AzureマーケットプレイスにあるFortiGate-VMがどんなものか構築してみました。
AzureマーケットプレイスのFortiGate
Azureマーケットプレイスで「fortigate」と検索すると、4つヒットしました。
4つの内、2つがシングル構成のFortiGate-VMになります。
- 「FortiGate NGFW - Single VM with ARM Template」 ← こっちを使う
- 「Fortinet FortiGate Next-Generation Firewall」
OS用/ログ用でディスクが分かれていたり、内部/外部用にネットワークIFが2つあったりと使いやすい構成になっているので「FortiGate NGFW - Single VM with ARM Template」を使います。
(「Fortinet FortiGate Next-Generation Firewall」は、ディスクとネットワークIFがそれぞれ1つでしたが、構築時や構築後に追加できると思います。)
ちなみに、「FortiGate NGFW for Azure LB HA with ARM template」はAzureロードバランサーを使ったHA構成、
「FortiGate SSL VPN」はFortiGateへのSSL-VPN接続でSAML認証するためのAzureADアプリになります。
構築
では、構築していきます。
Azureポータル/マーケットプレイス
Azureポータルのマーケットプレイスでforigateを検索し
「FortiGate NGFW - Single VM with ARM Template」を選択する。
作成をクリックする。
30日無料とあるので、PAYG(従量課金)で構築します。
基本
仮想マシン名やリージョンを選択します。
LicenseでOSバージョン、ライセンスタイプを選択できます。
今回は「PAYG 6.4.3」を選択します。
PAYGは従量課金、BYOLは購入したライセンスファイルを仮想マシンに適用する形態です。
仮想ネットワーク/インタンスタイプ
パブリックIPアドレス
確認および作成
デプロイ完了
デプロイ完了に掛かった時間は5分程度でした。
リソース確認
作成されたリソースを確認します。
可用性セット
NSG
受信も送信も全許可になっています。
ルートテーブル
ネットワークIF
Port1(外部)/Port2(内部)の2つ作成されます。
ディスク
OS用/ログ用の2つ作成されます。
用途 | ディスク構成 | パフォーマンスレベル |
---|---|---|
OS | 2 GiB (Premium SSD) | P1 - 120 IOPS、25 Mbps |
ログ | 30 GiB (Premium SSD) | P4 - 120 IOPS、25 Mbps |
仮想ネットワーク
パブリックIPアドレス
SKUは「Basic」でした。
動作確認
システムステータス
FortiGate # get system status Version: FortiGate-VM64-AZURE v6.4.3,build1778,201021 (GA) Virus-DB: 1.00000(2018-04-09 18:07) Extended DB: 1.00000(2018-04-09 18:07) Extreme DB: 1.00000(2018-04-09 18:07) IPS-DB: 6.00741(2015-12-01 02:30) IPS-ETDB: 6.00741(2015-12-01 02:30) APP-DB: 6.00741(2015-12-01 02:30) INDUSTRIAL-DB: 6.00741(2015-12-01 02:30) Serial-Number: FGTAZROTNTBQZ7B4 IPS Malicious URL Database: 1.00001(2015-01-01 01:01) License Status: Valid VM Resources: 4 CPU, 8005 MB RAM VM Instance ID: b411d42b-474b-4862-a62f-aa9df9dc20c9 Log hard disk: Available Hostname: FortiGate Operation Mode: NAT Current virtual domain: root Max number of virtual domains: 1 Virtual domains status: 1 in NAT mode, 0 in TP mode Virtual domain configuration: disable FIPS-CC mode: disable Current HA mode: standalone Branch point: 1778 Release Version Information: GA FortiOS x86-64: Yes System time: Fri Nov 27 03:47:37 2020
ディスク構成
FortiGate # get hardware status Model name: FortiGate-VM64-AZURE ASIC version: not available CPU: Intel(R) Xeon(R) Platinum 8171M CPU @ 2.60GHz Number of CPUs: 4 RAM: 8005 MB Compact Flash: 2056 MB /dev/sda Hard disk: 30720 MB /dev/sdc
ライセンス状態
ライセンス認証が完了していて、ステータスも「valid」です。
期限は「expiration: Fri Jan 1 2021」となっています。
本日は2020/11/27なので、残り35日です。
FortiGate # get system fortiguard fortiguard-anycast : enable fortiguard-anycast-source: fortinet protocol : https port : 443 load-balance-servers: 1 auto-join-forticloud: disable update-server-location: usa sandbox-region : antispam-force-off : disable antispam-cache : enable antispam-cache-ttl : 1800 antispam-cache-mpercent: 2 antispam-license : Contract antispam-expiration : Fri Jan 1 2021 antispam-timeout : 7 outbreak-prevention-force-off: disable outbreak-prevention-cache: enable outbreak-prevention-cache-ttl: 300 outbreak-prevention-cache-mpercent: 2 outbreak-prevention-license: Trial outbreak-prevention-expiration: Fri Jan 1 2021 outbreak-prevention-timeout: 7 webfilter-force-off : disable webfilter-cache : enable webfilter-cache-ttl : 3600 webfilter-license : Contract webfilter-expiration: Fri Jan 1 2021 webfilter-timeout : 15 anycast-sdns-server-ip: 0.0.0.0 anycast-sdns-server-port: 853 sdns-options : source-ip : 0.0.0.0 source-ip6 : :: proxy-server-ip : 0.0.0.0 proxy-server-port : 0 proxy-username : proxy-password : * ddns-server-ip : 0.0.0.0 ddns-server-port : 443 interface-select-method: auto
ネットワークIF
FortiGate # get system interface physical == [onboard] ==[port1] mode: static ip: 10.0.0.4 255.255.255.0 ipv6: ::/0 status: up speed: 50000Mbps (Duplex: full) ==[port2] mode: static ip: 10.0.1.4 255.255.255.0 ipv6: ::/0 status: up speed: 50000Mbps (Duplex: full)
Static Routes
FortiGate # get router info routing-table static Routing table for VRF=0 S* 0.0.0.0/0 [10/0] via 10.0.0.1, port1 S 10.0.0.0/16 [10/0] via 10.0.1.1, port2 S 168.63.129.16/32 [10/0] via 10.0.0.1, port1