通过展示web过滤的能力,你将能够在FortiGate上实现、维护和排除web过滤的故障。
随着加密流量占大多数组织流量的60%至80%,检查加密流量以维护安全网络变得至关重要。针对web过滤,FortiGate有两种检测出站加密会话的方法:SSL证书检查和SSL完全检查。
配置SSL/SSH检查配置文件时,可以使用两种检查方式中的任意一种。
当使用SSL证书检查时,FortiGate不会解密或检查任何加密的流量。使用这种方法,FortiGate只检查初始的未加密SSL握手。如果SNI字段存在,FortiGate使用它获得FQDN来对站点进行评分。如果SNI不存在,FortiGate将从服务器证书的CN字段检索FQDN。
在某些情况下,CN服务器名称可能与请求的FQDN不匹配。例如,.com的数字证书中CN字段的值为google.com。所以,如果你连接到.com不支持SNI,而FortiGate使用SSL证书检查方法,FortiGate错误地假设你正在连接到google.com,并使用google.com类别,而不是.com类别。
你还应该记住,SSL证书检查只适用于web过滤,在进行应用程序控制时也适用于一些应用程序签名检测。它不能与反病毒、IPS或DLP扫描一起工作,在这些扫描中,需要检查完整的有效载荷。
在执行基于证书的检查时,默认情况下,FortiGate会根据来自服务器证书的CN和SAN字段中的信息验证客户端证书的SNI字段中的信息。如果SNI字段中的域与CN和SAN字段中列出的域不匹配,FortiGate会使用CN字段中的域,而不是SNI字段中的域。
可以将FortiGate配置得更严格,这样,如果SNI字段中的域与CN和SAN字段中列出的任何域不匹配,它就会关闭客户端连接。
还可以配置FortiGate完全禁用SNI检查,这样FortiGate总是使用SNI信息获取FQDN来对站点进行评级。
你可以配置完全SSL检查,以检查所有数据包内容,包括有效负载。FortiGate通过代理SSL连接来执行此检查。建立了两个SSL会话——客户端到ForitGate和FortiGate到服务器。这两个建立的会话允许FortiGate使用自己的密钥加密和解密数据包,这允许FortiGate完全检查加密数据包内的所有数据。
你可以访问FortiGuard门户来检查URL属于哪个类别。在门户中,你还可以请求对URL进行重新分类。
你还可以查看FortiGuard web过滤器类别。
你可以使用FortiOS CLI来显示FortiGuard类别及其数值的列表。
当你使用FortiOS CLI或使用FortiManager上的脚本创建web配置文件时,可以使用FortiGuard类别号。与使用GUI类似,你可以使用CLI为每个类别配置不同的操作。
你可以使用类别编号来测试特定类别或子类别是允许还是阻止。为此,请使用这张幻灯片上显示的URL格式。
在这张幻灯片的例子中,第11类是。测试确认所有列在这个类别中的网站都将被阻止。替换消息页面显示被阻止的类别,以及其他信息,如客户端IP、服务器IP和用户信息。
两个会话标志分别表示是基于代理模式还是基于流模式进行流量检测。标志redir表示采用代理方式对流量进行检测。标识ndr表示以流的方式对流量进行检测。在基于代理的检查情况下,调试流包含消息“send to application layer”。
使用以下CLI命令列出web过滤的错误计数器和其他统计信息:diagnose webfilter fortiguard statistics list。一些错误计数器的持续增加通常表明FortiGuard的通信问题。
输出还显示允许、阻止、记录、监视等站点的数量的计数器。
使用相同的命令显示web过滤缓存的计数器,包括内存、请求、命中和未命中。
使用命令diagnose test application urlfilter 1显示web过滤测试命令的所有选项。可以使用此命令排除与web过滤相关的问题。
get webfilter categories命令用它们各自的ID号列出所有类别。在这个列表中,ID用十进制表示。因此,如果你希望在缓存中找到URL的类别名称,请使用第一个命令列出缓存,并将ID号从十六进制转换为十进制。然后,使用第二个命令查找该ID号的类别名称。
另一个可以用来排除web过滤故障的工具是web过滤器实时调试。你可以使用这张幻灯片上显示的命令。
当缓存被错过时,IPS和WAD将只发送请求到urlfilter守护进程。一旦URL在FortiGuard缓存中,在向urlfilter发送请求之前,IPS Engine/WAD将开始自己查找缓存。
web过滤故障处理提示:
● 首先得到细节:
● 哪些网址有问题?
● 它是随机的吗?
● 所有的用户都会这样吗?
● 检查日志
● 是用户组配置错误导致的问题吗?用户访问权限是否正确?
● 在重现问题时运行实时调试
额外的提示:
● 检查web过滤是否被全局禁用。
● 如果用户出现间歇性问题,请检查与FortiGuard的通信是否稳定(查看web过滤统计信息)。还要检查设备是否没有进入保护模式。
这张幻灯片展示了你在这节课中所学到的目标。
通过掌握本课中涉及的目标,你学习了如何在FortiGate上实现、维护和排除web过滤故障。
