Đề tài tốt nghiệp công nghệ thông tin Cấu hình tường lửa Fortigate trong mạng doanh nghiệp

 Điều khiển được các ứng dụng, trang web để chặn những trang web hay những ứngđụng mạng không cần thiết khi đang trong quá trình làm việc của nhân viên nhămnâng cao hiệu quả làm việc..

Trang 1

CẤU HÌNH TƯỜNG LỬA FORTIGATE

1/94

Trang 2

LỜI CẢM ƠN

Sau 3 tháng thực tập tại Công ty cổ phần TM DV Công nghệ Chân Trời (Tech Horizon Corporation) Với sự hướng dẫn tận tình của Thầy Huỳnh Đệ Thủ cùng với

anh Trương Trọng Hiếu, đã giúp em hoàn thành đề tài “Cấu hình tường lửa Fortigate

trong mạng doanh nghiệp”.

Em xin chân thành cảm ơn Công ty cổ phần TM DV Công nghệ Chân Trời (Tech Horizon Corporation) Đồng thời em chân thành cảm ơn Anh Hiếu và Thầy Huỳnh Đệ Thủ đã truyền đạt những kiến thức, kinh nghiệm trong lĩnh vực An ninh mạng nói riêng và lĩnh vực Công Nghệ Thông Tin nói chung để em có được những kiến thức tổng hợp về ngành nghề trước khi ra trường.

Xin cảm ơn các anh chị trong công ty đã giúp đỡ em ở công ty trong quá trình thực tập.

Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót Em xin chân thành cảm ơn ý kiến đóng góp, nhận xét của Giảng Viên để nội dung của đồ án ngày càng hoàn thiện hơn.

Trân trọng cảm ơn!

Tp Hồ Chí Minh, tháng 3 năm 2014

Sinh viên thực tập

VŨ DUY TÂN

Trang 3

Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040

NHẬN XÉT VÀ KẾT LUẬN CỦA GIẢNG VIÊN Nhận xét:

Kết luận:

Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040

NHẬN XÉT VÀ KẾT LUẬN CỦA GIẢNG VIÊN

Trang 4

Nhận xét:

Kết luận:

3/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040

MỤC LỤC A GIỚI THIỆU ĐỀ TÀI 6

Trang 5

1 Giới thiệu đề tài 6

2 Mục đích đề tài 7

3 Yêu cầu đề tài 7

B GIỚI THIỆU FORTIGATE 8

C CẤU HÌNH THIẾT BỊ 9

1 CẤU HÌNH CĂN BẢN 9

1.1 Login và system 9

1.2 Tạo tài khoản quản trị thiết bị 11

1.3 Cấu hình network interface 12

1.4 Cấu hình Routing 13

1.5 Cấu hình Firewall Policy 14

1.6 NAT 18

1.7 Log và report 19

1.8 Backup và restore 20

2 ANTI-VIRUS 21

2.1 Mô tả 21

2.2 Mô hình 21

2.3 Cấu hình 21

3 APPLICATION CONTROL 25

3.1 Mô tả 25

3.2 Mô hình 25

3.3 Cấu hình 25

4 DATA LEAK PREVENTION 29

4.1 Mô tả 29

4.2 Mô hình 30

4.3 Cấu hình 30

5 EMAIL FILTER 32

5.1 Mô tả 32

5.2 Mô hình 33

5.3 Cấu hình 33

6 WEB FILTER & OVERRIDE 36

4/94 6.1 Mô tả 36

6.2 Mô hình 36

6.3 Cấu hình 37

7 CẤU HÌNH WIRELESS CONTROLLER ĐỂ QUẢN LÝ THIẾT

Trang 6

BỊ PHÁT SÓNG FORTI -AP 41

7.1 Tổng quan 41

7.2 Sơ đồ 41

7.3 Cấu hình 42

8 BYOD: BRING YOUR OWN DEVICE 47

8.1 Giới thiệu 47

8.2 Cấu hình 47

9 TWO FACTOR AUTHENTICATION 51

9.1 Giới thiệu 51

9.2 Cấu hình 53

10 CLIENT REPUTATION 56

10.1.Giới thiệu 56

10.2.Cấu hình 57

11 VPN - ROUTED-BASED IPSEC VPN 59

11.2.Cấu hình 59

12 VPN - POLICY-BASED IPSEC VPN 70

12.2.Cấu hình 70

13 SSL VPN 80

13.2.Cấu hình 80

14 VPN IPSEC CLIENT TO GATEWAY 87

14.2.Cấu hình 87

5/94 Báo Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040

A Giới thiệu đề tài.

