سلام! ڪورس جي ستين سبق ۾ ڀليڪار . تي اسان اهڙين حفاظتي پروفائلن کان واقف ٿياسين جيئن ويب فلٽرنگ، ايپليڪيشن ڪنٽرول ۽ HTTPS انسپيڪشن. هن سبق ۾ اسان حفاظتي پروفائلز جو تعارف جاري رکنداسين. پهرين، اسان هڪ اينٽي وائرس ۽ مداخلت جي روڪٿام واري نظام جي آپريشن جي نظرياتي پهلوئن کان واقف ٿينداسين، ۽ پوءِ ڏسنداسين ته اهي حفاظتي پروفائل عملي طور ڪيئن ڪم ڪن ٿا.
اچو ته اينٽي وائرس سان شروع ڪريون. پهرين، اچو ته انهن ٽيڪنالاجين تي بحث ڪريون جيڪي FortiGate وائرس کي ڳولڻ لاءِ استعمال ڪن ٿيون:
اينٽي وائرس اسڪيننگ وائرس کي ڳولڻ جو سڀ کان آسان ۽ تيز ترين طريقو آهي. اهو وائرس ڳولي ٿو جيڪي مڪمل طور تي اينٽي وائرس ڊيٽابيس ۾ موجود دستخطن سان ملن ٿا.
گري ويئر اسڪين يا ناپسنديده پروگرام اسڪيننگ - هي ٽيڪنالاجي ناپسنديده پروگرامن کي ڳولي ٿو جيڪي صارف جي ڄاڻ يا رضامندي کان سواء نصب ٿيل آهن. ٽيڪنالاجي طور، اهي پروگرام وائرس نه آهن. اهي عام طور تي ٻين پروگرامن سان گڏ بنڊل ايندا آهن، پر جڏهن انسٽال ٿيل آهن اهي منفي طور تي سسٽم تي اثر انداز ڪن ٿا، ڇو ته انهن کي مالويئر جي طور تي درجه بندي ڪيو ويو آهي. گهڻو ڪري اهڙن پروگرامن کي فورٽي گارڊ ريسرچ بيس مان سادي گري ويئر دستخط استعمال ڪندي ڳولي سگهجي ٿو.
Heuristic اسڪيننگ - هي ٽيڪنالاجي امڪانن تي مبني آهي، تنهنڪري ان جي استعمال غلط مثبت اثرات پيدا ڪري سگهي ٿي، پر اهو پڻ صفر ڏينهن جي وائرس کي ڳولي سگهي ٿو. صفر ڏينهن جا وائرس نوان وائرس آهن جن جو اڃا تائين مطالعو نه ڪيو ويو آهي، ۽ نه ئي اهڙا دستخط آهن جيڪي انهن کي ڳولي سگهن. Heuristic اسڪيننگ ڊفالٽ طور تي فعال نه آهي ۽ ڪمانڊ لائن تي فعال ٿيڻ گهرجي.
جيڪڏهن سڀئي اينٽي وائرس صلاحيتون فعال آهن، فورٽي گيٽ انهن کي هيٺين ترتيب ۾ لاڳو ڪري ٿو: اينٽي وائرس اسڪيننگ، گري ويئر اسڪيننگ، هورسٽڪ اسڪيننگ.
FortiGate ڪيترن ئي اينٽي وائرس ڊيٽابيس استعمال ڪري سگھن ٿا، ڪمن تي منحصر ڪري ٿو:
- عام اينٽي وائرس ڊيٽابيس (عام) - سڀني FortiGate ماڊلز ۾ شامل آهي. ان ۾ وائرس جا دستخط شامل آهن جيڪي تازو مهينن ۾ دريافت ڪيا ويا آهن. اهو سڀ کان ننڍڙو اينٽي وائرس ڊيٽابيس آهي، تنهنڪري اهو استعمال ڪرڻ وقت تيز ترين اسڪين ڪري ٿو. بهرحال، هي ڊيٽابيس سڀني ڄاتل وائرس کي ڳولي نه ٿو سگهي.
