Hälsningar! Välkommen till kursens sjätte lektion . på vi har bemästrat grunderna i att arbeta med NAT-teknik på , och släppte även vår testanvändare på Internet. Nu är det dags att ta hand om användarens säkerhet i sina öppna ytor. I den här lektionen kommer vi att titta på följande säkerhetsprofiler: webbfiltrering, applikationskontroll och HTTPS-inspektion.
För att komma igång med säkerhetsprofiler måste vi förstå en sak till: inspektionslägen.
Standard är flödesbaserat läge. Den kontrollerar filer när de passerar genom FortiGate utan buffring. När paketet anländer bearbetas och vidarebefordras det utan att vänta på att hela filen eller webbsidan ska tas emot. Det kräver färre resurser och ger bättre prestanda än proxyläge, men samtidigt är inte all säkerhetsfunktion tillgänglig i den. Till exempel kan Data Leak Prevention (DLP) endast användas i proxyläge.
Proxyläget fungerar annorlunda. Den skapar två TCP-anslutningar, en mellan klienten och FortiGate, den andra mellan FortiGate och servern. Detta gör att den kan buffra trafik, det vill säga ta emot en komplett fil eller webbsida. Genomsökning av filer efter olika hot börjar först efter att hela filen har buffrats. Detta gör att du kan använda ytterligare funktioner som inte är tillgängliga i flödesbaserat läge. Som du kan se verkar det här läget vara motsatsen till Flow Based – säkerhet spelar en stor roll här, och prestanda tar en baksätet.
Folk frågar ofta: vilket läge är bättre? Men det finns inget generellt recept här. Allt är alltid individuellt och beror på dina behov och mål. Senare i kursen ska jag försöka visa skillnaderna mellan säkerhetsprofiler i Flow- och Proxy-lägen. Detta hjälper dig att jämföra funktionaliteten och bestämma vilken som är bäst för dig.
Låt oss gå direkt till säkerhetsprofiler och först titta på webbfiltrering. Det hjälper till att övervaka eller spåra vilka webbplatser användare besöker. Jag tror att det inte finns något behov av att gå djupare in på att förklara behovet av en sådan profil i den rådande verkligheten. Låt oss bättre förstå hur det fungerar.
När en TCP-anslutning väl har upprättats använder användaren en GET-begäran för att begära innehållet på en specifik webbplats.
Om webbservern svarar positivt skickar den information om webbplatsen tillbaka. Det är här webbfiltret kommer in i bilden. Den verifierar innehållet i detta svar Under verifieringen skickar FortiGate en förfrågan i realtid till FortiGuard Distribution Network (FDN) för att bestämma kategorin för den givna webbplatsen. Efter att ha bestämt kategorin för en viss webbplats, utför webbfiltret, beroende på inställningarna, en specifik åtgärd.
Det finns tre tillgängliga åtgärder i flödesläge:
- Tillåt – tillåt åtkomst till webbplatsen
- Blockera - blockera åtkomst till webbplatsen
- Övervaka - tillåt åtkomst till webbplatsen och registrera den i loggarna
I proxyläge läggs ytterligare två åtgärder till:
- Varning - ge användaren en varning om att han försöker besöka en viss resurs och ge användaren ett val - fortsätt eller lämna webbplatsen
- Autentisera - Begär användaruppgifter - detta tillåter vissa grupper att komma åt begränsade kategorier av webbplatser.
Webbplatsen du kan se alla kategorier och underkategorier för webbfiltret, och även ta reda på vilken kategori en viss webbplats tillhör. Och i allmänhet är detta en ganska användbar sida för användare av Fortinet-lösningar, jag råder dig att lära känna den bättre på din fritid.
Det finns väldigt lite att säga om Application Control. Som namnet antyder låter den dig styra applikationernas funktion. Och det gör han med hjälp av mönster från olika applikationer, så kallade signaturer. Med hjälp av dessa signaturer kan han identifiera en specifik applikation och tillämpa en specifik åtgärd på den:
- Tillåt - tillåt
- Övervaka - tillåt och logga detta
- Blockera - förbjud
- Karantän - registrera en händelse i loggarna och blockera IP-adressen under en viss tid
Du kan även se befintliga signaturer på hemsidan .
Låt oss nu titta på HTTPS-inspektionsmekanismen. Enligt statistiken i slutet av 2018 översteg andelen HTTPS-trafik 70 %. Det vill säga, utan att använda HTTPS-inspektion kommer vi att kunna analysera endast cirka 30 % av trafiken som passerar genom nätverket. Låt oss först titta på hur HTTPS fungerar i en grov uppskattning.
Klienten initierar en TLS-begäran till webbservern och tar emot ett TLS-svar och ser även ett digitalt certifikat som måste vara pålitligt för denna användare. Detta är det absoluta minimum som vi behöver veta om hur HTTPS fungerar; i själva verket är hur det fungerar mycket mer komplicerat. Efter en lyckad TLS-handskakning börjar krypterad dataöverföring. Och det här är bra. Ingen kan komma åt data som du utbyter med webbservern.
Men för företagets säkerhetsansvariga är detta en verklig huvudvärk, eftersom de inte kan se denna trafik och kontrollera dess innehåll vare sig med ett antivirus eller ett intrångsskyddssystem, eller DLP-system eller något. Detta påverkar också kvaliteten på definitionen av applikationer och webbresurser som används inom nätverket negativt - exakt vad som är relaterat till vårt lektionsämne. HTTPS-inspektionsteknik är utformad för att lösa detta problem. Dess kärna är mycket enkel - i själva verket organiserar en enhet som utför HTTPS-inspektion en Man In The Middle-attack. Det ser ut ungefär så här: FortiGate fångar upp användarens begäran, organiserar en HTTPS-anslutning med den och öppnar sedan en HTTPS-session med resursen som användaren fick åtkomst till. I detta fall kommer certifikatet som utfärdats av FortiGate att vara synligt på användarens dator. Den måste vara pålitlig för att webbläsaren ska tillåta anslutningen.
Faktum är att HTTPS-inspektion är en ganska komplicerad sak och har många begränsningar, men vi kommer inte att överväga detta i den här kursen. Jag ska bara tillägga att implementering av HTTPS-inspektion inte är en fråga om minuter; det tar vanligtvis ungefär en månad. Det är nödvändigt att samla in information om nödvändiga undantag, göra lämpliga inställningar, samla in feedback från användare och justera inställningarna.
Den givna teorin, såväl som den praktiska delen, presenteras i denna videolektion:
I nästa lektion kommer vi att titta på andra säkerhetsprofiler: antivirus och intrångsskyddssystem. För att inte missa det, följ uppdateringarna på följande kanaler:
Källa: will.com