【Fortigate】ファイルフィルタの設定と動作確認 FortiOS6.4.3

ファイルフィルタでは、ファイルタイプに基づいて通過するファイルをモニターやブロックすることができます。

この記事は以下の内容が前提となります。

今回は、PDFファイルの通過をブロックする設定、動作を確認します。

スポンサーリンク

セキュリティプロファイルの設定

セキュリティプロファイル >> ファイルフィルタ より 新規作成をクリックします。

以下の画面で、名前をFileFilterとし、ルールの新規作成をクリックします。

新規ファイルフィルタルールの作成 画面が出力されるので、以下の通り設定します。

  • 名前:任意の名前を設定。All-PDF-Blockedとします。
  • ファイルタイプpdf を選択します。
  • アクションブロック を設定します。

設定後、OKをクリックします。

以下のような画面が出力されるので、OKをクリックします。

セキュリティプロファイル上に、FileFilterというポリシーが設定されました。このプロファイルをファイアウォールポリシーに適用します。

スポンサーリンク

ファイアウォールポリシーに適用

ポリシー&オブジェクト >> ファイアウウォールポリシー で、LANからインターネット向けのセキュリティポリシーに設定したプロファイルを適用します。

ファイルフィルタで、先ほど設定したプロファイル(FileFIlter)を適用します。 あと、インスペクションモードを今回は、フローベースとし、SSLインスペクションはdeep-inspectionとします。

設定完了後、OKをクリックします。

スポンサーリンク

動作確認

フローベースの場合

端末から、SSL復号化対象のサイトでアクセスし、PDFファイルをダウンロードしてみます。今回は、ジュニパー社で公開しているデータシートのPDFファイルをダウンロードします。

サイトにアクセスし、PDFをダウンロードすると、以下のように保存するか否かのポップアップが表示されます。

保存をクリックすると、以下の通り、ダウンロードされません。

ログ&レポート >> ファイルフィルタ でログを確認すると、該当ファイルがブロックされていることが確認できます。

プロキシベースの場合

先ほどは、ファイアウォールポリシーのインスペクションモードをフローベースで設定しましたが、今度は、プロキシベースに変更します。

端末から再度、同じPDFファイルのダウンロードを試みると以下のようなアラート画面が出力され、ファイルがブロックされます。

このようにインスペクションモードがフローベースとプロキシベースで動作が異なります。 モードの違いは以下を参照してください。

  • About inspection modes FortiGate / FortiOS 6.2.0 Cookbook 
  • スポンサーリンク

    参考

  • File filter FortiGate / FortiOS 6.4.3 Administration Guide 
  • Supported file types FortiGate / FortiOS 6.4.3 Administration Guide 
  • コメント

    1. krhandh より:

      メールでファイル添付(特定のファイルではなく全てのファイル)した場合のログを取りたいんですが、その場合、[新規ファイルフィルタルールの作成]の[プロトコル]で、”SMTP” を選択し、[ファイルタイプ]では、本例のように、”PDF” を選択せず、何か、全てのファイルを指定するようなパラメータを選択し、[アクション]で、”モニタ” を選択すれば良いということでしょうか?

      実機が無い中で、色々とWebで調べているんですが、なかなか見つからず、藁をも掴む気持ちでお伺いしております。勿論、個人の見解であることは承知しております。何か、ヒントを頂ければ。