前回、ヤフオクで購入した「FortiGate 60Fを設定」のお話をしました。
FortiGate 60Fをポチポチ設定しているときに、ポリシー設定箇所で、「フローベース」と「プロキシベース」の切り替えを行う箇所が、見当たらなくなっている事に気が付きました。
今回は、このモード切り替え方法について記載します。
その前にまずは、FortiOSのインスペクションモードである、「フローベース」と「プロキシベース」について、非常に簡単にしか説明ができませんが、書いてみたいと思います。
FortiOSのインスペクションモード
フローベース
プロキシベースより検知率が低めなモードです。
特徴は以下
- パケット単位でスキャン
- ドキュメント、圧縮ファイルにマルウェアが組み込まれていると検知できない場合が多い
- 感染したファイルを完全にブロックすることは不可
- UTMプロファイルで設定できる項目に制限がある
- 機器の負荷が低い
プロキシベース
フローベースよりセキュアで検知率が良いモードです。
特徴は以下
- パケット一旦バッファしてファイルを組み立ててからスキャン
- 多少の遅延が発生する可能性がある
- UTMプロファイルで設定できる項目が多い
- 機器の負荷が高い
より厳密にスキャンを行うのであれば「プロキシベース」を選択しますが、通信性能を重視するのであれば「フローベース」を選択します。
詳細な比較は、以下「Fortinet Documnet Library」資料をご確認ください。
本題に入ります。
インスペクションモード変更箇所が見当たらない
FortiGate(FortiOSv7.2.9)を設定していて、インスペクションモードである「フローベース」と「プロキシベース」を変更する箇所が見当たらない」事に気づきました。
私の記憶では、確か、ファイアウォールポリシーの設定画面で、選択出来たはずなのですが・・
FortiOSが新しくなって、選択は出来なくなったのでしょうか?わかりません。
その為、調べてみる事にしました。
インスペクションモードをGUIで設定出来るようにする
FortiGateの設定画面を見たり、情報サイトを調べたりしてわかった事は、現在のFortiOS v7.2.9では、インスペクションモード自体はあり、デフォルトは「フローベース」で動作している事。
引用元:Fortinet document Library
恐らく、CUIでは設定出来るはずで、GUIで設定箇所が表示されていないだけと思われます。
ということで、[システム] - [表示機能設定] を見ていて、見つけました!
赤枠で囲ったコマンドで行けるはず!!と思います。
内容に従って、以下、コマンド入力しました。
config system setting
set gui-proxy-inspection enable
GUI表示を更新させると、無事表示されました!!
これで、GUIからインスペクションモードを、「フローベース」「プロキシベース」指定する事が可能になりました!
以上になります。
コメント