Mga pangomosta! Welcome sa ikapitong leksyon sa kurso . Sa nahibal-an namon ang mga profile sa seguridad sama sa Pagsala sa Web, Pagkontrol sa Application ug pag-inspeksyon sa HTTPS. Niini nga leksyon atong ipadayon ang atong pagpaila sa mga profile sa seguridad. Una, mahibal-an namon ang mga teoretikal nga aspeto sa pag-opera sa usa ka antivirus ug sistema sa pagpugong sa intrusion, ug unya tan-awon naton kung giunsa kini nga mga profile sa seguridad nagtrabaho sa praktis.
Magsugod ta sa antivirus. Una, atong hisgutan ang mga teknolohiya nga gigamit sa FortiGate sa pag-ila sa mga virus:
Ang pag-scan sa antivirus mao ang labing kadali ug labing paspas nga paagi sa pag-ila sa mga virus. Kini nakamatikod sa mga virus nga hingpit nga motakdo sa mga pirma nga anaa sa anti-virus database.
Grayware Scan o dili gusto nga pag-scan sa programa - kini nga teknolohiya nakamatikod sa dili gusto nga mga programa nga gi-install nga wala ang kahibalo o pagtugot sa tiggamit. Sa teknikal, kini nga mga programa dili mga virus. Kasagaran sila moabut uban ang ubang mga programa, apan kung gi-install kini negatibo nga makaapekto sa sistema, mao nga giklasipikar sila ingon malware. Kasagaran ang ingon nga mga programa mahimong makit-an gamit ang yano nga mga pirma sa grayware gikan sa base sa panukiduki sa FortiGuard.
Heuristic scanning - kini nga teknolohiya gibase sa mga kalagmitan, mao nga ang paggamit niini mahimong hinungdan sa sayop nga positibo nga mga epekto, apan kini usab makamatikod sa zero adlaw nga mga virus. Ang mga zero day virus kay bag-ong mga virus nga wala pa matun-an, ug walay mga pirma nga makamatikod niini. Ang heuristic scanning dili mahimo pinaagi sa default ug kinahanglan nga magamit sa linya sa mando.
Kung ang tanan nga mga kapabilidad sa antivirus gipagana, ang FortiGate magamit kini sa mosunod nga han-ay: antivirus scanning, grayware scanning, heuristic scanning.
Ang FortiGate makagamit ug daghang anti-virus database, depende sa mga buluhaton:
- Normal nga database sa antivirus (Normal) - naa sa tanan nga mga modelo sa FortiGate. Naglakip kini sa mga pirma alang sa mga virus nga nadiskobrehan sa bag-ohay nga mga bulan. Kini ang pinakagamay nga database sa antivirus, mao nga kini ang labing paspas nga pag-scan kung gigamit. Bisan pa, kini nga database dili makamatikod sa tanan nga nahibal-an nga mga virus.
- Extended - kini nga base gisuportahan sa kadaghanan sa mga modelo sa FortiGate. Mahimo kini gamiton aron mahibal-an ang mga virus nga dili na aktibo. Daghang mga platform ang huyang gihapon sa kini nga mga virus. Usab, kini nga mga virus mahimong hinungdan sa mga problema sa umaabot.
- Ug ang katapusan, grabe nga base (Extreme) - gigamit sa mga imprastraktura diin gikinahanglan ang taas nga lebel sa seguridad. Uban sa tabang niini, mahimo nimong mahibal-an ang tanan nga nahibal-an nga mga virus, lakip ang mga virus nga gitumong sa karaan nga mga operating system, nga dili kaylap nga giapod-apod sa pagkakaron. Kini nga matang sa signature database dili usab suportado sa tanang FortiGate nga mga modelo.
Adunay usab usa ka compact signature database nga gidisenyo alang sa dali nga pag-scan. Atong hisgotan kini sa ulahi.
