厦门ag8亚游集团信息科技有限公司欢迎您!

Fortinet 无线安全设计方案

一、        无线业务功能需求分析

随着企业无线业务需求的增长,线上下线的一体化整合各方面的考量,目前无线业务需求如下:

  • 无线安全业务需求: 无线业务覆盖需求,无线微信运营需求,网管需求,安全需求,可扩展需求

  • 多种认证方式:Portal认证及WPA2并对接Wlan Portal,以及微信及公众号的交互认证的实现;

  • 安全防护:对上网客户端实现安全保护,病毒防护,钓鱼防护以及漏洞及攻击等等;

二、        无线安全网络接设计方案

1.  Fortinet无线安全接入方案优势

Fortinet公司(飞塔信息科技(北京)有限公司)(NASDAQ:FTNT)是一家全球性的网络安全设备供应商,成立于2000年,全球员工有3000多名,其中研发技术人员占三分之一,是统一威胁管理(UTM)市场的领导者。每年的复合增长率超过30%,我们的产品和安全服务为客户提供了广泛且综合的安全服务、可靠稳定的网络与实时动态的安全保护,同时极大的简化了客户的IT安全体系架构。产品包括了防火墙,WAF,DDOS防护,邮件安全,数据库审计等等。在安全行业内,Fortinet拥有业内权威的安全认可,包括ICSA(国际计算机安全协会)认证,NSS,Vb100,最高级政府安全认证 (FIPS-2,  Common Criteria EAL4+)等等,Fortinet在全球的安全市场份额排名第三,在国内拥有众多的蓝筹客户,如中国移动,中国电信,中国石化,民生银行等等。

在无线技术方面,Fortinet处于行业内的领先地位,体现在对无线流量进行安全检测,提供防病毒,入侵防护,网页过滤,反垃圾邮件,应用控制等。

针对部署方面,Fortinet支持分布式部署或集中式部署的方式,提供的无线同频部署模式,非常有效的避免了无线频段的冲突且保证了无线网络的稳定及高吞吐。

在性能方面,FortiAP 支持多radio的MIMO收发,单一AP可以提供最大1.7G的接入能力,有效的保证了多用户的接入带宽。

在管理方面,Fortinet提供可视化的安全管理及无线管理,一目了然的看到无线网络内的流量情况以及AP的运行状态及负载。

无线网络的安全接入及安全方案由AP(无线接入点)和AC(无线接入控制器)两部分组成。

无线AP是可管理的瘦AP(以下简称AP)。AP配备最新的IEEE 802.1n的无线芯片以提供高性能的无线接入,在每个无线波段集成监控和多个虚拟AP功能。AP产品与一系列丰富的AC控制器(以下简称AC)产品给用户提供了增强的无线空间。无线运行模式、通道设定、传输功率强弱等,都由AC集中控制,以更方便安装和管理。

每个AP都把流量引入到集成在平台的AC,该流量经过身份识别、UTM(统一威胁管理)引擎检查,仅授权的无线数据流量被转发。除从一个控制台控制网络访问、快速方便的更新策略和监控外,AC的深度检查引擎还能提供防火墙、VPN、防病毒、IPS等网络层和应用层安全防御手段,建立在产品多年的网络安全经验基础之上,为客户提供安全的无线网络接入。

(AP)和(AC)的无线控制功能提供超强的安全解决方案:

身份验证:强大的身份验证功能,支持WPA2、802.1x等。

安全防御:为无线网络提供业绩顶级的UTM安全保护。

高性价比:灵活的安装,多功能安全与无线接入的整合,实现较低的总体拥有成本。

三、        无线功能介绍

随着移动设备(智能手机和平板电脑)的普及,办公人员基本每人都有支持连接网络的移动设备,来公司办事的访客上网需求也在不断增加。为了更好的方便内部人员和访客在公司办公区域使用无线网络,网络设备部计划对现无线WLAN网络需求进行规划,实现最新最安全的无线安全技术部署。

