本取扱説明書について【対象パラメータシート】
本ページは以下のページにて公開している matsublog オリジナルFortiGate パラメータシートの取扱説明書です。当該パラメータシートに記載されている各項目について、CLI のどの設定項目に対応するのか等の詳細な説明を記載しています。
システム基本設定
基本情報
- 機器構成
- 「シングル構成/冗長構成」から選択します
- シングル構成: FortiGate が HA を構成しない1台構成の場合に選択します
- シングル構成を選択すると、機器②の欄、及び HA 設定欄がグレーアウトされます
- 冗長構成: FortiGate が HA を構成する2台構成の場合に選択します
- ホスト名
- FortiGate に設定するホスト名を記載します
- CLI 該当項目:
config system global
>set hostname
- 名称
- 対象ネットワークにおける FortiGate の名称があれば記載します
- 例: 外部ファイアウォール、内部ファイアウォール 等
- 設置場所
- FortiGate の設置場所を記載します
- 型番
- FortiGate の型番を記載します
- 例: FortiGate 60F
- シリアルNo.
- FortiGate のシリアル番号を記載します
- 例: FGT60FTK01234567
- ファームウェアバージョン
- FortiGate のファームウェアバージョンを記載します
- 例: v7.2.3
- ライセンス
- FortiGate に適用されているライセンス種別を記載します
- リストから選択するか、手入力します
HA 設定
- E/F列の項目名「設定値()」では、基本情報のホスト名欄に入力したホスト名が参照され「設定値(<ホスト名>)」と表示されます
- モード
- HA モードをリストから選択します
- CLI 該当項目:
config system ha
>set mode
- デバイスのプライオリティ
- HA のマスター機の選出に関わるプライオリティを記載します
- CLI 該当項目:
config system ha
>set priority
- Group ID
- HA グループ ID を記載します
- 基本的にデフォルトの 0 で問題ありませんが、場合によっては変更する必要があります
→ 参考: https://nwengblog.com/fortigate-ha-mac/ - CLI 該当項目:
config system ha
>set group-id
- グループ名/パスワード
- HA グループ名とパスワードを記載します
- いずれも HA を構成する FortiGate 2台で同じ値を設定する必要があります
- CLI 該当項目:
config system ha
>set group-name
/set password
- セッションピックアップ
- プライマリ機とセカンダリ機でセッション情報を同期するかどうかを意味します
- CLI 該当項目:
config system ha
>set session-pickup
- モニタインターフェース
- 状態監視を行う対象インターフェースを必要数だけ記載します
- 行数が不足する場合は行を追加してください
- CLI 該当項目:
config system ha
>set monitor
- ハートビートインターフェース
- CLI 該当項目:
config system ha
>set hbdev
- CLI 該当項目:
- 管理インターフェース
- 有効化
- CLI 該当項目:
config system ha
>set ha-mgmt-status
- CLI 該当項目:
- インターフェース名
- 管理インターフェースとする物理インターフェースの名前を記載します
- CLI 該当項目:
config system ha
>config ha-mgmt-interfaces
>edit X
>set interface
- ゲートウェイ
- 管理インターフェースからルーティングするときのゲートウェイ
- CLI 該当項目:
config system ha
>config ha-mgmt-interfaces
>edit X
>set gateway
- 宛先サブネット
- 管理インターフェースからルーティングするときに宛先サブネットを限定する場合に設定
- 設定無しの場合 0.0.0.0/0 (宛先制限無し) の意味となる
- CLI 該当項目:
config system ha
>config ha-mgmt-interfaces
>edit X
>set dst
- 有効化
- オーバーライド
- プライオリティの高い機器が障害から復旧した際に自動でプライマリ機の切り替わりをさせるかどうか
- CLI 該当項目:
config system ha
>set override
- ha-direct
- FortiGate を送信元とする SNMP/Syslog 等の通信の送信元インターフェースを管理インターフェースにしたい場合に有効化
- CLI 該当項目:
config system ha
>set ha-direct
システム設定
- オペレーションモード
- CLI 該当項目:
config system settings
>set opmode
- CLI 該当項目:
- 管理者設定
- HTTPポート
- CLI 該当項目:
config system global
>set admin-port
- CLI 該当項目:
- HTTPSへリダイレクト
- CLI 該当項目:
config system global
>set admin-https-redirect
- CLI 該当項目:
- HTTPSポート
- CLI 該当項目:
config system global
>set admin-sport
- CLI 該当項目:
- SSHポート
- CLI 該当項目:
config system global
>set admin-ssh-port
- CLI 該当項目:
- Telnetポート
- CLI 該当項目:
config system global
>set admin-telnet-port
- CLI 該当項目:
- アイドルタイムアウト
- CLI 該当項目:
config system global
>set admintimeout
- CLI 該当項目:
- FortiCloud SSOを使用して管理ログインを許可
- CLI 該当項目:
config system global
>set admin-forticloud-sso-login
- CLI 該当項目:
- HTTPポート
- パスワードポリシー
- パスワードスコープ
