各位大大好
最近碰到個問題
主要是要管控員工上網限制(禁止FB line youtube 等等,但開放skype)
不過又希望可以分群組限制
例如有些人可以上FB line但不能上youtube QQ
目前初步想法如下
Lan->Wan
^^^^^^^^
policy編號 ||src_addr || dst_addr|| service|| Action|| Web filter||App filter
_____________________________________________________________________________
1 FB_on all any accept (Web filter跟Appfilter
line_on 配合src_addr名稱去過濾)
youtube_off
.
.
.
N all all any accept (Web跟filter擋掉FB
line,youtube,
但開放skype)
基本上想根據個人電腦ip去看他可以上什麼不能上什麼
然後把該ip分配到對應的src_addr group
不過這種作法隨著想限制的軟體越多就必須規劃越多的src_group跟對應的filter組合
不知有沒更聰明的作法QQ
有熟悉fortigate的大大可以賜教嗎

想當初FG跟ad整合用fsso弄好久QAQ

問個外行的問題 請問 forti 的 web filter app filter這兩個功能是不是要加買 license 才會有?

是的, app 控管,web filiter, 這些統稱UTM模組,都得加購

其實 一個group套一個filter就好了 最後一行就全部deny

之前玩的是FSSO 的前身, 叫FSAE, 這個要在DC 上裝agent

我曾想搞過 當時SI建議整合交換器搞802.1Q配FW 政策然後再用FW物件去分配誰可用誰不能用 甚至設時段不過一來交換器不給換來整合 二來人多嘴雜意見多 搞不成

802.1Q應該是ip base管控 結合AD的話就不需要強分網段

看不懂.. dot1q vlan tagging和這需求有什麼關係

是哪間si推薦使用802.1q這麼專業

如果有認知錯誤或技術錯誤認知 請直接指正就好 不需酸吧