Fortinet上網(wǎng)行為管理

解決方案2上網(wǎng)行為管理簡介競爭比較12Fortinet產(chǎn)品上網(wǎng)行為管理配置3互聯(lián)網(wǎng)現(xiàn)狀3隨著網(wǎng)絡的日益開展和應用軟件的變化，“復雜性〞已經(jīng)成為企業(yè)IT管理部門工作的代名詞。繁多的應用軟件的更新帶來了多種多形態(tài)的網(wǎng)絡管理問題和業(yè)務流量之外的垃圾流量。網(wǎng)絡應用的識別、審計、控制，針對網(wǎng)絡應用的流量控制也就成了IT管理者所亟需解決的問題。網(wǎng)絡濫用情況統(tǒng)計4據(jù)IDC調(diào)查結果顯示：員工30%~40%的互聯(lián)網(wǎng)使用花費在新聞、娛樂、購物、無意義的閑聊〔QQ、MSN)等于工作無關的活動上據(jù)SexTracKer調(diào)查：全球70％的色情網(wǎng)站訪問流量集中在上班時間〔色情網(wǎng)站的瀏覽量集中在每天9-17時〕企業(yè)網(wǎng)絡面臨的問題平安事故防不勝防來自網(wǎng)絡內(nèi)部的平安問題內(nèi)部機密信息泄漏BBSIM即時通訊郵件泄密生產(chǎn)力下降工作時間聊天、游戲、炒股、購物、BBS、電影、博客網(wǎng)速越來越慢P2P文件下載網(wǎng)絡電視在線游戲Internet上網(wǎng)行為管理產(chǎn)品優(yōu)勢6管理網(wǎng)絡帶寬過濾P2P、IM等與工作無關流量；流量整形功能提高工作效率應用控制功能控制與工作無關的應用；過濾與工作無關網(wǎng)址保障內(nèi)網(wǎng)平安防止內(nèi)部機密信息泄漏；防御各種攻擊行為避歸法律風險內(nèi)部員工上網(wǎng)行為企業(yè)不知情，一旦涉及到法律問題將對企業(yè)造成影響監(jiān)管內(nèi)部用戶用戶認證及內(nèi)容歸檔功能可對內(nèi)部用戶進行有效監(jiān)管上網(wǎng)行為管理功能UTM整合用戶認證應用控制內(nèi)容監(jiān)控流量管理網(wǎng)址過濾8競爭分析上網(wǎng)行為管理簡介21Fortinet產(chǎn)品上網(wǎng)行為管理配置3主要競爭產(chǎn)品9網(wǎng)康互聯(lián)網(wǎng)控制網(wǎng)關NS-ICG系列產(chǎn)品偏重于內(nèi)容管理及帶寬管理平安功能較弱深信服AC系列產(chǎn)品不提供URL分類數(shù)據(jù)庫平安功能不全面功能比照10功能網(wǎng)康ICG產(chǎn)品深信服AC產(chǎn)品FortiGate產(chǎn)品用戶認證功能√√√網(wǎng)絡應用控制√√√網(wǎng)頁內(nèi)容檢測√√√流量管理控制√√√應用協(xié)議控制√√√URL分類數(shù)據(jù)庫√×√HTTP頭、CGI內(nèi)容檢測××√對HTTP及郵件中的文件內(nèi)容檢測××√防攻擊功能×√√UTM整合×部分√11Fortinet產(chǎn)品上網(wǎng)行為管理配置上網(wǎng)行為管理簡介31競爭分析212用戶認證功能增加用戶組13支持本地用戶、RADIUS、LDAP、TACACS+、WindowsAD、PKI證書等方式認證支持Windows域單點登錄在設置用戶—>用戶組中，新建認證用戶組在平安策略中啟用用戶認證14在平安策略中啟用基于用戶認證的策略可針對不同的用戶組使用不同的時間表、效勞、平安保護策略、流量控制、日志等在防火墻—>策略中，啟用認證組不同認證用戶使用不同的平安過濾15在同一條平安策略中，不同的用戶組可使用不同的用戶行為管理監(jiān)控方式用戶認證16用戶使用瀏覽器瀏覽網(wǎng)頁時，需要先輸入正確的用戶名密碼，才可以訪問互聯(lián)網(wǎng)資源不同的用戶組可訪問的互聯(lián)網(wǎng)資源權限也不同ClientSTOP!其它認證方式17Telnet認證FTP認證用戶使用CA證書認證18使用PKI用戶進行認證，選擇CA證書把PKI用戶參加用戶組把認證組參加到防火墻策略中用戶使用CA證書認證19使用HTTPS觸發(fā)證書認證選擇事先導入的客戶端證書認證用戶狀態(tài)監(jiān)控20可去除用戶認證狀態(tài)21網(wǎng)址過濾功能FortiGuard網(wǎng)址過濾22在防火墻—>保護內(nèi)容表中，配置FortiGuard網(wǎng)址過濾中FortiGuard網(wǎng)址過濾82個網(wǎng)址類別控制超過20億個URL實時數(shù)據(jù)庫更新配置需要阻止訪問的網(wǎng)站類型自定義網(wǎng)頁內(nèi)容阻斷23在UTM—>Web過濾器—>網(wǎng)頁內(nèi)容阻斷中，新建網(wǎng)頁內(nèi)容阻斷列表動作可選擇阻止或免屏蔽選擇免屏蔽，將跳過后續(xù)平安檢測樣式支持通配符或正那么表達式可支持多種語言為內(nèi)容關鍵字打分，多個關鍵字分數(shù)之和超過總分閾值將生效自定義網(wǎng)址過濾24在UTM—>Web過濾器—>網(wǎng)址過濾中，新建網(wǎng)址過濾列表網(wǎng)址類型支持簡單、通配符或正那么表達式操作可選擇允許、阻斷或免屏蔽選擇免屏蔽，將跳過后續(xù)平安檢測在保護內(nèi)容表中應用自定義網(wǎng)頁/網(wǎng)址過濾25在防火墻—>保護內(nèi)容表中，應用自定義網(wǎng)頁/址過濾自定義的網(wǎng)頁內(nèi)容阻斷及網(wǎng)址過濾需要應用在保護內(nèi)容表中配置網(wǎng)頁內(nèi)容關鍵字總分閾值

