Salamu! Karibu katika somo la saba la kozi . Imewashwa tulifahamiana na wasifu wa usalama kama vile Kuchuja Wavuti, Udhibiti wa Programu na ukaguzi wa HTTPS. Katika somo hili tutaendelea na utangulizi wetu kwa wasifu wa usalama. Kwanza, tutafahamiana na vipengele vya kinadharia vya uendeshaji wa antivirus na mfumo wa kuzuia kuingilia, na kisha tutaangalia jinsi maelezo haya ya usalama yanavyofanya kazi katika mazoezi.
Wacha tuanze na antivirus. Kwanza, hebu tujadili teknolojia ambazo FortiGate hutumia kugundua virusi:
Uchanganuzi wa antivirus ndio njia rahisi na ya haraka zaidi ya kugundua virusi. Inatambua virusi zinazolingana kabisa na saini zilizomo kwenye hifadhidata ya kupambana na virusi.
Grayware Scan au utambazaji usiotakikana wa programu - teknolojia hii hutambua programu zisizotakikana ambazo zimesakinishwa bila ujuzi au idhini ya mtumiaji. Kitaalam, programu hizi sio virusi. Kawaida huja pamoja na programu zingine, lakini zinaposakinishwa huathiri vibaya mfumo, ndiyo sababu zinaainishwa kama programu hasidi. Mara nyingi programu kama hizo zinaweza kugunduliwa kwa kutumia saini rahisi za grayware kutoka kwa msingi wa utafiti wa FortiGuard.
Skanning ya Heuristic - teknolojia hii inategemea uwezekano, kwa hivyo matumizi yake yanaweza kusababisha athari chanya za uwongo, lakini pia inaweza kugundua virusi vya siku ya sifuri. Virusi vya siku ya sifuri ni virusi vipya ambavyo bado havijasomwa, na hakuna saini zinazoweza kuzigundua. Uchanganuzi wa Heuristic haujawezeshwa kwa chaguo-msingi na lazima uwashwe kwenye mstari wa amri.
Ikiwa uwezo wote wa antivirus umewezeshwa, FortiGate inawatumia kwa utaratibu ufuatao: skanning ya antivirus, skanning ya grayware, skanning heuristic.
FortiGate inaweza kutumia hifadhidata kadhaa za kuzuia virusi, kulingana na kazi:
- Database ya kawaida ya antivirus (Kawaida) - iliyo katika mifano yote ya FortiGate. Inajumuisha saini za virusi ambazo zimegunduliwa katika miezi ya hivi karibuni. Hii ni hifadhidata ndogo zaidi ya antivirus, kwa hivyo inachanganua haraka sana inapotumiwa. Hata hivyo, hifadhidata hii haiwezi kugundua virusi vyote vinavyojulikana.
- Imepanuliwa - msingi huu unatumika na miundo mingi ya FortiGate. Inaweza kutumika kugundua virusi ambazo hazifanyi kazi tena. Majukwaa mengi bado yanaweza kuathiriwa na virusi hivi. Pia, virusi hivi vinaweza kusababisha matatizo katika siku zijazo.
- Na msingi wa mwisho, uliokithiri (Uliokithiri) - hutumiwa katika miundombinu ambapo kiwango cha juu cha usalama kinahitajika. Kwa msaada wake, unaweza kuchunguza virusi vyote vinavyojulikana, ikiwa ni pamoja na virusi vinavyolenga mifumo ya uendeshaji ya kizamani, ambayo haijasambazwa sana kwa sasa. Aina hii ya hifadhidata ya sahihi pia haitumiki na miundo yote ya FortiGate.
Pia kuna hifadhidata ya saini ya kompakt iliyoundwa kwa utambazaji wa haraka. Tutazungumza juu yake baadaye kidogo.
Unaweza kusasisha hifadhidata za antivirus kwa kutumia njia tofauti.
Njia ya kwanza ni Push Update, ambayo inaruhusu hifadhidata kusasishwa mara tu hifadhidata ya utafiti wa FortiGuard inapotoa sasisho. Hii ni muhimu kwa miundomsingi inayohitaji usalama wa hali ya juu, kwani FortiGate itapokea masasisho ya haraka pindi tu yatakapopatikana.
Njia ya pili ni kuweka ratiba. Kwa njia hii unaweza kuangalia masasisho kila saa, siku au wiki. Hiyo ni, hapa muda wa saa umewekwa kwa hiari yako.
Njia hizi zinaweza kutumika pamoja.
Lakini unahitaji kukumbuka kwamba ili sasisho zifanywe, lazima uwezesha wasifu wa antivirus kwa angalau sera moja ya firewall. Vinginevyo, sasisho hazitafanywa.
Unaweza pia kupakua masasisho kutoka kwa tovuti ya usaidizi ya Fortinet na kisha kuyapakia mwenyewe kwa FortiGate.
Wacha tuangalie njia za skanning. Kuna tatu tu kati yao - Modi Kamili katika modi ya Kulingana na Mtiririko, Hali ya Haraka katika Hali Kulingana na Mtiririko, na Hali Kamili katika modi ya proksi. Hebu tuanze na Hali Kamili katika Modi ya Mtiririko.