Mahimo nimong i-update ang mga database sa anti-virus gamit ang lainlaing mga pamaagi.
Ang una nga pamaagi mao ang Push Update, nga nagtugot sa mga database nga ma-update sa diha nga ang FortiGuard research database magpagawas ug update. Mapuslanon kini alang sa mga imprastraktura nga nanginahanglan taas nga lebel sa seguridad, tungod kay ang FortiGate makadawat mga dinalian nga pag-update sa diha nga kini magamit.
Ang ikaduhang paagi mao ang pagtakda og eskedyul. Niining paagiha masusi nimo ang mga update matag oras, adlaw o semana. Sa ato pa, dinhi ang gidugayon sa oras gitakda sa imong pagbuot.
Kini nga mga pamaagi mahimong gamiton nga magkauban.
Apan kinahanglan nimong hinumdoman nga aron mahimo ang mga pag-update, kinahanglan nimo nga palihokon ang profile sa antivirus alang sa labing menos usa ka palisiya sa firewall. Kung dili, ang mga pag-update dili himuon.
Mahimo usab nimo i-download ang mga update gikan sa site sa suporta sa Fortinet ug dayon i-upload kini sa kamut sa FortiGate.
Atong tan-awon ang mga mode sa pag-scan. Adunay tulo ra niini - Full Mode sa Flow Based mode, Quick Mode sa Flow Based mode, ug Full Mode sa proxy mode. Magsugod ta sa Full Mode sa Flow mode.
Ingnon ta nga ang usa ka tiggamit gusto nga mag-download sa usa ka file. Nagpadala siya usa ka hangyo. Ang server nagsugod sa pagpadala kaniya og mga pakete nga naglangkob sa file. Gidawat dayon sa tiggamit kini nga mga pakete. Apan sa wala pa ihatud kini nga mga pakete sa tiggamit, gitago kini sa FortiGate. Human madawat sa FortiGate ang katapusang pakete, magsugod kini sa pag-scan sa file. Niini nga panahon, ang katapusan nga pakete gipila ug wala ipadala sa tiggamit. Kung ang file walay mga virus, ang pinakabag-o nga pakete ipadala sa user. Kung adunay nakit-an nga virus, giguba sa FortiGate ang koneksyon sa tiggamit.
Ang ikaduhang scanning mode nga anaa sa Flow Based mao ang Quick Mode. Gigamit niini ang usa ka compact signature database, nga adunay gamay nga pirma kaysa usa ka regular nga database. Adunay usab kini pipila nga mga limitasyon kung itandi sa Full Mode:
- Dili kini makapadala og mga file sa sandbox
- Dili kini makagamit sa heuristic analysis
- Usab dili kini makagamit sa mga pakete nga may kalabutan sa mobile malware
- Ang ubang mga modelo sa lebel sa pagsulod wala mosuporta niini nga mode.
Ang Quick mode usab nagsusi sa trapiko alang sa mga virus, worm, trojan ug malware, apan walay buffering. Naghatag kini og mas maayo nga performance, apan sa samang higayon ang kalagmitan sa pag-ila sa usa ka virus mikunhod.
Sa Proxy mode, ang magamit ra nga mode sa pag-scan mao ang Full Mode. Sa ingon nga pag-scan, una nga gitipigan sa FortiGate ang tibuuk nga file sa iyang kaugalingon (gawas kung, siyempre, ang gitugotan nga gidak-on sa file alang sa pag-scan milapas). Kinahanglang maghulat ang kliyente nga makompleto ang pag-scan. Kung adunay makit-an nga virus sa panahon sa pag-scan, ang tiggamit mapahibalo dayon. Tungod kay una nga gitipigan sa FortiGate ang tibuuk nga file ug gi-scan kini, mahimoβg magdugay kini. Tungod niini, posible nga tapuson sa kliyente ang koneksyon sa dili pa madawat ang file tungod sa taas nga paglangan.
