飛塔防火墻05-部署Web過濾

Web過濾Course201v4 0 FortiGuard分類體系 FortiGuard WebFilter 分為82種Web類別允許選擇性的override和本地分類依照URL阻斷圖像 BMP GIF JPEG TIFF PNG 端口user server 8008re directed 1004http1005httpsoverride auth port 8008Update 53or8888 啟用FortiGuard網(wǎng)址過濾 步驟一 配置保護(hù)內(nèi)容表 啟動HTTP或HTTPS網(wǎng)址過濾 選擇阻斷分類 啟用FortiGuard網(wǎng)址過濾 步驟二 把保護(hù)內(nèi)容表應(yīng)用在防火墻策略中 在防火墻策略內(nèi)啟用保護(hù)內(nèi)容表中 啟用FortiGuard網(wǎng)址過濾 步驟三 在系統(tǒng)管理 維護(hù) FortiGuard Web過濾和反垃圾郵件選項中 啟用Web過濾 啟用 FortiGuard網(wǎng)址分類 Web過濾解決方案支持76個類別和7個級別允許選擇跳過和本地的類別圖片可以根據(jù)URL來阻斷 禁止訪問網(wǎng)頁提示 在系統(tǒng)管理 配置 替換信息 FortiGuardWeb過濾中更改替換信息 編輯 點擊編輯按鍵 更改替換信息 定制用戶提示頁 WebFilterViolation FORTIGUARD WF FORTINET 網(wǎng)站被阻攔你訪問的網(wǎng)站違反了安全策略 已經(jīng)被阻止 網(wǎng)址 URL 網(wǎng)站類別 CATEGORY 如需對本網(wǎng)站重新分類點擊鏈接 OVERRIDE Poweredby SERVICE 定制用戶提示頁 FortiGuard 跳過 跳過阻斷的網(wǎng)址可以按照以下進(jìn)行分類 Domain Directory FortiGuard 跳過 跳過的規(guī)則從WebFilter FortiGuardWebFilter Override設(shè)置跳過的所有參數(shù)必須預(yù)先配置好的 FortiGuard 跳過的用戶組 跳過的組可以在User Group中創(chuàng)建 在保護(hù)內(nèi)容表中可以設(shè)置 FortiGuard 跳過的用戶組 所有防火墻用戶組都可以設(shè)置跳過這個功能選擇需要設(shè)置跳過的分類 啟用FortiGuard網(wǎng)址過濾跳過 步驟一 配置保護(hù)內(nèi)容表 啟動跳過FortiGuard網(wǎng)址過濾 在阻斷類別中選擇跳過 啟用FortiGuard網(wǎng)址過濾跳過 步驟二 配置用戶組 把本地用戶或認(rèn)證服務(wù)器用戶加入到組內(nèi) 選擇允許創(chuàng)建FortiGuardWeb過濾跳過 選擇保護(hù)內(nèi)容表 啟用FortiGuard網(wǎng)址過濾跳過 步驟三 把建立的用戶組配置在防火墻策略里 選擇授權(quán)認(rèn)證 選擇用戶組加入到允許內(nèi) 啟用FortiGuard網(wǎng)址過濾跳過 訪問被禁止網(wǎng)頁時 出現(xiàn)禁止訪問提示頁面 點擊跳過 點擊跳過后 在新頁面中輸入用戶組中的用戶名 密碼 即可跳過FortiGuard網(wǎng)址過濾 訪問網(wǎng)頁 FortiGuard網(wǎng)址過濾新建本地類別 在Web過濾器 FortiGuard網(wǎng)址過濾 本地類別中 寫入類別名稱 并點擊填加 填加的本地類別將顯示在保護(hù)內(nèi)容表 FortiGuard網(wǎng)頁過濾的類別中 FortiGuard網(wǎng)址過濾新建本地分類 在Web過濾器 FortiGuard網(wǎng)址過濾 本地分類中 點擊新建 輸入需要加入到類別內(nèi)的網(wǎng)址 選擇判定加入到類別中 FortiGuard網(wǎng)址過濾分級 在防火墻 保護(hù)內(nèi)容表 FortiGuard中 查看分級分類屏蔽是指屏蔽某種類別的網(wǎng)站 是基于網(wǎng)站的功能性的 而不是網(wǎng)站的主題 利用分級 可以屏蔽提供緩沖內(nèi)容的網(wǎng)站 方便影像 音頻與視頻文件搜索的網(wǎng)站可以被屏蔽 自定義網(wǎng)址過濾 內(nèi)容阻斷 進(jìn)入Web過濾器 內(nèi)容阻斷 網(wǎng)頁內(nèi)容阻斷 并點擊 新建 在Web內(nèi)容阻斷列表目錄中添加內(nèi)容阻斷列表 在新建列表中 點擊 新建 在Web內(nèi)容阻斷列表中添加新的屏蔽樣式模板類型通配符正則表達(dá)式語言打分 WildcardURLexpression Typeatop levelURLorIPaddresstocontrolaccesstoallpagesonawebsite Forexample or192 168 144 155controlsaccesstoallpagesatthiswebsite Enteratop