• 解決方案

  SOLUTION CENTER
• IDC方案設(shè)計(jì)
• 云服務(wù)
• 智能化弱電系統(tǒng)集成
• IT外包服務(wù)

飛塔FortiGate企業(yè)級(jí)下一代防火墻

（FortiGate）飛塔防火墻防病毒解決方案

1. 概述

計(jì)算機(jī)病毒一直是信息安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險(xiǎn)也越來越大，造成的破壞也越來越強(qiáng)。據(jù)ICSA(國際計(jì)算機(jī)安全協(xié)會(huì))的統(tǒng)計(jì)，目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的。內(nèi)網(wǎng)用戶訪問Internet時(shí)，無論是瀏覽WEB頁面，還是通過FTP下載文件，或者是收發(fā)E-mail，甚至MSN聊天等，都可能將Internet上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒(如紅色代碼、尼姆達(dá)、沖擊波、振蕩波等)跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進(jìn)行傳播的基于文件的病毒有很大的不同，它們本身是一個(gè)病毒與黑客工具的結(jié)合體，當(dāng)網(wǎng)絡(luò)當(dāng)中一臺(tái)計(jì)算機(jī)感染蠕蟲病毒后，它會(huì)自動(dòng)的以極快的速度(每秒幾百個(gè)線程)掃描網(wǎng)絡(luò)當(dāng)中其他計(jì)算機(jī)的安全漏洞，并主動(dòng)的將病毒傳播到那些存在安全漏洞的計(jì)算機(jī)上，只要相關(guān)的安全漏洞沒有通過安裝補(bǔ)丁的方式加以彌補(bǔ)，蠕蟲病毒就會(huì)這樣以幾何級(jí)數(shù)的增長速度在網(wǎng)絡(luò)當(dāng)中傳播，即使計(jì)算機(jī)上安裝了帶有實(shí)時(shí)監(jiān)控功能的防病毒軟件(包括單機(jī)版和網(wǎng)絡(luò)版)對(duì)此也無能為力。蠕蟲病毒的傳播還會(huì)大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊(DoS)。

因此，對(duì)于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進(jìn)行過濾，防止病毒進(jìn)入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為當(dāng)前防病毒體系中的重中之重。

ICSA統(tǒng)計(jì)數(shù)據(jù)：90%以上是通過Internet傳播的。不同于市場(chǎng)上其他基于軟件處理的防病毒網(wǎng)關(guān)，FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網(wǎng)關(guān)，可以提供高于同類產(chǎn)品數(shù)倍的防病毒性能，FortiGate高端型號(hào)采用了Fortinet最新一代ASIC芯片——FortiASIC CP8，最高可以達(dá)到單臺(tái)10Gbps以上的HTTP防病毒吞吐量，均遠(yuǎn)超同類其它產(chǎn)品，對(duì)于Web瀏覽這樣的實(shí)時(shí)應(yīng)用的性能影響也微乎其微。

FortiGate目前的支持的病毒特征數(shù)量超過1500萬個(gè)，而且防病毒特征可通過Internet自動(dòng)更新，每天4次的病毒庫更新頻率是業(yè)界最高標(biāo)準(zhǔn)之一，可以確保用戶在第一時(shí)間實(shí)現(xiàn)對(duì)最新型網(wǎng)絡(luò)威脅的防御。FortiGate支持手動(dòng)、自動(dòng)、推送式更新。其中推送式更新當(dāng)服務(wù)器上有新的特征庫時(shí)，會(huì)主動(dòng)“推送”至用戶的FortiGate，響應(yīng)速度最快。

FortiGate支持啟發(fā)式掃描，對(duì)于未知病毒，可以根據(jù)其行為進(jìn)行判斷，及時(shí)將可疑的文件報(bào)告給用戶。

Fortinet公司在國內(nèi)的北京和天津成立了病毒及入侵防御研發(fā)中心，其中天津的研發(fā)中心與國家病毒應(yīng)急響應(yīng)中心密切合作，迅速捕獲國內(nèi)產(chǎn)生的病毒和入侵。這兩個(gè)研發(fā)中心共有150名以上研發(fā)人員。

