salam sejahtera! Selamat datang ke pelajaran keenam kursus . Pada kami telah menguasai asas bekerja dengan teknologi NAT pada , dan juga mengeluarkan pengguna ujian kami ke Internet. Kini tiba masanya untuk menjaga keselamatan pengguna di kawasan lapangnya. Dalam pelajaran ini kita akan melihat profil keselamatan berikut: Penapisan Web, Kawalan Aplikasi dan pemeriksaan HTTPS.
Untuk bermula dengan profil keselamatan, kita perlu memahami satu perkara lagi: mod pemeriksaan.
Lalai ialah mod Berdasarkan Aliran. Ia menyemak fail semasa mereka melalui FortiGate tanpa penimbalan. Sebaik sahaja paket tiba, ia diproses dan dimajukan, tanpa menunggu keseluruhan fail atau halaman web diterima. Ia memerlukan lebih sedikit sumber dan memberikan prestasi yang lebih baik daripada mod Proksi, tetapi pada masa yang sama, tidak semua fungsi Keselamatan tersedia di dalamnya. Contohnya, Pencegahan Kebocoran Data (DLP) hanya boleh digunakan dalam mod Proksi.
Mod proksi berfungsi secara berbeza. Ia mewujudkan dua sambungan TCP, satu antara pelanggan dan FortiGate, yang kedua antara FortiGate dan pelayan. Ini membolehkannya menampan trafik, iaitu menerima fail atau halaman web yang lengkap. Mengimbas fail untuk pelbagai ancaman bermula hanya selepas keseluruhan fail telah ditimbal. Ini membolehkan anda menggunakan ciri tambahan yang tidak tersedia dalam mod berasaskan Aliran. Seperti yang anda lihat, mod ini nampaknya bertentangan dengan Flow Based - keselamatan memainkan peranan utama di sini, dan prestasi mengambil tempat duduk belakang.
Orang sering bertanya: mod mana yang lebih baik? Tetapi tidak ada resipi umum di sini. Segala-galanya sentiasa individu dan bergantung pada keperluan dan matlamat anda. Kemudian dalam kursus saya akan cuba menunjukkan perbezaan antara profil keselamatan dalam mod Aliran dan Proksi. Ini akan membantu anda membandingkan fungsi dan memutuskan yang terbaik untuk anda.
Mari beralih terus ke profil keselamatan dan mula-mula lihat Penapisan Web. Ia membantu untuk memantau atau menjejak tapak web yang dilawati pengguna. Saya fikir tidak ada keperluan untuk menjelaskan lebih mendalam tentang keperluan untuk profil sedemikian dalam realiti semasa. Mari kita lebih memahami cara ia berfungsi.
Setelah sambungan TCP diwujudkan, pengguna menggunakan permintaan GET untuk meminta kandungan tapak web tertentu.
Jika pelayan web bertindak balas secara positif, ia menghantar maklumat tentang tapak web kembali. Di sinilah penapis web memainkan peranan. Ia mengesahkan kandungan respons ini. Semasa pengesahan, FortiGate menghantar permintaan masa nyata kepada Rangkaian Pengedaran FortiGuard (FDN) untuk menentukan kategori tapak web yang diberikan. Selepas menentukan kategori tapak web tertentu, penapis web, bergantung pada tetapan, melakukan tindakan tertentu.
Terdapat tiga tindakan yang tersedia dalam mod Aliran:
- Benarkan - benarkan akses ke tapak web
- Sekat - sekat akses ke laman web
- Pantau - benarkan akses ke tapak web dan rekodkannya dalam log
Dalam mod Proksi, dua lagi tindakan ditambah:
- Amaran - beri amaran kepada pengguna bahawa dia cuba melawati sumber tertentu dan beri pilihan kepada pengguna - teruskan atau tinggalkan tapak web
- Sahkan - Minta bukti kelayakan pengguna - ini membenarkan kumpulan tertentu mengakses kategori tapak web yang terhad.
