Обзор программных и аппаратных возможностей FortiGate

1. © Copyright Fortinet Inc. All rights reserved.
FortiGate, а почему бы и да?
Обзор и преимущества решений FortiGate
Паливода Александр
opali@muk.ua

2. 2
NETWORK SECURITY LEADER
Обзор
Fortinet входит ТОП 5 крупнейших
компаний в области
кибербезопасности в мире. Его
широкий спектр решений охватывает
Network, Infrastructure, Cloud и IoT
Security.
30% of Appliance
Shipments Worldwide
340,000 Customers
$10B Mkt Cap $1.8B – 2017
(billings)

3. 3
70% of F100 Are Fortinet Customers
Teleco
Financials/
Banking
Technology
Retail
Aerospace/
Defense
10 of 12
Healthcare
12 of 15
Transportation
3 of 5 9 of 11 3 of 5
9 of 104 of 4 11 of 13 3 of 54 of 5
Financials/Ins Food/Bev
Energy

4. 4
70% of F100 Are Fortinet Customers
Teleco
Financials/
Banking
Technology
Retail
Aerospace/
Defense
10 of 12
Healthcare
12 of 15
Transportation
3 of 5 9 of 11 3 of 5
9 of 104 of 4 11 of 13 3 of 54 of 5
Financials/Ins Food/Bev
Energy

5. FW нового поколения
Тренды и требования к решениями сетевой безопасности
NEW
RULES

6. 6
RULE #1
COMPLEXITY
IS THE ENEMY
OF SECURITY

7. 7
SDN
Сложность – враг безопасности

8. 8
RULE #2
TODAY’S
SECURITY IS
BORDERLESS

9. 9
Branch Office Campus
Data Center
Remote Office
Mobile
PoS
IoT
There’s more
ways in
More ways out
BORDERLESS ATTACK SURFACE

10. 10
RULE #3
SLOW IS
BROKEN

11. 11
WHICH COMPROMISE DO YOU MAKE?
Infrastructure SpeedBusiness Security

12. 12
Тренды и требования к решениям
Инспекция
SSL-трафика
Требования
ЦОД
Рост атак, использующих
HTTPS²
Высокая
производительность
в небольшом форм-
факторе
Reduce
Burden on
Infrastructure
Источники:
1. Gartner Best Practices in Network Segmentation for Security July 2016
2. Gartner Research Paper “Predicts 2017: Network and Gateway Security”
Внутренняя
сегментация
Подавление и
ограничение влияния
атак¹
FortiGate
Enterprise Firewall

13. 13
Fortinet Security Fabric 2018
Network
Security
Multi-Cloud
Security
Endpoint
Security
Email
Security
Web Application
Security
Secure
Unified Access
Advanced
Threat Protection
Management
& Analytics
FortiGate
Enterprise Firewall
FortiGate
Cloud Firewall
Network Security
FortiClient
EPP FortiWeb
Web Application
Firewall
FortiMail
Secure Email
Gateway
FortiSandbox
Advanced Threat
Protection
FortiAnalyzer
Central Logging /Reporting
FortiManager
Central Security Management
FortiSIEM
Security Information &
Event Management
FortiGate
Virtual Firewall
Network Security
FortiAP
Wireless
Infrastructure
FortiSwitch
Switching
Infrastructure
Endpoint
IoTMulti
Cloud Applications
Web Unified
AccessEmail Threat
Protection
Advanced
Management
Analytics
FortiCASB
IPS
SWG
SD-WAN
VPN

14. 14
Hardware Theft
PerformanceEffect
Layer 1-2: Physical
Layer 3-4:
Layer 5-7:
Viruses
& Spyware
Intrusion
& Worms
Malicious
Apps
Spam
Time
Malicious
Sites
Antimalware
Firewall
Exploits Vulnerability Management
Intrusion Prevention
Secure Email
Gateway
Botnets
Application Control
IP Reputation
URL Filtering
Generation2
Content
Advanced
Targeted Attacks
Machine to
Machine Attacks
Integrated Fabric
Advanced Threat
Protection Generation3
Generation1
Access Control
3th Generation in Syber Securtiy

15. 15
Fabric Integration Checklist
NETWORK ENDPOINT UNIFIED ACCESS EMAIL WEB APPS MULTICLOUD
FORTIGATE FORTICLIENT FORTISWITCH FORTIAP FORTIMAIL FORTIWEB FORTIADC FORTICASB
TELEMETRY
DEVICE LEVEL API
2018
FORTIVIEW
TOPOLOGY MAP
2018
FORTIMANAGER
FORTIANALYZER 2019
Q1
2018
SECURITY RATING
AUDIT
2019 2018
AUTOMATION
SWITCHES
2018 2018
VULNERABILITY
SCAN
ADVANCED THREAT
PROTECTION
SANDBOX
FORTISIEM 2018 2018
Fabric
Integration

16. FortiASIC
Fortinet Application-Specific​ ​Integrated​ ​Circuit

17. 17
эволюция процессора

18. 18
Powerful Innovation
 Разработка с 2000
 Чипы оптимизированы для аппаратных
устройств
 ASIC работают на высоких скоростях
 Стоимость затрат на разработку и выпуск
оптимизирован

19. 19
Параллельная обработка данных
Архитектура Fortinet
Parallel Path Processing (PPP)
Packet
Processing
Content
Inspection
Policy
Management
CPU Only
«классический
подход»
Управление политиками
Обработка пакетов
Инспекция трафика
Больше
производительность
Меньше задержка
Энергоэффективность
Меньше места в
стойках
CPU
Optimized
SoC
Большинство производителей
оборудования
Решения Fortinet

20. 20
Обзор FortiASIC NP6
Provides up to 40Gbps IPv4 & IPv6
firewall performance per unit
Doubles I/O bandwidth and connectivity to
CPU to achieve better CPS Direct support
for latest Intel
Supports Latest Multicore-CPU
developments which aids in higher flow
UTM and SSL inspection performance
Adds stronger IPSEC Crypto support
Fastpath support:
 IPv4 FW
 VPN
 IPv6 FW
 CAPWAP
 Multicast FW
 Vdom link
 IP Tunnel
 SCTP
Согласование IPv4 и IPv6 производительности.
Удвоение емкости предыдущего NP4NP6
NP6

21. 21
Обзор FortiASIC CP8/CP9
Content processing offload and HW
encryption.
Performance enhancement
dependent on CPU architecture and
speed
Content processing support:
 VPN
 SSL offloading
 Flow based UTM
 AV Signatures
Новое поколение CP, предназначенное для ускорения
вычислительно-интенсивных задачCP8

22. 22
Оптимизация обработки пакетов с помощью ASIC
Original Session
Source IP Destination IP
Client IP Server IP
Original Session
Source IP Destination IP
Client IP Server IP
CPU assisted
with Content
ASIC processing
CPU
CPU offloaded from
networking & FW
processing (+IPv6)

23. 23
 Единственный
вендор,
публикующий
цифры по
инспекции SSL
 Измеряется на
AES256-SHA и
TLS 1.2
 С включенной
IPS
Реальные цифры производительности
Параметр
производите
льности
Fortinet Вендор A Вендор Б Вендор В
Firewall
P
(1518/512/64B
UDP)
▬ P
(1518B UDP)
P
HTTP 1024B
FW + App
Control
P
HTTP 64K
P
HTTP 64K
▬ HTTP 1024B
SSL Inspection
(FW+IPS)
P
TLS 1.2, AES-SHA
256
▬ ▬ ▬
NGFW (FW +
App Control +
IPS)
P
Enterprise Mix
▬ P
Unknown
(private mix)
P
HTTP1024B
Threat
Prevention (FW +
App Control +
IPS + AV)
P
Enterprise Mix
P
Unknown
(private mix)
▬ ▬

24. Портфолио FortiGate

25. 25
High-End Virtual Machine Cloud
FortiGate 30-90
FortiGate 100-900
FortiGate 1000-3000
FortiGate 5000/7000
Rugged
FortiGate 01 - Unlimited
FortiGate 01 - Unlimited
Chassis
Security Processor (SPU) Powered Virtualized FortiGate
Routing
Switching
NGFW
IPSec
IPS
AV
URL
Sandboxing
AP Controller
Switch Controller
Fabric Topology
Policy/Objects
Application Control
Audit Reports
SD-WAN
FortiGate 6000
Ultra High-End
NEW!
Entry-Level Mid-Range
Hyper-V
Продуктовая линейка FortiGate

26. 26
Продуктовая линейка FortiGate
Средний уровень
Модель FW
FGT 100E 7.4 Gbps
FGT 200E 20 Gbps
FGT 300E 32 Gbps
FGT 500E
(10G)
36 Gbps
FGT 600D 36 Gbps
FGT 800D 36 Gbps
FGT 900D 52 Gbps
Верхний уровень
Модель FW
FGT 1000D 52 Gbps
FGT 1200D 72 Gbps
FGT 1500D 80 Gbps
FGT 2000E 90 Gbps
FGT 2500E 150 Gbps
FGT 3000D 80 Gbps
FGT 3700D (40G) 160 Gbps
FGT 3800D
(100/40G)
320 Gbps
FGT 3960/ 3980E
(100/10G)
640 Gbps/
1 Tbps
CPU
CPU
CPU
Операторский класс
Модель FW
FGT 5144C 1 Tbps
FGT 5903 40G
FGT 5913 100G
FGT 5001D 80 Gbps
Начальный
уровень
Model FW
FGT 30E 950 Mbps
FGT 50E 2.5 Gbps
FGT 60E 3 Gbps
FGT 80E 4 Gbps
FGT 90E 4 Gbps
CPU
CPU
Корпоративные шасси
Модель FW
FGT 7040E
(100/40/10G)
315 Gbps
FGT 7060
(100/40/10G)
2X 7040E
CPU
CPU

27. 27
FG/FWF-
30E/50E
FG/FWF-
60E/61E
FG-60D
RUGGED
Feature-rich Security Appliances For Small/Home Offices & Small
Branch Offices
FG-80E/81E FG-90E
FortiGate Entry Level – обзор
950 Mbps – 4 Gbps
Firewall throughput
41 Mbps – 470 Mbps
IPS Throughput
23 Mbps - 375 Mbps
NGFW Throughput
20 Mbps - 270 Mbps
Threat Protection Throughput

28. 28
FortiGate 60E – на базе SPU SOC3
Сетевые функции
FortiGate FortiWifi
(Integrated 802.11ac)
Сравнение с индустрией (в среднем)
11x - выше производительность IPSEC VPN
5x - выше производительность IPS
8x - выше производительность SSL
Inspection
 SD-WAN
 QoS/Traffic Shaping
 Встроенная точка
доступа 802.11ac AP
3 Gbps
Firewall Throughput
1.4 Gbps
IPS Throughput
250 Mbps
NGFW Throughput

29. 29
Branch
FortiDeploy
FortiManager
FortiGate Entry Level – UTM Deployment at Branch
FortiGate
Secure SDWAN
- L3-L7 балансировка нагрузки
- Routing по политикам (в т.ч. По
юзерам и приложениям)
- Site-toSite IPSec VPN
- Доп возможности туннелирования
- Ограничение полосы пропускания
- Dynamic link selection
- Application detection
- Двунаправленный QoS
- WAN оптимизация
- Мониторинг доступности
(задержка, джиттер, уровень
потерь, полоса)

30. 30
High Performance, Top Rated Network Security for Mid-Sized
Enterprises
FG-900D
FG-800D
FG-600D
FG-500E
FG-300E
FG-200E
FG-100E
FortiGate Mid-Range – обзор
2.5 Gbps – 52 Gbps
Firewall throughput
310 Mbps – 4.2 Gbps
IPS Throughput
200 Mbps – 4 Gbps
NGFW Throughput
200 Mbps – 3 Gbps
Threat Protection Throughput

31. 31
FortiGate Mid-Range – пример развёртывания
ISFW NGFW
Application Visibility and IPS
SSL Inspection
Unknown Threat Detection
Web Filtering

32. 32
FortiGate High End – обзор
Data Center Firewall / Large Enterprise NGFW with High Speed
Interfaces
FG-1000D Series
FG-1200D Series
FG-1500D Series
FG-2000E Series
FG-2500E Series
FG-3000D Series
FG-3100D Series
FG-3200D Series
FG-3700D Series
FG-3800D Series
FG-3960E Series
FG-3980E Series
52 Gbps – 1.05 Tbps
Firewall throughput
6 Gbps – 32 Gbps
IPS Throughput
5 Gbps – 28 Gbps
NGFW Throughput
3 Gbps – 20 Gbps
Threat Protection Throughput

33. 33
High End FortiGate – пример развёртывания

34. 34
FortiGate Ultra High End – FG-6300F и FG-6500F
Новая линейка High End Next Generation Firewall
6000 серия
 3 RU форм-фактор
 Резервные блоки
питания с
«горячей
заменой»
 2TB SSD
локальный диск
 Ultra-high Performance Compact NGFW – до 100 Гбит/с производительности по показателю Threat
Protection
 Industry’s Highest SSL Inspection Performance – инспекция SSL-трафика на огромных скоростях
 Flexible Network Interfaces – широкий выбор сетевых интерфейсов 10G/25G/40G и 100G, поддержка
современных архитектур, миграция с 10GE на 100GE
 Out of Band Logging – журналирование через выделенный интерфейс 10G SFP+ OOB

