fgt1-防病毒保護(hù)模式

?

CopyrightFortinetInc.s.FortiGate

I防

&

保護(hù)模式FortiGate

5.2.1Malware?：指可以自我系統(tǒng)或者數(shù)據(jù)且具有有害作用的一類，例如破壞?

仿照生物

行為向文件注入代碼，像生物

一樣向細(xì)胞注入自己的DNA不需要用戶同意，或者誘導(dǎo)用戶同意和自我擴(kuò)散?非常小灰色

（Grayware）等綁定在一起?安裝時(shí)需要用戶同意例如

經(jīng)常和免費(fèi)?大小變化很大2分類木馬?

到其他主機(jī)（USB或者

附件）?

在同樣的主機(jī)上不

(仍有可能多重

)蠕蟲?

到其他主機(jī)打開ADMIN$文件夾使用沒有

的root賬戶SSH登錄?不需要用戶做任何動(dòng)作Source: puter

worm3行為?

用戶的瀏覽器歷史，記錄?

自動(dòng)植入

已獲得額外的利益?加密文件后要求支付贖金給予后門?

獲得root或管理員賬戶

權(quán)限?擁有最大權(quán)限，所以用戶無法察覺鍵盤記錄器?

記錄

，銀行賬戶等郵件

、DDOS?可以被利用的僵尸網(wǎng)絡(luò)root|4技術(shù)加密多種形式組合的技術(shù)?使用密鑰或者每次時(shí)執(zhí)行不同的功能?需要在載荷中添加多態(tài)引擎質(zhì)變的技術(shù)?

每次

會(huì)重寫代碼不同的代碼實(shí)現(xiàn)相同的破壞效果舉例：編譯成機(jī)器語言，然后再翻譯回普通編程語言?需要在載荷中添加質(zhì)變引擎One

species

of

ant,

many

shapes.Source:5防技術(shù)6防掃描實(shí)時(shí)檢測和消除

，蠕蟲，木馬和?

的擴(kuò)散?保證您的網(wǎng)絡(luò)公網(wǎng)IP的客戶信譽(yù)度掃描?HTTP?FTP?SMTP?POP3?IMAP?OthersAnti7灰色#

config

anti

setting#

set

grayware

{enable|disable}#

end默認(rèn)開啟雖然不是一個(gè)

，但灰色依然是一個(gè)?

可以被

掃描檢測到?

防

的動(dòng)作也適用于處理灰色8啟發(fā)式掃描-like

attribute-like

attribute-like

attribute++>?

Heuristic

thresholdSuspicious尋找類似的代碼，例如修改表或者在重啟后依然重新自動(dòng)啟動(dòng)計(jì)算并累計(jì)類似的屬性值如果大于某個(gè)閾值，文件則為可疑的有一定誤報(bào)幾率9啟發(fā)式掃描：配置#

config

anti

heuristic#

set

mode

{pass|block|disable}#

end放過(默認(rèn)動(dòng)作)?開啟啟發(fā)式掃描?記錄日志?

允

疑文件?開啟啟發(fā)式掃描?記錄日志?

可疑文件禁用10沙盒技術(shù)探測零日

（zero-day）與啟發(fā)式不同：?FortiGate將文件發(fā)送給FortiCloud上的Sandbox

或者FortiSandbox設(shè)備?

文件在一個(gè)

環(huán)境（sandbox）中被執(zhí)行?檢驗(yàn)一下造成的影響以進(jìn)行新的檢測可以把新的可疑文件發(fā)送給FortiGuard?

FortiGuard的防

和IPS更新會(huì)把

的簽名推送給FortiGate11如何配置沙盒需要一個(gè)FortiSandbox的實(shí)體設(shè)備云Sandbox使用FortiCloud賬戶沙盒設(shè)備準(zhǔn)備接收文件的端口IP地址12提交新如果

不在防

庫中，F(xiàn)ortiGate是無法檢測到它的啟發(fā)式掃描和沙盒發(fā)現(xiàn)的結(jié)果應(yīng)該發(fā)送到FortiGuard提交新發(fā)現(xiàn)的?

