แสดงกระทู้

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Topics - earth

1
Fortigate / การตั้ง Auto BackUp Config FortiGate (TFTP/FTP)
« เมื่อ: 29 มิ.ย. 18, 16:33:28น. »
ตามใน KB นี้เลย
Technical Note: How to send automated backups of the configuration from a FortiGate
http://kb.fortinet.com/kb/documentLink.do?externalID=FD39818

เพียบแค่จะต้องตั้ง TFTP Server ขึ้นมา 
หรือว่า FTP Server ขึ้นมา พร้อมทั้งกำหนด User , Password และ User Directory  ให้กับ User นั้นด้วย ของ FTP Server

2
จำกัดจำนวนครั้งในการ Login Authenโดยอิงจาก Group
โดยจะจำกัดจำนวน User ในการ Login Authen
ให้ใช้คำสั่งต่อไปนี้

#config user group
#edit "Group1"
#set auth-concurrent-override enable
#set auth-concurrent-value xx   //จำนวนครั้งในการ Login หรือจำนวนอุปกรณ์ในการ Login  ของ Group นี้
#end

3
การทำงานจะเหมือนทำหน้าที่เป็น Hotspot โดยมีการ Generate Users and Password ให้กับลูกค้าหรือ Guest ที่มาข้อใช้อินเตอร์เน็ต
สามารถดูใน Youtube เป็นแนวทางมาประยุกต์ใช้ได้นะครับ

FortiGate Cookbook - Captive Guest Portal (5.0)
https://www.youtube.com/watch?v=Y3DS4kVXtxI

FortiGate Cookbook - Guest WiFi Accounts (5.2)
https://www.youtube.com/watch?v=Kf8X2GXq99Y

แต่ใน Youtube จะมี FortiAP ไม่จำเป็นต้องใช้ครับ

ประเด็นคือดูแนวทางบริหารจัดการ Guest ครับ
สามารถ Generate Password ได้ แบบ AUTO จาก BOX Fortigate เอง
สามารถกำหนดว่า User รายนี้ให้ Expire เมื่อไร ตอนไหนได้
และก็สามารถ Print ออกมาในลักษณะคูปองได้เลยครับ

พอทำเสร็จก็นำ Group Guest นี้ไปใส่ใน Policy หลังจากนั้นก็สามารถกำหนดได้ว่าจะ Block อะไร Allow อะไร ขึ้นอยู่กับ Security Profiles ด้วยครับ

ถ้าต้องการแก้ไขข้อความที่ Print ออกมา
ให้ไปที่เมนู System > Config > Replacement Message
แล้วที่มุมขวาด้านบนให้เลือก Extended View
ให้เลือกด้านล่าง  Authentication > Guest User Print Template

ต้องมีพื้นฐานแก้ไขทางด้านการ web programming เพราะใช้ html ในการแก้ไข

4
Fortigate / ฺBlock WebSite ที่ใช้ https (v.5.0.xx)
« เมื่อ: 18 ก.พ. 17, 00:54:07น. »
ให้ใช้คำสั่ง
#config webfilter profile
#edit ***  <- (Name profile)
#set options https-url scan 

(ใช้ในกรณี Cert Error)
ใช้ในกรณีที่ใช้ Block เว็บที่เข้ารหัส พวกพอร์ต 443
และเปิด SSL Inspection ด้วยที่ Policy นั้น

คำสั่งนี้ให้ใช้กับ Firmware V.5.0.xx
ส่วน Firmware V.5.2.xx ไม่ต้องใช้ ถ้า On Profile ใน Policy SSL Inspection ก็จะ ON ขึ้นมาเอง
V.5.2.xx เพียง ON    SSL Inspection ก็พอ


5
ถ้าต้องการให้อุปกรณ์ FortiGate Restart ตัวเอง เพื่อเป็นการ Refresh ตัวอุปกรณ์
ความสามารถทำได้แค่เพียง Restart เป็นรายวัน  ไม่สามารถตั้ง Schedule ตามความต้องการได้

ให้ใช้คำสั่งต่อไปนี้
#config system global
#set daily-restart enable
#set restart time 01:00    //ตั้งเวลาตามความต้องการ
#end

6
1.Policy
ให้เลือก Log Allowed Traffic ทุกครั้ง ทุก Policy  //เป็นการเก็บ Traffic ทุกอย่างที่ใช้ Policy นี้



