iT邦幫忙

1

Fortinet 資安鐵三角IPS、AV阻擋問題

各位前輩您好,

目前才剛接觸Fortinet資安鐵三角的設備不久,
想請教使用FortiGate、FortiAP、FortiSwitch時,
能否設定使FortiGate偵測到IPS、AV時,在FortiAP、FortiSwitch自動隔離或阻擋問題設備?
或是只能在FortiGate隔離、阻擋?
還是需要搭配FAZ、IoC服務或其他方式才能達到呢?
再麻煩各位前輩指點,謝謝!

0
mytiny
iT邦大師 1 級 ‧ 2021-06-23 22:32:54
最佳解答

樓主這個題目,看起來很簡單回答
實際上水很深呀,有機會建議跟樓主的上游
無論是SI或代理商好好互相討論

基本上Fortinet資安鐵三角接上就會通就能管網路
所以這部份很簡單,連IP都不用設
開IPS跟AV就跟以前Fortigate設定一樣,不難
現在講"自動",就要有分別了
(手動就可隨便做,在很多不同GUI框裡都可以)
看是要自動擋在終端網路設備上還是Fortigate上
AV只能隔離檔案,不能封鎖IP,也不能鎖MAC
IPS只能鎖IP(有時間限制),不能鎖MAC
用IoC,可以自動化鎖IP或MAC(但要會設),但不是因為IPS或AV
而是因為C&C資料庫,若同時想鎖住接口的MAC及設備IP
防火牆就要有FortiGuard UTP授權及相對應配置
而IoC需要有FAZ,這樓主已經知道了

設備的OS版本也有差
新一點的可以做switch NAC
舊一點的可以用BYOD
如果樓主說的自動鎖住非公司的設備不能連網的話
這個也可以算得上

萬一沒有IoC,又想要做到自動封鎖類似到MAC
還有別條路可TRY,就是用security VLAN
因為他同網段每個IP都是分隔的,鎖IP等於鎖MAC
這樣用IPS就可以了
效果差不多,不過Fortigate會大吃資源

Fortigate自從6.0進入Security Fabric後
目前進入設備大整合階段
如果公司有多個site有多個Fortigate
搞一套完整的Security Fabric(加上FAZ、IAM等、配合SD-WAN,SD-Branch)
會是非常省錢又非常完整方便的資安方案
單一人總部的MIS可以搞定全企業的網路資安在"同一個畫面"上(3千設備以上)
如果有幸運會接到原廠的call out電話
可以有機會多了解一下
目前僅有少數上市櫃公司走得比較前面

0
hsiang11
iT邦好手 1 級 ‧ 2021-06-23 10:30:17

單鐵三角應該就可以做到你說的功能
IPS設隔離是原本就有的功能吧
不過AV的部分要注意 這比較像隱藏功能
AV被隔離在介面可能會被隱藏起來
不能直接看到
觸發後被隔離的設備可能要用搜尋才可以找到蹤跡

大多數人在介面上沒看到就當作沒有這功能
實際上是錯的 很多都要經過查資料證實
這其實在原廠的某一個版本添加了這功能

但是也要小心跳坑,設定上要小心
有可能一不小心把防毒功能打開
因為系統沒有回報你生效了某些設定
我會比較建議另開不同的防毒設定做練習 不要拿現用的
很容易弄死自己

好的,
我會再多注意防毒的部份,
謝謝前輩指教!

0
bluegrass
iT邦高手 1 級 ‧ 2021-06-26 16:06:42

你可以看看Infoexpress

Layer2 層面直接封殺

我要發表回答

立即登入回答