飞塔网络安全FortiGate系列技术文件.pdf

第 1 页 韩秉邑 E mail美美 国国 飞飞 塔塔 网网 络络 安安 全全 FortiGate 系系 列列 技技 术术 文文 件件 第 2 页 韩秉邑 E mail目录目录 一 飞塔网络安全领先技术介绍 5 全面的安全解决方案 5 行业领导 6 技术领先 7 Fortinet 服务 8 二 飞塔核心技术 9 安全功能一览表安全功能一览表 11 网络功能一览表网络功能一览表 12 管理功能一览表管理功能一览表 12 防火墙 13 防火墙 访问控制 13 防火墙 会话管理 14 防火墙 会话管理 14 防火墙 高级路由功能 15 防火墙 灵活的用户认证 15 防病毒 16 防病毒 反恶意软件 16 防病毒 WEB 提示 17 IPS 入侵防御系统 17 IPS 传感器 18 隔离入侵者 18 异常检测 防 DoS 19 IPS 与防病毒的结合 20 在线或旁路部署方式 20 应用控制 21 细致的控制能力 22 流量控制 22 流控的方向性 23 基于单个 IP 地址的流控 23 第 3 页 韩秉邑 E mail基于应用的流控 24 Web 内容过滤 24 防数据泄漏 DLP 26 DLP 支持明文 加密协议 27 例 论坛发贴过滤 27 内容存档 27 反垃圾邮件 28 VPN 29 VPN 灵活的部署方式 29 IPSec VPN 的两种模式 30 双线 ISP VPN 30 SSL VPN 30 Fortinet SSL VPN 31 Fortinet SSL VPN 优势 31 广域网优化 32 WAN 优化的部署 33 虚拟化 VDOM 独立结构 34 虚拟化 VDOM 管理结构 34 虚拟化 VDOM 互联结构 35 HA 高可用性 35 中文图形 Web 管理界面 36 三 企业级系列 37 FortiGate 100 系列 37 FortiGate 200B 38 FortiGate 300 系列 38 四 竞争比较 39 性能对比 39 IPSec 3DES VPN 性能对比 40 竞争对手对比 41 五 部署案例 42 第 4 页 韩秉邑 E mail六 Fortinet 国内部分用户名单 45 第 5 页 韩秉邑 E mail一 飞塔网络安全领先技术介绍一 飞塔网络安全领先技术介绍 全面的安全解决方案全面的安全解决方案 Fortinet 的屡获殊荣的 FortiGate 系列 是采用 ASIC 加速的 UTM 解决方案 可以有效地防御 网络层和内容层的攻击 FortiGate 解决方案能够发现和消除多层的攻击 比如病毒 蠕虫 入侵 以及 Web 恶意内容等等实时的应用 而不会导致网络性能下降 它所涉及到的全面的安 全体系是涵盖防病毒 反垃圾邮件 防火墙 VPN 入侵检测和防御 反垃圾邮件和流量优化 除了 FortiGate 以外 Fortinet 还提供 FortiMail 这样的邮件安全的解决方案 和终端 智能 手机安全的 FortiClient FortiManager 和 FortiAnalyzer 可以实现集中的管理 日志和报表 等功能 FortiGuard 升级服务是由 Fortinet 的专业团队进行维护和升级的 它为新发现和爆 发的病毒提供及时 高效的解决方案 目前在各种复杂的环境都部署了 Fortinet 产品 典型的应用涵盖了核心网 远程和分支机构 交换结构 边缘部署和终端等 下面给出的图表阐述了如何将设备如数于大型的 分布式网络 环境中 邮件的安全 FortiMail 对进出邮件进行检测和清除 以减少攻击的发生 同时还具有邮件路由和归档等功能 安全管理 第 6 页 韩秉邑 E mailFortiManager 和 FortiAnalyzer 可以对所有产品进行集中管理 日志和报表 边界安全 在实现全面的网络安全功能的前提下 部署于中等企业网络的边缘不会导致网络性能下降 具有 极高的性能和扩展性 核心网络安全 通过负载均衡 交换和虚拟实现了高性能 高可靠性和扩展性 数据中心安全 模块化的硬件和软件设计 部署更加灵活 远程和分支机构 为中小企业定制了支持 WLAN 的安全产品 外来访问安全 Fortinet 支持对远程访问的进行主机检测 无客户端的端口隔离 部署全面的 FortiGate 安全体 系 安全服务 FortiGuard 升级服务可以实现防病毒 入侵防御 Web 过滤和反垃圾邮件等服务 行业领导行业领导 业内认可业内认可 Fortinet 已经荣获了 80 多个奖项 其中包括 年度最佳安全产品和最佳安全解决方案等 企业创建和领 导了 UTM 市场 也是目前唯一一家采用 ASIC 加速的 UTM 产品 FortiGate 产品结合 FortiGuard 服务 为企业 服 务运营商 和中小企业提供了全面的安全解决方案 最 好的性能 无可匹敌的功能 UTM 市场的领导者 Fortinet 创造出了业内 最好的产品 获得网络安全界最多的奖项 其中有 年度安全产品 企业创建和领导了 UTM 市场 是实时的 ASIC 