UTM篇(6.0) 01. 基于代理与基于流的检测模式 ❀ 飞塔 (Fortinet) 防火墙

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/meigang2012/article/details/83621053

  【简介】FortiGate防火墙可以在基于代理与基于流中选择两种检查模式之一,以控制你的FortiGate或VDOM的安全配置文件检查模式。基于代理的模式提供了更多的功能,基于流的设计是为了优化性能。


 基于代理检测

   如果一个FortiGate或VDOM配置了基于代理检查,则会出现基于流和基于代理的检测的混合。流量最初遇到IPS引擎,内容检查按以下顺序进行:VoIP检查、数据泄露防护、反垃圾邮件、Web过滤、反病毒和ICAP。

   如果没有发现威胁,代理将内容转发到其目的地。如果发现威胁,代理可以阻止威胁并发送替代消息。代理还可以阻止包含威胁的VoIP通信。

  ① 通过查看仪表板上的系统信息小部件,你可以看到FortiGate使用了哪种检查模式。

  ② 你可以选择菜单【系统管理】-【设定】,向下滚动到〖系统运设置〗。将模式切换成【代理】。

 基于流的检测

  基于流的检测使用单程直接过滤方法(DFA)模式匹配识别可能的攻击或威胁,实时识别和阻止安全威胁。

  如果为FortiGate或VDOM配置了基于流的检测,根据接受会话的防火墙策略中选择的选项,基于流的检查可以应用于入侵防御系统、应用控制、Web过滤、数据泄露防护和反病毒。基于流的检查都是由IPS引擎完成的,正如你所预期的并不涉及代理。

  所有适用基于流的安全模块都在一次单程中同时应用,模式匹配被CP8或CP9处理器卸载和加速。入侵防御、应用控制、基于流的Web过滤和基于流的数据泄露防护过滤同时发生。基于流的反病毒扫描在协议解码过程中缓存文件,并在进行其他匹配时提交缓存文件进行病毒扫描。

  基于流的检查通常比基于代理的检查需要更少的处理资源,并且不会更改包,除非发现了威胁并且包被阻塞。基于流的检查不能应用像代理检查那样多的功能。例如,基于流的检查不支持客户满意度和某些替换消息。

   ① 你可以选择菜单【系统管理】-【设定】,向下滚动到〖系统运设置〗。将模式切换成【基于流的】。

 代理模式和流模式的不同之处

  基于代理的模式提供了更多的功能。

  ① 基于代理模式下,NGFW的功能有十项。

  ② 基于流模式下,可以看到NGFW的功能只有六项,缺少:反垃圾邮件过滤器、显式代理、DLP、Web应用防火墙。

   ③ 当你选择基于代理时,你能配置虚拟服务器的类型设置为HTTP、HTTPS、IMAPS、POP3S、SMTPS、SSL、TCP、UDP、IP。

  ④ 而当你选择基于流时,你只能配置虚拟服务器的类型设置为HTTP、TCP、UDP或IP。

  ⑤ 在GUI中,你只能在代理模式下配置反病毒和Web过滤安全配置文件。

  ⑥ 在流模式下,反病毒和Web过滤全安配置文件是不可以新建的。

          【提示】在CLI中,你可以配置基于流的反病毒配置文件、Web过滤器配置文件和数据防泄漏配置文件,它们将出现在GUI上,并包括检查模式设置。另外,在流模式下创建的基于流的配置文件在切换到代理模式时仍然可用。

 基于配置文件和基于策略

  当你选择【基于流的】检查模式时,你可以再选择一个〖NGFW模式〗。

  ① 〖NGFW模式〗有两个选项,默认是〖基于配置文件〗,也可以选择〖基于策略〗。在选择基于策略的NGFW模式时,还可以选择应用于所有策略的SSL/SSH检测模式。

  ② 在新的基于策略的NGFW模式中,你可以直接向策略添加应用程序和Web过滤配置文件,而无需首先创建和配置应用控制或Web过滤配置文件。

  ③ 以上CLI命令可用于配置检测模式和NGFW模式,CLI下叫策略模式。

  在流模式下,反病毒和Web过滤配置文件只包含流模式特性。Web过滤和病毒扫描仍然使用相同的引擎和相同的精度进行,但是一些检查选项在流模式中是有限的或不可用的。在流和代理模式之间切换时,应用控制、入侵保护和FortiClient配置文件不会受到影响。

  应用控制使用基于流的检查,如果你对基于代理的流量应用了额外的安全配置文件,那么连接将只是超时,而不是显示警告或替换消息。应用控制仍然会起作用。

  设置流或代理模式不会更改CLI提供的设置。但是,在流模式下,不能保存设置为代理模式的安全性配置文件。

  除非启用快速模式,否则用于AV扫描的数据库不会从代理模式更改为流模式。在基于流的快速模式下,使用一个紧凑的防病毒数据库。

  如果为FortiGate或VDOM配置了基于流的检查,根据接受会话的防火墙策略中选择的选项,基于流的检查可以应用于入侵防御系统、应用控制、网页过滤、数据泄露防护和反病毒。基于流的检查都是由IPS引擎完成的,正如你所预期的,不涉及代理。

  所有适用基于流的安全模块都在一次单程中同时应用,模式匹配被CP8或CP9处理器卸载和加速。入侵防御、应用控制、基于流的网页过滤和基于流的数据泄露防护过滤同时发生。基于流的反病毒扫描在协议解码过程中缓存文件,并在进行其他匹配时提交缓存文件进行病毒扫描。

  基于流的检查通常比基于代理的检查需要更少的处理资源,并且不会更改包,除非发现了威胁并且包被阻塞。基于流的检查不能应用像代理检查那样多的功能。例如,基于流的检查不支持客户满意度和某些替换消息。

          【提示】当你更改为基于流的检查时,所有代理模式配置文件都转换为流模式,删除任何代理设置。并且只从GUI中删除代理模式的功能(例如,Web应用配置文件)。

                                                                     飞塔技术 - 老梅子    QQ:57389522


猜你喜欢

转载自blog.csdn.net/meigang2012/article/details/83621053
今日推荐