【简介】很多企业为了网络的安全,都会购买FortiGuard服务,但是FortiGuard服务都是有期限的,由于各种原因,企业在超过服务期限后没有继续购买FortiGuard服务,那么会出现什么情况?防火墙还能继续工作吗?安全还能得到保证吗?


** FortiGuard服务**

首先我们看看什么是FortiGuard服务。


新的网络威胁每时每刻都在出现。无论是勒索软件、网络钓鱼活动,还是系统漏洞,企业都必须时刻准备好防御新的威胁。对威胁形势的广泛了解,以及在多个层面快速做出反应的能力,是提供有效安全的基础。FortiGuard实验室由数百名研究专家组成,平均拥有超过16年的威胁研究和应对经验。通过夜以继日的威胁研究及特征库更新,为Fortinet
Security
Fabric解决方案提供全面的安全更新,从而对客户提供最先进的保护,增强客户的网络安全防御。FortiGuard订阅服务可为Fortinet产品线提供多种安全服务的更新。


由于安全防护重点方向不同,我们可以选择购买不同的FortiGuard服务。最常见购买的的是ATP(高级威胁防护)和UTP(统一威胁防护)。当然,还有我们常说的保修服务FortiCare。

Fortinet的FortiCare服务包括技术支持、硬件保修和系统软件升级服务。从FortiOS
5.6版本开始,FortiCare服务还包含了一些FortiGuard订阅服务。当需要任何技术服务时,用户可以根据自己需求来选择Email或电话支持服务,技术服务邮箱:support_cn@fortinet.com;技术服务电话:400-600-5255。

用户购买产品后,需要到https://support.fortinet.com进行产品注册以得到标准的服务支持。同样,购买的订阅服务也需要在support上进行注册激活。产品及服务注册指南请参阅http://support.fortinet.com.cn网站中“注册指南“部分。

** 查看FortiGuard服务状态**

除了在support.fortinet.com网站中查看FortiGuard服务状态外,我们还可以防火墙上查看FortiGuard服务状态。

① 登录防火墙,在【仪表板】-【状态】菜单下,会显示【许可】小部件,鼠标移动到服务上,会显示服务的状态及有效期。这里只能快速查看部分服务状态。


选择菜单【系统管理】-【可见功能】,可以看到安全功能开关选项,由于FortiGuard服务内容比较多,所以我们可以只开启购买了的FortiGuard服务。当然也可以全部开启,这样菜单里的内容就会比较多。

③ 选择菜单【系统管理】-【FortiGuard】,可以看到FortiGuard服务的具体信息,包括服务内容、状态、版本等。

④ 在CLI命令窗口输入get system status,也可以查看FortiGuard服务数据库的版本及更新日期。


要想使FortiGuard服务发挥作用,就需要在策略里安全配置文件下启用FortiGuard服务。基于代理的检查模式,可以启用的FortiGuard服务更多。往往很多企业购买了FortiGuard服务,但是并没有在策略上启用,白白浪费了。

** FortiGuard服务过期**

如果任何或所有FortiGuard许可证过期,FortiGate仍将作为防火墙发挥作用。需要有效的FortiGuard许可证才能接收数据库和签名更新,并执行实时或近实时安全查找,以检测和快速调整新发现的攻击的安全态势。


应用程序控制签名、设备和操作系统识别、FortiGate虚拟补丁签名、内联CASB应用程序定义、互联网服务数据库定义和PSIRT包定义包含在所有FortiCare支持合同中包含的基本服务中,它们将继续工作,但数据库没有更新,也没有添加新签名。

例如,如果在将互联网服务应用于源地址或目标地址的防火墙策略中使用应用程序控制,则该策略将继续使用FortiGate的现有应用程序控制签名和ISDB定义检查匹配的流量。

② IPS扫描继续工作,但IPS数据库没有更新,也没有添加新的签名。

例如,如果在防火墙策略中使用启用了阻止恶意URL的IPS传感器,那么该策略将继续使用FortiGate现有的IPS签名和恶意URL数据库检查匹配的流量。

有效的IPS许可证对于阻止复杂的零日攻击至关重要,因为FortiGuard IPS提供近实时的智能,具有数千条入侵防御规则,以检测和阻止已知的零日攻击。

配置了僵尸网络C&C的IPS传感器和DNS过滤器配置文件继续工作,但僵尸网络IP和僵尸网络域数据库没有更新,也没有添加新的签名。

虽然僵尸网络IP和域名列在入侵防御类别中,但它们实际上是固件和通用合同的一部分。

③ 反病毒扫描继续工作,但反病毒数据库没有更新,也没有添加新的签名。

爆发预防停止工作,因为它使用对FortiGuard全球威胁情报数据库的实时查找。

④ 基于类别的Web和DNS过滤停止工作,因为URL和域被实时发送到FortiGuard以确定类别。

默认情况下,所有网络和DNS流量都会丢弃。如果在发生评级错误时启用允许网站或DNS请求,则所有Web和DNS流量都会在没有过滤的情况下通过。

【注意】在Web过滤开启而服务到期后,无法上网就是这个原因。解决办法是:

编辑Web过滤配置文件,启用【当发生评级错误时允许的网站】,当然也可以关闭【基于FortiGuard分类的过滤器】。

如果在过滤器配置文件中应用静态URL或域过滤,这些过滤器将继续工作。

仅允许特定URL和域并阻止所有其他URL和域的配置继续工作,但这不是阻止网站或执行类别过滤的可扩展解决方案。


垃圾邮件过滤停止工作,因为它实时查询FortiGuard垃圾邮件过滤服务器,以检查垃圾邮件发送者的IP地址和电子邮件(本地配置的除外)、网络钓鱼URL、垃圾邮件URL、垃圾邮件电子邮件校验和和垃圾邮件提交。反垃圾邮件签名不会更新。

基于本地垃圾邮件过滤的配置文件选项继续有效。

⑥ 付费安全评级检查停止工作。CIS安全控制映射也被禁用。

攻击表面安全评级授权的安全评级和CIS合规性组件需要在安全结构中的所有设备上运行付费安全评级检查。它们允许将评级分数提交给FortiGuard并从FortiGuard接收,以进行网络排名。如果没有安全评级授权,只能运行内置的安全评级规则。与PSIRT相关的漏洞规则取决于固件许可证支持。

⑦ OT安全服务签名继续工作,但数据库攻击定义没有更新,也没有添加新签名。

OT安全服务包括OT应用程序和协议的应用程序控制和IPS签名。

例如,如果在防火墙策略中使用启用了OT安全服务签名的IPS传感器,则该策略将继续使用FortiGate现有的OT威胁定义IPS签名检查匹配的流量。

【总结】当FortiGuard服务到期后,拥有本地数据库和签名的服务将继续运行,但是无法更新数据库和签名,无法阻挡最新的攻击。所有必须与FortiGuard服务器联系的服务将停止运行,但不影响FortiGate的正常工作。只有Web过滤会阻止上网,需要对安全配置文件进行修改。

建议服务到期前一个月续订服务,以保证网络安全的连贯性。


题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

2023届全国高校毕业生预计达到1158万人,就业形势严峻;

国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

img

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
img

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

img

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