1
Download Fortinet FortiGate 3000 User's Manual
Transcript
FortiGate-3000 の LED 表示 FortiGate-3000 LED 状態 説明 電源 グ リ ーン FortiGate-3000 の電源がオ ン にな っ ています。 オフ デ ィ ス プ レーパネル / イ ン タ フ ェ ース LED FortiGate-3000 の電源がオ フ にな っ ています。 Esc グ リ ーン 正 し いケーブルが使用 さ れ、 接続機器の電源 がオ ン にな っ ています。 ・ 1、 2 も し く は 3 が最高 100 Mbps で接続 ・ 4/HA が最高 1000 Mbps で接続 1 ト ラ フ ィ ッ ク 中です。 オフ 接続が確立 さ れていません。 ౝㇱ ᄖㇱ 1㨪 4/HA 1 ࠻ࡦࠬࡍࠕࡦ࠻ࡕ࠼ IP ࠕ࠼ࠬ 3 EXT 2 3 4/HA INTERNAL EXTERNAL ▤ℂ⠪ࠕࠞ࠙ࡦ࠻⸳ቯ テクニカルサポートは、http://www.fortinet.com をご覧ください。 IP 192.168.1.99 192.168.100.99 0.0.0.0 ࠗࡦ࠲ࡈࠚࠬ ࡙ࠩฬ IP ▤ℂ↪ IP 10.10.10.1 ࡄࠬࡢ࠼ ߥߒ admin Checking the package contents パ ッ ケージの内容を確認する 01-28005-0040-20041103 パ ッ ケージに次が揃 っ ているかど う かを確認 し て く だ さ い。 コネク タ タ イ プ スピー ド プロ ト コ ル 用途 内部 SC 1000Base-SX イ ーサ ネッ ト 内部ネ ッ ト ワー ク にマルチ モー ド の光 フ ァ イバー接続 外部 SC 1000Base-SX イ ーサ ネッ ト イ ン タ ーネ ッ ト にマルチ モー ド の光 フ ァ イバー接続 1∼3 RJ-45 10/100Base-T イ ーサ ネッ ト 他のネ ッ ト ワー ク に接続 ( オ プ シ ョ ン) 4/HA RJ-45 1000Base-T イ ーサ ネッ ト 銅製。 他のネ ッ ト ワー ク 、 ま たは他の HA の FortiGate3000 にギガ ビ ッ ト 接続 ( オプ シ ョ ン ) CONSOLE DB-9 9,600 bps RS-232 シ リ アル 管理用 コ ン ピ ュ ー タ に接続 ( オ プ シ ョ ン)。 コ マ ン ド ラ イ ン イ ン タ フ ェ ースへのア ク セ ス と な り ます。 2 2 INT © Copyright 2004 Fortinet Incorporated. All rights reserved. 商標 本書記載の製品は、 各権利者の所有す る商標ま たは登録商標です。 準拠規格 FCC Class A Part 15 CSA/CUS 2004 年 11 月 3 日 工場出荷時設定 ࠗࡦ࠲ࡈࠚࠬ 1 4/HA ク イ ッ クス ター ト ガイ ド グ リ ーン 点滅 NAT/࡞࠻ࡕ࠼ IP ࠕ࠼ࠬ POWER Hi-Temp Enter FortiGate-3000 を、 電源 コ ン セ ン ト 、 内部ネ ッ ト ワー ク 、 外部ネ ッ ト ワー ク に接続 し ます。 FortiGate-3000 を接続する ࡞ࡕ࠺ࡓࠤࡉ࡞ߢ▤ℂ↪ࠦࡦࡇࡘ࠲ߩ ࠪࠕ࡞ࡐ࠻ߦធ⛯㧔ࠝࡊ࡚ࠪࡦ㧕 • • • ・ FortiGate-3000 を 19 イ ン チの標準 ラ ッ ク に設置 し ます。ラ ッ ク には縦に 2 つ の U ホールが必要です。 電源コードとネットワークケーブルを接続する前に、裏面の電源スイッチ がオフになっていることを確認します。. システムが作動すると「メインメニュー」の表示に変わります。 接続している電源が一ヶ所だけで、電力の供給が停止した場合は、停電を 知らせるアラームが鳴ります。アラームを止めるには、裏面の電源接続部 の隣にある赤色のアラームキャンセルボタンを押してください。 