FortiGate及FortiSandbox简单介绍

BE_HC

前言

(1)Q:FortiGate是什么能吃吗?

A:你可以试试嘴啃金属

(2)Q:我有FortiGate是不是就可以让FortiClient使用FortiSandbox的签名了?

A:并不行,但是FortiGate自己可以使用免费（或者付费）的FortiSandboxCloud;FortiGate只能管理FortiClient

(3)Q:FortiSandbox是不是类似于Sandboxie或者COMODO的沙盒?

A:飞塔的沙盒类似于魔盾或者微步,跟上述两者相差胜远;但其评定机制与COMODO的沙盒如出一辙

(4)Q:我没有FortiGuard升级的Lisences能不能升级?

A:见附件(只更新一次也就是此文章发布日期最新的离线升级包)

(5)Q:我可不可以连你的FortiSandbox?

A:不可以

(6)Q:为什么我的FortiClient不能连接到FortiGate?

A:检查防火墙是否启动”终端控制”这一功能,是否启动端口的[FortiTelemetry],本机与FortiGate是否联通

简目:

在本帖中，我们将初步了解FortiGate有关的安全设置及FortiSandbox分析样本的方式

• 第一章 <FortiGate篇>
  

------1.1 反病毒

------▶1.1.1 反病毒库

------▶1.1.2 反病毒扫描方式

------▶1.1.3 反病毒的其他配置*

------▶1.1.4 反病毒精细化控制

------1.2 入侵防御

------▶1.2.1 DoS策略*

------1.3 应用控制
------▶1.3.1 演示禁用windows自动更新

------1.4 Web过滤及DNS过滤

• 第二章 <FortiSandbox篇>
  

------2.1 摘要

------2.2 FSA联动详解
------▶2.2.1 FSA与FortiClient联动
------▶2.2.2 FSA收集方式*


------2.3 FSA分析文件途径或URL途径
------▶2.3.1 直接提交
------▶2.3.2 通过FortiClient提交
------▶2.3.3 提交URL网址或HTML文件

------2.4 虚拟机分析文件选择及相关功能
------▶2.4.1 使用虚拟机来分别执行相应的文件分析任务
------▶2.4.2 FSA分析可疑文件时的功能


近期比较忙，相关更新可能延迟（咕咕咕）

BE_HC

小幅更新了下

BE_HC

简单介绍飞塔在防火墙的地位：

Magic Quadrant for Enterprise Network Firewalls
Published 4 October 2018 - ID G00337968

NSS-LABS-2018-NG{过}F{滤}W-Comparative-Report-Security

FG和FSA分别属于Fortinet Security Fabric框架中的网络安全和高级威胁保护（ATP）

<比较老的一张概念图>

详情

https://www.fortinet.com/solutions/enterprise-midsize-business/security-fabric.html

飞塔搞得这个体系主要为的是自动化,集中化....(简单来说就是懒)
而且对于第三方的安全软件也是兼容的


<如图为SEP在FSF框架中>



前情提示：以下所有功能要实际应用应在
【菜单】 --> 【策略&对象】-->【IPv4/IPv6策略】中你想开启的相对应的策略里的“安全配置文件”中打开





前情提示2：想要获得最新的防护的话是要升级的，飞塔的授权可不便宜

<价格可参考下图>


你可以用我发的离线升级包进行一次升级

<FortiGate篇>

1.1 --> 反病毒

(1.1.1) --> 反病毒库

FG最重要的也是各位可能比较看中的就是反病毒了（ IPS漏报的情况下反病毒引擎还可以拉一把 ）

而FG的反病毒数据库跟FC一样分许多种类型

Normal    -->包括最近常见的攻击,并且在所有型号中通用

Extended -->在Normal的基础上加入最近非活性的病毒

Extreme   -->在Extended的基础上加入休眠的病毒

<下图为CLI控制台配置反病毒库>

<如图是我家的FG只能设置到Extended，根据官网信息要特定型号的FG才能用Extreme>

<下图为Web下配置反病毒>

<Tip:这是我在防火墙中的截图，如图所示的情景只能在基于代 理的检测下出现>

(1.1.2) --> 反病毒扫描方式

FG反病毒有两种工作方式

第一种 --> 基于流的检测

<下图为基于流检测下的反病毒配置文件>

特点:

