【FortiGate】セキュリティプロファイルに関する基礎知識

ファイアウォール(UTM)

対象環境

  • FortiGate 60E
    • version 7.0.1

インスペクションモード

ポリシー設定においてインスペクションモードという設定項目があり、[フローベース] または [プロキシベース] を選択することができます。
この設定によって FortiGate の動作や、各 UTM 機能でサポートされる機能が変わります。
デフォルトは [フローベース] です。

フローベース(デフォルト)

  • ポリシーを通過するトラフィックは FortiGate によってバッファリングされない
  • ポリシーを通過するコンテンツペイロードは、スキャンが判定を返すまで FortiGate によって保持されている最後のパケットを使用して、パケットごとに検査される
  • トラフィックで違反が検出されるとリセットパケットを受信者に発行して接続が終了し、ペイロードが正常に送信されなくなる
  • セキュリティの脅威が特定されるとリアルタイムで特定してブロックする
  • フローベースの検査は基本的にプロキシベースの検査よりも必要な処理リソースが少ない
  • 脅威が検出されてパケットがブロックされない限り、パケットを変更しない
  • スループットを優先したい場合はフローベースが推奨される

プロキシベース

  • ポリシーを通過するトラフィックは検査のために FortiGate によってバッファリングされる
    • ファイル、電子メールメッセージ、または Web ページのパケットが、ペイロード全体に違反(ウイルス、スパム、または悪意のある Web リンク)がないか検査されるまで、FortiGate によって保持される
  • 検査した結果別の動き
    • トラフィックがクリーンな場合:ペイロードは宛先に解放される
    • トラフィックに違反が含まれている場合:ドロップされて置換メッセージに置き換えられる
  • プロキシベースではトラフィックの最も徹底的な検査を提供する代わりにパフォーマンスを犠牲にする
    • スループットはフローベースよりも小さい
  • ネットワークセキュリティを優先したい場合はプロキシベースが推奨される

セキュリティプロファイルの機能セット

ポリシー設定におけるインスペクションモードの設定の他、各種セキュリティプロファイルの設定側にも [機能セット] という項目があり、この項目でもフローベースかプロキシベースを選択することになります。

ポリシー設定でインスペクションモードをフローベースにした場合、そのポリシーで設定できるセキュリティプロファイルは機能セットがフローベースのセキュリティプロファイルに限られます。

逆にインスペクションモードをプロキシベースにした場合は、セキュリティプロファイルについては機能セットが [フロー/プロキシ] のどちらであっても設定することができます。

セキュリティプロファイル設定の流れ

基本的にポリシーに対して UTM 機能別にプロファイルを適用する形になります。

設定の流れとしては以下のようになるかと思います。

  1. 適用したい UTM 機能について、ポリシーに適用するプロファイルを作成する
  2. 対象ポリシーの設定で作成したプロファイルを適用する

GUI での設定項目の表示

GUI においていくつかの UTM 機能についてはデフォルトでは設定項目として表示しない設定となっています。そのため必要に応じて表示するよう設定変更します。

[システム] > [表示機能設定] の画面で設定することができます。

セキュリティプロファイルの設定

[セキュリティプロファイル] 配下で各 UTM 機能のプロファイルを設定することができます。

各種データベースの確認と更新

アンチウイルスでは定義データベース、IPS ではシグネチャなど FortiGate のローカルに保存されたデータベースに基づいて動作する機能も存在します。

このデータベースはスケジュールに従ってクラウドの FortiGaurd と同期して更新されます。

各データベースのバージョンは [システム > FortiGuard] 画面で確認できます。また手動で定義データベースの更新リクエストを行うこともできます。

各種データベースのバージョン確認は CLI で get system status コマンドでも可能です。(が GUI の表示と微妙に差分がある気がします。)

FW01 # get system status
Version: FortiGate-60E v7.0.1,build0157,210714 (GA)
Virus-DB: 89.06185(2021-10-22 22:26)
Extended DB: 89.06185(2021-10-22 22:25)
AV AI/ML Model: 2.02940(2021-10-22 17:45)
IPS-DB: 18.00180(2021-10-16 00:12)
IPS-ETDB: 0.00000(2001-01-01 00:00)
APP-DB: 18.00175(2021-10-12 00:19)
INDUSTRIAL-DB: 6.00741(2015-12-01 02:30)
IPS Malicious URL Database: 3.00164(2021-10-22 08:14)
#以下略

更新スケジュールの設定は以下 [FortiGuard アップデート > スケジュールされたアップデート] でできます。

デフォルトでは [自動](1時間ごとに更新を確認)になっています。

参考資料

Security Profiles | Administration Guide

タイトルとURLをコピーしました