株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

初めてでも安心の図解付き!FortiAnalyzer on AWS デプロイガイド

皆様こんにちは!ネットワールドSEの對馬です!

FortiGateのログを保管して簡単に分析したい! といったお悩みはございませんか?

今回はFortiGateのログ管理アプライアンスであるFortiAnalyzerをお試ししていただけるよう、 FortiAnalyzerをAWS上にデプロイするためのガイドをお届けします。

VPCを作成し、ネットワークの構築をしてからFortiAnalyzerを立てるところまで、図解付きでのガイドとなっております。

以下、デプロイガイドとなります。 画面を並べて実際にAWS上で操作しながら構築を進めていただけたらと思います!


関連シリーズ、FortiGate on AWSのデプロイガイドはこちら! blogs.networld.co.jp

関連シリーズ、FortiADC on AWSのデプロイガイドはこちら! blogs.networld.co.jp


目次

免責事項

  • 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
  • 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
  • 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
  • 本書の利用は、利用者様の責任において行われるとものとします。
  • 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。

1. はじめに

Amazon Elastic Compute Cloud (以下Amazon EC2) は、Amazon Web Services (以下AWS) クラウドでスケーラブルなコンピューティング能力を提供します。Amazon EC2 を使用すると、ハードウェアに先行投資する必要がなくなるため、アプリケーションの開発とデプロイを迅速化できます。Amazon EC2 を使用して、仮想サーバの起動、セキュリティとネットワークの設定、ストレージの管理を行うことができます。

FortiAnalyzer-VMの評価ライセンスをご用意ください。 ライセンスについては 3.ライセンス(リンク) を参照ください。

このガイドでは、FortiAnalyzer-VMをAWS EC2にデプロイする方法を説明します。


ご注意ください:AWSリージョンについて

本手順書は特定のAWSリージョンを基準に記載しております。AWSのサービスはリージョンにより、可用性や機能が変わることがあります。そのため、他のリージョンで本手順を適用する際には、AWS公式ドキュメントや該当リージョンのサービスページで確認をお願いします。

リージョンの選択や設定は、ご自身の責任と判断にてお願いいたします。


2. 構成図

本デプロイガイドの構成図です。

3. ライセンス

FortiAnalyzer-VMをAWSのAmazon EC2にデプロイするには、次の2つのライセンスタイプが提供されています。

  • Bring Your Own License (BYOL) — Forti Analyzer-VM用のライセンスファイルが別途必要です。
  • オンデマンド — FortiAnalyzer-VMのフルライセンスインスタンス、すべてのFortiGuardサービス、およびテクニカルサポートを時間単位で提供します。

無償評価ライセンスには下記の制約事項があります。

  • デバイス/VDOMは3つまで
  • ADOMの使用は2つまで
  • ログの受信は 1GB/日まで

無償評価期ライセンスを取得しBring Your Own License (BYOL)タイプに適用すると使用することができます。 無償評価ライセンスの取得にはFortiAnalyzer-VMで利用するIPアドレスが必要となります。 無償評価ライセンスご利用希望の際は以下URLよりお問い合わせください。

ネットワールドFortinetお問い合わせフォーム https://www.networld.co.jp/forms/product/fortinet.html


本ガイドではBring Your Own License (BYOL)ライセンスタイプを利用してデプロイします。


4. FortiAnalyzer-VMを導入する前に

FortiAnalyzer-VMをデプロイする前にAWS上の基本設定を行います。

  • VPCの作成
  • サブネットの作成
  • インターネットゲートウェイの作成
  • デフォルトルートテーブルの作成
  • セキュリティグループの作成

以下順を追って作成します。

4.1. VPCの作成

VPCを作成し、利用するIPv4アドレス範囲を指定します。

[VPC]>[VPCを作成]をクリックします。

以下設定を入力し、[VPCを作成]をクリックします。

  • 作成するリソース :VPCのみ
  • 名前タグ - オプション:任意の名称
  • IPv4 CIDRブロック:IPv4 CIDRの手動入力
  • IPv4 CIDR:任意のCIDR

