La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Fortinet Product Overview January 2005. Fortinet Confidential Fortinet Company Overview Fondée en 2000 par Ken Xie Fondateur et CEO de NetScreen (NASDAQ:

Présentations similaires


Présentation au sujet: "Fortinet Product Overview January 2005. Fortinet Confidential Fortinet Company Overview Fondée en 2000 par Ken Xie Fondateur et CEO de NetScreen (NASDAQ:"— Transcription de la présentation:

1 Fortinet Product Overview January 2005

2 Fortinet Confidential Fortinet Company Overview Fondée en 2000 par Ken Xie Fondateur et CEO de NetScreen (NASDAQ: NSCN) 550 employees; Siège a Sunnyvale, Californie Dirigée par une équipe de visionnaires expérimentés Ken Xie, Michael Xie, Joe Wells, MIT team 550 employees; Siège a Sunnyvale, Californie Bureau dans tous les USA, EMEA et Asia Belgium, France, Germany, Italy, Sweden, UK Tokyo, Seoul, Beijing, Shanghai, Hong Kong, Taipei, Singapore, KL, etc. Premier créateur dans la monde de solution Antivirus sur base ASIC Ceci afin dadresser la demande de protection en temps-reel Plus de 80,000 Fortigate vendus dans la monde Revenue multiplier par 10 en 1 an ( ) Croissance la plus importante dans lhistoire du IT CONFIDENTIAL

3 Fortinet Confidential La Vision Les produits de Fortinet couvrent toutes les briques de la sécurités du contenu, ceci afin déviter ou de diminuer les problématiques dattaques multiples. Ceci grâce au Fortigate, la seule solution Multi gigabit pour les accès internet des opérateurs télécoms et pour toutes les grandes entreprises, sans oublier de protéger les accès de lutilisateur nomades. Le management des solutions de sécurités Fortinet est effectué par une autre gamme dAppliances nommées le Fortimanager. Fortimanager est une solution complète pour facilement déployer, administré et contrôlé vos solutions Fortigate. Fortinet, développe et vends des produits Reseaux industriel, avec un très haut niveau de performance, ceci en intégrant les solutions Firewall, Vpn, antivirus, et Intrusion Protection. Ceci toujours dans une problématique, afin doffrir une meilleur protection contre les attaques multiples.

4 Fortinet Confidential Pourquoi Fortinet ? Une grande experience dans la marché de sécurité –2,200+ clients grands comptes –80,000 produits vendus –4 certification ICSA (FW, AV, VPN, IPS) –EAL 4 en instance (4+ aussi en instance) –FIPS en Septembre 2004 –Fournir un accroissement du service, en réduisant les coûts dinfrastructure et de déploiement, les solutions type Hardware Fortinet, se prête complètement à la fourniture de service additionnel, sans rajouter continuellement des nouvelles plateformes pour manager et superviser ces services. –Fortinet à plus de 20 boitiers, qui permette de sélectionner le bon service à fournir, aussi bien pour des clients type PME – PMI, pour les MSSP, les opérateurs en bien évidemment les très grandes entreprises. –Fortinet à été récompensé pour sa technologie, par une série de Awards du monde de la presse IT.

5 Fortinet Confidential Unified Threat Management (UTM) Security Appliance Market = unification of firewall and gateway anti-virus into a single platform Fortinet ranked #1 IDC Reports Fortinets UTM Market Leadership! New! UTM market revenue started at $85 million in over the next 3 years, UTM appliance sales will exceed that of standard firewall/VPNs Firewall/VPN segment – baseline $1.5 billion revenue in revenue of 17% annualized growth rate for combined UTM and stand-alone Firewall/VPN category, $3.45 billion by 2008

6 Fortinet Confidential The UTM market is being created because it is quickly catching on with customers and vendors. UTM incorporates firewall, intrusion detection and prevention, and AV in one high-performance appliance. -- IDC, 2004 Worldwide Threat Management Security Appliances Forecast, ($M) Share (%) CAGR (%) 2008 Share (%) Firewall/VPN$1,479.1$1,667.7$1,791.6$1,804.4$1,623.5$1, %-0.2%42.4% UTM Security Appliance $104.9$225.0$517.5$828.0$1,324.8$1, %80.1%57.6% Total TM Security Appliance $1,584.0$1,892.7$ 2,309.1$2,632.4$2,948.3$3, % UTM Products Will Overtake Standalone VPN/Firewalls by 2008

7 Fortinet Confidential IDC UTM Leadership Over Point Solutions WW Unified Threat Management Appliance Revenue by Vendor, 2003 ($M) VendorRevenueUnitsRevenue ShareAverage Vendor Revenue Fortinet (#1) %$ 1, Symantec %$ 1, Secure Computing %$ ServGate %$ 1, Netscreen (acquired by Juniper) %$ eSoft %$ 1, Pyramid Computer %$ 2, Others %$ 1, Total %$ 1, Source: IDC, 2004 Fortinet, with the only ASIC based AV accelerated UTM appliances, led this UTM market in 2003, with $30.9 million in revenue and a 29.5% share of the worldwide market. -- IDC, 2004

