Embed Size (px)
Citation preview
FortiGate UTM termékcsalád Teljesítménycentrikus hálózatbiztonság
Az Unified Threat Managemet (UTM) megoldások célja, hogy egy integrált eszközben nyújtsanak olyan hálózatbiztonsági funkciókat, amelyek megvédik a vállalati infrastruktúrát a legösszetettebb fenyegetésekkel szemben is. Azonban a sávszélességek növekedése miatt – hiszen ma már nem ritka a 100-120 Mbit/sec sebességű internetkapcsolat sem – az UTM eszközök teljesítménye a legtöbb esetben nem elegendő a valós idejű hálózatbiztonsági szolgáltatások megvalósításához. A probléma magából az UTM megoldások architektúrájából fakad: a hagyományos 32 vagy 64 bites processzorral szerelt eszközök nem képesek feldolgozni a szélessávú adatkapcsolaton keresztül érkező forgalmat, így minden egyes UTM funkció bekapcsolásával exponenciálisan csökken az eszközök áteresztőképessége.
A Fortinet FortiGate UTM termékcsaládja azonban szakít a hagyományos architektúrával: A FortiGate UTM eszközökben saját fejlesztésű ASIC processzorok (Application-Specific Integrated Circuit) dolgoznak, így a FortiGate eszközök teljesítménye alig összehasonlítható a hagyományos UTM megoldásokéval. A FortiGate termékcsalád minden tagja az ASIC processzorok használatával akár egy időben képes a nagysebességű adatkapcsolatok kezelésére, tűzfal, IPS, antivírus, Wi-Fi controller, VPN, SSL VPN szolgáltatásokra, web- és e-mail tartalom-, vagy akár applikációszűrésre is.
A teljesítmény mögött: FortiASIC és FortiOS
Az alkalmazás és célspecifikus processzor ok használata olyan teljesítményr e teszi képessé a FortiGate eszközöket, amelyeket a hagyomány-os processzorok használatával nem lehet elérni. A FortiASIC a Fortinet saját fejlesztésű célpro-cesszor családja, amely a csomagfeldolgozást és a csomagvizsgálatot gyorsítja fel.
FortiASIC NP – Network ProcessorA Network Processor feladata a hálózati csomagkezelés felgyorsítása és a tűzfal, QoS , virtualizáci ó, routing , traffic shaping szo lgá ltatások gyorsítása. Az alacsony késleltetésű alkalmazások (pl. multimédia vagy VoIP forgalom) kiszolgálásáért és a valós idejű csomagfeldolgozásért (pl. IPS) szintén a FortiASIC NP felel. A FortiASIC alkalmazás és célspecifikus processzor ok használatával jól skálázható és elképesztő teljesítményre képes (akár 500 Gbps áteresztés) hálózatbiztonsági megoldás vezethető be.
FortiOS – Network Security OSA FortiASIC processzor ok kihasználására a Fortinet - szakítva a hagyo-mányos Linux kernelen alapuló megoldásokkal - saját operációs rendszert fejlesztett. A FortiOS szoftver esen támogatja az egyedi fejlesztésű hardvert, így a szolgáltatások maximálisan ki tudják használni a FortiASIC nyújtotta teljesítményt. A FortiOS minden FortiGate eszközben ugyanazokat a szol-gáltatásokat nyújtja (hardverlimitáltan), így a kisebb UTM eszközök is nagy-vállalati funkciókkal támogatják a hálózatbiztonságot.
FortiASIC CP – Content ProcessorAz IPSec és SSL VPN kapcsolatok, valamint a kulcs-menedzsment támogatása mellett a VPN adat-kapcsolatok titkosításáér t felelős ASIC processzor. A VPN szolgáltatásokon túl a FortiASIC CP felel a nagy sebességű és inline antivírus szűrésért, valamint a web tartalom- és applikáció/protokoll-szűrésért és tartalomvizsgálatért.
