1、Fortinet整体安全解决方案Fortinet公司简介多重创新的优势安全平台 FortiGuard:业界领先的安全威胁研究 FortiOS:整合的“网络+安全”操作系统 FortiASIC:定制的专用ASIC芯片架构 行业领先的技术能力:194项专利(另有156项审核中)2000年成立,2009年在纳斯达克上市。总部:美国硅谷Sunnyvale 员工数:2800+持续高速增长,扩大市场份额强大的现金流和盈利$13M$770M$16M$1B现金销售收入2003201420032014全球性专业安全公司 客户数量:21.8万+设备使用量:180万+全球分支机构:80+Fortinet概况Gart
2、nerUTM魔力象限图Gartner 企业防火墙魔力象限图网络安全领导厂商极高的行业认可度认证NSS-Firewall NGFW推荐推荐推荐&一般警告警告xNSS-Firewall DC推荐xxxxxNSS-Breach Detection推荐x推荐xx警告NSS-IPS(DC)xx警告xNSS-IPS(Enterprise)x推荐x警告xNSS-WAF推荐xxxxxBreakingPoint Resiliency高评分-95xx差-53xxICSA FirewallxxICSA IPSxxxxICSA AntivirusxxxxxICSA WAFxxxxxVB 100警告xxxxAV Com
3、parativexxxxxCommon CriteriaFIPSContains results from the latest published NSS Labs reports as of Sept.30 2014 X=did not participate,not certified40%高端35%低端25%中端全球客户的选择排名 公司市场占有率(%)1Cisco/SourceFire17.52Check Point12.83 7.14Palo Alto Networks 6.75Juniper 6.0 市场规模$9 Bil.国内用户(1)运营商中国移动中国联通中国电信华数集团江苏广电
4、湖北广电深圳广电辽宁广电金融中国建设银行中国民生银行北京银行中国人保天安保险中信集团海通证券招商证券国内用户(2)能源中国石化中国石油国电南方公司三峡集团湖南石化长庆油田重庆电力湖北电力山西电力四川电力 企业 中国国际航空公司 中国远洋集团 海尔 TCL 腾讯网 新浪网 携程 唯品会 三峡集团 首都机场国内用户(3)零售及商业机构 华联超市 苏宁电器 国美电器 家乐福 百胜集团 迪卡侬 雅诗兰黛 中原地产 教育北京大学清华大学北京师范大学北京科技大学国防大学南京航空航天大学中山大学应用服务器Web服务器数据库服务器邮件服务器FortiDBFortiWebFortiDDoSFortiMailFo
5、rtiADC/Coyote PointFortiSwitchFortiAPFortiGateFortiWiFiFortiClientFortiSandBoxFortiAuthenticator FortiSIEM FortiManagerFortiDNSFortiTokenFortiExtenderFortiDirectorFortiCloudFortiRecorderFortiCamFortiVoice/FortiGateVoiceFortifone0day防御用户认证日志分析集中管理拨号VPN3G/4G WANWiFi安全WiFi安全安防监控IP PBXWeb应用防火墙服务器负载邮件安全安
6、全网关FortiCache终端安全强认证数据中心安全管理中心总部移动办公分支机构全局负载安全管理云AscenlinkLAN-LAN VPN链路负载DNS安全安全缓存安全交换L3-L7 D/DOS数据库安全从云到端的完整安全体系Fortinet核心竞争力快速、安全、全局Fortinet核心竞争力 加速您的业务 快速 自主研发的ASIC芯片,性能高达同类产品的5 10倍 安全不再是瓶颈 信息快速流动,客户满意度提升 保护您的业务 安全 全球安全研发团队+完整的自有安全技术 =快速、整体的安全响应 第三方独立机构验证结果证明了我们拥有极高的安全效能,足以帮您应对如今的高级威胁 简化你的业务 全局 覆
