通過Fortigate看Youtube很LAG?

前言

前幾天重新規劃了家裡的網路架構,買了一台Fortigate FG-50E防火牆擋在前面。我遇到一個問題——Youtube直播在經過網頁過濾功能(Web Filter)時異常的慢。慢到什麼程度?播三秒卡轉圈,卡了十秒再播三秒,鬼才看得下去。所以我決定把Youtube流量設Policy,使之不經過任何資安過濾功能,最大的確保觀看影片時的流暢性。在設定時有幾個注意點,我想用這篇文記錄下來。

這必定會犠牲掉一點安全性,請自行評估是否值得。

新增位址物件

分別新增以下位址物件:

  • www.youtube.com
  • signaler-pa.youtube.com
  • yt3.ggpht.com
  • yt4.ggpht.com
  • *.googlevideo.com

類型為FQDN,介面any,不選Show in address list

新增位址群組,把剛新增的所有位址物件加進去,勾上Show in address list

如果你有IPv6,那麼也要新增一套IPv6位址物件 (Youtube站台支援IPv6,會優先走IPv6)

新增服務: QUIC

Chromium base瀏覧器支援QUIC協定,這用在大部份的Google相關網站上,包括Youtube
詳情請見Wiki說明
QUIC協定在效能上較佳,但防火牆無法監控它
我的情況不需要監控Client端,所以我將QUIC開放

新增服務: QUIC

目的埠號: UDP 80
                  UDP 443

新增政策

新增一條政策: Youtube

進入介面: lan
離開介面: wan
來源: all
目的: YoutubeGroup (前面建立的位址群組)
服務: HTTPS、QUIC (前面建立的服務)
檢測模式: Flow-based
資安管理設定: (全不選)

這條政策要放在lan to wan之上,讓Youtube流量匹配進去,如此來自Youtube的連線就會不做任何檢查,直接通過政策

如果你有IPv6,那麼也要新增一套IPv6位址物件 (Youtube站台支援IPv6,會優先走IPv6)

設定完成後請開幾個影片,並觀察FortiView政策是否有匹配進剛剛新增的政策

沒有留言:

張貼留言

本站遭到垃圾留言(病毒連結)攻擊,開啟審核模式。留言後並不會馬上公開顯示。

目錄