【導(dǎo)讀】脅安全防御技術(shù)，提供了統(tǒng)一的安全整體解決方案，代表了網(wǎng)絡(luò)信息安全發(fā)展的新方向。客戶支持和銷售辦公室，全球員工已超過上千人，在中國北京和天津設(shè)有近百人的研發(fā)中心。全、優(yōu)秀性能的同時，降低了用戶的總體安全運營成本，符合了網(wǎng)絡(luò)綠色安全的發(fā)展方向。營商、服務(wù)提供商和各種規(guī)模的企業(yè)用戶。最高性價比的UTM安全平臺。它提供了防火墻、防病毒/蠕蟲/間諜軟件、垃圾郵件、虛擬。了高速可靠的處理性能，針對目前網(wǎng)絡(luò)發(fā)展所面臨的新型的多維混合式攻擊，提供了統(tǒng)一解決方案。UTM統(tǒng)一安全技術(shù)的發(fā)展并在市場上占有首位。在2020年獲得Frost&Sullivan咨詢機構(gòu)頒。發(fā)的―2020年全球UTM市場領(lǐng)導(dǎo)者‖獎。在Gartner的研究報告中，F(xiàn)orti連續(xù)4年處于UTM. 高級政府安全認證。美國病毒專業(yè)評測試VB100認證。歐洲專業(yè)IPS安全評測組織NSS認證。的UTM網(wǎng)關(guān)FortiGate系列包括SOHO分支辦公室級別的FortiGate-50B、60B，100A；適合中小商務(wù)的FortiGate-110C，200A、224B、300A;適合中型企業(yè)的FortiGate-400A、500A、800、800F、310B，620B,1000A、1000FA2以及適用于大型企業(yè)和運營服務(wù)商的

　　

【正文】 狀態(tài)檢測引擎是設(shè)計為跟蹤每一個經(jīng)過 Forti 安全平臺的會話的所有通信層 ——包括基于連接和非基于連接的協(xié)議。它保存積累的狀態(tài)和會話信息，以確保每一個會話后續(xù)的包能被正確的發(fā)送和接收。 內(nèi)容重組模塊重組所有的數(shù)據(jù)包，以保證包能以正確的順序排列。這樣就可以去掉那些重疊的分段、重復(fù)的分段、大小無效的包、偏移量無效的包 ——過濾許多基于碎片、不合法偏移量、 fragroute 逃避等的攻擊。 通信協(xié)議檢測引擎保證協(xié)議確實是有效的，包括 TCP、 UDP、 ICMP 等。所有的協(xié)議頭都需要對語法和語義的合法性及進行檢驗，帶有不良協(xié)議信息的包將被識別出來并阻擋。 應(yīng)用協(xié)議檢測引擎確保協(xié)議頭符合合法的語法和語義。協(xié)議頭數(shù)值的有效性被驗證，溢出被阻止。合法的應(yīng)用如 Tel、 FTP、 HTTP、 SMTP、 POP3 等的一致性被檢查，而有害應(yīng)用如 BackOrifice、 SubSeven、TFN2K 等被識別出來，并在它們可能對網(wǎng)絡(luò)造成危害之前被阻擋。 內(nèi)容檢測模塊分析應(yīng)用負載，尋找已知和未知的惡意內(nèi)容。內(nèi)容檢測模塊使用復(fù)雜的評估系統(tǒng)和會話行為模板來進行深度包分析，并在應(yīng)用內(nèi)容類型 之間加以區(qū)別，以確保對每一個會話流量的最大檢測能力。 行為檢測模塊將異常檢測帶到一個新的水平。通過將雙向會話信息的關(guān)聯(lián)、數(shù)據(jù)信息、通道信息、控制信息、活動會話和僵尸會話信息匯集到一起進行分析。隨著流量信息的積累，系統(tǒng)開發(fā)出正常流量模板知識，當有不良和異常流量流經(jīng) Forti 安全平臺，它們會很快被識別并阻擋。 動態(tài)威脅防御系統(tǒng)將各種檢測過程關(guān)聯(lián)在一起，可以很好的檢測各種已知和未知的攻擊。通過檢查每一個異常檢測引擎的輸出結(jié)果，并與已知和學到的會話活動相比較，誤報率便會大大降低。 可擴展的靈活的安全 28 當不少公 司還在將多個廠商的技術(shù)組合在一起構(gòu)成統(tǒng)一威脅管理產(chǎn)品時， Forti 公司從 2020 年開始意識到這一先進的安全設(shè)備的需求，并根據(jù)這一理念創(chuàng)造了網(wǎng)絡(luò)安全平臺。