Введение:
FortiGate поддерживает множество функций по обеспечению безопасности сети. Политики безопасности, которые мы рассматривали в прошлой статье — фундамент защиты. А что, если нам нужно больше?
За счет чего можно увеличить защиту сети и что это даст?
Антивирус, веб фильтрация, DNS фильтрация, контроль приложений, система предотвращения вторжений(IPS), предотвращение утечки данных(DLP), SSL/SHH инспекция — вот что укрепляет защиту сети. Сейчас мы кратко рассмотрим эти возможности:
● Антивирус — база данных вирусных сигнатур. Используется для защиты от вредоносного ПО. Для того, чтобы обнаружить вирус, необходимо, чтобы он совпал с определенным шаблоном (сигнатурой), содержащимся в базе данных.
● Веб фильтрация — контроль за посещениями веб сайтов пользователями Вашей сети. Есть множество причин, по которой его необходимо использовать: увеличение продуктивности работы персонала, предотвращение большой нагрузки сети, предотвращение утечек важной информации, уменьшение вероятности попадания веб угроз в Вашу сеть, контроль за посещением законных веб сайтов и т.д..
● DNS фильтрация — анализ DNS запросов и блокировка вредоносных или сильно нагружающих полосу пропускания веб сайтов.
● Контроль приложений (Application Control) — определяет трафик интернет приложений и позволяет его блокировать/пропускать или следить за ним. Используется для того, чтобы запретить доступ к приложениям, которые не имеют отношения к рабочему процессу или могут навредить инфраструктуре Вашей сети.
● Система предотвращения вторжений (IPS) — позволяет обнаруживать вторжения или нарушения безопасности и автоматически защищать от них. Работает на основе сигнатур и декодера протоколов (позволяет обнаружить ошибки или аномалии в сети).
● Предотвращение утечки данных (DLP) — не допускает утечку конфиденциальных данных (персональные данные, данные банковских аккаунтов и т.д).
● SSL/SSH инспекция — позволяет проверять зашифрованный трафик.
Профили безопасности или настройка модулей:
Для настройки приведенных выше модулей защиты используются профили безопасности. В FortiGate существуют профили безопасности, определенные по умолчанию, а также имеется возможность при необходимости создавать свои собственные. Однако по умолчанию она скрыта. Для того, чтобы подключить ее, необходимо перейти в меню System — Feature Visibility и перевести Multiple Security Profiles в состояние enable (см. рис. 1).
Теперь, переходим во вкладку Security Profiles. Здесь видим все модули защиты, перечисленные ранее. Откроем, к примеру, во вкладку Antivirus. В новом окне видим настройки профиля, определенного по умолчанию. Присутствует несколько профилей, определенных по умолчанию, для разных режимов работы FortiGate. Для того, чтобы просмотреть их, необходимо нажать на окно с именем, расположенное в поле Edit Antivirus Profile.
Для того, чтобы создать новый профиль, необходимо нажать на кнопку “+”, которая находится справа от окошка с именем текущего просматриваемого профиля.
Окно создания выглядит аналогично окошку готового профиля. Необходимо задать имя, при необходимости комментарий, действие с обнаруженными угрозами (блокировка или наблюдение), а также выбрать протоколы, которые должны быть проинспектированны. Создадим свой профиль, который будет инспектировать только HTTP трафик. Поставим его в режим наблюдения, чтобы трафик не блокировался, а все угрозы отображались в логах. Для этого переведем его в режим Monitor. Назовем данный профиль HTTP Antivirus Monitor. Напоминаю о том, что необходимо давать осмысленные названия всем объектам, которые Вы создаете. В последствии это может сильно упростить работу (см. рис. 3).
Настройка других модулей защиты
Аналогично настраиваются профили безопасности в других модулях защиты. Более детальная настройка каждого из модулей будет приведена в следующих статьях. А сейчас рассмотрим применение данных модулей.
Как мы уже говорили, профили безопасности — это надстройки над политиками. Поэтому, заходим в меню Policy&Objects во вкладку IPv4Policy. Мы уже создали две политики в прошлой статье. Для того, чтобы политика DenyGoogle нам на данный момент не мешала, ее можно отключить. Для этого кликаем по ней правой кнопкой мыши и во вкладке PolicyStatus выбираем Disable.
Применим наш профиль безопасности на политике Allow Access HTTP. Для этого заходим в ее настройки двойным кликом левой кнопки мыши. Находим область Security Profiles. Переводим ползунок возле поля Antivirus в состояние enable. Появилось поле, в котором по умолчанию стоит профиль безопасности default. Выберем наш профиль (см. рис. 4).
Принимаем изменения нажатием кнопки ОК. Теперь к нашей политике привязан созданный нами профиль безопасности. Таким образом, если трафик будет попадать под условия политики, помимо применения действия самой политики, он также будет сканироваться антивирусом. Следует уточнить, что к каждому модулю защиты в определенной политике можно применить только один профиль безопасности. Другими словами, мы можем активировать все модули защиты, которые у нас доступны в политике и к каждому модулю применить по одному профилю.
Заключение
Обдуманная и логически построенная конфигурация, позволяет обеспечить максимальную безопасность, и, что также немаловажно, удобство конечных пользователей. Не забывайте, что всегда должен быть компромисс между безопасностью и удобством. Ведь если блокировать абсолютно всё, Ваши коллеги не смогут обращаться к ресурсам, которые им необходимы для работы. А это может замедлить или вовсе приостановить рабочие процессы. Именно поэтому необходимо сначала тщательно распланировать структуру сети и способы обеспечения ее безопасности. Но также необходимо помнить о том, что, когда сеть сконфигурирована и модули безопасности настроены, работа не закончена. Наоборот, она только началась!
Теперь необходимо следить за состоянием системы, за логами, а также за возможностью пользователей получать доступ к необходимым для них ресурсам. Так как с первого раза настроить идеально работающую безопасную сеть очень сложно, порой даже и вовсе невозможно, за ней необходимо постоянно следить и вносить изменения, стремясь достичь баланса между безопасностью и удобством в вашей сети.
