機能についてのよくあるご質問

Emailでの二要素認証をする場合、FortiGateのローカルユーザの値が上限になります。
FortiGate 60Eは、500です。

user local 500
https://docs.fortinet.com/max-value-table

FortiGateへの接続をMACアドレスを登録しているPCのみに制限したいのですが
どのような設定方法で実現できますでしょうか？
——————————————————————

ファイアウォールポリシーにて、　MAC アドレスを指定する機能がございます。
メーカドキュメントをご案内いたしますので、詳細につきましては、
以下をご確認くださいますようお願いいたします。

■Administration Guide（FortiOS 6.4.8） MAC addressed-based policies
https://docs.fortinet.com/document/fortigate/6.4.8/administration-guide/407159/mac-addressed-based-policies

インターネットに公開しているWebサーバーについて、Fortigateを利用して保護防衛しようと考えています。
この時に、Fortigateをリバースプロキシとして、FortigateのWAN側にSSLサーバー証明書をセットして運用できるでしょうか？
————————————————————

FortiGateには、SSLオフロードという機能がございます。

WAN側に仮想IPを設定し、そちらで受け付けた後、DMZやLANにあるサーバに転送する機能です。
WAN側ではHTTPSで受け付けた後、HTTPSで転送することや、HTTPで転送することができます。
SSLオフロード機能は、外部で作成した証明書を利用することが可能です。

FortiGateにアクセスされたドメイン毎にサーバーの振り分けは可能でしょうか？

https://www.domein-a.com/ ⇒ WebサーバーAへ振り分け
https://www.domein-b.com/ ⇒ WebサーバーBへ振り分け

上記は振り分けは可能です。

次のように同じドメインでの振り分けは出来ません。

https://www.domein.com/a-server/ ⇒ WebサーバーAへ振り分け
https://www.domein.com/b-server/ ⇒ WebサーバーBへ振り分け

はい、可能です。
VPN設定のスプリットトンネルを無効にする事により、全ての通信をFortiGateに向ける事が可能です。

FortiGateのVPN接続における動作につきましては、以下のとおりとなります。

　・Split-tunnelの設定が無い場合
　　→　全ての通信が、VPNトンネル経由(FortiGate経由)の通信となります。

　・Split-tunnelの設定がある場合
　　→　VPNトンネル通信と、非トンネル通信を分けることが可能です。

設定方法などは、こちらの動画を参照してください。

VPN接続のスプリットトンネル機能の説明

■youtube

はい、可能です。

アラートEメール機能を利用して、IPS機能や、DoS(アノマリ)に対して検知した際に
指定したメールへ通知することは可能です。

下記ポートスキャンで取得したサンプルログを添付いたします。
——————————
Message meets Alert condition
The following intrusion was observed: tcp_port_scan.
date=2021-11-08 time=13:34:58 devname=FortiGate-40F
devid=************ eventtime=1636346097976724260 tz=”+0900″
logid=”0720018432″ type=”utm” subtype=”anomaly” eventtype=”anomaly”
level=”alert” vd=”root” severity=”critical” srcip=192.168.1.96
srccountry=”Reserved” dstip=192.168.11.90 srcintf=”lan”
srcintfrole=”lan” sessionid=0 action=”detected” proto=6 service=”POP3″
count=26 attack=”tcp_port_scan” srcport=54453 dstport=110
attackid=100663398 policyid=1 policytype=”DoS-policy”
ref=”http://www.fortinet.com/ids/VID100663398″ msg=”anomaly:
tcp_port_scan, 2 > threshold 1, repeats 26 times since last log, pps 2
of prior second” crscore=50 craction=4096 crlevel=”critical”
——————————

FortiClientですが、最新版のFortiClient(v6.4.6, v7.0.1)につきまして、
ARMベースのプロセッサをサポートしておりません。

https://docs.fortinet.com/document/forticlient/7.0.1/windows-release-notes/549781/product-integration-and-support
——————————
Microsoft Windows-compatible computer with Intel processor or
equivalent. FortiClient (Windows) does not support ARM-based
processors.
——————————

