FortiGate Web プロキシフォワーディングサーバの設定方法【多段プロキシ】

ファイアウォール(UTM)

作業環境

  • FortiGate-VM v7.0.5

FortiGate で多段プロキシを構成する

FortiGate では自身を Web プロキシサーバとして使用することができますが、自身を Web プロキシサーバとして使用しているときに、Web プロキシフォワーディングサーバ(上位のプロキシサーバ)を設定して、いわゆる「多段プロキシ」の構成とすることが可能です。

以下では Web プロキシフォワーディングサーバを使用する際の設定方法を記載します。

検証構成

以下の構成で検証します。

①Explicit Webプロキシの設定

まず [ネットワーク > Explicitプロキシ] 画面で、基本的な Web プロキシの設定をします。最低限は以下赤枠部分を設定します。

次に Web プロキシフォワーディングサーバ欄の [新規作成] で上位プロキシサーバを設定します。

以下の新規フォワーディングサーバ画面で、上位プロキシサーバの情報を設定します。

  • 名前: 設定するフォワーディングサーバの表示名
  • プロキシアドレスタイプ: プロキシアドレスの設定方法。デフォルトは IP
  • プロキシアドレス: プロキシの IP または FQDN
  • ポート: プロキシのポート
  • サーバダウン アクション: フォワーディングサーバがダウンしているときのアクション
    • ブロック: Web トラフィックをブロックする
    • 元のサーバを使う: フォワーディングサーバを使用せずに FortiGate から直接 Web アクセスする
  • ヘルスモニタ:ヘルスチェックの有効/無効。デフォルトは無効
  • ヘルスチェックモニタサイト:ヘルスチェックで監視するリモートサイトの URL

Web プロキシフォワーディングサーバの設定は CLI コンフィグだと config web-proxy forward-server に対応します。

config web-proxy forward-server
    edit "Proxy_10.1.20.100"
        set addr-type ip
        set ip 10.1.20.100
        set port 8081
        set healthcheck disable
        set server-down-option block
    next
end

②プロキシポリシーの設定

Web プロキシを使用する場合は [ポリシー&オブジェクト > プロキシポリシー] からプロキシポリシーを設定します。

Web プロキシフォワーディングサーバを使用する場合は、以下赤枠部分の[Webプロキシ フォワーディングサーバ] を有効にし、Explicitプロキシ画面で設定した Webプロキシフォワーディングサーバを指定します。

③ファイアウォールポリシーの設定

今回の構成では上位プロキシサーバからインターネットへの通信が FortiGate を通るためこの通信を許可するファイアウォールポリシーを設定します。

ここでは以下のようなファイアウォールポリシーを設定しました。

ログの確認

端末から Web 通信した際のログを確認します。

◆FortiGate(下位プロキシ)のログ

・プロキシポリシーのログ(端末→下位プロキシ→上位プロキシの通信)

ログ詳細を見てみると、送信元の IP は FortiGate の出力 IF の IP に変換され、宛先の IP は 上位プロキシの IP に変換されていることが分かります。

・ファイアウォールポリシーのログ(上位プロキシサーバ→インターネットの通信)

◆上位プロキシサーバのログ

今回、もう一台の FortiGate を上位プロキシサーバとして使用しています。上位プロキシサーバのログでは以下のように、送信元が下位プロキシサーバ(FortiGate)のアドレスになっています。

参考資料

Proxy chaining | Administration Guide
config web-proxy forward-server | CLI Reference

タイトルとURLをコピーしました