【Fortigate】Webフィルタの除外設定と動作確認 FortiOS6.4.3

2020.12.14

FortiGuardによるカテゴリにて、Webフィルタをする場合、カテゴリではブロックとしたいが、そのカテゴリ内の特定のURLに対しては、接続を許可したい場合があります。

この場合は、Webフィルタのプロファイルでスタティックに除外する設定とWebレーティングをオーバーライドする方法の2パターンがあります。 それぞれの動作を確認します。

以下の記事の内容を前提としますので、先に読んでいただくことをお勧めします。

>> 参考記事 : UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3
【Fortigate】UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3
この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、UTM(Webフィルタ)の動作を確認します。先に以下の記事をお読みいただくことをお勧めします。 >> 参考記事 : SSLインスペクション(deep-i...
hirotanoblog.com
2020.10.08

今回の設定では、「ストリーミングメディアとダウンロード」のカテゴリをブロックしますが、例外としてYoutubeだけを許可させたい場合を考えます。

セキュリティプロファイル >> Webフィルタ でセキュリティポリシーに 適用しているプロファイルの、ストリーミングメディアとダウンロードのアクションをブロックにします。

そこで、端末からYoutubeとニコニコ動画にアクセスすると、ぞれぞれブロック画面が表示されます。

スポンサーリンク

Webフィルタのプロファイルで除外

除外設定

セキュリティプロファイル >> Webフィルタ の 適用するプロファイルを選択し、スタティックURLフィルタURLフィルタへ移動します。

デフォルトでは無効化されていますので、トグルスイッチを右側にスライドすることで、有効化し、新規作成をクリックします。

以下の画面になり、除外するサイトのURLを設定します。

  • URL:除外したいURLを設定。今回は、youtube.comと入力します。
  • タイプシンプル を選択します。そのほか、正規表現やワイルドカードも使用できます。
  • アクション除外(exempt)を選択します。
  • ステータス有効 にします。

アクションで選択できる各動作は以下の通りです。

  • 除外(Exempt): FortiGuard ウェブフィルタやアンチウイルスなどのセキュリティ検査がバイパスされます。
  • ブロック:設定したURLをブロックします。
  • 許可:FortiGuard ウェブフィルタやアンチウイルスなどのセキュリティ検査が行われ、検査を通過したURLに対して、許可されます。
  • モニタ:許可と同じ挙動になりますが、ログが表示されます。

OKをクリックすると、以下のような画面になりますので、画面下のOKをクリックします。

 動作確認

端末からYoutubeとニコニコ動画にアクセスすると、Youtubeへアクセスできるようになり、ニコニコ動画はブロックされます。

ログ&レポート >> Webフィルタ を確認すると、Youtubeが通過(passthrough)で ニコニコ動画がブロックされていることが確認できます。

Youtubeのアクセスログの詳細を確認すると、メッセージより除外(exempt)されていることが確認できます。

除外(exempt)設定の場合、セキュリティ検査がバイパスされ、除外ログが出力されます。 セキュリティ検査をバイパスさせずに、かつ、ログ出力も不要の場合は、Webレーティングオーバーライドを設定します。

注意:除外するサイトのURLのアクションを許可にすると、Youtubeへのアクセスはブロックされます。 許可は、FortiGuardのカテゴリ検査を通過した後のアクションになるため、先にFortiGuardのカテゴリで拒否されます。

スポンサーリンク

Webレーティングオーバーライド

設定

Webレーティングオーバーライドにより、特定のURLについて、FortiGuardのカテゴリをカスタムカテゴリに上書きすることができます。

今回は、Youtubeサイトをカスタムされたローカルカテゴリに変更します。 まず、ローカルカテゴリ として、Allowed-Customという名前のカテゴリを追加します。

セキュリティプロファイル >> Webレーティングオーバーライドに移動し、カスタムカテゴリ をクリックします。

以下の画面で 新規作成 をクリックします。

名前に Allowed-Customと設定し、OKをクリックします。

以下のように追加されました。

セキュリティプロファイル >> Webフィルタに移動し、適用しているプロファイルを選択します。
ローカルカテゴリに先ほど登録したAllowed-Customが登録されているので、アクションを許可に変更し、OKをクリックします。

では、カテゴリを変更します。 セキュリティプロファイル >> Webレーティングオーバーライド へ移動し、新規作成をクリックします。

以下の画面が出力されますので、URLにyoutube.comと入力し、レーティングのルックアップをクリックすると、該当するカテゴリを確認することができます。

次にオーバライド先として、ローカルカテゴリ(Custom Categories)のAllowed-Customを選択し、OKをクリックします。

以下のように登録されます。

動作確認

端末からYoutubeとニコニコ動画にアクセスすると、Youtubeへアクセスできるようになり、ニコニコ動画はブロックされます。

ログ&レポート >> Webフィルタ を確認すると、ニコニコ動画がブロックされていることが確認できます。

Youtubeが通過しているログを出力されません。(Youtubeへアクセスした際に、googlevideo.comへのアクセスもあるようで、これはブロックされています)

コメント

  1. milai24615 より:
    2021年7月23日 12:58 PM

    fortigatef60について、この紹介のとおり設定しましたが、どうしてもフィルタ機能が有効になりません。何がわるいのかご教示ください

    返信
    • 博田 登 博田 登 より:
      2021年7月24日 12:58 PM

      コメントありがとうございます。

      FortiGuardによるカテゴリフィルタの設定(「ストリーミングメディアとダウンロード」をブロックにして、Youtubeへのアクセスがブロックされる)は問題ありませんか。
      こちらが動作しない場合は、設定したWebフィルタのプロファイルがファイアウォールポリシーに適用されているかご確認ください。

      【Fortigate】UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3
      https://hirotanoblog.com/fortigate-utm-webfilter/3497/

      上の設定で、Youtubeはブロックされるが、除外することができない のであれば、一度、ワイルドカード指定にして除外できないか確認してもらえますか。

      Technical Note: URL-Filter expressions
      https://kb.fortinet.com/kb/documentLink.do?externalID=FD37057

      よろしければ、フィードバックいただけると嬉しいです。

      返信