飛塔防火墻05-部署Web過濾

1、Web過濾 Course 201 v4.0 FortiGuard分類體系 FortiGuard Web Filter 分為82種Web類別 允許選擇性的override 和本地分類 依照URL阻斷圖像 （BMP,GIF,JPEG,TIFF,PNG） 端口user-server: 8008 re-directed:1004 http 1005 https override-auth-port: 8008 Update：53 or 8888 啟用啟用FortiGuard網(wǎng)址過濾網(wǎng)址過濾 步驟一，配置保護內(nèi)容表 啟動HTTP或 HTTPS網(wǎng)址 過濾 選擇阻斷分 類 啟用啟用FortiGuard網(wǎng)址過

2、濾網(wǎng)址過濾 步驟二，把保護內(nèi)容表應用在防火墻策略中 在防火墻策略內(nèi)啟 用保護內(nèi)容表中 啟用啟用FortiGuard網(wǎng)址過濾網(wǎng)址過濾 步驟三，在系統(tǒng)管理維護FortiGuard Web過濾和反垃圾郵件選 項中，啟用Web過濾 啟用 FortiGuard網(wǎng)址分類網(wǎng)址分類 Web過濾解決方案支持 76個類別和7個級別 允許選擇跳過和本地 的類別 圖片可以根據(jù)URL來阻 斷 禁止訪問網(wǎng)頁提示禁止訪問網(wǎng)頁提示 在系統(tǒng)管理配置替換信息FortiGuard Web過濾中更改替換信息 編輯 點擊編輯按鍵，更改替 換信息 定制用戶提示頁定制用戶提示頁 Web Filter Violation%FORTIGUAR

3、D_WF%FORTINET%網(wǎng)站被阻攔 你訪問的網(wǎng)站違反了安全策略,已經(jīng)被阻止! 網(wǎng)址: %URL% 網(wǎng)站類別: %CATEGORY%如需對本網(wǎng)站重新分類點擊鏈接 .%OVERRIDE%Powered by %SERVICE%. 定制用戶提示頁定制用戶提示頁 http:/ FortiGuard 跳過跳過 跳過阻斷的網(wǎng)址可以按照以下進行分類： Domain () Directory ( Category (e.g., “Search Engines”) 跳過針對以下有效： User Group IP Protection Profile FortiGuard 跳過跳過 跳過的規(guī)則從Web Fil

4、ter FortiGuard Web Filter Override設置設置 跳過的所有參數(shù)必須預先配置好的 FortiGuard 跳過的用戶組跳過的用戶組 跳過的組可以在User Group中創(chuàng)建，在保護內(nèi)容表中可以設置。 FortiGuard 跳過的用戶組跳過的用戶組 所有防火墻用戶組都可以設置跳過這個功能 選擇需要設置跳過的分類 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟一，配置保護內(nèi)容表 啟動跳過 FortiGuard 網(wǎng)址過濾 在阻斷類別 中選擇跳過 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟二，配置用戶組 把本地用戶或認證 服務器用戶加入到 組內(nèi) 選

5、擇允許創(chuàng)建 FortiGuard Web過 濾跳過 選擇保護內(nèi)容表 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 步驟三，把建立的用戶組配置在防火墻策略里 選擇授權(quán)認證 選擇用戶組加入到 允許內(nèi) 啟用啟用FortiGuard網(wǎng)址過濾跳過網(wǎng)址過濾跳過 訪問被禁止網(wǎng)頁時，出現(xiàn)禁止訪問提示頁面 點擊跳過 點擊跳過后，在新頁面中輸入 用戶組中的用戶名、密碼，即 可跳過FortiGuard網(wǎng)址過濾， 訪問網(wǎng)頁 FortiGuard 網(wǎng)址過濾新建本地類別網(wǎng)址過濾新建本地類別 在Web過濾器FortiGuard網(wǎng)址過濾本地類別中，寫入類別名稱， 并點擊填加 填加的本地類別將顯示在保護內(nèi)容表Forti

