2.SSL-VPNポータルを設定する
SSL-VPNポータルについて
SSL-VPNポータルでは、ユーザーがSSL-VPN接続するモードのようなものを定義します。
少々わかりにくいですが下記の様に理解することができます。
- FortiGate VDOMのSSL-VPNは、「あくまで1つ」しかない。
- 基本設定では、割り当てられたグローバルアドレスに、ポート443のみ。
- この設定は、SSL-VPNの設定で行う。
- SSL-VPNポータルの設定では、ポータル毎の設定(トンネルモード、ウェブモードか?トンネルモード時にルーティングテーブルを配布するかどうか?1人あたりセッションを複数繋いでもいいのか?など)を行う。
- ポータルは、(ユーザーの)グループ毎にポータルのマッピングを行う。
- ポータルのマッピングは、SSL-VPNの設定で行う。
トンネルモード、Webモードの違い
- トンネルモード
- ユーザーがVPNクライアントソフト(FortiClient)をインストール・設定し、SSL-VPN接続します。
- ブラウザーに限らず、メールソフトなどすべての通信をSSL-VPN経由にするフルトンネル設定が可能です。
- クライアントオプション設定を行うことで、クライアント側で常にSSL-VPN接続させたり、パスワードを保存するなど、ログイン処理を簡易化することができます。
- Webモード
- ユーザーがWebブラウザーでWebポータル画面にアクセスし、SSL-VPN接続します。
- ログイン後のポータル画面の表示の設定をしたり、ブックマークを定義することで接続先を登録できます。
- 扱えるものがWEBに限りますが、利用者がブラウザだけですむメリットもあります。
スプリットトンネルについて
トンネルモード時、スプリットトンネルと、フルトンネルを選ぶことができます。これは、FortiClientに対してルーティングテーブルをどう配布するのか?の設定です。
- フルトンネル
- クライアントが、「全てのトラフィック」を、FortiGate UTMに送る設定です。クライアントの「インターネットに接続するセキュリティポリシー」をUTMで管理できるメリットがありますが、クライアントがインターネットにアクセスするたびに、一端、UTMにパケットを送り、更にUTMから当該サーバにパケットを投げることになり、UTMの上りと下りの両方の帯域を使ってしまうことになります。サンプル設定ではこちらになっています。
- スプリットトンネル
- クライアントが、「事前に定めたセグメントのみ」、FortiGate UTMに送る設定です。クライアントには、必要なセグメントのみUTMにおくり、それ以外は直接インターネットに接続して貰う設定なので、UTM側のトラフィックを不必要に使わないメリットがあります。ただ、セキュリティ的な側面で考えると、接続中のクライアントは、インターネットと社内の両方に接続される「踏み台」のような場所に位置するので、これをどう考えるか?は、その会社の情報セキュリティポリシー次第です。
スプリットトンネルには、 2つのオプションがあります。
- ポリシーの宛先に基づいて有効
- 宛先が設定されたファイアウォールポリシーの宛先と一致するクライア ントトラフィックのみが SSL-VPN トンネルを経由します。
- 信頼できる宛先に対して有効
- 明示的に信頼された宛先に一致しないクライアントトラフィックのみが SSL-VPN トンネルを経由します。
くわしくはFortinet社のマニュアルを参照してください。
手順
1.SSL-VPNポータル一覧を確認する
左メニューから「VPN」>「SSL-VPN Portals」を開くと、SSL-VPNポータル一覧が表示されます。
ここでは、SSL-VPNポータルを新規作成する方法をご案内しています。デフォルトで作成されているものを使用する場合は、該当のSSL-VPNポータルを選択し、「Edit」から編集を行います。
2.SSL-VPNポータルを新規追加する
「+ Create New」をクリックし、新規作成画面を開きます。
3.SSL-VPNポータルを設定する
下記の項目を設定し、「OK」をクリックします。
| New SSL-VPN Portal | |
|---|---|
| Name | SSL-VPNポータル名を入力します。 |
| Limit Users to One SSL-VPN Connection at a Time | 1アカウントで同時複数端末を接続可能にするかの設定をします。許可しない場合は、スイッチをON(右側) にします。 本サービスのユーザ数制限は、同時ユーザ接続でも等しくかかるため、注意が必要です。 |
| Tunnel Mode | トンネルモードを有効にする場合は、スイッチをON(右側) にします。 |
|---|---|
| Split tunneling | スプリットトンネルを有効にする場合は、「Enabled Based on Policy Destination」または「Enabled for Trusted Destination」を選びます。
|
| Routing Address Override | スプリットトンネルでルーティングしたいIPアドレスを選択します。 |
| Source IP Pools | SSL-VPN接続時にクライアント側に払い出すIPプールを選択します。 |
| Tunnel Mode Client Options | 任意で以下の項目を設定します。 |
|---|---|
| Allow client to save password | クライアントがパスワードを保存することを許可する場合は、スイッチをON(右側) にします。 |
| Allow client to connect automatically | クライアントの自動接続を許可する場合は、スイッチをON(右側) にします。 |
| Allow client to keep connections alive | クライアントがコネクションをキープすることを許可する場合は、スイッチをON(右側) にします。 |
| DNS Split Tunneling | DNSスプリットトンネルを有効にする場合は、スイッチをON(右側) にし、スプリットDNS設定を行います。 |
| Host Check | エンドポイントで実行されるホストチェックのタイプを構成する場合は、スイッチをON(右側) にします。 |
|---|---|
| Type | エンドポイントで実行されるホストチェックのタイプを選択します。
|
| Restrict to Specific OS Versions | 特定のOSバージョンを実行しているユーザーのブロック 有効にする場合は、スイッチをON(右側) にします。 |
|---|---|
| Action | 特定のOSバージョンを選択し、「Edit」をクリックしてアクションを以下から選択します。
|
| Web Mode | Webモードを有効にする場合は、スイッチをON(右側) にします。OFFにするとトンネルモードのみアクセスを許可します。ONにするとブラウザーによるポータル画面へのアクセスが可能になります。 |
|---|---|
| Portal Message | ポータル画面ログイン後に表示されるメッセージを設定します。 |
| Theme | ポータル画面のデザイン色を設定します。 |
| Show Session Information | ポータル画面にセッション時間・送受信Byteを表示する場合は有効にします。 |
| Show Connection Launcher | ポータル画面にコネクションランチャーを表示する場合は有効にします。 |
| Show Login History | ポータル画面にログイン履歴を表示する場合は有効にします。 |
| User Bookmarks | ポータル画面上に、接続先のブックマークを登録できるようにする場合は有効にします。 |
| Rewrite Content IP/UI/ | IP-address/ui/ を含む URI のコンテンツの書き換えを有効にします。 |
| RDP/VNC clipboard | RDP/VPC クリップボード機能をサポートするには有効にします。 |
| Predefined Bookmarks | テーブルを使用して、定義済みのブックマークを作成および編集します。 |
| FortiClient Download | ポータル画面上に、「FortiClientダウンロード」ボタンを表示させる場合は、スイッチをON(右側) にします。 |
|---|---|
| Download Method | ダウンロード方法を「Direct」または「SSL-VPN Proxy」から選択します。 |
| Customize Download Location | WindowsまたはMac用のカスタムダウンロード場所を設定できます。通常は設定は不要です。 |
