ ク を送信するのに仮想 IPSec イ ン タ フ ェ ース を使用す る こ と はで き ません。 仮想 IPSec イ ン タ フ ェ ースの結合は、 [System]、[Network]、[Interface] の順に 選択 し て表示 さ れる ページに示 さ れます。 物理イ ン タ フ ェ ースに結合 さ れた ト ン ネルの名前はすべて、 [Name] 列の関連する物理イ ン タ フ ェ ース名の下に表示 さ れます。 [Interface] ページの詳細については、 69 ページの 「イ ン タ フ ェ ース」 を 参照 し て く だ さ い。 注記 : 仮想 IPSec イ ン タ フ ェ ースはゾーンに結合で き ます。 IPSec 仮想イ ン タ フ ェ ース を ト ン ネルに結合 し た後、 ス タ テ ィ ッ ク ルー ト と ポ リ シー ルー ト 双方の特定の メ ト リ ッ ク を用いて、 ト ラ フ ィ ッ ク を そのイ ン タ フ ェ ースにルーテ ィ ン グする こ と がで き ます。 また、 送信元ま たは宛先イ ン タ フ ェ ース と し て仮想 IPSec イ ン タ フ ェ ース を備えた フ ァ イ アウ ォ ール ポ リ シー を作成で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 303 IPSec インタフェース モードの概要 VPN - IPSEC 以下のいずれかの方法で、 ト ン ネル モー ド コ ン セ ン ト レー タ に相当する ものを 作成で き ます。 • 集結 さ せる IPSec イ ン タ フ ェ ースの各ペア間の フ ァ イ アウ ォ ール ポ リ シーを 定義する。 ダ イ ヤルア ッ プ では、 同一のイ ン タ フ ェ ース を送信元 と 宛先の両方 に兼用で き ます。 こ れは、 サイ ト 間接続の数が多い と 面倒な場合があ り ます。 • すべての IPSec イ ン タ フ ェ ース を 1 つのゾーン にま と めた後、単一のゾーン間 ポ リ シーを定義する。 • すべての IPSec イ ン タ フ ェ ース を 1 つのゾーン にま と め、 ゾーン内の ト ラ フ ィ ッ ク を有効にする。 こ の場合、 複数の IPSec イ ン タ フ ェ ースがなければ な り ません。 詳細 と 例については、『FortiGate IPSec VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 ロ ー カル FortiGate ユニ ッ ト の背後か ら発信 さ れた IP ト ラ フ ィ ッ クが、 IPSec ト ン ネルのロー カル エ ン ド と し て機能する ( つま り IPSec イ ン タ フ ェ ース モー ド がイ ン タ フ ェ ースで有効 ) FortiGate の送信イ ン タ フ ェ ースに到達する と 、 その ト ラ フ ィ ッ クは ト ン ネルで カ プ セル化 さ れ、 IPSec 仮想イ ン タ フ ェ ースの結合先の 物理イ ン タ フ ェ ース を介 し て転送 さ れます。 カ プ セル化 さ れた リ モー ト VPN ピ ア ま たはク ラ イ ア ン ト から ト ラ フ ィ ッ ク がロー カル FortiGate の物理イ ン タ フ ェ ースに到達する と 、 FortiGate ユニ ッ ト は、 ト ラ フ ィ ッ ク のセ レ ク タ を通 じ て、 IPSec 仮想イ ン タ フ ェ ースが物理イ ン タ フ ェ ースに関連するかど う かを判断 し ます。 ト ラ フ ィ ッ クは、 定義済みのセ レ ク タ に合致 し た場合、 カ プ セルが解除 さ れ、 IPSec 仮想イ ン タ フ ェ ースに転送 さ れます。 送信方向では、 FortiGate ユニ ッ ト はルー ト 検索を行っ て、 ネ ク ス ト ホ ッ プ ルー タ に到達する よ う ト ラ フ ィ ッ ク を転送する イ ン タ フ ェ ース を見つけ出 し ます。 FortiGate ユニ ッ ト が特定の VPN ト ン ネルに結合 さ れてい る仮想イ ン タ フ ェ ース を介 し たルー ト を発見 し た場合、 ト ラ フ ィ ッ ク は暗号化 さ れて VPN ト ン ネルを 通 じ て送信 さ れます。 受信方向では、 FortiGate ユニ ッ ト は、 ESP デー タ グ ラ ム の宛先 IP ア ド レ ス と SPI ( セキ ュ リ テ ィ パラ メ ー タ イ ンデ ッ ク ス ) を用いて フ ェ ーズ 2 SA ( セキ ュ リ テ ィ ア ソ シ エーシ ョ ン ) と 合致する VPN ト ン ネルを特 定 し ます。 合致する SA が見つかる と 、 デー タ グ ラ ムは復号化 さ れ、 関連する IP ト ラ フ ィ ッ ク は IPSec 仮想イ ン タ フ ェ ース を介 し て リ ダ イ レ ク ト さ れます。 特定のパスに関連 し た フ ァ イ アウ ォ ール ポ リ シーは、 送信元ア ド レ ス と 宛先ア ド レ スの間を通過する すべての IP ト ラ フ ィ ッ クの制御に関与 し ます。 必要に応 じ て、 ルー ト ベース VPN ト ン ネル と の ト ラ フ ィ ッ クの フ ローを制御する複数の フ ァ イ アウ ォ ール ポ リ シーを設定で き ます。 ルー ト ベースの IPSec ト ン ネルを 通 じ た双方向の ト ラ フ ィ ッ ク をサポー ト する には、 送信方向の ト ラ フ ィ ッ ク と 受 信方向の ト ラ フ ィ ッ ク を制御する 2 つの フ ァ イ アウ ォ ール ポ リ シーが必要です。 ルー ト ベース VPN によ っ て、 VPN ト ン ネルの冗長化が容易にな り ます。 同一の IP ト ラ フ ィ ッ ク に異な るルー ト メ ト リ ッ ク を使用 し て、 ルー ト を設定で き ます。 また、 VPN ト ン ネルを介 し たルーテ ィ ン グ情報の動的な交換 (RIP、 OSPF、 また は BGP) も設定で き ます。 メ イ ンの VPN 接続に不具合が生 じ た り 、 ダ イ ナ ミ ッ ク ルーテ ィ ン グでルー ト のプ ラ イ オ リ テ ィ が変更 さ れた り し た場合は、 代替 ルー ト が選択 さ れて、 冗長接続経由で ト ラ フ ィ ッ クが転送 さ れます。 304 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 自動キー 自動キー IPSec フ ェ ーズ 1 お よび フ ェ ーズ 2 交換の際に固有の IKE ( イ ン タ ーネ ッ ト 鍵交 換 ) キーを自動的に生成する よ う に、 2 つの VPN ピ ア ( または FortiGate ダ イ ヤ ルア ッ プ サーバ と VPN ク ラ イ ア ン ト ) を設定する こ と がで き ます。 フ ェ ーズ 1 お よび フ ェ ーズ 2 で自動的に固有のキーが生成 さ れる よ う に FortiGate ユニ ッ ト を設定する には、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選 択 し ます。 フ ェ ーズ 2 パ ラ メ ー タ を定義する際、 ト ン ネルのセキ ュ ア な接続のセ ッ ト ア ッ プ と リ モー ト ピ アの認証を行 う ために、 任意のフ ェ ーズ 1 パラ メ ー タ セ ッ ト を選 択で き ます。 注記 : それぞれのフ ェ ーズ 1 設定に関連する フ ェ ーズ 2 設定は 1 つに限ら れます。 自動キーの設定は、 ト ン ネル モー ド と イ ン タ フ ェ ース モー ド の両方の VPN に適 用 さ れます。 図 175: 自動キー リスト 編集 削除 [Create Phase 1] 新 し い フ ェ ーズ 1 ト ン ネル設定を作成 し ます。 305 ページの 「新 し い フ ェ ーズ 1 設定の作成」 を参照 し て く だ さ い。 [Create Phase 2] 新 し い フ ェ ーズ 2 ト ン ネル設定を作成 し ます。 311 ページの 「新 し い フ ェ ーズ 2 設定の作成」 を参照 し て く だ さ い。 [Phase 1] 既存のフ ェ ーズ 1 ト ン ネル設定の名前。 [Phase 2] 既存のフ ェ ーズ 2 設定の名前。 [Interface Binding] IPSec ト ンネルが結合 さ れる ロー カルの物理イ ン タ フ ェ ース、 ア グ リ ゲー ト イ ン タ フ ェ ース、 または VLAN イ ン タ フ ェ ースの名 前。 削除アイコンと 編集アイコン フ ェ ーズ 1 設定を削除または編集 し ます。 新しいフェーズ 1 設定の作成 フ ェ ーズ 1 では、 2 つの VPN ピ ア ( または FortiGate ダ イ ヤルア ッ プ サーバ と VPN ク ラ イ ア ン ト ) が相互の認証を行い、 キーを交換 し て、 セキ ュ ア な通信チ ャ ン ネルを確立 し ます。 基本的な フ ェ ーズ 1 設定は、 IPSec フ ェ ーズ 1 パ ラ メ ー タ を リ モー ト ゲー ト ウ ェ イ に対応付けて、 以下について定義 し ます。 • さ ま ざ ま な フ ェ ーズ 1 パラ メ ー タ が、暗号化 さ れた認証情報によ っ て複数の ラ ウ ン ド で交換 さ れるのか ( メ イ ン モー ド ) 、 または暗号化 さ れていない認証 情報に よ っ て単一の メ ッ セージ で交換 さ れるのか ( アグ レ ッ シ ブ モー ド )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 305 自動キー VPN - IPSEC • 2 つの VPN ピ ア ( または VPN サーバ と その ク ラ イ ア ン ト ) の身元を認証するの に、 事前共有キーまたはデジ タ ル証明が使用 さ れるか。 • 接続が試みら れた際、 リ モー ト VPN ピ ア またはク ラ イ ア ン ト を識別するのに、 特別な識別子、 証明書識別名、 またはグループ名が使用 さ れるか。 基本的な IPSec フ ェ ーズ 1 パラ メ ー タ を定義する には、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択 し 、 [Create Phase 1] を選択 し ます。 図 176: 306 [New Phase 1] [Name] フ ェ ーズ 1 の定義を表す名前を入力 し ます。 名前の長 さ は、 イ ン タ フ ェ ース モー ド VPN では最大 15 文字、 ポ リ シー ベース VPN では 最大 35 文字です。 ト ン ネル モー ド VPN では、 名前に リ モー ト 接続の起点を反映 さ せ る必要があ り ます。 ルー ト ベースの ト ンネルでは、 FortiGate ユ ニ ッ ト も 自動的に作成 し た仮想 IPSec イ ン タ フ ェ ースの名前を使用 し ます。 [Remote Gateway] リ モー ト 接続の性質を以下のよ う に選択 し ます。 • リ モー ト ピ アの IP ア ド レ スがス タ テ ィ ッ ク IP ア ド レ スである場 合は、 [Static IP Address] を選択 し ます。 • 1 つ以上の FortiClient またはダ イ ナ ミ ッ ク IP ア ド レ ス を持つ FortiGate ダ イヤルア ッ プ ク ラ イ ア ン ト が FortiGate ユニ ッ ト に 接続する場合は、 [Dialup User] を選択 し ます。 • ド メ イ ン名を持ち、 ダ イ ナ ミ ッ ク DNS サービ スに登録 し ている リ モー ト ピ アが FortiGate ユニ ッ ト に接続する場合は、[Dynamic DNS] を選択 し ます。 [IP Address] [Static IP Address] を選択 し た場合に、 リ モー ト ピ アの IP ア ド レ ス を入力 し ます。 [Dynamic DNS] [Dynamic DNS] を選択 し た場合に、 リ モー ト ピ アの ド メ イ ン名を入 力 し ます。 [Local Interface] こ のオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 リ モー ト ピ ア またはダ イ ヤルア ッ プ ク ラ イ ア ン ト が FortiGate ユニ ッ ト に接続する物理イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 または VLAN イ ン タ フ ェ ースの名前を選択 し ます。 FortiGate ユ ニ ッ ト は、 IPSec イ ン タ フ ェ ースが設定 さ れない限 り 、 [System]、 [Network]、[Interface] の順に選択 し て表示 さ れるページの設定か ら イ ン タ フ ェ ースの IP ア ド レ ス を取得 し ます (69 ページの 「イ ン タ フ ェ ース」 参照 )。 IPSec イ ン タ フ ェ ースが設定 さ れている場合 は、 [Advanced] 設定の [Local Gateway IP] フ ィ ール ド に別の IP ア ド レ ス を指定で き ます (309 ページの 「[Local Gateway IP]」 参照 )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 自動キー [Mode] [Main] または [Aggressive] を選択 し ます。 • [Main] モー ド では、 フ ェ ーズ 1 パラ メ ー タ は暗号化 さ れた認証情 報 と と も に複数のラ ウン ド で交換 さ れます。 • [Aggressive] モー ド では、 フ ェ ーズ 1 パラ メ ー タ は暗号化 さ れて いない認証情報 と と も に単一の メ ッ セージ で交換 さ れます。 リ モー ト VPN ピ ア または ク ラ イ ア ン ト の IP ア ド レ スがダ イ ナ ミ ッ ク IP ア ド レ スである と き、 または リ モー ト VPN ピ ア または ク ラ イ ア ン ト が識別子 ( ロー カル ID) を使用 し て認証 さ れる と き に、 イ ン タ フ ェ ース IP ア ド レ スに複数のダ イヤルア ッ プ フ ェ ーズ 1 設定が ある場合は、 [Aggressive] モー ド を選択する必要があ り ます。 [Peer Options] 設定に特定のモー ド が必要にな る場合があ り ます。 下記の [Peer Options] を参照 し て く だ さ い。 [Authentication Method] [Preshared Key] または [SA Signature] を選択 し ます。 [Pre-shared Key] [Authentication Method] で [Preshared Key] を選択 し た場合、 PSK (Pre-Shared Key: 事前共有キー ) を入力 し ます。 FortiGate ユニ ッ ト は、 フ ェ ーズ 1 のネゴ シ エーシ ョ ン中に この PSK を用いて、 リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト に対 し て自分自身 を認証 し ます。 こ こ に設定する値は、 リ モー ト ピ ア またはク ラ イ ア ン ト に設定 さ れている値 と 同一である必要があ り ます。 この鍵は 少な く と も 6 つの印字可能な文字を含んでいる必要があ り 、 ネ ッ ト ワー ク 管理者以外に知ら れてはな り ません。 また、 現在既知の攻撃 から 最大限に保護で き る よ う 、 鍵はラ ン ダムに選択 し た最低 16 字 の英数文字で設定 し て く だ さ い。 [Certificate Name] [Authentication Method] で [RSA Signature] を選択 し た場合、 サーバ 証明書の名前を選択 し ます。 FortiGate ユニ ッ ト は、 フ ェ ーズ 1 の ネゴ シ エーシ ョ ン中にそのサーバ証明書を用いて、 リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト に対 し て自分自身を認証 し ま す。 必要なサーバ証明書の取得 と ロー ド については、 『FortiGate 証 明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 [Peer Options] VPN ピ ア またはク ラ イ ア ン ト の認証において、 [Remote Gateway] および [Authentication Method] の設定に応 じ て以下の 1 つまたは複 数のオプ シ ョ ン を使用で き ます。 [Accept any peer ID] 任意の リ モー ト VPN ピ ア または ク ラ イ ア ン ト のロー カル ID を受け 入れます。 FortiGate ユニ ッ ト では識別子 ( ロー カル ID) の確認は行 われません。 [Mode] は [Aggressive] または [Main] に設定で き ます。 [Accept this peer ID] 特定の識別子に基づいて リ モー ト ピ ア を認証 し ます。 このフ ィ ー ル ド に識別子を入力 し ます。 リ モー ト ピ アに も 同一の識別子を設 定する必要があ り ます。 このオプ シ ョ ンは、 リ モー ト ピ アにダ イ ナ ミ ッ ク IP ア ド レ スが設定 さ れている場合に限 り 使用で き ます。 リ モー ト ピ アが FortiGate ユニ ッ ト である場合、 フ ェ ーズ 1 設定の [Local ID] フ ィ ール ド に識別子を指定する必要があ り ます。 FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト に対 し ては、 その コ ネ ク シ ョ ンの [Advanced Settings] にある [Policy] セ ク シ ョ ン で [Config] を選択 し 、 [Local ID] フ ィ ール ド に識別子を指定 し ます。 [Accept peer ID 同一の VPN ト ン ネルを通 じ てそれぞれ固有の識別子および固有の in dialup group] PSK ( または固有の PSK のみ ) を使用する複数の FortiGate または FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト を認証 し ます。 認証を行 う ためのダ イヤルア ッ プ ユーザ グループ を作成する必要 があ り ます。 346 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 [Accept peer ID in dialup group] オプ シ ョ ンの隣に表示 さ れる リ ス ト から グループ を選択 し ます。 FortiGate ダ イヤルア ッ プ ク ラ イ ア ン ト の設定については、 『FortiGate IPSec VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト の設定については、 『FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト の認証に関する テ ク ニ カ ル ノ ー ト 』 を参照 し て く だ さ い。 ダ イヤルア ッ プ ク ラ イ ア ン ト が固有の識別子および固有の PSK を 使用する場合、 [Mode] を [Aggressive] に設定する必要があ り ます。 ダ イヤルア ッ プ ク ラ イ ア ン ト が固有の PSK のみを使用 し 、 こ のイ ン タ フ ェ ース IP ア ド レ スに対する ダ イヤルア ッ プ フ ェ ーズ 1 設定 が 1 つ し かない場合は、 [Mode] を [Main] に設定で き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 307 自動キー VPN - IPSEC [Accept this セキ ュ リ テ ィ 証明書を使用 し て、 リ モー ト ピ ア またはダ イ ヤル peer certificate ア ッ プ ク ラ イ ア ン ト を認証 し ます。 こ のオプ シ ョ ンの隣に表示 さ れる リ ス ト から 証明書を選択 し ます。 only] 証明書は、 [User]、[PKI] の順に選択 し て表示 さ れるページ で FortiGate 設定にピ ア証明書を追加 し てから でない と 、 選択で き ま せん。 詳細については、 PKI 証明書を参照 し て く だ さ い。 リ モー ト VPN ピ ア またはク ラ イ ア ン ト にダ イ ナ ミ ッ ク IP ア ド レ ス が設定 さ れている場合は、 [Mode] を [Aggressive] に設定 し ます。 こ のオプ シ ョ ンは、 [Authentication Method] が [RSA Signature] に設 定 さ れている場合に使用で き ます。 [Accept this 証明書グループ を使用 し て、 ダ イ ナ ミ ッ ク IP ア ド レ ス を持ち、 な peer certificate おかつ固有の証明書を使用する ダ イヤルア ッ プ ク ラ イ ア ン ト を認 証 し ます。 group only] リ ス ト から ピ ア グループの名前を選択 し ます。 グループは、 CLI コ マ ン ド config user peergrp を実行 し てグループ を作成 し てか ら でない と 、 選択で き ません。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ユーザ」 を参照 し て く だ さ い。 ピ ア グループ の メ ンバは、 [User]、[PKI] の順に選択 し て表示 さ れるページか、 または CLI コ マ ン ド config user peer で追加 さ れた証明書であ る必要があ り ます。 リ モー ト VPN ピ ア またはク ラ イ ア ン ト にダ イ ナ ミ ッ ク IP ア ド レ ス が設定 さ れている場合は、 [Mode] を [Aggressive] に設定 し ます。 こ のオプ シ ョ ンは、 [Authentication Method] が [RSA Signature] に、 また [Remote Gateway] が [Dialup User] に設定 さ れている場合に使 用で き ます。 [Advanced] フ ェ ーズ 1 詳細パラ メ ー タ を定義 し ます。 308 ページの 「 フ ェ ーズ 1 詳細設定の定義」 を参照 し て く だ さ い。 フェーズ 1 詳細設定の定義 詳細な [P1 Proposal] パラ メ ー タ では、 IKE 交換のキーを生成する ために FortiGate ユニ ッ ト が使用する暗号化お よび認証アルゴ リ ズムを選択 し ます。 付 加的な フ ェ ーズ 1 詳細設定を選択する こ と で、 フ ェ ーズ 1 ネゴ シ エーシ ョ ンの円 滑な運用を保証で き ます。 IPSec フ ェ ーズ 1 詳細パラ メ ー タ を変更する には、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択 し 、 [Create Phase 1] を選択 し た後、 [Advanced] を選択 し ます。 図 177: フェーズ 1 詳細設定 追加 308 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 自動キー [Enable IPSec Interface Mode] VPN ト ン ネルのロー カル エ ン ド に仮想イ ン タ フ ェ ース を作成 し ま す。 こ れは、 ト ラ ン スペア レ ン ト モー ド では使用で き ません。 [Local Gateway IP] [Enable IPSec Interface Mode] を選択 し た場合、 VPN ト ンネルのロー カル エ ン ド の IP ア ド レ ス を指定する必要があ り ます。 次のいずれ かを選択 し ます。 • [Main Interface IP] ― FortiGate ユニ ッ ト は、 [System]、 [Network]、[Interface] の順に選択 し て表示 さ れる設定か ら イ ン タ フ ェ ースの IP ア ド レ ス を取得 し ます (69 ページの 「イ ン タ フ ェ ース」 参照 )。 • [Specify] ― IP ア ド レ ス を指定 し ます。 IP ア ド レ スは、 フ ェ ーズ 1 の [Local Interface] フ ィ ール ド で選択 さ れた物理イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 または VLAN イ ン タ フ ェ ースに 割 り 当て ら れます (306 ページの 「[Local Interface]」 参照 )。 ト ラ ン スペア レ ン ト モー ド VDOM で イ ン タ フ ェ ース モー ド は設定 で き ません。 [P1 Proposal] ネゴシ エーシ ョ ン を保護する ためのキーの生成に使用する暗号化お よび認証アルゴ リ ズムを選択 し ます。 必要に応 じ て、 暗号化および認証アルゴ リ ズムを追加または削除 し ます。 組み合わせを最低で 1 つ、 最高で 3 つ選択 し ます。 定義 さ れ たプ ロポーザルを少な く と も 1 つは使用する よ う に リ モー ト ピ ア ま たはク ラ イ ア ン ト を設定する必要があ り ます。 以下のいずれかの対称キー アルゴ リ ズムを選択で き ます。 • DES (Digital Encryption Standard) ― 56 ビ ッ ト キーを使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • 3DES ― プ レーン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 • AES128 ― 128 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • AES192 ― 192 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • AES256 ― 256 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 次の メ ッ セージ ダ イ ジ ェ ス ト のいずれかを選択 し て、 フ ェ ーズ 1 ネ ゴシ エーシ ョ ン中の メ ッ セージの信憑性を確認する こ と がで き ます。 • MD5 (Message Digest 5) ― RSA Data Security が開発 し たハ ッ シ ュ アルゴ リ ズム。 • SHA1 (Secure Hash Algorithm 1) ― 160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成する アルゴ リ ズム。 3 つ目の組み合わせを指定するには、 2 つ目の組み合わせのフ ィ ール ド の隣にある追加ボ タ ン を ク リ ッ ク し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 309 自動キー VPN - IPSEC [DH Group] 310 DH グループ 1、 2、 および 5 か ら、 Diffie-Hellman グループ を 1 つ以 上選択 し ます。 アグレ ッ シ ブ モー ド を使用する場合、 DH グループ を ネゴシ エー ト する こ と はで き ません。 • 両方の VPN ピ ア ( または VPN サーバ と そのク ラ イ ア ン ト ) がス タ テ ィ ッ ク IP ア ド レ ス を持ち、 アグ レ ッ シ ブ モー ド を使用する場 合は、 単一の DH グループ を選択 し ます。 FortiGate ユニ ッ ト の設 定は、 リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト の設定 と 同一である必要があ り ます。 • VPN ピ ア またはク ラ イ ア ン ト がダ イ ナ ミ ッ ク IP ア ド レ ス を持ち、 アグレ ッ シ ブ モー ド を使用する場合、 FortiGate ユニ ッ ト では最 大 3 つの DH グループ を、 また リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト では 1 つの DH グループ を選択 し ます。 リ モー ト ピ ア またはク ラ イ ア ン ト の設定は、 FortiGate ユニ ッ ト の選択の いずれか 1 つ と 同一である必要があ り ます。 • VPN ピ ア またはク ラ イ ア ン ト が メ イ ン モー ド を使用 し ている場 合、 複数の DH グループ を選択で き ます。 少な く と も 1 つの リ モー ト ピ ア またはク ラ イ ア ン ト の設定は、 FortiGate ユニ ッ ト の 選択 と 同一である必要があ り ます。 [Keylife] IKE 暗号化キーが期限切れにな る までの時間 ( 秒 ) を入力 し ます。 キーが期限切れにな る と 、 サービ ス を中断 さ せる こ と な く 、 新 し い キーが生成 さ れます。 [Keylife] は 120 ~ 172800 秒に設定で き ます。 [Local ID] FortiGate ユニ ッ ト が VPN ク ラ イ ア ン ト と し て動作 し 、 認証にピ ア ID を使用 し ている場合は、 フ ェ ーズ 1 交換中に FortiGate ユニ ッ ト が VPN サーバに提供する識別子を入力 し ます。 FortiGate ユニ ッ ト が VPN ク ラ イ ア ン ト と し て動作 し 、 認証にセ キ ュ リ テ ィ 証明書を使用 し てい る場合は、 FortiGate ユニ ッ ト が認証 に使用する ロー カル サーバ証明書の識別名 (DN) を選択 し ます。 FortiGate ユニ ッ ト がダ イヤルア ッ プ ク ラ イ ア ン ト で、 他のダ イヤル ア ッ プ ク ラ イ ア ン ト と ト ン ネルを共有 し ない場合 ( つま り 、 ト ンネ ルが この FortiGate のダ イヤルア ッ プ ク ラ イ ア ン ト 専用 と な る場合 )、 [Mode] を [Aggressive] に設定 し ます。 [XAuth] このオプ シ ョ ンは、 ダ イヤルア ッ プ ク ラ イ ア ン ト の認証をサポー ト するために用意 さ れています。 FortiGate ユニ ッ ト がダ イヤルア ッ プ ク ラ イ ア ン ト で、 [XAuth] の設 定 と し て [Enable as Client] を選択する場合は、 FortiGate ユニ ッ ト が リ モー ト の XAuth サーバに対 し て自己認証する ために必要なユーザ 名 と パスワー ド を入力 し ます。 [Remote Gateway] が [Dialup User] に設定 さ れ、 ダ イヤルア ッ プ ク ラ イ ア ン ト がダ イヤルア ッ プ グループの メ ンバ と し て認証を行 う 場 合、 FortiGate ユニ ッ ト は XAuth サーバ と し て動作で き ます。 [Enable as Server] を選択する には、 FortiGate ユニ ッ ト の背後のネ ッ ト ワー クへのア ク セスが必要なダ イヤルア ッ プ ク ラ イ ア ン ト を識別する た めに、 まずユーザ グループ を作成 し なければな り ません。 See 349 ページの 「ユーザ グループの設定」 . また、 認証 リ ク エ ス ト を外部の RADIUS または LDAP 認証サーバに 転送 さ れる よ う に、 FortiGate ユニ ッ ト を設定する必要があ り ます。 これ らの ト ピ ッ クの詳細については、 341 ページの 「RADIUS サーバ の設定」 または 342 ページの 「LDAP サーバの設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト 、XAuth ク ラ イ ア ン ト 、 および外部認証サーバの間 で使用す る暗号化の種類を決定す る には、 [Server Type] の設定を選 択 し 、続いて [User Group] リ ス ト から ユーザ グループ を選択 し ます。 [Nat-traversal] ロー カル FortiGate ユニ ッ ト と VPN ピ ア またはク ラ イ ア ン ト と の間 に NAT デバイ スが存在する場合は、 こ のオプ シ ョ ン を有効に し ま す。 信頼性の高い接続を確立するには、 ロー カル FortiGate ユニ ッ ト と VPN ピ ア またはク ラ イ ア ン ト の NAT ト ラバーサル設定が同一で ある必要があ り ます ( 両方を選択または解除 )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 自動キー [Keepalive Frequency] NAT ト ラバーサルを有効に し た場合は、 キープ ア ラ イ ブ間隔の設定 を入力 し ます。 値は、 0 ~ 900 秒の間隔を設定で き ます。 [Dead Peer Detection] こ のオプ シ ョ ン を有効にする と 、 ア イ ド ル状態の接続において VPN ト ンネルが回復する と と も に、 必要に応 じ て、 切断 さ れた IKE ピ ア が除去 さ れます。 こ のオプ シ ョ ン を使用する こ と で、 ト ンネルが作 動または停止 し た際に通知を受けた り 、 またはオプ シ ョ ン を有効に する こ と で、 ト ラ フ ィ ッ ク が ト ンネル内で生成 さ れない と き に ト ン ネル接続を開いたま まに し てお く こ と がで き ます ( た と えば、 定期 的に変化する IP ア ド レ スから ダ イ ヤルア ッ プ ク ラ イ ア ン ト または ダ イ ナ ミ ッ ク DNS ピ アが接続 し 、 IP ア ド レ スが変化する間、 ト ラ フ ィ ッ ク が一時的に中断 さ れる よ う な状況において )。 [Dead Peer Detection] オプ シ ョ ンが選択 さ れている場合、 CLI コ マ ン ド config vpn ipsec phase1 ( ト ンネル モー ド ) または config vpn ipsec phase1-interface ( イ ン タ フ ェ ース モー ド ) を使用 し て、 リ ト ラ イの回数 と 間隔を オプ シ ョ ン で指定で き ます。 詳細につ いては、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 新しいフェーズ 2 設定の作成 IPSec フ ェ ーズ 1 ネゴ シ エーシ ョ ンが無事に完了する と 、 フ ェ ーズ 2 が始ま り ま す。 フ ェ ーズ 2 パラ メ ー タ は、 残 り のセ ッ シ ョ ン でデー タ を暗号化お よび転送す る ために FortiGate ユニ ッ ト が使用で き る アルゴ リ ズムを定義 し ます。 フ ェ ーズ 2 の間、 セキ ュ リ テ ィ サービ スの実装に必要な特定の IPSec セキ ュ リ テ ィ ア ソ シ エーシ ョ ンが選択 さ れ、 ト ン ネルが確立 さ れます。 基本的な フ ェ ーズ 2 設定は、 VPN ト ン ネルの リ モー ト エ ン ド ポ イ ン ト を指定す る フ ェ ーズ 1 設定に IPSec フ ェ ーズ 2 パ ラ メ ー タ を対応付けます。 ほ と んどの場 合、 設定する必要があ るのは基本的な フ ェ ーズ 2 設定のみです。 フ ェ ーズ 2 を設定する には、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択 し 、 [Create Phase 2] を選択 し ます。 図 178: [New Phase 2] [Name] フ ェ ーズ 2 の設定を識別する名前を入力 し ます。 [Phase 1] フ ェ ーズ 1 ト ンネル設定を選択 し ます。 305 ページの 「新 し い フ ェ ーズ 1 設定の作成」 を参照 し て く だ さ い。 フ ェ ーズ 1 設定では、 リ モー ト VPN ピ ア またはク ラ イ ア ン ト が この ト ン ネルでどのよ う に認証 さ れるの か、 また リ モー ト ピ ア または ク ラ イ ア ン ト への接続がどのよ う に保護 さ れるのかが設定 さ れます。 [Advanced] フ ェ ーズ 2 詳細パラ メ ー タ を定義 し ます。 311 ページの 「 フ ェ ーズ 2 詳 細設定の定義」 を参照 し て く だ さ い。 フェーズ 2 詳細設定の定義 フ ェ ーズ 2 では、 FortiGate ユニ ッ ト と VPN ピ ア またはク ラ イ ア ン ト が再びキー を交換 し 合い、 セキ ュ ア な通信チ ャ ン ネルを確立 し ます。 [P2 Proposal] パラ メ ー タ では、 セキ ュ リ テ ィ ア ソ シ エーシ ョ ン (SA) の実装詳細を保護する ために、 キーの生成に必要な暗号化お よび認証アルゴ リ ズムを選択 し ます。 キーは、 Diffie-Hellman のアルゴ リ ズムを使用 し て、 自動的に生成 さ れます。 フ ェ ーズ 2 では、 ト ン ネルの動作を拡張する詳細設定が多数使用で き ます。 IPSec フ ェ ーズ 2 詳細パ ラ メ ー タ を変更する には、 [VPN]、[IPSEC]、[Auto Key (IKE)] の順に選択 し 、 [Create Phase 2] を選択 し た後、 [Advanced] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 311 自動キー VPN - IPSEC 図 179: フェーズ 2 詳細設定 追加 [P2 Proposal] デー タ を暗号化 コ ー ド に変え るために使用する暗号化および認証アルゴ リ ズムを選択 し ます。 必要に応 じ て、 暗号化お よび認証アルゴ リ ズムを追加または削除 し ま す。 組み合わせを最低で 1 つ、 最高で 3 つ選択 し ます。 定義 さ れた プ ロ ポーザルを少な く と も 1 つは使用する よ う に リ モー ト ピ ア を設定する 必要があ り ます。 以下のいずれかの対称キー アルゴ リ ズムを選択で き ます。 • NULL ― 暗号化アルゴ リ ズムは使用 し ません。 • DES (Digital Encryption Standard) ― 56 ビ ッ ト キーを使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • 3DES ― プ レーン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 • • • AES128 ― 128 ビ ッ ト キーを使用する 128 ビ ッ ト ブロ ッ ク アルゴ リ ズム。 AES192 ― 192 ビ ッ ト キーを使用する 128 ビ ッ ト ブロ ッ ク アルゴ リ ズム。 AES256 ― 256 ビ ッ ト キーを使用する 128 ビ ッ ト ブロ ッ ク アルゴ リ ズム。 次の メ ッ セージ ダ イ ジ ェ ス ト のいずれかを選択 し て、 暗号化 さ れた セ ッ シ ョ ン中の メ ッ セージの信憑性を確認する こ と がで き ます。 • NULL ― メ ッ セージ ダ イ ジ ェ ス ト は使用 し ません。 • MD5 (Message Digest 5) ― RSA Data Security が開発 し たハ ッ シ ュ ア ルゴ リ ズム。 • SHA1 (Secure Hash Algorithm 1) ― 160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成する アルゴ リ ズム。 組み合わせを 1 つだけ指定する には、2 つ目の組み合わせの [Encryption] お よび [Authentication] オプ シ ョ ン を [NULL] に設定 し ます。 3 つ目の組 み合わせを指定するには、 2 つ目の組み合わせのフ ィ ール ド の隣にある 追加ボ タ ン を ク リ ッ ク し ます。 [Enable replay detection] オプ シ ョ ン で、 リ プ レ イの検知を有効または無効に し ます。 リ プ レ イ攻 撃は、 許可 さ れていない相手が一連の IPSec パケ ッ ト を傍受 し 、 ト ンネ ルに向けてそれを再送信する こ と で発生 し ます。 [Enable perfect PFS を有効または無効に し ます。 PFS (Perfect Forward Secrecy) は、 キーの期限が切れるたびに新 し い Diffie-Hellman 交換を強制的に実行す forward secrecy (PFS)] る こ と によ り 、 セキ ュ リ テ ィ を強化 し ます。 [DH Group] 312 Diffie-Hellman グループ を 1 つ選択 し ます (1、 2、 または 5)。 同一のグ ループ を使用する よ う に リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト を設定する必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 自動キー [Keylife] フ ェ ーズ 2 キーの期限を定める方法を、 [Seconds] ( 秒 )、 [KBytes] ( キロ バイ ト )、 または [Both] ( その両方 ) か ら選択 し ます。 [Both] を選択 し た 場合、 指定の時間が経過するか、 または指定のバイ ト 数の処理が完了す る と 、 キーは期限切れ と な り ます。 範囲は 120 ~ 172800 秒、 または 5120 ~ 2147483648 KB です。 [Autokey Keep デー タ が処理 さ れていない間も ト ンネルを有効に し てお く 場合は、 こ の オプ シ ョ ン を有効に し ます。 Alive] [DHCP-IPSec] FortiGate ユニ ッ ト がダ イヤルア ッ プ サーバ と し て動作 し 、 FortiClient の ダ イヤルア ッ プ ク ラ イ ア ン ト への VIP ア ド レ スの割 り 当てに FortiGate DHCP リ レーが使用 さ れる場合は、 [Enable] を選択 し ます。 DHCP リ レーのパラ メ ー タ は、 別途設定する必要があ り ます。 詳細については、 117 ページの 「シス テム - DHCP」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト がダ イヤルア ッ プ サーバ と し て動作 し 、 ダ イヤル ア ッ プ サーバの背後のネ ッ ト ワー ク と 一致する FortiClient ダ イ ヤルア ッ プ ク ラ イ ア ン ト VIP ア ド レ ス を手動で割 り 当てた場合は、 [Enable] を選 択 し て、 FortiGate ユニ ッ ト がダ イヤルア ッ プ ク ラ イ ア ン ト のプ ロキシ と し て動作する よ う に し ます。 こ れは、 ダ イヤルア ッ プ フ ェ ーズ 1 設定に関連 し た ト ンネル モー ド の フ ェ ーズ 2 設定にのみ使用で き ます。 注記 : FortiGate ユニ ッ ト を介 し て VPN ユーザがイ ン タ ーネ ッ ト を閲覧で き る よ う にする こ と が可能です。 314 ページの 「イ ン タ ーネ ッ ト ブ ラ ウジ ン グ設定」 を参照 し て く だ さ い。 [Quick Mode Selector] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 オプ シ ョ ン で、 IKE ネゴ シ エーシ ョ ンのセ レ ク タ と し て使用する送信元 および宛先 IP ア ド レ ス を指定 し ます。 FortiGate ユニ ッ ト がダ イヤル ア ッ プ サーバである場合、 VPN を構成する 1 つ以上のプ ラ イ ベー ト ネ ッ ト ワー ク 間の IP ア ド レ スが不明瞭な こ と によ っ て生 じ る問題を防 止する必要がある場合を除き、 デ フ ォル ト 値の 0.0.0.0/0 を変更 し ないで く だ さ い。 単一のホス ト IP ア ド レ ス、 IP ア ド レ ス範囲、 またはネ ッ ト ワー ク ア ド レ ス を指定で き ます。 オプ シ ョ ン で、 送信元 と 宛先のポー ト 番号またはプ ロ ト コ ル番号、 あるいはその両方を指定で き ます。 既存のフ ェ ーズ 2 設定を編集する場合、 フ ァ イ アウ ォ ールのア ド レ ス を セ レ ク タ と し て使用する よ う に ト ンネルが設定 さ れている と 、 [Source address] と [Destination address] の フ ィ ール ド は使用で き ません。 この オプ シ ョ ンは CLI でのみ使用で き ます。 『FortiGate CLI リ フ ァ レ ン ス 』 で、 vpn ipsec phase2 コ マ ン ド のキーワー ド 、 dst-addr-type、 dst-name、 src-addr-type、 および src-name を参照 し て く だ さ い。 [Source address] FortiGate ユニ ッ ト がダ イヤルア ッ プ サーバである 場合、 ロー カル送信者またはロー カル VPN ピ アの 背後のネ ッ ト ワー ク に対応する送信元 IP ア ド レ ス を入力 し ます ( た と えば、 サブ ネ ッ ト には 172.16.5.0/24 または 172.16.5.0/255.255.255.0、 サーバまたはホ ス ト には 172.16.5.1/32 または 172.16.5.1/255.255.255.255、 あるいはア ド レ ス範囲には 192.168.10.[80-100] または 192.168.10.80-192.168.10.100 な ど )。 0.0.0.0/0 の値は、ロー カル VPN ピ アの背後のすべ ての IP ア ド レ ス を意味 し ます。 FortiGate ユニ ッ ト がダ イヤルア ッ プ ク ラ イ ア ン ト である場合、 送信元ア ド レ スは、 FortiGate ダ イヤル ア ッ プ ク ラ イ ア ン ト の背後のプ ラ イ ベー ト ネ ッ ト ワー ク を参照する必要があ り ます。 [Source port] 指定 さ れたサービ ス ( プ ロ ト コル番号 ) に関係する ト ラ フ ィ ッ ク を伝送する ためにロー カル VPN ピ ア が使用するポー ト 番号を入力 し ます。 範囲は 0 ~ 65535 です。 すべてのポー ト を指定するには、 0 を 入力 し ます。 [Destination address] 受信者または リ モー ト VPN ピ アの背後のネ ッ ト ワー ク に対応する宛先 IP ア ド レ ス を入力 し ます ( た と えば、 サブネ ッ ト には 192.168.20.0/24、 サー バまたはホス ト には 172.16.5.1/32、 あるいはア ド レ ス範囲には 192.168.10.[80-100] など )。 0.0.0.0/0 の値は、リ モー ト VPN ピ アの背後のすべ ての IP ア ド レ ス を意味 し ます。 313 自動キー VPN - IPSEC [Destination port] 指定 さ れたサービ ス ( プ ロ ト コ ル番号 ) に関係する ト ラ フ ィ ッ ク を伝送する ために リ モー ト VPN ピ ア が使用するポー ト 番号を入力 し ます。 範囲は 0 ~ 65535 です。 すべてのポー ト を指定する には、 0 を 入力 し ます。 [Protocol] サービ スの IP プ ロ ト コル番号を入力 し ます。 範囲 は 1 ~ 255 です。 すべてのサービ ス を指定する に は、 0 を入力 し ます。 インターネット ブラウジング設定 FortiGate ユニ ッ ト を介 し て VPN ユーザがイ ン タ ーネ ッ ト を閲覧で き る よ う にする こ と が可能です。 こ れはフ ァ イ アウ ォ ールのポ リ シーで行います。 必要なポ リ シーは、 ポ リ シー ベース VPN と ルー ト ベース VPN で異な り ます。 フ ァ イ アウ ォ ール ポ リ シーの 詳細については、 226 ページの 「フ ァ イ アウ ォ ール ポ リ シーの設定」 を参照 し て く だ さ い。 ポリシー ベース VPN インターネット ブラウジング設定 追加の フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] FortiGate ユニ ッ ト のパブ リ ッ ク イ ン タ フ ェ ース を選択 し ます。 [Source Address Name] [All] を選択 し ます。 [Destination Interface/Zone] FortiGate ユニ ッ ト のパブ リ ッ ク イ ン タ フ ェ ース を選択 し ます。 [Destination Address Name] リ モー ト ネ ッ ト ワー ク ア ド レ スの名前を選択 し ます。 [Action] [IPSEC] を選択 し ます。 [VPN Tunnel] FortiGate ユニ ッ ト の背後にある プ ラ イ ベー ト ネ ッ ト ワー ク へのア ク セス を提供する ト ンネルを選択 し ます。 [Inbound NAT] 有効に し ます。 必要に応 じ て、 他の設定を行います。 ルート ベース VPN インターネット ブラウジング設定 追加の フ ァ イ アウ ォ ール ポ リ シーを次のよ う に設定 し ます。 [Source Interface/Zone] IPSec イ ン タ フ ェ ース を選択 し ます。 [Source Address Name] [All] を選択 し ます。 [Destination Interface/Zone] FortiGate ユニ ッ ト のパブ リ ッ ク イ ン タ フ ェ ース を選択 し ます。 [Destination Address Name] [All] を選択 し ます。 [Action] [ACCEPT] を選択 し ます。 [NAT] 有効に し ます。 必要に応 じ て、 他の設定を行います。 314 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC 手動キー 手動キー 必要に応 じ て、 IPSec VPN ト ン ネルを確立する ための暗号化キーを手動で定義で き ます。 手動キーは、 次のよ う な状況で定義 し ます。 • 暗号化キーまたは認証キー、 ある いはその両方の予備知識が求め られる場合 ( つま り 、 VPN ピ アの 1 つに特定の IPSec 暗号化キーまたは認証キー、 ある いはその両方が必要な場合 )。 • 暗号化 と 認証を無効にする必要があ る場合。 ど ち らの場合 も、 IPSec のフ ェ ーズ 1 お よび フ ェ ーズ 2 のパラ メ ー タ は指定せ ず、 [VPN]、[IPSEC]、[Manual Key] の順に選択 し て表示 さ れる ページ で手動 キーを定義 し ます。 注記 : キーの機密を保持する ためには、 ネ ッ ト ワー ク 管理者が信頼で き る人物でなければ な り ません。 また、 リ モー ト VPN ピ アにセキ ュ ア な方法で変更を伝え るのが困難な場合 があ り ます。 以上の理由から 、 手動キーを定義する こ と は安全または現実的でない こ と が あ り ます。 図 180: 手動キー リスト 編集 削除 [Create New] 新 し い手動キー設定を作成 し ます。 315 ページの 「新 し い手動キー 設定の作成」 を参照 し て く だ さ い。 [Tunnel Name] 既存の手動キー設定の名前。 [Remote Gateway] リ モー ト ピ ア またはダ イヤルア ッ プ ク ラ イ ア ン ト の IP ア ド レ ス。 [Encryption Algorithm] 手動キー設定で指定 さ れた暗号化アルゴ リ ズムの名前。 [Authentication Algorithm] 手動キー設定で指定 さ れた認証アルゴ リ ズムの名前。 削除アイコンと編集 手動キー設定を削除または編集 し ます。 アイコン 新しい手動キー設定の作成 VPN デバイ スの 1 つが特定の特定の認証キーまたは暗号化キー、 ある いはその 両方を使用 し て ト ン ネルを確立する場合、 両方の VPN デバイ ス を同一の認証 キーまたは暗号化キー、 あ る いはその両方を使用する よ う に設定する必要があ り ます。 また、 両方の VPN デバイ ス を相補的な SPI ( セキ ュ リ テ ィ パラ メ ー タ イ ンデ ッ ク ス ) で設定する こ と が重要です。 各 SPI は、 SA ( セキ ュ リ テ ィ ア ソ シ エーシ ョ ン ) を識別 し ます。 値は、 ESP デー タ グ ラ ムを SA に リ ン ク する ために、 そのデー タ グ ラ ムに配置 さ れます。 ESP デー タ グ ラ ムを受信する と 、 受信者は SPI を参照 し て、 デー タ グ ラ ムに適用 する SA を決定 し ます。 SPI は、 SA ご と に手動で指定する必要があ り ます。 SA は一方向のみの通信に適用 さ れる ため、 VPN デバイ ス間の双方向通信に対応す る には、 設定ご と に 2 つの SPI を指定 し なければな り ません ( ロ ー カル SPI と リ モー ト SPI)。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 315 手動キー VPN - IPSEC ! 注意 : 特定の設定における セキ ュ リ テ ィ ポ リ シー、 SA、 セ レ ク タ 、 および SA デー タ ベースについて熟知 し ていない場合は、 適格の支援を受ける こ と な く 下記の手順を実施 し ないで く だ さ い。 ト ン ネルを作成する ための手動キーを指定する には、 [VPN]、[IPSEC]、[Manual Key] の順に選択 し 、 [Create New] を選択 し ます。 図 181: [New Manual Key] [Name] VPN ト ンネルの名前を入力 し ます。 名前の長 さ は、 イ ン タ フ ェ ース モー ド VPN では最大 15 文字、 ポ リ シー ベース VPN では最大 35 文 字です。 [Local SPI] ロー カル FortiGate ユニ ッ ト の送信 ト ラ フ ィ ッ ク を処理する SA を表 す、 16 進数の値 ( 最大 8 文字、 0 ~ 9、 a ~ f) を入力 し ます。 有効範 囲は、 0x100 ~ 0xffffffff です。 こ の値は、 リ モー ト ピ アの手 動キー設定における [Remote SPI] の値 と 一致する必要があ り ます。 [Remote SPI] ロー カル FortiGate ユニ ッ ト の受信 ト ラ フ ィ ッ ク を処理する SA を表 す、 16 進数の値 ( 最大 8 文字、 0 ~ 9、 a ~ f) を入力 し ます。 有効 範囲は、 0x100 ~ 0xffffffff です。 こ の値は、 リ モー ト ピ アの 手動キー設定における [Local SPI] の値 と 一致する必要があ り ます。 [Remote Gateway] リ モー ト ピ アへのパブ リ ッ ク イ ン タ フ ェ ースの IP ア ド レ ス を入力 し ます。 このア ド レ スは、 ESP デー タ グ ラムの受信者を識別 し ます。 [Local Interface] このオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 IPSec ト ン ネルが結合 さ れる物理イ ン タ フ ェ ース、 アグ リ ゲー ト イ ン タ フ ェ ース、 または VLAN イ ン タ フ ェ ースの名前を選択 し ます。 FortiGate ユニ ッ ト は、 [System]、[Network]、[Interface] の順に選 択 し て表示 さ れるページの設定か ら IP ア ド レ ス を取得 し ます (69 ページの 「イ ン タ フ ェ ース」 参照 )。 [Encryption Algorithm] 316 以下のいずれかの対称キー暗号化アルゴ リ ズムを選択 し ます。 DES (Digital Encryption Standard) ― 56 ビ ッ ト キーを使用する 64 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • • 3DES ― プ レーン テキス ト が 3 つのキーで 3 回暗号化 さ れる ト リ プル DES。 • AES128 ― 128 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • AES192 ― 192 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 • AES256 ― 256 ビ ッ ト キーを使用する 128 ビ ッ ト ブ ロ ッ ク アルゴ リ ズム。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC コンセントレータ [Encryption Key] 以下に従っ て入力 し ます。 DES を選択 し た場合は、 16 字の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 • [Authentication Algorithm] • 3DES を選択 し た場合は、16 字のセグ メ ン ト 3 つに分けた 48 字の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 • AES128 を選択 し た場合は、16 字のセグ メ ン ト 2 つに分けた 32 字 の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 • AES192 を選択 し た場合は、16 字のセグ メ ン ト 3 つに分けた 48 字 の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 • AES256 を選択 し た場合は、16 字のセグ メ ン ト 4 つに分けた 64 字 の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 以下のいずれかの メ ッ セージ ダ イ ジ ェ ス ト を選択 し ます。 • MD5 (Message Digest 5) ― 128 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成する アルゴ リ ズム。 • SHA1 (Secure Hash Algorithm 1) ― 160 ビ ッ ト の メ ッ セージ ダ イ ジ ェ ス ト を生成する アルゴ リ ズム。 [Authentication Key] 以下に従っ て入力 し ます。 • MD5 を選択 し た場合は、16 字のセグ メ ン ト 2 つに分けた 32 字の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 • [IPSec Interface Mode] SHA1 を選択 し た場合は、16 字のセグ メ ン ト と 24 字のセグ メ ン ト に分けた 40 字の 16 進数 (0 ~ 9、 a ~ f) を入力 し ます。 VPN ト ンネルのロー カル エ ン ド に仮想イ ン タ フ ェ ース を作成 し ます。 こ のオプ シ ョ ンは、 NAT/ ルー ト モー ド でのみ使用で き ます。 コンセントレータ ハブ ア ン ド スポー クの構成では、 多数の リ モー ト ピ アへのポ リ シー ベース VPN 接続は、 中央にある単一の FortiGate ユニ ッ ト か ら放射状に広が り ます。 リ モー ト ピ ア同士のサイ ト 間接続は存在 し ない も のの、 FortiGate ユニ ッ ト の 「ハブ」 を介 し て、 任意の 2 つの リ モー ト ピ ア間に VPN ト ン ネルを確立で き ます。 ハブ ア ン ド スポー ク ネ ッ ト ワー ク では、 VPN ト ン ネルはすべてハブが終点 と な り ます。 ハブに接続する ピ アは 「スポー ク」 と 呼ばれます。 ハブは、 ネ ッ ト ワー クの コ ン セ ン ト レ ー タ と し て機能 し 、 スポー ク間のすべての VPN 接続を管理 し ます。 VPN ト ラ フ ィ ッ クは、 ハブ を介 し て 1 つの ト ン ネルか ら別の ト ン ネルへ と 進みます。 コ ン セ ン ト レー タ は、 ハブ ア ン ド スポー ク設定にスポー ク が含まれる よ う に定義 し ます。 コ ン セ ン ト レー タ を定義する には、 [VPN]、[IPSEC]、[Concentrator] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 317 コンセントレータ VPN - IPSEC 図 182: コンセントレータ リスト 編集 削除 [Create New] IPSec ハブ ア ン ド スポー ク 設定の新 し い コ ン セ ン ト レー タ を定義 し ます。 318 ページの 「コ ン セ ン ト レー タ オプ シ ョ ンの定義」 を参 照 し て く だ さ い。 [Concentrator Name] 既存の IPSec VPN コ ン セ ン ト レー タ の名前。 [Members] コ ン セ ン ト レー タ に関連する ト ン ネル。 削除アイコンと 編集アイコン コ ン セ ン ト レー タ を削除または編集 し ます。 コンセントレータ オプションの定義 コ ン セ ン ト レ ー タ の設定では、 IPSec ハブ ア ン ド スポー ク設定に含める スポー ク を指定 し ます。 IPSec ハブ ア ン ド スポー ク設定のスポー ク を指定する には、 [VPN]、[IPSEC]、 [Concentrator] の順に選択 し 、 [Create New] を選択 し ます。 図 183: 318 [New VPN Concentrator] [Concentrator Name] コ ン セ ン ト レー タ の名前を入力 し ます。 [Available Tunnels] 定義済みの IPSec VPN ト ンネルの リ ス ト 。 リ ス ト か ら ト ンネルを選 択 し てから 、 右向きの矢印を ク リ ッ ク し ます。 スポー ク に関連する ト ンネルがすべて コ ン セ ン ト レー タ に含まれる ま で、 こ の手順を繰 り 返 し ます。 [Members] コ ン セ ン ト レー タ の メ ンバである ト ンネルの リ ス ト 。 コ ン セ ン ト レー タ から ト ンネルを削除するには、 ト ンネルを選択 し て、 左向き の矢印を ク リ ッ ク し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - IPSEC モニタ モニタ モ ニ タ を使用する と 、 IPSec VPN ト ン ネルの活動を表示 し た り 、 それ らの ト ン ネ ルを開始または停止 し た り する こ と がで き ます。 デ ィ ス プ レ イ には、 ト ン ネル モー ド やルー ト ベース ( イ ン タ フ ェ ース モー ド ) ト ン ネルな どのすべてのア ク テ ィ ブ な ト ン ネルについて、 ア ド レ スの リ ス ト 、 プ ロ キシ ID、 およ び タ イ ムア ウ ト 情報が表示 さ れます。 ア ク テ ィ ブ な ト ン ネルを表示する には、 [VPN]、[IPSEC]、[Monitor] の順に選択 し ます。 図 184: モニタ リスト 次ページ 前ページ [Dialup] リ ス ト では、 ダ イ ヤルア ッ プ ク ラ イ ア ン ト に対 し て確立 さ れた ト ン ネル のス テー タ ス情報が表示 さ れます。 リ ス ト には、 ダ イ ヤルア ッ プ ク ラ イ ア ン ト の IP ア ド レ ス と 、 ア ク テ ィ ブ なすべての ト ン ネルの名前が表示 さ れます。 リ ス ト に表示 さ れる ト ン ネルの数は、 ダ イヤルア ッ プ ク ラ イ ア ン ト が接続 し た り 切 断 し た り する たびに変わる可能性があ り ます。 [ 次ページ ] および [ ダ イヤルア ッ プ ト ンネル ス テー タ ス リ ス ト の前のページ または次 前ページ ] アイコン のページ を表示 し ます。 [Name] 設定 さ れた ト ンネルの名前。 [Remote Gateway] リ モー ト ホス ト デバイ スのパブ リ ッ ク IP ア ド レ スおよび UDP ポー ト 。 または、 リ モー ト ホス ト の前に NAT デバイ スがある場合 は、 NAT デバイ スのパブ リ ッ ク IP ア ド レ スおよび UDP ポー ト 。 [Username] ダ イヤルア ッ プ ク ラ イ ア ン ト のピ ア ID、 証明書の名前、 または XAuth ユーザ名 ( 認証を行 う ために、 ピ ア ID、 証明書の名前、 また は XAuth ユーザ名がダ イヤルア ッ プ ク ラ イ ア ン ト に割 り 当て ら れ た場合 )。 [Timeout] 次のフ ェ ーズ 2 キー交換までの時間。 時間は、 前回のキー交換から の経過時間をキー ラ イ フ から 差 し 引いて計算 さ れます。 フ ェ ーズ 2 キーが期限切れにな る と 、 サービ ス を中断 さ せる こ と な く 、 新 し い キーが生成 さ れます。 [Proxy ID Source] FortiGate ユニ ッ ト の背後にあるホス ト 、 サーバ、 またはプ ラ イ ベー ト ネ ッ ト ワー ク の IP ア ド レ ス。 フ ァ イ アウ ォ ール暗号化ポ リ シーの送信元ア ド レ スが IP ア ド レ スの範囲 と な っ ている場合は、 ネ ッ ト ワー ク 範囲が表示 さ れる こ と があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 319 モニタ VPN - IPSEC [Proxy ID Destination] FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト が ト ン ネルを確立する と 、 次のよ う にな り ます。 • VIP ア ド レ スが使用 さ れない場合、 [Proxy ID Destination] フ ィ ー ル ド には、 リ モー ト ホス ト のネ ッ ト ワー ク イ ン タ フ ェ ース カ ー ド (NIC) のパブ リ ッ ク IP ア ド レ スが表示 さ れます。 • VIP ア ド レ スが設定 さ れた場合 ( 手動または FortiGate の DHCP リ レーを通 じ て )、 [Proxy ID Destination] フ ィ ール ド には、 FortiClient ダ イヤルア ッ プ ク ラ イ ア ン ト に属する VIP ア ド レ ス、 または VIP ア ド レ スが指定 さ れたサブネ ッ ト ア ド レ スのいずれ かが表示 さ れます。 FortiGate のダ イヤルア ッ プ ク ラ イ ア ン ト が ト ン ネルを確立する と 、 [Proxy ID Destination] フ ィ ール ド には、 リ モー ト プ ラ イ ベー ト ネ ッ ト ワー クの IP ア ド レ スが表示 さ れます。 [ トンネル始動 ] ま 上向きの緑の矢印は、 現在 ト ンネルが ト ラ フ ィ ッ ク を処理 し ている たは [ トンネル停止 こ と を意味 し ます。 これを選択する と 、 ト ンネルが停止 し ます。 下向きの赤い矢印は、 ト ンネルが ト ラ フ ィ ッ ク を処理 し ていない こ ] アイコン と を意味 し ます。 これを選択する と 、 ト ンネルが作動 し ます。 ス タ テ ィ ッ ク IP お よびダ イ ナ ミ ッ ク DNS の リ ス ト では、 ス タ テ ィ ッ ク ア ド レ ス または ド メ イ ン名を持っ た リ モー ト ピ アへの VPN ト ン ネルに関する情報が表示 さ れます。 こ の リ ス ト を使用 し て、 各 ト ン ネル設定のス テー タ スおよ び IP ア ド レ スの情報を表示で き ます。 リ ス ト から 個々の ト ン ネルを始動 し た り 、 停止 し た り する こ と も 可能です。 [ 次ページ ] およ VPN ト ン ネル ステー タ ス リ ス ト の前のページ または次のページ を表 び [ 前ページ ] ア 示 し ます。 イコン [Name] 設定 さ れた ト ン ネルの名前。 [Remote Gateway] リ モー ト ゲー ト ウ ェ イの IP ア ド レ スまたは UDP ポー ト 。 ダ イ ナ ミ ッ ク DNS ト ン ネルでは、 IP ア ド レ スはダ イ ナ ミ ッ ク に更新 さ れます。 [Timeout] 次のフ ェ ーズ 2 キー交換ま での時間。 時間は、 前回のキー交換から の 経過時間をキー ラ イ フ から 差 し 引いて計算 さ れます。 フ ェ ーズ 2 キー が期限切れにな る と 、 サービ ス を中断 さ せる こ と な く 、 新 し いキーが 生成 さ れます。 [Proxy ID Source] FortiGate ユニ ッ ト の背後にある ホス ト 、 サーバ、 またはプ ラ イ ベー ト ネ ッ ト ワー ク の IP ア ド レ ス。 フ ァ イ アウ ォ ール暗号化ポ リ シーの送 信元ア ド レ スが IP ア ド レ スの範囲 と な っ ている場合は、 ネ ッ ト ワー ク 範囲が表示 さ れる こ と があ り ます。 [Proxy ID Destination] リ モー ト FortiGate ユニ ッ ト の背後にあるホス ト 、 サーバ、 またはプ ラ イ ベー ト ネ ッ ト ワー ク の IP ア ド レ ス。 [ トンネル始動 ] 上向きの緑の矢印は、 現在 ト ン ネルが ト ラ フ ィ ッ ク を処理 し ている こ または [ トンネル と を意味 し ます。 これを選択する と 、 ト ン ネルが停止 し ます。 下向きの赤い矢印は、 ト ン ネルが ト ラ フ ィ ッ ク を処理 し ていない こ と 停止 ] アイコン を意味 し ます。 これを選択する と 、 ト ン ネルが作動 し ます。 320 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - PPTP PPTP の範囲 VPN - PPTP FortiGate ユニ ッ ト は、 2 つの VPN ピ ア間の PPP ト ラ フ ィ ッ ク を ト ン ネ リ ン グす る PPTP をサポー ト し ます。Windows または Linux の PPTP ク ラ イ ア ン ト は、PPTP サーバ と し て設定 さ れた FortiGate ユニ ッ ト と PPTP ト ン ネルを確立する こ と がで き ます。 または、 FortiGate ユニ ッ ト の背後のネ ッ ト ワー ク 上にある PPTP サーバ にPPTPパケ ッ ト を転送する よ う にFortiGateユニ ッ ト を設定する こ と も可能です。 PPTP VPN は、 NAT/ ルー ト モー ド でのみ使用で き ます。 PPTP およ び L2TP の セ ッ シ ョ ン数は現在、 最大で 254 です。 開始 IP と 終了 IP は、 た と えば x.x.x.1. ~ x.x.x.254. のよ う に、 同 じ 24 ビ ッ ト のサブ ネ ッ ト 内である必要があ り ます。 こ の項では、 Web ベース マネージ ャ を使用 し て、 PPTP ク ラ イ ア ン ト の IP ア ド レ スの範囲を指定する方法について説明 し ます。 その他関連する PPTP VPN セ ッ ト ア ッ プ タ ス ク を実行する方法については、 『FortiGate PPTP VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ クが含まれています。 • PPTP の範囲 PPTP の範囲 PPTP ア ド レ スの範囲は、 [PPTP Range] ページ で指定で き ます。 PPTP ア ド レ ス 範囲は、リ モー ト PPTP ク ラ イ ア ン ト 用に予約 さ れたア ド レ スの範囲です。リ モー ト PPTP ク ラ イ ア ン ト が接続する と 、 FortiGate ユニ ッ ト は、 予約 さ れた IP ア ド レ ス範囲か ら IP ア ド レ ス を ク ラ イ ア ン ト PPTP イ ン タ フ ェ ースに割 り 当て ます。 PPTP ク ラ イ ア ン ト は接続中、 割 り 当て られた IP ア ド レ ス を送信元ア ド レ ス と し て使用 し ます。 PPTP を有効に し て、 PPTP ア ド レ ス範囲を指定する には、 [VPN]、[PPTP]、[PPTP Range] の順に選択 し て、 必要なオプ シ ョ ン を選択 し 、 [Apply] を選択 し ます。 図 185: [Edit PPTP Range] [Enable PPTP] オプ シ ョ ン を選択 し ます。 オプ シ ョ ン を選択する前に、 ユーザ グルー プ を追加する必要があ り ます。 346 ページの 「ユーザ グループ」 を参 照 し て く だ さ い。 [Starting IP] 予約する IP ア ド レ ス範囲の開始ア ド レ ス を入力 し ます。 [Ending IP] 予約する IP ア ド レ ス範囲の終了ア ド レ ス を入力 し ます。 [User Group] 定義 し た PPTP ユーザ グループの名前を選択 し ます。 [Disable PPTP] PPTP のサポー ト を無効にするには、 こ のオプ シ ョ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 321 PPTP の範囲 322 VPN - PPTP FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - SSL Config VPN - SSL こ の項では、 Web ベース マネージ ャ で [VPN]、[SSL] の順に選択 し て表示 さ れる ページの機能について説明 し ます。 SSL VPN は、 NAT/ ルー ト モー ド で動作す る FortiGate ユニ ッ ト でのみサポー ト さ れます。 注記 : Web のみのモー ド または ト ン ネル モー ド に関する動作の詳細な設定方法について は、 『FortiGate SSL VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ クが含まれています。 • Config • Monitor Config [Config] ページには、 タ イ ムアウ ト 値や SSL 暗号化の選択な どの、 基本的な SSL VPN の設定が含まれます。 必要に応 じ て、 リ モー ト ク ラ イ ア ン ト の認証にデジ タ ル証明書を使用で き る よ う にする こ と も可能です。 注記 : FortiGate の CLI コ マ ン ド を使えば、 必要に応 じ て、 SSL バージ ョ ン 2 の暗号化を 有効にする こ と がで き ます ( 旧式のブ ラ ウザ と の互換性のため )。