FortigateはWebプロキシサーバとしても動作します。また、SSLインスペクションやUTMを併用して、セキュアWeb ゲートウェイ(SWG :Secure Web Gateway)として動作させることもできます。 SSLインスペクションやUTMの動作確認については、下記に参考記事をリンクします。ここでは、Explicit Proxyの設定にしぼります。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/41D39139-4432-4655-953E-B502183D50C8.png)
Explicit Proxyの設定
Explicit Proxy
GUIで設定する場合、デフォルトでは、画面上に表示されません。 表示するためには、システム – 表示機能設定 で Explicitプロキシ を有効にし、適用をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/6838080B-693D-4560-B95E-B4A731A2E1A2.png)
すると、ネットワーク の下に、Expilicitプロキシ が表示されます。 Expilicitプロキシ へ移動し、Explicit Web プロキシを有効にします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/8D8A16E2-1FDF-49C9-857B-EC967872EE4F.png)
有効にすると、Explicit Web プロキシの設定ができます。以下の通り設定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/AE0333B0-935F-44F4-A428-EF72D8FEBB6F.png)
- リッスンするインタフェース:プロキシ接続を受付するインターフェースを指定します。今回は、10.0.1.99が割り当てられているPort2を設定します。
- HTTPポート:今回は8080 と設定します。
プロキシポリシー
Fortigate宛にProxy接続された通信に対してのポリシーをプロキシポリシーで設定します。
ポリシー&オブジェクト – プロキシポリシー へ移動し、プロキシ対象の通信ポリシーを設定します。 新規作成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/2B6DA90C-F481-4446-B456-17871D8921E6.png)
- 名前:任意の名前をつけます。今回はExplicit Proxyとします。
- プロキシタイプ:Explicit Webを選択します。
- 発信インタフェース:プロキシ要求された通信をどのインタフェースから出力するのか指定します。今回は、インターネット向けのport1を設定します。
- 送信元・宛先:全ての送信元と宛先の通信を対象とするため、allとします。
- サービス;webproxy を指定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/22C9F029-B7EC-4531-8BCC-5C9291FA8DCD.png)
- セキュリティプロファイル:今回は、アンチウイルス、Webフィルタ、アプリケーションコントロール、IPSを有効にし、SSLインスペクションはdeep-inspectionにします。
- 許可トラフィックをログ;すべてのセッションを指定します。
設定後、一番上にポリシーを移動します。以下のようなポリシーとなります。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/21938BFE-B8F4-4F5E-AF7A-78A160FCBBC0.png)
動作確認
端末からFortigateをプロキシサーバとして指定し、Googleへアクセスしてみます。 ブラウザのプロキシ設定は以下のように設定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/AA6A4225-342A-46FD-B71D-5E81CD4F4D85.png)
Googleへアクセスできることを確認しました。SSLインスペクションが機能しており、Fortigate発行のサーバ証明書を使用して、アクセスしていることがわかります。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/CBCF0B24-ED8F-48EE-8B5D-92CD74D5095F.png)
【ログ&レポート】-【転送トラフィック】で プロキシポリシーを通過したログが出力されています。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/3CB4D7D3-7863-413A-A1EC-6053D7182635.png)
UTMも設定していますので、アンチウイルスやIDPも機能します。 eicarをダウンロードしようとすると、以下の通り、アラームが出力され、遮断されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/1CB48414-CF99-4209-AFE2-175EB4B69615.png)
次にGoogle検索で、/etc/passwdを検索すると、以下の通りアラームが出力され、遮断されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/125AAB3A-B903-4DA1-A28A-DE1B16381D40.png)
このように、ExpicitProxyとSSLインスペクション、UTMを組み合わせることで、セキュアなプロキシを構築することができます。
プロキシポリシーは、FortiateのIPアドレス宛にProxy接続された通信のみに適用されます。つまり、ファイアウォールポリシーとプロキシポリシーは混在して使用することができます。
コメント