FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

AVの設定

1.AVの設定方法

(1)ポリシーの一覧画面から設定

例として、LANからWANに通信するFWポリシーにAVを設定します。
①ポリシーの画面を開く
FortiGate-AntiVirus-FirewallPolicy3

②セキュリティプロファイルの上にマウスを重ねると、プロファイルを選ぶことができます。
FortiGate-AntiVirus-FirewallPolicy6

③該当プロファイルを選択すると、次のような画面になります。
FortiGate-AntiVirus-FirewallPolicy8

(2)ポリシーの設定画面から設定

ポリシーの編集画面で、適用します。
FortiGate-AntiVirus-FirewallPolicy4

・上記のアンチウイルスのボタンを右に(つまりONに)すると、以下になり、AVのプロファイルを選択できます。
FortiGate-AntiVirus-FirewallPolicy2

2.AVのプロファイルの設定

(1)デフォルトのプロファイル

デフォルトでは、以下の2つが作成されている。

(2)設定の確認と変更

以下がデフォルトのプロファイルの設定

・AVによってチェックするプロトコル(HTTPやSMTP)を選択します。

3.AntiVirusのInspection Mode

(1)2つのモード

AntiVirusの検知モード(Inspection Mode)には、Flow-based(フローモード)とプロキシモードの2つがあります。
Security Profiles>AntiVirusを開きます。

※後述しますが、7.2.4以降の場合はデフォルトで表示されないので、CLIで設定が必要。

両者の違いですが、フローベースはプロキシベースに比べて簡易検索になります。
とはいえ、シグネチャは同じものを使っており、他社に比べて十分な検知率です。
正確な両者の違いは、以下に記載があります。

モード 内容 補足
Flow パケット単位の処理を行う 一部の圧縮ファイル(ZIPなど)も対象とでき、高速な検査を実施できます。
※CIFSはこのモードのみ検査対象にできます。
Proxy パケットをバッファに溜め、データに構築してから処理を行う パスワード付き圧縮ファイルなども検査対象?

※用途を分け、Flow-based モードは HTTPなど Webアクセスに、プロキシ モードはMailプロトコルに適用することでパフォーマンスを発揮できると思われます。

(2)ポリシーで設定とセキュリティプロファイルでの設定

先のように、AVのセキュリティプロファイルでも設定できますが、ポリシーでも設定ができます。

以下の記述から、このポリシーでのモードと、各セキュリティプロファイルでのモードというのは連携というか同じのような気がする。

Certain security profiles allows users to display flow-based or proxy-based feature sets.

出典:https://docs.fortinet.com/document/fortigate/7.4.2/administration-guide/721410/inspection-modes

(3)OSによる違い

・OSによって設定が違うので注意が必要。
❶7.2.4以降の場合
以下にあるように、メモリが2G以下の場合、GUIでプロキシとフローモードの選択ができなくなりました。モデル言うと、FGT-50Eや60E、60Fなどのエントリーモデルが2Gbyteです。80Fや100Eは3G以上あります。
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/712579/hide-proxy-features-in-the-gui-by-default-for-models-with-2-gb-ram-or-less-7-2-4

FGT # config system settings
FGT (settings) # set gui-proxy-inspection enable
FGT (settings) # show
config system settings
    set gui-proxy-inspection enable
end
FGT(settings) # end
FGT (settings) #

再ログインすると、画面に表示される。

❷OS5.4の場合は以下になっています。
av_profile

こちらもモード選択の設定ができません。このOSの場合、Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定します。

4.EicarによるAV機能のテスト

アンチウイルス機能が有効かどうかを確認しましょう。
FortiGateを勉強する女性SE (10) 

ウイルスに感染させなければいけませんね
実際は、そうはいきません。
そこで、eicarというテストウイルスを使いましょう。もちろん、本当のウイルスではありません。テスト用に作成されていますので、検査はできます。

(1)Eicarファイルの準備

ページがころころ変わるのですが、以下を見てください。
https://www.eicar.org/?page_id=3950
「Download area using the standard protocol http」のあたりから、(どれでもいいのですが、)「eicar.com.txt」をクリックしてダウンロードしましょう。
eicar
Fortigateがブロックしてくれれば成功です。

・以下にあるように、EICARのテスト文字列を入れたファイルをサイトにUPしてもいいだろう。
EICARテストファイル - Wikipedia

以下の3行を改行無しで作成すればいい。

X5O!P%@AP[4\PZX54(P^)7CC)
7}$EICAR-STANDARD-ANTIVIR
US-TEST-FILE!$H+H*
(2)通信テストとセキュリティログの確認

・Eicarファイルの準備ができたら、実際に通信をしてみる。
・以下のようなメッセージが出ると思う。

・ログをみてみよう。
ログ&レポート>セキュリティイベント から