Mga pangomosta! Welcome sa ikaunom nga leksyon sa kurso . Sa nahanas na namo ang mga sukaranan sa pagtrabaho sa teknolohiya sa NAT sa , ug gipagawas usab ang among pagsulay nga tiggamit sa Internet. Karon na ang panahon sa pag-atiman sa kaluwasan sa tiggamit sa iyang bukas nga mga luna. Sa kini nga panudlo, tabonan namon ang mga musunod nga profile sa seguridad: Pagsala sa Web, Pagkontrol sa Application, ug Pag-inspeksyon sa HTTPS.
Aron makasugod sa mga profile sa seguridad, kinahanglan natong masabtan ang usa pa ka butang - mga paagi sa pag-inspeksyon.
Ang default mao ang Flow Based mode. Gisusi niini ang mga file samtang sila moagi sa FortiGate nga walay buffering. Kung moabut ang usa ka pakete, kini giproseso ug gipasa nga wala maghulat nga moabut ang tibuuk nga file o web page. Nagkinahanglan kini og gamay nga mga kapanguhaan ug naghatag og mas maayo nga performance kay sa Proxy mode, apan sa samang higayon, dili tanan nga Security functionality anaa niini. Pananglitan, ang Data Leak Prevention (DLP) magamit ra sa Proxy mode.
Lahi ang paglihok sa proxy mode. Naghimo kini og duha ka koneksyon sa TCP, usa tali sa kliyente ug FortiGate'om, ang ikaduha tali sa FortiGate'om ug sa server. Gitugotan kini nga mag-buffer sa trapiko, ie makadawat usa ka kompleto nga file o panid sa web. Ang pag-scan sa mga file alang sa lain-laing mga hulga magsugod lamang human ang tibuok file ma-buffer. Kini nagtugot kanimo sa paggamit sa dugang nga mga bahin nga wala magamit sa Flow based mode. Sama sa imong makita, kini nga mode daw sukwahi sa Flow Based - ang kaluwasan adunay dakong papel dinhi, ug ang pasundayag mawala sa background.
Kanunay kitang pangutan-on, hain ang mas maayo? Apan walay kinatibuk-ang resipe dinhi. Ang tanan kanunay nga indibidwal ug nagdepende sa imong mga panginahanglan ug buluhaton. Akong sulayan nga ipakita ang mga kalainan tali sa mga profile sa seguridad sa Flow ug Proxy mode sa ulahi sa kurso. Makatabang kini kanimo sa pagtandi sa mga bahin ug pagdesisyon kung unsa ang labing maayo alang kanimo.
Direkta ta sa mga profile sa seguridad ug tan-awon una ang Pagsala sa Web. Makatabang kini nga makontrol o masubay kung unsang mga web site ang gibisita sa mga tiggamit. Sa akong hunahuna dili kini angay nga ipasabut ang panginahanglan alang sa ingon nga profile sa karon nga mga kamatuoran. Atong mas masabtan kon sa unsang paagi kini molihok.
Human maestablisar ang koneksyon sa TCP, ang user mangayo sa sulod sa usa ka partikular nga web site gamit ang GET request.
Kung ang web server motubag nga positibo, kini nagpadala sa impormasyon sa website isip tubag. Dinhi diin ang web filter moabut sa pagdula. Gisusi niini ang sulod sa gihatag nga tubag.Atol sa pagsusi, nagpadala ang FortiGate og real-time nga pangutana sa FortiGuard Distribution Network (FDN) aron matino ang kategorya sa gihatag nga website. Pagkahuman sa pagtino sa kategorya sa usa ka partikular nga website, ang filter sa web, depende sa mga setting, naghimo usa ka piho nga aksyon.
Tulo ka mga aksyon ang anaa sa Flow mode:
- Tugoti - tugoti ang pag-access sa website
- Block - block access sa website
- Monitor - tugoti ang pag-access sa website ug i-log kini
Duha pa ka aksyon ang gidugang sa Proxy mode:
- Pasidaan - hatagi ang tiggamit ug pasidaan nga siya naningkamot sa pagbisita sa usa ka piho nga kapanguhaan ug hatagi ang tiggamit ug kapilian - magpadayon o mobiya sa website
- Authenticate - pag-aghat alang sa mga kredensyal sa tiggamit - kini nagtugot kanimo sa pagtugot sa pipila ka mga grupo nga maka-access sa mga limitado nga kategorya sa mga website.
