問候! 歡迎來到本課程的第七課 。 上 我們熟悉了 Web 過濾、應用程序控制和 HTTPS 檢查等安全配置文件。 在本課中,我們將繼續熟悉安全配置文件。 首先,我們將熟悉防病毒和入侵防禦系統操作的理論方面,然後我們將在實踐中考慮這些安全配置文件的工作。
讓我們從防病毒軟件開始。 首先,我們來討論一下 FortiGate 用於檢測病毒的技術:
防病毒掃描是檢測病毒最簡單、最快的方法。 它檢測與反病毒數據庫中包含的特徵完全匹配的病毒。
灰色軟件掃描或不需要的程序掃描 - 該技術可檢測在用戶不知情或未經用戶同意的情況下安裝的不需要的程序。 從技術上講,這些程序不是病毒。 通常它們與其他程序捆綁在一起,但安裝後會對系統產生負面影響,這就是它們被歸類為惡意軟件的原因。 通常可以使用 FortiGuard 研究基地的簡單灰色軟件簽名來檢測此類程序。
啟發式掃描 - 該技術基於概率,因此其使用可能會導致誤報效果,但它也可以檢測零日病毒。 零日病毒是尚未被調查的新病毒,目前還沒有可以檢測到它們的簽名。 默認情況下不啟用啟發式掃描,必須在命令行上啟用。
如果啟用了所有防病毒功能,FortiGate 將按以下順序應用它們:防病毒掃描、灰色軟件掃描、啟發式掃描。
FortiGate 可以根據任務使用多個反病毒數據庫:
- 常規防病毒數據庫(普通)- 包含在 FortiGate'ov 的所有型號中。 它包括近幾個月發現的病毒的簽名。 這是最小的反病毒數據庫,因此使用它時,掃描速度是最快的。 然而,該數據庫無法檢測所有已知病毒。
- 擴展(Extend)——大多數 FortiGate 型號都支持此基礎。 它可用於檢測不再活躍的病毒。 許多平台仍然容易受到這些病毒的攻擊。 此外,這些病毒可能會在未來帶來問題。
- 最後,極端基礎(Extreme) - 用於需要高級別安全性的基礎設施。 它可以檢測所有已知病毒,包括針對當前尚未廣泛分發的舊版操作系統的病毒。 並非所有 FortiGate 型號都支持這種類型的簽名數據庫。
還有一個專為快速掃描而設計的緊湊簽名數據庫。 我們稍後再討論。
您可以使用不同的方法更新防病毒數據庫。
第一種方法是推送更新 - 它允許您在 FortiGuard 研究基地發布更新後立即更新數據庫。 這對於需要高安全級別的基礎設施非常有用,因為 FortiGate 將在緊急更新可用時立即收到它們。
第二種方法是製定時間表。 這樣您就可以每小時、每天或每週檢查更新。 也就是說,這裡的時間範圍是由您自行決定的。
這些方法可以一起使用。
但您需要記住,為了進行更新,您必須為至少一項防火牆策略啟用防病毒配置文件。 否則,將不會進行更新。
您還可以從 Fortinet 支持網站下載更新,然後手動將其上傳到 FortiGate。
考慮掃描模式。 只有三種——Flow Based 模式下的 Full Mode、Flow Based 模式下的 Quick Mode 和代理模式下的 Full Mode。 讓我們從 Flow 模式中的 Full 模式開始。
假設用戶想要下載一個文件。 他發送一個請求。 服務器開始向他發送構成文件的數據包。 用戶立即收到這些數據包。 但在將這些數據包傳遞給用戶之前,FortiGate 會緩存它們。 FortiGate 收到最後一個數據包後,開始掃描文件。 此時,最後一個數據包已排隊並不會傳輸給用戶。 如果文件不包含病毒,則將最後一個數據包發送給用戶。 如果檢測到病毒,FortiGate 會中斷與用戶的連接。
Flow Based 中可用的第二種掃描模式是快速模式。 它使用緊湊的簽名數據庫,包含比常規簽名數據庫更少的簽名。 與完整模式相比,它也有一些限制:
- 它無法將文件發送到沙箱
- 它不能使用啟發式分析
- 它也不能使用與移動惡意軟件相關的軟件包。
- 部分入門級機型不支持此模式。
快速模式還檢查流量中是否存在病毒、蠕蟲、特洛伊木馬和惡意軟件,但不進行緩衝。 這提供了更好的性能,但同時也降低了檢測到病毒的概率。
在代理模式下,唯一可用的掃描模式是完整模式。 通過這樣的掃描,FortiGate 首先自行存儲整個文件(當然,除非超出了允許的掃描文件大小)。 客戶端必須等待掃描完成。 如果掃描過程中檢測到病毒,用戶將立即收到通知。 由於 FortiGate 首先保存整個文件,然後對其進行掃描,因此這可能需要相當長的時間。 因此,客戶端有可能因長時間延遲而在接收文件之前結束連接。
下圖提供了掃描模式的比較表 - 它將幫助您確定哪種掃描類型適合您的任務。 本文末尾的視頻在實踐中考慮了設置和檢查防病毒軟件的性能。
讓我們繼續本課的第二部分——入侵防禦系統。 但為了開始研究 IPS,您需要了解漏洞利用和異常之間的區別,並了解 FortiGate 使用哪些機制來防範它們。
漏洞利用是具有特定模式的已知攻擊,可以使用 IPS、WAF 或防病毒簽名進行檢測。
異常是網絡上的異常行為,例如異常高的流量或超出平常的 CPU 消耗。應監視異常,因為它們可能是新的、尚未探索的攻擊的跡象。 通常使用行為分析(即所謂的基於速率的簽名和 DoS 策略)來檢測異常。
因此,FortiGate 上的 IPS 使用簽名庫來檢測已知攻擊,並使用基於速率的簽名和 DoS 策略來檢測各種異常情況。
默認情況下,每個版本的 FortiGate 操作系統都包含一組初始 IPS 簽名。 隨著更新,FortiGate 收到新的簽名。 因此,IPS 對於新的攻擊仍然有效。 FortiGuard 服務非常頻繁地更新 IPS 簽名。
適用於 IPS 和防病毒的重要一點是,如果您的許可證已過期,您仍然可以使用收到的最新簽名。 但沒有許可證就無法獲得新的。 因此,缺乏許可證是非常不受歡迎的——當出現新的攻擊時,您將無法使用舊的簽名來保護自己。
IPS特徵庫分為常規特徵庫和擴展特徵庫。 常規數據庫包含常見攻擊的簽名,這些攻擊很少或從不導致誤報。 大多數這些簽名的默認操作是阻止。
擴展後的數據庫包含額外的攻擊簽名,這些攻擊簽名對系統性能有重大影響,或者由於其特殊性而無法被阻止。 由於該底座的大小,它不適用於具有較小磁盤或 RAM 的 FortiGate 型號。 但對於高度安全的環境,您可能需要使用擴展底座。
下面的視頻還介紹了 IPS 設置和驗證。
在下一課中,我們將探討與用戶合作。 為了不錯過,請繼續關注以下頻道的更新:
來源: www.habr.com