A solução Web Filtering disponível nos firewalls Fortigate licenciados permite aos administradores restringir ou controlar o conteúdo de páginas web exibidos nos navegadores de Internet. A funcionalidade pode ser utilizada para melhorar a segurança, censurar páginas e aumentar a “produtividade” dos usuários.
Modos de inspeção
O Web Filtering pode operar basicamente nos modos de inspeção proxy-based e flow-based. Cada modo tem as suas vantagens e desvantagens do ponto de vista de configuração, desempenho e controle. Cada componente da inspeção possui uma função para o processamento do trafego. Em muitos casos o modo proxy é preferido em razão das funcionalidades para o security profile – pois existem muito mais opções de configurações disponíveis. Entretanto, algumas implementações requerem o uso do modo de inspeção flow-based para melhor uso do throughput.
Modo proxy-based
O modo proxy-based utiliza um proxy para montar e analisar o conteúdo web à medida o tráfego passa pelo FortiGate. Se uma página estiver bloqueada, o proxy pode substituir a página bloqueada por uma página personalizável, informando os usuários que a página está bloqueada. A funcionalidade web filtering proxy-based é o modo que possui mais recursos para Web filter incluindo filtragem de conteúdo, filtragem para applet Java e bloqueio de URLs inválidas.
Basicamente o modo proxy-based refere-se a um proxy transparente, pois o Fortigate não é o endereço de destino do pacote, mas faz a interceptação do mesmo, buferizando o tráfego caso necessário e o examinando como um todo antes de tomar uma ação. No ponto de vista da conexão TCP, o Fortigate gera um SYN-ACK para o cliente (em resposta ao SYN direcionado ao site) e completa o three-way handshake como também cria uma segunda conexão TCP com o servidor web.
Durante a analise do tráfego o proxy verifica o cabeçalho e pode fazer alterações no HTTP e nas URLs para fins de filtro web. Caso o security profile decida bloquear a conexão, o proxy poderá enviar uma mensagem de substituição para cliente. Todo o processo proxy-based adiciona latencia na conexão TCP.
Inspeções proxy-based são mais efetivas que outros métodos produzindo poucos falsos positivos/resultados negativos.
Modo Flow-based
O modo flow-based utiliza a engine FortiOS IPS para filtrar pacotes de conteúdo web a medida que passam pelo Fortigate (sem qualquer buffering). O tráfego original não é alterado e funcionalidades avançadas que modificam o conteúdo como safe search enforcement, não são suportados.
As principais vantagens do modo flow-based são:
– O usuário percebe rápido tempo de resposta para requisições HTTP comparado com o modo proxy-based.
– Existe menos chance de erros de timeout ou lentidão.
O modo de inspeção flow-based – permite escolher o modo NGFW como profile-based que requer ao administrador criar os perfis de web filtering (web filtering profile) e então aplicar o perfil na firewall policy – ou o modo policy-based – permitindo ao administrador aplicar o web filtering diretamente na firewall policy sem necessidade de configurar os profiles (essa configuração também afeta o modo do app control).
Referências
FortiGate Security Study Guide for FortiOS 5.6.22
FortiOS Handbook – Security Profiles – version 6.0.1