SlideShare a Scribd company logo

Fortinet ADN (Application Delivery Network)

Download as PPTX, PDF
MUK Extreme
MUK Extreme

Решения по обеспечению доступности сервисов. Защита от DDoS атак на инфраструктуру, атак направленных на веб приложения.

Technology
1 of 45
© Copyright Fortinet Inc. All rights reserved. Решения по обеспечению доступности сервисов. Защита от DDoS атак на инфраструктуру, атак направленных на веб приложения fortinet@muk.ua
2 Содержание Безопасная доставка приложений Общая информация о DDoS, методы защиты Продукты Fortinet для безопасной доставки приложений »FortiDDoS »FortiWeb »FortiADC Пример дизайна
3 Что такое сеть доставки приложений (ADN)?  Набор технологий обеспечивающих приложению: » Масштабируемость » Базопасность » Высокая производительность  Используя устройства/сервисы: » Контроллеры доставки приложений (ADC) » Firewall / UTM/ WAF » Средства защиты от DOS/DDOS Fortinet предлагает решения для высокопроизводительной и безопасной доставки приложений
4 Решения Fortinet для ADN: Server Side Security Outer Perimeter APPLICATION DELIVERY NETWORK • Server LB • SSL Offloading • Firewall/VPN • Antivirus/malware • IPS/IP Reputation • WAF • WAN Optimization • GSLB • Link Load Balancing • DDOS protection • FortiADC • FortiGate • FortiGuard • FortiAnalyzer • FortiManager • FortiWeb • FortiADC (LLB/GSLB) • FortiDDOS
5 Application Servers Web Servers DB Servers Mail Servers FortiDB FortiWebFortiDDoS FortiMail FortiADCFortiSwitch FortiAP FortiGate FortiWiFi FortiClient FortiSandBox FortiAuthenticator FortiAnalyzer FortiManager FortiDNS FortiToken FortiExtender FortiDirector FortiCloud FortiRecorder FortiCam FortiVoice/ FortiGateVoice Fortifone File Analysis User Auth Central Log & report Central Device mgmt Remote VPN 3G/4G WAN WiFi Access Secure WiFi Access IP Cam. Recorder IP PBX Web App. Firewall Load Balancer Mail Security Gateway Security gateway FortiCache Endpoint Security 2 Factor OTP Token DATA CENTERSECURITY OPERATING CENTER LAN MOBILE REMOTE Global Load balancing Log retention & reporting Ascenlink Site-to- site VPN Link Load Balancer Secure DNS Caching server Secure Web Caching server L2 Switching L7 D/DOS Mitigator DB Security
FortiDDOS
7 DDoS в новостях  DDoS атаки угроза №1 для ЦОД  Размер атак увеличивается  80% атак размером меньше 50 Мбит/с  Наиболее успешные атаки были меньше 1 Гбит/с  Атаки становятся все более изощренными  Атаки на 7 уровень наиболее растущий тип атак  Злоумышленники используют DDoS атаки, чтобы замаскировать утечки данных Предприятиям необходима защита  Финансовый и Государственный секторы  Перебои в работе сервисов  Заказчик и финансовые данные в зоне риска  Традиционные средства защиты не могут обнаружить небольшие атаки  Атаки на 7 уровень делаются через ЦОД
8 Что такое DDoS атака?  Целью является перебои в работе сети, приложений или сервисов  Сеть и сетевые сервисы становятся недоступными для легитимного трафика  Заполнение паразитным трафиком от бот-сетей  Бот-мастер контролирует устройства (ставшие частью бот-сети добровольно или принудительно)  Мотив может быть политическим, финансовым или личным
9 Типы DDoS атак На уровень приложений Более мелкие и более сложные атаки, нацеленные на сервисы 7 уровня на серверах, такие как HTTP, SMTP и HTTPS. Проблемы: • Остаются незаметными для традиционных методов защиты • Быстро растущий тип атак • Сложно обнаружить • Легче в организации для бот- мастера На облачную инфраструктуру Современные атаки на все элементы инфраструктуры облака, такие как брандмауэры, почтовые и веб серверы Проблемы: • Необходима комплексная защита • Угрозе подвергаются несколько или все клиенты облачного сервиса • Комбинация DDoS атак • Необходима защита нескольких узлов Массовая Волюметрическая Разработана для подавления и потребления доступной полосы пропускания Интернет или перегрузки серверов (например, SYN, UDP, ICMP floods). Проблемы: • Сервисы не доступны пользователям • Может маскировать утечки данных • Размер атак постоянно растет • Простота организации атаки
10 Развитие угроз Традиционные атаки • Уровень 3 и 4 • Массовые волюметрические • Подмена IP адресов • Все больше и больше по мощности • Большие бот-неты Сегодня и завтра • Фокус на уровне сервисов 7 уровня • Небольшие, целевые атаки • Смешанные атаки на 3/4/7 уровни • Атаки на облачные сервисы • Большие атаки для отвлечения внимания Новый подход • Поведенческий анализ • Мониторинг сервисов и портов • Обнаружение атаки любого размера • Аппаратное решение • Нельзя полагаться только на ISP • Автоматическая реакция
