Fortinet ProductOverview
January 2005
Fortinet ConfidentialFortinet Confidential
Fortinet Company Overview
Fondée en 2000 par Ken XieFondateur et CEO de NetScreen (NASDAQ: NSCN)
550 employees; Siège a Sunnyvale, Californie Dirigée par une équipe de visionnaires expérimentés
Ken Xie, Michael Xie, Joe Wells, MIT team 550 employees; Siège a Sunnyvale, Californie Bureau dans tous les USA, EMEA et Asia
Belgium, France, Germany, Italy, Sweden, UKTokyo, Seoul, Beijing, Shanghai, Hong Kong, Taipei, Singapore, KL, etc.
Premier créateur dans la monde de solution Antivirus sur base ASICCeci afin d’adresser la demande de protection en temps-reelPlus de 80,000 Fortigate vendus dans la monde
Revenue multiplier par 10 en 1 an (2002 - 2003)Croissance la plus importante dans l’histoire du IT
CONFIDENTIAL
Fortinet ConfidentialFortinet Confidential
La Vision
• Les produits de Fortinet couvrent toutes les briques de la sécurités du contenu,
ceci afin d’éviter ou de diminuer les problématiques d’attaques multiples. Ceci
grâce au Fortigate, la seule solution Multi gigabit pour les accès internet des
opérateurs télécoms et pour toutes les grandes entreprises, sans oublier de
protéger les accès de l’utilisateur nomades.
• Le management des solutions de sécurités Fortinet est effectué par une autre
gamme d’Appliances nommées le Fortimanager. Fortimanager est une solution
complète pour facilement déployer, administré et contrôlé vos solutions Fortigate.
• Fortinet, développe et vends des produits Reseaux industriel, avec un très haut
niveau de performance, ceci en intégrant les solutions Firewall, Vpn, antivirus, et
Intrusion Protection.
• Ceci toujours dans une problématique, afin d’offrir une meilleur protection contre
les attaques multiples.
Fortinet ConfidentialFortinet Confidential
Pourquoi Fortinet ?
• Une grande experience dans la marché de sécurité– 2,200+ clients grands comptes
– 80,000 produits vendus
– 4 certification ICSA (FW, AV, VPN, IPS)
– EAL 4 en instance (4+ aussi en instance)
– FIPS 140-2 en Septembre 2004
– Fournir un accroissement du service, en réduisant les coûts d’infrastructure et
de déploiement, les solutions type Hardware Fortinet, se prête complètement
à la fourniture de service additionnel, sans rajouter continuellement des
nouvelles plateformes pour manager et superviser ces services.
– Fortinet à plus de 20 boitiers, qui permette de sélectionner le bon service à
fournir, aussi bien pour des clients type PME – PMI, pour les MSSP, les
opérateurs en bien évidemment les très grandes entreprises.
– Fortinet à été récompensé pour sa technologie, par une série de Awards du
monde de la presse IT.
Fortinet ConfidentialFortinet Confidential
Unified Threat Management (UTM) Security Appliance Market = unification of firewall and gateway anti-virus into a single platform Fortinet ranked #1
IDC Reports Fortinet’s UTM Market Leadership!
New!
• UTM market revenue started at $85 million in 2003 -- over the next 3 years, UTM appliance sales will exceed that of standard firewall/VPNs
• Firewall/VPN segment – baseline $1.5 billion revenue in 2003
• 2003 revenue of 17% annualized growth rate for combined UTM and stand-alone Firewall/VPN category, $3.45 billion by 2008
Fortinet ConfidentialFortinet Confidential
“The UTM market is being created because it is quickly catching on with customers and vendors. UTM incorporates firewall, intrusion detection and prevention, and AV in one high-performance appliance.” -- IDC, 2004
Worldwide Threat Management Security Appliances Forecast, 2004-2008 ($M)
2003 2004 2005 2006 2007 2008 2003
Share
(%)
CAGR
(%)
2008
Share
(%)
Firewall/VPN $1,479.1 $1,667.
7
$1,791.6 $1,804.4 $1,623.5 $1,462.3 93.4% -0.2% 42.4%
UTM Security
Appliance
$104.9 $225.0 $517.5 $828.0 $1,324.8 $1,987.2 6.6% 80.1% 57.6%
Total TM
Security
Appliance
$1,584.0 $1,892.
7
$ 2,309.1 $2,632.4 $2,948.3 $3,449.5 16.8%
UTM Products Will Overtake Standalone VPN/Firewalls by 2008
Fortinet ConfidentialFortinet Confidential
IDC UTM Leadership Over Point Solutions
WW Unified Threat Management Appliance Revenue by Vendor, 2003 ($M)
Vendor Revenue Units Revenue Share Average Vendor Revenue
Fortinet (#1) 30.9 21496 29.5% $ 1,437.48
Symantec 24.0 13790 22.9% $ 1,740.39
Secure Computing 22.8 5050 21.7% $ 4514.81
ServGate 12.0 11743 11.4% $ 1,021.89
Netscreen (acquired by
Juniper)
5.2 6601 5.9% $ 787.76
eSoft 4.0 3162 3.8% $ 1,265.00
Pyramid Computer 1.3 509 1.2% $ 2,554.03
Others 4.7 3680 4.5% $ 1,227.12
Total 104.9 66031 100.0% $ 1,588.84
Source: IDC, 2004
“Fortinet, with the only ASIC based AV accelerated UTM appliances, led this UTM market in 2003, with $30.9 million in revenue and a 29.5% share of the worldwide market.” -- IDC, 2004
Fortinet ConfidentialFortinet Confidential
FortiGate Product Family
Integrated LoggingIntegrated Logging
High Availability, VLAN supportHigh Availability, VLAN support
High port densityHigh port density
Gigabit EthGigabit Eth
Gigabit perfGigabit perf
Redundant PS, VDomRedundant PS, VDom
FortiGate Product FamilyFortiGate Product Family
TH
RO
UG
HP
UT
TH
RO
UG
HP
UT
FortiGate-100AFortiGate-100A
FortiGate-300AFortiGate-300A
FortiGate-400AFortiGate-400A
FortiGate-5000FortiGate-5000
FortiGate 500AFortiGate 500A
FortiGate-200AFortiGate-200A
FortiGate-3600FortiGate-3600
FortiGate-60 / FortiWifiFortiGate-60 / FortiWifi
FortiGate-1000FortiGate-1000
FortiGate-3000FortiGate-3000
FortiGate 800FortiGate 800
FortiGate-50AFortiGate-50A
SOHOSOHO Branch OfficeBranch Office Medium EnterpriseMedium Enterprise Large EnterpriseLarge Enterprise Service Provider/TelcoService Provider/Telco
Same Feature Set ThroughoutSame Feature Set Throughout
Fortinet ConfidentialFortinet Confidential
Fortinet Product Family
FortiGate Product FamilyFortiGate Product Family
FortiManager-400AFortiManager-400A
SOHOSOHO Branch OfficeBranch Office Medium EnterpriseMedium Enterprise Large EnterpriseLarge Enterprise Service Provider/TelcoService Provider/Telco
FortiManager-3000FortiManager-3000FortiLog-100FortiLog-100
FortiLog-400FortiLog-400
FortiLog-800FortiLog-800
Cap
acit
yC
apac
ity
FortiMail-400FortiMail-400
FortiMail-2000FortiMail-2000
New!
