AWS(EC2)上にFortigateを展開してみる

本日は検証用にFortigateをEC2上にデプロイする必要がありましたので、デプロイ手順を記事にしたいと思います。
物理的な検証機器を使うのが一番良いですが、IPSやAVなどのUTM機能の検証などは検証機器だとライセンス切れなどの場合がありますので、そういった場合はEC2上にデプロイして検証するのが良いと思います。

検証環境について

構成図は以下のとおりです。
Fortigateには2個NICをつけてInternalとWANを分けます。
同一VPCの他のEC2からはルーティングをFortigteのInternal側のENIに向けてインターネットなど外部通信はFortigateを通過させるようにします。

前提条件

特にありません。

設定の概要

手順1
Fortigate(EC2)のデプロイ
AWS MarketplaceからFortigate導入済みのEC2をデプロイします。
手順2
EIPのアタッチ
グローバルIPが変わらないようにEIPをアタッチします。
手順3
ENIのアタッチ
Internal側のNICを追加するためにENIをアタッチします。
手順4
Fortigate管理画面へのアクセス
前項でアタッチしたEIPにアクセスし、初期設定を行います。
手順5
Fortigateインターフェイス設定
追加したENIの設定を行います。

AWS(EC2)上にFortigateを展開する方法

Fortigate(EC2)のデプロイ

EC2の作成画面を開き、「AWS marketplace」から「Fortigate」と検索し、Fortinet FortiGate Next-Generation Firewallを選択してください。
ライセンスをお持ちの方はBYOL版を選んでください。

1時間あたりt2.smallで約33円かかります。1日800円くらいかかりますので、使わないときはシャットダウンしておいてください。

そんなに大したことをしないのでt2.smallを選択します。

Fortigateからインターネット通信を行いたいので、インターネットゲートウェイまたはNATゲートウェイがアタッチされたVPCを選択し、自動割当パブリックIPは有効にしておいてください。

ストレージはそのまま次のステップへ

タグはお好みでつくてください。

セキュリティグループはデフォルトのFortigate用のセキュリティを割り当ててください。

設定項目に問題なければ起動してください。

キーペアは新規作成でも既存のものでもどちらでもかまいません。

作成中の画面内の「使用手順の表示」を選択するとアクセス方法やマニュアルのURLが表示されます。

v6.4.1 Usage Instructions for Fortinet FortiGate Next-Generation Firewall

Please ensure the connectivity to FortiCare (https://directregistration.fortinet.com:443) by checking all related setup on security groups, ACLs, IGW, route tables, public IP address…etc. After deploying the instance, click on Manage in AWS Console to see the running instance and public DNS address to continue the configuration of the FortiGate-VM. Connect to the secured Web UI via the public DNS address: https:// <public DNS address>. For any CLI configuration/settings, SSH is required to log into the CLI. Default login credentials are with a username of admin and the AWS Instance ID value as the password. The FortiGate-VM AWS Install and Configure guide is located at https://docs.fortinet.com/vm/aws/fortigate/6.4/aws-cookbook/6.4.0/685891/about-fortigate-vm-for-aws

EIPのアタッチ

EC2の左ナビゲーションから「ネットワーク&セキュリティ」→「Elastic IP」を選択します。
リソースタイプを「インスタンス」を選択し、インスタンスに作成したFortigateのインスタンスを選択し、EIPをアタッチしてください。

ENIのアタッチ

続いてFortigateのインターフェイスがWAN側の1個しかありませんので、Internal側を追加します。
EC2の左ナビゲーションから「ネットワーク&セキュリティ」→「ネットワークインターフェイス」を選択し、「ネットワークインターフェイスの作成」を選択します。

Descriptionには任意の名前を入力し、Subnetは先程作成したFortigateのEC2と同じサブネットを選択、Security gtoupsはFortigateのEC2と同じセキュリティグループを選択してください。

EC2のトップメニューからFortigateのEC2を選択し、「アクション」→「ネットワーキング」→「ネットワークインターフェイスのアタッチ」を選択してください。

先程作成したネットワークインターフェイスを選択し、アタッチします。

Foritgate管理画面へのアクセス

EC2のパブリックDNSにブラウザでアクセスします。

https://ec2-xx-xx-xxx-xxx.ap-northeast-1.compute.amazonaws.com

初期パスワードはインスタンスIDと記載された画面が表示されます。

インスタンスIDはEC2のメニューから確認が出来ます。

ID:admin
パスワード:インスタンスID

上記認証情報でアクセスします。

パスワードの変更画面が表示されますのでパスワードの変更をしてください。

初期設定画面が表示されますので「Begin」を選択してください。

Hostnameには任意のFortigateのホスト名を入力してください。

ダッシュボードの表示はデフォルトの「Optimal」を選択します。

紹介動画が表示されますので、「OK」を選択します。

ダッシュボードが表示されます。

日本語化を行います。
「System」→「Settings」内の「Language」を「Japanese」に変更してください。

追加ENIの設定

EC2にアタッチしたENIをFortigateが認識しておりますが、まだ使えない状態です。
使えるようにFortigate側で設定を行います。

追加されたポートを選択し、「編集」を選択してください。

アドレッシングモードを「DHCP」に変更してください。

DHCPに変更することでAWS側が払い出したプライベートIPに設定されます。

あとはルートテーブルの外部宛のルーティングを追加したネットワークインターフェイスに変更し、Fortigate側のルーティングを変更などを行えばFortigate経由でインターネット接続が可能です。

また詳しい設定方法は追記していきます。

created by Rinker
Fortinet
¥56,094
(2024/10/15 18:55:29時点 Amazon調べ-詳細)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です