搜尋
搜尋
  • 69

[v6.0.1, v5.6.5, v5.4.9] FortiOS Cook & Research

前往頁尾
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59752580
400分
樓主
2016-04-06 13:35

ttnewn wrote:
1.http://docs...(恕刪)

我可以問2個簡單的問題..
1. 你只是想block掉特定網站嗎?...
2. 有購買FortiGuard license??
ttnewn
ttnewn
ttnewn
  • ttnewn
  • 個人積分:14分
    文章編號:59752858
14分
372樓
2016-04-06 13:57

vxr wrote:
我可以問2個簡單的...(恕刪)


1.應該是有買,不過快到期了


2.我們是直接使用web filter的FortiGuard的分類,把一些分類好的直接block掉,例如:成人情色網站、網頁電子郵件、潛在的違反安全性的網頁這些都阻擋掉



下圖就是我說的,我用chrome照樣可以登入gmail,不過用firefox可以阻擋的掉,都是同一個policy
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59756693
400分
樓主
2016-04-06 19:40
你可以先試一下..
建立一個policy只啟用web filter針對HTTPS進行封殺....
web filter使用url filter填入mail.google.com/*
選擇wildcard..
測試看看能不能block掉
ttnewn
ttnewn
ttnewn
  • ttnewn
  • 個人積分:14分
    文章編號:59760979
14分
374樓
2016-04-07 8:52

vxr wrote:
你可以先試一下.....(恕刪)



剛試了一下,還是一樣,IE、Firefox可以阻擋成功
不過chrome還是照樣進的去
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59768350
400分
樓主
2016-04-07 17:59

ttnewn wrote:
1.http://docs...(恕刪)

我已把你的問題轉發到官方討論區詢問..
因為我這邊測試過後也遇到跟你一樣的情況..
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59768882
400分
樓主
2016-04-07 19:03
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59770597
400分
樓主
2016-04-07 22:03
ttnewn wrote:
剛試了一下,還是一...(恕刪)

我得到一個回覆是..
google chrome會使用比較特殊的QUIC(Quick UDP Internet Connections)來通訊..
QUIC會使用UDP 80/443..
這個會讓web filtering失效...
直接封殺QUIC協議是最快的方式..
一種最快的方式就是將建立一個service object: QUIC, UDP, 80/443
建立一個policy目的端為all, service object選擇QUIC將它徹底封殺..
這時候google chrome應該會試著調用TLS..
然後在下一個policy啟用一般的web filter試試看將mail.google.com封掉..

不過我在ipv6測試的時候很難搞...
不太好封掉..

你先try看看...
ttnewn
ttnewn
ttnewn
  • ttnewn
  • 個人積分:14分
    文章編號:59775275
14分
378樓
2016-04-08 10:34

vxr wrote:
我得到一個回覆是....(恕刪)



建了一個QUIC的service object,在POLICY 設為deny
目前是擋的掉了



不過感覺用FortiGate要擋掉一些資安的行為,還是會有蠻多特殊意外的
yahoo mail也是,有時擋的掉,有時擋不掉
google drive也是,用chrome也是擋不掉,可能和gmail一樣,有用其他的協定在轉

請教vxr大大
fortigate沒辦法直接用FQDN這樣去擋嗎,不要管什麼協定
vxr
vxr
vxr
  • vxr
  • 個人積分:400分
    文章編號:59777271
400分
樓主
2016-04-08 12:51

ttnewn wrote:
建了一個QUIC的service...(恕刪)

FortiGate可以建立FQDN物件..
如果你是完整的FQDN..
那ok
例如mail.google.com就是完整的FQDN..
但是如果是wildcard FQDN..
例如*.google.com
v5.2不支援..
要v5.4才有這種物件功能...
ttnewn
ttnewn
ttnewn
  • ttnewn
  • 個人積分:14分
    文章編號:59777666
14分
380樓
2016-04-08 13:21

vxr wrote:
FortiGate...(恕刪)


剛測試了一下

在FQDN物件新增tw.yahoo.com

然後建立policy,lan>wan的tw.yahoo.com的FQDN,然後是DENY
可是還是可以連到yahoo

如果用web filter用自訂deny tw.yahoo.com是可以封鎖的
  • 69
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 69)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?