【導(dǎo)讀】某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案。電話：82512622傳真：82512630. 北京市海淀區(qū)中關(guān)村南大街2號(hào)數(shù)碼大廈B座903室

　　

【正文】 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 22 頁(yè) 共 72 頁(yè) 圖 保護(hù)內(nèi)容表 流量控制 FortiGate 還提供非常優(yōu)秀的流量控制功能，它可以基于 IP 地址、服務(wù)、 VPN 隧道和時(shí)間來(lái)控制數(shù)據(jù)的流量。通過(guò)該功能我們可以控制某些 IP 或某些服務(wù)所產(chǎn)生的流量。比如說(shuō)，我們可以通過(guò)它來(lái)限制 BT 的流量，而保障 HTTP、 Mail 這些通訊有比較高的帶寬，也可以通過(guò)它來(lái)保障在大規(guī)模實(shí)施 VPN 時(shí)，線路的通暢。 FortiGate 實(shí)現(xiàn)流量控制是通過(guò)三個(gè)參數(shù)來(lái)實(shí)現(xiàn)的： 基本帶寬：優(yōu)先保障其接入最基本的帶寬。 最大帶寬：控制其接入的最大的流量。 優(yōu)先級(jí)：通過(guò)設(shè)置優(yōu)先級(jí)來(lái)確認(rèn)流量的優(yōu)先層次。 比如說(shuō)，總部有一條 10M 專線用做 VPN 接入，而分支機(jī)構(gòu)數(shù)量達(dá)到 200 個(gè)，都是以512kADSL 方式接入。如果 512k 全速工作的話，那么 20 個(gè)點(diǎn)就可以占用了 10M 帶寬。這種事情通常會(huì)發(fā)生在下載大文件和郵件的時(shí)候。我們就可以限制 每一個(gè)分支機(jī)構(gòu)流量基本帶寬是 50k，最大帶寬是 200k。優(yōu)先保障每個(gè)分支機(jī)構(gòu)都能夠達(dá)到 50k 的流量，最大不能超過(guò)200k 的流量。這樣就能夠有效地避免因?yàn)椴《净蛘邜阂庑袨閷?dǎo)致的某些點(diǎn)占據(jù) 10M 帶寬。 流量控制同樣也是同防火墻策略捆綁在一起的，如圖流量控制所示。除了防火墻自身提供的流量控制以外，還提供對(duì) Diffserv 的支持，也就是所謂的“差分服務(wù)”。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 23 頁(yè) 共 72 頁(yè) 圖 流量控制 病毒 與灰色軟件 過(guò)濾 FortiGate是一款經(jīng)過(guò) ICSA認(rèn)證的高速反病毒網(wǎng)關(guān)，它能夠 實(shí)時(shí)檢測(cè)和清除病毒和蠕蟲 ，掃描進(jìn)出的 EMAIL 附件 (SMTP,POP3,IMAP)、 WEB 和 Ftp 數(shù)據(jù)流中的病毒。 FortiGate 是采用專用的 ASIC 芯片實(shí)現(xiàn)的病毒，比其他殺毒廠商推出的工控機(jī)加殺毒軟件的模式比較，殺毒的效率高和速度快。 在病毒處理上， FortiGate 提供了三個(gè)工具，一個(gè)是病毒本身，二是灰色軟件，三是文件隔離，如圖病毒檢查所示。 病毒掃描無(wú)疑是對(duì)病毒處理的， Forti 支持對(duì)病毒體的隔離，和向用戶報(bào)警。如圖 HTTP病毒告警，病毒文件被隔離，然后頁(yè)面顯示有病毒，如果是郵件病毒的話，則郵件附件被隔離，郵件中附帶通知有病毒的信息 。病毒通知信息是可以用戶自己定義的。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 24 頁(yè) 共 72 頁(yè) 圖 病毒檢查 從 FortiGate 的配置界面中可以清楚地簡(jiǎn)單地配置殺毒設(shè)置，充分地體現(xiàn)了人性化的設(shè)計(jì)思想，如下面兩圖可以看到。 圖 HTTP 的病毒告警 圖 保護(hù)內(nèi)容表 從保護(hù)內(nèi)容表中，我們可以選擇所需要在哪些協(xié)議中掃描病毒，然后所定義的保護(hù)內(nèi)容表為防火墻策略所調(diào)用。我們可以定義若干個(gè)保護(hù)內(nèi)容表，也就是說(shuō)在防火墻策略里靈活地選擇那些協(xié)議需要掃描病毒。 灰 色軟件的處理方式與病毒一樣，如果啟動(dòng)對(duì)灰色軟件的掃描，那么防火墻就會(huì)將灰色軟件視做病毒，也就是說(shuō)在保護(hù)內(nèi) 容表中沒(méi)有灰色軟件的單獨(dú)選項(xiàng)。灰色軟件是一個(gè)概括性詞匯，它是指安裝在計(jì)算機(jī)上跟蹤或向某目標(biāo)匯報(bào)特定信息的一類軟件。這些軟件通常是在沒(méi)有得到允許的情況下安裝和執(zhí)行的?；疑浖?lái)源于以下地點(diǎn)和行為： ? 下載共享軟件，免費(fèi)軟件或其他形式共享文件 ? 