【正文】 設(shè)備包 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 括 3 個 10/100M 自適應(yīng)的以太網(wǎng)接口， FortiGate 200 提供了高性能的基于網(wǎng)絡(luò)的防病毒，內(nèi)容過濾，防火墻， VPN， IDS 和流量控制功能。 ? 加固的操作系統(tǒng)，不含第三方組件，保證了物理上的安全。 安全需求 通過分析 XX 集團面臨的業(yè)務(wù)系統(tǒng)能夠遇到的網(wǎng)絡(luò)，我們提出防范安全威脅尤其是內(nèi)部辦公數(shù)據(jù)傳輸?shù)陌踩院陀捎诓《舅斐傻木W(wǎng)絡(luò)安全威脅的安全需求： ? 各分公司和總部之間使用 Fortigate 設(shè)備進行 IPSec VPN 連接 ,用來備份各分公司和總部之間的 DDN 線路 ,使集團內(nèi)部網(wǎng)絡(luò)更安全、更穩(wěn)定的運作。攻擊特征、病毒庫和探測引擎可以對單臺設(shè)備而不是上百臺主機更新。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 ? 員工可能會讓公司以外的人使用他們的移動設(shè)備。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 2 深度檢測的力量 專業(yè)人士已經(jīng)意識到傳統(tǒng)的、曾紅極一時的安全工具現(xiàn)在面對新一代攻擊例如混合式攻擊、社會工程陷阱和協(xié)議受控技術(shù)時已不再有效。 ? 對多個千兆端口的流量進行鏡像或重定向很容易使 IDS 的性能透支，從而導(dǎo)致丟包而漏報。 SoftEther 可以很輕易的穿越傳統(tǒng)防火墻 ? PC 上感染的木馬程序可以從防 火墻的可信任網(wǎng)絡(luò)發(fā)起攻擊。病毒被設(shè)計為利用 Email 客戶端軟件的地址簿進行廣泛傳播已經(jīng)成為新型攻擊的標準手段。為了對抗這種新的威脅，安全技術(shù)也在不斷進化，包括深度包檢測防火墻、應(yīng)用網(wǎng)關(guān)防火墻、內(nèi)容過濾、反垃圾郵件、SSL VPN、基于網(wǎng)絡(luò)的防病毒和入侵防御系統(tǒng)（ IPS）等新技術(shù)不斷被應(yīng)用。下圖舉例說明了一個已知漏洞及相應(yīng)補丁的公布到該漏洞被利用之間的天數(shù)。網(wǎng)絡(luò)欺詐攻擊往往聲稱自己為某個合法組織，誘騙成千上萬的無辜受害者給出他們的財務(wù)和私人信息。 ? 攻擊和探測程序可以通過防火墻開放的端口穿越防火墻。它們僅僅是監(jiān)視設(shè)備，在發(fā)現(xiàn)惡意流量時進行報警。隨著業(yè)務(wù)中使用了越來越多的面向全球且需要持續(xù)運行的關(guān)鍵應(yīng)用，停機來更 新操作系統(tǒng)補丁、病毒特征碼和應(yīng)用升級變得越來越困難。 ? 保持基于主機的安全應(yīng)用不斷升級、與公司安全策略同步是很難做到的。基于網(wǎng)絡(luò)的安全設(shè)備的例子包括入侵防御系統(tǒng)（ IPS）、防病毒網(wǎng)關(guān)、反垃圾郵件網(wǎng)關(guān)和統(tǒng)一威脅管理（ UTM）設(shè)備。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax： 02152949018 二 、 司需求分析 網(wǎng)絡(luò)分析及拓撲圖 XX 集團有限公司目前按網(wǎng)絡(luò)結(jié)構(gòu)主是由總公司、各個地區(qū)的分公司和部分移動用戶來組成的 。 ? 用戶認證，防止非授權(quán)的網(wǎng)絡(luò)訪問?；?Forti 的 FortiAsic?內(nèi)容處理器， FortiGate 是業(yè)界唯一能夠在不影響網(wǎng)絡(luò)性能情況下檢測有害的病毒、蠕蟲及其他基于內(nèi)容的安全威脅的產(chǎn)品，系統(tǒng)還集成了防火墻、 VPN、入侵檢測、內(nèi)容過濾和流量控制功能。 