【導(dǎo)讀】北京市海淀區(qū)中關(guān)村南大街2號(hào)數(shù)碼大廈B座903室電話:82512622

　　

【正文】 如，通過過濾 *.mp3 文件可以有效阻止內(nèi)網(wǎng)用戶上網(wǎng)下載 mp3歌曲；過濾 文件也可以對(duì)震蕩波（ Sasser）病毒進(jìn)行阻擋。 管理員還可以使用 FortiGate對(duì)超過一定大小的文件進(jìn)行阻擋。例如管理員不希望內(nèi)網(wǎng)用戶下載電影而大量占用網(wǎng)絡(luò)帶寬，便可在 FortiGate 上設(shè)置，超過 50M 大小的文件一律 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 30 阻止。 對(duì)于染毒文件，除了直接丟棄之外，還可以采取隔離的方法。 FortiGate 可選的硬盤便可用來存放被隔離的染毒文件。 如果染毒文件中有極為重要的文檔 必須使用的話，可以從隔離區(qū)中下載。 Grayware（灰色軟件） 是針對(duì)具有擾人的行為模式、令人排斥或一般人難以察覺的應(yīng)用程序的通稱。 灰色軟件通常在用戶瀏覽網(wǎng)頁(yè)、下載文件、收取 Email 時(shí)偷偷潛入計(jì)算機(jī)，用戶很難察覺。灰色軟件通常都對(duì)計(jì)算機(jī)產(chǎn)生各種不良作用和安全威脅，它包括間諜軟件（掃描計(jì)算機(jī)內(nèi)的信息，泄漏用戶機(jī)密）、鍵盤記錄軟件（產(chǎn)生用戶敲擊鍵盤的記錄，可能竊取用戶的各種帳號(hào)密碼等信息）、撥號(hào)軟件（自動(dòng)撥打國(guó)際長(zhǎng)途或者信息服務(wù)號(hào)碼，產(chǎn)生高額話費(fèi)）、廣告軟件（隨時(shí)彈出各種廣告內(nèi)容，影響用戶對(duì)計(jì)算機(jī)的正常使 用）等。 FortiGate的防病毒功能同樣可以檢測(cè)并阻擋各種 Grayware（灰色軟件），進(jìn)一步提高網(wǎng)絡(luò)的安全性。Grayware 檢測(cè)庫(kù)同樣可以不斷在線更新。 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 31 IPS（入侵防御） 傳統(tǒng)的狀態(tài)檢測(cè) /包過濾防火墻是在 網(wǎng)絡(luò)層 /傳輸層工作，根據(jù) IP 地址、端口等信息對(duì)數(shù)據(jù)包進(jìn)行過濾，能夠?qū)诳凸羝鸬讲糠址烙饔?。但是黑客仍然可以從合法?IP 地址通過防火墻開放的端口對(duì)內(nèi)網(wǎng)發(fā)起攻擊，目前很多攻擊和應(yīng)用可以通過任意 IP、端口進(jìn)行，各種高級(jí)、復(fù)雜的攻擊單純的使用狀態(tài)檢測(cè) /包過濾防火墻無(wú)法進(jìn)行阻擋，需要使用 IPS（入侵防 御系統(tǒng)）來配合防火墻實(shí)現(xiàn)對(duì)復(fù)雜攻擊的防御。 IPS 工作在第二層到第七層，通常 使用特征匹配和異常分析的方法來識(shí)別網(wǎng)絡(luò)攻擊行為。 特征匹配方法類似于病毒檢測(cè)方法，通過攻擊數(shù)據(jù)包中的特征（字符串等）來進(jìn)行判斷。例如前面提過的 SoftEther的通信數(shù)據(jù)中都會(huì)包括“ SoftEther Protocol”字符串，雖然這種應(yīng)用使用 HTTPS 協(xié)議通過 TCP443 端口通信，使用包過濾防火墻無(wú)法進(jìn)行防御。（因?yàn)槿绻麑?TCP443 端口封閉的話，會(huì)導(dǎo)致所有 HTTPS 通信無(wú)法進(jìn)行，這是無(wú)法想象的。） 而使用 IPS 的特征匹配方法，通過查 找“ SoftEther Protocol”字符串便可輕易的將所有 SoftEther流量過濾掉，而其他 HTTPS 應(yīng)用不會(huì)受到影響。 而異常分析通過統(tǒng)計(jì)的方法計(jì)算網(wǎng)絡(luò)中各種流量的速率，并與 管理員預(yù)設(shè)的閾值進(jìn)行對(duì)比，超過閾值的通信便是可疑的攻擊行為。例如，管理員通過對(duì)本網(wǎng)絡(luò)應(yīng)用的觀察和分析，認(rèn)為在正常情況下某服務(wù)器每秒收到 2020 個(gè)以內(nèi) SYN 包屬于正常范圍。然而某一時(shí)刻FortiGate 檢測(cè)到每秒有 3000個(gè)以上的 SYN發(fā)往該服務(wù)器，此時(shí)便有可能是由于有黑客對(duì)服務(wù)器發(fā)起了 DoS（拒絕服務(wù)）攻擊。 FortiGate 內(nèi)置的 IPS 同時(shí)使用特征和異常兩種檢測(cè)方法， 能夠檢測(cè) 1400 種以上攻擊和入侵行為，包括各種 DoS（拒絕服務(wù)） /DDoS（分布式拒絕服務(wù)） 攻擊。 