SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

SB C&S

【3分で分かるFortinet】【第29回】FortiSASE Thin-Edge構成(FortiExtender-200F利用)

Fortinet
2023.09.25

皆さんこんにちは!SB C&Sで Fortinet 製品のプリセールスを担当している長谷川です。

今回は、FortiSASEの機能である、Thin-Edge構成のうち、FortiExtender-200Fを利用したパターンについて紹介いたします。

FortiExtenderとは?

FortiExtenderをご存じの方であれば、FortiGateと連携し、FortiExtenderに搭載しているモデムにSIMカードを挿してFortiGateのWAN回線として利用するといったイメージを持たれていると思います。

実際に日本で販売可能な2つのモデル(FortiExtender-211E, FortiExtender-511F)については、3G, 4G, 5G(511Fのみ)を利用し、2つ目の回線としてSD-WANとして利用するといった構成での導入が多いです。

今回ご紹介するFortiExtender-200Fは、モデムを搭載していない有線専用モデルとなります。

FortiSASE_FortiExtender-200F (1).png

日本で販売されている(技適取得済み)のFortiExtenderは、現在3モデルとなります。

FortiExtender-200Fは、FortiSASEと連携する専用モデルになります。

FortiSASE_FortiExtender-200F (2).png

FortiSASEとFortiExtender-200Fを利用される場合、FortiCloudアカウントが共通である必要があります。

FortiSASEとFortinet製品を連携させたい場合ご注意ください。

FortiSASE_FortiExtender-200F (3).png

FortiSASEへの接続方式は3種類ありますが、FortiExtender-200Fを利用する場合は、FortiExtender-200Fに対して別途ライセンスが必要である点にご注意ください。

FortiGate(2桁モデルかつv7.4.1以降)や、FortiAPについても今後Thin-Edgeに対応予定となっています。

FortiSASE_FortiExtender-200F (4).png

今回は、メーカから実機を借りて検証を行いました。

FortiGate-40Fと並べて撮影してみましたが、非常に小さいモデルとなっております。

FortiSASE_FortiExtender-200F (5).png

Thin-Edge接続の場合の構成イメージです。

FortiExtender-200F配下にあるパソコンなどは、エージェントソフトが不要でFortiSASE環境へ接続が可能です。

またセキュアプライベートアクセス構成を併用されている場合は、Thin-Edge環境からのアクセスが可能です。

※エージェントレスでFortiSASEへProxy接続をした端末からの場合、セキュアプライベートアクセス環境へのアクセスはできません。

FortiSASE_FortiExtender-200F (6).png

FortiSASEに関するオプションライセンスをまとめました。

FortiExtender-200Fには、THIN BRANCESライセンスを適用することで、Thie-Edge構成が可能となります。

FortiSASE_FortiExtender-200F (7).png

FortiExtender-200Fの接続

実際にFortiExtender-200Fを利用して、ウェブアクセスを行います。

FortiSASE_FortiExtender-200F (8).png

ネットワーク構成図です。

複雑に見えますが、端末→ルータ→FortiExtender-200F→ルータ→(インターネット)→FortiSASEという経路になっています。

FortiSASE_FortiExtender-200F (9).png

FortiExtender-200Fの管理アクセスは、Fortinet製品定番の192.168.1.99/24 が使われていない点に注意が必要です。

FortiExtender-200Fへロングイン後、空いているport3を管理インタフェースとして利用することを推奨いたします。

FortiSASE_FortiExtender-200F (10).png

前述しましたが、FortiSASEとFortiExtender-200Fを連携するには、同一FortiCloudアカウントで登録されていることが必須条件です。

下記は通常アクセスする機会はあまりないFortiCloud画面です。

今回は、静的にFortiSASEのFQDNを登録する手法でFortiSASEとFortiExtender-200Fを連携します。

FortiSASE_FortiExtender-200F (11).png

FortiExtender-200Fに登録する、FortiSASEのFQDNを調査します。

FortiSASEの管理画面より、System >> SWG Configuration から FortiSASEのFQDNをコピーします。

FortiSASE_FortiExtender-200F (12).png

FortiExtender-200Fの管理画面より、Settings >> Management >> Management Setup の編集を開きます。

FortiSASE_FortiExtender-200F (13).png

Controller → fortigate

Discovery Type → static

を選び、先ほどコピーしたFortiSASEのFQDNをServer登録します。

FortiSASE_FortiExtender-200F (14).png

FortiExtender-200Fのport1(DHCPクライアントでIPやルーティングを取得)から、インターネットアクセスができるようになると、FortiSASEの管理画面でFortiExtender-200Fの承認待機状態となります。

承認することで、FortiSASEとFortiExtender-200Fの連携が完了です。

FortiSASE_FortiExtender-200F (15).png

動作検証

FortiExtender-200Fを利用した、Thin-Edge構成を行い、ウェブサイトおよび、セキュアプライベートアクセス環境へ接続を行います。

合わせて、FortiSASEでアンチウィルスを行い、動作チェックを行います。

FortiSASE_FortiExtender-200F (16).png

テストで利用するサイトは、どちらもSSL/TLSで暗号化しているため、FortiSASEでdeep-inspectionを行います。

その際、復号する際にエラーが発生しないように証明書を事前に入手し、テスト端末のブラウザにインポートします。

FortiSASE_FortiExtender-200F (17).png

1つ目の試験を行います。

FortiSASEでアンチウィルスを行う場合は、FortiGateと同じようにセキュリティプロファイルを作成します。

今回は、HTTP(S)に対してアンチウィルスを行うため、deep-inspectionをプロファイル内で有効にします。

FortiSASE_FortiExtender-200F (18).png

FortiSASEでポリシを作成します。

FortiSASE_FortiExtender-200F (19).png

ポリシを作成する際に、送信元としてThin-Edgeを指定します。

FortiSASE_FortiExtender-200F (20).png

www.eicar.org へアクセスし、eicarをダウンロードします。

問題なくアンチウィルスが動作し、置き換えページに変更されました。

FortiSASE_FortiExtender-200F (21).png

二つ目の試験では、セキュアプライベートアクセス環境を宛先にして行います。

セキュリティプロファイルの作成個所が、"Private Access" になるため、作成する際に注意が必要です。

FortiSASE_FortiExtender-200F (22).png

ポリシ作成の際も、"Private Access" を指定して作成します。

FortiSASE_FortiExtender-200F (23).png

セキュアプライベートアクセスの際も、ポリシを作成する際に送信元としてThin-Edgeを指定します。

FortiSASE_FortiExtender-200F (24).png

セキュアプライベートアクセス環境に用意した、ウェブサーバ及びeicarでテストします。

暗号化されているサイトでも問題なくアンチウィルスが動作いたしました。

FortiSASE_FortiExtender-200F (25).png

いかがでしたでしょうか。

FortiExtender-200Fは、小規模拠点をターゲットにした製品となり、拠点が多い場合にFortiSASEでセキュリティルールを一元管理するといった構成に有効です。

また、エージェントソフトが不要なため、導入の敷居が低いといった意味でも重宝するものと存じます。

以上、ご拝読ありがとうございました。


※本ブログの内容は投稿時点での情報となります。今後アップデートが重なるにつれ
 正確性、最新性、完全性は保証できませんのでご了承ください。

著者紹介

SB C&S株式会社
技術統括部 第2技術部 1課
長谷川 聡