• 云服務(wù)

  SOLUTION CENTER
• IDC方案設(shè)計
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

飛塔FortiGate企業(yè)級下一代防火墻

（FortiGate）飛塔防火墻防病毒解決方案

1. 概述

計算機病毒一直是信息安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風險也越來越大，造成的破壞也越來越強。據(jù)ICSA(國際計算機安全協(xié)會)的統(tǒng)計，目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡(luò)進行傳播的。內(nèi)網(wǎng)用戶訪問Internet時，無論是瀏覽WEB頁面，還是通過FTP下載文件，或者是收發(fā)E-mail，甚至MSN聊天等，都可能將Internet上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒(如紅色代碼、尼姆達、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結(jié)合體，當網(wǎng)絡(luò)當中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度(每秒幾百個線程)掃描網(wǎng)絡(luò)當中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關(guān)的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當中傳播，即使計算機上安裝了帶有實時監(jiān)控功能的防病毒軟件(包括單機版和網(wǎng)絡(luò)版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊(DoS)。

因此，對于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進行過濾，防止病毒進入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為當前防病毒體系中的重中之重。

ICSA統(tǒng)計數(shù)據(jù)：90%以上是通過Internet傳播的。不同于市場上其他基于軟件處理的防病毒網(wǎng)關(guān)，FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網(wǎng)關(guān)，可以提供高于同類產(chǎn)品數(shù)倍的防病毒性能，FortiGate高端型號采用了Fortinet最新一代ASIC芯片——FortiASIC CP8，最高可以達到單臺10Gbps以上的HTTP防病毒吞吐量，均遠超同類其它產(chǎn)品，對于Web瀏覽這樣的實時應(yīng)用的性能影響也微乎其微。

FortiGate目前的支持的病毒特征數(shù)量超過1500萬個，而且防病毒特征可通過Internet自動更新，每天4次的病毒庫更新頻率是業(yè)界最高標準之一，可以確保用戶在第一時間實現(xiàn)對最新型網(wǎng)絡(luò)威脅的防御。FortiGate支持手動、自動、推送式更新。其中推送式更新當服務(wù)器上有新的特征庫時，會主動“推送”至用戶的FortiGate，響應(yīng)速度最快。

FortiGate支持啟發(fā)式掃描，對于未知病毒，可以根據(jù)其行為進行判斷，及時將可疑的文件報告給用戶。

Fortinet公司在國內(nèi)的北京和天津成立了病毒及入侵防御研發(fā)中心，其中天津的研發(fā)中心與國家病毒應(yīng)急響應(yīng)中心密切合作，迅速捕獲國內(nèi)產(chǎn)生的病毒和入侵。這兩個研發(fā)中心共有150名以上研發(fā)人員。

2. 外部病毒防御

如下圖所示，FortiGate可以部署在Internet和內(nèi)部網(wǎng)絡(luò)之間，既可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等，也可以防止內(nèi)部用戶向外發(fā)送這些病毒等安全威脅。

DMZ區(qū)的服務(wù)器也可使用FortiGate進行保護，防止病毒、蠕蟲、木馬等攻擊Web、Email、Proxy等服務(wù)器。

FortiGate的病毒過濾針對標準協(xié)議，與應(yīng)用無關(guān)。無論用戶使用何種Email服務(wù)器和客戶端，只要使用的是標準的SMTP、POP3、IMAP協(xié)議，FortiGate都可以對電子郵件中的病毒進行過濾，防止病毒通過郵件傳播。FortiGate還支持HTTP協(xié)議和FTP協(xié)議，對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。在支持協(xié)議的全面性上走在了業(yè)界的前方。對于使用非標準端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中，HTTP協(xié)議不使用TCP80端口，卻使用了TCP8080端口)，FortiGate同樣可以對其中的病毒進行過濾。