7、盖到全部署场景,超越所有其他解决方案 覆盖网络和安全,统一整合的安全功能 一个可扩展又多功能的安全平台+一个管理控制台 覆盖全球的办公室与技术人员,客户无论在哪均能得到我们的支持 更快的部署,更低的管理任务,更少的安全间隙 全球化用户面对全方位的挑战要能够动态应对全球化的信息安全、基础设施以及合规性要求的发展SDN与自动编排能力支持多平台运行,比如VMware,KVM,Citrix,Hyper V,AWS,Azure依托于全球威胁情报的安全架构,能够掌握威胁的完整生命周期通过连结多个整合的安全设备进行大规模的扩展大数据威胁分析引擎能够提供实时的风险分析与控制降低管理复杂度客户的挑战 性能安全需
8、要紧跟网络带宽发展需求Source:IEEE 802.3 Industry Connections Ethernet Bandwidth Assessment July 2012 1,000,000,000100,00010,0001,000100199520002005201020152020100 Gigabit 10 Gigabit GigabitRate Mb/s服务器 I/O每24个月翻一倍核心网络每18个月翻一倍1 Terabit 网络带宽需求每18个月增长 一倍 智能设备、大数据、虚拟化、云存储和SaaS是带宽快速增长的主要驱动力 网络安全解决方案如果不能跟上带宽的发展节奏,将会
9、成为网络的瓶颈和卡在咽喉的那根鱼刺,会明显降低关键业务流量的交互速度 客户和用户都很不满意FWIPSBaselineCP 8NP 66Gbps2Gbps3.5GbpsFW VPNIPS40Gbps25GbpsFW VPN10Gbps9GbpsIPS VPN 10X 数据中心防火墙性能 5X NGFW 性能 使安全能够跟上带宽发展需求Fortinet 优势 快速FortiASIC 能够大幅度提升性能客户挑战 安全应对如今的高级威胁Increasing Damage2005 2007今天威胁 时间线 201120032000不断增长的性能需求 如今,复杂的威胁正在带来更大的损害,并且想要阻止他们还
10、需要更多的安全技术。大多数安全设备提供商都是外包或 在这场安全保护战役中缺乏关键技术 客户尝试将一个个安全功能整合到一起来进行防御 分散在全球的庞大的安全威胁研究团队 发现新生威胁,并且提供保护服务,全部基于丰富强大的自研安全技术 更新会被立即推送,24x365 第三方独立机构验证结果证明了我们拥有极高的安全效能,足以帮您应对如今的高级威胁Fortinet 优势 安全FortiGuard Labs 威胁研究入侵防御服务反病毒服务漏洞管理服务反垃圾邮件服务Web过滤服务IP 信誉服务Web安全服务数据库安全服务应用控制服务全球Fortinet设备足迹+其他威胁情报共享来源每分钟72,000截获的
11、垃圾邮件210,000网络入侵尝试68,000拦截的恶意软件310,000阻挡的恶意网站访问67,000僵尸网络C&C 连接阻断 34 million网站分类请求每周53 million新的和更新的垃圾邮件规则100入侵防御规则920,000新的和更新的反病毒特征定义1 million新的URL评分8,000全球威胁研究小时 总数据150TB 威胁研究样本17,000入侵防御规则5,800应用控制规则250 million被评级的网站,在78个分类中 1510day威胁发现基于Q4 2014的数据图片来自:threatmap.FortiGFortinet 优势 安全FortiGuard Lab
12、s 威胁研究能力NGFWNSS Labs权威认证Fortinet获得多个“推荐”评级X-axis=TCO per protected Mbps Y-axis=Security Effectiveness Upper right quadrant=“Recommended”Lower left quadrant=“Caution”APT检测NSS Labs权威认证Fortinet获得多个“推荐”评级X-axis=TCO per protected Mbps Y-axis=Security Effectiveness Upper right quadrant=“Recommended”Lower
13、left quadrant=“Caution”防火墙WAFVPNWAN加速Web 过滤IPS应用控制WiFi 控制器高级威胁防御反病毒防火墙管理SaaS 网关 随着时间推移,在应对进化的威胁时,单点解决方案 被不断地部署 平台多样化 部署在不同的场景中 太多的 管理控制台 不连续统一的 策略以及网络功能 升级周期 各不相同 对于威胁的响应:慢且多漏洞 太多资源 需要去运维 差劲的 用户体验,不断的抱怨客户挑战 复杂度太多的单点安全解决方案客户挑战 云/SDN增加了更多的复杂度动态&多租户网络环境产生了更多的安全间隙 对于大企业和服务提供商来说,要能够支持多hypervisor平台 没有标准的编
