فیلترینگ وب در فایروال FortiGate

فیلترینگ وب در فایروال FortiGate، در این مقاله قصد داریم مباحث مربوط به فیلترینگ و نحوه استفاده از آن در فایروال FortiGate را مورد بررسی قرار دهیم. Web Filter از قابلیت های امنیتی موجود در Security Profile در فایروال FortiGate می باشد. در ابتدا به مروری بر قابلیت Web Filter می پردازیم.

فیلترینگ وب در فایروال FortiGate

فهرست مطالب

1. کاربرد Web Filter
2. ایجاد پروفایل
3. گزینه FortiGuard Categories
4. تنظیمات Static URL Filter
5. تنظیمات Rating Option
6. تنظیمات Proxy Options

کاربرد Web Filter

به واسطه فیلترینگ و استفاده از گزینه های متعددی که قابلیت Web Filter فایروال فورتی گیت در اختیار قرار می دهد، می توان فعالیت اینترنتی کاربران در شبکه را کنترل و فیلتر نمود. به عنوان مثال می توانیم دسترسی کاربران به وب سایت های خاصی و یا در اتصال به وب سایت هایی با محتوایی خاص را محدود نماییم. همچنین این قابلیت وجود دارد که فیلترینگ ها را روی گروه های خاص اعمال و یا گروهی از کاربران را از آن مستثنا نمود. فیلترینگ وب در فایروال FortiGate یکی از قابلیت های مهم و کاربردی در این تجهیز محسوب می گردد. این قابلیت و گزینه های بسیار زیادی که در آن وجود دارد امکان مدیریت و کنترل کامل بر روی ترافیک های وب را فراهم می نماید. جهت استفاده از قابلیت فیلترینگ وب در فایروال FortiGate می بایست حتما لایسنس معتبر برای تجهیز داشته باشیم.

ایجاد پروفایل

مشابه سایر قابلیت های موجود در فایروال FortiGate جهت استفاده از Web Filter می بایست یک پروفایل ایجاد کنیم. به همین منظور می بایست در منوی Security Profiles گزینه Web Filter را انتخاب نمود. به صورت پیش فرض چند پروفایل از پیش ساخته با سیاست های مشخص وجود دارد که از نوار ابزار بالای صفحه می توان انتخاب نمود. این امکان وجود دارد که یک پروفایل جدید نیز ایجاد نمود که برای این کار از + استفاده می کنیم.

پس از کلیک بر روی + در پنجره باز شده ابتدا در قسمت Name یک نام جهت پروفایل در نظر می گیریم. در قسمت Inspection mode سه حالت Proxy، Flow-Based و DNS وجود دارد. در حالت Proxy کلیه قابلیت های Web Filter را در اختیار قرار خواهد داد و سایر گزینه ها امکانات کمتری خواهند داشت. در حالت Proxy و فایروال بین مبدا و مقصد قرار خواهد گرفت و بررسی در این حالت به صورت عمیق انجام خواهد گرفت. باید در نظر داشت استفاده از Proxy سربار بیشتری به سیستم تحمیل خواهد نمود. گزینه flow-based خلاصه و سبک تر و در نتیجه سرعت بالاتری نیز خواهد داشت. در این حالت امکان ارائه صفحه هشدار به کاربران وجود ندارد. در حالت DNS صرفا نام های دامنه مورد بازرسی قرار می گیرید. در این سناریو از Proxy استفاده می کنیم تا کلیه قابلیت های Web Filter را مورد بررسی قرار دهیم.

گزینه FortiGuard Categories

با فعال نمودن FortiGuard Categories می توان فیلترینگ بر اساس دسته بندی را استفاده نمود. در دسته بندی انجام شده در FortiGuard گزینه های مختلفی وجود دارد. می توان با انتخاب دسته بندی و انتخاب واکنش نسبت به این نوع ترافیک اقدام نمود. به عنوان مثال دسته بندی Bandwidth Consuming زیر گزینه peer-to-peer File Sharing را Block نماییم.

همچنین با استفاده از گزینه Monitor تنها مانیتور خواهد شد و یک log ثبت می شود و با استفاده از گزینه Warning یک هشدار به کاربر نمایش داده خواهد شد. گزینه Authenticate نیز برای مواقعی استفاده خواهد شد که یک سایت با وارد نمودن نام کاربری و رمز عبور در دسترس قرار گیرد. همچنین جهت مشاهده اینکه یک سایت خاص در چه دسته بندی قرار دارد این امکان وجود دارد تا با مراجه به منوی system و گزینه Config و زیر منوی FortiGuard در قسمت Web Filtering and Email Filtering Options بر روی لینک موجود در این قسمت کلیک و URL مورد نظر را وارد می کنیم تا دسته بندی سایت مورد نظر نمایش داده شود.

