どうもNWW(ぬー)です。
仕事でがっつりFortiGateを操作する機会がありましたので、
よく使うコマンドを一覧にしてみました。
業界最大手のCisco社のコマンド体系とは少し異なるため、
慣れるまではクセが強く感じるかもしれませんが、
ご紹介するコマンドで基本的な操作は行えるかと思います。
画像をクリックすると拡大されますので、
見にくい画像はクリックしてみてください。
FortiGate
FortiGateはFortinet社のUTMアプライアンスの名称です。
日経ネットワークで記事にもなっていますが、
2019年に日本で一番利用されているUTMアプライアンスです。
2020年の利用実態調査でも、
日本で一番利用されているUTMアプライアンスに輝いています。
UTM
UTMはUnified Threat Managementの略称で、日本語では統合脅威管理と訳されます。
UTM
コンテンツフィルタリング、アンチスパムなどの機能をセキュリティアプライアンスとしてゲートウェイ1台で処理する。
Wikipediaより
簡単に言えば、UTMとは色々なセキュリティ機能とルータが合わさった機器です。
それぞれの機能毎に機器を用意すべきところを1台の機器で様々な機能を提供できるので、
導入コストがかからないというところが魅力です。
CLI・GUI
FortiGateを設定したり、スタータスを確認する方法としてCLIとGUIがあります。
GUIは直感的でわかりやすいのですし、日本語で表示することもできます。
非常に便利なのですが、
細かいことを設定するのであればやはりCLIに慣れた方がいいです。
※シリアル番号はマスキングしています。
コマンド体型
FortiGateのコマンド体型は
- config:Config設定階層に移動
- get:ステータス確認
- show:Config確認
- diagnose:ステータス詳細確認、デバッグ
- execute:実行系(ping,tarceroute,ssh,クリア)
- alias:エイリアスの設定
- exit:ログアウト
に分類されます。
今回ご紹介するのは赤字のコマンドについてです。
なお、機種はFortiGate60E、OSはFortiOS6.2.2を使用しています。
基本コマンド
私が操作したときによく使った基本的なコマンドをご紹介していきます。
show:Config表示
show
『show』でConfig情報を一覧で表示します。
Ciscoの『show running-configuration』に該当します。
FortiGateはConfigが階層構造でできています。
『show system interface』と階層指定をすることで、
指定した階層のConfigだけ表示させることができます。
show system interface
GUIでConfigを取得する
GUIでもConfigを取得することができます。
Configをバックアップするという観点であれば、GUIで取得することをオススメします。
CLIからshowで取得したものを、そのまま流し込むことができません。
流し込んでもいいのですが、設定項目次第はエラーが表示されます。
また、UTMアプライアンスであるためデフォルトの状態でもConfigが2000行近くあります。
そんなものを流し込んで、エラーチェックや差分チェックを行っていると日が暮れます。
なので、GUIからバックアップ・流し込み(リストア)を行いましょう。
右上の『ログインしているユーザ名(今回はadmin)』→『設定』→
『バックアップ』で画面遷移
その後に、そのまま『OK』をクリックすることで、『.conf』という拡張子でConfigファイルがダウンロードされます。
『リストア』に遷移すれば、
先ほどダウンロードした『.conf』形式のファイルをアップロードすることで、そのConfigにリストアすることができます。
set output standard:Moreを消す
先ほど『show』を打った際に表示された『–More–』の表示を消します。
Ciscoの『terminal length 0』に該当します。
正確には
config system console set output standard end
という設定を行います。
注意点としてはConfigに反映されてしまうことです。
get system status:各種Version、シリアル番号確認
get system status
各種Versionを表示するコマンドです。
Ciscoの『show versions』に近しいコマンドです。
※シリアル番号はマスキングしています。
- Version:FortiOSのバージョン
- Serial-Number:シリアル番号(マスキングしています)
主に確認する点はここら辺でしょうか。
get system interface:インタフェースのステータス確認
get system interface
インタフェースの情報を表示するコマンドです。
Ciscoの『show interface status』と
『show ip interface brief』を足したようなコマンドです。
改行なく横にズラッと表示されるので、正直見づらいです。。
get router info routing-table all:ルーティングテーブルの確認
get router info routing-table all
ルーティングテーブルを表示するコマンドです。
Ciscoの『show ip route』に該当します。
PCしか接続していない状態なので、情報が少なくてすみません。。
Ciscoライクな表示結果ですので違和感はないと思います。
execute ping:ping実行
execute ping
pingを実行します。
pingの前にexecuteと付ける必要があるので慣れが必要です。
『execute ping-options』で送信元や回数を指定することができます。
ちなみにFortiGateにnslookupやdigコマンドはないので、
名前解決できるか確認したい場合は、
『execute ping yahoo.co.jp』のようにFQDN指定でpingをしてみましょう。
execute traceroute:traceroute実行
execute traceroute
tracerouteを実行します。
ping同様で前にexecuteを付ける必要があるので慣れが必要です。
『execute traceroute-options』で送信元を指定することができます。
execute reboot:再起動
execute reboot
再起動のコマンドです。
コマンドを入力した瞬間に再起動されるわけでなく、
『Do you want to continue? (y/n)』と聞かれますので、
実行する場合は『y』と入力しましょう。
execute shutdown:シャットダウン
exexute shutdown
シャットダウンのコマンドです。
こちらもコマンドを入力した瞬間にシャットダウンされるわけでなく、
『Do you want to continue? (y/n)』と聞かれますので、
実行する場合は『y』と入力しましょう。
FortiGateの機種によってはログ保管用でストレージを搭載している機種があります。
ストレージ搭載用の機種向けにシャットダウンコマンドが用意されています。
ストレージを搭載していない機種でも、
シャットダウンコマンドを使用して電源を落とすことがメーカ推奨らしいので、
可能な限りいきなり電源ケーブルを抜くことはやめましょう。
『The system is halted.』と表示されたら電源ケーブルを抜いてもいい合図です。
さいごに
まずは【基本編】としてFortiGateで私がよく使ったコマンドをご紹介しました。
各種機能の説明はこちらで記載しています。
