前言
前幾天重新規劃了家裡的網路架構,買了一台Fortigate FG-50E防火牆擋在前面。我遇到一個問題——Youtube直播在經過網頁過濾功能(Web Filter)時異常的慢。慢到什麼程度?播三秒卡轉圈,卡了十秒再播三秒,鬼才看得下去。所以我決定把Youtube流量設Policy,使之不經過任何資安過濾功能,最大的確保觀看影片時的流暢性。在設定時有幾個注意點,我想用這篇文記錄下來。
這必定會犠牲掉一點安全性,請自行評估是否值得。
新增位址物件
分別新增以下位址物件:
- www.youtube.com
- signaler-pa.youtube.com
- yt3.ggpht.com
- yt4.ggpht.com
- *.googlevideo.com
類型為FQDN,介面any,不選Show in address list
新增位址群組,把剛新增的所有位址物件加進去,勾上Show in address list
如果你有IPv6,那麼也要新增一套IPv6位址物件 (Youtube站台支援IPv6,會優先走IPv6)
新增服務: QUIC
Chromium base瀏覧器支援QUIC協定,這用在大部份的Google相關網站上,包括Youtube
詳情請見Wiki說明
QUIC協定在效能上較佳,但防火牆無法監控它
我的情況不需要監控Client端,所以我將QUIC開放
新增服務: QUIC
目的埠號: UDP 80
UDP 443
新增政策
新增一條政策: Youtube
進入介面: lan
離開介面: wan
來源: all
目的: YoutubeGroup
(前面建立的位址群組)
服務: HTTPS、QUIC (前面建立的服務)
檢測模式: Flow-based
資安管理設定:
(全不選)
這條政策要放在lan to
wan之上,讓Youtube流量匹配進去,如此來自Youtube的連線就會不做任何檢查,直接通過政策
如果你有IPv6,那麼也要新增一套IPv6位址物件 (Youtube站台支援IPv6,會優先走IPv6)
設定完成後請開幾個影片,並觀察FortiView政策是否有匹配進剛剛新增的政策
沒有留言:
張貼留言
本站遭到垃圾留言(病毒連結)攻擊,開啟審核模式。留言後並不會馬上公開顯示。