FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ: 4.UTMの設定

Webフィルタとは
許可するWebサイトをフィルター(選別)することです。

Webフィルタリングの目的
社員に対し、業務に関係が無いサイトへのアクセスを禁止することです。
たとえば、FortiGuardカテゴリにある「アダルト/成人コンテンツ」や「一般的な趣味・関心」にある「ゲーム」「スポーツ」「オークション」などを禁止します。

加えて、セキュリティを守るためにも大事な機能です。
たとえば、攻撃者は自らが用意した不審なサイトに巧みに誘導し、ウイルスを感染させたり、情報を抜き取ったりします。それらのサイト(C&Cサーバ)への通信をFortiGateが自動で防御するのです。
 
FortiGateのWebフィルタリングでできること
・FortiGuardカテゴリ単位で、Webをフィルタリングする。
・ブラックリストとして、個別のURLのフィルタリングの設定
・上記のWebフィルタリングをポリシーとして、セグメント単位などのグループ単位で設定を適用
・設定したWebフィルタリングに対して、許可、ブロック、モニタ、警告、認証の5つの設定ができます。
・3つの検知モード(Inspection Mode)が選べます。負荷と検査の精度のバランスに応じて設定できます。
・その他、詳細な設定ができますが、詳しくは設定の記事で記載します。

ライセンス
Webフィルタリングを利用するには、別途ライセンスが必要です。
Webフィルタリング用のライセンス(1年更新)を購入するか、AVやIPSなどの機能が含まれたバンドル版を購入します。
フィルタリングするURLを手動で設定(ブラックリスト)をする場合は、ライセンスは不要です。

その他(詳細情報)
・Webフィルタリングのエンジンは独自です。
・フィタリングの情報は、定期的に更新されます。更新周期は非公開です。この点は、ここにも記載。

FortiGateを勉強する女性SE (21) 

WebフィルタとURLフィルタは別物って、どういう意味ですか?
FortiGateでは、WebフィルタとURLフィルタを分けています。
ライセンスを購入した場合はWebフィルタを利用します。基本はカテゴリベースです。
ライセンスを購入しなかった場合は、URLフィルタを利用します。ホワイトリストで書く必要があります。

WebフィルタとURLフィルタの切り替え
有償ライセンスを購入した場合、WebフィルタとURLフィルタの切り替えをProfile単位で設定することができます。
設定は、一番上の「FortiGuardカテゴリーによるフィルタ」を無効(灰色。ボタンをクリックで切り替え)します。加えて、下にある「URLフィルタ」を有効にします。
どちらも有効にすることはできません。(設定は可能ですが、上の「FortiGuardカテゴリーによるフィルタ」が機能します。
FortiGate-WebFilter4

URLフィルタリングはURLのフィルタです。つまり、たとえば以下がURLです。
http://www.viva-fortigate.com/archives/70705139.html

では、以下のURLフィルタはできるのでしょうか。
FortiGateでは、Webフィルタ(ライセンス購入)とURLフィルタ(ライセンス未購入)を分けています。以下の内容は、Webフィルタならすべてできますが、URLフィルタの場合は、以下のように可否があります。

IPアドレス
(例)192.168.1.1

→ 可能

IPアドレスが含まれるURL
(例)http://192.168.1.1/archives/70705139.html

→ 可能

ドメインおよびサブドメイン
(例)viva-fortigate.com

→ワイルドカードを使えば可能

サブフォルダ
(例)http://www.viva-fortigate.com/archives/
 ※完全なURLではなく、途中まで。

→途中までは無理。サブフォルダまでの完全一致であれば可能。

URLの一部が一致
(例)URLの一部にfortigateが含まれている場合。

→前後にワイルドカードを入れて「*fortigate*」という設定で可能。

IPSとは
IPS(Intrusion Prevention System)は、「侵入(Intrusion)」を「防御(Prevention)」するシステム(System)です。
主目的は、外部から公開Webサーバなどへの攻撃を防ぐことです。

