Cyfarchion! Croeso i chweched wers y cwrs . Ymlaen rydym wedi meistroli hanfodion gweithio gyda thechnoleg NAT ar , a hefyd yn rhyddhau ein defnyddiwr prawf i'r Rhyngrwyd. Nawr mae'n bryd gofalu am ddiogelwch y defnyddiwr yn ei fannau agored. Yn y tiwtorial hwn, byddwn yn ymdrin â'r proffiliau diogelwch canlynol: Hidlo Gwe, Rheoli Cymwysiadau, ac Arolygu HTTPS.
Er mwyn dechrau gyda phroffiliau diogelwch, mae angen i ni ddeall un peth arall - dulliau arolygu.
Y rhagosodiad yw modd Seiliedig ar Llif. Mae'n gwirio ffeiliau wrth iddynt fynd trwy FortiGate heb glustogi. Unwaith y bydd pecyn yn cyrraedd, caiff ei brosesu a'i drosglwyddo heb aros i'r ffeil neu'r dudalen we gyfan gyrraedd. Mae angen llai o adnoddau ac mae'n darparu gwell perfformiad na'r modd dirprwy, ond ar yr un pryd, nid yw pob swyddogaeth Diogelwch ar gael ynddo. Er enghraifft, dim ond yn y modd Dirprwy y gellir defnyddio Atal Gollyngiadau Data (DLP).
Mae modd dirprwy yn gweithio'n wahanol. Mae'n creu dau gysylltiad TCP, un rhwng y cleient a FortiGate'om, yr ail rhwng FortiGate'om a'r gweinydd. Mae hyn yn caniatáu iddo glustogi traffig, h.y. derbyn ffeil gyflawn neu dudalen we. Mae sganio ffeiliau ar gyfer bygythiadau amrywiol yn dechrau dim ond ar ôl i'r ffeil gyfan gael ei chlustogi. Mae hyn yn caniatáu ichi ddefnyddio nodweddion ychwanegol nad ydynt ar gael yn y modd sy'n seiliedig ar Llif. Fel y gallwch weld, mae'n ymddangos bod y modd hwn i'r gwrthwyneb i Llif Seiliedig - mae diogelwch yn chwarae rhan fawr yma, ac mae perfformiad yn pylu i'r cefndir.
Gofynnir i ni'n aml, pa un sy'n well? Ond nid oes rysáit cyffredinol yma. Mae popeth bob amser yn unigol ac yn dibynnu ar eich anghenion a'ch tasgau. Byddaf yn ceisio dangos y gwahaniaethau rhwng proffiliau diogelwch mewn moddau Llif a Dirprwy yn ddiweddarach yn y cwrs. Bydd hyn yn eich helpu i gymharu nodweddion a phenderfynu pa un sydd orau i chi.
Gadewch i ni fynd yn syth i'r proffiliau diogelwch ac edrych yn gyntaf ar Web Filtering. Mae'n helpu i reoli neu gadw golwg ar ba wefannau y mae defnyddwyr yn ymweld â nhw. Rwy'n meddwl nad yw'n werth mynd yn ddwfn i egluro'r angen am broffil o'r fath yn y realiti presennol. Gadewch i ni ddeall yn well sut mae'n gweithio.
Ar ôl sefydlu cysylltiad TCP, mae'r defnyddiwr yn gofyn am gynnwys gwefan benodol gan ddefnyddio cais GET.
Os bydd y gweinydd gwe yn ymateb yn gadarnhaol, mae'n anfon gwybodaeth y wefan mewn ymateb. Dyma lle mae'r hidlydd gwe yn dod i rym. Mae'n gwirio cynnwys yr ymateb a roddwyd.Yn ystod y gwiriad, mae FortiGate yn anfon ymholiad amser real i'r Rhwydwaith Dosbarthu FortiGuard (FDN) i bennu categori'r wefan benodol. Ar ôl pennu categori gwefan benodol, mae'r hidlydd gwe, yn dibynnu ar y gosodiadau, yn cyflawni gweithred benodol.
Mae tri cham gweithredu ar gael yn y modd Llif:
- Caniatáu - caniatáu mynediad i'r wefan
- Bloc - blocio mynediad i'r wefan
- Monitro - caniatáu mynediad i'r wefan a'i logio
Ychwanegir dwy weithred arall yn y modd dirprwy:
- Rhybudd - rhowch rybudd i'r defnyddiwr ei fod yn ceisio ymweld ag adnodd penodol a rhoi dewis i'r defnyddiwr - parhau neu adael y wefan
- Dilysu - anogwr am fanylion y defnyddiwr - mae hyn yn caniatáu i chi ganiatáu i rai grwpiau gael mynediad i gategorïau cyfyngedig o wefannau.
