教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4

Posted 2022-02-20 meigang2012

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了教程篇(7.0) 08. FortiGate安全 & Web过滤 ❀ Fortinet 网络安全专家 NSE 4相关的知识，希望对你有一定的参考价值。

在本节课中，你将学习如何在FortiGate上配置web过滤来控制网络中的web流量。

本节课，你将学习上图显示的主题。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示理解检测模式的能力，你将能够实现适当的检测模式，以支持所需的安全配置文件。

每个检测组件都在处理到达目的地的流量中发挥作用。如果你想要确保只使用基于流量的检测模式，那么控制基于流和基于代理模式是有帮助的。在大多数情况下，代理模式是首选，因为有更多的安全配置文件功能和更多的配置选项可用。然而，一些实现要求所有的安全配置文件扫描仅使用基于流的检查模式，以获得尽可能高的吞吐量。你可以将防火墙策略配置为使用基于流的模式(这是新策略的默认选项)，反之亦然。虽然这两种模式都提供了显著的安全性，但基于代理的模式更彻底，而基于流的模式旨在优化性能。

　　你可以在防火墙策略中选择〖检测模式〗。从基于流的模式切换到基于代理的模式将不需要删除策略上所选的安全配置文件。然而，从基于代理的模式切换到基于流的模式将删除所有配置为使用基于代理的检查模式的安全配置文件。

基于流检测模式在文件通过FortiGate时检查文件，而不进行任何缓冲。当每个数据包到达时，它被处理和转发，而不需要等待完整的文件或网页。如果你熟悉Wireshark的TCP流分析，那么这就是流引擎所看到的。在接收到数据包时，对数据包进行分析和转发。原来的流量没有改变。因此，不支持修改内容的高级功能，如安全搜索引擎。

　　基于流模式的优点有：

　　● 与基于代理的请求相比，用户看到HTTP请求的响应时间更快

　　● 由于另一端的服务器响应缓慢，发生超时错误的机会更少

　　基于流模式的缺点是：

　　● 许多在基于代理模式中可用的安全功能在基于流模式中不可用

　　● 根据FortiGuard服务对网站的分类，可以使用的操作更少

基于代理的扫描即透明代理。之所以称之为透明，是因为在IP层，FortiGate不是目的地址，但FortiGate确实拦截了流量。启用基于代理检测时。FortiGate在决定操作之前，将流量作为一个整体进行缓冲和检查。由于FortiGate将数据作为一个整体进行检查，因此与使用基于流的检查相比，它可以检查更多的数据点。

　　在TCP连接中，FortiGate代理向客户端生成SYN-ACK，并在与服务器建立第二个新连接之前与客户端完成三次握手。如果有效负载小于过大限制，代理缓冲区传输文件或电子邮件进行检查。在继续之前的传播。代理通过分析数据包头信息，可能会改变数据包头信息(如HTTP host、URL等)进行web过滤。如果安全配置文件决定阻止连接，代理可以向客户端发送替换消息。这增加了整体传输速度的延迟。

　　基于代理检测比基于流检测更彻底，产生的假阳性和阴性结果更少。

FortiGate Web过滤器也是安全配置文件。安全配置文件根据选择的检测模式是可定制的。因此，在设置web过滤器之前，第一步是配置检测模式。

　　协议选项配置文件决定了你的安全配置文件使用的协议，例如，检查web或DNS流量。

　　请注意，HTTPS检查端口号和其他与SSL处理相关的设置在SSL/SSH检查配置文件中分别定义。

FortiGate或单个VDOM有两种下一代防火墙(NGFW)模式可用：

　　● 基于配置文件模式：要求管理员创建并使用应用控制配置文件和web过滤配置文件，并将其应用到防火墙策略中。基于配置文件的检测方式根据策略的不同，可分为基于流的检测方式和基于代理的检测方式。

