1.SSLインスペクションの概要
インスペクションには、証明書インスペクション(Certificate Inspection)と、フルインスペクション(deep-inspection)があります。
証明書インスペクションは、利用者のPCに証明書を入れなくていいので、導入のハードルが下がります。ただ、証明書(Certificate)ベースのインスペクションが有効なのは、WEBフィルタ、アプリケーションコントロールのみ
それ以外のAntiVirus、IPS、アンチスパムは、フルインスペクションが必要
2.deepインスペクションの設定
今回は単純なやり方で、ポリシーにSSLフルインスペクションを設定します。
(1)FortiGateの設定
設定は簡単で、「ポリシー&オブジェクト」>「IPv4ポリシー」で、該当するポリシーにて「deep-inspection」を有効にします。
①セキュリティプロファイルの部分の鉛筆のようなマークをクリック
②「deep-inspection」を選択します。
設定を有効にした画面です。
また、今回はwebサイトにアクセスしたい際のURLフィルタでフルインスペクションをします。よって、「Webフィルタプロファイル」も「defalut」でいいので有効にしておきます。
設定は以上です。
(2)実際に動作させてみましょう。
SSL/TSL(つまりHTTPS)を使っている銀行のオンラインバンキングのページや、Googleなどのサイトにアクセスしてみましょう。
ブラウザによってメッセージが異なりますが、IEの場合は以下のような警告メッセージが出ます。
(3)証明書を入れます。
FortiGateのルート証明書をまずは取得しましょう。
①SSLインスペクションを設定したポリシーのところで、マウスを合わせます。「確認」ボタンを押します。②証明書をダウンロードします。
③これをダウンロードしてダブルクリックをしてインストールします。
④全般的な流れは以下に記載しています。
https://nw.seeeko.com/archives/50540600.html#1%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AE%E5%BE%A9%E5%8F%B7%E6%A9%9F%E8%83%BD