3 コ ン フ ィ ギ ュ レーシ ョ ン プ ラ ン POWER Esc 1 2 4/HA INT 3 Enter Hi-Temp 1 2 3 4/HA INTERNAL EXT EXTERNAL SCశࠤࡉ࡞ߢࠗࡦ࠲ࡀ࠶࠻ߦធ⛯ SCశࠤࡉ࡞ߢౝㇱࡀ࠶࠻ࡢࠢߦធ⛯ ࠬ࠻࠻ࠬ࡞ࠗࠨࡀ࠶࠻ࠤࡉ࡞ߢ ߘߩઁߩࡀ࠶࠻ࡢࠢߦធ⛯ 㔚Ḯࠦ࠼ߢ 㔚Ḯߦធ⛯ FortiGate-3000 の コ ン フ ィ ギ ュ レーシ ョ ン を始める前に、 既存のネ ッ ト ワー ク にどのよ う に イ ン テグ レーシ ョ ン し てい く か、 プ ラ ン を立て る必要があ り ます。 コ ン フ ィ ギ ュ レ ーシ ョ ンは NAT/ ルー ト モー ド (デ フ ォル ト )、 ト ラ ン スペア レ ン ト モー ド のど ち ら の動作モー ド を選択す るかに よ っ て決定 さ れます。 NAT/ ルー ト モー ド ト ラ ン スペア レ ン ト モー ド NAT/ ルートモードでは、FortiGate-3000 は接続 さ れてい る ネ ッ ト ワー ク か ら 見え る状 態にな り ます。 イ ン タ フ ェ ースは全て異な るサブネ ッ ト 上にな り ます。 ネ ッ ト ワー ク に接続する イ ン タ フ ェ ースはそれぞれ、 そのネ ッ ト ワー ク で有効な IP ア ド レ ス を設 定する必要があ り ます。 FortiGate-3000 を プ ラ イ ベー ト ネ ッ ト ワー ク と 公共ネ ッ ト ワー ク の間のゲー ト ウ ェ イ と し て使用する場合は通常、 NAT/ ルー ト モー ド を使用 し ます。 NAT/ ルー ト モー ド を デ フ ォ ル ト と する コ ン フ ィ ギ ュ レ ーシ ョ ン では、 FortiGate-3000 は フ ァ イ アウ ォ ール と し て機能 し 、 そのポ リ シーが FortiGate-3000 を経由す る コ ミ ュ ニケーシ ョ ン を管理 し ます。 フ ァ イ アウ ォ ールポ リ シーを設定する ま では、 ト ラ フ ィ ッ ク は FortiGate3000 を経由で き ません。 ト ラ ン スペア レ ン ト モー ド にす る と 、 ネ ッ ト ワー ク には FortiGate-3000 が見え ませ ん。 イ ン タ フ ェ ースはすべて同 じ サブネ ッ ト に置かれます。 また、 管理用 IP ア ド レ ス を設定する だけで コ ン フ ィ ギ ュ レ ーシ ョ ン を変更で き ます。 既存の フ ァ イ アウ ォ ールまたはルー タ の後にある プ ラ イ ベー ト ネ ッ ト ワー ク 上で FortiGate-3000 を使 う 場合は、 一般的に ト ラ ン スペア レ ン ト モー ド に し ます。 デ フ ォ ル ト に ト ラ ン スペア レ ン ト モー ド を設定する と FortiGate-3000 は フ ァ イ アウ ォ ール と し て機能 し 、 フ ァ イ アウ ォ ールポ リ シーを設定するまでは、 ト ラ フ ィ ッ ク は FortiGate-3000 を経由で き ません。 トランスペアレントモードの FortiGate-3000 公共ネットワークへの ゲートウェイ ޓౝㇱࡀ࠶࠻ࡢࠢ NAT/࡞࠻ࡕ࠼ߩ FortiGate-3000 ࠗࡦ࠲ࡀ࠶࠻ ᄖㇱ 204.23.1.5 Esc POWER 1 2 3 Hi-Temp 4/HA INT EXT Enter 1 2 3 NAT ࡕ࠼ࡐࠪ߇ ᄖㇱౝㇱࡀ࠶࠻ࡢࠢ㑆ߩ ࠻ࡈࠖ࠶ࠢࠍᓮ 4/HA 204.23.1.5 192.168.1.3 INTERNAL EXTERNAL ࡐ࠻3 10.10.10.1 10.10.10.2 インターネット ౝㇱ 192.168.1.99 DMZ ࡀ࠶࠻ࡢࠢ 10.10.10.2 1 2 4/HA INT 内部 ネットワーク 3 Enter Hi-Temp 1 (ファイアウォール、ルータ) ࡞࠻ࡕ࠼ࡐࠪ߇ ౝㇱࡀ࠶࠻ࡢࠢ㑆ߩ ࠻ࡈࠖ࠶ࠢࠍᓮ POWER Esc 2 3 10.10.10.1 管理用 IP 4/HA INTERNAL EXT 10.10.10.3 EXTERNAL 内部 トランスペアレントモードポリシーが 外部/内部ネットワーク間のトラフィックを制御 FortiGate-3000 は最高 6 つのネ ッ ト ワー ク セグ メ ン ト に接続する こ と がで き、 その間 の ト ラ フ ィ ッ ク を制御 し ます。 