【正文】 非常有效地利用現(xiàn)有的 Inter 公網(wǎng) IP 地址資源。對(duì) 于動(dòng)態(tài) NAT 和 PAT，每次翻譯所采用的地址或端口都是不同的，也就是說(shuō)目標(biāo)網(wǎng)絡(luò)無(wú)法訪問(wèn)原網(wǎng)絡(luò)的主機(jī)。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 18 頁(yè) 共 72 頁(yè) 圖 Virtual IP 靜態(tài) PAT 靜態(tài) PAT 與靜態(tài) NAT 一樣，只不過(guò)在做映射的時(shí)候，要指定映射的端口。 圖 防火墻策略與 NAT 強(qiáng)大而且靈活的防火墻策略 防火墻策略是 FortiGate 的核 心，幾乎所有的功能都通過(guò)防火墻的策略進(jìn)行實(shí)施。 圖 防火墻策略制定流程 地址與地址組 地址與地址組是用來(lái)定義地址對(duì)象的，然后在防火墻策略中引用。 時(shí)間表 FortiGate 支持兩種時(shí)間類(lèi)型，一種是從 某個(gè)時(shí)間到某個(gè)時(shí)間，另外一個(gè)是循環(huán)方式的，每周或每天的一個(gè)時(shí)間段。比如說(shuō)，我們可以通過(guò)它來(lái)限制 BT 的流量，而保障 HTTP、 Mail 這些通訊有比較高的帶寬，也可以通過(guò)它來(lái)保障在大規(guī)模實(shí)施 VPN 時(shí)，線(xiàn)路的通暢。 比如說(shuō)，總部有一條 10M 專(zhuān)線(xiàn)用做 VPN 接入，而分支機(jī)構(gòu)數(shù)量達(dá)到 200 個(gè)，都是以512kADSL 方式接入。優(yōu)先保障每個(gè)分支機(jī)構(gòu)都能夠達(dá)到 50k 的流量，最大不能超過(guò)200k 的流量。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 23 頁(yè) 共 72 頁(yè) 圖 流量控制 病毒 與灰色軟件 過(guò)濾 FortiGate是一款經(jīng)過(guò) ICSA認(rèn)證的高速反病毒網(wǎng)關(guān)，它能夠 實(shí)時(shí)檢測(cè)和清除病毒和蠕蟲(chóng) ，掃描進(jìn)出的 EMAIL 附件 (SMTP,POP3,IMAP)、 WEB 和 Ftp 數(shù)據(jù)流中的病毒。如圖 HTTP病毒告警，病毒文件被隔離，然后頁(yè)面顯示有病毒，如果是郵件病毒的話(huà)，則郵件附件被隔離，郵件中附帶通知有病毒的信息 。我們可以定義若干個(gè)保護(hù)內(nèi)容表，也就是說(shuō)在防火墻策略里靈活地選擇那些協(xié)議需要掃描病毒。灰色軟件來(lái)源于以下地點(diǎn)和行為： ? 下載共享軟件，免費(fèi)軟件或其他形式共享文件 ? 打開(kāi)感染的郵件 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 25 頁(yè) 共 72 頁(yè) ? 點(diǎn)擊彈出廣告 ? 訪問(wèn)不負(fù)責(zé)任或欺騙網(wǎng)站 ? 安裝木馬程序 灰色軟件不一定是惡意的，比如說(shuō)網(wǎng)站的開(kāi)發(fā)人員采用新技術(shù)來(lái)改進(jìn)頁(yè)面和獲得更好效果。 Web 過(guò)濾 FortiGate 支持兩種 web 過(guò)濾模式，一是根據(jù)用戶(hù)自己定義的關(guān)鍵詞、 URL、 IP 地址來(lái)屏蔽 Web，另外一種是 FortiGuard 分類(lèi)服務(wù)，用戶(hù)選擇所需要的訪問(wèn)類(lèi)別。具體步驟如下： 在 Web 過(guò)濾器中，選擇地址屏蔽，然后在 web 地址屏蔽中，輸入 。它同樣也是同保護(hù)內(nèi)容表結(jié)合在一起的，如圖反垃圾郵件所示。為通知系統(tǒng)管理員有攻擊 行為發(fā)生 ，IDS 將此攻擊及一切可疑流量記錄到攻擊日志中，并根據(jù)設(shè)置發(fā)送報(bào)警郵件。 FortiGate 同樣可以通過(guò) FortiProtect 網(wǎng)絡(luò)進(jìn)行手動(dòng)、自動(dòng)、推送式 更新攻擊 特征 庫(kù) ，擴(kuò)充攻擊特征數(shù)量，防范最新攻擊 。 根據(jù)異常。該功能對(duì)于解決網(wǎng)絡(luò)病毒發(fā)出的大量的無(wú)用的數(shù)據(jù)包來(lái)說(shuō)，是一個(gè)非常好的工具。 tcp_src_session 根據(jù)每臺(tái)計(jì)算機(jī)發(fā)出的 TCP 會(huì)話(huà)總數(shù)來(lái)判斷該機(jī)器感染病毒，是否予以阻斷。