仮想UTM
仮想UTMをご利用いただくことで、仮想専用サーバーのセキュリティを強化することができます。
機能
仮想専用サーバーへの通信をIPアドレスやポート単位で制御することができます。
また、ロードバランス、アンチウイルス、アンチスパム、IPS等のUTM機能をご利用になれます。
仕様
[ 初期状態 ]
ご契約直後は、仮想UTMのファイアウォールはOutgoing(仮想専用サーバーから外部)の通信以外は、すべての通信を拒否する設定となっています。(※1)
こちらの手順から仮想UTM管理サイトにログインし、必要な通信を許可してください。
また、OSインストール後に仮想UTMオプションをご契約になった場合は、NIC4【UTM:インターネット】が切断中の状態です。こちらの手順を参考に、仮想専用サーバーのIPアドレス、ゲートウェイを変更してから、NIC1【インターネット】の切断とNIC4【UTM:インターネット】の接続を行います。(※2)
※1監視機能提供のため、NIC4【UTM:インターネット】についてはポート監視サーバー(203.138.84.18)の通信のみ許可しています。
※2この作業を行うとNIC4経由(UTMで保護されたセキュアな通信)のみが可能となり、NIC1を経由した通信は行えませんのでご注意ください。また、NIC1のポート監視もご利用できなくなりますので、コントロールパネルからNIC1の「ポート監視の設定状態」を無効化してください。
[ 設定可能なNIC ]
- -NIC4【UTM:インターネット】
[ 主な設定項目 ]
- -ファイアウォール
- -アンチウイルス
- -アンチスパム
- -IPS
- -ロードバランス
注意事項
- 「Incoming(外部から仮想専用サーバーへの通信)」と「Outgoing(仮想専用サーバーから外部)」の双方向の制御となります。
- あらかじめ設定されている下記ファイアウォールポリシーの削除を行うと、弊社の監視サービスが使用できなくなります。
-ポート監視サーバー(203.138.84.18)の通信許可 - すべての通信に、アンチウイルス、アンチスパム、IPSの機能を設定すると、通信が遅くなる場合があります。また高負荷状態になると、アンチウイルス、アンチスパム、IPSの機能が一時的に無効となります。アンチウイルス、アンチスパム、IPSの機能は、必要な通信のみに設定してください。
- ログの継続的な保存は保証されません。
- コントロールパネルからNIC1の「ポート監視の設定状態」を無効化せずに、NIC4【UTM:インターネット】に切り替えた場合、アラートメールが送信されますので、あらかじめ「ポート監視の設定状態」を無効化しておいてください。
導入時期ごとのOSの違い
インストールされた時期により、仮想UTMの初期状態が異なります。詳細は次の表をご確認ください。
| 2017/04以降にインストール | 2024/11/08以降にインストール | |
|---|---|---|
| 初期OS | FortiOS 6.0.3 | FortiOS 7.4.4 |
| お客さまアカウントのプロファイル | prof_admin ポリシーなどの設定変更が可能 |
super_admin(※1) 全ての権限を持ちます |
| お客さまアカウントの形式 | アカウント名@UTM名 | アカウント名-UTM名 |
(※1)プロファイルが変化したことにより「admin」アカウントも表示されるようになります。このアカウントは弊社管理のサポート用になります。削除・変更されますと、お問い合わせの際にお客さまの事象が確認できなくなり、適切なサポートが難しくなる場合がございます。
- FortiGateの設定や使用に関してはFortiOSの仕様に準じます。
- 弊社変更内容については「FortiOS 7.4.4の初期設定値」をご参照ください
- 「FortiOS 6.0.3」のお客さまアカウントのプロファイルを「prof_admin」から「super_admin」に変更することも可能です。ご希望の場合、仮想UTMのホスト名情報を添えてテクニカルサポートまでお問い合わせください。
FortiOS 7.4.4の初期設定値
バージョン 7.4.4 の初期設定は以下のとおりです。他の設定はForiOS7.4.4の初期設定に準じます。
これらの設定はCLIコンソールなどで自由に変更することができます。
| config system global | |
| management-port-use-admin-sport | disable |
| proxy-auth-timeout | 5 |
| refresh | 5 |
| sys-perf-log-interval | 0 |
| timezone | Asia/Tokyo |
| config system settings | |
| default-voip-alg-mode | kernel-helper-based |
| gui-load-balance | enable |
| gui-spamfilter | enable |
| gui-wireless-controller | disable |
| gui-wan-load-balancing | disable |
| gui-waf-profile enable | enable |
| gui-allow-unnamed-policy | enable |
| gui-multiple-interface-policy | enable |
| config system ntp | |
| syncinterval | 10 |
|
config system automation-action edit "Email Notification" |
|
| forticare-email | disable |
| config report layout | |
| schedule-type | demand |
| config vpn ssl settings | |
| port | 4443 |
| config system admin |
| admin ※NTTPCサポート用のアカウントになります。変更したり削除しないでください。 |
| config system session-ttl |
|
set default 600 config port edit 1 set protocol 17 set timeout 10 set start-port 53 set end-port 53 next end end |
FWポリシー オブジェクト
※提供時にNTTPCにて追加しています。
| アドレス | |
| OfficeA | 203.0.113.0(※) |
| OfficeB | 198.51.100.5(※) |
| Japan_Segment | 日本アドレス(タイプgeography) |
| SuitePRO_NW | 仮想UTM ネットワーク/29 |
| NTTPC_Port_Monitoring | 203.138.84.18 ※NTTPCがポート監視に利用しているため変更しないでください。 |
| アドレスグループ | |
| Office | OfficeA,OfficeB |
| サービスグループ | |
| POP3/IMAP/SMTP/Submission |
※初期で指定している IP アドレスは、RFC で定義されている例示用の IP アドレス(192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24)です。設定の際はお客さまの環境に応じて指定してください。
セキュリティプロファイル
| IPSプロファイル |
| IPS_Mail |
| IPS_DNS |
| IPS_HTTP |
| IPS_HTTPS |
| アンチウイルスプロファイル |
| AV_MAIL |
| AV_FTP |
| アンチスパムプロファイル |
| ANTISPAM |
| Web Application firewall プロファイル |
| default |
| セキュリティプロファイル |
| custom-default |
FWポリシー(初期状態では1以外すべて無効化されています)
| ID | 名前 | 接続元 | 宛先 | サービス | アクション | IPS | SSLインスペクション | プロキシ |
| 1 | preset1 | SuitePRO_NW | All | All | 許可 | なし | no-inspection | フロー |
| 2 | preset1 |
NTTPC_Port_ Monitoring |
SuitePRO_NW | All | 許可 | なし | no-inspection | フロー |
| 3 | preset2 | Office_Group | SuitePRO_NW | SSH | 許可 | なし | no-inspection | フロー |
| 4 | preset3 | Office_Group | SuitePRO_NW | RDP | 許可 | なし | no-inspection | フロー |
| 5 | preset4 | All | SuitePRO_NW | DNS | 許可 | なし | no-inspection | フロー |
| 6 | preset5 | All | SuitePRO_NW | HTTP | 許可 | なし | no-inspection | フロー |
| 7 | preset6 | All | SuitePRO_NW | HTTPS | 許可 | なし | no-inspection | プロキシ |
| 8 | preset7 | All | SuitePRO_NW | 許可 | なし | no-inspection | プロキシ |
DoSポリシー(初期状態ですべて有効化されています)
| ID | 名前 | 接続元 | 宛先 | サービス |
| 1 | preset1 | port1 | All | All |
| 2 | preset2 | port2 | All | All |
