【導(dǎo)讀】某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案。電話：82512622傳真：82512630. 北京市海淀區(qū)中關(guān)村南大街2號數(shù)碼大廈B座903室

　　

【正文】 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 22 頁 共 72 頁 圖 保護(hù)內(nèi)容表 流量控制 FortiGate 還提供非常優(yōu)秀的流量控制功能，它可以基于 IP 地址、服務(wù)、 VPN 隧道和時間來控制數(shù)據(jù)的流量。通過該功能我們可以控制某些 IP 或某些服務(wù)所產(chǎn)生的流量。比如說，我們可以通過它來限制 BT 的流量，而保障 HTTP、 Mail 這些通訊有比較高的帶寬，也可以通過它來保障在大規(guī)模實(shí)施 VPN 時，線路的通暢。 FortiGate 實(shí)現(xiàn)流量控制是通過三個參數(shù)來實(shí)現(xiàn)的： 基本帶寬：優(yōu)先保障其接入最基本的帶寬。 最大帶寬：控制其接入的最大的流量。 優(yōu)先級：通過設(shè)置優(yōu)先級來確認(rèn)流量的優(yōu)先層次。 比如說，總部有一條 10M 專線用做 VPN 接入，而分支機(jī)構(gòu)數(shù)量達(dá)到 200 個，都是以512kADSL 方式接入。如果 512k 全速工作的話，那么 20 個點(diǎn)就可以占用了 10M 帶寬。這種事情通常會發(fā)生在下載大文件和郵件的時候。我們就可以限制 每一個分支機(jī)構(gòu)流量基本帶寬是 50k，最大帶寬是 200k。優(yōu)先保障每個分支機(jī)構(gòu)都能夠達(dá)到 50k 的流量，最大不能超過200k 的流量。這樣就能夠有效地避免因?yàn)椴《净蛘邜阂庑袨閷?dǎo)致的某些點(diǎn)占據(jù) 10M 帶寬。 流量控制同樣也是同防火墻策略捆綁在一起的，如圖流量控制所示。除了防火墻自身提供的流量控制以外，還提供對 Diffserv 的支持，也就是所謂的“差分服務(wù)”。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 23 頁 共 72 頁 圖 流量控制 病毒 與灰色軟件 過濾 FortiGate是一款經(jīng)過 ICSA認(rèn)證的高速反病毒網(wǎng)關(guān)，它能夠 實(shí)時檢測和清除病毒和蠕蟲 ，掃描進(jìn)出的 EMAIL 附件 (SMTP,POP3,IMAP)、 WEB 和 Ftp 數(shù)據(jù)流中的病毒。 FortiGate 是采用專用的 ASIC 芯片實(shí)現(xiàn)的病毒，比其他殺毒廠商推出的工控機(jī)加殺毒軟件的模式比較，殺毒的效率高和速度快。 在病毒處理上， FortiGate 提供了三個工具，一個是病毒本身，二是灰色軟件，三是文件隔離，如圖病毒檢查所示。 病毒掃描無疑是對病毒處理的， Forti 支持對病毒體的隔離，和向用戶報(bào)警。如圖 HTTP病毒告警，病毒文件被隔離，然后頁面顯示有病毒，如果是郵件病毒的話，則郵件附件被隔離，郵件中附帶通知有病毒的信息 。病毒通知信息是可以用戶自己定義的。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 24 頁 共 72 頁 圖 病毒檢查 從 FortiGate 的配置界面中可以清楚地簡單地配置殺毒設(shè)置，充分地體現(xiàn)了人性化的設(shè)計(jì)思想，如下面兩圖可以看到。 圖 HTTP 的病毒告警 圖 保護(hù)內(nèi)容表 從保護(hù)內(nèi)容表中，我們可以選擇所需要在哪些協(xié)議中掃描病毒，然后所定義的保護(hù)內(nèi)容表為防火墻策略所調(diào)用。我們可以定義若干個保護(hù)內(nèi)容表，也就是說在防火墻策略里靈活地選擇那些協(xié)議需要掃描病毒。 灰 色軟件的處理方式與病毒一樣，如果啟動對灰色軟件的掃描，那么防火墻就會將灰色軟件視做病毒，也就是說在保護(hù)內(nèi) 容表中沒有灰色軟件的單獨(dú)選項(xiàng)?；疑浖且粋€概括性詞匯，它是指安裝在計(jì)算機(jī)上跟蹤或向某目標(biāo)匯報(bào)特定信息的一類軟件。這些軟件通常是在沒有得到允許的情況下安裝和執(zhí)行的。