【简介】FortiGate防火墙可以在基于代理与基于流中选择两种检查模式之一,以控制你的FortiGate或VDOM的安全配置文件检查模式。基于代理的模式提供了更多的功能,基于流的设计是为了优化性能。
如果一个FortiGate或VDOM配置了基于代理检查,则会出现基于流和基于代理的检测的混合。流量最初遇到IPS引擎,内容检查按以下顺序进行:VoIP检查、数据泄露防护、反垃圾邮件、Web过滤、反病毒和ICAP。
如果没有发现威胁,代理将内容转发到其目的地。如果发现威胁,代理可以阻止威胁并发送替代消息。代理还可以阻止包含威胁的VoIP通信。
① 通过查看仪表板上的系统信息小部件,你可以看到FortiGate使用了哪种检查模式。
② 你可以选择菜单【系统管理】-【设定】,向下滚动到〖系统运设置〗。将模式切换成【代理】。
基于流的检测使用单程直接过滤方法(DFA)模式匹配识别可能的攻击或威胁,实时识别和阻止安全威胁。
如果为FortiGate或VDOM配置了基于流的检测,根据接受会话的防火墙策略中选择的选项,基于流的检查可以应用于入侵防御系统、应用控制、Web过滤、数据泄露防护和反病毒。基于流的检查都是由IPS引擎完成的,正如你所预期的并不涉及代理。
所有适用基于流的安全模块都在一次单程中同时应用,模式匹配被CP8或CP9处理器卸载和加速。入侵防御、应用控制、基于流的Web过滤和基于流的数据泄露防护过滤同时发生。基于流的反病毒扫描在协议解码过程中缓存文件,并在进行其他匹配时提交缓存文件进行病毒扫描。
基于流的检查通常比基于代理的检查需要更少的处理资源,并且不会更改包,除非发现了威胁并且包被阻塞。基于流的检查不能应用像代理检查那样多的功能。例如,基于流的检查不支持客户满意度和某些替换消息。
① 你可以选择菜单【系统管理】-【设定】,向下滚动到〖系统运设置〗。将模式切换成【基于流的】。
基于代理的模式提供了更多的功能。
① 基于代理模式下,NGFW的功能有十项。
② 基于流模式下,可以看到NGFW的功能只有六项,缺少:反垃圾邮件过滤器、显式代理、DLP、Web应用防火墙。
③ 当你选择基于代理时,你能配置虚拟服务器的类型设置为HTTP、HTTPS、IMAPS、POP3S、SMTPS、SSL、TCP、UDP、IP。
④ 而当你选择基于流时,你只能配置虚拟服务器的类型设置为HTTP、TCP、UDP或IP。
⑤ 在GUI中,你只能在代理模式下配置反病毒和Web过滤安全配置文件。
⑥ 在流模式下,反病毒和Web过滤全安配置文件是不可以新建的。
当你选择【基于流的】检查模式时,你可以再选择一个〖NGFW模式〗。
① 〖NGFW模式〗有两个选项,默认是〖基于配置文件〗,也可以选择〖基于策略〗。在选择基于策略的NGFW模式时,还可以选择应用于所有策略的SSL/SSH检测模式。
② 在新的基于策略的NGFW模式中,你可以直接向策略添加应用程序和Web过滤配置文件,而无需首先创建和配置应用控制或Web过滤配置文件。
③ 以上CLI命令可用于配置检测模式和NGFW模式,CLI下叫策略模式。
在流模式下,反病毒和Web过滤配置文件只包含流模式特性。Web过滤和病毒扫描仍然使用相同的引擎和相同的精度进行,但是一些检查选项在流模式中是有限的或不可用的。在流和代理模式之间切换时,应用控制、入侵保护和FortiClient配置文件不会受到影响。
应用控制使用基于流的检查,如果你对基于代理的流量应用了额外的安全配置文件,那么连接将只是超时,而不是显示警告或替换消息。应用控制仍然会起作用。
设置流或代理模式不会更改CLI提供的设置。但是,在流模式下,不能保存设置为代理模式的安全性配置文件。
除非启用快速模式,否则用于AV扫描的数据库不会从代理模式更改为流模式。在基于流的快速模式下,使用一个紧凑的防病毒数据库。
如果为FortiGate或VDOM配置了基于流的检查,根据接受会话的防火墙策略中选择的选项,基于流的检查可以应用于入侵防御系统、应用控制、网页过滤、数据泄露防护和反病毒。基于流的检查都是由IPS引擎完成的,正如你所预期的,不涉及代理。
所有适用基于流的安全模块都在一次单程中同时应用,模式匹配被CP8或CP9处理器卸载和加速。入侵防御、应用控制、基于流的网页过滤和基于流的数据泄露防护过滤同时发生。基于流的反病毒扫描在协议解码过程中缓存文件,并在进行其他匹配时提交缓存文件进行病毒扫描。
基于流的检查通常比基于代理的检查需要更少的处理资源,并且不会更改包,除非发现了威胁并且包被阻塞。基于流的检查不能应用像代理检查那样多的功能。例如,基于流的检查不支持客户满意度和某些替换消息。
飞塔技术 - 老梅子 QQ:57389522
