在本課中，你將學習如何在FortiGate上配置Web過濾，以控制網路中的Web流量。

在本次課程中，你將探討以下主題：

• 檢測模式
• Web過濾基礎
• 附加的基於代理的web過濾功能
• DNS過濾
• 最佳實踐和故障排查

 完成本章節之後，你應該能夠：

• 描述FortiGate的檢測模式
• 實施完整的SSL檢查

　　通過演示檢測模式能力，你將能夠實施適當的檢測模式，以支援所需的安全配置檔案。

每個檢查元件在處理流量的過程中扮演著一個角色，在它到達目的地的路上。如果希望確保只使用基於流的檢查模式（並且不使用代理檢查模式），則控制基於流和基於代理的模式是有幫助的。在大多數情況下，首選代理模式，因為更多的安全配置檔案功能和更多的配置選項可用。然而，一些實現要求所有安全配置檔案掃描僅使用基於流的檢查模式來獲得儘可能高的吞吐量。在這些情況下，你可以將你的強制設定設定為基於流的，知道不使用基於代理的檢查。雖然這兩種模式都提供了顯著的安全性，但是基於代理的模式更全面，並且基於流的模式為優化效能而設計。

基於流的檢查模式檢查通過FortiGate的檔案，沒有任何緩衝。當每個資料包到達時，它被處理和轉發，而不必等待完整的檔案或網頁。如果你熟悉Wireshark的TCP流分析，那麼這基本上就是流引擎所看到的。包被分析和轉發，因為它們被接收。原始流量沒有改變。因此，不支援修改內容的高階特徵，如比如安全搜尋執行。流式模式的優點是：

• 與代理相比，使用者看到HTTP請求更快的響應時間。
• 由於另一端的伺服器響應速度慢，超時錯誤的可能性較小。

　　流式模式的缺點是：

• 在基於代理的模式中可用的許多安全特徵在基於流的模式中不可用。
• 基於FortiGate服務對網站進行分類的行為較少。

　　基於流的檢查模式和基於配置檔案的NGFW模式是預設的。

 你可以在你的FortiGate或個人虛擬域中執行下一代防火牆（NGFW）策略模式。

　　通過將Inspection Mode設定為Flow-based的方式，並將NGFW Mode設定為Policy-based，可以實現NGFW策略模式。當在選擇基於NGFW基於策略的模式時，還可以選擇適用於所有策略的SSL/SSH檢查模式。

基於代理的掃描是指透明代理。之所以稱為透明是因為在IP層，FortiGate不是目的地址，但是FortiGate確實攔截了流量。當啟用基於代理的檢查時，FortiGate緩衝業務並在確定操作之前將其作為一個整體進行檢查。因為FortiGate檢查資料作為一個整體，它可以檢查更多的資料點，而不是它在使用基於流的時候。

　　在TCP連線中，FortiGate的代理生成到客戶端的SYN-ACK，並在建立到伺服器的第二個新連線之前完成與客 戶端的三向握手。如果有效負載小於超大限制，代理緩衝區在繼續傳輸之前傳輸檔案或電子郵件以供檢查。代理分析標題，並可以更改Web過濾等HTTP主機和URL的標題。如果安全配置檔案決定阻止連線，則代理可以向客戶端傳送替換訊息。這增加了整個傳輸速度的延遲。

　　基於代理的檢查比其他方法更徹底，產生較少的誤報和負面結果。

FortiGate Web過濾器也是安全配置檔案。根據選定的檢查模式，安全配置檔案是可定製的。因此，在建立Web過濾器之前的第一步是配置檢查模式。檢查模式是一個系統設定，可在VDOM級別定製。

