Beannachdan! Fàilte don t-siathamh leasan den chùrsa . Air adhart tha sinn air bunaitean obrachadh le teicneòlas NAT air ionnsachadh , agus cuideachd air an neach-cleachdaidh deuchainn againn a leigeil ma sgaoil air an eadar-lìn. A-nis tha an t-àm ann aire a thoirt do shàbhailteachd an neach-cleachdaidh anns na raointean fosgailte aige. Anns an leasan seo bheir sinn sùil air na pròifilean tèarainteachd a leanas: Criathradh Lìn, Smachd Iarrtas, agus sgrùdadh HTTPS.
Gus tòiseachadh le pròifilean tèarainteachd, feumaidh sinn aon rud eile a thuigsinn: modhan sgrùdaidh.
Is e am modh bunaiteach stèidhichte air sruthadh. Bidh e a’ sgrùdadh fhaidhlichean fhad ‘s a thèid iad tron FortiGate gun buffering. Cho luath ‘s a ruigeas am pacaid, thèid a phròiseasadh agus a chuir air adhart, gun a bhith a’ feitheamh ris an fhaidhle no an duilleag lìn gu lèir fhaighinn. Feumaidh e nas lugha de ghoireasan agus bheir e coileanadh nas fheàrr na modh Proxy, ach aig an aon àm, chan eil a h-uile gnìomh tèarainteachd ri fhaighinn ann. Mar eisimpleir, chan urrainnear Bacadh Aodion Dàta (DLP) a chleachdadh ach ann am modh Proxy.
Bidh modh proxy ag obair ann an dòigh eadar-dhealaichte. Bidh e a’ cruthachadh dà cheangal TCP, aon eadar an neach-dèiligidh agus FortiGate, an dàrna fear eadar FortiGate agus an frithealaiche. Leigidh seo leis trafaic bufair, i.e. faidhle iomlan no duilleag-lìn fhaighinn. Bidh sganadh fhaidhlichean airson diofar chunnartan a’ tòiseachadh dìreach às deidh don fhaidhle gu lèir a bhith air a buffered. Leigidh seo leat feartan a bharrachd a chleachdadh nach eil rim faighinn ann am modh stèidhichte air sruthadh. Mar a chì thu, tha e coltach gu bheil am modh seo an aghaidh sruth stèidhichte - tha àite mòr aig tèarainteachd an seo, agus tha coileanadh a’ gabhail suidheachan cùil.
Bidh daoine tric a’ faighneachd: dè am modh a tha nas fheàrr? Ach chan eil reasabaidh coitcheann an seo. Tha a h-uile dad an-còmhnaidh fa leth agus an urra ri na feumalachdan agus na h-amasan agad. Nas fhaide air adhart sa chùrsa feuchaidh mi ris na h-eadar-dhealachaidhean eadar pròifilean tèarainteachd ann am modhan Flow agus Proxy a shealltainn. Cuidichidh seo thu gus coimeas a dhèanamh eadar comas-gnìomh agus co-dhùnadh dè as fheàrr dhutsa.
Gluaisidh sinn gu dìreach gu pròifilean tèarainteachd agus an toiseach coimhead air Web Filtering. Bidh e a’ cuideachadh le bhith a’ cumail sùil no sùil a chumail air na làraich-lìn a bhios luchd-cleachdaidh a’ tadhal. Tha mi a’ smaoineachadh nach fheumar a dhol nas doimhne a-steach a bhith a’ mìneachadh an fheum air ìomhaigh mar sin anns na fìrinnean a th’ ann an-dràsta. Bheir sinn tuigse nas fheàrr air mar a tha e ag obair.
Aon uair ‘s gu bheil ceangal TCP air a stèidheachadh, bidh an neach-cleachdaidh a’ cleachdadh iarrtas GET gus susbaint làrach-lìn sònraichte iarraidh.
Ma bheir am frithealaiche lìn freagairt dheimhinneach, cuiridh e fiosrachadh mun làrach-lìn air ais. Seo far a bheil an sìoltachan lìn a’ tighinn a-steach. Bidh e a’ dearbhadh susbaint an fhreagairt seo. Rè an dearbhaidh, bidh FortiGate a’ cur iarrtas fìor-ùine gu Lìonra Cuairteachaidh FortiGuard (FDN) gus roinn na làraich-lìn a chaidh a thoirt seachad a dhearbhadh. Às deidh dhut roinn làrach-lìn sònraichte a dhearbhadh, bidh an sìoltachan lìn, a rèir nan roghainnean, a’ coileanadh gnìomh sònraichte.
Tha trì gnìomhan rim faighinn ann am modh Sruth:
- Ceadaich - leig le cothrom air an làrach-lìn
- Bloc - cuir casg air ruigsinneachd air an làrach-lìn
- Dèan sgrùdadh - leig le cothrom faighinn chun làrach-lìn agus clàraich e anns na logaichean
Ann am modh Proxy, thèid dà ghnìomh eile a chur ris:
- Rabhadh - thoir rabhadh don neach-cleachdaidh gu bheil e a’ feuchainn ri tadhal air goireas sònraichte agus roghainn a thoirt don neach-cleachdaidh - lean ort no fàg air an làrach-lìn
- Dearbhaich - Iarr teisteanasan luchd-cleachdaidh - leigidh seo le buidhnean sònraichte faighinn gu roinnean cuibhrichte de làraich-lìn.
