《飞塔网络安全平台功能说明.doc》由会员分享,可在线阅读,更多相关《飞塔网络安全平台功能说明.doc(35页珍藏版)》请在三一办公上搜索。
1、FortiGate产品功能说明目录1公司介绍32产品和服务33为什么要使用UTM44. 硬件加速技术白皮书65. FortiGate 功能特性列表86. FortiNet典型安全解决方案96.1 防火墙解决方案96.2防病毒解决方案156.3入侵防御(IPS)解决方案206.4 web内容过滤解决方案246.5 IPSec VPN解决方案286.6 SSL VPN解决方案356.7 Fortinet反垃圾邮件解决方案396.8 IM/P2P管理及QoS解决方案427. Fortinet 售后支持体系447.1 基本技术支持体系447.2服务响应和故障处理447.3 产品标准服务内容451公司介
2、绍美国Fortinet公司 是新一代安全网络防御技术的先锋,它革命性地开创了UTM统一威胁安全防御技术,提供了统一的安全整体解决方案,代表了网络信息安全发展的新方向。Fortinet公司总部设在美国加州Sunnyvale,在美国、欧洲、亚洲等30多个地区等都设有客户支持和销售办公室,全球员工已超过上千人,在中国北京和天津设有近百人的研发中心。作为多层威胁防御系统的创新者和先锋,Fortinet杰出的安全技术在为业务通信提供最佳安全、优秀性能的同时,降低了用户的总体安全运营成本,符合了网络绿色安全的发展方向 。 Fortinet获奖众多的安全平台和服务在世界各地得到了快速的推广应用,包括大型的电
3、信运营商、服务提供商和各种规模的企业用户。 Fortinet公司全球率先推出基于硬件芯片的内容加速(ASIC-CP)和网络加速(ASIC-NP)安全模块,结合其高效的 FortiOS操作系统,突破了在芯片设计、内容分析和安全防御上的技术难点。同时解决了功能和性能上的矛盾,实现了高性能的七层检测能力,为业界提供了最高性价比的UTM安全平台。 它提供了防火墙、防病毒/蠕虫/间谍软件、垃圾邮件、虚拟专用网(VPN)、入侵检测/防御, Web内容过滤、应用流控制等七层安全防御技术,并且提供了高速可靠的处理性能,针对目前网络发展所面临的新型的多维混合式攻击,提供了统一解决方案。 在国际知名的市场咨询机构
4、IDC过去多年的安全评估报告中, Fortinet公司一直引导着UTM统一安全技术的发展并在市场上占有首位。 在2008年获得Frost & Sullivan咨询机构颁发的 “2008年全球UTM市场领导者”奖。n 7项ICSA(国际计算机安全组织认证)认证Firewall, IPsecVPN, SSL_VPN, IPS, Anti-Virus, Anti-Spyware, Anti-Spam n 高级政府安全认证 (FIPS-2, Common Criteria EAL4+)n 80+ 安全行业认证n 美国病毒专业评测试VB 100认证 n 欧洲专业IPS安全评测组织NSS认证n ISO 9
5、001质量认证 2产品和服务Fortinet 基于核心的硬件技术和软件系统的紧密结合,提供了丰富的产品线,其主推的UTM网关FortiGate系列包括SOHO分支办公室级别的 FortiGate-50B、60B,100A;适合中小商务的 FortiGate-110C,200A、224B、300A; 适合中型企业的FortiGate-400A、500A、800、800F、310B,620B, 1000A、1000FA2以及适用于大型企业和运营服务商的FG3016B、3600A、3810A,适合电信行业用户使用的基于ATCA先进的通信结构的FG5020、5050、5140 高端系列产品,最高可达1
6、80G 的网络性能。另外Fortinet还提供了基于主机、移动通信终端安全套件FortiClient和无线接入安全产品FortiWiFi-50B,FortiWiFi-60B等,其完善的产品线为用户提供了广泛 的应用空间。在安全统一管理和审计方面,Fortinet 提供了相应的安全管理工具,包括集中式安全管理平台FortiManager-100、400A、3000B, 集中式日志审计报表系统FortiAnalyzer-100B、800B、1000B、2000A、4000A。 在安全邮件领域,Fortinet特别提供了专业的垃圾邮件安全平台FortiMail-100、400、2000、4000。其
