如何運用 來強化網路安全與網路效能2010/05/11 · 2010/6/1 1 1 如何運用...
Transcript of 如何運用 來強化網路安全與網路效能2010/05/11 · 2010/6/1 1 1 如何運用...
22010/6/1
企業面臨的資安危機與挑戰
惡意/
間諜/
木馬程式
病毒
蠕蟲傳遞
強制
瀏覽頁面
公司
機密
外洩
佔用
大量頻寬
版權侵犯
網路
釣客
不當網站
垃圾郵件
電子郵件 E-Mail
(Outlook, Web Mail..)v v v v v v
檔案上傳/下載 FTP
(Flashget..)v v v v v
網頁瀏覽 WWW
(IE, Netscape..)v v v v v
點對點傳輸 P2P
(Skype, eDonkey, Kazza ,..)v v v v v
總公司與分公司間的資料傳輸 v v v
即時訊息 IM
(ICQ, MSN, Yahoo Messenger..)v v v v v
AV AV IPS IPS IPS IPS WCF WCF AS
32010/6/1
為什麼要用UTM?
• 多重資安設備的缺點
– 多種不能相容的產品, 整合不易
– 提升人力管理的成本
– 增加網路中斷的機率
VPN
IPS
Users
ServersFirewall
Antivirus
Antispam
URL Filters
42010/6/1
為什麼要用UTM?
• 優勢
– 單一設備減少了廠商和設備的數量及故障節點
– 降低管理、營運及採購成本
VPN
IPS
Users
ServersFirewall
Antivirus
Antispam
URL Filters
52010/6/1
關於Fortinet
• 全球第一家以ASIC加速的整合式威脅安全解決方案(UTM)的領導者
• 全球獨一無二八個 ICSA 認証
• Gartner Report評比位於領導者象限
62010/6/1
FortiClient
FortiGate
FortiGate
外網使用者
分公司 FortiMail
內網使用者
伺服器
資料庫
FortiClient
FortiGate
FortiAnalyzarFortiManager
中央控管分析報表系統
弱點稽核管理FortiScan
FortiWeb
FortiDB
核心交換器FortiSwitch
FortiFoneFortiGate Voice
FortiGate Voice
72010/6/1
Fortinet安全防護解決方案
網路安全整合防護
垃圾病毒郵件過濾
資料庫安全稽核
應用程式防火牆
弱點掃瞄管理
個人安全防護
FortiGate FortiMail FortiDB FortiWeb FortiScan FortiClient
稽核分析系統
中央管理系統
FortiAnalyzar FortiManager
82010/6/1
Fortinet FortiGate
• 設備由小到大產品綿密、功能完整界面相同、管理設定完全相同一機完整具備八大功能、不需額外升級或插模組、韌體完全相容
– FW+IPS+AV
– IPSec VPN
– SSL VPN
– Anti-Spam
– Web Filter
– IM/P2P(HA+QoS)
92010/6/1
原生的完整內容安全ASIC加速晶片
• 防火牆 (Firewall)
– 預防及阻擋未經授權的網路連線
– 確保網路的服務品質 (QoS)
• 防毒(Antivirus)
– 阻擋病毒及含有惡意的編碼[隱碼]
攻擊
– HTTP, FTP, SMTP, POP3, IMAP
– Signatures, Heuristics, Activity
• 入侵偵測防禦(IPS)
– 偵測並阻擋含有惡意的網路行為(IDS/IDP)
– 阻擋未經授權的使用行為(如IM或IM的傳檔)
– Signature, Anomaly, Activity
Inspection
• VPN
– 允許安全的、授權的連線 包括IPSec/SSL VPN
• 不當網頁過濾(URL Filtering)
– 控制或阻擋不適當的、非法的、以及政策不允許的內容存取 (URL
filtering)
– Static list, FortiGuard Web
Filtering
• 防垃圾信(Anti-Spam)
– Static list, FortiGuard Antispam,
RBL
• HA (High Availability) Clustering
高可用性
– 建置方式簡單即可達到AA(Active-
Active)功能,不會有任何設備閒置
• QoS 頻寬管理(Traffic Shaping)
– Guaranteed rate, Max rate, Traffic
priority
102010/6/1
FortiGuard
• 防毒 (AntiVirus)
• 入侵偵測防禦 (IPS)
• 網頁內容過濾 (Web Content Filter)
• 防垃圾郵件 (AntiSpam)
112010/6/1
五分鐘即時全球自動更新最新病毒碼及特徵碼
全球達10個 FortiUpdate
中心
-Automatic Push Update AV & IDP Updates Can
Reach All FortiGate Units Worldwide in
Under 5 Minutes
可採用主動更新及排程更新方式主動更新: 客戶跟FortiUpdate
註冊,當有新的更新,Update中心會主動通知進行更新
排程更新: 定期定時與Update
中心進行更新
122010/6/1
FortiCare
FortiCare服務內容:
• 客戶自行攜回維修 (RMA)
• 平均時間約兩週
132010/6/1
FortiGate 主力產品規格
產品 FG-50B FG-80C FG-110C FG-200B
FG-310B FG-620B FG-1240B
