vxr wrote:
v5.2.4預計在07...(恕刪)
VXR兄請向Fortinet反映及提議在新版GUI中加入三項一般家用路由器也擁有的簡單而又相當實用的功能:
1. 在Dashboard中加入顯示PPPoE的已連線時間及手動Disconnect功能
2. 加入能實時顯示目前LAN內各IP的上/下載速度及佔用Sessions數目
3. 能按流量、TCP/UDP Port號、瀏覽網址等排列出最高使用量的前20位用戶
個人積分:5分
文章編號:56663657
個人積分:405分
文章編號:56664849
sonywii wrote:
VXR兄請向Fortinet...(恕刪)
"1. 在Dashboard中加入顯示PPPoE的已連線時間及手動Disconnect功能"
不是在System->Network->Interface放入?
"2. 加入能實時顯示目前LAN內各IP的上/下載速度及佔用Sessions數目"
v5.4已實作, 但是要在System->Network->Interface才看的到...
3. 能按流量、TCP/UDP Port號、瀏覽網址等排列出最高使用量的前20位用戶
你這需求比較混合...
而且要做恐怕也只能放在FortiView...
你所謂流量是基於甚麼樣的統計?
1. 當下到目前為止的總共流量?
2. 當前client所占用的頻寬?
個人積分:405分
文章編號:56675466
FortiOS AntiVirus inspection modes
假如您都有使用FOS v5.0和v5.2, 那有三種可用的AV掃描檢測模式. FOS v5.0包含了基於代理(proxy)以及基於流(flow)偵測的防毒(AV)掃描. FOS v5.2同樣也包含了這兩種模式, 但是在v5.2的流偵測掃描使用了一種新的方式, 可稱之為深度流(deepflow)掃描.
AV Scanning 101
AV掃描對於存在的威脅在經過FortiGate會檢測HTTP, HTTPS email以及FTP流量這些檔案格式. 如果AV掃描發現了像是病毒或著一些惡意程序的存在威脅, FOS會阻斷(block)它們以保護網路.
FOS包含各種防毒(AV)特徵, 讓防毒掃描更加友善. 其中一種特徵稱之為可替換訊息(replacement message), 發送一種可自定義訊息到任何被防毒掃描攔截可疑檔案的用戶端, 去說明發生甚麼以及為何被攔截. 其他防毒特徵讓用戶端(client)與伺服端(server)的通訊更加平順. 這些改變的獲取依存於掃描模式(inspection mode).
Proxy-based AV scanning
代理式掃描是更加安全並且更多特徵的一種防毒掃描模式. 該模式使用一種代理去管制用戶端與伺服端之間的通訊. 成為的代理會從到達的資料流(data stream)擷取封包內容並且緩衝(buffer)這些內容, 直到完成資料檔案的組成. 一旦檔案完整, AV掃描會對於潛在威脅下檢測該檔案. 如果沒有存在威脅, 請求的檔案便會傳送至目的端(destination). 反之, 威脅存在則會阻斷該檔案請求的傳送.
由於代理式掃描被應用在完整的檔案以提供非常有效的威脅檢測. 代理式掃描支持非常完善的防毒特徵, 包含可替換資訊(replacement message)和用戶端舒適化(client comforting), 讓該掃描模式成為最完善的掃描模式(inspection mode). 此外, 成為的代理(proxy)管制用戶端與伺服端的通訊, 使得該通訊更加清晰.
代理式掃描在檔案大小的上限下檢測全部檔案格式. 透過預設, 上限被設定在10MB大小, 但是它可以被重新設定. 任何超過上限的檔案會被認定超載必且不被檢測.
Flow-based AV scanning
雖然流形式(flow)掃描在v5.0和v5.2都被使用, 但這兩個不同的版本操作這個模式在非常不同的方式下.
Flow AV in FortiOS 5.0
v5.0的流形式掃描掃描傳過FortiGate的各種資料封包的內容. 沒有任何代理干涉, 所以資料封包沒有被異動並且在分析上組成的檔案不會被緩衝(buffer). 相較於使用代理式掃描, 它可能只需使用較少量的記憶體和CPU資源, 讓效能有所增進. v5.0的流形式掃描不會限制檔案大小.
流形式防毒掃描使用IPS引擎和特定的防毒資料庫, 並且於各種威脅偵測是有效的; 然而, 由於比起完整檔案掃描他只能個別分析封包內容, 有些存在惡意程序的檔案格式, 流形式掃描並無法偵測, 包括了多態(polymorphic)的病毒碼. 存在於文件裡的惡意程序, 壓縮檔案和一些存檔也只能少部分檢測.