8 Fortinet Confidential FortiGate Product Family Integrated Logging High Availability, VLAN support High port density Gigabit Eth Gigabit perf Redundant PS, VDom FortiGate Product Family THROUGHPUT FortiGate-100A FortiGate-300A FortiGate-400A FortiGate-5000 FortiGate 500A FortiGate-200A FortiGate-3600 FortiGate-60 / FortiWifi FortiGate-1000 FortiGate-3000 FortiGate 800 FortiGate-50A SOHO Branch Office Medium Enterprise Large Enterprise Service Provider/Telco Same Feature Set Throughout

9 Fortinet Confidential Fortinet Product Family FortiGate Product Family FortiManager-400A SOHO Branch Office Medium Enterprise Large Enterprise Service Provider/Telco FortiManager-3000 FortiLog-100 FortiLog-400 FortiLog-800 Capacity FortiMail-400 FortiMail-2000 New ! FortiReporter FortiClient

10 Fortinet Confidential Fortinet Developed a Unique Architecture for Complete, Real-Time Network Protection Instant Attack Updates Comprehensive Support Centralized Management SERVICES

11 Fortinet Confidential FortiProtect infrastructure ensures rapid response to new threats Fortinet Threat Response Team and Update Distribution Servers High Availability, High Capacity (Updates all FortiGate Units in Under 5 Minutes) FortiProtect Web Portal & Daily Bulletins

12 Fortinet Confidential Fortinet Delivers UTM Solutions for the Managed Security Service Provider

13 Fortinet Confidential Fortinet Delivers UTM Solutions for the Enterprise

14 Fortinet Confidential Fortinet Delivers UTM Solutions for the Small & Medium Business

15 Fonctionnalités

16 Fortinet Confidential Fonctionnalités FortiGate Pare-feu VPNs Services de protection des flux réseau: –Services disponibles: Antivirus Filtrage Web Antispam IPS –Activation des services: Création dun profil Mis en service par règle pare-feu Défnition de profils distincts en fonction des services activés

17 Fortinet Confidential Activation des services par règle pare-feu Activation de différents profils de protection en fonction des règles pare-feu

18 Fortinet Confidential Protection différenciée en fonction des groupes utilisateurs Sélection des communautés utilisateurs

19 Fortinet Confidential Protection différenciée en fonction des groupes utilisateurs Association de groupes utilisateurs à des profils de protection spécifique

20 Fortinet Confidential Caractéristiques Antivirus Seule plate-forme ASIC antivirus certifiée ICSA Méthode de recherche antivirus –Signatures –Analyse Macro –Heuristique (fichiers exécutable PE) Efficacité de recherche –Recherche contextuelle – Consultation des sections appropriées de la base de connaissance, relativement à la nature des données analysées Haute performance –Seule solution dantivirus de flux accéléré par ASIC pour un traitement temps réel –Analyse des protocoles temps réel comme HTTP sans délai notable –Performances inégalées à ce jour: 5x à 10x fois supérieures aux solutions logicielles traditionnelles

21 Fortinet Confidential La problématique des antivirus HTTP Plus de 25%+ des contaminations sont réalisées par le Web –Téléchargement Web –Courriel web –Etc. Les solutions logicielles sont trop lentes pour lanalyse du trafic Web Seule une solution ASIC peut apporter la puissance de traitement requise

22 Fortinet Confidential Caractéristiques Antivirus Trois services: –Détection des virus –Filtrage des noms et des tailles de fichiers –Mise en quarantaine des fichiers contaminés Protocoles supportés –Courriel: SMTP, POP3, IMAP –Trafic Web: HTTP (contenu, téléchargement, courriel web) –Trafic FTP –Support de ports non standard (SMTP, POP3, IMAP, HTTP) Couverture complète de tous les virus actifs (standard WildList) – Dont les virus polymorphiques Service transparent pour les utilisateurs finaux –Aucune configuration des postes de travail (pas de configuration proxy !) Signatures paramétrables sur les courriels sortants Messages de remplacement paramétrables

23 Fortinet Confidential Message de remplacement

24 Fortinet Confidential Activation par règle pare-feu Le filtrage antivirus sactive au choix sur règle pare-feu –Analyse sélective sur les flux à risque –Granularité de configuration Optimisation des ressources –Elément différenciateur par rapport aux solutions traditionnelles

25 Fortinet Confidential De lintérêt dune analyse sélective par règle pare-feu Proxy Cache Analyse antivirus Intranet Internet Pas danalyse antivirus Pare-feu AV mode transparent Serveur Web Client

26 Fortinet Confidential Profil de protection – contrôle antivirus

27 Fortinet Confidential Contrôle Grayware

28 Fortinet Confidential Caractéristiques Antivirus Journalisation des événements antivirus Envoi à un administrateur dune alerte par courriel quand un virus est détecté Mise à jour dynamique du moteur et de la base de connaissance à partir du réseau de distribution FortiProtect (FDN) –Mise à jour automatique (téléchargement automatique par SSL, programmation horaire paramétrable) –Mise à jour ponctuelle initiée par le FortiGate sur réception dune alerte FDN Réduit les fenêtres de vulnérabilité Message UDP envoyé par le FDN sur le port 9443 Analyse antivirus des fux VPNs Support jusquà 12 niveaux de compressions (ex: compression LZH)

