FortiGateでのポート開放手順と確認方法をわかりやすく解説

本ページはプロモーションが含まれています

FortiGateのポート開放を行いたいけれど、どこから手を付ければよいかわからないという方も多いのではないでしょうか。ポート開放は、外部ネットワークから特定のサービスやサーバーにアクセスを許可するために必要な設定です。しかし、誤った設定を行うとセキュリティリスクが高まるため、正しい手順での設定が求められます。

この記事では、FortiGateでのポート開放の基本的な流れや、設定後に使用できる「ポート確認コマンド」について詳しく解説します。また、ファイアウォールポリシーの設定方法や「サービスオブジェクト」の活用法、さらには「DMZポート」の設定とその活用方法についても説明します。

GUIやCLIを使った「ポリシー設定」の具体的な手順についても触れ、初心者の方でもわかりやすく解説していきます。FortiGateのポート開放に関する疑問を解消し、安全にネットワークを運用するためのガイドとして、ぜひ参考にしてください。

記事のポイント

FortiGateでのポート開放の基本的な手順
ポート確認コマンドの使用方法と確認手順
サービスオブジェクトの設定方法
DMZポートの設定とファイアウォールポリシー

FortiGate ポート開放の手順と確認方法

ポート開放の基本的な流れ
ポート確認コマンドの使用方法
サービスオブジェクトの設定方法
DMZポートの設定と活用

ポート開放の基本的な流れ

ポート開放とは、特定のポート番号を利用して外部ネットワークから内部ネットワークへ通信を許可することです。この設定により、インターネット上から特定のサーバーやサービスにアクセスできるようになります。基本的な流れを以下に解説します。

まず、開放するポートの目的を明確にします。どのサービスやアプリケーションが利用するポートなのかを理解することが重要です。例えば、ウェブサーバーのポートとしてよく使われるのはHTTP用の80番やHTTPS用の443番ポートです。

次に、使用している機器やファイアウォールの管理画面にログインし、ポート開放の設定を行います。FortiGateでは「ファイアウォールポリシー」でポートを管理するため、このポリシーに開放するポートを追加します。FortiGateの管理画面はGUI（グラフィカルユーザインターフェース）またはCLI（コマンドラインインターフェース）のいずれかを利用して設定可能です。

その後、開放したポートに対して適切なアクセス許可を設定します。具体的には、外部からのアクセスをどのIPアドレスから許可するのか、または内部のどのサーバーにアクセスさせるのかを指定します。この際、必要以上にアクセスを広げないよう注意が必要です。誤って不要なポートを開放すると、セキュリティリスクが増大するため、適切な設定が求められます。

最後に、設定を適用した後、実際にポートが開放されているか確認します。この確認ができるまで、ネットワークの疎通が成功したとは言えません。

ポート確認コマンドの使用方法

ポートが正しく開放されたかどうかを確認するためには、コマンドを使用することが有効です。FortiGateにはCLIを使った確認方法がいくつかありますが、特に便利なのが「diag sys session list」コマンドです。このコマンドを実行すると、現在FortiGateを経由して通信しているセッションのリストが表示され、どのポートが利用されているか確認できます。

具体的には、CLIにログインして以下のコマンドを入力します。

diag sys session list

これにより、セッションごとにポート番号やIPアドレスの情報が表示されます。開放したポートが正常に動作しているかどうか、ここで確認が可能です。また、必要に応じて「diag debug flow」コマンドを使い、通信の流れを詳細に確認することもできます。

この他にも、ネットワークの疎通確認には「ping」や「traceroute」などのコマンドが利用されることが多いです。ポート番号を指定しての確認には、外部ツールを使うこともありますが、FortiGate内のCLIコマンドは一貫した確認作業に便利です。

ポートの状態を定期的に確認することで、セキュリティを確保しながら安定した通信を維持できます。

サービスオブジェクトの設定方法

サービスオブジェクトとは、特定のポートやプロトコルをグループ化して管理するための機能です。FortiGateでは、サービスオブジェクトを使用することで、ポート開放やポリシー設定を効率化できます。以下では、サービスオブジェクトの設定方法について解説します。

