NS4 Security 351-400

Machine Translated by Google
Operaciones de certificado
NO REIMPRIMIR
© FORTINET
Si utiliza el método basado en archivos, la CSR se agrega a su lista de certificados en la página Certificados.
Seleccione la CSR y haga clic en Descargar. El administrador ahora puede enviar el archivo (.csr), que es una solicitud PKCS#10, a la
CA. PKCS#10 es el formato más común para una solicitud de certificado. La CA utiliza este archivo para generar un certificado
firmado.
Si utiliza el método SCEP en línea, ingrese la URL del servidor de CA utilizada para SCEP y la contraseña de desafío
proporcionada por el administrador de CA. El CSR se envía automáticamente en línea.
Después de enviar la CSR utilizando cualquiera de los métodos, FortiGate muestra el estado del certificado como Pendiente hasta
que la CA devuelve el certificado y lo importa a FortiGate. En este punto, el estado cambia a Válido y se puede utilizar el certificado
digital.
Tenga en cuenta que si elimina la CSR, no podrá instalar el certificado y deberá comenzar de nuevo.
Guía de estudio de FortiGate Security 7.0 351

NO REIMPRIMIR
© FORTINET
El método basado en archivos para enviar una CSR es un proceso manual. El proceso SCEP, que ocurre automáticamente
en línea, no requiere la importación manual de archivos.
Puede importar el certificado desde la página Certificados. Haga clic en Importar y seleccione Certificado local. En el cuadro de
diálogo Importar certificado, en el campo Tipo, seleccione Certificado local y busque el archivo CER proporcionado por la CA.
Después de importar el certificado, el estado cambia de Pendiente a Válido. Tenga en cuenta que es posible agregar un certificado
que utilice FortiGate en las comunicaciones SSL sin generar y firmar una CSR. La CA puede crear un certificado para su FortiGate
sin una CSR (aunque la CA es responsable de proporcionar todos los detalles del certificado para su dispositivo FortiGate). De
esta forma, puede agregar un certificado utilizando los siguientes métodos:
• Cargue un archivo PKCS#12, que es un archivo único que incluye el archivo de certificado firmado y el archivo de clave.
• Cargue un archivo de certificado y el archivo de clave
Un usuario administrador con el perfil super_admin puede poner una contraseña en un certificado y controlar el acceso a su clave
privada.

NO REIMPRIMIR
© FORTINET
También puede importar el certificado local que obtiene un servicio externo mediante el protocolo ACME.
Definida en RFC 8555, la importación automática de certificados locales puede usar la CA pública de Let's Encrypt para proporcionar
certificados de servidor SSL gratuitos. Puede configurar FortiGate para usar un certificado administrado por Let's Encrypt y otros
servicios de administración de certificados que usan el protocolo ACME.
La importación de certificados ACME debe cumplir con los siguientes criterios:

• FortiGate debe tener una dirección IP pública y un FQDN de nombre de host que se resuelva en la misma IP pública
habla a.
• La interfaz pública a la que puede acceder ACME no debe tener una IP virtual configurada para reenviar el puerto 80
(HTTP) o 443 (HTTPS). La interfaz tiene que escuchar las solicitudes de actualización de ACME.
• El campo SAN se archiva automáticamente con el FQDN de FortiGate. No se puede editar ni permitir que tenga múltiples
SAN o comodines.

NO REIMPRIMIR
© FORTINET
Cuando FortiGate está validando un certificado, verifica que el número de serie del certificado no aparezca en una CRL importada
a FortiGate.
Puede importar una CRL desde la página Certificados haciendo clic en Importar > CRL. En el cuadro de diálogo Importar CRL, puede
seleccionar una de estas cuatro opciones de importación: HTTP, LDAP, SCEP y Basado en archivo. Las tres primeras opciones
apuntan a repositorios externos y requieren que se conecte a los repositorios para cargar la CRL en FortiGate.
La última opción, Basado en archivo, requiere que tenga el archivo CRL almacenado localmente antes de poder cargar la CRL en
FortiGate.
Antes de que caduque la CRL, FortiGate recupera automáticamente la última iteración utilizando el protocolo especificado en la
configuración.

NO REIMPRIMIR
© FORTINET
Cuando realiza una copia de seguridad de la configuración de FortiGate, también se realiza una copia de seguridad de las claves y los certificados.
FortiGate también brinda la opción de almacenar certificados digitales como un archivo PKCS#12, que incluye las claves públicas y privadas, así como
el certificado. Puede restaurar el archivo PKCS#12 en un dispositivo FortiGate de cualquier modelo o versión de firmware, o en un dispositivo que no sea
FortiGate.
Puede realizar la copia de seguridad y la restauración solo en la CLI, lo que requiere el uso de un servidor TFTP.