No AMCWith AMC(ASM-FB4)
No AMCWith AMC(ASM-FB4)
No AMCWith AMC(ASM-FB4)
防火牆效能 50 Mbps 350 Mbps 500 Mbps 5 Gbps 8 Gbps 12 Gbps 16 Gbps 20 Gbps 40 Gbps 44 Gbps
VPN效能(3DES) 48 Mbps 80 Mbps 100 Mbps 2.5 Gbps 6 Gbps 9 Gbps 12 Gbps 15 Gbps 16 Gbps 18.5 Gbps
最大同時連線數 25,000 100,000 400,000 500,000 500,000 600,000 2,000,000
每秒新增連線數 2,000 5,000 10,000 15,000 20,000 25,000 100,000
最大VPN通道數 20 200 1,500 2,000 3,000 20,000 20,000
防毒,防止間諜/惡意程式匣道器效能
19 Mbps 50 Mbps 65 Mbps 95 Mbps 160 Mbps 250 Mbps 900 Mbps
入侵防禦校能 30 Mbps 100 Mbps 200 Mbps 500 Mbps 800 Mbps 1 Gbps 1.5 Gbps
最大防火牆政策數 2,000 2,000 4,000 6,000 8,000 100,000 100,000
乙太網路(10/100)交換器埠
3 6 8 8 0 0 0 0 0 0
超高速乙太網路(10/100/1000)交換器埠
0 2 2 8 10 10 20 20 16 16
光纖SFP介面 --- --- --- --- --- 4 --- 4 24 28
WAN介面數 2 2 --- --- --- --- --- --- --- ---
DMZ介面數 0 1 --- --- --- --- --- --- --- ---
AMC 0 0 0 0 1 1 1
FSM 0 0 0 1 0 0 6
使用者自行定義Port NO NO YES YES YES YES YES YES YES YES
142010/6/1
FortiGate-50B
Hardware Performance
防火牆效能(Firewall Throughput)
50 Mbps
IPSec VPN效能(IPSec VPN Throughput)
48 Mbps
掃毒效能(Antivirus Throughput)
19 Mbps
入侵偵測效能(IPS Throughput)
30 Mbps
IPSec VPN 通道(Dedicated IPSec VPN Tunnels)
20
最大連線數(Concurrent Sessions)
25 K
每秒新增連線數(New Sessions/Sec)
2 K
最大防火牆政策數
(Policies)
2 K
• 2x 10/100 WAN Interface Port
• 3x 10/100 Configurable Ports
152010/6/1
FortiGate-200B
Hardware Performance
Firewall Throughput (512&1518/64) 5/4 Gbps
IPSec VPN Throughput 2.5 Gbps
Antivirus Throughput 95 Mbps
IPS Throughput 500 Mbps
Concurrent IPSec VPN Site Tunnels 2,000
Concurrent Sessions 500 K
New Sessions/Sec 15 K
Policies 6 K
Recommended Concurrent SSLVPN 200
Concurrent IPSec User VPN 2,000
• 4x 10/100/1000 NP2 accelerated
Interface Ports
• 4x 10/100/1000 Interface Ports
• 8x 10/100 Configurable Ports
• 1x FSM HDD bay
162010/6/1
FortiGate-1240B
Hardware Performance
Firewall Throughput (512&1518/64) 40-44/38-42 Gbps
IPSec VPN Throughput 16-18.5 Gbps
Antivirus Throughput 900 Mbps
IPS Throughput 1.5 Gbps
Concurrent IPSec VPN Site Tunnels 10 K
Concurrent Sessions 2 Mil
New Sessions/Sec 100 K
Policies 100 K
Recommended Concurrent SSLVPN 10,000
Concurrent IPSec User VPN 20,000
• 24x Gigabit NP4 Accelerated SFP
Interface Slots
• 14x 10/100/1000 NP4 accelerated
Interface Ports
• 2x 10/100/1000 Interface Ports
• 6x Fortinet Storage Module (FSM)
Slots (1x 64G HDD default)
• 1x Single-Width AMC Slot
• Dual AC power Supply
• DC Version Available
172010/6/1
Fortinet AMC Modules
ASM-FB4
• 4x Gigabit NP2 accelerated SFP
Interface Slots (4 SX transceivers incl.)
