2. 2
NETWORK SECURITY LEADER
Обзор
Fortinet входит ТОП 5 крупнейших
компаний в области
кибербезопасности в мире. Его
широкий спектр решений охватывает
Network, Infrastructure, Cloud и IoT
Security.
30% of Appliance
Shipments Worldwide
340,000 Customers
$10B Mkt Cap $1.8B – 2017
(billings)
3. 3
70% of F100 Are Fortinet Customers
Teleco
Financials/
Banking
Technology
Retail
Aerospace/
Defense
10 of 12
Healthcare
12 of 15
Transportation
3 of 5 9 of 11 3 of 5
9 of 104 of 4 11 of 13 3 of 54 of 5
Financials/Ins Food/Bev
Energy
4. 4
70% of F100 Are Fortinet Customers
Teleco
Financials/
Banking
Technology
Retail
Aerospace/
Defense
10 of 12
Healthcare
12 of 15
Transportation
3 of 5 9 of 11 3 of 5
9 of 104 of 4 11 of 13 3 of 54 of 5
Financials/Ins Food/Bev
Energy
12. 12
Тренды и требования к решениям
Инспекция
SSL-трафика
Требования
ЦОД
Рост атак, использующих
HTTPS²
Высокая
производительность
в небольшом форм-
факторе
Reduce
Burden on
Infrastructure
Источники:
1. Gartner Best Practices in Network Segmentation for Security July 2016
2. Gartner Research Paper “Predicts 2017: Network and Gateway Security”
Внутренняя
сегментация
Подавление и
ограничение влияния
атак¹
FortiGate
Enterprise Firewall
18. 18
Powerful Innovation
Разработка с 2000
Чипы оптимизированы для аппаратных
устройств
ASIC работают на высоких скоростях
Стоимость затрат на разработку и выпуск
оптимизирован
19. 19
Параллельная обработка данных
Архитектура Fortinet
Parallel Path Processing (PPP)
Packet
Processing
Content
Inspection
Policy
Management
CPU Only
«классический
подход»
Управление политиками
Обработка пакетов
Инспекция трафика
Больше
производительность
Меньше задержка
Энергоэффективность
Меньше места в
стойках
CPU
Optimized
SoC
Большинство производителей
оборудования
Решения Fortinet
20. 20
Обзор FortiASIC NP6
Provides up to 40Gbps IPv4 & IPv6
firewall performance per unit
Doubles I/O bandwidth and connectivity to
CPU to achieve better CPS Direct support
for latest Intel
Supports Latest Multicore-CPU
developments which aids in higher flow
UTM and SSL inspection performance
Adds stronger IPSEC Crypto support
Fastpath support:
IPv4 FW
VPN
IPv6 FW
CAPWAP
Multicast FW
Vdom link
IP Tunnel
SCTP
Согласование IPv4 и IPv6 производительности.
Удвоение емкости предыдущего NP4NP6
NP6
21. 21
Обзор FortiASIC CP8/CP9
Content processing offload and HW
encryption.
Performance enhancement
dependent on CPU architecture and
speed
Content processing support:
VPN
SSL offloading
Flow based UTM
AV Signatures
Новое поколение CP, предназначенное для ускорения
вычислительно-интенсивных задачCP8
22. 22
Оптимизация обработки пакетов с помощью ASIC
Original Session
Source IP Destination IP
Client IP Server IP
Original Session
Source IP Destination IP
Client IP Server IP
CPU assisted
with Content
ASIC processing
CPU
CPU offloaded from
networking & FW
processing (+IPv6)
23. 23
Единственный
вендор,
публикующий
цифры по
инспекции SSL
Измеряется на
AES256-SHA и
TLS 1.2
С включенной
IPS
Реальные цифры производительности
Параметр
производите
льности
Fortinet Вендор A Вендор Б Вендор В
Firewall
P
(1518/512/64B
UDP)
▬ P
(1518B UDP)
P
HTTP 1024B
FW + App
Control
P
HTTP 64K
P
HTTP 64K
▬ HTTP 1024B
SSL Inspection
(FW+IPS)
P
TLS 1.2, AES-SHA
256
▬ ▬ ▬
NGFW (FW +
App Control +
IPS)
P
Enterprise Mix
▬ P
Unknown
(private mix)
P
HTTP1024B
Threat
Prevention (FW +
App Control +
IPS + AV)
P
Enterprise Mix
P
Unknown
(private mix)
▬ ▬
31. 31
FortiGate Mid-Range – пример развёртывания
ISFW NGFW
Application Visibility and IPS
SSL Inspection
Unknown Threat Detection
Web Filtering
32. 32
FortiGate High End – обзор
Data Center Firewall / Large Enterprise NGFW with High Speed
Interfaces
FG-1000D Series
FG-1200D Series
FG-1500D Series
FG-2000E Series