NO REIMPRIMIR
© FORTINET
Puede configurar una CA y un certificado local globalmente o para un VDOM. Si carga un certificado en un VDOM, solo se puede
acceder a él dentro de ese VDOM. Si carga un certificado globalmente, es accesible para todos los VDOM y globalmente.
La configuración de certificados global y basada en VDOM incluye la capacidad de ver los detalles del certificado, así como
descargar, eliminar e importar certificados.
Tenga en cuenta que algunos de los certificados de FortiGate tienen algoritmos de firma específicos y longitudes de clave en sus
nombres, como Elliptic Curve Digital Signature Algorithm 256 (ECDSA256) y RSA2048. Los requisitos técnicos y de política pueden
determinar qué certificados utiliza.

NO REIMPRIMIR
© FORTINET
Si utiliza un certificado SSL emitido por una CA privada, debe instalar el certificado de CA en la lista de CA de confianza. Si no
lo hace, aparecerá un mensaje de advertencia en su navegador web cada vez que acceda a un sitio web HTTPS. Las comunicaciones
cifradas también pueden fallar, simplemente porque la CA que emitió y firmó el certificado no es de confianza.
Una vez que descargue el certificado SSL de FortiGate, puede instalarlo en cualquier navegador web o sistema operativo. No
todos los navegadores usan el mismo repositorio de certificados. Por ejemplo, Firefox usa su propio repositorio, mientras que
Internet Explorer y Chrome almacenan certificados en un repositorio de todo el sistema. Para evitar las advertencias de certificado,
debe instalar el certificado SSL como una CA raíz de confianza.
Cuando instale el certificado, asegúrese de guardarlo en el almacén de certificados para autoridades raíz.

NO REIMPRIMIR
© FORTINET

NO REIMPRIMIR
© FORTINET
¡Felicidades! Has completado esta lección.
Ahora, revisará los objetivos que cubrió en esta lección.

NO REIMPRIMIR
© FORTINET
Esta diapositiva muestra los objetivos que cubrió en esta lección.
Al dominar los objetivos cubiertos en esta lección, aprendió cómo FortiGate usa certificados y cómo administrar y trabajar con
certificados en su red.

Filtrado web
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá a configurar el filtrado web en FortiGate para controlar el tráfico web en su red.

Filtrado web
NO REIMPRIMIR
© FORTINET
En esta lección, aprenderá sobre los temas que se muestran en esta diapositiva.

Filtrado web
NO REIMPRIMIR
© FORTINET
Después de completar esta sección, debería poder lograr los objetivos que se muestran en esta diapositiva.
Al demostrar competencia en la comprensión de los modos de inspección, podrá implementar los modos
de inspección apropiados para respaldar los perfiles de seguridad deseados.

Filtrado web
NO REIMPRIMIR
© FORTINET
Cada componente de inspección juega un papel en el procesamiento del tráfico en su camino hacia su destino. Tener control
sobre el modo basado en flujo y basado en proxy es útil si quiere estar seguro de que solo se utiliza el modo de inspección
basado en flujo. En la mayoría de los casos, se prefiere el modo proxy porque hay más funciones de perfil de seguridad y
más opciones de configuración disponibles. Sin embargo, algunas implementaciones requieren que todo el análisis del perfil
de seguridad use solo el modo de inspección basado en el flujo para obtener el mayor rendimiento posible. Puede configurar
la política de firewall para usar el modo basado en flujo (que es la opción predeterminada para una nueva política) y viceversa.
Si bien ambos modos ofrecen una seguridad significativa, el modo basado en proxy es más completo, mientras que el modo basado en fluj
Puede seleccionar el modo de inspección en una política de firewall. Cambiar del modo basado en flujo al modo basado en
proxy no requerirá eliminar los perfiles de seguridad seleccionados en la política. Sin embargo, cambiar del modo basado
en proxy al basado en flujo eliminará cualquier perfil de seguridad configurado para usar el modo de inspección basado en proxy.

