1、议程教育安全解决方案(1)防御多种安全威胁教育安全解决方案(2)高性能及高可靠性教育安全解决方案(3)有效的管理Fortinet公司介绍12341感谢你的观看2019年9月11高校A校园网安全现状学生进行学生进行Internet访问时带入大量病毒、木马、蠕虫、间谍软件访问时带入大量病毒、木马、蠕虫、间谍软件(通过浏览网页、(通过浏览网页、Email、聊天、下载等多种方式)、聊天、下载等多种方式)大量蠕虫病毒在校园网各区域之间泛滥,形成大量蠕虫病毒在校园网各区域之间泛滥,形成DDoS攻击,导致攻击,导致网络拥塞,主机性能低下网络拥塞,主机性能低下校园网内服务器面临各种网络攻击和入侵校园网内服务器
2、面临各种网络攻击和入侵学生访问学生访问Internet上的不良内容(如反动、色情的内容等)上的不良内容(如反动、色情的内容等)垃圾邮件降低效率,占用网络资源垃圾邮件降低效率,占用网络资源2感谢你的观看2019年9月11防火墙无法实现多层次安全防御 http:/ Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation,n liberty,and dedicated to the proposition that all 包头(源,目的,数据类型等)包负载(内容)数据包 O
3、K OK OK不扫描 OK状态检测防火墙只检查包头只检查包头 就好像只检查就好像只检查信封,而不看信里的内容信封,而不看信里的内容传统防火墙弱点如下:传统防火墙弱点如下:没有深度包检测来发现恶意代码每包的转发方式,不能进行包重组恶意程序可以通过信任端口建立隧道穿过去传统的部署方法仅仅是网络边缘,不能防御内部攻击3感谢你的观看2019年9月11完全内容检测机制完全内容检测1.重新组装数据包重新组装数据包Four score and seven years ago our forefathers brought forth upon this BAD CONTENT a new liberty,a
4、nd dedicated to the proposition that all !BAD CONTENTBAD CONTENTNASTY THINGSNASTIER THINGS不良内容病毒/攻击特征 http:/ Four score and BAD CONTENT our forefathers brou ght forth upon this continent a new nation,n liberty,and dedicated to the proposition that all 2.完整比较攻击特征库和蠕虫样本库完整比较攻击特征库和蠕虫样本库4感谢你的观看2019年9月11
5、多产品方案的局限性真实的缺点需要部署不能相互通讯的多种产品提高了网络的复杂性和操作成本不是最佳的安全部署方法假设的优势假设的优势全面的安全对个人攻击能够迅速地反应5感谢你的观看2019年9月11Fortinet的解决之道Fortinet优势全面的安全最大化地减少了攻击导致的宕机时间减少了厂商和设备的数量简化了安全管理相应的安全报警、日志和报表提高检测能力6感谢你的观看2019年9月11FortiGate在高校A的部署7感谢你的观看2019年9月11防火墙-安全区域之间的访问控制8感谢你的观看2019年9月11IPS与防病毒的结合通过IPS方式阻挡蠕虫病毒在校园网内的传播,保护骨干网的安全9感谢
6、你的观看2019年9月11在Internet出口过滤不良网页内容FortiGuard动态过滤 76个类别 超过2850万个网站 数十亿个网页 实时更新数据库URL过滤 黑白名单关键字过滤 支持多种语言安全过滤 ActiveX Java Applet Cookies10感谢你的观看2019年9月11反垃圾邮件使用使用FortiGate或或FortiMail保护邮件服务器、过滤垃圾邮件保护邮件服务器、过滤垃圾邮件降低感染病毒及网络欺诈的风险减少带宽占用、降低服务器负载提高学习工作效率防止学校公网IP被其它邮件服务商列入黑名单11感谢你的观看2019年9月11各项UTM功能均实时更新特征库Sourc