14、排API 为SDN 部署提供支持 企业在公有云之上扩展他们的基础实施 在企业内部,SaaS正在被大规模的使用vSphereXenServerHyper-VNSXFortinet 优势 全局平台FortiOS&可扩展的高性能架构 能够满足各种企业的部署需求运营商级防火墙(CCFW)INTERNET虚机防火墙云火墙(CFW)客户端防火墙内网防火墙(INFW)边界14375628下一代防火墙+高级威胁防御(NGFW+ATP)统一威胁管理(UTM)数据中心防火墙(DCFW)Fortinet 优势 全局平台FortiOS 支持丰富的网络和安全功能防火墙VPN应用控制IPSWeb 过滤反恶意软件WAN 加
15、速敏感信息防泄漏WiFi 控制器高级威胁防御SaaS 网关管理 单一 管理控制台 通用平台 支持所有型号 按需部署,无论形态与位置 统一的一致性策略 整合的基础设施 更快更强壮地 应对威胁,降低风险发生带来的危害 更少的 管理开销,更简单 运维基础设施 让更多的IT资源重新分配给 战略型业务 更少的 用户抱怨Fortinet 优势 全局平台整合平台扩展到云计算与SDN领域 按需,基于效用的 Security-as-a-Service(安全即服务)支持Hypervisor与云计算需要的弹性扩展 敏捷平台支持自动编排 横跨公有云和私有云的单一窗口管理四大亮点FortiGate NGFW产品线性能&
16、接口低端桌面式中端机架式(1-2U)万兆及超万兆(2U以上)FortiGate 100 800FortiGate 30 90FortiGate 1000 5000FortiGuardFortiOSFortiGate低端桌面系列性能&接口防火墙1G1G 2G2G 4GNGFW250Mbps250MB 1G275MB 1G接口1-5 GE1 10 GE1 48 GEFG-30D/-POEFWF-30D/-POEFG-60D/-POEFWF-60D/-POEFG/FWF-60D-3G4GFG-80DFG-94D-POEFWF-90D/-POEFG-70DFG/FWF-92DFG-90D/-POEFG
17、R-60DCPUCPUSoC2SoC2SoC2FortiGate低端桌面系列FG-30DFG-60DFG-70DFG80DFG-90DFG-92D防火墙(1518/512/64 byte UDP)800/800/800 Mbps1.5/1.5/1.5Gbps3.5/3.5/3.5 Gbps1.3/0.95/0.17 Gbps3.5/3.5/3.5Gbps2/1/0.2Gbps并发会话200,000500,0002 Mil1.5 Mil2 Mil1.5 Mil新建会话3,5004,0004,00022,0004,00022,000IPSec VPN350 Mbps1 Gbps1 Gbps200
18、Mbps1 Gbps130 MbpsIPS(HTTP)150 Mbps200 Mbps275 Mbps800 Mbps275 Mbps950 Mbps防病毒(代理/流)30/40 Mbps35/50 Mbps35/65 Mbps250/500 Mbps35/65 Mbps300/700 Mbps接口5 x GE RJ4510 x GE RJ4516 x GE RJ454x GE RJ4516 x GE RJ4516 x GE RJ45存储-16 GB32GB16 GB变型WiFi,PoEWiFi,PoE-WiFi,PoE,high port densityWiFiFortiGate中端机架式系
19、列性能&接口防火墙4G4 16G20GNGFW2G2 5G5 10G接口高端口密度,可选PoE型号GE接口&SFP插槽GE接口&SFP插槽,Bypass接口FG-300DFG-800CFG-500DFG-280D-POEFG-140D-POEFG-100DFG-200D-POEFG-240D-POECP8NP42xCP8NP62xCP8NP4LITECPUFortiGate中端机架式系列FGT-100DFGT-140DFGT-200DFGT-240DFGT-280D-POE防火墙(1518/512/64 byte UDP)2500/1000/200 Mbps2500/1000/200 Mbps
