2017年1月18日 星期三

S小魚仔S Fortigate 5.4.3 Explicit Web Proxy (網頁代理伺服器)



1. 啟用「Explicit Web Proxy」功能



2. 設定「Network Interface」啟用「Explicit Web Proxy


1.點選「網路
2. 點選「介面
3. 點選「Internal

啟用「顯式網頁代理

3. 設定「顯性代理網頁伺服器


1. 點選「網路
2. 點選「顯性代理
3. 啟用「顯性式的網頁代理伺服器
4. 點選「介面
5. 設定「通訊協定」8080


4.設定「顯性代理政策」防火牆



1. 選擇「Wan Interface」(出去介面)
2. 選擇「Internal_Zone(來源介面)
PS. 需要事先手動建立「政策&物件」=>「位址
3. 目的地址「All
4.時間表「always
5. 採取行動「接受
6. 啟用「Log 紀錄

5.「瀏覽器 (IE)」設定「Proxy 伺服器


點選「工具」=>「網際網路選項

1.點選「連線
2.點選「LAN 設定

啟用「Proxy 伺服器

檢查「顯示式代理政策」流量



參考資料
FortiGate Cookbook」-「Explicit Proxy (5.2)
51cto.Com」-「飞塔防火墙之Explicit Proxy
51cto.Com」-「配置Windows NPS作为FortiGate防火墙的RADIUS服务器

2017年1月15日 星期日

S小魚仔S Fortigate 5.4.3 搭建 IPsec VPN


Fortigate 5.4.3 搭建 IPsec VPN 設定起來並不困難,主要是理解和設定,透過下面「示意圖」接著往下「Setup By Setup」。


1.「Creating A User And A User Group(建立「使用者」加入「群組」)

建立「使用者

建立「群組」加入「使用者

2.「Configuring the IPsec VPN using the IPsec VPN Wizard」(使用 IPsec 設定精靈)

使用「IPsec 精靈」幫助您快速設定「IPsec VPN
3. 輸入「名稱
4. 點選「遠端存取
5.點選「遠端設備類型

3. 「來源」選擇「介面 (WAN)
4. 輸入「共享密碼」必須「六位數
6.選擇「群組

建立「Policy

1. 目的「Local Interface
2. 目的「Local Interface IP Range
PS. 需要事先手動建立「政策&物件」=>「位址
3. 輸入「IPsec VPN」發放「DHCP 範圍
4. 保持「預設值
5. 點選「下一步

最後步驟「預設值」即可


建立完成「檢查」介面「WAN」端會產生「子介面」(Sub-Interface)

政策&物件」=>「位址」會自動產生「IPsec_VPN_Range


3.「Creating A Security Policy For Access To The Internet

設定「IPsec VPN To Internet (網際網路)

1. 輸入「用戶名」 
2. 選擇 來源「IPsec_VPN」介面 (IPsec VPN Sub-Interface
3. 選擇 目的「Internet_Zone2」介面 (Internet - Interface
4. 來源位址「All」 
5. 目的位址「All」 
6. 時間表「always」 
7. 服務「ALL」 
8. 採取行動「接受」 
9. 啟用「紀錄合法流量」=>「全部會話

4.「Configuring FortiClient APP

輸入「名稱
選擇「IPsec VPN

 點選「設置

點選「服務器設置

1. 輸入「FortiGate」( WAN Interface IP )
2. 輸入「共享密碼
3. 點選「返回

進行「登入」帳號、密碼,完成收工。

參考資料
Cookbook Fortinet」-「IPsec VPN with FortiClient
Askasu」-「快速設定 Fortigate Site to Site IPEC VPN

2017年1月14日 星期六

S小魚仔S Fortigate 5.4.3 限制 Skype 無法使用 (Layer 7)

啟用「用戶應用程式控制

 1. 點選「Security
2. 點選「應用程式控制
3. 點選「新增特徵值

加入「過濾條件

點選「名稱

輸入需要 阻擋程式名稱

1. 點選「Skype
2. 點選「使用選擇的特徵碼

預設「封鎖」,您也可以設定「其它行為

進行「防火牆」策略配置

1. 點選「政策&物件
2. 點選「IPv4政策
3. 增加「應用程式控制」欄位

應用程式控制」欄位「+

加入「APP Default

接著要清除「連線紀錄
PS. 網路會瞬斷


登入「Skype」就會發現「無法連線

檢查「Log」與「Policy ID

如何「解除」應用程式控制

1. 點選「Policy」=>「編輯

取消「應用程式識別、管理與控制」即可。



2017年1月12日 星期四

S小魚仔S Fortigate 5.4.3 Firewall Tunnel SSL VPN

如何「設定」Tunnel SSL VPN,相信各位「出國」朋友都有這個困擾尤其是「對岸」需要「翻牆」,開始實作嚕。
PS
Tunnel SSL VPN」需要一組 Tunnel(隧道)Class C」網段。



1.「Creating A User And A User Group」(建立「使用者」與「群組」)

建立「使用者





建立「群組」加入「使用者


2.「Creating An SSL VPN Portal For Remote Users」(建立 SSL VPN 入口 給 遠端 使用者)

修改「Default」tunnel-access

停用」啟動切分隧道
PS. 「此步驟非常重要


3.「Configuring The SSL VPN Tunnel」(建立 SSL VPN 通道)



1. 設定 介面監聽「WAN」端口
2. 設定 Listen on Port「10443」,請勿使用「443」這樣會和「Web UI」起衝突
3. 允許從任何主機訪問
4. 選擇「自動分配地址」 
5. 選擇「相同的客戶端系統DNS
6. 加入「Group (群組)」=> Portal「Tunnel-Access
所有其他用戶/群組 =>Portal「Tunnel-Access

4.「Adding An Address For The Local Network」( 建置 Internal 網段 聯絡地址)




5.「Adding Security Policies For Access To The Internal Network And Internet」(設定 防火牆 規則 sslvpn隧道介面Internal (内部)Internet (網際網路) )

設定「sslvpn隧道介面 To Internal (內部)

1. 建立「名稱
2. 設定「來源」介面
3. 設定「目的」介面
4. 設定「來源IP群組
5. 設定「目的地址」選擇「Internal_Zone(聯絡地址)
PS. 建議不使用 All 這樣所有內網都可進行「通訊
6. 設定「啟用時段
7. 使用那些「服務
8. 點選「接受
9.啟用「NAT
10. 紀錄合法流量

設定「sslvpn隧道介面 To Internet (網際網路)

6. 安裝「Fortigate Clinet」工具進行連接



透過「What Is My IP Address?」就可以知道您的「Tunnel SSL VPN」IP 位址。

PS.  
Windows OS  需要安裝「Fortigate Clinet」工具。
Android          需要安裝「Fortigate Clinet」APP。


參考資料
Fortinet」-「SSL VPN Web And Tunnel Mode