Fortigate: Web Filter (Flow-Based e Proxy-Based)

A solução Web Filtering disponível nos firewalls Fortigate licenciados permite aos administradores restringir ou controlar o conteúdo de páginas web exibidos nos navegadores de Internet. A funcionalidade pode ser utilizada para melhorar a segurança, censurar páginas e aumentar a “produtividade” dos usuários.

Modos de inspeção

O Web Filtering pode operar basicamente nos modos de inspeção proxy-based e flow-based.  Cada modo tem as suas vantagens e desvantagens do ponto de vista de configuração, desempenho e controle.  Cada componente da inspeção possui uma função para o processamento do trafego. Em muitos casos o modo proxy é preferido em razão das funcionalidades para o security profile – pois existem muito mais opções de configurações disponíveis. Entretanto, algumas implementações requerem o uso do modo de inspeção flow-based para melhor uso do throughput.

Altere o modo de inspeção Global em System > Settings

Modo proxy-based

O modo proxy-based utiliza um proxy para montar e analisar o conteúdo web à medida o tráfego passa pelo FortiGate. Se uma página estiver bloqueada, o proxy pode substituir a página bloqueada por uma página personalizável, informando os usuários que a página está bloqueada. A funcionalidade web filtering proxy-based é o modo que possui mais recursos para Web filter incluindo filtragem de conteúdo, filtragem para applet Java e bloqueio de URLs inválidas.

Basicamente o modo proxy-based refere-se a um proxy transparente, pois o Fortigate não é o endereço de destino do pacote, mas faz a interceptação do mesmo, buferizando o tráfego caso necessário e o examinando como um todo antes de tomar uma ação. No ponto de vista da conexão TCP, o Fortigate gera um SYN-ACK para o cliente (em resposta ao SYN direcionado ao site) e completa o three-way handshake  como também cria uma segunda conexão TCP com o servidor web.

Durante a analise do tráfego o proxy verifica o cabeçalho e pode fazer alterações no HTTP e nas URLs para fins de filtro web. Caso o security profile decida bloquear a conexão, o proxy poderá enviar uma mensagem de substituição para cliente. Todo o processo proxy-based adiciona latencia na conexão TCP.

Inspeções proxy-based são mais efetivas que outros métodos produzindo poucos falsos positivos/resultados negativos.

Configurações Web Filter no modo proxy-based

Modo Flow-based

O modo flow-based utiliza a engine FortiOS IPS para filtrar pacotes de conteúdo web a medida que passam pelo Fortigate (sem qualquer buffering). O tráfego original não é alterado e funcionalidades avançadas que modificam o conteúdo como safe search enforcement, não são suportados.

As principais vantagens do modo flow-based são:

– O usuário percebe rápido tempo de resposta para requisições HTTP comparado com o modo proxy-based.
– Existe menos chance de erros de timeout ou lentidão.

O modo de inspeção flow-based – permite escolher o modo NGFW  como profile-based que requer ao administrador criar os perfis de web filtering (web filtering profile) e então aplicar o perfil na firewall policy – ou o modo policy-based – permitindo ao administrador aplicar o web filtering diretamente na firewall policy sem necessidade de configurar os profiles (essa configuração também afeta o modo do app control).

Inspection mode do web filtering como flow-based ou proxy based
Web filtering configurado como Flow-based com Profile-based

Referências

FortiGate Security Study Guide for FortiOS 5.6.22
FortiOS Handbook – Security Profiles – version 6.0.1

Leave a Reply

Your email address will not be published. Required fields are marked *