16 stycznia, 2026

Odblokowanie aplikacji na zaporze FortiGate – przewodnik krok po kroku

Dominik Bojda

W środowiskach firmowych oraz edukacyjnych zapora sieciowa odpowiada za kontrolę dostępu do aplikacji internetowych. Jednym z najczęściej wykorzystywanych narzędzi komunikacyjnych jest Microsoft Teams, który do poprawnego działania wymaga odpowiedniej konfiguracji reguł zapory oraz profili bezpieczeństwa. Artykuł przedstawia praktyczny sposób odblokowania aplikacji na urządzeniu FortiGate - na przykładzie Microsoft Teams - z uwzględnieniem połączeń audio i wideo.

Dominik Bojda
Inżynier VIDA | Szkoleniowec Fortinet

Logowanie do FortiGate

W środowiskach firmowych oraz edukacyjnych zapora sieciowa odpowiada za kontrolę dostępu do aplikacji internetowych. Jednym z najczęściej wykorzystywanych narzędzi komunikacyjnych jest Microsoft Teams, który do poprawnego działania wymaga odpowiedniej konfiguracji reguł zapory oraz profili bezpieczeństwa.
Artykuł przedstawia praktyczny sposób odblokowania aplikacji na urządzeniu FortiGate – na przykładzie Microsoft Teams – z uwzględnieniem połączeń audio i wideo.

Wybór odpowiedniej reguły zapory

Po zalogowaniu należy przejść do sekcji Policy & Objects → Firewall Policy, gdzie znajduje się lista reguł zapory. Należy wybrać politykę odpowiedzialną za ruch z sieci lokalnej (LAN) do Internetu (WAN), czyli regułę obsługującą komunikację żądanego hosta z siecią zewnętrzną. W zależności od potrzeb może to być zarówno standardowa reguła dostępu do Internetu, jak i bardziej szczegółowa polityka klienta.

Ten temat oraz wiele innych omawiamy w praktyce na naszych autorskich szkoleniach Fortinet.

Szkolimy zdalnie i stacjonarnie.
Indywidualnie oraz całe działy IT.

Szkolenie nie po to, żeby wiedzieć więcej. Po to, żeby popełniać mniej błędów.

Zgłoś się do nas

W wielu przypadkach wystarczające jest zastosowanie blokowania bezpośrednio w polityce firewallowej, np. z wykorzystaniem obiektów ISDB, co stanowi prostsze rozwiązanie i niesie za sobą mniej konsekwencji konfiguracyjnych. Bardziej zaawansowane mechanizmy bezpieczeństwa mogą być traktowane jako alternatywa w sytuacjach wymagających rozszerzonej kontroli ochrony.

Application Control - Microsoft Teams

Alternatywnym podejściem jest wykorzystanie modułu Application Control i utworzenie dedykowanego profilu (np. ALLOW_MS_TEAMS).

Opcjonalnie można zezwolić całe kategorie aplikacji, takie jak:

Collaboration

VoIP

Cloud/IT

Web Client

Nie jest to jednak konieczne, jeśli tworzony jest precyzyjny wyjątek dla Microsoft Teams.

W bazie sygnatur FortiGate aplikacja Microsoft Teams jest dostępna jako osobna aplikacja. Pozwala to na precyzyjne zarządzanie ruchem generowanym przez Microsoft Teams, w tym połączeniami audio i wideo.
W ramach konfiguracji Application Control dodano aplikację Microsoft Teams wraz z jej komponentami, takimi jak:

Microsoft.Teams

Microsoft.Teams.Audio

Microsoft.Teams.Video

Microsoft.Teams.Post

Microsoft.Tenant.Namespace

Dla wszystkich powyższych sygnatur ustawiono akcję Allow, co umożliwia poprawne i stabilne działanie aplikacji Microsoft Teams w sieci.

Warto zaznaczyć, że w zależności od wersji FortiOS oraz bazy sygnatur aplikacji, ruch Microsoft Teams może być również częściowo klasyfikowany jako inne usługi Microsoft, takie jak Microsoft 365 lub Microsoft Azure. W analizowanej konfiguracji FortiGate poprawnie identyfikuje ruch Teams jako dedykowaną aplikację, dzięki czemu nie było konieczne zezwalanie dodatkowych sygnatur.

Web Filter

W kolejnym kroku w regule zapory włączono profil Web Filter „default”. Profil ten nie blokuje kategorii związanych z komunikacją i spotkaniami online, takich jak Online Meeting oraz usługi Microsoft 365.
Zastosowanie domyślnego profilu Web Filter zapewnia, że ruch sieciowy wymagany przez Microsoft Teams nie jest filtrowany ani blokowany, co jest kluczowe dla poprawnego działania aplikacji.

SSL Inspection

Mechanizm SSL Inspection jest wymagany w scenariuszach, w których FortiGate ma identyfikować ruch Microsoft Teams na potrzeby Application Control. Bez niego zapora widzi połączenia jedynie jako ogólny HTTPS (port 443).
Rekomendowanym trybem jest Certificate Inspection, który:
-pozwala na weryfikację certyfikatów,
-nie odszyfrowuje treści połączenia,
-nie ingeruje w mechanizmy bezpieczeństwa Microsoft Teams.

Tryb DeepInspection również może być stosowany i sam w sobie nie powoduje problemów. Trudności pojawiają się najczęściej wtedy, gdy certyfikat FortiGate nie został zaimportowany jako zaufany na stacjach roboczych lub inspekcja SSL została błędnie skonfigurowana. Przy poprawnym wdrożeniu Deep Inspection Microsoft Teams może działać prawidłowo, jednak Certificate Inspection jest rozwiązaniem prostszym operacyjnie. Mechanizm SSL Inspection jest wymagany w scenariuszach, w których FortiGate ma identyfikować ruch Microsoft Teams na potrzeby Application Control. Bez niego zapora widzi połączenia jedynie jako ogólny HTTPS (port 443). Rekomendowanym trybem jest Certificate Inspection, który: -pozwala na weryfikację certyfikatów, -nie odszyfrowuje treści połączenia, -nie ingeruje w mechanizmy bezpieczeństwa Microsoft Teams.

Test działania

Po zapisaniu konfiguracji należy przetestować działanie Microsoft Teams. W tym celu uruchamia się aplikację i sprawdza poprawność logowania, działania czatu oraz połączeń audio i wideo. W przypadku problemów pomocne mogą być logi dostępne w sekcji Log & Report, które pozwalają zidentyfikować ewentualne blokady.

Podsumowanie

Odblokowanie Microsoft Teams na zaporze FortiGate można zrealizować na dwa sposoby:
Najprostszy – użycie obiektu ISDB w polityce firewall.
Bardziej szczegółowy – konfiguracja Application Control, w której należy:
-zezwolić na sygnatury aplikacji Microsoft Teams,
–opcjonalnie zastosować profil Web Filter „default”,
-zastosować SSL Inspection w trybie Certificate Inspection,
-przetestować działanie po wdrożeniu zmian.