まず、FortiGateの管理画面にアクセスし、サービスオブジェクトの設定を行います。GUIを使用する場合、「ポリシー&オブジェクト」メニューから「サービス」を選択し、新しいサービスオブジェクトを作成します。ここでは、TCPやUDPといったプロトコルの種類、ポート番号の範囲などを設定します。例えば、ウェブサーバーを対象にする場合、TCPプロトコルで80番ポート（HTTP）や443番ポート（HTTPS）を指定します。

CLIで設定を行う場合は、以下のコマンドを使用します。

config firewall service custom
edit "サービス名"
set tcp-portrange 80 443
next
end

これにより、80番および443番ポートが開放されたサービスオブジェクトが作成されます。複数のポートやプロトコルを一括で設定できるため、管理が容易になります。

サービスオブジェクトを活用することで、特定のポートに対する通信を細かく管理できます。また、これをポリシーに組み込むことで、複雑な設定も簡単に実施可能です。ただし、設定ミスにより不要なポートが開放されてしまうことがあるため、設定後はしっかりと確認作業を行うことが重要です。

DMZポートの設定と活用

DMZ（非武装地帯）ポートは、外部からのアクセスを受け入れるために使われるネットワークセグメントで、主にウェブサーバーやメールサーバーといった公開サービスの設置に利用されます。FortiGateでは、DMZを活用することで、内部ネットワークのセキュリティを保ちながら外部アクセスを制御できます。

まず、DMZポートを設定する際、FortiGateのGUIを使って「ネットワーク」メニューから「インターフェース」を選択し、DMZポートを有効にします。次に、DMZに接続するサーバーのIPアドレスやサブネットを設定します。この設定により、DMZに配置したサーバーに外部からのアクセスを許可しつつ、内部ネットワークへの直接アクセスを防ぐことができます。

さらに、ファイアウォールポリシーでDMZポートに対するルールを設定します。具体的には、外部からのアクセスを許可するポリシーを作成し、DMZポートに関連付けます。これにより、例えば、ウェブサーバーへのHTTPやHTTPSアクセスのみを許可し、その他の通信はブロックすることができます。

DMZポートの大きな利点は、内部ネットワークと外部アクセスを分離できる点です。仮にDMZ内のサーバーが攻撃を受けたとしても、内部ネットワークに直接的な影響を及ぼすリスクが低減されます。しかし、DMZに配置する機器は外部にさらされるため、セキュリティの強化が求められます。必要に応じて、サーバー側でもファイアウォールやセキュリティパッチを適用することが重要です。

DMZポートの設定と適切なファイアウォールポリシーの組み合わせにより、安全かつ効率的なネットワーク運用が可能になります。

FortiGate ポート開放とファイアウォールポリシー設定

ファイアウォールポリシーとは？
ファイアウォールポリシー設定の基本
ポリシー設定のGUIによる手順
CLIを使ったポリシー設定方法

ファイアウォールポリシーとは？

ファイアウォールポリシーとは、ネットワーク内外の通信を制御するためのルールを定めたものです。具体的には、外部から内部、または内部から外部に向けた通信をどのように許可またはブロックするかを管理する役割を持っています。このポリシーを正しく設定することで、ネットワークのセキュリティを確保し、不要な通信を遮断することができます。

FortiGateのようなファイアウォール機器では、このポリシーを設定することで、各種サービスへのアクセスを細かく管理することが可能です。例えば、ウェブブラウジング用のHTTPやHTTPS通信を許可する一方、不要なポートやプロトコルをブロックすることで、セキュリティを強化します。ファイアウォールポリシーは、ネットワークのセグメントごとに異なるルールを設定できるため、柔軟な運用が可能です。

ただし、ポリシー設定を間違えると、正当な通信もブロックされる可能性があるため、設定時には十分な注意が必要です。逆に、許可し過ぎるとセキュリティのリスクが高まるため、適切なバランスが求められます。

ファイアウォールポリシー設定の基本

ファイアウォールポリシーの設定は、セキュリティを確保しつつ、必要な通信を許可するために非常に重要です。基本的な設定手順は、以下の流れに沿って進めるのが一般的です。

