1.次世代ファイアウォールFortiGateで学ぶネットワークセキュリティ
企業のセキュリティを守る根幹をなすのが次世代ファイアウォール(UTM)です。これ1台で、ファイアウォール機能、IPS機能、アンチウイルス、URLフィルタ、アプリケーション制御、標的型対策、拠点間とのVPN(IPsec通信)やリモートアクセス(SSL-VPN)など、さまざまなセキュリティ機能があります。(※これが、UTM(Unified Threat Management:統合脅威管理)とも呼ばれる理由です。)次世代ファイアウォール機能でシェアNo.1のFortiGate(Fortinet社)を使って、実機を用いて次世代ファイアウォールの仕組み、技術、設定を学んでいただきます。
セミナーの講師は、ネットワークスペシャリスト試験対策で高い評価を得ている「ネスペ」シリーズ(技術評論社)、FortiGateの設定本である「FortiGateで始める 企業ネットワークセキュリティ」(日経BP社)の著者である、左門が行います。
2.研修の進め方
本研修では、二人に1台のFortiGateを操作してもらい、次世代ファイアウォール(UTM)によるセキュリティ対策の機能を座学で学ぶとともに、実機でも設定してもらいます。 (2人が同時にFortiGateにアクセスして、設定の閲覧・変更ができます。また、途中からVDOMにより1人ずつの仮想環境を操作できます。)日経BP社から発売した本をテキストとし、FortiGateの6.0台のOSを使ってセキュリティ機能を学びます。 最新OSである7.0台の機能に関しては、クラウド版にて実機操作をしていただけます。
3.コース概要
| コース名 | 次世代ファイアウォールで学ぶネットワークセキュリティ(FortiGateハンズオンセミナー) |
| コースコード | SSFG01 |
| 研修目的 | ・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。 ・ファイアウォールの基本的な仕組みおよび設定方法を学習します。 ・アンチウイルスやアプリケーションコントロールなどのUTM機能を一通り設定し、次世代ファイアウォールの機能によって、何ができるのか、そして、その操作方法を学びます。 ・IPsecやSSL-VPNの設定および基本技術を理解します。(日数及びカリキュラム次第) ・カスタムシグネチャを作成するなど、日頃の業務では学べない経験してもらいます。(日数及びカリキュラム次第) ・標的型攻撃の対策方法を学びます。 |
| 研修方法 | 講義+実機演習 ※講義の大半は実機演習です。 |
| 日数 | 2日間が基本 ※1日限定のコースも可能 |
| 研修時間 | 9時半~17時(9時~18時の間で調整可能) |
| 参加人数 | 5名様以上 |
| 講師 | 左門 至峰 |
| 対象者 | ・ネットワークおよびTCP/IPの基礎を理解できるレベルの方 ・ネットワーク機器の実機操作、TeraTermの操作の基本をご存知の方 |
| ご準備いただくもの | ・セミナー会場、プロジェクタ、マイク、インターネット環境、PC(LANポート、Teratermインストール必要)、LANケーブル、配布物の印刷(こちらからデータでお渡しします)など。 ※詳細はご準備いただくものに記載してあります。 ・テキストとして、私の著書の「FortiGateで始める 企業ネットワークセキュリティ」をご購入いただく必要があります。 ・FortiGateの機材はこちらで準備します。 |
4.研修費用(基本料金)…リーズナブルです!