- CLI 該当項目:
config system password-policy
>set status
config system password-policy
>set apply-to
- CLI 該当項目:
- 最小長
- CLI 該当項目:
config system password-policy
>set minimum-length
- CLI 該当項目:
- 新規文字の最小文字数
- CLI 該当項目:
config system password-policy
>set min-change-characters
- CLI 該当項目:
- キャラクタ要件
- 大文字
- CLI 該当項目:
config system password-policy
>set min-upper-case-letter
- CLI 該当項目:
- 小文字
- CLI 該当項目:
config system password-policy
>set min-lower-case-letter
- CLI 該当項目:
- 数字 (0-9)
- CLI 該当項目:
config system password-policy
>set min-number
- CLI 該当項目:
- 特殊文字
- CLI 該当項目:
config system password-policy
>set min-non-alphanumeric
- CLI 該当項目:
- 大文字
- パスワード再利用を許可
- CLI 該当項目:
config system password-policy
>set reuse-password
- CLI 該当項目:
- パスワード期限
- 有効化
- CLI 該当項目:
config system password-policy
>set expire-status
- CLI 該当項目:
- 日数
- CLI 該当項目:
config system password-policy
>set expire-day
- CLI 該当項目:
- 有効化
- パスワードスコープ
- ワークフローマネジメント
- 設定保存モード
- タイムアウト時に元に戻す/秒数
- CLI 該当項目:
config system global
>set cfg-save
- automatic ⇒ 設定保存モード「自動」
- manual ⇒ 設定保存モード「手動」かつタイムアウト時に元に戻すが「無効」
- revert ⇒ 設定保存モード「手動」かつタイムアウト時に元に戻すが「有効」
config system global
>set cfg-revert-timeout
- タイムアウト時に元に戻す場合の秒数
- GUI 表示設定
- 言語
- CLI 該当項目:
config system global
>set language
- CLI 該当項目:
- テーマ
- CLI 該当項目:
config system global
>set gui-theme
- CLI 該当項目:
- 日付/時刻表示
- CLI 該当項目:
config system global
>set gui-date-time-source
- CLI 該当項目:
- 言語
- VLANスイッチモード
- CLI 該当項目:
config system settings
>set virtual-switch-vlan
- CLI 該当項目:
- NGFWモード
- CLI 該当項目:
config system settings
>set ngfw-mode
- CLI 該当項目:
- セントラルNAT
- CLI 該当項目:
config system settings
>set central-nat
- CLI 該当項目:
- 自動ファイルシステムチェック
- CLI 該当項目:
config system global
>set autorun-log-fsck
- CLI 該当項目:
- USB自動インストール
- 設定ファイルを検知
- CLI 該当項目:
-
config system auto-install
>set auto-install-config
-
config system auto-install
>set default-config-file
-
- CLI 該当項目:
- ファームウェアを検知
- CLI 該当項目:
config system auto-install
>set auto-install-image
config system auto-install
>set default-image-file
- CLI 該当項目:
- 設定ファイルを検知
FortiGuard 設定
- ファームウェア自動更新
- CLI 該当項目:
config system fortiguard
内の関連項目 - ファームウェア自動更新機能について詳しくは以下ページ参照
- CLI 該当項目:
パラメータシート項目と config system fortiguard
内の設定項目との対応は以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
有効化 | auto-firmware-upgrade | |
自動アップグレードディレイ日数 | auto-firmware-upgrade-delay | auto-firmware-upgrade-day と排他的な設定項目 |
自動アップグレード曜日 | auto-firmware-upgrade-day | auto-firmware-upgrade-delay と排他的な設定項目 |
自動アップグレード開始時刻 | auto-firmware-upgrade-start-hour | |
自動アップグレード終了時刻 | auto-firmware-upgrade-end-hour |
コンソール設定
- config system console
- CLI 該当項目:
config system console
>set output
- CLI 該当項目:
システム管理者
- 管理者名
- CLI 該当項目:
config system admin
>edit "管理者名"
- CLI 該当項目:
- パスワード
- CLI 該当項目:
config system admin
>edit "管理者名"
>set password
- CLI 該当項目:
- プロファイル
- CLI 該当項目:
config system admin
>edit "管理者名"
>set accprofile
- CLI 該当項目:
- 信頼されるホスト
- CLI 該当項目:
config system admin
>edit "管理者名"
>set trusthost1~10
