FortiGateのプロトコルオプションについて

FortiGateの「プロトコルオプション（Protocol Options）」は、トラフィック検査をより高度かつ柔軟に行うための重要な機能群です。

特に、アプリケーション層（L7）で使用されるプロトコルの解析と制御を強化する目的で用いられます。

これは、ウイルススキャン、IPS（侵入防止システム）、Webフィルタリングなどのセキュリティ機能と密接に関係しています。

プロトコルオプションとは？

FortiGateにおける「プロトコルオプション」は、ファイアウォールポリシーに適用される検査の「詳細設定」と言えます。

プロトコルごとにどのようにトラフィックを扱うかを定義することで、以下のような制御を可能にします。

• 特定のポート／プロトコルに対するディープパケットインスペクション
• 圧縮ファイルの扱い（例：ZIP、RAR）
• HTTPヘッダの制限
• SMTPのエンコード制御
• FTP制御チャネルとデータチャネルの取り扱い
• 非標準ポートで動作するプロトコルの明示的サポート

主な対象プロトコル

プロトコルオプションでは、以下のようなアプリケーションプロトコルに対する個別設定が可能です。

具体的な設定項目の例（HTTP）

プロトコルオプションでは、以下のような細かいチューニングが可能です。

例として、HTTPの場合

適用方法

プロトコルオプションは次のようにしてファイアウォールポリシーに適用されます。

• プロトコルオプションのプロファイルを作成
  GUIでは「セキュリティプロファイル」→「プロトコルオプション」で作成できます。
• ファイアウォールポリシーに割り当て
  作成したプロファイルを、ポリシーの中で適用対象とします。
• トラフィックが対象プロトコルなら自動適用
  たとえば「HTTPトラフィック」に対してのみ、該当プロファイルが発動します。

活用例とベストプラクティス

活用例

• 社内メールのセキュリティ強化：SMTPとPOP3の添付ファイルサイズを制限し、マルウェア拡散を抑止。
• 情報漏洩防止：HTTPのURL長やPOSTサイズ制限を使い、不正アップロードをブロック。
• FTPサーバ保護：匿名アクセスやパッシブFTPの制限で意図しないファイル転送を制御。

ベストプラクティス

• 既存のテンプレートを活用：FortiGateには「default」「strict」などのテンプレートがあるので、カスタムする際のベースにすると効率的です。
• プロトコル識別に依存しすぎない：一部のアプリケーションはプロトコルを偽装する場合もあるため、SSLインスペクションやアプリケーションコントロールとの併用が望ましい。
• ログを有効化：プロトコルオプションによるブロックやアラートがどのように働いているか、ログで確認できるようにしておくとトラブルシューティングにも有効です。

CLIによる設定例

config firewall profile-protocol-options
    edit "custom-http-policy"
        config http
            set ports 80
            set status enable
            set comfort-amount 1
            set comfort-interval 1
            set range-block enable
            set range-block-size 10240
            set scan-bzip2 enable
            set scan-gzip enable
        end
    next
end

このようにCLIではさらに詳細な設定が可能です。

GUIよりも柔軟なカスタマイズが必要な場合に有用です。

まとめ

以上、FortiGateのプロトコルオプションについてでした。

最後までお読みいただき、ありがとうございました。