機能に関して
VPNの2要素認証でEメールでの認証の上限について
Emailでの二要素認証をする場合、FortiGateのローカルユーザの値が上限になります。
FortiGate 60Eは、500です。
user local 500
https://docs.fortinet.com/max-value-table
FortiGateへの接続をMACアドレスを登録しているPCのみに制限したい
FortiGateへの接続をMACアドレスを登録しているPCのみに制限したいのですが
どのような設定方法で実現できますでしょうか?
——————————————————————
ファイアウォールポリシーにて、 MAC アドレスを指定する機能がございます。
メーカドキュメントをご案内いたしますので、詳細につきましては、
以下をご確認くださいますようお願いいたします。
■Administration Guide(FortiOS 6.4.8) MAC addressed-based policies
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/407159/mac-addressed-based-policies
WAN側にSSLサーバー証明書をセットして運用できますか?
インターネットに公開しているWebサーバーについて、Fortigateを利用して保護防衛しようと考えています。
この時に、Fortigateをリバースプロキシとして、FortigateのWAN側にSSLサーバー証明書をセットして運用できるでしょうか?
————————————————————
FortiGateには、SSLオフロードという機能がございます。
WAN側に仮想IPを設定し、そちらで受け付けた後、DMZやLANにあるサーバに転送する機能です。
WAN側ではHTTPSで受け付けた後、HTTPSで転送することや、HTTPで転送することができます。
SSLオフロード機能は、外部で作成した証明書を利用することが可能です。
ドメイン毎にサーバーの振り分けができますか?
FortiGateにアクセスされたドメイン毎にサーバーの振り分けは可能でしょうか?
https://www.domein-a.com/ ⇒ WebサーバーAへ振り分け
https://www.domein-b.com/ ⇒ WebサーバーBへ振り分け
上記は振り分けは可能です。
次のように同じドメインでの振り分けは出来ません。
https://www.domein.com/a-server/ ⇒ WebサーバーAへ振り分け
https://www.domein.com/b-server/ ⇒ WebサーバーBへ振り分け
VPN接続時に全ての通信をFortiGate経由で通信する事は可能でしょうか?
はい、可能です。
VPN設定のスプリットトンネルを無効にする事により、全ての通信をFortiGateに向ける事が可能です。
FortiGateのVPN接続における動作につきましては、以下のとおりとなります。
・Split-tunnelの設定が無い場合
→ 全ての通信が、VPNトンネル経由(FortiGate経由)の通信となります。
・Split-tunnelの設定がある場合
→ VPNトンネル通信と、非トンネル通信を分けることが可能です。
設定方法などは、こちらの動画を参照してください。
■youtube
ポートスキャンされた際に通知する事は可能ですか?
はい、可能です。
アラートEメール機能を利用して、IPS機能や、DoS(アノマリ)に対して検知した際に
指定したメールへ通知することは可能です。
下記ポートスキャンで取得したサンプルログを添付いたします。
——————————
Message meets Alert condition
The following intrusion was observed: tcp_port_scan.
date=2021-11-08 time=13:34:58 devname=FortiGate-40F
devid=************ eventtime=1636346097976724260 tz=”+0900″
logid=”0720018432″ type=”utm” subtype=”anomaly” eventtype=”anomaly”
level=”alert” vd=”root” severity=”critical” srcip=192.168.1.96
srccountry=”Reserved” dstip=192.168.11.90 srcintf=”lan”
srcintfrole=”lan” sessionid=0 action=”detected” proto=6 service=”POP3″
count=26 attack=”tcp_port_scan” srcport=54453 dstport=110
attackid=100663398 policyid=1 policytype=”DoS-policy”
ref=”http://www.fortinet.com/ids/VID100663398″ msg=”anomaly:
tcp_port_scan, 2 > threshold 1, repeats 26 times since last log, pps 2
of prior second” crscore=50 craction=4096 crlevel=”critical”
——————————
FortiClientはSurfaceに対応していますか
FortiClientですが、最新版のFortiClient(v6.4.6, v7.0.1)につきまして、
ARMベースのプロセッサをサポートしておりません。
https://docs.fortinet.com/document/forticlient/7.0.1/windows-release-notes/549781/product-integration-and-support
——————————
Microsoft Windows-compatible computer with Intel processor or
equivalent. FortiClient (Windows) does not support ARM-based
processors.
——————————
ARMベースの端末を利用される際は、L2TP + IPSecといった組み合わせなど、
FortiClientを利用しない方法をご検討ください。
※2021年10月8日現在の情報です。
2台のFortiGateを1台のスマートフォンのFortiTokenMobileで管理は可能でしょうか?
