Fortigate

หากต้องการกำหนดค่าไฟร์วอลล์ Fortigate ของคุณและผสานรวมกับเซิร์ฟเวอร์ ICAP ของ Glasswall Halo โปรดปฏิบัติตามคู่มือการกำหนดค่านี้

หมายเหตุ: ขั้นตอนเหล่านี้จัดทำเอกสารตาม Fortigate v7.4

กำหนดค่าอินเทอร์เฟซและเส้นทาง​

กำหนดค่า static IP ให้กับ inside interface​

มี network interface สองรายการเชื่อมต่อกับ VM:

• Management interface - นี่คือ network interface หลักที่เชื่อมต่อกับ VM เมื่อมีการสร้างขึ้น โดยค่าเริ่มต้น ที่อยู่ static private IP ของ interface จะถูกลงทะเบียนไว้ในไฟร์วอลล์
• อินเทอร์เฟซภายใน - นี่คืออินเทอร์เฟซเพิ่มเติมที่แนบกับ VM หลังจากถูกสร้างขึ้น โดยค่าเริ่มต้น อาจไม่มีการแสดงที่อยู่ IP สำหรับอินเทอร์เฟซนี้ในไฟร์วอลล์

ในการกำหนดค่า static IP ให้กับอินเทอร์เฟซภายในในไฟร์วอลล์:

1. เข้าสู่ระบบพอร์ทัลการจัดการและไปที่ Network -> Interfaces.
2. เลือกและแก้ไขอินเทอร์เฟซภายใน
3. ป้อน IP/netmask แล้วคลิก OK.

สร้าง static route​

จำเป็นต้องมี static route ในไฟร์วอลล์ เพื่อให้ทราฟฟิกจากทุกพอร์ตออกสู่อินเทอร์เน็ตผ่านที่อยู่ IP ของเกตเวย์และอินเทอร์เฟซที่กำหนด ในการสร้าง static route:

1. ไปที่ Network -> Static routes และสร้าง route ใหม่
2. เลือก Subnet เป็น Destination และป้อน 0.0.0.0/0.0.0.0.
3. ป้อนที่อยู่ IP ของเกตเวย์ของ subnet ใน Gateway address โดยทั่วไป หมายเลขแรกของ subnet คือเกตเวย์ เช่น 192.168.xx.1
4. เลือกอินเทอร์เฟซที่จะใช้เพื่อเข้าถึงที่อยู่ IP ของเกตเวย์ แล้วคลิก OK.

กำหนดค่า ICAP​

โดยค่าเริ่มต้น ฟีเจอร์ ICAP ในไฟร์วอลล์ Fortigate จะถูกปิดใช้งานและต้องเปิดใช้งานก่อน

1. เข้าสู่ระบบพอร์ทัลการจัดการและไปที่ System -> Feature visibility แล้วเปิดใช้งาน ICAP ภายใต้ additional feature.
2. สร้างเซิร์ฟเวอร์ ICAP โดยไปที่ Security profiles -> ICAP servers และสร้างเซิร์ฟเวอร์ใหม่
3. ป้อนชื่อ ที่อยู่ IP และพอร์ต (ค่าเริ่มต้น 1344) ของเซิร์ฟเวอร์ ICAP แล้วคลิก OK.

สร้าง ICAP profile​

1. ไปที่ Security profiles -> ICAP และสร้าง profile ใหม่
2. ป้อนชื่อสำหรับ profile
3. เปิดใช้งาน Request processing หากคุณต้องการประมวลผลไฟล์ที่ส่งมาในคำขอ
4. เลือก Server ที่สร้างไว้ในขั้นตอนก่อนหน้าจากเมนูแบบเลื่อนลง
5. ในส่วน Path ให้ป้อน req-cdr-service โดยสามารถส่ง ICAP profile เพิ่มเติมได้ เช่น req-cdr-service?profile=test-profile1.
6. เลือกหนึ่งในตัวเลือกเมื่อ ICAP ไม่สามารถประมวลผลไฟล์ได้ - error หรือ bypass.
7. เปิดใช้งาน Response processing หากคุณต้องการประมวลผลไฟล์ที่ได้รับมาในการตอบกลับ
8. เลือก Server ที่สร้างไว้ในขั้นตอนก่อนหน้าจากเมนูแบบเลื่อนลง
9. ในส่วน Path ให้ป้อน resp-cdr-service โดยสามารถส่ง ICAP profile เพิ่มเติมได้ เช่น `resp-CDR-service?profile=test-profile1.
10. เลือกหนึ่งในตัวเลือกเมื่อ ICAP ไม่สามารถประมวลผลไฟล์ได้ - ErrorหรือBypass.
11. เปิดใช้งาน Streaming media bypass.

สร้างหรืออัปเดต firewall policy​

1. ไปที่ Policy & objects -> Firewall policy และสร้างหรือแก้ไข firewall policy เพื่อเปิดใช้งานการผสานรวม ICAP
2. สำหรับ Inspection mode ให้เลือกตัวเลือก Proxy-based.
3. จากเมนูแบบเลื่อนลง SSL inspection ให้เลือก Deep-inspection หรือ Custom-deep-inspection.
4. เปิดใช้งานตัวเลือก ICAP และเลือก ICAP profile ที่สร้างไว้ในขั้นตอนก่อนหน้า
5. คลิก OK.

ดาวน์โหลดใบรับรอง CA​

เนื่องจากเราได้เปิดใช้งานการตรวจสอบ SSL ในไฟร์วอลล์แล้ว เราจึงต้องดาวน์โหลดใบรับรอง CA และนำเข้าไปยังเครื่องหรือเบราว์เซอร์ของผู้ใช้ เพื่อให้มั่นใจว่าผู้ใช้จะไม่เห็นข้อผิดพลาด SSL ขณะเข้าถึงอินเทอร์เน็ต

1. ไปที่ Security profiles -> SSL/SSH inspection และเลือก profile ที่ใช้ใน policy ของไฟร์วอลล์
2. คลิก Download ข้าง CA certificate.
3. คัดลอกไปยังเครื่องของผู้ใช้และเพิ่มลงในรายการที่เชื่อถือได้ภายใต้ใบรับรอง CA

ยกเว้นเว็บไซต์จากการตรวจสอบ SSL​

เราจำเป็นต้องสามารถยกเว้นบางเว็บไซต์จากการตรวจสอบ SSL ได้ด้วยเหตุผลหลายประการ เช่น ปัญหาความเข้ากันได้ที่เกิดขึ้นเมื่อเปิดใช้งานการตรวจสอบ SSL โดยค่าเริ่มต้น ที่อยู่บางรายการจะถูกยกเว้นจากการตรวจสอบ SSL อยู่แล้ว

1. ไปที่ Security profiles -> SSL/SSH inspection.
2. เลือก Log SSL exemptions เพื่อให้ไฟร์วอลล์บันทึกการยกเว้นดังกล่าว
3. หากจำเป็น ให้เพิ่มหมวดหมู่เว็บที่ต้องการในส่วนนี้เพื่อยกเว้นจากการตรวจสอบ SSL