1 Giới thiệu đề tài.

Ngày nay sự phát triển của internet diễn ra với tốc độ nhanh chóng không ngừng nghỉ,

Trang 7

thì cùng với đó là các mối đe dọa trực tiếp tới người dùng đặc biệt là các công ty, doanhnghiệp vừa và lớn như các phần mềm, chương trình Malware, Trojan, hay từ chính mối đedọa trừ các nhân viên trong công ty, nhằm đáp ứng nhu cầu cũng như bảo vệ Web Server,Web Mail của các công ty, doanh nghiệp thì trên thị trường cũng có rất nhiều phần mềm,thiết bị chuyên dụng về tường lửa như của 1 số hãng nổi tiếng trên thế giới như nền tảngtường lửa mềm của Microsoft là Microsoft Forefront Threat Managerment Gateway (TMG)

2010, Cisco ASA, COMODO Firewall, Firewall Uniper, Firewall Astaro, FirewallFortigate… Trong đó Firewall Fortigate của hãng Fortinet là 1 trong những firewall hàngđầu thế giới về bảo mật thông tin Fortinet đã đưa ra thị trường các dòng sản phẩm Fortigatenhằm phục vụ cho từng nhu cầu của công ty, doang nghiệp, các dòng sản phẩm này đều dựatrên yêu cầu mục đích cần thiết nhất để bảo vệ tốt nhất cho công ty, doanh nghiệp các dòngsản phẩm Fortigate đều có hỗ trợ Anti Virus, Application Control, Data Leak Prevention,Email Filter, Web Filter, Client Repitation, Vpn, …

Vì những yêu cầu trên mà em đã chọn đề tài “ Cấu Hình Tường Lửa Fortigate Trong Mạng Doanh Nghiệp” làm đề tài thực tập tốt nghiệp.

6/94

Báo

2 Mục đích đề tài

Nghiên cứu ứng dụng thực tế của Fortigate

Triển khai cấu hình tường lửa Fortigate cho doanh nghiệp

Cấu hình căn bản trên trường lửa Fortigate

Trang 8

Cấu hình các thiết lập căn bản trên Fortigate

Cấu hình VPN, IPSEC-VPN

3 Yêu cầu đề tài

 Có khả năng chặn được scan virus, ngăn chăn các mối nguy hiểm, không chodownload

 Điều khiển được các ứng dụng, trang web để chặn những trang web hay những ứngđụng mạng không cần thiết khi đang trong quá trình làm việc của nhân viên nhămnâng cao hiệu quả làm việc

 Bảo vệ các dữ liệu quan trọng khỏi bị đánh cắp, giới hạn gói tin gửi ra ngoài, giới hanbăng thông …

 Bảo vệ, ngăn chặn các email có nội dụng không tốt và những email không tồn tại Vớitính năng này sẽ giúp cho hệ thộng email được bảo vệ tốt hơn và hoạt động ổn địnhhơn

 Web filter hoat động hiệu quả, chặn được trang web không cần thiết

 Quản lí được các forti AP trong hệ thống mạng, mang tới sự ổn định wifi trong môitrường doanh nghiệp

 Với BYOD tự động xác định thiết bị người dùng, sử dụng tính năng smart policy giúpviệc áp dụng các chính sách hết sức dễ dàng, linh hoạt

 Tạo kết nối VPN để kết nối user remote từ bên ngoài hệ thống 1 cách dễ dàng

7/94

Báo

B Giới thiệu Fortigate

Fortinet giới thiệu dòng sản phẩm FortiGate với nhiều series khác nhau từ Fortigate-20Cdùng cho người dùng gia đình, văn phòng nhỏ cho tới hệ thống FortiGate-5000 dành cho cácdoanh nghiệp lớn, các nhà cung cấp dịch vụ

