作者ChanSui (肥宅eeee)
看板MIS
標題[請益] fortigate 關 Chrome 遠端桌面的方法
時間Thu Jul 22 23:09:42 2021
各位大大好
小弟有一個防火牆的設定想請問大家
最近要把公司的第三方遠端軟體的功能關掉。
目前公司使用的是 forti 100E的設備,有買授權。
anydesk、teamviewer 使用應用程式的功能可以順利關掉
chrome 遠端桌面雖然也有設定但卻無法關閉。
原本想說那改用網頁過濾的方式關掉,但這方法好像也不行,
https://ithelp.ithome.com.tw/articles/10191524 有參考IThome的大大嘗試使用FQDN或是關閉5222port 的方式,
將政策設在lan to wan,但以上兩個都無法關閉 Chrome的遠端桌面功能。
想問在政策上是否有少設定什麼嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.24.13.116 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1626966584.A.376.html
→ HHHH: h-Hant&co=GENIE.Platform%3DDesktop 07/22 23:28
→ asdfghjklasd: 我剛試,可以擋啊.. 07/22 23:37
→ asdfghjklasd: Application Control 07/22 23:37
QAQ 大大救我 會是我哪邊有衝突到嗎?
https://imgur.com/7UYXVd8 ※ 編輯: ChanSui (114.24.13.116 臺灣), 07/22/2021 23:44:10
→ fonzae: https呢? 07/23 03:09
從SSL這地方下手嗎? 但我的SSL都是反白的不給更改,這是因為沒有買license的關係嗎?
※ 編輯: ChanSui (60.251.163.115 臺灣), 07/23/2021 09:19:08
→ asdfghjklasd: 我不是很確定因為我的介面跟你的不同,我是7.0.1版 07/23 14:05
感覺是版本的關係, 找時間也來把版本升上去看看QQ
※ 編輯: ChanSui (60.251.163.115 臺灣), 07/23/2021 15:47:36
→ fonzae: 他服務不就是https,你不把SSL打開怎麼偵測 07/24 02:16
→ fonzae: 至於版本也會影響,因為應用層的確會因為AP改變而無法封鎖 07/24 02:17
→ fonzae: 之前使用forti去封鎖google各服務就會發現此問題 07/24 02:17
→ fonzae: 其要求條件是開啟SSL過濾+AP Ccontrol,去防止用戶連接 07/24 02:18
→ fonzae: 而google各項服務會自己找port出去,並不是單獨Deny就足夠 07/24 02:18
推 zbug: 7.0.1版本目前有無災情??目前我還在 6.4.2 07/24 17:39
→ asdfghjklasd: Production 的我還在用 6.0.x 6.4.x ,家裡才用7.0.1 07/24 22:12
→ asdfghjklasd: 7.0.0 Bug 不少 07/24 22:12
推 zbug: 謝謝 @asdf ,7.0 有哪些bug比較嚴重的? 07/25 09:03
推 littlecut: 初始版本不是都不要用嗎,原廠工程師都這樣說了XD 07/25 11:34
推 zbug: 問過某A SI 可否升7.0,對方告訴我必須升,再問B SI,叫我等 07/25 15:38
→ slash66: 通常沒問題不建議升到最新版,因為出問題只能等下一版了 07/27 22:01
→ asdfghjklasd: @Zbug,我只碰到 nat loopback 有狀況 07/28 11:03
→ asdfghjklasd: 想知道7.0.0 有什麼 Bug,其實可以先看 7.0.1 07/28 11:03
→ asdfghjklasd: 的 Release Notes 07/28 11:04
想問大大目前我們公司的版本是 6.0.6版 會建議升級成6.4.2 還是會推薦升到7.0.1呢?
查7.0.1 好像沒特別看到什麼災情
※ 編輯: ChanSui (60.251.163.115 臺灣), 07/29/2021 10:17:53
※ 編輯: ChanSui (60.251.163.115 臺灣), 07/29/2021 10:18:38
→ freeunixer: 6.4 系列沒有 policy route 了~~ 07/31 17:21
→ asdfghjklasd: 所以我在公司的 6.4.6 的 Policy route 是假的@_@ 08/01 20:47
→ freeunixer: 那你公司的 6.4.6 有設 sd-wan 嗎?沒設 sd-wan 情況下 08/01 22:48
→ freeunixer: 沒看到那個選項...或者,你的 Policy route 在選單哪裡 08/01 22:49
→ infosec: 一樣 Network/Policy Route 08/02 05:09
→ freeunixer: 啊啊...謝謝,剛看了一下,是因為我進階路由的選項沒開. 08/02 11:45
結果 Chrome 真的是因為版本的關係 無法正常阻擋,升級至6.4.6就可以了
※ 編輯: ChanSui (60.251.163.115 臺灣), 08/03/2021 12:29:08