在協(xié)議支持的全面性上，FortiGate走在了業(yè)界的前面。在FortiGate上啟用防病毒功能，對HTTP、FTP、SMTP、POP3、IMAP、MAPI等協(xié)議進行過濾，便可將外網(wǎng)病毒傳入內(nèi)網(wǎng)的風險降至最低。

FortiGate支持基本病毒庫和擴展病毒庫，用戶可以針對不同協(xié)議開啟不同級別的安全保護，在安全和性能之間進行良好的平衡。

當郵件附件中帶有病毒時，FortiGate會自動插入提醒信息，通知收件人由于附件帶毒，所以被FortiGate刪除。提示信息可以由管理員自己來設(shè)置。

管理員還可以使用FortiGate對超過一定大小的文件進行阻擋。例如管理員不希望內(nèi)網(wǎng)用戶下載電影而大量占用網(wǎng)絡(luò)帶寬，便可在FortiGate上設(shè)置，超過50M大小的文件一律阻止。

3. 內(nèi)部病毒防御

雖然目前90%以上的病毒來自于Internet，但仍然有部分病毒通過其它途徑進入內(nèi)網(wǎng)，例如光盤、U盤、文件共享、移動用戶等。而病毒進入內(nèi)網(wǎng)后通常采用網(wǎng)絡(luò)入侵的方式，利用網(wǎng)絡(luò)中其它主機的安全漏洞進行傳播，并可能導(dǎo)致DoS攻擊。

如前圖所示，除了在Internet出口處部署FortiGate之外，還可以在內(nèi)網(wǎng)各區(qū)域(如下屬單位、部門等)之間使用FortiGate進行隔離，防止一個區(qū)域感染的病毒擴散到其它區(qū)域。

另一方面，FortiGate安全網(wǎng)關(guān)不能僅針對HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協(xié)議進行病毒掃描，同時還能夠基于IPS原理，識別各類蠕蟲病毒的內(nèi)網(wǎng)傳播特征，對內(nèi)網(wǎng)中的病毒傳播進行定位和阻攔。

FortiGate的IPS功能還能限制單個IP地址產(chǎn)生的會話數(shù)量，防止蠕蟲病毒爆發(fā)時導(dǎo)致的DoS/DDoS攻擊；還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協(xié)助防病毒功能，獲得更好的防御效果。

當前的病毒傳播方式多種多樣，病毒、蠕蟲、木馬、惡意軟件、網(wǎng)絡(luò)入侵等的界限越來越模糊，用戶只有結(jié)合防病毒、IPS、防火墻等多項安全技術(shù)，才能真正有效地過濾新一代病毒。

4. 病毒掃描模式

FortiGate支持兩種病毒掃描模式，分別是基于代理掃描和流掃描。

基于代理掃描

FortiGate充當代理接管網(wǎng)絡(luò)流量，代理時對掃描的文件進行緩存，當文件緩存完畢后，進行重組并執(zhí)行病毒掃描，直到掃描結(jié)束，不會發(fā)送數(shù)據(jù)到客戶端和服務(wù)器。代理掃描模式可以提供高的準備率，但會帶來比較高的延時。

流掃描

文件通過FortiGate時，逐包檢查，沒有文件重組過程。如果檢測到病毒，最后一個包會被丟棄，或者連接會被reset，客戶端不會收到完整的文件。流模式因為沒有文件緩存的過程，因此執(zhí)行效率較高，病毒掃描的延時也較小，但可能會出現(xiàn)漏報的情況。

飛塔FortiGate企業(yè)級下一代防火墻

FortiGate系列（100E、200E、300E、400E）

FortiGate系列為大中型企業(yè)提供下一代防火墻功能，可靈活部署在園區(qū)或企業(yè)分支機構(gòu)中。通過安全處理器提供的高性能、安全效能和深度可視化來防范網(wǎng)絡(luò)威脅。

