1. 概述

計算機病毒一直是信息安全的主要威脅。而隨著網絡的不斷發展，網絡速度越來越快，網絡應用也越來越豐富多彩，使得病毒傳播的風險也越來越大，造成的破壞也越來越強。據ICSA(國際計算機安全協會)的統計，目前已經有超過90%的病毒是通過網絡進行傳播的。內網用戶訪問Internet時，無論是瀏覽WEB頁面，還是通過FTP下載文件，或者是收發E-mail，甚至MSN聊天等，都可能將Internet上的病毒帶入網內。而近幾年泛濫成災的網絡蠕蟲病毒(如紅色代碼、尼姆達、沖擊波、振蕩波等)跟傳統的通過光盤、軟盤等介質進行傳播的基於文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結合體，當網絡當中一臺計算機感染蠕蟲病毒後，它會自動的以極快的速度(每秒幾百個線程)掃描網絡當中其他計算機的安全漏洞，並主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數的增長速度在網絡當中傳播，即使計算機上安裝了帶有實時監控功能的防病毒軟件(包括單機版和網絡版)對此也無能為力。蠕蟲病毒的傳播還會大量占用網絡帶寬，造成網絡擁堵，形成拒絕服務式攻擊(DoS)。

因此，對於新型的網絡蠕蟲病毒，必須在網關處進行過濾，防止病毒進入內網。網關防病毒已經成為當前防病毒體系中的重中之重。

ICSA統計數據：90%以上是通過Internet傳播的。不同於市場上其他基於軟件處理的防病毒網關，FortiGate是全球唯一使用ASIC芯片加速的硬件防病毒網關，可以提供高於同類產品數倍的防病毒性能，FortiGate高端型號采用了Fortinet最新一代ASIC芯片——FortiASIC CP8，最高可以達到單臺10Gbps以上的HTTP防病毒吞吐量，均遠超同類其它產品，對於Web瀏覽這樣的實時應用的性能影響也微乎其微。

FortiGate目前的支持的病毒特征數量超過1500萬個，而且防病毒特征可通過Internet自動更新，每天4次的病毒庫更新頻率是業界最高標準之一，可以確保用戶在第一時間實現對最新型網絡威脅的防禦。FortiGate支持手動、自動、推送式更新。其中推送式更新當服務器上有新的特征庫時，會主動“推送”至用戶的FortiGate，響應速度最快。

FortiGate支持啟發式掃描，對於未知病毒，可以根據其行為進行判斷，及時將可疑的文件報告給用戶。

Fortinet公司在國內的北京和天津成立了病毒及入侵防禦研發中心，其中天津的研發中心與國家病毒應急響應中心密切合作，迅速捕獲國內產生的病毒和入侵。這兩個研發中心共有150名以上研發人員。

2. 外部病毒防禦

如下圖所示，FortiGate可以部署在Internet和內部網絡之間，既可以阻擋來自Internet的病毒、蠕蟲、木馬、間諜軟件、惡意軟件等，也可以防止內部用戶向外發送這些病毒等安全威脅。

DMZ區的服務器也可使用FortiGate進行保護，防止病毒、蠕蟲、木馬等攻擊Web、Email、Proxy等服務器。

FortiGate的病毒過濾針對標準協議，與應用無關。無論用戶使用何種Email服務器和客戶端，只要使用的是標準的SMTP、POP3、IMAP協議，FortiGate都可以對電子郵件中的病毒進行過濾，防止病毒通過郵件傳播。FortiGate還支持HTTP協議和FTP協議，對於Web瀏覽、下載、Web郵件及FTP文件傳輸過程中攜帶的病毒均可進行攔截。在支持協議的全面性上走在了業界的前方。對於使用非標準端口的協議應用(如在使用代理服務器的環境中，HTTP協議不使用TCP80端口，卻使用了TCP8080端口)，FortiGate同樣可以對其中的病毒進行過濾。

在協議支持的全面性上，FortiGate走在了業界的前面。在FortiGate上啟用防病毒功能，對HTTP、FTP、SMTP、POP3、IMAP、MAPI等協議進行過濾，便可將外網病毒傳入內網的風險降至最低。

FortiGate支持基本病毒庫和擴展病毒庫，用戶可以針對不同協議開啟不同級別的安全保護，在安全和性能之間進行良好的平衡。

當郵件附件中帶有病毒時，FortiGate會自動插入提醒信息，通知收件人由於附件帶毒，所以被FortiGate刪除。提示信息可以由管理員自己來設置。

管理員還可以使用FortiGate對超過一定大小的文件進行阻擋。例如管理員不希望內網用戶下載電影而大量占用網絡帶寬，便可在FortiGate上設置，超過50M大小的文件一律阻止。

3. 內部病毒防禦

雖然目前90%以上的病毒來自於Internet，但仍然有部分病毒通過其它途徑進入內網，例如光盤、U盤、文件共享、移動用戶等。而病毒進入內網後通常采用網絡入侵的方式，利用網絡中其它主機的安全漏洞進行傳播，並可能導致DoS攻擊。

如前圖所示，除了在Internet出口處部署FortiGate之外，還可以在內網各區域(如下屬單位、部門等)之間使用FortiGate進行隔離，防止一個區域感染的病毒擴散到其它區域。

另一方面，FortiGate安全網關不能僅針對HTTP、FTP、SMTP、POP3、IMAP、MSN、NNTP等協議進行病毒掃描，同時還能夠基於IPS原理，識別各類蠕蟲病毒的內網傳播特征，對內網中的病毒傳播進行定位和阻攔。

FortiGate的IPS功能還能限制單個IP地址產生的會話數量，防止蠕蟲病毒爆發時導致的DoS/DDoS攻擊；還能利用防火墻功能阻擋常見病毒的傳播端口。以上功能均能協助防病毒功能，獲得更好的防禦效果。

當前的病毒傳播方式多種多樣，病毒、蠕蟲、木馬、惡意軟件、網絡入侵等的界限越來越模糊，用戶只有結合防病毒、IPS、防火墻等多項安全技術，才能真正有效地過濾新一代病毒。

4. 病毒掃描模式

FortiGate支持兩種病毒掃描模式，分別是基於代理掃描和流掃描。

基於代理掃描

FortiGate充當代理接管網絡流量，代理時對掃描的文件進行緩存，當文件緩存完畢後，進行重組並執行病毒掃描，直到掃描結束，不會發送數據到客戶端和服務器。代理掃描模式可以提供高的準備率，但會帶來比較高的延時。

流掃描

文件通過FortiGate時，逐包檢查，沒有文件重組過程。如果檢測到病毒，最後一個包會被丟棄，或者連接會被reset，客戶端不會收到完整的文件。流模式因為沒有文件緩存的過程，因此執行效率較高，病毒掃描的延時也較小，但可能會出現漏報的情況。

（FortiGate）飛塔防火墻防病毒解決方案