Filtrado web
NO REIMPRIMIR
© FORTINET
El modo de inspección basado en flujo examina el archivo a medida que pasa por FortiGate, sin almacenamiento en búfer. A medida que llega
cada paquete, se procesa y reenvía sin esperar el archivo completo o la página web. Si está familiarizado con el análisis de flujo TCP de
Wireshark, eso es esencialmente lo que ve el motor de flujo. Los paquetes se analizan y reenvían a medida que se reciben. El tráfico original
no se altera. Por lo tanto, no se admiten las funciones avanzadas que modifican el contenido, como la aplicación de búsqueda segura.
Las ventajas del modo basado en flujo son:

• El usuario ve un tiempo de respuesta más rápido para las solicitudes HTTP en comparación con las basadas en proxy.
• Hay menos posibilidades de un error de tiempo de espera debido a que el servidor en el otro extremo responde lentamente
Las desventajas del modo basado en flujo son:

• Varias características de seguridad que están disponibles en el modo basado en proxy no están disponibles en el modo basado en flujo
• Hay menos acciones disponibles según la categorización del sitio web por los servicios de FortiGuard

Filtrado web
NO REIMPRIMIR
© FORTINET
El escaneo basado en proxy se refiere al proxy transparente. Se llama transparente porque, en la capa IP, FortiGate no es la
dirección de destino, pero FortiGate intercepta el tráfico. Cuando la inspección basada en proxy está habilitada, FortiGate
amortigua el tráfico y lo examina como un todo, antes de determinar una acción. Debido a que FortiGate examina los datos
como un todo, puede examinar más puntos de datos que cuando usa la inspección basada en flujo.
En las conexiones TCP, el proxy FortiGate genera el SYN-ACK para el cliente y completa el protocolo de enlace de tres
vías con el cliente, antes de crear una segunda conexión nueva con el servidor. Si la carga útil es menor que el límite de
tamaño excesivo, el proxy almacena en búfer los archivos o correos electrónicos transmitidos para su inspección, antes de continuar co
El proxy analiza los encabezados y puede cambiar los encabezados, como el host HTTP y la URL, para el filtrado web.
Si un perfil de seguridad decide bloquear la conexión, el proxy puede enviar un mensaje de reemplazo al cliente.
Esto agrega latencia a la velocidad de transmisión general.
La inspección basada en proxy es más minuciosa que la inspección basada en flujo y produce menos falsos
positivos y resultados negativos.

Filtrado web
NO REIMPRIMIR
© FORTINET
Los filtros web de FortiGate también son perfiles de seguridad. Los perfiles de seguridad son personalizables, según el
modo de inspección seleccionado. Entonces, el primer paso, antes de configurar un filtro web, es configurar el modo de inspección.
El perfil de opciones de protocolo determina los protocolos que utilizan sus perfiles de seguridad, por ejemplo, para inspeccionar el
tráfico web o DNS.
Tenga en cuenta que los números de puerto de inspección de HTTPS y otras configuraciones relacionadas con el manejo de
SSL se definen por separado en el perfil de inspección de SSL/SSH.

Filtrado web
NO REIMPRIMIR
© FORTINET
FortiGate, o el VDOM individual, tiene dos modos de firewall de próxima generación (NGFW) disponibles:
1. Modo basado en perfiles: requiere que los administradores creen y utilicen perfiles de filtro web y control de aplicaciones y los
apliquen a una política de firewall. El modo basado en perfil es aplicable para usar el modo de inspección basado en flujo o
proxy según la política.
2. Modo basado en políticas: los administradores pueden aplicar el control de aplicaciones y la configuración del filtro web
directamente a una política de seguridad. El modo de inspección basado en flujo es el único proceso aplicable disponible en
el modo NGFW basado en políticas.
El análisis antivirus está disponible como un perfil de seguridad que puede aplicar en una política de firewall en modo NGFW basada
en perfil o en una política de seguridad en modo NGFW basada en política.
Puede cambiar el modo NGFW en la configuración del sistema de FortiGate o en el VDOM individual. Tenga en cuenta que el
cambio requerirá que elimine todas las políticas existentes en cualquier modo.

Filtrado web
NO REIMPRIMIR
© FORTINET
Si configuró FortiGate para usar el modo basado en políticas de NGFW o creó un VDOM específicamente para proporcionar el
modo basado en políticas de NGFW, debe configurar algunas políticas para permitir el tráfico.
Política de inspección y autenticación SSL (consolidada): Esto permite que el tráfico de un usuario o grupo de usuarios específico
coincida con los criterios especificados en la política consolidada e inspeccionar el tráfico SSL usando el perfil de inspección SSL
seleccionado. FortiGate puede aceptar o denegar el tráfico.
Política de seguridad: si el tráfico está permitido según la política consolidada, FortiGate lo procesa en función de la política de seguridad
para analizar criterios adicionales, como categorías de URL para filtrado web y control de aplicaciones.
Además, si está habilitada, la política de seguridad inspecciona aún más el tráfico utilizando perfiles de seguridad como AV, IPS y
filtro de archivos.

