飛塔防火墻05-部署Web過濾_第1頁
飛塔防火墻05-部署Web過濾_第2頁
飛塔防火墻05-部署Web過濾_第3頁
飛塔防火墻05-部署Web過濾_第4頁
飛塔防火墻05-部署Web過濾_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、Web過濾 Course 201 v4.0 FortiGuard分類體系 FortiGuard Web Filter 分為82種Web類別 允許選擇性的override 和本地分類 依照URL阻斷圖像 (BMP,GIF,JPEG,TIFF,PNG) 端口user-server: 8008 re-directed:1004 http 1005 https override-auth-port: 8008 Update:53 or 8888 啟用啟用FortiGuard網(wǎng)址過濾網(wǎng)址過濾 步驟一,配置保護(hù)內(nèi)容表 啟動(dòng)HTTP或 HTTPS網(wǎng)址 過濾 選擇阻斷分 類 啟用啟用FortiGuard網(wǎng)址過

2、濾網(wǎng)址過濾 步驟二,把保護(hù)內(nèi)容表應(yīng)用在防火墻策略中 在防火墻策略內(nèi)啟 用保護(hù)內(nèi)容表中 啟用啟用FortiGuard網(wǎng)址過濾網(wǎng)址過濾 步驟三,在系統(tǒng)管理維護(hù)FortiGuard Web過濾和反垃圾郵件選 項(xiàng)中,啟用Web過濾 啟用 FortiGuard網(wǎng)址分類網(wǎng)址分類 Web過濾解決方案支持 76個(gè)類別和7個(gè)級別 允許選擇跳過和本地 的類別 圖片可以根據(jù)URL來阻 斷 禁止訪問網(wǎng)頁提示禁止訪問網(wǎng)頁提示 在系統(tǒng)管理配置替換信息FortiGuard Web過濾中更改替換信息 編輯 點(diǎn)擊編輯按鍵,更改替 換信息 定制用戶提示頁定制用戶提示頁 Web Filter Violation%FORTIGUAR

3、D_WF%FORTINET%網(wǎng)站被阻攔 你訪問的網(wǎng)站違反了安全策略,已經(jīng)被阻止! 網(wǎng)址: %URL% 網(wǎng)站類別: %CATEGORY%如需對本網(wǎng)站重新分類點(diǎn)擊鏈接 .%OVERRIDE%Powered by %SERVICE%. 定制用戶提示頁定制用戶提示頁 http:/ FortiGuard 跳過跳過 跳過阻斷的網(wǎng)址可以按照以下進(jìn)行分類: Domain () Directory ( Category (e.g., “Search Engines”) 跳過針對以下有效: User Group IP Protection Profile FortiGuard 跳過跳過 跳過的規(guī)則從Web Fil

4、ter FortiGuard Web Filter Override設(shè)置設(shè)置 跳過的所有參數(shù)必須預(yù)先配置好的 FortiGuard 跳過的用戶組跳過的用戶組 跳過的組可以在User Group中創(chuàng)建,在保護(hù)內(nèi)容表中可以設(shè)置。 FortiGuard 跳過的用戶組跳過的用戶組 所有防火墻用戶組都可以設(shè)置跳過這個(gè)功能 選擇需要設(shè)置跳過的分類 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟一,配置保護(hù)內(nèi)容表 啟動(dòng)跳過 FortiGuard 網(wǎng)址過濾 在阻斷類別 中選擇跳過 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟二,配置用戶組 把本地用戶或認(rèn)證 服務(wù)器用戶加入到 組內(nèi) 選

5、擇允許創(chuàng)建 FortiGuard Web過 濾跳過 選擇保護(hù)內(nèi)容表 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟三,把建立的用戶組配置在防火墻策略里 選擇授權(quán)認(rèn)證 選擇用戶組加入到 允許內(nèi) 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 訪問被禁止網(wǎng)頁時(shí),出現(xiàn)禁止訪問提示頁面 點(diǎn)擊跳過 點(diǎn)擊跳過后,在新頁面中輸入 用戶組中的用戶名、密碼,即 可跳過FortiGuard網(wǎng)址過濾, 訪問網(wǎng)頁 FortiGuard 網(wǎng)址過濾新建本地類別網(wǎng)址過濾新建本地類別 在Web過濾器FortiGuard網(wǎng)址過濾本地類別中,寫入類別名稱, 并點(diǎn)擊填加 填加的本地類別將顯示在保護(hù)內(nèi)容表Forti

