Мэндчилгээ! Хичээлийн зургаа дахь хичээлд тавтай морилно уу . Дээр бид NAT технологитой ажиллах үндсийг эзэмшсэн , мөн манай туршилтын хэрэглэгчийг интернетэд гаргасан. Одоо түүний задгай талбайд хэрэглэгчийн аюулгүй байдалд санаа тавих цаг болжээ. Энэ хичээлээр бид дараах аюулгүй байдлын профайлыг үзэх болно: Вэб шүүлтүүр, Програмын хяналт, HTTPS шалгалт.
Аюулгүй байдлын профайлыг эхлүүлэхийн тулд бид өөр нэг зүйлийг ойлгох хэрэгтэй: хяналтын горимууд.
Өгөгдмөл нь Урсгалд суурилсан горим юм. Энэ нь файлуудыг буферлэхгүйгээр FortiGate-ээр дамжин өнгөрөх үед шалгадаг. Пакет ирсний дараа файл эсвэл вэб хуудсыг бүхэлд нь хүлээн авахыг хүлээхгүйгээр боловсруулж, дамжуулдаг. Энэ нь бага нөөц шаарддаг бөгөөд прокси горимоос илүү сайн гүйцэтгэлтэй байдаг, гэхдээ үүний зэрэгцээ аюулгүй байдлын бүх функцууд байдаггүй. Жишээлбэл, Data Leak Prevention (DLP) нь зөвхөн Прокси горимд ашиглагдах боломжтой.
Прокси горим өөрөөр ажилладаг. Энэ нь үйлчлүүлэгч болон FortiGate хооронд, хоёр дахь нь FortiGate болон серверийн хооронд хоёр TCP холболт үүсгэдэг. Энэ нь траффикийг буфер, өөрөөр хэлбэл бүрэн файл эсвэл вэб хуудсыг хүлээн авах боломжийг олгодог. Файлыг бүхэлд нь буфержүүлсний дараа л янз бүрийн аюулыг илрүүлэх файлуудыг сканнердаж эхэлнэ. Энэ нь урсгалд суурилсан горимд байхгүй нэмэлт функцуудыг ашиглах боломжийг танд олгоно. Таны харж байгаагаар энэ горим нь Урсгалд суурилсан горимын эсрэг юм шиг санагдаж байна - аюулгүй байдал нь энд гол үүрэг гүйцэтгэдэг бөгөөд гүйцэтгэл нь арын суудалд суудаг.
Хүмүүс ихэвчлэн асуудаг: аль горим нь илүү дээр вэ? Гэхдээ энд ерөнхий жор байдаггүй. Бүх зүйл үргэлж хувь хүн бөгөөд таны хэрэгцээ, зорилгоос хамаарна. Хичээлийн дараа би Flow болон Proxy горимуудын хамгаалалтын профайлуудын ялгааг харуулахыг хичээх болно. Энэ нь функцийг харьцуулж, аль нь танд тохирохыг шийдэхэд тусална.
Хамгаалалтын профайл руу шууд шилжиж эхлээд Вэб шүүлтүүрийг харцгаая. Энэ нь хэрэглэгчдийн зочилдог вэб сайтыг хянах, хянахад тусалдаг. Одоогийн бодит байдалд ийм профайл хэрэгтэйг тайлбарлахын тулд илүү гүнзгийрүүлэх шаардлагагүй гэж бодож байна. Энэ нь хэрхэн ажилладагийг илүү сайн ойлгоцгооё.
TCP холболтыг үүсгэсний дараа хэрэглэгч тодорхой вэб сайтын агуулгыг хүсэхдээ GET хүсэлтийг ашигладаг.
Хэрэв вэб сервер эерэг хариу өгвөл вэбсайтын талаарх мэдээллийг буцааж илгээдэг. Энэ бол вэб шүүлтүүр тоглох газар юм. Энэ нь энэ хариултын агуулгыг баталгаажуулдаг. Баталгаажуулах явцад FortiGate нь тухайн вэбсайтын ангиллыг тодорхойлохын тулд FortiGuard Distribution Network (FDN) руу бодит цагийн хүсэлт илгээдэг. Тодорхой вэбсайтын ангиллыг тодорхойлсны дараа вэб шүүлтүүр нь тохиргооноос хамааран тодорхой үйлдлийг гүйцэтгэдэг.
Урсгал горимд гурван үйлдэл хийх боломжтой:
- Зөвшөөрөх - вэбсайт руу нэвтрэхийг зөвшөөрөх
- Блок - вэбсайт руу нэвтрэхийг хориглох
- Хяналт - вэб сайт руу нэвтрэхийг зөвшөөрч, бүртгэлд бүртгэнэ
Прокси горимд өөр хоёр үйлдэл нэмэгдсэн:
- Анхааруулга - хэрэглэгчдэд тодорхой эх сурвалж руу зочлохыг оролдож байгааг анхааруулж, хэрэглэгчдэд сонголт өгөх - вэбсайтыг үргэлжлүүлэх эсвэл орхих
- Баталгаажуулах - Хэрэглэгчийн итгэмжлэлийг хүсэх - энэ нь тодорхой бүлгүүдэд вэбсайтын хязгаарлагдмал ангилалд хандах боломжийг олгодог.