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「VPN」 の 「SSL Settings」 を参照 し て く だ さ い。 現在の SSL 設定を表示する には、 [VPN]、[SSL]、[Config] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 323 Config VPN - SSL 図 186: 324 [SSL-VPN Settings] [Enable SSL VPN] SSL VPNのコ ネ ク シ ョ ン を有効にする場合に選択 し ます。 [Login Port] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが FortiGate ユ ニ ッ ト に接続するのに使われる、 通常 と は異な るポー ト 番号を オプ シ ョ ン で入力 し ます。 デ フ ォル ト のポー ト 番号は 10443 です。 [Tunnel IP Range] ト ン ネル モー ド の SSL VPN ク ラ イ ア ン ト 用に予約 さ れ た IP ア ド レ スの範囲を指定 し ます。 予約 さ れた IP ア ド レ ス範囲を決める、 開始ア ド レ ス と 終了ア ド レ ス を入 力 し ます。 [Server Certificate] 認証に使 う 署名済みサーバ証明書を選択 し ます。 デ フ ォル ト の設定 (Self-Signed) のま まに し てお く と 、 FortiGate ユニ ッ ト は、 工場で イ ン ス ト ール さ れた フ ォ ーテ ィ ネ ッ ト の ( 自己署名済み ) 証明書を、 接続の 際に リ モー ト ク ラ イ ア ン ト に提示 し ます。 [Require Client Certificate] リ モー ト ク ラ イ ア ン ト の認証にグループ証明書を使用 で き る よ う にするには、 このオプ シ ョ ン を選択 し ます。 設定以後、 リ モー ト ク ラ イ ア ン ト が接続を開始する と 、 FortiGate ユニ ッ ト はク ラ イ ア ン ト に対 し 、 認証プ ロ セ スの一部 と し て ク ラ イ ア ン ト 側の証明書を要求 し ます。 [Encryption Key Algorithm] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザ と FortiGate ユ ニ ッ ト と の間にセキ ュ ア な SSL コ ネ ク シ ョ ン を確立す る ためのアルゴ リ ズムを選択 し ます。 [Default - RC4(128 bits) and higher] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが 128 ビ ッ ト 以 上の暗号ス イ ー ト に対応で き る場合は、 このオプ シ ョ ン を選択 し ます。 [High - AES(128/256 bits) and 3DES] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザが高度な SSL 暗 号化に対応で き る場合は、 このオプ シ ョ ン を選択 し て、 128 ビ ッ ト を超え る ビ ッ ト 数でデー タ を暗号化する暗号 ス イ ー ト を有効に し ます。 [Low - RC4(64 bits), DES and higher] リ モー ト ク ラ イ ア ン ト の Web ブ ラ ウザでサポー ト さ れ る SSL 暗号化のレベルが分か ら ない場合は、 このオプ シ ョ ン を選択 し て、 64 ビ ッ ト 以上の暗号ス イ ー ト を有 効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - SSL Monitor [Idle Timeout] シ ス テムがユーザを強制的に再ログ イ ン さ せる前に、 コ ネ ク シ ョ ンがア イ ド ル状態のま までい られる時間 ( 秒 単位 ) を入力 し ます。 範囲は 10 ~ 28800 秒です。 この 設定は、 SSL VPN セ ッ シ ョ ンに適用 さ れます。 Web ア プ リ ケーシ ョ ンのセ ッ シ ョ ン または ト ンネルが up し て いる場合、 イ ン タ フ ェ ースは タ イムアウ ト し ません。 [Portal Message] Web ポー タ ル ホームページの最上部に カ ス タ マ イ ズ し た説明文を表示する場合は、 メ ッ セージ を入力 し ます。 [Advanced (DNS and WINS Servers)] [DNS Server #1] [DNS Server #2] ク ラ イ ア ン ト が使用で き る DNS サーバを 2 つまで入力 し ます。 [WINS Server #1] [WINS Server #2] ク ラ イ ア ン ト が使用で き る WINS サーバを 2 つま で入力 し ます。 Monitor ア ク テ ィ ブ なすべての SSL VPN セ ッ シ ョ ンの リ ス ト を表示で き ます。 リ ス ト に は、 リ モー ト ユーザのユーザ名、 リ モー ト ク ラ イ ア ン ト の IP ア ド レ ス、 コ ネ ク シ ョ ンが張 られた時間が表示 さ れます。 また、 提供 さ れてい るサービ ス も明示 さ れます。 ア ク テ ィ ブ な SSL VPN セ ッ シ ョ ンの リ ス ト を表示する には、 [VPN]、[SSL]、 [Monitor] の順に選択 し ます。 図 187: モニタ リスト 削除 [No.] コ ネ ク シ ョ ンの識別番号。 [User] 接続 し たすべての リ モー ト ユーザのユーザ名。 [Source IP] FortiGate ユニ ッ ト に接続 し たホス ト デバイ スの IP ア ド レ ス。 [Begin Time] 各 コ ネ ク シ ョ ンの開始時間。 [Description] 提供 さ れているサービ スに関する情報。 ト ン ネルモー ド のユーザが接続 し ている場合、 [Description] フ ィ ール ド には、 FortiGate ユニ ッ ト がその リ モー ト ク ラ イ ア ン ト に対 し て割 り 当てた IP ア ド レ スが表示 さ れます。 削除アイコン ト ン ネルを削除 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 325 Monitor 326 VPN - SSL FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - 証明書 ローカル証明書 VPN - 証明書 こ の項では、 FortiGate Web ベース マネージ ャ を用いて X.509 セキ ュ リ テ ィ 証明 書を管理する方法について説明 し ます。 証明書要求の生成、 署名済み証明書のイ ン ス ト ール、 CA ルー ト 証明書 と 証明書失効 リ ス ト のイ ン ポー ト 、 お よび イ ン ス ト ール さ れた証明書 と 秘密鍵のバ ッ ク ア ッ プ と 復元を行 う 場合は、 こ の項を参照 し て く だ さ い。 さ ら に詳 し い情報については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • ロー カル証明書 リ モー ト 証明書 CA 証明書 CRL ローカル証明書 ロー カル証明書 リ ス ト には、 証明書要求 と イ ン ス ト ール さ れたサーバ証明書が表 示 さ れます。 CA に要求を送信する と 、 CA は情報を検証 し 、 シ リ アル番号、 有 効期限、 お よび CA の公開鍵が含まれたデジ タ ル証明書に連絡先情報を登録 し ま す。 その後、 CA は署名を施 し て、 FortiGate ユニ ッ ト に イ ン ス ト ールで き る よ う 、 その署名済み証明書を送 り 返 し て き ます。 証明書要求を表示 し た り 、 署名済みサーバ証明書を イ ンポー ト し た り する には、 [VPN]、[Certificates]、[Local Certiicates] の順に選択 し ます。 証明書の詳細を 表示する には、 その証明書に対応する列の [ 証明書の詳細表示 ] ア イ コ ン を選択 し ます。 リ ス ト の最初のエ ン ト リ は、 FortiGate ユニ ッ ト の自己署名済み証明書です。 こ れを削除する こ と はで き ません。 図 188: ローカル証明書リスト ダウ ン ロ ー ド 証明書の詳細表示 [Generate] ロー カル証明書要求を生成 し ます。 328 ページの 「証明書要求の生成」 を参照 し て く だ さ い。 [Import] 署名済みロー カル証明書を イ ンポー ト し ます。 330 ページの 「署名済 みサーバ証明書のイ ンポー ト 」 を参照 し て く だ さ い。 [Name] 既存のロー カル証明書および証明書が生成 さ れていない要求の名前。 [Subject] 署名済みロー カル証明書の識別名 (DN)。 [Status] ロー カル証明書のステー タ ス。 "PENDING" は、 ダウン ロー ド し て署 名する必要のある証明書要求を示 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 327 ローカル証明書 VPN - 証明書 [ 証明書の詳細表示 ] 証明書の名前、 発行者、 識別名、 および証明書の有効期間 と い っ た証 明書の詳細を表示 し ます。 図 189 を参照 し て く だ さ い。 アイコン 削除アイコン 選択 さ れた証明書要求またはイ ン ス ト ール さ れたサーバ証明書を FortiGate の設定から 削除 し ます。 こ のア イ コ ンは、 証明書が削除可能 である場合のみ使用で き ます。 ダウンロード アイコン 証明書要求のコ ピーを ロー カル コ ン ピ ュ ー タ に保存 し ます。 FortiGate ユニ ッ ト の署名済みサーバ証明書を取得するには、 CA に要求を送信 し て く だ さ い。 図 189: 証明書の詳細情報 デジ タ ル証明書の取得お よび イ ン ス ト ールに関する詳細 と 手順については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 証明書要求の生成 FortiGate ユニ ッ ト は、 FortiGate ユニ ッ ト を識別する ために入力 さ れた情報に基づ いて、 証明書要求を生成 し ます。 生成 さ れた要求は、 PENDING ・ のス テー タ ス で ロ ー カル証明書 リ ス ト に表示 さ れます。 証明書要求の生成後、 FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ に、 その要求を ダウ ン ロー ド し 、 さ ら に CA に転送する こ と がで き ます。 証明書要求を作成する には、 [VPN]、[Certificates]、[Local Certificates] の順に選 択 し て、 [Generate] を選択 し ます。 証明書要求を ダウ ン ロー ド し て CA に送信す る には、 330 ページの 「証明書要求のダウン ロ ー ド と 送信」 を参照 し て く だ さ い。 328 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - 証明書 ローカル証明書 図 190: 証明書署名要求の生成 [Certification Name] 証明書名を入力 し ます。 こ れは通常、 FortiGate ユニ ッ ト の名前です。 必要であれば、 後に署名済み証明書を PKCS12 フ ァ イル と し てエ ク スポー ト で き る よ う 、 名前 にスペース を含めないでおいて く だ さ い。 [Subject Information] FortiGate ユニ ッ ト を識別するために必要な情報を入力 し ます。 [Host IP] FortiGate ユニ ッ ト の IP ア ド レ スがス タ テ ィ ッ ク である 場合は、 [Host IP] を選択 し て、 FortiGate ユニ ッ ト のパブ リ ッ ク IP ア ド レ ス を入力 し ます。 FortiGate ユニ ッ ト に パブ リ ッ ク IP ア ド レ スがない場合は、 代わ り に電子 メ ール ア ド レ ス ( または ド メ イ ン名 ) を使用 し ます。 [Domain Name] FortiGate ユニ ッ ト がス タ テ ィ ッ ク IP ア ド レ ス を持ち、 ダ イ ナ ミ ッ ク DNS サービ スに登録 さ れている場合、 可 能であれば FortiGate ユニ ッ ト を識別する ために ド メ イ ン名を使用 し ます。 [Domain Name] を選択する場合は、 FortiGate ユニ ッ ト の完全修飾 ド メ イ ン名 (FQDN) を入力 し ます。 プ ロ ト コ ル仕様 (http://) やポー ト 番号またはパ ス名は一切含めないで く だ さ い。 ド メ イ ン名が使用で き ず、 FortiGate ユニ ッ ト がダ イ ナ ミ ッ ク DNS サービ スに 登録 さ れている場合は、 FortiGate ユニ ッ ト のパブ リ ッ ク IP ア ド レ スが変わる たびに、 "unable to verify certificate" ( 証明書を確認で き ません ) と い う よ う な メ ッ セージが ユーザのブ ラ ウザに表示 さ れる場合があ り ます。 [E-Mail] [E-Mail] を選択する場合は、 FortiGate ユニ ッ ト 所有者の 電子 メ ール ア ド レ ス を入力 し ます。 [Optional Information] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [Optional Information] のフ ィ ール ド はすべてオプ シ ョ ン です。 [Organization Unit] 部署名を入力 し ます。 [Organization] 会社または組織の正式名称 ( 商号 ) を入力 し ます。 [Locality (City)] FortiGate ユニ ッ ト が設置 さ れてい る市または町の名前を 入力 し ます。 [State/Province] FortiGate ユニ ッ ト が設置 さ れてい る都道府県または州の 名前を入力 し ます。 329 ローカル証明書 VPN - 証明書 [Country] FortiGate ユニ ッ ト が設置 さ れている国を選択 し ます。 [e-mail] 連絡先の電子 メ ール ア ド レ ス を入力 し ます。 [Key Type] RSA のみサポー ト さ れます。 [Key Size] “1024 Bit”、 “1536 Bit”、 または “2048 Bit” を選択 し ま す。 キーのサイ ズを大き く するほど生成に時間がかか り ますが、 セキ ュ リ テ ィ は向上 し ます。 [Enrollment Method] [File Based] 証明書要求を生成するには、 [File Based] を選択 し ます。 [Online SCEP] SCEP ベースの署名済み証明書を ネ ッ ト ワー ク 上で自動 的に取得するには、 [Online SCEP] を選択 し ます。 [CA Server URL] :CA 証明書を取 り 出す SCEP サーバの URL を入力 し ます。 [Challenge Password] :CA サーバのチ ャ レ ン ジ パスワー ド を入力 し ます。 証明書要求のダウンロードと送信 CA に証明書要求を送信する前に、 必要な項目を入力 し 、 証明書要求を生成する 必要があ り ます。 詳細については、 328 ページの 「証明書要求の生成」 を参照 し て く だ さ い。 証明書要求をダウンロードして送信するには 1 [VPN]、[Certificate]、[Local Certificates] の順に選択 し ます。 2 [Local Certificates] リ ス ト で、 生成 さ れた証明書要求に対応する列の [ ダウ ン ロ ー ド ] ア イ コ ン を選択 し ます。 3 [File Download] ダ イ ア ロ グ ボ ッ ク スで [Save to Disk] を選択 し ます。 4 フ ァ イルに名前を付け、 ロー カル フ ァ イル シ ス テムに保存 し ます。 5 次のよ う に し て要求を CA に送信 し ます。 • 管理 コ ン ピ ュ ー タ の Web ブ ラ ウザで CA の Web サイ ト を閲覧 し ます。 • CA の指示に従っ て、 base-64 で エ ン コ ー ド さ れた PKCS#12 の証明書要求を ア ッ プ ロ ー ド し ます。 • CA の指示に従っ てルー ト 証明書 と 証明書失効 リ ス ト (CRL) を ダウン ロー ド し た後、 そのルー ト 証明書 と CRL を各 リ モー ト ク ラ イ ア ン ト に イ ン ス ト ール し ます ( ブ ラ ウザの ド キ ュ メ ン ト を参照 し て く だ さ い )。 6 CA か ら署名済み証明書を受け取 っ た ら、 その証明書を FortiGate ユニ ッ ト に イ ン ス ト ール し ます。 330 ページの 「署名済みサーバ証明書のイ ン ポー ト 」 を参照 し て く だ さ い。 署名済みサーバ証明書のインポート FortiGate ユニ ッ ト に イ ン ス ト ールする署名済みサーバ証明書は、 CA か ら提供 さ れます。 CA から署名済みサーバ証明書を受け取っ た ら、 FortiGate ユニ ッ ト への 管理ア ク セスが可能な コ ン ピ ュ ー タ にその証明書を保存 し ます。 署名済みサーバ証明書を イ ン ス ト ールする には、 [VPN]、[Certificates]、[Local Certificates] の順に選択 し て、 [Import] を選択 し ます。 署名済み証明書は、 ペー ジの上部にある [Upload Local Certificate] ダ イ ア ロ グ ボ ッ ク ス を使 っ て イ ン ス ト ール し ます。 証明書フ ァ イルは、 PEM または DER のいずれの フ ォ ーマ ッ ト も 可能です。 その他のダ イ ア ロ グ ボ ッ ク スは、 以前にエ ク スポー ト さ れた証明書 お よび秘密鍵を イ ン ポー ト する ためのも のです。 330 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - 証明書 ローカル証明書 図 191: ローカル証明書のアップロード [Certificate File] 署名済みサーバ証明書の完全なパス と フ ァ イル名を入力 し ます。 [Browse] あるいは このア イ コ ン を押 し て、 証明書が保存 さ れている管理 コ ン ピ ュ ー タ 上の場所を表示 し 、 証明書を選択 し て、 [OK] を選択 し ます。 エクスポートされたサーバ証明書および秘密鍵のインポート イ ンポー ト するサーバ証明書およ び秘密鍵は、 CLI コ マ ン ド execute vpn certificate key export を使 う こ と で、一つの PKCS12 フ ァ イル と し てすで にエ ク スポー ト さ れてい るはずです。 フ ァ イルにはパスワー ド が付け ら れている ので、 フ ァ イルを イ ンポー ト する にはそのパスワー ド を知 っ ている必要があ り ま す。 作業を開始する前には、 FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ に、 フ ァ イルの コ ピーを保存 し てお き ます。 詳細については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 PKCS12 フ ァ イルを イ ン ポー ト する には、 [VPN]、[Certificates]、[Local Certificates] の順に選択 し て、 [Import] を選択 し ます。 図 192: PKCS12 証明書のアップロード [Certificate with key file] 以前にエ ク スポー ト さ れた PKCS12 フ ァ イルの完全なパス と フ ァ イル名を入力 し ます。 [Browse] あるいは このア イ コ ン を押 し て、 PKCS12 フ ァ イルが保存 さ れて いる管理 コ ン ピ ュ ー タ 上の場所を表示 し 、 フ ァ イルを選択 し て、 [OK] を選択 し ます。 [Password] PKCS12 フ ァ イルを ア ッ プ ロー ド するのに必要なパスワー ド を入 力 し ます。 サーバ証明書および秘密鍵ファイルの個別インポート サーバ証明書要求 と 秘密鍵を FortiGate ユニ ッ ト で生成 し ていない場合は、 [Upload Certificate] ダ イ ア ロ グ ボ ッ ク ス を使用 し て、 サーバ証明書 と それに対応 する秘密鍵の フ ァ イルを イ ンポー ト し ます。 イ ンポー ト する 2 つのフ ァ イルは、 管理 コ ン ピ ュ ー タ で利用で き る必要があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 331 リモート証明書 VPN - 証明書 図 193: 証明書のアップロード [Certificate File] 以前にエ ク スポー ト さ れた証明書フ ァ イルの完全なパス と フ ァ イ ル名を入力 し ます。 [Key file] 以前にエ ク スポー ト さ れた鍵フ ァ イルの完全なパス と フ ァ イル名 を入力 し ます。 [Browse] 以前にエ ク スポー ト さ れた証明書フ ァ イルや鍵フ ァ イルの場所を 表示 し 、 フ ァ イルを選択 し て、 [OK] を選択 し ます。 [Password] フ ァ イルを ア ッ プ ロー ド し て開 く のにパスワー ド が必要な場合 は、 パスワー ド を入力 し ます。 リモート証明書 注記 : 証明書フ ァ イルで、 40 ビ ッ ト の RC2-CBC 暗号化を使用 し てはいけません。 動的な証明書の失効確認には、OCSP (Online Certificate Status Protocol) サーバが使 用さ れます。 リ モー ト 証明書は、 秘密鍵のない公開証明書です。 OCSP は CLI での み設定で き ます。 詳細については、 『FortiGate CLI ガ イ ド 』 を参照 し て く だ さ い。 注記 : OCSP サーバは vdom ご と に 1 つだけ設定で き ます。 図 194: リモート証明書リスト イ ン ス ト ール さ れた リ モー ト (OCSP サーバ ) 証明書は、 [Remote Certificates] リ ス ト に表示 さ れます。 イ ン ス ト ール さ れた リ モー ト (OCSP サーバ ) 証明書を表示 し た り 、 イ ン ポー ト し た り する には、 [VPN]、[Certificates]、[Remote] の順に選択 し ます。 証明書の 詳細を表示する には、 その証明書に対応する列の [ 証明書の詳細表示 ] ア イ コ ン を選択 し ます。 332 [Import] OCSP サーバの公開証明書を イ ンポー ト し ます。 334 ページの 「CA 証明書のイ ンポー ト 」 を参照 し て く だ さ い。 [Name] 既存の リ モー ト (OCSP サーバ ) 証明書の名前。 FortiGate ユニ ッ ト は、 イ ンポー ト の際、 リ モー ト (OCSP サーバ ) 証明書に一意の名前 (REMOTE_Cert_1、 REMOTE_Cert_2、 REMOTE_Cert_3 な ど ) を 指定 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - 証明書 CA 証明書 [Subject] リ モー ト (OCSP サーバ ) 証明書に関する情報。 削除アイコン FortiGate の設定から リ モー ト (OCSP サーバ ) 証明書を削除 し ます。 [ 証明書の詳細表示 ] 証明書の詳細を表示 し ます。 アイコン ダウンロード アイコン リ モー ト (OCSP サーバ ) 証明書の コ ピーを ロー カル コ ン ピ ュ ー タ に保存 し ます。 リモート (OCSP サーバ ) 証明書のインポート リ モー ト (OCSP サーバ ) 証明書を イ ンポー ト する には、 [VPN]、[Certificates]、 [Remote] の順に選択 し て、 [Import] を選択 し ます。 図 195: [Local PC] リモート証明書のアップロード ロー カル管理者の PC を使用 し て、 公開証明書を ア ッ プ ロー ド し ます。 証明書が保存 さ れている管理 コ ン ピ ュ ー タ 上の場所を入力 するか、 または表示 し て、 証明書を選択 し 、 [OK] を選択 し ます。 シ ス テムは、 リ モー ト (OCSP サーバ ) 証明書のそれぞれに一意の名前を割 り 当て ま す。 名前には、 順に番号が付 さ れま す (REMOTE_Cert_1、 REMOTE_Cert_2、 REMOTE_Cert_3 な ど )。 CA 証明書 リ モー ト ク ラ イ ア ン ト に イ ン ス ト ールする ための署名済みの個人 ( 管理 ) 証明書 またはグループ証明書を申請する際は、 対応する発行 CA からルー ト 証明書 と CRL を取得する必要があ り ます。 個人またはグループの署名済み証明書を受け取っ た ら、 ブ ラ ウザの指示に従っ て その署名済み証明書を リ モー ト ク ラ イ ア ン ト に イ ン ス ト ール し ます。 対応する 発行 CA か らのルー ト 証明書 と CRL も、 FortiGate ユニ ッ ト に イ ン ス ト ール し て お き ます。 イ ン ス ト ール さ れ た CA 証明書は、 [CA Certificates] リ ス ト に 表示 さ れ ま す。 Fortinet_CA 証明書は削除で き ません。 イ ン ス ト ール さ れた CA ルー ト 証明書を表 示 し た り 、 イ ン ポー ト し た り する には、 [VPN]、[Certificates]、[CA Certificates] の順に選択 し ます。 ルー ト 証明書の詳細を表示する には、 その証明書に対応する 列の [ 証明書の詳細表示 ] ア イ コ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 333 CA 証明書 VPN - 証明書 図 196: CA 証明書リスト 証明書の詳細表示 ダウン ロー ド [Import] CA ルー ト 証明書を イ ンポー ト し ます。 334 ページの 「CA 証明書の イ ンポー ト 」 を参照 し て く だ さ い。 [Name] 既存の CA ルー ト 証明書の名前。 FortiGate ユニ ッ ト は、 イ ンポー ト の際、 CA 証明書に一意の名前 (CA_Cert_1、 CA_Cert_2、 CA_Cert_3 な ど ) を指定 し ます。 [Subject] 発行 CA に関する情報。 削除アイコン FortiGate の設定か ら CA ルー ト 証明書を削除 し ます。 [ 証明書の詳細表示 ] 証明書の詳細を表示 し ます。 アイコン ダウンロード アイコン CA ルー ト 証明書の コ ピーを ロー カル コ ン ピ ュ ー タ に保存 し ます。 デジ タ ル証明書の取得お よび イ ン ス ト ールに関する詳細 と 手順については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 CA 証明書のインポート CA のルー ト 証明書を ダウ ン ロー ド し た ら、 FortiGate ユニ ッ ト への管理ア ク セス が可能な PC にその証明書を保存 し ます。 CA ルー ト 証明書を イ ンポー ト する には、 [VPN]、[Certificates]、[CA Certificates] の順に選択 し て、 [Import] を選択 し ます。 図 197: CA 証明書のインポート [SCEP] ユーザ認証を行 う 際の CA 証明書へのア ク セスに SCEP サーバを使用す る場合に選択 し ます。 CA 証明書を取 り 出す SCEP サーバの URL を入力 し ます。 オプ シ ョ ン で、 た と えばフ ァ イル名な ど、 CA の識別情報を入力 し ます。 [OK] を選択 し ます。 [Local PC] 公開証明書のア ッ プ ロー ド にロー カル管理者の PC を使用する場合に選 択 し ます。 証明書が保存 さ れている管理コ ン ピ ュ ー タ 上の場所を入力す るか、 または表示 し て、 証明書を選択 し 、 [OK] を選択 し ます。 [OK] を選択 し 、 SCEP サーバを通 じ て証明書を イ ンポー ト する こ と を選択する と 、 シ ス テムはただ ち に証明書の取 り 込み処理を開始 し ます。 シ ス テムに よ り 、 CA 証明書のそれぞれに一意の名前が指定 さ れます。 名前には、 順に番号が付 さ れます (CA_Cert_1、 CA_Cert_2、 CA_Cert_3 な ど )。 334 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 VPN - 証明書 CRL CRL 証明書失効 リ ス ト (CRL) と は、 CA が発行 し た証明書 と 、 その証明書のス テー タ ス を リ ス ト に し た ものです。 イ ン ス ト ール さ れた CRL は CRL リ ス ト に表示 さ れ ます。 FortiGate ユニ ッ ト は、 CRL を使用 し て、 CA と リ モー ト ク ラ イ ア ン ト の 証明書が有効である こ と を確認 し ます。 イ ン ス ト ール さ れた CRL を表示する には、 [VPN]、[Certificates]、[CRL] の順に 選択 し ます。 図 198: 証明書失効リスト 証明書の詳細表示 ダウ ン ロー ド [Import] CRL を イ ンポー ト し ます。 335 ページの 「証明書失効 リ ス ト のイ ン ポー ト 」 を参照 し て く だ さ い。 [Name] 既存の証明書失効 リ ス ト の名前。 FortiGate ユニ ッ ト は、 イ ンポー ト の際、 証明書失効 リ ス ト に一意の名前 (CRL_1、 CRL_2、 CRL_3 など ) を指定 し ます。 [Subject] 証明書失効 リ ス ト に関する情報。 削除アイコン 選択 さ れた CRL を FortiGate の設定から 削除 し ます。 [ 証明書の詳細表示 ] 発行者名や CRL 更新日 と い っ た CRL の詳細を表示 し ます。 図 199 の例を参照 し て く だ さ い。 アイコン ダウンロード アイコン 図 199: CRL の コ ピーを ロー カル コ ン ピ ュ ー タ に保存 し ます。 CRL 証明書の詳細 証明書失効リストのインポート 証明書を取 り 消 さ れた ク ラ イ ア ン ト がFortiGateユニ ッ ト と 接続で き ないよ う にす る ため、 FortiGate は、 CA Web サイ ト からの証明書失効 リ ス ト を定期的に更新 し てお く 必要があ り ます。CAのWebサイ ト か ら CRL を ダウン ロー ド し た ら、FortiGate ユニ ッ ト への管理ア ク セスが可能な コ ン ピ ュ ー タ にその CRL を保存 し ます。 注記 : CRL の取 り 込み先 と し て、 LDAP サーバ、 HTTP サーバ、 または SCEP サーバ、 あ るいはそれ らの組み合わせが設定 さ れてい る場合、 FortiGate ユニ ッ ト に CRL のコ ピーが なか っ た り 、 現在の コ ピーが期限切れにな っ ていた り する と 、 最新版がサーバか ら自動的 に読み出 さ れます。 証明書失効 リ ス ト を イ ンポー ト する には、 [VPN]、[Certificates]、[CRL] の順に 選択 し て、 [Import] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 335 CRL VPN - 証明書 図 200: CRL のインポート [HTTP] CRL を取 り 込むのに HTTP サーバを使用する際に選択 し ます。 HTTP サーバの URL を入力 し ます。 [LDAP] CRL を取 り 込むのに LDAP サーバを使用する際に選択 し ます。 ド ロ ッ プ ダウン リ ス ト から LDAP サーバを選択 し ます。 [SCEP] CRL を取 り 込むのに SCEP サーバを使用する際に選択 し ます。 ド ロ ッ プ ダウン リ ス ト から ロー カル証明書を選択 し ます。 CRL を 取 り 込むこ と ので き る SCEP サーバの URL を入力 し ます。 [Local PC] 公開証明書のア ッ プ ロー ド にロー カル管理者の PC を使用する場 合に選択 し ます。 証明書が保存 さ れている管理コ ン ピ ュ ー タ 上の 場所を入力するか、 または表示 し て、 証明書を選択 し 、 [OK] を 選択 し ます。 シ ス テムに よ り 、 各 CRL に一意の名前が指定 さ れます。 名前には、 順に番号が 付 さ れます (CRL_1、 CRL_2、 CRL_3 な ど )。 336 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ユーザ認証の設定 ユーザ こ の項では、 ユーザ ア カ ウ ン ト 、 ユーザ グループ、 およ び外部の認証サーバを 設定する方法について説明 し ます。 こ れらは、 ネ ッ ト ワー ク リ ソ ースへのア ク セス を制御する ために使用で き る、 ユーザ認証の コ ン ポーネ ン ト です。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • • ユーザ認証の設定 ロー カル ユーザ ア カ ウ ン ト RADIUS サーバ LDAP サーバ PKI 認証 Windows AD サーバ ユーザ グループ ピ アお よびピ ア グループの設定 ユーザ認証の設定 FortiGate の認証は、 ユーザ グループ ご と にア ク セス を制御 し ますが、 ユーザ グ ループ を作成 し て も認証の設定手順を開始 し た こ と にはな り ません。 ユーザ認証 は、 次の順序で設定する必要があ り ます。 1 RADIUS または LDAP サーバを使用 し た外部の認証が必要な場合は、 これ らの サーバへのア ク セス を設定 し ます。 340 ページの 「RADIUS サーバ」 お よび 341 ページの 「LDAP サーバ」 を参照 し て く だ さ い。 2 [User]、[Local] で、 ロー カル ユーザ ア カ ウン ト を設定 し ます。 各ユーザについ て、 パスワー ド を FortiGate ユニ ッ ト 、 RADIUS サーバ、 または LDAP サーバの いずれで確認するかを選択で き ます。 339 ページの 「ロー カル ユーザ ア カ ウ ン ト 」 を参照 し て く だ さ い。 3 認証に Microsoft Windows Active Directory サーバを使用 し てい る場合は、 その サーバへのア ク セス を設定 し ます。 345 ページの 「Windows AD サーバの設定」 を参照 し て く だ さ い。 Active Directory サーバによ っ て認証 さ れたユーザには、 FortiGate ユニ ッ ト 上のロー カル ユーザ ア カ ウ ン ト は必要あ り ません。 Windows ネ ッ ト ワー ク上に FSAE (Fortinet Server Authentication Extensions) を イ ン ス ト ー ルする必要があ り ます。 4 管理ア ク セス (HTTPS GUI)、 IPSec、 SSL-VPN、 お よび Web ベースの認証のため に証明書ベースの認証を使用する には、 [User]、[PKI] を使用 し て設定 し ます。 344 ページの 「PKI ユーザの設定」 を参照 し て く だ さ い。 5 [User]、[User Group] でユーザ グループ を作成 し 、 メ ンバを追加 し ます。 ユー ザ グループには、 フ ァ イ アウ ォ ール、 Active Directory、 お よび SSL VPN の 3 種 類があ り ます。 349 ページの 「ユーザ グループの設定」 を参照 し て く だ さ い。 PKI 認証には、 フ ァ イ アウ ォ ール ユーザ グループ と SSL VPN ユーザ グループの みが使用可能です。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 337 ユーザ認証の設定 ユーザ 認証タイムアウトの設定 認証 タ イ ムアウ ト は、 ユーザの再度の認証が必要にな る までに、 認証 さ れた フ ァ イ アウ ォ ール接続がア イ ド ル状態を維持で き る期間を制御 し ます。 認証タイムアウトを設定するには 1 [User]、[Authentication]、[Authentication] の順に選択 し ます。 2 [Authentication Timeout] に数値 ( 分単位 ) を入力 し ます。 デ フ ォ ル ト の認証 タ イ ムアウ ト は 30 分です。 図 201: ユーザ認証の設定 ユーザ認証のプロトコル サポートの設定 ユーザ認証は、 次のプ ロ ト コ ルに対 し て実行で き ます。 • • • • HTTP (HTTPS に リ ダ イ レ ク ト する よ う に も設定可能 ) HTTPS FTP Telnet フ ァ イ アウ ォ ール ポ リ シーでユーザ認証が有効にな っ ている場合、 認証チ ャ レ ン ジは通常、 こ の 4 つのいずれのプ ロ ト コ ルに対 し て も発行 さ れます ( 接続プ ロ ト コ ルに よ る )。 [Protocol Support] リ ス ト で選択を行 う こ と に よ っ て、 ユーザ は、 どのプ ロ ト コ ルが認証チ ャ レ ン ジ をサポー ト するかを制御 し ます。 ユーザ は、 最初に、 サポー ト さ れてい る プ ロ ト コ ルで接続する必要があ り ます。 それに よ っ て、 その後は他のプ ロ ト コ ルで も接続で き る よ う にな り ます。 認証のプロトコル サポートを設定するには [User]、[Authentication]、[Authentication] の順に選択 し 、 [Protocol Support] で 必要な認証プ ロ ト コ ルを選択 し ます。 338 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ローカル ユーザ アカウント 図 202: ユーザ認証の設定 - プロトコル サポート ローカル ユーザ アカウント ロー カル ユーザ ア カ ウ ン ト を追加 し 、 認証を設定する には、 [User]、[Local] の 順に選択 し ます。 図 203: ローカル ユーザのリスト [Create New] 新 し いロー カル ユーザ ア カ ウン ト を追加 し ます。 [User Name] ロー カル ユーザ名。 [Type] このユーザに対 し て使用する認証の種類。 削除アイコン このユーザを削除 し ます。 注記 : 削除ア イ コ ンは、 こ のユーザがユーザ グループに属 し ている場 合は使用で き ません。 編集アイコン このユーザ ア カ ウン ト を編集 し ます。 注記 : ユーザ名を削除する と 、 そのユーザ用に設定 さ れた認証が削除 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 339 RADIUS サーバ ユーザ ユーザ アカウントの設定 [User]、[Local] の順に選択 し 、 [Create New] か、 または既存のユーザ ア カ ウ ン ト の編集ア イ コ ン を選択 し ます。 図 204: ローカル ユーザのオプション [User Name] ユーザ名を入力または編集 し ます。 [Disable] こ のユーザが認証 さ れないよ う にするには、 [Disable] を選択 し ます。 [Password] FortiGate ユニ ッ ト に格納 さ れているパスワー ド を使用 し て こ のユーザ を認証するには、 [Password] を選択 し ます。 パスワー ド を入力または編集 し ます。 パスワー ド は、 6 文字以上の長 さ にする必要があ り ます。 [LDAP] LDAP サーバに格納 さ れているパスワー ド を使用 し て このユーザを認 証するには、 [LDAP] を選択 し ます。 ド ロ ッ プ ダウン リ ス ト か ら LDAP サーバを選択 し ます。 注記 :FortiGate の LDAP 設定に追加 さ れている LDAP サーバのみを選 択で き ます。 341 ページの 「LDAP サーバ」 を参照 し て く だ さ い。 [RADIUS] RADIUS サーバに格納 さ れているパスワー ド を使用 し て こ のユーザを 認証するには、 [RADIUS] を選択 し ます。 ド ロ ッ プダウン リ ス ト から 、 RADIUS サーバを選択 し ます。 注記 :FortiGate の RADIUS 設定に追加 さ れている RADIUS サーバのみ を選択で き ます。 340 ページの 「RADIUS サーバ」 を参照 し て く だ さ い。 RADIUS サーバ RADIUS のサポー ト が設定 さ れてお り 、 RADIUS サーバを使用 し てユーザを認証 する必要がある場合、 FortiGate ユニ ッ ト は認証のためにそのユーザの資格情報 を RADIUS サーバに送信 し ます。 RADIUS サーバがそのユーザを認証で き る場合、 そのユーザは FortiGate ユニ ッ ト で正常に認証 さ れます。 RADIUS サーバがその ユーザを認証で き ない場合、 その接続は FortiGate ユニ ッ ト によ っ て拒否 さ れま す。 注記 : RADIUS ト ラ フ ィ ッ ク のデ フ ォル ト ポー ト は 1812 です。 RADIUS サーバがポー ト 1645 を使用 し ている場合は、 CLI を使用 し てデ フ ォル ト の RADIUS ポー ト を変更 し ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 にある config system global コ マ ン ド を参照 し て く だ さ い。 RADIUS サーバを設定する には、 [User]、[RADIUS] の順に選択 し ます。 340 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ LDAP サーバ 図 205: RADIUS サーバのリスト [Create New] 新 し い RADIUS サーバを追加 し ます。 [Name] FortiGate ユニ ッ ト 上の RADIUS サーバの名前。 [Server Name/IP] RADIUS サーバの ド メ イ ン名または IP ア ド レ ス。 削除アイコン この RADIUS サーバの設定を削除 し ます。 注記 : ユーザ グループに追加 さ れている RADIUS サーバを削除する こ と はで き ません。 編集アイコン この RADIUS サーバの設定を編集 し ます。 RADIUS サーバの設定 [User]、[RADIUS] の順に選択 し 、 [Create New] か、 または既存の RADIUS サーバ の編集ア イ コ ン を選択 し ます。 図 206: RADIUS の設定 [Name] RADIUS サーバの識別に使用 さ れる名前を入力または編集 し ます。 [Server Name/IP] RADIUS サーバの ド メ イ ン名または IP ア ド レ ス を入力または編集し ます。 [Server Secret] RADIUS サーバ シー ク レ ッ ト を入力または編集 し ます。 LDAP サーバ LDAP のサポー ト が設定 さ れてお り 、 LDAP サーバを使用 し てユーザを認証する 必要があ る場合、 FortiGate ユニ ッ ト は認証のために LDAP サーバに接続 し ます。 FortiGate ユニ ッ ト で認証 さ れる ために、 ユーザはユーザ名 と パスワー ド を入力 し ます。 FortiGate ユニ ッ ト は、 こ のユーザ名 と パスワー ド を LDAP サーバに送 信 し ます。 LDAP サーバがそのユーザを認証で き る場合、 そのユーザは FortiGate ユニ ッ ト で正常に認証 さ れます。 LDAP サーバがそのユーザを認証で き ない場 合、 その接続は FortiGate ユニ ッ ト に よ っ て拒否 さ れます。 FortiGate ユニ ッ ト は、 ユーザ名 と パスワー ド を検索お よび検証する ための、 RFC2251 で規定 さ れた LDAP プ ロ ト コル機能をサポー ト し ています。 FortiGate の LDAP は、 LDAP v3 に準拠 し たすべての LDAP サーバをサポー ト し ています。 さ ら に、 FortiGate の LDAP は、 LDAP over SSL/TLS もサポー ト し ています。 SSL/TLS 認証を設定する には、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate の LDAP サポー ト は、 一部の LDAP サーバで使用可能な、 パスワー ド 有効期限の通知な どの独自の機能には対応 し ていません。 FortiGate の LDAP サ ポー ト では、 認証が失敗 し た理由に関する情報はユーザに提供 さ れません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 341 LDAP サーバ ユーザ LDAP サーバを設定する には、 [User]、[LDAP] の順に選択 し ます。 図 207: LDAP サーバのリスト [Create New] 新 し い LDAP サーバを追加 し ます。 [Name] FortiGate ユニ ッ ト 上の LDAP サーバを識別する名前。 [Server Name/IP] LDAP サーバの ド メ イ ン名または IP ア ド レ ス。 [Port] LDAP サーバ と の通信に使用 さ れるポー ト 。 [Common Name identifier] LDAP サーバの共通名識別子。 ほ と んどの LDAP サーバの共通名識別 子は cn です。 ただ し 、 一部のサーバは、 uid な どの他の共通名識別子 を使用 し ています。 [Distinguished Name] LDAP サーバ上のエ ン ト リ の検索に使用 さ れる識別名。 この識別名に は、 共通名識別子よ り 上にある LDAP デー タ ベース オブ ジ ェ ク ト ク ラ スの階層が反映 さ れています。 削除アイコン こ の LDAP サーバの設定を削除 し ます。 編集アイコン こ の LDAP サーバの設定を編集 し ます。 LDAP サーバの設定 [User]、[LDAP] の順に選択 し 、 [Create New] か、 または既存の LDAP サーバの編 集ア イ コ ン を選択 し ます。 図 208: LDAP サーバの設定 [Name] LDAP サーバの識別に使用 さ れる名前を入力または編集 し ます。 [Server Name/IP] LDAP サーバの ド メ イ ン名または IP ア ド レ ス を入力または編集 し ます。 342 [Server Port] LDAP サーバ と の通信に使用 さ れるポー ト を入力または編集 し ます。 デ フ ォル ト では、 LDAP はポー ト 389 を使用 し ます。 [Common Name identifier] LDAP サーバの共通名識別子を入力または編集 し ます。 最大 20 文字ま で入力で き ます。 ほ と んどの LDAP サーバの共通名識別子は cn です。 ただ し 、 一部の サーバは、 uid などの他の共通名識別子を使用 し ています。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ PKI 認証 [Distinguished Name] LDAP サーバ上のエ ン ト リ の検索に使用 さ れる識別名を入力または編 集 し ます。 正 し い X.500 または LDAP 形式を使用 し て、 このサーバの基本識別名 を入力 し ます。 FortiGate ユニ ッ ト は、 こ の識別名を、 変更せずにその ま まサーバに渡 し ます。 た と えば、 次の基本識別名を使用で き ます。 ou=marketing,dc=fortinet,dc=com こ こ で、 ou は組織単位であ り 、 dc は ド メ イ ン コ ンポーネ ン ト です。 また、識別名に同 じ フ ィ ール ド の複数のイ ン ス タ ン ス を指定する こ と も で き ます。た と えば、複数の組織単位を指定するには次のよ う に し ます。 ou=accounts,ou=marketing,dc=fortinet,dc=com クエリ アイコン 基本識別名に対する LDAP サーバの識別名 ク エ リ ツ リ ーを表示 し ます。 [LDAP Distinguished Name Query] リ ス ト には、 こ の LDAP サーバの IP ア ド レ ス と 、 この LDAP サーバの共通名識別子に関連付け ら れたすべ ての識別名が表示 さ れます。 このツ リ ーは、 識別名フ ィ ール ド への適 切な入力を決定する ために役立ち ます。 関連付け ら れた識別名を表示 するには、 共通名識別子を展開 し ます。 リ ス ト から 識別名を選択 し ま す。 選択 し た識別名は、 [Distinguished Name] フ ィ ール ド に表示 さ れま す。 [OK] を選択する と 、 選択 し た識別名が LDAP サーバの設定の [Distinguished Name] フ ィ ール ド に保存 さ れます。 選択 し た識別名に対 する LDAP サーバ ユーザ グループ内のユーザを表示するには、 [LDAP Distinguished Name Query] ツ リ ー内の識別名を展開 し ます。 図 209: LDAP サーバの識別名クエリ ツリー PKI 認証 PKI (Public Key Infrastructure) 認証は、 " ピ ア "、 " ピ ア " グループ、 ユーザ グ ループ な どの リ ス ト を取得 し て、 認証の " 成功 " または " 拒否 " の通知を返す 証明書認証ラ イ ブ ラ リ を利用 し ます。 認証の成功のためにユーザに必要なのは有 効な証明書だけであ り 、 ユーザ名やパスワー ド は必要あ り ません。 証明書認証の詳細については、 『FortiGate 証明書管理ユーザ ガ イ ド 』 を参照 し て く だ さ い。 CLI を通 し てのみ使用可能な詳細な PKI 設定については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 PKI ユーザを設定する には、 [User]、[PKI] の順に選択 し ます。 図 210: [User]、[PKI] のユーザ リスト [Create New] 新 し い PKI ユーザを追加 し ます。 [User Name] この PKI ユーザの名前。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 343 PKI 認証 ユーザ [Subject] 認証 し ているユーザの証明書の件名フ ィ ール ド に表示 さ れる テキ ス ト 文字列。 [Issuer] こ のユーザの認証に使用 さ れる CA 証明書。 削除アイコン こ の PKI ユーザを削除 し ます。 編集アイコン こ の PKI ユーザを編集 し ます。 注記 : PKI ユーザ リ ス ト 内の次のフ ィ ール ド は、 PKI ユーザ ダ イ ア ログ内の示 さ れている フ ィ ール ド に対応 し ています。 [User Name]: [Name] [Subject]: [Subject] [CA]: [Issuer] (CA 証明書 ) PKI ユーザの設定 [User]、[PKI] の順に選択 し 、 [Create New] か、 または既存の PKI ユーザの編集ア イ コ ン を選択 し ます。 図 211: PKI ユーザの設定 [Name] PKI ユーザの名前を入力 し ます。 このフ ィ ール ド は必須です。 PKI ユーザはまた、 config user peer or config を使用 し て、 CLI で定義する こ と も で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [Subject] 認証 し ているユーザの証明書の件名フ ィ ール ド に表示 さ れる テキ ス ト 文字列を入力 し ます。 こ のフ ィ ール ド はオプ シ ョ ン です。 [CA] こ のユーザの認証に使用する必要のある CA 証明書を入力 し ま す。 こ のフ ィ ール ド はオプ シ ョ ン です。 注記 : [Subject] と [CA] はオプ シ ョ ンのフ ィ ール ド ですが、 そのど ち ら かは設定する必 要があ り ます。 PKI ユーザ ダ イ ア ログ内の次のフ ィ ール ド は、 PKI ユーザ リ ス ト 内の示 さ れている フ ィ ール ド に対応 し ています。 [Name]: [User Name] [Subject]: [Subject] [Issuer]: [CA] (CA 証明書 ) 344 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ Windows AD サーバ Windows AD サーバ 認証に Windows Active Directory (AD) サーバを使用 し ている ネ ッ ト ワー ク上では、 FortiGate ユニ ッ ト は、 ユーザにユーザ名 と パスワー ド の入力を求める こ と な く 、 そのユーザを透過的に認証で き ます。 ネ ッ ト ワー ク 上に FSAE (Fortinet Server Authentication Extensions) を イ ン ス ト ール し 、 Windows AD サーバか ら情報を取得 する よ う に FortiGate ユニ ッ ト を設定する必要があ り ます。 FSAE の詳細につい ては、 『FSAE テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 Windows AD サーバを設定する には、 [User]、[Windows AD] の順に選択 し ます。 図 212: Windows AD サーバのリスト [Create New] 新 し い Windows AD サーバを追加 し ます。 [FortiClient AD] FSAE がイ ン ス ト ール さ れている Windows AD サーバの名前。 このサーバ名を展開 し て、 Windows AD ド メ イ ン グループの情報 を表示で き ます。 [IP Address] Windows AD サーバのログオ ン情報を FortiGate ユニ ッ ト に送信す る最大 5 つの コ レ ク タ エージ ェ ン ト の IP ア ド レ ス と TCP ポー ト 。 削除アイコン この Windows AD サーバを削除 し ます。 編集アイコン この Windows AD サーバを編集 し ます。 更新アイコン Windows AD サーバから 現在の ド メ イ ンおよびグループ情報を取 得 し ます。 Windows AD サーバの設定 [User]、[Windows AD] の順に選択 し 、 [Create New] か、 または既存の Windows AD サーバの編集ア イ コ ン を選択 し ます。 図 213: [Name] Windows AD サーバの設定 Windows AD サーバの名前を入力または編集 し ます。 この名前は、 ユー ザ グループの作成時に Windows AD サーバの リ ス ト に表示 さ れます。 最大 5 つの コ レ ク タ エージ ェ ン ト に関する次の情報を入力 し ます。 [FSAE この コ レ ク タ エージ ェ ン ト がイ ン ス ト ール さ れている Windows AD Collector IP] サーバの IP ア ド レ ス を入力または編集 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 345 ユーザ グループ ユーザ [Port] Windows AD に使用 さ れる TCP ポー ト を入力または編集 し ます。 この ポー ト は、 FSAE コ レ ク タ エージ ェ ン ト の設定で指定 さ れた FortiGate の リ スニ ング ポー ト と 同 じ である必要があ り ます。 [Password] コ レ ク タ エージ ェ ン ト のパスワー ド を入力または編集 し ます。 これが 必要なのは、 認証 さ れたア ク セス を必要 と する よ う に FSAE コ レ ク タ エージ ェ ン ト を設定 し た場合だけです。 ユーザ グループ ユーザ グループは、 ユーザ ID の リ ス ト です。 こ の ID には次の ものがあ り ます。 • FortiGate ユニ ッ ト に格納 さ れてい る ロー カル ユーザ ア カ ウン ト ( ユーザ名 と パスワー ド ) • パスワー ド がRADIUS またはLDAPサーバに格納 さ れてい る ロ ー カル ユーザ ア カウン ト • RADIUS または LDAP サーバ ( こ のサーバ上のすべての ID を認証可能 ) • Microsoft Active Directory サーバ上で定義 さ れてい るユーザ グループ ほ と んどの場合、 FortiGate ユニ ッ ト は、 ユーザ名 と パスワー ド を要求する こ と に よ っ てユーザを認証 し ます。 FortiGate ユニ ッ ト は、 ロ ー カル ユーザ ア カ ウン ト を最初に確認 し ます。 一致が検出 さ れない場合、 FortiGate ユニ ッ ト は、 その ユーザ グループに属する RADIUS または LDAP サーバを確認 し ます。 一致する ユーザ名 と パスワー ド が検出 さ れた場合は、 認証が成功 し ます。 Active Directory ユーザ グループの場合は、 ユーザがネ ッ ト ワー ク にロ グオ ン し た と き に、 Active Directory サーバがそのユーザを認証 し ます。 FortiGate ユニ ッ ト は、 FSAE コ レ ク タ エージ ェ ン ト か ら、 そのユーザの名前 と IP ア ド レ ス を受 信 し ます。 FSAE の詳細については、 『FSAE テ ク ニ カル ノ ー ト 』 を参照 し て く だ さ い。 346 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ユーザ グループ ユーザ グループ を、 次の項目への認証 さ れたア ク セス を提供する よ う に設定で き ます。 • 認証が必要な フ ァ イ アウ ォ ール ポ リ シー 234ページの「フ ァ イ アウォール ポ リ シーへの認証の追加」を参照し て く だ さ い。 • FortiGate ユニ ッ ト 上の SSL VPN 239 ページの 「SSL-VPN の フ ァ イ アウ ォ ール ポ リ シー オ プ シ ョ ン」 を参照 し て く だ さ い。 • ダ イヤルア ッ プ ユーザのための IPSec VPN フ ェ ーズ 1 設定 305 ページの 「新 し い フ ェ ーズ 1 設定の作成」 を参照 し て く だ さ い。 • IPSec VPN フ ェ ーズ 1 設定のための XAuth 308 ページの 「 フ ェ ーズ 1 詳細設定の定義」 の 「XAuth」 を参照 し て く だ さ い。 • FortiGate の PPTP 設定 321 ページの 「PPTP の範囲」 を参照 し て く だ さ い。 • FortiGate の L2TP 設定 こ れは、 config vpn l2tp CLI コ マ ン ド でのみ設定可能です。 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 • RADIUS 認証を使用 し た管理者ロ グ イ ン 152 ページの 「管理者の RADIUS 認証の設定」 を参照 し て く だ さ い。 • FortiGuard Web フ ィ ル タ リ ン グの置き換えグループ 396 ページの 「FortiGuard-Web フ ィ ル タ 」 を参照 し て く だ さ い。 認証が必要な各 リ ソ ースについて、 どのユーザ グループがア ク セス を許可 さ れ るかを指定 し ます。 認証のニーズに適 し たユーザ グループの数 と メ ンバシ ッ プ を決定する必要があ り ます。 ユーザ グループの種類 ユーザ グループには、 次の 3 種類があ り ます。 • 「 フ ァ イ アウ ォ ール」 • 「Active Directory」 • 「SSL VPN」 ファイアウォール フ ァ イ アウ ォ ール ユーザ グループは、 フ ァ イ ア ウ ォ ールの種類の認証を必要 と し 、そのユーザ グループ を許可 さ れたグループの 1 つ と し て リ ス ト し てい る フ ァ イ ア ウ ォ ール ポ リ シ ーへのア ク セ ス を提供 し ます。 ユーザが、 こ のポ リ シ ーに よ っ て保護 さ れてい る リ ソ ースにア ク セス し よ う と する と 、 FortiGate ユニ ッ ト は グループ メ ンバのユーザ名 と パスワー ド を要求 し ます。詳細については、234 ペー ジの 「 フ ァ イ アウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ユーザ グループはまた、 ダ イ ヤルア ッ プ ユーザのための IPSec VPN へのア ク セス も提供で き ます。 こ の場合、 IPSec VPN フ ェ ーズ 1 設定 では [Accept peer ID in dialup group peer] オ プ シ ョ ンが使用 さ れます。 ユーザの VPN ク ラ イ ア ン ト は、 ユーザ名がピ ア ID に、 パスワー ド が仮共有キーに設定 さ れます。 このユーザが IPSec VPN に正常に接続で き るのは、 ユーザ名が許可 さ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 347 ユーザ グループ ユーザ れたユーザ グループの メ ンバであ り 、 パスワー ド が FortiGate ユニ ッ ト に格納 さ れているパスワー ド に一致 し た場合のみです。 いずれかの メ ンバが RADIUS また は LDAP サーバを使用 し て認証 さ れてい る と 、 そのユーザ グループはダ イ ヤル ア ッ プ グループになれません。 詳細については、 305 ページの 「新 し い フ ェ ーズ 1 設定の作成」 を参照 し て く だ さ い。 フ ァ イ アウ ォ ール ユーザ グループ を使用する と 、 FortiGuard Web フ ィ ル タ リ ン グの置き換え特権を提供で き ます。 351 ページの 「ユーザ グループのための FortiGuard 置き換えオプ シ ョ ンの設定」 を参照 し て く だ さ い。 置き換え機能を含 む FortiGuard Web フ ィ ル タ の詳細については、 396 ページの 「FortiGuard-Web フ ィ ル タ 」 を参照 し て く だ さ い。 Active Directory Microsoft Windows ネ ッ ト ワー ク上では、FortiGate ユニ ッ ト は、Windows ネ ッ ト ワー ク上で認証さ れている Active Directoryサーバ ユーザ グループの メ ンバへのア ク セ ス を許可で き ます。ネ ッ ト ワー ク ド メ イ ン コ ン ト ロー ラ上に FSAE (Fortinet Server Authentication Extensions) がイ ン ス ト ールさ れている必要があ り ます。 Active Directory ユーザ グループは、 Active Directory の種類の認証を必要 と し 、 そのユーザ グループ を許可 さ れたグループの 1 つ と し て リ ス ト し てい る フ ァ イ アウ ォ ール ポ リ シーへのア ク セス を提供 し ます。 こ のユーザ グループの メ ンバ は、 設定 さ れてい る Windows AD サーバか ら FortiGate ユニ ッ ト が受信 し た リ ス ト から 選択 さ れる Active Directory グループ です。 345 ページの 「Windows AD サーバ」 を参照 し て く だ さ い。 注記 : Active Directory ユーザ グループに、 FortiGuard Web フ ィ ル タ の置き換え特権や SSL VPN へのア ク セス権を与え る こ と はで き ません。 SSL VPN SSL VPN ユーザ グループは、 SSL VPN の種類の認証を必要 と し 、 そのユーザ グ ループ を許可 さ れたグループの 1 つ と し て リ ス ト し てい る フ ァ イ アウ ォ ール ポ リ シーへのア ク セス を提供 し ます。 ロー カル ユーザ ア カ ウ ン ト 、 LDAP サーバ、 お よび RADIUS サーバは、 SSL VPN ユーザ グループの メ ンバにな る こ と がで き ます。 ユーザが SSL VPN Web ポー タ ルにア ク セスする と 、 FortiGate ユニ ッ ト は そのユーザのユーザ名 と パスワー ド を要求 し ます。 こ のユーザ グループの設定 には、 SSL VPN 機能に対する オ プ シ ョ ンが含まれます。 352 ページの 「SSL VPN ユーザ グループのオ プ シ ョ ンの設定」 を参照 し て く だ さ い。 SSL VPN ユーザ グループはまた、 ダ イ ヤルア ッ プ ユーザのための IPSec VPN へ のア ク セス も 提供で き ます。 こ の場合、 IPSec VPN フ ェ ーズ 1 設定では [Accept peer ID in dialup group peer] オ プ シ ョ ンが使用 さ れます。 ユーザの VPN ク ラ イ ア ン ト は、 ユーザ名がピ ア ID に、 パスワー ド が仮共有キーに設定 さ れます。 こ の ユーザが IPSec VPN に正常に接続で き るのは、 ユーザ名が許可 さ れたユーザ グ ループの メ ンバであ り 、 パスワー ド が FortiGate ユニ ッ ト に格納 さ れてい るパス ワー ド に一致 し た場合のみです。 注記 : いずれかの メ ンバが RADIUS または LDAP サーバを使用 し て認証 さ れている と 、 そ のユーザ グループは IPSec ダ イヤルア ッ プ グループになれません。 詳細については、 305 ページの 「新 し い フ ェ ーズ 1 設定の作成」 を参照 し て く だ さ い。 348 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ユーザ グループ ユーザ グループのリスト ユーザ グループ を設定する には、 [User]、[User Group] の順に選択 し ます。 図 214: ユーザ グループのリスト [Create New] 新 し いユーザ グループ を追加 し ます。 [Group Name] このユーザ グループの名前。 ユーザ グループ名は、 [Firewall]、 [Active Directory]、 および [SSL VPN] のユーザ グループの種類ご と に リ ス ト さ れます。 [Members] このユーザ グループ内のユーザ、 RADIUS サーバ、 または LDAP サーバ。 [Protection Profile] このユーザ グループに関連付け られたプ ロ テ ク シ ョ ン プ ロ フ ァ イル。 削除アイコン このユーザ グループ を削除 し ます。 注記 : フ ァ イ アウ ォ ール ポ リ シー、 ダ イヤルア ッ プ ユーザ フ ェ ーズ 1 設定、 PPTP または L2TP 設定に含まれているユーザ グループ を削 除する こ と はで き ません。 編集アイコン このグループの メ ンバシ ッ プやオプ シ ョ ン を編集 し ます。 ユーザ グループの設定 [User]、[Group] の順に選択 し 、 [Create New] か、 または既存のユーザ グループ の編集ア イ コ ン を選択 し ます。 図 215: [Name] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ グループの設定 このユーザ グループの名前を入力 し ます。 349 ユーザ グループ ユーザ [Type] ユーザ グループの種類を選択 し ます。 347 ページの 「ユーザ グ ループの種類」 を参照 し て く だ さ い。 [Firewall] こ のグループは、 フ ァ イ アウ ォ ール認証が 必要な任意のフ ァ イ アウ ォ ール ポ リ シーで 選択 し ます。 234 ページの 「 フ ァ イ ア ウ ォ ール ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 [Active Directory] こ のグループは、 Active Directory 認証が必 要な任意のフ ァ イ アウ ォ ール ポ リ シーで選 択 し ます。 234 ページの 「 フ ァ イ アウ ォ ー ル ポ リ シーへの認証の追加」 を参照 し て く だ さ い。 [SSL VPN] こ のグループは、 [Action] が [SSL VPN] に 設定 さ れた任意のフ ァ イ アウ ォ ール ポ リ シーで選択 し ます。 239 ページの 「SSLVPN のフ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン」 を参照 し て く だ さ い。 [Protection Profile] [Type] が [Firewall] または [Active Directory] の場合にのみ使用で き ます。 ド ロ ッ プ ダウン リ ス ト から 、 こ のユーザ グループのプ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 新 し いプ ロ テ ク シ ョ ン プ ロ フ ァ イルを作成するには、 [Create New] を選択 し ます。 [Available Users] このユーザ グループに追加で き るユーザ、 RADIUS サーバ、 LDAP サーバ、 または PKI ユーザの リ ス ト 。 [Members] このユーザ グループに属するユーザ、 RADIUS サーバ、 LDAP サーバ、 または PKI ユーザの リ ス ト 。 右矢印ボタン [Members] リ ス ト にユーザまたはサーバを追加 し ます。 [Available Users] リ ス ト 内のユーザ名またはサーバ名を選択 し た 後、 右矢印ボ タ ン を選択 し て [Members] リ ス ト に移動 し ます。 左矢印ボタン [Members] リ ス ト か ら ユーザまたはサーバを削除 し ます。 [Members] リ ス ト 内のユーザ名またはサーバ名を選択 し た後、 左 矢印ボ タ ン を選択 し て [Available Users] リ ス ト に移動 し ます。 [FortiGuard Web Filtering Override] [Type] が [Firewall] の場合にのみ使用で き ます。 このグループのWeb フ ィ ル タ リ ングの置き換え機能を設定 し ます。 351 ページの 「ユーザ グループのための FortiGuard 置き換えオ プ シ ョ ンの設定」 を参照 し て く だ さ い。 [SSL-VPN User Group Options] [Type] が [SSL-VPN] の場合にのみ使用で き ます。 Web のみのモー ド または ト ン ネル モー ド に関する動作の詳細な 設定方法については、 『FortiGate SSL VPN ユーザ ガ イ ド 』 を参 照 し て く だ さ い。 注記 : LDAP サーバまたはロー カル ユーザを、 管理者認証用に設定 さ れたグループに追 加 し よ う と する と 、 "Entry not found" と い う エ ラ ーが発生 し ます。 350 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ユーザ グループ ユーザ グループのための FortiGuard 置き換えオプションの設定 [User]、[Group] の順に選択 し 、 フ ァ イ アウ ォ ール ユーザ グループの編集ア イ コ ン を選択 し ます。 [FortiGuard Web Filtering Override] セ ク シ ョ ン を展開 し ます。 図 216: FortiGuard Web フィルタリングの置き換えの設定 [Allowed to perform FortiGuard Web Filtering overrides] このグループの メ ンバが [FortiGuard Web Filtering Block] ページで 置き換え を要求で き る よ う にする場合に選択 し ます。 この接続を 管理する フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルで、 FortiGuard の置き換えが有効にな っ ている必要があ り ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルは、 置き換えグループ と し て 1 つの ユーザ グループ を指定 し ます。 [FortiGuard Web Filter Block Override] ページ で、 置き換えグループの メ ンバが、 ブ ロ ッ ク さ れ たサイ ト にア ク セスする こ と を認証で き ます。 詳細については、 396 ページの 「FortiGuard-Web フ ィ ル タ 」 を参照 し て く だ さ い。 [Override Scope] 置き換え を、 その置き換え を要求 し たユーザにのみ適用する こ と も 、 他のユーザを含める こ と も で き ます。 ド ロ ッ プ ダウ ン リ ス ト から 、 含める範囲を選択 し ます。 [Override Type] [Off-site URLs] [Override Time] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [User] そのユーザのみ [User Group] そのユーザが属するユーザ グループ [IP] そのユーザの IP ア ド レ スに存在する任意のユー ザ [Profile] そのユーザ グループの指定 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イルを持つ任意のユーザ [Ask] 置き換え範囲を選択する、 認証 し ているユーザ ドロップダウン リストから、 アクセスを許可する対象を選択します。 [Directory] URL 内の最 も低い レベルのデ ィ レ ク ト リ のみ [Domain] Web サイ ト ド メ イ ン全体 [Categories] FortiGuard のカ テ ゴ リ [Ask] 置き換えの種類を選択する、 認証 し ているユーザ ドロップダウン リストから、 ユーザが、 ブロックされたサイト以外のサイ トへのリンクをたどることができるかどうかを選択します。 [Allow] ユーザは、 他のサイ ト への リ ン ク を た ど る こ と が で き ます。 [Deny] ユーザは、 [Override Type] で定義 さ れた宛先のみ への リ ン ク を た ど る こ と がで き ます。 [Ask] 認証 し ているユーザが、 オ フサイ ト リ ン クの使 用を許可するかど う かを選択 し ます。 置き換えの有効期間を設定する場合に選択 し ます。 [Constant] 置き換えの有効期間を日数、 時間数、 分数で設定 する場合に選択 し ます。 [Ask] 認証 し ているユーザが置き換えの有効期間を決定 で き る よ う にする場合に選択 し ます。 設定 さ れて いる有効期間が最大にな り ます。 351 ユーザ グループ ユーザ SSL VPN ユーザ グループのオプションの設定 [User]、[Group] の順に選択 し 、 SSL VPN ユーザ グループの編集ア イ コ ン を選択 し ます。 [SSL-VPN User Group Options] セ ク シ ョ ン を展開 し ます。 Web のみのモー ド または ト ン ネル モー ド に関する動作の詳細な設定方法につい ては、 『FortiGate SSL VPN ユーザ ガ イ ド 』 を参照 し て く だ さ い。 図 217: SSL VPN ユーザ グループのオプション [Enable SSL-VPN Tunnel Service] [Allow Split Tunneling] このグループ内のユーザが、 SSL VPN ト ンネルを使用 し て FortiGate ユニ ッ ト の背後に位置するネ ッ ト ワー ク に接続で き る よ う にする場合にオ ンに し ます。 ト ラ ン スペア レ ン ト モー ド では使用で き ません。 このグループのスプ リ ッ ト ト ンネ リ ングを許可する場合に オ ンに し ます。 スプ リ ッ ト ト ンネ リ ングによ っ て、 プ ラ イ ベー ト ネ ッ ト ワー ク の ト ラ フ ィ ッ ク のみが SSL VPN ゲー ト ウ ェ イ に送信 さ れる こ と が保証 さ れます。 イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク は、 通常の暗号化 さ れていないルー ト を経 由 し て送信 さ れます。 [Restrict tunnel IP range [VPN]、[SSL]、[Config] で定義 さ れた [Tunnel IP range] を for this group] 置き換え る場合は、 このグループの開始 と 終了の IP ア ド レ ス範囲を入力 し ます。 [Enable Web Application] 352 Web ポー タ ルが Web ア プ リ ケーシ ョ ンへのア ク セス を提供 で き る よ う にする場合にオ ンに し ます。 これは、 ト ラ ン ス ペア レ ン ト モー ド では使用で き ません。 [HTTP/HTTPS Proxy] FTP [Telnet (applet)] [Samba] [VNC] [RDP] Web ア プ リ ケーシ ョ ン を有効に し た場合は、 このグループ 内のユーザがア ク セス を許可 さ れる各ア プ リ ケーシ ョ ン を オ ンに し ます。 [Check FortiClient AV Installed and Running] FortiClient Host Security AV ソ フ ト ウ ェ ア を実行 し ている ク ラ イ ア ン ト のみの接続を許可する場合にオ ンに し ます。 こ のソ フ ト ウ ェ アについては、 「Fortinet テ ク ニ カル ド キ ュ メ ン ト 」 Web サイ ト を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ユーザ ユーザ グループ [Check FortiClient FW Installed and Running] FortiClient Host Security FW ソ フ ト ウ ェ ア を実行 し ている ク ラ イ ア ン ト のみの接続を許可する場合にオンに し ます。 こ のソ フ ト ウ ェ アについては、 「Fortinet テ ク ニ カル ド キ ュ メ ン ト 」 Web サイ ト を参照 し て く だ さ い。 [Check for Third Party サポー ト さ れている ア ン チウ イルス ソ フ ト ウ ェ アがイ ン ス ト ール さ れている ク ラ イ ア ン ト のみの接続を許可する場合 AV Software] にオンに し ます。 この ソ フ ト ウ ェ アがイ ン ス ト ール さ れ、 有効にな っ て ( 実行 さ れて ) いる必要があ り ます。 Windows XP SP2 でサポー ト さ れている製品については、 「AV/ フ ァ イ アウ ォ ールがサポー ト さ れている製品の検出」 を参照 し て く だ さ い。 その他のすべてのシ ステムでは、 Norton (Symantec) AntiVirus または McAfee VirusScan ソ フ ト ウ ェ アがサポー ト さ れています。 注記 : このオプ シ ョ ンは、 [Check FortiClient Installed and Running] を選択 し た場合は使用で き ません。 [Check for Third Party サポー ト さ れている フ ァ イ アウ ォ ール ソ フ ト ウ ェ アがイ ン ス ト ール さ れている ク ラ イ ア ン ト のみの接続を許可する場 Firewall Software] 合にオンに し ます。 この ソ フ ト ウ ェ アがイ ン ス ト ール さ れ、 有効にな っ て ( 実行 さ れて ) いる必要があ り ます。 Windows XP SP2 でサポー ト さ れている製品については、 「AV/ フ ァ イ アウ ォ ールがサポー ト さ れている製品の検出」 を参照 し て く だ さ い。 その他のすべてのシ ステムでは、 Norton (Symantec) AntiVirus または McAfee VirusScan ソ フ ト ウ ェ アがサポー ト さ れています。 注記 : このオプ シ ョ ンは、 [Check FortiClient Installed and Running] を選択 し た場合は使用で き ません。 [Enable Cache Clean] ユーザのログ イ ン と ログアウ ト の間に ク ラ イ ア ン ト コ ン ピ ュ ー タ 上で作成 さ れたすべてのイ ン タ ーネ ッ ト 一時 フ ァ イルを削除する場合にオンに し ます。 この処理は、 ダウン ロー ド さ れた IE 用の ActiveX コ ン ト ロールおよび Firefox 用 のプ ラ グ イ ン を使用 し て実行 さ れます。 Windows 2000/Windows XP で動作する Internet Explorer および Firefox 上で機能 し ます。 注記 : ク ラ イ ア ン ト のブ ラ ウザがキ ャ ッ シ ュ ク リ ーナを イ ン ス ト ール し て実行で き ない場合は、 ユーザに SSL VPN ポー タ ルへのア ク セスが許可 さ れません。 [Redirect URL] SSL VPN Web ポー タ ルのページが表示 さ れた と き に、 この URL で 2 つ目のブ ラ ウザ ウ ィ ン ド ウを開 く 場合に使用 し ま す。 この URL に対する Web サーバが、 FortiGate ユニ ッ ト の背後に位置する プ ラ イ ベー ト ネ ッ ト ワー ク 上に存在 し て いる必要があ り ます。 注記 :SSL VPN Web ポー タ ルのログ イ ン ページ を変更する こ と がで き ます。 詳細については、 147 ページの 「SSLVPN ログ イ ン メ ッ セージの変更」 を参照 し て く だ さ い。 [Customize portal message for this group] このグループのためのカ ス タ ム Web ポー タ ル ホーム ペー ジ キ ャ プ シ ョ ン を入力または編集 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 353 ピアおよびピア グループの設定 ユーザ 表 33: AV/ ファイアウォールがサポートされている製品の検出 AV ファイアウォール Norton Internet Security 2006 製品 Y Y Trend Micro PC-cillin Y Y McAfee Y Y Sophos Anti-Virus Y N Panda Platinum 2006 Internet Security Y Y F-Secure Y Y Secure Resolutions Y Y Cat Computer Services Y Y AhnLab Y Y Kaspersky Y Y ZoneAlarm Y Y ピアおよびピア グループの設定 一部の VPN 設定での認証や、 PKI 証明書認証に使用 さ れる ピ アおよ びピ ア グ ループ を定義で き ます。 こ の操作を行 う には、 CLI の config user peer お よ び config user peergrp コ マ ン ド を使用 し ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の 「ユーザ」 の章を参照 し て く だ さ い。 354 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス 操作の順序 アンチウイルス こ の項では、 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルに関連 し た ア ン チ ウ イルス オ プ シ ョ ン を設定する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • 操作の順序 ア ン チウ イルス要素 ア ン チウ イルスの設定 と 制御 フ ァ イル パ タ ーン 隔離 [Config] ア ン チウ イルスの CLI 設定 操作の順序 ア ン チウ イルス処理には、 個別の タ ス ク を実行する さ ま ざ ま な モ ジ ュ ールやエ ン ジ ンが含まれます。 FortiGate ユニ ッ ト は、 Web ベース マネージ ャ メ ニ ュ ーに表 示 さ れる次の要素の順序で、 ア ン チウ イルス処理を実行 し ます。 • • • • フ ァ イル パ タ ーン ウ イルス スキ ャ ン グ レ ーウ ェ ア ヒ ュー リ ステ ィ ッ ク あ る フ ァ イルがア ン チウ イルス スキ ャ ンのいずれかの要素に合格で き なかっ た 場合、 それ以上のスキ ャ ンは実行 さ れません。 た と えば、 フ ァ イル "fakefile.EXE" がブ ロ ッ ク対象パ タ ーン と し て認識 さ れた場合、 FortiGate ユニ ッ ト はエ ン ド ユーザに差 し 替え メ ッ セージ を送信 し 、 その フ ァ イルは削除または 隔離 さ れます。 そのフ ァ イルはすでに脅威であ る こ と が判明 し 、 対処 さ れている ため、 ウ イルス スキ ャ ン、 グ レ ーウ ェ ア、 ヒ ュ ー リ ス テ ィ ッ ク な どのスキ ャ ン は実行 さ れません。 こ の時点で、 こ の フ ァ イルに対 し てそれ以上のシ ス テム リ ソ ースの消費は不要 と な り ます。 アンチウイルス要素 受信 フ ァ イルを効率的にスキ ャ ン で き る よ う 、 ア ン チウ イルス要素は順番に実行 さ れます。 最初の 3 つの要素には特定の機能があ り ます。 こ れに対 し て、 4 つ目 の ヒ ュ ー リ ス テ ィ ッ クは新 し い未知のウ イルス脅威に対処する ためのも のです。 こ れ らの 4 つの要素が連携する こ と で、 ネ ッ ト ワー ク に対する比類ないア ン チウ イルス保護が実現 し ます。 シ ス テムが実現可能な最大限の保護を確実に提供で き る よ う 、 すべてのウ イルス定義お よびシグネチ ャが FortiGuard ア ン チウ イルス サービ ス を介 し て定期的にア ッ プデー ト さ れます。 以下、 各要素を適用順に説明 し 、 続いて FortiGuard ア ン チウ イルスについて説明 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 355 アンチウイルス要素 アンチウイルス ファイル パターン フ ァ イルが受け付け られる と 、 FortiGate ユニ ッ ト はフ ァ イル パ タ ーン認識フ ィ ル タ を適用 し ます。 FortiGate は、 設定 さ れている フ ァ イル パ タ ーン設定に対 し てその フ ァ イルを チ ェ ッ ク し ます。 フ ァ イルがブ ロ ッ ク対象パ タ ーン ( た と え ば、 ".EXE") であ る場合、 その フ ァ イルは阻止 さ れ、 差 し 替え メ ッ セージがエ ン ド ユーザに送信 さ れます。 他のレ ベルの保護は適用 さ れません。 その フ ァ イル がブ ロ ッ ク対象パ タ ーン で ない場合は、 次のレ ベルの保護が適用 さ れます。 ウイルス スキャン フ ァ イルがフ ァ イル パ タ ーン に合格する と 、 その フ ァ イルにはウ イルス スキ ャ ンが適用 さ れます。 こ れら のウ イルス定義は、 FortiNet Distribution Network を介 し て最新の状態に維持 さ れます。 こ の リ ス ト は定期的に更新 さ れる ため、 フ ァ ー ムウ ェ ア ア ッ プグ レ ー ド を待つ必要はあ り ません。 ウ イルス定義の更新の詳細 については、 FortiGuard ア ン チウ イルス を参照 し て く だ さ い。 グレーウェア フ ァ イル パ タ ーン と ウ イルス スキ ャ ン に合格する と 、 その受信 フ ァ イルは、 グ レ ーウ ェ ア で ないかど う か確認 さ れます。 グ レ ーウ ェ ア設定は、 必要に応 じ て有 効ま たは無効に設定する こ と がで き、 ア ン チウ イルス定義 と 同 じ 方法で最新の状 態に維持 さ れます。 グ レ ーウ ェ アの設定の詳細については、 グ レ ーウ ェ ア リ ス ト の表示を参照 し て く だ さ い。 ヒューリスティック 受信フ ァ イルが最初の 3 つのア ン チウ イルス要素に合格する と 、 そのフ ァ イルに は ヒ ュ ー リ ス テ ィ ッ ク要素が適用 さ れます。 FortiGate の ヒ ュ ー リ ス テ ィ ッ ク ア ン チウ イルス エ ン ジ ンはそのフ ァ イルにテ ス ト を実行 し て、 ウ イルスのよ う な 動作または既知のウ イルス指標を検出 し ます。 こ の方法に よ り 、 ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ン で新 し いウ イルスが検出 さ れる可能性があ り ますが、 何らか の誤検知の結果が生成 さ れる可能性も あ り ます。 注記 : ヒ ュ ー リ ス テ ィ ッ ク は、 CLI を使用 し てのみ設定で き ます。 『FortiGate CLI ガ イ ド 』 を参照 し て く だ さ い。 FortiGuard アンチウイルス FortiGuard ア ン チウ イルス サービ スは優れた リ ソ ース であ り 、 FortiGuard Distribution Network (FDN) を介 し たウ イルスお よ び IPS ( 攻撃 ) のエ ン ジ ン と 定 義、 さ ら にはロ ー カル スパム DNSBL の自動更新が含まれています。 また、 FortiGuard Center から も、 FortiGuard ア ン チウ イルス ウ イルスおよ び攻撃エ ンサ イ ク ロ ペデ ィ アや、 FortiGuard Bulletin が提供 さ れます。 詳細情報およ び FortiGuard Center への リ ン ク については、 Fortinet Knowledge Center にア ク セス し て く だ さ い。 FortiGate ユニ ッ ト と FortiGuard Center の間の接続は、 [System]、[Maintenance]、 [FortiGuard Center] で設定 さ れます。 詳細については、 170 ページの 「FortiGate ユニ ッ ト の FDN お よび FortiGuard サービ スの設定」 を参照 し て く だ さ い。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 ア ン チウ イ ルス機能はグローバルに設定 さ れます。 これら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 356 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス アンチウイルスの設定と制御 アンチウイルスの設定と制御 ア ン チウ イルス設定は、 シ ス テム全体での使用のために設定 さ れますが、 特定の 設定はプ ロ フ ァ イル単位に実装で き ます。 表 34 は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル と ア ン チウ イルス メ ニ ュ ーのア ン チウ イルス オ プ シ ョ ン を比較 し ています。 表 34: [Antivirus] と [Protection Profile] のアンチウイルス設定 [Protection Profile] のアンチウイルス オプ ション [Antivirus] の設定 [Virus Scan] [AntiVirus]、 [Config]、 [Virus List] 各プ ロ ト コ ル (HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM) に対 し て、 ウ イルス スキ ャ ン を 有効または無効に し ます。 現在のウ イルスの読み取 り 専用の リ ス ト を表示 し ます。 [File Pattern] [AntiVirus]、 [File Pattern] プ ロ ト コ ルご と のフ ァ イル パ タ ーン処理を有 フ ァ イルを ブ ロ ッ ク または許可する よ う 効または無効に し ます。 に フ ァ イル パ タ ーン を設定 し ます。 パ タ ーン を個別に有効または無効にする こ と も で き ます。 [Quarantine] [AntiVirus]、 [Quarantine] プ ロ ト コ ルご と の隔離を有効または無効に し ます。 隔離は、 ロー カル デ ィ ス ク を備えたユ ニ ッ ト 、 または設定 さ れた FortiAnalyzer ユ ニ ッ ト でのみ使用で き ます。 隔離 さ れた フ ァ イルの リ ス ト の表示およ び並べ替え、 解析のために Fortinet に自 動的にア ッ プ ロー ド する フ ァ イル パ タ ー ンの設定、 ア ン チウ イルスでの隔離オプ シ ョ ンの設定を行います。 [Pass fragmented email messages] 断片化 さ れた電子 メ ール メ ッ セージの通過を 有効または無効に し ます。 断片化 さ れた電子 メ ール メ ッ セージに対 し ては、 ウ イルス ス キ ャ ン を実行で き ません。 [Comfort Clients] HTTP および FTP ト ラ フ ィ ッ ク を有効または 無効に し ます。 ク ラ イ ア ン ト 快適化を ト リ ガ する間隔 と バイ ト 数を設定 し ます。 [Oversized file/email] プ ロ ト コ ルご と の過剰に長い フ ァ イルおよび 電子 メ ール メ ッ セージ を ブ ロ ッ ク または通過 さ せる よ う に FortiGate ユニ ッ ト を設定 し ま す。 ア ン チウ イルスでのプ ロ ト コルご と の フ ァ イルおよび電子 メ ール メ ッ セージのサイ ズの し き い値を設定 し ます。 [AntiVirus]、 [Config]、 [Grayware] カ テ ゴ リ ご と のグ レーウ ェ アのブ ロ ッ キ ングを有効または無効に し ます。 送信電子 メ ール メ ッ セージにシグネチ ャ を追 加 し ます。 送信電子 メ ール メ ッ セージに追加する シグネ チ ャ を作成 し 、 有効に し ます (SMTP のみ )。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 357 ファイル パターン アンチウイルス ファイル パターン 脅威であ る可能性のあ るすべての フ ァ イルを ブ ロ ッ ク し 、 ア ク テ ィ ブ な コ ン ピ ュ ー タ ウ イルス攻撃を阻止する ためのフ ァ イル パ タ ーン を設定 し ます。 フ ァ イルは、 名前、 拡張子、 またはその他の任意のパ タ ーン で ブ ロ ッ ク で き ます。 フ ァ イル パ タ ーン ブ ロ ッ キン グによ っ て、 有害であ る可能性のあ る コ ン テ ン ツ を ブ ロ ッ ク する ための柔軟性が提供 さ れます。 注記 : フ ァ イル パ タ ーンのエ ン ト リ は大文字 と 小文字が区別 さ れません。 た と えば、 フ ァ イル パ タ ーン リ ス ト に *.exe を追加する と 、 .EXE で終わる フ ァ イルも すべて ブ ロ ッ ク さ れます。 標準的な運用 と し て、 [Protection Profile] で [File Pattern] を無効に し てお き、 特 定の脅威が発生 し た場合にその脅威を ブ ロ ッ ク する ために一時的に有効にする こ と を選択で き ます。 FortiGate ユニ ッ ト は、 設定 さ れた フ ァ イル パ タ ーン に一致する フ ァ イルを ブ ロ ッ ク し 、 代わ り に差 し 替え メ ッ セージ を表示 し ます。 FortiGate ユニ ッ ト はま た、 各動作が設定 さ れていれば、 ウ イルス ロ グへの メ ッ セージの書き込みや、 ア ラ ー ト メ ール メ ッ セージの送信 も行います。 [File Pattern] と [Virus Scan] の両方が有効にな っ てい る場合、 FortiGate ユニ ッ ト は有効にな っ てい る フ ァ イル パ タ ーン に一致する フ ァ イルを ブ ロ ッ ク し ますが、 こ れら のフ ァ イルに対 し てウ イルス スキ ャ ン を実行 し ません。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 ア ン チウ イ ルス機能はグローバルに設定 さ れます。 これら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 ファイル パターン リスト カタログの表示 複数の フ ァ イル パ タ ーン リ ス ト を追加 し 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に 最適な フ ァ イル パ タ ーン リ ス ト を選択で き ます。 フ ァ イル パ タ ーン リ ス ト カ タ ロ グ を表示する には、 [AntiVirus]、[File Pattern] の順に選択 し ます。 個別の フ ァ イル パ タ ーン リ ス ト を表示する には、 表示する リ ス ト の編集ア イ コ ン を選 択 し ます。 図 218: ファイル パターン リスト カタログの例 注記 : デ フ ォル ト のフ ァ イル パタ ーン リ ス ト カ タ ログは、組み込みパ タ ーン と 呼ばれます。 358 [Create New] カ タ ログに新 し い フ ァ イル パ タ ーン リ ス ト を追加するには、 [Create New] を選択 し ます。 [Name] 使用可能な フ ァ イル パ タ ーン リ ス ト 。 [# Entries] 各フ ァ イル パ タ ーン リ ス ト 内のフ ァ イル パ タ ーンの数。 [Profiles] 各フ ァ イル パ タ ーン リ ス ト が適用 さ れたプ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各フ ァ イル パ タ ーン リ ス ト のオプ シ ョ ンの説明。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス ファイル パターン 削除アイコン カ タ ログから このフ ァ イル パ タ ーン リ ス ト を削除する場合に選択 し ます。 削除ア イ コ ンは、 このフ ァ イル パ タ ーン リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合にのみ使用で き ます。 編集アイコン フ ァ イル パ タ ーン リ ス ト 、 リ ス ト 名、 または リ ス ト のコ メ ン ト を 編集する場合に選択 し ます。 フ ァ イル パ タ ーン リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細 については、 290 ページの 「ア ン チウ イルス オプ シ ョ ン」 を参照 し て く だ さ い。 新しいファイル パターン リストの作成 フ ァ イル パ タ ーン リ ス ト カ タ ロ グに フ ァ イル パ タ ーン リ ス ト を追加する には、 [AntiVirus]、[File Pattern] の順に選択 し 、 [Create New] を選択 し ます。 図 219: [New File Pattern List] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 この リ ス ト を説明する コ メ ン ト を入力 し ます。 ファイル パターン リストの表示 フ ァ イル パ タ ーン リ ス ト を表示する には、 [AntiVirus]、[File Pattern] の順に選 択 し 、 表示する フ ァ イル パ タ ーン リ ス ト の編集ア イ コ ン を選択 し ます。 図 220: ファイル パターン リストの例 フ ァ イル パ タ ーン リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] フ ァ イル パ タ ーン リ ス ト の名前。 この名前を変更する には、 名前 フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンのコ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [OK] [Create New] フ ァ イル パ タ ーン リ ス ト に新 し いパ タ ーン を追加する には、 [Create New] を選択 し ます。 [Pattern] フ ァ イル パ タ ーンの現在の リ ス ト 。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 359 ファイル パターン アンチウイルス [Action] こ れら のフ ァ イル パ タ ーンに一致する フ ァ イルのブ ロ ッ ク または許 可を設定で き ます。 [Enable] フ ァ イル パ タ ーン を無効にするには、 このチ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 削除アイコン リ ス ト から こ のフ ァ イル パ タ ーン を削除する場合に選択 し ます。 編集アイコン フ ァ イル パ タ ーンやア ク シ ョ ン を編集する場合に選択 し ます。 移動アイコン こ のフ ァ イル パ タ ーン を リ ス ト 内の任意の位置に移動する場合に選 択 し ます。 フ ァ イルは、 一番上から下に向か っ て、 有効にな っ てい る フ ァ イル パ タ ーン と 比較 さ れます。 フ ァ イルが、 指定 さ れてい る どのパ タ ーン に も一致 し なか っ た場 合、 そのフ ァ イルはア ン チウ イルス スキ ャ ン ( 有効にな っ ている場合 ) に渡 さ れ ます。 実際上、 フ ァ イルは、 明示的にブ ロ ッ ク さ れない限 り 許可 さ れます。 許可ア ク シ ョ ン を使用する と 、 こ の動作を逆に し て、 明示的に許可 さ れない限 り すべてのフ ァ イルを ブ ロ ッ ク する よ う にで き ます。 単純に、 許可する すべての フ ァ イル パ タ ーン を、 許可属性を使用 し て入力 し ます。 リ ス ト の最後に、 すべ て を包含する ワ イル ド カ ー ド (*.*) を、 ブ ロ ッ ク ア ク シ ョ ン を使用 し て追加 し ま す。 許可 さ れる フ ァ イルは引き続き ア ン チウ イルス スキ ャ ン ( 有効にな っ てい る場合 ) に渡 さ れる一方、 許可 さ れたどのパ タ ーン に も一致 し ない フ ァ イルは、 最後にあ る ワ イル ド カ ー ド に よ っ て ブ ロ ッ ク さ れます。 フ ァ イル パ タ ーン リ ス ト は、 フ ァ イル パ タ ーンの次のデ フ ォル ト リ ス ト を使 用 し てあ らか じ め構成 さ れています。 • 実行可能フ ァ イル (*.bat、 *.com、 およ び *.exe) • 圧縮 さ れた フ ァ イルまたはアー カ イ ブ フ ァ イル (*.gz、 *.rar、 *.tar、 *.tgz、 お よ び *.zip) • • • • • • • ダ イ ナ ミ ッ ク リ ン ク ラ イ ブ ラ リ (*.dll) HTML ア プ リ ケーシ ョ ン (*.hta) Microsoft Office フ ァ イル (*.doc、 *.ppt、 *.xl?) Microsoft Works フ ァ イル (*.wps) Visual Basic フ ァ イル (*.vb?) ス ク リ ーン セーバー フ ァ イル (*.scr) プ ロ グ ラ ム情報フ ァ イル (*.pif) フ ァ イル パ タ ーンは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効に し ます。 詳細につ いては、 290 ページの 「ア ン チウ イルス オプ シ ョ ン」 を参照 し て く だ さ い。 ファイル パターン リストの設定 フ ァ イル パ タ ーンの長 さ は最大 80 文字です。 リ ス ト 内のフ ァ イル パ タ ーンの最 大数は 5000 です。 フ ァ イル パ タ ーン リ ス ト の表示中に新 し い フ ァ イル パ タ ーン を追加する には、 [Create New] を選択 し ます。 既存のフ ァ イル パ タ ーン を編集する には、 そのパ タ ーン に関連付け ら れた編集ア イ コ ン を選択 し ます。 図 221: 360 新しいファイル パターン FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス 隔離 [Pattern] フ ァ イル パ タ ーン を入力 し ます。 フ ァ イル パ タ ーンは、 正確な フ ァ イル名にする こ と も 、 ワ イル ド カ ー ド を含める こ と も で き ます。 [Action] ド ロ ッ プ ダウン リ ス ト から 、 [Block] または [Allow] のア ク シ ョ ン を 選択 し ます。 [Enable] こ のパ タ ーン を有効にする場合に選択 し ます。 隔離 ロー カル デ ィ ス ク を備えた FortiGate ユニ ッ ト は、 ブ ロ ッ ク さ れた フ ァ イルや感 染 し た フ ァ イルを隔離で き ます。 それ らのフ ァ イル名やフ ァ イルに関する状態情 報は、 隔離済みフ ァ イル リ ス ト に表示 さ れます。 特定の フ ァ イルを送信 し た り 、 自動送信 リ ス ト に特定の フ ァ イル パ タ ーン を追加 し てそれらの フ ァ イルが解析 のために Fortinet に自動的にア ッ プ ロー ド さ れる よ う に し た り し ます。 ロー カル デ ィ ス ク を備えていない FortiGate ユニ ッ ト は、 ブ ロ ッ ク さ れた フ ァ イ ルや感染 し た フ ァ イルを FortiAnalyzer ユニ ッ ト に送信 し て隔離で き ます。 FortiAnalyzer 上に格納 さ れた フ ァ イルは、 表示のために取得で き ます。 FortiAnalyzer ユニ ッ ト を設定する には、 [Log & Report]、[Log Config]、[Log Setting] の順に選択 し ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、 ア ン チウ イ ルス機能はグローバルに設定 さ れます。 これ らの機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 隔離済みファイル リストの表示 隔離済みフ ァ イル リ ス ト には、 ウ イルス感染またはフ ァ イル ブ ロ ッ キン グのた めに隔離 さ れた各 フ ァ イルに関する情報が表示 さ れます。 フ ァ イル名、 日付、 サービ ス、 状態、 重複カ ウ ン ト (DC)、 または TTL (Time to Live) で フ ァ イルを並 べ替えます。 リ ス ト を フ ィ ル タ 処理 し て、 隔離 さ れた フ ァ イルの う ち、 特定の状 態を含む フ ァ イルまたは特定のサービ スのフ ァ イルのみを表示 し ます。 隔離済みフ ァ イル リ ス ト を表示する には、[AntiVirus]、[Quarantine]、[Quarantined Files] の順に選択 し ます。 図 222: 隔離済みファイル リスト 隔離済みフ ァ イル リ ス ト には次の機能があ り 、 また隔離 さ れた各フ ァ イルに関 する次の情報が表示 さ れます。 [Apply] 隔離済み フ ァ イル リ ス ト に並べ替えや フ ィ ル タ 処理の選択を適用す る場合に選択 し ます。 [Sort by] リ ス ト を並べ替え ます。 状態、 サービ ス、 フ ァ イル名、 日付、 TTL、 または重複カ ウン ト か ら選択 し ます。 並べ替え を完了するには、 [Apply] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 361 隔離 アンチウイルス [Filter] リ ス ト を フ ィ ル タ 処理 し ます。 状態 ([Infected]、 [Blocked]、 [Heuristics]) またはサービ ス (IMAP、 POP3、 SMTP、 FTP、 HTTP) から 選択 し ます。 フ ィ ル タ 処理を完了するには、 [Apply] を選択 し ます。 ヒ ュ ー リ ス テ ィ ッ ク モー ド は、 CLI を使用 し てのみ設定で き ます。 368 ページの 「ア ン チウ イルスの CLI 設定」 を参照 し て く だ さ い。 [File Name] 隔離 さ れた フ ァ イルの処理 さ れた フ ァ イル名。 フ ァ イルが隔離 さ れる と 、 フ ァ イル名か ら すべてのスペースが削除 さ れ、 その フ ァ イルに対 し て 32 ビ ッ ト チ ェ ッ ク サムが実行 さ れます。 こ のチ ェ ッ ク サムは差 し 替え メ ッ セージに表示 さ れますが、 隔離 さ れた フ ァ イルには表示 さ れません。 この フ ァ イルは、 FortiGate のハー ド デ ィ ス ク 上に、 次の 名前付け規則で格納 さ れます。 <32bit_CRC>.<processed_filename> た と えば、 Over Size.exe と い う 名前の フ ァ イルは、 3fc155d2.oversize.exe と し て格納 さ れます。 [Date] この フ ァ イルが隔離 さ れた日付 と 時刻 ( 形式は、 dd/mm/yyyy hh:mm)。 重複カ ウン ト が増えた場合、 この値は最初の フ ァ イルが隔離 さ れた時 刻を示 し ます。 [Service] この フ ァ イルが隔離 さ れた と きのサービ ス (HTTP、 FTP、 IMAP、 POP3、 SMTP、 IM)。 [Status] この フ ァ イルが隔離 さ れた理由 ([Infected]、 [Heuristics]、 または [Blocked])。 [Status Description] 状態に関連 し た特定の情報。 た と えば、 "File is infected with "W32/Klez.h"" または "File was stopped by file block pattern."。 [DC] 重複カ ウン ト 。 同 じ フ ァ イルが重複 し て隔離 さ れた回数を示す カ ウン ト 。 この数が急速に増えている と きは、 ウ イルスの発生を示 し ている 可能性があ り ます。 [TTL] hh:mm の形式の TTL (Time to Live)。 この TTL が経過する と 、 FortiGate ユニ ッ ト は、 この フ ァ イルの [TTL] の見出 し の下に [EXP] と い う ラ ベ ルを付けます。 重複 フ ァ イルが発生 し た場合、 見つか っ た各重複に よ っ て TTL が更新 さ れます。 TTL 情報は、 このフ ァ イルが FortiAnalyzer ユニ ッ ト 上で隔離 さ れた場 合は使用で き ません。 [Upload Status] [Y] は、 こ のフ ァ イルが解析のために Fortinet にア ッ プ ロー ド さ れた こ と を示 し ます。 [N] は、 こ のフ ァ イルがア ッ プ ロー ド さ れていない こ と を示 し ます。 削除アイコン リ ス ト か ら この フ ァ イルを削除する場合に選択 し ます。 ダウンロード アイ 対応する フ ァ イルを元の形式でダウン ロー ド する場合に選択 し ます。 コン サブミット アイコ 疑わ し い フ ァ イルを解析のために Fortinet にア ッ プ ロー ド する場合に 選択 し ます。 ン 注記 : フ ァ イルの重複 ( チ ェ ッ ク サムに基づ く ) は格納 さ れず、 カ ウン ト さ れる だけで す。 TTL 値 と 重複カ ウン ト は、 フ ァ イルの重複が見つかる たびに更新 さ れます。 自動送信リストの表示 疑わ し い フ ァ イルを解析のために Fortinet に自動的にア ッ プ ロ ー ド する よ う に FortiGate ユニ ッ ト を設定 し ます。 ワ イル ド カ ー ド 文字 (* または ?) を使用 し て、 自動送信 リ ス ト に フ ァ イル パ タ ーン を追加 し ます。 こ れ らのフ ァ イル パ タ ーン は、 フ ァ イル ブ ロ ッ キン グの設定には関係な く 自動送信 リ ス ト に適用 さ れます。 状態 ([Blocked] または [Heuristics]) に基づいて フ ァ イルを Fortinet にア ッ プ ロー ド するか、 または個別のフ ァ イルを隔離済みフ ァ イル リ ス ト か ら直接送信 し ま す。 FortiGate ユニ ッ ト は、 暗号化 さ れた電子 メ ールを使用 し て、 ポー ト 25 経由 で SMTP サーバに フ ァ イルを自動送信 し ます。 こ のオプ シ ョ ンは、 ロ ー カル デ ィ ス ク を備えた FortiGate ユニ ッ ト でのみ使用で き ます。 362 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス 隔離 自動送信 リ ス ト を表示する には、 [AntiVirus]、[Quarantine]、[AutoSubmit] の順 に選択 し ます。 図 223: 自動送信リストの例 自動送信 リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] 自動送信リ ス ト に新し いフ ァ イル パタ ーン を追加する場合に選択し ます。 [File Pattern] 自動的にア ッ プ ロー ド さ れる フ ァ イル パ タ ーンの現在の リ ス ト 。 ? ま たは * のワ イル ド カ ー ド 文字を使用 し てパ タ ーン を作成 し ます。 リ ス ト 内のすべての フ ァ イル パ タ ーン を有効にするには、 このチ ェ ッ ク ボ ッ ク ス を オンに し ます。 削除アイコン リ ス ト か ら このエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [File Pattern] や [Enable] の情報を編集する場合に選択 し ます。 自動送信リストの設定 自動送信 リ ス ト に フ ァ イル パ タ ーン を追加する には、 [AntiVirus]、[Quarantine]、 [AutoSubmit] の順に選択 し ます。 図 224: [New File Pattern] ダイアログ ボックス [File Pattern] Fortinet に自動的にア ッ プ ロー ド する フ ァ イル パ タ ーン または フ ァ イル名を入力 し ます。 [Enable] このフ ァ イル パ タ ーン を有効にする場合に選択 し ます。 注記 : 設定 さ れた フ ァ イル パ タ ーンの自動ア ッ プ ロー ド を有効にするには、 [AntiVirus]、 [Quarantine]、[Config] の順に選択 し 、 [Enable AutoSubmit] を選択 し て、 [Use File Pattern] を選択 し ます。 隔離オプションの設定 隔離の設定オ プ シ ョ ン ( ブ ロ ッ ク さ れた フ ァ イルまたは感染 し た フ ァ イルを隔離 するかど う かや、 サービ スの種類を含む ) を設定する には、 [AntiVirus]、 [Quarantine]、[Config] の順に選択 し ます。 TTL や フ ァ イル サイ ズ値を設定 し 、 自動送信の設定を有効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 363 隔離 アンチウイルス 図 225: 隔離の設定 ( ローカル ディスクを備えた FortiGate) 図 226: 隔離の設定 ( ローカル ディスクを備えた FortiGate からの FortiAnalyzer) 図 227: 隔離の設定 ( ローカル ディスクを備えていない FortiGate からの FortiAnalyzer) 注記 : NNTP オプ シ ョ ンは選択で き ません。 将来サポー ト さ れる予定です。 364 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス [Config] 隔離の設定には次のオプ シ ョ ンがあ り ます。 [Options] [Quarantine Infected Files] : ア ン チウ イルス スキ ャ ンによ っ て識別 さ れ た感染 し た フ ァ イルを隔離する と きのプ ロ ト コ ルを選択 し ます。 [Quarantine Suspicious Files] : ヒ ュ ー リ ステ ィ ッ ク によ っ て識別 さ れた疑 わ し い フ ァ イルを隔離する と きのプ ロ ト コ ルを選択 し ます。 [Quarantine Blocked Files] : ア ン チウ イルス フ ァ イル ブ ロ ッ キングに よ っ て識別 さ れたブ ロ ッ ク さ れた フ ァ イルを隔離する と きのプ ロ ト コ ルを選択 し ます。 [Quarantine Blocked Files] オプ シ ョ ンは、 HTTP、 FTP、 IM には使用で き ません。 ダウン ロー ド する前に フ ァ イル名がブ ロ ッ ク さ れ、 隔離で き ないためです。 [Age Limit] フ ァ イルを隔離内に保持する時間の制限 ( 時間単位 )。 保存期間は、 隔 離済みフ ァ イル リ ス ト の [TTL] 列の値を公式化するために使用 さ れま す。 こ の制限に達する と 、 [TTL] 列には [EXP] が表示 さ れ、 フ ァ イルが 削除 さ れます ( ただ し 、 隔離済み フ ァ イル リ ス ト 内のレ コ ー ド は保持 さ れます )。 0 ( ゼロ ) の保存期間を入力する と 、 [Low Disk Space] のア ク シ ョ ンによ っ ては、 フ ァ イルがデ ィ ス ク 上に無期限に格納 さ れます。 [Max Filesize to Quarantine] 隔離 さ れる フ ァ イルの最大サイ ズ (MB)。 設定する最大フ ァ イル サイ ズ が大きすぎ る と 、 パフ ォ ーマ ン スに影響する可能性があ り ます。 [Low Disk Space] ロー カル デ ィ ス クがい っぱいにな っ た と き に実行する ア ク シ ョ ン を、 最 も古い フ ァ イルへの上書き、 または最新フ ァ イルの破棄から選択 し ます。 [FortiAnalyzer] ブ ロ ッ ク さ れた フ ァ イルや隔離 さ れた フ ァ イルの FortiAnalyzer ユニ ッ ト 上での格納を有効にする場合にオ ンに し ます。 FortiAnalyzer ユニ ッ ト の設定の詳細については、 431 ページの 「ログおよび レポー ト 」 を参照 し て く だ さ い。 [Enable AutoSubmit] [Enable AutoSubmit] : 自動送信機能を有効に し ます。 次のオプ シ ョ ンの ど ち ら かまたは両方を オ ンに し ます。 [Use File Pattern] : 自動送信 リ ス ト 内のフ ァ イル パ タ ーンに一致する フ ァ イルの自動ア ッ プ ロー ド を有効に し ます。 [Use File Status] : 隔離 さ れた フ ァ イルの自動ア ッ プ ロー ド を、 それぞれ の状態に基づいて有効に し ます。 [Heuristics] または [Block Pattern] の ど ち ら かを選択 し ます。 ヒ ュ ー リ ス テ ィ ッ ク は、 CLI を使用 し てのみ設定で き ます。 368 ページ の 「ア ン チウ イルスの CLI 設定」 を参照 し て く だ さ い。 [Apply] こ の設定を保存する場合に選択 し ます。 [Config] [Config] では、 FortiGate ユニ ッ ト によ っ て ブ ロ ッ ク さ れる現在のウ イルスの リ ス ト を表示 し ます。 また、 フ ァ イルや電子 メ ールのサイ ズ制限、 グ レ ーウ ェ ア ブ ロ ッ キン グな どの設定も 行います。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、 ア ン チウ イ ルス機能はグローバルに設定 さ れます。 これ らの機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 ウイルス リストの表示 ウ イ ル ス リ ス ト に は、 FortiGate ユ ニ ッ ト に イ ン ス ト ー ル さ れ て い る 現在の FortiGuard ウ イルス定義 (AV 定義 と も呼ばれる ) のアルフ ァ ベ ッ ト 順の リ ス ト が 表示 さ れます。FortiGate ユニ ッ ト は、こ れら のウ イルス定義を使用 し て、FortiGate ユニ ッ ト を通過する コ ン テ ン ツ に含まれている ウ イルス、 ワーム、 ト ロ イ、 その 他の脅威を検出お よび削除 し ます。 リ ス ト 全体を表示するか、 または数字やアル フ ァ ベ ッ ト の範囲を選択する こ と に よ っ て リ ス ト の一部を表示 し ます。 ウ イルス リ ス ト を表示する には、 [AntiVirus]、[Config] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 365 [Config] アンチウイルス FortiGuard ウ イルス定義の リ ス ト は、 FortiGate ユニ ッ ト が新 し いバージ ョ ンの FortiGuard AV 定義を受信する たびに更新 さ れます。 FortiGuard Center Virus Encyclopedia には、 FortiGate ユニ ッ ト が FortiGuard ウ イ ルス定義内の情報を使用 し て検出お よび削除で き る、 ウ イルス、 ワーム、 ト ロ イ、 その他の脅威の詳細な説明が含まれています。 図 228: ウイルス リスト ( 一部 ) 通常、 FortiGuard AV 定義は、 FortiGuard Distribution Network (FDN) から自動的に 更新 さ れます。 FDN から の AV 定義の自動更新を設定する には、 [System]、 [Maintenance]、[FortiGuard Center] の順に選択 し ます。 また、 シ ス テム ダ ッ シ ュ ボー ド ([System]、[Status] の順に選択 ) から AV 定義 を手動で更新する こ と も で き ます。 グレーウェア リストの表示 グ レ ーウ ェ ア プ ロ グ ラ ムは、 たいていはユーザの同意や認識な し に コ ン ピ ュ ー タ 上に イ ン ス ト ール さ れる、 迷惑な商用 ソ フ ト ウ ェ ア プ ロ グ ラ ムです。 グ レ ー ウ ェ ア プ ロ グ ラ ムは一般に迷惑な もの と 見 られていますが、 これ らのプ ロ グ ラ ムがシ ス テム パフ ォ ーマ ン スの問題を引き起 こ し た り 、 悪意のある結末のため に使用 さ れた り する場合があ り ます。 FortiGate ユニ ッ ト は、 有効にな っ てい る各カ テ ゴ リ に、 既知のグ レ ーウ ェ ア実 行可能プ ロ グ ラ ムがないかど う かスキ ャ ン し ます。 こ のカ テ ゴ リ の リ ス ト と 内容 は、 FortiGate ユニ ッ ト がウ イルス更新パ ッ ケージ を受信 し た場合は常に追加ま たは更新 さ れます。 いつで も新 し い カ テ ゴ リ が追加 さ れる可能性があ り 、 それら のカ テ ゴ リ はウ イルス更新 と 共に読み込まれます。 デ フ ォル ト では、 すべての新 し い カ テ ゴ リ が無効にな っ ています。 グ レ ーウ ェ アは、 ウ イルス スキ ャ ンが有 効にな っ ている と き にプ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効に し ます。 グ レ ーウ ェ ア カ テ ゴ リ には、 既知の実行可能 フ ァ イルが入力 さ れています。 FortiGate ユニ ッ ト がウ イルスお よび攻撃定義の更新を受信する たびに、 グ レ ー ウ ェ アのカ テ ゴ リ と 内容が更新 さ れます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 ア ン チウ イ ルス機能はグローバルに設定 さ れます。 これら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 グ レ ーウ ェ ア リ ス ト を表示する には、 [AntiVirus]、[Config]、[Grayware] の順 に選択 し ます。 366 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス [Config] 図 229: サンプルのグレーウェア オプション グ レ ーウ ェ ア カ テ ゴ リ を有効にする と 、 そのカ テ ゴ リ 内に リ ス ト さ れてい るす べての フ ァ イルがブ ロ ッ ク さ れます。 こ れら のカ テ ゴ リ は、 FortiGate ユニ ッ ト が更新を受信 し た と き に変更または拡張 さ れる可能性があ り ます。 次のグ レ ー ウ ェ ア カ テ ゴ リ の有効化を選択で き ます。 [Adware] ア ド ウ ェ ア プ ログ ラ ムを ブ ロ ッ ク し ます。 ア ド ウ ェ アは通常、 フ リ ーウ ェ ア プ ログ ラ ムに埋め込まれ、 そのプ ログ ラ ムが開かれる か、 または使用 さ れた場合は常に広告を ポ ッ プ ア ッ プ さ せます。 [BHO] BHO ( ブ ラ ウザ ヘルパ オブ ジ ェ ク ト ) を ブ ロ ッ ク し ます。 BHO は、 たいていはソ フ ト ウ ェ ア パ ッ ケージの一部 と し て イ ン ス ト ール さ れ る DLL フ ァ イルである ため、 そのソ フ ト ウ ェ アは Internet Explorer 4.x 以降の動作を制御で き ます。 すべての BHO に悪意があるわけで はあ り ませんが、 サー フ ィ ンの癖を追跡 し た り 、 その他の情報を収 集 し た り する可能性が存在 し ます。 [Dial] ダ イヤラ プ ログ ラ ムを ブ ロ ッ ク し ます。 ダ イ ヤラ を使用する と 、 他 人が PC モデムを使用 し て プ レ ミ アム番号に電話 し た り 、 長距離電 話をかけた り で き ます。 [Download] ダウン ロー ド プ ログ ラ ムを ブ ロ ッ ク し ます。 ダウン ロー ド コ ン ポーネン ト は通常、 Windows の起動時に実行 さ れ、 他のソ フ ト ウ ェ ア ( 特に、 広告やダ イヤルの ソ フ ト ウ ェ ア ) を イ ン ス ト ールまたは ダウン ロー ド する よ う に設計 さ れています。 [Game] ゲームを ブ ロ ッ ク し ます。 これら のゲームは通常、 ネ ッ ト ワー ク ユーザから はブ ロ ッ ク する こ と が望まれる、 ジ ョ ー ク ゲームや迷惑 なゲームです。 [HackerTool] ハ ッ カー ツールを ブ ロ ッ ク し ます。 [Hijacker] ブ ラ ウザ ハイ ジ ャ ッ ク プ ログ ラ ムを ブ ロ ッ ク し ます。 ブ ラ ウザの ハイ ジ ャ ッ ク は、 " スパイ ウ ェ ア " タ イ プのプ ログ ラ ムが、 お気に 入 り またはブ ッ ク マー ク 、 開始ページ、 メ ニ ュ ー オプ シ ョ ン などの Web ブ ラ ウザ設定を変更 し た場合に発生 し ます。 [Joke] ジ ョ ー ク プ ログ ラ ムを ブ ロ ッ ク し ます。 ジ ョ ー ク プ ログ ラ ムには、 シ ステムに影響を与え る よ う に見え る カ ス タ ム カ ー ソ ルおよびプ ロ グ ラ ム も 含まれます。 [Keylog] キーロ ガー プ ログ ラ ムを ブ ロ ッ ク し ます。 キーロ ガー プ ログ ラ ム は、 パスワー ド 、 チ ャ ッ ト 、 イ ン ス タ ン ト メ ッ セージ を含む、 キー ボー ド 上で行われたすべてのキース ト ロー ク を記録で き ます。 [Misc] 種々雑多のグ レーウ ェ ア カ テ ゴ リ に含まれているすべてのプ ログ ラ ムを ブ ロ ッ ク し ます。 [NMT] ネ ッ ト ワー ク 管理ツールを ブ ロ ッ ク し ます。 ネ ッ ト ワー ク 管理ツー ルを イ ン ス ト ール し 、 悪意を持っ て使用する と 、 設定を変更 し た り 、 ネ ッ ト ワー ク セキ ュ リ テ ィ を妨害 し た り する こ と がで き ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 367 アンチウイルスの CLI 設定 アンチウイルス [P2P] ピ ア ツーピ ア通信プ ログ ラ ムを ブ ロ ッ ク し ます。 P2P は、 正規のプ ロ ト コルではあ り ますが、 音楽、 ムービー、 その他のフ ァ イルを、 たいていは違法に交換する ために使用 さ れる フ ァ イル共有プ ログ ラ ム と 同義です。 [Plugin] ブ ラ ウザ プ ラ グ イ ン を ブ ロ ッ ク し ます。 ブ ラ ウザ プ ラ グ イ ンは、 一般には、 ブ ラ ウザ ウ ィ ン ド ウから イ ン ス ト ール さ れ、 直接実行 さ れる害のない イ ン タ ーネ ッ ト ブ ラ ウジ ング ツールです。 一部の ツールバーやプ ラ グ イ ンは、 ブ ラ ウジ ング設定の制御または記録、 あるいは送信を試みる こ と がで き ます。 [RAT] リ モー ト 管理ツールを ブ ロ ッ ク し ます。 リ モー ト 管理ツールを使用 する と 、 外部のユーザがネ ッ ト ワー ク 上の コ ン ピ ュ ー タ を リ モー ト で変更および監視で き ます。 [Spy] スパイ ウ ェ ア プ ログ ラ ムを ブ ロ ッ ク し ます。 ア ド ウ ェ ア と 同様に、 スパイ ウ ェ ア も 多 く の場合はフ リ ーウ ェ アに含まれています。 スパ イ ウ ェ アは、 Web ブ ラ ウジ ングの癖などのユーザの動作を、 それら が記録および解析 さ れる可能性のある広告主の Web サイ ト に報告で き る追跡および解析プ ログ ラ ムです。 [Toolbar] カ ス タ ム ツールバーを ブ ロ ッ ク し ます。 害のないツールバー も 存在 し ますが、 スパイ ウ ェ ア開発者は これら のツールバーを使用 し て Web 上での癖を監視 し た り 、 これら の情報を開発者に送 り 返 し た り する こ と がで き ます。 アンチウイルスの CLI 設定 こ こ では、 Web ベース マネージ ャ で使用可能な機能を拡張する ための CLI コ マ ン ド について説明 し ます。 こ れら の完全な説明や、 CLI コ マ ン ド を使用 し て追加 機能を有効にする方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 system global optimize optimize 機能は、 ア ン チウ イルス スキ ャ ン または単純なスループ ッ ト ト ラ フ ィ ッ クのど ち らかに対する FortiGate ユニ ッ ト の効率的な動作を保証する よ う に CPU 設定を設定 し ます。 optimize がア ン チウ イルスに設定 さ れてい る と 、 FortiGate ユニ ッ ト は対称型マルチ プ ロ セ ッ シ ン グ を使用 し て ア ン チウ イルス タ ス ク を複数の CPU に分散する こ と に よ っ て、 スキ ャ ン を高速化 し ます。 こ の機能は、 1000 以上の番号のモデルで使用で き ます。 詳細については、 Fortinet Knowledge Center の記事 「Antivirus failopen and optimization」 を参照 し て く だ さ い。 config antivirus heuristic FortiGate の ヒ ュ ー リ ス テ ィ ッ ク ア ン チウ イルス エ ン ジ ンはフ ァ イルにテ ス ト を 実行 し て、 ウ イルスのよ う な動作または既知のウ イルス指標を検出 し ます。 ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ンは、 フ ァ イル ブ ロ ッ キン グやウ イルス スキ ャ ン で 一致が見つか ら なか っ た後で、 最後に実行 さ れます。 こ の方法に よ り 、 ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ン で新 し いウ イルスが検出 さ れる可能性があ り ますが、 何 ら かの誤検知の結果が生成 さ れる可能性も あ り ます。 ヒ ュ ー リ ス テ ィ ッ ク エ ン ジ ンはデ フ ォ ル ト で有効にな っ てお り 、 疑わ し い フ ァ イルを受信者に渡 し 、 コ ピーを隔離に送信 し ます。 ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ンは、 CLI で設定 さ れた後、 ウ イルス スキ ャ ンが有効にな っ ている と き にプ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効に し ます。 ヒ ュ ー リ ス テ ィ ッ ク スキ ャ ンのモー ド を変更する には、 heuristic コ マ ン ド を使 用 し ます。 368 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチウイルス アンチウイルスの CLI 設定 config antivirus quarantine quarantine コ マ ン ド で も、 ヒ ュ ー リ ス テ ィ ッ ク関連の設定を行 う こ と がで き ます。 こ の機能は、 200 以上の番号のモデルで使用で き ます。 config antivirus service <service_name> こ の コ マ ン ド は、 HTTP、 FTP、 IM、 POP3、 IMAP、 または SMTP ト ラ フ ィ ッ ク内 の大き な フ ァ イルに対する FortiGate ユニ ッ ト でのア ン チウ イルス スキ ャ ンの処 理方法や、 FortiGate ユニ ッ ト がサービ スのためにスキ ャ ンするポー ト を設定す る ために使用 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 369 アンチウイルスの CLI 設定 370 アンチウイルス FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 不正侵入防御について 不正侵入防御 FortiGuard 不正侵入防御シ ステム (IPS) は、 シグネチ ャ と ア ノ マ リ によ る不正侵 入検知、 お よび短い待ち時間 と 優れた信頼性を誇る防御機能を兼ね備え ていま す。 IPS では、 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルの作成時に有効 に さ れた IPS オプ シ ョ ン を設定で き ます。 こ の項では、 FortiGate IPS を設定する方法について説明 し ます。 IPS の詳細につ いては、 『FortiGate 不正侵入防御シ ステム (IPS) ガ イ ド 』 を参照 し て く だ さ い。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • 不正侵入防御について 定義済みシグネチ ャ カ ス タ ム シグネチ ャ プ ロ ト コ ル デ コ ーダ アノマリ IPS の CLI 設定 不正侵入防御について FortiGate ユニ ッ ト は、 疑わ し い ト ラ フ ィ ッ ク を ロ グに記録 し た り 、 ア ラ ー ト メ ールを シ ス テム管理者に送信 し た り 、 疑わ し いパケ ッ ト またはセ ッ シ ョ ン を ロ グ記録、 許可、 破棄、 リ セ ッ ト 、 またはク リ ア し た り する こ と がで き ます。 一部 の IPS ア ノ マ リ し き い値を、 保護 さ れたネ ッ ト ワー ク上の正常な ト ラ フ ィ ッ ク で 最適に機能する よ う に調整 し ます。 さ ま ざ ま なネ ッ ト ワー ク環境に合わせて FortiGate IPS を カ ス タ マ イ ズする ために、 カ ス タ ム シグネチ ャ を作成 し ます。 FortiGate IPS は、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク を、 攻撃シグネチ ャ 内のパ タ ーン と 照合 し ます。 攻撃シグネチ ャ は、 ネ ッ ト ワー ク を既知の攻撃か ら確実に保護 し ます。 Fortinet の FortiGuard イ ン フ ラ ス ト ラ ク チ ャ によ っ て、 新 し い脅威の迅速 な識別 と 新 し い攻撃シグネチ ャ の開発が保証 さ れます。 FortiGuard サービ スは貴重な顧客 リ ソ ースであ り 、FortiGuard Distribution Network (FDN) を介 し たウ イルスお よび IPS ( 攻撃 ) のエ ン ジ ン と 定義の自動更新が含ま れています。 また、 FortiGuard Center から も、 FortiGuard ウ イルスお よび攻撃エ ンサイ ク ロ ペデ ィ アや、 FortiGuard Bulletin が提供 さ れます。 詳細情報およ び FortiGuard Center への リ ン ク については、 Fortinet Knowledge Center にア ク セス し て く だ さ い。 FortiGate ユニ ッ ト と FortiGuard の間の接続は、 [System]、[Maintenance]、 [FortiGuard Center] で設定 さ れます。 詳細については、 170 ページの 「FortiGate ユニ ッ ト の FDN およ び FortiGuard サービ スの設定」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト を、 最新のシグネチ ャ を含む更新 さ れた攻撃定義 フ ァ イルが ないかど う かを自動的にチ ェ ッ ク し てダウ ン ロ ー ド するか、 ま たは更新 さ れた攻 撃定義 フ ァ イルを手動でダウ ン ロ ー ド する よ う に設定 し ます。 ある いは、 更新 さ れた攻撃定義 フ ァ イルが FortiGuard Distribution Network か ら入手可能にな っ た ら す ぐ に、 それ らの フ ァ イルのプ ッ シ ュ 更新を可能にする よ う に FortiGate ユニ ッ ト を設定 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 371 不正侵入防御について 不正侵入防御 FortiGate ユニ ッ ト は、 更新 さ れた攻撃定義 フ ァ イルを イ ン ス ト ールする と き、 既 存の任意のシグネチ ャ のデ フ ォ ル ト 設定が変更 さ れていないかど う かを チ ェ ッ ク し ます。 デ フ ォル ト 設定が変更 さ れてい る場合は、 それ らの変更が保持 さ れます。 定義済み攻撃シグネチ ャの広範な リ ス ト に加え て使用する、 FortiGate ユニ ッ ト のカ ス タ ム攻撃シグネチ ャ を作成 し ます。 IPS が攻撃を検出または阻止 し た場合は常に、 攻撃 メ ッ セージが生成 さ れます。 その メ ッ セージ を攻撃ロ グに追加 し 、 管理者にア ラ ー ト メ ールを送信する よ う に FortiGate ユニ ッ ト を設定 し ます。 FortiGate ユニ ッ ト がア ラ ー ト メ ールを送信 する頻度を設定 し ます。 シ ス テムに脆弱性がない攻撃 ( た と えば、 Web サーバが 実行 さ れていない場合の Web 攻撃 ) に対する シグネチ ャ を無効にする こ と に よ っ て、 ロ グ メ ッ セージや警告の数を減ら し ます。 パケ ッ ト ロギン グ を使用する と 、 管理者はパケ ッ ト を解析 し て、 フ ォ レ ン ジ ッ クや誤検知がないかど う かを検出で き ます。 FortiGate のロギン グ と ア ラ ー ト メ ールの詳細については、 431 ページの 「ロ グ お よび レ ポー ト 」 を参照 し て く だ さ い。 IPS の設定と制御 Web ベース マネージ ャ または CLI のど ち らかを使用 し て IPS を設定 し た後、 個 別のフ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イル内のすべてのシグネチ ャ ま たはすべてのア ノ マ リ を有効または無効に し ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 IPS はグ ローバルに設定 さ れます。 IPS にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 表 35 は、 IPS の各設定 と 、 それ ら を設定 し た り 設定にア ク セス し た り する場所 を説明 し ています。 表 35: [Protection Profile] の IPS 設定と IPS の設定 [Protection Profile] の IPS オプション IPS の設定 [IPS Signature] [Intrusion Protection]、 [Signature] 重大度レ ベルご と に IPS シグネチ ャ を有 効または無効に し ます。 定義済みシグネチ ャ の リ ス ト を表示および設 定 し ます。 ネ ッ ト ワー ク 要件に基づいて カ ス タ ム シグネ チ ャ を作成 し ます。 プ ロ ト コル デ コ ーダ を設定 し ます。 [IPS Anomaly] [Intrusion Protection]、 [Anomaly] 重大度レ ベルご と に IPS ア ノ マ リ を有効 または無効に し ます。 定義済みア ノ マ リ の リ ス ト を表示および設定 し ます。 [Log Intrusions] [Intrusion Protection]、 [Anomaly]、 [ 個別のア ノマリ ] すべてのシグネチ ャ およびア ノ マ リ 侵入 のロギングを有効に し ます。 各シグネチ ャ のロギングを有効に し ます。 各シグネチ ャ またはア ノ マ リ のパケ ッ ト ロギ ングを有効に し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの IPS オ プ シ ョ ン にア ク セスする には、 [Firewall]、 [Protection Profile] の順に選択 し 、 [Edit] または [Create New] を選択 し て、 [IPS] を選択 し ます。 372 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 定義済みシグネチャ IPS を使用する状況 IPS は、 大規模なネ ッ ト ワー ク、 または高度な機密情報を保護 し てい る ネ ッ ト ワー ク に最 も適 し ています。 IPS を効率的に使用する には、 攻撃の性質や脅威の レ ベルを特定する ために攻撃ロ グ を監視お よび解析する こ と が必要です。 管理者 は、 パ フ ォ ーマ ン ス と 不正侵入防御の間のバ ラ ン ス を保証する ために、 し き い値 レ ベルを調整する こ と がで き ます。 ネ ッ ト ワー ク管理者がいない小規模企業や ホーム オ フ ィ スは、 攻撃ロ グ メ ッ セージ で溢れる可能性があ り 、 し き い値やそ の他の IPS 設定を設定する ために必要なネ ッ ト ワー クのバ ッ ク グ ラ ウ ン ド も あ り ません。 さ ら に、 ア ン チウ イルス ( グ レ ーウ ェ ア を含む )、 スパム フ ィ ル タ 、 Web フ ィ ル タ な どの、 FortiGate ユニ ッ ト が備え てい る その他の保護機能によ っ て、 優れた保護がすべてのネ ッ ト ワー ク に提供 さ れます。 定義済みシグネチャ デ フ ォ ル ト では、 一部のシグネチ ャ だけが有効にな っ ています。 ただ し 、 ロギン グは、 すべてのシグネチ ャ に対 し て有効にな っ ています。 デ フ ォ ル ト 設定を チ ェ ッ ク し て、 ネ ッ ト ワー ク ト ラ フ ィ ッ ク の要件が満た さ れてい る こ と を確認 し て く だ さ い。 不必要なシグネチ ャ を無効にする と 、 シ ス テム パ フ ォ ーマ ン スが向上 し た り 、 IPS に よ っ て生成 さ れる ロ グ メ ッ セージやア ラ ー ト メ ール メ ッ セージの数が減 少 し た り する可能性があ り ます。 た と えば、 IPS は多数の Web サーバ攻撃を検出 し ます。 FortiGate ユニ ッ ト の背後に配置 さ れてい る Web サーバへのア ク セスが 提供 さ れていない場合は、 すべての Web サーバ攻撃シグネチ ャ を無効に し ます。 注記 : IPS シグネチ ャ設定をデ フ ォル ト のま まで実行する と 、 FortiGate ユニ ッ ト の全体的 なパ フ ォ ーマ ン スが低下する可能性があ り ます。 定義済みシグネチ ャやロギングの設定を 微調整する こ と によ っ て、 最大の保護だけでな く 、 最大のパ フ ォ ーマ ン ス を保証する こ と がで き ます。 376 ページの 「シ ス テム パ フ ォ ーマ ン ス向上のための IPS 定義済みシグネ チ ャの微調整」 を参照 し て く だ さ い。 定義済みシグネチャ リストの表示 個別の定義済みシグネチ ャの設定は、 定義済みシグネチ ャ リ ス ト で有効または 無効に し た り 、 設定 し た り し ます。 こ の リ ス ト は、 シグネチ ャの重大度レ ベルご と に表示で き ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、IPS はグロー バルに設定 さ れます。 IPS にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 定義済みシグネチ ャ リ ス ト を表示する には、 [Intrusion Protection]、[Signature]、 [Predefined] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 373 定義済みシグネチャ 不正侵入防御 図 230: 定義済みシグネチャ リスト [Column Settings] テーブルに表示する シグネチ ャ 情報を カ ス タ マ イ ズする場合に選択 し ます。 また、 列の順序を再調整する こ と も で き ます。 デ フ ォル ト では、 シグネチ ャ ID、 グループ名、 および リ ビ ジ ョ ン番号 は表示 さ れません。 [Name] こ のシグネチ ャ の名前。 [Enable] こ のシグネチ ャ の状態。 緑色の円は、 こ のシグネチ ャ が有効にな っ て いる こ と を示 し ます。 灰色の円は、 こ のシグネチ ャ が有効にな っ てい ない こ と を示 し ます。 [Logging] こ のシグネチ ャ のロギング状態。 デ フ ォル ト では、 すべてのシグネ チ ャ のロギングが有効にな っ ています。 ロギングが有効にな っ ている 場合は、 こ のシグネチ ャ によ っ て生成 さ れる ログ メ ッ セージの状態 フ ィ ール ド にア ク シ ョ ンが表示 さ れます。 [Action] こ のシグネチ ャ に対 し て設定 さ れている ア ク シ ョ ン。 ア ク シ ョ ンは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、 または [Pass Session] に設定で き ます。 ロギ ングが有効にな っ ている場合は、 こ のシグネチ ャ によ っ て生成 さ れる ログ メ ッ セージの状態フ ィ ール ド にア ク シ ョ ンが表示 さ れます。 ア ク シ ョ ンの説明については、 表 36 を参照 し て く だ さ い。 [Severity] こ のシグネチ ャ に対 し て設定 さ れている重大度レ ベル。 重大度レ ベル は、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に設定で き ます。 [Protocols] こ のシグネチ ャ が適用 さ れる プ ロ ト コ ル。 [OS] こ のシグネチ ャ が適用 さ れるオペレーテ ィ ング シ ス テム。 [Applications] こ のシグネチ ャ が適用 さ れる ア プ リ ケーシ ョ ン。 [ID] こ のシグネチ ャ の一意の ID。 [Group] こ のシグネチ ャ が属する シグネチ ャ グループの名前。 [Revision] こ のシグネチ ャ の リ ビ ジ ョ ン番号。 設定アイコン こ のシグネチ ャ の設定を設定 し ます。 リセット アイコン リ セ ッ ト ア イ コ ンは、 シグネチ ャ のデ フ ォル ト 設定が変更 さ れている 場合にのみ表示 さ れます。 シグネチ ャ の リ セ ッ ト ア イ コ ン を選択する と 、 デ フ ォル ト 設定に復元 さ れます。 表 36 は、 定義済みシグネチ ャ、 カ ス タ ム シグネチ ャ、 およ びア ノ マ リ に対 し て 実行 さ れる可能性のあ る各ア ク シ ョ ン を説明 し ています。 374 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 定義済みシグネチャ 表 36: 各定義済みシグネチャに対して選択するアクション アクション 説明 [Pass] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 それ以上のア ク シ ョ ン を実行せずにそのパケ ッ ト のフ ァ イ アウ ォ ール通過を許可 し ます。 ロギングが無効で、 ア ク シ ョ ンが [Pass] に設定 さ れている場合、 こ のシグネチ ャ は実質的に無効にな り ます。 [Drop] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト を削除 し ます。 フ ァ イ アウ ォ ール セ ッ シ ョ ン は影響 さ れません。 TCP 接続ベースの攻撃には [Drop] 以外のア ク シ ョ ン を使用する こ と を お勧め し ます。 [Reset] パケ ッ ト がシグネチ ャ を ト リ ガする と 、FortiGate ユニ ッ ト は警告を生 成 し 、 そのパケ ッ ト を削除 し ます。 FortiGate ユニ ッ ト は、 ク ラ イ ア ン ト と サーバの両方に リ セ ッ ト を送信 し 、 こ の フ ァ イ アウ ォ ール セ ッ シ ョ ン を フ ァ イ アウ ォ ール セ ッ シ ョ ン テーブルから 削除 し ます。 こ のア ク シ ョ ンは、 TCP 接続に対 し てのみ使用 さ れます。 TCP 以外 の接続ベースの攻撃に対 し て設定 さ れている場合、 このア ク シ ョ ン は [Clear Session] と し て動作 し ます。 TCP 接続が完全に確立 さ れる 前に [Reset] ア ク シ ョ ンが ト リ ガ さ れる と 、 このア ク シ ョ ンは [Clear Session] と し て機能 し ます。 [Reset Client] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト を削除 し ます。 FortiGate ユニ ッ ト は、 ク ラ イ ア ン ト に リ セ ッ ト を送信 し 、 こ のフ ァ イ アウ ォ ール セ ッ シ ョ ン を フ ァ イ アウ ォ ール セ ッ シ ョ ン テーブルから 削除 し ます。 こ のア ク シ ョ ンは、 TCP 接続に対 し てのみ使用 さ れます。 TCP 以外 の接続ベースの攻撃に対 し て設定 さ れている場合、 このア ク シ ョ ン は [Clear Session] と し て動作 し ます。 TCP 接続が完全に確立 さ れる 前に [Reset Client] ア ク シ ョ ンが ト リ ガ さ れる と 、 このア ク シ ョ ンは [Clear Session] と し て機能 し ます。 [Reset Server] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト を削除 し ます。 FortiGate ユニ ッ ト は、 サーバ に リ セ ッ ト を送信 し 、 こ のフ ァ イ アウ ォ ール セ ッ シ ョ ン を フ ァ イ ア ウ ォ ール セ ッ シ ョ ン テーブルから 削除 し ます。 こ のア ク シ ョ ンは、 TCP 接続に対 し てのみ使用 さ れます。 TCP 以外 の接続ベースの攻撃に対 し て設定 さ れている場合、 このア ク シ ョ ン は [Clear Session] と し て動作 し ます。 TCP 接続が完全に確立 さ れる 前に [Reset Server] ア ク シ ョ ンが ト リ ガ さ れる と 、このア ク シ ョ ンは [Clear Session] と し て機能 し ます。 [Drop Session] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト を削除 し ます。 こ のパケ ッ ト のフ ァ イ ア ウ ォ ール セ ッ シ ョ ンの残 り については、 すべての後続パケ ッ ト が破 棄 さ れます。 [Pass Session] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト のフ ァ イ アウ ォ ール通過を許可 し ます。 この パケ ッ ト のセ ッ シ ョ ンの残 り については、 すべての後続パケ ッ ト が IPS をバイパス し ます。 [Clear Session] パケ ッ ト がシグネチ ャ を ト リ ガする と 、 FortiGate ユニ ッ ト は警告を 生成 し 、 そのパケ ッ ト が属する セ ッ シ ョ ンがセ ッ シ ョ ン テーブルか ら 直ちに削除 さ れます。 リ セ ッ ト は送信 さ れません。 TCP の場合は、すべての後続パケ ッ ト が破棄さ れる可能性があ り ます。 UDP の場合は、 すべての後続パケ ッ ト が、 フ ァ イ アウ ォ ールでの新 し いセ ッ シ ョ ンの作成を ト リ ガする可能性があ り ます。 定義済みシグネチャの設定 各シグネチ ャ に対 し て、 FortiGate IPS が攻撃を検出 し た と き に実行する ア ク シ ョ ン を設定 し ます。 FortiGate IPS は、 それ らのパケ ッ ト またはセ ッ シ ョ ン を許可、 破棄、 リ セ ッ ト 、 または ク リ アする こ と がで き ます。 パケ ッ ト ロギン グ を有効 または無効に し ます。 こ のシグネチ ャ に適用する重大度レ ベルを選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 375 定義済みシグネチャ 不正侵入防御 図 231: 定義済み IPS シグネチャの設定 [Action] リ ス ト から ア ク シ ョ ン を選択 し ます。 ア ク シ ョ ンは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、 または [Pass Session] に設定で き ます。 ア ク シ ョ ンの説明に ついては、 表 36 を参照 し て く だ さ い。 [Packet Log] パケ ッ ト ロギングを有効に し ます。 [Severity] ド ロ ッ プ ダウン リ ス ト から 重大度レ ベルを選択 し ます。 重大度レ ベル は、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に設定で き ます。 重大度レ ベルは、 個別のシグネチ ャ に対 し て設定 さ れます。 システム パフォーマンス向上のための IPS 定義済みシグネチャの微調整 デ フ ォ ル ト では、 FortiGate ユニ ッ ト のほ と ん どの定義済みシ グネ チ ャ が有効に な っ てお り 、 そのすべてがロ グに記録 さ れます。 デ フ ォル ト 設定のま まに し てお く と 、 FortiGate はシ ス テムに、 使用可能な最適な保護を提供 し ます。 シグネチ ャ やロ グの設定を微調整する こ と に よ っ て、 使用可能な最適な保護を引き続き実現 し なが ら、 貴重な FortiGate の リ ソ ース を解放する こ と も可能にな り ます。 微調整 では、 使用 し ていない機能を無効にする こ と がで き ます。 使用 し ていないシグネ チ ャやロ グ を無効にする こ と に よ っ て、 FortiGate ユニ ッ ト が タ ス ク を よ り 高速に 実行で き る よ う にな る ため、 全体的な シ ス テム パ フ ォ ーマ ン スが向上 し ます。 すべてのシ ス テムで、 常に IPS ス イ ー ト のすべてのシグネチ ャ を スキ ャ ンする必 要があるわけではあ り ません。 その例を次に示 し ます。 内部のデー タ ベースに し かア ク セスせず、 イ ン タ ーネ ッ ト や電子 メ ールにはア ク セス し ない コ ン ピ ュ ー タ を制御 し てい る FortiGate ユ ニ ッ ト があ る場合は、 その FortiGate ユニ ッ ト で、 電子 メ ール、 IM、 P2P な どの 特定の種類のシグネチ ャ を スキ ャ ン し て も意味はあ り ません。 FortiGate ユニ ッ ト に こ れら のシグネチ ャ を検索 し ないよ う に指示する こ と に よ っ て、 高い レ ベルのセキ ュ リ テ ィ を維持 し ながら、 全体的なパフ ォ ーマ ン ス を 向上 さ せる こ と がで き ます。 また、 ロギン グ機能で提供 さ れる情報を どのよ う に使用 し てい るかを正確に確認 する こ と も必要です。 こ れ らの情報を確認 し ていない こ と がわかっ た場合は、 ロ ギン グ機能を無効にするのが最善の方法です。 ロギン グは、 す ぐ に使用可能な イ ン テ リ ジ ェ ン ス を実現する ために使用するのが最善です。 シグネチャを無効にするには 1 [Intrusion Protection]、[Signature]、[Predefined] の順に選択 し ます。 2 無効にする シグネチ ャの [Enable] ボ ッ ク ス を オ フ に し ます。 シグネチャのロギングを無効にするには 376 1 [Intrusion Protection]、[Signature]、[Predefined] の順に選択 し ます。 2 変更する シグネチ ャ の右側にあ る [Configure] ア イ コ ン を選択 し ます。 3 [Logging] チ ェ ッ ク ボ ッ ク ス を オ フ に し ます。 4 [OK] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 カスタム シグネチャ カスタム シグネチャ カ ス タ ム シグネチ ャは、 さ ま ざ ま なネ ッ ト ワー ク 環境に合わせて FortiGate IPS を カ ス タ マ イ ズする ための優れた機能 と 柔軟性を提供 し ます。 FortiGate の定義 済みシグネチ ャは、 一般的な攻撃を カバー し ています。 例外的な ア プ リ ケーシ ョ ンや特殊な ア プ リ ケーシ ョ ン、 または一般的でないプ ラ ッ ト フ ォ ームを使用 し て い る場合は、 ア プ リ ケーシ ョ ンやプ ラ ッ ト フ ォ ームのベ ン ダから リ リ ース さ れて い る セキ ュ リ テ ィ 警告に基づいて カ ス タ ム シグネチ ャ を追加 し ます。 また、 P2P プ ロ ト コルのブ ロ ッ ク に役立つ よ う に カ ス タ ム シグネチ ャ を作成す る こ と も で き ます。 カ ス タ ム シグネチ ャの詳細については、、 『FortiGate 不正侵入防御シス テム (IPS) ガ イ ド 』 を参照 し て く だ さ い。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、 IPS はグ ローバルに設定 さ れます。 IPS にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 カスタム シグネチャ リストの表示 カ ス タ ム シグネチ ャ リ ス ト を表示する には、 [Intrusion Protection]、[Signature]、 [Custom] の順に選択 し ます。 図 232: カスタム シグネチャ リスト 推奨設定への リ セ ッ ト 全カ ス タ ム シグネチ ャ のク リ ア [View custom signatures with severity] フ ィ ル タ 条件に一致する カ ス タ ム シグネチ ャのみを表示するには、 フ ィ ル タ を選択 し てから 、 [Go] を選択 し ます。 並べ替えの条件 と し て は、 [All]、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に 対する [<=]、 [=]、 [>=] を使用で き ます。 [Create New] 新 し い カ ス タ ム シグネチ ャ を作成する場合に選択 し ます。 [ 全カスタム シグ すべてのカ ス タ ム シグネチ ャ を削除 し ます。 ネチャのクリア ] アイコン [ 推奨設定へのリ すべてのカ ス タ ム シグネチ ャ を推奨 さ れる設定に リ セ ッ ト し ます。 セット ] アイコン [Name] カ ス タ ム シグネチ ャの名前。 [Enable] 各カ ス タ ム シグネチ ャの状態。 ボ ッ ク ス内のチ ェ ッ ク マー クは、 こ のシグネチ ャ が有効にな っ ている こ と を示 し ます。 [Logging] 各カ ス タ ム シグネチ ャのロギング状態。 ボ ッ ク ス内のチ ェ ッ ク マー ク は、 このカ ス タ ム シグネチ ャのロギン グが有効にな っ ている こ と を 示 し ます。 [Action] 各カ ス タ ム シグネチ ャ に対 し て設定 さ れてい る ア ク シ ョ ン。 ア ク シ ョ ンは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、 または [Pass Session] に設定で き ます。 ロ ギングが有効にな っ ている場合は、 こ のシグネチ ャ によ っ て生成 さ れ る ログ メ ッ セージの状態 フ ィ ール ド にア ク シ ョ ンが表示 さ れます。 ア ク シ ョ ンの説明については、 表 36 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 377 プロトコル デコーダ 不正侵入防御 [Severity] 各カ ス タ ム シグネチ ャ に対 し て設定 さ れている重大度レベル。 重大度 レベルは、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に 設定で き ます。 重大度レベルは、 個別のシグネチ ャ に対 し て設定 さ れ ます。 削除アイコン このカ ス タ ム シグネチ ャ を削除する場合に選択 し ます。 編集アイコン [Name]、 [Signature]、 [Action]、 [Packet Log]、 および [Severity] の情報 を編集する場合に選択 し ます。 カスタム シグネチャの作成 特定の ト ラ フ ィ ッ ク を ブ ロ ッ ク または許可する には、 カ ス タ ム シグネチ ャ を使 用 し ます。 た と えば、 ポル ノ を含む ト ラ フ ィ ッ ク を ブ ロ ッ ク する には、 次のよ う な カ ス タ ム シグネチ ャ を追加 し ます。 F-SBID (--protocol tcp; --flow established; --content "nude cheerleader"; --no_case) こ のシグネチ ャ を追加する場合は、 ア ク シ ョ ン を [Drop Session] に設定 し ます。 カ ス タ ム シグネチ ャの構文の詳細については、『FortiGate 不正侵入防御シ ス テム (IPS) ガ イ ド 』 を参照 し て く だ さ い。 注記 : カ ス タ ム シグネチ ャ は高度な機能です。 こ の ド キ ュ メ ン ト では、 ユーザが不正侵 入検知シグネチ ャ の作成をすでに経験 し ている こ と を前提に し ています。 カ ス タ ム シグネチ ャ を作成する には、 [Intrusion Protection]、[Signature]、 [Custom] の順に選択 し ます。 図 233: カスタム シグネチャの編集 [Name] カ ス タ ム シグネチ ャ の名前を入力 し ます。 [Signature] カ ス タ ム シグネチ ャ を入力 し ます。 カ ス タ ム シグネチ ャ の構文の詳 細については、 『FortiGate 不正侵入防御システム (IPS) ガ イ ド 』 の 「カ ス タ ム シグネチ ャ の構文」 を参照 し て く だ さ い。 [Action] リ ス ト から ア ク シ ョ ン を選択 し ます。 ア ク シ ョ ンは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Pass Session]、 または [Clear Session] に設定で き ます。 ア ク シ ョ ンの説明 については、 表 36 を参照 し て く だ さ い。 [Packet Log] パケ ッ ト ロギングを有効に し ます。 [Severity] ド ロ ッ プ ダウン リ ス ト から 重大度レ ベルを選択 し ます。 重大度レ ベル は、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に設定で き ます。 重大度レ ベルは、 個別のシグネチ ャ に対 し て設定 さ れます。 プロトコル デコーダ FortiGate IPS は、 ア ノ マ リ 検知を使用 し て、 既知の攻撃を利用 し よ う と し てい る ネ ッ ト ワー ク ト ラ フ ィ ッ ク を識別 し ます。 378 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 アノマリ 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、IPS はグロー バルに設定 さ れます。 IPS にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 プロトコル デコーダ リストの表示 デ コ ーダ リ ス ト を表示する には、 [Intrusion Protection]、[Signature]、[Protocol Decoder] の順に選択 し ます。 図 234: プロトコル デコーダ リストの一部 [Name] プ ロ ト コル デ コ ーダの名前。 [Ports] このデ コ ーダが監視する (1 つまたは複数の ) ポー ト 番号。 設定アイコン このシグネチ ャ の属性を変更する場合に ク リ ッ ク し ます。 デ フ ォル ト では、 一部のデ コ ーダはシ ステムで使用 さ れている ため、 その設定を 変更する こ と はで き ません。 IPS プロトコル デコーダ リストのアップグレード IPS プ ロ ト コ ル デ コ ーダは、 FortiGuard Distribution Network (FDN) か ら入手可能 な IPS ア ッ プグ レ ー ド パ ッ ケージに含まれています。 フ ァ ームウ ェ ア ア ッ プグ レ ー ド を待つ必要はあ り ません。 IPS ア ッ プグ レ ー ド パ ッ ケージによ っ て、 IPS デ コ ーダ リ ス ト が、 既存の IM/P2P の最新バージ ョ ンや新規ア プ リ ケーシ ョ ン な どの新 し い脅威を含む最新の状態に維持 さ れます。 アノマリ FortiGate IPS は、 ア ノ マ リ 検知を使用 し て、 既知の ト ラ フ ィ ッ ク パ タ ーンや事 前に設定 さ れた ト ラ フ ィ ッ ク パ タ ーン には適合 し ないネ ッ ト ワー ク ト ラ フ ィ ッ ク を識別 し ます。 FortiGate IPS は、 TCP、 UDP、 およ び ICMP プ ロ ト コルに対する、 次の 4 つの統 計的なア ノ マ リ タ イ プ を識別 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 379 アノマリ 不正侵入防御 フラッディング 1 つの宛先を対象に し た 1 秒間のセ ッ シ ョ ン数が指定 さ れた し き い値 を超えている場合、 その宛先は フ ラ ッ デ ィ ン グを受けています。 スキャン 1 つの発信元か らの 1 秒間のセ ッ シ ョ ン数が指定 さ れた し き い値を超 えている場合、 その発信元はスキ ャ ン を実行 し ています。 発信元セッション 1 つの発信元か らの同時実行セ ッ シ ョ ン数が指定 さ れた し き い値を超 えている場合は、 発信元セ ッ シ ョ ン制限に達 し ています。 制限 宛先セッション制 1 つの宛先への同時実行セ ッ シ ョ ン数が指定 さ れた し き い値を超えて いる場合は、 宛先セ ッ シ ョ ン制限に達 し ています。 限 各 ト ラ フ ィ ッ ク ア ノ マ リ のロギン グ を有効または無効に し 、 ア ノ マ リ の検出に 対応 し て実行する IPS ア ク シ ョ ン を設定 し ます。 多 く の場合、 攻撃を表 し てい る 可能性のあ る ト ラ フ ィ ッ ク パ タ ーン を検出する ためにア ノ マ リ が使用する し き い値は設定可能です。 注記 : デ フ ォル ト のア ノ マ リ し き い値を変更する前に、 正常なネ ッ ト ワー ク ト ラ フ ィ ッ ク と 予測 さ れる ネ ッ ト ワー ク ト ラ フ ィ ッ ク を把握する こ と が重要です。 し き い値を低 く 設定 し すぎ る と 誤検知が発生する可能性があ り 、 し き い値を高 く 設定 し すぎ る と 一部の攻 撃を見逃す可能性があ り ます。 発信元お よび宛先ネ ッ ト ワー ク ア ド レ スに基づ く セ ッ シ ョ ン制御を設定する に は、 CLI を使用 し ます。 ト ラ フ ィ ッ ク ア ノ マ リ 検知 リ ス ト は、 FortiGate フ ァ ームウ ェ ア イ メ ージがア ッ プグ レ ー ド さ れた場合にのみ更新で き ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、IPS はグロー バルに設定 さ れます。 IPS にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 トラフィック アノマリ リストの表示 ア ノ マ リ リ ス ト を表示する には、 [Intrusion Protection]、[Anomaly] の順に選択 し ます。 図 235: トラフィック アノマリ リストの一部 [View traffic anomalies with severity] 380 フ ィ ル タ 条件に一致する ア ノ マ リ のみを表示する には、 フ ィ ル タ を選 択 し てか ら、 [Go] を選択 し ます。 並べ替えの条件 と し ては、 [All]、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に対する [<=]、 [=]、 [>=] を使用で き ます。 [Name] ト ラ フ ィ ッ ク ア ノ マ リ の名前。 [Enable] この ト ラ フ ィ ッ ク ア ノ マ リ の状態。 ボ ッ ク ス内のチ ェ ッ ク マー ク は、 このア ノ マ リ シグネチ ャ が有効にな っ ている こ と を示 し ます。 [Logging] 各 ト ラ フ ィ ッ ク ア ノ マ リ のロギング状態。 ボ ッ ク ス内のチ ェ ッ ク マー クは、 このア ノ マ リ のロギン グが有効にな っ ている こ と を示 し ま す。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 不正侵入防御 IPS の CLI 設定 [Action] 各 ト ラ フ ィ ッ ク ア ノ マ リ に対 し て設定 さ れてい る ア ク シ ョ ン。 ア ク シ ョ ンは、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Clear Session]、 または [Pass Session] に設定で き ま す。 ロギングが有効にな っ ている場合は、 こ のア ノ マ リ によ っ て生成 さ れる ログ メ ッ セージの状態 フ ィ ール ド にア ク シ ョ ンが表示 さ れま す。 ア ク シ ョ ンの説明については、 表 36 を参照 し て く だ さ い。 [Severity] 各 ト ラ フ ィ ッ ク ア ノ マ リ に対 し て設定 さ れてい る重大度レベル。 重大 度レ ベルは、 [Information]、 [Low]、 [Medium]、 [High]、 または [Critical] に設定で き ます。 重大度レ ベルは、 個別のア ノ マ リ に対 し て設定 さ れ ます。 編集アイコン [Action]、 [Severity]、 お よび [Threshold] の情報を編集する場合に選択 し ます。 リセット アイコン リ セ ッ ト ア イ コ ンは、 ア ノ マ リ が変更 さ れてい る場合にのみ表示 さ れます。 変更 さ れた設定を推奨 さ れる値に復元するには、 リ セ ッ ト ア イ コ ン を使用 し ます。 IPS トラフィック アノマリの設定 各 IPS ト ラ フ ィ ッ ク ア ノ マ リ は、 推奨 さ れる設定を使用 し て事前に設定 さ れていま す。 こ の推奨 さ れる設定を使用するか、 または推奨 さ れる設定を ネ ッ ト ワー ク の ニーズを満たすよ う に変更 し ます。 IPS ト ラ フ ィ ッ ク ア ノ マ リ を設定する には、 [Intrusion Protection]、[Anomaly] の順 に選択 し ます。 図 236: IPS トラフィック アノマリの編集 : icmp_dst_session [Action] ド ロ ッ プ ダ ウ ン リ ス ト か ら 、 [Pass]、 [Drop]、 [Reset]、 [Reset Client]、 [Reset Server]、 [Drop Session]、 [Pass Session]、 [Clear Session] のいずれかのア ク シ ョ ン を選択 し ます。 ア ク シ ョ ンの説明については、 表 36 を参照 し て く だ さ い。 [Severity] ド ロ ッ プダウン リ ス ト か ら、 [Information]、 [Low]、 [Medium]、 [High]、 [Critical] のいずれかの重大度レベルを選択 し ます。 [Threshold] し き い値の設定を含む IPS ア ノ マ リ の場合は、 指定 さ れた し き い値を超え る ト ラ フ ィ ッ ク によ っ て このア ノ マ リ が ト リ ガ さ れます。 IPS の CLI 設定 こ こ では、 Web ベース マネージ ャ で使用可能な機能を拡張する ための CLI コ マ ン ド について説明 し ます。 こ れらの完全な説明や、 CLI コ マ ン ド を使用 し て追加機能を有 効にする方法の例については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 system autoupdate ips IPS が更新 さ れる と き、 ユーザに よ っ て変更 さ れた設定は保持 さ れます。 推奨 さ れる IPS シグネチ ャ設定が変更 さ れてお ら ず、 更新 さ れた設定が異な っ ている場合、 シグ ネチ ャ設定は accept-recommended-settings に従 っ て設定 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 381 IPS の CLI 設定 不正侵入防御 ips global fail-open 何らかの原因で IPS が機能 し な く な っ た場合は、 デ フ ォル ト で fail open が実行 さ れます。 つま り 、 重要なネ ッ ト ワー ク ト ラ フ ィ ッ クがブ ロ ッ ク さ れる こ と はな く 、 問題を解決 し てい る間 も フ ァ イ アウ ォ ールは動作を継続 し ます。 ips global ip_protocol IPS の処理を フ ァ イ アウ ォ ール ポ リ シーで許可 さ れたサービ スだけに制限する こ と に よ っ て、 シ ス テム リ ソ ース を節約 し ます。 ips global socket-size IPS バ ッ フ ァ のサイ ズを設定 し ます。 (config ips anomaly) config limit config ips anomaly <name_str> コ マン ド を使用し て、config limit サブ コ マン ド にア ク セス し ます。 このコ マン ド は、 発信元および宛先ネ ッ ト ワーク ア ド レスに基づ く セ ッ シ ョ ン制御に使用し ます。 このコ マン ド は、 tcp_src_session、 tcp_dst_session、 icmp_src_session、 icmp_dst_session、 udp_src_session、 udp_dst_session に使用でき ます。 382 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ Web フィルタリングの順序 Web フィルタ Web フ ィ ル タ リ ン グの 3 つの主な機能であ る Web フ ィ ル タ コ ン テ ン ツ ブ ロ ッ ク、 URL フ ィ ル タ 、 およ び FortiGuard Web フ ィ ル タ は、 相互に連携 し て イ ン タ ーネ ッ ト ユーザに対する最大限の制御 と 保護を可能に し ます。 こ の項には、 以下の ト ピ ッ クが含まれています。 • • • • • • Web フ ィ ル タ リ ン グの順序 Web フ ィ ル タ リ ン グの動作 Web フ ィ ル タ の制御 コ ンテンツ ブロ ッ ク URL フ ィ ル タ FortiGuard-Web フ ィ ル タ Web フィルタリングの順序 Web フ ィ ル タ は、 次の順序で適用 さ れます。 1 URL 除外 (Web 除外 リ ス ト ) 2 URL ブ ロ ッ ク (Web URL ブ ロ ッ ク ) 3 URL ブ ロ ッ ク (Web パ タ ーン ブ ロ ッ ク ) 4 FortiGuard Web フ ィ ル タ リ ン グ ( カ テ ゴ リ ブ ロ ッ ク と も いいます ) 5 コ ン テ ン ツ ブ ロ ッ ク (Web コ ン テ ン ツ ブ ロ ッ ク ) 6 ス ク リ プ ト フ ィ ル タ (Web ス ク リ プ ト フ ィ ル タ ) 7 ア ン チウ イルス スキ ャ ン URL フ ィ ル タ リ ス ト は、 上位から 下位に向かっ て順番に処理 さ れます。 (FortiOS v2.80 の場合、 URL フ ィ ル タ は順不同の リ ス ト と し て処理 さ れます。 ) 除外に一 致する と 、 AV スキ ャ ン を含むそれ以降のチ ェ ッ クは行われません。 許可に一致 する と 、 その URL フ ィ ル タ リ ス ト のチ ェ ッ クは止め ら れ、 他の Web フ ィ ル タ が チ ェ ッ ク さ れます。 他の FortiGuard Web フ ィ ル タ リ ン グ カ テ ゴ リ の前に、 ロー カル評価がチ ェ ッ ク さ れます。 FortiGate ユニ ッ ト は こ の順序でルールを適用 し てい き、 ルールに従 っ ていない 場合は、 それ以降のフ ィ ル タ の設定に関係な く 、 サイ ト は自動的にブ ロ ッ ク さ れ ます。 Web フィルタリングの動作 以下では、 各 フ ィ ル タ が相互に連携する し く み と 、 それら のフ ィ ル タ の活用方法 について説明 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 383 Web フィルタの制御 Web フィルタ 最初のセ ク シ ョ ン であ る URL 除外 と ブ ロ ッ ク フ ィ ル タ を使用する と 、 特定のア ド レ スに対 し て行な う ア ク シ ョ ン を決定で き ます。 た と えば、 www.google.com を スキ ャ ン対象から除外する場合は、 そのア ド レ ス を URL 除外 リ ス ト に追加 し ま す。 それに よ り 、 こ の Web サイ ト に対 し て、 Web フ ィ ル タ リ ン グやウ イルス ス キ ャ ンは実行 さ れな く な り ます。 あ るパ タ ーン を ブ ロ ッ ク し たいが、 特定のユーザがそのパ タ ーン内に含まれる URL にア ク セス で き る よ う に し たい場合は、 FortiGuard Web フ ィ ル タ 内の 「上書 き」 機能を使用すればよ いで し ょ う 。 こ の機能を使用する と 、 ブ ロ ッ ク さ れた URL にア ク セス で き る よ う にするユーザ と 、 そのア ク セスが許可 さ れる期間を指 定で き ます。 た と えば、 User1 が www.fakeLAND.com に 1 時間だけア ク セス で き る よ う に し たい場合があ り ます。 こ のセ ク シ ョ ン を使用すれば、 こ のよ う な除外 を設定で き ます。 上書き リ ス ト に含まれてい るユーザはすべてオ ン ラ イ ン認証 フ ォ ームに入力 し ない と 、 FortiGuard ユニ ッ ト がブ ロ ッ ク し た URL へのア ク セス は許可 さ れません。 FortiGuard Web フ ィ ル タ ではまた、 URL のグループ を ブ ロ ッ ク する ためのロー カ ル カ テ ゴ リ も作成で き ます。 こ のカ テ ゴ リ を作成 し た後は、 ロー カル評価を使 用 し て、 作成 し た ロー カル カ テ ゴ リ に特定のサイ ト を追加で き ます。 さ ら に、 [Firewall]、[Protection Profile] を使用 し て、 ロ ー カル カ テ ゴ リ で実行する ア ク シ ョ ン を FortiGuard ユニ ッ ト に指示 し ます。 こ れら のロー カル評価によ っ て、 FortiGuard の評価が上書き さ れます。 最後に、 FortiGuard ユニ ッ ト は、 ActiveX、 Cookie、 お よび Java ア プ レ ッ ト に対 し てス ク リ プ ト フ ィ ル タ リ ン グ を適用 し ます。 これ らは、 [Firewall]、 [Protection Profile]、[Web filtering] で設定で き ます。 こ れら のすべての設定を完了 し た ら、 [Firewall]、[Protection Profile]、[Web filtering] や [Firewall]、[Protection Profile]、[FortiGuard Web Filtering] で こ れら の設定をすべて有効に し てお く 必要があ り ます。 こ こ で各設定を有効にする こ と に よ り 、 FortiGate ユニ ッ ト に、 設定 し たばか り のフ ィ ル タ の使用を開始する よ う 指示 し た こ と にな り ます。 こ こ では、 Web フ ィ ル タ リ ン グのオ プ シ ョ ン を設定する方法について説明 し ま す。 こ の項で設定 し た Web フ ィ ル タ リ ン グ機能を有効にする には、 ア ク テ ィ ブ な プ ロ テ ク シ ョ ン プ ロ フ ァ イルで、 対応する設定を有効にする必要があ り ます。 Web フィルタの制御 一般的なルール と し て、 [Web Filter] を選択 し て Web フ ィ ル タ リ ン グ設定を行 っ た後、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで使用で き る よ う に、 その フ ィ ル タ を有効 に し ます。 有効に し た フ ィ ル タ を実際にア ク テ ィ ブにする には、 [Firewall]、 [Protection Profile] の順に選択 し ます。 注記 : フ ィ ル タ を有効に し た と い う こ と は、 Web フ ィ ル タ リ ング機能を有効に し た と き に、 そのフ ィ ル タ が使用 さ れる こ と を意味 し ます。 そのフ ィ ル タ が直ちにア ク テ ィ ブにな るわけではあ り ません。 有効に し たすべてのフ ィ ル タ を実際にア ク テ ィ ブにするには、 [Firewall]、[Protection Profile] の順に選択する必要があ り ます。 FortiGuard-Web フ ィ ル タ は、 292 ページの 「FortiGuard-Web フ ィ ル タ リ ン グ オプ シ ョ ン」 で詳細に説明 さ れています。 評価の訂正や、 新 し いページに対する評価 の提案は、 「FortiGuard Center」 Web ページか ら提出する こ と がで き ます。 詳細 情報およ び FortiGuard Center への リ ン ク については、 Fortinet Knowledge Center にア ク セス し て く だ さ い。 384 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ Web フィルタの制御 次の表は、 [Protection Profile] の Web フ ィ ル タ リ ン グ オプ シ ョ ン と [Web Filter] メ ニ ュ ーを比較 し ています。 表 37: [Web Filter] と [Protection Profile] の Web コンテンツ ブロック設定 [Protection Profile] の Web フィルタリング オプション [Web Filter] の設定 [Web Content Block] [Web Filter]、 [Content Block] HTTP ト ラ フ ィ ッ ク に対する コ ン テ ン ツ ブ 特定の単語またはパ タ ーンが含まれた ロ ッ ク リ ス ト 内の禁止単語およびパ タ ーンに Web ページ を ブ ロ ッ ク する ための単語お 基づいた Web ページのブ ロ ッ キングを有効ま よびパ タ ーン を追加 し ます。 たは無効に し ます。 表 38: [Web Filter] と [Protection Profile] の Web URL フィルタリング設定 [Protection Profile] の Web フィルタリング オプション [Web Filter] の設定 [Web URL Filter] [Web Filter]、 [URL Filter] URL フ ィ ル タ リ ス ト に基づいた HTTP ト ラ フ ィ ッ ク に対する Web ページ フ ィ ル タ リ ン グ を有効または無効に し ます。 特定の発信元から の Web ページ を除外ま たはブ ロ ッ ク するする ための URL およ び URL パ タ ーン を追加 し ます。 表 39: [Web Filter] と [Protection Profile] の Web スクリプト フィルタリングおよびダウ ンロード設定 [Protection Profile] の Web フィルタリング オプション [Web Filter] の設定 [ActiveX Filter]、 [Cookie Filter]、 [Java Applet Filter] n/a HTTP ト ラ フ ィ ッ ク に対する Web ページから のス ク リ プ ト のブ ロ ッ キング を有効または無 効に し ます。 [Web resume Download Block] n/a すでに部分的にダウン ロー ド さ れた フ ァ イル の残 り のダウン ロー ド を ブ ロ ッ ク する場合に 有効に し ます。 このオプ シ ョ ン を有効にする と 、 ウ イルス フ ァ イルの意図 し ないダウン ロー ド は防止 さ れますが、 ダウン ロー ド の中 断を引き起す場合があ り ます。 表 40: [Web Filter] と [Protection Profile] の Web カテゴリ フィルタリング設定 [Protection Profile] の Web フィルタリング オプション [Web Filter] の設定 [Enable FortiGuard Web Filtering] (HTTP のみ ) [FortiGuard Web Filter]、 [Configuration] [Enable FortiGuard Web Filtering Overrides] (HTTP のみ ) [FortiGuard Web Filtering]、 [Overrides] [Provide details for blocked HTTP 4xx and 5xx errors] (HTTP のみ ) [Rate images by URL (Blocked images will be replaced with blanks)] (HTTP のみ ) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 385 コンテンツ ブロック Web フィルタ 表 40: [Web Filter] と [Protection Profile] の Web カテゴリ フィルタリング設定 ( 続き ) [Protection Profile] の Web フィルタリング オプション [Web Filter] の設定 [Allow web sites rating error occurs] (HTTP の み) [Strict Blocking] (HTTP のみ ) [Category]/[Action] FortiGuard-Web フ ィ ル タ リ ン グ サービ スは、 Web ト ラ フ ィ ッ ク のフ ィ ル タ 処理に使用する 多 く のカ テ ゴ リ を提供 し ます。 各カ テ ゴ リ に 対 し て、 実行する ア ク シ ョ ン を Web ページで 設定 し ます。 [Allow]、 [Block]、 [Log]、 [Allow Override] から 選択 し ます。 [Local Categories] を設定すれば、 ロー カルな 要件に う ま く 適合 さ せる こ と がで き ます。 [FortiGuard Web Filtering]、 [Local Categories] | [Local Ratings] [Classification]/[Action] 選択 さ れる と 、 ユーザは コ ン テ ン ツ キ ャ ッ シ ュ を提供 し た り 、 また イ メ ージ、 オーデ ィ オ、 ビデオ フ ァ イルの検索を提供する Web サイ ト にア ク セスで き る よ う にな り ます。 [Allow]、 [Block]、 [Log]、 [Allow Override] か ら 選択 し ます。 プロテクション プロファイルの Web フィルタ オプションにアクセスするには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 [Edit] または [Create New] を選択 し ます。 3 [Web Filtering] または [Web Category Filtering] を選択 し ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 Web フ ィ ル タ リ ング機能はグローバルに設定 さ れます。 これら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 コンテンツ ブロック 特定の単語またはパ タ ーン を ブ ロ ッ ク する こ と に よ っ て、 Web コ ン テ ン ツ を制御 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効にな っ てい る場合、 FortiGate ユ ニ ッ ト は、 要求 さ れた Web ページ内の単語またはパ タ ーン を検索 し ます。 一致 が見つかる と 、 その単語に割 り 当て られた値が合計 さ れてい き ます。 その合計値 がユーザ定義の し き い値を超え る と 、 その Web ページはブ ロ ッ ク さ れます。 禁止単語パ タ ーン を リ ス ト に追加する には、 Perl 正規表現またはワ イル ド カ ー ド を使用 し ます。 注記 : Web フ ィ ル タ のコ ン テ ン ツ ブ ロ ッ ク では、 Perl 正規表現パ タ ーンの大文字 と 小文 字は区別 さ れます。 単語または語句の大文字 と 小文字が区別 さ れないよ う にするには、 正 規表現の /i を使用 し ます。 た と えば、 /bad language/i を指定する と 、大文字 / 小文字には関係な く 、bad language のすべ ての組み合わせがブ ロ ッ ク さ れます。 ワ イル ド カ ー ド パ タ ーン では大文字 と 小文字が区 別 さ れません。 386 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ コンテンツ ブロック Web コンテンツ ブロック リスト カタログの表示 複数の Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト を追加 し 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ルご と に最適な Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト を選択で き ます。 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト カ タ ロ グ を表示する には、 [Web Filter]、[Content Block] の 順に選択 し ます。 個別の Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト を表示する には、 表示 する リ ス ト の編集ア イ コ ン を選択 し ます。 図 237: Web コンテンツ ブロック リスト カタログの例 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用意 さ れ ています。 [Add] このカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を選択 し ます。 [Name] 使用可能な Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト 。 [# Entries] 各 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト 内の コ ン テ ン ツ パ タ ーンの数。 [Profiles] 各 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト が適用 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト についての任意の コ メ ン ト 。 削除アイコン カ タ ログから この Web コ ン テ ン ツ除外 リ ス ト を削除する場合に選択 し ます。 削除ア イ コ ンは、 この Web コ ン テ ン ツ除外 リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合にのみ使用で き ます。 編集アイコン Web コ ン テ ン ツ除外 リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を 編集する場合に選択 し ます。 Web コ ン テ ン ツ除外 リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳 細については、 291 ページの 「Web フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 新しい Web コンテンツ ブロック リストの作成 Web コンテンツ ブロック リスト カタログに Web コンテンツ ブロック リスト を追加するには 1 [Web Filter]、 [Content Block] の順に選択 し ます。 2 [Create New] を選択 し ます。 図 238: [New Web Content Block list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 この リ ス ト を説明する コ メ ン ト を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 387 コンテンツ ブロック Web フィルタ Web コンテンツ ブロック リストの表示 Web コ ン テ ン ツ ブ ロ ッ ク が有効にな っ てい る場合、 要求 さ れたすべての Web ページはコ ン テ ン ツ ブ ロ ッ ク リ ス ト に対する チ ェ ッ クが行われます。 ページに 現れる各パ タ ーンのス コ ア値が加算 さ れてい き、 その合計がプ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れている し き い値を超え る と 、 そのページはブ ロ ッ ク さ れま す。 一つのパ タ ーン については、 そのパ タ ーンがページに複数回現れた場合で も、 ス コ アは 1 回だけ カ ウン ト さ れます。 Web コンテンツ ブロック リストを表示するには 1 [Web Filter]、 [Content Block] の順に選択 し ます。 2 表示する Web コ ン テ ン ツ除外 リ ス ト の編集ア イ コ ン を選択 し ます。 図 239: Web コンテンツ ブロック リストの例 注記 : コ ン テ ン ツ ブ ロ ッ ク の設定を ア ク テ ィ ブにするには、 フ ァ イ アウ ォ ールの [Protection Profile] で [Web Filtering]、 [Web Content Block] を有効に し ます。 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の名前。 この名前を変更する には、 名前フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンのコ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] Web コ ンテンツ ブロ ッ ク リ ス ト にパターンを追加する場合に選択し ます。 [Total] Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト 内のパ タ ーンの数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 388 全エントリ削除 アイコン こ のテーブルを ク リ アする場合に選択 し ます。 [Banned Word] 存在するパ タ ーンの リ ス ト 。 リ ス ト 内のすべてのパ タ ーン を有効にす るには、 チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [Pattern Type] パ タ ーンの リ ス ト 内のそれぞれのエ ン ト リ で使用 さ れるパ タ ーンの種 類。 [Wildcard] または [Regular Expression] から 選択 し ます。 418 ペー ジの 「Perl 正規表現の使用」 を参照 し て く だ さ い。 [Language] こ のパ タ ーンが属する文字セ ッ ト で、 [Simplified Chinese]、 [Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 [Western] のいずれ かにな り ます。 [Score] こ のパ タ ーンに適用 さ れる重み付けのス コ ア値。 あるページに現れる すべての一致パ タ ーンのス コ ア値が加算 さ れ、 その合計がプ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れている し き い値を超え る と 、 その ページはブ ロ ッ ク さ れます。 削除アイコン リ ス ト から こ のエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [Banned Word]、 [Pattern Type]、 [Language]、 お よび [Enable] の情報を 編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ コンテンツ ブロック Web コンテンツ ブロック リストの設定 Web コ ン テ ン ツのパ タ ーンは、 1 つの単語にする こ と も、 最大 80 文字のテキス ト 文字列にする こ と も で き ます。 リ ス ト 内の禁止単語の最大数は 5000 と な り ます。 コンテンツ除外パターンを追加または編集するには 1 [Web Filter]、 [Content Block] の順に選択 し ます。 2 [Create New] を選択 し ます。 または 3 表示する Web コ ン テ ン ツ除外 リ ス ト の編集ア イ コ ン を選択 し ます。 図 240: 新規コンテンツ ブロック パターン [Banned Word] コ ン テ ン ツ ブ ロ ッ ク パ タ ーン を入力 し ます。 1 つの単語の場合、 FortiGate はその単語が含まれていないかど う か、 すべての Web ページ を チ ェ ッ ク し ます。 語句の場合、 FortiGate はその語句の 中の任意の単語が含まれていないかど う か、 すべての Web ペー ジ を チ ェ ッ ク し ます。 引用符で囲まれた語句の場合、 FortiGate ユニ ッ ト はその語句全体が含まれていないかど う か、 すべての Web ページ を チ ェ ッ ク し ます。 [Pattern Type] ド ロ ッ プ ダウン リ ス ト から 、 [Wildcard] または [Regular Expression] のど ち ら かのパ タ ーンの種類を選択 し ます。 [Language] ド ロ ッ プ ダウン リ ス ト から 言語を選択 し ます。 [Score] このパ タ ーンのス コ ア値を入力 し ます。 [Enable] このパ タ ーン を有効にする場合に選択 し ます。 Web コンテンツ除外リスト カタログの表示 複数の Web コ ン テ ン ツ除外 リ ス ト を追加 し 、 その う ち最適な Web コ ン テ ン ツ除 外 リ ス ト を プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に選択で き ます。 Web コンテンツ除外リスト カタログを表示するには • [Web Filter]、[Content Block]、[Web Content Exempt] の順に選択 し ます。 個別の Web コンテンツ除外リストを表示するには • 表示する リ ス ト の編集ア イ コ ン を選択 し ます。 図 241: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web コンテンツ除外リスト カタログの例 389 コンテンツ ブロック Web フィルタ Web コ ン テ ン ツ除外 リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用意 さ れています。 [Add] このカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を選択 し ます。 [Name] 使用可能な Web コ ン テ ン ツ除外 リ ス ト 。 [# Entries] 各 Web コ ン テ ン ツ除外 リ ス ト 内のコ ン テ ン ツ パ タ ーンの数。 [Profiles] 各 Web コ ン テ ン ツ除外 リ ス ト が適用 さ れたプ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各 Web コ ン テ ン ツ除外 リ ス ト のオプ シ ョ ンの説明。 削除アイコン カ タ ログから この Web コ ン テ ン ツ除外 リ ス ト を削除する場合に選択 し ます。 削除ア イ コ ンは、 この Web コ ン テ ン ツ除外 リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合にのみ使用で き ます。 編集アイコン Web コ ン テ ン ツ除外 リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を 編集する場合に選択 し ます。 Web コ ン テ ン ツ除外 リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細に ついては、 291 ページの 「Web フ ィ ル タ リ ン グ オ プ シ ョ ン」 を参照 し て く だ さ い。 新しい Web コンテンツ除外リストの作成 Web コンテンツ除外リスト カタログに Web コンテンツ除外リストを追加するには 1 [Web Filter]、 [Content Block]、 [Web Content Exempt] の順に選択 し ます。 2 [Create New] を選択 し ます。 図 242: [New Web Content Exempt list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 この リ ス ト を説明する コ メ ン ト を入力 し ます。 Web コンテンツ除外リストの表示 Web コ ン テ ン ツの除外によ っ て、 Web コ ン テ ン ツ ブ ロ ッ ク機能の上書きが可能にな り ます。 Web コ ン テ ン ツ除外 リ ス ト で定義 さ れてい る任意のパ タ ーンが Web ページ に存在する場合、 通常は Web コ ン テ ン ツ ブ ロ ッ ク機能がブ ロ ッ ク する よ う な場合で あ っ て も、 そのページはブ ロ ッ ク さ れません。 Web コンテンツ除外リストを表示するには 390 1 [Web Filter]、 [Content Block]、 [Web Content Exempt] の順に選択 し ます。 2 表示する Web コ ン テ ン ツ除外 リ ス ト の編集ア イ コ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ コンテンツ ブロック 図 243: Web コンテンツ除外リストの例 注記 : コ ン テ ン ツ除外の設定を ア ク テ ィ ブにするには、 フ ァ イ アウ ォ ールの [Protection Profile] で [Web Filtering]、 [Web Content Exempt] を有効に し ます。 Web コ ン テ ン ツ除外 リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] Web コ ン テ ン ツ除外 リ ス ト の名前。 この名前を変更する には、 名前 フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンの コ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] Web コ ン テ ン ツ除外 リ ス ト にパ タ ーン を追加する場合に選択 し ます。 [Total] Web コ ン テ ン ツ除外 リ ス ト 内のパ タ ーンの数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 全エントリ削除 アイコン このテーブルを ク リ アする場合に選択 し ます。 [Pattern] 存在するパ タ ーンの リ ス ト 。 リ ス ト 内のすべてのパ タ ーン を有効にす る には、 このチ ェ ッ ク ボ ッ ク ス を オンに し ます。 [Pattern Type] パ タ ーン リ ス ト 内のそれぞれのエ ン ト リ で使用 さ れるパ タ ーンの種 類。 [Wildcard] または [Regular Expression] から 選択 し ます。 418 ペー ジの 「Perl 正規表現の使用」 を参照 し て く だ さ い。 [Language] このパ タ ーンが属する文字セ ッ ト で、 [Simplified Chinese]、 [Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 [Western] のいず れかにな り ます。 削除アイコン リ ス ト か ら このエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [Pattern]、 [Pattern Type]、 [Language]、 および [Enable] の情報を編集 する場合に選択 し ます。 Web コンテンツ除外リストの設定 Web コ ン テ ン ツのパ タ ーンは、 1 つの単語にする こ と も、 最大 80 文字のテキス ト 文字列にする こ と も で き ます。 リ ス ト 内の禁止単語の最大数は 5000 と な り ます。 コンテンツ除外パターンを追加または編集するには 1 [Web Filter]、 [Content Exempt] の順に選択 し ます。 2 [Create New] を選択 し ます。 または 3 表示する Web コ ン テ ン ツ除外パ タ ーンの編集ア イ コ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 391 URL フィルタ Web フィルタ 図 244: 新規コンテンツ除外パターン [Pattern] コ ン テ ン ツ除外パ タ ーン を入力 し ます。 1 つの単語の場合、 FortiGate はその単語が含まれていないかど う か、 すべての Web ページ を チ ェ ッ ク し ます。 語句の場合、 FortiGate はその語句の 中の任意の単語が含まれていないかど う か、 すべての Web ペー ジ を チ ェ ッ ク し ます。 引用符で囲まれた語句の場合、 FortiGate ユニ ッ ト はその語句全体が含まれていないかど う か、 すべての Web ページ を チ ェ ッ ク し ます。 [Pattern Type] ド ロ ッ プ ダウン リ ス ト から 、 [Wildcard] または [Regular Expression] のパ タ ーンの種類を選択 し ます。 [Language] ド ロ ッ プ ダウン リ ス ト から 言語を選択 し ます。 [Enable] こ のパ タ ーン を有効にする場合に選択 し ます。 URL フィルタ 特定の URL へのア ク セス を許可またはブ ロ ッ ク する には、 それら の URL を URL フ ィ ル タ リ ス ト に追加 し ます。 URL を許可またはブ ロ ッ ク する には、 テキス ト や正規表現 ( またはワ イル ド カ ー ド 文字 ) を使用 し てパ タ ーン を追加 し ます。 FortiGate ユニ ッ ト は、 指定 さ れた任意の URL またはパ タ ーン に一致する Web ページ を許可またはブ ロ ッ ク し 、 代わ り に差 し 替え メ ッ セージ を表示 し ます。 注記 : URL フ ィ ル タ の設定を ア ク テ ィ ブにするには、 フ ァ イ アウ ォ ールの [Protection Profile] で [Web filtering]、 [Web URL Filter] を有効に し ます。 注記 : URL ブ ロ ッ キングでは、 ユーザが Web ブ ラ ウザを使用 し てア ク セスで き る他の サービ スへのア ク セスはブ ロ ッ ク さ れません。 た と えば、 URL ブ ロ ッ キングでは、 ftp://ftp.example.com へのア ク セスはブ ロ ッ ク さ れません。 FTP 接続を拒否するに は、 代わ り に フ ァ イ アウ ォ ール ポ リ シーを使用 し ます。 URL フィルタ リスト カタログの表示 複数の URL フ ィ ル タ リ ス ト を追加 し 、 その中か ら最適な URL フ ィ ル タ リ ス ト を プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に選択で き ます。 URL フィルタ リスト カタログを表示するには • [Web Filter]、[URL Filter] の順に選択 し ます。 個別の URL フィルタ リストを表示するには 392 1 [Web Filter]、[URL Filter] の順に選択 し ます。 2 表示する リ ス ト の編集ア イ コ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ URL フィルタ 図 245: URL フィルタ リスト カタログの例 URL フ ィ ル タ リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用意 さ れています。 [Add] こ のカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を 選択 し ます。 [Name] 使用可能な URL フ ィ ル タ リ ス ト 。 [# Entries] 各 URL フ ィ ル タ リ ス ト 内の URL パ タ ーンの数。 [Profiles] 各 URL フ ィ ル タ リ ス ト が適用 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各 URL フ ィ ル タ リ ス ト のオプ シ ョ ンの コ メ ン ト 。 削除アイコン カ タ ログから こ の URL フ ィ ル タ リ ス ト を削除する場合に選択 し ます。 削除ア イ コ ンは、 こ の URL フ ィ ル タ リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合にのみ使用で き ます。 編集アイコン URL フ ィ ル タ リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集する 場合に選択 し ます。 URL フ ィ ル タ リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細につ いては、 291 ページの 「Web フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 新しい URL フィルタ リストの作成 URL フィルタ リスト カタログに URL フィルタ リストを追加するには 1 [Web Filter]、[URL Filter] の順に選択 し ます。 2 [Create New] を選択 し ます。 図 246: [New URL Filter list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 この リ ス ト を説明する コ メ ン ト を入力 し ます。 URL フィルタ リストの表示 ブ ロ ッ ク または除外する特定の URL を追加 し ます。 URL フ ィ ル タ リ ス ト に次の 項目を追加 し ます。 • 完全な URL • IP ア ド レ ス • すべてのサブ ド メ イ ン を許可またはブ ロ ッ ク する ための部分的な URL URL フィルタ リストを表示するには 1 [Web Filter]、[URL Filter] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 393 URL フィルタ Web フィルタ 2 表示する URL フ ィ ル タ リ ス ト の編集ア イ コ ン を選択 し ます。 図 247: URL フィルタ リスト URL フ ィ ル タ リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] URL フ ィ ル タ リ ス ト の名前。 この名前を変更するには、 名前フ ィ ー ル ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンの コ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] URL ブ ロ ッ ク リ ス ト に URL を追加する場合に選択 し ます。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 [ 全 URL フィルタの このテーブルを ク リ アする場合に選択 し ます。 クリア ] アイコン [URL] 存在する ブ ロ ッ ク / 除外 URL の リ ス ト 。 リ ス ト 内のすべての URL を有効にするには、 このチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [Type] URL の種類であ り 、 [Simple] または [Regex] ( 正規表現 )。 [Action] URL が一致 し た と き に実行する ア ク シ ョ ン であ り 、 [Allow]、 [Block]、 または [Exempt]。 許可に一致する と 、 その URL フ ィ ル タ リ ス ト のチ ェ ッ ク は終了 し 、 他の Web フ ィ ル タ がチ ェ ッ ク さ れます。 除外に一致する と 、 AV スキ ャ ン を含むそれ以降のチ ェ ッ ク は実行 さ れません。 ブ ロ ッ ク に一致する と 、 その URL はブ ロ ッ ク さ れ、 それ以降の チ ェ ッ ク は実行 さ れません。 削除アイコン リ ス ト から このエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [URL]、 [Type]、 [Action]、 および [Enable] の情報を編集する場合に 選択 し ます。 [Move] アイコン [Move URL Filter] ダ イ ア ログ ボ ッ ク ス を開 く 場合に選択 し ます。 URL フィルタ リストの設定 URL フ ィ ル タ リ ス ト 内のエ ン ト リ の最大数は 5000 です。 注記 : ト ッ プ レ ベルの ド メ イ ン サフ ィ ッ ク ス ( た と えば、 前にピ リ オ ド が付かない "com") を入力する と 、 このサフ ィ ッ ク ス を含むすべての URL へのア ク セスがブ ロ ッ ク さ れます。 URL フィルタ リストに URL を追加するには 394 1 [Web Filter]、[URL Filter] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 URL または IP ア ド レ ス を入力 し ます。 4 表現の種類を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ URL フィルタ 5 実行する ア ク シ ョ ン を選択 し ます。 6 [Enable] チ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 7 [OK] を選択 し ます。 図 248: [New URL Filter] ダイアログ ボックス [URL] URL を入力 し ます。 http:// を含めないで く だ さ い。 [Type] ド ロ ッ プ ダウン リ ス ト から 、 [Simple] または [Regex] ( 正規表現 ) の種類を選択 し ます。 [Action] ド ロ ッ プ ダウン リ ス ト から 、 [Allow]、 [Block]、 または [Exempt] のア ク シ ョ ン を選択 し ます。 許可に一致する と 、 その URL フ ィ ル タ リ ス ト が終了 し 、 他の Web フ ィ ル タ がチ ェ ッ ク さ れます。 除外に一致する と 、 AV スキ ャ ン を含むそれ以降のチ ェ ッ ク はす べて実行 さ れません。 ブ ロ ッ ク に一致する と 、 その URL はブ ロ ッ ク さ れ、 それ以降の チ ェ ッ ク は実行 さ れません。 [Enable] この URL を有効にする場合にオ ンに し ます。 Web サイ ト 上のすべてのページへのア ク セス を制御する には、 ト ッ プ レ ベルの URL または IP ア ド レ ス を入力 し ます。 た と えば、 www.example.com または 192.168.144.155 と すれば、こ の Web サイ ト にある すべてのページへのア ク セ スが制御 さ れます。 Web サイ ト 上の特定のページへのア ク セス を制御する には、 ト ッ プ レ ベルの URL の後にそのパス と フ ァ イル名を入力 し ます。 た と えば、 www.example.com/news.htmlまたは192.168.144.155/news.html と すれ ば、 こ の Web サイ ト 上のニ ュ ース ページが制御 さ れます。 example.comで終わる URL を含むすべてのページへのア ク セス を制御する には、 フ ィ ル タ リ ス ト に example.com を追加 し ます。 た と えば、 example.com を 追加する と 、 www.example.com、 mail.example.com、 www.finance.example.com な どへのア ク セスが制御 さ れます。 テキス ト と 正規表現 ( またはワ イル ド カ ー ド 文字 ) を使用 し て作成 さ れたパ タ ー ン に一致するすべての URL へのア ク セス を制御 し ます。 た と えば、 example.* は、 example.com、 example.org、 example.net な どに一致 し ます。 FortiGate の Web パ タ ーン ブ ロ ッ キン グでは、 標準的な正規表現がサポー ト さ れ ています。 注記 : ア ク シ ョ ンが [Exempt] に設定 さ れた URL に対 し ては、 ウ イルス スキ ャ ンが実行 さ れません。 ネ ッ ト ワー ク上のユーザが、 信頼で き る Web サイ ト から FortiGate ユニ ッ ト を 介 し て フ ァ イルを ダウン ロー ド する場合は、 この Web サイ ト の URL を [Exempt] のア ク シ ョ ン で URL フ ィ ル タ リ ス ト に追加 し てお く こ と で、 この URL から ダウン ロー ド さ れた フ ァ イルに対 し て FortiGate ユニ ッ ト がウ イルス スキ ャ ン を実行 し ないよ う に し ます。 注記 : Web URL フ ィ ル タ の設定を ア ク テ ィ ブにするには、 フ ァ イ アウ ォ ールの [Protection Profile] で [Web filtering]、 [Web URL Filter] を有効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 395 FortiGuard-Web フィルタ Web フィルタ URL フィルタ リスト内の URL の移動 URL フ ィ ル タ リ ス ト を使いやす く する ために、 エ ン ト リ を リ ス ト 内の別の位置 に移動で き ます。 URL フィルタ リスト内の URL を移動するには 1 [Web Filter]、[URL Filter] の順に選択 し ます。 2 URL リ ス ト の 編集ア イ コ ン を選択 し ます。 3 URL を ド ラ ッ グ ア ン ド ド ロ ッ プするか、 ま たは移動する URL の右にある [Move] ア イ コ ン を選択 し ます。 4 その URL の場所を指定 し ます。 5 [OK] を選択 し ます。 