7、优秀的多通道邮件判别技术提供了高级的邮件安全识别,灵活的部署方式支持透明,代理和邮件服务器方式,为用户提供了最方便的使用。 在安全服务方面,Fortinet 公司的FortiGuard 安全预订服务包括了24x7防病毒更新服务、入侵检测和防御更新服务、Web过滤更新服务和反垃圾邮件更新服务。Fortinet全球安全防护服务体系实施24x7不间断监控随时出现的新的安全威胁,保证了对最新出现的攻击作出应急响应和更新,全球的FortiGate系列产品都会及时的通过推送方式得到更新,同时不间断网络的运行。 FortiGuard中心是一个强大的在线资源库,包括以下知识内容l 间谍软件、病毒、入侵防御、w
8、eb内容过滤和反垃圾邮件等最新攻击库说明l 漏洞百科全书对通用的操作系统和应用进行了详细描述l 可以提交病毒、间谍软件、垃圾邮件和危险网站等样本l 可以提交web网站的分类鉴别 Fortinet公司拥有的多项专利技术提供了绿色安全网络,降低了用户的投资成本。 FortiOS 高性能安全的操作系统,集成了智能队列管道管理,高效的事务处理技术 FortiASIC 芯片处理器加速内容扫描和模式匹配 DTPS动态威胁防御系统提供了对变化的威胁的及时响应和检测能力 CPRL 模式识别语言技术 模块化功能设计,内核层的统一管理 Fortinet提供了防御、管理、更新一体化的安全解决方案,安全平台Forti
9、Gate系列网关提供安全防御功能。集中网管产品FortiManager和集中日志审计产品FortiAnalyzer 提供了统一的安全事件和流量分析中心,为电信运营商提供SOC安全审计中心和统一网络安全管理,策略下发等集中控制能力。FortiGuard 24*7安全服务中心提供了病毒,攻击,垃圾邮件和 网页过滤等动态的安全特征库更新,保证了用户对最最新威胁的及时更新和有效的防御。FortiGuard服务中新由Fortinet公司专业的安全工程技术团队管理维护,监控网络遍部全球,为用户提供最新的安全防御更新,以网络界最快的响应时间,提供自动升级更新,以保障用户的业务免受影响。3为什么要使用UTM3
10、1 传统安装设备的缺点如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。状态检测防火墙通过检查数据包头来分析和监视网络层和传输层基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。众所周知的,它无法阻挡包括病毒、黑客入侵、垃圾邮件等等攻击以及针对内网主机的信息泄漏、终端控制、应用控制、应用带宽控制等等特性来处理内网应用。和状态检测防火墙一样,传统的IDS有它固有的弱点,如IDS并不是在线设备只是旁路部署在网关位置,它实际上无法真正的完成攻击防御而仅仅是检测到攻击然后进行报警,对乱序攻击检测精度不够,和防火墙联动有时候无法及时响应阻截已经性能不够等等问题。基于主机的
11、防病毒软件的缺点主要有:需要大量安装、维护和保持病毒特征库更新;有的用户并没有打开防病毒软件的自动更新功能,也没有经常的手动更新他们的病毒库,这就导致防病毒软件对最新的威胁或攻击无用;或者用户无意关闭了杀毒软件等等,还有一个最大的缺点就是在杀毒软件能够识别最新病毒等之前已经注入主机这样将有导致主机杀毒软件彻底失效可能。3.2 深度检测的力量专业人士已经意识到传统的、曾红极一时的安全工具现在面对新一代攻击例如混合式攻击、社会工程陷阱和协议受控技术时已不再有效。现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括:l
12、设计较小的安全区域来保护关键系统。l 增加基于网络的安全平台,以提供在线(”in-line”)检测和防御。l 增加统一威胁管理(Unified Threat Management,简称UTM),结合多项安全技术,提供更好的管理、攻击关联和降低维护成本。l 增加对关键资源的监视。l 研究有效的安全策略并培训用户。为了对最新的混合型攻击和社会工程威胁提供先进的安全检测,Fortinet公司开发出了新一代安全平台。IDC将这类新的安全平台命名为统一威胁管理(UTM)设备,它集成了多种安全功能,以提高安全系统的效能。通过将状态检测防火墙、VPN、网关防病毒和IPS功能集成到一个安全设备里,UTM提高了
