శుభాకాంక్షలు! కోర్సు యొక్క ఏడవ పాఠానికి స్వాగతం
యాంటీవైరస్తో ప్రారంభిద్దాం. ముందుగా, వైరస్లను గుర్తించేందుకు FortiGate ఉపయోగించే సాంకేతికతలను చర్చిద్దాం:
యాంటీవైరస్ స్కానింగ్ అనేది వైరస్లను గుర్తించడానికి సులభమైన మరియు వేగవంతమైన పద్ధతి. ఇది యాంటీ-వైరస్ డేటాబేస్లో ఉన్న సంతకాలతో పూర్తిగా సరిపోలే వైరస్లను గుర్తిస్తుంది.
గ్రేవేర్ స్కాన్ లేదా అవాంఛిత ప్రోగ్రామ్ స్కానింగ్ - ఈ సాంకేతికత యూజర్ యొక్క జ్ఞానం లేదా సమ్మతి లేకుండా ఇన్స్టాల్ చేయబడిన అవాంఛిత ప్రోగ్రామ్లను గుర్తిస్తుంది. సాంకేతికంగా, ఈ ప్రోగ్రామ్లు వైరస్లు కావు. అవి సాధారణంగా ఇతర ప్రోగ్రామ్లతో కలిసి వస్తాయి, కానీ ఇన్స్టాల్ చేసినప్పుడు అవి సిస్టమ్ను ప్రతికూలంగా ప్రభావితం చేస్తాయి, అందుకే అవి మాల్వేర్గా వర్గీకరించబడ్డాయి. తరచుగా ఇటువంటి ప్రోగ్రామ్లను FortiGuard పరిశోధనా స్థావరం నుండి సాధారణ గ్రేవేర్ సంతకాలను ఉపయోగించి గుర్తించవచ్చు.
హ్యూరిస్టిక్ స్కానింగ్ - ఈ సాంకేతికత సంభావ్యతపై ఆధారపడి ఉంటుంది, కాబట్టి దీని ఉపయోగం తప్పుడు సానుకూల ప్రభావాలను కలిగిస్తుంది, అయితే ఇది జీరో డే వైరస్లను కూడా గుర్తించగలదు. జీరో డే వైరస్లు ఇంకా అధ్యయనం చేయని కొత్త వైరస్లు మరియు వాటిని గుర్తించగల సంతకాలు లేవు. హ్యూరిస్టిక్ స్కానింగ్ డిఫాల్ట్గా ప్రారంభించబడదు మరియు కమాండ్ లైన్లో తప్పనిసరిగా ప్రారంభించబడాలి.
అన్ని యాంటీవైరస్ సామర్థ్యాలు ప్రారంభించబడితే, FortiGate వాటిని క్రింది క్రమంలో వర్తింపజేస్తుంది: యాంటీవైరస్ స్కానింగ్, గ్రేవేర్ స్కానింగ్, హ్యూరిస్టిక్ స్కానింగ్.
FortiGate విధులను బట్టి అనేక యాంటీ-వైరస్ డేటాబేస్లను ఉపయోగించవచ్చు:
- సాధారణ యాంటీవైరస్ డేటాబేస్ (సాధారణం) - అన్ని ఫోర్టిగేట్ మోడల్లలో ఉంటుంది. ఇందులో ఇటీవలి నెలల్లో కనుగొనబడిన వైరస్ల సంతకాలు ఉన్నాయి. ఇది అతి చిన్న యాంటీవైరస్ డేటాబేస్, కాబట్టి ఇది ఉపయోగించినప్పుడు వేగంగా స్కాన్ చేస్తుంది. అయినప్పటికీ, ఈ డేటాబేస్ అన్ని తెలిసిన వైరస్లను గుర్తించలేదు.
- పొడిగించబడింది - ఈ బేస్ చాలా ఫోర్టిగేట్ మోడల్లచే మద్దతు ఇస్తుంది. ఇకపై యాక్టివ్గా లేని వైరస్లను గుర్తించేందుకు దీన్ని ఉపయోగించవచ్చు. చాలా ప్లాట్ఫారమ్లు ఇప్పటికీ ఈ వైరస్ల బారిన పడే అవకాశం ఉంది. అలాగే, ఈ వైరస్లు భవిష్యత్తులో సమస్యలను కలిగిస్తాయి.
