飛塔FortiGate企業級下一代防火墻-上海三昶信息科技有限公司-綜合布線系統、一卡通門禁管理系統；計算機網絡系統、電子會議系統、產品分銷、專用安防網架設系統

飛塔FortiGate企業級下一代防火墻

（FortiGate）飛塔防火墻防病毒解決方案

1. 概述

計算機病毒一直是信息安全的主要威脅。而隨著網絡的不斷發展，網絡速度越來越快，網絡應用也越來越豐富多彩，使得病毒傳播的風險也越來越大，造成的破壞也越來越強。據ICSA(國際計算機安全協會)的統計，目前已經有超過90%的病毒是通過網絡進行傳播的。內網用戶訪問Internet時，無論是瀏覽WEB頁面，還是通過FTP下載文件，或者是收發E-mail，甚至MSN聊天等，都可能將Internet上的病毒帶入網內。而近幾年泛濫成災的網絡蠕蟲病毒(如紅色代碼、尼姆達、沖擊波、振蕩波等)跟傳統的通過光盤、軟盤等介質進行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結合體，當網絡當中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度(每秒幾百個線程)掃描網絡當中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數的增長速度在網絡當中傳播，即使計算機上安裝了帶有實時監控功能的防病毒軟件(包括單機版和網絡版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網絡帶寬，造成網絡擁堵，形成拒絕服務式攻擊(DoS)。

因此，對于新型的網絡蠕蟲病毒，必須在網關處進行過濾，防止病毒進入內網。網關防病毒已經成為當前防病毒體系中的重中之重。

ICSA統計數據：90%以上是通過Internet傳播的。不同于市場上其他基于軟件處理的防病毒網關，FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網關，可以提供高于同類產品數倍的防病毒性能，FortiGate高端型號采用了Fortinet最新一代ASIC芯片——FortiASIC CP8，最高可以達到單臺10Gbps以上的HTTP防病毒吞吐量，均遠超同類其它產品，對于Web瀏覽這樣的實時應用的性能影響也微乎其微。

FortiGate目前的支持的病毒特征數量超過1500萬個，而且防病毒特征可通過Internet自動更新，每天4次的病毒庫更新頻率是業界最高標準之一，可以確保用戶在第一時間實現對最新型網絡威脅的防御。FortiGate支持手動、自動、推送式更新。其中推送式更新當服務器上有新的特征庫時，會主動“推送”至用戶的FortiGate，響應速度最快。

FortiGate支持啟發式掃描，對于未知病毒，可以根據其行為進行判斷，及時將可疑的文件報告給用戶。

Fortinet公司在國內的北京和天津成立了病毒及入侵防御研發中心，其中天津的研發中心與國家病毒應急響應中心密切合作，迅速捕獲國內產生的病毒和入侵。這兩個研發中心共有150名以上研發人員。

2. 外部病毒防御

如下圖所示，FortiGate可以部署在Internet和內部網絡之間，既可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等，也可以防止內部用戶向外發送這些病毒等安全威脅。

DMZ區的服務器也可使用FortiGate進行保護，防止病毒、蠕蟲、木馬等攻擊Web、Email、Proxy等服務器。

FortiGate的病毒過濾針對標準協議，與應用無關。無論用戶使用何種Email服務器和客戶端，只要使用的是標準的SMTP、POP3、IMAP協議，FortiGate都可以對電子郵件中的病毒進行過濾，防止病毒通過郵件傳播。FortiGate還支持HTTP協議和FTP協議，對于Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。在支持協議的全面性上走在了業界的前方。對于使用非標準端口的協議應用(如在使用代理服務器的環境中，HTTP協議不使用TCP80端口，卻使用了TCP8080端口)，FortiGate同樣可以對其中的病毒進行過濾。

在協議支持的全面性上，FortiGate走在了業界的前面。在FortiGate上啟用防病毒功能，對HTTP、FTP、SMTP、POP3、IMAP、MAPI等協議進行過濾，便可將外網病毒傳入內網的風險降至最低。

FortiGate支持基本病毒庫和擴展病毒庫，用戶可以針對不同協議開啟不同級別的安全保護，在安全和性能之間進行良好的平衡。

當郵件附件中帶有病毒時，FortiGate會自動插入提醒信息，通知收件人由于附件帶毒，所以被FortiGate刪除。提示信息可以由管理員自己來設置。

管理員還可以使用FortiGate對超過一定大小的文件進行阻擋。例如管理員不希望內網用戶下載電影而大量占用網絡帶寬，便可在FortiGate上設置，超過50M大小的文件一律阻止。

