2012年4月24日，由中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院主辦、《網(wǎng)管員世界》雜志社承辦的主題為“合規(guī) 有效 精準(zhǔn)”的“2011政府及公共事業(yè)單位信息安全論壇”巡展從北京站拉開帷幕，并將會(huì)在上海、廣州與成都舉行。參會(huì)嘉賓共同就政府及公共事業(yè)單位信息安全建設(shè)的現(xiàn)狀、存在的問題、需要加強(qiáng)的內(nèi)容進(jìn)行了深入的探討。多家國(guó)內(nèi)外知名信息安全廠商參與了本次論壇，為政府及公共事業(yè)單位的信息安全建設(shè)提出了有效的建議。其中，飛塔中國(guó)技術(shù)總監(jiān)李宏凱發(fā)表在論壇專刊《2012政府及公共事業(yè)單位信息安全啟示錄》中有關(guān)行業(yè)信息安全建議、安全方案以及應(yīng)用部署的文章，獲得了一致好評(píng)。

　　談到當(dāng)前的網(wǎng)絡(luò)安全技術(shù)和體系的特點(diǎn)，我們不得不提及目前云計(jì)算網(wǎng)絡(luò)和交互化應(yīng)用對(duì)企業(yè)帶來的新的安全防御壓力。

　　一 安全建議

　　目前越來越多的社交化的應(yīng)用滲入到企業(yè)的各個(gè)角落，云計(jì)算豐富了我們網(wǎng)絡(luò)應(yīng)用，帶來了更靈活的便捷性，更使得我們的每個(gè)終端都成為云計(jì)算網(wǎng)絡(luò)的一個(gè)神經(jīng)支點(diǎn)，網(wǎng)絡(luò)的邊界性變得模糊。 而在這樣的一個(gè)虛擬化大云網(wǎng)絡(luò)體系層面下，對(duì)企業(yè)的個(gè)體安全的滲透將變得前所未有的開放。企業(yè)內(nèi)部的每個(gè)桌面主機(jī)、每個(gè)移動(dòng)辦公的手持電腦甚至移動(dòng)終端都有可能成為噩夢(mèng)的發(fā)起源。這正成為目前流行的APT高級(jí)持續(xù)性攻擊的溫床。在內(nèi)外區(qū)域模糊化，企業(yè)的安全管理從面發(fā)展到點(diǎn)的形式下，企業(yè)的信息管理層該如何考慮安全體系的規(guī)劃？

　　毋庸置疑是按傳統(tǒng)安全技術(shù)分類的分布式安全防護(hù)體系將被打破，多形態(tài)的混合型威脅借助社交化網(wǎng)絡(luò)通信散播，高級(jí)的多層安全融合防護(hù)技術(shù)將成為主流，以任何一個(gè)訪問點(diǎn)的應(yīng)用為基礎(chǔ)的綜合性安全防御措施將為企業(yè)提供立體化的防御系統(tǒng)。任何滲透到內(nèi)部的常駐探測(cè)和入侵程序在安全融合防御的多層檢測(cè)防御體系下都將難以長(zhǎng)期隱藏，無論是系統(tǒng)層的弱點(diǎn)探測(cè)還是文件級(jí)的共享感染在安全融合的技術(shù)檢測(cè)體系下都會(huì)讓這些潛在的威脅無處盾形。統(tǒng)一安全威脅防御 UTM和下一代安全防火墻技術(shù)都是安全融合檢測(cè)技術(shù)的產(chǎn)品化方向，而基于混合型威脅防御的集中化審計(jì)和安全分析呈現(xiàn)系統(tǒng)則是企業(yè)安全部署和管理的重要維護(hù)平臺(tái)，可以幫助企業(yè)實(shí)現(xiàn)多點(diǎn)威脅的關(guān)聯(lián)性態(tài)勢(shì)分析，以在任何惡意威脅發(fā)生前給予及時(shí)的分析和警告，盡量把危險(xiǎn)屏蔽在萌芽階段。

