作者:
hateh (hateh)
2016-05-28 00:47:43各位大大好
最近碰到個問題
主要是要管控員工上網限制(禁止FB line youtube 等等,但開放skype)
不過又希望可以分群組限制
例如有些人可以上FB line但不能上youtube QQ
目前初步想法如下
Lan->Wan
^^^^^^^^
policy編號 ||src_addr || dst_addr|| service|| Action|| Web filter||App filter
_____________________________________________________________________________
1 FB_on all any accept (Web filter跟Appfilter
line_on 配合src_addr名稱去過濾)
youtube_off
.
.
.
N all all any accept (Web跟filter擋掉FB
line,youtube,
但開放skype)
基本上想根據個人電腦ip去看他可以上什麼不能上什麼
然後把該ip分配到對應的src_addr group
不過這種作法隨著想限制的軟體越多就必須規劃越多的src_group跟對應的filter組合
不知有沒更聰明的作法QQ
有熟悉fortigate的大大可以賜教嗎
問個外行的問題 請問 forti 的 web filter app filter這兩個功能是不是要加買 license 才會有?
是的, app 控管,web filiter, 這些統稱UTM模組,都得加購
作者:
voodist (小蟲)
2016-05-28 10:05:00其實 一個group套一個filter就好了 最後一行就全部deny
之前玩的是FSSO 的前身, 叫FSAE, 這個要在DC 上裝agent
作者:
liskenny (Why so serious?)
2016-05-29 16:07:00我曾想搞過 當時SI建議整合交換器搞802.1Q配FW 政策然後再用FW物件去分配誰可用誰不能用 甚至設時段不過一來交換器不給換來整合 二來人多嘴雜意見多 搞不成
作者: sssxyz (只出沒大佳基隆河左岸) 2016-05-30 07:54:00
802.1Q應該是ip base管控 結合AD的話就不需要強分網段
作者:
infosec (InfoSEC)
2016-05-30 09:29:00看不懂.. dot1q vlan tagging和這需求有什麼關係
作者: fredwei1031 (FredWei) 2016-05-30 11:22:00
是哪間si推薦使用802.1q這麼專業
作者:
liskenny (Why so serious?)
2016-05-31 09:55:00如果有認知錯誤或技術錯誤認知 請直接指正就好 不需酸吧