Tislijiet! Merħba għas-seba' lezzjoni tal-kors . Fuq il sirna familjari ma 'profili ta' sigurtà bħal Web Filtering, Applikazzjoni Kontroll u spezzjoni HTTPS. F'din il-lezzjoni se nkomplu l-introduzzjoni tagħna għall-profili tas-sigurtà. L-ewwel, aħna se jiffamiljarizzaw ruħhom mal-aspetti teoretiċi tat-tħaddim ta 'antivirus u sistema ta' prevenzjoni tal-intrużjoni, u mbagħad se nħarsu lejn kif dawn il-profili tas-sigurtà jaħdmu fil-prattika.
Nibdew bl-antivirus. L-ewwel, ejja niddiskutu t-teknoloġiji li FortiGate juża biex jiskopri viruses:
L-iskannjar tal-antivirus huwa l-eħfef u l-iktar metodu veloċi biex jinstabu viruses. Jiskopri viruses li jaqblu kompletament mal-firem li jinsabu fid-database kontra l-virus.
Grayware Scan jew skannjar ta' programmi mhux mixtieqa - din it-teknoloġija tiskopri programmi mhux mixtieqa li huma installati mingħajr l-għarfien jew il-kunsens tal-utent. Teknikament, dawn il-programmi mhumiex viruses. Normalment jiġu miġbura ma 'programmi oħra, iżda meta jiġu installati jaffettwaw b'mod negattiv is-sistema, u huwa għalhekk li huma kklassifikati bħala malware. Ħafna drabi programmi bħal dawn jistgħu jiġu skoperti bl-użu ta 'firem grayware sempliċi mill-bażi ta' riċerka FortiGuard.
Skennjar euristiku - din it-teknoloġija hija bbażata fuq probabbiltajiet, għalhekk l-użu tagħha jista 'jikkawża effetti pożittivi foloz, iżda tista' wkoll tiskopri viruses ta 'ġurnata żero. Il-viruses Zero day huma viruses ġodda li għadhom ma ġewx studjati, u m'hemm l-ebda firem li jistgħu jiskopruhom. L-iskannjar euristiku mhuwiex attivat awtomatikament u għandu jkun attivat fuq il-linja tal-kmand.
Jekk il-kapaċitajiet kollha tal-antivirus huma attivati, FortiGate japplikahom fl-ordni li ġejja: skannjar antivirus, skanjar tal-grayware, skanjar euristiku.
FortiGate jista’ juża diversi databases kontra l-virus, skont il-kompiti:
- Database antivirus normali (Normali) - li tinsab fil-mudelli FortiGate kollha. Jinkludi firem għal viruses li ġew skoperti f'dawn l-aħħar xhur. Din hija l-iżgħar database antivirus, għalhekk tiskennja l-aktar malajr meta tintuża. Madankollu, din id-database ma tistax tiskopri l-viruses magħrufa kollha.
- Estiża - din il-bażi hija appoġġjata mill-biċċa l-kbira tal-mudelli FortiGate. Jista 'jintuża biex jinstabu viruses li m'għadhomx attivi. Ħafna pjattaformi għadhom vulnerabbli għal dawn il-viruses. Ukoll, dawn il-viruses jistgħu jikkawżaw problemi fil-futur.
- U l-aħħar bażi estrema (Extreme) - tintuża f'infrastrutturi fejn huwa meħtieġ livell għoli ta 'sigurtà. Bl-għajnuna tagħha, tista 'tiskopri l-viruses magħrufa kollha, inklużi viruses immirati lejn sistemi operattivi skaduti, li mhumiex distribwiti b'mod wiesa' bħalissa. Dan it-tip ta 'database tal-firem lanqas huwa appoġġjat mill-mudelli FortiGate kollha.
Hemm ukoll database tal-firem kompatti ddisinjati għal skannjar malajr. Nitkellmu dwarha ftit aktar tard.
Tista' taġġorna databases kontra l-virus billi tuża metodi differenti.
L-ewwel metodu huwa Push Update, li jippermetti li d-databases jiġu aġġornati hekk kif id-database tar-riċerka FortiGuard toħroġ aġġornament. Dan huwa utli għal infrastrutturi li jeħtieġu livell għoli ta 'sigurtà, peress li FortiGate se tirċievi aġġornamenti urġenti hekk kif ikunu disponibbli.
It-tieni metodu huwa li tistabbilixxi skeda. Dan il-mod tista' tiċċekkja għal aġġornamenti kull siegħa, jum jew ġimgħa. Jiġifieri, hawnhekk il-firxa tal-ħin hija stabbilita fid-diskrezzjoni tiegħek.
Dawn il-metodi jistgħu jintużaw flimkien.
Imma trid iżżomm f'moħħok li sabiex isiru aġġornamenti, trid tattiva l-profil antivirus għal mill-inqas politika waħda tal-firewall. Inkella, aġġornamenti ma jsirux.
Tista 'wkoll tniżżel aġġornamenti mis-sit ta' appoġġ Fortinet u mbagħad ittellahom manwalment fuq FortiGate.
Ejja nħarsu lejn il-modi tal-iskannjar. Hemm tlieta minnhom biss - Modalità Sħiħa fil-modalità Flow Based, Modalità Quick fil-modalità Flow Based, u Modalità Sħiħa fil-modalità prokura. Nibdew bil-Modalità Sħiħa fil-modalità Flow.