　　● 基于策略模式：管理员可以将应用控制和web过滤的配置直接应用到安全策略中。基于流的检测方式是NGFW策略模式下唯一适用的过程。

　　反病毒扫描可以作为安全配置文件应用于基于配置文件的NGFW模式防火墙策略或基于策略的NGFW模式安全策略中。

　　你可以在FortiGate的系统设置或单个VDOM中修改NGFW的工作模式。请注意，更改将要求你删除两种模式下的所有现有策略。

如果配置了FortiGate使用NGFW的策略模式，或者专门创建了VDOM来提供NGFW的策略模式，则需要配置少量的策略来允许流量。

　　SSL检测和认证(合并)策略：这允许来自特定用户或用户组的流量匹配合并策略中指定的标准，并使用所选的SSL检测配置文件检查SSL流量。FortiGate可以接受或拒绝流量。

　　安全策略：如果合并策略允许流量通过，FortiGate会根据安全策略对流量进行处理，并分析附加的条件，如用于web过滤的URL分类、应用控制等。同时，如果启用该功能，安全策略还会使用安全配置文件(如AV、IPS、文件过滤器等)对流量进行检测。

答案：B

答案：A

现在你了解了检测模式。接下来，你将学习网络过滤的基础知识。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示web过滤基础的能力，你将能够描述web过滤器配置文件，使用FortiGuard web过滤器配置文件，配置web过滤器覆盖，定义自定义类别，并提交FortiGuard评级请求。

Web过滤有助于控制或跟踪人们访问的网站。网络管理员使用web过滤的原因有很多，包括：

　　● 保持员工生产力

　　● 防止网络拥塞，有价值的带宽被用于非业务用途

　　● 防止机密信息的丢失或暴露

　　● 减少对基于web威胁的暴露

　　● 限制员工访问或下载不适当或令人反感的内容时的法律责任

　　● 防止员工下载或分发受版权保护的内容而造成版权侵权

　　● 防止儿童观看不适当的内容

上图的例子显示了HTTP过滤器的流程。

　　FortiGate通过查找HTTP GET请求来收集URL信息并执行web过滤。

　　因此，如图所示，在HTTP中，域名和URL是分开的部分。域名在标题中可能如下所示：Host: www.acme.com, URL在头文件中可能如下所示：/index.php?login=true。

　　如果按域名过滤，有时会阻塞太多。例如，tumblr.com上的博客被认为是不同的内容，因为所有的作者都不同。在这种情况下，你可以更具体的阻止URL部分，例如tumblr.com/hacking。

现在，你会看到web过滤器配置文件。

　　你可以将此安全配置文件配置为使用基于代理或基于流检测模式的功能集。但是，根据你选择的模式，可用的设置是不同的。基于流检测可用选项更少。

　　在上图展示的例子中，web过滤器配置文件有一个FortiGuard基于类别的过滤器，它根据FortiGuard提供的类别和子类别对网站进行分类。FortiGate提供两种NGFW选项：

　　● 基于配置文件 (默认) ：Web过滤器被定义为安全配置文件，并应用于防火墙策略

　　● 基于策略：URL分类直接定义在防火墙策略下

在上图所示的示例中，安全配置文件被配置为使用基于代理的功能集。该配置文件适用于已配置为基于代理检测模式的防火墙策略。其他本地选项包括：

　　● 搜索引擎

　　● 静态URL过滤

　　● 分级选项

　　● 代理选项

　　配置web过滤配置文件后，将此配置文件应用到防火墙策略中，从而对web流量进行过滤。

FortiGuard的分类过滤功能不是单独屏蔽或允许网站，而是查看网站被评级的类别。然后，FortiGate根据该类别而不是根据URL采取行动。

　　FortiGuard类别过滤是一个需要有效合约的活动服务。连接到FortiGuard网络验证合约。如果合约到期，有两天的宽限期，你可以在服务中断前续签合约。如果你没有续订，在两天的宽限期后，FortiGate将为每一个评级请求报告评级错误。此外，FortiGate默认情况下会屏蔽返回评级错误的网页。你可以通过启用〖当发生分级错误时允许的网站〗设置来更改此行为。在本课中，你将了解更多关于这个设置的内容。

　　你可以将FortiManager配置为本地FortiGuard服务器。为此，你必须将数据库下载到FortiManager，并配置FortiGate来验证针对FortiManager的类别，而不是FortiGuard。

网站类别由自动和人工方法决定。FortiGuard团队拥有自动网络爬虫，可以查看网站的各个方面，以便得出一个评级。还有人会检查网站，查看评级请求，以确定类别。

　　要查看类别和子类别的完整列表，请访问 www.fortiquard.com/webfilter/categories。

那么，它是如何工作的呢?