11 Варианты защиты от DDoS Брандмауэр/IPS Комплексное устройство с функционалом межсетевого экрана, системы защиты от вторжений и предотвращения ДДоС За: • Единое устройство • Простота управления Против: • Низкий уровень обнаружения атак на уровне приложений • Потенциально лицензируемый функционал • Снижение производительности Выделенное устройство Устройство устанавливаемое в ЦОД для обнаружения и смягчения ДДоС атак на 3, 4 и 7 уровни За: • Предсказуемые затраты • Расширенная защита на 7 уровне Против: • Необходимость управления дополнительным устройством • Может быть подвержено волюметрическим атакам • Может потребоваться обновление сигнатур Провайдер DDoS защиты Сервис в виде управляемой подписки с отдельными услугами по обнаружению и смягчению последствий За: • Простота подписки • Простота внедрения Против: • Дорогостоящие излишки • Непредсказуемые расходы • Ограничена гибкость
12 Поведенческий анализ и система основанная на уровнях  Отсутствие сигнатур  Поскольку FortiDDoS использует анализ поведения пользователей и систему уровней, он обеспечивает модель обеспечения безопасности для защиты от тех атак, которые злоумышленники еще даже не придумали. Шлюз защиты от вторжений работает в режиме 24/7, автоматически защищая ваши сетевые сервисы и полосу пропускания без участия администратора
13 Основные характеристики и преимущества 100% поведенческий анализ FortiDDoS не полагается на сигнатуры, требующие постоянных обновления для защиты от самых последних и актуальных угроз, тем самым обеспечивая защиту от уже известных и еще не известных атак «нулевого дня» 100% аппаратное решение Процессор FortiASIC-TP2 обеспечивает двунаправленное обнаружение и смягчение DDoS атак на 3, 4 и 7 уровни Непрерывная оценка атак Сводит к минимуму риск «ложных срабатываний» обнаружения переоценивая атаку, чтобы убедиться, что «легитимный» трафик не блокируется Устойчив к перегрузкам Высокая пропускная способность и работа на скорости линии не позволяет перегрузить FortiDDoS и подвергнуть его DDoS атаке Автоматическое обучение После минимальной начальной настройки, FortiDDoS автоматические построит нормальные профили трафика и поведения ресурсов экономя ваше время и ресурсы Защита от атак Понимая модели поведения, FortiDDoS может обнаружить любую DDoS атаку, начиная от простой волюметрической до сложной атаки на 7 уровне на основе SSL без необходимости расшифровывать трафик
14 Как это работает • Обнаружение производится в «железе» • Смягчение происходит «inline» Обнаружение и смягчение атак Virtual Partitioning Geo-Location ACL Protocol Anomaly Prevention Packet Flood Mitigation Stateful Inspection Out of State Filtering Granular Layer 3 and 4 Filtering Application Layer Filtering Algorithmic Filtering Heuristic Filtering Bogon Filtering AttackTrafficТрафикатаки Легитимныйтрафик
15 Построение базового профиля трафика
16 Многоуровневая защита от DDoS  Выделенное устройство не может защитить «канал» сам по себе  Используется совместно с DDoS защитой поставщика услуг Интернет, ЦОД защищены от волюметрических атак 3/4 уровня и более мелких атак на 7 уровень Layer 3/4 Layer 7 Good Traffic Поставщик услуг Интернет FortiDDoS ЦОД Волюметрическая защита Провайдер предлагает защиту от волюметрических атак на 3/4 уровне и может экранировать их чтобы минимизировать перегрузку канала к центру обработки данных Защита приложений FortiDDoS обнаруживает и смягчает более мелкие атаки на 7 уровне, которые пропустил провайдер к центру обработки данных и может обнаруживать небольшие атаки 3/4 уровня, которые не смог обнаружить провайдер DDoS Attacks
17 MID-RANGE FortiDDoS B-Серия FortiDDoS-400B • 8x GE LAN/8x GE WAN • 4.0 Gbps full duplex • 1 M Connections • 100 K/sec setup/teardown • 1x FortiASIC-TP2 FortiDDoS-800B • 8x GE LAN/8x GE WAN • 8.0 Gbps full duplex • 2 M Connections • 200 K/sec setup/teardown • 2x FortiASIC-TP2 FortiDDoS-1000B • 8x 10GE LAN/8x 10GE WAN • 12.0 Gbps full duplex • 3 M Connections • 300 K/sec setup/teardown • 3x FortiASIC-TP2 FortiDDoS-2000B • 8x 10GE LAN/8x 10GE WAN • 4x 10GE LAN/WAN bypass • 24.0 Gbps full duplex • 6 M Connections • 600 K/sec setup/teardown • 6x FortiASIC-TP2 Целевые сегменты/вертикали • Финансовый сектор • Государственный сектор • Датацентры • Провайдеры веб-хостинга FortiDDoS-200B • 4x GE LAN/4x GE WAN • 2.0 Gbps full duplex • 1 M Connections • 100 K/sec setup/teardown • 1x FortiASIC-TP2
