FortiGate及FortiSandbox简单介绍

BE_HC

前言

(1)Q:FortiGate是什么能吃吗?

A:你可以试试嘴啃金属

(2)Q:我有FortiGate是不是就可以让FortiClient使用FortiSandbox的签名了?

A:并不行,但是FortiGate自己可以使用免费（或者付费）的FortiSandboxCloud;FortiGate只能管理FortiClient

(3)Q:FortiSandbox是不是类似于Sandboxie或者COMODO的沙盒?

A:飞塔的沙盒类似于魔盾或者微步,跟上述两者相差胜远;但其评定机制与COMODO的沙盒如出一辙

(4)Q:我没有FortiGuard升级的Lisences能不能升级?

A:见附件(只更新一次也就是此文章发布日期最新的离线升级包)

(5)Q:我可不可以连你的FortiSandbox?

A:不可以

(6)Q:为什么我的FortiClient不能连接到FortiGate?

A:检查防火墙是否启动”终端控制”这一功能,是否启动端口的[FortiTelemetry],本机与FortiGate是否联通

简目:

在本帖中，我们将初步了解FortiGate有关的安全设置及FortiSandbox分析样本的方式

• 第一章 <FortiGate篇>
  

------1.1 反病毒

------▶1.1.1 反病毒库

------▶1.1.2 反病毒扫描方式

------▶1.1.3 反病毒的其他配置*

------▶1.1.4 反病毒精细化控制

------1.2 入侵防御

------▶1.2.1 DoS策略*

------1.3 应用控制
------▶1.3.1 演示禁用windows自动更新

------1.4 Web过滤及DNS过滤

• 第二章 <FortiSandbox篇>
  

------2.1 摘要

------2.2 FSA联动详解
------▶2.2.1 FSA与FortiClient联动
------▶2.2.2 FSA收集方式*


------2.3 FSA分析文件途径或URL途径
------▶2.3.1 直接提交
------▶2.3.2 通过FortiClient提交
------▶2.3.3 提交URL网址或HTML文件

------2.4 虚拟机分析文件选择及相关功能
------▶2.4.1 使用虚拟机来分别执行相应的文件分析任务
------▶2.4.2 FSA分析可疑文件时的功能


近期比较忙，相关更新可能延迟（咕咕咕）

BE_HC

小幅更新了下

BE_HC

简单介绍飞塔在防火墙的地位：

Magic Quadrant for Enterprise Network Firewalls
Published 4 October 2018 - ID G00337968

NSS-LABS-2018-NG{过}F{滤}W-Comparative-Report-Security

FG和FSA分别属于Fortinet Security Fabric框架中的网络安全和高级威胁保护（ATP）

<比较老的一张概念图>

详情

https://www.fortinet.com/solutions/enterprise-midsize-business/security-fabric.html

飞塔搞得这个体系主要为的是自动化,集中化....(简单来说就是懒)
而且对于第三方的安全软件也是兼容的


<如图为SEP在FSF框架中>



前情提示：以下所有功能要实际应用应在
【菜单】 --> 【策略&对象】-->【IPv4/IPv6策略】中你想开启的相对应的策略里的“安全配置文件”中打开





前情提示2：想要获得最新的防护的话是要升级的，飞塔的授权可不便宜

<价格可参考下图>


你可以用我发的离线升级包进行一次升级

<FortiGate篇>

1.1 --> 反病毒

(1.1.1) --> 反病毒库

FG最重要的也是各位可能比较看中的就是反病毒了（ IPS漏报的情况下反病毒引擎还可以拉一把 ）

而FG的反病毒数据库跟FC一样分许多种类型

Normal    -->包括最近常见的攻击,并且在所有型号中通用

Extended -->在Normal的基础上加入最近非活性的病毒

Extreme   -->在Extended的基础上加入休眠的病毒

<下图为CLI控制台配置反病毒库>

<如图是我家的FG只能设置到Extended，根据官网信息要特定型号的FG才能用Extreme>

<下图为Web下配置反病毒>

<Tip:这是我在防火墙中的截图，如图所示的情景只能在基于代 理的检测下出现>

(1.1.2) --> 反病毒扫描方式

FG反病毒有两种工作方式

第一种 --> 基于流的检测

<下图为基于流检测下的反病毒配置文件>

特点:

①流检查模式较代{过}{滤}理模式扫描会快很多，但是消耗更多的CPU资源

②FG在此模式下扫描文件时会缓存整个文件同时把文件传输给客户端，但是大于缓冲区大小的文件不会被扫描

③如果检测到病毒，(FG会将链接重置)，客户端（再次）尝试下载时会被阻断

<Tip:”()”内的情况只出现在病毒特征不在第一个数据包内，即表明若病毒特征在第一个数据包之后，则会有不完整的（或者说被截断）文件保存在客户端上>

④可以选择快速扫描模式，相比全部扫描模式不能使用一些高级功能（例如：提交可疑文件至FSA），而且病毒库也会变成一个“紧凑”数据库

第二种 --> 代{过}{滤}理检验

① FG在此模式下扫描则先会缓存整个文件，在检测到该文件传输完毕后才进行反病毒扫描，如果该文件大于缓冲区大小可疑设置为通过或阻断；如果检测到病毒，则会立即阻断；如果未检测到病毒，才会将该文件传输至客户端，这将导致很大的感知延迟，而且可能导致客户端连接超时而中断。

(1.1.3) --> 反病毒的其他配置*

例如：

与FortiSandbox联动

扫描此局域网内是否有连接到僵尸网络的主机并阻断

<此配置默认在WAN口>

BE_HC

(1.1.4) --> 反病毒精细化控制

我们可以在CLI控制台中去设置

设置缓冲区大小（每个协议单独设置）

设置启发扫描

设置隔离区

1.2 --> 入侵防御

说到IPS，我就想到。。。我拿Symantec的IPS来对比下就知道飞塔对IPS不是很用心了

<每次测毒网只有Norton的IPS弹窗不见FG的IPS发飙>

下图为Web配置下"入侵防护"的特征 <截止2019.2.1号特征量总共12123条>

下图为Norton IPS特征量

我们可以在 [菜单] --> [系统管理] --> [FortiGuard]中使用扩展的IPS签名( 也救不了我 )

此处IPS过滤要注意顺序

IPS引擎首先对列表顶部的过滤器进行评估，如果匹配，则引擎跳过后续的过滤器中包含前过滤器所匹配的内容

注意事项：

①避免使用太多的过滤器，因为这增加了CPU的使用。

②避免在每个过滤器中创建非常大的签名组，从而增加RAM的使用。

以下为IPS在CLI控制台中的配置

IPS附加 --> DoS策略

在FortiOS5.6中<不同系统有略微差异,FOS5.6这里没翻译>

我们在[菜单] --> [系统管理] --> [Feature Visibility]中可以找到然后启动 ( 默认关闭 )

在这里只简单介绍下"威胁名"一列的类型

(英文系统"用户名"这一列为"Name")

① Flood --> 检测到大量同类型的流量

② Sweep/Scan --> 探测类型

③ SRC ( Source ) --> 在单个IP中检测到大量流量

④ DST ( Destination ) --> 单个IP发送大量流量

BE_HC

1.3 --> 应用控制

使用“应用控制”很简单，在【菜单】的【安全配置文件中】找到“应用控制”

如果你想只控制一个在飞塔应用签名中已有程序，则应该使用“应用重写”
如果你想控制一类在飞塔应用签名中已有程序，这应该使用“过滤覆盖”

其扫描是基于IPS引擎的，所以优先顺序跟IPS是一样的


1.3.1 --> 在这里我演示我想阻止windows自动更新







1.4 --> Web过滤及DNS过滤
这两种功能跟反病毒一样可以是基于流或者代{过}{滤}理模式，其效果与反病毒的类似

另外FG在开启这两个功能的一种是会同时开启SSL检测
让FG可以拦截使用https的网址

下图为拦截2345网站经过https传输


不同的方式检测会有不同的界面：
①代{过}{滤}理：如图所示

②基于流且基于配置文件的检测模式：允许，阻断，监视器

③基于流且基于策略的：按防火墙策略中定义来操作



Web过滤如果没有授权的话，且策略选的是“阻断”或与此类似的动作，则默认阻止
(Tip:如果很想用飞塔的Web过滤但是FG没授权的话,可以用FortiClient上的Web过滤,效果相同)


