楼主:
hateh (hateh)
2016-05-28 00:47:43各位大大好
最近碰到个问题
主要是要管控员工上网限制(禁止FB line youtube 等等,但开放skype)
不过又希望可以分群组限制
例如有些人可以上FB line但不能上youtube QQ
目前初步想法如下
Lan->Wan
^^^^^^^^
policy编号 ||src_addr || dst_addr|| service|| Action|| Web filter||App filter
_____________________________________________________________________________
1 FB_on all any accept (Web filter跟Appfilter
line_on 配合src_addr名称去过滤)
youtube_off
.
.
.
N all all any accept (Web跟filter挡掉FB
line,youtube,
但开放skype)
基本上想根据个人电脑ip去看他可以上什么不能上什么
然后把该ip分配到对应的src_addr group
不过这种作法随着想限制的软件越多就必须规划越多的src_group跟对应的filter组合
不知有没更聪明的作法QQ
有熟悉fortigate的大大可以赐教吗
问个外行的问题 请问 forti 的 web filter app filter这两个功能是不是要加买 license 才会有?
是的, app 控管,web filiter, 这些统称UTM模组,都得加购
作者:
voodist (小虫)
2016-05-28 10:05:00其实 一个group套一个filter就好了 最后一行就全部deny
之前玩的是FSSO 的前身, 叫FSAE, 这个要在DC 上装agent
作者:
liskenny (Why so serious?)
2016-05-29 16:07:00我曾想搞过 当时SI建议整合交换器搞802.1Q配FW 政策然后再用FW物件去分配谁可用谁不能用 甚至设时段不过一来交换器不给换来整合 二来人多嘴杂意见多 搞不成
作者: sssxyz (只出没大佳基隆河左岸) 2016-05-30 07:54:00
802.1Q应该是ip base管控 结合AD的话就不需要强分网段
作者:
infosec (InfoSEC)
2016-05-30 09:29:00看不懂.. dot1q vlan tagging和这需求有什么关系
作者: fredwei1031 (FredWei) 2016-05-30 11:22:00
是哪间si推荐使用802.1q这么专业
作者:
liskenny (Why so serious?)
2016-05-31 09:55:00如果有认知错误或技术错误认知 请直接指正就好 不需酸吧