- 設定値の形式: x.x.x.x x.x.x.x (<アドレス> <マスク>)
- 最大 10 まで設定可能。6 以上設定する場合は行を追加してください
- CLI 該当項目:
- 新規管理者名1アカウント分の空き枠を記載しています。2以上の新規管理者を設定する場合は管理者名の枠を丸ごとコピー&追加してください
管理者プロファイル
- プロファイル super_admin はデフォルトで存在するプロファイルです(設定変更不可)
- プロファイル prof_admin はデフォルトで存在するプロファイルです(設定変更可能)
- 新規プロファイルを設定する場合は、プロファイル prof_admin の枠を丸ごとコピー&追加して新規プロファイルように値を書き換えてください
- プロファイル名
- CLI 該当項目:
config system accprofile
>edit "プロファイル名"
- 以下、プロファイル内の設定項目です
- アクセス権限
- セキュリティファブリック
- CLI 該当項目:
set secfabgrp
- CLI 該当項目:
- fortiView
- CLI 該当項目:
set ftviewgrp
- CLI 該当項目:
- ユーザ & デバイス
- CLI 該当項目:
set authgrp
- CLI 該当項目:
- ファイアウォール
- CLI 該当項目:
set fwgrp
- CLI 該当項目:
- ログ & レポート
- CLI 該当項目:
set loggrp
- CLI 該当項目:
- ネットワーク
- CLI 該当項目:
set netgrp
- CLI 該当項目:
- システム
- CLI 該当項目:
set sysgrp
- CLI 該当項目:
- セキュリティプロファイル
- CLI 該当項目:
set utmgrp
- CLI 該当項目:
- VPN
- CLI 該当項目:
set vpngrp
- CLI 該当項目:
- WiFi & スイッチ
- CLI 該当項目:
set wifi
- CLI 該当項目:
- セキュリティファブリック
- CLI診断コマンドの使用を許可
- CLI 該当項目:
set system-diagnostics
- CLI 該当項目:
- アイドルタイムアウトのオーバーライド
- CLI 該当項目:
set admintimeout-override
- アイドルタイムアウト
- CLI 該当項目:
set admintimeout
- CLI 該当項目:
- CLI 該当項目:
- CLI 該当項目:
時刻/NTP 設定
- タイムゾーン
- CLI 該当項目:
config system global
>set timezone
- CLI での値「60」と GUI での値「(GMT+9:00) Osaka, Sapporo, Tokyo, Seoul」が対応します。当パラメータシートでは GUI での値を表記しています
- CLI 該当項目:
- NTPクライアント
- 有効化
- CLI 該当項目:
config system ntp
>set ntpsync
- CLI 該当項目:
- サーバタイプ
- CLI 該当項目:
config system ntp
>set type
- CLI 該当項目:
- 同期間隔
- CLI 該当項目:
config system ntp
>set syncinterval
- CLI 該当項目:
- ソースIP
- CLI 該当項目:
config system ntp
>set source-ip
- CLI 該当項目:
- NTP サーバ①/②
- CLI 該当項目:
config system ntp
>config ntpserver
>edit 1(2)
>set server
- CLI 該当項目:
- 有効化
- NTPサーバ
- 有効化
- CLI 該当項目:
config system ntp
>set server-mode
- CLI 該当項目:
- リッスンするインターフェース
- CLI 該当項目:
config system ntp
>set interface
- CLI 該当項目:
- 有効化
DNS 設定
- プライマリDNSサーバ
- CLI 該当項目:
config system dns
>set primary
- CLI 該当項目:
- セカンダリDNSサーバ
- CLI 該当項目:
config system dns
>set secondary
- CLI 該当項目:
- ソースIP
- CLI 該当項目:
config system dns
>set source-ip
- CLI 該当項目:
- ローカルドメイン名
- CLI 該当項目:
config system dns
>set domain
- CLI 該当項目:
ログ設定
- メモリロギング
- 有効化
- CLI 該当項目:
config log memory setting
>set status
- CLI 該当項目:
- severity
- CLI 該当項目:
config log memory filter
>set severity
- CLI 該当項目:
- 有効化
- リモートログとアーカイブ
- FortiAnalyzer/FortiManagerにログを送信
- CLI 該当項目:
config log fortianalyzer setting
>set status
- CLI 該当項目:
- ログをSyslog へ送信
- 有効化
- CLI 該当項目:
config log syslogd setting
>set status
- CLI 該当項目:
- Syslog サーバアドレス
- CLI 該当項目:
config log syslogd setting
>set server
- CLI 該当項目:
- severity
- CLI 該当項目:
config log syslogd filter
>set severity
- CLI 該当項目:
- 有効化
- FortiAnalyzer/FortiManagerにログを送信
- イベントロギング
- システムアクティビティイベント
- CLI 該当項目:
config log eventfilter
>set system
- CLI 該当項目:
- VPNアクティビティイベント
- CLI 該当項目:
config log eventfilter
>set vpn
- CLI 該当項目:
- ユーザアクティビティイベント
- CLI 該当項目:
config log eventfilter
>set user
- CLI 該当項目:
- ルータ―アクティビティイベント
- CLI 該当項目:
config log eventfilter
