fortinetutm方案模版

fortinetutm方案模版内容摘要：

供先进的安全检测， 越来越多的信息安全 公司开发出了新一代安全平台。 IDC 将这类新的安全平台命名为统一威胁管理（ UTM）设备，它集成了多种安全功能，以提高安全系统的效能。 通过将状态检测防火墙、 VPN、网关防病毒和 IPS 功能集成到一个安全设备里， UTM 提高了检测率，并提供了比单一功能安全设备更好的阻挡能力。 UTM 安全系统的其它优点包括：  通过为多种安全功能提供一个统一的管理平台，降低了设备的复杂性，加快了安装速度。  与购买和使用多个单一功能的单点安全系统相比，降低了总体拥有成本 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 12 （ TCO）。 随着网络安全对于消费者和商家都同样变得越来越重要， IDC 预测， UTM 设备的销量将在未来几年内超过传统防火墙 /VPN 安全设备。 下表 描述了 IDC对于未来几年具备多种安全功能的 UTM设备和单一功能安全设备发展预测的对比。 IDC 全球安全设备市场预测， 20202020（百万美元） 来源： IDC, 2020 表： IDC 的 UTM 增长预测 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 13 第二章 ******需求分析 根据实际情况书写，并附上网络拓扑图，此处略。 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 14 第三章 Forti UTM 安全解决方案 根据对网络安全现状及用户需求的分析，我们推荐 Forti 公司的 UTM安全解决方案。 作为 UTM安全设备的领导厂商， Forti 公司的 FortiGate 安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。 Forti 公司的FortiGate 提供以下功能和好处：  集成关键安全组件的状态检测防火墙。  可实时更新病毒和攻击特征的网关防 病毒。  IDS 和 IPS 预置 1400 个以上的攻击特征，并提供用户定制特征的机制。  VPN（目前支持 PPTP、 L2TP 和 IPSec， SSL VPN 也将很快推出）。  反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（ RBL）等。  Web 内容过滤具有用户可定义的过滤器和全自动的 FortiGuard 过滤服务。  带宽管理防止带宽滥用。  用户认证，防止非授权的网络访问。  动态威胁防御提供先进的威胁关联技术。  ASIC 加速提供比基于 PC 工控机的安全方案高出 46 倍的性能。  加固的操作系统，不含第三方组件，保 证了物理上的安全。  完整的系列支持服务，包括日志和报告生成器、客户端安全组件。 1 网络构架 FortiGate 系列防火墙支持 路由（ NAT） 模式、 透明 模式和混合模式三种工作模式。 可以很好的适应各种网络环境。 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 15 路由 （ NAT） 模式 如果需要用 FortiGate 连接不同 IP 地址段， 则 将 FortiGate 置于路由工作模式。 如上图所示，内网使用的是 ，而外网使用的是 接 Inter。 此时由于内外网络不在同一 IP 地址段，因此需将 FortiGate 设置为路由模式。 此时 FortiGate工作在第三层，相当于一台路由器，连接不同的 IP 地址段。 使 和。 在路由（ NAT）模式下， FortiGate的每一个接口都有一个 IP 地址，分别对应不同的网段。 每个接口都支持不同的地址模式，既可以是静态 IP，也可以通过 DHCP 服务器获得动态 IP，还能通过 PPPOE 拨号获取 IP 地址，可以很好的 支持 LAN、 ADSL等 多种 网络接入方式。 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 16 FortiGate 在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到 RIP、 OSPF、 BGP 路由运算中 ，而非仅仅让动态路由协议穿越 ）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关） ，可以满足多种网络环境的要求。 FortiGate 还可以很好的支持双网关的网络环境。 如下图所示， 内网使用 ISP ISP2两条链路接入 Inter。 使用 FortiGate 可以实现两条链路的 冗余。 通常情况下对 Inter的访问请求都通过带宽较高的 ISP1 链路进行，当 ISP1 链路出现故障中断时， FortiGate会自动将所有的访问请求切换到 ISP2 链路，保证网络的不间断运行。 