【導讀】北京市海淀區(qū)中關村南大街2號數(shù)碼大廈B座903室電話:82512622

　　

【正文】 如，通過過濾 *.mp3 文件可以有效阻止內(nèi)網(wǎng)用戶上網(wǎng)下載 mp3歌曲；過濾 文件也可以對震蕩波（ Sasser）病毒進行阻擋。 管理員還可以使用 FortiGate對超過一定大小的文件進行阻擋。例如管理員不希望內(nèi)網(wǎng)用戶下載電影而大量占用網(wǎng)絡帶寬，便可在 FortiGate 上設置，超過 50M 大小的文件一律 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 30 阻止。 對于染毒文件，除了直接丟棄之外，還可以采取隔離的方法。 FortiGate 可選的硬盤便可用來存放被隔離的染毒文件。 如果染毒文件中有極為重要的文檔 必須使用的話，可以從隔離區(qū)中下載。 Grayware（灰色軟件） 是針對具有擾人的行為模式、令人排斥或一般人難以察覺的應用程序的通稱。 灰色軟件通常在用戶瀏覽網(wǎng)頁、下載文件、收取 Email 時偷偷潛入計算機，用戶很難察覺?；疑浖ǔ６紝τ嬎銠C產(chǎn)生各種不良作用和安全威脅，它包括間諜軟件（掃描計算機內(nèi)的信息，泄漏用戶機密）、鍵盤記錄軟件（產(chǎn)生用戶敲擊鍵盤的記錄，可能竊取用戶的各種帳號密碼等信息）、撥號軟件（自動撥打國際長途或者信息服務號碼，產(chǎn)生高額話費）、廣告軟件（隨時彈出各種廣告內(nèi)容，影響用戶對計算機的正常使 用）等。 FortiGate的防病毒功能同樣可以檢測并阻擋各種 Grayware（灰色軟件），進一步提高網(wǎng)絡的安全性。Grayware 檢測庫同樣可以不斷在線更新。 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 31 IPS（入侵防御） 傳統(tǒng)的狀態(tài)檢測 /包過濾防火墻是在 網(wǎng)絡層 /傳輸層工作，根據(jù) IP 地址、端口等信息對數(shù)據(jù)包進行過濾，能夠?qū)诳凸羝鸬讲糠址烙饔谩５呛诳腿匀豢梢詮暮戏ǖ?IP 地址通過防火墻開放的端口對內(nèi)網(wǎng)發(fā)起攻擊，目前很多攻擊和應用可以通過任意 IP、端口進行，各種高級、復雜的攻擊單純的使用狀態(tài)檢測 /包過濾防火墻無法進行阻擋，需要使用 IPS（入侵防 御系統(tǒng)）來配合防火墻實現(xiàn)對復雜攻擊的防御。 IPS 工作在第二層到第七層，通常 使用特征匹配和異常分析的方法來識別網(wǎng)絡攻擊行為。 特征匹配方法類似于病毒檢測方法，通過攻擊數(shù)據(jù)包中的特征（字符串等）來進行判斷。例如前面提過的 SoftEther的通信數(shù)據(jù)中都會包括“ SoftEther Protocol”字符串，雖然這種應用使用 HTTPS 協(xié)議通過 TCP443 端口通信，使用包過濾防火墻無法進行防御。（因為如果將 TCP443 端口封閉的話，會導致所有 HTTPS 通信無法進行，這是無法想象的。） 而使用 IPS 的特征匹配方法，通過查 找“ SoftEther Protocol”字符串便可輕易的將所有 SoftEther流量過濾掉，而其他 HTTPS 應用不會受到影響。 而異常分析通過統(tǒng)計的方法計算網(wǎng)絡中各種流量的速率，并與 管理員預設的閾值進行對比，超過閾值的通信便是可疑的攻擊行為。例如，管理員通過對本網(wǎng)絡應用的觀察和分析，認為在正常情況下某服務器每秒收到 2020 個以內(nèi) SYN 包屬于正常范圍。然而某一時刻FortiGate 檢測到每秒有 3000個以上的 SYN發(fā)往該服務器，此時便有可能是由于有黑客對服務器發(fā)起了 DoS（拒絕服務）攻擊。 FortiGate 內(nèi)置的 IPS 同時使用特征和異常兩種檢測方法， 能夠檢測 1400 種以上攻擊和入侵行為，包括各種 DoS（拒絕服務） /DDoS（分布式拒絕服務） 攻擊。 FortiGate 的 IPS是在線式的，部署方式如下圖所示，直接部署在可信任網(wǎng)絡和不可信任網(wǎng)絡之間。這種在線式的 IPS 對各種攻擊均可直接阻斷并生成日志。 