こんにちは、ささです
以前、「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、「deep-inspection」を設定してみました。
ただ、その時は、試しただけで、その後は「certificate-inspection」を使っているので、
「使えるのか?」
「手間はどのくらいかかるか?」
がわかりません。
今時、WebはほとんどSSLなので、「deep-inspection」にしなかったら、FortiGateでAntiVirusなんて効かせても、意味ないですよーねー
「certificate-inspection」では、SSL通信を復号化しないので、SSL通信に含まれるマルウェアは検知できない!!
せっかく、自宅のゲートウェイは「FortiGate60D」なので・・
「実際に使って試せば、いいじゃん」
ということで、
全体に「deep-inspection」を効かせてしまうと、色々と問題が出てしまうので、
まずは、自分のPC1台で設定して・試してーー>全体に設定、という流れにしたいと思います
まずは、対象PC(Panasonic CF-MX3)のアドレスオブジェクトを作成します
「ポリシー&オブジェクト」-「アドレス」で、新しいアドレスオブジェクトを作成します
「ポリシー&オブジェクト」-「IPv4ポリシー」で、新しいポリシーを作成します
※SSLインスペクションを「deep-inspection」に
作成したポリシーを、デフォルトポリシー(対象LANすべて)の上に移動します
以上で、FortiGate側の設定は、ひとまず完了
そのまま、インターネット(www.yahoo.co.jp)に接続してみると、
「証明書エラー」が表示されます
今時、yahooのサイトもSSLですよー
証明書エラーを出さないために、FortiGateの証明書をインストールします
「システム」-「証明書」-「ローカル証明書」-[Fortinet_CA_SSL]をダウンロードします
「deep-inspection」ポリシーを適用した、CF-MX3に証明書をインストールします
インストール手順は、以前の記事
「FortiGateのSSLインスペクションで『deep-inspection』を使う」
を参照してくださいね
インストールが完了すると、証明書エラー表示がでなくなります
これで、クライアントPC側の設定は、ひとまず完了
しばらく使ってみて、対応した事や、不具合等々でてくるかと思います
その②で、また報告させていただきます
以前、「FortiGateのSSLインスペクションで『deep-inspection』を使う」で、「deep-inspection」を設定してみました。
ただ、その時は、試しただけで、その後は「certificate-inspection」を使っているので、
「使えるのか?」
「手間はどのくらいかかるか?」
がわかりません。
今時、WebはほとんどSSLなので、「deep-inspection」にしなかったら、FortiGateでAntiVirusなんて効かせても、意味ないですよーねー
「certificate-inspection」では、SSL通信を復号化しないので、SSL通信に含まれるマルウェアは検知できない!!
せっかく、自宅のゲートウェイは「FortiGate60D」なので・・
「実際に使って試せば、いいじゃん」
ということで、
全体に「deep-inspection」を効かせてしまうと、色々と問題が出てしまうので、
まずは、自分のPC1台で設定して・試してーー>全体に設定、という流れにしたいと思います
PC1台に「deep-inspection」を設定
まずは、対象PC(Panasonic CF-MX3)のアドレスオブジェクトを作成します
「ポリシー&オブジェクト」-「アドレス」で、新しいアドレスオブジェクトを作成します
「ポリシー&オブジェクト」-「IPv4ポリシー」で、新しいポリシーを作成します
※SSLインスペクションを「deep-inspection」に
作成したポリシーを、デフォルトポリシー(対象LANすべて)の上に移動します
以上で、FortiGate側の設定は、ひとまず完了
クライアントPC側の設定
そのまま、インターネット(www.yahoo.co.jp)に接続してみると、
「証明書エラー」が表示されます
今時、yahooのサイトもSSLですよー
証明書エラーを出さないために、FortiGateの証明書をインストールします
「システム」-「証明書」-「ローカル証明書」-[Fortinet_CA_SSL]をダウンロードします
「deep-inspection」ポリシーを適用した、CF-MX3に証明書をインストールします
インストール手順は、以前の記事
「FortiGateのSSLインスペクションで『deep-inspection』を使う」
を参照してくださいね
インストールが完了すると、証明書エラー表示がでなくなります
これで、クライアントPC側の設定は、ひとまず完了
しばらく使ってみて、対応した事や、不具合等々でてくるかと思います
その②で、また報告させていただきます
###########################################
こんにちは、ささです
その後、証明書をインストールしたPCを使用していますが、特に問題もなく・・
Webアクセスも問題は出ていません
テストウィルス「eicar」を、サイトよりダウンロードしてみます
httpsで「eicar.com」をダウンロードしてみると・・
しっかりFortiGateで検知してくれました
次回は、私のスマホ(android)も、deep-inspectionの対象にしてみようと思います
こんにちは、ささです
その後、証明書をインストールしたPCを使用していますが、特に問題もなく・・
Webアクセスも問題は出ていません
テストウィルス「eicar」を、サイトよりダウンロードしてみます
httpsで「eicar.com」をダウンロードしてみると・・
しっかりFortiGateで検知してくれました
次回は、私のスマホ(android)も、deep-inspectionの対象にしてみようと思います
コメント