Fortinet-飞塔应用控制(上网行为管理)及流量控制解决方案白皮书

admin管理员组

文章数量:1530926

2023年12月14日发(作者：)

应用及流量控制 Fortinet白皮书

应用及流量控制白皮书

FortiOS 高级内容层检测技术提供了深度协议识别能力和基于自定义策略、单IP地址、协议类等多重因子的流量均衡和控制能力，结合应用会话控制的管理，提供了统一多维的带宽优化解决方案。

基本于深度检测的应用监控和管理

互联网经过十几年的高速发展，已经成为人们工作、生活中不可缺少的一部分。聊天软件、网页视频、P2P下载、网上炒股、VoIP语音等丰富多彩的互联网应用给我们带来便利的同时，也带来了很多问题，如员工上班时间使用与工作无关的应用严重影响了工作效率、P2P下载让原本有限的带宽资源更加紧张等，如何对互联网应用进行监视和控制、如何提高带宽利用率已成为大多数企业急待解决的问题。目前互联网上的应用很多都在浏览器中或其它应用程序中运行，很多应用还可以使用多种端口传输，因此，通过在防火墙上禁止或允许应用的TCP和UDP端口来控制应用的方法已不再有效。FortiOS的深度检测功能可以基于包特征识别应用，阻止有害应用、保障正常应用的同时，还可以对每个单独的应用进行限速和认证。

FortiOS 的应用控制功能结合基于内容的UTM功能——包括入侵检测、防病毒、信息漏洞防护等，可以为企业提供深层次的、最全面的安全防护。

FortiOS应用控制

传统防火墙只能通过源/目的IP地址、端口识别网络流量，并通过这些属性来对流量进行控制。但如果需要对某种应用产生的流量进行控制，传统的方法则无能为力。每种应用产生的流量都有其相应的独一无二的特征值，FortiOS应用控制功能可以识别出这些特征值，并通过特征来定位流量是来自哪种应用。应用控制功能基于入侵保护系统的协议解码器实现，相比入侵保护功能，应用控制功能界面更友好、功能更丰富。目前，FortiOS的可以识别1000种以上的应用、服务及协议。

FortiOS应用控制技术可以提供用户网络内各种应用占用网络带宽情况的图形报表。通过分析可视化图形报表，可对非法的应用进行阻止，对允许通过的应用进行流量限制、病毒检测、入侵保护或其它可以针对应用开启的UTM功能。应用程序使用排行榜根据当前流量情况实

应用及流量控制 Fortinet白皮书

时展现，除了可显示应用的流量、会话排名外，还可以显示应用流量对应的源、目的IP地址。

应用控制功能不但可以应用于正常流量及FortiGate设备上终结的IPSec及SSL VPN流量，还可以应用在经过FortiGate设备的SSL加密流量，包括HTTPS、POP3S、SMTPS和IMAPS。

应用控制传感器

应用控制功能可以支持创建多个应用控制传感器，每个传感器中都可以加入应用列表，列表中的每个应用都可单独配置为允许、禁止或监视。在防火墙策略中应用不同的应用控制传感器，可对不同的接口或网段启用不同的应用控制策略。

配置应用控制传感器时，可配置过滤器和应用条目。过滤器可以通过应用的分类、应用的厂商、应用的行为及应用的技术类型等条件过滤出需要控制的应用。而应用条目则配置需要控制的指定的某种应用，或在应用中嵌套的应用，如允许使用QQ聊天，但禁止使用QQ传输文件。

应用及流量控制 Fortinet白皮书

每个应用程序传感器还可以指定不包含在应用列表中的其它应用的处理方式。如果不包含在列表中的应用被禁止，则只有列表中应用才可以通过，即创建了应用程序白名单。默认方式为允许不包含在列表中的应用允许通过，即创建了应用程序黑名单。对网络安全要求很高的网络可以采取白名单的方式控制应用，一般网络中可以使用黑名单方式。

可控制的应用程序

FortiOS可识别的应用程序分为19大类，超过1000种应用。通过FortiGuard升级中心的自动升级服务，可识别的应用还在不断增加中。

FortiOS应用分类包括：

IM(即时通讯)

