Fortigate

Untuk mengkonfigurasikan firewall Fortigate anda dan mengintegrasikannya dengan pelayan ICAP Glasswall Halo, sila ikuti panduan konfigurasi ini.

Nota: langkah-langkah ini didokumenkan mengikut Fortigate v7.4.

Konfigurasikan antara muka dan laluan​

Konfigurasikan IP statik kepada antara muka dalaman​

Dua antara muka rangkaian dilampirkan pada VM:

• Antara muka pengurusan - ini ialah antara muka rangkaian utama yang dilampirkan pada VM apabila ia dicipta. Secara lalai alamat IP peribadi statik bagi antara muka tersebut didaftarkan dalam firewall.
• Antara muka dalaman - ini ialah antara muka tambahan yang dilampirkan pada VM selepas ia dicipta. Secara lalai, tiada alamat IP mungkin dipaparkan untuk antara muka ini dalam firewall.

Untuk mengkonfigurasi IP statik pada antara muka dalaman dalam firewall:

1. Log masuk ke portal pengurusan dan pergi ke Network -> Interfaces.
2. Pilih dan edit antara muka dalaman.
3. Masukkan IP/netmask dan klik OK.

Cipta laluan statik​

Laluan statik diperlukan dalam firewall supaya trafik dari semua port akan pergi ke internet melalui alamat IP gateway dan antara muka yang diberikan Untuk mencipta laluan statik:

1. Pergi ke Network -> Static routes dan cipta laluan baharu.
2. Pilih Subnet sebagai Destination dan masukkan 0.0.0.0/0.0.0.0.
3. Masukkan alamat IP gateway subnet di bawah Gateway address. Biasanya nombor pertama subnet ialah gateway. contohnya 192.168.xx.1.
4. Pilih antara muka yang patut digunakan untuk mencapai alamat IP gateway dan klik OK.

Konfigurasi ICAP​

Secara lalai, ciri ICAP dalam firewall Fortigate dinyahdayakan dan perlu didayakan.

1. Log masuk ke portal pengurusan dan pergi ke System -> Feature visibility dan dayakan ICAP di bawah ciri tambahan.
2. Cipta pelayan ICAP dengan pergi ke Security profiles -> ICAP servers dan cipta pelayan baharu.
3. Masukkan nama, alamat IP dan port(default 1344) pelayan ICAP, kemudian klik OK.

Cipta profile ICAP​

1. Navigasi ke Security profiles -> ICAP dan cipta profile baharu.
2. Masukkan nama untuk profile tersebut.
3. Dayakan Request processing jika anda mahu memproses fail yang dihantar dalam permintaan.
4. Pilih Server yang dicipta dalam langkah sebelumnya daripada senarai juntai bawah.
5. Di bawah Path masukkan req-cdr-service. Secara pilihan, hantarkan profile ICAP contohnya req-cdr-service?profile=test-profile1.
6. Pilih salah satu pilihan apabila ICAP gagal memproses fail - error atau bypass.
7. Dayakan Response processing jika anda mahu memproses fail yang diterima dalam respons.
8. Pilih Server yang dicipta dalam langkah sebelumnya daripada senarai juntai bawah.
9. Di bawah Path masukkan resp-cdr-service. Secara pilihan, hantarkan profile ICAP contohnya `resp-CDR-service?profile=test-profile1.
10. Pilih salah satu pilihan apabila ICAP gagal memproses fail - ErrorAtauBypass.
11. Dayakan Streaming media bypass.

Cipta atau kemas kini policy firewall​

1. Navigasi ke Policy & objects -> Firewall policy dan cipta atau edit policy firewall untuk mendayakan integrasi ICAP.
2. Untuk Inspection mode, pilih pilihan Proxy-based.
3. Daripada senarai juntai bawah SSL inspection, pilih Deep-inspection atau Custom-deep-inspection.
4. Dayakan pilihan ICAP dan pilih profile ICAP yang dicipta dalam langkah sebelumnya.
5. Klik OK.

Muat turun sijil CA​

Memandangkan kami kini telah mendayakan pemeriksaan SSL pada firewall, kami perlu memuat turun sijil CA dan mengimportnya ke dalam mesin atau pelayar pengguna. Ini memastikan pengguna tidak akan melihat ralat SSL semasa mengakses internet.

1. Pergi ke Security profiles -> SSL/SSH inspection dan pilih profile yang digunakan dalam policy firewall.
2. Klik Download di sebelah CA certificate.
3. Salinkannya ke mesin pengguna dan tambahkannya ke senarai dipercayai di bawah sijil CA.

Kecualikan laman web daripada pemeriksaan SSL​

Kami memerlukan keupayaan untuk mengecualikan laman web tertentu daripada pemeriksaan SSL atas pelbagai sebab, seperti isu keserasian yang timbul apabila pemeriksaan SSL didayakan. Secara lalai, alamat tertentu sudah pun dikecualikan daripada pemeriksaan SSL.

1. Pergi ke Security profiles -> SSL/SSH inspection.
2. Pilih Log SSL exemptions supaya firewall akan merekodkan sebarang pengecualian tersebut.
3. Jika perlu, tambah kategori web tertentu dalam bahagian ini untuk dikecualikan daripada pemeriksaan SSL.