DNSフィルタ機能では、FortiGuardのDNSでドメインの安全性(レーティング)の情報に基づき、 DNSのレスポンスをフィルタします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/A1E510EF-7255-46C1-B5EF-A9B809A02C66.png)
FortigateをDNSサーバとして設定
DNSフィルタを有効にするには、Fortigate自身をDNSサーバとして設定し、端末のDNSサーバをFortigateのIPアドレスに設定します。 まず、FortigateのLAN側のIPアドレス(10.0.1.128)でDNSサービスを有効にします。
デフォルトではGUI上で、設定項目が表示されていないため、システム >> 表示機能設定 で DNSフィルタを有効にします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/503D5C4D-70FE-4F10-8A15-6EF031F77E65.png)
ネットワーク >> DNSサーバ へ移動し、 新規作成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/D5E28975-6A8B-4F60-9FA5-11C923D242CD.png)
新規DNSサービスの設定画面が表示されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/9E5FBA83-B5CA-44E0-962A-7D4CE8F921DE.png)
- インタフェース:LAN側のポートを指定します。(今回、port2がLAN側でエイリアスとしてLANと設定しています)ここでは、LAN(port2)を指定します。
- モード:システム設定DNSへ転送を選択します。
- DNSフィルタ:有効にし、default を選択します。
設定後、以下のような画面になります。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/7F03EE75-C2D1-45CB-B0E6-42CEAAD81B7C.png)
DNSフィルタのプロファイル設定
セキュリティプロファイル >> DNSフィルタへ移動すると、default というプロファイルが用意されています。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/81FA79C4-CC56-46A6-A89D-867B9E139EE5.png)
defaultをクリックすると、DNSフィルタプロファイルの編集画面が表示されます。
ここで、FortiGuardのカテゴリに対してのアクションや設定できます。ここでは、そのまま設定変更せず、OKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/5EF254CF-69AC-49BC-994A-9674726BB9AD-1024x728.png)
セキュリティポリシーへの適用
ポリシー&オブジェクト >> ファイアウォールポリシー へ移動し、LANからインターネットへのポリシーのセキュリティプロファイルでDNSフィルタを有効にし、プロファイルをdefaultにします。 これに伴い、SSLインスペクションも自動的に、certificate-inspectionに変更されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/FC769DA3-28F6-4CCA-A6F3-4F6E9F95FBEC.png)
名前解決ができない場合の対応
端末のDNSサーバのアドレスをFortigateのLAN側アドレス(10.0.1.128)に変更します。 その後、名前解決を試みますが、名前解決の応答がありません。
切り分けのために、セキュリティプロファイル >> DNSフィルタの設定で、すべてのDNSクエリとレスポンスを記録するを有効にし、ログを確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/A8EBB052-7B7D-404A-8FB4-4B852EC8ABE9.png)
ログレポート >> DNSクエリによりログを確認すると、FortiGuardのDNSが利用できないログ(no available Fortiguard SDNS servers)が出力されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/397B3E4B-C3A2-4F90-A01B-E8E225445772.png)
同様の事象がフォーラムにもありました。今回、FortiOS 6.4.3 を使用しています。
We had the same issue the last few days, the following finally got DNS Filtering working again.
config system fortiguard
set fortiguard-anycast disable
set protocol udpset port 8888
set sdns-server-ip 208.91.112.220
end
Fortigate 6.4.1
https://forum.fortinet.com/tm.aspx?m=186901
上のコマンドを実行することで、名前解決ができるようになり、エラーがなくなります。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/90D4BEB3-9233-4DF6-80EB-1E58749D3D7A.png)
名前解決できるようになりましたので、セキュリティプロファイル >> DNSフィルタの設定で、すべてのDNSクエリとレスポンスを記録する は無効にします。
端末の動作確認(モニタ)
セキュリティプロファイル >> DNSフィルタへ移動し、defaultプロファイルのFortiGuardカテゴリベースのフィルタで、テスト用にストリーミングメディアとダウンロードをモニタに変更します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/DAA3CE77-0E75-42A1-B7B6-63CD8E7EA535.png)
これで、このカテゴリに対しての名前解決のログが記録されます。
また、ログレポート >> DNSクエリにて、ログのカラムにメッセージを追加します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/65D2742E-F8F6-4157-ACDE-465FEB1B906E.png)
では、Youtubeへアクセスしてみます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/9EF3A94B-C1B7-451B-A00C-64522BF4D636.png)
ログレポート >> DNSクエリによりログを確認すると、メッセージからこのドメインがモニタされていることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/9EA4079D-5D3E-4FF8-9A95-C9F58146E403.png)
ログの詳細を確認すると、ドメインが所属するカテゴリと応答されたIPアドレスを確認することができます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/B9893337-06AB-4DEE-944A-3723B96CD670.png)
続けて、ニコニコ動画にアクセスします。このサイトもストリーミングメディアとダウンロードのカテゴリに属します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/744D009D-CED2-44E5-8F08-92CF60C94120.png)
![](https://hirotanoblog.com/wp-content/uploads/2020/11/E65804F5-129C-4918-9CF8-25A2D66A6F17.png)
端末の動作確認(ブロック)
今度は、セキュリティプロファイル >> DNSフィルタへ移動し、defaultプロファイルのFortiGuardカテゴリベースのフィルタで、 テスト用にストリーミングメディアとダウンロードをブロックポータルにリダイレクトへ変更します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/9A8290AC-3041-417A-9AA6-A50F13ED6668.png)
この設定をすると、ドメインの名前解決をした際に、デフォルトではブロックポータルである208.91.112.55が返答されます。
まず、Youtubeへアクセスすると、以下の通り、サイトへアクセスできません。HTTP Strict Transport Security (HSTS)によりhttpで接続ができず、以下のような画面となります。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/015E55C2-B547-4739-8871-5E4154A16BC1.png)
カテゴリにより拒否されていることがメッセージより確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/8E1890EB-4A00-4C8E-8558-D35102075D05-1.png)
次にニコニコ動画へアクセスすると、以下の通り、ブロック画面が表示されます。これは、www.nicovideo.jp の名前解決で、208.91.112.55が返答され、 このアドレスに対して、httpでアクセスをしています。このアドレスはFortiGuardが用意しているブロックポータルサイトです。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/6F066E59-61BF-4CB8-9D08-075D583F839F.png)
同様にカテゴリにより拒否されていることがメッセージより確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/B70D9A2E-4664-4B6F-B666-B24AAAA391B0.png)
DNS Safe Searchの有効化
DNSフィルタの機能で、有害情報が検索結果に表示されないよう、Google、Bing、Youtubeへのアクセスでセーフサーチを強制することができます。
セキュリティプロファイル >> DNSフィルタへ移動し、defaultプロファイルでGoogle, Bing, YouTube で ‘セーフサーチ’ を強制を有効にします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/0208537F-AD78-4FC3-8656-40131C16482C.png)
端末から、GoogleやBingへアクセスすると、検索画面が表示されます。 例えば、Googleの場合、以下のように、セーフサーチがオンになっています。 そのため、検索結果から有害と思われる情報は除外されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/20EA4445-1B6F-47CF-8158-4A55578F1CD8.png)
DNSフィルタのログのメッセージより、セーフサーチが強制されていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/4040664D-D96B-4561-88A1-0F34C9D65C3B.png)
コメント