【導(dǎo)讀】脅安全防御技術(shù)，提供了統(tǒng)一的安全整體解決方案，代表了網(wǎng)絡(luò)信息安全發(fā)展的新方向?？蛻糁С趾弯N售辦公室，全球員工已超過(guò)上千人，在中國(guó)北京和天津設(shè)有近百人的研發(fā)中心。全、優(yōu)秀性能的同時(shí)，降低了用戶的總體安全運(yùn)營(yíng)成本，符合了網(wǎng)絡(luò)綠色安全的發(fā)展方向。營(yíng)商、服務(wù)提供商和各種規(guī)模的企業(yè)用戶。最高性價(jià)比的UTM安全平臺(tái)。它提供了防火墻、防病毒/蠕蟲(chóng)/間諜軟件、垃圾郵件、虛擬。了高速可靠的處理性能，針對(duì)目前網(wǎng)絡(luò)發(fā)展所面臨的新型的多維混合式攻擊，提供了統(tǒng)一解決方案。UTM統(tǒng)一安全技術(shù)的發(fā)展并在市場(chǎng)上占有首位。在2020年獲得Frost&Sullivan咨詢機(jī)構(gòu)頒。發(fā)的―2020年全球UTM市場(chǎng)領(lǐng)導(dǎo)者‖獎(jiǎng)。在Gartner的研究報(bào)告中，F(xiàn)orti連續(xù)4年處于UTM. 高級(jí)政府安全認(rèn)證。美國(guó)病毒專業(yè)評(píng)測(cè)試VB100認(rèn)證。歐洲專業(yè)IPS安全評(píng)測(cè)組織NSS認(rèn)證。的UTM網(wǎng)關(guān)FortiGate系列包括SOHO分支辦公室級(jí)別的FortiGate-50B、60B，100A；適合中小商務(wù)的FortiGate-110C，200A、224B、300A;適合中型企業(yè)的FortiGate-400A、500A、800、800F、310B，620B,1000A、1000FA2以及適用于大型企業(yè)和運(yùn)營(yíng)服務(wù)商的

　　

【正文】 狀態(tài)檢測(cè)引擎是設(shè)計(jì)為跟蹤每一個(gè)經(jīng)過(guò) Forti 安全平臺(tái)的會(huì)話的所有通信層 ——包括基于連接和非基于連接的協(xié)議。它保存積累的狀態(tài)和會(huì)話信息，以確保每一個(gè)會(huì)話后續(xù)的包能被正確的發(fā)送和接收。 內(nèi)容重組模塊重組所有的數(shù)據(jù)包，以保證包能以正確的順序排列。這樣就可以去掉那些重疊的分段、重復(fù)的分段、大小無(wú)效的包、偏移量無(wú)效的包 ——過(guò)濾許多基于碎片、不合法偏移量、 fragroute 逃避等的攻擊。 通信協(xié)議檢測(cè)引擎保證協(xié)議確實(shí)是有效的，包括 TCP、 UDP、 ICMP 等。所有的協(xié)議頭都需要對(duì)語(yǔ)法和語(yǔ)義的合法性及進(jìn)行檢驗(yàn)，帶有不良協(xié)議信息的包將被識(shí)別出來(lái)并阻擋。 應(yīng)用協(xié)議檢測(cè)引擎確保協(xié)議頭符合合法的語(yǔ)法和語(yǔ)義。協(xié)議頭數(shù)值的有效性被驗(yàn)證，溢出被阻止。合法的應(yīng)用如 Tel、 FTP、 HTTP、 SMTP、 POP3 等的一致性被檢查，而有害應(yīng)用如 BackOrifice、 SubSeven、TFN2K 等被識(shí)別出來(lái)，并在它們可能對(duì)網(wǎng)絡(luò)造成危害之前被阻擋。 內(nèi)容檢測(cè)模塊分析應(yīng)用負(fù)載，尋找已知和未知的惡意內(nèi)容。內(nèi)容檢測(cè)模塊使用復(fù)雜的評(píng)估系統(tǒng)和會(huì)話行為模板來(lái)進(jìn)行深度包分析，并在應(yīng)用內(nèi)容類型 之間加以區(qū)別，以確保對(duì)每一個(gè)會(huì)話流量的最大檢測(cè)能力。 行為檢測(cè)模塊將異常檢測(cè)帶到一個(gè)新的水平。通過(guò)將雙向會(huì)話信息的關(guān)聯(lián)、數(shù)據(jù)信息、通道信息、控制信息、活動(dòng)會(huì)話和僵尸會(huì)話信息匯集到一起進(jìn)行分析。