iT邦幫忙

0

FortiGate 100D 封網站,但skype要通

莫爺 2018-02-13 10:26:2013063 瀏覽
  • 分享至 

  • xImage

FortiGate 100D 韌體版本:v5.4.5,build1138

目前想將某個網段,禁止上網站,但skype要通。
原本以為直接封80 & 443 port,改skpye選項裡的port就可正常上線,但發覺無效。

後來使用另一種方式:
將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。

請問是否有其它方式可以讓skype通,網站全禁止。
還是我的設定方式有誤?

https://ithelp.ithome.com.tw/upload/images/20180214/200820162dSOL4ofnY.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016S9S1u8L2Sr.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016xm26ZaZXdh.jpg

看更多先前的討論...收起先前的討論...
souda iT邦高手 1 級 ‧ 2018-02-13 11:07:47 檢舉
可以使用UTM應用程式來做!!
莫爺 iT邦研究生 5 級 ‧ 2018-02-13 15:49:13 檢舉
UTM應用程式,已開放讓SKYPE通行。
但SKYPE依然不通。
souda iT邦高手 1 級 ‧ 2018-02-14 09:01:50 檢舉
你的policy有沒有把UTM應用程式套上去. 你的UTM有買合約更新嗎? 據我的經驗版本也是會有差別的!!
莫爺 iT邦研究生 5 級 ‧ 2018-02-14 10:44:36 檢舉
都還在授權中。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
跑得快
iT邦新手 3 級 ‧ 2018-02-13 10:54:17

可能方法幾種,允許的ports設定,將微軟會使用的調為例外
另外個做法是將skype系列網址的外卡FQDN加入允許SSL/SSH檢查檔中
https://ithelp.ithome.com.tw/upload/images/20180213/20108683UWfT16BCW3.png

看更多先前的回應...收起先前的回應...
莫爺 iT邦研究生 5 級 ‧ 2018-02-13 16:06:04 檢舉

在資料庫有找到skype服務。
請問要如何把他加入到政策裡?

https://ithelp.ithome.com.tw/upload/images/20180213/20082016JbeYCfC25X.jpg

跑得快 iT邦新手 3 級 ‧ 2018-02-13 16:13:18 檢舉

【將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。】這邊屬於,你的IPv4政策應該有設置Deep SSL/SSH Inspection吧?在選項中將Skype Services Group設為例外。

莫爺 iT邦研究生 5 級 ‧ 2018-02-13 17:09:19 檢舉

了解!原是想能把FG裡面有SKYPE預設加進來,比較方便。
請問skype系列網址有那些?

跑得快 iT邦新手 3 級 ‧ 2018-02-13 17:42:17 檢舉

https://ithelp.ithome.com.tw/upload/images/20180213/20108683FDuCnRQI1e.pnghttps://ithelp.ithome.com.tw/upload/images/20180213/20108683qsUkLEVsHF.pnghttps://ithelp.ithome.com.tw/upload/images/20180213/20108683wDZW8gqTzH.png

跑得快 iT邦新手 3 級 ‧ 2018-02-13 17:46:49 檢舉

*.messenger.live.com
*.skype.com
*.trouter.io
*.skype.net
這是當初我們公司要blocked 個人用Gmail導致skype也無法使用,後來查找Forti cookbook其實說明也不太完全,跟原廠開support ticket後有解釋這部分。
雖然說跟樓主您封鎖全部網段只允許skype的情況不同,不過在針對ssh/ssl檢查這部分對skype放行,我想這塊設定是相同的才對,希望這個設置有解決這個難題,如果有成功也再請樓主跟小弟說聲XD

莫爺 iT邦研究生 5 級 ‧ 2018-02-14 10:47:08 檢舉

https://ithelp.ithome.com.tw/upload/images/20180214/20082016IAyJsrJSPc.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016u5copAccMF.jpg

在ssl那也將skypegroup加入,但依然無法通行。

跑得快 iT邦新手 3 級 ‧ 2018-02-14 11:04:14 檢舉

我提供另外個作法給樓主參考不確定可不可行,如果該網段都是固定PC的話,藉由GPO去封鎖瀏覽器,依然保有其餘連線功能這樣不知可不可行。

莫爺 iT邦研究生 5 級 ‧ 2018-02-14 15:39:51 檢舉

是有用dhcp方式來鎖定固定PC,感謝您的建議。

0
mytiny
iT邦超人 1 級 ‧ 2018-02-13 17:46:52

據小弟研判,樓主的設定肯定有誤

  1. 請將網頁過濾新增一個內容表
    將其中所有選項設為"禁止瀏覽"
  2. 新增一個應用程式控制內容表
    將其中應用程式覆蓋,選用skype並設為允許
  3. 防火牆政策啟用前述兩項,並將此政策放置最前

