6. Fortinet เริ่มต้นใช้งาน v6.0 การกรองเว็บและการควบคุมแอปพลิเคชัน

ทักทาย! ยินดีต้อนรับสู่บทเรียนที่หกของหลักสูตร การเริ่มต้นใช้งาน Fortinet. บน บทเรียนสุดท้าย เราได้เรียนรู้พื้นฐานการทำงานกับเทคโนโลยี NAT แล้ว ฟอร์ติเกตและเผยแพร่ผู้ใช้ทดสอบของเราบนอินเทอร์เน็ตด้วย ตอนนี้ถึงเวลาดูแลความปลอดภัยของผู้ใช้ในพื้นที่เปิดโล่งของเขาแล้ว ในบทนี้ เราจะดูโปรไฟล์ความปลอดภัยต่อไปนี้ การกรองเว็บ การควบคุมแอปพลิเคชัน และการตรวจสอบ HTTPS

เพื่อเริ่มต้นใช้งานโปรไฟล์ความปลอดภัย เราต้องเข้าใจอีกสิ่งหนึ่ง: โหมดการตรวจสอบ

ค่าเริ่มต้นคือโหมดตามการไหล มันจะตรวจสอบไฟล์ในขณะที่มันผ่าน FortiGate โดยไม่มีบัฟเฟอร์ เมื่อแพ็กเก็ตมาถึง ก็จะถูกประมวลผลและส่งต่อโดยไม่ต้องรอให้ได้รับไฟล์หรือหน้าเว็บทั้งหมด ต้องการทรัพยากรน้อยกว่าและให้ประสิทธิภาพที่ดีกว่าโหมดพร็อกซี แต่ในขณะเดียวกันฟังก์ชันความปลอดภัยบางส่วนก็พร้อมใช้งานเช่นกัน ตัวอย่างเช่น การป้องกันข้อมูลรั่วไหล (DLP) สามารถใช้ได้เฉพาะในโหมดพร็อกซีเท่านั้น
โหมดพร็อกซีทำงานแตกต่างออกไป มันสร้างการเชื่อมต่อ TCP สองรายการ การเชื่อมต่อหนึ่งระหว่างไคลเอนต์กับ FortiGate และการเชื่อมต่อที่สองระหว่าง FortiGate และเซิร์ฟเวอร์ ซึ่งช่วยให้สามารถบัฟเฟอร์การรับส่งข้อมูล เช่น รับไฟล์หรือหน้าเว็บที่สมบูรณ์ การสแกนไฟล์เพื่อหาภัยคุกคามต่างๆ จะเริ่มต้นหลังจากที่ไฟล์ทั้งหมดถูกบัฟเฟอร์แล้วเท่านั้น ซึ่งจะทำให้คุณสามารถใช้คุณสมบัติเพิ่มเติมที่ไม่มีในโหมดอิงโฟลว์ได้ อย่างที่คุณเห็น โหมดนี้ดูเหมือนจะตรงกันข้ามกับ Flow Based - การรักษาความปลอดภัยมีบทบาทสำคัญที่นี่ และประสิทธิภาพจะมีความสำคัญอยู่ด้านหลัง
มีคนมักถามว่าโหมดไหนดีกว่ากัน? แต่ที่นี่ไม่มีสูตรทั่วไป ทุกอย่างเป็นเรื่องส่วนตัวเสมอและขึ้นอยู่กับความต้องการและเป้าหมายของคุณ ในช่วงหลังของหลักสูตร ฉันจะพยายามแสดงความแตกต่างระหว่างโปรไฟล์ความปลอดภัยในโหมด Flow และ Proxy สิ่งนี้จะช่วยคุณเปรียบเทียบฟังก์ชันการทำงานและตัดสินใจว่าฟังก์ชันใดดีที่สุดสำหรับคุณ

มาดูโปรไฟล์ความปลอดภัยโดยตรงและดูที่การกรองเว็บก่อน ช่วยในการติดตามหรือติดตามว่าผู้ใช้เยี่ยมชมเว็บไซต์ใด ฉันคิดว่าไม่จำเป็นต้องอธิบายให้ลึกลงไปถึงความจำเป็นของโปรไฟล์ดังกล่าวในความเป็นจริงในปัจจุบัน มาทำความเข้าใจกันดีกว่าว่ามันทำงานอย่างไร

