Cyfarchion! Croeso i seithfed wers y cwrs . Ymlaen daethom yn gyfarwydd Γ’ phroffiliau diogelwch fel Web Hidlo, Rheoli Cymwysiadau ac arolygu HTTPS. Yn y wers hon byddwn yn parhau Γ’'n cyflwyniad i broffiliau diogelwch. Yn gyntaf, byddwn yn dod yn gyfarwydd Γ’'r agweddau damcaniaethol ar weithrediad system gwrthfeirws ac atal ymyrraeth, ac yna byddwn yn edrych ar sut mae'r proffiliau diogelwch hyn yn gweithio'n ymarferol.
Gadewch i ni ddechrau gyda'r gwrthfeirws. Yn gyntaf, gadewch i ni drafod y technolegau y mae FortiGate yn eu defnyddio i ganfod firysau:
Sganio gwrthfeirws yw'r dull hawsaf a chyflymaf o ganfod firysau. Mae'n canfod firysau sy'n cyfateb yn llwyr i'r llofnodion a gynhwysir yn y gronfa ddata gwrth-firws.
Sganio nwyddau llwyd neu sganio rhaglenni diangen - mae'r dechnoleg hon yn canfod rhaglenni diangen sy'n cael eu gosod heb yn wybod i'r defnyddiwr na chaniatΓ’d. Yn dechnegol, nid firysau yw'r rhaglenni hyn. Maent fel arfer yn dod wedi'u bwndelu Γ’ rhaglenni eraill, ond pan gΓ’nt eu gosod maent yn effeithio'n negyddol ar y system, a dyna pam y cΓ’nt eu dosbarthu fel malware. Yn aml gellir canfod rhaglenni o'r fath gan ddefnyddio llofnodion llestri llwyd syml o sylfaen ymchwil FortiGuard.
Sganio hewristig - mae'r dechnoleg hon yn seiliedig ar debygolrwydd, felly gall ei ddefnyddio achosi effeithiau positif ffug, ond gall hefyd ganfod firysau sero dydd. Mae firysau diwrnod sero yn firysau newydd nad ydynt wedi'u hastudio eto, ac nid oes unrhyw lofnodion a allai eu canfod. Nid yw sganio hewristig wedi'i alluogi yn ddiofyn a rhaid ei alluogi ar y llinell orchymyn.
Os yw'r holl alluoedd gwrthfeirws wedi'u galluogi, mae FortiGate yn eu cymhwyso yn y drefn ganlynol: sganio gwrthfeirws, sganio llestri llwyd, sganio hewristig.
Gall FortiGate ddefnyddio sawl cronfa ddata gwrth-firws, yn dibynnu ar y tasgau:
- Cronfa ddata gwrthfeirws arferol (Normal) - wedi'i chynnwys ym mhob model FortiGate. Mae'n cynnwys llofnodion ar gyfer firysau sydd wedi'u darganfod yn ystod y misoedd diwethaf. Dyma'r gronfa ddata gwrthfeirws leiaf, felly mae'n sganio gyflymaf pan gaiff ei ddefnyddio. Fodd bynnag, ni all y gronfa ddata hon ganfod pob firws hysbys.
- Estynedig - cefnogir y sylfaen hon gan y rhan fwyaf o fodelau FortiGate. Gellir ei ddefnyddio i ganfod firysau nad ydynt bellach yn weithredol. Mae llawer o lwyfannau yn dal yn agored i'r firysau hyn. Hefyd, gall y firysau hyn achosi problemau yn y dyfodol.
- Ac mae'r sylfaen olaf, eithafol (Eithafol) - yn cael ei ddefnyddio mewn seilweithiau lle mae angen lefel uchel o ddiogelwch. Gyda'i help, gallwch ganfod pob firws hysbys, gan gynnwys firysau sydd wedi'u hanelu at systemau gweithredu hen ffasiwn, nad ydynt yn cael eu dosbarthu'n eang ar hyn o bryd. Nid yw'r math hwn o gronfa ddata llofnod hefyd yn cael ei gefnogi gan bob model FortiGate.
Mae yna hefyd gronfa ddata llofnod gryno wedi'i chynllunio ar gyfer sganio cyflym. Byddwn yn siarad amdano ychydig yn ddiweddarach.
