Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Fortinet Product Overview January 2005
2
Fortinet Company Overview
Fondée en 2000 par Ken Xie Fondateur et CEO de NetScreen (NASDAQ: NSCN) 550 employees; Siège a Sunnyvale, Californie Dirigée par une équipe de visionnaires expérimentés Ken Xie, Michael Xie, Joe Wells, MIT team Bureau dans tous les USA, EMEA et Asia Belgium, France, Germany, Italy, Sweden, UK Tokyo, Seoul, Beijing, Shanghai, Hong Kong, Taipei, Singapore, KL, etc. Premier créateur dans la monde de solution Antivirus sur base ASIC Ceci afin d’adresser la demande de protection en temps-reel Plus de 80,000 Fortigate vendus dans la monde Revenue multiplier par 10 en 1 an ( ) Croissance la plus importante dans l’histoire du IT Fortinet Confidential CONFIDENTIAL
3
La Vision Les produits de Fortinet couvrent toutes les briques de la sécurités du contenu, ceci afin d’éviter ou de diminuer les problématiques d’attaques multiples. Ceci grâce au Fortigate, la seule solution Multi gigabit pour les accès internet des opérateurs télécoms et pour toutes les grandes entreprises, sans oublier de protéger les accès de l’utilisateur nomades. Le management des solutions de sécurités Fortinet est effectué par une autre gamme d’Appliances nommées le Fortimanager. Fortimanager est une solution complète pour facilement déployer, administré et contrôlé vos solutions Fortigate. Fortinet, développe et vends des produits Reseaux industriel, avec un très haut niveau de performance, ceci en intégrant les solutions Firewall, Vpn, antivirus, et Intrusion Protection. Ceci toujours dans une problématique, afin d’offrir une meilleur protection contre les attaques multiples. Fortinet Confidential
4
Pourquoi Fortinet ? Une grande experience dans la marché de sécurité
2,200+ clients grands comptes 80,000 produits vendus 4 certification ICSA (FW, AV, VPN, IPS) EAL 4 en instance (4+ aussi en instance) FIPS en Septembre 2004 Fournir un accroissement du service, en réduisant les coûts d’infrastructure et de déploiement, les solutions type Hardware Fortinet, se prête complètement à la fourniture de service additionnel, sans rajouter continuellement des nouvelles plateformes pour manager et superviser ces services. Fortinet à plus de 20 boitiers, qui permette de sélectionner le bon service à fournir, aussi bien pour des clients type PME – PMI, pour les MSSP, les opérateurs en bien évidemment les très grandes entreprises. Fortinet à été récompensé pour sa technologie, par une série de Awards du monde de la presse IT. Fortinet Confidential
5
IDC Reports Fortinet’s UTM Market Leadership!
New! Unified Threat Management (UTM) Security Appliance Market = unification of firewall and gateway anti-virus into a single platform Fortinet ranked #1 UTM market revenue started at $85 million in over the next 3 years, UTM appliance sales will exceed that of standard firewall/VPNs Firewall/VPN segment – baseline $1.5 billion revenue in 2003 2003 revenue of 17% annualized growth rate for combined UTM and stand-alone Firewall/VPN category, $3.45 billion by 2008 Fortinet Confidential
6
UTM Products Will Overtake Standalone VPN/Firewalls by 2008
“The UTM market is being created because it is quickly catching on with customers and vendors. UTM incorporates firewall, intrusion detection and prevention, and AV in one high-performance appliance.” -- IDC, 2004 Worldwide Threat Management Security Appliances Forecast, ($M) 2003 2004 2005 2006 2007 2008 2003 Share (%) CAGR (%) 2008 Share (%) Firewall/VPN $1,479.1 $1,667.7 $1,791.6 $1,804.4 $1,623.5 $1,462.3 93.4% -0.2% 42.4% UTM Security Appliance $104.9 $225.0 $517.5 $828.0 $1,324.8 $1,987.2 6.6% 80.1% 57.6% Total TM Security Appliance $1,584.0 $1,892.7 $ 2,309.1 $2,632.4 $2,948.3 $3,449.5 16.8% Fortinet Confidential
7
IDC UTM Leadership Over Point Solutions
“Fortinet, with the only ASIC based AV accelerated UTM appliances, led this UTM market in 2003, with $30.9 million in revenue and a 29.5% share of the worldwide market.” -- IDC, 2004 WW Unified Threat Management Appliance Revenue by Vendor, 2003 ($M) Vendor Revenue Units Revenue Share Average Vendor Revenue Fortinet (#1) 30.9 21496 29.5% $ 1,437.48 Symantec 24.0 13790 22.9% $ 1,740.39 Secure Computing 22.8 5050 21.7% $ ServGate 12.0 11743 11.4% $ 1,021.89 Netscreen (acquired by Juniper) 5.2 6601 5.9% $ eSoft 4.0 3162 3.8% $ 1,265.00 Pyramid Computer 1.3 509 1.2% $ 2,554.03 Others 4.7 3680 4.5% $ 1,227.12 Total 104.9 66031 100.0% $ 1,588.84 Source: IDC, 2004 Fortinet Confidential
8
FortiGate Product Family
SOHO Branch Office Medium Enterprise Large Enterprise Service Provider/Telco FortiGate-5000 Same Feature Set Throughout FortiGate-3600 FortiGate-3000 Redundant PS, VDom FortiGate-1000 Gigabit perf THROUGHPUT FortiGate 800 Gigabit Eth FortiGate 500A High port density FortiGate-400A FortiGate-300A FortiGate-200A Integrated Logging FortiGate-100A FortiGate-60 / FortiWifi High Availability, VLAN support FortiGate-50A Fortinet Confidential
9
Fortinet Product Family
FortiGate Product Family SOHO Branch Office Medium Enterprise Large Enterprise Service Provider/Telco New! FortiMail-2000 FortiMail-400 FortiReporter Capacity FortiLog-800 FortiLog-400 FortiLog-100 FortiManager-3000 FortiManager-400A FortiClient Fortinet Confidential