FG-2500E Series
FG-3000D Series
FG-3100D Series
FG-3200D Series
FG-3700D Series
FG-3800D Series
FG-3960E Series
FG-3980E Series
52 Gbps – 1.05 Tbps
Firewall throughput
6 Gbps – 32 Gbps
IPS Throughput
5 Gbps – 28 Gbps
NGFW Throughput
3 Gbps – 20 Gbps
Threat Protection Throughput
34. 34
FortiGate Ultra High End – FG-6300F и FG-6500F
Новая линейка High End Next Generation Firewall
6000 серия
3 RU форм-фактор
Резервные блоки
питания с
«горячей
заменой»
2TB SSD
локальный диск
Ultra-high Performance Compact NGFW – до 100 Гбит/с производительности по показателю Threat
Protection
Industry’s Highest SSL Inspection Performance – инспекция SSL-трафика на огромных скоростях
Flexible Network Interfaces – широкий выбор сетевых интерфейсов 10G/25G/40G и 100G, поддержка
современных архитектур, миграция с 10GE на 100GE
Out of Band Logging – журналирование через выделенный интерфейс 10G SFP+ OOB
35. 35
FortiGate 7000 Series: At a Glance
Evolution of the High-end Next Generation Security Chassis
FG-7030E
Firewall
Performance
155 Gbps
Threat 35 Gbps
Form Factor 6 U, 3 slot
FG-7040E
Firewall
Performance
315 Gbps
Threat 40 Gbps
Form Factor 6 U, 4 slot
FG-7060E
Firewall
Performance
630 Gbps
Threat 80 Gbps
Form Factor 8 U, 6 slot
FG-7120F
Firewall
Performance
1.2 Tbps
Threat 160 Gbps
Form Factor 16 U, 12 slot
36. 36
Сценарии развёртывания FortiGate
Data Center / Private Cloud / SDN
Carrier Class Firewall
(CCFW)
Distributed Enterprise
& Small Business
Mobile Users
Cloud
Firewall
(CFW)
Managed Endpoint
Internal
Segmentation
Firewall
(ISFW)
Carrier/MSSP
Boundary
1
Internal Network
Next Gen Firewall
+ Advanced
Threat Protection /
Next Gen IPS
(NGFW + ATP) /
NGIPS
Unified Threat Management
(UTM)
Public Cloud
3
4
7
8
Enterprise Campus
Or Branch Office
Core Network
Internet / WAN
Data Center Firewall
(DCFW)5
Virtual Machine
Firewall
6
2 Secure SD-WAN
38. 38
Операционная система FortiOS
* Доступность функций может меняться в зависимости от модели
Configuration Log & Report Diagnostics Monitoring
Управление и
видимость
Systems
Integration
Central Mgmt.
and
Provisioning
Cloud &
SDN
Integration
Visibility
Policy Objects
Device
Identification
SSL
inspection
Actions
Политики и
контроль
AAA Compliance
Anti-Malware IPS & DoS
Application
Control
Web Filtering
Безопасность Advanced Threat Protection (ATP)
Firewall VPN DLP Email Filtering
SD WAN Explicit Proxy IPv6
High
Availability
Сетевое
взаимодействие
Wireless
Controller
Switch
Controller
WAN
Interface
ManagerRouting/NAT L2/Switching
Offline
Inspection
Essential
Network
Services
Physical
Appliance
(+SPU)
Virtual System Hypervisor Cloud Платформы Security Fabric
39. 39
Наиболее популярные функции NGFW
Accelerated Firewall IPv4 IPv6
SSL & IPSec VPN (+ADVPN)
Dynamic Web Filtering
Anti-Virus & Anti-Botnet
Application Control & DLP
IPS & IDS
Virtual Domains & vClustering
Advanced HA
Cloud / on-premise Sandboxing
QoS & Traffic shaping
Identity & Device Awareness
Advanced SD WAN & VXLAN
Wan Optimization
(cache, explicit proxy, wanop) Mobile Security & Endpoint Control
40. 40
Режимы работы
- OSI Layer 3
- Access control между разными
сегментами сети
- Static, dynamic and policy
based routing, WAN link
redundancy & load balancing
- OSI Layer 2
- Поведение коммутатора
- Access control на участке сети
- Интерфейсы не имеют IP
(кроме MGMT)
- Offline мониторинг сетевой
активности
- Поведение сниффера
Hybrid: Возможно внедрять разные режимы работы с помощью VDOM
41. 41
Global System
VDOM_1 VDOM_N…Core
HA FortiGuard Global
System
Port or VLAN
Firewall
Firewall
IPS
VPN
Edge
Виртуальные контексты
» До 500 контекстов (по дефолту 10,
даже для VM)
» Выделенные администраторы
» Распределение ресурсов VDOM
» Журналирование по VDOM
Виртуальные контексты – VDOM
42. 42
