（FortiGate）飞塔防火墙IPS(入侵防御)解决方案

1. 概述

传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用可以通过任意IP、端口进行，各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS（入侵防御系统）来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。

特征匹配方法类似于病毒检测方法，通过攻击数据包中的特征（字符串等）来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串，虽然这种应用使用HTTPS协议通过TCP443端口通信，使用包过滤防火墙无法进行防御。（因为如果将TCP443端口封闭的话，会导致所有HTTPS通信无法进行，这是无法想象的。）而使用IPS的特征匹配方法，通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉，而其他HTTPS应用不会受到影响。

而异常分析通过统计的方法计算网络中各种流量的速率，并与管理员预设的阈值进行对比，超过阈值的通信便是可疑的攻击行为。例如，管理员通过对本网络应用的观察和分析，认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有3000个以上的SYN发往该服务器，此时便有可能是由于有黑客对服务器发起了DoS（拒绝服务）攻击。

FortiGate内置的IPS同时使用特征和异常两种检测方法，能够检测10000种以上攻击和入侵行为，包括各种DoS（拒绝服务）/DDoS（分布式拒绝服务）攻击。

与市面的其它IPS设备不同，FortiGate的IPS扫描是由特殊的芯片——FortiASIC来完成的。FortiASIC芯片是构建Fortinet独有硬件平台的基础，其中包括网络处理器和内容处理器。内容处理器是经过定制的处理器，可以用来实现将已知的威胁特征库（如蠕虫攻击库、IPS库等）与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件（包括压缩文件）等。内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。内容处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受CPU的指令，处理内容，寻找威胁。

内容处理器能够加速防蠕虫攻击和IPS，因为这两种安全功能都需要将数据内容与库文件进行比对。有些人有误解，以为ASIC是“静态”安全检测，不能检测新的威胁。但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级攻击特征就变得非常容易，攻击特征可以像软件一样进行升级。

2. FortiGate IPS部署

如下图所示，FortiGate IPS可以部署在Internet和内部网络之间，既可以阻挡来自Internet对内部用户的各种攻击行为，也可以防止内部用户感染防止蠕虫病毒时，导致的向外发送攻击行为等安全威胁。

DMZ区的服务器也可使用FortiGate进行保护，防止Web、Email、Proxy等服务器受到来自Internet的攻击。

FortiGate的IPS既可以在线式部署(如上图方式)，直接部署在可信任网络和不可信任网络之间，这种在线式的IPS对各种攻击均可直接阻断并生成日志；也可以可以旁路式IDS（入侵检测系统）部署，对绝大多数的攻击行为只能记录日志，而不能进行阻断。使用旁路式IDS时，需要在交换机上开启镜像接口功能，把需要检测的流量引入到FortiGate。旁路部署如下图所示：