株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

初めてでも安心の図解付き!FortiGate on AWS デプロイガイド

皆様こんにちは!ネットワールドSEの藤井です。

AWSにおけるネットワークのセキュリティでは、様々な機能があり複雑で難しいと感じたことはありませんか? 今回は、AWS上のネットワークセキュリティとしてFortiGateを使用するというソリューションの第一歩として、FortiGateをAWS上にデプロイするためのガイドをお届けします。

VPCを作成し、ネットワークの構築をしてからFortiGateを立てるところまで、図解付きでのガイドとなっております。

以下、デプロイガイドとなります。 画面を並べて実際にAWS上で操作しながら構築を進めていただけたらと思います!


関連シリーズ、FortiADC on AWSのデプロイガイドはこちら!

blogs.networld.co.jp


目次

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるとものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

1. はじめに

Amazon Elastic Compute Cloud (以下Amazon EC2) は、Amazon Web Services (以下AWS) クラウドでスケーラブルなコンピューティング能力を提供します。Amazon EC2 を使用すると、ハードウェアに先行投資する必要がなくなるため、アプリケーションの開発とデプロイを迅速化できます。Amazon EC2 を使用して、仮想サーバーの起動、セキュリティとネットワークの設定、ストレージの管理を行うことができます。

このガイドでは、FortiGateをAWS EC2にデプロイする方法を説明します。


ご注意ください:AWSリージョンについて

本手順書は特定のAWSリージョンを基準に記載しております。AWSのサービスはリージョンにより、可用性や機能が変わることがあります。そのため、他のリージョンで本手順を適用する際には、AWS公式ドキュメントや該当リージョンのサービスページで確認をお願いします。

リージョンの選択や設定は、ご自身の責任と判断にてお願いいたします。


2. 構成図

本デプロイガイドの構成図です。

3. ライセンス

FortiGate-VMをAWSのAmazon EC2にデプロイするには、次の2つのライセンスタイプが提供されています。

  • Bring Your Own License (BYOL) — 既にFortiGateのライセンスをお持ちの場合、それを使用してデプロイできます。
  • オンデマンド — AWS Marketplaceを通じて時間単位で課金されるライセンスです。FortiGateのフルライセンスインスタンス、すべてのFortiGuardサービス、およびテクニカルサポートが含まれています。

本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。BYOLライセンスタイプでは、デプロイ後にライセンスファイルをインスタンスにアップロードする必要があります。

ネットワールドFortinetお問い合わせフォーム https://www.networld.co.jp/forms/product/fortinet.html


本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。


4. FortiGateを導入する前に

FortiGateをデプロイする前にAWS上の基本設定を行います。

  • VPCの作成
  • サブネットの作成
  • インターネットゲートウェイの作成

ルートテーブルの作成は、FortiGateインスタンスのネットワークインターフェイスが必要なため、FortiGateをデプロイ後に行います。

以下順を追って作成します。

4.1. VPCの作成

VPCを作成し、利用するIPv4アドレス範囲を指定します。

[サービス] > [ネットワーキングとコンテンツ配信] > [VPC]をクリックします。

Tips [☆]をクリックでお気に入りに登録することでヘッダに表示され、アクセスしやすくなります。

VPCを作成するリージョンを選択します。本例では[カナダ(中部)]です。

[VPCを作成]をクリックします。

以下設定を入力します。

  • 作成するリソース:VPCのみ
  • 名前タグ – オプション:FortiGate-VPC
  • IPv4 CIDR ブロック IPv4:CIDR の手動入力
  • IPv4 CIDR:10.0.0.0/16