• Consistent performance for all packet
size for Firewalling
Firewall Throughput 4 Gbps
IPSec VPN Throughput 3 Gbps
ASM-FB8
• 8x Gigabit NP2 accelerated SFP
Interface Slots (4 SX transceivers incl.)
• Consistent performance for all packet
size for firewalling
Firewall Throughput 8 Gbps
IPSec VPN Throughput 6 Gbps
1G 光纖模組
182010/6/1
Fortinet AMC Modules
ASM-XB2
• 2x 10G NP2 accelerated XFP Interface
Slots (2 transceivers incl.)
• Consistent performance for all packet
size for firewalling
Firewall Throughput 11 Gbps
IPSec VPN Throughput 6 Gbps
ADM-XD4
• 4x 10G NP4 accelerated SFP+ Interface
Slots (2 transceivers incl.)
• Consistent performance for all packet
size for firewalling
Firewall Throughput 20 Gbps
IPSec VPN Throughput 6 Gbps
10G 光纖模組
192010/6/1
Fortinet AMC Modules
ASM-CX4
• 4x 10/100/1000 Copper Interface ports
• Hardware Bypass module
Firewall Throughput NA
IPSec VPN Throughput NA
ASM-FX2
• 2x SERDES SX Fiber Interface Ports
• Hardware Bypass module
Firewall Throughput NA
IPSec VPN Throughput NA
RJ45 UTP Bypass模組
SX 光纖 Bypass模組
202010/6/1
Fortinet AMC Modules
ASM-CE4
• 4x 10/100/1000 Copper Interface ports
• Security Processing module
Firewall Throughput 4 Gbps
IPS Throughput 1.3 Gbps
ADM-XE2
• 2x XFP Gigabit Interface Slots (2
transceivers incl.)
• Security Processing module
Firewall Throughput 20 Gbps
IPS Throughput 1.5 Gbps
RJ45 UTP IPS模組
XFP 光纖 IPS模組
212010/6/1
Fortinet AMC Modules
ASM-ET4
• 4x RJ-48C Ports
• Supports TDM T1/E1 full duplex
connections
Connection Speed 1.544 to 2.048 Mbps
RJ48 T1/E1模組
222010/6/1
Fortinet AMC Modules
ASM-S08
• 80 G HDD
• Storage Module
Firewall Throughput NA
IPSec VPN Throughput NA
ASM-SAS
• 8 Serial Ports (4 per IB-SAS Connector)
• Storage Module
Firewall Throughput NA
IPSec VPN Throughput NA
儲存裝置模組
232010/6/1
資安整合管理
• FortiManager & FortiAnalyzar
– 集中管理派送、報表、紀錄、稽核、完整內容監測
FortiGate
FortiAnalyzar
• 統一資安政策管理及派送• 統一病毒及特徵碼派送• VPN Manager
• 集中版本管理及軟體更新
• 集中式記錄, 報表, 告警• 中央資料庫與統合的檔案隔離• 提供主機系統弱點掃瞄• 稽核與法庭佐證• 網路流量分析儀 (sniffer)
