FortiGateの購入を考えている人へ

この記事では、FortiGateを購入しようか迷っている人向けに、 様々な代替品や自宅ネットに向いているかどうかについて記述します。

代替案

FortiGateは多くの場合4kからご購入いただけます。 もし、コンピュータやVMハイパーバイザをお持ちの場合は実際の使用感をお試しいただけます。

Sophos Firewall Home Edition

Sophos社はイギリスのセキュリティソフトウェア・ハードウェアベンダです。

Sophosは無償ツールとして、 Sophos Firewall Home Editionを提供しています。

システム要件は高いですが、UTMアプライアンスを購入する前に試す感覚で利用してみるといいでしょう。

FortiGate-VM

FortiGate-VMはFortiGateのVMイメージ版です。 VMのため、ハードウェアアクセラレーションが利用できませんが、使用感を確認する用途では十分です。

FortiGate-VMは優勝製品ですが、製品デモが存在します。 実機を導入する前に一度使ってみるとよいでしょう。

FortiGateの選び方

製品名の見方

FortiGate製品の製品名は基本、下記のフォーマットで記述されています。

FortiGate nnX

FortiGate: シリーズ名
nn: 任意の数字 多くの場合、2-4桁
X : アルファベット1文字

Xは世代を表します。2023/01/17時点ではFが最新世代です。

nnは機種の世代内での優位性を表します。 多くの場合、数字が大きくなれば上位機種になります。 また、1桁目は多くの場合、機能が追加されたものを表します。 例えばFortiWifiシリーズの50EとFWF-51Eは、内部ストレージの有無が異なります。 (Data Sheet)

FortiWifiシリーズは、FortiGateにWi-Fiアクセスポイント機能が追加されたものです。

製品の選び方

OSサポートで選ぶ

FortiGate製品は同一世代の場合でもサポート内容が異なる場合があります。 例えば、50Eと60Eは同一世代ですが、50EはOSが6.2まで対応なのに対し、60Eは現状最新版である7.2に対応しています。 (参考)

この問題は顕著に影響し、50EのOSの最終サポートは2023/9/28ですが、60Eは2026/9/30まで行われ、 もし次期OSにも対応するのであればこの期限はさらに伸びます。 (参考)

追加された機能で選ぶ

OSサポートは追加された機能に顕著に影響します。

例えば、MAP-Eサポートなどは6.4以降であり、 50Eは対象外 (参照) になります。

基本機能で選ぶ

基本的な機能は各FortiGateのデータシートを参照してください。

また、OSごとにFeature Platform Matrixが公開されています。 こちらを参照することで、各製品の大まかな機能や制限を確認することができます。

性能で選ぶ

基本的な性能はは各FortiGateのデータシートを参照してください。

例として、当環境では50EはSSLインスペクションを行うと、80Mbps-100Mbpsほどのスループットを記録します。

お持ちのForti製品との連携で選ぶ

FortiGateは同じFortinet社の製品と強い連携が可能です。

例えば、FortiAnalyzerをお持ちの場合、 公式ドキュメントのCompatibility with FortiOSセクションを確認し、 お持ちのFortiGateがどのFortiOSに対応しているか確認してください。

FortiGateでセキュリティ上の恩恵を受けることができるか調べる

FortiGate 50Eの場合、確認できた限り下記の通信を監視することができます。

  • 特定のSSL通信
    • SSL通信の中身 (CA証明書のインストールが必要)
    • SSL証明書
  • 中身のインスペクションが可能
    • HTTP
    • SMTP
    • POP3
    • IMAP
    • MAPI
    • FTP
    • CIFS
    • DNS (53)
  • 通信があったことの確認・ブロックが可能
    • Application Signaturesに登録されている通信

また、QUICなどの対応していないプロトコルの通信も存在します。

これ以降は、特記すべき点が存在する機能について記述します。 また、各機能は基本ライセンス無しで運用できますが、定義ファイルの更新にはライセンスが必要です。

SSLインスペクション

SSLインスペクションを行う際は、基本的にCAルート証明書のインストールが求められます。 また、Androidなどの一部OSや製品はSSLインスペクション状態で一部機能が正常に動きません。

そのため、AndroidやGoogle HomeなどのデバイスはSSL証明書インスペクションへの切り替えが必要です。

SSLインスペクションにライセンスは必要ありません。

QUICなど、インスペクションできない通信も存在します。

AntiVirus

マルウェアのHashを読ませることで、ライセンス無しでAntiVirus機能が利用できますが、 本体に保存できるHashの数を考えると実用的ではありません。

Web Filter

Web Filter機能はライセンス無しで利用できますが、 FortiGuard category based filterがオンの場合はすべての通信がブロックされます。

YouTubeチャンネル制限はFortiOS 6.2.12では現状利用できません。

また、File Filterにおいて、動作状況が確認できないフィルター設定が存在します。

DNS Filter

DNS Filter機能はライセンス無しで利用できますが、 FortiGuard category based filterは利用できない可能性があります。

FortiGate所有の注意点

FortiGateを所有される際は、 上記のセキュリティ機能の特記事項に加え、 下記の点について十分注意してください。

ファームウェア

FortiGateではライセンス契約を行っていない場合、 正規の方法でファームウェアを取得できません。

脆弱性

FortiGateはUTMシェア1位という立場上、 セキュリティ脆弱性が多く発見されています。

VPN機能などを利用するうえでFortiGateに外部からアクセスできるようにする場合、 FortiGateのファームウェアを最新のものにするなど、セキュリティ対策を怠らないでください。

おわりに

筆者はFortiGate 50Eのオーナーですが、FortiGateはライセンスがあって輝きます。

しかし、ライセンスが無くても十分輝ける余地を持っている良い子です。 (あと、かっこいい)

購入前にこの記事をよくご確認いただき、 幸せなインターネットライフをぜひFortiGateとお過ごしください。

最終更新 Nov 15, 2023 16:13 PM JST
© 2021 - 2023 mkarakiのブログ
Built with Hugo
テーマ StackJimmy によって設計されています。