explicit プロキシ編~ - fortinet...13 –fortigate secure sd-wan configuration – explicit...
TRANSCRIPT
1 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
セキュア SD-WAN
設定ガイド
~Explicitプロキシ編~
Version 1.02
フォーティネットジャパン株式会社
2020年 2月
2 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
免責事項
本ドキュメントに関する著作権は、フォーティネットジャパン株式会社へ帰属します。
フォーティネットジャパン株式会社が事前に承諾している場合を除き、形態及び手段を
問わず本ドキュメントまたはその一部を複製する事は禁じられています。
また本内容は参考例となります。個別のセキュリティ対策に関する要件を満たすには、
ご利用者様ごとにプランニングおよび設定の調整が必要となりますので、予めご了承
下さい。尚、本ドキュメントの作成にあたっては最新の注意を払っておりますが、その
記述内容は予告なしに変更される事があります。
3 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
目次:
第1章: はじめに P4
第 2章: FortiAnalyzerの設定 P7
第 3章: Explicitプロキシの設定 P10
第 4章: Explicitプロキシの設定(多段プロキシ) P15
Appendix: P24
改訂履歴 P25
4 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
1. はじめに
この設定ガイドは ISDBを利用した Explicitプロキシの設定ガイドです。
企業や組織で「Microsoft Office 365」をはじめとするクラウドサービス利用の増加
にともない、プロキシサーバに想定以上の負荷がかかり、ネットワークやセキュリテ
ィのあり方を再考する必要が増えてきました。Fortinetではデータセンターや各拠点
に設置した FortiGateをファイアウォールとしてだけでなく、Webプロキシサーバと
して利用することで、既存のプロキシサーバへの負荷を軽減することが可能です。
本設定ガイドでは、Office365への通信はデータセンター内の FortiGate(Webプロキ
シ)を経由して直接インターネットへ接続し、それ以外の通信は既存Webプロキシサ
ーバを経由してインターネット接続をするように設定しています。
ISDB(Internet Service Database)とは、Office365など約 300種類のクラウドア
プリケーションで利用されている IPアドレスやポート番号(TCP/UDP)情報のデー
タベースのことです。FortiGuardラボがデータベース化し、自動的にアップデートさ
れます。本ガイドでは、第 4章 4-3 スタティックルートの宛先選択時に ISDBを利
用しています。
5 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
1-1 利用機器と OS バージョン
FortiGate FortiGate 500E 6.0.2
FortiAnalyzer FortiAnalyzer 400E 6.0.2
※本設定ガイドの構成で利用する場合は FOS 6.2.1以下のバージョンをご利用ください。
(2020年 2月現在)
1-2 物理構成
※本ガイドでは FortiGate 500Eを利用して既存 Proxy環境を構築しています。
1-3 論理構成
6 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
1-4 参考資料
本設定ガイドで紹介している設定は公式な設定ガイドに基づいています。より詳細な
情報が必要な場合は以下も合わせてご参照ください。
FortiGate
FortiOS Handbook – Explicit Proxy
https://docs.fortinet.com/d/fortigate-pdf-handbook-60
FortiOS 6.0 CLI Reference – web-proxy / firewall proxy-policy
https://docs.fortinet.com/d/fortigate-cli-ref-60
FortiGateモデル毎に Explicitプロキシ最大同時接続ユーザ数が設定されています。
FortiOS 6.0.2 Maximum Values Table
https://docs.fortinet.com/d/fortigate-fortios-6.0.2-maximum-values-table
FortiAnalyzer
FortiAnalyzer 6.0.2 Administration Guide
https://docs.fortinet.com/d/fortianalyzer-6.0.2-admin-guide
7 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
2. FortiAnalyzer の設定
第2章では、FortiAnalyzerの設定について説明をしています。FortiGate 500Eのロ
グはすべて FortiAnalyzerへ送り、メモリでのローカルログは無効化します。
2-1. FortiGate の設定
左メニュー「ログ&レポート」→「ログ設定」をクリックします。ローカルログは無
効にし、「ログを FortiAnalyzer/FortiManagerへ送る」を有効にします。
FortiAnalyzerの IPアドレスを入力し、「接続テスト」をクリックします。この時点
では FortiAnalyzerで FortiGateの登録をしていないので GUI画面のように注意が表
示されます。アップロードオプションの「リアルタイム」を選択し「適用」をクリッ
クします。
FortiAnalyzerの IPアドレス: 172.16.10.253
※同様の設定を FG500E-2で実施します。
8 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
2-2. FortiAnalyzer のシステム情報の変更
まず初めに、FortiAnalyzerのシステム情報を以下のように変更します。「システム設
定」をクリックし、表示画面の右にある をクリックします。
ホスト名: FAZ400E
システム時刻: (GMT+9:00) Osaka, Sapporo, Tokyo, Seoul
2-3. FortiGate の登録
「デバイスマネージャー」をクリックします。未登録デバイスが 2台あることが確認
できます。
