Fortigate
Untuk mengonfigurasi firewall Fortigate Anda dan mengintegrasikannya dengan server ICAP Glasswall Halo, silakan ikuti panduan konfigurasi ini.
Catatan: langkah-langkah ini didokumentasikan sesuai dengan Fortigate v7.4.
Konfigurasikan antarmuka dan rute
Konfigurasikan IP statis ke antarmuka internal
Dua antarmuka jaringan terpasang ke VM:
- Antarmuka manajemen - ini adalah antarmuka jaringan utama yang terpasang ke VM saat dibuat. Secara default, alamat IP privat statis dari antarmuka tersebut terdaftar di firewall.
- Interface internal - ini adalah interface tambahan yang terpasang ke VM setelah dibuat. Secara default, mungkin tidak ada alamat IP yang ditampilkan untuk interface ini di firewall.
Untuk mengonfigurasi IP statis ke interface internal di firewall:
- Login ke portal manajemen dan buka Network -> Interfaces.
- Pilih dan edit interface internal.
- Masukkan IP/netmask lalu klik OK.
Buat static route
Static route diperlukan di firewall agar trafik dari semua port akan menuju internet melalui alamat IP gateway dan interface yang ditentukan Untuk membuat static route:
- Buka Network -> Static routes lalu buat route baru.
- Pilih Subnet sebagai Destination lalu masukkan
0.0.0.0/0.0.0.0. - Masukkan alamat IP gateway subnet pada Gateway address. Biasanya angka pertama dari subnet adalah gateway. Mis. 192.168.xx.1.
- Pilih interface yang harus digunakan untuk menjangkau alamat IP gateway lalu klik OK.
Konfigurasikan ICAP
Secara default, fitur ICAP di firewall Fortigate dinonaktifkan dan perlu diaktifkan.
- Login ke portal manajemen lalu buka System -> Feature visibility dan aktifkan ICAP di bawah fitur tambahan.
- Buat server ICAP dengan membuka Security profiles -> ICAP servers lalu buat server baru.
- Masukkan nama, alamat IP, dan port (default 1344) dari server ICAP, lalu klik OK.
Buat profile ICAP
- Buka Security profiles -> ICAP dan buat profile baru.
- Masukkan nama untuk profile.
- Aktifkan Request processing jika Anda ingin memproses file yang dikirim dalam request.
- Pilih Server yang dibuat pada langkah sebelumnya dari menu drop-down.
- Di bawah Path masukkan
req-cdr-service. Secara opsional, teruskan profile ICAP mis.req-cdr-service?profile=test-profile1. - Pilih salah satu opsi saat ICAP gagal memproses file - error atau bypass.
- Aktifkan Response processing jika Anda ingin memproses file yang diterima dalam response.
- Pilih Server yang dibuat pada langkah sebelumnya dari menu drop-down.
- Di bawah Path masukkan
resp-cdr-service. Secara opsional, teruskan profile ICAP mis. `resp-CDR-service?profile=test-profile1. - Pilih salah satu opsi saat ICAP gagal memproses file -
ErrorAtauBypass. - Aktifkan Streaming media bypass.
Buat atau perbarui policy firewall
- Buka Policy & objects -> Firewall policy lalu buat atau edit policy firewall untuk mengaktifkan integrasi ICAP.
- Untuk Inspection mode, pilih opsi Proxy-based.
- Dari menu drop-down SSL inspection, pilih Deep-inspection atau Custom-deep-inspection.
- Aktifkan opsi ICAP dan pilih profile ICAP yang dibuat pada langkah sebelumnya.
- Klik OK.
Unduh sertifikat CA
Karena kini kita telah mengaktifkan inspeksi SSL di firewall, kita perlu mengunduh sertifikat CA dan mengimpornya ke mesin atau browser pengguna. Ini memastikan bahwa pengguna tidak akan melihat error SSL saat mengakses internet.
- Buka Security profiles -> SSL/SSH inspection dan pilih profile yang digunakan dalam policy firewall.
- Klik Download di samping CA certificate.
- Salin ke mesin pengguna dan tambahkan ke daftar tepercaya di bawah sertifikat CA.
Kecualikan situs web dari inspeksi SSL
Kita memerlukan kemampuan untuk mengecualikan situs web tertentu dari inspeksi SSL karena berbagai alasan, seperti masalah kompatibilitas yang muncul saat inspeksi SSL diaktifkan. Secara default, alamat tertentu sudah dikecualikan dari inspeksi SSL.
- Buka Security profiles -> SSL/SSH inspection.
- Pilih Log SSL exemptions agar firewall akan mencatat pengecualian tersebut.
- Jika diperlukan, tambahkan kategori web tertentu di bagian ini untuk dikecualikan dari inspeksi SSL.
