1. 概述

    传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对******起到部分防御作用。但是***仍然可以从合法的IP地址通过防火墙开放的端口对内网发起***,目前很多***和应用可以通过任意IP、端口进行,各种高级、复杂的***单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(***防御系统)来配合防火墙实现对复杂***的防御。IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络***行为。

    特征匹配方法类似于病毒检测方法,通过***数据包中的特征(字符串等)来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进行防御。(因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进行,这是无法想象的。)而使用IPS的特征匹配方法,通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响。

    而异常分析通过统计的方法计算网络中各种流量的速率,并与管理员预设的阈值进行对比,超过阈值的通信便是可疑的***行为。例如,管理员通过对本网络应用的观察和分析,认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有3000个以上的SYN发往该服务器,此时便有可能是由于有***对服务器发起了DoS(拒绝服务)***。

    FortiGate内置的IPS同时使用特征和异常两种检测方法,能够检测10000种以上***和***行为,包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)***。

    与市面的其它IPS设备不同,FortiGate的IPS扫描是由特殊的芯片——FortiASIC来完成的。FortiASIC芯片是构建Fortinet独有硬件平台的基础,其中包括网络处理器和内容处理器。内容处理器是经过定制的处理器,可以用来实现将已知的威胁特征库(如蠕虫***库、IPS库等)与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件(包括压缩文件)等。内容处理器专门进行协议识别和解析,可以快速重组数据包,扫描发现可疑的内容。内容处理器并不直接接收数据,它不串接在网络接口后面,而是通过接受CPU的指令,处理内容,寻找威胁。

    内容处理器能够加速防蠕虫***和IPS,因为这两种安全功能都需要将数据内容与库文件进行比对。有些人有误解,以为ASIC是“静态”安全检测,不能检测新的威胁。但是实际上,固化的部分是扫描逻辑结构,而非特征值,对新的安全威胁可以通过升级特征库来解决,这样升级***特征就变得非常容易,***特征可以像软件一样进行升级。


2. FortiGate IPS部署

    如下图所示,FortiGate IPS可以部署在Internet和内部网络之间,既可以阻挡来自Internet对内部用户的各种***行为,也可以防止内部用户感染防止蠕虫病毒时,导致的向外发送***行为等安全威胁。

DMZ区的服务器也可使用FortiGate进行保护,防止Web、Email、Proxy等服务器受到来自Internet的***。



    FortiGate的IPS既可以在线式部署(如上图方式),直接部署在可信任网络和不可信任网络之间,这种在线式的IPS对各种***均可直接阻断并生成日志;也可以可以旁路式IDS(***检测系统)部署,对绝大多数的***行为只能记录日志,而不能进行阻断。使用旁路 式IDS时,需要在交换机上开启镜像接口功能,把需要检测的流量引入到FortiGate。旁路部署如下图所示:



3. FortiGate IPS功能

    在使用基于牲的IPS时,FortiGate可以很方便的定义IPS特征过滤器,帮助用户迅速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能。例如,内网需要保护的服务器为IIS及Apache Web服务器,可以设置如下的IPS过滤器。



    设置完成后,所有匹配的特征将会显示在界面中。

    FortiGate的IPS特征库内置10000多种***特征,并自动通过 Internet更新,确保用户在第一时间实现对最新***方式的防御。通过图形界面,可以查看内置特征库条目,点击每个特征的名称,可以弹出对此***简介的窗口。



    除了系统自带的***特征,FortiGate也支持用户自定义特征。



    对于已发现的***,FortiGate不但可以对***数据包进行阻挡,还可以隔离***者的来源IP地址。有效的防止***者对内部网络不断发送***。



    FortiGate内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS***进行防御,对于每一种DoS/DDoS***行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率。



    FortiGate防DDoS功能可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制,该功能不但可以防止蠕虫病毒爆发时导致的DoS/DDoS***,还可以对P2P等高并发会话应用进行有效抑制。