1、1.1 FortiGate防火墙产品定位与市场应用FortiGate防火墙是美国Fortinet公司专利的ASIC技术,组织数十位网络安全产品专家深入研发,拥有自主版权、基于ASIC芯片的硬件平台和嵌入式操作系统的专业性防火墙产品。FortiGate防火墙主要面向国内绝大多数网络安全客户的实际安全需求,以整体解决INTERNET接入安全、INTERNET访问安全、WEB安全为主要目标,提供性价比高、实用性好、专业性强的防火墙产品解决方案。FortiGate为大中型企业及电信运营尚提供了可靠的网络安全和性能需求。降低了安全管理投资。 FortiGate 除了有状态检测防火墙功能和高性能IPSec
2、加密功能,还能识别和限制所有由病毒组织WildList报告的病毒, 过滤并阻挡包含有不想要的内容网站,侦探(并潜在地阻挡)1300种入侵检测。系统性能可达1000Mbps, 可支持多达500,000个并发会话。以下为FortiGate 的特点:硬件加速, 保证实时性能高性能状态检测防火墙自动升级病毒和蠕虫定义, 100%阻挡WildList报告中的病毒和蠕虫; 特征和宏病毒扫描,禁止所有邮件附件,web 内容 和下载的威胁内容过滤, 阻挡网页插页,例如ActiveX, Java Applets, 和Cookies高可用性, 在失败恢复时不会发生服务中断工业标准IPSec, PPTP, L2TP
3、, VPN 提供网络和用户之间安全通信,支持DES、3DES和AES加密FortiGate 可安装在公司网络和因特网之间接口处用户端, 或者在服务提供者体系结构内部。百兆产品提供多达12个10/100 BaseTX端口,千兆可支持3Gbps以上的流量。它的典型应用是处理进出于公共网络(例如因特网)或内部网络之间全部数据包和内容流。 FortiGate根据策略配置来决定通过或拒绝流量。 它有几种不同的工作模式, 例如NAT(网络地址转换 )模式, 透明模式, 和路由模式。 它还包括一个高可用性端口和失败恢复不会发生服务中断(fail-over)的逻辑, 支持冗余配置, 因而成为关键性应用的理想选
4、择。FortiGate产品具有 具有以下几个特别的优点:通过在网络级的内容处理, 关闭易受病毒和蠕虫攻击的窗口,而不影响 网络性能,给管理员提供了边界安全的控制能力。对当前已有的安全措施的补充或替代; 在系统应用中, 减少原始资本投入可达(CAPEX)50-80%集成的管理增加可管理性和减少运作消耗(OPEX)达20-50%在故障恢复时对业务的零中断FortiGate的完善体系结构包括两大部分: 强化安全的专用OS操作系统和模块化硬件系统。以下分别介绍这两大部分。2 核心技术2.1 FortiGate专用操作系统FortiGate操作系统(OS)是专用的、实时的强化安全的操作系统,它在全平台上
5、支持病毒扫描, 内容过滤,sateful检测防火墙, IP安全(IPSec)VPN, 基于网络的IDS和流量管理应用。 以下介绍其设计特点、 应用级和网络级功能, 以及高性能, 高可靠性, 高灵活性和扩展性。高性能并行处理FortiGate采用新一代ASIC设计体系,利用 OS有效地分解和协调系统的处理任务。 在任一特定时间, 每个数据流都得到最佳的处理水平。 由于利用了专门的算法, 任务切分和协调过程中的消耗减到了最小程度。实时体系结构与非实时OS(例如许多防火墙和设备采用的不同风格的Linux)相比, OS是使数据流程处理达到优化的实时操作系统。在非实时OS中, 核心并不总是对输入的数据包
6、触发的中断作出及时反应; 这不仅使数据包排队时间增长, 而且造成系统资源(例如内存)不能有效地利用,因而增加了丢包率。OS的设计集成了智能排队和管道管理, 与包的到达/处理相关的系统中断得到立刻的重视。 同时,基于内容处理加速模块的硬件加速(见下一段)使各种类型流量的处理时间达到最小,加上最短的排队时间, 从而给用户提供了最好的实时系统。实时内容级智能常规的安全网关设计有两类: 状态包检测(基于流程的,flow-based)和应用代理(proxy)。 在基于流程的网关中, 安全策略是大多在包一级定义和执行的(虽然状态 检测对一定类型的流量保持会话上下文)。 这种方法因为包在处理后马上送走, 而