Wacha tuseme mtumiaji anataka kupakua faili. Anatuma ombi. Seva huanza kumtumia pakiti zinazounda faili. Mtumiaji hupokea vifurushi hivi mara moja. Lakini kabla ya kuwasilisha pakiti hizi kwa mtumiaji, FortiGate inazihifadhi. Baada ya FortiGate kupokea pakiti ya mwisho, huanza kuchanganua faili. Kwa wakati huu, pakiti ya mwisho imewekwa kwenye foleni na haijapitishwa kwa mtumiaji. Ikiwa faili haina virusi, pakiti ya hivi karibuni inatumwa kwa mtumiaji. Ikiwa virusi hugunduliwa, FortiGate huvunja muunganisho na mtumiaji.
Hali ya pili ya kuchanganua inayopatikana katika Flow Based ni Modi ya Haraka. Inatumia hifadhidata ya saini ya kompakt, ambayo ina saini chache kuliko hifadhidata ya kawaida. Pia ina mapungufu ikilinganishwa na Modi Kamili:
- Haiwezi kutuma faili kwenye sandbox
- Haiwezi kutumia uchambuzi wa heuristic
- Pia haiwezi kutumia vifurushi vinavyohusiana na programu hasidi ya rununu
- Baadhi ya miundo ya kiwango cha kuingia haitumii hali hii.
Hali ya haraka pia hukagua trafiki kwa virusi, minyoo, Trojans na programu hasidi, lakini bila kuakibisha. Hii inatoa utendaji bora, lakini wakati huo huo uwezekano wa kugundua virusi umepunguzwa.
Katika hali ya Proksi, hali pekee ya kuchanganua inayopatikana ni Hali Kamili. Kwa skanisho kama hiyo, FortiGate kwanza huhifadhi faili nzima yenyewe (isipokuwa, kwa kweli, saizi ya faili inayoruhusiwa ya skanning imezidi). Mteja lazima angojee skanning ikamilike. Ikiwa virusi hugunduliwa wakati wa skanning, mtumiaji atajulishwa mara moja. Kwa sababu FortiGate kwanza huhifadhi faili nzima na kisha kuichanganua, hii inaweza kuchukua muda mrefu sana. Kwa sababu ya hili, inawezekana kwa mteja kusitisha uunganisho kabla ya kupokea faili kutokana na kuchelewa kwa muda mrefu.
Takwimu hapa chini inaonyesha jedwali la kulinganisha kwa njia za skanning - itakusaidia kuamua ni aina gani ya skanning inayofaa kwa kazi zako. Kuweka na kuangalia utendaji wa antivirus inajadiliwa katika mazoezi katika video mwishoni mwa makala.
Hebu tuendelee kwenye sehemu ya pili ya somo - mfumo wa kuzuia kuingilia. Lakini ili kuanza kusoma IPS, unahitaji kuelewa tofauti kati ya ushujaa na makosa, na pia kuelewa ni njia gani FortiGate hutumia kulinda dhidi yao.
Ushujaa ni mashambulizi yanayojulikana yenye ruwaza mahususi zinazoweza kutambuliwa kwa kutumia saini za IPS, WAF au antivirus.
Hitilafu ni tabia isiyo ya kawaida kwenye mtandao, kama vile idadi kubwa ya trafiki au zaidi ya matumizi ya kawaida ya CPU. Hitilafu zinahitaji kufuatiliwa kwa sababu zinaweza kuwa ishara za shambulio jipya ambalo halijagunduliwa. Hitilafu hutambuliwa kwa kawaida kwa kutumia uchanganuzi wa tabia - kinachojulikana kama sahihi kulingana na viwango na sera za DoS.
Kwa hivyo, IPS kwenye FortiGate hutumia misingi ya sahihi kugundua mashambulizi yanayojulikana, na saini za Rate-Based na sera za DoS ili kugundua hitilafu mbalimbali.
Kwa chaguo-msingi, seti ya awali ya sahihi za IPS imejumuishwa na kila toleo la mfumo wa uendeshaji wa FortiGate. Kwa sasisho, FortiGate inapokea saini mpya. Kwa njia hii, IPS inaendelea kuwa na ufanisi dhidi ya ushujaa mpya. FortiGuard husasisha saini za IPS mara kwa mara.
Jambo muhimu ambalo linatumika kwa IPS na antivirus ni kwamba ikiwa leseni zako zimeisha muda, bado unaweza kutumia sahihi zaidi ulizopokea. Lakini hutaweza kupata mpya bila leseni. Kwa hivyo, kukosekana kwa leseni haifai sana - ikiwa mashambulio mapya yatatokea, hautaweza kujilinda na saini za zamani.
Hifadhidata za saini za IPS zimegawanywa katika kawaida na kupanuliwa. Hifadhidata ya kawaida ina saini za mashambulizi ya kawaida ambayo mara chache au hayasababishi chanya za uwongo. Kitendo kilichopangwa awali kwa saini nyingi hizi ni kuzuia.
Hifadhidata iliyopanuliwa ina saini za ziada za uvamizi ambazo zina athari kubwa kwenye utendakazi wa mfumo, au ambazo haziwezi kuzuiwa kwa sababu ya asili yao maalum. Kutokana na ukubwa wa hifadhidata hii, haipatikani kwenye miundo ya FortiGate yenye diski ndogo au RAM. Lakini kwa mazingira salama sana, unaweza kuhitaji kutumia msingi uliopanuliwa.
Kuweka na kuangalia utendakazi wa IPS pia kunajadiliwa katika video hapa chini.
Katika somo linalofuata tutaangalia kufanya kazi na watumiaji. Ili usikose, fuata sasisho kwenye chaneli zifuatazo:
Chanzo: mapenzi.com