levelURLfollowedbythepathandfilenametocontrolaccesstoasinglepageonawebsite Forexample www sina I etc PerlExpression UseRegularExpressiontogetadvancedmatchresult www 表示所有網(wǎng)站即Host URI 表示下的所有鏈接文件 zip swfflash文件 gifgif文件 jpgjpg文件 pngpng圖形文件 jsJavaScript文件 htm html css網(wǎng)頁風(fēng)格樣式文件 htc對jpg gif htm html和swf文件 完全可以不掃描病毒 以提高速度 自定義關(guān)鍵詞和網(wǎng)址 自定義網(wǎng)址過濾 內(nèi)容阻斷 通過屏蔽具體的詞或短語控制網(wǎng)頁內(nèi)容的顯示 如果在內(nèi)容保護(hù)列表中啟動該功能 FortiGate設(shè)備按照設(shè)定的禁忌詞匯在所要求的網(wǎng)頁中查找 如果在網(wǎng)頁中發(fā)現(xiàn)與設(shè)定的禁忌詞匯相匹配的詞 將計算累加數(shù)量 如果數(shù)量超過用戶定義的閾值 該網(wǎng)頁將被屏蔽 自定義網(wǎng)址過濾 內(nèi)容免屏蔽 進(jìn)入Web過濾器 內(nèi)容阻斷 網(wǎng)頁內(nèi)容免屏蔽 并點擊 新建 在Web內(nèi)容免屏蔽列表目錄中添加內(nèi)容免屏蔽列表 在新建列表中 點擊 新建 在Web內(nèi)容免屏蔽列表中添加新的免屏蔽樣式模板類型通配符正則表達(dá)式語言 自定義網(wǎng)址過濾 內(nèi)容免屏蔽 網(wǎng)頁內(nèi)容免除列表是網(wǎng)頁內(nèi)容屏蔽功能的延伸 如果網(wǎng)頁內(nèi)容免除列表中定義的任何模式在網(wǎng)頁中出現(xiàn) 該網(wǎng)頁將不能被屏蔽 即使網(wǎng)頁內(nèi)容屏蔽功能應(yīng)該將該網(wǎng)頁屏蔽 自定義網(wǎng)址過濾 網(wǎng)址過濾 進(jìn)入Web過濾器 網(wǎng)址過濾 并點擊 新建 在網(wǎng)址過濾列表目錄中添加網(wǎng)址過濾列表 在新建網(wǎng)址過濾器中 點擊 新建 在網(wǎng)址過濾列表中添加新的網(wǎng)址過濾器類型簡單正則表達(dá)式操作免屏蔽 通過 bypassAV 阻斷允許 通過 但繼續(xù)AV 自定義Web過濾器啟用 Web內(nèi)容屏蔽 內(nèi)容屏蔽閾值 Web內(nèi)容免屏蔽 Web網(wǎng)址過濾 屏蔽ActiveX Cookie JaveApplet 步驟一 在保護(hù)內(nèi)容表中應(yīng)用自定義Web過濾器配置 自定義Web過濾器啟用 步驟二 把保護(hù)內(nèi)容表應(yīng)用在防火墻策略中 在防火墻策略內(nèi)啟用保護(hù)內(nèi)容表中 Web過濾提示信息 Web過濾提示信息替換 在系統(tǒng)管理 配置 替換信息 HTTP中更改替換信息 編輯 點擊編輯按鍵 更改替換信息 FortiGuardURL查詢過程 例子 http sexy up no ip info c shoot images x68 thumbs nautica11 l jpg如果找不到 則逐步縮短查找 http sexy up noip info c shoot images x68 thumbs http sexy up no ip info c shoot images x68 http sexy up no ip info c shoot images http sexy up no ip info c shoot http sexy up no ip info c http sexy up no ip info最后 只剩下主機(jī)名稱 過濾的順序 URLExempt WebExemptList URLBlock WebURLBlock URLBlock WebPatternBlock CategoryBlock FortiGuardWebFiltering ContentBlock WebContentBlock ScriptFilter WebScriptFilter 然后轉(zhuǎn)到防病毒掃描 HTTPPost和上傳 POST三種處理方式 Normal正常允許Block阻斷POST動作TOP3758 NFR38636 HTTPPOST阻止Comfort對于Post采用定時發(fā)送數(shù)據(jù)包的方式保持連接NFR38574 Mantis80970 POST舒適 防止在低速網(wǎng)絡(luò)下服務(wù)器超時 從NFR中得到信息是 在病毒掃描時 上傳大文件 FG與Server之間保持comfort 以確保Server不timeout Block阻斷方式 禁止Post動作 Comfort方式 Comfort模式查看http進(jìn)程的動作 Diagdebugapphttp 1 2 10 156 0 19 3362 192 168 181 