29 Fortinet Confidential Mise à jour antivirus

30 Fortinet Confidential Caractéristiques du filtrage Web Activation du service en fonction des règles pare-feu –Possibilité dappliquer des contrôles différenciés par groupe utilisateurs Filtrage des scripts (Java, ActiveX, Cookies) Fitlrage statique –Listes noires / blanches –Contenu mots & phrases interdits –Filtrage dURLs –Import possible de la configuration par fichier texte Filtrage dynamique –FortiGuard (service Fortinet ) –Filtrage basé sur des catégories – 56 categories

31 Fortinet Confidential Activation des contrôles Web Activation sur règle pare-feu –Analyse web sélective Optimisation des ressources Filtrage différencié en fonctions des groupes utilisateurs

32 Fortinet Confidential Filtrage Web dynamique – FortiGuard Configuration du filtrage Web statique Configuration du filtrage Web dynamique Activation des catégories – 56 catégories disponibles

33 Fortinet Confidential Filtrage Web dynamique – FortiGuard Consultation de rapports sur les sites web filtrés en fonction des profils –Requière un disque dur local –Tableau et camemberts Statistiques sur les pages –Autorisées ou bloquées –Pour chaque catégorie de filtrage Soumission de nouvelles pages web eou demande de réévaluation dune page web

34 Fortinet Confidential Dynamic web filtering – FortiGuard Serveur FortiGuard Internet Client Web 1 5 3a 3b 4a 4b 1.User requests a URL. 2.If the URL rating is already cached, it is compared with the policy for the user. If the site is allowed, the page is requested (3a) and the response is retrieved (4a). 3.If the URL rating is not in the FortiGate cache, the page is requested (3a) and a rating request is made simultaneously to a FortiGuard Serveurs (3b). 4.When the rating response is received (4b) it is compared with the policy while the response from the Web site (4a) is received. 5.If the policy is to allow the page, the Web site response is passed to the requestor (5). Otherwise, a configurable blocked message is sent to the requestor. 2 Intranet Site Web cible

35 Fortinet Confidential Filtrage Web statique Définition de listes noires / blanches statiques Recherche de mots clefs et filtrage de dURLs Les configurations de blocs dURLs et de mots clefs peut se fair epar importation de fichier texte

36 Fortinet Confidential Caractéristiques IPS Certifié ICSA Haute performance –Accélaration hardware (ASIC) –Permet une détection en temps réel Base de connaissance sur attaques Mise à jour automatique du moteur IPS et de la base de connaissance –Through the FortiProtect Distribution Network Paramétrage dune alerte courriel sur détection dattaque –Les alertes sont filtrées pour éviter la génération de trop nombreuses alertes redondantes pour une même attaque Configuration simplissime Coût sans comune mesure comparée aux solutions traditionnelles

37 Fortinet Confidential Caractéristiques IPS Possibilité de définir ses propres signatures Import possible de signatures SNORT

38 Fortinet Confidential Intégration du moteur IPS Le moteur IPS: –Intervient de lanalyse des paquets par le module de routage, le module pare- feur et le module de réassemblage applicatif –Coordonne son activité avec le FortiASIC pour rapidement intercepter le trafic et vérifier les attaques contre la base de signature

39 Fortinet Confidential Caractéristiques IPS Toute attaque détectée peut être instantanément bloquée –Filtrage automatique des attaques sans intervention humaine: Exemple: Sasser –Détection et prévention temps réel grâce à une connexion spécifique vers du moteur IPS vers le module firewall

40 Fortinet Confidential Caractéristiques IPS Différentes stratégies sont disponibles pour bloquer les attaques –Seuils de détection de comportements anormaux paramétrables –Arrêt des attaques avec au choix : Suppression des paquets, réinitialisation des sessionss, etc. Attaques identifiées par signature Attaques détectées par anomalie de comportement

41 Fortinet Confidential Profil de protection – Contrôle IPS Activation des détections et préventions dattaque au niveau des profils de protection

42 Fortinet Confidential Activation IPS sur règle pare-feu Lanalyse IPS sactive au choix sur règle pare-feu –Analyse des seuls flux à risque –Granularité de configuration Lutilisation des ressources est optimisée –Eléments différentiateur par rapport aux solutions traditionnelles qui se limitent aux VLANs et interfaces Par exemple, activation du service de prévention dintrusion sur le trafic entrant et sortant dun tunnel VPN

43 Fortinet Confidential Antispam – Multiples défenses Contrôle du contenu Characteristiques SpamCharacteristiques Spam Mots / phrases clefsMots / phrases clefs Contrôle de la source Par adresses IPPar adresses IP –Listes statiques –Listes dynamiques (RBL) –Helo DNS lookup Par adresses courrielPar adresses courriel Spammer contrôle de la source contrôle du contenu Destinataire

44 Fortinet Confidential Antispam – Scenarios Scenario 1 – SMTP (tag ou rejet) –Le FortiGate analyse le trafic courriel entre deux MTA –Les SPAMs peuvent alors ête supprimés ou tagué avant avant quils ne soient reçus sur le serveur de messagerie Scenario 2 – IMAP/POP3 (tag) –Le FortiGate analyse des courriels qui ont déjà été traité par le MTA local –Si le courriel est considéré comme un SPAM, il peut être tagué Internet Internet Pop3 / IMAP Local SMTP Serveur Remote SMTP Serveur Pop3 / IMAP Serveur

