飞塔防火墙的Web过滤

格式：ppt
大小：269.50 KB
文档页数：18

下载文档原格式

飞塔防火墙的Web过滤

Web过滤
Course 301
FortiGuard Web过滤——使用的端口
• 端口user->server: 8008 re-directed:1004 http 1005 https override-auth-port: 8008 Update：53 or 8888
FortiGuard网址重新分类
www.*com 表示
▪ * 表示所有网站即Host + URI ▪ .*\ 表示下的所有链接文件
▪ .*\.zip ▪ .*\.swf flash文件 ▪ .*\.gif gif文件 ▪ .*\.jpg jpg文件 ▪ .*\.png png图形文件 ▪ .*\.js JavaScript文件
正则表达式——重复的设置方式
代码/语法 * + ? {n} {n,} {n,m}
说明重复零次或更多次重复一次或更多次重复零次或一次重复n次重复n次或更多次重复n到m次
下面是一些使用重复的例子： Windows\d+匹配Windows后面跟1个或更多数字 ^\w+匹配一行的第一个单词(或整个字符串的第一个单词，具体匹配哪个意思得看选项设置)
FortiGuard网址过滤扩展选项
• 通过域和IP地址来判断网址分类
▪ 启动该功能项，将选项将被请求的网站的URL与IP地址进行检查，对试图绕过FortiGuard系统的其他安全隐患进行防护。但是，因为IP过滤不能如同URL过滤更新那么快，可能会导致一些误分类。。
• 屏蔽经过分类重新定向的HTTP
▪ IP
用户IP地址的任何用户
▪ 内容表用户组中任何配置了具体保护内容项的用户，配置此项后防火墙策略中不再需要选择认证

飞塔防火墙组策略操作设定说明书

DUT_Beta4_0 # sho firewall policy config firewall policy edit 1 set srcintf "port5" set dstintf "port6" set srcaddr "VM11" set dstaddr "VM5" set action accept set schedule "always" set service "ANY" set traffic-shaper "limit_GB_25_MB_50_LQ" next end
• Diagnose
AMC 诊断工具
SSL内容扫描与监测
两种模式可以选 • URL Filtering （URL过滤） • to limit HTTPS content filtering to URL filtering • only. Select this option if all you wan t to do is apply URL web • filtering to HTTPS traffic. If you select this option you cannot • select any Anti-Virus options for HTTPS. Under Web Filtering • you can select only Web URL Filter and Block Invalid URLs • for HTTPS. Selecting this option also limits the FortiGuard • Web Filtering options that you can select for HTTPS. • Deep Scan (深度扫描) • to decrypt HTTPS • traffic and perform additional scanning of the content of the • HTTPS traffic. Select this option if you want to apply all • applicable protection profile options to HTTPS traffic. Using • this option requires adding HTTPS server certificates to the • FortiGate unit so that HTTPS traffic can be unencrypted.

飞塔硬件防火墙FGT30-100

FortiGate® -30-100 系列适合中小企业和远程办公 Datasheet 技术规格全面的网络和内容层安全解决方案企业内的混合式攻击网络安全攻击会造成企业商务的崩溃。

知识资产、收益、客户和企业信息以及其他的重要的关键资源都是攻击的目标。

随着大企业强化了网络安全，攻击的主要目标转向中小企业。

SOHO类的企业往往缺乏专业的人才和强大的体系来防御这些高精尖的攻击，同样远程和分支机构(ROBO)也普遍缺乏经验处理复杂的安全问题。

单一功能的安全产品不足以防御采用了多种手段的混合式攻击。

Fortinet公司的FortiGate系列产品把多种安全功能集成在一个平台上，能够有效地防御应用类的基于网络的攻击。

高性价比的网络安全平台FortiGate 安全平台是基于Fortinet公司的FortiASIC™ 内容处理器技术提供的一整套综合性实时安全解决方案。

涵盖了防火墙、IPSec和SSL VPN、入侵检测防御、Web内容过滤、反垃圾邮件、防病毒、反间谍件、IM和P2P 控制、DLP数据弱点管理、广域网优化以及集成的流量管理功能。

