ポリシー

幸せのログ確認【2021年3月26日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのログ確認をするという内容になります。

前回ではポリシーを作成してFortigateを通しての通信ができるようにしましたが
実際に許可した通信だけが通っているかは不明です。
Fortigateではパケット通信などのログをGUI画面上で確認することができます。

GUI画面左側のメニューから[ポリシー&オブジェクト]→[モニタ]の[ポリシーモニタ]を選択することでポリシーで許可されているポート間のパケットのログを確認することができます。

今は何もログが表示されていませんが、ポリシーで許可されている通信の疎通を行うと
パケットのログが表示されます。
前回に作成したPort9からport1へのPINGを許可するポリシーのログを確認してみます。
コマンドプロンプトからPINGを送信します。

port9につながる端末からport1につながる端末にPINGを飛ばすと…
作成したポリシーが適用されて、許可した通信のみが通ります!

このように通信のログをとることで必要な通信以外が通っていないかを確認することができます。
ログの確認は監視業務でも使う機会が多いと思うので活用できるといいかもしれません。

本日の記事は以上となります。
次回の記事はFortigateのバックアップを予定しております。
次回の記事もお楽しみに!

ポリシーは、作れる【2021年3月24日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーを実際に作成するという内容になります。

Fortigateを介しての通信ですが標準の状態では通信の許可がされておらず通信が通りません。
なのでポリシーを作成、適用して通信が取れるようにしなければいけません。

今回はGUIでポリシーを作成していきたいと思います。
まず、GUIの左側にあるメニューから「ポリシー&オブジェクト」→IPv4を選択します。
すると現在適用されているポリシーの一覧が表示されるので上部にある「Create New」で
新規のポリシーの作成をします。

ポリシーの新規作成に移ると送信元アドレスや宛先アドレス、入力と出力インターフェースを選択する画面が表示されるので各項目を選択していきます。
今回はport9からのすべてのアドレスからPort1のすべてのアドレスへのPINGの疎通が通れば良いので下記画像のように選択します。

選択が完了したらOKを押し、ポリシーを作成します。
以下の画像のようにポリシーの一覧に新たに作成したポリシーが並んでいれば作成ができています。

今回の記事は以上になります。
次回の記事はを予定しております。
次回の記事もお楽しみに!

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!