【導(dǎo)讀】toprducewhismk,~"4:AO-qH(). UTM（統(tǒng)一威脅管理）。安全解決方案。toprducewhismk,~"4:AO-qH(). 目錄

　　

【正文】 網(wǎng)絡(luò)及應(yīng)用無關(guān)的特征被關(guān)閉，以免影響處理性能。 例如，內(nèi) 網(wǎng)需要保護的服務(wù)器為 IIS 及 Apache Web服務(wù)器，可以設(shè)置如下的 IPS 過濾器。 to prducewhismk,~4:AOqH() FortiGate 的 IPS 特征庫 內(nèi)置 3000 多種攻擊特征，并 自動通過 Inter 更新，確保用戶在第一時間實現(xiàn)對最新攻擊方式的防御。 to prducewhismk,~4:AOqH()41 除了系統(tǒng)自帶的入侵特征， FortiGate 也支持用戶自定義特征。 FortiGate 內(nèi)置的 IPS 還可以對 SYN flood、 ICMP flood 等 DoS/DDoS攻擊進行防御，對于每一種 DoS/DDoS攻擊行為，都可 以設(shè)置閾值，使策略符合實際網(wǎng)絡(luò)環(huán)境和應(yīng)用情況，降低誤報和漏報率 ， 并可以針對不同的源或目的 IP 地址的 TCP、 UDP、 ICMP會話數(shù)量進行限制。 to prducewhismk,~4:AOqH() VPN（虛擬專用網(wǎng)） Inter 應(yīng)用中，不可避免的要通過公用網(wǎng)絡(luò)來傳輸信息，其中就有可能包括機密信息。由于 Inter 是一個開放的、公用的網(wǎng)絡(luò)，黑客很容易通過在網(wǎng)絡(luò)設(shè)備上安裝網(wǎng)絡(luò)嗅包器（如Sniffer、 NIDS 等）中途竊取信息，造成泄密；黑客也可以偽裝成內(nèi)部用戶登錄到內(nèi)網(wǎng)中進行破壞活動，因此我們需要在網(wǎng)絡(luò)上配置一整套 VPN 體系，對通過 Inter 進行的遠(yuǎn)程訪問進行嚴(yán)格的認(rèn)證和加密，使 Inter 上的 VPN 成為 經(jīng)過加密和認(rèn)證的安全鏈路，保證各節(jié)點 之間 遠(yuǎn)程 訪問的安全。 采用 VPN 技術(shù)的目的是為了在不安全的信道上實現(xiàn)安全信息傳輸，保證企業(yè)內(nèi)部信息在 Inter 上傳輸時的機密性和完整性，同時使用鑒別對通過 Inter進行的數(shù)據(jù)傳輸進行確認(rèn)?？梢钥闯?，這是一種廣義的訪問控制，即通過加密實現(xiàn)的訪問控制（只有具有某種權(quán)力和知道密碼的主體才能訪問相應(yīng)的客體 ） 。 單獨的 VPN網(wǎng)關(guān)的主要功能是 IPSec數(shù)據(jù)包的加密 /解密處理和身份認(rèn)證，沒有很強的訪問控制功能（狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防 DoS攻擊等）。在獨立的防火墻和 VPN部署方式下，防火墻無法對 VPN的數(shù)據(jù)流量進行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成 VPN能提供一個靈活、高效、完整的安全方案 ,是當(dāng)前安全產(chǎn)品的發(fā)展趨勢。它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護 VPN網(wǎng)關(guān)免受 DoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管 to prducewhismk,~4:AOqH()43 理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此， VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。 FortiGate便是一個集防火墻、 VPN和應(yīng)用層過濾網(wǎng)關(guān)功能于一身的綜合安全網(wǎng)關(guān) ，可以提供各安全功能之間的完美聯(lián)動、良好的兼容性和性能。 