FortiReporterFortiReporter
FortiClientFortiClient
Fortinet ConfidentialFortinet Confidential
Fortinet Delivers UTM Solutions for the Managed Security Service Provider
Fortinet ConfidentialFortinet Confidential
Fortinet Delivers UTM Solutions for the Enterprise
Fortinet ConfidentialFortinet Confidential
Fortinet Delivers UTM Solutions for the Small & Medium Business
Fonctionnalités
Fortinet ConfidentialFortinet Confidential
Fonctionnalités FortiGate
• Pare-feu
• VPNs
• Services de protection des flux réseau:– Services disponibles:
• Antivirus
• Filtrage Web
• Antispam
• IPS
– Activation des services:• Création d’un profil
• Mis en service par
règle pare-feu
Défnition de profils distincts en Défnition de profils distincts en fonction des services activésfonction des services activés
Fortinet ConfidentialFortinet Confidential
Activation des services par règle pare-feu
Activation de différents profils Activation de différents profils de protection en fonction des de protection en fonction des règles pare-feurègles pare-feu
Fortinet ConfidentialFortinet Confidential
Protection différenciée en fonction des groupes utilisateurs
Sélection des Sélection des communautés communautés utilisateursutilisateurs
Fortinet ConfidentialFortinet Confidential
Protection différenciée en fonction des groupes utilisateurs
Association de groupes Association de groupes utilisateurs à des profils de utilisateurs à des profils de
protection spécifiqueprotection spécifique
Fortinet ConfidentialFortinet Confidential
Caractéristiques Antivirus
• Seule plate-forme ASIC antivirus certifiée ICSA
• Méthode de recherche antivirus– Signatures
– Analyse Macro
– Heuristique (fichiers exécutable PE)
• Efficacité de recherche– Recherche contextuelle – Consultation des sections appropriées de la
base de connaissance, relativement à la nature des données analysées
• Haute performance– Seule solution d’antivirus de flux accéléré par ASIC pour un traitement
temps réel
– Analyse des protocoles temps réel comme HTTP sans délai notable
– Performances inégalées à ce jour: 5x à 10x fois supérieures aux solutions logicielles traditionnelles
Fortinet ConfidentialFortinet Confidential
La problématique des antivirus HTTP
• Plus de 25%+ des contaminations sont réalisées par le Web– Téléchargement Web
– Courriel web
– Etc.
• Les solutions logicielles sont trop lentes pour l’analyse du trafic Web
• Seule une solution ASIC peut apporter la puissance de traitement requise
Fortinet ConfidentialFortinet Confidential
Caractéristiques Antivirus
• Trois services:– Détection des virus
– Filtrage des noms et des tailles de fichiers
– Mise en quarantaine des fichiers contaminés
• Protocoles supportés– Courriel: SMTP, POP3, IMAP
– Trafic Web: HTTP (contenu, téléchargement, courriel web)
– Trafic FTP
– Support de ports non standard (SMTP, POP3, IMAP, HTTP)
• Couverture complète de tous les virus actifs (standard WildList)– Dont les virus polymorphiques
• Service transparent pour les utilisateurs finaux– Aucune configuration des postes de travail (pas de configuration proxy !)
• Signatures paramétrables sur les courriels sortants
• Messages de remplacement paramétrables
Fortinet ConfidentialFortinet Confidential
Message de remplacement
Fortinet ConfidentialFortinet Confidential
Activation par règle pare-feu
• Le filtrage antivirus s’active au choix sur règle pare-feu
– Analyse sélective sur les flux à risque
– Granularité de configuration
• Optimisation des ressources
– Elément différenciateur par rapport aux solutions traditionnelles
Fortinet ConfidentialFortinet Confidential
De l’intérêt d’une analyse sélective par règle pare-feu
Proxy CacheProxy Cache
Analyse Analyse antivirusantivirus
IntranetIntranet
InternetInternet
Pas d’analyse Pas d’analyse antivirusantivirus
Pare-feuPare-feu
AV mode transparentAV mode transparent
Serveur WebServeur Web
ClientClient
Fortinet ConfidentialFortinet Confidential
Profil de protection – contrôle antivirus
Fortinet ConfidentialFortinet Confidential
Contrôle Grayware
Fortinet ConfidentialFortinet Confidential
Caractéristiques Antivirus
• Journalisation des événements antivirus
• Envoi à un administrateur d’une alerte par courriel quand un virus est détecté
• Mise à jour dynamique du moteur et de la base de connaissance à partir du réseau de distribution FortiProtect (FDN)
– Mise à jour automatique (téléchargement automatique par SSL, programmation horaire paramétrable)
– Mise à jour ponctuelle initiée par le FortiGate sur réception d’une alerte FDN
• Réduit les fenêtres de vulnérabilité
• Message UDP envoyé par le FDN sur le port 9443
• Analyse antivirus des fux VPNs
• Support jusqu’à 12 niveaux de compressions (ex: compression LZH)
Fortinet ConfidentialFortinet Confidential
Mise à jour antivirus
Fortinet ConfidentialFortinet Confidential
Caractéristiques du filtrage Web
• Activation du service en fonction des règles pare-feu
– Possibilité d’appliquer des contrôles différenciés par groupe utilisateurs
• Filtrage des scripts (Java, ActiveX, Cookies)
• Fitlrage statique
– Listes noires / blanches
– Contenu mots & phrases interdits
– Filtrage d’URLs
– Import possible de la configuration par fichier texte
• Filtrage dynamique
– FortiGuard (service Fortinet )
– Filtrage basé sur des catégories – 56 categories
Fortinet ConfidentialFortinet Confidential
Activation des contrôles Web
• Activation sur règle pare-feu
– Analyse web sélective
• Optimisation des ressources
• Filtrage différencié en fonctions des groupes utilisateurs
Fortinet ConfidentialFortinet Confidential
Filtrage Web dynamique – FortiGuard
Configuration du Configuration du filtrage Web statiquefiltrage Web statique
Configuration du Configuration du filtrage Web filtrage Web dynamiquedynamique
Activation des Activation des catégories – 56 catégories – 56 catégories catégories disponiblesdisponibles
Fortinet ConfidentialFortinet Confidential
Filtrage Web dynamique – FortiGuard
• Consultation de rapports sur les sites web filtrés en fonction des profils
– Requière un disque dur local
– Tableau et camemberts
• Statistiques sur les pages– Autorisées ou bloquées
– Pour chaque catégorie de filtrage
• Soumission de nouvelles pages web eou demande de réévaluation d’une page web
Fortinet ConfidentialFortinet Confidential
Dynamic web filtering – FortiGuard
Serveur FortiGuardServeur FortiGuard
InternetInternet
Client WebClient Web
11
55
3a3a3b3b
4a4a
4b4b
1.1. User requests a URL. User requests a URL. 2.2. If the URL rating is already cached, it is compared with the policy for the user. If If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).the site is allowed, the page is requested (3a) and the response is retrieved (4a).3.3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Serveurs (3b).rating request is made simultaneously to a FortiGuard Serveurs (3b).4.4. When the rating response is received (4b) it is compared with the policy while When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.the response from the Web site (4a) is received.5.5. If the policy is to allow the page, the Web site response is passed to the If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor.requestor.