多媒体

协议命令

VoIP

P2P

文件传输

代理

Web

僵尸网络

游戏

远程访问

Web-mail

数据库

IP协议

工具条

备份

商用

网络服务

程序升级

支持的部分国内常见应用：

分类

商用

分析家

海王星

应用名称

国泰君安

证券之星

钱龙

未来趋势

赤壁

中国游戏中心

天游

浩方对战平台

游戏

游戏茶苑

新浪游戏

新浪UT

搜狐游戏

星际争霸

天龙八部

VS对战平台

魔兽争霸

魔兽世界

MSN

网易泡泡

QQ

QQ直播

新浪Web电视

新浪网络电视

Skype

迅雷

脱兔

QQ视频

RealPlayer

新浪视频

PPStream

泡泡游戏

QQ对战平台

QQ游戏

QQ飞车

劲舞团

巨人

魔域

MSN游戏

联众游戏

百度Hi

热血江湖

梦幻西游

远航游戏中心

征途

诛仙

新浪UC

搜狐搜Q

阿里旺旺

PP点点通

QQ超级旋风

Verycd网站

迅雷看看

POCO

TVUPlayer

搜狐电视

土豆

电视蚂蚁

优酷

IM

飞信

Google Talk

百宝

百度下吧

BT

电驴

FastTV网络电视

沸点网络电视

六间房

CCTV BoX

酷6

Mofile在线视频

P2P

多媒体

应用及流量控制 Fortinet白皮书

硬件加速应用检测

FortiASIC是构建Fortinet独有硬件平台的基础。FortiASIC处理器是针对实际应用开发的系列产品，它们或能够达到高速的网络处理性能，或采用了智能的扫描引擎，能够对安全应用、内容层处理进行加速，降低对CPU等系统资源的占用。FortiASIC技术涵盖与FortiOS这样的经过安全加固的操作系统集成，以达到高速处理和完善的安全体系。IPS采用采用了最新的FortiASIC网络处理器(NP)、内容层处理器(CP)和多核处理器进行加速。FortiASIC-NP4采用在线模式工作，直接处理数据包，对数据包负载均衡到FortiGate-XG2实现IPS加速处理。其特点如下：

 接近线速处理任意大小的数据包

 应用特征值加载到XG2加速卡，降低主CPU负担

 专业的DDoS

 升级不间断设备工作

内容处理器是经过定制的处理器，可以用来实现将已知的应用特征库与内存中待检测对象进行匹配。内存中的待检测对象可以是数据包、文件（包括压缩文件）等。内容处理器专门进行协议识别和解析，可以快速重组数据包，扫描发现可疑的内容。内容处理器并不直接接收数据，它不串接在网络接口后面，而是通过接受CPU的指令，处理内容，寻找威胁。

内容处理器能够加速应用特征的检测，因为应用控制功能需要将数据内容与库文件进行比对。有些人有误解，以为ASIC是“静态”安全检测，不能检测新的威胁。但是实际上，固化的部分是扫描逻辑结构，而非特征值，对新的安全威胁可以通过升级特征库来解决，这样升级攻击特征就变得非常容易，攻击特征可以像软件一样进行升级。

应用及流量控制 Fortinet白皮书

FortiGuard实时更新应用控制数据库

FortiOS应用控制可以检测超过1000种不同的Web应用、软件程序、网络服务及通讯协议，FortiOS对这些应用的识别，是通过FortiGuard应用控制数据库实现的。FortiGuard应用数据库是业界最大的应用数据库其中之一，可以通过不断的更新识别新的应用和现在应用的新版本。应用数据库从FortiGuard分布式网络中更新，方式包括按需、定时、推送式更新。

在FortiGuard网站上，有完整的支持应用程序列表及每个应用的详细信息。FortiGuard应用控制站点有用户最多检测的前10名应用程序排行榜，用户可以通过应用控制申请表申请新应用的签名或升级某个现有的签名。

带宽管理技术

在缺乏有效管理的情况下，有限的带宽将被滥用。而带宽管理，则是针对有限的带宽，规范适当的限制或规则，以满足不同类型带宽使用者的需求。

令牌桶原理

令牌桶算法是网络流量整形和速率限制中的算法。典型情况下，令牌桶算法用来控制发送到网络上的数据的数目，并允许突发数据的发送。令牌桶算法工作原理如下：

 如果把流量与桶相关联，最大突发流量即是桶的最大容量，即配置的最大带宽。

 令牌指可用的带宽。令牌以固定速率不断的加入到桶中，当到达桶容量上限时，超出的令牌被丢弃。

 每个令牌允许源发送一定数量的数据。每发送一个包，流量调节器就要从桶中删除与包大小相等的令牌数。

 如果没有足够的令牌，数据包会等待有足够的令牌或被丢弃。

最大的突发数据量等于桶的容量，而实际流量根据当前桶内的令牌数量而不断变化。令牌以固定速率生成，数据包不断从桶中消耗令牌，因此，实际流量可能会小于桶的容量。实际应用中，突发值不是一个恒定值，而是在不断变化。

应用及流量控制 Fortinet白皮书

相关术语

 QoS

QoS（Quality of Service）服务质量，是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。

 ToS

Type of service (TOS)服务类型，是在IP头内一个8字节的区域，通过延迟、优先级、可靠性和最小代价来决定哪些IP报文应该被优先传输。路由器对路由表中的每一条路由都维护一个TOS值。TOS值最低优先级是0，最高是7。路由器尝试把报文的TOS与路由的TOS相匹配，如果没有匹配的TOS，报文会被发送到值为0的TOS路由。