FortiGate能在保证很高的网络性能情况下提供综合安全功能，为当前的企业用户和分支办公室提供了最高性价比的安全防御平台。

全系列产品都可以实现HA功能。

它可以支持透明模式和路由模式，部分型号硬件支持交换接口和Modem接口，集成了WiFi功能和预留了支持3G/UMTS Modem的PC卡插槽。

此外，Fortinet采用的是基于设备的许可证方式，对于SOHO和ROBO企业而言，是经济有效的。

特点和益处中小企业所面临着最主要的安全问题是，如何利用有限的资源处理复杂的网络和内容层的攻击。

多合一的UTM产品能够在更高的性价比上实现多层的防御体系。

不同厂家提供的单一功能的解决方案往往过于昂贵和复杂UTM安全解决方案提供了全套的防御体系，实现单一的管理界面WiFi技术往往带来了内部攻击的危险内置的WiFi无线技术实现了在无线的层面上的安全防御SOX和PCI条例要求更为强大的日志和报表UTM能够提供多种功能，其日志和报表功能尤为丰富。

FortiGate飞塔中文v4.3技术培训文档-全文 all in one

、配置网络的IP地址
• 按照实验拓扑连接网线 • 设置WAN1接口自动获得IP和网关 • 设置内网接口IP为 10.0.X.254/24 • 修改主机的IP地址为 10.0.X.1/24网关为 10.0.X.254 • 设置DMZ接口的IP地址为192.168.3.(100+X)
实验六，定制界面
1、定制一个显示Internal、WAN的流量分配图的界面 2、图形界面上显示IPv6的配置
2011/7/6
创建防火墙策略的原则
• 策略是按照进出流量的接口部署的
防火墙策略
Course 201 v4.3
• 流量如果没有匹配的防火墙策略的话，是不能穿过设备的 • 正确理解状态检测，防火墙的策略应以数据流的发起方来判断建立的方向也就是说，当需要内部网访问外部网时，只需要建立一个从 Internal到wan1的允许策略即可
• • • • •
其他接口的IP有或没有缺省路由：192.168.100.1 DNS设置为Fortinet原始设置时区: GMT-8 FortiGate 100A型号以下具有
有一个缺省NAT防火墙策略，从“internal to external”允许所有流量在internal接口上启用了DHCP服务器
• 配置的命令
• • config edit next end exit abort
branch
要查看能够使用的命令，请用 “?” 补全命令的输入请用<tab>
table
parameter
熟悉命令行（3）——config
• 可以进行设置 • 设置wan2的IP:
Fortigate-60 # config system interface (interface)# edit wan2 (wan2)# set ip 192.177.11.12 255.255.255.248 (wan2)# end Fortigate-60 #

飞塔配置安装使用手册

飞塔配置安装使用手册FortiGuard产品家族fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。

更多fortinet产品信息，详见/products.FortiGuard服务订制fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。

fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。

fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。

fortiguard 服务订制包括：1、fortiguard 反病毒服务2、fortiguard 入侵防护（ips）服务3、fortiguard 网页过滤服务4、fortiguard 垃圾邮件过滤服务5、fortiguard premier伙伴服务并可获得在线病毒扫描与病毒信息查看服务。

FortiClientforticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。

forticlient的功能包括：1、建立与远程网络的vpn连接2、病毒实时防护3、防止修改windows注册表4、病毒扫描forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。

FortiMailfortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。

fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。

在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。

飞塔使用正则表达式Web过滤设置白名单

飞塔使用正则表达式Web过滤设置白名单
(2011-07-17 12:43:00)
转载▼
分类：Fortigate防火墙
标签：
防火墙
fortigate
正则表达式
web
过滤
设置
白名单
it
此次配置为FG200B 系统软件版本为v4.0,build0313,110301 (MR2 Patch 4)
本次配置目的为只允许内网访问特定的几个网站，可能财务部门会用到此类过滤，如只开放银行类和报税类网站。