隨著流量信息的積累，系統(tǒng)開(kāi)發(fā)出正常流量模板知識(shí)，當(dāng)有不良和異常流量流經(jīng) Forti 安全平臺(tái)，它們會(huì)很快被識(shí)別并阻擋。 動(dòng)態(tài)威脅防御系統(tǒng)將各種檢測(cè)過(guò)程關(guān)聯(lián)在一起，可以很好的檢測(cè)各種已知和未知的攻擊。通過(guò)檢查每一個(gè)異常檢測(cè)引擎的輸出結(jié)果，并與已知和學(xué)到的會(huì)話活動(dòng)相比較，誤報(bào)率便會(huì)大大降低。 可擴(kuò)展的靈活的安全 28 當(dāng)不少公 司還在將多個(gè)廠商的技術(shù)組合在一起構(gòu)成統(tǒng)一威脅管理產(chǎn)品時(shí)， Forti 公司從 2020 年開(kāi)始意識(shí)到這一先進(jìn)的安全設(shè)備的需求，并根據(jù)這一理念創(chuàng)造了網(wǎng)絡(luò)安全平臺(tái)。如今， Forti 被國(guó)際研究機(jī)構(gòu) IDC 證實(shí)為統(tǒng)一威脅管理（ UTM）安全產(chǎn)品市場(chǎng)的領(lǐng)導(dǎo)者。 Forti 能夠基于狀態(tài)檢測(cè)、防病毒、間諜軟件、 IDS、 IPS、反垃圾郵件、 Web 內(nèi)容過(guò)濾、帶寬管理等技術(shù)來(lái)過(guò)濾網(wǎng)絡(luò)流量，提供了對(duì)抗最新社會(huì)工程陷阱和混合型威脅的更高的安全層次。 Forti 安全平臺(tái)創(chuàng)造了完善的統(tǒng)一方法，以幫助客戶確保其處于任何位置上的 關(guān)鍵網(wǎng)絡(luò)的安全。Forti 的全系列 FortiGate 安全平臺(tái)、日志和報(bào)告系統(tǒng)、實(shí)時(shí) Web 內(nèi)容過(guò)濾和反垃圾郵件模塊提供了一個(gè)完整的深層次的安全解決方案，能保障各種規(guī)模的有線和無(wú)線網(wǎng)絡(luò)的安全。 為了確保所有 Forti 安全平臺(tái)能使用最新的防病毒和攻擊特征、啟發(fā)式掃描和異常檢測(cè)引擎進(jìn)行更新，客戶可以將他們的 Forti 安全設(shè)備設(shè)置從 Forti 公司的 FortiGuard 網(wǎng)絡(luò)自動(dòng)更新升級(jí)。 FortiGuard網(wǎng)絡(luò)在全球現(xiàn)有數(shù)十個(gè)安全和冗余的數(shù)據(jù)中心，一旦新的特征出現(xiàn)并可以更新時(shí)，會(huì)快速的進(jìn)行主動(dòng)和 推送式的更新，通常在 FortiGuard 網(wǎng)絡(luò)上發(fā)布更新信息后 5 分鐘內(nèi)便可進(jìn)行。 為了提供綜合日志和報(bào)表系統(tǒng)以向客戶報(bào)告安全事務(wù)， Forti 公司向客戶提供可選的 FortiAnalyzer產(chǎn)品。上百種預(yù)先定制好的報(bào)表能詳細(xì)的反映行為信息和安全警報(bào)?？蛻艨梢酝ㄟ^(guò)安全報(bào)告來(lái)關(guān)聯(lián)安全行為，更容易的阻擋惡意活動(dòng)，并提供安全事件的詳細(xì)日志。對(duì)于那些有多個(gè) Forti 安全設(shè)備需要管理的客戶， Forti 公司的 FortiManager 提供統(tǒng)一集中管理，可對(duì)上千臺(tái) Forti 設(shè)備進(jìn)行快速處理。 29 2. 硬件加 速技術(shù)白皮書(shū) 介紹 很多 IT 專業(yè)人士都已經(jīng)意識(shí)到了 UTM 所面臨的最大問(wèn)題 ——多種安全服務(wù)會(huì)影響到系統(tǒng)性能。要安全還是要性能，是一個(gè)兩難的選擇，以前很多企業(yè)也正是因?yàn)榭紤]了性能問(wèn)題，而不愿意使用 UTM的解決方案。然而，這個(gè)困撓 UTM的問(wèn)題現(xiàn)在可以解決了。