>set router
- CLI 該当項目:
- WiFiアクティビティイベント
- CLI 該当項目:
config log eventfilter
>set wireless-activity
- CLI 該当項目:
- Explicit Webプロキシイベント
- CLI 該当項目:
config log eventfilter
>set wan-opt
- CLI 該当項目:
- エンドポイントイベント
- CLI 該当項目:
config log eventfilter
>set endpoint
- CLI 該当項目:
- HA イベント
- CLI 該当項目:
config log eventfilter
>set ha
- CLI 該当項目:
- セキュリティレーティングイベント
- CLI 該当項目:
config log eventfilter
>set security-rating
- CLI 該当項目:
- FortiExtenderイベント
- CLI 該当項目:
config log eventfilter
>set fortiextender
- CLI 該当項目:
- SDNコネクタイベント
- CLI 該当項目:
config log eventfilter
>set connector
- CLI 該当項目:
- SD-WANイベント
- CLI 該当項目:
config log eventfilter
>set sdwan
- CLI 該当項目:
- CIFSイベント
- CLI 該当項目:
config log eventfilter
>set cifs
- CLI 該当項目:
- スイッチコントローラーイベント
- CLI 該当項目:
config log eventfilter
>set switch-controller
- CLI 該当項目:
- システムアクティビティイベント
- ローカルトラフィックログ
- 許可トラフィックをログ
- CLI 該当項目:
config log setting
>set local-in-allow
- CLI 該当項目:
- 拒否したユニキャストトラフィックをログ
- CLI 該当項目:
config log setting
>set local-in-deny-unicast
- CLI 該当項目:
- Local Out トラフィックをログ
- CLI 該当項目:
config log setting
>set local-out
- CLI 該当項目:
- 拒否したブロードキャストトラフィックをログ
- CLI 該当項目:
config log setting
>set local-in-deny-broadcast
- CLI 該当項目:
- 許可トラフィックをログ
SNMP 設定
◆SNMPエージェント
- 有効化
- CLI 該当項目:
config system snmp sysinfo
>set status
- CLI 該当項目:
- 説明(description)
- CLI 該当項目:
config system snmp sysinfo
>set description
- CLI 該当項目:
- ロケーション
- CLI 該当項目:
config system snmp sysinfo
>set location
- CLI 該当項目:
- コンタクト情報
- CLI 該当項目:
config system snmp sysinfo
>set contact-info
- CLI 該当項目:
◆SNMPv1/v2c
- 「SNMPv1/v2c」の設定はコミュニティごとに設定でき、コミュニティは任意の数設定できますが、当パラメータシートではコミュニティを一つのみ設定する場合を前提としています
- コミュニティ
- コミュニティ名
- CLI 該当項目:
config system snmp community
>edit X
>set name
- CLI 該当項目:
- 有効化
- CLI 該当項目:
config system snmp community
>edit X
>set status
- CLI 該当項目:
- コミュニティ名
- ホスト①②
- ホスト設定は以下のようにコミュニティの edit 内で
config hosts
として設定します- ホスト数分だけ
config hosts
>edit X
を設定します
- ホスト数分だけ
config system snmp community
>edit X
>config hosts
>edit X
- 以下のアドレス、タイプは
config hsots
>edit X
内の設定項目です - アドレス
- CLI 該当項目:
set ip
- CLI 該当項目:
- タイプ
- CLI 該当項目:
set host-type
- CLI 該当項目:
- ホスト設定は以下のようにコミュニティの edit 内で
- 以下のクエリ、トラップは
config system snmp community
>edit X
内の設定項目です - クエリ
- v1有効
- CLI 該当項目:
set query-v1-status
- CLI 該当項目:
- ポート
- CLI 該当項目:
set query-v1-port
- CLI 該当項目:
- v2c有効
- CLI 該当項目:
set query-v2c-status
- CLI 該当項目:
- ポート
- CLI 該当項目:
set query-v2c-port
- CLI 該当項目:
- v1有効
- トラップ
- v1有効
- CLI 該当項目:
set trap-v1-status
- CLI 該当項目:
- ローカルポート
- CLI 該当項目:
set trap-v1-lport
- CLI 該当項目:
- リモートポート
- CLI 該当項目:
set trap-v1-rport
- CLI 該当項目:
- v2c有効
- CLI 該当項目:
set trap-v2c-status
- CLI 該当項目:
- ローカルポート
- CLI 該当項目:
set trap-v2c-lport
- CLI 該当項目:
- リモートポート
- CLI 該当項目:
set trap-v2c-rport
- CLI 該当項目:
- v1有効
◆SNMPイベント
- SNMPイベントは「SNMPv1/v2c」のコミュニティごとに設定します
- 当パラメータシートでは「SNMPv1/v2c」のコミュニティを一つのみ設定する場合を前提としているため、SNMPイベントの記載欄は一セットのみ記載しています
- CLI 該当項目:
config system snmp community
>edit X
>set events
