概要
ファイアウォール:タイプ2のSSL検査で利用するプロファイルを設定できます。
SSL検査プロファイル編集画面
設定できる項目について
基本設定
| 項目 | 説明 |
|---|
| プロファイル | プロファイル名の設定ができます。 |
| メモ | プロファイルに関するメモを記載できます。 |
| 検査方式 | SSL/TLS通信の検査方式について以下を指定できます。 | 検査方式 | 説明 |
|---|
| フルSSL検査 | SSL/TLS通信を復号し、その内容を検査して脅威を検出します。
フルSSL検査には、自己署名証明書のインストールが必要です。 | | SSL証明書検査 | SSL/TLS通信の証明書を検査します。SSL/TLS通信の内容自体は復号や検査を行いません。 |
|
検査オプション
| 項目 | 説明 |
|---|
| ブロックされた証明書 | ブロックリストに登録された特定の証明書を使用して行われる通信に関して以下の制御を指定できます。 | 制御名 | 動作 |
|---|
| 許可 | 通信を許可する。 | | ブロック | 通信をブロックする。 |
|
信頼されないSSL証明書 | 信頼された証明機関で発行・署名していないSSL証明書を使用して行われる通信に関して以下の制御を指定できます。 | 制御名 | 動作 |
|---|
| 許可 | 通信を許可する。 | | ブロック | 通信をブロックする。 | | 無視 | 通信を許可し、検知ログを記録します。
※「SSL証明書検査」では設定できません。 |
|
| サーバ証明書SNIチェック | サーバ証明書に含まれるSNIのチェックについて、以下の項目を指定できます。 | 項目 | 説明 |
|---|
| 有効 | SNIとサーバ証明書のCNおよびSANフィールドが一致するかを確認します。
一致しなかった場合、証明書のCNを利用して、URLフィルタリングを行います。 | | 厳格 | SNIとサーバ証明書のCNおよびSANフィールドが一致するかを確認します。
一致しなかった場合、通信を切断します。 | | 無効 | サーバ証明書SNIチェックを行いません。 |
|
| SSL暗号の準拠を強制 | SSL/TLS通信の暗号スイートに応じて、以下の項目を指定できます。 | 項目 | 説明 |
|---|
| 有効 | Fortigateサポート外の暗号スイートの通信をブロックします。 | | 無効 | 本項目をチェックしません。 |
サポートされている暗号スイートについては下記のFAQをご確認ください。 ファイアウォール:タイプ2でサポートする暗号スイートについて |
| SSLネゴシエーションの準拠を強制 | SSL/TLSハンドシェイクの形式に準拠していない通信を検知した際に、以下の項目を指定できます。 | 項目 | 説明 |
|---|
| 有効 | SSL/TLSハンドシェイクの形式に準拠していない通信をブロックします。 | | 無効 | 本項目をチェックしません。 |
|
プロトコル
| 項目 | 説明 |
|---|
MAPI over HTTPS | MAPI over HTTPSについて、以下の項目を指定できます。 | 項目 | 説明 |
|---|
| 有効 | MAPI over HTTPS通信を検査する。 | | 無効 | MAPI over HTTPS通信を検査しない。 |
|
| 対象プロトコル | SSL証明書/フルSSL検査でスキャンするプロトコルについて、以下の項目を指定できます。 | 項目 | 対応するポート番号 | 対応する検査方式 |
|---|
| フルSSL検査 | SSL証明書検査 |
|---|
| HTTPS | 443 | ○ | ○ | | SMTPS | 465 | ○ | × | | POP3S | 995 | ○ | × | | IMAPS | 993 | ○ | × | | FTPS | 990 | ○ | × |
|
除外設定
| 項目 | 説明 |
|---|
| カテゴリ | SSL復号の対象としないカテゴリを指定できます。 |
| IPアドレス | SSL復号の対象としないIPアドレス(オブジェクト)を指定できます。 |
| FQDN | SSL復号の対象としないFQDN(オブジェクト)を指定できます。 |
不正な証明書
| 項目 | 説明 |
|---|
期限切れの証明書 | 期限切れのSSL/TLS証明書を使用して行われる通信に関して以下の制御を指定できます。 | 制御名 | 動作 |
|---|
| 信頼しないまま許可 | 有効期限が切れたSSL証明書の通信を許可します。
他プロファイルでの検査を実施します。 | | ブロック | 有効期限が切れたSSL証明書の通信をブロックします。 | | 信頼して許可 | 有効期限が切れたSSL証明書の通信を許可します。
他プロファイルでの検査を実施しません。
※SSL証明書検査では設定できません。 |
|
| 検証がタイムアウトした証明書 | SSL証明書の検証がタイムアウトした際の通信に関して以下の制御を指定できます。 | 制御名 | 動作 |
|---|
| 信頼しないまま許可 | 検証がタイムアウトした通信を許可します。
他プロファイルでの検査を実施します。 | | ブロック | 検証がタイムアウトした通信をブロックする。 | | 信頼して許可 | 検証がタイムアウトした通信を許可します。
他プロファイルでの検査を実施しません。
※SSL証明書検査では設定できません。 |
|
| 検証に失敗した証明書 | SSL証明書の検証が失敗した際の通信に関して以下の制御を指定できます。 | 制御名 | 動作 |
|---|
| 信頼しないまま許可 | 検証が失敗した通信を許可します。
他プロファイルでの検査を実施します。 | | ブロック | 検証が失敗した通信をブロックします。 | | 信頼して許可 | 検証が失敗した通信を許可します。
他プロファイルでの検査を実施しません。
※SSL証明書検査では設定できません。 |
|