7、导致高处理速度和高吞吐量; 但是, 由于处理是在包一级的, 系统不理解高一级语言, (例如协议)或目标(例如文件), 因此不能识别有害的脚本、 病毒攻击、或不想要的内容。 相比之下, 基于代理的系统, 安全网关终断进入和流出的会话, 检测包,将它们重新组合为原始的数据流, 理解会话的当前状态, 并能够对预先定义的违规、或动态产生的安全或网络策略进行检测内容。 这种方法有足够的智能在应用级运作, 因而能进行应用级处理。但是, 重新组合所有的包和检测数据流需要耗费大量的计算资源, 那会使基于代理的网关变得性能减低许多。FortiGate (及其系列中其它产品)设计为综合基于流程的和基于代理的两者优
8、点,而同时又克服它们的弱点。 OS设计为具有基于流程的检测引擎和多应用级代理(HTTP, SMTP, POP3, IMAP等)。 专利设计在包检测和代理之间给出最佳的协调。 由ASIC和在FortiGate中的内容加速单元提供了基于代理系统的智能,而在性能上达到通常只有基于流程的系统才能达到的水平。 结果使FortiGate不仅能达到常规的网络级安全, 例如防火墙,VPN和NIDS, 而且能在网络界面边缘高速地处理应用级安全功能, 例如病毒与蠕虫扫描、URL和关键词内容过滤、 跨过防火墙的话音Voice over IP (VoIP)。完整的投资保护和完整的网络保护FortiOS设计的另一个优点
9、是能适应新的功能和应用。 模块化设计使得能方便地添入或修改新的代理。 在引入新的协议和业务时,不需要改变整个操作系统结构(或硬件系统结构)。FortiOS适应支持VoIP NAT的能力就代表了操作系统灵活性的一个很好的例子。使用得越来越多的VoIP, 协议比较复杂, 例如H.323, MGCP, SIP等,不能由常规的网络地址转换防火墙来防护。 如果不使用代理, 为了让VoIP通行,VoIP网关要求网络行政在防火墙中打开“洞”。 然而, 这些洞往往会被入侵者利用, 利用话音业务来损坏防火墙, 并增加未经容许的网络接入。如果网络保护网关能理解复杂的VoIP协议, 它们就能处理VoIP业务安全,不
10、需要开“洞”,而“洞”往往会让VoIP和潜在的有害流量通过。 如上所述, 基于流程的网关一般缺少智能来理解复杂的高级的协议, 而常规的基于代理的设计缺少必要的性能,来处理对延迟敏感的话音, 以免引入不能接受的抖动和延迟。 这就是FortiOS的立足之处: 它能容易地适应H.323协议,其分隔H.323信息本体。高性能的FortiOS核心, 结合专门建立的内容处理加速硬件, 能使FortiGate系列适合新的应用, 而无须重新设计系统或对硬件升级作大的改动。提供分区间安全的虚拟系统支撑用户能够建立一个单个的FortiGate单元行为, 就好象它包含大量的独立的“虚拟系统”, 它们提供专门的服务,
11、对各个部门或用户分别具有自己独特的策略。FortiGate体系结构中设计了虚拟系统支撑。 符合802.1Q标准的一个或多个VLAN能被映射到一个虚拟系统, 带有VLAN中继支撑的交换机/路由器与FortiGate 的物理接口相连接。象FortiGate 3000千兆产品能提供多达500个虚拟系统。 基于角色的行政允许不同的行政仅管理它们授权的虚拟系统,使它们建立和维护它们自己的一套安全策略、地址和地址组, 以及监视系统状态。提供Closed-loop保护的体系结构常规入侵检测系统的主要问题正在于检测系统本身, 因为它们只检测,提供报告,但不能防护或防止攻击。 主要原因在于大多数IDS, 例如防
12、火墙, 防病毒扫描,是在点上的解决办法,无法提供一个无缝的集成方案。FortiOS平台组成了一个共框架, 它无缝地自然地集成了所有支持的应用。当FortiGate NIDS 检测一个攻击时, 它能采用一个或多个防护措施, 例如重新设置连接, 放弃与攻击相关的包, 告示防火墙阻挡攻击, 或等候到攻击指示灯显示达到某个门限。 这是一种”closed loop”保护, 根据这一强有力的概念, 将被动防护变为主动防护。高可用性(HA)-FGRP协议FortiGate 通常用于关键任务环境, 例如运营服务商基础设施或大型企业, 不能容忍由于任一点故障的业务丢失。用户使用备分的一对FortiGate单元,