在防火墻策略中應用保護內(nèi)容表26在防火墻—>策略中，應用FortiGuard/自定義網(wǎng)頁過濾在平安策略中應用配置的FortiGuard/自定義網(wǎng)頁過濾不同的源/目的IP組可以應用不同的FortiGuard/自定義網(wǎng)頁過濾基于用戶認證的Web過濾27使用不同的用戶名進行防火墻認證，過濾網(wǎng)址的類型也不同在保護內(nèi)容表中定義不同的網(wǎng)址過濾類型對不同的用戶組使用不同的保護內(nèi)容表對上傳文件的文件名進行過濾28樣式定義支持通配符方式定義分值在UTM—>Web過濾器—>網(wǎng)頁內(nèi)容阻斷中，配置需要阻斷的文件名在保護內(nèi)容表中定義網(wǎng)頁內(nèi)容阻斷定義分值把保護內(nèi)容表中在防火墻策略中應用對上傳文件的文件名進行過濾29在論壇中上傳文件，文件名為網(wǎng)頁內(nèi)容阻斷里定義的樣式網(wǎng)頁被阻斷阻擋網(wǎng)頁視頻30把網(wǎng)頁內(nèi)容阻斷在保護內(nèi)容表中應用，并把保護內(nèi)容表在防火墻策略中應用找到在線視頻網(wǎng)頁中嵌入播放視頻的關鍵字內(nèi)容在網(wǎng)頁內(nèi)容阻斷中定義該關鍵字阻擋網(wǎng)頁視頻31網(wǎng)頁視頻網(wǎng)站首頁可以翻開，但觀看視頻時被阻止訪問被屏蔽的網(wǎng)頁32可以自定義提示信息33應用控制新建應用控制列表34在UTM—>應用控制—>黑/白名單列表中，新建網(wǎng)址過濾列表目前支持18類，超過1000種應用選擇不同應用，可控制的選項也不相同不同應用可控制的動作不同35一般應用可配置動作為阻止或通過一些IM應用可配置文件傳輸或音頻行為一些P2P應用可限速一些Voip應用可配置請求頻率在保護內(nèi)容表中啟用應用控制列表36在防火墻—>保護內(nèi)容表中，啟用應用控制黑/白名單在防火墻策略中應用保護內(nèi)容表37在防火墻—>策略中，啟用應用控制保護內(nèi)容表在平安策略中應用配置的應用控制列表不同的源/目的IP組可以應用不同的應用控制列表使用被屏蔽的應用38IMP2P39數(shù)據(jù)泄漏防護新建數(shù)據(jù)泄漏防護規(guī)那么40在UTM—>數(shù)據(jù)泄漏防護—>規(guī)那么中，新建數(shù)據(jù)泄漏防護規(guī)那么協(xié)議支持電子郵件、HTTP、HTTPS、FTP、NNTP、即時消息及會話控制不同協(xié)議可配置規(guī)那么各不相同新建數(shù)據(jù)泄漏防護混合規(guī)那么41在UTM—>數(shù)據(jù)泄漏防護—>混合中，新建數(shù)據(jù)泄漏防護混合規(guī)那么混合規(guī)那么中支持協(xié)議包括電子郵件、HTTP、FTP、NNTP、IM混合規(guī)那么中可應用多條數(shù)據(jù)泄漏防護規(guī)那么新建數(shù)據(jù)泄漏防護傳感器42在UTM—>數(shù)據(jù)泄漏防護—>傳感器中，新建數(shù)據(jù)泄漏防護傳感器動作可選擇無動作、阻止、免屏蔽、封禁、封禁發(fā)送者、隔離來源IP地址、隔離來源接口封禁用戶在規(guī)定時間內(nèi)或由管理解除前，不可以訪問資源選擇是否存檔，如存檔可選擇存檔全部或只存檔匯總成員可選擇規(guī)那么或混合規(guī)那么選擇規(guī)那么，單條規(guī)那么匹配那么傳感器生效；選擇混合規(guī)那么，混合規(guī)那么內(nèi)所有規(guī)那么都匹配那么傳感器生效。在保護內(nèi)容表中啟用數(shù)據(jù)泄漏防護傳感器43在防火墻—>保護內(nèi)容表中，啟用數(shù)據(jù)泄漏防護傳感器在防火墻策略中應用保護內(nèi)容表44在防火墻—>策略中，啟用數(shù)據(jù)泄漏防護保護內(nèi)容表在平安策略中應用配置的數(shù)據(jù)泄漏防護不同的源/目的IP組可以應用不同的應用控制列表利用數(shù)據(jù)泄漏防護功能控制BBS上傳45配置數(shù)據(jù)泄漏防護規(guī)那么，HTTP協(xié)議主體不可包含

