【正文】 目的建議書中提供在保修期滿后的售后服務(wù)流程，技術(shù)服務(wù)內(nèi)容和分項報價清單。 (8)供貨方應在建議書中提出在免費保修期之后的故障設(shè)備返修流程，包括返修時間，替用設(shè)備以及返修價格，并保證設(shè)備使用的軟件可獲得終身的免費升 23 級。 保證設(shè)備使用的軟件可獲得終身的免費升級。 應答：技術(shù)指導和技術(shù)支持主要包括： ? 日常管理操作 ? 排錯操作 ? 確定故障操作 ? 更換配置操作 ? 更換硬件操作 ? 恢復故障操作 (10) 對由于供貨方因彌補自身設(shè)備的軟件缺陷而要求東方有線升級所造成的硬件投資浪費或新增硬件投資，應由供貨方全部負責。 (11) 在設(shè)備安裝和調(diào)試期間，東方有線有權(quán)派出技術(shù)人員全程參加，供貨方有義務(wù)對其進行技術(shù)指導。在合同簽訂完成后的適當時候，將召開一個雙方參加的工程聯(lián)絡(luò)會，檢查在技術(shù)配合、雙方執(zhí)行合同方面的進展情況，并解決預料之外問題。 24 第六章 FortiGate 核心技術(shù)與產(chǎn)品特點 1. Forti的高級安全檢測技術(shù) 作為 UTM 安全設(shè)備的領(lǐng)導廠商， Forti 公司的 FortiGate 安全平臺通過動態(tài)威脅防御技術(shù)、高級啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測能力。 ? 可實時更新病毒和攻擊特征的網(wǎng)關(guān)防病毒。 ? VPN（ PPTP、 L2TP、 IPSec 和 SSL VPN）。 ? Web 內(nèi)容過濾具有用戶可定義的過濾 器和全自動的 FortiGuard 過濾服務(wù)。 ? 用戶認證，防止非授權(quán)的網(wǎng)絡(luò)訪問。 ? ASIC 加速提供比基于 PC 工控機的安全方案高出數(shù)倍的性能。 ? 完整的系列支持服務(wù)，包括日志和報告生成器、客戶端安全組件。它們使用一些巧妙的手段能繞過傳統(tǒng)的防火墻、 IDS 和防病毒系統(tǒng)。與其它單純檢查包頭或 ―深度包檢測 ‖的安全技術(shù)不同， Forti的 CCI 技術(shù)重組文件和會話信息，以提供強大的掃描和檢測能力。為了補償先進檢測技術(shù)帶來的性能延遲， Forti使用 FortiASIC 芯片來為特征掃描、加密 /解密和 SSL 等功能提供硬件加速。通過一些很巧妙的設(shè)計， FortiASIC 總能幫助用戶在威脅到達之前 25 完成更新，而不會停留在過期的階段。 Forti 的完全內(nèi)容檢測和重組技術(shù)與業(yè)界第一個硬件加速檢測引擎（ FortiASIC 和 CPRL 語言）一起，提供了當今最先進的 ASIC 加速安全產(chǎn)品。動態(tài)威脅防御系統(tǒng)從 Forti 的防病毒、 IDS、 IPS 和防火墻模塊中進行攻擊信息的關(guān)聯(lián)。 Forti 的 DTPS 技術(shù)使每一個安全功能之 間可以互相通信，并關(guān)聯(lián) ―威脅索引 ‖信息，以識別可疑的惡 意流量，這些流量可能還未被提取攻擊特征。 為了使性能達到最佳，所有會話流量首先被 每一個安全和檢測引擎使用已知特征進行分析。如果發(fā)現(xiàn)了特征的匹配， DTPS 按照 在行為策略中定義的規(guī)則來處理有害流量 ——丟棄、重置 客戶端、重置服務(wù)器、中止會話等。這就保證了基于最新特征的威脅 會被識別出來，并被快速阻擋。通過使用最新的啟發(fā)式掃描技術(shù)、異常檢測技術(shù)和動態(tài)威脅防御系統(tǒng)， FortiGate 安全平臺大大提高了對已知和未知威脅的防御能力。 ? 先進的啟發(fā)式和異常檢測 為了針對未知的威脅和有害流量的檢測與防護， Forti 將多個前沿的檢測技術(shù)組合在一起，提供了啟發(fā)式 掃描和異常檢測。當異常檢測被 IDS 和 IPS 檢測引擎使用時，通過高級技術(shù)和基于特征的技術(shù)相結(jié)合，對于使用 IP 碎片和協(xié)議受控方法攻擊的檢測能力就大大增強了。檢測未知病毒是通過復雜的啟發(fā)式掃描技術(shù)來進行的，這些技術(shù)需要用到文件頭和實際的包內(nèi)容來完成。根據(jù)所識別的文件類型，防病毒引擎會調(diào)用專門為這種文件類型開發(fā)的掃描技術(shù)，如 Microsoft Office 文件、宏文件、可執(zhí)行文件和壓縮文件等。