這一點(diǎn)在很多號(hào)稱(chēng)能夠防御 DDoS 攻擊的設(shè)備上是不能夠?qū)崿F(xiàn)的。 FortiGate 將 1300 多種入侵根據(jù)應(yīng)用類(lèi)型，分成 50 多個(gè)類(lèi)，比如說(shuō) Apache、 IIS、 Ftp等，如圖 IPS 類(lèi)型。 IPS 目前主要的用途有以下幾方面： ? 監(jiān)聽(tīng)和阻斷黑客利用應(yīng)用系統(tǒng)的漏洞發(fā)動(dòng)攻擊。 圖 IPS 類(lèi)型 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 29 頁(yè) 共 72 頁(yè) IM 顧名思義是即時(shí)通信，目前已經(jīng)加到 IPS 里面的有以下幾種： ? AIM ? MSN ? ? Yahoo P2P 就是點(diǎn)對(duì)點(diǎn)的通信，目前已有的特征值： ? Bit_torrent ? Edonkey ? Gnutella ? Kazaa ? skype 采用 IPS 阻斷的方式，無(wú)論這些通訊協(xié)議采用什么端口，只要其數(shù)據(jù)傳 輸?shù)奶卣髦党霈F(xiàn)，就會(huì)被成功地阻斷。 在線(xiàn)模式 IDS 通常都采用旁聽(tīng)的方式，來(lái)發(fā)現(xiàn)數(shù)據(jù)包中的攻擊內(nèi)容。 udp_src_session 能夠控制每臺(tái)計(jì)算機(jī)的 udp 會(huì)話(huà)總數(shù)，以控制網(wǎng)絡(luò)的壅塞。有些病毒感染后會(huì)發(fā)出大量的 ping 數(shù)據(jù)包，如果我們簡(jiǎn)單設(shè)置防火墻策略阻斷 ping 數(shù)據(jù)包，那么我們就不能利用 ping 功能來(lái)判斷是否網(wǎng)絡(luò)通暢。 異常 —— DoS 攻擊 在 FortiGate 中 DDos 是入侵檢測(cè)和阻斷的一種，它是根據(jù)閾值方式發(fā)現(xiàn)問(wèn)題，并且予以阻斷。該方法是對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的內(nèi)容進(jìn)行分析，發(fā)現(xiàn)其內(nèi)容與預(yù)先定義好的特征值相匹配，則采用相應(yīng)的手段。通過(guò) 配置大唐多媒體網(wǎng)絡(luò)中 FortiGate 的 IDS/IPS 模塊 ，可以防止各類(lèi)網(wǎng)絡(luò)攻擊和入侵行為的發(fā)生。網(wǎng)絡(luò)入侵偵測(cè) /阻斷系統(tǒng) (IDS/IPS)是一種實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)傳感器，它能對(duì)外界各種可疑的網(wǎng)絡(luò)活動(dòng)進(jìn)行識(shí)別及采取行動(dòng)。然后在 Web 分類(lèi)屏蔽中， 選擇“成人相關(guān)”的“阻斷”，還要選擇“啟動(dòng)分類(lèi)屏蔽” 最后防火墻策略中引用“ new”這個(gè)保護(hù)內(nèi)容表 在使用分類(lèi)屏蔽的時(shí)候，千萬(wàn)不要忘了購(gòu)買(mǎi) FortiGuard 服務(wù)。 舉 例說(shuō)明，如果網(wǎng)管想禁止內(nèi)部員工訪問(wèn) 和色情網(wǎng)站。 除了以上兩種以外， FortiGate 還提供了根據(jù)文件 名隔離文件的功能，用戶(hù)可以根據(jù)文件的后綴，文件名或使用通配符來(lái)實(shí)現(xiàn)文件的隔離，如圖文件隔離所示。灰色軟件是一個(gè)概括性詞匯，它是指安裝在計(jì)算機(jī)上跟蹤或向某目標(biāo)匯報(bào)特定信息的一類(lèi)軟件。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 24 頁(yè) 共 72 頁(yè) 圖 病毒檢查 從 FortiGate 的配置界面中可以清楚地簡(jiǎn)單地配置殺毒設(shè)置，充分地體現(xiàn)了人性化的設(shè)計(jì)思想，如下面兩圖可以看到。 在病毒處理上， FortiGate 提供了三個(gè)工具，一個(gè)是病毒本身，二是灰色軟件，三是文件隔離，如圖病毒檢查所示。 流量控制同樣也是同防火墻策略捆綁在一起的，如圖流量控制所示。這種事情通常會(huì)發(fā)生在下載大文件和郵件的時(shí)候。 最大帶寬：控制其接入的最大的流量。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 22 頁(yè) 共 72 頁(yè) 圖 保護(hù)內(nèi)容表 流量控制 FortiGate 還提供非常優(yōu)秀的流量控制功能，它可以基于 IP 地址、服務(wù)、 VPN 隧道和時(shí)間來(lái)控制數(shù)據(jù)的流量。 