　　FortiGate查询FDN或FortiManager(如果它被配置为作为本地FortiGuard服务器)，以确定请求的web页面的类别。

　　当用户访问网站时。FortiGate使用FortiGuard实时服务来确定URL所属的类别，并对该类别采取一个已配置的操作，例如允许或阻止访问。使用此功能，你可以执行批量URL过滤，而无需单独定义每个网站。

　　你可以在web过滤器或DNS过滤器配置文件中启用FortiGuard类别过滤功能。列出了类别和子类别，你可以自定义要单独执行的操作。

　　可采取的行动取决于检测模式：

　　● 代理：允许、屏蔽、监视器、警告和认证

　　● 基于流，基于配置文件：允许、屏蔽、监视器、警告和认证

　　● 基于流，基于策略：安全策略中定义的动作(接受或拒绝)

警告动作告知用户所请求的网站不被网络策略所允许。然而。该操作给用户一个选项，是继续访问请求的网站，还是返回到上一个网站。

　　你可以自定义警告间隔，这样你就可以根据配置的周期在特定的时间显示该警告页面。

除非用户输入了成功的用户名和密码，否则认证动作会阻止被请求的网站。

　　你可以自定义允许访问的时间间隔。如果用户访问同一类别的其他网站，则不会提示他们再次进行身份验证，直到计时器过期。

　　选择此操作将提示你定义允许覆盖阻断的用户组。

威胁来源功能使FortiGate能够从HTTP服务器动态导入外部阻断列表。你可以使用阻断列表来执行你的组织指定的特殊安全要求。这些要求可以包括长期的策略，总是阻断访问特定的网站，或短期的要求，以阻断访问已知的受损害的位置。这些阻断列表是纯文本格式的文本文件，其中每一行包含一个要阻断的URL。

　　因为列表是动态导入的，所以任何对列表的更改都会立即被Fortios使用安全结构功能导入。

　　FortiGuard类别：此资源名在web过滤器配置文件和SSL检查豁免中作为远程类别出现。

　　IP地址：该资源名在DNS过滤器配置文件中作为外部IP阻断列表出现，在IPv4策略、IPv6策略和Proxy策略中作为源/目的出现

　　域名：此资源名称将作为DNS筛选器配置文件中的远程类别出现

　　刷新率：使用此设置，你可以指定从外部源刷新阻断列表的频率(以分钟为单位)。

　　阻断列表文件的大小可以是10MB或128,000行文本，以最具限制性的为准。

　　请注意，DNS配置文件只支持IPv4地址，忽略IPv6地址。

您可以将动态阻断列表添加到：

　　● Web过滤器配置文件和SSL检查豁免

　　● 防火墙策略中的DNS过滤配置文件和源/目的地址

当使用FortiGuard类别过滤来允许或阻止对网站的访问时，一种选择是重写web评级，并将该网站定义在不同的类别中。Web评级仅针对主机名——不允许使用url或通配符。

　　如果合约到期，超过了2天的宽限期，网络评级覆盖将无效。所有网站类别评级请求都返回一个评级错误。

例如，如果你想做一个例外，而不是解除对潜在不需要的类别的访问，则将该网站更改为允许的类别。你也可以反过来做。你可以阻止属于允许类别的网站。

　　请记住，更改类别不会自动导致网站的不同操作。这取决于web过滤器配置文件中的设置。

如果FortiGuard中的预定义类别有不适合的情况，你可以添加额外的自定义类别。

　　你可以根据需要添加和删除自定义类别，只要它们不被使用。

静态URL过滤是另一个web过滤功能。URL过滤器中配置的URL将根据访问的网站进行检查。如果匹配成功，则执行配置的动作。URL过滤的模式与静态域过滤相同：简单、正则表达式和通配符。

