FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:4.UTMの設定 > 4.2 WebFilterの設定

Webフィルタとは
許可するWebサイトをフィルター(選別)することです。

Webフィルタリングの目的
社員に対し、業務に関係が無いサイトへのアクセスを禁止することです。
たとえば、FortiGuardカテゴリにある「アダルト/成人コンテンツ」や「一般的な趣味・関心」にある「ゲーム」「スポーツ」「オークション」などを禁止します。

加えて、セキュリティを守るためにも大事な機能です。
たとえば、攻撃者は自らが用意した不審なサイトに巧みに誘導し、ウイルスを感染させたり、情報を抜き取ったりします。それらのサイト(C&Cサーバ)への通信をFortiGateが自動で防御するのです。
 
FortiGateのWebフィルタリングでできること
・FortiGuardカテゴリ単位で、Webをフィルタリングする。
・ブラックリストとして、個別のURLのフィルタリングの設定
・上記のWebフィルタリングをポリシーとして、セグメント単位などのグループ単位で設定を適用
・設定したWebフィルタリングに対して、許可、ブロック、モニタ、警告、認証の5つの設定ができます。
・3つの検知モード(Inspection Mode)が選べます。負荷と検査の精度のバランスに応じて設定できます。
・その他、詳細な設定ができますが、詳しくは設定の記事で記載します。

ライセンス
Webフィルタリングを利用するには、別途ライセンスが必要です。
Webフィルタリング用のライセンス(1年更新)を購入するか、AVやIPSなどの機能が含まれたバンドル版を購入します。
フィルタリングするURLを手動で設定(ブラックリスト)をする場合は、ライセンスは不要です。

その他(詳細情報)
・Webフィルタリングのエンジンは独自です。
・フィタリングの情報は、定期的に更新されます。更新周期は非公開です。この点は、ここにも記載。

FortiGateを勉強する女性SE (21) 

WebフィルタとURLフィルタは別物って、どういう意味ですか?
FortiGateでは、WebフィルタとURLフィルタを分けています。
ライセンスを購入した場合はWebフィルタを利用します。基本はカテゴリベースです。
ライセンスを購入しなかった場合は、URLフィルタを利用します。ホワイトリストで書く必要があります。

WebフィルタとURLフィルタの切り替え
有償ライセンスを購入した場合、WebフィルタとURLフィルタの切り替えをProfile単位で設定することができます。
設定は、一番上の「FortiGuardカテゴリーによるフィルタ」を無効(灰色。ボタンをクリックで切り替え)します。加えて、下にある「URLフィルタ」を有効にします。
どちらも有効にすることはできません。(設定は可能ですが、上の「FortiGuardカテゴリーによるフィルタ」が機能します。
FortiGate-WebFilter4

URLフィルタリングはURLのフィルタです。つまり、たとえば以下がURLです。
http://www.viva-fortigate.com/archives/70705139.html

では、以下のURLフィルタはできるのでしょうか。
FortiGateでは、Webフィルタ(ライセンス購入)とURLフィルタ(ライセンス未購入)を分けています。以下の内容は、Webフィルタならすべてできますが、URLフィルタの場合は、以下のように可否があります。

IPアドレス
(例)192.168.1.1

→ 可能

IPアドレスが含まれるURL
(例)http://192.168.1.1/archives/70705139.html

→ 可能

ドメインおよびサブドメイン
(例)viva-fortigate.com

→ワイルドカードを使えば可能

サブフォルダ
(例)http://www.viva-fortigate.com/archives/
 ※完全なURLではなく、途中まで。

→途中までは無理。サブフォルダまでの完全一致であれば可能。

URLの一部が一致
(例)URLの一部にfortigateが含まれている場合。

→前後にワイルドカードを入れて「*fortigate*」という設定で可能。

設定は、AVの設定と同様に、ポリシーに対して、作成したプロファイルを割り当てます。
プロファイルの作成方法は以下です。

Security Profiles>Web Filetrを開きます。
fortigate_WebFilter
上部にあるInspection Modeは、プロキシ、フローベース、DNSの3つがあります。
違いについては以下です。
http://www.viva-fortigate.com/archives/70704915.html

※OSの5.4から、Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定するように変わりました。設定はAVの設定を確認ください。
http://www.viva-fortigate.com/archives/16818632.html

セーフサーチ
Safe1
この機能を有効にすると、Getメソッドに Safe=Active のフラグを有効にしたパケットを、検索エンジンへ送信します。
Fortigate_Safe2
セーフサーチに対応した検索サイトであれば、好ましくない検索結果を応答しないようにします。
※Goole、Yahooなどなど。

レーティング
rathing
何らかの理由で FortiGuardのカテゴリ判定が受けられない場合に、どう処理をさせるかを設定できます。
レーティングエラー時に一時的に Webサイトを許可することもできます。

またドメインと IPアドレスで URLをレーティングすることで悪意のあるサイトの IPアドレスの変化に対応できます。

プロキシオプション
Fortigate_ProxyOption
コンテンツ処理を行うことができます。
特定カテゴリに含まれるサイトのみ、Postアクションを制御し、例えばサイトを読むことは可能だが書込み(掲示板など)のみ禁止することができます。 

FortiGateでは、Webフィルタリングの設定を、グループ単位やIP単位などで、個別に適用することができます。その方法を紹介します。
方法は、制御したいポリシーを作成し、そのポリシーに対して適用するWebフィルタリングのプロファイルを適用します。

FortiGateでは、「FortiGuard カテゴリーによるフィルタ」として、以下のカテゴリが用意されています。
FortiGateを勉強する女性SE (はてな) 