Applikáció kontrollAz applikáció kontroll biztosítja az adott protokollon belül
használnak (pl. HTTP-n belül Facebook játékok, webes levelezés stb.),de az alkalmazás felismerésével sokkal engedélyezett,
felismerhető alkalmazások detektálását és szignatúraalapú. Az alkalmazások egy adott protokolltszűrését
pontosabb szűrésiFacebook URL-szűrésben engedélyezett,
Antivírus / Antispyware
átfolyó adat folyamatos ellenőrzése) antivírus ellenőrzéseket is.
A FortiGate UTM eszközök gateway-szintű antivírus FortiOS rendszerük támogatja a hagyományos fájlalapú (a
szolgáltatásokkal erősítik a vállalati vírusvédelmet.vizsgálathoz a fájlnak le kell töltődnie) és az inline/flow base (az
FortiOS Szolgáltatások
szabályok hozhatóak létre ( pl. HTTPde Facebookon belül nem indítható el a TikiFarm alkalmazás, vagy HTTP
engedélyezett, de SSL tunnelben P2P alkalmazás nem engedélyezett).
DLP
Web és URL szűrés
Vezeték nélküli controller
WAN optimalizáció
tűzfalszolgáltatást biztosít a FortiGate
2 milliárd URL-ből
A FortiGate web- és URL szűrő
őellen rizhető
vezeték
mint a vezetékes hálózat esetében. szűréseken
mehet
keresztül,
UTM eszköz a szolgáltatásfelhőben ellenőrzi a
őlehet
Felhasználó vagy csoportszint tűzfalűeszközök
vanlehetőség
Végponti NAC
naprakészséget. A NAC modul segítségével a FortiGate csak olyan klienst enged az internet irányába kommunikálni,amelynek biztonsági beállításai megfelelnek a vállalati szabályzatnak.
A NAC modul kikényszeríti a végponti
együtt.m ködikű
biztonság ( AV, tű rzi aő
IPSAz integrált IPS modul több mint 4000 támadási formát képes
a protokoll- vagy viselkedés anomáliák észlelésére, így felismeri
protokollon belül képes meghatározni az adatforgalom típusát és
felismerni. A szignatúra alapú IPS funkciók mellett az olyan támadásokat, amelyek
szignatúráját még nemmintát képes felismerni, így a képes nem
szolgáltatásfelhőjében
lehet ség vanő
szignatúra-adatbázis mellettőlehető ű ű
frissítésekA Fortinet biztonsági laboratóriuma (Fortinet® Global
URL vagy alkalmazás besorolását vagy egyeztetik a levelek
üzemeltet,
frissítési problémákat.
Az URL kategória, az applikációadatbázis-
frissítésre. található,szig -
natúráját. Az IPS és antivírus adatbázisok a helyiFortiGuard Service gondoskodik.
Szolgáltatásfelh (FortiGuard Service) és real-timeőSecurity Research Team) egy olyan szolgáltatásfelh tő
zfal stb. ) megfelel beállítását, és ellenő
található. URL szűréskor az
amely megszünteti a helyi nagy méretű szignatúra- vagy URL adatbázisok méretéb l adódóőAz adatbázisok a szolgáltatásfelh b lő ő vehet k igénybe, így nincs szükség napi sok száz Mbyte-nyiő
adatbázis és a spam adatbázis is a FortiGuard felh benőés az UTM eszközök a felh t l kérdezik le az adottő ő
FortiGate eszközökön találhatók, és frissítésükr l szintén aő
lehet ség ő
mintaillesztéssel vizsgálja az adatfolyamot (digitális lenyomatok,reguláris kifejezések, kulcsszavak),Az adatszivárgás kockázatát csökkentő modul precíz
egyszerűen
vizsgálatára is.