- توسيع - هي بنياد اڪثر FortiGate ماڊلز جي حمايت ڪئي آهي. اهو وائرس کي ڳولڻ لاء استعمال ڪري سگهجي ٿو جيڪي هاڻي فعال نه آهن. ڪيترائي پليٽ فارم اڃا تائين انهن وائرسن لاءِ خطرناڪ آهن. انهي سان گڏ، اهي وائرس مستقبل ۾ مسئلا پيدا ڪري سگهن ٿا.
- ۽ آخري، انتهائي بنيادي (Extreme) - انفراسٽرڪچر ۾ استعمال ڪيو ويندو آهي جتي اعلي سطحي سيڪيورٽي جي ضرورت هوندي آهي. ان جي مدد سان، توهان سڀني سڃاتل وائرسن کي ڳولي سگهو ٿا، جن ۾ وائرس شامل آهن جن جو مقصد پراڻي آپريٽنگ سسٽم آهي، جيڪي هن وقت وڏي پيماني تي ورهايل نه آهن. ھن قسم جي دستخطي ڊيٽابيس پڻ سڀني فورٽي گيٽ ماڊل پاران سپورٽ نه ڪئي وئي آھي.
اتي پڻ ھڪڙو ٺھيل دستخط ڊيٽابيس آھي جيڪو جلدي اسڪيننگ لاءِ ٺاھيو ويو آھي. اسان ان بابت ٿوري دير بعد ڳالهائينداسين.
توھان مختلف طريقن سان اينٽي وائرس ڊيٽابيس کي اپڊيٽ ڪري سگھو ٿا.
پهريون طريقو پش اپڊيٽ آهي، جيڪو ڊيٽابيس کي تازه ڪاري ڪرڻ جي اجازت ڏئي ٿو جيئن ئي FortiGuard ريسرچ ڊيٽابيس هڪ تازه ڪاري جاري ڪري ٿي. هي انفراسٽرڪچر لاءِ ڪارآمد آهي جنهن کي اعليٰ سطح جي حفاظت جي ضرورت هوندي آهي، ڇو ته FortiGate جلدي اپڊيٽ حاصل ڪندا جيئن ئي اهي دستياب هوندا.
ٻيو طريقو هڪ شيڊول مقرر ڪرڻ آهي. انهي طريقي سان توهان هر ڪلاڪ، ڏينهن يا هفتي جي تازه ڪاري جي جانچ ڪري سگهو ٿا. اهو آهي، هتي وقت جي حد مقرر ڪئي وئي آهي توهان جي صوابديد تي.
اهي طريقا گڏجي استعمال ڪري سگهجن ٿيون.
پر توهان کي ذهن ۾ رکڻ جي ضرورت آهي ته تازه ڪاري ڪرڻ لاء، توهان کي اينٽي وائرس پروفائل کي فعال ڪرڻ گهرجي گهٽ ۾ گهٽ هڪ فائر وال پاليسي لاء. ٻي صورت ۾، تازه ڪاري نه ڪئي ويندي.
توھان پڻ ڊائون لوڊ ڪري سگھو ٿا تازه ڪاريون Fortinet سپورٽ سائيٽ ۽ پوءِ دستي طور تي انھن کي اپلوڊ ڪريو FortiGate.
اچو ته اسڪيننگ جي طريقن کي ڏسو. انهن مان صرف ٽي آهن - فلو موڊ فلو بيسڊ موڊ ۾، ڪوڪ موڊ فلو بيسڊ موڊ ۾، ۽ فل موڊ پراڪسي موڊ ۾. اچو ته فلو موڊ ۾ فل موڊ سان شروع ڪريون.
