1. 概述

传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对******起到部分防御作用。但是***仍然可以从合法的IP地址通过防火墙开放的端口对内网发起***，目前很多***和应用可以通过任意IP、端口进行，各种高级、复杂的***单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（***防御系统）来配合防火墙实现对复杂***的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络***行为。

特征匹配方法类似于病毒检测方法，通过***数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。

而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的***行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有***对服务器发起了DoS（拒绝服务）***。

FortiGate内置的IPS同时使用特征和异常两种检测方法，能够检测10000种以上***和***行为，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）***。

与市面的其它IPS设备不同，FortiGate的IPS扫描是由特殊的芯片——FortiASIC来完成的。FortiASIC芯片是构建Fortinet独有硬件平台的基础，其中包括网络处理器和内容处理器。内容处理器是经过定制的处理器，可以用来实现将已知的威胁特征库（如蠕虫***库、IPS库等）与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件（包括压缩文件）等。内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。内容处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受CPU的指令，处理内容，寻找威胁。

内容处理器能够加速防蠕虫***和IPS，因为这两种安全功能都需要将数据内容与库文件进行比对。有些人有误解，以为ASIC是“静态”安全检测，不能检测新的威胁。但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级***特征就变得非常容易，***特征可以像软件一样进行升级。

2. FortiGate IPS部署

如下图所示，FortiGate IPS可以部署在Internet和内部网络之间，既可以阻挡来自Internet对内部用户的各种***行为，也可以防止内部用户感染防止蠕虫病毒时，导致的向外发送***行为等安全威胁。

DMZ区的服务器也可使用FortiGate进行保护，防止Web、Email、Proxy等服务器受到来自Internet的***。

FortiGate的IPS既可以在线式部署(如上图方式)，直接部署在可信任网络和不可信任网络之间，这种在线式的IPS对各种***均可直接阻断并生成日志；也可以可以旁路式IDS（***检测系统）部署，对绝大多数的***行为只能记录日志，而不能进行阻断。使用旁路 式IDS时，需要在交换机上开启镜像接口功能，把需要检测的流量引入到FortiGate。旁路部署如下图所示：

3. FortiGate IPS功能

在使用基于牲的IPS时，FortiGate可以很方便的定义IPS特征过滤器，帮助用户迅速筛选对保护内部服务器有用的特征集合，并根据需要选择处理方式，与本用户网络及应用无关的特征被关闭，以免影响处理性能。例如，内网需要保护的服务器为IIS及Apache Web服务器，可以设置如下的IPS过滤器。

设置完成后，所有匹配的特征将会显示在界面中。

FortiGate的IPS特征库内置10000多种***特征，并自动通过 Internet更新，确保用户在第一时间实现对最新***方式的防御。通过图形界面，可以查看内置特征库条目，点击每个特征的名称，可以弹出对此***简介的窗口。

除了系统自带的***特征，FortiGate也支持用户自定义特征。

对于已发现的***，FortiGate不但可以对***数据包进行阻挡，还可以隔离***者的来源IP地址。有效的防止***者对内部网络不断发送***。

FortiGate内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS***进行防御，对于每一种DoS/DDoS***行为，都可以设置阈值，使策略符合实际网络环境和应用情况，降低误报和漏报率。

FortiGate防DDoS功能可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制，该功能不但可以防止蠕虫病毒爆发时导致的DoS/DDoS***，还可以对P2P等高并发会话应用进行有效抑制。