fortinetutm安全解决方案4

fortinetutm安全解决方案4内容摘要：

方式。 to prducewhismk,~4:AOqH() FortiGate 在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到 RIP、 OSPF、 BGP 路由 及组播路由 运算中 ，而非仅仅让动态路由协议穿越 ）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关） 、基于用户认证的路由（客户 PC 输入不同用户名密码进行认证，可以获得不同的路由途径） ，可以满足多种网络环境的要求。 FortiGate 还可以 很好的支持双网关的网络环境。 如下图所示， 内网使用 ISP ISP2两条链路接入 Inter。 使用 FortiGate 可以实现两条链路的 冗余。 通常情况下对 Inter的访问请求都通过带宽较高的 ISP1 链路进行，当 ISP1 链路出现故障中断时， FortiGate会自动将所有的访问请求切换到 ISP2 链路，保证网络的不间断运行。 双链路的使用除了主备外，还可以实现的负载均衡方式包括：基于源 IP、基于权值分配及溢出等三种方式。 to prducewhismk,~4:AOqH()17 在路由（ NAT）模式下， FortiGate可以实现双向 NAT（网络地址转换）和 PAT（端口转换） ，包括 1： N、 N： N： N 的转换。 NAT 和 PAT 可以很好的起到隐藏内网结构，节约 IP 地址资源的作用。 如下图所示， 内网使用的是 ，无法直接在 Inter上通信。 通过 FortiGate 的 NAT/PAT 功能，可以将内网所有私有 IP 地址转换为 FortiGate外口的 IP 地址或其它地址池，实现共享上网的目的；还可以通过静态地址映射或端口转发的方式，将 FortiGate 外口的公网 IP 地址或其他公网 IP 地址映射到内网的服务器上（如 的 Web 服务器），实现私有 IP 地址的服务器对外发布服务的功能。 FortiGate 的 虚拟 IP 功能还支持如下几种高级应用： to prducewhismk,~4:AOqH()1） 负载均衡 如上图所示，内网的 3 台 Web 服务器（ ）对外提供同样的服务 ，可以使用 FortiGate 通过虚拟 IP 方式实现多台设备间的负载均衡 ，负载均衡算法包括静态、轮询、加权、最早存活、最小响应时间、最小连接数。 并可以通过ping、 TCP、 HTTP 等方式进行健康检查，发生故障的服务器会被自动剔除出负载均衡组。 2） HTTP 多路复用 或 SSL卸载 to prducewhismk,~4:AOqH()19 传统的访问形式下服务器需要维护大量来自客户端的 TCP 连接，每个连接的维持都需要耗费服务器的内存和 CPU 计算周期。 HTTP multiplexing（多路复用） 机制，通过在 FortiGate 上维持和客户端的大量连接，而在 FortiGate 和服务器之间建立少量常开的连接，每个 FortiGate 和服务器之间的连接服务若干客户端和 FortiGate 的连接，减少服务器的资源消耗，提高服务器的处理性能。 而 SSL offload（卸载）是指将 FortiGate 部署在 Web 服务 器 前方，处理 SSL 加密 /解密 ， Web服务器与 FortiGate 之间可以采用 HTTP方式通信，从而将服务器从繁重的加解密及认证的工作负担中解脱出来，提高处理性能。 注： 只有使用 FortiASIC CP6 的型号支持这一特性，包括 FortiGate310B、FortiGate620B 、 FortiGate3600A, FortiGate3016B, FortiGate3810A, FortiGate5005FA2 等。 透明（桥）模式 如果 FortiGate内、外网使用相同网段的 IP 地址，便无需 FortiGate担负路由的工作。 此时可以将 FortiGate 置于透明模式， FortiGate 工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。 如下图所示： to prducewhismk,~4:AOqH() 内网已经可以通过路由器的路由和 NAT 功能连入 Inter，内网所有计算机的默认网关均指向路由器的内口 ，此时只需加入安全网关设备实现安全功能。 