3 80 CLTRDRDY Event HTTP REQUEST EVENT 2 10 156 0 19 3362 192 168 181 3 80 CLTRDRDY HTTP REQUEST STATE 2 10 156 0 19 3362 192 168 181 3 80 LOOPEND Event BUFFER EVENT 2 10 156 0 19 3362 192 168 181 3 80 LOOPEND HTTP REQUEST BUFFER STATE抓包分析 設(shè)置comfort的時間間隔和數(shù)量 HTTPPOST 從HTTPv1 1 RFC2616 開始 POST用于提交數(shù)據(jù) 例如HTML表單 CLI ConfigfirewallprofileEditPOST Blocksethttppostactionblock confort normalsethttpcomfortinterval10sethttpcomfortamount1end Normal正常處理 允許POSTBlock阻止POSTComfortPOST舒適httpcomfortamount 發(fā)送字節(jié)數(shù) 1 10240 httpcomfortinterval 發(fā)送間隔時間 1 900秒 Troubleshooting Block功能 Diagdebugapphttp 1 1 10 156 0 19 3361 192 168 181 3 80 SETUP Event INPROGRESS EVENT 1 10 156 0 19 3361 192 168 181 3 80 SETUP INPROGRESS STATEhttploop c mainLoop 3005nready 1errno 0 1 10 156 0 19 3361 192 168 181 3 80 SVRWRTRDY Event CONNECTED EVENT 1 10 156 0 19 3361 192 168 181 3 80 SVRWRTRDY CONNECTED STATEhttploop c mainLoop 3005nready 1errno 0 1 10 156 0 19 3361 192 168 181 3 80 CLTRDRDY Event HTTP REQUEST EVENT 1 10 156 0 19 3361 192 168 181 3 80 CLTRDRDY HTTP REQUEST STATE 1 10 156 0 19 3361 192 168 181 3 80 LOOPEND Event EAT EVENT 1 10 156 0 19 3361 192 168 181 3 80 LOOPEND REQUEST EAT STATEhttploop c mainLoop 3005nready 1errno 0httploop c mainLoop 3005nready 1errno 0 1 10 156 0 19 3361 192 168 181 3 80 CLTRDRDY Event BLOCK EVENT 1 10 156 0 19 3361 192 168 181 3 80 CLTRDRDY BLOCK STATEhttploop c mainLoop 3005nready 1errno 0 1 10 156 0 19 3361 192 168 181 3 80 CLTWRTRDY Event RESET EVENT 1 10 156 0 19 3361 192 168 181 3 80 CLTWRTRDY RESET STATE 使用sniffer 可以看到RST發(fā)往服務(wù)器PC 10 156 0 19 FGT 192 168 183 36 Webserver 87 248 111 187 diagsniffpacketany port80 3 舒適 舒適功能 Diagdebugapphttp 1 2 10 156 0 19 3362 192 168 181 3 80 CLTRDRDY Event HTTP REQUEST EVENT 2 10 156 0 19 3362 192 168 181 3 80 CLTRDRDY HTTP REQUEST STATE 2 10 156 0 19 3362 192 168 181 3 80 LOOPEND Event BUFFER EVENT 2 10 156 0 19 3362 192 168 181 3 80 LOOPEND HTTP REQUEST BUFFER STATESnifferPC 10 156 0 19 FGT 192 168 183 36 Webserver 192 168 181 3 httpcomfortinterval設(shè)為5秒 SSL內(nèi)容檢測 48 SSL內(nèi)容檢測 FortiOSv3 00 只支持HTTPsURL過濾 通過證書CN中的明文信息FortiOSv4 00 完整的AV WCF AS掃描 通過新的SSLproxy支持HTTPs IMAPs POP3s SMTPs 49 SecureSocket