FortiGate-如何開啟SSL deep inspection掃描加密流量

作者: Andy 2022 年 1 月 18 日2023 年 4 月 16 日

頁面目錄

情境說明：

本文介紹如何使用FortiGate啟用SSL deep inspection掃描上網加密流量。

環境說明：

FortiGate型號：FortiGate 61E
FortiOS版本：After 6.0.0
Client電腦需求：Windows7-11、Mac OS10.9-12.1，瀏覽器需導入憑證進行流量加解密分析

FortiGate設定方式：

Step1.設定SSL/SSH Inspection profile

fortigate-ssl-deep-inspection

設定Profile Name，Inspection method選擇Full SSL Inspection
CA certificates使用預設值也可使用公司內部CA自簽certificates
Blocked certificates和Untrusted SSL certificates選擇Block
Inspect ports使用預設值可以需求自行調整
預先下載CA Certificate準備匯入client電腦

如何開啟SSL deep inspection掃描加密流量-2

設定Exempt SSL Inspection list可用Web categories和Address、FQDN、Wildcard FQDN做為來源
設定Common Options

Step2.設定Firewall Policy

如何開啟SSL deep inspection掃描加密流量-3

Firewall Policy套用Step1設定的profile

Client上網驗證：

Client電腦請先匯入 Step1 下載的SSL CA Certificate

fortigate-ssl-deep-inspection

瀏覽 Google網頁確認 Certificate已改成由Fortinet簽發。

fortigate-ssl-deep-inspection

進行EICAR反病毒測試檔案，確認可以阻擋夾帶惡意檔案內容的HTTPS連線。

應用程式SSL控管範例：

作者: Andy

Andy目前在台灣最大的Fortinet代理商聯達資訊工作，熱愛IT技術與經驗分享，經營這個網站與大家一起學習成長檢視「Andy」的全部文章

文章日曆