matsublog FortiGate パラメータシート取扱説明書

本取扱説明書について【対象パラメータシート】
システム基本設定
インターフェース設定
ルーティング設定
1. スタティックルート
2. リンクモニタ
VPN設定
1. IPsec-VPN設定
2. SSL-VPN設定
オブジェクト設定
ポリシー設定

本取扱説明書について【対象パラメータシート】

本ページは以下のページにて公開している matsublog オリジナルFortiGate パラメータシートの取扱説明書です。当該パラメータシートに記載されている各項目について、CLI のどの設定項目に対応するのか等の詳細な説明を記載しています。

システム基本設定

基本情報

機器構成
- 「シングル構成/冗長構成」から選択します
- シングル構成： FortiGate が HA を構成しない1台構成の場合に選択します
  - シングル構成を選択すると、機器②の欄、及び HA 設定欄がグレーアウトされます
- 冗長構成： FortiGate が HA を構成する2台構成の場合に選択します

ホスト名
- FortiGate に設定するホスト名を記載します
- CLI 該当項目： config system global > set hostname
名称
- 対象ネットワークにおける FortiGate の名称があれば記載します
- 例：外部ファイアウォール、内部ファイアウォール等
設置場所
- FortiGate の設置場所を記載します
型番
- FortiGate の型番を記載します
- 例： FortiGate 60F
シリアルNo.
- FortiGate のシリアル番号を記載します
- 例： FGT60FTK01234567
ファームウェアバージョン
- FortiGate のファームウェアバージョンを記載します
- 例： v7.2.3
ライセンス
- FortiGate に適用されているライセンス種別を記載します
- リストから選択するか、手入力します

HA 設定

E/F列の項目名「設定値()」では、基本情報のホスト名欄に入力したホスト名が参照され「設定値(<ホスト名>)」と表示されます

モード
- HA モードをリストから選択します
- CLI 該当項目： config system ha > set mode

デバイスのプライオリティ
- HA のマスター機の選出に関わるプライオリティを記載します
- CLI 該当項目： config system ha > set priority

Group ID
- HA グループ ID を記載します
- 基本的にデフォルトの 0 で問題ありませんが、場合によっては変更する必要があります
  → 参考： https://nwengblog.com/fortigate-ha-mac/
- CLI 該当項目： config system ha > set group-id

グループ名/パスワード
- HA グループ名とパスワードを記載します
- いずれも HA を構成する FortiGate 2台で同じ値を設定する必要があります
- CLI 該当項目： config system ha > set group-name / set password

セッションピックアップ
- プライマリ機とセカンダリ機でセッション情報を同期するかどうかを意味します
- CLI 該当項目： config system ha > set session-pickup

モニタインターフェース
- 状態監視を行う対象インターフェースを必要数だけ記載します
- 行数が不足する場合は行を追加してください
- CLI 該当項目： config system ha > set monitor

ハートビートインターフェース
- CLI 該当項目： config system ha > set hbdev

管理インターフェース
- 有効化
  - CLI 該当項目： config system ha > set ha-mgmt-status
- インターフェース名
  - 管理インターフェースとする物理インターフェースの名前を記載します
  - CLI 該当項目： config system ha > config ha-mgmt-interfaces > edit X > set interface
- ゲートウェイ
  - 管理インターフェースからルーティングするときのゲートウェイ
  - CLI 該当項目： config system ha > config ha-mgmt-interfaces > edit X > set gateway
- 宛先サブネット
  - 管理インターフェースからルーティングするときに宛先サブネットを限定する場合に設定
  - 設定無しの場合 0.0.0.0/0 (宛先制限無し) の意味となる
  - CLI 該当項目： config system ha > config ha-mgmt-interfaces > edit X > set dst

オーバーライド
- プライオリティの高い機器が障害から復旧した際に自動でプライマリ機の切り替わりをさせるかどうか
- CLI 該当項目： config system ha > set override

ha-direct
- FortiGate を送信元とする SNMP/Syslog 等の通信の送信元インターフェースを管理インターフェースにしたい場合に有効化
- CLI 該当項目： config system ha > set ha-direct

