(FortiGate)飞塔防火墙IPS(***防御)解决方案
1. 概述
传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对******起到部分防御作用。但是***仍然可以从合法的IP地址通过防火墙开放的端口对内网发起***,目前很多***和应用可以通过任意IP、端口进行,各种高级、复杂的***单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(***防御系统)来配合防火墙实现对复杂***的防御。IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络***行为。
特征匹配方法类似于病毒检测方法,通过***数据包中的特征(字符串等)来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进行防御。(因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进行,这是无法想象的。)而使用IPS的特征匹配方法,通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响。
而异常分析通过统计的方法计算网络中各种流量的速率,并与管理员预设的阈值进行对比,超过阈值的通信便是可疑的***行为。例如,管理员通过对本网络应用的观察和分析,认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有3000个以上的SYN发往该服务器,此时便有可能是由于有***对服务器发起了DoS(拒绝服务)***。
FortiGate内置的IPS同时使用特征和异常两种检测方法,能够检测10000种以上***和***行为,包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)***。
与市面的其它IPS设备不同,FortiGate的IPS扫描是由特殊的芯片——FortiASIC来完成的。FortiASIC芯片是构建Fortinet独有硬件平台的基础,其中包括网络处理器和内容处理器。内容处理器是经过定制的处理器,可以用来实现将已知的威胁特征库(如蠕虫***库、IPS库等)与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件(包括压缩文件)等。内容处理器专门进行协议识别和解析,可以快速重组数据包,扫描发现可疑的内容。内容处理器并不直接接收数据,它不串接在网络接口后面,而是通过接受CPU的指令,处理内容,寻找威胁。
内容处理器能够加速防蠕虫***和IPS,因为这两种安全功能都需要将数据内容与库文件进行比对。有些人有误解,以为ASIC是“静态”安全检测,不能检测新的威胁。但是实际上,固化的部分是扫描逻辑结构,而非特征值,对新的安全威胁可以通过升级特征库来解决,这样升级***特征就变得非常容易,***特征可以像软件一样进行升级。
2. FortiGate IPS部署
如下图所示,FortiGate IPS可以部署在Internet和内部网络之间,既可以阻挡来自Internet对内部用户的各种***行为,也可以防止内部用户感染防止蠕虫病毒时,导致的向外发送***行为等安全威胁。
DMZ区的服务器也可使用FortiGate进行保护,防止Web、Email、Proxy等服务器受到来自Internet的***。
FortiGate的IPS既可以在线式部署(如上图方式),直接部署在可信任网络和不可信任网络之间,这种在线式的IPS对各种***均可直接阻断并生成日志;也可以可以旁路式IDS(***检测系统)部署,对绝大多数的***行为只能记录日志,而不能进行阻断。使用旁路 式IDS时,需要在交换机上开启镜像接口功能,把需要检测的流量引入到FortiGate。旁路部署如下图所示:
3. FortiGate IPS功能
在使用基于牲的IPS时,FortiGate可以很方便的定义IPS特征过滤器,帮助用户迅速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能。例如,内网需要保护的服务器为IIS及Apache Web服务器,可以设置如下的IPS过滤器。
设置完成后,所有匹配的特征将会显示在界面中。
FortiGate的IPS特征库内置10000多种***特征,并自动通过 Internet更新,确保用户在第一时间实现对最新***方式的防御。通过图形界面,可以查看内置特征库条目,点击每个特征的名称,可以弹出对此***简介的窗口。
除了系统自带的***特征,FortiGate也支持用户自定义特征。
对于已发现的***,FortiGate不但可以对***数据包进行阻挡,还可以隔离***者的来源IP地址。有效的防止***者对内部网络不断发送***。
FortiGate内置的IPS还可以对SYN flood、ICMP flood等DoS/DDoS***进行防御,对于每一种DoS/DDoS***行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率。
FortiGate防DDoS功能可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制,该功能不但可以防止蠕虫病毒爆发时导致的DoS/DDoS***,还可以对P2P等高并发会话应用进行有效抑制。
转载于:https://blog.51cto.com/abnerhuang/2070482
(FortiGate)飞塔防火墙IPS(***防御)解决方案相关推荐
- Fortigate飞塔防火墙配置命令
飞塔防火墙fortigate的show 命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机 ...
