Professional Documents
Culture Documents
VPN 2012-05-15
VPN 2012-05-15
主講人:
臺大資工網管室 陳鴻偉
2012/05/15
何謂防火牆?
Internet
• 防火牆 :
兩個不同網路間的安全閘道 “允許資料往Internet”
追蹤及控制網路的連線
• 可以對每一個網路連線選擇允許,拒絕, “拒絕來自Internet
丟棄,加密,紀錄等動作 的資料”
企業網路
當今網路安全威脅已遠超過防火牆的防禦能力
Filter Worms
Anti- virus Trojans
CONTENT-
Viruses
IDS BASED
VPN Intrusions
Firewall
Lock & Key CONNECTION-BASED
Hardware
PHYSICAL Theft
1970 1980 1990 2000
FortiGate
- A New Generation of Security Platform
狀態式防火牆 垃圾郵件過濾
Granular security policies Static list, FortiGuard Antispam, RBL
Authentication enforcement 不當網頁過濾
Quality of Service Static list, FortiGuard Web Filtering
Virutal Firewall 資料加密
防毒 IPSec, SSLvpn
HTTP, FTP, SMTP, POP3, IMAP 流量管理 (QoS)
Signatures, Heuristics, Activity Guaranteed rate, Max rate, Traffic
priority
入侵偵測/防禦
Signature, Anomaly, Activity Inspection
Servers
Users
FortiNet 原生的內容安全ASIC加速
FortiNet特色:一次滿足資安的五大需求
入侵偵測防禦(IPS)
隔離企圖引起網路攻擊事件的使用者
保障企業網路不受異常侵擾
防 毒(Antivirus)
阻絶企圖經由網路散佈病毒的使用者
與企業原有的PC端防毒系統進行交叉防護掃瞄
中央集中控管(Central Management)
• 統一的管理平台與介面,全面掌握網路脈動
• 兼具集中與分散之有效網路安全監控
完整的異質網路 VPN 解決方案
IPSEC VPN ( Route-Based VPN) (OSPF, RIP /IPSEC VPN)
SSL VPN
Service Provider A
IP-VPN
POS Corporate
Data Center
ADSL
Wan1
FortiGate
HUB/Switch
FTTB
VoIP Phone
IPSec/SSL VPN
System Dashboard
System Information
Message Console
Up to three recipients on
specified mail server
1. 介於router和switch間, 或
ATU-R
Router
192.172.1.1-192.172.1.254
• 將企業內部使用的保留位址轉換為合法位址
隱藏內部主機的真實位址,被免遭受攻擊
可以讓企業內部使用更多的主機
NAT ( Network Address Translation)
轉址運作原理
NAT 1.1.1.1 1.1.2.1
Internet
.1 .5
.5
Http-Server
192.168.1.0
SrcIP DstIP Prot SrcPort DstPort Data
• 防火牆Policy (啓動NAT).
將內部來源IP轉址成FG外部網路介面IP, Fortigate會記錄NAT 轉址表.
將內部來源IP轉址成FG所定義IP pool中的IP, Fortigate會記錄NAT轉址表.
RFC1918: Indicates Private IP Networks.
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
Route 路由運作原理
Route 1.1.1.1 1.1.2.1
Internet
.1 .5
.5
Http-Server
1.1.3.0
SrcIP DstIP Prot SrcPort DstPort Data
• 防火牆policy (不啓動NAT).
FG只檢查路由表,根據路由表將封包送往所指定的位址,而不變動
來源IP或來源埠
Transparent 通透模式運作原理
• 防火牆policy
沒有NAT或路由,FG單純地檢查經過的封包
Authentication
A User object is a instance of an authentication method
Admin account link to a profile defining the users role and VDOM
membership
Tunnel mode
Virtual IP assignment (Similar to PPP)
Uses ActiveX and Java controls
Host security is based only on firewall policies
SSL VPN – Configuration