2. 外部病毒防御

如下圖所示，FortiGate可以部署在Internet和內(nèi)部網(wǎng)絡(luò)之間，既可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等，也可以防止內(nèi)部用戶向外發(fā)送這些病毒等安全威脅。

DMZ區(qū)的服務(wù)器也可使用FortiGate進(jìn)行保護(hù)，防止病毒、蠕蟲、木馬等攻擊Web、Email、Proxy等服務(wù)器。

FortiGate的病毒過濾針對(duì)標(biāo)準(zhǔn)協(xié)議，與應(yīng)用無關(guān)。無論用戶使用何種Email服務(wù)器和客戶端，只要使用的是標(biāo)準(zhǔn)的SMTP、POP3、IMAP協(xié)議，FortiGate都可以對(duì)電子郵件中的病毒進(jìn)行過濾，防止病毒通過郵件傳播。FortiGate還支持HTTP協(xié)議和FTP協(xié)議，對(duì)于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進(jìn)行攔截。在支持協(xié)議的全面性上走在了業(yè)界的前方。對(duì)于使用非標(biāo)準(zhǔn)端口的協(xié)議應(yīng)用(如在使用代理服務(wù)器的環(huán)境中，HTTP協(xié)議不使用TCP80端口，卻使用了TCP8080端口)，FortiGate同樣可以對(duì)其中的病毒進(jìn)行過濾。

在協(xié)議支持的全面性上，FortiGate走在了業(yè)界的前面。在FortiGate上啟用防病毒功能，對(duì)HTTP、FTP、SMTP、POP3、IMAP、MAPI等協(xié)議進(jìn)行過濾，便可將外網(wǎng)病毒傳入內(nèi)網(wǎng)的風(fēng)險(xiǎn)降至最低。

FortiGate支持基本病毒庫和擴(kuò)展病毒庫，用戶可以針對(duì)不同協(xié)議開啟不同級(jí)別的安全保護(hù)，在安全和性能之間進(jìn)行良好的平衡。

當(dāng)郵件附件中帶有病毒時(shí)，FortiGate會(huì)自動(dòng)插入提醒信息，通知收件人由于附件帶毒，所以被FortiGate刪除。提示信息可以由管理員自己來設(shè)置。

管理員還可以使用FortiGate對(duì)超過一定大小的文件進(jìn)行阻擋。例如管理員不希望內(nèi)網(wǎng)用戶下載電影而大量占用網(wǎng)絡(luò)帶寬，便可在FortiGate上設(shè)置，超過50M大小的文件一律阻止。

3. 內(nèi)部病毒防御

雖然目前90%以上的病毒來自于Internet，但仍然有部分病毒通過其它途徑進(jìn)入內(nèi)網(wǎng)，例如光盤、U盤、文件共享、移動(dòng)用戶等。而病毒進(jìn)入內(nèi)網(wǎng)后通常采用網(wǎng)絡(luò)入侵的方式，利用網(wǎng)絡(luò)中其它主機(jī)的安全漏洞進(jìn)行傳播，并可能導(dǎo)致DoS攻擊。

如前圖所示，除了在Internet出口處部署FortiGate之外，還可以在內(nèi)網(wǎng)各區(qū)域(如下屬單位、部門等)之間使用FortiGate進(jìn)行隔離，防止一個(gè)區(qū)域感染的病毒擴(kuò)散到其它區(qū)域。

另一方面，FortiGate安全網(wǎng)關(guān)不能僅針對(duì)HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協(xié)議進(jìn)行病毒掃描，同時(shí)還能夠基于IPS原理，識(shí)別各類蠕蟲病毒的內(nèi)網(wǎng)傳播特征，對(duì)內(nèi)網(wǎng)中的病毒傳播進(jìn)行定位和阻攔。