灰色軟件來源于以下地點(diǎn)和行為： ? 下載共享軟件，免費(fèi)軟件或其他形式共享文件 ? 打開感染的郵件 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 25 頁 共 72 頁 ? 點(diǎn)擊彈出廣告 ? 訪問不負(fù)責(zé)任或欺騙網(wǎng)站 ? 安裝木馬程序 灰色軟件不一定是惡意的，比如說網(wǎng)站的開發(fā)人員采用新技術(shù)來改進(jìn)頁面和獲得更好效果。很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問者來獲得搜索結(jié)果，以達(dá)到更好的銷售。 除了以上兩種以外， FortiGate 還提供了根據(jù)文件 名隔離文件的功能，用戶可以根據(jù)文件的后綴，文件名或使用通配符來實(shí)現(xiàn)文件的隔離，如圖文件隔離所示。 圖 文件隔離 文件隔離相對病毒來說是獨(dú)立的，是可以在保護(hù)內(nèi)容表中選擇，啟動還是不啟動。 Web 過濾 FortiGate 支持兩種 web 過濾模式，一是根據(jù)用戶自己定義的關(guān)鍵詞、 URL、 IP 地址來屏蔽 Web，另外一種是 FortiGuard 分類服務(wù)，用戶選擇所需要的訪問類別。 圖 保護(hù)內(nèi)容表與 Web 過濾 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 26 頁 共 72 頁 如圖保護(hù)內(nèi)容表與 Web 過濾所示， web 過濾也是通過保護(hù)內(nèi)容表來與防火墻策略聯(lián)系在一起的。 舉 例說明，如果網(wǎng)管想禁止內(nèi)部員工訪問 和色情網(wǎng)站。禁止訪問某個具體的網(wǎng)站，可以通過自定義 URL 或關(guān)鍵詞方式，禁止訪問某一類的網(wǎng)站需要通過 web 分類方式。具體步驟如下： 在 Web 過濾器中，選擇地址屏蔽，然后在 web 地址屏蔽中，輸入 。 新建一個保護(hù)內(nèi)容表“ new”，在 Web 過濾中，選擇“地址屏蔽”。然后在 Web 分類屏蔽中， 選擇“成人相關(guān)”的“阻斷”，還要選擇“啟動分類屏蔽” 最后防火墻策略中引用“ new”這個保護(hù)內(nèi)容表 在使用分類屏蔽的時候，千萬不要忘了購買 FortiGuard 服務(wù)。 反垃圾郵件 FortiGate 的反垃圾郵件功能也是非常強(qiáng)大的，支持黑白名單、 IP 地址、 MIME 報(bào)頭檢查、 FortiGuard 服務(wù)等。它同樣也是同保護(hù)內(nèi)容表結(jié)合在一起的，如圖反垃圾郵件所示。 圖 反垃圾郵件 入侵檢測與阻斷 FortiGate防火墻內(nèi)置 基于 ASIC的 入侵偵測 /阻斷功能。網(wǎng)絡(luò)入侵偵測 /阻斷系統(tǒng) (IDS/IPS)是一種實(shí)時網(wǎng)絡(luò)入侵檢測傳感器，它能對外界各種可疑的網(wǎng)絡(luò)活動進(jìn)行識別及采取行動。FortiGate 使用攻擊特征庫來識別超過 1300 種的攻擊。為通知系統(tǒng)管理員有攻擊 行為發(fā)生 ，IDS 將此攻擊及一切可疑流量記錄到攻擊日志中，并根據(jù)設(shè)置發(fā)送報(bào)警郵件。 Forti IDS/IDP 可以檢測并阻斷多種類型攻擊，例如 DoS/DDoS（拒絕服務(wù) /分布式拒絕服務(wù)）攻擊（包括 Smurf flood， TCP SYN flood, UDP flood 和 ICMP flood， Ping of Death， Tear drop 等 ）。通過 配置大唐多媒體網(wǎng)絡(luò)中 FortiGate 的 IDS/IPS 模塊 ，可以防止各類網(wǎng)絡(luò)攻擊和入侵行為的發(fā)生。 FortiGate 內(nèi)置的 IPS 模塊更可以直接對 1300 種以上的網(wǎng)絡(luò)入侵行為之間進(jìn)行阻斷，不給黑客以任何可乘之機(jī)。 FortiGate 同樣可以通過 FortiProtect 網(wǎng)絡(luò)進(jìn)行手動、自動、推送式 更新攻擊 特征 庫 ，擴(kuò)充攻擊特征數(shù)量，防范最新攻擊 。 FortiGate 的入侵檢測與阻斷分為兩種： 根據(jù)特征值的。