7、e:FortiGuard Subscription ServiceWeb 内容过滤内容过滤76个以上有害或危险的类别个以上有害或危险的类别 业界最佳的精度和覆盖率业界最佳的精度和覆盖率!反垃圾邮件反垃圾邮件 超过超过97.4%的垃圾邮件捕获率的垃圾邮件捕获率 低于低于0.18%的误报率的误报率SLA 响应时间响应时间 2 hrs.24x7 全球威胁响应实验室全球威胁响应实验室防病毒防病毒 (包括防间谍软件包括防间谍软件)入侵防御系统入侵防御系统(IPS)edonkeybit_torrentgnutellaMicrosoft.IE.CreateTextRange.Remote.Code.Exec
8、utionoverlong_uri Slammer MS.Windows.ASN.1.Bitstring.Heap.Overflow.HTTP.BMS.Exchange.XLINK2STATE.CHUNK.OverflowCyberKit.2.2 Apache.CGI.Byterange.Request.DoS12感谢你的观看2019年9月11高校A部署FortiGate产品的效果病毒数量大幅度减少,校园网因病毒泛滥而陷入瘫痪的情况不病毒数量大幅度减少,校园网因病毒泛滥而陷入瘫痪的情况不再发生。再发生。校园网各区域(骨干网、网络中心、各院系、图书馆、学生宿校园网各区域(骨干网、网络中心、各院系
9、、图书馆、学生宿舍等)之间通过防火墙、防病毒、舍等)之间通过防火墙、防病毒、IPS等功能实现了有效隔离,等功能实现了有效隔离,某个学院或宿舍楼的病毒或攻击不会扩散到校园网的其它区域。某个学院或宿舍楼的病毒或攻击不会扩散到校园网的其它区域。服务器被内外网入侵的危险性降至最低限度。服务器被内外网入侵的危险性降至最低限度。学生无法访问不被允许的网站。学生无法访问不被允许的网站。垃圾邮件数量减少了垃圾邮件数量减少了95%以上,邮件服务器的负载得以减轻。以上,邮件服务器的负载得以减轻。防病毒、防病毒、IPS、Web过滤、反垃圾邮件功能自动在线更新,新的过滤、反垃圾邮件功能自动在线更新,新的安全威胁在第一
10、时间即可防御。安全威胁在第一时间即可防御。13感谢你的观看2019年9月11议程教育安全解决方案(1)防御多种安全威胁教育安全解决方案(2)高性能及高可靠性教育安全解决方案(3)有效的管理Fortinet公司介绍123414感谢你的观看2019年9月11高校B网络现状及需求高校高校B拥有教职工、学生共数万人,且是数十所高校的拥有教职工、学生共数万人,且是数十所高校的CERNET接入节点,粗略估计有接入节点,粗略估计有30万以上用户使用高校万以上用户使用高校B的的CERNET出口。出口。根据网管软件的监控结果,出口实时网络进出流量超过根据网管软件的监控结果,出口实时网络进出流量超过2Gbps,并
11、发会话数超过并发会话数超过100万。万。之前使用的防火墙不堪重负,对于网络访问产生较高延迟,影之前使用的防火墙不堪重负,对于网络访问产生较高延迟,影响了网络服务质量。丢包现象也时有发生,严重时还会导致网响了网络服务质量。丢包现象也时有发生,严重时还会导致网络中断。络中断。由于高校由于高校B网络出口的重要性,因此对网关防火墙的可靠性要求网络出口的重要性,因此对网关防火墙的可靠性要求也非常高。也非常高。15感谢你的观看2019年9月11FortiGate在高校B的部署16感谢你的观看2019年9月11独特的双ASIC芯片加速FortiASIC-CP(内容处理器内容处理器)特征匹配防病毒IPS内容过
12、滤 加密解密VPN协商密钥维护FortiASIC-NP(网络处理器网络处理器)高速包转发线速防火墙IPSec VPNNAT防DoS攻击流量整形17感谢你的观看2019年9月11部分产品性能测试结果-吞吐量NAT模式,模式,UDP防火墙双向吞吐量(单位:防火墙双向吞吐量(单位:Mbps)型号型号 接口接口 645121518FGT-310B Port1-Port2 2000.00 2000.00 2000.00 FGT-3016B-FB4 Ports amc-sw1/1-amc-sw1/2 2000.00 2000.00 2000.00 FGT-3600A-FB4 Ports amc-sw1/1