FortiGate 的 VPN 功能支持 PPTP、 L2TP、 IPSec 和 SSL 四 種 VPN 協(xié)議，提供了前所未有的方便和靈活的選擇。對遠(yuǎn)程移動用戶或企業(yè)的出差用戶來說，既可以使用Windows98/2020/XP/2020 等系統(tǒng)自帶的 PPTP/L2TP撥號軟件， 也可以使用 IPSec 客戶端軟件 FortiClient和企業(yè)建立 VPN 的連接 ，還可以直接使用 IE 瀏覽器，通過 Web方式創(chuàng)建基于 SSL 的 VPN 隧道 。應(yīng)用 PPTP、 L2TP、 SSL 的好處是方便使用，不需 要附加的軟件。而用 IPSec 客戶端軟件的好處是高度的安全性保證，可以采用動態(tài)的密鑰保證數(shù)據(jù)的安全。在企業(yè)本地網(wǎng)絡(luò)和遠(yuǎn)程網(wǎng)絡(luò)之間可以采用 IPSec 協(xié)議來實現(xiàn) VPN 的連接和數(shù)據(jù)的高度安全控制。配置簡單靈活。 由于充分利用了專用的 ASIC 芯片技術(shù)，處理復(fù)雜的 VPN 加密和認(rèn)證過程，極大加快了 VPN 通道的建立速度和數(shù)據(jù)加 /解密的處理時間，達(dá)到了極高的 VPN 處理速度。 內(nèi)容處理器以獨特的設(shè)計方式， 解決了防火墻設(shè)備處理高速加密數(shù)據(jù)流的瓶頸問題，并通過簡單易用的 WEB 管理提供給用戶人性化的管理界面。高性能的 VPN 加密 處理 (DES， 3DES，AES， MD5， SHA1) 使企業(yè)可以充分利用 VPN 技術(shù)構(gòu)建自己的 Intra網(wǎng)絡(luò)，無須考慮設(shè)備處理速度的影響 ， 256 位的 AES 算法更提供了業(yè)界最高級別的安全防御體系，使企業(yè)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到企業(yè)內(nèi)部網(wǎng)絡(luò)安全擴展的目的。 而今，迅速發(fā)展的廣域網(wǎng)技術(shù)使公網(wǎng)的帶寬成倍的增長，同時又為企業(yè) VPN 網(wǎng)絡(luò)提供了廣闊的發(fā)展空間。 總部與分公司之間的 VPN通信 企業(yè) Intra 網(wǎng)絡(luò)建設(shè)的 VPN 連接方案， 利用 IPSec安全協(xié)議的 VPN 和加密能力，實現(xiàn)兩個或多個企業(yè)之間跨 越 Inter 的企業(yè)內(nèi)部網(wǎng)絡(luò)連接，實現(xiàn)了安全的企業(yè)內(nèi)部的數(shù)據(jù)通信。通過網(wǎng)關(guān)內(nèi)部策略控制體系對 VPN 的數(shù)據(jù)可以進行有效的控制和管理，使企業(yè)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴展性和管理性。 to prducewhismk,~4:AOqH()移動辦公的 VPN通信 對于移動的辦公室、出差用戶、及采用 ADSL 上網(wǎng)的分支辦公室， 網(wǎng)關(guān)都提供了完善的解決方案。特別支持 PPTP/L2TP/IPSec/SSL多種協(xié)議體系，對于用戶來講，配置和使用都非常方便。 下屬單位動態(tài)地址方式、移動辦公用戶、出差用戶和總部的 VPN 連接解決方案，如下圖示： 客戶端既可以使用 Windows 自帶的 PPTP/L2TP 撥號 VPN，實現(xiàn)簡單靈活的安全訪問 ；也可以使用 FortiClient 客戶端軟件進行高強度的 IPSec 通信， AES 加密算法可以實現(xiàn) 256位加密強度，極大的提高訪問的安全性。 FortiClient還內(nèi)置了單機防病毒、個人防火墻 、入侵防御、 Web 過濾、反垃圾郵件 以及 Windows 注冊表監(jiān)控功能，可以為移動辦公的計算機提供 全方位的保護，防止黑客、病毒入侵該計算機使之成為整個 網(wǎng)絡(luò)的突破口。 to prducewhismk,~4:AOqH()45 另外， FortiGate 還支持 SSL VPN，客戶端可以直接使用 IE 瀏覽器登錄 FortiGate VPN網(wǎng)關(guān)，提供更加方便的 VPN 通信方式。 