※以降記載のない項目はデフォルト設定とします


[VPCを作成]をクリックします。

VPCが作成されたことを確認します。

4.2. サブネットの作成

作成したVPC内に、PublicとPrivateのサブネットを作成します。

[VPC] > [サブネット] > [サブネットを作成]をクリックします。

サブネットを作成するVPCを選択します。

パブリックサブネットの情報を入力します。

  • サブネット名:FortiGate-Public-subnet
  • IPv4 サブネット CIDR ブロック:10.0.0.0/24

[新しいサブネットを追加]をクリックします。

プライベートサブネットの情報を入力します。

  • サブネット名:FortiGate-Private-subnet
  • IPv4 サブネット CIDR ブロック:10.0.1.0/24

[サブネットを作成]をクリックします。

サブネットが作成されたことを確認します。

4.3. インターネットゲートウェイ(IGW)の作成

VPCからインターネットへの出口となるIGWを作成し、VPCにアタッチします。

[VPC] > [インターネットゲートウェイ] > [インターネットゲートウェイの作成]をクリックします。

以下設定を入力し、[インターネットゲートウェイの作成]をクリックします。

  • 名前タグ:FortiGate-igw

IGWが作成されたことを確認します。

IGWをVPCにアタッチして、VPCがインターネットと通信できるようにします。

作成したIGWの[アクション]から[VPCにアタッチ]をクリックします。

アタッチするVPCを選択し、[インターネットゲートウェイのアタッチ]をクリックします。

アタッチされたことを確認します。

5. FortiGate-VMの展開

FortiGate-VMをAWSのAmazon EC2にデプロイします。

今回はBring Your Own License (BYOL)タイプのインスタンスを使用します。

5.1. インスタンスの起動

[EC2] > [インスタンス] > [インスタンスを起動]をクリックします。

[名前とタグ]で、仮想マシンの名前を設定します。

5.2. Amazonマシンイメージ(AMI)選択

[アプリケーションおよび OS イメージ (Amazon マシンイメージ)]で[その他のAMIを閲覧する]をクリックします。

[FortiGate byol]と検索し、[AWS Marketplace AMI]からBYOLのFortiGateを選択します。

[インスタンス起動時に購読]をクリックします。

5.3. インスタンスタイプの選択

インスタンスタイプを指定します。ライセンスの種類に合わせて、適切なサイズを選択します。

本ドキュメントでは、VM04ライセンスを使用し、c6i.xlargeのインスタンスを使用します。


  • メモリ:4G以上のメモリをお勧めします
  • vCPU:利用するライセンスに合わせてインスタンスを選択します。

FortiGate-VMはVM01、VM02、VM04、VM08、VM16、VM32が提供されています。数値は利用可能なvCPU数です。

例 : FortiGate-VM04 4vCPU利用可能ライセンス


5.4. キーペアの作成とダウンロード

[キーペア(ログイン)]で[新しいキーペアの作成]を選択し、以下の設定で作成し、ダウンロードします。

  • キーペア名:FortiGate-key
  • キーペアのタイプ:RSA
  • プライベートキーファイル形式:.pem

5.5. ネットワーク設定

[ネットワーク設定]で[編集]をクリックします。

[VPC]では作成したVPC[FortiGate-VPC]を選択します。

[サブネット]では[FortiGate-Public-subnet]を選択します。

[パブリックIPの自動割り当て]は[無効化]のままにします。

セキュリティグループを作成して設定します。

  • ファイアウォール(セキュリティグループ) :セキュリティグループを作成
  • セキュリティグループ名:FortiGate-sg-AllAllow
  • 説明:all allow
  • インバウンドセキュリティグループのルール
    • すべてのトラフィック、任意の場所

本ドキュメントでは、すべてのトラフィックを許可するように設定をしています。実際に利用する場合には、環境に合わせたアクセス制限を設定してください。


[高度なネットワーク設定]を開き、ネットワークインターフェイスを作成します。

  • ネットワークインターフェイス1
    • 説明:FortiGate-port1
    • プライマリIP:10.0.0.10

[ネットワークインターフェイスを追加]から1つ追加で作成します。

  • ネットワークインターフェイス2
    • 説明:FortiGate-port2
    • サブネット:FortiGate-Private-subnet
    • プライマリIP:10.0.1.10

5.6. ストレージ設定

ストレージ設定は変更の必要はありません。

5.7. インスタンスの起動

インスタンス数を確認し、起動をクリックします。

起動が完了したことを確認します。

また、起動が完了しても、[インスタンス]にて[ステータスチェック]が[初期化しています]の状態ではまだ使用できないため、しばらく待機してください。

5.8. ネットワークインターフェイスの追加設定

FortiGate-VMのport1,port2として作成したネットワークインターフェイスの[Name]タグを設定します。

[EC2] > [ネットワークインターフェイス]を開き、[説明]欄が[FortiGate-port1]となっている項目を選び、[Name]に[FortiGate-port1]と入力します。

