FortiGate UTM und Sicherheitsprofile: Antivirus, IPS, Webfilterung
FortiGate UTM-Sicherheitsprofile sind Module, die an Firewall-Richtlinien angehängt werden, um Verkehr auf Bedrohungen zu prüfen: Antivirus, IPS, Webfilterung, Application Control, DNS-Filterung und Dateifilterung. Einmal an eine Richtlinie gebunden, greifen sie automatisch für diesen Verkehr.
Was sind UTM und Sicherheitsprofile?
UTM (Unified Threat Management) ist der Ansatz, mehrere Sicherheitsfunktionen in einem Gerät zu bündeln; auf FortiGate werden diese Funktionen als 'Sicherheitsprofile' an Firewall-Richtlinien angehängt und prüfen den Verkehr beim Durchlaufen.
Ein Sicherheitsprofil tut allein nichts; um zu wirken, muss es einer Firewall-Richtlinie zugewiesen werden. Während die Richtlinie Verkehr mit der Aktion 'accept' erlaubt, prüfen die angehängten Profile denselben Verkehr auf Bedrohungen.
FortiGate bietet zwei Prüfansätze: Flow-based scannt Pakete im Fluss mit geringer Latenz; Proxy-based puffert den Inhalt und analysiert ihn tiefer. Die Wahl wägt Sicherheitstiefe gegen Performance ab.
Bevor Sie Profile an eine Regel binden, muss die Regel selbst korrekt gestaltet sein; siehe unseren Leitfaden zur Richtlinienverwaltung.
Kern-UTM-Sicherheitsprofile
Kernprofile umfassen Antivirus (Malware), IPS (Intrusion Prevention), Webfilterung (URL-Kategorie), Application Control (App-Erkennung) und DNS-Filterung (Domain-Reputation).
Jedes Profil adressiert eine andere Bedrohungsschicht. Ihre gemeinsame Nutzung bietet Defense in Depth.
| Profil | Funktion |
|---|---|
| Antivirus | Erkennt Malware in Dateien und Streams |
| IPS | Blockiert bekannte Exploit- und Angriffssignaturen |
| Web Filter | Steuert Webzugriff nach URL-Kategorie |
| Application Control | Erkennt und beschränkt Anwendungen |
| DNS Filter | Blockiert bösartige/unerwünschte Domains |
| File Filter | Steuert Übertragungen nach Dateityp |
Diese Profile sollten mit Logging genutzt werden, um zu sehen, welcher Verkehr warum blockiert wird; siehe Logging und Monitoring mit FortiAnalyzer.
SSL/TLS-Inspektion und verschlüsselter Verkehr
SSL-Inspektion ist entscheidend, da der meiste Webverkehr verschlüsselt ist; FortiGate bietet oberflächliche Kontrolle per Certificate Inspection und volle Kontrolle durch Deep Inspection.
Certificate Inspection betrachtet nur Zertifikats-/SNI-Daten und öffnet den Inhalt nicht, was begrenzte Kontrolle bietet. Deep Inspection lässt FortiGate den Verkehr entschlüsseln, prüfen und neu verschlüsseln, sodass Antivirus/IPS auch auf verschlüsseltem Inhalt arbeiten.
Deep Inspection erfordert die Verteilung des CA-Zertifikats von FortiGate an die Clients; sonst erhalten Nutzer Zertifikatswarnungen. Aus Datenschutz- und Compliance-Gründen können bestimmte Kategorien (z. B. Gesundheit, Banking) von der Prüfung ausgenommen werden.
Wird verschlüsselter Verkehr nicht geprüft, sinkt die Wirksamkeit von Profilen wie Antivirus und IPS deutlich; daher ist eine SSL-Inspektionsstrategie integraler Teil des UTM-Designs.
FortiGuard-Abhängigkeit
FortiGuard ist der Threat-Intelligence-Dienst, der UTM-Profile aktuell hält; Antivirus-Signaturen, IPS-Signaturen sowie Web-/DNS-Kategorien werden über dieses Abo aktualisiert.
Werden Antivirus- und IPS-Signaturen nicht laufend aktualisiert, schwächt sich der Schutz vor neuen Bedrohungen rasch. Ebenso hängen Web- und DNS-Filterung von der FortiGuard-Kategoriedatenbank ab.
Welches Profil welches Abo erfordert und die Lizenzplanung behandeln wir ausführlich in unserem Leitfaden zu FortiGuard-Abonnements.
Best Practices in der UTM-Konfiguration
Best Practices sind, Profile nur auf die Richtlinien anzuwenden, die sie benötigen, Deep Inspection bewusst einzusetzen, die Performance zu überwachen und Profil-Logs regelmäßig zu prüfen.
- Binden Sie jedes Profil an enge, zweckgebundene Richtlinien.
- Nutzen Sie Deep Inspection bei verschlüsseltem Verkehr, wo möglich.
- Balancieren Sie Flow-/Proxy-Modus nach Workload für Performance.
- Stimmen Sie das IPS-Signaturset auf Ihre Umgebung ab; deaktivieren Sie Unnötiges.
- Prüfen Sie Profil-Logs regelmäßig und entfernen Sie False Positives.
Um Performance-Einbußen bei aktivem UTM zu steuern, siehe unseren Leitfaden zur Performance-Optimierung und für die Gesamtarchitektur unseren Was-ist-FortiGate-Leitfaden.
Häufig gestellte Fragen
Funktioniert ein UTM-Profil allein?
Nein. Ein Sicherheitsprofil wird erst wirksam, wenn es einer Firewall-Richtlinie zugewiesen ist. Während die Richtlinie Verkehr erlaubt, prüfen die angehängten Profile diesen Verkehr.
Was ist der Unterschied zwischen Flow- und Proxy-based Inspection?
Flow-based scannt Pakete im Fluss mit geringer Latenz; Proxy-based puffert Inhalt für tiefere Analyse, nutzt aber mehr Ressourcen.
Was ist nötig, um verschlüsselten Verkehr zu prüfen?
SSL/TLS-Deep-Inspection ist erforderlich. Das CA-Zertifikat von FortiGate muss an die Clients verteilt werden; sonst sehen Nutzer Zertifikatswarnungen.
Welche Profile erfordern ein FortiGuard-Abo?
Antivirus- und IPS-Signaturen sowie die Web- und DNS-Kategoriedatenbanken werden über ein FortiGuard-Abo aktualisiert. Ohne Abo bleiben diese Profile nicht aktuell.
Wofür dient Application Control?
Application Control erkennt Anwendungen (z. B. Messaging, Filesharing) portunabhängig und erlaubt, sie zu überwachen, zu beschränken oder zu blockieren.
Sollte ich jedes Profil an jede Richtlinie hängen?
Nein. Wenden Sie Profile nur auf den relevanten Verkehr an. Unnötige Profile senken die Performance und erhöhen das Risiko von False Positives.
Fazit
FortiGate UTM-Sicherheitsprofile bieten mehrschichtige Verteidigung von Antivirus über IPS bis Webfilterung. Mit dem richtigen Prüfmodus, wirksamer SSL-Inspektion und aktuellen FortiGuard-Abos liefern diese Profile echten Schutz.
Um Ihre UTM-Profile auf das Risikoprofil Ihres Unternehmens abzustimmen, sprechen Sie mit dem Sicherheitsteam von Sora Yazılım.