如今， Forti 被國際研究機構(gòu) IDC 證實為統(tǒng)一威脅管理（ UTM）安全產(chǎn)品市場的領(lǐng)導(dǎo)者。 Forti 能夠基于狀態(tài)檢測、防病毒、間諜軟件、 IDS、 IPS、反垃圾郵件、 Web 內(nèi)容過濾、帶寬管理等技術(shù)來過濾網(wǎng)絡(luò)流量，提供了對抗最新社會工程陷阱和混合型威脅的更高的安全層次。 Forti 安全平臺創(chuàng)造了完善的統(tǒng)一方法，以幫助客戶確保其處于任何位置上的 關(guān)鍵網(wǎng)絡(luò)的安全。Forti 的全系列 FortiGate 安全平臺、日志和報告系統(tǒng)、實時 Web 內(nèi)容過濾和反垃圾郵件模塊提供了一個完整的深層次的安全解決方案，能保障各種規(guī)模的有線和無線網(wǎng)絡(luò)的安全。 為了確保所有 Forti 安全平臺能使用最新的防病毒和攻擊特征、啟發(fā)式掃描和異常檢測引擎進行更新，客戶可以將他們的 Forti 安全設(shè)備設(shè)置從 Forti 公司的 FortiGuard 網(wǎng)絡(luò)自動更新升級。 FortiGuard網(wǎng)絡(luò)在全球現(xiàn)有數(shù)十個安全和冗余的數(shù)據(jù)中心，一旦新的特征出現(xiàn)并可以更新時，會快速的進行主動和 推送式的更新，通常在 FortiGuard 網(wǎng)絡(luò)上發(fā)布更新信息后 5 分鐘內(nèi)便可進行。 為了提供綜合日志和報表系統(tǒng)以向客戶報告安全事務(wù)， Forti 公司向客戶提供可選的 FortiAnalyzer產(chǎn)品。上百種預(yù)先定制好的報表能詳細的反映行為信息和安全警報?？蛻艨梢酝ㄟ^安全報告來關(guān)聯(lián)安全行為，更容易的阻擋惡意活動，并提供安全事件的詳細日志。對于那些有多個 Forti 安全設(shè)備需要管理的客戶， Forti 公司的 FortiManager 提供統(tǒng)一集中管理，可對上千臺 Forti 設(shè)備進行快速處理。 29 2. 硬件加 速技術(shù)白皮書 介紹 很多 IT 專業(yè)人士都已經(jīng)意識到了 UTM 所面臨的最大問題 ——多種安全服務(wù)會影響到系統(tǒng)性能。要安全還是要性能，是一個兩難的選擇，以前很多企業(yè)也正是因為考慮了性能問題，而不愿意使用 UTM的解決方案。然而，這個困撓 UTM的問題現(xiàn)在可以解決了。硬件技術(shù)革新突破了 UTM性能的瓶頸，為這種多功能的安全解決方案的廣泛應(yīng)用鋪平了道路。 網(wǎng)絡(luò)技術(shù)的進化 為了探索 UTM 技術(shù)和專用硬件技術(shù)的演進，有必要對比一下其他網(wǎng)絡(luò)技術(shù)的發(fā)展，可以發(fā)現(xiàn)重要的一點，專門的硬件最終滿足了客戶的需求。路由器，最初稱之 為網(wǎng)關(guān)，最早就是標準計算機的軟件程序，它可以實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。如圖所示，在今天，大多數(shù)的路由器已經(jīng)是專用的硬件設(shè)備，采用的是定制化的處理器和專用芯片 (ASIC)。這種從軟件轉(zhuǎn)向?qū)Ｓ糜布艽蟪潭壬鲜怯蓪Ω咝阅艿男枨笏苿拥摹? 防火墻的發(fā)展模式也與路由器相同，只是發(fā)展的層次增加了。防火墻技術(shù)本身是由路由器技術(shù)演變出來的，它由最初的實現(xiàn)路由器的包過濾功能，然后進化出較為復(fù)雜的狀態(tài)檢測功能，最后變成全應(yīng)用層的檢測。防火墻在最初的時候，也是由軟件構(gòu)成的，然后硬件化，再增加其他的網(wǎng)絡(luò)安全技術(shù)，比如 VPN。 如上 所述，歷史證明了由于性能和功能的增加導(dǎo)致軟件變成專用的硬件。毋庸置疑的是， UTM 也將延續(xù)這個進程。 UTM 技術(shù)的演進 自從出現(xiàn)了 UTM 這個概念后，兩種不同的思路影響著其發(fā)展。如圖所示，采用不同廠商提供的軟件產(chǎn)品，然后把它們?nèi)诤显谝粋€平臺上。比如，防火墻功能采用某家廠商的軟件， IPS 采用另外一家的軟件，然后再由一家廠家將其結(jié)合起來。