如何運用來強化網路安全與網路效能2010/05/11 · 2010/6/1 1 1 如何運用來強化網路安全與網路效能群環科技 Fortinet 產品經理陳長宏手機：0975-736067

12010/6/1

1

如何運用來強化網路安全與網路效能

群環科技Fortinet 產品經理陳長宏手機：0975-736067Email：[email protected]

22010/6/1

企業面臨的資安危機與挑戰

惡意/

間諜/

木馬程式

病毒

蠕蟲傳遞

強制

瀏覽頁面

公司

機密

外洩

佔用

大量頻寬

版權侵犯

網路

釣客

不當網站

垃圾郵件

電子郵件 E-Mail

(Outlook, Web Mail..)v v v v v v

檔案上傳/下載 FTP

(Flashget..)v v v v v

網頁瀏覽 WWW

(IE, Netscape..)v v v v v

點對點傳輸 P2P

(Skype, eDonkey, Kazza ,..)v v v v v

總公司與分公司間的資料傳輸 v v v

即時訊息 IM

(ICQ, MSN, Yahoo Messenger..)v v v v v

AV AV IPS IPS IPS IPS WCF WCF AS

32010/6/1

為什麼要用UTM？

• 多重資安設備的缺點

– 多種不能相容的產品, 整合不易

– 提升人力管理的成本

– 增加網路中斷的機率

VPN

IPS

Users

ServersFirewall

Antivirus

Antispam

URL Filters

42010/6/1

為什麼要用UTM？

• 優勢

– 單一設備減少了廠商和設備的數量及故障節點

– 降低管理、營運及採購成本

VPN

IPS

Users

ServersFirewall

Antivirus

Antispam

URL Filters

52010/6/1

關於Fortinet

• 全球第一家以ASIC加速的整合式威脅安全解決方案(UTM)的領導者

• 全球獨一無二八個 ICSA 認証

• Gartner Report評比位於領導者象限

62010/6/1

FortiClient

FortiGate

FortiGate

外網使用者

分公司 FortiMail

內網使用者

伺服器

資料庫

FortiClient

FortiGate

FortiAnalyzarFortiManager

中央控管分析報表系統

弱點稽核管理FortiScan

FortiWeb

FortiDB

核心交換器FortiSwitch

FortiFoneFortiGate Voice

FortiGate Voice

72010/6/1

Fortinet安全防護解決方案

網路安全整合防護

垃圾病毒郵件過濾

資料庫安全稽核

應用程式防火牆

弱點掃瞄管理

個人安全防護

FortiGate FortiMail FortiDB FortiWeb FortiScan FortiClient

稽核分析系統

中央管理系統

FortiAnalyzar FortiManager

82010/6/1

Fortinet FortiGate

• 設備由小到大產品綿密、功能完整界面相同、管理設定完全相同一機完整具備八大功能、不需額外升級或插模組、韌體完全相容

– FW+IPS+AV

– IPSec VPN

– SSL VPN

– Anti-Spam

– Web Filter

– IM/P2P(HA+QoS)

92010/6/1

原生的完整內容安全ASIC加速晶片

• 防火牆 (Firewall)

– 預防及阻擋未經授權的網路連線

– 確保網路的服務品質 (QoS)

• 防毒(Antivirus)

– 阻擋病毒及含有惡意的編碼[隱碼]

攻擊

– HTTP, FTP, SMTP, POP3, IMAP

– Signatures, Heuristics, Activity

• 入侵偵測防禦(IPS)

– 偵測並阻擋含有惡意的網路行為(IDS/IDP)

– 阻擋未經授權的使用行為(如IM或IM的傳檔)

– Signature, Anomaly, Activity

Inspection

• VPN

– 允許安全的、授權的連線包括IPSec/SSL VPN

• 不當網頁過濾(URL Filtering)

– 控制或阻擋不適當的、非法的、以及政策不允許的內容存取 (URL

filtering)

– Static list, FortiGuard Web

Filtering

• 防垃圾信(Anti-Spam)