10
Logging Web GUI CLI SNMP
Fortinet Developed a Unique Architecture for Complete, Real-Time Network Protection SERVICES FortiProtect Network Instant Attack Updates Logging Web GUI CLI FortiManager System SNMP FortiGuard Services FortiCARE Services FortiShield Services Comprehensive Support Centralized Management Fortinet Confidential
11
FortiProtect™ infrastructure ensures rapid response to new threats
Fortinet Threat Response Team and Update Distribution Servers FortiProtect Web Portal & Daily Bulletins High Availability, High Capacity (Updates all FortiGate Units in Under 5 Minutes) Fortinet Confidential
12
Fortinet Delivers UTM Solutions for the Managed Security Service Provider
Fortinet Confidential
13
Fortinet Delivers UTM Solutions for the Enterprise
Fortinet Confidential
14
Fortinet Delivers UTM Solutions for the Small & Medium Business
Fortinet Confidential
15
Fonctionnalités
16
Fonctionnalités FortiGate
Pare-feu VPNs Services de protection des flux réseau: Services disponibles: Antivirus Filtrage Web Antispam IPS Activation des services: Création d’un profil Mis en service par règle pare-feu Défnition de profils distincts en fonction des services activés Fortinet Confidential
17
Activation des services par règle pare-feu
Activation de différents profils de protection en fonction des règles pare-feu Fortinet Confidential
18
Protection différenciée en fonction des groupes utilisateurs
Sélection des communautés utilisateurs Fortinet Confidential
19
Protection différenciée en fonction des groupes utilisateurs
Association de groupes utilisateurs à des profils de protection spécifique Fortinet Confidential
20
Caractéristiques Antivirus
Seule plate-forme ASIC antivirus certifiée ICSA Méthode de recherche antivirus Signatures Analyse Macro Heuristique (fichiers exécutable PE) Efficacité de recherche Recherche contextuelle – Consultation des sections appropriées de la base de connaissance, relativement à la nature des données analysées Haute performance Seule solution d’antivirus de flux accéléré par ASIC pour un traitement temps réel Analyse des protocoles temps réel comme HTTP sans délai notable Performances inégalées à ce jour: 5x à 10x fois supérieures aux solutions logicielles traditionnelles Fortinet Confidential
21
La problématique des antivirus HTTP
Plus de 25%+ des contaminations sont réalisées par le Web Téléchargement Web Courriel web Etc. Les solutions logicielles sont trop lentes pour l’analyse du trafic Web Seule une solution ASIC peut apporter la puissance de traitement requise Fortinet Confidential
22
Caractéristiques Antivirus
Trois services: Détection des virus Filtrage des noms et des tailles de fichiers Mise en quarantaine des fichiers contaminés Protocoles supportés Courriel: SMTP, POP3, IMAP Trafic Web: HTTP (contenu, téléchargement, courriel web) Trafic FTP Support de ports non standard (SMTP, POP3, IMAP, HTTP) Couverture complète de tous les virus actifs (standard WildList) Dont les virus polymorphiques Service transparent pour les utilisateurs finaux Aucune configuration des postes de travail (pas de configuration proxy !) Signatures paramétrables sur les courriels sortants Messages de remplacement paramétrables Fortinet Confidential
23
Message de remplacement
Fortinet Confidential
24
Activation par règle pare-feu
Le filtrage antivirus s’active au choix sur règle pare-feu Analyse sélective sur les flux à risque Granularité de configuration Optimisation des ressources Elément différenciateur par rapport aux solutions traditionnelles Fortinet Confidential
25
De l’intérêt d’une analyse sélective par règle pare-feu
Serveur Web Internet Analyse antivirus Proxy Cache AV mode transparent Pare-feu Client Pas d’analyse antivirus Intranet Fortinet Confidential
26
Profil de protection – contrôle antivirus
Fortinet Confidential
27
Contrôle Grayware Fortinet Confidential
28
Caractéristiques Antivirus
Journalisation des événements antivirus Envoi à un administrateur d’une alerte par courriel quand un virus est détecté Mise à jour dynamique du moteur et de la base de connaissance à partir du réseau de distribution FortiProtect (FDN) Mise à jour automatique (téléchargement automatique par SSL, programmation horaire paramétrable) Mise à jour ponctuelle initiée par le FortiGate sur réception d’une alerte FDN Réduit les fenêtres de vulnérabilité Message UDP envoyé par le FDN sur le port 9443 Analyse antivirus des fux VPNs Support jusqu’à 12 niveaux de compressions (ex: compression LZH) Fortinet Confidential
29
Mise à jour antivirus Fortinet Confidential
30
Caractéristiques du filtrage Web
Activation du service en fonction des règles pare-feu Possibilité d’appliquer des contrôles différenciés par groupe utilisateurs Filtrage des scripts (Java, ActiveX, Cookies) Fitlrage statique Listes noires / blanches Contenu mots & phrases interdits Filtrage d’URLs Import possible de la configuration par fichier texte Filtrage dynamique FortiGuard (service Fortinet ) Filtrage basé sur des catégories – 56 categories Fortinet Confidential
31
Activation des contrôles Web
Activation sur règle pare-feu Analyse web sélective Optimisation des ressources Filtrage différencié en fonctions des groupes utilisateurs Fortinet Confidential