　　當你的FortiGate設定為代理檢查模式時，還必須定義代理選項配置檔案。此配置檔案確定你的安全配置檔案使用的協議，例如，檢查Web或DNS流量。

　　注意，HTTPS檢查埠號，以及與SSL的處理相關的其他設定分別在SSL/SSH檢查配置檔案中定義。

 小測驗。

現在你瞭解檢查模式。接下來，你將瞭解Web過濾基礎知識。

完成本章節後, 你應該能夠：

• 描述Web過濾器配置檔案
• 使用Web過濾器分類
• 配置Web過濾器覆蓋
• 配置自定義分類
• 提交FortiGuard等級要求

　　通過演示web過濾基礎方面的能力，你將能夠描述web過濾器配置檔案、使用FortiGuard web過濾器配置檔案、 配置web過濾器覆蓋、定義自定義分類和提交FortiGuard評分請求。

網頁過濾有助於控制或跟蹤人們訪問的網站。網路管理員應用Web過濾的原因有很多，包括：

• 保持員工生產力
• 防止網路擁塞，其中有價值的頻寬用於非商業目的
• 防止機密資訊的丟失或洩露
• 減少對基於網路的威脅
• 限制僱員進入或下載不適當或攻擊性材料時的法律責任
• 防止員工下載或分發版權材料引起的著作權侵權
• 防止兒童看不適當的材料

這個例子說明了HTTP過濾過程的流程。

　　Web過濾尋找HTTP 200響應，當你成功訪問網站時返回。

　　如圖所示，在HTTP中，域名和URL是分開的。域名在標題中可能像這樣：Host：www.acme.com，URL在標題中可能像這樣：/index.php?login=true。

　　如果我們按域過濾，有時它會阻塞太多。例如，tumblr.com上的部落格被認為是不同的內容，因為所有不同的作者。在這種情況下，你可以更具體，例如，通過URL部分，tumblr.com/hacking來阻止。

現在讓我們看看Web過濾配置檔案。

　　在基於代理和基於流的檢查模式中都支援該安全配置檔案。但是，取決於你選擇的模式，可用的設定不同。基於流的檢查具有更少的可用選項。

　　在這些示例中，設定FortiGate以執行基於流的檢查。基於FortiGate的過濾根據分類和子分類劃分網站。在基於流的檢查中，FortiGate提供了另外兩個NGFW選項：

• 基於配置檔案 (預設)
  • Web過濾被定義為安全配置檔案，並應用於防火牆策略。
• 基於策略
  • URL分類在防火牆策略下直接定義

　　其他基於配置檔案的代理選項（我們將在接下來的幾張幻燈片中討論）包括：

• 搜尋引擎
• 靜態URL過濾
• 評級選項
• 代理選項

在這個示例中，設定FortiGate以執行基於代理的檢查。基於FortiGate的過濾根據分類和子分類劃分網站。其他本地選項（我們將在接下來的幾張幻燈片中討論）包括：

• 搜尋引擎
• 靜態URL過濾
• 評分選項
• 代理選項

　　一旦配置好網路過濾器配置檔案後，將該配置檔案應用於防火牆策略，以便將過濾應用於你網路流量。

 FortiGuard分類過濾不是單獨阻止或允許網站，而是檢視網站已被評分的分類。然後，FortiGate根據該分類採取行動，而不是基於URL。

　　FortiGuard分類過濾是一種需要有效合同的實況服務。合同驗證了與FortiGuard網路的連線。如果合同期滿，有七天的寬限期，在服務中斷之前，你可以續約。如果你不更新，在七天寬限期之後，FortiGuard將返回每個評分請求作為評分錯誤。

　　FortiManager可以被配置為一個本地的FortiGuard伺服器。要做到這一點，你必須將資料庫下載到FortiManager，並配置你的FortiGate，以驗證針對FortiManager的分類，而不是FortiGuard。

網站分類是由自動和人為方法確定的。FortiGuard團隊有自動的網路爬蟲，可以檢視網站的各個方面，以便得到評分。也有人檢查網站和檢視評分請求來確定分類。

　　要檢視完整的分類和子分類列表，請訪問www.fortiguard.com。

那麼，它是如何工作的呢？

　　FortiGate查詢FortiGuard分佈網路（FDN）或FortiManager（如果它被配置為充當本地FortiGuard伺服器），以確定所請求的網頁的分類。