3. 內部病毒防御

雖然目前90%以上的病毒來自于Internet，但仍然有部分病毒通過其它途徑進入內網，例如光盤、U盤、文件共享、移動用戶等。而病毒進入內網后通常采用網絡入侵的方式，利用網絡中其它主機的安全漏洞進行傳播，并可能導致DoS攻擊。

如前圖所示，除了在Internet出口處部署FortiGate之外，還可以在內網各區域(如下屬單位、部門等)之間使用FortiGate進行隔離，防止一個區域感染的病毒擴散到其它區域。

另一方面，FortiGate安全網關不能僅針對HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協議進行病毒掃描，同時還能夠基于IPS原理，識別各類蠕蟲病毒的內網傳播特征，對內網中的病毒傳播進行定位和阻攔。

FortiGate的IPS功能還能限制單個IP地址產生的會話數量，防止蠕蟲病毒爆發時導致的DoS/DDoS攻擊；還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協助防病毒功能，獲得更好的防御效果。

當前的病毒傳播方式多種多樣，病毒、蠕蟲、木馬、惡意軟件、網絡入侵等的界限越來越模糊，用戶只有結合防病毒、IPS、防火墻等多項安全技術，才能真正有效地過濾新一代病毒。

4. 病毒掃描模式

FortiGate支持兩種病毒掃描模式，分別是基于代理掃描和流掃描。

基于代理掃描

FortiGate充當代理接管網絡流量，代理時對掃描的文件進行緩存，當文件緩存完畢后，進行重組并執行病毒掃描，直到掃描結束，不會發送數據到客戶端和服務器。代理掃描模式可以提供高的準備率，但會帶來比較高的延時。

流掃描

文件通過FortiGate時，逐包檢查，沒有文件重組過程。如果檢測到病毒，最后一個包會被丟棄，或者連接會被reset，客戶端不會收到完整的文件。流模式因為沒有文件緩存的過程，因此執行效率較高，病毒掃描的延時也較小，但可能會出現漏報的情況。

飛塔FortiGate企業級下一代防火墻

FortiGate系列（100E、200E、300E、400E）

FortiGate系列為大中型企業提供下一代防火墻功能，可靈活部署在園區或企業分支機構中。通過安全處理器提供的高性能、安全效能和深度可視化來防范網絡威脅。

安全

l 可識別網絡流量中數千個應用程序，進行深度檢測并能精準地執行防火墻策略有效阻止加密以及非加密流量中的間諜軟件，漏洞利用及惡意網站的攻擊FortiGuardLabs提供了AI驅動的安全服務可源源不斷的供應威脅情報，識別阻止已知和未知的惡意攻擊，提供安全防護

性能

通過專用安全處理器（SPU）技術提供業界最佳的威脅防護性能，實現超低延時為SSL加密流量提供行業領先的安全性能和威脅保護

認證

經過獨立測試和驗證的最佳安全效能和性能榮獲NSSLabs，ICSA，VirusBulletin和AVComparatives無與倫比的第三方認證

網絡

一流的SD-WAN功能，可通過WAN路徑控制實現應用程序控制，帶來高質量的體驗提供高級網絡功能，高性能和可擴展的IPsecVPN功能

管理

包括高效，易于使用的管理控制臺，并提供全面的網絡自動化和可視化與SecurityFabric統一控制臺零配置部署預定義的合規檢查清單分析部署情況并突出最佳實踐，從而改善整體安全態勢

SecurityFabric

Fortinet和Fabric-ready合作伙伴的產品能夠密切集成和協作，并提供更廣泛的可視化、集成端到端檢測、威脅情報共享和自動矯正自動構建網絡拓撲可視化，用以發現IoT設備并提供對Fortinet和Fabric-ready的合作伙伴產品的完整可見性