①流检查模式较代{过}{滤}理模式扫描会快很多，但是消耗更多的CPU资源

②FG在此模式下扫描文件时会缓存整个文件同时把文件传输给客户端，但是大于缓冲区大小的文件不会被扫描

③如果检测到病毒，(FG会将链接重置)，客户端（再次）尝试下载时会被阻断

<Tip:”()”内的情况只出现在病毒特征不在第一个数据包内，即表明若病毒特征在第一个数据包之后，则会有不完整的（或者说被截断）文件保存在客户端上>

④可以选择快速扫描模式，相比全部扫描模式不能使用一些高级功能（例如：提交可疑文件至FSA），而且病毒库也会变成一个“紧凑”数据库

第二种 --> 代{过}{滤}理检验

① FG在此模式下扫描则先会缓存整个文件，在检测到该文件传输完毕后才进行反病毒扫描，如果该文件大于缓冲区大小可疑设置为通过或阻断；如果检测到病毒，则会立即阻断；如果未检测到病毒，才会将该文件传输至客户端，这将导致很大的感知延迟，而且可能导致客户端连接超时而中断。

(1.1.3) --> 反病毒的其他配置*

例如：

与FortiSandbox联动

扫描此局域网内是否有连接到僵尸网络的主机并阻断

<此配置默认在WAN口>

BE_HC

(1.1.4) --> 反病毒精细化控制

我们可以在CLI控制台中去设置

设置缓冲区大小（每个协议单独设置）

设置启发扫描

设置隔离区

1.2 --> 入侵防御

说到IPS，我就想到。。。我拿Symantec的IPS来对比下就知道飞塔对IPS不是很用心了

<每次测毒网只有Norton的IPS弹窗不见FG的IPS发飙>

下图为Web配置下"入侵防护"的特征 <截止2019.2.1号特征量总共12123条>

下图为Norton IPS特征量

我们可以在 [菜单] --> [系统管理] --> [FortiGuard]中使用扩展的IPS签名( 也救不了我 )

此处IPS过滤要注意顺序

IPS引擎首先对列表顶部的过滤器进行评估，如果匹配，则引擎跳过后续的过滤器中包含前过滤器所匹配的内容

注意事项：

①避免使用太多的过滤器，因为这增加了CPU的使用。

②避免在每个过滤器中创建非常大的签名组，从而增加RAM的使用。

以下为IPS在CLI控制台中的配置

IPS附加 --> DoS策略

在FortiOS5.6中<不同系统有略微差异,FOS5.6这里没翻译>

我们在[菜单] --> [系统管理] --> [Feature Visibility]中可以找到然后启动 ( 默认关闭 )

在这里只简单介绍下"威胁名"一列的类型

(英文系统"用户名"这一列为"Name")

① Flood --> 检测到大量同类型的流量

② Sweep/Scan --> 探测类型

③ SRC ( Source ) --> 在单个IP中检测到大量流量

④ DST ( Destination ) --> 单个IP发送大量流量

BE_HC

1.3 --> 应用控制

使用“应用控制”很简单，在【菜单】的【安全配置文件中】找到“应用控制”

如果你想只控制一个在飞塔应用签名中已有程序，则应该使用“应用重写”
如果你想控制一类在飞塔应用签名中已有程序，这应该使用“过滤覆盖”

其扫描是基于IPS引擎的，所以优先顺序跟IPS是一样的


1.3.1 --> 在这里我演示我想阻止windows自动更新







1.4 --> Web过滤及DNS过滤
这两种功能跟反病毒一样可以是基于流或者代{过}{滤}理模式，其效果与反病毒的类似

另外FG在开启这两个功能的一种是会同时开启SSL检测
让FG可以拦截使用https的网址

下图为拦截2345网站经过https传输


不同的方式检测会有不同的界面：
①代{过}{滤}理：如图所示

②基于流且基于配置文件的检测模式：允许，阻断，监视器

③基于流且基于策略的：按防火墙策略中定义来操作



Web过滤如果没有授权的话，且策略选的是“阻断”或与此类似的动作，则默认阻止
(Tip:如果很想用飞塔的Web过滤但是FG没授权的话,可以用FortiClient上的Web过滤,效果相同)