　　當用戶訪問網站時，FortiGate使用“FortiGuard”實時服務來確定URL所屬的分類，併為該分類採取一個配置的操作，例如允許或阻塞訪問。使用這個功能，你可以執行批量URL過濾，而不需要單獨定義每個網站。

　　你可以在Web過濾或DNS過濾配置檔案（稍後我們將對此進行檢視）中啟用FortiGuard分類過濾。列出了分類和子分類，並且可以單獨定製要執行的操作。

　　可採取的行動將取決於檢查模式。

• 代理：允許, 阻斷, 監視器, 告警, 和認證
• 基於流，基於配置檔案：允許, 阻斷& 監視器
• 基於流，基於策略：防火牆策略中定義的操作

警告動作僅適用於基於代理的檢查。此動作通知使用者，所請求的網站不被網際網路策略所允許。然而，它給使用者選擇前進到所請求的網站或返回到以前的網站。

　　告警間隔是可以定製的，所以根據配置的時間，你可以在特定時間呈現此警告頁。

基於代理的檢測動作中，認證動作也是基於FortiGuard 分類的，此操作阻止所請求的網站，除非使用者輸入成功的使用者名稱和密碼。

　　允許訪問的時間間隔是可定製的。如果使用者訪問同一分類中的其他網站，直到計時器過期，則不會再次提示使用者進行身份驗證。

　　選擇此動作將提示你定義將被允許覆蓋該塊的使用者組。

外部動態阻塞列表是FortiOS v6.0中的一個新功能，它引入了從HTTP伺服器動態匯入外部阻塞列表的功能。你可以使用阻塞列表來執行組織的特殊安全需求。這可能包括長期政策，始終阻止訪問特定網站，或短期要求，阻止訪問已知的受損位置。這些黑名單是純文字格式的文字檔案，其中每行包含一個要阻塞的URL。

　　因為列表是動態匯入的，所以對列表所做的任何更改都會立即被FortiOS匯入。

　　FortiGuard Category：此資源名稱將作為“Remote Category”出現在web過濾器配置檔案和SSL檢查豁免中。

　　Firewall IP Address：此資源名將在DNS過濾器配置檔案中作為“External IP Block List”出現，在代理策略中作為“源/目的地”出現。

　　Domain Name（域名）：此資源名將作為“Remote Category(遠端類別)”出現在DNS篩選配置檔案中。

　　Refresh Rate(重新整理頻率)：使用此設定，你可以指定從外部源重新整理阻塞列表的頻率(以分鐘為單位)。

　　阻塞列表檔案的大小可以是10 MB或12.8萬行文字，以限制最大的為準。

　　注意：DNS配置檔案只支援IPv4地址，忽略IPv6地址。

動態塊阻塞列表可以新增到：

• Web過濾器配置檔案和SSL檢查豁免
• DNS篩選配置檔案和代理策略中的源/目標地址

 當使用FortiGuard分類過濾來允許或阻止訪問網站時，一個選項是web分級覆蓋，並在不同的分類中定義網站。Web分級僅用於主機名，不允許URL或萬用字元。

　　如果合約到期，而七天寬限期過去，網頁評分覆蓋將是無效的。所有網站分類評分請求將返回一個評分錯誤。

例如，如果希望進行例外，而不是取消對可能不需要的分類的訪問，只需將網站更改為允許的分類。反向也可以執行，你可以阻止屬於一個允許分類的網站。

　　請記住，更改分類不會自動導致網站的不同動作。這將取決於Web過濾配置檔案中的設定。

如果FortiGuard防範中的預定義分類不適合這種情況，則可以新增其他自定義分類。

　　你可以根據需要新增和刪除自定義分類，只要它們不在使用中即可。

 靜態URL過濾是另一種Web過濾功能。URL過濾中的配置URL針對訪問的網站進行檢查。如果找到匹配，則採取配置的操作。URL過濾與靜態域過濾具有相同的模式：簡單、萬用字元和正則表示式。

