explicit プロキシ編～ - fortinet...13 –fortigate secure sd-wan configuration – explicit...

1 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02

Presented by Fortinet SE Team

セキュア SD-WAN

設定ガイド

～Explicitプロキシ編～

Version 1.02

フォーティネットジャパン株式会社

2020年 2月



免責事項

本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。

フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を

問わず本ドキュメントまたはその一部を複製する事は禁じられています。

また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、

ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承

下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その

記述内容は予告なしに変更される事があります。



目次：

第１章：はじめに P4

第 2章： FortiAnalyzerの設定 P7

第 3章： Explicitプロキシの設定 P10

第 4章： Explicitプロキシの設定（多段プロキシ） P15

Appendix： P24

改訂履歴 P25



1. はじめに

この設定ガイドは ISDBを利用した Explicitプロキシの設定ガイドです。

企業や組織で「Microsoft Office 365」をはじめとするクラウドサービス利用の増加

にともない、プロキシサーバに想定以上の負荷がかかり、ネットワークやセキュリテ

ィのあり方を再考する必要が増えてきました。Fortinetではデータセンターや各拠点

に設置した FortiGateをファイアウォールとしてだけでなく、Webプロキシサーバと

して利用することで、既存のプロキシサーバへの負荷を軽減することが可能です。

本設定ガイドでは、Office365への通信はデータセンター内の FortiGate(Webプロキ

シ)を経由して直接インターネットへ接続し、それ以外の通信は既存Webプロキシサ

ーバを経由してインターネット接続をするように設定しています。

ISDB（Internet Service Database）とは、Office365など約 300種類のクラウドア

プリケーションで利用されている IPアドレスやポート番号（TCP/UDP）情報のデー

タベースのことです。FortiGuardラボがデータベース化し、自動的にアップデートさ

れます。本ガイドでは、第 4章 4-3 スタティックルートの宛先選択時に ISDBを利

用しています。



1-1 利用機器と OS バージョン

FortiGate FortiGate 500E 6.0.2

FortiAnalyzer FortiAnalyzer 400E 6.0.2

※本設定ガイドの構成で利用する場合は FOS 6.2.1以下のバージョンをご利用ください。

(2020年 2月現在)