[FortiGate-port2]も同様に[Name]の設定をします。

6. Elastic IPの作成と関連付け

Elastic IPを作成し、FortiGateのport1に関連付けをします。

[EC2] > [Elastic IP] > [Elastic IP アドレスを割り当てる]をクリックします。

項目はそのまま、[割り当て]をクリックします。

新しく追加されたElastic IP アドレスの[Name]部分をクリックし、[FortiGate-eip]と名前を付けます。

割り当てたElastic IP アドレスをクリックし、[Elastic IP アドレスの関連付け]をクリックします。

[リソースタイプ]で[ネットワークインターフェイス]を選択します。

[ネットワークインターフェイス]で[FortiGate-port1]の記載があるものを選択します。

port1に指定したIPアドレスを選択し、[関連付ける]をクリックします。

Elastic IP アドレスの関連付けが完了したことを確認します。

7. ルートテーブルの作成とサブネットの関連付け

ルートテーブルを作成し、サブネットに関連付けをします。

7.1. パブリックサブネット用ルートテーブル

パブリックサブネット用のルートテーブルを作成します。

[VPC] > [ルートテーブル] > [ルートテーブルを作成]をクリックします。

以下の情報を設定し、[ルートテーブルを作成]をクリックします。

  • 名前:FortiGate-rt-public
  • VPC:FortiGate-VPC

作成されたルートテーブルを確認し、[ルートを編集]をクリックします。

インターネット向けの通信をIGWへ向けるような設定をします。[ルートを追加]をクリックします。送信先を[0.0.0.0/0]とし、[ターゲット]に[インターネットゲートウェイ]を選択、[igw-]から始まる項目のうち[FortiGate-igw]を選択し、[変更を保存]をクリックします。

ルートが追加されていることを確認し、[アクション] > [サブネットの関連付けを編集]をクリックします。

[FortiGate-Public-subnet]を選択し、[関連付けを保存]をクリックします。

[明示的なサブネットの関連付け]項目に追加されていることを確認します。

7.2. プライベートサブネット用ルートテーブル

プライベートサブネット用のルートテーブルを作成します。

同様に[VPC] > [ルートテーブル] > [ルートテーブルの作成]から、以下の情報を入力し、[ルートテーブルを作成]をクリックします。

  • 名前:FortiGate-rt-private
  • VPC:FortiGate-VPC

[ルートを編集]から[ルートを追加]をクリックします。[送信先]に[0.0.0.0/0]を追加し、両方のルートのターゲットに[ネットワークインターフェイス]の[FortiGate-port2]を指定、[変更を保存]をクリックします。

[アクション] > [サブネットの関連付けを編集]から、[FortiGate-private-subnet]を選択し、[関連付けを保存]をクリックします。

設定が反映されていることを確認します。

8. FortiGateにGUIで接続する

環境構築をしたFortiGate-VMに、GUIでアクセスします。Google Chrome等のブラウザを使用し、設定したIPアドレスへHTTPSで接続します。

FortiGateが初期で使用する証明書は、ブラウザで警告が表示されます。Google Chromeでは、左下[詳細情報]をクリックし、[xx.xx.xx.xxにアクセスする(安全ではありません)]でアクセスできます。

以下のように、FortiGateの画面に接続できるので、[Accept]をクリックします。

ログイン画面となるので、以下情報でログインします。

  • Username:admin
  • Password:[インスタンスID]

インスタンスIDは、[EC2] > [インスタンス]からFortiGateを開き、[i-xxxxxxx]を使用します。

パスワードの変更を要求されるので、任意の値で設定します。

再度ログインすると、ライセンスのアップロードを要求されます、用意したBYOLライセンスをアップロードし、[OK]をクリックします。

再起動の確認が出るので、OKをクリックします。

再起動を待ち、再度ログインします。 セットアップの画面となったら、FortiGateのデプロイは完了です。

[Network] > [Interfaces]では、設定をしたネットワークインターフェイスの情報が入っていることが確認できます。



以上で、AWS上でのFortiGateデプロイガイドを終わります。

いかがでしたでしょうか?

今回構築した環境では実際に使用するネットワーク構成と比較するとシンプルに最低限のものとなっております。

構成のご相談やその他お問い合わせは、弊社までお待ちしております。