　　讓我們看看它是如何工作的。

　　當用戶訪問網站時，FortiGate檢視匹配項的URL列表。在這個例子中，網站匹配表中的第三個條目，該條目被設定為簡單分類。這種分類意味著匹配必須是精確的，沒有與該模式部分匹配的選項。此外，動作被設定為塊，因此FortiGate將顯示塊頁訊息。

在評分中總是存在錯誤的可能性，或者你根本不同意給出的評分。在這種情況下，你可以使用web門戶與FortiGuard團隊聯絡，以提交網站以獲得新的評分，或者如果網站尚未在資料庫中得到評分。

小測驗。

現在你瞭解Web過濾的基礎知識。接下來，你將瞭解到其他基於代理的Web過濾功能。

在完成這一節之後，你應該能夠：

• 配置使用配額
• 配置Web配置檔案覆蓋
• 配置Web過濾器支援搜尋引擎
• 配置Web內容過濾

　　通過展示其他基於代理的網路過濾功能的能力，你將能夠配置使用配額、網路配置檔案覆蓋、搜尋引擎過濾器和網路內容過濾。

FortiGate還包括一個功能，用於定製訪問在web過濾器配置檔案中設定為監視、警告或身份驗證的分類的時間配額。FortiGate還包括一個功能，用於定製訪問在web過濾器配置檔案中設定為監視、警告或身份驗證的分類 的時間配額。

　　可以自定義多個配額（定時器）。每個配額可以應用於單個分類或多個分類。如果配額適用於多個分類，則定時器在所有分類之間共享，而不是為每個單個分類設定單個定時器。

　　如果未啟用身份驗證操作，則FortiGate自動為每個源IP分配配額，如監視器功能所示。

　　現在，讓我們來看看配額是如何工作的。

如該幻燈片所示，FortiGuard配額限制使用者在網站上花費的時間，基於分類。

　　一旦網站載入到瀏覽器中，配額就不能重定向使用者。例如，如果使用者在他們的配額中還剩下45秒，並且他們訪問來自指定分類的網站，則所選網站很可能在剩餘的45秒結束之前完成載入。然後，使用者可以停留在該網站，並且該網站不會被阻塞，直到瀏覽器被重新整理。這種情況發生是因為與網站的連線通常不是實況流。一旦接收到資訊，連線就關閉。

　　注：配額在午夜24小時重置。

一些FortiGate功能不能提供直接反饋給使用者。例如，FortiGuard配額在使用者超過配額並重新整理瀏覽器之前不提供任何反饋，除非啟用了Fortinet欄。

　　Fortinet bar注入與FortiGate通訊的Java小程式，並從否則不會提供直接反饋的特徵中獲取額外的資訊。

　　Fortinet bar為FortiGuard配額提供了倒計時。無法阻止頁面的其他功能（例如，應用程式控制元件）將顯示頂部欄中的塊事件。

　　值得注意的是，Fortinet Bar僅支援使用HTTP（不是HTTPS）的站點。

還可以覆蓋過濾器配置檔案。Web配置檔案覆蓋更改用於檢查流量的規則。覆蓋授權指定的使用者、使用者組或預定義的源IP使用不同的web過濾器配置檔案來檢查它們的流量。

　　在這個幻燈片所示的示例中，應用到使用者Student的新概要檔案檢查從應用新概要檔案到計時器到期該使用者的所有web流量。若要使用此覆蓋，需要啟用覆蓋驗證。當啟用Web配置檔案覆蓋時，FortiGuard塊頁顯示可以選擇以啟用覆蓋的連結。