システム設定

オペレーションモード
- CLI 該当項目： config system settings > set opmode

管理者設定
- HTTPポート
  - CLI 該当項目： config system global > set admin-port
- HTTPSへリダイレクト
  - CLI 該当項目： config system global > set admin-https-redirect
- HTTPSポート
  - CLI 該当項目： config system global > set admin-sport
- SSHポート
  - CLI 該当項目： config system global > set admin-ssh-port
- Telnetポート
  - CLI 該当項目： config system global > set admin-telnet-port
- アイドルタイムアウト
  - CLI 該当項目： config system global > set admintimeout
- FortiCloud SSOを使用して管理ログインを許可
  - CLI 該当項目： config system global > set admin-forticloud-sso-login

パスワードポリシー
- パスワードスコープ
  - CLI 該当項目：
    - config system password-policy > set status
    - config system password-policy > set apply-to
- 最小長
  - CLI 該当項目： config system password-policy > set minimum-length
- 新規文字の最小文字数
  - CLI 該当項目： config system password-policy > set min-change-characters
- キャラクタ要件
  - 大文字
    - CLI 該当項目： config system password-policy > set min-upper-case-letter
  - 小文字
    - CLI 該当項目： config system password-policy > set min-lower-case-letter
  - 数字 (0-9)
    - CLI 該当項目： config system password-policy > set min-number
  - 特殊文字
    - CLI 該当項目： config system password-policy > set min-non-alphanumeric
- パスワード再利用を許可
  - CLI 該当項目： config system password-policy > set reuse-password
- パスワード期限
  - 有効化
    - CLI 該当項目： config system password-policy > set expire-status
  - 日数
    - CLI 該当項目： config system password-policy > set expire-day

ワークフローマネジメント
- 設定保存モード
- タイムアウト時に元に戻す/秒数
- CLI 該当項目：
  - config system global > set cfg-save
    - automatic ⇒ 設定保存モード「自動」
    - manual ⇒ 設定保存モード「手動」かつタイムアウト時に元に戻すが「無効」
    - revert ⇒ 設定保存モード「手動」かつタイムアウト時に元に戻すが「有効」
  - config system global > set cfg-revert-timeout
    - タイムアウト時に元に戻す場合の秒数

GUI 表示設定
- 言語
  - CLI 該当項目： config system global > set language
- テーマ
  - CLI 該当項目： config system global > set gui-theme
- 日付/時刻表示
  - CLI 該当項目： config system global > set gui-date-time-source

VLANスイッチモード
- CLI 該当項目： config system settings > set virtual-switch-vlan

NGFWモード
- CLI 該当項目： config system settings > set ngfw-mode

セントラルNAT
- CLI 該当項目： config system settings > set central-nat

自動ファイルシステムチェック
- CLI 該当項目： config system global > set autorun-log-fsck

USB自動インストール
- 設定ファイルを検知
  - CLI 該当項目：
    - config system auto-install > set auto-install-config
    - config system auto-install > set default-config-file
- ファームウェアを検知
  - CLI 該当項目：
    - config system auto-install > set auto-install-image
    - config system auto-install > set default-image-file

FortiGuard 設定

ファームウェア自動更新
- CLI 該当項目： config system fortiguard 内の関連項目
- ファームウェア自動更新機能について詳しくは以下ページ参照
  - https://nwengblog.com/fortigate-auto-upgrade/

パラメータシート項目と config system fortiguard 内の設定項目との対応は以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
有効化	auto-firmware-upgrade
自動アップグレードディレイ日数	auto-firmware-upgrade-delay	auto-firmware-upgrade-day と排他的な設定項目
自動アップグレード曜日	auto-firmware-upgrade-day	auto-firmware-upgrade-delay と排他的な設定項目
自動アップグレード開始時刻	auto-firmware-upgrade-start-hour
自動アップグレード終了時刻	auto-firmware-upgrade-end-hour

コンソール設定

config system console
- CLI 該当項目： config system console > set output

システム管理者

管理者名
- CLI 該当項目： config system admin > edit "管理者名"
パスワード
- CLI 該当項目： config system admin > edit "管理者名" > set password
プロファイル
- CLI 該当項目： config system admin > edit "管理者名" > set accprofile
信頼されるホスト
- CLI 該当項目： config system admin > edit "管理者名" > set trusthost1～10
- 設定値の形式： x.x.x.x x.x.x.x (<アドレス> <マスク>)
- 最大 10 まで設定可能。6 以上設定する場合は行を追加してください
新規管理者名1アカウント分の空き枠を記載しています。2以上の新規管理者を設定する場合は管理者名の枠を丸ごとコピー&追加してください