地址可以是多種類(lèi)型的： 單一地址 比如說(shuō) 地址段 比如說(shuō) 。同樣，如果我們要限制某個(gè)網(wǎng)段的訪問(wèn)權(quán)限的話(huà)，首先也要先定義一個(gè)地址對(duì)象，然后在防火墻策略中調(diào)用實(shí)施，如圖防火墻策略制定流程。如圖靜 態(tài) PAT， FortiGate 可以實(shí)現(xiàn)將外部地址的端口映射到內(nèi)部地址的端口上。 FortiGate 是通過(guò) Virtual IP 來(lái)實(shí)現(xiàn)的靜態(tài) NAT 的。具體設(shè)置請(qǐng)參見(jiàn)圖 PAT 的設(shè)置。每個(gè)連接都要有一個(gè)獨(dú)立的轉(zhuǎn)換，因?yàn)椴煌倪B接的原 IP 的源端口是不同的。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 16 頁(yè) 共 72 頁(yè) 圖 動(dòng)態(tài)地址翻譯 在 FortiGate 上設(shè)置如下圖設(shè)置動(dòng)態(tài)地址翻譯。翻譯的過(guò)程是原地址和映射地址一一對(duì)應(yīng)的。 ? 如果兩個(gè)網(wǎng)絡(luò)地址重疊的話(huà)，通過(guò) NAT 可以實(shí)現(xiàn)網(wǎng)絡(luò)的互通。 防火墻在做地址轉(zhuǎn)換的時(shí)候，要進(jìn)行策略比對(duì)，當(dāng)策略匹配的時(shí)候，進(jìn)行地址轉(zhuǎn)換，策略不匹配的時(shí)候，不對(duì)數(shù)據(jù)包進(jìn)行處理。其配置的具體步驟如下： config system session_ttl set default (300604800) end 上述的修改方式，是將所有的會(huì)話(huà)的時(shí)間都給修改了。如果該 TCP 連接持續(xù)一段時(shí)間沒(méi)有通信的話(huà)，防火墻就會(huì)把會(huì)話(huà)丟棄。在某些特殊的情況下，實(shí)際的網(wǎng)絡(luò)情況不能滿(mǎn)足該要求。如下圖所示，從瀏覽器模式的管理界面的“系統(tǒng) /會(huì)話(huà)”中，可以查看每一個(gè)具體的“上下文”狀態(tài)，源地址、源端口、目標(biāo)地址、目標(biāo)端口、失效時(shí)間等重要參數(shù)。然后用防火墻系統(tǒng)內(nèi)核中 “ 專(zhuān)用的檢查模塊 ” 對(duì)這些包進(jìn)行檢查。 包過(guò)濾的優(yōu)點(diǎn) 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 12 頁(yè) 共 72 頁(yè) ? 因?yàn)榘^(guò)濾防火墻工作在 IP 和 TCP 層，所以處理包的速度 快； ? 提供透明的服務(wù)，用戶(hù)不用改變客戶(hù)端程序； ? 適應(yīng)多種網(wǎng)絡(luò)環(huán)境； ? 具有透明接入的功能，很多時(shí)候不需要更改網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)； ? 功能強(qiáng)大，能夠?qū)Ω鞣N應(yīng)用協(xié)議進(jìn)行過(guò)濾； ? 針對(duì)協(xié)議能夠做得更加底層。包過(guò)濾只能讓我們進(jìn)行類(lèi)似以下情況的操作，如： ? 不讓任何工作站從外部網(wǎng)用 Tel 登錄。 數(shù)據(jù)包是通過(guò)互聯(lián)網(wǎng)絡(luò)中的路由器，從源網(wǎng)絡(luò)到達(dá)目的網(wǎng)絡(luò)的。包過(guò)濾是一種保安機(jī)制，它控制哪些數(shù)據(jù)包可以進(jìn)出網(wǎng)絡(luò)而哪些數(shù)據(jù)包應(yīng)被網(wǎng)絡(luò)拒絕。 建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健全的網(wǎng)絡(luò)安全及信息安全管理制度，并加以嚴(yán)格管理相結(jié)合。責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話(huà)： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 9 頁(yè) 共 72 頁(yè) 圖一 ICSA 統(tǒng)計(jì)數(shù)據(jù)： 90%以上是通過(guò) Inter 傳播的 圖