教程篇(7.4) 07. 反病毒 & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4

最新推荐文章于 2024-04-22 09:43:57 发布

飞塔老梅子

最新推荐文章于 2024-04-22 09:43:57 发布

阅读量191

点赞数

分类专栏： # NSE4 FortiGate 7.4 教程文章标签： FortiOS 7.4 NSE4 FortiGate管理员反病毒

NSE4 FortiGate 7.4 教程专栏收录该内容

15 篇文章 4 订阅

订阅专栏

在本课中，你将学习如何使用FortiGate保护你的网络免受病毒的侵害。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示反病毒配置的能力，包括查看反病毒日志，你将能够有效地使用反病毒配置文件。

拥有有效反病毒许可证的FortiGate可以从FortiGuard服务器更新反病毒签名数据库。

　　反病毒可以在基于流或基于代理的检查模式下运行。

基于流的检查模式使用两种可用扫描模式的混合：默认扫描模式和传统扫描模式。默认模式增强了嵌套存档文件的扫描，而无需缓冲容器存档文件。传统模式缓冲整个容器，然后扫描它。

　　上图显示，客户端发送请求并立即开始接收数据包，但FortiGate也同时缓存这些数据包。当最后一个数据包到达时，FortiGate会缓存它并搁置。然后，IPS引擎提取最后一个数据包的有效载荷，组装整个文件，并将其发送到反病毒引擎进行扫描。如果反病毒扫描没有检测到任何病毒，并且结果干净，则最后一个缓存的数据包将重新生成并交付给客户端。但是，如果发现病毒，FortiGate会重置连接，并且不会发送文件的最后一部分。虽然接收器获得了大部分文件内容，但文件已被截断，因此无法打开。IPS引擎还会缓存受感染文件的URL，因此，如果第二次尝试传输文件，IPS引擎会向客户端发送阻止替换消息，而不是再次扫描文件。

　　由于文件同时传输，基于流的模式比基于代理的模式消耗更多的CPU周期。然而，根据FortiGate型号，一些操作可以卸载到SPU以提高性能。

基于流的检查模式是默认模式，其配置由两个步骤组成：

　　● 创建反病毒配置文件，选择检查的协议，以及FortiGate检测到病毒感染文件时采取的操作。

　　● 将基于流的反病毒配置文件应用于防火墙策略。

使用基于代理的检查模式扫描，客户端发送请求，FortiGate开始缓冲整个文件，然后将其发送到反病毒引擎进行扫描。如果文件是干净的（没有任何病毒），FortiGate开始将文件传输到终端客户端。如果发现病毒，则不会向最终客户端发送数据包，代理会向最终客户端发送替换阻止消息。

　　由于FortiGate必须缓冲整个文件，然后进行扫描，因此扫描需要很长时间。此外，从客户端的角度来看，它必须等待扫描完成，并可能因缺乏数据而终止连接。

　　你可以从config firewall profile-protocol-options命令树中为HTTP和FTP配置客户端安慰。这允许代理缓慢传输一些数据，直到它能够完成缓冲区并完成扫描。这可以防止连接或会话超时。第一次尝试时没有出现阻止替换消息，因为FortiGate正在将数据包传输到终端客户端。

　　使用基于代理的检查反病毒软件允许你使用基于流的扫描，这是默认启用的。基于流的扫描通过解压缩文件，然后同时扫描和提取它们来扫描大型存档文件。此过程优化了内存使用，以节省FortiGate上的资源。即使病毒位于这些大文件的中间或末尾，也会被检测到。

当你将功能设置为基于代理时，将应用基于代理的检查模式。对于低端平台，当你启用CLI命令gui-proxy-inspection时，此功能在GUI上可用。

　　与基于流的检查模式不同，基于代理的检查模式允许配置文件检查MAPI和SSH协议流量，并使用内容解除和重建（CDR）功能对微软文档和PDF文件进行清理。它还可以使用FortiNDR来检查高风险文件。

