【正文】 圖保護(hù)的。移動用戶承受更大安全風(fēng)險的原因如下： ? 移動設(shè)備無法受到與公司網(wǎng)絡(luò)相同的安全技術(shù)的保護(hù)。 ? 員工將與其它網(wǎng)絡(luò)連接來開展業(yè)務(wù)，而這些外來網(wǎng)絡(luò)的安全級別完全未知。 ? 移動設(shè)備 包含有公司信息，但可能沒有備份，增加了丟失公司有價值財產(chǎn)的風(fēng)險。為了防止這種情況的發(fā)生， IT 專業(yè)人員必須重新設(shè)計它們的網(wǎng)絡(luò)，圍繞關(guān)鍵部門、服務(wù)器群和關(guān)鍵應(yīng)用系統(tǒng)提供更加安全的區(qū)域。 增加基于網(wǎng)絡(luò)的安全 基于網(wǎng)絡(luò)的安全設(shè)備能夠部署在現(xiàn)有的安全體系中來提高檢測率，并在有害流量進(jìn)入公司網(wǎng)絡(luò)之前進(jìn)行攔截。除了實(shí)時阻擋攻擊之外，基于網(wǎng)絡(luò)的安全還包括以下優(yōu)點(diǎn)： ? 減少維護(hù)成本。 ? 保持以前使用的設(shè)備、操作系統(tǒng)和應(yīng)用，無需將它們都升級到最新的版本。 增加統(tǒng)一威脅管理（ UTM）安全 為了對最新的混合型攻擊和社會工程威脅提供先進(jìn)的安全檢測， 越來越多的信息安全 公司開發(fā)出了新一代安全平臺。 ? 與購買和使用多個單一功能的單點(diǎn)安全系統(tǒng)相比，降低了總體擁有成本 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 12 （ TCO）。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 14 第三章 Forti UTM 安全解決方案 根據(jù)對網(wǎng)絡(luò)安全現(xiàn)狀及用戶需求的分析，我們推薦 Forti 公司的 UTM安全解決方案。 ? IDS 和 IPS 預(yù)置 1400 個以上的攻擊特征，并提供用戶定制特征的機(jī)制。 ? 帶寬管理防止帶寬濫用。 ? 加固的操作系統(tǒng)，不含第三方組件，保 證了物理上的安全。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 15 路由 （ NAT） 模式 如果需要用 FortiGate 連接不同 IP 地址段， 則 將 FortiGate 置于路由工作模式。使 和 。 FortiGate 還可以很好的支持雙網(wǎng)關(guān)的網(wǎng)絡(luò)環(huán)境。 在 路由（ NAT）模式下， FortiGate可以實(shí)現(xiàn)雙向 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和 PAT（端口轉(zhuǎn)換） ，包括 1： N、 N： N： N 的轉(zhuǎn)換。 透明（橋）模式 如果 FortiGate內(nèi)、外網(wǎng)使用相同網(wǎng)段的 IP 地址，便無需 FortiGate擔(dān)負(fù)路由的工作。此時FortiGate 不像路由模式下需要給每個接口配置一個單獨(dú)的 IP 地址，只需直接插入到網(wǎng)絡(luò)鏈路中即可。 路由模式和透明模式的切換非常的簡單，在 FortiGate 的 Web 圖形管理界面下便可實(shí)現(xiàn)。 如下圖所示，內(nèi)網(wǎng)和 DMZ區(qū)使用同一網(wǎng)段的 IP 地址 ，內(nèi)網(wǎng)使用 ， DMZ區(qū)使用；外網(wǎng)使用另一網(wǎng)段的 IP 地址（ ）。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 20 2 安全功能 傳統(tǒng)防火墻基于狀態(tài)檢測的包過濾技術(shù)，只能在網(wǎng)絡(luò)層針對 IP 地址、端口等進(jìn)行簡單的過濾，這并非網(wǎng)絡(luò)安全建設(shè)的終極目標(biāo)，不能滿足當(dāng)前網(wǎng)絡(luò)安全的要求，黑客一旦偽裝成合法 IP 進(jìn)行攻擊，防火墻將不會阻擋。 依靠基于包檢測的安全解決方案對于使用分段技術(shù)的新型安全威脅是無能為力的。 只有通過重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。正如圖形加速卡能加速復(fù)雜圖形的顯示一樣， FortiASIC 和 CPRL 能對病毒和攻擊檢測進(jìn)行特征和模板匹配進(jìn)行加速 。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 22 防火墻 FortiGate 的防火墻功能基于狀態(tài)檢測包過濾技術(shù)，可以針對 IP 地址、服務(wù)、端口等參數(shù)決定是否允許數(shù)據(jù)包通過，在第三層（網(wǎng)絡(luò)層）和第四層（傳輸層）進(jìn)行數(shù)據(jù)過濾。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 23 FortiGate 預(yù)置了常用網(wǎng)絡(luò)服務(wù)的端口信息，如 HTTP 使用的 TCP80 端口、 FTP 使用的 TCP21/20端口等。例如工作時間 （如周一至周五每天 9:0018:00）不允許內(nèi)網(wǎng)用戶使用 、 MSN等工具聊天，而其它時間則允許使用，便可通過 FortiGate 基于時間的策略自動實(shí)現(xiàn)。 FortiGate 支持 Radius、 LDAP、 SecurID、 Windows 域等多種用戶身份認(rèn)證。所有的會話都會維持在 FortiGate 的會話表中，還可以供管理員分析和排錯使用。據(jù)ICSA（國際計算機(jī)安全協(xié)會）的統(tǒng)計，目前已經(jīng)有超過 90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。 因此，對于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過濾，防止病毒進(jìn)入內(nèi)網(wǎng)。 