管理者プロファイル

プロファイル super_admin はデフォルトで存在するプロファイルです（設定変更不可）
プロファイル prof_admin はデフォルトで存在するプロファイルです（設定変更可能）
新規プロファイルを設定する場合は、プロファイル prof_admin の枠を丸ごとコピー&追加して新規プロファイルように値を書き換えてください

プロファイル名
- CLI 該当項目： config system accprofile > edit "プロファイル名"
- 以下、プロファイル内の設定項目です
- アクセス権限
  - セキュリティファブリック
    - CLI 該当項目： set secfabgrp
  - fortiView
    - CLI 該当項目： set ftviewgrp
  - ユーザ & デバイス
    - CLI 該当項目： set authgrp
  - ファイアウォール
    - CLI 該当項目： set fwgrp
  - ログ & レポート
    - CLI 該当項目： set loggrp
  - ネットワーク
    - CLI 該当項目： set netgrp
  - システム
    - CLI 該当項目： set sysgrp
  - セキュリティプロファイル
    - CLI 該当項目： set utmgrp
  - VPN
    - CLI 該当項目： set vpngrp
  - WiFi & スイッチ
    - CLI 該当項目： set wifi
- CLI診断コマンドの使用を許可
  - CLI 該当項目： set system-diagnostics
- アイドルタイムアウトのオーバーライド
  - CLI 該当項目： set admintimeout-override
  - アイドルタイムアウト
    - CLI 該当項目： set admintimeout

時刻/NTP 設定

タイムゾーン
- CLI 該当項目： config system global > set timezone
- CLI での値「60」と GUI での値「(GMT+9:00) Osaka, Sapporo, Tokyo, Seoul」が対応します。当パラメータシートでは GUI での値を表記しています

NTPクライアント
- 有効化
  - CLI 該当項目： config system ntp > set ntpsync
- サーバタイプ
  - CLI 該当項目： config system ntp > set type
- 同期間隔
  - CLI 該当項目： config system ntp > set syncinterval
- ソースIP
  - CLI 該当項目： config system ntp > set source-ip
- NTP サーバ①/②
  - CLI 該当項目：
    config system ntp > config ntpserver > edit 1(2) > set server

NTPサーバ
- 有効化
  - CLI 該当項目： config system ntp > set server-mode
- リッスンするインターフェース
  - CLI 該当項目： config system ntp > set interface

DNS 設定

プライマリDNSサーバ
- CLI 該当項目： config system dns > set primary
セカンダリDNSサーバ
- CLI 該当項目： config system dns > set secondary
ソースIP
- CLI 該当項目： config system dns > set source-ip
ローカルドメイン名
- CLI 該当項目： config system dns > set domain

ログ設定

メモリロギング
- 有効化
  - CLI 該当項目： config log memory setting > set status
- severity
  - CLI 該当項目： config log memory filter > set severity

リモートログとアーカイブ
- FortiAnalyzer/FortiManagerにログを送信
  - CLI 該当項目： config log fortianalyzer setting > set status
- ログをSyslog へ送信
  - 有効化
    - CLI 該当項目： config log syslogd setting > set status
  - Syslog サーバアドレス
    - CLI 該当項目： config log syslogd setting > set server
  - severity
    - CLI 該当項目： config log syslogd filter > set severity

