Scribble at 2022-06-16 14:08:52 Last modified: 2022-06-16 14:12:29

何年か前に練習用として購入した FortiGate 60D という小型の UTM アプライアンスが会社にあって、既に２年前にリモート・ワークが導入されて事業所を移転した際に使わなくなっている。もともとは、HUB から伸ばしてきて僕のパソコンに繋いでいる LAN ケーブルを 60D に繋いで、60D から僕のパソコンに再び LAN ケーブルで接続するように組んでいた。要するに、透過的に UTM を接続するしくみである。これで、どういう設定の内容に変更しても（たとえば設定が失敗しても）、僕のパソコンでの通信にしか影響が出ないようにしてあった。

中古としてアマゾンで購入した機器であるため、当たり前だがライセンスは既に失効している。そのため、アンチ・ウイルスのシグネチャも古いままであり、他にもウェブサイトのレーティングという機能が動かないため、レーティングの結果は全てエラーとなる。よって、レーティングの結果にかかわらずウェブサイトへのアクセスを許可するように変更しないと、全てのサイトにアクセスできなくなってしまう。でも、こんな設定を有効にしたら、レーティングが有効であっても無意味になるため、UTM としての相当な機能の縮小となる。

簡単に言うと、ライセンスが失効したままでも FortiGate は使えるが、古いシグネチャでのウイルス判定とか、ポート番号で通信を許可するのしないのを処理するしかできないため、実質的には Windows に最初から入ってるファイアーウォールと機能は大差なくなる。かろうじて、ドメインで接続先の判定ができるという点だけ Windows のファイアーウォールよりも優れているくらいだ。よって、この状況で FortiGate を使っていても「セキュリティ劇場」との誹りは免れられないと思う。ドメインだけで接続を遮断するなら、Windows の場合は僕もやっているように、hosts ファイルで接続したくないドメインを 0.0.0.0 に飛ばしてしまえばいいのだから、FortiGate を使わなければいけないという理由は殆どゼロになるからだ（僕の環境では hosts ファイルは約 2 MB になっていて、８万くらいの FQDN を遮断している。もちろん、その中には正当なアクセスの設定、たとえば "127.0.0.1 localhost" なども含まれるが）。

それでも、この機器の管理システムである FortiOS の画面を操作する練習だとか、アクセス・ポリシーを組み立てる練習には使える。もちろん、コマンドラインだけで全ての設定をしてしまうなら、恐らく GNS3 のようなネットワーク運用のシミュレータに追加できるアプライアンス・パッケージを使えばよいだろう。