安全

l  可識別網(wǎng)絡(luò)流量中數(shù)千個應(yīng)用程序，進行深度檢測并能精準地執(zhí)行防火墻策略有效阻止加密以及非加密流量中的間諜軟件，漏洞利用及惡意網(wǎng)站的攻擊FortiGuardLabs提供了AI驅(qū)動的安全服務(wù)可源源不斷的供應(yīng)威脅情報，識別阻止已知和未知的惡意攻擊，提供安全防護

性能

通過專用安全處理器（SPU）技術(shù)提供業(yè)界最佳的威脅防護性能，實現(xiàn)超低延時為SSL加密流量提供行業(yè)領(lǐng)先的安全性能和威脅保護

認證

經(jīng)過獨立測試和驗證的最佳安全效能和性能榮獲NSSLabs，ICSA，VirusBulletin和AVComparatives無與倫比的第三方認證

網(wǎng)絡(luò)

一流的SD-WAN功能，可通過WAN路徑控制實現(xiàn)應(yīng)用程序控制，帶來高質(zhì)量的體驗提供高級網(wǎng)絡(luò)功能，高性能和可擴展的IPsecVPN功能

管理

包括高效，易于使用的管理控制臺，并提供全面的網(wǎng)絡(luò)自動化和可視化與SecurityFabric統(tǒng)一控制臺零配置部署預(yù)定義的合規(guī)檢查清單分析部署情況并突出最佳實踐，從而改善整體安全態(tài)勢

SecurityFabric

Fortinet和Fabric-ready合作伙伴的產(chǎn)品能夠密切集成和協(xié)作，并提供更廣泛的可視化、集成端到端檢測、威脅情報共享和自動矯正自動構(gòu)建網(wǎng)絡(luò)拓撲可視化，用以發(fā)現(xiàn)IoT設(shè)備并提供對Fortinet和Fabric-ready的合作伙伴產(chǎn)品的完整可見性

FortiGate100E,101E,100EF和140E-POE

防火墻    IPS      NGFW    威脅防護   接口

7.4Gbps   500Mbps  360Mbps  250Mbps  20個GERJ45接口和2個RJ45/SFP共享接口

FortiGate200E和201E

防火墻    IPS      NGFW     威脅防護   接口

20Gbps    2.2Gbps  1.8Gbps  1.2Gbps    18個GERJ45接口和4個GESFP插槽

FortiGate300E和301E

防火墻    IPS      NGFW     威脅防護   接口

32Gbps    5Gbps    3.5Gbps   3Gbps    18個GERJ45接口和16個GESFP插槽

FortiGate400E和401E

防火墻    IPS        NGFW     威脅防護   接口

32Gbps    7.8Gbps    6Gbps    5Gbps      18個GERJ45接口和16個GESFP插槽

部署

l  下一代防火墻(NGFW)§將威脅防御安全功能與簡便操作的高性能網(wǎng)絡(luò)安全設(shè)備相結(jié)合

l  利用強大的功能識別阻止接口和協(xié)議的入侵防御，檢測網(wǎng)絡(luò)流量中的應(yīng)用程序

l  使用行業(yè)規(guī)定的密碼密鑰組合,提供業(yè)界最高的SSL檢測性能，實現(xiàn)最大化投資回報率

l  實時阻止新檢測到的惡意復(fù)雜攻擊，及時提供威脅防護

安全SD-WAN

l  云應(yīng)用程序安全直連互聯(lián)網(wǎng)，降低延時并減少WAN成本支出

l  經(jīng)濟高效的威脅防護功能

l  WAN路徑控制器和鏈路健康監(jiān)控可提高應(yīng)用程序性能和體驗質(zhì)量

l  安全處理器帶來業(yè)界最佳的IPsecVPN和SSL檢查性能

l  簡化管理和零接觸部署

FortiGate在園區(qū)網(wǎng)絡(luò)中的部署(NGFW)FortiGate部署在分支機構(gòu)中(安全SD-WAN)