イベントロギング
- システムアクティビティイベント
  - CLI 該当項目： config log eventfilter > set system
- VPNアクティビティイベント
  - CLI 該当項目： config log eventfilter > set vpn
- ユーザアクティビティイベント
  - CLI 該当項目： config log eventfilter > set user
- ルータ―アクティビティイベント
  - CLI 該当項目： config log eventfilter > set router
- WiFiアクティビティイベント
  - CLI 該当項目： config log eventfilter > set wireless-activity
- Explicit Webプロキシイベント
  - CLI 該当項目： config log eventfilter > set wan-opt
- エンドポイントイベント
  - CLI 該当項目： config log eventfilter > set endpoint
- HA イベント
  - CLI 該当項目： config log eventfilter > set ha
- セキュリティレーティングイベント
  - CLI 該当項目： config log eventfilter > set security-rating
- FortiExtenderイベント
  - CLI 該当項目： config log eventfilter > set fortiextender
- SDNコネクタイベント
  - CLI 該当項目： config log eventfilter > set connector
- SD-WANイベント
  - CLI 該当項目： config log eventfilter > set sdwan
- CIFSイベント
  - CLI 該当項目： config log eventfilter > set cifs
- スイッチコントローラーイベント
  - CLI 該当項目： config log eventfilter > set switch-controller

ローカルトラフィックログ
- 許可トラフィックをログ
  - CLI 該当項目： config log setting > set local-in-allow
- 拒否したユニキャストトラフィックをログ
  - CLI 該当項目： config log setting > set local-in-deny-unicast
- Local Out トラフィックをログ
  - CLI 該当項目： config log setting > set local-out
- 拒否したブロードキャストトラフィックをログ
  - CLI 該当項目： config log setting > set local-in-deny-broadcast

SNMP 設定

◆SNMPエージェント

有効化
- CLI 該当項目： config system snmp sysinfo > set status
説明(description)
- CLI 該当項目： config system snmp sysinfo > set description
ロケーション
- CLI 該当項目： config system snmp sysinfo > set location
コンタクト情報
- CLI 該当項目： config system snmp sysinfo > set contact-info

◆SNMPv1/v2c

「SNMPv1/v2c」の設定はコミュニティごとに設定でき、コミュニティは任意の数設定できますが、当パラメータシートではコミュニティを一つのみ設定する場合を前提としています

コミュニティ
- コミュニティ名
  - CLI 該当項目： config system snmp community > edit X > set name
- 有効化
  - CLI 該当項目： config system snmp community > edit X > set status
ホスト①②
- ホスト設定は以下のようにコミュニティの edit 内で config hosts として設定します
  - ホスト数分だけ config hosts > edit X を設定します
- config system snmp community > edit X > config hosts > edit X
- 以下のアドレス、タイプは config hsots > edit X 内の設定項目です
- アドレス
  - CLI 該当項目： set ip
- タイプ
  - CLI 該当項目： set host-type
以下のクエリ、トラップは config system snmp community > edit X 内の設定項目です
クエリ
- v1有効
  - CLI 該当項目： set query-v1-status
- ポート
  - CLI 該当項目： set query-v1-port
- v2c有効
  - CLI 該当項目： set query-v2c-status
- ポート
  - CLI 該当項目： set query-v2c-port
トラップ
- v1有効
  - CLI 該当項目： set trap-v1-status
- ローカルポート
  - CLI 該当項目： set trap-v1-lport
- リモートポート
  - CLI 該当項目： set trap-v1-rport
- v2c有効
  - CLI 該当項目： set trap-v2c-status
- ローカルポート
  - CLI 該当項目： set trap-v2c-lport
- リモートポート
  - CLI 該当項目： set trap-v2c-rport

◆SNMPイベント

SNMPイベントは「SNMPv1/v2c」のコミュニティごとに設定します
当パラメータシートでは「SNMPv1/v2c」のコミュニティを一つのみ設定する場合を前提としているため、SNMPイベントの記載欄は一セットのみ記載しています
CLI 該当項目： config system snmp community > edit X > set events
SNMP イベントは CLI だとわかりにくいので GUI での設定を推奨します

DHCP サーバ

以下の DHCP サーバ設定項目は config system dhcp server > edit X 内の設定項目です
DHCP サーバを有効化するインターフェース毎に edit X を作成します

インターフェース名
- CLI 該当項目： set interface
アドレス範囲
- アドレス範囲は edit X 内に以下の config ip-range を設定します
- CLI 該当項目：
  - config ip-range > edit X > set start-ip
    - アドレス範囲の開始 IP
  - config ip-range > edit X > set end-ip
    - アドレス範囲の終了 IP
- パラメータシート上では「<開始IP> – <終了IP>」の形式で記載する想定です
ネットマスク
- CLI 該当項目： set netmask
デフォルトゲートウェイ
- CLI 該当項目： set default-gateway
DNSサーバ
- CLI 該当項目： set dns-service
リース時間
- CLI 該当項目： set lease-time

