salam! Sugeng rawuh ing wulangan kaping pitu kursus . Ing kita kenal karo profil keamanan kayata Filter Web, Kontrol Aplikasi lan inspeksi HTTPS. Ing pawulangan iki kita bakal nerusake introduksi kanggo profil keamanan. Kaping pisanan, kita bakal kenal karo aspek teoretis babagan operasi antivirus lan sistem pencegahan intrusi, banjur kita bakal ndeleng kepiye profil keamanan kasebut bisa ditindakake.
Ayo dadi miwiti karo antivirus. Pisanan, ayo ngrembug babagan teknologi sing digunakake FortiGate kanggo ndeteksi virus:
Antivirus scanning minangka cara paling gampang lan paling cepet kanggo ndeteksi virus. Ndeteksi virus sing cocog karo tanda tangan sing ana ing basis data anti-virus.
Grayware Scan utawa mindhai program sing ora dikarepake - teknologi iki ndeteksi program sing ora dikarepake sing diinstal tanpa kawruh utawa idin pangguna. Secara teknis, program kasebut dudu virus. Biasane digabungake karo program liyane, nanging nalika diinstal, bakal mengaruhi sistem kasebut, mulane diklasifikasikake minangka malware. Asring program kasebut bisa dideteksi nggunakake teken grayware prasaja saka basis riset FortiGuard.
Pemindaian heuristik - teknologi iki adhedhasar kemungkinan, mula panggunaane bisa nyebabake efek positif palsu, nanging uga bisa ndeteksi virus nol dina. Virus Zero day minangka virus anyar sing durung diteliti, lan ora ana tandha-tandha sing bisa ndeteksi. Pindai heuristik ora diaktifake kanthi gawan lan kudu diaktifake ing baris printah.
Yen kabeh kabisan antivirus diaktifake, FortiGate ditrapake ing urutan ing ngisor iki: scanning antivirus, scanning grayware, scanning heuristic.
FortiGate bisa nggunakake sawetara database anti-virus, gumantung saka tugas:
- Database antivirus normal (Normal) - sing ana ing kabeh model FortiGate. Iku kalebu teken kanggo virus sing wis ditemokakΓ© ing sasi pungkasan. Iki minangka basis data antivirus sing paling cilik, mula mindai paling cepet nalika digunakake. Nanging, database iki ora bisa ndeteksi kabeh virus dikenal.
- Extended - basis iki didhukung dening paling model FortiGate. Bisa digunakake kanggo ndeteksi virus sing ora aktif maneh. Akeh platform sing isih rentan marang virus kasebut. Uga, virus kasebut bisa nyebabake masalah ing mangsa ngarep.
- Lan pungkasan, basis ekstrim (Ekstrim) - digunakake ing infrastruktur sing mbutuhake tingkat keamanan sing dhuwur. Kanthi bantuan, sampeyan bisa ndeteksi kabeh virus sing dikenal, kalebu virus sing ditujokake kanggo sistem operasi sing wis lawas, sing saiki ora disebarake sacara wiyar. Database teken jinis iki uga ora didhukung dening kabeh model FortiGate.
Ana uga database teken kompak sing dirancang kanggo mindhai cepet. Kita bakal ngomong babagan iki mengko.
Sampeyan bisa nganyari database anti-virus nggunakake macem-macem cara.
Cara pisanan yaiku Push Update, sing ngidini database dianyari sanalika database riset FortiGuard ngeculake nganyari. Iki migunani kanggo prasarana sing mbutuhake tingkat keamanan sing dhuwur, amarga FortiGate bakal nampa nganyari cepet sanalika kasedhiya.
Cara kapindho yaiku nyetel jadwal. Kanthi cara iki sampeyan bisa mriksa nganyari saben jam, dina utawa minggu. Tegese, ing kene rentang wektu disetel miturut kawicaksanan sampeyan.
Cara kasebut bisa digunakake bebarengan.
Nanging sampeyan kudu elinga yen supaya nganyari bisa digawe, sampeyan kudu ngaktifake profil antivirus kanggo paling ora siji kabijakan firewall. Yen ora, nganyari ora bakal digawe.
Sampeyan uga bisa ndownload nganyari saka situs dhukungan Fortinet banjur upload kanthi manual menyang FortiGate.
Ayo katon ing mode mindhai. Mung ana telu - Mode Lengkap ing mode Flow Based, Mode Cepet ing mode Flow Based, lan Mode Full ing mode proxy. Ayo dadi miwiti karo Mode Full ing mode Aliran.
Contone, pangguna pengin ngundhuh file. Dheweke ngirim panjaluk. Server wiwit ngirim paket sing nggawe file kasebut. Pangguna langsung nampa paket kasebut. Nanging sadurunge ngirim paket kasebut menyang pangguna, FortiGate nggawe cache. Sawise FortiGate nampa paket pungkasan, iku wiwit mindhai file. Ing wektu iki, paket pungkasan wis antri lan ora dikirim menyang pangguna. Yen file ora ngemot virus, paket paling anyar dikirim menyang pangguna. Yen virus dideteksi, FortiGate ngilangi sambungan karo pangguna.
