server k ai dùng fortinet hết á thímÝ bạn là hiệu năng hả, ví dụ khoảng 50 con server đứng sau nó, và băng thông cỡ 1Gbps, thì độ trễ của nó là bao nhiêu.
. Ý kiến cá nhân thì mình thấy thím xem phần firewall throughput và threat protection throughput thôi. Vd thím có mạng 1Gbps và cần quét virus chặn lỗ hổng đồ thì cần dòng có cái threat throughput tương đương. Áp dụng tương tự cho các hãng khác nhé thím, có thể tên gọi nó hơi khác xíu nhưng thím nhìn chắc sẽ nhận ra thôi.
Nó thực hiện cái đoạn bôi đen bằng cách nào nhỉ?pfsense thì mình ko rành. Còn về fortigate thì chặn youtube này quá dễ luôn nếu thím có license về web filtering hoặc app control. Nếu dùng paloalto thì với os 9.x trở về trước để chặn youtube cần làm 3 bước: 1) ssl decrypt để giải mã ssl, 2) tạo url custom block mấy tên miền của youtube lại, 3) tạo rule block quic và app youtube. Sau này lên os 10 ko biết có thay đổi gì ko.
Mình đang xài OS 10 nhưng ko có nhu cầu block youtube
View attachment 544767
Thường nếu doanh nghiệp thì họ nắm luôn cái ssl key mà =]]
À tưởng có cách nào khác, chứ thế này chỉ áp dụng cho doanh nghiệp thôi.
Ý thím là cisco WAF hả. Cái này thì lại to quá. Tầm đó thì dùng k hết ấy. Vì e cũng chỉ cần mấy cái lọc traffic như con fortinet ấy.
Ngắn gọn nhé thím:
no, k phải to hay k, mà là chuyên biệt
Mấy con firewall chuyên dụng này nó hỗ trợ lọc sâu, kiểm tra sâu ở tầng ứng dụng layer 7 nên lọc được.
Tức là client phải được cài cert của firewall đúng ko?Ngắn gọn nhé thím:
1) tạo certificate
View attachment 544846
2) tạo decryption profile
View attachment 544847
3) tạo rule cho ssl decrypt, note: ko phải cái gì cũng cần decrypt, chỉ nên decrypt cái nào mình ko biết
View attachment 544849
À bọn mình k chạy cái web server này, mà dạng ứng dụng trên server. Muốn lọc traffic ấy. Chứ k phải web server.
Thì cái ssl vpn mới cần decrypt thím. Ví dụ ssl vpn. Chứ còn https thì đi đâu nó biết rồi. Chặn url là xong mà.
Vấn đề là với các kết nối được mã hoá thì lọc cái gì? Ví dụ VPN bình thường thì lọc qua cổng gì đó ok, giờ VPN nó chạy qua cổng 443 thì ko lọc được do cùng với cổng 443, chơi layer 7 lọc header thì chúng nó chơi VPN over https giống hệt 1 gói tin https nên ko lọc được tiếp, bắt buộc phải giả mã gói tin để ngó xem có phải là https hay ko
thôi chớt, hiểu nhầm í nãy của thím đi post cái hình cấu hình ssl decrypt
Cái đó mấy cái firewall os nó làm chứ người dùng mà biết thì đã chả phải mua nó
làm gì có url mà chặn? https nó mã hoá sạch chỉ thấy ip nguồn và ip đích... ngày xưa còn chặn bằng SNI bắt qua gói tin Hello nhưng chúng nó chơi TLS bản mới mã hoá luôn là chịu. Thêm thằng google chơi gói GQUIC truyền qua UDP nữa, bó tay luôn, ko lọc nổi nếu ko cài cert lên client. Mà ở mô hình bt việc cài cert là bất khả thi.
Ồ, lại ngồi hóng kiểu mới vậy, ngày xưa đám pfsense có trò ssl pump, ko cần cái cert mà giờ cũng ko làm đc.thôi chớt, hiểu nhầm í nãy của thím đi post cái hình cấu hình ssl decrypt
đúng rồi thím, nếu ko sẽ báo untrust hoặc ko truy cập được.
public cert chỉ dùng được cho chiều inbound, từ ngoài truy cập vào web server bên trong thôi.
Bọn fortinet nó có cả đống cơ sở dữ liệu IP các dịch vụ luôn bạn ạ.
Đúng rồi thím, doanh nghiệp to thì a nên có domain để quản lý => việc phân phối cert đơn giản. Nếu doanh nghiệp nhỏ ko có domain => cài cert tay hoặc tạo hướng dẫn cài cert cho nhân viên, ai ko làm thì ko ra được net thôi thím
