1. 程式人生 > >UTM篇(6.0) 01. 基於代理與基於流的檢測模式 ❀ 飛塔 (Fortinet) 防火牆

UTM篇(6.0) 01. 基於代理與基於流的檢測模式 ❀ 飛塔 (Fortinet) 防火牆

  【簡介】FortiGate防火牆可以在基於代理與基於流中選擇兩種檢查模式之一,以控制你的FortiGate或VDOM的安全配置檔案檢查模式。基於代理的模式提供了更多的功能,基於流的設計是為了優化效能。


 基於代理檢測

   如果一個FortiGate或VDOM配置了基於代理檢查,則會出現基於流和基於代理的檢測的混合。流量最初遇到IPS引擎,內容檢查按以下順序進行:VoIP檢查、資料洩露防護、反垃圾郵件、Web過濾、反病毒和ICAP。

   如果沒有發現威脅,代理將內容轉發到其目的地。如果發現威脅,代理可以阻止威脅併發送替代訊息。代理還可以阻止包含威脅的VoIP通訊。

  ① 通過檢視儀表板上的系統資訊小部件,你可以看到FortiGate使用了哪種檢查模式。

  ② 你可以選擇選單【系統管理】-【設定】,向下滾動到〖系統運設定〗。將模式切換成【代理】。

 基於流的檢測

  基於流的檢測使用單程直接過濾方法(DFA)模式匹配識別可能的攻擊或威脅,實時識別和阻止安全威脅。

  如果為FortiGate或VDOM配置了基於流的檢測,根據接受會話的防火牆策略中選擇的選項,基於流的檢查可以應用於入侵防禦系統、應用控制、Web過濾、資料洩露防護和反病毒。基於流的檢查都是由IPS引擎完成的,正如你所預期的並不涉及代理。

  所有適用基於流的安全模組都在一次單程中同時應用,模式匹配被CP8或CP9處理器解除安裝和加速。入侵防禦、應用控制、基於流的Web過濾和基於流的資料洩露防護過濾同時發生。基於流的反病毒掃描在協議解碼過程中快取檔案,並在進行其他匹配時提交快取檔案進行病毒掃描。

  基於流的檢查通常比基於代理的檢查需要更少的處理資源,並且不會更改包,除非發現了威脅並且包被阻塞。基於流的檢查不能應用像代理檢查那樣多的功能。例如,基於流的檢查不支援客戶滿意度和某些替換訊息。

   ① 你可以選擇選單【系統管理】-【設定】,向下滾動到〖系統運設定〗。將模式切換成【基於流的】。

 代理模式和流模式的不同之處

  基於代理的模式提供了更多的功能。

  ① 基於代理模式下,NGFW的功能有十項。

  ② 基於流模式下,可以看到NGFW的功能只有六項,缺少:反垃圾郵件過濾器、顯式代理、DLP、Web應用防火牆。

   ③ 當你選擇基於代理時,你能配置虛擬伺服器的型別設定為HTTP、HTTPS、IMAPS、POP3S、SMTPS、SSL、TCP、UDP、IP。

  ④ 而當你選擇基於流時,你只能配置虛擬伺服器的型別設定為HTTP、TCP、UDP或IP。

  ⑤ 在GUI中,你只能在代理模式下配置反病毒和Web過濾安全配置檔案。

  ⑥ 在流模式下,反病毒和Web過濾全安配置檔案是不可以新建的。

          【提示】在CLI中,你可以配置基於流的反病毒配置檔案、Web過濾器配置檔案和資料防洩漏配置檔案,它們將出現在GUI上,幷包括檢查模式設定。另外,在流模式下建立的基於流的配置檔案在切換到代理模式時仍然可用。

 基於配置檔案和基於策略

  當你選擇【基於流的】檢查模式時,你可以再選擇一個〖NGFW模式〗。

  ① 〖NGFW模式〗有兩個選項,預設是〖基於配置檔案〗,也可以選擇〖基於策略〗。在選擇基於策略的NGFW模式時,還可以選擇應用於所有策略的SSL/SSH檢測模式。

  ② 在新的基於策略的NGFW模式中,你可以直接向策略新增應用程式和Web過濾配置檔案,而無需首先建立和配置應用控制或Web過濾配置檔案。

  ③ 以上CLI命令可用於配置檢測模式和NGFW模式,CLI下叫策略模式。

  在流模式下,反病毒和Web過濾配置檔案只包含流模式特性。Web過濾和病毒掃描仍然使用相同的引擎和相同的精度進行,但是一些檢查選項在流模式中是有限的或不可用的。在流和代理模式之間切換時,應用控制、入侵保護和FortiClient配置檔案不會受到影響。

  應用控制使用基於流的檢查,如果你對基於代理的流量應用了額外的安全配置檔案,那麼連線將只是超時,而不是顯示警告或替換訊息。應用控制仍然會起作用。

  設定流或代理模式不會更改CLI提供的設定。但是,在流模式下,不能儲存設定為代理模式的安全性配置檔案。

  除非啟用快速模式,否則用於AV掃描的資料庫不會從代理模式更改為流模式。在基於流的快速模式下,使用一個緊湊的防病毒資料庫。

  如果為FortiGate或VDOM配置了基於流的檢查,根據接受會話的防火牆策略中選擇的選項,基於流的檢查可以應用於入侵防禦系統、應用控制、網頁過濾、資料洩露防護和反病毒。基於流的檢查都是由IPS引擎完成的,正如你所預期的,不涉及代理。

  所有適用基於流的安全模組都在一次單程中同時應用,模式匹配被CP8或CP9處理器解除安裝和加速。入侵防禦、應用控制、基於流的網頁過濾和基於流的資料洩露防護過濾同時發生。基於流的反病毒掃描在協議解碼過程中快取檔案,並在進行其他匹配時提交快取檔案進行病毒掃描。

  基於流的檢查通常比基於代理的檢查需要更少的處理資源,並且不會更改包,除非發現了威脅並且包被阻塞。基於流的檢查不能應用像代理檢查那樣多的功能。例如,基於流的檢查不支援客戶滿意度和某些替換訊息。

          【提示】當你更改為基於流的檢查時,所有代理模式配置檔案都轉換為流模式,刪除任何代理設定。並且只從GUI中刪除代理模式的功能(例如,Web應用配置檔案)。

 

                                                                     飛塔技術 - 老梅子    QQ:57389522