• 事件追蹤( 確實掌握攻擊來源與中毒電腦位置)
FortiManager
242010/6/1
FortiAnalyzer
• 提供簡易網路弱點掃瞄工具, 定期為使用單位電腦做健康檢查• 流量、記錄、事件、告警等資料彙整• 流量統計分析• 異常狀況檢出、處置與統計• 自動化告警郵件通知• 提供各校報表與總表檢視• 網路流量分析儀 (Sniffer)
產品 10/100 10/100/1000 內建硬碟 RAID 網路分析事件
交互分析即時事件檢視功能
主機弱點掃描功能
支援設備數量
支援FC數量
熱插拔電源模組
適用型號
4000A 0 2 6TB 0,1,5,10,50 V V V V 2000 無限制 Yes All
2000B 0 6 2TB/6TB 0,1,5,10,50 V V V V 2000 無限制 Yes All
1000B 0 4 1TB/2TB 0, 1 V V V V 2000 無限制 No All
400B 0 1 500G/1TB 0, 1 V V V V 200 2,000 No All
100C 1 2 1TB N/A V V V V 100 100 No All
252010/6/1
完整記錄網路用戶的使用行為與內容效益:掌握攻擊來源與標的、紀錄加密具法律效益
針對企業客戶需求, 提供獨立與集中式的管控系統– 記錄, 報表, 告警– 中央資料庫與統合的檔案隔離– 提供主機系統弱點掃瞄– 稽核與法庭佐證– 網路流量分析儀 (sniffer)
FortiGate 隨時與安管中心保持互動:並且將所有的網路流量與行為, 集中記錄在安管系統:
– 集中流量記錄– 集中報表匯出– 集中記錄存放– 病毒檔案隔離與修復– 事件追蹤 ( 確實掌握攻擊來源與中毒電腦位置)– 從FortiGate可以直接瀏覽最近的記錄分析報表
FortiAnalyzer
完整內容安全的稽核與報表
262010/6/1
FortiAnalyzer 提供完整內容監測
272010/6/1
FortiAnalyzer MSN紀錄與傳檔
282010/6/1
FortiAnalyzer中文報表
292010/6/1
• 提供整合式管理與監控• 簡易操作介面 (正體中文)
• 同時管控多台 的FortiGate
• 簡化網路管理者的工作• 提供系統佈署、設定、監控與維運• 提供於分散系統中建立與執行相關安全政策• 提供HA架構部署
FortiManager
產品 10/100 10/100/1000 內建硬碟 HA 支援所有FG功能與設定
支援不同權限管理者
設定檔範本派送
支援FG數量
支援FC數量
熱插拔電源模組
適用型號
3000C 0 4 2TB V V V V 5000 120,000 V All
1000C 0 4 1TB V V V V 800 25,000 V All
400B 0 4 500GB V V V V 200 10,000 V All
100 4 0 250G V V V V 10 2,500 V FG30 - FG110C
302010/6/1
FortiManager 集中管理控管
312010/6/1
FortiOS 4.0
• 新版的FortiOS 4.0包含了四大技術強化網路安全
– 廣域網路(WAN)效能最佳化• 利用cache及壓縮技術,加速應用程式在廣域網路環境下傳送
– 應用程式控制• 針對流量中的應用程式行為進行控制,取代之前利用Port或
Protocol限制
– SSL 深層檢視• 針對加密連線的封包進行檢測,增加安全及規則的管理
– 資料洩漏防護 (DLP)• 辨識及防護機敏資料的洩漏
322010/6/1
廣域網路(WAN)效能最佳化
• 封包壓縮
• Proxy Cache機制暫存轉送
332010/6/1
廣域網路(WAN)效能最佳化
• 利用Cache技術加速
• 支援應用程式
– 檔案傳輸 (CIFS, FTP)
– 電子郵件(MAPI with
MS Exchange / MS
Outlook)
– 網站(HTTP / HTTPS)
– 一般(TCP)
• FortiClient結合– 遠端或是手機可透過
FortiClient連線
342010/6/1
應用程式管控
• 超過1000個應用程式管控
352010/6/1
應用程式分類
數千種應用程式分類
362010/6/1
SSL深層檢視深層檢視
• 透過Proxy方式
– 針對SSL封包進行分析
– 新增Secure Web的安全防護
– 增加在網路上封包的分析能力
– 支援
• HTTPS
• POP3S
• SMTPS
• IMAPS
