FortiGate IT セキュリティ ネットワーク

【GUI・CLI】FortiGateのログイン・アクセスの許可

投稿日:

FortiGateの設定方法

FortiGateを設定する方法はGUIとCLIの2通りがあります。
設定する機能によって、GUIの方が設定しやすかったり、
CLIの方が設定しやすかったりしますので、
GUIとCLIの両方で設定ができるようになると、
スムーズに設定することができるようになります。

GUI

GUIはGraphical User Interfaceの略称です。
FortiGateはHTTP、HTTPSが使用できます。
基本的な設定やステータス確認はGUI上で行うことができます。
『基本的な』というところがポイントで、
GUIでは詳細な設定やステータス確認ができない項目も存在します。

HTTPS

HTTPSでログインする場合には、
Webブラウザで【https://X.X.X.X(機器のアドレス)】を入力します。

証明書のエラーが出る場合は【詳細設定】を押下し、

【X.X.X.X(機器のアドレス)にアクセスする(安全ではありません)】を押下してください。

ログイン画面が表示されますので、IDとパスワードを入力してください。
※デフォルトではID:admin、パスワード:なしです。

ダッシュボードの画面が表示されましたら、HTTPSでのログイン完了です。

HTTP

HTTPでログインすることは事実上不可能です。
HTTPでログインを実施するとHTTPSにリダイレクトされるからです。
HTTPSリダイレクト後は上記のHTTPSの場合を参考にログインしてください。

推奨ブラウザ

FortiGateのGUIを使用する場合は推奨ブラウザを使用しましょう。
記事で使用しているFortiOS6.2.2の推奨ブラウザは下記になります。

  • Microsoft Edge 41以降
  • Mozilla Firefox version 59以降
  • Google Chrome version 65以降

どのFortiOSでもでも基本的にはEdge、Firefox、Chromeを使用しておけば問題ないです。
私も基本的にはChromeを使用しています。
試しに推奨ブラウザでないInternet Explorer11でGUIログインしてみましたが、
IDとパスワードを入力後に何も表示されなくなってしまいました。

CLI

CLIはCommand Line Interfaceの略称です。
CUI(Character or Character-base or Console User Interface)と呼ぶ場合もあります。
FortiGateの場合はコンソール、SSH、Telnetが使用できます。
GUIでは基本的な設定やステータス確認しか行えませんでしたが、
CLIでは基本的なことはもちろんのこと、
詳細な設定やステータス確認、デバッグも行うことができます。
基本的にGUIでできることはCLIでも行うことができます。

コンソール

FortiGateのコンソールの形状はRJ45です。
Teratermなどのターミナルソフトを使用して、
コンソールログインを行ってください。
コンソールの設定は下記になります。

ボーレート:9600
データビット:8bit
パリティ:none
ストップビット:1bit
フローコントロール:none

Teratermであれば特段設定変更をすることなく、
デフォルトの設定で使用することができます。

SSH

機器のアドレス宛にSSHを実施すればログインすることができます。
Teratermを使用した場合ですが、機器のアドレス宛にSSHを実施すれば、
プロンプトが返ってきますのでIDとパスワードを入力してください。

SSHログイン完了です。

Telnet

機器のアドレス宛にTelnetを実施すればログインすることができます。
Teratermを使用した場合ですが、機器のアドレス宛にTelnetを実施すれば、

プロンプトが返ってきますのでIDとパスワードを入力してください。
Telnetログイン完了です。

許可されているアクセス方法を確認する

FortiGateの場合、インタフェース毎にアクセスを許可しているプロトコルが設定されています。
GUIでもCLIでも許可されているアクセス方法を確認することができます。

GUI

GUIでの確認方法です。

操作
「ネットワーク」→「インタフェース」


【アクセス】の欄が現在許可されているアクセス方法です。
FortiGate60Eの場合、LAN側のインタフェースである【internal】の場合は、
デフォルトの状態ではPING、HTTPS、SSH、HTTP、FMGマネージ、CAPWAPが許可されています。
一方でWAN側のインタフェースである【wan1】や【wan2】はPINGとFMGマネージしか許可されていません。