　　二 解決方案

　　1.基本概述

　　在網(wǎng)絡(luò)安全建設(shè)過程中，政府及公共事業(yè)單位用戶遇到了大量難題，諸如：

　　·網(wǎng)絡(luò)安全威脅多樣化，需要考慮網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層的方方面面。部署大量的安全產(chǎn)品，高成本，高能耗，維護(hù)難。

　　·網(wǎng)絡(luò)流量越來越大，安全設(shè)備的性能跟不上。

　　·安全形勢(shì)瞬息萬變，普通用戶難以及時(shí)追蹤并響應(yīng)。

　　Fortinet公司的UTM（統(tǒng)一威脅管理）產(chǎn)品FortiGate整合了業(yè)界最廣泛的安全技術(shù)，覆蓋從網(wǎng)絡(luò)層到應(yīng)用層的多種安全需求，集成到統(tǒng)一的硬件設(shè)備中。FortiGate采用專門的安全芯片和軟件，組成穩(wěn)定、高效的系統(tǒng)，滿足用戶不斷提高的網(wǎng)絡(luò)性能要求。Fortinet公司遍布全球的安全專家全天候捕獲、分析最新安全威脅，并通過FortiGuard云安全網(wǎng)絡(luò)分發(fā)至世界各地的用戶，幫助用戶第一時(shí)間提升安全能力，抵御各種零日攻擊。

　　FortiGate安全網(wǎng)關(guān)能夠有效解決安全難題，深受全球用戶青睞，產(chǎn)品銷量長(zhǎng)期領(lǐng)冠全球。

　　2. 飛塔安全解決方案的獨(dú)到之處

　　FortiGate作為引領(lǐng)安全技術(shù)和市場(chǎng)的產(chǎn)品，利用自身的獨(dú)到之處，為用戶打造多層次、易管理、高性能、可持續(xù)的安全體系。

　　全面集成多重安全防護(hù)

　　FortiGate設(shè)備通過動(dòng)態(tài)威脅防御技術(shù)、高級(jí)啟發(fā)式異常掃描引擎提供了無與倫比的功能和檢測(cè)能力。它集多種安全功能于一身，覆蓋網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層，是功能最全面的網(wǎng)絡(luò)安全產(chǎn)品。FortiGate可以為用戶提供以下安全防御能力：

　　·狀態(tài)檢測(cè)包過濾防火墻；

　　·網(wǎng)絡(luò)防病毒（可過濾數(shù)百萬種病毒）；

　　·入侵防御（支持防御6000種以上網(wǎng)絡(luò)攻擊）；

　　·IPSec及SSL VPN；

　　·可識(shí)別并控制1000多種網(wǎng)絡(luò)應(yīng)用程序；

　　·Web過濾（包含20億個(gè)網(wǎng)頁(yè)的分類數(shù)據(jù)庫(kù)）；

　　·防數(shù)據(jù)泄漏

　　·反垃圾郵件

　　·無線管理及安全

　　·廣域網(wǎng)優(yōu)化

　　·終端準(zhǔn)入控制

　　上述安全技術(shù)在FortiGate設(shè)備中有機(jī)結(jié)合，形成多層次安全防御體系，有效抵御當(dāng)前流行的混合型安全威脅及APT（高級(jí)持續(xù)性攻擊）。

　　FortiGate的高集成度優(yōu)勢(shì)還能幫助用戶精簡(jiǎn)安全設(shè)備數(shù)量，節(jié)約采購(gòu)成本，減少空間占用，降低發(fā)熱量和能耗，實(shí)現(xiàn)節(jié)能減排、綠色環(huán)保的安全解決方案。同時(shí)，安全設(shè)備數(shù)量的減少和FortiGate易用的中文圖形管理界面，也極大地降低了安全部署和管理的難度。

