セキュア SD-WAN
設定ガイド
~Explicit プロキシ編~
Version 1.02
フォーティネットジャパン株式会社
2020 年 2 月免責事項
本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。 フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を 問わず本ドキュメントまたはその一部を複製する事は禁じられています。 また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、 ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承 下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その 記述内容は予告なしに変更される事があります。目次:
第1章: はじめに P4 第 2 章: FortiAnalyzer の設定 P7 第 3 章: Explicit プロキシの設定 P10 第 4 章: Explicit プロキシの設定(多段プロキシ) P15 Appendix: P24 改訂履歴 P251. はじめに
この設定ガイドは ISDB を利用した Explicit プロキシの設定ガイドです。 企業や組織で「Microsoft Office 365」をはじめとするクラウドサービス利用の増加 にともない、プロキシサーバに想定以上の負荷がかかり、ネットワークやセキュリテ ィのあり方を再考する必要が増えてきました。Fortinet ではデータセンターや各拠点 に設置した FortiGate をファイアウォールとしてだけでなく、Web プロキシサーバと して利用することで、既存のプロキシサーバへの負荷を軽減することが可能です。 本設定ガイドでは、Office365 への通信はデータセンター内の FortiGate(Web プロキ シ)を経由して直接インターネットへ接続し、それ以外の通信は既存 Web プロキシサ ーバを経由してインターネット接続をするように設定しています。ISDB(Internet Service Database)とは、Office365 など約 300 種類のクラウドア プリケーションで利用されている IP アドレスやポート番号(TCP/UDP)情報のデー タベースのことです。FortiGuard ラボがデータベース化し、自動的にアップデートさ れます。本ガイドでは、第 4 章 4-3 スタティックルートの宛先選択時に ISDB を利 用しています。
1-1 利用機器と OS バージョン
FortiGate FortiGate 500E 6.0.2 FortiAnalyzer FortiAnalyzer 400E 6.0.2
※本設定ガイドの構成で利用する場合は FOS 6.2.1 以下のバージョンをご利用ください。 (2020 年 2 月現在)
1-2 物理構成
※本ガイドでは FortiGate 500E を利用して既存 Proxy 環境を構築しています。
1-4 参考資料
本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な 情報が必要な場合は以下も合わせてご参照ください。
FortiGate
FortiOS Handbook – Explicit Proxy
https://docs.fortinet.com/d/fortigate-pdf-handbook-60
FortiOS 6.0 CLI Reference – web-proxy / firewall proxy-policy
https://docs.fortinet.com/d/fortigate-cli-ref-60
FortiGate モデル毎に Explicit プロキシ最大同時接続ユーザ数が設定されています。 FortiOS 6.0.2 Maximum Values Table
https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table
FortiAnalyzer
FortiAnalyzer 6.0.2 Administration Guide
2. FortiAnalyzer の設定
第2章では、FortiAnalyzer の設定について説明をしています。FortiGate 500E のロ グはすべて FortiAnalyzer へ送り、メモリでのローカルログは無効化します。
2-1.
FortiGate の設定
左メニュー「ログ&レポート」→「ログ設定」をクリックします。ローカルログは無 効にし、「ログを FortiAnalyzer/FortiManager へ送る」を有効にします。
FortiAnalyzer の IP アドレスを入力し、「接続テスト」をクリックします。この時点 では FortiAnalyzer で FortiGate の登録をしていないので GUI 画面のように注意が表 示されます。アップロードオプションの「リアルタイム」を選択し「適用」をクリッ クします。
FortiAnalyzer の IP アドレス: 172.16.10.253
2-2.
FortiAnalyzer のシステム情報の変更
まず初めに、FortiAnalyzer のシステム情報を以下のように変更します。「システム設 定」をクリックし、表示画面の右にある をクリックします。
ホスト名: FAZ400E
システム時刻: (GMT+9:00) Osaka, Sapporo, Tokyo, Seoul
2-3.
FortiGate の登録
「デバイスマネージャー」をクリックします。未登録デバイスが 2 台あることが確認 できます。
続けて、「?」をクリックします。2-1 で設定をした FG500E-1 と FG500E-2 である ことを確認したら、チェックをし、「追加」をクリックします。
確認画面が表示されます。デバイス名は変更せず、「OK」をクリックします。
3. Explicit プロキシの設定
第 3 章では、FortiGate をプロキシサーバとして利用する設定方法について説明して います。構成図データセンター内の FortiGate 500E-1 の設定です。3-1.