45 Fortinet Confidential Antispam protection caractéristiques Contrôle des messages aux niveaux: –De la source : Filtrage par adresses IP –Listes statiques dadresses IP –Listes dynamiques : consultation en ligne de serveurs RBL & ORDBL Adresses –De leur contenu Malformation des en-têtes MIME Mots / phrases clefs recherchées dans le corps ou len-tête des messages Une fois identifié comme SPAM, le message: –Est tagué pour un traitement ultérieur au niveau du client de messagerie Filtrage et envoi automatique des messages SPAMs dans un dossier spécifique (configuration du client de messagerie) –Rejeté avant sa transmission (SMTP uniquement) S P A M

46 Fortinet Confidential Activation des services antispam par profil de protection

47 Fortinet Confidential Filtrage source – Adresses mail Vérification de ladresse mail source en fonction de listes statiques définies localement –Liste noire: Action = Spam –Liste blanche Action = Clear Les listes peuvent être importées par fichier texte

48 Fortinet Confidential Filtrage source – Serveur SMTP Helo DNS lookup –Sur réception dune commange SMTP HELO –Ladresse IP correspondant au nom de domaine annoncé par la commande HELO est vérifié contre ladresse IP réelle du serveur qui se connecte Filtrage des serveurs SMTP se connectant par listes dadresses statiques –Listes noires et listes blanches dadresses IP –Les listes peuvent être importées par fichier texte

49 Fortinet Confidential Filtrage source – Serveur SMTP Filtrage dynamique des adresses IP des serveurs SMTP entrant –Vérification en ligne des adresses par interrogation de serveurs Real-time DNS Blacklists accessibles sur Internet Support des requêtes DNSBL Filtrage des sources de SPAMs indirectes (open relays, open proxies), sources de SPAMs directes, dial-up users, etc.

50 Fortinet Confidential Real-time DNS blacklists Outgoing SMTP Serveur Internet Sender 1 Recipient SMTP Serveur Recipient DNS-based database (ORDB, RBL, etc.) 1.A sender delivers an to an outgoing SMTP mailServeur 2.The outgoing SMTP Serveur establishes a connection to the recipients mailServeur, and attempts to deliver the . 3.The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur is listed. The database Serveur responds to the FortiGate, and tells it whether your outgoing mailServeur is listed as a potential source of spams. 4.If it is listed, the FortiGate: -may choose to reject the SMTP connection and tells it that it is not allowed to deliver the mail. The sender receives a "Mailer Daemon", telling that the could not be delivered. -Or it may add a tag to the , so that the recipient can easily filter SPAM s.

51 Fortinet Confidential Filtrage du contenu – En-têtes MIME Vérification de toute portion des en-têtes MIME en fonctions de valeurs pré-définies Les champs des en-têtes peuvent être listés et leurs contenus vérifiés selon les valeurs paramétrées dans la liste –Vérification de malformations spécifiques aux SPAMs

52 Fortinet Confidential Filtrage du contenu – Mots clefs Recherche de phrases ou mots-clefs Dans le corps et/ou len-tête Liste blanche et liste noire Expression régulière ou wildcard Importation possible des listes par fichier texte Par exemple: viagra =

53 Fortinet Confidential Caractéristiques Pare-feu Inspection statefu cerifiée ICSA Haute performance –Jusque 4 Gbps (FG3600) Mode routé ou transparent (ponté) –En mode transparent: connexion derrière une première ligne de routeur ou pare-feu Les contrôle stateful sappliquent au trafic des tunnels VPN Les services AV, IPS, SPAM, Web sappliquent en option aux règles pare-feu Policy-based NAT –Many-to-one (PAT) –Many-to-many NAT –H.323/SIP NAT Traversal Authentification des utlisateurs –Base de données locale –Support Radius –Support LDAP –Support SecureID Table de correspondance IP/MAC

54 Fortinet Confidential Configuration des règles

55 Fortinet Confidential Configuration des règles

56 Fortinet Confidential Visualisation des sessions actives Filtres pour la visualisaton des sessions

57 Fortinet Confidential Qualité de Service Trafic shaping –Bufferisation des données pour une régulation du trafic selon les limites paramétrées –Les paquets dépassant les limites fixées sont mise en mémoire pour un traitement ultérieur –Tente déviter les pertes de paquets en ajoutant éventuellement un délai aux transmissions –Utilisation de techniques de filtrage par panier de jeton pour garantir ou limiter la bande passante Files dattente –Bufferisation des paquets en file dattente –Filtes dattente haute / moyenne /basse priorité –En cas de congestion, les paquets de haute priorité sont traités en priorité DiffServ –Marquage des champs DSCP

58 Fortinet Confidential Technique de filtre à panier de jetons

59 Fortinet Confidential Qualité de service par règle pare-feu La qualité de service sapplique au choix sur règle pare-feu –Granularité de configuration La bande passante est contrôlée

60 Fortinet Confidential Support des VLANs 802.1Q A partir du FortiGate 60 Interfaces logiques multiples par interface physique –Support des VLANs sur tout port physique –Support des trunks VLANs Support du recouvrement dadresses IP par VLAN Les VLANs son traités comme des interfaces au niveau des polices pare-feu –Configuration antivirus par VLAN –Configuration IPS par VLAN –Configuration du filtrage Web et SPAM par VLAN –Contrôle des polices pare-feu et de la qualité de service par VLAN