评级中总是有出错的可能，或者你只是不同意给出的评级。在这种情况下，你可以使用门户网站联系FortiGuard团队，提交一个新的评级网站，或者让它评级，如果它还没有在数据库中。

答案：A

现在你已经了解了网络过滤的基本原理。接下来，你将了解更多的基于代理的web过滤功能。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示额外的基于代理的web过滤功能，你将能够配置使用配额、web配置文件覆盖、搜索引擎过滤器和web内容过滤。

FortiGate还包括一个功能，可以定制访问类别的时间配额，这些类别在web过滤器配置文件中设置为监视、警告或认证。

　　你可以自定义多个配额(计时器)。每个配额可以应用于单个类别，也可以应用于多个类别。如果配额适用于多个类别，则在所有类别之间共享计时器，而不是为每个单独的类别使用一个计时器。

　　如果没有启用身份验证操作，FortiGate会自动为每个源IP分配配额，如仪表板监视器所示。默认情况下，不会添加仪表板监视器。你可以单击+符号将FortiGuard配额监视器添加到用户和认证部分。

　　现在，看看配额是如何工作的。

正如上图所示，FortiGuard配额根据类别限制用户在网站上花费的时间。你还可以设置配额，对特定类别允许的流量进行配额。

　　用户一旦在他们的浏览器加载网站，配额就不能重定向。例如，如果用户的配额还剩45秒，并且他们访问了指定类别的网站，那么所选网站很可能会在剩余的45秒之前完成加载。然后，用户可以停留在该网站上，该网站不会被封锁，直到浏览器刷新。出现这种情况是因为与网站的连接通常不是实时流。在你收到信息后，连接关闭。

　　请注意，配额每24小时在午夜重置一次。

你还可以覆盖过滤器配置文件。Web配置文件覆盖更改用于检查流量的规则。覆盖功能允许指定用户、用户组或预定义源IP，使用不同的web过滤器配置文件检测流量。

　　在上图显示的例子中，应用于student用户的新配置文件，检查从应用新配置文件到计时器过期的所有用户的网络流量。要使用此重写，必须启用重写身份验证。当你启用web配置文件覆盖时，FortiGuard阻断页面会显示一个链接，你可以选择该链接来激活覆盖。

当你为基于代理设置功能集配置web过滤器配置文件时，搜索引擎过滤可用。

　　安全搜索是一些浏览器支持的选项。它对搜索结果应用内部过滤器。当你对受支持的搜索站点启用安全搜索时，FortiGate会向URL追加代码以强制使用安全搜索。例如，在谷歌搜索中，FortiGate将字符串&safe=active添加到搜索的URL中。因此，即使在浏览器中没有本地启用，FortiGate也会在请求通过时对其应用安全搜索。支持谷歌、雅虎、必应、Yandex安全搜索。

　　作为一个基于代理的web过滤功能，搜索引擎过滤只有在使用完整的SSL检查时才被支持，因为FortiGate需要访问整个头部。

你也可以在web过滤器配置文件控制web内容，以阻断访问包含特定单词或模式的网站。这有助于防止访问带有可疑材料的网站。

　　你可以添加单词、短语、模式、通配符和Perl正则表达式来匹配网站上的内容。你可以在每个web过滤器配置文件的基础上配置这个功能，而不是在全局层面上。因此，可以添加多个web内容过滤器列表，然后为每个web过滤器配置文件选择最佳列表。

　　系统管理员可以指定禁止的单词和短语，并为这些单词和短语的重要性附加一个数值或分数。当网络内容过滤器扫描到被禁止的内容时，它会在页面上添加被禁止的单词和短语的分数。如果总和高于web过滤器配置文件中设置的阈值，FortiGate将会阻断该站点。