Trang 9

FortiGate kết hợp FortiOS™ là hệ điều hành bảo mật với bộ vi xử lý đặc chủngFortiASIC và phần cứng để cung cấp cho khách hàng hệ thống an ninh mạng toàn diện, nhiềutầng và hiệu suất cao với các chức năng bao gồm:

 Tường lửa, Mạng riêng ảo (VPN) và Traffic Shaping

 Hệ thống ngăn chặn xâm nhập (IPS)

 Chức năng phòng chống vi-rút/ phần mềm gián điệp và các yếu tố nguy hiểm khác

 Chức năng kiểm soát và lọc nội dung Web

 Chức năng phòng chống thư rác (Antispam)

 Kiểm soát Ứng dụng (ví dụ: IM và P2P)

 Hỗ trợ VoIP (H.323 và SCCP)

 Chức năng định tuyến Layer 2/3

 Chức năng tối ưu hóa các kết nối WAN

 Và nhiều chức năng khác

Hệ thống FortiGate giúp chi phí đầu tư của khách hàng thấp và hiệu quả, bảo vệ toàn diệnmạng lưới chống lại các mối đe dọa mạng, nội dung, và các mối đe dọa ở cấp ứng dụng - baogồm các cuộc tấn công phức tạp vốn rất được ưa thích của tội phạm - mà không làm giảm

Hệ thống FortiGate kết hợp các tính năng mạng tinh vi, chẳng hạn như:

 Tính sẵn sàng cao (HA theo các giao thức hoạt động "Active/Active",

"Active/Passive") giúp cho thời gian hoạt động mạng tối đa

Tường lửa ảo (VDOM) mang lại khả năng phân tách thiết bị tường lửa thành nhiều tường lửa

ảo để áp dụng các chính sách bảo mật khác nhau hoặc phục vụ cho nhiều đối tượng và yêu

Trang 10

• Flow control: none

• Login web interface

• https://192.168.1.99

• Username: admin

• Password:

• System: Xem trạng thái thông tin thiết bị như ngày, giờ, license, phiên hiện tại

Login vào màn hình cấu hình Fortinet firewall theo thông số bên dưới

9/94

Báo

Trang 11

https://192.168.1.99 Username: admin Password :

+ Màn hình chính của Fortinet firewal

Để thay đổi tên của thiết bị cho phù hợp với công ty ta thực hiện như hình bêndưới

10/94

Báo

Trang 12

Cài đặt thời gian và ngày tháng giúp phân tích log, các sự kiện một cách chính xác

1.2 Tạo tài khoản quản trị thiết bị

Fortinet firewall chia thành nhiều cấp administrator

 Administrator

o Toàn quyền trên hệ thống

o Tạo, xóa và quản lý tất cả các lọai administrator khác

Sau khi tạo tài khoản xong ta cấp quyền truy cập vào thiết bị cho tài khoản vừa tạo

Trang 13

theo như hình bên dưới:

Ta có thể đổi Password của tài khoản Administrator theo như hình bên dưới:

1.3 Cấu hình network interface

Network interface hỗ trợ khai báo IP tĩnh, IP động, PPPoE, ta có thể cấu hình cácinterface theo như hình bên dưới:

12/94

Báo

• Khai báo thông số cho các interface, cấu hình interface mode Manual

Trang 14

• Khai báo thông số cho các interface, cấu hình interface mode PPPoE, Trong phầnquay PPPoE ta cần check “retrieve default gateway form server”

1.4 Cấu hình Routing

Để truy cập đến các mạng không liền kề, cần tạo thêm các route tương ứng

 Destination: Routes được dựa trên IP đích

13/94

Báo

 Source: Routes được dựa trên IP nguồn

 Để truy cập đến mạng bên ngoài, cần khai báo thêm default route

Để cấu hình static route ta thực hiện như hình bên dưới:

• Khai báo thông số cấu hình static route:

Trang 15

1.5 Cấu hình Firewall Policy

 Policy dùng để Kiểm soát traffic vào ra giữa các zone với nhau và áp các chínhsách cho các Zone

 Khi route được quyết định thì policy sẽ được thực thi

 Tất cả các model đều có policy mặt định

 Mặc định policy cho phép từ Internal  Wan1

Để tạo một chính sách (policy) ta thực hiện như bên dưới:

Có 2 lựa chọn cho policy type là Firewall và VPN Với loại Firewall ta có 3 subtype làAddress (dùng cho các policy với mục đích thường), User Identity (mục đích xác định User),Device Identity (mục đích xác định thiết bị) Trong ver5.0, Policy được gọi là Smart Policy,

có thể nói Identity bằng Policy giúp quản lí user và device dễ dàng hơn rất nhiều, phần này sẽđược nói rõ hơn ở phần quản lí user, device

14/94

Báo

Trang 16

• Với Policy loại VPN ta có 2 subtype là IPSec và SSL, tùy mục đích mà ta lựa chọncho phù hợp:

15/94

Báo

• Dưới đây là cách khai báo một số thông số trong policy:

Trang 17

 Source Address và Destination Address: có thể chọn 1 địa chỉ hoặc là một nhóm địa chỉ IP được định nghĩa bằng “Address” nhằm đơn giản hóa các policy Để tạo

một địa chỉ mạng ta thực hiện như hình bên dưới:

Khai báo các thông số cho một Address

 Cho phép tạo subnet, dãy IP, hoặc 1 địa chỉ

 Chú ý: khi tạo 1 địa chỉ thì subnet là 32

16/94

Báo

 Services: Fortinet firewall đã định nghĩa sẵn rất nhiều dịch vụ (predefined) và

nhóm dịch vụ được sử dụng phổ biến

Trang 18

o Service Any đại diện cho tất cả các services (ports)

o Group service và services phục vụ cho việc lập chính sách truy cập

o Group service và services giúp lập chính sách rõ ràng, chính xác

Những Service được định nghĩa trước được liệt kê chi tiết

• Ngoài những services được định nghĩa sẵn ta có thể tạo thêm bằng “Create new”:

17/94

Báo

 Action: áp dụng các hành động trong policy

o Các lựa chọn trong Action:

- Accept (cho phép)

- Deny (cấm)

Trang 19

o IP này thay đổi trong các thời gian và trong các kết nối khác nhau.

 VIP (Virtual IP): Một dạng của Destination NAT

Cho phép người dùng bên ngoài truy cập những dịch vụ vào mạng bên trong

Mở port để đi vào giao tiếp với địa chỉ IP bên trong và port của nó

Tạo policy từ WAN -> Internal từ any -> VIP address

18/94

Báo

External: IP Wan

Trang 20

Mapped Ip: IP Local

Mặc định là dạng Nat 1 – 1, nếu chỉ muốn cho sử dụng 1 port hoặc 1 range port thì tickvào “Port Forwarding” và điền thông tin port vào

1.7 Log và report

 Log để ghi lại những thao tác vào ra của traffic

 Report cho phép người quản trị xuất báo cáo và tình trạng traffic

 Cấu hình trong log & report  log config

 Cho phép ghi log một cách chi tiết với nhiều lựa chọn

 Log được ghi trên RAM hay Disk, FortiCloud hoặc với thiết bị Forti-Analayercủa hãng Fortinet

19/94

Báo

Chú ý: nhiều tính năng trên ver5.0 cần dùng command line cấu hình, kích hoạt Ví dụmuốn hiển thị log trên disk ta cần gõ các câu lệnh sau:

FortiGate # config log disk setting

FortiGate (setting) # set status enable

FortiGate (setting) # end

Trang 21

1.8 Backup và restore

 Sử dụng để lưu trữ dự phòng và phục hồi cấu hình tốt nhất khi cần thiết

 Sử dụng GUI một cách đơn giản

 Được thiết kế trong System

Trang 22

2.3 Cấu hình

B1: Kiểm tra thông số interface

21/94

Báo

B2: Tạo default route để đi internet vào Router  Static  Create

Cấu hình File Filter: Security Profiles  Data Leak Prevention  File Filter

Trang 23

Cấu hình các thành phần trong File Filter tùy theo mục đích của người quản trị ( Ví dụ: cấmdownload file có đuôi mp3, pdf và rar)