打開感染的郵件 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 25 頁(yè) 共 72 頁(yè) ? 點(diǎn)擊彈出廣告 ? 訪問(wèn)不負(fù)責(zé)任或欺騙網(wǎng)站 ? 安裝木馬程序 灰色軟件不一定是惡意的，比如說(shuō)網(wǎng)站的開發(fā)人員采用新技術(shù)來(lái)改進(jìn)頁(yè)面和獲得更好效果。很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問(wèn)者來(lái)獲得搜索結(jié)果，以達(dá)到更好的銷售。 除了以上兩種以外， FortiGate 還提供了根據(jù)文件 名隔離文件的功能，用戶可以根據(jù)文件的后綴，文件名或使用通配符來(lái)實(shí)現(xiàn)文件的隔離，如圖文件隔離所示。 圖 文件隔離 文件隔離相對(duì)病毒來(lái)說(shuō)是獨(dú)立的，是可以在保護(hù)內(nèi)容表中選擇，啟動(dòng)還是不啟動(dòng)。 Web 過(guò)濾 FortiGate 支持兩種 web 過(guò)濾模式，一是根據(jù)用戶自己定義的關(guān)鍵詞、 URL、 IP 地址來(lái)屏蔽 Web，另外一種是 FortiGuard 分類服務(wù)，用戶選擇所需要的訪問(wèn)類別。 圖 保護(hù)內(nèi)容表與 Web 過(guò)濾 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 26 頁(yè) 共 72 頁(yè) 如圖保護(hù)內(nèi)容表與 Web 過(guò)濾所示， web 過(guò)濾也是通過(guò)保護(hù)內(nèi)容表來(lái)與防火墻策略聯(lián)系在一起的。 舉 例說(shuō)明，如果網(wǎng)管想禁止內(nèi)部員工訪問(wèn) 和色情網(wǎng)站。禁止訪問(wèn)某個(gè)具體的網(wǎng)站，可以通過(guò)自定義 URL 或關(guān)鍵詞方式，禁止訪問(wèn)某一類的網(wǎng)站需要通過(guò) web 分類方式。具體步驟如下： 在 Web 過(guò)濾器中，選擇地址屏蔽，然后在 web 地址屏蔽中，輸入 。 新建一個(gè)保護(hù)內(nèi)容表“ new”，在 Web 過(guò)濾中，選擇“地址屏蔽”。然后在 Web 分類屏蔽中， 選擇“成人相關(guān)”的“阻斷”，還要選擇“啟動(dòng)分類屏蔽” 最后防火墻策略中引用“ new”這個(gè)保護(hù)內(nèi)容表 在使用分類屏蔽的時(shí)候，千萬(wàn)不要忘了購(gòu)買 FortiGuard 服務(wù)。 反垃圾郵件 FortiGate 的反垃圾郵件功能也是非常強(qiáng)大的，支持黑白名單、 IP 地址、 MIME 報(bào)頭檢查、 FortiGuard 服務(wù)等。它同樣也是同保護(hù)內(nèi)容表結(jié)合在一起的，如圖反垃圾郵件所示。 圖 反垃圾郵件 入侵檢測(cè)與阻斷 FortiGate防火墻內(nèi)置 基于 ASIC的 入侵偵測(cè) /阻斷功能。網(wǎng)絡(luò)入侵偵測(cè) /阻斷系統(tǒng) (IDS/IPS)是一種實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)傳感器，它能對(duì)外界各種可疑的網(wǎng)絡(luò)活動(dòng)進(jìn)行識(shí)別及采取行動(dòng)。FortiGate 使用攻擊特征庫(kù)來(lái)識(shí)別超過(guò) 1300 種的攻擊。為通知系統(tǒng)管理員有攻擊 行為發(fā)生 ，IDS 將此攻擊及一切可疑流量記錄到攻擊日志中，并根據(jù)設(shè)置發(fā)送報(bào)警郵件。 Forti IDS/IDP 可以檢測(cè)并阻斷多種類型攻擊，例如 DoS/DDoS（拒絕服務(wù) /分布式拒絕服務(wù)）攻擊（包括 Smurf flood， TCP SYN flood, UDP flood 和 ICMP flood， Ping of Death， Tear drop 等 ）。通過(guò) 配置大唐多媒體網(wǎng)絡(luò)中 FortiGate 的 IDS/IPS 模塊 ，可以防止各類網(wǎng)絡(luò)攻擊和入侵行為的發(fā)生。 FortiGate 內(nèi)置的 IPS 模塊更可以直接對(duì) 1300 種以上的網(wǎng)絡(luò)入侵行為之間進(jìn)行阻斷，不給黑客以任何可乘之機(jī)。 FortiGate 同樣可以通過(guò) FortiProtect 網(wǎng)絡(luò)進(jìn)行手動(dòng)、自動(dòng)、推送式 更新攻擊 特征 庫(kù) ，擴(kuò)充攻擊特征數(shù)量，防范最新攻擊 。 FortiGate 的入侵檢測(cè)與阻斷分為兩種： 根據(jù)特征值的。該方法是對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的內(nèi)容進(jìn)行分析，發(fā)現(xiàn)其內(nèi)容與預(yù)先定義好的特征值相匹配，則采用相應(yīng)的手段。 