iT邦幫忙

0

[求助] FortiGate 60F AV功能沒有運作

  • 分享至 

  • xImage

請教一下各位先進,
我已經把相關policy/profile設定好,
然後透過下面網站去下載測試檔eicarcom2.zip:
https://www.eicar.org/download-anti-malware-testfile/
結果我的60F並沒有攔截到反而是我的桌機掃毒軟體偵測到並隔離,
所以想上來求助,
下面是相關的設定.

https://ithelp.ithome.com.tw/upload/images/20221221/20106587kfutP10VZw.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/20106587tb7vTa6jdR.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/20106587qmwkmVuts2.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/201065872aulWfevWY.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/201065875URgQQS0Fk.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/20106587Od03CLlKSp.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/201065870B7ghTWyyn.jpg

https://ithelp.ithome.com.tw/upload/images/20221221/20106587alsm4Mj2P2.jpg

rb1102 iT邦研究生 2 級 ‧ 2022-12-21 14:11:48 檢舉
先猜是沒開ssl深度檢查
sd3388 iT邦好手 1 級 ‧ 2022-12-22 12:18:53 檢舉
是防火牆模式用的不一般 XD
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
zyman2008
iT邦大師 6 級 ‧ 2022-12-21 10:04:53
最佳解答

因為你測的是 HTTPS, SSL/SSH Inspection 要改成 Deep Inspection.
Fortigate 才能做中間人解開 TLS.

Note: NGFW模式為 Policy-based 時的SSL Inspection policy 設定畫面
https://ithelp.ithome.com.tw/upload/images/20221222/20020804uGx529i4Z9.jpg

lasthero iT邦新手 4 級 ‧ 2022-12-21 13:36:16 檢舉

原來如此, 感謝!

sd3388 iT邦好手 1 級 ‧ 2022-12-22 12:16:35 檢舉

這回覆基本上是有問題的
根據上面截圖SSL/SSH Inspection不在這裡設定
而是在SSL_Inspection & Authentication

回答前請仔細看一下使用者的情況
迥然不同的事情做出來的判斷會天差地別
如果不熟Fortigate更要謹慎一些

可以先改變防火牆的運作模式
然後再考慮資安設定的作用
如果不會弄理當先找賣你設備的SI說明兩種模式不同之處

zyman2008 iT邦大師 6 級 ‧ 2022-12-22 19:51:39 檢舉

感謝 sd3388 兄的指正, 已更正截圖.

0
hsiang11
iT邦好手 1 級 ‧ 2022-12-21 10:07:58

Download area using the standard protocol HTTP
– Sorry, HTTP downoad ist temporarily not provided. –

eicar的測試站看來已經全面轉成https連結了
如果你防火牆沒有做到ssl inspection是無法分析到加密封包的
這很正常
你去測http的病毒連結就知道有沒有你的設定有沒有生效

ssl inspection我觀察過很多SI都不願意做的
其實也不知道什麼因素 或許因為還要搞憑證方面的問題
又是一份工,不太想處理後續的問題

看更多先前的回應...收起先前的回應...
mathewkl iT邦高手 1 級 ‧ 2022-12-21 11:30:28 檢舉

SSL沒弄好會因憑證錯誤無法上網,就要準備接一堆電話..

phl0722 iT邦好手 8 級 ‧ 2022-12-21 11:37:58 檢舉

真的問題很多,真的,一下哪個不能上網一下哪個有問題,還有人認為MIS在搞鬼..一堆誤會甚麼的。

hsiang11 iT邦好手 1 級 ‧ 2022-12-21 12:52:12 檢舉

所以我也覺得這是很特殊的現象,防火牆功能降階
不過我自己也只是選擇性部分開放,針對比較會亂搞的使用者

lasthero iT邦新手 4 級 ‧ 2022-12-21 13:35:53 檢舉

感謝大家的回覆, 的確如果要開deep inspection, 就會有一堆問題.....

sd3388 iT邦好手 1 級 ‧ 2022-12-22 12:29:06 檢舉

不太能贊同上述的說法
因為各家資安設備處理SSL大都是同樣方式
所以本就是自己要將流量做好分類及管理
什麼網站或應用要pass而什麼要檢核
然後MIS自己搞不清楚狀況
SI工程師怎可能比MIS更了解公司網路狀況
除非給SI工程師SoC的費用直接託管

我要發表回答

立即登入回答