27. Fortinet Confidential
Policy Component
• Address
สามารถใส่ค่าอะไรได้บ้างใน address
1. ip address เช่น 192.168.1.1/32
2. ip network เช่น 192.168.1.0/24
3. ip range เช่น 192.168.1.[10-20]
• Address Groups คือการรวบรวม object หลายๆอัน มารวมเข้าด้วยกันเช่น
Address Group ที่ชื่อว่า Client จะมี object ดังนี้
192.168.1.[10.-20] , 192.168.1.[40-100]
27
28. Fortinet Confidential
Policy Component
- Service
คือการสร้าง service port ที่ fortigate ไม่มี เช่น port ของโปรแกรมบางอย่าง
ที่เขียนขึ้นมาโดยเฉพาะ ฉะนั้นจึงต้องสร้าง service object ขึ้นมาใหม่ เพื่อที่จะผูกใน
policy
โดยสามารถสร้างได้ที่เมนู Firewall > Service > Custom > Create New
28
29. Fortinet Confidential
Policy Component
- Service
สามารถใส่ค่าอะไรได้บ้าง ยกตัวอย่างเช่น
port 5000 แบบ TCP จะใส่ค่าดังในภาพ
ถ้า port ที่ต้องใช้เป็น range เช่น 5000 – 5500
ก็สามารถกาหนดดังนี้ในช่อง Low เป็น 5000 และช่อง High เป็น 5500
29
34. Fortinet Confidential
DHCP release
• อุปกรณ์ fortigate จะจดจา ip address และ mac address ที่เคยแจกไว้ก่อน
หน้านี้และจะรักษาไว้จนกว่าจะครบ lease time ที่กาหนด
34
35. Fortinet Confidential
DHCP MAC Binding
• คาสั่งสาหรับการ จับคู่ ip address ที่จะแจกคู่กับ MAC address
config system dhcp reserved-address
edit <name_str>
set ip 192.168.1.66
set mac 00:00:00:00:00:00
set type regular
end
35
37. Fortinet Confidential
UTM-Application Control
• Application Control
- การควบคุมการใช้งานโปรแกรมต่างๆ
เช่น P2P , IM , Game ต่างๆ
- การจากัด bandwidth การใช้งาน
ไม่ให้รบกวน traffic อื่นๆ ที่มีความสาคัญ
เช่น video conference
37
38. Fortinet Confidential
UTM-Application Control
• สร้าง profile ของ application control จากนั้นจึงจะนาไปผูกใน policy ที่ต้องการ
จะจากัดการใช้งาน application ต่างๆ
Menu
UTM > application control > application control list > Create
new
38
39. Fortinet Confidential
UTM-Application Control
• จากนั้นจะแสดง application control list ที่แสดง application ทั้งหมด
ที่เราได้สร้าง และรวบรวมไว้ ใน profile เดียวกัน ( สามารถเลือก application ได้มากกว่า
1 application ใน profile เดียว )
39
46. Fortinet Confidential
UTM-Web Filter
• สาหรับการ block web ด้วย URL สามารถทาได้ดังนี้
Menu
UTM > Web Filter > URL Filter > Create new
• จากนั้นจะโชว์ web URL list ขึ้นมา
46
50. Fortinet Confidential
Policy with UTM profile
• ในแต่ละ protection ที่ต้องการให้ policy มีการทางานของ antivirus ,
application control , web filter ที่ได้สร้างไว้ก่อนหน้านี้ให้ enable ขึ้นมา
และ เลือก profile ที่เราได้สร้างไว้ ตามภาพด้านล่าง
50
51. Fortinet Confidential
User Management
• อุปกรณ์ FortiGate สามารถสร้าง account และเก็บไว้ที่ตัวมันได้ เพื่อเอาไว้ใช้สาหรับ
1. User ต้องการออกสู่ internet แต่ต้องทาการ login เพื่อยืนยันตัวตนก่อน
2. User ต้องการใช้ทรัพยากรภายใน network ขององค์กร โดยที่ตัว user เองอยู่ภายนอก
องค์กร จึงต้องทา ipsec หรือ ssl vpn และต้องมีการยืนยันตัวตนว่า
สามารถที่จะเข้ามาใช้ระบบงานภายใน network ได้
ภาพด้านล่างแสดงถึง column user ที่แสดงชื่อ account ของ user ที่ได้ทาการ
login ก่อนที่จะสามารถออกสู่ internet ได้
51
52. Fortinet Confidential
User Management
• การสร้าง account สาหรับการ authentication
Menu
User > User > User > Create New
- User Name = กาหนด account
- Password = กาหนด รหัสผ่าน ให้กับ account นี้
52
53. Fortinet Confidential
User Management
• สร้าง User Group เพื่อรวบรวม account ที่ได้สร้างมานั้น รวมอยู่ใน group
เดียวกัน
Menu
User > usergroup >
Create New
• เนื่องจาก policy จะมองเป็น user group
จึงต้องรวบรวม account มาเป็นสมาชิกใน
usergroup
• การรวบรวมเป็น group จะง่ายดายต่อการ
จัดการเรื่อง account ด้วย
53
54. Fortinet Confidential
User Management
• นา user group ที่ได้สร้างมาไปผูกใน policy ที่ต้องการให้มีการทา
authentication นั้น ทาได้โดย
1. เลือก policy ที่ต้องการให้มีการทา authentication จากนั้นให้ทาการ edit
2. สังเกตที่ช่อง Enable Identity Based Policy ให้ทาการ enable ขึ้นมา
จะปรากฏภาพ
3. ให้กดปุ่ม Add
54
55. Fortinet Confidential
User Management
4. หลังจากกดปุ่ม Add จะโชว์หน้าต่างให้เลือก user group จึงทาการเลือก group ที่
ต้องการให้อยู่ใน policy นี้
5. พร้อมทั้งกาหนด service ที่จะให้ user group นี้สามารถใช้งานได้
55
56. Fortinet Confidential
User Management
6. หลังจาก add user group และ service แล้ว จากนั้นกดปุ่ม OK
จะปรากฏรูปดังนี้
สรุปว่า user account ที่อยู่ใน policy นี้จะต้องทาการ authentication ทุก
ครั้ง จึงจะสามารถส่ง traffic ผ่าน firewall ได้
56
57. Fortinet Confidential
User Management
• Monitor user
Menu
User > Monitor > Firewall
ภาพดังกล่าวจะแสดง user ที่ได้ทาการ authentication ไว้แล้ว โดยจะแสดงข้อมูลเช่น
• Duration = แสดงระยะเวลาตั้งแต่ user login ครั้งล่าสุด
• Traffic Volume = แสดงขนาดข้อมูลที่ user ใช้
• ถ้าต้องการ disconnect user สามารถทาได้โดยกดปุ่มรูป ถังขยะเท่านั้น
• De-authentication All user = จะตัด connection ทั้งหมด (ควรระวัง)
57