掌握防火墙高级检测技术

核心提示： 减少维护成本，攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新，掌握防火墙高级检测技术(3)， 升级对于用户、系统或者应用来说是透明的，无需停机，以发现异常，通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统，更新可以实时进行——不像操作系统和

减少维护成本。攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新。

升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统。

保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性，使IT专业人员在发生问题之前有较充分的时间来测试补丁。

保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。

在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截。

不像基于主机的安全应用那样可能被最终用户或恶意程序关闭。

可与已有的安全技术共存并互补。

高级安全检测技术

作为UTM安全设备的领导厂商， Fortinet(飞塔)公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了较好的检测能力， 包括：

集成关键安全组件的状态检测防火墙。

可实时更新病毒和攻击特征的网关防病毒。

IDS和IPS预置一千多个攻击特征，并提供用户定制特征的机制。

VPN（支持PPTP、L2TP、 IPSec，和SSL VPN）。

反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（RBL）。

Web内容过滤具有用户可定义的过滤和全自动过滤服务。

带宽管理防止带宽滥用。

用户认证，防止非授权的网络访问。

动态威胁防御提供先进的威胁关联技术。

ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能。

加固的操作系统，不含第三方组件，保证了物理上的安全。

完整的系列支持服务，包括日志和报告生成器、客户端安全组件。

动态威胁防御系统

Fortinet的动态威胁防御系统（DTPS）是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联，并将各种安全模块无缝地集成在一起。DTPS技术使每一个安全功能之间可以互相通信，并关联“威胁索引”信息，以识别可疑的恶意流量，这些流量可能还未被提取攻击特征。通过跟踪每一安全组件的检测活动，DTPS能降低误报率，以提高整个系统的检测精确度。相比之下，由多个不同厂商的安全部件（防病毒、IDS、IPS、防火墙）组合起来的安全方案则缺乏协调检测工作的能力。

图2 动态威胁防御系统的体系结构图

为了使性能达到最佳，所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析。特征模式结合由硬件加速的精简模式识别语言是当前识别已知攻击最快的方法。如果发现了特征的匹配，DTPS按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等。安全防护响应网络可提供病毒库、IDS/IPS特征以及安全引擎最新版本， 以保持实时更新。这就保证了基于最新特征的威胁会被识别出来，并被快速阻挡。

如果不能找到特征的匹配，系统就会启动启发式扫描和异常检测引擎，会话流量会得到进一步的仔细检查，以发现异常。通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统，安全平台大大提高了对已知和未知威胁的防御能力。