sezssö za leviM .lóbtazóláhtásázovát kotada ynekézréza azzoyládakagem séforgalom a FortiGate UTM eszközön folyik át, így a web, FTP, SSL, e-mail adatforgalmak
ek, de a gyakran használt protokollok mellett útnopmezsPLD llokotorpylemráb nav
alkalmazása szolgáltatás ( FortiGuard ) alapú. A 76 kategóriából és több mint álló adatbázis nem a FortiGate eszközökön, hanem a Fortinet
lekért URL besorolását, majd.téséréle LRU za arámázs ólánzsahlef a izeylédegne ygav ajlokkolb nájpala rezsdnerylábazs iyleh a
ólupala nekesézejefik siráluger ygav savazsscluk a ,tásázohertél sizábtada LRU tájas ,iyleh a ajtagomáT.si takóicknuf edirrevo sé atouq a ,tekerezsdnerylábazs
Minden FortiGate és FortiWifi biztonsági eszköz egyben vezeték nélküli kontrollerként is funkcionál,vé téve a FortiAP-k és vezeték nélküli LAN - ok központi menedzsmentjét. A nem engedélyezett
nélküli forgalom blokkolható, míg az engedélyezett forgalom ugyanolyan biztonsági
A WAN optimalizációs modul az összekapcsolt branch- és központi hálózatok közötti kommunikációt képes protokoll
mellett is gyorsabb adat- és szolgáltatáselérés valósítható meg.optimalizációval és cache - szolgáltatással támogatni. A WAN optimalizáció használatával kisebb sávszélesség
A FortiOS felhasználó vagy csoportszintu (identity-base)számára. A FortiGate eszközt a vállalati autentikációs adatbázissal ( AD, LDAP stb. ) integrálva
ráka ed ,arájléc ygav erémícsárrof kogamosc a kascmen loha ,arásázohertél kerezsdnerylábazs silibixelf naylomagára a felhasználóra vagy csoportjára is létrehozhatunk szabályrendszert.
A FortiGate NAC modulja a kliens oldali biztonságot megvalósító FortiClient Endpoint Security- vel
tartalmazza az adatbázis. Az IPS szignatúrák mellett a FortiOS több mint 1000 alkalmazás-
frissülengedélyezett adatforgalom esetén beavatkozni. A beépített és folyamatosan ség van egyedi szignatúrák SNORT-nyelv hozzáadásáraés akár csomagszint adatforgalom rögzítésre.
A FortiGate UTM eszközök spam-, antivírus- és e-mail SMTP(S)
(FortiGuard) lehet igénybe venni. terheléshez a Fortinet egy külön appliance-alapú eszközt, a
archiválás
szolgáltatást is nyújt.
és IMAP(S) protokollokhoz.
adatbázisa dolgozik,
amelyet a Fortinet vagy extrém e-mail FortiMailt ajánlja, amely a
tartalomsz r szolgáltatásokat nyújtanak a POP3(S),ű őE-mail sz résű
Az e-mail sz rű ő funkciók mögött a Fortinet saját fejlesztés spaműszolgáltatásfelh jéb lő ő Nagyvállalati e-mail tartalomsz réshezű
sz rések mellett emailű
VPN és SSL VPNA FortiGate eszközök VPN koncentrátorként is
és biztosítja a VPN kapcsolatot. SSL Portál alkalmazásával aeszközbe jelentkeznek be, és manuálisan le tudják tölteni az
használatával agentless és tunnel nélküli kapcsolatotWindows szerverekkel vagy UNIX kiszolgálókkal.
IPSec, PPTP,
L2TP és SSL VPN szolgáltatásokat. SSL VPN számítógépre,amely automatikusan kiépíti az SSL tunnelt felhasz-nálók HTTPS protokollon keresztül a FortiGate agentet, vagy a Portálra kihelyezett alkalmazások kezdeményezhetnek
m ködhetnek. FortiOS operációs rendszerük támogatja azűesetén egy agent alkalmazás tölt dik le a klienső
a vállalati levelez szerverrel (OWA),ő
Az SSL forgalom man-in-the-middle terminálásával a FortiGate UTM eszközök képesek kicsomagolni és
kockázata is.
