salam wanoh! Wilujeng sumping di palajaran katujuh tangtu . Asupkeun urang meunang acquainted jeung propil kaamanan saperti Web Filtering, Control Aplikasi jeung inspeksi HTTPS. Dina palajaran ieu urang bakal neraskeun perkenalan kana profil kaamanan. Mimiti, urang bakal kenal sareng aspék téoritis tina operasi antipirus sareng sistem pencegahan intrusion, teras urang bakal ningali kumaha profil kaamanan ieu tiasa dianggo dina prakna.
Hayu urang mimitian ku antipirus. Mimiti, hayu urang bahas téknologi anu dianggo FortiGate pikeun ngadeteksi virus:
Antivirus scanning mangrupikeun metode anu paling gampang sareng paling gancang pikeun ngadeteksi virus. Éta ngadeteksi virus anu cocog sareng tanda tangan anu aya dina pangkalan data anti-virus.
Grayware Scan atawa scanning program nu teu dihoyongkeun - téhnologi ieu ngadeteksi program nu teu dihoyongkeun nu dipasang tanpa pangaweruh atawa idin pamaké. Sacara téknis, program ieu sanés virus. Aranjeunna biasana dibuntel sareng program anu sanés, tapi nalika dipasang aranjeunna négatip mangaruhan sistem, naha éta digolongkeun kana malware. Seringna program sapertos kitu tiasa dideteksi nganggo tanda tangan grayware sederhana tina dasar panalungtikan FortiGuard.
Heuristik scanning - téhnologi ieu dumasar kana probabiliti, jadi pamakéanana bisa ngabalukarkeun éfék positif palsu, tapi ogé bisa ngadeteksi enol poé virus. Virus nol dinten mangrupikeun virus énggal anu henteu acan ditaliti, sareng henteu aya tanda tangan anu tiasa ngadeteksi aranjeunna. Panyeken heuristik henteu diaktipkeun sacara standar sareng kedah diaktipkeun dina garis paréntah.
Upami sadaya kamampuan antipirus diaktipkeun, FortiGate nerapkeunana dina urutan ieu: scanning antipirus, scanning grayware, scanning heuristik.
FortiGate tiasa nganggo sababaraha pangkalan data anti-virus, gumantung kana tugasna:
- database antipirus normal (Normal) - dikandung dina sakabéh modél FortiGate. Éta kalebet tanda tangan pikeun virus anu parantos dipendakan dina sababaraha bulan ayeuna. Ieu mangrupikeun pangkalan data antipirus pangleutikna, ku kituna nyeken panggancangna nalika dianggo. Nanging, pangkalan data ieu teu tiasa ngadeteksi sadaya virus anu dipikanyaho.
- Ngalegaan - dasar ieu dirojong ku kalolobaan model FortiGate. Éta tiasa dianggo pikeun ngadeteksi virus anu henteu aktip deui. Seueur platform anu masih rentan ka virus ieu. Ogé, virus ieu tiasa nyababkeun masalah di hareup.
- Sareng anu terakhir, dasar ekstrim (Ekstrim) - dianggo dina infrastruktur dimana tingkat kaamanan anu luhur diperyogikeun. Kalayan bantosanana, anjeun tiasa ngadeteksi sadaya virus anu dipikanyaho, kalebet virus anu ditujukeun pikeun sistem operasi anu luntur, anu ayeuna henteu disebarkeun sacara lega. Jenis database tanda tangan ieu ogé henteu dirojong ku sadaya modél FortiGate.
Aya ogé database signature kompak dirancang pikeun scanning gancang. Urang bakal ngobrol ngeunaan eta saeutik engké.
Anjeun tiasa ngapdet pangkalan data anti-virus nganggo metode anu béda.
Metodeu munggaran nyaéta Push Update, anu ngamungkinkeun database diropéa pas database panalungtikan FortiGuard ngaluarkeun apdet. Ieu mangpaat pikeun infrastruktur anu merlukeun tingkat luhur kaamanan, saprak FortiGate bakal nampa apdet urgent pas aranjeunna sadia.
Metodeu kadua nyaéta nyetél jadwal. Ku cara ieu anjeun tiasa pariksa apdet unggal jam, dinten atanapi minggu. Hartina, di dieu rentang waktu diatur dina kawijaksanaan Anjeun.
Métode ieu tiasa dianggo babarengan.
Tapi anjeun kedah émut yén supados apdet tiasa dilakukeun, anjeun kedah ngaktipkeun profil antipirus pikeun sahenteuna hiji kawijakan firewall. Upami teu kitu, apdet moal dilakukeun.
Anjeun ogé tiasa ngaunduh apdet tina situs dukungan Fortinet teras unggah sacara manual ka FortiGate.
Hayu urang nempo mode scanning. Aya ngan tilu di antarana - Mode Pinuh dina modeu Dumasar Aliran, Mode Gancang dina modeu Dumasar Aliran, sareng Modeu Pinuh dina modeu proxy. Hayu urang mimitian ku Modeu Pinuh dina modeu Aliran.
