Cấu hình SSL Inspection trên Firewall Fortigate

Xin chào các bạn, trong bài viết sau đây các bạn sẽ được tìm hiểu cách cấu hình SSL Inspection trên Firewall Fortigate để loại trừ các Website mà chúng ta tin cậy khỏi danh sách Website bị kiểm tra và có thể bị block traffic khi đi qua Firewall.

Như các bạn đã biết, chức năng SSL Inspection trên Firewall Fortigate có nhiệm vụ rất quan trọng đó là kiểm tra các SSL Encripted Traffic ra vào mạng nội bộ của chúng ta, quá trình này được mô tả như sơ đồ bên dưới.



Ngoài thiết lập mặc định là lọc tất cả các traffic thì Fortigate cũng cho phép chúng ta loại trừ các Website đáng tin cậy khỏi việc bị kiểm tra, cơ chế này được mô tả như sau.



Để thực hiện được yêu cầu như trên thì trước tiên các bạn hãy tạo 1 Policy cho phép user lớp mạng trong truy cập Internet, đồng thời bật chức năng Web Filter và chọn SSL/SSH Inspection là deep-inspection như hình dưới.



Tiếp theo, các bạn dùng trình duyệt truy cập 1 Web server chạy giao thức https thì sẽ nhận được thông báo lỗi như bên dưới, ở đây mình sẽ ví dụ trang google.ca




Các bạn vào Policy & Object >> SSL/SSH Inspection >> Exempt from SSL Inspection sẽ thấy trong phần Address không có trang google.ca



Để khắc phục lỗi trên, chúng ta sẽ loại trừ site google.ca khỏi danh sách bị kiểm tra, các bạn vào Policy & Object >> Objects >> Addresses và click Create New để tạo FQDN cho site cần loại trừ.


Các bạn nhập các thông tin Name, Type và FQDN như hình bên dưới, click OK.


Sau khi tạo object, các bạn tiến hành add nó vào Exempt Address như hình bên dưới.





Các bạn thử truy cập lại google.ca sẽ thấy việc truy cập thành công.




Đến đây, việc cấu hình SSL Inspection trên Firewall Fortigate đã hoàn tất.

Chúc các bạn thực hiện thành công.