該 UTM廠家宣稱自己的產(chǎn)品采用的是各個不同技術(shù)領(lǐng)域中最好的軟件，即所謂 ―Best of Breed‖。更有甚至，有些 UTM的管理界面都是不同產(chǎn)品管理界面拼湊在一起的。 第二 種設(shè)計理念是設(shè)計一個單一整體式的體系結(jié)構(gòu)，它由一個基礎(chǔ)向上開發(fā)，逐漸地融合不同的安全技術(shù)。相比較而言，明顯第二種思路在技術(shù)上更為復(fù)雜，而且出于市場考慮，其融合的每一單項功能都必 30 須能夠滿足實現(xiàn)單一功能的產(chǎn)品所能達到的標準。 UTM的核心功能 ——防火墻、防病毒、入侵檢測，由于其開發(fā)商的勤奮努力，已經(jīng)成熟，開辟出了 UTM的新天地。采用這種思路設(shè)計的產(chǎn)品的管理界面自然地將多種功能糅合在一起。 UTM的不同實現(xiàn)方法 當 UTM設(shè)備初次亮相時，性能的噩夢就困擾著它。采用多種不同廠家技術(shù)的 UTM供貨商放棄了對高端市場的追 求，因為由于版權(quán)問題它們無法對其他廠家的軟件代碼進行深度開發(fā)，從而向硬件化的方向發(fā)展。而采用單一供應(yīng)商整體式設(shè)計思路的公司來講，其所付出的辛勤汗水得到了報酬。它們擁有所有源代碼，可以根據(jù)自己需要隨意修改和優(yōu)化，從而為提高性能打開了大門。優(yōu)化方式之一就是減少數(shù)據(jù)流處理的冗余步驟，使之不必反復(fù)重新重組和分片。 但是，更為顯著地提高 UTM 性能的技術(shù)，是對安全檢測進行硬件加速的技術(shù)。與路由器和防火墻相同， ASIC 技術(shù)能夠通過并行處理有效地提高吞吐量。硬件專家發(fā)現(xiàn)用專用芯片來處理 OSI 模型中的應(yīng)用層會導(dǎo)致 UTM性能的 幾何級增長。 隨著 UTM的概念擴展到 VPN、 Web 過濾、反垃圾郵件等功能，性能問題將更為嚴重。采用多種軟件混合的解決方案是無法充分地利用硬件平臺的加速功能，只能增加或減少現(xiàn)有的軟件模塊。而系統(tǒng)全部自行開發(fā)的廠家就不會受到這種束縛，充分地發(fā)揮硬件平臺的加速功能，從而將 UTM產(chǎn)品推向大型網(wǎng)絡(luò)或提供更為全面的解決方案。 構(gòu)建高性能的 UTM UTM設(shè)備是由很多組件構(gòu)成的，其中對于高性能 UTM平臺來說有三個最主要的組成部分：專用的硬件、專用的軟件和內(nèi)容層的安全體系。通過智能集成，每一部分都對提高 UTM設(shè)備的性 能和功能有貢獻。 ? 專用的硬件 內(nèi)容處理器和網(wǎng)絡(luò)處理器這兩種專用的硬件對于解決 UTM 性能問題很重要。這兩種處理器與通用處理器（ CPU）配合使用來處理復(fù)雜的業(yè)務(wù)。 CPU 和專用處理器一起工作的形式與人的大腦和脊柱以及周圍神經(jīng)系統(tǒng)協(xié)同工作來執(zhí)行一個動作的情況類似。 ? 內(nèi)容處理器 內(nèi)容處理器是經(jīng)過定制的處理器，可以用來實現(xiàn)將已知的威脅特征庫（如病毒庫、 IPS 庫等）與內(nèi)存中待檢測對象進行匹配。內(nèi)存中的待檢測對象可以是數(shù)據(jù)包、文件（包括壓縮文件）等。內(nèi)容處理器專門進行協(xié)議識別和解析，可以快速重組數(shù)據(jù)包，掃描發(fā)現(xiàn)可疑的內(nèi)容。 內(nèi)容處理器并不直接接收數(shù)據(jù)，它不 31 串接在網(wǎng)絡(luò)接口后面，而是通過接受 CPU 的指令，處理內(nèi)容，尋找威脅。 內(nèi)容處理器能夠加速防病毒和 IPS，因為這兩種安全功能都需要將數(shù)據(jù)內(nèi)容與庫文件進行比對。有些人有誤解，以為 ASIC 是 ―靜態(tài) ‖安全檢測，不能檢測新的威脅。但是實際上，固化的部分是掃描邏輯結(jié)構(gòu)，而非特征值，對新的安全威脅可以通過升級特征庫來解決，這樣升級攻擊特征就變得非常容易，攻擊特征可以像軟件一樣進行升級。 內(nèi)容處理器還能包括加密引擎，它使得 CPU 不用進行高強度的加密解密計算。 