32
Filtrage Web dynamique – FortiGuard
Configuration du filtrage Web statique Configuration du filtrage Web dynamique Activation des catégories – 56 catégories disponibles Fortinet Confidential
33
Filtrage Web dynamique – FortiGuard
Consultation de rapports sur les sites web filtrés en fonction des profils Requière un disque dur local Tableau et camemberts Statistiques sur les pages Autorisées ou bloquées Pour chaque catégorie de filtrage Soumission de nouvelles pages web eou demande de réévaluation d’une page web Fortinet Confidential
34
Dynamic web filtering – FortiGuard
Site Web cible Internet 4a 3a 3b 2 4b 5 Serveur FortiGuard Intranet User requests a URL. If the URL rating is already cached, it is compared with the policy for the user. If the site is allowed, the page is requested (3a) and the response is retrieved (4a). If the URL rating is not in the FortiGate cache, the page is requested (3a) and a rating request is made simultaneously to a FortiGuard Serveurs (3b). When the rating response is received (4b) it is compared with the policy while the response from the Web site (4a) is received. If the policy is to allow the page, the Web site response is passed to the requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor. 1 Client Web Fortinet Confidential
35
Filtrage Web statique Définition de listes noires / blanches statiques
Recherche de mots clefs et filtrage de d’URLs Les configurations de blocs d’URLs et de mots clefs peut se fair epar importation de fichier texte Fortinet Confidential
36
Caractéristiques IPS Certifié ICSA Haute performance
Accélaration hardware (ASIC) Permet une détection en temps réel Base de connaissance sur attaques Mise à jour automatique du moteur IPS et de la base de connaissance Through the FortiProtect Distribution Network Paramétrage d’une alerte courriel sur détection d’attaque Les alertes sont filtrées pour éviter la génération de trop nombreuses alertes redondantes pour une même attaque Configuration simplissime Coût sans comune mesure comparée aux solutions traditionnelles Fortinet Confidential
37
Caractéristiques IPS Possibilité de définir ses propres signatures
Import possible de signatures SNORT Fortinet Confidential
38
Intégration du moteur IPS
Le moteur IPS: Intervient de l’analyse des paquets par le module de routage, le module pare-feur et le module de réassemblage applicatif Coordonne son activité avec le FortiASIC pour rapidement intercepter le trafic et vérifier les attaques contre la base de signature Fortinet Confidential
39
Caractéristiques IPS Toute attaque détectée peut être instantanément bloquée Filtrage automatique des attaques sans intervention humaine: Exemple: Sasser Détection et prévention temps réel grâce à une connexion spécifique vers du moteur IPS vers le module firewall Fortinet Confidential
40
Caractéristiques IPS Différentes stratégies sont disponibles pour bloquer les attaques Seuils de détection de comportements anormaux paramétrables Arrêt des attaques avec au choix : Suppression des paquets, réinitialisation des sessionss, etc. Attaques détectées par anomalie de comportement Attaques identifiées par signature Fortinet Confidential
41
Profil de protection – Contrôle IPS
Activation des détections et préventions d’attaque au niveau des profils de protection Fortinet Confidential
42
Activation IPS sur règle pare-feu
L’analyse IPS s’active au choix sur règle pare-feu Analyse des seuls flux à risque Granularité de configuration L’utilisation des ressources est optimisée Eléments différentiateur par rapport aux solutions traditionnelles qui se limitent aux VLANs et interfaces Par exemple, activation du service de prévention d’intrusion sur le trafic entrant et sortant d’un tunnel VPN Fortinet Confidential
43
Antispam – Multiples défenses
Contrôle de la source Par adresses IP Listes statiques Listes dynamiques (RBL) Helo DNS lookup Par adresses courriel Contrôle du contenu Characteristiques Spam Mots / phrases clefs contrôle de la source contrôle du contenu Spammer Destinataire Fortinet Confidential
44
Antispam – Scenarios Scenario 1 – SMTP (tag ou rejet)
Internet Local SMTP Serveur Remote SMTP Serveur Internet Pop3 / IMAP Pop3 / IMAP Serveur Scenario 1 – SMTP (tag ou rejet) Le FortiGate analyse le trafic courriel entre deux MTA Les SPAMs peuvent alors ête supprimés ou tagué avant avant qu’ils ne soient reçus sur le serveur de messagerie Scenario 2 – IMAP/POP3 (tag) Le FortiGate analyse des courriels qui ont déjà été traité par le MTA local Si le courriel est considéré comme un SPAM, il peut être tagué Fortinet Confidential
45
Antispam protection caractéristiques
Contrôle des messages aux niveaux: De la source : Filtrage par adresses IP Listes statiques d’adresses IP Listes dynamiques : consultation en ligne de serveurs RBL & ORDBL Adresses De leur contenu Malformation des en-têtes MIME Mots / phrases clefs recherchées dans le corps ou l’en-tête des messages Une fois identifié comme SPAM, le message: Est tagué pour un traitement ultérieur au niveau du client de messagerie Filtrage et envoi automatique des messages SPAMs dans un dossier spécifique (configuration du client de messagerie) Rejeté avant sa transmission (SMTP uniquement) Fortinet Confidential
