教程篇(6.0) 09. 反病毒 ❀ 飛塔 (Fortinet) 網路安全專家 NSE4

阿新 • • 發佈：2018-12-30

在這節課中，你將學習如何使用FortiGate來保護你的網路免受病毒攻擊。

在本次課程中，你將探討以下主題：

反病毒基礎
反病毒掃描模式
反病毒配置
最佳實踐
故障排查

在完成本節之後，你應該能夠：

使用反病毒簽名
檢查反病毒掃描技術
啟用反病毒的FortiSandbox
區分可用的FortiGuard簽名資料庫

　　通過展示反病毒基礎知識的能力，你將能夠在FortiGate上理解和應用反病毒。

反病毒是一個病毒簽名的資料庫，用來識別感染。在反病毒掃描中，為了被檢測為病毒，病毒必須與一個被定義的模式匹配，稱為簽名。

　　不同的供應商為同一種病毒分配不同的名稱。所有供應商都使用病毒名稱中的攻擊向量指定。這個向量出現在病毒名稱的開頭。一些例子包括：

W32,它代表32位Windows視窗
W64,它代表64位Windows視窗
JS,它代表了JavaScript（它是跨平臺的）

　　一些供應商還使用模式作為病毒名稱的一部分。有些模式只檢測每種模式的一種病毒。其他模式更靈活，可以檢測每個模式的多個病毒。供應商使用的模式依賴於供應商的引擎。

　　基於主機的反病毒軟體，如FortiClient，可以在主機級別上提供幫助;然而，基於主機的反病毒軟體不能安裝在路由器上。此外，客戶Wi-Fi網路和ISP客戶可能沒有安裝防毒軟體。

　　那麼，你如何保護客戶網路、ISP客戶和你自己的網路免受惡意軟體的威脅呢？

就像病毒一樣，它使用許多方法來避免被發現，FortiGate使用許多技術來檢測病毒。這些檢測技術包括：

反病毒掃描：這是第一個，最快，最簡單的檢測惡意軟體的方法。它檢測到與反病毒資料庫中的簽名完全匹配的病毒。
灰色軟體掃描：這種掃描檢測未經使用者知情或同意安裝的不請自來的程式，稱為灰色軟體。從技術上講，灰色軟體並不是病毒。它通常與無害的軟體捆綁在一起，但確實有不受歡迎的副作用，所以它被歸類為惡意軟體。通常，可以用一個簡單的FortiGuard的灰色軟體簽名來檢測到。
啟發式掃描：這些掃描是基於概率的，所以它們增加了誤報的可能性，但是它們也能檢測到零日病毒。零日病毒是一種新的、未知的病毒，因此沒有現成的相關特徵。如果你的網路是一個經常被攻擊的目標，那麼啟用啟發式掃描可能是值得的，因為它可以幫助你在病毒爆發前檢測出病毒。預設情況下，當反病毒掃描的啟發式引擎檢測到病毒樣特徵時，它會將檔案記錄為可疑的——但不會阻止它。你可以選擇是否阻止或允許可疑檔案。

　　啟發式掃描是一個可選特性，必須在CLI中啟用。

　　你可以使用CLI命令配置反病毒啟發式方法將啟發式掃描的動作配置為通過/阻止/禁用。

　　如果所有的反病毒功能都啟用了，FortiGate將應用以下掃描順序：反病毒掃描>灰色軟體掃描>啟發式掃描。

如果啟發式掃描太不確定怎麼辦？如果你需要一種更復雜、更確切的方法來檢測惡意軟體並找到零日病毒，該怎麼辦？

　　你可以將你的反病毒掃描和FortiSandbox整合在一起。對於需要更多確定性的環境，FortiSandbox在受保護的環境（VM）中執行檔案，然後檢查軟體的效果，看它是否危險。

　　例如，假設你有兩個檔案。兩者都改變了系統登錄檔，因此是可疑的。一個是驅動程式安裝——它的行為是正常的——但是第二個檔案安裝了一個連線到僵屍網路和控制伺服器的病毒。沙盒可以揭示兩者的區別。

　　FortiGate可以配置為從基於沙盒結果的FortiSandbox中接收一個補充的簽名資料庫。

在確定哪些檔案被髮送到FortiSandbox時，FortiOS是明智的。FortiGuard提供給了FortiGate基於當前威脅環境的資訊，用於確定檔案是否應該被認為可疑。當涉及到確定將何種型別的檔案傳送到FortiSandbox以進行進一步的調查時，FortiGate為管理員提供了細粒度的控制。管理員還可以選擇使用FortiSandbox資料庫和FortiGuard AV資料庫來增強他們的網路安全。

你可以使用推送方法、進度方法或兩種方法一同更新你的FortiGate的反病毒資料庫。計劃更新允許你定期地配置計劃的更新，例如每小時、每天或每週更新一次。你還可以啟用Accept push updates，這允許你在FortiGuard釋出後立即新增新的定義。這對於高安全性環境是有用的，因為一旦釋出FortiGate就會收到緊急的安全更新。

　　無論選擇哪種方法，都必須在至少一個防火牆策略中啟用病毒掃描。否則，FortiGate將不會下載任何更新。或者，你可以從Fortinet客戶服務和支援網站（需要訂閱）下載軟體包，然後手動將它們上傳到你的FortiGate。你可以從GUI上的FortiGuard頁面上驗證更新狀態和簽名版本，或者你可以執行診斷autoupdate狀態，並在CLI上診斷autoupdate版本。

　　僵屍網路IP和僵屍網路域名訂閱現在是FortiGuard反病毒許可證的一部分。

有多個FortiGuard資料庫存在，可以使用CLI命令配置反病毒設定。對每個資料庫型別的支援因FortiGate型號而異。

　　所有的FortiGate都包括正常的資料庫。正常的資料庫包含了近幾個月已經檢測到的病毒的簽名，這是由FortiGuard的全球安全研究小組確定的。它是最小的資料庫，因此，執行最快的掃描。然而，這個資料庫並沒有檢測到所有已知的病毒。

　　大多數的FortiGate型號都支援擴充套件的資料庫。擴充套件的資料庫能檢測到不再活躍的病毒。許多常見的平臺仍然容易受到這些病毒的攻擊，並且這些病毒可能會成為一個問題。

　　極端資料庫的目的是在高安全性環境中使用。極端資料庫檢測所有已知的病毒，包括那些針對不再被廣泛使用遺留作業系統的病毒。

　　還有一個簡潔的簽名資料庫，只用於快速掃描模式。在這節課的後面，你會學到更多關於這個話題的知識。

Virus Outbreak Prevention：FortiGuard病毒爆發的預防是一種額外的保護層，它可以使你的網路安全免受新出現的惡意軟體的攻擊。快速的病毒爆發可以感染一個網路，然後才能開發出簽名來阻止它們。爆發保護阻止了這些病毒的爆發，直到在FortiGuard中有了簽名。FortiGate必須有一個零小時的病毒爆發（ZHVO）許可證，然後才會實時地將查詢傳送到FortiGuard，從而防止了零小時病毒的攻擊。

　　FortiGate新增基於雜湊的病毒檢測，以尋找新的威脅，而這些威脅還沒有被AV簽名檢測到。當檔案被髮送到 scanunit deamon時，緩衝區被雜湊（可選地提取存檔內容）和一個請求（或幾個，取決於掃描歸檔檔案中的檔案數量）被髮送到urlfilter deamon。在對已知簽名的請求快取進行檢查後，urlfilter deamon傳送給 FortiGuard一個反病毒請求，以保留其餘的簽名。FortiGuard返回一個等級，用來確定scanunit deamon是否應該報告該檔案是否有害。在使用者收到響應或請求超時之前，scanunit deamon的工作仍處於暫停狀態。

　　Content Disarm and Reconstruction (CDR): CDR刪除可開發的內容，並用已知安全的內容替換它。由於文件是通過一個啟用的反病毒配置檔案處理的，被發現是惡意或不安全的內容被替換為允許流量繼續的內容，但不會使接收方處於危險之中。可以掃描的內容包括PDF和Microsoft Office檔案，這些檔案通過CDR支援的協議（如HTTP web下載、SMTP電子郵件傳送、IMAP和POP3電子郵件檢索-MAPI不受支援）離開網路。

　　當客戶端嘗試下載該檔案時，在實時情況下，FortiGate清除所有可開發的內容，然後將原始檔案傳送到FortiSandbox進行檢查。客戶端接收到檔案的乾淨版本，該文件包含一個覆蓋頁面，該頁面連結通過FortiSandbox 連結到原始文件。如果檢查結果是乾淨的，戶端可以使用FortiSandbox下載連結下載原始檔案。即使沒有配置FortiSandbox，這個特性也能起作用，但前提是你想要丟棄原始檔案。

不測驗。

你現在瞭解了反病毒功能的基礎知識。接下來，你將瞭解反病毒掃描模式。

在完成本節之後，應該能夠：

在基於流的檢查模式中應用反病毒配置檔案
在基於代理的檢查模式中應用反病毒配置檔案
比較所有可用的掃描模式

　　通過展示在FortiOS中可用的所有反病毒掃描模式的能力，你將能夠有效地使用反病毒配置檔案。

當反病毒配置檔案在基於流的檢查模式下執行時，有兩種掃描模式可供選擇：全掃描模式和快速掃描模式。全掃描模式使用完整的反病毒資料庫（正常、擴充套件或極端——取決於CLI中配置的內容）和IPS引擎來檢查網路流量。

　　流檢查模式引擎開始用一個原始資料包進行掃描。引擎不一定按順序掃描，它必須提取有效載荷來發現病毒有效載荷，而不考慮周圍的協議細節。因為檔案是同時傳輸的，所以流檢查模式掃描會消耗更多的CPU資源。然而，根據FortiGate型號的不同，一些流檢測模式操作可以由專門的FortiASIC晶片來執行，從而提高了效能。流檢查模式掃描在FortiGate上將資料包的副本快取，並同時將資料包轉發到終端客戶端。當收到最後一個包時，FortiGate也會快取它，但是將最後一個包保持狀態，並將整個檔案進行掃描。IPS引擎檢查規則匹配，然後將其傳送到AV引擎進行掃描。

　　當檢測到病毒時，可能會出現兩種情況：

　　如果掃描在TCP會話中檢測到一個病毒，當它可能已經將資料包轉發給客戶端時，它會重新設定連線，但是不會插入阻止替換頁。因此，客戶可能認為它遇到了網路錯誤並再次嘗試。FortiGate的IPS引擎快取了URL，在第二次嘗試下載相同的檔案時，阻止替換頁面立刻顯示，不使用反病毒引擎。即使客戶在第一次嘗試中收到了大部分的檔案，檔案也會被截斷，客戶端將無法開啟一個截斷的檔案。

　　如果病毒在流的開始被檢測到，流檢查模式掃描可以在第一次嘗試時插入阻止替換頁。

正如你在這張幻燈片中所看到的，客戶端傳送一個請求並立即開始接收資料包，但是FortiGate也同時快取這些資料包。當最後一個包到達時，FortiGate會將其快取並將其擱置。然後，它將整個快取的檔案傳送到IPS引擎，在那裡檢查規則匹配並傳遞給AV引擎進行掃描。如果AV掃描沒有檢測到任何病毒，並且結果返回乾淨，最後一個快取的資料包將被重新生成並交付給客戶端。然而，如果發現了病毒，最後一個包就會被丟棄。即使客戶端收到了大部分檔案，檔案也會被截斷，客戶端將無法開啟一個截斷的檔案。

　　不管你使用哪種模式，掃描技術都有類似的檢測率。你如何在掃描引擎之間選擇？如果效能是你的首要任務，那麼流檢查模式更合適。如果安全是你的優先事項，那麼代理檢查就會更合適。

這張幻燈片展示了一個AntiVirus Profile的例子，它以基於流的檢查模式執行，並將Scan Mode設定為Full。

快速掃描模式使用一個IPS引擎，它帶有一個包含較少簽名的嵌入式緊湊反病毒資料庫。快速掃描模式與基於流的檢測模式的全掃描模式相比有一定的侷限性。快速掃描模式不能：

將檔案傳送到FortiSandbox以進行檢查
利用高階的啟發式
使用移動惡意軟體包

　　一些入門級的FortiGate型號不支援這種方法。注意：快速掃描模式選項只能在流檢查模式下使用。

IPS引擎檢查病毒、蠕蟲、木馬和惡意軟體的網路流量，而不需要緩衝正在檢查的檔案。它提供了更好的效能，但是檢測率更低。

這張幻燈片展示了一個反病毒配置檔案的例子，它以基於流的檢查模式執行，並將Scan Mode設定為Quick。一個好的用例示例是將快速模式掃描應用到公共WiFi。

　　注意：所有的檢查選項，包括FortiSandbox和（Mobile Malware Protection）移動惡意軟體保護，在快速掃描模式下是不適用的。還需要注意的是，必須啟用SSL/SSH深度檢查來掃描加密的流量。

每一個協議的代理都在掃描之前獲取一個連線，並首先緩衝整個檔案（或者等到達到了超大的限制）。客戶端必須等待掃描完成。如果檢測到病毒，則立即顯示阻止替換頁。因為FortiGate必須緩衝整個檔案，然後進行掃描，需要很長時間才能進行掃描。而且，從客戶端的角度來看，它必須等待掃描完成，並且由於缺乏資料可能終止連線。

　　你可以從配置防火牆profile-protocol-options命令樹中配置客戶端對HTTP和FTP的支援。這使得代理可以緩慢地傳輸一些資料，直到它能夠完成緩衝區並完成掃描。這可以防止連線或會話超時。在第一次嘗試中沒有出現阻止替換訊息，因為FortiGate將資料包傳送到終端客戶端。

通過代理檢查模式掃描，客戶端傳送一個請求，而FortiGate開始緩衝整個檔案，然後將其傳送到AV引擎進行掃描。如果檔案是乾淨的（沒有任何病毒），FortiGate就會開始將檔案傳輸到終端客戶端。如果找到了病毒，就不會向終端客戶端傳送資料包，代理會將阻止替換訊息傳送到終端客戶端。

這是一個例子，說明在代理檢查模式下，反病毒配置檔案是什麼樣子的。它包含你以前在全掃描模式基於流的配置檔案中看到的Inspection Options，以及Inspected Protocols ，它允許對哪些協議進行掃描。

　　注意：你需要將反病毒配置檔案應用到防火牆策略中，以掃描所要求的病毒流量。你還需要啟用SSL/SSH深度檢查來掃描加密的流量。

這張幻燈片提供了不同的反病毒掃描模式的比較。

小測驗。

現在你已經瞭解了反病毒掃描模式。接下來，你將瞭解反病毒配置。

在完成本節之後，你應該能夠：

配置反病毒配置檔案
配置協議選項
檢查病毒的統計資料
記錄和監控反病毒事件

　　通過演示反病毒配置的能力，包括檢查反病毒日誌，你將能夠以有效的方式使用反病毒配置檔案。

反病毒配置檔案可以在AntiVirus頁面上進行配置。在基於流的檢查模式下的全掃描模式和在代理檢查模式下的反病毒配置檔案提供了相同的檢查選項。這些選項包括：

　　APT（高階持續性威脅）保護選項：

Treat Windows Executables in Email Attachment as Viruses：預設情況下，這個選項是啟用的，檔案（包括壓縮檔案）被識別為Windows可執行檔案可以被視為病毒.
Send Files to FortiSandbox Cloud for Inspection: 如果配置了FortiSandbox Cloud或者Appliance您可以配置反病毒配置檔案，將惡意檔案傳送到FortiSandbox，以進行行為分析。如果被標記為惡意，任何匹配相同行為的未來檔案都將被阻止，如果啟用了Use FortiSandbox Database選項。
Use Virus Outbreak Prevention Database:FortiGuard病毒爆發預防是一種額外的保護層，它可以使你的網路安全免受新出現的惡意軟體的攻擊。快速的病毒爆發在你開發出簽名來阻止它們之前可以感染一個網路。病毒暴發保護阻止了這些病毒的爆發，直到在FortiGuard中有了可用簽名。

　　在反病毒配置檔案中，你可以定義如果檢測到受感染的檔案，FortiGate應該做什麼。

　　在配置反病毒配置檔案之後，你必須將其應用到防火牆策略中。

協議選項提供了比反病毒配置檔案更細粒度的控制。你可以配置協議埠對映、常見選項、web選項和電子郵件選項，等等。

　　你可以為基於代理的檢查模式和基於流的檢查模式VDOM配置協議選項。你可以在GUI上的Proxy Options頁或CLI上配置基於代理的VDOM的協議選項。你可以僅從CLI中配置基於流的VDOM的協議選項。要從CLI配置協議選項，請使用以下命令：config firewall profile-protocol-options。

　　協議選項被反病毒和其他安全配置檔案使用，如web過濾、DNS過濾和DLP感測器等。

　　一旦配置了協議選項，它們就會被應用到防火牆政策中。

那麼推薦的緩衝區限制是什麼呢？它根據型號和配置而變化。您可以調整您的網路的超大限制以獲得最佳效能。一個較小的緩衝區可以最小化代理延遲（對於掃描模式）和RAM的使用，但是這可能允許病毒通過未被發現的方式傳遞。當緩衝區太大時，客戶可能會注意到傳輸超時。你需要平衡這兩者。

