請問 Fortigate 限制特定瀏覽器上網

forgate

meeting00 2021-02-17 17:20:44 ‧ 1963 瀏覽

分享至

設備: FortiGate 100E
韌體: v6.0.5 build0268

目前有需求需清查當前內網中User上網之瀏覽器及版本，但礙於當前環境中包含了wifi上網的環境，無法掌握所有連網的設備使用者，因此上來詢問Fortigate是否能做到下列的情況:

針對使用過舊版本的IE、Firefox、Chrome等瀏覽器上網時進行封鎖，
看到User上網使用的瀏覽器及瀏覽器版本

再麻煩各位前輩指教一下，謝謝。

[20210225更新]
感謝指導，目前可以正常擋掉http的流量，但https的流量無法擋掉，這部分也是可以做到的嗎

zyman2008 iT邦大師 6 級 ‧ 2021-02-25 11:04:17 檢舉

要在網路中處理, 就只能main-in-the-middle開SSL Inspection. 不解密就看不到HTTP header.
用ssl inspection有個重要條件要先確認,
1. 場域是否有辦法佈署ssl inspection的trust certificate到所有的client devices.
(如果client都是windows且有AD domain, 用GPO可以輕鬆解決此問題)
2. 要接受網路層能處理的限制的事實. 有些HTTPs traffic無法做ssl inspection.
或是開了ssl inspection產生side effect. 要有能力做例外管理.
例如: 有些application如果做certificate pinning要做bypass, 不然會被擋掉.

網路層能做的, 每一家的限制都差不多.
想做到更嚴謹的管控, 請花 $ 加上endpoint管理的解決方案.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2021-02-18 10:02:37

根據Fortigate-100E FortiOS 6.0.11
其中有關 Applecation Control 最新資料庫在瀏覽器部分如下圖

顯示應用程式可以控制使用的瀏覽器種類
但是未見到有版本的控制
提供樓主參考！

回應 2
分享
檢舉

zyman2008 iT邦大師 6 級 ‧ 2021-02-19 19:38:06 檢舉

原廠沒有就自己寫啊 (下為Chrome major version小於88)
F-SBID(--name "HTTP.BROWSER_Chrome_88"; --protocol tcp; --service HTTP; --flow from_client; --pcre "\w*User-Agent:.*Chrome/([0-9]|[1-7][0-9]|8[0-7])./ism"; --context header;)