飞塔防火墙15-应用控制
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Fortinet Confidential **Internal view only**
6
会话生存时间(Session TTL)
有3个地方可以修改Session TTL:
在config system session-TTL(命令行) 在每个防火墙策略中(命令行) 针对某个应用设置Session-TTL
HTTP POST, GET, PUT, DELETE, CONNECT RPC UUID, ProgramID, FTP PUT, GET, …
wenku.baidu.com
Others
Toolbars(2), Proxies(2), Remote access(7), Media players (18), Encrypted connections, …
按端口、协议和应用产生灵活的报告方式 应用列表可以在FortiGuard Center上查到
应用控制的技术基础
IPS Scan 技术
通用的 engine 和 signatures Many supported in 3.0 (ex: P2P)
集成代理技术
识别应用并转交给代理(proxy)处理
应用控制
Course 201 v4.0
应用控制涵盖哪些内容?
不通过检查TCP/IP端口也能够探测应用
例如:检测非标准端口的HTTP协议
通过模式匹配技术检测应用
检测通过Http通道偷偷使用某些P2P应用( skype, IM)
对应用进行细粒度的控制
动作包括阻断、通过、流量整形和用户控制 可以阻断FTP特定的PUT命令 可以阻断IM的文件传输 可以检测IM用户传送恶意的文件 可以对IM消息进行归档
Web Mail & Social Networking (11)
gmail, hotmail, blackberry, yahoo-mail, facebook-mail
Database (7)
db2, mysql, oracle, postgres, informix, …
Protocol Commands & File Transfer (18 protocols)
新增加了一种日志类型,“Application Control log”,以前IM P2P和VOIP 的日子转移到了这里。
应用控制日志
IM用户控制
Monitor 可以显示在线的IM用户,可以选择阻断用户。
阻断的IM用户
MSN, YAHOO! ,ICQ和AIM的用户,都支持以上的控制
统计信息
与应用控制相关的报告
目前支持18类,超过1000种应用。
应用控制的配置步骤
先配置应用控制列表 在保护内容表中应用配置的应用控制列表
在防火墙策略中应用访问控制列表
应用控制的配置步骤1
创建一个应用控制列表
创建以上7种应用的控制列表
应用控制的配置步骤2
启用先前创建的应用控制列表
策略中引用上面的保护内 容表
应用控制的日志
• Apply AV, WCF, Content Archive, etc. • Previously, proxy must listen on the port(s)
全代理支持
• 3.0 Proxies (HTTP, POP3, IMAP, SMTP, IM, NTP, FTP) • SSL Proxies (HTTPS, POP3S, IMAPS, SMTPS)
修改Session-TTL
所支持的应用类型
IM, P2P, VoIP (23)
AIM, ICQ, MSN, Yahoo!, BitTorrent, gnutella, emule, winny, … Rate-limiting for P2P apps SIP, H323, Skinny, RTP, MGCP, …
可以增加以上关于应用控制的图表
与应用控制相关的报告
实验
监听网络中的应用,并且对QQ进行阻断
4
协议端口设置1
端口可以修改,添加,甚至 可以是任意端口
对于支持CP6的型号,还支持 SMTPS,POP3S, & IMAPS
Fortinet Confidential **Internal view only**
5
协议端口设置2
例
启用 inspect-all 选项或者指定多个端口
configure firewall profile edit "test" configure app-recognition edit "HTTP" set inspect-all disable set port 80 8080 next … …
其他技术
流量控制 (P2P)
数据包的处理过程
IPS异常、IPS特征和应用 控制流量检查 通过协议解码为代理 (proxy)识别应用 如果目的是代理,(并且 代理正在监听某个端口, 或者是所有端口)那么流 量将转交给代理,来进行 AV/AS/WCF
Fortinet Confidential **Internal view only**