6、Guard網(wǎng)頁過濾的類 別中 FortiGuard 網(wǎng)址過濾新建本地分類網(wǎng)址過濾新建本地分類 在Web過濾器FortiGuard網(wǎng)址過濾本地分類中,點(diǎn)擊新建 輸入需要加入到類 別內(nèi)的網(wǎng)址 選擇判定加入到類 別中 FortiGuard 網(wǎng)址過濾分級網(wǎng)址過濾分級 在防火墻保護(hù)內(nèi)容表FortiGuard中,查看分級 分類屏蔽是指屏蔽某種類別的網(wǎng)站,是基于網(wǎng)站的功能性 的,而不是網(wǎng)站的主題。 利用分級,可以屏蔽提供緩沖內(nèi)容的網(wǎng)站,方便影像、音 頻與視頻文件搜索的網(wǎng)站可以被屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容阻斷內(nèi)容阻斷 進(jìn)入Web過濾器內(nèi)容阻斷 網(wǎng)頁內(nèi)容阻斷,并點(diǎn)擊 “新建”,在Web內(nèi)容阻斷 列

7、表目錄中添加內(nèi)容阻斷 列表 在新建列表中,點(diǎn)擊“新 建”,在Web內(nèi)容阻斷列 表中添加新的屏蔽樣式 模板類型 通配符 正則表達(dá)式 語言 打分 Wildcard URL expression Type a top-level URL or IP address to control access to all pages on a web site. For example, or 55 controls access to all pages at this web site. Enter a top-level URL followed by the path an

8、d filename to control access to a single page on a web site. For example, or 55/news.html controls the news page on this web site. To control access to all pages with a URL that ends with , add to the filter list. For example, adding controls access to , , , and so on. Control access to

9、 all URLs that match patterns created using text and regular expressions (or wildcard characters). For example, example.* matches , , and so on. FortiGate web pattern blocking supports standard regular expressions. - Notes: forti*.com will match and www.sina.* . It means , means , ,etc Pe

10、rl Expression Use Regular Expression to get advanced match result .* means , .*com means www.*com means * 表示所有網(wǎng)站 即Host + URI .* 表示下的所有鏈接文件 .*.zip .*.swf flash文件 .*.gif gif文件 .*.jpg jpg文件 .*.png png圖形文件 .*.js JavaScript文件 .*.htm .*.html .*.css 網(wǎng)頁風(fēng)格樣式文件 .*.htc 對jpg, gif, htm/html和swf文件,完全可以不掃描病毒,以提高速度

11、。 自定義關(guān)鍵詞和網(wǎng)址 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容阻斷內(nèi)容阻斷 通過屏蔽具體的詞或短語控制網(wǎng)頁內(nèi)容的顯示。如果在內(nèi)容 保護(hù)列表中啟動(dòng)該功能,F(xiàn)ortiGate設(shè)備按照設(shè)定的禁忌詞 匯在所要求的網(wǎng)頁中查找。如果在網(wǎng)頁中發(fā)現(xiàn)與設(shè)定的禁忌 詞匯相匹配的詞,將計(jì)算累加數(shù)量。如果數(shù)量超過用戶定義 的閾值,該網(wǎng)頁將被屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容免屏蔽內(nèi)容免屏蔽 進(jìn)入Web過濾器內(nèi)容阻斷 網(wǎng)頁內(nèi)容免屏蔽,并點(diǎn)擊 “新建”,在Web內(nèi)容免屏 蔽列表目錄中添加內(nèi)容免 屏蔽列表 在新建列表中,點(diǎn)擊“新 建”,在Web內(nèi)容免屏蔽 列表中添加新的免屏蔽樣 式 模板類型 通配符 正則表達(dá)式 語言 自定

12、義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容免屏蔽內(nèi)容免屏蔽 網(wǎng)頁內(nèi)容免除列表是網(wǎng)頁內(nèi)容屏蔽功能的延伸。如果網(wǎng)頁內(nèi) 容免除列表中定義的任何模式在網(wǎng)頁中出現(xiàn),該網(wǎng)頁將不能 被屏蔽,即使網(wǎng)頁內(nèi)容屏蔽功能應(yīng)該將該網(wǎng)頁屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾網(wǎng)址過濾網(wǎng)址過濾 進(jìn)入Web過濾器網(wǎng)址過 濾,并點(diǎn)擊“新建”, 在網(wǎng)址過濾列表目錄中 添加網(wǎng)址過濾列表 在新建網(wǎng)址過濾器中,點(diǎn) 擊“新建”,在網(wǎng)址過濾 列表中添加新的網(wǎng)址過濾 器 類型 簡單 正則表達(dá)式 操作 免屏蔽(通過,bypass AV) 阻斷 允許(通過,但繼續(xù)AV) 自定義自定義Web過濾器啟用過濾器啟用 Web內(nèi)容屏蔽 內(nèi)容屏蔽閾值 Web內(nèi)容免屏蔽 We