　　只有當FortiGate被設定為執行基於代理的檢查時，此功能才可用。

搜尋引擎過濾提供了兩個重要的特徵：安全搜尋和限制YouTube訪問。

• 安全搜尋是一些瀏覽器支援的選項。它將內部過濾器應用於搜尋結果。當你啟用對所支援的搜尋站點的安全搜尋時，FortiGate向URL追加程式碼以強制使用安全搜尋。例如，在谷歌搜尋中，FortiGate在搜尋中向URL新增String &safe＝active。因此，即使在瀏覽器中沒有本地啟用，FortiGate也會在請求通過時對請求進行安全搜尋。谷歌、雅虎、必應和Yandex都支援安全搜尋。
• 當檢查模式設定為基於代理時，可以在Web過濾配置檔案中設定對YouTube的嚴格或適度訪問。有關嚴格和適度訪問控制的更多資訊，請轉到support.google.com。
• 只有在使用完全SSL檢查時才支援，因為FortiGate需要訪問完整的頁首。

還可以通過阻止對包含特定單詞或模式的網站的訪問來控制Web過濾器配置檔案中的Web內容。這有助於防止訪問具有可疑材料的網站。

　　你可以新增單詞、短語、模式、萬用字元和Perl正則表示式來匹配網站上的內容。你可以在每個Web過濾器配置檔案的基礎上配置此功能，而不是在全域性級別上配置。因此，可以新增多個Web內容過濾器列表，然後為每個Web過濾器配置檔案選擇最佳列表。

　　系統管理員可以指定禁用單詞和短語，並對這些單詞和短語的重要性進行數值或評分。當Web內容過濾器掃描檢測到禁止的內容時，它會在頁面中新增被禁止的單詞和短語的分數。如果總和高於Web過濾器配置檔案中設定的閾值，則FortiGate會阻止站點。

　　列表中的Web內容模式的最大數目是5000。

　　與搜尋引擎過濾類似，網路內容過濾要求FortiGate使用深度SSL檢查，因為FortiGate將需要對分組頭部的完全訪問。

可以使用高階Web過濾設定來改進Web過濾。

　　評級選項如下：

1. 如果從FortiGuard防範Web過濾服務發生評級錯誤，使用者將對所有網站進行完全未過濾的訪問。
2. 按域和IP地址計算URL。此選項傳送所請求站點的URL和IP地址以進行檢查，從而提供額外的安全性，防止試圖繞過FortiGuard系統。
3. 阻止HTTP重定向以避免設計用於規避Web過濾的網站。
4. 通過URL播放影象。這個選項用空白替換被阻塞的影象，即使它們是允許的分類中的網站的一部分。

Web過濾的高階代理選項設定如下：

1. 阻止訪問一些谷歌帳戶和服務。可以包括異常列表。
2. FortiGate顯示自己的替換訊息，用於400系列和500系列HTTP錯誤。如果允許伺服器出錯，一些站點可以使用這些常見錯誤頁面來規避Web過濾。
3. HTTP POST是瀏覽器在傳送資訊時使用的命令，因此可以限制使用者向網站傳送資訊和檔案。允許選項防止伺服器在掃描時超時，或者當為外出業務執行其他過濾處理時。
4. 過濾cookies、Java applet和Web流量的ActiveX指令碼。

 小測驗。

  現在你可以理解額外的的Web過濾功能。接下來，你將瞭解DNS過濾。

​​  在完成這一節之後，你應該能夠應用DNS過濾。

　　通過演示DNS過濾的能力，你將能夠在FortiGate上應用DNS過濾。

​​  你還可以檢查DNS流量，但是這個選項是有限的基於代理的模式，並且呈現為新的安全配置檔案特徵。

　　它是如何工作的？

　　這個選項不是檢視HTTP協議，而是在HTTP GET請求之前對DNS請求進行過濾。這具有非常輕量級的優點，但代價是，它缺少HTTP過濾的精度。

　　每個協議都會生成DNS請求以解析主機名；因此，這種過濾將影響所有依賴於DNS的高階協議，而不僅僅是 Web流量。例如，它可以將FortiGate防範類別應用到FTP伺服器的DNS請求中。由於在檢查點可獲得的資料量，除了主機名過濾之外，很少有網路過濾功能是可能的。