เมื่อสร้างการเชื่อมต่อ TCP แล้ว ผู้ใช้จะใช้คำขอ GET เพื่อขอเนื้อหาของเว็บไซต์เฉพาะ

หากเว็บเซิร์ฟเวอร์ตอบสนองในเชิงบวก เว็บเซิร์ฟเวอร์จะส่งข้อมูลเกี่ยวกับเว็บไซต์นั้นกลับมา นี่คือจุดที่ตัวกรองเว็บเข้ามามีบทบาท จะตรวจสอบเนื้อหาของการตอบสนองนี้ ในระหว่างการตรวจสอบ FortiGate จะส่งคำขอแบบเรียลไทม์ไปยัง FortiGuard Distribution Network (FDN) เพื่อกำหนดหมวดหมู่ของเว็บไซต์ที่กำหนด หลังจากกำหนดหมวดหมู่ของเว็บไซต์ใดเว็บไซต์หนึ่งแล้ว ตัวกรองเว็บจะดำเนินการเฉพาะขึ้นอยู่กับการตั้งค่า
มีการดำเนินการสามอย่างในโหมด Flow:

• อนุญาต - อนุญาตให้เข้าถึงเว็บไซต์
• บล็อก - บล็อกการเข้าถึงเว็บไซต์
• การตรวจสอบ - อนุญาตให้เข้าถึงเว็บไซต์และบันทึกไว้ในบันทึก

ในโหมดพร็อกซี จะมีการเพิ่มการดำเนินการอีกสองรายการ:

• คำเตือน - ให้คำเตือนแก่ผู้ใช้ว่าเขากำลังพยายามเยี่ยมชมแหล่งข้อมูลบางอย่างและให้ทางเลือกแก่ผู้ใช้ - ดำเนินการต่อหรือออกจากเว็บไซต์
• ตรวจสอบสิทธิ์ - ขอข้อมูลประจำตัวผู้ใช้ - ช่วยให้บางกลุ่มสามารถเข้าถึงหมวดหมู่ของเว็บไซต์ที่ถูกจำกัดได้

เว็บไซต์ ฟอร์ติการ์ด แล็บส์ คุณสามารถดูหมวดหมู่และหมวดหมู่ย่อยทั้งหมดของตัวกรองเว็บ และยังค้นหาว่าเว็บไซต์ใดอยู่ในหมวดหมู่ใด โดยทั่วไปนี่เป็นไซต์ที่มีประโยชน์สำหรับผู้ใช้โซลูชันของ Fortinet ฉันขอแนะนำให้คุณทำความคุ้นเคยกับมันให้ดีขึ้นในเวลาว่าง

มีน้อยมากที่สามารถพูดได้เกี่ยวกับการควบคุมแอปพลิเคชัน ตามชื่อที่แนะนำ ช่วยให้คุณสามารถควบคุมการทำงานของแอปพลิเคชันได้ และเขาทำสิ่งนี้โดยใช้รูปแบบจากแอปพลิเคชันต่างๆ ที่เรียกว่าลายเซ็น เมื่อใช้ลายเซ็นเหล่านี้ เขาสามารถระบุแอปพลิเคชันเฉพาะและดำเนินการเฉพาะกับแอปพลิเคชันนั้นได้:

• อนุญาต - อนุญาต
• ตรวจสอบ - อนุญาตและบันทึกสิ่งนี้
• บล็อค-ห้าม
• กักกัน - บันทึกเหตุการณ์ในบันทึกและบล็อกที่อยู่ IP ในช่วงเวลาหนึ่ง

คุณยังสามารถดูลายเซ็นที่มีอยู่บนเว็บไซต์ได้ ฟอร์ติการ์ด แล็บส์.

