メイン コンテンツにスキップ

Fortigate

Fortigate firewall を設定し、Glasswall Halo ICAP server と統合するには、この設定ガイドに従ってください。

注: これらの手順は Fortigate v7.4 に基づいて記載されています。

インターフェースとルートを設定する

inside interface に静的 IP を設定する

2 つの network interface が VM に接続されています:

  • Management interface - これは、VM の作成時に接続されるプライマリ network interface です。デフォルトでは、この interface の静的プライベート IP address が firewall に登録されています。
  • 内部インターフェース - これは、作成後に VM に追加で接続されるインターフェースです。デフォルトでは、ファイアウォール上でこのインターフェースに IP アドレスが表示されない場合があります。

ファイアウォールで内部インターフェースに静的 IP を設定するには:

  1. 管理ポータルにログインし、Network -> Interfaces に移動します。
  2. 内部インターフェースを選択して編集します。
  3. IP/ネットマスクを入力し、OK をクリックします。

静的ルートを作成する

すべてのポートからのトラフィックが指定したゲートウェイ IP アドレスとインターフェースを経由してインターネットへ送信されるようにするため、ファイアウォールには静的ルートが必要です。 静的ルートを作成するには:

  1. Network -> Static routes に移動し、新しいルートを作成します。
  2. SubnetDestination として選択し、0.0.0.0/0.0.0.0 を入力します。
  3. Gateway address にサブネットのゲートウェイ IP アドレスを入力します。通常、サブネットの最初の番号がゲートウェイです。例: 192.168.xx.1。
  4. ゲートウェイ IP アドレスへの到達に使用するインターフェースを選択し、OK をクリックします。

ICAP を設定する

デフォルトでは、Fortigate ファイアウォールの ICAP 機能は無効になっているため、有効化する必要があります。

  1. 管理ポータルにログインし、System -> Feature visibility に移動して、追加機能の ICAP を有効にします。
  2. Security profiles -> ICAP servers に移動して新しいサーバーを作成し、ICAP サーバーを作成します。
  3. ICAP サーバーの名前、IP アドレス、ポート(デフォルトは 1344)を入力し、OK をクリックします。

Image.png

ICAP profile を作成する

  1. Security profiles -> ICAP に移動し、新しい profile を作成します。
  2. profile の名前を入力します。
  3. リクエストで送信されるファイルを処理する場合は、Request processing を有効にします。
  4. ドロップダウンから、前の手順で作成した Server を選択します。
  5. Pathreq-cdr-service と入力します。必要に応じて ICAP profile を渡します。例: req-cdr-service?profile=test-profile1
  6. ICAP がファイルの処理に失敗した場合のオプションとして、error または bypass のいずれかを選択します。
  7. レスポンスで受信するファイルを処理する場合は、Response processing を有効にします。
  8. ドロップダウンから、前の手順で作成した Server を選択します。
  9. Pathresp-cdr-service と入力します。必要に応じて ICAP profile を渡します。例: `resp-CDR-service?profile=test-profile1.
  10. ICAP がファイルの処理に失敗した場合のオプションとして、Error または Bypass のいずれかを選択します。
  11. Streaming media bypass を有効にします。

Image.png

ファイアウォール policy を作成または更新する

  1. Policy & objects -> Firewall policy に移動し、ICAP 統合を有効にするためにファイアウォール policy を作成または編集します。
  2. Inspection mode では、Proxy-based オプションを選択します。
  3. SSL inspection のドロップダウンから、Deep-inspection または Custom-deep-inspection を選択します。
  4. ICAP オプションを有効にし、前の手順で作成した ICAP profile を選択します。
  5. OK をクリックします。

Image.png

CA certificate をダウンロード

ファイアウォールで SSL inspection を有効にしたため、CA certificate をダウンロードし、ユーザーのマシンまたはブラウザーにインポートする必要があります。これにより、ユーザーがインターネットにアクセスする際に SSL エラーが表示されなくなります。

  1. Security profiles -> SSL/SSH inspection に移動し、ファイアウォールの policy で使用されている profile を選択します。
  2. DownloadCA certificate の横でクリックします。
  3. これをユーザーのマシンにコピーし、CA certificates の信頼済みリストに追加します。

Image.png

Web サイトを SSL inspection の対象外にする

SSL inspection が有効な場合に発生する互換性の問題など、さまざまな理由から、特定の Web サイトを SSL inspection の対象外にできる必要があります。デフォルトでは、特定のアドレスはすでに SSL inspection の対象外になっています。

  1. Security profiles -> SSL/SSH inspection に移動します。
  2. ファイアウォールがそのような除外を記録できるように、Log SSL exemptions を選択します。
  3. 必要に応じて、このセクションに特定の Web カテゴリを追加し、SSL inspection の対象外にします。

Image.png

最終更新日: