飞塔fortimail邮件安全解决方案电信.doc

目录 第一章第一章 邮件系统的安全现状邮件系统的安全现状.2 第二章第二章 总体邮件安全解决方案总体邮件安全解决方案.4 2.1 解决方案的拓扑.4 2.2 功能介绍.5 2.2.1 多种强大的垃圾邮件过滤技术.7 2.2.2 网关、透明和服务器三种模式部署灵活.8 2.2.3 域和Access List两种方式简化配置.10 2.2.4 策略结合保护内容表方式部署.11 2.2.5 直观的邮件队列.13 2.2.6 多种垃圾邮件处理方式.13 2.2.7 即时的垃圾邮件统计与分析.15 2.2.8 强大而且详尽的报告.16 2.2.9 邮件存档.18 2.3 技术参数.18 第三章第三章 FORTINET 及产品介绍及产品介绍.19 3.1 公司介绍.19 3.2 认证证书.21 第四章第四章 总结总结.25 一、一、 电信邮件系统的安全现状电信邮件系统的安全现状 需求背景需求背景 最近， “国外封锁我国邮件服务器地址”的报道不断出现，有些甚至采用了“欧美全面 封杀中国 IP” ， “互联网分裂”等字眼。国外一家名为 UNX 的网络公司所发布的发送垃圾 邮件的 ip 地址黑名单包括了中国电信的 -55 范围的全部地址。UNX 公司的理由是，这些地址是日益增长的中国垃圾邮件的来源，计划于同样的理由，UNX 公 司宣布拒绝来自 84 个网站的电子邮件，在这份名单上，新浪，网易，搜狐，163.263.21cn 等主要邮件服务器商赫然在列， “垃圾邮件”已对电信及运营商行业带来了不可忽视的影响。 电信行业垃圾邮件法案规范电信行业垃圾邮件法案规范 中国电信对垃圾邮件处理暂行办法 近日出台,对传送垃圾邮件、 影响正常使用网 络的行为进行规范。按照中国电信的定义,垃圾邮件是指向未主动请求的用户发送的电子邮 件广告、 刊物或其他资料; 没有明确的退信方法、 发信人、 回信地址等的邮件;利用网络 从事违反其他网络服务供应商的安全策略或服务条款的行为和其他预计会导致投诉的邮件。 这次出台的处理办法规定,中国电信在电总数据局和各省市区数据局安排专职人员负责管理。 用户收到垃圾邮件,可向中国电信各级部门设立的专门信箱投诉。中国电信规定:因某些用 户发送垃圾邮件等不正当使用网络行为影响到其他用户或通信网络正常运行,中国电信有权 在不通知用户的情况下, 采取对用户进行警告、 暂时关闭直至永久停止对其服务的措施。 对某些用户滥发垃圾邮件对网络通信产生严重影响的,中国电信各级部门将及时向当地执法 部门报告并追究其法律责任。 传统的邮件系统无法实现目前的技术水平并不能彻底防止垃圾邮件的传送。 中国电信 作为国家主体电信运营企业将寻找更加科学、 合理的管理模式对因特网加强管理。 垃圾邮件防护需求垃圾邮件防护需求 首先，用户多。高校客户电子邮件系统目前均有百万甚至千万用户，用户数量较大。 每日邮件路由数超过千万级别，垃圾邮件超过 95%。图一为广州电信垃圾邮件统计表 其次，收信域数量庞大。很多运营商本身甚至根本无法确定自己维护多少个收信域， 当然很多 ADSL 包括 3G 上网用户使用动态 IP 进行域名注册发送垃圾邮件的事情也愈演愈 烈。 例如 上海电信日前对中国互联网协会封杀的 127 个垃圾邮件服务器中的,上海热线进行 查证后发现.协会公布的 JP 地址并不是上海热线“的 lP 地址.而是宽带用户自行架设服务器 发送垃圾邮件。这是上海首次发现用户私自架设服务器发送 此外，国际间 smtp 流量较大，很多高端电信级别运营商内部的邮件 server 经常被人利 用作为 open relay 去发送垃圾邮件，造成电信大范围网段被国外反垃级邮件组织屏蔽，给 其他使用本运营商接入的正常用户带来负面影响。 第二章第二章 总体邮件安全解决方案总体邮件安全解决方案 2.1 解决方案的拓扑解决方案的拓扑 反垃圾邮件网关的部署图 部署说明： 我们推荐采用 Fortinet 公司的 Fortimail2000B 产品集群部署，它是业内唯一一款能够以 透明模式部署的反垃圾邮件产品，将其部署与邮件服务器前可以实现以下功能： 1、实现反垃圾邮件功能，FortiMail 的反垃圾邮件库是由分布于全球各地的专家团 队共同予以维护的，对处理各种语言的垃圾邮件具有很好的效果。 2、以透明部署，不考虑运营商复杂的域环境，针对 IP 地址（smtp server）进行垃 圾邮件策略阻挡。可以对进出的病毒予以过滤，从而防御了蠕虫病毒、木马病 毒等等。Fortimail 所采用的是 Fortinet 公司专业的邮件系统的病毒库，能够与 安装在邮件服务器上的杀毒软件起到相互补充相互配合的作用。重点针对发送 垃圾邮件进行阻挡，保障运营商邮件服务系统的良好声誉。 3、可以抵挡邮件类的 DoS 攻击。它可以限制每个 Ip 发出的最大 SMTP 的连接数， 从而有效地防御基于会话的邮件攻击。 4、可以实现邮件归档。它可以将进出的所有邮件保存下来，无论其是正常邮件还 是垃圾邮件或病毒邮件。能够实现对邮件进行统计分析和审计，从而产生相应 的报表。 部署方式如图所示，与现有的邮件系统并列接到 DMZ 交换机上。通过修改 DNS 的 MX 记录，将 MX 记录指向 FortiMail，这样进入到邮件服务器上的 SMTP 的流量会从 FortiMail 上中转一次，然后再进入到邮件服务器。 跟跟踪踪 3G 用用户户垃垃圾圾邮邮件件状状态态 根根据据 3G 用用户户 SIM ID 生生成成统统计计报报告告 及及时时定定位位发发送送源源头头 ADSL 用用户户垃垃圾圾邮邮件件状状态态 ADSL 用用户户 MODEM ID 生生成成统统计计报报告告 及及时时发发送送定定位位源源头头 飞飞塔塔垃垃圾圾邮邮件件解解决决方方案案特特点点 优优化化的的队队列列管管理理，提提供供超超高高性性能能 特特有有的的 MTA 程程序序 邮邮件件实实时时处处理理，而而不不是是放放入入队队列列 最最小小化化转转发发延延迟迟 实实时时的的 AV/AS 过过滤滤 最最小小化化队队列列长长度度 简简化化队队列列管管理理 在在网网关关模模式式和和标标准准透透明明模模式式下下 只只有有当当目目标标 MTA 不不可可用用时时，才才会会将将邮邮件件放放入入队队列列 在在 ISP-透透明明模模式式下下，邮邮件件永永远远不不会会放放入入队队列列 100% FORTINET技技术术 无无需需任任何何第第三三方方的的反反垃垃圾圾邮邮件件 /防防病病毒毒许许可可 可可以以对对代代码码进进行行高高度度优优化化 各各功功能能模模块块的的兼兼容容性性和和集集成成度度高高 例例如如邮邮件件路路由由 + 反反垃垃圾圾邮邮件件 + 病病毒毒过过滤滤 最最佳佳性性价价比比，保保护护用用户户投投资资 无无邮邮箱箱LICENSE费费用用 不不用用头头疼疼的的关关注注用用户户数数量量的的增增长长 高高性性价价比比 2.2 功能介绍功能介绍 Fortinet 的 FortiMail 安全消息平台提供电信级别级反垃圾邮件和防病毒性能，并具有 最佳的配置灵活性，以确保关键的邮件应用。由于采用 Fortinet 独创的 FortiASIC 和 FortiOS 技术，Fortimail 防病毒技术具备完全内容检测能力，来检测最新的邮件威胁。 FortiMail-2000 系统优化为大型规模的企业用户，以高可靠和高性能来检测、标签和阻挡垃 圾信息和它们的有害附件。快速安装，低维护开销和方便的管理界面，容易操作以及低成 本的使用权确保 FortiMail-2000 成为当今最强大的、性价比好的企业级安全系统之一。 FortiMailFortiMail 检测技术如下：检测技术如下： 采用 FortiGate 病毒扫描引擎来发现病毒 通过 FortiGuard 全球网络来自动升级病毒和特征值 全面的邮件扫描：head、body、raw body、URI 和 Meta 信息 高级垃圾邮件检测技术和过滤方法 访问策略过滤 内容过滤 全局和用户黑白名单过滤 实时黑名单技术过滤(RBL) SURBL FortiGuard 反垃圾邮件服务(高级多层黑名单技术) 基于用户的贝叶斯过滤 异常过滤(600 多种规则) 灰名单 全球的贝叶斯训练库实现快速定制化 FortiMailFortiMail 日志和报表日志和报表 配置改变和管理事件的日志 病毒日志 反垃圾邮件的日志 支持外部或本地的 Syslog 服务器 支持 FortiAnalyzer 的强化的集中日志 关键事件和病毒事件告警 七个类别 140 多种报表，内容全面 按计划产生报表 产品亮点：产品亮点： FortiGuard 反垃圾邮件服务和其他反垃圾邮件服务分层部署，构成分布式反垃圾 邮件的安全解决方案 采用 RAID 存储系统的高性能的，固化的操作系统 高准确度和检测速率 病毒库和检测引擎的自动升级，实现对垃圾邮件、病毒、蠕虫和其它恶意附件的 最及时防御 设计了引导式 Web 界面，实现快速的安装和部署 高性能的，标准的邮件传输代理(MTA) 支持远程备份存储归档的邮件，满足长期存储的需求 支持一全套多层垃圾邮件检测技术，可以设置全局的和基于用户的策略，最大限 度实现配置的灵活性 透明模式可以实现无缝地集成到现有网络中 网关模式为现有的邮件网关替代 MTA 服务，实现安全的邮件环境 服务器模式为需要安全的、无垃圾邮件的中等企业和分支机构，不仅提供反垃圾 和防病毒，而且全部邮件服务器功能 邮件归档防止触犯邮件相关条例，帮助企业和政府达到数据安全和满足计算机使 用条例，也是一条备份邮件的方便之路 全面的报表和日志可以对邮件使用的每一个方面进行调查和审计 2.2.1 多种强大的垃圾邮件过滤技术多种强大的垃圾邮件过滤技术 FortiGuard 反垃圾邮件服务 FortiGuard 反垃圾邮件服务是 Fortinet 的一个反垃圾邮件的服务。它支持动态 IP 黑名单、 URI、Checksum 等三种检测手段，当 Fortimail 接收到邮件后，根据 FortiGuard 提供的服务， 以此检测该邮件发件地址、邮件内容等，来判断是否是垃圾邮件。FortiGuard 反垃圾邮件 服务可以极大地减少企业邮件服务的垃圾内容。 启用 FortiGuard 反垃圾邮件服务是非常简单的，用户不需要自己来维护和手动升级。而且， 也不需要增加额外的硬件，因此该解决方案性价比是非常高的。在本项目中，我们推荐用 户购买 FortiGuard 的反垃圾邮件服务。 Check forged IP 此功能在 FortiMail 收信的时候，检查对方 SMTP 服务器 IP 地址并将其转化为域名。之后 再检查信件经过的 SMTP 服务器地址和域名（因为 SMTP 协议会将每封信件经过的 IP 记 录下来） ，并将其转。如果发现不能匹配，则认为是垃圾邮件。 DNSBL 也就是业内通行的实时黑名单技术。它在服务器上保持一个发送垃圾邮件的服务器 IP 列表， 当 Fortimail 检测收到信件时，自动地检测该 IP 是否存在服务器上，如果存在则认为垃圾 邮件。 深度包检测 该技术是检查邮件包头里面的所有 IP 地址（经过的 SMTP 服务器地址） ，然后根据 DNSBL 和 FortiGuard 来判断是否是垃圾邮件。 SURBL 该技术是检查邮件里面的所有网址，看该链接是否存在在服务器上，如果存在，则视为垃 圾邮件。 灰名单 该技术是一种相对不需要太多维护的减少垃圾邮件的方法。它阻挡垃圾邮件是基于邮件服 务器的行为，而不是根据邮件的内容。当从一个未知的服务器收到一个邮件， FortiMail 将临时拒绝这个邮件。如果这个邮件是合法的，服务器会尝试重发，这时 FortiMail 会允许 它通过。而垃圾邮件一般是不会尝试重发的。 Bayesian 算法 用 Bayesian 逻辑学（Bayesian 分析） ，评估邮件头和邮件内容，来发现可能的垃圾邮件。 Bayesian 过滤通过字或词来辨认垃圾邮件。它的数据库必须被训练后才会生成符合用户需 求的规则。以收集两种两种邮件开始，一种是垃圾邮件，一种是合法邮件。对于邮件中的 每一个词，都会根据垃圾邮件的比率，计算成为垃圾邮件的可能性。对垃圾邮件的词句加 以变化，通过加入符号、标点、非标准的和不可打印的字符。 启发式规则库 鉴于 Bayesian 算法需要用户配合生成规则库，Fortinet 公司为了简化用户操作，为用户 提供规则库的服务。FortiMail 根据该规则库来判断所接收到的邮件是否是垃圾邮件。该 规则库的阈值可调，如果用户发现被误判的邮件过多，可以适当降低阈值，如果发现漏过 的垃圾邮件太多，也可以适当提高。 2.2.2 网关、透明和服务器三种模式部署灵活网关、透明和服务器三种模式部署灵活 透明模式 透明方式是 FortiMail 独有的技术，是业内唯一能够不改变用户现有的任何设置，而直接部 署的方式。它直接部署于邮件服务器或中继的前方，采用在线方式部署，流量传过 FortiMail。FortiMail 是作为透明代理的方式直接截去 SMTP 流量，对传输的邮件进行反垃 圾邮件检测，而本身不是 SMTP 服务的终点。对于用户来说，透明模式下的 FortiMail 是看 不见的。 该方法的优点如下： 1、不需要对邮件服务器、DNS 设置、网络结构做任何形式上的修改，部署 简便，灵活。 2、针对 DOS 类的邮件攻击，透明模式比网关模式更为有效地防御。 3、目前有些垃圾邮件发送者已经针对修改 MX 记录的网关模式反垃圾邮件 技术采用了回避的方式，直接将邮件发送给第二 MX 记录的邮件服务器。 透明模式方式可以彻底避免该问题的出现。 4、非 SMTP 流量透明穿过 FortiMail 5、不仅可以对流入的流量进行反垃圾邮件的过滤，而且也可以对流出的流量 进行反垃圾邮件过滤。 网关模式 网关模式又称为中继方式(Relay)，是众多反垃圾邮件厂商通常采用的方式，它通过 FortiMail 作为邮件中继部署，对现存网络拓扑做相应的修改。首先是通过配置 DNS 服务器， 将进入（incoming）的 SMTP 流量指向 FortiMail.这个配置通过修改 DNS 的 MX 记录实现。 作为选项，也可以将流出（outgoing）的 SMTP 流量指向 FortiMail.将 FortiMail 作为流出中 继。然后在 FortiMail 上设置将清理干净的 SMTP 流量再转发到真实的邮件服务器上。 该方法的优点在于： 1、 可以设置两个 MX 记录，一个指向垃圾邮件服务器，另外一个指向真实邮件 服务器，当垃圾邮件服务器宕机时，自动地将流量切换到真实服务器上。 2、 只有 SMTP 流量才会通过反垃圾邮件设备，反垃圾邮件服务队其他类型的应 用的影响降低到最小 3、 终端用户收发邮件不经过反垃圾邮件设备。 4、 仅对流入流量进行反垃圾邮件过滤 服务器模式 服务器模式是 Fortimail 本身既作为反垃圾邮件设备又作为邮件服务器。该模式的反垃圾邮 件功能与透明模式和网关模式没有任何区别，只是增加了邮件服务器的功能。它最大的优 点是降低了整体的拥有成本。它的主要特点如下： 1、 支持 Webmail, SMTP, POP3 and IMAP 客户端 2、 WebMail 客户端访问通过 SSL 加密保护 3、 每用户可以配置磁盘配额 4、 垃圾邮件专用文件夹 2.2.3 域和域和 Access List 两种方式简化配置两种方式简化配置 域是用来设置哪些邮件服务器是需要保护的。域是用来定义一批用户的，在邮件地址“” 后面的部分就是域。在 FortiMail 上指定邮件服务器的域是被保护的域，任何发往这些域的 邮件被认为是流入邮件，任何发往其他域的邮件被认为是流出邮件，发往指定域的邮件必 须首先路由到 FortiMail，而不是真实的邮件服务器，可能需要额外的路由和防火墙策略允 许 SMTP 流量通过。在网关模式下，DNS 的 MX 记录必须修改为 FortiMail 的 FQDN。 举例如下：如果要保护 的邮件服务器，则需要设置域为 。则所有流入到 该 的邮件都得到了保护。 Access List 是另外一种判断哪些邮件需要进行垃圾邮件处理的方式。以 为例， 凡是发送到 或者从 发出的邮件一律进行反垃圾邮件处理，配置 如下图： 它可以采用的动作有多种： OK(服务器模式) 允许 FortiMail 接收该域的邮件。 Relay允许 FortiMail relay 该域的邮件。已定义的域已被自动 设置为 relay 方式。 Reject丢弃邮件，并向发件的服务器/客户端发送 reject 信息。 Discard丢弃邮件，不发送 reject 信息。 域和 Access List 各有各的优点。域的方式更为清楚明了，可以清楚地表明所保护的邮件服 务器，而 Access List 更为灵活，即可以是域名加匹配符也可以是 IP。 2.2.4 策略结合保护内容表方式部署策略结合保护内容表方式部署 FortiMail 可以根据流量类型的不同应用到不同的服务。它是基于策略方式实现部署的，可 以识别不同的邮件数据流，根据以下两种方式识别：IP 地址 (基于 IP 的策略)或者基于目 的邮件地址(基于收件人的策略)，并且定义哪种邮件流采用哪种保护方式。 Profile 是将反垃圾邮件的各种功能集合在一起，然后由策略来调用。如图所示，建立反垃 圾邮件的 profile，然后设置不同的安全功能，比如 FortiGuard 反垃圾邮件服务、DNSBL、 启发式扫描、关键词扫描等等。 反垃圾邮件 profile FortiMail 支持以下几种类型的 profile: 会话 profile，是针对会话级别的垃圾邮件攻击，比如某个 IP 爆发式地发出 大量的 smtp 会话，就可以被认为可疑 认证 profile，是根据用户认证来判断用户是否存在 内容 profile，根据文件名、文件类型和文件内容来对邮件的附件进行过滤 反垃圾邮件 profile，根据 Fortiguard 反垃圾邮件服务、虚假 IP、灰色名单、 深度扫描等反垃圾邮件技术实现对垃圾邮件的判断 防病毒 profile，根据病毒库来扫描邮件是否含有病毒 字典 profile，根据关键词来判断是否是垃圾 FortiMail 的策略是将所设置的 Profile 根据接收的用户或者 IP 地址来实施到邮件的数据流 上。如图所示，FortiMail 可以根据接收者的邮件地址来判断部署何种反垃圾邮件策略。基 于 IP 的策略不仅仅可以部署反垃圾邮件 profile、防病毒 profile、内容 profile，而且可以部 署基于会话的 profile。 基于接收者的策略 基于会话的 profile 可以有效地控制垃圾邮件炸弹类的攻击，限制每个 IP 所发出最多会话， 并且对畸形的 HELO 进行检测。将基于会话的 Profile 部署于策略，从而从网络层有效地保 护邮件服务器。 2.2.5 直观的邮件队列直观的邮件队列 FortiMail 本身作为邮件代理，并且提供邮件队列可供用户来查看所处理的邮件的状态，以 了解和查证邮件故障的具体原因。共有三个邮件队列状态： Deferred 存放没有发送出去的邮件，时间 5 天，在 5 天内会自动尝试发送。 5 天后，将通知发件人并将该邮件删除 如果无法通知发件人，则将该邮件移入 Dead 对列 Dead 存放收件人或发件人地址错误的邮件 可以设置一个期限，自动删除 Dead 邮件 Spam 存放正常被垃圾邮件过滤器处理的邮件 2.2.6 多种垃圾邮件处理方式多种垃圾邮件处理方式 FortiMail 对邮件的处理可以采用“标记” 、 “丢弃”和“隔离”三种手段，我们推荐对 垃圾邮件采用“隔离” ，对病毒邮件采用的是“丢弃” 。 隔离的邮件界面如下： 对于隔离的邮件可以采用“Delete”和“Release”两种方式， “Delete”是从隔离区删 除该邮件，而“Release”是从隔离区释放回邮箱。 可以通过管理员来删除和释放邮件，也可以通过向用户“发送垃圾邮件报表的方式” ， 两种方法都是可行和可靠的。管理员删除和释放邮件，是通过 FortiMail 400 的管理界面进 行的。而用户自行处理垃圾邮件。 FortiMail 可以定时发送每个邮箱的垃圾邮件报表给用户。我们分别测试了“每天发送” 、 “每隔若干小时发送” 、 “每周发送”等三种方式，证明其是可靠的。 垃圾邮件报表是通过邮件方式发送的，参见下图： 垃圾邮件报告 我们点击“Release”就可以将该垃圾邮件释放回邮箱，点击“Delete”就删除了该邮件。 “Web Action”表示是通过网页方式删除或释放， “Mail Action”是通过邮件方式删除或释 放。 释放来自 chenpaul 的邮件，点击 Release，就将我们导引到 https 界面上来确认 释放还邮件。 通过 Web 释放邮件 除此之外，FortiMail 还设计了 Web Mail 方式的隔离区，每个用户可以用邮件的用户名和 密码登录隔离区查看自己给隔离的邮件。查看用户的隔离区，如下图所示。在该界面下， 可以对垃圾邮件进行释放和删除。 邮件隔离区 2.2.7 即时的垃圾邮件统计与分析即时的垃圾邮件统计与分析 FortiMail 可以实现随时生成当天的垃圾邮件分析与统计。可以看到的邮件统计结果如 下 从上图看到，截至 12 月 22 日 18：22 分，当天收到的邮件为 1359 个，其中非垃圾邮 件为 119 个，垃圾邮件为 1240 个，病毒邮件为 7 个。在 18 点钟内，处理的邮件总量为 75 个，正常邮件为 3 个，垃圾邮件为 72 个，无病毒邮件。 下图给出了，邮件的分布图， “Not Spam”为正常邮件， “FortiGuard-AntiSpam”为垃 圾邮件。 “System White”和“Bypass Scan On Auth”分别为系统白名单和经过认证的邮件。 下图是病毒邮件的分布图，可以看到夜间 0 点和 15 点的病毒邮件量。 2.2.8 强大而且详尽的报告强大而且详尽的报告 根据时间段生成的报表有九大类，一百多个报表： 根据垃圾邮件接收者来分析 邮件统计数据 根据邮件发送者来分析的 根据病毒邮件接收者来分析的 根据病毒发送者来分析的 根据邮件接收者来分析的 根据邮件的级别来分析的 根据垃圾邮件发送者来分析的 总体概述 从下图一周的报表中，我们可以看到每天收到的邮件数量基本上比较平均，垃圾邮件数量 也比较平均，正常邮件每天在 200 封400 封之间，垃圾邮件每天的数量在 1000-1500 封 之间。 更为生动的图如下： 2.2.9 邮件存档邮件存档 FortiMail 按照归档策略（Archiving Policy)中规定，对 incoming 和 outgoing 邮件进行归档。 存储在本地硬盘或者远程的存储设备上。所谓存档就是将所转发的邮件保存一个备份，以 备日后查找和审查。 存档本身可以记录所有邮件，也可以只记录所需要的邮件，比如记录 user 帐号上所收到的 邮件。这个功能是通过归档策略设置 存档的文件可以保存到 FortiMail 设备中，也可以转发到某个邮件地址，或者上传到远程存 储设备，比如远程 ftp 服务器。 2.3 技术参数技术参数 FortiMail 400 邮件吞吐性能 启动防病毒、反垃圾邮件、日志和归档 Email 大小：3K 154800/h 接口两个 10/100/1000 千兆以太网接口， 四个 10/100 以太网接 口，RJ45 串口 存储RAID 0/1 硬盘500GB 硬盘 运行 邮件协议SMTP、IMAP、POP3、加密(SSL) 工作模式透明、网关、服务器 系统管理 串口串口命令行 图形界面HTTP、HTTPS 远程访问SSH、Telnet OS硬件化的操作系统，控制用户的访问 尺寸 4.542.725.4cm 安装环境机架 电源 AC 输入电压100 到 240 伏(双电源冗余) AC 输入电流最大 4A 频率50 到 60Hz 环境 操作温度0 到 40C 存储温度-25 到 70C 湿度5 到 95%非凝结 第三章第三章 FortiNet 及产品介绍及产品介绍 3.1 公司介绍公司介绍 公司背景 Fortinet(飞塔公司)成立于 2000 年。创始人谢青（Ken Xie）即 Netscreen 公司（那斯达 克：NSCN）的原执行总裁兼创办人之一。公司总部位于美国加利福尼亚州的硅谷。在澳 大利亚、加拿大、中国、法国、德国、日本、韩国、新加坡和中国台湾、香港均设有分支 机构。 我们的产品 Fortinet 荣获了多个奖项的基于 ASIC 加速的 FortiGate系列病毒防火墙产品和专业的 反垃圾邮件设备 FortiMail，是实时网络防护系统的新一代产品。产品检测并清除大多数的 破坏性内容，来自邮件的基于内容的威胁，以及病毒、蠕虫、入侵和不健康网页的 Web 流 量，所有都是在实时状态下进行，不会影响网络性能。FortiGate系统采用专有的易于管 理的平台，包括了全套的网络层服务防火墙，VPN，入侵检测/阻断和流量控制同时还 具有高效的应用层服务，如防病毒、内容过滤。 该家族产品的每一款都具有管理灵活、性能全面的特性，可为企业提供多层次的防护 措施，给任何应用都提供较高性价比的产品。 所有的 FortiGate 病毒防火墙和 FortiMail 都采用先进的行为加速（Accelerated Behavior）和内容分析系统技术（ABACAS） ，FortiGate 病毒防火墙突破了芯片设计、网 络通信、安全防御及内容分析等诸多难点。公司独有的，基于 ASIC 的网络安全架构能实 时进行网络内容和状态分析，在网络边界布署应用层防护措施，确保企业网络安全。 Fortigate 是世界上唯一获得七项 ICSA 认证的产品，认证的功能包括：反病毒、防火墙、 VPN、入侵检测。它事实的、基于网络的反病毒网络安全解决方案完善了现有的基于主机 的反病毒软件的功能，支持“深度防御”，卓有成效的增添了新的防御措施，降低建置成本， 使网络集成更容易、管理更简单。 我们的突破: 实时网络保护 目前网络架构所面临的严峻挑战中，大部分直接源自于传统网络系统的局限性。因为 这些系统缺乏支持内容处理的专用硬件，不能够突破所谓的内容处理的障碍（Content Processing Barrier） 。也就是说无法在维持网络传输速度的同時，对应用层进行信息内容扫 描，监测排除各种危害的内容。Fortinet 研制的 FortiGate 和 FortiMail 产品系列则可以突破 内容处理障碍，为业界在网络边界提供应用层防护设立了一套高性能低成本的新系统。该 家族产品的每一款都具有管理灵活、性能全面的特性，可为企业提供多层次的防护措施， 包括应用层的病毒防护、内容过滤服务以及在网络层的防火墙、入侵检测、入侵阻断、虚 拟专用网（VPN） 、流量管理等服务措施。 关键的技术 拥有 11 项审核的专利，FortiGate 病毒防火墙和专业的反垃圾邮件 FortiMail 采用了先 进的行为加速（Accelerated Behavior）和内容分析系统技术（ABACAS） ，突破了芯片设 计、网络通信、安全防御及内容分析等诸多难点。公司所独有的，基于 ASIC 上的网络安 全架构能实时进行网络内容和状态分析，在网络边界布署应用层防护措施，维持网络传输 速度的同時有效的确保了企业网络安全。 总