システムオペレーションの設定
Explicit プロキシ機能を利用するためにはプロキシモードで動作する必要がありま す。左メニュー「システム」→「設定」をクリックします。インスペクションモード の「プロキシ」を選択して「適用」をクリックします。3-2.
Explicit プロキシの機能表示
Explicit プロキシの設定画面を表示させます。左メニュー「システム」→「表示機能 設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に して「適用」をクリックします。3-3.
Explicit プロキシの設定
左メニュー「ネットワーク」→「Explicit プロキシ」をクリックします。「Explicit Web プロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。
リッスンするインターフェース: port 1 HTTP ポート: 8080
3-4.
プロキシポリシーの設定
左メニュー「ポリシー&オブジェクト」→「プロキシポリシー」をクリックし、新規 作成をします。以下の設定を入力し「OK」をクリックします。 出力インターフェース: port 8 送信元: all 宛先: all サービス: webproxy セキュリティプロファイル: すべてを有効化 ロギングオプション: すべてのセッション3-5.
PC の設定
インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。
LAN にプロキシサーバーを使用する: チェックする アドレス: 172.16.10.254(FG500E-1 port1) ポート: 8080
3-6.
ログの確認
PC1、PC2 から Web ブラウザを使用しインターネットにアクセスをします。 FortiAnalyzer でプロキシサーバへのアクセスログが出力されていることを確認しま す。 「ログビュー」をクリックし、表示デバイスを「FG500E-1」のみにします。 送信元 IP でフィルタリングして表示します。「Source IP = 172.16.20.0/24」 カラムを並びを変えて確認しやすくします。4. Explicit プロキシの設定(多段プロキシ)
第 4 章では、Office365 への通信は拠点から直接インターネットへ接続するための、 FortiGate をプロキシサーバとして利用する設定方法について説明しています。構成 図データセンター内の FortiGate 500E-2 の設定です。4-1.
システムオペレーションの設定
Explicit プロキシ機能を利用するためにはプロキシモードで動作する必要がありま す。左メニュー「システム」→「設定」をクリックします。インスペクションモード の「プロキシ」を選択して「適用」をクリックします。また、2 は FG500E-1 の設定画面と区別するため、設定画面のテーマを「マリナー」に設定しています。4-2.
Explicit プロキシの機能表示
Explicit プロキシの設定画面を表示させます。左メニュー「システム」→「表示機能 設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に して「適用」をクリックします。4-3.
スタティックルートの設定
Office365 への通信は直接インターネットへ接続するため、スタティックルートを設 定します。左メニュー「ネットワーク」→「スタティックルート」をクリックし、新 規作成をします。 宛先: インターネットサービスを選択 Microsoft-Microsoft.Update, Microsoft-Office365, Microsoft.Outlook, Microsoft-Skype を選択※Office365 向けには最低でも上記4つの ISDB が必要になります。また、Microsoft-Azure を選択すると Azure 上に構築されたサイトが該当する場合があるので注意が必要です。 ※FOS6.0.3 以前を使用している場合は Microsoft-Skype.Outbound も必要です。 ゲートウェイ: 10.255.254.254 インターフェース: port 7 ※インターネットサービスを選択した際、宛先はひとつしか指定することができないため、ひ とつずつ作成をし、同じ作業を繰り返します。 ※本ガイドで使用している ISDB のバージョンは 5.00330 です。 バージョンは左メニュー「システム」→「FortiGuard」から「インターネットサービスデー タベースの定義」から確認できます。
4-4.
IPv4 ポリシーの追加
左メニュー「ポリシー&オブジェクト」→「IPv4 ポリシー」をクリックし、新規作成 をします。 名前: Office365 入力インターフェース: port1 出力インターフェース: port7 送信元: all 宛先: インターネットサービスを選択 Microsoft-Microsoft.Update, Microsoft-Office365, Microsoft.Outlook, Microsoft-Skype を選択※Office365 向けには最低でも上記4つの ISDB が必要になります。また、Microsoft-Azure を選択すると Azure 上に構築されたサイトが該当する場合があるので注意が必要です。 ※FOS6.0.3 以前を使用している場合は Microsoft-Skype.Outbound も必要です。
4-5.