18 Преимущества FortiDDoS  Производительность » До 10 раз лучше в определении и защите от атак в сравнении с Radware и Arbor » Неизменная производительность за счет ASIC (отсутствует падение производительности как в устройствах на базе стандартных процессоров)  Низкая стоимость владения для частной защиты от DDoS » До 50% меньше стоимость владения в сравнении с Radware и Arbor (аппаратные решения). » Модель с фиксированными затратами дешевле и предсказуема по сравнению облачными решениями защиты от DDoS корпоративного уровня  Низкий уровень ложных срабатываний » Решение на базе поведенческого анализа не блокирует легитимный трафик из-за ошибочного определения атаки » Постоянное изучения трафика позволяет максимально быстро исправить ошибку ложного срабатывания  Всегда в актуальном состоянии » Отсутствие сигнатур означает, что устройству не нужно ждать пока угроза будет определена и для нее напишут сигнатуру » Устраняет атаки «нулевого дня»  Устройство защищено от DDoS на него » Пропускная способность на скорости линии минимизирует риск перегрузки устройства, большая часть трафика проходит » Возможность DDoS атаки на FortiDDoS исключена, поскольку трафик проходит только через ASIC
19 Преимущества FortiDDoS Производительность Низкая стоимость владения для частной защиты от DDoS Низкий уровень ложных срабатываний Всегда в актуальном состоянии Устройство защищено от DDoS на него
FortiWeb
21 Что такое WAF?  Защищает web приложения от атак, например: » SQL Injection » Cross Site Scripting » Layer 7 DoS/DDoS attacks » Cookie/schema poisoning  Защита от атак на уязвимости в приложениях  Понимает/изучает «нормальное» поведение и защищает от аномалий » URL parameters, HTTP methods, session IDs, cookies, schema, etc.  Умеет быстро подстраиваться под новые угрозы Может ли Firewall или IPS делать это?  Firewall защищает от network-based атак  IPS обнаруживает только уже известные проблемы FortiWeb WAF Web Application Servers SQL Injection, XSS… INTERNET
22 WAF – задачи/трудности  Защита приложений от уязвимостей в коде  Соответствие PCI Compliance (5.5 and 6.6)  Защита от OWASP Top 10 Application Vulnerabilities  Публикация приложений  Защита сайта от изменений Где востребован?  Любая компания работающая с пластиковыми картами и /или должна соответствовать требованиям PCI  Компании работающие с конфиденциальной информацией  Mission-critical бизнес приложения Где наиболее востребован?  Хостинговые компании  E-commerce/online сервисы  Retail, Food Service, Hospitality  Финансовый сектор
23 FortiWeb – Web Application Firewalls  4 модели – от 100 Mbps до 4 Gbps HTTP  До 6x GE и модели с 2x 10GE SFP+ портами  Встроенный сканер уязвимостей и антивирус  Аппаратные и VM исполнения (VMware, Hyper-V и AWS)  Автоматическое behavior-based сканирование  Возможность автообучения и настройки  L7 DDoS защита  FortiGuard antivirus/IP reputation  Transparent, reverse и non-inline варианты внедрения  Central Management/ADOM  Продвинутая отчетность реального времени  SSL offloading/compression  SSO/Authentication  Layer 7 load balancing  Рекомендовано NSS Complete WAF Solution for PCI DSS Compliance
24 FortiWeb Virtual Appliances Enterprise grade virtual WAF  Внедрение WAFs без дополнительного железа  Быстрое развертывание в виртуальной среде  Эффективное использование ресурсов без потери функционала WAF  VMware ESX / ESXi / 4.0 / 4.1 / 5.0 / 5.1 / 5.5, Microsoft Hyper-V, Citrix XenServer 6.2, Open Source Xen 4.2, AWS (BYOL/On-Demand) Technical Specifications FortiWeb VM01 FortiWeb VM02 FortiWeb VM04 FortiWeb VM08 vCPU Support (Max) 1 2 4 8 Memory Support (Max) Unlimited Unlimited Unlimited Unlimited Network Interface Support (Max) 4 4 4 4 Storage Support (Min / Max) 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB
25 FortiWeb – защита на всех уровнях ATTACKS/THREATS APPLICATION IP REPUTATION DDOS PROTECTION PROTOCOL VALIDATION ATTACK SIGNATURES ANTIVIRUS/DLP BEHAVIORAL VALIDATION CORRELATION BOTNETS, MALICIOUS HOSTS, ANONYMOUS PROXIES, DDOS SOURCES APPLICATION LEVEL DDOS ATTACKS IMPROPER HTTP RFC KNOWN APPLICATION ATTACK TYPES VIRUSES, MALWARE, LOSS OF DATA UNKNOWN APPLICATION ATTACKS
26     Автоматическая настройка и защита  Основной функционал » Авто-обучение » Профилирование трафика » Моделирование приложений на базе профиля трафика » Понимание реального поведения  Преимущества » Нет изменений в приложении » Действия при аномалиях трафика » Защита от неизвестных уязвимостей и zero-day атак
27  Функционал » Сканирование всех элементов приложения » Гранулярная настройка » Расписание » Отчет с рекомендациями » Обновления с FortiGuard  Преимущества » Автоматизация отчетности об уязвимостях » Дополняет WAF для соответствия требованиям PCI DSS Сканирование уязвимостей