megvizs-gálni az SSL/HTTPS csatornák adatforgalmát, így adatforga-
SSL sz résű
nem csak a rosszindulatú kódok sz rhet k ki a titkosítottű őlomból, de csökkenthet az adatszivárgáső
VoIP védelem
korlátozzukAz eszköz képes a SIP és SCCP protokoll értelmezésére és manipulálására, így lehető
az adott idő alatt történ különböz parancsokat és kéréseket ( pl. INVITE, REGISTER, BYE ). A FortiGate teljesenő őtranszparensen nyújt védelmet a VoIP központnak a különböz SIP sebezhet ségek ellen.ő ő
Kétfaktoros autentikáció
A FortiGate eszköz OTP szerverként is funkcionálhat, így a FortiToken eszközök használatával biztonságosabbátehetjük a VPN bejelentkezést, illetve az eszköz konfigurációs felületére történ belépéseket. A FortiToken használataősorán egy számsorozatot kapunk, ami nem visszafejthető, és csak egy adott ideig érvényes. A felhasználókhozrendelhet token segítségével nem elegendő ő a felhasználónév és jelszó páros birtokában lenni, hanem a fizikaieszközzel is rendelkeznünk kell, ezáltal sokkal biztonságosabbá tehetjük az er források elérhet ségét.ő ő
L2/L3 routingA FortiGate eszközök a FortiOS-be integrált routingdinamikus ( BGB, RIP, OSPF, IS-IS, Multicast stb. ) adatforgalom routingot.
eltérhetnek, támogatott a zone-to-zone routing vagy akár a policybaselétrehozott virtuális UTM eszközök között is megvalósítható a routing.
A routolási szolgáltatások akár biztonsági zónánként is routing is. Virtualizáció esetén a fizikai UTM eszközben
szolgáltatásoknak köszönhet en támogatják a statikus éső
QoS és traffic shapingA FortiOS QoS és traffic shaping szolgáltatással támogatja
Akár felhasználónként vagy csoportonként és protokollonként külön forgalom-menedzsment szabályokhozhatók létre.
protokollokat.
az alacsony válaszidej ( VoIP, multimédia stb. )ű
Teljes eszköz virtualizációeszközökön teljesen virtualizált UTM eszközöket
szolgáltatásra és a fizikai portokra is, így a fizikai FortiGate-en
nem csökkenti az eszköz(ök) teljesítményét.
hozhassunk létre. A virtualizáció kiterjed az összes UTM belül létrehozhatók a különálló hálózatokat önállóan virtualizáció a
őA FortiOS lehet vé teszi, hogy a fizikai FortiGate UTM
őmenedzsel , eltér konfigurációjú UTM eszközök. Aő ő
FortiASIC architektúrának köszönhet en
ség nyílik arra, hogy
ANTIVIRUS / ANTISPYWARE
Includes Antispyware and Worm PreventionProtocols: HTTP/HTTPS SMTP/SMTPS POP3/POP3S IMAP/IMAPS FTP Major IM ProtocolsFlow-Based Antivirus Scanning ModeAutomatic “Push” Content UpdatesFile Quarantine SupportDatabases: Standard, Extended, Extreme, FlowIPv6 Support
WEB FILTERING76 Unique Content CategoriesFortiGuard Web Filtering Service Categorizes over 2 Billion Web pagesHTTP/HTTPS FilteringWeb Filtering Time-Based QuotaURL/Keyword/Phrase BlockURL/Category ExemptBlocks Java Applet, Cookies, Active XMIME Content Header FilteringIPv6 SupportFlow-based Web Filtering
APPLICATION CONTROLIdentify and Control Over 1400 Applications
Facebook Application and Category Controlrvices Support Per-Application
Control Popular IM/P2P Apps Regardless of Port/Protocol:AOL-IM Yahoo MSN KaZaaICQ Gnutella BitTorrent MySpaceWinNY Skype eDonkey Facebook
INTRUSION PREVENTION SYSTEM (IPS)
Protection From Over 3000 ThreatsProtocol Anomaly SupportCustom Signature SupportAutomatic Attack Database UpdateIPv6 Support
DATA LOSS PREVENTION (DLP)
Built-in Pattern DatabaseRegEx-based Matching Engine for Customized Patterns
Customized PatternsSupports IM, HTTP/HTTPS, and MoreMany Popular File Types SupportedInternational Character Sets SupportedDocument FingerprintingFlow-Based DLP Scanning Mode