ARMベースの端末を利用される際は、L2TP + IPSecといった組み合わせなど、
FortiClientを利用しない方法をご検討ください。
※2021年10月8日現在の情報です。

1台のスマートフォンのFortiTokenMobileで、複数のシリアルを登録することは可能です。

■前提条件として、
FortiTokenのライセンスはユーザ毎に購入する必要があり、またFortiTokenは、FortiGateと紐づけて利用する形になります。
1台に紐づけると、ほかのFortiGateに紐づけることができなくなります。
そのため、2つのFortiGateに紐づける場合、1ユーザあたり2つのFortiTokenが必要になります。

次のCLIコマンドで解放する事が可能です。

————————-
execute dhcp lease-clear (all | IPアドレス)
————————-

■全てのIPアドレスを解放する場合は、「all」
————————-
execute dhcp lease-clear all
————————-

■IPアドレスを個別で解放したい場合は、IPアドレスを指定
例）「192.168.1.110」を解放したい場合
————————-
execute dhcp lease-clear 192.168.1.110
————————-

次のCLIコマンドで確認する事が可能です。

————————-
execute dhcp lease-list
————————-

FortiGate単独では、ご要望の機能は実装しておりません。
FortiGate + FortiAnalyzer の環境にて、可能となります。

FortiGateには、指定した時間に対するポリシの作成が可能です。

# スケジュール機能
該当した通信に対し、ログの取得し、FortiAnalyzerへログを転送します。

FortiAnalyzerでは、イベントハンドラー機能があり、こちらの機能に該当する際に、アラートメールを出力するといった対応が可能です。

FortiOS6.4.2 以上のバージョンでご利用が可能です。
※現時点のバージョンでは、CLIでの設定が必要です。

■参考資料
◎FortiGate IPoE設定ガイド（JPNE（v6プラス） 固定IPサービス編）

◎FortiGate IPoE設定ガイド（NTTコミュニケーションズ株式会社OCN IPoEサービス編）

◎FortiGate IPoE設定ガイド（インターネットマルチフィード（transix）DS-Liteサービス編）

◎FortiGate IPoE設定ガイド（インターネットマルチフィード（transix）固定IPサービス編）

◎FortiGate IPoE設定ガイド（BBIX「OCX光 インターネット」編）

◎FortiGate IPoE設定ガイド（朝日ネット「v6コネクト」IPv4 over IPv6 接続（固定IP）サービス編）

◎FortiGate IPoE設定ガイド（アルテリア・ネットワークス株式会社 クロスパス 固定IPサービス編）

◎FortiGate IPoE設定ガイド（アルテリア・ネットワークス株式会社 クロスパス 可変IPサービス編）

◎IPoE インターフェースを利用したFortiGate SD-WAN 設定ガイド

各プロバイダーによってIPoEの接続方式が異なりますので、上記内容では接続できない場合もございます。

シグニチャーを更新する場合は、FortiGateがインターネットに接続されている必要がございます。

対応方法としては、FortiManagerを導入しFortiManagerでシグニチャーをダウンロードする事でFortiGateに展開する事が可能です。
ただ、FortiManagerはインターネット環境に接続されている必要がございます。

はい、可能です。

「IPアドレスの割り当てルール」に」より設定が可能です。

FortiClient V7.0で対応しております。

■(macOS) Release Notes
https://docs.fortinet.com/document/forticlient/7.0.0/macos-release-notes/471180/product-integration-and-support

■ダウンロード
https://www.fortinet.com/support/product-downloads

※ただし、現段階では弊社サポート対象外のOS Verとなります。（2021/05/24 現在）

FortiGateのIPv6ですが、IPv4と同じように利用することが可能です。
https://docs.fortinet.com/document/fortigate/6.0.0/handbook/627352/ipv6

ファイアウォールや、ルーティング、UTM機能など
FortiGateの主機能について、問題なく利用可能となります。

はい、可能です。
指定のIPアドレス宛に転送しますので、問題ございません。

以下のVPN環境でも問題ございません。
============================================================
本社LAN
SYSLOGサーバ
│
FortiGate-A
│↑
│インターネット接続
│FortiGate同士によるIPSecVPN
│↓
FortiGate-B
│
支社LAN