Filtrado web
NO REIMPRIMIR
© FORTINET

Filtrado web
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los modos de inspección.
Ahora, aprenderá sobre los conceptos básicos de filtrado web.

Filtrado web
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en los conceptos básicos de filtrado web, podrá describir perfiles de filtro web,
usar perfiles de filtro web FortiGuard, configurar anulaciones de filtro web, definir categorías personalizadas y enviar FortiGuard
solicitudes de calificación.

Filtrado web
NO REIMPRIMIR
© FORTINET
El filtrado web ayuda a controlar o rastrear los sitios web que visitan las personas. Hay muchas razones por las
que los administradores de red aplican el filtrado web, que incluyen: • Preservar la productividad de los empleados
• Evitar la congestión de la red, donde el ancho de banda valioso se usa para fines no comerciales • Evitar la
pérdida o exposición de información confidencial • Disminuir la exposición a amenazas basadas en la web • Limite
la responsabilidad legal cuando los empleados accedan o descarguen material inapropiado u ofensivo. • Evite la
infracción de derechos de autor causada por empleados que descargan o distribuyen materiales con derechos de
autor. • Evite que los niños vean material inapropiado.

Filtrado web
NO REIMPRIMIR
© FORTINET
(la diapositiva contiene animación)
El ejemplo de esta diapositiva muestra el flujo de un proceso de filtro HTTP.
FortiGate busca la solicitud HTTP GET para recopilar información de URL y realizar el filtrado web.
Entonces, como se muestra, en HTTP el nombre de dominio y la URL son piezas separadas. El nombre de dominio podría tener el siguiente
aspecto en el encabezado: Host: www.acme.com, y la URL podría tener el siguiente aspecto en el encabezado: /index.php?login=true.
Si filtras por dominio, a veces bloquea demasiado. Por ejemplo, los blogs en tumblr.com se consideran contenido diferente, debido a
todos los diferentes autores. En ese caso, puedes ser más específico y bloquear por la parte de la URL, tumblr.com/hacking, por ejemplo.

Filtrado web
NO REIMPRIMIR
© FORTINET
Ahora, mirará el perfil del filtro web.
Puede configurar este perfil de seguridad para utilizar un conjunto de funciones para los modos de inspección basados en proxy o en flujo.
Sin embargo, dependiendo del modo que seleccione, las configuraciones disponibles son diferentes. La inspección basada en el flujo
tiene menos opciones disponibles.
En los ejemplos que se muestran en esta diapositiva, el perfil de filtro web tiene un filtro basado en categorías de FortiGuard
que clasifica los sitios web según las categorías y subcategorías de FortiGuard. FortiGate ofrece dos opciones de NGFW:
• Basado en perfil (predeterminado)

• Los filtros web se definen como perfiles de seguridad y se aplican a la política de firewall
• Basado en políticas
• Las categorías de URL se definen directamente bajo la política de firewall

Filtrado web
NO REIMPRIMIR
© FORTINET
En el ejemplo que se muestra en esta diapositiva, el perfil de seguridad está configurado para usar un conjunto de funciones basadas
en proxy. El perfil está disponible para una política de firewall configurada para usar el modo de inspección basado en proxy. Otras
opciones locales incluyen:
• Los motores de búsqueda
• Filtro de URL estática
• Opciones de calificación
• Opciones de representación
Después de configurar su perfil de filtro web, aplique este perfil a su política de firewall para que el filtrado se aplique a su tráfico web.

Filtrado web
NO REIMPRIMIR
© FORTINET
En lugar de bloquear o permitir sitios web individualmente, el filtrado de categorías de FortiGuard analiza la categoría
con la que se calificó un sitio web. Luego, FortiGate toma medidas en función de esa categoría, no en función de la URL.
El filtrado de categorías de FortiGuard es un servicio en vivo que requiere un contrato activo. El contrato valida las
conexiones a la red FortiGuard. Si el contrato expira, hay un período de gracia de dos días durante el cual
puedes renovar el contrato antes de que corte el servicio. Si no renueva, después del período de gracia de dos días,
FortiGate informa un error de calificación por cada solicitud de calificación realizada. Además, de forma predeterminada,
FortiGate bloquea las páginas web que devuelven un error de calificación. Puede cambiar este comportamiento habilitando la
opción Permitir sitios web cuando se produzca un error de calificación. Aprenderá más sobre esta configuración en esta lección.
Puede configurar FortiManager para que actúe como un servidor FortiGuard local. Para hacer esto, debe descargar las
bases de datos a FortiManager y configurar FortiGate para validar las categorías contra FortiManager, en lugar de FortiGuard.

