1.AVの設定方法
(1)デフォルトのプロファイルを使う場合
例として、LANからWANに通信するFWポリシーにAVを設定します。
①ポリシーの画面を開く
②セキュリティプロファイルの上にマウスを重ねると、プロファイルを選ぶことができます。
③該当プロファイルを選択すると、次のような画面になります。
(2)AV機能のテスト
アンチウイルス機能が有効かどうかを確認しましょう。
ウイルスに感染させなければいけませんね
実際は、そうはいきません。
そこで、eicarというテストウイルスを使いましょう。もちろん、本当のウイルスではありません。テスト用に作成されていますので、検査はできます。
ページがころころ変わるのですが、以下を見てください。
https://www.eicar.org/?page_id=3950
「Download area using the standard protocol http」のあたりから、(どれでもいいのですが、)「eicar.com.txt」をクリックしてダウンロードしましょう。
Fortigateがブロックしてくれれば成功です。
(3)独自のプロファイルを使う場合
①プロファイルを作成します。
Security Profiles>AntiVirus からプロファイルを作成します。
②ポリシーの有効化(方法1)
先ほど「1」と同じように、ポリシーの画面で、作成したAVのプロファイルを有効にします。
②ポリシーを編集(方法2)
または、ポリシーの編集画面で、適用します。
・上記のアンチウイルスのボタンを右に(つまりONに)すると、以下になり、AVのプロファイルを選択できます。
2.AVのプロファイルの設定
Security Profiles>AntiVirusを開きます。
ここで設定を行います。AntiVirusの設定に関しては、デフォルトの設定をそのままでいいのですが、Botnet C&Cサーバーへの検知機能は有効にしたほうが良いです。
・Inspection Modeに関しては、記事の後半を確認してください。
・AVによってチェックするプロトコル(HTTPやSMTP)を選択します。
OS5.4の場合は、画面が多少変わり、以下になっています。
あれ?Inspection Modeなどの設定がありませんが・・・
Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定するように変わりました。(CLIはプロファイル単位での設定が可能です)
デフォルトはプロキシモード(精度が高い検査)になっています。その設定を変更するには、Dashboardのシステム情報から行います。
3.AntiVirusのInspection Mode
AntiVirusの検知モード(Inspection Mode)には、Flow-based(フローモード)とプロキシモードの2つがあります。
Security Profiles>AntiVirusを開きます。
両者の違いですが、フローベースはプロキシベースに比べて簡易検索になります。
とはいえ、シグネチャは同じものを使っており、他社に比べて十分な検知率です。
正確な両者の違いは、以下に記載があります。
・Flow-based モード
パケット単位の処理を行います。
一部の圧縮ファイル(ZIPなど)も対象とでき、高速な検査を実施できます。
※CIFSはこのモードのみ検査対象にできます。
・プロキシ モード
パケットをバッファに溜め、データに構築してから処理を行います。
パスワード付き圧縮ファイルなども検査対象です。
用途を分け、Flow-based モードは HTTPなど Webアクセスに、プロキシ モードは
Mailプロトコルに適用することでパフォーマンスを発揮できると思われます。
▼OSの5.4では、以下の設定
Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定するように変わりました。
①ダッシュボードのシステム情報から変更します。インスペクションモードの「変更」をクリック。
②インスペクションモードを選びます