Sa site imong makita ang tanan nga mga kategorya ug mga subcategory sa web filter, ingon man mahibal-an kung unsang kategorya ang nahisakop sa usa ka partikular nga website. Ug sa kinatibuk-an, alang sa mga tiggamit sa mga solusyon sa Fortinet, kini usa ka labi ka mapuslanon nga site, gitambagan ko ikaw nga mas mailhan kini sa imong libre nga oras.
Gamay ra ang masulti bahin sa Pagkontrol sa Aplikasyon. Sama sa gipasabut sa ngalan, gitugotan ka nga makontrol ang operasyon sa mga aplikasyon. Ug gibuhat niya kini sa tabang sa mga sumbanan sa lainlaing mga aplikasyon, ang gitawag nga mga pirma. Pinasukad sa kini nga mga pirma, mahimoβg mahibal-an ang usa ka piho nga aplikasyon ug magamit ang usa ka piho nga aksyon niini:
- Tugoti - pagtugot
- Monitor - tugoti ug i-log kini
- Block - idili
- Quarantine - pagsulat sa usa ka panghitabo sa mga log ug babagan ang IP address sa usa ka piho nga oras
Mahimo usab nimo nga tan-awon ang naglungtad nga mga pirma sa website .
Karon atong tan-awon ang mekanismo sa pagsusi sa HTTPS. Sumala sa estadistika sa katapusan sa 2018, ang bahin sa trapiko sa HTTPS milapas sa 70%. Sa ato pa, kung walaβy paggamit sa pag-inspeksyon sa HTTPS, mahimo naton analisahon ang mga 30% ra sa trapiko nga nag-agos sa network. Una, atong tan-awon kung giunsa ang HTTPS nagtrabaho sa usa ka kasarangan nga pagbanabana.
Nagsugod ang kliyente og hangyo sa TLS sa web server ug nakadawat og tubag sa TLS, ug nakakita usab og digital certificate nga kinahanglang saligan para niini nga user. Kini ang kinahanglan nga minimum nga kinahanglan naton mahibal-an bahin sa buhat sa HTTPS, sa tinuud, ang laraw sa trabaho niini labi ka komplikado. Human sa usa ka malampuson nga TLS handshake, encrypted data transfer magsugod. Ug kini maayo. Walay maka-access sa datos nga imong gibaylo sa web server.
Bisan pa, alang sa mga kompanya sa seguridad, kini usa ka tinuud nga sakit sa ulo, tungod kay dili nila makita kini nga trapiko ug susihon ang mga sulud niini nga walaβy antivirus, o sistema sa pagpugong sa pagsulod, o mga sistema sa DLP, wala. Kini usab negatibo nga makaapekto sa kalidad sa kahulugan sa mga aplikasyon ug mga kapanguhaan sa web nga gigamit sulod sa network - kung unsa ang may kalabutan sa among hilisgutan sa leksyon. Ang teknolohiya sa pag-inspeksyon sa HTTPS gidisenyo aron masulbad kini nga problema. Ang esensya niini yano ra kaayo - sa tinuud, ang aparato nga nakigbahin sa pag-inspeksyon sa HTTPS nag-organisar sa usa ka pag-atake sa Man In The Middle. Ingon niini ang hitsura: Gipugngan sa FortiGate ang hangyo sa tiggamit, nag-organisar og koneksyon sa HTTPS niini, ug sa kaugalingon nga gipataas ang sesyon sa HTTPS nga adunay kapanguhaan nga na-access sa tiggamit. Sa parehas nga oras, ang sertipiko nga gi-isyu sa FortiGate makita sa kompyuter sa tiggamit. Kini kinahanglan nga kasaligan alang sa browser aron tugutan ang koneksyon.
Sa tinuud, ang pag-inspeksyon sa HTTPS usa ka labi ka komplikado nga butang ug adunay daghang mga limitasyon, apan dili namon kini tagdon sa sulud sa kini nga kurso. Idugang lang nako nga ang pagpatuman sa pag-inspeksyon sa HTTPS dili usa ka minuto, kasagaran kini moabut mga usa ka bulan. Gikinahanglan ang pagkolekta og impormasyon mahitungod sa gikinahanglan nga mga eksepsiyon, paghimo sa angay nga mga setting, pagkolekta og feedback gikan sa mga tiggamit, ug pag-adjust sa mga setting.
Ang teorya sa ibabaw, ingon man ang praktikal nga bahin, gipresentar sa kini nga leksyon sa video:
Sa sunod nga leksyon, atong tan-awon ang ubang mga profile sa seguridad: antivirus ug pagpugong sa pagsulod. Aron dili kini masipyat, padayon nga magtan-aw alang sa mga update sa mosunod nga mga channel:
Source: www.habr.com