– Static list, FortiGuard Antispam,

RBL

• HA (High Availability) Clustering

高可用性

– 建置方式簡單即可達到AA(Active-

Active)功能，不會有任何設備閒置

• QoS 頻寬管理(Traffic Shaping)

– Guaranteed rate, Max rate, Traffic

priority

102010/6/1

FortiGuard

• 防毒 (AntiVirus)

• 入侵偵測防禦 (IPS)

• 網頁內容過濾 (Web Content Filter)

• 防垃圾郵件 (AntiSpam)

112010/6/1

五分鐘即時全球自動更新最新病毒碼及特徵碼

全球達10個 FortiUpdate

中心

-Automatic Push Update AV & IDP Updates Can

Reach All FortiGate Units Worldwide in

Under 5 Minutes

可採用主動更新及排程更新方式主動更新: 客戶跟FortiUpdate

註冊,當有新的更新,Update中心會主動通知進行更新

排程更新: 定期定時與Update

中心進行更新

122010/6/1

FortiCare

FortiCare服務內容：

• 客戶自行攜回維修 (RMA)

• 平均時間約兩週

132010/6/1

FortiGate 主力產品規格

產品 FG-50B FG-80C FG-110C FG-200B

FG-310B FG-620B FG-1240B

No AMCWith AMC(ASM-FB4)



防火牆效能 50 Mbps 350 Mbps 500 Mbps 5 Gbps 8 Gbps 12 Gbps 16 Gbps 20 Gbps 40 Gbps 44 Gbps

VPN效能(3DES) 48 Mbps 80 Mbps 100 Mbps 2.5 Gbps 6 Gbps 9 Gbps 12 Gbps 15 Gbps 16 Gbps 18.5 Gbps

最大同時連線數 25,000 100,000 400,000 500,000 500,000 600,000 2,000,000

每秒新增連線數 2,000 5,000 10,000 15,000 20,000 25,000 100,000

最大VPN通道數 20 200 1,500 2,000 3,000 20,000 20,000

防毒,防止間諜/惡意程式匣道器效能

19 Mbps 50 Mbps 65 Mbps 95 Mbps 160 Mbps 250 Mbps 900 Mbps

入侵防禦校能 30 Mbps 100 Mbps 200 Mbps 500 Mbps 800 Mbps 1 Gbps 1.5 Gbps

最大防火牆政策數 2,000 2,000 4,000 6,000 8,000 100,000 100,000

乙太網路(10/100)交換器埠

3 6 8 8 0 0 0 0 0 0

超高速乙太網路(10/100/1000)交換器埠

0 2 2 8 10 10 20 20 16 16

光纖SFP介面 --- --- --- --- --- 4 --- 4 24 28

WAN介面數 2 2 --- --- --- --- --- --- --- ---

DMZ介面數 0 1 --- --- --- --- --- --- --- ---

AMC 0 0 0 0 1 1 1

FSM 0 0 0 1 0 0 6

使用者自行定義Port NO NO YES YES YES YES YES YES YES YES

142010/6/1

FortiGate-50B

Hardware Performance

防火牆效能(Firewall Throughput)

50 Mbps

IPSec VPN效能(IPSec VPN Throughput)

48 Mbps

掃毒效能(Antivirus Throughput)

19 Mbps

入侵偵測效能(IPS Throughput)

30 Mbps

IPSec VPN 通道(Dedicated IPSec VPN Tunnels)

20

最大連線數(Concurrent Sessions)

25 K

每秒新增連線數(New Sessions/Sec)

2 K

最大防火牆政策數

(Policies)

2 K

• 2x 10/100 WAN Interface Port

• 3x 10/100 Configurable Ports

152010/6/1

FortiGate-200B


Firewall Throughput (512&1518/64) 5/4 Gbps

IPSec VPN Throughput 2.5 Gbps

Antivirus Throughput 95 Mbps

IPS Throughput 500 Mbps

Concurrent IPSec VPN Site Tunnels 2,000

Concurrent Sessions 500 K

New Sessions/Sec 15 K

Policies 6 K

Recommended Concurrent SSLVPN 200

Concurrent IPSec User VPN 2,000

• 4x 10/100/1000 NP2 accelerated

Interface Ports

• 4x 10/100/1000 Interface Ports

• 8x 10/100 Configurable Ports

• 1x FSM HDD bay

162010/6/1

FortiGate-1240B


Firewall Throughput (512&1518/64) 40-44/38-42 Gbps

IPSec VPN Throughput 16-18.5 Gbps

Antivirus Throughput 900 Mbps

IPS Throughput 1.5 Gbps

Concurrent IPSec VPN Site Tunnels 10 K

Concurrent Sessions 2 Mil

New Sessions/Sec 100 K

Policies 100 K

Recommended Concurrent SSLVPN 10,000

Concurrent IPSec User VPN 20,000

• 24x Gigabit NP4 Accelerated SFP

Interface Slots

• 14x 10/100/1000 NP4 accelerated

Interface Ports

• 2x 10/100/1000 Interface Ports

• 6x Fortinet Storage Module (FSM)

Slots (1x 64G HDD default)

• 1x Single-Width AMC Slot

• Dual AC power Supply

• DC Version Available

172010/6/1

Fortinet AMC Modules

ASM-FB4

• 4x Gigabit NP2 accelerated SFP

Interface Slots (4 SX transceivers incl.)

• Consistent performance for all packet

size for Firewalling

Firewall Throughput 4 Gbps

IPSec VPN Throughput 3 Gbps

ASM-FB8

• 8x Gigabit NP2 accelerated SFP

Interface Slots (4 SX transceivers incl.)


size for firewalling



1G 光纖模組

182010/6/1


ASM-XB2

• 2x 10G NP2 accelerated XFP Interface

Slots (2 transceivers incl.)





ADM-XD4

• 4x 10G NP4 accelerated SFP+ Interface

Slots (2 transceivers incl.)





10G 光纖模組

192010/6/1


ASM-CX4

• 4x 10/100/1000 Copper Interface ports

• Hardware Bypass module

Firewall Throughput NA

IPSec VPN Throughput NA

ASM-FX2

• 2x SERDES SX Fiber Interface Ports

• Hardware Bypass module



RJ45 UTP Bypass模組

SX 光纖 Bypass模組

202010/6/1


ASM-CE4

• 4x 10/100/1000 Copper Interface ports

• Security Processing module



ADM-XE2

• 2x XFP Gigabit Interface Slots (2

transceivers incl.)

• Security Processing module



RJ45 UTP IPS模組

XFP 光纖 IPS模組

212010/6/1


ASM-ET4

• 4x RJ-48C Ports

• Supports TDM T1/E1 full duplex

connections

Connection Speed 1.544 to 2.048 Mbps

RJ48 T1/E1模組

222010/6/1


ASM-S08

• 80 G HDD

• Storage Module



ASM-SAS

• 8 Serial Ports (4 per IB-SAS Connector)

• Storage Module



儲存裝置模組

232010/6/1

資安整合管理

• FortiManager & FortiAnalyzar

– 集中管理派送、報表、紀錄、稽核、完整內容監測

FortiGate

FortiAnalyzar

• 統一資安政策管理及派送• 統一病毒及特徵碼派送• VPN Manager

• 集中版本管理及軟體更新

• 集中式記錄, 報表, 告警• 中央資料庫與統合的檔案隔離• 提供主機系統弱點掃瞄• 稽核與法庭佐證• 網路流量分析儀 (sniffer)

• 事件追蹤( 確實掌握攻擊來源與中毒電腦位置)

FortiManager

242010/6/1

FortiAnalyzer

• 提供簡易網路弱點掃瞄工具, 定期為使用單位電腦做健康檢查• 流量、記錄、事件、告警等資料彙整• 流量統計分析• 異常狀況檢出、處置與統計• 自動化告警郵件通知• 提供各校報表與總表檢視• 網路流量分析儀 (Sniffer)

產品 10/100 10/100/1000 內建硬碟 RAID 網路分析事件

交互分析即時事件檢視功能

主機弱點掃描功能

支援設備數量

支援FC數量

熱插拔電源模組

適用型號

4000A 0 2 6TB 0,1,5,10,50 V V V V 2000 無限制 Yes All

2000B 0 6 2TB/6TB 0,1,5,10,50 V V V V 2000 無限制 Yes All

1000B 0 4 1TB/2TB 0, 1 V V V V 2000 無限制 No All

400B 0 1 500G/1TB 0, 1 V V V V 200 2,000 No All

100C 1 2 1TB N/A V V V V 100 100 No All

252010/6/1

完整記錄網路用戶的使用行為與內容效益:掌握攻擊來源與標的、紀錄加密具法律效益

針對企業客戶需求, 提供獨立與集中式的管控系統– 記錄, 報表, 告警– 中央資料庫與統合的檔案隔離– 提供主機系統弱點掃瞄– 稽核與法庭佐證– 網路流量分析儀 (sniffer)

FortiGate 隨時與安管中心保持互動:並且將所有的網路流量與行為, 集中記錄在安管系統:

– 集中流量記錄– 集中報表匯出– 集中記錄存放– 病毒檔案隔離與修復– 事件追蹤 ( 確實掌握攻擊來源與中毒電腦位置)– 從FortiGate可以直接瀏覽最近的記錄分析報表

FortiAnalyzer

完整內容安全的稽核與報表

262010/6/1

FortiAnalyzer 提供完整內容監測

272010/6/1

FortiAnalyzer MSN紀錄與傳檔

282010/6/1

FortiAnalyzer中文報表

292010/6/1

• 提供整合式管理與監控• 簡易操作介面 (正體中文)

• 同時管控多台的FortiGate

• 簡化網路管理者的工作• 提供系統佈署、設定、監控與維運• 提供於分散系統中建立與執行相關安全政策• 提供HA架構部署

FortiManager

產品 10/100 10/100/1000 內建硬碟 HA 支援所有FG功能與設定

支援不同權限管理者

設定檔範本派送

支援FG數量

支援FC數量

熱插拔電源模組

適用型號

3000C 0 4 2TB V V V V 5000 120,000 V All

1000C 0 4 1TB V V V V 800 25,000 V All

400B 0 4 500GB V V V V 200 10,000 V All

100 4 0 250G V V V V 10 2,500 V FG30 - FG110C

302010/6/1

FortiManager 集中管理控管

312010/6/1

FortiOS 4.0

• 新版的FortiOS 4.0包含了四大技術強化網路安全

– 廣域網路(WAN)效能最佳化• 利用cache及壓縮技術，加速應用程式在廣域網路環境下傳送

– 應用程式控制• 針對流量中的應用程式行為進行控制，取代之前利用Port或

Protocol限制

– SSL 深層檢視• 針對加密連線的封包進行檢測，增加安全及規則的管理

– 資料洩漏防護 (DLP)• 辨識及防護機敏資料的洩漏

322010/6/1

廣域網路(WAN)效能最佳化

• 封包壓縮

• Proxy Cache機制暫存轉送

332010/6/1

廣域網路(WAN)效能最佳化

• 利用Cache技術加速

• 支援應用程式

– 檔案傳輸 (CIFS, FTP)

– 電子郵件(MAPI with

MS Exchange / MS

Outlook)

– 網站(HTTP / HTTPS)

– 一般(TCP)

• FortiClient結合– 遠端或是手機可透過

FortiClient連線

342010/6/1

應用程式管控

• 超過1000個應用程式管控

http://www.scottrade.com/index.asp

http://webex.com/index.html

http://twitter.com/

http://www.jabber.com/

352010/6/1

應用程式分類

數千種應用程式分類

362010/6/1

SSL深層檢視深層檢視

• 透過Proxy方式

– 針對SSL封包進行分析

– 新增Secure Web的安全防護

– 增加在網路上封包的分析能力

– 支援

• HTTPS

• POP3S

• SMTPS

• IMAPS

372010/6/1

利用管理者所定義的過濾規則去偵測HTTPS的流量

過濾 HTTPS 流量

Corporate

LAN

使用者連線到HTTPS server

FortiGate連線

FortiGate 透過代理的方式(Proxy)

連線到伺服器端

382010/6/1

資料洩漏保護 (DLP)

• DLP偵測機制– 定義資料偵測保護的規則

• DLP回應機制– 紀錄, 阻擋, 搭配FortiAnalyzer可以備

份檔案

– 禁止或隔離使用者

•

支援的檔案型態– Text, PDF, MS Word (up to and

including 2007 versions)

392010/6/1

競爭優勢

FortiGate Juniper Check point Cisco Sonicwall

WAN optimizationSeparate

Device

Separate

Device

Application Control

DLPSeparate

Device

SSL InspectionSeparate

Device

Separate

Device

Separate

Device

402010/6/1

FortiOS 4.0

40

特徵支援型號

WAN Optimization50B-HDD, 110C-HDD, 310B*, 620B*, 3016B*,

3600A*, 3810A*, 5001A-SW*

Application Control All platform supporting V4.0

DLP All platform supporting V4.0

SSL Content Inspection110C, 110C-HDD, 310B, 620B, 3016B, 3600A,

3810A, 5001A, 5005FA2

支援有硬碟版本FG

支援有CP6晶片FG

(content加速晶片)

412010/6/1

網路防疫管理機制 NIMHP ProCurve整合FortiGate解決方案

• PCM+• NIM

透過每個交換器連接埠做出反應,重新設定交換器

鏡射可疑的網路流量

入侵偵測設備(IDS)發出警告

FortiGate

網路交換器

422010/6/1

Fortinet Booking Rule

• FG-110C需上內部Booking(群環內部列管)

• 中信局契約價超過100萬需上Booking

• FG-200B(含)以上Model需Booking

• FG-50B, FG-80C, FG-110C單一專案5台以上需Booking

• FG-200A(含)以上FortiCare與FortiGuard 保固需Booking

• 大型專案，Fortinet產品佔總價低於10%，Booking OPEN

432010/6/1

什麼時候會遇到銷售機會？

• 客戶需求出現，舉凡– 我要做防火牆

– 我要讓外面的使用者連線回總公司 (VPN)

– 我要做總公司與分公司的連線 (VPN)

– 我要防病毒 (AV)

– 我要做同時有防火牆與入侵偵測防禦的功能 (IPS)

– 我要限流限速 (Traffic shape)

– 我要管理即時通訊軟體與傳檔 (IM/P2P)

– 我要擋Facebook或其他(老闆心目中)不當網站 (WCF)

– 我要擋垃圾郵件 (AS)

442010/6/1

Fortinet如何強化網路安全與效能

• FortiGate提供了優於業界水準的防火牆效能

• FortiGuard Update Service提供了強大完整且即時的資訊安全特徵碼資料庫更新

• Fortinet從– Gateway端(FortiGate、FortiGate Voice)

– Server Farm(FortiWeb、FortiMail、FortiDB)

– 到User Zone(FortiClient、FortiFone)

提供完整的資安整體解決方案

• FortiManger、FortiAnalyzer、FortiScan提供全面的部屬管理、資訊監控、報表產出與分析，讓資訊人員能全面掌握企業資訊安全狀況

• 全新的FortiOS 4.0提供企業主– 更佳的廣域網路加速效果

– 種類更多更全面的網路應用程式控管

– SSL加密連線檢查讓企業主的資訊安全防護更加完整

– DLP資料外洩防護防止企業內部機密資訊外流，降低企業損失風險

452010/6/1

群環科技-Fortinet 銷售協助

• 事前銷售規劃--- Products Sales、Presales

• 技術教育訓練--- 每月定期開班、區域專案開

班

• 售後安裝服務

462010/6/1

謝謝大家!!

Documents

如何運用 來強化網路安全與網路效能2010/05/11 · 2010/6/1 1 1 如何運用 來強化網路安全與網路效能 群環科技 Fortinet 產品經理陳長宏 手機：0975-736067

如何運用來強化網路安全與網路效能2010/05/11 · 2010/6/1 1 1 如何運用來強化網路安全與網路效能群環科技 Fortinet 產品經理陳長宏手機：0975-736067