Groete! Welkom by die sesde les van die kursus . Op ons het die basiese beginsels van werk met NAT-tegnologie bemeester , en het ook ons toetsgebruiker op die internet vrygestel. Nou is dit tyd om na die gebruiker se veiligheid in sy oop ruimtes om te sien. In hierdie tutoriaal sal ons die volgende sekuriteitsprofiele dek: Webfiltrering, Toepassingsbeheer en HTTPS-inspeksie.
Om met sekuriteitsprofiele te begin, moet ons nog een ding verstaan - inspeksiemodusse.
Die verstek is Flow-gebaseerde modus. Dit kontroleer lêers terwyl hulle deur FortiGate gaan sonder om te buffer. Sodra 'n pakkie aankom, word dit verwerk en deurgegee sonder om te wag vir die hele lêer of webblad om te arriveer. Dit vereis minder hulpbronne en bied beter werkverrigting as Proxy-modus, maar terselfdertyd is nie alle sekuriteitsfunksies daarin beskikbaar nie. Byvoorbeeld, Data Leak Prevention (DLP) kan slegs in Proxy-modus gebruik word.
Proxy-modus werk anders. Dit skep twee TCP-verbindings, een tussen die kliënt en FortiGate'om, die tweede tussen FortiGate'om en die bediener. Dit laat dit toe om verkeer te buffer, dit wil sê om 'n volledige lêer of webblad te ontvang. Die skandering van lêers vir verskeie bedreigings begin eers nadat die hele lêer gebuffer is. Dit laat jou toe om bykomende kenmerke te gebruik wat nie beskikbaar is in Flow-gebaseerde modus nie. Soos u kan sien, blyk hierdie modus die teenoorgestelde van Flow Based te wees - veiligheid speel hier 'n groot rol, en prestasie vervaag op die agtergrond.
Ons word gereeld gevra, watter een is beter? Maar hier is geen algemene resep nie. Alles is altyd individueel en hang af van jou behoeftes en take. Ek sal later in die kursus probeer om die verskille tussen sekuriteitsprofiele in Flow- en Proxy-modusse te wys. Dit sal jou help om kenmerke te vergelyk en te besluit wat die beste vir jou is.
Kom ons gaan direk na die sekuriteitsprofiele en kyk eers na Webfiltrering. Dit help om te beheer of tred te hou met watter webwerwe gebruikers besoek. Ek dink dit is nie die moeite werd om diep in te gaan om die behoefte aan so 'n profiel in die huidige realiteite te verduidelik nie. Kom ons verstaan beter hoe dit werk.
Nadat 'n TCP-verbinding tot stand gebring is, versoek die gebruiker die inhoud van 'n spesifieke webwerf deur 'n GET-versoek te gebruik.
As die webbediener positief reageer, stuur dit die webwerf-inligting in reaksie. Dit is waar die webfilter ter sprake kom. Dit kontroleer die inhoud van die gegewe antwoord Tydens die kontrole stuur FortiGate 'n intydse navraag na die FortiGuard Distribution Network (FDN) om die kategorie van die gegewe webwerf te bepaal. Nadat die kategorie van 'n spesifieke webwerf bepaal is, voer die webfilter, afhangend van die instellings, 'n spesifieke aksie uit.
Drie aksies is beskikbaar in vloeimodus:
- Laat toe - laat toegang tot die webwerf toe
- Blokkeer - blokkeer toegang tot die webwerf
- Monitor – laat toegang tot die webwerf toe en teken dit aan
Nog twee aksies word bygevoeg in Proxy-modus:
- Waarskuwing - gee die gebruiker 'n waarskuwing dat hy 'n sekere hulpbron probeer besoek en gee die gebruiker 'n keuse - gaan voort of verlaat die webwerf
- Bevestig – vra vir gebruikersbewyse – dit laat jou toe om sekere groepe toegang tot beperkte kategorieë webwerwe toe te laat.
