Fortinet工业安全解决方案

1、Fortinet工业安全解决方案技术创新，变革未来2Fortinet是一家 怎样的公司Fortinet:全球网络安全领导者6,000+全球雇员100+全球办公室440万安全设备发货38万用户618全球专利181审核中$140亿市值$18亿年收入（2018）19%增长年同比公司成立于2000CEO：KEN XIE总部位于：加利福尼亚 硅谷3Fortinet涉及的主要安全领域网络安全FortiGate在所有网络安全领域都是最好的250亿$云安全统一的混合云安全策略管理和安全可视化90亿$私有云公有云SaaS接入安全，终端安全，应用安全Security Fabric提供全覆盖的安全590亿$IoT与

2、OT安全Security Fabric增强了IoT与OT基础架构的安全与可视化能力190亿$WiFi交换机沙盒终端WAF邮件SIEM集中管理45Fortinet核心竞争力硬件 - 特有的FortiASIC系列芯片Fortinet - 多平面并行处理模式 (PPP)数据包处理内容检查策略管理纯CPU策略管理数据包处理深度检测更高性能更低延迟更少功耗更小空间CPU优化SoCAdvanced Threat IntelligenceAccessClientCloudPartner APINOC/SOCNetworkApplicationExpert SystemFortinet & FortiGuar

3、d: 基于大数据专家系统覆盖 “最后一英里”: Creating Actionable IntelligenceActionable Intelligence人工智能机器学习深度学习(DL)Fortinet Security Fabric大数据-FortiGuard持续保护用户安全请参阅：https:/ 获取更多实时保护信息每分钟3万5000威胁事件2万1000拦截的垃圾邮件55万阻挡的网络入侵13万阻挡的恶意软件18万阻断的恶意网站访问4万4000阻断Botnet C&C 尝试连 接4300万网站分类请求每周4600万新的/更新的垃圾邮件规则100生成的新入侵防御规则180万新的/更新的AV

4、定义140万新 URL 评级8,000全球威胁研究小时总数据240TB 威胁样本1万8000入侵防御规则5,800应用应用控制规则2亿5000万被评级的网站，78个分类338零日漏洞发现服务 - FortiGuard安全云 & 威胁情报网络FortiGuard安全云接受Feeds分析更新和验证QA 测试FortiGuard全球分发网络Why Security Fabric?我们领导着网络安全的第三代革命1990112000201020202030防火墙连接安全NGFW UTM内容安全FABRIC架构安全网络安全的演进Fortinet Security Fabric网络 安全网络安全设备、接入和

5、 应用安全多云安全网络运营开放的生态系统安全运营与运维12多云安全终端与IoT安全安全接入应用安全Fabric APIsFabric Connectors安全运营协同由AI赋能的，对设备、网络和应用的攻击防护智能集成运营，自动编排，协同响应全面对整个数字世界的攻击平面的全覆盖和可视化Fabric-Ready 生态系统合作伙伴 扩展了Security Fabric的覆盖范围IOT/OT/NAC/身份认证云/NFV/SDN漏洞管理/SIEMFabric ConnectorsFabric APIs战略技术终端安全与管理安全与IT管理系统131516生产网(OT)安全趋势第四次工业革命网络化、数字化、

6、智能化17海量目标的自动化漏洞收集IoT的薄弱安全性成为收集的新对象公有云的流行为黑客提供了强大的计算能力18利用AI技术构筑攻击工具(武器)ExploitDownloaderEncryptionBotnetAdvanced MalwarePPPPP自动化的网络信息收集利用AI技术分析网络的类型、客户的 应用、系统的漏洞、已部署的安全设 备的类型，根据这些信息有针对性地 构筑攻击工具（多态性）有针对性的工具针对目标的弱点、漏洞、现有防护而定做，实现了 有效的逃逸！19这不是科幻故事 WILL利用AI技术，一天可以针对 一个目标生成100万个攻击工 具的变种让传统的静态防御平台如何 应对？20全

7、球企业层出不穷的安全事件华住（2018）身份证、手机号、账号、开房记等共5亿条极 光 APT（2010） Google部分知识产权及 Gmail帐号被盗震网（2010）伊朗核设施可能被破坏，导致核计划推迟Swift系统被侵（2016）黑客攻入多国央行及商业银行，偷走超过1亿美元韩国银行（2013） 多家银行业务瘫痪 近4天才恢复希拉里邮件门（2016）影响美国总统大选开房记录（2013） 如家、汉庭等 2000万条记录12306（2014）撞库导致13万帐号泄漏网易（2015）疑似5亿帐号泄漏Sony（2014）未上映电影拷贝Shadow Brokers（2016）公开出售美国国家安全局（NS

8、A）下属“方程式”组织 的攻击工具社保系统（2015） 19个省、5000万条参 保人信息外泄源代码（2012） 赛门铁克 VMWareWannaCry勒索软件（2017）150万国家23万台电脑受攻击棱镜门（2013）WannaCry变种病毒（2018）TSMC 台积电工厂停产21September 23th, 2010Stuxnet worm targeted high-value Iranian assetsStuxnet was first detected in June by a security firm based in Belarus, but may have been c

9、irculating since 2009.Unlike most viruses, the worm targets systems that are traditionally not connected to the internet for security reasons. Instead it infects Windows machines via USB keys - commonly used to move files around - infected with malware. /news/technology-11388018August 27th, 2014Majo

10、r cyber attack hits Norwegian oil industryMore than 50 Norwegian oil and energy companies have been hacked by unknown attackers, according to government security authorities. State-owned Statoil, Norways largest petro company, appears to be the main target of whats described as the countrys biggest

11、ever hack attack. http:/www.theregister.co.uk/2014/08/27/nowegian_oil_hack_campaign/January 1st, 2015A Cyberattack Has Caused Confirmed Physical DamageHackers had struck an unnamed steel mill in Germany. They did so by manipulating and disrupting control systems to such a degree that a blast furnace

12、 could not be properly shut down, resulting in “massive”though unspecifieddamage. /2015/01/german-steel-mill-hack-destruction/December 23rd, 2015Iranian Hackers Claim Cyber Attack on New York DamAn Iranian hacktivist group has claimed responsibility for a cyber attack that gave it access to the cont

13、rol system for a dam in the suburbs of New York an intrusion that one official said may be just the tip of the iceberg”. /news/us-news/iranian-hackers-claim-cyber-attack-new-york-dam-n484611工业系统上的网络安全事件频发22IT与OT的融合推荐的安全措施安全域划分与加密通讯访问控制（设备，用户，应用，协议）安全的无线网接入漏洞与补丁管理系统基于行为的分析与追踪(UEBA)现在OT 是 与公司IT网互联采用通用

14、Internet协议运行在由从IT发端的通用硬件上运行在主流IT操作系统上越来越多的通过标准WiFi协议连接23以前完全隔离和各自专用的两者现在紧密的连接在了一起24Fortinet对OT的价值25微分段工业网微分段WHATHOWBENEFIT增加网络可见性更好的控制更高的安全性数据流量转发到上游设 备，由上游设备进行访 问控制上游设备为FortiGate控制在相同二层转发域 内的设备的网络通信微分段 | IllustrationFortiGateFortiSwitchL2L2Control NetworkFortiGateFortiSwitchL2L2Control Network专为工业解

15、决方案设计的下一代防火墙硬件FGR-30DFGR-35DFGR-60DFGR-90DFirewall(1518/512/64 byte UDP)900 Mbps550 Mbps1.5 Gbps2 GbpsConcurrent Sessions750,000750,000500,0002,500,000New Sessions/Sec5,0005,0004,00020,000IPSec VPN45 Mbps45 Mbps1 Gbps84 MbpsIPS (Ent. Mix)230 Mbps230 Mbps200 Mbps1,100 MbpsInterfaces(LAN, WAN & DMZ)4

16、x GE RJ452 x SFP2 x DB9 Serial3 x GE RJ454 x GE RJ452 x Shared Media Pairs 1 x DB9 Serial3 x GE RJ452x SFP1 x RJ45 Bypass Pair 2 x DB9 Serial28FortiSwitch Rugged 112D-POE/124D符合IP30标准，无风扇或移动部件在极端（-40至60C）的温度下工作12或24个千兆以太网端口并支持RPSFortiAP Outdoor Series基于IEEE 802.11a / b / g / n / ac标准，可在2.4 GHz和5 GHz

17、频段上运行在极端（-40至60C）的温度下工作恶意AP检测并由FortiGate管理专用与工业解决方案的坚固设备29IEC-61850描述了用于电气分站的统一通信系统设计。IEC-61850-3为在这种苛刻的环境中部署的设备的硬件要求提供指导。EMI未受保护的设备可能会在遭受高度 电磁干扰时出现故障或遭到破坏强大的电磁兼容性（EMC）设计是必需的Thermal在混杂环境中可以在宽温度（-20 至+ 75）。中工作需要高效的散热系统和自热机制Vibration设备必须从柜式机架上掉落下来 后仍能工作30需要能支持50G防震和5-500Mhz防振要求使用保护组件来对设备进行缓冲工业标准和合规准备就

18、绪31工业网微分段用例:环形组网工业网普遍组网架构交换机成环互联，接入终端设备减少有线的投入，提供更高性价比清晰、简单的的组网架构在工厂生产过程中，网络可无缝扩展支持环形冗余协议，保证高可用性32FortiGate + FortiSwitch | 堆叠成环LACPISLISLFSW1Device ADevice BISLISLFG1FG2FSW2FSW3FSW4LACPMSTP33FortiSwitch堆叠成环，通 过MSTP协议避免2层环路34网络可见性设备发现FortiOS Security Fabric 自动化生成物理和逻辑拓扑被动和主动地发现接入到Security Fabric的设备网

19、络辅助设备检测受管理的FortiSwitch把终端设备信息传送FortiGateFortiSwitch通过以下方式获取设备信息:目标MAC地址DHCP 嗅探 (MAC, VLAN, IP, HOSTNAME , VCI)LLDP (MAC, IP, 系统名称与描述)35工EthernetIPTCPMAP头功能码数据校验工业防火墙Modbus TCP传统防火墙工业防火墙过滤字段IP地址（源、目的） 端口（源、目的）传输层协议类型（TCP/UDP）IP地址（源、目的） 端口（源、目的）传输层协议类型（TCP/UDP）Modbus功能码 Modbus线圈/寄存器 Modbus读写值域Modbus只读

20、无法支持支持OPC动态端口无法支持支持业物联网安全-工业协议深度解析传统防火墙EthernetIPTCP36FortiGuard 工业安全目标市场/细分市场保护关键设施(工业控制和SCADA)需要特殊类型的应用程序识别 - 通常不用于企业环境超过1,100种工业app特征库从FOS 5.6开始可用为关键基础设施提供专用服务Fortinet为这些特殊应用提供更多的资源和 注意力37针对工业控制系统的入侵防御与应用程序控制支持的协议BACnetDNP3ModbusEtherNet/IPIEC 60870-6 (TASE 2) / ICCPEtherCATIEC 60870-5-104IEC 618

21、50OPCElcom支持的应用程序与厂家7T Technologies/Schneider ElectricABBADvantechAvahiBroadwinCoDeSysCogentControl AutomationDatacGE38IconicsInduSoftIntellicomMeasuresoftMicrosysMOXAPcVueProgeaPromoticRealFlexRockwell AutomationRSLogixSiemensSunwayTeeChartTwinCATWellinTechxArrow应用与协议可见性39应用与协议可见性40TCPClient-Server

22、 Request-responseTCP/WebSocket Publish-SubscribeExists in lightweight form (MQTT-SN)TCPClient-Server Server push41UDPClient-Server“LightweightHTTP”IoT 协议IOC 探测FortiAnalyzer 通过IOC检测，在 FortiView上显示受感染的终端设备的 详细信息，构成攻击事件关联表格； 后继，支持点击查看更详细信息跟进防御动作42Security Fabric I Single Pane of Glass管理隧道(FGFM)FortiMan

23、agerFortiAnalyzer4344接入层安全SECURITY FABRIC | NETWORKING统一的接入层安全控制共享服务ConfigurationUser/Device Identification and Control Content Inspection and Protection VisibilityLogs & ReportsRemote Access via VPNWired & Wireless Local Access集成基于安全的网络连通性管理45AP统一管理简易发现和授权无线AP通过GUI批量配置和升级、管理无线AP在SSIDs通过防火墙策略进行访 问控制和开启UTM 深层次防护SECURITY FABRIC | NETWORKING无线控制46交换机统一管理FortiG