FortiGate 有 1300 多種特征值，而且 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 27 頁(yè) 共 72 頁(yè) 這個(gè)數(shù)量因?yàn)樯?jí)而不斷地增加。 根據(jù)異常。該方法是發(fā)現(xiàn)某類數(shù)據(jù)包在一段時(shí)間內(nèi)數(shù)量或者包長(zhǎng)度等超過(guò)了正常值，然后采用相應(yīng)的手段予以處理。 異常 —— DoS 攻擊 在 FortiGate 中 DDos 是入侵檢測(cè)和阻斷的一種，它是根據(jù)閾值方式發(fā)現(xiàn)問(wèn)題，并且予以阻斷。比如說(shuō)，如果網(wǎng)絡(luò)中 Ping 的數(shù)據(jù)包超過(guò)一定數(shù)量的話，則予以阻斷。該功能對(duì)于解決網(wǎng)絡(luò)病毒發(fā)出的大量的無(wú)用的數(shù)據(jù)包來(lái)說(shuō)，是一個(gè)非常好的工具。 統(tǒng)計(jì)異常 上圖給出了統(tǒng)計(jì)異常的列表，我們下面列舉其中幾類攻擊以供參 考： icmp_src_session 根據(jù)每臺(tái)計(jì)算機(jī)的發(fā)出 ping 包總數(shù)來(lái)判斷是否阻斷該的 ping 包。有些病毒感染后會(huì)發(fā)出大量的 ping 數(shù)據(jù)包，如果我們簡(jiǎn)單設(shè)置防火墻策略阻斷 ping 數(shù)據(jù)包，那么我們就不能利用 ping 功能來(lái)判斷是否網(wǎng)絡(luò)通暢。而有該功能即能控制無(wú)用數(shù)據(jù)包的數(shù)量，又能夠保障該工具的使用。 tcp_src_session 根據(jù)每臺(tái)計(jì)算機(jī)發(fā)出的 TCP 會(huì)話總數(shù)來(lái)判斷該機(jī)器感染病毒，是否予以阻斷。感染了病毒的計(jì)算機(jī)的 TCP 會(huì)話往往大量地增加，該功能能有效地防止網(wǎng)絡(luò)的阻塞。 udp_src_session 能夠控制每臺(tái)計(jì)算機(jī)的 udp 會(huì)話總數(shù)，以控制網(wǎng)絡(luò)的壅塞。 FortiGate 不僅可以阻斷 DDoS 攻擊，而且在一定量的攻擊背景下，仍夠讓正常通信通過(guò)。這一點(diǎn)在很多號(hào)稱能夠防御 DDoS 攻擊的設(shè)備上是不能夠?qū)崿F(xiàn)的。 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 28 頁(yè) 共 72 頁(yè) 圖 DoS 攻擊 如圖 DoS 攻擊所示，攻擊者發(fā)起對(duì) HTTP 服務(wù)器的攻擊， FortiGate 阻斷該攻擊，但是其他的訪問(wèn)者依舊可以訪問(wèn)該服務(wù)器，至于其它服務(wù)器的訪問(wèn)也同樣受到保護(hù)。 在線模式 IDS 通常都采用旁聽(tīng)的方式，來(lái)發(fā)現(xiàn)數(shù)據(jù)包中的攻擊內(nèi)容。 IPS 卻通常部署于線路之上，不僅僅 發(fā)現(xiàn)問(wèn)題，而且還通過(guò)多種方式阻斷可能的攻擊。 FortiGate 將 1300 多種入侵根據(jù)應(yīng)用類型，分成 50 多個(gè)類，比如說(shuō) Apache、 IIS、 Ftp等，如圖 IPS 類型。其中我們最常用的有 IM 和 P2P。 圖 IPS 類型 某公司網(wǎng)絡(luò)安全項(xiàng)目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號(hào)數(shù)碼大廈 B 座 903 室（ 100086） 第 29 頁(yè) 共 72 頁(yè) IM 顧名思義是即時(shí)通信，目前已經(jīng)加到 IPS 里面的有以下幾種： ? AIM ? MSN ? ? Yahoo P2P 就是點(diǎn)對(duì)點(diǎn)的通信，目前已有的特征值： ? Bit_torrent ? Edonkey ? Gnutella ? Kazaa ? skype 采用 IPS 阻斷的方式，無(wú)論這些通訊協(xié)議采用什么端口，只要其數(shù)據(jù)傳 輸?shù)奶卣髦党霈F(xiàn)，就會(huì)被成功地阻斷。 IPS 的實(shí)質(zhì)是根據(jù)傳輸?shù)臄?shù)據(jù)包的內(nèi)容來(lái)判斷其行為，然后采用某種動(dòng)作來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理員的目的。 IPS 目前主要的用途有以下幾方面： ? 監(jiān)聽(tīng)和阻斷黑客利用應(yīng)用系統(tǒng)的漏洞發(fā)動(dòng)攻擊。 For