次世代ファイアウォールFortigateを使ったハンズオン研修

次世代ファイアウォール(UTM)であるForiGateを使った、セキュリティをどう守るかに力点を置いたハンズオン研修を実施します。

企業セキュリティを守るのに高度なIT人材の育成が急務

1.次世代ファイアウォールFortiGateで学ぶネットワークセキュリティ研修(ハンズオン)の概要

企業のセキュリティを守る根幹をなすのが次世代ファイアウォール(UTM)です。これ1台で、ファイアウォール機能、IPS機能、アンチウイルス、URLフィルタ、アプリケーション制御、標的型対策、拠点間とのVPN(IPsec通信)やリモートアクセス(SSL-VPN)など、さまざまなセキュリティ機能があります。(※これが、UTM(Unified Threat Management:統合脅威管理)とも呼ばれる理由です。)
次世代ファイアウォール機能でシェアNo.1のFortiGate(Fortinet社)を使って、実機を用いて次世代ファイアウォールの仕組み、技術、設定を学んでいただきます。
セミナーの講師は、ネットワークスペシャリスト試験対策で高い評価を得ている「ネスペ」シリーズ(技術評論社)、FortiGateの設定本である「FortiGateで始める 企業ネットワークセキュリティ」(日経BP社)の著者である、左門が行います。

2.研修の進め方

本研修では、二人に1台のFortiGateを操作してもらい、次世代ファイアウォール(UTM)によるセキュリティ対策の機能を座学で学ぶとともに、実機でも設定してもらいます。 (2人が同時にFortiGateにアクセスして、設定の閲覧・変更ができます。また、途中からVDOMにより1人ずつの仮想環境を操作できます。)

日経BP社から発売した本をテキストとし、FortiGateの6.0台のOSを使ってセキュリティ機能を学びます。

FortiGateで始める 企業ネットワークセキュリティ

FortiGateで始める 企業ネットワークセキュリティ

3.コース概要

コース名 次世代ファイアウォールで学ぶネットワークセキュリティ(FortiGateハンズオンセミナー)
研修目的 ・FortiGateの基本的な操作を一通り理解し、実際に一人で設定できるようにします。
・ファイアウォールの基本的な仕組みおよび設定方法を学習します。
・アンチウイルスやアプリケーションコントロールなどのUTM機能を一通り設定し、次世代ファイアウォールの機能によって、何ができるのか、そして、その操作方法を学びます。
・IPsecやSSL-VPNの設定および基本技術を理解します。(日数及びカリキュラム次第)
・カスタムシグネチャを作成するなど、日頃の業務では学べない経験してもらいます。(日数及びカリキュラム次第)
・標的型攻撃の対策方法を学びます。
研修方法 講義+実機演習+確認テスト ※講義の大半は実機演習です。
日数 2日間が基本
※1日限定のコースも可能
研修時間 9時半~17時(9時~18時の間で調整可能)
参加人数 5名様以上
講師 左門 至峰
対象者 ・ネットワークおよびTCP/IPの基礎を理解できるレベルの方
・ネットワーク機器の実機操作、TeraTermの操作の基本をご存知の方
ご準備いただくもの ・セミナー会場、プロジェクタ、マイク、インターネット環境、PC(LANポート、Teratermインストール必要)、LANケーブル、配布物の印刷(こちらからデータでお渡しします)など。
※詳細はご準備いただくものに記載してあります。
・テキストとして、私の著書の「FortiGateで始める 企業ネットワークセキュリティ」をご購入いただく必要があります。
・FortiGateの機材はこちらで準備します。
修了要件 確認テストで70点以上。修了証をお渡しします。

4.研修費用(基本料金)…リーズナブルです!

1日あたり、基本料金20万円(FortiGateの機材準備費含む)+人数×3万円+交通費および宿泊費(税別)
例えば、東京のお客様の会議室で、10名様で1日間の場合
20万円+30万円 + 交通費3万 =約53万円(税別)

※交通費は大阪からの実費です。(日程を調整いただければ、ゼロも可能です)
※会場のご準備をお願いします。 ※価格はカリキュラムや進め方、セミナー時間などにより調整可能です。

5.カリキュラム詳細

2日間の研修カリキュラム例は以下です。2日間でネットワークセキュリティの基礎から実践を学びます。
ハンズオン形式でセミナーを進めますので、FortiGateの設定も一通り学ぶことができます。企業におけるセキュリティ対策を学ぶことができます。
ハンズオンは、最初は2名で1台を操作してもらいます。二人同時にログインが可能ですので、一人が見ているだけという状態ではありません。ただ、設定する機器は1台ですから、お二人で協力と連携をして設定を進めてください。
途中からVDOMを作成してもらい、各人がそれぞれ1つの仮想FWを操作してもらいます。そうすれば、おのおので自由にポリシーやセキュリティ設定をすることができます。

