【Fortigate】URLフィルタのスタティック設定と動作確認 FortiOS6.4.3

FortiGuardのカテゴリに基づくフィルタではなく、スタティックにURLを設定して、そのURLのみ通信を許可させることができます。

この場合は、WebフィルタのプロファイルでスタティックにURLを設定し、許可します。

以下の記事の内容を前提としますので、先に読んでいただくことをお勧めします。

>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4
>> 参考記事 : SSLインスペクション(certificate-inspection)設定と動作確認 FortiOS6.2.4
>> 参考記事 : UTM(Webフィルタ、URLフィルタ)の設定と動作確認 FortiOS6.4.3

今回は、Youtubeへのアクセスのみ許可させ、その他のURLはブロックする設定と動作を確認します。

セキュリティプロファイル >> Webフィルタ で セキュリティポリシーに適用しているプロファイルを選択します。

まず、FortiGuardのカテゴリによるフィルタは実施しないので、FortiGuardカテゴリベースのフィルタを無効化し、スタティックURLフィルタURLフィルタを有効化します。

新規作成 をクリックすると以下のような画面が表示されます。

  • URL:除外したいURLを設定。今回は、youtube.comと入力します。
  • タイプシンプル を選択します。そのほか、正規表現やワイルドカードも使用できます。
  • アクション許可を選択します。

アクションで選択できる各動作は以下の通りです。

  • 除外(Exempt): FortiGuard ウェブフィルタやアンチウイルスなどのセキュリティ検査がバイパスされます。
  • ブロック:設定したURLをブロックします。
  • 許可:FortiGuard ウェブフィルタやアンチウイルスなどのセキュリティ検査が行われ、検査を通過したURLに対して、許可されます。 *今回は、FortiGuardのカテゴリフィルタは無効化されているので、youtube.comはセキュリティ検査を通過したURLとみなされます。
  • モニタ:許可と同じ挙動になりますが、ログが表示されます。

そこで、端末からYoutubeとニコニコ動画にアクセスすると、両サイトともアクセスできます。

URLフィルタのリストには暗黙の拒否はなく、明示的に拒否の設定をする必要があります。 再度、スタティックURLフィルタURLフィルタ新規作成をクリックします。

  • URL:除外したいURLを設定。今回は、すべてのURLを指定するためと入力します。
  • タイプワイルドカード を選択します。
  • アクションブロックを選択します。

下のように拒否のリストが登録されますので、OKをクリックします。

では、端末からYoutubeとニコニコ動画にアクセスすると、Youtubeのみアクセスできます。

ニコニコ動画はLocal URL filter Blockとして、ブロックされています。すべてのURLがブロックされますので、 Googleなどもブロックされます。

ログ&レポート >> Webフィルタ を確認すると、例えば、GoogleへのアクセスがURLフィルタリストによりブロックされていることが確認できます。

コメント

  1. blackair より:

    とても参考なる記事をありがとうございます。運用の参考にさせていただいております。

    ところで、youtube.com全体はブロックするが、特定のyoutube動画のみ許可する設定はどうすればよろしいでしょうか。記事を参考に試行錯誤しておりましたがなかなかうまく行きません。
    ご教授いただければ幸いです。

    よろしくお願いいたします。

    • 博田 登 博田 登 より:

      blackair さん、コメントありがとうございます。

      私も試してことはなく恐縮ですが、下記KB(少々古い記事ですが)を参考に、動作確認してみてはいかがでしょうか。

      Technical Note: Allowing a specific YouTube video whilst blocking all other YouTube content
      https://community.fortinet.com/t5/FortiGate/Technical-Note-Allowing-a-specific-YouTube-video-whilst-blocking/ta-p/195455

      ポイントとしては、SSLインスペクションで、Deep-Inspectionを選択する必要がございます。

      SSLインスペクションは、私も記事しておりますので、あわせて、ご参考いただければと思います。
      https://hirotanoblog.com/fortigate-ssl-inspection/3376/

      また、ポリシーを設定する際に、検査モードをフローベース (Flow-based) ではなく プロキシベース(Proxy-based) に変更する必要があるかもしれません。

      ご不明点やフィードバックなどあれば、コメントいただけると幸いです。