【正文】 信息經(jīng)過這個 “ 專用的檢查模塊 ” 檢查之后，記錄在動態(tài) 會話 表中，以便對其后的數(shù)據(jù)包通訊進(jìn)行安全評估。 Forti 的狀態(tài)會話 表 FortiGate 是符合工業(yè)標(biāo)準(zhǔn)的狀態(tài)檢測防火墻，并且獲得著名的 ICSA 的防火墻的認(rèn)證： FortiGate 不僅僅實現(xiàn)了狀態(tài)檢測，而且還為數(shù)據(jù)包的會話提供了監(jiān)控工具。 另外， Forti 在會話表上附加了查詢工具，用戶可以根據(jù)源地址、源端口、目標(biāo)地址、 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 13 頁 共 72 頁 目標(biāo)端口來查詢符合條件的會話。 圖 會話表 狀態(tài)檢測要 求數(shù)據(jù)包從防火墻流出，而且還要從該防火墻流入。如圖非狀態(tài)檢測拓?fù)渌荆?NAT Firewall 表示的是FortiGate 防火墻， Client B 訪問 web server，所發(fā)出第一個數(shù)據(jù)包需要經(jīng)過 FortiGate 防火墻的路由，而后面的數(shù)據(jù)包確實不再經(jīng)過防火墻。 對于有特殊需求的網(wǎng)絡(luò)， FortiGate 防火墻提供了關(guān)閉狀態(tài)檢測的功能，其命令如下： config system global set asymroute enable end 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 14 頁 共 72 頁 圖 非狀態(tài)檢測拓?fù)? 會話失效時間 對于每一個 TCP 連接，防火墻都為其保存一個會話狀態(tài)在會話表中。如果該應(yīng)用需要通信的話，那么就需要重新發(fā)起連接，從用戶角度來看，就需要其參與輸入密碼等類似的工作。 為此， FortiGate 防火墻給出了自己的解決方案 —— 延長會話時間。也可以為單獨的某些特殊的服務(wù)修改會話保存時間。 NAT 由以下兩個步驟完成：原有地址被轉(zhuǎn)換成所影射的地址，然后再把返回的數(shù)據(jù)包進(jìn)行地址還原。 NAT 的優(yōu)點在于： ? 可以在內(nèi)部網(wǎng)絡(luò)使用私網(wǎng)地址。 ? NAT 把真實的 IP 隱藏起來，攻擊者就無法知道主機(jī)的真實地址。 Forti 可以實現(xiàn)多種 NAT： ? 動態(tài) NAT ? PAT ? 靜態(tài) NAT ? 靜態(tài) PAT ? 策略 NAT 動態(tài) NAT 動態(tài) NAT 把一組原 IP 地址翻譯成可以在目標(biāo)網(wǎng)絡(luò)路由的映射地址池。在動態(tài) NAT 進(jìn)行地址翻譯的時候，對端口不做改變，直修改IP 地址。 該對應(yīng)僅僅是在該會話有效的時候存在，當(dāng)會話失效后，對應(yīng)就消失了。但是對于外網(wǎng)的機(jī)器來說 是不可見的。這里要有三選項要畫勾，一個是“ NAT”，二是“ Dynamic IP Pool”，三是“ Fixed Port”。在地址轉(zhuǎn)換的過程中，將原地址和原端口轉(zhuǎn)換成映射的地址和大于 1024 以上的端口。比如說， :1025 和 :1026需要不同的轉(zhuǎn)換過程。 在 FortiGate 上配置 PAT 的時候，缺省是翻譯為 FortiGate 接口的 IP 地址。 圖 PAT 靜態(tài) NAT 靜態(tài) NAT 是將原地址固定地翻譯為映射地址。而靜態(tài) NAT 是固定的翻譯，所以目標(biāo)網(wǎng)絡(luò)可以訪問原網(wǎng)絡(luò)。指定原 IP 和翻譯后 IP，來實現(xiàn)映射IP 和原 IP 的一一對應(yīng)。靜態(tài) PAT 不僅可以實現(xiàn)地址與地址之間的映射，而且也可以實現(xiàn)一個地址的不同端口對應(yīng)多個不同地址的端口。 