Die webwerf jy kan al die kategorieë en subkategorieë van die webfilter sien, asook uitvind tot watter kategorie 'n spesifieke webwerf behoort. En oor die algemeen, vir gebruikers van Fortinet-oplossings, is dit 'n redelik nuttige webwerf, ek raai u aan om dit beter te leer ken in u vrye tyd.
Baie min kan oor toepassingsbeheer gesê word. Soos die naam aandui, laat dit jou toe om die werking van toepassings te beheer. En hy doen dit met behulp van patrone van verskeie toepassings, die sogenaamde handtekeninge. Op grond van hierdie handtekeninge kan dit 'n spesifieke toepassing bepaal en 'n spesifieke aksie daarop toepas:
- Laat toe - laat toe
- Monitor - laat dit toe en teken dit aan
- Blok - verbied
- Kwarantyn - skryf 'n gebeurtenis na die logs en blokkeer die IP-adres vir 'n sekere tyd
U kan ook bestaande handtekeninge op die webwerf sien .
Kom ons kyk nou na die HTTPS-inspeksiemeganisme. Volgens statistieke vir die einde van 2018 het die aandeel van HTTPS-verkeer 70% oorskry. Dit wil sê, sonder om HTTPS-inspeksie te gebruik, sal ons slegs ongeveer 30% van die verkeer wat deur die netwerk vloei, kan ontleed. Kom ons kyk eers na hoe HTTPS werk in 'n rowwe benadering.
Die kliënt inisieer 'n TLS-versoek na die webbediener en ontvang 'n TLS-antwoord, en sien ook 'n digitale sertifikaat wat vir hierdie gebruiker vertrou moet word. Dit is die nodige minimum wat ons moet weet oor die werk van HTTPS, in werklikheid is die skema van sy werk baie meer ingewikkeld. Na 'n suksesvolle TLS-handdruk begin geënkripteerde data-oordrag. En dit is goed. Niemand het toegang tot die data wat jy met die webbediener uitruil nie.
Vir sekuriteitsmaatskappye is dit egter 'n groot kopseer, want hulle kan hierdie verkeer nie sien en die inhoud daarvan nagaan met nóg antivirus, nóg inbraakvoorkomingstelsel, nóg DLP-stelsels, niks. Dit beïnvloed ook die kwaliteit van die definisie van toepassings en webhulpbronne wat binne die netwerk gebruik word negatief – net wat relevant is vir ons onderwerp van die les. Die HTTPS-inspeksietegnologie is ontwerp om hierdie probleem op te los. Die essensie daarvan is baie eenvoudig - trouens, die toestel wat betrokke is by HTTPS-inspeksie organiseer 'n Man In The Middle-aanval. Dit lyk so iets: FortiGate onderskep die gebruiker se versoek, organiseer 'n HTTPS-verbinding daarmee, en skep op sy eie 'n HTTPS-sessie met die hulpbron waartoe die gebruiker toegang het. Terselfdertyd sal die sertifikaat wat deur FortiGate uitgereik is op die gebruiker se rekenaar sigbaar wees. Dit moet vertrou word vir die blaaier om die verbinding toe te laat.
Trouens, HTTPS-inspeksie is 'n taamlik ingewikkelde ding en het baie beperkings, maar ons sal dit nie binne die raamwerk van hierdie kursus oorweeg nie. Ek sal net byvoeg dat die implementering van HTTPS-inspeksie nie 'n kwessie van minute is nie, dit neem gewoonlik ongeveer 'n maand. Dit is nodig om inligting oor die nodige uitsonderings in te samel, die toepaslike instellings te maak, terugvoer van gebruikers in te samel en die instellings aan te pas.
Bogenoemde teorie, sowel as die praktiese deel, word in hierdie videoles aangebied:
In die volgende les sal ons na ander sekuriteitsprofiele kyk: antivirus en voorkoming van inbraak. Om dit nie te mis nie, bly ingeskakel vir opdaterings oor die volgende kanale:
Bron: will.com