Fortigate

अपने Fortigate firewall को कॉन्फ़िगर करने और उसे Glasswall Halo ICAP server के साथ एकीकृत करने के लिए, कृपया इस कॉन्फ़िगरेशन गाइड का पालन करें।

नोट: ये चरण Fortigate v7.4 के अनुसार प्रलेखित हैं।

इंटरफ़ेस और रूट कॉन्फ़िगर करें​

inside interface के लिए static IP कॉन्फ़िगर करें​

VM से दो network interfaces जुड़े हुए हैं:

• Management interface - यह VM के बनाए जाने पर उससे जुड़ा प्राथमिक network interface होता है। डिफ़ॉल्ट रूप से, interface का static private IP address firewall में पंजीकृत होता है।
• इनसाइड इंटरफ़ेस - यह VM बनने के बाद उससे जुड़ा एक अतिरिक्त इंटरफ़ेस है। डिफ़ॉल्ट रूप से फ़ायरवॉल में इस इंटरफ़ेस के लिए कोई IP address दिखाई नहीं दे सकता है।

फ़ायरवॉल में इनसाइड इंटरफ़ेस के लिए static IP कॉन्फ़िगर करने के लिए:

1. मैनेजमेंट पोर्टल में लॉगिन करें और Network -> Interfaces पर जाएँ।
2. इनसाइड इंटरफ़ेस चुनें और उसे एडिट करें।
3. IP/netmask दर्ज करें और OK पर क्लिक करें।

एक static route बनाएँ​

फ़ायरवॉल में एक static route आवश्यक है ताकि सभी ports से आने वाला ट्रैफ़िक दिए गए gateway IP address और interface के माध्यम से इंटरनेट तक जाए static route बनाने के लिए:

1. Network -> Static routes पर जाएँ और एक नया route बनाएँ।
2. Subnet को Destination के रूप में चुनें और 0.0.0.0/0.0.0.0 दर्ज करें।
3. Gateway address के अंतर्गत subnet का gateway IP address दर्ज करें। आमतौर पर subnet का पहला नंबर gateway होता है। उदाहरण: 192.168.xx.1.
4. वह interface चुनें जिसका उपयोग gateway IP address तक पहुँचने के लिए किया जाना चाहिए और OK पर क्लिक करें।

ICAP कॉन्फ़िगर करें​

डिफ़ॉल्ट रूप से Fortigate फ़ायरवॉल में ICAP फीचर अक्षम होता है और इसे सक्षम करना आवश्यक है।

1. मैनेजमेंट पोर्टल में लॉगिन करें और System -> Feature visibility पर जाएँ, फिर additional feature के अंतर्गत ICAP सक्षम करें।
2. Security profiles -> ICAP servers पर जाकर एक ICAP server बनाएँ और नया server बनाएँ।
3. ICAP server का नाम, IP address और port(default 1344) दर्ज करें, और OK पर क्लिक करें।

ICAP profile बनाएँ​

1. Security profiles -> ICAP पर जाएँ और एक नया profile बनाएँ।
2. profile के लिए एक नाम दर्ज करें।
3. यदि आप requests में भेजी गई files को process करना चाहते हैं, तो Request processing सक्षम करें।
4. drop-down से पिछले चरण में बनाया गया Server चुनें।
5. Path के अंतर्गत req-cdr-service दर्ज करें। वैकल्पिक रूप से एक ICAP profile पास करें, उदाहरण के लिए req-cdr-service?profile=test-profile1।
6. जब ICAP files को process करने में विफल हो, तब विकल्पों में से एक चुनें - error या bypass।
7. यदि आप response में प्राप्त हो रही files को process करना चाहते हैं, तो Response processing सक्षम करें।
8. drop-down से पिछले चरण में बनाया गया Server चुनें।
9. Path के अंतर्गत resp-cdr-service दर्ज करें। वैकल्पिक रूप से एक ICAP profile पास करें, उदाहरण के लिए `resp-CDR-service?profile=test-profile1.
10. जब ICAP files को process करने में विफल हो, तब विकल्पों में से एक चुनें - ErrorयाBypass।
11. Streaming media bypass सक्षम करें।

firewall policy बनाएँ या अपडेट करें​

1. Policy & objects -> Firewall policy पर जाएँ और ICAP integration सक्षम करने के लिए firewall policy बनाएँ या संपादित करें।
2. Inspection mode के लिए, Proxy-based विकल्प चुनें।
3. SSL inspection drop-down से Deep-inspection या Custom-deep-inspection चुनें।
4. ICAP विकल्प सक्षम करें और पिछले चरण में बनाया गया ICAP profile चुनें।
5. OK पर क्लिक करें।

CA certificate डाउनलोड करें​

चूंकि हमने अब firewall में SSL inspection सक्षम कर दिया है, इसलिए हमें CA certificate डाउनलोड करके उसे उपयोगकर्ता की मशीन या browsers में import करना होगा। इससे यह सुनिश्चित होता है कि इंटरनेट एक्सेस करते समय उपयोगकर्ताओं को SSL errors नहीं दिखाई देंगे।

1. Security profiles -> SSL/SSH inspection पर जाएं और firewall policy में उपयोग किए गए profile का चयन करें।
2. Download पर CA certificate के बगल में क्लिक करें।
3. इसे उपयोगकर्ता की मशीनों पर कॉपी करें और CA certificates के अंतर्गत trusted list में जोड़ें।

वेबसाइटों को SSL inspection से छूट दें​

हमें विभिन्न कारणों से कुछ वेबसाइटों को SSL inspection से छूट देने की क्षमता चाहिए, जैसे कि वे compatibility issues जो SSL inspection सक्षम होने पर उत्पन्न होते हैं। डिफ़ॉल्ट रूप से, कुछ विशिष्ट addresses पहले से ही SSL inspection से exempted होते हैं।

1. Security profiles -> SSL/SSH inspection पर जाएं।
2. Log SSL exemptions चुनें ताकि firewall ऐसी किसी भी exemptions को log करे।
3. यदि आवश्यक हो, तो SSL inspection से छूट देने के लिए इस section में विशिष्ट web categories जोड़ें।