Lịch sử tìm kiếm
  1. Trang chủ
  2. Hướng dẫn
  3. Hướng dẫn Fortinet
  4. SSL Inspection trên FortiGate - Hiểu đúng trước khi bật
admin 08/01/2026

SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

Fortigate NAMHI | Giai đoạn 3 | Bài 9

🔒 SSL Inspection trên FortiGate – Hiểu đúng trước khi bật (tránh “toang” trình duyệt & lỗi app)

90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.

⏱️ 25–40 phút 🎯 Level: Trung cấp 🧰 Dành cho: IT triển khai / IT quản trị
⬅️ Bài 8: Antivirus & IPS ➡️ Đi tới Bài 10 (VPN Remote Access)

🧭 SSL Inspection là gì? Vì sao cần?

HTTPS mã hóa nội dung giữa trình duyệt và website. Nếu FortiGate không “mở” lớp mã hóa này, nhiều chính sách chỉ hoạt động ở mức “bề mặt” (domain, SNI, metadata). SSL Inspection là cơ chế giúp FortiGate xử lý traffic HTTPS theo các mức khác nhau.

⚠️ SSL Inspection không phải “bật càng mạnh càng tốt”. Bật sai có thể gây lỗi chứng chỉ, lỗi ứng dụng, hoặc vi phạm chính sách tuân thủ nội bộ nếu không được phê duyệt.

🧩 2 chế độ phổ biến: Certificate Inspection vs Deep Inspection

✅ Certificate Inspection (khuyến nghị cho giai đoạn đầu)

  • Ít gây lỗi, triển khai nhanh
  • Phù hợp SMB/Office cần ổn định
  • Nhìn được thông tin chứng chỉ/SNI, hỗ trợ nhiều policy “vừa đủ”

🔥 Deep Inspection (mạnh, nhưng phải triển khai đúng)

  • FortiGate “giải mã” và kiểm tra nội dung HTTPS sâu hơn
  • Bắt buộc triển khai certificate cho client
  • Dễ phát sinh lỗi app nếu không loại trừ đúng
💡 Cách triển khai NAMHI đề xuất: Certificate Inspection cho toàn bộ người dùng trước → ổn định → đo log → sau đó mới chọn nhóm/đối tượng cần Deep Inspection.

🎯 Kịch bản triển khai chuẩn (đỡ rủi ro nhất)

✅ Phase 1

Chỉ dùng Certificate Inspection

Giữ ổn định, đảm bảo business app chạy bình thường.

Mục tiêu: có kiểm soát cơ bản mà không gây phản ứng.
✅ Phase 2

Pilot Deep Inspection

Áp cho 1 nhóm nhỏ (IT/QA) để test trước.

Mục tiêu: phát hiện lỗi sớm, fine-tune exception.
✅ Phase 3

Rollout có kiểm soát

Mở rộng theo phòng ban, theo policy rõ ràng.

Mục tiêu: nâng bảo mật nhưng vẫn vận hành mượt.

1️⃣ Bật Certificate Inspection (cách nhanh và an toàn)

Bước 1

Chuẩn bị policy Internet

Bạn sẽ gắn SSL Inspection vào policy LAN → WAN (policy Internet) đang dùng từ Bài 5–8.

Bước 2

Chọn SSL Inspection profile

Vào Edit policy LAN → WAN → mục SSL Inspection → chọn profile kiểu Certificate Inspection.

💡 Với đa số SMB, đây là mức “đủ dùng” trong giai đoạn đầu: dễ vận hành, ít lỗi.
Bước 3

Bật log để theo dõi

  • Log Allowed Traffic: All Sessions
  • Quan sát log Web Filter / App Control / AV / IPS sau khi áp

2️⃣ Deep Inspection: Khi nào nên bật?

Deep Inspection phù hợp khi doanh nghiệp cần kiểm soát HTTPS sâu hơn (ví dụ chặn nội dung chi tiết, kiểm tra file tải xuống qua HTTPS ở mức sâu, tuân thủ…). Nhưng đây là phần đòi hỏi quy trình quản trị certificate.

⚠️ Nếu bạn bật Deep Inspection mà chưa cài certificate cho máy người dùng: trình duyệt sẽ báo lỗi chứng chỉ, một số app sẽ không chạy.

3️⃣ Triển khai certificate cho người dùng (để Deep Inspection không gây lỗi)

Bước 1

Chuẩn bị CA certificate từ FortiGate

Bạn cần export CA certificate (dạng .cer/.crt) dùng cho SSL deep inspection để cài vào Trusted Root trên máy client.

