iT邦幫忙

0

FortiGate 100D 封網站,但skype要通

FortiGate 100D 韌體版本:v5.4.5,build1138

目前想將某個網段,禁止上網站,但skype要通。
原本以為直接封80 & 443 port,改skpye選項裡的port就可正常上線,但發覺無效。

後來使用另一種方式:
將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。

請問是否有其它方式可以讓skype通,網站全禁止。
還是我的設定方式有誤?

https://ithelp.ithome.com.tw/upload/images/20180214/200820162dSOL4ofnY.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016S9S1u8L2Sr.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016xm26ZaZXdh.jpg

看更多先前的討論...收起先前的討論...
souda iT邦研究生 5 級 ‧ 2018-02-13 11:07:47 檢舉
可以使用UTM應用程式來做!!
莫再問 iT邦新手 2 級 ‧ 2018-02-13 15:49:13 檢舉
UTM應用程式,已開放讓SKYPE通行。
但SKYPE依然不通。
souda iT邦研究生 5 級 ‧ 2018-02-14 09:01:50 檢舉
你的policy有沒有把UTM應用程式套上去. 你的UTM有買合約更新嗎? 據我的經驗版本也是會有差別的!!
莫再問 iT邦新手 2 級 ‧ 2018-02-14 10:44:36 檢舉
都還在授權中。

2 個回答

1
跑得快
iT邦新手 5 級 ‧ 2018-02-13 10:54:17

可能方法幾種,允許的ports設定,將微軟會使用的調為例外
另外個做法是將skype系列網址的外卡FQDN加入允許SSL/SSH檢查檔中
https://ithelp.ithome.com.tw/upload/images/20180213/20108683UWfT16BCW3.png

看更多先前的回應...收起先前的回應...
莫再問 iT邦新手 2 級 ‧ 2018-02-13 16:06:04 檢舉

在資料庫有找到skype服務。
請問要如何把他加入到政策裡?

https://ithelp.ithome.com.tw/upload/images/20180213/20082016JbeYCfC25X.jpg

跑得快 iT邦新手 5 級 ‧ 2018-02-13 16:13:18 檢舉

【將該網段的對外開啟,但開啟「網頁過濾」將網址有「.」全禁止與SSL/SSH深層檢查擋hppts,之後在應用程式控制開放skype,但skype依然無法登入。】這邊屬於,你的IPv4政策應該有設置Deep SSL/SSH Inspection吧?在選項中將Skype Services Group設為例外。

莫再問 iT邦新手 2 級 ‧ 2018-02-13 17:09:19 檢舉

了解!原是想能把FG裡面有SKYPE預設加進來,比較方便。
請問skype系列網址有那些?

跑得快 iT邦新手 5 級 ‧ 2018-02-13 17:42:17 檢舉

https://ithelp.ithome.com.tw/upload/images/20180213/20108683FDuCnRQI1e.pnghttps://ithelp.ithome.com.tw/upload/images/20180213/20108683qsUkLEVsHF.pnghttps://ithelp.ithome.com.tw/upload/images/20180213/20108683wDZW8gqTzH.png

跑得快 iT邦新手 5 級 ‧ 2018-02-13 17:46:49 檢舉

*.messenger.live.com
*.skype.com
*.trouter.io
*.skype.net
這是當初我們公司要blocked 個人用Gmail導致skype也無法使用,後來查找Forti cookbook其實說明也不太完全,跟原廠開support ticket後有解釋這部分。
雖然說跟樓主您封鎖全部網段只允許skype的情況不同,不過在針對ssh/ssl檢查這部分對skype放行,我想這塊設定是相同的才對,希望這個設置有解決這個難題,如果有成功也再請樓主跟小弟說聲XD

莫再問 iT邦新手 2 級 ‧ 2018-02-14 10:47:08 檢舉

https://ithelp.ithome.com.tw/upload/images/20180214/20082016IAyJsrJSPc.jpg
https://ithelp.ithome.com.tw/upload/images/20180214/20082016u5copAccMF.jpg