NAT/ ルートモードの場合、ファイアウォールポリシーは NAT モードもしくはルート モードで作動します。NAT モー ド の場合は、 ネ ッ ト ワー ク ア ド レ ス を変換 し てか ら IP パケ ッ ト を宛先ネ ッ ト ワー ク に送 り ますが、 ルー ト モー ド では変換はあ り ません。 ト ラ フ ィ ッ ク の管理方法、 お よび HA、 ウ ィ ルス対策、 ウ ェ ブ コ ン テ ン ツ フ ィ ル タ 、 スパム フ ィ ル タ 、 侵入防御シ ス テム (IPS)、 仮想プ ラ イ ベー ト 通信網 (VPN) の設定方法に ついての詳細は、 CD-ROM に収録 さ れてい る各説明書を参照 し て く だ さ い。 4 コンフィギュレーションツールの選択 ウェブベースマネ ジャー/セットアッ プウィザード FortiGate ウ ェ ブベース マ ネジ ャ ーのセ ッ ト ア ッ プ ウ ィ ザー ド が段階を追 っ て 初期設定を指示 し ます。 管理者用パスワー ド 、 イ ン タ フ ェ ース ア ド レ ス、 デ フ ォル ト ゲー ト ウ ェ イ ア ド レ ス、 DNS サーバア ド レ ス を設定 し ます。 オプ シ ョ ン と し て、 内部サーバを NAT/ ルー ト モー ド に設定す る ためにセ ッ ト ア ッ プウ ィ ザー ド を使 う こ と も で き ます。 必要条件 ・ FortiGate-3000 と 管理用 コ ン ピ ュ ー タ 間のイ ーサ ネ ッ ト 接続 ・ 管理用 コ ン ピ ュ ー タ 上に Internet Explorer バージ ョ ン 6.0 以上 5 FortiGate-3000 の 3 つの コ ン フ ィ ギ ュ レーシ ョ ン ツールか ら どれかひ と つを選びます。 ウェブベースマネ ジャー/セット アップウィザード コントロール ボタンと LCD FortiGate ウ ェ ブベースマ ネジ ャ ーのセ ッ ト ア ッ プ ウ ィ ザー ド が段階を追 っ て初期設定を指示 し ます。 管理者用パスワー ド 、 内 部 / 外部 /DMZ イ ン タ フ ェ ース ア ド レ ス、 デ フ ォル ト ゲー ト ウ ェ イ ア ド レ ス、 DNS サーバア ド レ ス を設定 し ます。 オプ シ ョ ン と し て、 内部サーバを NAT/ ルー ト モー ド に設定する ためにセ ッ ト ア ッ プウ ィ ザー ド を使 う こ と も で き ます。 必要条件 ・ FortiGate-3000 と 管理用 コ ン ピ ュ ー タ 間のイ ーサ ネ ッ ト 接続 ・ 管理用 コ ン ピ ュ ー タ 上に Internet Explorer バージ ョ ン 6.0 以上 設定内容の情報を ま と める FortiGate-3000 の正面 にある コ ン ト ロールボ タ ン と LCD を使用 し て内部イ ン タ フ ェ ース、 外部イ ン タ フ ェ ース、 ポー ト 3(DMZ) イ ン タ フ ェ ースお よびデ フ ォル ト ゲー ト ウ ェ イ ア ド レ ス を設定す る こ と がで き ます。 他のイ ン タ フ ェ ース ア ド レ スおよび DNS サーバ ア ド レ スの設定にはウ ェ ブベースマネジ ャ ーまたは CLI を使用 し ます。 必要条件 • FortiGate-3000 本体を直接操作で き る こ と FortiGate-3000 の設定内容を記録 し ます。 NAT/ ルー ト モー ド も し く は ト ラ ン スペア レ ン ト モー ド の設定、 あ るいはいずれのモー ド に も 適用で き る一般設定を記録する こ と がで き ます。 内部 / 外部ネ ッ ト ワー ク およびその他 3 種類の イ ン タ フ ェ ースに設定を記録す るには、 以下のテー ブルを使います。 NAT/ ルー ト モー ド ト ラ ン スペア レ ン ト モー ド IP: ____.____.____.____ Netmask: ____.____.____.____ 内部インタ フェース IP: ____.____.____.____ Netmask: ____.____.____.____ 外部インタ フェース IP: ____.____.____.