Gallwch ddiweddaru cronfeydd data gwrth-firws gan ddefnyddio gwahanol ddulliau.
Y dull cyntaf yw Push Update, sy'n caniatΓ‘u i gronfeydd data gael eu diweddaru cyn gynted ag y bydd cronfa ddata ymchwil FortiGuard yn rhyddhau diweddariad. Mae hyn yn ddefnyddiol ar gyfer seilweithiau sydd angen lefel uchel o ddiogelwch, gan y bydd FortiGate yn derbyn diweddariadau brys cyn gynted ag y byddant ar gael.
Yr ail ddull yw gosod amserlen. Fel hyn gallwch wirio am ddiweddariadau bob awr, dydd neu wythnos. Hynny yw, yma mae'r ystod amser wedi'i gosod yn Γ΄l eich disgresiwn.
Gellir defnyddio'r dulliau hyn gyda'i gilydd.
Ond mae angen i chi gofio, er mwyn i ddiweddariadau gael eu gwneud, bod yn rhaid i chi alluogi'r proffil gwrthfeirws ar gyfer o leiaf un polisi wal dΓ’n. Fel arall, ni fydd diweddariadau yn cael eu gwneud.
Gallwch hefyd lawrlwytho diweddariadau o wefan cymorth Fortinet ac yna eu llwytho i fyny Γ’ llaw i FortiGate.
Gadewch i ni edrych ar y dulliau sganio. Dim ond tri ohonyn nhw sydd - Modd Llawn yn y modd Seiliedig ar Llif, Modd Cyflym yn y modd Seiliedig ar Llif, a Modd Llawn yn y modd dirprwy. Gadewch i ni ddechrau gyda Modd Llawn yn y modd Llif.
Dywedwch fod defnyddiwr eisiau lawrlwytho ffeil. Mae'n anfon cais. Mae'r gweinydd yn dechrau anfon pecynnau sy'n rhan o'r ffeil ato. Mae'r defnyddiwr yn derbyn y pecynnau hyn ar unwaith. Ond cyn danfon y pecynnau hyn i'r defnyddiwr, mae FortiGate yn eu storio. Ar Γ΄l i FortiGate dderbyn y pecyn olaf, mae'n dechrau sganio'r ffeil. Ar yr adeg hon, mae'r pecyn olaf mewn ciw ac nid yw'n cael ei drosglwyddo i'r defnyddiwr. Os nad yw'r ffeil yn cynnwys firysau, anfonir y pecyn diweddaraf at y defnyddiwr. Os canfyddir firws, mae FortiGate yn torri'r cysylltiad Γ’'r defnyddiwr.
Yr ail fodd sganio sydd ar gael yn Seiliedig ar Llif yw Modd Cyflym. Mae'n defnyddio cronfa ddata llofnod gryno, sy'n cynnwys llai o lofnodion na chronfa ddata arferol. Mae ganddo hefyd rai cyfyngiadau o'i gymharu Γ’ Modd Llawn:
- Ni all anfon ffeiliau i'r blwch tywod
- Ni all ddefnyddio dadansoddiad hewristig
- Hefyd ni all ddefnyddio pecynnau sy'n ymwneud Γ’ meddalwedd maleisus symudol
- Nid yw rhai modelau lefel mynediad yn cefnogi'r modd hwn.
Mae modd cyflym hefyd yn gwirio traffig am firysau, mwydod, trojans a malware, ond heb glustogi. Mae hyn yn darparu perfformiad gwell, ond ar yr un pryd mae'r tebygolrwydd o ganfod firws yn lleihau.
Yn y modd dirprwy, yr unig fodd sganio sydd ar gael yw Modd Llawn. Gyda sgan o'r fath, mae FortiGate yn storio'r ffeil gyfan arno'i hun yn gyntaf (oni bai, wrth gwrs, ei fod yn fwy na maint y ffeil a ganiateir ar gyfer sganio). Rhaid i'r cleient aros i'r sgan gael ei gwblhau. Os canfyddir firws yn ystod sganio, bydd y defnyddiwr yn cael ei hysbysu ar unwaith. Gan fod FortiGate yn arbed y ffeil gyfan yn gyntaf ac yna'n ei sganio, gall hyn gymryd cryn amser. Oherwydd hyn, mae'n bosibl i'r cleient derfynu'r cysylltiad cyn derbyn y ffeil oherwydd oedi hir.
