フリーランスから中小ネットワーク事業者、はたまた大企業のISerに所属していても、顧客より「拠点にファイアウォールを導入したいんだけど」「拠点のファイアウォールをリプレイスしたいんだけど」という相談事が舞い込むことは、多々あり得ます。
中でも、選定機器がFortigateになることが多く、その独特の使用や機能に翻弄されてしまうことも。
そこで今回は、ファイアウォール機器における、Fortigate機器の選定ポイントを解説していきたいと思います。
小中大、様々なFortigate。顧客の要望に沿った、Fortigateとは?
Fortigateの選定基準は、該当機器が持つ、スループット能力に準拠します。
例えば、日本で最も使用されていると言われるルータ、YAMAHA RTX1210やRTX830のスループットは2Gbpsと言われています(RTX810は1Gbpsです)ので、このスループット値を上回る機器を選定していくことが望ましいでしょう。
また、Fortigateの機器性能一覧を眺めているとわかるかと思いますが「スループット値」の記述なんて、何処にも見当たりません。
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf
現行機が「VPN接続を是非としているか」という要件にも寄りますが、Fortigateはファイアウォールを意識した機器になっていますので「スループット値=IPv4 ファイアウォールスループット値」という考え方になります。
現行設定をみて、サイジングしてみよう
今回のテーマは、拠点のファイアウォール導入若しくは、リプレイスとなっていますが、拠点設備に小中規模を超えるファイアウォールが選定されることはそうそう有りません。
機器選定基準とするスループット値は「現行機に置いて、特に遅延などが発生していない」場合は、今後の拡張も鑑みて、1.5倍程度が目標です。
また「現行機に遅延が発生している場合」は2倍から3倍程度の機器を選定すると良いでしょう。
拠点内のクライアントが、将来的に、最大いくつまで拡張されるのか?を鑑みておくと、しぜんと、設置すべきFortigateの機種がわかるようになります。
ファイアウォール同時セッション数を算定する
ファイアウォール指定となると、拠点内のクライアント1台あたりのコネクション数を概ね200セッション(最大値)と捉え、サイジングしていく形が望ましいでしょう。
拠点内に300台規模のクライアントを置きたいのであれば、300台×200セッション=60,000セッションとなります。
しかし、拠点内に配置する予定である(もしくは、配置済み)機器はそれだけではありません。
ESXiやHyper-vなどの仮想サーバがあれば、そのクライアントを受け止めるVM分の「折り返しのセッション」を気にしなくてはならないため「すべてのコネクションが、概ね倍化する」と考えて、300VM×2倍×200=120,000セッションと考えます。
そのほか、ストレージやメール、ActiveDirectory、DNS、DHCPなどなどがクライアントに対して同時セッションを張ることを想定し、そのサーバ群クライアント群に対し、概ね2~3プロトコルを使用すると仮定すれば、サーバ数5台×3プロトコル×300台×=4,500セッションと考えます。
上記合算すると、184,500セッションほど。
これを、先ほどの機器性能一覧に当てはめてみると「ファイアウォール同時セッション」において「同時セッション数900,000」のスペック値である、Fortigate 30E以上が基準値として当てはまります。
こんな小規模向けFortigateでも、結構余裕なことがうかがえますね。
拠点間、クライアント間通信の必須課題、VPN最大接続数
Fortigateが展開できるVPN Tunnel数は、大小ともに大きな変動は無いので、あてになりません。
どちらかというと「クライアントからFortigateに対してのスループット値」「拠点間コネクションのスループット値」など、シチュエーションに応じたサイジングが最も肝要になってきます。
例えば、Fortigate 30Eは「IPSec VPNスループット」値が75Mbpsしかなく、これは、5拠点もしくは5クライアント間にコネクションを張ると、75÷5=15Mbpsとなり、結構厳しい数値になってきます。
クライアントにおいては、15Mbpsではリモートデスクトップに接続するには「接続品質を落とさないと」厳しいスループット値になります。
拠点間のVPNともなると「拠点の多人数:拠点の多人数」という構図になるため、別拠点のファイルのやりとりに時間がかかったり、リモートデスクトップなどはとても維持できるレベルではなくなったりします。
