Lịch sử tìm kiếm
  1. Trang chủ
  2. Hướng dẫn
  3. Hướng dẫn Fortinet
  4. Application Control cơ bản trên FortiGate - Quản lý Facebook, YouTube, TikTok theo chính sách
admin 08/01/2026

Application Control cơ bản trên FortiGate - Quản lý Facebook, YouTube, TikTok theo chính sách

Fortigate NAMHI | Giai đoạn 2 | Bài 7

📱 Application Control cơ bản trên FortiGate – Quản lý Facebook, YouTube, TikTok theo chính sách

Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.

⏱️ 15–25 phút 🎯 Level: Cơ bản 🧰 Dành cho: IT triển khai / IT nội bộ
⬅️ Bài 6: Web Filter ➡️ Đi tới Bài 8 (Antivirus & IPS cơ bản)

🧭 Application Control là gì? Dùng khi nào?

Application Control giúp FortiGate nhận diện và quản lý lưu lượng theo ứng dụng (Facebook, YouTube, TikTok, Zalo, Teams, Zoom, BitTorrent…). Khác với Web Filter (theo website/domain), Application Control nhắm vào “hành vi ứng dụng” trong traffic.

🌐 Web Filter (Bài 6)

  • Chặn theo website / domain / category
  • Dễ triển khai, phù hợp policy cơ bản
  • Hiệu quả mạnh với web độc hại/nội dung

📱 Application Control (Bài 7)

  • Chặn theo ứng dụng (Social/Streaming/P2P)
  • Quản lý “ngốn băng thông”
  • Dễ làm chính sách “giờ hành chính”
💡 Thực tế triển khai: Nhiều công ty không muốn “chặn Internet”, họ muốn giới hạn đúng ứng dụng để giữ hiệu suất làm việc.

🎯 Mục tiêu policy mẫu (chuẩn doanh nghiệp nhỏ/vừa)

Bạn có thể bắt đầu bằng một profile “an toàn, ít gây phản ứng”, sau đó mới siết dần.

✅ Allow

Ứng dụng phục vụ công việc

Microsoft 365, Teams, Zoom, Google Workspace, banking, ERP/CRM.

Nguyên tắc: ưu tiên hoạt động kinh doanh.
⚠️ Monitor / Limit

Social & Streaming

Facebook, YouTube, TikTok, Instagram… (tùy chính sách theo giờ).

Gợi ý: monitor 1–2 tuần rồi mới chặn.
🚫 Block

P2P / Proxy / Risky Apps

BitTorrent, anonymizer, suspicious VPN/proxy app, mining.

Nhóm này nên block ngay từ đầu.

1️⃣ Tạo Application Control Profile

Bước 1

Vào Application Control

Vào Security Profiles → Application Control → Create New.

Bước 2

Đặt tên profile theo chuẩn quản trị

Ví dụ: APP-LAN-BASIC (để sau này mở rộng theo phòng ban/nhóm user).

Bước 3

Thiết lập rule theo nhóm ứng dụng

  • 🚫 Block: P2P, Proxy, Tor, Anonymizers
  • ⚠️ Monitor: Social Networking, Streaming Media
  • ✅ Allow: ứng dụng phục vụ công việc (để mặc định allow)
⚠️ Giai đoạn đầu nên “monitor trước, chặn sau” với Social/Streaming để tránh người dùng phản ứng mạnh.

2️⃣ (Tuỳ chọn) Áp dụng theo giờ làm việc

Nếu doanh nghiệp muốn “giờ hành chính tập trung”, bạn có thể tạo schedule để chặn Social/Streaming trong khung giờ làm việc, và mở lại ngoài giờ.

💡 Cách làm phổ biến: tạo 2 policy (giờ làm việc / ngoài giờ) và gắn schedule tương ứng. Trong bài cơ bản này, bạn có thể triển khai bước “monitor” trước để lấy số liệu.