13、 并利用Fortinet Redundancy Protocol(FGRP )协议, 来确保万一有故障发生时的故障恢复零中断。正如支持高可用性的其它协议一样, 例如VRRP和路由器故障恢复零中断的HSRP,FGRP提供安全会话的故障恢复零中断。 FGRP包含几项技术, 包括:可配置的心跳监视 FortiGate单元连续地ping互相连接, 以证实备分中的每一伙伴处在健康状态中。 如果有一个模块发生故障或无电, 业务会转到另一个系统中。链接状态监视 NPG 监视上行和下行交换机/路由器的流量状态, 将聚焦于为维持连接而从待命状态转到使用状态。FortiGate能利用FGRP的能力,配置为完全的备
14、份环境, 使得没有单个点的故障。 能配置为支持热备份模式或双机容错(active-active)负载共享模式。2.2. ASIC硬件体系结构系统结构FortiGate 设计为传送千兆位吞吐量,并优化为第七层, 以及第二层和第三层包处理。 系统由以下四个主要部分组成:图 FortiGate 内容处理硬件体系结构1). 内容处理加速模块Content Processing Acceleration Module(CPAM)FortiGate 中有两个部件,每一个由一个ASIC CP-1 内容处理芯片和一个内容处理加速单元(CPAU) 组成。 CPAU有一个专用的内容检测处理器, 它与其它专用硬件一
15、起, 优化为强化内容搜索, 模式识别, 和数据分析 大多时间消耗在病毒扫描, 内容过滤和基于网络的入侵检测。 ASIC 芯片包含一个专利的内容处理引擎, 以及加密加速引擎和内置的防火墙策略引擎。 这些引擎分别处理防病毒和蠕虫探测, NIDS特征探测, DES、 3DES、AES加速,加密, NAT, 和执行防火墙策略。CPAM 模块有专用的快速存储器,所以很少要求通过总线与管理模块中的系统内存相交互。 正是由于这一有效的数据流动体系结构, FortiGate 能达到应用层内容处理的高吞吐量。2) 管理模块 Management Module(MM) - MM 是基于ASIC体系设计,。 管理模
16、块的功能是流程控制, 和处理不能被内容处理加速模块有效处理的包和流量。 MM还支持各种管理接口和相关的功能(GUI,CLI, SNMP等)。3) 背板总线模块 Backplane Bus Module(BBM) - BBM由数据通道(Datapath)和管理总线组成。 这一模块的特点是多总线设计, 它控制在两条不同的总线上发生的信息和数据交换 控制在管理通道(Management path)上的信息流程, 和数据通道上模块行程之间的数据交换, 以提供多Gbps负载流量能力。 这一设计导致了在不同模块之间的高效率通信。4) 接口模块 Interface Module(IM) - 支持输入/输出接
17、口, 包括 3个10/100 Base TX 端口。 流量通过这些物理接口进入和离开FortiGate系统。根据流量的特点,包被路由到管理模块或内容控制处理加速模块去处理。以下一段介绍内容处理模块, 并说明FortiGate 如何通过独特设计的硬件加速来达到应用层处理的高性能。内容处理加速引擎:CP1 内容处理器ASICCP1内容处理器与OS操作系统一起, 组成了技术的核心。 ASICCP1由高性能数据流加密和内容扫描加速组成, 在单个芯片上提供了综合的内容处理解决方案。CP1内容处理器利用模块设计,包含有四个数据处理引擎: 特征扫描引擎 该引擎支持高速扫描病毒, 蠕虫和入侵攻击特征以及被禁止
18、的内容。关键的部件是模式匹配模块, 它将文件的一个一个字节, 与表示病毒、蠕虫和入侵攻击存在或黑名单上的内容的数据库相匹配。病毒和蠕虫特征存储在专用的高速存储器中, 它直接被ASIC CP1存取, 而任何数据不在数据通道上传输。这一方法将扫描活动与包传输完全隔离, 从而能FortiGate 能在支持应用层处理时不降低系统性能。当流量从一个应用层协议HTTP, SNMP, POP3 IMAP之一 传到达时,OS 将包导向到ASIC芯片, 它在专门的扫描存储器中将包组合为文件。ASIC扫描引擎将数据与直接与它连接的高速存储器中的特征数据库匹配。 一旦扫描完成, ASIC与管理模块接口, 告示扫描的
