今日學習 FortiGate Firewall LAB 測試如何禁止存取對外網站,但是 Skype 要會通。

於防火牆設定前中有幾個觀念要知道的就是:

1.內部來源網段/IP/帳號

2.目的端的存取資源:URL禁止、Skype要會通,其他的全部關閉。

3.工作時間:全天

4.PC端Skype需要使用 4.xx版以上,或是升級至4.xx版。

上網全部禁止比較好處理,所以我們來討論一下難處理的Skype,因為Skype屬於P2P軟體,且會自動動態搜尋與使用SupeNode,這部分就無法針對特定IP/網址做禁止【比如MSN Messager 禁止登入驗證的動作,MSN就不能使用】,所以必須直接利用 Layper 7 看 Application 封包內容加以分析,Pass Skype封包且其他的Deny。我利用 WireShark 抓取Skype封包並加以研究分析,發現了Supernode的變化有其一定的方式與穿過防火牆需要哪些TCP/udp port。所以在Firewall上設定之外,PC端還需要一同配合才能達到這樣的需求,以上都準備好,就可以按圖施工。


A:進入Fortigate VDOM_1
B:UTM中點選:【網頁過濾】→右邊上面點【網址過濾】→【新增】把名稱與註解寫一寫,再點選【新增】→新增URL過濾條件中把【 ‧】寫在url中,這樣就可以檔掉所有url網址啦。

C:再來就是利用應用程式管控,過濾封包,讓Skype Pass,其他deny即可。


D:將上面兩項 Fliter Rule,套用於【防火牆】項目下的【保護內容表】



E:最後,建立一條Firewall Rule,將設定全部放上去,嚴謹的Firewall ID Number放上面一點,就完成所有設定。



寫這篇文章,只是不讓自己忘記一些東西。





HarlemHsu 發表在 痞客邦 PIXNET 留言(3) 人氣()


留言列表 (3)

發表留言
  • 問問題
  • 請問為什麼 SKYPE 需要 4.XX板以上? 其他版本不行嗎?

  • 親愛的:
    想怎樣當然都可以,拆解Skype封包瞭解它的特性就行,每一家公司的管理文化與背景不同,挑你熟悉管理方式是比較恰當的。

    HarlemHsu 於 2010/03/19 16:30 回覆

  • 問問題
  • ??? 看不懂您回應的。
    我問的問題是說為什麼需要SKYPE 4.XX版以上的,還是說其他版本如3.8版本也可以用在 Fortigate 1000A 防火牆,限定網站存取設定上, 否則板大打的 防火牆設定前中有幾個觀念要知道的就是...,第四項就不是必要條件吧!
  • 悄悄話