少し前に購入したFortigateがやっと返ってきました。社内の検証部材が少ない事もあって貸して欲しいという依頼が多くてなかなか自分で触れませんでした。
バーチャルワイヤーペアについて
ネットワーク構成について
今回は自宅の環境に設置しましたので、一番シンプルな設定としました。
バーチャルワイヤーペアのメリット
透過設定はネットワーク構成を変更せずに導入できるのがメリットですよね。イメージとしてはFWがLANケーブルになるような感じです。
ただ、透過させるVLANの指定は必要ですのでそこは注意が必要です(BPDUも怒透過します)。PaloaltoだとV-Wireといいますね。
バーチャルワイヤーペア設定方法
インタフェース設定手順
バーチャルワイヤーペアとなる仮想インタフェースを新規作成します。この際、指定するインタフェースに設定が入っていると指定できないため、事前に削除が必要です。
とりあえず作成完了です。なお、透過するVLANはVWP1を選択して入力が可能です。
何も指定しないと全VLANとなりますが、VLANフィルタで指定可能です。
バーチャルワイヤーペアポリシー設定手順
バーチャルワイヤーペアを設定すると対象となるポリシー設定欄が表示されますので、通常のFWポリシーのように設定します。
今回は送信元/宛先/サービスは全許可としてUTM機能だけを有効化しました。
こんな感じです。ネットワーク環境を変えずにUTM機能でチェックだけしたい場合はこのような設定にします。
UTM動作チェック
とりあえず、パチンコ、アダルトに該当するようなサイトにアクセスを試みましたが、想定通りブロックされました。
ブロック画面がいまいちですね。。この辺のページはカスタマイズできるのかな、、Paloaltoは出来るんですが。別途、調べます。
ブロックされた通信のログです。Webフィルタでブロックされていますね。
まとめ
バーチャルワイヤーペアの設定は簡単ですね。FWポリシー&UTM機能だけ実装したい場合によく設定しますが、ほんと便利ですね。
また、FortigateのUTM機能をちょっと触っていますが、悪くない感じです。フル機能を実装した場合のスループット低減がどの程度か気になるところですが。
それでは。