B3: Áp đặt File Filter vào Sensor: Security Profiles  Data Leak Prevention 

Sensor  Create New

22/94

Báo

 Scan virus: tạo Profile Scan ta có thể chọn quét mặc định bằng cách check hết

vào Virus Scan hay theo yêu cầu người quản trị

Trang 24

B4: Áp đặt profile vào plicy: Policy

Trong Policy  Security Profiles “on” Antivirus, DLP Sensor và chọn các profile đã lập

23/94

Báo

Trang 25

 Kiểm tra: bằng cách download file thử

 Xem log: Log&Report>Log Acces>AntiVirus

 Ta có thể điều khiển được truyền tải mạng thông thường bằng địa chỉ nguồn và đích,hay port, số lượng và các thuộc tính truyền tải được gắn bởi firewall policy Nếu muốnkiểm tra lưu lượng của của 1 ứng dụng chỉ định thì phương pháp này không thể đảm

Trang 26

bảo được yêu cầu.

 Đặc điểm của Application control là kiểm tra các ứng dụng phát sinh trên mạng thôngqua signature, không cần đến địa chỉ server hay port Application Control có cácsignature bao gồm hơn 1000 ứng dụng, dịch vụ và giao thức

Block yahoo: Security Profiles> Application Control> Application Sensor

Trang 27

Chọn các dịch vụ yahoo cần block, rồi chọn Action> Block

26/94

Báo

Thiết lập băng thông cho user: Firewall Objects> Traffic Shaper> Create

Áp Application Control đã định nghĩa vào Policy

Trang 28

Báo

File log các application:

File log của traffic:

Trang 29

Báo

4 Data leak prevention

4.1 Mô tả

 Một tổ chức dữ liệu cần được bảo vệ không những từ những truy xuất bất hợp lệ bênngoài mà còn kiểm tra những cái bên trong Người dùng không thể nhận thức đượccác giá trị khi mà dữ liệu bị lộ ra ngoài hay bị sử dụng bởi người khác

 The FortiGate Date Leak Prevention (DLP) system bảo vệ các dữ liệu quan trọng khỏi

bị đánh cắp Người quản trị xác định các phần tử dữ liệu khi đi qua FortiGate sẽ đượckiểm tra coi có phù hợp không Hệ thống DLP được cấu hình bằng các quy luật riêngbiệt, kết hợp quy luật của DLP sensor và sau đó áp đặt các sensor này vào profile

 Các bước để kiểm tra mà tổ chức chống dữ liệu thất thoát khuyến cáo:

o Quan sát và theo dõi các nơi mà dữ liệu bị lỗ hổng

o Hạn chế các đường truyền tải có thể xảy ra lỗ hổng

o Dò xét và loại bỏ dự liệu bị lỗi

Trang 30

 Các loại dữ liệu:

o Text, bao gồm các HTML và nội dung email

o Plaintext, nội dung PDF

o Các loại file MS Word

o Các loại file MS Office

 DLP sensor: sử dụng lọc dữ liệu.Thông qua áp đặt DLP sensor vào Policy thì dữ liệu

sẽ được cho qua hay cấm tùy vào cấu hình

 DLP Filter: Mỗi DLP sensor có 1 hay nhiều bộ lọc tùy vào cấu hình Bộ lọc kiểm tra

truyền tải dữ liệu sử dụng DLP fingerprint như đối với file là kiểm tra tên hay kiểu,đối với file lớn thì kiểm tra dung lượng Các hành động trong bộ lọc là: Log Only,Block, Exempt và Quarantine User, IP address, hay Interface

 Fingerprint: cho phép bạn tạo một thư viện file cho FortiGate kiểm tra Điều này

nghĩa là nó sẽ tạo 1 checksum fingerprint để xác định loại file và khi file chạy trênđường truyền thì nó sẽ được so sánh với fingerprint database

 File Filter: sử dụng danh sách lọc để kiểm tra hệ thống truyền tải mạng đối với các

file có phù hợp không

 File Size: kiểm tra kiểu và dung lượng file.

