Fortinet-飞塔应用控制(上网行为管理)及流量控制解决方案白皮书

应用及流量控制白皮书

基本于深度检测的应用监控和管理

互联网经过十几年的高速发展，已经成为人们

工作、生活中不可缺少的一部分。聊天软件、网页

视频、P2P下载、网上炒股、VoIP语音等丰富多彩

的互联网应用给我们带来便利的同时，也带来了很

多问题，如员工上班时间使用与工作无关的应用严

重影响了工作效率、P2P下载让原本有限的带宽资

源更加紧张等，如何对互联网应用进行监视和控

制、如何提高带宽利用率已成为大多数企业急待解

决的问题。目前互联网上的应用很多都在浏览器中

或其它应用程序中运行，很多应用还可以使用多种

端口传输，因此，通过在防火墙上禁止或允许应用

的TCP和UDP端口来控制应用的方法已不再有

效。FortiOS的深度检测功能可以基于包特征识别

应用，阻止有害应用、保障正常应用的同时，还可

以对每个单独的应用进行限速和认证。

FortiOS 的应用控制功能结合基于内容的UTM功能——包括入侵检测、防病毒、信息漏洞防护等，可以为企业提供深层次的、最全面的安全防护。

FortiOS应用控制

传统防火墙只能通过源/目的IP地址、端口识别网络流量，并通过这些属性来对流量进行控制。但如果需要对某种应用产生的流量进行控制，传统的方法则无能为力。每种应用产生的流

量都有其相应的独一无二的特征值，FortiOS应用控制功能可以识别出这些特征值，并通过特

征来定位流量是来自哪种应用。应用控制功能基于入侵保护系统的协议解码器实现，相比入侵

保护功能，应用控制功能界面更友好、功能更丰富。目前，FortiOS的可以识别1000种以上的

应用、服务及协议。

FortiOS应用控制技术可以提供用户网络内各种应用占用网络带宽情况的图形报表。通过

分析可视化图形报表，可对非法的应用进行阻止，对允许通过的应用进行流量限制、病毒检

测、入侵保护或其它可以针对应用开启的UTM功能。应用程序使用排行榜根据当前流量情况实

时展现，除了可显示应用的流量、会话排名外，还可以显示应用流量对应的源、目的IP地址。

应用控制功能不但可以应用于正常流量及FortiGate设备上终结的IPSec及SSL VPN流量，还可以应用在经过FortiGate设备的SSL加密流量，包括HTTPS、POP3S、SMTPS和IMAPS。

应用控制传感器

应用控制功能可以支持创建多个应用控制传感器，每个传感器中都可以加入应用列表，列表中的每个应用都可单独配置为允许、禁止或监视。在防火墙策略中应用不同的应用控制传感器，可对不同的接口或网段启用不同的应用控制策略。

配置应用控制传感器时，可配置过滤器和应用条目。过滤器可以通过应用的分类、应用的厂商、应用的行为及应用的技术类型等条件过滤出需要控制的应用。而应用条目则配置需要控制的指定的某种应用，或在应用中嵌套的应用，如允许使用QQ聊天，但禁止使用QQ传输文件。

每个应用程序传感器还可以指定不包含在应用列表中的其它应用的处理方式。如果不包含在列表中的应用被禁止，则只有列表中应用才可以通过，即创建了应用程序白名单。默认方式为允许不包含在列表中的应用允许通过，即创建了应用程序黑名单。对网络安全要求很高的网络可以采取白名单的方式控制应用，一般网络中可以使用黑名单方式。

可控制的应用程序

FortiOS可识别的应用程序分为19大类，超过1000种应用。通过FortiGuard升级中心的自动升级服务，可识别的应用还在不断增加中。

FortiOS应用分类包括：

支持的部分国内常见应用：

硬件加速应用检测

FortiASIC是构建Fortinet独有硬件平台的基础。FortiASIC处理器是针对实际应用开发的系列产品，它们或能够达到高速的网络处理性能，或采用了智能的扫描引擎，能够对安全应用、内容层处理进行加速，降低对CPU等系统资源的占用。FortiASIC技术涵盖与FortiOS这样的经过安全加固的操作系统集成，以达到高速处理和完善的安全体系。IPS采用采用了最新的FortiASIC网络处理器(NP)、内容层处理器(CP)和多核处理器进行加速。FortiASIC-NP4采用在线模式工作，直接处理数据包，对数据包负载均衡到FortiGate-XG2实现IPS加速处理。其特点如下：

接近线速处理任意大小的数据包

应用特征值加载到XG2加速卡，降低主CPU负担

专业的DDoS

升级不间断设备工作

内容处理器是经过定制的处理器，可以用来实现将已知的应用特征库与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件（包括压缩文件）等。内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。内容处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受CPU的指令，处理内容，寻找威胁。

内容处理器能够加速应用特征的检测，因为应用控制功能需要将数据内容与库文件进行比对。有些人有误解，以为ASIC是“静态”安全检测，不能检测新的威胁。但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级攻击特征就变得非常容易，攻击特征可以像软件一样进行升级。

FortiGuard实时更新应用控制数据库

FortiOS应用控制可以检测超过1000种不同的

Web应用、软件程序、网络服务及通讯协议，

FortiOS对这些应用的识别，是通过FortiGuard应用

控制数据库实现的。FortiGuard应用数据库是业界

最大的应用数据库其中之一，可以通过不断的更新

识别新的应用和现在应用的新版本。应用数据库从

FortiGuard分布式网络中更新，方式包括按需、定

时、推送式更新。

在FortiGuard网站上，有完整的支持应用程序列表及每个应用的详细信息。FortiGuard应用控制站点有用户最多检测的前10名应用程序排行榜，用户可以通过应用控制申请表申请新应用的签名或升级某个现有的签名。

带宽管理技术

在缺乏有效管理的情况下，有限的带宽将被滥用。而带宽管理，则是针对有限的带宽，规

范适当的限制或规则，以满足不同类型带宽使用者的需求。

令牌桶原理

令牌桶算法是网络流量整形和速率限制中的算法。典型情况下，令牌桶算法用来控制发送

到网络上的数据的数目，并允许突发数据的发送。令牌桶算法工作原理如下：

如果把流量与桶相关联，最大突发流量即是桶的最大容量，即配置的最大带宽。

令牌指可用的带宽。令牌以固定速率不断的加入到桶中，当到达桶容量上限时，超出的令牌被丢弃。

每个令牌允许源发送一定数量的数据。每发送一个包，流量调节器就要从桶中删除与包大小相等的令牌数。

如果没有足够的令牌，数据包会等待有足够的令牌或被丢弃。

最大的突发数据量等于桶的容量，而实际流量根据当前桶内的令牌数量而不断变化。令牌

以固定速率生成，数据包不断从桶中消耗令牌，因此，实际流量可能会小于桶的容量。实际应

用中，突发值不是一个恒定值，而是在不断变化。