【文章內(nèi)容簡介】 方式。 to prducewhismk,~4:AOqH() FortiGate 在路由模式下支持各種路由方法，包括靜態(tài)路由、動態(tài)路由（可以直接參與到 RIP、 OSPF、 BGP 路由 及組播路由 運算中 ，而非僅僅讓動態(tài)路由協(xié)議穿越 ）、策略路由（根據(jù)不同的源地址、目的地址、端口等確定下一條路由網(wǎng)關(guān)） 、基于用戶認(rèn)證的路由（客戶 PC 輸入不同用戶名密碼進(jìn)行認(rèn)證，可以獲得不同的路由途徑） ，可以滿足多種網(wǎng)絡(luò)環(huán)境的要求。 FortiGate 還可以 很好的支持雙網(wǎng)關(guān)的網(wǎng)絡(luò)環(huán)境。如下圖所示， 內(nèi)網(wǎng)使用 ISP ISP2兩條鏈路接入 Inter。使用 FortiGate 可以實現(xiàn)兩條鏈路的 冗余。通常情況下對 Inter的訪問請求都通過帶寬較高的 ISP1 鏈路進(jìn)行，當(dāng) ISP1 鏈路出現(xiàn)故障中斷時， FortiGate會自動將所有的訪問請求切換到 ISP2 鏈路，保證網(wǎng)絡(luò)的不間斷運行。 雙鏈路的使用除了主備外，還可以實現(xiàn)的負(fù)載均衡方式包括：基于源 IP、基于權(quán)值分配及溢出等三種方式。 to prducewhismk,~4:AOqH()17 在路由（ NAT）模式下， FortiGate可以實現(xiàn)雙向 NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和 PAT（端口轉(zhuǎn)換） ，包括 1： N、 N： N： N 的轉(zhuǎn)換。 NAT 和 PAT 可以很好的起到隱藏內(nèi)網(wǎng)結(jié)構(gòu)，節(jié)約 IP 地址資源的作用。 如下圖所示， 內(nèi)網(wǎng)使用的是 ，無法直接在 Inter上通信。通過 FortiGate 的 NAT/PAT 功能，可以將內(nèi)網(wǎng)所有私有 IP 地址轉(zhuǎn)換為 FortiGate外口的 IP 地址或其它地址池，實現(xiàn)共享上網(wǎng)的目的；還可以通過靜態(tài)地址映射或端口轉(zhuǎn)發(fā)的方式，將 FortiGate 外口的公網(wǎng) IP 地址或其他公網(wǎng) IP 地址映射到內(nèi)網(wǎng)的服務(wù)器上（如 的 Web 服務(wù)器），實現(xiàn)私有 IP 地址的服務(wù)器對外發(fā)布服務(wù)的功能。 FortiGate 的 虛擬 IP 功能還支持如下幾種高級應(yīng)用： to prducewhismk,~4:AOqH()1） 負(fù)載均衡 如上圖所示，內(nèi)網(wǎng)的 3 臺 Web 服務(wù)器（ ）對外提供同樣的服務(wù) ，可以使用 FortiGate 通過虛擬 IP 方式實現(xiàn)多臺設(shè)備間的負(fù)載均衡 ，負(fù)載均衡算法包括靜態(tài)、輪詢、加權(quán)、最早存活、最小響應(yīng)時間、最小連接數(shù) 。并可以通過ping、 TCP、 HTTP 等方式進(jìn)行健康檢查，發(fā)生故障的服務(wù)器會被自動剔除出負(fù)載均衡組 。 2） HTTP 多路復(fù)用 或 SSL卸載 to prducewhismk,~4:AOqH()19 傳統(tǒng)的訪問形式下服務(wù)器需要維護(hù)大量來自客戶端的 TCP 連接，每個連接的維持都需要耗費服務(wù)器的內(nèi)存和 CPU 計算周期。 HTTP multiplexing（多路復(fù)用） 機(jī)制，通過在 FortiGate 上維持和客戶端的大量連接，而在 FortiGate 和服務(wù)器之間建立少量常開的連接，每個 FortiGate 和服務(wù)器之間的連接服務(wù)若干客戶端和 FortiGate 的連接，減少服務(wù)器的資源消耗，提高服務(wù)器的處理性能。 而 SSL offload（卸載）是指將 FortiGate 部署在 Web 服務(wù) 器 前方，處理 SSL 加密 /解密 ， Web服務(wù)器與 FortiGate 之間可以采用 HTTP方式通信，從而將服務(wù)器從繁重的加解密及認(rèn)證的工作負(fù)擔(dān)中解脫出來，提高處理性能。 