【導(dǎo)讀】toprducewhismk,~"4:AO-qH(). UTM（統(tǒng)一威脅管理）。安全解決方案。toprducewhismk,~"4:AO-qH(). 目錄

　　

【正文】 網(wǎng)絡(luò)及應(yīng)用無關(guān)的特征被關(guān)閉，以免影響處理性能。 例如，內(nèi) 網(wǎng)需要保護(hù)的服務(wù)器為 IIS 及 Apache Web服務(wù)器，可以設(shè)置如下的 IPS 過濾器。 to prducewhismk,~4:AOqH() FortiGate 的 IPS 特征庫(kù) 內(nèi)置 3000 多種攻擊特征，并 自動(dòng)通過 Inter 更新，確保用戶在第一時(shí)間實(shí)現(xiàn)對(duì)最新攻擊方式的防御。 to prducewhismk,~4:AOqH()41 除了系統(tǒng)自帶的入侵特征， FortiGate 也支持用戶自定義特征。 FortiGate 內(nèi)置的 IPS 還可以對(duì) SYN flood、 ICMP flood 等 DoS/DDoS攻擊進(jìn)行防御，對(duì)于每一種 DoS/DDoS攻擊行為，都可 以設(shè)置閾值，使策略符合實(shí)際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，降低誤報(bào)和漏報(bào)率 ， 并可以針對(duì)不同的源或目的 IP 地址的 TCP、 UDP、 ICMP會(huì)話數(shù)量進(jìn)行限制。 to prducewhismk,~4:AOqH() VPN（虛擬專用網(wǎng)） Inter 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機(jī)密信息。由于 Inter 是一個(gè)開放的、公用的網(wǎng)絡(luò)，黑客很容易通過在網(wǎng)絡(luò)設(shè)備上安裝網(wǎng)絡(luò)嗅包器（如Sniffer、 NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進(jìn)行破壞活動(dòng)，因此我們需要在網(wǎng)絡(luò)上配置一整套 VPN 體系，對(duì)通過 Inter 進(jìn)行的遠(yuǎn)程訪問進(jìn)行嚴(yán)格的認(rèn)證和加密，使 Inter 上的 VPN 成為 經(jīng)過加密和認(rèn)證的安全鏈路，保證各節(jié)點(diǎn) 之間 遠(yuǎn)程 訪問的安全。 采用 VPN 技術(shù)的目的是為了在不安全的信道上實(shí)現(xiàn)安全信息傳輸，保證企業(yè)內(nèi)部信息在 Inter 上傳輸時(shí)的機(jī)密性和完整性，同時(shí)使用鑒別對(duì)通過 Inter進(jìn)行的數(shù)據(jù)傳輸進(jìn)行確認(rèn)。可以看出，這是一種廣義的訪問控制，即通過加密實(shí)現(xiàn)的訪問控制（只有具有某種權(quán)力和知道密碼的主體才能訪問相應(yīng)的客體 ） 。 單獨(dú)的 VPN網(wǎng)關(guān)的主要功能是 IPSec數(shù)據(jù)包的加密 /解密處理和身份認(rèn)證，沒有很強(qiáng)的訪問控制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防 DoS攻擊等）。在獨(dú)立的防火墻和 VPN部署方式下，防火墻無法對(duì) VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成 VPN能提供一個(gè)靈活、高效、完整的安全方案 ,是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù) VPN網(wǎng)關(guān)免受 DoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管 to prducewhismk,~4:AOqH()43 理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。 FortiGate便是一個(gè)集防火墻、 VPN和應(yīng)用層過濾網(wǎng)關(guān)功能于一身的綜合安全網(wǎng)關(guān) ，可以提供各安全功能之間的完美聯(lián)動(dòng)、良好的兼容性和性能。 FortiGate 的 VPN 功能支持 PPTP、 L2TP、 IPSec 和 SSL 四 種 VPN 協(xié)議，提供了前所未有的方便和靈活的選擇。對(duì)遠(yuǎn)程移動(dòng)用戶或企業(yè)的出差用戶來說，既可以使用Windows98/2020/XP/2020 等系統(tǒng)自帶的 PPTP/L2TP撥號(hào)軟件， 也可以使用 IPSec 客戶端軟件 FortiClient和企業(yè)建立 VPN 的連接 ，還可以直接使用 IE 瀏覽器，通過 Web方式創(chuàng)建基于 SSL 的 VPN 隧道 。應(yīng)用 PPTP、 L2TP、 SSL 的好處是方便使用，不需 要附加的軟件。而用 IPSec 客戶端軟件的好處是高度的安全性保證，可以采用動(dòng)態(tài)的密鑰保證數(shù)據(jù)的安全。在企業(yè)本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)之間可以采用 IPSec 協(xié)議來實(shí)現(xiàn) VPN 的連接和數(shù)據(jù)的高度安全控制。配置簡(jiǎn)單靈活。 由于充分利用了專用的 ASIC 芯片技術(shù)，處理復(fù)雜的 VPN 加密和認(rèn)證過程，極大加快了 VPN 通道的建立速度和數(shù)據(jù)加 /解密的處理時(shí)間，達(dá)到了極高的 VPN 處理速度。 內(nèi)容處理器以獨(dú)特的設(shè)計(jì)方式， 解決了防火墻設(shè)備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡(jiǎn)單易用的 WEB 管理提供給用戶人性化的管理界面。高性能的 VPN 加密 處理 (DES， 3DES，AES， MD5， SHA1) 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intra網(wǎng)絡(luò)，無須考慮設(shè)備處理速度的影響 ， 256 位的 AES 算法更提供了業(yè)界最高級(jí)別的安全防御體系，使企業(yè)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。 而今，迅速發(fā)展的廣域網(wǎng)技術(shù)使公網(wǎng)的帶寬成倍的增長(zhǎng)，同時(shí)又為企業(yè) VPN 網(wǎng)絡(luò)提供了廣闊的發(fā)展空間。 總部與分公司之間的 VPN通信 企業(yè) Intra 網(wǎng)絡(luò)建設(shè)的 VPN 連接方案， 利用 IPSec安全協(xié)議的 VPN 和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)企業(yè)之間跨 越 Inter 的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù)通信。通過網(wǎng)關(guān)內(nèi)部策略控制體系對(duì) VPN 的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使企業(yè)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。 to prducewhismk,~4:AOqH()移動(dòng)辦公的 VPN通信 對(duì)于移動(dòng)的辦公室、出差用戶、及采用 ADSL 上網(wǎng)的分支辦公室， 網(wǎng)關(guān)都提供了完善的解決方案。特別支持 PPTP/L2TP/IPSec/SSL多種協(xié)議體系，對(duì)于用戶來講，配置和使用都非常方便。 下屬單位動(dòng)態(tài)地址方式、移動(dòng)辦公用戶、出差用戶和總部的 VPN 連接解決方案，如下圖示： 客戶端既可以使用 Windows 自帶的 PPTP/L2TP 撥號(hào) VPN，實(shí)現(xiàn)簡(jiǎn)單靈活的安全訪問 ；也可以使用 FortiClient 客戶端軟件進(jìn)行高強(qiáng)度的 IPSec 通信， AES 加密算法可以實(shí)現(xiàn) 256位加密強(qiáng)度，極大的提高訪問的安全性。 FortiClient還內(nèi)置了單機(jī)防病毒、個(gè)人防火墻 、入侵防御、 Web 過濾、反垃圾郵件 以及 Windows 注冊(cè)表監(jiān)控功能，可以為移動(dòng)辦公的計(jì)算機(jī)提供 全方位的保護(hù)，防止黑客、病毒入侵該計(jì)算機(jī)使之成為整個(gè) 網(wǎng)絡(luò)的突破口。 to prducewhismk,~4:AOqH()45 另外， FortiGate 還支持 SSL VPN，客戶端可以直接使用 IE 瀏覽器登錄 FortiGate VPN網(wǎng)關(guān)，提供更加方便的 VPN 通信方式。 to prducewhismk,~4:AOqH()NAT 環(huán)境下的 VPN 應(yīng)用 一項(xiàng)簡(jiǎn)單易用的 NAT Traversal 技術(shù)，稱為 VPN 下的 NAT 穿越。應(yīng)用方式是在 NAT情況下， 保證遠(yuǎn)程 VPN 管理數(shù)據(jù)的正常應(yīng)用。 當(dāng)前在國(guó)內(nèi) IP 地址緊張的情況下 ,很多的分支企業(yè)都是通過服務(wù)商提供的私有網(wǎng)絡(luò)地址連接公網(wǎng)的，在服務(wù)商的網(wǎng)絡(luò)出口處統(tǒng)一進(jìn)行地址轉(zhuǎn)換。這種情況下，當(dāng)企業(yè)總部需要對(duì)分支企業(yè)或分部進(jìn)行統(tǒng)一的遠(yuǎn)程安全管理時(shí)，VPN 無法正常建立， PPTP、 IPSec 協(xié)議協(xié)商不能成功建立。 如果 VPN 產(chǎn)品能夠支持 NAT Traversal 技術(shù)，則可以忽略服務(wù)商的 NAT 過程，保證企業(yè)遠(yuǎn)程管理 VPN 的正常應(yīng)用。 在 VPN 設(shè)計(jì)中，網(wǎng)關(guān)可以支持雙向的 NAT 處理，使遠(yuǎn)程辦公室的主機(jī)以本地 IP 地址的方式出現(xiàn)，增強(qiáng)了網(wǎng)絡(luò)兼容性。 VPN 的策略控制設(shè)計(jì)，使管理員可以靈活控制使用 VPN通道的 IP 地址、服務(wù)、時(shí)間等參數(shù)，增強(qiáng)了 VPN安全控制。 利用 NAT Traversal技術(shù)，在兩個(gè)網(wǎng)關(guān)設(shè)備建立 VPN 的時(shí)候，中間任何的 NAT 轉(zhuǎn)換的發(fā)生都不會(huì)影響 VPN 的建立，完全解決了 NAT 情況下的 VPN 連接問題，對(duì) VPN 設(shè)備的應(yīng)用具有深遠(yuǎn)的影響。同時(shí)各企業(yè)分部可 以統(tǒng)一在總部進(jìn)行通道的交換，利用 HubandSpoke技術(shù)實(shí)現(xiàn)星型 VPN 的設(shè)計(jì)結(jié)構(gòu)，這樣及大減少了 VPN 通道的數(shù)量，降低了管理成本。 FortiGate 支持 DDNS（動(dòng)態(tài)域名解析），對(duì)于 VPN 隧道兩端都是動(dòng)態(tài) IP 地址的情況，也可以通過域名的方式互訪，很好的滿足這種網(wǎng)絡(luò)環(huán)境。 Web 內(nèi)容過濾 FortiGate 內(nèi)置 Web內(nèi)容過濾功能，可以通過 3種方式過濾 Inter 上的非法、有害的Web 內(nèi)容。 1） URL 地址： 只需要將不良網(wǎng)站的 URL 地址添加到過濾列表中，便可進(jìn)行阻擋。例如：可以通過 FortiGate 阻擋 。 URL 過濾也支持地址模版，可以使用通配符批量過濾 URL 地址。 2） 不良關(guān)鍵字： 所有包含用戶自定義不良關(guān)鍵字（如“法輪功”）的網(wǎng)頁將被屏蔽。 to prducewhismk,~4:AOqH()47 3） 網(wǎng)頁分類： 可選的 FortiGuard 機(jī)制將 數(shù)十億 個(gè)網(wǎng)頁分成了 76 個(gè)類別（如政治、經(jīng)濟(jì)、色情、暴力等），用戶只需要在 FortiGate 上設(shè)置阻斷某一類站點(diǎn)（如色情、暴力類網(wǎng)站）便可批量屏蔽不良網(wǎng)站。 Forti公司的 FortiGuard團(tuán)隊(duì)每日通過人工和自 動(dòng)程序的方式來檢索新內(nèi)容并對(duì)Web 分類庫(kù)進(jìn)行更新 ， 加入新的條目，刪除已關(guān)閉的網(wǎng)站，調(diào)整網(wǎng)頁的分類等。用戶使用的 FortiGate 會(huì)自動(dòng)訪問 FortiGuard服務(wù)器來更新這些內(nèi)容，確保分類過濾的準(zhǔn)確性。 to prducewhismk,~4:AOqH() 對(duì)于可以信任的網(wǎng)站，如政府官方網(wǎng)站、大型門戶網(wǎng)站等，可以加入 FortiGate內(nèi)容過濾的白名單。 FortiGate 在進(jìn)行內(nèi)容過濾時(shí)會(huì)對(duì)白名單里的 URL 地址直接放行。例如，雖然在關(guān)鍵字過濾中 過濾了“法輪功”這個(gè)詞，但是白名單里的網(wǎng)站中（如新華網(wǎng)）含有“法輪功”關(guān)鍵字的網(wǎng)頁 仍然可以被訪問，用戶能夠訪問到官方網(wǎng)站發(fā)布的揭批法輪功的文章。 FortiGate 還具有有害腳本的過濾功能，能保護(hù)網(wǎng)絡(luò)不受有害腳本（如 Java、 ActiveX等）的侵襲。 