iT邦幫忙

0

請問Fortigate 200d 兩個技術問題

  • 分享至 

  • xImage

請問各位大大兩個技術問題:

1、Fortigate 200d如何封鎖 Teamviewer?

2、Fortigate 200d是否可以使用DC的帳號登入SSL VPN?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
mytiny
iT邦超人 1 級 ‧ 2016-07-27 10:52:41

建議版大告知目前的OS版本,並說明遇到的情況,這樣其他先進前輩才好給予建議,

畢竟真要清楚說明的應該是:貴公司付費的服務廠商(除非又沒給技術費)

在封鎖 Teamviewer要使用Application Control (OS5.0 5.2 所在位置各有不同)

當然前提是有付費購買UTM相關的授權服務,不然該功能就無法發揮

小弟一般設定的建議,是將Remote.Access類別全部禁用,有必要用的程式才開啟

在OS 5.2 可用應用程式覆蓋,但記得要將 Teamviewer,TeamViewer_CallReceive,

及TeamViewer_CallRequest全部禁用為佳

至於使用DC的帳號登入SSL VPN,當然是沒有懸念

只要版大SSL VPN有設通,帳號認證是在認證的選項LDAP做

記得別用單一認證FSSO,雖然適用AD帳號登入,但不適用於SSL VPN登入認證

然後在政策有ssl.root的那一條內容,將用戶選用正確的群組即可

常有人把Fortigate當成帳號管理設備,小弟比較不建議這樣做

Fortigate多半只是一個中介腳色,端看如何設定撈到帳號伺服器資料罷了

受限於描述能力,以上敘述小弟只能盡力給予大致方向

建議最好還是由原先銷售設備之SI給予版大相應的服務

或是另外付費找相關技術認證的廠商服務為宜

樓主要的那兩個功能,Fortigate 200d 都能做到

0
liupaul
iT邦新手 4 級 ‧ 2016-07-28 12:22:01

更新到新分位,印象中是5.2以上有支援直接SSL VPN連線AD
AD那要設定一個群組,比如allow sslvpn群組,然後將fortigate設定指向allow sslvpn群組
之後可以使用sslvpn的人都加入此群組即可。
1.先在LDAP那設定
2.再到用戶群組那設定組名稱即可

不太了解你的意思!我已經用到5.2,但使用DC的帳號就是會出現錯誤

liupaul iT邦新手 4 級 ‧ 2016-07-28 18:09:44 檢舉

先去防火牆的用戶與設備\認證\LDAP 先設定 與AD連線
再去用戶與設備\用戶\用戶群組 新增用戶群組
最後防火牆規則那把群組加進去即可。

我要發表回答

立即登入回答