まず、通信の方向を決定します。これは、内部から外部へ向けた通信なのか、外部から内部へ向けた通信なのかを明確にすることです。たとえば、外部のウェブサーバーへのアクセスを許可したい場合、内部ネットワークから外部への通信が必要となります。

次に、ポート番号やプロトコルを指定します。どのサービスに対して通信を許可するかを明確にするため、HTTPの場合は80番ポート、HTTPSの場合は443番ポートといった形で具体的に設定します。必要なポートだけを許可し、他のポートは閉じるのが基本的なセキュリティの考え方です。

続いて、通信元と通信先のIPアドレス範囲を設定します。これにより、特定のIPアドレスまたは範囲からの通信のみを許可することができます。例えば、社内ネットワーク内のPCのみが特定のサーバーにアクセスできるように制限することが可能です。

最後に、ポリシーの優先順位を設定します。複数のポリシーが存在する場合、上位にあるポリシーが優先されます。そのため、セキュリティ上重要なポリシーは上位に配置することで、誤ってセキュリティを侵害するような通信が許可されないようにします。

適切なファイアウォールポリシー設定により、ネットワークの安全性と効率を確保できます。

ポリシー設定のGUIによる手順

FortiGateのファイアウォールポリシー設定は、GUI（グラフィカルユーザーインターフェース）を使うことで直感的に操作できます。初心者でも分かりやすく、複雑なコマンドを使わずにポリシーを設定できるため、一般的に利用される方法です。ここでは、GUIによるポリシー設定の手順を紹介します。

まず、FortiGateの管理画面にアクセスし、ログインします。ログイン後、左側のメニューから「ポリシー＆オブジェクト」を選択し、さらに「IPv4ポリシー」もしくは「IPv6ポリシー」を選びます。ここで新規ポリシーを追加するために「＋作成」をクリックします。

次に、ポリシーの各種設定を行います。通信の「送信元」には、通信元のネットワークやデバイスを指定します。たとえば、内部ネットワーク全体を選択したり、特定のIPアドレス範囲を設定したりできます。「宛先」には、アクセスを許可する外部ネットワークや特定のサーバーを設定します。

続いて、「サービス」では許可するプロトコルやポート番号を指定します。たとえば、ウェブサーバー用のHTTP通信を許可する場合は、TCPポート80を選択します。次に、「アクション」を「許可」または「ブロック」に設定し、通信を許可するか拒否するかを決めます。

最後に、設定を保存し、ポリシーを有効化します。設定後は、実際の通信がポリシーに従って正しく動作しているかを確認することが重要です。GUIでの設定は視覚的に分かりやすく、設定ミスを減らす利点がありますが、細かな制御が必要な場合には、CLIと組み合わせて使うと効果的です。

CLIを使ったポリシー設定方法

CLI（コマンドラインインターフェース）を使ったファイアウォールポリシー設定は、FortiGateの高度な操作が可能で、特に大規模ネットワークや自動化された設定に役立ちます。以下では、CLIを用いたポリシー設定方法を説明します。

まず、FortiGateにCLIを使ってログインします。CLIにアクセスするためには、直接接続するか、リモートでSSHを利用してログインします。ログイン後、ポリシー設定を開始します。

ポリシー設定を行うために、以下のようなコマンドを使います。

config firewall policy
edit <ポリシー番号>
set srcintf "インターフェース名"
set dstintf "インターフェース名"
set srcaddr "送信元アドレス"
set dstaddr "宛先アドレス"
set action accept
set schedule "always"
set service "HTTP"
next
end

このコマンドは、HTTP通信を許可するポリシーを設定するものです。具体的には、ポリシー番号を指定して編集を開始し、送信元と宛先のインターフェースやアドレスを設定します。「set action accept」で通信を許可する設定にし、「service HTTP」でHTTP通信を指定します。

設定が完了したら、「end」コマンドで設定を終了し、ポリシーが有効になります。CLIでは、一連のコマンドをまとめて実行するため、設定の自動化や複雑な設定も容易に行えます。ただし、コマンドの入力ミスが発生すると設定に問題が生じることがあるため、正確な入力が求められます。

CLIを使ったポリシー設定は、細かな制御やスクリプトによる自動化に向いていますが、慎重な操作が必要です。