Salvete! Lectio septima salutationis cursum . in percontationes tam securitatis quam interretialem eliquationem, Applicationem et HTTPS inspectionem, percepimus. In hac lectione continuabimus introductionem nostram ad personas securitatis. Primum cognoscemus rationes theoricae operationis antiviri et intrusionis praeventionis systematis, et tunc videbimus quomodo hae rationes securitatis in usu operantur.
Incipiamus cum antiviro. Primum disseramus technologias quas FortiGate utitur ad virus deprehendendum:
Antivirus intuens facillima est et velocissima methodus virus deprehendendi. Virus detegit quod subscriptionibus in anti-viro database contentis omnino congruit.
Grayware Scan vel programmata invitis intuens - haec technicae rationes deprehendit inutiles qui instituuntur sine cognitione vel consensu usoris. Technice haec programmata virus non sunt. Solent cum aliis programmatibus fasciculos venire, sed cum inaugurati sunt, systema negative afficiunt, quam ob causam malware classificatae sunt. Saepe huiusmodi programmata deprehendi possunt subscriptionibus simplicibus grayware notis ex turpi investigationis FortiGuard.
Heuristica intuens - haec technica probabilitatibus nititur, cuius usus effectus falsos positivos causare potest, sed virus etiam nullum diem deprehendere potest. Virus diei nulla sunt nova virus quae nondum investigata sunt et nullae sunt subscriptiones quae eas deprehendere possent. Heuristica intuens per defaltam non datur et in linea mandatorum praestari debet.
Si omnes antivirus facultates praestant, FortiGate eas hoc ordine applicat: antivirus intuens, grayware inspectionem, heuristica intuens.
FortiGate pluribus anti-virus database uti potest, secundum opera:
- Normalis antivirus database (Normal) - in omnibus exemplaribus FortiGate contentis. Subscriptiones includit virus recentibus mensibus repertis. Hoc minimum antivirus datorum est, ut velocissimos lustrat cum usus est. Nihilominus, haec datorum omnium nota virus deprehendere non potest.
- Fundo - haec basis exemplis plurimis FortiGate sustentatur. Usus ad virus deprehendendum activae iam non sunt. Multa suggesta his virus adhuc vulnerabilia sunt. Etiam haec virus difficultates in futuro causare possunt.
- Basis ultima, extrema (Extreme) - in infrastructuris adhibetur, ubi alta securitas requiritur. Cum eius auxilio deprehendere potes omnia virus notarum, etiam virus quae ad systemata operandi iam pridem destinata sunt, quae tempore non late distribuuntur. Hoc genus database subscriptionis etiam ab omnibus exemplaribus FortiGate non praebetur.
Est etiam subscriptio compacta database ad celeriter intuens disposito. De hoc paulo post loquemur.
Anti- virus databases renovare potes diversis modis utens.
Prima methodus est Ventilabis Update, quae datorum datorum renovari potest quam primum investigationis FortiGuard database renovationem emittit. Hoc utile est substructionibus quae altam securitatem requirunt, cum FortiGate urgentes updates recipiet quam primum in promptu sunt.
Secundus modus est ponendi cedulam. Hoc modo inspicias pro updates omni hora, die vel septimana. Hoc est, hic tempus discretioni vestrae apponendum est.
Hi modi simul adhiberi possunt.
Sed memorare debes ut renovationes faciendae sint, debes profile antivirus unius saltem consilii firewall. Alioquin updates non fiet.
Potes etiam updates ex Fortinet situ subsidii deponere et inde manually eas ad FortiGate imponere.
Intueamur modos intuens. Ex his tantum tres sunt - Modus plenus in modum fluens substructus, modus Velox in modum fluens substructus, et modus plenus in procuratorio. Let's start with Full Mod in flow modus.
