FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

操作、設定の順番は、以下です。(設定の概要を示しています)
① SSL VPN用のユーザー、ユーザーグループ情報の作成
② SSLポータル情報の作成
③ SSL VPNの設定
 どのインターフェースで SSL VPNを受けて、どのユーザーと SSLポータルを関連付けるか設定します
④ ③の情報を基に、Firewall Policyを作成します

① SSL VPN用のユーザー、ユーザーグループ情報の作成
User-1User-2User-3User-4User-5

User-6

② SSLポータル情報の作成
SSL-Potal1SSL-Potal2SSL-Potal3SSL-Potal4
③ SSL VPNの設定 
どのインターフェースで SSL VPNを受けて、どのユーザーと SSLポータルを関連付けるか設定します

SSL-Conf1SSL-Conf4SSL-Conf5SSL-Conf6SSL-Conf7
④ ③の情報を基に、Firewall Policyを作成します
SSL-Policy1SSL-Policy3

FortiGateをプロキシサーバとして動作させます。
キャッシュ機能を有効にすることはあまりお勧めではありませんが、通信を終端してプロキシ機能を有効にします。既存プロキシサーバを統合する目的での利用が多いことでしょう。

① 設定の有効化
「システム」「FeatureVisibility」にてExplicitプロキシをオンにすることで設定画面項目をGUIに表示する

ExplicitProxy有効化

② プロキシサーバとしての設定

まず、機能として有効化する
次にプロキシサーバとして通信を受けるインタフェースを選択して、利用するポート番号など、プロキシーサーバとしての基本事項を設定する。
PACファイルを利用したい場合にも対応可能
①②でプロキシサーバとして有効化、動作する状態となっているため、続いてプロキシサーバとしての通信ポリシーを以下にて設定する
ExplicitProxy設定

③ プロキシサーバの通信ポリシー

ポリシー&オブジェクトのプロキシポリシーにて専用ポリシーを設定する
出力インタフェース、送信元、宛先アドレスを指定し、プロキシー通信に適用したいセキュリティ機能を設定する(例:アンチウィルス、ウェブフィルタ)
※明示的にクライアントブラウザでプロキシサーバを設定する利用方法がプロキシタイプのExplicitWebであり、指定せずに透過的にプロキシ処理する
 方法は、トランスペアレントWebであり、タイプで選択可能また、通信ログに関してもWebフィルタを有効化することでコンテンツレベルのログまで取得可能
ProxyPolicy設定


④ プロキシサーバのポリシーリスト確認

ProxyPolicyList

↑このページのトップヘ