飞塔防火墙05-部署Web过滤

1、Web过滤 Course 201 v4.0 FortiGuard分类体系 FortiGuard Web Filter 分为82种Web类别 允许选择性的override 和本地分类 依照URL阻断图像 （BMP,GIF,JPEG,TIFF,PNG） 端口user-server: 8008 re-directed:1004 http 1005 https override-auth-port: 8008 Update：53 or 8888 启用启用FortiGuard网址过滤网址过滤 步骤一，配置保护内容表 启动HTTP或 HTTPS网址 过滤 选择阻断分 类 启用启用FortiGuard网址过

2、滤网址过滤 步骤二，把保护内容表应用在防火墙策略中 在防火墙策略内启 用保护内容表中 启用启用FortiGuard网址过滤网址过滤 步骤三，在系统管理维护FortiGuard Web过滤和反垃圾邮件选 项中，启用Web过滤 启用 FortiGuard网址分类网址分类 Web过滤解决方案支持 76个类别和7个级别 允许选择跳过和本地 的类别 图片可以根据URL来阻 断 禁止访问网页提示禁止访问网页提示 在系统管理配置替换信息FortiGuard Web过滤中更改替换信息 编辑 点击编辑按键，更改替 换信息 定制用户提示页定制用户提示页 Web Filter Violation%FORTIGUAR

3、D_WF%FORTINET%网站被阻拦 你访问的网站违反了安全策略,已经被阻止! 网址: %URL% 网站类别: %CATEGORY%如需对本网站重新分类点击链接 .%OVERRIDE%Powered by %SERVICE%. 定制用户提示页定制用户提示页 http:/ FortiGuard 跳过跳过 跳过阻断的网址可以按照以下进行分类： Domain () Directory ( Category (e.g., “Search Engines”) 跳过针对以下有效： User Group IP Protection Profile FortiGuard 跳过跳过 跳过的规则从Web Fil

4、ter FortiGuard Web Filter Override设置设置 跳过的所有参数必须预先配置好的 FortiGuard 跳过的用户组跳过的用户组 跳过的组可以在User Group中创建，在保护内容表中可以设置。 FortiGuard 跳过的用户组跳过的用户组 所有防火墙用户组都可以设置跳过这个功能 选择需要设置跳过的分类 启用启用FortiGuard网址过滤跳过网址过滤跳过 步骤一，配置保护内容表 启动跳过 FortiGuard 网址过滤 在阻断类别 中选择跳过 启用启用FortiGuard网址过滤跳过网址过滤跳过 步骤二，配置用户组 把本地用户或认证 服务器用户加入到 组内 选

5、择允许创建 FortiGuard Web过 滤跳过 选择保护内容表 启用启用FortiGuard网址过滤跳过网址过滤跳过 步骤三，把建立的用户组配置在防火墙策略里 选择授权认证 选择用户组加入到 允许内 启用启用FortiGuard网址过滤跳过网址过滤跳过 访问被禁止网页时，出现禁止访问提示页面 点击跳过 点击跳过后，在新页面中输入 用户组中的用户名、密码，即 可跳过FortiGuard网址过滤， 访问网页 FortiGuard 网址过滤新建本地类别网址过滤新建本地类别 在Web过滤器FortiGuard网址过滤本地类别中，写入类别名称， 并点击填加 填加的本地类别将显示在保护内容表Forti

6、Guard网页过滤的类 别中 FortiGuard 网址过滤新建本地分类网址过滤新建本地分类 在Web过滤器FortiGuard网址过滤本地分类中，点击新建 输入需要加入到类 别内的网址 选择判定加入到类 别中 FortiGuard 网址过滤分级网址过滤分级 在防火墙保护内容表FortiGuard中，查看分级 分类屏蔽是指屏蔽某种类别的网站，是基于网站的功能性 的，而不是网站的主题。 利用分级，可以屏蔽提供缓冲内容的网站，方便影像、音 频与视频文件搜索的网站可以被屏蔽。 自定义网址过滤自定义网址过滤内容阻断内容阻断 进入Web过滤器内容阻断 网页内容阻断，并点击 “新建”，在Web内容阻断 列

7、表目录中添加内容阻断 列表 在新建列表中，点击“新 建”，在Web内容阻断列 表中添加新的屏蔽样式 模板类型 通配符 正则表达式 语言 打分 Wildcard URL expression Type a top-level URL or IP address to control access to all pages on a web site. For example, or 55 controls access to all pages at this web site. Enter a top-level URL followed by the path an

8、d filename to control access to a single page on a web site. For example, or 55/news.html controls the news page on this web site. To control access to all pages with a URL that ends with , add to the filter list. For example, adding controls access to , , , and so on. Control access to

9、 all URLs that match patterns created using text and regular expressions (or wildcard characters). For example, example.* matches , , and so on. FortiGate web pattern blocking supports standard regular expressions. - Notes: forti*.com will match and www.sina.* . It means , means , ,etc Pe

10、rl Expression Use Regular Expression to get advanced match result .* means , .*com means www.*com means * 表示所有网站 即Host + URI .* 表示下的所有链接文件 .*.zip .*.swf flash文件 .*.gif gif文件 .*.jpg jpg文件 .*.png png图形文件 .*.js JavaScript文件 .*.htm .*.html .*.css 网页风格样式文件 .*.htc 对jpg, gif, htm/html和swf文件，完全可以不扫描病毒，以提高速度

