Thực thi các chính sách (Policies) cho người dùng (Users) trên Firewall Fortigate

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi duongvo, 22/8/17.

  1. duongvo

    duongvo Member

    Thực thi Policy cho user trên Firewall Fortigate (Phần 1)

    Trong mô hình này sử dụng 3 user để test là thegioimang01, thegioimang02 và thegioimang03,
    Sau khi Fortigate chứng thực thành công và map các user của AD lên Fortigate thì ta áp các user với nhu cầu như sau:
    Thegioimang01: toàn quyền ra internet
    Thegioimang02: Chỉ cho truy cập web vào trang www.thegioimang.vn
    Thegioimang03: được phép sử dụng skype nhưng không cho sử dụng facebook và yahoo.

    upload_2017-8-23_9-2-19.jpeg
    Các bước thực hiện:
    Cấu hình LDAP
    Áp policy cho các user
    Cấu hình các security profile đã áp cho user
    Kiểm tra và tinh chỉnh

    Bắt đầu cấu hình

    Trên AD
    Vào cmd gõ lệnh dsquery user để lấy thông tin chứng thực cho LDAP
    upload_2017-8-23_9-2-26.jpeg

    Trên Fortigate, vào User & Device -> Authentication -> LDAP server
    Nhập thông tin như hình

    upload_2017-8-23_9-2-33.jpeg

    Sau đó ta vào tiếp mục User & Device -> Users -> User Definition, chọn Create New -> Remote LDAP Server,
    Tiếp tục làm theo hướng dẫn để map các user lên Fortigate.
    Kết quả:
    upload_2017-8-23_9-2-40.jpeg

    Tiếp theo, ta tạo các policy cho các user theo yêu cầu đã đưa ra từ đầu:
    Vào Policy -> Policy, cho Create New
    upload_2017-8-23_9-2-46.jpeg

    Sau đó nhấn Create, ta áp policy cho user thegioimang01 được toàn quyền ra Internet, sau đó nhấn Ok.
    upload_2017-8-23_9-2-53.jpeg

    Nhấn tiếp Create New tạo Policy cho user thegioimang02, xuống phần Security Profile, ta bật tính năng Web Filter, xong nhấn Ok
    upload_2017-8-23_9-3-2.jpeg

    Nhấn tiếp Create New để áp policy cho user thegioimang03, ta kéo xuống dưới để bật tính năng Application control, xong nhấn Ok

    upload_2017-8-23_9-3-12.jpeg

    Tiếp tục Ok lần nữa

    Cấu hình Security Profile

    Ta đã hoàn thành việc tạo các Policy, tiếp tục đến bước cấu hình Security Profile theo mục đích
    Vào Security Profile -> Web Filter -> Profile, Check vào phần Enable Web Site Filer, tạo bộ lọc cho Web Filter.
    upload_2017-8-23_9-3-21.jpeg

    Tiếp theo ta vào mục Securite Profile -> Application Control -> Application Sensors, chon Create New
    Chọn vào mục Specify Applications
    Nhập vào khung Search là “skype”
    Sau đó click chuột vào skype trên kết quả vừa tìm được và chọn action là Monitor -> Ok

    upload_2017-8-23_9-3-27.jpeg
    Chọn tiếp Create New ->Advanced, xuống mục phần Vendor, chọn Facebook và Yahoo, Action chọn Block.

    upload_2017-8-23_9-3-37.jpeg

    (Còn tiếp phần 2)
     
    duongvo, 22/8/17
    #1
  2. duongvo

    duongvo Member

    Thực thi Policy cho user trên Firewall Fortigate (Phần 2)
    Kiểm tra và hiệu chỉnh

    User thegioimang 01 được toàn quyền nên ta kiểm tra user thegioimang02
    Khi user truy cập Internet thì Fortigate yêu cầu user phải xác thực username và password
    upload_2017-8-23_9-16-23.jpeg

    Test trang http://thegioimang.vn, user truy cập thành công
    upload_2017-8-23_9-16-31.jpeg

    Test trang http://google.com -> bị chặn
    upload_2017-8-23_9-16-40.jpeg
    Thử trang https://facebook.com -> truy cập bình thường

    upload_2017-8-23_9-16-54.jpeg
    Thử lại trang https://google.com -> vẫn truy cập bình thường

    upload_2017-8-23_9-17-2.jpeg

    User thegioimang02 vẫn truy cập được vào trang https://google.com, trong khi đó ta chỉ cho phép truy cập 1 trang duy nhất là thegioimang.vn

    Nguyên nhân là do ở giao thức https và http, https khi client truy cập vào website thì nội dung client gửi đi đã được mã hóa, do đó Firewall không thể lọc nội dung ở giao thức https. Nếu user biết được điều này thì user có thể vượt Firewall qua giao thức https. Vậy có cách nào giải quyết vấn đề này?

    Tiếp theo là hướng dẫn lọc web trên cả giao thức https

    Ta vào policy -> Policy -> SSL Inspection, check vào mục https

    upload_2017-8-23_9-17-51.jpeg
    Vào lại mục Policy -> Policy ->Policy, vào lại policy của user thegioimang02, kéo xuống dưới, bật tính năng SSL Inspection lên -> Ok.

    upload_2017-8-23_9-17-28.jpeg
    Ta thử truy cập lại website https://facebook.com
    Firewall Fortigate sẽ yêu cầu user xác thực lại, ta nhập username và password để xác thực.

    upload_2017-8-23_9-18-0.jpeg

    User sẽ bị chặn mặc dù truy cập qua giao thức https
    upload_2017-8-23_9-18-7.jpeg

    Tiếp tục kiểm tra user thegioimang03
    User thegioimang03 đăng nhập yahoo -> thất bại
    upload_2017-8-23_9-18-15.jpeg

    User thegioimang03 đăng nhập skype -> thành công

    upload_2017-8-23_9-18-23.jpeg

    Đến đây thì các chính sách đã được áp đặt theo đúng ý muốn trên Firewall Fortigate, bài viết cũng xin được kết thúc tại đây. Cám ơn mọi người đã quan tâm theo dõi.

    Chúc mọi người thành công.
     
    duongvo, 23/8/17
    #2
  3. an.vuong

    an.vuong New Member

    Các bước cấu hình Policies cơ bản trên Firewall Fortigate phiên bản V5.4
    Trong video này, bạn sẽ học cách tạo và đặt hàng nhiều chính sách bảo mật trong bảng chính sách, để kiểm soát và hạn chế các loại lưu lượng mạng khác nhau. Bạn sẽ tạo ra ba chính sách: một chính sách truy cập Internet cơ bản, cho phép người dùng trong nội bộ
     
    an.vuong, 25/10/17
    #3
  4. Hai lúa

    Hai lúa New Member

    rất hay, thanks
     
    Hai lúa, 13/7/21
    #4

trang này