而傳統(tǒng)的旁路式 IDS（入侵檢測系統(tǒng)）對絕大多數(shù)的攻擊行為只能記錄日志，而不能進行阻斷。 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 32 如下圖所示，所有基于特征檢測的攻擊都是按照應用分類排序的，可以很容易的選擇策略的開啟。例如需要保護的網(wǎng)段中有 MS SQL Server，則將 sql 類別開啟；網(wǎng)段中沒有郵件服務，則可以將 smtp、 pop3等類別關閉。每一類別甚至每一種攻擊行為都可以獨立的選擇開啟或關閉，可以定制非常靈活的策略。 對于當前流行的 P2P 應用（ BT、電驢、 Skype 等）和 IM 應用（ 、 MSN 等），無法使用傳統(tǒng)防火墻通過屏蔽 IP 或端口的方法阻斷，而 FortiGate 的 IPS 功能可以很好的識別它們的應用層特征并進行阻斷。 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 33 FortiGate 的 IPS 特征庫可以自動通過 Inter 更新，確保用戶在第一時間實現(xiàn)對最新攻擊方式的防御。 除了系統(tǒng)自帶的入侵 特征， FortiGate 也支持用戶自定義特征。 FortiGate 內(nèi)置的 IPS 還可以對 SYN flood、 ICMP flood、 Tear Drop 等 DoS/DDoS攻擊進行防御。 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 34 對于每一種 DoS/DDoS 攻擊行為，都可以設置閾值，使策略符合實際網(wǎng)絡環(huán)境和應用情況，降低誤報和漏報率。 FortiGate 的 IPS 功能還能對網(wǎng)絡當中的異常流量進行處理，例如對特定源或目的的會話進行限制。 對于所有的攻擊、入侵或可以網(wǎng)絡行為都可以選擇多種方法直接阻斷，而不僅僅是簡單的記錄日志。 VPN（虛擬專用網(wǎng)） Inter 應用中，不可避免的要通過公用網(wǎng)絡來傳輸信息，其中就有可能包括機密信息。由于 Inter 是一個開放的、公用的網(wǎng)絡，黑客很容易通過在網(wǎng)絡設備上安裝網(wǎng)絡嗅包器（如Sniffer、 NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進行破壞活動，因此我們需要在網(wǎng)絡上配置一整套 VPN 體系，對通過 Inter 進行的遠程訪問進行嚴格的認證和加密，使 Inter 上的 VPN 成為 經(jīng)過加密和認證的安全鏈路，保證各節(jié)點 之間 遠程 訪問的安全。 采用 VPN 技術的目的是為了在不安全的信道上實 現(xiàn)安全信息傳輸，保證企業(yè)內(nèi)部信息在 Inter 上傳輸時的機密性和完整性，同時使用鑒別對通過 Inter進行的數(shù)據(jù)傳輸進行確認。可以看出，這是一種廣義的訪問控制，即通過加密實現(xiàn)的訪問控制（只有具有某種權(quán)力和知道密碼的主體才能訪問相應的客體 ） 。 單獨的 VPN網(wǎng)關的主要功能是 IPSec數(shù)據(jù)包的加密 /解密處理和身份認證，沒有很強的訪問控制功能（狀態(tài)包過濾、網(wǎng)絡內(nèi)容過濾、防 DoS攻擊等）。在獨立的防火墻和 VPN部署方 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 35 式下，防火墻無法對 VPN的數(shù)據(jù)流量進行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。 因此，在防火墻安全網(wǎng)關上集成 VPN能提供一個靈活、高效、完整的安全方案 ,是當前安全產(chǎn)品的發(fā)展趨勢。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴格的訪問控制策略的檢查，保護 VPN網(wǎng)關免受 DoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡管理的任務，快速適應動態(tài)、變化的網(wǎng)絡環(huán)境。