LTE対応のモデルは、FortiGate 40F-3G4Gとなります。

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/FG-40F-3G4G_DS.pdf

SIMは、docomo,au,SoftBankに対応しております。
※FortiGate-40Fとは別モデルとなります。ご購入検討の場合は、ご相談ください。
※2021年1月現在

はい、対応しております。

アクティブアクティブで複数の回線を利用し、
負荷分散と、冗長性を兼ねた機能です。

はい、対応しております。

マルチホーミングとしては、特定の宛先に対し死活監視を行い、
応答がなくなるなど、回線がダウンした段階で、別回線で通信を再開する機能です。
※アクティブスタンバイの様な動作

トランスペアレントモード（透過モード）は、SSL-VPNはできません。
IPSec-VPNは利用可能ですが、GUIの画面では設定が出来ません。
ポリシーベースでの設定が必要になります。

https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-transparent/1-Intro&Features/3-NAT-vs-Transparent.htm

いいえ、出来ません。
ウィルスメールの隔離を行うには、FortiMAILが必要です。

日々生まれる新しいウィルスに対応するため、通常では検知出来ない未知のウィルスを検知する機能です。
メールに添付されたファイルやWebをFortiGateで検査し、疑わしいファイルをFortiSandboxにおくり
仮想環境で実行し、その挙動を監視し未知のウィルスと判断した場合にブロックします。

はい、可能です。
通常、プロバイダから割り当てられる最初のIPアドレスを
FortigateのWANインターフェースに設定しておいて
残りのグローバルアドレスをVIPと呼ばれるスタティックNAT機能を利用して
公開されるサーバと1対1で公開するケースが多いです。

はい、可能です。
Winny（ウィニー）などのP2Pトラフィックの遮断が可能です。

不可となります。非暗号メールプロトコルのみに対応しています。
（POP3/IMPA4/SMTP）

可能です。予め「禁止ワード」を作成しておけば、そのキーワードにマッチした
文言が含まれている場合は、スパムメールとして判断します。

【キーワード適用方法】
入力方法としては、「ワイルドカード」と「正規表現」による判定が可能です。
言語は、英語や日本語、中国語などに対応します。

場所は、件名、本文、その両方で検索出来ます。

ActiveDirectoryと連携する場合は、別途AD側にモジュールをインストールしていただくことで、対応可能となります。
※詳しくは、サポートへご確認お願いします。

アイデンティティファイアウォール機能を利用して、ファイアウォールのポリシーを条件に、ユーザ認証（Webベース認証)をすることができます。

このときに認証可能なユーザDBとして、ローカルやRadiusサーバーといった製品と連携することができます。
※詳しくは、サポートへご確認お願いします。

はい、可能です。

はい、可能です。

はい、日本語対応です。

はい、「ステートフルインスペクション」です。

いいえ、UTMライセンス（アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム）は、必要ございません。

FortiGate本体の基本機能としてご利用可能です。

DLP機能は、OS標準機能です。
基本的にUTMライセンス（アンチウィルス・不正侵入検知防御、ウェブフィルタリング、アンチスパム）は
必要御座いません。

※FortiOS v7.4.x から、有償ライセンスとしてのDLP機能も追加されました。
標準搭載DLP機能と有償版DLP機能の違いは以下になります。============================================================
DLP:標準搭載
管理者が静的に条件を指定して、ファイルの中身をチェックする機能

DLP:有償版
Fortinet社が市場で利用されると思われる情報をリスト(シグネチャ)化し、
管理者はリストを用いて、簡単にDLP機能を利用できる機能
============================================================