STP 設定

STP はハードウェアスイッチでデフォルトで有効になっています。ハードウェアスイッチの STP 動作に関わる設定です
config system stp
- set switch-priority
  - STP switch priority; the lower the number the higher the priority (select from 0, 4096, 8192, 12288, 16384, 20480, 24576, 28672, 32768, 36864, 40960, 45056, 49152, 53248, and 57344).
- set hello-time
  - Hello time (1 – 10 sec, default = 2).
- set forward-delay
  - Forward delay (4 – 30 sec, default = 15).
- set max-age
  - Maximum packet age (6 – 40 sec, default = 20).
- set max-hops
  - Maximum number of hops (1 – 40, default = 20).

ローカルユーザ

SSL-VPN 等の認証で使用するローカルユーザの設定です。

ユーザ名
- CLI 該当項目： config user local > edit "ユーザ名"
以下は edit "ユーザ名" 内の設定項目です
- パスワード
  - CLI 該当項目： set passwd
- ステータス
  - CLI 該当項目： set status
- 二要素認証
  - 二要素認証を使用する場合は enable にしてください
- 認証タイプ
  - CLI 該当項目： set two-factor
- トークンシリアルNo.
  - CLI 該当項目： set fortitoken
- Eメールアドレス
  - CLI 該当項目： set email-to
- 国際ダイヤルコード/電話番号
  - CLI 該当項目： set sms-phone
  - GUI では国際ダイヤルコードと電話番号を別々に設定する
（ユーザグループ）
- ユーザが所属するユーザグループ名
- GUI ではユーザ設定内で設定可能ですが、CLI コンフィグ上では以下のグループ設定内のメンバー設定に該当するため、当パラメータシートではローカルユーザ欄にはグループを記載せずに、ユーザグループの欄にメンバーを記載します
- CLI 該当項目： config user group > edit "グループ名" > set member

ユーザグループ

ユーザグループ名
- CLI 該当項目： config user group > edit "グループ名"
以下は edit "グループ名" 内の設定項目です
- グループタイプ
  - CLI 該当項目： set group-type
- メンバー
  - CLI 該当項目： set member

インターフェース設定

インターフェース設定シートでは、各表にてインターフェース名の列に記載が必要なインタフェースの名前を記載した上で各値を入力してください。

物理インターフェース

物理インターフェースについては、config system interface > edit "インターフェース名" 内の設定項目について記載します。

パラメータシートの各項目に対応する CLI 設定項目は以下表の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
ステータス	status
エイリアス	alias
ロール	role
アドレス	ip	ip でサブネットマスクも同時に設定
サブネットマスク	ip	ip でアドレスも同時に設定
Speed/Duplex	speed
trunk	trunk	VLANスイッチ使用時に Tagged (trunk) ポートとする場合に有効化
MTU	mtu	set mtu-override enable が前提
MSS	tcp-mss
LLDP受信	lldp-reception
LLDP送信	lldp-transmission
デバイス検知	device-identification
セキュリティモード	security-mode
トラフィックシェイピング　>プロファイル	egress-shaping-profile
トラフィックシェイピング　>帯域幅(kbps)	outbandwidth
備考	ー	補足情報があれば記載

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

アドレッシングモードが PPPoE の場合の設定項目は別の表に切り出しているため、このインターフェースの表には項目を記載していません。

VLANスイッチ

VLANスイッチについては、物理インターフェースと同様に config system interface > edit "VLANスイッチ名" 内の設定項目について記載します。

VLANスイッチ特有の項目については以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
STP	stp	STP 有効/無効

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

ただし、VLAN ID のみは config system virtual-switch > edit "VLANスイッチ名" 内の設定項目となります。

パラメータシート項目	CLI 設定項目 (set ...)	備考
VLAN ID	vlan

ハードウェアスイッチ

ハードウェアスイッチについては、物理インターフェースと同様に config system interface > edit "ハードウェアスイッチ名" 内の設定項目について記載します。

