FortiGate 50E i problemy z Web Application Firewall
24.04.2017 11:46
Urządzenia z serii FortiGate mają zaimplementowany bardzo sprytny mechanizm o nazwie Web Filter. Oczywiście, jak sama nazwa wskazuje, służy to do monitorowania/filtrowania ruchu sieciowego związanego z protokołem www. Konkretnie rzecz biorąc na podstawie zdefiniowanych kategorii zezwalamy na dostęp (lub go blokujemy) do określonych stron internetowych.
Na ogół mechanizm ten działa bez zarzutu. Czasami jednak zdarza się, że któraś ze stron, mimo, że należy do bezpiecznej kategorii, nie chce nam się wczytywać. Przy próbie jej uruchomienia, otrzymujemy komunikat "Web Page Blocked".
Jest to dość uciążliwe, tym bardziej, że nie pomaga dodanie takiej strony do "whitelisty". Swego czasu miałem tego typu "przeboje" z witryną igsind.com - mimo, że jej sprawdzenie w "Web Rating Overrides" pokazywało, że strona należy do bezpiecznej a tym samym dozwolonej kategorii "General Interest".
Okazało się, że mimo pozytywnego zakwalifikowania strony do odpowiedniej kategorii przez Web Filter, zastrzeżenia miał jednak Web Application Firewall. Dlaczego? Trudno mi powiedzieć - być może "wyczuwał" na ww. stronie coś, co mu się wyraźnie nie podobało. W każdym razie mimo usilnych prób WAF nie pozwalał na przeglądanie owej strony.
Co możemy zrobić w takiej sytuacji? No cóż, najprostszym rozwiązaniem wydaje się wyłączenie Web Application Firewall w "Security Profiles" odpowiedniego wpisu w "IPv4 Policy". W tym momencie strona od razu zaczyna się wyświetlać, ale automatycznie tracimy na bezpieczeństwie... Nie tędy więc droga.
Drugim sposobem jest przejście do wspomnianego WAF w zakładce Security Profiles i dodanie nowego wpisu do "HTTP Method Policy".
W tym celu wybieramy oczywiście "Create new" i w polu "Pattern" dodajemy wpis *igsind.com . Zaznaczamy "Type" jako Regex i klikamy Apply.
W tym momencie na samym dole powinien nam się pojawić dodany przez nas wpis. Można też odświeżyć przeglądarkę i zaobserwować, że nasza upragniona witryna w końcu zaczyna się ładować :)
Gwoli wyjaśnienia - przez mniej więcej pół roku użytkowania FortiGate 50E, zdarzyły mi się dwa takie przypadki - chodziło o strony igsind.com i swojską wyborcza.pl Co ciekawe, w obu przypadkach nie działało także "Web Filter Overrides", które służy właśnie "do omijania" tego typu problemów se stronami. No ale to już może temat na zupełnie inny wpis.