FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:4.UTMの設定 > 4.3 IPSの設定

IPSとは
IPS(Intrusion Prevention System)は、「侵入(Intrusion)」を「防御(Prevention)」するシステム(System)です。
主目的は、外部から公開Webサーバなどへの攻撃を防ぐことです。

外部からの攻撃と内部からの攻撃
上記で述べましたように、IPSは、基本は外からの攻撃パケットを防御します。
も防ぐために、内側にもIPS機能を有効にする場合があります。
たとえば、マルウェアに感染したPCが、外部のサーバへコマンドを送信して通信をします。そのコマンドや通信を検知してブロックします。

アクション
攻撃通信に対して、Blockすることも、ログに吐き出すだけの設定も可能です。
 
FortiGateのIPSでできること
・危険度やカテゴリ単位に応じて、IPSの設定ができます。
・カスタムシグネチャとして、脅威に対して自らがシグネチャを作成して適用することができます。
・上記のIPSをポリシーとして、セグメント単位などのグループ単位で設定を適用できます。
・また、外部からの通信だけでなく、内部からの通信にIPS機能を持たせることができます。

ライセンス
IPSを利用するには、別途ライセンスが必要です。

その他(詳細情報)
・IPSのエンジンは独自★
・IPSのシグネチャ情報は、定期的に更新されます(更新周期は★)

選択できるアクションは、下記5つです。
リセットは管理しているサーバー向け以外は利用しないと思います。
IPS3

★詳しくは別途記載

Security Profiles>Intrusion Protectionを開きます。
fortigate_ips
















IPS設定はまず、重要度(攻撃の深刻度合)を設定することから始めます。
IPS1
 
重要度の選択に応じて、対応するシグニチャも変更します。
Bashなど深刻なものへの対応のため、重要度の High、Criticalは適応した方が良いです。

シグニチャの詳細は以下で確認できます。
http://www.fortiguard.com/encyclopedia/

アクションは初期設定で 「シグニチャ デフォルト」 が選択されています。
これはシグニチャの内のデフォルト項目に表示される内容で処理されることを指します。

IPS2

誤検知を防ぐため新しいシグニチャは「モニター」アクションになっています。
これは誤検知を嫌うためで、自動でブロックに変化します。

必要に応じて個別にアクションを変更できます。
※カスタムで IPSを作成することも可能です。

選択できるアクションは、下記5つです。
リセットは管理しているサーバー向け以外は利用しないと思います。
IPS3



 

★準備中


スポンサードリンク

↑このページのトップヘ