Air an làraich faodaidh tu coimhead air a h-uile roinn agus fo-roinnean den chriathrag lìn, agus cuideachd faighinn a-mach dè an roinn dham buin làrach-lìn sònraichte. Agus san fharsaingeachd, is e làrach gu math feumail a tha seo dha luchd-cleachdaidh fuasglaidhean Fortinet, tha mi a ’toirt comhairle dhut eòlas fhaighinn air nas fheàrr san ùine shaor agad.
Is e glè bheag a dh'fhaodar a ràdh mu Smachd Iarrtas. Mar a tha an t-ainm ag ràdh, leigidh e leat smachd a chumail air gnìomhachd thagraidhean. Agus bidh e a’ dèanamh seo a’ cleachdadh phàtranan bho dhiofar thagraidhean, ris an canar ainmean-sgrìobhte. A’ cleachdadh nan ainmean-sgrìobhte sin, is urrainn dha tagradh sònraichte a chomharrachadh agus gnìomh sònraichte a chuir an sàs ann:
- Ceadaich - leig
- Dèan sgrùdadh - leig leis agus log seo
- Block - casg
- Quarantine - clàraich tachartas anns na logaichean agus cuir stad air an t-seòladh IP airson ùine sònraichte
Faodaidh tu cuideachd ainmean-sgrìobhte fhaicinn air an làrach-lìn .
A-nis leig dhuinn sùil a thoirt air uidheamachd sgrùdaidh HTTPS. A rèir staitistig aig deireadh 2018, bha an roinn de thrafaig HTTPS nas àirde na 70%. Is e sin, gun a bhith a’ cleachdadh sgrùdadh HTTPS, bidh e comasach dhuinn dìreach mu 30% den trafaic a tha a’ dol tron lìonra a sgrùdadh. An toiseach, leig dhuinn sùil a thoirt air mar a tha HTTPS ag obair ann an tuairmse garbh.
Tòisichidh an neach-dèiligidh iarrtas TLS chun t-seirbheisiche lìn agus gheibh e freagairt TLS, agus chì e cuideachd teisteanas didseatach a dh’ fheumas earbsa a bhith ann airson a’ chleachdaiche seo. Is e seo an ìre as ìsle a dh’ fheumas a bhith againn mu mar a tha HTTPS ag obair; gu dearbh, tha an dòigh sa bheil e ag obair tòrr nas iom-fhillte. Às deidh crathadh làimhe soirbheachail TLS, tòisichidh gluasad dàta crioptaichte. Agus tha seo math. Chan urrainn dha duine faighinn chun dàta a bhios tu ag iomlaid leis an t-seirbheisiche lìn.
Ach, airson oifigearan tèarainteachd chompanaidhean is e fìor cheann goirt a tha seo, leis nach urrainn dhaibh an trafaic seo fhaicinn agus sgrùdadh a dhèanamh air na tha ann le anti-bhìoras, no siostam casg sàrachaidh, no siostaman DLP, no rud sam bith. Bidh seo cuideachd a’ toirt droch bhuaidh air càileachd a’ mhìneachaidh air tagraidhean agus goireasan lìn a thathas a’ cleachdadh taobh a-staigh an lìonraidh - dìreach na tha a’ buntainn ris a’ chuspair leasain againn. Tha teicneòlas sgrùdaidh HTTPS air a dhealbhadh gus an duilgheadas seo fhuasgladh. Tha a bhrìgh gu math sìmplidh - gu dearbh, bidh inneal a bhios a’ dèanamh sgrùdadh HTTPS a’ cur air dòigh ionnsaigh Man In The Middle. Tha e a’ coimhead rudeigin mar seo: bidh FortiGate a’ gabhail a-steach iarrtas an neach-cleachdaidh, a’ cur ceangal HTTPS air dòigh leis, agus an uairsin a’ fosgladh seisean HTTPS leis a’ ghoireas a fhuair an neach-cleachdaidh. Anns a 'chùis seo, bidh an teisteanas a chuir FortiGate a-mach ri fhaicinn air coimpiutair an neach-cleachdaidh. Feumaidh earbsa a bhith ann airson am brabhsair gus an ceangal a cheadachadh.
Gu dearbh, tha sgrùdadh HTTPS na rud caran toinnte agus tha mòran chuingealachaidhean ann, ach cha bheachdaich sinn air seo sa chùrsa seo. Cuiridh mi dìreach ris nach eil buileachadh sgrùdadh HTTPS na chùis mhionaidean; mar as trice bheir e timcheall air mìos. Feumar fiosrachadh a chruinneachadh mu na h-eisgeadan riatanach, na roghainnean iomchaidh a dhèanamh, fios air ais bho luchd-cleachdaidh a chruinneachadh, agus na roghainnean atharrachadh.
Tha an teòiridh a chaidh a thoirt seachad, a bharrachd air a’ phàirt phractaigeach, air a thaisbeanadh anns an leasan bhidio seo:
Anns an ath leasan seallaidh sinn ri pròifilean tèarainteachd eile: anti-bhìoras agus siostam casg sàrachaidh. Gus nach caill thu e, lean na h-ùrachaidhean air na seanailean a leanas:
Source: www.habr.com