在 路由（ NAT）模式下， FortiGate可以实现双向 NAT（网络地址转换）和 PAT（端口转换） ，包括 1： N、 N： N： N 的转换。 NAT 和 PAT 可以很好的起到隐藏内网结构，节 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 17 约 IP 地址资源的作用。 如下图所示， 内网使用的是 ，无法直接在 Inter上通信。 通过 FortiGate 的 NAT/PAT 功能，可以将内网所有私有 IP 地址转换为 FortiGate外口的 IP 地址或其它地址池，实现共享上网的目的；还可以通过静态地址映射或端口转发的方式， 将 FortiGate 外口的公网 IP 地址或其他公网 IP 地址映射到内网的服务器上（如 的 Web 服务器），实现私有 IP 地址的服务器对外发布服务的功能。 透明（桥）模式 如果 FortiGate内、外网使用相同网段的 IP 地址，便无需 FortiGate担负路由的工作。 此时可以将 FortiGate 置于透明模式， FortiGate 工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。 如下图所示： 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 18 内网已经可以通过路由器的路由和 NAT 功能连入 Inter，内网所有计算机的默认网关均指向路 由器的内口 ，此时只需加入安全网关设备实现安全功能。 为了尽可能的简化配置且不更改现有的网络环境，一般情况下都推荐使用 FortiGate 的透明模式。 此时FortiGate 不像路由模式下需要给每个接口配置一个单独的 IP 地址，只需直接插入到网络链路中即可。 内外网用户并不能感觉到这台安全设备的存在，将 FortiGate 从网络中撤出也不会影响出口的连通性。 FortiGate 存在与否均不会改变网络逻辑结构和可用性，因此称之为透明模式。 在透明模式下，需要给 FortiGate 配置一个管理 IP 地址，用于 管理。 路由模式和透明模式的切换非常的简单，在 FortiGate 的 Web 图形管理界面下便可实现。 VLAN 支持： 无论在透明模式还是路由（ NAT）模式下， FortiGate 都支持 VLAN 环境，对于交换机之间的 VLAN Trunk 或交换机 /路由器之间的单臂路由都可以很好的支持； FortiGate 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 19 在路由模式下自身也可以给交换机上的不同 VLAN 作 Trunk 和路由。 虚拟域： 利用 VLAN 技术实现的虚拟域可以在一台 FortiGate 设备中实现多台逻辑设备，每一个虚拟域拥有独立的接口 IP、路由、 策略、用户等参数 ，便于下连多个网段或单位 /部门的时候使用。 混合模式 利用 FortiGate的虚拟域技术可以很方便的实现路由 /透明的混合模式。 如下图所示，内网和 DMZ区使用同一网段的 IP 地址 ，内网使用 ， DMZ区使用；外网使用另一网段的 IP 地址（ ）。 此时单纯的透明模式或者路由（ NAT）模式都无法满足网络的要求。 使用 FortiGate的虚拟域技术可以实现外网与 DMZ/内网之间使用路由（ NAT）模式，而内网与 DMZ 之间使用透明模式。 这种路由 /透明的混合模式可以很好的满足这种网络环境的需求。 北京市海淀区中关村南大街 2号数码大厦 B座 903室 电话 : (010)82512622 20 2 安全功能 传统防火墙基于状态检测的包过滤技术，只能在网络层针对 IP 地址、端口等进行简单的过滤，这并非网络安全建设的终极目标，不能满足当前网络安全的要求，黑客一旦伪装成合法 IP 进行攻击，防火墙将不会阻挡。 且当前传播速度最快、危害最严重的并非网络层的攻击，而是应用层的病毒、入侵、垃圾邮件、不良内容等，而传统的网络层防火墙对这些应用层的攻击行为没有防范能力，对于网络的保护作用是极为有限的。 信息安全 真正需要的 是网络层和应用层全面的安全防御体系。 FortiGate 防火墙是一个集防火墙、防病毒、入侵检测 /阻断、 VPN（虚拟专用网）和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关，利用 Forti 公司专利技术行为加速和内容分析系统技术（ Accelerated Behavior and Content Analysis SystemABACASTM），包括 FortiASICTM内容处理器和 FortiOSTM操作系统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度 的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。 依靠基于包检测的安全解决方案对。