应用场景:
随着互联网的飞速发展,网络环境也变得越来越复杂,恶意攻击、木马、蠕虫病毒等混合威胁不断增大,企业需要对网络进行多层、深层的防护来有效保证其网络安全,入侵 防御系 统 (IPS)功能正是为网络提供深层防护。如果内网的服务器存在这一些漏洞不及时修补,漏洞就有可能会被入侵者利用,造成不可避免的后果。此时可在出口防火墙上 开启病毒、漏洞、 木马等事件过滤功能,FortiGate设备开启应用层过滤功能(包括:入侵防护、病毒防护、应用控制、应用过滤)后,所有进入设备的数据包均要通过分 析、检测、防护以及告警,保护服务器免受攻击。
DDOS侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务。常见的DDOS攻击手段有syn flood、 icmp flood、udp floodTearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等;扫描也是网络攻击的一种,攻击者在发起网络攻击之前,通常会试图确定 目标上开放的 TCP/UDP端口,而一个开放的端口 通常意味着某种应用。
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种 为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
FortiGate的防SYN Flood攻击采用了业界最新的syncookie技术,在很少占用系统资源的情况下,可以有效地抵御SYN Flood等DDOS攻击对受保护服务器的攻击。从而阻止 外部的恶意攻击,保护设备和内网,当检测到此类扫描探测时,向用户进行报警提示。
功能原理:
反病毒一词指的是在防止不必要的和潜在的恶意文件进入网络的一组功能,这些功能一不同的方式进行工作,包括检查文件大小,名称或类型,或病毒或灰色软件特征的存在。
反病毒扫描文件是否含有病毒、蠕虫、木马和恶意软件。反病毒扫描引擎拥有用于识别感染类型的病毒特征库,如果扫描器发下文件具有病毒特征,即确定该文件被感染,并采取正确的措施。
最彻底的扫描要求全新FortiGate具有整个文件的扫描程序。因此,反病毒代理,对到达的文件时,对文件进行缓存,传输完成后,病毒扫描器开始扫描文件,如果未被感染,则将其发送至目的地,如果被感染,则将替换信息发送至目的地。
全新FortiGate还支持基于数据流的反病毒扫描,基于数据流模式的反病毒扫描使用全新FortiGate ips引擎来检查病毒、蠕虫、木马和恶意软件的网络流量,无需缓存正在检查的文件。
基于数据流模式的扫描优点在于快速扫描和不限定文件的大小。基于数据流模式的扫描不需要对文件进行缓存,因此在文件通过全新FortiGate设备时,对数据包逐包扫描。这就消除了最大文件大小的限制,客户端可以立即开始接受文件数据。此外,基于数据流模式的扫描不改变数据包,因为他只是经过设备,而基于代理的扫描会改变数据包的详细信息,例如序列号,基于代理的扫描引起的变化不影响大多数网络。
权衡这些优点,基于数据流模式的扫描检测感染的数目较少,文件,压缩文件和一些存档中的病毒不太可能被检测到,因为扫描器在任何时刻只能检查该文件的一小部分。
全新FortiGate入侵防御系统可保护网络免受攻击,全新FortiGate采用两种技术处理这些攻击,基于协议异常和基于特征的的防御措施。
基于协议异常的防御措施
但将网络流量本身用作武器时,使用基于协议异常的防御措施。HOST会被超出其处理能力多得多的流量充斥,从而是HOST无法访问。最长见的例子是DDoS服务攻击,其中,攻击方指引大量计算机尝试对目标系统进行正常访问。如果达到了足够的访问尝试量,目标系统服务器压垮,不能为真正的用户提供服务。攻击方不会进入目标系统,但他也不可以访问其他系统。全新FortiGate DDos特性将阻断来自攻击方超过某个阀值的流量,并允许掐合法用户连接。可在防火墙手册中查找DDos策略配置信息。
基于特征的防御措施。
基于特征的防御措施用于防止已知的攻击或对漏洞的利用。这通常会涉及到某个试图进入网络的攻击方。攻击方在视图进入过程中必须与主机通讯,此通讯将包括特殊指令和变量的顺序。ips特征包括这些指令顺序,允许全新FortiGate设备检测并阻止攻击。ips特征库是基于特征入侵防护的基础。每次攻击可被检测归类为一连串指令或一些列指令和变量,ips签名包含了这些信息,因此,全新FortiGate知道如何查找网络流量中的非法攻击行为。特征也包括他们描述的攻击特性,这些特性包括攻击涉及的协议,易受攻击的操作系统,和易受攻击的的而应用。