飞塔防火墙 OSV4.0.ppt

FortiOS V4.0 beta2 update 2009年1月 新特性列表 新的UTM菜单 Data Leak Prevention Application Control WAN Optimization Endpoint Compliance 防火墙策略改进 HTTP POST增强 流量控制增强 VIP 负载均衡 WebUI定制化 基于Modem的管理访问 非法无线AP检测 新特性列表 VDOM资源分配 用户认证监视 OCSP SCEP认证使用HTTPS 非标准端口认证 DHCP over VPN SNMP v3 IPS包记录 Antispam引擎增强 NAC隔离 SSL VPN Portal定制 日志增强 UTM菜单 AV、IPS、WCF、AS、DLP、AC设置都移至UTM菜单下 IM/P2P/VOIP功能并入Application control IM用户控制移至设置用户 - 本地 - IM Data Leak Prevention 协议 HTTP FTP SMTP POP3 IMAP NNTP IM 动作 记录 阻止 免屏蔽 禁止 用户 IP 接口 Application Control 当前版本包括13类，70+种应用程序 Application Control List ? 保护内容表 WAN Optimization 基于协议或应用的数据压缩 数据缩减 data deduction，减少数据重复传输的频率。 Web缓存 使用FortiGate硬盘缓存数据。 安全通道 SSL加速 WCCP v2 WAN Optimization – 注意事项 网络流量首先匹配防火墙策略，然后匹配WAN OPT规则。 WAN OPT与保护内容表不能同时使用，但可以通过VDOM划分实现。 LAN ? VDOM-PP ----- Inter-Link -----? VDOM-WANOPT ? WAN 所有FG型号都支持Web代理和WCCP v2。 只有FG50B-HD、FG110C-HD、ASM-S08支持数据缩减和Web缓存。老型号的硬盘无效。 只有CP6型号支持基于SSL的WAN OPT隧道。 只支持FG-FG或FG-FortiClient间的WAN OPT，不兼容第三方设备或软件。 Web缓存支持HTTPS协议，但需要配置正确的证书。 WAN OPT和Web缓存支持透明代理及显式代理方式。 WAN Optimization WAN Optimization WAN Optimization WCCP FW/Router基于策略拦截流量，发送给Cache Server。 需要在FW策略中开启WCCP。 需要在FG与Cache Server相连的接口上启用WCCP通信。 Endpoint Compliance 检查终端是否使用最新版本FortiClient，病毒库是否更新。 FortiGate可以从FortiGuard下载FortiClient软件及病毒库并缓存，供终端PC下载升级。（需要带有硬盘的型号） 可收集终端PC的信息，如CPU、OS等，并可检测终端PC上安装的软件。 在FW策略中启用。 防火墙策略改进 支持“ANY”接口。 防火墙策略查看方式 – section/global 当有任意一条策略使用了“ANY”接口时，只能使用global view 基于用户认证的策略 基于接口的DoS策略 基于用户认证的策略 可以针对不同的用户组使用不同的 时间表 服务 保护内容表 流量控制 流量日志 基于接口的DoS策略 HTTP POST增强 Normal – 与V3.0相同。 Comfort – 在对POST进行检测时也持续发送数据，防止超时。 Block – 禁止POST。 流量控制增强 VIP 负载均衡 从VIP菜单中独立出来。 定义Virtual Server和Real Server。 定义均衡方法和健康监测。 定义Persistence None HTTP Cookie - Virtual server在客户端放置cookie来识别会话。 SSL session ID - Virtual server使用SSL session ID来识别会话（SSL-VPN或HTTPS）。 CLI定义VIP地址发送免费ARP的间隔。 WebUI定制化 基于Modem的管理访问 FG60B和FWF60B支持 尚未完成 非法无线接入点（AP）检测 FWF50B FWF60B可用。 VDOM资源分配 之前版本的防火墙策略数、用户数等资源是在多个VDOM之间平分的。 FortiOS 4.0中，super admin可以指定每个VDOM的资源数量。 用户认证监视 用户名 用户组 持续时间 剩余时间 例如预付费用户上网