　　一个列表中web内容模式的最大数量是5000个。

　　与搜索引擎过滤一样，FortiGate网站内容过滤需要使用深度SSL检查，因为FortiGate需要完全访问数据包报头。

你可以通过设置web过滤高级功能来提高web过滤器的性能。

　　分级选项如下：

　　● 当发生分级错误时允许的网站：如果FortiGuard网站过滤服务出现评级错误，用户可以完全不受限制地访问所有网站。

　　● 根据域和IP地址对URL分类：这个选项同时发送被请求站点的URL和IP地址进行检查，提供了额外的安全性，防止试图绕过FortiGuard系统。

当配置web过滤器配置文件使用基于代理的功能集时，web过滤的高级代理选项设置如下：

　　● 禁止访问一些谷歌帐户和服务。你可以包含一个例外列表。

　　● HTTP POST是你的浏览器在发送信息时使用的命令，因此你可以将信息和文件限制在网站上。允许选项可以防止在对发送流量进行扫描或其他过滤处理时服务器超时。

　　● 对web流量中cookies、Java applet、ActiveX脚本进行过滤。

答案：A

答案：B

现在，你了解了更多的基于代理的web过滤功能。接下来，你将学习视频过滤。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示视频过滤的能力，你将能够使用FortiGuard类别和YouTube静态ID控制对YouTube的访问。

视频过滤允许你使用与视频通道、视频类别或视频本身相关联的参数来控制对YouTube内容的访问。它是FortiGuard服务的一部分，该服务需要与其他安全FortiGuard服务捆绑的单独许可证。

　　当需要应用视频过滤器配置文件时，基于代理的防火墙策略目前支持开启视频过滤器配置文件。必须在防火墙策略上启用〖完整SSL检查〗。

　　你需要获取YouTube的API密钥才能使用视频过滤功能。API键允许FortiGate匹配用户访问YouTube内容时识别的参数，并将这些参数与视频过滤器上定义的本地类别进行匹配。

YouTube API可以帮助你在FortiGate上配置视频过滤器，并根据内容类别控制对内容的访问。你必须访问谷歌开发人员控制台才能获得API密钥。有关谷歌开发者控制台的更多信息，请访问cloud.google.com。

　　获取YouTube API密钥：

　　1. 在谷歌开发人员控制台创建一个新项目。

　　2. 通过选择组织名称和位置继续填写项目信息。

　　3. 在API和服务中，单击启用API和服务，从库中添加YouTube数据API v3。

　　4. 启用APl并创建新的凭据来生成API密钥。

　　密钥生成完成后，可以在CLI中将密钥添加到FortiGate中。在config videofilter youtube-key下创建一个新对象，并使用命令set key “youtube api key”添加这个key。

视频过滤器可以使用主要在线视频内容提供商(如YouTube)使用的通用类别识别视频。泛型分类将这些提供者的多个类别组合成一个类别。例如，FortiGuate视频类别Entertainment包括YouTube类别，如娱乐、喜剧、电影、节目和预告片。

　　FortiGuard的视频类别是通用的，涵盖了在线视频内容提供商类别中使用的常见分类。目前，它适用于YouTube、Vimeo和Dailymotion托管的内容。其中一些提供商提供API查询，使FortiGate能够识别内容，并将其与本地FortiGuard视频类别进行匹配。

　　在视频过滤配置文件中，如果允许一个FortiGuard类别，视频内容将跳过视频配置文件中配置的其他安全检查，如通道覆盖、YouTube限制级别等。如果动作被设置为监视或阻止。然后对视频内容进行在视频过滤器配置文件中配置的进一步安全检查。

你可以将限制级别设置为“中等”或“严格”，以限制你使用视频过滤器访问YouTube。当用户使用应用了视频过滤配置文件的防火墙策略访问YouTube内容时，将只向用户提供根据谷歌应用的过滤器过滤出来的内容。中等限制访问类似于严格限制，但可以提供更多的视频。

　　YouTube频道ID用于识别YouTube频道。它允许FortiGate应用操作来访问通道上的相关内容。这些操作可以允许、监视或阻断对通道的访问。如果一个视频过滤器有一个频道覆盖来阻止一个特定的YouTube频道，对这个频道的访问只会被停止到这个特定的频道。如果用户在浏览YouTube内容时试图访问该频道，就会出现一条错误消息，告诉用户必须连接到互联网。如果用户使用URL访问该通道，则会显示一条被阻断的替换消息，以确认访问被阻断的原因。