为了尽可能的简化配置且不更改现有的网络环境，一般情况下都推荐使用 FortiGate 的透明模式。 此时FortiGate 不像路由模式下需要给每个接口配置一个单独的 IP 地址，只需直接插入到网络链路中即可。 内外网用户并不能感觉到这台安全设备的存在，将 FortiGate 从网络中撤出也不会影响出口的连通性。 FortiGate 存在与否均不会改变网络逻辑结构和可用性，因此称之为透明模式。 在透明模式下，需要给 FortiGate 配置一个管理 IP 地址，用于管理。 路由模式和透明模式的切换非常的简单，在 FortiGate 的 Web 图形管理界面下便可实现。 混合模式 FortiGate 的 还可以 可以很方便的实现路由 /透明的混合模式。 如下图所示，内网和 DMZ区使用同一网段的 IP 地址 ，内网使用 ， DMZ 区使用；外网使用另一网段的 IP 地址（ ）。 此时单纯的透 to prducewhismk,~4:AOqH()21 明模式或者路由（ NAT）模式都无法满足网络的要求。 使用 FortiGate可 以实现外网与 DMZ/内网之间使用路由（ NAT）模式，而内网与 DMZ之间使用透明模式。 这种路由 /透明的混合模式可以很好的满足这种网络环境的需求。 VLAN 支持 无论在透明模式还是路由（ NAT）模式下， FortiGate 都支持 VLAN 环境，对于交换机之间的 VLAN Trunk 或交换机 /路由器之间的单臂路由都可以很好的支持； FortiGate在路由模式下自身也可以给交换机上的不同 VLAN 作 Trunk 和路由。 to prducewhismk,~4:AOqH() 虚拟域 FortiGate 设备 支持虚拟域功能，可以将一台物理设备划分成多个虚拟域（虚拟 UTM）每一个虚拟域 都 拥有独立的 工作模式（路由、 NAT、透明等）、 接口 IP、路由 表 、 安全 策略、用户等参数，便于下连多个网段或单位 /部门的时候使用。 各虚拟域之间还可以通过内部虚拟链路 interlink 进行互联，实现各种不同的管理结构。 独立结构 to prducewhismk,~4:AOqH()23 管理结构 全通结 构 2 安全功能 传统防火墙基于状态检测的包过滤技术，只能在网络层针对 IP 地址、端口等进行简单的过滤，这并非网络安全建设的终极目标，不能满足当前网络安全的要求，黑客一旦伪装成合法 IP 进行攻击，防火墙将不会阻挡。 且当前传播速度最快、危害最严重的并非网络层的to prducewhismk,~4:AOqH()攻击，而是应用层的病毒、入侵、垃圾邮件、不良内容等，而传统的网络层防火墙对这些应用层的攻击行为没有防范能力，对于网络的保护作用是极为有限的。 信息安全 真正需要的是网络层和应用层全面的安全防御体系。 FortiGate 防火墙是一个集防火墙、防病毒、 入侵防御 、 VPN（虚 拟专用网）、 内容过滤、反垃圾邮件 、 IM/P2P 控制 等多项功能于一身的综合安全网关，利用 Forti 公司专利技术行为加速和内容分析系统技术（ Accelerated Behavior and Content Analysis SystemABACASTM），包括 FortiASICTM内容处理器和 FortiOSTM操作系统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。 依靠基于包检测的安全解决方案 对于使用分段技术的新型安全威胁是无能为力的。 它们使用一些巧妙的手段能绕过传统的防火墙、 IDS 和防病毒系统。 Forti 先进的完全内容检测（ CCI）技术能够扫描和检测整个 OSI堆栈模型中最新的安全威胁。 与其它单纯检查包头或“深度包检测”的安全技术不同， Forti 的 CCI技术重组文件和会话信息，以提供强大的扫描和检测能力。 只有通过重组，一些最复杂的混合型威胁才能被发现。 为了补偿先进检测技术带来的性能延迟， Forti 使用 FortiASIC 芯片来为特征扫描、加密 /解密和 SSL 等功能提供硬件加速。 Forti 拥有专利的紧凑模式识别语言（ Compact Pattern Recognition Language，简称 CPRL）与 FortiASIC 一起使用，提供比基于 PC工控机的安全设备高 46 倍的性能。 通过一些很巧妙的设计， FortiASIC 总能帮助用户在威胁到达之前完成更新，而不会停留在过期的阶段。 