ตอนนี้เรามาดูกลไกการตรวจสอบ HTTPS กัน ตามสถิติ ณ สิ้นปี 2018 ส่วนแบ่งการรับส่งข้อมูล HTTPS เกิน 70% นั่นคือหากไม่มีการใช้การตรวจสอบ HTTPS เราจะสามารถวิเคราะห์ได้เพียงประมาณ 30% ของการรับส่งข้อมูลที่ส่งผ่านเครือข่าย อันดับแรก มาดูกันว่า HTTPS ทำงานอย่างไรโดยการประมาณคร่าวๆ

ไคลเอนต์เริ่มต้นคำขอ TLS ไปยังเว็บเซิร์ฟเวอร์และรับการตอบกลับ TLS และยังเห็นใบรับรองดิจิทัลที่ต้องเชื่อถือได้สำหรับผู้ใช้รายนี้ นี่เป็นขั้นต่ำสุดที่เราจำเป็นต้องทราบเกี่ยวกับวิธีการทำงานของ HTTPS จริงๆ แล้ววิธีการทำงานนั้นซับซ้อนกว่ามาก หลังจากการจับมือ TLS สำเร็จ การถ่ายโอนข้อมูลที่เข้ารหัสจะเริ่มต้นขึ้น และนี่เป็นสิ่งที่ดี ไม่มีใครสามารถเข้าถึงข้อมูลที่คุณแลกเปลี่ยนกับเว็บเซิร์ฟเวอร์ได้

อย่างไรก็ตาม สำหรับเจ้าหน้าที่รักษาความปลอดภัยของบริษัท นี่เป็นเรื่องที่น่าปวดหัวอย่างยิ่ง เนื่องจากพวกเขาไม่สามารถมองเห็นการรับส่งข้อมูลนี้และตรวจสอบเนื้อหาด้วยโปรแกรมป้องกันไวรัสหรือระบบป้องกันการบุกรุกหรือระบบ DLP หรืออะไรก็ตาม นอกจากนี้ยังส่งผลเสียต่อคุณภาพของคำจำกัดความของแอปพลิเคชันและทรัพยากรเว็บที่ใช้ภายในเครือข่าย - สิ่งที่เกี่ยวข้องกับหัวข้อบทเรียนของเรา เทคโนโลยีการตรวจสอบ HTTPS ได้รับการออกแบบมาเพื่อแก้ไขปัญหานี้ สาระสำคัญของมันนั้นง่ายมาก - อันที่จริงอุปกรณ์ที่ทำการตรวจสอบ HTTPS จะจัดการโจมตีแบบ Man In The Middle มีลักษณะดังนี้: FortiGate สกัดกั้นคำขอของผู้ใช้ จัดการเชื่อมต่อ HTTPS ด้วย จากนั้นเปิดเซสชัน HTTPS ด้วยทรัพยากรที่ผู้ใช้เข้าถึง ในกรณีนี้ ใบรับรองที่ออกโดย FortiGate จะปรากฏบนคอมพิวเตอร์ของผู้ใช้ เบราว์เซอร์จะต้องเชื่อถือจึงจะอนุญาตการเชื่อมต่อ

ที่จริงแล้ว การตรวจสอบ HTTPS เป็นสิ่งที่ค่อนข้างซับซ้อนและมีข้อจำกัดมากมาย แต่เราจะไม่พิจารณาเรื่องนี้ในหลักสูตรนี้ ฉันขอเสริมว่าการใช้การตรวจสอบ HTTPS ไม่ใช่เรื่องของนาที ปกติแล้วจะใช้เวลาประมาณหนึ่งเดือน มีความจำเป็นต้องรวบรวมข้อมูลเกี่ยวกับข้อยกเว้นที่จำเป็น ทำการตั้งค่าที่เหมาะสม รวบรวมคำติชมจากผู้ใช้ และปรับการตั้งค่า

ทฤษฎีที่กำหนดตลอดจนภาคปฏิบัติจะถูกนำเสนอในบทเรียนวิดีโอนี้:

ในบทต่อไป เราจะดูโปรไฟล์ความปลอดภัยอื่นๆ: ระบบป้องกันไวรัสและการป้องกันการบุกรุก เพื่อไม่ให้พลาดติดตามการอัพเดตได้ที่ช่องทางต่อไปนี้:

• Youtube
• ГруппаВконтакте
• ยานเดกซ์เซน
• เว็บไซต์ของเรา
• กระดานสนทนา

ที่มา: will.com