Fortigate機器への脆弱性対応に仮想パッチ機能(ver7.2.4から)
こんにちは。ネットワークソリューション特集 編集部です。
今回は、Fortigate機器への脆弱性対応に仮想パッチ機能(ver7.2.4から)についてご紹介します。
仮想パッチ機能
Fortigate自体の脆弱性対応はOSアップデートが必要でしたがメンテナンス時間がすぐに設けられないとその間の攻撃対応や機能無効化などでサービス利用不可など影響が出ます。
ver7.2.4からの実装された仮想パッチ機能で暫定対処することによりOSアップデートまでの時間が稼げます。
- 795829
Allow virtual patching to be applied to traffic destined to the FortiGate by applying IPS signatures to the local in interface using local in policies. Attacks geared towards GUI and SSH management access, for example, can be mitigated using IPS signatures pushed from FortiGuard, thereby virtually patching these vulnerabilities.
config firewall local-in-policy
edit
set virtual-patch {enable | disable}
next
end
なお、仮想パッチはIPS機能を利用するためIPSライセンス(小規模モデルではUTMバンドル)が必要となります。
※v7.2.6からはIPSライセンス不要で保守に加入していれば利用可能
まとめ
- Fortigate機器への脆弱性にver7.2.4から仮想パッチで対応できるようになった
- IPS機能を利用しているためライセンスが必要
今回はFortigate機器への脆弱性対応に仮想パッチ機能(ver7.2.4から)についてご紹介しました。