自宅のLAN環境では、セキュリティを高める為、「FortiGate 60F」をバーチャルワイヤーペア(VWP)モードで導入しています。
本当は、FortiGateをインターネット接続するルーターモードで導入したかったのですが、我が家のインターネットは「NURO光」の為、NUROからレンタルされるルーターをつけない限り、インターネットへアクセスする事は出来ません。
その為、NURO光ルーターの配下に、FortiGateをVWP(L1モード)で導入します。これで、ネットワーク構成に影響を与える事はありません。
FortiGateでは主に「Webフィルタ」で怪しいサイトにアクセスしないようにフィルターをかけています。
簡単ですが、物理的な接続は以下のようです。
主に「Webフィルタ」で制限しているとお話しましたが、SSLインスペクションモードを「deep-inspection」ではなく、「certificate-inspection」で使用しています。
その為、Webフィルタ以外は、暗号化されている通信はチェック出来ない。やむなしといったところです。
現在の「Webフィルタ」設定
現在の「Webフィルタ」設定は、カテゴリーベースで「アダルトコンテンツ」「セキュリティリスクの高いコンテンツ」を中心に、ブロック設定を行っています。
「ピッコマ」へアクセス出来なくなる
現在2024年12月半ばですが、2週間前くらいから、スマホで「ピッコマ」にアクセス出来なくなりました。
自宅以外、例えば、スマホ5Gアクセスでは、問題なく開きますので、明らかに「FortiGate」が原因と思われます。
FortiGateの管理画面から、Webフィルタのログを確認してみます。
確認手順:「ログ&レポート」-「セキュリティイベント」-「Webフィルタ」
ログを確認してみたろこと、マンガアプリの通信が、何故か、「その他アダルトマテリアル」で引っかかっていました。
えっ、なんで・・
念の為、「FortiGurd Labs」でコンテンツを確認してみましたが、やはりマンガアプリ「ピッコマ」の通信は、
「その他の成人向けコンテンツ」でした。
カテゴリーから除外を申請する事は大変なので、「スタティックURLフィルタ」を使って、「ピッコマ」へのアクセスを許可したいと思います。
「ピッコマ」への通信を許可する
「Webフィルタ」設定で、コンテンツ全体ではブロックしつつ、特定のURLを許可設定する為には、「スタティックURLフィルタ」を設定します。
「スタティックURLフィルタ」が、ホワイトリストのような動作をしてくれます。
「スタティックURLフィルタ」の許可設定には、2つのアクションがあります。「除外」と「許可」です。それぞれの違いについては以下に説明します。
- 除外(exempt):指定したURLトラフィックは許可され、残りのウイルス対策スキャン、および DLP プロキシ操作をバイパスします。
- 許可:指定したURLトラフィックは許可されますが、残りの ウイルス対策プロキシ操作、および DLP プロキシ操作に渡されます。
今回は、その他UTM機能でもチェックがバイパスされる「除外」設定をしたいと思います。
理由としては、恐らく「Webフィルタ」がパス出来たとしても、その次「DNSフィルタ」でも、引っかかる可能性が高い為、今回はバイパスとします。
「スタティックURLフィルタ」で「ピッコマ」を除外設定する
「セキュリティプロファイル」-「Webフィルタ」から対象のプロファイルを選択し、「編集」をクリック
「スタティックURLフィルタ」-「URLフィルタ」のスライドボタンを有効にします
「新規作成」をクリックして、以下情報を入力し、「OK」をクリックします
・URL:piccoma.com
・タイプ:シンプル※
・アクション:除外(exempt)
・ステータス:有効
※シンプルを選択する事で、「piccoma.com」ドメインを含むサブドメイン(api2.piccoma.comなど)も除外されます
エントリーが追加された事を確認し、「OK」をクリックします
以上で、「スタティックURLフィルタ」設定は完了です。
再度、スマホで「ピッコマ」を開きます。
問題なく、「ピッコマ」が開くようになりました!
今回はマンガアプリでしたが、その他どんなアプリでも、同様の設定で、通信を許可する事ができますので、困っている方はご参考にしていただけると幸いです。
それでは!
コメント