FortiGate 的 IPS是在線式的，部署方式如下圖所示，直接部署在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間。這種在線式的 IPS 對(duì)各種攻擊均可直接阻斷并生成日志。 而傳統(tǒng)的旁路式 IDS（入侵檢測(cè)系統(tǒng)）對(duì)絕大多數(shù)的攻擊行為只能記錄日志，而不能進(jìn)行阻斷。 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 32 如下圖所示，所有基于特征檢測(cè)的攻擊都是按照應(yīng)用分類排序的，可以很容易的選擇策略的開啟。例如需要保護(hù)的網(wǎng)段中有 MS SQL Server，則將 sql 類別開啟；網(wǎng)段中沒有郵件服務(wù)，則可以將 smtp、 pop3等類別關(guān)閉。每一類別甚至每一種攻擊行為都可以獨(dú)立的選擇開啟或關(guān)閉，可以定制非常靈活的策略。 對(duì)于當(dāng)前流行的 P2P 應(yīng)用（ BT、電驢、 Skype 等）和 IM 應(yīng)用（ 、 MSN 等），無(wú)法使用傳統(tǒng)防火墻通過屏蔽 IP 或端口的方法阻斷，而 FortiGate 的 IPS 功能可以很好的識(shí)別它們的應(yīng)用層特征并進(jìn)行阻斷。 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 33 FortiGate 的 IPS 特征庫(kù)可以自動(dòng)通過 Inter 更新，確保用戶在第一時(shí)間實(shí)現(xiàn)對(duì)最新攻擊方式的防御。 除了系統(tǒng)自帶的入侵 特征， FortiGate 也支持用戶自定義特征。 FortiGate 內(nèi)置的 IPS 還可以對(duì) SYN flood、 ICMP flood、 Tear Drop 等 DoS/DDoS攻擊進(jìn)行防御。 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 34 對(duì)于每一種 DoS/DDoS 攻擊行為，都可以設(shè)置閾值，使策略符合實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，降低誤報(bào)和漏報(bào)率。 FortiGate 的 IPS 功能還能對(duì)網(wǎng)絡(luò)當(dāng)中的異常流量進(jìn)行處理，例如對(duì)特定源或目的的會(huì)話進(jìn)行限制。 對(duì)于所有的攻擊、入侵或可以網(wǎng)絡(luò)行為都可以選擇多種方法直接阻斷，而不僅僅是簡(jiǎn)單的記錄日志。 VPN（虛擬專用網(wǎng)） Inter 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機(jī)密信息。由于 Inter 是一個(gè)開放的、公用的網(wǎng)絡(luò)，黑客很容易通過在網(wǎng)絡(luò)設(shè)備上安裝網(wǎng)絡(luò)嗅包器（如Sniffer、 NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進(jìn)行破壞活動(dòng)，因此我們需要在網(wǎng)絡(luò)上配置一整套 VPN 體系，對(duì)通過 Inter 進(jìn)行的遠(yuǎn)程訪問進(jìn)行嚴(yán)格的認(rèn)證和加密，使 Inter 上的 VPN 成為 經(jīng)過加密和認(rèn)證的安全鏈路，保證各節(jié)點(diǎn) 之間 遠(yuǎn)程 訪問的安全。 采用 VPN 技術(shù)的目的是為了在不安全的信道上實(shí) 現(xiàn)安全信息傳輸，保證企業(yè)內(nèi)部信息在 Inter 上傳輸時(shí)的機(jī)密性和完整性，同時(shí)使用鑒別對(duì)通過 Inter進(jìn)行的數(shù)據(jù)傳輸進(jìn)行確認(rèn)?？梢钥闯觯@是一種廣義的訪問控制，即通過加密實(shí)現(xiàn)的訪問控制（只有具有某種權(quán)力和知道密碼的主體才能訪問相應(yīng)的客體 ） 。 單獨(dú)的 VPN網(wǎng)關(guān)的主要功能是 IPSec數(shù)據(jù)包的加密 /解密處理和身份認(rèn)證，沒有很強(qiáng)的訪問控制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防 DoS攻擊等）。在獨(dú)立的防火墻和 VPN部署方 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 35 式下，防火墻無(wú)法對(duì) VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。 