- Fortigate 飞塔防火墙命令行常用操作 CLI
文章目录 1.基本配置 1. 设备console口设置 2. 设置接口IP 3. 设置网关 4. 设置DNS 5. 设置NTP 6. 设置时区和主机名 7. 配置备份 2.HA相关 1. 查看HA状态 ...
- 从零开始学飞塔第一篇:飞塔防火墙基本上网配置(PPPoE拨号固定IP上网)FortiGate Broadband internet access
飞塔防火墙基本上网配置一共分三个部分-----接口-----路由-----策略,且防火墙可代替路由器接入互联网.本文参考Aggy梁工的博客,已征得本人同意.首先我们讲的是PPPoE拨号上网的配置,再讲 ...
- (FortiGate)飞塔防火墙IPMAC绑定设置步骤
1. 飞塔防火墙IPMAC绑定是通过底层进行配置的,我们先进行IPMAC绑定的常规设置 config firewall ipmacbinding setting set bindthroughfw e ...
- Linux -- 利用IPS(***防御系统) 构建企业Web安全防护网
一.IPS系统简介 (应用层上应用) 防火墙只在网络层上应用,IPS 和防火墙相比,检测及过滤功能更为强大,它通过串联在网络主干线路上,对防火 墙所不能过滤的***进行过滤.这样一个两级的过滤模式,可 ...
- 飞塔防火墙手动升级UTM库
手动升级UTM库## 飞塔防火墙 防火墙不能上网,怎样手动升级非他病毒库 以上UTM文件在fortinet官网下载,https://support.forinet.com 电脑网卡改为192.168. ...
- 飞塔60d带宽_飞塔防火墙划分带宽 万兆防火墙
飞塔310B防火墙,怎么样恢复出厂设置? 恢复飞塔(FortiGate)防火墙的出厂设置当我们不能登录飞塔(FortiGate)防火墙的管理界面时可以使用此方法,不过必须要知道管理密码.步骤: 1.用 ...
- H3C ARP攻击防御解决方案
1 前言 欺骗攻击所表现出来的网络现象. ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到游戏.网银. ...
- 勒索软件:进化、分类和防御解决方案综述
勒索软件 2.相关研究 3.勒索软件和勒索软件的进化 4.勒索软件的分类 以目标为指向的 勒索法分类 著名勒索病毒家族的分类 5.勒索软件防御研究 分析 勒索软件探测 勒索软件恢复 6.OPEN IS ...
最新文章
- WMI技术介绍和应用——查询硬件信息
- #2002-The server is not responding (or the local MySQL server's socket is not correctly configur
- 网络系统结构和设计的基本规则(Basic rules for network system architecture and design)
- 自己动手写一个JQuery插件(第二篇)(转)
- 得到当前数据库中所有用户表信息
- Linux之telnet命令使用详解—网络故障定位(四)
- 流言终结者:大数据工程师真的做不过35岁吗?
- RIAMeeting第六次开发者交流活动。
- 线程同步,线程不同步_同步多线程集成测试
- android eclipse 配置 在项目右击选择properties
- 开源cms 和 开源博客_BackBee CMS如何以及为何开源
- Identityserver4配置证书
- Google IPU:互联网巨头纷纷进军芯片行业是为何?
- 安卓温升thermal介绍
- 11_传智播客iOS视频教程_NS前缀和@符号
- FLink学习笔记:12-Flink 的Table API的常用操作
- python tips
- 颜色空间RGB与HSV HSL 的转换
- 1、模拟蚂蚁借呗—利息计算
- 【JSD2209-DAY02】数据基本类型