当前位置: 首页 > news >正文

【安全篇 / 反病毒】(7.6) ❀ 01. 查杀HTTPS加密网站病毒 ❀ FortiGate 防火墙

news 2025/7/22 12:02:38

  【简介】很多人都知道FortiGate防火墙有查杀毒病的功能,但是没有多少人能正确的理解和使用,特别是查杀HTTPS加密网站上的病毒,这里我们来看看具体应该怎么做。

 常规启用杀毒功能的方法

  所有的安全功能都是在策略上启用。

  ① 登录防火墙,选择菜单【策略&对象】-【防火墙策略】,点击上网策略,弹出子菜单中选择【编辑】。 

   ② 在上网策略里找到【安全配置文件】,点击启用【反病毒】。

   ③ 点击弹出的下拉菜单,会显示二个反病毒的默认配置文件,默认选择【default】。

  ④ 虽然启用了反病毒功能,但是要配置的SSL检查才有效果。点击【SSL检查】右边下拉菜单,可以看到显示四个SSL检查的默认配置文件,通常我们会选择【certificate-inspection】。

  ⑤ 反病毒和SSL检查都已经选择好了,点击【OK】,保存修改,这样反病毒功能就配置完成了。再次上网时,就会查杀HTTP网站上下载的病毒文件了。

  ⑥ 为了更清楚的了解工作原理,我们来看看选择的两个配置文件内容。选择菜单【安全配置文件】-【反病毒】,点击【default】,弹出子菜单选择【编辑】。

  ⑦ 反病毒配置文件default里面的内容,主要有基于哪种模式下的扫描,扫描到病毒后的动作是什么,以及检查哪些协议。通常保持默认就可以了,除非你已经非常熟练了再去修改。

  ⑧ 选择菜单【安全配置文件】-【SSL/SSH检测】,选择配置文件【certificate-inspection】,弹出菜单选择【查看】,注意,这个配置文件无法修改。

  ⑨ 配置文件【certificate-inspection】中的检查方法是【SSL证书检查】,后面我们会介绍【SSL证书检查 】和【完整SSL检查】的区别。

  常规反病毒配置在HTTPS网站下的效果

  经过上面的配置,对常规网站上的文件都能起到很好的查杀效果,但是现在很多网站都是以HTTPS加密形式存在,那么这个配置能查杀HTTPS网站下的病毒吗?

  ① 打开浏览器,输入地址eicar.org,这是一个病毒下载测试网站,点击【DOWNLOAD ANTI MALWARE TESTFILE】。

  ② 移到下载区域,现在该网站已经没有了HTTP下的下载测试,只有HTTPS下的下载测试。

 

  ③ 同样启用了反病毒的环境下,Windows和Mac由于系统不同,显示内容也不同,Windows系统下甚至无法打开这个网站,而Mac系统可以打开,也可以正常下载文件。

  配置HTTPS网站下杀毒

  如果对杀毒效果非常在意,可以做以下操作。

   ① 修改上网策略中的SSL检查,选择【deep-inspection】。这样就可以了

  ② 我们看看这个配置文件有什么不同,选择菜单【安全配置文件】-【SSL/SSH检测】,选择【deep-inspection】,选择【查看】,这个配置文件也是不可以修改的。只有【custom-deep-inspection】可以修改。

  ③ 可以看到这次的检查方法是【完整SSL检查】。

  ④ 配置的结果是,最终在HTTPS下确实是无法下载病毒文件。但有个意想不到的结果是,所有打开的网站都会弹出证书确认提示。

  浏览器导入FortiGate证书

  启用完整SSL检查之后,打开网页会弹出证书提示,很多网站也打开不正常了。

  ① 当你启用反病毒,SSL检查选择完整SSL检测后。

   ② 打开网站会提示【您的连接不是私密连接】,点击【高级】。

   ③ 点击【继续前往......(不安全)】,强行打开网站。

   ④ 打开的网站残缺不全,有的甚至版面全乱。这是因为浏览器现在是和FortiGate防火墙交互,而不是直接和网站交互,浏览器缺少防火墙证书。

  ⑤ 回到编辑【deep-inspection】界面,点击【CA证书】右侧的【下载】。

  ⑥ 得到FortiGate防火墙的证书文件【Fortinet_CA_SSL.cer】。下一步就是把证书导入到常用的浏览器,这里以谷歌浏览器为例 。

   ⑦ 点击谷歌浏览器右上角三点图标,弹出菜单选择【设置】。

   ⑧ 选择【隐私与安全】-【安全】。

   ⑧ 选择【管理证书】。

    ⑨ 选择【本地证书】下的【由你安装 】。

    ⑩ 点击【可信证书】右侧的【导入】。

  ⑪ 选择刚才下载的FortiGate防火墙证书。

  ⑫ 证书导入成功。

  ⑬ 再次打开网站,显示恢复正常了。

  ⑭ 再次在eicar.org网站中下载HTTPS下的病毒测试文件。

  ⑮ 防火墙成功阻拦,并注明检测到病毒。

  ⑯ 选择菜单【日志&报表】-【安全事件】,右上角选择【反病毒】,由于这台设备带了硬盘,所以选择【硬盘】,这里选择【24小时】内产生的日志,可以看到有关于病毒测试文件被阻拦的日志。

  ⑰ 一个非常有意思的验证,选择菜单【日志&报表】-【本地流量】,可以看到访问网站时的日志。我们知道,本地流量是防火墙主动发起的流量。这就可以说明,在完整SSL检测下,防火墙先和网站服务器联系,然后电脑的浏览器再从防火墙上得到下载好的网站内容。由于防火墙需要先下载服务器内容,所以硬盘就成了硬通货。没有硬盘的防火墙就不建议启用完整SSL检测了。另外有些软件也不支持这种模式,要不要启用完整SSL检测,就看实际需求了。

http://www.dtcms.com/a/291259.html

相关文章:

  • Excel函数 —— XLOOKUP 双向查找
  • Linux find命令:强大的文件搜索工具
  • 计算机发展史:电子管时代的辉煌与局限
  • 无人机浆叶安装顺序
  • 【算法基础】二分查找
  • 源码编译安装boost库,以及卸载boost库
  • 插值法的使用
  • Js进阶案例合集
  • iostat的使用说明
  • 基于深度学习的图像分类:使用ResNet实现高效分类
  • (10)机器学习小白入门 YOLOv:YOLOv8-cls 模型评估实操
  • G7打卡——Semi-Supervised GAN
  • numpy库的基础知识
  • 【VASP】机器学习势概述
  • 5G/4G PHY SoC:RNS802,适用于集成和分解的小型蜂窝 RAN 架构。
  • 在github上搭建自己主页
  • Blender软件入门-了解软件界面
  • JS逆向 - 滴滴(dd03、dd05)WSGSIG
  • Webpack源代码泄露漏洞
  • 云原生技术与应用-Kubernetes Pod调度基础
  • 热室机械手市场报告:智能装备推动高温制造自动化升级
  • 【推荐系统】推荐系统常用数据集介绍
  • 【系统全面】linux基础以及命令——基础知识介绍
  • stm32内存分析
  • ZYNQ硬核操作:免IIC驱动直控MCP4661T数字电位器
  • python实现接收九数云的异常分析指标推送通知
  • 海康威视视觉算法岗位30问及详解
  • 【开源】基于 C# 编写的轻量级工控网关和 SCADA 组态软件
  • 管理项目环境和在环境中使用conda或pip里如何查看库版本———Linux命令行操作
  • 工业仪表识别(一)环境安装