11、。 自定义关键词和网址 自定义网址过滤自定义网址过滤内容阻断内容阻断 通过屏蔽具体的词或短语控制网页内容的显示。如果在内容 保护列表中启动该功能，FortiGate设备按照设定的禁忌词 汇在所要求的网页中查找。如果在网页中发现与设定的禁忌 词汇相匹配的词，将计算累加数量。如果数量超过用户定义 的阈值，该网页将被屏蔽。 自定义网址过滤自定义网址过滤内容免屏蔽内容免屏蔽 进入Web过滤器内容阻断 网页内容免屏蔽，并点击 “新建”，在Web内容免屏 蔽列表目录中添加内容免 屏蔽列表 在新建列表中，点击“新 建”，在Web内容免屏蔽 列表中添加新的免屏蔽样 式 模板类型 通配符 正则表达式 语言 自定

12、义网址过滤自定义网址过滤内容免屏蔽内容免屏蔽 网页内容免除列表是网页内容屏蔽功能的延伸。如果网页内 容免除列表中定义的任何模式在网页中出现，该网页将不能 被屏蔽，即使网页内容屏蔽功能应该将该网页屏蔽。 自定义网址过滤自定义网址过滤网址过滤网址过滤 进入Web过滤器网址过 滤，并点击“新建”， 在网址过滤列表目录中 添加网址过滤列表 在新建网址过滤器中，点 击“新建”，在网址过滤 列表中添加新的网址过滤 器 类型 简单 正则表达式 操作 免屏蔽(通过,bypass AV) 阻断 允许(通过,但继续AV) 自定义自定义Web过滤器启用过滤器启用 Web内容屏蔽 内容屏蔽阈值 Web内容免屏蔽 We

13、b网址过滤 屏蔽ActiveX、Cookie、 Jave Applet 步骤一，在保护内容表中应用自定义Web过滤器配置 自定义自定义Web过滤器启用过滤器启用 步骤二，把保护内容表应用在防火墙策略中 在防火墙策略内启 用保护内容表中 Web过滤提示信息过滤提示信息 Web过滤提示信息替换过滤提示信息替换 在系统管理配置替换信息HTTP中更改替换信息 编辑 点击编辑按键，更改替 换信息 FortiGuard URL查询过程查询过程 例子： /c/shoot/images/x68/thumbs/nautica11_l.jpg 如果找不到，则逐步缩短

14、查找： /c/shoot/images/x68/thumbs /c/shoot/images/x68 /c/shoot/images /c/shoot /c 最后，只剩下主机名称 过滤的顺序过滤的顺序 1.URL Exempt (Web Exempt List) 2.URL Block (Web URL Blo

15、ck) 3.URL Block (Web Pattern Block) 4.Category Block (FortiGuard Web Filtering) 5.Content Block (Web Content Block) 6.Script Filter (Web Script Filter) 然后转到防病毒扫描 HTTP Post和上传 POST三种处理方式三种处理方式 Normal 正常允许 Block 阻断POST动作 TOP3 758/NFR 38636：HTTP POST阻止 Comfort 对于Post采用定时发送数据包的方式保持连接 NFR38574/Mantis 809

16、70：POST舒适 (防止在低速网络下服务器超时) 从NFR中得到信息是，在病毒扫描时，上传大文件，FG与 Server之间保持comfort，以确保Server不timeout Block阻断方式阻断方式 禁止Post动作 Comfort方式方式 Comfort模式查看http进程的动作 : Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2: 9:3362 - :80: CLTRDRDY HTT

17、P_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE 抓包分析: 设置comfort的时间间隔和数量 HTTP POST 从HTTP v1.1（RFC 2616）开始，POST用于提交数据 （例如HTML表单） CLI Config firewall profile Edit POST_Block set httppostaction

18、 block/confort/normal set httpcomfortinterval 10 set httpcomfortamount 1 end - - Normal 正常处理：允许POST Block阻止POST Comfort POST舒适 httpcomfortamount: 发送字节数（1-10240） httpcomfortinterval: 发送间隔时间（1-900秒） Troubleshooting Block功能： Diag debug app http -1 1: 9:3361 - :80: SETUP Event - I

19、NPROGRESS_EVENT 1: 9:3361 - :80: SETUP INPROGRESS_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: SVRWRTRDY Event - CONNECTED_EVENT 1: 9:3361 - :80: SVRWRTRDY CONNECTED_STATE httploop.c:mainLoop:3005 nready=1 errno

20、=0 1: 9:3361 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 1: 9:3361 - :80: CLTRDRDY HTTP_REQUEST_STATE 1: 9:3361 - :80: LOOPEND Event - EAT_EVENT 1: 9:3361 - :80: LOOPEND REQUEST_EAT_STATE httploop.c:mainLoop:3

21、005 nready=1 errno=0 httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTRDRDY Event - BLOCK_EVENT 1: 9:3361 - :80: CLTRDRDY BLOCK_STATE httploop.c:mainLoop:3005 nready=1 errno=0 1: 9:3361 - :80: CLTWRTRDY Event - RESET_E

22、VENT 1: 9:3361 - :80: CLTWRTRDY RESET_STATE 使用sniffer，可以看到RST发往服务器 PC (9) -FGT (6)-Web server(87) diag sniff packet any port 80 3 舒适舒适 舒适功能： Diag debug app http -1: 2: 9:3362 - :80: CLTRDRDY Event - HTTP_REQUEST_EVENT 2

23、: 9:3362 - :80: CLTRDRDY HTTP_REQUEST_STATE 2: 9:3362 - :80: LOOPEND Event - BUFFER_EVENT 2: 9:3362 - :80: LOOPEND HTTP_REQUEST_BUFFER_STATE Sniffer PC (9) -FGT (6)-Web server() httpcomfortinterval 设为5秒 SSL内容检测 48 SSL内容检测内容检测 FortiOS v3.00：只支持HTTPs URL过滤，通过证书CN中的 明文信息 FortiOS v4.00：完整的：完整的AV/WCF/AS扫描，通过新的SSL proxy支持HTTPs, IM