應(yīng)用控制 連接 Inter 的辦公網(wǎng)中，有很多與工作無關(guān)的應(yīng)用。其中一些應(yīng)用不但會(huì)影響到員工的工作效率，還能帶來一些其它危害，比如 MSN、 、 ICQ、 Yahoo 等 IM軟件可能導(dǎo)致工作效率下降和安全威脅（病毒、木馬等）； P2P軟件 的應(yīng)用會(huì)大量占用寬帶，甚至?xí)斐善髽I(yè) 網(wǎng)絡(luò)出口的堵塞，嚴(yán)重影響正常的工作；另外還有游戲、炒股等應(yīng)用， 因此需要對(duì) 這些應(yīng)用 進(jìn)行控制，但這些軟件通常都通過 HTTP（ TCP80）端口 或動(dòng)態(tài)端口 進(jìn)行傳輸，無法使用防火墻規(guī)則進(jìn)行限制。 FortiGate的應(yīng)用控制功能可以 不通過檢查 TCP/IP 端口也能夠探測(cè)應(yīng)用 ， 對(duì)應(yīng)用進(jìn)行細(xì)粒度的控制 ， 動(dòng)作包括阻斷、通過、流量整形和用戶控制 ； 可以阻斷 FTP 特定的 PUT命令 ；可以阻斷 IM的文件傳輸 ； 可以檢測(cè) IM用戶傳送惡意的文件 ；可 以對(duì) IM消息進(jìn)行歸檔 等等，目前支持 18類，超過 1000 種應(yīng)用。 to prducewhismk,~4:AOqH()49 對(duì)于 BT、電驢等 P2P應(yīng)用， FortiGate設(shè)備除了能進(jìn)行阻擋外，還可通過應(yīng)用寬帶管理策略，進(jìn)行流量的限制。 信息泄露防護(hù) 信息在企業(yè)業(yè)務(wù)中扮演著重要的角色，因此我們可以認(rèn)為信息也是一種資產(chǎn)，并稱之為信息資產(chǎn)。信息資產(chǎn)盡管是無形的，但由于它包含了大量的業(yè)務(wù)數(shù)據(jù)、客戶信息、商業(yè)秘密等對(duì)企業(yè)的業(yè)務(wù)乃至存亡密切相關(guān)的內(nèi)容，所以信息資產(chǎn)也面臨大量的威脅和風(fēng)險(xiǎn)，包括有意或無意的銷毀、黑客攻擊、惡意軟件造成的數(shù)據(jù)丟失、內(nèi)部人員的泄漏等。這些威脅和風(fēng)險(xiǎn)中，最有可能發(fā)生并造成嚴(yán)重后果的便是保密信息有意或意外的泄漏，一旦發(fā)生數(shù)據(jù)泄漏事件，企業(yè)不單要承擔(dān)保密數(shù)據(jù)本身價(jià)值的損失，嚴(yán)重的時(shí)候還會(huì)影響企業(yè)的聲譽(yù)和 公眾形象，并有可能面臨法律上的麻煩。 to prducewhismk,~4:AOqH()FortiGate 產(chǎn)品通過可以為企業(yè)提供完善的信息泄露防護(hù)解決方案，通過多種功能的綜合應(yīng)用，實(shí)現(xiàn)對(duì)企業(yè)信息的保護(hù)、審計(jì)，包括： ? 監(jiān)控和審計(jì) ? 數(shù)據(jù)歸檔 ? FortiDB – 監(jiān)控?cái)?shù)據(jù)庫(kù)的活動(dòng) ? 控制可能會(huì)發(fā)生數(shù)據(jù)泄露的通道 ? 通過應(yīng)用控制來阻斷和限制 P2P 和 IM的使用 ? 檢測(cè)和阻斷泄漏的數(shù)據(jù) ? 在 FortiGate上使用 DLP 傳感器 FortiGate 信息泄露防護(hù)功能，主要實(shí)現(xiàn)檢測(cè)及阻斷可能造成泄漏的數(shù)據(jù)，及對(duì)數(shù)據(jù)進(jìn)行歸檔。 信息通過 Web、電子郵件、 FTP、 NNTP、 IM及會(huì)話控 制等方式進(jìn)行傳輸進(jìn)，都可以被有效的控制和監(jiān)控。 FortiGate 數(shù)據(jù)泄漏防護(hù)對(duì)于電子郵件的檢查，包括主體、主題、發(fā)送方、接收方、 附件、郵件大小、是否加密等多種方式進(jìn)行檢測(cè)。 當(dāng)通過郵件或 HTTP 方式傳輸文件時(shí)， FortiGate可以檢測(cè) TXT、 Word、 PDF 的文本內(nèi)容，對(duì)其中有可能產(chǎn)生數(shù)據(jù)泄漏的內(nèi)容進(jìn)行控制。 to prducewhismk,~4:AOqH()51 當(dāng)發(fā)現(xiàn)有數(shù)據(jù)泄露行為時(shí)，可采取的處理動(dòng)作包括屏蔽、例外、封禁、隔離來源 IP 或接口等方式。 FortiGate 數(shù)據(jù)泄露防護(hù)功能還可以對(duì)內(nèi)容進(jìn)行歸檔功能，信息可以歸檔在本地硬盤 或FortiAnalyzer設(shè)備中，方便以后進(jìn)行提取、檢查。 廣域網(wǎng)優(yōu)化