61 Fortinet Confidential Support des VLANs 802.1Q VLANs apparaissent comme des sous-interfaces

62 Fortinet Confidential VLAN en mode transparent ou routé Trunk interface ModeTransparent Les paquets sont pontés entre les VLANs. Dans le cas dune insertion sur un trunk, le FortiGate revient à un pare-feu par VLAN Trunk interface Mode routé Routage entre les sous- interfaces logiques (VLANs)

63 Fortinet Confidential Routage Support de RIP v1 and RIP v2 Support de OSPF Routage statique – Routage en fonction de la destination –Routes can be arranged in the routing table from specific to more general –Des passerelles multiples pour chaque route statique (accessibles sur des interfaces distinctes) Détection du status des passerelles par ping Bascule automatique sur les liens secondaires sur le route vers la passerelle primaire nest plus disponible –Peut être utilisé pour une redondance de fournisseurs daccès Internet ISP1 Internet ISP2 Intranet

64 Fortinet Confidential Routage « policy-based » Outre les adresses destination, le routage statique peut prendre en compte: –Les adresses sources –Les protocoles et les ports applicatifs Les routes policy-based sont examinées en premier Peut être utilisé pour utiliser simultanément plusieurs accès Internet (partage de charge statique) ISP1 Internet ISP2 Trafic temps réel (HTTP) Autre trafic Intranet

65 Fortinet Confidential Routage « policy-based »

66 Fortinet Confidential Caractéristiques VPN IPSec VPN certifié ICSA Protocoles supporté : –IPsec, PPTP –L2TP/Passthrough of IPSec and PPTP Chiffrement matériel (ASIC) : –DES, 3DES, and AES Les flux entrant et sortant des tunnels: –Peuvent être contrôlés par les règles pare-feu –Peuvent bénéficier tous les services de protection FortiGate: Antivirus, IPS, filtrage Web et SPAM VPN NAT traversal Dead peer detection (DPD) Authentification: –Support de Xauth –Support des certificats X.509 –Support de LDAP, RADIUS Interopérabilité VPN avec la acteurs majeurs Support des architectures hub and spoke

67 Fortinet Confidential Redondance de tunnels VPN Jusque 3 passerelles redondantes peuvent être configurées pour chaque tunnel VPN La disponibilité dune passerelle VPN est détectée par implémentation de DPD Peut être utilisé pour définir des tunnels redondants dans une architecture daccès Internet redondants: ISP1 ISP2 Internet

68 Fortinet Confidential IPSec – Phase 1 (site à site) Adresse IP ou nom DDNS (dans le cas où ladresse IP de la passerelle est dynamique) }

69 Fortinet Confidential IPSec – Phase 2 (site à site) Jusque 3 passerelles redondantes

70 Fortinet Confidential Règle pare-feu des VPNs (site to site) Ladresse source des paquets sortant dun tunnel VPN est translaté avec ladresse de linterface vers lequel il est émis

71 Fortinet Confidential IPSec – Phase 1 (Clients IPSec) IKE en mode agressif pour les clients qui nont pas une adresse IP fixe Authentification utilisateur

72 Fortinet Confidential VPN setup – Phase 2 (Dial users) DHCP sur IPSec pour une adresse IP privée dynamique

73 Fortinet Confidential FortiClient TM Secure Connect Le logiciel FortiClient inclut: –Un client VPN IPSec (phase 1) –Une protection antivirus (phase 2) Mise à jour automatique du moteur et de la base de connaissance par par le réseau de distribution FDN (FortiProtect Distribution Network ) –Un pare-feu client (phase 2) Trois zones –zone de confiance, Internet, zone bloquée Contrôle des applications –Blocage dapplications qui tentent daccéder à des ressources réseau Vérification des applications –Calcul de checksum Activation / désactivation du voisinage réseau Granularité des règles pare-feu (phase 3) –par utilisateur, par localisation Programmation horaire (phase 3)

74 Fortinet Confidential FortiClient Secure Connect

75 Fortinet Confidential Configuration VPN du FortiClient Attribution dune adresse IP dynamique par DHCP

76 Fortinet Confidential Configuration antivirus du FortiClient

77 Fortinet Confidential Journalisation FortiClient

78 Fortinet Confidential Haute-disponibilité – Caractéristiques A partir du FortiGate-60 Supporté en mode transparent et en mode routé Supporte les modes actif-passif et actif-actif –Le mode actif-passif fournit un secours en cas de panne dinterface ou de panne FortiGate de façon transparente aux utilisateurs: Bascule en moins de 3 seconde Reprise des sessions en cours (synchronisation des sessions pare- feu et IPSec) Journalisation de lévénement et alerte courriel et/ou SNMP –Le mode actif-actif fournit en outre: Un partage de charge des sessions pare-feu Un partage de charge antivirus entre les boîtiers dun même cluster

79 Fortinet Confidential Haute-disponibilité – ArchitectureInternet Cluster FortiGate : Secours automatique et transparentSecours automatique et transparent Répartition de chargeRépartition de charge Intranet Lien HA Interface quelconqueInterface quelconque Non dédiéNon dédié Peut être redondantPeut être redondant