اچو ته چوندا آهن هڪ صارف هڪ فائل ڊائون لوڊ ڪرڻ چاهي ٿو. هو هڪ درخواست موڪلي ٿو. سرور کيس پيڪٽس موڪلڻ شروع ڪري ٿو جيڪو فائل ٺاهي ٿو. صارف فوري طور تي اهي پيڪيجز وصول ڪري ٿو. پر انهن پيڪن کي صارف تائين پهچائڻ کان اڳ، FortiGate انهن کي ڪيش ڪري ٿو. FortiGate کان پوءِ آخري پيڪٽ حاصل ڪري، اهو فائل کي اسڪين ڪرڻ شروع ڪري ٿو. هن وقت، آخري پيڪٽ قطار ۾ آهي ۽ صارف ڏانهن منتقل نه ڪيو ويو آهي. جيڪڏهن فائل ۾ وائرس شامل نه آهي، تازو پيڪٽ صارف ڏانهن موڪليو ويو آهي. جيڪڏهن هڪ وائرس معلوم ٿئي ٿو، FortiGate صارف سان ڪنيڪشن ٽوڙي ٿو.
فلو بيسڊ ۾ موجود ٻيو اسڪيننگ موڊ Quick Mode آهي. اهو هڪ ٺهيل دستخط ڊيٽابيس استعمال ڪري ٿو، جنهن ۾ باقاعده ڊيٽابيس جي ڀيٽ ۾ گهٽ دستخط شامل آهن. اهو پڻ مڪمل موڊ جي مقابلي ۾ ڪجهه حدون آهن:
- اهو سينڊ باڪس ڏانهن فائلون نه ٿو موڪلي سگهي
- اهو استعمال نه ٿو ڪري سگهجي heuristic تجزيو
- اهو پڻ موبائل مالويئر سان لاڳاپيل پيڪيجز استعمال نٿو ڪري سگهي
- ڪجھ داخلا سطح جا ماڊل ھن موڊ کي سپورٽ نٿا ڪن.
تڪڙو موڊ وائرس، ورم، ٽروجن ۽ مالويئر لاء ٽرئفڪ جي جانچ ڪري ٿو، پر بفرنگ کان سواء. اهو بهتر ڪارڪردگي مهيا ڪري ٿو، پر ساڳئي وقت وائرس کي ڳولڻ جو امڪان گهٽجي ويو آهي.
پراکسي موڊ ۾، صرف اسڪيننگ موڊ موجود آهي مڪمل موڊ. اهڙي اسڪين سان، FortiGate پهريون ڀيرو پوري فائل کي پاڻ وٽ محفوظ ڪري ٿو (جيستائين، يقينا، اسڪيننگ لاءِ اجازت ڏنل فائل سائيز کان وڌي وڃي). ڪلائنٽ کي اسڪين مڪمل ٿيڻ جو انتظار ڪرڻو پوندو. جيڪڏهن اسڪيننگ دوران وائرس معلوم ٿئي ٿو، صارف کي فوري طور تي اطلاع ڏنو ويندو. ڇو ته FortiGate پهرين پوري فائل کي محفوظ ڪري ٿو ۽ پوءِ ان کي اسڪين ڪري ٿو، اهو ڪافي وقت وٺي سگھي ٿو. انهي جي ڪري، اهو ممڪن آهي ته ڪلائنٽ لاء ڊگهي دير جي سبب فائل حاصل ڪرڻ کان اڳ ڪنيڪشن ختم ڪرڻ.
هيٺ ڏنل انگ اکر ڏيکاري ٿو هڪ مقابلي واري جدول اسڪيننگ جي طريقن لاءِ - اهو توهان جي مدد ڪندو ته توهان جي ڪمن لاءِ ڪهڙي قسم جي اسڪيننگ موزون آهي. اينٽي وائرس جي ڪارڪردگي کي ترتيب ڏيڻ ۽ جانچڻ تي مضمون جي آخر ۾ وڊيو ۾ عملي طور تي بحث ڪيو ويو آهي.
اچو ته سبق جي ٻئي حصي ڏانهن وڃو - مداخلت جي روڪٿام جو نظام. پر IPS جو مطالعو شروع ڪرڻ لاءِ، توھان کي سمجھڻ جي ضرورت آھي استحصالن ۽ بي ضابطگين جي وچ ۾ فرق، ۽ اھو پڻ سمجھڻ گھرجي ته فورٽي گيٽ انھن جي خلاف حفاظت لاءِ ڪھڙو ميکانيزم استعمال ڪري ٿو.