正如图形加速卡能加速复杂图形的显示一样， FortiASIC 和 CPRL 能对病毒和攻击检测进行特征和模板匹配进行加速。 Forti 的完全内容检测和重组技术与业界第一个硬件加速检测引擎（ FortiASIC 和CPRL 语言）一起，提供了当今最先进的 ASIC 加速安全产品。 to prducewhismk,~4:AOqH()25 FortiGate 高端型号采用了业界独有的双 ASIC 芯片加速技术，其中 FortiASICCP（内容处理器） 是经过定制的处理器，可以用来实现将已知的威胁特征库（如病毒库、 IPS 库等）与内存中待检测对象进行匹配。 内存中的待检测对象可以是数据包、文件（包括压缩文件）等。 内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。 内容处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受 CPU的指令，处理内容，寻找威胁。 内容 处理器能够加速防病毒和 IPS，因为这两种安全功能都需要将数据内容与库文件进行比对。 有些人有误解，以为 ASIC 是“静态”安全检测，不能检测新的威胁。 但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级攻击特征就变得非常容易，攻击特征可以像软件一样进行升级。 内容处理器还能包括加密引擎，它使得 CPU 不用进行高强度的加密解密计算。 VPN的建立和密钥维护都是非常消耗系统资源的，因此，它们是最适用用于硬件加速的。 内容处理器很适合完成这个工作，它可以大大提高系统的 VPN 性能。 而 FortiASICNP（ 网络处理器 ） 是对网络流量进行高速处理的硬件设备。 这种处理器一般是以在线的方式放置在 CPU 和网络接口之间，直接接收网络流量并自动执 行某些操作，通过网络处理器的工作，可以减轻系统其他部分的负载，下图 说明了使用网络处理器的系统的架构。 它处理很多基本维护工作，比如会话表的维护、常见的 TCP包处理、加密 /解密和网络地址翻译（ NAT）相关的任务。 新一代的网络处理器也能进行安全检测并且予以处理。 它可以迅速地重组数据包，而这to prducewhismk,~4:AOqH()个过程是入侵检测技术所必需的。 某些网络处理器还可以编程以加载当前的 防火墙和 IPS策略来对流量进行过滤，在接口级过滤异常流量和转发对延时敏感的数据包，却不需要 CPU的参与。 当流量旁路系统的其他部分，而直接由网络处理器转发时，网络处理器首先从 CPU下载会话处理的指令，然后就在本地处理数据包，只给 CPU 提交必要的状态信息，通过状态信息的通信替代所有数据包的通信， CPU 的负载减轻了，性能得到显著的改善。 高级的网络处理器，具有内置的安全功能，以线速实现防火墙的功能，可以实现千兆小包（ 64bit）线速，延迟非常低，网络处理器也可以实现差不多高的 IPSec VPN 性能。 这个性能对于日 益增长的局域网和广域网带宽来说是非常必要的。 在设备自身安全性方面， FortiGate 防火墙基于状态检测的技术可以有力的防止外部黑客对内网的攻击，且基于 ASIC 芯片技术可以提供非常高的网络性能，自主设计的 FortiOS安全操作系统杜绝了所有通用操作系统的安全隐患，因此 FortiGate 防火墙的安全性、稳定性和效率都远远高于其它 CPU+Linux构架、软硬一体化的工控机式防火墙。 通过在 FortiGate 防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件 、应用控制、数据泄露防护 等安全设置，便可对 进出 网络的 流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。 to prducewhismk,~4:AOqH()27 防火墙 FortiGate 的防火墙功能基于状态检测包过滤技术，可以针对 IP 地址、服务、端口等参数决定是否允许数据包通过，在第三层（网络层）和第四层（传输层）进行数据过滤。 to prducewhismk,~4:AOqH() 如上图所示，防火墙功能可以对访问的源和目标的 IP 地址进行过滤，例如可以允许或拒绝内网的部分 IP 地址访问外网，也可以允许或拒绝外网的部分 IP 地址访问内网。 IP 地址对象可以是单个 IP（如 ），也可以是 IP 地址段（如 ）。