ハードウェアスイッチ特有の項目については以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
STP	stp	STP 有効/無効

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

アグリゲートインターフェース（802.3ad アグリゲート）

インターフェースのタイプが「aggregate（802.3ad アグリゲート）」であるインターフェースについて記載する欄です。物理インターフェースと同様に config system interface > edit "アグリゲートインターフェース名" 内の設定項目について記載します。

アグリゲートインターフェース特有の項目については以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
インターフェースメンバー	member
lacp-mode	lacp-mode	LACPモード

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

VLANインターフェース（タグ）

VLANインターフェースについては、物理インターフェースと同様に config system interface > edit "VLAN名" 内の設定項目について記載します。

VLANインターフェース特有の項目については以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
インターフェース	interface	紐づけ先インターフェース
VLAN ID	vlanid	タグVLAN ID
VLANプロトコル	vlan-protocol

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

PPPoE設定(アドレッシングモード：PPPoE)

インターフェースのアドレッシングモードを PPPoE にしているインターフェースについて、PPPoE 関連の設定項目に関して記載する欄です。

config system interface > edit "インターフェース名" 配下の以下項目について記載します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
ユーザ名	username	PPPoE ユーザ名
パスワード	password	PPPoE パスワード
Unnumbered IP接続	ipunnumbered
タイムアウト > 初期Disc	disc-retry-timeout
タイムアウト > 初期PADT	padt-retry-timeout
デフォルトGWを取得	defaultgw
ディスタンス	distance
内部DNSを上書き	dns-server-override

トンネルインターフェース

トンネルインターフェースについては、物理インターフェースと同様に config system interface > edit "VLAN名" 内の設定項目について記載します。

トンネルインターフェース特有の項目については以下の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
リモート > アドレス	remote-ip	remote-ip でアドレスとサブネットマスクをまとめて設定
リモート > サブネットマスク	remote-ip	remote-ip でアドレスとサブネットマスクをまとめて設定

管理アクセス許可設定 (set allowaccess) については別項目に切り出しているため、このインターフェースの表には項目を記載していません。

ゾーン

ゾーンについては config system zone > edit "ゾーン名" 内の設定項目について記載します。

パラメータシートの各項目に対応する CLI 設定項目は以下表の通りです。

パラメータシート項目	CLI 設定項目 (set ...)	備考
ゾーン内トラフィックをブロック	intrazone	GUI 項目と CLI 項目で設定値の意味が逆になるため注意パラメータシートでは GUI の項目に合わせています
コメント	description
インターフェースメンバー	interface

管理アクセス許可

全インターフェースについて、config system interface > edit "インターフェース名" 内の set allowaccess について記載します。記載が必要なインターフェースの名前をインターフェース名の列に記載してください。

設定値は「☑/-」のリストから選択します。「-」を選択した場合そのセルはグレーアウトされます。
　・☑ ⇒ 有効
　・- ⇒ 無効

ルーティング設定

スタティックルート

スタティックルート欄の記載内容は CLI での config router static 内の設定項目に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
宛先アドレス	dst	dst にて宛先ネットマスクと同時に設定
宛先ネットマスク	dst	dst にて宛先アドレスと同時に設定
ゲートウェイアドレス	gateway
インターフェース	device
AD値	distance	アドミニストレーティブ・ディスタンス
プライオリティ	priority
ダイナミックゲートウェイ	dynamic-gateway	PPPoEを使用したWAN向けルートの場合等に有効化する
ステータス	status
コメント	comment

リンクモニタ

リンクモニタ欄の記載内容は CLI での config system link-monitor 内の設定項目に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
ソースインターフェース	srcintf
server(監視対象アドレス)	server
プロトコル	protocol
ゲートウェイIP	gateway-ip
interval	interval
failtime	failtime
recoverytime	recoverytime
update-cascade-interface	update-cascade-interface
update-static-route	update-static-route
ステータス	status