在ssl那也將skypegroup加入,但依然無法通行。

跑得快 iT邦新手 5 級 ‧ 2018-02-14 11:04:14 檢舉

我提供另外個作法給樓主參考不確定可不可行,如果該網段都是固定PC的話,藉由GPO去封鎖瀏覽器,依然保有其餘連線功能這樣不知可不可行。

莫再問 iT邦新手 2 級 ‧ 2018-02-14 15:39:51 檢舉

是有用dhcp方式來鎖定固定PC,感謝您的建議。

0
mytiny
iT邦大師 5 級 ‧ 2018-02-13 17:46:52

據小弟研判,樓主的設定肯定有誤

  1. 請將網頁過濾新增一個內容表
    將其中所有選項設為"禁止瀏覽"
  2. 新增一個應用程式控制內容表
    將其中應用程式覆蓋,選用skype並設為允許
  3. 防火牆政策啟用前述兩項,並將此政策放置最前

小弟不在現場,有許多細節無法顧慮到
真心建議樓主把原銷售廠商找來好好詢問才是
一個很好的設備,不能發揮作用,真的很浪費

看更多先前的回應...收起先前的回應...
莫再問 iT邦新手 2 級 ‧ 2018-02-14 10:53:01 檢舉

https://ithelp.ithome.com.tw/upload/images/20180214/20082016nwlOf9GXX9.jpg

我是用擋url,skype有允許。且這二個設定都是放在政策最前面。
不然就要改試內容表了。

中華電信簽約,之前有發信詢問過。但目前還沒回覆XD

跑得快 iT邦新手 5 級 ‧ 2018-02-14 10:59:55 檢舉

樓主大是使用資安艦隊?
不然購入Forti應該都有一年的ticket可以問到爽才對XD?

mytiny iT邦大師 5 級 ‧ 2018-02-14 12:34:01 檢舉

資XX隊,不意外
一般資安設備,至少應在上班時間內四小時回應
網路問題不同一般電腦是等不得的

樓主網頁過濾設法有待商榷
建議將所有"FortiGuard 類別條件過濾器"
除"網路電話"類別外,全部設定為"禁止瀏覽"
而不是用"靜態URL過濾條件"
好奇是誰說要用URL過濾阻擋全部網頁的

Skype通過要用應用程式控制
同時還有些細節需要看樓主環境測試
現在也只能等資XX隊回應了

/images/emoticon/emoticon57.gif

莫再問 iT邦新手 2 級 ‧ 2018-02-14 15:42:05 檢舉

沒錯,是資安鑑隊。

用URL是因為網址會有.,所以這樣封鎖最快。
不過照您的方式設定,一樣開啟SSL檢查後,SKYPE就會不通。

mytiny iT邦大師 5 級 ‧ 2018-02-15 04:55:17 檢舉

不用開SSL檢查,
網頁過濾本來就包含https

莫再問 iT邦新手 2 級 ‧ 2018-02-21 09:09:46 檢舉

當初也是這樣想,結果有些https還是可以連。
所以才將ssl打開。

mytiny iT邦大師 5 級 ‧ 2018-02-22 11:10:37 檢舉

中華電信簽約,之前有發信詢問過。但目前還沒回覆XD

現在有回覆了嗎?有到現場解決問題嗎?

小弟這樣問是發覺版大對這個設備的設定有很多誤解
需要有系統服務廠商當場做測試同時來解說
如果用郵件或網路問答這樣來處理
很可能要等到天荒地老還不一定能解決問題
所以買設備小弟一向建議要買到技術服務

這個問題中,SSL檢測不會是重點(因通訊服務在先)
而且SSL檢測還牽涉到CA憑證問題(扯遠了)
看來版大對防火牆政策的先後次序邏輯
以及對網頁過濾、程式控制的運作方式
都不是很熟悉及掌握

最後還是建議資安艦隊能到現場跟樓主討論
請掌握兩個原則
1.防火牆政策順序為:先開放後封鎖
2.如果沒產生預期效果請先回頭檢查設定
通常都是設定的問題。

我要發表回答

立即登入回答