Fortinet+UTM全面网络安全解决方案.docx

1、Fortinet+UTM全面网络安全解决方案*UTM（统一威胁管理）安全解决方案神州数码有限公司2008年8月 第一章 Fortinet UTM安全解决方案根据对网络安全现状及用户需求的分析，我们推荐Fortinet公司的UTM安全解决方案。作为UTM安全设备的领导厂商，Fortinet公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了无与伦比的功能和检测能力。Fortinet公司的FortiGate提供以下功能和好处： 集成关键安全组件的状态检测防火墙。 可实时更新病毒和攻击特征的网关防病毒。 IDS和IPS预置1400个以上的攻击特征，并提供用户定制特征的机

2、制。 VPN（目前支持PPTP、L2TP和IPSec，SSL VPN也将很快推出）。 反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（RBL）等。 Web内容过滤具有用户可定义的过滤器和全自动的FortiGuard过滤服务。 带宽管理防止带宽滥用。 用户认证，防止非授权的网络访问。 动态威胁防御提供先进的威胁关联技术。 ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。 加固的操作系统，不含第三方组件，保证了物理上的安全。 完整的系列支持服务，包括日志和报告生成器、客户端安全组件。1 网络构架FortiGate系列防火墙支持路由（NAT）模式、透明模式和混合模式三

3、种工作模式。可以很好的适应各种网络环境。1.1 路由（NAT）模式如果需要用FortiGate连接不同IP地址段，则将FortiGate置于路由工作模式。如上图所示，内网使用的是192.168.1.0/24网段，而外网使用的是211.1.1.X网段来连接Internet。此时由于内外网络不在同一IP地址段，因此需将FortiGate设置为路由模式。此时FortiGate工作在第三层，相当于一台路由器，连接不同的IP地址段。使192.168.1.X和211.1.1.X之间可以互访。在路由（NAT）模式下，FortiGate的每一个接口都有一个IP地址，分别对应不同的网段。每个接口都支持不同的地址

4、模式，既可以是静态IP，也可以通过DHCP服务器获得动态IP，还能通过PPPOE拨号获取IP地址，可以很好的支持LAN、ADSL等多种网络接入方式。FortiGate在路由模式下支持各种路由方法，包括静态路由、动态路由（可以直接参与到RIP、OSPF、BGP路由运算中，而非仅仅让动态路由协议穿越）、策略路由（根据不同的源地址、目的地址、端口等确定下一条路由网关），可以满足多种网络环境的要求。FortiGate还可以很好的支持双网关的网络环境。如下图所示，内网使用ISP1、ISP2两条链路接入Internet。使用FortiGate可以实现两条链路的冗余。通常情况下对Internet的访问请求都

5、通过带宽较高的ISP1链路进行，当ISP1链路出现故障中断时，FortiGate会自动将所有的访问请求切换到ISP2链路，保证网络的不间断运行。在路由（NAT）模式下，FortiGate可以实现双向NAT（网络地址转换）和PAT（端口转换），包括1：N、N：1、N：N的转换。NAT和PAT可以很好的起到隐藏内网结构，节约IP地址资源的作用。如下图所示，内网使用的是192.168.1.0/24网段的私有IP地址，无法直接在Internet上通信。通过FortiGate的NAT/PAT功能，可以将内网所有私有IP地址转换为FortiGate外口的211.1.1.6这个公网IP地址或其它地址池，实现

6、共享上网的目的；还可以通过静态地址映射或端口转发的方式，将FortiGate外口的公网IP地址或其他公网IP地址映射到内网的服务器上（如192.168.1.100的Web服务器），实现私有IP地址的服务器对外发布服务的功能。1.2 透明（桥）模式如果FortiGate内、外网使用相同网段的IP地址，便无需FortiGate担负路由的工作。此时可以将FortiGate置于透明模式，FortiGate工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。如下图所示：内网已经可以通过路由器的路由和NAT功能连入Internet，内网所有计算机的默认网关均指向路由器的内口192.168.1.1，此时

7、只需加入安全网关设备实现安全功能。为了尽可能的简化配置且不更改现有的网络环境，一般情况下都推荐使用FortiGate的透明模式。此时FortiGate不像路由模式下需要给每个接口配置一个单独的IP地址，只需直接插入到网络链路中即可。内外网用户并不能感觉到这台安全设备的存在，将FortiGate从网络中撤出也不会影响出口的连通性。FortiGate存在与否均不会改变网络逻辑结构和可用性，因此称之为透明模式。在透明模式下，需要给FortiGate配置一个管理IP地址，用于管理。路由模式和透明模式的切换非常的简单，在FortiGate的Web图形管理界面下便可实现。VLAN支持：无论在透明模式还是路

