filtrage web Flashcards
(11 cards)
9.2.1 Citez les deux modes d’inspection du FortiGate.
9.2.1 Citez les deux modes d’inspection du FortiGate.
Mode Flow‑based
– Inspection par flux qui passe le trafic en temps réel sans le modifier.
Mode Proxy‑based
– Inspection par proxy qui intercepte et tamponne(enregistre temporairement) le trafic afin d’en analyser l’intégralité .
– Ce mode offre un contrôle plus détaillé au prix d’une latence plus élevée et d’une utilisation accrue des ressources .
9.2.2 Contre quels types de menaces le filtrage Web permet-il de se protéger?
9.2.2 Contre quels types de menaces le filtrage Web permet-il de se protéger?
Le filtrage Web a pour objectif de protéger le réseau et les utilisateurs contre :
* L’accès à des sites réputés infectés par des malwares ou hébergeant des contenus malveillants.
* La perte ou l’exposition d’informations sensibles (risque de fuite de données).
* La violation du droit d’auteur et l’accès non autorisé à des contenus illicites.
* L’accès à des contenus inappropriés.
9.2.3 Citez les caractéristiques principales du mode d’inspection Flow-based avec le mode NGFW en Profile-based.
9.2.3 Citez les caractéristiques principales du mode d’inspection Flow-based avec le mode NGFW en Profile-based.
avec le mode NGFW en Profile‑based
Dans ce mode, on combine les avantages du mode Flow‑based avec une approche NGFW basée sur un profil de sécurité personnalisé :
* Utilisation du mode flux par défaut
– Offre une faible latence et une meilleure performance en consommant moins de ressources.
* Création et application d’un profil de sécurité (Web Filter Profile)
– Le filtrage Web est réalisé via un profil que l’on configure et que l’on applique ensuite à une règle de pare‑feu.
– Ce profil permet d’appliquer divers contrôles (blocage, avertissement, authentification ou journalisation) en fonction des catégories définies.
* Inspection non intrusive
– Le trafic n’est pas modifié lors de l’inspection, ce qui favorise la transparence tout en offrant un contrôle par profil , .
9.2.4 Dans ce mode, quelles sont les actions possibles sur le trafic ?
NGFW Profile‑based
9.2.4 Dans ce mode, quelles sont les actions possibles sur le trafic ?
NGFW Profile‑based
Dans ce mode, les actions appliquées au trafic s’appuient sur le profil de sécurité configuré :
* Le trafic peut être autorisé (pass) si sa catégorie est conforme à la politique.
* Il peut être bloqué (block) si le site ou le contenu est jugé non conforme.
* Des actions de warning (affichage d’un avertissement) peuvent être proposées pour informer l’utilisateur.
* On peut aussi demander une authentification (authenticate) pour autoriser temporairement l’accès.
* En complément, le système peut aussi journaliser (monitor) le trafic pour permettre une analyse ultérieure .
9.2.7 Citez les caractéristiques principales du mode d’inspection proxy-based. Dans ce mode, quelles sont les actions possibles sur le trafic ?
9.2.7 Citez les caractéristiques principales du mode d’inspection proxy-based. Dans ce mode, quelles sont les actions possibles sur le trafic ?
et actions possibles sur le trafic
Le mode proxy‑based se distingue par une inspection approfondie du trafic :
* Caractéristiques principales
– Le trafic est intercepté et tamponné (bufferisé) afin d’examiner l’intégralité des données avant toute transmission.
– L’inspection est plus complète et permet une protection renforcée (filtrage vidéo, safe search, filtrage d’URL avancé, etc.).
– Il induit une latence plus élevée et requiert des ressources plus importantes (mémoire tampon et capacité de traitement).
* Actions possibles
– Le trafic peut être bloqué, empêchant ainsi la transmission complète du flux.
– Il peut être autorisé après vérification ou soumis à une authentification si la politique l’exige.
– Des messages d’avertissement ou de blocage peuvent être affichés à l’utilisateur (par exemple, via une page de blocage personnalisée) .
9.2.8 Expliquez la manière dont se déroule le filtrage web par catégories sur un FortiGate.
9.2.8 Expliquez la manière dont se déroule le filtrage web par catégories sur un FortiGate.
FortiGate
Le filtrage par catégories est réalisé en plusieurs étapes :
Identification et résolution du site web
– Lorsqu’un client lance une requête web, le FortiGate interroge le réseau de distribution FortiGuard (ou utilise un FortiManager) pour déterminer la catégorie du site demandé, en se basant sur le FQDN extrait soit via le SNI, soit via le champ CN du certificat du serveur.
