4.ファイアウォールポリシーを設定する
ファイアウォールポリシーの設計について
SSL-VPN接続でアクセスする際のファイアウォールポリシーの設定を行います。
基本的にファイアウォールポリシーは、デフォルトのポリシー(Implicit Deny)ですべてのアクセスを禁止し、通信を許可したいポリシーを、インターフェース、IP空間、ユーザー/グループ等の条件に応じて作成することでアクセス制御を行ないます。
納品時には以下の設定のみとなるため、エンドユーザーがSSL-VPN接続後、必要なアクセス先に通信可能にするポリシーを作成する必要があります。
- デフォルトのポリシー
- Implicit Deny :ポリシーに記載がないアクセスはすべて禁止されます。このポリシーは消すことができません。パケットが想定通りに通らない場合、このポリシーのログを一時的に有効にすることで、遮断されたトラフィックの傾向を見ることができます。
- サンプルポリシー(納品時に設定されているもの)
- SSLVPNtoInternal:VPN接続のための仮想インターフェースからLAN側ネットワークへの通信許可設定です。サンプルで設定済みの管理者グループ(Administrators)のみ許可されているポリシーです。
- SSLVPNtoExternal:VPNに接続したクライアントが、インターネット(External:外部)へ出て行くための通信許可設定です。こちらもサンプルで設定済みの管理者グループ(Administrators)のみ許可されているポリシーです。
「By Sequence」タブでポリシーの一覧を確認すると、ポリシーが適用される順序が確認できます。上から順番にチェックを行い、条件に合致したポリシーが適用され、それ以降のポリシーは確認されないため、ポリシーの順序が重要になります。
したがって、新規のグループを追加した場合、ユーザー環境に相応しい条件でポリシーを再設定する必要があります。
手順
1.IPv4ポリシーを確認する
左メニューから「Policy & Objects」>「IPv4 Policy」を開くと、IPv4 ポリシー一覧が表示されます。
ここでは、SSL-VPNポータルを新規作成する方法をご案内しています。デフォルトで作成されているものを使用する場合は、該当のSSL-VPNポータルを選択し、「Edit」から編集を行います。
2.IPv4ポリシーを新規追加する
「+ Create New」をクリックし、新規作成画面を開きます。
3.IPv4ポリシーを設定する
下記の項目を設定し、「OK」をクリックします。
| New Policy | |
|---|---|
| Name | FortiViewやログで区別しやすいポリシー名を入力します。後から変更可能です。 |
| Incoming Interface | 「+」をクリックして、「Select Entries」から入力インターフェースを選択します。複数選択した場合は、OR条件となります。 SourceがSSL-VPNの場合は、Sourceは「SSL-VPN tunnel interface」に設定をします。 |
| Outgoing Interface | 「+」をクリックして、「Select Entries」から出力インターフェースを選択します。複数選択した場合は、OR条件となります。 |
| Source | 「+」をクリックして、「Select Entries」から送信元を指定することでアクセスを制限することが可能です。複数選択した場合は、OR条件となります。
SourceがSSL-VPNの場合は、Addressだけでなく、Userも最低限設定しなくてはなりません。 |
| Destination | 「+」をクリックして、 「Select Entries」から宛先を指定することで通信の宛先を制限することが可能です。複数選択した場合は、OR条件となります。
|
| Schedule | 接続可能な時間帯を設定することが可能です。「+」をクリックして、スケジュールを指定します。 時間帯制限をしない場合はデフォルトの「always」を選択し、時間帯制限をする場合は、「+(Create New)」からスケジュールを作成します。複数選択した場合は、OR条件となります。 |
| Service | アクセス可能なサービスを制限することが可能です「+」をクリックして、「Select Entries」からサービスを指定します。allを選択すると、全ての接続が許されます。allを外し、複数選択した場合は、OR条件となります。 サービスは、pingや、HTTP/HTTPS、SMB/SAMBA(Windowsのファイルサーバサービス)など、様々なサービスを固有で設定することができます。 これと、グループを組み合わせることにより特定のグループのみファイルサーバにアクセスできるなどという制御も可能です。 |
| Action | 作成したポリシーを使用する通信に対するアクションを選択します。
|
| Firewall / Network Options | |
|---|---|
| NAT | SSL-VPN接続後の送信元IPアドレスを変換する場合は、スイッチをON(右側) にします。基本はONにし、OFFの場合はルーティングテーブルの設定が必要になります。 |
| IP Pool Configuration | 送信インターフェースのIPアドレスを使用するか、ダイナミックIPプールを使うか選択します。 |
| Preserve Source Port | 固定ポートを使用する場合は、スイッチをON(右側) にします。 |
| Security Profiles | |
|---|---|
| AntiVirus | アンチウィルスを使用する場合は、スイッチをON(右側) にします。 |
| Web Filter | ウェブフィルターを使用する場合は、スイッチをON(右側) にします。 |
| DNS Filter | DNSフィルターを使用する場合は、スイッチをON(右側) にします。 |
| Application Control | アプリケーションコントロールを使用する場合は、スイッチをON(右側) にします。 |
| IPS | IPSを使用する場合は、スイッチをON(右側) にします。 |
| SSL Inspection | SSLインスペクションを使用する場合は、スイッチをON(右側) にします。 |
| Logging Options | |
|---|---|
| Log Allowed Traffic | 許可トラフィックを有効にする場合は、スイッチをON(右側) にします。ONの場合は、「セキュリティイベントのみ」か「すべてのセッション」かを選択します。 |
| Comments | ログイベント表示の際のコメントを記入します。 |
| Enable this policy | このポリシー(編集中のポリシー)を有効にする場合は、スイッチをON(右側) にします。ポリシーを有効化しないとルールとして適用されません。 |
FortiGateではさまざまな機能があるため、くわしくはFortinet社のドキュメントをご覧ください。