加速的网络安全平 台的唯一供货商 我们产品结合我们 FortiGuard 服务为企业 安全服务商 和 SMB 用户提供了最高性价比的产品 第 7 页 韩秉邑 E mail业界认证 Fortinet 获得了多项著名的业内认证 比如 FIPS 140 2 Common Criteria EAL4 和多个 ICSA 认证 SSL TLS VPN IPSec 基于网络的 IPS 防病毒 防火 墙 FortiGate 解决方案也是目前唯一一家同时获得 NSS 的 IPS 和 UTM 认证产品 技术领先技术领先 我们的专利涵盖了 Fortinet 的 FortiASIC 硬件加速 FortiOS 多层安全套件 智能桥接技术 网络安 全和内容分析技术 FortiASIC FortiASIC 是由 Fortinet 公司开发出来的独 有的硬件技术 FortiASIC 是一系列产品 它基于目标设计 能够实现高性能的网络和内容层处理 从而加速了对计算 性能要求很高的安全服务 统一威胁管理和完全的内容层防御需要强大的处理能力 FortiASIC 采用了 Fortinet 正在申请专利的检测技术 在 提供单一功能或者是全面的安全服务上 都可以达到业内 最高的处理性能 那些将第三方软件安装在传统 PC 架构上 的设备将不可避免地遇到性能瓶颈 FortiOS FortiOS 专用的硬件化的操作系统 它是 FortiGate 平台的软件基础 FortiASIC 硬件加速技术和专 门优化的 FortiOS 配合实现高速的 实时的内容层扫描 以及对攻击的异常检测 FortiOS 本身就具有多种功能 防火墙 IPSec VPN SSL VPN IPS 防病毒 Web 过滤 反垃圾邮件和应用控制 即时通讯和 P2P 以及带宽控制 FortiOS 和 FortiManager FortiAnalyzer 紧密地结合在一起 实现集 中管理和日志 完成命令控制 网络流量和攻击的报表和 分析等功能 FortiGuard 网络确保了 FortiGate 能够稳定 地获得最新的升级数据包 使 FortiOS 能够提供给客户有 效的全面解决方案 第 8 页 韩秉邑 E mailFortinet 服务服务 FortiGuard 服务 FortiGuard 升级服务包括防病毒 反间谍软件 入侵检测和防御 Web 过滤 反垃圾 邮件等功能 它是由分布在全球的资深工程师团队进行维护的 从而保障了 24x7 升级 Fortinet 全球攻 击研发团队将多层安全的理念融汇在 FortiGuard 服务种 针对新的 即将发生的攻击开发真正的零小时防 御的解决方案 FortiGuard 网络遍及全球各地 实现了高冗余 为 FortiGate FortiMail FortiClient PC 和 FortiClient Mobile 产品提供不间断地服务 由此 Fortinet 多层安全平台获得了对未知和已知病毒 的最高级别的防御能力 客户在启用了 FortiGuard 服务后 能够以最低的成本有效地保护其企业的资产 FortiCare 服务 Fortinet 公司的 FortiCare 服务为 FortiGate FortiManager FortiAnalyzer FortiMail FortiClient PC and FortiClient Mobile 等产品提供技术 保障 该服务是一套完整的技术服务体系 技术支持中心 TAC 为系统和产品升级提供 24x7 和 8x5 两种支持服务 技术支持专家 Fortinet 针对大客户安排的专门 负责的技术专家 为用户提供专家式服务 从而 保证服务品质和用户对FortiGate的部署和维护 提高用户满意度 专家服务 PS Fortinet 专家提供资讯服务和 日常的对 Fortinet 产品的配置和维护 优先级最高的服务 增强型的符合服务等级承诺 第 9 页 韩秉邑 E mailSLA 的 FortiCare 服务 该 SLA 可以在直接跳过 初始流程直接进入问题汇报和解决进程 提高了 沟通的次数 缩短了问题解决的过程 客户的满意度和回应是 Fortinet 所关注的 FortiCare 服 务让用户能够有效地发挥 Fortinet 产品的优势 以最低的 价格和最好的性能保护其公司的资产 二 飞塔核心技术二 飞塔核心技术 第 10 页 韩秉邑 E mail第 11 页 韩秉邑 E mail安全功能一览表安全功能一览表 第 12 页 韩秉邑 E mail网络功能一览表网络功能一览表 管理功能一览表管理功能一览表 第 13 页 韩秉邑 E mail防火墙防火墙 防火墙防火墙 访问控制访问控制 第 14 页 韩秉邑 E mail防火墙防火墙 会话管理会话管理 防火墙防火墙 会话管理会话管理 第 15 页 韩秉邑 E mail防火墙防火墙 高级路由功能高级路由功能 防火墙防火墙 灵活的用户认证灵活的用户认证 静态路由 ECMP 等值路由 策略路由 基于用户认证 的路由 动态路由 RIP OSPF BGP 组播路由 PIM 