開啟沙盒自動(dòng)提交

功能Device

Input

scanner.html?

手動(dòng)上傳新

：http://w

/anti

/FortiGuard

AntiSignature

UpdateSample13模式vs

流模式掃描引擎14速度在終端看來，防

是時(shí)間不敏感的?用戶可以等待掃描結(jié)束在FortiGate上，防

必須要比會(huì)話的超時(shí)時(shí)間要快?

30秒內(nèi)

掃描必須結(jié)束?Watchdog會(huì)打斷掃描進(jìn)程，流量會(huì)正常通過?事件日志可以查看到scanunit的Signal

14

“crash”15模式每一個(gè)協(xié)議的

會(huì)接管連接，緩存文件直到掃描結(jié)束前，不會(huì)重傳?高延時(shí)一旦文件傳輸完畢，或者發(fā)現(xiàn)過大文件，會(huì)把載荷部分發(fā)送給scanunit?掃描整個(gè)文件，或者掃描緩存內(nèi)的全部內(nèi)容?

不會(huì)出現(xiàn)誤報(bào)，因?yàn)?/p>

是識(shí)別協(xié)議的傳送干凈的流量，

被

的流量?

當(dāng)

某些消息時(shí)，可以通知用戶O…K16流模式1.

緩存但同時(shí)也重傳?數(shù)據(jù)包沒有被掃描延遲傳輸，除了最后一個(gè)包?有時(shí)可以ASIC加速?低延遲一旦文件傳輸完畢，或者發(fā)現(xiàn)過大文件，會(huì)把載荷部分發(fā)送給scanunit?掃描整個(gè)文件，或者掃描緩存內(nèi)的全部內(nèi)容?如果簽名匹配了有效的協(xié)議命令，可能誤報(bào)如果檢測到 ，最后一個(gè)包會(huì)被丟棄，或者連接會(huì)被reset?不會(huì)看到block頁面，除非用戶嘗試重新因?yàn)榭床坏絙lock消息，所以用戶經(jīng)常會(huì)不停的重試，浪費(fèi)

的帶寬?

客戶端會(huì)收到大部分的

文件17檢測率vs.

文件大小限制大部分的大文件需要都很小的內(nèi)存來完整掃描通常情況下，只掃描小文件是一種可以接受的方法?默認(rèn)10MB是過大文件的閾值?最大大小依不同的產(chǎn)品型號(hào)有所不同1MB2MB3MB4MB5MB6MB7MB8MB9MB10MB∞exploit99.83%99.95%99.97%99.97%99.98%99.98%99.99%100%100%100%100%mass-mailer99.62%99.87%100%100%100%100%100%100%100%100%100%phish100%100%100%100%100%100%100%100%100%100%100%spyware95.08%97.97%98.88%99.47%99.76%99.83%99.89%99.91%99.94%99.95%100%trojan97.52%99.24%99.62%99.80%99.88%99.93%99.95%99.97%99.98%99.98%100%98.27%99.37%99.63%99.80%99.88%99.93%99.95%99.97%99.98%99.99%100%worm99.02%99.65%99.74%99.86%99.89%99.92%99.94%99.94%99.95%99.96%100%18大文件：或者放行?比緩存大的文件不能進(jìn)行完整的

掃描.其他方式?日志中記錄下過大的文件（默認(rèn)配置）?

