Fortinet FortiGate 300, Installation & Configuration Manual

Page: 17 / 282

简介 网络入侵检测系统 （ NIDS ）
FortiGate-300 安装和配置指南
3
您可以使用以 下 选项 灵活 地 配置 FortiGate 安全 策略 :
·控制 所有 进 入和 输 出的网络 流通 ，
·控制加密 的 VPN 流通 ，
·应 用防病毒保护和 WEB 内容过滤，
·阻塞 或 允 许 对 全部 策略 选项的访问，
· 根据 单 个 策略进 行 控制 ，
· 接 受 或 拒绝 出入 单 个 地址 的 流通 ，
·单独 或 成组地控制 标 准 的和用户定 义 的网络服务，
·要 求 用户在获取访问之 前进 行用户认证，
· 包含 了流通控制 用以设置 每 条策略 的访问 优 先 权和 带宽 保证或 带宽 限 制 ，
· 包含日志用以 逐 个 追 记 某 策略下 的网络连接，
· 包含网络 地址转 换 ／ 路由 （ NAT/ 路由）模式 策略 ，
· 包含 混 合 NAT 和路由模式 策略 。
FortiGate 防火墙支持网络 地址转 换 / 路由模式或透明模式。
NAT/ 路由模式
在 NAT/ 路由模式 下 , 您可 创建 NAT 模式和路由模式 策略 。
· NAT 模式 策略通 过网络 地址转 换 对 较 不安全网络中的用户 隐藏较 安全网络中的 地址 。
· 路由模式 策略 在不 执 行 地址转 换 下 接 受 或 拒绝 网络 间 的连接。
透明模式
透明模式提 供了与 NAT 模式 相 同 的基本防火墙保护。从 FortiGate 中接 收 到的 数 据
包根据防火墙 策略 可 被 智 能 地转 发或 阻塞 掉 。 FortiGate 可插入到网络的任何一点 而 不
需 要对 此 网络或其它 相 关 组 件 做 任何的 改 变 。 然 而 ， VPN 及一 些 高 级 防火墙 功 能 只 能在
NAT/ 路由模式 下 使用。
网络入侵检测系统 （ NIDS ）
FortiGate 网络入侵 侦 测系统 (NIDS) 是 一 种实 时网络入侵 探 测 器 ，它能 对 外 界 各
种 可 疑 的网络 活 动 进 行 识别 及 采 取行动。 NIDS 通 过 攻击 特 征 来识别 超 过 1000 种 的 攻
击 。您可以启用或 禁 止 NIDS 对 某 一 类 型的 攻击进 行检测。 还 可以自行 编 写 攻击 特 征 从
而 生 成 用户自定 义 的 攻击 类 型检测。
NIDS 可以防 止探 测、 大 部 分 常见 的 拒绝 服务 攻击 和基于 数 据包的 攻击 。您可以启
用或 禁 用 预 防 攻击 的特 征 ，和定 制攻击 检测的 灵敏度 和其他参 数 。
为通 知 系统管理 员 有 攻击 ， NIDS 将 此 攻击 及一 切 可 疑 流通记 录到 攻击 日志中， 并
根据设置发送报 警 EMAIL 。
Fortinet 可定 期 更新 攻击数 据 库 。您可 下载并 手动安装 攻击数 据 库 。 也 可设置
FortiGate 自动 查询 和 下载 更新的 IDS 数 据 库 。