因此，在防火墻安全網(wǎng)關(guān)上集成 VPN能提供一個(gè)靈活、高效、完整的安全方案 ,是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù) VPN網(wǎng)關(guān)免受 DoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。 FortiGate便是一個(gè)集防火墻、 VPN和應(yīng)用層過濾網(wǎng)關(guān)功能于一身的綜合安全網(wǎng)關(guān)，可以提供各安全功能之間的完美聯(lián)動(dòng)、良好的兼容性和性能。 FortiGate 的 VPN 功能支持 PPTP、 L2TP、 IPSec 和 SSL 四 種 VPN 協(xié)議，提供了前所未有的方便和靈活的選擇。對(duì)遠(yuǎn)程移動(dòng)用戶或企業(yè)的出差用戶來說，既可以使用Windows98/2020/XP/2020 等系統(tǒng)自帶的 PPTP/L2TP撥號(hào)軟件， 也可以使用 IPSec 客戶端軟件 FortiClient和企業(yè)建立 VPN 的連接 ，還可以直接使用 IE 瀏覽器，通過 Web方式創(chuàng)建基于 SSL 的 VPN 隧道 。應(yīng)用 PPTP、 L2TP、 SSL 的好處是方便使用，不需要附加的軟件。而用 IPSec 客戶端軟件的好處是高度的安全性保證，可以采用動(dòng)態(tài)的密鑰保證數(shù)據(jù)的安全。在企 業(yè)本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)之間可以采用 IPSec 協(xié)議來實(shí)現(xiàn) VPN 的連接和數(shù)據(jù)的高度安全控制。配置簡(jiǎn)單靈活。 由于充分利用了專用的 ASIC 芯片技術(shù)，處理復(fù)雜的 VPN 加密和認(rèn)證過程，極大加快了 VPN 通道的建立速度和數(shù)據(jù)加 /解密的處理時(shí)間，達(dá)到了極高的 VPN 處理速度。 內(nèi)容處理器以獨(dú)特的設(shè)計(jì)方式， 解決了防火墻設(shè)備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡(jiǎn)單易用的 WEB 管理提供給用戶人性化的管理界面。高性能的 VPN 加密處理 (DES， 3DES，AES， MD5， SHA1) 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intra網(wǎng)絡(luò)，無(wú)須考慮設(shè)備處理速度的影響 ， 256 位的 AES 算法更提供了業(yè)界最高級(jí)別的安全防御體系，使企業(yè)的內(nèi)部數(shù)據(jù)可以無(wú)憂地在公網(wǎng)上傳輸，以達(dá)到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。 而今，迅速發(fā)展的廣域網(wǎng)技術(shù)使公網(wǎng)的帶寬成倍的增長(zhǎng)，同時(shí)又為企業(yè) VPN 網(wǎng)絡(luò)提供了廣闊的發(fā)展空間。 總部與分公司之間的 VPN通信 企業(yè) Intra 網(wǎng)絡(luò)建設(shè)的 VPN 連接方案， 利用 IPSec安全協(xié)議的 VPN 和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)企業(yè)之間跨越 Inter 的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù)通信。通過網(wǎng)關(guān)內(nèi)部策略控制體系對(duì) VPN 的數(shù) 據(jù)可以進(jìn)行有效的控制和管理，使企業(yè)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。 北京市海淀區(qū)中關(guān)村南大街 2號(hào)數(shù)碼大廈 B座 903室 電話 : (010)82512622 36 移動(dòng)辦公的 VPN通信 對(duì)于移動(dòng)的辦公室、出差用戶、及采用 ADSL 上網(wǎng)的分支辦公室， 網(wǎng)關(guān)都提供了完善的解決方案。特別支持 PPTP/L2TP/IPSec/SSL多種協(xié)議體系，對(duì)于用戶來講，配置和使用都非常方便。 下屬單位動(dòng)態(tài)地址方式、移動(dòng)辦公用戶、出差用戶和總部的 VPN 連接解決方案，如下圖示： 客戶端既可以使用 Windows 自帶的 PPTP/L2TP 撥號(hào) VPN，實(shí)現(xiàn)簡(jiǎn)單靈活的安全訪問 ；也可以使用 FortiClient 客戶端軟件進(jìn) 行高強(qiáng)度的 IPSec 通信， AES 加密算法可以實(shí)現(xiàn) 256位加密強(qiáng)度，極大的提高訪問的安全性。 FortiClient 還內(nèi)置了單機(jī)防病毒、個(gè)人防