FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:4.UTMの設定 > 4.2 WebFilterの設定

設定したWebフィルタリングに対して、許可、ブロック、モニタ、警告、認証の5つの設定ができます。
①許可:通信を許可します。
②ブロック:通信を止めます。
③モニタ:通信を許可しますが、アクセスコンテンツ含め、ログに出力します。
④警告:利用者のWeb画面上に警告メッセージを出し、注意喚起を行います。
⑤認証:IDとパスワード認証します。認証に成功すると、Webサイトが表示されます。

以下に補足します。
・メッセージは、GUIのシステム内の差し替えメッセージで確認でき、直接編集も可能です。

wf_msg_edit

ForiGateのWebFilterでは、プロキシ、フローベース、DNSの3つの検知モード(Inspection Mode)があります。
前の方が検査の精度が高くなります。しかし、処理負荷も高くなります。
実際に動作をさせてみて、処理の負荷に応じてモードを切り替えるのも方法の一つです。
※ただ、セキュリティの観点から、推奨は検査精度がもっとも高いプロキシモードです。

プロキシモード
プロキシはもっとも多くの設定、検査が出来るモードですが、変わりに機器の負荷はもっとも高くなります。
※ユーザー認証機能を利用する場合はプロキシモード以外選択できません。

フローベースモード
カテゴリ処理、レーティング処理のみ利用するのであれば、本モードで十二分に効果があります。
また、機器の処理負荷もプロキシモードと比較して小さくなります。

DNSモード
機器への負荷がもっとも少ないモードです。このモードではセーフサーチ機能が利用できません。

コンテンツフィルタとは、たとえば、「ギャンブル」「株」などの業務をするうえで、不適切なキーワードを含むサイトへのアクセスを禁止します。

【設定】
・コンテンツフィルタはForiGateではDLPの設定で実施をします。
・ただし、システムの設定で、プロキシモードとフローモードの2つがあって、コンテンツフィルタ(DLP)を有効にするには、プロキシモードである必要があります。
・デフォルトではDLPはメニューに表示されていないので、以下の画面からDLPをONにします。
29
※詳細は、余裕があれば記載します。

基本的にはできない
URL情報は、HTTPのデータ部分に入っています。なので、SSL通信では、IPアドレスなどのIPヘッダではフィルタができますが、URLでのフィルタができません。
そこで、SSLインスペクションです。

SSLインスペクションには2つあります。
DeepInscpectionとCertificateです。「SSL/SSH インスペクション」タブから。右上のプルダウンで選択します。
6




DeepInscpection
DeepInscpectionは、SSLのデコードをします。つまり、通信をいったん終端し、SSLを復号します。
7


Certificate
Certificateは証明書を確認する仕組みです。SSLは基本的にURLフィルタができません。それは、URLが含まれているHTTPのデータ部分は暗号化されているからです。でも、これを有効にすると、接続サーバの証明書を確認します。そこで、CNを見ることで、その証明書のFQDNを確認します。よって、ドメインまではチェックできます。
→けっこうちゃんと動きますよ。ログにも接続先のFQDNがきちんと出ます。
PC側に証明書やProxyの設定を入れなくてもできます。
8

Q.SSLのフルインスペクションをしようと思っています。
ですが、「custom-deep」「deep-inspection」が選べません。

A.システム>表示機能設定>複数セキュリティプロファイルをONにしましょう。
ローエンドの製品の場合は、デフォルトでオフになっています。

スポンサードリンク

↑このページのトップヘ