9 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
続けて、「?」をクリックします。2-1で設定をした FG500E-1と FG500E-2である
ことを確認したら、チェックをし、「追加」をクリックします。
確認画面が表示されます。デバイス名は変更せず、「OK」をクリックします。
これで 2台の FortiGateの登録が完了しました。
10 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
3. Explicit プロキシの設定
第 3章では、FortiGateをプロキシサーバとして利用する設定方法について説明して
います。構成図データセンター内の FortiGate 500E-1の設定です。
3-1. システムオペレーションの設定
Explicitプロキシ機能を利用するためにはプロキシモードで動作する必要がありま
す。左メニュー「システム」→「設定」をクリックします。インスペクションモード
の「プロキシ」を選択して「適用」をクリックします。
3-2. Explicit プロキシの機能表示
Explicitプロキシの設定画面を表示させます。左メニュー「システム」→「表示機能
設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に
して「適用」をクリックします。
11 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
3-3. Explicit プロキシの設定
左メニュー「ネットワーク」→「Explicitプロキシ」をクリックします。「Explicit
Webプロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。
リッスンするインターフェース: port 1
HTTPポート: 8080
12 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
3-4. プロキシポリシーの設定
左メニュー「ポリシー&オブジェクト」→「プロキシポリシー」をクリックし、新規
作成をします。以下の設定を入力し「OK」をクリックします。
出力インターフェース: port 8
送信元: all
宛先: all
サービス: webproxy
セキュリティプロファイル: すべてを有効化
ロギングオプション: すべてのセッション
13 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
3-5. PC の設定
インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。
LANにプロキシサーバーを使用する: チェックする
アドレス: 172.16.10.254(FG500E-1 port1)
ポート: 8080
14 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
3-6. ログの確認
PC1、PC2からWebブラウザを使用しインターネットにアクセスをします。
FortiAnalyzerでプロキシサーバへのアクセスログが出力されていることを確認しま
す。
「ログビュー」をクリックし、表示デバイスを「FG500E-1」のみにします。
送信元 IPでフィルタリングして表示します。「Source IP = 172.16.20.0/24」
カラムを並びを変えて確認しやすくします。
15 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4. Explicit プロキシの設定(多段プロキシ)
第 4章では、Office365への通信は拠点から直接インターネットへ接続するための、
FortiGateをプロキシサーバとして利用する設定方法について説明しています。構成
図データセンター内の FortiGate 500E-2の設定です。
4-1. システムオペレーションの設定
Explicitプロキシ機能を利用するためにはプロキシモードで動作する必要がありま
す。左メニュー「システム」→「設定」をクリックします。インスペクションモード
の「プロキシ」を選択して「適用」をクリックします。また、FG500E-2は FG500E-
1の設定画面と区別するため、設定画面のテーマを「マリナー」に設定しています。
4-2. Explicit プロキシの機能表示
Explicitプロキシの設定画面を表示させます。左メニュー「システム」→「表示機能
設定」をクリックします。セキュリティフィーチャー「Explicit プロキシ」を有効に
して「適用」をクリックします。
16 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4-3. スタティックルートの設定
Office365への通信は直接インターネットへ接続するため、スタティックルートを設
定します。左メニュー「ネットワーク」→「スタティックルート」をクリックし、新
規作成をします。
宛先: インターネットサービスを選択
Microsoft-Microsoft.Update, Microsoft-Office365,
Microsoft.Outlook, Microsoft-Skype を選択
※Office365向けには最低でも上記4つの ISDBが必要になります。また、Microsoft-Azure
を選択すると Azure上に構築されたサイトが該当する場合があるので注意が必要です。
※FOS6.0.3以前を使用している場合は Microsoft-Skype.Outboundも必要です。
ゲートウェイ: 10.255.254.254
インターフェース: port 7
※インターネットサービスを選択した際、宛先はひとつしか指定することができないため、ひ
とつずつ作成をし、同じ作業を繰り返します。
※本ガイドで使用している ISDBのバージョンは 5.00330です。
バージョンは左メニュー「システム」→「FortiGuard」から「インターネットサービスデー
タベースの定義」から確認できます。
17 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4-4. IPv4 ポリシーの追加
左メニュー「ポリシー&オブジェクト」→「IPv4ポリシー」をクリックし、新規作成
をします。
名前: Office365
入力インターフェース: port1
出力インターフェース: port7
送信元: all
宛先: インターネットサービスを選択
Microsoft-Microsoft.Update, Microsoft-Office365,
Microsoft.Outlook, Microsoft-Skype を選択
※Office365向けには最低でも上記4つの ISDBが必要になります。また、Microsoft-Azure
