教程篇(7.2) 09. 入侵防御 & 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7

 在本课中，你将了解入侵防御系统（IPS）。

 通过展示IPS的能力，你将能够在企业网络中部署和调整IPS。

 在本节中，你将学习如何在企业网络中部署和调整IPS检查。

 IPS使用签名数据库来检测已知的攻击。你还可以使用IPS签名来检测网络错误和异常。

　　与反病毒签名数据库一样，IPS签名数据库也通过FortiGuard进行更新。虽然IPS使用基于流的技术来识别威胁，但你可以在基于流和基于代理的防火墙检查中应用配置文件。

 没有一种正确的方法来部署IPS解决方案。这在很大程度上取决于网络和应用程序的要求。然而，在大多数情况下，你将遵循上图显示的步骤。

　　IPS解决方案的部署通常有三个阶段：

　　● 分析：管理员定义要保护什么以及在哪里。

　　● 评估：在初始IPS配置后，管理员会根据IPS日志进行进一步调整。在此阶段，你仅将IPS配置为监控流量，而不是阻止它。

　　● 维护：在IPS配置正常工作后，管理员将设置IPS进行保护。管理员必须继续监控日志，如果出现任何假阳性或阴性，则必须进行进一步调整。

　　在本课中，你将了解有关每个阶段的更多信息。

 在分析阶段，你必须确定：

　　● 我要保护什么服务

　　● 这些服务面临的威胁

　　● 在哪里启用IPS检查

　　设定现实的期望。专注于保护需要保护的服务。从最关键的服务开始，并将威胁分为组。

 在评估阶段，一次只启用一组签名，从更关键的签名开始。等待并分析日志。如果日志表明存在任何问题，请微调IPS配置。在你对一个签名组感到满意后，为下一个组启用IPS保护。这个过程可能需要一到两周的时间。

 为了尽量减少误报的数量，请将你设置为阻止的签名列表小而精确。该列表应包括对关键服务最危险的攻击。

　　部署IPS解决方案后，你必须继续监控IPS事件。

 当你检查IPS事件时，请从生成最多的事件或具有高优先级的事件开始。

　　对于每种事件类型，分析IP地址、服务和攻击类型。分析应该可以帮助你识别该事件是真正的攻击还是假阳性。

 尽可能多地消除假阳性。对于每个假阳性，尝试通过首先更改流量的来源或目的地来解决问题。你还可以在IPS配置文件上使用IPS豁免。

  在本节中，你将了解高级IPS配置设置。

  全局IPS配置设置会影响整个FortiGate设备的IPS引擎操作。大多数时候，你不需要修改这些值，因为默认值在大多数情况下都运行良好。然而，在某些情况下，更改这些设置可能是有益的。

　　默认情况下，set fail-open设置被设置为禁用，当IPS缓冲区已满时，IPS流量被阻止。你更改设置以启用允许流量。默认套接字大小值取决于设备上的可用内存。traffic-submit选项允许FortiGate向FortiGuard提交攻击数据，默认情况下禁用。

  在本节中，你将学习如何创建自定义签名。

  Fortinet IPS签名分为两类：

　　● 由FortiGuard分析师开发的预定义签名，作为常规FortiGuard更新包的一部分分发

　　● 用户为专业应用程序创建的自定义签名

  自定义签名由类型标头以及一系列选项和值对组成。

　　所有自定义签名都需要F-SBID的标题。选项以“--”开头，后跟选项名称，有时是一个值。有些选项不需要值。你必须将选项和值对的字符串括在括号中。此外，关键字不区分大小写，值区分大小写。

  你可以通过用分号分隔来在规则中包含多个选项。自定义签名的最大长度为1024字节，预定义签名的最大长度为4096字节。

 现在，你将了解受支持的选项类型。根据其目的，选项分为五类。

  创建自定义签名时，你必须定义所需的选项，即名称和服务。

　　每个自定义签名的签名名称必须是唯一的。签名名称的最大长度为64个字符。

　　服务选项指定会话类型，如HTTP或FTP。你只能在签名中使用服务关键字一次。如果签名既没有服务关键字也没有端口关键字，它将被添加到所有服务树中，包括未知服务树。

　　协议选项指定与签名关联的协议类型。在上图的示例中，签名中指定了TCP。你还可以通过协议编号来指定协议。

  使用与协议相关的选项来匹配协议（TCP、UDP、ICMP）和IP头。在上图的示例中，IP头中指定了目标子网。

 使用与有效载荷相关的选项来匹配数据包有效载荷的部分。

  将特殊选项用于各种目的，以获得更精细的过滤。

　　与服务选项类似，流选项只能在签名中出现一次，因为它定义了检测数据包的流方向。

  将应用程序选项用于各种目的，以进行更精细的过滤。

　　在本例中，指定应用程序类别将导致此签名出现在应用程序控制下，而不是IPS配置。

  如果你计划创建自定义签名，请收集尽可能多的流量样本。好的示例可帮助你识别模式，例如源端口、目标端口、数据包有效载荷中的特定字符串模式等。

　　除了协议模式外，尝试匹配有效载荷模式，因为有效载荷模式往往对你想要匹配的特定流量是独有的。通过这种方式，你或许能够减少自定义签名的误报数量。

  在本节中，你将了解IPS检查的硬件加速选项。

 CP是CPU的协处理器。它加速了许多常见的资源密集型、与安全相关的流程。

　　自第一个FortiGate型号以来，Fortinet在设计中包括了一个CP。CP在系统层面工作。

　　CP8和CP9为IPS检查的流量提供了快速路径，包括基于流量的检查会话。

　　CP处理器还加速了基于代理的密集任务：

　　● 加密和解密 (SSL)

　　● 反病毒

　　大多数时候，你不需要修改这些值，因为默认值在大多数情况下都运行良好。

  网络处理器（NP）具有以下功能：

　　● IPS前异常过滤和日志记录

　　● 数据包转发

　　● IPsec加密和解密

  SoC将NP、CP和通用CPU组合成一个芯片。它加速了IPS检查的流量。

　　SoC存在于桌面或小型办公室模型中。

  上图显示了你在本课中涵盖的目标。通过掌握本课程中涵盖的目标，你学会了如何调整、配置和排除IPS故障。

---