VPN 的建立和密鑰維護都是非常消耗系 統(tǒng)資源的，因此，它們是最適用用于硬件加速的。內(nèi)容處理器很適合完成這個工作，它可以大大提高系統(tǒng)的 VPN 性能。 采用內(nèi)容處理器的高級 UTM架構(gòu) ? 網(wǎng)絡(luò)處理器 網(wǎng)絡(luò)處理器是對網(wǎng)絡(luò)流量進行高速處理的硬件設(shè)備。這種處理器一般是以在線的方式放置在 CPU 和網(wǎng)絡(luò)接口之間，直接接收網(wǎng)絡(luò)流量并自動執(zhí)行某些操作，通過網(wǎng)絡(luò)處理器的工作，可以減輕系統(tǒng)其他部分的負載，圖 5 說明了使用網(wǎng)絡(luò)處理器的系統(tǒng)的架構(gòu)。它處理很多基本維護工作，比如會話表的維護、常見的 TCP 包處理、加密 /解密和網(wǎng)絡(luò)地址翻譯（ NAT）相關(guān)的任務(wù)。 新一代的網(wǎng)絡(luò)處理器 也 能進行安全檢測并且予以處理。它可以迅速地重組數(shù)據(jù)包 ，而這個過程是入侵檢測技術(shù)所必需的。某些網(wǎng)絡(luò)處理器還可以編程以加載 當前的防火墻和 IPS 策略來對流量進行過濾 ，在接口 級 過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包 ，卻不需要 CPU 的參與 。 當流量旁路系統(tǒng)的其他部分，而直接由網(wǎng)絡(luò)處理器轉(zhuǎn)發(fā)時，網(wǎng)絡(luò)處理器首先從 CPU 下載會話處理的指令，然后就在本地處理數(shù)據(jù)包，只給CPU 提交必要的狀態(tài)信息，通過狀態(tài)信息的通信替代所有數(shù)據(jù)包的通信， CPU 的負載減輕了，性能得到顯著的改善。 高級的網(wǎng)絡(luò)處理器，具有內(nèi)置的安全功能，以線速實現(xiàn)防火墻的 功能，可以實現(xiàn)千兆小包（ 64bit）線速，延遲非常低，網(wǎng)絡(luò)處理器也可以實現(xiàn)差不多高的 IPSec VPN 性能。這個性能對于日益增長的局域網(wǎng)和廣域網(wǎng)帶寬來說是非常必要的。 32 使用網(wǎng)絡(luò)處理器的 UTM架構(gòu) ? 專用的軟件 如前面所述，整合硬件和軟件提高性能需要對軟件進行專門的編程。這需要對源代碼進行修改，而這恰恰對于由多個廠家提供的 UTM 解決方案來說是不現(xiàn)實的。沒有進行整合，則所有任務(wù)都會運行在 CPU上。即使有部分可以經(jīng)過硬件優(yōu)化，也不意味第三方代碼提供商愿意為此進行修改，以滿足 UTM廠商的需求。更令人不愉快的是，在 數(shù)據(jù)處理流程上還存在大量的重復(fù)性處理過程，導(dǎo)致性能大幅度地下降。 單一 廠家的解決方案能夠 對整個系統(tǒng)的執(zhí)行過程了如指掌，從而避免了大量重復(fù) 性的工作。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測的信息，那么在 IPS 模塊里就沒有必要再次重復(fù) 類似的工作。另外，單一廠家的解決方案更能夠充分地發(fā)揮專用的硬件加速系統(tǒng)的作用。 它把大量復(fù)雜的內(nèi)容檢測計算交給 專用 處理器處理，把 CPU 解放出來做更為有效率的工作，實現(xiàn)更多的安全功能。 ? 內(nèi)容檢測的 革命 如果 在網(wǎng)絡(luò)安全的領(lǐng)域有什么東西不變的話，那就是對網(wǎng)絡(luò)資源的攻擊是永遠不斷地升級的。 為了跟上 這種變化，我們需要 開發(fā)和維護一整套的攻擊檢測技術(shù)。 UTM就是 這種 能夠 有效地 幫助我們 解決問題的工具。 當 UTM成為 唯一的安全工具時，就可以避免各類安全產(chǎn)品之間的相互傾軋， 讓 UTM中的最為有效的工具發(fā)揮作用以最快的速度消除攻擊。 性能也是單一廠家解決方案的收獲之一，因為在開發(fā)代碼的時候研發(fā)人員就了解采用什么樣的硬件 以及如何最大地發(fā)揮其作用。 從研發(fā)角度來講，單一廠商的解決方案更有利于研發(fā) 人員 通過