本次无线WLAN安全网络的设计,本着以人为本的原则,采用性价比最高的业界著名的无线安全集成解决方案。为了更好的发挥WLAN的作用,在无线需求中提出以下内容:

1.  无线portal认证

无线AP支持多种用户认证方式,比如微信认证,公众号认证,一键认证,短信认证,LDAP、Radius、本地用户、访客认证等;

Fortinet通过提供第三方的Web portal解决方案对所有无线客户提供portal认证,认证逻辑图如下:

工作流程:

  • 手机用户连上Wifi,访问Internet,FortiGate弹出外部认证页面提示进行认证选择,;

  • 用户选择认证方式进行认证;

  • Wlanportal根据用户选择认证类型进行不同的认证流程,认证成功后生成Rsso-acct信息发送给AC;

  • FortiGate接收到Wlanportal发来的Radius Accounting消息,用户即完成认证。

认证界面

1.1       一键认证

  • 一键认证适用于有线及无线客户端的认证,一键认证不需要用户提供任何信息,上网账号由Wlanportal直接生成并传递给FortiGate;

  • 选择一键认证

  • 直接认证成功

1.2     访客认证

对外部访客实现独立管理,生成临时WLAN接入帐号;

首先,访客选择访客认证后生成二维码,使用已认证员工的手机扫码后完成认证,最后,访客用户可以接入无线网络。

对于访客,在AC上设置不同的网络访问权限,帐号是一次性的,下次接入需要再次输入帐号,访客的上网时长可以按小时为单位设置。

FortiGate设备也支持生成访客账号功能,并可以配置访客账户的有效期。

1.3     短信认证

  对于短信认证,用户可以输入手机号码,通过短信网关向用户发送验证码

1.4       微信认证

微信认证仅对无线用户提供,有线用户无法看到该选项,无线用户选择该认证后,将在手机端打开微信,并跳转至指定微信公众号,选择立即连接后,即可完成认证。

1.5      用户名密码认证

对于内部员工客户端,如桌面PC,可以提供长期认证,认证方式可以使用WPA2个人认证方式。

1.6    推荐采用的认证方式

需要上网的人员主要有两种类型,分别是内部员工和外来访客或临时员工。对两种类型的人员可以采用不同的认证方式及访问控制权限。

1. 内部员工

内部员工大多长期在公司内办公,认证方式可选择WPA2密码认证的方式,认证一次后不需要再重复认证。但密码的丢失可造成外来人员使用内部员工密码上网,所以,还可以结合IP MAC地址绑定的方式,只有绑定MAC地址的设备,才能使用WPA2密码认证方式访问网络。

FortiGate设备同时支持WPA2认证及IP MAC绑定功能,本次项目推荐的FortiGate100D最大可支持1000条IP-MAC绑定条目,可以满足用户未来发展的需求。

2.访客认证

对于访客用户,可采用临时用户名密码认证方式。本节章中1.2小节介绍的访客认证方式可以实现访客上网需求。此种方式的优缺点如下:

  • 优点:操作简便,需要内部员工扫描二维码的方式也提高了安全性。

  • 缺点:需要集成外置认证系统。

FortiGate设备也具备生成访客用户的功能。通过登录界面,即可生成临时用户名密码,并可指定有效时间。访客用户访问互联网时,需要输入临时用户名密码才可生效。

此种方式的优缺点如下:

  • 优点:不需要外置认证系统,只需要通过FortiGate设备即可实现。

  • 缺点:每次访客认证均需要生成一次访客用户名密码。

 

四、        安全防火墙功能介绍

1.  安全功能

1.1     不同类型人员上网权限控制

对内部员工和外来访客,通过FortiGate设备可以实现不同的访问网络权限、流量控制策略及其它高级安全功能。

2. 配置地址对象,分别对应内部员工和访客分配的地址段。

3. 配置防火墙策略,为不同的地址段分配不同的安全策略。如访客用户只能访问互联网HTTP内容,内部员工访问不受限制。

4. 在防火墙策略中,还可以配置其它内容,如流量控制和其它高级功能。如需要给访客分配1Mbps的流量,并需要开启防病毒功能,如下图所示:

1.2     流量控制

FortiGate防火墙能够对正向、反向的网络流量进行精确的控制,对一个或一组IP地址、端口、应用协议既可以通过设置保留带宽保证应用的最小带宽,又可以设置最大带宽防止对网络资源的过度占用,还可以通过设置网络应用的优先级将网络带宽在不同应用之间进行合理分配,并通过DSCP值对流量进行控制,使网络效率达到最优化。

FortiGate设备还支持每IP的流量整形功能。对定义网段内的每个IP地址进行单独的流量控制,实现对流量的细粒度控制。流量配额功能,可以实现流量的总量达到某个数值时,将不再允许流量通过。

同时,FortiGate还支持基于应用的流控,可对不同的应用进行不同的带宽控制。配置举例如下,对技术部限制10Mbps宽带,并对所有的P2P流量限制5Mbps带宽。

1.3     防病毒

不同于市场上其他基于软件处理的防病毒网关,FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒网关,可以提供高于同类产品4-6倍的防病毒性能,FortiGate高端型号采用了Fortinet最新一代ASIC芯片——FortiASIC CP8,

最高可以达到单台5Gbps的HTTP防病毒吞吐量,均远超同类其它产品,对于Web浏览这样的实时应用的性能影响也微乎其微。FortiGate还支持通过负载均衡方式提升防病毒性能,现有用户中已实现了3.7Gbps的实时防病毒性能。

FortiGate目前的支持的病毒特征数量超过22万个,而且防病毒特征可通过Internet自动更新,每天4次的病毒库更新频率是业界最高标准之一,可以确保用户在第一时间实现对最新型网络威胁的防御。FortiGate支持手动、自动、推送式更新。其中推送式更新当服务器上有新的特征库时,会主动“推送”至用户的FortiGate,响应速度最快。

下图是各厂商对新病毒的响应速度排名,可以看到Fortinet的响应速度长期位于业界前列。

FortiGate的病毒过滤针对标准协议,与应用无关。无论用户使用何种Email服务器和客户端,只要使用的是标准的SMTP、POP3、IMAP协议,FortiGate都可以对电子邮件中的病毒进行过滤,防止病毒通过邮件传播。FortiGate还支持HTTP协议和FTP协议,对于Web浏览、下载、Web邮件及FTP文件传输过程中携带的病毒均可进行拦截。在支持协议的全面性上走在了业界的前方。对于使用非标准端口的协议应用(如在使用代理服务器的环境中,HTTP协议不使用TCP80端口,却使用了TCP8080端口),FortiGate同样可以对其中的病毒进行过滤。

在协议支持的全面性上,FortiGate走在了业界的前面。在FortiGate上启用防病毒功能,对HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等协议进行过滤,便可将外网病毒传入内网的风险降至最低。

FortiGate支持基本病毒库和扩展病毒库,用户可以针对不同协议开启不同级别的安全保护,在安全和性能之间进行良好的平衡。

当发现病毒时,防病毒功能还可以对病毒发送者的源IP或病毒来源接口进行封禁,把病毒的危害在最短时间内减小到最小的程度。

对于一段内容,如果既包含正常部分,又含有病毒代码,则FortiGate会将病毒代码过滤掉,正常部分仍然会继续传输,这样便可有效防止信息的丢失。例如,一封附件染毒的Email被发往内网某用户处,经过FortiGate扫描后,带有病毒的附件会被拦截,而“干净”的正文仍然会正确的发送到收件人的邮箱里,不会因为病毒扫描导致信件的丢失。

 

这封邮件中还会自动插入提醒信息,通知收件人由于附件带毒,所以被FortiGate删除。提示信息可以由管理员自己来设置。

除了可以过滤已知特征病毒之外,FortiGate还可以对管理员指定的文件名类型进行过滤。例如,通过过滤*.mp3文件可以有效阻止内网用户上网下载mp3歌曲;过滤avserver.exe文件也可以对震荡波(Sasser)病毒进行阻挡。