有償ライセンスをご希望の際は、お気軽にお問い合わせください。

FortiOSはIPｖ6対応しております。

ランサムウェア対策のFortiGateの動作は次の通りです。

１．ランサムウェアのモジュールを、メールもしくはWEBサイトからダウンロードの際に、FortiGateが検知してブロックします。

２．FortiGateをすり抜けて感染した場合は、感染後のC&C通信を検知して止めます。
　　通信を止めた場合は、ランサムウェアとして起動ができません。

※注意
インストールされてしまったモジュールを削除する機能はFortigateにはございません。
その場合は、クライアント側の対策ソフトか、PCのクリーンインストール、OSの再インストールが必要になります。

■ランサムウェア対策については、以下もご覧ください。
・ランサムウェアから身を守るための10の措置

はい、可能です。
FortiGate-100シリーズ以上の機種で可能です。

FortiOS6.2.1以降
リンクアグリゲーション制御プロトコル（LACP）が、FortiGateおよびFortiWiFi 90E、80E、60E、50E、および30Eデバイスでサポートされるようになりました。

https://docs.fortinet.com/document/fortigate/6.2.0/new-features/226063/lacp-support-on-entry-level-e-series-devices-6-2-1

はい、可能です。
PPPoE/DHCPのご利用時にサポートしています。

はい、可能です。
PPPoE、DHCP、マニュアルモードがサポートされています。

はい、自動で更新可能です。

NTPサーバーのリッスンするインターフェース設定する
———————————-
# config system ntp
# set interface internal
# end
———————————-
例は、「fortilink」ポートが設定されていたリッスンポートを「internal」に変更

時刻同期の確認方法
———————————-
# diagnose sys ntp status
———————————-
synchronized: yes（時刻同期している）
reachable（NTPサーバーに到着可能な状態）

エントリーモデルの場合、FortiOS7.2.x では、セキュリティープロファイルでインスペクションモード「フローベース」「プロキシベース」の設定が表示されなくなりました。
※基本は、フローベースで設定されています。
CLIで設定することにより設定する事が可能です。

————————————————
config system settings
set gui-proxy-inspection enable
end
————————————————

■参考
https://docs.fortinet.com/document/fortigate/7.2.6/administration-guide/922096/inspection-mode-feature-comparison

アラートメールは、以前はGUIより設定できましたが、
FortiOS v6.4系以降GUIでの設定が無くなり、CLIでの設定のみになりました。

１．侵入防止(IPS)や、アンチウィルス、Webフィルタ等、各UTM機能のログをメール送信させる場合、
アラートメールの設定で、フィルタモードにて、カテゴリ(category)を選択し、各UTM機能のログを有効とします。

■設定例■

# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス
(setting) # set email-interval * メールインターバル(分)

(setting) # set filter-mode category フィルタ：カテゴリ

(setting) # set IPS-logs enable
(setting) # set antivirus-logs enable
(setting) # set webfilter-logs enable

(setting) # end 設定を保存

※Eメールフィルタ(アンチスパム)については、設定がございません。
※侵入防止(IPS)ログを有効とすることで、アノマリログもメールが送信されます。
　TCP SYMフラッド、ポートスキャン等、DoSポリシーで検知されたDoS攻撃のログ

２．閾値(threshold)を選択し、重大度(severity)ごとに、メール送信させる場合

※重大度ごとの設定の場合、イベントログ、UTMログ、トラフィックログ等、すべてのログが
対象となります。

■設定例■

# config alertemail setting
(setting) # set username ******@***.*** 送信元メールアドレス
(setting) # set mailto1 ******@***.*** 宛先メールアドレス

(setting) # set filter-mode threshold フィルタ：閾値(重大度)

(setting) # set severity [emergency | alert | critical | error | warning | notification]

(setting) # set emergency-interval * “emergency”インターバル(分)
(setting) # set alert-interval * “alert”インターバル(分)
(setting) # set critical-interval * “critical”インターバル(分)
(setting) # set error-interval * “error”インターバル(分)
(setting) # set warning-interval * “warning”インターバル(分)
(setting) # set notification-interval * “notification”インターバル(分)

(setting) # end 設定を保存

３．その他の詳しい設定は、以下を参照してください。
■Fortinet社のDOUMENT LIBRARY（FortiGate / FortiOS 7.2.7 CLI Reference）
https://docs.fortinet.com/document/fortigate/7.2.7/cli-reference/504620/config-alertemail-setting

■Fortinet社のDOUMENT LIBRARY（FortiGate / FortiOS 6.4.12 CLI Reference）
https://docs.fortinet.com/document/fortigate/6.4.12/cli-reference/538620/config-alertemail-setting

Emailでの二要素認証をする場合、FortiGateのローカルユーザの値が上限になります。
FortiGate 60Eは、500です。

user local 500
https://docs.fortinet.com/max-value-table

CLIで設定が必要です。

# config system interface
# edit port1
# set speed {option}
# end

{option}
auto Automatically adjust speed.
10full 10M full-duplex.
10half 10M half-duplex.
100full 100M full-duplex.
100half 100M half-duplex.
1000full 1000M full-duplex.
1000auto 1000M auto adjust.
10000full 10G full-duplex.
10000auto 10G auto.

■Fortinet社のドキュメントライブラリー
※FortiOS7.4.3
https://docs.fortinet.com/document/fortigate/7.4.3/cli-reference/317104469/config-system-interface

FortiOS6.4.2 以上のバージョンでご利用が可能です。
※現時点のバージョンでは、CLIでの設定が必要です。

■参考資料
◎FortiGate IPoE設定ガイド（JPNE（v6プラス） 固定IPサービス編）

◎FortiGate IPoE設定ガイド（NTTコミュニケーションズ株式会社OCN IPoEサービス編）

◎FortiGate IPoE設定ガイド（インターネットマルチフィード（transix）DS-Liteサービス編）

◎FortiGate IPoE設定ガイド（インターネットマルチフィード（transix）固定IPサービス編）

◎FortiGate IPoE設定ガイド（BBIX「OCX光 インターネット」編）

◎FortiGate IPoE設定ガイド（朝日ネット「v6コネクト」IPv4 over IPv6 接続（固定IP）サービス編）

◎FortiGate IPoE設定ガイド（アルテリア・ネットワークス株式会社 クロスパス 固定IPサービス編）

◎FortiGate IPoE設定ガイド（アルテリア・ネットワークス株式会社 クロスパス 可変IPサービス編）

◎IPoE インターフェースを利用したFortiGate SD-WAN 設定ガイド

各プロバイダーによってIPoEの接続方式が異なりますので、上記内容では接続できない場合もございます。

■URL
対象のドメインやURLを設定します。

■タイプ
シンプル：URLに指定したドメイン全てを対象とします。
例：「fgshop.jp」とすると「mail.fgshop.jp」や「www.fgshop.jp」は対象になりますが、「www.mailfgshop.jp」など対象になりません。
正規表現：URLに指定するドメインを正規表現で設定します。
ワイルドカード：URLに指定するドメインに「*」をつける事によって設定します。
例：*fgshop.jpとすると後方一致で「www.mailfgshop.jp」なども対象になります。

■アクション
除外（Exempt）: URL・タイプで指定した内容の場合、ウェブフィルタやアンチウイルスなどのセキュリティ検査が除外されます。
ブロック：設定した「URL」「タイプ」の内容をブロックします。
許可：ウェブフィルタやアンチウイルスなどのセキュリティ検査を通過したものを対象に設定した「URL」「タイプ」の内容を許可します。
モニタ：許可と同じ動作になりますが、ログが出力されます。

■ステータス
有効：URLフィルタの設定内容が有効
無効：URLフィルタの設定内容が無効

※FG-50E FortiOSv5.4.3

以下の手順で戻すことができます。
１．FortiGateのCONSOLEポート（RJ-45）とPC（D-Sub９ピン）を接続する
　　※ケーブルが必要
　　※Tera Termなどのターミナルソフトが必要
２．FortiGateの電源を入れる
３．Tera Term で接続する
　　※ System Starting … などのメッセージ表示
４．メンテナンスモードでログインする
login: maintainer
PassWord: bcpb<シリアル番号>（FortiGateの底面に書いてある）