13、检测率,并提供了比单一功能安全设备更好的阻挡能力。UTM安全系统的其它优点包括:l 通过为多种安全功能提供一个统一的管理平台,降低了设备的复杂性,加快了安装速度。l 与购买和使用多个单一功能的单点安全系统相比,降低了总体拥有成本(TCO)。随着网络安全对于消费者和商家都同样变得越来越重要,IDC预测,UTM设备的销量将在未来几年内超过传统防火墙/VPN安全设备。上图是IDC对于未来几年具备多种安全功能的UTM设备和单一功能安全设备发展预测的对比。3.3 FortGate的高级安全检测技术作为UTM安全设备的领导厂商,Fortinet公司的FortiGate安全平台通过动态威胁防御技术、高级启发
14、式异常扫描引擎提供了无与伦比的功能和检测能力。Fortinet公司的FortiGate提供以下功能和好处:l 集成关键安全组件的状态检测防火墙。l 可实时更新病毒和攻击特征的网关防病毒。(包括间谍软件)l 可实时更新的IPS功能预置3000个以上的攻击特征,并提供用户定制特征的机制。l VPN(PPTP、L2TP、IPSec和SSL VPN)。l 可实时更新的反垃圾邮件具备多种用户自定义的阻挡机制,包括黑白名单和实时黑名单(RBL)等。l 可实时更新的Web内容过滤具有用户可定义的过滤器和全自动的FortiGuard过滤服务。l IM/P2P软件控制,带宽管理防止带宽滥用。l 可实时更新的应用
15、控制功能,可以控制用户使用的应用程序。l 广域网加速功能,可以有效的节约广域网带宽以提供用户网络效率。l 信息泄漏功能,可以对HTTP,FTP,SMTP,POP3,IMAP,SMTPS,POP3S,IMAPS,NNTP,IM等网络应用定制信息泄漏规则规则以进行控制。l 终端控制功能,可以保证所有的用户终端是否必须使用知道的FortiClient及限定升级情况等。l 用户认证,防止非授权的网络访问。l 动态威胁防御提供先进的威胁关联技术。l ASIC加速提供比基于PC工控机的安全方案高出数倍的性能。l 加固的操作系统,不含第三方组件,保证了物理上的安全。l 完整的系列支持服务,包括日志和报告生成
16、器、客户端安全组件。4. FortiGate硬件加速技术4.1 概述FortiGate硬件加速技术包括内容处理器和网络处理器,这两种专用的硬件对于解决UTM性能问题很重要。FortiGate里面这两种处理器与通用处理器(CPU)配合使用来处理复杂的业务。CPU和专用处理器一起工作的形式与人的大脑和脊柱以及周围神经系统协同工作来执行一个动作的情况类似。4.2 内容处理器FortiGate内容处理器用来实现将已知的威胁特征库(如病毒库、IPS库等)与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件(包括压缩文件)等。内容处理器专门进行协议识别和解析,可以快速重组数据包,扫描发现可疑的
17、内容。内容处理器能够加速防病毒和IPS,因为这两种安全功能都需要将数据内容与库文件进行比对。FortiGate内容处理器还同时包括了加密引擎,它使得CPU不用进行高强度的加密解密计算。VPN的建立和密钥维护都是非常消耗系统资源的,因此,它们是最适用用于硬件加速的。内容处理器很适合完成这个工作,它可以大大提高系统的VPN性能。采用内容处理器的高级UTM架构4.3 网络处理器FortiGate网络处理器是对网络流量进行高速处理。它直接接收网络流量并自动执行某些操作,通过网络处理器的工作,可以减轻系统其他部分的负载,下图说明了使用网络处理器的系统的架构。它处理很多基本维护工作,比如会话表的维护、常见
18、的TCP包处理、加密/解密和网络地址翻译(NAT)相关的任务。FortiGate网络处理器具有内置的安全功能可以迅速地重组数据包,还可以有效的分析阻挡常见的DDOS攻击。FortiGate网络处理器可以实现千兆小包(64bit)线速和非常低的延迟,同时可以处理差不多高的IPSec VPN性能。使用网络处理器的UTM架构5. FortiGate 功能特性列表网络特性Web网页过滤静态地址/ DHCP / PPPOE/ DDNS域名 支持FortiGuard web 分类库过滤(82种分类)多个 WAN 链接,网关健康检测自定义URL地址,域名过滤,Web内容免屏蔽多个二级地址支持基本于分值的网页