管理员还可以使用FortiGate对超过一定大小的文件进行阻挡。例如管理员不希望内网用户下载电影而大量占用网络带宽,便可在FortiGate上设置,超过50M大小的文件一律阻止。

对于染毒文件,除了直接丢弃之外,还可以隔离至FortiAnalyzer。

Grayware(灰色软件)是针对具有扰人的行为模式、令人排斥或一般人难以察觉的应用程序的通称。灰色软件通常在用户浏览网页、下载文件、收取Email时偷偷潜入计算机,用户很难察觉。灰色软件通常都对计算机产生各种不良作用和安全威胁,它包括间谍软件(扫描计算机内的信息,泄漏用户机密)、键盘记录软件(产生用户敲击键盘的记录,可能窃取用户的各种帐号密码等信息)、拨号软件(自动拨打国际长途或者信息服务号码,产生高额话费)、广告软件(随时弹出各种广告内容,影响用户对计算机的正常使用)等。FortiGate的防病毒功能同样可以检测并阻挡各种Grayware(灰色软件),进一步提高网络的安全性。Grayware检测库同样可以不断在线更新。

1.4  IPS/DDOS(入侵防御/DDOS防护)

 

传统的状态检测/包过滤防火墙是在网络层/传输层工作,根据IP地址、端口等信息对数据包进行过滤,能够对黑客攻击起到部分防御作用。但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击,目前很多攻击和应用可以通过任意IP、端口进行,各种高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡,需要使用IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御。IPS工作在第二层到第七层,通常使用特征匹配和异常分析的方法来识别网络攻击行为。

特征匹配方法类似于病毒检测方法,通过攻击数据包中的特征(字符串等)来进行判断。例如前面提过的SoftEther的通信数据中都会包括“SoftEther Protocol”字符串,虽然这种应用使用HTTPS协议通过TCP443端口通信,使用包过滤防火墙无法进行防御。(因为如果将TCP443端口封闭的话,会导致所有HTTPS通信无法进行,这是无法想象的。)而使用IPS的特征匹配方法,通过查找“SoftEther Protocol”字符串便可轻易的将所有SoftEther流量过滤掉,而其他HTTPS应用不会受到影响。

而异常分析通过统计的方法计算网络中各种流量的速率,并与管理员预设的阈值进行对比,超过阈值的通信便是可疑的攻击行为。例如,管理员通过对本网络应用的观察和分析,认为在正常情况下某服务器每秒收到2000个以内SYN包属于正常范围。然而某一时刻FortiGate检测到每秒有3000个以上的SYN发往该服务器,此时便有可能是由于有黑客对服务器发起了DoS(拒绝服务)攻击。

FortiGate内置的IPS同时使用特征和异常两种检测方法,能够检测3000种以上攻击和入侵行为,包括各种DoS(拒绝服务)/DDoS(分布式拒绝服务)攻击。FortiGate的IPS是在线式的,部署方式如下图所示,直接部署在可信任网络和不可信任网络之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS(入侵检测系统)对绝大多数的攻击行为只能记录日志,而不能进行阻断。

 

 

如下图所示,FortiGate可以很方便的定义IPS特征过滤器,帮助用户迅速筛选对保护内部服务器有用的特征集合,并根据需要选择处理方式,与本用户网络及应用无关的特征被关闭,以免影响处理性能。

FortiGate的IPS特征库内置8000多种攻击特征,并自动通过Internet更新,确保用户在第一时间实现对最新攻击方式的防御。

除了系统自带的入侵特征,FortiGate也支持用户自定义特征。

FortiGate内置的IPS还可以对SYNflood、ICMP flood等DoS/DDoS攻击进行防御,对于每一种DoS/DDoS攻击行为,都可以设置阈值,使策略符合实际网络环境和应用情况,降低误报和漏报率,并可以针对不同的源或目的IP地址的TCP、UDP、ICMP会话数量进行限制。