を選択すると Azure上に構築されたサイトが該当する場合があるので注意が必要です。
※FOS6.0.3以前を使用している場合は Microsoft-Skype.Outboundも必要です。
18 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4-5. Explicit プロキシの設定
左メニュー「ネットワーク」→「Explicitプロキシ」をクリックします。「Explicit
Webプロキシ」を有効にして、以下の設定を入力し「適用」をクリックします。ま
た、第 4章ではWebプロキシフォワーディングサーバを新規作成します。
リッスンするインターフェース: port 1
HTTPポート: 8080
次に、Webプロキシフォワーディングサーバの設定を行います。4-6 プロキシポリシ
ーの設定において、Office 365以外の通信を上位のプロキシサーバ(本ガイドでは
FG500E-1)へ転送するための設定です。
※設定内容と設定画面の GUIは次のページにあります。
19 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
Webプロキシフォワーディングサーバの設定
名前: FG500E-1
プロキシアドレス: 172.16.10.254
ポート: 8080
ヘルスモニタ: 有効化
ヘルスチェックモニタサイト: http://www.google.com
4-6. プロキシポリシーの設定 – Office 365 への通信
左メニュー「ポリシー&オブジェクト」→「プロキシポリシー」をクリックし、新規
作成をします。以下の設定を入力し「OK」をクリックします。
出力インターフェース: port 7
送信元: all
宛先: インターネットサービスを選択
Microsoft-Microsoft.Update, Microsoft-Office365,
Microsoft.Outlook, Microsoft-Skype を選択
※Office365向けには最低でも上記4つの ISDBが必要になります。また、Microsoft-Azure
を選択すると Azure上に構築されたサイトが該当する場合があるので注意が必要です。
※FOS6.0.3以前を使用している場合は Microsoft-Skype.Outboundも必要です。
20 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
セキュリティプロファイル: すべてを有効化
ロギングオプション: すべてのセッション
21 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4-7. プロキシポリシーの設定 – Office365 以外の通信
プロキシポリシーを追加します。以下の設定を入力し「OK」をクリックします。
出力インターフェース: port8
送信元: all
宛先: all
サービス: webproxy
Webプロキシフォワーディングサーバ: FG500E-1
セキュリティプロファイル: すべてを有効化
ロギングオプション: すべてのセッション
22 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
4-8. PC の設定
インターネットのプロパティを開き、以下の設定を入力し「OK」をクリックします。
LANにプロキシサーバーを使用する: チェックする
アドレス: 10.0.10.1(FG500E-2 port1)
ポート: 8080
4-9. ログの確認
PC2からインターネットにアクセスをし、FortiAnalyzerでログを確認します。「ロ
グビュー」をクリックし、表示デバイスを「FG500E-2」のみにします。
23 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
送信元 IPでフィルタリングして表示します。「Source IP = 172.16.20.0/24」
「カラム設定」をクリックし、「宛先インターフェース」を追加します。
Microsoft Office365への通信は port7から直接ゲートウェイルータへ送信され、そ
れ以外の通信は既存の Proxyサーバへ送信されていることがわかります。
24 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
Appendix
送信元 IP の維持
Explicitプロキシ機能を使用する場合、デフォルトの NAT/Routeモードではパケット
の送信元アドレスを FortiGateのインターフェースの IPアドレスに変換し、トランス
ペアレントモードではマネジメント IPに変換します。元のクライアントの送信元 IP
アドレスを維持するためには、FortiGateの GUI管理画面右上の「>_」をクリックし
て CLIにアクセスし、次の設定を行います。
FGT500E # config firewall proxy-policy
FGT500E (profile) # edit 1
FGT500E (1) # set transparent enable
XFF(X-forwarded-for)ヘッダの追加
XFFは HTTPヘッダフィールドの 1つであり、Webプロキシサーバを経由してウェ
ブサーバにアクセスする際に、クライアントの送信元 IPアドレスを特定するために利
用されます。FortiGateの GUI管理画面右上の「>_」をクリックして CLIにアクセス
し、下記の設定を行います。
FGT500E # config web-proxy profile
FGT500E (profile) # edit AddXFF
FGT500E (profile) # set header-x-forwarded-for add
FGT500E # config firewall proxy-policy
FGT500E (profile) # edit 1
FGT500E (1) # set webproxy-profile “AddXFF”
25 –FortiGate Secure SD-WAN Configuration – Explicit Proxy – Ver1.02
Presented by Fortinet SE Team
改訂履歴
バージョン リリース日 改訂内容
1.00 2018.08.28 初版制定
1.01 2019.2.28 P16, P17, P19
宛先に指定するインターネットサービスについて
(変更前)“Microsoft”を検索して該当するすべてのサ
ービス
(変更後)Microsoft-Microsoft.Update, Microsoft-
Office365, Microsoft.Outlook, Microsoft-Skype
を選択
1.0.2 2020.02.20 P5
対応 FortiOSバージョンを追記