飞塔FortiGate企业级下一代防火墙-上海三昶信息科技有限公司-综合布线系统、一卡通门禁管理系统；计算机网络系统、电子会议系统、产品分销、专用安防网架设系统

（FortiGate）飞塔防火墙防病毒解决方案

1. 概述

计算机病毒一直是信息安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据ICSA(国际计算机安全协会)的统计，目前已经有超过90%的病毒是通过网络进行传播的。内网用户访问Internet时，无论是浏览WEB页面，还是通过FTP下载文件，或者是收发E-mail，甚至MSN聊天等，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒(如红色代码、尼姆达、冲击波、振荡波等)跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体，当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度(每秒几百个线程)扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件(包括单机版和网络版)对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击(DoS)。

因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为当前防病毒体系中的重中之重。

ICSA统计数据：90%以上是通过Internet传播的。不同于市场上其他基于软件处理的防病毒网关，FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒网关，可以提供高于同类产品数倍的防病毒性能，FortiGate高端型号采用了Fortinet最新一代ASIC芯片——FortiASIC CP8，最高可以达到单台10Gbps以上的HTTP防病毒吞吐量，均远超同类其它产品，对于Web浏览这样的实时应用的性能影响也微乎其微。

FortiGate目前的支持的病毒特征数量超过1500万个，而且防病毒特征可通过Internet自动更新，每天4次的病毒库更新频率是业界最高标准之一，可以确保用户在第一时间实现对最新型网络威胁的防御。FortiGate支持手动、自动、推送式更新。其中推送式更新当服务器上有新的特征库时，会主动“推送”至用户的FortiGate，响应速度最快。

FortiGate支持启发式扫描，对于未知病毒，可以根据其行为进行判断，及时将可疑的文件报告给用户。

Fortinet公司在国内的北京和天津成立了病毒及入侵防御研发中心，其中天津的研发中心与国家病毒应急响应中心密切合作，迅速捕获国内产生的病毒和入侵。这两个研发中心共有150名以上研发人员。

2. 外部病毒防御

如下图所示，FortiGate可以部署在Internet和内部网络之间，既可以阻挡来自Internet的病毒、蠕虫、木马、间谍软件、恶意软件等，也可以防止内部用户向外发送这些病毒等安全威胁。

DMZ区的服务器也可使用FortiGate进行保护，防止病毒、蠕虫、木马等攻击Web、Email、Proxy等服务器。

FortiGate的病毒过滤针对标准协议，与应用无关。无论用户使用何种Email服务器和客户端，只要使用的是标准的SMTP、POP3、IMAP协议，FortiGate都可以对电子邮件中的病毒进行过滤，防止病毒通过邮件传播。FortiGate还支持HTTP协议和FTP协议，对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中，HTTP协议不使用TCP80端口，却使用了TCP8080端口)，FortiGate同样可以对其中的病毒进行过滤。

在协议支持的全面性上，FortiGate走在了业界的前面。在FortiGate上启用防病毒功能，对HTTP、FTP、SMTP、POP3、IMAP、MAPI等协议进行过滤，便可将外网病毒传入内网的风险降至最低。

FortiGate支持基本病毒库和扩展病毒库，用户可以针对不同协议开启不同级别的安全保护，在安全和性能之间进行良好的平衡。

当邮件附件中带有病毒时，FortiGate会自动插入提醒信息，通知收件人由于附件带毒，所以被FortiGate删除。提示信息可以由管理员自己来设置。

管理员还可以使用FortiGate对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽，便可在FortiGate上设置，超过50M大小的文件一律阻止。

3. 内部病毒防御

虽然目前90%以上的病毒来自于Internet，但仍然有部分病毒通过其它途径进入内网，例如光盘、U盘、文件共享、移动用户等。而病毒进入内网后通常采用网络入侵的方式，利用网络中其它主机的安全漏洞进行传播，并可能导致DoS攻击。

