Fortinet商品など
FortiGateのコンフィグの見方について
FortiGateのコンフィグ(設定)ファイルの見方を理解することは、ネットワークセキュリティ管理やトラブルシューティングに非常に重要です。
FortiGateはFortinet社の次世代ファイアウォールで、CLI(Command Line Interface)での設定を通じて詳細な制御が可能です。
本記事では、FortiGateのコンフィグの基本構造から、具体的なセクションの読み方、実務的な確認ポイントまで、プロフェッショナル向けに詳しく解説します。
FortiGateのコンフィグファイルの基本
コンフィグファイルの取得方法
FortiGateの設定は、CLIやGUIからエクスポートできます。
以下はCLIでの出力例です。
# show full-configuration
または、設定をバックアップする場合
# execute backup config ftp <filename> <server> <username> <password>
GUIからは、System > Configuration > Backup で取得可能です。
コンフィグファイルの構造
FortiGateの設定は大きく分けて グローバル設定 と 仮想ドメイン(VDOM)ごとの設定 に分かれています。
グローバル設定(config global)
例
config global
set hostname "FortiGate"
config system global
set admintimeout 10
end
end
これはシステム全体の設定(ホスト名、管理者タイムアウトなど)を行う部分です。
VDOM設定(config vdom)
VDOM(Virtual Domain)機能を使っている場合、個別のVDOMごとに設定ブロックがあります。
config vdom
edit root
config system interface
edit "wan1"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh
next
end
next
end
各設定セクションの見方
以下はよく使われる設定項目のセクション別の読み方です。
config system interface
ネットワークインターフェースの設定。
config system interface
edit "wan1"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh
set alias "Internet"
set device-identification enable
next
end
edit "wan1":インターフェース名set ip:IPアドレスとサブネットマスクset allowaccess:許可される管理アクセス(ping, https, sshなど)
config firewall policy
ファイアウォールポリシーのルール設定。
config firewall policy
edit 1
set name "Allow_HTTP"
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "HTTP"
set logtraffic all
set nat enable
next
end
set srcintf/dstintf:通信元/先のインターフェースset action:許可(accept)、拒否(deny)、SSL検査(ssl-ssh-profile)などset nat:NAT有効化(通常インターネットに出る際に必要)
config router static
スタティックルート(静的ルーティング)の設定。
config router static
edit 1
set dst 0.0.0.0 0.0.0.0
set gateway 192.168.1.254
set device "wan1"
next
end
set dst:宛先ネットワーク(0.0.0.0/0はデフォルトルート)set gateway:ルーターのアドレスset device:出力インターフェース
config firewall address
アドレスオブジェクトの定義。
ポリシーで使用されるIPやネットワークの定義。
config firewall address
edit "Office_Net"
set subnet 192.168.10.0 255.255.255.0
set type ipmask
next
end
コンフィグ確認で見るべきチェックリスト
| チェック項目 | 目的・理由 |
|---|---|
| インターフェースのIP | 正しく割り当てられているか |
firewall policyの順序 |
上から順に評価されるため |
| NATの有無 | インターネット通信可否に直結 |
ログ設定 (logtraffic) |
監査・トラブルシュート用 |
| VPN設定(IPsec/SSL) | 正しくトンネルが張られているか |
| スタティックルート | 経路が正しく定義されているか |
| オブジェクト定義の整合性 | 実際にポリシーで使用されているか |
実務でよく使うCLIコマンド例
| コマンド | 概要 |
|---|---|
show |
現在の設定を見る |
get system status |
デバイスのバージョン、状態確認 |
diagnose debug flow |
パケットの流れを追跡する |
execute ping |
接続確認 |
config & edit & set |
設定変更の基本構文 |
補足:VDOMを使っていない場合
もしVDOMを使っていない環境では、設定はすべてデフォルトのルートVDOM(root)に対して保存されています。
config vdom ブロックが省略されていることもあります。
まとめ
FortiGateのコンフィグファイルを読み解くには、以下の視点を持つことが大切です。
- 全体構造の把握(global設定/vdomごとの設定)
- セクションごとの意味を理解する(interface、policy、routerなど)
- ポリシーの流れと順序の重要性を理解する
- 実機でCLIに慣れることで構造が自然に身につく
構成ファイルの中身をただ見るのではなく、「なぜその設定が存在するか?」「どの通信を許可しているか?」を意識しながら読み進めることが、ネットワークエンジニアとしてのスキルを高める鍵になります。
以上、FortiGateのコンフィグの見方についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
