皆さん、こんにちは。
ネットワールドSE 西日本技術部の廣澤です。
今回は、「ZTNAアクセスプロキシ」について全3回に分けてご紹介します。
第1回目は「HTTP/HTTPSアクセスプロキシ」のご紹介です。
是非、最後までお読みいただければ幸いです。
ZTNAアクセスプロキシとは?
「ZTNAアクセスプロキシ」は、
FortiGateを活用したVPNに頼らない新しいリモート接続機能
となります。
「ZTNAアクセスプロキシ」と「VPN」の違いは以下の通りです。
また検証した感想としては、以下が大きな違いだと感じます。
ZTNAアクセスプロキシは接続先毎に認証が発生するため、
トンネルが開通すると認証が発生しないVPNと比較すると
非常に高いセキュリティレベルを実現することが出来ます。
HTTP/HTTPSアクセスプロキシについて
概要
リモート環境のWebサーバへのアクセスには、
「HTTP/HTTPSアクセスプロキシ」
を使用します。
以下はWebサーバに接続するまでの流れです。
HTTP/HTTPSアクセスプロキシではFortiGateが「リバースプロキシ」として動作します。
また、構成要素としてFortiClientEMSが必須となります。
特徴
・「FortiClientEMS」の発行するデバイス証明書を使用した証明書認証
FortiClientがFortiClientEMSに接続すると、FortiClientEMSからデバイス証明書が配布されます。
HTTP/HTTPSアクセスプロキシではこの証明書を使ったデバイス証明書認証が「必ず」発生します。
※EMS接続時のデバイス証明書の配布は強制的に行われます。
・タグを使用したデバイスポスチャ
FortiGateとFortiClientEMSの連携機能「セキュリティポスチャタグ」が接続端末を制限します。
セキュリティ要件を満たさない端末の接続は、動的にブロックされます。
設定方法
※FortiClientとFortiClientEMSの接続が完了していることを前提としています。
※FortiGateとFortiClientEMSの接続が完了していることを前提としています。
1.ZTNAメニューの表示
コマンドを使ってFortiGateの左メニューに「ZTNA」を表示させます。
GUIから表示させることも可能ですが「gui-proxy-inspection enable」はコマンド実行が必須です。
2.ZTNAサーバの作成
HTTP/HTTPSアクセスプロキシは「ZTNAサーバ」という設定メニューで作成します。
2-1.外部からの待ち受け設定
端末の通信を待ち受けるインターフェース/アドレス/ポート番号/証明書を設定します。
2-2.リモートWebサーバの指定
FortiGateが受け取った通信を転送する先のWebサーバを設定します。
3.FWポリシーの作成
ZTNAサーバを使ったFWポリシーを作成します。
以上で設定完了となります。
動作確認
セキュリティ条件を満たす端末からの接続
セキュリティ条件を満たさない端末からの接続
最後に
HTTP/HTTPSアクセスプロキシは設定も簡単ですぐに実装することが出来ます。
また「証明書認証」が必ず発生するので、転送先Webサーバの認証と合わせて多要素認証にもなります。
FortiClientEMSが必須となりますが、VPN設定配布機能と併用することが出来ます。
是非「HTTP/HTTPSアクセスプロキシ」と「FortiClientEMS導入」をご検討いただければと思います。
※VPN設定配布機能はこちら!!
免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。
従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いません。