リンクモニタ解説ページ
→https://nwengblog.com/fortigate-link-monitor/

VPN設定

IPsec-VPN設定

◆IKEフェーズ1 インターフェース

IKEフェーズ1 インターフェース欄は CLI での config vpn ipsec phase1-interface に該当します。

以下表の項目は config vpn ipsec phase1-interface > edit "XXXX" 内の項目です。

パラメータシート項目	CLI 設定項目 (set ...)	備考
インターフェース	interface
IKEバージョン	ike-version
暗号化/ハッシュアルゴリズム	proposal
認証方式	authmethod
DH グループ	dhgrp
ISAKMP ライフタイム	keylife
Pre-shared Key	psksecret
IKE キープアライブ（DPD）	dpd
IKE モード	mode
ISAKMP のピアアドレス	remote-gw
NAT トラバーサル	nattraversal
オートネゴシエート	auto-negotiat

◆IKEフェーズ2 インターフェース

IKEフェーズ2 インターフェース欄は CLI での config vpn ipsec phase2-interface に該当します。

以下表の項目は config vpn ipsec phase2-interface > edit "XXXX" 内の項目です。

パラメータシート項目	CLI 設定項目 (set ...)	備考
フェーズ1インターフェース名	phase1name
暗号化/認証アルゴリズム	proposal
PFS 有効化	pfs
DH グループ	dhgrp
IPsec SA ライフタイム	keylifeseconds
IPsec 通信モード	encapsulation
送信元サブネット	src-subnet
宛先サブネット	dst-subnet

SSL-VPN設定

◆SSL-VPN設定

SSL-VPN設定欄は CLI での config vpn ssl settings に該当します。パラメータシートでは GUI の SSL-VPN 設定画面での項目名を記載しています。

パラメータシート項目	CLI 設定項目 (set ...)	備考
SSL-VPN 有効化	status
リッスンするインターフェース	source-interface
リッスンするポート	port
サーバ証明書	servercert
HTTPをSSL-VPNにリダイレクト	https-redirect
アクセスを制限>許可ホスト	source-address	デフォルトは”all”(任意のホストからアクセス許可)
アイドルログアウト>アイドルタイムアウト	idle-timeout	アイドルログアウトがdisable⇒idle-timeout が 0 であることを意味する
クライアント証明書を要求	reqclientcert
クライアントアドレス範囲>カスタムIP範囲	tunnel-ip-pools	自動的にアドレス割り当て ⇒ IP範囲はSSLVPN_TUNNEL_ADDR1になる
DNSサーバ#1 DNSサーバ#2	dns-server1 dns-server2
WINSサーバ#1 WINSサーバ#2	wins-server1 wins-server2
Webモードの設定	browser-language-detection
認証/ポータルマッピング > デフォルトポータル	default-portal
認証/ポータルマッピング > 個別のマッピング	config authentication-rule 　edit x 　　set users “xxx” 　　set portal “xxxx” 　next end	config vpn ssl settings 内における config authentication-rule の設定となります (config ... の2重構造)

◆SSL-VPNポータル

SSL-VPNポータル欄は CLI での config vpn ssl web portal に該当します。

SSL-VPNポータル欄では、デフォルトで存在する以下3つのポータルについてデフォルト値を記載をしてあります
- full-access
- web-access
- tunnel-access
上記ポータルの設定値を変更する場合は該当する箇所の値を書き換えてください
新規のポータルを作成する場合は、既存のポータルの行をコピー&ペーストして枠を増やしてから新規ポータルの設定値を記載してください

オブジェクト設定

アドレス

アドレス欄は CLI での config firewall address に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
アドレス名	edit “アドレス名”	以下項目はすべて edit “アドレス名” 内の項目です
タイプ	type	・サブネット・IP範囲・FQDN ・デバイス(MAC)
アドレス/ IP範囲/ FQDN/ MACアドレス	subnet/ start-ip 及び end-ip/ fqdn/ macaddr	タイプの設定値によって該当 CLI 項目が異なる。 ※タイプがアドレスの場合、この枠にはサブネットマスクを除くアドレス部分のみ記載する
ネットマスク	subnet	タイプがサブネットの場合のみ、サブネットマスクを記載
インターフェース	associated-interface
スタティックルート設定	allow-routing
コメント	comment