硬件技術(shù)革新突破了 UTM性能的瓶頸，為這種多功能的安全解決方案的廣泛應(yīng)用鋪平了道路。 網(wǎng)絡(luò)技術(shù)的進(jìn)化 為了探索 UTM 技術(shù)和專用硬件技術(shù)的演進(jìn)，有必要對(duì)比一下其他網(wǎng)絡(luò)技術(shù)的發(fā)展，可以發(fā)現(xiàn)重要的一點(diǎn)，專門(mén)的硬件最終滿足了客戶的需求。路由器，最初稱之 為網(wǎng)關(guān)，最早就是標(biāo)準(zhǔn)計(jì)算機(jī)的軟件程序，它可以實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。如圖所示，在今天，大多數(shù)的路由器已經(jīng)是專用的硬件設(shè)備，采用的是定制化的處理器和專用芯片 (ASIC)。這種從軟件轉(zhuǎn)向?qū)Ｓ糜布艽蟪潭壬鲜怯蓪?duì)高性能的需求所推動(dòng)的。 防火墻的發(fā)展模式也與路由器相同，只是發(fā)展的層次增加了。防火墻技術(shù)本身是由路由器技術(shù)演變出來(lái)的，它由最初的實(shí)現(xiàn)路由器的包過(guò)濾功能，然后進(jìn)化出較為復(fù)雜的狀態(tài)檢測(cè)功能，最后變成全應(yīng)用層的檢測(cè)。防火墻在最初的時(shí)候，也是由軟件構(gòu)成的，然后硬件化，再增加其他的網(wǎng)絡(luò)安全技術(shù)，比如 VPN。 如上 所述，歷史證明了由于性能和功能的增加導(dǎo)致軟件變成專用的硬件。毋庸置疑的是， UTM 也將延續(xù)這個(gè)進(jìn)程。 UTM 技術(shù)的演進(jìn) 自從出現(xiàn)了 UTM 這個(gè)概念后，兩種不同的思路影響著其發(fā)展。如圖所示，采用不同廠商提供的軟件產(chǎn)品，然后把它們?nèi)诤显谝粋€(gè)平臺(tái)上。比如，防火墻功能采用某家廠商的軟件， IPS 采用另外一家的軟件，然后再由一家廠家將其結(jié)合起來(lái)。該 UTM廠家宣稱自己的產(chǎn)品采用的是各個(gè)不同技術(shù)領(lǐng)域中最好的軟件，即所謂 ―Best of Breed‖。更有甚至，有些 UTM的管理界面都是不同產(chǎn)品管理界面拼湊在一起的。 第二 種設(shè)計(jì)理念是設(shè)計(jì)一個(gè)單一整體式的體系結(jié)構(gòu)，它由一個(gè)基礎(chǔ)向上開(kāi)發(fā)，逐漸地融合不同的安全技術(shù)。相比較而言，明顯第二種思路在技術(shù)上更為復(fù)雜，而且出于市場(chǎng)考慮，其融合的每一單項(xiàng)功能都必 30 須能夠滿足實(shí)現(xiàn)單一功能的產(chǎn)品所能達(dá)到的標(biāo)準(zhǔn)。 UTM的核心功能 ——防火墻、防病毒、入侵檢測(cè)，由于其開(kāi)發(fā)商的勤奮努力，已經(jīng)成熟，開(kāi)辟出了 UTM的新天地。采用這種思路設(shè)計(jì)的產(chǎn)品的管理界面自然地將多種功能糅合在一起。 UTM的不同實(shí)現(xiàn)方法 當(dāng) UTM設(shè)備初次亮相時(shí)，性能的噩夢(mèng)就困擾著它。采用多種不同廠家技術(shù)的 UTM供貨商放棄了對(duì)高端市場(chǎng)的追 求，因?yàn)橛捎诎鏅?quán)問(wèn)題它們無(wú)法對(duì)其他廠家的軟件代碼進(jìn)行深度開(kāi)發(fā)，從而向硬件化的方向發(fā)展。而采用單一供應(yīng)商整體式設(shè)計(jì)思路的公司來(lái)講，其所付出的辛勤汗水得到了報(bào)酬。它們擁有所有源代碼，可以根據(jù)自己需要隨意修改和優(yōu)化，從而為提高性能打開(kāi)了大門(mén)。優(yōu)化方式之一就是減少數(shù)據(jù)流處理的冗余步驟，使之不必反復(fù)重新重組和分片。 但是，更為顯著地提高 UTM 性能的技術(shù)，是對(duì)安全檢測(cè)進(jìn)行硬件加速的技術(shù)。