TURNING POINT 
前回、前々回と FortiGate の Web フィルタリングに関する記事をアップしてきました。
FortiGete スタティックURLフィルタリングによるサイトブロック手順
その中であえて触れなかったことが2つあります。それはスタティックURLフィルタにおける「許可」設定と「IPアドレス」での制御です。特に前者に関しては、ブロックはできたし”アクションを許可にすればできるだろう” と軽く考えていると痛い目をみるのでご注意を。
Contents
スタティックURLで”許可”しているのに効かない
カテゴリフィルタを使用している状況で、ブロックされてしまった特定サイトを許可したにも関わらず、ブロックされたまま変化がないことがあります。
具体的に画面で見ていきましょう。下図では「アルコール」カテゴリがブロックされています。
カテゴリがブロックされているので、例えばアサヒビールのサイト(サイト選定に意図はありません。ごめんなさい<(_ _)>)はカテゴリがアルコールであるためブロックされます。
次にスタティックURLフィルタで「asahibeer.co.jp」を許可するフィルタを追加しましょう。アクションは「許可」にします。
アクションを「許可」に設定
しかし、許可にしたはずなのにサイトアクセスがブロックされてしまいます。
許可されない
実は FortiGate の Web フィルタリングにおいて、カテゴリフィルタでブロックされたサイトを許可したい場合、アクションを「許可」ではなく「除外(exempt)」にしないと許可されません。実際にアクションを「除外(exempt)」に変更してみます。
すると、「asahibeer.co.jp」にアクセスできるようになりました。
アクションの「許可」っていつ使うの?
じゃあ「許可」ってどの場面で使うんだよ!!っていう感じかもしれませんが、スタティックURLフィルタでブロックされたサイトを許可することができます。
下図は「asahibeer.co.jp」以外全部ブロックという結果を期待して作成したURLフィルタです。「asahibeer.co.jp」のアクションを許可にしています。
ワイルドカードで「*」がブロックになっているため、基本的にすべてのサイトがブロックされます。
ただし、「asahibeer.co.jp」にはアクセス可能です。アクションが「除外」ではなく「許可」であったとしても、カテゴリフィルタによるブロックではなくURLフィルタによるブロックであればアクセスができるようになります。
ちなみに、アクションを「許可」から「除外(exempt)」に変更しても同じようにアクセス可能です。
許可と除外の違い
全部「除外」で済むなら「許可」を使う必要ってある?という思いになりそうですね。勿論、この2つは内部的な挙動が全然違います。
Block
Attempts to access any URLs matching the URL pattern are denied. The user will be presented with a replacement message.
(URLパターンに一致するURLにアクセスしようとすると拒否されます。ユーザーに置換メッセージが表示されます。)
Allow
Any attempt to access a URL that matches a URL pattern with an allow action is permitted. The traffic is passed to the remaining antivirus proxy operations, including FortiGuard Web Filter, web content filter, web script filters,and antivirus scanning.
Allow is the default action. If a URL does not appear in the URL list, it is permitted.
(許可アクションを使用してURLパターンと一致するURLにアクセスしようとする試みはすべて許可されます。トラフィックは、FortiGuard Webフィルタ、Webコンテンツフィルタ、Webスクリプトフィルタ、およびアンチウィルススキャンを含む、残りのアンチウィルスプロキシ操作に渡されます。許可がデフォルトのアクションです。 URLがURLリストに表示されない場合は許可されています。)
Monitor
Traffic to, and reply traffic from, sites matching a URL pattern with Monitor action applied will be allowed
through in the same way as the Allow action. The difference with the Monitor action is that a log message will be generated each time a matching traffic session is established. The requests will also be subject to all other Security Profiles inspections that would normally be applied to the traffic.
(モニタアクションが適用されたURLパターンに一致するサイトへのトラフィックとサイトからのトラフィックの返信は許可されます。[許可]アクションと同じ方法でをクリックします。 モニタアクションとの違いは、一致するトラフィックセッションが確立されるたびにログメッセージが生成されることです。要求はまたトラフィックに通常適用される他のすべてのセキュリティプロファイル検査の対象となります。)
Exempt
Exempt allows trusted traffic to bypass the antivirus and DLP proxy operations by default, but it functions slightly differently. In general, if you’re not certain that you need to use the Exempt action, use Monitor.Using the static URL filter to exempt scanning also prevents SSL inspection.
(除外は、信頼できるトラフィックがデフォルトでアンチウイルスおよびDLPプロキシ操作をバイパスすることを許可しますが、機能は若干異なります。一般に、除外アクションを使用する必要があることが確実でない場合は、モニタを使用してください。静的URLフィルタを使用してスキャンを除外すると、SSLインスペクションも防止されます。)
FortiOS™ Handbook – Security Profiles P105 より引用
あと google ありがとう。
アクションが「許可」の場合、トラフィックは FortiGuard Webフィルタ(カテゴリフィルタ)やアンチウイルススキャンを通るが「除外」の場合はそれらすべてをバイパスするといった感じですね。
スタティックURLフィルタは上から評価される
話を少しだけ元に戻します。先ほどの例で出した「asahibeer.co.jp」と「*」の順番を入れ替えると、「asahibeer.co.jp」を許可するフィルタがあったとしても先に「*」ブロックが適用されるためアクセスできなくなります。
上から順に評価される
IPアドレスをスタティックURLフィルタで使用可能か
IPアドレスをスタティックURLに使う事はできます。
例えば先ほどの「asahibeer.co.jp」を正引きしてみましょう。ここで注意しなくてはならないのは、私はドメインとして「asahibeer.co.jp」と言っていますが、実際のサーバは「www.asahibeer.co.jp」であることです。
下図のように、それらは別々のIPアドレスを持っているため、IPアドレスで制御したい場合適切なIPアドレスを調べる必要があります。
実際に設定します。カテゴリフィルタでアルコールがブロックされている状態です。
URLにIPアドレスを設定し、アクションを「除外」にしています。
上記設定でアクセスは可能になります。
勿論、IPアドレスが異なる場合はアクセスできません。例えば先ほど正引きした「asahibeer.co.jp」のIPアドレスを設定してみます。
そうするとアクセスできなくなります。
このあたりの挙動は実際にやってみればそう難しくはないのですが、想像だけで進めてしまうといざという時に対処できなくなります。ぜひお役に立ててください。
