1. 概述
计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展,网络速度越来越快,网络应用也越来越丰富多彩,使得病毒传播的风险也越来越大,造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计,目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时,无论是浏览WEB页面,还是通过FTP下载文件,或者是收发E-mail,甚至MSN聊天等,都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同,它们本身是一个病毒与***工具的结合体,当网络当中一台计算机感染蠕虫病毒后,它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞,并主动的将病毒传播到那些存在安全漏洞的计算机上,只要相关的安全漏洞没有通过安装补丁的方式加以弥补,蠕虫病毒就会这样以几何级数的增长速度在网络当中传播,即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽,造成网络拥堵,形成拒绝服务式***(DoS)。
因此,对于新型的网络蠕虫病毒,必须在网关处进行过滤,防止病毒进入内网。网关防病毒已经成为当前防病毒体系中的重中之重。
ICSA统计数据:90%以上是通过Internet传播的。不同于市场上其他基于软件处理的防病毒网关,FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒网关,可以提供高于同类产品数倍的防病毒性能,FortiGate高端型号采用了Fortinet最新一代ASIC芯片——FortiASIC CP8,最高可以达到单台10Gbps以上的HTTP防病毒吞吐量,均远超同类其它产品,对于Web浏览这样的实时应用的性能影响也微乎其微。
FortiGate目前的支持的病毒特征数量超过1500万个,而且防病毒特征可通过Internet自动更新,每天4次的病毒库更新频率是业界最高标准之一,可以确保用户在第一时间实现对最新型网络威胁的防御。FortiGate支持手动、自动、推送式更新。其中推送式更新当服务器上有新的特征库时,会主动“推送”至用户的FortiGate,响应速度最快。
FortiGate支持启发式扫描,对于未知病毒,可以根据其行为进行判断,及时将可疑的文件报告给用户。
Fortinet公司在国内的北京和天津成立了病毒及***防御研发中心,其中天津的研发中心与国家病毒应急响应中心密切合作,迅速捕获国内产生的病毒和***。这两个研发中心共有150名以上研发人员。
2. 外部病毒防御
FortiGate可以部署在Internet和内部网络之间,既可以阻挡来自Internet的病毒、蠕虫、***、间谍软件、恶意软件等,也可以防止内部用户向外发送这些病毒等安全威胁。
DMZ区的服务器也可使用FortiGate进行保护,防止病毒、蠕虫、***等***Web、Email、Proxy等服务器。
FortiGate的病毒过滤针对标准协议,与应用无关。无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,FortiGate都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播。FortiGate还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中,HTTP协议不使用TCP80端口,却使用了TCP8080端口),FortiGate同样可以对其中的病毒进行过滤。
在协议支持的全面性上,FortiGate走在了业界的前面。在FortiGate上启用防病毒功能,对HTTP、FTP、SMTP、POP3、IMAP、MAPI等协议进行过滤,便可将外网病毒传入内网的风险降至最低。
FortiGate支持基本病毒库和扩展病毒库,用户可以针对不同协议开启不同级别的安全保护,在安全和性能之间进行良好的平衡。
当邮件附件中带有病毒时,FortiGate会自动插入提醒信息,通知收件人由于附件带毒,所以被FortiGate删除。提示信息可以由管理员自己来设置。
管理员还可以使用FortiGate对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽,便可在FortiGate上设置,超过50M大小的文件一律阻止。
3. 内部病毒防御
虽然目前90%以上的病毒来自于Internet,但仍然有部分病毒通过其它途径进入内网,例如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络***的方式,利用网络中其它主机的安全漏洞进行传播,并可能导致DoS***。
如前图所示,除了在Internet出口处部署FortiGate之外,还可以在内网各区域(如下属单位、部门等)之间使用FortiGate进行隔离,防止一个区域感染的病毒扩散到其它区域。
另一方面,FortiGate安全网关不能仅针对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行病毒扫描,同时还能够基于IPS原理,识别各类蠕虫病毒的内网传播特征,对内网中的病毒传播进行定位和阻拦。
FortiGate的IPS功能还能限制单个IP地址产生的会话数量,防止蠕虫病毒爆发时导致的DoS/DDoS***;还能利用防火墙功能阻挡常见病毒的传播端口。以上功能均能协助防病毒功能,获得更好的防御效果。
当前的病毒传播方式多种多样,病毒、蠕虫、***、恶意软件、网络***等的界限越来越模糊,用户只有结合防病毒、IPS、防火墙等多项安全技术,才能真正有效地过滤新一代病毒。
4. 病毒扫描模式
FortiGate支持两种病毒扫描模式,分别是基于代理扫描和流扫描。
基于代理扫描
FortiGate充当代理接管网络流量,代理时对扫描的文件进行缓存,当文件缓存完毕后,进行重组并执行病毒扫描,直到扫描结束,不会发送数据到客户端和服务器。代理扫描模式可以提供高的准备率,但会带来比较高的延时。
流扫描
文件通过FortiGate时,逐包检查,没有文件重组过程。如果检测到病毒,最后一个包会被丢弃,或者连接会被reset,客户端不会收到完整的文件。流模式因为没有文件缓存的过程,因此执行效率较高,病毒扫描的延时也较小,但可能会出现漏报的情况。
您的企业网络正在不断发展。无论您是部署新的策略,以防止最新的威胁,还是使最新智能手机或平板访问安全,您的应用程序、内容、策略总是会不断变化的。同时,您必须确保您的安全解决方案不会成为网络瓶颈。
Fortinet 了解您所面临的保护大的动态环境安全的挑战。Fortinet灵活的网络安全解决方案系列,使您能够找到性价比都很高的方法来满足您的需求。许多全球最大的和最成功的机构依赖Fortinet来保护其数据和系统免受未经授权的访问的威胁。
FortiGate(R) 综合安全设备和虚拟设备是专为企业网络提供基本安全技术而设计的。由FortiASIC自定义处理器支持的FortiGate平台,为各种规模的网络提供 无与伦比的性能。FortiOS操作系统为企业提供最高水平的网络,内容和应用程序安全,包括防火墙,应用控制,VPN,入侵防御,内容过滤。全面的 IPv6就绪,使FortiGate系列降低网络的复杂性,加速部署,并提供扩展业务规模所需的灵活性。
无 论提供的分支机构或偏远地区办公地的数量有多少,FortiManagerTM 和FortiAnalyzerTM都提供集中和简化的管理,以及对服务提供商的网络和当前的威胁状况提供高度的可视性和分析。此 外,FortiGuard(R)服务提供实时自动更新,确保您的企业免受最新威胁的攻击。
Fortinet 还为您的企业提供额外的安全解决方案,包括FortiWebTM Web应用防火墙、FortiMailTM邮件安全、FortiDBTM数据库安全,以及FortiClientTM端点保护,为您的业务和网络的各个领域提供端对端的保护。
