PR

FortiGateのプロトコルオプション(プロキシオプション)について

FortiGate
2020.10.28
スポンサーリンク

FortiGateのプロキシオプションについてご紹介します。

プロトコルオプション(プロキシオプション)

プロトコルオプションはUTM機能の検査対象を決めるとても重要な設定となります。

CLIでも設定することができますが、説明が細かくなってしまうため、
基本的にはGUIで設定できる項目についてご紹介します。

FortiOS6.0系までは『プロキシオプション』という設定項目でしたが、
FortiOS6.2系より『プロトコルオプション』に名称が変更になっています。

プロキシと聞くとプロキシサーバをイメージされるかもしれません。
FortiGate自体もプロキシサーバの機能は持っていますが、
『Explicit Proxy』という別の設定項目で設定を行います。

プロトコルオプションの設定項目

それでは、プロトコルオプションの各設定項目をご紹介していきます。

プロトコルオプションは、

ポリシー&オブジェクト→プロトコルオプション

で設定を行います。

新規作成するにはひと手間必要

FortiGateはデフォルトでは、
セキュリティに関するプロファイルは1つまでという設定になっています。

プロトコルオプションはデフォルトで『default』というプロファイルが設定されています。
こちらはリードオンリーとなっており、編集することができません。

そこで、ご自身でカスタマイズしたプロトコルオプションを作成するためには、
下記の設定変更を行う必要があります。

システム→表示機能設定→複数セキュリティプロファイルを有効→適用


上記の設定変更を行うことで、
プロトコルオプションを新規作成することができるようになります。

特に重要な設定項目

プロトコルオプションで特に重要な設定項目は3点です。

  • オーバーサイズファイルをログ
  • プロトコルポートマッピング
  • オーバーサイズなファイル/Eメールをブロック

その他の項目を有効にしている機会はあまり見かけませんが、
お客様要望など必要に応じて設定するようにしてください。

【重要】オーバーサイズファイルをログ

FortiGateの各UTM機能で検査対象となるファイルのサイズは、
デフォルトでは10Mbyteまでとなっています。(変更可能)

10Mbyte以上のファイルをダウンロードなどした際は検査せずにそのまま通します。

本設定を有効にすることで、検査できるようになるわけではありませんが、
10Mbyte以上のファイルがダウンロードされたというログを残すことができます。

RPC over HTTP

本設定を有効にすることでRPC over HTTPを検査対象とすることができます。

RPC over HTTP自体はOutlookで用いられてきたプロトコルでしたが、
すでに利用されなくなってきていますので、
特別な理由がない限り無効の状態でよいかと思います。

docs.microsoft.com
 
RPC over HTTP は、2017年10月31日に Office 365 でサポートが終了しています。
https://docs.microsoft.com/ja-jp/exchange/troubleshoot/accessing-email-data/rpc-over-http-end-of-support
Office 365 の RPC over HTTP が2017年10月31日に非推奨になることについて説明します。 RPC over HTTP が MAPI over http によって置き換えられる理由についての情報と、Office 365 のお客様が実行する必要のあるアクションについて説明します。

【重要】プロトコルポートマッピング

プロトコルオプションで一番重要な項目です。
検査対象の各プロトコルのポート番号を指定することができます。

デフォルトの設定値でも問題ありませんが、変更するユースケースとしては、
プロキシサーバを使用していて、プロキシサーバのリッスンポートが『8080』の場合、
HTTPの欄を『80,8080』のようにカンマ区切りで記載します。
なお、『HTTPS:443』については記載する必要はありません。
他のプロトコルについても同様で、
暗号化したプロトコルのポート番号については記載する必要はありません。

設定値として『any』を選択することもでき、
『any』とすることで全てのポートを検査対象とします。
全てのポートを検査対象にした方がセキュリティは向上しますが、
検査対象が増えてしまうことで、
機器の負荷が高まり、スループットの低下を招きます。

共通オプション

クライアントコンフォーティング

アンチウイルスでファイルを検査する際に、
FortiGateで検査をして、問題ない場合はクライアントへ転送します。
この検査の時間クライアントは待っていなければなりません。

具体的な不都合としては、ダウンロードの%が進まないので、
ネットワークの障害を疑ってしまうことが挙げられます。

本設定を有効にすることで、10秒間に1byte(デフォルト値)をクライアントに転送して、
クライアントへダウンロードが開始されていると認識させることができます。

大容量ファイルの送受信を頻繁に行う環境であれば、
有効にしてもよいかと思いますが、10Mbyte程度であれば検査自体はすぐに終わりますので、
基本的には無効でよいかと思います。

【重要】オーバーサイズなファイル/Eメールをブロック

本設定を有効にすることで、
10Mbyte以上のファイルがダウンロードされた際にブロックをする動作になります。
デフォルトでは、検査せずに通過させる動作となります。

また、10Mbyteという閾値を変更することができるようになります。
閾値の変更はお使いの環境に合わせて設定変更してください。

閾値は高ければ高いほど、処理能力に影響を及ぼします。
業務上30Mbyte以上のファイルを頻繁にダウンロードするという場合は、
50Mbyteなどに設定してもよいかと思いますが、
通常の業務であれば大容量のファイルをダウンロードする機会は少ないかと思いますので、
デフォルトの10Mbyteで問題ないかと思います。

Webオプション

チャンクバイパス

本設定を有効にすることで、HTTP1.1のチャンクバイパスを有効にすることができます。

Fortinet Barの追加

本設定を有効にすることで、
ブラウザ上に検索バーのようなFortinet barを表示させることができます。

Eメールオプション

フラグメント化されたメッセージを許可

本設定を有効にすることで、フラグメントされたメールを許可するようになります。

シグネチャを追加(SMTP)

シグネチャという直訳になっているので、分かりにくいのですが、
メールの最後に署名を追加するというもので、任意の署名を追加することができます。

プロトコルオプションの適用

プロトコルオプションはIPv4ポリシー、
Explicit Proxyを使用している場合はプロキシポリシーで適用します。

■IPv4ポリシー

■プロキシポリシー

プロトコルオプションはポリシーごとに設定しますので、
用途ごとに複数用意して、ポリシーごとに異なるプロトコルオプションを適用することも可能です。

その他の設定についてはこちら

NWWブログ
 
2020.02.28
【まとめ】FortiGateの設定方法・機能紹介
https://shanai-neet.com/?page_id=897
FortiGateの基本的な設定方法と機能についてご紹介しています。各記事はFortiOS6.2.2で記載を行っております。不定期で随時更新予定です。基本情報・FortiGateの機器選定・ライセンス・FortiOSの見方・アップグレード・ダウングレード・コンサーブモードについて・スループット&性能試験・フローベースモードとプロキシモードについて設定方法・ログイン方法・GUI・CLI・設定の削除方法・アカウント・VDOMインタフェース・WANインタフェース【基本編】・LANインタフェース・リンクステートトラッキング・PPPoE・DHCPサーバ&リ...

FortiGate完全攻略 セキュリティアプライアンスNo.1 /技術評論社/椎屋淳伸

楽天市場
Amazon
Yahooショッピング
FortiGate
スポンサーリンク
シェアする
NWWをフォローする
NWW
NWWブログ
タイトルとURLをコピーしました