6、Guard網(wǎng)頁過濾的類 別中 FortiGuard 網(wǎng)址過濾新建本地分類網(wǎng)址過濾新建本地分類 在Web過濾器FortiGuard網(wǎng)址過濾本地分類中，點擊新建 輸入需要加入到類 別內(nèi)的網(wǎng)址 選擇判定加入到類 別中 FortiGuard 網(wǎng)址過濾分級網(wǎng)址過濾分級 在防火墻保護內(nèi)容表FortiGuard中，查看分級 分類屏蔽是指屏蔽某種類別的網(wǎng)站，是基于網(wǎng)站的功能性 的，而不是網(wǎng)站的主題。 利用分級，可以屏蔽提供緩沖內(nèi)容的網(wǎng)站，方便影像、音 頻與視頻文件搜索的網(wǎng)站可以被屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容阻斷內(nèi)容阻斷 進入Web過濾器內(nèi)容阻斷 網(wǎng)頁內(nèi)容阻斷，并點擊 “新建”，在Web內(nèi)容阻斷 列

7、表目錄中添加內(nèi)容阻斷 列表 在新建列表中，點擊“新 建”，在Web內(nèi)容阻斷列 表中添加新的屏蔽樣式 模板類型 通配符 正則表達式 語言 打分 Wildcard URL expression Type a top-level URL or IP address to control access to all pages on a web site. For example, or 55 controls access to all pages at this web site. Enter a top-level URL followed by the path an

8、d filename to control access to a single page on a web site. For example, or 55/news.html controls the news page on this web site. To control access to all pages with a URL that ends with , add to the filter list. For example, adding controls access to , , , and so on. Control access to

9、 all URLs that match patterns created using text and regular expressions (or wildcard characters). For example, example.* matches , , and so on. FortiGate web pattern blocking supports standard regular expressions. - Notes: forti*.com will match and www.sina.* . It means , means , ,etc Pe

10、rl Expression Use Regular Expression to get advanced match result .* means , .*com means www.*com means * 表示所有網(wǎng)站 即Host + URI .* 表示下的所有鏈接文件 .*.zip .*.swf flash文件 .*.gif gif文件 .*.jpg jpg文件 .*.png png圖形文件 .*.js JavaScript文件 .*.htm .*.html .*.css 網(wǎng)頁風格樣式文件 .*.htc 對jpg, gif, htm/html和swf文件，完全可以不掃描病毒，以提高速度

11、。 自定義關(guān)鍵詞和網(wǎng)址 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容阻斷內(nèi)容阻斷 通過屏蔽具體的詞或短語控制網(wǎng)頁內(nèi)容的顯示。如果在內(nèi)容 保護列表中啟動該功能，F(xiàn)ortiGate設備按照設定的禁忌詞 匯在所要求的網(wǎng)頁中查找。如果在網(wǎng)頁中發(fā)現(xiàn)與設定的禁忌 詞匯相匹配的詞，將計算累加數(shù)量。如果數(shù)量超過用戶定義 的閾值，該網(wǎng)頁將被屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容免屏蔽內(nèi)容免屏蔽 進入Web過濾器內(nèi)容阻斷 網(wǎng)頁內(nèi)容免屏蔽，并點擊 “新建”，在Web內(nèi)容免屏 蔽列表目錄中添加內(nèi)容免 屏蔽列表 在新建列表中，點擊“新 建”，在Web內(nèi)容免屏蔽 列表中添加新的免屏蔽樣 式 模板類型 通配符 正則表達式 語言 自定

12、義網(wǎng)址過濾自定義網(wǎng)址過濾內(nèi)容免屏蔽內(nèi)容免屏蔽 網(wǎng)頁內(nèi)容免除列表是網(wǎng)頁內(nèi)容屏蔽功能的延伸。如果網(wǎng)頁內(nèi) 容免除列表中定義的任何模式在網(wǎng)頁中出現(xiàn)，該網(wǎng)頁將不能 被屏蔽，即使網(wǎng)頁內(nèi)容屏蔽功能應該將該網(wǎng)頁屏蔽。 自定義網(wǎng)址過濾自定義網(wǎng)址過濾網(wǎng)址過濾網(wǎng)址過濾 進入Web過濾器網(wǎng)址過 濾，并點擊“新建”， 在網(wǎng)址過濾列表目錄中 添加網(wǎng)址過濾列表 在新建網(wǎng)址過濾器中，點 擊“新建”，在網(wǎng)址過濾 列表中添加新的網(wǎng)址過濾 器 類型 簡單 正則表達式 操作 免屏蔽(通過,bypass AV) 阻斷 允許(通過,但繼續(xù)AV) 自定義自定義Web過濾器啟用過濾器啟用 Web內(nèi)容屏蔽 內(nèi)容屏蔽閾值 Web內(nèi)容免屏蔽 We