46
Activation des services antispam par profil de protection
Fortinet Confidential
47
Filtrage source – Adresses mail
Vérification de l’adresse mail source en fonction de listes statiques définies localement Liste noire: Action = Spam Liste blanche Action = Clear Les listes peuvent être importées par fichier texte Fortinet Confidential
48
Filtrage source – Serveur SMTP
Helo DNS lookup Sur réception d’une commange SMTP HELO L’adresse IP correspondant au nom de domaine annoncé par la commande HELO est vérifié contre l’adresse IP réelle du serveur qui se connecte Filtrage des serveurs SMTP se connectant par listes d’adresses statiques Listes noires et listes blanches d’adresses IP Les listes peuvent être importées par fichier texte Fortinet Confidential
49
Filtrage source – Serveur SMTP
Filtrage dynamique des adresses IP des serveurs SMTP entrant Vérification en ligne des adresses par interrogation de serveurs “Real-time DNS Blacklists” accessibles sur Internet Support des requêtes DNSBL Filtrage des sources de SPAMs indirectes (open relays, open proxies), sources de SPAMs directes, dial-up users, etc. Fortinet Confidential
50
Real-time DNS blacklists
Outgoing SMTP Serveur Internet 2 1 3 Sender 4 DNS-based database (ORDB, RBL, etc.) Recipient SMTP Serveur A sender delivers an to an outgoing SMTP mailServeur The outgoing SMTP Serveur establishes a connection to the recipients mailServeur, and attempts to deliver the . The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur is listed. The database Serveur responds to the FortiGate, and tells it whether your outgoing mailServeur is listed as a potential source of spams. If it is listed, the FortiGate: may choose to reject the SMTP connection and tells it that it is not allowed to deliver the mail. The sender receives a "Mailer Daemon", telling that the could not be delivered. Or it may add a tag to the , so that the recipient can easily filter SPAM s. Recipient Fortinet Confidential
51
Filtrage du contenu – En-têtes MIME
Vérification de toute portion des en-têtes MIME en fonctions de valeurs pré-définies Les champs des en-têtes peuvent être listés et leurs contenus vérifiés selon les valeurs paramétrées dans la liste Vérification de malformations spécifiques aux SPAMs Fortinet Confidential
52
Filtrage du contenu – Mots clefs
Par exemple: viagra = Recherche de phrases ou mots-clefs Dans le corps et/ou l’en-tête Liste blanche et liste noire Expression régulière ou wildcard Importation possible des listes par fichier texte Fortinet Confidential
53
Caractéristiques Pare-feu
Inspection statefu cerifiée ICSA Haute performance Jusque 4 Gbps (FG3600) Mode routé ou transparent (ponté) En mode transparent: connexion derrière une première ligne de routeur ou pare-feu Les contrôle stateful s’appliquent au trafic des tunnels VPN Les services AV, IPS, SPAM, Web s’appliquent en option aux règles pare-feu Policy-based NAT Many-to-one (PAT) Many-to-many NAT H.323/SIP NAT Traversal Authentification des utlisateurs Base de données locale Support Radius Support LDAP Support SecureID Table de correspondance IP/MAC Fortinet Confidential
54
Configuration des règles
Fortinet Confidential
55
Configuration des règles
Fortinet Confidential
56
Visualisation des sessions actives
Filtres pour la visualisaton des sessions Fortinet Confidential
57
Qualité de Service Trafic shaping Files d’attente DiffServ
Bufferisation des données pour une régulation du trafic selon les limites paramétrées Les paquets dépassant les limites fixées sont mise en mémoire pour un traitement ultérieur Tente d’éviter les pertes de paquets en ajoutant éventuellement un délai aux transmissions Utilisation de techniques de filtrage par panier de jeton pour garantir ou limiter la bande passante Files d’attente Bufferisation des paquets en file d’attente Filtes d’attente haute / moyenne /basse priorité En cas de congestion, les paquets de haute priorité sont traités en priorité DiffServ Marquage des champs DSCP Fortinet Confidential
58
Technique de filtre à panier de jetons
Fortinet Confidential
59
Qualité de service par règle pare-feu
La qualité de service s’applique au choix sur règle pare-feu Granularité de configuration La bande passante est contrôlée Fortinet Confidential
60
Support des VLANs 802.1Q A partir du FortiGate 60
Interfaces logiques multiples par interface physique Support des VLANs sur tout port physique Support des trunks VLANs Support du recouvrement d’adresses IP par VLAN Les VLANs son traités comme des interfaces au niveau des polices pare-feu Configuration antivirus par VLAN Configuration IPS par VLAN Configuration du filtrage Web et SPAM par VLAN Contrôle des polices pare-feu et de la qualité de service par VLAN Fortinet Confidential
61
Support des VLANs 802.1Q VLANs apparaissent comme des sous-interfaces
Fortinet Confidential
62
VLAN en mode transparent ou routé
Mode routé Routage entre les sous-interfaces logiques (VLANs) 30 10 40 20 Trunk interface Trunk interface ModeTransparent Les paquets sont pontés entre les VLANs. Dans le cas d’une insertion sur un trunk, le FortiGate revient à un pare-feu par VLAN 30 30 40 40 Trunk interface Trunk interface Fortinet Confidential