19、关键词阻断规则USB 3G modem 支持自定义分类库,基于用户认证的分类库控制VLAN子接口支持, 802.3ad链路聚合,Redundant接口支持,VDOM-LINK接口URL 地址/域名 静态路由,策略路由阻断Java Applet, Cookies, Active X基于用户认证的路由禁止Web断点续传动态路由RIP v1 & v2, OSPF, BGPHTTP POST控制功能基于TOS路由AntiSpam垃圾邮件Multicast组播(PIM parse, PIM Dense) RBL和ORDBL 防火墙特性FortGuard垃圾邮件库动态更新NAT/路由, 透明模式 , 混合
20、模式MIME 报头检查 虚拟防火墙支持(默认10个)Email/IP黑名单/免屏蔽单标准预定义服务SIP,GRE,Netmeeting,h.323,OSPF等返回地址 DNS检查自定义服务/服务组/地址/地址组支持邮件阻断或者标记DHCP 服务器 邮件关键词/词语过滤IPV6 策略和路由支持支持SMTP,POP3,IMAP DNS转发透明/NAT部属模式IP/MAC地址绑定流量管理非IP协议透明传输基于策略的流量管理ALG应用代理(SIP,H.323, TNS, RSTP,RAS等NAT穿越)Diffserv 服务等级设置服务器负载分担和健康检查及监控最大/最小/优先 带宽控制策略时间表支持D
21、SCP服务级别设置单机的会话同步支持基于IP的流量管理NAT,PAT,VIP支持数据泄漏防护单臂策略支持支持的协议有:HTTP,FTP,SMTP,POP3,IMAP,NNTP,AIM,ICQ,MSN,Yahoo防火墙any接口策略支持HTTP协议同时支持POST和GET DOS/DDOS策略支持HTTP支持DOC,PDF,TXT等格文件扫描SIP 流控制和协议检测支持的规则可以包括如定义协议命令、协议头部、主体范围、附件类型、Cookie特征、二进制文件类型、是否加密等等广域网优化及Web缓存支持的动作有:记录,阻止,免屏蔽,禁止,可以依照用户名、用户IP或用户接口进行控制支持CIFS,HTT
22、P,FTP,MAPI及TCP协议优化应用控制(支持18个大类应用控制,一千多种应用程序)支持透明优化和代理服务器优化2种模式IM: AOL-IM Yahoo MSN ICQ QQ Google-Talk等等支持Byte Caching功能P2P:Thunder PPLive QQLive Gutella BitTorrent WinNY eDonkey KaZaa 等等支持SSL优化功能Game:QQ游戏 Quake 征途 赤壁 Dark-Age-Of-Camelot 等等支持优化隧道道及认证功能数据库:MS SQL Oracle MySql DB2 Sybase Postgres等等支持本地
23、硬盘缓存,ISCSI,WCCP V2等文件传输:FTP WS-FTP ServU Rayfile VS-FTP等等支持FortiGateFortiGate或FortiGateFortiClient之间数据优化Web Mail:Gmail Hotmail 126mail QQmail Yahoomail 等等VPN (虚拟专用网)HA高可用性PPTP, IPSec,和 SSL VPN主备支持,配置和会话保持同步 支持DES, 3DES, AES 256加密算法, SHA-1 / MD5 认证主主支持,流量负载分担PKI证书,SCEP简单证书登记协议主设备抢占Hub and Spoke星型VPN设