1.5   VPN(虚拟专用网)

Internet应用中,不可避免的要通过公用网络来传输信息,其中就有可能包括机密信息。由于Internet是一个开放的、公用的网络,黑客很容易通过在网络设备上安装网络嗅包器(如Sniffer、NIDS等)中途窃取信息,造成泄密;黑客也可以伪装成内部用户登录到内网中进行破坏活动,因此我们需要在网络上配置一整套VPN体系,对通过Internet进行的远程访问进行严格的认证和加密,使Internet上的VPN成为经过加密和认证的安全链路,保证各节点之间远程访问的安全。

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,没有很强的访问控制功能(状态包过滤、网络内容过滤、防DoS攻击等)。在独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN能提供一个灵活、高效、完整的安全方案,是当前安全产品的发展趋势。它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,VPN技术已经成为安全网关产品的组成部分。FortiGate便是一个集防火墙、VPN和应用层过滤网关功能于一身的综合安全网关,可以提供各安全功能之间的完美联动、良好的兼容性和性能。

FortiGate的VPN功能支持PPTP、L2TP、IPSec和SSL四种VPN协议,提供了前所未有的方便和灵活的选择。对远程移动用户或企业的出差用户来说,既可以使用Windows98/2000/XP/2003 等系统自带的PPTP/L2TP拨号软件,也可以使用IPSec客户端软件FortiClient和企业建立VPN的连接,还可以直接使用IE浏览器,通过Web方式创建基于SSL的VPN隧道。应用PPTP、L2TP、SSL的好处是方便使用,不需要附加的软件。而用IPSec 客户端软件的好处是高度的安全性保证,可以采用动态的密钥保证数据的安全。在企业本地网络和远程网络之间可以采用IPSec协议来实现VPN的连接和数据的高度安全控制。配置简单灵活。

由于充分利用专用的ASIC芯片技术,处理复杂的VPN加密和认证过程,极大加快了VPN通道的建立速度和数据加/解密的处理时间,达到极高的VPN处理速度。内容处理器以独特的设计方式, 解决了防火墙设备处理高速加密数据流的瓶颈问题,并通过简单易用的WEB管理提供用户人性化的管理界面。高性能的VPN加密处理 (DES,3DES,AES,MD5,SHA1) 使企业可以充分利用VPN技术构建自己的Intranet网络,无须考虑设备处理速度的影响,256位的AES算法更提供业界最高级别的安全防御体系,使企业的内部数据可以无忧地在公网上传输,以达到企业内部网络安全扩展的目的。而今,迅速发展的广域网技术使公网的带宽成倍的增长,同时又为企业VPN网络提供了广阔的发展空间。

客户端既可以使用Windows自带的PPTP/L2TP拨号VPN,实现简单灵活的安全访问;也可以使用FortiClient客户端软件进行高强度的IPSec通信,AES加密算法可以实现256位加密强度,极大的提高访问的安全性。FortiClient还内置了单机防病毒、个人防火墙、入侵防御、Web过滤、反垃圾邮件以及Windows注册表监控功能,可以为移动办公的计算机提供全方位的保护,防止黑客、病毒入侵该计算机使之成为整个网络的突破口。

FortiGate支持DDNS(动态域名解析),对于VPN隧道两端都是动态IP地址的情况,也可以通过域名的方式互访,很好的满足这种网络环境。

1.6    Web内容过滤

 

FortiGate内置Web内容过滤功能,可以通过3种方式过滤Internet上的非法、有害的Web内容。

1)URL地址:只需要将不良网站的URL地址添加到过滤列表中,便可进行阻挡。例如:可以通过FortiGate阻挡www.sex.com这一网站。URL过滤也支持地址模版,可以使用通配符批量过滤URL地址。

2)不良关键字:所有包含用户自定义不良关键字的网页将被屏蔽。

3)网页分类:可选的FortiGuard机制将数十亿个网页分成了76个类别(如政治、经济、色情、暴力等),用户只需要在FortiGate上设置阻断某一类站点(如色情、暴力类网站)便可批量屏蔽不良网站。

