Bỏ qua kiểm duyệt SSL khi truy cập website trên thiết bị Fortigate

- Trong bài viết này mình sẽ hướng dẫn các bạn cách bỏ qua bước kiểm tra SSL trên Firewall FortiGate.

*Lưu ý: chỉ nên làm thao tác này khi các trang web hoặc link truy cập đáng tin cậy và an toàn.

1. Sử dụng “Deep-Inspection” profile mặc định:

- Vào System > Feature Select.
- Bên trong Additional Features kiểm tra chứng năng Multiple Security Profiles đã được bật lên.
- Sau đó Apply cấu hình.

- Tiếp theo vào Policy & Objects > IPv4 Policy và thiết lập để mạng LAN truy cập Internet
- Trong Tab Security Profiles, bật Web Filter (default).
- SSL/SSH Inspection sẽ được bật mặc định, cài đặt sử dụng Deep-inspection.
​

***Khi Deep-inspection được sử dụng, FortiGate sẽ thay mặt người dùng nhận phiên SSL gốc, để giải mã và kiểm tra nội dung.

- Sử dụng Chrome vào link google.ca. Và xuất hiện thông báo lỗi.
​

2. Tạo “SSL/SSH profile” loại trừ:
*Trong FortiOS 5.6, 2 profiles mặc định: Certificate-inspection & Deep-inspection là Read-only. Nên bắt buộc phải tạo một profile mới.

- Vào Policy & Object > Addresses và tạo New Address.
- Mục Type > Wildcard FQDN.
- Wildcard FQDN chọn tên miền sử dụng bởi Google: “*.google.ca”.

- Tiếp theo, Security Profile > SSL/SSH Inspection hiển thị tất cả các profile.

- Chọn Deep-inspection và Clone để tạo bản copy của profile này.

- Chỉnh sửa SSL mới và đổi tên (Vd: my-deep-inspection).
- Trong mục Addresses thêm địa chỉ của Google vửa tạo ở trên.

- Cuối cùng quay trở lại Policy & Objects > IPv4 và thay đổi cài đặt policy để mạng LAN truy cập Internet.
- Mục SSL/SSH Inspection chọn sử dụng my-deep-inspection
​

3. Kết quả:

- Sử dụng Chrome truy cập trang web google.ca thành công.​

Chúc các bạn thành công!

​