fortigate的網頁過濾（Web Filtering and DNS Filtering）他設計有多個類別跟子類別的來讓你快速的設定過濾，像是你可以設定公司不能使用消耗頻寬的類別，或是只單純細項設定到p2p這個子類別不能使用這樣。

[設定]配置功能類型

有分Flow-base跟proxy-base兩種，flow-base的效能會比較好，但是proxy-base的安全性就會比較高，也會有些進階的功能可以使用

[設定]fortiguard類別條件過濾器 (需付費授權)

這是一個fortiguard提供的網站類別的過濾功能，但是這個功能並不是內建一個資料庫在你的防火牆上面來查詢，而是即時與fortiguard連線來查詢使用，所以想也知道要去跟原廠伺服器連線的功能，都是需要購買授權的。而如果你不想要連到原廠伺服器，或是你的環境是斷外網的狀態，你可以去買fortimanager這個，但是fortimanager還是要有辦法去外網更新情資就是…

要是沒授權就會變成上面這樣，你一旦設定，就是等於全部斷網狀態，但是也不用擔心，只有類別過濾這個功能是要授權的，你可以把它關掉，網頁過濾這個分頁的其餘功能還是可以繼續使用不用授權

運作方式

當你底下的使用者上網時，防火牆就會把這個網址domain拿去問fortigauard他是屬於哪個分類的網站，之後再針對你防火牆的類別設定來決定是否放行、拒絕或是要驗證帳密才能上

過濾器選項

有允許瀏覽(Allow)、監看(Monitor)、禁止瀏覽(Block)、警告(Warning)、認證(Authenticate)幾種設定

允許跟禁止都好理解，警告就是他一樣會跳出一個fortiguard頁面然後多給你一個選項可以略過繼續這樣

認證的部分就是顧名思義，他會跳一個登入頁面給你去登入，你登入帳號密碼後就可以使用。帳號密碼需要設定在你的fortigate上面，你在你左邊選單的用戶與認證設定好。然後回來這邊選擇那些用戶群組可以認證即可

[設定]靜態URL過濾條件->URL 過濾器

他有支援一般url或是你用正規表示、萬用字元都可以，可以讓她允許(Allow)、監看(monitor)、封鎖跟豁免(exempt)。

• 允許(Allow)-就允許，但是會繼續其餘安全檢查，如web filter、 web script filters 、防毒掃描等
• 監看(monitor)-允許，並產生log，然後也會其餘安全檢查
• 豁免(exempt)-允許來自受信任的流量，並bypass後面所有安全檢查，就是一路通了拉

檢查流程

所以這邊有一個特別要注意的部分就是，靜態URL的過濾條件是先處理的，之後才開始目錄分類判斷。流程圖就如下圖這樣，你必須要一路allow過去使用者才會看到最終網頁(或是你上面URL過濾就直接給他一張豁免卡)

[設定]網頁內容關鍵字阻擋

你也可以設定網站都能去上，但是只要網頁裡面有特定關鍵字的話，就把他給擋掉!

下圖範例是設定只要有小熊維尼就擋掉不給使用者看。

不過這邊有個特別要注意的就是，你在設定你的政策規則時，要記得啟用SSL深層檢查，設定deep-inspection。不然現在網站多數都是https加密流量，你不解密看封包你就看不到有沒有小熊維尼在裡面了

相關SSL深層檢查設定可以參考[FORTIGATE]SSL /SSH深層檢查

web評級覆蓋

上面提到網站是會根據fortiguard的分類來決定是否可以放行之類的，要是有的網站(對你來說)分類錯誤了呢?或是像是我把搜尋引擎分類阻擋掉，然後卻發現yahoo新聞打開版面會跑掉(可能因為後端CSS跟搜尋引擎是同一隻)，又或是我擋掉搜尋引擎了，結果yahoo新聞可以搜尋你想要特別處理他時就可以來這邊。或是某一天可能也許某個大網站被入侵了，你今天想緊急把他擋掉，也可以從這邊下手。

• 他可以覆蓋掉原本fortiguard的分類(但是不會提交過去給他)
• 覆蓋的設定僅會套用於在這台fortifate設備
• 只能支援主機名如gooogle.com，不支援萬用字元如google.*

你在類別下面應該會看到一個叫做custom categories的自訂類別，這個就是可以給你們公司自己設定一個專屬的類別來使用，你可以在左邊選單的web評級覆蓋->找一個按鈕叫自訂類型

這邊就有預設幫你設定好兩個custom的分類，你就可以在這邊新增修改

網頁過濾LOG日誌

你可以到日誌與報表->網頁過濾那邊看你上面這些設定的log資訊，可以看到我們設定阻擋搜尋引擎後出來有哪些資料