1日あたり、基本料金20万円(FortiGateの機材準備費含む)+人数×3万円+交通費および宿泊費(税別)
例えば、東京のお客様の会議室で、10名様で1日間の場合
20万円+30万円 + 交通費3万 =約53万円(税別)
※交通費は大阪からの実費です。(日程を調整いただければ、ゼロも可能です)
※会場のご準備をお願いします。 ※価格はカリキュラムや進め方、セミナー時間などにより調整可能です。
5.カリキュラム詳細
2日間の研修カリキュラム例は以下です。2日間でネットワークセキュリティの基礎から実践を学びます。ハンズオン形式でセミナーを進めますので、FortiGateの設定も一通り学ぶことができます。企業におけるセキュリティ対策を学ぶことができます。
ハンズオンは、最初は2名で1台を操作してもらいます。二人同時にログインが可能ですので、一人が見ているだけという状態ではありません。ただ、設定する機器は1台ですから、お二人で協力と連携をして設定を進めてください。
途中からVDOMを作成してもらい、各人がそれぞれ1つの仮想FWを操作してもらいます。そうすれば、おのおので自由にポリシーやセキュリティ設定をすることができます。
第1部 ネットワークセキュリティの基礎(実習)
1.1 FortiGateおよびネットワークセキュリティの基礎知識
1.1.1 FotiGateの特徴や、基本機能、製品ラインアップ、ハード仕様
※書籍の第1章より
1.1.2 FortiGateに接続しよう
①LAN経由で接続、初期画面の解説 ※書籍の第2章2-1から2-2まで
②コンソールケーブル経由で接続
1.1.3 管理機能の設定
①機器の初期化 ※書籍の第8章8-1
②機器の初期設定 ※書籍の第2章2-3
③Configの保存 ※書籍の第8章8-1(2)から
④ダッシュボードで状態確認
⑤CLIの設定 ※書籍の第8章8-4
1.1.4 管理系の設定
①機器のシャットダウン、再起動 ※書籍の第9章9-1~
②WANインターフェースからのアクセス
③SNMPの管理
④表示されないメニューの表示→複数セキュリティプロファイルと侵入防止をONに
⑤LANポートのグループ化の解除 ※書籍の第9章9-2(2)
⑥DHCPサーバ機能の設定 ※書籍の第9章9-2(4)
1.2 FortiGateの設計とインターネットアクセス
1.2.1 企業のネットワークを設計しよう。
皆さんは、従業員が50人の会社の情報システム部の責任者です。
2台の公開サーバ(メールとWeb)がある条件で、FortiGaeteを使ってネットワークを設計してください。
物理設計および、論理設計(IPアドレス設計)をして、紙に記載してください。
→代表者が一人、発表してもらいます。
※解答の一例として、書籍のp41
※ただし、DMZの公開サーバはNAT(MIP)をする場合が多いことを理解する
1.2.2 インターネットへの接続
①インターフェースの設定(LAN、WAN、DMZ) ※書籍の第2章2-4から
②ルーティングの確認
③疎通確認(インターネットが見えましたか?8.8.8.8にpingが届きましたか?)
第2部 UTMの設定(実習)
2.1 ファイアウォールの設計と設定
2.1.1 ファイアウォールの設計
①ファイアウォール設計の基本的な考え方 ※書籍の第3章3-1
②既存ポリシーの確認 ※書籍の第3章3-2
③Proxyを許可するポリシーについて ※書籍の第3章3-2(2)
④Proxyを許可するポリシーおよびオブジェクトを作ろう ※書籍の第3章3-3
※場合によってはDNSも許可する
⑤LANからインターネットへのPingを拒否してみよう
2.1.2 DMZの公開サーバのポリシー
①DMZの公開サーバへのポリシーを設計してみよう
→どなたか発表をお願いします。
②FWのポリシーを作成してみよう
③どちらかのPC1台にWebサーバを構築し、LANやWANからWebサーバが閲覧できることを確認
※Webサーバに関しては以下を参照
Webサーバを立ててみよう
2.2 UTMによるセキュリティ機能と設定
2.2.1 セキュリティ機能の概要
①UTMのセキュリティ機能、ライセンスの確認 ※書籍の第4章4-1から
②インスペクションモードの選択
③セキュリティ機能の適用方法
2.2.2 アンチウイルスの設定
①アンチウイルスについて ※書籍の第4章4-2から
②アンチウイルスの設定
③アンチウイルスのテスト
④ブロック画面のカスタマイズ
⑤ログの確認
2.2.3 Webフィルタの設定
①Webフィルタについて ※書籍の第4章4-3から
②URLフィルタとパケット構造
→URLはパケットのどこに記載されているか。Wiresharkでキャプチャ
ここも参照 →HTTPSは暗号化されるので、SSLインスペクションが必要(詳細は次の節)
③Webフィルタの設定
④カテゴリの確認と、アクション
→このあとのIPSの試験のため、「未分類」は有効に
⑤個別URLフィルタの設定 たとえば、www.yahoo.co.jpへの通信を拒否してみよう。
⑥参考までに、悪性サイト(C&Cサーバ)はどんなのかを見る。また、VirusTotalでの表示を確認
C&Cサーバ
⑦ブロックしたログの確認
⑧正規表現をいろいろ試してみよう p94の内容をすべて
