Thiết bị Fortigate của bạn hoặc các VDOM có thể hoạt động ở mode dựa trên policy. Ở FortiOS 5.6 NGFW policy-based mode, bạn có thể thêm application và web filtering trực tiếp vào policy mà không cần phải tạo profile. Nếu sử dụng URL, những app được thêm vào policy cần phải dựa trên loại duyệt web.

Để chuyển NGFW mode từ Profile-based sang Policy-based thì cần phải chuyển từ profile-based security policies sang Policy-based security policies. Nếu không muốn có issue hoặc chỉ muốn trải nghiệm Policy-based NGFW mode, bạn nên tạo VDOM với Policy-based NGFW mode. Hoặc cũng có thể back up file cấu hình trước khi chuyển mode.

Những policy này của tường lửa có thể mang đến những kết quả khó đoán trước trong việc cho phép hoặc ngăn chặn traffic. Ví dụ, nếu có những policy dựa trên applications hoặc URL để chặn traffic mạng xã hội, những policy truyền thống chặn toàn bộ các traffic nằm ở cuối danh sách policy sẽ chặn cả traffic không cần chặn.

Chế độ NGFW policy-based áp dụng các cài đặt NAT từ các Central SNAT policies. Nếu chưa có sẵn Central SNAT policies thì bạn phải tạo.

Bài này sẽ hướng dẫn những bước cấu hình cơ bản về block facebook sử dụng NGFW policy-based mode.


1. Cấu hình fortigate ở NGFW policy-based mode

Vào System > Settings và kéo xuống phần Operations Settings.


2. Tạo Central SNAT Policy

Vào Policy & Objects > Central SNAT vào chọn Create New

Đặt Incoming Interface là interface mạng local. Outgoing Interface là đường Internet.

Đặt IP Pool Configuration là Use Ougoing Interface Address  Protocol  ANY.



3. Tạo Ipv4 policy để block Facebook

Vào Policy & Objects > Ipv4 và tạo policy mới.

Incoming Interface là mạng local. Outgoing Interface là đường internet.

Application, click vào dấu + và tìm Facebook trong danh sách để thêm vào application cần block.

Thêm tất cả Facebook application vào policy, đặt Action là DENY.

Enable Log Violation Traffic để xem kết quả.


4. Thứ tự bảng Policy

Để xem Policy, vào Policy & Objects > IPv4 Policy

Để dòng traffic chạy theo đúng policy, bạn phải ưu tiên đặt những policy đặc biệt ở trên đầu danh sách

Để sắp xếp những policy này, chọn bên trái một cột bất kì và nắm kéo policy đến vị trí mong muốn.


5. Kết quả

Truy cập www.facebook.com. Kết nối sẽ time out.

Để xem lưu lượng bị chặn bởi policy tường lửa, vào FortiView > Threats