第1部 ネットワークセキュリティの基礎(実習)
1.1 FortiGateおよびネットワークセキュリティの基礎知識
 1.1.1 FotiGateの特徴や、基本機能、製品ラインアップ、ハード仕様
  ※書籍の第1章より
 1.1.2 FortiGateに接続しよう
  ①LAN経由で接続、初期画面の解説  ※書籍の第2章2-1から2-2まで
  ②コンソールケーブル経由で接続
 1.1.3 管理機能の設定
  ①機器の初期化   ※書籍の第8章8-1
  ②機器の初期設定  ※書籍の第2章2-3
  ③Configの保存   ※書籍の第8章8-1(2)から
  ④ダッシュボードで状態確認
  ⑤CLIの設定     ※書籍の第8章8-4
 1.1.4 管理系の設定
  ①機器のシャットダウン、再起動  ※書籍の第9章9-1~
  ②WANインターフェースからのアクセス
  ③SNMPの管理
  ④表示されないメニューの表示→複数セキュリティプロファイルと侵入防止をONに
  ⑤LANポートのグループ化の解除   ※書籍の第9章9-2(2) 
  ⑥DHCPサーバ機能の設定      ※書籍の第9章9-2(4) 
1.2 FortiGateの設計とインターネットアクセス
 1.2.1 企業のネットワークを設計しよう。
  皆さんは、従業員が50人の会社の情報システム部の責任者です。
  2台の公開サーバ(メールとWeb)がある条件で、FortiGaeteを使ってネットワークを設計してください。
  物理設計および、論理設計(IPアドレス設計)をして、紙に記載してください。
  →代表者が一人、発表してもらいます。
  ※解答の一例として、書籍のp41
 ※ただし、DMZの公開サーバはNAT(MIP)をする場合が多いことを理解する
1.2.2 インターネットへの接続
  ①インターフェースの設定(LAN、WAN、DMZ) ※書籍の第2章2-4から
  ②ルーティングの確認
  ③疎通確認(インターネットが見えましたか?8.8.8.8にpingが届きましたか?)

 【確認テスト】
  
第2部 UTMの設定(実習)   
2.1 ファイアウォールの設計と設定
 2.1.1 ファイアウォールの設計
  ①ファイアウォール設計の基本的な考え方 ※書籍の第3章3-1
  ②既存ポリシーの確認      ※書籍の第3章3-2
  ③Proxyを許可するポリシーについて ※書籍の第3章3-2(2)
  ④Proxyを許可するポリシーおよびオブジェクトを作ろう ※書籍の第3章3-3
  ※場合によってはDNSも許可する
  ⑤LANからインターネットへのPingを拒否してみよう
 2.1.2 DMZの公開サーバのポリシー
  ①DMZの公開サーバへのポリシーを設計してみよう
   →どなたか発表をお願いします。
  ②FWのポリシーを作成してみよう
  ③どちらかのPC1台にWebサーバを構築し、LANやWANからWebサーバが閲覧できることを確認
  ※Webサーバに関しては以下を参照
  http://nw.seeeko.com/archives/50902300.html
2.2 UTMによるセキュリティ機能と設定
 2.2.1 セキュリティ機能の概要
  ①UTMのセキュリティ機能、ライセンスの確認 ※書籍の第4章4-1から
  ②インスペクションモードの選択
  ③セキュリティ機能の適用方法
 2.2.2 アンチウイルスの設定
  ①アンチウイルスについて ※書籍の第4章4-2から
  ②アンチウイルスの設定
  ③アンチウイルスのテスト
  ④ブロック画面のカスタマイズ
  ⑤ログの確認
 2.2.3 Webフィルタの設定
  ①Webフィルタについて ※書籍の第4章4-3から
  ②URLフィルタとパケット構造
   →URLはパケットのどこに記載されているか。Wiresharkでキャプチャ
   http://sc.seeeko.com/archives/5379600.html
    →HTTPSは暗号化されるので、SSLインスペクションが必要(詳細は次の節)
  ③Webフィルタの設定
  ④カテゴリの確認と、アクション
   →このあとのIPSの試験のため、「未分類」は有効に
  ⑤個別URLフィルタの設定 たとえば、www.yahoo.co.jpへの通信を拒否してみよう。   
  ⑥参考までに、悪性サイト(C&Cサーバ)はどんなのかを見る。また、VirusTotalでの表示を確認
   http://sc.seeeko.com/archives/4844208.html
  ⑦ブロックしたログの確認
  ⑧正規表現をいろいろ試してみよう p94の内容をすべて
 2.2.4 SSLインスペクション
  ①SSLインスペクションの仕組み ※書籍の第4章4-7から
  ②SSLインスペクションの方式
  ③SSLフルインスペクションの仕組みと証明書
   http://nw.seeeko.com/archives/50924117.html
  ④事前テスト
   SSLのサイトが正常に見えることを確認
  ⑤SSLフルインスペクションの設定 ※書籍の第4章4-7(4)から
  ⑥エラー画面と証明書のインストール
   http://www.viva-fortigate.com/archives/80407231.html
   http://nw.seeeko.com/archives/50924117.html
  ⑦SSLフルインスペクションの除外
  ⑧設定を外す(証明書も削除)
 2.2.5 IPSの設定
  ①IPSについて ※書籍の第4章4-4から
  ②表示機能設定でIPSを表示、複数プロファイルを表示
  ③IPSの設定を確認しよう
  ④IPSの設定
  ⑤通信テスト
   http://www.viva-fortigate.com/archives/81898788.html
  ⑥カスタムシグネチャ
   http://www.viva-fortigate.com/archives/70694982.html
  ⑦ログの確認
 2.2.6 アプリケーションコントロール
  ①アプリケーションコントロールについて ※書籍の第4章4-5から
  ②アプリケーションコントロールの設定
   ※SSLはDEEPインスペクションにしましょう。
  ③いくつか、ブロックしてみる
  ④通信テスト
  たとえば、Cloud.ITをブロックにして、https://aws.amazon.com/ がブロックされるのを確認する
2.3 VPN
 2.3.1 インターネットVPN  ※VDOMを作成して仮想FW2台でも設定可能
  ①インターネットVPNについて ※書籍の第5章5-1から
  ②インターネットVPNを構築するネットワーク構成図を記載
  ③設計パラメータの記載
  ④インターネットVPNの設定
  ⑤通信テスト
  ⑥状態確認 IPsecモニタなど
  ⑦今回はウィザードで設定したであろうが、細かい設定パラメタを確認する
 2.3.2 SSL-VPN
  SSL-VPNの設定 ※VDOMでも設定可能 
  ①SSL-VPNとは ※5章5-4から
   SSL-VPNとIPsecの違い
  ②SSL-VPNの設計 ※仮想インターネットとして、WAN側とPCを直結しましょう。
  ③FortiGateの設定
  ④FortiClientのダウンロード
   https://www.forticlient.com/downloads
  ⑤PCの設定
  ⑥接続確認