28 Преимущества FortiWeb  Защищает приложения с автоматическим профилированием и сканером аномалий  Соответствует PCI Compliance (5.5 и 6.6) с обнаружением и защитой приложений базирующихся на поведенческом анализе  Защищает от OWASP Top 10 Application Vulnerabilities  Определяет уязвимые места приложений используя сканер уязвимостей  Публикация приложений с поддержкой Single Sign On/Authentication  Восстановление поврежденных страниц с Anti-Defacement Protection  Блокирует трафик от скомпрометированных источников с подпиской FortiGuard IP Reputation
FortiADC
31 Что такое ADC?  Развертывание приложения на несколько серверов  На один или несколько ЦОД  Обеспечивает доступность и надежность (аварийное восстановление)  Увеличивает эффективность серверов с «умными» мониторингом/проверкой доступности  Увеличивает производительность приложений и уменьшает задержку  Продвинутое управление трафиком » L7 content-based routing » SSL offloading » Content caching » HTTP compression Application Servers INTERNET
32 ADC – задачи/трудности  Доступность/масштабируемость приложений » Поддержка роста количества пользователей » Поддержка возрастания SSL трафика » Минимальная задержка  Непрерывность сервиса и аварийное восстановление  Уменьшение стоимости доставки приложения » Улучшение использования серверных ресурсов » Уменьшение администрирования приложений » Минимизация потери прибыли во время простоев/аварий Где востребован?  Предприятия с сетевыми приложениями  Приложения где нужны несколько серверов или ЦОД Где наиболее востребован?  Электронная коммерция  Онлайн сервисы  Финансовые сервисы  Образование  Хостинговые компании
33 FortiADC – Application Delivery Controller  Аппаратные и виртуальные варианты  Пропускная способность от 1.0 до 50 Гбит/с  Модели с до 8х 10GE SFP+ портами  Полный функционал без дополнительных лицензий Наилучшее соотношение производительность/цена для любых задач  L4 и L7 load balancing  Продвинутые L7 content rewriting и routing  GSLB  Полная поддержка IPv6 и 6in4 Tunneling  Несколько вариантов High Availability failover  SSL offloading  Gzip HTTP compression  Quality of Service  Link Load Balancing  CLI и простой GUI  Caching  Firewall и защита от DoS
34 FortiADC Virtual Appliances Виртуальный ADC корпоративного класса  Внедрение ADС без дополнительных устройств  Быстрое развертывание в виртуальной среде  Поддержка Technical Specification s FortiADC VM01 FortiADC VM02 FortiADC VM04 FortiADC VM08 vCPU Support (Max) 1 2 4 8 Memory Support (Max) 2GB 4GB 8GB 16GB Network Interface Support 10 10 10 10 Storage Support (Min / Max) 50MB / 1TB 50MB / 1TB 50MB / 1TB 50MB / 1TB
35 Server Load Balancing  Проблема » Добавление серверов для увеличения производительности » Обеспечение доступности  Решение » Health checking » Маршрутизация только к доступным » Маршрутизация к более производительным  Результат » 25% увеличение производительности » Уменьшение потребности в серверах 10.1.0.2 10.1.0.3 10.1.0.1 INTERNET
36 Secure Application Traffic Offloading  Проблема » SSL уменьшает производительность серверов » Мощность ограничена 100 TPS  Решение » SSL offloading на ADC » Увеличение до десятков тыс .TPS » HTTP к серверам » HTTPS к клиентам  Результат » 100 кратное увеличение производительности » Уменьшение количества серверов 10.1.0.2 10.1.0.3 10.1.0.1 INTERNET
37 Аварийное восстановление  Проблема » Покрытие нескольких ЦОД » Отказоустойчивость  Решение » GSLB smart routing » DNS-based » Автоматическое срабатывание  Результат » Доступность во время аварий » Незаметно для пользователя » Автоматическое восстановление INTERNET Datacenter 2 Datacenter 1
38 FortiADC - преимущества  Масштабирование приложений с Server Load Balancing  Улучшение производительности с SSL Offloading/Acceleration  Аварийное восстановление/покрытие нескольких ЦОД с Global Server Load Balancing  Приоритизация трафика с Quality of Service (QoS)  Отказоустойчивость и оптимизация WAN с Link Load Balancing
FortiGate
41 Анатомия FortiGate Features & Capabilities  Available by default, no requirement for hidden charges and software upgrades Firewall VPN IPS App. Ctrl AntiVirus Web Filter AntiSpam DLP NAC Vuln Mgmt Traffic Shaping WAN opt. HA: A-A, A-P, Virtual cluster, weighted IPv6 FW + UTM Routing Protocols Wireless Controller Server LB
Какое решение выбрать?
43 Сравнение функционала Feature FortiGate FortiDDOS FortiWeb FortiADC Hardware DOS/DDOS protection + + HW syn-proxy, DOS sensor +++ 100% ASIC based Software DOS/DDOS protection + IPS + syn proxy (syn cookie), L7 rate limiting, learning + syn proxy (syn cookie), SSL Acceleration Hardware + CP8 platforms + + L4 load-balacing + + +++ L7 load-balancing + +++ Web Application Firewall +++ IP reputation filtering + + + + Virtualisation up to 500 VDOM 8 SPP up to 64 ADOM up to 25 VDOM
Пример дизайна
45
46
Паливода Александр opali@muk.ua Системный инженер МУК Спасибо за внимание! Fortinet@muk.ua