FortiGate的IPS功能還能限制單個(gè)IP地址產(chǎn)生的會(huì)話數(shù)量，防止蠕蟲病毒爆發(fā)時(shí)導(dǎo)致的DoS/DDoS攻擊；還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協(xié)助防病毒功能，獲得更好的防御效果。

當(dāng)前的病毒傳播方式多種多樣，病毒、蠕蟲、木馬、惡意軟件、網(wǎng)絡(luò)入侵等的界限越來越模糊，用戶只有結(jié)合防病毒、IPS、防火墻等多項(xiàng)安全技術(shù)，才能真正有效地過濾新一代病毒。

4. 病毒掃描模式

FortiGate支持兩種病毒掃描模式，分別是基于代理掃描和流掃描。

基于代理掃描

FortiGate充當(dāng)代理接管網(wǎng)絡(luò)流量，代理時(shí)對(duì)掃描的文件進(jìn)行緩存，當(dāng)文件緩存完畢后，進(jìn)行重組并執(zhí)行病毒掃描，直到掃描結(jié)束，不會(huì)發(fā)送數(shù)據(jù)到客戶端和服務(wù)器。代理掃描模式可以提供高的準(zhǔn)備率，但會(huì)帶來比較高的延時(shí)。

流掃描

文件通過FortiGate時(shí)，逐包檢查，沒有文件重組過程。如果檢測(cè)到病毒，最后一個(gè)包會(huì)被丟棄，或者連接會(huì)被reset，客戶端不會(huì)收到完整的文件。流模式因?yàn)闆]有文件緩存的過程，因此執(zhí)行效率較高，病毒掃描的延時(shí)也較小，但可能會(huì)出現(xiàn)漏報(bào)的情況。

飛塔FortiGate企業(yè)級(jí)下一代防火墻

FortiGate系列（100E、200E、300E、400E）

FortiGate系列為大中型企業(yè)提供下一代防火墻功能，可靈活部署在園區(qū)或企業(yè)分支機(jī)構(gòu)中。通過安全處理器提供的高性能、安全效能和深度可視化來防范網(wǎng)絡(luò)威脅。

安全

l  可識(shí)別網(wǎng)絡(luò)流量中數(shù)千個(gè)應(yīng)用程序，進(jìn)行深度檢測(cè)并能精準(zhǔn)地執(zhí)行防火墻策略有效阻止加密以及非加密流量中的間諜軟件，漏洞利用及惡意網(wǎng)站的攻擊FortiGuardLabs提供了AI驅(qū)動(dòng)的安全服務(wù)可源源不斷的供應(yīng)威脅情報(bào)，識(shí)別阻止已知和未知的惡意攻擊，提供安全防護(hù)

性能

通過專用安全處理器（SPU）技術(shù)提供業(yè)界最佳的威脅防護(hù)性能，實(shí)現(xiàn)超低延時(shí)為SSL加密流量提供行業(yè)領(lǐng)先的安全性能和威脅保護(hù)

認(rèn)證

經(jīng)過獨(dú)立測(cè)試和驗(yàn)證的最佳安全效能和性能榮獲NSSLabs，ICSA，VirusBulletin和AVComparatives無與倫比的第三方認(rèn)證

網(wǎng)絡(luò)

一流的SD-WAN功能，可通過WAN路徑控制實(shí)現(xiàn)應(yīng)用程序控制，帶來高質(zhì)量的體驗(yàn)提供高級(jí)網(wǎng)絡(luò)功能，高性能和可擴(kuò)展的IPsecVPN功能

管理

包括高效，易于使用的管理控制臺(tái)，并提供全面的網(wǎng)絡(luò)自動(dòng)化和可視化與SecurityFabric統(tǒng)一控制臺(tái)零配置部署預(yù)定義的合規(guī)檢查清單分析部署情況并突出最佳實(shí)踐，從而改善整體安全態(tài)勢(shì)