 DSCP

Differentiated Services差分服务，是描述端到端QoS的功能。传统的Internet网络提供是“尽力而为”服务，IP层无法保证业务的QoS要求，端到端QoS保障要通过传输控制协议(TCP)层来实现。差分服务代码点(DSCP)是在一个IP分组中的域，其使不同水平的服务分配到不同的网络通信中。DSCP在每个数据包IP头部的服务类别TOS标识字节中，利用已使用的6比特和未使用的2比特字节，通过编码值来区分优先级。通过键入DSCP值，电话、Windows客户和服务器等终端设备也可对流量进行标识。

FortiOS带宽管理技术

FortiGate可通过以下技术对H.323、TCP、UDP、ICMP、ESP等服务实现QoS，

入口流量限制——丢弃不符合带宽限制的数据包

流量整形——确保流量至少占用指定的保证流量速率范围，或确保流量不能超过给定的宽带最大值。超过最大速率限制的流量将由流量策略进行控制。

队列——对物理接口的数据包，按指定优先级队列进行传输。在低优先队列中的流量被传输前，高优先级流量要先传输完成。

DSCP——定义DSCP值，修改该IP地址段或服务的QoS转发模式。

应用及流量控制 Fortinet白皮书



入口流量策略

流量到达某接口时，FortiGate开始处理流量。当流量很高时，防火墙策略需要根据优先级进行数据包丢弃，接着还需要处理数据包应用层过滤等，浪费了大量系统资源。为了避免这种浪费，可在FortiGate上配置数据包在源接口上直接丢弃，不需要进行防火墙策略处理。

 带宽保证、限制及优先级

流量整形包括流量策略强制带宽限制及优先级队列调节。如果配置了优先级，FortiGate对流出的数据包进行优先级分类，根据优先级把数据包分配置在FIFO队列中。每个物理接口有6个优先级队列。

每个物理接口的6个队列是从队列0到队列5，0是最高级别队列。

 管理访问流量一直使用队列0

 没有匹配防火墙策略流量整形的流量可能会使用队列0、1、2。使用哪个队列依赖于数据包配置的ToS byte值。

 匹配防火墙策略流量整形的流量可能使用任意队列。使用哪个队列依赖于是否数据包流量低于保证带宽(队列0)，或高于保证带宽(队列1到5，依赖于防火墙策略流量优先级值与匹配Tos Byte优先级的总合)。数据包速率超过最大宽带限制将被丢弃。

应用及流量控制 Fortinet白皮书

 DSCP

FortiOS可以改变策略中允许通过的数据包的DSCP值。网络中的其它设备可以用标记的DSCP值实现分类、标记、整形及智能队列。FortiGate可以对进、出双向流量配置不同的DSCP。

FortiOS带宽管理实现方式

FortiOS支持对可识别的应用进行流量控制，有效的缓解了有害应用对企业带宽的占用。但互联网上的应用成千上万，不可能确保每种应用都能被识别，因此基于应用的带宽管理有也一定的局限性。在企业中，要实现有效的带宽管理，需要通过多种方法实现。

FortiOS支持三种类型的流量管理方式：

 共享流量整形——基于安全策略的带宽管理

 每IP流量整形——基于每个用户IP地址的带宽管理

 应用流量整形——基于应用的带宽管理

应用及流量控制 Fortinet白皮书

当三种流量整形方式在同一条安全策略中同时启用时，这三种方式将同时生效，它们的优先级从高到低的次序为应用流量整形→共享流量整形→每IP流量整形。

FortiOS可以对每IP的带宽使用情况进行统计，并给出图形报表。通过每IP带宽使用报表，结合应用程序使用排行报表，可以让用户方便的定义适合自身业务要求的带宽管理策略。

FortiOS会话控制

FortiOS能对网络当中的异常流量进行处理，例如对特定源或目的的会话进行限制。会话控制功能支持TCP/UDP /ICMP协议，防止各种蠕虫病毒、DoS攻击、P2P应用及其它一切可能产生大量垃圾会话，消耗系统资源和网络带宽的行为。比如可以对某网段所有用户的源TCP和UDP会话限制为100，则该网段用户即使使用P2P或感染了蠕虫病毒，最多也只能同时对外发出100个会话，不会对网络造成严重危害。

应用及流量控制 Fortinet白皮书

FortiOS可以提供用户会话排行榜图形报表功能， 通过会话排行榜，可以方便直观的对网络内当前会话情况进行监控。当某用户因感染蠕虫产生大量会话，造成网络通讯异常时，会话排行榜可以快速定位故障源头，方便即时排除故障。

本文标签： 应用流量控制进行带宽