FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

アプリケーションコントロール

1.アプリケーションコントロール

❶アプリケーションコントロールとは

FortiGateに限った機能ではありません。アプリケーションコントロールとは、アプリケーション単位での管理です。FWでは、HTTPの通信であれば、それを許可するか拒否するしかできません。でも、今ではGoogle検索、Web閲覧、Facebook、大手掲示板、Twitterなど、ほとんどがHTTP(HTTPS)通信です。それらのアプリケーション単位で制御するのがアプリケーションコントロールです。

❷アプリケーションコントロールの設定

FortiGateにて、Security Profiles>Application Controlを開きます。
fortigate_apl
各カテゴリに対してアクションを決めます。
アクションはカテゴリ上でクリックすることで選択できます。
apctrl
デフォルトは許可(何もしない)になっています。
必要なアプリケーションをモニター、ブロックに変更します。

シグニチャを表示させることで、カテゴリに含まれているシグニチャ内容を確認できます。
※Botnetの場合
apctrl2

アプリケーションの詳細は以下でも確認できます。
http://www.fortiguard.com/encyclopedia/applications/
※2014年11月現在、3550 のアプリケーション種類を識別可能です。

アクションの上書きを行うこともできます。
apctrl3

これで全体的なカテゴリアクアションから一部のシグニチャを除いた設定を行えます。

■セキュリティの観点から
セキュリティ面から、botnet 、P2Pなどを止めておくといいでしょう。
また、Proxyの中にTorもあり、TORの通信も止めることができます。
5
※botnetは、アプリコントロールとAVの両方にあります。

2.アプリケーションコントロールの設定

セキュリティプロファイル>アプリケーションコントロールから

P2PやSocial.Mediaなどの中身は、「アプリケーションシグネチャを表示」からみると分かる。カテゴリでフィルタするといいだろう。
P2PにはShareなどがある。

Social.Mediaには、Facebook、Twitter、2chなどがあり、ブロックしておこう

設定するときにメッセージで警告があるように、アプリケーションコントロールをするにはDEEP Inspectionが必要である。SSLで暗号化されると、何のアプリケーションかがわからないからだ。

→DEEP Inspectionを設定して、証明書を入れましょう。

すると、Facebookなどにアクセスするとブロックされます。

■シグネチャの中身を表示
該当するシグネチャをクリックすると、「モニタ」や「許可」などを選べるが、その一番下に「シグネチャを表示」ボタンがある。

■抜けてしまう?
Deep-inspectionは必須なので、抜けてしまう場合はまずはそこをチェック。
とはいえ、Deep-inspectionにしても、抜けるやつもある。機能を全部止めえられるというより、機能ごとにドメインも変わったりしているため、部分的に止められるようなっているくらいかなあという印象。特に、2chとかはドメインも変更されたりしているので、あまり止められない気がします。