19、结果, 并接受下一批数据。操作在被检测有攻击时进行, 或者整个文件被扫描时进行。 加密引擎 ASIC CP1 提供高性能加密引擎, 支持DES, Triple-DES, AES加密。Triple-DES的吞吐量高达600Mbps. 安全策略引擎 这一子系统提供包和协议的分隔(parsing),是能快速对策略匹配包流程的关键。策略引擎处理防火墙功能, 例如地址翻译和状态检测, 管理包的重新组合和分裂。 内容处理加速单元(CPAU)内容处理加速单元(CPAU) 是作为一个额外的加速引擎, 进一步加速应用层处理。CPAU功能上与ASIC类似。OS 能智能地将内容处理、数据加密和安全策略处理的任务分别
20、在ASIC和CPAU之间分配。CPAU在建立和管理会话相关的强化处理任务中担负着重要的角色, 包含了公共密钥 (public Key Cryptography) 引擎 , 以加速密钥的产生和改变。CPAU是可编程的并可用软件升级的, 以便适应新的算法和应用。高可靠性FortiGate 是为满足大型企业和运营服务商设计的, 高可靠性是设计中最重要的考虑因素。在部件级, 使用高质量部件, 部件均由获得ISO-9000认证的提供商提供 利用误差检测和校正存储,以防止存储故障为了保证最大的可靠性, 可将FortiGate 配置为沉余、高可用性模式, 如OS一节所述。 热备份单元使得在单元发生故障时能维
21、持当前的会话。3 数据流处理 FortiGateASIC内容处理器包括功能强大的特征扫描引擎, 能使很大范围类型的内容与成千上万种“特征”、 入侵攻击、 关键词或其它模式的“特征”相匹配。 FortiGateASIC还包括加密加速引擎, 以支持高性能VPN加密和解密。 FortiGate网关, 能“看到”隧道内部,防止有害成分进入专用网络,不然它们会不受检查而通过隧道。 另外, FortiGateASIC芯片包含了加速数据包头分析(对防火墙处理和入侵检测)的硬件引擎,以及支持流量管理的流程管理引擎。FortiGate 系统通过扫描内容协议中所载的信息, 保护基于内容的攻击, 例如病毒和蠕虫,
22、并防止网络遭受不想要的邮件和不合适的内容之渗入。 内容协议携带web流量(HTTP)和邮件流量(SMTP, POP3, IMAP)。 当FortiGate接收到网络流量时,内容扫描即开始, 并将所有的内容协议流量导向到TCPIP栈。 高性能的由硬件辅助的TCPIP栈控制所有的内容协议处理。 当内容流一开始被接收时, TCPIP栈先建立到客户端(client)和服务器端(server)的连接, 以开始传输数据包。然后栈接收数据包, 并将它们转换为内容流(content stream)。内容流按照它们的业务类型而被分开, 送到一个相关的命令分析程序(parser)。 有一个命令分析程序专门用来理解
23、每一个内容协议。 命令分析程序分析内容流的内容, 这里面有可能包含了病毒/蠕虫、 禁止的内容或其它攻击性内容、 网络入侵等。例如, 如果内容流是HTTP流, 命令分析程序扫描上送和下载的文件。 如果内容流是邮件流, 命令分析程序扫描邮件附件或嵌入的代码。 如果数据流包含上送/下载的文件或邮件附件, 依据策略的配置,决定是否送入病毒扫描引擎。 所有其它内容则被路由到内容过滤引擎; 如果用户选择了内容过滤功能,则扫描引擎是开启的, 数据流则根据内容过滤的设置,或者被过滤掉,或者允许通过。当病毒扫描引擎接收到一个新的内容流时, 它对可能含有病毒和蠕虫的目标文件的数据流扫描。 病毒扫描引擎对所有使用H
24、TTP上送/下载的文件或邮件的附件进行扫描。 病毒扫描引擎扫描检查目标文件, 可能是可执行文件(exe, bat, com), visual basic文件(vbs), 压缩的文件(zip, gzip, tar, hta, rar), 屏幕保护文件(scr), 动态链接库文件(dll), 或MS Office文件格式等。大多数HTTP文件和邮件的附件使用多应用因特网邮件扩展 MIME(Multipurpose Internet Mail Extension)格式。 病毒扫描引擎能够分析MIME文件,而查找目标文件。所有被病毒引擎发现的文件都被阻挡,然后根据FortiGate病毒引擎的保护设置来
