问候! 欢迎来到《
Fortinet入门》的第六课。 在
上一课中,我们学习了在
FortiGate上使用NAT技术的基础知识,并在Internet上发布了我们的测试用户。 现在是时候照顾广大用户的安全了。 在本课程中,我们将考虑以下安全性配置文件:Web过滤,应用程序控制以及HTTPS检查。
为了熟悉安全配置文件,我们需要处理另外一件事-检查模式。
默认情况下,使用“基于流量”模式。 当文件通过FortiGate而没有缓冲时,它将检查文件。 程序包一到达,便立即处理并传递,而无需等待整个文件或网页的接收。 与代理模式相比,它需要更少的资源并提供更好的性能,但同时,并非所有安全功能都可用。 例如,数据泄漏防护系统(DLP)只能在代理模式下使用。
代理模式的工作方式有所不同。 它创建两个TCP连接,一个在客户端和FortiGate之间,另一个在FortiGate和服务器之间。 这允许它缓冲流量,即接收完整的文件或网页。 仅在整个文件都被缓冲后,才开始扫描文件中的各种威胁。 这使您可以应用在基于流的模式下不可用的其他功能。 正如您所看到的,该模式与基于流量的模式相反-安全在这里起着主要作用,而性能逐渐淡出后台。
他们经常问-哪种模式更好? 但是没有通用的配方。 一切总是个别的,并取决于您的需求和任务。 在课程的稍后部分,我将尝试展示“流”和“代理”模式下的安全配置文件之间的差异。 这将有助于比较功能并确定最适合您的功能。
让我们直接进入安全配置文件,并首先考虑Web过滤。 它可以帮助您监视或跟踪用户访问哪些网站。 我认为您不应该深入解释在当前现实中对这种情况的需要。 我们将更好地了解其工作原理。
建立TCP连接后,用户使用GET请求来请求特定网站的内容。
如果Web服务器做出积极响应,它将作为响应发送有关网站的信息。 这是Web过滤器的来源。 它会验证此响应的内容,在验证过程中,FortiGate会实时向FortiGuard分销网络(FDN)发送请求,以确定此网站的类别。 确定特定网站的类别之后,Web过滤器将根据设置执行特定的操作。
在“流”模式下,可以使用三个操作:
- 允许-允许访问网站
- 阻止-阻止访问网站
- 监控器-允许访问网站并将其写入日志
在代理模式下,又添加了两个操作:
- 警告-向用户发出警告,警告他正在尝试访问特定资源并给用户一个选择-继续或离开网站
- 身份验证-请求用户凭据-这允许某些组允许访问受限类别的网站。
在
FortiGuard Labs,您可以找到网络过滤器的所有类别和子类别,以及找出特定网站属于哪个类别。 通常,对于Fortinet解决方案的用户来说,这是一个非常有用的网站,我建议您在空闲时间更好地了解它。
关于应用程序控制,您几乎不能说。 该名称表明它使您可以控制应用程序的操作。 并且他借助各种应用程序的模式(即所谓的签名)来做到这一点。 基于这些签名,他可以确定特定的应用程序并对其执行特定的操作:
- 允许-允许
- 监视-启用并将其写入日志
- 阻止-禁用
- 隔离-将事件记录在日志中并在特定时间内阻止IP地址
您也可以在
FortiGuard Labs查看现有签名。
现在考虑HTTPS检查机制。 根据2018年底的统计数据,HTTPS流量的份额超过70%。 也就是说,不使用HTTPS检查,我们只能分析大约30%的网络流量。 首先,我们将粗略地考虑HTTPS的操作。
客户端向Web服务器发起TLS请求并接收TLS响应,并且还会看到该用户必须信任的数字证书。 这是我们需要了解的有关HTTPS工作的最低要求,实际上,其工作方案要复杂得多。 TLS握手成功后,将以加密形式开始数据传输。 那很好。 没有人可以访问您与Web服务器交换的数据。
但是,对于安全公司来说,这确实令人头疼,因为他们无法使用防病毒软件,入侵防御系统或DLP系统来查看该流量并检查其内容,什么也没有。 它也负面地反映了网络中使用的应用程序和Web资源的定义质量-恰恰与本课主题有关。 HTTPS检查技术旨在解决此问题。 它的本质非常简单-实际上,参与HTTPS检查的设备会在“中间人”中组织一次攻击。 看起来是这样的:FortiGate拦截用户的请求,与其建立一个HTTPS连接,并从自身发起一个与用户访问的资源的HTTPS会话。 同时,FortiGate颁发的证书将在用户计算机上可见。 必须信任它,浏览器才能允许连接。
实际上,HTTPS检查是一件相当复杂的事情,并且有很多限制,但是我们不会将其视为本课程的一部分。 我只会补充说,HTTPS检查的引入不是几分钟的事情,通常大约需要一个月。 有必要收集有关必要例外的信息,进行适当的设置,收集用户的反馈并调整设置。
该视频教程介绍了上述理论以及实际部分:
在下一课中,我们将介绍其他安全配置文件:防病毒和入侵防御系统。 为了不错过它,请随时关注以下频道的更新: