こんにちは、ささです

以前、「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、「deep-inspection」を設定してみました。
ただ、その時は、試しただけで、その後は「certificate-inspection」を使っているので、
「使えるのか?」
「手間はどのくらいかかるか?」

がわかりません。

今時、WebはほとんどSSLなので、「deep-inspection」にしなかったら、FortiGateでAntiVirusなんて効かせても、意味ないですよーねー

「certificate-inspection」では、SSL通信を復号化しないので、SSL通信に含まれるマルウェアは検知できない!!

せっかく、自宅のゲートウェイは「FortiGate60D」なので・・
「実際に使って試せば、いいじゃん」
ということで、

全体に「deep-inspection」を効かせてしまうと、色々と問題が出てしまうので、
まずは、自分のPC1台で設定して・試してーー>全体に設定、という流れにしたいと思います


PC1台に「deep-inspection」を設定

まずは、対象PC(Panasonic CF-MX3)のアドレスオブジェクトを作成します

1

「ポリシー&オブジェクト」-「アドレス」で、新しいアドレスオブジェクトを作成します
2

「ポリシー&オブジェクト」-「IPv4ポリシー」で、新しいポリシーを作成します
 ※SSLインスペクションを「deep-inspection」に
3

作成したポリシーを、デフォルトポリシー(対象LANすべて)の上に移動します
4

以上で、FortiGate側の設定は、ひとまず完了

クライアントPC側の設定

そのまま、インターネット(www.yahoo.co.jp)に接続してみると、
「証明書エラー」が表示されます
今時、yahooのサイトもSSLですよー
2019-10-19 (1)

証明書エラーを出さないために、FortiGateの証明書をインストールします

「システム」-「証明書」-「ローカル証明書」-[Fortinet_CA_SSL]をダウンロードします
6

「deep-inspection」ポリシーを適用した、CF-MX3に証明書をインストールします
インストール手順は、以前の記事
「FortiGateのSSLインスペクションで『deep-inspection』を使う」
を参照してくださいね
7

インストールが完了すると、証明書エラー表示がでなくなります
8

これで、クライアントPC側の設定は、ひとまず完了

しばらく使ってみて、対応した事や、不具合等々でてくるかと思います
その②で、また報告させていただきます



###########################################

こんにちは、ささです

その後、証明書をインストールしたPCを使用していますが、特に問題もなく・・
Webアクセスも問題は出ていません

テストウィルス「eicar」を、サイトよりダウンロードしてみます1

httpsで「eicar.com」をダウンロードしてみると・・
2

しっかりFortiGateで検知してくれました
3

次回は、私のスマホ(android)も、deep-inspectionの対象にしてみようと思います



スポンサードリンク