設計・設定する
Top / サポート情報 / マニュアル / クラウド型リモートVPNサービス / 設計・設定する / 4.ファイアウォールポリシーを設定する

4.ファイアウォールポリシーを設定する

ファイアウォールポリシーの設計について

SSL-VPN接続でアクセスする際のファイアウォールポリシーの設定を行います。

基本的にファイアウォールポリシーは、デフォルトのポリシー(Implicit Deny)ですべてのアクセスを禁止し、通信を許可したいポリシーを、インターフェース、IP空間、ユーザー/グループ等の条件に応じて作成することでアクセス制御を行ないます。

納品時には以下の設定のみとなるため、エンドユーザーがSSL-VPN接続後、必要なアクセス先に通信可能にするポリシーを作成する必要があります。

  • デフォルトのポリシー
    • Implicit Deny :ポリシーに記載がないアクセスはすべて禁止されます。このポリシーは消すことができません。パケットが想定通りに通らない場合、このポリシーのログを一時的に有効にすることで、遮断されたトラフィックの傾向を見ることができます。
  • サンプルポリシー(納品時に設定されているもの)
    • SSLVPNtoInternal:VPN接続のための仮想インターフェースからLAN側ネットワークへの通信許可設定です。サンプルで設定済みの管理者グループ(Administrators)のみ許可されているポリシーです。
    • SSLVPNtoExternal:VPNに接続したクライアントが、インターネット(External:外部)へ出て行くための通信許可設定です。こちらもサンプルで設定済みの管理者グループ(Administrators)のみ許可されているポリシーです。

「By Sequence」タブでポリシーの一覧を確認すると、ポリシーが適用される順序が確認できます。上から順番にチェックを行い、条件に合致したポリシーが適用され、それ以降のポリシーは確認されないため、ポリシーの順序が重要になります。

したがって、新規のグループを追加した場合、ユーザー環境に相応しい条件でポリシーを再設定する必要があります。

手順

ポリシー一覧

1.IPv4ポリシーを確認する

左メニューから「Policy & Objects」>「IPv4 Policy」を開くと、IPv4 ポリシー一覧が表示されます。

ここでは、SSL-VPNポータルを新規作成する方法をご案内しています。デフォルトで作成されているものを使用する場合は、該当のSSL-VPNポータルを選択し、「Edit」から編集を行います。

 

ポリシー新規追加

2.IPv4ポリシーを新規追加する

「+ Create New」をクリックし、新規作成画面を開きます。

 

ポリシー設定

3.IPv4ポリシーを設定する

下記の項目を設定し、「OK」をクリックします。

 
New Policy
NameFortiViewやログで区別しやすいポリシー名を入力します。後から変更可能です。
Incoming Interface「+」をクリックして、「Select Entries」から入力インターフェースを選択します。複数選択した場合は、OR条件となります。
SourceがSSL-VPNの場合は、Sourceは「SSL-VPN tunnel interface」に設定をします。
Outgoing Interface「+」をクリックして、「Select Entries」から出力インターフェースを選択します。複数選択した場合は、OR条件となります。
Source

「+」をクリックして、「Select Entries」から送信元を指定することでアクセスを制限することが可能です。複数選択した場合は、OR条件となります。
個々の選択肢の中には、下記項目をそれぞれ指定できます。これらはand条件となります。

  • Address:IPアドレス
  • User:ユーザー/グループ
  • Device:デバイス
  • Internet Service:インターネットサービス

SourceがSSL-VPNの場合は、Addressだけでなく、Userも最低限設定しなくてはなりません。

Destination

「+」をクリックして、 「Select Entries」から宛先を指定することで通信の宛先を制限することが可能です。複数選択した場合は、OR条件となります。
個々の選択肢の中には、下記項目をそれぞれ指定できます。これらはand条件となります。

  • Address:IPアドレス
  • Internet Service:インターネットサービス
Schedule接続可能な時間帯を設定することが可能です。「+」をクリックして、スケジュールを指定します。 時間帯制限をしない場合はデフォルトの「always」を選択し、時間帯制限をする場合は、「+(Create New)」からスケジュールを作成します。複数選択した場合は、OR条件となります。
Serviceアクセス可能なサービスを制限することが可能です「+」をクリックして、「Select Entries」からサービスを指定します。allを選択すると、全ての接続が許されます。allを外し、複数選択した場合は、OR条件となります。
サービスは、pingや、HTTP/HTTPS、SMB/SAMBA(Windowsのファイルサーバサービス)など、様々なサービスを固有で設定することができます。
これと、グループを組み合わせることにより特定のグループのみファイルサーバにアクセスできるなどという制御も可能です。
Action

作成したポリシーを使用する通信に対するアクションを選択します。

  • ACCEPT:通信を許可します。
  • DENY:通信を拒否します。
  • LEARN:通信内容をモニターします。
  • IPsec:特定のIPsec VPN接続経由する設定にします。SSL-VPNからの指定はできません。
Firewall / Network Options
NATSSL-VPN接続後の送信元IPアドレスを変換する場合は、スイッチをON(右側) にします。基本はONにし、OFFの場合はルーティングテーブルの設定が必要になります。
IP Pool Configuration送信インターフェースのIPアドレスを使用するか、ダイナミックIPプールを使うか選択します。
Preserve Source Port固定ポートを使用する場合は、スイッチをON(右側) にします。
Security Profiles  
AntiVirusアンチウィルスを使用する場合は、スイッチをON(右側) にします。
Web Filterウェブフィルターを使用する場合は、スイッチをON(右側) にします。
DNS FilterDNSフィルターを使用する場合は、スイッチをON(右側) にします。
Application Controlアプリケーションコントロールを使用する場合は、スイッチをON(右側) にします。
IPSIPSを使用する場合は、スイッチをON(右側) にします。
SSL InspectionSSLインスペクションを使用する場合は、スイッチをON(右側) にします。
Logging Options
Log Allowed Traffic許可トラフィックを有効にする場合は、スイッチをON(右側) にします。ONの場合は、「セキュリティイベントのみ」か「すべてのセッション」かを選択します。
Commentsログイベント表示の際のコメントを記入します。
Enable this policy  このポリシー(編集中のポリシー)を有効にする場合は、スイッチをON(右側) にします。ポリシーを有効化しないとルールとして適用されません。

FortiGateではさまざまな機能があるため、くわしくはFortinet社のドキュメントをご覧ください。

Private CloudPrivate Cloud
StorageStorage
NetworkNetwork