salam wanoh! Wilujeng sumping di palajaran kagenep tina kursus . Asupkeun kami geus mastered dasar gawé bareng téhnologi NAT on , sareng ogé ngarilis pangguna uji kami ka Internét. Ayeuna waktuna pikeun ngurus kasalametan pangguna dina rohangan kabuka na. Dina palajaran ieu urang bakal ningali propil kaamanan di handap ieu: Nyaring Wéb, Kontrol Aplikasi, sareng pamariksaan HTTPS.
Pikeun ngamimitian profil kaamanan, urang kedah ngartos hiji deui: modeu pamariksaan.
Standarna nyaéta modeu Berbasis Aliran. Éta pariksa file nalika ngalangkungan FortiGate tanpa panyangga. Saatos pakét dugi, éta diolah sareng diteruskeun, tanpa ngantosan sadayana file atanapi halaman wéb nampi. Merlukeun pangsaeutikna sumberdaya sarta nyadiakeun kinerja hadé ti modeu Proxy, tapi dina waktos anu sareng, teu sakabeh fungsionalitas Kaamanan sadia di dinya. Contona, Data Leak Prevention (DLP) ngan bisa dipaké dina modeu Proxy.
Modeu proxy jalanna béda. Éta nyiptakeun dua sambungan TCP, hiji antara klien sareng FortiGate, anu kadua antara FortiGate sareng server. Hal ieu ngamungkinkeun pikeun nyangga lalu lintas, nyaéta nampi file lengkep atanapi halaman wéb. Nyeken file pikeun sagala rupa ancaman dimimitian ngan sanggeus sakabéh file geus buffered. Ieu ngidinan Anjeun pikeun ngagunakeun fitur tambahan nu teu sadia dina mode dumasar Aliran. Sakumaha anjeun tiasa tingali, mode ieu sigana sabalikna ti Aliran Dumasar - kaamanan muterkeun hiji peran utama di dieu, sarta kinerja nyokot korsi tukang.
Jalma sering naroskeun: mode mana anu langkung saé? Tapi teu aya resep umum di dieu. Sagalana salawasna individual tur gumantung kana kabutuhan jeung tujuan anjeun. Engké dina kursus kuring bakal nyobian nunjukkeun bédana antara profil kaamanan dina modeu Aliran sareng Proksi. Ieu bakal ngabantosan anjeun ngabandingkeun fungsionalitas sareng mutuskeun mana anu pangsaéna pikeun anjeun.
Hayu urang ngalih langsung ka propil kaamanan sareng tingali heula dina Nyaring Wéb. Éta ngabantosan ngawas atanapi ngalacak situs wéb anu didatangan ku pangguna. Jigana aya teu kudu balik deeper kana dijelaskeun kabutuhan profil misalna dina realities ayeuna. Hayu urang langkung ngartos kumaha jalanna.
Sakali sambungan TCP dijieun, pamaké ngagunakeun pamundut GET pikeun ménta eusi ramatloka husus.
Lamun web server responds positif, eta ngirimkeun informasi ngeunaan ramatloka deui. Ieu dimana filter web asalna kana antrian. Ieu verifies eusi respon ieu.Salila verifikasi, FortiGate ngirimkeun pamundut real-time ka Network Distribusi FortiGuard (FDN) pikeun nangtukeun kategori ramatloka dibikeun. Saatos nangtukeun kategori situs wéb khusus, saringan wéb, gumantung kana setélan, ngalaksanakeun tindakan khusus.
Aya tilu tindakan anu sayogi dina modeu Aliran:
- Ngidinan - ngidinan aksés ka ramatloka
- Blok - meungpeuk aksés ka website
- Monitor - ngidinan aksés ka ramatloka jeung catetan eta dina log
Dina modeu proxy, dua tindakan deui ditambahkeun:
- Awas - masihan pangguna peringatan yén anjeunna nyobian nganjang ka sumber daya anu tangtu sareng masihan pilihan ka pangguna - teraskeun atanapi tinggalkeun halaman wéb
- Oténtikasi - Ménta kredensial pamaké - ieu ngamungkinkeun grup tangtu ngakses kategori diwatesan situs web.
loka anjeun tiasa ningali sadaya kategori sareng subkategori saringan wéb, sareng ogé terangkeun kategori mana situs wéb anu khusus. Sareng sacara umum, ieu mangrupikeun situs anu mangpaat pikeun pangguna solusi Fortinet, kuring mamatahan anjeun langkung terang dina waktos luang anjeun.