20、3/3/3 Gbps4/4/4 Gbps4/4/4 Gbps并发会话3 Mil3 Mil3.2 Mil 3.2 Mil3.2 Mil新建会话22,00022,00077,00077,00077,000IPSec VPN450 Mbps450 Mbps1.3 Gbps1.3 Gbps1.3 GbpsIPS(HTTP)950 Mbps950 Mbps1.7 Gbps2.1 Gbps2.1 Gbps防病毒(代理/流)300/700 Mbps300/700 Mbps600/1,100 Mbps600/1,100 Mbps600/1,100 Mbps接口20 x GE RJ45,2 x GE SFP40
21、 x GE RJ45,2x GE SFP 18 x GE RJ45,2 x GE SFP42 x GE RJ45,2 x GE SFP54 x GE RJ45,32 x GE PoE RJ45,4 x GE SFP存储32GB32GB64 GB64 GB64 GB变型LENC,T1 port,PoEPoEPoE-FortiGate中端机架式系列(续)FGT-300DFGT-500DFG-800C防火墙(1518/512/64 byte UDP)8/8/8Gbps16/16/16 Gbps20/20/20 Gbps并发会话6 Mil6 Mil7 Mil新建会话200,000280,000190,
22、000IPSec VPN7 Gbps14 Gbps8 GbpsIPS(HTTP)2.8 Gbps4.7 Gbps6 Gbps防病毒(代理/流)1.4/2.5 Gbps1.7/3.4 Gbps1.7/2.1 Gbps接口6 x GE RJ45,4 x GE SFP10 x GE RJ45,8 x GE SFP2 x 10GE SFP+,14 x GE RJ45,8 x 光电共享,2 x bypass接口对存储120 GB120 GB64 GB变型-FortiGate-500D竞争分析4.7Gbps700Mbps600Mbps1Gbps800MbpsFortiGate 500DCheck Poin
23、t 4400Cisco ASA 5525-XPalo Alto PA 3020Juniper SRX 550价格 NGFWFortiGate万兆及以上系列性能&接口防火墙50G 80G80G-300G160G 1.1TNGFW12G14 50G20 120G端口10GE SFP+Slots10GE SFP+,40GE QSFP+,100GE CF240GE QSFP+,100GE CF2FG-1000DFG-5144CFG-3810DFG-3700DFG-3200DFG-1500DFG-1000CFG-1200DFortiGate-1000系列FG-1000CFG-1000DFG-1200DF
24、G-1500D防火墙(1518/512/64 byte UDP)20/20/20 Gbps52/52/33 Gbps72/72/55 Gbps80/80/55 Gbps并发会话7 Mil11 Mil11 Mil12 Mil新建会话190,000240,000240,000250,000IPSec VPN8 Gbps30 Gbps42 Gbps50 GbpsIPS(HTTP)6 Gbps8 Gbps11 Gbps11 Gbps防病毒(代理/流)1.7/2.1 Gbps3.5/5.5 Gbps3.5/13 Gbps4.3/13 Gbps接口2 x 10GE SFP+,14 x GE RJ45,8
25、x 光电共享,2 x bypass接口对2x 10GE SPF+,16x GE SFP,18x GE RJ45,4x 10GE SPF/+,16x GE SFP,18x GE RJ458x 10GE SPF/+,16x GE SFP,18x GE RJ45存储128 GB120 GB120 GB240 GB变型DC-FortiGate-1500D竞争分析80114430111.520.68123.30.5132575515FortiGate-1500DCheck Point 4800 Palo Alto PA 3050 Cisco ASA 5555-X Juniper SRX 3400价格防火
