理論上可以, 但預設是沒有啟動 Internal -> WAN 的 UTM, 你必須要自己在每一條 Accept 的 Firewall Polcy 上面啟動《保護內容表》, 才會有 UTM 保護的效果....
這樣有點消極而且效果不佳, 因為:
所以如果只看 UTM , 前面網友的建議, 或者加上"流量管制(因為惡意程式通常會有異常高的流量", "存取控制(對於各服務協定只允許正常的資料流", 或者搭配 proxy server , 由 proxy server 判斷資料內容是否有異常.
但是強烈建議考慮整體的資安, 連同預防中毒(權限控管, 防毒軟體等), 預防內部感染等動作都一併考慮.
針對版大的提問Fortigate是可以做到的,
小弟家公司用FG60C、FG110C,
在你要監控的政策上加上UTM中的IPS防禦即可,
但是需要注意,Forti的IPS機器來的時候會有最近的IPS特徵碼,
但是後續更新是要另外付錢的!
至於紀錄110沒有硬碟是記錄在記憶體中,重開機就沒了,即使不重開機也記不了多久。
如要記久一點就要考慮買Forti的報表機器或是111C
Dear all,
請問 Fortigate UTM 產品 (ex: 80 or 110) 可以防止公司內部員工因為中毒或是被植入木馬而產生的 內對外 攻擊嗎?
一般的UTM其實就夠了!要防止內部員工中毒或是被植入木馬,從員工教育開始做起 例:(哪些信件連結勿按及通訊軟體的連結需注意釣魚等等加上防毒軟體的配合)應該也很難有中毒的現象吧,我們公司不對外開放任何的內部主機,除了mail server以外,公司的架構先概訴一下,比較容易把問題找出來解決什麼樣的情況要如何去改善,像是信件常常有附件是病毒是否有spam可以直接就擋掉了,還是員工常常亂點一些連結之類的,比較好切入你所煩腦的問題!不然你真的很擔心的話,大絕招,內外都封鎖就算中了也沒有用,然後都讓他們用proxy上網,全鎖,呵呵(不過你會累死而已)
Fortigate在設備初始值中
本就已經內定一條Internal(Lan)=> WAN1的防火牆政策
只是其中你有沒有購買UTM服務的授權
如果有UTM授權,
可以同時啟動AV,IPS,AC,WF功能
會有極佳的防護效果
(AC= Application control, WF= Web Filter)
如果需要找出問題的員工
記得要開啟UTM Log(特別在100以下的機型)
因為很多Log相關設定內建是disable,需要手動啟動
"常常定期"仔細觀察LOG記錄
不但可以發掘問題,
同時可以知道網路使用的情況
對公司管理網路有莫大的幫助
會有此需求的主要是因為有收到中華電信發的警告信,通知在某一時間點,有我們公司對外 IP 的攻擊行為,但我們並無法查出是哪一台內部電腦所引發的,因此才想了解 Fortigate 或是那一個品牌的 UTM 是有此 防護 或是 紀錄 功能的??
ANS:這個問題有幾個解決的方法,要看公司願不願意花錢購買設備?
1.公司願意花錢購買設備的話,問題就比較好解決了。
誠如上面各位邦友推薦的...買fortigate的設備來紀錄所有進出的連線,查出是哪台電腦在作怪...重灌OS後就可解決了,這是治本的辦法。
治標的辦法是 如果知道他攻擊哪個IP,就把IP BLOCK掉,不要讓這個連線出去。不過不建議這樣處理。
2.公司如果不想花錢的話,我會建議可以找一台沒在用的PC裝兩片網路卡,安裝軟體式的UTM防火牆:UNTANGLE
個人之前遇到相同的問題是安裝UNTANGLE 抓出在攻擊的電腦,重新安裝完OS後就解決了。
安裝設定的說明可以參考NETWORK01大的文章,連結如下:
http://ithelp.ithome.com.tw/question/10020921?tab=opinion
希望對你有幫助