Fortinet商品など
FortiGateの管理画面のアクセス制限について
FortiGateファイアウォールの管理画面アクセス制限は、セキュリティ運用上非常に重要な設定の1つです。
不正アクセスを防ぎ、管理者のみがWeb GUIやCLI(SSH/コンソール)経由でアクセスできるように制限することで、FortiGateの安全性を高めます。
以下に、FortiGateにおける管理画面(GUI/CLI)アクセス制限の主要な方法について、体系的に詳しく解説します。
管理アクセスの基本設定
管理画面のアクセス手段
FortiGateは以下の方法で管理できます。
- Web GUI(HTTPS)
- CLI(SSH または コンソール)
- Telnet(非推奨、安全でない)
- HTTP(非推奨、安全でない)
通常は、HTTPSおよびSSHのみを許可するのがベストプラクティスです。
インターフェースごとの管理アクセス制限
FortiGateでは物理インターフェースやVLANインターフェースごとにアクセス許可を細かく設定できます。
設定手順(GUI)
- FortiGateにログイン
- 「ネットワーク > インターフェース」に移動
- 対象のインターフェース(例:
port1)を編集 - 「管理アクセス」で許可するプロトコル(HTTPS, SSHなど)にチェック
- 「アクセス制限(Administrative Access)」で不要なもの(HTTPやTelnet)は外す
- 保存して終了
たとえば、「port1」は社内管理用のインターフェースなので、HTTPSとSSHのみ許可し、それ以外は無効にする。
アクセス元IPアドレスの制限(Trusted Hosts)
管理者アカウントごとに、アクセスできるIPアドレスを制限できます。これにより、特定の端末からのみログインを許可することが可能になります。
設定手順(GUI)
- 「システム > 管理者」を開く
- 対象の管理者アカウントを編集
- 「Trusted Hosts(信頼できるホスト)」の項目で、アクセスを許可するIPアドレスまたはサブネットを入力(例:
192.168.1.0/24)
複数のホスト/ネットワークがあれば、最大10個まで指定可能。
Trusted Hosts を設定していない場合、どこからでもアクセス可能になるため、非常に危険です。
ファイアウォールポリシーによる制御(※補助的)
通常、管理アクセスはインターフェース設定とTrusted Hostsで制御しますが、さらに細かく制限したい場合は、ファイアウォールポリシーを使うことも可能です(特にVLAN間やVPN越しの管理時)。
- インターフェース間にファイアウォールポリシーを作成
Destinationを FortiGate のインターフェースIP にし、ServiceにHTTPS,SSHを指定
これは通常のWebやVPNユーザーが管理画面にアクセスできないようにする「2重の制御」として有効です。
CLI(コマンド)での設定例
CLIでも設定できます。
以下は一例です。
# port1のインターフェースにHTTPSとSSHだけ許可
config system interface
edit port1
set allowaccess https ssh
set trusted-hosts 192.168.1.0 255.255.255.0
next
end
# 管理者adminのTrusted Hostsを設定
config system admin
edit admin
set trusthost1 192.168.1.10 255.255.255.255
set trusthost2 192.168.1.11 255.255.255.255
next
end
管理ポートのカスタマイズ(セキュリティ強化)
デフォルトのHTTPSポート(443)やSSHポート(22)はスキャンされやすいため、管理ポートを変更するのも有効な防御策です。
# HTTPSポートを変更(例:10443)
config system global
set admin-port 10443
end
# SSHポートを変更(例:2222)
config system global
set admin-ssh-port 2222
end
GUIからアクセスする際は、ポート番号を明示する必要があります。
https://<FortiGateのIP>:10443
管理画面のアクセスログ確認
不正アクセスやログイン失敗を監視するために、ログとイベントログの確認も重要です。
- 「ログ & レポート > イベントログ > 管理イベント」から確認可能
- CLI では以下のコマンドで確認可能:
get log syslogd setting
または
diagnose debug authd log enable
まとめ
| 設定項目 | 推奨内容 |
|---|---|
| 管理アクセスプロトコル | HTTPS, SSH のみに限定 |
| Trusted Hosts 設定 | 管理者ごとにIP制限を必ず設定 |
| ポート番号のカスタマイズ | デフォルト以外の番号に変更(例:10443, 2222) |
| アクセスログの監視 | 定期的にログ確認し、不審なIPをブロック |
| ファイアウォールポリシー制御 | VLAN間やVPN経由での管理アクセス制御に有効 |
補足:管理アクセス制限を強化するためのその他の手段
- 二要素認証(2FA) の導入(FortiTokenなどと連携)
- 管理者アカウントの分離(用途別にadmin権限を分ける)
- スケジュールによる管理アクセス制限(時間帯制限)
以上、FortiGateの管理画面のアクセス制限についてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(The Company キャナルシティ博多前)
電話番号:092-600-1222
