皆様こんにちは!ネットワールドSEの對馬です!
FortiGateのログを保管して簡単に分析したい! といったお悩みはございませんか?
今回はFortiGateのログ管理アプライアンスであるFortiAnalyzerをお試ししていただけるよう、 FortiAnalyzerをAWS上にデプロイするためのガイドをお届けします。
VPCを作成し、ネットワークの構築をしてからFortiAnalyzerを立てるところまで、図解付きでのガイドとなっております。
以下、デプロイガイドとなります。 画面を並べて実際にAWS上で操作しながら構築を進めていただけたらと思います!
関連シリーズ、FortiGate on AWSのデプロイガイドはこちら! blogs.networld.co.jp
関連シリーズ、FortiADC on AWSのデプロイガイドはこちら! blogs.networld.co.jp
目次
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるとものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。
1. はじめに
Amazon Elastic Compute Cloud (以下Amazon EC2) は、Amazon Web Services (以下AWS) クラウドでスケーラブルなコンピューティング能力を提供します。Amazon EC2 を使用すると、ハードウェアに先行投資する必要がなくなるため、アプリケーションの開発とデプロイを迅速化できます。Amazon EC2 を使用して、仮想サーバの起動、セキュリティとネットワークの設定、ストレージの管理を行うことができます。
FortiAnalyzer-VMの評価ライセンスをご用意ください。 ライセンスについては 3.ライセンス(リンク) を参照ください。
このガイドでは、FortiAnalyzer-VMをAWS EC2にデプロイする方法を説明します。
ご注意ください:AWSリージョンについて
本手順書は特定のAWSリージョンを基準に記載しております。AWSのサービスはリージョンにより、可用性や機能が変わることがあります。そのため、他のリージョンで本手順を適用する際には、AWS公式ドキュメントや該当リージョンのサービスページで確認をお願いします。
リージョンの選択や設定は、ご自身の責任と判断にてお願いいたします。
2. 構成図
本デプロイガイドの構成図です。
3. ライセンス
FortiAnalyzer-VMをAWSのAmazon EC2にデプロイするには、次の2つのライセンスタイプが提供されています。
- Bring Your Own License (BYOL) — Forti Analyzer-VM用のライセンスファイルが別途必要です。
- オンデマンド — FortiAnalyzer-VMのフルライセンスインスタンス、すべてのFortiGuardサービス、およびテクニカルサポートを時間単位で提供します。
無償評価ライセンスには下記の制約事項があります。
- デバイス/VDOMは3つまで
- ADOMの使用は2つまで
- ログの受信は 1GB/日まで
無償評価期ライセンスを取得しBring Your Own License (BYOL)タイプに適用すると使用することができます。 無償評価ライセンスの取得にはFortiAnalyzer-VMで利用するIPアドレスが必要となります。 無償評価ライセンスご利用希望の際は以下URLよりお問い合わせください。
ネットワールドFortinetお問い合わせフォーム https://www.networld.co.jp/forms/product/fortinet.html
本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。
4. FortiAnalyzer-VMを導入する前に
FortiAnalyzer-VMをデプロイする前にAWS上の基本設定を行います。
- VPCの作成
- サブネットの作成
- インターネットゲートウェイの作成
- デフォルトルートテーブルの作成
- セキュリティグループの作成
以下順を追って作成します。
4.1. VPCの作成
VPCを作成し、利用するIPv4アドレス範囲を指定します。
[VPC]>[VPCを作成]をクリックします。
以下設定を入力し、[VPCを作成]をクリックします。
- 作成するリソース :VPCのみ
- 名前タグ - オプション:任意の名称
- IPv4 CIDRブロック:IPv4 CIDRの手動入力
- IPv4 CIDR:任意のCIDR
※以降記載のない項目はデフォルト設定とします。
4.2. サブネットの作成
サブネットを作成し、利用するセグメントを作成します。
[VPC]>[サブネット] >[サブネットを作成]をクリックします。
- VPC ID:4.1で作成したVPCを選択
以下設定を入力後、[サブネットの作成]をクリックします。
- サブネット名:任意の名称
- IPv4サブネットCIDRブロック:任意のサブネット
4.3. インターネットゲートウェイの作成
インターネットへの出口となるインターネットゲートウェイを作成し、VPCへアタッチします。
[VPC]>[インターネットゲートウェイ] > [インターネットゲートウェイの作成]をクリックします。
以下設定を入力し、[インターネットゲートウェイの作成]をクリックします。
- 名前タグ:任意の名称
VPC にアタッチして、VPC がインターネットと通信できるようにします。
作成したインターネットゲートウェイの[アクション]メニューから[VPCにアタッチ]をクリックします。
アタッチするVPCを確認し、[インターネットゲートウェイのアタッチ]をクリックします。
4.4. ルートテーブルの作成
ルートテーブルを作成し、実際のネットワークに従ってサブネットの関連付けを構成します。
[ルートテーブル]> [ルートテーブルを作成]をクリックします。
以下設定を入力し、[ルートテーブルを作成]をクリックします。
- 名前:任意の名称
- VPC:4.1で作成したVPC
[ルートテーブル]>[サブネットの関連付け]タブで、[サブネットの関連付けを編集]をクリックします。
4-2で作成したサブネット を選択し、[関連付けを保存]をクリックします。