Filtrado web
NO REIMPRIMIR
© FORTINET
Las categorías de sitios web están determinadas por métodos automáticos y humanos. El equipo de
FortiGuard tiene rastreadores web automáticos que analizan varios aspectos del sitio web para obtener una
calificación. También hay personas que examinan sitios web y analizan solicitudes de calificación para determinar categorías
Para revisar la lista completa de categorías y subcategorías, visite

www.fortiguard.com/webfilter/categories.

Filtrado web
NO REIMPRIMIR
© FORTINET
¿Entonces, cómo funciona?
FortiGate consulta el FDN, o FortiManager, si se ha configurado para actuar como un servidor FortiGuard local, para determinar la
categoría de una página web solicitada.
Cuando los usuarios visitan sitios web, FortiGate utiliza el servicio en vivo de FortiGuard para determinar la categoría a la que
pertenece la URL y realiza una acción configurada para esa categoría, como permitir o bloquear el acceso. Con esta función,
puede realizar un filtrado masivo de URL, sin definir individualmente cada sitio web.
Puede habilitar el filtrado de categorías de FortiGuard en el filtro web o en los perfiles de filtro DNS. Se enumeran las
categorías y subcategorías, y puede personalizar las acciones para realizarlas individualmente.
Las acciones disponibles dependen del modo de inspección:

• Proxy: permitir, bloquear, monitorear, advertir y autenticar
• Basado en flujo, basado en perfil: permitir, bloquear, monitorear, advertir y autenticar
• Basado en flujo, basado en políticas: Acción definida en una política de seguridad (aceptar o denegar)

Filtrado web
NO REIMPRIMIR
© FORTINET
La acción de advertencia informa a los usuarios que el sitio web solicitado no está permitido por las políticas de Internet. Sin embargo,
la acción le da al usuario la opción de continuar al sitio web solicitado o regresar al sitio web anterior.
Puede personalizar el intervalo de advertencia, por lo que puede presentar esta página de advertencia en momentos específicos, de acuerdo con
el periodo configurado.

Filtrado web
NO REIMPRIMIR
© FORTINET
La acción de autenticación bloquea los sitios web solicitados, a menos que el usuario ingrese un nombre de usuario y
contraseña correctos.
Puede personalizar el intervalo de tiempo para permitir el acceso. No se solicita a los usuarios que se autentiquen de
nuevo si acceden a otros sitios web de la misma categoría hasta que expire el temporizador.
Al elegir esta acción, se le solicita que defina grupos de usuarios que pueden anular el bloqueo.

Filtrado web
NO REIMPRIMIR
© FORTINET
La función Threat Feeds permite a FortiGate importar dinámicamente listas de bloqueo externas desde un servidor HTTP.
Puede utilizar las listas de bloqueo para hacer cumplir los requisitos de seguridad especiales especificados por su organización. Estas
los requisitos pueden incluir políticas a largo plazo para bloquear siempre el acceso a sitios web específicos, o requisitos a
corto plazo para bloquear el acceso a ubicaciones comprometidas conocidas. Estas listas de bloqueo son archivos de texto que están
en formato de texto sin formato, donde cada línea contiene una sola URL para bloquear.
Debido a que las listas se importan dinámicamente, FortiOS importa instantáneamente cualquier cambio realizado en la lista.
utilizando la función Security Fabric.
Categoría de FortiGuard: este nombre de recurso aparece como una categoría remota en los perfiles de filtro web y las
exenciones de inspección de SSL.
Dirección IP: este nombre de recurso aparece como una lista de bloqueo de IP externa en los perfiles de filtro DNS y como un
origen/destino en la política de IPv4, IPv6 y la política de proxy.
Nombre de dominio: este nombre de recurso aparecerá como una categoría remota en los perfiles de filtro DNS.
Tasa de actualización: con esta configuración, puede especificar con qué frecuencia, en minutos, las listas de bloqueo se pueden
actualizar desde la fuente externa.
El tamaño del archivo de la lista de bloqueo puede ser de 10 MB o 128 000 líneas de texto, lo que sea más restrictivo.
Tenga en cuenta que el perfil DNS solo admite direcciones IPv4 e ignora las direcciones IPv6.