​​  這個例子說明了DNS查詢過程中的過濾。

　　DNS過濾檢視nameserver響應，通常在連線到網站時發生。

　　正如前面所討論的，在HTTP中，域名和URL是分開的。域名在標題中可能像這樣：Host：www.acme.com， URL在標題中可能像這樣: /index.php?login=true。

　　當裝置發起DNS查詢時，它在初始請求中傳送FQDN資訊。DNS查詢在傳送HTTP請求之前發生。

　　當FortiGate接收來自客戶端的DNS請求時，它向FortiGuard SDNS伺服器傳送同時請求。有了FortiGuard SDNS服務，有兩種可能的結果：

1. 允許分類：傳遞原始DNS響應，連線流的其餘部分正常地繼續到HTTP 200響應。此時，可以應用其他  Web過濾器。
2. 類別被阻塞：FortiGate用FortiGuard覆蓋地址覆蓋站點的IP地址，並向客戶端呈現DNS錯誤。

　　因此，如果你正在使用DNS過濾器，並且域正在被阻塞，那麼在HTTP請求甚至被髮送之前，連線將被阻塞。

​​  下面是DNS過濾配置檔案的介紹。

　　DNS過濾包括各種配置設定。你可以啟用或禁用基於FortiGuard類別的過濾器和靜態域過濾器。你也可以選擇：

• 阻塞對已知僵屍網路命令和控制的DNS請求
• 允許從FortiGuard Web過濾服務發生評級錯誤時允許DNS請求
• 將阻塞的請求重定向到特定的門戶（建議使用FortiGuard預設設定）

　　一旦啟用並儲存了所需的設定，請記住將此配置檔案應用於防火牆策略以啟用選項。任何由策略檢查的流量都將應用這些操作。

​​  它是如何工作的?

　　FortiGate查詢FortiGuard SDNS伺服器或FortiManager，如果它被配置為本地FortiGuard伺服器來確定所請求的網站的類別。

　　當用戶訪問網站時，FortiGate使用FortiGuard SDNS服務來確定URL所屬的類別，併為該類別採取配置動作，例如允許或阻止訪問。使用此功能，你可以執行大容量URL過濾，而不必單獨定義每個網站。

　　你可以在DNS分類配置檔案上啟用FortiGuard分類過濾，正如我們在Web過濾器配置檔案中看到的那樣。列出了分類和子分類，並且可以單獨定製要執行的操作。

　　DNS過濾支援以下操作：

• 允許
• 阻塞
• 監視

​​  你可以配置DNS過濾以允許、阻止、監視或例外通過靜態域過濾器訪問網站。域列表中的條目是針對DNS請求進行檢查的。如果找到匹配，則採取配置的操作。

　　設定為Simple的模式是精確的文字匹配。設定為Wildcard的模式允許出現萬用字元和部分匹配，從而允許文字模式具有一定的靈活性。模式設定為Reg。表示式允許使用Expression。

　　通過這個功能，你可以防止許多HTTP請求被生成，因為初始查詢失敗。

​​  當從DNS過濾配置檔案中啟用阻塞DNS請求到已知的僵屍網路C&C時，將根據僵屍網路指令碼和控制資料庫檢查DNS查詢。該資料庫是從FortiGuard動態更新並存儲在FortiGate上的。

　　所有匹配的DNS查詢都被阻塞。匹配使用反向字首匹配，因此所有子域名也被阻止。

　　這個服務需要一個啟用的反病毒和網頁過濾授權。

​​  小測驗。

​​  你現在理解了DNS過濾。接下來，你將學習最佳實踐和故障排查。

​​  完成本節後，你應該能夠：

• 理解HTTP 檢測順序
• 過濾問題的Troubleshoot
• 研究 FortiGuard連線問題
• 應用Web過濾器快取最佳範例
• 監視Web過濾事件的日誌

