1. 概述

BYOD(Bring Your Own Device)指自带设备办公,这些设备包括手机、平板、个人电脑等,通过这些智能终端,企业员工可以在任何时间,任何地点,通过任何设备完成邮件收发、 资源访问和业务处理。BYOD更像是一场由员工个人使用习惯引发的企业办公模式的革新,它得益于智能终端计算能力的日益强大、触控体验的逐步完善,以及移动互联网的迅速普及。BYOD的出现,标志着个性化移动办公时代的到来。

BYOD 代表了个性化、移动化、智能化的融合,人们的生活和工作被各式各样的智能终端联接到一起,办公不再局限于传统的固定PC。如今,BYOD已经成为了一种潮流,它使得办公和生活的界限变得模糊,给办公带来更好的体验。


2. 设备识别与安全策略

FortiGate能够有效地识别终端设备,一种在同一网段内FortiGate可以通过TCP指纹,MAC地址、HTTP等应用层数据流来识别终端设备,另外一种在不同网段情况下,FortiGate在终端设备上安装终端软件FortiClient,通过终端软件来识别客户端。

被识别的设备,将根据操作系统的不同分到不同的设备组。设备组划分可以自动地根据类型划分,比如Android、iPhone等,也可以经管理员手工地划分到不同的设备组。同一设备可以同时属于不同的组。



如上图所示,设备通过无代理和有代理(客户端软件)来识别,将其加入到预定义的设备组中,如下图所示。



FortiGate可以根据设备组部署防火墙策略,如下图所示。通过设备来部署策略的优势在于,避免了因IP地址变换导致的策略失效。根据设备来部署防病毒、IPS、Web过滤、应用控制等等。



FortiGate的会话表同样也反映了设备的内容。如下图所示,在查看会话表时,可以看到正在通讯的设备MAC地址、操作系统等信息。也就是说,会话表的网络透明化不仅仅显示IP,也显示设备本身。对于管理员来说,因移动设备IP变化而导致的管理困难问题迎刃而解。



如果在终端设备上安装FortiClient软件,则FortiGate可以获得更为详细的用设备信息,比如所有网络接口的MAC地址,操作系统补丁版本,用户名,主机名等等,如下图所示。



3. 终端管理

FortiGate不仅仅通过FortiClient获得终端设备的信息,而且可以通过FortiClient控制终端设备的安全配置,如防火墙、防病毒、×××、Web过滤等等。如下图所示,FortiGate强制FortiClient启用防病毒等配置。



终端管理可以适用多种操作系统,Windows、 MAC、iphone和Adroid。对于Windows和MAC这样的PC用户来说,终端管理是最严格的,涉及到以下几个方面:

① 防病毒检测,检测客户端是否安装和启用杀毒软件

② 防火墙,强制终端必须启用防火墙

③ Web分类,强行要求客户端或者FortiGate端启用网站分类过滤,过滤***、×××等网站

④ 终端漏洞扫描,检测终端是否有漏洞。

针对IOS和Android系统,FortiClient也可以强制Web分类和推送×××配置。

对于安装有FortiClient的终端设备,当它选择注册后,其FortiClient配置就被FortiGate所接管,由FortiGate推送配置到终端设备。如下图所示,用户没有权限修改FortiClient的设置。



除此之外,FortiGate推送给FortiClient的配置分为两种,一种是在线式,也就是说终端设备被FortiGate所保护范围内,另外一种是离线式的,终端设备脱离开FortiGate保护范围。这两种场景适合于用户在办公环境和家庭环境的身份的切换。


4. 用户信誉评估

FortiGate可以基于全球威胁情报库,对IP或域名的信誉进行评估。评估结果分为四个类型,分别是恶意、僵尸网络、可识别Internet服务及信任的。四种类型的IP域名使用不同颜色标出。



用户信誉评估涵盖了以下几个方面:

在搜索框中输入IP或域名时,可对输入进行信誉的查询。