1-2 物理構成

※本ガイドでは FortiGate 500Eを利用して既存 Proxy環境を構築しています。

1-3 論理構成



1-4 参考資料

本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な

情報が必要な場合は以下も合わせてご参照ください。

FortiGate

FortiOS Handbook – Explicit Proxy

https://docs.fortinet.com/d/fortigate-pdf-handbook-60

FortiOS 6.0 CLI Reference – web-proxy / firewall proxy-policy

https://docs.fortinet.com/d/fortigate-cli-ref-60

FortiGateモデル毎に Explicitプロキシ最大同時接続ユーザ数が設定されています。

FortiOS 6.0.2 Maximum Values Table

https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table

FortiAnalyzer

FortiAnalyzer 6.0.2 Administration Guide

https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide

https://docs.fortinet.com/d/fortigate-pdf-handbook-60

https://docs.fortinet.com/d/fortigate-cli-ref-60

https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table

https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide



2. FortiAnalyzer の設定

第２章では、FortiAnalyzerの設定について説明をしています。FortiGate 500Eのロ

グはすべて FortiAnalyzerへ送り、メモリでのローカルログは無効化します。

2-1. FortiGate の設定

左メニュー「ログ＆レポート」→「ログ設定」をクリックします。ローカルログは無

効にし、「ログを FortiAnalyzer/FortiManagerへ送る」を有効にします。

FortiAnalyzerの IPアドレスを入力し、「接続テスト」をクリックします。この時点

では FortiAnalyzerで FortiGateの登録をしていないので GUI画面のように注意が表

示されます。アップロードオプションの「リアルタイム」を選択し「適用」をクリッ

クします。

FortiAnalyzerの IPアドレス： 172.16.10.253

※同様の設定を FG500E-2で実施します。



2-2. FortiAnalyzer のシステム情報の変更

まず初めに、FortiAnalyzerのシステム情報を以下のように変更します。「システム設

定」をクリックし、表示画面の右にあるをクリックします。

ホスト名： FAZ400E

システム時刻： (GMT+9:00) Osaka, Sapporo, Tokyo, Seoul

2-3. FortiGate の登録

「デバイスマネージャー」をクリックします。未登録デバイスが 2台あることが確認

できます。



続けて、「？」をクリックします。2-1で設定をした FG500E-1と FG500E-2である

ことを確認したら、チェックをし、「追加」をクリックします。

確認画面が表示されます。デバイス名は変更せず、「OK」をクリックします。

これで 2台の FortiGateの登録が完了しました。



3. Explicit プロキシの設定

第 3章では、FortiGateをプロキシサーバとして利用する設定方法について説明して

います。構成図データセンター内の FortiGate 500E-1の設定です。

3-1. システムオペレーションの設定

Explicitプロキシ機能を利用するためにはプロキシモードで動作する必要がありま

す。左メニュー「システム」→「設定」をクリックします。インスペクションモード

の「プロキシ」を選択して「適用」をクリックします。

3-2. Explicit プロキシの機能表示

Explicitプロキシの設定画面を表示させます。左メニュー「システム」→「表示機能

設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に

して「適用」をクリックします。



3-3. Explicit プロキシの設定

左メニュー「ネットワーク」→「Explicitプロキシ」をクリックします。「Explicit

Webプロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。

リッスンするインターフェース： port 1

HTTPポート： 8080



3-4. プロキシポリシーの設定

左メニュー「ポリシー＆オブジェクト」→「プロキシポリシー」をクリックし、新規

作成をします。以下の設定を入力し「OK」をクリックします。

出力インターフェース： port 8

送信元： all

宛先： all

サービス： webproxy

セキュリティプロファイル：すべてを有効化

ロギングオプション：すべてのセッション



3-5. PC の設定

インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。

LANにプロキシサーバーを使用する：チェックする

アドレス： 172.16.10.254（FG500E-1 port1）

ポート： 8080



3-6. ログの確認

PC1、PC2からWebブラウザを使用しインターネットにアクセスをします。

FortiAnalyzerでプロキシサーバへのアクセスログが出力されていることを確認しま

す。

「ログビュー」をクリックし、表示デバイスを「FG500E-1」のみにします。

送信元 IPでフィルタリングして表示します。「Source IP = 172.16.20.0/24」

カラムを並びを変えて確認しやすくします。



4. Explicit プロキシの設定（多段プロキシ）

第 4章では、Office365への通信は拠点から直接インターネットへ接続するための、

FortiGateをプロキシサーバとして利用する設定方法について説明しています。構成

図データセンター内の FortiGate 500E-2の設定です。

4-1. システムオペレーションの設定

Explicitプロキシ機能を利用するためにはプロキシモードで動作する必要がありま

す。左メニュー「システム」→「設定」をクリックします。インスペクションモード

の「プロキシ」を選択して「適用」をクリックします。また、FG500E-2は FG500E-

1の設定画面と区別するため、設定画面のテーマを「マリナー」に設定しています。

4-2. Explicit プロキシの機能表示

