FortiGateのセキュリティグループの使用方法

 FortiGateにセキュリティプロファイルをグループ化する方法が実装されていました。

Paloaltoでは 標準的に使う機能ですが FortiGateではあまり聞きません。

FortiGateの完全実装本などにも 記載はなかったと思います。

すごい便利な機能ですが デフォルトは非表示です。

6.0.0系から使えてたみたいです。


以下のコマンドでGUIを有効化します。

config system settings

set gui-security-profile-group enable

end















GUIにプロファイルグループが表示されます。

名前と設定したいセキュリティプロファイルを選択します。

アンチウイルスとWebフィルタだけ有効にする組み合わせも可能です。

設定したら OKで確定します。





設定ができるとプロファイルグループが出来ています。
次はファイアウォールポリシーへ適用します。



適用したいファイアウォールポリシーへ移動します。
セキュリティプロファイルグループの使用というチェック項目が増えていますので
有効にします。指定したいプロファイルグループを設定し、OKです。
これで設定は完了です。




どうでしたでしょうか?

非常に便利な機能で運用がとても楽になります。

サーバ用ポリシーとクライアントポリシーを分けたり、管理者用、開発者用などでも

分けることができて非常に便利です。


ぜひお試しください。





















コメント

コメントを投稿

このブログの人気の投稿

FortiGate7.0からZTNA対応

 FortiGate7.0からZTNAに対応しました。 ZTNAを実装する上で必要になるコンポートネントは以下となります。 ・FortiGate  version7.0.X ・ FortiClient EMS  v7.0.x( VPN&ZTNA or Zero Trust Fabric AgentのSKUが必要) ・FortiClient  v7.0.x 従来のVPN接続のようなユーザー操作を必要とせず、社内リソースへアクセスできるようになります。 認証は以下の3つが可能なようです。LDAPなどの連携もできるみたいですよ。 ・クライアント証明書 ・ユーザID/PASS ・デバイスポスチャーチェック 実機でまた検証できる機会があったら 検証してみたいと思います。
Read more »

FortiGateがDS-Lite(IPv6)に正式対応しました!

 FortiGateは 今までMAP-Eのみ公式対応しておりましたが FortiOS 7.0.2以降で vneトンネルに set brコマンドが追加されて正式DS-Liteに対応したそうです。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf 具体的な違いは以下となります。 FortiOS7.0.2以前(DS-Lite対応前) ・IPv6 Tunnelにて 定義 ・送信元のIPv6アドレスの指定が必要   ※Prefix変更時には設定変更が必要となる。 FortiOS7.0.3以降(DS-Lite対応後) ・VNE-Tunnelにて 定義 ・送信元となるIPv6アドレスの指定が必要ない IPOEがまだまだ普及していませんが FortiGateが対応したとなると 企業へのIPOE導入も増えてきそうですね。
Read more »