2017/04～2024/11/7に提供開始されたもの	2024/11/8以降に提供開始されたもの
インストール時の FortiOSのバージョン	6.0.3	7.4.4
お客さまアカウントのプロファイル・アカウントの追加	prof_admin ポリシーなどの一部設定変更が可能（※1）	super_admin すべての権限を所有 「admin」アカウントを追加（※2）
アカウントの命名規則	アカウント名@UTM名	アカウント名-UTM名

（※1）2024/11/8以前に仮想UTMをご利用開始された場合も、アカウントのプロファイルを「prof_admin」から「super_admin」に変更することができます。ご希望の場合はこちらをご確認ください。

（※2）NTTPCのサポートに利用することがあるため、編集や削除はされないようお願いします。編集・削除されますと、お問い合わせの際にお客さまのUTMの事象が確認できなくなり、適切なサポートが難しくなる場合がございます。誤って削除された場合はこちらをご確認ください。

 

初期設定

バージョン7.4.4の初期設定です。他の設定はForiOS7.4.4の初期設定に準じます。
これらの設定はCLIコンソールなどで自由に変更することができます。

config system global
management-port-use-admin-sport	disable
proxy-auth-timeout	5
refresh	5
sys-perf-log-interval	0
timezone	Asia/Tokyo

config system settings
default-voip-alg-mode	kernel-helper-based
gui-load-balance	enable
gui-spamfilter	enable
gui-wireless-controller	disable
gui-wan-load-balancing	disable
gui-waf-profile enable	enable
gui-allow-unnamed-policy	enable
gui-multiple-interface-policy	enable

config system ntp
syncinterval	10

config system automation-action edit "Email Notification"
forticare-email	disable

config report layout
schedule-type	demand

config vpn ssl settings
port	4443

config system admin

admin                      ※NTTPCサポート用のアカウントになります。変更したり削除しないでください。

config system session-ttl

set default 600     config port         edit 1             set protocol 17             set timeout 10             set start-port 53             set end-port 53         next     end end

FWポリシー　オブジェクト
※提供時にNTTPCにて追加しています。

アドレス
OfficeA	203.0.113.0（※）
OfficeB	198.51.100.5（※）
Japan_Segment	日本アドレス（タイプgeography）
SuitePRO_NW	仮想UTM ネットワーク/29
NTTPC_Port_Monitoring	203.138.84.18　※NTTPCがポート監視に利用しているため変更しないでください。
アドレスグループ
Office	OfficeA,OfficeB
サービスグループ
MAIL	POP3/IMAP/SMTP/Submission

※初期で指定している IP アドレスは、RFC で定義されている例示用の IP アドレス（192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24）です。設定の際はお客さまの環境に応じて指定してください。

 

セキュリティプロファイル

IPSプロファイル

IPS_Mail

IPS_DNS

IPS_HTTP

IPS_HTTPS

アンチウイルスプロファイル

AV_MAIL

AV_FTP

アンチスパムプロファイル

ANTISPAM

Web Application firewall プロファイル

default

セキュリティプロファイル

custom-default

FWポリシー（初期状態では1以外すべて無効化されています）

ID	名前	接続元	宛先	サービス	アクション	IPS	SSLインスペクション	プロキシ
1	preset1	SuitePRO_NW	All	All	許可	なし	no-inspection	フロー
2	preset1	NTTPC_Port_ Monitoring	SuitePRO_NW	All	許可	なし	no-inspection	フロー
3	preset2	Office_Group	SuitePRO_NW	SSH	許可	なし	no-inspection	フロー
4	preset3	Office_Group	SuitePRO_NW	RDP	許可	なし	no-inspection	フロー
5	preset4	All	SuitePRO_NW	DNS	許可	なし	no-inspection	フロー
6	preset5	All	SuitePRO_NW	HTTP	許可	なし	no-inspection	フロー
7	preset6	All	SuitePRO_NW	HTTPS	許可	なし	no-inspection	プロキシ
8	preset7	All	SuitePRO_NW	MAIL	許可	なし	no-inspection	プロキシ

DoSポリシー（初期状態ですべて有効化されています）

ID	名前	接続元	宛先	サービス
1	preset1	port1	All	All
2	preset2	port2	All	All

 

「SSL/SSHインスペクション」の仕様の変更について

１．FortiOS7.0.4から 「SSL/SSHインスペクション」は初期設定でtls-1.1未満をblockする仕様となりました。仮想UTMイメージ バージョン7.4.4はその変更に準じた設定になっています。

古いSSLバージョンを許可する場合はプロファイルの該当プロトコルで「unsupported-ssl-version」をblockからallowにするか、「min-allowed-ssl-version」を調整します。 (default = TLS 1.1).

config firewall ssl-ssh-profile
    edit <name>
        config SSL（※プロトコルがSSLの場合）
            set inspect-all deep-inspection
            set unsupported-ssl-version {allow | block}
            set min-allowed-ssl-version {ssl-3.0 | tls-1.0 | tls-1.1 | tls-1.2 | tls-1.3}
        end
    next
end

コメント欄に"Read-only～”とあるプロファイルは編集できません。新規作成で新たにプロファイルを作成するか、GUIで既存プロファイルをクローンしてから新しいプロファイルを編集し、ファイアウォールポリシーにセットしてください。

参考：Fortinet - config firewall ssl-ssh-profile

 

２． 「SSL/SSHインスペクション」の既存プロファイル設定においてFortiGateがアクセス先サーバーに対して
証明書の審査を実施し、この審査でエラーが発生するとトラフィックをブロックする仕様がFortiOS7.0.0から追加されました。
このブロックを回避するには対象プロファイルの「cert-probe-failure」 のアクションを「allow」に変更します。

config firewall ssl-ssh-profile
    edit <certificate profile name>
        config <protocol name>
            set cert-probe-failure  {allow | block}
        end
    next
end

初期状態で用意されているプロファイル「certificate-inspection」「custom-deep-inspection」「deep-inspection」のhttpsプロトコルはblockの設定になっています。
コメント欄に"Read-only～”とあるプロファイルは編集できません。新規作成で新たにプロファイルを作成するか、GUIで既存プロファイルをクローンしてから新しいプロファイルを編集し、ファイアウォールポリシーにセットしてください。
参考：Fortinet - Troubleshooting Tip: How to allow HTTPS (port 443)...