SecurityFabric

Fortinet和Fabric-ready合作伙伴的產(chǎn)品能夠密切集成和協(xié)作，并提供更廣泛的可視化、集成端到端檢測(cè)、威脅情報(bào)共享和自動(dòng)矯正自動(dòng)構(gòu)建網(wǎng)絡(luò)拓?fù)淇梢暬?，用以發(fā)現(xiàn)IoT設(shè)備并提供對(duì)Fortinet和Fabric-ready的合作伙伴產(chǎn)品的完整可見性

FortiGate100E,101E,100EF和140E-POE

防火墻    IPS      NGFW    威脅防護(hù)   接口

7.4Gbps   500Mbps  360Mbps  250Mbps  20個(gè)GERJ45接口和2個(gè)RJ45/SFP共享接口

FortiGate200E和201E

防火墻    IPS      NGFW     威脅防護(hù)   接口

20Gbps    2.2Gbps  1.8Gbps  1.2Gbps    18個(gè)GERJ45接口和4個(gè)GESFP插槽

FortiGate300E和301E

防火墻    IPS      NGFW     威脅防護(hù)   接口

32Gbps    5Gbps    3.5Gbps   3Gbps    18個(gè)GERJ45接口和16個(gè)GESFP插槽

FortiGate400E和401E

防火墻    IPS        NGFW     威脅防護(hù)   接口

32Gbps    7.8Gbps    6Gbps    5Gbps      18個(gè)GERJ45接口和16個(gè)GESFP插槽

部署

l  下一代防火墻(NGFW)§將威脅防御安全功能與簡(jiǎn)便操作的高性能網(wǎng)絡(luò)安全設(shè)備相結(jié)合

l  利用強(qiáng)大的功能識(shí)別阻止接口和協(xié)議的入侵防御，檢測(cè)網(wǎng)絡(luò)流量中的應(yīng)用程序

l  使用行業(yè)規(guī)定的密碼密鑰組合,提供業(yè)界最高的SSL檢測(cè)性能，實(shí)現(xiàn)最大化投資回報(bào)率

l  實(shí)時(shí)阻止新檢測(cè)到的惡意復(fù)雜攻擊，及時(shí)提供威脅防護(hù)

安全SD-WAN

l  云應(yīng)用程序安全直連互聯(lián)網(wǎng)，降低延時(shí)并減少WAN成本支出

l  經(jīng)濟(jì)高效的威脅防護(hù)功能

l  WAN路徑控制器和鏈路健康監(jiān)控可提高應(yīng)用程序性能和體驗(yàn)質(zhì)量

l  安全處理器帶來業(yè)界最佳的IPsecVPN和SSL檢查性能

l  簡(jiǎn)化管理和零接觸部署

FortiGate在園區(qū)網(wǎng)絡(luò)中的部署(NGFW)FortiGate部署在分支機(jī)構(gòu)中(安全SD-WAN)

SPU處理器

l  專用SPU處理器可提供在數(shù)個(gè)千兆位速度下檢測(cè)惡意內(nèi)容的強(qiáng)大功能

l  其他安全技術(shù)無法抵御當(dāng)今基于內(nèi)容和連接的大量威脅，由于它們依賴于常用CPU，從而導(dǎo)致性能上達(dá)不到要求

l  SPU處理器提供攔截新興威脅所需的性能，獲有嚴(yán)格的第三方認(rèn)證，確保您的網(wǎng)絡(luò)安全解決方案不會(huì)成為網(wǎng)絡(luò)瓶頸