13、-amc-sw1/2 2000.00 2000.00 2000.00 FGT-3810A-FB4 Ports amc-sw1/1-amc-sw1/2 2000.00 2000.00 2000.00 FGT-5001A-FB8 amc-dw1/1-amc-dw1/22000.00 2000.00 2000.00 18感谢你的观看2019年9月11高校B部署FortiGate产品的效果FortiGate 3000及及5000系列在高达数系列在高达数Gbps的网络流量,百万级的网络流量,百万级并发会话的情况下,仍能实现各种大小包的线速转发,网络延并发会话的情况下,仍能实现各种大小包的线速转发,网络延
14、迟保持在微秒级别。防火墙不再成为高校迟保持在微秒级别。防火墙不再成为高校B CERNET出口的性出口的性能瓶颈。能瓶颈。FortiGate自身的可靠性设计(专用自身的可靠性设计(专用ASIC、NP芯片及专用安全芯片及专用安全操作系统,冗余电源风扇),配合优秀的操作系统,冗余电源风扇),配合优秀的HA保护机制,为高校保护机制,为高校B的网络运行提供的网络运行提供36524的全天候保障。部署的全天候保障。部署3年多以来,设备年多以来,设备一直稳定运行,从未发生网络中断故障。一直稳定运行,从未发生网络中断故障。19感谢你的观看2019年9月11议程教育安全解决方案(1)防御多种安全威胁教育安全解决方
15、案(2)高性能及高可靠性教育安全解决方案(3)有效的管理Fortinet公司介绍123420感谢你的观看2019年9月11高校C网络现状及需求高校高校C具有一万多在校学生,加上教职工及家属,学院网络用户具有一万多在校学生,加上教职工及家属,学院网络用户总数上万人。总数上万人。学校共有学校共有3个网络出口:电信、网通、教育网出口。其中教育网个网络出口:电信、网通、教育网出口。其中教育网出口的国际流量是按流量大小计费的,所以对教育网的国际流出口的国际流量是按流量大小计费的,所以对教育网的国际流量很敏感,要求出国流量全部走电信或网通出口。同时要求电量很敏感,要求出国流量全部走电信或网通出口。同时要求
16、电信及网通出口进行流量优化,实现链路冗余及负载分担。信及网通出口进行流量优化,实现链路冗余及负载分担。流量的管理:校园网用户数量众多,应用五花八门,流量组成流量的管理:校园网用户数量众多,应用五花八门,流量组成很复杂,下载和很复杂,下载和P2P(BT、电驴等)、电驴等)、P2SP(迅雷等)类的流(迅雷等)类的流量占据了大部分的带宽,需要实现对带宽的控制。量占据了大部分的带宽,需要实现对带宽的控制。该学校是一个管理相对松散的机构,网络中心对各院系部门没该学校是一个管理相对松散的机构,网络中心对各院系部门没有很强的约束力,只能对各种非正常访问和网络滥用进行记录有很强的约束力,只能对各种非正常访问和
17、网络滥用进行记录分析,呈交给上级主管部门。因此要求能对网络故障、异常要分析,呈交给上级主管部门。因此要求能对网络故障、异常要能迅速定位并形成可读性强的报表。能迅速定位并形成可读性强的报表。21感谢你的观看2019年9月11Fortinet产品在高校C的应用22感谢你的观看2019年9月11多链路管理利用静态路由实现分流,访问教育网内资源时使用教育网链路,访问其利用静态路由实现分流,访问教育网内资源时使用教育网链路,访问其它国内及所有国外资源使用电信或网通出口。它国内及所有国外资源使用电信或网通出口。可以通过静态路由、策略路由、等值路由等多种方式实现电信和网通出可以通过静态路由、策略路由、等值路
18、由等多种方式实现电信和网通出口的链路负载分担,实现带宽最优化分配。口的链路负载分担,实现带宽最优化分配。利用端口检测、利用端口检测、ping服务器检测等方式探测链路健康状况,如果电信、服务器检测等方式探测链路健康状况,如果电信、网通中的任意一个出口发生故障,都可以自动迅速将流量切换到另一条网通中的任意一个出口发生故障,都可以自动迅速将流量切换到另一条链路。出于费用角度考虑,教育网链路不参与出口冗余设计。链路。出于费用角度考虑,教育网链路不参与出口冗余设计。注:注:FortiGate还支持还支持RIP、OSPF、BGP等动态路由协议,并支持等动态路由协议,并支持IPv6网络,可以很好的网络,可以