外部からの攻撃と内部からの攻撃
上記で述べましたように、IPSは、基本は外からの攻撃パケットを防御します。
も防ぐために、内側にもIPS機能を有効にする場合があります。
たとえば、マルウェアに感染したPCが、外部のサーバへコマンドを送信して通信をします。そのコマンドや通信を検知してブロックします。

アクション
攻撃通信に対して、Blockすることも、ログに吐き出すだけの設定も可能です。
 
FortiGateのIPSでできること
・危険度やカテゴリ単位に応じて、IPSの設定ができます。
・カスタムシグネチャとして、脅威に対して自らがシグネチャを作成して適用することができます。
・上記のIPSをポリシーとして、セグメント単位などのグループ単位で設定を適用できます。
・また、外部からの通信だけでなく、内部からの通信にIPS機能を持たせることができます。

ライセンス
IPSを利用するには、別途ライセンスが必要です。

その他(詳細情報)
・IPSのエンジンは独自★
・IPSのシグネチャ情報は、定期的に更新されます(更新周期は★)

選択できるアクションは、下記5つです。
リセットは管理しているサーバー向け以外は利用しないと思います。
IPS3

★詳しくは別途記載

UTMには以下4種類の機能があります。

・AntiVirus
・IPS/AppCtrl
・WebFilter
・AntiSpam 

各UTM機能毎にライセンスが用意されています。

AntiVirusライセンス
 アンチウィルス、Bonet用のパターンファイルを受信できるようになります。
 これにより Policyにマッチしたトラフィックからウィルス検査、防御を実施できます。

IPS/AppCtrlライセンス
 IPS、アプリケーションコントロール用のシグニチャを受信できるようになります。
 これにより Policyにマッチしたトラフィックから IPSの防御を実施できます。
 同様にアプリケーションを識別し、制御可能になります。

 ※アプリケーション制御ですが、FOSI(FortiGateのOS)のバージョン5.6から無償化されます。これは、OSをバージョンアップすれば、無償で利用できます。

WebFilterライセンス
 WebFilter用のカテゴリ制御が可能になります。
 ※ライセンスを適用しない場合、URLフィルタ(手動登録)機能を利用できます。

AntiSpam ライセンス
 AntiSpam用の DB制御が可能になります。
 
ライセンス

全てのライセンスが適用されている場合、上記画面になります。
※各ライセンス項目がグリーンのチェックマークになります。
 

■1.デフォルトのプロファイルを使う場合
例として、LANからWANに通信するFWポリシーにAVを設定します。
①ポリシーの画面を開く
FortiGate-AntiVirus-FirewallPolicy3
②セキュリティプロファイルの上にマウスを重ねると、プロファイルを選ぶことができます。
FortiGate-AntiVirus-FirewallPolicy6
③該当プロファイルを選択すると、次のような画面になります。
FortiGate-AntiVirus-FirewallPolicy8

■2.独自のプロファイルを使う場合
①プロファイルを作成します。
 Security Profiles>AntiVirus からプロファイルを作成します。
詳しくは以下。
http://www.viva-fortigate.com/archives/15906964.html

②ポリシーの有効化(方法1)
 先ほど「1」と同じように、ポリシーの画面で、作成したAVのプロファイルを有効にします。

②ポリシーを編集(方法2)
 または、ポリシーの編集画面で、適用します。
FortiGate-AntiVirus-FirewallPolicy4

・上記のアンチウイルスのボタンを右に(つまりONに)すると、以下になり、AVのプロファイルを選択できます。
FortiGate-AntiVirus-FirewallPolicy2

「ダッシュボード」「ライセンス情報」から確認できます。
license













各項目で緑のチェックマークだと、契約期間内を意味し、
赤のマークだと、契約をしていない・契約が切れている事を意味します。

スポンサードリンク

↑このページのトップヘ