ANTISPAMSupport for SMTP/SMTPS, POP3/POP3S, IMAP/IMAPSReal-Time Blacklist/Open Relay Database ServerMIME Header CheckKeyword/Phrase FilteringIP Address Blacklist/Exempt ListAutomatic Real-Time Updates From FortiGuard Network
ENDPOINT COMPLIANCE AND CONTROLMonitor & Control Hosts Running FortiClient Endpoint SecurityVulnerability Scanning of Network Nodes
FIREWALL
NAT, PAT, Transparent (Bridge)Routing Mode (RIP, OSPF, BGP, Multicast)Policy-Based NATVirtual Domains (NAT/Transparent mode)VLAN Tagging (802.1Q)Group-based Authentication & SchedulingSIP/H.323 /SCCP NAT TraversalWINS SupportExplicit Proxy Support (Citrix/TS etc.)VoIP Security (SIP Firewall / RTP Pinholing)
Identity/Application-Based PolicyVulnerability ManagementIPv6 Support (NAT / Transparent mode)
VIRTUAL PRIVATE NETWORK (VPN)
PPTP, IPSec, and L2TP + IPSec SupportSSL-VPN Concentrator (including iPhone client support)DES, 3DES, and AES Encryption SupportSHA-1/MD5 AuthenticationPPTP, L2TP, VPN Client Pass ThroughHub and Spoke VPN Support
IPSec NAT Traversal
Dead Peer DetectionRSA SecurID Support SSL Single Sign-On BookmarksSSL Two-Factor AuthenticationLDAP Group Authentication (SSL)
FortiOS Biztonsági Szolgáltatások
NETWORKING/ROUTINGMultiple WAN Link SupportPPPoE SupportDHCP Client/ServerPolicy-Based RoutingDynamic Routing for IPv4 (RIP, OSPF, IS-IS, BGP, & Multicast protocols)Dynamic Routing for IPv6 (RIP, OSPF, & BGP)Multi-Zone SupportRoute Between ZonesRoute Between Virtual LANs (VLANs)Multi-Link Aggregation (802.3ad)IPv6 Support (Firewall, DNS, Transparent Mode, SIP, Dynamic Routing, Admin Access, Management)VRRP and Link Failure ControlsFlow Client
TRAFFIC SHAPING
ated Ser rv) SupportGuarantee/Max/Priority Bandwidth
VIRTUAL DOMAINS (VDOMs)Separate Firewall/Routing DomainsSeparate Administrative DomainsSeparate VLAN Interfaces10 VDOM License Std. (more can be added)
DATA CENTER OPTIMIZATIONWeb Server Caching TCP Multiplexing
WCCP Support
HIGH AVAILABILITY (HA)Active-Active, Active-PassiveStateful Failover (FW and VPN)
Link Status MonitorLink failoverServer Load Balancing
WAN OPTIMIZATIONBi-Directional / Gateway to Client/GatewayIntegrated Caching and Protocol OptimizationAccelerates CIFS/FTP/MAPI/HTTP/HTTPS/Generic TCPRequires a FortiGate device with Hard Drive
MANAGEMENT/ADMINISTRATION OPTIONSWeb UI (HTTP/HTTPS)Telnet / Secure Command Shell (SSH), and Command Line Interface (CLI)Role-Based AdministrationMulti-language Support: English, Japanese, Korean,
Multiple Administrators and User LevelsSystem Software Rollback
Customizable Dashboard Widgets (Web UI)Central Management via FortiManager (optional)
LOGGING/MONITORING/VULNERABILITY MGMTNetwork Vulnerability ScanningGraphical Report Scheduling SupportGraphical Real-Time and Historical MonitoringLocal and Remote Syslog/WELF server loggingSNMP Support
VPN Tunnel MonitorOptional FortiAnalyzer Logging (including per-VDOM)Optional FortiGuard Analysis and Management Service
FIREWALL USER AUTHENTICATION OPTIONSLocal Database Windows Active Directory (AD) Integration (w/ FSAE)External RADIUS/LDAP/TACACS+ Integration Xauth over RADIUS for IPSEC VPN RSA SecurID SupportLDAP Group SupportFortiToken Support
WIRELESS CONTROLLER
Automatic Provisioning of APsOn-wire Detection and Blocking of Rogue APsVirtual Multiple Authentication Methods
FortiOS Hálózati Szolgáltatások
FortiOS Menedzsment Szolgáltatások
FortiOS Tanúsítványok
