作業環境
- FortiGate-VM v7.0.5
FortiGate で多段プロキシを構成する
FortiGate では自身を Web プロキシサーバとして使用することができますが、自身を Web プロキシサーバとして使用しているときに、Web プロキシフォワーディングサーバ(上位のプロキシサーバ)を設定して、いわゆる「多段プロキシ」の構成とすることが可能です。
以下では Web プロキシフォワーディングサーバを使用する際の設定方法を記載します。
検証構成
以下の構成で検証します。
①Explicit Webプロキシの設定
まず [ネットワーク > Explicitプロキシ] 画面で、基本的な Web プロキシの設定をします。最低限は以下赤枠部分を設定します。
次に Web プロキシフォワーディングサーバ欄の [新規作成] で上位プロキシサーバを設定します。
以下の新規フォワーディングサーバ画面で、上位プロキシサーバの情報を設定します。
- 名前: 設定するフォワーディングサーバの表示名
- プロキシアドレスタイプ: プロキシアドレスの設定方法。デフォルトは IP
- プロキシアドレス: プロキシの IP または FQDN
- ポート: プロキシのポート
- サーバダウン アクション: フォワーディングサーバがダウンしているときのアクション
- ブロック: Web トラフィックをブロックする
- 元のサーバを使う: フォワーディングサーバを使用せずに FortiGate から直接 Web アクセスする
- ヘルスモニタ:ヘルスチェックの有効/無効。デフォルトは無効
- ヘルスチェックモニタサイト:ヘルスチェックで監視するリモートサイトの URL
Web プロキシフォワーディングサーバの設定は CLI コンフィグだと config web-proxy forward-server に対応します。
config web-proxy forward-server
edit "Proxy_10.1.20.100"
set addr-type ip
set ip 10.1.20.100
set port 8081
set healthcheck disable
set server-down-option block
next
end②プロキシポリシーの設定
Web プロキシを使用する場合は [ポリシー&オブジェクト > プロキシポリシー] からプロキシポリシーを設定します。
Web プロキシフォワーディングサーバを使用する場合は、以下赤枠部分の[Webプロキシ フォワーディングサーバ] を有効にし、Explicitプロキシ画面で設定した Webプロキシフォワーディングサーバを指定します。
③ファイアウォールポリシーの設定
今回の構成では上位プロキシサーバからインターネットへの通信が FortiGate を通るためこの通信を許可するファイアウォールポリシーを設定します。
ここでは以下のようなファイアウォールポリシーを設定しました。
ログの確認
端末から Web 通信した際のログを確認します。
◆FortiGate(下位プロキシ)のログ
・プロキシポリシーのログ(端末→下位プロキシ→上位プロキシの通信)
ログ詳細を見てみると、送信元の IP は FortiGate の出力 IF の IP に変換され、宛先の IP は 上位プロキシの IP に変換されていることが分かります。
・ファイアウォールポリシーのログ(上位プロキシサーバ→インターネットの通信)
◆上位プロキシサーバのログ
今回、もう一台の FortiGate を上位プロキシサーバとして使用しています。上位プロキシサーバのログでは以下のように、送信元が下位プロキシサーバ(FortiGate)のアドレスになっています。
参考資料