與路由器和防火墻相同， ASIC 技術(shù)能夠通過(guò)并行處理有效地提高吞吐量。硬件專家發(fā)現(xiàn)用專用芯片來(lái)處理 OSI 模型中的應(yīng)用層會(huì)導(dǎo)致 UTM性能的 幾何級(jí)增長(zhǎng)。 隨著 UTM的概念擴(kuò)展到 VPN、 Web 過(guò)濾、反垃圾郵件等功能，性能問(wèn)題將更為嚴(yán)重。采用多種軟件混合的解決方案是無(wú)法充分地利用硬件平臺(tái)的加速功能，只能增加或減少現(xiàn)有的軟件模塊。而系統(tǒng)全部自行開(kāi)發(fā)的廠家就不會(huì)受到這種束縛，充分地發(fā)揮硬件平臺(tái)的加速功能，從而將 UTM產(chǎn)品推向大型網(wǎng)絡(luò)或提供更為全面的解決方案。 構(gòu)建高性能的 UTM UTM設(shè)備是由很多組件構(gòu)成的，其中對(duì)于高性能 UTM平臺(tái)來(lái)說(shuō)有三個(gè)最主要的組成部分：專用的硬件、專用的軟件和內(nèi)容層的安全體系。通過(guò)智能集成，每一部分都對(duì)提高 UTM設(shè)備的性 能和功能有貢獻(xiàn)。 ? 專用的硬件 內(nèi)容處理器和網(wǎng)絡(luò)處理器這兩種專用的硬件對(duì)于解決 UTM 性能問(wèn)題很重要。這兩種處理器與通用處理器（ CPU）配合使用來(lái)處理復(fù)雜的業(yè)務(wù)。 CPU 和專用處理器一起工作的形式與人的大腦和脊柱以及周圍神經(jīng)系統(tǒng)協(xié)同工作來(lái)執(zhí)行一個(gè)動(dòng)作的情況類似。 ? 內(nèi)容處理器 內(nèi)容處理器是經(jīng)過(guò)定制的處理器，可以用來(lái)實(shí)現(xiàn)將已知的威脅特征庫(kù)（如病毒庫(kù)、 IPS 庫(kù)等）與內(nèi)存中待檢測(cè)對(duì)象進(jìn)行匹配。內(nèi)存中的待檢測(cè)對(duì)象可以是數(shù)據(jù)包、文件（包括壓縮文件）等。內(nèi)容處理器專門(mén)進(jìn)行協(xié)議識(shí)別和解析，可以快速重組數(shù)據(jù)包，掃描發(fā)現(xiàn)可疑的內(nèi)容。 內(nèi)容處理器并不直接接收數(shù)據(jù)，它不 31 串接在網(wǎng)絡(luò)接口后面，而是通過(guò)接受 CPU 的指令，處理內(nèi)容，尋找威脅。 內(nèi)容處理器能夠加速防病毒和 IPS，因?yàn)檫@兩種安全功能都需要將數(shù)據(jù)內(nèi)容與庫(kù)文件進(jìn)行比對(duì)。有些人有誤解，以為 ASIC 是 ―靜態(tài) ‖安全檢測(cè)，不能檢測(cè)新的威脅。但是實(shí)際上，固化的部分是掃描邏輯結(jié)構(gòu)，而非特征值，對(duì)新的安全威脅可以通過(guò)升級(jí)特征庫(kù)來(lái)解決，這樣升級(jí)攻擊特征就變得非常容易，攻擊特征可以像軟件一樣進(jìn)行升級(jí)。 內(nèi)容處理器還能包括加密引擎，它使得 CPU 不用進(jìn)行高強(qiáng)度的加密解密計(jì)算。 VPN 的建立和密鑰維護(hù)都是非常消耗系 統(tǒng)資源的，因此，它們是最適用用于硬件加速的。內(nèi)容處理器很適合完成這個(gè)工作，它可以大大提高系統(tǒng)的 VPN 性能。 采用內(nèi)容處理器的高級(jí) UTM架構(gòu) ? 網(wǎng)絡(luò)處理器 網(wǎng)絡(luò)處理器是對(duì)網(wǎng)絡(luò)流量進(jìn)行高速處理的硬件設(shè)備。這種處理器一般是以在線的方式放置在 CPU 和網(wǎng)絡(luò)接口之間，直接接收網(wǎng)絡(luò)流量并自動(dòng)執(zhí)行某些操作，通過(guò)網(wǎng)絡(luò)處理器的工作，可以減輕系統(tǒng)其他部分的負(fù)載，圖 5 說(shuō)明了使用網(wǎng)絡(luò)處理器的系統(tǒng)的架構(gòu)。