CLI

CLIでの確認方法です。

コマンド
show system interface
show system interface XXX(確認したいインタフェース名)

「show system interface」コマンドでインタフェース全体的に確認することができます。
許可されているアクセス方法は【set allowaccess】の設定欄で確認することができます。

特定のインタフェースのみを確認したい場合は、
「show system interface XXX(確認したいインタフェース名)」で確認することができます。

アクセスを許可する方法

例えば、wan1やwan2のインタフェースに対して、
PINGは届きますが、HTTPSやSSHではアクセスできないという状態になっています。

wan1やwan2インタフェースにHTTPSやSSHを追加してあげることで、
HTTPSやSSHでログインすることができるようになります。
こちらの設定はGUIでもCLIでも行うことができます。
ただし、一部の設定はCLIでしか行うことができません。

GUI

GUIでの設定方法です。

操作
「ネットワーク」→「インタフェース」→「対象のインタフェース」を選択→「編集」
※「編集」を押下せずに「対象のインタフェース」をダブルクリックすることでも可能です。

操作
対象のインタフェースの設定画面で、
「管理者アクセス」で許可するアクセス方法にチェック→「OK」
※今回の場合はhttps、http、SSHを追加しています。


先ほど許可したアクセス方法が追加されていることが確認できます。

CLI

CLIでの設定方法です。

コマンド
config system inetrface
edit wan1

コマンド
set allowaccess ping fgfm https http ssh
もしくは
append https http ssh

コマンド
end
show system interface wan1

【end】コマンドを使用して保存を行いましょう。
その後、【show system interface wan1】コマンドを実行すれば、
先ほど許可したアクセス方法が追加されていることが確認できます。

注意事項

【set allowaccess https http ssh】とした場合は、
デフォルトで設定してあったpingとfgfmは消えてしまいます。


なので、既存の設定に追加する場合は面倒ですが、
【set allowaccess ping fgfm https http ssh】と入力する必要があります。
既存の設定に追加する場合は【append】コマンドを使用すると便利です。
【append https http ssh】と入力することで、
既存の設定を残したままhttps、http、sshを追加することができます。

許可できるアクセス方法

許可できるアクセス方法の一覧は下記になります。

  • ping
  • https
  • ssh
  • snmp
  • http
  • telnet ※1
  • FMGマネージ(fgfm)
  • RADIUSアカウンティング(radius-acct)
  • プローブレスポンス(probe-response) ※1
  • capwap
  • ftm
  • FortiTelemetry ※2

※1:telnetとプローブレスポンス(probe-response)はCLIでのみ有効にすることができます。
※2:FortiTelementryはCLI上での表記は、「set fortiheartbeat enable/disable」となります。

ping、https、ssh、snmp、http、telnetは一般的なプロトコルであるため、
説明は省略させて頂きますが、あまり馴染みのないプロトコルやアクセス方法のみ簡単にご紹介します。

FMGマネージ(fgfm)

FortiManagerというFortiGateを管理する製品があります。
FMGマネージ(fgfm)はFortiManagerからの管理通信を表しています。

RADIUSアカウンティング(radius-acct)

RADIUSサーバとの認証の際に用いられます。
RADIUSサーバに接続するインタフェースで有効にする必要があります。

プローブレスポンス(probe-response)

FortiGateの機能でサーバプローブという、サーバの死活監視機能があります。
この応答(レスポンス)を受信する際に必要な設定となります。

CAPWAP

CAPWAPは無線APとWLC間のやり取りに使用されるプロトコルです。

ftm

ftmはForti Token Mobileの略称です。
ftmはワンタイムパスワードを発行したりするアプリケーションで、
この通信を許可する際に必要な設定となります。

FortiTelemetry

FortiTelemetryはFortiGateの機器冗長化機能である、
HA(FGCP)で使用するハートビートを許可する際に必要な設定となります。

-FortiGate, IT, セキュリティ, ネットワーク

Copyright© 社内ニート@ネットワークブログ , 2020 All Rights Reserved Powered by STINGER.