SSL VPNを是非とする通信においては、この75Mbpsが35Mbpsへと、半減してしまいます。
Fortigateは上位機種になるほど、VPNに対しては特化するような造りになっています。
インタフェースが機器選定基準のメイン
Fortigateは、抱えるインタフェース数が最も重要なファクターとなります。
別に、同一のインタフェースへ複数のセグメントを持っても良いのですが、Fortigate傘下のL2スイッチやL3スイッチにVLANをトランクしたり、Fortigate自身のリプレイスで設定変更を余儀なくされる可能性が出てくるためです。
よって、リプレイスの際は、Fortigateの持つポート数に注意を払わなくてはなりません。
また、Fortigateには「拠点の出口となるWANポート」や「サーバ群を擁するDMZポート」「クライアント群に使用され、スイッチがぶら下がるLANポート」「下位のFortinet機器を管理するFortilinkポート」などがあります。
これらのポートは、設定によって、如何様にも用途の変更が可能ですが、元よりその用途に特化したポートであるため、設定変更が大変です。
今後の拡張性を見越すと、数ポートの余裕を持った機器を選定したいところです。
Fortigateのライセンスや保守形態、選定シリーズの今後について
Fortigateの機器選定は、ハードを選ぶだけではありません。
Fortigateには専用ライセンスがあり、通常のセンドバック保守の他にも、オンサイトライセンスという保守メニューがあるのです。
Fortigateの基本構成(センドバック保守)
Fortigateは、どの機器も基本的に「購入後(使用開始後、ではありません)」1年間の保守契約が付与されています。
この保守はセンドバック保守といい、機器の故障が認められると、そのハードもしくはパーツをセンド(Fortinet社から送付)し、バック(故障ハードやパーツを返送)することができる契約となります。
この基本保守は、年次契約が可能であり、概ね5年間の継続が可能です。
これからご紹介する全ての保守契約は途中で契約を辞めることも出来ますが、機器の保守が無くなり、また再契約するとなると、無契約期間を遡っての契約が必要となります。
Fortigateを強化する、バンドルライセンス
Fortigateを購入するにあたり、バンドル版と通常版の何れかを選択する必要があります。
バンドルライセンスとはFortigateのファイアウォール機能のほかに「アンチウィルス」「不正侵入検知防御」「アンチスパム」「ウェブフィルタリング」といった4つの機能を1年間利用できる、というライセンスになります。
また、バンドルライセンスには基本保守が付随しており、通常版が「1年間のセンドバック保守」のみであるのに対し、バンドルライセンスは「強化した4機能を付随した、1年間のセンドバック保守」という内容になっています。
保守オプションのオンサイト契約とは?
オンサイト契約とは「機器故障時に、保守員が駆けつけて交換や修理を行ってくれる」という、安心安全なオプションとなります。
これは、データセンターやサーバルーム機器のFortigateにもよく付与されるオプションとなります。
オンサイト契約には、大きく2種類の契約があります。
「24時間365日オンサイト契約」は、その名の通り「コールすれば、いつでも保守員が駆けつけてくれる」オプションです。
「平日9-17時オンサイト契約」は「Fortinet社が決める平日(一般的なものです)の9時から17時の間に、保守員が駆けつけてくれる」オプションです。
基本的には、基本保守のセンドバック保守とセットでの契約となりますので「基本保守+オンサイト保守」という考え方になります。
これも、年間契約となり、当然ながら、24時間365日のほうが高価になっていきます。
Fortigateの新機器リリース時期は?
Fortigateは当初から、機器名の一番最後にアルファベットを付けます。
このアルファベットは世代を表しており、新機器がリリースされると、このアルファベットが更新されていくのです。
Fortigateシリーズの新機器リリースのスパンは、該当機器がリリースされてから、概ね5年とされています。
5年経過し、陳腐化されたFortigateの旧版は、新機器リリースとともに生産終了し、最後の保守期間を終えるまで、保守部品の在庫としてストックされるだけ、になります。
このサイクルを覚えておくことで、選定している機器が「あとどれくらいで販売終了なのか?」「新機器のリリース時期はいつか?」を予測することができるのです。