５．ログイン後以下のコマンドを実行する
execute factoryreset
　　※工場出荷状態に戻ります

１．コンソール接続する
　　※「コンソール接続方法」を参照しコンソール接続してください。
２．FortiGateの電源を切る
３．FortiGateの電源を立ち上げる
４．コンソール画面に以下のメッセージが出る

————————————————————
Boot up, boot device capacity: 492MB.
Press any key to display configuration menu…
..
[G]: Get firmware image from TFTP server.
[F]: Format boot device.
[B]: Boot with backup firmware and set as default.
[I]: Configuration and information.
[Q]: Quit menu and continue to boot with default firmware.
[H]: Display this list of options.

Enter Selection [G]:B
————————————————————

５．「B]を選択し、バックアップが戻す
　　※バックアップが復元が出来たら、コンソール画面に「login」の文字が出る

　　※ご注意・・・こちらは、自己責任でお願いします。
　　必ず、一度、サポートに連絡し対応方法を確認の事

※事前にサポートサイトより対象のファームウェアをダウンロードしてください。
※注意事項
　・アップデート中は、絶対に電源を切らないでください
　・サポートサイトの「リリースノート」「アップグレードパス」を必ず確認し適切にアップデートしてください

1．FortiGateの管理画面にログインしてください

2．管理画面の「アップデート」をクリックしてください

3．「ファイルを選択」をクリックしてください

4．ダウンロードしたファイルを選択してください

5．選択したファイルが正しいか確認し、「OK」をクリックしてください

6．アップデートが始まります。数分後ブラウザーをリブートしてください

※FG-50E FortiOSv5.4.3

左メニューの「System」→「Settings」をクリック

「View Settings」の「Language」を「Japanese」を選択し「Apply」をクリックする

※FG-50E FortiOSv5.4.3

トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。

「シリアルポート」を選択し「OK」をクリック

FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。

「Welcom!」とメッセージ表示

config system settings
set opmode nat
set ip 192.168.1.99/255.255.255.0
set device lan
set gateway 192.168.1.99
end

※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス：192.168.1.99
ネットマスク：255.255.255.0
ゲートウェイ：192.168.1.99

再起動します。

「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。

■動画【トランスペアレントモードからNATモードへ設定変更】

※FG-50E FortiOSv5.4.3
※FortiOS6.2以降の場合は、先にFortiLinkポートの無効が必要です。

トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
まず、「Tera Term」を立ち上げて、FortiGateと接続します。

「シリアルポート」を選択し「OK」をクリック

FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。

「Welcom!」とメッセージ表示

config system settings
set opmode transparent
set manageip 192.168.2.99/255.255.255.0
set gateway 192.168.2.1
end

※例は、以下となります。実際は、環境に合わせて下さい。
IPアドレス：192.168.2.99
ネットマスク：255.255.255.0
ゲートウェイ：192.168.2.1

再起動します。

「execute reboot」と入力し「Enter」
「Do you want to continue? (y/n)」とメッセージが表示されます。
「y」を入力して、再起動してください。

■動画【NATモードからトランスペアレントモードへ設定変更】

※コンソール接続ケーブルを準備してください。
　コンソールケーブル(RJ45-DB9)

トランスペアレントモードに変更するには、コンソール接続しCLIよりコマンド入力し変更する必要があります。
「Tera Term」等のターミナルエミュレータソフトウェアを使います。
※「Tera Term」はこちらのサイトからダウンロードが可能です。
　　
https://ja.osdn.net/projects/ttssh2/

まず、「Tera Term」を立ち上げて、FortiGateと接続します。

「シリアルポート」を選択し「OK」をクリック

FortiGateのログインIDとパスワードを入力し「Enter」をクリックしてください。

「Welcom!」とメッセージ表示

※FG-50E FortiOSv5.4.3

左メニューの「ネットワーク」→「インターフェース」をクリック

設定したWANインターフェースをダブルクリック

「PPPoE」をクリックし、プロバイダーの設定情報を入力し「適用」をクリックしてください。