Bước 2

Chọn cách triển khai certificate

🏢 Có Domain (AD)

  • Đẩy bằng Group Policy (GPO)
  • Chuẩn nhất cho doanh nghiệp
  • Đồng bộ, kiểm soát tốt

🧩 Không Domain

  • Cài thủ công cho nhóm pilot
  • Hoặc dùng MDM/Endpoint tool nếu có
  • Phù hợp SMB nhỏ
💡 NAMHI khuyến nghị: test pilot trước (IT/QA) → sau đó rollout theo phòng ban.
Bước 3

Gắn Deep Inspection vào policy

Sau khi certificate đã được trust trên client, bạn mới gắn SSL Inspection profile kiểu Deep Inspection vào policy cần áp dụng.

⚠️ Không nên áp Deep Inspection cho toàn bộ user ngay. Hãy rollout có kiểm soát để tránh sự cố hàng loạt.

4️⃣ Best practice: Loại trừ (exempt) đúng đối tượng để tránh lỗi app

Một số dịch vụ/ứng dụng nhạy cảm với SSL inspection (đặc biệt deep inspection). Thay vì “cố bật cho tất cả”, hãy loại trừ có kiểm soát để bảo đảm vận hành.

  • 🏦 Banking / thanh toán / một số cổng ký số
  • 🧾 ERP/CRM đặc thù, ứng dụng có certificate pinning
  • 📲 Một số app mobile hoặc agent bảo mật
💡 Nguyên tắc: ưu tiên hoạt động kinh doanh. Nếu app công việc lỗi, hãy exempt đúng mục tiêu thay vì “tắt hết”.

🔍 Test sau khi bật SSL Inspection

✅ Checklist nhanh

  • Trình duyệt không báo lỗi chứng chỉ
  • Teams/Outlook/Zoom hoạt động bình thường
  • Web Filter/App Control/AV/IPS vẫn log đúng

📊 Xem log để debug

  • Log forward traffic theo policy
  • Tìm lý do block/inspect
  • Khoanh vùng theo user/group (pilot trước)
⚠️ Nếu có lỗi hàng loạt: rollback về Certificate Inspection ngay để ổn định, rồi fine-tune tiếp.

❌ Lỗi thường gặp & cách xử lý (đọc là làm được ngay)

❌ Trình duyệt báo “Your connection is not private” / lỗi chứng chỉ
  • Chưa cài CA certificate của FortiGate vào Trusted Root
  • Máy chưa nhận GPO (nếu dùng AD)
  • Đang bật Deep Inspection cho user chưa trust certificate
💡 Fix nhanh: đổi policy về Certificate Inspection → ổn định → triển khai certificate đúng → bật lại Deep.
❌ Teams/Outlook/ERP lỗi sau khi bật Deep Inspection
  • Ứng dụng có cơ chế certificate pinning
  • Cần exempt theo domain/service đúng mục tiêu
  • Test pilot trước khi rollout toàn công ty
❌ Web vẫn vào được dù policy đã bật profile
  • Chưa gắn SSL Inspection vào đúng policy (LAN → WAN)
  • Traffic đi qua policy khác
  • Chưa bật log nên không quan sát được hành vi
❌ Người dùng nói “mạng chậm” sau khi bật SSL Inspection
  • Deep Inspection nặng hơn Certificate Inspection
  • Đang bật quá nhiều profile cùng lúc trên 1 policy
  • Nên rollout theo nhóm và đo CPU/RAM khi peak

🧩 Kết luận

SSL Inspection là “con dao hai lưỡi”: giúp tăng khả năng kiểm soát HTTPS, nhưng cần quy trình certificate và rollout có kiểm soát. Làm đúng thì rất mạnh, làm sai thì dễ gây sự cố hàng loạt. Bài tiếp theo, chúng ta chuyển sang hướng “triển khai thực chiến” cho doanh nghiệp: VPN Remote Access cho nhân viên làm việc từ xa.

➡️ Bài tiếp theo

🧳 Fortigate NAMHI – Bài 10: VPN Remote Access (cho nhân viên làm việc từ xa)

Thiết lập VPN an toàn, dễ dùng cho user, kèm best practice về user, MFA, split tunnel và lỗi thường gặp.

Chưa đọc Bài 8? Xem lại: Antivirus & IPS cơ bản
Xem Bài 10
 

Bài viết liên quan

Cấu hình LAN & DHCP trên FortiGate

Cấu hình LAN & DHCP trên FortiGate

08/01/2026 admin
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm
VPN Remote Access trên FortiGate

VPN Remote Access trên FortiGate

08/01/2026 admin
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm
VPN Site-to-Site (IPsec) trên FortiGate

VPN Site-to-Site (IPsec) trên FortiGate

08/01/2026 admin
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

08/01/2026 admin
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm
Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

08/01/2026 admin
Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.
Đọc thêm
1