iT邦幫忙

0

Fortigate Policy 設定問題,關於IPS、AV、Email Filter、Web Filter…等幾項Security Profiles

請問一下,Fortigate的進出政策
除Web Filter、Application Control應是針對內對外連線做控管
那Antivirus、IPS、Email Filter、SSL/SSH Inspection除了外對內服務連線要開外,用戶端內對外連線時,需要開啟嗎?
Antivirus?開了是否可減少內對外連線病毒入侵?目前用Symantec
IPS?我看了下IPS Filter內容,似乎內對外連線也要開?
預設多達9xxx項特徵碼
應該開內部有的OS及有用到的軟體就好嘛?剛點一點還剩五千多條…Other包含範圍太廣,細篩得費許多時間手動輸入關鍵字來點選,大家都怎麼設定?
http://ithelp.ithome.com.tw/upload/images/20170323/20094721OP9HusbX3Y.png
Email Filter?是不是只要開外對內Mail Server就好?
SSL/SSH Inspection?好像內對外有加密連線也需要啟用,才能準確分析?

還有特徵碼更新時,是不是得去查看IPS內Filter的Signature有沒出現新的,再加入Custom Profile裡?

看更多先前的討論...收起先前的討論...
vicentli iT邦新手 3 級 ‧ 2017-03-23 16:31:28 檢舉
補充機器是100D,內部電腦數約40台
vicentli iT邦新手 3 級 ‧ 2017-03-24 08:34:22 檢舉
疑,用Fortigate人不是很多嗎,跪求UTM正確設定方式
dicky9055 iT邦新手 5 級 ‧ 2017-03-24 09:17:45 檢舉
防毒我建議是不要開啦,不然被誤判的信/檔案可沒法救喔~其他的我覺得都可以開,mail可以先開外到內就可以了
vicentli iT邦新手 3 級 ‧ 2017-03-24 11:37:37 檢舉
好喔~感謝~
Fortigate可以看一下機型,有的機型要透過設定才會使用到機器本身的硬體加速功能,如果單靠CPU運算流量一堆就會跑到100%,效能下降的很明顯。
另外就是FortiGate的設定是有優先順序,你可以先設一個大原則,在以特定條件例外的方式去設定會簡單的多。
mytiny iT邦大師 1 級 ‧ 2017-03-25 15:27:03 檢舉
Fortigate-100D沒有硬體加速功能
而NGFW/UTM原本就是要開啟多功能(不然何必買呢?)
如果效能不足就表示當初評估錯誤
vicentli iT邦新手 3 級 ‧ 2017-03-27 00:26:05 檢舉
謝謝以上兩位前輩,我會先開啟內對外的UTM服務,再觀察性能~

1 個回答

0
mytiny
iT邦大師 1 級 ‧ 2017-03-25 15:20:59
最佳解答

Antivirus、IPS、Email Filter、SSL/SSH Inspection除了外對內服務連線要開外,用戶端內對外連線時,需要開啟嗎?

小弟的建議是全部都要開啟
原因很簡單,多數使用者都是由內往外聯網
然後去開啟網頁、下載檔案或收取郵件等等服務
因此資安威脅可能因而由此引入
正因為發起端是使用者,故而網路方向是由內而外
相關UTM功能的防護因此需要開啟

至於IPS的設定,似乎版大對設定有些誤解
在IPS的功能中已有系統內建的設定(請啟用)
隨後,應每日觀察記錄,發現安全紀錄中有疏漏便即刻補強
小弟常形容這就像看醫生,醫生會給你警告並建議(如log)
但如果不去吃藥(補強),則醫生(設備)再好也沒有

最後,還是建議版大多利用原來的銷售商請其給予技術服務
畢竟許多現場環境的狀況無法在網上得到分析
引用WilliamHuang大的說法:不要找最便宜的
因為真的很容易沒有技術服務
以上是小弟的微薄建議

vicentli iT邦新手 3 級 ‧ 2017-03-27 00:24:45 檢舉

感謝~因為IPS內建的設定,關於保護用戶端的protect_client,預設就有六千多條,我是怕開了會拖累性能~所以目前只開外對內,針對個別服務自訂IPS。這台是大陸過保帶回來的,沒有維護約,我靠其他方式手動更新IPS、AV等…所以沒技術服務可問,感謝指導~我先開再來觀察性能或是否有其他影響,之前開SSL/SSH Inspection會導致某些網站連線異常

mytiny iT邦大師 1 級 ‧ 2017-03-27 11:01:32 檢舉

SSL/SSH Inspection會導致某些網站連線異常

這並不是異常,而是憑證問題
一般NGFW並不針對加密網路進行掃描防範
少數如Fortigate可以開啟此項功能
但是要將設備憑證嵌入"每一台"user的電腦裡
就不會出現版大說的"連線異常"

通常在此項選用"certificate-inspection"就有一些效果
避免user不小心連到一些不正確憑證的地方
限於篇幅無法深入討論,請再G神相關資料

我要發表回答

立即登入回答