25、进一步的处理。FortiGate采用状态检测的方式对所有会话进行检查,避免了数据流的安全隐患。当 一个数据包到达防火墙接口时,马上被网络层拦截,系统执行包格式和数据桢的健康性检查,如果数据桢无效,则丢弃。例如MAC地址为全零状态。如果数据包有效,系统在会话表中查找,看十分属于原有会话的一部分(尽管UDP数据包是无连接的,但OS建立了一个“假冒会话”来代表每一个唯一的UDP数据流。1. 如果会话已经存在,系统检查TCP的序列号和标示域代码,确保本会话属于原来的一部分。举例,一个无效的序列号可能表示一个会话的劫持。系统校验这个会话中最后接受的数据包的序列号在64,000 (16 bits)范围内。
26、数据包通过检查后传输到路由引擎和策略引擎进行处理。2. 如果会话不存在,数据包将被分类,系统必须查找策略来确定 数据包下一步的处理流程,如果发现匹配策略成功,则建立一个新的会话入口,根据前面所描述的控制流程继续处理。 4. 功能简介4.1 防火墙功能FortiGate系列产品防火墙都是基于状态检测技术的,保护你的计算机网络免遭来自Internet的攻击。防火墙通过仔细地设置接口提供了安全控制策略,甚至在复杂的情况下还允许做详细的控制。 FortiGate产品安全策略包括下列范围:通过网络分段和细粒度的策略到达多个区域控制输入、输出流量对所有策略选项支持阻止、允许、加密、认证访问基于时间的策略控
27、制接收或拒绝单个地址到达或发送的流量控制个别组标准的和用户自定义的网络服务对用户授权认证,支持基于用户的策略控制对每个策略可以进行基本带宽、保障带宽以及优先级设置的流量控制支持动态IP地址池,允许配置使用地址池的NAT灵活策略基于策略的日志记录 网络地址转换:在NAT模式,FortiGate产品系列在内部网和Internet之间设置了一个秘密的屏障,防火墙提供了网络地址转换来保护私有网络。NAT模式下,你能够添加DMZ网络来提供内部服务器给Internet用户访问,DMZ区是在防火墙的后面不同于内部网的独立网络。你还可以配置8个用户自定义接口给用户提供多安全区域管理。 NAT模式下的防火墙功能
28、:防火墙防御,按照源/目的地址、服务和时间来允许/拒绝流量VPN,反病毒和Web内容过滤IP/MAC绑定高可用性(HA),在主FortiGate工作失败后做备份的FortiGate产品能够接替它继续工作。用户自定义的接口提供了多区域安全管理。记录到WebTrend 的Syslog服务器的详细日志支持基于策略的NAT配置 透明模式:当一个预先设置好使用公共地址的网络需要防火墙保护时,透明模式提供了更快捷更简易的安装,防火墙的内部网接口和外部网接口能够共存于两个相同的网络中,因而,防火墙可以在不需要对已有网络进行任何改动的前提下将其接入到网络中的任何一点。数据包到达FortiGate后会快速转发到
29、正确的网络端口,同时防火墙策略防止对网络的未授权访问。透明模式下同样提供了完善的防火墙保护功能(NAT地址翻译和VPN加密功能除外)4.2 网络入侵检测FortiGate产品内置的NIDS系统,可以防护包括以下内容的超过1300多种方式的攻击:分布式拒绝服务攻击 (DDoS) SYN 攻击ICMP FloodUDP FloodIP 碎片攻击死 Ping 攻击泪滴攻击Land Attack端口扫描攻击IP 源路由IP 欺骗攻击Address Sweep AttackWinNuke 攻击 CGI 脚本漏洞,包括 Phf, EWS, info2www, TextCounter, GuestBook, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail等 Web Server 攻击 Web Browser 攻击,包括URL, HTTP, HTML, JavaScript, Frames, Java, ActiveX SMTP (SendMail) 攻击 IMAP/POP 攻击 Buffer