靜態(tài)蠕蟲檢測是針對文件類型和文件特征（如大小、 CRC 校驗值等）進行的，通過特征匹配技術(shù)快速識別已知的蠕蟲。 文件類型分析模塊對已知的文件類型進行專門的掃描。每個文件類型檢測引擎會使用專門的規(guī)則和策略來檢測與文件類型相關(guān)的已知威脅。這一模塊利用 Forti 的緊湊模式識別語言（ CPRL）和 FortiASIC芯片，以硬件加速的優(yōu)勢，用上萬個已知的特征，以不可思議的快速掃描文件流中的已知威脅。 在特征檢查之后，如果啟發(fā)式檢測被啟用，文件流就會通過啟發(fā)式檢測模塊。對每一次測試，啟發(fā)式檢測引擎會基于文件類型的規(guī)則對威脅進行可能性評估。 通過調(diào)整動態(tài)威脅防御系統(tǒng)所有的掃描和檢測功能，客戶對已知和未知威脅的攻擊可確保最高的檢測率。通過分別運用 6 個完全內(nèi)容重組和關(guān)聯(lián)的檢測過程和動態(tài)威脅防御系統(tǒng)，詳細地會話信息被跟蹤和分析，以檢測出最先進的威脅和未知的 ―零小時 ‖（ zerohour）攻擊。 狀態(tài)檢測引擎是設(shè)計為跟蹤每一個經(jīng)過 Forti 安全平臺的會話的所有通信層 ——包括基于連接和非基于連接的協(xié)議。 內(nèi)容重組模塊重組所有的數(shù)據(jù)包，以保證包能以正確的順序排列。 通信協(xié)議檢測引擎保證協(xié)議確實是有效的，包括 TCP、 UDP、 ICMP 等。 應用協(xié)議檢測引擎確保協(xié)議頭符合合法的語法和語義。合法的應用如 Tel、 FTP、 HTTP、 SMTP、 POP3 等的一致性被檢查，而有害應用如 BackOrifice、 SubSeven、TFN2K 等被識別出來，并在它們可能對網(wǎng)絡(luò)造成危害之前被阻擋。內(nèi)容檢測模塊使用復雜的評估系統(tǒng)和會話行為模板來進行深度包分析，并在應用內(nèi)容類型 之間加以區(qū)別，以確保對每一個會話流量的最大檢測能力。通過將雙向會話信息的關(guān)聯(lián)、數(shù)據(jù)信息、通道信息、控制信息、活動會話和僵尸會話信息匯集到一起進行分析。 動態(tài)威脅防御系統(tǒng)將各種檢測過程關(guān)聯(lián)在一起，可以很好的檢測各種已知和未知的攻擊。 可擴展的靈活的安全 28 當不少公 司還在將多個廠商的技術(shù)組合在一起構(gòu)成統(tǒng)一威脅管理產(chǎn)品時， Forti 公司從 2020 年開始意識到這一先進的安全設(shè)備的需求，并根據(jù)這一理念創(chuàng)造了網(wǎng)絡(luò)安全平臺。 Forti 能夠基于狀態(tài)檢測、防病毒、間諜軟件、 IDS、 IPS、反垃圾郵件、 Web 內(nèi)容過濾、帶寬管理等技術(shù)來過濾網(wǎng)絡(luò)流量，提供了對抗最新社會工程陷阱和混合型威脅的更高的安全層次。Forti 的全系列 FortiGate 安全平臺、日志和報告系統(tǒng)、實時 Web 內(nèi)容過濾和反垃圾郵件模塊提供了一個完整的深層次的安全解決方案，能保障各種規(guī)模的有線和無線網(wǎng)絡(luò)的安全。 FortiGuard網(wǎng)絡(luò)在全球現(xiàn)有數(shù)十個安全和冗余的數(shù)據(jù)中心，一旦新的特征出現(xiàn)并可以更新時，會快速的進行主動和 推送式的更新，通常在 FortiGuard 網(wǎng)絡(luò)上發(fā)布更新信息后 5 分鐘內(nèi)便可進行。上百種預先定制好的報表能詳細的反映行為信息和安全警報。對于那些有多個 Forti 安全設(shè)備需要管理的客戶， Forti 公司的 FortiManager 提供統(tǒng)一集中管理，可對上千臺 Forti 設(shè)備進行快速處理。要安全還是要性能，是一個兩難的選擇，以前很多企業(yè)也正是因為考慮了性能問題，而不愿意使用 UTM的解決方案。硬件技術(shù)革新突破了 UTM性能的瓶頸，為這種多功能的安全解決方案的廣泛應用鋪平了道路。路由器，最初稱之 為網(wǎng)關(guān)，最早就是標準計算機的軟件程序，它可以實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。這種從軟件轉(zhuǎn)向?qū)Ｓ糜布艽蟪潭壬鲜怯蓪Ω咝阅艿男枨笏苿拥摹７阑饓夹g(shù)本身是由路由器技術(shù)演變出來的，它由最初的實現(xiàn)路由器的包過濾功能，然后進化出較為復雜的狀態(tài)檢測功能，最后變成全應用層的檢測。 