24、备和接口的状态监控DPD 通道状态检测,NAT穿越,XAUTH认证网络链路的状态监控静态VPN,动态拨号VPN支持多HA 心跳监视支持子网重叠,VPN通道保持冗余接口, 全网状连接支持基于策略和路由的VPN支持NAT/路由, 透明模式GRE支持,OSPF穿越支持日志/监视支持透明模式下的IPSEC VPN分类日志,事件,流量,攻击,病毒,WEB过滤,垃圾邮件,VOIP,内容存档等Antivirus 病毒扫描内部日志, 远地 Syslog/WELF 服务器日志扫描 HTTP, SMTP, POP3, IMAP, FTP 和 IM 可选的 FortiAnalyzer 日志平台,支持丰富的图形实时和
25、历史数据显示、查询,300种以上自定义报表可定义的服务端口,服务超时控制SNMPv1/v2, Email 事件告警支持病毒阻拦和监视模式,并支持扩展病毒库用户认证多层压缩文件扫描,支持Tar /gzip/rar/ lzh/ cab/ arj /zip /bzip /bzip2 /msc /UPX本地用户,Radius , TACACS+ LDAP, PKI, Windows AD支持文件大小限制 文件类型限制系统管理病毒隔离支持(需要本地硬盘或FortiAnalyzer日志服务器)支持多种语言Web管理IPS入侵检测支持Telnet, SSH, HTTP,HTTPS 管理自动攻击数据库更新多级
26、管理员基于角色的权限配置自定义特征库, 威胁等级 可信主机,Radius,PKI管理员人证方式会话控制, DOS攻击控制分区系统软件存储,支持版本回退自定义攻击传感器,支持基于策略的攻击防御USB 系统软件升级,配置文件自动上载基于系统,协议,威胁等级的特征库管理集中管理,策略下发,监控平台FortiManager 支持6. FortiGet典型应用举例6.1 防火墙应用1.部署模式防火墙的典型部署如下图所示:FortiGate系列防火墙支持路由(NAT)、透明和混合三种工作模式。可以很好的适应各种网络环境。FortiGate支持如下路由协议:l 静态路由l ECMP(等值路由)l 策略路由l
27、 RIPl OSPFl BGPl 组播路由l 基于用户认证的路由(根据用户认证组的不同选择不同的路由途径)基于以上各种静态及动态路由方式,FortiGate可以完美地支持多链路接入环境。如下图所示,该机构具有电信、联通、教育网等3条Internet出口链路,FortiGate可以自动实现这些链路间的负载分担(内网的流量分配到3条链路)和冗余(故障中断链路上的流量会自动切换到正常的链路),大大提高网络的效率和可用性。在路由(NAT)模式下,FortiGate可以实现双向NAT(网络地址转换)和PAT(端口转换),包括1:N、N:1、N:N的转换。NAT和PAT可以很好的起到隐藏内网结构,节约IP
28、地址资源的作用。FortiGate的NAT功能还支持如下几种高级应用:l 服务器负载均衡内网的多台Web服务器(例如192.168.1.101-192.168.1.103)对外提供同样的服务,可以使用FortiGate通过NAT方式实现多台设备间的负载均衡。并可以通过ping、TCP、HTTP等方式进行健康检查,发生故障的服务器会被自动剔除出负载均衡组。l HTTP多路复用或SSL卸载传统的访问形式下服务器需要维护大量来自客户端的TCP连接,每个连接的维持都需要耗费服务器的内存和CPU计算周期。HTTP multiplexing(多路复用)机制,通过在FortiGate上维持和客户端的大量连接
29、,而在FortiGate和服务器之间建立少量常开的连接,每个FortiGate和服务器之间的连接服务若干客户端和FortiGate的连接,减少服务器的资源消耗,提高服务器的处理性能。而SSL offload(卸载)是指将FortiGate部署在Web服务器前方,处理SSL加密/解密,Web服务器与FortiGate之间可以采用HTTP方式通信,从而将服务器从繁重的加解密及认证的工作负担中解脱出来,提高处理性能。注:只有使用FortiASIC CP6的型号支持SSL卸载功能。n 透明(桥)模式如果FortiGate内、外网使用相同网段的IP地址,便无需FortiGate担负路由的工作。此时可以将
