FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

AVの設定

1.AVの設定方法

(1)デフォルトのプロファイルを使う場合

例として、LANからWANに通信するFWポリシーにAVを設定します。
①ポリシーの画面を開く

FortiGate-AntiVirus-FirewallPolicy3
②セキュリティプロファイルの上にマウスを重ねると、プロファイルを選ぶことができます。
FortiGate-AntiVirus-FirewallPolicy6
③該当プロファイルを選択すると、次のような画面になります。
FortiGate-AntiVirus-FirewallPolicy8

(2)AV機能のテスト

アンチウイルス機能が有効かどうかを確認しましょう。
FortiGateを勉強する女性SE (10) 

ウイルスに感染させなければいけませんね
実際は、そうはいきません。
そこで、eicarというテストウイルスを使いましょう。もちろん、本当のウイルスではありません。テスト用に作成されていますので、検査はできます。
ページがころころ変わるのですが、以下を見てください。
https://www.eicar.org/?page_id=3950
「Download area using the standard protocol http」のあたりから、(どれでもいいのですが、)「eicar.com.txt」をクリックしてダウンロードしましょう。
eicar


Fortigateがブロックしてくれれば成功です。

(3)独自のプロファイルを使う場合

①プロファイルを作成します。
 Security Profiles>AntiVirus からプロファイルを作成します。

②ポリシーの有効化(方法1)
 先ほど「1」と同じように、ポリシーの画面で、作成したAVのプロファイルを有効にします。

②ポリシーを編集(方法2)
 または、ポリシーの編集画面で、適用します。
FortiGate-AntiVirus-FirewallPolicy4

・上記のアンチウイルスのボタンを右に(つまりONに)すると、以下になり、AVのプロファイルを選択できます。
FortiGate-AntiVirus-FirewallPolicy2











2.AVのプロファイルの設定

 Security Profiles>AntiVirusを開きます。
ここで設定を行います。AntiVirusの設定に関しては、デフォルトの設定をそのままでいいのですが、Botnet C&Cサーバーへの検知機能は有効にしたほうが良いです。

・Inspection Modeに関しては、記事の後半を確認してください。

・AVによってチェックするプロトコル(HTTPやSMTP)を選択します。
fortigate_av
OS5.4の場合は、画面が多少変わり、以下になっています。
av_profile
FortiGateを勉強する女性SE (はてな) 

あれ?Inspection Modeなどの設定がありませんが・・・
Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定するように変わりました。(CLIはプロファイル単位での設定が可能です)
デフォルトはプロキシモード(精度が高い検査)になっています。その設定を変更するには、Dashboardのシステム情報から行います。

3.AntiVirusのInspection Mode

AntiVirusの検知モード(Inspection Mode)には、Flow-based(フローモード)とプロキシモードの2つがあります。

Security Profiles>AntiVirusを開きます。
fortigate_av2

両者の違いですが、フローベースはプロキシベースに比べて簡易検索になります。
とはいえ、シグネチャは同じものを使っており、他社に比べて十分な検知率です。
正確な両者の違いは、以下に記載があります。

・Flow-based モード
 パケット単位の処理を行います。
 一部の圧縮ファイル(ZIPなど)も対象とでき、高速な検査を実施できます。
 ※CIFSはこのモードのみ検査対象にできます。

・プロキシ モード
 パケットをバッファに溜め、データに構築してから処理を行います。
 パスワード付き圧縮ファイルなども検査対象です。

用途を分け、Flow-based モードは HTTPなど Webアクセスに、プロキシ モードは
Mailプロトコルに適用することでパフォーマンスを発揮できると思われます。

▼OSの5.4では、以下の設定
Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定するように変わりました。
①ダッシュボードのシステム情報から変更します。インスペクションモードの「変更」をクリック。
FortiGate-InspectionMode1

  
②インスペクションモードを選びます
FortiGate-InspectionMode2