 Regular expression: FortiGate sẽ kiểm tra truyền tải mạng về các chỉ định giao thức

Trang 31

Báo

B2: Áp đặt vào Policy: Policy> Create

Trang 32

Kiểm tra: Send 1 mail >5M ta nhận dc thông tin trong FortiGate log với người gửi là ai

và gởi cho ai vào thời gian cụ thể

 Fortiguard Ip address check:

o Fortigate sẽ gửi các truy vấn tới Fortiguard Antispam Service để xác định Ip addresscủa client có nằm trong blacklisk không Nếu có, Fortigate sẽ coi mail từ IP đó là spam

 Fortiguard URL check:

o Fortigate truy vấn tới FortiGuard Antispam service để xác định URL có trong nộidung mail có liên quan tới spam hay không Nếu có, Fortigate xác định email này làspam

 Detect phishing URLs in email:

o Fortigate gửi các URL links trong email tới Fortiguard để xác định nếu links có liên

Trang 33

quan tới một trang phishing nào đó đã được xác định Nếu có, link sẽ bị xóa khỏi mail.Phần còn lại của URL không còn là một hyperlink khả dụng

 FortiGuard email checksum check:

o Fortigate gửi một đoạn dữ liệu hash của email tới FortiGuard Antispam Server, ở đó

nó sẽ được so sánh với hash của các tin nhắn spam được lưu trữ trong cơ sở dữ liệu củaFortiguard Nếu trùng, email bị gắn cờ spam

 FortiGuard spam submission:

o Spam submission là một cách bạn có thể thông báo cho Fortiguard về một emailkhông phải là spam nhưng bị gắn cờ spam Khi bạn kích hoạt tính năng này, Fortigatethêm một link ở cuối mỗi email được cho là spam Bạn có thể chọn link này để thông báotới Fortiguard rằng email này không phải là spam

 IP address black/white list check:

o Fortigate so sánh IP address của client gửi email với các Ip address black/white cótrong email filter profile Nếu trùng, Fortigate sẽ thực hiện các Action đã được cấu hình

 HELO DNS lookup:

o Fortigate lấy các domain name xác định bởi client trong lời chào HELLO được gửikhi bắt đầu khởi động các phiên SMTP và thực hiện DNS lookup để xác định nếu nhưdomain tồn tại Nếu lookup thất bại, Fortigate xác định rằng bất kì tin nhắn nào đượctruyền đi trong phiên SMTP này đều là spam

32/94

Báo

 Email address black/white list check:

o Fortigate so sánh địa chỉ người gửi email ở trong phần MAIL FROM, với các địa chỉemail black/white list được xác định trong email filter profile Nếu tìm thấy, fortigate sẽthực hiện các Action tương ứng đã được cấu hình

 Banned word check:

o Fortigate chặn các email dựa vào việc so sánh nội dung của tin nhắn với các từ hoặccác dạng được lựa chọn trong spam filter banned word list Tính năng này chỉ được cấuhình trên command line

Ngăn chặn mail chỉ định và mail có nội dung chỉ định thành spam mail để user biết vàcheck mail ko cần thiết

5.2 Mô hình

Trang 34

5.3 Cấu hình

B1: Tạo Email list tên là Black List: cho các mail có đuôi @yahoo.com là spam mail

33/94

Báo

B2: Áp vào trong Profile:

- Inspection mode: proxy cho các file nhỏ, flow cho các file lớn

- Spam action: Discard là loại bỏ mail mà không có thông báo Tagged, thì với các

email bị xác định là spam sẽ bị gắn nhãn và truyền đi như thường, khi nhận đượcemail này người dùng sẽ thấy chứ spam trên mục header của mail

- BWL: là mục blacklist tự tạo của người quản trị

B3: Áp đặt profile vào Policy: Policy> Create

Trang 35

Báo

Kiểm tra trong outlock

Kiểm tra trong FG:

Trang 36

Báo

6 Web Filter & OverRide

6.1 Mô tả

Tính năng này giúp Fortigate lọc các luồng traffic HTTP Ba phần chính của chức nănglọc web là Web Content Filter, URL Filter và FortiGuard Web Filtering Services, chúng sẽtương tác với nhau để cung cấp sự điều khiển lớn nhất với bất kì người sử dụng internet nào,

từ đó bảo vệ mạng của bạn trước bất kì nội dung nguy hiểm nào của internet Web ContentFilter chặn các trang web chứa các từ hoặc khuôn dạng mà bạn đã xác định trước đó URLfiltering sử dụng URLs và dạng URL để ngăn chặn các trang web từ những nguồn cụ thể đãđược xác định trước FortiGuard Web Filtering cung cấp nhiều categories để bạn có thể lựachọn sử dụng để lọc các luồng traffic web

6.2 Mô hình

Cấm user không truy cập vào web chỉ định (VD: ngoisao.net) Cấm user ko thể truy cậpđược web có nội dung game hay web có từ “game”

Trang 38

o Đòi hỏi bộ đệm cho traffic và kiểm tra tất cả traffic trước khi xác định mộthành động với nó Quá trình cache toàn bộ dữ liệu để phân tích làm cho quá trình này

có nhiều điểm dữ liệu cần phải phân tích hơn các phương thức flow – based và DNS

 Inspection Mode Flow – based:

o Phương thức này kiểm tra file khi nó đến được Fortigate mà không cần bộ đệm.Khi mỗi gói tin của traffic đến, nó sẽ xử lí và chuyển tiếp mà không cần đợi tất cả cácgói tin đến đủ Lợi thế của Flow – based là người dùng sẽ thấy thời gian đáp ứng củacác yêu cầu tới HTTP là nhanh hơn và có ít lỗi time – out do server đáp ứng chậm.Nhược điểm của phương thức này là khả năng lỗi có thể xảy ra cao hơn khi phân tích

dữ liệu và phân tích điểm dữ liệu như trong proxy – based lại không có trong flow –based

 Inspection Mode DNS:

o Sử dụng categories như FortiGuard Services Nó yêu cầu tài nguyên it nhất bởi

nó không hoạt động giống như 2 phương thức trước Một yêu cầu DNS là đặc trưngcho phần đầu tiên của bất kì phiên mới nào tới một website Đó chính là lợi thế củaphương thức này và nó đặt kết quả vào đánh giá websites vào trong FortiGuard DNSservers Khi Fortigate giải quyết với một URL, ngoài các địa chỉ IP của website nócòn nhận được một đánh giá về domain đó Trong cách tương tự như flow – based nó

37/94

Báo

chỉ có một vài bộ lọc và điểm phân tích so với proxy – based, vì thế có thể coi DNSvẫn có ít thiết lập Tất cả sự kiểm tra đều dựa vào IP, domain name và rating đã đượccung cấp bởi FortiGuard DNS server

Cấu hình:

B1: cấu hình cấm các trang web có nội dung game bằng FortiGuard Categories

Trang 39

Ta thấy ở đây có nhiều lựa chọn: allow, block, monitor, authenticate (bắt phải xác thựcmới có thể dùng)…

Phần Quota khi monitor, warning và xác thực cho phép truy cập trong một khoảng thờigian nhất định cho từng user, khoảng thời gian này được reset lại vào nửa đêm Quota chỉ ápdụng cho một cá nhân tại một thời điểm và người dùng bắt buộc vào xác thực với fortigate(qua các policy)

38/94

Báo

B2: Cấu hình block web ngoisao.net

Ở phần cuối có lựa chọn là “allow blocked override”: cho phép tạo ra các ngoại lệ vớimột user, nhóm user hoặc địa chỉ IP trong một khoảng thời gian được tùy chọn

B3: Áp vào Policy

Trang 40

Báo

Kiểm tra Website: www.genk.vn là web có nội dung về game là web có chứa từ game(Cẩn thận khi sử dụng web content Filter)

Kiểm tra Website www.ngoisao.net bị cấm

Định dạng
Số trang	95
Dung lượng	11,53 MB