8、由（NAT）模式下，FortiGate都支持802.1Q VLAN环境，对于交换机之间的VLAN Trunk或交换机/路由器之间的单臂路由都可以很好的支持；FortiGate在路由模式下自身也可以给交换机上的不同VLAN作Trunk和路由。虚拟域：利用VLAN技术实现的虚拟域可以在一台FortiGate设备中实现多台逻辑设备，每一个虚拟域拥有独立的接口IP、路由、策略、用户等参数，便于下连多个网段或单位/部门的时候使用。1.3 混合模式利用FortiGate的虚拟域技术可以很方便的实现路由/透明的混合模式。如下图所示，内网和DMZ区使用同一网段的IP地址，内网使用192.168.1.1-192

9、.168.1.200，DMZ区使用192.168.1.201-192.168.1.250；外网使用另一网段的IP地址（202.1.1.1）。此时单纯的透明模式或者路由（NAT）模式都无法满足网络的要求。使用FortiGate的虚拟域技术可以实现外网与DMZ/内网之间使用路由（NAT）模式，而内网与DMZ之间使用透明模式。这种路由/透明的混合模式可以很好的满足这种网络环境的需求。2 安全功能传统防火墙基于状态检测的包过滤技术，只能在网络层针对IP地址、端口等进行简单的过滤，这并非网络安全建设的终极目标，不能满足当前网络安全的要求，黑客一旦伪装成合法IP进行攻击，防火墙将不会阻挡。且当前传播速度最

10、快、危害最严重的并非网络层的攻击，而是应用层的病毒、入侵、垃圾邮件、不良内容等，而传统的网络层防火墙对这些应用层的攻击行为没有防范能力，对于网络的保护作用是极为有限的。信息安全真正需要的是网络层和应用层全面的安全防御体系。FortiGate防火墙是一个集防火墙、防病毒、入侵检测/阻断、VPN（虚拟专用网）和内容过滤、反垃圾邮件等多项功能于一身的综合安全网关，利用Fortinet公司专利技术行为加速和内容分析系统技术（Accelerated Behavior and Content Analysis System-ABACASTM），包括FortiASICTM内容处理器和FortiOSTM操作系

11、统，突破了芯片设计、网络通信、安全防御及内容分析等诸多难点，超越了传统防火墙仅能在网络层进行粗粒度的包过滤的安全层次，能够从网络层到应用层提供全方位的安全保护。依靠基于包检测的安全解决方案对于使用分段技术的新型安全威胁是无能为力的。它们使用一些巧妙的手段能绕过传统的防火墙、IDS和防病毒系统。Fortinet先进的完全内容检测（CCI）技术能够扫描和检测整个OSI堆栈模型中最新的安全威胁。与其它单纯检查包头或“深度包检测”的安全技术不同，Fortinet的CCI技术重组文件和会话信息，以提供强大的扫描和检测能力。只有通过重组，一些最复杂的混合型威胁才能被发现。为了补偿先进检测技术带来的性能延迟

12、，Fortinet使用FortiASIC芯片来为特征扫描、加密/解密和SSL等功能提供硬件加速。Fortinet拥有专利的紧凑模式识别语言（Compact Pattern Recognition Language，简称CPRL）与FortiASIC一起使用，提供比基于PC工控机的安全设备高4-6倍的性能。通过一些很巧妙的设计，FortiASIC总能帮助用户在威胁到达之前完成更新，而不会停留在过期的阶段。正如图形加速卡能加速复杂图形的显示一样，FortiASIC和CPRL能对病毒和攻击检测进行特征和模板匹配进行加速。Fortinet的完全内容检测和重组技术与业界第一个硬件加速检测引擎（Forti

13、ASIC和CPRL语言）一起，提供了当今最先进的ASIC加速安全产品。在设备自身安全性方面，FortiGate防火墙基于状态检测的技术可以有力的防止外部黑客对内网的攻击，且基于ASIC芯片技术可以提供非常高的网络性能，自主设计的FortiOS安全操作系统杜绝了所有通用操作系统的安全隐患，因此FortiGate防火墙的安全性、稳定性和效率都远远高于其它CPU+Linux构架、软硬一体化的工控机式防火墙。通过在FortiGate防火墙上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置，便可对进出网络的流量互访进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的全方位过滤。2.1 防火墙F