- SNMP イベントは CLI だとわかりにくいので GUI での設定を推奨します
DHCP サーバ
- 以下の DHCP サーバ設定項目は
config system dhcp server
>edit X
内の設定項目です - DHCP サーバを有効化するインターフェース毎に
edit X
を作成します
- インターフェース名
- CLI 該当項目:
set interface
- CLI 該当項目:
- アドレス範囲
- アドレス範囲は
edit X
内に以下のconfig ip-range
を設定します - CLI 該当項目:
config ip-range
>edit X
>set start-ip
- アドレス範囲の開始 IP
config ip-range
>edit X
>set end-ip
- アドレス範囲の終了 IP
- パラメータシート上では 「<開始IP> – <終了IP>」の形式で記載する想定です
- アドレス範囲は
- ネットマスク
- CLI 該当項目:
set netmask
- CLI 該当項目:
- デフォルトゲートウェイ
- CLI 該当項目:
set default-gateway
- CLI 該当項目:
- DNSサーバ
- CLI 該当項目:
set dns-service
- CLI 該当項目:
- リース時間
- CLI 該当項目:
set lease-time
- CLI 該当項目:
STP 設定
- STP はハードウェアスイッチでデフォルトで有効になっています。ハードウェアスイッチの STP 動作に関わる設定です
- config system stp
- set switch-priority
- STP switch priority; the lower the number the higher the priority (select from 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, and 57344).
- set hello-time
- Hello time (1 – 10 sec, default = 2).
- set forward-delay
- Forward delay (4 – 30 sec, default = 15).
- set max-age
- Maximum packet age (6 – 40 sec, default = 20).
- set max-hops
- Maximum number of hops (1 – 40, default = 20).
- set switch-priority
ローカルユーザ
SSL-VPN 等の認証で使用するローカルユーザの設定です。
- ユーザ名
- CLI 該当項目:
config user local
>edit "ユーザ名"
- CLI 該当項目:
- 以下は
edit "ユーザ名"
内の設定項目です- パスワード
- CLI 該当項目:
set passwd
- CLI 該当項目:
- ステータス
- CLI 該当項目:
set status
- CLI 該当項目:
- 二要素認証
- 二要素認証を使用する場合は enable にしてください
- 認証タイプ
- CLI 該当項目:
set two-factor
- CLI 該当項目:
- トークンシリアルNo.
- CLI 該当項目:
set fortitoken
- CLI 該当項目:
- Eメールアドレス
- CLI 該当項目:
set email-to
- CLI 該当項目:
- 国際ダイヤルコード/電話番号
- CLI 該当項目:
set
sms-phone
- GUI では国際ダイヤルコードと電話番号を別々に設定する
- CLI 該当項目:
- パスワード
- (ユーザグループ)
- ユーザが所属するユーザグループ名
- GUI ではユーザ設定内で設定可能ですが、CLI コンフィグ上では以下のグループ設定内のメンバー設定に該当するため、当パラメータシートではローカルユーザ欄にはグループを記載せずに、ユーザグループの欄にメンバーを記載します
- CLI 該当項目:
config user group
>edit "グループ名"
>set member
ユーザグループ
- ユーザグループ名
- CLI 該当項目:
config user group
>edit "グループ名"
- CLI 該当項目:
- 以下は
edit "グループ名"
内の設定項目です- グループタイプ
- CLI 該当項目:
set group-type
- CLI 該当項目:
- メンバー
- CLI 該当項目:
set member
- CLI 該当項目:
- グループタイプ
インターフェース設定
インターフェース設定シートでは、各表にてインターフェース名の列に記載が必要なインタフェースの名前を記載した上で各値を入力してください。
物理インターフェース
物理インターフェースについては、config system interface
> edit "インターフェース名"
内の設定項目について記載します。
パラメータシートの各項目に対応する CLI 設定項目は以下表の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
ステータス | status | |
エイリアス | alias | |
ロール | role | |
アドレス | ip | ip でサブネットマスクも同時に設定 |
サブネットマスク | ip | ip でアドレスも同時に設定 |
Speed/Duplex | speed | |
trunk | trunk | VLANスイッチ使用時に Tagged (trunk) ポートとする場合に有効化 |
MTU | mtu | set mtu-override enable が前提 |
MSS | tcp-mss | |
LLDP受信 | lldp-reception | |
LLDP送信 | lldp-transmission | |
デバイス検知 | device-identification | |
セキュリティモード | security-mode | |
トラフィックシェイピング >プロファイル | egress-shaping-profile | |
トラフィックシェイピング >帯域幅(kbps) | outbandwidth | |
備考 | ー | 補足情報があれば記載 |
VLANスイッチ
VLANスイッチについては、物理インターフェースと同様に config system interface
> edit "VLANスイッチ名"
内の設定項目について記載します。
VLANスイッチ特有の項目については以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
