Tăng khả năng lọc của Web-Filter với Transparent Proxy trên Firewall FortiGate

Tính năng lọc Web theo nội dung trang được sử dụng phổ biến trên Firewall FortiGate như là một web proxy cho môi trường doanh nghiệp. Hành vi mặc định của web-filter là kiểm tra lưu lượng trên gói tin lớp 4 và sau đó áp dụng các web-filter profile một cách bắt buộc vào trong các policy của firewall dựa trên cấu hình. Việc so sánh nội dung gói tin khớp với các danh mục của FortiGuard được thực hiện trong web-filter chứa không phải trong firewall policy.

Đối sánh mặc định trong Firewall
Mặc định, policy của FortiGate thực hiện so sánh dựa trên các tiêu chí: Incoming/Outgoing Interface, Source (Address, User, Device), Destination (Address), Scheldule, Service.

​

Hành vi này phục vụ tốt cho việc chia nội dụng lọc web và áp dụng theo nhóm người dùng đơn lẻ phù hợp. Nhóm người dùng được xác định bởi địa chị IP, nhóm của domain hoặc chủng loại thiết bị.

​

Như đã thấy ở hình mô tả ở trên, quy tắc đối sánh chỉ định một bộ lọc web tương ứng khớp với 2 nhóm người dùng khác nhau. Trong ví dụ trên, các user thuộc nhóm bảo mật “fsso_admins” được chỉ định trong web-filter-profile có tên “wf-admin-profile”. Sau đó, các user thuôc nhóm “fsso_domain_users” được chỉ định vào web-filter-profile tên “wf-domain-users”. Nếu có một user trong cả 2 group trên, user sẽ được chỉ định vào profile của group admin vì quy tắc policy khớp với với profile của admin trước.

Để sử dụng chính sách lọc này hiệu quả, quản trị viện phải có một kế hoạch kỹ lưỡng cho việc quản lý Active Directory (AD) để đảm báo mỗi nhóm của AD có một quyền hạn nhất định trong hệ thống. Đây là một giải pháp phù hợp khi không có một lượng lớn các trường hợp ngoại lệ trong web-filtering policy.

Các thách thức trong việc đối sánh mặc định
Có một số trở ngại nhất định khi quản lý Firewall FortiGate mà admin có thể gặp phải khi sử dụng hành vi đối sánh mặc định. Ví dụ, bất cứ lúc nào cũng có một số lượng lớn những ngoại lệ đối với policy theo nhóm cụ thể, một web-filter phải được tạo mới để áp dụng thêm cho những ngoại lệ này. Để minh họa cho sự đa dạng, chúng ta có các nhóm nhỏ như sau:

User --- Group ---- Danh mục Cho phép (Allowed) ----- Danh mục cấm (Denied)
user1 --- social-media ---- social-media general ----- file-sharing social-media
user2 --- streaming ---- streaming general ----- social-media file-sharing
user3 --- file-sharing ---- file-sharing general ----- social-media streaming
user4 --- file-sharing streaming -- file-sharing streaming general --- social-media
​

Giựa vào cột trên, admin phải tạo ra 4 profile trong web-filter để thích hợp cho mỗi danh mục của FortiGuard. Ngoài ra, trong Microsoft AD cũng cần phải tạo 4 nhóm với quyền bảo mật khác nhau để chỉ dịnh các user vào đúng với IPv4 Policy trên FortiGate. Có thể thấy rằng một khi các trường hợp ngoại lệ xuất hiện, cách làm này của admin không thể mở rộng thêm quy mô. Tuy nhiên, việc này có thể được xử lý thông qua việc sử dụng Transparent Proxy.

Tăng khả năng lọc của Web Filtering cùng với Transparent Proxy
Từ trước đến nay, FortiGate có chức năng "Explicit Proxy" để tăng cường hành động lọc web mặc định của FortiGate. Tuy nhiên, nó đòi hỏi cần cấu hình thêm trên trình duyệt của host để trỏ đến FortiGate là một proxy, hoặc cấu hình thêm file "PAC" để tự động cấu hình các trình duyệt của người dùng trỏ đến FortiGate. Điều này thường cản trở các admin sử dụng tính năng này một cách minh và thông suốt từ người dùng. Do đó, từ FortiOS 5.6 đã giới thiệu tính năng "Transparent Proxy".