2.2.4 SSLインスペクション
①SSLインスペクションの仕組み ※書籍の第4章4-7から
②SSLインスペクションの方式
③SSLフルインスペクションの仕組みと証明書
④事前テスト
SSLのサイトが正常に見えることを確認
⑤SSLフルインスペクションの設定 ※書籍の第4章4-7(4)から
⑥エラー画面と証明書のインストール
⑦SSLフルインスペクションの除外
⑧設定を外す(証明書も削除)
2.2.5 IPSの設定
①IPSについて ※書籍の第4章4-4から
②表示機能設定でIPSを表示、複数プロファイルを表示
③IPSの設定を確認しよう
④IPSの設定
⑤通信テスト
⑥カスタムシグネチャ
⑦ログの確認
2.2.6 アプリケーションコントロール
①アプリケーションコントロールについて ※書籍の第4章4-5から
②アプリケーションコントロールの設定
※SSLはDEEPインスペクションにしましょう。
③いくつか、ブロックしてみる
④通信テスト
たとえば、Cloud.ITをブロックにして、https://aws.amazon.com/ がブロックされるのを確認する
2.3 VPN
2.3.1 インターネットVPN ※VDOMを作成して仮想FW2台でも設定可能
①インターネットVPNについて ※書籍の第5章5-1から
②インターネットVPNを構築するネットワーク構成図を記載
③設計パラメータの記載
④インターネットVPNの設定
⑤通信テスト
⑥状態確認 IPsecモニタなど
⑦今回はウィザードで設定したであろうが、細かい設定パラメタを確認する
2.3.2 SSL-VPN
SSL-VPNの設定 ※VDOMでも設定可能
①SSL-VPNとは ※5章5-4から
SSL-VPNとIPsecの違い
②SSL-VPNの設計 ※仮想インターネットとして、WAN側とPCを直結しましょう。
③FortiGateの設定
④FortiClientのダウンロード
https://www.forticlient.com/downloads
⑤PCの設定
⑥接続確認
第3部 UTMの設定の続き(実習)
3.1 仮想設定
3.1.1 VLANの設定
①VLANの設計。タグVLANの構成を作る ※書籍の第9章9-2(3)
②通信相手を決めて、ネットワーク構成図を作成する
※Fortigate同士でも、相手はスイッチでも可
③通信テスト
3.1.2 VDOMの作成
①VDOMとは ※書籍の第7章7-2
②VDOMを使った構成図を書く
③物理接続を変更する
④VDOMを設定する→internalから切り出したポートを使うことが推奨
⑤通信試験、セキュリティの設定をする
※これ以降は、VDOMによって2人でそれぞれの仮想VMを操作してもいいですし、VDOMを解除して、もとに戻してもいいです。
3.2 NATの設定
3.2.1 VIPを使う
①VIPとは ※書籍の第7章7-3
②ネットワークの設計、VIPの設計を実施
③VIPの設定
④DMZのWebサーバに、VIPでアクセス
第4部 UTMの高度な設定(実習)
4.1 UTMの高度な設定
4.1.1 透過モードを使う
①透過モードとは
②透過モードの設定
③FWポリシーの設定
④ポリシーのテスト ※これまでのテストなどから、ご自身で選択
4.1.2 HAの設定
①HAとは ※書籍の第7章7-1
②HAの構成を設計しよう ※2つの機器で同じIPアドレスを設定します。
③HAの設定
④状態確認
⑤HAの切り替え試験
4.1.3 ISDB
①ISDBを使ってみよう ※書籍のp217
4.1.4 SD-WANの設定
①SD-WANとは 6章6-1
②ネットワーク構成図の作成
③物理接続の再設定
※インターネット環境が複数用意できない場合は仮想的なテスト
④SD-WANの設定
⑤SD-WANルールの確認
⑥通信およびログの確認
4.2 演習補足
その他、各自で自由に設定および操作
演習でやらなかった項目の設定や、すでに設定した内容の再確認・深堀り
第5部 標的型攻撃対策(座学)
5.1 標的型攻撃の理解を深めよう
5.1 標的型攻撃の仕組みとその対策
①標的型攻撃の流れ
②Metasploitによる攻撃の実演を紹介(動画)
③対策の考え方 入口対策、出口対策、内部対策
④FortiGateにおける標的型対策の具体的な設定
サンドボックスの設定概要(FortiSandboxが別途必要) p135
第6部 SD-WAN
6.1 ISDBによるインターネットブレイクアウト
基幹系などの通信はWAN1、クラウド通信のみをWAN2から通信させるようなインターネットブレイクアウトの設定をやってみましょう。
6.2 WAN1とWAN2で冗長化構成
WAN2の回線を接続し、WAN1とWAN2で冗長化構成を組みましょう。
障害試験をして、WAN1やWAN2を抜き差しして、インターネットにどちらからも通信できるかを確認しましょう。
6.3 インターネットブレイクアウトの設定
Facebookなどの通信をWAN2から出るようにしましょう。
7.お問い合わせ先
こちらのお問い合わせフォームからご相談ください次世代ファイアウォールであるFortiGateの操作をする中で、セキュリティの実践的な防御方法を学んでいきましょう!