80 Fortinet Confidential Haute-disponibilité – Caractéristiques Les « hearbeats HA » –Servent à: Synchroniser les sessions pare-feu et IPSec Synchroniser les configurations du cluster Rapporter les statuts de fonctionnement (disponibilité des interfaces, etc.) –Sont échangés sur des liens dits « HA » Redondance de liens HA: –Toute interface peut être configurée en tant que lien HA –Une interface connectée au réseau pour transmettre du trafic utilisateur peut aussi être configurée comme lien HA –Le lien HA primaire peut être secouru par un nombre quelconque de lien secondaire (ordonnancement des liens daprès un niveau de priorité)

81 Fortinet Confidential Haute-disponibilité – Configuration Choix parmi 6 algorithmes de répartition de charge Le boîtier maître a la plus haute priorité Choix du mode actif-actif or actif-passif mode Choix des liens HA Le lien sur lequel seffectue les échanges HA a la plus grande prioroité. Les autres liens sont en secours Choix des interfaces surveillées

82 Fortinet Confidential Surveillance des états HA

83 Fortinet Confidential Domaines virtuels (VDOMs) Fournit de multiples pare-feux et routeurs logiques dans un seul boîtier FortiGate Objets dun VDOMs: –VLANs –Les objets (services, adresses) et règles pare-feu –Le routage –La configuration VPN –La configuration des authentifications utilisateurs (base locale, configuration RADIUS & LDAP) Create new virtual domains

84 Fortinet Confidential Vdom et VLANs config system interface edit "Customer1_VID1" edit "Customer1_VID1" set ip set ip set log enable set log enable set vdom "Customer1" set vdom "Customer1" set interface "internal" set interface "internal" set vlanid 1 set vlanid 1 Pour chaque VLAN créé, on choisit son domaine virtuel

85 Fortinet Confidential VDOM et interfaces Visualisation des VLANs par domaine virtuel

86 Fortinet Confidential DHCP – Caractéristiques DHCP Relay Serveur DHCP –Multiples plages dadresses IP par interface –Exclusion dadresses

87 Fortinet Confidential Support des réseaux sans fil WEP 64 or 128 Configuration en client ou en point daccès

88 Fortinet Confidential Support de IPv6 Support clef pour le marché japonais Plusieurs adresse IP par téléphone portable Fortinet IPv6 Phase 1 (FortiOS 2.8): Coexistence –Adresses IPv6 et routage entre interfaces Fortinet IPv6 Phase 2: Tunneling –Connexion dilots IPv6 entre réseaux IPv4 Fortinet IPv6 Phase 3: protection avancée –Par exemple: antivirus IPv6

89 Fortinet Confidential Gestion des boîtiers FortiGate CLI – Command-line Interface –Sécurisée par SSH Web GUI –Sécurisée par SSL

90 Fortinet Confidential Accès CLI sécurisé à travers linterface graphique

91 Fortinet Confidential Interface graphique

92 Fortinet Confidential Interface graphique – Localisation Interface en 6 langues

93 Fortinet Confidential Role-based management

94 Fortinet Confidential Backup and restore Backup/restore the entire config Backup/restore part of the config Backup is done in the form of a text file

95 Fortinet Confidential SNMP support SNMP v1 and v2c MIBs –proprietary MIB –Standard RFC 1213 and RFC 2665 MIBs Traps –cold start –system down –interface up/down –Log full Traps –CPU usage above 90% –Memory usage above 90% –Hard disk usage above 90% –HA cluster fails –Tunnel up/down –Flooding attacks –Port scan attacks –Virus detection –Etc.

96 Fortinet Confidential FortiManager – Caractéristiques Centralized configuration and management Device Manager –Models –Create offline devices and configs, check differences Policy Manager –Create Policies for multiple devices and groups –Create Profil de protections for multiple devices Admin Manager –Role Based Administration –Supports multiple simultaneous administrators with different authorization levels

97 Fortinet Confidential FortiManager – Caractéristiques Centralized configuration and management Configuration and view of FortiGate devices FortiGate domains management –Devices groups Management of user accounts

98 Fortinet Confidential FortiManager – Caractéristiques Firmware update Centralized monitoring & logging –Status, trafic, alerts, etc. –Easy centralized data storage and analysis/reporting –Sortable and filterable logs –Log database backup Realtime Monitor –System Health, Device Status, Session Monitor, trafic Flow, Anti-Virus, Attack, Alert Notification

99 Fortinet Confidential FortiManager – ArchitectureSecurity Domain B FortiGate Firewall under mgmt Security Domain A RDB FortiManager Server (Appliance) Integral RDB included in the FortiManager Server appliance FortiManagerAdminConsole(s) Console 1 Console 2 Console N

100 Fortinet Confidential FortiManager Modular design Deployed as security hardened, plug & play applianceDeployed as security hardened, plug & play appliance Modular, flexible, scalable designModular, flexible, scalable design Integrated LDAP directory for configurations & policyIntegrated LDAP directory for configurations & policy Integrated RDB for central log/data storeIntegrated RDB for central log/data store CORBA interface for integration with OSS/BSSCORBA interface for integration with OSS/BSS Platform-independent Java based admin console(s)Platform-independent Java based admin console(s) Supports multiple active windows for simultaneous multi-site monitoringSupports multiple active windows for simultaneous multi-site monitoring GUI (Java based) CORBA API Interface contrôle model Console(s) CORBA API/North bound API Config mgmt Network mgmt Monitoring/Log mgmt Policy mgmt Security mgmt Other Mgmt modules FortiManager Serveur RDB LDAP CLISSHSFTPAPIPersistent Storage API FG Units CLI/SSH SFTP API SNMP API FortiOS Firmware Secure communication with all FortiGate modelsSecure communication with all FortiGate models SNMPAPI

