Bonjou! Byenveni nan sizyèm leson kou a . Sou nou te metrize Basics yo nan travay ak teknoloji NAT sou , epi tou lage itilizatè tès nou an sou entènèt la. Koulye a, li lè yo pran swen sekirite itilizatè a nan espas ouvè l 'yo. Nan leson sa a nou pral gade pwofil sekirite sa yo: Filtraj Web, Kontwòl Aplikasyon, ak enspeksyon HTTPS.
Pou kòmanse ak pwofil sekirite, nou bezwen konprann yon lòt bagay: mòd enspeksyon.
Defo a se mòd ki baze sou koule. Li tcheke dosye yo pandan y ap pase nan FortiGate san yo pa tampon. Yon fwa pake a rive, li trete epi voye l, san yo pa tann tout fichye a oswa paj wèb la resevwa. Li mande mwens resous epi li bay pi bon pèfòmans pase mòd Proxy, men an menm tan, se pa tout fonksyonalite Sekirite ki disponib nan li. Pa egzanp, Data Leak Prevention (DLP) ka itilize sèlman nan mòd Proxy.
Mòd proxy travay yon fason diferan. Li kreye de koneksyon TCP, youn ant kliyan an ak FortiGate, dezyèm lan ant FortiGate ak sèvè a. Sa a pèmèt li tanpon trafik, sa vle di resevwa yon dosye konplè oswa paj entènèt. Analiz dosye pou divès menas kòmanse sèlman apre yo fin ranpli tout dosye a. Sa pèmèt ou sèvi ak karakteristik adisyonèl ki pa disponib nan mòd ki baze sou Flow. Kòm ou ka wè, mòd sa a sanble se opoze a nan Flow Baze - sekirite jwe yon gwo wòl isit la, ak pèfòmans pran yon chèz dèyè.
Moun yo souvan mande: ki mòd ki pi bon? Men, pa gen okenn resèt jeneral isit la. Tout bagay toujou endividyèl epi depann de bezwen ou ak objektif ou. Pita nan kou a mwen pral eseye montre diferans ki genyen ant pwofil sekirite nan mòd Flow ak Proxy. Sa a pral ede w konpare fonksyonalite a epi deside ki pi bon pou ou.
Ann ale dirèkteman nan pwofil sekirite ak premye gade nan Filtraj Web. Li ede kontwole oswa swiv ki sit entènèt itilizatè yo vizite. Mwen panse ke pa gen okenn nesesite ale pi fon nan eksplike nesesite pou yon pwofil sa a nan reyalite aktyèl yo. Ann pi byen konprann ki jan li fonksyone.
Yon fwa yo etabli yon koneksyon TCP, itilizatè a sèvi ak yon demann GET pou mande kontni an nan yon sit entènèt espesifik.
Si sèvè entènèt la reponn pozitivman, li voye enfòmasyon sou sit wèb la tounen. Sa a se kote filtè entènèt la antre nan jwèt. Li verifye sa ki nan repons sa a Pandan verifikasyon, FortiGate voye yon demann an tan reyèl bay Rezo Distribisyon FortiGuard (FDN) pou detèmine kategori sit entènèt yo bay la. Apre detèmine kategori a nan yon sit entènèt patikilye, filtè entènèt la, tou depann de anviwònman yo, fè yon aksyon espesifik.
Gen twa aksyon ki disponib nan mòd Flow:
- Pèmèt - pèmèt aksè nan sit entènèt la
- Bloke - bloke aksè nan sit entènèt la
- Siveye - pèmèt aksè nan sit entènèt la epi anrejistre li nan mòso bwa yo
Nan mòd Proxy, yo ajoute de lòt aksyon:
- Avètisman - bay itilizatè a yon avètisman ke li ap eseye vizite yon sèten resous epi bay itilizatè a yon chwa - kontinye oswa kite sit entènèt la
- Otantifye - Mande kalifikasyon itilizatè - sa a pèmèt sèten gwoup jwenn aksè nan kategori restriksyon nan sit entènèt.