Laman web ini anda boleh melihat semua kategori dan subkategori penapis web, dan juga mengetahui kategori mana tapak web tertentu berada. Dan secara umum, ini adalah tapak yang cukup berguna untuk pengguna penyelesaian Fortinet, saya menasihati anda untuk mengenalinya dengan lebih baik pada masa lapang anda.
Terdapat sangat sedikit yang boleh dikatakan tentang Kawalan Aplikasi. Seperti namanya, ia membolehkan anda mengawal operasi aplikasi. Dan dia melakukan ini menggunakan corak daripada pelbagai aplikasi, yang dipanggil tandatangan. Menggunakan tandatangan ini, dia boleh mengenal pasti aplikasi tertentu dan menggunakan tindakan khusus padanya:
- Benarkan - benarkan
- Pantau - benarkan dan log ini
- Sekat - larang
- Kuarantin - merekodkan peristiwa dalam log dan sekat alamat IP untuk masa tertentu
Anda juga boleh melihat tandatangan sedia ada di laman web .
Sekarang mari kita lihat mekanisme pemeriksaan HTTPS. Menurut statistik pada penghujung 2018, bahagian trafik HTTPS melebihi 70%. Iaitu, tanpa menggunakan pemeriksaan HTTPS, kami akan dapat menganalisis hanya kira-kira 30% daripada trafik yang melalui rangkaian. Mula-mula, mari kita lihat cara HTTPS berfungsi dalam anggaran kasar.
Pelanggan memulakan permintaan TLS ke pelayan web dan menerima respons TLS, dan juga melihat sijil digital yang mesti dipercayai untuk pengguna ini. Ini adalah minimum yang perlu kita ketahui tentang cara HTTPS berfungsi; sebenarnya, cara ia berfungsi adalah lebih rumit. Selepas jabat tangan TLS berjaya, pemindahan data yang disulitkan bermula. Dan ini bagus. Tiada sesiapa boleh mengakses data yang anda tukar dengan pelayan web.
Walau bagaimanapun, bagi pegawai keselamatan syarikat ini adalah pening kepala, kerana mereka tidak dapat melihat trafik ini dan menyemak kandungannya sama ada dengan antivirus, atau sistem pencegahan pencerobohan, atau sistem DLP, atau apa-apa sahaja. Ini juga menjejaskan kualiti takrifan aplikasi dan sumber web yang digunakan dalam rangkaian secara negatif - betul-betul perkara yang berkaitan dengan topik pelajaran kami. Teknologi pemeriksaan HTTPS direka untuk menyelesaikan masalah ini. Intipatinya sangat mudah - sebenarnya, peranti yang melakukan pemeriksaan HTTPS menganjurkan serangan Man In The Middle. Ia kelihatan seperti ini: FortiGate memintas permintaan pengguna, mengatur sambungan HTTPS dengannya, dan kemudian membuka sesi HTTPS dengan sumber yang diakses pengguna. Dalam kes ini, sijil yang dikeluarkan oleh FortiGate akan kelihatan pada komputer pengguna. Ia mesti dipercayai untuk pelayar membenarkan sambungan.
Sebenarnya, pemeriksaan HTTPS adalah perkara yang agak rumit dan mempunyai banyak batasan, tetapi kami tidak akan mempertimbangkan perkara ini dalam kursus ini. Saya hanya akan menambah bahawa melaksanakan pemeriksaan HTTPS bukan hanya beberapa minit; ia biasanya mengambil masa kira-kira sebulan. Adalah perlu untuk mengumpul maklumat tentang pengecualian yang diperlukan, membuat tetapan yang sesuai, mengumpul maklum balas daripada pengguna, dan melaraskan tetapan.
Teori yang diberikan, serta bahagian praktikal, dibentangkan dalam pelajaran video ini:
Dalam pelajaran seterusnya kita akan melihat profil keselamatan lain: antivirus dan sistem pencegahan pencerobohan. Untuk tidak ketinggalan, ikuti kemas kini pada saluran berikut:
Sumber: www.habr.com