請問一下,Fortigate的進出政策
除Web Filter、Application Control應是針對內對外連線做控管
那Antivirus、IPS、Email Filter、SSL/SSH Inspection除了外對內服務連線要開外,用戶端內對外連線時,需要開啟嗎?
Antivirus?開了是否可減少內對外連線病毒入侵?目前用Symantec
IPS?我看了下IPS Filter內容,似乎內對外連線也要開?
預設多達9xxx項特徵碼
應該開內部有的OS及有用到的軟體就好嘛?剛點一點還剩五千多條…Other包含範圍太廣,細篩得費許多時間手動輸入關鍵字來點選,大家都怎麼設定?
Email Filter?是不是只要開外對內Mail Server就好?
SSL/SSH Inspection?好像內對外有加密連線也需要啟用,才能準確分析?
還有特徵碼更新時,是不是得去查看IPS內Filter的Signature有沒出現新的,再加入Custom Profile裡?
已邀請的邦友 {{ invite_list.length }}/5
Antivirus、IPS、Email Filter、SSL/SSH Inspection除了外對內服務連線要開外,用戶端內對外連線時,需要開啟嗎?
小弟的建議是全部都要開啟
原因很簡單,多數使用者都是由內往外聯網
然後去開啟網頁、下載檔案或收取郵件等等服務
因此資安威脅可能因而由此引入
正因為發起端是使用者,故而網路方向是由內而外
相關UTM功能的防護因此需要開啟
至於IPS的設定,似乎版大對設定有些誤解
在IPS的功能中已有系統內建的設定(請啟用)
隨後,應每日觀察記錄,發現安全紀錄中有疏漏便即刻補強
小弟常形容這就像看醫生,醫生會給你警告並建議(如log)
但如果不去吃藥(補強),則醫生(設備)再好也沒有
最後,還是建議版大多利用原來的銷售商請其給予技術服務
畢竟許多現場環境的狀況無法在網上得到分析
引用WilliamHuang大的說法:不要找最便宜的
因為真的很容易沒有技術服務
以上是小弟的微薄建議
感謝~因為IPS內建的設定,關於保護用戶端的protect_client,預設就有六千多條,我是怕開了會拖累性能~所以目前只開外對內,針對個別服務自訂IPS。這台是大陸過保帶回來的,沒有維護約,我靠其他方式手動更新IPS、AV等…所以沒技術服務可問,感謝指導~我先開再來觀察性能或是否有其他影響,之前開SSL/SSH Inspection會導致某些網站連線異常
SSL/SSH Inspection會導致某些網站連線異常
這並不是異常,而是憑證問題
一般NGFW並不針對加密網路進行掃描防範
少數如Fortigate可以開啟此項功能
但是要將設備憑證嵌入"每一台"user的電腦裡
就不會出現版大說的"連線異常"
通常在此項選用"certificate-inspection"就有一些效果
避免user不小心連到一些不正確憑證的地方
限於篇幅無法深入討論,請再G神相關資料
iThome鐵人賽
看影片追技術