至于DNS过滤嘛。。。我相信大家都很熟悉

BE_HC

<FortiSandbox篇>
2.1 --> 摘要飞塔的沙盒是为应对在网络防护和端点防护都无法检测到的未知威胁下设计

其可以与许多飞塔其他设备互相联动，例如：FortiGate，FortiWeb，FortiClient等


在沙盒中分析后被评为“Risk”的文件会直接提交到FortiGuard再进行分析，以此来减少误报，FortiGuard也会不断更新FSA的评定标准来提高检测率


<如图为我司在AWS上购置的FortiSandbox>


2.2 --> FSA联动详解
【这里的缓存联动指的是FSA Sandbox检测时的缓存，AV Scan默认都是实时的（只要网络正常）】

如下图所示
你可以选择自己的FSA为“收集器”或者“mi-guan（贡献者）”，从而为整个飞塔体系作出微小的贡献（很惭愧）

如图为“mi-guan（贡献者）”的配置，无云端下发的缓存联动



选择收集器的话也不会有什么变化，但是有云端下发的缓存联动


2.2.1 --> FSA与FortiClient联动
每天FSA所收集到的样本会自动打包成MD5后下发到FortiClient
（变一变就凉了。。。）







2.2.2 --> FSA收集方式

如图所示为最普通的在企业内部收集


此为较复杂的总部与分部的联动 ( 其实并不是很复杂... )

<如图为飞塔官方的举例>



2.3 --> FSA分析文件途径或URL途径

HUAWEI-FireHunter与FortiSandbox提交文件对比


<下图为HUAWEI-FireHunter>


<下图为FortiSandbox>


我们有两种办法：

2.3.1 --> 直接提交


然后出结果





2.3.2 --> 通过FortiClient提交

样本来源于
https://bbs.kafan.cn/thread-2142175-1-1.html

在FortiClient中设置好FSA的IP地址

找到你想提交并分析的文件


沙箱处理好后会返回结果给FortiClient，FortiClient按照本地设置进行“隔离”或“警告”


可以在FSA的日记中找到，但是此方法的是按照【“静态扫描”-->“反病毒扫描”-->“云端判定”-->“沙盒测试”】的过程运行，很可能没有详细的报告




（可以看看这贴的6楼FortiClient With FortiSandbox的结果）

https://bbs.kafan.cn/thread-2142172-1-1.html

2.3.3 --> 提交URL网址或HTML文件
FSA也可以用来分析可疑的URL，但个人觉得这个还不成熟。。。







2.4 --> 虚拟机分析文件选择及相关功能


2.4.1 --> 可以使用多种虚拟机来分别执行相应的文件分析任务

如图默认使用win7x86来执行exe的分析任务，每个FSA可同时使用的VM取决于硬件条件



2.4.2 -->FSA分析可疑文件时的功能(只在手动提交下)


我们在这里演示录像这个功能

下面的样本分析录像出自

https://bbs.kafan.cn/thread-2142238-1-1.html

"Samp(4)"  ( 可以很明显看出来样本在虚拟机内不能很好地运行 )

xiaofeizei

对沙盒比较感兴趣，多写点

BE_HC

FortiAP 无线安全

FG自带一个强大的流量分析系统——FortiView



每一个设备在访问什么都看的清清楚楚
( 想要FG有这种FortiView需要本地存储日记或者FortiAnalyzer )




至于FortiAP嘛，带了WIDS这种黑科技，连“KRACK”这种级别的漏洞也可以起到缓解的作用
下图可以使接入此Ap的客户端在本网内互相隔离（彼此不能访问但能访问外网）可以提高一定的安全性

Miostartos

魔力象限应证了我的判断。
cheak point/飞塔/cisco的网络方面独步天下
但是这三家的杀毒都挺那啥。（OEM卡巴的CP，没沙盒联动就只有入库的飞塔和同样全靠云沙盒的思科——玩下immunt就知道了）

con16

這家就專門賣服務
買他家路由和防火牆還要買授權
過期韌體或是有防毒更能的就不能更新

BE_HC

STCn1000 发表于 2019-2-1 16:54
魔力象限应证了我的判断。
cheak point/飞塔/cisco的网络方面独步天下
但是这三家的杀毒都挺那啥。（OEM ...

FortiClient现在让我的感觉就一扫描器。。

然后飞塔和铁壳py成功惹（火星一下）