22
IntranetIntranet
Site Web cibleSite Web cible
Fortinet ConfidentialFortinet Confidential
Filtrage Web statique
• Définition de listes noires / blanches statiques
• Recherche de mots clefs et filtrage de d’URLs
• Les configurations de blocs d’URLs et de mots clefs peut se fair epar importation de fichier texte
Fortinet ConfidentialFortinet Confidential
Caractéristiques IPS
• Certifié ICSA
• Haute performance– Accélaration hardware (ASIC)
– Permet une détection en temps réel
• Base de connaissance sur 1 400 attaques
• Mise à jour automatique du moteur IPS et de la base de connaissance
– Through the FortiProtect Distribution Network
• Paramétrage d’une alerte courriel sur détection d’attaque– Les alertes sont filtrées pour éviter la génération de trop nombreuses
alertes redondantes pour une même attaque
• Configuration simplissime
• Coût sans comune mesure comparée aux solutions traditionnelles
Fortinet ConfidentialFortinet Confidential
Caractéristiques IPS
• Possibilité de définir ses propres signatures
• Import possible de signatures SNORT
Fortinet ConfidentialFortinet Confidential
Intégration du moteur IPS
• Le moteur IPS:
– Intervient de l’analyse des paquets par le module de routage, le module pare-feur et le module de réassemblage applicatif
– Coordonne son activité avec le FortiASIC pour rapidement intercepter le trafic et vérifier les attaques contre la base de signature
Fortinet ConfidentialFortinet Confidential
Caractéristiques IPS
• Toute attaque détectée peut être instantanément bloquée– Filtrage automatique des attaques sans intervention humaine:
• Exemple: Sasser
– Détection et prévention temps réel grâce à une connexion spécifique vers du moteur IPS vers le module firewall
Fortinet ConfidentialFortinet Confidential
Caractéristiques IPS
• Différentes stratégies sont disponibles pour bloquer les attaques
– Seuils de détection de comportements anormaux paramétrables
– Arrêt des attaques avec au choix :
• Suppression des paquets, réinitialisation des sessionss, etc.
Attaques identifiées par signatureAttaques identifiées par signature
Attaques détectées par anomalie de comportementAttaques détectées par anomalie de comportement
Fortinet ConfidentialFortinet Confidential
Profil de protection – Contrôle IPS
• Activation des
détections et
préventions
d’attaque au niveau
des profils de
protection
Fortinet ConfidentialFortinet Confidential
Activation IPS sur règle pare-feu
• L’analyse IPS s’active au choix sur règle pare-feu
– Analyse des seuls flux à risque
– Granularité de configuration
• L’utilisation des ressources est optimisée
– Eléments différentiateur par rapport aux solutions traditionnelles qui se limitent aux VLANs et interfaces
Par exemple, activation du service de prévention Par exemple, activation du service de prévention d’intrusion sur le trafic entrant et sortant d’un tunnel VPNd’intrusion sur le trafic entrant et sortant d’un tunnel VPN
Fortinet ConfidentialFortinet Confidential
Antispam – Multiples défenses
Contrôle du contenuContrôle du contenu
• Characteristiques Characteristiques SpamSpam
• Mots / phrases clefsMots / phrases clefs
Contrôle de la sourceContrôle de la source
• Par adresses IPPar adresses IP– Listes statiquesListes statiques– Listes dynamiquesListes dynamiques
(RBL)(RBL)– Helo DNS lookupHelo DNS lookup
• Par adresses courrielPar adresses courriel
SpammerSpammer
contrôle de la sourcecontrôle de la source contrôle du contenucontrôle du contenu
DestinataireDestinataire
Fortinet ConfidentialFortinet Confidential
Antispam – Scenarios
• Scenario 1 – SMTP (tag ou rejet)– Le FortiGate analyse le trafic courriel entre deux MTA
– Les SPAMs peuvent alors ête supprimés ou tagué avant avant qu’ils ne soient reçus sur le serveur de messagerie
• Scenario 2 – IMAP/POP3 (tag)– Le FortiGate analyse des courriels qui ont déjà été traité par le MTA local
– Si le courriel est considéré comme un SPAM, il peut être tagué
InternetInternet
InternetInternet
Pop3 / IMAPPop3 / IMAP
Local SMTP ServeurLocal SMTP Serveur Remote SMTP ServeurRemote SMTP Serveur
Pop3 / IMAP ServeurPop3 / IMAP Serveur
Fortinet ConfidentialFortinet Confidential
Activation des services antispam par profil de protection
Fortinet ConfidentialFortinet Confidential
Filtrage source – Adresses mail
• Vérification de l’adresse mail source en fonction de listes statiques définies localement
– Liste noire:
Action = Spam
– Liste blanche
Action = Clear
• Les listes peuvent être importées par fichier texte
Fortinet ConfidentialFortinet Confidential
Filtrage source – Serveur SMTP
• Helo DNS lookup– Sur réception d’une commange SMTP HELO
– L’adresse IP correspondant au nom de domaine annoncé par la commande HELO est vérifié contre l’adresse IP réelle du serveur qui se connecte
• Filtrage des serveurs SMTP se connectant par listes d’adresses statiques– Listes noires et listes blanches d’adresses IP
– Les listes peuvent être importées par fichier texte
Fortinet ConfidentialFortinet Confidential
Filtrage source – Serveur SMTP
• Filtrage dynamique des adresses IP des serveurs SMTP entrant
– Vérification en ligne des adresses par interrogation de serveurs “Real-time DNS Blacklists” accessibles sur Internet
• Support des requêtes DNSBL
• Filtrage des sources de SPAMs indirectes (open relays, open proxies), sources de SPAMs directes, dial-up users, etc.
Fortinet ConfidentialFortinet Confidential
Real-time DNS blacklists
Outgoing SMTP ServeurOutgoing SMTP Serveur
InternetInternet
Email SenderEmail Sender
11
Recipient Recipient SMTP SMTP ServeurServeur
22
33
44
Email RecipientEmail Recipient
DNS-based DNS-based databasedatabase(ORDB, RBL, etc.)(ORDB, RBL, etc.)
1.1. A sender delivers an email to an outgoing SMTP mailServeurA sender delivers an email to an outgoing SMTP mailServeur2.2. The outgoing SMTP Serveur establishes a connection to the recipients mailServeur, The outgoing SMTP Serveur establishes a connection to the recipients mailServeur,
and attempts to deliver the email. and attempts to deliver the email. 3.3. The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur
is listed. The database Serveur responds to the FortiGate, and tells it whether your is listed. The database Serveur responds to the FortiGate, and tells it whether your outgoing mailServeur is listed as a potential source of spams. outgoing mailServeur is listed as a potential source of spams.
4.4. If it is listed, the FortiGate:If it is listed, the FortiGate:- may choose to reject the SMTP connection and tells it that it is not allowed to may choose to reject the SMTP connection and tells it that it is not allowed to
deliver the mail. The sender receives a "Mailer Daemon", telling that the email deliver the mail. The sender receives a "Mailer Daemon", telling that the email could not be delivered. could not be delivered.
- Or it may add a tag to the email, so that the recipient can easily filter SPAM Or it may add a tag to the email, so that the recipient can easily filter SPAM emails.emails.
Fortinet ConfidentialFortinet Confidential
Filtrage du contenu – En-têtes MIME
• Vérification de toute portion des en-têtes MIME en fonctions de valeurs pré-définies
• Les champs des en-têtes peuvent être listés et leurs contenus vérifiés selon les valeurs paramétrées dans la liste– Vérification de malformations spécifiques aux SPAMs
Fortinet ConfidentialFortinet Confidential
Filtrage du contenu – Mots clefs
• Recherche de phrases ou mots-clefs
• Dans le corps et/ou l’en-tête
• Liste blanche et liste noire
• Expression régulière ou wildcard
• Importation possible des listes par fichier texte
Par exemple:Par exemple:viagra = /v.?[iíl;1'!\|].?[a@àâä²å0].?[gq].?r.?[a@àâäå0]/iviagra = /v.?[iíl;1'!\|].?[a@àâä²å0].?[gq].?r.?[a@àâäå0]/i
Fortinet ConfidentialFortinet Confidential
Caractéristiques Pare-feu
• Inspection statefu cerifiée ICSA
• Haute performance– Jusque 4 Gbps (FG3600)
• Mode routé ou transparent (ponté)
– En mode transparent: connexion derrière une première ligne de routeur ou pare-feu
• Les contrôle stateful s’appliquent au trafic des tunnels VPN
• Les services AV, IPS, SPAM, Web s’appliquent en option aux règles pare-feu
• Policy-based NAT
– Many-to-one (PAT)
– Many-to-many NAT
– H.323/SIP NAT Traversal
• Authentification des utlisateurs
– Base de données locale
– Support Radius
– Support LDAP
– Support SecureID
• Table de correspondance IP/MAC
Fortinet ConfidentialFortinet Confidential
Configuration des règles
Fortinet ConfidentialFortinet Confidential
Configuration des règles
Fortinet ConfidentialFortinet Confidential
Visualisation des sessions actives
Filtres pour la visualisaton des sessionsFiltres pour la visualisaton des sessions
Fortinet ConfidentialFortinet Confidential
Qualité de Service
• Trafic shaping– Bufferisation des données pour une régulation du trafic selon les limites
paramétrées
– Les paquets dépassant les limites fixées sont mise en mémoire pour un traitement ultérieur
– Tente d’éviter les pertes de paquets en ajoutant éventuellement un délai aux transmissions
– Utilisation de techniques de filtrage par panier de jeton pour garantir ou limiter la bande passante
• Files d’attente– Bufferisation des paquets en file d’attente
– Filtes d’attente haute / moyenne /basse priorité
– En cas de congestion, les paquets de haute priorité sont traités en priorité
• DiffServ– Marquage des champs DSCP
Fortinet ConfidentialFortinet Confidential
Qualité de service par règle pare-feu
• La qualité de
service
s’applique au
choix sur règle
pare-feu
– Granularité de
configuration
• La bande
passante est
contrôlée
Fortinet ConfidentialFortinet Confidential
Support des VLANs 802.1Q
• A partir du FortiGate 60
• Interfaces logiques multiples par interface physique
– Support des VLANs sur tout port physique
– Support des trunks VLANs
• Support du recouvrement d’adresses IP par VLAN
• Les VLANs son traités comme des interfaces au niveau des polices pare-feu
– Configuration antivirus par VLAN
– Configuration IPS par VLAN
– Configuration du filtrage Web et SPAM par VLAN
– Contrôle des polices pare-feu et de la qualité de service par VLAN
Fortinet ConfidentialFortinet Confidential
Support des VLANs 802.1Q
VLANs apparaissent comme des sous-interfacesVLANs apparaissent comme des sous-interfaces
Fortinet ConfidentialFortinet Confidential
VLAN en mode transparent ou routé
Trunk interfaceTrunk interface Trunk interfaceTrunk interface
ModeTransparentModeTransparentLes paquets sont pontés entre les VLANs. Les paquets sont pontés entre les VLANs. Dans le cas d’une insertion sur un trunk, Dans le cas d’une insertion sur un trunk, le FortiGate revient à un pare-feu par le FortiGate revient à un pare-feu par VLANVLAN
3030 3030
4040 4040
Trunk interfaceTrunk interface Trunk interfaceTrunk interface
Mode routéMode routéRoutage entre les sous-Routage entre les sous-interfaces logiques (VLANs)interfaces logiques (VLANs)
3030
4040
1010
2020
Fortinet ConfidentialFortinet Confidential
Routage
• Support de RIP v1 and RIP v2
• Support de OSPF