Dicamus user velle limam extrahere. Petitionem mittit. Servo incipit mittere fasciculos qui tabellam faciunt. Usor statim has fasciculos recipit. Sed antequam has fasciculos usori tradit, FortiGate eas condit. Post FortiGate ultimum fasciculum accipit, tabellam intuens incipit. Hoc tempore, ultima fasciculus amet neque transmittitur in usorem. Si tabella virus non continet, fasciculus tardus ad usorem mittitur. Si virus deprehensum est, FortiGate nexum cum usore frangit.
Secundus modus intuens available in Flu Substructio Velox Modus est. Subscriptio datorum compacto utitur, quod pauciores subscriptiones continet quam datorum regularium. Habet etiam limitationes nonnullas cum plena Modo comparatas:
- Non potest mittere ad sandbox
- Non potest uti analysis heuristica
- Etiam uti non potest fasciculis ad malware mobile
- Exemplaria quaedam gradum ingressum non hunc modum sustinent.
Velox modus etiam mercaturam sistit virus, vermes, troianos et malware, sed sine buffering. Hoc melius effectus praebet, sed simul verisimilitudo deprehendendi virus minuitur.
In proxy modo, solus modus intuens promptus est modus plenus. Cum tali scan, FortiGate primum totam fasciam in se reponit (nisi, sane, quantitatis fasciculi inspiciendo exceditur). Cliens exspectandum est, ut scan perficiat. Si virus in inspecto detegitur, usor statim notificabitur. Quia FortiGate primum totam tabellam servat et postea eam lustrat, hoc satis diu capere potest. Propter hoc potest clienti nexum terminare antequam tabellam ob longam moram recipiat.
Figura infra ostendit comparationem tabulae ad modos intuendi - adiuvabit uter considerandi genus ad opera tua aptum sit. Constitutio et inhibitio functionis antiviri discutitur in usu in video in fine articuli.
Ad alteram partem transeamus lectionis - systematis intrusionis praeventionis. Sed ut IPS studere incipias, debes differentiam inter res gestas et anomalias intelligere, et etiam quae machinationes FortiGate adversus eas tueri utitur.
Res gestae notae sunt impetus cum exemplaribus specificis quae uti IPS, WAF vel antivirus subscriptionibus deprehendi possunt.
Anomaliae mores in retis insolitis sunt, ut inusitatae magnitudinis negotiationis vel consummationis CPU solito altiores, anomaliae viverra opus sunt quia signa novi, inexploratae oppugnationis possunt esse. Anomaliae plerumque deprehenduntur utentes analysi morum - sic dictae rate-substructae subscriptionibus et rationibus agendi DoS.
Quam ob rem, IPS in FortiGate basibus subscriptionis utitur ad notas impetus deprehendendas, et subscriptiones Rate-Substructas et doS rationes ad varias anomalias deprehendendas.
Defalta, IPS subscriptionum institutio initialis cum unaquaque versione systematis operantis FortiGate comprehenditur. Cum updates, FortiGate novas subscriptiones accipit. Hoc modo IPS efficax manet adversus novas res gestas. FortiGuard updates subscriptiones IPS satis frequenter.
Magni momenti punctum ad utrumque IPS et antivirum applicabile est quod, si licentiae tuae exspiraverint, adhuc recentissimas subscriptiones receptas uti potes. Sed novas sine licenciis obtinere non poteris. Absentia ergo licentiarum valde incommodum est - si novae insidiae appareant, non poteris te vetustis subscriptionibus tueri.
IPS signaturae databases in regulares et extensae divisae sunt. Typical database subscriptiones continet pro communibus incursionibus raro vel numquam positivis falsis causantibus. Actio praefigurata plurium harum subscriptionum impedita est.
Extensi datorum datorum impetus additos continet subscriptiones quae notabilem habent ictum in agendis systematis, vel ob peculiarem naturam suam obstrui non possunt. Ob magnitudinem database huius, in FortiGate exempla cum parvis disco vel RAM praesto non est. Sed sit amet orci mauris, eget iaculis turpis.
De erigendis et inspiciendis functionibus IPS etiam in vide infra agetur.
In altera lectione videbimus operantes cum usoribus. Ut non desideres, updates canales sequentes sequere;
Source: www.habr.com