Recommended

Extreme Wireless IdentiFi
Extreme Wireless IdentiFiExtreme Wireless IdentiFi
Extreme Wireless IdentiFiMUK Extreme
 
Extreme wireless WiNG
Extreme wireless WiNGExtreme wireless WiNG
Extreme wireless WiNGMUK Extreme
 
Extreme Wireless WiNG 2020
Extreme Wireless WiNG 2020Extreme Wireless WiNG 2020
Extreme Wireless WiNG 2020MUK Extreme
 
Extreme Networks AVB
Extreme Networks AVBExtreme Networks AVB
Extreme Networks AVBMUK Extreme
 
Extreme Automated Campus
Extreme Automated CampusExtreme Automated Campus
Extreme Automated CampusMUK Extreme
 
Extreme CloudIQ overview
Extreme CloudIQ overviewExtreme CloudIQ overview
Extreme CloudIQ overviewMUK Extreme
 
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...Cisco Russia
 
Extreme summit X portfolio
Extreme summit X portfolioExtreme summit X portfolio
Extreme summit X portfolioMUK Extreme
 

Recommended

Extreme Wireless IdentiFi
Extreme Wireless IdentiFiExtreme Wireless IdentiFi
Extreme Wireless IdentiFiMUK Extreme
 
Extreme wireless WiNG
Extreme wireless WiNGExtreme wireless WiNG
Extreme wireless WiNGMUK Extreme
 
Extreme Wireless WiNG 2020
Extreme Wireless WiNG 2020Extreme Wireless WiNG 2020
Extreme Wireless WiNG 2020MUK Extreme
 
Extreme Networks AVB
Extreme Networks AVBExtreme Networks AVB
Extreme Networks AVBMUK Extreme
 
Extreme Automated Campus
Extreme Automated CampusExtreme Automated Campus
Extreme Automated CampusMUK Extreme
 
Extreme CloudIQ overview
Extreme CloudIQ overviewExtreme CloudIQ overview
Extreme CloudIQ overviewMUK Extreme
 
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...
Cisco Virtual Topology System (VTS) - управление виртуальными топологиями в р...Cisco Russia
 
Extreme summit X portfolio
Extreme summit X portfolioExtreme summit X portfolio
Extreme summit X portfolioMUK Extreme
 
Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования CiscoSkillFactory
 
Маршрутизаторы Cisco
Маршрутизаторы CiscoМаршрутизаторы Cisco
Маршрутизаторы CiscoCisco Russia
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхCisco Russia
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFVSkillFactory
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPESkillFactory
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Cisco Russia
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...Cisco Russia
 
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulСовременная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulCisco Russia
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствSkillFactory
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Cisco Russia
 
Обзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетяхОбзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетяхCisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхCisco Russia
 
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...Cisco Russia
 
VoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сетиVoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сетиCisco Russia
 
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетейАрхитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетейCisco Russia
 
CUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенностиCUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенностиCisco Russia
 
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...Cisco Russia
 
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Cisco Russia
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Cisco Russia
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атакSkillFactory
 

More Related Content

What's hot

Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования CiscoSkillFactory
 
Маршрутизаторы Cisco
Маршрутизаторы CiscoМаршрутизаторы Cisco
Маршрутизаторы CiscoCisco Russia
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхCisco Russia
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFVSkillFactory
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPESkillFactory
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Cisco Russia
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...Cisco Russia
 
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulСовременная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulCisco Russia
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствSkillFactory
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Cisco Russia
 
Обзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетяхОбзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетяхCisco Russia
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеCisco Russia
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхCisco Russia
 
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...Cisco Russia
 
VoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сетиVoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сетиCisco Russia
 