链路冗余 负载分担 第 16 页 韩秉邑 E mail防病毒防病毒 防病毒防病毒 反恶意软件反恶意软件 基于 ASIC 芯片加速 性能最高的防病毒网关 病毒过滤 文件大小及文件名过滤 恶意软件过滤 支持多种应用协议 SMTP POP3 IMAP HTTP FTP IM NNTP 支持加密流量 HTTPS SMTPS POP3S IMAPS 支持非标准端口 扫描方法 文件重组特征扫描 宏扫描 启发式扫描 流扫描 即将推出 第 17 页 韩秉邑 E mail防病毒防病毒 WEB 提示提示 IPS 入侵防御系统入侵防御系统 ICSA 认证 NSS 认证 多种部署方式 高性能 基于 ASIC 的 IPS 4000 多种已知的黑客攻击特征库 任意定制传感器 Profile 随时更新攻击特征库 通过 FortiGuard 分布式网络更新 自定义特征 日志 报警 隔离攻击者 第 18 页 韩秉邑 E mailIPS 传感器传感器 隔离入侵者隔离入侵者 第 19 页 韩秉邑 E mail异常检测异常检测 防防 DoS 异常可以被没有期望到的数据流量所触发 当流量以不正常的速度发送时 就可以看到异常的现象了 可以采用动作来禁止 IPS 异常流量通过防火墙 异常不是与防火墙策略相关的 基于接口部署 可指定 IP 端口等 第 20 页 韩秉邑 E mailIPS 与防病毒的结合与防病毒的结合 在线或旁路部署方式在线或旁路部署方式 第 21 页 韩秉邑 E mail应用控制应用控制 提升三层防火墙的能力 需要有效识别并阻挡应用程序 即使它是使用可信任端口进行通信的 阻挡 P2P 应用 没有特定的目标 IP 地址 例如 IM 软件 可使用代理的应用程序 HTTP 成为广泛使用的应用协议 Web 2 0 需要识别并控制 Web 应用 恶意软件和通信的主要载体 大量流媒体和基于 Flash 的游戏及其它应用 网络可视化 帮助管理员了解网络活动状况 例如 网络访问缓慢的原因是什么 第 22 页 韩秉邑 E mail细致的控制能力细致的控制能力 流量控制流量控制 基于策略的流控基于策略的流控 第 23 页 韩秉邑 E mail流控的方向性流控的方向性 基于单个基于单个 IP 地址的流控地址的流控 第 24 页 韩秉邑 E mail基于应用的流控基于应用的流控 Web 内容过滤内容过滤 第 25 页 韩秉邑 E mail第 26 页 韩秉邑 E mail防数据泄漏防数据泄漏 DLP 第 27 页 韩秉邑 E mailDLP 支持明文支持明文 加密协议加密协议 例 论坛发贴过滤例 论坛发贴过滤 内容存档内容存档 可以自定义提示信息 第 28 页 韩秉邑 E mail反垃圾邮件反垃圾邮件 第 29 页 韩秉邑 E mailVPN VPN 灵活的部署方式灵活的部署方式 第 30 页 韩秉邑 E mailIPSec VPN 的两种模式的两种模式 双线双线 ISP VPN SSL VPN 远程用户 VPN 的一种形式 使用 SSL 技术 通过 Web 浏览器访问 安全 灵活 易用 第 31 页 韩秉邑 E mailFortinet SSL VPN Fortinet SSL VPN 优势优势 FortiOS V3 0 及以上版本免费升级 无用户数许可证限制 NAT 路由模式支持 支持虚拟化 两种工作模式 两种工作模式 Web 模式 仅需要 Web 浏览器 无需安装插件或应用程序 通过代理方式访问远程资源 Tunnel 模式 通过浏览器插件生成虚拟网卡 支持各种 C S 应用 第 32 页 韩秉邑 E mail广域网优化广域网优化 第 33 页 韩秉邑 E mailWAN 优化的部署优化的部署 第 34 页 韩秉邑 E mail虚拟化 虚拟化 VDOM 独立结构独立结构 虚拟化 虚拟化 VDOM 管理结构管理结构 第 35 页 韩秉邑 E mail虚拟化 虚拟化 VDOM 互联结构互联结构 HA 高可用性高可用性 第 36 页 韩秉邑 E mail中文图形中文图形 Web 管理界面管理界面 第 37 页 韩秉邑 E mail三 企业级系列三 企业级系列 企业级的统一威胁安全管理平台企业级的统一威胁安全管理平台 FortiGate 企业级系列产品包括 FortiGate 620B 310B 110C 200A 224B 300A 400A 500A 和 800 能够满足普通企业的对性能 可用性和可靠性的需求 它们和其他型号产品一 样具有所有主 要功能 比如集成的防病毒 防火墙 VPN IPS 和流量整形等功能 企业级 产品的吞吐量最大可以达到 1Gbps 具有高可用性 会话级别切换 多个安全区等功能 因 此说它们是企业的关键应用的最佳选择 FortiGate 100 系列系列 第 38 页 韩秉邑 E mailFortiGate 200B FortiGate 300 系列系列 第 39 页 韩秉邑 E mail作为一款新的中型企业综合安全产品 FortiGate 310B 的设计提高了中档安全设备的预期 内 部使用了 FortiASIC 网络处理器 NP