资源描述
31,Fortinet,Confidential,29,Fortinet,Confidential,#,Fortinet,Confidential,目录,协议结构,处理原理,处理流程,部署模式,配置步骤(透明代理、透明检测模式、在线模式、旁路监听模式),常见问题解答,协议结构,协议结构,协议特点,协议的主要特点可概括如下:,支持客户/服务器模式。,简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有、。每种方法规定了客户与服务器联系的类型不同。由于协议简单,使得服务器的程序规模小,因而通信速度很快。,灵活:允许传输任意类型的数据对象。正在传输的类型由加以标记。,无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。,无状态:协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。,方法,请求方法(所有方法全为大写)有多种,各个方法的解释如下: 请求获取所标识的资源 在所标识的资源后附加新的数据 请求获取由所标识的资源的响应消息报头 请求服务器存储一个资源,并用作为其标识 请求服务器删除所标识的资源 请求服务器回送收到的请求信息,主要用于测试或诊断 保留将来使用 请求查询服务器的性能,或者查询与资源相关的选项和需求,打开:运行,80,按 + ,然后回车,输入,/ 1.0,此处输入回车换行,返回信息:,1.1 200,: , 20 2013 07:11:25,: 1.0,: 10443,: 8,:,: 1,: 0,: 0625f01e803,: 1;,: 2777_1464_3138_2975_2981_3135_2702; ;,: 743174D2366978443C2D367291; , 2043 07:11:25 ; ;,: , 20 2013 07:11:25,P3P: “,此处是空行,此处略去 N个字,其他方法的语法类似,只不过不同的方法使用目的不同,通常情况下 所有服务器均支持 其他方法不用于使用(由于存在安全隐患),请求获取所标识的资源 在所标识的资源后附加新的数据 请求获取由所标识的资源的响应消息报头 请求服务器存储一个资源,并用作为其标识请求服务器删除所标识的资源 请求服务器回送收到的请求信息,主要用于测试或诊断 保留将来使用 请求查询服务器的性能,或者查询与资源相关的选项和需求,是标准技术,不是什么黑客行为。就可以利用连接,与等的不同之处就在于代理服务器对连接处理为建立一个到目标服务器的连接而不把请求发送出去,建立连接以后代理服务器不会对连接数据作任何修改,只是转发。,方法简介,处理原理,原理,真正的核心的技术原理就是 反向代理,代理作为客户端与服务端通信的中间人,代替客户端与服务端交流。对于客户端,代理的角色是服务端用来发送响应;对于服务端,代理的角色是客户端用来发送请求。代理起的作用是网络访问控制。,代理分为正向代理和反向代理,正向代理:由客户端主动配置代理服务器,借此通过代理服务器来访问其他服务端,反向代理: 是指在服务端搭建代理,接收客户端的请求,并将请求转给其他服务器,用来实现与其他服务器之间的通信 ,以便按需求定位所请求的内容。,适合做两件事:负载均衡(是否属于反向代理的一种?)、提升性能与用户感受(利用服务器端资源在电信搭建代理通过内部光纤,为电信用户访问网通资源更快捷),正向代理 举例:,基于伟大的防火长城,类似、等网站是基本无法访问的,通知我们需要拨通或使用在线代理来翻跃那座可恶的墙。这里及在线代理的作用就是一个正向代理:由客户端主动设置,通过代理连接指定服务端!,个人理解,防火长城其实也是属于代理的一种,它在监控着国人对互联网另一端的请求。当发现你请求的网站涉及危害幼小心灵,容易引你走向歧途时,会将服务器另一端的返回(或者是你的请求直接给断掉)给拦截住,而返回给你一个无法打开页面的错误提示。 这时代理起的作用是过滤内容,净化网络环境!,原理,某种特殊模式处理并非代理,如:(的透明检测、旁路监听),1 处理,2 镜像,这些特殊的部署局限性:,不能对数据进行重写、修改、或者擦除只能阻断或者丢弃。,特殊处理,部署模式,部署模式,透明代理模式,透明检测模式,在线代理模式,离线检测模式,透明代理模式,物理部署:透明串在服务器前端(类似交换机),优 点:无需改变客户现有网络结构,注:需要单独连接管理线,透明代理原理实现: 通过进行隐含两次来实现,因此性能要比在线代理模式下略低,服务器,正常用户,透明检测模式,物理部署:透明串在服务器前端(类似交换机),优 点:无需改变客户现有网络结构,注:需要单独连接管理线,透明检测原理实现: 内部将业务接口的数据镜像给上层协议分析器,对攻击数据向客户端和服务器发送包来阻断。,无法拦截单包攻击报文,阻断效果受影响,服务器,正常用户,在线代理模式,物理部署:只要路由可达即可(单臂或者双臂均支持),优 点:功能最全(支持负载均衡等),缺 点:需要改变防火墙映射,隐藏客户端和服务器,思考:转发到服务器的源是谁?,在线代理原理实现:简单理解为类似于防火墙或者路由器做映射,但处理上是使用代理实现,服务器,正常用户,离线检测模式,物理部署:单臂部署,在交换机上做端口镜像,优 点:对现网无任何影响,思考:转发到服务器的源是谁?,离线检测原理实现:通过交换机上端口镜像将双向数据到进行安全检测,对攻击或者潜在威胁使用阻断,无法拦截单包攻击报文,阻断效果受影响,服务器,正常用户,配置步骤,配置步骤,修改设备配置模式,添加虚拟服务器(只适用于在线代理模式),添加物理服务器,添加物理服务器组,添加虚拟(只适用于透明代理或者透明检测模式),建立已知保护策略,建立在线保护规范(只适用于在线代理模式或者透明代理模式),建立离线保护规范(只适用于离线检测模式或者透明检测模式),建立策略将虚拟服务器(在线代理模式)、物理服务器组、(透明代理模式、透明检测模式)、保护规范等关联,修改设备配置模式,添加虚拟服务器(只适用于在线代理模式),添加物理服务器,添加物理服务器组,添加虚拟(只适用于透明代理或者透明检测模式),建立已知攻击保护策略,建立在线保护规范(只适用于在线代理模式或者透明代理模式),建立离线保护规范(只适用于离线检测模式或者透明检测模式),建立策略将虚拟服务器,建立策略将虚拟服务器(在线代理模式)、物理服务器组、物理服务器(只适用于在线代理模式)、(透明代理模式、透明检测模式)、保护规范等关联,其他部署模式,建立策略的时候可以根据相应模式出现的配置进行选择即可如下面的截图,常见问题解答,网站部分页面被误拦,如何处理,找出被误拦的页面或者图片等名称,在攻击日志中搜索被拦截的日志,在日志中添加例外或者全局禁用特征,部署,FortiWeb,之后,负载均衡设备不工作了,现象描述:,透明代理模式不属于负载均衡与,web,服务器之间出现负载停止转发,HTTP,数据,负载均衡上的检查服务器存活的状态异常,无法检测到服务器存活,导致负载均衡停止向服务器转发数据,原因分析:,在,FortiWeb,抓包发现,FortiWeb,接收到负载均衡发过来的存活检查报文为,GET,报文,但是,GET,报文格式不规范,,FortiWeb,会将丢弃此报文,并断开连接。,解决方法:,在,F5,上输入正确的,GET,报文格式,工作正常。,
展开阅读全文