この記事は、SSLインスペクション(deep-inspection)を有効にした状態で、UTM(Webフィルタ)の動作を確認します。先に以下の記事をお読みいただくことをお勧めします。
>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4
![](https://hirotanoblog.com/wp-content/uploads/2020/10/78891CD6-E9F8-4B97-81CD-319F84945015.png)
Webフィルタの設定
FortigateのUTM機能の一つであるWebフィルタリング、URLフィルタリングについて設定、動作確認します。
アプリケーションの設定を、【セキュリティプロファイル】-【Webフィルタ】からdefaultプロファイルを参照して、設定を確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/4E6A2DFD-2E84-4002-9FF1-9CFFBBCE36A3.png)
ざっくり、FortiguardでカテゴリされたURLに対して、許可するのか、ブロックするのかが設定されています。デフォルトでは、危険度が高いカテゴリのみブロックで、その他は許可されています。
ここで、ストリーミングメディアとダウンロード というカテゴリをブロックに設定して、Youtubeのサイトに接続できないようにしてみます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/A485AD61-591C-4BDC-B403-F9F012956509.png)
カテゴリを選択し、右クリックすることで、許可をブロックに変更します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/93A660CA-D763-45AD-8D1A-DFD99826585D.png)
次に内部から外部へのポリシーへプロファイルを適用します。【ポリシー&オブジェクト】-【ファイアウォールポリシー】へ移動し、Internal->Externalのポリシーを編集し、Webフィルタのプロファイルdefaultを適用します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/B356CA64-A368-49A8-962E-92F75B72F7D7.png)
動作確認
アクションがブロックの場合
端末からYoutubeへアクセスすると、アラート画面が出力され、接続ができません。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/45A11A69-B604-4AFA-BB87-A84AD0C7AE9D.png)
【ログ&レポート】-【Webフィルタ】を見ると、Youtubeへの接続がblockされていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/5D2406FD-C8DE-4A1E-9F28-BDD904E0B643-1024x91.png)
アクションが警告の場合
今度は、アクションを警告に変更します。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/4A33FFD7-EC5D-4DE5-AB77-9B98A748A997.png)
警告間隔の設定が表示されます。ここではデフォルトのまま5分としOKをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/C4384185-55B9-4407-B1DB-EA69D135E211.png)
ポリシー設定でOKをクリックし、設定を反映後、端末からYoutubeへアクセスすると、以下のようなブロック画面が表示されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/710D5804-F797-4A92-AB71-48691F27E054.png)
Proceedをクリックすることで、サイトの閲覧ができるようになります。
![](https://hirotanoblog.com/wp-content/uploads/2020/11/32CEE5D3-E427-4393-BEBA-3C63C7E626CD.png)
【ログ&レポート】-【Webフィルタ】より、Youtubeへの接続がpassthroughされていることが確認できます
![](https://hirotanoblog.com/wp-content/uploads/2020/11/B0FC9348-F4BB-46C9-96AE-65F331803F26-1.png)
もし、Webフィルタリングのみ使用するのであれば、SSLインスペクション をcertificate-inspection(証明書インスペクション)にしても問題ありません。これは、SSLのハンドシェイクを観察して、証明書のCNからURLを判定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/F7DF4AD7-29D3-41E2-A5CB-10759ADC795D.png)
カテゴリではブロックとしたいが、そのカテゴリ内の特定のURLに対しては、接続を許可したい場合、そのURLをフィルタから除外することができます。
コメント