個人的なFortiの設定

この記事では、他の環境にも転用が効きそうなFortiGateの設定を記述します。

基本的に私が使っているFortiGateに合わせて随時更新していくと思います。

前提

  • FortiGate 50E
  • FortiOS 6.2.12

更新履歴

日時内容
2023-01-11初版

Security Fablic

Settings

Cloud Loggingを有効に設定、 頻度はRealtimeを選択

Fabric Connectors

Policy & Objects

IPv4 Policy

先頭に

  • Feodo Trackerリストからの通信をDROP (Logあり)
  • Feodo Trackerリストへの通信をDROP (Logあり)

を追加

Security Profiles

AntiVirus

  • Detect Viruses: Block
  • Inspected Protocols: すべてOn
  • APT Protection Options: すべてOn
    • Original File Destination: お好みで (私はDiscard)

Web Filter

  • FortiGard category based filter: お好みで (ライセンスがない場合はOff)
  • File Filter
    • Log: On
    • Scan Archived Contents: On
    • List:
      • Deny password protected
        • Protocols: HTTP + FTP
        • File types: 7z, rar, zip
        • Action: Block
        • Direction: Incoming
        • Match Password Protected Files: On
  • Search Engines: お好みで
  • Static URL Filter
    • Block invalid URLs: On

DNS Filter

  • FortiGuard category based filter
    • Remote CategoriesにFabric Connectorsで指定した定義があるのでブロック
    • それ以外はお好みで、個人的には
      • Malicious Websites: Block
      • Phishing: Block
      • Spam URLS: Block
      • Dynamic DNS: Monitor
      • Newly Observed Domain: Monitor
      • Newly Registerd Domain: Monitor
      • Unrated: Monitor
  • Static Domain Filter
    • External IP Block Lists: Fabric Connectorsで指定した定義があるのでブロック
  • Options
    • Allow DNS requests when a rating error occurs: お好みで (私はOm)
    • Log all DNS queries and responses: On

Application Control

  • Categories: ProxyとP2Pをブロック、それ以外はMonitor
  • Options
    • Allow and Log DNS Traffic: Yes
    • QUIC: Block

Intrusion Prevention

  • Obfuscated.JavaScript.Access: Allow, Disable Logging
  • Seveity 3-5: Block, Log
  • Seveity 2: Default, Log
  • Scan Outgoing Connections to Botnet Sites: ライセンスがあるならBlock

Email Filter

  • Enable Spam Detection and Filtering: On
  • Span Detection by Protocol: お好みで
  • FortiGuard Spam Filtering: すべてOn
  • Local Spam Filtering: Black White List以外On
  • File Filter: すべてOn

SSL/SSH Inspection

別で記事を用意します。

最終更新 Oct 18, 2024 02:28 AM JST
Built with Hugo
テーマ StackJimmy によって設計されています。