圖 靜態(tài) PAT 防火墻策略與 NAT、 PAT FortiGate 可以實現(xiàn)對 NAT、 PAT 細(xì)粒度的控制： 哪些地址需要進(jìn)行 NAT、 PAT 什么時間段內(nèi)進(jìn)行 NAT、 PAT 目標(biāo)地址為多少的時候進(jìn)行 NAT、 PAT 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 19 頁 共 72 頁 哪些服務(wù)要做 NAT、 PAT 防火墻的什么端口到什么端口之間進(jìn)行 NAT、 PAT 具體的設(shè)置見圖防火墻策略與 NAT。FortiGate 安全策略完全包括了以下所有選項： ? 基于策略的反病毒和 Web 內(nèi)容過濾 ? 通過網(wǎng)絡(luò)分段和細(xì)粒度的策略到達(dá)多個區(qū)域 ? 控制輸入、輸出流量 ? 對所有策略選項支持阻止、允許、加密、認(rèn)證訪問 ? 基于時間的策略控制 ? 接收或拒絕單個地址到達(dá)或發(fā)送的流量 ? 控制個別組標(biāo)準(zhǔn)的和用戶自定義的網(wǎng)絡(luò)服務(wù) ? 對用戶授權(quán)認(rèn)證，支持基于用戶的策略控制 ? 對每個策略可以進(jìn)行基本帶寬、保障帶寬以及優(yōu)先級設(shè)置的流量控制 ? 支持動態(tài) IP 地址池，允許配置使用地址池的 NAT 靈活策略 ? 基于策略的日志記錄 防火墻的配置如圖防火墻策略制定流程所示，如果我們要啟動防病毒功能的話，那么要 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 20 頁 共 72 頁 首先設(shè)置防病毒的屬性，然后在保護(hù)內(nèi)容表中定義防病毒的內(nèi)容表，最后在防火墻策略中應(yīng)用。 由于 FortiGate 采用了從定義某項功能到防火墻策略引用這樣的過程，使整個防火墻的配置變得清晰明了。定義 地址的界面如圖地址與地址組所示。 指定一個范圍 比如說 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 21 頁 共 72 頁 匹配方式 比如說 .* 圖 地址與地址組 地址組可以把若干個定義的地址范圍組成組，以方便防火墻策略調(diào)用。 圖 循環(huán)時間表 保護(hù)內(nèi)容表 FortiGate 的保護(hù)內(nèi)容表是將防病毒、入侵檢測、 Web 過濾，反垃圾郵件這些功能糅合在一起，方便防火墻策略調(diào)用的手段，定義保護(hù)內(nèi)容表如圖保護(hù)內(nèi)容表所示。通過該功能我們可以控制某些 IP 或某些服務(wù)所產(chǎn)生的流量。 FortiGate 實現(xiàn)流量控制是通過三個參數(shù)來實現(xiàn)的： 基本帶寬：優(yōu)先保障其接入最基本的帶寬。 優(yōu)先級：通過設(shè)置優(yōu)先級來確認(rèn)流量的優(yōu)先層次。如果 512k 全速工作的話，那么 20 個點就可以占用了 10M 帶寬。我們就可以限制 每一個分支機(jī)構(gòu)流量基本帶寬是 50k，最大帶寬是 200k。這樣就能夠有效地避免因為病毒或者惡意行為導(dǎo)致的某些點占據(jù) 10M 帶寬。除了防火墻自身提供的流量控制以外，還提供對 Diffserv 的支持，也就是所謂的“差分服務(wù)”。 FortiGate 是采用專用的 ASIC 芯片實現(xiàn)的病毒，比其他殺毒廠商推出的工控機(jī)加殺毒軟件的模式比較，殺毒的效率高和速度快。 病毒掃描無疑是對病毒處理的， Forti 支持對病毒體的隔離，和向用戶報警。病毒通知信息是可以用戶自己定義的。 圖 HTTP 的病毒告警 圖 保護(hù)內(nèi)容表 從保護(hù)內(nèi)容表中，我們可以選擇所需要在哪些協(xié)議中掃描病毒，然后所定義的保護(hù)內(nèi)容表為防火墻策略所調(diào)用。 灰 色軟件的處理方式與病毒一樣，如果啟動對灰色軟件的掃描，那么防火墻就會將灰色軟件視做病毒，也就是說在保護(hù)內(nèi) 容表中沒有灰色軟件的單獨選項。