　　如果你不確定你需要的緩衝區有多大，你可以臨時啟用超大日誌，看看你的FortiGate是否經常掃描大檔案。然後你可以相應地調整值。

　　比超大限制的檔案更大的檔案掃描時被忽略了。你可以通過啟用CLI的超大日誌選項來啟用超大檔案的日誌記錄。

大檔案經常被壓縮。當壓縮檔案經過掃描時，壓縮就像加密一樣：簽名是不匹配的。因此，為了掃描它，FortiGate必須解壓檔案。

　　在解壓一個檔案之前，FortiGate必須首先識別壓縮演算法。一些存檔型別只能使用header正確地標識。另外，FortiGate必須檢查檔案是否受密碼保護。如果存檔是用密碼保護的，那麼FortiGate就不能對其進行解壓縮，因此，不能掃描它。

　　FortiGate將檔案解壓到RAM中。就像其他大型檔案一樣，RAM緩衝區有最大的尺寸。增加這個限制可能會降低效能，但是它允許您掃描更大的壓縮檔案。

　　如果一個歸檔檔案是巢狀的——例如，如果一個攻擊者試圖通過在ZIP檔案中放入一個ZIP檔案來繞過掃描，那麼FortiGate將嘗試撤銷所有的壓縮層。在預設情況下，FortiGate將嘗試解壓縮和掃描12層深度，但是你可以配置它來掃描你的單位支援的最大數字（通常是100）。通常，你不應該增加這種設定，因為它增加了RAM的使用。

在全掃描模式下（基於流的檢查模式）的反病毒配置檔案和代理檢查模式下的反病毒配置檔案，可以緩衝到你指定的檔案大小限制。預設值是10 MB，這對於大多數檔案來說足夠大，除了視訊檔案。如果你的FortiGate有更多的RAM，你或許可以增加這個門檻。

　　如果沒有限制，非常大的檔案可能會耗盡掃描記憶體。因此，這個閾值平衡了風險和效能。這種權衡是獨一無二的，還是針對特定的型號？不。無論供應商或型號，您都必須做出選擇。這是由於在理論上的掃描和沒有限制的掃描，以及對具有有限RAM的現實裝置的掃描。為了檢測100%的惡意軟體，不管檔案大小如何，防火牆都需要無限大的記憶體——這是現實世界中沒有裝置的東西。

　　大多數病毒都很小。這張表顯示了一個典型的權衡。你可以看到，在預設的10MB閾值中，只有0.01%的病毒通過。

在FortiGate開始掃描惡意軟體的流量之前，你需要在防火牆策略上應用反病毒配置檔案、協議選項和SSL/SSH檢查配置檔案。

　　在完整的SSL檢查級別中，FortiGate在到達伺服器之前，在它自己的介面上終止SSL/TLS握手。當交換證書和私鑰時，它是用FortiGate而不是伺服器。接下來，FortiGate開始與伺服器的第二個連線。

　　因為在FortiGate的介面之間傳輸時，流量是未加密的，所以在重新加密資料包並轉發它之前，FortiGate可以檢查內容並查詢與反病毒簽名資料庫的匹配。

　　由於這些原因，完全的SSL檢查級別是允許反病毒有效的唯一選擇。

由於僵屍網路資料庫是FortiGuard AV的一部分，管理員可以對僵屍網路連線進行掃描，以最大限度地提高內部安全性。啟用僵屍網路掃描是非常容易的。你只需要在FortiGate的外部介面上啟用它。你還可以使用CLI在防火牆策略、顯式代理策略、防火牆介面策略和防火牆嗅探中使用CLI來掃描僵屍網路連線。

　　注意：如果一個介面Role被設定為LAN，那麼FortiOS就會移除啟用僵屍網路掃描的選項。它只對被配置為 WAN或未定義的介面可用。

對於在基於代理的檢查模式（禁止客戶端控制）進行反病毒掃描時，當檢測到病毒時，會立即顯示阻止替換頁面。

　　對於基於流的檢查模式掃描，如果在流開始時檢測到病毒，則在第一次嘗試時顯示阻止替換頁。如果在傳輸了幾個包之後檢測到病毒，則不會顯示阻止替換頁。然而，FortiGate快取了URL，並且可以在第二次嘗試時立即顯示替換頁面。