含有“測試〞的文字配置HTTP上傳編碼支持GB2312論壇中上傳數(shù)據(jù)泄漏內(nèi)容46可以自定義提示信息阻擋訪問含有非法內(nèi)容的網(wǎng)頁47可以自定義提示信息內(nèi)容存檔48數(shù)據(jù)泄漏防護功能可對郵件、訪問的網(wǎng)頁、IM聊天記錄及傳輸?shù)奈募?、FTP傳輸?shù)奈募M行存檔，管理員可查看內(nèi)容49流量控制功能增加流量整形器50配置保證帶寬、最大帶寬及流量優(yōu)先級對流量整形器可配置流量配額，支持每小時/天/星期/月可使用多少MB流量在設置防火墻—>流量整形器—>共享中，新建流量整形在平安策略中啟用流量整形51在平安策略中啟用流量控制符合策略條件的流量將被限制為最大100Kbps帶寬可以配置反向流量控制在設置防火墻—>策略中，啟用流量控制增加每個IP流量整形52配置最大帶寬對流量整形器可配置流量配額，支持每小時/天/星期/月可使用多少MB流量配置應用的每個IP流量整形的IP范圍在設置防火墻—>流量整形器—>Per-IP中，新建流量整形在平安策略中啟用每個IP的流量整形53在平安策略中啟用每個IP流量整形每個IP的IP范圍以Per-IP流量整形器配置的IP范圍為準IP范圍內(nèi)的每個IP的流量將限制為10K在設置防火墻—>策略中，啟用每個IP流量整形P2P流量限制54可配置正向及反向流量控制在設置UTM—>應用控制—>黑/白列表—>新建中，對P2P進行流量限制55日志及內(nèi)容審計FortiAnalyzer

集中日志審計平臺FortiAnalyzer提供外置式集中解決方案平安事件：日志、報表、報警集中內(nèi)容存檔、文件隔離、漏洞評估取證分析(Forensicanalysis)網(wǎng)絡流量分析FortiGate使用FortiAnalyzer作為存儲設備集中日志效勞器集中報表引擎內(nèi)容日志存檔文件隔離和修復平安事件相關性

(按主機識別相關攻擊和病毒)可以在FortiGate管理界面

直接查看FortiAnalyzer上的報表FortiGate配置連接FortiAnalyzer57配置FortiAnalyzer設備IP地址支持Syslog效勞器上傳日志在日志與報告—>日志配置—>日志設置中，配置FortiAnalyzer效勞器FortiAnalyzer報