本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア2年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜お問い合わせ NO.6 Web Proxy＞

FortiGate を利用想定です。

• FortiGate をプロキシサーバーとして利用できますか？

というお問い合わせをいただきました。

FortiGate の Web プロキシには、Explicit Proxy（明示プロキシ）とTransparent Proxy（透過プロキシ）があります。
Explicit Proxy は FortiGate のインターフェース上でプロキシサーバを動作させ、クライアントに明示的なプロキシサーバーを指定することで、Web ブラウザセッションをプロキシします。
FortiGate では一般的にこちらが使用されるため、今回は Explicit Proxy の設定方法を紹介していきます。

FortiGate の OS は 6.0 です。

＜Explicit Proxy（明示プロキシ）＞

以下は検証イメージです。

デフォルトでは Explicit Proxy の設定項目はGUI上に表示されません。
初めにシステム > 設定よりインスペクションモードをプロキシに設定します。

システム > 表示機能設定からExplicitプロキシを有効にします。

メニューからネットワーク > Explicit プロキシを選択します。
Explicit Web プロキシを有効にして、プロキシサーバとして動作させるインターフェース、ポート番号の設定値を入力します。

ポリシー&オブジェクト > プロキシポリシーを選択します。
プロキシタイプはExplicit Webを選択しポリシーの作成を行います。

＜ユーザープロキシ設定＞

明示的プロキシではユーザー側から参照するプロキシサーバーを設定する必要があります。
今回 PC は Windows でプロキシの設定を行います。

Windows スタートメニューでプロキシを検索し、プロキシサーバーの構成を選択します。

Windows のプロキシ設定が開くのでプロキシサーバ（FortiGate）の IP アドレス、設定したポート番号を入力します。

＜ログ確認＞

HTTP サイトにアクセスし、ログ & レポートからアクセスログを見ていきます。
ローカルトラフィックとしてユーザーからプロキシサーバ宛の通信が確認できます。

----------------------

検証後記

昨今は HTTPS のように暗号化された Web 通信が一般的になっています。
そのため通常の NGFW 機能のみではセキュリティポリシーが十分に機能しない可能性があります。
しかし FortiGate をプロキシサーバとして動作させることで、
暗号化された通信でもアプリケーションレイヤレベルでセキュリティポリシーの適用ができます。

ただしプロキシと NGFW 機能の併用は FortiGate の負荷が高まり、
パフォーマンスに影響を及ぼす可能性があるため、導入の際は注意が必要です。

以上