至于DNS过滤嘛。。。我相信大家都很熟悉

BE_HC

<FortiSandbox篇>
2.1 --> 摘要飞塔的沙盒是为应对在网络防护和端点防护都无法检测到的未知威胁下设计

其可以与许多飞塔其他设备互相联动，例如：FortiGate，FortiWeb，FortiClient等


在沙盒中分析后被评为“Risk”的文件会直接提交到FortiGuard再进行分析，以此来减少误报，FortiGuard也会不断更新FSA的评定标准来提高检测率


<如图为我司在AWS上购置的FortiSandbox>


2.2 --> FSA联动详解
【这里的缓存联动指的是FSA Sandbox检测时的缓存，AV Scan默认都是实时的（只要网络正常）】

如下图所示
你可以选择自己的FSA为“收集器”或者“mi-guan（贡献者）”，从而为整个飞塔体系作出微小的贡献（很惭愧）

如图为“mi-guan（贡献者）”的配置，无云端下发的缓存联动



选择收集器的话也不会有什么变化，但是有云端下发的缓存联动


2.2.1 --> FSA与FortiClient联动
每天FSA所收集到的样本会自动打包成MD5后下发到FortiClient
（变一变就凉了。。。）







2.2.2 --> FSA收集方式

如图所示为最普通的在企业内部收集


此为较复杂的总部与分部的联动 ( 其实并不是很复杂... )

<如图为飞塔官方的举例>



2.3 --> FSA分析文件途径或URL途径

HUAWEI-FireHunter与FortiSandbox提交文件对比


<下图为HUAWEI-FireHunter>


<下图为FortiSandbox>


我们有两种办法：

2.3.1 --> 直接提交


然后出结果





2.3.2 --> 通过FortiClient提交

样本来源于
https://bbs.kafan.cn/thread-2142175-1-1.html

在FortiClient中设置好FSA的IP地址

找到你想提交并分析的文件


沙箱处理好后会返回结果给FortiClient，FortiClient按照本地设置进行“隔离”或“警告”


可以在FSA的日记中找到，但是此方法的是按照【“静态扫描”-->“反病毒扫描”-->“云端判定”-->“沙盒测试”】的过程运行，很可能没有详细的报告




（可以看看这贴的6楼FortiClient With FortiSandbox的结果）

https://bbs.kafan.cn/thread-2142172-1-1.html

2.3.3 --> 提交URL网址或HTML文件
FSA也可以用来分析可疑的URL，但个人觉得这个还不成熟。。。







2.4 --> 虚拟机分析文件选择及相关功能


2.4.1 --> 可以使用多种虚拟机来分别执行相应的文件分析任务

如图默认使用win7x86来执行exe的分析任务，每个FSA可同时使用的VM取决于硬件条件



2.4.2 -->FSA分析可疑文件时的功能(只在手动提交下)


我们在这里演示录像这个功能

下面的样本分析录像出自

https://bbs.kafan.cn/thread-2142238-1-1.html

"Samp(4)"  ( 可以很明显看出来样本在虚拟机内不能很好地运行 )

xiaofeizei

对沙盒比较感兴趣，多写点

BE_HC

FortiAP 无线安全

FG自带一个强大的流量分析系统——FortiView



每一个设备在访问什么都看的清清楚楚
( 想要FG有这种FortiView需要本地存储日记或者FortiAnalyzer )




至于FortiAP嘛，带了WIDS这种黑科技，连“KRACK”这种级别的漏洞也可以起到缓解的作用
下图可以使接入此Ap的客户端在本网内互相隔离（彼此不能访问但能访问外网）可以提高一定的安全性

Miostartos

魔力象限应证了我的判断。
cheak point/飞塔/cisco的网络方面独步天下
但是这三家的杀毒都挺那啥。（OEM卡巴的CP，没沙盒联动就只有入库的飞塔和同样全靠云沙盒的思科——玩下immunt就知道了）

con16

這家就專門賣服務
買他家路由和防火牆還要買授權
過期韌體或是有防毒更能的就不能更新

BE_HC

STCn1000 发表于 2019-2-1 16:54
魔力象限应证了我的判断。
cheak point/飞塔/cisco的网络方面独步天下
但是这三家的杀毒都挺那啥。（OEM ...

FortiClient现在让我的感觉就一扫描器。。

然后飞塔和铁壳py成功惹（火星一下）

Miostartos

BE_HC 发表于 2019-2-1 17:07
FortiClient现在让我的感觉就一扫描器。。

然后飞塔和铁壳py成功惹（火星一下）

新闻刚出就看到了
（刚好跑去看铁壳博客

liumailong

IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。


只是家用怕是价格会上天。

BE_HC

liumailong 发表于 2019-2-1 20:21
IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。