網(wǎng)絡(luò)處理加速器

Fortinet創(chuàng)新突破的SPUNP6網(wǎng)絡(luò)處理器可與FortiOS功能協(xié)同工作，共同提供：

l  出色的防火墻性能，適用于IPv4/IPv6，SCTP和組播流量，具有低至2微秒的超低時(shí)延

l  VPN，CAPWAP和IP隧道加速§基于異常行為的入侵防御，校驗(yàn)卸載和數(shù)據(jù)包碎片整理

l  流量整形和優(yōu)先級(jí)隊(duì)列

內(nèi)容處理加速器

Fortinet創(chuàng)新突破的SPUCP9內(nèi)容處理器不受直接網(wǎng)絡(luò)流量影響，可加速對(duì)計(jì)算密集型安全功能的檢查：

l  完善的IPS性能，具有針對(duì)SPU進(jìn)行簽名匹配的獨(dú)特功能

l  基于最新的行業(yè)規(guī)定的密碼密鑰組合的SSL檢測(cè)功能

l  加密和解密卸載

Fortinet Security Fabric

Security Fabric

Security Fabric 極具開放與整合能力，可在所有 Fortinet 設(shè)備及其 系統(tǒng)組件的部署中提供廣泛的可視性，集成了具有 AI 驅(qū)動(dòng)的防破壞 功能，可自動(dòng)操作，編制策略以及響應(yīng)威脅。整個(gè)安全性能可以隨著 工作的負(fù)載和數(shù)據(jù)的增加動(dòng)態(tài)擴(kuò)展并彈性適應(yīng)。對(duì)于整個(gè)網(wǎng)絡(luò)，包 括物聯(lián)網(wǎng)、設(shè)備和云環(huán)境之間的移動(dòng)數(shù)據(jù)、用戶和應(yīng)用程序做到無 縫跟查并保護(hù)。所有這些領(lǐng)先的安全功能都在一個(gè)統(tǒng)一控制臺(tái)下緊 密地聯(lián)系在一起，大大降低了整個(gè)系統(tǒng)的復(fù)雜性。 FortiGates 是 Security Fabric 的基礎(chǔ)，它通過與其他 Fortinet 安全 產(chǎn)品和 Fabric-Ready Partner 技術(shù)伙伴解決方案緊密集成，通過可 見性和控制來擴(kuò)展安全性。

FortiOS

控制整個(gè) FortiGate 平臺(tái)所有安全和網(wǎng)絡(luò)功能的一個(gè)可視化的安全 操作系統(tǒng)。這個(gè)真正的下一代安全整合平臺(tái)可降低復(fù)雜性，減少運(yùn)營 費(fèi)用，節(jié)約時(shí)間成本。

l  一個(gè)高度集成的平臺(tái)通過單一操作系統(tǒng)和統(tǒng)一控制臺(tái)管理所有 FortiGate 平臺(tái)上的全部安全和網(wǎng)絡(luò)服務(wù)。

l  行業(yè)領(lǐng)先的防護(hù)功能：安全防護(hù)效果和性能獲得 NSS Labs 推薦 并通過 VB100、AV Comparatives 和 ICSA 等機(jī)構(gòu)驗(yàn)證。能夠利用 最新技術(shù)，例如基于欺騙的安全防護(hù)。

l  真正支持 TLS 1.3，而且還可以基于數(shù)百萬個(gè)實(shí)時(shí) URL 評(píng)級(jí)控制 數(shù)千個(gè)應(yīng)用程序，阻止最新漏洞利用和過濾網(wǎng)絡(luò)流量。

l  通過集成的AI驅(qū)動(dòng)違規(guī)預(yù)防和高級(jí)威脅防護(hù)，能夠在數(shù)分鐘內(nèi)自 動(dòng)預(yù)防，檢測(cè)和緩解高級(jí)攻擊。

l  通過創(chuàng)新的SD-WAN功能和基于意圖的網(wǎng)絡(luò)細(xì)分進(jìn)行檢測(cè)，遏制 和隔離威脅的能力，改善用戶體驗(yàn)。

l  利用SPU硬件加速提高安全服務(wù)性能 。