3️⃣ Gắn Application Control vào Firewall Policy (LAN → WAN)

Bước 1

Edit policy LAN → WAN

Vào Policy & Objects → Firewall Policy → chọn policy LAN → WAN (policy Internet của bạn).

Bước 2

Bật Security Profiles và chọn Application Control

  • Security Profiles: Enable
  • Application Control: chọn APP-LAN-BASIC
  • Log Allowed Traffic: All Sessions (khuyến nghị)
⚠️ Nếu bạn có nhiều policy Internet (theo VLAN/phòng ban), hãy gắn profile đúng policy cần kiểm soát.

🔍 Test & kiểm tra log

✅ Test từ PC

  • Thử mở YouTube/Facebook (đang monitor hoặc block tuỳ policy)
  • Thử ứng dụng P2P (nếu có) để xác nhận bị chặn
  • Đảm bảo các dịch vụ công việc vẫn ổn

📊 Xem log Application Control

  • Vào Log & Report → mục Application Control (tuỳ phiên bản)
  • Kiểm tra action: allow / monitor / block
  • Đối chiếu policy ID (nếu cần)
💡 Nếu muốn “thuyết phục sếp/HR”, hãy chạy monitor 1–2 tuần để có số liệu, rồi mới chặn theo chính sách.

❌ Lỗi thường gặp & cách xử lý

❌ Không thấy ứng dụng bị nhận diện / không có log
  • Chưa gắn Application Control vào đúng policy
  • Policy chưa bật Log Allowed Traffic
  • PC không đi qua policy đó (sai VLAN/route)
❌ Chặn YouTube nhưng vẫn xem được

Một số traffic có thể thay đổi theo nền tảng/HTTPS. Với môi trường “siết chặt”, bạn cần kết hợp: Web Filter + Application Control và cân nhắc SSL Inspection (bài nâng cao).

❌ Bị ảnh hưởng ứng dụng công việc (Teams/Zoom)
  • Rà lại rule theo category/technology (đừng block quá rộng)
  • Ưu tiên allow ứng dụng công việc
  • Triển khai “monitor trước” để tránh chặn nhầm
❌ Người dùng phản ứng vì bị chặn
  • Gợi ý: chuyển sang policy theo giờ làm việc (schedule)
  • Thông báo nội bộ trước khi áp chính sách
  • Cho phép ngoại lệ theo nhóm (IT/Marketing) nếu cần

🧩 Kết luận

Application Control giúp doanh nghiệp kiểm soát ứng dụng thay vì chỉ chặn website. Đây là nền tảng để triển khai quản trị theo giờ, theo phòng ban và theo nhóm người dùng. Bài tiếp theo sẽ đi vào lớp bảo mật quan trọng nhất: Antivirus & IPS (bật sao cho an toàn mà không làm chậm mạng).

➡️ Bài tiếp theo

🛡️ Fortigate NAMHI – Bài 8: Antivirus & IPS cơ bản (bật đúng, không làm chậm mạng)

Chọn chế độ phù hợp SMB, gắn vào policy đúng cách và hiểu các lỗi thường gặp khi bật IPS/AV.

Chưa đọc Bài 6? Xem lại: Web Filter cơ bản
Xem Bài 8
Gợi ý: thay dấu # bằng link thật của bài 6 và bài 8 trên website để series tự liên kết.

Bài viết liên quan

Cấu hình LAN & DHCP trên FortiGate

Cấu hình LAN & DHCP trên FortiGate

08/01/2026 admin
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm
SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

08/01/2026 admin
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm
VPN Remote Access trên FortiGate

VPN Remote Access trên FortiGate

08/01/2026 admin
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm
VPN Site-to-Site (IPsec) trên FortiGate

VPN Site-to-Site (IPsec) trên FortiGate

08/01/2026 admin
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

08/01/2026 admin
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm
Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

08/01/2026 admin
Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.
Đọc thêm
1