首先展开UTM→Web过滤器→网址过滤
新建名为白名单的内容：
其中创建新的URL地址如下：
此处用的是正则表达式，“.*\”意思为包括以及以下的所有链接。

“.*.”基本可以视为所有网站了。

此处一定要将放行的策略放在最上面，和防火墙策略中的配置意思一样，策略优先级是从上至下的顺序。

接下来依次展开UTM→Web过滤器→Profile：
新建名为白名单，并在Web URL过滤器的选项中选择我们刚才建立的白名单：
最后应用到策略中，开启UTM选项：
最后我们来看看测试结果：
如果想替换以上提示信息请在配置→替换信息：
展开HTTP，编辑其中的URL屏蔽信息即可：。

FORTINET FortiOS 升级手册

本手册中所包含的任何文字、例子、图表和插图，未经美国飞塔有限公司的许可，不得因任何用途以电子、机械、人工、光学或其它任何手段翻印、传播或发布。

注册商标动态威胁防御系统（DTPS）, APSecure, FortiASIC, FortiBIOS, FortiBridge, FortiClient, FortiGate,FortiGate统一威胁管理系统, FortiGuard, FortiGuard-Antispam, FortiGuard-Antivirus, FortiGuard-Intrusion, FortiGuard-Web, FortiLog, FortiManager, Fortinet, FortiOS, FortiPartner, FortiProtect, FortiReporter, FortiResponse, FortiShield, FortiVoIP和FortiWiFi均是飞塔有限公司的注册商标（包括在美国和在其他国家的飞塔有限公司）。