1台のスマートフォンのFortiTokenMobileで、複数のシリアルを登録することは可能です。
■前提条件として、
FortiTokenのライセンスはユーザ毎に購入する必要があり、またFortiTokenは、FortiGateと紐づけて利用する形になります。
1台に紐づけると、ほかのFortiGateに紐づけることができなくなります。
そのため、2つのFortiGateに紐づける場合、1ユーザあたり2つのFortiTokenが必要になります。
DHCPサーバーで割り当てられているIPアドレスを解放する方法は?
次のCLIコマンドで解放する事が可能です。
————————-
execute dhcp lease-clear (all | IPアドレス)
————————-
■全てのIPアドレスを解放する場合は、「all」
————————-
execute dhcp lease-clear all
————————-
■IPアドレスを個別で解放したい場合は、IPアドレスを指定
例)「192.168.1.110」を解放したい場合
————————-
execute dhcp lease-clear 192.168.1.110
————————-
DHCPサーバーで割り当てられているIPアドレスを確認する方法は?
次のCLIコマンドで確認する事が可能です。
————————-
execute dhcp lease-list
————————-
一定の時間帯に発生したアクセスを管理者宛にメールで送りたい
FortiGate単独では、ご要望の機能は実装しておりません。
FortiGate + FortiAnalyzer の環境にて、可能となります。
FortiGateには、指定した時間に対するポリシの作成が可能です。
# スケジュール機能
該当した通信に対し、ログの取得し、FortiAnalyzerへログを転送します。
FortiAnalyzerでは、イベントハンドラー機能があり、こちらの機能に該当する際に、アラートメールを出力するといった対応が可能です。
IPoEでの接続は可能ですか?
FortiOS6.4.2 以上のバージョンでご利用が可能です。
※現時点のバージョンでは、CLIでの設定が必要です。
■参考資料
◎FortiGate IPoE設定ガイド(NTTコミュニケーションズ株式会社OCN IPoEサービス編)
◎IPoE インターフェースを利用したFortiGate SD-WAN 設定ガイド
各プロバイダーによってIPoEの接続方式が異なりますので、上記内容では接続できない場合もございます。
インターネットに接続されていないFortiGateでもシグニチャーの更新は可能でしょうか?
シグニチャーを更新する場合は、FortiGateがインターネットに接続されている必要がございます。
対応方法としては、FortiManagerを導入しFortiManagerでシグニチャーをダウンロードする事でFortiGateに展開する事が可能です。
ただ、FortiManagerはインターネット環境に接続されている必要がございます。
登録しているMACアドレスのみIPを割り振る事は出来ますか?
はい、可能です。
「IPアドレスの割り当てルール」に」より設定が可能です。
FortiClientは「macOS Big Sur (version 11)」対応してますか?
FortiClient V7.0で対応しております。
■(macOS) Release Notes
https://docs.fortinet.com/document/forticlient/7.0.0/macos-release-notes/471180/product-integration-and-support
■ダウンロード
https://www.fortinet.com/support/product-downloads
※ただし、現段階では弊社サポート対象外のOS Verとなります。(2021/05/24 現在)
IPv6ですがUTMの機能等はIPv4と同等の機能が使えますか?
FortiGateのIPv6ですが、IPv4と同じように利用することが可能です。
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/627352/ipv6
ファイアウォールや、ルーティング、UTM機能など
FortiGateの主機能について、問題なく利用可能となります。
Syslogの転送先ですが異なるネットワーク帯にも転送可能でしょうか?
はい、可能です。
指定のIPアドレス宛に転送しますので、問題ございません。
以下のVPN環境でも問題ございません。
============================================================
本社LAN
SYSLOGサーバ
│
FortiGate-A
│↑
│インターネット接続
│FortiGate同士によるIPSecVPN
│↓
FortiGate-B
│
支社LAN
LTE対応モデルはございますか?
LTE対応のモデルは、FortiGate 40F-3G4Gとなります。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FG-40F-3G4G_DS.pdf
SIMは、docomo,au,SoftBankに対応しております。
※FortiGate-40Fとは別モデルとなります。ご購入検討の場合は、ご相談ください。
※2021年1月現在
SD-WAN機能はございますか?
はい、対応しております。
アクティブアクティブで複数の回線を利用し、
負荷分散と、冗長性を兼ねた機能です。
マルチホーミング機能はございますか?
はい、対応しております。
マルチホーミングとしては、特定の宛先に対し死活監視を行い、
応答がなくなるなど、回線がダウンした段階で、別回線で通信を再開する機能です。
※アクティブスタンバイの様な動作
トランスペアレントモード(透過モード)でVPNは利用できますか?
トランスペアレントモード(透過モード)は、SSL-VPNはできません。
IPSec-VPNは利用可能ですが、GUIの画面では設定が出来ません。
ポリシーベースでの設定が必要になります。
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-transparent/1-Intro&Features/3-NAT-vs-Transparent.htm
FortiGateでウィルスメールの隔離は出来ますか?
