- 检测模式
- Web过滤基础
- 附加的基于代理的web过滤功能
- DNS过滤
- 最佳实践和故障排查
- 描述FortiGate的检测模式
- 实施完整的SSL检查
通过演示检测模式能力,你将能够实施适当的检测模式,以支持所需的安全配置文件。
- 与代理相比,用户看到HTTP请求更快的响应时间。
- 由于另一端的服务器响应速度慢,超时错误的可能性较小。
流式模式的缺点是:
- 在基于代理的模式中可用的许多安全特征在基于流的模式中不可用。
- 基于FortiGate服务对网站进行分类的行为较少。
基于流的检查模式和基于配置文件的NGFW模式是默认的。
通过将Inspection Mode设置为Flow-based的方式,并将NGFW Mode设置为Policy-based,可以实现NGFW策略模式。当在选择基于NGFW基于策略的模式时,还可以选择适用于所有策略的SSL/SSH检查模式。
在TCP连接中,FortiGate的代理生成到客户端的SYN-ACK,并在创建到服务器的第二个新连接之前完成与客 户端的三向握手。如果有效负载小于超大限制,代理缓冲区在继续传输之前传输文件或电子邮件以供检查。代理分析标题,并可以更改Web过滤等HTTP主机和URL的标题。如果安全配置文件决定阻止连接,则代理可以向客户端发送替换消息。这增加了整个传输速度的延迟。
基于代理的检查比其他方法更彻底,产生较少的误报和负面结果。
当你的FortiGate设置为代理检查模式时,还必须定义代理选项配置文件。此配置文件确定你的安全配置文件使用的协议,例如,检查Web或DNS流量。
注意,HTTPS检查端口号,以及与SSL的处理相关的其他设置分别在SSL/SSH检查配置文件中定义。
- 描述Web过滤器配置文件
- 使用Web过滤器分类
- 配置Web过滤器覆盖
- 配置自定义分类
- 提交FortiGuard等级要求
通过演示web过滤基础方面的能力,你将能够描述web过滤器配置文件、使用FortiGuard web过滤器配置文件、 配置web过滤器覆盖、定义自定义分类和提交FortiGuard评分请求。
- 保持员工生产力
- 防止网络拥塞,其中有价值的带宽用于非商业目的
- 防止机密信息的丢失或泄露
- 减少对基于网络的威胁
- 限制雇员进入或下载不适当或攻击性材料时的法律责任
- 防止员工下载或分发版权材料引起的著作权侵权
- 防止儿童看不适当的材料
Web过滤寻找HTTP 200响应,当你成功访问网站时返回。
如图所示,在HTTP中,域名和URL是分开的。域名在标题中可能像这样:Host:www.acme.com,URL在标题中可能像这样:/index.php?login=true。
如果我们按域过滤,有时它会阻塞太多。例如,tumblr.com上的博客被认为是不同的内容,因为所有不同的作者。在这种情况下,你可以更具体,例如,通过URL部分,tumblr.com/hacking来阻止。
在基于代理和基于流的检查模式中都支持该安全配置文件。但是,取决于你选择的模式,可用的设置不同。基于流的检查具有更少的可用选项。
在这些示例中,设置FortiGate以执行基于流的检查。基于FortiGate的过滤根据分类和子分类划分网站。在基于流的检查中,FortiGate提供了另外两个NGFW选项:
- 基于配置文件 (默认)
- Web过滤被定义为安全配置文件,并应用于防火墙策略。
- 基于策略
- URL分类在防火墙策略下直接定义
其他基于配置文件的代理选项(我们将在接下来的几张幻灯片中讨论)包括:
- 搜索引擎
- 静态URL过滤
- 评级选项
- 代理选项
- 搜索引擎
- 静态URL过滤
- 评分选项
- 代理选项
一旦配置好网络过滤器配置文件后,将该配置文件应用于防火墙策略,以便将过滤应用于你网络流量。
FortiGuard分类过滤是一种需要有效合同的实况服务。合同验证了与FortiGuard网络的连接。如果合同期满,有七天的宽限期,在服务中断之前,你可以续约。如果你不更新,在七天宽限期之后,FortiGuard将返回每个评分请求作为评分错误。
FortiManager可以被配置为一个本地的FortiGuard服务器。要做到这一点,你必须将数据库下载到FortiManager,并配置你的FortiGate,以验证针对FortiManager的分类,而不是FortiGuard。
要查看完整的分类和子分类列表,请访问www.fortiguard.com。