注： 只有使用 FortiASIC CP6 的型號支持這一特性，包括 FortiGate310B、FortiGate620B 、 FortiGate3600A, FortiGate3016B, FortiGate3810A, FortiGate5005FA2 等。 透明（橋）模式 如果 FortiGate內(nèi)、外網(wǎng)使用相同網(wǎng)段的 IP 地址，便無需 FortiGate擔(dān)負(fù)路由的工作。此時可以將 FortiGate 置于透明模式， FortiGate 工作在第二層，在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)上相當(dāng)于一個交換機(jī)或者網(wǎng)橋。如下圖所示： to prducewhismk,~4:AOqH() 內(nèi)網(wǎng)已經(jīng)可以通過路由器的路由和 NAT 功能連入 Inter，內(nèi)網(wǎng)所有計算機(jī)的默認(rèn)網(wǎng)關(guān)均指向路由器的內(nèi)口 ，此時只需加入安全網(wǎng)關(guān)設(shè)備實現(xiàn)安全功能。為了盡可能的簡化配置且不更改現(xiàn)有的網(wǎng)絡(luò)環(huán)境，一般情況下都推薦使用 FortiGate 的透明模式。此時FortiGate 不像路由模式下需要給每個接口配置一個單獨的 IP 地址，只需直接插入到網(wǎng)絡(luò)鏈路中即可。內(nèi)外網(wǎng)用戶并不能感覺到這臺安全設(shè)備的存在，將 FortiGate 從網(wǎng)絡(luò)中撤出也不會影響出口的連通性。 FortiGate 存在與否均不會改變網(wǎng)絡(luò)邏輯結(jié)構(gòu)和可用性，因此稱之為透明模式。 在透明模式下，需要給 FortiGate 配置一個管理 IP 地址，用于管理。 路由模式和透明模式的切換非常的簡單，在 FortiGate 的 Web 圖形管理界面下便可實現(xiàn)。 混合模式 FortiGate 的 還可以 可以很方便的實現(xiàn)路由 /透明的混合模式。 如下圖所示，內(nèi)網(wǎng)和 DMZ區(qū)使用同一網(wǎng)段的 IP 地址 ，內(nèi)網(wǎng)使用 ， DMZ 區(qū)使用；外網(wǎng)使用另一網(wǎng)段的 IP 地址（ ）。此時單純的透 to prducewhismk,~4:AOqH()21 明模式或者路由（ NAT）模式都無法滿足網(wǎng)絡(luò)的要求。使用 FortiGate可 以實現(xiàn)外網(wǎng)與 DMZ/內(nèi)網(wǎng)之間使用路由（ NAT）模式，而內(nèi)網(wǎng)與 DMZ之間使用透明模式。這種路由 /透明的混合模式可以很好的滿足這種網(wǎng)絡(luò)環(huán)境的需求。 VLAN 支持 無論在透明模式還是路由（ NAT）模式下， FortiGate 都支持 VLAN 環(huán)境，對于交換機(jī)之間的 VLAN Trunk 或交換機(jī) /路由器之間的單臂路由都可以很好的支持； FortiGate在路由模式下自身也可以給交換機(jī)上的不同 VLAN 作 Trunk 和路由。 to prducewhismk,~4:AOqH() 虛擬域 FortiGate 設(shè)備 支持虛擬域功能，可以將一臺物理設(shè)備劃分成多個虛擬域（虛擬 UTM）每一個虛擬域 都 擁有獨立的 工作模式（路由、 NAT、透明等）、 接口 IP、路由 表 、 安全 策略、用戶等參數(shù)，便于下連多個網(wǎng)段或單位 /部門的時候使用。 各虛擬域之間還可以通過內(nèi)部虛擬鏈路 interlink 進(jìn)行互聯(lián)，實現(xiàn)各種不同的管理結(jié)構(gòu)。 獨立結(jié)構(gòu) to prducewhismk,~4:AOqH()23 管理結(jié)構(gòu) 全通結(jié) 構(gòu) 2 安全功能 傳統(tǒng)防火墻基于狀態(tài)檢測的包過濾技術(shù)，只能在網(wǎng)絡(luò)層針對 IP 地址、端口等進(jìn)行簡單的過濾，這并非網(wǎng)絡(luò)安全建設(shè)的終極目標(biāo)，不能滿足當(dāng)前網(wǎng)絡(luò)安全的要求，黑客一旦偽裝成合法 IP 進(jìn)行攻擊，防火墻將不會阻擋。