該方法是對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的內(nèi)容進(jìn)行分析，發(fā)現(xiàn)其內(nèi)容與預(yù)先定義好的特征值相匹配，則采用相應(yīng)的手段。 FortiGate 有 1300 多種特征值，而且 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 27 頁 共 72 頁 這個數(shù)量因?yàn)樯壎粩嗟卦黾印? 根據(jù)異常。該方法是發(fā)現(xiàn)某類數(shù)據(jù)包在一段時間內(nèi)數(shù)量或者包長度等超過了正常值，然后采用相應(yīng)的手段予以處理。 異常 —— DoS 攻擊 在 FortiGate 中 DDos 是入侵檢測和阻斷的一種，它是根據(jù)閾值方式發(fā)現(xiàn)問題，并且予以阻斷。比如說，如果網(wǎng)絡(luò)中 Ping 的數(shù)據(jù)包超過一定數(shù)量的話，則予以阻斷。該功能對于解決網(wǎng)絡(luò)病毒發(fā)出的大量的無用的數(shù)據(jù)包來說，是一個非常好的工具。 統(tǒng)計(jì)異常 上圖給出了統(tǒng)計(jì)異常的列表，我們下面列舉其中幾類攻擊以供參 考： icmp_src_session 根據(jù)每臺計(jì)算機(jī)的發(fā)出 ping 包總數(shù)來判斷是否阻斷該的 ping 包。有些病毒感染后會發(fā)出大量的 ping 數(shù)據(jù)包，如果我們簡單設(shè)置防火墻策略阻斷 ping 數(shù)據(jù)包，那么我們就不能利用 ping 功能來判斷是否網(wǎng)絡(luò)通暢。而有該功能即能控制無用數(shù)據(jù)包的數(shù)量，又能夠保障該工具的使用。 tcp_src_session 根據(jù)每臺計(jì)算機(jī)發(fā)出的 TCP 會話總數(shù)來判斷該機(jī)器感染病毒，是否予以阻斷。感染了病毒的計(jì)算機(jī)的 TCP 會話往往大量地增加，該功能能有效地防止網(wǎng)絡(luò)的阻塞。 udp_src_session 能夠控制每臺計(jì)算機(jī)的 udp 會話總數(shù)，以控制網(wǎng)絡(luò)的壅塞。 FortiGate 不僅可以阻斷 DDoS 攻擊，而且在一定量的攻擊背景下，仍夠讓正常通信通過。這一點(diǎn)在很多號稱能夠防御 DDoS 攻擊的設(shè)備上是不能夠?qū)崿F(xiàn)的。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 28 頁 共 72 頁 圖 DoS 攻擊 如圖 DoS 攻擊所示，攻擊者發(fā)起對 HTTP 服務(wù)器的攻擊， FortiGate 阻斷該攻擊，但是其他的訪問者依舊可以訪問該服務(wù)器，至于其它服務(wù)器的訪問也同樣受到保護(hù)。 在線模式 IDS 通常都采用旁聽的方式，來發(fā)現(xiàn)數(shù)據(jù)包中的攻擊內(nèi)容。 IPS 卻通常部署于線路之上，不僅僅 發(fā)現(xiàn)問題，而且還通過多種方式阻斷可能的攻擊。 FortiGate 將 1300 多種入侵根據(jù)應(yīng)用類型，分成 50 多個類，比如說 Apache、 IIS、 Ftp等，如圖 IPS 類型。其中我們最常用的有 IM 和 P2P。 圖 IPS 類型 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 29 頁 共 72 頁 IM 顧名思義是即時通信，目前已經(jīng)加到 IPS 里面的有以下幾種： ? AIM ? MSN ? ? Yahoo P2P 就是點(diǎn)對點(diǎn)的通信，目前已有的特征值： ? Bit_torrent ? Edonkey ? Gnutella ? Kazaa ? skype 采用 IPS 阻斷的方式，無論這些通訊協(xié)議采用什么端口，只要其數(shù)據(jù)傳 輸?shù)奶卣髦党霈F(xiàn)，就會被成功地阻斷。 IPS 的實(shí)質(zhì)是根據(jù)傳輸?shù)臄?shù)據(jù)包的內(nèi)容來判斷其行為，然后采用某種動作來實(shí)現(xiàn)網(wǎng)絡(luò)管理員的目的。 IPS 目前主要的用途有以下幾方面： ? 監(jiān)聽和阻斷黑客利用應(yīng)用系統(tǒng)的漏洞發(fā)動攻擊。 For