Mode mindhai kapindho sing kasedhiya ing Flow Based yaiku Mode Cepet. Iku nggunakake database teken kompak, kang ngemot teken kurang saka database biasa. Uga duwe sawetara watesan dibandhingake Full Mode:
- Ora bisa ngirim file menyang kothak wedhi
- Ora bisa nggunakake analisis heuristik
- Uga ora bisa nggunakake paket sing gegandhengan karo malware seluler
- Sawetara model level entri ora ndhukung mode iki.
Mode cepet uga mriksa lalu lintas kanggo virus, worm, trojan lan malware, nanging tanpa buffering. Iki nyedhiyakake kinerja sing luwih apik, nanging ing wektu sing padha kemungkinan ndeteksi virus suda.
Ing mode Proxy, mung mode mindhai sing kasedhiya yaiku Mode Lengkap. Kanthi pemindaian kasebut, FortiGate pisanan nyimpen kabeh file kasebut dhewe (kajaba, mesthine, ukuran file sing diidini kanggo mindhai ngluwihi). Klien kudu ngenteni scan rampung. Yen virus dideteksi nalika mindhai, pangguna bakal langsung dilaporake. Amarga FortiGate pisanan nyimpen kabeh file banjur mindai, iki bisa njupuk wektu sing cukup suwe. Amarga iki, klien bisa mungkasi sambungan sadurunge nampa file amarga wektu tundha.
Tokoh ing ngisor iki nuduhake tabel perbandingan kanggo mode pemindaian - bakal mbantu sampeyan nemtokake jinis pemindaian sing cocog kanggo tugas sampeyan. Nyetel lan mriksa fungsi antivirus dibahas ing praktik ing video ing pungkasan artikel.
Ayo pindhah menyang bagean kapindho pelajaran - sistem pencegahan intrusi. Nanging kanggo miwiti sinau IPS, sampeyan kudu ngerti prabΓ©dan antarane eksploitasi lan anomali, lan uga ngerti apa mekanisme FortiGate digunakake kanggo nglindhungi marang.
Eksploitasi yaiku serangan sing dikenal kanthi pola tartamtu sing bisa dideteksi nggunakake IPS, WAF, utawa tanda tangan antivirus.
Anomali minangka prilaku sing ora biasa ing jaringan, kayata lalu lintas sing luar biasa gedhe utawa luwih dhuwur tinimbang konsumsi CPU normal. Anomali kudu dipantau amarga bisa dadi tandha serangan anyar sing durung ditelusuri. Anomali biasane dideteksi nggunakake analisis prilaku - sing diarani teken adhedhasar tarif lan kabijakan DoS.
AkibatΓ©, IPS ing FortiGate nggunakake basis teken kanggo ndeteksi serangan dikenal, lan teken Rate-Based lan kawicaksanan DoS kanggo ndeteksi macem-macem anomali.
Kanthi gawan, set wiwitan tandha IPS kalebu ing saben versi sistem operasi FortiGate. Kanthi nganyari, FortiGate nampa teken anyar. Kanthi cara iki, IPS tetep efektif nglawan eksploitasi anyar. FortiGuard nganyari teken IPS cukup kerep.
Titik penting sing ditrapake kanggo IPS lan antivirus yaiku yen lisensi sampeyan wis kadaluwarsa, sampeyan isih bisa nggunakake tandha tangan paling anyar sing ditampa. Nanging sampeyan ora bakal bisa entuk sing anyar tanpa lisensi. Mulane, ora ana lisensi banget ora dikarepake - yen serangan anyar katon, sampeyan ora bakal bisa nglindhungi dhewe nganggo teken lawas.
Database teken IPS dipΓ©rang dadi biasa lan ditambahi. Basis data khas ngemot teken kanggo serangan umum sing arang banget utawa ora nate nyebabake positip palsu. Tumindak sing wis dikonfigurasi kanggo umume tandha-tandha kasebut yaiku pamblokiran.
Basis data lengkap ngemot tandha serangan tambahan sing nduwe pengaruh signifikan marang kinerja sistem, utawa sing ora bisa diblokir amarga sifat khusus. Amarga ukuran database iki, ora kasedhiya ing model FortiGate karo disk cilik utawa RAM. Nanging kanggo lingkungan sing aman banget, sampeyan bisa uga kudu nggunakake basis lengkap.
Nyetel lan mriksa fungsi IPS uga dibahas ing video ing ngisor iki.
Ing pawulangan sabanjure kita bakal ndeleng nggarap pangguna. Supaya ora kantun, tindakake nganyari ing saluran ing ngisor iki:
Source: www.habr.com