35. 35
FortiGate 7000 Series: At a Glance
Evolution of the High-end Next Generation Security Chassis
FG-7030E
Firewall
Performance
155 Gbps
Threat 35 Gbps
Form Factor 6 U, 3 slot
FG-7040E
Firewall
Performance
315 Gbps
Threat 40 Gbps
Form Factor 6 U, 4 slot
FG-7060E
Firewall
Performance
630 Gbps
Threat 80 Gbps
Form Factor 8 U, 6 slot
FG-7120F
Firewall
Performance
1.2 Tbps
Threat 160 Gbps
Form Factor 16 U, 12 slot

36. 36
Сценарии развёртывания FortiGate
Data Center / Private Cloud / SDN
Carrier Class Firewall
(CCFW)
Distributed Enterprise
& Small Business
Mobile Users
Cloud
Firewall
(CFW)
Managed Endpoint
Internal
Segmentation
Firewall
(ISFW)
Carrier/MSSP
Boundary
1
Internal Network
Next Gen Firewall
+ Advanced
Threat Protection /
Next Gen IPS
(NGFW + ATP) /
NGIPS
Unified Threat Management
(UTM)
Public Cloud
3
4
7
8
Enterprise Campus
Or Branch Office
Core Network
Internet / WAN
Data Center Firewall
(DCFW)5
Virtual Machine
Firewall
6
2 Secure SD-WAN

37. Возможности FortiGate

38. 38
Операционная система FortiOS
* Доступность функций может меняться в зависимости от модели
Configuration Log & Report Diagnostics Monitoring
Управление и
видимость
Systems
Integration
Central Mgmt.
and
Provisioning
Cloud &
SDN
Integration
Visibility
Policy Objects
Device
Identification
SSL
inspection
Actions
Политики и
контроль
AAA Compliance
Anti-Malware IPS & DoS
Application
Control
Web Filtering
Безопасность Advanced Threat Protection (ATP)
Firewall VPN DLP Email Filtering
SD WAN Explicit Proxy IPv6
High
Availability
Сетевое
взаимодействие
Wireless
Controller
Switch
Controller
WAN
Interface
ManagerRouting/NAT L2/Switching
Offline
Inspection
Essential
Network
Services
Physical
Appliance
(+SPU)
Virtual System Hypervisor Cloud Платформы Security Fabric

39. 39
Наиболее популярные функции NGFW
Accelerated Firewall IPv4 IPv6
SSL & IPSec VPN (+ADVPN)
Dynamic Web Filtering
Anti-Virus & Anti-Botnet
Application Control & DLP
IPS & IDS
Virtual Domains & vClustering
Advanced HA
Cloud / on-premise Sandboxing
QoS & Traffic shaping
Identity & Device Awareness
Advanced SD WAN & VXLAN
Wan Optimization
(cache, explicit proxy, wanop) Mobile Security & Endpoint Control

40. 40
Режимы работы
- OSI Layer 3
- Access control между разными
сегментами сети
- Static, dynamic and policy
based routing, WAN link
redundancy & load balancing
- OSI Layer 2
- Поведение коммутатора
- Access control на участке сети
- Интерфейсы не имеют IP
(кроме MGMT)
- Offline мониторинг сетевой
активности
- Поведение сниффера
Hybrid: Возможно внедрять разные режимы работы с помощью VDOM

41. 41
Global System
VDOM_1 VDOM_N…Core
HA FortiGuard Global
System
Port or VLAN
Firewall
Firewall
IPS
VPN
Edge
Виртуальные контексты
» До 500 контекстов (по дефолту 10,
даже для VM)
» Выделенные администраторы
» Распределение ресурсов VDOM
» Журналирование по VDOM
Виртуальные контексты – VDOM

42. 42
High Availability режимы
Active-Active Active-Passive
- Все FortiGates обрабатывают трафик
- Основной балансирует сессии между нодами
- Если основной «падает», роль балансировки
сессий берет на себя второй FW
- Только основной обрабатывает трафик
- Конфигурация основного синхронизируется с
остальными
- Остальные FW в режиме standby
- Если основной «падает», запасной
«поднимается»

43. 43
WAN Link Load Balancing
 Виртуальный WAN линк существует на нескольких интерфейсах
(members) подключенных к нескольким линкам ISP
» FortiGate видит всех членов WAN load balancing как единый логический
интерфейс
» Упрощает конфигурацию
» Может быть только одна группа WAN link load balancing на один VDOM
Internet
ISP 1
ISP 2
ISP 3
WAN link
load
balancing

