Fortigate

Para i-configure ang iyong Fortigate firewall at i-integrate ito sa Glasswall Halo ICAP server, pakisundan ang gabay na ito sa configuration.

Tandaan: ang mga hakbang na ito ay nakadokumento ayon sa Fortigate v7.4.

I-configure ang mga interface at route​

I-configure ang static IP sa inside interface​

Dalawang network interface ang nakakabit sa VM:

• Management interface - ito ang pangunahing network interface na nakakabit sa VM kapag ito ay ginawa. Bilang default, ang static private IP address ng interface ay nakarehistro sa firewall.
• Inside interface - ito ay isang karagdagang interface na nakakabit sa VM matapos itong malikha. Bilang default, maaaring walang IP address na maipakita para sa interface na ito sa firewall.

Upang i-configure ang static IP sa inside interface sa firewall:

1. Mag-login sa management portal at pumunta sa Network -> Interfaces.
2. Piliin at i-edit ang inside interface.
3. Ilagay ang IP/netmask at i-click ang OK.

Gumawa ng static route​

Kailangan ng static route sa firewall upang ang trapiko mula sa lahat ng port ay dumaan sa internet sa pamamagitan ng ibinigay na gateway IP address at interface Upang gumawa ng static route:

1. Pumunta sa Network -> Static routes at gumawa ng bagong route.
2. Piliin ang Subnet bilang Destination at ilagay ang 0.0.0.0/0.0.0.0.
3. Ilagay ang gateway IP address ng subnet sa ilalim ng Gateway address. Karaniwan, ang unang numero ng subnet ang gateway. Hal. 192.168.xx.1.
4. Piliin ang interface na dapat gamitin upang maabot ang gateway IP address at i-click ang OK.

I-configure ang ICAP​

Bilang default, naka-disable ang ICAP feature sa Fortigate firewall at kailangang i-enable ito.

1. Mag-login sa management portal at pumunta sa System -> Feature visibility at i-enable ang ICAP sa ilalim ng additional feature.
2. Gumawa ng ICAP server sa pamamagitan ng pagpunta sa Security profiles -> ICAP servers at gumawa ng bagong server.
3. Ilagay ang pangalan, IP address, at port(default 1344) ng ICAP server, at i-click ang OK.

Gumawa ng ICAP profile​

1. Pumunta sa Security profiles -> ICAP at gumawa ng bagong profile.
2. Maglagay ng pangalan para sa profile.
3. I-enable ang Request processing kung gusto mong iproseso ang mga file na ipinapadala sa mga request.
4. Piliin ang Server na ginawa sa nakaraang hakbang mula sa drop-down.
5. Sa ilalim ng Path, ilagay ang req-cdr-service. Opsyonal na magpasa ng ICAP profile, hal. req-cdr-service?profile=test-profile1.
6. Piliin ang isa sa mga opsyon kapag nabigo ang ICAP na iproseso ang mga file - error o bypass.
7. I-enable ang Response processing kung gusto mong iproseso ang mga file na natatanggap sa response.
8. Piliin ang Server na ginawa sa nakaraang hakbang mula sa drop-down.
9. Sa ilalim ng Path, ilagay ang resp-cdr-service. Opsyonal na magpasa ng ICAP profile, hal. `resp-CDR-service?profile=test-profile1.
10. Piliin ang isa sa mga opsyon kapag nabigo ang ICAP na iproseso ang mga file - ErrorOBypass.
11. I-enable ang Streaming media bypass.

Gumawa o mag-update ng firewall policy​

1. Pumunta sa Policy & objects -> Firewall policy at gumawa o mag-edit ng firewall policy para i-enable ang ICAP integration.
2. Para sa Inspection mode, piliin ang opsyong Proxy-based.
3. Mula sa SSL inspection drop-down, piliin ang Deep-inspection o Custom-deep-inspection.
4. I-enable ang opsyong ICAP at piliin ang ICAP profile na ginawa sa nakaraang hakbang.
5. I-click ang OK.

I-download ang CA certificate​

Dahil na-enable na natin ngayon ang SSL inspection sa firewall, kailangan nating i-download ang CA certificate at i-import ito sa machine o browser ng user. Tinitiyak nito na hindi makakakita ang mga user ng mga SSL error habang nag-a-access ng internet.

1. Pumunta sa Security profiles -> SSL/SSH inspection at piliin ang profile na ginagamit sa firewall policy.
2. I-click ang Download sa tabi ng CA certificate.
3. Kopyahin ito sa mga machine ng user at idagdag ito sa trusted list sa ilalim ng CA certificates.

Ibukod ang mga website mula sa SSL inspection​

Kailangan natin ng kakayahang ibukod ang ilang website mula sa SSL inspection para sa iba't ibang dahilan, gaya ng mga isyu sa compatibility na lumilitaw kapag naka-enable ang SSL inspection. Bilang default, ang mga partikular na address ay naka-exempt na mula sa SSL inspection.

1. Pumunta sa Security profiles -> SSL/SSH inspection.
2. Piliin ang Log SSL exemptions upang ma-log ng firewall ang anumang ganitong exemptions.
3. Kung kinakailangan, magdagdag ng mga partikular na web category sa seksyong ito upang ibukod mula sa SSL inspection.