今日も明日もITインフラ

ITインフラについての備忘録です

FortiGateのデバッグ情報を見ていく#7【show full-configuration system global vol.2】

はじめに

diagnose debug reportを実行したときに、
実際に取得される情報について調べる企画、第7回目です。

前回からshow full-configuration system globalの結果を
4回にわたって確認しています。今回はVol.2です。

show full-configuration system global

このコマンドはFortiGateの基本設定の確認が行えます。

では実行結果を見ていきましょう。
今回も公式CLI Referenceを参考にしました。
docs.fortinet.com

### show full-configuration system global


#CLI変更の構成ファイル保存モード(こんなのあるのか!)
    set cfg-save automatic

#プロトコルヘッダーに対して実行されるチェックのレベル
    set check-protocol-header loose

#ICMPエラーメッセージの検証の有効/無効。厳密なRST範囲チェック。
    set check-reset-range disable

#CLI監査ログの有効/無効
    set cli-audit-log disable

#FortiGateが行うクラウドへの通信の有効/無効
    set cloud-communication enable

#Web管理画面にHTTPSでログイン際にクライアント証明書を要求するかどうか
    set clt-cert-req disable

#CPU使用率の閾値(オートメーションで使う?)
    set cpu-use-threshold 90

#証明書のCA属性の有効/無効(CA属性をもつCSRを拒否するCAサーバがあるらしい)
    set csr-ca-attribute enable

#FortiGateの日時再起動の有効/無効
    set daily-restart disable

#デフォルトのサービス送信元ポート範囲
    set default-service-source-port 1-65535

#デバイスのユーザーを自動的にログアウトさせるためのタイムアウト時間
    set device-idle-timeout 300

#Diffie-Hellmanの鍵長
    set dh-params 2048

#DNSプロキシプロセスが実行されるCPUの数
    set dnsproxy-worker-count 1

#夏時間の有効/無効
    set dst enable

#IPS、アプリケーションコントロール、
#アンチウイルスデータのFortiGuardへの送信の有効/無効
    set fds-statistics enable

#前方誤り訂正のUDPポート
    set fec-port 50000

#FortiGuardから取得するアラートのタイプ
    unset fgd-alert-subscription

#FortiExtenderの有効/無効
    set fortiextender enable

#FortiExtenderコントローラのデータポートを指定
    set fortiextender-data-port 25246

#FortiExtenderでのVLAN機能の有効/無効
    set fortiextender-vlan-mode disable

#FortiClientエンドポイントコンプライアンスで利用するポート
    set fortiservice-port 8013

#FortiToken Cloudサービスの有効/無効
    set fortitoken-cloud enable

#デフォルトホスト名の使用時にGUIでの警告の有効/無効
    set gui-allow-default-hostname disable

#Web管理画面で証明書の有効/無効
    set gui-certificates enable

#Web管理画面でのカスタム言語の有効/無効(なにそれ)
    set gui-custom-language disable

#Web管理画面で使用される日付の形式
    set gui-date-format yyyy/MM/dd

#Web管理画面で表示される日付のソース
    set gui-date-time-source system

#FortiGateの位置の緯度を追加して脅威マップに配置
    set gui-device-latitude ''

#FortiGateの位置の経度を追加して脅威マップに配置
    set gui-device-longitude ''

#ログインページでのFortiGateのホスト名の表示の有効/無効
    set gui-display-hostname disable

#GUIでのFortiSandbox Cloudの表示の有効/無効
    set gui-fortisandbox-cloud disable

#GUIでのIPv6設定の有効/無効
    set gui-ipv6 disable

#Web管理画面のページごとの表示行数※どこ?
    set gui-lines-per-page 50

#Web管理画面のテーマ色
    set gui-theme green

#GUIでのワイヤレスオープンセキュリティの有効/無効※どこ?
    set gui-wireless-opensecurity enable

#Don't-Fragment(DF)フラグの受け入れ有効/無効
    set honor-df enable

#FortiGateのホスト名
    set hostname "FW01"

#IGMPメンバーシップの最大数
    set igmp-state-limit 3200

#FortiGateから発信されるトラフィックのソースポートの範囲
    set ip-src-port-range 1024-25000

所感

今回も知らない設定がありました。cfg-saveがかなり気になります。

#CLI変更の構成ファイル保存モード
    set cfg-save automatic

cfg-saveには{automatic/manual/revert}の3つのオプションがあり、
automaticは設定変更後、設定が反映され、コンフィグにも保存される
manualは設定は反映されるが、再起動したら設定が元通りになる※L2SW的な感じ?
revertは設定は反映されるが、cfg-revert-timeoutの時間経過後、元通りになるといった動きをするようです。

ただ、試しにやってみたら、確かに元通りにはなったのですが、
元通りになる最中はFortiGateが通信を行えなくなりました(当たり前か)

やっぱりautomaticでの慣れた運用が一番ですかね

他にもへーと思った設定項目。

#プロトコルヘッダーに対して実行されるチェックのレベル
    set check-protocol-header loose

#ICMPエラーメッセージの検証の有効/無効。厳密なRST範囲チェック。
    set check-reset-range disable

#FortiGateが行うクラウドへの通信の有効/無効
    set cloud-communication enable

#IPS、アプリケーションコントロール、
#アンチウイルスデータのFortiGuardへの送信の有効/無効
    set fds-statistics enable

cloud-communication、fds-statisticsあたりは、
「外部と通信させたくない」という環境では有用なんじゃないでしょうか。

え?なにこの設定?
どこに設定変更が反映されるの??という設定

#Web管理画面でのカスタム言語の有効/無効(なにそれ)
    set gui-custom-language disable

#Web管理画面のページごとの表示行数※どこ?
    set gui-lines-per-page 50

#GUIでのワイヤレスオープンセキュリティの有効/無効※どこ?
    set gui-wireless-opensecurity enable

さいごに

結局、よっぽどのことがなければデフォルトで運用するんじゃないだろうか。