26、墙NGFW并发会话新建会话FortiGate-3000系列FG-3200DFG-3700DFG-3810D防火墙(1518/512/64 byte UDP)80/80/50 Gbps160/160/110 Gbps320/320/220 Gbps并发会话50 Mil50 MilTBD新建会话280,000300,000TBDIPSec VPN50 Gbps100 GbpsTBDIPS(HTTP)14 Gbps23 GbpsTBD防病毒(代理/流)5.7/16 Gbps7.5/18 GbpsTBD接口48x 10GE SFP+2 x GE RJ454 x 40GE QSFP+,20 x 10-G
27、E SFP+/GE SFP Slots,8 x ultra-low latency 10 GE SFP+slots,2 x GE RJ456 x 100GE CFP22 x GE RJ45存储960 GB960 GBTBD变型-DC-FortiGate-3700D竞争分析160110205520同级别产品中,最高性能,同时拥有最好的性价比FortiGate3700DCheck Point 21700 Cisco ASA 5585-SSP40(FW&IPS)Juniper SRX 3600Palo Alto PA 5060 防火墙吞吐量性价比Gbps$/MbpsFortiGate-5000系列
28、T级防火墙适合巨大型企业和服务提供商的安全设备 机框式平台提供最大的性能,可靠性和灵活性,适合高速网络服务提供商、大型企业和电信运营商网络。业内最快的机框式防火墙 灵活性使复杂的、多租户的云网络安全即服务和基础设施即服务环境的安全保护。主要特点:支持100GE/40GE/10GE等高速接口 高达1Tbps防火墙吞吐量 ATCA结构运营商级性能、可靠性、扩展性 机框支持6或14块 FortiGate-5000 系列板卡FG-5144C性能和灵活性50605144C插槽数614最大防火墙吞吐量*240 Gbps1.12 Tbps最大 IPS 吞吐量*56.4 GbpsTBD最大并发会话数120 M
29、TBD最大每秒新建会话数1.41 MTBD5000 系列机框标准的 ATCA 系统全冗余 热插拔板卡,电源和风扇 负载均衡与虚拟化 市场上最灵活的基于机框的解决方案 维护简单 热插拔部件 支持全硬件冗余 支持框内或框外HA配置安全板卡网络板卡5000 系列板卡集群服务分组虚拟化衡量线性流量处理能力,与外部设备交互运行。允许 FortiGate 不同集群组在同一机框内共存FortiGate 板卡有利于实现虚拟化的安全部件 云计算&SDN物理/虚拟防火墙SDN安全混合云管理托管服务Connect&Secure一体化安全统一接入无线安全安全交换身份认证边界安全APT防御高性能NGFW完整的内容安全沙
30、盒(APT防御)FortiGuard安全云服务高性能数据中心高性能防火墙DDoS防御Web应用防火墙应用交付整体方案满足多种客户需求数据中心安全Fortinet数据中心整体解决方案高性能数据中心防火墙需求防火墙特性边界安全核心安全安全域划分安全更新高速接口高密度10G接口40GE连接能力100GE连接能力高性能100G以上防火墙吞吐量(IPv4/IPv6)极低的延迟4000万以上并发会话25万以上新建会话30G以上IPSec性能紧凑的机身节能减排节约空间灵活的HA选项云架构多租户API支持 与云管理平台集成第三方生态系统SDNNSX FortiGate-3700D超级数据中心防火墙产品亮点:高
31、速接口 4个40GE 高密度 28个10GE SFP+,最大500个VFW 搭载4颗NP6芯片,提供出色的IPv4/IPv6 防火墙性能和VPN性能 超高性能 搭载2颗NP6芯片,提供出色的IPv4/IPv6 防火墙性能和VPN性能 CP8芯片提供高性能的NGFW和ATP 3U紧凑机身,仅870WFG-3700D 防火墙吞吐量:160Gbps(IPv4/IPv6)并发会话:4400万 每秒新建会话:50万Web应用防火墙Web 应用防火墙 帮助 PCI DSS 6.6 合规遵从 支持 OWASP Top 10 应用层 DDoS 防御 自学习安全内容表 Geo IP 数据分析和安全Web 漏洞扫
