Fortinet_3G移动网络安全解决方案.ppt

2.5G/3G移动网络安全解决方案 移动服务的威胁进化 IMS安全分析 移动服务安全风险上升 安全风险概况 移动安全威胁的分类 安全威胁来源于何处？ 威胁评估 降低移动风险级别 移动MMS服务安全 MM1防病毒扫描 FortiGate可以工作在透明模式 部属于WAP网关与MMSC之间 多个物理接口, 支持VLAN HA集群, 支持Active/Active和Active/Passive模式 防病毒扫描和文件类型过滤 基于消息内容（关键字）的过滤 MM3 / MM4 / MM7防病毒扫描 基于SMTP 当equivalent SMTP (RFC822) 域不存在时添加X-MMS头信息 FortiGate设备支持透明SMTP代理 MM3 (Internet网关) – MM4 (网间通信) – MM7 (增值服务) FortiGate设备可以同时使用这些功能 通过FortiProtect网络实时更新病毒特征库 MM1安全日志和报告 SYSLOG日志 从MMS消息中提取的发件人/收件人的MSISDN信息 使用FortiAnalzyer产生超过300种图形报表2006-11-17 08:49:29 log_id=0211060000 type=virus subtype=infected pri=warning vd=root src= dst=4 src_int=port2 dst_int=port1 service=mm1 status=blocked from=491740430400 to=+4915200459450 file=commw.sis virus=SymbOS/Commwar.B-net msg=The file commw.sis is infected with SymbOS/Commwar.B-net. Ref =/VirusEncyclopedia/search/encyclopediaSearch.do?method= quickSearchDirectlyvirusName= SymbOS%2FCommwar.B-net. SNMP Trap 当FortiGate发现病毒时，向统一的网管系统发出信号 Email报警 基于时间的报警邮件（例如：每小时）发送给客户服务中心 可订制的报警信息（包括MSISDN及病毒名称等信息） MMS 由FortiGate设备生成 报警信息发送给病毒发送者 可订制消息内容 FortiGate可设置自身的MSISDN标识 频率设置 不会针对每个病毒事件发送MMS，以避免MMSC和发件人的性能过载 可以定义发送MMS的时间间隔（如每24小时） GPRS/GTP 服务安全保护 不良内容过滤 基于MSISDN的URL过滤，包括病毒扫描 使用自动更新的分类数据库，并可进行用户自定义设置 多种分类 – 为成年人/未成年人用户提供不同的保护 为网上内容重新加上头信息 如何实现？ 问题: Internet 资源滥用 移动客户端通过移动网络访问公司Email Email服务器并非移动运营商网络的一部分 移动运营商并不是一个ISP 感染病毒的用户终端可以通过Internet传播垃圾邮件或者病毒Email 感染病毒的笔记本电脑通过3G数据卡对外传播病毒 缺乏防火墙策略的保护 移动运营商的IP地址段被其它运营商列入黑名单 所有Email均无法发送，无论它是合法的还是非法的 这个移动运营商将无法继续进行Email服务! GTP防火墙 包括在Gi接口上提供防病毒和IPS保护 GTP超额计费保护 使用动态IP地址有可能产生如下情形，当移动客户端A断开连接后，移动客户端B获得了A之前使用的IP地址。 但是A之前的流量并未结束，仍然继续进行着数据传输，这些费用将记录到B的账单上。 GTP病毒保护 GTP隧道中的用户数据将被Gn/Gp防火墙扫描 FortiGuard服务将动态更新病毒特征库 移动SIP服务的安全 SIP安全 FortiGate 5000系列 IMS安全解决方案 Fortinet弥补了传统网络防火墙的缺点 Fortinet VS 传统会话边界控制器 谢谢! 更多信息请访问 移动安全保护遍布整个基础构架 VoIP 安全方案 VOIP 关键特性 案例分析: Red Browser 2006-3-12日发现! 移动客户端保护 Windows, Windows Mobile 和 Symbian OS: - 个人防火墙 - IPsec VPN - 垃圾短信过滤 - 实时病毒扫描 - 内容过滤 运营商间的网络保护 GPRS / 3G防火墙: - 支持GTP的深度包检测 - 协议异常检测