FortiGate查询FortiGuard分布网络(FDN)或FortiManager(如果它被配置为充当本地FortiGuard服务器),以确定所请求的网页的分类。
当用户访问网站时,FortiGate使用“FortiGuard”实时服务来确定URL所属的分类,并为该分类采取一个配置的操作,例如允许或阻塞访问。使用这个功能,你可以执行批量URL过滤,而不需要单独定义每个网站。
你可以在Web过滤或DNS过滤配置文件(稍后我们将对此进行查看)中启用FortiGuard分类过滤。列出了分类和子分类,并且可以单独定制要执行的操作。
可采取的行动将取决于检查模式。
- 代理:允许, 阻断, 监视器, 告警, 和认证
- 基于流,基于配置文件:允许, 阻断& 监视器
- 基于流,基于策略:防火墙策略中定义的操作
告警间隔是可以定制的,所以根据配置的时间,你可以在特定时间呈现此警告页。
允许访问的时间间隔是可定制的。如果用户访问同一分类中的其他网站,直到计时器过期,则不会再次提示用户进行身份验证。
选择此动作将提示你定义将被允许覆盖该块的用户组。
因为列表是动态导入的,所以对列表所做的任何更改都会立即被FortiOS导入。
FortiGuard Category:此资源名称将作为“Remote Category”出现在web过滤器配置文件和SSL检查豁免中。
Firewall IP Address:此资源名将在DNS过滤器配置文件中作为“External IP Block List”出现,在代理策略中作为“源/目的地”出现。
Domain Name(域名):此资源名将作为“Remote Category(远程类别)”出现在DNS筛选配置文件中。
Refresh Rate(刷新频率):使用此设置,你可以指定从外部源刷新阻塞列表的频率(以分钟为单位)。
阻塞列表文件的大小可以是10 MB或12.8万行文本,以限制最大的为准。
注意:DNS配置文件只支持IPv4地址,忽略IPv6地址。
- Web过滤器配置文件和SSL检查豁免
- DNS筛选配置文件和代理策略中的源/目标地址
如果合约到期,而七天宽限期过去,网页评分覆盖将是无效的。所有网站分类评分请求将返回一个评分错误。
请记住,更改分类不会自动导致网站的不同动作。这将取决于Web过滤配置文件中的设置。
你可以根据需要添加和删除自定义分类,只要它们不在使用中即可。
让我们看看它是如何工作的。
当用户访问网站时,FortiGate查看匹配项的URL列表。在这个例子中,网站匹配表中的第三个条目,该条目被设置为简单分类。这种分类意味着匹配必须是精确的,没有与该模式部分匹配的选项。此外,动作被设置为块,因此FortiGate将显示块页消息。
- 配置使用配额
- 配置Web配置文件覆盖
- 配置Web过滤器支持搜索引擎
- 配置Web内容过滤
通过展示其他基于代理的网络过滤功能的能力,你将能够配置使用配额、网络配置文件覆盖、搜索引擎过滤器和网络内容过滤。
可以自定义多个配额(定时器)。每个配额可以应用于单个分类或多个分类。如果配额适用于多个分类,则定时器在所有分类之间共享,而不是为每个单个分类设置单个定时器。
如果未启用身份验证操作,则FortiGate自动为每个源IP分配配额,如监视器功能所示。
现在,让我们来看看配额是如何工作的。
一旦网站加载到浏览器中,配额就不能重定向用户。例如,如果用户在他们的配额中还剩下45秒,并且他们访问来自指定分类的网站,则所选网站很可能在剩余的45秒结束之前完成加载。然后,用户可以停留在该网站,并且该网站不会被阻塞,直到浏览器被刷新。这种情况发生是因为与网站的连接通常不是实况流。一旦接收到信息,连接就关闭。
注:配额在午夜24小时重置。
Fortinet bar注入与FortiGate通信的Java小程序,并从否则不会提供直接反馈的特征中获取额外的信息。
Fortinet bar为FortiGuard配额提供了倒计时。无法阻止页面的其他功能(例如,应用程序控件)将显示顶部栏中的块事件。
值得注意的是,Fortinet Bar仅支持使用HTTP(不是HTTPS)的站点。
在这个幻灯片所示的示例中,应用到用户Student的新概要文件检查从应用新概要文件到计时器到期该用户的所有web流量。若要使用此覆盖,需要启用覆盖验证。当启用Web配置文件覆盖时,FortiGuard块页显示可以选择以激活覆盖的链接。
只有当FortiGate被设置为执行基于代理的检查时,此功能才可用。