63
Routage Support de RIP v1 and RIP v2 Support de OSPF
Routage statique – Routage en fonction de la destination Routes can be arranged in the routing table from specific to more general Des passerelles multiples pour chaque route statique (accessibles sur des interfaces distinctes) Détection du status des passerelles par ping Bascule automatique sur les liens secondaires sur le route vers la passerelle primaire n’est plus disponible Peut être utilisé pour une redondance de fournisseurs d’accès Internet Internet ISP1 Intranet ISP2 Fortinet Confidential
64
Routage « policy-based »
Outre les adresses destination, le routage statique peut prendre en compte: Les adresses sources Les protocoles et les ports applicatifs Les routes “policy-based” sont examinées en premier Peut être utilisé pour utiliser simultanément plusieurs accès Internet (partage de charge statique) Trafic temps réel (HTTP) Internet ISP1 Intranet Autre trafic ISP2 Fortinet Confidential
65
Routage « policy-based »
Fortinet Confidential
66
Caractéristiques VPN IPSec VPN certifié ICSA Protocoles supporté :
IPsec, PPTP L2TP/Passthrough of IPSec and PPTP Chiffrement matériel (ASIC) : DES, 3DES, and AES Les flux entrant et sortant des tunnels: Peuvent être contrôlés par les règles pare-feu Peuvent bénéficier tous les services de protection FortiGate: Antivirus, IPS, filtrage Web et SPAM VPN NAT traversal Dead peer detection (DPD) Authentification: Support de Xauth Support des certificats X.509 Support de LDAP, RADIUS Interopérabilité VPN avec la acteurs majeurs Support des architectures “hub and spoke” Fortinet Confidential
67
Redondance de tunnels VPN
Jusque 3 passerelles redondantes peuvent être configurées pour chaque tunnel VPN La disponibilité d’une passerelle VPN est détectée par implémentation de DPD Peut être utilisé pour définir des tunnels redondants dans une architecture d’accès Internet redondants: ISP1 Internet ISP2 Fortinet Confidential
68
IPSec – Phase 1 (site à site)
} Adresse IP ou nom DDNS (dans le cas où l’adresse IP de la passerelle est dynamique) Fortinet Confidential
69
IPSec – Phase 2 (site à site)
Jusque 3 passerelles redondantes Fortinet Confidential
70
Règle pare-feu des VPNs (site to site)
L’adresse source des paquets sortant d’un tunnel VPN est translaté avec l’adresse de l’interface vers lequel il est émis Fortinet Confidential
71
IPSec – Phase 1 (Clients IPSec)
IKE en mode agressif pour les clients qui n’ont pas une adresse IP fixe Authentification utilisateur Fortinet Confidential
72
VPN setup – Phase 2 (Dial users)
DHCP sur IPSec pour une adresse IP privée dynamique Fortinet Confidential
73
FortiClientTM Secure Connect
Le logiciel FortiClient inclut: Un client VPN IPSec (phase 1) Une protection antivirus (phase 2) Mise à jour automatique du moteur et de la base de connaissance par par le réseau de distribution FDN (FortiProtect Distribution Network ) Un pare-feu client (phase 2) Trois zones zone de confiance, Internet, zone bloquée Contrôle des applications Blocage d’applications qui tentent d’accéder à des ressources réseau Vérification des applications Calcul de checksum Activation / désactivation du voisinage réseau Granularité des règles pare-feu (phase 3) par utilisateur, par localisation Programmation horaire (phase 3) Fortinet Confidential
74
FortiClient Secure Connect
Fortinet Confidential
75
Configuration VPN du FortiClient
Attribution d’une adresse IP dynamique par DHCP Fortinet Confidential
76
Configuration antivirus du FortiClient
Fortinet Confidential
77
Journalisation FortiClient
Fortinet Confidential
78
Haute-disponibilité – Caractéristiques
A partir du FortiGate-60 Supporté en mode transparent et en mode routé Supporte les modes actif-passif et actif-actif Le mode actif-passif fournit un secours en cas de panne d’interface ou de panne FortiGate de façon transparente aux utilisateurs: Bascule en moins de 3 seconde Reprise des sessions en cours (synchronisation des sessions pare-feu et IPSec) Journalisation de l’événement et alerte courriel et/ou SNMP Le mode actif-actif fournit en outre: Un partage de charge des sessions pare-feu Un partage de charge antivirus entre les boîtiers d’un même cluster Fortinet Confidential
79
Haute-disponibilité – Architecture
Lien HA Interface quelconque Non dédié Peut être redondant Cluster FortiGate : Secours automatique et transparent Répartition de charge Internet Intranet Fortinet Confidential
80
Haute-disponibilité – Caractéristiques
Les « hearbeats HA » Servent à: Synchroniser les sessions pare-feu et IPSec Synchroniser les configurations du cluster Rapporter les statuts de fonctionnement (disponibilité des interfaces, etc.) Sont échangés sur des liens dits « HA » Redondance de liens HA: Toute interface peut être configurée en tant que lien HA Une interface connectée au réseau pour transmettre du trafic utilisateur peut aussi être configurée comme lien HA Le lien HA primaire peut être secouru par un nombre quelconque de lien secondaire (ordonnancement des liens d’après un niveau de priorité) Fortinet Confidential
81
Haute-disponibilité – Configuration
