Trong ví dụ này, bạn sẽ biết cách tạo 1 transparent web proxy cơ bản, có thể sử dụng nó để xác thực web cho các lưu lượng HTTP được firewall policy chấp nhận.

Trong những phiên bản FortiOS trước, xác thực web yêu cầu sử dụng Explicit Proxy. Thêm nữa, FortiOS còn hỗ trợ cả Transparent Web Proxy . Với Transparent Web Proxy, bạn có thể chuyển hướng lưu lượng truy cập web của người dùng đến proxy mà không yêu cầu người dùng phải cấu hình lại trình duyệt của họ hoặc không cần phải coong bố PAC file (proxy auto-configuration). 

1. Cấu hình hệ thống và cài đặt mạng

 Vào System > Settings, ở mục System Operation Settings, đặt Inspection Mode là Proxy

Vào System > Feature Select và enable Explicit Proxy.

Vào Network > Explicit Proxy enable Explicit Web Proxy. Bạn có thể thay đổi HTTP port (mặc định là 8080), HTTPS port, FTP, PAC hay những lựa chọn khác

2. Thêm Proxy Options vào Policy

Vào Security Profiles > Proxy Options. Tạo hoặc chỉnh sửa proxy options profile. Ở phần Web Options, enable HTTP Policy Redirect.

Vào Policy & Object > Ipv4 Policy, tạo hoặc chỉnh sửa policy nhằm kiểm soát những lưu lượng mà bạn muốn xác thực. Chọn 1 security profile (ví dụ trong này là Antivirus) và enable Proxy Options đã chỉnh sửa ở bước trước đó, mặc định, SSL/SSH inspection được enable

3. Tạo Proxy Policy

Vào Policy & Object > Proxy Policy, tạo transparent policy cho phép lưu lượng muốn đưa vào xác thực. Đặt Proxy Type là Transparent Web.

Incoming Interface, Outgoing Interface, Destination AddressSchedule cần phải đúng với source address được chỉ định trong Ipv4 policy. Những địa chỉ được thêm vào Source phải giống với địa chỉ source trong Ipv4 policy. Bạn cũng có thể thêm người dùng được xác thực bởi transparent policy ở Source Field.

4. Kết quả

Mở trình duyệt và tạo lưu lượng trong 1 vài phút. Sau đó vào FortiView > Policies.

Click chuột phải vào một dòng bất kỳ trong bảng để kéo xuống xem chi tiết. Bạn có thể thấy những lưu lượng đi qua proxy policy.

 


Traffic này là lưu lượng đi qua Ipv4 policy đã được cấu hình với proxy security profile.