STP | stp | STP 有効/無効 |
ただし、VLAN ID のみは config system virtual-switch
> edit "VLANスイッチ名"
内の設定項目となります。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
VLAN ID | vlan |
ハードウェアスイッチ
ハードウェアスイッチについては、物理インターフェースと同様に config system interface
> edit "ハードウェアスイッチ名"
内の設定項目について記載します。
ハードウェアスイッチ特有の項目については以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
STP | stp | STP 有効/無効 |
アグリゲートインターフェース(802.3ad アグリゲート)
インターフェースのタイプが「aggregate(802.3ad アグリゲート)」であるインターフェースについて記載する欄です。物理インターフェースと同様に config system interface
> edit "アグリゲートインターフェース名"
内の設定項目について記載します。
アグリゲートインターフェース特有の項目については以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
インターフェースメンバー | member | |
lacp-mode | lacp-mode | LACPモード |
VLANインターフェース(タグ)
VLANインターフェースについては、物理インターフェースと同様に config system interface
> edit "VLAN名"
内の設定項目について記載します。
VLANインターフェース特有の項目については以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
インターフェース | interface | 紐づけ先インターフェース |
VLAN ID | vlanid | タグVLAN ID |
VLANプロトコル | vlan-protocol |
PPPoE設定(アドレッシングモード:PPPoE)
インターフェースのアドレッシングモードを PPPoE にしているインターフェースについて、PPPoE 関連の設定項目に関して記載する欄です。
config system interface
> edit "インターフェース名"
配下の以下項目について記載します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
ユーザ名 | username | PPPoE ユーザ名 |
パスワード | password | PPPoE パスワード |
Unnumbered IP接続 | ipunnumbered | |
タイムアウト > 初期Disc | disc-retry-timeout | |
タイムアウト > 初期PADT | padt-retry-timeout | |
デフォルトGWを取得 | defaultgw | |
ディスタンス | distance | |
内部DNSを上書き | dns-server-override |
トンネルインターフェース
トンネルインターフェースについては、物理インターフェースと同様に config system interface
> edit "VLAN名"
内の設定項目について記載します。
トンネルインターフェース特有の項目については以下の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
リモート > アドレス | remote-ip | remote-ip でアドレスとサブネットマスクをまとめて設定 |
リモート > サブネットマスク | remote-ip | remote-ip でアドレスとサブネットマスクをまとめて設定 |
ゾーン
ゾーンについては config system zone
> edit "ゾーン名"
内の設定項目について記載します。
パラメータシートの各項目に対応する CLI 設定項目は以下表の通りです。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
ゾーン内トラフィックをブロック | intrazone | GUI 項目と CLI 項目で設定値の意味が逆になるため注意 パラメータシートでは GUI の項目に合わせています |
コメント | description | |
インターフェースメンバー | interface |
管理アクセス許可
全インターフェースについて、config system interface
> edit "インターフェース名"
内の set allowaccess
について記載します。記載が必要なインターフェースの名前をインターフェース名の列に記載してください。
設定値は「☑/-」のリストから選択します。「-」を選択した場合そのセルはグレーアウトされます。
・☑ ⇒ 有効
・- ⇒ 無効
ルーティング設定
スタティックルート
スタティックルート欄の記載内容は CLI での config router static
内の設定項目に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
宛先アドレス | dst | dst にて宛先ネットマスクと同時に設定 |
宛先ネットマスク | dst | dst にて宛先アドレスと同時に設定 |
ゲートウェイアドレス | gateway | |
インターフェース | device | |
AD値 | distance | アドミニストレーティブ・ディスタンス |
プライオリティ | priority | |
ダイナミックゲートウェイ | dynamic-gateway | PPPoEを使用したWAN向けルートの場合等に有効化する |
ステータス | status | |
コメント | comment |
リンクモニタ
リンクモニタ欄の記載内容は CLI での config system link-monitor
内の設定項目に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
ソースインターフェース | srcintf | |
server(監視対象アドレス) | server | |
プロトコル | protocol | |
ゲートウェイIP | gateway-ip | |
interval | interval | |
failtime | failtime | |
recoverytime | recoverytime | |