High Availability режимы
Active-Active Active-Passive
- Все FortiGates обрабатывают трафик
- Основной балансирует сессии между нодами
- Если основной «падает», роль балансировки
сессий берет на себя второй FW
- Только основной обрабатывает трафик
- Конфигурация основного синхронизируется с
остальными
- Остальные FW в режиме standby
- Если основной «падает», запасной
«поднимается»
43. 43
WAN Link Load Balancing
Виртуальный WAN линк существует на нескольких интерфейсах
(members) подключенных к нескольким линкам ISP
» FortiGate видит всех членов WAN load balancing как единый логический
интерфейс
» Упрощает конфигурацию
» Может быть только одна группа WAN link load balancing на один VDOM
Internet
ISP 1
ISP 2
ISP 3
WAN link
load
balancing
44. 44
Traffic Shaping Policy
Traffic Shaping Management
Централизованный менеджмент используя новые шаблоны traffic shaping policy
» Позволяет комбинировать критерии - source, destination, user/user-group,
applications/categories и URL Category
45. 45
Server Load Balancing
port1
192.168.1.99
Web Servers
192.168.2.111
port2
192.168.2.99
HTTP or HTTPS traffic
FortiGate
User
• SSL offloading
• Балансировка нагрузки между
серверами с HW acceleration
• Мониторинг доступности
48. 48
Обработка зашифрованного трафика
• DNS Filter: FortiGate может
классифицировать целевой трафик на
основе запросов доменного имени.
• Certificate Inspection: данные
Сертификатов проверяются на этапе SSL
handshake для определения адресата без
дешифрования.
• Full Inspection: FortiGate может выступать в
качестве MITM и дешифровать flows до
анализа. Выделенные ASICs дают мощную
производительность.
• Extra features: Web категории могут быть
освобождены от Man-In-The-Middle (MITM)
инспекции.
50. 50
FortiGate методы аутентификации
Локальная аутентификация
» Логин и пароль хранятся в FortiGate
Server-based password authentication
» Пароли хранятся в POP3, RADIUS, LDAP, и TACACS+ серверах
Двухфакторная аутентификация
» Включается поверх существующих методов
» Требует «что-то Вы знаете» и «что-то Вы имеете» (токен или
сертификат)
53. 53
Комплексная система
мониторинга вашей сети
» Интеграция real-time и
исторических данных в
единое представление
» Логи и мониторинг угроз,
фильтрация данных,
отслеживание
административной
активности и многое
другое
Позволяет расследовать
активность трафика
» Информация
представляется как в
текстовой, так и в
графической форме
FortiView
Web Sites page Add filters to narrow search
Visual display
Filter by time
Drill down for more information
54. 54
Compliance – Security Fabric Audits
Аудит, отчетность и
исправление
Simplified best practice
and security fabric
implementations
55. 55
Compliance – Configuration Checks
Поддержка
проверки
соответствия PCI
DSS
Позволяет запускать
ежедневные
проверки
конфигурации для
соблюдения
требований.
Результаты
регистрируются в
новых event logs
FortiOS 6.0
56. 56
Поддержка различных режимов развёртывания
NGFW, DCFW, ISFW, Firewall/VPN, Core FW
» Единая операционная система FortiOS, обновления от
FortiGuard, видимость и управление из единой консоли
Лидирующие в отрасли показатели инспекции
трафика и & производительности анализа SSL
» Лучшие показатели производительности при инспекции
трафика, а также SSL Inspection в индустрии
Лучшая эффективность (подписки FortiGuard)
» Статус “Recommended” от NSS Labs – для тестов NGFW,
DCSG, DCFW, DCIPS, NGIPS…и других
» Комплексные сервисы безопасности для защиты от угроз,
кибер-атак, угроз нулевого дня, вредоносных файлов
Интеграция в Фабрику и продвинутые
возможности FortiOS
» Тесная интеграция решений
» Видимость приложений, пользователей и устройств
» Развитие фабрики в направлении автоматизации
Заключение: почему решения Fortinet? FortiGate
Enterprise Firewall