19、很好的融入各种各种校园网环境。融入各种各种校园网环境。23感谢你的观看2019年9月11带宽管理虽然高校虽然高校C的出口资源比较丰富(的出口资源比较丰富(3个个Internet出口,总出口带宽超出口,总出口带宽超过过1G),但由于上网人数众多,因此网络资源仍然比较紧张。需要),但由于上网人数众多,因此网络资源仍然比较紧张。需要进行优化管理。进行优化管理。首先,利用首先,利用FortiGate的的P2P管理及管理及IPS功能,对公共上网区(如各功能,对公共上网区(如各教学楼、图书馆等)禁用教学楼、图书馆等)禁用P2P、迅雷等下载工具,保证网络访问速、迅雷等下载工具,保证网络访问速度。度。24感谢
20、你的观看2019年9月11带宽管理宿舍楼、家属楼内用户均为付费用户,不能简单的禁止所有宿舍楼、家属楼内用户均为付费用户,不能简单的禁止所有P2P、P2SP等下载行为,因此采用带宽限制、会话数限制等方式降低等下载行为,因此采用带宽限制、会话数限制等方式降低P2P、P2SP等行为对网络资源的占用。等行为对网络资源的占用。25感谢你的观看2019年9月11异常行为管理及网络监控利用利用FortiGate的会话管理功能,可以很容易的掌握全网的会话的会话管理功能,可以很容易的掌握全网的会话情况,并可列出实时情况,并可列出实时IP地址会话排名,帮助及时发现网络中的异地址会话排名,帮助及时发现网络中的异常(
21、如蠕虫病毒、常(如蠕虫病毒、DoS攻击、超常的攻击、超常的P2P行为等)。行为等)。并可直接中止会话。并可直接中止会话。26感谢你的观看2019年9月11用户管理及访问记录教师、学生等上网均需要进行身份认证,教师、学生等上网均需要进行身份认证,FortiGate支持支持Radius、LDAP、Windows AD、TACACS+等多种认证协议,直接使用等多种认证协议,直接使用高校高校C原有的原有的LDAP认证服务器,无需重新建立用户数据库。认证服务器,无需重新建立用户数据库。使用使用FortiAnalyzer日志审计设备,将病毒、入侵、不良内容、垃日志审计设备,将病毒、入侵、不良内容、垃圾邮件
22、、圾邮件、P2P下载等行为进行记录,并保留足够长的时间(如下载等行为进行记录,并保留足够长的时间(如2个月)。用户访问行为也可进行记录,并将个月)。用户访问行为也可进行记录,并将IP地址与用户名、用地址与用户名、用户组相对应。户组相对应。27感谢你的观看2019年9月11网络访问报表利用利用FortiAnalyzer记录日志,并产生各种报表(超过记录日志,并产生各种报表(超过300种),直观种),直观反映网络中的各种事件。如反映网络中的各种事件。如 协议分布 流量排名 病毒、攻击、不良内容、垃圾邮件统计等28感谢你的观看2019年9月11议程教育安全解决方案(1)防御多种安全威胁教育安全解决方
23、案(2)高性能及高可靠性教育安全解决方案(3)有效的管理Fortinet公司介绍123429感谢你的观看2019年9月11Fortinet公司概况第一个基于第一个基于ASIC技术的多层安全平台提供者技术的多层安全平台提供者专业网络安全厂商专业网络安全厂商1000+名员工/500+名技术人员超过300,000台FortiGate设备在全球使用2000年成立最大的私营安全公司全球化的公司(U.S.,EMEA&Asia Pac)大量的认证大量的认证7项ICSA认证(全球唯一)政府认证(FIPS-2,Common Criteria EAL4+)50+行业认证VB 100 和 NSS认证30感谢你的观看
24、2019年9月11“Fortinet 引导着引导着UTM技术的发展方向技术的发展方向”“Fortinet UTM 产品系列在全球占有率第一产品系列在全球占有率第一”全球全球UTM销量冠军销量冠军31感谢你的观看2019年9月11Fortinet国内教育行业用户北京大学北京大学清华大学清华大学北京师范大学北京师范大学北京科技大学北京科技大学西安交通大学西安交通大学国防大学国防大学南京航空航天大学南京航空航天大学中山大学中山大学华南师范大学华南师范大学广州外国语大学广州外国语大学上海外国语大学上海外国语大学惠州大学北京信息工程学院河北经贸大学华北工学院新疆大学天津工业大学广西财经学院天津北方教育网教育部科技发展中心厦门市教育局32感谢你的观看2019年9月11谢谢!33感谢你的观看2019年9月1134感谢你的观看2019年9月11