____ Netmask: ____.____.____.____ 管理用 IP ア ド レ ス と Netmask が FortiGate-3000 の管理に使用する ネ ッ ト ワー ク に対 し て有効である こ と を確認 し て く だ さ い。 _________ インタフェース IP: ____.____.____.____ 一般設定 Netmask: ____.____.____.____ _________ インタフェース IP: ____.____.____.____ Netmask: ____.____.____.____ _________ インタフェース IP: ____.____.____.____ Netmask: ____.____.____.____ 管理用 IP: 管理者パスワード : ネットワーク設定 : 内部インタフェースの IP アドレスおよび Netmask が内部ネットワークにおいて有効 であることを確認してください。 6 FortiGate-3000 を初期設定する セッ トアップ ウ ィ ザー ド を 使用する デフォルトゲートウェイ : ____.____.____.____ プライマリ DNS サーバ : ____.____.____.____ セカンダリ DNS サーバ : ____.____.____.____ FortiGate を経由 し て イ ン タ ーネ ッ ト にア ク セスする場合はデ フ ォ ル ト ゲー ト ウ ェ イが 必要です。 1. FortiGate-3000 の内部イ ン タ フ ェ ース を光 フ ァ イバネ ッ ト ワー ク に接続 し た後、 同ネ ッ ト ワー ク を管理用 コ ン ピ ュ ー タ に接続 し ます。 2. 管理用 コ ン ピ ュ ー タ が FortiGate-3000 の接続 さ れてい る イ ン タ フ ェ ース と 同 じ サブネ ッ ト に配置 さ れる よ う に設定 し ます。 内部イ ン タ フ ェ ース を使 用 し ている場合は、 管理用 コ ン ピ ュ ー タ の IP ア ド レ ス を 192.168.1.2 に、 Netmask を 255.255.255.0 にそれぞれ変更 し て く だ さ い。 3. FortiGate のウ ェ ブベース マネジ ャ ーにア ク セスする には、 Internet Explorer を起動 し 、 ブ ラ ウザを https://192.168.1.99 にポ イ ン ト し ます ( ポー ト 1 を 使 っ ている場合は、 https://<port1_ip>)。 (「https://」 には S が入 っ ていま すので注意 し て く だ さ い。) 4. [ 名前 ] フ ィ ール ド に 「admin」 と 入力 し て、 [ ログ イ ン ] を選択 し ます。 注 : 光 フ ァ イバを使用 し ていない場合は、 ポー ト 1 を使用 し て く だ さ い。 シ リ アル接続で CLI を用い、 イ ン タ フ ェ ース を設 定する必要があ り ます。 edit port1 set ip <intf_ip> <netmask_ip> set allowaccess https ping end 他のイ ン タ フ ェ ース と 同 じ サブネ ッ ト は使わないで く だ さ い。 NAT /ルートモード ト ラ ン スペア レ ン ト モー ド FortiGate-3000 の初期設定にセットアップウィザードを使用する 場合は、Easy Setup Wizard ボタンを選択し、、プロンプトに従っ Easy Setup Wizard を 選択 てください。 管理者パスワードの変更 1. System > Admin > Administrators の順に選択します。 2. 管理者用の Change Password を選択し、新たなパスワードを入力します。 NAT/ ルートモードからトランスペアレントモードへの変更 1. System > Status の順に選び、Operation Mode の横の Change を選択して OK をク リックします。 2. 管理用コンピュータの IP アドレスを 10.10.10.2 に変更し、 Internet Explorer を使用 して https://10.10.10.1 にブラウズします。 