13、b網(wǎng)址過濾 屏蔽ActiveX、Cookie、 Jave Applet 步驟一,在保護(hù)內(nèi)容表中應(yīng)用自定義Web過濾器配置 自定義自定義Web過濾器啟用過濾器啟用 步驟二,把保護(hù)內(nèi)容表應(yīng)用在防火墻策略中 在防火墻策略內(nèi)啟 用保護(hù)內(nèi)容表中 Web過濾提示信息過濾提示信息 Web過濾提示信息替換過濾提示信息替換 在系統(tǒng)管理配置替換信息HTTP中更改替換信息 編輯 點(diǎn)擊編輯按鍵,更改替 換信息 FortiGuard URL查詢過程查詢過程 例子: /c/shoot/images/x68/thumbs/nautica11_l.jpg 如果找不到,則逐步縮短

14、查找: /c/shoot/images/x68/thumbs /c/shoot/images/x68 /c/shoot/images /c/shoot /c 最后,只剩下主機(jī)名稱 過濾的順序過濾的順序 1.URL Exempt (Web Exempt List) 2.URL Block (Web URL Blo

15、ck) 3.URL Block (Web Pattern Block) 4.Category Block (FortiGuard Web Filtering) 5.Content Block (Web Content Block) 6.Script Filter (Web Script Filter) 然后轉(zhuǎn)到防病毒掃描 HTTP Post和上傳 POST三種處理方式三種處理方式 Normal 正常允許 Block 阻斷POST動(dòng)作 TOP3 758/NFR 38636:HTTP POST阻止 Comfort 對于Post采用定時(shí)發(fā)送數(shù)據(jù)包的方式保持連接 NFR38574/Mantis 809

16、70:POST舒適 (防止在低速網(wǎng)絡(luò)下服務(wù)器超時(shí)) 從NFR中得到信息是,在病毒掃描時(shí),上傳大文件,F(xiàn)G與 Server之間保持comfort,以確保Server不timeout Block阻斷方式阻斷方式 禁止Post動(dòng)作 Comfort方式方式 Comfort模式查看http進(jìn)程的動(dòng)作 : Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2: 9:3362 - :80: CLTRDRDY HTT

17、P_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析: 設(shè)置comfort的時(shí)間間隔和數(shù)量 HTTP POST 從HTTP v1.1(RFC 2616)開始,POST用于提交數(shù)據(jù) (例如HTML表單) CLI Config firewall profile Edit POST_Block set httppostaction

18、 block/confort/normal set httpcomfortinterval 10 set httpcomfortamount 1 end - - Normal 正常處理:允許POST Block阻止POST Comfort POST舒適 httpcomfortamount: 發(fā)送字節(jié)數(shù)(1-10240) httpcomfortinterval: 發(fā)送間隔時(shí)間(1-900秒) Troubleshooting Block功能: Diag debug app http -1 1: 9:3361 - :80: SETUP Event - I

19、NPROGRESS_EVENT 1: 9:3361 - :80: SETUP INPROGRESS_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: SVRWRTRDY Event - CONNECTED_EVENT 1: 9:3361 - :80: SVRWRTRDY CONNECTED_STATE httploop.c:mainLoop:3005 nready=1 errno

20、=0 1: 9:3361 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 1: 9:3361 - :80: CLTRDRDY HTTP_REQUEST_STATE 1: 9:3361 - :80: LOOPEND Event - EAT_EVENT 1: 9:3361 - :80: LOOPEND REQUEST_EAT_STATE httploop.c:mainLoop:3

21、005 nready=1 errno=0 httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTRDRDY Event - BLOCK_EVENT 1: 9:3361 - :80: CLTRDRDY BLOCK_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTWRTRDY Event - RESET_E

22、VENT 1: 9:3361 - :80: CLTWRTRDY RESET_STATE 使用sniffer,可以看到RST發(fā)往服務(wù)器 PC (9) -FGT (6)-Web server(87) diag sniff packet any port 80 3 舒適舒適 舒適功能: Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2

23、: 9:3362 - :80: CLTRDRDY HTTP_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE Sniffer PC (9) -FGT (6)-Web server() httpcomfortinterval 設(shè)為5秒 SSL內(nèi)容檢測 48 SSL內(nèi)容檢測內(nèi)容檢測 FortiOS v3.00:只支持HTTPs URL過濾,通過證書CN中的 明文信息 FortiOS v4.00:完整的:完整的AV/WCF/AS掃描,通過新的SSL proxy支持HTTPs, IM

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論