Explicitプロキシの設定画面を表示させます。左メニュー「システム」→「表示機能

設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に

して「適用」をクリックします。



4-3. スタティックルートの設定

Office365への通信は直接インターネットへ接続するため、スタティックルートを設

定します。左メニュー「ネットワーク」→「スタティックルート」をクリックし、新

規作成をします。

宛先：インターネットサービスを選択

Microsoft-Microsoft.Update, Microsoft-Office365,

Microsoft.Outlook, Microsoft-Skype を選択

※Office365向けには最低でも上記４つの ISDBが必要になります。また、Microsoft-Azure

を選択すると Azure上に構築されたサイトが該当する場合があるので注意が必要です。

※FOS6.0.3以前を使用している場合は Microsoft-Skype.Outboundも必要です。

ゲートウェイ： 10.255.254.254

インターフェース： port 7

※インターネットサービスを選択した際、宛先はひとつしか指定することができないため、ひ

とつずつ作成をし、同じ作業を繰り返します。

※本ガイドで使用している ISDBのバージョンは 5.00330です。

バージョンは左メニュー「システム」→「FortiGuard」から「インターネットサービスデー

タベースの定義」から確認できます。



4-4. IPv4 ポリシーの追加

左メニュー「ポリシー＆オブジェクト」→「IPv4ポリシー」をクリックし、新規作成

をします。

名前： Office365

入力インターフェース： port1

出力インターフェース： port7

送信元： all









4-5. Explicit プロキシの設定

左メニュー「ネットワーク」→「Explicitプロキシ」をクリックします。「Explicit

Webプロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。ま

た、第 4章ではWebプロキシフォワーディングサーバを新規作成します。

リッスンするインターフェース： port 1

HTTPポート： 8080

次に、Webプロキシフォワーディングサーバの設定を行います。4-6 プロキシポリシ

ーの設定において、Office 365以外の通信を上位のプロキシサーバ（本ガイドでは

FG500E-1）へ転送するための設定です。

※設定内容と設定画面の GUIは次のページにあります。



Webプロキシフォワーディングサーバの設定

名前： FG500E-1

プロキシアドレス： 172.16.10.254

ポート： 8080

ヘルスモニタ：有効化

ヘルスチェックモニタサイト： http://www.google.com

4-6. プロキシポリシーの設定 – Office 365 への通信

左メニュー「ポリシー＆オブジェクト」→「プロキシポリシー」をクリックし、新規

作成をします。以下の設定を入力し「OK」をクリックします。

出力インターフェース： port 7

送信元： all









4-7. プロキシポリシーの設定 – Office365 以外の通信

プロキシポリシーを追加します。以下の設定を入力し「OK」をクリックします。

出力インターフェース： port8

送信元： all

宛先： all

サービス： webproxy

Webプロキシフォワーディングサーバ： FG500E-1





4-8. PC の設定

インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。

LANにプロキシサーバーを使用する：チェックする

アドレス： 10.0.10.1（FG500E-2 port1）

ポート： 8080

4-9. ログの確認

PC2からインターネットにアクセスをし、FortiAnalyzerでログを確認します。「ロ

グビュー」をクリックし、表示デバイスを「FG500E-2」のみにします。



送信元 IPでフィルタリングして表示します。「Source IP = 172.16.20.0/24」

「カラム設定」をクリックし、「宛先インターフェース」を追加します。

Microsoft Office365への通信は port7から直接ゲートウェイルータへ送信され、そ

れ以外の通信は既存の Proxyサーバへ送信されていることがわかります。



Appendix

送信元 IP の維持

Explicitプロキシ機能を使用する場合、デフォルトの NAT/Routeモードではパケット

の送信元アドレスを FortiGateのインターフェースの IPアドレスに変換し、トランス

ペアレントモードではマネジメント IPに変換します。元のクライアントの送信元 IP

アドレスを維持するためには、FortiGateの GUI管理画面右上の「>_」をクリックし

て CLIにアクセスし、次の設定を行います。

FGT500E # config firewall proxy-policy

FGT500E (profile) # edit 1

FGT500E (1) # set transparent enable

XFF(X-forwarded-for)ヘッダの追加

XFFは HTTPヘッダフィールドの 1つであり、Webプロキシサーバを経由してウェ

ブサーバにアクセスする際に、クライアントの送信元 IPアドレスを特定するために利

用されます。FortiGateの GUI管理画面右上の「>_」をクリックして CLIにアクセス

し、下記の設定を行います。

FGT500E # config web-proxy profile

FGT500E (profile) # edit AddXFF

FGT500E (profile) # set header-x-forwarded-for add

FGT500E # config firewall proxy-policy

FGT500E (profile) # edit 1

FGT500E (1) # set webproxy-profile “AddXFF”



改訂履歴

バージョンリリース日改訂内容

1.00 2018.08.28 初版制定

1.01 2019.2.28 P16, P17, P19

宛先に指定するインターネットサービスについて

(変更前)“Microsoft”を検索して該当するすべてのサ

ービス

(変更後）Microsoft-Microsoft.Update, Microsoft-

Office365, Microsoft.Outlook, Microsoft-Skype

を選択

1.0.2 2020.02.20 P5

対応 FortiOSバージョンを追記

explicit プロキシ編～ - fortinet...13 –fortigate secure sd-wan configuration – explicit...

Documents