Choix du mode actif-actif or actif-passif mode Le boîtier maître a la plus haute priorité Choix parmi 6 algorithmes de répartition de charge Choix des interfaces surveillées Choix des liens HA Le lien sur lequel s’effectue les échanges HA a la plus grande prioroité. Les autres liens sont en secours Fortinet Confidential
82
Surveillance des états HA
Fortinet Confidential
83
Domaines virtuels (VDOMs)
Fournit de multiples pare-feux et routeurs logiques dans un seul boîtier FortiGate Objets d’un VDOMs: VLANs Les objets (services, adresses) et règles pare-feu Le routage La configuration VPN La configuration des authentifications utilisateurs (base locale, configuration RADIUS & LDAP) Create new virtual domains Fortinet Confidential
84
Vdom et VLANs Pour chaque VLAN créé, on choisit son domaine virtuel
config system interface edit "Customer1_VID1" set ip set log enable set vdom "Customer1" set interface "internal" set vlanid 1 Fortinet Confidential
85
VDOM et interfaces Visualisation des VLANs par domaine virtuel
Fortinet Confidential
86
DHCP – Caractéristiques
DHCP Relay Serveur DHCP Multiples plages d’adresses IP par interface Exclusion d’adresses Fortinet Confidential
87
Support des réseaux sans fil
Configuration en client ou en point d’accès WEP 64 or 128 Fortinet Confidential
88
Support de IPv6 Support clef pour le marché japonais
Plusieurs adresse IP par téléphone portable Fortinet IPv6 Phase 1 (FortiOS 2.8): Coexistence Adresses IPv6 et routage entre interfaces Fortinet IPv6 Phase 2: Tunneling Connexion d’ilots IPv6 entre réseaux IPv4 Fortinet IPv6 Phase 3: protection avancée Par exemple: antivirus IPv6 Fortinet Confidential
89
Gestion des boîtiers FortiGate
CLI – Command-line Interface Sécurisée par SSH Web GUI Sécurisée par SSL Fortinet Confidential
90
Accès CLI sécurisé à travers l’interface graphique
Fortinet Confidential
91
Interface graphique Fortinet Confidential
92
Interface graphique – Localisation
Interface en 6 langues Fortinet Confidential
93
Role-based management
Fortinet Confidential
94
Backup and restore Backup/restore the entire config
Backup/restore part of the config Backup is done in the form of a text file Fortinet Confidential
95
SNMP support SNMP v1 and v2c MIBs Traps Traps CPU usage above 90%
proprietary MIB Standard RFC 1213 and RFC 2665 MIBs Traps cold start system down interface up/down Log full Traps CPU usage above 90% Memory usage above 90% Hard disk usage above 90% HA cluster fails Tunnel up/down Flooding attacks Port scan attacks Virus detection Etc. Fortinet Confidential
96
FortiManager – Caractéristiques
Centralized configuration and management Device Manager Models Create offline devices and configs, check differences Policy Manager Create Policies for multiple devices and groups Create Profil de protections for multiple devices Admin Manager Role Based Administration Supports multiple simultaneous administrators with different authorization levels Fortinet Confidential
97
FortiManager – Caractéristiques
Centralized configuration and management Configuration and view of FortiGate devices FortiGate domains management Devices groups Management of user accounts Fortinet Confidential
98
FortiManager – Caractéristiques
Firmware update Centralized monitoring & logging Status, trafic, alerts, etc. Easy centralized data storage and analysis/reporting Sortable and filterable logs Log database backup Realtime Monitor System Health, Device Status, Session Monitor, trafic Flow, Anti-Virus, Attack, Alert Notification Fortinet Confidential
99
FortiManager – Architecture
Console 1 Console 2 Console N FortiManager Admin Console(s) Integral RDB included in the FortiManager Server appliance FortiManager Server (Appliance) RDB Security Domain A Security Domain B FortiGate Firewall under mgmt Fortinet Confidential
100
FortiManager Modular design
GUI (Java based) Platform-independent Java based admin console(s) Supports multiple active windows for simultaneous multi-site monitoring Interface contrôle model Console(s) CORBA API CORBA API/North bound API Deployed as security hardened, plug & play appliance Modular, flexible, scalable design Integrated LDAP directory for configurations & policy Integrated RDB for central log/data store CORBA interface for integration with OSS/BSS Config mgmt Network mgmt Monitoring/Log mgmt Policy mgmt FortiManager Serveur Security mgmt Other Mgmt modules CLI SSH SFTP API SNMP API Persistent Storage API RDB LDAP CLI/SSH SFTP API SNMP API FG Units Secure communication with all FortiGate models FortiOS Firmware Fortinet Confidential
101
FortiManager™ System – Architecture Benefits
Multi-tier Client/Serveur architecture Serveur software Deployed on security-hardened appliance to eliminate installation issues, improve system reliability & security Corba-based interfaces Eases integration into customer existing management systems Secure communication between Serveur and FG units Strong mutual authentication mitigates attacks Strong chiffrement of communication protects from information interception Fortinet Confidential
102
FortiManager – Device Manager
Allows to manage individual FortiGate devices from the FortiManager Serveur Configure online and offline devices Import and export devices Device configuration import using SSH Create device templates View device configurations Resynch, restore, and update devices Fortinet Confidential