101 Fortinet Confidential FortiManager System – Architecture Benefits Multi-tier Client/Serveur architecture –Serveur software Deployed on security-hardened appliance to eliminate installation issues, improve system reliability & security –Corba-based interfaces Eases integration into customer existing management systems Secure communication between Serveur and FG units –Strong mutual authentication mitigates attacks –Strong chiffrement of communication protects from information interception

102 Fortinet Confidential FortiManager – Device Manager Allows to manage individual FortiGate devices from the FortiManager Serveur Configure online and offline devices Import and export devices –Device configuration import using SSH Create device templates View device configurations Resynch, restore, and update devices

103 Fortinet Confidential FortiManager – Device Manager

104 Fortinet Confidential FortiManager – Device Manager Any part of the FortiGate functionalities can be configured through Device Manager –System, Pare-feu, Users, IPS, Web filtering, Spam filtering, VPN If changes are made to the device using the web-based manager or the CLI rather than the FortiManager System, differences can occur between the device and the database –Resynchronizing with the device forces the Serveur to retrieve the data from the device

105 Fortinet Confidential FortiManager Policy Management

106 Fortinet Confidential Antivirus highlights Three services: –Virus detection –File and blocking service (oversized files or pattern matching file names) –Quarantine service of infected files Supported protocols: – traffic: SMTP, POP3, IMAP –Web traffic: HTTP (content, downloads, and web mail) –FTP traffic –Support non standard ports (SMTP, POP3, IMAP, HTTP) Full coverage of the industry standard WildList viruses – Including polymorphic viruses Transparent to end users –No special configuration on the client side (requires no proxy setup) Customized signature to outgoing s Customized replacement messages (mail, FTP, Web)

107 Fortinet Confidential Grayware control

108 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration

109 Fortinet Confidential Web filtering benefits Increase productivity –Viewing unproductive and objectionable material can reduces employee productivity Improve bandwidth by filtering out non-work- related content –mp3 files, games, pornographic material, etc. Exposure to inappropriate content can lead to lawsuits –Avoid threat of hostile work environment

110 Fortinet Confidential Dynamic web filtering – FortiGuard FortiGuard Server Internet Web client 1 5 3a 3b 4a 4b 1.User requests a URL. 2.If the URL rating is already cached, it is compared with the policy for the user. If the site is allowed, the page is requested (3a) and the response is retrieved (4a). 3.If the URL rating is not in the FortiGate cache, the page is requested (3a) and a rating request is made simultaneously to a FortiGuard Servers (3b). 4.When the rating response is received (4b) it is compared with the policy while the response from the Web site (4a) is received. 5.If the policy is to allow the page, the Web site response is passed to the requestor (5). Otherwise, a configurable blocked message is sent to the requestor. 2 Intranet Requested Web site

111 Fortinet Confidential Dynamic web filtering – FortiGuard Policies are stored and enforced by FortiGate units –Customers configure allow/deny policies on FortiGate systems –URL requests received by FortiGate unit are forwarded to a FortiGuard server, which respond with ratings –FortiGate unit maintains user/group info for each request, supports user/group-level policies

112 Fortinet Confidential Static web filtering Static control Based on local black/white lists Lists can be imported from text files

113 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration

114 Fortinet Confidential Intrusion detection highlights ICSA certified High speed performance –Asic-based IDS –Real-time detection Signature database of 1,400 known hacker attacks Timely and automated updates of attack signatures –Through the FortiProtect Distribution Network Customizable alerts –Alerts can be filtered to avoid generation numerous, redundant alerts from a single attack Very easy to configure and easy to maintain Dramatically lower cost than stand-alone NIDS

115 Fortinet Confidential Intrusion detection highlights Customizable attack list to enable and disable signatures Possibility to import SNORT signature Support for customer self-defined signatures

116 Fortinet Confidential Integrated intrusion detection The IDS engine: –Hooks into the routing and firewall modules and application layer –Coordinates with the FortiASIC to quickly peek into traffic and check for traffic patterns that match specified IDS signatures

117 Fortinet Confidential Protection profile – Intrusion control Detection methods: –Signatures –Anomalies Scanning attacks Flooding attacks

118 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM Anti-SPAM VPN Virtual Domains Administration

119 Fortinet Confidential Antispam – Multiple layers of defense Content blocking Spam characteristicsSpam characteristics Banned wordsBanned words Source blocking By IP addressesBy IP addresses –Static lists –Dynamic lists (RBL, ORDB) –FortiShield –Reverse DNS lookup By URI content By URI content By addressesBy addresses Spammer Control the source Control the content Recipient

120 Fortinet Confidential AntiSpam – Deployment scenarios Scenario 1 – SMTP (tag or discard) –FortiGate unit monitors traffic at the MTA level –This enables blocking spam transfers before entire is transferred. –Spam may be rejected or tagged Scenario 2 – IMAP/POP3 (tag) –FortiGate unit scans s already processed by the local MTA –If considered as a SPAM, the FortiGate marks the Internet Internet Pop3 / IMAP Local SMTP Server Remote SMTP Server Pop3 / IMAP Server

