FortiGate カテゴリフィルタの導入手順

FortiGateでWebフィルタリングを設定する方法をご紹介します。

ファームウェアによって画面が多少変わるかもしれませんが、基本的な設定箇所と仕様自体はそうそう変わりません。

1.Webフィルタ(FortiGuardカテゴリフィルタ)の有効化

UTMライセンスを購入している場合、カテゴリフィルタを使うのが便利です。

まず「セキュリティプロファイル」-「Webフィルタ」から「FortiGuardカテゴリーによるフィルタ」をクリックして有効化します。

「FortiGuardカテゴリーによるフィルタ」をクリック

基本的には有効化するだけでデフォルトのルールが設定されています。

もしカテゴリフィルタの設定を変更したい場合、変更したい項目の上で右クリックを押すことで変更することができます。

例えば”アルコール”カテゴリをブロックしたい場合は、”アルコール”の上で右クリックから変更できる

2.ポリシーへの適用

実は、Webフィルタリング(FortiGateカテゴリーによるフィルター)を有効化するだけではフィルタリングは実施されません。ポリシーに適用する必要があります。

「IPv4ポリシー」からWebフィルタリングを実施したいポリシーを編集します。

下の方にある「Webフィルタ」をクリックして有効化します。その後「OK」を押した時点から、この例で言うと VLAN10 → wan1 での通信においてカテゴリフィルタがはじまります。

Webフィルタリングを有効化するとポリシーが以下のように変化します。

全てのWebサイトがブロックされるわけではない

私は先ほど流れで「アルコール」カテゴリをブロックに設定しました。Google で検索してみましょう。

普通に検索することができました。カテゴリでフィルターをかけたからといって、Google の検索ができなくなるわけではありません。

(Google のドメインはカテゴリ的には「Search Engines and Portals」となっているので、そのカテゴリをブロックするとアウトです)

続いて上の方にあった Amazon のお酒ページをクリックしてみましたが、以下のようにアクセスすることができます。

これは Fortinet が Amazon のカテゴリを「ショッピング」に分類しているからです。

お酒の検索結果画面に戻って適当なページをクリックしてみました。すると以下のような画面になりました。

画面は Firefox。ドメインはモザイクをかけていますが、実際は見れます。

気にせずぐいぐい進んでいくと、最終的に次の画面になりました。

アルコールカテゴリでブロックされていることがわかります。

スタティックURLフィルタ

もしカテゴリフィルタのフィルタリング結果に少し手を加えたい場合はスタティックURLフィルタが適切でしょう。

スタティックURLフィルタでは基本的にドメインを指定して結果を制御します。例えば「turningp.jp」をブロックしたい場合は以下のように設定します。

“http://”や”https://”は除く。といってもシンプルの場合は自動で外される。

そうすると turningp.jp にアクセスすることができなくなります。この設定例の場合、turningp.jp のサブドメインであろうと配下のディレクトリであろうとすべてブロックしてくれます。

ページ(URL)単位で制御したい場合

 

もしページごとに制御をしたいと思った場合、それは極力避けた方がいいでしょう。

なぜなら、https(SSLを使った)通信の場合、URLはSSLで暗号化されてしまうため、SSLインスペクション機能(簡単に言うと暗号化通信の復号)を有効化する必要があります。FortiGateではこの機能はデフォルトで無効化されています。よって、httpsを使用しているページの場合、ページごとの制御はデフォルトではできないようになっています。(httpであればデフォルトの状態でも制御できます)

 

もちろん、SSLインスペクション機能を使用すればhttpsだろうと通信を制御することができるようになります。ただし、SSLインスペクションがデフォルトで無効になっているのにも理由があります。

 

・すべてのクライアントPCにFortiGateからダウンロードした証明書をインストールしなければならない

・通信を復号するためレスポンスが悪くなる

FortiGuard のカテゴリを調べる方法

https://fortiguard.com/webfilter

上記のサイトでは、あるURLがどのカテゴリに属しているのかを調べることができます。記事中で「Amazon はショッピングカテゴリ~」などと言っていたのも、このサイトから調べた結果を書いていただけです。

以下の記事はページ単位でのスタティックURLフィルタを実施する手順をまとめたものです(ページ単位のフィルタを行う場合は、SSLに関して考える必要があります)

FortiGete スタティックURLフィルタリングによるサイトブロック手順

以下の記事はカテゴリフィルタでブロックされてしまったサイトを「許可」する方法とIPアドレスでのWebフィルタリング方法を記載しています。

FortiGateでカテゴリフィルタとURLフィルタ(許可)を組み合わせる方法

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)