　　注意：如果啟用深度檢查，所有基於HTTPS的應用程式也會顯示阻止替換訊息。

　　該區塊包括以下內容：

檔名
病毒名
Web站點主機和URL
源和目的IP
使用名稱和組（如果啟用了身份驗證）
連結到FortiGuard百科–它提供了分析、推薦的操作（如果有的話）和檢測可用性

　　你可以直接用一個可疑的惡意軟體樣本進入FortiGuard網站檢視其他惡意軟體的資訊，掃描，提交，或者兩者都做。

你可以在儀表板上Advanced Threat Protection Statistics 小部件找到病毒掃描統計資訊。

　　如果你的FortiGate提交了用於沙盒的檔案，它會記錄提交的檔案數量和這些掃描結果。這些統計資料與在FortiGate上掃描的檔案是分開的。

如果啟用了日誌記錄，你可以在AntiVirus日誌頁面上找到詳細資訊。

　　當反病毒掃描檢測到一種病毒時，預設情況下，它會建立一個關於檢測到什麼病毒的日誌，以及操作、策略ID、反病毒配置檔名稱和檢測型別。它還提供了一個連結，可以連結到關於FortiGuard網站的更多資訊。

　　你還可以在Forward Traffic 日誌頁面上檢視日誌詳細資訊，其中防火牆策略記錄了流量活動。你還會發現一個關於FortiGate採用反病毒動作的流量總結。

小測驗。

現在你已經瞭解了反病毒配置。接下來，你將學習一些反病毒的最佳實踐。

在完成本節之後，你應該能夠：

識別推薦的反病毒配置
反病毒事件日誌
監視反病毒和FortiSandbox事件
伴隨著反病毒掃描來使用硬體加速

　　通過展示反病毒最佳實踐的能力，你將能夠配置一個有效的反病毒解決方案。

以下是在FortiOS上配置反病毒掃描時要遵循的一些最佳實踐：

在所有網際網路流量中啟用反病毒掃描。這包括內部到外部防火牆策略，以及任何VIP防火牆策略。由於僵屍網路現在是反病毒訂閱的一部分，所以建議您可以掃描任何外出流量到僵屍網路的連線。你應該在FortiGate的所有外部介面上啟用它，包括冗餘或負載平衡介面。
使用深度檢查代替基於證書的檢查，以確保執行完整的內容檢查。 • 使用FortiSandbox來防禦新病毒。
不要增加要掃描的最大檔案大小，除非有充分的理由，你需要這樣做以滿足網路需求。

配置反病毒掃描時要遵循的其他最佳實踐包括以下內容：

確保FortiGuard的更新來確保FortiGate在他們可用的時候收到反病毒更新。這將有助於保持FortiGate資料庫的最新狀態，並提供對新病毒的保護。
確保FortiGate與FortiGuard伺服器有穩定的連線。

日誌記錄是管理安全網路的重要部分。允許對超大檔案進行日誌記錄，這樣如果有未掃描的檔案，你就可以知道它。另外，要確保安全事件日誌記錄在所有防火牆策略中都啟用了安全配置檔案。使用FortiView來檢視關於你的網路威脅的相關資訊。FortiView將資訊整體到網路段中，並將其分解為不同的類別。

FortiGate主要的中央處理器負責對網路流量進行UTM/NGFW的檢查。擁有專門晶片的FortiGate型號可以解除安裝檢查任務，以提高效能，同時提供相同級別的保護。支援NTurbo特性的FortiGate可以將UTM/NGFW會話解除安裝到網路處理器。NTurbo建立了一個特殊的資料路徑，將流量從ingress介面轉移到IPS引擎，以及從IPS引擎到出口介面。這可以通過加速反病毒檢查來提高效能，而不需要犧牲安全性。

具有CP8或CP9內容處理器的FortiGate型號可以解除安裝基於流的模式匹配到CP8或CP9處理器。當啟用CP加速時，基於流的模式資料庫被編譯並從IPS引擎和IPS資料庫中下載到內容處理器。這減少了在FortiGate CPU上的負載，因為基於流的模式匹配請求被重定向到CP硬體。在對流量進行基於流的檢查之前，IPS引擎使用一系列的解碼器來確定可以使用的適當的安全模組，這取決於資料包的協議和策略設定。此外，如果配置了SSL檢查， IPS引擎也會解密SSL資料包。SSL解密也由CP8或CP9處理器進行解除安裝和加速。