Aya sakedik pisan anu tiasa nyarios ngeunaan Kontrol Aplikasi. Sakumaha ngaranna nunjukkeun, éta ngidinan Anjeun pikeun ngadalikeun operasi aplikasi. Sareng anjeunna ngalakukeun ieu nganggo pola tina sababaraha aplikasi, anu disebut tanda tangan. Nganggo tanda tangan ieu, anjeunna tiasa ngaidentipikasi aplikasi khusus sareng nerapkeun tindakan khusus pikeun éta:
- Ngidinan - ngidinan
- Monitor - ngidinan sarta log ieu
- Blok - ngalarang
- Karantina - ngarékam kajadian dina log sareng blokir alamat IP pikeun waktos anu tangtu
Anjeun oge bisa nempo tanda tangan aya dina website .
Ayeuna hayu urang tingali mékanisme inspeksi HTTPS. Numutkeun statistik dina ahir 2018, pangsa lalulintas HTTPS ngaleuwihan 70%. Nyaéta, tanpa ngagunakeun pamariksaan HTTPS, urang ngan ukur tiasa nganalisis ngeunaan 30% tina lalu lintas anu ngalangkungan jaringan. Kahiji, hayu urang nempo kumaha HTTPS jalan dina perkiraan kasar.
Klién ngamimitian pamundut TLS ka pangladén wéb sareng nampi réspon TLS, sareng ogé ningali sertipikat digital anu kedah dipercanten pikeun pangguna ieu. Ieu mangrupikeun minimum anu urang kedah terang ngeunaan kumaha jalanna HTTPS; kanyataanna, cara gawéna langkung pajeulit. Saatos sasalaman TLS suksés, transfer data énkripsi dimimitian. Sareng ieu saé. Teu aya anu tiasa ngaksés data anu anjeun tukeur sareng pangladén wéb.
Nanging, pikeun patugas kaamanan perusahaan, ieu mangrupikeun lieur anu nyata, sabab aranjeunna henteu tiasa ningali lalu lintas ieu sareng pariksa eusina boh ku antipirus, atanapi sistem pencegahan intrusion, atanapi sistem DLP, atanapi naon waé. Ieu ogé négatip mangaruhan kualitas definisi aplikasi sareng sumber wéb anu dianggo dina jaringan - naon anu aya hubunganana sareng topik pelajaran urang. téhnologi inspeksi HTTPS dirancang pikeun ngajawab masalah ieu. Intina saderhana pisan - kanyataanna, alat anu ngalaksanakeun pamariksaan HTTPS ngatur serangan Man In The Middle. Sigana mah kieu: FortiGate nyegat pamundut pangguna, ngatur sambungan HTTPS sareng éta, teras muka sési HTTPS sareng sumber daya anu diakses ku pangguna. Dina hal ieu, sertipikat anu dikaluarkeun ku FortiGate bakal katingali dina komputer pangguna. Ieu kudu dipercaya pikeun browser pikeun ngidinan sambungan.
Nyatana, pamariksaan HTTPS mangrupikeun hal anu rada rumit sareng seueur watesan, tapi urang moal nganggap ieu dina kursus ieu. Kuring ngan bakal nambahan yén ngalaksanakeun inspeksi HTTPS sanes hitungan menit; biasana nyokot ngeunaan sabulan. Perlu ngumpulkeun inpormasi ngeunaan pangecualian anu diperyogikeun, ngadamel setélan anu pas, ngumpulkeun tanggapan ti pangguna, sareng saluyukeun setélan.
Téori anu dipasihkeun, ogé bagian praktis, dipidangkeun dina palajaran vidéo ieu:
Dina palajaran salajengna urang bakal kasampak di propil kaamanan séjén: antipirus jeung sistem pencegahan intrusion. Pikeun henteu sono, tuturkeun apdet dina saluran ieu:
sumber: www.habr.com