答案：A

答案：B

现在你了解了视频过滤功能。接下来，你将了解DNS和文件过滤。

完成本节后，你应该能够实现上图显示的目标。

　　通过演示DNS和文件过滤的能力，你将能够在FortiGate上应用DNS和文件过滤器。

你也可以通过DNS过滤器安全配置文件检测DNS流量。

　　这个选项不是查看HTTP协议，而是过滤在HTTP GET请求之前发生的DNS请求。这具有非常轻量级的优点，但代价很高，因为它缺乏HTTP过滤的精度。

　　虽然DNS流量是纯文本的，但它可以封装在DNS over TLS (DoT)或DNS over HTTPS (DoH)负载中。你可以使用防火墙策略中的SSL检测配置文件对负载进行解密，并对原始DNS请求应用DNS过滤器。

　　每个协议生成DNS请求来解析主机名；因此，这种过滤会影响所有依赖于DNS的高级协议，而不仅仅是web流量。例如，它可以将FortiGuard类别应用于FTP服务器的DNS请求。除了主机名过滤外，很少有web过滤功能，因为在检查点上可用的数据量很大。

本示例演示了DNS查找过程中的过滤。

　　DNS过滤查看域名服务器的响应，这通常发生在你连接到一个网站时。

　　如前所述，在HTTP中，域名和URL是分开的部分。域名在标题中可能是这样的：Host:www.acme.com，URL在头文件中可能是/index.php?login=true这样的。

　　当设备发起DNS解析时，在初始请求中发送FQDN信息。DNS查找发生在HTTP请求可以被发送之前。

　　FortiGate在收到客户端的DNS请求后，会向FortiGuard的SDNS服务器同步发送DNS请求。使用FortiGuard的SDNS服务，可能会有两个结果：

　　1. 允许的类别：原始DNS响应被传递，连接流的其余部分继续正常通过HTTP 200响应。在这一点上，其他的网络过滤器可能会被应用。

　　2. 类别被阻止：FortiGate用FortiGuard覆盖地址覆盖站点IP地址，并向客户端显示DNS错误。

　　因此，如果你正在使用DNS过滤器，并且域被阻止，那么连接甚至在HTTP请求发送之前就被阻止了。

下面看看DNS过滤器配置文件。

　　DNS过滤器包括各种配置设置。你可以启用或禁用FortiGuard基于类别的过滤器和静态域过滤器。你也可以选择：

　　● 重定向僵尸网络命令和控制请求以阻止门户

　　● 当FortiGuard web过滤服务出现评级错误时，允许DNS请求

　　● 将阻断的请求重定向到特定的门户(建议使用FortiGuard默认设置)

　　通过DNS转换功能，用户可以将DNS解析后的IP地址转换为按策略指定的另一个IP地址。

　　在你启用并保存所需的设置之后，请记住将此配置文件应用到防火墙策略以激活选项。被策略检查的任何流量都会应用这些操作。

那么，它是如何工作的呢?

　　FortiGate查询FortiGuard SDNS服务器(或者FortiManager，如果它被配置为作为本地FortiGuard服务器)来识别所请求网站的类别。

　　当用户访问网站时，FortiGate使用FortiGuard的SDNS服务来识别URL所属的类别，并对该类别采取配置的操作，例如允许或重定向到阻断门户。使用此功能，你可以执行批量URL过滤，而无需单独定义每个网站。