本手册中提及的公司和产品由他们各自的所有者拥有其商标或注册商标。

服从规范FCC Class A Part 15 CSA/CUS注意：如果您安装的电池型号有误，可能会导致爆炸。

请根据使用说明中的规定处理废旧电池。

目录目录 (1)介绍 (9)Fortinet公司技术文档 (9)技术文档CD (9)Fortinet 知识库 (9)Fortinet 技术文档的建议与意见 (10)客户服务与技术支持 (10)设备注册 (10)升级说明 (11)配置文件备份 (11)安装向导 (11)FortiLog设备名称的更改 (11)LCD显示信息更改 (11)基于web管理器更改 (12)基于web管理器的功能变化 (13)CLI命令的更改 (13)FortiUSB支持 (13)公知信息 (14)系统设置 (14)防火墙 (15)高可用性（HA） (16)反病毒 (17)反垃圾邮件 (17)VPN (17)即时消息通信 (18)P2P (19)网页过滤 (19)FortiFuard web过滤 (19)虚拟域 (20)日志与报告 (20)新增功能与功能的更改 (21)系统设置 (21)状态 (21)会话 (22)网络 (22)配置 (22)管理员 (22)维护 (22)虚拟域 (24)路由表 (25)静态路由 (25)动态路由 (25)监控器 (25)防火墙 (26)策略 (26)地址 (26)服务 (26)虚拟IP (26)内容包括列表 (26)VPN (26)IPSec (27)SSL (27)证书 (27)用户 (27)LDAP (28)Windows AD (28)用户组 (28)反病毒防护 (28)文件模式 (28)隔离 (28)配置 (29)入侵防护（IPS） (29)特征 (29)异常 (29)协议解码器 (29)Web过滤 (30)内容屏蔽 (30)URL过滤 (30)Web过滤 (30)反垃圾邮件（之前名为“垃圾邮件过滤”） (31)禁忌词汇 (31)黑/白名单 (31)IM/P2P (32)统计表 (32)用户 (32)日志与报告 (32)日志配置 (33)日志访问 (33)报告 (34)HA (34)升级HA群集 (34)SNMP MIB与陷阱 (35)SNMP陷阱 (35)MIB文件名称 (35)FortiOS 3.0 MR2 (36)升级说明 (36)LCD显示更改 (36)FortiGuard状态显示图标 (37)FortiUSB支持 (37)新增功能与功能的更改 (37)系统设置 (37)路由 (38)防火墙 (39)VPN (40)用户 (40)Web过滤 (40)日志与报告 (40)报告配置 (41)报告访问 (41)HA (41)SNMP MIB与陷阱更改 (41)公知信息 (41)基于web的管理器 (41)系统设置 (42)系统设置（FortiWiFi-60A/AM） (42)防火墙 (43)高可用性（HA） (43)VPN (43)即时信息与P2P (44)IPS (44)Web过滤 (44)虚拟域 (44)反垃圾邮件 (45)日志与报告 (45)FortiOS 3.0MR3 (45)新增功能与更改的功能 (46)FortiOS3.0MR3中CLI操作的更改 (46)系统设置 (46)CLI控制台 (48)在FortiOS 3.0MR3中创建列表 (50)FortiGate-5050与FortiGate-5140设备的机架管理 (50)防火墙 (50)策略 (51)内容保护列表 (52)FortiClient检测防火墙策略 (52)RADIUS (52)VPN (53)SSL-VPN (53)反垃圾邮件 (54)IM/P2P (54)日志与报告 (54)内容存档 (54)HA (54)公知信息 (55)基于web的管理器 (55)虚拟域 (55)路由 (55)防火墙 (55)即时消息 (56)P2P (57)IPS (57)日志与报告 (57)解决方法 (58)FortiOS 3.0MR4 (59)新增功能与功能更改 (59)系统设置 (59)网络接口 (60)访问控制列表 (61)拓扑结构 (61)多个DHCP服务器的IP-MAC绑定 (63)硬盘健康状态监控（HDD） (63)命令行接口 (63)FortiGuard-web过滤与反垃圾邮件服务 (63)VDOM (64)路由 (64)防火墙 (64)策略 (65)VPN (65)入侵防护 (66)Web过滤 (67)IM、P2P与V oIP (67)日志与报告 (67)报告配置 (68)高可用性（HA） (68)公知信息 (69)基于web的管理器 (69)系统设置 (69)虚拟域 (69)高可用性（HA） (70)防火墙 (70)VPN (70)IPS (71)Web过滤 (71)即时消息（IM） (71)P2P (72)日志与报告 (72)更改固件版本 (73)备份配置 (73)使用基于web的管理器备份配置 (73)使用CLI备份配置文件 (74)升级FortiGate设备 (74)升级到FortiOS3.0 (74)使用基于web的管理器升级 (74)使用CLI升级 (75)校验升级 (76)返回到FortiOS2.80MR11 (76)备份FortiOS3.0配置 (76)将配置备份到PC (76)备份到FortiUSB Key (76)使用基于web的管理器恢复到FortiOS2.80MR11 (77)使用基于web的管理器恢复到FortiOS2.80MR11 (77)校验恢复 (78)使用CLI恢复到FortiOS2.80MR11 (78)使用CLI恢复到FortiOS2.80MR11 (78)恢复配置 (79)使用基于web的管理器恢复配置设置 (79)从FortiOS3.0MR1升级到FortiOS3.0MR2 (80)备份配置 (80)使用基于web的管理器备份当前配置 (80)使用CLI备份当前配置 (80)使用FortiUSB Key备份当前配置文件 (80)升级到FortiOS3.0MR2 (81)使用基于web的管理器升级 (81)使用CLI升级 (81)恢复到FortiOS3.0MR1 (82)备份配置 (82)将FortiOS3.0MR2的配置文件备份到PC (82)将当前配置备份到FortiUSB Key (82)恢复到FortiOS3.0MR1 (83)使用基于web的管理器恢复到FortiOS3.0 MR1 (83)使用CLI恢复到FortiOS3.0MR1 (83)恢复FortiOS3.0MR1配置 (84)使用基于web的管理器恢复配置设置 (84)使用CLI恢复FortiOS 3.0MR1的配置设置 (84)使用FortiUSB恢复设置 (85)有关FortiOS2.80MR11的升级 (85)从FortiOS2.80MR11升级到FortiOS 3.0MR1 (86)IPS组 (86)VPN防火墙策略 (86)PING发生器 (86)未被使用的IPSec VPN (86)FortiGuard web过滤替代信息字符串 (86)Web过滤与垃圾邮件过滤列表 (87)Active X, Cookie, 与Java Apple过滤 (87)没有配置“设备设置”的静态路由 (87)有关从FortiOS2.80MR11升级到FortiOS 3.0MR2 (87)日志过滤更改 (87)VDOM许可 (88)VDOM配置中IPSec手工密钥 (88)报警邮件替代信息 (88)报警邮件过滤 (88)区域中的防火墙策略 (88)有关从FortiOS2.80MR11升级到FortiOS3.0MR4 (88)管理用户 (89)策略路由 (89)WLAN接口下的VLAN (89)日志硬盘设置 (89)有关升级到FortiOS3.0MR2 (89)有关FortiOS3.0MR3升级 (89)介绍FortiNet公司在研发与更新其FortiGate防火墙设置的同时，一直注重开发、测试与优化FortiGate设备的操作系统。