　　通過展示最佳實踐和故障排除方面的能力，你將能夠應用各種最佳實踐和故障排除技術來避免和研究常見問題。

​​  請記住Web過濾配置檔案具有幾個功能。因此，如果你已經啟用了其中的許多，則檢查順序如下：

1. 本地靜態URL過濾
2. FortiGuard 分類過濾(去確定評級)
3. 高階過濾 (如安全搜尋或刪除ActiveX元件)

　　對於每一步，如果沒有匹配，FortiGate將繼續啟用下一個檢查。

​​  你已經配置了安全配置檔案，但它們沒有執行Web或DNS檢查。為什麼？

　　檢查是否已將安全配置檔案應用於防火牆策略。此外，確保根據需要應用SSL檢查配置檔案。

　　此外，為了使用FortiGate的DNS過濾器，必須使用FortiGuard SDNS服務來進行DNS查詢。DNS查詢請求傳送到FortiGuard SDNS服務，返回IP地址和域評級，其中包括網站的FortiGuard分類。因此，為了使該機制工作，必須通過FortiGate 訪問FortiGuard SDNS服務。

​​  基於分類的過濾需要與FortiGuard的實時連線。

　　你可以通過CLI中diagnose debug rating命令來驗證與FortiGuard伺服器的連線。此命令顯示你可以連線的FortiGuard伺服器的列表，以及以下資訊：

• 權重：基於FortiGuard與伺服器之間時區的差異（通過流量修改）返回行程時間
• RTT：回程時間
• 標誌：D(IP從DNS返回）), I(合約伺服器聯絡), T(定時), F(失敗)
• TZ：伺服器時區
• 當前丟包：連續丟失的包的當前數目（當一個包成功時，在一行中重置為0）
• 總共丟包：丟包的總數

　　該列表是可變長度取決於FortiGuard分發網路，但它顯示大約10個IPS。

​​  FortiGate可以在記憶體中維護最近的網站評分響應列表。因此，如果URL已經知道，FortiGate不會發送一個評分請求。

　　兩個埠可用於查詢伺服器（FortiGuard 或FortiManager）：埠53和埠8888。埠53是預設的，因為它也是DNS使用的埠，幾乎保證是開放的。然而，任何型別的檢查都會發現，這種流量不是DNS，並阻止服務工 作。在這種情況下，你可以切換到備用埠8888，但是這個埠不能保證在所有網路中都是開啟的，所以你需要事先檢查。

　　快取響應減少了為網站建立評分所需的時間。此外，記憶體查詢比在網際網路上執行的資料包快得多。

　　超時預設為15秒，但如果需要的話，可以設定為高達30秒。

​​  現在讓我們來看看Web過濾器日誌和報告功能。

　　此幻燈片顯示日誌訊息的示例。訪問細節包括關於FortiGuard配額和分類的資訊（如果啟用了），使用哪個web過濾器配置檔案檢查流量、URL以及關於事件的更多細節。

　　還可以通過單擊GUI頂部的下載圖示來檢視原始日誌資料。下載的檔案是一個以SysLog格式的純文字檔案。

​​  小測驗。

​​  你已經完成了這一課。現在，你將複習課文所涵蓋的目標。

​​  本次課程涵蓋以下目標：

• 描述FortiOS 檢測模式
• 實施全面的SSL檢測
• 描述Web過濾配置檔案
• 使用Web過濾分類
• 配置Web過濾覆蓋
• 配置自定義分類
• 提交FortiGuard等級要求
• 配置使用配額
• 配置Web配置檔案覆蓋
• 配置Web過濾支援搜尋引擎
• 配置Web內容過濾
• 應用DNS過濾
• 配置SSL/SSH檢查配置檔案
• 從SSL檢查例外流量
• 將SSL檢查配置檔案應用於防火牆策略
• 監視Web過濾事件的日誌

 

---