図 249: [Move URL Filter] ダイアログ ボックス [Move to] こ の URL を配置する リ ス ト 内の場所を選択 し ます。 (URL) 新 し い URL を配置する リ ス ト 内の場所の前または後にある URL を入力 し ます。 FortiGuard-Web フィルタ FortiGuard-Web は、 Fortinet が提供する マネージ ド Web フ ィ ル タ リ ン グ ソ リ ュ ー シ ョ ン です。 FortiGuard-Web は、 数億 もの Web ページ を、 ユーザが許可、 ブ ロ ッ ク 、 ま たは監視で き る よ う 、 さ ま ざ ま な カ テ ゴ リ に分類 し ています。 FortiGate ユニ ッ ト は、 最も 近い FortiGuard-Web Service Point にア ク セス し て、 要求 さ れた Web ページのカ テ ゴ リ を決定 し た後、 そのユーザまたはイ ン タ フ ェ ースに対 し て設定 さ れた フ ァ イ アウ ォ ール ポ リ シーに従います。 FortiGuard-Web には、 数億ページに達する Web サイ ト の 6,000 万を超える個別の評 価が含まれています。 各ページは、 ユーザが許可、 ブロ ッ ク、 または監視で き る よ う 、 56 のカ テゴ リ に分類され、 評価されます。 イ ン タ ーネ ッ ト の進化と共に、 これ ら のカ テ ゴ リ は追加または更新 さ れる可能性があ り ます。 設定を簡単にする ため に、 ユーザは、 カ テゴ リ 内の全グループの許可、 ブ ロ ッ ク、 または監視も選択で き ます。 ブ ロ ッ ク されたページは、 そのページがイ ン タ ーネ ッ ト 使用ポ リ シーによ っ てア ク セス不可能と な っ ている こ と を示す メ ッ セージに差し 替え られます。 FortiGuard-Web の評価は、 テキス ト 解析、 Web 構造の活用、 人間の評価者を含 む、 独自の手法の組み合わせに よ っ て実行 さ れます。 あ る Web ページが正 し く 分類 さ れていない と 思われた場合は、 FortiGuard-Web Service Point にご連絡 く だ さ い。 また、 必要に応 じ て、 新 し いサイ ト の評価も直ち に行われます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで FortiGuard カ テ ゴ リ ブ ロ ッ キン グ を設定する に は、 292 ページの 「FortiGuard-Web フ ィ ル タ リ ン グ オプ シ ョ ン」 の手順を使用 し ます。 FortiGuard Web サービ ス を設定する には、 170 ページの 「FortiGate ユニ ッ ト の FDN お よび FortiGuard サービ スの設定」 を参照 し て く だ さ い。 396 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ FortiGuard-Web フィルタ FortiGuard-Web フィルタリングの設定 FortiGuard-Web サービスを設定するには • [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 詳細については、 170 ページの 「FortiGate ユニ ッ ト の FDN お よび FortiGuard サービ スの設定」 を参照 し て く だ さ い。 上書きリストの表示 あ るポ リ シーに よ っ て ブ ロ ッ ク さ れてい る Web サイ ト へのア ク セスがユーザに 必要にな る こ と があ り ます。 こ の場合、 管理者は こ のユーザに、 あ る一定の期間 だけ こ のブ ロ ッ ク 機能を上書き さ せる こ と がで き ます。 ブ ロ ッ ク さ れたサイ ト にユーザがア ク セス し よ う と し た と き、 上書きが有効に な っ てい る と 、 そのユーザを認証フ ォ ームに導 く リ ン クがブ ロ ッ ク ページに表 示 さ れます。 ユーザが正 し いユーザ名 と パスワー ド を入力 し ない と 、 その Web サイ ト はブ ロ ッ ク さ れた ま まにな り ます。 認証はユーザ グループに基づ き、 ロー カル、 RADIUS、 お よび LDAP ユーザに対 し て行われます。 認証や、 ユーザ グループの設定の詳細については、 346 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 上書きリストを表示するには • [Web Filter]、[FortiGuard-Web Filter]、[Override] の順に選択 し ます。 図 250: 上書きリスト 上書き リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] この リ ス ト に新 し い上書きルールを追加する場合に選択 し ます。 この リ ス ト 内の上書きルールの総数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 全クリア アイコン このテーブルを ク リ アする場合に選択 し ます。 [URL/Category] この上書きが適用 さ れる URL またはカ テ ゴ リ 。 [Scope] この上書き を使用する可能性のあるユーザまたはユーザ グループ。 [Off-site URLs] この上書き によ っ て、 ユーザが、 上書き さ れている カ テ ゴ リ また は URL にある リ ン ク から と ベルサイ ト にア ク セスで き るかど う かを示 し ます。 緑色のチ ェ ッ ク マー ク は、 リ ン ク 先のア ク セス が許可 さ れている こ と を示 し ます。 灰色の×印は、 リ ン ク 先のア ク セスが拒否 さ れている こ と を示 し ます。 [Initiator] この上書きルールの作成者。 [Expiry Date] この上書きルールの有効期限日。 削除アイコン リ ス ト から このエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [Type]、 [URL]、 [Scope]、 [User]、 [Off-site URLs]、 お よび [Override Duration] の情報を編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 397 FortiGuard-Web フィルタ Web フィルタ 上書きルールの設定 上書きルールを設定する と 、 ブ ロ ッ ク さ れた Web サイ ト へのア ク セス を、 デ ィ レ ク ト リ 、 ド メ イ ン名、 またはカ テ ゴ リ に基づいて許可で き ます。 ディレクトリまたはドメインの上書きルールを作成するには 1 [Web Filter]、[FortiGuard-Web Filter]、[Override] の順に選択 し ます。 2 [Create New] を選択 し ます。 3 [Type] を選択 し ます。 4 [Scope] を選択 し ます。 5 [Scope] に対応する情報を選択 し ます。 6 [Off-site URLs] の [Allow] または [Block] を選択 し ます。 7 上書きの有効期間を設定 し ます。 8 [OK] を選択 し ます。 図 251: [New Override Rule] - [Directory] または [Domain] [Type] [Directory] または [Domain] を選択 し ます。 [URL] Web サイ ト の URL または ド メ イ ン名を入力 し ます。 [Scope] [User]、 [User Group]、 [IP]、 [Profile] のいずれかを選択 し ます。 選択 し たオプ シ ョ ンに応 じ て、 [Scope] の下に異な る オプ シ ョ ン が表示 さ れます。 [User] [Scope] で選択 し たユーザの名前を入力 し ます。 [User Group] ド ロ ッ プ ダウン リ ス ト から ユーザ グループ を選択 し ます。 ユー ザ グループは、 FortiGuard-Web の設定前に設定 さ れている必要 があ り ます。 詳細については、 346 ページの 「ユーザ グループ」 を参照 し て く だ さ い。 [IP] 上書き を利用する コ ン ピ ュ ー タ の IP ア ド レ ス を入力 し ます。 [Profile] ド ロ ッ プ ダウン リ ス ト から プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 [Off-site URLs] [Allow] または [Block] を選択 し ます。 これによ り 、 ユーザは、 上 書き さ れる Web サイ ト におかれた リ ン クの先にア ク セスで き る よ う にな り ます。 [Override Duration] 有効期間を日数、 時間数、 分数で入力 し ます。 上書き リ ス ト で は、 上書きの終了日が計算 さ れて表示 さ れます。 カ テ ゴ リ の 上 書 き を 作成 す る に は、 [Web [Override] の順に選択 し ます。 398 Filter]、[FortiGuard-Web Filter]、 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ FortiGuard-Web フィルタ 図 252: [New Override Rule] - [Categories] [Type] [Categories] を選択 し ます。 [Categories] この上書きが適用 さ れる カ テ ゴ リ を選択 し ます。 カ テ ゴ リ グ ループ またはサブ カ テ ゴ リ を選択で き ます。 また、 ロー カル カ テ ゴ リ も 表示 さ れます。 [Classifications] この上書きが適用 さ れる分類を選択 し ます。 選択 さ れる と 、 ユー ザは コ ン テ ン ツ キ ャ ッ シ ュ を提供 し た り 、 イ メ ージ、 オーデ ィ オ、 ビデオ フ ァ イルの検索機能を提供する Web サイ ト にア ク セ スで き る よ う にな り ます。 [Scope] [User]、 [User Group]、 [IP]、 [Profile] のいずれかを選択 し ます。 選択 し たオプ シ ョ ンに応 じ て、 [Scope] の下に異な るオプ シ ョ ン が表示 さ れます。 [User] [Scope] で選択 し たユーザの名前を入力 し ます。 [User Group] ド ロ ッ プ ダウン リ ス ト から ユーザ グループ を選択 し ます。 [IP] 上書き を利用する コ ン ピ ュ ー タ の IP ア ド レ ス を入力 し ます。 [Profile] ド ロ ッ プ ダウン リ ス ト から プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 [Off-site URLs] [Allow] または [Block] を選択 し ます。 これによ り 、 ユーザは、 上 書き Web サイ ト におかれた リ ン ク の先のサイ ト にア ク セスで き る よ う にな り ます。 [Override Duration] 有効期間を日数、 時間数、 分数で入力 し ます。 上書き リ ス ト で は、 上書きの終了日が計算 さ れて表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 399 FortiGuard-Web フィルタ Web フィルタ ローカル カテゴリの作成 ユーザがプ ロ フ ァ イル単位に URL のグループ を ブ ロ ッ ク で き る よ う にする ため に、 ユーザ定義のカ テ ゴ リ を作成で き ます。 こ こ で定義 さ れた カ テ ゴ リ は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの設定時にグロ ーバル URL カ テ ゴ リ リ ス ト に表示 さ れ ます。 ユーザは URL を、 こ れら のロー カル カ テ ゴ リ に基づいて評価で き ます。 図 253: ローカル カテゴリ リスト [Add] カ テ ゴ リ の名前を入力 し 、 [Add] を選択 し ます。 削除アイコン リ ス ト から こ のエ ン ト リ を削除する場合に選択 し ます。 ローカル評価リストの表示 ローカル評価リストを表示するには • [Web Filter]、[FortiGuard-Web Filter]、[Local Ratings] の順に選択 し ます。 図 254: ローカル評価リスト ロ ー カル評価 リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 400 [Create New] リ ス ト に評価を追加する場合に選択 し ます。 [Search] こ の リ ス ト を フ ィ ル タ 処理する ための検索条件を入力 し ます。 [1 - 3 of 3] こ の リ ス ト 内のロー カル評価の総数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 全クリア アイコン こ のテーブルを ク リ アする場合に選択 し ます。 [URL] 評価 さ れた URL。 こ の リ ス ト を URL で並べ替え るには、 緑色の 矢印を選択 し ます。 [Category] こ の URL が入れ られている カ テ ゴ リ または分類。 こ の URL が複 数のカ テ ゴ リ または分類で評価 さ れている場合は、 後続の ド ッ ト が表示 さ れます。 [Category Filter] ダ イ ア ログ ボ ッ ク ス を開 く に は、 灰色の じ ょ う ご ア イ コ ン を選択 し ます。 リ ス ト がフ ィ ル タ 処 理 さ れる と 、 じ ょ う ご ア イ コ ンが緑色に変更 さ れます。 削除アイコン リ ス ト から こ のエ ン ト リ を削除する場合に選択 し ます。 編集アイコン [URL]、 [Category Rating]、 および [Classification Rating] の情報を 編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ FortiGuard-Web フィルタ 図 255: [Category Filter] ダイアログ ボックス [Clear Filter] すべてのフ ィ ル タ を削除する場合に選択 し ます。 [Category Name] このカ テ ゴ リ を展開するには、 青色の矢印を選択 し ます。 [Enable Filter] このカ テ ゴ リ または個別のサブ カ テ ゴ リ のフ ィ ル タ を有効にする 場合にオンに し ます。 [Classification Name] フ ィ ル タ 処理で き る分類。 [Enable Filter] この分類フ ィ ル タ を有効にする場合にオンに し ます。 ローカル評価の設定 ユーザは、 ユーザ定義のカ テ ゴ リ を作成 し た後、 そのカ テ ゴ リ に属すべき URL を指定で き ます。 こ れによ り 、 ユーザはプ ロ フ ァ イル単位に、 Web サイ ト のグ ループ を ま と めて ブ ロ ッ ク で き る よ う にな り ます。 こ れら の評価は、 関連付け ら れた カ テ ゴ リ と 共にグ ローバル URL リ ス ト に含まれてお り 、 URL ブ ロ ッ ク リ ス ト の処理 と 同 じ 方法で比較 さ れます。 こ れ らのロー カル評価は FortiGuard サーバの評価よ り 優先 さ れ、 レ ポー ト 内では "Local Category" と 表示 さ れます。 ローカル評価を作成するには • [Web Filter]、[FortiGuard-Web Filter]、[Local Ratings] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 401 FortiGuard-Web フィルタ Web フィルタ 図 256: 新しいローカル評価 [URL] 評価する URL を入力 し ます。 [Category Name] こ のカ テ ゴ リ を展開するには、 青色の矢印を選択 し ます。 [Enable Filter] こ のカ テ ゴ リ または個別のサブ カ テ ゴ リ のフ ィ ル タ を有効にする 場合にオ ンに し ます。 [Classification Name] フ ィ ル タ 処理で き る分類。 [Enable Filter] こ の分類フ ィ ル タ を有効にする場合にオ ンに し ます。 カテゴリ ブロックの CLI 設定 FortiGuard-Web Service Point のデ フ ォル ト のホス ト 名 (URL) を変更する には、 webfilter fortiguard コ マ ン ド の hostname キーワー ド を使用 し ます。 FortiGuard-Web Service Point の名前を Web ベース マネージ ャ を使用 し て変更す る こ と はで き ません。 FortiGuard-Web の設定はすべて、 CLI を使用 し て設定 し ま す。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の webfilter fortiguard キーワー ド の説明を参照 し て く だ さ い。 FortiGuard-Web フィルタ レポート 注記 : FortiGuard Web フ ィ ル タ レポー ト は、 ハー ド デ ィ ス ク を備えた FortiGate ユニ ッ ト でのみ使用で き ます。 任意のプ ロ テ ク シ ョ ン プ ロ フ ァ イルに対 し て、 FortiGuard-Web フ ィ ル タ リ ン グ についてのテキス ト や円グ ラ フ形式のレ ポー ト を生成 し ます。 FortiGate ユニ ッ ト は、 各カ テ ゴ リ の許可、 ブ ロ ッ ク、 およ び監視 さ れた Web ページの統計を保 持 し ています。 数時間ま たは数日間 と い っ た範囲のレ ポー ト を表示するか、 あ る いはすべての動作についての完全な レ ポー ト を表示 し ます。 Web フィルタ レポートを作成するには • [Web Filter]、[FortiGuard-Web Filter]、[Reports] の順に選択 し ます。 402 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 Web フィルタ FortiGuard-Web フィルタ 図 257: FortiGuard Web フィルタリング レポートの例 次の表は、 レ ポー ト を生成する ためのオ プ シ ョ ン を説明 し ています。 [Profile] レポー ト を生成する プ ロ テ ク シ ョ ン プ ロ フ ァ イルを選択 し ます。 [Report Type] レポー ト の期間を選択 し ます。 [Hour]、 [Day]、 または [All] の履歴統計 から 選択 し ます。 [Report Range] レポー ト の時間の範囲 (24 時間時計 ) または日の範囲 (6 日前から 今日 ま で ) を選択 し ます。 た と えば、 [Hour] レポー ト の種類で範囲が 13 ~ 16 の場合は、 今日の午後 1 時から 午後 4 時までのカ テ ゴ リ ブ ロ ッ ク レポー ト にな り ます。 [Day] レポー ト の種類で範囲が 0 ~ 3 の場合は、 3 日前か ら今日ま でのカ テ ゴ リ ブ ロ ッ ク レ ポー ト にな り ます。 [Get Report] レポー ト を生成する場合に選択 し ます。 生成 さ れた レ ポー ト には、 円グ ラ フ と 次の情報が含まれます。 [Category] この統計が生成 さ れた カ テ ゴ リ 。 [Allowed] 選択 さ れた期間にア ク セス さ れた、 許可 さ れた Web ア ド レ スの数。 [Blocked] 選択 さ れた期間にア ク セス さ れた、 ブ ロ ッ ク さ れた Web ア ド レ スの数。 [Monitored] 選択 さ れた期間にア ク セス さ れた、 監視 さ れた Web ア ド レ スの数。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 403 FortiGuard-Web フィルタ 404 Web フィルタ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム アンチスパム アンチスパム こ の項では、 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イルに関連 し たスパム フ ィ ル タ リ ン グ オ プ シ ョ ン を設定する方法について説明 し ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • ア ン チ スパム 禁止単語 ブ ラ ッ ク / ホワ イ ト リ ス ト ア ン チ スパムの詳細設定 Perl 正規表現の使用 アンチスパム ア ン チ スパムを設定する と 、 スパム電子 メ ール メ ッ セージ を検出 し 、 既知のス パム サーバや疑わ し いスパム サーバから のスパム転送を識別する こ と によ っ て、 迷惑な商用電子 メ ールを管理する こ と がで き ます。 FortiGuard-Antispam は、 スパムを管理する ための機能の 1 つです。 FortiGuard は、 IP ア ド レ ス ブ ラ ッ ク リ ス ト 、 URL ブ ラ ッ ク リ ス ト 、 スパム フ ィ ル タ リ ン グ ツ ールな ど で構成 さ れた フ ォ ーテ ィ ネ ッ ト のア ン チスパム シ ス テムです。 FortiGuard Center では、 スパム電子 メ ール メ ッ セージの提出先 と な る だけでな く 、 誤検知の報告 も受け付けています。 詳細情報およ び FortiGuard Center への リ ン ク については、 Fortinet Knowledge Center にア ク セス し て く だ さ い。 スパム フィルタリングの順序 受信 メ ールが FortiGate Antispam フ ィ ル タ を通過する順序は、 メ ールの転送に使 用 さ れる プ ロ ト コ ルに よ っ て決定 さ れます。 SMTP の場合 1 ラ ス ト ホ ッ プ IP に対する IP ア ド レ ス BWL チ ェ ッ ク 2 ラ ス ト ホ ッ プ IP に対する RBL/ORDBL チ ェ ッ ク 、 ラ ス ト ホ ッ プ IP に対する FortiGuard-Antispam IP チ ェ ッ ク、 HELO DNS 参照 3 MIME ヘ ッ ダ チ ェ ッ ク 、 電子 メ ール ア ド レ ス BWL チ ェ ッ ク 4 電子 メ ールの件名に対する禁止単語チ ェ ッ ク 5 IP ア ド レ ス BWL チ ェ ッ ク ("Received" ヘ ッ ダか ら取得 さ れた IP に対 し て ) 6 電子 メ ールの本文に対する禁止単語チ ェ ッ ク 7 戻 り 電子 メ ール DNS チ ェ ッ ク 、 FortiGuard AntiSpam チ ェ ッ ク 、 ヘ ッ ダから 取得 さ れたパブ リ ッ ク IP に対する RBL/ORDBL チ ェ ッ ク POP3 と IMAP の場合 1 MIME ヘ ッ ダ チ ェ ッ ク 、 電子 メ ール ア ド レ ス BWL チ ェ ッ ク FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 405 アンチスパム アンチスパム 2 電子 メ ールの件名に対する禁止単語チ ェ ッ ク 3 IP BWL チ ェ ッ ク 4 電子 メ ールの本文に対する禁止単語チ ェ ッ ク 5 戻 り 電子 メ ール DNS チ ェ ッ ク、 FortiGuard AntiSpam チ ェ ッ ク、 RBL/ORDBL チェ ック SMTP、POP3、および IMAP の場合 サーバへのク エ リ と 応答が必要な フ ィ ル タ (FortiGuard Antispam サービ ス と DNSBL/ORDBL) は、 同時に実行 さ れます。 遅延を回避する ために、 ク エ リ は、 他のフ ィ ル タ が実行 さ れてい る間に送信 さ れます。 スパム ア ク シ ョ ン を ト リ ガ する最初の応答は、 その応答が受信 さ れる と す ぐ に有効にな り ます。 一致や問題が発見 さ れない場合、 各スパム フ ィ ル タ は電子 メ ールを次の フ ィ ル タ に渡 し ます。 フ ィ ル タ 内のア ク シ ョ ンが [Mark as Spam] であ る場合、 FortiGate ユニ ッ ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル内の設定に従 っ てその電子 メ ールに タ グ を付け るか、 または破棄 し ます (SMTP のみ )。 フ ィ ル タ 内のア ク シ ョ ンが [Mark as Clear] である場合、 その電子 メ ールは残 り のすべてのフ ィ ル タ か ら除外 さ れます。 フ ィ ル タ 内のア ク シ ョ ンが [Mark as Reject] であ る場合、 その電子 メ ール セ ッ シ ョ ンは破棄 さ れます。 拒否 さ れた SMTP 電子 メ ール メ ッ セージ は、 設定可能な差 し 替え メ ッ セージに置き換え られます。 アンチスパム フィルタの制御 スパム フ ィ ル タ は、 シ ス テム全体での使用のために設定 さ れますが、 プ ロ フ ァ イル単位に有効にな り ます。 表 41 は、 ア ン チスパムの各設定 と 、 それ ら を設定 し た り 設定にア ク セス し た り する場所を説明 し ています。 表 41: [AntiSpam] と [Protection Profile] のスパム フィルタリング設定 406 [Protection Profile] のスパム フィルタリン グ オプション [AntiSpam] の設定 [FortiGuard-Antispam] の [IP address check] [System]、 [Maintenance]、 [FortiGuard Centre] FortiGuard-Antispam と 呼ばれる フ ォ ーテ ィ ネ ッ ト のア ン チ スパム サービ ス を有効また は無効に し ます。 FortiGuard-Antispam は、 スパム IP ア ド レ ス と URL ブ ラ ッ ク リ ス ト を 提供する、 フ ォ ーテ ィ ネ ッ ト 独自の DNSBL サーバです。 フ ォ ーテ ィ ネ ッ ト は、 新 し い スパム発信元が発見 さ れる たびに、 FortiGuard-Antispam の IP と URL を最新の状 態に維持 し ます。 FortiGuard-Antispam を有効に し た り 、 FortiGuard-Antispam サーバの状態を チ ェ ッ ク し た り 、 ラ イ セ ン スの種類や終 了日を表示 し た り 、 キ ャ ッ シ ュ を設定 し た り し ます。 詳細については、 170 ページ の 「FortiGate ユニ ッ ト の FDN および FortiGuard サービ スの設定」 を参照 し て く だ さ い。 [IP address BWL check] [AntiSpam]、 [Black/White List]、 [IP Address] ブ ラ ッ ク / ホワ イ ト リ ス ト のチ ェ ッ ク 。 設 定 さ れている スパム フ ィ ル タ IP ア ド レ ス リ ス ト に対する受信 IP ア ド レ スのチ ェ ッ ク を有効または無効に し ます。 (SMTP のみ ) IP ア ド レ ス を リ ス ト に追加 し た り 編集 し た り し ます。 IP ア ド レ スご と に、 実行す る ア ク シ ョ ン を スパム、 ク リ ア、 または 拒否 と し て設定で き ます。 IP ア ド レ スは、 リ ス ト 内の任意の位置に置 く こ と がで き ます。 フ ィ ル タ は、 各 IP ア ド レ ス を順番 にチ ェ ッ ク し ます。 (SMTP のみ ) [DNSBL & ORDBL check] コ マ ン ド ラ イ ンのみ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム アンチスパム 表 41: [AntiSpam] と [Protection Profile] のスパム フィルタリング設定 ( 続き ) [Protection Profile] のスパム フィルタリン グ オプション [AntiSpam] の設定 設定 さ れている DNSBL (DNS Blackhole List) および ORDBL (Open Relay Database List) サーバに対する電子 メ ール ト ラ フ ィ ッ ク の チ ェ ッ ク を有効または無効に し ます。 DNSBL および ORDBL サーバを リ ス ト に 追加 し た り 、 リ ス ト から 削除 し た り し ま す。 各サーバから の、 スパム と し て識別 さ れた電子 メ ールに対 し て実行する ア ク シ ョ ン を、 スパムまたは拒否 と し て設定 で き ます (SMTP のみ )。 DNSBL や ORDBL の設定は、 コ マ ン ド ラ イ ン イ ン タ フ ェ ースでのみ変更で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [HELO DNS lookup] n/a ド メ イ ン ネーム サーバに登録 さ れている IP ア ド レ スに対する発信元 ド メ イ ン名の チ ェ ッ ク を有効または無効に し ます。 発信 元 ド メ イ ン名がこ の IP ア ド レ スに一致 し な い場合、 その電子 メ ールはスパム と し て マー ク さ れ、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル で選択 さ れている ア ク シ ョ ンが実行 さ れま す。 [E-mail address BWL check] [AntiSpam]、 [Black/White List]、 [E-mail Address] 設定 さ れている スパム フ ィ ル タ 電子 メ ール ア ド レ ス リ ス ト に対する受信電子 メ ール ア ド レ スのチ ェ ッ ク を有効または無効に し ま す。 ワ イル ド カ ー ド や正規表現を使用 し たオ プ シ ョ ン を指定 し て、 電子 メ ール ア ド レ ス を リ ス ト に追加 し た り 編集 し た り し ま す。 電子 メ ール ア ド レ スご と に、 ア ク シ ョ ン を スパムまたはク リ ア と し て設定 で き ます。 電子 メ ール ア ド レ スは、 リ ス ト 内の任意の位置に置 く こ と がで き ます。 フ ィ ル タ は、 各電子 メ ール ア ド レ ス を順 番にチ ェ ッ ク し ます。 [Return e-mail DNS check] n/a ド メ イ ン ネーム サーバに登録 さ れている IP ア ド レ スに対する受信電子 メ ール戻 り ア ド レ ス ド メ イ ンのチ ェ ッ ク を有効または無効 に し ます。 戻 り ア ド レ ス ド メ イ ン名がこ の IP ア ド レ スに一致 し ない場合、 その電子 メ ールはスパム と し てマー ク さ れ、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 さ れている ア ク シ ョ ンが実行 さ れます。 [MIME headers check] コ マ ン ド ラ イ ンのみ 設定 さ れている スパム フ ィ ル タ MIME ヘ ッ ダ リ ス ト に対する発信元の MIME ヘ ッ ダの チ ェ ッ ク を有効または無効に し ます。 ワ イル ド カ ー ド や正規表現を使用 し たオ プ シ ョ ン を指定 し て、 MIME ヘ ッ ダ を リ ス ト に追加 し た り 編集 し た り し ます。 MIME ヘ ッ ダご と に、 ア ク シ ョ ン を スパムまた はク リ ア と し て設定で き ます。 DNSBL や ORDBL の設定は、 コ マ ン ド ラ イ ン イ ン タ フ ェ ースでのみ変更で き ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 [Banned word check] [AntiSpam]、 [Banned Word] 設定 さ れている スパム フ ィ ル タ 禁止単語 リ ス ト に対する発信元電子 メ ールのチ ェ ッ ク を有効または無効に し ます。 ワ イル ド カ ー ド や正規表現を使用 し たオ プ シ ョ ン を指定 し て、 禁止単語を リ ス ト に追加 し た り 編集 し た り し ます。 言語 と 、 電子 メ ールの本文、 件名、 または この両 方を検索するかど う かを設定で き ます。 単語ご と に、 実行する ア ク シ ョ ン を スパ ムまたはク リ ア と し て設定で き ます。 [Spam Action] n/a FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 407 禁止単語 アンチスパム 表 41: [AntiSpam] と [Protection Profile] のスパム フィルタリング設定 ( 続き ) [Protection Profile] のスパム フィルタリン グ オプション [AntiSpam] の設定 スパム と し て識別 さ れた電子 メ ールに対 し て実行する ア ク シ ョ ン。 POP3 および IMAP メ ッ セージには タ グが付け ら れます。 SMTP メ ッ セージに対 し て、 [Tagged] または [Discard] を選択 し ます。 タ グ付き電子 メ ー ルの件名または MIME ヘ ッ ダに、 カ ス タ ム の単語または語句を追加で き ます。 任意の スパム ア ク シ ョ ン を イ ベン ト ログに記録す る こ と を選択で き ます。 [Append to] : スパム と し て識別 さ れた電子 メ ールの件名または MIME ヘ ッ ダに タ グを 追加する場合に選択 し ます。 [Append with] : スパム と し て識別 さ れた電子 メ ールに追加する単語または語句 ( タ グ ) を 入力 し ます。 最大の長 さ は 63 文字です。 [Add event into the system log] イ ベン ト ログへのスパム ア ク シ ョ ンのロギ ングを有効または無効に し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルのア ン チ スパム オプ シ ョ ン にア ク セスする には、 [Firewall]、 [Protection Profile] の順に選択 し て編集するか、 または [Create New]、 [Spam Filtering] を選択 し ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ てい る場合、 スパム フ ィ ル タ リ ング機能はグローバルに設定 さ れます。 こ れら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 禁止単語 特定の単語またはパ タ ーン を含む電子 メ ール メ ッ セージ を ブ ロ ッ ク する こ と に よ っ て、 スパムを制御 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効にな っ てい る場合、 FortiGate ユニ ッ ト は、 電子 メ ール メ ッ セージ内の単語またはパ タ ーン を検索 し ます。 一致が見つかる と 、 その単語に割 り 当て られた値が合計 さ れてい き ます。 ユーザ定義の し き い値を超え る と 、 その メ ッ セージはスパム と し てマー ク さ れます。 一致が見つか ら ない場合、 その電子 メ ール メ ッ セージは次のフ ィ ル タ に渡 さ れます。 禁止単語パ タ ーン を リ ス ト に追加する には、 Perl 正規表現またはワ イル ド カ ー ド を使用 し ます。 注記 : ア ン チスパム禁止単語では、 Perl 正規表現パ タ ーンは大文字 と 小文字が区別 さ れま す。 単語または語句の大文字 と 小文字が区別 さ れないよ う にするには、 正規表現の /i を 使用 し ます。 た と えば、 /bad language/i を指定する と 、大文字 / 小文字には関係な く 、bad language のすべ ての事例がブ ロ ッ ク さ れます。 ワ イル ド カ ー ド パ タ ーン では大文字 と 小文字が区別 さ れ ません。 408 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム 禁止単語 アンチスパム禁止単語リスト カタログの表示 複数のア ン チ スパム禁止単語 リ ス ト を追加 し 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に最適な ア ン チ スパム禁止単語 リ ス ト を選択で き ます。 ア ン チ スパム禁止単語 リ ス ト カ タ ロ グ を表示する には、 [AntiSpam]、[Banned Word] の順に選択 し ま す。 個別のア ン チ スパム禁止単語 リ ス ト を表示する には、 表示する リ ス ト の編集 ア イ コ ン を選択 し ます。 図 258: アンチスパム禁止単語リスト カタログの例 ア ン チ スパム禁止単語 リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用意 さ れて います。 [Add] このカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を選択 し ます。 [Name] 使用可能なア ン チスパム禁止単語 リ ス ト 。 [# Entries] 各ア ン チスパム禁止単語 リ ス ト 内のエ ン ト リ の数。 [Profiles] 各ア ン チスパム禁止単語 リ ス ト が適用 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各ア ン チスパム禁止単語 リ ス ト のオプ シ ョ ンの説明。 削除アイコン カ タ ログか ら このア ン チスパム禁止単語 リ ス ト を削除する場合に選 択 し ます。 削除ア イ コ ンは、 このア ン チスパム禁止単語 リ ス ト がど のプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も選択 さ れていない場合にのみ使 用で き ます。 編集アイコン ア ン チスパム禁止単語 リ ス ト 、 リ ス ト 名、 または リ ス ト のコ メ ン ト を編集する場合に選択 し ます。 ア ン チ スパム禁止単語 リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細については、 294 ページの 「スパム フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 新しいアンチスパム禁止単語リストの作成 ア ン チ スパム禁止単語 リ ス ト カ タ ロ グにア ン チ スパム禁止単語 リ ス ト を追加す る には、 [AntiSpam]、[Banned Word] の順に選択 し 、 [Create New] を選択 し ます。 図 259: [New AntiSpam Banned Word list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 こ の リ ス ト を説明する コ メ ン ト を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 409 禁止単語 アンチスパム アンチスパム禁止単語リストの表示 各電子 メ ール メ ッ セージは、 ア ン チスパム禁止単語 リ ス ト に対 し てチ ェ ッ ク さ れ ます。 1 つ以上の禁止単語を追加する と 、 件名、 本文、 ま たはその両方に こ れ ら の単語を含む電子 メ ール メ ッ セージが並べ替え られます。 メ ッ セージに現れる各 禁止単語のス コ ア値が加算 さ れ、 その合計がプ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れてい る し き い値を超え る と 、 その メ ッ セージはプ ロ テ ク シ ョ ン プ ロ フ ァ イル の [Spam Action] の設定に従 っ て処理 さ れます。 あ るパ タ ー ンが メ ッ セージ に複 数回現れた場合で も 、 そのパ タ ーンのス コ アは 1 回だけ適用 さ れます。 禁止単語 リ ス ト を表示する には、 [AntiSpam]、[Banned Word] の順に選択 し 、 表 示する禁止単語 リ ス ト の編集ア イ コ ン を選択 し ます。 図 260: 禁止単語リストの例 禁止単語 リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] 禁止単語 リ ス ト の名前。 こ の名前を変更するには、 名前フ ィ ール ド の テキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンのコ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] 禁止単語 リ ス ト に単語または語句を追加する場合に選択 し ます。 [Total] リ ス ト 内の項目の数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 410 全エントリ削除 アイコン こ のテーブルを ク リ アする場合に選択 し ます。 [Pattern] 禁止単語の リ ス ト 。 リ ス ト 内のすべての禁止単語を有効にするには、 こ のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [Pattern Type] 禁止単語 リ ス ト の入力で使用 さ れるパ タ ーンの種類。 [Wildcard] または [Regular Expression] から 選択 し ます。 詳細については、 418 ページの 「Perl 正規表現の使用」 を参照 し て く だ さ い。 [Language] こ の禁止単語が属する文字セ ッ ト であ り 、 [Simplified Chinese]、 [Traditional Chinese]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 [Western] のいずれかです。 [Where] FortiGate ユニ ッ ト が禁止単語を検索する場所であ り 、 [Subject]、 [Body]、 [All] のいずれかです。 [Score] こ の禁止単語に適用 さ れる重み付けの数値。 電子 メ ール メ ッ セージに 現れるすべての一致単語のス コ ア値が加算 さ れ、 その合計がプ ロ テ ク シ ョ ン プ ロ フ ァ イルに設定 さ れている spamwordthreshold 値を超 え る と 、 そのページは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルでその メ ール ト ラ フ ィ ッ ク の種類に対する スパム ア ク シ ョ ン コ マ ン ド ( た と えば、 smtp3-spamaction) が pass または tag に設定 さ れているかど う かに 従っ て処理 さ れます。 ある禁止単語が Web ページに複数回現れた場合 で も 、 その単語のス コ アは 1 回だけ カ ウン ト さ れます。 削除アイコン リ ス ト から こ の単語を削除する場合に選択 し ます。 編集アイコン [Pattern]、 [Pattern Type]、 [Language]、 [Where]、 [Action]、 および [Enable] の情報を編集する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム ブラック / ホワイト リスト アンチスパム禁止単語リストの設定 単語は、 スパムまたはク リ ア と し てマー ク で き ます。 禁止単語は、 1 つの単語に する こ と も、 最大 127 文字の語句にする こ と も で き ます。 1 つの単語の場合、 FortiGate ユニ ッ ト は、 その単語を含むすべての電子 メ ールを ブ ロ ッ ク し ます。 語句の場合、 FortiGate ユニ ッ ト は、 それ と 完全に一致する語 句を含むすべての電子 メ ールを ブ ロ ッ ク し ます。 語句に含まれてい る任意の単語 を ブ ロ ッ ク する には、 Perl 正規表現を使用 し ます。 禁止単語を追加または編集する には、 [AntiSpam]、[Banned Word] の順に選択 し ます。 図 261: [Add Banned Word] ダイアログ ボックス [Pattern] 禁止単語 リ ス ト に含める単語または語句を入力 し ます。 [Pattern Type] 禁止単語のパ タ ーンの種類を選択 し ます。 [Wildcard] または [Regular Expression] から 選択 し ます。 418 ページの 「Perl 正規表現の使用」 を参 照 し て く だ さ い。 [Language] 禁止単語の文字セ ッ ト を選択 し ます。 [Chinese Simplified]、 [Chinese Traditional]、 [French]、 [Japanese]、 [Korean]、 [Thai]、 または [Western] から 選択 し ます。 [Where] 禁止単語を検索する場所を選択 し ます。 [Subject]、 [Body]、 または [All] から 選択 し ます。 [Enable] 禁止単語のスキ ャ ン を有効にする場合にオンに し ます。 ブラック / ホワイト リスト プ ロ テ ク シ ョ ン プ ロ フ ァ イルで有効にな っ てい る場合、 FortiGate ユニ ッ ト は、 受信電子 メ ールの フ ィ ル タ 処理に IP ア ド レ ス リ ス ト と 電子 メ ール ア ド レ ス リ ス ト の両方を使用 し ます。 IP ア ド レ ス リ ス ト のチ ェ ッ ク を実行する場合、 FortiGate ユニ ッ ト は、 メ ッ セー ジの送信者の IP ア ド レ ス を IP ア ド レ ス リ ス ト に対 し て順番に比較 し ます。 一致 が見つかっ た場合は、 その IP ア ド レ スに関連付け られた ア ク シ ョ ンが実行 さ れ ます。 一致が見つから ない場合、 その メ ッ セージは次の有効なスパム フ ィ ル タ に渡 さ れます。 電子 メ ール リ ス ト チ ェ ッ ク を実行する場合、 FortiGate ユニ ッ ト は、 メ ッ セージ の送信者の電子 メ ール ア ド レ ス を電子 メ ール ア ド レ ス リ ス ト に対 し て順番に比 較 し ます。 一致が見つか っ た場合は、 その電子 メ ール ア ド レ スに関連付け ら れ たア ク シ ョ ンが実行 さ れます。 一致が見つか ら ない場合、 その メ ッ セージは次の 有効なア ン チ スパム フ ィ ル タ に渡 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 411 ブラック / ホワイト リスト アンチスパム アンチスパム IP アドレス リスト カタログの表示 複数のア ン チ スパム IP ア ド レ ス リ ス ト を追加 し 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル ご と に最適な ア ン チ スパム IP ア ド レ ス リ ス ト を選択で き ます。 ア ン チ スパム IP ア ド レ ス リ ス ト カ タ ロ グ を表示する には、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択 し ます。 個別のア ン チ スパム IP ア ド レ ス リ ス ト を表示する には、 表示する リ ス ト の編集ア イ コ ン を選択 し ます。 図 262: アンチスパム IP アドレス リスト カタログの例 ア ン チ スパム IP ア ド レ ス リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用意 さ れ ています。 [Add] このカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を選択 し ます。 [Name] 使用可能なア ン チスパム IP ア ド レ ス リ ス ト 。 [# Entries] 各ア ン チスパム IP ア ド レ ス リ ス ト 内のエ ン ト リ の数。 [Profiles] 各ア ン チスパム IP ア ド レ ス リ ス ト が適用 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各ア ン チスパム IP ア ド レ ス リ ス ト のオプ シ ョ ンの説明。 削除アイコン カ タ ログか ら このア ン チスパム IP ア ド レ ス リ ス ト を削除する場合 に選択 し ます。 削除ア イ コ ンは、 このア ン チスパム IP ア ド レ ス リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合 にのみ使用で き ます。 編集アイコン ア ン チスパム IP ア ド レ ス リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集する場合に選択 し ます。 ア ン チ スパム禁止単語 リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細については、 294 ページの 「スパム フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 新しいアンチスパム IP アドレス リストの作成 ア ン チ スパム IP ア ド レ ス リ ス ト カ タ ロ グにア ン チ スパム IP ア ド レ ス リ ス ト を 追加する には、 [AntiSpam]、[Black/White List] の順に選択 し 、 [Create New] を 選択 し ます。 図 263: 412 [New AntiSpam IP Address list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 こ の リ ス ト を説明する コ メ ン ト を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム ブラック / ホワイト リスト アンチスパム IP アドレス リストの表示 特定の IP ア ド レ スからの電子 メ ールを フ ィ ル タ 処理する よ う に FortiGate ユニ ッ ト を設定 し ます。 FortiGate ユニ ッ ト は、 送信者の IP ア ド レ ス を リ ス ト に対 し て 順番に比較 し ます。 各 IP ア ド レ ス を ク リ ア、 スパム、 または拒否 と し てマー ク し ます。 単一の IP ア ド レ ス を フ ィ ル タ 処理するか、 またはア ド レ ス と マス ク を 設定 し てネ ッ ト ワー ク レ ベルでのア ド レ スの範囲を フ ィ ル タ 処理 し ます。 ア ン チ スパム IP ア ド レ ス リ ス ト を表示する には、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択 し 、 表示する ア ン チ スパム IP ア ド レ ス リ ス ト の 編集ア イ コ ン を選択 し ます。 図 264: IP アドレス リストの例 ア ン チ スパム IP ア ド レ ス リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Name] ア ン チスパム IP ア ド レ ス リ ス ト の名前。 この名前を変更するには、 名前 フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ます。 [Comment] オプ シ ョ ンの コ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] ア ン チスパム IP ア ド レ ス リ ス ト に IP ア ド レ ス を追加する場合に選 択 し ます。 [Total] リ ス ト 内の項目の数。 前ページ アイコン 前のページ を表示する場合に選択 し ます。 次ページ アイコン 次のページ を表示する場合に選択 し ます。 全エントリ削除アイ このテーブルを ク リ アする場合に選択 し ます。 コン [IP Address/Mask] IP ア ド レ スの現在の リ ス ト 。 [Action] 設定 さ れている IP ア ド レ スから の電子 メ ールに対 し て実行する ア ク シ ョ ン。 ア ク シ ョ ンには、 設定 さ れている スパム ア ク シ ョ ン を適用 するための [Mark as Spam]、 この フ ィ ル タ と 残 り のスパム フ ィ ル タ をバイパスするための [Mark as Clear]、 または このセ ッ シ ョ ン を破棄 するための [Mark as Reject] (SMTP のみ ) があ り ます。 ある IP ア ド レ スが拒否に設定 さ れているが、 メ ールが POP3 または IMAP を介 し てその IP ア ド レ スから 配信 さ れている場合、 その電子 メ ール メ ッ セージはスパム と し てマー ク さ れます。 削除アイコン リ ス ト か ら このア ド レ ス を削除する場合に選択 し ます。 編集アイコン [IP Address/Mask]、 [Insert]、 [Action]、 および [Enable] のア ド レ ス情 報を編集する場合に選択 し ます。 アンチスパム IP アドレス リストの設定 IP ア ド レ ス リ ス ト に IP ア ド レ ス を追加する には、 [AntiSpam]、[Black/White List]、[IP Address] の順に選択 し 、 [Create New] を選択 し ます。 IP ア ド レ ス、 ま たは IP ア ド レ ス と マス クのペア を次の形式で入力 し ます。 • x.x.x.x ( た と えば、 62.128.69.100) FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 413 ブラック / ホワイト リスト アンチスパム • x.x.x.x/x.x.x.x ( た と えば、 62.128.69.100/255.255.255.0) • x.x.x.x/x ( た と えば、 62.128.69.100/24) 図 265: [Add IP Address] ダイアログ ボックス [IP Address/Mask] IP ア ド レ スか、 または IP ア ド レ ス / マス ク のペア を入力 し ます。 [Insert] ア ド レ ス を配置する リ ス ト 内の位置を選択 し ます。 [Action] ア ク シ ョ ン を選択 し ます。 ア ク シ ョ ンには、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れている スパム ア ク シ ョ ン を適用するための [Mark as Spam]、 こ のフ ィ ル タ と 残 り のスパム フ ィ ル タ をバイパス するための [Mark as Clear]、 または このセ ッ シ ョ ン を破棄する ため の [Mark as Reject] (SMTP のみ ) があ り ます。 [Enable] このア ド レ ス を有効に し ます。 アンチスパム電子メール アドレス リスト カタログの表示 複数のア ン チ スパム電子 メ ール ア ド レ ス リ ス ト を追加 し 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルご と に最適な ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト を選択で き ます。 ア ン チ ス パ ム 電子 メ ー ル ア ド レ ス リ ス ト カ タ ロ グ を 表示 す る に は、 [AntiSpam]、 [Black/White List]、[E-mail Address] の順に選択 し ます。個別のア ン チ スパム電子 メ ー ル ア ド レ ス リ ス ト を表示する には、 表示する リ ス ト の編集ア イ コ ン を選択 し ます。 図 266: アンチスパム電子メール アドレス リスト カタログの例 ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト カ タ ロ グには、 次のア イ コ ン と 機能が用 意 さ れています。 414 [Add] このカ タ ログに新 し い リ ス ト を追加するには、 名前を入力 し 、 [Add] を選択 し ます。 [Name] 使用可能なア ン チスパム電子 メ ール ア ド レ ス リ ス ト 。 [# Entries] 各ア ン チスパム電子 メ ール ア ド レ ス リ ス ト 内のエ ン ト リ の数。 [Profiles] 各ア ン チスパム電子 メ ール ア ド レ ス リ ス ト が適用 さ れた プ ロ テ ク シ ョ ン プ ロ フ ァ イル。 [Comment] 各ア ン チスパム電子 メ ール ア ド レ ス リ ス ト のオプ シ ョ ンの説明。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム ブラック / ホワイト リスト 削除アイコン カ タ ログか ら このア ン チスパム電子 メ ール ア ド レ ス リ ス ト を削除す る場合に選択 し ます。 削除ア イ コ ンは、 このア ン チスパム電子 メ ー ル ア ド レ ス リ ス ト がどのプ ロ テ ク シ ョ ン プ ロ フ ァ イルで も 選択 さ れていない場合にのみ使用で き ます。 編集アイコン ア ン チスパム電子 メ ール ア ド レ ス リ ス ト 、 リ ス ト 名、 または リ ス ト の コ メ ン ト を編集する場合に選択 し ます。 ア ン チ スパム禁止単語 リ ス ト は、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで選択 し ます。 詳細については、 294 ページの 「スパム フ ィ ル タ リ ン グ オプ シ ョ ン」 を参照 し て く だ さ い。 新しいアンチスパム電子メール アドレス リストの作成 ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト カ タ ロ グに ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト を 追加 す る に は、 [AntiSpam]、[Black/White List]、[E-mail Address] の順に選択 し 、 [Create New] を選択 し ます。 図 267: [New AntiSpam E-mail Address list] ダイアログ ボックス [Name] 新 し い リ ス ト の名前を入力 し ます。 [Comment] 必要に応 じ て、 こ の リ ス ト を説明する コ メ ン ト を入力 し ます。 アンチスパム電子メール アドレス リストの表示 FortiGate ユニ ッ ト は、 特定の送信者か らの電子 メ ール、 またはある ド メ イ ン (example.net な ど ) か らのすべての電子 メ ールを フ ィ ル タ 処理で き ます。 各電子 メ ール ア ド レ ス を ク リ ア ま たはスパム と し てマー ク し ます。 ア ン チ ス パ ム 電子 メ ー ル ア ド レ ス リ ス ト を 表示 す る に は、 [AntiSpam]、 [Black/White List]、[E-mail Address] の順に選択 し 、 表示す る ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト の編集ア イ コ ン を選択 し ます。 図 268: 電子メール アドレス リストの例 ア ン チ スパム電子 メ ール ア ド レ ス リ ス ト には、 次のア イ コ ン と 機能が用意 さ れ ています。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 415 ブラック / ホワイト リスト アンチスパム [Name] ア ン チスパム電子 メ ール ア ド レ ス リ ス ト の名前。 この名前を変更 するには、 名前 フ ィ ール ド のテキス ト を編集 し 、 [OK] を選択 し ま す。 [Comment] オプ シ ョ ンの コ メ ン ト 。 コ メ ン ト を追加または編集するには、 コ メ ン ト フ ィ ール ド にテキス ト を入力 し 、 [OK] を選択 し ます。 [Create New] 電子 メ ール ア ド レ ス リ ス ト に電子 メ ール ア ド レ ス を追加 し ます。 [Total] リ ス ト 内の項目の数。 前ページ アイコン 前のページ を表示 し ます。 次ページ アイコン 次のページ を表示 し ます。 全エントリ削除 アイコン このテーブルを ク リ ア し ます。 [Email address] 電子 メ ール ア ド レ スの現在の リ ス ト 。 [Pattern Type] 電子 メ ール ア ド レ スの入力で使用 さ れるパ タ ーンの種類。 [Wildcard] または [Regular Expression] から 選択 し ます。 詳細については、 418 ページの 「Perl 正規表現の使用」 を参照 し て く だ さ い。 [Action] 設定 さ れている ア ド レ スか らの電子 メ ールに対 し て実行する ア ク シ ョ ン。 ア ク シ ョ ンには、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れ ている スパム ア ク シ ョ ン を適用する ための [Mark as Spam]、 または この電子 メ ール メ ッ セージに このフ ィ ル タ と 残 り のスパム フ ィ ル タ をバイパス さ せる [Mark as Clear] があ り ます。 削除アイコン リ ス ト か ら この電子 メ ール ア ド レ ス を削除する場合に選択 し ます。 編集アイコン [E-Mail Address]、 [Pattern Type]、 [Insert]、 [Action]、 および [Enable] の情報を編集する場合に選択 し ます。 アンチスパム電子メール アドレス リストの設定 リ ス ト に電子 メ ール ア ド レ ス または ド メ イ ン を追加する には、 [AntiSpam]、 [Black/White List]、[E-mail Address] の順に選択 し ます。 図 269: [Add E-mail Address] ダイアログ ボックス [E-Mail Address] 電子 メ ール ア ド レ ス を入力 し ます。 [Pattern Type] [Wildcard] または [Regular Expression] のパ タ ーンの種類を選択 し ま す。 詳細については、 418 ページの 「Perl 正規表現の使用」 を参照 し て く だ さ い。 [Insert] この電子 メ ール ア ド レ ス を挿入する リ ス ト 内の場所を選択 し ます。 [Action] ア ク シ ョ ン を選択 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで設定 さ れている スパム ア ク シ ョ ン を適用するには、 [Mark as Spam] を選択 し ます。 • • [Enable] 416 電子 メ ール メ ッ セージが この フ ィ ル タ と 残 り のスパム フ ィ ル タ をバイパスで き る よ う にするには、[Mark as Clear] を選択 し ます。 この電子 メ ール ア ド レ ス を有効に し ます。 1 電子 メ ール ア ド レ ス またはパ タ ーン を入力 し ます。 2 リ ス ト 入力のためのパ タ ーンの種類を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム アンチスパムの詳細設定 3 必要に応 じ て、 新 し い電子 メ ール ア ド レ ス を正 し い位置に配置する ための、 リ ス ト 内の別の電子 メ ール ア ド レ スの前または後を選択 し ます。 4 設定 さ れてい る ア ド レ ス または ド メ イ ンから の電子 メ ールに対 し て実行する ア ク シ ョ ン を選択 し ます。 5 [Enable] を オ ン に し ます。 6 [OK] を選択 し ます。 アンチスパムの詳細設定 ア ン チ スパムの詳細設定は、 Web ベース マネージ ャ には表示 さ れず、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース (CLI) コ マ ン ド でのみ設定で き ます。 CLI コ マ ン ド を使用 する方法の完全な説明や例については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 config spamfilter mheader こ の コ マ ン ド は、 MIME ヘ ッ ダに基づいた電子 メ ール フ ィ ル タ リ ン グ を設定する ために使用 し ます。 MIME ヘ ッ ダのフ ィ ル タ リ ン グは、 各プ ロ テ ク シ ョ ン プ ロ フ ァ イル内で有効に し ます。 FortiGate ユニ ッ ト は、 受信電子 メ ールの MIME ヘ ッ ダのキー と 値のペア を リ ス ト のペアに対 し て順番に比較 し ます。 一致が見つか っ た場合は、 対応する ア ク シ ョ ンが実行 さ れます。 一致が見つか ら ない場合、 その電子 メ ールは次のスパム フ ィ ル タ に渡 さ れます。 MIME (Multipurpose Internet Mail Extensions) ヘ ッ ダは、 コ ン テ ン ツの種類やコ ン テ ン ツ エ ン コ ーデ ィ ン グ を説明する ために電子 メ ールに追加 さ れます。 電子 メ ール本文内のテキス ト の種類や、 その電子 メ ールを生成 し た プ ロ グ ラ ムな どが 含まれます。 MIME ヘ ッ ダのい く つかの例を次に示 し ます。 • • • • X-mailer: outgluck X-Distribution: bulk Content_Type: text/html Content_Type: image/jpg MIME ヘ ッ ダの最初の部分はヘ ッ ダ キー、 または単にヘ ッ ダ と 呼ばれます。 2 番 目の部分は値 と 呼ばれます。 スパム発信者はたいてい、 ヘ ッ ダの値に コ メ ン ト を 挿入するか、 または空白のま まに し ます。 こ れらの不正な形式のヘ ッ ダに よ っ て、 一部のスパム フ ィ ル タ やウ イルス フ ィ ル タ がだ ま さ れる場合があ り ます。 MIME ヘ ッ ダ リ ス ト は、 特定の一括 メ ール プ ロ グ ラ ムからの電子 メ ールや、 ス パム メ ッ セージに よ く 見られる特定の種類のコ ン テ ン ツ を含む電子 メ ールを マー ク する ために使用 し ます。 設定 さ れている ヘ ッ ダご と に、 電子 メ ールを スパ ムまたはク リ ア と し てマー ク し ます。 config spamfilter rbl こ の コ マ ン ド は、DNSBL (DNS-based Blackhole List) (RBL (Realtime Blackhole List) と も呼ばれる ) お よび ORDBL (Open Relay Database List) サーバを使用 し た電子 メ ール フ ィ ル タ リ ン グ を設定する ために使用 し ます。 DNSBL や ORDBL の フ ィ ル タ リ ン グは、 各プ ロ テ ク シ ョ ン プ ロ フ ァ イル内で有効に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 417 Perl 正規表現の使用 アンチスパム FortiGate ユニ ッ ト は、 送信者の IP ア ド レ ス または ド メ イ ン名を、 設定 さ れてい る任意のデー タ ベース リ ス ト に対 し て順番に比較 し ます。 一致が見つか っ た場 合は、 対応する ア ク シ ョ ンが実行 さ れます。 一致が見つから ない場合、 その電子 メ ールは次のスパム フ ィ ル タ に渡 さ れます。 一部のスパム発信者は、 セキ ュ リ テ ィ 保護 さ れていない第三者の SMTP サーバを 使用 し て、 迷惑な一括電子 メ ールを送信 し ます。 DNSBL や ORDBL の使用は、 ネ ッ ト ワー ク に進入 し たスパムに タ グ を付けた り 、 拒否 し た り する ための効率的 な方法です。 こ れら の リ ス ト は、 受信電子 メ ールの ド メ イ ン を、 スパムを送信す るかスパムを通過 さ せる こ と が知 られてい る IP ア ド レ スの リ ス ト と 照合する ド メ イ ン ネーム サーバ と し て機能 し ます。 継続的に更新された DNSBL や ORDBL への信頼性の高いアクセスを提供している、利 用可能な無料または有料のサーバがいくつか存在します。 現在使用されているサービ スを調べて、 サーバに接続するための正しいドメイン名を確認してください。 注記 : FortiGate ユニ ッ ト は、 サーバの ド メ イ ン名を使用 し て DNSBL または ORDBL サー バに接続する ため、 この名前を DNS サーバで検索で き る必要があ り ます。 DNS の設定に ついては、 89 ページの 「ネ ッ ト ワー ク オプ シ ョ ン」 を参照 し て く だ さ い。 Perl 正規表現の使用 電子 メ ール ア ド レ ス リ ス ト 、 MIME ヘ ッ ダ リ ス ト 、 お よび禁止単語 リ ス ト のエ ン ト リ には、 ワ イル ド カ ー ド または Perl 正規表現を含める こ と がで き ます。 Perl 正規表現の使用の詳細については、 http://perldoc.perl.org/perlretut.html を参 照 し て く だ さ い。 正規表現とワイルドカードの一致パターンの比較 ワ イル ド カ ー ド 文字は、 他の 1 つ以上の文字を表す特殊文字です。 最も よ く 使用 さ れる ワ イル ド カ ー ド 文字に、 一般に文字列内の 0 個以上の文字を表すア ス タ リ ス ク (*) と 、 一般に任意の 1 文字を表す疑問符 (?) があ り ます。 Perl 正規表現では、 '.' の文字は任意の 1 文字を示 し ます。 ワ イル ド カ ー ド の一致 パ タ ーン にある '?' の文字 と 同様です。 そのため、 次のよ う にな り ます。 • fortinet.com は、 fortinet.com だけでな く 、 fortinetacom、 fortinetbcom、 fortinetccom な どに も 一致 し ます。 '.' や '*' な どの特殊文字に一致 さ せる には、 エ スケープ文字の '\' を使用 し ます。 • fortinet.comに一致 さ せる には、正規表現を fortinet\.comにする必要があ り ます。 Perl 正規表現では、 '*' は、 任意の文字が 0 回以上一致するのではな く 、 その直 前の文字が 0 回以上一致する こ と を示 し ます。 例 : • forti*.com は fortiiii.com に一致 し ますが、 fortinet.com には一致 し ません。 任意の文字を 0 回以上一致 さ せる には、 '.*' を使用 し ます。 こ こ で、 '.' は任意の文 字を示 し 、 '*' は 0 回以上一致する こ と を示 し ます。 し たがっ て、 た と えば、 ワ イ ル ド カ ー ド の一致パ タ ーン forti*.com は、 fort.*\.com にする必要があ り ます。 418 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 アンチスパム Perl 正規表現の使用 単語境界 Perl 正規表現では、 パ タ ーン に暗黙の単語境界は含まれていません。 た と えば、 正規表現の "test" は単語 "test" に一致する だけでな く 、 "atest"、 "mytest"、 "testimony"、 "atestb" な どの、 "test" を含む任意の単語に一致 し ます。 "\b" の 表記は、 単語境界を指定 し ます。 単語 "test" に正確に一致 さ せる には、 式を \btest\b にする必要があ り ます。 大文字と小文字の区別 Web フ ィ ル タ やア ン チスパム フ ィ ル タ では、 正規表現のパ タ ーン マ ッ チ ン グは 大文字 と 小文字が区別 さ れます。 単語または語句の大文字 と 小文字が区別 さ れな い よ う にする には、 正規表現の /i を使用 し ます。 た と えば、 /bad language/i を指定する と 、大文字 / 小文字には関係な く 、"bad language" のすべ ての事例がブ ロ ッ ク さ れます。 Perl 正規表現形式 表 42 は、 い く つかの Perl 正規表現形式の例を挙げて説明 し ています。 表 42: Perl 正規表現形式 式 一致する文字列 abc "abc" ( 文字シーケン スは正確に一致するが、 文字列内のどの位置に あ っ て も よい ) ^abc 文字列の先頭にある "abc" abc$ 文字列の最後尾にある "abc" a|b "a" または "b" のど ち ら か ^abc|abc$ 文字列の先頭または最後尾にある文字列 "abc" ab{2,4}c "a" の後に 2 ~ 4 個の "b"、 その後に 1 個の "c" ab{2,}c "a" の後に少な く と も 2 個の "b"、 その後に 1 個の "c" ab*c "a" の後に任意個数 (0 個以上 ) の "b"、 その後に 1 個の "c" ab+c "a" の後に 1 個以上の "b"、 その後に 1 個の "c" ab?c "a" の後にオプ シ ョ ンの "b"、 その後に 1 個の "c" ( つま り 、 "abc" また は "ac" のど ち らか ) a.c "a" の後に任意の 1 文字 ( 改行以外 )、 その後に 1 個の "c" a\.c 正確に "a.c" [abc] "a"、 "b"、 "c" の う ちの任意の 1 つ [Aa]bc "Abc" または "abc" のど ち らか [abc]+ 複数個の "a"、 複数個の "b"、 複数個の "c" から 成る任意の ( 空以外の ) 文字列 ("a"、 "abba"、 "acbabcacaa" な ど ) [^abc]+ "a"、"b"、"c" を ま っ た く 含ま ない任意の (空以外の) 文字列 ("defg" など ) \\d\d 任意の 2 桁 10 進数 (42 な ど )、 \d{2} と 同 じ /i パ タ ーンの大文字 と 小文字が区別 さ れないよ う に し ます。 