Filtrado web
NO REIMPRIMIR
© FORTINET
Puede agregar listas de bloqueo

dinámico a: • Perfiles de filtro web y exenciones de inspección SSL
• Perfiles de filtro DNS y direcciones de origen/destino en políticas de firewall

Filtrado web
NO REIMPRIMIR
© FORTINET
Cuando se usa el filtrado de categorías de FortiGuard para permitir o bloquear el acceso a un sitio web, una opción es anular la
calificación web y definir el sitio web en una categoría diferente. Las calificaciones web son solo para nombres de host; no se
permiten direcciones URL ni caracteres comodín.
Si el contrato vence y pasa el período de gracia de dos días, las anulaciones de calificación web no serán efectivas. Todas las
solicitudes de calificación de categorías de sitios web se devuelven con un error de calificación.

Filtrado web
NO REIMPRIMIR
© FORTINET
Si desea hacer una excepción, por ejemplo, en lugar de desbloquear el acceso a una categoría potencialmente no
deseada, cambie el sitio web a una categoría permitida. También puedes hacer lo contrario. Puede bloquear un sitio
web que pertenezca a una categoría permitida.
Recuerde que cambiar de categoría no implica automáticamente una acción diferente para el sitio web. Esta
depende de la configuración dentro del perfil de filtro web.

Filtrado web
NO REIMPRIMIR
© FORTINET
Si las categorías predefinidas en FortiGuard no son adecuadas para la situación, puede agregar categorías
personalizadas adicionales.
Puede agregar y eliminar categorías personalizadas según sea necesario, siempre que no estén en uso.

Filtrado web
NO REIMPRIMIR
© FORTINET
El filtrado de URL estáticas es otra función de filtro web. Las URL configuradas en el filtro de URL se comparan con los sitios
web visitados. Si se encuentra una coincidencia, se realiza la acción configurada. El filtrado de URL tiene los mismos
patrones que el filtrado de dominios estáticos: simple, expresiones regulares y comodines.
Echa un vistazo a cómo funciona.
Cuando un usuario visita un sitio web, FortiGate busca en la lista de URL una entrada coincidente. En el ejemplo que se
muestra en esta diapositiva, el sitio web coincide con la tercera entrada de la tabla, que se establece como tipo Simple. Este
tipo significa que la coincidencia debe ser exacta; no hay opción para una coincidencia parcial con este patrón. Además, la
acción está configurada en Bloquear, por lo que FortiGate muestra un mensaje de página de bloqueo.

Filtrado web
NO REIMPRIMIR
© FORTINET
Siempre existe la posibilidad de errores en las calificaciones, o un escenario en el que simplemente no está de acuerdo con la
calificación otorgada. En ese caso, puede utilizar el portal web para ponerse en contacto con el equipo de FortiGuard para enviar un
sitio web para una nueva calificación u obtener una calificación si aún no está en la base de datos.

Filtrado web
NO REIMPRIMIR
© FORTINET

Filtrado web
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende los conceptos básicos del filtrado web.
Ahora, aprenderá sobre funciones adicionales de filtrado web basadas en proxy.

Filtrado web
NO REIMPRIMIR
© FORTINET
Al demostrar competencia en funciones adicionales de filtrado web basadas en proxy, podrá configurar cuotas
de uso, anulaciones de perfiles web, filtros de motores de búsqueda y filtrado de contenido web.

Filtrado web
NO REIMPRIMIR
© FORTINET
FortiGate también incluye una función para personalizar las cuotas de tiempo para acceder a las categorías que están
configuradas para monitorear, advertir o autenticar en el perfil de filtro web en el modo de inspección basado en proxy.
Puede personalizar varias cuotas (temporizadores). Cada cuota se puede aplicar a una sola categoría o a varias categorías.
Si la cuota se aplica a varias categorías, el temporizador se comparte entre todas las categorías en lugar de tener un solo
temporizador para cada categoría individual.
FortiGate asigna automáticamente cuotas para cada IP de origen, o cada usuario si se usa la acción de autenticación, como
muestra el monitor del tablero. De forma predeterminada, el monitor del tablero no se agrega. Puede hacer clic en el símbolo
+ para agregar el monitor de cuota de FortiGuard a la sección Usuario y autenticación.
Ahora, observe cómo funcionan las cuotas.

