各位大大好
最近碰到个问题
主要是要管控员工上网限制(禁止FB line youtube 等等,但开放skype)
不过又希望可以分群组限制
例如有些人可以上FB line但不能上youtube QQ
目前初步想法如下
Lan->Wan
^^^^^^^^
policy编号 ||src_addr || dst_addr|| service|| Action|| Web filter||App filter
_____________________________________________________________________________
1 FB_on all any accept (Web filter跟Appfilter
line_on 配合src_addr名称去过滤)
youtube_off
.
.
.
N all all any accept (Web跟filter挡掉FB
line,youtube,
但开放skype)
基本上想根据个人电脑ip去看他可以上什么不能上什么
然后把该ip分配到对应的src_addr group
不过这种作法随着想限制的软件越多就必须规划越多的src_group跟对应的filter组合
不知有没更聪明的作法QQ
有熟悉fortigate的大大可以赐教吗

想当初FG跟ad整合用fsso弄好久QAQ

问个外行的问题 请问 forti 的 web filter app filter这两个功能是不是要加买 license 才会有?

是的, app 控管,web filiter, 这些统称UTM模组,都得加购

其实 一个group套一个filter就好了 最后一行就全部deny

之前玩的是FSSO 的前身, 叫FSAE, 这个要在DC 上装agent

我曾想搞过 当时SI建议整合交换器搞802.1Q配FW 政策然后再用FW物件去分配谁可用谁不能用 甚至设时段不过一来交换器不给换来整合 二来人多嘴杂意见多 搞不成

802.1Q应该是ip base管控 结合AD的话就不需要强分网段

看不懂.. dot1q vlan tagging和这需求有什么关系

是哪间si推荐使用802.1q这么专业

如果有认知错误或技术错误认知 请直接指正就好 不需酸吧