2.飞塔防火墙防火墙配置

防火墙
Fortinet Confidential
防火墙介绍
Fortinet Confidential
防火墙技术分类
• 包过滤技术(Packet filtering) 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息。 • 代理网关技术(Proxy) 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 • 状态检测技术(Stateful) 在防火墙建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。
系统管理-物理网络接口1
Fortinet Confidential
系统管理-物理网络接口2
Fortinet Confidential
系统管理- Vlan接口
Fortinet Confidential
系统管理- 802.3ad汇聚接口1
Fortinet Confidential
系统管理- 802.3ad汇聚接口2
系统管理-冗余接口2
Router 1
Router 2
Router 1
Router 2
主接口失效后，冗余接口中的其他接口将激活
正常情况，只有冗余接口的主接口处于工作状态。
主接口失效后，冗余接口2开始工作。

fortigate waf规则

FortiGate WAF规则
FortiGate WAF是一种Web应用程序防火墙，可以保护Web应用程序免受各种攻击，例如SQL注入、跨站点脚本攻击和跨站点请求伪造等。

以下是一些常见的FortiGate WAF规则：
1. SQL注入规则：阻止恶意用户在Web应用程序中执行SQL注入攻击。

这些规则通常会检查Web应用程序中的表单输入、URL参数和Cookie等，以防止恶意用户注入恶意SQL代码。

2. 跨站点脚本攻击规则：阻止恶意用户在Web应用程序中执行跨站点脚本攻击。

这些规则通常会检查Web应用程序中的表单输入、URL参数和Cookie等，以防止恶意用户注入恶意脚本代码。

3. 跨站点请求伪造规则：阻止恶意用户在Web应用程序中执行跨站点请求伪造攻击。

这些规则通常会检查Web应用程序中的表单输入、URL参数和Cookie等，以防止恶意用户伪造请求并执行恶意操作。

4. HTTPS规则：防止非HTTPS请求进入Web应用程序。

这些规则通常会检查请求的协议是否为HTTPS，并阻止非HTTPS请求进入Web应用程序。

5. 文件上传规则：防止Web应用程序中的文件上传漏
洞。

这些规则通常会检查上传的文件类型和大小，并阻止上传恶意文件。

6. 访问控制规则：控制Web应用程序中的访问权限。

这些规则通常会检查用户身份和访问权限，并阻止未授权的用户访问Web应用程序。

这些规则只是FortiGate WAF提供的一些常见规则，具体的规则可以根据Web应用程序的需求进行自定义配置。

Fortinet-飞塔NGFW下一代网络安全防御白皮书

FORTINET－下一代网络安全防御下一代网络安全防御1FORTINET－下一代网络安全防御目录概览 ............................................................................................................................................................................... 3 简介 ............................................................................................................................................................................... 4 企业与服务提供商面临的安全挑战.............................................................................................................................. 5 旧有的威胁从未远离 ............................................................................................................................................. 5 加速演变的新威胁................................................................................................................................................. 5 基于 web 的攻击增加数据泄漏的损失 ................................................................................................................ 5 Web2.0 应用 ........................................................................................................................................................ 6 传统防火墙不再有效 ..................................................................................................................................... 6 迁移到下一代网络 ......................................................................................................................................... 7 安全演进的下一步：新一代安全平台 .......................................................................................................................... 7 下一代安全技术 .................................................................................................................................................... 7 应用控制 ........................................................................................................................................................ 8 入侵检测系统（IPS） .................................................................................................................................. 11 数据丢失防御（DLP） ................................................................................................................................. 13 网页内容过滤............................................................................................................................................... 15 双栈道 IPv4 与 IPv6 支持.............................................................................................................................. 16 集成无线控制器 ........................................................................................................................................... 16 集中管理 ...................................................................................................................................................... 17 核心安全技术 ...................................................................................................................................................... 18 防火墙－状态流量检测与数据包过滤 ..................................................................................................... 18 虚拟专用网 (VPN)........................................................................................................................................ 18 URL 过滤 ....................................................................................................................................................... 19 反病毒/反间谍软件 ..................................................................................................................................... 20 反垃圾邮件 .................................................................................................................................................. 22 结论 ............................................................................................................................................................................. 23 关于 Fortinet ................................................................................................................................................................ 24 关于 FortiOS................................................................................................................................................................. 242FORTINET－下一代网络安全防御概览自从几年以前Gartner提出“下一代防火墙”的概念以来，许多网络安全厂商争先恐后将下一代防火墙作为所生产防火墙产品的一个种类，但这却造成了不同的结果。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