30、FortiGate置于透明模式,FortiGate工作在第二层,在网络拓扑结构上相当于一个交换机或者网桥。如下图所示:在透明模式下,需要给FortiGate配置一个管理IP地址,用于管理。n 混合模式FortiGate的还可以可以很方便的实现路由/透明的混合模式。在某些情况下,内网和DMZ区使用同一网段的IP地址,内网使用192.168.1.1-192.168.1.200,DMZ区使用192.168.1.201-192.168.1.250;外网使用另一网段的IP地址(202.1.1.1)。此时单纯的透明模式或者路由(NAT)模式都无法满足网络的要求。使用FortiGate可以实现外网与DMZ/
31、内网之间使用路由(NAT)模式,而内网与DMZ之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。n VLAN环境无论在透明模式还是路由(NAT)模式下,FortiGate都支持802.1Q VLAN环境,对于交换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持;FortiGate在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。n IPv6支持FortiGate已实现IPv6接口地址、路由、IPv6 Tunnel、防火墙控制、IPSec VPN等特性, 更多的IPv6协议支持将在后续的OS版本中持续添加。n 虚拟域FortiG
32、ate设备支持虚拟域功能,可以将一台物理设备划分成多个虚拟域(虚拟UTM)每一个虚拟域都拥有独立的工作模式(路由、NAT、透明等)、接口IP、路由表、安全策略、用户等参数,便于下连多个网段或单位/部门的时候使用。简而言之,每一个FortiGate虚拟域都可视为一台独立的逻辑安全设备。各虚拟域之间还可以通过内部虚拟链路inter-link进行互联,实现各种不同的管理结构( 全通结构/独立结构/管理结构) 独立结构管理结构n 用户认证FortiGate还可以实现方便的用户身份认证,在用户试图访问网络资源时自动弹出认证对话框,输入正确的用户名和密码才能继续访问,没有相关用户权限的访问将被FortiG
33、ate阻止。FortiGate也可以为不同用户赋予不同级别的访问权限,如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作,其他用户只能通过Web方式访问管理员发布出来的信息。FortiGate支持多种用户身份认证方式,包括:l 本地用户l Radiusl LDAPl TACACS+l Windows域(一次性登录方式或NTLM方式)l PKI证书通过对IP地址、端口、用户、时间等参数的灵活组合,便可制定出各种适合实际网络安全需求的防火墙策略来,使得用户的安全策略可以得到切实的执行。n 状态检测FortiGate的防火墙功能是基于状态检测机制的,它会跟踪会话从建立
34、、维持到中止的全过程,已建合法连接的后续数据通信可以直接放行,极大的简化了配置、提供了效率。所有的会话都会维持在FortiGate的会话表中,还可以供管理员分析和排错使用。上图是FortiGate的状态表,用户可以查看当前通过FortiGate建立的所有会话,并可对当前会话进行筛选和排序,迅速发现网络中不正常的主机(病毒、DoS、P2P等)。发现网络中的异常后,用户可以新增防火墙策略阻断非法流量,也可以在会话表中直接切断会话。6.2防病毒应用1. 概述FortiGate老型号防火墙可以查杀WildList病毒,大概有16000条病毒特征码;新型号的防火墙低端产品病毒条目大概是16万条,高端产品
35、病毒条目大概是21万条。病毒库每天平均有4次版本更新如下图所示,FortiGate可以部署在Internet和内部网络之间,既可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件等,也可以防止内部用户向外发送这些病毒等安全威胁。Fortinet公司全球有3个病毒处理中心(北美,法国,中国)24X7监控、收集、分析病毒; 2,处理病毒类型有:病毒、木马、蠕虫、间谍软件、广告软件、黑客软件,钓鱼软件等; 3,处理速度:发现病毒 ?分析病毒?病毒特征入库,整个流程小于60分钟; 4,中国优势:中国天津病毒检测实验中心,有针对性的处理仅在国内爆发的病毒。2. 外部病毒防御DMZ区的服务器