- 安全搜索是一些浏览器支持的选项。它将内部过滤器应用于搜索结果。当你启用对所支持的搜索站点的安全搜索时,FortiGate向URL追加代码以强制使用安全搜索。例如,在谷歌搜索中,FortiGate在搜索中向URL添加String &safe=active。因此,即使在浏览器中没有本地启用,FortiGate也会在请求通过时对请求进行安全搜索。谷歌、雅虎、必应和Yandex都支持安全搜索。
- 当检查模式设置为基于代理时,可以在Web过滤配置文件中设置对YouTube的严格或适度访问。有关严格和适度访问控制的更多信息,请转到support.google.com。
- 只有在使用完全SSL检查时才支持,因为FortiGate需要访问完整的页眉。
你可以添加单词、短语、模式、通配符和Perl正则表达式来匹配网站上的内容。你可以在每个Web过滤器配置文件的基础上配置此功能,而不是在全局级别上配置。因此,可以添加多个Web内容过滤器列表,然后为每个Web过滤器配置文件选择最佳列表。
系统管理员可以指定禁用单词和短语,并对这些单词和短语的重要性进行数值或评分。当Web内容过滤器扫描检测到禁止的内容时,它会在页面中添加被禁止的单词和短语的分数。如果总和高于Web过滤器配置文件中设置的阈值,则FortiGate会阻止站点。
列表中的Web内容模式的最大数目是5000。
与搜索引擎过滤类似,网络内容过滤要求FortiGate使用深度SSL检查,因为FortiGate将需要对分组头部的完全访问。
评级选项如下:
- 如果从FortiGuard防范Web过滤服务发生评级错误,用户将对所有网站进行完全未过滤的访问。
- 按域和IP地址计算URL。此选项发送所请求站点的URL和IP地址以进行检查,从而提供额外的安全性,防止试图绕过FortiGuard系统。
- 阻止HTTP重定向以避免设计用于规避Web过滤的网站。
- 通过URL播放图像。这个选项用空白替换被阻塞的图像,即使它们是允许的分类中的网站的一部分。
- 阻止访问一些谷歌帐户和服务。可以包括异常列表。
- FortiGate显示自己的替换消息,用于400系列和500系列HTTP错误。如果允许服务器出错,一些站点可以使用这些常见错误页面来规避Web过滤。
- HTTP POST是浏览器在发送信息时使用的命令,因此可以限制用户向网站发送信息和文件。允许选项防止服务器在扫描时超时,或者当为外出业务执行其他过滤处理时。
- 过滤cookies、Java applet和Web流量的ActiveX脚本。
通过演示DNS过滤的能力,你将能够在FortiGate上应用DNS过滤。
它是如何工作的?
这个选项不是查看HTTP协议,而是在HTTP GET请求之前对DNS请求进行过滤。这具有非常轻量级的优点,但代价是,它缺少HTTP过滤的精度。
每个协议都会生成DNS请求以解析主机名;因此,这种过滤将影响所有依赖于DNS的高级协议,而不仅仅是 Web流量。例如,它可以将FortiGate防范类别应用到FTP服务器的DNS请求中。由于在检查点可获得的数据量,除了主机名过滤之外,很少有网络过滤功能是可能的。
DNS过滤查看nameserver响应,通常在连接到网站时发生。
正如前面所讨论的,在HTTP中,域名和URL是分开的。域名在标题中可能像这样:Host:www.acme.com, URL在标题中可能像这样: /index.php?login=true。
当设备发起DNS查找时,它在初始请求中发送FQDN信息。DNS查找在发送HTTP请求之前发生。
当FortiGate接收来自客户端的DNS请求时,它向FortiGuard SDNS服务器发送同时请求。有了FortiGuard SDNS服务,有两种可能的结果:
- 允许分类:传递原始DNS响应,连接流的其余部分正常地继续到HTTP 200响应。此时,可以应用其他 Web过滤器。
- 类别被阻塞:FortiGate用FortiGuard覆盖地址覆盖站点的IP地址,并向客户端呈现DNS错误。
因此,如果你正在使用DNS过滤器,并且域正在被阻塞,那么在HTTP请求甚至被发送之前,连接将被阻塞。
DNS过滤包括各种配置设置。你可以启用或禁用基于FortiGuard类别的过滤器和静态域过滤器。你也可以选择:
- 阻塞对已知僵尸网络命令和控制的DNS请求
- 允许从FortiGuard Web过滤服务发生评级错误时允许DNS请求