た と えば、 /bad language/i を指定する と 、大文字 / 小文字には関係な く 、bad language のすべての事例がブ ロ ッ ク さ れます。 \w+ 1 つの " 単語 ": 英数字 と ア ン ダー ラ イ ン ( ア ンダース コ ア ) から 成る空 以外のシーケ ン ス (foo、 12bar8、 foo_1 な ど ) 100\s*mk オプ シ ョ ン で任意数の空白 ( スペース、 タ ブ、 改行 ) によ っ て分け ら れ た文字列 "100" と "mk" FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 419 Perl 正規表現の使用 アンチスパム 表 42: Perl 正規表現形式 ( 続き ) abc\b 後に単語境界が存在する場合の "abc" ( た と えば、 "abc!" には含まれる が、 "abcd" には含まれない ) perl\B 後に単語境界が存在 し ない場合の "perl" ( た と えば、 "perlert" には含ま れるが、 "perl stuff" には含まれない ) \x 正規表現パーサーに、 直前にバ ッ ク ス ラ ッ シ ュ文字がな く 、 かつ文字ク ラ スに も 含まれていない空白を無視する よ う に指示 し ます。 正規表現を い く つかの部分に分割 し て ( 若干 ) 読みやす く するために使用 し ます。 /x 他のテキス ト 内に正規表現を追加する ために使用 さ れます。 パ タ ーン内 の最初の文字がフ ォ ワー ド ス ラ ッ シ ュ '/' である場合、 その '/' は区切 り 記号 と し て処理 さ れます。 こ のパ タ ーンには、 2 つ目の '/' が含まれて いる必要があ り ます。 '/' の間にあるパ タ ーンは正規表現 と 見な さ れ、 2 つ目の '/' の後の任意の文字は正規表現のオプ シ ョ ン ('i'、 'x'、 その他 ) の リ ス ト と し て解析 さ れます。 2 つ目の '/' がない と 、 エ ラ ーが発生 し ます。 正規表現では、 前や後に置かれている スペースは正規表現の一部 と し て処理 さ れます。 正規表現の例 語句に含まれている任意の単語をブロックするには /block|any|word/ 故意にスペルを間違えた単語をブロックするには スパム発信者はたいてい、 スパム ブ ロ ッ キン グ ソ フ ト ウ ェ ア を だ ますために、 単語の文字の間に他の文字を挿入 し ます。 /^.*v.*i.*a.*g.*r.*o.*$/i /cr[eéë][\+\-\*=<>\.\,;!\?%&@\^°\$£€\{\}()\[\]\|\\_01]dit/i 一般的なスパム語句をブロックするには 次の語句は、 スパム メ ッ セージ内に見 られる一般的な語句のい く つかの例です。 /try it for free/i /student loans/i /you're already approved/i /special[\+\\*=<>\.\,;!\?%&~#@\^°\$£€\{\}()\[\]\|\\_1]offer/i 420 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IM、P2P、および VoIP 概要 IM、P2P、および VoIP [IM, P2P & VoIP] メ ニ ュ ーでは、 IM ユーザの管理ツール と 、 ネ ッ ト ワー ク の IM、 P2P、 お よび VIOP の使用状況に関する統計を調べる こ と がで き ます。 こ の項に あ る設定を有効にする には、 ア ク テ ィ ブ な プ ロ テ ク シ ョ ン プ ロ フ ァ イルで、 IM、 P2P、 お よび VoIP プ ロ ト コ ルを有効にする必要があ り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • 概要 IM/P2P プ ロ ト コルの設定 統計 ユーザ 概要 FortiOS v3.0 MR4 フ ァ ームウ ェ ア では、 IM/P2P ア プ リ ケーシ ョ ンや VoIP プ ロ ト コ ルの使用状況を制御お よび監視する こ と がで き ます。 FortiOS は、 SIP (Session Initiation Protocol) と SCCP (Skinny Client Control Protocol) の 2 つの VoIP プ ロ ト コ ルをサポー ト し ています。 フ ォ ーテ ィ ネ ッ ト では、 IM/P2P ア プ リ ケーシ ョ ンはビ ジネス活動の一部にな り つつあ る ものの、 悪用 さ れる と 生産性やネ ッ ト ワー ク パ フ ォ ーマ ン ス を大幅に 低下 さ せる場合も あ る こ と を認識 し ています。 FortiGate シ ステムでは、 ア プ リ ケーシ ョ ンの使用を許可またはブ ロ ッ ク する た めのユーザ リ ス ト を設定する こ と によ り 、 許可する ア プ リ ケーシ ョ ン と 、 その ア プ リ ケーシ ョ ンが使用で き る帯域幅を決定する こ と がで き ます。 総合的な保護ポリシーと見やすい統計レポートを組み合わせることによって、 どのアプ リケーションが、どういう目的で使用されているかを表示できるようになるため、IM/P2P アプリケーションの制御と生産性の最大化を容易に実現できます。 FortiOS 3.0 シ ス テムには、 サポー ト さ れてい る IM/P2P プ ロ ト コ ルの完全な リ ス ト が付属 し てお り 、 Fortinet Distribution Network から ダウ ン ロー ド 可能な ア ッ プ グ レ ー ド によ っ て最新の状態に維持で き ます。 常に最新のプ ロ ト コ ルを維持する ために、 フ ァ ームウ ェ ア ア ッ プグ レ ー ド を待つ必要はあ り ません。 FortiOS 3.0 ではまた、 不明な プ ロ ト コ ルを、 ア ッ プグ レ ー ド が入手可能にな る前であ っ て も 処理で き る方法が提供 さ れます。 422 ページの表 43 は、 FortiOS 3.0 で現在認識 さ れてい る IM/P2P ア プ リ ケーシ ョ ン を示 し ています。 こ の表には、 デ コ ーダ、 そのデ コ ーダに関連 し た ア プ リ ケー シ ョ ン、 FortiGate イ ン タ フ ェ ース内のそのデ コ ーダの場所が含まれています。 注記 : 422 ページの表 43 で太字にな っ ている ア プ リ ケーシ ョ ンは、 複数の P2P ネ ッ ト ワー ク に接続で き ます。 IM および P2P のデ コ ーダ と シグネチ ャ を有効にする と 、 IPS の パ フ ォ ーマ ン ス向上に役立ち ます。 た と えば、 IPS を使用 し たいが、 IM または P2P ア プ リ ケーシ ョ ン を ブ ロ ッ ク し た く ない場合は、 IM/P2P のデ コ ーダ と シグネチ ャ を有効のま まに し てお く 必要があ り ます。 他のシグネチ ャは通常、 無効にする と パ フ ォ ーマ ン スが向 上 し ますが、 IM/P2P の場合は逆にな り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 421 概要 IM、P2P、および VoIP 表 43: FortiOS 3.0 の IPS で認識されている IM/P2P アプリケーション IPS アプリケーション インスタント メッセージング AIM ([Firewall]、 [Protection Profile]、 [IM/P2P]) ICQ ([Firewall]、 [Protection Profile]、 [IM/P2P]) AIM、 AIM Triton ICQ MSN ([Firewall]、 [Protection Profile]、 [IM/P2P]) MSN Messenger qq ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder]) QQ Yahoo! ([Firewall]、 [Protection Profile]、 [IM/P2P]) Yahoo Messenger msn_web_messenger ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder]) MSN web Messenger google_talk ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder]) Google Instant Messenger rediff ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [im_decoder]) Rediff Instant Messenger P2P 422 BitTorrent ([Firewall]、 [Protection Profile]、 [IM/P2P]) BitComet Bitspirit Azureus Shareaza eDonkey ([Firewall]、 [Protection Profile]、 [IM/P2P]) eMule Overnet Edonkey2K Shareaza BearShare MLdonkey iMesh Gnutella ([Firewall]、 [Protection Profile]、 [IM/P2P]) BearShare Shareaza LimeWire Xolox Swapper iMesh MLdonkey Gnucleus Morpheus Openext Mutella Qtella Qcquisition Acquisition NapShare gtk-gnutella KaZaA ([Firewall]、 [Protection Profile]、 [IM/P2P]) KaZaA Skype ([Firewall]、 [Protection Profile]、 [IM/P2P]) Skype WinNY ([Firewall]、 [Protection Profile]、 [IM/P2P]) WinNY ares ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [p2p_decoder]) Ares Galaxy direct_connect ([Intrusion Protection]、 [Signature]、 [Protocol Decoder]、 [p2p_decoder]) DC++ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IM、P2P、および VoIP IM/P2P プロトコルの設定 IM/P2P プロトコルの設定 IM/P2P に関連 し て必要なポ リ シーは、 組織によ っ て異な り ます。 FortiGate ユ ニ ッ ト では、 ニーズに最 も適 し た方法でユニ ッ ト を設定で き ます。 IM/P2P オプションを有効または無効にする方法 こ の項では、 IM/P2P オプ シ ョ ン を有効または無効にする ための 4 つの主な場所 を示 し ます。 こ こ には、 定義済みシグネチ ャ 、 カ ス タ ム シグネチ ャ、 お よび不 明なユーザのポ リ シーを有効にする方法が含まれています。 不正侵入防御で定義済みの IM/P2P シグネチャを有効にするには 1 [Intrusion Protection]、[Signature]、[Predefined] の順に選択 し ます。 2 [IM] または [P2P] の横にあ る青色の矢印を選択 し ます。 3 [Enable] ボ ッ ク ス を オ ン に し て、 シグネチ ャ を有効に し ます。 4 [Logging] ボ ッ ク ス を オ ン に し て、 シグネチ ャのロギン グ を有効に し ます。 5 編集する シグネチ ャ に対応する行で、 編集ア イ コ ン を選択 し ます。 6 ア ク シ ョ ン と 重大度を設定 し ます。 7 [OK] を選択 し ます。 不明なプロトコルに対するカスタム IM/P2P シグネチャを作成するには 1 [Intrusion Protection]、[Signature]、[Custom]、[Create New] の順に選択 し ます。 2 シグネチ ャの名前を入力 し ます。 3 シグネチ ャ を入力 し ます。 4 重大度 と 、 実行する ア ク シ ョ ン を選択 し ます。 5 [OK] を選択 し ます。 不明な IM ユーザのためのポリシーを設定するには 1 [IM/P2P]、[User]、[Config] の順に選択 し ます。 2 4 つの各 IM ア プ リ ケーシ ョ ン について [Allow] または [Block] を選択 し ます。 3 [Apply] を選択 し ます。 プロテクション プロファイル内で IM/P2P オプションを設定する方法 プ ロ テ ク シ ョ ン プ ロ フ ァ イル内には、 IM/P2P ア プ リ ケーシ ョ ン を処理する ため の 4 つの主な領域があ り ます。 こ れら の 4 つの領域は、 ア ン チウ イルス、 ロギン グ、 コ ン テ ン ツ アー カ イ ブ、 お よび FortiGuard Web フ ィ ル タ リ ン グです。 こ の 項では、 これ らの各設定にア ク セスする ための場所について説明 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの詳細については、 こ のガ イ ド の 「 フ ァ イ ア ウ ォ ール プ ロ フ ァ イル」 の章を参照 し て く だ さ い。 IM/P2P アプリケーションのためのプロテクション プロファイル設定を設定する には 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 編集する プ ロ フ ァ イルに対応する行で、 編集ア イ コ ン を選択 し ます。 または、 [Create New] を選択 し ます。 3 ア ン チウ イルス設定を制御する には、 [AntiVirus] の青色の矢印を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 423 IM/P2P プロトコルの設定 IM、P2P、および VoIP 4 ロ グ設定を制御する には、 [Logging] の青色の矢印を選択 し ます。 5 コ ン テ ン ツ アー カ イ ブ設定を制御する には、 [Content Archive] の青色の矢印を選 択 し ます。 6 FortiGuard Web フ ィ ル タ リ ン グ を制御する には、 [FortiGuard Web Filtering] の青色 の矢印を選択 し ます。 7 [OK] を選択 し ます。 IM/P2P デコーダのログ設定を設定する方法 こ の項では、 IM ア プ リ ケーシ ョ ン と P2P ア プ リ ケーシ ョ ンの両方の既知のプ ロ ト コ ル デ コ ーダ を有効にする方法、 およ びア プ リ ケーシ ョ ンのロギン グ機能を 有効にする方法について説明 し ます。 IM/P2P アプリケーションの既知のデコーダを有効にしてログに記録するには 1 [Intrusion Protection]、[Signature]、[Protocol Decoder] の順に選択 し ます。 2 IM または P2P エ ン コ ーダの青色の矢印を選択 し ます。 3 こ のプ ロ ト コ ルを有効にする には、 [Enable] を オ ン に し ます。 4 こ のプ ロ ト コ ルを ロ グに記録する には、 [Logging] を オ ン に し ます。 5 編集する プ ロ ト コ ル デ コ ーダに対応する行で、 編集ア イ コ ン を選択 し ます。 6 ア ク シ ョ ン と 重大度を設定 し ます。 7 [OK] を選択 し ます。 古いバージョンの IM/P2P アプリケーションを設定する方法 古いバージ ョ ンの IM プ ロ ト コ ルの中には、 メ ッ セージの種類が認識 さ れないた めに フ ァ イル ブ ロ ッ キン グ をバイパス で き る ものがあ り ます。 サポー ト さ れてい る IM プ ロ ト コ ルは次の と お り です。 • • • • MSN 6.0 以上 ICQ 4.0 以上 AIM 5.0 以上 Yahoo 6.0 以上 上に示 さ れてい るバージ ョ ン よ り 古いプ ロ ト コ ルを ブ ロ ッ ク する場合は、 次の CLI コ マ ン ド を使用 し ます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を 参照 し て く だ さ い。 config imp2p old-version サポートされていないプロトコルを設定する方法 サポー ト さ れていないプ ロ ト コ ルを見つけた場合は、 IPS パ ッ ケージが最新版で あ る こ と を確認 し て く だ さ い。 IPS パ ッ ケージが最新版であ っ て も、 そのプ ロ ト コ ルがサポー ト さ れていない場合は、 カ ス タ ム シグネチ ャ を使用で き ます。 カスタム シグネチャを作成するには 424 1 [Intrusion Protection]、[Signature]、[Custom]、[Create New] の順に選択 し ます。 2 シグネチ ャの名前を入力 し ます。 3 シグネチ ャ を入力 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IM、P2P、および VoIP 統計 4 ド ロ ッ プダウ ン ボ ッ ク ス を使用 し て、 シグネチ ャ のア ク シ ョ ン と 重大度を選択 し ます。 5 [Apply] を選択 し ます。 注記 : 新 し い IM/P2P ア プ リ ケーシ ョ ンや既存のア プ リ ケーシ ョ ンの新 し いバージ ョ ン を 検出する には、 Fortinet Distribution Network (FDN) か ら入手可能な IPS パ ッ ケージ を更新す る だけで済みます。 フ ァ ームウ ェ ア ア ッ プグ レー ド は必要あ り ません。 統計 IM、 P2P、 およ び VoIP 統計を表示する と 、 こ れ らのプ ロ ト コ ルがネ ッ ト ワー ク 内で どのよ う に使用 さ れてい るかを調べる こ と がで き ます。 概要の統計は、 サ ポー ト さ れてい るすべての IM、 P2P、 お よび VoIP プ ロ ト コ ルについて提供 さ れ ます。 詳細な個別の統計は、 IM プ ロ ト コ ルご と に提供 さ れます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、 IM、 P2P、 および VoIP 機能はグローバルに設定 さ れます。 これら の機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 概要の統計の表示 [Summary] タ ブには、 すべての IM、 P2P、 お よび VoIP プ ロ ト コ ルの統計の要約 が表示 さ れます。 IM/P2P 統計を表示するには、[IM/P2P]、[Statistics]、[Summary] の順に選択し ます。 図 270: IM、P2P、および VoIP 統計の要約 [Summary] タ ブには、 次のア イ コ ン と 機能が用意 さ れています。 [Automatic Refresh Interval] 統計を自動的に更新する間隔を選択 し ます。 [none] から 30 秒ま での間隔を設定 し ます。 [Refresh] このページ を最新の統計で更新する場合に ク リ ッ ク し ます。 [Reset Stats] 統計をゼロに リ セ ッ ト する場合に ク リ ッ ク し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 425 統計 IM、P2P、および VoIP [Users] IM プ ロ ト コ ルご と に、 次のユーザ情報が表示 さ れます。 • [Current Users] • • [Chat] ( ユーザ ) [Since Last Reset] ( ユーザ ) [Blocked] IM プ ロ ト コ ルご と に、 次のチ ャ ッ ト 情報が表示 さ れます。 • [Total Chat Sessions] • [Total Messages] [File Transfers] IM プ ロ ト コ ルご と に、 次のフ ァ イル転送情報が表示 さ れます。 ( フ ァ イル転送 ) [Since Last Reset] および ( フ ァ イル転送 ) [Blocked] [Voice Chat] IM プ ロ ト コ ルご と に、 次の音声チ ャ ッ ト 情報が表示 さ れます。 • ( 音声チ ャ ッ ト ) [Since Last Reset] • [P2P Usage] P2P プ ロ ト コルご と に、 次の使用状況の情報が表示 さ れます。 • [Total Bytes transferred] • [VoIP Usage] ( 音声チ ャ ッ ト ) [Blocked] [Average Bandwidth] SIP および SCCP プ ロ ト コ ルについて、 次の情報が表示 さ れます。 • [Active Sessions (phones connected)] • • • [Total calls (since last reset)] [Calls Failed/Dropped] [Calls Succeeded] プロトコルごとの統計の表示 プ ロ ト コ ル タ ブには、 個別の IM プ ロ ト コ ルの詳細な統計が表示 さ れます。 プ ロ ト コ ルの統計を表示する には、 [IM/P2P]、[Statistics]、[Protocol] の順に選 択 し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで [Archive full IM chat info to FortiAnalyzer] を有 効にする こ と に よ っ て、 IM チ ャ ッ ト の情報や、 IM チ ャ ッ ト に対 し て設定 さ れて い る制限を ロ グに記録する こ と がで き ます。 図 271: 426 プロトコルごとの IM 統計 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IM、P2P、および VoIP ユーザ [IM/P2P Protocol] タ ブには、 次のア イ コ ン と 機能が用意 さ れています。 [Automatic Refresh Interval] 統計を自動的に更新する間隔を選択 し ます。 [none] から 30 秒ま で の間隔を設定 し ます。 [Protocol] 統計を表示する プ ロ ト コルを [AIM]、 [ICQ]、 [MSN]、 または [Yahoo] から 選択 し ます。 [Users] 選択 し た プ ロ ト コルについて、[Current Users]、( ユーザ ) [Since Last Reset]、 および ( ユーザ ) [Blocked] のユーザ情報が表示 さ れます。 [Chat] 選択 し た プ ロ ト コルについて、 [Total Chat Sessions]、 [Serverbased Chat]、 [Group Chat]、 お よび [Direct/Private Chat] のチ ャ ッ ト 情報が表示 さ れます。 [Messages] 選択 し た プ ロ ト コルについて、 [Total Messages]、 ( メ ッ セージ ) [Sent]、 および ( メ ッ セージ ) [Received] の メ ッ セージ情報が表示 さ れます。 [File Transfers] 選択 し た プ ロ ト コルについて、 ( フ ァ イル転送 ) [Since Last Reset]、 ( フ ァ イル転送 ) [Sent]、 ( フ ァ イル転送 ) [Received]、 および ( フ ァ イル転送 ) [Blocked] のフ ァ イル転送情報が表示 さ れます。 [Voice Chat] 選択 し た プ ロ ト コルについて、 ( 音声チ ャ ッ ト ) [Since Last Reset] と ( 音声チ ャ ッ ト ) [Blocked] の音声チ ャ ッ ト 情報が表示 さ れます。 ユーザ IM ユーザがフ ァ イ アウ ォ ールを介 し て接続 し た後は、 FortiGate ユニ ッ ト によ っ て、 現在接続 さ れてい るユーザが [Current Users] リ ス ト に表示 さ れます。 この リ ス ト を解析 し て、 どのユーザを許可またはブ ロ ッ ク するかを決定で き ます。 不 明なユーザを処理する ためのポ リ シーを設定で き ます。 注記 : FortiGate ユニ ッ ト 上でバーチ ャ ル ド メ イ ンが有効にな っ ている場合、 IM 機能はグ ローバルに設定 さ れます。 これ らの機能にア ク セスするには、 メ イ ン メ ニ ュ ーで [Global Configuration] を選択 し ます。 [Current Users] リストの表示 [Current Users] リ ス ト には、 現在接続 さ れている イ ン ス タ ン ト メ ッ セージ ン グ ユーザに関する情報が表示 さ れます。 こ の リ ス ト は、 プ ロ ト コ ルご と に フ ィ ル タ 処理で き ます。 現在のユーザを表示する には、 [IM/P2P]、[Users]、[Current User] の順に選択 し ます。 図 272: [Current Users] リスト [Current Users] リ ス ト には次の機能があ り ます。 [Protocol] 現在のユーザを表示する プ ロ ト コルを [AIM]、 [ICQ]、 [MSN]、 ま たは [Yahoo] か ら選択する こ と によ っ て、 リ ス ト を フ ィ ル タ 処理 し ます。 また、 現在のユーザを すべて表示する こ と も で き ます。 [Protocol] 使用 さ れている プ ロ ト コル。 [User Name] このユーザが IM プ ロ ト コ ルに登録する と き に選択 し た名前。 複 数の IM プ ロ ト コ ルに対 し て同 じ ユーザ名を使用で き ます。 ユー ザ名 / プ ロ ト コルの各ペアが リ ス ト 内で別々に表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 427 ユーザ IM、P2P、および VoIP [Source IP] こ のユーザが IM セ ッ シ ョ ン を開始 し たア ド レ ス。 [Last Login] 現在のユーザがこ のプ ロ ト コ ルを使用 し た最後の時刻。 [Block] こ のユーザ名を永続的な ブ ラ ッ ク リ ス ト に追加する場合に選択 し ます。 ユーザ名 / プ ロ ト コ ルの各ペアが、 管理者によ っ て明示 的にブ ロ ッ ク さ れる必要があ り ます。 ユーザ リストの表示 ユーザ リ ス ト には、 イ ン ス タ ン ト メ ッ セージ ン グ サービ スへのア ク セス を許可 さ れてい るユーザ ( ホワ イ ト リ ス ト )、 または こ れらのサービ スから ブ ロ ッ ク さ れている ユーザ ( ブ ラ ッ ク リ ス ト ) に関する情報が表示 さ れます。 ユーザは、 [Create New] を使用 し て、 または一時的なユーザの リ ス ト か ら追加で き ます。 ユーザ リ ス ト を表示する には、[IM/P2P]、[Users]、[User List] の順に選択 し ます。 図 273: ユーザ リスト ユーザ リ ス ト には、 次のア イ コ ン と 機能が用意 さ れています。 [Create New] こ の リ ス ト に新 し いユーザを追加する場合に選択 し ます。 [Protocol] プ ロ ト コ ルを [AIM]、 [ICQ]、 [MSN]、 [Yahoo]、 または [All] から 選 択する こ と によ っ て、 リ ス ト を フ ィ ル タ 処理 し ます。 [Policy] ポ リ シーを [Allow]、 [Deny]、 または [All] から 選択する こ と に よ っ て、 リ ス ト を フ ィ ル タ 処理 し ます。 [Protocol] こ のユーザに関連付け ら れている プ ロ ト コ ル。 [Username] こ のユーザが IM プ ロ ト コルに登録する と き に選択 し た名前。 複 数の IM プ ロ ト コルに対 し て同 じ ユーザ名を使用で き ます。 ユー ザ名 / プ ロ ト コ ルの各ペアが リ ス ト 内で別々に表示 さ れます。 [Policy] ユーザがこ のプ ロ ト コ ルを使用 し よ う と し た と き に適用 さ れるポ リ シーであ り 、 [Block] または [Deny] のど ち ら かです。 編集アイコン [Protocol]、[Username]、および [Policy] のユーザ情報を変更 し ます。 削除アイコン ユーザをユーザ リ ス ト から 完全に削除 し ます。 ユーザ リストへの新しいユーザの追加 ユーザをユーザ リ ス ト に追加 し て、 イ ン ス タ ン ト メ ッ セージ ン グ サービ スへの ア ク セス を許可するか、またはこ れ らのサービ スから ブ ロ ッ ク する よ う に し ます。 [IM/P2P]、[Users]、[User List] の順に選択 し 、 [Create New] を選択 し ます。 図 274: 428 [Edit User] ダイアログ ボックス FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IM、P2P、および VoIP ユーザ [Protocol] ド ロ ッ プ ダウン リ ス ト から 、 [AIM]、 [ICQ]、 [MSN]、 または [Yahoo!] のプ ロ ト コルを選択 し ます。 [Username] このユーザの名前を入力 し ます。 [Policy] ド ロ ッ プ ダウン リ ス ト から 、 [Allow] または [Block] のポ リ シーを 選択 し ます。 不明な IM ユーザのためのポリシーの設定 ユーザ ポ リ シーに よ っ て、 不明なユーザに対 し て実行 さ れる ア ク シ ョ ンが決定 さ れます。 不明なユーザに対 し て、 IM プ ロ ト コ ルの一部またはすべての使用を 許可 し てホワ イ ト リ ス ト に追加するか、 または IM プ ロ ト コ ルの一部またはすべ ての使用を ブ ロ ッ ク し て ブ ラ ッ ク リ ス ト に追加するか、 のど ち らかを実行で き ます。 後でホワ イ ト リ ス ト と ブ ラ ッ ク リ ス ト を表示 し 、 ユーザをユーザ リ ス ト に追加で き ます。 IM ポ リ シーを設定する には、 [IM/P2P]、[User]、[Config] の順に選択 し ます。 図 275: IM ユーザ ポリシー IM ユーザ ポ リ シーの次の設定を設定するか、 または表示 し ます。 [Automatically Allow] 不明なユーザに使用を許可する プ ロ ト コルを選択 し ます。 不明な ユーザは、 一時的なホワ イ ト リ ス ト に追加 さ れます。 [Automatically Block] 不明なユーザから のア ク セス を拒否する プ ロ ト コルを選択 し ま す。 不明なユーザは、 一時的なブ ラ ッ ク リ ス ト に追加 さ れます。 [List of Temporary Users] 一時的なホワ イ ト リ ス ト またはブ ラ ッ ク リ ス ト に追加 さ れた新 し いユーザ。 ユーザ情報には、 そのユーザに適用 さ れた [Protocol]、 [Username]、 お よび [Policy] が含まれます。 注記 : FortiGate ユニ ッ ト が再起動 さ れる と 、 こ の リ ス ト はク リ ア さ れます。 [Protocol] 一時的なユーザの リ ス ト を フ ィ ル タ 処理する ために使用する プ ロ ト コルを選択 し ます。 [Username] このユーザが IM プ ロ ト コ ルに登録する と き に選択 し た名前。 複 数の IM プ ロ ト コ ルに対 し て同 じ ユーザ名を使用で き ます。 ユー ザ名 / プ ロ ト コルの各ペアが リ ス ト 内で別々に表示 さ れます。 [Policy] ユーザが このプ ロ ト コルを使用 し よ う と し た と き に適用 さ れるポ リ シーであ り 、 [Block] または [Deny] のど ち ら かです。 [Permanently Allow] このユーザを永続的なホワ イ ト リ ス ト に追加する場合に選択 し ます。 ユーザはオン ラ イ ン状態に と ど ま り 、 [IM/P2P]、 [Users]、 [User List] の リ ス ト に表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 429 ユーザ 430 IM、P2P、および VoIP [Permanently Block] こ のユーザを永続的な ブ ラ ッ ク リ ス ト に追加する場合に選択 し ます。 ユーザは、 [IM/P2P]、 [Users]、 [User List] の リ ス ト に表示 さ れます。 [Apply] グローバル ユーザ ポ リ シーを適用する場合に ク リ ッ ク し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート FortiGate ロギング ログおよびレポート こ の項では、 ロ グ を有効に し た り 、 ロ グ フ ァ イルを表示 し た り 、 Web ベース マ ネージ ャか ら使用可能な レ ポー ト を表示する方法について説明 し ます。 FortiGate は、 ト ラ フ ィ ッ ク 、 シ ス テム、 お よびネ ッ ト ワー ク 保護機能に関する幅広い ロギ ング機能を装備 し ています。 詳細な ログ情報 と レ ポー ト によ っ てネ ッ ト ワー ク の 履歴お よび現状分析が行え る ため、 セキ ュ リ テ ィ の問題を特定 し 、 ネ ッ ト ワー ク の悪用や濫用を軽減する こ と が可能にな り ます。 こ の項には以下の ト ピ ッ クが含まれています。 • • • • • • • • • • FortiGate ロギン グ ロ グの重大度 ロ グの保存 高可用性ク ラ ス タ ロギン グ ロ グの種類 ロ グ ア ク セス ア ラ ー ト メ ール コ ン テ ン ツ アー カ イ ブ レ ポー ト FortiGate ユニ ッ ト か らの FortiAnalyzer レ ポー ト の表示 注記 : VDOM は、 ロギングおよびレポー ト 機能に影響を及ぼ し ます。 FortiOS 3.0MR4 のロ ギン グを設定する前に、 VDOM 設定で FortiGate のロギングおよびレポー ト 機能を設定 し 、 有効にで き る こ と を確認 し て く だ さ い。 た と えば、 管理 VDOM がある場合、 FortiAnalyzer ユニ ッ ト または Syslog サーバへのロギングの設定 し か行えず、 ログは表示で き ません。 FortiOS 3.0MR4 の VDOM の詳細については、 61 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiGate ロギング FortiGate ユニ ッ ト では、 次のよ う な多数のネ ッ ト ワー ク活動や ト ラ フ ィ ッ ク を 記録で き ます。 • • • • • • • ネ ッ ト ワー ク ト ラ フ ィ ッ ク全体 シ ス テムの再起動、 HA、 VPN ア ク テ ィ ビ テ ィ な どのシ ス テム関連イ ベン ト ア ン チウ イルス と ブ ロ ッ ク Web フ ィ ル タ リ ン グ、 URL、 お よび HTTP コ ン テ ン ツ ブ ロ ッ ク シグネチ ャ お よびア ノ マ リ 攻撃 と 防止 スパム フ ィ ル タ リ ン グ イ ン ス タ ン ト メ ッ セージお よびピ ア ツ ーピ ア ト ラ フ ィ ッ ク FortiGate ユニ ッ ト が こ れ らのイ ベン ト を ロ グ記録する レ ベル と ロ グ を保存する 場所は、 カ ス タ マ イ ズで き ます。 FortiGate ユニ ッ ト が こ れ らのイ ベ ン ト を ロ グ 記録する レ ベル、 つま り ロ グの重大度は、 ロギン グ場所を設定する と こ ろ で定義 さ れます。 選択で き る重大度には 6 つのレ ベルがあ り ます。 詳細については、 432 ページの 「ロ グの重大度」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 431 ログの重大度 ログおよびレポート FortiGate ユニ ッ ト は、 FortiAnalyzer ユニ ッ ト にロ グ メ ッ セージ を送信で き るの で、 ロ グの保存お よび検索能力が向上 し ます。 FortiAnalyzer ユニ ッ ト は、 ロ グ収 集、 分析ツール、 およぼデー タ 保存を統合 し たネ ッ ト ワー ク ア プ ラ イ ア ン ス で す。 詳細な ロ グ レ ポー ト に よ っ てネ ッ ト ワー ク お よび電子 メ ールの履歴お よび 現状分析が行え る ため、 セキ ュ リ テ ィ の問題を特定 し 、 ネ ッ ト ワー クの誤用を軽 減する こ と が可能にな り ます。 FortiGate ユニ ッ ト は、 隔離フ ァ イルに加え てす べての種類のロ グ メ ッ セージ を保存先 と な る FortiAnalyzer ユニ ッ ト に送信で き ます。 FortiAnalyzer ユニ ッ ト は、 アー カ イ ブ を目的 と し て、 FTP サーバに ロ グ フ ァ イルを ア ッ プ ロー ド で き ます。 ロ グ メ ッ セージ を FortiAnalyzer ユニ ッ ト に 送信する よ う FortiGate ユニ ッ ト を設定する方法については、 434 ページの 「FortiAnalyzer ユニ ッ ト へのロギン グ」 を参照 し て く だ さ い。 FortiGate ユニ ッ ト は、保存 と アー カ イ ブ を目的に、Syslog サーバまたは WebTrends サーバに ロ グ メ ッ セージ を送信で き ます。 ハー ド デ ィ ス クが利用で き る場合は、 こ れにロ グ メ ッ セージ を送信する よ う に FortiGate ユニ ッ ト を設定で き ます。 また、 サブ ス ク リ プ シ ョ ン ベースの FortiGuard ロ グお よび分析サービ スに登録 すれば、 FortiGuard ロ グお よび分析サーバに ロ グ を作成する よ う に FortiGate ユ ニ ッ ト を設定する こ と も可能です。 FortiGuard ロ グお よび分析サーバは、 FortiAnalyzer ユニ ッ ト や Syslog サーバな どの他のロギン グ デバイ ス と 同様に、 FortiGate ロ グの保存を可能に し ます。 こ のサービ ス を利用で き るのは、 FortiGate-100 以下のユニ ッ ト に限 られます。 サブ ス ク リ プ シ ョ ン ベースの FortiGuard ロ グお よび分析サービ スは、 近日提供 さ れる予定です。 詳細について は、 テ ク ニ カル サポー ト にお問い合わせ く だ さ い。 FortiGate ユニ ッ ト では、 バージ ョ ン 3.0 以降の フ ァ ームウ ェ ア を搭載する FortiAnalyzer ユニ ッ ト の メ モ リ 、 ハー ド デ ィ ス ク ( 使用で き る場合 )、 お よび FortiGuard ロ グお よび分析サーバ上に記録 さ れてい る ロ グ メ ッ セージ を表示で き ます。 カ ス タ マ イ ズ可能な フ ィ ル タ に よ り 、 ロ グ フ ァ イル内の特定の情報を容 易に探 し 出す こ と がで き ます。 ロ グ メ ッ セージ と フ ォ ーマ ッ ト の詳細については、 『FortiGate ログ メ ッ セージ リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 注記 : FortiGate のハー ド デ ィ ス ク にロ グを保存する方法については、 『 FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 ログの重大度 ロギン グの場所を設定する際に、 FortiGate ユニ ッ ト がどのよ う な重大度で ロ グ を記録するかを定義する こ と がで き ます。 FortiGate ユニ ッ ト は、 選択 さ れた ロ ギン グ重大度以上のすべての メ ッ セージ を ロ グ記録 し ます。 た と えば、 [Error] が 選択 さ れている場合、 ユニ ッ ト はレ ベルが [Error]、 [Critical]、 [Alert]、 お よび [Emergency] の メ ッ セージ を記録 し ます。 432 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログの保存 表 44: ログの重大度 レベル 説明 生成元 0 - Emergency ( 緊急 ) シス テムが不安定にな っ ています。 緊急の重大度を生成で き るのは、 イ ベン ト ログ、 特に管理イ ベン ト のログです。 1 - Alert ( 警告 ) 早急な対策が求めら れます。 警告の重大度を生成で き るのは、 攻撃ログのみです。 2 - Critical ( 重大 ) 機能性に影響があ り ます。 イ ベン ト 、 ア ン チウ イルス、 およ びスパム フ ィ ル タ のログ。 3 - Error ( エ ラー ) エ ラ ー状態が存在 し 、 機能性に影 イ ベン ト およびスパム フ ィ ル タ の 響が及んでいる可能性があ り ます。 ログ。 4 - Warning ( 注意 ) 機能性に影響が及んでいる可能性 があ り ます。 イ ベン ト およびア ン チウ イルスの ログ。 5 - Notification 通常のイ ベン ト に関する情報です。 ト ラ フ ィ ッ ク および Web フ ィ ル タ ( 通知 ) のログ。 6 - Information ( 情報 ) シス テムの動作に関する一般情報 です。 コ ン テ ン ツ アー カ イ ブ、 イ ベン ト 、 およびスパム フ ィ ル タ のログ。 ログの保存 使用する ロ グ保存の種類は、 保存する ロ グ メ ッ セージの種類 と 頻度によ っ て決 ま り ます。 た と えば、 メ モ リ に保存で き る ロ グ メ ッ セージの数は限ら れ、 古い ロ グ メ ッ セージから順に書き替え ら れます。 ロギン グの目的によ っ ては、 た と えば FortiAnalyzer ユニ ッ ト な ど、 1 か所または複数の場所に ロ グ メ ッ セージ を 保存するのがよ り 適 し てい る場合があ り ます。 ト ラ フ ィ ッ ク お よび コ ン テ ン ツの ロ グ を記録する場合、 FortiGate のシ ス テム メ モ リ はこ れ ら特定のロ グ フ ァ イル を記録で き ないため、 FortiAnalyzer ユニ ッ ト または Syslog サーバへのロギン グ を設定する必要があ り ます。 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し て表示 さ れる画面で は、 FortiGate ユニ ッ ト がロ グ を保存する場所を設定で き ます。 サブ ス ク リ プ シ ョ ン ベースの FortiGuard ロ グおよ び分析サービ スに登録する と 、 FortiGuard サーバへのロ ギン グ を有効にで き ます。 FortiGuard ロ グお よび分析 サービ スは、 FortiAnalyzer ユニ ッ ト や Syslog サーバな どのロ ギン グ デバイ スが ない場合にロ グ を保存する ための別のオ プ シ ョ ン と な る も のです。 こ れ らのサー ビ スは、 FortiGate-100 以下のユニ ッ ト でのみ使用可能です。 ト ラ フ ィ ッ ク と フ ル コ ン テ ン ツ アー カ イ ビ ン グ を除き、 FortiGate のほ と んどの 機能のロギン グ を有効にで き ます。 サマ リ コ ン テ ン ツ アー カ イ ビ ン グはサポー ト さ れますが、 レ ポー ト はサポー ト さ れません。 FortiGate ユニ ッ ト は、 TCP ポー ト 514 を使用 し て、 FortiGuard ロ グおよ び分析 サーバに ロ グ を送信 し ます。 こ の接続は SSL で保護 さ れます。 そのため、 ロ グ は暗号化 さ れ、 ロ グ情報を安全に転送で き ます。 FortiGuard ロ グお よび分析サーバの保存領域は、 購入 さ れたサブ ス ク リ プ シ ョ ン ベースの FortiGuard ロ グお よび分析サービ スの種類に応 じ て異な り ます。 詳細に ついては、 カ ス タ マ サポー ト にお問い合わせ く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 433 ログの保存 ログおよびレポート 注記 : 使用する FortiGate ユニ ッ ト にハー ド デ ィ ス ク が装備 さ れている場合は、 CLI を使 用 し て、 FortiGate のハー ド デ ィ ス ク へのロギングを有効に し て く だ さ い。 ハー ド デ ィ ス ク へのロギング を有効にする前に、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 ハー ド デ ィ ス ク に保存 さ れた ログは、 [Log & Report]、[Log Access]、[Disk] の順に選択 し て表示 さ れるページ で表示で き ます。 注記 : VDOM が有効な場合は、 現在属 し ている VDOM にア ク セス し て ロギング場所を有 効にで き る こ と を確認 し て く だ さ い。 VDOM の設定によ っ ては、 ある特定の FortiGate の 機能に し かア ク セスで き ない場合があ り ます。 また、 VDOM の設定は、 FortiGuard ログお よび分析サービ ス と ロギングに も 影響を及ぼ し ます。 詳細については、 61 ページの 「バーチ ャ ル ド メ イ ンの使用」 を参照 し て く だ さ い。 FortiAnalyzer ユニットへのロギング FortiAnalyzer ユニ ッ ト は、 ロ グ収集、 分析ツール、 およ びデー タ 保存を統合 し た ネ ッ ト ワー ク ア プ ラ イ ア ン スです。 詳細な ロ グ レ ポー ト に よ っ てネ ッ ト ワー ク お よび電子 メ ールの履歴およ び現状分析が行え る ため、 セキ ュ リ テ ィ の問題を特 定 し 、 ネ ッ ト ワー ク の悪用や誤用を軽減する こ と が可能にな り ます。 図 276: FortiAnalyzer ユニットへの接続の設定 FortiAnalyzer ユニットにログを送信するよう FortiGate ユニットを設定するには 1 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し ます。 2 FortiAnalyzer を選択 し ます。 3 青色の矢印を選択 し て、 FortiAnalyzer のオ プ シ ョ ン を展開 し ます。 4 FortiAnalyzer ユニ ッ ト に送信する ロ グ メ ッ セージのレ ベルを設定 し ます。 5 FortiAnalyzer ユニ ッ ト のサーバ IP ア ド レ ス を入力 し ます。 6 [Apply] を選択 し ます。 FortiGate ユニ ッ ト のロ グ設定を行 っ た ら 、 FortiGate ユニ ッ ト か ら ロ グ を受信す る よ う に FortiAnalyzer ユニ ッ ト を設定する必要があ り ます。 FortiAnalyzer の管理 者に連絡 し て、 設定を完了 さ せて く だ さ い。 注記 : FortiGate ユニ ッ ト は、 最大で 3 つの FortiAnalyzer ユニ ッ ト のログを作成で き ます。 FortiGate ユニ ッ ト は 3 つすべての FortiAnalyzer ユニ ッ ト にログを送信 し 、 ログはそのそ れぞれに保存 さ れます。 これによ り 、 FortiAnalyzer ユニ ッ ト に障害が生 じ た場合で も、 リ アル タ イムでバ ッ ク ア ッ プが保護 さ れます。 この機能は、 CLI でのみ可能です。 詳細につ いては、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 434 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログの保存 自動発見を使用した FortiAnalyzer への接続 自動発見機能を使用する こ と で、 FortiAnalyzer ユニ ッ ト に接続で き ます。 自動発 見は、 FortiAnalyzer ユニ ッ ト への接続を確立する方法の 1 つです。 自動発見を選 択する と 、 FortiGate ユニ ッ ト は HELLO パケ ッ ト を使用 し て、 同 じ サブネ ッ ト 内 のネ ッ ト ワー ク で利用で き る FortiAnalyzer ユニ ッ ト を探 し 出 し ます。 FortiGate ユニ ッ ト は、 FortiAnalyzer ユニ ッ ト を発見する と 、 自動的に FortiAnalyzer ユニ ッ ト へのロギン グ を有効に し て、 FortiAnalyzer ユニ ッ ト へのロ グ デー タ の送信を 開始 し ます ( ト ラ フ ィ ッ ク な どに対 し て ロギン グが設定 さ れてい る場合 )。 注記 : 自動発見機能が適切に動作する よ う にするには、 FortiAnalyzer ユニ ッ ト で この機能 を有効にする必要があ り ます。 自動発見機能は、 デ フ ォル ト で無効に設定 さ れています。 この機能を使用する には、 FortiAnalyzer ユニ ッ ト に FortiAnalyzer 3.0 フ ァ ームウ ェ アが搭 載 さ れている必要があ り ます。 注記 : FortiGate ユニ ッ ト が ト ラ ン スペア レ ン ト モー ド の場合、 自動発見機能が設定 さ れ た イ ン タ フ ェ ースでは ト ラ フ ィ ッ クは伝送 さ れません。 自動発見機能を使用 し つつ ト ラ フ ィ ッ クの伝送 も行え る よ う に イ ン タ フ ェ ース を設定するには、 Fortinet Knowledge Center の記事 『Fortinet Discovery Protocol in Transparent mode ( ト ラ ン スペア レ ン ト モー ド での Fortinet Discovery Protocol)』 を参照 し て く だ さ い。 自動発見を有効にするには 1 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し ます。 2 FortiAnalyzer の青色の矢印を選択 し て、 オプ シ ョ ン を展開 し ます。 3 [Automatic Discovery] を選択 し ます。 4 [Discover] を選択 し ます。 FortiGate ユニ ッ ト は、 利用で き る FortiAnalyzer ユニ ッ ト から の応答を同 じ サブ ネ ッ ト 内で検索 し ます。 5 [Connect To] リ ス ト から FortiAnalyzer ユニ ッ ト を選択 し ます。 6 [Apply] を選択 し ます。 FortiAnalyzer 設定のテスト FortiAnalyzer の設定が完了 し た ら、 FortiGate ユニ ッ ト と FortiAnalyzer ユニ ッ ト 間の接続を テ ス ト し て、 接続が正 し く 動作する こ と を確認で き ます。 こ れに よ り 、 FortiGate ユニ ッ ト と FortiAnalyzer ユニ ッ ト 間のロ グ、 レ ポー ト 、 コ ン テ ン ツ アー カ イ ブ、 お よび隔離フ ァ イルの送受信に指定 さ れた設定を含めて、 FortiGate ユニ ッ ト と FortiAnalyzer ユニ ッ ト の接続を確かめ ら れます。 注記 : ユニ ッ ト 間の接続を テ ス ト する前に、 FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト の IP ア ド レ ス を学習 し ている こ と を確認 し て く だ さ い。 FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト の IP ア ド レ ス を学習する前に [Test Connectivity] を選択する と 、 誤 っ て テス ト レポー ト が失敗 と な る場合があ り ます。 接続をテストするには 1 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し ます。 2 FortiAnalyzer の青色の矢印を選択 し て、 オプ シ ョ ン を展開 し ます。 3 青色の矢印を選択 し て、 FortiAnalyzer のオプ シ ョ ン を展開 し ます。 4 [Test Connectivity] を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 435 ログの保存 ログおよびレポート 図 277: FortiAnalyzer との接続テスト FortiAnalyzer (Hostname) FortiGate (Device ID) Registration Status Connection Status Disk Space Privileges FortiAnalyzer ユニ ッ ト の名前。 FortiAnalyzer ユニ ッ ト のデ フ ォル ト の名前 は、 た と えば FortiAnalyzer-400 のよ う に、 その製品名 と な り ます。 FortiGate ユニ ッ ト のシ リ アル番号。 FortiGate ユニ ッ ト の登録ス テー タ ス。 FortiGate と FortiAnalyzer の両ユニ ッ ト 間の接続ス テー タ ス。 チ ェ ッ ク マー ク は接続が存在する こ と を、 X は接続が存在 し ない こ と を、 それぞ れ表 し ます。 Allocated ログ用に指定 さ れた領域の量。 Space Used Space 使用済みの領域の量。 Total Free 未使用の領域の量。 Space ログおよびレ ポー ト を送信 し た り 表示 し た り する ためのデバイ スの許可 を表示 し ます。 • Tx は、FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト にロ グ パケ ッ ト を送 信する よ う 設定 さ れている こ と を示 し ます。 • Rx は、 FortiAnalyzer ユニ ッ ト に保存 さ れた レポー ト お よびログを FortiGate ユニ ッ ト で表示で き る こ と を示 し ます。 チ ェ ッ ク マー ク は、 ログ情報およびレ ポー ト を送信または表示する許可 が FortiGate ユニ ッ ト に与え られてい る こ と を示 し ます。 X は、 ログ情報 を送信または表示する こ と が FortiGate ユニ ッ ト に許可 さ れていない こ と を示 し ます。 FortiGate ユニ ッ ト と FortiAnalyzer ユニ ッ ト 間の接続ス テー タ スは、 次の CLI コ マ ン ド を使用 し て テ ス ト する こ と も可能です。 get system fortianalyzer-connectivity status こ の コ マ ン ド を実行する と 、 デ ィ ス クのス テー タ ス、 お よび使用量がパーセ ン テージ で表示 さ れます。 詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 メモリへのロギング FortiGate のシ ス テム メ モ リ には、 ロ グ メ ッ セージに対する限定的な容量が用意 さ れています。 こ の場合、 最新のロ グ エ ン ト リ が表示 さ れます。 ト ラ フ ィ ッ ク お よび コ ン テ ン ツ ロ グはサイ ズが大き く 、 エ ン ト リ も頻繁である ため、 FortiGate ユニ ッ ト は、 こ れ らのロ グ を メ モ リ には保存 し ません。 メ モ リ に空き がな く な る と 、 FortiGate ユニ ッ ト は最も 古い メ ッ セージから 上書き し てい き ま す。 FortiGate ユニ ッ ト が再起動する と 、 ロ グ エ ン ト リ はすべて消去 さ れます。 436 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログの保存 注記 : 使用する FortiGate ユニ ッ ト にハー ド デ ィ ス クが装備 さ れてい る場合は、 CLI を使 用 し て、 FortiGate のハー ド デ ィ ス ク へのロギングを有効に し て く だ さ い。 FortiGate ハー ド デ ィ ス ク へのロギング を有効にする前に、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 メモリにログを保存するよう FortiGate ユニットを設定するには 1 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し ます。 2 [Memory] を選択 し ます。 3 青色の矢印を選択 し て、 [Memory] のオプ シ ョ ン を展開 し ます。 4 重大度を選択 し ます。 FortiGate ユニ ッ ト は、 選択 さ れた ロ ギン グ重大度以上のすべての メ ッ セージ を ロ グ記録 し ます。 ロギン グ レ ベルの詳細については、 433 ページの表 44 「ロ グ の重大度」 を参照 し て く だ さ い。 Syslog サーバへのロギング Syslog と は、Syslog サーバ と し て動作する リ モー ト コ ン ピ ュ ー タ です。Syslog は、 ネ ッ ト ワー ク デバイ スが提供する ロ グ情報の収集に使用 さ れる業界標準です。 図 278: Syslog サーバへのロギング Syslog サーバにログを送信するよう FortiGate ユニットを設定するには 1 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し ます。 2 [Syslog] を選択 し ます。 3 青色の矢印を選択 し て、 Syslog のオプ シ ョ ン を展開 し ます。 4 以下の Syslog オプ シ ョ ン を設定 し 、 [Apply] を選択 し ます。 [Name/IP] Syslog サーバの ド メ イ ン名または IP ア ド レ ス。 [Port] Syslog サーバとの通信で使用するポー ト 番号。 通常はポー ト 514 です。 [Level] FortiGate ユニ ッ ト は、 選択 さ れた ロギング重大度以上のすべての メ ッ セージ を ロ グ記録 し ます。 ロギン グ レベルの詳細については、 433 ページの表 44 「ログの重大度」 を参照 し て く だ さ い。 [Facility] [Facility] は、 ログ メ ッ セージの送信元を Syslog サーバに示 し ます。 FortiGate は、 デ フ ォル ト で local7 と し て [Facility] にレ ポー ト し ま す。 [Facility] を変更 し て、 別の FortiGate ユニ ッ ト から のログ メ ッ セージ を識別する こ と がで き ます。 [Enable CSV Format] CSV形式を有効にする と 、FortiGateユニ ッ ト はCSV (Comma Separated Value) 形式 で ロ グ を 生成 し ま す。 CSV 形式 を 有効に し な い場合、 FortiGate ユニ ッ ト はプ レーン テキス ト フ ァ イルを生成 し ます。 注記 : Syslog サーバが複数設定 さ れている場合は、 [Log Settings] ページに Syslog サーバ と それ らの設定が表示 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 437 ログの保存 ログおよびレポート WebTrends へのロギング WebTrends と は、 NetIQ WebTrends フ ァ イ アウ ォ ール レ ポーテ ィ ン グ サーバ と し て動作する リ モー ト コ ン ピ ュ ー タ です。 FortiGate のロ グ フ ォ ーマ ッ ト は、 WebTrends Enhanced Log Format (WELF) に準拠 し てお り 、 NetIQ WebTrends Security Reporting Center and Firewall Suite 4.1 と 互換性があ り ます。 ロ グ メ ッ セージ を WebTrends に送信する よ う FortiGate ユニ ッ ト を設定する に は、 コ マ ン ド ラ イ ン イ ン タ フ ェ ース を使用 し ます。 CLI に ロ グ イ ン し た後、 次 のコ マ ン ド を入力 し ます。 config log webtrends setting set server <address_ipv4> set status {disable | enable} end キーワードと変数 説明 デフォルト server <address_ipv4> ログ を保存する WebTrends サーバの IP ア ド レ ス を入力 し ます。 デ フ ォル ト な し。 status {disable | enable} WebTrends サーバへのロギングを有効にす disable るには、 enable と 入力 し ます。 例 次の例は、 WebTrends サーバへのロギン グ を有効に し 、 そのサーバの IP ア ド レ ス を設定する方法です。 config log webtrends setting set status enable set server 220.210.200.190 end WebTrends に送信 さ れる ロ グの種類のオ プ シ ョ ン設定の詳細については、 『FortiGate CLI リ フ ァ レ ン ス 』 の章 「ロ グ」 を参照 し て く だ さ い。 FortiGuard ログおよび分析サーバへのロギング FortiGuard ロ グお よび分析サービ スのサブ ス ク ラ イ ブ を登録すれば、 FortiGuard ロ グおよ び分析サーバへのロギン グ を有効にで き ます。 注記 : FortiGuard ロ グおよび分析サーバへのロギングを行 う には、 FortiGate ユニ ッ ト に有 効な ラ イ セ ン スが必要 と な り ます。 FortiGuard ログおよび分析サーバへのロギングを有効にするには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 青色の矢印を選択 し て、 [Log & Analysis] のオ プ シ ョ ン を展開 し ます。 3 文中の [To configure FortiGuard Log & Analysis options, please click here.] (FortiGuard Log & Analysis のオ プ シ ョ ン を設定する には、 こ こ を ク リ ッ ク し て く だ さ い。 ) と い う リ ン ク を選択 し ます。 [Log&Report]、[Log Config]、[Log Setting] の順に選択 し て表示 さ れる画面に リ ダ イ レ ク ト さ れます。 438 4 青色の矢印を選択 し て、 [FortiGuard Log & Analysis] のオ プ シ ョ ン を展開 し ます。 5 [Log Setting] ページの [FortiGuard Log & Analysis] チェックボックスをオンにします。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート 高可用性クラスタ ロギング 6 [When Log disk is full] ド ロ ッ プ ダウ ン リ ス ト から、 [overwrite] または [stop logging] のいずれかを オ ン に し ます。 7 [Minimum severity level] ドロップダウン リストから最も低い重大度を選択します。 8 [Apply] を選択 し ます。 ロ ギ ン グ を 有 効 に し た ら、 [FortiGuard Center] ペ ー ジ の [Antivirus and IPS Downloads options] にあ る [Update Now] を選択 し て、 接続を確認する こ と を お勧 め し ます。 [Update Now] の選択が機能 し ない場合は、 FortiGate ユニ ッ ト を再起動 する こ と も で き ます。 [System]、[Maintenance]、[FortiGuard Center] の順に選択する と 、 FortiGuard ロ グお よび分析サーバへの接続を表示で き ます。 [System Resource] カ テ ゴ リ で は、 FortiGuard ロ グお よび分析サーバの使用済み領域のパーセ ン テージが円グ ラ フ で示 さ れます。 また、 [Log Settings] ページの [FortiGuard Log & Analysis options] を展開する と 、 使用済みの領域 と 未使用の領域の量を表示で き ます。 高可用性クラスタ ロギング 高可用性 (HA) ク ラ ス タ でのロギン グ を設定する場合は、 FortiAnalyzer ユニ ッ ト または Syslog サーバにログ を送信する よ う プ ラ イ マ リ ユニ ッ ト を設定 し ます。 こ の設定は、 下位ユニ ッ ト に適用 さ れます。 下位ユニ ッ ト はプ ラ イ マ リ ユニ ッ ト にロ グ メ ッ セージ を送信 し 、 プ ラ イ マ リ ユニ ッ ト は FortiAnalyzer ユニ ッ ト ま たは Syslog サーバにすべてのロ グ を送信 し ます。 FortiAnalyzer ユニ ッ ト と HA ク ラ ス タ 間に IPSec VPN ト ン ネルに よ る セキ ュ ア な 接続を設定 し た場合、 その接続は、 FortiAnalyzer ユニ ッ ト と HA ク ラ ス タ のプ ラ イ マ リ ユニ ッ ト 間の接続 と な り ます。 詳細については、 『FortiGate 高可用性ユーザ ガ イ ド 』 を参照 し て く だ さ い。 注記 : VDOM が有効な場合は、 現在属 し ている VDOM にア ク セス し て HA ク ラ ス タ ロギ ン グが行え る こ と を確認 し て く だ さ い。 VDOM の設定によ っ ては、 ある特定の FortiGate の機能に し かア ク セスで き ない場合があ り ます。 ログの種類 FortiGate ユニ ッ ト には、 ネ ッ ト ワー ク を監視する ための幅広い ロギン グ オプ シ ョ ンがあ り ます。 こ の項では、 ロ グの各種類 と 、 ロ グ を有効にする方法につい て説明 し ます。 注記 : ログを記録する前に、 ログ フ ァ イルを保存するデバイ ス を設定 し て く だ さ い。 詳 細については、 433 ページの 「ログの保存」 を参照 し て く だ さ い。 注記 : VDOM が有効な場合は、 現在属 し ている VDOM にア ク セス し て FortiGate 機能のロ ギン グを有効にで き る こ と を確認 し て く だ さ い。 VDOM によ っ ては、 ある特定の FortiGate の機能に し かア ク セスで き ません。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 439 ログの種類 ログおよびレポート トラフィック ログ ト ラ フ ィ ッ ク ロ グは、 FortiGate イ ン タ フ ェ ースへの ト ラ フ ィ ッ ク 、 お よび イ ン タ フ ェ ース を通過する すべての ト ラ フ ィ ッ ク を記録 し ます。 フ ァ イ アウ ォ ール ポ リ シーに よ っ て制御 さ れる ト ラ フ ィ ッ クのロギン グ、 お よび任意の送信元ア ド レ ス と 宛先ア ド レ ス間の ト ラ フ ィ ッ クのロギン グ を設定で き ます。 次のフ ィ ル タ を適用で き ます。 許可トラフィック FortiGate ユニ ッ ト は、 フ ァ イ アウ ォ ール ポ リ シーの設定に従 っ て 許可 さ れたすべての ト ラ フ ィ ッ ク を記録 し ます。 違反トラフィック FortiGate ユニ ッ ト は、 フ ァ イ アウ ォ ール ポ リ シーの設定に違反す るすべての ト ラ フ ィ ッ ク を記録 し ます。 注記 : ロギング場所を設定 し て ト ラ フ ィ ッ ク ログの メ ッ セージ を記録する場合は、 ロギ ングの重大度を [Notification] に設定する必要があ り ます。 ト ラ フ ィ ッ ク ログの メ ッ セー ジは一般に、 重大度が [Notification] よ り 高 く な る こ と はあ り ません。 VDOM が有効な場合 は、 現在属 し ている VDOM にア ク セス し て ト ラ フ ィ ッ ク ログを有効にで き る こ と を確認 し て く だ さ い。 トラフィック ロギングの有効化 ト ラ フ ィ ッ ク ロギン グでは、 イ ン タ フ ェ ース または VLAN サブ イ ン タ フ ェ ース で送受信 さ れるすべての ト ラ フ ィ ッ クが記録 さ れます。 ト ラ フ ィ ッ ク ログ を記 録する には、 ロギン グの重大度を [Notification] 以下に設定する必要があ り ます。 インタフェースまたは VLAN サブインタフェースのトラフィック ロギングを有 効にするには 1 [System]、 [Network]、 [Interface] の順に選択 し ます。 2 イ ン タ フ ェ ースの編集ア イ コ ン を選択 し ます。 3 [Log] を選択 し ます。 4 [OK] を選択 し ます。 ファイアウォール ポリシー トラフィック ロギングの有効化 フ ァ イ アウ ォ ール ポ リ シー ト ラ フ ィ ッ ク ロギン グは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルに基づいて、 フ ァ イ アウ ォ ール ポ リ シーで許可 さ れた ト ラ フ ィ ッ ク と 拒否 さ れた ト ラ フ ィ ッ クの両方を記録 し ます。 ファイアウォール ポリシー トラフィック ロギングを有効にするには 1 [Firewall]、 [Policy] の順に選択 し ます。 2 青色の矢印を選択 し て、 ポ リ シーのポ リ シー リ ス ト を展開 し ます。 3 編集ア イ コ ン を ク リ ッ ク し ます。 必要に応じて、 [Create] を選択して新しいファイアウォール ポリシーを作成します。 4 [Log Allowed Traffic] を選択 し ます。 5 [OK] を選択 し ます。 イベント ログ イ ベ ン ト ロ グは、 管理イ ベ ン ト お よびア ク テ ィ ビ テ ィ イ ベ ン ト を記録 し ます。 た と えば、 設定が変更 さ れた り 、 VPN お よび高可用性 (HA) イ ベン ト が発生 し た り し た場合です。 440 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログの種類 イベント ログを有効にするには 1 [Log&Report]、[Log Config]、[Event Log] の順に選択 し ます。 2 次のロ グか ら選択 し ます。 [System Activity event] FortiGate ユニ ッ ト は、 ping サーバの障害やゲー ト ウ ェ イのス テー タ スなど、 シ ステム関連のすべてのイ ベン ト を記録 し ます。 [IPSec negotiation event] FortiGate ユニ ッ ト は、 進捗レ ポー ト やエ ラ ー レポー ト な ど、 す べての IPSec ネゴ シ エーシ ョ ン イ ベン ト を記録 し ます。 [DHCP service event] FortiGate ユニ ッ ト は、 要求および応答ログなど、 すべての DHCP イ ベン ト を記録 し ます。 [L2TP/PPTP/PPPoE service event] FortiGate ユニ ッ ト は、 マネージ ャ やソ ケ ッ ト 作成プ ロ セスなど、 プ ロ ト コル関連のすべてのイ ベン ト を記録 し ます。 [Admin event] FortiGate ユニ ッ ト は、 ユーザ ログ イ ン、 リ セ ッ ト 、 設定更新な ど、 すべての管理イ ベン ト を記録 し ます。 [HA activity event] FortiGate ユニ ッ ト は、 リ ン ク 、 メ ンバ、 ステー タ ス情報など、 す べての高可用性イ ベン ト を記録 し ます。 [Firewall authentication event] FortiGate ユニ ッ ト は、 ユーザ認証な ど、 フ ァ イ アウ ォ ール関連の すべてのイ ベン ト を記録 し ます。 [Pattern update event] FortiGate ユニ ッ ト は、 ア ン チウ イルスや IPS パ タ ーンの更新、 更 新の失敗など、 すべてのパ タ ーン更新イ ベン ト を記録 し ます。 [SSL VPN user authentication event] FortiGate ユニ ッ ト は、 ログ イ ン、 ログアウ ト 、 活動停止によ る タ イムアウ ト など、 SSL VPN 接続のすべてのユーザ認証イ ベン ト を 記録 し ます。 [SSL VPN FortiGate ユニ ッ ト は、 SSL 設定や CA 証明書のロー ド および削除 administrator event] など、 SSL VPN に関連 し たすべての管理者イ ベン ト を記録 し ます。 [SSL VPN session event] 3 FortiGate ユニ ッ ト は、 ア プ リ ケーシ ョ ンの起動 と ブ ロ ッ ク 、 タ イ ムアウ ト 、 確認など、 すべてのセ ッ シ ョ ン活動を記録 し ます。 [Apply] を選択 し ます。 アンチウイルス ログ ア ン チウ イルス ロ グは、 Web、 FTP、 お よび電子 メ ール ト ラ フ ィ ッ ク におけ る ウ イルス イ ン シデン ト を記録 し ます。 た と えば、 FortiGate ユニ ッ ト が感染フ ァ イルを検知 し た り 、 あ る種類の フ ァ イルを ブ ロ ッ ク し た り 、 あ る いはサイ ズの大 き い フ ァ イルやロ グ記録 さ れた電子 メ ールを ブ ロ ッ ク し た り する と 、 ア ン チウ イ ルスのロ グが記録 さ れます。 次のフ ィ ル タ を適用で き ます。 [Viruses] FortiGate ユニ ッ ト は、 ウ イルスの感染をすべて記録 し ます。 [Blocked Files] FortiGate ユニ ッ ト は、 ブ ロ ッ ク さ れた フ ァ イルのすべてのイ ン ス タ ン ス を記録 し ます。 [Oversized Files/Emails] FortiGate ユニ ッ ト は、 定義 さ れた し き い値を超え る フ ァ イルおよ び電子 メ ール メ ッ セージのすべてのイ ン ス タ ン ス を記録 し ます。 [AV Monitor] FortiGate ユニ ッ ト は、 ウ イルス、 ブ ロ ッ ク さ れた フ ァ イル、 およ びサイズ超過のフ ァ イルおよび電子 メ ールのすべてのイ ン ス タ ン ス を記録 し ます。 これは、 HTTP、 FTP、 IMAP、 POP3、 SMTP、 お よび IM の ト ラ フ ィ ッ ク に適用 さ れます。 アンチウイルス ログを有効にするには 1 [Firewall]、 [Protection Profile] の順に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 441 ログの種類 ログおよびレポート 2 ア ン チウ イルスのイ ベ ン ト のロギン グ を有効にする には、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの隣にあ る編集ア イ コ ン を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオ プ シ ョ ン を展開 し ます。 4 ログ を作成する ア ン チウ イルスの イ ベ ン ト を選択 し ます。 5 [OK] を選択 し ます。 Web フィルタ ログ Web フ ィ ル タ ロ グは、 Web コ ン テ ン ツのブ ロ ッ ク処理な ど、 HTTPFortiGuard ロ グ レ ーテ ィ ン グ エ ラ ーを記録 し ます。 Web フィルタ ログを有効にするには 1 [Firewall]、 [Protection Profile] の順に選択 し ます。 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオ プ シ ョ ン を展開 し ます。 4 ロ グ を作成する Web フ ィ ル タ リ ン グ イ ベ ン ト を選択 し ます。 5 FortiGuard のフ ィ ル タ リ ン グ を記録する には、 [FortiGuard Web Filtering Log rating errors (HTTP only)] を選択 し ます。 6 [OK] を選択 し ます。 攻撃ログ 攻撃ロ グは、 FortiGate ユニ ッ ト で検知およ び防御 さ れた攻撃を記録 し ます。 FortiGate ユニ ッ ト は、 次のロ グ を作成 し ます。 攻撃シグネチャ FortiGate ユニ ッ ト は、 攻撃シグネチ ャ に基づいて検知および防御 さ れたすべての攻撃 と 、 FortiGate ユニ ッ ト によ っ て講 じ ら れた処 置を記録 し ます。 攻撃アノマリ FortiGate ユニ ッ ト は、 未知または不審な ト ラ フ ィ ッ ク パ タ ーンに 基づいて検知および防御 さ れたすべての攻撃 と 、 FortiGate ユニ ッ ト によ っ て講 じ ら れた処置を記録 し ます。 攻撃ログを有効にするには 1 [Firewall]、 [Protection Profile] の順に選択 し ます。 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオ プ シ ョ ン を展開 し ます。 4 [Log Intrusions] を選択 し ます。 5 [OK] を選択 し ます。 注記 : 攻撃を記録する ために攻撃シグネチ ャ と 攻撃ア ノ マ リ の設定が有効にな っ ている こ と を確認 し て く だ さ い。 FortiGate ユニ ッ ト に含まれる シグネチ ャ のロギング オプ シ ョ ン は、 デ フ ォル ト で設定 さ れています。 また、 すべてのカ ス タ ム シグネチ ャ も ロギング オ プ シ ョ ンが有効にな っ ている こ と を確認 し て く だ さ い。 詳細については、 371 ページの 「不正侵入防御」 を参照 し て く だ さ い。 442 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログの種類 スパム フィルタ ログ スパム フ ィ ル タ ロ グは、 SMTP、 IMAP、 POP3 ト ラ フ ィ ッ ク内の電子 メ ールの ア ド レ ス パ タ ーン お よび コ ン テ ン ツのブ ロ ッ ク を記録 し ます。 スパム ログを有効にするには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオプ シ ョ ン を展開 し ます。 4 [Log Spam] を選択 し ます。 5 [OK] を選択 し ます。 IM および P2P ログ イ ン ス タ ン ト メ ッ セージ (IM) お よびピ ア ツーピ ア (P2P) ロ グは、 イ ン ス タ ン ト メ ッ セージのテキス ト お よびオーデ ィ オ通信、 ユーザが試みた フ ァ イル転送、 送 信が試みられた時刻、 使用 さ れた IM ア プ リ ケーシ ョ ンの種類、 お よび送信内容 を記録 し ます。 IM および P2P ログを有効にするには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集ア イ コ ン を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオプ シ ョ ン を展開 し ます。 4 [Log IM Activity] を選択 し ます。 5 [Log P2P Activity] を選択 し ます。 6 [OK] を選択 し ます。 VoIP ログ 現在では、 VoIP (Voice over Internet Protocol) 通話のロ グ を記録で き ます。 また、 SIP (Session Initiated Protocol)、 SCCP (Skinny Client Control Protocol)、 または Skinny プ ロ ト コ ルの VoIP 帯域制限 も設定で き ます。 SIP と SCCP は、 2 種類の VoIP プ ロ ト コ ルです。 帯域制限は、 一般に SCCP と SIP で異な り ます。 SIP で は、 帯域制限は FortiGate ユニ ッ ト を通過する SIP ト ラ フ ィ ッ ク について適用 さ れます。 SCCP では、 コ ール マネージ ャは通常、 ク ラ イ ア ン ト から見て FortiGate ユニ ッ ト の反対側に存在する ため、 コ ール セ ッ ト ア ッ プ レ ー ト は FortiGate ユニ ッ ト と ク ラ イ ア ン ト 間の もの と な り ます。 VoIP ログを有効にするには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集ア イ コ ン を選択 し ます。 3 青色の矢印を選択 し て、 [Logging] のオプ シ ョ ン を展開 し ます。 4 [Log VoIP Activity] を選択 し ます。 5 [OK] を選択 し ます。 VoIP の動作を設定するには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの編集ア イ コ ン を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 443 ログ アクセス ログおよびレポート 3 青色の矢印を選択 し て、 [VoIP] のオプ シ ョ ン を展開 し ます。 4 [SIP] と [SCCP] のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 5 [Limit REGISTER request (requests/sec) (SIP only)] フ ィ ール ド に 1 秒あた り の要求 数を入力 し ます。 6 [Limit INVITE request (requests/sec) (SIP only)] フ ィ ール ド に 1 秒あた り の要求数 を入力 し ます。 7 [Limit Call Setup (calls/min) (SCCP only)] フ ィ ール ド に 1 分あた り の最大通話数を 入力 し ます。 8 [OK] を選択 し ます。 ログ アクセス FortiGate ユニ ッ ト では、 メ モ リ やハー ド デ ィ ス ク に保存 さ れた ロ グ、 ある いは FortiAnalyzer 3.0 が動作する FortiAnalyzer ユニ ッ ト に保存 さ れた ロ グ を表示で き ます。 また、 FortiGate ユニ ッ ト では、 FortiGuard ロ グお よび分析サーバに保存 さ れた ロ グの表示も可能です。 ロ グには [Log Access] メ ニ ュ ーか ら ア ク セス し ます。 [Log Access] メ ニ ュ ーに は、 メ モ リ 、 ハー ド デ ィ ス ク、 FortiAnalyzer ユニ ッ ト 、 FortiGuard ロ グおよ び分 析サーバの各 タ ブがあ り ます。 各 タ ブには、 表示する ロ グの種類の選択を含め て、 検索やフ ィ ル タ リ ン グ オプ シ ョ ン な どのロ グ メ ッ セージ を表示する オプ シ ョ ンがあ り ます。 注記 : FortiGate ユニットが FortiAnalyzer ユニット上のログを表示できるようにするには、 FortiAnalyzer ユニットがバージョン 3.0 以上のファームウェアで動作している必要があります。 注記 : VDOM が有効にな っ ている場合、 現在属 し ている VDOM において、 シ ステム メ モ リ 、 ハー ド デ ィ ス ク 、 FortiAnalyzer ユニ ッ ト 、 または FortiGuard ログお よび分析サーバに 保存 さ れた FortiGate のログへのア ク セスが可能である こ と を確認 し て く だ さ い。 VDOM によ っ ては、 ある特定の FortiGate の機能に し かア ク セスで き ない場合があ り ます。 メモリに保存されたログ メッセージへのアクセス FortiGate のシ ス テム メ モ リ に保存 さ れた ロ グには、 [Log Access] ページか ら ア ク セス で き ます。 ト ラ フ ィ ッ ク ロ グは、 記録する には大き な領域が必要にな る ため、 メ モ リ には保存 さ れません。 FortiGate のメモリ バッファ内のログ メッセージを表示するには 1 [Log&Report]、[Log Access] の順に選択 し ます。 2 [Memory] タ ブ を選択 し ます。 3 [Log Type] リ ス ト から ロ グの種類を選択 し ます。 ハード ディスクに保存されたログ メッセージへのアクセス FortiGate ユニ ッ ト にハー ド デ ィ ス クが搭載 さ れている場合、 それに保存 さ れた ログにア ク セスで き ます。 こ のログには、 FortiAnalyzer ユニ ッ ト に保存 さ れた ロ グにア ク セスするの と 同様の方法でア ク セスで き ます。 ハー ド デ ィ ス ク に保存 さ れた ロ グは、 表示、 ナ ビゲー ト 、 お よびダウ ン ロ ー ド で き ます。 444 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログ アクセス ハード ディスク上のログ ファイルにアクセスするには 1 [Log & Report]、[Log Access] の順に選択 し ます。 2 [Disk] タ ブ を選択 し ます。 3 [Log Type] リ ス ト か ら ロ グの種類を選択 し ます。 図 279: FortiGate のハード ディスクに保存されたログ ファイルの表示 クリア ログ アイ コ ン ダウ ン ロ ー ド アイコン 表示 アイコン 削除ア イ コ ン [Log Type] 表示するログの種類を選択します。 トラフィック ログなど、 記録される情報 の量が多いためにメモリに保存できないログ ファイルがあります。 [File name] FortiGate のハー ド デ ィ ス ク に保存 さ れた、 その種類のログ フ ァ イル の名前。 ログ フ ァ イルのサイズが上限に達する と 、 FortiAnalyzer ユニ ッ ト は増 分番号を付けてその フ ァ イルを保存 し 、 同 じ フ ァ イル名の新 し いロ グ フ ァ イルの使用を開始 し ます。 た と えば、 現行の攻撃ロ グが alog.log である と し ます。 以後、 保存 さ れる ロ グは alog.n で表 さ れます。 n は 順次作成 さ れる ログの番号です。 [Size] バイ ト 単位のログ フ ァ イルのサイズ。 [Last access time] ログ メ ッ セージのパケ ッ ト が FortiGate ユニ ッ ト によ っ て最後に送信 さ れた曜日、 月、 日、 時間、 および年。 クリア ログ アイ 現在のログ フ ァ イルを消去する場合に選択 し ます。 ク リ ア ログ ア イ コ ン を選択 し て も、 削除 さ れるのはそのロ グ フ ァ イルの現在のログ コン メ ッ セージに限 られます。 ロ グ フ ァ イルは削除 さ れません。 ダウンロード ア イコン ログ ファイルまたは順次作成されたログ ファイルをダウンロードする場合に 選択します。 通常形式リンクのダウンロード ファイル、 または CSV 形式リ ンクのダウンロード ファイルのいずれかを選択します。 [Disk] タブ ページに 戻るには、 リターン リンクを選択します。 ログ ファイルのダウンロードに含 まれるのは、 現在のログ メッセージのみです。 表示アイコン Web ベース マネージ ャ を通 じ て ログ フ ァ イルを表示 し ます。 削除アイコン 順次作成 さ れた ログ を削除する場合に選択 し ます。 順次作成 さ れた ロ グ フ ァ イルは、 削除 し て し ま う と 読み出せな く な る ため、 削除する前 にダウン ロー ド し てお く こ と をお勧め し ます。 FortiAnalyzer ユニットに保存されたログへのアクセス FortiAnalyzer ユニ ッ ト に保存 さ れた ロ グは、 表示およ びナビ ゲー ト する こ と がで き ます。 ロ グ フ ァ イルを FortiAnalyzer ユニ ッ ト に送信する よ う FortiGate ユニ ッ ト を設定する方法については、 434 ページの 「FortiAnalyzer ユニ ッ ト へのロギン グ」 を参照 し て く だ さ い。 注記 : FortiGate ユニ ッ ト のログを表示するには、 FortiAnalyzer ユニ ッ ト がバージ ョ ン 3.0 以上の フ ァ ームウ ェ ア で動作 し てい る必要があ り ます。 FortiAnalyzer ユニット上のログ ファイルにアクセスするには 1 [Log&Report]、[Log Access] の順に選択 し ます。 2 [FortiAnalyzer] タ ブ を選択 し ます。 3 [Log Type] リ ス ト か ら ロ グの種類を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 445 ログ アクセス ログおよびレポート 図 280: FortiAnalyzer ユニットに保存されたログ ファイルの表示 前ページ 次ページ [Log Type] 表示する ログの種類を選択 し ます。 ト ラ フ ィ ッ ク ログなど、 記録 さ れる情報の量が多いために メ モ リ に保存で き ないログ フ ァ イルがあ り ます。 前ページ ログ メ ッ セージの前のページ を表示する場合に選択 し ます。 次ページ ログ メ ッ セージの次のページ を表示する場合に選択 し ます。 [View per page] ページに表示する ログ メ ッ セージ数を 30、 50、 100 から 選択 し ます。 [Line] 表示する ログ メ ッ セージの番号を入力 し ます。 た と えば 5 を入力す る と 、 5 番目のロ グ メ ッ セージ と それ以降のすべてのログ メ ッ セー ジが表示 さ れます。 [Column Settings] 列を追加または削除する場合に選択 し ます。 詳細については、 447 ページの 「列の設定」 を参照 し て く だ さ い。 [Raw] フ ォ ーマ ッ ト さ れていない形式で現在のログ メ ッ セージ を表示する 場合に選択 し ます。 FortiGate ユニ ッ ト はデ フ ォル ト で、 フ ォ ーマ ッ ト さ れた形式で ログ メ ッ セージ を表示 し ます。 [Clear All Filters] すべてのフ ィ ル タ 設定を解除する場合に選択 し ます。 FortiGuard ログおよび分析サーバ上のログへのアクセス FortiGuard ロ グお よび分析サーバのロ グには、 [Log Access] ページか ら ア ク セス で き ます。 [Log Access] ページには [FortiGuard] タ ブがあ り 、 FortiGuard ロ グお よ び分析サーバ上のすべてのロ グ を表示で き ます。 FortiGuard ログおよび分析サーバ上のログにアクセスするには 1 [Log&Report]、[Log Access] の順に選択 し ます。 2 [FortiGuard] タ ブ を選択 し ます。 3 [Log Type] リ ス ト から ロ グの種類を選択 し ます。 ログ情報の表示 ロ グ ビ ュ ーアは、 ロ グ メ ッ セージの情報を表示 し ます。 表示 さ れる列には、 ロ グ フ ァ イル内の内容が反映 さ れます。 [Log Access] ページの最上部には、 ロ グ メ ッ セージ内を移動 し た り 、 特定の情報を探 し 出 し た り するのに役立つナビ ゲー シ ョ ン機能が装備 さ れています。 446 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログ アクセス 図 281: 前ページ ログ メッセージの表示 次ページ アイ コ ン 列設定ア イ コ ン 前ページ アイコン ログ フ ァ イルの前のページ を表示する場合に選択 し ます。 次ページ アイコン ログ フ ァ イルの次のページ を表示する場合に選択 し ます。 [View per page] 各ページに表示 さ れる ログ メ ッ セージの数を選択 し ます。 [Line] 表示する最初の行の行番号を入力 し ます。 ス ラ ッ シ ュ ( 「/」 ) の後の 数は、 ログ内の総行数です。 列設定アイコン 表示する ログ情報列を追加または削除する場合に選択 し ます。 [Raw] または [Formatted] フ ォ ーマ ッ ト さ れていないログ メ ッ セージの表示に切 り 換え るには、 [Raw] を選択 し ます。 列に整理 さ れた ログ メ ッ セージの表示に切 り 換 え るには、 [Formatted] を選択 し ます。 [Clear All Filters] ログ フ ァ イルに適用 さ れた フ ィ ル タ リ ングのオプ シ ョ ン を解除する 場合に選択 し ます。 列の設定 列設定ア イ コ ン を使用する と 、 ロ グ メ ッ セージの表示を カ ス タ マ イ ズお よび フ ィ ル タ リ ン グで き ます。 列設定は、 フ ォ ーマ ッ ト さ れた ( 未加工で ない ) ロ グ メ ッ セージ を表示する場合に適用 さ れます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 447 ログ アクセス ログおよびレポート 図 282: ログ メッセージを表示するための列の設定 列をカスタマイズするには 1 [Log&Report]、[Log Access] の順に選択 し ます。 2 [Memory]、 [FortiAnalyzer]、 または [FortiGuard] か ら、 ロ グ を表示する タ ブ を選択 し ます。 3 [Log Type] リ ス ト から ロ グの種類を選択 し ます。 4 FortiAnalyzer ユニ ッ ト で ロ グ フ ァ イルを表示する場合は、 表示ア イ コ ン を選択 し ます。 5 列設定ア イ コ ン を選択 し ます。 6 列の名前を選択 し 、 次のいずれかを選択 し て、 ロ グ情報の表示を変更 し ます。 7 uir -> 選択 し た フ ィ ール ド を [Available fields] ( 使用可能な フ ィ ール ド ) リ ス ト から [Show these fields in this order] ( フ ィ ール ド を こ の順番で表示 ) リ ス ト に移動 さ せるには、 右向きの矢印を選択 し ます。 <- 選択 し た フ ィ ール ド を [Show these fields in this order] リ ス ト から [Available fields] リ ス ト に移動 さ せるには、 左向きの矢印を選択 し ます。 [Move up] 選択 し た フ ィ ール ド を、 [Show these fields] リ ス ト 内で 1 つ上に移動 さ せます。 [Move down] 選択 し た フ ィ ール ド を、 [Show these fields] リ ス ト 内で 1 つ下に移動 さ せます。 [OK] を選択 し ます。 注記 : [Detailed Information] 列には未加工のログ エ ン ト リ がすべて表示 さ れますが、 他の 列で入手不可能な情報がログに含まれている場合以外は必要あ り ません。 [VDOM] 列に は、 ログが記録 さ れた VDOM が表示 さ れます。 ログ メッセージのフィルタリング ロ グの内容を フ ィ ル タ リ ン グする こ と で、 サイ ズの大き い ロ グ フ ァ イルまたは 多数のロ グ メ ッ セージ内から特定の情報を探 し 出す こ と がで き ます。 フ ィ ル タ リ ン グは、 ロ グ内の情報の各列に対 し て詳細検索を実行 し ます。 448 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート ログ アクセス 図 283: ログ フィルタ 列フ ィ ル タ 使用中の フ ィ ル タ 適用 し た フ ィ ル タ 設定は、 Web ベース マネージ ャ に ロ グ イ ン し てい る間、 有効 と な り ます。 Web ベース マネージ ャ から ロ グアウ ト する と 、 ロ グ フ ィ ル タ は リ セ ッ ト さ れます。 注記 : フ ィ ル タ は、 フ ォ ーマ ッ ト さ れた ビ ュ ーで ログの内容を表示する場合に限 り 使用で き ます。 ログ メッセージをフィルタリングするには 1 [Log&Report]、[Log Access] の順に選択 し ます。 2 [Memory]、 [FortiAnalyzer]、 または [FortiGuard] か ら、 ロ グ を表示する タ ブ を選択 し ます。 3 [Log Type] ド ロ ッ プ ダウ ン リ ス ト から ロ グの種類を選択 し ます。 4 FortiAnalyzer ユニ ッ ト で ロ グ フ ァ イルを表示する場合は、 表示ア イ コ ン を選択 し ます。 5 表示する行の番号を [Line] フ ィ ール ド に入力 し ます。 入力 し た行番号が、 それ以降のすべての行 と と も に表示 さ れます。 6 フ ォ ーマ ッ ト さ れていない形式ですべてのフ ァ イルを表示する場合は、 [Raw] を 選択 し ます。 ロ グ メ ッ セージは、 フ ォ ーマ ッ ト さ れた タ イ プ であれば、 列設定ア イ コ ン を使 用 し て フ ィ ル タ リ ン グする こ と がで き ます。 列設定ア イ コ ン を使用する と 、 ロ グ の メ ッ セージだけ を表示 し た り 、 た と えば日付、 時間、 送信元ポー ト 、 宛先ポー ト 、 ID な ど、 ロ グのい く つかの部分を表示 し た り する こ と がで き ます。 詳細に ついては、 447 ページの 「列の設定」 を参照 し て く だ さ い。 FortiGuard ログおよび分析サーバに保存されたログの削除 FortiGuard ロ グお よび分析サーバに保存 さ れた ロ グは、 削除およ び消去で き ます。 削除または消去で き るのは、 1 ~ 24 か月前ま でのロ グです。 FortiGuard ロ グおよ び 分 析 サ ー バ に 保 存 さ れ た ロ グ を 削 除 ま た は 消 去 す る こ の オ プ シ ョ ン は、 FortiGuard ロ グお よび分析サーバへのロギン グが有効で なければ使用で き ません。 FortiGuard ログおよび分析サーバに保存されたログを削除するには 1 [System]、[Maintenance]、[FortiGuard Center] の順に選択 し ます。 2 青色の矢印を選択 し て、 [FortiGuard Log & Analysis] のオ プ シ ョ ン を展開 し ます。 3 典 o purge logs older than [#] month(s) now, please click here ・ ([#] か月よ り 古い ロ グ を消去する には、 こ こ を ク リ ッ ク し て く だ さ い ) と い う セ ン テ ン ス内の ド ロ ッ プ ダウン リ ス ト か ら、 数を選択 し ます。 4 典 o purge logs older than [#] month(s) now, please click here ・ と い う セ ン テ ン ス内 の リ ン ク を選択 し ます。 次のよ う な メ ッ セージが表示 さ れます。 Warning: This will erase log files from FortiGuard. Are you sure you want to continue? FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 449 コンテンツ アーカイブ ログおよびレポート 5 [OK] を選択 し ます。 注記 : ログ フ ァ イルは、 削除する前にすべてダウン ロー ド し てお く こ と を お勧め し ます。 コンテンツ アーカイブ [Content Archive] メ ニ ュ ーに よ り 、 FortiAnalyzer ユニ ッ ト に保存 さ れてい る アー カ イ ブ さ れた ロ グ を FortiGate Web ベース マネージ ャから 表示する こ と が可能に な り ます。 [Content Archive] メ ニ ュ ーには、 [HTTP]、 [FTP]、 [Email]、 [IM] と い う 4 つの タ ブがあ り 、 アー カ イ ブ さ れた各種類のロ グ を それぞれ表示で き ます。 コ ン テ ン ツ アー カ イ ブ を表示する には、 まず FortiGate ユニ ッ ト の こ の機能を有 効にする必要があ り ます。 コ ン テ ン ツ アー カ イ ビ ン グは、 プ ロ テ ク シ ョ ン プ ロ フ ァ イルから 有効に し ます。 プ ロ テ ク シ ョ ン プ ロ フ ァ イルで コ ン テ ン ツ アー カ イ ビ ン グ を有効にする方法については、 287 ページの 「 フ ァ イ アウ ォ ール - プ ロ テ ク シ ョ ン プ ロ フ ァ イル」 を参照 し て く だ さ い。 注記 : FortiGuard ロ グおよび分析サーバは、 サーバに保存 さ れた ログの コ ン テ ン ツ概要の みを提供 し ます。 現在属 し ている VDOM において、 FortiGate ユニ ッ ト 上の コ ン テ ン ツ アー カ イ ブ ログや、 FortiGuard ログおよび分析サーバのコ ン テ ン ツ概要ログの表示にア ク セスで き る こ と を確認 し て く だ さ い。 VDOM の設定によ っ ては、 ある特定の FortiGate の 機能に し かア ク セスで き ません。 FortiGate ユニットでコンテンツ アーカイビングを有効にするには 1 [Firewall]、[Protection Profile] の順に選択 し ます 2 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの横にある編集ア イ コ ン を選択 し ます。 3 青色の三角形を選択 し て、 [Content Archive] のオプ シ ョ ン を展開 し ます。 4 シ ス テム ダ ッ シ ュ ボー ド の [Display content meta-information] に必要なチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 5 [Archive to FortiAnalyzer/FortiGuard] に、各 ド ロ ッ プ ダウ ン リ ス ト から [None] ( な し )、 [Summary] ( 概要 )、 または [Full] ( 完全 ) を選択 し ます。 6 必要に応 じ て、 [Archive SPAMed email to FortiAnalyzer] のチ ェ ッ ク ボ ッ ク ス を オ ン に し ます。 7 [OK] を選択 し ます。 FortiGuard ロ グお よび分析サーバにロギン グ を行 う 場合、 [Archive toFortiAnalyzer/FortiGuard] の ド ロ ッ プ ダウ ン リ ス ト では [None] または [Summary] し か選択で き ません。 注記 : NNTP オプ シ ョ ンは、 将来の リ リ ースでサポー ト さ れる予定です。 450 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート アラート メール コンテンツ アーカイブを表示するには 1 [Log&Report]、[Content Archive] の順に選択 し ます。 2 表示する アー カ イ ブ ロ グの種類の タ ブ を選択 し ます。 FortiGuard ログおよび分析サーバのコンテンツ概要ログを表示するには 1 [Log&Report]、[Content Archive] の順に選択 し ます。 2 [Select Log Device] ド ロ ッ プダウ ン リ ス ト から FortiGuard を選択 し ます。 3 表示する コ ン テ ン ツ概要ロ グの種類の タ ブ を選択 し ます。 未加工形式で ロ グ を表示する必要がある場合は、 列設定ア イ コ ンの隣にあ る [Raw] を選択 し て く だ さ い。 列設定ア イ コ ンの詳細については、 447 ページの 「列の設定」 を参照 し て く だ さ い。 FortiGuard ロ グおよ び分析サーバにロギン グ を行 う 場合は、 ロ グの コ ン テ ン ツ概要のみ表示 さ れます。 ロ グの コ ン テ ン ツ概要 はアー カ イ ブ さ れないため、 リ ン クは含まれません。 アラート メール ア ラ ー ト メ ールの機能を通 じ て、 FortiGate ユニ ッ ト はロ グ メ ッ セージのロ グ を 監視 し 、 記録 さ れた特定の活動またはイ ベ ン ト を電子 メ ールで通知する こ と がで き ます。 た と えば、 管理者のロ グ イ ン お よびロ グアウ ト に関する通知が必要な場 合、 管理者がロ グ イ ンお よびロ グアウ ト する たびにア ラ ー ト メ ールを送信する よ う に設定で き ます。 こ の機能では、 記録 さ れた重大度に基づ く ア ラ ー ト メ ールの送信も行われます。 注記 : VDOM が有効な場合は、 現在属 し ている VDOM にア ク セス し てア ラ ー ト メ ールを 設定で き る こ と を確認 し て く だ さ い。 VDOM によ っ ては、 ある特定の FortiGate の機能に し かア ク セスで き ない場合があ り ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 451 アラート メール ログおよびレポート 図 284: アラート メール オプション アラート メールの設定 ア ラ ー ト メ ールを設定する場合、DNS サーバを少な く と も 1 つ設定する必要があ り ます。 FortiGate ユニ ッ ト は、 SMTP サーバ名を使用 し て メ ール サーバに接続 し ます。 またユニ ッ ト は、 DNS サーバ上で こ の名前を検索する必要があ り ます。 アラート メールを設定するには 452 1 [Log&Report]、[Log Config]、[Alert E-mail] の順に選択 し ます。 2 以下のオ プ シ ョ ン を設定 し 、 [Apply] を選択 し ます。 [SMTP Server] SMTP 電子 メ ール サーバの名前 と ア ド レ ス。 [Email from] SMTP ユーザ名。 [Email To] ア ラ ー ト メ ール メ ッ セージの受信者を 3 名まで入力 し ます。 [Authentication Enable] SMTP 認証を有効にするには、[Authentication] の [Enable] チ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 [SMTP user] SMTP サーバにログオ ン し て、 ア ラ ー ト メ ール メ ッ セージ を送信 する ためのユーザ名を入力 し ます。 こ の操作は、 SMTP 認証を有効 に し た場合のみ行 う 必要があ り ます。 [Password] SMTP サーバにログオ ン し て、 ア ラ ー ト メ ールを送信するための パスワー ド を入力 し ます。 こ の操作は、 SMTP 認証を選択に し た場 合のみ行 う 必要があ り ます。 3 上記の手順で設定 し た電子 メ ール ア カ ウ ン ト へのテ ス ト メ ッ セージ を受信する には、 [Test Connectivity] を選択 し ます。 4 下記のいずれか、 またはすべてに基づいて電子 メ ール メ ッ セージ を送信する必 要がある場合は、 [Send alert email for the following] を オ ン に し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート アラート メール [Interval Time] ア ラ ー ト メ ールが受信者に送信 さ れる までの時間を分単位で入 力 し ます。 [Intrusion detected] 侵入検知に基づいたア ラ ー ト メ ール メ ッ セージが必要な場合に オ ンに し ます。 [Virus detected] ウ イルス検知に基づいたア ラ ー ト メ ール メ ッ セージが必要な場 合にオ ンに し ます。 [Web access blocked] ア ク セス さ れた Web サイ ト のブ ロ ッ ク に基づ く ア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 [HA status changes] HA ステー タ スの変化に基づいたア ラ ー ト メ ール メ ッ セージが必 要な場合にオ ンに し ます。 [Violation traffic detected] FortiGate ユニ ッ ト が検知 し た違反 ト ラ フ ィ ッ ク に基づ く ア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 [Firewall フ ァ イ アウ ォ ール認証に基づいたア ラ ー ト メ ール メ ッ セージが authentication device] 必要な場合にオ ンに し ます。 [SSL VPN login failure] 失敗に終わっ たすべての SSL VPN ロ グ イ ンに基づ く ア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 5 [Administrator login/logout] 管理者のログ イ ンおよびログアウ ト に基づいたア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 [IPSec tunnel errors] IPSec ト ン ネル設定のエ ラ ーの有無に基づいたア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 [L2TP/PPTP/PPPoE errors] L2TP、 PPTP、 または PPPoE で生 じ たエ ラ ーに基づ く ア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 [Configuration changes] FortiGate の設定変更に基づいたア ラ ー ト メ ール メ ッ セージが必 要な場合にオ ンに し ます。 [FDS license expiry time] ( 日数 ) FDS ラ イ セ ン スの有効期限を通知する日数を入力 し ます。 [Disk usage] ( パーセント ) ア ラ ー ト メ ールが送信 さ れるデ ィ ス ク 使用率の値を入力 し ます [FortiGuard log disk quota] FortiGuard Log & Analysis のロ グのデ ィ ス ク割 り 当てに基づいたア ラ ー ト メ ール メ ッ セージが必要な場合にオ ンに し ます。 ロ グの重大度に基づいて ア ラ ー ト メ ールを送信する場合は、[Send an alert based on severity] を オ ン に し ます。 こ れに よ り 、 特定のロ グ レ ベルがロ グ内に現れる たびに、 FortiGate ユニ ッ ト で ア ラ ー ト メ ールが送信 さ れる よ う にで き ます。 6 [Minimum severity level] リ ス ト では、 最低の重大度を選択 し て く だ さ い。 7 [Apply] を選択 し ます。 注記 : 最低の重大度は、 デ フ ォル ト で [Alert] です。 一定の期間内に複数の メ ッ セージ を 収集 し た場合、 FortiGate ユニ ッ ト は メ ッ セージ を結合 し 、 1 通のア ラ ー ト メ ールを送信 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 453 レポート ログおよびレポート レポート FortiAnalyzer のレ ポーテ ィ ン グ機能は、 FortiGate ユニ ッ ト と の統合が強化 さ れて います。 [Log&Report] メ ニ ュ ーか ら、 シ ン プルな FortiAnalyzer レ ポー ト の設定、 レ ポー ト の表示、お よびレ ポー ト の印刷を行 う こ と がで き ます。また、FortiAnalyzer ユニ ッ ト に保存 さ れた コ ン テ ン ツ アー カ イ ブ ロ グ を表示する こ と も で き ます。 [Log&Report] メ ニ ュ ーから は、 基本 ト ラ フ ィ ッ ク レ ポー ト を設定で き ます。 基 本 ト ラ フ ィ ッ ク レ ポー ト は、 FortiGate の メ モ リ に保存 さ れた ロ グ情報を使用 し て、 基本的な ト ラ フ ィ ッ ク の情報を図示 し ます。 注記 : VDOM が有効な場合は、 現在属 し ている VDOM にア ク セス し て レポー ト の設定、 表示、 編集、 印刷のいずれかまたはすべてが行え る こ と を確認 し て く だ さ い。 VDOM に よ っ ては、 ある特定の FortiGate の機能に し かア ク セスで き ない場合があ り ます。 基本トラフィック レポート FortiGate ユニ ッ ト は、 収集 さ れた ロ グ情報を用いてそれを図示 し 、 多数のサー ビ スのネ ッ ト ワー ク 使用状況を表示 し ます。 チ ャ ー ト には、 サービ ス ト ラ フ ィ ッ ク に使用 さ れるバイ ト 数が示 さ れます。 注記 : グ ラ フ の作成に使用 さ れるデー タ は、 メ モ リ に保存 さ れます。 FortiGate ユニ ッ ト が リ セ ッ ト または再起動 さ れる と 、 デー タ は消去 さ れます。 ロ グは、[Log&Report]、[Report Access]、[Memory] の順に選択 し て表示で き ます。 図 285: 454 サービスごとの帯域幅を示すグラフの表示 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート レポート [Time Period] グ ラ フ 分析のために表示する時間範囲を選択 し ます。 1 日、 3 日、 1 週 間、 または 1 か月から 選択で き ます。 デ フ ォル ト は 1 日です。 ブ ラ ウ ザの表示を更新 し た り 、 別の メ ニ ュ ーに移動 し た り する と 、 設定はデ フ ォル ト に戻 り ます。 サービス サービ スは、 デ フ ォル ト ですべて選択 さ れています。 ブ ラ ウザの表示 を更新 し た り 、 別の メ ニ ュ ーに移動 し た り する と 、 すべてのサービ ス はデ フ ォル ト の設定に戻 り ます。 グ ラ フ 分析に含めないサービ スは、 選択を解除 し て く だ さ い。 • • • • • • Browsing ( 閲覧 ) DNS Email ( 電子 メ ール ) FTP Gaming ( ゲーム ) Instant Messaging ( イ ンス タ ン ト メ ッ セージ ング ) • Newsgroups ( ニ ュ ー スグループ ) • P2P • • • • • • • Streaming ( ス ト リ ー ミ ング ) TFTP VoIP Generic TCP ( 標準 TCP) Generic UDP ( 標準 UDP) Generic ICMP ( 標準 ICMP) Generic IP ( 標準 IP) レ ポー ト は リ アル タ イ ムでは更新 さ れません。 [Memory] タ ブ を選択する と 、 レ ポー ト を更新で き ます。 グラフ表示の設定 FortiGate の基本 ト ラ フ ィ ッ ク レ ポー ト には、 監視可能な幅広いサービ スが含ま れています。 た と えば、 直近の 3 日間の電子 メ ール サービ スのみを表示する こ と がで き ます。 グラフの情報を変更するには 1 [Log&Report]、[Report Access]、[Memory] の順に選択 し ます。 2 [Time Priod] リ ス ト から グ ラ フ に含める期間を選択 し ます。 3 グ ラ フ に含めないサービ スは選択を解除 し ます。 サービ スは、 デ フ ォル ト ですべ て選択 さ れます。 4 [Apply] を選択 し ます。 グ ラ フは、 上記の手順で指定 し た内容で更新 さ れ、 表示 さ れます。 [Top Protocols Ordered by Total Volume] ( 総量順の上位プ ロ ト コ ル ) のグ ラ フは変わ り ません。 注記 : よ り 具体的で詳細な レポー ト が必要な場合は、 FortiAnalyzer Web ベース マネー ジ ャ または CLI か ら レポー ト を設定 し て く だ さ い。 簡潔な FortiAnalyzer レポー ト が必要な 場合は、 456 ページの 「FortiAnalyzer レポー ト の設定」 を参照 し て く だ さ い。 FortiAnalyzer ユニ ッ ト は 140 種以上の さ ま ざ ま な レポー ト を生成する こ と がで き ます。 FortiGate ユニ ッ ト よ り も 多 く のオプ シ ョ ンが用意 さ れています。 FortiAnalyzer レポート 簡潔な FortiAnalyzer レ ポー ト は、 Web ベース マネージ ャ または CLI で FortiGate のロ グから設定で き ます。 CLI イ ン タ フ ェ ース を用いて レ ポー ト を設定する方法 については、 『FortiGate CLI リ フ ァ レ ン ス 』 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 455 レポート ログおよびレポート レ ポー ト プ ロ フ ァ イルを さ ら に追加およ び設定する方法については、 『FortiAnalyzer 管理ガ イ ド 』 を参照 し て く だ さ い。 注記 : FortiGate ユニ ッ ト が FortiAnalyzer ユニ ッ ト に接続 さ れていない場合、 あるいは FortiAnalyzer ユニ ッ ト で 3.0 以上のフ ァ ームウ ェ アが実行 さ れていない場合、 FortiAnalyzer レポー ト は表示 さ れません。 FortiAnalyzer レポートの設定 FortiAnalyzer レ ポー ト は、 [Report Config] メ ニ ュ ーから 設定で き ます。 また、 [Report Config] メ ニ ュ ーには、 複数の FortiAnalyzer レ ポー ト の設定を可能にする CLI コ マ ン ド 、 multi-report も 含まれています。 multi-report コ マ ン ド は、 デ フ ォル ト で無効に設定 さ れています。 [Report Config] メ ニ ュ ーでは、 デ フ ォル ト でデ フ ォル ト の FortiAnalyzer レ ポー ト 以外使用で き ません。 デ フ ォル ト の FortiAnalyzer レ ポー ト は、 FortiAnalyzer ユ ニ ッ ト で自動的に設定 さ れ、 各々の FortiGate ユニ ッ ト に特化 し た もの と な り ま す。 また、 レ ポー ト には、 た と えば Default_100281021024 のよ う に、 デ フ ォ ル ト の名前が与え られます。 デ フ ォル ト のレ ポー ト 名は、 FortiGate のデバイ ス識別 番号か ら引用 さ れます。 レ ポー ト は、 定期レ ポー ト と デ フ ォル ト の FortiAnalyzer レ ポー ト のど ち ら で も編 集で き ます。 定期レ ポー ト またはデ フ ォ ル ト の FortiAnalyzer レ ポー ト の編集につ いては、 464 ページの 「FortiAnalyzer レ ポー ト の編集」 を参照 し て く だ さ い。 FortiAnalyzer レポートのプロファイルを設定するには 1 CLI にロ グ イ ン し ます。 2 次の コ マ ン ド を入力 し ます。 config log fortianalyzer settings set multi-report enable end 3 Web ベース マネージ ャ にロ グ イ ン し ます。 4 [Log&Report]、[Report Config] の順に選択 し ます。 5 レ ポー ト の名前を入力 し ます。 6 レ ポー ト の タ イ ト ルを入力 し ます。 7 必要に応 じ て、 レ ポー ト に含まれる事項の説明を入力 し ます。 8 設定が必要なオ プ シ ョ ンの隣にある青色の矢印を選択 し ます。 : 456 [Properties] ヘ ッ ダー と フ ッ タ ーを カ ス タ マ イ ズ し た り 、 会社名を含めた り す る場合に選択 し ます。 詳細については、 457 ページの 「レ ポー ト プ ロパテ ィ の設定」 を参照 し て く だ さ い。 [Report Scope] レ ポー ト に含める結果の種類を選択 し ます。 詳細については、 459 ページの 「レ ポー ト の種類の設定」 を参照 し て く だ さ い。 [Report Types] 含める レ ポー ト の種類を選択 し ます。 詳細については、 459 ペー ジの 「レ ポー ト の種類の設定」 を参照 し て く だ さ い。 [Report Format] 変数を用いてホス ト 名またはラ ン ク のレ ポー ト を決定する場合に 選択 し ます。 詳細については、 459 ページの 「レ ポー ト の形式の 設定」 を参照 し て く だ さ い。 [Output] レ ポー ト のフ ァ イル形式を選択 し ます。 詳細については、 460 ページの 「レ ポー ト の出力の設定」 を参照 し て く だ さ い。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート レポート 9 [Schedule] FortiAnalyzer ユニ ッ ト で、 た と えば週ご と または月ご と に レポー ト を発行する場合に設定 し ます。 詳細については、 461 ページの 「レポー ト スケジ ュ ールの設定」 を参照 し て く だ さ い。 [Summary Layout] カ ス タ マ イズ さ れた要約カ テ ゴ リ のレ イ アウ ト を設定 し ます。 詳 細については、 462 ページの 「サマ リ レ イ アウ ト の設定」 を参照 し て く だ さ い。 [OK] を選択 し ます。 レポート プロパティの設定 レ ポー ト の会社名、 ヘ ッ ダー コ メ ン ト またはフ ッ タ ーを入力 し ます。 こ れら は オプ シ ョ ン です。 図 286: レポートのプロパティのオプション レポートの範囲の設定 レ ポー ト の期間またはロ グ フ ィ ル タ 、 あ る いはその両方を選択 し ます。 た と え ば 2005 年 7 月 31 日から 2005 年 9 月 9 日ま でのロ グ フ ァ イルを レ ポー ト に含め る場合、 異な る期間を選択で き ます。 図 287: レポートの設定期間 [Time Period] レポー ト の期間を選択 し ます。 直近の n 時間、 n 日、 または n 週 を選択する と 、 フ ィ ール ド が表示 さ れます。 このフ ィ ール ド に は、 た と えば直近の n 時間、 n 日、 または n 週に 8 と 入力する な ど、 数値を入力 し ます。 [From Date] レポー ト の開始日を設定する場合に選択 し ます。 た と えば、 レ ポー ト は 2005 年 5 月 5 日の 13:00 に開始する よ う にする こ と が 可能です。 時間は 24 時間形式です。 [To Date] レポー ト の終了日を設定する場合に選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 457 レポート ログおよびレポート 図 288: 458 レポート設定データ ログ フィルタ [Filter logs] レ ポー ト のログに フ ィ ル タ を適用 し ないよ う にするには、 [None] を選択 し ます。 ログ レポー ト に フ ィ ル タ を適用するには、 [Custom] を選択 し ます。 [Include logs that match] 一致する フ ィ ル タ の条件を選択 し ます。 すべてのフ ィ ル タ 設定に一致する ログを レ ポー ト に含めるには、 [all] を選択 し ます。 ロ グ内の情報がすべての条件に一致 し なけれ ば、 FortiAnalyzer ユニ ッ ト はレ ポー ト にログを含めません。 フ ィ ル タ 設定のいずれかに一致する ログを レ ポー ト に含めるに は、 [any] を選択 し ます。 た と え 1 つのフ ィ ル タ 設定で も 、 フ ィ ル タ コ ン テ ン ツのいずれかがログ フ ァ イルの情報に一致する と 、 FortiAnalyzer ユニ ッ ト はそのログを レポー ト に含めます。 [Priority] プ ラ イ オ リ テ ィ レ ベルのフ ィ ル タ オプ シ ョ ン を有効にするには、 こ のチ ェ ッ ク ボ ッ ク ス を オ ンに し ます。 ログ内を調べる プ ラ イ オ リ テ ィ レ ベルを設定 し 、 情報がそのプ ラ イ オ リ テ ィ レ ベルを下回ら なければな ら ないのか、 上回ら な ければな ら ないのか、 あるいはそのプ ラ イ オ リ テ ィ レ ベル と 等 し く なければな ら ないのかを設定 し ます。 [Source(s)] 条件を照合する送信元 IP ア ド レ ス を入力 し ます。 複数の送信元 を区切るには、 カ ン マ を使用 し ます。 レ ポー ト から 送信元 IP ア ド レ ス を除外するには、 [Not] を オ ンに し ます。 た と えば、 特定の送信元 IP ア ド レ スの情報を ログ レ ポー ト に含めないよ う に し ます。 [Destination(s)] 条件を照合する宛先 IP ア ド レ ス を入力 し ます。 複数の送信元を 区切るには、 カ ン マ を使用 し ます。 レ ポー ト から 宛先 IP ア ド レ ス を除外するには、 [Not] を オ ンに し ます。 た と えば、 特定の宛先 IP ア ド レ スの情報を ログ レ ポー ト に含めないよ う に し ます。 IP のレ ン ジにはフ ィ ル タ を適用で き、 これには社内のグループに ついて報告するサブネ ッ ト が含まれます。 例 : • 172.20.110.0-255 は、 172.20.110.0/255.255.255.0 または 172.20.110.0/24 のサブ ネ ッ ト のあ ら ゆる IP ア ド レ スに フ ィ ル タ を適用 し ます。 • 172.20.110.0-140.255 ハは、 172.20.110.0 から 172.20.140.255 のす べての IP ア ド レ スに フ ィ ル タ を適用 し ます。 • 172.16.0.0-20.255.255 は、172.16.0.0 か ら 172.20.255.255 のすべて の IP ア ド レ スに フ ィ ル タ を適用 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート レポート [Interface(s)] レポー ト に含める イ ン タ フ ェ ース を入力 し ます。 複数のイ ン タ フ ェ ース名は、 カ ン マで区切 り ます。 レポー ト から イ ン タ フ ェ ース情報を除外するには、 [Not] を オ ン に し ます。 た と えば、 特定のイ ン タ フ ェ ースの情報を ログ レ ポー ト に含めないよ う に し ます。 [Users] レポー ト に含めるユーザ名を入力 し ます。 複数のユーザ名は、 カ ン マで区切 り ます。 [Groups] レポー ト に含めるグループ名を入力 し ます。 複数のグループ名 は、 カ ン マで区切 り ます。 [Virtual Domain(s)] レポー ト に含めるバーチ ャ ル ド メ イ ン (VDOM) を入力 し ます。 複数の VDOM は、 カ ン マで区切 り ます。 レポー ト から VDOM を除外するには、 [Not] を オ ンに し ます。 た と えば、 特定の VDOM の情報を ログ レ ポー ト に含めないよ う に し ます。 [Policy IDs] レポー ト に含める フ ァ イ アウ ォ ール ポ リ シー ID 番号を入力 し ま す。 レポー ト では、 FortiGate のフ ァ イ アウ ォ ール ポ リ シーの ト ラ フ ィ ッ ク 情報がログに含まれる こ と にな り ます。 複数のポ リ シー ID は、 カ ン マで区切 り ます。 [Service(s)] レポー ト に含める特定のサービ ス を入力 し ます。 複数のサービ ス は、 カ ン マで区切 り ます。 レポー ト から サービ ス を除外するには、 [Not] を オ ンに し ます。 た と えば、 特定のサービ スの情報を ログ レ ポー ト に含めないよ う に し ます。 [Messages] 電子 メ ール レ ポー ト か ら レ ポー ト に含め る、 特定の電子 メ ール メ ッ セージ を入力 し ます。 複数の メ ッ セージは、 カ ン マ で区切 り ます。 [Day of the Week] レポー ト に含める ため、 ログ フ ァ イルから 情報が引き出 さ れる 曜日を選択 し ます。 レポートの種類の設定 レ ポー ト に含める情報の種類を選択 し ます。 • 最も一般的な レ ポー ト の種類を含める には、 [Basic] を選択 し ます。 • すべてのレ ポー ト の種類を含める には、 [All] を選択 し ます。 レ ポー ト の種類 のデー タ が含まれていない場合、 そのレ ポー ト は、 “No matching log data for this report” ( こ のレ ポー ト に一致する ロ グ デー タ はあ り ません ) と い う メ ッ セージ と と も に表示 さ れます。 • 含める レ ポー ト を選択する には、 [Custom] を選択 し ます。 レ ポー ト のカ テ ゴ リ を展開 し て、 個々のレ ポー ト を選択する には、 青色の矢印を選択 し ます。 レポートの形式の設定 サービ ス名、 ホス ト 名を決定 し た り 、 変数を使用 し て レ ポー ト の ト ッ プ ア イ テ ムを ラ ン ク付け し た り する場合に選択 し ます。 図 289: FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 レポート設定の形式 459 レポート ログおよびレポート [Display category カ テ ゴ リ 概要レポー ト を表示する場合に選択 し ます。 summary reports] [Include reports 一致するデー タ がないレポー ト を含める場合に選択 し ます。 with no matching data] [Resolve Service Names] ポー ト 番号ではな く 、 ネ ッ ト ワー ク サービ ス名を表示するのにオ ン に し ます。 た と えば、 ポー ト 80 ではな く HTTP と し ます。 [Resolve Host Names] IP ア ド レ スではな く 、 分か り やすい名前でホス ト 名を表示する場合に オ ンに し ます。 た と えば、 Sally_Accounting のよ う に し ます。 IP ア ド レ スのホス ト 名の設定に関する詳細については、 FortiAnalyzer 管理ガ イ ド を参照 し て く だ さ い。 [Obfuscate User (Group) Names] 分か り に く いユーザ グループ名を含める場合に選択 し ます。 [Advanced] レポー ト の ト ッ プに ラ ン ク 付け さ れたア イ テム、 要約情報、 目次を含 める場合に選択 し ます。 [In 'Ranked Reports' show top] レ ポー ト の種類によ っ ては、 ト ッ プに ラ ン ク 付け さ れたア イ テムを レ ポー ト に設定で き ます。 こ れら の レ ポー ト は名前に “Top” と 示 さ れ、 常に上位のエ ン ト リ のみが表示 さ れます。 た と えば、 すべての メ ール ク ラ イ ア ン ト ではな く 、 組織内で最も ア ク テ ィ ブ な メ ール ク ラ イ ア ン ト のレポー ト を作成 し ます。 名前に ” Top “ が含まれないレポー ト には、 常にす べての情報が表示 さ れます。 上部 フ ィ ール ド の値を 変更 し て も 、これ らのレポー ト に影響はあ り ません。 [Include Summary Information] 必要に応 じ て レ ポー ト の内容のロールア ッ プ を含め る場合に選択 し ます。 [Include Table of レ ポー ト に目次を含める場合に選択 し ます。 Contents] レポートの出力の設定 レ ポー ト の宛先 と 形式を選択 し ます。 テキス ト 形式な ど、 い く つかの異な る形式 から選択で き ます。 また、 フ ァ イルの出力 と 電子 メ ールの出力に別の形式を選択 する こ と も可能です。 電子 メ ールで レ ポー ト を送信する よ う FortiAnalyzer ユニ ッ ト を設定する場合は、 FortiAnalyzer ユニ ッ ト の メ ール サーバを設定する必要があ り ます。 詳細につい ては、 『FortiAnalyzer 管理ガ イ ド 』 を参照するか、 または FortiAnalyzer の管理者 に問い合わせて く だ さ い。 注記 : HTML レポー ト を電子 メ ールでユーザに送信する場合、 ユーザの電子 メ ール ク ラ イ ア ン ト で HTML がサポー ト さ れない と 、 メ ッ セージの本文に各レ ポー ト の HTML コ ー ド が 表示 さ れます。 460 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート レポート 図 290: レポート設定の出力 [File output] 生成 さ れ、 FortiAnalyzer のハー ド デ ィ ス ク に保存 さ れる レポー ト のフ ァ イル形式を選択 し ます。 [Email output] FortiAnalyzer ユニ ッ ト が電子 メ ールの添付 フ ァ イル と し て送信す る生成 さ れた レポー ト のフ ァ イル形式を選択 し ます。 [Email Subject] 電子 メ ールの件名を カ ス タ マ イズする場合に入力 し ます。 [Email attachment name] 電子 メ ールで送信 さ れる添付フ ァ イルの名前を入力 し ます。 [Email body] 電子 メ ール メ ッ セージの本文を入力 し ます。 [Email from] 送信者の電子 メ ール ア ド レ ス を入力 し ます。 [Email server] ド ロ ッ プ ダウン リ ス ト から 電子 メ ール サーバを選択 し ます。 [Email to] 受信者の電子 メ ール ア ド レ ス を入力 し ます。 [Email list] レポー ト 受信者の電子 メ ール ア ド レ ス を入力 し ます。 複数の受 信者を追加するには [Add] を選択 し ます。 リ ス ト から 受信者を削 除する場合は、 [Delete] を選択 し ます。 [Upload Report to FTP 完成 し た レポー ト のフ ァ イルを FTP サーバにア ッ プ ロー ド する 場合に選択 し ます。 Server] [Server Type] レポー ト を ア ッ プ ロー ド するサーバの種類を選択 し ます。 レポー ト は、 FTP サーバ、 SFTP サーバ、 または SCP サーバにア ッ プ ロー ド する よ う に選択で き ます。 [IP Address] FTP サーバの IP ア ド レ ス を入力 し ます。 [Username] FTP サーバにログオ ンするユーザ名を入力 し ます。 [Password] FTP サーバにログオ ンするためのパスワー ド を入力 し ます。 [Upload report(s) in gzipped format] FTP サーバにア ッ プ ロー ド する前に、 gzip フ ァ イル と し て レポー ト フ ァ イルを圧縮する場合に選択 し ます。 [Delete file(s) after uploading] FortiAnalyzer ユニ ッ ト が FTP サーバへのア ッ プ ロー ド を完了 し た 後、 FortiAnalyzer のハー ド デ ィ ス ク から レポー ト フ ァ イルを削 除する場合に選択 し ます。 レポート スケジュールの設定 FortiAnalyzer ユニ ッ ト で レ ポー ト を生成する スケジ ュ ールを設定 し ます。 た と え ば メ ールの ト ラ フ ィ ッ ク について週ご と に レ ポー ト を生成する な ど、 定期的な ス ケジ ュ ールを選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 461 レポート ログおよびレポート 図 291: レポート設定のスケジュール [Schedule] FortiAnalyzer レ ポー ト を生成する スケジ ュ ールを設定する場合に選択 し ます。 [Time] [Not Scheduled] レポー ト を毎日生成 し ない場合に選択 し ます。 こ の設定は、 必 要に応 じ て レポー ト を発行する と き に使用 し て く だ さ い。 [Daily] 毎日、 同 じ 時刻にレ ポー ト が生成 さ れる よ う に選択 し ます。 [These Days] 特定の曜日にレ ポー ト を生成する場合に選択 し ます。 [These Dates] 1 か月の う ち、 特定の日にレ ポー ト を生成する場合に選択 し ま す。 た と えば、 毎月、 1 日 と 15 日にレポー ト が生成 さ れる よ う にするには、 1,15 と 入力 し ます。 FortiAnalyzer で レ ポー ト を生成する時間を選択 し ます。 [Time] FortiAnalyzer で レ ポー ト を生成する時間を選択 し ます。 サマリ レイアウトの設定 指定 さ れた カ テ ゴ リ から カ ス タ マ イ ズ さ れたチ ャ ー ト のレ イ アウ ト を設定する に は、 [Customize List] を選択 し ます。 462 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート レポート 図 292: レポート サマリのレイアウト [Customize 列の数やレ イ アウ ト に加え る チ ャ ー ト を選択 し た り 、 チ ャ ー ト を編 集または削除 し た り し ます。 Chart] [Columns] ド ロ ッ プ ダウン リ ス ト から 数値を選択 し 、 チ ャ ー ト に含める列の数を指定 し ます。 列は 1 つから 4 つま で選択で き ます。 [Available サマ リ レ イ アウ ト に、 種類の異な る チ ャ ー ト を追加 Charts to Add] する場合に選択 し ます。 チ ャ ー ト は必要に応 じ て個 別に編集または削除で き ます。 選択で き る チ ャ ー ト は 25 種類あ り ます。 編集 個々のチ ャ ー ト を編集する場合に選択 し ま ア イ コ ン す。 チ ャ ー ト のス タ イルまたは TopN の値 を編集で き ます。 [OK] を選択 し て変更を保 存 し ます。 [Chart Name] チ ャ ー ト の名前。 [Chart Style] チ ャ ー ト のス タ イルを選択 し ます。 折れ線グ ラ フ 、 円グ ラ フ 、 および棒グ ラ フ の中から 選択で き ます。 初期設定は棒 グ ラ フ です。 [TopN] 特定ア イ テムの上位の数の値 を入力 し ます。 [X] レ イ アウ ト から チ ャ ー ト を削除 し ます。 アイ コ ン FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 463 FortiGate ユニットからの FortiAnalyzer レポートの表示 ログおよびレポート FortiAnalyzer レポートの編集 FortiAnalyzer の定期レ ポー ト を設定お よび生成 し た ら 、 [Report Config] メ ニ ュ ー から そのレ ポー ト を編集する こ と がで き ます。 [FortiAnalyzer] タ ブに よ り 、 レ ポー ト を編集 し た り 、 FortiAnalyzer の他の定期レ ポー ト に関する情報を表示 し た り する こ と が可能です。 定期レ ポー ト の表示およ び編集は、 [FortiAnalyzer] タ ブ から行えます。 ま た、 FortiGate ユニ ッ ト 用に FortiAnalyzer ユニ ッ ト が自動的に 生成する デ フ ォル ト の FortiAnalyzer レ ポー ト も編集で き ます。 CLI で multi-report コ マ ン ド を有効にする と 、 次の定期レ ポー ト が生成 さ れ る際に、 FortiAnalyzer のページには、 FortiAnalyzer ユニ ッ ト が現在生成 し てい る レ ポー ト があるかど う か、 また レ ポー ト エ ン ジ ンがア ク テ ィ ブかそ う でないか が表示 さ れます。 定期またはデフォルトの FortiAnalyzer レポートを編集するには 1 [Log&Report]、[Report Config]、[FortiAnalyzer] の順に選択 し ます。 2 デ フ ォ ル ト の FortiAnalyzer レ ポー ト を編集中で なければ、 レ ポー ト の隣にあ る編 集ア イ コ ン を選択 し ます。 3 定期レ ポー ト に必要な設定を編集 し ます。 4 [OK] を選択 し ます。 FortiAnalyzer レポートの印刷 FortiAnalyzer ユニ ッ ト で レ ポー ト が生成 さ れた ら、 ハー ド コ ピ ーによ る参考資料 と し て、 あ る いはプ レゼン テーシ ョ ンのために、 レ ポー ト を印刷 し てお く こ と が で き ます。 レ ポー ト は、 [Report Access] メ ニ ュ ーの Web ベース マネージ ャか ら 印刷する こ と が可能です。 FortiAnalyzer レポートを印刷するには 1 [Log&Report]、[Report Access]、[FortiAnalyzer] の順に選択 し ます。 2 [Historical Reports] を選択 し ます。 3 FortiAnalyzer レ ポー ト の リ ス ト で、 印刷する レ ポー ト を選択 し ます。 4 [Print] を選択 し ます。 注記 : 印刷する前に、 FortiAnalyzer のページに表示 さ れる レ ポー ト のレ ポー ト タ イ ト ル を確認 し て く だ さ い。 FortiGate ユニットからの FortiAnalyzer レポートの表示 FortiAnalyzer ユニ ッ ト は、 FortiGate ユニ ッ ト 向けに多数の詳細レ ポー ト を生成 し た り 、 それら のレ ポー ト を定期的またはオ ンデマ ン ド で発行 し た り する こ と がで き ます。 FortiOS 3.0MR2 以上で FortiGate ユニ ッ ト を使用 し てい る場合は、 [Report Access] ページ で、 その FortiGate ユニ ッ ト 向けに FortiAnalyzer ユニ ッ ト から生成 さ れたあ ら ゆる レ ポー ト を表示で き ます。 注記 : FortiAnalyzer のページに表示 さ れる FortiAnalyzer レ ポー ト は、 表示 し たいレ ポー ト と 異な る場合があ り ます。 表示する レポー ト を見つけるには、 常に [Historical Reports] を 選択 し て く だ さ い。 464 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 ログおよびレポート FortiGate ユニットからの FortiAnalyzer レポートの表示 FortiAnalyzer レポートを表示するには 1 [Log&Report]、[Report Access]、[FortiAnalyzer] の順に選択 し ます。 2 [Historical Reports] を選択 し ます。 3 レ ポー ト を表示する には、 レ ポー ト 名を選択 し ます。 部分的な FortiAnalyzer レポートの表示 Web ベース マネージ ャ では、 FortiAnalyzer レ ポー ト の さ ま ざ ま な部分を表示で き ます。 次の手順に よ り 、 レ ポー ト の 「Mail Activity」 セ ク シ ョ ン を表示で き ま す。 レポートの [Mail Filter Activity] を表示するには 1 [Log&Report]、[Report Access]、[FortiAnalyzer] の順に選択 し ます。 2 [Historical Reports] を選択 し ます。 3 青色の矢印を選択 し て、 レ ポー ト を展開 し ます。 4 MailFilter Activity.html を選択 し ます。 レ ポー ト の他のセ ク シ ョ ン を表示する には、上記の手順を実行 し ます。 た と えば、 MailFilter Activity.html を選択する代わ り に、 Content Activity.html を選択 し ます。 