這些軟件通常是在沒有得到允許的情況下安裝和執(zhí)行的。很多灰色軟件的最終目標(biāo)是跟蹤網(wǎng)站訪問者來獲得搜索結(jié)果，以達(dá)到更好的銷售。 圖 文件隔離 文件隔離相對病毒來說是獨立的，是可以在保護(hù)內(nèi)容表中選擇，啟動還是不啟動。 圖 保護(hù)內(nèi)容表與 Web 過濾 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 26 頁 共 72 頁 如圖保護(hù)內(nèi)容表與 Web 過濾所示， web 過濾也是通過保護(hù)內(nèi)容表來與防火墻策略聯(lián)系在一起的。禁止訪問某個具體的網(wǎng)站，可以通過自定義 URL 或關(guān)鍵詞方式，禁止訪問某一類的網(wǎng)站需要通過 web 分類方式。 新建一個保護(hù)內(nèi)容表“ new”，在 Web 過濾中，選擇“地址屏蔽”。 反垃圾郵件 FortiGate 的反垃圾郵件功能也是非常強(qiáng)大的，支持黑白名單、 IP 地址、 MIME 報頭檢查、 FortiGuard 服務(wù)等。 圖 反垃圾郵件 入侵檢測與阻斷 FortiGate防火墻內(nèi)置 基于 ASIC的 入侵偵測 /阻斷功能。FortiGate 使用攻擊特征庫來識別超過 1300 種的攻擊。 Forti IDS/IDP 可以檢測并阻斷多種類型攻擊，例如 DoS/DDoS（拒絕服務(wù) /分布式拒絕服務(wù)）攻擊（包括 Smurf flood， TCP SYN flood, UDP flood 和 ICMP flood， Ping of Death， Tear drop 等 ）。 FortiGate 內(nèi)置的 IPS 模塊更可以直接對 1300 種以上的網(wǎng)絡(luò)入侵行為之間進(jìn)行阻斷，不給黑客以任何可乘之機(jī)。 FortiGate 的入侵檢測與阻斷分為兩種： 根據(jù)特征值的。 FortiGate 有 1300 多種特征值，而且 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 27 頁 共 72 頁 這個數(shù)量因為升級而不斷地增加。該方法是發(fā)現(xiàn)某類數(shù)據(jù)包在一段時間內(nèi)數(shù)量或者包長度等超過了正常值，然后采用相應(yīng)的手段予以處理。比如說，如果網(wǎng)絡(luò)中 Ping 的數(shù)據(jù)包超過一定數(shù)量的話，則予以阻斷。 統(tǒng)計異常 上圖給出了統(tǒng)計異常的列表，我們下面列舉其中幾類攻擊以供參 考： icmp_src_session 根據(jù)每臺計算機(jī)的發(fā)出 ping 包總數(shù)來判斷是否阻斷該的 ping 包。而有該功能即能控制無用數(shù)據(jù)包的數(shù)量，又能夠保障該工具的使用。感染了病毒的計算機(jī)的 TCP 會話往往大量地增加，該功能能有效地防止網(wǎng)絡(luò)的阻塞。 FortiGate 不僅可以阻斷 DDoS 攻擊，而且在一定量的攻擊背景下，仍夠讓正常通信通過。 某公司網(wǎng)絡(luò)安全項目解決方案 電話： (010)82512622 傳真： (010)82512630 北京市海淀區(qū)中關(guān)村南大街 2 號數(shù)碼大廈 B 座 903 室（ 100086） 第 28 頁 共 72 頁 圖 DoS 攻擊 如圖 DoS 攻擊所示，攻擊者發(fā)起對 HTTP 服務(wù)器的攻擊， FortiGate 阻斷該攻擊，但是其他的訪問者依舊可以訪問該服務(wù)器，至于其它服務(wù)器的訪問也同樣受到保護(hù)。 IPS 卻通常部署于線路之上，不僅僅 發(fā)現(xiàn)問題，而且還通過多種方式阻斷可能的攻擊。其中我們最常用的有 IM 和 P2P。 IPS 的實質(zhì)是根據(jù)傳輸?shù)臄?shù)據(jù)包的內(nèi)容來判斷其行為，然后采用某種動作來實現(xiàn)網(wǎng)絡(luò)管理員的目的。