FortiGate7.0からZTNA対応

 FortiGate7.0からZTNAに対応しました。


ZTNAを実装する上で必要になるコンポートネントは以下となります。

・FortiGate version7.0.X

FortiClient EMS  v7.0.x(VPN&ZTNA or Zero Trust Fabric AgentのSKUが必要)

・FortiClient  v7.0.x


従来のVPN接続のようなユーザー操作を必要とせず、社内リソースへアクセスできるようになります。

認証は以下の3つが可能なようです。LDAPなどの連携もできるみたいですよ。

・クライアント証明書

・ユーザID/PASS

・デバイスポスチャーチェック


実機でまた検証できる機会があったら 検証してみたいと思います。




コメント

コメントを投稿

このブログの人気の投稿

FortiGateのセキュリティグループの使用方法

イメージ
 FortiGateにセキュリティプロファイルをグループ化する方法が実装されていました。 Paloaltoでは 標準的に使う機能ですが FortiGateではあまり聞きません。 FortiGateの完全実装本などにも 記載はなかったと思います。 すごい便利な機能ですが デフォルトは非表示です。 6.0.0系から使えてたみたいです。 以下のコマンドでGUIを有効化します。 config system settings set gui-security-profile-group enable end GUIにプロファイルグループが表示されます。 名前と設定したいセキュリティプロファイルを選択します。 アンチウイルスとWebフィルタだけ有効にする組み合わせも可能です。 設定したら OKで確定します。 設定ができるとプロファイルグループが出来ています。 次はファイアウォールポリシーへ適用します。 適用したいファイアウォールポリシーへ移動します。 セキュリティプロファイルグループの使用というチェック項目が増えていますので 有効にします。指定したいプロファイルグループを設定し、OKです。 これで設定は完了です。 どうでしたでしょうか? 非常に便利な機能で運用がとても楽になります。 サーバ用ポリシーとクライアントポリシーを分けたり、管理者用、開発者用などでも 分けることができて非常に便利です。 ぜひお試しください。
Read more »

FortiGateがDS-Lite(IPv6)に正式対応しました!

 FortiGateは 今までMAP-Eのみ公式対応しておりましたが FortiOS 7.0.2以降で vneトンネルに set brコマンドが追加されて正式DS-Liteに対応したそうです。 https://www.fortinet.com/content/dam/fortinet/assets/deployment-guides/ja_jp/fg-internet-multifeed-ipoe-ds-lite_fos702.pdf 具体的な違いは以下となります。 FortiOS7.0.2以前(DS-Lite対応前) ・IPv6 Tunnelにて 定義 ・送信元のIPv6アドレスの指定が必要   ※Prefix変更時には設定変更が必要となる。 FortiOS7.0.3以降(DS-Lite対応後) ・VNE-Tunnelにて 定義 ・送信元となるIPv6アドレスの指定が必要ない IPOEがまだまだ普及していませんが FortiGateが対応したとなると 企業へのIPOE導入も増えてきそうですね。
Read more »