14、ortiGate的防火墙功能基于状态检测包过滤技术，可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层（网络层）和第四层（传输层）进行数据过滤。如上图所示，防火墙功能可以对访问的源和目标的IP地址进行过滤，例如可以允许或拒绝内网的部分IP地址访问外网，也可以允许或拒绝外网的部分IP地址访问内网。IP地址对象可以是单个IP（如202.1.1.1），也可以是IP地址段（如192.168.1.0/255.255.255.0），还可以是IP地址范围（如172.16.1.100-172.16.2.200）。对拥有同一访问权限的不同IP地址/段，还可以将它们加入到一个地址组中，在防火墙策略

15、中统一调用。FortiGate预置了常用网络服务的端口信息，如HTTP使用的TCP80端口、FTP使用的TCP21/20端口等。也可以自定义任意的TCP/UDP/ICMP/IP服务和端口。同样可以将不同的服务和端口加入组，在策略中统一调用。除了传统防火墙都具备的根据IP地址、端口进行过滤的功能，FortiGate也可以针对不同的时间段制定不同的安全策略。例如工作时间（如周一至周五每天9:00-18:00）不允许内网用户使用QQ、MSN等工具聊天，而其它时间则允许使用，便可通过FortiGate基于时间的策略自动实现。FortiGate还可以实现方便的用户身份认证，在用户试图访问网络资源时自动弹

16、出认证对话框，输入正确的用户名和密码才能继续访问，没有相关用户权限的访问将被FortiGate阻止。FortiGate也可以为不同用户赋予不同级别的访问权限，如只有网络管理员才可以通过telnet或终端服务等方式远程登录到服务器进行管理操作，其他用户只能通过Web方式访问管理员发布出来的信息。FortiGate支持多种用户身份认证方式，既可以在FortiGate建立本地用户帐号，也可以直接调用其它用户认证服务器上的用户信息，实现全网统一身份验证策略。FortiGate支持Radius、LDAP、SecurID、Windows域等多种用户身份认证。对于具有同样权限的用户，可以将他们加入用户组中，

17、在策略里统一调用。通过对IP地址、端口、用户、时间等参数的灵活组合，便可制定出各种适合实际网络安全需求的防火墙策略来，使得用户的安全策略可以得到切实的执行。FortiGate的防火墙功能是基于状态检测机制的，它会跟踪会话从建立、维持到中止的全过程，已建合法连接的后续数据通信可以直接放行，极大的简化了配置、提供了效率。所有的会话都会维持在FortiGate的会话表中，还可以供管理员分析和排错使用。FortiGate防火墙能够对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽，又可以设置最大带宽防止对网络资源的过度占用，还可以通过设置网络应用的优

18、先级将网络带宽在不同应用之间进行合理分配，并通过DSCP值对流量进行控制，使网络效率达到最优化。2.2 防病毒计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA（国际计算机安全协会）的统计，目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发E-mail，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传

19、播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的

20、重中之重，需要引起特别重视。ICSA统计数据：90%以上是通过Internet传播的ICSA统计数据：Internet防病毒网关需求正逐年增加不同于市场上其他基于软件处理的防病毒网关，FortiGate是全球唯一使用ICSA芯片加速的硬件防病毒网关，可以提供高于同类产品4-6倍的防病毒性能，对于Web浏览这样的实时应用的性能影响也微乎其微。FortiGate采用基于特征的病毒扫描技术，正确率达到99.5%以上。FortiGate的病毒库100%覆盖业界权威的WildList病毒库，确保网络的安全性。病毒特征库可以通过Internet每日自动在线更新，确保用户处的FortiGate设备在第一时间

21、获得过滤最新病毒的能力。另外，FortiGate还可以针对病毒的行为特征进行启发式扫描，对未知病毒也具备一定的防御能力。FortiGate的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，FortiGate都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。FortiGate还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用（如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，

22、却使用了TCP8080端口），FortiGate同样可以对其中的病毒进行过滤。对于一段内容，如果既包含正常部分，又含有病毒代码，则FortiGate会将病毒代码过滤掉，正常部分仍然会继续传输，这样便可有效防止信息的丢失。例如，一封附件染毒的Email被发往内网某用户处，经过FortiGate扫描后，带有病毒的附件会被拦截，而“干净”的正文仍然会正确的发送到收件人的邮箱里，不会因为病毒扫描导致信件的丢失。这封邮件中还会自动插入提醒信息，通知收件人由于附件带毒，所以被FortiGate删除。提示信息可以由管理员自己来设置。除了可以过滤已知特征病毒之外，FortiGate还可以对管理员指定的文件名类