- మరియు చివరిది, విపరీతమైన బేస్ (ఎక్స్ట్రీమ్) - అధిక స్థాయి భద్రత అవసరమయ్యే మౌలిక సదుపాయాలలో ఉపయోగించబడుతుంది. దాని సహాయంతో, మీరు పాత ఆపరేటింగ్ సిస్టమ్లను లక్ష్యంగా చేసుకున్న వైరస్లతో సహా అన్ని తెలిసిన వైరస్లను గుర్తించవచ్చు, అవి ప్రస్తుతం విస్తృతంగా పంపిణీ చేయబడవు. ఈ రకమైన సంతకం డేటాబేస్ అన్ని FortiGate మోడల్లచే కూడా మద్దతు ఇవ్వబడదు.
శీఘ్ర స్కానింగ్ కోసం రూపొందించిన కాంపాక్ట్ సిగ్నేచర్ డేటాబేస్ కూడా ఉంది. మేము దాని గురించి కొంచెం తరువాత మాట్లాడుతాము.
మీరు వివిధ పద్ధతులను ఉపయోగించి యాంటీ-వైరస్ డేటాబేస్లను నవీకరించవచ్చు.
మొదటి పద్ధతి పుష్ అప్డేట్, ఇది FortiGuard పరిశోధన డేటాబేస్ నవీకరణను విడుదల చేసిన వెంటనే డేటాబేస్లను నవీకరించడానికి అనుమతిస్తుంది. అధిక స్థాయి భద్రత అవసరమయ్యే ఇన్ఫ్రాస్ట్రక్చర్లకు ఇది ఉపయోగపడుతుంది, ఎందుకంటే FortiGate అత్యవసర అప్డేట్లు అందుబాటులోకి వచ్చిన వెంటనే అందుకుంటుంది.
రెండవ పద్ధతి షెడ్యూల్ సెట్ చేయడం. ఈ విధంగా మీరు ప్రతి గంట, రోజు లేదా వారంలో అప్డేట్ల కోసం తనిఖీ చేయవచ్చు. అంటే, ఇక్కడ సమయ పరిధి మీ అభీష్టానుసారం సెట్ చేయబడింది.
ఈ పద్ధతులను కలిసి ఉపయోగించవచ్చు.
కానీ అప్డేట్లు చేయడానికి, మీరు కనీసం ఒక ఫైర్వాల్ పాలసీ కోసం యాంటీవైరస్ ప్రొఫైల్ను తప్పనిసరిగా ప్రారంభించాలని మీరు గుర్తుంచుకోవాలి. లేకపోతే, నవీకరణలు చేయబడవు.
మీరు ఫోర్టినెట్ సపోర్ట్ సైట్ నుండి అప్డేట్లను డౌన్లోడ్ చేసుకోవచ్చు మరియు వాటిని మాన్యువల్గా ఫోర్టిగేట్కి అప్లోడ్ చేయవచ్చు.
స్కానింగ్ మోడ్లను చూద్దాం. వాటిలో మూడు మాత్రమే ఉన్నాయి - ఫ్లో బేస్డ్ మోడ్లో ఫుల్ మోడ్, ఫ్లో బేస్డ్ మోడ్లో క్విక్ మోడ్ మరియు ప్రాక్సీ మోడ్లో ఫుల్ మోడ్. ఫ్లో మోడ్లో పూర్తి మోడ్తో ప్రారంభిద్దాం.
ఒక వినియోగదారు ఫైల్ను డౌన్లోడ్ చేయాలనుకుంటున్నారని అనుకుందాం. అతను ఒక అభ్యర్థనను పంపుతాడు. సర్వర్ అతనికి ఫైల్ను రూపొందించే ప్యాకెట్లను పంపడం ప్రారంభిస్తుంది. వినియోగదారు వెంటనే ఈ ప్యాకేజీలను స్వీకరిస్తారు. అయితే ఈ ప్యాకెట్లను యూజర్కు డెలివరీ చేసే ముందు, FortiGate వాటిని క్యాష్ చేస్తుంది. FortiGate చివరి ప్యాకెట్ను స్వీకరించిన తర్వాత, అది ఫైల్ను స్కాన్ చేయడం ప్రారంభిస్తుంది. ఈ సమయంలో, చివరి ప్యాకెట్ క్యూలో ఉంది మరియు వినియోగదారుకు ప్రసారం చేయబడదు. ఫైల్లో వైరస్లు లేకుంటే, తాజా ప్యాకెట్ వినియోగదారుకు పంపబడుతుంది. వైరస్ గుర్తించబడితే, FortiGate వినియోగదారుతో కనెక్షన్ను విచ్ఛిన్నం చేస్తుంది.