• Routage statique – Routage en fonction de la destination– Routes can be arranged in the routing table from specific to more general
– Des passerelles multiples pour chaque route statique (accessibles sur des interfaces distinctes)
• Détection du status des passerelles par ping
• Bascule automatique sur les liens secondaires sur le route vers la passerelle primaire n’est plus disponible
– Peut être utilisé pour une redondance de fournisseurs d’accès InternetISP1ISP1
InternetInternet
ISP2ISP2
IntranetIntranet
Fortinet ConfidentialFortinet Confidential
Routage « policy-based »
• Outre les adresses destination, le routage statique peut prendre en compte:
– Les adresses sources
– Les protocoles et les ports applicatifs
• Les routes “policy-based” sont examinées en premier
• Peut être utilisé pour utiliser simultanément plusieurs accès Internet (partage de charge statique)
ISP1ISP1
InternetInternet
ISP2ISP2
Trafic temps Trafic temps réel (HTTP)réel (HTTP)
Autre Autre trafictrafic
IntranetIntranet
Fortinet ConfidentialFortinet Confidential
Routage « policy-based »
Fortinet ConfidentialFortinet Confidential
Caractéristiques VPN
• IPSec VPN certifié ICSA
• Protocoles supporté :– IPsec, PPTP
– L2TP/Passthrough of IPSec and PPTP
• Chiffrement matériel (ASIC) :– DES, 3DES, and AES
• Les flux entrant et sortant des tunnels:
– Peuvent être contrôlés par les règles pare-feu
– Peuvent bénéficier tous les services de protection FortiGate:
• Antivirus, IPS, filtrage Web et SPAM
• VPN NAT traversal
• Dead peer detection (DPD)
• Authentification:– Support de Xauth
– Support des certificats X.509
– Support de LDAP, RADIUS
• Interopérabilité VPN avec la acteurs majeurs
• Support des architectures “hub and spoke”
Fortinet ConfidentialFortinet Confidential
Redondance de tunnels VPN
• Jusque 3 passerelles redondantes peuvent être
configurées pour chaque tunnel VPN
• La disponibilité d’une passerelle VPN est détectée par
implémentation de DPD
• Peut être utilisé pour définir des tunnels redondants dans
une architecture d’accès Internet redondants:ISP1ISP1
ISP2ISP2
InternetInternet
Fortinet ConfidentialFortinet Confidential
IPSec – Phase 1 (site à site)
Adresse IP ou nom DDNS (dans le Adresse IP ou nom DDNS (dans le cas où l’adresse IP de la cas où l’adresse IP de la passerelle est dynamique)passerelle est dynamique)
}
Fortinet ConfidentialFortinet Confidential
IPSec – Phase 2 (site à site)
Jusque 3 passerelles redondantesJusque 3 passerelles redondantes
Fortinet ConfidentialFortinet Confidential
Règle pare-feu des VPNs (site to site)
L’adresse source des paquets L’adresse source des paquets sortant d’un tunnel VPN est sortant d’un tunnel VPN est translaté avec l’adresse de translaté avec l’adresse de l’interface vers lequel il est émisl’interface vers lequel il est émis
Fortinet ConfidentialFortinet Confidential
IPSec – Phase 1 (Clients IPSec)
IKE en mode agressif IKE en mode agressif pour les clients qui pour les clients qui n’ont pas une adresse n’ont pas une adresse IP fixeIP fixe
Authentification Authentification utilisateurutilisateur
Fortinet ConfidentialFortinet Confidential
VPN setup – Phase 2 (Dial users)
DHCP sur IPSec pour une adresse IP DHCP sur IPSec pour une adresse IP privée dynamiqueprivée dynamique
Fortinet ConfidentialFortinet Confidential
FortiClientTM Secure Connect
• Le logiciel FortiClient inclut:– Un client VPN IPSec (phase 1)
– Une protection antivirus (phase 2)• Mise à jour automatique du moteur et de la base de connaissance par par le
réseau de distribution FDN (FortiProtect Distribution Network )
– Un pare-feu client (phase 2)• Trois zones
– zone de confiance, Internet, zone bloquée
• Contrôle des applications– Blocage d’applications qui tentent d’accéder à des ressources réseau
• Vérification des applications– Calcul de checksum
• Activation / désactivation du voisinage réseau
• Granularité des règles pare-feu (phase 3)– par utilisateur, par localisation
• Programmation horaire (phase 3)
Fortinet ConfidentialFortinet Confidential
FortiClient Secure Connect
Fortinet ConfidentialFortinet Confidential
Configuration VPN du FortiClient
Attribution d’une adresse Attribution d’une adresse IP dynamique par DHCPIP dynamique par DHCP
Fortinet ConfidentialFortinet Confidential
Configuration antivirus du FortiClient
Fortinet ConfidentialFortinet Confidential
Journalisation FortiClient
Fortinet ConfidentialFortinet Confidential
Haute-disponibilité – Caractéristiques
• A partir du FortiGate-60
• Supporté en mode transparent et en mode routé
• Supporte les modes actif-passif et actif-actif
– Le mode actif-passif fournit un secours en cas de panne d’interface ou de panne FortiGate de façon transparente aux utilisateurs:
• Bascule en moins de 3 seconde
• Reprise des sessions en cours (synchronisation des sessions pare-feu et IPSec)
• Journalisation de l’événement et alerte courriel et/ou SNMP
– Le mode actif-actif fournit en outre:
• Un partage de charge des sessions pare-feu
• Un partage de charge antivirus entre les boîtiers d’un même cluster
Fortinet ConfidentialFortinet Confidential
Haute-disponibilité – Architecture
InternetInternet
Cluster FortiGate :Cluster FortiGate :• Secours automatique et Secours automatique et
transparenttransparent• Répartition de chargeRépartition de charge
IntranetIntranet
Lien HALien HA• Interface quelconqueInterface quelconque• Non dédiéNon dédié• Peut être redondantPeut être redondant
Fortinet ConfidentialFortinet Confidential
Haute-disponibilité – Caractéristiques
• Les « hearbeats HA »– Servent à:
• Synchroniser les sessions pare-feu et IPSec
• Synchroniser les configurations du cluster
• Rapporter les statuts de fonctionnement (disponibilité des interfaces, etc.)
– Sont échangés sur des liens dits « HA »
• Redondance de liens HA:– Toute interface peut être configurée en tant que lien HA
– Une interface connectée au réseau pour transmettre du trafic utilisateur peut aussi être configurée comme lien HA
– Le lien HA primaire peut être secouru par un nombre quelconque de lien secondaire (ordonnancement des liens d’après un niveau de priorité)
Fortinet ConfidentialFortinet Confidential
Haute-disponibilité – Configuration
Choix parmi 6 Choix parmi 6 algorithmes de algorithmes de répartition de chargerépartition de charge
Le boîtier maître a la plus Le boîtier maître a la plus haute prioritéhaute priorité
Choix du mode actif-actif or Choix du mode actif-actif or actif-passif modeactif-passif mode
Choix des liens HAChoix des liens HALe lien sur lequel s’effectue les Le lien sur lequel s’effectue les échanges HA a la plus grande échanges HA a la plus grande prioroité. Les autres liens sont en prioroité. Les autres liens sont en secourssecours
Choix des interfaces Choix des interfaces surveilléessurveillées
Fortinet ConfidentialFortinet Confidential
Surveillance des états HA
Fortinet ConfidentialFortinet Confidential
Domaines virtuels (VDOMs)
• Fournit de multiples pare-feux et routeurs logiques dans un seul boîtier FortiGate
• Objets d’un VDOMs:– VLANs
– Les objets (services, adresses) et règles pare-feu
– Le routage
– La configuration VPN
– La configuration des authentifications utilisateurs (base locale, configuration RADIUS & LDAP)
Create new virtual domainsCreate new virtual domains
Fortinet ConfidentialFortinet Confidential
Vdom et VLANs
config system interfaceconfig system interface edit "Customer1_VID1"edit "Customer1_VID1" set ip 1.1.1.1 255.255.255.0set ip 1.1.1.1 255.255.255.0 set log enableset log enable set vdom "Customer1"set vdom "Customer1" set interface "internal"set interface "internal" set vlanid 1set vlanid 1
Pour chaque VLAN Pour chaque VLAN créé, on choisit son créé, on choisit son domaine virtueldomaine virtuel
Fortinet ConfidentialFortinet Confidential
VDOM et interfaces
Visualisation des VLANs Visualisation des VLANs par domaine virtuelpar domaine virtuel
Fortinet ConfidentialFortinet Confidential
DHCP – Caractéristiques
• DHCP Relay
• Serveur DHCP
– Multiples plages d’adresses IP par interface
– Exclusion d’adresses
Fortinet ConfidentialFortinet Confidential
Support des réseaux sans fil
WEP 64 or 128WEP 64 or 128Configuration en client ou en point d’accèsConfiguration en client ou en point d’accès
Fortinet ConfidentialFortinet Confidential
Support de IPv6
• Support clef pour le marché japonais• Plusieurs adresse IP par téléphone portable
• Fortinet IPv6 Phase 1 (FortiOS 2.8): Coexistence
– Adresses IPv6 et routage entre interfaces
• Fortinet IPv6 Phase 2: Tunneling
– Connexion d’ilots IPv6 entre réseaux IPv4
• Fortinet IPv6 Phase 3: protection avancée
– Par exemple: antivirus IPv6
Fortinet ConfidentialFortinet Confidential
Gestion des boîtiers FortiGate
• CLI – Command-line Interface
– Sécurisée par SSH
• Web GUI
– Sécurisée par SSL
Fortinet ConfidentialFortinet Confidential
Accès CLI sécurisé à travers l’interface graphique
Fortinet ConfidentialFortinet Confidential
Interface graphique
Fortinet ConfidentialFortinet Confidential
Interface graphique – Localisation
• Interface
en 6
langues
Fortinet ConfidentialFortinet Confidential
Role-based management
Fortinet ConfidentialFortinet Confidential
Backup and restore
• Backup/restore
the entire config
• Backup/restore
part of the config
• Backup is done in
the form of a text
file
Fortinet ConfidentialFortinet Confidential
SNMP support
• SNMP v1 and v2c
• MIBs
– proprietary MIB
– Standard RFC 1213 and
RFC 2665 MIBs
• Traps
– cold start
– system down
– interface up/down
– Log full
• Traps
– CPU usage above 90%
– Memory usage above 90%
– Hard disk usage above 90%
– HA cluster fails
– Tunnel up/down
– Flooding attacks
– Port scan attacks
– Virus detection
– Etc.
Fortinet ConfidentialFortinet Confidential
FortiManager – Caractéristiques
• Centralized configuration and management
• Device Manager
– Models
– Create offline devices and configs, check differences
• Policy Manager
– Create Policies for multiple devices and groups
– Create Profil de protections for multiple devices
• Admin Manager
– Role Based Administration
– Supports multiple simultaneous administrators with different authorization levels
Fortinet ConfidentialFortinet Confidential
FortiManager – Caractéristiques
• Centralized configuration and
management
• Configuration and view of FortiGate
devices
• FortiGate domains management
– Devices groups
• Management of user accounts
Fortinet ConfidentialFortinet Confidential
FortiManager – Caractéristiques
• Firmware update
• Centralized monitoring & logging
– Status, trafic, alerts, etc.
– Easy centralized data storage and analysis/reporting
– Sortable and filterable logs
– Log database backup
• Realtime Monitor
– System Health, Device Status, Session Monitor, trafic
Flow, Anti-Virus, Attack, Alert Notification
Fortinet ConfidentialFortinet Confidential
FortiManager – Architecture
Security Security Domain BDomain B
FortiGateFortiGateFirewall under Firewall under mgmtmgmt
Security Security Domain ADomain A
RDBRDBFortiManager FortiManager Server Server (Appliance)(Appliance)
Integral RDB Integral RDB included in the included in the FortiManager FortiManager Server applianceServer appliance
FortiManagerFortiManagerAdminAdminConsole(s)Console(s)
Console 1Console 1Console 2Console 2
Console NConsole N
Fortinet ConfidentialFortinet Confidential
FortiManager Modular design
• Deployed as security hardened, plug & play Deployed as security hardened, plug & play applianceappliance
• Modular, flexible, scalable design Modular, flexible, scalable design • Integrated LDAP directory for Integrated LDAP directory for
configurations & policyconfigurations & policy• Integrated RDB for central log/data storeIntegrated RDB for central log/data store• CORBA interface for integration with CORBA interface for integration with
OSS/BSSOSS/BSS
• Platform-independent Java based Platform-independent Java based admin console(s)admin console(s)
• Supports multiple active windows for Supports multiple active windows for simultaneous multi-site monitoringsimultaneous multi-site monitoring
GUI GUI ((Java basedJava based))
CORBA APICORBA API
Interface contrôle modelInterface contrôle model
Co
ns
ole
(s)
Co
ns
ole
(s)
CORBA API/North bound APICORBA API/North bound API
Config mgmtConfig mgmt Network mgmtNetwork mgmt
Monitoring/Log mgmtMonitoring/Log mgmt Policy mgmtPolicy mgmt
Security mgmtSecurity mgmt Other Mgmt modulesOther Mgmt modules
Fo
rtiMa
na
ge
r Se
r ve
ur
Fo
rti Ma
na
ge
r Se
rve