且當(dāng)前傳播速度最快、危害最嚴(yán)重的并非網(wǎng)絡(luò)層的to prducewhismk,~4:AOqH()攻擊，而是應(yīng)用層的病毒、入侵、垃圾郵件、不良內(nèi)容等，而傳統(tǒng)的網(wǎng)絡(luò)層防火墻對這些應(yīng)用層的攻擊行為沒有防范能力，對于網(wǎng)絡(luò)的保護(hù)作用是極為有限的。 信息安全 真正需要的是網(wǎng)絡(luò)層和應(yīng)用層全面的安全防御體系。 FortiGate 防火墻是一個集防火墻、防病毒、 入侵防御 、 VPN（虛 擬專用網(wǎng)）、 內(nèi)容過濾、反垃圾郵件 、 IM/P2P 控制 等多項功能于一身的綜合安全網(wǎng)關(guān)，利用 Forti 公司專利技術(shù)行為加速和內(nèi)容分析系統(tǒng)技術(shù)（ Accelerated Behavior and Content Analysis SystemABACASTM），包括 FortiASICTM內(nèi)容處理器和 FortiOSTM操作系統(tǒng)，突破了芯片設(shè)計、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點，超越了傳統(tǒng)防火墻僅能在網(wǎng)絡(luò)層進(jìn)行粗粒度的包過濾的安全層次，能夠從網(wǎng)絡(luò)層到應(yīng)用層提供全方位的安全保護(hù)。 依靠基于包檢測的安全解決方案 對于使用分段技術(shù)的新型安全威脅是無能為力的。它們使用一些巧妙的手段能繞過傳統(tǒng)的防火墻、 IDS 和防病毒系統(tǒng)。 Forti 先進(jìn)的完全內(nèi)容檢測（ CCI）技術(shù)能夠掃描和檢測整個 OSI堆棧模型中最新的安全威脅。與其它單純檢查包頭或“深度包檢測”的安全技術(shù)不同， Forti 的 CCI技術(shù)重組文件和會話信息，以提供強(qiáng)大的掃描和檢測能力。 只有通過重組，一些最復(fù)雜的混合型威脅才能被發(fā)現(xiàn)。為了補(bǔ)償先進(jìn)檢測技術(shù)帶來的性能延遲， Forti 使用 FortiASIC 芯片來為特征掃描、加密 /解密和 SSL 等功能提供硬件加速。 Forti 擁有專利的緊湊模式識別語言（ Compact Pattern Recognition Language，簡稱 CPRL）與 FortiASIC 一起使用，提供比基于 PC工控機(jī)的安全設(shè)備高 46 倍的性能。通過一些很巧妙的設(shè)計， FortiASIC 總能幫助用戶在威脅到達(dá)之前完成更新，而不會停留在過期的階段。正如圖形加速卡能加速復(fù)雜圖形的顯示一樣， FortiASIC 和 CPRL 能對病毒和攻擊檢測進(jìn)行特征和模板匹配進(jìn)行加速。 Forti 的完全內(nèi)容檢測和重組技術(shù)與業(yè)界第一個硬件加速檢測引擎（ FortiASIC 和CPRL 語言）一起，提供了當(dāng)今最先進(jìn)的 ASIC 加速安全產(chǎn)品。 to prducewhismk,~4:AOqH()25 FortiGate 高端型號采用了業(yè)界獨有的雙 ASIC 芯片加速技術(shù)，其中 FortiASICCP（內(nèi)容處理器） 是經(jīng)過定制的處理器，可以用來實現(xiàn)將已知的威脅特征庫（如病毒庫、 IPS 庫等）與內(nèi)存中待檢測對象進(jìn)行匹配。內(nèi)存中的待檢測對象可以是數(shù)據(jù)包、文件（包括壓縮文件）等。內(nèi)容處理器專門進(jìn)行協(xié)議識別和解析，可以快速重組數(shù)據(jù)包，掃描發(fā)現(xiàn)可疑的內(nèi)容。內(nèi)容處理器并不直接接收數(shù)據(jù)，它不串接在網(wǎng)絡(luò)接口后面，而是通過接受 CPU的指令，處理內(nèi)容，尋找威脅。 內(nèi)容 處理器能夠加速防病毒和 IPS，因為這兩種安全功能都需要將數(shù)據(jù)內(nèi)容與庫文件進(jìn)行比對。有些人有誤解，以為 ASIC 是“靜態(tài)”安全檢測，不能檢測新的威脅。但是實際上，固化的部分是掃描邏輯結(jié)構(gòu)，而非特征值，對新的安全威脅可以通過升級特征庫來解決，這樣升級攻擊特征就變得非常容易，攻擊特征可以像軟件一樣進(jìn)行升級。 