Filtrado web
NO REIMPRIMIR
© FORTINET
Como se muestra en esta diapositiva, la cuota de FortiGuard limita el tiempo que los usuarios pasan en los sitios web, según la categoría.
También puede establecer una cuota sobre la cantidad de tráfico que se puede permitir a una categoría en particular.
Una cuota no puede redirigir al usuario una vez que el sitio web se carga en su navegador. Por ejemplo, si al usuario le quedan 45 segundos en
su cuota y accede a un sitio web desde la categoría especificada, es probable que el sitio web seleccionado termine de cargarse antes de que
se agoten los 45 segundos restantes. Luego, el usuario puede permanecer en ese sitio web y ese sitio web no se bloqueará hasta que se actualice
el navegador. Este escenario ocurre porque la conexión al sitio web no es, por lo general, una transmisión en vivo. Después de recibir la
información, la conexión se cierra.
Tenga en cuenta que la cuota se restablece cada 24 horas a la medianoche.

Filtrado web
NO REIMPRIMIR
© FORTINET
También puede anular el perfil de filtro. Las anulaciones de perfiles web cambian las reglas que se utilizan para inspeccionar el tráfico.
Las anulaciones autorizan a usuarios específicos, grupos de usuarios o direcciones IP de origen predefinidas a usar un perfil de filtro
web diferente para inspeccionar su tráfico.
En el ejemplo que se muestra en esta diapositiva, el nuevo perfil aplicado al usuario estudiante inspecciona todo el tráfico web de ese
usuario desde el momento en que se aplica el nuevo perfil hasta que expira el temporizador. Para usar esta anulación, debe habilitar una
autenticación de anulación. Cuando habilita la anulación del perfil web, la página de bloqueo de FortiGuard muestra un enlace que puede
seleccionar para activar la anulación.

Filtrado web
NO REIMPRIMIR
© FORTINET
El filtrado de motores de búsqueda está disponible cuando configura un perfil de filtro web mientras establece el conjunto de
funciones en basado en proxy.
La búsqueda segura es una opción que admiten algunos navegadores. Aplica filtros internos a los resultados de búsqueda. Cuando
habilita la búsqueda segura para los sitios de búsqueda admitidos, FortiGate agrega un código a la URL para hacer cumplir el uso de la
búsqueda segura. Por ejemplo, en una búsqueda de Google, FortiGate agrega la cadena &safe=active a la URL en la búsqueda. Por lo
tanto, incluso si no está habilitado localmente en el navegador, FortiGate aplica una búsqueda segura a las solicitudes cuando pasan.
La búsqueda segura es compatible con Google, Yahoo, Bing y Yandex.
Como función de filtro web basado en proxy, el filtrado de motores de búsqueda solo se admite cuando se utiliza la inspección SSL completa
porque FortiGate requiere acceso al encabezado completo.

Filtrado web
NO REIMPRIMIR
© FORTINET
También puede controlar el contenido web en el perfil de filtro web bloqueando el acceso a sitios web que contengan palabras o
patrones específicos. Esto ayuda a prevenir el acceso a sitios con material cuestionable.
Puede agregar palabras, frases, patrones, comodines y expresiones regulares de Perl para hacer coincidir el contenido de los sitios web.
Esta característica se configura por perfil de filtro web, no a nivel global. Por lo tanto, es posible agregar múltiples listas de filtros
de contenido web y luego seleccionar la mejor lista para cada perfil de filtro web.
El administrador del sistema puede especificar palabras y frases prohibidas y asignar un valor numérico, o puntuación, a la
importancia de esas palabras y frases. Cuando el escaneo del filtro de contenido web detecta contenido prohibido, agrega las
puntuaciones de palabras y frases prohibidas en la página. Si la suma es superior al umbral establecido en el perfil de filtro web,
FortiGate bloquea el sitio.
El número máximo de patrones de contenido web en una lista es 5000.
Al igual que el filtrado de motores de búsqueda, el filtrado de contenido web requiere que FortiGate utilice una inspección SSL
profunda porque FortiGate requiere acceso total a los encabezados de los paquetes.

Filtrado web
NO REIMPRIMIR
© FORTINET
Puede utilizar la configuración avanzada de filtrado web para mejorar el filtro web.
Las opciones de calificación son las siguientes:

1. Permitir sitios web cuando se produzca un error de clasificación. Si se produce un error de calificación del filtro web de FortiGuard
servicio, los usuarios tienen acceso completo sin filtrar a todos los sitios web.
2. Califique las URL por dominio y dirección IP. Esta opción envía tanto la URL como la dirección IP del sitio solicitado para su
verificación, lo que brinda seguridad adicional contra los intentos de eludir el sistema FortiGuard.