如上 所述，歷史證明了由于性能和功能的增加導致軟件變成專用的硬件。 UTM 技術(shù)的演進 自從出現(xiàn)了 UTM 這個概念后，兩種不同的思路影響著其發(fā)展。比如，防火墻功能采用某家廠商的軟件， IPS 采用另外一家的軟件，然后再由一家廠家將其結(jié)合起來。更有甚至，有些 UTM的管理界面都是不同產(chǎn)品管理界面拼湊在一起的。相比較而言，明顯第二種思路在技術(shù)上更為復雜，而且出于市場考慮，其融合的每一單項功能都必 30 須能夠滿足實現(xiàn)單一功能的產(chǎn)品所能達到的標準。采用這種思路設(shè)計的產(chǎn)品的管理界面自然地將多種功能糅合在一起。采用多種不同廠家技術(shù)的 UTM供貨商放棄了對高端市場的追 求，因為由于版權(quán)問題它們無法對其他廠家的軟件代碼進行深度開發(fā)，從而向硬件化的方向發(fā)展。它們擁有所有源代碼，可以根據(jù)自己需要隨意修改和優(yōu)化，從而為提高性能打開了大門。 但是，更為顯著地提高 UTM 性能的技術(shù)，是對安全檢測進行硬件加速的技術(shù)。硬件專家發(fā)現(xiàn)用專用芯片來處理 OSI 模型中的應用層會導致 UTM性能的 幾何級增長。采用多種軟件混合的解決方案是無法充分地利用硬件平臺的加速功能，只能增加或減少現(xiàn)有的軟件模塊。 構(gòu)建高性能的 UTM UTM設(shè)備是由很多組件構(gòu)成的，其中對于高性能 UTM平臺來說有三個最主要的組成部分：專用的硬件、專用的軟件和內(nèi)容層的安全體系。 ? 專用的硬件 內(nèi)容處理器和網(wǎng)絡(luò)處理器這兩種專用的硬件對于解決 UTM 性能問題很重要。 CPU 和專用處理器一起工作的形式與人的大腦和脊柱以及周圍神經(jīng)系統(tǒng)協(xié)同工作來執(zhí)行一個動作的情況類似。內(nèi)存中的待檢測對象可以是數(shù)據(jù)包、文件（包括壓縮文件）等。 內(nèi)容處理器并不直接接收數(shù)據(jù)，它不 31 串接在網(wǎng)絡(luò)接口后面，而是通過接受 CPU 的指令，處理內(nèi)容，尋找威脅。有些人有誤解，以為 ASIC 是 ―靜態(tài) ‖安全檢測，不能檢測新的威脅。 內(nèi)容處理器還能包括加密引擎，它使得 CPU 不用進行高強度的加密解密計算。內(nèi)容處理器很適合完成這個工作，它可以大大提高系統(tǒng)的 VPN 性能。這種處理器一般是以在線的方式放置在 CPU 和網(wǎng)絡(luò)接口之間，直接接收網(wǎng)絡(luò)流量并自動執(zhí)行某些操作，通過網(wǎng)絡(luò)處理器的工作，可以減輕系統(tǒng)其他部分的負載，圖 5 說明了使用網(wǎng)絡(luò)處理器的系統(tǒng)的架構(gòu)。 新一代的網(wǎng)絡(luò)處理器 也 能進行安全檢測并且予以處理。某些網(wǎng)絡(luò)處理器還可以編程以加載 當前的防火墻和 IPS 策略來對流量進行過濾 ，在接口 級 過濾異常流量和轉(zhuǎn)發(fā)對延時敏感的數(shù)據(jù)包 ，卻不需要 CPU 的參與 。 高級的網(wǎng)絡(luò)處理器，具有內(nèi)置的安全功能，以線速實現(xiàn)防火墻的 功能，可以實現(xiàn)千兆小包（ 64bit）線速，延遲非常低，網(wǎng)絡(luò)處理器也可以實現(xiàn)差不多高的 IPSec VPN 性能。 32 使用網(wǎng)絡(luò)處理器的 UTM架構(gòu) ? 專用的軟件 如前面所述，整合硬件和軟件提高性能需要對軟件進行專門的編程。沒有進行整合，則所有任務(wù)都會運行在 CPU上。更令人不愉快的是，在 數(shù)據(jù)處理流程上還存在大量的重復性處理過程，導致性能大幅度地下降。比如，如果防火墻模塊保持了狀態(tài)監(jiān)測的信息，那么在 IPS 模塊里就沒有必要再次重復 類似的工作。 它把大量復雜的內(nèi)容檢測計算交給 專用 處理器處理，把 CPU 解放出來做更為有效率的工作，實現(xiàn)更多的安全功能。 為了跟上 這種變化，我們需要 開發(fā)和維護一整套的攻擊檢測技術(shù)。 當 UTM成為 唯一的安全工具時，就可以避免各類安全產(chǎn)品之間的相互傾軋， 讓 UTM中的最為有效的工具發(fā)揮作用以最快的速度消除攻擊。 從研發(fā)角度來講，單一廠商的解決方案更有利于研發(fā) 人員 通