FortiGate 100D 韌體版本:v5.4.5,build1138
目前想將某個網段,禁止上網站,但skype要通。
原本以為直接封80 & 443 port,改skpye選項裡的port就可正常上線,但發覺無效。
後來使用另一種方式:
將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。
請問是否有其它方式可以讓skype通,網站全禁止。
還是我的設定方式有誤?
可能方法幾種,允許的ports設定,將微軟會使用的調為例外
另外個做法是將skype系列網址的外卡FQDN加入允許SSL/SSH檢查檔中
在資料庫有找到skype服務。
請問要如何把他加入到政策裡?
【將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。】這邊屬於,你的IPv4政策應該有設置Deep SSL/SSH Inspection吧?在選項中將Skype Services Group設為例外。
了解!原是想能把FG裡面有SKYPE預設加進來,比較方便。
請問skype系列網址有那些?
*.messenger.live.com
*.skype.com
*.trouter.io
*.skype.net
這是當初我們公司要blocked 個人用Gmail導致skype也無法使用,後來查找Forti cookbook其實說明也不太完全,跟原廠開support ticket後有解釋這部分。
雖然說跟樓主您封鎖全部網段只允許skype的情況不同,不過在針對ssh/ssl檢查這部分對skype放行,我想這塊設定是相同的才對,希望這個設置有解決這個難題,如果有成功也再請樓主跟小弟說聲XD
據小弟研判,樓主的設定肯定有誤
小弟不在現場,有許多細節無法顧慮到
真心建議樓主把原銷售廠商找來好好詢問才是
一個很好的設備,不能發揮作用,真的很浪費
我是用擋url,skype有允許。且這二個設定都是放在政策最前面。
不然就要改試內容表了。
中華電信簽約,之前有發信詢問過。但目前還沒回覆XD
樓主大是使用資安艦隊?
不然購入Forti應該都有一年的ticket可以問到爽才對XD?
資XX隊,不意外
一般資安設備,至少應在上班時間內四小時回應
網路問題不同一般電腦是等不得的
樓主網頁過濾設法有待商榷
建議將所有"FortiGuard 類別條件過濾器"
除"網路電話"類別外,全部設定為"禁止瀏覽"
而不是用"靜態URL過濾條件"
好奇是誰說要用URL過濾阻擋全部網頁的
Skype通過要用應用程式控制
同時還有些細節需要看樓主環境測試
現在也只能等資XX隊回應了
沒錯,是資安鑑隊。
用URL是因為網址會有.,所以這樣封鎖最快。
不過照您的方式設定,一樣開啟SSL檢查後,SKYPE就會不通。
不用開SSL檢查,
網頁過濾本來就包含https
當初也是這樣想,結果有些https還是可以連。
所以才將ssl打開。
中華電信簽約,之前有發信詢問過。但目前還沒回覆XD
現在有回覆了嗎?有到現場解決問題嗎?
小弟這樣問是發覺版大對這個設備的設定有很多誤解
需要有系統服務廠商當場做測試同時來解說
如果用郵件或網路問答這樣來處理
很可能要等到天荒地老還不一定能解決問題
所以買設備小弟一向建議要買到技術服務
這個問題中,SSL檢測不會是重點(因通訊服務在先)
而且SSL檢測還牽涉到CA憑證問題(扯遠了)
看來版大對防火牆政策的先後次序邏輯
以及對網頁過濾、程式控制的運作方式
都不是很熟悉及掌握
最後還是建議資安艦隊能到現場跟樓主討論
請掌握兩個原則
1.防火牆政策順序為:先開放後封鎖
2.如果沒產生預期效果請先回頭檢查設定
通常都是設定的問題。
有回覆,也是建議先把skype程式允許放置政策的最前端,但依然無效。
請他們幫忙帶問原廠,是否有其它解決方式。
後來中華他們有幫忙搞定,7.4目前可以連線。
設定方式如下:
1.skype程式允許要放置最前端
2.網頁過濾要設定
3.開啟ssl/ssh 預設的設定
即可擋掉所有的網頁,但skype可以通。