1. 程式人生 > >(FortiGate)飛塔防火墻防病毒解決方案

(FortiGate)飛塔防火墻防病毒解決方案

安全網關 安全網 保護 提示信息 代理服務 超過 如果 出口 進行

技術分享圖片


1. 概述

計算機病毒一直是信息安全的主要威脅。而隨著網絡的不斷發展,網絡速度越來越快,網絡應用也越來越豐富多彩,使得病毒傳播的風險也越來越大,造成的破壞也越來越強。據ICSA(國際計算機安全協會)的統計,目前已經有超過90%的病毒是通過網絡進行傳播的。內網用戶訪問Internet時,無論是瀏覽WEB頁面,還是通過FTP下載文件,或者是收發E-mail,甚至MSN聊天等,都可能將Internet上的病毒帶入網內。而近幾年泛濫成災的網絡蠕蟲病毒(如紅色代碼、尼姆達、沖擊波、振蕩波等)跟傳統的通過光盤、軟盤等介質進行傳播的基於文件的病毒有很大的不同,它們本身是一個病毒與黑客工具的結合體,當網絡當中一臺計算機感染蠕蟲病毒後,它會自動的以極快的速度(每秒幾百個線程)掃描網絡當中其他計算機的安全漏洞,並主動的將病毒傳播到那些存在安全漏洞的計算機上,只要相關的安全漏洞沒有通過安裝補丁的方式加以彌補,蠕蟲病毒就會這樣以幾何級數的增長速度在網絡當中傳播,即使計算機上安裝了帶有實時監控功能的防病毒軟件(包括單機版和網絡版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網絡帶寬,造成網絡擁堵,形成拒絕服務式攻擊(DoS)。

因此,對於新型的網絡蠕蟲病毒,必須在網關處進行過濾,防止病毒進入內網。網關防病毒已經成為當前防病毒體系中的重中之重。


技術分享圖片


ICSA統計數據:90%以上是通過Internet傳播的。不同於市場上其他基於軟件處理的防病毒網關,FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網關,可以提供高於同類產品數倍的防病毒性能,FortiGate高端型號采用了Fortinet最新一代ASIC芯片——FortiASIC CP8,最高可以達到單臺10Gbps以上的HTTP防病毒吞吐量,均遠超同類其它產品,對於Web瀏覽這樣的實時應用的性能影響也微乎其微。

FortiGate目前的支持的病毒特征數量超過1500萬個,而且防病毒特征可通過Internet自動更新,每天4次的病毒庫更新頻率是業界最高標準之一,可以確保用戶在第一時間實現對最新型網絡威脅的防禦。FortiGate支持手動、自動、推送式更新。其中推送式更新當服務器上有新的特征庫時,會主動“推送”至用戶的FortiGate,響應速度最快。

FortiGate支持啟發式掃描,對於未知病毒,可以根據其行為進行判斷,及時將可疑的文件報告給用戶。

Fortinet公司在國內的北京和天津成立了病毒及入侵防禦研發中心,其中天津的研發中心與國家病毒應急響應中心密切合作,迅速捕獲國內產生的病毒和入侵。這兩個研發中心共有150名以上研發人員。


2. 外部病毒防禦

如下圖所示,FortiGate可以部署在Internet和內部網絡之間,既可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等,也可以防止內部用戶向外發送這些病毒等安全威脅。

DMZ區的服務器也可使用FortiGate進行保護,防止病毒、蠕蟲、木馬等攻擊Web、Email、Proxy等服務器。


技術分享圖片


FortiGate的病毒過濾針對標準協議,與應用無關。無論用戶使用何種Email服務器和客戶端,只要使用的是標準的SMTP、POP3、IMAP協議,FortiGate都可以對電子郵件中的病毒進行過濾,防止病毒通過郵件傳播。FortiGate還支持HTTP協議和FTP協議,對於Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。在支持協議的全面性上走在了業界的前方。對於使用非標準端口的協議應用(如在使用代理服務器的環境中,HTTP協議不使用TCP80端口,卻使用了TCP8080端口),FortiGate同樣可以對其中的病毒進行過濾。

在協議支持的全面性上,FortiGate走在了業界的前面。在FortiGate上啟用防病毒功能,對HTTP、FTP、SMTP、POP3、IMAP、MAPI等協議進行過濾,便可將外網病毒傳入內網的風險降至最低。


技術分享圖片


FortiGate支持基本病毒庫和擴展病毒庫,用戶可以針對不同協議開啟不同級別的安全保護,在安全和性能之間進行良好的平衡。

當郵件附件中帶有病毒時,FortiGate會自動插入提醒信息,通知收件人由於附件帶毒,所以被FortiGate刪除。提示信息可以由管理員自己來設置。


技術分享圖片


管理員還可以使用FortiGate對超過一定大小的文件進行阻擋。例如管理員不希望內網用戶下載電影而大量占用網絡帶寬,便可在FortiGate上設置,超過50M大小的文件一律阻止。


3. 內部病毒防禦

雖然目前90%以上的病毒來自於Internet,但仍然有部分病毒通過其它途徑進入內網,例如光盤、U盤、文件共享、移動用戶等。而病毒進入內網後通常采用網絡入侵的方式,利用網絡中其它主機的安全漏洞進行傳播,並可能導致DoS攻擊。

如前圖所示,除了在Internet出口處部署FortiGate之外,還可以在內網各區域(如下屬單位、部門等)之間使用FortiGate進行隔離,防止一個區域感染的病毒擴散到其它區域。

另一方面,FortiGate安全網關不能僅針對HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協議進行病毒掃描,同時還能夠基於IPS原理,識別各類蠕蟲病毒的內網傳播特征,對內網中的病毒傳播進行定位和阻攔。


技術分享圖片


FortiGate的IPS功能還能限制單個IP地址產生的會話數量,防止蠕蟲病毒爆發時導致的DoS/DDoS攻擊;還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協助防病毒功能,獲得更好的防禦效果。

當前的病毒傳播方式多種多樣,病毒、蠕蟲、木馬、惡意軟件、網絡入侵等的界限越來越模糊,用戶只有結合防病毒、IPS、防火墻等多項安全技術,才能真正有效地過濾新一代病毒。


4. 病毒掃描模式

FortiGate支持兩種病毒掃描模式,分別是基於代理掃描和流掃描。

基於代理掃描

FortiGate充當代理接管網絡流量,代理時對掃描的文件進行緩存,當文件緩存完畢後,進行重組並執行病毒掃描,直到掃描結束,不會發送數據到客戶端和服務器。代理掃描模式可以提供高的準備率,但會帶來比較高的延時。


技術分享圖片


流掃描

文件通過FortiGate時,逐包檢查,沒有文件重組過程。如果檢測到病毒,最後一個包會被丟棄,或者連接會被reset,客戶端不會收到完整的文件。流模式因為沒有文件緩存的過程,因此執行效率較高,病毒掃描的延時也較小,但可能會出現漏報的情況。


技術分享圖片



(FortiGate)飛塔防火墻防病毒解決方案