1.AVの設定方法
(1)ポリシーの一覧画面から設定
例として、LANからWANに通信するFWポリシーにAVを設定します。
①ポリシーの画面を開く
②セキュリティプロファイルの上にマウスを重ねると、プロファイルを選ぶことができます。
③該当プロファイルを選択すると、次のような画面になります。
(2)ポリシーの設定画面から設定
ポリシーの編集画面で、適用します。
・上記のアンチウイルスのボタンを右に(つまりONに)すると、以下になり、AVのプロファイルを選択できます。
2.AVのプロファイルの設定
(1)デフォルトのプロファイル
デフォルトでは、以下の2つが作成されている。
(2)設定の確認と変更
以下がデフォルトのプロファイルの設定
・AVによってチェックするプロトコル(HTTPやSMTP)を選択します。
3.AntiVirusのInspection Mode
(1)2つのモード
AntiVirusの検知モード(Inspection Mode)には、Flow-based(フローモード)とプロキシモードの2つがあります。
Security Profiles>AntiVirusを開きます。
※後述しますが、7.2.4以降の場合はデフォルトで表示されないので、CLIで設定が必要。
両者の違いですが、フローベースはプロキシベースに比べて簡易検索になります。
とはいえ、シグネチャは同じものを使っており、他社に比べて十分な検知率です。
正確な両者の違いは、以下に記載があります。
モード | 内容 | 補足 |
---|---|---|
Flow | パケット単位の処理を行う | 一部の圧縮ファイル(ZIPなど)も対象とでき、高速な検査を実施できます。 ※CIFSはこのモードのみ検査対象にできます。 |
Proxy | パケットをバッファに溜め、データに構築してから処理を行う | パスワード付き圧縮ファイルなども検査対象? |
※用途を分け、Flow-based モードは HTTPなど Webアクセスに、プロキシ モードはMailプロトコルに適用することでパフォーマンスを発揮できると思われます。
(2)ポリシーで設定とセキュリティプロファイルでの設定
先のように、AVのセキュリティプロファイルでも設定できますが、ポリシーでも設定ができます。
以下の記述から、このポリシーでのモードと、各セキュリティプロファイルでのモードというのは連携というか同じのような気がする。
Certain security profiles allows users to display flow-based or proxy-based feature sets.
出典:https://docs.fortinet.com/document/fortigate/7.4.2/administration-guide/721410/inspection-modes
(3)OSによる違い
・OSによって設定が違うので注意が必要。
❶7.2.4以降の場合
以下にあるように、メモリが2G以下の場合、GUIでプロキシとフローモードの選択ができなくなりました。モデル言うと、FGT-50Eや60E、60Fなどのエントリーモデルが2Gbyteです。80Fや100Eは3G以上あります。
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/712579/hide-proxy-features-in-the-gui-by-default-for-models-with-2-gb-ram-or-less-7-2-4
FGT # config system settings FGT (settings) # set gui-proxy-inspection enable FGT (settings) # show config system settings set gui-proxy-inspection enable end FGT(settings) # end FGT (settings) #
再ログインすると、画面に表示される。
❷OS5.4の場合は以下になっています。
こちらもモード選択の設定ができません。このOSの場合、Inspection Modeは、GUIでは、プロファイル単位ではなく、システム全体で設定します。
4.EicarによるAV機能のテスト
アンチウイルス機能が有効かどうかを確認しましょう。
ウイルスに感染させなければいけませんね
実際は、そうはいきません。
そこで、eicarというテストウイルスを使いましょう。もちろん、本当のウイルスではありません。テスト用に作成されていますので、検査はできます。
(1)Eicarファイルの準備
ページがころころ変わるのですが、以下を見てください。
https://www.eicar.org/?page_id=3950
「Download area using the standard protocol http」のあたりから、(どれでもいいのですが、)「eicar.com.txt」をクリックしてダウンロードしましょう。
Fortigateがブロックしてくれれば成功です。
・以下にあるように、EICARのテスト文字列を入れたファイルをサイトにUPしてもいいだろう。
EICARテストファイル - Wikipedia
以下の3行を改行無しで作成すればいい。
X5O!P%@AP[4\PZX54(P^)7CC) 7}$EICAR-STANDARD-ANTIVIR US-TEST-FILE!$H+H*
(2)通信テストとセキュリティログの確認
・Eicarファイルの準備ができたら、実際に通信をしてみる。
・以下のようなメッセージが出ると思う。
・ログをみてみよう。
ログ&レポート>セキュリティイベント から