下一步是将基于代理的反病毒配置文件应用于防火墙策略。你必须将检查模式设置为基于代理。

对于基于代理的检查模式下的反病毒扫描（禁用客户端安慰），当检测到病毒时，会立即显示阻止替换页面。

　　对于基于流的检查模式扫描，如果在流开始时检测到病毒，则在第一次尝试时会显示阻止替换页面。如果在传输几个数据包后检测到病毒，则不会显示阻止替换页面。然而，FortiGate缓存URL，并可以在第二次尝试时立即显示替换页面。

　　请注意，如果启用了深度检查，所有基于HTTPS的应用程序也会显示阻止替换消息。

　　阻止页面包括以下内容：

　　● 文件名

　　● 病毒名

　　● 网站主机和URL

　　● 用户名和组（如果启用了身份验证）

　　● 链接到FortiGuard百科全书——它提供分析、推荐操作（如果有的话）和检测可用性

　　你可以直接访问FortiGuard网站查看有关其他恶意软件的信息，并扫描、提交或使用可疑恶意软件样本进行扫描、提交或两者兼而有之。

无论你使用哪种模式，都使用完整的反病毒数据库（扩展或极端取决于CLI命令use-extreme-db和FortiGate型号）和扫描技术都提供类似的检测率。那么，你如何在检查模式之间进行选择呢？

　　如果安全是你的首要任务，基于代理的检查模式（禁用客户端安慰）更合适。如果性能是你的首要任务，那么基于流的检查模式更合适。根据FortiGate型号，基于流的模式匹配可以卸载到CP8或CP9处理器，支持Nturbo的FortiGate型号可以加速反病毒处理以提高性能。NTurbo创建一个特殊的数据路径，将流量从入口接口重定向到IPS引擎，从IPS引擎重定向到出口接口。因此，这种加速不适用于基于代理的检查。

协议选项提供了比反病毒配置文件更精细的控制。你可以配置协议端口映射、常见选项、Web选项和电子邮件选项，仅举几例。一些选项仅适用于基于代理的检查，例如协议端口映射。

　　协议选项被反病毒和其他安全配置文件使用，例如网络过滤、DNS过滤和数据丢失预防（DLP），仅举几例。

　　一旦配置了协议选项，它们就会应用于防火墙策略中。

那么，协议选项提供的额外粒度包括什么？它允许你阻止大文件。你还可以调整阈值，以获得网络的最佳性能。缓冲极限因型号而异。较小的缓冲区可以最大限度地减少代理延迟（扫描模式）和RAM使用，但这可能会允许病毒在未被发现的情况下通过。当缓冲区太大时，客户端可能会注意到传输超时。你必须平衡两者。

　　你还可以禁用oversize选项，并从config firewall profile-protocol-option命令树中调整每个协议的oversize-limit。

　　如果你不确定要设置oversized-limit的值，你可以暂时启用oversize-log，以查看FortiGate是否经常扫描大文件。然后，你可以相应地调整值。

大文件经常被压缩。当压缩文件经过扫描时，压缩就像加密一样：签名不匹配。因此，FortiGate必须解压缩文件才能扫描它。

　　在解压缩文件之前，FortiGate必须首先识别压缩算法。仅使用标题即可正确识别某些存档类型。此外，FortiGate必须检查文件是否受密码保护。如果存档受密码保护，FortiGate无法解压缩它，因此无法扫描它。

　　FortiGate将文件解压缩到RAM中。就像其他大文件一样，RAM缓冲区具有最大大小。增加此限制可能会降低性能，但它允许你扫描更大的压缩文件。

　　如果存档是嵌套的——例如，如果攻击者试图通过在ZIP文件中放置一个ZIP文件来规避你的扫描——FortiGate将尝试撤销所有压缩层。默认情况下，FortiGate将尝试解压缩和扫描多达12层深度，但你可以将其配置为扫描到设备支持的最大数量（通常为100层）。通常，你不应该增加此设置，因为它会增加RAM使用量。