103
FortiManager – Device Manager
Fortinet Confidential
104
FortiManager – Device Manager
Any part of the FortiGate functionalities can be configured through Device Manager System, Pare-feu, Users, IPS, Web filtering, Spam filtering, VPN If changes are made to the device using the web-based manager or the CLI rather than the FortiManager System, differences can occur between the device and the database Resynchronizing with the device forces the Serveur to retrieve the data from the device Fortinet Confidential
105
FortiManager Policy Management
Fortinet Confidential
106
Antivirus highlights Three services: Supported protocols:
Virus detection File and blocking service (oversized files or pattern matching file names) Quarantine service of infected files Supported protocols: traffic: SMTP, POP3, IMAP Web traffic: HTTP (content, downloads, and web mail) FTP traffic Support non standard ports (SMTP, POP3, IMAP, HTTP) Full coverage of the industry standard WildList viruses Including polymorphic viruses Transparent to end users No special configuration on the client side (requires no proxy setup) Customized signature to outgoing s Customized replacement messages (mail, FTP, Web) Fortinet Confidential
107
Grayware control Fortinet Confidential
108
Agenda Web (URL) Filtering Firewall Features Antivirus Features
IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
109
Web filtering benefits
Increase productivity Viewing unproductive and objectionable material can reduces employee productivity Improve bandwidth by filtering out non-work-related content mp3 files, games, pornographic material, etc. Exposure to inappropriate content can lead to lawsuits Avoid threat of “hostile work environment” Fortinet Confidential
110
Dynamic web filtering – FortiGuard
Requested Web site Internet 4a 3a 3b 2 4b 5 FortiGuard Server Intranet User requests a URL. If the URL rating is already cached, it is compared with the policy for the user. If the site is allowed, the page is requested (3a) and the response is retrieved (4a). If the URL rating is not in the FortiGate cache, the page is requested (3a) and a rating request is made simultaneously to a FortiGuard Servers (3b). When the rating response is received (4b) it is compared with the policy while the response from the Web site (4a) is received. If the policy is to allow the page, the Web site response is passed to the requestor (5). Otherwise, a configurable “blocked” message is sent to the requestor. 1 Web client Fortinet Confidential
111
Dynamic web filtering – FortiGuard
Policies are stored and enforced by FortiGate units Customers configure allow/deny policies on FortiGate systems URL requests received by FortiGate unit are forwarded to a FortiGuard server, which respond with ratings FortiGate unit maintains user/group info for each request, supports user/group-level policies Fortinet Confidential
112
Static web filtering Static control Based on local black/white lists
Lists can be imported from text files Fortinet Confidential
113
Agenda IDS/IPS Firewall Features Antivirus Features
Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
114
Intrusion detection highlights
ICSA certified High speed performance Asic-based IDS Real-time detection Signature database of 1,400 known hacker attacks Timely and automated updates of attack signatures Through the FortiProtect Distribution Network Customizable alerts Alerts can be filtered to avoid generation numerous, redundant alerts from a single attack Very easy to configure and easy to maintain Dramatically lower cost than stand-alone NIDS Fortinet Confidential
115
Intrusion detection highlights
Customizable attack list to enable and disable signatures Possibility to import SNORT signature Support for customer self-defined signatures Fortinet Confidential
116
Integrated intrusion detection
The IDS engine: Hooks into the routing and firewall modules and application layer Coordinates with the FortiASIC to quickly peek into traffic and check for traffic patterns that match specified IDS signatures Fortinet Confidential
117
Protection profile – Intrusion control
Detection methods: Signatures Anomalies Scanning attacks Flooding attacks Fortinet Confidential
118
Agenda Anti-SPAM Firewall Features Antivirus Features
Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
119
Antispam – Multiple layers of defense
Source blocking By IP addresses Static lists Dynamic lists (RBL, ORDB) FortiShield Reverse DNS lookup By URI content By addresses Content blocking Spam characteristics Banned words Control the source Control the content Spammer Recipient Fortinet Confidential
120
AntiSpam – Deployment scenarios
Internet Local SMTP Server Remote SMTP Server Internet Pop3 / IMAP Pop3 / IMAP Server Scenario 1 – SMTP (tag or discard) FortiGate unit monitors traffic at the MTA level This enables blocking spam transfers before entire is transferred. Spam may be rejected or tagged Scenario 2 – IMAP/POP3 (tag) FortiGate unit scans s already processed by the local MTA If considered as a SPAM, the FortiGate marks the Fortinet Confidential
121