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 465 FortiGate ユニットからの FortiAnalyzer レポートの表示 466 ログおよびレポート FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 索引 数字 802.3ad アグ リ ゲー ト イ ン タ フ ェ ース 作成 76 A [ACCEPT] ア ク シ ョ ン フ ァ イ アウ ォ ール ポ リ シー 232 [Action] スパム フ ィ ル タ IP ア ド レ ス 413 スパム フ ィ ル タ 禁止単語 410 フ ァ イ アウ ォ ール ポ リ シー 225 プ ロ テ ク シ ョ ン プ ロ フ ァ イル P2P オプ シ ョ ン 298 [Active Sessions] HA 統計 130 [ActiveX Filter] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 [Address Name] フ ァ イ アウ ォ ール ア ド レ ス 249 フ ァ イ アウ ォ ール ポ リ シー オプ シ ョ ン 230 [Add signature to outgoing emails] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 [Administrative Access] イ ン タ フ ェ ース設定 74, 84, 87 ADSL 75 [Adware] グレーウ ェ ア カ テ ゴ リ 367 [Age Limit] 隔離 365 AH、 定義済みサービ ス 254 [Allow Inbound] IPSec ポ リ シー 238 フ ァ イ アウ ォ ール ポ リ シー 238 [Allow outbound] フ ァ イ アウ ォ ール ポ リ シー 238 [Allowed] Web カ テ ゴ リ レポー ト 403 [Allow websites when a rating error occurs] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 [Amount]、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 ANY サービ ス 254 AOL サービ ス 254 [Append with] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 [Append to] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 ARP 265 プ ロキシ ARP 265 AS OSPF 205 ATM 76 [Authentication] フ ァ イ アウ ォ ール ポ リ シー 233 [Authentication Algorithm]、 手動キー FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 IPSec イ ン タ フ ェ ース モー ド [Authentication Key]、 手動キー IPSec イ ン タ フ ェ ース モー ド [Authentication Method] IPSec イ ン タ フ ェ ース モー ド [Autokey Keep Alive] IPSec イ ン タ フ ェ ース モー ド av_failopen ア ン チウ イルス 368 315, 317 317 307 313 B [Back to HA monitor] HA 統計 130 [Banned word check] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 [Beacon Interval] 無線の設定 113, 114 BGP AS 213 MED 214 RFC 1771 213 グレース フ ル リ ス タ ー ト 214 サービ ス 254 ネ ッ ト ワー ク の安定化 214 フ ラ ッ プ 214 [BHO] グレーウ ェ ア カ テ ゴ リ 367 [Block Audio] (IM) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 [Blocked] Web カ テ ゴ リ レポー ト 403 [Block File Transfers] (IM) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 [Block Login] (IM) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 BOOTP 121 C [Category] Web カ テ ゴ リ レポー ト 403 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 [Certificate Name] IPSec イ ン タ フ ェ ース モー ド 307 [Channel]、 無線の設定 FortiWiFi-60 112 FortiWiFi-60A 114 [Clear Session] 定義済みシグネチ ャ のア ク シ ョ ン 375 CLI 設定 Web カ テ ゴ リ ブ ロ ッ ク 402 ア ン チウ イルス 368 [Cluster member] ク ラ ス タ メ ンバ リ ス ト 129 [Code] 258 [Comfort Clients] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 config antivirus heuristic 467 索引 CLI コ マ ン ド 368 config limit、 IPS のための CLI コ マ ン ド 382 [Connect to Server] 76 [Cookie Filter] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 [CPU Usage] HA 統計 130 [Create New] IPSec イ ン タ フ ェ ース モー ド 315 IPSec ト ン ネル モー ド 318 フ ァ イ アウ ォ ール ポ リ シー 225 D [Date] 隔離フ ァ イル リ ス ト 362 [DC] 隔離フ ァ イル リ ス ト 362 [Dead Peer Detection] IPSec イ ン タ フ ェ ース モー ド 311 [DENY] ア ク シ ョ ン フ ァ イ アウ ォ ール ポ リ シー 232 [Destination] フ ァ イ アウ ォ ール ポ リ シー 225, 230 [Destination Port] 258 [Destination Port]、 カ ス タ ム サービ ス 258 [Device Priority] HA 126 副系ユニ ッ ト 131 DHCP および IP プール 232 サービ ス 254 [DHCP-IPSec] IPSec イ ン タ フ ェ ース モー ド 313 [DH Group] IPSec イ ン タ フ ェ ース モー ド 312 フ ェ ーズ 1 IPSec イ ン タ フ ェ ース モー ド 310 [Dial] グレーウ ェ ア カ テ ゴ リ 367 [Display content meta-information on dashboard] プ ロ テ ク シ ョ ン プ ロ フ ァ イル オプ シ ョ ン 297 DNAT 仮想 IP 267 DNS サービ ス 254 [Download] 隔離フ ァ イル リ ス ト 362 グレーウ ェ ア カ テ ゴ リ 367 [Drop] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Drop Session] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Dynamic IP Pool] NAT オプ シ ョ ン フ ァ イ アウ ォ ール ポ リ シー 232 [Dynamic DNS] IPSec イ ン タ フ ェ ース モー ド 306 E ECMP 190 [Enable FortiGuard-Web Filtering] (HTTP のみ ) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 468 [Enable FortiGuard-Web Filtering Overrides] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 [Enable perfect forward secrecy (PFS)] IPSec イ ン タ フ ェ ース モー ド 312 [Enable replay detection] IPSec イ ン タ フ ェ ース モー ド 312 [Enable Session pickup] HA 127 [Encryption Key]、 手動キー IPSec イ ン タ フ ェ ース モー ド 317 [Encryption Algorithm] IPSec イ ン タ フ ェ ース モー ド 315 [Encryption Algorithm]、 手動キー IPSec イ ン タ フ ェ ース モー ド 316 [End IP] IP プール 285 [EOA] 75, 76 ESP サービ ス 254 Ethernet over ATM 76 Exclude Ranges DHCP サーバの追加 121 [External Interface] 仮想 IP 269 [External IP Address] 仮想 IP 269 [External Service Port] 仮想 IP 270 F fail open 382 FDN FortiGuard Distribution Network 169 HTTPS 175 Update Center 170 オーバー ラ イ ド サーバ 173 ト ラ フ ィ ッ ク の中断 176 ト ラ ブルシ ュ ーテ ィ ング 175 プ ッ シ ュ更新 173, 177 プ ロキシ サーバ 177 ポー ト 443 175 ポー ト 53 174 ポー ト 8888 174 ポー ト フ ォ ワーデ ィ ング接続 178 FDN、 攻撃の更新 149 FDS FortiGuard Distribution Server 169 [File Name] 隔離フ ァ イル リ ス ト 362 [File Pattern] 隔離の自動送信 リ ス ト 363 [Filter] 隔離フ ァ イル リ ス ト 362 FINGER サービ ス 254 [Fixed Port] IP プール 284 フ ァ イ アウ ォ ール ポ リ シーのNAT オプ シ ョ ン 232 FortiAnalyzer 25, 434 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 [Report Scope] 456 ログの表示 445 FortiBridge 25 FortiClient 25 FortiGate SNMP イ ベン ト 135 FortiGate 100A Rev2.0 71 FortiGate 200A Rev2.0 71 FortiGate-5000 シ ャ ーシ モ ニ タ リ ング 181 FortiGate-5020 シ ャ ーシ 18 FortiGate-5050 シ ャ ーシ 18 FortiGate-5140 シ ャ ーシ 18 FortiGate4000 71 FortiGate-5001FA2 概要 19 FortiGate-5001SX 概要 19 FortiGate-5002FB2 概要 19 FortiGate MIB 136 FortiGate ド キ ュ メ ン ト コ メ ン ト 31 FortiGate ト ラ ッ プ 137 FortiGate ユニ ッ ト 登録 34, 169 FortiGuard 25 CLI 設定 402 [Report Range] 403 [Report Type] 403 許可 さ れた レ ポー ト 403 サービ ス ポ イ ン ト 169 設定 170 設定オプ シ ョ ン 397 ブ ロ ッ ク さ れた レ ポー ト 403 ホス ト 名の変更 402 ラ イ セ ン ス 170 レ ポー ト 402 レ ポー ト カ テ ゴ リ 403 レ ポー ト プ ロ フ ァ イル 403 FortiGuard Antispam [E-mail checksum check] 295 [IP address check] 295 [Spam submission] 295 [URL check] 295 サービ ス ポ イ ン ト 170 FortiGuard Distribution Network (FDN) 175 FortiGuard Distribution Network 169 FortiGuard Distribution Server 169 FortiGuard ログお よび分析サーバ 433 ロギング先 438 ログの削除 449 ログへのア ク セス と 表示 446 FortiGuard ログお よび分析サーバ上のログの削除 449 FortiGuard ログお よび分析サーバ上のログの表示 446 FortiGuard ロ グおよび分析サーバ上のログへのア ク セ ス 446 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 FortiGuard ログおよび分析サーバへのロギング 438 FortiMail 25 FortiManager 25 Fortinet Knowledge Center 31 FortiReporter 25 [Fragmentation Threshold] 無線の設定 113 FTP サービ ス 254 FTP_GET サービ ス 254 FTP_PUT サービ ス 254 G [Game] グレーウ ェ ア カ テ ゴ リ 367 [Geography] 無線の設定 112, 113 GOPHER サービ ス 254 GRE 204 サービ ス 254 [Group Name] HA 127 [Guaranteed Bandwidth] フ ァ イ アウ ォ ール ポ リ シー 237 Guaranteed Bandwidth] ト ラ フ ィ ッ ク シ ェ ーピ ング 237 H H323 サービ ス 254 HA 124, 129 [Cluster member] 129 [Device Priority] 126 [Enable Session pickup] 127 [Group Name] 127 HA 統計の表示 130 [Heartbeat Interface] 127 [Mode] 126 [Password] 127 [Port Monitor] 127 [VDOM partitioning] 127 アウ ト オブバン ド 管理 71 ク ラ ス タ メ ンバ リ ス ト 128 ク ラ ス タ ユニ ッ ト の接続 131 ク ラ ス タ ユニ ッ ト の切断 131 ク ラ ス タ ユニ ッ ト ホス ト 名の変更 129 セ ッ シ ョ ン ピ ッ ク ア ッ プ 127 設定 124 副系ユニ ッ ト デバイ ス プ ラ イ オ リ テ ィ 131 副系ユニ ッ ト ホス ト 名 131 ホス ト 名 129 ルー タ モニ タ 220 ルー ト 220 HA 統計 [Active Sessions] 130 [Back to HA monitor] 130 [CPU Usage] 130 469 索引 [Intrusion Detected] 130 [Memory Usage] 130 [Monitor] 130 [Network Utilization] 130 [Refresh every] 130 [Status] 130 [Total Bytes] 130 [Total Packets] 130 [Unit] 130 [Up Time] 130 [Virus Detected] 130 [HELO DNS lookup] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 295 [Hijacker] グレーウ ェ ア カ テ ゴ リ 367 [Hostname] ク ラ ス タ メ ンバ リ ス ト 129 HTTP 大き な フ ァ イルのウ イルス スキ ャ ン 369 サービ ス 255 HTTPS 33, 149 サービ ス 255 I ICMP_ANY サービ ス 255 ICMP カ ス タ ム サービ ス 258 [Code] 258 [Protocol Type] 258 [Type] 258 ID フ ァ イ アウ ォ ール ポ リ シー 225 IEEE 802.11a、 チ ャ ネル 110 IEEE 802.11g、 チ ャ ネル 111 IKE サービ ス 255 IMAP サービ ス 255 IM サマ リ 情報のアー カ イ ブ プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 [Inbound NAT] フ ァ イ アウ ォ ール ポ リ シー 238 INFO_ADDRESS サービ ス 255 INFO_REQUEST サービ ス 255 [Insert Policy Before] フ ァ イ アウ ォ ール ポ リ シー 225 [Inspect Non-standard Port] (IM) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 [Interface] IP プール 285 [Interface Mode] 72 [Interface/Zone] フ ァ イ アウ ォ ール ポ リ シー 230 Internet-Locator-Service サービ ス 255 [Interval]、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 470 [Intrusion Detected] HA 統計 130 [IP] 仮想 IP 269 [IP Range/Subnet] IP プール 285 [IP Address] BWL チ ェ ッ ク、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 295 ア ク シ ョ ン、 ア ン チ スパム 413 自動キー フ ェ ーズ 1 イ ン タ フ ェ ース モー ド 306 リ ス ト 、 スパム フ ィ ル タ 413 [IPOA] 75 [IP Range/Subnet] フ ァ イ アウ ォ ール ア ド レ ス 249 IPS ア ノ マ リ 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 ア ノ マ リ リ ス ト 379, 380 オプ シ ョ ン、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 カ ス タ ム シグネチ ャ 377 シグネチ ャ 373 シグネチ ャ 、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 定義済みシグネチ ャ のア ク シ ョ ン 375 定義済みシグネチ ャ リ ス ト 373 ト ラ フ ィ ッ ク ア ノ マ リ リ ス ト 380 IPSec 204 IPSec VPN 自動キー 305 モニ タ 319 ユーザ グループの認証 347 リ モー ト ゲー ト ウ ェ イ 347 [IPSEC] ア ク シ ョ ン フ ァ イ アウ ォ ール ポ リ シー 232 IPSec ポ リ シー [Allow Inbound] 238 [Inbound NAT] 238 [Outbound NAT] 238 IPv6 108, 190 IP ア ド レ ス ア ン チ スパム ブ ラ ッ ク / ホワ イ ト リ ス ト カ タ ロ グ 412 スパム フ ィ ル タ 411 IP カ ス タ ム サービ ス 259 [Protocol Number] 259 [Protocol Type] 259 IP プール 232 options 285 [Create New] 285 DHCP 232 [End IP] 285 [Fixed Port] 284 [Interface] 285 [IP Range/Subnet] 285 [Name] 285 PPPoE 232 [Start IP] 285 設定 285 追加 285 プ ロキシ ARP 265 リ ス ト 284 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 IRC サービ ス 255 ISP 75 J [Java Applet Filter] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 [Joke] グレーウ ェ ア カ テ ゴ リ 367 K [Keepalive Frequency] IPSec イ ン タ フ ェ ース モー ド 311 [Key] 無線の設定 112 [Keylife] IPSec イ ン タ フ ェ ース モー ド 310, 313 [Keylog] グレーウ ェ ア カ テ ゴ リ 367 L L2TP 347 サービ ス 255 [Language] Web コ ン テ ン ツ ブ ロ ッ ク 391 スパム フ ィ ル タ 禁止単語 410, 411 LDAP サービ ス 255 [Limit] (P2P) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 298 [Local Gateway IP] IPSec イ ン タ フ ェ ース モー ド 309 [Local ID] IPSec イ ン タ フ ェ ース モー ド 310 [Local Interface] IPSec フ ェ ーズ 1 イ ン タ フ ェ ース モー ド 306 [Local SPI]、 手動キー IPSec イ ン タ フ ェ ース モー ド 316 log ト ラ フ ィ ッ ク 、 フ ァ イ アウ ォ ール ポ リ シー 233 メ ッ セージ 446 [Logging] 定義済みシグネチ ャ 374 [Low Disk Space] 隔離 365 M MAC ア ド レ ス 無線の設定 112, 113 MAC フ ィ ル タ 無線 114 [Map to IP] 仮想 IP 269 [Map to Port] 仮想 IP 269, 270 [Max Filesize to Quarantine] 隔離 365 [Maximum Bandwidth] 238 ト ラ フ ィ ッ ク シ ェ ーピ ング 238 フ ァ イ アウ ォ ール ポ リ シー 238 MD5 OSPF 認証 211, 213 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 MED (Multi-Exit Discriminator) 214 [Members] IPSec ト ン ネル モー ド 318 [Memory Usage] HA 統計 130 mheader 417 MIB 136, 139 FortiGate 136 RFC 1213 136 RFC 2665 136 Misc グレーウ ェ ア カ テ ゴ リ 367 [Mode] HA 126 IPSec イ ン タ フ ェ ース モー ド 307 [Monitor] HA 統計 130 [MTU] 75 MTU サイ ズ 85 N [Name] IPSec フ ェ ーズ 1 イ ン タ フ ェ ース モー ド 306 IPSec フ ェ ーズ 2 イ ン タ フ ェ ース モー ド 311 IP プール 285 手動キー イ ン タ フ ェ ース モー ド 316 NAT IPSec ポ リ シー 238 受信 238 送信 238 プ ッ シ ュ更新 178 [Nat-traversal] IPSec イ ン タ フ ェ ース モー ド 310 NAT デバイ ス 仮想 IP 177 ポー ト フ ォ ワーデ ィ ング 177 NetMeeting サービ ス 255 [Network Utilization] HA 統計 130 NFS サービ ス 255 [NMT] グレーウ ェ ア カ テ ゴ リ 367 NNTP サービ ス 255 NSSA (Not-So-Stubby Area) 210 NTP サービ ス 255 O [Operation Mode] 無線の設定 112, 113 optimize ア ン チウ イルス 368 OSPF AS 208 [Dead Interval] 213 GRE 212 [Hello Interval] 213 471 索引 IPSec 212 LSA 213 NSSA 210 VLAN 212 イ ン タ フ ェ ース定義 212 エ リ ア ID 211 仮想 LAN 212 仮想 リ ン ク 210 サービ ス 255 詳細設定オプ シ ョ ン 208 ス タ ブ 210 設定 206 通常エ リ ア 210 停止パケ ッ ト 213 認証 211, 213 ネ ッ ト ワー ク 208 ネ ッ ト ワー ク ア ド レ ス空間 213 複数のイ ン タ フ ェ ース パラ メ ー タ セ ッ ト 212 リ ン ク 状態 205 隣接機器 205 ルー ト を再配布する ための メ ト リ ッ ク 208 OSPF AS 205 定義 205 [Outbound NAT] IPSec ポ リ シー 238 フ ァ イ アウ ォ ール ポ リ シー 238 [Oversized File/Email] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 P [P1 Proposal] フ ェ ーズ 1 IPSec イ ン タ フ ェ ース モー ド 309 [P2P] グレーウ ェ ア カ テ ゴ リ 368 P2P ログ 443 [P2 Proposal] フ ェ ーズ 2 IPSec イ ン タ フ ェ ース モー ド 312 [Pass] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Pass fragmented emails] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 [Pass Session] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Password] HA 127 PAT 仮想 IP 268 [Pattern] スパム フ ィ ル タ 禁止単語 410, 411 [Pattern Type] Web コ ン テ ン ツ ブ ロ ッ ク 388, 391 スパム フ ィ ル タ 禁止単語 410, 411 スパム フ ィ ル タ 電子 メ ール ア ド レ ス 416 PC-Anywhere サービ ス 255 PDF 文書 460 [Peer Options] IPSec イ ン タ フ ェ ース モー ド 307 472 Perl 正規表現 スパム フ ィ ル タ 418 [Phase 1] IPSec フ ェ ーズ 2 イ ン タ フ ェ ース モー ド 311 PIM BSR 215 DR 215 RFC 2362 215 RFC 3973 215 RP 215 スパース モー ド 215 デン ス モー ド 215 PIM (Protocol Independent Multicast) 215 PING サービ ス 255 PKI 343 [Plugin] グレーウ ェ ア カ テ ゴ リ 368 POP3 サービ ス 255 [Port Monitor] HA 127 PPPoE RFC 2516 81 および IP プール 232 PPTP 347 サービ ス 256 [Pre-shared Key] IPSec イ ン タ フ ェ ース モー ド 307 無線の設定 112 [Priority] ク ラ ス タ メ ンバ 129 [Profile] カ テ ゴ リ ブ ロ ッ ク レポー ト 403 [Protection Profile] フ ァ イ アウ ォ ール ポ リ シー 233 [Protocol] 仮想 IP 270 [Protocol Type] 259 [Provide details for blocked HTTP errors] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 [Proxy ID Destination] IPSec イ ン タ フ ェ ース モー ド 320 [Proxy ID Source] IPSec イ ン タ フ ェ ース モー ド 319, 320 Q QUAKE サービ ス 256 [Quarantine] 自動送信 リ ス ト 362 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 [Quick Mode Selector] IPSec イ ン タ フ ェ ース モー ド 313 R [Radius Server Name] 無線の設定 113 [RAT] グレーウ ェ ア カ テ ゴ リ 368 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 [Rate images by URL] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 [Rate URLs by domain and IP address] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 RAUDIO サービ ス 256 [Refresh every] HA 統計 130 [Remote Gateway] IPSec 手動キー設定 316 IPSec フ ェ ーズ 1 設定 306 VPN IPSec モ ニ タ フ ィ ール ド 319, 320 [Remote SPI]、 手動キー IPSec イ ン タ フ ェ ース モー ド 316 [Reset] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Reset Client] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Reset Server] 定義済みシグネチ ャ のア ク シ ョ ン 375 [Resolve Host Names] レ ポー ト 460 [Resolve Service Names] レ ポー ト 460 [Return e-mail DNS check] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 295 RFC 215 RFC 1058 199 RFC 1213 136 RFC 1215 137 RFC 1771 213 RFC 2362 215 RFC 2453 199 RFC 2132 121 RFC 2516 81 RFC 2665 136 RFC 1213 133 RFC 2665 133 RFC 3973 215 RIP RFC 1058 199 RFC 2453 199 サービ ス 256 認証 204 バージ ョ ン 1 199 バージ ョ ン 2 199 ホ ッ プ カ ウン ト 200 RLOGIN サービ ス 256 [Role] ク ラ ス タ メ ンバ 129 RTF 文書 460 [RTS Threshold] 無線の設定 113 S SAMBA サービ ス 256 [Schedule] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 フ ァ イ アウ ォ ール ポ リ シー 225, 231 [Security mode] 無線の設定 112 [Select] 反復スケジ ュ ール 263 [Service] 隔離フ ァ イル リ ス ト 362 フ ァ イ アウ ォ ール ポ リ シー 225, 231 [Service Port] 仮想 IP 269 SIP サービ ス 256 SIP-MSNmessenger サービ ス 256 SMC シ ャ ーシ モニ タ リ ング 181 SMTP サービ ス 256 SNMP RFC 1213 136 MIB 136 RFC 1215 137 RFC 2665 136 サービ ス 256 ト ラ ッ プ 137 連絡先情報 133 [SNMP Agent] 133 SNMP、 MIB 136, 139 SNMP、 イ ベン ト 135 SNMP、 ク エ リ 135 SNMP コ ミ ュ ニ テ ィ 134 SNMP コ ミ ュ ニ テ ィ 、 設定 134 SNMP、 ト ラ ッ プ 135, 137 SNMP マネージ ャ 133, 134 [Sort by] 隔離フ ァ イル リ ス ト 361 [Source] フ ァ イ アウ ォ ール ポ リ シー 225, 230 [Source Port] 258 [Spam Action] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 296 SPF (Shortest Path First) 205 [Spy] グレーウ ェ ア カ テ ゴ リ 368 SSH 149 サービ ス 256 [SSID] 無線の設定 112 [SSID Broadcast] 無線の設定 112 SSL サービ ス定義 255 SSL VPN ログ イ ン メ ッ セージ 147 SSL VPN [Tunnel IP Range] 324 暗号ス イ ー ト の設定 324 ク ラ イ ア ン ト 証明書の確認 324 サーバ証明書の指定 324 セ ッ シ ョ ンの監視 325 473 索引 セ ッ シ ョ ンの終了 325 設定 323 タ イ ムアウ ト 値の指定 325 [Start] 反復スケジ ュ ール 263 ワン タ イ ム スケジ ュ ール 262 [Start IP] IP プール 285 [Status] HA 統計 130 イ ン タ フ ェ ース 71 隔離フ ァ イル リ ス ト 362 status log webtrends setting 438 [Status Description] 隔離フ ァ イル リ ス ト 362 [Stop] 反復スケジ ュ ール 263 ワン タ イ ム スケジ ュ ール 262 Strict デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 [Strict Blocking] (HTTP のみ ) プ ロ テ ク シ ョ ン プ ロ フ ァ イル 293 SYSLOG サービ ス 256 system global av_failopen ア ン チウ イルス 368 system global optimize ア ン チウ イルス 368 T TALK サービ ス 256 TCP サービ ス 256 TCP カ ス タ ム サービ ス 258 [Destination Port] 258 [Protocol Type] 258 [Source Port] 258 追加 257 TELNET サービ ス 256 TFTP サービ ス 256 [Threshold] [Banned word check]、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル 296 [Oversized File/Email]、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 [Web content block]、 プ ロ テ ク シ ョ ン プ ロ フ ァ イ ル 291 [Timeout] IPSec イ ン タ フ ェ ース モー ド 319, 320 TIMESTAMP サービ ス 256 [Toolbar] グレーウ ェ ア カ テ ゴ リ 368 [Total Bytes] HA 統計 130 474 [Total Packets] HA 統計 130 [Traffic Priority] 238 ト ラ フ ィ ッ ク シ ェ ーピ ング 238 フ ァ イ アウ ォ ール ポ リ シー 238 [Traffic Shaping] フ ァ イ アウ ォ ール ポ リ シー 233 [TTL] 隔離フ ァ イル リ ス ト 362 [Tunnel Name] IPSec イ ン タ フ ェ ース モー ド 315 [Tx Power] 無線の設定 113, 114 TXT 文書 460 [Type] 258 仮想 IP 269 U UDP カ ス タ ム サービ ス 258 [Destination Port] 258 [Protocol Type] 258 [Source Port] 258 追加 257 UDP サービ ス 256 Unfiltered デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 [Unit] HA 統計 130 Update Center 170 [Upload Status] 隔離フ ァ イル リ ス ト 362 [Up Time] HA 統計 130 URL フ ィ ル タ カ タ ログ 392 URL ブ ロ ッ ク Web フ ィ ル タ 392 Web フ ィ ル タ ブ ロ ッ ク リ ス ト へのURLの追加 394 [Username] IPSec イ ン タ フ ェ ース モー ド 319 UUCP サービ ス 256 V VDOLIVE サービ ス 256 VDOM NAT/ ルー ト 61 管理 VDOM 65 設定 62 ト ラ ン スペア レ ン ト 61 複数の VDOM 64 ラ イ セ ン ス キー 180 [VDOM partitioning] HA 127 VDOM 間 66 [Virtual Circuit Identification] (VCI) 76 [Virus Scan] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 [Virus Detected] FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 HA 統計 130 VLAN OSPF 212 概要 98 ジ ャ ンボ フ レーム 86 VoIP ログ 443 VPN 321, 327 IPSec イ ン タ フ ェ ース モー ド 303 VPN IPSEC イ ン タ フ ェ ース 303 W WAIS サービ ス 256 Web デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 Web URL ブ ロ ッ ク Web URL ブ ロ ッ ク リ ス ト の設定 394 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 リ ス ト 393 リ ス ト 、 Web フ ィ ル タ 393 [Web Content Exempt] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 [Web resume download block] プ ロ テ ク シ ョ ン プ ロ フ ァ イル 292 Web カ テ ゴ リ ブ ロ ッ ク CLI 設定 402 [Report Range] 403 [Report Type] 403 許可 さ れた レ ポー ト 403 設定オプ シ ョ ン 397 ブ ロ ッ ク さ れた レ ポー ト 403 ホス ト 名の変更 402 レ ポー ト 402 レ ポー ト カ テ ゴ リ 403 レ ポー ト プ ロ フ ァ イル 403 Web コ ン テ ン ツ ブ ロ ッ ク [Language] 391 [Pattern Type] 388, 391 Web フ ィ ル タ 389 禁止単語 388, 391 言語 388 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト Web フ ィ ル タ 388 Web サイ ト 、 コ ン テ ン ツ カ テ ゴ リ 145 Web フ ィ ル タ 383 URL カ テ ゴ リ 174 URL ブ ロ ッ ク 392 Web URL ブ ロ ッ ク リ ス ト 393 Web URL ブ ロ ッ ク リ ス ト の設定 394 Web URL ブ ロ ッ ク リ ス ト への URL の追加 394 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト 388 Web コ ン テ ン ツ ブ ロ ッ ク リ ス ト の設定 389 コ ン テ ン ツ ブ ロ ッ ク 386 Web フ ィ ル タ リ ング オプ シ ョ ン プ ロ テ ク シ ョ ン プ ロ フ ァ イル 291 Web フ ィ ル タ リ ング サービ ス 145 Web フ ィ ル タ ログ 442 Web ベース マネージ ャ FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 言語 163 WEP 112 [Where] スパム フ ィ ル タ 禁止単語 410, 411 WINFRAME サービ ス 257 WLAN イ ン タ フ ェ ース 109 イ ン タ フ ェ ース、 WiFi-60A での作成 79 イ ン タ フ ェ ース、 WiFi-60 での作成 112 WPA 112 X [XAuth] IPSec イ ン タ フ ェ ース モー ド 310 X-WINDOWS サービ ス 257 あ アウ ト オブバン ド 71 ア ク シ ョ ンの種類 スパム フ ィ ル タ 電子 メ ール ア ド レ ス 416 アグ リ ゲー ト イ ン タ フ ェ ース 作成 76 ア ッ プグレー ド フ ァ ームウ ェ ア 51 ア ッ プ ロー ド 後に削除する レ ポー ト 461 宛先 IP シ ステム状態 55 宛先セ ッ シ ョ ン制限 ア ノ マ リ タ イ プ 380 宛先ネ ッ ト ワー ク ア ド レ ス変換 仮想 IP 267 ア ド レス フ ァ イ アウ ォ ール ア ド レ ス グループ 250 リ ス ト 248 ア ド レ ス グループ 250 [Create New] 250 追加 250 リ ス ト 250 アノマリ 宛先セ ッ シ ョ ン制限 380 スキ ャ ン 380 ト ラ フ ィ ッ ク 379 発信元セ ッ シ ョ ン制限 380 フ ラ ッ デ ィ ング 380 リ ス ト 379, 380 ア ラ ー ト メ ール オプ シ ョ ン 451 有効化 451 ア ン チウ イルス 355 [Adware] グレーウ ェ ア 367 av_failopen 368 [BHO] グレーウ ェ ア 367 CLI 設定 368 configure antivirus heuristic 368 [Dial] グレーウ ェ ア 367 [Download] グレーウ ェ ア 367 [Game] グ レーウ ェ ア 367 475 索引 [Hijacker] グレーウ ェ ア 367 [Joke] グレーウ ェ ア 367 [Keylog] グレーウ ェ ア 367 Misc グ レーウ ェ ア 367 [NMT] グレーウ ェ ア 367 optimize 368 [P2P] グレーウ ェ ア 368 [Plugin] グ レーウ ェ ア 368 [RAT] グレーウ ェ ア 368 [Spy] グレーウ ェ ア 368 system global av_failopen 368 system global optimize 368 [Toolbar] グ レーウ ェ ア 368 ウ イルス リ ス ト 365 ウ イルス リ ス ト の表示 365 大き な フ ァ イルのスキ ャ ン 369 隔離 361 隔離フ ァ イル リ ス ト 361 グレーウ ェ ア 175, 366 ヒ ュ ー リ ス テ ィ ッ ク 368 フ ァ イル ブ ロ ッ ク 358 フ ァ イル ブ ロ ッ ク リ ス ト 359 ログ 441 ア ン チウ イルス オプ シ ョ ン プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 ア ン チウ イルスおよび攻撃の定期更新 177 ア ン チウ イルスの更新 176 プ ロキシ サーバ経由 177 ア ン チスパム ポー ト 53 174 ポー ト 8888 174 い 移動 フ ァ イ アウ ォ ール ポ リ シー 225 印刷 オ ン ラ イ ンヘルプ ア イ コ ン 35 イ ン ス タ ン ト メ ッ セージ ログ 443 イ ン タ ーネ ッ ト ブ ラ ウジ ング IPSec VPN 設定 314 イ ン タ フ ェ ース [Administrative Access] 74, 84, 87 [MTU] 75 WLAN 109 管理状態 71 プ ロキシ ARP 265 う ウ イルス感染フ ァ イル 144 ウ イルス保護、 「ア ン チウ イルス」 も参照 355 ウ イルス名 146 ウ イルス リ ス ト 365 表示、 更新 365 え エ リ ア境界ルー タ 210 お 温度 FortiGate-5000 モ ジ ュ ール 183 シ ャ ーシ モ ニ タ リ ング 183 476 オ ン ラ イ ンヘルプ キーボー ド シ ョ ー ト カ ッ ト 36 検索 36 か 概要 454 フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト 29 隔離 [Age Limit] 365 [Enable AutoSubmit] 365 [Low Disk Space] 365 [Max Filesize to Quarantine] 365 ア ン チウ イルス 361 オプ シ ョ ン 365 自動送信 フ ァ イ ル パ タ ー ンのア ッ プ ロ ー ド の有 効化 363 自動送信 リ ス ト の設定 363 自動送信 リ ス ト のフ ァ イル パ タ ーン 363 設定 363 ヒ ュ ー リ ステ ィ ッ ク 369 隔離フ ァ イル リ ス ト [TTL] 362 [Apply] 361 [Date] 362 [DC] 362 [Download] 362 [File Name] 362 [Filter] 362 [Service] 362 [Sort by] 361 [Status] 362 [Status Description] 362 [Upload Status] 362 ア ン チウ イルス 361 重複 362 カ ス タ マ サービ ス 31 カ ス タ ム サービ ス TCP または UDP カ ス タ ム サービ スの追加 257 追加 257 リ ス ト 257 カ ス タ ム シグネチ ャ IPS 377 仮想 IP 265 [Create New] 269, 282 DNAT 267 [External Interface] 269 [External IP Address] 269 [External Service Port] 270 [IP] 269 [Map to IP] 269 [Map to Port] 269, 270 PAT 268 [Protocol] 270 [Service Port] 269 [Type] 269 宛先ネ ッ ト ワー ク ア ド レ ス変換 267 設定 269 ポー ト ア ド レ ス変換 268 リ ス ト 269 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 カ タ ログ IP ア ド レ ス ブ ラ ッ ク / ホワ イ ト リ ス ト 412 URL フ ィ ル タ 392 禁止単語 409 コ ン テ ン ツ除外 389 コ ン テ ン ツ ブ ロ ッ ク 387 電子 メ ール ア ド レ ス ブ ラ ッ ク / ホワ イ ト リ ス ト 414 フ ァ イル パ タ ーン 358 カ テゴ リ ブロ ッ ク 設定オプ シ ョ ン 397 レ ポー ト 402 管理 VDOM 65 管理ア ク セス ログ イ ンの監視 163 デ ィ ス タ ン ス 188 管理者ア カ ウン ト 信頼で き る ホス ト 156 ネ ッ ト マス ク 155, 156 管理者、 監視 163 き キーボー ド シ ョ ー ト カ ッ ト オ ン ラ イ ンヘルプ 36 期限 シス テム状態 55 期限切れ 172 禁止単語 Web コ ン テ ン ツ ブ ロ ッ ク 388, 391 カ タ ログ 409 スパム フ ィ ル タ 禁止単語 リ ス ト への単語の追加 411 禁止単語 ( スパム フ ィ ル タ ) [Action] 410 [Language] 410, 411 [Pattern] 410, 411 [Pattern Type] 410, 411 [Where] 410, 411 リ ス ト 410 く ク ラ ス タ メ ンバ 128 [Priority] 129 [Role] 129 ク ラ ス タ ユニ ッ ト ク ラ ス タ から の切断 131 ク ラ ス タ の接続 131 グループ ユーザ 346 グレーウ ェ ア 175 [Adware] 367 [BHO] 367 [Dial] 367 [Download] 367 [Game] 367 [Hijacker] 367 [Joke] 367 [Keylog] 367 Misc 367 [NMT] 367 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [P2P] 368 [Plugin] 368 [RAT] 368 [Spy] 368 [Toolbar] 368 ア ン チウ イルス 366 グレース フ ル リ ス タ ー ト 214 け 警告 メ ール メ ッ セージ 144 警告 メ ッ セージ コ ン ソ ール メ ッ セージのク リ ア 48 言語 Web コ ン テ ン ツ ブ ロ ッ ク 388 Web ベース マネージ ャ 163 検索 オ ン ラ イ ンヘルプ 36 オ ン ラ イ ンヘルプ ア イ コ ン 36 オ ン ラ イ ンヘルプのワ イル ド カー ド 36 検索ログ 448 こ 高可用性、 HA を参照 124 攻撃の更新 スケジ ュ ー リ ング 176 プ ロキシ サーバ経由 177 工場出荷時デ フ ォル ト 設定への リ セ ッ ト 49 更新 プ ッ シ ュ 177 コメント ド キ ュ メ ン ト 、 送信 31 フ ァ イ アウ ォ ール ポ リ シー 234 コ ン セ ン ト レー タ 、 IPSec ト ン ネル モー ド 317 [Name] 318 オプ シ ョ ン 318 リ ス ト 317 コ ン セ ン ト レー タ 、 ルー ト ベース VPN 304 コ ン テ ン ツ アー カ イ ブ オプ シ ョ ン プ ロ テ ク シ ョ ン プ ロ フ ァ イル 297 コ ン テ ン ツ除外 カ タ ログ 389 コ ン テ ン ツ ス ト リ ーム、 差 し 替え メ ッ セージ 143 コ ンテンツ ブロ ッ ク Web フ ィ ル タ 386 カ タ ログ 387 コ ン テ ン ツ メ タ 情報のアー カ イ ブ プ ロ テ ク シ ョ ン プ ロ フ ァ イル 297 さ サーバ log webtrends setting 438 サービ ス TCP 256 AH 254 ANY 254 AOL 254 BGP 254 DHCP 254 DNS 254 ESP 254 FINGER 254 477 索引 FTP 254 FTP_GET 254 FTP_PUT 254 GOPHER 254 GRE 254 H323 254 HTTPS 255 ICMP_ANY 255 IKE 255 IMAP 255 INFO_ADDRESS 255 INFO_REQUEST 255 Internet-Locator-Service 255 IRC 255 L2TP 255 LDAP 255 NetMeeting 255 NFS 255 NNTP 255 NTP 255 OSPF 255 PC-Anywhere 255 PING 255 POP3 255 PPTP 256 QUAKE 256 RAUDIO 256 RIP 256 RLOGIN 256 SAMBA 256 SIP 256 SIP-MSNmessenger 256 SMTP 256 SNMP 256 SSH 256 SYSLOG 256 TALK 256 TELNET 256 TFTP 256 TIMESTAMP 256 UDP 256 UUCP 256 VDOLIVE 256 WAIS 256 WINFRAME 257 X-WINDOWS 257 カ ス タ ム サービ ス リ ス ト 257 グループ 259 グループへのサービ スの構成 260 サービ ス名 254 定義済み 253 サービ ス グループ 259 [Create New] 259 追加 259, 260 リ ス ト 259 サービ スのグループ化 259 サービ ス ポ イ ン ト FortiGuard 169 再起動 49, 169 478 索引 オ ン ラ イ ンヘルプ ア イ コ ン 36 サブ ス ク リ プ シ ョ ン 期限切れ 172 未登録 172 有効な ラ イ セ ン ス 172 サブ ネ ッ ト フ ァ イ アウ ォ ール ア ド レ ス 249 し シ ェ ルフ マネージ ャ シ ャ ーシ モニ タ リ ング 181 シ ェ ルフ モニ タ リ ング シ ェ ルフ マネージ ャ 181 シグネチ ャ IPS 373 カ ス タ ム IPS シグネチ ャ 377 システム シ ャ ーシ モニ タ リ ング 181 システム ア イ ド ル タ イムアウ ト 149 シ ステム設定 123 指定ルー タ (DR) 215 自動キー リ ス ト IPSec VPN 305 自動送信 隔離 365 自動送信 リ ス ト ア ッ プ ロー ド の有効化 363 隔離フ ァ イル 362 設定 363 シ ャ ーシ モニ タ リ ング 181 FortiGate-5000 モ ジ ュ ール 182 SMC 181 温度 183 電圧 184 ブ レー ド 182 シ ャ ッ ト ダウン 49 手動キー IPSec VPN イ ン タ フ ェ ース モー ド 設定 316 手動キーのオプ シ ョ ン IPSec イ ン タ フ ェ ース モー ド 315 手動キー リ ス ト IPSec イ ン タ フ ェ ース モー ド 315 使用傾向 454 照合 ポ リ シー 224 自律シ ステム (AS) 213 信頼で き る ホス ト 管理者ア カ ウン ト 156 管理者オプ シ ョ ン 155 セキ ュ リ テ ィ 問題 156 す 図 ト ポロ ジ ビ ュ ーア 58 ス イ ッ チ モー ド 71 スキ ャ ン ア ノ マ リ タ イ プ 380 デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 スケジ ュ ー リ ング 176 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 スケジ ュ ール FortiAnalyzer レポー ト 461 ア ン チウ イルスおよび攻撃定義の自動更新 176 反復スケジ ュ ール リ ス ト 262 ワン タ イ ム スケジ ュ ール リ ス ト 261 ス タ テ ィ ッ ク IP モニ タ 319 ス タ テ ィ ッ ク ルー ト 概念 187 概要 187 デ ィ ス タ ン ス 188 作成 190 選択 188 追加 194 テーブル シーケ ン ス 189 テーブルの構築 188 テーブル プ ラ イ オ リ テ ィ 189 デ フ ォル ト ゲー ト ウ ェ イ 191 デ フ ォル ト ルー ト 191 編集 190 ポ リ シー 195 ポ リ シーの追加 196 ポ リ シー リ ス ト 195 スタブ OSPF エ リ ア 210 ス タ ン ド ア ロ ン モー ド モデム 93, 96 スパム ログのフ ィ ル タ リ ング 443 スパム と し て ブ ロ ッ ク さ れた電子 メ ール 144 スパム フ ィ ル タ 405 FortiGuard Antispam サービ ス ポ イ ン ト 170 IP ア ド レ ス 411 IP ア ド レ ス リ ス ト 413 Perl 正規表現 418 禁止単語 リ ス ト 410 スパム フ ィ ル タ 禁止単語 リ ス ト への単語の追加 411 電子 メ ール ア ド レ ス リ ス ト 415 電子 メ ール ア ド レ ス リ ス ト への電子 メ ール ア ド レ ス または ド メ イ ンの追加 416 スパム フ ィ ル タ リ ング オプ シ ョ ン プ ロ テ ク シ ョ ン プ ロ フ ァ イル 294 せ 製品登録 34, 169 製品、 フ ァ ミ リ 25 セッ シ ョ ン ピ ッ クア ッ プ HA 127 た 帯域幅 最大 238 保証 237 ダ イ ナ ミ ッ ク DNS VPN IPSec モ ニ タ 319 ネ ッ ト ワー ク イ ン タ フ ェ ース 83 モニ タ 319 ダ イ ナ ミ ッ ク ルーテ ィ ング 199 OSPF 204 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 PIM 215 ダ イ ヤルア ッ プ VPN モニ タ 319 ダ ッ シ ュ ボー ド 41 ち 重複 隔離フ ァ イル リ ス ト 362 つ 次のページ オ ン ラ イ ンヘルプ ア イ コ ン 35 て 定期更新 プ ロキシ サーバ経由 177 定義済みサービ ス 253 定義済みシグネチ ャ [Action] 374 [Clear Session] ア ク シ ョ ン 375 [Drop Session] ア ク シ ョ ン 375 [Drop] ア ク シ ョ ン 375 [Logging] 374 [Pass Session] ア ク シ ョ ン 375 [Pass] ア ク シ ョ ン 375 [Reset Client] ア ク シ ョ ン 375 [Reset Server] ア ク シ ョ ン 375 [Reset] ア ク シ ョ ン 375 [Revision] 374 ア ク シ ョ ン 375 リ ス ト 373 デ ィ ス ク 領域 隔離 365 テ ク ニ カル サポー ト 31 デ フ ォル ト ゲー ト ウ ェ イ 191 電圧 FortiGate-5000 モ ジ ュ ール 184 シ ャ ーシ モニ タ リ ング 184 電子 メ ール オ ン ラ イ ンヘルプ ア イ コ ン 35 電子 メ ール ア ド レ ス BWL チ ェ ッ ク、 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 295 [Pattern Type] 416 ア ク シ ョ ンの種類 416 電子 メ ール ア ド レ ス リ ス ト への追加 416 ブ ラ ッ ク / ホワ イ ト リ ス ト カ タ ログ 414 リ ス ト 、 スパム フ ィ ル タ 415 転送オプ シ ョ ン 436 と 等価コ ス ト マルチパス (ECMP) ルー ト 190 同期間隔 50 統計 HA 統計の表示 130 動作モー ド 148 登録 FortiGate ユニ ッ ト 34, 169 ト ラ ン スペア レ ン ト モー ド VLAN 103 ド キュ メ ン ト コ メ ン ト 31 フ ォ ーテ ィ ネ ッ ト 29 479 索引 ト ポロ ジ ビ ュ ーア 58 ト ラップ SNMP 137 ト ラ フ ィ ッ ク ア ノ マ リ 379 リ ス ト 380 ト ラ フ ィ ッ ク シ ェ ーピ ング Guaranteed Bandwidth] 237 [Maximum Bandwidth] 238 [Traffic Priority] 238 フ ァ イ アウ ォ ール ポ リ シー 235 ト ラ フ ィ ッ ク のログ記録 フ ァ イ アウ ォ ール ポ リ シー 233 な ナビゲーシ ョ ンの表示 オ ン ラ イ ンヘルプ ア イ コ ン 35 に 認証 RIP 204 フ ァ イ アウ ォ ール ポ リ シー 234 ね ネ ッ ト マス ク 管理者ア カ ウン ト 155, 156 ネ ッ ト ワー ク ト ポロ ジ ビ ュ ーア 58 は バーチ ャ ル ド メ イ ン (VDOM) 459 バーチ ャ ル ド メ イ ン設定 64 ハー ド デ ィ ス ク 上のログ メ ッ セージの表示 444 ハー ト ビー ト 、 HA イ ン タ フ ェ ース 127 パ タ ーン フ ァ イル ブ ロ ッ ク 359 フ ァ イル ブ ロ ッ ク パ タ ーンのデ フ ォル ト リ ス ト 360 バ ッ ク ア ッ プ ( 冗長 ) モー ド モデム 93 バ ッ ク ア ッ プ モー ド モデム 95 発信元 IP シス テム状態 55 発信元セ ッ シ ョ ン制限 ア ノ マ リ タ イ プ 380 発信元ポー ト シス テム状態 55, 89 範囲 Web カ テ ゴ リ レポー ト 403 反復スケジ ュ ール [Create New] 263 [Select] 263 [Start] 263 [Stop] 263 設定 263 追加 263 リ ス ト 262 ひ ヒ ュー リ ステ ィ ッ ク ア ン チウ イルス 368 480 隔離 369 ふ フ ァ ームウ ェ ア 新 し いバージ ョ ンへのア ッ プグレー ド 51 フ ァ イ アウ ォ ール 223, 247, 253, 261, 265, 287 ア ド レ ス リ ス ト 248 概要 223, 247, 253, 261, 265, 287 カ ス タ ム サービ ス リ ス ト 257 仮想 IP リ ス ト 269 設定 223, 247, 253, 261, 265, 287 定義済みサービ ス 253 反復スケジ ュ ール 262 ポ リ シー照合 224 ポ リ シー リ ス ト 224 ワン タ イ ム スケジ ュ ール 261 フ ァ イ アウ ォ ール IP プール オプ シ ョ ン 285 フ ァ イ アウ ォ ール IP プール リ ス ト 284 フ ァ イ アウ ォ ール ア ド レ ス [Address Name] 249 [Create New] 249 [IP Range/Subnet] 249 ア ド レ ス グループ 250 サブ ネ ッ ト 249 追加 249 名前 249 リ ス ト 248 フ ァ イ アウ ォ ール ア ド レ ス グループ [Available Addresses] 251 [Group Name] 251 [Members] 251 追加 250 フ ァ イ アウ ォ ール サービ ス TCP 256 AH 254 ANY 254 AOL 254 BGP 254 DHCP 254 DNS 254 ESP 254 FINGER 254 FTP 254 FTP_GET 254 FTP_PUT 254 GOPHER 254 GRE 254 H323 254 HTTP 255 HTTPS 255 ICMP_ANY 255 IKE 255 IMAP 255 INFO_ADRESS 255 INFO_REQUEST 255 Internet-Locator-Service 255 IRC 255 L2TP 255 LDAP 255 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 NetMeeting 255 NFS 255 NNTP 255 NTP 255 OSPF 255 PC-Anywhere 255 PING 255 POP3 255 PPTP 256 QUAKE 256 RAUDIO 256 RIP 256 RLOGIN 256 SAMBA 256 SIP 256 SIP-MSNmessenger 256 SMTP 256 SNMP 256 SSH 256 SYSLOG 256 TALK 256 TELNET 256 TFTP 256 TIMESTAMP 256 UDP 256 UUCP 256 VDOLIVE 256 WAIS 256 WINFRAME 257 X-WINDOWS 257 フ ァ イ アウ ォ ール プ ロ テ ク シ ョ ン プ ロ フ ァ イル オプ シ ョ ン 289 デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 リ ス ト 288 フ ァ イ アウ ォ ール ポ リ シー [ACCEPT] ア ク シ ョ ン 232 [Action] 225 [Address Name] 230 [Allow Inbound] 238 [Allow outbound] 238 [Authentication] 233 [Create New] 225 [DENY] ア ク シ ョ ン 232 [Destination] 225, 230 [Dynamic IP Pool] NAT オプ シ ョ ン 232 [Fixed Port] NAT オプ シ ョ ン 232 [Guaranteed Bandwidth] 237 ID 225 [Inbound NAT] 238 [Insert Policy Before] 225 [Interface/Zone] 230 [IPSEC] ア ク シ ョ ン 232 [Maximum Bandwidth] 238 [Outbound NAT] 238 [Protection Profile] 233 [Schedule] 225, 231 [Service] 225, 231 [Source] 225, 230 [Traffic Priority] 238 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 [Traffic Shaping] 233 移動 225, 226 コ メ ン ト 234 削除 226 設定 226 追加 226 ト ラ フ ィ ッ ク シ ェ ーピ ング 235 ト ラ フ ィ ッ ク のログ記録 233 認証 234 プ ロ テ ク シ ョ ン プ ロ フ ァ イルの追加 300 ポ リ シー リ ス ト 内の位置の変更 226 モデム 97 フ ァ イル パ タ ーン カ タ ログ 358 フ ァ イル ブ ロ ッ ク ア ン チウ イルス 358 パ タ ーン 359 パ タ ーンのデ フ ォル ト リ ス ト 360 プ ロ テ ク シ ョ ン プ ロ フ ァ イル 290 リ ス ト 、 ア ン チウ イルス 359 ブー ト ス ト ラ ッ プ ルー タ (BSR) 215 フ ェ ーズ 1 IPSec イ ン タ フ ェ ース モー ド 305 フ ェ ーズ 2 IPSec イ ン タ フ ェ ース モー ド 311 フ ェ ーズ 1 詳細オプ シ ョ ン IPSec イ ン タ フ ェ ース モー ド 308 フ ェ ーズ 2 詳細オプ シ ョ ン IPSec イ ン タ フ ェ ース モー ド 311 フ ォ ーテ ィ ネ ッ ト MIB 139 フ ォ ーテ ィ ネ ッ ト カ ス タ マ サービ ス 31 フ ォ ーマ ッ ト さ れた ログ 447 フ ォ ーテ ィ ネ ッ ト 製品フ ァ ミ リ 25 フ ォ ーテ ィ ネ ッ ト ド キ ュ メ ン ト 29 不正侵入防御シ ステム、 「IPS」 を参照 ブ ッ ク マー ク オ ン ラ イ ンヘルプ ア イ コ ン 35 プ ッ シ ュ更新 173, 177 IP ア ド レ スの変更 177 NAT デバイ ス 178 NAT デバイ ス を通 じ た 178 イ ン タ フ ェ ース 177 外部 IP ア ド レ スの変更 177 管理 IP ア ド レ スの変更 178 設定 177 プ ロキシ サーバ経由 177 フ ラ ッ デ ィ ング ア ノ マ リ タ イ プ 380 ブ レー ド シ ャ ーシ モニ タ リ ング 182 プ ロキシ ARP 265 FortiGate イ ン タ フ ェ ース 265 IP プール 265 仮想 IP 265 プ ロキシ サーバ 177 プ ッ シ ュ更新 177 プ ロ テ ク シ ョ ン プ ロ フ ァ イル [IP address BWL check] 295 [Action] (P2P) 298 481 索引 ActiveX 292 [Add signature to outgoing emails] 291 [Allow websites when a rating error occurs] 293 [Amount]、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング 290 [Append with] 296 [Append to] 296 [Banned word check] 296 [Block Audio] (IM) 298 [Block File Transfers] (IM) 298 [Block Login] (IM) 298 [Category] 293 [Comfort Clients] 290 [Cookie Filter] 292 [Display content meta-information on dashboard] 297 [E-mail address BWL check] 295 [Enable FortiGuard-Web Filtering] (HTTP のみ ) 292 [Enable FortiGuard-Web Filtering Overrides] 293 [FortiGuard-Antispam]、 [IP address check] 295 [FortiGuard-Antispam]、 [URL check] 295 FortiGuard 電子 メ ール チ ェ ッ ク サム チ ェ ッ ク 295 [HELO DNS lookup] 295 IM サマ リ 情報のアー カ イ ブ 298 [Inspect Non-standard Port] (IM) 298 [Interval]、 ク ラ イ ア ン ト コ ン フ ォ ーテ ィ ング 290 [IPS Anomaly] 296 [IPS Signature] 296 IPS オプ シ ョ ン 296 [Java Applet Filter] 292 [Limit] (P2P) 298 [Oversized File/Email] 291 [Pass fragmented emails] 290 [Provide details for blocked HTTP errors] 293 [Quarantine] 290 [Rate images by URL] 293 [Rate URLs by domain and IP address] 293 [Return e-mail DNS check] 295 scan ( デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル ) 288 [Spam Action] 296 [Spam submission] 295 [Strict Blocking] (HTTP のみ ) 293 strict (デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル ) 288 [Threshold]、 [Banned word check] 296 [Threshold]、 [Oversized File/Email] 291 [Threshold]、 [Web content block] 291 unfiltered ( デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル ) 288 [Virus Scan] 290 Web URL ブ ロ ッ ク 292 [Web Content Exempt] 291 [Web resume download block] 292 Web コ ン テ ン ツ ブ ロ ッ ク 291 web ( デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル ) 288 Web フ ィ ル タ リ ング オプ シ ョ ン 291 ア ン チウ イルス オプ シ ョ ン 290 オプ シ ョ ン 289 コ ン テ ン ツ アー カ イ ブ オプ シ ョ ン 297 482 コ ン テ ン ツ メ タ 情報のアー カ イ ブ 297 スパム フ ィ ル タ リ ング オプ シ ョ ン 294 デ フ ォル ト のプ ロ テ ク シ ョ ン プ ロ フ ァ イル 288 フ ァ イ アウ ォ ール ポ リ シーへの追加 300 フ ァ イル ブ ロ ッ ク 290 リ ス ト 288 ロギング、 [ActiveX Filter] 299 ロギング、 [Blocked Files] 299 ロギング、 [Content Block] 299 ロギング、 [Cookie Filter] 299 ロギング、 IM ア ク テ ィ ビ テ ィ 299 ロギング、 [Java Applet Filter] 299 ロギング、 [Log rating errors] 299 ロギング、 [Oversized Files/Emails] 299 ロギング、 P2P ア ク テ ィ ビ テ ィ 299 ロギング、 [URL Block] 299 ロギング、 [Viruses] 299 ロギング、 侵入 299 ロギング、 スパム 299 プロ ト コル サービ ス 254 シ ステム状態 55 種類、 カ ス タ ム サービ ス 258 番号、 カ ス タ ム サービ ス 259 へ ヘルプ オ ン ラ イ ンヘルプの検索 36 キーボー ド シ ョ ー ト カ ッ ト を使用 し た移動 36 ほ ポー ト 53 174 ポー ト 8888 174 ポー ト 9443 178 ポー ト ア ド レ ス変換 仮想 IP 268 ホス ト 名 ク ラ ス タ の変更 129 ポ リ シー [ACCEPT] ア ク シ ョ ン 232 [Action] 225 [Address Name] 230 [Allow Inbound] 238 [Allow outbound] 238 [Authentication] 233 [Create New] 225 [DENY] ア ク シ ョ ン 232 [Destination] 225 [Dynamic IP Pool] NAT オプ シ ョ ン 232 [Fixed Port] NAT オプ シ ョ ン 232 [Guaranteed Bandwidth] 237 ID 225 [Inbound NAT] 238 [Insert Policy Before] 225 [Interface/Zone] 230 [IPSEC] ア ク シ ョ ン 232 [Maximum Bandwidth] 238 [Outbound NAT] 238 [Protection Profile] 233 [Schedule] 225, 231 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 索引 [Service] 225, 231 [Source] 225 [Traffic Priority] 238 [Traffic Shaping] 233 移動 225, 226 コ メ ン ト 234 削除 226 照合 224 設定 226 追加 226 ト ラ フ ィ ッ ク シ ェ ーピ ング 235 ト ラ フ ィ ッ ク のログ記録 233 認証 234 ポ リ シー リ ス ト 内の位置の変更 226 リ ス ト 224 ポ リ シーに基づ く ルーテ ィ ング 195 ま 前のページ オ ン ラ イ ンヘルプ ア イ コ ン 35 み 設定 93 バ ッ ク ア ッ プ モー ド 95 フ ァ イ アウ ォ ール ポ リ シーの追加 97 モニ タ ルーテ ィ ング 219 IPSec VPN 319 管理者ログ イ ン 163 ゆ 有効な ラ イ セ ン ス 172 ユーザ グループ 設定 346 ユーザ認証 PKI 343 よ 読み取 り および書き込みア ク セス レ ベル 管理者ア カ ウン ト 50, 153, 166 読み取 り 専用ア ク セス レ ベル 管理者ア カ ウン ト 50, 153, 155 ら む ラ イセンス FortiGuard 170 ラ イ セ ン ス キー 180 ラ ンデブー ポ イ ン ト (RP) 215 無線 り 未加工のログ 447 未登録 172 [Advanced] 設定 113 [Beacon Interval] 113, 114 [Channel]、 FortiWiFi-60 112 [Fragmentation Threshold] 113 [Geography] 112, 113 [Key] 112 MAC ア ド レ ス 112, 113 MAC フ ィ ル タ 114 [Operation Mode] 112, 113 [Pre-shared Key] 112 [Radius Server Name] 113 [RTS Threshold] 113 [Security mode] 112 [SSID] 112 [SSID Broadcast] 112 [Tx Power] 113, 114 WiFi-60A または WiFi-60AM の設定 113 WiFi-60 の設定 112 設定 109, 113 チ ャ ネル、 FortiWiFi-60A 114 無線、 [Geography] 112 無線、 [SSID] 112 無線、 セキ ュ リ テ ィ 112 め メ ッ セージ、 ログ 446 も 目次 オ ン ラ イ ンヘルプ ア イ コ ン 36 目次の表示 オ ン ラ イ ンヘルプ ア イ コ ン 36 モデム 冗長 ( バ ッ ク ア ッ プ ) モー ド 93 ス タ ン ド ア ロ ン モー ド 93, 96 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 リ モー ト 管理 85, 149 リ モー ト ピ ア 手動キー イ ン タ フ ェ ース モー ド 315 る ルー タ モニ タ HA 220 ルーテ ィ ング ス タ テ ィ ッ ク 190 設定 92 モニ タ 219 ECMP 190 ルーテ ィ ング テーブル 219 ルー ト HA 220 れ 列の設定 447 レ ポー ト 454 FortiGuard 402 FTP へのア ッ プ ロー ド 461 gzip 461 [Resolve Host Names] 460 [Resolve Service Names] 460 Web カ テ ゴ リ ブ ロ ッ ク 402 ア ッ プ ロー ド 後に削除する 461 出力 460 種類 459 種類、 カ テ ゴ リ ブ ロ ッ ク 403 スケジ ュ ール、 FortiAnalyzer 461 範囲、 FortiAnalyzer 456 レ ポー ト の出力 460 連絡先情報 SNMP 133 483 索引 ろ ロー カル証明書 オプ シ ョ ン 328 リ ス ト 327 ロギング [ActiveX Filter] 299 [Blocked Files] 299 [Cookie Filter] 299 IM ア ク テ ィ ビ テ ィ 299 [Java Applet Filter] 299 [Log rating errors] 299 [Oversized Files/Emails] 299 P2P ア ク テ ィ ビ テ ィ 299 URL ブ ロ ッ ク 299 ウ イルス 299 コ ン テ ン ツ ブ ロ ッ ク 299 侵入 299 スパム 299 ログ 443 FortiAnalyzer 434 P2P ログ 443 Web フ ィ ル タ ログ 442 ア ン チウ イルス ログ 441 イ ン ス タ ン ト メ ッ セージ ログ 443 検索 448 484 攻撃ア ノ マ リ 442 攻撃シグネチ ャ 442 種類 439 スパム フ ィ ル タ ログ 443 表示 444 フ ィ ル タ 448 フ ォ ーマ ッ ト 447 未加工 447 列の設定 447 ログのフ ィ ル タ リ ング 448 ログへのア ク セス 444 ログ メ ッ セージの読み出 し 446 ログ メ ッ セージへのア ク セス ハー ド デ ィ ス ク 444 わ ワ イル ド カ ー ド オ ン ラ イ ンヘルプの検索 36 ワン タ イ ム スケジ ュ ール [Create New] 261 [Start] 262 [Stop] 262 設定 262 追加 262 リ ス ト 261 FortiGate バージ ョ ン 3.0 MR4 管理ガ イ ド 01-30004-0203-20070102 www.fortinet.com