ఫ్లో బేస్డ్లో అందుబాటులో ఉన్న రెండవ స్కానింగ్ మోడ్ క్విక్ మోడ్. ఇది సాధారణ డేటాబేస్ కంటే తక్కువ సంతకాలను కలిగి ఉండే కాంపాక్ట్ సిగ్నేచర్ డేటాబేస్ని ఉపయోగిస్తుంది. పూర్తి మోడ్తో పోలిస్తే దీనికి కొన్ని పరిమితులు కూడా ఉన్నాయి:
- ఇది శాండ్బాక్స్కి ఫైల్లను పంపదు
- ఇది హ్యూరిస్టిక్ విశ్లేషణను ఉపయోగించదు
- అలాగే ఇది మొబైల్ మాల్వేర్కు సంబంధించిన ప్యాకేజీలను ఉపయోగించదు
- కొన్ని ఎంట్రీ లెవల్ మోడల్లు ఈ మోడ్కు మద్దతు ఇవ్వవు.
త్వరిత మోడ్ వైరస్లు, వార్మ్లు, ట్రోజన్లు మరియు మాల్వేర్ల కోసం ట్రాఫిక్ను కూడా తనిఖీ చేస్తుంది, కానీ బఫరింగ్ లేకుండా. ఇది మెరుగైన పనితీరును అందిస్తుంది, కానీ అదే సమయంలో వైరస్ను గుర్తించే సంభావ్యత తగ్గుతుంది.
ప్రాక్సీ మోడ్లో, పూర్తి మోడ్ మాత్రమే స్కానింగ్ మోడ్ అందుబాటులో ఉంది. అటువంటి స్కాన్తో, ఫోర్టిగేట్ మొదట మొత్తం ఫైల్ను దానంతట అదే నిల్వ చేస్తుంది (వాస్తవానికి, స్కానింగ్ కోసం అనుమతించదగిన ఫైల్ పరిమాణం మించిపోయినట్లయితే). క్లయింట్ స్కాన్ పూర్తయ్యే వరకు వేచి ఉండాలి. స్కానింగ్ సమయంలో వైరస్ కనుగొనబడితే, వినియోగదారుకు వెంటనే తెలియజేయబడుతుంది. ఫోర్టిగేట్ మొదట మొత్తం ఫైల్ను సేవ్ చేసి, ఆపై దాన్ని స్కాన్ చేస్తుంది కాబట్టి, దీనికి చాలా సమయం పట్టవచ్చు. దీని కారణంగా, క్లయింట్ చాలా ఆలస్యం కారణంగా ఫైల్ను స్వీకరించడానికి ముందు కనెక్షన్ని ముగించడం సాధ్యమవుతుంది.
దిగువ బొమ్మ స్కానింగ్ మోడ్ల కోసం పోలిక పట్టికను చూపుతుంది - ఇది మీ పనులకు ఏ రకమైన స్కానింగ్ అనుకూలంగా ఉందో నిర్ణయించడంలో మీకు సహాయపడుతుంది. యాంటీవైరస్ యొక్క కార్యాచరణను సెటప్ చేయడం మరియు తనిఖీ చేయడం అనేది వ్యాసం చివరిలో వీడియోలో ఆచరణలో చర్చించబడింది.
పాఠం యొక్క రెండవ భాగానికి వెళ్దాం - చొరబాటు నిరోధక వ్యవస్థ. కానీ IPS అధ్యయనం ప్రారంభించడానికి, మీరు దోపిడీలు మరియు క్రమరాహిత్యాల మధ్య వ్యత్యాసాన్ని అర్థం చేసుకోవాలి మరియు వాటి నుండి రక్షించడానికి FortiGate ఏ యంత్రాంగాలను ఉపయోగిస్తుందో కూడా అర్థం చేసుకోవాలి.
