1.アプリケーションコントロール
❶アプリケーションコントロールとは
FortiGateに限った機能ではありません。アプリケーションコントロールとは、アプリケーション単位での管理です。FWでは、HTTPの通信であれば、それを許可するか拒否するしかできません。でも、今ではGoogle検索、Web閲覧、Facebook、大手掲示板、Twitterなど、ほとんどがHTTP(HTTPS)通信です。それらのアプリケーション単位で制御するのがアプリケーションコントロールです。
❷アプリケーションコントロールの設定
FortiGateにて、Security Profiles>Application Controlを開きます。
各カテゴリに対してアクションを決めます。
アクションはカテゴリ上でクリックすることで選択できます。
デフォルトは許可(何もしない)になっています。
必要なアプリケーションをモニター、ブロックに変更します。
シグニチャを表示させることで、カテゴリに含まれているシグニチャ内容を確認できます。
※Botnetの場合
アプリケーションの詳細は以下でも確認できます。
http://www.fortiguard.com/encyclopedia/applications/
※2014年11月現在、3550 のアプリケーション種類を識別可能です。
アクションの上書きを行うこともできます。
これで全体的なカテゴリアクアションから一部のシグニチャを除いた設定を行えます。
■セキュリティの観点から
セキュリティ面から、botnet 、P2Pなどを止めておくといいでしょう。
また、Proxyの中にTorもあり、TORの通信も止めることができます。
※botnetは、アプリコントロールとAVの両方にあります。
2.アプリケーションコントロールの設定
セキュリティプロファイル>アプリケーションコントロールから
P2PやSocial.Mediaなどの中身は、「アプリケーションシグネチャを表示」からみると分かる。カテゴリでフィルタするといいだろう。
P2PにはShareなどがある。
Social.Mediaには、Facebook、Twitter、2chなどがあり、ブロックしておこう
設定するときにメッセージで警告があるように、アプリケーションコントロールをするにはDEEP Inspectionが必要である。SSLで暗号化されると、何のアプリケーションかがわからないからだ。
→DEEP Inspectionを設定して、証明書を入れましょう。
すると、Facebookなどにアクセスするとブロックされます。
■シグネチャの中身を表示
該当するシグネチャをクリックすると、「モニタ」や「許可」などを選べるが、その一番下に「シグネチャを表示」ボタンがある。
■抜けてしまう?
Deep-inspectionは必須なので、抜けてしまう場合はまずはそこをチェック。
とはいえ、Deep-inspectionにしても、抜けるやつもある。機能を全部止めえられるというより、機能ごとにドメインも変わったりしているため、部分的に止められるようなっているくらいかなあという印象。特に、2chとかはドメインも変更されたりしているので、あまり止められない気がします。