Ví dụ này sẽ giúp bạn tạo nhiều security policies, các policy này sẽ áp dụng với những user khác nhau tuỳ vào user thuộc nhóm nào.

Ví dụ này có 3 IPv4 policies:

  • Internet: Policy này dùng cho nhóm Employee truy cập Internet. Bạn dùng để áp dụng security inspection vào traffic.
  • Accounting: Policy này dùng cho nhóm Accounting truy cập nternet. Bạn dùng để áp dụng security inspection nhằm bảo vệ thông tin nhạy cảm.
  • Admin: Policy này dùng cho nhóm Admin (kết nối từ 1 máy tính cụ thể) truy cập Internet. Bạn dùng FortiGate để áp dụng một số security inspection cơ bản.


1. Tạo nhóm người dùng Employee, nhóm user và Internet policy.

Để tạo một người dùng mới, vào User & Device > User Definition (trong ví dụ này là jpearson)

Phần User Type, chọn Local User:

Phần Login Credentials, điền UsernamePassword:

Phần Contact info, điền địa chỉ email của user:

Phần Extra Info, xác nhận User Account Status đã được enable

Bây giờ, Fortigate đã liệt kê danh sách của user mới 

Đê tạo nhóm người dùng mới, vào User & Device > User Groups, chọn Create New (trong ví dụ này, nhóm người là Employees) và thêm user jpearson vào danh sách Members.

Bây giờ, Fortigate đã liệt kê danh sách nhóm user mới là Employees có thành viên jpearson:

Để chỉnh sửa Internet policy, vào Policy & Objects > Ipv4 Policy. Ở phần Source, đặt Address là All và User là EmployeesỞ phần Security Profiles, Antivirus  Web filter được enableCả 2 sử dụng default profile. SSL Inspection được enable mặc định, sử dụng ở deep-inspection profile.


2. Tạo người dùng Accounting, nhóm user và Internet policy.

Để tạo một người dùng mới, vào User & Device > User Definition (trong ví dụ này là akeating)


Đê tạo nhóm người dùng mới, vào User & Device > User Groups, chọn Create New (trong ví dụ này, nhóm người là Accounting) và thêm user akeating vào danh sách Members.


Đê tạo 1 policy cho Accounting, vào Policy & Objects > Ipv4 Policy và chọn Create New. Ở phần Source, đặt Address là All và User là AccountingỞ phần Security Profiles, Antivirus, Web filter, Application Control IPS được enableTất cả sử dụng default profile. SSL Inspection được enable mặc định, sử dụng ở deep-inspection profile.


3. Tạo Admin user, nhóm user, và Internet policy

Để tạo một người dùng mới, vào User & Device > User Definition (trong ví dụ này là tal-jamil)

Đê tạo nhóm người dùng mới, vào User & Device > User Groups, chọn Create New (trong ví dụ này, nhóm người là Admin) và thêm user tal-jamil vào danh sách Members.

Để thêm một thiết bị mới, vào User & Device > Custom Devices & Groups, chọn Create New.

Điền Alias là AdminPC và dùng MAC Address của PC. Device Type : Chọn thiết bị phù hợp.

Bây giờ, dưới phần Custom Devices đã có AdminPC

Để tạo 1 policy mới cho Admin, vào Policy & Objects > IPv4 Policy chọn Create One. Ở phần Source, đặt Address là All và UserAdmin Device AdminPCỞ phần Security Profiles, Antivirus được enableTất cả sử dụng default profile. SSL Inspection được enable mặc định, sử dụng ở deep-inspection profile.

 

4. Thứ tự bảng policy

Để xem danh sách policy, vào policy & Objects > Ipv4 Policy. Chế độ xem By Sequence sẽ hiển thị các policies theo thứ tự được sử dụng trên Fortigate. 

Hiện tại, các policies được sắp xếp theo thứ tự thời gian được tạo, policy nào được tạo đầu tiên sẽ nằm đầu danh sách


Để traffic chạy đúng policy, bạn phải sắp xếp danh sách sao cho những policy quan trọng nằm ở trên cùng. Để sắp xếp lại các policy, chọn cột ngoài cùng bên trái, (ví dụ ID) và kéo policy đó đến vị trí mong muốn.

5. Kết quả

Từ một PC bất kỳ trong mạng nội bộ, truy cập Internet. Màn hình đăng nhập sẽ xuất hiện. Sử dụng tài jpearson để login. Sau khi xác thực, bạn có thể truy cập internet.

Vào Monitor > Firewall User Monitor. Sẽ thấy hiển thị jpearson đang online

Click chuột phải vào tài khoản và chọn Deauthentication.

Trên cùng PC, sử dụng tài khoản khác (lần này sử dụng tài khoản akeating) để truy cập Internet. Firewall User Monitor sẽ hiển thị akeating đang online

Từ AdminPC, sử dụng tài khoản khác (lần này sử dụng tài khoản tal-jamil) để truy cập Internet. Firewall User Monitor sẽ hiển thị tal-jamil đang online và bạn có thể kết nối Internet

Nếu bạn dùng máy tính khác để truy cập Internet, tài khoản được xác thực nhưng bạn không thể truy cập được.

Vào  FortiView >All Segments> Policies chọn xem 5 minutes để xem những traffic đúng theo cả 3 policy và traffic của từng người dùng theo policy tương ứng.