セットアップウィザードを使用する セットアップウィザードを使って FortiGate-3000 を初期設定する場合は、Easy Setup Wizard ボタンを選択し、プロンプトに従ってください。 インタフェースの設定 1. System > Network > Interface の順に選択します。 2. 各インタフェースに編集アイコンを選択し、初期設定します。 3. インタフェースのアドレッシングモードを設定します ( 詳細はオンラインヘルプ を参照してください )。 ・ 手動アドレッシングの場合は、インタフェースの IP アドレスと Netmask を入 力してください。 ・ DHCP アドレッシングの場合は、DHCP その他必要な設定を選択してください。 ・ PPPoE アドレッシングの場合は、PPPoE を選択し、ユーザ名、パスワード、そ の他必要な設定を入力してください。 ウェッブベースマネージャを使用して管理者パスワードを変更します 1. System > Admin > Administrators の順に選択します。 2. 管理者用の Change Password を選択し、新たなパスワードを入力します。 ウェッブベースマネージャを使用して管理用インタフェースを設定します 1. System > Network > Management の順に選択します。 2. 管理用 IP アドレスおよび Netmask を入力します。 3. 必要な場合は管理者アクセスオプションを選び、OK をクリックします。 プライマリ/セカンダリ DNS サーバの IP アドレス初期設定 1. System > Network > DNS の順に選択し、プライマリ/セカンダリ DNS の IP アドレ スを入力し、Apply を選択します。 プライマリ/セカンダリ DNS サーバの IP アドレス設定 1. System > Network > DNS の順に選択し、上記に従って登録したプライマリ/セカ ンダリ DNS の IP アドレスを入力し、Apply を選択します。 デフォルトゲートウェイの初期設定 1. Router > Static の順に選択し、静的ルートの編集アイコンを選びます。 デフォルトゲートウェイの設定 1. System > Network > Management の順に選択します。 2. デフォルトゲートウェイの IP アドレスをデフォルトゲートウェイに設定し、OK を クリックします。 2. デフォルトゲートウェイの IP アドレスをデフォルトゲートウェイに設定し、OK を クリックします。 注意: 内部インタフェースの IP アドレス (NAT/ ルートモードの場合)または管理用 IP アドレス(トランスペアレントモードの場合)を変更する場合、このアドレスを使用してウェブベースマネジャーとセット アップ ウィザードに再接続する必要があります。また管理用コンピュータの IP アドレスを変更して新 IP アドレスと同じサブネット上に来るようにしなくてはならない場合もあります。 コマンドラインインター フェースを使用する 1. シリアルケーブルを使用して FortiGate Console ポートを管理用コンピュータのシリアルポートに接続します。 2. 管理用コンピュータ上でターミナル エミュレーション用プログラム(HyperTerminal) を起動し、次のように設定し ます。ボーレート (bps) : 9600、 データビット: 8、 パリティ : なし、ストップビット : 1、 フロー制御: なし 3. Login: のプロンプトが表示されたら、admin と入力し、Enter を 2 回押します ( パスワード不要 ) NAT/ ルートモード トランスペアレントモード 1. FortiGate-3000 内部インタフェースを設定します。 config system interface edit internal set mode static set ip <intf_ip> <netmask_ip> end 2. 同様に、外部インタフェースなど各インタフェースを設定します。 config system interface edit external ... 