Fortinet公司的FortiGuard团队每日通过人工和自动程序的方式来检索新内容并对Web分类库进行更新,加入新的条目,删除已关闭的网站,调整网页的分类等。用户使用的FortiGate会自动访问FortiGuard服务器来更新这些内容,确保分类过滤的准确性。

 

FortiGate还具有有害脚本的过滤功能,能保护网络不受有害脚本(如Java、ActiveX等)的侵袭。

1.7  应用控制

连接Internet的办公网中,有很多与工作无关的应用。一些应用不但会影响到员工的工作效率,还能带来一些其它危害,如MSN、QQ、ICQ、Yahoo等IM软件可能导致工作效率下降和安全威胁(病毒、木马等);P2P软件 的应用会大量占用宽带,甚至会造成企业 网络出口的堵塞,严重影响正常的工作;另外还有游戏、炒股等应用,因此需要对这些应用进行控制,但这些软件通常都通过HTTP(TCP80)端口或动态端口进行传输,无法使用防火墙规则进行限制。

FortiGate的应用控制功能可以不通过检查TCP/IP端口也能够探测应用,对应用进行细粒度的控制,动作包括阻断、通过、流量整形和用户控制;可以阻断FTP特定的PUT命令;可以阻断IM的文件传输;可以检测IM用户传送恶意的文件;可以对IM消息进行归档等等,目前支持18类,超过3000种应用。

 

对于BT、电驴等P2P应用,FortiGate设备除了能进行阻挡外,还可通过应用宽带管理策略,进行流量的限制。

 

1.8     信息泄露防护

 

信息在企业业务中扮演着重要的角色,因此我们可以认为信息也是一种资产,并称之为信息资产。信息资产尽管是无形的,但由于它包含了大量的业务数据、客户信息、商业秘密等对企业的业务乃至存亡密切相关的内容,所以信息资产也面临大量的威胁和风险,包括有意或无意的销毁、黑客攻击、恶意软件造成的数据丢失、内部人员的泄漏等。这些威胁和风险中,最有可能发生并造成严重后果的便是保密信息有意或意外的泄漏,一旦发生数据泄漏事件,企业不单要承担保密数据本身价值的损失,严重的时候还会影响企业的声誉和公众形象,并有可能面临法律上的麻烦。

FortiGate产品通过可以为企业提供完善的信息泄露防护解决方案,通过多种功能的综合应用,实现对企业信息的保护、审计,包括:

§监控和审计        §数据归档       

§FortiDB– 监控数据库的活动

§控制可能会发生数据泄露的通道

§通过应用控制来阻断和限制P2P和IM的使用

§ 检测和阻断泄漏的数据   §在 FortiGate上使用DLP传感器

FortiGate信息泄露防护功能,主要实现检测及阻断可能造成泄漏的数据,及对数据进行归档。信息通过Web、电子邮件、FTP、NNTP、IM及会话控制等方式进行传输进,都可以被有效的控制和监控。

FortiGate数据泄漏防护对于电子邮件的检查,包括主体、主题、发送方、接收方、附件、邮件大小、是否加密等多种方式进行检测。

当通过邮件或HTTP方式传输文件时,FortiGate可以检测TXT、Word、PDF的文本内容,对其中有可能产生数据泄漏的内容进行控制。

当发现有数据泄露行为时,可采取的处理动作包括屏蔽、例外、封禁、隔离来源IP或接口等方式。


 

相关产品推荐

在线客服 :

服务热线:0592-2611670

电子邮箱: 123@herselfswebtools.com

公司地址:厦门市湖里区湖里大道28号联盛大厦411室

厦门ag8亚游集团信息科技有限公司成立于2011年2月12日,注册资本1008万,公司致力于为企事业、政府单位、军队的IT信息化发展提供解决方案,通过技术整合、创新...

Copyright © 厦门ag8亚游集团信息科技有限公司 版权所有