Silav! Hûn bi xêr hatin dersa şeşemîn a qursê . Li ser me bingehên xebata bi teknolojiya NAT-ê re serwer kiriye , û di heman demê de bikarhênerê me yê ceribandinê li ser Înternetê jî derxist. Naha dem dema lênihêrîna ewlehiya bikarhêner li cîhên wî yên vekirî ye. Di vê dersê de em ê li profîlên ewlehiyê yên jêrîn binêrin: Parzûnkirina Webê, Kontrola Serlêdanê, û Kontrola HTTPS.
Ji bo ku em bi profîlên ewlehiyê re dest pê bikin, pêdivî ye ku em tiştek din fam bikin: modên vekolînê.
Vebijêrk moda Bingeha Herikînê ye. Dema ku ew di FortiGate-ê de bêyî tampon derbas dibin ew pelan kontrol dike. Dema ku pakêt tê, ew tê pêvajo kirin û şandin, bêyî ku li benda wergirtina tevahî pel an rûpela malperê bimîne. Ew kêmtir çavkaniyan hewce dike û performansa çêtir ji moda Proxy peyda dike, lê di heman demê de, ne hemî fonksiyonên Ewlekariyê tê de heye. Mînakî, Pêşîlêgirtina Leakkirina Daneyên (DLP) tenê di moda Proxy de dikare were bikar anîn.
Moda proxy cûda dixebite. Ew du girêdanên TCP-ê diafirîne, yek di navbera xerîdar û FortiGate de, ya duyemîn di navbera FortiGate û serverê de. Ev dihêle ku ew seyrûseferê tampon bike, ango pelek an rûpelek malperê ya bêkêmasî bistîne. Paqijkirina pelan ji bo tehdîdên cihêreng tenê piştî ku tevahiya pelê tampon kirin dest pê dike. Ev dihêle hûn taybetmendiyên din ên ku di moda bingehîn a Flow de tune bikar bînin. Wekî ku hûn dikarin bibînin, ev mod berevajî Flow Based xuya dike - ewlehî li vir rolek sereke dilîze, û performans li cîhek paşde digire.
Mirov pir caran dipirsin: kîjan mod çêtir e? Lê li vir reçeteyek giştî tune. Her tişt her gav kesane ye û bi hewcedarî û armancên we ve girêdayî ye. Dûv re di qursê de ez ê hewl bidim ku cûdahiyên di navbera profîlên ewlehiyê de di modên Flow û Proxy de nîşan bidim. Ev ê ji we re bibe alîkar ku hûn fonksiyonê bidin ber hev û biryar bidin ka kîjan ji we re çêtirîn e.
Ka em rasterast biçin profîlên ewlehiyê û pêşî li Parzûnkirina Webê binihêrin. Ew ji bo şopandin an şopandina kîjan malperên ku bikarhêner serdana wan dikin dibe alîkar. Ez difikirim ku ne hewce ye ku meriv kûrtir bikeve ravekirina hewcedariya profîlek wusa di rastiyên heyî de. Ka em çêtir fam bikin ka ew çawa dixebite.
Dema ku pêwendiyek TCP-ê hate saz kirin, bikarhêner daxwaznameyek GET bikar tîne da ku naveroka malperek taybetî bixwaze.
Ger servera malperê bi erênî bersivê bide, ew agahdariya li ser malperê paşde dişîne. Li vir parzûna webê dileyize. Ew naveroka vê bersivê piştrast dike. Di dema verastkirinê de, FortiGate daxwazek rast-dem ji Tora Belavkirina FortiGuard (FDN) re dişîne da ku kategoriya malperê diyar bike. Piştî destnîşankirina kategoriya malperek taybetî, parzûna malperê, li gorî mîhengan, çalakiyek taybetî pêk tîne.
Di moda Flow de sê çalakî hene:
- Destûr bide - destûr bide gihîştina malperê
- Astengkirin - gihîştina malperê asteng bike
- Monitor - destûr bide gihîştina malperê û wê di têketinan de tomar bike
Di moda Proxy de, du çalakiyên din têne zêdekirin:
- Hişyarî - hişyariyek bide bikarhêner ku ew hewl dide ku serdana çavkaniyek diyarkirî bike û bijarek bide bikarhêner - berdewam bike an ji malperê derkeve
- Rastandin - Daxwaza pêbaweriyên bikarhêner - ev dihêle hin kom bigihîjin kategoriyên qedexekirî yên malperan.