流形式防毒實際上不會阻斷檔案. 一旦威脅被檢測到, 他只是停止部分檔案的傳送. 這意味著當檢測到威脅時, 檔案的一部分也許已經被傳送. 接收端應用程式負責部分完整封包內容的處理.
此外, 流形式防毒可能稍不友善些. 他不支持可替換訊息並且用戶端在不知為何請求的檔案被堵段, 也許必須等待session逾時.
Flow AV in FortiOS 5.2 (deepflow or deep flow)
FOS v5.2引入的一種新的流形式掃描, 有些時候被稱之為深度流(deepflow)掃描. 並且採取一種緩衝檔案同時傳送到特定的目的地的混合式方法. 當全部檔案封包已經被收集並且緩衝, 但在之前最後一個封包被傳送, 緩衝的檔案被掃描. 如果發現到威脅, 最後的資料封包會被阻斷, 並且用戶端無法操作完整的資料檔案取得. 反之, 沒有威脅被掃描到, 最後的資料封包會被傳送到該取得的用戶端.
在威脅檢測上, 深度流防毒掃描如同於代理式掃描. 也許有些微的性能優勢好於代理式掃描, 在分析之後傳送整個檔案並且發送最後一個資料封包之間的差異只會愈來愈大. 就像v5.0的流形式掃描一樣, 深度流掃描相當顯著的限制是他無法支持多種在代理式掃描提供的友善特徵.
The future of AV scanning
v5.4在目前的計畫會帶來v5.0的流形式掃描回歸.
About hardware acceleration
在資料封包穿過FortiGate進行探測, FortiGate一般包含了特製化的CP加速器(Content Processor), CP加速器包含了幾種任務:
1. 在Security Engine的操作上, 資料封包穿過時, CP加速器可協助CPU對資料封包拆解分析.
2. 支持VPN加速, 包含了SSL和IPsec支持.
3. SSL Inspection加速.
4. 新型的CP8提供了基於signature的IPS加速.
在對於資訊安全的操作, 資料封包經過FortiGate操作時, 當UTM功能啟動時, 針對相關的功能, CP加速器協助CPU對資料封包進行拆解分析, 對於AV掃描功能, CP加速器會分析各種不同類型的資料格式, HTTP, HTTPS, FTP, FTPS等等...透過CP加速器中特製的CPRL引擎操作, CPRL可以達到跨7層操作, 大幅降低CPU的資源負載以提升網路I/O吞吐量. 由於CP加速器與CPU連接, 這表示CPU依然會操作常規的traffic loading, CP加速器透過CPRL僅改善資安方面的效能.
如果當一個資料封包穿過FortiGate, 而FortiGate使用流形式掃描, 這代表引入IPS引擎操作, 如果使用CP8加速器, 將會提供一種基於簽章(signature)形式的資料庫比對. 當CPRL拆解封包內容之後進行比對(matching), 透過另外的IPS硬體加速來改善UTM效能, 進一步降低CPU負載.
當封包資料牽涉到SSL協議時, 便會是額外的SSL inspection操作, CP加速器可以包含完善的SSL加解密操作.
個人積分:5分
文章編號:56681373
vxr wrote:
'1. 在Dashboard...(恕刪)
VXR兄:
1. 可直接在Dashboard中顯示PPPoE的已連線時間及此次PPPoE連線時間內的上/下載流量, Router Uptime以來的總上/下載流量, 同時增加一個disconnect及reconnect選項, 能讓用戶得以判斷PPPoE是否經常發生斷線情況, 如圖1及圖2的所示
2. 可直接列出目前LAN內所有IP的實時上/下載速度、佔用的Sessions數量及每個IP在某段時間內的上/下載總量、整個網絡曾經出現的最高上/下載速度、最高Sessions等資訊, 如圖3及圖4所示
3. 可針對某段時間內各IP, 排列出包括LAN IP及WAN IP的總流量、個別PORT的流量、曾瀏覽過的網址的最25位, 亦可針對當前Client查看以上各項
個人積分:405分
文章編號:56681479
sonywii wrote:
VXR兄:1. 可...(恕刪)
1. 在dashboard實作這個功能的可能性不高..
因為這幾年dashboard被簡化的很嚴重..
要說服它們增加一個PPPoE的widget不太容易..
做在System->Network->Interface裡面比較有機會...
2.和3.
這個在FortiView的All Sessions加入一個排序(sort)功能就可以實現你所需要的..
但是這將意味存在一個數據統計..
FortiView會使用一種稱為historical data的資料結構來做歸類統計..
另外透過其他的FortiView, App, Source等來加以實現所需要的..
但是historical data僅SSD/HDD機種支援...
個人積分:79分
文章編號:56685315
個人積分:405分
文章編號:56688257
個人積分:79分
文章編號:56692128
個人積分:405分
文章編號:56692460
個人積分:79分
文章編號:56692592
