Fortigate

Để cấu hình tường lửa Fortigate của bạn và tích hợp nó với máy chủ ICAP Glasswall Halo, vui lòng làm theo hướng dẫn cấu hình này.

Lưu ý: các bước này được ghi lại theo Fortigate v7.4.

Cấu hình giao diện và tuyến​

Cấu hình IP tĩnh cho giao diện bên trong​

Hai giao diện mạng được gắn vào VM:

• Giao diện quản lý - đây là giao diện mạng chính được gắn vào VM khi nó được tạo. Theo mặc định, địa chỉ IP riêng tĩnh của giao diện được đăng ký trong tường lửa.
• Giao diện bên trong - đây là một giao diện bổ sung được gắn vào VM sau khi được tạo. Theo mặc định, có thể không có địa chỉ IP nào được hiển thị cho giao diện này trong firewall.

Để cấu hình IP tĩnh cho giao diện bên trong trong firewall:

1. Đăng nhập vào cổng quản lý và điều hướng đến Network -> Interfaces.
2. Chọn và chỉnh sửa giao diện bên trong.
3. Nhập IP/netmask và nhấp vào OK.

Tạo tuyến tĩnh​

Cần có một tuyến tĩnh trong firewall để lưu lượng từ tất cả các cổng sẽ đi ra internet thông qua một địa chỉ IP gateway và giao diện đã chỉ định Để tạo một tuyến tĩnh:

1. Điều hướng đến Network -> Static routes và tạo một tuyến mới.
2. Chọn Subnet làm Destination và nhập 0.0.0.0/0.0.0.0.
3. Nhập địa chỉ IP gateway của subnet vào mục Gateway address. Thông thường, số đầu tiên của subnet là gateway. Ví dụ: 192.168.xx.1.
4. Chọn giao diện sẽ được sử dụng để truy cập địa chỉ IP gateway và nhấp vào OK.

Cấu hình ICAP​

Theo mặc định, tính năng ICAP trong firewall Fortigate bị tắt và cần được bật.

1. Đăng nhập vào cổng quản lý và điều hướng đến System -> Feature visibility, sau đó bật ICAP trong phần tính năng bổ sung.
2. Tạo một máy chủ ICAP bằng cách điều hướng đến Security profiles -> ICAP servers và tạo một máy chủ mới.
3. Nhập tên, địa chỉ IP và cổng (mặc định 1344) của máy chủ ICAP, rồi nhấp vào OK.

Tạo profile ICAP​

1. Đi tới Security profiles -> ICAP và tạo một profile mới.
2. Nhập tên cho profile.
3. Bật Request processing nếu bạn muốn xử lý các tệp được gửi trong request.
4. Chọn Server đã được tạo ở bước trước từ danh sách thả xuống.
5. Trong Path, nhập req-cdr-service. Tùy chọn truyền một profile ICAP, ví dụ: req-cdr-service?profile=test-profile1.
6. Chọn một trong các tùy chọn khi ICAP không xử lý được các tệp - error hoặc bypass.
7. Bật Response processing nếu bạn muốn xử lý các tệp được nhận trong response.
8. Chọn Server đã được tạo ở bước trước từ danh sách thả xuống.
9. Trong Path, nhập resp-cdr-service. Tùy chọn truyền một profile ICAP, ví dụ: `resp-CDR-service?profile=test-profile1.
10. Chọn một trong các tùy chọn khi ICAP không xử lý được tệp - ErrorHoặcBypass.
11. Bật Streaming media bypass.

Tạo hoặc cập nhật policy tường lửa​

1. Đi tới Policy & objects -> Firewall policy và tạo hoặc chỉnh sửa một policy tường lửa để bật tích hợp ICAP.
2. Đối với Inspection mode, chọn tùy chọn Proxy-based.
3. Từ danh sách thả xuống SSL inspection, chọn Deep-inspection hoặc Custom-deep-inspection.
4. Bật tùy chọn ICAP và chọn profile ICAP đã tạo ở bước trước.
5. Nhấp vào OK.

Tải xuống chứng chỉ CA​

Vì hiện tại chúng ta đã bật tính năng kiểm tra SSL trên tường lửa, nên cần tải xuống chứng chỉ CA và nhập chứng chỉ đó vào máy hoặc trình duyệt của người dùng. Điều này đảm bảo rằng người dùng sẽ không thấy lỗi SSL khi truy cập internet.

1. Đi tới Security profiles -> SSL/SSH inspection và chọn profile được sử dụng trong policy của tường lửa.
2. Nhấp vào Download bên cạnh CA certificate.
3. Sao chép chứng chỉ đó vào máy của người dùng và thêm vào danh sách tin cậy trong phần chứng chỉ CA.

Miễn trừ website khỏi kiểm tra SSL​

Chúng ta cần khả năng miễn trừ một số website nhất định khỏi kiểm tra SSL vì nhiều lý do khác nhau, chẳng hạn như các vấn đề tương thích phát sinh khi bật kiểm tra SSL. Theo mặc định, một số địa chỉ cụ thể đã được miễn trừ khỏi kiểm tra SSL.

1. Đi tới Security profiles -> SSL/SSH inspection.
2. Chọn Log SSL exemptions để tường lửa ghi nhật ký mọi trường hợp miễn trừ như vậy.
3. Nếu cần, hãy thêm các danh mục web cụ thể trong phần này để miễn trừ khỏi kiểm tra SSL.