世の中には数えきれないくらいのURLがあると思います。
それらのURLがどこカテゴリになるのか、FortiGateは記憶しているのですか?
いいえ、FortiGateはどの URLがどのカテゴリに属するかを全て把握しているわけではありません。
仕組みは以下です。
① ある URLへの接続が発生
② FortiGateは Webフィルタで URL情報を検知
③ FortiGateは該当 URLの情報を FortiGuardセンター(Fortinetの有するセキュリティセンタ)に照会
④ FortiGuradセンターから該当 URLの照会結果(どのカテゴリの URLか)回答
⑤ FortiGateは回答結果から URLのカテゴリ情報を判断し、設定に基づいたアクションを実行

③の処理を行う事で、FortiGateは全ての URL情報を把握していないくても、カテゴリ制御をうまく制御できるようにしています。

また都度、③の FortiGuardセンターに照会していると通信遅延に陥る場合も考えられるため、④の照会結果を FortiGateではデフォルト 3600秒(1時間)学習し、同じ URLへの接続がある場会は、学習された結果を利用することで無駄な処理を低減しています。
※学習時間は任意に変更可能です。メモリを圧迫するような状況の場合は学習時間を短くすることをお勧めします。

大カテゴリ
■ローカルカテゴリ
■違法性・犯罪性の高いサイト
■成人/アダルトコンテンツ
■帯域を消費しやすいサイト
■セキュリティ上問題のあるサイト
■一般的な趣味・関心 - 個人
■一般的な趣味・関心 - ビジネス
■未分類

サブカテゴリ
■ローカルカテゴリ
 ※独自に作成したカテゴリのことです。

■違法性・犯罪性の高いサイト
・テロと過激論者(過激派グループ)
・ドラッグ (薬物乱用)
・ハッキング・不正アクセス
・プロキシサーバ回避
・児童虐待
・剽窃・盗作
・差別
・明示的な暴力
・違法・非倫理的

■成人/アダルトコンテンツ
・その他アダルトマテリアル
・アルコール
・ギャンブル
・タバコ
・ヌード(裸体)
・ポルノ
・下着・水泳着
・中絶
・兵器(販売)
・出会い
・唱道団体
・大麻(マリファナ)
・性教育
・民間信仰
・狩り・戦争ゲーム

■帯域を消費しやすいサイト
・ストリーミングメディア.ダウンロード
・インターネットラジオ/テレビ
・インターネット電話(IP電話)
・ファイル共有と保存
・フリーウェア・ソフトウェアダウンロード
・P2Pファイル共有

■セキュリティ上問題のあるサイト
・スパム URL
・ダイナミックDNS
・フィッシング(詐欺)
・悪意のあるサイト

■一般的な趣味・関心 - 個人
・インスタントメッセージング
・ウェブチャット
・ウェブベースメール
・エンタテインメント
・オンラインブローカー・取引(仲買業)
・オークション
・ゲーム
・コンテンツサーバ
・ショッピング
・スポーツ
・ソーシャル・ネットワーキング
・ドメイン.パーキング
・ニュースとメディア
・ニュースグループ・伝言板
・リファレンスサイト(辞書サービス等)
・レストラン・飲食
・不動産
・世界宗教
・個人サイト.ブログ
・個人個人プライバシー
・個人用の乗り物
・健康とウエルネス
・児童教育
・動的コンテンツ
・広告
・政治団体
・教育
・旅行
・民間伝承
・求人情報
・無意味なコンテンツ
・社会・ライフスタイル
・芸術と文化
・薬剤・サプリメント
・電子ポストカード

■一般的な趣味・関心 - ビジネス
・IT
・ウェブベースのアプリケーション
・ウェブホスティング
・サーチエンジン・ポータルサイト
・ビジネス
・一般的な組織
・安全サイト
・情報・コンピュータセキュリティ
・政府機関と法的組織
・軍事機関(軍隊)
・金融・バンキングサービス(財政と銀行業)

■未分類
 ※独自に分類できるカテゴリです。

個別のWebフィルタリスト(ブラックリストやホワイトリスト)の作成方法です。ライセンスを購入している場合を想定しています。

①セキュリティプロファイル > Webレーティングオーバーライド を開きます。
FortiGate-WebFilter1

②登録したいURLを入力し、任意のカテゴリに入れます。
たとえば、禁止するブラックリストを作りたい場合、未分類に入れて、次のアクションでブロックします。
FortiGate-WebFilter2

③該当カテゴリ(今回は「未分類」)のアクションをブロックにします。
FortiGate-WebFilter3

④有効にするには、ポリシーで適用します。(AVの設定と同様)

FortiGateを勉強する女性SE (はてな) 

質問です。
①レーティング検索はどういう意味ですか?
②カテゴリに入れずに、そのURLを直接禁止する設定はできませんか?


①に関して、現在はどのカテゴリに入っているかを確認します。4300万ものURLが登録されていますので、どこかのカテゴリが選ばれる可能性が高いと思われます。
②Webフィルタリングではできません。Webフィルタリングを無効にして、URLフィルタリングでは可能です。

「Webフィルタ」のメニューから「スタティックURLフィルタ」にて「新規URLフィルタ」をクリック。ここで、「URL」にホワイトリストまたはブラックリストにしたいURLを入力します。
(例)http://sc.seeeko.com
※正規表現なども使えます。
16
ここで、URLを入れて、OKを押すと、以下の画面になります。
今回は、名前を「不正サイト」とし、「適用」ボタンを押して登録した画面が以下です。
21












次にポリシーにて、作成した「不正サイト」のポリシーを適用します。
04



スポンサードリンク

↑このページのトップヘ