"Ngoài Explicit Web Proxy, FortiOS giờ đây hỗ trọ thêm Transparent web proxy. Mặc dù nó không có nhiều tinh năng như là Explicit Web Proxy, nhưng Transparent proxy có lợi thế là không cần phải tác động gì trên host để chuyển traffic đến proxy server. Mọi thứ giờ đây đều thông suốt từ người dùng cuối, việc này giúp kết hợp người dùng mới vào cấu trúc proxy dễ dàng hơn trước.

Bạn có thể sử dụng Transparent proxy để áp dụng vào xác thực cho web sử dụng HTTP bằng firewall policy. Trong các phiên bản trước, xác thực web yêu cầu phải sử dụng bằng Explicit proxy.

Thông thường FortiOS xác định dựa trên địa chỉ IP. Các user được xác định theo địa chỉ IP và truy cập được cho phép hoặc ngăn chặn theo địa chỉ IP. Các mạng xác thực bằng IP không hoạt động, bạn có thể sử dụng Transparent Web proxy để áp dung xác thực bằng trình duyệt web của người dùng và không cần biết địa chỉ IP của họ. Phương pháp xác thực này cho phép bạn xác định được nhiều người dùng cá nhân ngay cả khi kết nối đó đến từ cùng đia chỉ IP."

Vơi sự ra đời của tính năng này, người admin của Fortigate giờ đây có thêm chức năng để đơn giản hóa việc triển khai liên quan đến các chính sách của web-filtering liên quan đến các trường hợp ngoại lệ. Tính năng cho thêm khả năng chọn nhiều danh mục của FortiGuard vào điều kiện lọc trong Proxy policy:

​

Bây giờ "FortiGuard Category” là một phần trong tiêu chí lọc, phần lớn các vấn đề ngoại lệ trở nên không đáng lo. Admin của AD chỉ cần chỉ định user vào đúng group phân quyền để áp dụng chính sách Web-filter tương ứng trên FortiGate. Với cách cấu hình mới này, vì cách các policy được đánh giá từ trên xuống theo thứ tự của Policy ID nếu user không trong group tương ứng với danh mục FortiGuard, sẽ được chuyển sang policy đánh giá tiếp theo. Cho đến hết danh sách policy nếu không thuộc nhóm phù hợp sẽ áp dụng chính sách mặc định.

Dưới đây là ví dụ cho cấu hình proxi policy dựa trên điều kiện lọc trong FortiGuard:

​

Do việc đánh giá theo FortiGuard là một phần của proxy policy, hoạt động áp dụng theo profile có thể được theo dõi “monitor” vì vậy các sẽ có thể ghi log các hoạt động của profile.

!! Nếu admin muốn quy tắc mặc định ở cuối cùng là chặn tất cả theo danh sách FortiGuard nhưng vẫn muốn giữ các log với các hành động đã bị block đó. Bạn có thể xác định quy tắc và dặt chính sách vào bộ lọc web này như hình:

​

Cấu hình Transparent Proxy
Để cấu hình FortiGate sử dụng tính năng Transparent Proxy, chúng ta thực hiện theo các bước sau:
I./ Cấu hình Fortinet Single-Sign On (FSSO):

Trong bài viết này giả thiết đã có sẵn FSSO source (ví dụ: FSSO Collector, FortiAuthenticator) và sẵn sàng kết nối với FortiGate. Thêm cấu hình FSSO để chuyển tiếp các group user thích hợp từ AD vào FortiGate.

1. Trên trang quản lý của FortiGate vào đường dẫn “User & Device > Single Sign-On”​

​

2. Click “Create New”​

​

3. Phần Type chọn “Fortinet Single-Sign-On Agentge". Đặt tên cho FSSO này trong “Name” ; nhập địa chỉ IP/ tên miền kèm theo mật khẩu vào ô “Primary FSSO Agent”. Click “Apply & Refresh”​

​

4. Xác nhận lại các group đã được nhận từ nguồn FSSO bằng cách click “View”​

​

5. Xác nhận trong cột “Status” có dấu tick xanh là như hình​

​

II./ Tạo FSSO User Groups:

1. Click vào “User & Device > User Groups”

​

2. Click “Create New”​

​

3. Nhập tên mô tả cho group trong ô “Name”.
Chọn Type là “Fortinet Single Sign-On (FSSO)”
Click vào dấu "+" để thêm AD Group phù hợp trong phần “Members”.
Click “OK” để lưu lại.​

​

4. Tạo thêm các nhóm còn lại như yêu cầu của các policy giống hình dưới;​

​

Cấu hình các Quy tắc xác thực
Các quy tắc xác thực được sử dụng để cấu hình cho 2 tính năng: Explicit hoặc Transparent proxy. Bước này là bắt buộc để đảm bảo quá trình vận hành đúng theo các quy tắc proxy phù hợp với từng nhóm FSSO.

