Fortinet-飞塔应用控制(上网行为管理)及流量控制解决方.pdf

应用及流量控制 Fortinet白皮书 应用及流量控制 白皮书 FortiOS 高级内容层检测技术提供了深度协议识别能力和基于自定义策略、单 IP地址、协议类等多重因子的流量均衡和控制能力，结合应用会话控制的管理，提供了统一多维的带宽优化解决方案 基本于深度检测的应用监控和管理 互联网经过十几年的高速发展，已经成为人们工作、生活中不可缺少的一部分聊天软件、网页视频、 P2P下载、网上炒股、 VoIP语音等丰富多彩的互联网应用给我们带来便利的同时，也带来了很多问题，如员工上班时间使用与工作无关的应用严重影响了工作效率、 P2P下载让原本 有限的带宽资源更加紧张等， 如何 对互联网应用 进行 监视和控制 、如何提高带宽利用率 已成为大多数企业急待解决的问题目前互联网上的应用很多都在浏览器中或其它应用程序中运行，很多应用还可以使用多种端口传输，因此，通过在防火墙上禁止或允许应用的 TCP和 UDP端口来 控制 应用的方法已不再有效。

FortiOS的深度检测 功能 可以基于包特征 识别应用 ，阻止有害应用、保障正常应用的同时，还可以对每个 单独的 应用进行限速和认证 FortiOS 的应用控制功能结合基于内容的 UTM功能 ——包括入侵检测、防病毒、信息漏洞防护等，可以为企业提 供深层次的、最全面的安全防护 FortiOS应用控制 传统防火墙只能通过源 /目的 IP地址、端口识别网络流量，并通过这些属性来对流量进行控制但如果需要对某种应用产生的流量进行控制，传统的方法 则 无能为力每种应用产生的流量都有其相应的独一无二的特征值， FortiOS应用控制功能可以识别出这些特征值，并通过特征来定位流量是来自哪种应用应用控制功能基于入侵保护系统的协议解码器实现，相比入侵保护功能，应用控制功能界面更友好、功能更丰富目前， FortiOS的可以识别 1000种以上的应用、服务及协议 FortiOS应用控制技术可以提供用户网络内各种应用占用网络带宽情况的图形报表通过分析可视化图形报表，可对非法的应用进行阻止，对允许通过的应用进行流量限制、病毒检测、入侵保护或其它可以针对应用开启的 UTM功能应用程序使用排行榜根据当前流量情况实应用及流量控制 Fortinet白皮书 时展现，除了可显示应用的流量、会话排名外，还可以显示应用流量对应的源、目的 IP地址。

应用控制功能不但可以应用于正常流量及 FortiGate设备上终结的 IPSec及 SSL VPN流量，还可以应用在经过 FortiGate设备的 SSL加密流量，包括 HTTPS、 POP3S、 SMTPS和 IMAPS 应用控制传感器 应用控制功能可以支持创建多个应用控制传感器，每个传感器中都可以加入应用列表，列表中的每个应用都可单独配置为允许、禁止或监视在防火墙策略中应用不同的应用控制传感器，可对不同的接口或网段启用不同的应用控制策略 配置应用控制传感器时，可配置过滤器和应用条目过滤器可以通过应用的分类、应用的厂商、应用的行为及应用的技术类型等条件过滤出需要控制的应用而应用条目则配置需要控制的指定的某种应用，或在应用中嵌套的应用，如允许使用 聊天，但禁止使用 传输文件 应用及流量控制 Fortinet白皮书 每个应用 程序传感器还可以指定不包含在应用列表中的其它应用的处理方式。

如果不包含在列表中的应用被禁止，则只有列表中应用才可以通过，即创建了应用程序白名单默认方式为允许不包含在列表中的应用允许通过，即创建了应用程序黑名单对网络安全要求很高的网络可以采取白名单的方式控制应用，一般网络中可以使用黑名单方式 可控制的应用程序 FortiOS可识别的应用程序分为 19大类，超过 1000种应用通过 FortiGuard升级中心的自动升级服务，可 识别的 应用还在不断增加中 FortiOS应用 分类包括： IM(即时通讯 ) P2P 僵尸网络 数据库 商用 多媒体 文件传输 游戏 IP协议 网络服务 协议命令 代理 远程访问 工具条 程序升级 VoIP Web Web-mail 备份 支持的部分国内常见应用 ： 分类 应用名称 商用 分析家 国泰君安 钱龙 海王星 证券之星 未来趋势 游戏 赤壁 游戏茶苑 泡泡游戏 中国游戏中心 新浪游戏 对战平台 天游 新浪 UT 游戏 浩方对战平台 搜狐游戏 飞车 劲舞团 星际争霸 热血江湖 巨人 天龙八部 梦幻西游 魔域 VS对战平台 远航游 戏中心 MSN游戏 魔兽争霸 征途 联众游戏 魔兽世界 诛仙 IM 百度 Hi MSN 新浪 UC 飞信 网易泡泡 搜狐搜 Q Google Talk 阿里旺旺 P2P 百宝 直播 PP点点通 百度下吧 新浪 Web电视 超级旋风 BT 新浪网络电视 Verycd网站 电驴 Skype 迅雷看看 FastTV网络电视 迅雷 POCO 沸点网络电视 脱兔 TVUPlayer 多媒体 六间房 视频 搜狐电视 CCTV BoX RealPlayer 土豆 酷 6 新浪视频 电视蚂蚁 Mofile视频 PPStream 优酷 应用及流量控制 Fortinet白皮书 硬件加速应用检测 FortiASIC是构建 Fortinet独有硬件平台的基础。