我猜你大概想说的是Norton Core一类的，没记错趋势也有类似的东西

liumailong

BE_HC 发表于 2019-2-1 21:04
我猜你大概想说的是Norton Core一类的，没记错趋势也有类似的东西

铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件，效率和效果都不行。


我理想中的 内网或者说家庭 安防是分四级

网关：提供传统防火墙，链接控制、加密流量扫描、及其它审计。
安全服务器：提供文件深入分析，及其他服务。
终端：就是内网的各个设备，主要是搞内部程序权限控制、执行策略。
安全管理中心：管理其他安全模块、分发策略

网关
主要是对流量进行扫描以识别特征，对实时性要求很高。
性能可用专用硬件解决，加密流量可用中间人证书。
专用硬件：正则引擎、哈希引擎、加密引擎。
这些都很成熟，就看价格了。

安全服务器
主要是为内网设备提供文件扫描服务。
由于文件扫描分析非常消耗性能，传统杀软漏报主要原因就是这个。
使用专用高性能服务器后，启发呀、沙盘呀，什么都来一遍。
这样漏报的概率就很低了。
对于家庭用户，由于扫描量不大，可以提供其他服务，比如文件备份什么的。


终端
做好内控就行，多数设备其实不需要安全软件。
由于PC的复杂性，装个轻量级的安全软件就行了。
该软件主要是执行管理中心的策略。

安全管理中心
主要是管理其他设备，提供报告
唯一能访问其他安全组件的设备。
其实智能的制定策略，提供报告也是很消耗性能的。
特别是在未来必然要引入AI技术。
最好是专用设备，家庭用户可安装在安全服用器上。

另外基于可控性及最小攻击面原则。
全部安全组件最好不要有外部连接。
只有专门且唯一的组件，可以连接安全服务商。



这是我几年前的设想了
飞塔估计就是走的这条路。

BE_HC

liumailong 发表于 2019-2-2 16:25
铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件，效率和效果都不行。

网络安全 --> FortiGate专用处理器概念好久之前就有了






高级威胁保护 --> FortiSandbox
沙盒2014年就已经提出(Gartner的10大安全技术)




端点防护 --> Symantec Endpoint Protection
FC一直不怎么样,扫描器的话还是不错的
然鹅飞塔和铁壳搞一起了,那么...



管理和分析 --> FortiManager

自动化批量维护和配置策略而且还有日记



统一的概念从传统防火墙开始被抛弃的时候就已经有了
飞塔现在搞得是Security Fabric

liumailong

BE_HC 发表于 2019-2-2 17:25
网络安全 --> FortiGate专用处理器概念好久之前就有了

楼主，来这一套要多少刀。
让咱这无产阶级开开眼。

BE_HC

liumailong 发表于 2019-2-2 19:48
楼主，来这一套要多少刀。
让咱这无产阶级开开眼。

这种东西本来就不是为家用设计的，像Norton Core那种就是为家用设计的；而且Norton Core可不是传统防火墙惹，多少也是个UTM，人家铁壳的IPS特征和反病毒可是甩飞塔好几条街的

liumailong

BE_HC 发表于 2019-2-2 19:53
这种东西本来就不是为家用设计的，像Norton Core那种就是为家用设计的；而且Norton Core可不是传统防火墙 ...

这东西一个加密链接就废了。
现在免费Web证书大行其道，光这就判了死刑。

哪怕没加密，没硬件加速帮助，铁壳的特征码在强也来不及扫。

BE_HC

liumailong 发表于 2019-2-2 20:00
这东西一个加密链接就废了。
现在免费Web证书大行其道，光这就判了死刑。

Norton Core可以扫加密流量的说，别忘记铁壳还做SSL惹

硬件也是强大，堆到1G RAM惹
怎么说跟飞塔60D以下的性能应该差不多，而且防护功能默认全开
在amazon看到的评测说下载在防护全开的时候大概100Mbps~70Mbps左右

下图是FG-60D，全开的话。。惨不忍睹

liumailong

BE_HC 发表于 2019-2-2 20:15
Norton Core可以扫加密流量的说，别忘记铁壳还做SSL惹

硬件也是强大，堆到1G RAM惹

我看这东西的测评时没说Https问题呀。
如果扫描了加密连接，那证书问题怎么解决？
难道铁壳给每个Norton Core 都签发了中间人证书吗？

性能问题你可能没搞清楚。
瓶颈不是在内存，而是在SoC上。
在硬件NAT加速的帮助下，不启用任何其他功能。
跑满有线加Wifi CPU占用基本都要过 30%了
如果启用一些最简单的防火墙功能，硬件NAT就会失效。
这时连流量都跑不满了，更别说搞扫描了。
双核骁龙只是个WiFi芯片，毕竟不是专业防火墙芯片。