Explicit プロキシの設定
左メニュー「ネットワーク」→「Explicit プロキシ」をクリックします。「Explicit Web プロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。ま た、第 4 章では Web プロキシフォワーディングサーバを新規作成します。 リッスンするインターフェース: port 1 HTTP ポート: 8080 次に、Web プロキシフォワーディングサーバの設定を行います。4-6 プロキシポリシ ーの設定において、Office 365 以外の通信を上位のプロキシサーバ(本ガイドでは FG500E-1)へ転送するための設定です。 ※設定内容と設定画面の GUI は次のページにあります。Web プロキシフォワーディングサーバの設定 名前: FG500E-1 プロキシアドレス: 172.16.10.254 ポート: 8080 ヘルスモニタ: 有効化 ヘルスチェックモニタサイト: http://www.google.com
4-6.
プロキシポリシーの設定 – Office 365 への通信
左メニュー「ポリシー&オブジェクト」→「プロキシポリシー」をクリックし、新規 作成をします。以下の設定を入力し「OK」をクリックします。 出力インターフェース: port 7 送信元: all 宛先: インターネットサービスを選択 Microsoft-Microsoft.Update, Microsoft-Office365, Microsoft.Outlook, Microsoft-Skype を選択セキュリティプロファイル: すべてを有効化 ロギングオプション: すべてのセッション
4-7.
プロキシポリシーの設定 – Office365 以外の通信
プロキシポリシーを追加します。以下の設定を入力し「OK」をクリックします。 出力インターフェース: port8 送信元: all 宛先: all サービス: webproxy Web プロキシフォワーディングサーバ: FG500E-1 セキュリティプロファイル: すべてを有効化 ロギングオプション: すべてのセッション4-8.
PC の設定
インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。 LAN にプロキシサーバーを使用する: チェックする アドレス: 10.0.10.1(FG500E-2 port1) ポート: 80804-9.
ログの確認
PC2 からインターネットにアクセスをし、FortiAnalyzer でログを確認します。「ロ グビュー」をクリックし、表示デバイスを「FG500E-2」のみにします。送信元 IP でフィルタリングして表示します。「Source IP = 172.16.20.0/24」
「カラム設定」をクリックし、「宛先インターフェース」を追加します。
Microsoft Office365 への通信は port7 から直接ゲートウェイルータへ送信され、そ れ以外の通信は既存の Proxy サーバへ送信されていることがわかります。
Appendix
送信元 IP の維持
Explicit プロキシ機能を使用する場合、デフォルトの NAT/Route モードではパケット の送信元アドレスを FortiGate のインターフェースの IP アドレスに変換し、トランス ペアレントモードではマネジメント IP に変換します。元のクライアントの送信元 IP アドレスを維持するためには、FortiGate の GUI 管理画面右上の「>_」をクリックし て CLI にアクセスし、次の設定を行います。FGT500E # config firewall proxy-policy FGT500E (profile) # edit 1
FGT500E (1) # set transparent enable
XFF(X-forwarded-for)ヘッダの追加
XFF は HTTP ヘッダフィールドの 1 つであり、Web プロキシサーバを経由してウェ ブサーバにアクセスする際に、クライアントの送信元 IP アドレスを特定するために利 用されます。FortiGate の GUI 管理画面右上の「>_」をクリックして CLI にアクセス し、下記の設定を行います。
FGT500E # config web-proxy profile FGT500E (profile) # edit AddXFF
FGT500E (profile) # set header-x-forwarded-for add
FGT500E # config firewall proxy-policy FGT500E (profile) # edit 1
改訂履歴 バージョン リリース日 改訂内容 1.00 2018.08.28 初版制定 1.01 2019.2.28 P16, P17, P19 宛先に指定するインターネットサービスについて (変更前)“Microsoft”を検索して該当するすべてのサ ービス (変更後)Microsoft.Update, Microsoft-Office365, Microsoft.Outlook, Microsoft-Skype を選択
1.0.2 2020.02.20 P5