▪ 启动屏蔽HTTP重新定向。许多网站使用合法的HTTP重新定向，但是，一些情况下，重新定向可能被分配绕过web过滤，因为初始的网页与目标网页的不同分类结果。
FortiGuard URL查询过程
• 例子： http://sexy-upumbs/nautica11_l.jpg
Web过滤
Course 301
FortiGuard Web过滤——使用的端口
• 端口user->server: 8008 re-directed:1004 http 1005 https override-auth-port: 8008 Update：53 or 8888
FortiGuard网址重新分类
• 如果找不到，则逐步缩短查找： – /c/shoot/images/x68/thumbs – /c/shoot/images/x68 – /c/shoot/images – /c/shoot – /c –
过滤的顺序
1. URL Exempt (Web Exempt List) 2. URL Block (Web URL Block) 3. URL Block (Web Pattern Block) 4. Category Block (FortiGuard Web Filtering) 5. Content Block (Web Content Block) 6. Script Filter (Web Script Filter)
▪ 输入顶级URL或IP地址控制站点内所有网页的访问 • 例如或192.168.144.155
▪ 输入的URL后有路径和文件名，控制站点内的某个单独网页 • 例如 /news.html 或192.168.144.155/news.html
▪ 输入，控制所有结尾的URL内的所有网页 • 例如, ,
▪ 用户 ▪ 用户组 ▪ IP ▪ 内容表 ▪ 询问
• 跳过者的类型
▪ 域 () ▪ 目录 (/support) ▪ 分类 ▪ 询问
FortiGuard网址过滤——跳过
• 跳过者范围—用于需要访问被屏蔽网页用户
▪ 用户只是用户
▪ 用户组用户所属的用户组
FortiGuard网址过滤扩展选项
• 通过域和IP地址来判断网址分类
▪ 启动该功能项，将选项将被请求的网站的URL与IP地址进行检查，对试图绕过FortiGuard系统的其他安全隐患进行防护。但是，因为IP过滤不能如同URL过滤更新那么快，可能会导致一些误分类。。
• 屏蔽经过分类重新定向的HTTP
• 如果用户想查看Google缓存中的内容 ▪ FortiGate加密完整的URL并发送到 FortiGuard ▪ FortiGuard 分析URL ▪ 发现URL中含有 ▪ 把完成URL放在内含URL的分类中
FortiGuard网址过滤——跳过
• 跳过者的范围
www.*com 表示
▪ * 表示所有网站即Host + URI ▪ .*\ 表示下的所有链接文件
▪ .*\.zip ▪ .*\.swf flash文件 ▪ .*\.gif gif文件 ▪ .*\.jpg jpg文件 ▪ .*\.png png图形文件 ▪ .*\.js JavaScript文件
正则表达式——常用的元字符
代码说明
.
匹配除换行符以外的任意字符
\w 匹配字母或数字或下划线或汉字
\s 匹配任意的空白符
\d 匹配数字
\b 匹配单词的开始或结束
^
匹配字符串的开始
$
匹配字符串的结束
d{5,12}$，这里的{5,12}和前面介绍过的{2}是类似的，只不过{2} 匹配只能不多不少重复2次，{5,12}则是重复的次数不能少于5 次，不能多于12次，否则都不匹配。
• 然后转到防病毒扫描
实验测试跳过
• 根据日志，判断所在的分类，然后设置禁止访问该类别的网站，根据用户、用户组、询问等跳过方式分别设置允许跳过
正则表达式——重复的设置方式
代码/语法 * + ? {n} {n,} {n,m}
说明重复零次或更多次重复一次或更多次重复零次或一次重复n次重复n次或更多次重复n到m次
下面是一些使用重复的例子： Windows\d+匹配Windows后面跟1个或更多数字 ^\w+匹配一行的第一个单词(或整个字符串的第一个单词，具体匹配哪个意思得看选项设置)
▪ 启动FortiGuard基于图像URL对图像进行分类的功能。被屏蔽的图像 URL将以空白网页替换。
• 当判断类别失败时允许访问该网站
▪ 当web过滤服务出错时允许网页通过。
• 严格阻断
▪ 在URL分类正确或启动IP地址过滤时生效。启动该功能项，如果有任何的分类或种类与所分类的网站列表中被屏蔽的网站相匹配的网站将不允许被访问。中止该功能项，如果有任何的分类或种类与所分类允许访问的网站相匹配的网站将被允许访问
▪ .*\.htm
▪ .*\.html ▪ .*\.css 网页风格样式文件
▪ .*\.htc ▪ 对jpg, gif, htm/html和swf文件，完全可以不扫描病毒，以提高速度。
正则表达式
假设你在一篇英文小说里查找hi，你可以使用正则表达式hi。这几乎是最简单的正则表达式了，它可以精确匹配这样的字符串：由两个字符组成，前一个字符是h,后一个是i。不幸的是，很多单词里包含hi这两个连续的字符，比如him,history,high等等。用hi来查找的话，这里边的hi也会被找出来。如果要精确地查找hi 这个单词的话，我们应该使用\bhi\b。 \b是正则表达式规定的一个特殊代码（好吧，某些人叫它元字符，metacharacter），代表着单词的开头或结尾，也就是单词的分界处。虽然通常英文的单词是由空格，标点符号或者换行来分隔的，但是\b并不匹配这些单词分隔字符中的任何一个，它只匹配一个位置。
▪ IP
用户IP地址的任何用户
▪ 内容表用户组中任何配置了具体保护内容项的用户，配置此项后防火墙策略中不再需要选择认证
• 跳过者的类型—选择允许访问的类型
▪域
只对URL中最低级别的目录文件
▪ 目录网站的域名
▪ 分类 FortiGuard分类
自定义网址过滤
内容阻断与网址过滤中的样式类型，都可以选择通配符(简单)或正则表达式 • 通配符
正则表达式——字符转义
• 如果你想查找元字符本身的话，比如你查找.,或者*,就出现了问题：你没办法指定它们，因为它们会被解释成别的意思。这时你就得使用\来取消这些字符的特殊意义。因此，你应该使用\.和\*。当然，要查找\本身，你也得用\\.
• 例如：unibetter\.com匹配，C:\\Windows匹配 C:\Windows。
FortiGuard网址过滤扩展选项
FortiGuard网址过滤扩展选项
• 阻断HTTP的4xx和5xx错误的内容细节
▪ 显示4xx与5xx HTTP错误信息的替换信息。如果HTTP报错被允许通过，那么恶意网站或不良网站将借助一般的错误网页避开网页类型的屏蔽。
• 通过网址对图象进行分类(被阻断的图象将用空白替换)
等都将被控制
▪ 控制匹配输入的文本的所有URL • example.* 匹配, , 等等
自定义网址过滤
• 通配符方式
.* 表示 ,
.*com
表示
• 最后，只剩下主机名称
FortiGuard分级——缓冲中的内容过滤
• 使用Google搜索 “fortinet”– 将会显示
• Google 的缓存中将显示 : /search?q=cache:oAGxf1ysBvcJ:www

飞塔防火墙的Web过滤

合集下载