update-cascade-interface | update-cascade-interface | |
update-static-route | update-static-route | |
ステータス | status |
リンクモニタ解説ページ
→https://nwengblog.com/fortigate-link-monitor/
VPN設定
IPsec-VPN設定
◆IKEフェーズ1 インターフェース
IKEフェーズ1 インターフェース欄は CLI での config vpn ipsec phase1-interface
に該当します。
以下表の項目は config vpn ipsec phase1-interface
> edit "XXXX"
内の項目です。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
インターフェース | interface | |
IKEバージョン | ike-version | |
暗号化/ハッシュアルゴリズム | proposal | |
認証方式 | authmethod | |
DH グループ | dhgrp | |
ISAKMP ライフタイム | keylife | |
Pre-shared Key | psksecret | |
IKE キープアライブ(DPD) | dpd | |
IKE モード | mode | |
ISAKMP のピアアドレス | remote-gw | |
NAT トラバーサル | nattraversal | |
オートネゴシエート | auto-negotiat |
◆IKEフェーズ2 インターフェース
IKEフェーズ2 インターフェース欄は CLI での config vpn ipsec phase2-interface
に該当します。
以下表の項目は config vpn ipsec phase2-interface
> edit "XXXX"
内の項目です。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
フェーズ1インターフェース名 | phase1name | |
暗号化/認証アルゴリズム | proposal | |
PFS 有効化 | pfs | |
DH グループ | dhgrp | |
IPsec SA ライフタイム | keylifeseconds | |
IPsec 通信モード | encapsulation | |
送信元サブネット | src-subnet | |
宛先サブネット | dst-subnet |
SSL-VPN設定
◆SSL-VPN設定
SSL-VPN設定欄は CLI での config vpn ssl settings
に該当します。パラメータシートでは GUI の SSL-VPN 設定画面での項目名を記載しています。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
SSL-VPN 有効化 | status | |
リッスンするインターフェース | source-interface | |
リッスンするポート | port | |
サーバ証明書 | servercert | |
HTTPをSSL-VPNにリダイレクト | https-redirect | |
アクセスを制限>許可ホスト | source-address | デフォルトは”all”(任意のホストからアクセス許可) |
アイドル ログアウト>アイドルタイムアウト | idle-timeout | アイドルログアウトがdisable⇒idle-timeout が 0 であることを意味する |
クライアント証明書を要求 | reqclientcert | |
クライアントアドレス範囲>カスタムIP範囲 | tunnel-ip-pools | 自動的にアドレス割り当て ⇒ IP範囲はSSLVPN_TUNNEL_ADDR1になる |
DNSサーバ#1 DNSサーバ#2 | dns-server1 dns-server2 | |
WINSサーバ#1 WINSサーバ#2 | wins-server1 wins-server2 | |
Webモードの設定 | browser-language-detection | |
認証/ポータルマッピング > デフォルトポータル | default-portal | |
認証/ポータルマッピング > 個別のマッピング | config authentication-rule edit x set users “xxx” set portal “xxxx” next end | config vpn ssl settings 内における config authentication-rule の設定となります (config ... の2重構造) |
◆SSL-VPNポータル
SSL-VPNポータル欄は CLI での config vpn ssl web portal
に該当します。
- SSL-VPNポータル欄では、デフォルトで存在する以下3つのポータルについてデフォルト値を記載をしてあります
- full-access
- web-access
- tunnel-access
- 上記ポータルの設定値を変更する場合は該当する箇所の値を書き換えてください
- 新規のポータルを作成する場合は、既存のポータルの行をコピー&ペーストして枠を増やしてから新規ポータルの設定値を記載してください
オブジェクト設定
アドレス
アドレス欄は CLI での config firewall address
に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
アドレス名 | edit “アドレス名” | 以下項目はすべて edit “アドレス名” 内の項目です |
タイプ | type | ・サブネット ・IP範囲 ・FQDN ・デバイス(MAC) |
アドレス/ IP範囲/ FQDN/ MACアドレス | subnet/ start-ip 及び end-ip/ fqdn/ macaddr | タイプの設定値によって該当 CLI 項目が異なる。 ※タイプがアドレスの場合、この枠にはサブネットマスクを除くアドレス部分のみ記載する |
ネットマスク | subnet | タイプがサブネットの場合のみ、サブネットマスクを記載 |
インターフェース | associated-interface | |
スタティックルート設定 | allow-routing | |
コメント | comment |
アドレスグループ
アドレスグループ欄は CLI での config firewall addrgrp