to prducewhismk,~4:AOqH()NAT 環(huán)境下的 VPN 應(yīng)用 一項簡單易用的 NAT Traversal 技術(shù)，稱為 VPN 下的 NAT 穿越。應(yīng)用方式是在 NAT情況下， 保證遠(yuǎn)程 VPN 管理數(shù)據(jù)的正常應(yīng)用。 當(dāng)前在國內(nèi) IP 地址緊張的情況下 ,很多的分支企業(yè)都是通過服務(wù)商提供的私有網(wǎng)絡(luò)地址連接公網(wǎng)的，在服務(wù)商的網(wǎng)絡(luò)出口處統(tǒng)一進行地址轉(zhuǎn)換。這種情況下，當(dāng)企業(yè)總部需要對分支企業(yè)或分部進行統(tǒng)一的遠(yuǎn)程安全管理時，VPN 無法正常建立， PPTP、 IPSec 協(xié)議協(xié)商不能成功建立。 如果 VPN 產(chǎn)品能夠支持 NAT Traversal 技術(shù)，則可以忽略服務(wù)商的 NAT 過程，保證企業(yè)遠(yuǎn)程管理 VPN 的正常應(yīng)用。 在 VPN 設(shè)計中，網(wǎng)關(guān)可以支持雙向的 NAT 處理，使遠(yuǎn)程辦公室的主機以本地 IP 地址的方式出現(xiàn)，增強了網(wǎng)絡(luò)兼容性。 VPN 的策略控制設(shè)計，使管理員可以靈活控制使用 VPN通道的 IP 地址、服務(wù)、時間等參數(shù)，增強了 VPN安全控制。 利用 NAT Traversal技術(shù)，在兩個網(wǎng)關(guān)設(shè)備建立 VPN 的時候，中間任何的 NAT 轉(zhuǎn)換的發(fā)生都不會影響 VPN 的建立，完全解決了 NAT 情況下的 VPN 連接問題，對 VPN 設(shè)備的應(yīng)用具有深遠(yuǎn)的影響。同時各企業(yè)分部可 以統(tǒng)一在總部進行通道的交換，利用 HubandSpoke技術(shù)實現(xiàn)星型 VPN 的設(shè)計結(jié)構(gòu)，這樣及大減少了 VPN 通道的數(shù)量，降低了管理成本。 FortiGate 支持 DDNS（動態(tài)域名解析），對于 VPN 隧道兩端都是動態(tài) IP 地址的情況，也可以通過域名的方式互訪，很好的滿足這種網(wǎng)絡(luò)環(huán)境。 Web 內(nèi)容過濾 FortiGate 內(nèi)置 Web內(nèi)容過濾功能，可以通過 3種方式過濾 Inter 上的非法、有害的Web 內(nèi)容。 1） URL 地址： 只需要將不良網(wǎng)站的 URL 地址添加到過濾列表中，便可進行阻擋。例如：可以通過 FortiGate 阻擋 。 URL 過濾也支持地址模版，可以使用通配符批量過濾 URL 地址。 2） 不良關(guān)鍵字： 所有包含用戶自定義不良關(guān)鍵字（如“法輪功”）的網(wǎng)頁將被屏蔽。 to prducewhismk,~4:AOqH()47 3） 網(wǎng)頁分類： 可選的 FortiGuard 機制將 數(shù)十億 個網(wǎng)頁分成了 76 個類別（如政治、經(jīng)濟、色情、暴力等），用戶只需要在 FortiGate 上設(shè)置阻斷某一類站點（如色情、暴力類網(wǎng)站）便可批量屏蔽不良網(wǎng)站。 Forti公司的 FortiGuard團隊每日通過人工和自 動程序的方式來檢索新內(nèi)容并對Web 分類庫進行更新 ， 加入新的條目，刪除已關(guān)閉的網(wǎng)站，調(diào)整網(wǎng)頁的分類等。用戶使用的 FortiGate 會自動訪問 FortiGuard服務(wù)器來更新這些內(nèi)容，確保分類過濾的準(zhǔn)確性。 to prducewhismk,~4:AOqH() 對于可以信任的網(wǎng)站，如政府官方網(wǎng)站、大型門戶網(wǎng)站等，可以加入 FortiGate內(nèi)容過濾的白名單。 FortiGate 在進行內(nèi)容過濾時會對白名單里的 URL 地址直接放行。例如，雖然在關(guān)鍵字過濾中 過濾了“法輪功”這個詞，但是白名單里的網(wǎng)站中（如新華網(wǎng)）含有“法輪功”關(guān)鍵字的網(wǎng)頁 仍然可以被訪問，用戶能夠訪問到官方網(wǎng)站發(fā)布的揭批法輪功的文章。 