FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

SSLインスペクション

1.SSLインスペクションの概要

インスペクションには、証明書インスペクション(Certificate Inspection)と、フルインスペクション(deep-inspection)があります。

証明書インスペクションは、利用者のPCに証明書を入れなくていいので、導入のハードルが下がります。ただ、証明書(Certificate)ベースのインスペクションが有効なのは、WEBフィルタ、アプリケーションコントロールのみ
それ以外のAntiVirus、IPS、アンチスパムは、フルインスペクションが必要

2.deepインスペクションの設定

今回は単純なやり方で、ポリシーにSSLフルインスペクションを設定します。

(1)FortiGateの設定
設定は簡単で、「ポリシー&オブジェクト」>「IPv4ポリシー」で、該当するポリシーにて「deep-inspection」を有効にします。
①セキュリティプロファイルの部分の鉛筆のようなマークをクリック
forti
②「deep-inspection」を選択します。
ssl_inspection2
設定を有効にした画面です。
また、今回はwebサイトにアクセスしたい際のURLフィルタでフルインスペクションをします。よって、「Webフィルタプロファイル」も「defalut」でいいので有効にしておきます。
    deep-inspection


設定は以上です。

(2)実際に動作させてみましょう。
SSL/TSL(つまりHTTPS)を使っている銀行のオンラインバンキングのページや、Googleなどのサイトにアクセスしてみましょう。
ブラウザによってメッセージが異なりますが、IEの場合は以下のような警告メッセージが出ます。
eroor


(3)証明書を入れます。
FortiGateのルート証明書をまずは取得しましょう。
①SSLインスペクションを設定したポリシーのところで、マウスを合わせます。「確認」ボタンを押します。
deep②証明書をダウンロードします。
ssl_cert

③これをダウンロードしてダブルクリックをしてインストールします。
④全般的な流れは以下に記載しています。
https://nw.seeeko.com/archives/50540600.html#1%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%E3%81%AE%E5%BE%A9%E5%8F%B7%E6%A9%9F%E8%83%BD