如前图所示，除了在Internet出口处部署FortiGate之外，还可以在内网各区域(如下属单位、部门等)之间使用FortiGate进行隔离，防止一个区域感染的病毒扩散到其它区域。

另一方面，FortiGate安全网关不能仅针对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行病毒扫描，同时还能够基于IPS原理，识别各类蠕虫病毒的内网传播特征，对内网中的病毒传播进行定位和阻拦。

FortiGate的IPS功能还能限制单个IP地址产生的会话数量，防止蠕虫病毒爆发时导致的DoS/DDoS攻击；还能利用防火墙功能阻挡常见病毒的传播端口。以上功能均能协助防病毒功能，获得更好的防御效果。

当前的病毒传播方式多种多样，病毒、蠕虫、木马、恶意软件、网络入侵等的界限越来越模糊，用户只有结合防病毒、IPS、防火墙等多项安全技术，才能真正有效地过滤新一代病毒。

4. 病毒扫描模式

FortiGate支持两种病毒扫描模式，分别是基于代理扫描和流扫描。

基于代理扫描

FortiGate充当代理接管网络流量，代理时对扫描的文件进行缓存，当文件缓存完毕后，进行重组并执行病毒扫描，直到扫描结束，不会发送数据到客户端和服务器。代理扫描模式可以提供高的准备率，但会带来比较高的延时。

流扫描

文件通过FortiGate时，逐包检查，没有文件重组过程。如果检测到病毒，最后一个包会被丢弃，或者连接会被reset，客户端不会收到完整的文件。流模式因为没有文件缓存的过程，因此执行效率较高，病毒扫描的延时也较小，但可能会出现漏报的情况。

飞塔FortiGate企业级下一代防火墙

FortiGate系列（100E、200E、300E、400E）

FortiGate系列为大中型企业提供下一代防火墙功能，可灵活部署在园区或企业分支机构中。通过安全处理器提供的高性能、安全效能和深度可视化来防范网络威胁。

安全

l 可识别网络流量中数千个应用程序，进行深度检测并能精准地执行防火墙策略有效阻止加密以及非加密流量中的间谍软件，漏洞利用及恶意网站的攻击FortiGuardLabs提供了AI驱动的安全服务可源源不断的供应威胁情报，识别阻止已知和未知的恶意攻击，提供安全防护

性能

通过专用安全处理器（SPU）技术提供业界最佳的威胁防护性能，实现超低延时为SSL加密流量提供行业领先的安全性能和威胁保护

认证

经过独立测试和验证的最佳安全效能和性能荣获NSSLabs，ICSA，VirusBulletin和AVComparatives无与伦比的第三方认证

网络

一流的SD-WAN功能，可通过WAN路径控制实现应用程序控制，带来高质量的体验提供高级网络功能，高性能和可扩展的IPsecVPN功能

管理

包括高效，易于使用的管理控制台，并提供全面的网络自动化和可视化与SecurityFabric统一控制台零配置部署预定义的合规检查清单分析部署情况并突出最佳实践，从而改善整体安全态势

SecurityFabric

Fortinet和Fabric-ready合作伙伴的产品能够密切集成和协作，并提供更广泛的可视化、集成端到端检测、威胁情报共享和自动矫正自动构建网络拓扑可视化，用以发现IoT设备并提供对Fortinet和Fabric-ready的合作伙伴产品的完整可见性

FortiGate100E,101E,100EF和140E-POE

防火墙 IPS NGFW 威胁防护接口

7.4Gbps 500Mbps 360Mbps 250Mbps 20个GERJ45接口和2个RJ45/SFP共享接口

FortiGate200E和201E

防火墙 IPS NGFW 威胁防护接口

20Gbps 2.2Gbps 1.8Gbps 1.2Gbps 18个GERJ45接口和4个GESFP插槽

FortiGate300E和301E

防火墙 IPS NGFW 威胁防护接口

32Gbps 5Gbps 3.5Gbps 3Gbps 18个GERJ45接口和16个GESFP插槽

FortiGate400E和401E

防火墙 IPS NGFW 威胁防护接口

32Gbps 7.8Gbps 6Gbps 5Gbps 18个GERJ45接口和16个GESFP插槽

部署

l 下一代防火墙(NGFW)§将威胁防御安全功能与简便操作的高性能网络安全设备相结合

l 利用强大的功能识别阻止接口和协议的入侵防御，检测网络流量中的应用程序

l 使用行业规定的密码密钥组合,提供业界最高的SSL检测性能，实现最大化投资回报率

l 实时阻止新检测到的恶意复杂攻击，及时提供威胁防护

安全SD-WAN

l 云应用程序安全直连互联网，降低延时并减少WAN成本支出

l 经济高效的威胁防护功能

l WAN路径控制器和链路健康监控可提高应用程序性能和体验质量

l 安全处理器带来业界最佳的IPsecVPN和SSL检查性能

l 简化管理和零接触部署

FortiGate在园区网络中的部署(NGFW)FortiGate部署在分支机构中(安全SD-WAN)

SPU处理器

l 专用SPU处理器可提供在数个千兆位速度下检测恶意内容的强大功能

l 其他安全技术无法抵御当今基于内容和连接的大量威胁，由于它们依赖于常用CPU，从而导致性能上达不到要求

l SPU处理器提供拦截新兴威胁所需的性能，获有严格的第三方认证，确保您的网络安全解决方案不会成为网络瓶颈

网络处理加速器

Fortinet创新突破的SPUNP6网络处理器可与FortiOS功能协同工作，共同提供：

l 出色的防火墙性能，适用于IPv4/IPv6，SCTP和组播流量，具有低至2微秒的超低时延

l VPN，CAPWAP和IP隧道加速§基于异常行为的入侵防御，校验卸载和数据包碎片整理

l 流量整形和优先级队列

内容处理加速器

Fortinet创新突破的SPUCP9内容处理器不受直接网络流量影响，可加速对计算密集型安全功能的检查：

l 完善的IPS性能，具有针对SPU进行签名匹配的独特功能

l 基于最新的行业规定的密码密钥组合的SSL检测功能

l 加密和解密卸载

Fortinet Security Fabric

Security Fabric

Security Fabric 极具开放与整合能力，可在所有 Fortinet 设备及其系统组件的部署中提供广泛的可视性，集成了具有 AI 驱动的防破坏功能，可自动操作，编制策略以及响应威胁。整个安全性能可以随着工作的负载和数据的增加动态扩展并弹性适应。对于整个网络，包括物联网、设备和云环境之间的移动数据、用户和应用程序做到无缝跟查并保护。所有这些领先的安全功能都在一个统一控制台下紧密地联系在一起，大大降低了整个系统的复杂性。 FortiGates 是 Security Fabric 的基础，它通过与其他 Fortinet 安全产品和 Fabric-Ready Partner 技术伙伴解决方案紧密集成，通过可见性和控制来扩展安全性。

FortiOS

控制整个 FortiGate 平台所有安全和网络功能的一个可视化的安全操作系统。这个真正的下一代安全整合平台可降低复杂性，减少运营费用，节约时间成本。

l 一个高度集成的平台通过单一操作系统和统一控制台管理所有 FortiGate 平台上的全部安全和网络服务。

l 行业领先的防护功能：安全防护效果和性能获得 NSS Labs 推荐并通过 VB100、AV Comparatives 和 ICSA 等机构验证。能够利用最新技术，例如基于欺骗的安全防护。

l 真正支持 TLS 1.3，而且还可以基于数百万个实时 URL 评级控制数千个应用程序，阻止最新漏洞利用和过滤网络流量。

l 通过集成的AI驱动违规预防和高级威胁防护，能够在数分钟内自动预防，检测和缓解高级攻击。

l 通过创新的SD-WAN功能和基于意图的网络细分进行检测，遏制和隔离威胁的能力，改善用户体验。

l 利用SPU硬件加速提高安全服务性能。