32、描 扫描、分析和检测 web 应用漏洞应用交付 确保关键 web 应用的有效性和加速性能。Web 应用安全 Web 应用防火墙保护、均衡和加速 web 应用。FortiWeb Web应用防火墙FortiWebWeb 应用服务器SQL Injection,XSS 层次演化的过程-WAF是针对Web服务器较为先进的安全技术,某种程度也可以替代早先出现的服务器部署设备服务器部署集群防火墙IPS及IDS负载均衡流量清洗缓存加速WAFWeb安全防御体系演化Web应用防火墙-WAF加固web应用站点帮助客户实现合规需求加固WEB应用保护web服务优化web业务提交负载均衡Load Balancing保证可
33、持续的性能高可用的web应用Web漏洞扫描扫描,分析,检查web应用漏洞WAFFortiWeb功能FortiWeb系列一览表FortiWebFWB-400CFWB-1000DFWB-3000DFWB-4000D吞吐量100 Mbps750 Mbps1.5 Gbps4 Gbps最大 HTTP transactions/Sec10,00027,00040,00070,000延迟Sub-msSub-msSub-msSub-ms10/100/1000 接口42+2 Bypass4+2 Bypass4+2 Bypass1GbE-SX 接口-2(FWB-3000C-FSX)2存储容量1x 1 TB1x 1
34、 TB2x 1 TB(Opt.6 TB)2x 1 TB(Opt.6 TB)外形Rack mount,1RURack Mount,2RU Rack Mount,2RU Rack Mount,2RU FortiWeb特色应用场景数据中心Web服务器保护竞争优势特有的ASIC SSL加速,提升HTTPS性能智能流量清洗技术,防御应用层DDoS攻击内置Fortinet强大的防病毒引擎,阻止木马入侵多种服务方式适应各种场景(代理、在线检测、透明、旁路)自学习功能降低管理难度自带漏扫功能,帮助评估Web服务安全性本地研发团队,提供更快的响应速度DDoS防御基于速率检测 使用ASIC高性能防护自学基线 方便
35、管理 保持适当的防护状态签名免费防护 基于硬件的防御内置全透明模式 无 MAC 地址变化细粒度防护 多阈值来检测微妙的变化,并提供快速缓解硬件加速的DDoS防御基于目的防护FortiDDoSFortiDDoSWeb 托管中心Firewall合法流量恶意流量ISP 1ISP 2FDD-200BFDD-400BFDD-800BFDD-1000BFDD-2000B吞吐量2 Gbps4 Gbps8 Gbps12 Gbps24 Gbps并发会话1 Mil1 Mil2 Mil3 Mil4 Mil新建会话100,000/Second100,000/Second200,000/Second300,000/Se
36、cond600,000/Second延迟 50 s 50 s 50 s 50 s 多台服务器单数据中心-多数据中心提高应用的可用性和可靠性(灾备)提高服务器效率(智能监控、健康检查)提高服务器性能、降低延迟高级应用管理七层应用路由SSL卸载内容缓存HTTP压缩应用服务器INTERNET完整的应用交付方案服务器负载均衡安全链路/全局负载均衡应用交付网络 应用交付 服务器负载均衡 SSL卸载 压缩 缓存 防火墙/VPN 防病毒/恶意软件 IPS/IP信誉 Web应用防火墙 WAN优化 全局负载均衡 链路负载均衡 FortiADC FortiGate FortiGuard FortiAnalyzer
37、 FortiManager FortiWeb FortiADC(LLB/GSLB)FortiDirector(GSLB)AscenLink(LLB/Tunnel Routing)FortiADC产品线性能与接口L410GB10 30GB30 50GBSSL软件ASICASIC接口GEGE/10GEGE/10GEFAD-200DFAD-700DFAD-4000DFAD-2000DFAD-1500DFortiADC产品系列200D700D1500D2000D4000DL4/L7服务器均衡PPPPPL7流量管理PPPPPL4吞吐量2.7 Gbps15 Gbps20 Gbps30 Gbps50 Gbp
38、s链路负载均衡PPPPP全局负载均衡PPPPP压缩PPPPP缓存PPPPPQoSPPPPPIP信誉PPPPP防火墙/DoSPPPPP脚本/自动化roadmapRoadmapRoadmapRoadmaproadmap虚拟化n/aPPPP接口4 GigE8 GbE,4 10GE8 GbE,4 10GE16 GbE,4 10GE16 GbE,8 10GE电源Single可选DualDualDualFortiADC特色应用场景数据中心&DMZ(服务器负载&全局负载)多链路出口(链路负载)竞争优势单台设备提供完整的负载均衡解决方案 服务器负载均衡、链路负载均衡、全局负载均衡安全与ADC的融合 防火墙、D