傳輸過大的文件？(默認(rèn)是否的)#

config

firewall

profile-protocol-options#

edit

<profile_name>#

set

oversize

[1-<model_limit>]#set

oversize-log

{enable|disable}#

config

{http|ftp|imap|mapi|pop3|smtp}#

set

options

oversize#

end0000101011101011B0u1f1fe1r0i1n0R11A1M1000001011O0v1e1r119壓縮文件#

config

firewall

profile-protocol-options#

edit

<file-type_name>#

config

<protocol_name>press-oversize-limit

[1-(model_limit)]press-nest-limit

[1-100]#

set#

set#

end通常，壓縮算法可以通過包頭被識(shí)別出來沒有被解壓縮，且

的文件被分別進(jìn)行掃描嵌套壓縮的文件也支持掃描(支持12層嵌套)解壓縮的文件有不同的大小限制由

保護(hù)的壓縮文件不能被解壓縮20掃描順序：過大文件Passoversize?YesBuffer

File

until

EOF

orOversize

Limit

ReachedSTARTLarger

thanlimit?BlockPassBLOCKPASS21掃描順序：文件和緩存相同大小Buffer

File

until

EOF

orOversize

Limit

ReachedIs

archive?scanBLOCKLarger

thanlimit?NoYesNoPASSSTARTGraywareenabled?Heuristicenabled?Grayware

scanHeuristic

scanInfectedYesNoNoInfectedSuspiciousCleanCleanCleanBlockPasssuspicious?PassLarger

thancompressionlimit?YesNoYes22決策樹YesBlockPassPassoversize?Buffer

File

until

EOF

orOversize

Limit

ReachedLarger

thanlimit?Is

archive?scanBLOCKYesNoPASSGraywareenabled?Heuristicenabled?Grayware

scanHeuristic

scanInfectedYesNoNoInfectedCleanCleanCleanBlockLarger

thancompressionlimit?YesNoYesSuspiciousPasssuspicious?PassSTART23FortiGuard更新至關(guān)重要24FortiGuard防更新自動(dòng)更新是最快的?推送+獲取可以從這個(gè)

上的特征，然后手動(dòng)上傳更新25：diagnose

autoupdate

status#

diagnose

autoupdate

statusFDN

availability: available

at

Thu

Oct 9

03:14:11

2014Push

update:

disableScheduled

update:

enableUpdate

daily:

at

1

after

134

minutesdefinitions

update:

enableIPS

definitions

update:

enablePush

address

override:

disableWeb

proxy

tunneling:

disable26僵尸網(wǎng)絡(luò)命令和控制連接FortiGate

到主C&C服務(wù)器的連接?FortiGuard進(jìn)行更新?需要有效的服務(wù)合同僵尸代碼的更新?容易檢測并清除DDoS/spam等插件27特征庫智能更新?只有在被策略使用時(shí)，才進(jìn)行庫更新RegularExtendedExtreme28選擇一個(gè)特征庫特征庫settingb

{normal|extended|extreme}選擇使用哪個(gè)#

config

anti#

set

defau#

endNormal庫?一般的?所有型號(hào)都支持Extended庫?默認(rèn)使用的庫?

一般的

+

一些老的“In

the

wild”plus

some

not

recentlyactive?大部分型號(hào)都支持Extreme庫?只有一些型號(hào)支持29防profile30SSL/TLS檢測確認(rèn)(載荷不進(jìn)行檢測–部分檢測?只進(jìn)行?更快完整模式可能存在其中)?FortiGate終結(jié)SSL/TLS(驗(yàn)證且后檢查載荷部分?

速度慢，但數(shù)據(jù)包的內(nèi)容可進(jìn)行

掃描31統(tǒng)計(jì)掃描的統(tǒng)計(jì)主面板上的微件可以顯示?沙盒的檢測結(jié)果也可查看到32日志和33覆蓋，檢驗(yàn)和糾正如果配置不當(dāng)，或者為了更高的吞吐而犧牲安全性的時(shí)候，

可能會(huì)危害設(shè)備FortiGuard

顯示了?

哪個(gè)

庫包含了某個(gè)

的特征?糾正的方法34：diagnose

autoupdate

versions#

diagnose

autoupdate

versionsAV

EngineVersion:

5.00156Contract

Expiry

Date:

Fri

Apr

25

2014Last

Updated

using

manual

update

on

Mon

Aug

18Last

Update

Attempt:

Thu

Oct 9

03:14:11

2014Result:

Unauthorized15:04:00

2014DefinitionsVersion:

22.00076Contract

Expiry

Date:

Fri

Apr

25

2014Last

Updated

using

manual

update

on

Fri

Apr

2522:59:00

2014Last

Update

Attempt:

Thu

OctResult:

Unauthorized……9

03:14:11

201435保護(hù)模式在http

上搜索“conse