2.ที่ Profiles Web filter
ให้ใช้คำสั่ง
#config webfilter profile
#edit ***  <- (Name profile)
#set log-all-url enable
#end 

ทำทุก Profiles ทุก Policy ทุกครั้ง เป็นการเก็บ Log URL ทุกอย่าง
Profiles Web filter  จะดักจับ URL การใช้งานออกเว็บไซค์และจัดเก็บ สามารถเห็นขึ้นมาได้ ที่เมนู Log&Report ->  Security Log -> Web Fiter

ข้อแนะนำ ถ้า Policy บางอันที่ไม่มีการ BlockWeb อะไรเลย ให้สร้าง Profiles เปล่าๆ แล้วใช้คำสั่ง set log-all-url enable ด้านบน เพื่อการเก็บ Log หรือดู Log ของจำพวก URL

3.Monitor Application
ทุก Category ให้เลือกเป็น Monitor เพื่อจะได้  Monitor  เก็บ Log การใช้งาน Application ที่ออก Internet
แต่ถ้าต้องการ Block  Application ที่ไม่ต้องการให้ใช้งานออก Internet ก็ Block ไปตามความต้องการ 
Application ที่เหลือให้เลือกเป็นแบบ Monitor ไป
Log  สามารถเห็นขึ้นมาได้ ที่เมนู Log&Report ->  Security Log -> Application Control

ข้อแนะนำ ถ้า Policy บางอันที่ไม่มีการ BlockApp อะไรเลย ให้สร้าง Profiles เปล่าๆ แล้ว Application ให้เลือก Action เป็น Monitor เพื่อการเก็บ Log หรือดู Log ของจำพวก Application ที่ใช้งานออก Internet

V.5.2.xx


V.5.0.xx


7
แก้ปัญหาเมื่อ License Information ขึ้น Unreachable


ให้ใช้คำสั่ง
execute update-now               




Enter คำสั่งเรื่อยๆ จนขึ้น Error แล้วหยุดรอสักพักแล้วหน้าต่าง License Information  กลับมาขึ้นเขียวตามปกติ

มีคำสั่งปลีกย่อยมาอีก ดังนี้  ถ้าต้องการ update เป็นแต่ล่ะอย่างไป
update-av                   Update AV engine/definitions.
update-geo-ip               Update IP Geography DB.
update-ips                  Update IPS engine/definitions.
update-list                 Download update server list.
update-now                  Update now.

ถ้าต้องการ update ทั้งหมด ที่ License ไม่ขึ้นทั้งหมดให้ใช้ execute update-now   ได้เลย
แต่ถ้าตัวไหนไม่ขึ้น จะ update เป็นตัวๆ ไปก็ได้


8
Fortinet Document Library     (รวบรวมเอกสารของ Fortinet ทางๆ อาทิเช่น HardBook , Cookbook , Manual ของอุปกรณ์)
http://docs.fortinet.com/fortigate/admin-guides

Knowledge Base  (เป็นคลังความรู้ระดับ Basic ถึงขั้น Advence)
http://kb.fortinet.com/kb/microsites/microsite.do

The Fortinet Cookbook (อธิบาย Concept การ Config ที่ใช้กันบ่อยๆ พร้อม Video Youtube ประกอบ)
http://cookbook.fortinet.com

FortiGate Cookbook Tutorials    (เป็น Video ประกอบการ Config พร้อมตัวอย่างประกอบ)
https://www.youtube.com/playlist?list=PLLbbcH8MnXJ5UV22hUQRIv0AHSqp81Ifg

9
ถ้าต้องการ Block Bittorrent โดยเลือก Application ทั้ง Categories เลือกเป็น P2P
แล้วเข้า Skype ไม่ได้เนื่องจาก Skype อยู่ Categories : P2P




เพราะฉะนั้นจำเป็นจะต้อง Application Overrides : เลือก Skype  แล้วเลือก Action เป็น Allow หรือ Monitor   
(Allow อนุญาติให้ใช้งานแต่ไม่เก็บ Log หรือเห็น Log การใช้งาน , Monitor  อนุญาติให้ใช้งานแต่เก็บ Log หรือเห็น Log การใช้งาน )

v.5.2.xx


v.5.0.xx


หน้า:
  • 1 (current)