fortigate

[fortigate]病毒防護與入侵防護(Antivirus, IPS)

防毒這個就其實比較簡單,單純功能開關打開就好

[功能]防毒掃描 

  • 監看-只是監控,就算有病毒也不會阻擋,很常在設備綱上線時可以先用這個當測試,看是否影響到多少
  • 阻擋-就是遇到病毒就擋掉

[功能]病毒突發防護(付費授權)

這個功能需要授權,他分類在網頁過濾的那項授權裡面

[功能]使用外部惡意軟體阻止清單

他是可以讓你使用外部的防毒軟體來一起掃描,如賽門鐵克、卡巴斯基等。需要訂閱fortiguard outbreak prevention授權才能使用

入侵防護IPS

下面介紹的是關於IPS的部分,如果你的fortigate沒有顯示這個功能˙,你可以到系統管理->進階功能開關裡面找一下 應該就會有入侵防禦IPS的選項可以給你打開。

IPS可以防止一些不是檔案的攻擊手法,如sql injection等,他是用比對特徵的方式來做防禦,預設特徵碼資料庫是採用Regular資料庫,他會包含一些常見的攻擊,基本上不太會誤判,因為太常見了

或是你也可以打開Extended資料庫,在你的Fortiguard裡面有個Fortiguard更新分頁,裡面有Use extended IPS signature package(使用進階的IPS特徵值套件),把她打勾就可以了。要注意的是,他頗吃資源,且不是所有fortigate都能用。

當然IPS這個是需要授權的,應該說他需要授權來更新你的資料庫,你要是授權過期了,這功能還是可以用的,只是你的IPS資料庫就不再更新,沒辦法面對目前最新的攻擊方式。

[功能]類型

當你開始設定IPS時你新增特徵值應該發現類型分類有兩種可以選。

  • 過濾器(Filter)-依次可以選大量符合條件的特徵碼
  • 特徵值(Signature)-選取單一種類的特徵碼

當然這邊要注意的是特徵碼不是選越多越好,選越多效能就越差,特徵碼其實有些有分作業系統,例如專門給windows的特徵碼就不需要給lunux伺服器去套用,也是白掃只是浪費效能

所以像是你可能有一台windows的伺服器來架設網站,你就可以向下圖這樣設定,這只是個舉例,你還是可以針對你的伺服器有的功能來做調整。

你可能設定好後發現可能公司內部的軟體也許不小心中了你設定的安全規則,你想要針對公司內部的流量進行解除,你就可以設定IP Exemption豁免掉

設定跟上面差不多,你可以先增一個需要豁免排除的特徵值,然後設定豁免IP讓他允許,並且把它拉到規則的最上面如下圖這樣。

  • 允許allow
  • 監看monitor-僅監看會產生log
  • 封鎖block-阻擋並產生log
  • 重置reset-通常會針對一些TCP的連線,會強制送出一個reset的封包過去,並且產生Log
  • 系統預設Default-就是依照所選的該特徵碼的各自預設設定來決定放不放行
  • 隔離Quarantin-當有駭客一直在測試攻擊時可以用,他只要中了這一條就會把該IP直接都封鎖掉一段時間,省的對方一直打來浪費IPS的掃描效能,所以設定這個會多一個封鎖時間可以設定。
fortigate IPS設定隔離quarantin 一天,這邊有個很重要的是,你如果是網站的話,你網站要是有支援https的功能,記得要在policy開啟ssl inspection的功能,並且塞好憑證,才能解密https的流量來防禦。相關設定可以參考[FORTIGATE]SSL /SSH深層檢查
[fortigate]新增上傳憑證 for web server用

設定好IPS之後,你就可以套用到你的網站上面去了,你可以新增一條政策policy然後開啟你設定的IPS規則,並且套用SSL檢查如下圖

這邊要注意的是SSL深層檢查的設定裡面[啟用SSL掃描]要是設定成保護SSL伺服器這個選項的,所以一定會需要另外設定,而不能去套用裡面的預設規則或是其他你自己設定給檢查內部流量用的規則。

這樣就可以了,你可以隨便拿個你的網站測試一下sql injection 應該就會防禦起來了。

如網址http://xxxx.xxx.com/davidou?id=1′ union all select user,#

縱使你的那個網頁根本就是個單純靜態網頁也無所謂。防火牆IPS只要偵測到有像是’ union (單引號+空白+union )這個特徵,管你後面sql怎下,都是擋下來。

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)