続いて、ルートテーブルにデフォルトゲートウェイを追加します。
[ルートテーブル]>[作成したルートテーブル]>[ルート]から[ルートを編集]をクリックします。
[ルートを追加]をクリックします。
以下の設定を選択し、[変更を保存]をクリックします。
- 送信先:0.0.0.0/0
- ターゲット:4-3で作成したインターネットゲートウェイ
インターネットゲートウェイが追加されたことを確認します。
4.5. セキュリティグループの作成
セキュリティグループを作成し、Forti Analyzer-VMの「インバウンドルール」と「アウトバウンドルール」を設定します。
[EC2]>[セキュリティグループ]>[セキュリティグループを作成]をクリックします。
以下設定を入力し、インバウンドルールの[ルールを追加]をクリックします。
- セキュリティグループ名:任意の名称
- 説明:任意の説明文
- VPC:4.1で作成したVPC
[ルールを追加]しながら以下を入力します。
- タイプ:HTTPS
- プロトコル:TCP
- ポート範囲:443
ソース:カスタム(接続するクライアントのグローバルIP) or マイIP
タイプ:SSH
- プロトコル:TCP
- ポート範囲:22
ソース:カスタム(接続するクライアントのグローバルIP) or マイIP
タイプ:HTTP
- プロトコル:TCP
- ポート範囲:80
- ソース:カスタム(接続するクライアントのグローバルIP) or マイIP
参考)マイIP(現時点で利用している自身のGlobal IPが自動入力されます) セキュリティグループのルールは適切に設定してください。
アウトバウンドルールはデフォルトのまま[セキュリティグループの作成]をクリックします。
5. FortiAnalyzer-VMの展開
FortiAnalyzer-VMをAWSのAmazon EC2にデプロイします。 今回はBring Your Own License (BYOL)ライセンスタイプのインスタンスをデプロイします。 VPCを作成したリージョンを選択してください。
5.1. EC2インスタンスの起動
[EC2]>[インスタンスの起動] をクリックします。
5.2. FortiAnalyzer のAmazonマシンイメージ(AMI)選択
仮想マシン名を指定し「アプリケーションおよびOSイメージ(Amazonマシンイメージ)で[FortiAnalyzer]を検索します。
- 名前とタグ:任意の名称
- アプリケーションおよびOSイメージ(AmazonVMマシンイメージ):FortiAnalyzer
[AWS Marketplace AMI(x)]タブをクリックします。 Fortinet FortiAnalyzer-VM Application Delivery Controller (BYOL)の[選択]をクリックします。
[インスタンス起動時に購読]をクリックします。
5.3. EC2インスタンスタイプの選択
インスタンス数、EC2 インスタンスタイプ等を選択します。
インスタンス数:1
インスタンスタイプ:自動でメーカ推奨インスタンスタイプが指定されます。
利用するライセンスに合わせてインスタンスを選択します。 Forti Analyzer-VMは GB1、GB5、GB25、GB100、GB500、GB2000が提供されています。 数値は日毎のアップロード可能なログ容量となります。
5.4. ネットワーク設定
インスタンスのネットワーク設定を構成します。 ネットワーク設定の[編集]をクリックします。
- VPC:4.1で作成したVPC
- サブネット:4.2で作成したサブネット
- パブリック IP の自動割り当て:無効化
- セキュリティグループ :[既存のセキュリティグループを選択する] (4.5で作成したセキュリティグループ)
[高度なネットワーク設定]を開いて任意のIPを設定します。 - プライマリIP:任意のIPアドレス
5.5. ストレージ
ルートボリュームはサイズ変更しないでデフォルト使用をお勧めします。 EBSボリュームはログ保管のためのストレージです。
5.6. インスタンス起動
設定を確認しましたら、[インスタンスを起動]をクリックします。
5.7 Elastic IPの割り当て
インターネット経由でForti Analyzer-VMにアクセスするためのパブリックIPを設定します。
[VPC] > [Elastic IP] [Elastic IPアドレスを割り当てる]をクリックする
デフォルトのまま[割り当て]をクリックします。
作成されたElastic IPを選択して[アクション] > [Elastic IPアドレスの関連付け]をクリック
以下設定を行い、[関連付ける]をクリックします。 - リソースタイプ:インスタンス - インスタンス:5.1~5.7で作成したForti Analyzer-VM
インスタンスが関連付けられていることを確認します。
5.8. 管理画面へのアクセス(ブラウザアクセス)
インターネット経由でFortiAnalyzer-VMにアクセスできることを確認し、ライセンスを適用します。 HTTPS を使用して Web UI に接続できます。 アクセス先はEC2 > インスタンス > Forti Analyzerインスタンスから確認することが出来ます。
- アクセス先:https://パブリックIPv4アドレス
アクセス後、[ライセンスのアップロード]をクリックします。
[Add files]をクリックしてローカルPCよりライセンスを選択し[OK]をクリックします。
アップロードに成功するとForti Analyzerは再起動を開始するので暫く待機します。
暫く待機すると下記が表示されますので[承諾]をクリックします。 ※ログインIDがadminでパスワードはインスタンスIDであることが表示されています。
機器にログインしてセットアップウィザードを進めます。 ログインIDとパスワードは以下です。
- ログインID:admin
- パスワード:インスタンス ID
以下を入力して[次へ]をクリックします。
ホスト名:任意の名称
自動システムバックアップ:無効
[完了]をクリックします。
初期パスワードの変更を求められますので入力して[OK]をクリックします。
ダッシュボードが表示されます。
以上でFortiAnalyzerの展開は完了となります。