Li ser malperê hûn dikarin hemî kategorî û binkategoriyên parzûna malperê bibînin, û her weha fêr bibin ka malperek taybetî ji kîjan kategoriyê ye. Û bi gelemperî, ev malperek pir bikêr e ji bo bikarhênerên çareseriyên Fortinet, ez ji we re şîret dikim ku hûn di dema xweya vala de wê çêtir nas bikin.
Di derbarê Kontrola Serlêdanê de pir hindik dikare were gotin. Wekî ku ji navê xwe diyar dike, ew dihêle hûn operasyona sepanan kontrol bikin. Û ew vê yekê bi karanîna qalibên ji serîlêdanên cihêreng, bi navê îmzeyan, dike. Bi karanîna van îmzeyan, ew dikare serîlêdanek taybetî nas bike û çalakiyek taybetî jê re bicîh bîne:
- Destûr - destûr
- Monitor - destûrê bidin û vê yekê tomar bikin
- Astengkirin - qedexekirin
- Quarantîne - bûyerek di têketinê de tomar bikin û navnîşana IP-yê ji bo demek diyarkirî asteng bikin
Her weha hûn dikarin li ser malperê îmzeyên heyî bibînin .
Naha em li mekanîzmaya vekolîna HTTPS binihêrin. Li gorî îstatîstîkên di dawiya sala 2018an de, para trafîka HTTPS ji %70 derbas bû. Ango, bêyî karanîna kontrolkirina HTTPS-ê, em ê karibin tenê% 30-ê seyrûsefera ku di nav torê re derbas dibe analîz bikin. Pêşîn, bila em binihêrin ka HTTPS çawa bi nêzîkbûnek hişk dixebite.
Xerîdar daxwazek TLS ji servera malperê re dide destpêkirin û bersivek TLS distîne, û di heman demê de sertîfîkayek dîjîtal jî dibîne ku divê ji bo vî bikarhêner pêbawer be. Ev kêmtirîn kêm e ku divê em zanibin ka HTTPS çawa dixebite; Bi rastî, awayê ku ew dixebite pir tevlihevtir e. Piştî destanek serketî ya TLS, veguheztina daneya şîfrekirî dest pê dike. Û ev baş e. Tu kes nikare xwe bigihîne daneyên ku hûn bi servera malperê re diguhezînin.
Lêbelê, ji bo efserên ewlehiya pargîdaniyê ev serêşiyek rastîn e, ji ber ku ew nikanin vê seyrûseferê bibînin û naveroka wê bi antivirus, an pergalek pêşîlêgirtina destwerdanê, an pergalên DLP, an tiştek din kontrol bikin. Ev jî bandorek neyînî li ser kalîteya pênasekirina serîlêdan û çavkaniyên webê yên ku di nav torê de têne bikar anîn - bi rastî ya ku bi mijara dersa me ve girêdayî ye. Teknolojiya kontrolkirina HTTPS ji bo çareserkirina vê pirsgirêkê hatî çêkirin. Esasê wê pir hêsan e - di rastiyê de, amûrek ku teftîşa HTTPS pêk tîne êrîşek Man In The Middle organîze dike. Tiştek wusa xuya dike: FortiGate daxwaziya bikarhêner dişoxilîne, pêwendiyek HTTPS bi wê re organîze dike, û dûv re bi çavkaniya ku bikarhêner gihîştiye rûniştek HTTPS vedike. Di vê rewşê de, sertîfîkaya ku ji hêla FortiGate ve hatî derxistin dê li ser komputera bikarhêner xuya bibe. Pêdivî ye ku ew pêbawer be ku gerok destûr bide girêdanê.
Bi rastî, teftîşa HTTPS tiştek pir tevlihev e û gelek sînor hene, lê em ê di vê qursê de vê yekê nehesibînin. Ez ê tenê lê zêde bikim ku bicîhkirina teftîşa HTTPS ne meseleyek hûrdemî ye; ew bi gelemperî bi qasî mehekê digire. Pêdivî ye ku meriv di derheqê îstîsnayên pêwîst de agahdarî berhev bike, mîhengên guncan çêbike, ji bikarhêneran bertek berhev bike, û mîhengan sererast bike.
Teoriya hatî dayîn, û hem jî beşa pratîkî, di vê dersa vîdyoyê de têne pêşkêş kirin:
Di dersa paşîn de em ê li profîlên ewlehiyê yên din binêrin: antivirus û pergala pêşîlêgirtina destwerdanê. Ji bo ku hûn wê ji bîr nekin, nûvekirinên li ser kanalên jêrîn bişopînin:
Source: www.habr.com