کنترل اپلیکیشن در فایروال FortiGate

کنترل اپلیکیشن در فایروال FortiGate، یکی از قابلیت های کاربردی که به واسطه آن می توان کنترل بر روی اپلیکشن های لایه هفتم مدل OSI ایجاد نمود. کنترل اپلیکیشن در ایجاد دسترسی به اپلیکیشن ها در  شبکه مورد استفاده قرار می گیرد. در این مقاله قصد داریم به Application Control در فایروال FortiGate و نحوه پیکربندی آن بپردازیم.

کنترل اپلیکیشن در فایروال FortiGate

فهرست مطالب

1. کاربرد Application Control
2. قابلیت ها
3. پیکربندی

کاربرد Application Control

Application Control یکی دیگر از سرویس های FortiGuard محسوب می شود که به واسطه این قابلیت می توان Policy هایی ایجاد نمود تا به این واسطه دسترسی به اپلیکیشن ها کنترل گردد. این قابلیت را می توان به گروهی از اپلیکشن ها اعمال و اجازه یا عدم اجازه دسترسی به آن ها را تعیین نمود. به کمک Application Control می توان امنیت را بهبود بخشید و نظارتی به صورت Real-time نسبت به برنامه هایی که کاربران در حال اجرا هستند، داشته باشیم. فایروال های معمول که فقط پورت ها، پروتکل ها و آدرس های IP را شناسایی می کنند قادر به شناسایی برنامه هایی و کنترل بر روی آن ها نیستند اما این امکان در فایروال نسل بعدی (Next Generation) فراهم گردیده. Application Control به عنوان بخشی از سرویس NGFW از طریق فایروال نسل بعدی FortiGate در دسترس می باشد.

فایروال ‌های نسل بعدی FortiGate با سیستم عامل FortiOS و راه‌حل‌های مدیریت متمرکز، دید گسترده‌ای را در استفاده از برنامه در Real-time ارائه می نمایند. می توان از کنترل اپلیکشن برای جلوگیری از برنامه ‌های پر ریسک، خطرناک و ناخواسته در شبکه از طریق نقاط کنترل در محیط، در مرکز داده و به صورت داخلی بین بخش‌های شبکه استفاده نمود.

قابلیت های کنترل اپلیکیشن FortiGate

• محافظت بهتر از سازمان با مسدود یا محدود نمودن دسترسی به اپلیکشن های پر ریسک
• امکان پایش و کنترل تعداد بسیاری اپلیکیشن و امکان سفارشی سازی آن ها
• بهینه سازی استفاده از پهنای باند در شبکه شما به واسطه اولویت بندی، حذف اولویت یا مسدود نمودن ترافیک بر اساس اپلیکشن
• امکان تنظیم نمودن Policy بر اساس نوع اپلیکشن از طریق دسته بندی ها

پیکربندی

همانند سایر قابلیت های فایروال FortiGate، کنترل اپلیکیشن (Application Control) نیز با ایجاد یک پروفایل انجام می گیرد. جهت انجام این کار بر روی منوی Security Profiles گزینه Application Control را انتخاب نموده و از بالای صفحه بر روی + کلیک می نماییم. در پنجره باز شده در قسمت Name می بایست یک نام برای پروفایل در نظر گرفته شود. در قسمت Categories دسته بندی پیش فرضی توسط فایروال FortiGate انجام گرفته است. با توجه به سیاست های مورد نظر از بین دسته های موجود می توان با کلیک بر روی هر یک از آن ها به گزینه های Allow، Monitor، Block، Reset، و Traffic Shaping دسترسی پیدا نمود. گزینه Allow اجازه عبور ترافیک را خواهد داد و گزینه Monitor علاوه بر اجازه عبور ترافیک یک Log نیز ایجاد خواهد نمود. همچنین گزینه Block اجازه عبور ترافیک را نخواهد داد و Reset ارتباط Session را Reset خواهد نمود.

در تصویر زیر به عنوان مثال قصد داریم دسته بندی Storage.Backup را مسدود نماییم. بنابراین به صورت زیر عمل خواهیم نمود.

در قسمت Application Overrides این امکان وجود دارد که یک سیاست شخصی سازی شده با استفاده از Signature های موجود در فایروال فورتی گیت ایجاد کنیم. برای ایجاد یک Application Overrides می بایست بر روی Add Signatures کلیک نموده و Application مورد نظر را انتخاب نماییم. به عنوان مثال قصد داریم دسترسی Upload در سایت 2shared را از کاربران سلب کنیم به همین منظور با جستجو در Signature های موجود در فایروال FortiGate این گزینه را انتخاب می نماییم و سپس Action را در حالت Block قرار خواهیم داد. اپلیکیشن های مختلف دسترسی های متفاوتی خواهند داشت  به عنوان مثال با فیلتر کردن بر روی کلمه Adobe می بینیم که گزینه های بیشتری برای اعمال سیاست ها در دسترس قرار می گیرد.

در قسمت option سه گزینه قابل فعال سازی می باشد. با فعال سازی Deep Inspection of Cloud Applications امکان بازرسی عمیق در اپلیکشن های مبتنی بر Cloud فراهم می گردد. همچنین با فعال نمودن Allow and Log DNS Traffic برای ترافیک های DNS اجازه عبور و قابلیت Log ایجاد می گردد و گزینه سوم Replacement Messages for HTTP-based Applications می باشد که با فعال شدن آن هنگام دسترسی به برنامه های تحت وب http پیام Replacement Messages ظاهر خواهد شد.

پس از ایجاد پروفایل اکنون می بایست پروفایل مورد نظر را به policy اعمال نماییم برای انجام این کار در منوی فایروال FortiGate گزینه Policy & Objects را انتخاب و از زیر منوی Policy گزینه IPv4 را انتخاب می کنیم. در پنجره باز شده در قسمت Security Profiles گزینه Application Control را فعال نموده و پروفایل ایجاد شده را انتخاب می کنیم.

پس از اعمال پروفایل بر روی Policy اکنون توسط یک کلاینت در شبکه داخلی قصد داریم تا با استفاده از مرورگر به وب سایت مربوط به Storage و Backup مانند 2Shared مراجعه نماییم که کنترل اپلیکیشن فایروال FortiGate از دسترسی کلاینت به این سایت جلوگیری خواهد نمود. با توجه به تنظیمات انجام شده می توان کنترل بیشتری بر اساس اپلیکشن بر روی ترافیک های شبکه اعمال نماییم.

به عنوان سناریوی دیگر فرض کنیم به در سازمان قصد مسدود نمودن ترافیک های مربوط به نرم افزار Anydesk را داشته باشیم تا دسترسی برقراری ارتباط از بیرون به شبکه داخلی سازمان فراهم نگردد. در چنین شرایطی می بایست دسته بندی Remote access را در حالت Block قرار دهیم.

در نهایت مجدد می بایست پروفایل ایجاد شده را بر روی Policy مورد نظر اعمال نماییم و در نهایت اپلیکیشن Anydesk در سطح شبکه با اینترنت اتصال برقرار نخواهد نمود. همچنین می توان در منوی log & Report صحت عملکرد فایروال در اعمال سیاست ها را مشاهده نمود.