Ang numero sa ubos nagpakita sa usa ka lamesa sa pagtandi alang sa mga mode sa pag-scan - kini makatabang kanimo sa pagtino kung unsang klase sa pag-scan ang angay alang sa imong mga buluhaton. Ang pag-set up ug pagsusi sa pag-andar sa antivirus gihisgutan sa praktis sa video sa katapusan sa artikulo.
Mopadayon kita sa ikaduhang bahin sa leksyon - ang sistema sa pagpugong sa pagsulod. Apan aron makasugod sa pagtuon sa IPS, kinahanglan nimong masabtan ang kalainan tali sa mga pagpahimulos ug mga anomaliya, ug sabton usab kung unsang mga mekanismo ang gigamit sa FortiGate aron mapanalipdan batok kanila.
Ang mga pagpahimulos mao ang nahibal-an nga mga pag-atake nga adunay piho nga mga sumbanan nga mahimong makit-an gamit ang IPS, WAF, o mga pirma sa antivirus.
Ang mga anomaliya kay dili kasagaran nga kinaiya sa usa ka network, sama sa usa ka talagsaon nga dako nga gidaghanon sa trapiko o mas taas kay sa normal nga konsumo sa CPU. Ang mga anomaliya kinahanglan nga bantayan tungod kay kini mahimong mga timailhan sa usa ka bag-o, wala pa masusi nga pag-atake. Ang mga anomaliya kasagarang makit-an gamit ang pagtuki sa pamatasan - gitawag nga mga pirma nga gibase sa rate ug mga palisiya sa DoS.
Ingon usa ka sangputanan, ang IPS sa FortiGate naggamit mga base sa pirma aron mahibal-an ang nahibal-an nga mga pag-atake, ug ang mga pirma sa Rate-Based ug mga palisiya sa DoS aron mahibal-an ang lainlaing mga anomaliya.
Sa kasagaran, usa ka inisyal nga hugpong sa mga pirma sa IPS gilakip sa matag bersyon sa FortiGate operating system. Uban sa mga update, FortiGate nakadawat bag-ong mga pirma. Niining paagiha, ang IPS nagpabiling epektibo batok sa bag-ong mga pagpahimulos. Kanunay nga gi-update sa FortiGuard ang mga pirma sa IPS.
Usa ka importante nga punto nga magamit sa IPS ug antivirus mao nga kung ang imong mga lisensya na-expire na, mahimo gihapon nimo gamiton ang pinakabag-o nga mga pirma nga nadawat. Apan dili ka makakuha og mga bag-o nga walay lisensya. Busa, ang pagkawala sa mga lisensya labi ka dili gusto - kung adunay mga bag-ong pag-atake, dili nimo mapanalipdan ang imong kaugalingon sa mga daan nga pirma.
Ang mga database sa pirma sa IPS gibahin sa regular ug gipalugway. Ang usa ka tipikal nga database adunay mga pirma alang sa kasagarang mga pag-atake nga panagsa ra o dili hinungdan sa mga sayup nga positibo. Ang preconfigured nga aksyon alang sa kadaghanan niini nga mga pirma kay block.
Ang gipalapdan nga database adunay dugang nga mga pirma sa pag-atake nga adunay hinungdanon nga epekto sa pasundayag sa sistema, o nga dili mapugngan tungod sa ilang espesyal nga kinaiya. Tungod sa kadako sa kini nga database, wala kini magamit sa mga modelo sa FortiGate nga adunay gamay nga disk o RAM. Apan alang sa labi ka luwas nga mga palibot, kinahanglan nimo nga mogamit usa ka taas nga base.
Ang pag-set up ug pagsusi sa pagpaandar sa IPS gihisgutan usab sa video sa ubos.
Sa sunod nga leksyon atong tan-awon ang pagtrabaho kauban ang mga tiggamit. Aron dili masipyat niini, sunda ang mga update sa mosunod nga mga channel:
Source: www.habr.com