13、b網(wǎng)址過濾 屏蔽ActiveX、Cookie、 Jave Applet 步驟一，在保護內(nèi)容表中應用自定義Web過濾器配置 自定義自定義Web過濾器啟用過濾器啟用 步驟二，把保護內(nèi)容表應用在防火墻策略中 在防火墻策略內(nèi)啟 用保護內(nèi)容表中 Web過濾提示信息過濾提示信息 Web過濾提示信息替換過濾提示信息替換 在系統(tǒng)管理配置替換信息HTTP中更改替換信息 編輯 點擊編輯按鍵，更改替 換信息 FortiGuard URL查詢過程查詢過程 例子： /c/shoot/images/x68/thumbs/nautica11_l.jpg 如果找不到，則逐步縮短

14、查找： /c/shoot/images/x68/thumbs /c/shoot/images/x68 /c/shoot/images /c/shoot /c 最后，只剩下主機名稱 過濾的順序過濾的順序 1.URL Exempt (Web Exempt List) 2.URL Block (Web URL Blo

15、ck) 3.URL Block (Web Pattern Block) 4.Category Block (FortiGuard Web Filtering) 5.Content Block (Web Content Block) 6.Script Filter (Web Script Filter) 然后轉(zhuǎn)到防病毒掃描 HTTP Post和上傳 POST三種處理方式三種處理方式 Normal 正常允許 Block 阻斷POST動作 TOP3 758/NFR 38636：HTTP POST阻止 Comfort 對于Post采用定時發(fā)送數(shù)據(jù)包的方式保持連接 NFR38574/Mantis 809

16、70：POST舒適 (防止在低速網(wǎng)絡下服務器超時) 從NFR中得到信息是，在病毒掃描時，上傳大文件，F(xiàn)G與 Server之間保持comfort，以確保Server不timeout Block阻斷方式阻斷方式 禁止Post動作 Comfort方式方式 Comfort模式查看http進程的動作 : Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2: 9:3362 - :80: CLTRDRDY HTT

17、P_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析: 設置comfort的時間間隔和數(shù)量 HTTP POST 從HTTP v1.1（RFC 2616）開始，POST用于提交數(shù)據(jù) （例如HTML表單） CLI Config firewall profile Edit POST_Block set httppostaction

18、 block/confort/normal set httpcomfortinterval 10 set httpcomfortamount 1 end - - Normal 正常處理：允許POST Block阻止POST Comfort POST舒適 httpcomfortamount: 發(fā)送字節(jié)數(shù)（1-10240） httpcomfortinterval: 發(fā)送間隔時間（1-900秒） Troubleshooting Block功能： Diag debug app http -1 1: 9:3361 - :80: SETUP Event - I

19、NPROGRESS_EVENT 1: 9:3361 - :80: SETUP INPROGRESS_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: SVRWRTRDY Event - CONNECTED_EVENT 1: 9:3361 - :80: SVRWRTRDY CONNECTED_STATE httploop.c:mainLoop:3005 nready=1 errno

20、=0 1: 9:3361 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 1: 9:3361 - :80: CLTRDRDY HTTP_REQUEST_STATE 1: 9:3361 - :80: LOOPEND Event - EAT_EVENT 1: 9:3361 - :80: LOOPEND REQUEST_EAT_STATE httploop.c:mainLoop:3

21、005 nready=1 errno=0 httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTRDRDY Event - BLOCK_EVENT 1: 9:3361 - :80: CLTRDRDY BLOCK_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTWRTRDY Event - RESET_E

22、VENT 1: 9:3361 - :80: CLTWRTRDY RESET_STATE 使用sniffer，可以看到RST發(fā)往服務器 PC (9) -FGT (6)-Web server(87) diag sniff packet any port 80 3 舒適舒適 舒適功能： Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2

23、: 9:3362 - :80: CLTRDRDY HTTP_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE Sniffer PC (9) -FGT (6)-Web server() httpcomfortinterval 設為5秒 SSL內(nèi)容檢測 48 SSL內(nèi)容檢測內(nèi)容檢測 FortiOS v3.00：只支持HTTPs URL過濾，通過證書CN中的 明文信息 FortiOS v4.00：完整的：完整的AV/WCF/AS掃描，通過新的SSL proxy支持HTTPs, IM