3. プライマリ/セカンダリ DNS サーバの IP アドレスを設定します。 config system dns set primary <dns-server_ip> set secondary <dns-server_ip> end 4. デフォルトゲートウェイを設定します config router static edit 1 set gateway <gateway_ip> end 1. NAT/ ルートモードからトランスペアレントモードに変更します。 config system global set opmode transparent end 2. しばらく待ち、プロンプトが表示された時点で再度ログインします。 3. 管理用 IP アドレスを設定します。 config system manageip set ip <mng_ip> <netmask> end DNS サーバ IP アドレスを設定します。 config system dns set primary <dns-server_ip> set secondary <dns-server_ip> end 4. デフォルトルートを設定します。 config router static edit 1 set gateway <gateway_ip> end コントロールボタ ンと LCD を使用す る ・ [ メインメニュー ] な どメニュー項目を選択する、IP アドレス入力時に右に移動する、または変更を確認する操作には Enter キー を使用します。 ・ [ メインメニュー ] 内を上下に移動する、または IP アドレスの数字を変更する操作には矢印キーを使用します。 ・ [ メ イ ン メ ニ ュ ー ] に戻る、 または IP 入力時に左に移動する操作には Esc キーを使用します。 注意 : LCD が「 FortiGate 」 と 表示 し た ら 、 [ メ イ ン メ ニ ュ ー ] が出る ま で Esc キー を押 し 続けて く だ さ い。 NAT/Route mode ト ラ ン スペア レ ン ト モー ド Use the control buttons and LCD to: コ ン ト ロールボ タ ン と LCD を使用 し て次の操作を実行 し ます。 ・ 動作モー ド を NAT/ ルー ト モー ド か ら ト ラ ン スペア レ ン ト モー ド に変更する。 ・ 管理用 IP ア ド レ ス と Netmask を設定する。 ・ デ フ ォル ト ゲー ト ウ ェ イ を設定す る。 NAT/ ルー ト モー ド コントロールボタンと LCD を使用して次の操作を実行します。 • 内部、外部、ポート 3(DMZ) インタフェースの IP アドレスと Netmask を設定する。 • 外部 イ ン タ フ ェ ースのデ フ ォ ル ト ゲー ト ウ ェ イ を設定する。 注意 : IP ア ド レ ス を入力する際、 LCD デ ィ ス プ レ イ は IP ア ド レ ス各部について常に 3 桁の数字を表示 し ます。 た と えば、 IP ア ド レ スが 192.168.100.1 の場合、 LCD デ ィ ス プ レ イ には 192.168.100.001 と 表示 さ れます。 7 コンフィギュレーションの完了 FortiGate-3000 の再設定 ネットワーク設定の変更を誤り、FortiGate-3000 に接続できない場合は、再 起動して接続するか、いったん工場出荷時設定に戻してから設定し直してく ださい。 こ れで基本設定は完了。 ネ ッ ト ワー ク はイ ン タ ーネ ッ ト 経由の脅威か ら 保護 さ れます。 設 定のオプ シ ョ ン についての詳細は、 オ ン ラ イ ン ヘルプ も し く は CD-ROM に収録 さ れてい る 説明書を参照 し て く だ さ い。 再起動するには、System > Maintenance > ShutDown の順に選び、Reboot を選択します。 • リセットするには、System > Maintenance > Shutdown の順に選び、Reset to factory default (工場出荷時設定に戻る)を選択 し ます。 • CLI: execute reboot CLI: execute factoryreset
