Thực thi policy cho user trên fortigate

Thực thi Policy cho user trên Fortigate  

Trong mô hình này sử dụng 3 user để test là thegioimang01, thegioimang02 và thegioimang03,Sau khi Fortigate chứng thực thành công và map các user của AD lên Fortigate thì ta áp các user với nhu cầu như sau:Thegioimang01: toàn quyền ra internetThegioimang02: Chỉ cho truy cập web vào trang www.thegioimang.vnThegioimang03: được phép sử dụng skype nhưng không cho sử dụng facebook và yahoo.

Các bước thực hiện:Cấu hình LDAPÁp policy cho các userCấu hình các security profile đã áp cho userKiểm tra và tinh chỉnh

Bắt đầu cấu hình

Trên ADVào cmd gõ lệnh dsquery user để lấy thông tin chứng thực cho LDAP

Trên Fortigate, vào User & Device -> Authentication -> LDAP serverNhập thông tin như hình

Sau đó ta vào tiếp mục User & Device -> Users -> User Definition, chọn Create New -> Remote LDAP Server,Tiếp tục làm theo hướng dẫn để map các user lên Fortigate.Kết quả:

Tiếp theo, ta tạo các policy cho các user theo yêu cầu đã đưa ra từ đầu:Vào Policy -> Policy, cho Create New

Sau đó nhấn Create, ta áp policy cho user thegioimang01 được toàn quyền ra Internet, sau đó nhấn Ok.

Nhấn tiếp Create New tạo Policy cho user thegioimang02, xuống phần Security Profile, ta bật tính năng Web Filter, xong nhấn Ok

Nhấn tiếp Create New để áp policy cho user thegioimang03, ta kéo xuống dưới để bật tính năng Application control, xong nhấn Ok 

Tiếp tục Ok lần nữa

Cấu hình Security Profile

Ta đã hoàn thành việc tạo các Policy, tiếp tục đến bước cấu hình Security Profile theo mục đíchVào Security Profile -> Web Filter -> Profile, Check vào phần Enable Web Site Filer, tạo bộ lọc cho Web Filter.

Tiếp theo ta vào mục Securite Profile -> Application Control -> Application Sensors, chon Create NewChọn vào mục Specify ApplicationsNhập vào khung Search là “skype”Sau đó click chuột vào skype trên kết quả vừa tìm được và chọn action là Monitor -> Ok

Chọn tiếp Create New ->Advanced, xuống mục phần Vendor, chọn Facebook và Yahoo, Action chọn Block.

Kiểm tra và hiệu chỉnh

User thegioimang 01 được toàn quyền nên ta kiểm tra user thegioimang02Khi user truy cập Internet thì Fortigate yêu cầu user phải xác thực username và password

Test trang http://thegioimang.vn, user truy cập thành công

Test trang http://google.com -> bị chặn

Thử trang https://facebook.com -> truy cập bình thường

Thử lại trang https://google.com -> vẫn truy cập bình thường

User thegioimang02 vẫn truy cập được vào trang https://google.com, trong khi đó ta chỉ cho phép truy cập 1 trang duy nhất là thegioimang.vn

Nguyên nhân là do ở giao thức https và http, https khi client truy cập vào website thì nội dung client gửi đi đã được mã hóa, do đó Firewall không thể lọc nội dung ở giao thức https. Nếu user biết được điều này thì user có thể vượt Firewall qua giao thức https. Vậy có cách nào giải quyết vấn đề này?

Tiếp theo là hướng dẫn lọc web trên cả giao thức https

Ta vào policy -> Policy -> SSL Inspection, check vào mục https

Vào lại mục Policy -> Policy ->Policy, vào lại policy của user thegioimang02, kéo xuống dưới, bật tính năng SSL Inspection lên -> Ok.

Ta thử truy cập lại website https://facebook.comFortigate sẽ yêu cầu user xác thực lại, ta nhập username và password để xác thực.

User sẽ bị chặn mặc dù truy cập qua giao thức https

Tiếp tục kiểm tra user thegioimang03User thegioimang03 đăng nhập yahoo -> thất bại

User thegioimang03 đăng nhập skype -> thành công

Đến đây thì các chính sách đã được áp đặt theo đúng ý muốn, bài viết cũng xin được kết thúc tại đây. Cám ơn mọi người đã quan tâm theo dõi.

Chúc mọi người thành công