內(nèi)容處理器還能包括加密引擎，它使得 CPU 不用進(jìn)行高強(qiáng)度的加密解密計算。 VPN的建立和密鑰維護(hù)都是非常消耗系統(tǒng)資源的，因此，它們是最適用用于硬件加速的。內(nèi)容處理器很適合完成這個工作，它可以大大提高系統(tǒng)的 VPN 性能 。 而 FortiASICNP（ 網(wǎng)絡(luò)處理器 ） 是對網(wǎng)絡(luò)流量進(jìn)行高速處理的硬件設(shè)備。這種處理器一般是以在線的方式放置在 CPU 和網(wǎng)絡(luò)接口之間，直接接收網(wǎng)絡(luò)流量并自動執(zhí) 行某些操作，通過網(wǎng)絡(luò)處理器的工作，可以減輕系統(tǒng)其他部分的負(fù)載，下圖 說明了使用網(wǎng)絡(luò)處理器的系統(tǒng)的架構(gòu)。它處理很多基本維護(hù)工作，比如會話表的維護(hù)、常見的 TCP包處理、加密 /解密和網(wǎng)絡(luò)地址翻譯（ NAT）相關(guān)的任務(wù)。 新一代的網(wǎng)絡(luò)處理器也能進(jìn)行安全檢測并且予以處理。它可以迅速地重組數(shù)據(jù)包，而這to prducewhismk,~4:AOqH()個過程是入侵檢測技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程以加載當(dāng)前的 防火墻和 IPS策略來對流量進(jìn)行過濾，在接口級過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包，卻不需要 CPU的參與。當(dāng)流量旁路系統(tǒng)的其他部分，而直接由網(wǎng)絡(luò)處理器轉(zhuǎn)發(fā)時，網(wǎng)絡(luò)處理器首先從 CPU下載會話處理的指令，然后就在本地處理數(shù)據(jù)包，只給 CPU 提交必要的狀態(tài)信息，通過狀態(tài)信息的通信替代所有數(shù)據(jù)包的通信， CPU 的負(fù)載減輕了，性能得到顯著的改善。 高級的網(wǎng)絡(luò)處理器，具有內(nèi)置的安全功能，以線速實現(xiàn)防火墻的功能，可以實現(xiàn)千兆小包（ 64bit）線速，延遲非常低，網(wǎng)絡(luò)處理器也可以實現(xiàn)差不多高的 IPSec VPN 性能。這個性能對于日 益增長的局域網(wǎng)和廣域網(wǎng)帶寬來說是非常必要的。 在設(shè)備自身安全性方面， FortiGate 防火墻基于狀態(tài)檢測的技術(shù)可以有力的防止外部黑客對內(nèi)網(wǎng)的攻擊，且基于 ASIC 芯片技術(shù)可以提供非常高的網(wǎng)絡(luò)性能，自主設(shè)計的 FortiOS安全操作系統(tǒng)杜絕了所有通用操作系統(tǒng)的安全隱患，因此 FortiGate 防火墻的安全性、穩(wěn)定性和效率都遠(yuǎn)遠(yuǎn)高于其它 CPU+Linux構(gòu)架、軟硬一體化的工控機(jī)式防火墻。 通過在 FortiGate 防火墻上配置防火墻、病毒防護(hù)、入侵檢測、內(nèi)容過濾、反垃圾郵件 、應(yīng)用控制、數(shù)據(jù)泄露防護(hù) 等安全設(shè)置，便可對 進(jìn)出 網(wǎng)絡(luò)的 流量互訪進(jìn)行黑客攻擊、病毒、入侵、不良內(nèi)容和垃圾郵件等的全方位過濾。 to prducewhismk,~4:AOqH()27 防火墻 FortiGate 的防火墻功能基于狀態(tài)檢測包過濾技術(shù)，可以針對 IP 地址、服務(wù)、端口等參數(shù)決定是否允許數(shù)據(jù)包通過，在第三層（網(wǎng)絡(luò)層）和第四層（傳輸層）進(jìn)行數(shù)據(jù)過濾。 to prducewhismk,~4:AOqH() 如上圖所示，防火墻功能可以對訪問的源和目標(biāo)的 IP 地址進(jìn)行過濾，例如可以允許或拒絕內(nèi)網(wǎng)的部分 IP 地址訪問外網(wǎng)，也可以允許或拒絕外網(wǎng)的部分 IP 地址訪問內(nèi)網(wǎng)。 IP 地址對象可以是單個 IP（如 ），也可以是 IP 地址段（如 ）