它處理很多基本維護(hù)工作，比如會(huì)話表的維護(hù)、常見(jiàn)的 TCP 包處理、加密 /解密和網(wǎng)絡(luò)地址翻譯（ NAT）相關(guān)的任務(wù)。 新一代的網(wǎng)絡(luò)處理器 也 能進(jìn)行安全檢測(cè)并且予以處理。它可以迅速地重組數(shù)據(jù)包 ，而這個(gè)過(guò)程是入侵檢測(cè)技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程以加載 當(dāng)前的防火墻和 IPS 策略來(lái)對(duì)流量進(jìn)行過(guò)濾 ，在接口 級(jí) 過(guò)濾異常流量和轉(zhuǎn)發(fā)對(duì)延時(shí)敏感的數(shù)據(jù)包 ，卻不需要 CPU 的參與 。 當(dāng)流量旁路系統(tǒng)的其他部分，而直接由網(wǎng)絡(luò)處理器轉(zhuǎn)發(fā)時(shí)，網(wǎng)絡(luò)處理器首先從 CPU 下載會(huì)話處理的指令，然后就在本地處理數(shù)據(jù)包，只給CPU 提交必要的狀態(tài)信息，通過(guò)狀態(tài)信息的通信替代所有數(shù)據(jù)包的通信， CPU 的負(fù)載減輕了，性能得到顯著的改善。 高級(jí)的網(wǎng)絡(luò)處理器，具有內(nèi)置的安全功能，以線速實(shí)現(xiàn)防火墻的 功能，可以實(shí)現(xiàn)千兆小包（ 64bit）線速，延遲非常低，網(wǎng)絡(luò)處理器也可以實(shí)現(xiàn)差不多高的 IPSec VPN 性能。這個(gè)性能對(duì)于日益增長(zhǎng)的局域網(wǎng)和廣域網(wǎng)帶寬來(lái)說(shuō)是非常必要的。 32 使用網(wǎng)絡(luò)處理器的 UTM架構(gòu) ? 專用的軟件 如前面所述，整合硬件和軟件提高性能需要對(duì)軟件進(jìn)行專門(mén)的編程。這需要對(duì)源代碼進(jìn)行修改，而這恰恰對(duì)于由多個(gè)廠家提供的 UTM 解決方案來(lái)說(shuō)是不現(xiàn)實(shí)的。沒(méi)有進(jìn)行整合，則所有任務(wù)都會(huì)運(yùn)行在 CPU上。即使有部分可以經(jīng)過(guò)硬件優(yōu)化，也不意味第三方代碼提供商愿意為此進(jìn)行修改，以滿足 UTM廠商的需求。更令人不愉快的是，在 數(shù)據(jù)處理流程上還存在大量的重復(fù)性處理過(guò)程，導(dǎo)致性能大幅度地下降。 單一 廠家的解決方案能夠 對(duì)整個(gè)系統(tǒng)的執(zhí)行過(guò)程了如指掌，從而避免了大量重復(fù) 性的工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測(cè)的信息，那么在 IPS 模塊里就沒(méi)有必要再次重復(fù) 類似的工作。另外，單一廠家的解決方案更能夠充分地發(fā)揮專用的硬件加速系統(tǒng)的作用。 它把大量復(fù)雜的內(nèi)容檢測(cè)計(jì)算交給 專用 處理器處理，把 CPU 解放出來(lái)做更為有效率的工作，實(shí)現(xiàn)更多的安全功能。 ? 內(nèi)容檢測(cè)的 革命 如果 在網(wǎng)絡(luò)安全的領(lǐng)域有什么東西不變的話，那就是對(duì)網(wǎng)絡(luò)資源的攻擊是永遠(yuǎn)不斷地升級(jí)的。 為了跟上 這種變化，我們需要 開(kāi)發(fā)和維護(hù)一整套的攻擊檢測(cè)技術(shù)。 UTM就是 這種 能夠 有效地 幫助我們 解決問(wèn)題的工具。 當(dāng) UTM成為 唯一的安全工具時(shí)，就可以避免各類安全產(chǎn)品之間的相互傾軋， 讓 UTM中的最為有效的工具發(fā)揮作用以最快的速度消除攻擊。 性能也是單一廠家解決方案的收獲之一，因?yàn)樵陂_(kāi)發(fā)代碼的時(shí)候研發(fā)人員就了解采用什么樣的硬件 以及如何最大地發(fā)揮其作用。 從研發(fā)角度來(lái)講，單一廠商的解決方案更有利于研發(fā) 人員 通過(guò)