ur
RDBRDB LDAPLDAP
CLICLISSHSSH
SFTPSFTPAPIAPI
PersistentPersistentStorage APIStorage API
FG
Un
itsF
G U
nits
CLI/SSHCLI/SSH SFTP APISFTP API SNMP APISNMP API
FortiOS FirmwareFortiOS Firmware• Secure communication with all Secure communication with all
FortiGate modelsFortiGate models
SNMPSNMPAPIAPI
Fortinet ConfidentialFortinet Confidential
FortiManager™ System – Architecture Benefits
• Multi-tier Client/Serveur architecture
– Serveur software
• Deployed on security-hardened appliance to eliminate installation issues, improve system reliability & security
– Corba-based interfaces
• Eases integration into customer existing management systems
• Secure communication between Serveur and FG units
– Strong mutual authentication mitigates attacks
– Strong chiffrement of communication protects from information interception
Fortinet ConfidentialFortinet Confidential
FortiManager – Device Manager
• Allows to manage individual FortiGate devices
from the FortiManager Serveur
• Configure online and offline devices
• Import and export devices
– Device configuration import using SSH
• Create device templates
• View device configurations
• Resynch, restore, and update devices
Fortinet ConfidentialFortinet Confidential
FortiManager – Device Manager
Fortinet ConfidentialFortinet Confidential
FortiManager – Device Manager
• Any part of the FortiGate functionalities can be configured through Device Manager
– System, Pare-feu, Users, IPS, Web filtering, Spam filtering, VPN
• If changes are made to the device using the web-based manager or the CLI rather than the FortiManager System, differences can occur between the device and the database
– Resynchronizing with the device forces the Serveur to retrieve the data from the device
Fortinet ConfidentialFortinet Confidential
FortiManager Policy Management
Fortinet ConfidentialFortinet Confidential
Antivirus highlights
• Three services:– Virus detection
– File and email blocking service (oversized files or pattern matching file names)
– Quarantine service of infected files
• Supported protocols:– Email traffic: SMTP, POP3, IMAP
– Web traffic: HTTP (content, downloads, and web mail)
– FTP traffic
– Support non standard ports (SMTP, POP3, IMAP, HTTP)
• Full coverage of the industry standard WildList viruses– Including polymorphic viruses
• Transparent to end users– No special configuration on the client side (requires no proxy setup)
• Customized signature to outgoing emails
• Customized replacement messages (mail, FTP, Web)
Fortinet ConfidentialFortinet Confidential
Grayware control
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet ConfidentialFortinet Confidential
Web filtering benefits
• Increase productivity
– Viewing unproductive and objectionable material can
reduces employee productivity
• Improve bandwidth by filtering out non-work-
related content
– mp3 files, games, pornographic material, etc.
• Exposure to inappropriate content can lead to
lawsuits
– Avoid threat of “hostile work environment”
Fortinet ConfidentialFortinet Confidential
Dynamic web filtering – FortiGuard
FortiGuard ServerFortiGuard Server
InternetInternet
Web clientWeb client
11
55
3a3a3b3b
4a4a
4b4b
1.1. User requests a URL. User requests a URL. 2.2. If the URL rating is already cached, it is compared with the policy for the user. If If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).the site is allowed, the page is requested (3a) and the response is retrieved (4a).3.3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Servers (3b).rating request is made simultaneously to a FortiGuard Servers (3b).4.4. When the rating response is received (4b) it is compared with the policy while When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.the response from the Web site (4a) is received.5.5. If the policy is to allow the page, the Web site response is passed to the If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor.requestor.
22
IntranetIntranet
Requested Web siteRequested Web site
Fortinet ConfidentialFortinet Confidential
Dynamic web filtering – FortiGuard
• Policies are stored and enforced by FortiGate units– Customers configure allow/deny policies on
FortiGate systems
– URL requests received by FortiGate unit are forwarded to a FortiGuard server, which respond with ratings
– FortiGate unit maintains user/group info for each request, supports user/group-level policies
Fortinet ConfidentialFortinet Confidential
Static web filtering
• Static control
• Based on local black/white lists
• Lists can be imported from text files
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet ConfidentialFortinet Confidential
Intrusion detection highlights
• ICSA certified
• High speed performance– Asic-based IDS
– Real-time detection
• Signature database of 1,400 known hacker attacks
• Timely and automated updates of attack signatures– Through the FortiProtect Distribution Network
• Customizable e-mail alerts– Alerts can be filtered to avoid generation numerous, redundant
alerts from a single attack
• Very easy to configure and easy to maintain
• Dramatically lower cost than stand-alone NIDS
Fortinet ConfidentialFortinet Confidential
Intrusion detection highlights
• Customizable attack list to enable and disable signatures
• Possibility to import SNORT signature
• Support for customer self-defined signatures
Fortinet ConfidentialFortinet Confidential
Integrated intrusion detection
• The IDS engine:
– Hooks into the routing and firewall modules and application layer
– Coordinates with the FortiASIC to quickly peek into traffic and check
for traffic patterns that match specified IDS signatures
Fortinet ConfidentialFortinet Confidential
Protection profile – Intrusion control
• Detection methods:
– Signatures
– Anomalies
• Scanning attacks
• Flooding attacks
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
Anti-SPAMAnti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet ConfidentialFortinet Confidential
Antispam – Multiple layers of defense
Content blockingContent blocking
• Spam characteristicsSpam characteristics• Banned wordsBanned words
Source blockingSource blocking
• By IP addressesBy IP addresses– Static listsStatic lists– Dynamic listsDynamic lists
(RBL, ORDB)(RBL, ORDB)– FortiShieldFortiShield– Reverse DNS Reverse DNS
lookuplookup By URI contentBy URI content• By email addressesBy email addresses
SpammerSpammer
Control the sourceControl the source Control the contentControl the content
RecipientRecipient
Fortinet ConfidentialFortinet Confidential
AntiSpam – Deployment scenarios
• Scenario 1 – SMTP (tag or discard)– FortiGate unit monitors email traffic at the MTA level
– This enables blocking spam transfers before entire email is transferred.