　　与web过滤器配置文件一样，可以在DNS过滤器配置文件中开启FortiGuard类别过滤功能。列出了类别和子类别，你可以自定义要单独执行的操作。

　　DNS过滤支持以下操作：

　　● 允许

　　● 重定向到阻挡页面

　　● 监视器

通过配置DNS过滤，可以允许、重定向到阻挡门户或通过静态域过滤器监控对网站的访问。域名列表中的条目将根据DNS请求进行检查。如果匹配成功，则执行配置的动作。

　　设置为简单的模式是精确的文本匹配。设置为通配符的模式允许出现通配符和部分匹配，从而在文本模式中具有一定的灵活性。模式设置为正则表达式允许使用PCRE正则表达式。

　　有了这个功能，你就可以阻止发出许多HTTP请求，因为最初的查找失败了。

当你在你的DNS过滤器配置文件中对已知的僵尸网络C&C启用阻断DNS请求时，DNS查找将根据僵尸网络命令和控制数据库进行检查。该数据库由FortiGuard动态更新并存储在FortiGate上。

　　所有匹配的DNS查找都被阻止。匹配使用反向前缀匹配，因此所有子域也被阻塞。

　　该服务需要激活IPS和web过滤许可。

文件过滤配置文件可以在防火墙策略中启用文件过滤功能。它检查通过HTTP和其他协议(如FTP和SSH)的文件。

　　创建新的文件过滤规则时，可以选择支持的文件类型，如压缩文件和javascript内容。该规则还可以指定是否记录或阻止文件进入或离开网络，或两者都有。

答案：A

答案：B

你现在了解了DNS和文件过滤。接下来，你将学习最佳实践和故障排除。

完成本节后，你应该能够实现上图显示的目标。

　　通过展示在最佳实践和故障排除方面的能力，你将能够应用各种最佳实践和故障排除技术来避免和调查常见问题。

请记住，web过滤配置文件有几个特性。因此，如果你启用了其中的许多项，检查命令流程如下：

　　1. 本地静态URL过滤

　　2. FortiGuard类别过滤 (以确定评级)

　　3. 高级过滤 (例如安全搜索或删除activex组件)

　　对于每一步，如果没有匹配，FortiGate将移动到下一个启用的检查。

你已经配置了安全配置文件，但它们没有执行web或DNS检查。为什么?

　　检查是否已将安全配置文件应用到防火墙策略。另外，确保根据需要应用SSL检查配置文件。

　　此外，要使用FortiGate DNS过滤器，必须使用FortiGuard SDNS服务进行DNS查找。发送给FortiGuard的DNS查找请求会返回一个IP地址和一个包含FortiGuard网站类别的域名评级。因此，FortiGuard的SDNS服务必须能够被FortiGate访问。

基于类别的过滤需要与FortiGuard进行实时连接。

　　通过CLI命令diagnose debug rating可以验证与FortiGuard服务器的连接是否正常。该命令显示可连接的FortiGuard服务器列表，以及以下信息：

　　● Weight(权重) ：基于FortiGate和该服务器之间的时区差异(由流量修改)

　　● RTT：回程时间

　　● Flags(标志)：D(从DNS返回IP)， I(联系合同服务器)，T(正在计时)，F(失败)

　　● TZ：服务器时区

　　● FortiGuard-requests：FortiGate发送给FortiGuard的请求数

　　● Curr Lost (当前丢失)：当前FortiGuard请求连续丢失的次数(连续一次，成功一个报文将重置为0)

　　● Total Lost (总计丢失)：丢失的FortiGuard请求总数

　　该列表的长度取决于FortiGuard分发网络。

FortiGate可以在内存中维护一个最近的网站评级响应列表。因此，如果URL已经已知，FortiGate不会发回评级请求。

　　默认情况下，FortiGate被配置为强制使用HTTPS端口443来使用FortiGuard或FortiManager执行实时过滤。在CLI中关闭FortiGuard的anycast设置，其他端口和协议也可以使用。这些端口和协议用于查询服务器(FortiGuard或FortiManager) HTTPS端口53和8888、UDP端口443、53和8888。如果你使用的是UDP端口53，任何类型的检查都显示此流量不是DNS，并阻止服务工作。在这种情况下，你可以切换到另一个UDP端口443或8888，或将协议更改为HTTPS，但这些端口不能保证在所有网络中开放，因此必须事先检查。

　　缓存响应减少了建立网站评级所需的时间。而且，内存查找比因特网上的信息包传输要快得多。

　　超时时间默认为15秒，但如果需要，可以将其设置为30秒。