Antispam protection highlights
Uses a wide variety of local and network tests to identify spam signatures Source blocking IP address Static lists Dynamic database: RBL & ORDBL address FortiShield (IP Address and URI scanning) Content blocking MIME headers Banned word Once identified, the mail is: Tagged as spam for later filtering using the user's own mail user-agent application Enables easy sorting by any client Or rejected (SMTP) S P A M Fortinet Confidential
122
FortiShield AntiSpam Service
Fortinet managed antispam service with “dual pass” scan technology For FortiGate and FortiMail Benefits Greatly reduces processing overhead on servers and antispam gateways Reclaims bandwidth taken by spam Supplements any other antispam solution Cost effective managed solution lowers maintenance overhead of managing static content filters Fortinet Confidential
123
FortiShield Overview – Phase 1
Spammer IP Check 1. SMTP session requested SMTP Server 2. Extract Server Source IP Address 4. Receive Result (Cache for future use) 5. Session terminated if Spam FortiShield AntiSpam Service FortiGate or FortiMail 3. Check Source IP with Database FortiMail or SMTP Server Clients Fortinet Confidential
124
FortiShield Overview – Phase 2
Content Screening 1. message transmitted SMTP Server Hi there, how are you? <Spam> 2. content inspected for URI content 4. FortiShield result received and cached 3. FortiShield scans spam URI content FortiShield AntiSpam Service FortiGate or FortiMail Hi there, how are you? <Spam> 5. Spam filtered or tagged and distributed based on policy Clients FortiMail or SMTP Server Fortinet Confidential
125
FortiShield Service Controls
FortiShield provides a Web Service to allow: Search for known spammer Report new spammer Request to be removed from Spammer List Fortinet Confidential
126
Agenda VPN Firewall Features Antivirus Features Web (URL) Filtering
IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
127
VPN Highlights ICSA-certified IPSec VPN Supported protocols:
IPsec, PPTP L2TP/Passthrough of IPSec and PPTP Hardware encryption: DES, 3DES, and AES IPSec VPN traffic controlled by firewall policies VPN tunnels decrypted and routed through firewall and AV scanning VPN NAT traversal Dead peer detection (DPD) Dial-up monitor/Remote VPN client Authentication: Support for Xauth over Radius x.509 Certificate auth LDAP for user authentication Interoperability with major VPN vendor Hub and Spoke architecture support Fortinet Confidential
128
VPN benefits VPN tunnels cannot be used to carry threats into customer networks Scans encrypted VPN tunnels for worms and viruses Prevents home office and telecommuters from tunneling viruses and worms back to HQ Applies firewall policies to VPN tunnels Applies intrusion protection to VPN tunnels (IDS and IPS) No other VPN vendor can do this Greatly reduced installation and integration headaches Trying to do what FortiGate systems do using separate products is a nightmare! Fortinet Confidential
129
VPN redundancy Up to 3 redundant VPN gateway can be defined for each VPN tunnel VPN gateway availability is checked using DPD Can be used to setup redundant tunnels with redundant ISPs: ISP1 Internet ISP2 Fortinet Confidential
130
Agenda Virtual Domains Firewall Features Antivirus Features
Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
131
Virtual domains Provides multiple logical firewalls and routers in a single FortiGate unit VDOM objects: VLANs Firewall objects and policies Routing setup VPN setup User setup (local database, LDAP, RADIUS) Create new virtual domains Fortinet Confidential
132
Vdom and VLANs Select the Virtual Domain for which you create a VLAN
config system interface edit "Customer1_VID1" set ip set log enable set vdom "Customer1" set interface "internal" set vlanid 1 Fortinet Confidential
133
VDOM and interfaces View VLANs on a per Virtual Domain basis
Fortinet Confidential
134
Agenda Administration Firewall Features Antivirus Features
Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration Fortinet Confidential
135
Roles-based Administration (RBA)
Granular administration access: Assignable permissions Not accessible Read only Read / write Device status Log and report Device configuration Users Security Policy Administrator Fortinet Confidential
136
Administrators and Access Rights
Ability to create function-specific administrators Lock-down administration Host system Fortinet Confidential
137
FortiGate standalone management
CLI – Command-line Interface Security through SSH Web GUI Security through SSL Fortinet Confidential
138
CLI accessed from Telnet/SSH/GUI
Fortinet Confidential
139
Backup and restore Backup/restore the entire config
Backup/restore part of the config Backup is done in the form of a text file Fortinet Confidential
140
SNMP support SNMP v1 and v2c MIBs Traps Traps CPU usage above 90%
proprietary MIB Standard RFC 1213 and RFC 2665 MIBs Traps cold start system down interface up/down Log full Traps CPU usage above 90% Memory usage above 90% Hard disk usage above 90% HA cluster fails Tunnel up/down Flooding attacks Port scan attacks Virus detection Etc. Fortinet Confidential
141
?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.