39、DoS、用户信誉、WAF(roadmap)高性价比边界安全(NGFW+APT防御)网络边界安全保护NGFW提供2-7层全面安全防御防火墙用户认证设备识别与管理IPS/DPI应用控制流量管理防病毒Web内容过滤反垃圾邮件防数据泄漏(DLP)APT攻击防御步骤1:盗取供应商的凭据来访问网络步骤2:自制攻击工具(0day)种植木马步骤3:寻找其他数据,包括“客户”数据库步骤5:持续数周步骤4:逐级跳转,提交到FTP攻击者特征未知,现有IPS、防病毒系统无法识别!文件提交1?高级威胁防御 使用代码仿真器,杀毒引擎,云查询和虚拟操作系统沙盒的多层过滤 处理多种文件类型,包括被加密或混淆的文件 从各种协议
40、中检查文件,包括那些使用SSL加密的灵活的部署模式 可以通过与FortiGate/FortiMail集成,使用嗅探器模式和手动上传文件三种方式接收文件样本 通过部署的FortiGate可以在远程地点捕获文件监控和报告 详细的分析报告和实时监控与报警FortiSandbox 沙盒防御APT&未知威胁高级威胁防护解决方案,旨在帮助客户识别并阻止极具针对性的定制攻击,以及那些日益复杂的,且能够绕过传统防御的攻击手段,并且发现那些潜伏在用户网络中的威胁。可疑性分析输出3最新AV 签名更新42集中文件分析多引擎深度防御0day威胁 启发式扫描 独立于操作系统,轻量 免疫VM逃避技术 更强大的AV引擎 业
41、界验证的具有超高VB RAP得分(可以检测变种,支持主动检测)可以处理加密/混淆文件 云端查询 最新的恶意软件信息的实时检查 获得即时的恶意软件检测信息共享 VM行为检查 行为分析/评价安全运行时环境 充分暴露威胁生命周期的信息 支持FortiGuard网页过滤恶意URL评级,僵尸网络黑名单数据库和IPS签名虚拟OS 沙盒云查询AV 引擎代码仿真沙盒防御示例 该0day恶意软件未被防毒墙和杀毒软件发现因为尚无特征FortiSandbox的VM引擎发现其恶意行为生成文件修改注册表,添加自启动项标识为高危日志告警隐蔽 高级威胁专注于隐藏自身,以躲避安全检测长期 持续性威胁的目标是尽可能久地潜伏于系
42、统之中破坏 威胁重要数据 窃取IP、用户信息 敲诈勒索 关键性基础设施发现隐蔽威胁,切断链条迅速发现APT,打断进程APT隐蔽、长期、破坏性强FortiSandbox的价值 斩断APT的黑手中小/分支机构一体化安全Connect&Secure典型的网络及安全部署结构-复杂 WAN 路由器 防火墙 VPN WAN 优化 WiFi 交换机 认证 若干安全设备Web过滤反病毒防火墙VPN路由器InternetWiFi交换机广域网加速认证Fortinet的一体化解决方案 物美价廉、极易管理的安全体系将所有的安全功能整合到一台设备中基于中小企业/分布式企业网络的需求而设计满足用户对更多交换接口,无线接入
43、,无线局域网控制,POE供电等等需求Web过滤防病毒防火墙WAN优化InternetFortiGate-UTM路由应用控制交换机无线瘦AP3G/4G接入FortiToken认证令牌外网FortiGate安全网关 路由 交换无线控制器 POEFortiAnalyzer日志报表系统FortiAuthenticator统一认证中心FortiAPFortiAPFortiAP无线瘦AP有线内网VLAN 100技术部销售部VLAN 300VLAN 200DMZ典型应用 瘦AP+AC集中管理FortiGate-140D-POE性能防火墙(1518/512/64)2500/1000/200 Mbps IPS9
44、50 Mbps防火墙延迟37 s防病毒(代理/流)300/700 Mbps并发会话3 Mil虚拟域(默认/最大)10/10每秒新建会话22,000FortiAP数量(总数/本地桥接)64/32防火墙策略10,000FortiToken数量1,000IPSec VPN450 MbpsIPSec VPN隧道 5,000SSL-VPN 300 MbpsSSL-VPN并发用户30040 x GE RJ45 其中16个接口支持PoE(-POE型号)2 x GE SFPFortiGate-280D-POE性能防火墙(1518/512/64)4/4/4 GbpsIPS1.7 Gbps防火墙延迟2 s防病毒(