※以降記載のない項目はデフォルト設定とします。


4.2. サブネットの作成

サブネットを作成し、利用するセグメントを作成します。

[VPC]>[サブネット] >[サブネットを作成]をクリックします。

  • VPC ID:4.1で作成したVPCを選択

以下設定を入力後、[サブネットの作成]をクリックします。

  • サブネット名:任意の名称
  • IPv4サブネットCIDRブロック:任意のサブネット

4.3. インターネットゲートウェイの作成

インターネットへの出口となるインターネットゲートウェイを作成し、VPCへアタッチします。

[VPC]>[インターネットゲートウェイ] > [インターネットゲートウェイの作成]をクリックします。

以下設定を入力し、[インターネットゲートウェイの作成]をクリックします。

  • 名前タグ:任意の名称

VPC にアタッチして、VPC がインターネットと通信できるようにします。

作成したインターネットゲートウェイの[アクション]メニューから[VPCにアタッチ]をクリックします。

アタッチするVPCを確認し、[インターネットゲートウェイのアタッチ]をクリックします。

4.4. ルートテーブルの作成

ルートテーブルを作成し、実際のネットワークに従ってサブネットの関連付けを構成します。

[ルートテーブル]> [ルートテーブルを作成]をクリックします。

以下設定を入力し、[ルートテーブルを作成]をクリックします。

  • 名前:任意の名称
  • VPC:4.1で作成したVPC

[ルートテーブル]>[サブネットの関連付け]タブで、[サブネットの関連付けを編集]をクリックします。

4-2で作成したサブネット を選択し、[関連付けを保存]をクリックします。

続いて、ルートテーブルにデフォルトゲートウェイを追加します。

[ルートテーブル]>[作成したルートテーブル]>[ルート]から[ルートを編集]をクリックします。

[ルートを追加]をクリックします。

以下の設定を選択し、[変更を保存]をクリックします。

  • 送信先:0.0.0.0/0
  • ターゲット:4-3で作成したインターネットゲートウェイ

インターネットゲートウェイが追加されたことを確認します。

4.5. セキュリティグループの作成

セキュリティグループを作成し、Forti Analyzer-VMの「インバウンドルール」と「アウトバウンドルール」を設定します。

[EC2]>[セキュリティグループ]>[セキュリティグループを作成]をクリックします。

以下設定を入力し、インバウンドルールの[ルールを追加]をクリックします。

  • セキュリティグループ名:任意の名称
  • 説明:任意の説明文
  • VPC:4.1で作成したVPC

[ルールを追加]しながら以下を入力します。

  • タイプ:HTTPS
  • プロトコル:TCP
  • ポート範囲:443
  • ソース:カスタム(接続するクライアントのグローバルIP) or マイIP

  • タイプ:SSH

  • プロトコル:TCP
  • ポート範囲:22
  • ソース:カスタム(接続するクライアントのグローバルIP) or マイIP

  • タイプ:HTTP

  • プロトコル:TCP
  • ポート範囲:80
  • ソース:カスタム(接続するクライアントのグローバルIP) or マイIP

参考)マイIP(現時点で利用している自身のGlobal IPが自動入力されます) セキュリティグループのルールは適切に設定してください。

アウトバウンドルールはデフォルトのまま[セキュリティグループの作成]をクリックします。

5. FortiAnalyzer-VMの展開

FortiAnalyzer-VMをAWSのAmazon EC2にデプロイします。 今回はBring Your Own License (BYOL)ライセンスタイプのインスタンスをデプロイします。 VPCを作成したリージョンを選択してください。

5.1. EC2インスタンスの起動

[EC2]>[インスタンスの起動] をクリックします。

5.2. FortiAnalyzer のAmazonマシンイメージ(AMI)選択

仮想マシン名を指定し「アプリケーションおよびOSイメージ(Amazonマシンイメージ)で[FortiAnalyzer]を検索します。

  • 名前とタグ:任意の名称
  • アプリケーションおよびOSイメージ(AmazonVMマシンイメージ):FortiAnalyzer

[AWS Marketplace AMI(x)]タブをクリックします。 Fortinet FortiAnalyzer-VM Application Delivery Controller (BYOL)の[選択]をクリックします。

[インスタンス起動時に購読]をクリックします。

5.3. EC2インスタンスタイプの選択

インスタンス数、EC2 インスタンスタイプ等を選択します。

  • インスタンス数:1

  • インスタンスタイプ:自動でメーカ推奨インスタンスタイプが指定されます。


利用するライセンスに合わせてインスタンスを選択します。 Forti Analyzer-VMは GB1、GB5、GB25、GB100、GB500、GB2000が提供されています。 数値は日毎のアップロード可能なログ容量となります。


5.4. ネットワーク設定

インスタンスのネットワーク設定を構成します。 ネットワーク設定の[編集]をクリックします。

  • VPC:4.1で作成したVPC
  • サブネット:4.2で作成したサブネット
  • パブリック IP の自動割り当て:無効化
  • セキュリティグループ :[既存のセキュリティグループを選択する] (4.5で作成したセキュリティグループ)

[高度なネットワーク設定]を開いて任意のIPを設定します。 - プライマリIP:任意のIPアドレス

5.5. ストレージ

ルートボリュームはサイズ変更しないでデフォルト使用をお勧めします。 EBSボリュームはログ保管のためのストレージです。

5.6. インスタンス起動

設定を確認しましたら、[インスタンスを起動]をクリックします。

5.7 Elastic IPの割り当て

インターネット経由でForti Analyzer-VMにアクセスするためのパブリックIPを設定します。

[VPC] > [Elastic IP] [Elastic IPアドレスを割り当てる]をクリックする

デフォルトのまま[割り当て]をクリックします。

作成されたElastic IPを選択して[アクション] > [Elastic IPアドレスの関連付け]をクリック

以下設定を行い、[関連付ける]をクリックします。 - リソースタイプ:インスタンス - インスタンス:5.1~5.7で作成したForti Analyzer-VM

インスタンスが関連付けられていることを確認します。

5.8. 管理画面へのアクセス(ブラウザアクセス)

インターネット経由でFortiAnalyzer-VMにアクセスできることを確認し、ライセンスを適用します。 HTTPS を使用して Web UI に接続できます。 アクセス先はEC2 > インスタンス > Forti Analyzerインスタンスから確認することが出来ます。

  • アクセス先:https://パブリックIPv4アドレス

アクセス後、[ライセンスのアップロード]をクリックします。

[Add files]をクリックしてローカルPCよりライセンスを選択し[OK]をクリックします。

アップロードに成功するとForti Analyzerは再起動を開始するので暫く待機します。

暫く待機すると下記が表示されますので[承諾]をクリックします。 ※ログインIDがadminでパスワードはインスタンスIDであることが表示されています。

機器にログインしてセットアップウィザードを進めます。 ログインIDとパスワードは以下です。

  • ログインID:admin
  • パスワード:インスタンス ID

以下を入力して[次へ]をクリックします。

  • ホスト名:任意の名称

  • 自動システムバックアップ:無効

[完了]をクリックします。

初期パスワードの変更を求められますので入力して[OK]をクリックします。

ダッシュボードが表示されます。

以上でFortiAnalyzerの展開は完了となります。