FortiGate100E,101E,100EF和140E-POE

防火墻 IPS NGFW 威脅防護接口

7.4Gbps 500Mbps 360Mbps 250Mbps 20個GERJ45接口和2個RJ45/SFP共享接口

FortiGate200E和201E

防火墻 IPS NGFW 威脅防護接口

20Gbps 2.2Gbps 1.8Gbps 1.2Gbps 18個GERJ45接口和4個GESFP插槽

FortiGate300E和301E

防火墻 IPS NGFW 威脅防護接口

32Gbps 5Gbps 3.5Gbps 3Gbps 18個GERJ45接口和16個GESFP插槽

FortiGate400E和401E

防火墻 IPS NGFW 威脅防護接口

32Gbps 7.8Gbps 6Gbps 5Gbps 18個GERJ45接口和16個GESFP插槽

部署

l 下一代防火墻(NGFW)§將威脅防御安全功能與簡便操作的高性能網絡安全設備相結合

l 利用強大的功能識別阻止接口和協議的入侵防御，檢測網絡流量中的應用程序

l 使用行業規定的密碼密鑰組合,提供業界最高的SSL檢測性能，實現最大化投資回報率

l 實時阻止新檢測到的惡意復雜攻擊，及時提供威脅防護

安全SD-WAN

l 云應用程序安全直連互聯網，降低延時并減少WAN成本支出

l 經濟高效的威脅防護功能

l WAN路徑控制器和鏈路健康監控可提高應用程序性能和體驗質量

l 安全處理器帶來業界最佳的IPsecVPN和SSL檢查性能

l 簡化管理和零接觸部署

FortiGate在園區網絡中的部署(NGFW)FortiGate部署在分支機構中(安全SD-WAN)

SPU處理器

l 專用SPU處理器可提供在數個千兆位速度下檢測惡意內容的強大功能

l 其他安全技術無法抵御當今基于內容和連接的大量威脅，由于它們依賴于常用CPU，從而導致性能上達不到要求

l SPU處理器提供攔截新興威脅所需的性能，獲有嚴格的第三方認證，確保您的網絡安全解決方案不會成為網絡瓶頸

網絡處理加速器

Fortinet創新突破的SPUNP6網絡處理器可與FortiOS功能協同工作，共同提供：

l 出色的防火墻性能，適用于IPv4/IPv6，SCTP和組播流量，具有低至2微秒的超低時延

l VPN，CAPWAP和IP隧道加速§基于異常行為的入侵防御，校驗卸載和數據包碎片整理

l 流量整形和優先級隊列

內容處理加速器

Fortinet創新突破的SPUCP9內容處理器不受直接網絡流量影響，可加速對計算密集型安全功能的檢查：

l 完善的IPS性能，具有針對SPU進行簽名匹配的獨特功能

l 基于最新的行業規定的密碼密鑰組合的SSL檢測功能

l 加密和解密卸載

Fortinet Security Fabric

Security Fabric

Security Fabric 極具開放與整合能力，可在所有 Fortinet 設備及其系統組件的部署中提供廣泛的可視性，集成了具有 AI 驅動的防破壞功能，可自動操作，編制策略以及響應威脅。整個安全性能可以隨著工作的負載和數據的增加動態擴展并彈性適應。對于整個網絡，包括物聯網、設備和云環境之間的移動數據、用戶和應用程序做到無縫跟查并保護。所有這些領先的安全功能都在一個統一控制臺下緊密地聯系在一起，大大降低了整個系統的復雜性。 FortiGates 是 Security Fabric 的基礎，它通過與其他 Fortinet 安全產品和 Fabric-Ready Partner 技術伙伴解決方案緊密集成，通過可見性和控制來擴展安全性。

FortiOS

控制整個 FortiGate 平臺所有安全和網絡功能的一個可視化的安全操作系統。這個真正的下一代安全整合平臺可降低復雜性，減少運營費用，節約時間成本。

l 一個高度集成的平臺通過單一操作系統和統一控制臺管理所有 FortiGate 平臺上的全部安全和網絡服務。

l 行業領先的防護功能：安全防護效果和性能獲得 NSS Labs 推薦并通過 VB100、AV Comparatives 和 ICSA 等機構驗證。能夠利用最新技術，例如基于欺騙的安全防護。

l 真正支持 TLS 1.3，而且還可以基于數百萬個實時 URL 評級控制數千個應用程序，阻止最新漏洞利用和過濾網絡流量。

l 通過集成的AI驅動違規預防和高級威脅防護，能夠在數分鐘內自動預防，檢測和緩解高級攻擊。

l 通過創新的SD-WAN功能和基于意圖的網絡細分進行檢測，遏制和隔離威脅的能力，改善用戶體驗。

l 利用SPU硬件加速提高安全服務性能。