FortiGate UTM и профили безопасности: антивирус, IPS, веб-фильтрация
Профили безопасности FortiGate UTM — это модули, добавляемые к политикам межсетевого экрана для проверки трафика на угрозы: антивирус, IPS, веб-фильтрация, контроль приложений, DNS-фильтрация и фильтрация файлов. После привязки к политике профиль автоматически применяется к этому трафику.
Что такое UTM и профили безопасности?
UTM (Unified Threat Management) — это подход к объединению нескольких функций безопасности в одном устройстве; в FortiGate эти функции добавляются как «профили безопасности» к политикам межсетевого экрана и проверяют трафик при прохождении.
Профиль безопасности сам по себе ничего не делает; чтобы он заработал, его нужно назначить политике межсетевого экрана. Пока политика разрешает трафик действием accept, привязанные профили проверяют этот же трафик на угрозы.
FortiGate предлагает два подхода к проверке: flow-based сканирует пакеты в потоке с низкой задержкой; proxy-based буферизует содержимое и анализирует его глубже. Выбор балансирует глубину защиты и производительность.
Прежде чем привязывать профили к правилу, нужно корректно спроектировать само правило; см. наше руководство по управлению политиками.
Основные профили безопасности UTM
Основные профили состоят из антивируса (вредоносное ПО), IPS (предотвращение вторжений), веб-фильтрации (категория URL), контроля приложений (распознавание приложений) и DNS-фильтрации (репутация доменов).
Каждый профиль закрывает свой слой угроз. Их совместное использование обеспечивает эшелонированную защиту.
| Профиль | Функция |
|---|---|
| Антивирус | Обнаружение вредоносного ПО в файлах и потоках |
| IPS | Блокировка известных сигнатур эксплойтов и атак |
| Веб-фильтр | Контроль веб-доступа по категории URL |
| Контроль приложений | Распознавание и ограничение приложений |
| DNS-фильтр | Блокировка вредоносных/нежелательных доменов |
| Файловый фильтр | Контроль передачи по типу файла |
Эти профили следует использовать с журналированием, чтобы видеть, какой трафик блокируется и почему; см. журналирование и мониторинг с FortiAnalyzer.
Инспекция SSL/TLS и зашифрованный трафик
Инспекция SSL критична, так как большая часть веб-трафика зашифрована; FortiGate обеспечивает поверхностный контроль через certificate inspection и полный — через deep inspection.
Certificate inspection смотрит только на данные сертификата/SNI и не открывает содержимое, предлагая ограниченный контроль. Deep inspection позволяет FortiGate расшифровывать, проверять и заново шифровать трафик, чтобы антивирус/IPS работали и с зашифрованным содержимым.
Deep inspection требует распространения CA-сертификата FortiGate на клиенты; иначе пользователи получают предупреждения о сертификате. По соображениям приватности и комплаенса некоторые категории (например, здравоохранение, банкинг) можно исключить из инспекции.
Если зашифрованный трафик не проверяется, эффективность профилей вроде антивируса и IPS существенно падает; поэтому стратегия инспекции SSL — неотъемлемая часть дизайна UTM.
Зависимость от FortiGuard
FortiGuard — сервис анализа угроз, поддерживающий профили UTM в актуальном состоянии; сигнатуры антивируса, сигнатуры IPS и категории web/DNS обновляются по этой подписке.
Если сигнатуры антивируса и IPS не обновляются постоянно, защита от новых угроз быстро слабеет. Аналогично веб- и DNS-фильтрация зависят от базы категорий FortiGuard.
Какой профиль требует какой подписки и планирование лицензий мы подробно разбираем в нашем руководстве по подпискам FortiGuard.
Лучшие практики настройки UTM
Лучшие практики — применять профили только к нужным политикам, осознанно использовать deep inspection, отслеживать производительность и регулярно просматривать журналы профилей.
- Привязывайте каждый профиль к узким, целевым политикам.
- По возможности используйте deep inspection для зашифрованного трафика.
- Балансируйте режим flow/proxy по нагрузке ради производительности.
- Настройте набор сигнатур IPS под вашу среду; отключите ненужные.
- Регулярно просматривайте журналы профилей и устраняйте ложные срабатывания.
Чтобы управлять падением производительности при включённом UTM, см. наше руководство по оптимизации производительности, а для общей архитектуры — наше руководство о том, что такое FortiGate.
Часто задаваемые вопросы
Работает ли профиль UTM сам по себе?
Нет. Профиль безопасности вступает в силу только при назначении политике межсетевого экрана. Пока политика разрешает трафик, привязанные профили его сканируют.
В чём разница между flow-based и proxy-based инспекцией?
Flow-based сканирует пакеты в потоке с низкой задержкой; proxy-based буферизует содержимое для более глубокого анализа, но использует больше ресурсов.
Что нужно для проверки зашифрованного трафика?
Требуется глубокая инспекция SSL/TLS. CA-сертификат FortiGate нужно распространить на клиенты; иначе пользователи увидят предупреждения о сертификате.
Какие профили требуют подписки FortiGuard?
Сигнатуры антивируса и IPS, а также базы категорий web и DNS обновляются по подписке FortiGuard. Без неё эти профили не остаются актуальными.
Для чего нужен контроль приложений?
Контроль приложений распознаёт приложения (например, мессенджеры, обмен файлами) независимо от порта и позволяет отслеживать, ограничивать или блокировать их.
Стоит ли добавлять каждый профиль к каждой политике?
Нет. Применяйте профили только к релевантному трафику. Лишние профили снижают производительность и повышают риск ложных срабатываний.
Заключение
Профили безопасности FortiGate UTM обеспечивают многоуровневую защиту — от антивируса до IPS и веб-фильтрации. При правильном режиме сканирования, эффективной инспекции SSL и актуальных подписках FortiGuard эти профили дают реальную защиту.
Чтобы настроить профили UTM под профиль рисков вашей организации, обратитесь к команде безопасности Sora Yazılım.