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетейАрхитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетейCisco Russia
 
CUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенностиCUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенностиCisco Russia
 
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...Cisco Russia
 
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Cisco Russia
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Cisco Russia
 

What's hot (20)

Линейка оборудования Cisco
Линейка оборудования CiscoЛинейка оборудования Cisco
Линейка оборудования Cisco
 
Маршрутизаторы Cisco
Маршрутизаторы CiscoМаршрутизаторы Cisco
Маршрутизаторы Cisco
 
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетяхРазвитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
Развитие продуктов и решений Cisco для маршрутизации в корпоративных сетях
 
Сервисы NFV
Сервисы NFVСервисы NFV
Сервисы NFV
 
Виртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPEВиртуализация клиентских устройств Juniper cCPE
Виртуализация клиентских устройств Juniper cCPE
 
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
Да! Цифровой трансформации - масштабируемая сетевая инфраструктура на базе те...
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
 
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulСовременная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
 
Варианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройствВарианты решений для подключения мобильных устройств
Варианты решений для подключения мобильных устройств
 
Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.Современные межсетевые экраны Cisco ASA и ASASM.
Современные межсетевые экраны Cisco ASA и ASASM.
 
Обзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетяхОбзор решений по маршрутизации в корпоративных сетях
Обзор решений по маршрутизации в корпоративных сетях
 
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционированиеАрхитектура корпоративной сети Cisco, варианты внедрения и позиционирование
Архитектура корпоративной сети Cisco, варианты внедрения и позиционирование
 
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетяхИнновации Cisco для маршрутизации и коммутации в корпоративных сетях
Инновации Cisco для маршрутизации и коммутации в корпоративных сетях
 
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
Cisco SP WiFi – средство для расширения зоны действия услуг операторов мобиль...
 
VoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сетиVoLTE – технологии передачи голоса в LTE сети
VoLTE – технологии передачи голоса в LTE сети
 
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетейАрхитектура Cisco SD-Access для беспроводных корпоративных сетей
Архитектура Cisco SD-Access для беспроводных корпоративных сетей
 
CUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенностиCUCM 12.0: новые возможности и особенности
CUCM 12.0: новые возможности и особенности
 
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
Технология Cisco nLight™ для построения транспортных инфраструктур нового пок...
 
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG) Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
Беспроводной шлюз безопасности в сетях 4G Wireless Security Gateway (WSG)
 
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
Сетевая виртуализация в корпоративных сетях Cisco - новые возможности для WAN...
 

Similar to Fortinet ADN (Application Delivery Network)

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атакSkillFactory
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksBAKOTECH
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаExpolink
 
Check Point DDoS Protector Appliances
Check Point DDoS Protector AppliancesCheck Point DDoS Protector Appliances
Check Point DDoS Protector AppliancesTechExpert
 
Высокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSEВысокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSEDaria Kovalenko
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...DialogueScience
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksCisco Russia
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Denis Batrankov, CISSP
 
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Ontico
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиCisco Russia
 
Защита от DDoS и хакерских атак
Защита от DDoS и хакерских атакЗащита от DDoS и хакерских атак
Защита от DDoS и хакерских атакТатьяна Янкина
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Denis Batrankov, CISSP
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco Russia
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedPositive Hack Days
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сетиDenis Batrankov, CISSP
 
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетейОбеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетейCisco Russia
 

Similar to Fortinet ADN (Application Delivery Network) (20)

рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Современные методы защиты от DDoS атак
Современные методы защиты от DDoS атакСовременные методы защиты от DDoS атак
Современные методы защиты от DDoS атак
 
Концепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 NetworksКонцепция целостной информационной безопасности F5 Networks
Концепция целостной информационной безопасности F5 Networks
 
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
Clouds NN 2012 Игорь Гормидоров "Организация защиты облачных сервисов и инфра...
 
Мегафон - Решения для Бизнеса
Мегафон - Решения для БизнесаМегафон - Решения для Бизнеса
Мегафон - Решения для Бизнеса
 
Check Point DDoS Protector Appliances
Check Point DDoS Protector AppliancesCheck Point DDoS Protector Appliances
Check Point DDoS Protector Appliances
 
Высокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSEВысокоскоростные шифраторы - HSE
Высокоскоростные шифраторы - HSE
 
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
ВЕБИНАР: ЛУЧШИЕ ПРАКТИКИ И РЕКОМЕНДАЦИИ ПО ПРОТИВОДЕЙСТВИЮ ЦЕЛЕВЫМ КИБЕРАТАКА...
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
 
ALTELL NEO 340
ALTELL NEO 340 ALTELL NEO 340
ALTELL NEO 340
 
Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод Решения для защиты корпоративных и коммерческих цод
Решения для защиты корпоративных и коммерческих цод
 
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
Современные DoS-атаки и защита от них с помощью инфраструктурных решений, Але...
 
Обзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атакамиОбзор решений по борьбе с DDoS-атаками
Обзор решений по борьбе с DDoS-атаками
 
Защита от DDoS и хакерских атак
Защита от DDoS и хакерских атакЗащита от DDoS и хакерских атак
Защита от DDoS и хакерских атак
 
Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks Защита корпорации на платформе Palo Alto Networks
Защита корпорации на платформе Palo Alto Networks
 
Cisco FirePower
Cisco FirePowerCisco FirePower
Cisco FirePower
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
Визуализация взломов в собственной сети
Визуализация взломов в собственной сетиВизуализация взломов в собственной сети
Визуализация взломов в собственной сети
 
Обеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетейОбеспечение доступности инфраструктуры корпоративных сетей
Обеспечение доступности инфраструктуры корпоративных сетей
 

More from MUK Extreme

Extreme Management Center XMC
Extreme Management Center XMCExtreme Management Center XMC
Extreme Management Center XMCMUK Extreme
 
Здоровье важнее - Fortinet решения для удаленных сотрудников
Здоровье важнее - Fortinet решения для удаленных сотрудниковЗдоровье важнее - Fortinet решения для удаленных сотрудников
Здоровье важнее - Fortinet решения для удаленных сотрудниковMUK Extreme
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailMUK Extreme
 
Wireless 5--bluetooth-beacon
Wireless 5--bluetooth-beaconWireless 5--bluetooth-beacon
Wireless 5--bluetooth-beaconMUK Extreme
 
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)MUK Extreme
 
FortiGate - файрволы от Fortinet
FortiGate - файрволы от FortinetFortiGate - файрволы от Fortinet
FortiGate - файрволы от FortinetMUK Extreme
 
Extreme fabric connect
Extreme fabric connectExtreme fabric connect
Extreme fabric connectMUK Extreme
 
IXIA ThreatArmor
IXIA ThreatArmorIXIA ThreatArmor
IXIA ThreatArmorMUK Extreme
 
Hawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newHawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newMUK Extreme
 
IXIA NVS Vision one
IXIA NVS Vision oneIXIA NVS Vision one
IXIA NVS Vision oneMUK Extreme
 
IXIA Breaking Point
IXIA Breaking PointIXIA Breaking Point
IXIA Breaking PointMUK Extreme
 
iSCSI and CLEAR-Flow
iSCSI and CLEAR-FlowiSCSI and CLEAR-Flow
iSCSI and CLEAR-FlowMUK Extreme
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решенияMUK Extreme
 

More from MUK Extreme (20)

Extreme Management Center XMC
Extreme Management Center XMCExtreme Management Center XMC
Extreme Management Center XMC
 
FortiSandbox
FortiSandboxFortiSandbox
FortiSandbox
 
Здоровье важнее - Fortinet решения для удаленных сотрудников
Здоровье важнее - Fortinet решения для удаленных сотрудниковЗдоровье важнее - Fortinet решения для удаленных сотрудников
Здоровье важнее - Fortinet решения для удаленных сотрудников
 
Fortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMailFortinet Security Email gateway - FortiMail
Fortinet Security Email gateway - FortiMail
 
Wireless 5--bluetooth-beacon
Wireless 5--bluetooth-beaconWireless 5--bluetooth-beacon
Wireless 5--bluetooth-beacon
 
ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)ExtremeManagement XMC (formerly NetSight)
ExtremeManagement XMC (formerly NetSight)
 
FortiGate - файрволы от Fortinet
FortiGate - файрволы от FortinetFortiGate - файрволы от Fortinet
FortiGate - файрволы от Fortinet
 
Extreme fabric connect
Extreme fabric connectExtreme fabric connect
Extreme fabric connect
 
IXIA ThreatArmor
IXIA ThreatArmorIXIA ThreatArmor
IXIA ThreatArmor
 
Summit x870
Summit x870Summit x870
Summit x870
 
Hawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-newHawkeye proactive-monitoring-ru-new
Hawkeye proactive-monitoring-ru-new
 
IXIA IxChariot
IXIA IxChariotIXIA IxChariot
IXIA IxChariot
 
Summit x620
Summit x620Summit x620
Summit x620
 
IXIA NVS Vision one
IXIA NVS Vision oneIXIA NVS Vision one
IXIA NVS Vision one
 
Ixia NVS (rus)
Ixia NVS (rus)Ixia NVS (rus)
Ixia NVS (rus)
 
IXIA Breaking Point
IXIA Breaking PointIXIA Breaking Point
IXIA Breaking Point
 
iSCSI and CLEAR-Flow
iSCSI and CLEAR-FlowiSCSI and CLEAR-Flow
iSCSI and CLEAR-Flow
 
Ixia продукты и решения
Ixia продукты и решенияIxia продукты и решения
Ixia продукты и решения
 
Summit x670 g2
Summit x670 g2Summit x670 g2
Summit x670 g2
 
Summit x460 g2
Summit x460 g2Summit x460 g2
Summit x460 g2
 

Fortinet ADN (Application Delivery Network)