因此， VPN技術已經(jīng)成為安全網(wǎng)關產(chǎn)品的組成部分。 FortiGate便是一個集防火墻、 VPN和應用層過濾網(wǎng)關功能于一身的綜合安全網(wǎng)關，可以提供各安全功能之間的完美聯(lián)動、良好的兼容性和性能。 FortiGate 的 VPN 功能支持 PPTP、 L2TP、 IPSec 和 SSL 四 種 VPN 協(xié)議，提供了前所未有的方便和靈活的選擇。對遠程移動用戶或企業(yè)的出差用戶來說，既可以使用Windows98/2020/XP/2020 等系統(tǒng)自帶的 PPTP/L2TP撥號軟件， 也可以使用 IPSec 客戶端軟件 FortiClient和企業(yè)建立 VPN 的連接 ，還可以直接使用 IE 瀏覽器，通過 Web方式創(chuàng)建基于 SSL 的 VPN 隧道 。應用 PPTP、 L2TP、 SSL 的好處是方便使用，不需要附加的軟件。而用 IPSec 客戶端軟件的好處是高度的安全性保證，可以采用動態(tài)的密鑰保證數(shù)據(jù)的安全。在企 業(yè)本地網(wǎng)絡和遠程網(wǎng)絡之間可以采用 IPSec 協(xié)議來實現(xiàn) VPN 的連接和數(shù)據(jù)的高度安全控制。配置簡單靈活。 由于充分利用了專用的 ASIC 芯片技術，處理復雜的 VPN 加密和認證過程，極大加快了 VPN 通道的建立速度和數(shù)據(jù)加 /解密的處理時間，達到了極高的 VPN 處理速度。 內(nèi)容處理器以獨特的設計方式， 解決了防火墻設備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡單易用的 WEB 管理提供給用戶人性化的管理界面。高性能的 VPN 加密處理 (DES， 3DES，AES， MD5， SHA1) 使企業(yè)可以充分利用 VPN 技術構(gòu)建自己的 Intra網(wǎng)絡，無須考慮設備處理速度的影響 ， 256 位的 AES 算法更提供了業(yè)界最高級別的安全防御體系，使企業(yè)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達到企業(yè)內(nèi)部網(wǎng)絡安全擴展的目的。 而今，迅速發(fā)展的廣域網(wǎng)技術使公網(wǎng)的帶寬成倍的增長，同時又為企業(yè) VPN 網(wǎng)絡提供了廣闊的發(fā)展空間。 總部與分公司之間的 VPN通信 企業(yè) Intra 網(wǎng)絡建設的 VPN 連接方案， 利用 IPSec安全協(xié)議的 VPN 和加密能力，實現(xiàn)兩個或多個企業(yè)之間跨越 Inter 的企業(yè)內(nèi)部網(wǎng)絡連接，實現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù)通信。通過網(wǎng)關內(nèi)部策略控制體系對 VPN 的數(shù) 據(jù)可以進行有效的控制和管理，使企業(yè)的內(nèi)部網(wǎng)絡通信具有良好的擴展性和管理性。 北京市海淀區(qū)中關村南大街 2號數(shù)碼大廈 B座 903室 電話 : (010)82512622 36 移動辦公的 VPN通信 對于移動的辦公室、出差用戶、及采用 ADSL 上網(wǎng)的分支辦公室， 網(wǎng)關都提供了完善的解決方案。特別支持 PPTP/L2TP/IPSec/SSL多種協(xié)議體系，對于用戶來講，配置和使用都非常方便。 下屬單位動態(tài)地址方式、移動辦公用戶、出差用戶和總部的 VPN 連接解決方案，如下圖示： 客戶端既可以使用 Windows 自帶的 PPTP/L2TP 撥號 VPN，實現(xiàn)簡單靈活的安全訪問 ；也可以使用 FortiClient 客戶端軟件進 行高強度的 IPSec 通信， AES 加密算法可以實現(xiàn) 256位加密強度，極大的提高訪問的安全性。 FortiClient 還內(nèi)置了單機防病毒、個人防