45、代理/流)600/1100 Mbps并发会话1.4 M虚拟域(默认/最大)10/10每秒新建会话77 KFortiAP数量(总数/本地桥接)64/32防火墙策略10,000FortiToken数量1,000IPSec VPN1.3 GbpsIPSec VPN隧道 5,000SSL-VPN 400 MbpsSSL-VPN并发用户3002x GE RJ45 WAN 86x GE RJ45 交换4x GE SFP32x GE POEFortiAP产品线一览3x3:3双射频双频2x2:2单射频1x1:1远程室外室内802.11ac802.11acFAP-28CFAP-14CFAP-11CFAP-222
46、CFAP-112DFAP-24DFAP-223CFAP-221CFAP-321CFAP-320C802.11ac802.11acFAP-224DFAP-25DFAP-21D802.11acFortiToken认证令牌外网FortiWiFi-90D-POE胖AP+安全网关FMG、FAZ、FAC管理、审计、认证业务系统典型应用 单设备部署(胖AP)员工顾客16 x GE RJ45 其中4个接口支持PoE(-POE型号)防火墙:3.5Gbps防病毒:65Mbps虚拟化/SDN安全Fortinet 对于云和SDN的视角敏捷且弹性的网络安全基础架构vSphereXenServerHyper-VNSX物理
47、和虚拟化安全设备FortiGateFortiManagerFortiSandboxFortiAnalyzerFortiWebFortiADCFortiDDoSFortiWifiFortiMail多种虚拟化部署方案 适应云计算架构 硬件虚拟化 数据中心边界 软件虚拟化 数据中心内部区域ServerServers/DMZDesktops/Private虚拟化数据中心DMZ/Private Zone硬件虚拟化软件虚拟化安全考量风险可视控制合规硬件虚拟化 客户1区域 客户2区域 客户1区域 客户1区域 客户2区域 客户1区域 客户1区域 客户2区域 客户1区域Web 业务区邮件业务区通用业务区超级管理
48、员根系统虚拟安全区域客户1虚拟安全区域客户2虚拟安全区域客户2VLAN trunk VLAN trunk超级管理员根系统虚拟安全区域客户1虚拟安全区域客户2虚拟安全区域客户2VLAN trunk VLAN trunkWeb 业务安全策略通用 业务安全策略 客户1区域 客户2区域 客户1区域 客户2区域多层虚拟化 防火墙网关软件虚拟化-VM86管理控制台服务管理接口VMWeb ServerVMVM应用ServerVMVMVM应用ServerVMVMVM虚拟化安全防御 攻击者全系列软件虚拟化方案FortiGate-VM方案InternetWeb 服务器应用 服务器数据库服务器租户自行部署Forti
49、Gate-VM保护应用vSwitch APPHypervisorvSwitch DBvSwitch WEBvSwitch External FortiGate-VM是一个虚拟机(与业务服务器VM地位相同)通过网络协议(二层/三层)引流至FortiGate-VM 主要定位于数据中心南北向流量(跨VLAN流量)问题:东西向(内部/VLAN内)流量怎么办?东西向流量的可视化 迁移时保持会话状态(e.g.vMotion)SDN/SDDC 网络虚拟化(e.g.VXLAN)逻辑端口、IP、MAC 可以打破静态规则南北向流量数据中心边界东西向流量现实:数据中心中76%的流量都是东西向的*Cisco Glob
50、al Cloud Index,2013VMware NSX SDN解决方案不仅仅是防火墙,还需要高级安全特性(UTM/NGFW)网络微分段(“零信任网络”)控制东西向流量,多层逻辑安全域虚拟机与安全的集成、协同、自动化处理需求解决方案FortiGate-VMX概述vSphereFG-VMXNetX Data APIvShield ManagervCenter红色=控制通道黑色=数据通道REST API(控制)Fortinet服务管理器分布式虚拟交换机(虚拟网络)安全服务VM(FortiGate-VMX)通过使用NetX REST API实现自动部署 设定规则来决定什么样的数据包被接受,拒绝,发