アドレスグループ

アドレスグループ欄は CLI での config firewall addrgrp に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
グループ名	edit “グループ名”	以下項目はすべて edit “グループ名” 内の項目です
タイプ	type	・グループ：通常はこちら・フォルダ：所属アドレスはただ一つのフォルダにのみ所属できる
メンバー	member	グループに所属するアドレスリストを記載
ネットマスク	subnet	タイプがサブネットの場合のみ、サブネットマスクを記載
メンバーの除外	exclude 及び exclude-member	メンバー除外が有効な場合、パラメータシートでは除外対象のアドレス名を記載。CLI では exclude を enable にした上で exclude-member を設定する。
スタティックルート設定	allow-routing
コメント	comment

バーチャルIP

バーチャルIP 欄は CLI での config firewall vip に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
VIP名	edit “VIP名”	以下項目はすべて edit “VIP名” 内の項目です
インターフェース	extintf
ネットワーク > タイプ	type
ネットワーク > 外部IPアドレス/範囲	extip
ネットワーク > マップIPv4アドレス/範囲	mappedip
オプションのフィルタ > 送信元アドレス	src-filter
オプションのフィルタ > サービス	service
ポートフォワード > プロトコル	protocol	※ポートフォワードを使用する場合 `set portforward enable` が前提
ポートフォワード > ポートマッピングタイプ	portmapping-type
ポートフォワード > 外部サービスポート	extport
ポートフォワード > IPv4ポートへマップ	mappedport
Arp応答	arp-reply
コメント	comment

サービス

サービス欄は CLI での config firewall service custom に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
サービス名	edit “サービス名”	以下項目はすべて edit “サービス名” 内の項目です
サービスリストに表示	visibility
カテゴリ	category
プロトコルタイプ	protocol
アドレス(IP範囲/FQDN)	iprange 及び fqdn
宛先ポート > TCP/UDP/SCTP 宛先ポート > Low – High 送信元ポート > Low – High	tcp-portrange または udp-portrange または sctp-portrange	この3つのパラメータシート項目に該当する設定値は CLI においては1つの設定項目に集約される
ICMP > タイプ	icmptype	プロトコルが ICMP の場合のみ
ICMP > コード	icmpcode	プロトコルが ICMP の場合のみ
IP > プロトコル番号	protocol-number	プロトコルが IP の場合のみ
コメント	comment

サービスグループ

サービスグループ欄は CLI での config firewall service group に該当します。

パラメータシート項目	CLI 設定項目 (set ...)	備考
グループ名	edit “グループ名”	以下項目はすべて edit “グループ名” 内の項目です
メンバー	member
コメント	comment

ポリシー設定

ポリシー設定欄は CLI での config firewall policy に該当します
ポリシーの記載順は、ポリシーの適用順序と同じ順序にしてください
- ポリシーの適用順序について詳しくは https://nwengblog.com/fortigate-policyorder/ を参照
以下表で記載している CLI 設定項目は各 edit "ID" 内の項目です

パラメータシート項目	CLI 設定項目 (set ...)	備考
ポリシー名	name
ステータス	status
着信インターフェース	srcintf
発信インターフェース	dstintf
送信元	srcaddr
宛先	dstaddr
スケジュール	schedule
サービス	service
アクション	action
インスペクションモード	inspection-mode
NAT > IPプール	nat ippool poolname	NAT を使用する場合 `set nat enable` が前提。IPプール方式の場合加えて `set ippool enable` が前提。パラメータシートではIPプール方式の場合は使用するプール名(`poolname` の値)を記載する。
NAT > 送信元ポートの保持	fixedport
プロトコルオプション	profile-protocol-options
アンチウイルス	av-profile	使用は `set utm-status enable` が前提
Webフィルタ	webfilter-profile	使用は `set utm-status enable` が前提
DNSフィルタ	dnsfilter-profile	使用は `set utm-status enable` が前提
アプリケーションコントロール	application-list	使用は `set utm-status enable` が前提
ファイルフィルタ	file-filter-profile	使用は `set utm-status enable` が前提
SSLインスペクション	ssl-ssh-profile	使用は `set utm-status enable` が前提
ロギングオプション	logtraffic
セッション開始時のログ	logtraffic-start

FortiGate の設計構築に役立つ設定ガイドとして以下サイトがお勧めです

陰の構築者になりたくて > FortiGate 設計構築マニュアル