Mae'r ffigur isod yn dangos tabl cymharu ar gyfer dulliau sganio - bydd yn eich helpu i benderfynu pa fath o sganio sy'n addas ar gyfer eich tasgau. Mae sefydlu a gwirio ymarferoldeb y gwrthfeirws yn cael ei drafod yn ymarferol yn y fideo ar ddiwedd yr erthygl.
Gadewch i ni symud ymlaen at ail ran y wers - y system atal ymyrraeth. Ond er mwyn dechrau astudio IPS, mae angen i chi ddeall y gwahaniaeth rhwng campau ac anomaleddau, a hefyd deall pa fecanweithiau y mae FortiGate yn eu defnyddio i amddiffyn rhagddynt.
Mae ecsbloetiaid yn ymosodiadau hysbys gyda phatrymau penodol y gellir eu canfod gan ddefnyddio llofnodion IPS, WAF, neu wrthfeirws.
Mae anomaleddau yn ymddygiad anarferol ar rwydwaith, megis traffig anarferol o fawr neu ddefnydd uwch na'r defnydd CPU arferol.Mae angen monitro anghysondebau oherwydd gallant fod yn arwyddion o ymosodiad newydd, heb ei archwilio. Mae anghysondebau fel arfer yn cael eu canfod gan ddefnyddio dadansoddiad ymddygiadol - yr hyn a elwir yn lofnodion ar sail cyfradd a pholisΓ―au DoS.
O ganlyniad, mae IPS ar FortiGate yn defnyddio seiliau llofnod i ganfod ymosodiadau hysbys, a llofnodion Seiliedig ar Gyfradd a pholisΓ―au DoS i ganfod anghysondebau amrywiol.
Yn ddiofyn, mae set gychwynnol o lofnodion IPS wedi'i chynnwys gyda phob fersiwn o system weithredu FortiGate. Gyda diweddariadau, mae FortiGate yn derbyn llofnodion newydd. Fel hyn, mae IPS yn parhau i fod yn effeithiol yn erbyn campau newydd. Mae FortiGuard yn diweddaru llofnodion IPS yn eithaf aml.
Pwynt pwysig sy'n berthnasol i IPS a gwrthfeirws yw os yw'ch trwyddedau wedi dod i ben, gallwch barhau i ddefnyddio'r llofnodion diweddaraf a dderbyniwyd. Ond ni fyddwch yn gallu cael rhai newydd heb drwyddedau. Felly, mae absenoldeb trwyddedau yn hynod annymunol - os bydd ymosodiadau newydd yn ymddangos, ni fyddwch yn gallu amddiffyn eich hun gyda hen lofnodion.
Rhennir cronfeydd data llofnod IPS yn rheolaidd ac estynedig. Mae cronfa ddata nodweddiadol yn cynnwys llofnodion ar gyfer ymosodiadau cyffredin sydd yn anaml neu byth yn achosi positifau ffug. Y weithred wedi'i ffurfweddu ymlaen llaw ar gyfer y rhan fwyaf o'r llofnodion hyn yw bloc.
Mae'r gronfa ddata estynedig yn cynnwys llofnodion ymosodiad ychwanegol sy'n cael effaith sylweddol ar berfformiad system, neu na ellir eu rhwystro oherwydd eu natur arbennig. Oherwydd maint y gronfa ddata hon, nid yw ar gael ar fodelau FortiGate gyda disg fach neu RAM. Ond ar gyfer amgylcheddau hynod ddiogel, efallai y bydd angen i chi ddefnyddio sylfaen estynedig.
Mae sefydlu a gwirio ymarferoldeb IPS hefyd yn cael ei drafod yn y fideo isod.
Yn y wers nesaf byddwn yn edrych ar weithio gyda defnyddwyr. Er mwyn peidio Γ’'i golli, dilynwch y diweddariadau ar y sianeli canlynol:
Ffynhonnell: hab.com