FortiGateでWebフィルタリングを設定する方法をご紹介します。
ファームウェアによって画面が多少変わるかもしれませんが、基本的な設定箇所と仕様自体はそうそう変わりません。
Contents
1.Webフィルタ(FortiGuardカテゴリフィルタ)の有効化
UTMライセンスを購入している場合、カテゴリフィルタを使うのが便利です。
まず「セキュリティプロファイル」-「Webフィルタ」から「FortiGuardカテゴリーによるフィルタ」をクリックして有効化します。
基本的には有効化するだけでデフォルトのルールが設定されています。
もしカテゴリフィルタの設定を変更したい場合、変更したい項目の上で右クリックを押すことで変更することができます。
2.ポリシーへの適用
実は、Webフィルタリング(FortiGateカテゴリーによるフィルター)を有効化するだけではフィルタリングは実施されません。ポリシーに適用する必要があります。
「IPv4ポリシー」からWebフィルタリングを実施したいポリシーを編集します。
下の方にある「Webフィルタ」をクリックして有効化します。その後「OK」を押した時点から、この例で言うと VLAN10 → wan1 での通信においてカテゴリフィルタがはじまります。
Webフィルタリングを有効化するとポリシーが以下のように変化します。
全てのWebサイトがブロックされるわけではない
私は先ほど流れで「アルコール」カテゴリをブロックに設定しました。Google で検索してみましょう。
普通に検索することができました。カテゴリでフィルターをかけたからといって、Google の検索ができなくなるわけではありません。
(Google のドメインはカテゴリ的には「Search Engines and Portals」となっているので、そのカテゴリをブロックするとアウトです)
続いて上の方にあった Amazon のお酒ページをクリックしてみましたが、以下のようにアクセスすることができます。
これは Fortinet が Amazon のカテゴリを「ショッピング」に分類しているからです。
お酒の検索結果画面に戻って適当なページをクリックしてみました。すると以下のような画面になりました。
気にせずぐいぐい進んでいくと、最終的に次の画面になりました。
アルコールカテゴリでブロックされていることがわかります。
スタティックURLフィルタ
もしカテゴリフィルタのフィルタリング結果に少し手を加えたい場合はスタティックURLフィルタが適切でしょう。
スタティックURLフィルタでは基本的にドメインを指定して結果を制御します。例えば「turningp.jp」をブロックしたい場合は以下のように設定します。
そうすると turningp.jp にアクセスすることができなくなります。この設定例の場合、turningp.jp のサブドメインであろうと配下のディレクトリであろうとすべてブロックしてくれます。
ページ(URL)単位で制御したい場合
もしページごとに制御をしたいと思った場合、それは極力避けた方がいいでしょう。
なぜなら、https(SSLを使った)通信の場合、URLはSSLで暗号化されてしまうため、SSLインスペクション機能(簡単に言うと暗号化通信の復号)を有効化する必要があります。FortiGateではこの機能はデフォルトで無効化されています。よって、httpsを使用しているページの場合、ページごとの制御はデフォルトではできないようになっています。(httpであればデフォルトの状態でも制御できます)
もちろん、SSLインスペクション機能を使用すればhttpsだろうと通信を制御することができるようになります。ただし、SSLインスペクションがデフォルトで無効になっているのにも理由があります。
・すべてのクライアントPCにFortiGateからダウンロードした証明書をインストールしなければならない
・通信を復号するためレスポンスが悪くなる
FortiGuard のカテゴリを調べる方法
上記のサイトでは、あるURLがどのカテゴリに属しているのかを調べることができます。記事中で「Amazon はショッピングカテゴリ~」などと言っていたのも、このサイトから調べた結果を書いていただけです。
以下の記事はページ単位でのスタティックURLフィルタを実施する手順をまとめたものです(ページ単位のフィルタを行う場合は、SSLに関して考える必要があります)
FortiGete スタティックURLフィルタリングによるサイトブロック手順
以下の記事はカテゴリフィルタでブロックされてしまったサイトを「許可」する方法とIPアドレスでのWebフィルタリング方法を記載しています。