Fortinet UTM方案模版.doc

****** UTM（统一威胁管理） 安全解决方案 Fortinet公司 2005年9月 目录 第一章 网络安全现状 3 1 概述 3 2 新一代的混合型攻击 4 3 深度检测的力量 9 第二章 ******需求分析 13 第三章 Fortinet UTM安全解决方案 14 1 网络构架 14 1.1 路由（NAT）模式 15 1.2 透明（桥）模式 17 1.3 混合模式 19 2 安全功能 20 2.1 防火墙 22 2.2 防病毒 26 2.3 IPS（入侵防御） 31 2.4 VPN（虚拟专用网） 34 2.5 Web内容过滤 38 2.6 反垃圾邮件 41 3 安全管理 43 3.1 图形管理 43 3.2 命令行管理 44 3.3 日志处理 45 3.4 集中管理 47 3.5 高可用性 48 3.6 安全服务 48 第四章 附件 50 1 方案优势 50 2 产品认证及资质 50 3 产品技术参数 53 网络安全现状 概述 近几年来，计算机和网络攻击的复杂性不断上升，使用传统的防火墙和入侵检测系统（IDS）越来越难以检测和阻挡。随着每一次成功的攻击，黑客会很快的学会哪种攻击方向是最成功的。漏洞的发现和黑客利用漏洞之间的时间差也变得越来越短，使得IT和安全人员得不到充分的时间去测试漏洞和更新系统。随着病毒、蠕虫、木马、后门和混合威胁的泛滥，内容层和网络层的安全威胁正变得司空见惯。复杂的蠕虫和邮件病毒诸如Slammer、Blaster、Sasser、Sober、MyDoom等在过去几年经常成为头条新闻，它们也向我们展示了这类攻击会如何快速的传播——通常在几个小时之内就能席卷全世界。 许多黑客正监视着软件提供商的补丁公告，并对补丁进行简单的逆向工程，由此来发现漏洞。下图举例说明了一个已知漏洞及相应补丁的公布到该漏洞被利用之间的天数。需要注意的是，对于最近的一些攻击，这一时间已经大大缩短了。 IT和安全人员不仅需要担心已知安全威胁，他们还不得不集中精力来防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁。为了对抗这种新的威胁，安全技术也在不断进化，包括深度包检测防火墙、应用网关防火墙、内容过滤、反垃圾邮件、SSL VPN、基于网络的防病毒和入侵防御系统（IPS）等新技术不断被应用。但是黑客的动机正在从引起他人注意向着获取经济利益转移，我们可以看到一些更加狡猾的攻击方式正被不断开发出来，以绕过传统的安全设备，而社会工程（social engineering）陷阱也成为新型攻击的一大重点。 图：系统漏洞被黑客利用的速度越来越快 带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击设计为欺骗用户暴露敏感信息，下载和安装恶意程序、跟踪软件或运行恶意代码。很多这类攻击设计为使用传统的浏览器或Email技术（如ActiveX、XML、SMTP等），并伪装为合法应用，因此传统的安全设备很难加以阻挡。现在比以往任何时候都更需要先进的检测和安全技术。 新一代的混合型攻击 混合型攻击通过多种感染和攻击方法来利用操作系统和应用程序中发现的漏洞，如Windows XP、IE和MS SQL Server等。为了使自身更难被发现和阻挡，混合型攻击使用多种技术的混合——如病毒、蠕虫、木马和后门攻击等，这些攻击往往通过Email和被感染的网站发出。随着每一次成功的攻击，知识很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击更难被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 现在针对新漏洞的攻击产生速度比以前要快得多。在最新一代攻击中使用的社会工程陷阱的数量也明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。网络欺诈攻击往往声称自己为某个合法组织，诱骗成千上万的无辜受害者给出他们的财务和私人信息。广告软件、恶意Web站点、Web重定向和其它形式的间谍软件在用户不知情的情况下秘密的向他们的机器上安装跟踪软件、键盘记录工具、文件清除工具和其它恶意软件。通过邮件传播攻击是当前最流行的方法之一。病毒被设计为利用Email客户端软件的地址簿进行广泛传播已经成为新型攻击的标准手段。 图：CSO的Security Sensor VIII研究报告表明：将近60%的被调查者在2004年4季度遭受过间谍软件的攻击。 这些被调查的组织经历过的问题————————————————————————— 系统宕机 92% 法律曝光 11% 内部记录丢失或破坏