FortiGateのコマンドリファレンスについて

コマンドリファレンスとは？

FortiGateは GUI（Web管理画面） と CLI（コマンドライン） の両方で管理できます。

GUIは直感的ですが細かい制御には限界があり、CLIこそが全機能を扱うための中核です。

このCLIのすべてを体系化したものがFortiOS CLI Command Referenceであり、運用・トラブルシュート・自動化に必須の資料です。

主なコマンドカテゴリ

CLIは大きく以下に分類されます。

グローバル／システム系

• config system global : FortiGate全体の設定（管理ポート、時刻、ログレベルなど）
• config system interface : ネットワークインターフェースの設定（IP、VLAN、zone）
• config router static : スタティックルート（IPv6は config router static6）

セキュリティポリシー

• config firewall policy : 通信制御ルール
• config firewall address : アドレスオブジェクト
• config firewall service custom : サービスオブジェクト作成
• config firewall service group : サービスグループ定義

VPN

• config vpn ipsec phase1-interface / phase2-interface : IPsec VPN
• config vpn ssl settings : SSL-VPN全体設定（待ち受けポートなど）
• config vpn ssl web portal : SSL-VPNポータル定義（ユーザー権限やUI制御）

ユーザー認証

• config user local : ローカルユーザー
• config user group : ユーザーグループ（AD/LDAP連携も可）

診断・デバッグ

• show : 設定内容を表示
• get : ステータス情報を表示
• diagnose : 詳細診断・デバッグ
  • diagnose debug enable/disable
  • diagnose debug application ike -1（IKEデバッグ全レベル出力）
  • diagnose vpn ike log-filter dst-addr4 ...（FortiOS 7.4.0以前）
  • diagnose vpn ike log filter rem-addr4 ...（7.4.1以降の新構文）
  • diagnose sniffer packet any "host 8.8.8.8" 4 0 a（tcpdump相当）

コマンド操作の基本フロー

CLIは階層型構造をとります。

典型例

config firewall address
    edit "Test-Host"
        set subnet 192.168.1.10 255.255.255.255
    next
end

ポイント

• config で対象カテゴリに入る
• edit でオブジェクト作成／編集
• set でパラメータ指定
• next で保存＆次の項目へ
• end で終了

実務でよく使う確認コマンド

• CPU・メモリ
  get system performance status
• インターフェース
  get system interface physical
diagnose hardware deviceinfo nic wan1
• VPNトラブルシュート diagnose debug reset diagnose vpn ike log filter rem-addr4 203.0.113.10 diagnose debug application ike -1 diagnose debug enable # 確認後は disable diagnose debug disable
• パケットキャプチャ diagnose sniffer packet any "host 8.8.8.8" 4 0 a

公式ドキュメントの入手

• Fortinet Docs (公式) で ログイン不要 で閲覧可能。
  「FortiGate」→「FortiOS」→「CLI Reference」から、バージョンごとのリファレンスが入手できます。
• FortiGate本体からも ? コマンドで利用可能。 config system ? と入力すると、その階層で使えるコマンドが一覧表示されます。

注意点とベストプラクティス

• バージョン差異を意識
  FortiOSのメジャー／マイナーバージョンでコマンド構文が微妙に変わる（例：IKEフィルタ）。
  → 参照するリファレンスは 必ず利用中のバージョンに揃える。
• 全設定確認
  show full-configuration で非表示のデフォルト値を含めすべて確認可能。
• 作業前後のバックアップ
  CLI編集は即反映されるため、変更前後で show 出力や設定バックアップを残すのが安全。

まとめ

FortiGateのコマンドリファレンスは、GUIでは設定できない詳細項目や障害対応を行う際に不可欠です。

特にVPN関連のデバッグ や パフォーマンス確認、サービス／ポリシーオブジェクトの定義が現場でよく使われます。

常に 利用中FortiOSのバージョンに合ったリファレンス を参照し、誤操作を避けるために ? やshow full-configuration を活用するのがベストです。

以上、FortiGateのコマンドリファレンスについてでした。

最後までお読みいただき、ありがとうございました。