FortiASIC处理器是针对实际应用开发的系列产品，它们或能够达到高速的网络处理性能，或采用了智能的扫描引擎，能够对安全应用、内容层处理进行加速，降低对 CPU等系统资源的占用 FortiASIC技术涵盖与 FortiOS这样的经过安全加固的操作系统集成，以达到高速处理和完善的安全体系 IPS采用采用了最新的FortiASIC网络处理器 (NP)、内容 层处理器 (CP)和多核处理器进行加速 FortiASIC-NP4采用模式工作，直接处理数据包，对数据包负载均衡到 FortiGate-XG2实现 IPS加速处理其特点如下：  接近线速处理任意大小的数据包  应用特征值加载到 XG2加速卡，降低主 CPU负担  专业的 DDoS  升级不间断设备工作 内容处理器是经过定制的处理器，可以用来实现将已知的应用特征库与内存中待检测对象进行匹配内存中的待检测对象可以是数据包、文件（包括压缩文件）等内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容内容 处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受 CPU的指令，处理内容，寻找威胁 内容处理器能够加速应用特征的检测，因为应用控制功能需要将数据内容与库文件进行比对。

有些人有误解，以为 ASIC是 “静态 ”安全检测，不能检测新的威胁但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级攻击特征就变得非常容易，攻击特征可以像软件一样进行升级 应用及流量控制 Fortinet白皮书 FortiGuard实时更新应用控制数据库 FortiOS应用控制可以检测超过 1000种不同的Web应用、软件程序、网络服务及通讯协议，FortiOS对这些应用的识别，是通过 FortiGuard应用控制数据库实现的 FortiGuard应用数据库是业界最大的应用数据库其中之一，可以通过不断的更新识别新的应用和现在应用的新版本应用数据库从FortiGuard分布式网络中更新，方式包括按需、定时、推送式更新 在 FortiGuard网站上，有完整的支持应用程序列表及每个应用的详细信息。

FortiGuard应用控制站点有用户最多检测的前 10名应用程序排行 榜，用户可以通过应用控制申请表申请新应用的签名或升级某个现有的签名 带宽管理技术 在缺乏有效管理的情况下，有限的带宽将被滥用而带宽管理，则是针对有限的带宽，规范适当的限制或规则，以满足不同类型带宽使用者的需求 令牌桶原理 令牌桶算法是网络流量整形和速率限制中的算法典型情况下，令牌桶算法用来控制发送到网络上的数据的数目，并允许突发数据的发送 令牌桶算法工作原理如下：  如果把流量与桶相关联，最大突发流量即是 桶的最大容量，即配置的最大带宽  令牌指可用的带宽令牌 以固定速率 不断的加入到桶中，当到达桶容量上 限时，超出的令牌被丢弃  每个令牌允许源发送一定数量的数据每发送一个包，流量调节器就要从桶中删除与包大小相等的令牌数  如果没有足够的令牌，数据包会等待有足够的令牌或被丢弃 最大的突发数据量等于桶的 容量， 而实际流量根据当前桶内的令牌数量而不断变化令牌以固定速率生成，数据包不断从桶中消耗令牌，因此，实际流量可能会小于桶的容量实际应用中，突发值不是一个恒定值，而是在不断变化 应用及流量控制 Fortinet白皮书 相关术语  QoS QoS（ Quality of Service）服务质量，是网络的一种安全机制 , 是用来解决网络延迟和阻塞等问题的一种技术。

在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如 Web应用，或 E-mail设置等但是对关键应用和多媒体应用就十分必要当网络过载或拥塞时， QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行  ToS Type of service (TOS)服务类型，是在 IP头内一个 8字节的区域，通过延迟、优先级、可靠性和最小代价来决定哪些 IP报文应该被优先传输路由器对路由表中的每一条路由都维护一个TOS值 TOS值最低优先级是 0，最高是 7路由器尝试把报文的 TOS与路由的 TOS相匹配，如果没有匹配的。