Ejja ngħidu utent irid tniżżel fajl. Huwa jibgħat talba. Is-server jibda jibgħatlu pakketti li jiffurmaw il-fajl. L-utent immedjatament jirċievi dawn il-pakketti. Iżda qabel ma jwassal dawn il-pakketti lill-utent, FortiGate jdaħħalhom fil-cache. Wara li FortiGate jirċievi l-aħħar pakkett, jibda jiskennja l-fajl. F'dan iż-żmien, l-aħħar pakkett ikun fil-kju u mhux trasmess lill-utent. Jekk il-fajl ma jkunx fih viruses, l-aħħar pakkett jintbagħat lill-utent. Jekk jinstab virus, FortiGate ikisser il-konnessjoni mal-utent.
It-tieni mod ta 'skanjar disponibbli f'Flow Based huwa Quick Mode. Juża database tal-firem kompatti, li fiha inqas firem minn database regolari. Għandu wkoll xi limitazzjonijiet meta mqabbel mal-Modalità Sħiħa:
- Ma jistax jibgħat fajls lis-sandbox
- Ma jistax juża analiżi euristika
- Ukoll ma jistax juża pakketti relatati mal-malware mobbli
- Xi mudelli ta 'livell ta' dħul ma jappoġġjawx dan il-mod.
Il-mod rapidu jiċċekkja wkoll it-traffiku għal viruses, dud, trojans u malware, iżda mingħajr buffering. Dan jipprovdi prestazzjoni aħjar, iżda fl-istess ħin titnaqqas il-probabbiltà li jinstab virus.
Fil-modalità Proxy, l-unika modalità ta’ skannjar disponibbli hija Modalità Sħiħa. B'tali skan, FortiGate l-ewwel jaħżen il-fajl kollu fuqu nnifsu (sakemm, ovvjament, id-daqs tal-fajl permissibbli għall-iskannjar ma jinqabeż). Il-klijent irid jistenna li jitlesta l-iskan. Jekk jiġi skopert virus waqt l-iskannjar, l-utent jiġi notifikat immedjatament. Minħabba li FortiGate l-ewwel jiffranka l-fajl kollu u mbagħad jiskenjah, dan jista 'jieħu żmien pjuttost twil. Minħabba dan, huwa possibbli li l-klijent itemm il-konnessjoni qabel ma jirċievi l-fajl minħabba dewmien twil.
Il-figura hawn taħt turi tabella ta 'tqabbil għall-modi ta' skanjar - tgħinek tiddetermina liema tip ta 'skanjar huwa adattat għall-kompiti tiegħek. It-twaqqif u l-verifika tal-funzjonalità tal-antivirus hija diskussa fil-prattika fil-video fl-aħħar tal-artikolu.
Ejja ngħaddu għat-tieni parti tal-lezzjoni - is-sistema ta 'prevenzjoni tal-intrużjoni. Iżda sabiex tibda tistudja l-IPS, trid tifhem id-differenza bejn l-isfruttamenti u l-anomaliji, u tifhem ukoll liema mekkaniżmi FortiGate juża biex jipproteġi kontrihom.
L-isfruttamenti huma attakki magħrufa b'xejriet speċifiċi li jistgħu jiġu skoperti bl-użu ta' firem IPS, WAF jew antivirus.
L-anomalji huma mġieba mhux tas-soltu fuq netwerk, bħal ammont kbir mhux tas-soltu ta' traffiku jew konsum ogħla minn CPU normali. L-anomalji għandhom bżonn jiġu mmonitorjati minħabba li jistgħu jkunu sinjali ta' attakk ġdid u mhux esplorat. L-anomalji ġeneralment jinstabu bl-użu ta 'analiżi tal-imġieba - l-hekk imsejħa firem ibbażati fuq ir-rata u politiki DoS.
Bħala riżultat, IPS fuq FortiGate juża bażijiet ta 'firem biex jikxef attakki magħrufa, u firem Ibbażati fuq Rata u politiki DoS biex jiskopru diversi anomaliji.
B'mod awtomatiku, sett inizjali ta 'firem IPS huwa inkluż ma' kull verżjoni tas-sistema operattiva FortiGate. B'aġġornamenti, FortiGate tirċievi firem ġodda. B'dan il-mod, l-IPS jibqa' effettiv kontra sfruttamenti ġodda. FortiGuard jaġġorna l-firem IPS spiss.
Punt importanti li japplika kemm għall-IPS kif ukoll għall-antivirus huwa li jekk il-liċenzji tiegħek ikunu skadew, xorta tista' tuża l-aħħar firem riċevuti. Imma mhux se tkun tista 'tikseb oħrajn ġodda mingħajr liċenzji. Għalhekk, in-nuqqas ta 'liċenzji huwa estremament mhux mixtieq - jekk jidhru attakki ġodda, ma tkunx tista' tipproteġi lilek innifsek b'firem qodma.
Il-bażijiet tad-dejta tal-firma tal-IPS huma maqsuma f'regolari u estiżi. Database tipika fiha firem għal attakki komuni li rari jew qatt ma jikkawżaw pożittivi foloz. L-azzjoni kkonfigurata minn qabel għal ħafna minn dawn il-firem hija blokk.
Id-database estiża fiha firem ta 'attakk addizzjonali li għandhom impatt sinifikanti fuq il-prestazzjoni tas-sistema, jew li ma jistgħux jiġu mblukkati minħabba n-natura speċjali tagħhom. Minħabba d-daqs ta 'din id-database, mhix disponibbli fuq mudelli FortiGate b'disk żgħir jew RAM. Iżda għal ambjenti sikuri ħafna, jista 'jkollok bżonn tuża bażi estiża.
It-twaqqif u l-verifika tal-funzjonalità tal-IPS hija diskussa wkoll fil-video hawn taħt.
Fil-lezzjoni li jmiss se nħarsu lejn il-ħidma mal-utenti. Sabiex ma titlifhiex, segwi l-aġġornamenti fuq il-kanali li ġejjin:
Sors: www.habr.com