FortiGate 還具有有害腳本的過濾功能，能保護網(wǎng)絡(luò)不受有害腳本（如 Java、 ActiveX等）的侵襲。 應(yīng)用控制 連接 Inter 的辦公網(wǎng)中，有很多與工作無關(guān)的應(yīng)用。其中一些應(yīng)用不但會影響到員工的工作效率，還能帶來一些其它危害，比如 MSN、 、 ICQ、 Yahoo 等 IM軟件可能導(dǎo)致工作效率下降和安全威脅（病毒、木馬等）； P2P軟件 的應(yīng)用會大量占用寬帶，甚至?xí)斐善髽I(yè) 網(wǎng)絡(luò)出口的堵塞，嚴(yán)重影響正常的工作；另外還有游戲、炒股等應(yīng)用， 因此需要對 這些應(yīng)用 進行控制，但這些軟件通常都通過 HTTP（ TCP80）端口 或動態(tài)端口 進行傳輸，無法使用防火墻規(guī)則進行限制。 FortiGate的應(yīng)用控制功能可以 不通過檢查 TCP/IP 端口也能夠探測應(yīng)用 ， 對應(yīng)用進行細(xì)粒度的控制 ， 動作包括阻斷、通過、流量整形和用戶控制 ； 可以阻斷 FTP 特定的 PUT命令 ；可以阻斷 IM的文件傳輸 ； 可以檢測 IM用戶傳送惡意的文件 ；可 以對 IM消息進行歸檔 等等，目前支持 18類，超過 1000 種應(yīng)用。 to prducewhismk,~4:AOqH()49 對于 BT、電驢等 P2P應(yīng)用， FortiGate設(shè)備除了能進行阻擋外，還可通過應(yīng)用寬帶管理策略，進行流量的限制。 信息泄露防護 信息在企業(yè)業(yè)務(wù)中扮演著重要的角色，因此我們可以認(rèn)為信息也是一種資產(chǎn)，并稱之為信息資產(chǎn)。信息資產(chǎn)盡管是無形的，但由于它包含了大量的業(yè)務(wù)數(shù)據(jù)、客戶信息、商業(yè)秘密等對企業(yè)的業(yè)務(wù)乃至存亡密切相關(guān)的內(nèi)容，所以信息資產(chǎn)也面臨大量的威脅和風(fēng)險，包括有意或無意的銷毀、黑客攻擊、惡意軟件造成的數(shù)據(jù)丟失、內(nèi)部人員的泄漏等。這些威脅和風(fēng)險中，最有可能發(fā)生并造成嚴(yán)重后果的便是保密信息有意或意外的泄漏，一旦發(fā)生數(shù)據(jù)泄漏事件，企業(yè)不單要承擔(dān)保密數(shù)據(jù)本身價值的損失，嚴(yán)重的時候還會影響企業(yè)的聲譽和 公眾形象，并有可能面臨法律上的麻煩。 to prducewhismk,~4:AOqH()FortiGate 產(chǎn)品通過可以為企業(yè)提供完善的信息泄露防護解決方案，通過多種功能的綜合應(yīng)用，實現(xiàn)對企業(yè)信息的保護、審計，包括： ? 監(jiān)控和審計 ? 數(shù)據(jù)歸檔 ? FortiDB – 監(jiān)控數(shù)據(jù)庫的活動 ? 控制可能會發(fā)生數(shù)據(jù)泄露的通道 ? 通過應(yīng)用控制來阻斷和限制 P2P 和 IM的使用 ? 檢測和阻斷泄漏的數(shù)據(jù) ? 在 FortiGate上使用 DLP 傳感器 FortiGate 信息泄露防護功能，主要實現(xiàn)檢測及阻斷可能造成泄漏的數(shù)據(jù)，及對數(shù)據(jù)進行歸檔。 信息通過 Web、電子郵件、 FTP、 NNTP、 IM及會話控 制等方式進行傳輸進，都可以被有效的控制和監(jiān)控。 FortiGate 數(shù)據(jù)泄漏防護對于電子郵件的檢查，包括主體、主題、發(fā)送方、接收方、 附件、郵件大小、是否加密等多種方式進行檢測。 當(dāng)通過郵件或 HTTP 方式傳輸文件時， FortiGate可以檢測 TXT、 Word、 PDF 的文本內(nèi)容，對其中有可能產(chǎn)生數(shù)據(jù)泄漏的內(nèi)容進行控制。 to prducewhismk,~4:AOqH()51 當(dāng)發(fā)現(xiàn)有數(shù)據(jù)泄露行為時，可采取的處理動作包括屏蔽、例外、封禁、隔離來源 IP 或接口等方式。 FortiGate 數(shù)據(jù)泄露防護功能還可以對內(nèi)容進行歸檔功能，信息可以歸檔在本地硬盤 或FortiAnalyzer設(shè)備中，方便以后進行提取、檢查。 廣域網(wǎng)優(yōu)化