Sou sit la ou ka wè tout kategori ak sou-kategori filtè entènèt la, epi tou chèche konnen ki kategori yon sit entènèt patikilye fè pati. Ak an jeneral, sa a se yon sit trè itil pou itilizatè solisyon Fortinet, mwen konseye w pou w konnen li pi byen nan tan lib ou.
Gen anpil ti kras ki ka di sou Kontwòl Aplikasyon. Kòm non an sijere, li pèmèt ou kontwole operasyon an nan aplikasyon yo. Apre sa, li fè sa lè l sèvi avèk modèl ki soti nan aplikasyon divès kalite, sa yo rele siyati. Sèvi ak siyati sa yo, li ka idantifye yon aplikasyon espesifik epi aplike yon aksyon espesifik nan li:
- Pèmèt - pèmèt
- Siveye - pèmèt ak konekte sa a
- Blòk - entèdi
- Karantèn - anrejistre yon evènman nan mòso bwa yo epi bloke adrès IP la pou yon sèten tan
Ou kapab tou wè siyati ki egziste deja sou sit entènèt la .
Koulye a, kite a gade nan mekanis nan enspeksyon HTTPS. Dapre estatistik nan fen 2018, pati nan trafik HTTPS depase 70%. Sa vle di, san yo pa itilize enspeksyon HTTPS, nou pral kapab analize sèlman apeprè 30% nan trafik ki pase nan rezo a. Premyèman, ann gade ki jan HTTPS travay nan yon apwoksimasyon ki graj.
Kliyan an inisye yon demann TLS nan sèvè entènèt la epi li resevwa yon repons TLS, epi li wè tou yon sètifika dijital ke itilizatè sa a dwe fè konfyans. Sa a se minimòm la ke nou bezwen konnen sou ki jan HTTPS travay an reyalite, fason li fonksyone se pi plis konplike. Apre yon siksè TLS lanmen, transfè done chiffres kòmanse. E sa bon. Pa gen moun ki ka jwenn aksè nan done ou echanj ak sèvè entènèt la.
Sepandan, pou ofisye sekirite konpayi sa yo se yon tèt fè mal reyèl, paske yo pa ka wè trafik sa a epi tcheke sa ki ladan yo swa ak yon antivirus, oswa yon sistèm prevansyon entrizyon, oswa sistèm DLP, oswa nenpòt bagay. Sa a tou afekte bon jan kalite a nan definisyon aplikasyon yo ak resous entènèt yo itilize nan rezo a - egzakteman sa ki gen rapò ak sijè leson nou an. Teknoloji enspeksyon HTTPS fèt pou rezoud pwoblèm sa a. Sans li trè senp - an reyalite, yon aparèy ki fè enspeksyon HTTPS òganize yon atak Man In The Middle. Li sanble yon bagay tankou sa a: FortiGate entèsepte demann itilizatè a, òganize yon koneksyon HTTPS ak li, ak Lè sa a, louvri yon sesyon HTTPS ak resous itilizatè a jwenn aksè. Nan ka sa a, sètifika FortiGate bay yo pral vizib sou òdinatè itilizatè a. Li dwe fè konfyans pou navigatè a pèmèt koneksyon an.
An reyalite, enspeksyon HTTPS se yon bagay olye konplike e li gen anpil limit, men nou pa pral konsidere sa a nan kou sa a. Mwen pral jis ajoute ke aplike enspeksyon HTTPS se pa yon kesyon de minit li anjeneral pran apeprè yon mwa. Li nesesè pou kolekte enfòmasyon sou eksepsyon ki nesesè yo, fè paramèt ki apwopriye yo, kolekte fidbak nan men itilizatè yo, epi ajiste paramèt yo.
Teyori yo bay la, ansanm ak pati pratik la, yo prezante nan leson videyo sa a:
Nan pwochen leson an nou pral gade lòt pwofil sekirite: antivirus ak sistèm prevansyon entrizyon. Pou pa rate li, swiv mizajou yo sou chanèl sa yo:
Sous: www.habr.com