SSL 檢查和應用程式管控是因應現在多數流量都開始走https流量，這時候防火牆就沒辦法知道流量內容，所以除非啟用了完整的SSL檢查，否則病毒透過加密流量依樣可以進到你的內部網路來

所以你可以在你的fortigate的資安管理設定(Security Profiles)->SSL/SSH深層檢查(SSL/SSH Insprection)

這邊可以來編輯既有預設的幾個範例，也可以新增自己的範例，名稱寫SSL/SSH是代表除了網頁https的SSL加密可以檢查之外，其他的像是SSH這種加密也是可以檢查的，不過fortigate需要私鑰來解密跟檢查SSL流量，所以他會置換掉你的CA憑證

[功能]啟用SSL掃描

• 多用戶端連線到多伺服器-就是你防火牆底下很多用戶會連到外部眾多的網站
• 保護SSL伺服器-通常是給你內部有網站，要給外面的人連進來

[功能]檢查方法

• SSL憑證檢查-只檢查連線的憑證有沒有問題、格式錯誤、或是正確、撤銷等等
• 完整SSL檢查-就是要檢查應用層連線的內容

[功能]CA憑證

預設會給一個fortinet自己簽的憑證，會建議更換自己重新簽過的憑證使用

[功能]不受信任的SSL憑證

• 允許-遇到伺服器憑證可能是自己簽的，不受信任時，fortigate也會向下面的瀏覽器發送一個不受信任憑證下去，而不會用上面我們核可的CA憑證，通常我們會選她
• 封鎖-就封鎖，但是怕真的遇到有些網站是憑證自己簽的被擋掉，你的使用者就會來煩你了
• 忽略-即使伺服器憑證不受信任，仍然向瀏覽器發送受信任的憑證(就是上面那張你自己重新簽的)，等於瀏覽器永遠都會收到正確的這張就是

預設SSL範本

系統上預設就先設定好以下四種SSL範本了，你可以直接拿來用

• certificate-inspection-只檢查憑證是否正確而已
• custom-deep-inspection-給你客製化的範本
• deep-inspection-會做憑證檢查、解密動作
• no-inspection-完全不做檢查

架設網站給外面的人連進來

當你環境有需要架設網站給外面訪客連進來你伺服器時，這時候你啟用SSL掃描這個就要改成選保護SSL伺服器，讓外面的人連進來的流量跟攻擊也可以識別。

設定方法如下，要注意的是server憑證這一個就最好不要自己簽了，要用外面的，憑證要怎設定跟新增可以參考[fortigate]新增上傳憑證 for web server用

環境說明:fortigate 60E

Forti OS:V7.2.2 build1255

延伸閱讀:[fortigate]SSL deep inspection在google沒作用