自宅で使っている、Fortigate 60dで、『deep-inspection』を試してみました
導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です
・『certificate-inspection』
SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。
やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきですよね
しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する
自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました
試してみましたので、以下に手順を記載します
Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
証明書ファイルが開きますので、「証明書のインストール」をクリックします
証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
「完了」をクリックし、証明書をインストールします
以上で証明書のインストールが完了しました
以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります
導入後、ずっと『certificate-inspection』で使っていましたが、いつか換えないとと思っていました。それぞれの違いは、以下です
・『certificate-inspection』
SSL/TLSで暗号化された、通信のセッション確立時に実施されるSSLハンドシェイクで、証明書のコモンネームを確認し、WebフィルタのFortiGuardカテゴリで許可された宛先URLか照会します。なお、certificate-inspectionは暗号化された通信の復号化を実施しないため、certificate-inspectionとアンチウイルスの組み合わせではHTTPSからダウンロードしたファイルのスキャンは実施されません。
・『deep-inspection』
SSL/TLSで暗号化された通信をFortiGate上で復号化しスキャンを実施します。
やはり、今どき、ほぼ「SSL通信」なので、『deep-inspection』にすべきですよね
しかし、問題が2点あります
<問題>
1.全ての暗号化された通信を復号化してスキャンするため、FortiGateに高い負荷がかる
2.クライアントで証明書エラーが発生する
自宅で使うので、1.は我慢するとして、2.はどうにかする必要がありました
試してみましたので、以下に手順を記載します
Fortigateより証明書をダウンロードする
Fortigate管理画面の「システム」ー「証明書」をクリック、「Fortinet-CA_SSL」を選択し、「ダウンロード」をクリックします
※もし「証明書」が表示されていない場合は、「フューチャー選択」で追加してください
ダウンロードされた「証明書」をインストール
ダウンロードされた、「証明書ファイル」を、クライントPCでダブルクリックします
証明書ファイルが開きますので、「証明書のインストール」をクリックします
証明書のインストールウィザードが起動します。保存場所は「ローカルコンピューター」を選択します
「証明書をすべて次のストアへ配置する」を選択、ストアは「信頼されたルート証明機関」を選択します
「完了」をクリックし、証明書をインストールします
以上で証明書のインストールが完了しました
以後、『deep-inspection』を選択しても、証明書エラーの表示は出なくなります
コメント