Mae'r safle gallwch weld holl gategorïau ac is-gategorïau'r hidlydd gwe, yn ogystal â darganfod i ba gategori y mae gwefan benodol yn perthyn. Ac yn gyffredinol, i ddefnyddwyr atebion Fortinet, mae hwn yn wefan eithaf defnyddiol, rwy'n eich cynghori i ddod i'w adnabod yn well yn eich amser rhydd.
Ychydig iawn y gellir ei ddweud am Reoli Cymwysiadau. Fel y mae'r enw'n awgrymu, mae'n caniatáu ichi reoli gweithrediad cymwysiadau. Ac mae'n gwneud hyn gyda chymorth patrymau o wahanol gymwysiadau, yr hyn a elwir yn lofnodion. Yn seiliedig ar y llofnodion hyn, gall benderfynu ar gais penodol a chymhwyso gweithred benodol iddo:
- Caniatáu - caniatáu
- Monitro - caniatáu a logio hwn
- Bloc - gwahardd
- Cwarantîn - ysgrifennwch ddigwyddiad i'r logiau a blociwch y cyfeiriad IP am amser penodol
Gallwch hefyd weld llofnodion presennol ar y wefan .
Nawr, gadewch i ni edrych ar fecanwaith arolygu HTTPS. Yn ôl ystadegau ar gyfer diwedd 2018, roedd y gyfran o draffig HTTPS yn fwy na 70%. Hynny yw, heb ddefnyddio arolygiad HTTPS, dim ond tua 30% o'r traffig sy'n llifo drwy'r rhwydwaith y byddwn yn gallu ei ddadansoddi. Yn gyntaf, gadewch i ni edrych ar sut mae HTTPS yn gweithio mewn brasamcan bras.
Mae'r cleient yn cychwyn cais TLS i'r gweinydd gwe ac yn derbyn ymateb TLS, a hefyd yn gweld tystysgrif ddigidol y mae'n rhaid ymddiried ynddi ar gyfer y defnyddiwr hwn. Dyma'r lleiafswm angenrheidiol y mae angen i ni ei wybod am waith HTTPS, mewn gwirionedd, mae cynllun ei waith yn llawer mwy cymhleth. Ar ôl ysgwyd llaw TLS llwyddiannus, mae trosglwyddo data wedi'i amgryptio yn dechrau. Ac mae hyn yn dda. Ni all unrhyw un gael mynediad at y data rydych chi'n ei gyfnewid â'r gweinydd gwe.
Fodd bynnag, i gwmnïau diogelwch, mae hwn yn gur pen go iawn, oherwydd ni allant weld y traffig hwn a gwirio ei gynnwys heb unrhyw wrthfeirws, na system atal ymyrraeth, na systemau DLP, dim byd. Mae hefyd yn effeithio'n negyddol ar ansawdd y diffiniad o gymwysiadau ac adnoddau gwe a ddefnyddir o fewn y rhwydwaith - dim ond yr hyn sy'n berthnasol i destun ein gwers. Mae technoleg arolygu HTTPS wedi'i chynllunio i ddatrys y broblem hon. Mae ei hanfod yn syml iawn - mewn gwirionedd, mae'r ddyfais sy'n ymwneud ag arolygiad HTTPS yn trefnu ymosodiad Man In The Middle. Mae'n edrych fel hyn: mae FortiGate yn rhyng-gipio cais y defnyddiwr, yn trefnu cysylltiad HTTPS ag ef, ac ar ei ben ei hun yn codi sesiwn HTTPS gyda'r adnodd y mae'r defnyddiwr yn ei gyrchu. Ar yr un pryd, bydd y dystysgrif a gyhoeddwyd gan FortiGate yn weladwy ar gyfrifiadur y defnyddiwr. Rhaid ymddiried ynddo er mwyn i'r porwr ganiatáu'r cysylltiad.
Mewn gwirionedd, mae arolygu HTTPS yn beth eithaf cymhleth ac mae ganddo lawer o gyfyngiadau, ond ni fyddwn yn ystyried hyn o fewn fframwaith y cwrs hwn. Ni fyddaf ond yn ychwanegu nad mater o funudau yw gweithredu arolygiad HTTPS, fel arfer mae'n cymryd tua mis. Mae angen casglu gwybodaeth am yr eithriadau angenrheidiol, gwneud y gosodiadau priodol, casglu adborth gan ddefnyddwyr, ac addasu'r gosodiadau.
Cyflwynir y ddamcaniaeth uchod, yn ogystal â'r rhan ymarferol, yn y wers fideo hon:
Yn y wers nesaf, byddwn yn edrych ar broffiliau diogelwch eraill: gwrthfeirws ac atal ymyrraeth. Er mwyn peidio â'i golli, cadwch lygad am ddiweddariadau ar y sianeli canlynol:
Ffynhonnell: hab.com