简介
2025/10/29大约 3 分钟
简介
FortiGate 防火墙从网络层到应用层对网络流量进行全面的安全检查,检查流程由 FortiGate 的安全策略控制,而具体的处理路径取决于设备的硬件结构以及启用的安全检测模式:
- 硬件配置:是否配备 NP6/NP7 等网络处理器,以及 CP8/CP9/CP10 等内容处理器。
- 检测模式:基于流检查或基于代理检查。检查模式基于安全策略,可针对每个安全策略单独配置检查模式,灵活性大幅提升。
本章节主要介绍数据包在运行 FortiOS6.4 及更高版本的 FortiGate 中“入站 → 处理 → 出站”的完整流程。
FortiGate 的三类安全检查
FortiGate 执行的主要安全检测类型:
基于内核的状态检查(Stateful Inspection):是一种由防火墙内核实现的安全机制,它不仅检查单个数据包的内容,还会跟踪整个连接的状态信息,这是 FortiGate 基于会话状态工作的基本原理。
- 当一个连接(如 TCP 或 UDP 通信)开始时,防火墙会在内核中建立一条会话状态表项,记录此会话的关键信息。
- 当后续的报文经过防火墙时,内核会首先查找会话状态表。
- 如果报文属于一个已建立的合法会话,则直接根据会话状态快速放行(或执行相应动作)。
- 如果是一个新的会话请求,或半连接报文(如未匹配任何会话的 TCP ACK 报文),则需要按照安全策略、包头字段、协议行为等进一步检查,决定是否允许建立新连接。
流基于检查(Flow-based Inspection):通过对数据流内容取样(snapshot),并进行模式匹配(pattern matching),实时识别潜在的安全威胁。
基于代理检查(Proxy-based Inspection):通过重构经过 FortiGate 的数据内容,对完整会话内容进行深度安全分析。
安全功能与检查类型关系表
| 安全功能 | 内核(状态检查) | 基于流检查 | 基于代理检查 |
|---|---|---|---|
| 防火墙(Firewall) | 是 | ||
| IPsec VPN | 是 | ||
| 流量整形(Traffic Shaping) | 是 | ||
| 用户认证(User Authentication) | 是 | ||
| 管理流量(Management Traffic) | 是 | ||
| SSL VPN | 是 | ||
| IPS(入侵防御系统) | 是 | ||
| 僵尸网络检查(Botnet Checking) | 是 | ||
| 防病毒(AntiVirus) | 是 | 是 | |
| 应用控制(Application Control) | 是 | ||
| Web 过滤(Web Filtering) | 是 | 是 | |
| DLP(数据泄露防护) | 是 | 是 | |
| 邮件过滤(反垃圾邮件) | 是 | 是 | |
| VoIP 检查(VoIP Inspection) | 是 | ||
| ICAP | 是 |
检查方法特性对比
| 特性 | 状态检查(Stateful) | 基于流检查(Flow) | 基于代理检查(Proxy) |
|---|---|---|---|
| 每会话检查单位 | 每个数据包 | 特定数据包,单遍并行 | 完整内容,顺序执行 |
| 内存、CPU 需求 | 低 | 中 | 高 |
| 威胁防护级别 | 良好(Good) | 更好(Better) | 最佳(Best) |
| 认证支持 | 是 | - | - |
| IPsec/SSL VPN 支持 | 是 | - | - |
| 防病毒防护 | - | 是 | 是 |
| Web 过滤 | - | 是 | 是 |
| DLP 支持 | - | 是 | 是 |
| 应用控制支持 | - | 是 | - |
| IPS 支持 | - | 是 | - |
| 流量延迟 | 轻微(Minor) | 无(No) | 较小(Small) |
| 重构完整内容 | - | 否(No) | 是(Yes) |