372010/6/1
利用管理者所定義的過濾規則去偵測HTTPS的流量
過濾 HTTPS 流量
Corporate
LAN
使用者連線到HTTPS server
FortiGate連線
FortiGate 透過代理的方式(Proxy)
連線到伺服器端
382010/6/1
資料洩漏保護 (DLP)
• DLP偵測機制– 定義資料偵測保護的規則
• DLP回應機制– 紀錄, 阻擋, 搭配FortiAnalyzer可以備
份檔案
– 禁止或隔離使用者
•
支援的檔案型態– Text, PDF, MS Word (up to and
including 2007 versions)
392010/6/1
競爭優勢
FortiGate Juniper Check point Cisco Sonicwall
WAN optimizationSeparate
Device
Separate
Device
Application Control
DLPSeparate
Device
SSL InspectionSeparate
Device
Separate
Device
Separate
Device
402010/6/1
FortiOS 4.0
40
特徵 支援型號
WAN Optimization50B-HDD, 110C-HDD, 310B*, 620B*, 3016B*,
3600A*, 3810A*, 5001A-SW*
Application Control All platform supporting V4.0
DLP All platform supporting V4.0
SSL Content Inspection110C, 110C-HDD, 310B, 620B, 3016B, 3600A,
3810A, 5001A, 5005FA2
支援有硬碟版本FG
支援有CP6晶片FG
(content加速晶片)
412010/6/1
網路防疫管理機制 NIMHP ProCurve整合FortiGate解決方案
• PCM+• NIM
透過每個交換器連接埠做出反應,重新設定交換器
鏡射可疑的網路流量
入侵偵測設備(IDS)發出警告
FortiGate
網路交換器
422010/6/1
Fortinet Booking Rule
• FG-110C需上內部Booking(群環內部列管)
• 中信局契約價超過100萬需上Booking
• FG-200B(含)以上Model需Booking
• FG-50B, FG-80C, FG-110C單一專案5台以上需Booking
• FG-200A(含)以上FortiCare與FortiGuard 保固需Booking
• 大型專案,Fortinet產品佔總價低於10%,Booking OPEN
432010/6/1
什麼時候會遇到銷售機會?
• 客戶需求出現,舉凡– 我要做防火牆
– 我要讓外面的使用者連線回總公司 (VPN)
– 我要做總公司與分公司的連線 (VPN)
– 我要防病毒 (AV)
– 我要做同時有防火牆與入侵偵測防禦的功能 (IPS)
– 我要限流限速 (Traffic shape)
– 我要管理即時通訊軟體與傳檔 (IM/P2P)
– 我要擋Facebook或其他(老闆心目中)不當網站 (WCF)
– 我要擋垃圾郵件 (AS)
442010/6/1
Fortinet如何強化網路安全與效能
• FortiGate提供了優於業界水準的防火牆效能
• FortiGuard Update Service提供了強大完整且即時的資訊安全特徵碼資料庫更新
• Fortinet從– Gateway端(FortiGate、FortiGate Voice)
– Server Farm(FortiWeb、FortiMail、FortiDB)
– 到User Zone(FortiClient、FortiFone)
提供完整的資安整體解決方案
• FortiManger、FortiAnalyzer、FortiScan提供全面的部屬管理、資訊監控、報表產出與分析,讓資訊人員能全面掌握企業資訊安全狀況
• 全新的FortiOS 4.0提供企業主– 更佳的廣域網路加速效果
– 種類更多更全面的網路應用程式控管
– SSL加密連線檢查讓企業主的資訊安全防護更加完整
– DLP資料外洩防護防止企業內部機密資訊外流,降低企業損失風險
452010/6/1
群環科技-Fortinet 銷售協助
• 事前銷售規劃--- Products Sales、Presales
• 技術教育訓練--- 每月定期開班、區域專案開
班
• 售後安裝服務
462010/6/1
謝謝大家!!