44. 44
Traffic Shaping Policy
Traffic Shaping Management
 Централизованный менеджмент используя новые шаблоны traffic shaping policy
» Позволяет комбинировать критерии - source, destination, user/user-group,
applications/categories и URL Category

45. 45
Server Load Balancing
port1
192.168.1.99
Web Servers
192.168.2.111
port2
192.168.2.99
HTTP or HTTPS traffic
FortiGate
User
• SSL offloading
• Балансировка нагрузки между
серверами с HW acceleration
• Мониторинг доступности

46. 46
L3 to L7 security & identity management

47. 47
Маркировка
NGFW
UNSECURE
MOBILE
SECURE
LAPTOP
INTELLECTUAL
PROPERTY
INTERNAL
DATA
PUBLIC
INFORMATION
SECURE LAPTOP
UNSECURE
MOBILE
PUBLIC
INFORMATION
INTERNAL
DATA
INTELLECTUAL
PROPERTY
GLOBAL POLICYTAGGING (DEVICES, INTERFACES, OBJECTS)
X
Надежная сетевая безопасность
Tagging
FortiOS 6.0

48. 48
Обработка зашифрованного трафика
• DNS Filter: FortiGate может
классифицировать целевой трафик на
основе запросов доменного имени.
• Certificate Inspection: данные
Сертификатов проверяются на этапе SSL
handshake для определения адресата без
дешифрования.
• Full Inspection: FortiGate может выступать в
качестве MITM и дешифровать flows до
анализа. Выделенные ASICs дают мощную
производительность.
• Extra features: Web категории могут быть
освобождены от Man-In-The-Middle (MITM)
инспекции.

49. 49
Advanced Threat Protection
Advanced
Threat
Protection
PartnerFortiWebFortiMailFortiClient FortiGate
1. Продукты Fortinet могут сотрудничать с
FortiSandbox
2. Они постоянно получают апдейты вредоносных
программ от FortiSandbox и от службы
FortiGuard
3. FortiMail/FortiClient не отдают все файлы на
обработку клиенту, пока не проверят в Sandbox
F
a
b
r
i
c

50. 50
FortiGate методы аутентификации
 Локальная аутентификация
» Логин и пароль хранятся в FortiGate
 Server-based password authentication
» Пароли хранятся в POP3, RADIUS, LDAP, и TACACS+ серверах
 Двухфакторная аутентификация
» Включается поверх существующих методов
» Требует «что-то Вы знаете» и «что-то Вы имеете» (токен или
сертификат)

51. 51
Двухфакторная аутентификация
Пароль (один фактор)
+
FortiToken (второй фактор)

52. 52
Хранение логов
Local logging Remote logging
Memory
Hard drive
Syslog SNMP
FortiAnalyzer
FortiManager
FortiCloud

53. 53
 Комплексная система
мониторинга вашей сети
» Интеграция real-time и
исторических данных в
единое представление
» Логи и мониторинг угроз,
фильтрация данных,
отслеживание
административной
активности и многое
другое
 Позволяет расследовать
активность трафика
» Информация
представляется как в
текстовой, так и в
графической форме
FortiView
Web Sites page Add filters to narrow search
Visual display
Filter by time
Drill down for more information

54. 54
Compliance – Security Fabric Audits
Аудит, отчетность и
исправление
 Simplified best practice
and security fabric
implementations

55. 55
Compliance – Configuration Checks
Поддержка
проверки
соответствия PCI
DSS
 Позволяет запускать
ежедневные
проверки
конфигурации для
соблюдения
требований.
 Результаты
регистрируются в
новых event logs
FortiOS 6.0

56. 56
 Поддержка различных режимов развёртывания
NGFW, DCFW, ISFW, Firewall/VPN, Core FW
» Единая операционная система FortiOS, обновления от
FortiGuard, видимость и управление из единой консоли
 Лидирующие в отрасли показатели инспекции
трафика и & производительности анализа SSL
» Лучшие показатели производительности при инспекции
трафика, а также SSL Inspection в индустрии
 Лучшая эффективность (подписки FortiGuard)
» Статус “Recommended” от NSS Labs – для тестов NGFW,
DCSG, DCFW, DCIPS, NGIPS…и других
» Комплексные сервисы безопасности для защиты от угроз,
кибер-атак, угроз нулевого дня, вредоносных файлов
 Интеграция в Фабрику и продвинутые
возможности FortiOS
» Тесная интеграция решений
» Видимость приложений, пользователей и устройств
» Развитие фабрики в направлении автоматизации
Заключение: почему решения Fortinet? FortiGate
Enterprise Firewall

57. Спасибо
Паливода Александр
opali@muk.ua