 【確認テスト】 

第3部 UTMの設定の続き(実習)   
3.1 仮想設定
 3.1.1 VLANの設定
  ①VLANの設計。タグVLANの構成を作る ※書籍の第9章9-2(3)
  ②通信相手を決めて、ネットワーク構成図を作成する
   ※Fortigate同士でも、相手はスイッチでも可
  ③通信テスト
 3.1.2 VDOMの作成
  ①VDOMとは ※書籍の第7章7-2
  ②VDOMを使った構成図を書く
  ③物理接続を変更する
  ④VDOMを設定する→internalから切り出したポートを使うことが推奨
  ⑤通信試験、セキュリティの設定をする
  ※これ以降は、VDOMによって2人でそれぞれの仮想VMを操作してもいいですし、VDOMを解除して、もとに戻してもいいです。
3.2 NATの設定
 3.2.1 VIPを使う
  ①VIPとは  ※書籍の第7章7-3
  ②ネットワークの設計、VIPの設計を実施
  ③VIPの設定
  ④DMZのWebサーバに、VIPでアクセス

第4部 UTMの高度な設定(実習)
4.1 UTMの高度な設定
 4.1.1 透過モードを使う
  ①透過モードとは
  ②透過モードの設定
  ③FWポリシーの設定
  ④ポリシーのテスト ※これまでのテストなどから、ご自身で選択
 4.1.2 HAの設定
  ①HAとは  ※書籍の第7章7-1
  ②HAの構成を設計しよう ※2つの機器で同じIPアドレスを設定します。
  ③HAの設定
  ④状態確認
  ⑤HAの切り替え試験
 4.1.3 ISDB
  ①ISDBを使ってみよう ※書籍のp217
 4.1.4 SD-WANの設定
  ①SD-WANとは 6章6-1
  ②ネットワーク構成図の作成
  ③物理接続の再設定
   ※インターネット環境が複数用意できない場合は仮想的なテスト
  ④SD-WANの設定
  ⑤SD-WANルールの確認
  ⑥通信およびログの確認
4.2 演習補足
 その他、各自で自由に設定および操作
  演習でやらなかった項目の設定や、すでに設定した内容の再確認・深堀り
  
 【確認テスト】

第5部 標的型攻撃対策(座学)
5.1 標的型攻撃の理解を深めよう
 5.1 標的型攻撃の仕組みとその対策
  ①標的型攻撃の流れ
  http://sc.seeeko.com/archives/5179439.html
  ②Metasploitによる攻撃の実演を紹介(動画)
  ③対策の考え方 入口対策、出口対策、内部対策
  http://sc.seeeko.com/archives/4553722.html
  ④FortiGateにおける標的型対策の具体的な設定
  http://www.viva-fortigate.com/archives/cat_1254667.html
   サンドボックスの設定概要(FortiSandboxが別途必要) p135

 【確認テスト】

6.お問い合わせ先

こちらのお問い合わせフォームからご相談ください

次世代ファイアウォールであるFortiGateの操作をする中で、セキュリティの実践的な防御方法を学んでいきましょう!