Сайт дээр Та вэб шүүлтүүрийн бүх ангилал, дэд ангиллыг үзэж, мөн тухайн вэбсайт аль ангилалд хамаарахыг олж мэдэх боломжтой. Ерөнхийдөө энэ бол Fortinet шийдлүүдийн хэрэглэгчдэд маш хэрэгтэй сайт тул чөлөөт цагаараа үүнийг илүү сайн мэдэхийг танд зөвлөж байна.
Хэрэглээний хяналтын талаар маш бага зүйл хэлж болно. Нэрнээс нь харахад энэ нь програмын ажиллагааг хянах боломжийг олгодог. Мөн тэрээр үүнийг гарын үсэг гэж нэрлэгддэг янз бүрийн хэрэглээний загваруудыг ашиглан хийдэг. Эдгээр гарын үсгийг ашиглан тэрээр тодорхой програмыг тодорхойлж, түүнд тодорхой арга хэмжээ авах боломжтой.
- Зөвшөөрөх - зөвшөөрөх
- Хяналт - зөвшөөрч, бүртгүүлнэ үү
- Блоклох - хориглох
- Хорио цээрийн дэглэм - үйл явдлыг бүртгэлд тэмдэглэж, IP хаягийг тодорхой хугацаанд хаа
Та мөн вэбсайтаас одоо байгаа гарын үсгийг үзэх боломжтой .
Одоо HTTPS шалгах механизмыг харцгаая. 2018 оны эцсийн статистик мэдээллээр HTTPS траффикийн эзлэх хувь 70% -иас давсан байна. Өөрөөр хэлбэл, HTTPS шалгалтыг ашиглахгүйгээр бид сүлжээгээр дамжиж буй траффикийн 30 орчим хувийг л шинжлэх боломжтой болно. Эхлээд HTTPS хэрхэн ажилладагийг ойролцоогоор харцгаая.
Үйлчлүүлэгч нь вэб серверт TLS хүсэлтийг эхлүүлж, TLS хариултыг хүлээн авахаас гадна энэ хэрэглэгчийн хувьд найдвартай байх ёстой дижитал сертификатыг хардаг. Энэ бол HTTPS хэрхэн ажилладаг талаар бидний мэдэх ёстой хамгийн бага хэмжээ; үнэндээ түүний ажиллах арга нь илүү төвөгтэй юм. TLS-ээр амжилттай гар барьсны дараа шифрлэгдсэн өгөгдөл дамжуулалт эхэлнэ. Мөн энэ сайн байна. Таны вэб сервертэй солилцсон өгөгдөлд хэн ч хандах боломжгүй.
Гэсэн хэдий ч компанийн аюулгүй байдлын ажилтнуудын хувьд энэ нь жинхэнэ толгойны өвчин юм, учир нь тэд энэ урсгалыг харж, агуулгыг нь вирусны эсрэг, халдлагаас урьдчилан сэргийлэх систем, DLP систем гэх мэтээр шалгаж чадахгүй. Энэ нь сүлжээний хүрээнд хэрэглэгдэж буй программууд болон вэб нөөцийн тодорхойлолтын чанарт сөргөөр нөлөөлдөг - энэ нь бидний хичээлийн сэдэвтэй яг ямар холбоотой вэ. HTTPS шалгалтын технологи нь энэ асуудлыг шийдвэрлэхэд зориулагдсан. Үүний мөн чанар нь маш энгийн - үнэндээ HTTPS шалгалтыг гүйцэтгэдэг төхөөрөмж нь Man In The Middle халдлагыг зохион байгуулдаг. Энэ нь иймэрхүү харагдаж байна: FortiGate нь хэрэглэгчийн хүсэлтийг таслан зогсоож, түүнтэй HTTPS холболтыг зохион байгуулж, дараа нь хэрэглэгчийн хандсан нөөцөөр HTTPS сессийг нээдэг. Энэ тохиолдолд FortiGate-аас олгосон гэрчилгээ нь хэрэглэгчийн компьютер дээр харагдах болно. Холболтыг зөвшөөрөхийн тулд хөтөч найдвартай байх ёстой.
Үнэн хэрэгтээ HTTPS шалгалт нь нэлээд төвөгтэй зүйл бөгөөд олон хязгаарлалттай боловч бид энэ хичээлд үүнийг авч үзэхгүй. HTTPS шалгалтыг хэрэгжүүлэх нь хэдхэн минутын асуудал биш, ихэвчлэн нэг сар зарцуулдаг гэдгийг би нэмж хэлье. Шаардлагатай үл хамаарах зүйлийн талаар мэдээлэл цуглуулах, зохих тохиргоог хийх, хэрэглэгчдийн санал хүсэлтийг цуглуулах, тохиргоог тохируулах шаардлагатай.
Өгөгдсөн онол, мөн практик хэсгийг энэ видео хичээлд үзүүлэв.
Дараагийн хичээл дээр бид бусад хамгаалалтын профайлуудыг авч үзэх болно: вирусны эсрэг болон халдлагаас урьдчилан сэргийлэх систем. Үүнийг алдахгүйн тулд дараах сувгуудын шинэчлэлтүүдийг дагана уу.
Эх сурвалж: www.habr.com