Comparaison avec la politique de filtrage
– La catégorie obtenue est comparée aux règles configurées dans la politique de filtrage Web.
Application de l’action configurée
– En fonction de la catégorie (par exemple, sites inappropriés, contenus à risque, etc.), le FortiGate applique l’action définie (autorisation, blocage, avertissement, authentification ou journalisation).
Mise en cache des évaluations
– Pour optimiser les performances, l’évaluation de la catégorie est mise en cache pendant une durée déterminée (souvent 60 minutes) afin de limiter les requêtes répétées vers FortiGuard , .
9.2.9 Que permet la fonctionnalité Web Rating Override ?
9.2.9 Que permet la fonctionnalité Web Rating Override ?
Cette fonctionnalité permet de modifier manuellement la catégorie attribuée à un site web, sans attendre la mise à jour de la base de données FortiGuard.
* Elle est utile lorsque l’on constate qu’un site a été mal classé (par exemple, un site légitime bloqué à tort)
* Elle s’applique uniquement aux noms d’hôte et ne permet pas d’utiliser des caractères génériques.
9.2.10 Que permet la fonctionnalité Web Profile Overrides ?
9.2.10 Que permet la fonctionnalité Web Profile Overrides ?
Le Web Profile Overrides offre la possibilité d’adapter temporairement le profil de filtrage web appliqué à certains utilisateurs ou adresses IP.
* Il permet ainsi de modifier les règles d’inspection du trafic en fonction de critères spécifiques (groupes d’utilisateurs, adresses particulières).
* Cette personnalisation peut être activée via un lien disponible sur la page de blocage, après authentification, et reste en vigueur pour une durée prédéfinie .
9.2.11 Comment savoir à quelle catégorie est associé un site Web ?
9.2.11 Comment savoir à quelle catégorie est associé un site Web ?
Pour connaître la catégorie d’un site web, plusieurs méthodes sont disponibles :
* Utiliser l’outil de recherche proposé par FortiGuard (via le portail web https://fortiguard.com/webfilter) qui permet de vérifier la catégorie affectée.
* Consulter les journaux du FortiGate, où l’information relative à la catégorie (par exemple, “catdesc”, “cat”) est enregistrée lors du filtrage d’une requête.
* L’interface de gestion du FortiGate fournit également des informations sur l’évaluation de la catégorie d’un site .
9.2.12 Citez les caractéristiques principales du filtrage DNS. Quel est le principal avantage du filtrage DNS par rapport au filtrage Web?
9.2.12 Citez les caractéristiques principales du filtrage DNS. Quel est le principal avantage du filtrage DNS par rapport au filtrage Web?
Le filtrage DNS repose sur l’analyse des requêtes DNS plutôt que sur le trafic HTTP :
* Caractéristiques principales :
– Il intercepte et analyse les requêtes DNS émises par les clients, ce qui lui permet de déterminer la catégorie d’un site web avant même l’établissement d’une connexion HTTP.
– Il impacte l’ensemble des protocoles utilisant le DNS et offre une approche globale du filtrage.
– Moins précis que le filtrage HTTP, il ne permet pas de cibler avec autant de granularité le contenu des pages.
* Avantage principal :
– Il permet d’arrêter le trafic indésirable dès la phase de résolution du nom, réduisant ainsi la charge sur le système et prévenant l’accès aux sites malveillants plus tôt dans le processus de connexion .
9.2.13 Quelles sont les actions possibles du filtrage DNS sur le trafic ?
9.2.13 Quelles sont les actions possibles du filtrage DNS sur le trafic ?
- Blocage complet de la résolution DNS pour les noms de domaine jugés non conformes, empêchant ainsi l’établissement de la connexion.
- Redirection des requêtes vers une page de blocage ou un portail de notification, informant l’utilisateur que la requête a été bloquée.
- Autorisation avec journalisation, c’est-à-dire laisser passer la requête tout en enregistrant l’événement pour une analyse ultérieure.
- Possibilité d’exemption pour certains clients ou adresses spécifiques, selon la configuration des règles .