Sebutkeun pangguna hoyong ngaunduh file. Anjeunna ngirimkeun pamundut. Server mimiti ngirim anjeunna pakét anu ngawangun file. Pamaké langsung nampi bungkusan ieu. Tapi sateuacan ngirimkeun pakét ieu ka pangguna, FortiGate nyéépkeunana. Saatos FortiGate nampi pakét anu terakhir, éta mimiti nyeken file. Dina waktos ieu, pakét anu terakhir diantri sareng henteu dikirimkeun ka pangguna. Lamun file teu ngandung virus, pakét panganyarna dikirim ka pamaké. Lamun virus dideteksi, FortiGate megatkeun sambungan jeung pamaké.
Modeu scanning kadua sadia dina Flow Based nyaeta Mode Gancang. Éta ngagunakeun pangkalan data tandatangan anu kompak, anu ngandung langkung seueur tanda tangan tibatan database biasa. Éta ogé ngagaduhan sababaraha watesan dibandingkeun sareng Modeu Pinuh:
- Éta henteu tiasa ngirim file ka kotak pasir
- Teu bisa ngagunakeun analisis heuristik
- Ogé teu tiasa nganggo bungkusan anu aya hubunganana sareng malware mobile
- Sababaraha modél tingkat éntri henteu ngadukung mode ieu.
Modeu gancang ogé pariksa lalu lintas pikeun virus, cacing, trojan sareng malware, tapi tanpa panyangga. Ieu nyayogikeun kinerja anu langkung saé, tapi dina waktos anu sami kamungkinan ngadeteksi virus ngirangan.
Dina modeu Proxy, hiji-hijina mode panyeken anu sayogi nyaéta Modeu Pinuh. Kalayan panyeken sapertos kitu, FortiGate mimiti nyimpen sadaya file nyalira (kecuali, tangtosna, ukuran file anu diidinan pikeun panyeken ngaleuwihan). Klién kedah ngantosan scan pikeun réngsé. Upami virus dideteksi nalika nyeken, pangguna bakal langsung dibéjaan. Kusabab FortiGate mimiti ngahemat sakabéh file lajeng nyeken eta, ieu tiasa nyandak rada lila. Kusabab ieu, kasebut nyaéta dimungkinkeun pikeun klien pikeun nungtungan sambungan saméméh narima file alatan reureuh panjang.
Gambar di handap ieu nunjukkeun tabel ngabandingkeun pikeun modeu scanning - éta bakal ngabantosan anjeun nangtukeun jinis scanning anu cocog pikeun tugas anjeun. Nyetél sareng mariksa pungsionalitas antipirus dibahas dina prakna dina pidéo dina tungtung tulisan.
Hayu urang ngaléngkah ka bagian kadua palajaran - sistem pencegahan intrusion. Tapi pikeun ngamimitian diajar IPS, anjeun kedah ngartos bédana antara eksploitasi sareng anomali, sareng ogé ngartos mékanisme naon anu dianggo ku FortiGate pikeun ngajagaan aranjeunna.
Eksploitasi mangrupikeun serangan anu dikenal kalayan pola khusus anu tiasa dideteksi nganggo IPS, WAF, atanapi tanda tangan antipirus.
Anomali nyaéta kabiasaan anu teu biasa dina jaringan, sapertos jumlah lalu lintas anu luar biasa ageung atanapi langkung luhur tibatan konsumsi CPU normal. Anomali kedah diawaskeun sabab tiasa janten tanda serangan anyar anu teu acan dijelajah. Anomali biasana dideteksi nganggo analisa paripolah - anu disebut tandatangan dumasar laju sareng kawijakan DoS.
Hasilna, IPS on FortiGate ngagunakeun basa signature pikeun ngadeteksi serangan dipikawanoh, sarta Rate-Based tanda tangan jeung kawijakan DoS pikeun ngadeteksi rupa anomali.
Sacara standar, set awal tanda tangan IPS kalebet dina unggal versi sistem operasi FortiGate. Kalayan apdet, FortiGate nampi tanda tangan énggal. Ku cara ieu, IPS tetep efektif ngalawan eksploitasi anyar. FortiGuard sering ngamutahirkeun tanda tangan IPS.
Titik penting anu lumaku pikeun IPS sareng antipirus nyaéta upami lisénsi anjeun parantos kadaluwarsa, anjeun masih tiasa nganggo tanda tangan panganyarna anu ditampi. Tapi anjeun moal tiasa kéngingkeun anu énggal tanpa lisénsi. Ku alatan éta, henteuna lisensi pisan teu dipikahoyong - lamun serangan anyar muncul, anjeun moal bisa ngajaga diri ku tanda tangan heubeul.
Basis data tandatangan IPS dibagi kana biasa sareng diperpanjang. Database has ngandung tanda tangan pikeun serangan umum anu jarang atanapi henteu kantos nyababkeun positip palsu. Aksi preconfigured pikeun kalolobaan tanda tangan ieu blok.
Basis data anu diperpanjang ngandung tanda tangan serangan tambahan anu gaduh dampak anu signifikan dina kinerja sistem, atanapi anu henteu tiasa diblokir kusabab sipat khususna. Kusabab ukuran database ieu, teu sadia dina model FortiGate kalawan disk leutik atawa RAM. Tapi pikeun lingkungan anu kacida aman, anjeun panginten kedah nganggo basa anu panjang.
Nyetel sareng mariksa fungsionalitas IPS ogé dibahas dina pidéo di handap ieu.
Dina palajaran salajengna urang bakal kasampak di gawé bareng pamaké. Pikeun henteu sono, tuturkeun apdet dina saluran ieu:
sumber: www.habr.com