いいえ、出来ません。
ウィルスメールの隔離を行うには、FortiMAILが必要です。
サンドボックスとはどのような機能でしょうか?
日々生まれる新しいウィルスに対応するため、通常では検知出来ない未知のウィルスを検知する機能です。
メールに添付されたファイルやWebをFortiGateで検査し、疑わしいファイルをFortiSandboxにおくり
仮想環境で実行し、その挙動を監視し未知のウィルスと判断した場合にブロックします。
Bフレッツで、固定IP 8個を使用し、外部にサーバーを公開することは可能ですか?
はい、可能です。
通常、プロバイダから割り当てられる最初のIPアドレスを
FortigateのWANインターフェースに設定しておいて
残りのグローバルアドレスをVIPと呼ばれるスタティックNAT機能を利用して
公開されるサーバと1対1で公開するケースが多いです。
P2Pの内部から外部へのアクセス制限は可能でしょうか
はい、可能です。
Winny(ウィニー)などのP2Pトラフィックの遮断が可能です。
暗号化されたメールでの判定は可能か?
不可となります。非暗号メールプロトコルのみに対応しています。
(POP3/IMPA4/SMTP)
メールの題名や本文(または、文字列の組み合わせ)でスパムの判定が可能か?
可能です。予め「禁止ワード」を作成しておけば、そのキーワードにマッチした
文言が含まれている場合は、スパムメールとして判断します。
【キーワード適用方法】
入力方法としては、「ワイルドカード」と「正規表現」による判定が可能です。
言語は、英語や日本語、中国語などに対応します。
場所は、件名、本文、その両方で検索出来ます。
Active Directoryから、認証する事は可能でしょうか?
ActiveDirectoryと連携する場合は、別途AD側にモジュールをインストールしていただくことで、対応可能となります。
※詳しくは、サポートへご確認お願いします。
ユーザ認証は可能でしょうか?
アイデンティティファイアウォール機能を利用して、ファイアウォールのポリシーを条件に、ユーザ認証(Webベース認証)をすることができます。
このときに認証可能なユーザDBとして、ローカルやRadiusサーバーといった製品と連携することができます。
※詳しくは、サポートへご確認お願いします。
VDOMで仮想ルータを複数作成し、PPPoEで複数セッションで接続することは可能でしょうか?
はい、可能です。
ウェブフィルタのログの吐き出しは可能か?
はい、可能です。
GUIは日本語ですか?
はい、日本語対応です。
ファイアウォールは「ステートフルインスペクション」ですか?
はい、「ステートフルインスペクション」です。
VPNを利用する場合は、UTMライセンス(アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム)は必要ですか?
いいえ、UTMライセンス(アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム)は、必要ございません。
FortiGate本体の基本機能としてご利用可能です。
DLP(情報漏洩対策)はUTMライセンス(アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム)は必要ですか
DLP機能は、OS標準機能です。
UTMライセンス(アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム)は必要御座いません。
IPv6に対応していますか?
FortiOSはIPv6対応しております。
ランサムウェアについて
ランサムウェア対策のFortiGateの動作は次の通りです。
1.ランサムウェアのモジュールを、メールもしくはWEBサイトからダウンロードの際に、FortiGateが検知してブロックします。
2.FortiGateをすり抜けて感染した場合は、感染後のC&C通信を検知して止めます。
通信を止めた場合は、ランサムウェアとして起動ができません。
※注意
インストールされてしまったモジュールを削除する機能はFortigateにはございません。
その場合は、クライアント側の対策ソフトか、PCのクリーンインストール、OSの再インストールが必要になります。
■ランサムウェア対策については、以下もご覧ください。
・ランサムウェアから身を守るための10の措置
リンクアグリゲーション(IEEE802.3ad)は可能でしょうか?
はい、可能です。
FortiGate-100シリーズ以上の機種で可能です。
FortiOS6.2.1以降
リンクアグリゲーション制御プロトコル(LACP)が、FortiGateおよびFortiWiFi 90E、80E、60E、50E、および30Eデバイスでサポートされるようになりました。
https://docs.fortinet.com/document/fortigate/6.2.0/new-features/226063/lacp-support-on-entry-level-e-series-devices-6-2-1
インターネット回線の冗長化は可能でしょうか?
はい、可能です。
PPPoE/DHCPのご利用時にサポートしています。
PPPoEで接続は、可能ですか?
はい、可能です。
PPPoE、DHCP、マニュアルモードがサポートされています。
シグニチャーのアップデートは自動更新可能でしょうか?
はい、自動で更新可能です。
全国設置代行いたします。お気軽にお問い合わせください。
オンサイトでのハードウェア障害対応です。障害のコールを受け、ハードウェア障害と確定後、オンサイトでのハードウェア交換作業・設定復元・基本動作確認作業を行います。