允许特定用户逃离 Fortigate 的 Web 过滤

井, 我想我已经说过了，我将尝试带来好奇的帖子, 可以为组织做出贡献, 今天，这是一个通常偶尔出现的话题. 因为我们认为我们的 Fortigate 可以控制导航, 我们将拥有具有不同访问权限的规则… 好吧，今天我们将了解如何允许某些用户在他们的责任下在我们提醒他们为危险的区域进行导航…

让我们看看我是如何解释自己的…. 假设您的组织拥有 Fortigate 防火墙, 以及使用 Web 筛选, 好吧，如果您可以访问不同的网站, 假设是不是太过分了? 假设是这样，, 以及您的用户安全地导航到您可以控制的网站, 感谢您的了解 UTM 网页过滤器. 但是有很多人不知道可以启用异常, 例如，如果我们有 I who know 的类别, “社交网络”, 什么是 Twitter？, 脸书… for 以指示 (或其他) 需要身份验证才能进入的类别, 这样，用户就会意识到他正在进入一个可能不供公司使用的网站… 请求您的凭证并在进行身份验证后, (如果您拥有权限), 您将能够访问此网站.

如果你有一个 Fortigate 并且你不使用 Web 过滤，你就没有宽😉恕，因为它可能是你的组织中最少和最简单的任务之一. 您需要知道用户和服务器正在浏览的位置, 您必须拒绝某些类别, 如何评价 SSL 内省并能够检查您的浏览内容, 阻止病毒, 椰子…

侧面的余烬, 在 Web 过滤规则中, 在基于 Fortiguard 类别的 Web 过滤中, 哪些是 Fortinet 分类的所有导航类别, 通常允许或阻止对不同网站的访问, 以及监控它们以进行日志收集. 一个非常有趣的选项是“身份验证”, 如果我们选择我们感兴趣的类别，我们可以将它们放在该类型的操作中, 因此，当访问此类别的站点时，它将要求用户对自己进行身份验证以继续.

向类别指示我们希望其操作为 'Authenticate' 之后, 它将要求我们指明将有权访问的用户, 一组本地防火墙用户, 或包含可以访问的用户的 Active Directory 组… 以及会话的持续时间, 要尝试将 1 分钟，然后在生产中您可以放置更高的时间. “还行”

例如，我们看到“基于 Web 的电子邮件”的类别’ 将要求将此 Web 配置文件应用于他们的用户进行身份验证, 因此，如果用户想要登录 Gmail 或 Office 365, Hotmail 或任何这些东西的名字, 如果您的用户没有权限，您将无法访问. 我们将看到它,

我们检查 Internet 出口规则是否应用了我们刚刚编辑的 Web 过滤器安全配置文件，并记住该规则需要 SSL 检查, 这里一切都很好,

非常重要的一点是, 在(s) 统治(s) 我们要应用此 Web 过滤配置文件，我们必须启用代理模式. 为此，, 如果你看上图, (在 Internet 出口规则中) 我有“检查模式”’ 在 'proxy-based' 中, 如果您在 GUI 中没有此选项, 您必须使用以下命令启用它, 指示要在其中启用代理模式的规则的 ID, 您按 F5，该选项将出现在 FW 规则中.

config firewall policy edit xxx set inspection-mode proxy end

如果我们做对了一切, 用户将完美导航, 适用于几乎所有的互联网, 但是，当您访问, (在这种情况下) 归类为“基于 Web 的电子邮件”, 那是, 正在登录 Hotmail 帐户, Office 365 公司… 不管那叫什么… 因为他无法访问该网站. 答案是肯定的, 我们刚刚给了他一个可能性，他可以给 “进行” 继续…

他们划掉了!!! 它会要求您提供凭据, 如果您的用户位于我们定义的上一个组中, 因为您将能够访问该网站, 在本例中，它是一个名为 Ofis 的 Web 邮件管理器 365 🙂

就是这样, 我们完成了! 但我想告诉你另一个非常相关的事情，你可能也感兴趣, 而且在 Web 过滤配置文件中，我们可以选中“允许用户覆盖被阻止的类别”, 而这如所示, 允许 (如果我们愿意) 我们指定的组中的某些用户可以访问被归类为“已阻止”的网站. 这样就不会禁止他们无法进入, 但它会提醒他们他们的意图, 他们要进入的地方, 如果他们把他们的凭证, 将自行承担访问风险.