23、型进行过滤。例如，通过过滤*.mp3文件可以有效阻止内网用户上网下载mp3歌曲；过滤avserver.exe文件也可以对震荡波（Sasser）病毒进行阻挡。管理员还可以使用FortiGate对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽，便可在FortiGate上设置，超过50M大小的文件一律阻止。对于染毒文件，除了直接丢弃之外，还可以采取隔离的方法。FortiGate可选的硬盘便可用来存放被隔离的染毒文件。如果染毒文件中有极为重要的文档必须使用的话，可以从隔离区中下载。Grayware（灰色软件）是针对具有扰人的行为模式、令人排斥或一般人难以察觉的应用程序的

24、通称。灰色软件通常在用户浏览网页、下载文件、收取Email时偷偷潜入计算机，用户很难察觉。灰色软件通常都对计算机产生各种不良作用和安全威胁，它包括间谍软件（扫描计算机内的信息，泄漏用户机密）、键盘记录软件（产生用户敲击键盘的记录，可能窃取用户的各种帐号密码等信息）、拨号软件（自动拨打国际长途或者信息服务号码，产生高额话费）、广告软件（随时弹出各种广告内容，影响用户对计算机的正常使用）等。FortiGate的防病毒功能同样可以检测并阻挡各种Grayware（灰色软件），进一步提高网络的安全性。Grayware检测库同样可以不断在线更新。2.3 IPS（入侵防御）传统的状态检测/包过滤防火墙是在网

25、络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEtherProtocol”字符串，虽然这种

26、应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEtherProtocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有300

27、0个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS（拒绝服务）攻击。FortiGate内置的IPS同时使用特征和异常两种检测方法，能够检测1400种以上攻击和入侵行为，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。FortiGate的IPS是在线式的，部署方式如下图所示，直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS（入侵检测系统）对绝大多数的攻击行为只能记录日志，而不能进行阻断。如下图所示，所有基于特征检测的攻击都是按照应用分类排序的，可以很容易的选择策略的开启。例如需要保护的网段中有MS

28、 SQL Server，则将sql类别开启；网段中没有邮件服务，则可以将smtp、pop3等类别关闭。每一类别甚至每一种攻击行为都可以独立的选择开启或关闭，可以定制非常灵活的策略。对于当前流行的P2P应用（BT、电驴、Skype等）和IM应用（QQ、MSN等），无法使用传统防火墙通过屏蔽IP或端口的方法阻断，而FortiGate的IPS功能可以很好的识别它们的应用层特征并进行阻断。FortiGate的IPS特征库可以自动通过Internet更新，确保用户在第一时间实现对最新攻击方式的防御。除了系统自带的入侵特征，FortiGate也支持用户自定义特征。FortiGate内置的IPS还可以对SY

29、N flood、ICMP flood、Tear Drop等DoS/DDoS攻击进行防御。对于每一种DoS/DDoS攻击行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率。FortiGate的IPS功能还能对网络当中的异常流量进行处理，例如对特定源或目的的会话进行限制。对于所有的攻击、入侵或可以网络行为都可以选择多种方法直接阻断，而不仅仅是简单的记录日志。2.4 VPN（虚拟专用网）Internet应用中，不可避免的要通过公用网络来传输信息，其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络，黑客很容易通过在网络设备上安装网络嗅包器（如Sniffer、N

30、IDS等）中途窃取信息，造成泄密；黑客也可以伪装成内部用户登录到内网中进行破坏活动，因此我们需要在网络上配置一整套VPN体系，对通过Internet进行的远程访问进行严格的认证和加密，使Internet上的VPN成为经过加密和认证的安全链路，保证各节点之间远程访问的安全。采用VPN技术的目的是为了在不安全的信道上实现安全信息传输，保证企业内部信息在Internet上传输时的机密性和完整性，同时使用鉴别对通过Internet进行的数据传输进行确认。可以看出，这是一种广义的访问控制，即通过加密实现的访问控制（只有具有某种权力和知道密码的主体才能访问相应的客体）。单独的VPN网关的主要功能是IPSe

31、c数据包的加密/解密处理和身份认证，没有很强的访问控制功能（状态包过滤、网络内容过滤、防DoS攻击等）。在独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层

32、过滤网关功能于一身的综合安全网关，可以提供各安全功能之间的完美联动、良好的兼容性和性能。FortiGate 的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议，提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说，既可以使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件， 也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接，还可以直接使用IE浏览器，通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用，不需要附加的软件。而用 IPSec 客户端软件的好处是高度的安全性保证，可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。由于充分利用了专用的ASIC芯片技术，处理复杂的VPN加密和认证过程，极大加快了VPN