121 Fortinet Confidential Antispam protection highlights Uses a wide variety of local and network tests to identify spam signatures –Source blocking IP address –Static lists –Dynamic database: RBL & ORDBL address FortiShield (IP Address and URI scanning) –Content blocking MIME headers Banned word Once identified, the mail is: –Tagged as spam for later filtering using the user's own mail user-agent application Enables easy sorting by any client –Or rejected (SMTP) S P A M

122 Fortinet Confidential FortiShield AntiSpam Service Fortinet managed antispam service with dual pass scan technology For FortiGate and FortiMail Benefits –Greatly reduces processing overhead on servers and antispam gateways –Reclaims bandwidth taken by spam –Supplements any other antispam solution –Cost effective managed solution lowers maintenance overhead of managing static content filters

123 Fortinet Confidential FortiShield Overview – Phase 1 SMTPServer Clients FortiGateorFortiMail FortiShieldAntiSpamService FortiMailor SMTP Server 2. Extract Server Source IP Address 2. Extract Server Source IP Address 3. Check Source IP with Database 1. SMTP session requested 4. Receive Result (Cache for future use) 4. Receive Result (Cache for future use) 5. Session terminated if Spam Spammer IP Check

124 Fortinet Confidential FortiShield Overview – Phase 2 SMTPServer Clients FortiGateorFortiMail FortiShieldAntiSpamService FortiMailor SMTP Server 2. content inspected for URI content 1. message transmitted 5. Spam filtered or tagged and distributed based on policy 3. FortiShield scans spam URI content Content Screening Hi there, how are you? Hi there, how are you? 4. FortiShield result received and cached

125 Fortinet Confidential FortiShield Service Controls FortiShield provides a Web Service to allow: –Search for known spammer –Report new spammer –Request to be removed from Spammer List

126 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM VPN VPN Virtual Domains Administration

127 Fortinet Confidential VPN Highlights ICSA-certified IPSec VPN Supported protocols: –IPsec, PPTP –L2TP/Passthrough of IPSec and PPTP Hardware encryption: –DES, 3DES, and AES IPSec VPN traffic controlled by firewall policies VPN tunnels decrypted and routed through firewall and AV scanning VPN NAT traversal Dead peer detection (DPD) Dial-up monitor/Remote VPN client Authentication: –Support for Xauth over Radius –x.509 Certificate auth –LDAP for user authentication Interoperability with major VPN vendor Hub and Spoke architecture support

128 Fortinet Confidential VPN benefits VPN tunnels cannot be used to carry threats into customer networks –Scans encrypted VPN tunnels for worms and viruses Prevents home office and telecommuters from tunneling viruses and worms back to HQ –Applies firewall policies to VPN tunnels –Applies intrusion protection to VPN tunnels (IDS and IPS) –No other VPN vendor can do this Greatly reduced installation and integration headaches –Trying to do what FortiGate systems do using separate products is a nightmare!

129 Fortinet Confidential VPN redundancy Up to 3 redundant VPN gateway can be defined for each VPN tunnel VPN gateway availability is checked using DPD Can be used to setup redundant tunnels with redundant ISPs: ISP1 ISP2 Internet

130 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Virtual Domains Administration

131 Fortinet Confidential Virtual domains Provides multiple logical firewalls and routers in a single FortiGate unit VDOM objects: –VLANs –Firewall objects and policies –Routing setup –VPN setup –User setup (local database, LDAP, RADIUS) Create new virtual domains

132 Fortinet Confidential Vdom and VLANs config system interface edit "Customer1_VID1" edit "Customer1_VID1" set ip set ip set log enable set log enable set vdom "Customer1" set vdom "Customer1" set interface "internal" set interface "internal" set vlanid 1 set vlanid 1 Select the Virtual Domain for which you create a VLAN

133 Fortinet Confidential VDOM and interfaces View VLANs on a per Virtual Domain basis

134 Fortinet Confidential Agenda Firewall Features Antivirus Features Web (URL) Filtering IDS/IPS Anti-SPAM VPN Virtual Domains Administration Administration

135 Fortinet Confidential Roles-based Administration (RBA) Granular administration access: Assignable permissions –Not accessible –Read only –Read / write –Device status –Log and report –Device configuration –Users –Security Policy –Administrator

136 Fortinet Confidential Administrators and Access Rights Ability to create function-specific administrators Lock-down administration Host system Lock-down administration Host system

137 Fortinet Confidential FortiGate standalone management CLI – Command-line Interface –Security through SSH Web GUI –Security through SSL

138 Fortinet Confidential CLI accessed from Telnet/SSH/GUI

139 Fortinet Confidential Backup and restore Backup/restore the entire config Backup/restore part of the config Backup is done in the form of a text file

140 Fortinet Confidential SNMP support SNMP v1 and v2c MIBs –proprietary MIB –Standard RFC 1213 and RFC 2665 MIBs Traps –cold start –system down –interface up/down –Log full Traps –CPU usage above 90% –Memory usage above 90% –Hard disk usage above 90% –HA cluster fails –Tunnel up/down –Flooding attacks –Port scan attacks –Virus detection –Etc.

141 ?


Télécharger ppt "Fortinet Product Overview January 2005. Fortinet Confidential Fortinet Company Overview Fondée en 2000 par Ken Xie Fondateur et CEO de NetScreen (NASDAQ:"

Présentations similaires


Annonces Google