Ghi đè (Vượt qua) bộ lọc với tính năng Web Profile Override

- Các phương án để ghi đè cho hồ sơ áp dụng bộ lọc web sau đây có thể cấu hình được trên Firewall FortiGate:

• Ghi đè bằng quyền quản trị.
• Cho phép các user ghi đè các danh mục đã bị chặn.

I. GHI ĐÈ BẰNG QUYỀN QUẢN TRỊ (ADMINISTRATIVE OVERRIDE):
- Admin có thể cấp quyền truy cập tạm thời vào các trang web bị chặn bởi hồ sơ lọc web. Bạn có thể cấp quyền truy cập tạm thời cho người dùng, nhóm người dùng hoặc địa chỉ IP nguồn. Bạn có thể đặt giới hạn thời gian bằng cách chọn ngày và giờ. Mặc định là 15 phút.

- Khi tính năng ghi đè hồ sơ web được bật lên, trang truy cập bị chặn hoặc thông báo thay thế sẽ không xuất hiện và không yêu cầu xác thực.

1.1/ Phạm vị áp dụng:
- Bạn có thể chọn một trong các phạm áp dụng sau:

• User: xác thực cho quyền hạn để ghi đè dựa trên việc người dùng có đang sử dụng một tài khoản user được chỉ định ưu tiên.
• User group: xác thực quyền để ghi đè dựa trên việc người dùng có đang được cung cấp làm thông tin xác thực có phải thành viên của nhóm người dùng được chỉ định hay không.
• Source IP: xác thực quyền ghi đè dựa trên địa chỉ IP của máy tính đã được sử dụng để xác thực. Điều này sẽ được sử dụng cho các máy tính có nhiều người dùng. Ví dụ: nếu user đăng nhập vào máy tính, tham gia vượt bằng cách sử dụng thông tin xác thực của họ, rồi đăng xuất, bất kỳ ai đăng nhập bằng một tài khoản trên máy tính đó sẽ sử dụng hồ sơ lọc web ghi đè thay thế.

Khi bạn nhập một địa chỉ IP trong phương pháp vượt bằng quyền admin, chỉ một IP duy nhất được cho phép.

1.2/ Sự khác biệt giữa IP và phạm vi quyền dựa trên danh tính:
- Việc sử dụng IP scope không yêu cầu sử dụng chính sách dựa trên danh tính.

- Khi sử dụng phương pháp ghi đè quyền quản trị và IP scope, bạn có thể không thấy thông tin cảnh báo khi thay đổi từ sử dụng bộ lọc web ban đầu sang sử dụng hồ sơ thay thế. Không có yêu cầu về các thông tin xác thực từ user, vì vậy, nếu được phép, trang sẽ chỉ xuất hiện trong trình duyệt.

1.3/ Cấu hình một hồ sơ web ghi đè bởi quyền quản trị:
- Ví dự sau giới thiệu cách ghi đè webfilter profile với một profile mới có tên webfiler_new.

- Cấu hình sử dụng trên giao diện quản lý GUI:
Bước 1: Vào theo đường dẫn Security Profiles > Web Profile Overrides > click Create New.

Bước 2: Cấu hình quyền quản trị ghi đè bằng các thông tin theo ví dụ sau:

a. Scope Range, click Source IP.
b. Source IP, nhập địa chỉ IP của client ví dụ: 10.1.100.11 .
c. Original profile, chọn webfilter trong danh mục liệt kê.
d. New profile, chọn webfilter_new.
e. Expires, mặc định sẽ là 15 phút, bạn có thể đặt lại theo nhu của mình như hình minh họa.​

​

Bước 3: Click OK.

- Cấu hình bằng của sổ quản lý CLI:

config webfilter override

edit 1

set status enable
set scope ip
set old-profile "webfilter"
set new-profile "webfilter_new"
set expires 2021/07/30 10:14:00
set initiator "admin"
set ip 10.1.100.11​

next​

end​

II. CHO PHÉP NGƯỜI DÙNG ĐƯỢC GHI ĐÈ LÊN CÁC DANH MỤC BỊ CHẶN:
- Đối với cả hai phương pháp ghi đè, phạm vi quyềnh hạn (chỉ định người dùng, nhóm người dùng hoặc các địa chỉ IP) cho phép các trang web bị chặn bằng các hồ sơ web filter được ghi đè trong một khoảng thời gian.