　　極高的安全性能

　　一般的網(wǎng)絡(luò)安全設(shè)備都使用CPU來處理所有安全任務(wù)，當(dāng)網(wǎng)絡(luò)當(dāng)中的流量和會(huì)話都達(dá)到較高水平，而且安全設(shè)備還啟用了多項(xiàng)功能時(shí)，CPU的負(fù)載會(huì)變得很高，此時(shí)很容易導(dǎo)致網(wǎng)絡(luò)性能的下降甚至設(shè)備的不穩(wěn)定。

　　而FortiGate除了使用高性能多核CPU作為操作系統(tǒng)執(zhí)行者和任務(wù)調(diào)度者，還采用多種Fortinet公司自行設(shè)計(jì)開發(fā)的專用ASIC 芯片，來進(jìn)行特定安全功能（如防火墻、VPN、防病毒、內(nèi)容過濾等）的加速處理，將CPU從繁重的工作中解放出來。專用的ASIC芯片與通用處理器（CPU）配合使用來處理復(fù)雜的業(yè)務(wù)，實(shí)現(xiàn)更高的性能。CPU和ASIC芯片處理器一起工作的形式與人的大腦和脊柱以及周圍神經(jīng)系統(tǒng)協(xié)同工作來執(zhí)行一個(gè)動(dòng)作的情況類似。

　　CPU+ASIC的高性能構(gòu)架，使得FortiGate的各項(xiàng)性能都領(lǐng)先業(yè)界。其中高端旗艦產(chǎn)品FortiGate-5140B的小包防火墻吞吐量可達(dá)547Gbps，IPS吞吐量可達(dá)122Gbps，被譽(yù)為“全球最快的防火墻”。

　　持續(xù)的安全防護(hù)

　　FortiGuard云安全網(wǎng)絡(luò)每日數(shù)次為FortiGate設(shè)備更新病毒、入侵、不良網(wǎng)站、垃圾郵件、網(wǎng)絡(luò)應(yīng)用等安全特征，為用戶不斷提升安全保護(hù)水平，構(gòu)建可持續(xù)的動(dòng)態(tài)安全防御體系。

　　三 應(yīng)用部署

　　FortiGate系列安全設(shè)備共有20多個(gè)型號(hào)，可覆蓋萬兆、千兆、百兆級(jí)不同規(guī)模的網(wǎng)絡(luò)。高中低端型號(hào)均提供完整的安全功能，即使分支機(jī)構(gòu)或小型單位，也可獲得與運(yùn)營(yíng)商、數(shù)據(jù)中心同樣的高級(jí)安全防護(hù)能力。

　　FortiGate具備的多種安全功能可根據(jù)不同網(wǎng)絡(luò)場(chǎng)景和安全需求開啟或關(guān)閉，非常靈活地適應(yīng)多種網(wǎng)絡(luò)環(huán)境。主要應(yīng)用場(chǎng)景有：

　　·Internet邊界的UTM安全網(wǎng)關(guān)，防御來自公網(wǎng)的各種病毒、攻擊、入侵、不良內(nèi)容、垃圾郵件等安全威脅，并對(duì)內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行規(guī)范，例如限制網(wǎng)絡(luò)應(yīng)用，控制帶寬及連接數(shù)等；

　　·核心及骨干網(wǎng)絡(luò)的高性能防火墻；

　　·數(shù)據(jù)中心的防火墻和IPS，保護(hù)服務(wù)器免受黑客攻擊和入侵；

　　·辦公網(wǎng)的UTM網(wǎng)關(guān)，過濾辦公網(wǎng)絡(luò)中的各種有害流量；

　　·總部與分支機(jī)構(gòu)間，以及遠(yuǎn)程訪問用戶的VPN等。

　　從上述應(yīng)用場(chǎng)景可知，F(xiàn)ortiGate UTM是類似于路由器、交換機(jī)的網(wǎng)絡(luò)安全基礎(chǔ)構(gòu)架產(chǎn)品，適用于各行業(yè)用戶網(wǎng)絡(luò)，目前已被國(guó)內(nèi)外大量政府、軍隊(duì)、電信、金融、能源、制造、教育、醫(yī)療、零售等機(jī)構(gòu)廣泛應(yīng)用。