FortiGate 200 提供了一個用戶可定義的 DMZ/HA（高可用）端口，支持冗余的設(shè)備配置。 FortiGate 集成防火墻、防病毒、入侵防御、 VPN、 Web 內(nèi)容過濾、反垃圾郵件等多項安全功能于一身，能夠從網(wǎng)絡(luò)層到應(yīng)用層進行全方位的安全保護。 ? 采用防病毒功能及技術(shù)實時監(jiān)測進入網(wǎng)絡(luò)或主機的數(shù)據(jù)，防范病毒、木馬、釣魚程序?qū)W(wǎng)絡(luò)或主機的侵害，避免病毒和蠕蟲在網(wǎng)絡(luò)內(nèi)泛濫 通過網(wǎng)絡(luò)安全建設(shè)，需要實現(xiàn)以下目標： ? 保護網(wǎng)絡(luò)系統(tǒng)的可有性、穩(wěn)定性、安全性 ? 保護網(wǎng)絡(luò)資源的合法使用性 ? 防范入侵者的惡意攻擊與破壞 ? 保護信息通過網(wǎng)上傳輸?shù)臋C密性、完整性及不可抵賴性 ? 防范病毒的侵害 ? 防范來自網(wǎng)絡(luò)內(nèi)外的攻擊 ? 有效的日志管理為安全運維提供支持 Forti UTM 安全解決方案 根據(jù)對網(wǎng)絡(luò)安全現(xiàn)狀及用戶需求的分析，我們推薦 總部使用 Forti 公司 UTM 產(chǎn)品Fortigate800,而各個分公司使用 Fortigate 200 來作為 Inter 網(wǎng)絡(luò)接入設(shè)備 。 ? 保持以前使用的設(shè)備、操作系統(tǒng)和應(yīng)用，無需將它們都升級到最新的版本。 ? 移動設(shè)備包含有公司信息，但可能沒有備份，增加了丟失公司有價值財產(chǎn)的風險。 ? 增加基于網(wǎng)絡(luò)的安全平臺，以提供在線（ ”inline”）檢測和防御。 ? 即使 IDS 與防火墻進行聯(lián)動，對于網(wǎng)絡(luò)蠕蟲病毒等快速傳播的威脅的響應(yīng)速度仍然是很慢的。 ? 較老式的防火墻對每一個數(shù)據(jù)包進行檢查，但不具備檢查包負載的能力。多年來，企業(yè)一直依靠狀態(tài)檢測防火墻、入侵檢測系統(tǒng)、基于主機的防病毒系統(tǒng)和反垃圾郵件解決方案來保證企業(yè)用戶和資源的安全。這些攻擊設(shè)計為欺騙用戶暴露敏感信息，下載和安裝惡意程序、跟蹤軟件或運行惡意代碼。隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內(nèi)容層和網(wǎng)絡(luò)層的安全威脅正變得司空見慣。 現(xiàn)在針對新漏洞的攻擊產(chǎn)生速度比以前要快得多。通過檢查數(shù)據(jù)包頭，狀態(tài)檢測防火墻分析和監(jiān)視網(wǎng)絡(luò)層（ L3）和協(xié)議層（ L4），基于一套用戶自定義的防火墻策略來允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。 IDS 的弱點包括： ? IDS 通常放置在關(guān)鍵位置如網(wǎng)絡(luò)邊界和重要節(jié)點上。 ? 用戶有時可能會有意或無意的關(guān)閉他們的單機安全應(yīng)用程序。不管如何試圖保持移動用戶的安全，當他們外出離開公司網(wǎng)絡(luò)總是會遇到更大的風險。 圖： CSO 的 Security Sensor VIII 對于攻擊來源的報告， 64%的安全威脅來自于企業(yè)內(nèi)部可信任用戶或合作伙伴。 UTM 安全系統(tǒng)的其它優(yōu)點包括： ? 通過為多種安全功能提供一個統(tǒng)一的管理平臺，降低了設(shè)備的復(fù)雜性，加快了安裝速度。 上海軟盛信息技術(shù)有限公司 Tel： 02152916000 上海市中山北路 2020 號中星經(jīng)貿(mào)大廈 19 樓 Fax：