Filtrado web
NO REIMPRIMIR
© FORTINET
Si configura el perfil de filtro web para utilizar un conjunto de funciones basadas en proxy, la configuración de la opción de proxy
avanzado para el filtrado web es la siguiente:
1. Bloquea el acceso a algunas cuentas y servicios de Google. Puede incluir una lista de excepciones.
2. HTTP POST es el comando que utiliza su navegador cuando envía información, por lo que puede limitar la
información y archivos a sitios web. La opción Permitir evita que se agote el tiempo de espera del servidor al escanear o
cuando se realizan otros procesos de filtrado para el tráfico saliente.
3. Filtre las cookies, los subprogramas Java y los scripts ActiveX del tráfico web.

Filtrado web
NO REIMPRIMIR
© FORTINET

Filtrado web
NO REIMPRIMIR
© FORTINET
¡Buen trabajo! Ahora comprende las funciones adicionales de filtrado web basadas en proxy.
Ahora, aprenderá sobre el filtrado de video.

NS4 Security 351-400

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NS4 Security 351-400

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

Guía de estudio de FortiGate Security 7.0 351

Guía de estudio de FortiGate Security 7.0 352

La importación de certificados ACME debe cumplir con los siguientes criterios:

Guía de estudio de FortiGate Security 7.0 353

Guía de estudio de FortiGate Security 7.0 354

Guía de estudio de FortiGate Security 7.0 355

Guía de estudio de FortiGate Security 7.0 356

Guía de estudio de FortiGate Security 7.0 357

Guía de estudio de FortiGate Security 7.0 358

¡Felicidades! Has completado esta lección.

Ahora, revisará los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 359

Esta diapositiva muestra los objetivos que cubrió en esta lección.

Guía de estudio de FortiGate Security 7.0 360

Guía de estudio de FortiGate Security 7.0 361

Guía de estudio de FortiGate Security 7.0 362

Guía de estudio de FortiGate Security 7.0 363

Guía de estudio de FortiGate Security 7.0 364

Las ventajas del modo basado en flujo son:

Las desventajas del modo basado en flujo son:

Guía de estudio de FortiGate Security 7.0 365

Guía de estudio de FortiGate Security 7.0 366

Guía de estudio de FortiGate Security 7.0 367

Guía de estudio de FortiGate Security 7.0 368

Guía de estudio de FortiGate Security 7.0 369

Guía de estudio de FortiGate Security 7.0 370

¡Buen trabajo! Ahora comprende los modos de inspección.

Ahora, aprenderá sobre los conceptos básicos de filtrado web.

Guía de estudio de FortiGate Security 7.0 371

Guía de estudio de FortiGate Security 7.0 372

Guía de estudio de FortiGate Security 7.0 373

(la diapositiva contiene animación)

El ejemplo de esta diapositiva muestra el flujo de un proceso de filtro HTTP.

Guía de estudio de FortiGate Security 7.0 374

Ahora, mirará el perfil del filtro web.

• Basado en perfil (predeterminado)

Guía de estudio de FortiGate Security 7.0 375

Guía de estudio de FortiGate Security 7.0 376

Guía de estudio de FortiGate Security 7.0 377

Para revisar la lista completa de categorías y subcategorías, visite

Guía de estudio de FortiGate Security 7.0 378

¿Entonces, cómo funciona?

Las acciones disponibles dependen del modo de inspección:

Guía de estudio de FortiGate Security 7.0 379

Guía de estudio de FortiGate Security 7.0 380

Guía de estudio de FortiGate Security 7.0 381

Guía de estudio de FortiGate Security 7.0 382

Puede agregar listas de bloqueo

Guía de estudio de FortiGate Security 7.0 383

Guía de estudio de FortiGate Security 7.0 384

Guía de estudio de FortiGate Security 7.0 385

Guía de estudio de FortiGate Security 7.0 386

Echa un vistazo a cómo funciona.

Guía de estudio de FortiGate Security 7.0 387

Guía de estudio de FortiGate Security 7.0 388

Guía de estudio de FortiGate Security 7.0 389

Ahora, aprenderá sobre funciones adicionales de filtrado web basadas en proxy.

Guía de estudio de FortiGate Security 7.0 390

Guía de estudio de FortiGate Security 7.0 391

Ahora, observe cómo funcionan las cuotas.

Guía de estudio de FortiGate Security 7.0 392

información, la conexión se cierra.