36、也可使用FortiGate进行保护,防止病毒、蠕虫、木马等攻击Web、Email、Proxy等服务器。在协议支持的全面性上,FortiGate支持HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行过滤,以将外网病毒传入内网的风险降至最低。 如上图所示,FortiGate支持基本病毒库和扩展病毒库,用户可以针对不同协议开启不同级别的安全保护,在安全和性能之间进行良好的平衡。对于一段内容,如果既包含正常部分,又含有病毒代码,则FortiGate会将病毒代码过滤掉,正常部分仍然会继续传输,这样便可有效防止信息的丢失。例如,一封附件染毒的Email被发往内网某用户处,经过For
37、tiGate扫描后,带有病毒的附件会被拦截,而“干净”的正文仍然会正确的发送到收件人的邮箱里,不会因为病毒扫描导致信件的丢失。对于染毒文件,除了直接丢弃之外,还可以隔离至FortiAnalyzer。3. 内部病毒防御虽然目前90%以上的病毒来自于Internet,但仍然有部分病毒通过其它途径进入内网,例如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络入侵的方式,利用网络中其它主机的安全漏洞进行传播,并可能导致DoS攻击。如前图所示,除了在Internet出口处部署FortiGate之外,还可以在内网各区域(如下属单位、部门等)之间使用FortiGate进行隔离,防止一个区域感染
38、的病毒扩散到其它区域。另一方面,FortiGate安全网关不能仅针对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行病毒扫描,同时还能够基于IPS原理,识别各类蠕虫病毒的内网传播特征,对内网中的病毒传播进行定位和阻拦。FortiGate的IPS功能还能限制单个IP地址产生的会话数量,防止蠕虫病毒爆发时导致的DoS/DDoS攻击;还能利用防火墙功能阻挡常见病毒的传播端口。以上功能均能协助防病毒功能,获得更好的防御效果。当前的病毒传播方式多种多样,病毒、蠕虫、木马、恶意软件、网络入侵等的界限越来越模糊,用户只有结合防病毒、IPS、防火墙等多项安全技术,才能真正有效地过滤新
39、一代病毒。6.3入侵防御(IPS)应用1. 概述FortiNet全球3个团队维护,每日更新IPS特征库。目前拥有全球最全的特征值库:4000多条,每周更新10-20条。FortiGate的IPS特征库可独立升级过滤引擎,其他详细IPS功能介绍可以访问: 。FortiGate IPS功能支持的特性如下: 1,自动攻击数据库更新; 2,可以自定义特征库, 威胁等级; 3,会话控制, DOS攻击控制 4,自定义攻击传感器,支持基于策略的攻击防御 5,基于系统,协议,威胁等级的特征库管理2. 部署模式IPS的部署与网关防病毒类似,一般来说都部署在Internet网关处,或者DMZ/IDC服务器群前方。
40、一来可以防止外部的黑客攻击服务器,二来也能应用IPS技术阻挡内网用户使用某些不被允许的应用程序(如QQ、迅雷等)。IPS也可以部署在内网各区域之间,阻挡来自于内网的攻击(例如其它部门攻击财务部PC,窃取公司销售数据或雇员信息等)。3. IPS特征检测FortiGate的IPS同时使用特征和异常两种检测方法,能够检测4000种以上攻击和入侵行为,包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击。如下图所示,FortiGate可以很方便的定义IPS特征过滤器,帮助用户迅速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能。与传
41、统的入侵检测/防御产品比较复杂的安装配置方式相比,界面简单直观,易用性好。例如,内网需要保护的服务器为IIS及Apache Web服务器,可以设置如下的IPS过滤器。FortiGate的IPS特征库内置4000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御。IPS特征库中包含大量国内特有的攻击或应用,如QQ、迅雷等,适应国内用户的本土化需求。除了系统自带的入侵特征,FortiGate也支持用户自定义特征。例如,用户A希望过滤PPLive等网络电视软件,但当前版本的IPS特征库里并没有PPLive的特征,用户A便可以使用自定义的IPS特征来实现过滤要求。