– Spam Email may be rejected or tagged
• Scenario 2 – IMAP/POP3 (tag)– FortiGate unit scans emails already processed by the local MTA
– If considered as a SPAM, the FortiGate marks the email
InternetInternet
InternetInternet
Pop3 / IMAPPop3 / IMAP
Local SMTP ServerLocal SMTP Server Remote SMTP ServerRemote SMTP Server
Pop3 / IMAP ServerPop3 / IMAP Server
Fortinet ConfidentialFortinet Confidential
Antispam protection highlights
• Uses a wide variety of local and network tests to identify spam signatures
– Source blocking• IP address
– Static lists
– Dynamic database: RBL & ORDBL
• Email address
• FortiShield (IP Address and URI scanning)
– Content blocking• MIME headers
• Banned word
• Once identified, the mail is:– Tagged as spam for later filtering using the user's own mail user-agent
application• Enables easy sorting by any email client
– Or rejected (SMTP)
S P A MS P A M
Fortinet ConfidentialFortinet Confidential
FortiShield AntiSpam Service
• Fortinet managed antispam service with “dual pass” scan
technology
• For FortiGate and FortiMail
• Benefits
– Greatly reduces processing overhead on email servers and antispam
gateways
– Reclaims bandwidth taken by spam email
– Supplements any other antispam solution
– Cost effective managed solution lowers maintenance overhead of
managing static content filters
Fortinet ConfidentialFortinet Confidential
FortiShield Overview – Phase 1
SMTPSMTPServerServer
ClientsClients
FortiGate FortiGate or or
FortiMailFortiMail
FortiShield FortiShield AntiSpam AntiSpam
ServiceService
FortiMail FortiMail or or
SMTP Email ServerSMTP Email Server
2. Extract 2. Extract ServerServer
Source IP Source IP AddressAddress
2. Extract 2. Extract ServerServer
Source IP Source IP AddressAddress
3. Check 3. Check Source Source IP with IP with
DatabasDatabasee
3. Check 3. Check Source Source IP with IP with
DatabasDatabasee
1. SMTP 1. SMTP session session
requesterequestedd
1. SMTP 1. SMTP session session
requesterequestedd
4. Receive 4. Receive ResultResult
(Cache for (Cache for future use)future use)
4. Receive 4. Receive ResultResult
(Cache for (Cache for future use)future use)
5. Session 5. Session terminateterminated if Spamd if Spam
5. Session 5. Session terminateterminated if Spamd if Spam
• Spammer IP Check
Fortinet ConfidentialFortinet Confidential
FortiShield Overview – Phase 2
SMTPSMTPServerServer
ClientsClients
FortiGate FortiGate or or
FortiMailFortiMail
FortiShield FortiShield AntiSpam AntiSpam
ServiceServiceFortiMail FortiMail
or or SMTP Email ServerSMTP Email Server
2. Email 2. Email content content
inspected for inspected for URI contentURI content
2. Email 2. Email content content
inspected for inspected for URI contentURI content
1. Email 1. Email message message
transmittetransmittedd
1. Email 1. Email message message
transmittetransmittedd
5. Spam filtered or 5. Spam filtered or tagged and tagged and
distributed based distributed based on policyon policy
5. Spam filtered or 5. Spam filtered or tagged and tagged and
distributed based distributed based on policyon policy
3. FortiShield 3. FortiShield scans spam scans spam URI contentURI content
3. FortiShield 3. FortiShield scans spam scans spam URI contentURI content
• Email Content Screening
EmailEmail
Hi there, Hi there, how are you?how are you?
<Spam><Spam>
EmailEmail
Hi there, Hi there, how are you?how are you?
<Spam><Spam>
4. FortiShield 4. FortiShield result result
received and received and cachedcached
4. FortiShield 4. FortiShield result result
received and received and cachedcached
Fortinet ConfidentialFortinet Confidential
FortiShield Service Controls
• FortiShield provides a Web Service to allow:– Search for known spammer– Report new spammer– Request to be removed from Spammer List
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
VPNVPN
• Virtual Domains
• Administration
Fortinet ConfidentialFortinet Confidential
VPN Highlights
• ICSA-certified IPSec VPN
• Supported protocols:
– IPsec, PPTP
– L2TP/Passthrough of IPSec and PPTP
• Hardware encryption:
– DES, 3DES, and AES
• IPSec VPN traffic controlled by firewall policies
• VPN tunnels decrypted and routed through firewall and AV scanning
• VPN NAT traversal
• Dead peer detection (DPD)
• Dial-up monitor/Remote VPN client
• Authentication:
– Support for Xauth over Radius
– x.509 Certificate auth
– LDAP for user authentication
• Interoperability with major VPN vendor
• Hub and Spoke architecture support
Fortinet ConfidentialFortinet Confidential
VPN benefits
• VPN tunnels cannot be used to carry threats into customer networks
– Scans encrypted VPN tunnels for worms and viruses
• Prevents home office and telecommuters from tunneling viruses and worms back to HQ
– Applies firewall policies to VPN tunnels
– Applies intrusion protection to VPN tunnels (IDS and IPS)
– No other VPN vendor can do this
• Greatly reduced installation and integration headaches
– Trying to do what FortiGate systems do using separate products is a nightmare!
Fortinet ConfidentialFortinet Confidential
VPN redundancy
• Up to 3 redundant VPN gateway can be defined for each VPN tunnel
• VPN gateway availability is checked using DPD
• Can be used to setup redundant tunnels with redundant ISPs:
ISP1ISP1
ISP2ISP2
InternetInternet
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
Virtual DomainsVirtual Domains
• Administration
Fortinet ConfidentialFortinet Confidential
Virtual domains
• Provides multiple logical firewalls and routers in a single FortiGate unit
• VDOM objects:– VLANs
– Firewall objects and policies
– Routing setup
– VPN setup
– User setup (local database, LDAP, RADIUS)
Create new virtual domainsCreate new virtual domains
Fortinet ConfidentialFortinet Confidential
Vdom and VLANs
config system interfaceconfig system interface edit "Customer1_VID1"edit "Customer1_VID1" set ip 1.1.1.1 255.255.255.0set ip 1.1.1.1 255.255.255.0 set log enableset log enable set vdom "Customer1"set vdom "Customer1" set interface "internal"set interface "internal" set vlanid 1set vlanid 1
Select the Virtual Select the Virtual Domain for which Domain for which you create a VLAN you create a VLAN
Fortinet ConfidentialFortinet Confidential
VDOM and interfaces
View VLANs on a per View VLANs on a per Virtual Domain basisVirtual Domain basis
Fortinet ConfidentialFortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
Administration Administration
Fortinet ConfidentialFortinet Confidential
Roles-based Administration (RBA)
• Granular administration access:
• Assignable permissions
– Not accessible
– Read only
– Read / write
–Device status
–Log and report
–Device
configuration
–Users
–Security Policy
–Administrator
Fortinet ConfidentialFortinet Confidential
Administrators and Access Rights
• Ability to create function-specific
administrators
Lock-down administration Lock-down administration Host systemHost system
Lock-down administration Lock-down administration Host systemHost system
Fortinet ConfidentialFortinet Confidential
FortiGate standalone management
• CLI – Command-line Interface
– Security through SSH
• Web GUI
– Security through SSL
Fortinet ConfidentialFortinet Confidential
CLI accessed from Telnet/SSH/GUI
Fortinet ConfidentialFortinet Confidential
Backup and restore
• Backup/restore
the entire config
• Backup/restore
part of the config
• Backup is done in
the form of a text
file
Fortinet ConfidentialFortinet Confidential
SNMP support
• SNMP v1 and v2c
• MIBs
– proprietary MIB
– Standard RFC 1213 and
RFC 2665 MIBs
• Traps
– cold start
– system down
– interface up/down
– Log full
• Traps
– CPU usage above 90%
– Memory usage above 90%
– Hard disk usage above 90%
– HA cluster fails
– Tunnel up/down
– Flooding attacks
– Port scan attacks
– Virus detection
– Etc.
?