- Nhưng có sự khác biệt giữa các phương pháp ghi đè khi phạm vi người dùng hoặc nhóm người dùng được chọn. Trong cả hai trường hợp, bạn sẽ cần áp dụng người dùng hoặc nhóm người dùng làm nguồn trong firewall policy. Với ghi đè quyền quản trị, nếu bạn không áp dụng nguồn trong firewall policy, lưu lượng truy cập sẽ không khớp với profile ghi đè và sẽ bị chặn bởi profile gốc. Với cài đặt Allow users to override blocked categories, traffic cũng sẽ bị chặn, nhưng thay vì hiển thị trang chặn, thông báo sau sẽ xuất hiện:

​

- Khi bạn chọn phạm vi trong nhóm người dùng, khi một user dùng ghi đè, nó sẽ ảnh hưởng đến những user khác trong nhóm khi họ cố gắng ghi đè. Ví dụ: user1 và user2 đều thuộc nhóm local_user. Sau khi user1 ghi đè thành công, điều này sẽ tạo mục nhập ghi đè cho nhóm local_user thay vì một người dùng cụ thể. Điều này có nghĩa là nếu user2 đăng nhập từ một PC khác, họ có thể ghi đè sẵn có.

2.1/ Các tính năng khác:
- Ngoài phạm vi ảnh hưởng, có một số tính năng khác trong Allow users to override blocked categories.

Áp dụng tới nhóm người dùng:
- Những user riêng lẻ không thể được chọn. Bạn có thể chọn một hoặc nhiều nhóm người dùng được FortiGate công nhận. Chúng có thể là cục bộ của hệ thống hoặc từ thiết bị xác thực của bên thứ ba, chẳng hạn như máy chủ AD thông qua FSSO.

Khoảng thời gian chuyển đổi:
- Administrative override đặt một khung thời gian cụ thể để luôn được sử dụng cho hồ sơ ghi đè. Các tùy chọn có sẵn là:

• Predefined: giá trị được nhập vào là khoảng thời gian đã đặt (khoảng thời gian tính bằng ngày, giờ hoặc phút) mà quyền ghi đè sẽ có hiệu lực. Nếu biến thời lượng được đặt thành 15 phút, thời lượng ghi đè sẽ luôn là 15 phút. Tùy chọn này sẽ hiển thị trong trang thông báo ghi đè, nhưng cài đặt sẽ chuyển sang màu xám.
• Ask: user có tùy chọn đặt thời lượng ghi đè sau khi đã tham gia. Người dùng có thể đặt thời lượng theo ngày, giờ hoặc phút.

2.2/ Tạo Hồ sơ web ghi đè theo nhóm người dùng:
- Cấu hình sử dụng trên giao diện quản lý GUI:
Bước 1: Vào Security Profiles > Web Filter và click chọn Create New.

Bước 2: Nhập tên (Name) cho profile này.

Bước 3: Bật Allow users to override blocked categories lên.

Bước 4: Cấu hình Web Filter Profile mới với các thông tin tham khảo như dưới đây:

a. Click vào ô Groups that can override và chọn nhóm (vd: local_group).
b. Click ô Profile Name, và chọn profile tên webfilter_new.
c. Switch applies, click IP.
d. Switch Duration: click Predefined. Mặc định 15 phút xuất hiện, đó là thời lượng mong muốn trong ví dụ này.
e. Cấu hình phần còn lại của profile nếu cần.​

​

Bước 5: Click OK.

III./ SỬ DỤNG TÍNH NĂNG YÊU CẦU:
- Tùy chọn này chỉ có khi Allow users to override blocked categories được bật lên. Mục đích dùng để cấu hình trang thông báo để người dụng chọn phạm vi mà muốn sử dụng. Thông thường trang thông báo, các tùy chọn phạm vi không thể thay đổi và có màu xám. Trong ví dụ dưới đây, Scope được xác định trước với IP.

​

- Khi tùy chọn yêu cầu được bật (thông qua ô Switch applies to trong GUI), danh sách Scope được tùy chỉnh. Người dụng có thể chọn một trng các tùy chọn sau:

• User
• User group
• IP

​