に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
グループ名 | edit “グループ名” | 以下項目はすべて edit “グループ名” 内の項目です |
タイプ | type | ・グループ: 通常はこちら ・フォルダ: 所属アドレスはただ一つのフォルダにのみ所属できる |
メンバー | member | グループに所属するアドレスリストを記載 |
ネットマスク | subnet | タイプがサブネットの場合のみ、サブネットマスクを記載 |
メンバーの除外 | exclude 及び exclude-member | メンバー除外が有効な場合、パラメータシートでは除外対象のアドレス名を記載。CLI では exclude を enable にした上で exclude-member を設定する。 |
スタティックルート設定 | allow-routing | |
コメント | comment |
バーチャルIP
バーチャルIP 欄は CLI での config firewall vip
に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
VIP名 | edit “VIP名” | 以下項目はすべて edit “VIP名” 内の項目です |
インターフェース | extintf | |
ネットワーク > タイプ | type | |
ネットワーク > 外部IPアドレス/範囲 | extip | |
ネットワーク > マップIPv4アドレス/範囲 | mappedip | |
オプションのフィルタ > 送信元アドレス | src-filter | |
オプションのフィルタ > サービス | service | |
ポートフォワード > プロトコル | protocol | ※ポートフォワードを使用する場合 set portforward enable が前提 |
ポートフォワード > ポートマッピングタイプ | portmapping-type | |
ポートフォワード > 外部サービスポート | extport | |
ポートフォワード > IPv4ポートへマップ | mappedport | |
Arp応答 | arp-reply | |
コメント | comment |
サービス
サービス欄は CLI での config firewall service custom
に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
サービス名 | edit “サービス名” | 以下項目はすべて edit “サービス名” 内の項目です |
サービスリストに表示 | visibility | |
カテゴリ | category | |
プロトコルタイプ | protocol | |
アドレス(IP範囲/FQDN) | iprange 及び fqdn | |
宛先ポート > TCP/UDP/SCTP 宛先ポート > Low – High 送信元ポート > Low – High | tcp-portrange または udp-portrange または sctp-portrange | この3つのパラメータシート項目に該当する設定値は CLI においては1つの設定項目に集約される |
ICMP > タイプ | icmptype | プロトコルが ICMP の場合のみ |
ICMP > コード | icmpcode | プロトコルが ICMP の場合のみ |
IP > プロトコル番号 | protocol-number | プロトコルが IP の場合のみ |
コメント | comment |
サービスグループ
サービスグループ欄は CLI での config firewall service group
に該当します。
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
グループ名 | edit “グループ名” | 以下項目はすべて edit “グループ名” 内の項目です |
メンバー | member | |
コメント | comment |
ポリシー設定
- ポリシー設定欄は CLI での
config firewall policy
に該当します - ポリシーの記載順は、ポリシーの適用順序と同じ順序にしてください
- ポリシーの適用順序について詳しくは https://nwengblog.com/fortigate-policyorder/ を参照
- 以下表で記載している CLI 設定項目は各
edit "ID"
内の項目です
パラメータシート項目 | CLI 設定項目 (set ...) | 備考 |
ポリシー名 | name | |
ステータス | status | |
着信インターフェース | srcintf | |
発信インターフェース | dstintf | |
送信元 | srcaddr | |
宛先 | dstaddr | |
スケジュール | schedule | |
サービス | service | |
アクション | action | |
インスペクションモード | inspection-mode | |
NAT > IPプール | nat ippool poolname | NAT を使用する場合 set nat enable が前提。IPプール方式の場合加えて set ippool enable が前提。パラメータシートではIPプール方式の場合は使用するプール名( poolname の値)を記載する。 |
NAT > 送信元ポートの保持 | fixedport | |
プロトコルオプション | profile-protocol-options | |
アンチウイルス | av-profile | 使用は set utm-status enable が前提 |
Webフィルタ | webfilter-profile | 使用は set utm-status enable が前提 |
DNSフィルタ | dnsfilter-profile | 使用は set utm-status enable が前提 |
アプリケーションコントロール | application-list | 使用は set utm-status enable が前提 |
ファイルフィルタ | file-filter-profile | 使用は set utm-status enable が前提 |
SSLインスペクション | ssl-ssh-profile | 使用は set utm-status enable が前提 |
ロギングオプション | logtraffic | |
セッション開始時のログ | logtraffic-start |
FortiGate の設計構築に役立つ設定ガイドとして以下サイトがお勧めです
コメント