SPU處理器

l  專用SPU處理器可提供在數(shù)個千兆位速度下檢測惡意內(nèi)容的強大功能

l  其他安全技術(shù)無法抵御當今基于內(nèi)容和連接的大量威脅，由于它們依賴于常用CPU，從而導(dǎo)致性能上達不到要求

l  SPU處理器提供攔截新興威脅所需的性能，獲有嚴格的第三方認證，確保您的網(wǎng)絡(luò)安全解決方案不會成為網(wǎng)絡(luò)瓶頸

網(wǎng)絡(luò)處理加速器

Fortinet創(chuàng)新突破的SPUNP6網(wǎng)絡(luò)處理器可與FortiOS功能協(xié)同工作，共同提供：

l  出色的防火墻性能，適用于IPv4/IPv6，SCTP和組播流量，具有低至2微秒的超低時延

l  VPN，CAPWAP和IP隧道加速§基于異常行為的入侵防御，校驗卸載和數(shù)據(jù)包碎片整理

l  流量整形和優(yōu)先級隊列

內(nèi)容處理加速器

Fortinet創(chuàng)新突破的SPUCP9內(nèi)容處理器不受直接網(wǎng)絡(luò)流量影響，可加速對計算密集型安全功能的檢查：

l  完善的IPS性能，具有針對SPU進行簽名匹配的獨特功能

l  基于最新的行業(yè)規(guī)定的密碼密鑰組合的SSL檢測功能

l  加密和解密卸載

Fortinet Security Fabric

Security Fabric

Security Fabric 極具開放與整合能力，可在所有 Fortinet 設(shè)備及其 系統(tǒng)組件的部署中提供廣泛的可視性，集成了具有 AI 驅(qū)動的防破壞 功能，可自動操作，編制策略以及響應(yīng)威脅。整個安全性能可以隨著 工作的負載和數(shù)據(jù)的增加動態(tài)擴展并彈性適應(yīng)。對于整個網(wǎng)絡(luò)，包 括物聯(lián)網(wǎng)、設(shè)備和云環(huán)境之間的移動數(shù)據(jù)、用戶和應(yīng)用程序做到無 縫跟查并保護。所有這些領(lǐng)先的安全功能都在一個統(tǒng)一控制臺下緊 密地聯(lián)系在一起，大大降低了整個系統(tǒng)的復(fù)雜性。 FortiGates 是 Security Fabric 的基礎(chǔ)，它通過與其他 Fortinet 安全 產(chǎn)品和 Fabric-Ready Partner 技術(shù)伙伴解決方案緊密集成，通過可 見性和控制來擴展安全性。

FortiOS

控制整個 FortiGate 平臺所有安全和網(wǎng)絡(luò)功能的一個可視化的安全 操作系統(tǒng)。這個真正的下一代安全整合平臺可降低復(fù)雜性，減少運營 費用，節(jié)約時間成本。

l  一個高度集成的平臺通過單一操作系統(tǒng)和統(tǒng)一控制臺管理所有 FortiGate 平臺上的全部安全和網(wǎng)絡(luò)服務(wù)。

l  行業(yè)領(lǐng)先的防護功能：安全防護效果和性能獲得 NSS Labs 推薦 并通過 VB100、AV Comparatives 和 ICSA 等機構(gòu)驗證。能夠利用 最新技術(shù)，例如基于欺騙的安全防護。

l  真正支持 TLS 1.3，而且還可以基于數(shù)百萬個實時 URL 評級控制 數(shù)千個應(yīng)用程序，阻止最新漏洞利用和過濾網(wǎng)絡(luò)流量。

l  通過集成的AI驅(qū)動違規(guī)預(yù)防和高級威脅防護，能夠在數(shù)分鐘內(nèi)自 動預(yù)防，檢測和緩解高級攻擊。

l  通過創(chuàng)新的SD-WAN功能和基于意圖的網(wǎng)絡(luò)細分進行檢測，遏制 和隔離威脅的能力，改善用戶體驗。

l  利用SPU硬件加速提高安全服務(wù)性能 。