问候! 欢迎来到本课程的第七课 。 上 我们熟悉了 Web 过滤、应用程序控制和 HTTPS 检查等安全配置文件。 在本课中,我们将继续熟悉安全配置文件。 首先,我们将熟悉防病毒和入侵防御系统操作的理论方面,然后我们将在实践中考虑这些安全配置文件的工作。
让我们从防病毒软件开始。 首先,我们来讨论一下 FortiGate 用于检测病毒的技术:
防病毒扫描是检测病毒最简单、最快的方法。 它检测与反病毒数据库中包含的特征完全匹配的病毒。
灰色软件扫描或不需要的程序扫描 - 该技术可检测在用户不知情或未经用户同意的情况下安装的不需要的程序。 从技术上讲,这些程序不是病毒。 通常它们与其他程序捆绑在一起,但安装后会对系统产生负面影响,这就是它们被归类为恶意软件的原因。 通常可以使用 FortiGuard 研究基地的简单灰色软件签名来检测此类程序。
启发式扫描 - 该技术基于概率,因此其使用可能会导致误报效果,但它也可以检测零日病毒。 零日病毒是尚未被调查的新病毒,目前还没有可以检测到它们的签名。 默认情况下不启用启发式扫描,必须在命令行上启用。
如果启用了所有防病毒功能,FortiGate 将按以下顺序应用它们:防病毒扫描、灰色软件扫描、启发式扫描。
FortiGate 可以根据任务使用多个反病毒数据库:
- 常规防病毒数据库(普通)- 包含在 FortiGate'ov 的所有型号中。 它包括近几个月发现的病毒的签名。 这是最小的反病毒数据库,因此使用它时,扫描速度是最快的。 然而,该数据库无法检测所有已知病毒。
- 扩展(Extend)——大多数 FortiGate 型号都支持此基础。 它可用于检测不再活跃的病毒。 许多平台仍然容易受到这些病毒的攻击。 此外,这些病毒可能会在未来带来问题。
- 最后,极端基础(Extreme) - 用于需要高级别安全性的基础设施。 它可以检测所有已知病毒,包括针对当前尚未广泛分发的旧版操作系统的病毒。 并非所有 FortiGate 型号都支持这种类型的签名数据库。
还有一个专为快速扫描而设计的紧凑签名数据库。 我们稍后再讨论。
您可以使用不同的方法更新防病毒数据库。
第一种方法是推送更新 - 它允许您在 FortiGuard 研究基地发布更新后立即更新数据库。 这对于需要高安全级别的基础设施非常有用,因为 FortiGate 将在紧急更新可用时立即收到它们。
第二种方法是制定时间表。 这样您就可以每小时、每天或每周检查更新。 也就是说,这里的时间范围是由您自行决定的。
这些方法可以一起使用。
但您需要记住,为了进行更新,您必须为至少一项防火墙策略启用防病毒配置文件。 否则,将不会进行更新。
您还可以从 Fortinet 支持网站下载更新,然后手动将其上传到 FortiGate。
考虑扫描模式。 只有三种——Flow Based 模式下的 Full Mode、Flow Based 模式下的 Quick Mode 和代理模式下的 Full Mode。 让我们从 Flow 模式中的 Full 模式开始。
假设用户想要下载一个文件。 他发送一个请求。 服务器开始向他发送构成文件的数据包。 用户立即收到这些数据包。 但在将这些数据包传递给用户之前,FortiGate 会缓存它们。 FortiGate 收到最后一个数据包后,开始扫描文件。 此时,最后一个数据包已排队并不会传输给用户。 如果文件不包含病毒,则将最后一个数据包发送给用户。 如果检测到病毒,FortiGate 会中断与用户的连接。
Flow Based 中可用的第二种扫描模式是快速模式。 它使用紧凑的签名数据库,包含比常规签名数据库更少的签名。 与完整模式相比,它也有一些限制:
- 它无法将文件发送到沙箱
- 它不能使用启发式分析
- 它也不能使用与移动恶意软件相关的软件包。
- 部分入门级机型不支持此模式。
快速模式还检查流量中是否存在病毒、蠕虫、特洛伊木马和恶意软件,但不进行缓冲。 这提供了更好的性能,但同时也降低了检测到病毒的概率。
在代理模式下,唯一可用的扫描模式是完整模式。 通过这样的扫描,FortiGate 首先自行存储整个文件(当然,除非超出了允许的扫描文件大小)。 客户端必须等待扫描完成。 如果扫描过程中检测到病毒,用户将立即收到通知。 由于 FortiGate 首先保存整个文件,然后对其进行扫描,因此这可能需要相当长的时间。 因此,客户端有可能因长时间延迟而在接收文件之前结束连接。
下图提供了扫描模式的比较表 - 它将帮助您确定哪种扫描类型适合您的任务。 本文末尾的视频在实践中考虑了配置和检查防病毒软件的性能。
让我们继续本课的第二部分——入侵防御系统。 但为了开始研究 IPS,您需要了解漏洞利用和异常之间的区别,并了解 FortiGate 使用哪些机制来防范它们。
漏洞利用是具有特定模式的已知攻击,可以使用 IPS、WAF 或防病毒签名进行检测。
异常是网络上的异常行为,例如异常高的流量或超出平常的 CPU 消耗。应监视异常,因为它们可能是新的、尚未探索的攻击的迹象。 通常使用行为分析(即所谓的基于速率的签名和 DoS 策略)来检测异常。
因此,FortiGate 上的 IPS 使用签名库来检测已知攻击,并使用基于速率的签名和 DoS 策略来检测各种异常情况。
默认情况下,每个版本的 FortiGate 操作系统都包含一组初始 IPS 签名。 随着更新,FortiGate 收到新的签名。 因此,IPS 对于新的攻击仍然有效。 FortiGuard 服务非常频繁地更新 IPS 签名。
适用于 IPS 和防病毒的重要一点是,如果您的许可证已过期,您仍然可以使用收到的最新签名。 但没有许可证就无法获得新的。 因此,缺乏许可证是非常不受欢迎的——当出现新的攻击时,您将无法使用旧的签名来保护自己。
IPS特征库分为常规特征库和扩展特征库。 常规数据库包含常见攻击的签名,这些攻击很少或从不导致误报。 大多数这些签名的默认操作是阻止。
扩展后的数据库包含额外的攻击签名,这些攻击签名对系统性能有重大影响,或者由于其特殊性而无法被阻止。 由于该底座的大小,它不适用于具有较小磁盘或 RAM 的 FortiGate 型号。 但对于高度安全的环境,您可能需要使用扩展底座。
下面的视频还介绍了 IPS 设置和验证。
在下一课中,我们将探讨与用户合作。 为了不错过,请继续关注以下频道的更新:
来源: habr.com