- 将阻塞的请求重定向到特定的门户(建议使用FortiGuard默认设置)
一旦启用并保存了所需的设置,请记住将此配置文件应用于防火墙策略以激活选项。任何由策略检查的流量都将应用这些操作。
FortiGate查询FortiGuard SDNS服务器或FortiManager,如果它被配置为本地FortiGuard服务器来确定所请求的网站的类别。
当用户访问网站时,FortiGate使用FortiGuard SDNS服务来确定URL所属的类别,并为该类别采取配置动作,例如允许或阻止访问。使用此功能,你可以执行大容量URL过滤,而不必单独定义每个网站。
你可以在DNS分类配置文件上启用FortiGuard分类过滤,正如我们在Web过滤器配置文件中看到的那样。列出了分类和子分类,并且可以单独定制要执行的操作。
DNS过滤支持以下操作:
- 允许
- 阻塞
- 监视
设置为Simple的模式是精确的文本匹配。设置为Wildcard的模式允许出现通配符和部分匹配,从而允许文本模式具有一定的灵活性。模式设置为Reg。表达式允许使用Expression。
通过这个功能,你可以防止许多HTTP请求被生成,因为初始查找失败。
所有匹配的DNS查找都被阻塞。匹配使用反向前缀匹配,因此所有子域名也被阻止。
这个服务需要一个激活的反病毒和网页过滤授权。
- 理解HTTP 检测顺序
- 过滤问题的Troubleshoot
- 研究 FortiGuard连接问题
- 应用Web过滤器缓存最佳范例
- 监视Web过滤事件的日志
通过展示最佳实践和故障排除方面的能力,你将能够应用各种最佳实践和故障排除技术来避免和研究常见问题。
- 本地静态URL过滤
- FortiGuard 分类过滤(去确定评级)
- 高级过滤 (如安全搜索或删除ActiveX组件)
对于每一步,如果没有匹配,FortiGate将继续启用下一个检查。
检查是否已将安全配置文件应用于防火墙策略。此外,确保根据需要应用SSL检查配置文件。
此外,为了使用FortiGate的DNS过滤器,必须使用FortiGuard SDNS服务来进行DNS查找。DNS查找请求发送到FortiGuard SDNS服务,返回IP地址和域评级,其中包括网站的FortiGuard分类。因此,为了使该机制工作,必须通过FortiGate 访问FortiGuard SDNS服务。
你可以通过CLI中diagnose debug rating命令来验证与FortiGuard服务器的连接。此命令显示你可以连接的FortiGuard服务器的列表,以及以下信息:
- 权重:基于FortiGuard与服务器之间时区的差异(通过流量修改)返回行程时间
- RTT:回程时间
- 标志:D(IP从DNS返回)), I(合约服务器联系), T(定时), F(失败)
- TZ:服务器时区
- 当前丢包:连续丢失的包的当前数目(当一个包成功时,在一行中重置为0)
- 总共丢包:丢包的总数
该列表是可变长度取决于FortiGuard分发网络,但它显示大约10个IPS。
两个端口可用于查询服务器(FortiGuard 或FortiManager):端口53和端口8888。端口53是默认的,因为它也是DNS使用的端口,几乎保证是开放的。然而,任何类型的检查都会发现,这种流量不是DNS,并阻止服务工 作。在这种情况下,你可以切换到备用端口8888,但是这个端口不能保证在所有网络中都是打开的,所以你需要事先检查。
缓存响应减少了为网站建立评分所需的时间。此外,内存查找比在互联网上运行的数据包快得多。
超时默认为15秒,但如果需要的话,可以设置为高达30秒。
此幻灯片显示日志消息的示例。访问细节包括关于FortiGuard配额和分类的信息(如果启用了),使用哪个web过滤器配置文件检查流量、URL以及关于事件的更多细节。
还可以通过单击GUI顶部的下载图标来查看原始日志数据。下载的文件是一个以SysLog格式的纯文本文件。
- 描述FortiOS 检测模式
- 实施全面的SSL检测
- 描述Web过滤配置文件
- 使用Web过滤分类
- 配置Web过滤覆盖
- 配置自定义分类
- 提交FortiGuard等级要求
- 配置使用配额
- 配置Web配置文件覆盖
- 配置Web过滤支持搜索引擎
- 配置Web内容过滤
- 应用DNS过滤
- 配置SSL/SSH检查配置文件
- 从SSL检查例外流量
- 将SSL检查配置文件应用于防火墙策略
- 监视Web过滤事件的日志