FortiGate的病毒庫 100%覆蓋業(yè)界權(quán)威的 WildList 病毒庫， 確保網(wǎng)絡(luò)的安全性。無論用戶使用何種 Email 服務(wù)器和 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 28 客戶端，只要使用的是標(biāo)準(zhǔn)的 SMTP、 POP IMAP 協(xié)議， FortiGate都可以對電子郵件中的病毒進(jìn)行過濾，防止 病毒通過郵件傳播。 對于一段內(nèi)容，如果既包含正常部分，又含有病毒代碼，則 FortiGate會將病毒代碼過濾掉，正常部分仍然會繼續(xù)傳輸，這樣便可有效防止信息的丟失。 除了可以過濾已知特征病毒之外， FortiGate 還可以對管理員指定的文件名類型進(jìn)行過濾。 對于染毒文件，除了直接丟棄之外，還可以采取隔離的方法。 灰色軟件通常在用戶瀏覽網(wǎng)頁、下載文件、收取 Email 時偷偷潛入計算機(jī)，用戶很難察覺。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 31 IPS（入侵防御） 傳統(tǒng)的狀態(tài)檢測 /包過濾防火墻是在 網(wǎng)絡(luò)層 /傳輸層工作，根據(jù) IP 地址、端口等信息對數(shù)據(jù)包進(jìn)行過濾，能夠?qū)诳凸羝鸬讲糠址烙饔?。例如前面提過的 SoftEther的通信數(shù)據(jù)中都會包括“ SoftEther Protocol”字符串，雖然這種應(yīng)用使用 HTTPS 協(xié)議通過 TCP443 端口通信，使用包過濾防火墻無法進(jìn)行防御。例如，管理員通過對本網(wǎng)絡(luò)應(yīng)用的觀察和分析，認(rèn)為在正常情況下某服務(wù)器每秒收到 2020 個以內(nèi) SYN 包屬于正常范圍。這種在線式的 IPS 對各種攻擊均可直接阻斷并生成日志。每一類別甚至每一種攻擊行為都可以獨(dú)立的選擇開啟或關(guān)閉，可以定制非常靈活的策略。 FortiGate 內(nèi)置的 IPS 還可以對 SYN flood、 ICMP flood、 Tear Drop 等 DoS/DDoS攻擊進(jìn)行防御。 VPN（虛擬專用網(wǎng)） Inter 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機(jī)密信息。 單獨(dú)的 VPN網(wǎng)關(guān)的主要功能是 IPSec數(shù)據(jù)包的加密 /解密處理和身份認(rèn)證，沒有很強(qiáng)的訪問控制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防 DoS攻擊等）。因此， VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。應(yīng)用 PPTP、 L2TP、 SSL 的好處是方便使用，不需要附加的軟件。 由于充分利用了專用的 ASIC 芯片技術(shù)，處理復(fù)雜的 VPN 加密和認(rèn)證過程，極大加快了 VPN 通道的建立速度和數(shù)據(jù)加 /解密的處理時間，達(dá)到了極高的 VPN 處理速度。 總部與分公司之間的 VPN通信 企業(yè) Intra 網(wǎng)絡(luò)建設(shè)的 VPN 連接方案， 利用 IPSec安全協(xié)議的 VPN 和加密能力，實(shí)現(xiàn)兩個或多個企業(yè)之間跨越 Inter 的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù)通信。 下屬單位動態(tài)地址方式、移動辦公用戶、出差用戶和總部的 VPN 連接解決方案，如下圖示： 客戶端既可以使用 Windows 自帶的 PPTP/L2TP 撥號 VPN，實(shí)現(xiàn)簡單靈活的安全訪問 ；也可以使用 FortiClient 客戶端軟件進(jìn) 行高強(qiáng)度的 IPSec 通信， AES 加密算法可以實(shí)現(xiàn) 256位加密強(qiáng)度，極大的提高訪問的安全性。 北京市海淀區(qū)中關(guān)村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 36 移動辦公的 VPN通信 對于移動的辦公室、出差用戶、及采用 ADSL 上網(wǎng)的分支辦公室， 網(wǎng)關(guān)都提供了完善的解決方案。高性能的 VPN 加密處理 (DES， 3DES，AES， MD5， SHA1) 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intra網(wǎng)絡(luò)，無須考慮設(shè)備處理速度的影響 ， 256 位的 AES 算法更提供了業(yè)界最高級別的安全防御體系，使企業(yè)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。在企 業(yè)本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)之間可以采用 IPSec 協(xié)議來實(shí)現(xiàn) VPN 的連接和數(shù)據(jù)的高度安全控制。 FortiGate 的 VPN 功能支持 PPTP、 L2TP、 IPSec 和 SSL 四 種 VPN 協(xié)議，提供了前所未有的方便和靈活的選擇。 因此，在防火墻安全網(wǎng)關(guān)上集成 VPN能提供一個靈活、高效、完整的安全方案 ,是當(dāng)前安全產(chǎn)品的發(fā)展趨勢。 采用 VPN 技術(shù)的目的是為了在不安全的信道上實(shí) 現(xiàn)安全信息傳輸，保證企業(yè)內(nèi)部信息在 Inter 上傳輸時的機(jī)密性和完整性，同時使用鑒別對通過 Inter進(jìn)行的數(shù)據(jù)傳輸進(jìn)行確認(rèn)。 FortiGate 的 IPS 功能還能對網(wǎng)絡(luò)當(dāng)中的異常流量進(jìn)行處理，例如對特定源或目的的會話進(jìn)行限制。 北京