با فعال سازی گزینه Allow Blocked Override این امکان وجود دارد تا یک گروه ، کاربر یا آدرس IP را از محدودیت اعمال شده مستثنی نماییم.

در قسمت Search Engine دو قابلیت Enable Safe Search و Log All Search Keywords وجود دارد که با فعال نمودن Enable Safe Search امکان فلترینگ محتوای صریح مانند محتوای خشونت آمیز فراهم می شود. با فعال بودن Safe Search محتوا های نا مناسب در جستجو های وب مشاهده نخواهند شد. همچنین با فعال نمودن گزینه Log All Search Keywords هر چیزی که توسط کاربر در شبکه جستجو شود به عنوان یک log در سیستم ذخیره خواهد شد.

تنظیمات Static URL Filter

در بخش Static URL Filter از گزینه Block Invalid URLs جهت مسدود نمودن وب‌ سایت ‌هایی که فیلد CN گواهی SSL آنها حاوی نام دامنه معتبری نیست، استفاده می شود. اگر قصد داریم سایت های مشخصی را فیلتر کنیم، این کار با فعال نمودن گزینه Enable URL Filter و اضافه کردن وب سایت مورد نظر به لیست انجام می گردد. همچنین این قابلیت وجود دارد تا با فعال سازیEnable Web Content Filter فیلترینگ بر اساس محتوای سایت را انجام دهیم که در این قسمت نیز با ایجاد یک Content Filter این کار انجام می گیرد. با انجام این کار سایت هایی با محتوای در نظر گرفته شده در دسترس کاربران شبکه قرار نخواهد گرفت.

تنظیمات Rating Option

هنگامی که گزینه Allow Websites When a Rating Error Occurs فعال باشد چنانچه ارتباط تجهیز FortiGate به صورت موقت با سرویس FortiGuard قطع شود تا زمانی که ارتباط مجدد برقرار شود، کاربران دسترسی کامل بدون فیلتر به تمام وب سایت ها خواهند داشت. چنانچه این گزینه غیر فعال باشد ترافیک مسدود خواهد شد. با فعال سازی Rate URLs by Domain and IP Address بازرسی علاوه بر نام دامنه بر اساس آدرس IP نیز انجام خواهد گرفت.

چنانچه گزینه Block HTTP Redirects by Rating فعال شود، از انجام HTTP Redirect جلوگیری خواهد شد که این Redirect ها ممکن است به تهدید های امنیتی منجر گردند. اگر URL مربوط به تصویر با دسته بندی مسدود شده ای مطابقت داشته باشد، با فعال سازی Rate Images by URL فایروال FortiGate این تصاویر را مسدود می نماید. در چنین شرایطی به وب سایت دسترسی خواهیم داشت اما چون تصاویر جزء دسته بندی های مسدود شده می باشند این تصاویر نمایش داده نخواهند شد.

تنظیمات Proxy Options

با فعال نمودن گزینه Restrict Google Account Usage to Specific Domains و وارد نمود دامنه مشخصی از Google می توان دسترسی به یک دامنه خاصی از آن را مسدود نمود. چنانچه گزینه Web Resume Download Block را فعال نماییم امکان ادامه یافتن دانلود ها وجود نخواهد داشت و چنانچه یک دانلود نیمه کار داشته باشیم با فعال نمودن این قابلیت دانلود مجدد از اول شروع خواهد شد.

برخی از مهاجمان هنگام شناسایی اهداف از کدهای خطای HTTP 400 و 500 برای شناسایی وب سایت استفاده می کنند با فعال نمودن Provide Details for Blocked HTTP 4xx and 5xx Errors از این موضوع جلوگیری خواهد شد. با فعال نمودن HTTP POST Action  دو گزینه Comfort و Block در دسترس قرار می گیرد. HTTP POST فرمانی است که مرورگر شما هنگام ارسال اطلاعات، مانند زمانی که فرمی که پر نموده اید یا فایلی که در حال آپلود آن به سرور وب هستید، استفاده می نماید. چنانچه بر روی Block قرار داشته باشد از انجام این کار جلوگیری خواهد شد.

گزینه Remove Java Applet Filter از وب سایت هایی که از Java Applet استفاده نموده اند جلوگیری خواهد نمود. و گزینه Remove ActiveX Filter و Remove Cookie Filter نیز به همین شکل خواهند بود.

پس از ایجاد پروفایل با توجه به سیاست های فیلترینگ می بایست پروفایل ایجاد شده را بر روی Policy اعمال نماییم. به همین منظور می بایست در قسمت Policy & objects در منوی فایروال فورتی گیت Policy مورد نظر را ویرایش نموده و پروفایل Web Filter مورد نظر را به آن اعمال نماییم.