小弟不在現場,有許多細節無法顧慮到
真心建議樓主把原銷售廠商找來好好詢問才是
一個很好的設備,不能發揮作用,真的很浪費

看更多先前的回應...收起先前的回應...
莫爺 iT邦研究生 5 級 ‧ 2018-02-14 10:53:01 檢舉

https://ithelp.ithome.com.tw/upload/images/20180214/20082016nwlOf9GXX9.jpg

我是用擋url,skype有允許。且這二個設定都是放在政策最前面。
不然就要改試內容表了。

中華電信簽約,之前有發信詢問過。但目前還沒回覆XD

跑得快 iT邦新手 3 級 ‧ 2018-02-14 10:59:55 檢舉

樓主大是使用資安艦隊?
不然購入Forti應該都有一年的ticket可以問到爽才對XD?

mytiny iT邦超人 1 級 ‧ 2018-02-14 12:34:01 檢舉

資XX隊,不意外
一般資安設備,至少應在上班時間內四小時回應
網路問題不同一般電腦是等不得的

樓主網頁過濾設法有待商榷
建議將所有"FortiGuard 類別條件過濾器"
除"網路電話"類別外,全部設定為"禁止瀏覽"
而不是用"靜態URL過濾條件"
好奇是誰說要用URL過濾阻擋全部網頁的

Skype通過要用應用程式控制
同時還有些細節需要看樓主環境測試
現在也只能等資XX隊回應了

/images/emoticon/emoticon57.gif

莫爺 iT邦研究生 5 級 ‧ 2018-02-14 15:42:05 檢舉

沒錯,是資安鑑隊。

用URL是因為網址會有.,所以這樣封鎖最快。
不過照您的方式設定,一樣開啟SSL檢查後,SKYPE就會不通。

mytiny iT邦超人 1 級 ‧ 2018-02-15 04:55:17 檢舉

不用開SSL檢查,
網頁過濾本來就包含https

莫爺 iT邦研究生 5 級 ‧ 2018-02-21 09:09:46 檢舉

當初也是這樣想,結果有些https還是可以連。
所以才將ssl打開。

mytiny iT邦超人 1 級 ‧ 2018-02-22 11:10:37 檢舉

中華電信簽約,之前有發信詢問過。但目前還沒回覆XD

現在有回覆了嗎?有到現場解決問題嗎?

小弟這樣問是發覺版大對這個設備的設定有很多誤解
需要有系統服務廠商當場做測試同時來解說
如果用郵件或網路問答這樣來處理
很可能要等到天荒地老還不一定能解決問題
所以買設備小弟一向建議要買到技術服務

這個問題中,SSL檢測不會是重點(因通訊服務在先)
而且SSL檢測還牽涉到CA憑證問題(扯遠了)
看來版大對防火牆政策的先後次序邏輯
以及對網頁過濾、程式控制的運作方式
都不是很熟悉及掌握

最後還是建議資安艦隊能到現場跟樓主討論
請掌握兩個原則
1.防火牆政策順序為:先開放後封鎖
2.如果沒產生預期效果請先回頭檢查設定
通常都是設定的問題。

莫爺 iT邦研究生 5 級 ‧ 2018-02-23 17:20:28 檢舉

有回覆,也是建議先把skype程式允許放置政策的最前端,但依然無效。
請他們幫忙帶問原廠,是否有其它解決方式。

莫爺 iT邦研究生 5 級 ‧ 2018-03-12 18:27:06 檢舉

後來中華他們有幫忙搞定,7.4目前可以連線。

設定方式如下:
1.skype程式允許要放置最前端
2.網頁過濾要設定
https://ithelp.ithome.com.tw/upload/images/20180312/20082016pqlIE1evjX.jpg
3.開啟ssl/ssh 預設的設定

即可擋掉所有的網頁,但skype可以通。

mytiny iT邦超人 1 級 ‧ 2018-03-12 19:03:22 檢舉

恭喜您,終於阿終於可以解了
看來是原來就可以做到的嘛,並不是設備本身的問題呀
資安艦隊花了一個月時間來請教原廠
(而答案似乎跟小弟說的意思差不多,只是完全不用UTM,授權無用??)
小弟認為主要還是樓主您有夠耐心可以等
很多客戶要求次一工作日就解決的(除非設備本身BUG)
您真的是非常佛心來著的客戶

莫爺您好,能否請您再提供多一點資訊?我照您做的好像不成功,謝謝。

莫爺 iT邦研究生 5 級 ‧ 2019-03-08 09:11:07 檢舉

不曉得你skype是什麼版本,目前他們使用7.4,是的確可以登入。

我要發表回答

立即登入回答