استحصال مخصوص نمونن سان حملا سڃاتل آهن جيڪي IPS، WAF، يا اينٽي وائرس دستخط استعمال ڪندي ڳولي سگهجن ٿا.
هڪ نيٽ ورڪ تي غيرمعمولي رويا آهن، جهڙوڪ ٽريفڪ جو هڪ غير معمولي مقدار يا عام CPU واپرائڻ کان وڌيڪ. بي ضابطگين کي مانيٽر ڪرڻ جي ضرورت آهي ڇو ته اهي شايد نئين، اڻڄاتل حملي جون نشانيون هجن. بيضابطگيون عام طور تي رويي جي تجزيي کي استعمال ڪندي معلوم ڪيون وينديون آهن - نام نهاد شرح تي ٻڌل دستخط ۽ DoS پاليسيون.
نتيجي طور، IPS FortiGate تي استعمال ڪري ٿو نشانين جي بنيادن کي سڃاڻڻ لاءِ سڃاتل حملن، ۽ شرح جي بنياد تي دستخط ۽ DoS پاليسيون مختلف بيضابطگين کي ڳولڻ لاءِ.
ڊفالٽ طور، IPS جي دستخطن جو هڪ ابتدائي سيٽ شامل آهي FortiGate آپريٽنگ سسٽم جي هر ورزن سان. تازه ڪاري سان، FortiGate نوان دستخط حاصل ڪري ٿو. اهو طريقو، IPS نئين استحصال جي خلاف اثرائتو رهي ٿو. FortiGuard IPS جي دستخطن کي گهڻو ڪري تازه ڪاري ڪري ٿو.
هڪ اهم نقطو جيڪو IPS ۽ اينٽي وائرس ٻنهي تي لاڳو ٿئي ٿو اهو آهي ته جيڪڏهن توهان جا لائسنس ختم ٿي ويا آهن، توهان اڃا تائين حاصل ڪري سگهو ٿا جديد دستخط استعمال ڪريو. پر توهان بغير لائسنس جي نوان حاصل ڪرڻ جي قابل نه هوندا. تنهن ڪري، لائسنس جي غير موجودگي انتهائي ناپسنديده آهي - جيڪڏهن نوان حملا ظاهر ٿيندا، توهان پنهنجي پاڻ کي پراڻي دستخط سان بچائڻ جي قابل نه هوندا.
IPS دستخط ڊيٽابيس ۾ ورهايل آهن باقاعده ۽ وڌايو ويو. هڪ عام ڊيٽابيس ۾ عام حملن لاءِ دستخط شامل آهن جيڪي گهٽ ۾ گهٽ يا ڪڏهن به غلط مثبت سبب نه هوندا آهن. انهن مان اڪثر نشانين لاءِ اڳواٽ ترتيب ڏنل عمل بلاڪ آهي.
وڌايل ڊيٽابيس ۾ اضافي حملا دستخط شامل آهن جيڪي سسٽم جي ڪارڪردگي تي اهم اثر رکن ٿا، يا انهن جي خاص نوعيت جي ڪري بلاڪ نه ٿي سگهي. هن ڊيٽابيس جي سائيز جي ڪري، اهو موجود ناهي FortiGate ماڊل تي ننڍي ڊسڪ يا رام سان. پر انتهائي محفوظ ماحول لاءِ، توهان کي وڌايل بنياد استعمال ڪرڻ جي ضرورت پوندي.
IPS جي ڪارڪردگي کي ترتيب ڏيڻ ۽ چيڪ ڪرڻ پڻ هيٺ ڏنل وڊيو ۾ بحث ڪيو ويو آهي.
ايندڙ سبق ۾ اسين استعمال ڪندڙن سان گڏ ڪم ڪرڻ تي نظر ڪنداسين. ان کي نه وڃائڻ لاء، هيٺ ڏنل چينلن تي تازه ڪاري جي پيروي ڪريو:
جو ذريعو: www.habr.com