1. Kết nối với FortiGate bằng CLI và thực hiện các lệnh sau:

​

Kích hoạt tính năng Proxy
Để cấu hình Transparent Proxy qua GUI, làm theo các bước sau:

1. Click “System > Feature Visibility > mở tính năng Explicit Proxy”​

​

2. Quay lại theo đường dẫn “Network > Explicit Proxy”
3. Cấu hình các cài đặt theo hình dưới. Cuối cùng, click “OK”​

​

Cấu hình Đối tượng địa chỉ FortiGuard Category
Đối tượng Proxy Address cung cấp cơ sở để sử dung danh mục FortiGuard trong Proxy Policy như là đối tượng tham khảo. Nó cho phép FortiGate sử dụng các điều kiện xem xét trong bộ quy tắc Proxy. Để cấu hình Address Object, xem các bước thực hiện sau:

1. Click vào “Policy & Objects > Addresses”. Click “Create New”
2. Trong Category chọn “Proxy Address”
Đặt tên cho địa chỉ này trong ô "Name”
Type: chọn “URL Category”
Chọn nội dung phù hợp với URL Category cho đối tượng​

​

Cấu hình chuyển hướng HTTP Redirect sang Transparent Proxy
Để kích hoạt tính năng Transparent proxy, phải thực hiện “HTTP Redirect” qua cấu hình trong “Proxy Options” áp dụng vào trong một policy. Policy này nên được cấu hình ảnh hưởng của traffic HTTP và HTTPS như thấy trong hình dưới.

1. Click “Security Profiles > Proxy Options > Create New”
2. Đặt tện trong ô “Name” | Trong mục “Protocol Port Mapping” kích hoạt HTTP | Trong mục "Web Options" tick để kích hoạt thêm “HTTP Policy Redirect”​

​

3. Click vào “Policy & Objects > IPv4 Policy > Create New”
4. Tạo thêm 1 IPv4 Policy đặt các cài đặt như hình:​

​

Policy nên được đánh giá cho các traffic liên quan đến web trước khi các qu tắc khác được cho phép được sử dụng cho loại kết nối đó.

​

Cấu hình cho Transparent Proxy Policy
Khi FortiGate được cấu hình chuyển hướng traffic đến Transparent proxy, các policy có thể được tạo sử dụng trong phần “Proxy Policy” của GUI. Điều này cho phép admin sử dụng các đối tượng và các dịch vụ một cách linh hoạt như đã xác định ở phần trên. Để kiểm tra phương pháp này, bạn có thể tạo một policy để hỗ trỡ các cài đặt như sau:

1. Click “Policy & Objects > Proxy Policy > Create New”
2. Cài đặt các thành phần của Policy như hình sau:​

​

Policy có thể được cấu hình tương tự, chỉ cần thay đổi các thông tin như Source Destinaton và Web Filter cho các nhóm đối tượng khác tùy theo danh mục FortiGuard​

​

Xác thực hành vi của Web-filter
Khi cấu hình xong, kiểm tra lại các user đã xem đã cấu hìn đúng các bước theo group khác nhau chưa. Dưới đây người dùng vào YouTube được phân vào loại “Streaming” theo FortiGuard:

​

Xác định trong FortiGate vào đường dẫn “Monitor > Firewall User Monitor”, phần user được chia theo nhóm truy cập vào trang web.

​

Chúng ta cũng có thể xem qua CLI:

diagnose wad user list​

​

Các thông tin mạng sẽ được hiển thi trực quan như: IP, user name, thời gian truy cập, policy áp dụng (pol_id)...

Khi user truy cập vào một trang web thuộc phân loại khác, chúng ta sẽ có một log khác.

​

Quay lại “Monitor > Firewall User” trên FortiGate lúc này dưới côt User Group đã xuất hiện một tên group khác:

​

Sử dụng CLI để kiểm tra, lúc này pol_id hiện đang là 3 cho phiên truy cập này.

​

Như bạn có thể thấy, việc tăng khả năng lọc tuyệt vời với sự linh hoạt của web-filtering cho Firewall FortiGate. Việc này sẽ giống như việc cho phép bạn chuyển dời các policy từ nhà cung cấp khác trực tiếp đến FortiGate mà không cần bất kỳ chuyển đổi bổ sung nào.