42、4. 防DoS/DDoS攻击FortiGate内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS攻击进行防御,对于每一种DoS/DDoS攻击行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率。FortiGate可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制,这种方法也可以有效地降低蠕虫病毒、DoS/DDoS、P2P下载等的影响。6.4 web内容过滤应用1. 概述最佳的Web内容过滤方法是利用FortiGuard动态过滤服务。FortiGuard动态过滤服务使用分类方式进行Web内容过滤,目前的数据库中包含超过4000
43、万个网站,将它们分为76个类别(如新闻、游戏、黑客、色情等)。FortiGuard Web分类数据库的覆盖率(包含网站数量)和精确度(分类的准确率)均名列业界前茅,Fortinet公司的FortiGuard团队每日通过人工和自动程序的方式来检索新内容并对Web分类库进行更新,加入新的条目,删除已关闭的网站,调整网页的分类等。用户使用的FortiGate会自动访问FortiGuard服务器来更新这些内容,确保分类过滤的准确性。2. 部署及应用FortiGate通常部署在Internet出口处,这样内网用户访问Internet的所有请求都会经过FortiGate的检查,从而将其中的不良内容过滤。在
44、代理服务器环境中,也可以将FortiGate部署在代理服务器的前方。使用FortiGuard动态过滤服务的用户只需要在FortiGate上设置阻断某类站点(如色情、暴力类网站)便可批量屏蔽不良网站。当内网用户访问外部网站(例如)时,FortiGate会将该网站的URL发往FortiGuard服务器进行查询,返回分类信息(例如属于“搜索引擎及门户网站“类别)。如果FortiGate管理员设置的规则中禁止访问“搜索引擎及门户网站“类网站,则该用户访问的行为将被FortiGate阻止,并对访问者进行提示,过滤效果如下图。FortiGuard分类过滤方式既易于操作,又能获得比静态URL或关键字过滤好得
45、多的过滤效果。FortiGate使用者可以给内网不同用户组配置不同的分类过滤策略,例如普通员工组不能访问“职位搜索”类网站,但人力资源组可以访问这一类型的网站。除了FortiGuard自带的76个类别外,用户也可以建立自己的类别,并改变网站的默认分类,从而实现更加个性化的分类过滤。如下图所示,管理员可以很容易地实现对所有色情、广告等相关的网站的阻断,及对烟酒、软件下载、游戏等网站的访问记录。FortiGate同时也支持本地的URL及关键字黑白名单,可以针对网址及网页中的不良词汇进行过滤,另外还支持对ActiveX、Java applet、Cookies等小程序的过滤,防止有害脚本进入内网。Fo
46、rtiGuard动态过滤服务与本地分类、URL/关键字黑白名单相结合,可以最大程度的提高过滤效率及精确率,达到最佳的内容过滤效果。6.5 Fortinet反垃圾邮件应用1. 概述FortiGuard 反垃圾邮件服务全球有3个技术团队,使用大量高端技术设备,收集和分析垃圾邮件,实时在线过滤或阻断垃圾邮件的服务可以基于:1、邮件发送地址:当前可疑地址有1.6亿个,每周有1000万个更新;2、邮件发送帐号,及邮件内容中的URL链接:当前可疑记录约1000 万条,每周更新3万条;3、主题和内容中的关键字:当前可疑记录约300万条,每周更新约1万条。FortiGuard反垃圾邮件在线服务器遍布全球多个IDC网络中心,除其他地区外,亚洲的新加坡、日本、马来西亚和中国分别设立FortiGuard垃圾邮 件过滤服务器,以提高实时响应速度,并提供互为冗余备份功能。配合反病毒功能,效果更好,在垃圾邮件中,有较大比例邮件是由病毒自动发送。FortiGate 反垃圾邮件服务支持SMTP、POP3、IMAP反垃圾邮件服务,支持SURBL, R
