こんにちは。ネットワールドSEの林です。
本ブログでは個人的に気になったFortinet社の公開するナレッジベースの内容を紹介します。
あれは、私がexplicitproxy機能+アプリケーションコントロールの検証を行っていた時のことです。。
私は以下のようなアプリケーションコントロールプロファイルを新規で作成し、プロキシーポリシーに反映させようとしました。
プロキシポリシーで先ほど作成した「test」という名前のアプリケーションコントロールプロファイルを選択しようとしましたが、、、、無い!
何が起きたのかと調査してみたところ、メーカーKBにこんなことが書いてありました。
"The solution to this problem is that in the profile that is being used for application control, proxy.http must not be blocked. It is possible to block everything but we need to permit proxy.http."
Technical Tip: Application Control with Explicit Proxy policy error
つまり、
プロキシ通信を通過させるためには、アプリケーションコントロールでアプリケーション「proxy.http」を許可する必要があり、それはFortiGate自身がプロキシサーバだったとしても例外ではないようです。
アプリケーションコントロール処理が、FGTとサーバ間の通信に対してではなく、あくまでクライアントとサーバ間の通信に対して効いていると考えれば、個人的には納得いく仕様かなと思いました。
気を取り直して、先ほど作成したアプリケーションコントロールプロファイルに
Proxy.HTTPを許可設定で追加し、ポリシーに再度適用してみようとすると、、
今度はちゃんとプロファイルが表示され設定できるようになっていました!
なお、本仕様はFortiProxyでも同様のようです。
FortiProxyでアプリケーションコントロールを設定する場合もご注意ください。
それでは、今回はこの辺で失礼します。
ありがとうございました。