దోపిడీలు IPS, WAF లేదా యాంటీవైరస్ సంతకాలను ఉపయోగించి గుర్తించగల నిర్దిష్ట నమూనాలతో తెలిసిన దాడులు.
అసాధారణమైన ట్రాఫిక్ లేదా సాధారణ CPU వినియోగం కంటే ఎక్కువగా ఉండటం వంటి నెట్వర్క్లో అసాధారణ ప్రవర్తన. క్రమరాహిత్యాలు సాధారణంగా ప్రవర్తనా విశ్లేషణను ఉపయోగించి గుర్తించబడతాయి - రేటు-ఆధారిత సంతకాలు మరియు DoS విధానాలు అని పిలవబడేవి.
ఫలితంగా, ఫోర్టిగేట్లోని IPS తెలిసిన దాడులను గుర్తించడానికి సంతకం స్థావరాలు మరియు వివిధ క్రమరాహిత్యాలను గుర్తించడానికి రేటు-ఆధారిత సంతకాలు మరియు DoS విధానాలను ఉపయోగిస్తుంది.
డిఫాల్ట్గా, ఫోర్టిగేట్ ఆపరేటింగ్ సిస్టమ్ యొక్క ప్రతి వెర్షన్తో IPS సంతకాల యొక్క ప్రారంభ సెట్ చేర్చబడుతుంది. నవీకరణలతో, FortiGate కొత్త సంతకాలను అందుకుంటుంది. ఈ విధంగా, కొత్త దోపిడీలకు వ్యతిరేకంగా IPS ప్రభావవంతంగా ఉంటుంది. FortiGuard IPS సంతకాలను చాలా తరచుగా అప్డేట్ చేస్తుంది.
IPS మరియు యాంటీవైరస్ రెండింటికీ వర్తించే ముఖ్యమైన అంశం ఏమిటంటే, మీ లైసెన్స్ల గడువు ముగిసినట్లయితే, మీరు స్వీకరించిన తాజా సంతకాలను ఉపయోగించవచ్చు. కానీ మీరు లైసెన్స్లు లేకుండా కొత్త వాటిని పొందలేరు. అందువల్ల, లైసెన్స్లు లేకపోవడం చాలా అవాంఛనీయమైనది - కొత్త దాడులు కనిపించినట్లయితే, మీరు పాత సంతకాలతో మిమ్మల్ని మీరు రక్షించుకోలేరు.
IPS సంతకం డేటాబేస్లు సాధారణ మరియు పొడిగించబడినవిగా విభజించబడ్డాయి. ఒక సాధారణ డేటాబేస్ చాలా అరుదుగా లేదా ఎప్పుడూ తప్పుడు పాజిటివ్లకు కారణమయ్యే సాధారణ దాడులకు సంబంధించిన సంతకాలను కలిగి ఉంటుంది. ఈ సంతకాలలో చాలా వరకు ముందుగా కాన్ఫిగర్ చేయబడిన చర్య బ్లాక్.
పొడిగించిన డేటాబేస్ సిస్టమ్ పనితీరుపై గణనీయమైన ప్రభావాన్ని చూపే అదనపు దాడి సంతకాలను కలిగి ఉంది లేదా వాటి ప్రత్యేక స్వభావం కారణంగా బ్లాక్ చేయబడదు. ఈ డేటాబేస్ పరిమాణం కారణంగా, ఇది చిన్న డిస్క్ లేదా RAM ఉన్న FortiGate మోడల్లలో అందుబాటులో లేదు. కానీ అత్యంత సురక్షితమైన పరిసరాల కోసం, మీరు పొడిగించిన బేస్ని ఉపయోగించాల్సి రావచ్చు.
IPS యొక్క కార్యాచరణను సెటప్ చేయడం మరియు తనిఖీ చేయడం కూడా దిగువ వీడియోలో చర్చించబడింది.
తదుపరి పాఠంలో మేము వినియోగదారులతో కలిసి పనిచేయడం గురించి చూస్తాము. దీన్ని మిస్ కాకుండా ఉండటానికి, కింది ఛానెల్లలో అప్డేట్లను అనుసరించండి:
మూలం: www.habr.com