  • 1. © Copyright Fortinet Inc. All rights reserved. Решения по обеспечению доступности сервисов. Защита от DDoS атак на инфраструктуру, атак направленных на веб приложения fortinet@muk.ua
  • 2. 2 Содержание Безопасная доставка приложений Общая информация о DDoS, методы защиты Продукты Fortinet для безопасной доставки приложений »FortiDDoS »FortiWeb »FortiADC Пример дизайна
  • 3. 3 Что такое сеть доставки приложений (ADN)?  Набор технологий обеспечивающих приложению: » Масштабируемость » Базопасность » Высокая производительность  Используя устройства/сервисы: » Контроллеры доставки приложений (ADC) » Firewall / UTM/ WAF » Средства защиты от DOS/DDOS Fortinet предлагает решения для высокопроизводительной и безопасной доставки приложений
  • 4. 4 Решения Fortinet для ADN: Server Side Security Outer Perimeter APPLICATION DELIVERY NETWORK • Server LB • SSL Offloading • Firewall/VPN • Antivirus/malware • IPS/IP Reputation • WAF • WAN Optimization • GSLB • Link Load Balancing • DDOS protection • FortiADC • FortiGate • FortiGuard • FortiAnalyzer • FortiManager • FortiWeb • FortiADC (LLB/GSLB) • FortiDDOS
  • 5. 5 Application Servers Web Servers DB Servers Mail Servers FortiDB FortiWebFortiDDoS FortiMail FortiADCFortiSwitch FortiAP FortiGate FortiWiFi FortiClient FortiSandBox FortiAuthenticator FortiAnalyzer FortiManager FortiDNS FortiToken FortiExtender FortiDirector FortiCloud FortiRecorder FortiCam FortiVoice/ FortiGateVoice Fortifone File Analysis User Auth Central Log & report Central Device mgmt Remote VPN 3G/4G WAN WiFi Access Secure WiFi Access IP Cam. Recorder IP PBX Web App. Firewall Load Balancer Mail Security Gateway Security gateway FortiCache Endpoint Security 2 Factor OTP Token DATA CENTERSECURITY OPERATING CENTER LAN MOBILE REMOTE Global Load balancing Log retention & reporting Ascenlink Site-to- site VPN Link Load Balancer Secure DNS Caching server Secure Web Caching server L2 Switching L7 D/DOS Mitigator DB Security
  • 7. 7 DDoS в новостях  DDoS атаки угроза №1 для ЦОД  Размер атак увеличивается  80% атак размером меньше 50 Мбит/с  Наиболее успешные атаки были меньше 1 Гбит/с  Атаки становятся все более изощренными  Атаки на 7 уровень наиболее растущий тип атак  Злоумышленники используют DDoS атаки, чтобы замаскировать утечки данных Предприятиям необходима защита  Финансовый и Государственный секторы  Перебои в работе сервисов  Заказчик и финансовые данные в зоне риска  Традиционные средства защиты не могут обнаружить небольшие атаки  Атаки на 7 уровень делаются через ЦОД
  • 8. 8 Что такое DDoS атака?  Целью является перебои в работе сети, приложений или сервисов  Сеть и сетевые сервисы становятся недоступными для легитимного трафика  Заполнение паразитным трафиком от бот-сетей  Бот-мастер контролирует устройства (ставшие частью бот-сети добровольно или принудительно)  Мотив может быть политическим, финансовым или личным
  • 9. 9 Типы DDoS атак На уровень приложений Более мелкие и более сложные атаки, нацеленные на сервисы 7 уровня на серверах, такие как HTTP, SMTP и HTTPS. Проблемы: • Остаются незаметными для традиционных методов защиты • Быстро растущий тип атак • Сложно обнаружить • Легче в организации для бот- мастера На облачную инфраструктуру Современные атаки на все элементы инфраструктуры облака, такие как брандмауэры, почтовые и веб серверы Проблемы: • Необходима комплексная защита • Угрозе подвергаются несколько или все клиенты облачного сервиса • Комбинация DDoS атак • Необходима защита нескольких узлов Массовая Волюметрическая Разработана для подавления и потребления доступной полосы пропускания Интернет или перегрузки серверов (например, SYN, UDP, ICMP floods). Проблемы: • Сервисы не доступны пользователям • Может маскировать утечки данных • Размер атак постоянно растет • Простота организации атаки
  • 10. 10 Развитие угроз Традиционные атаки • Уровень 3 и 4 • Массовые волюметрические • Подмена IP адресов • Все больше и больше по мощности • Большие бот-неты Сегодня и завтра • Фокус на уровне сервисов 7 уровня • Небольшие, целевые атаки • Смешанные атаки на 3/4/7 уровни • Атаки на облачные сервисы • Большие атаки для отвлечения внимания Новый подход • Поведенческий анализ • Мониторинг сервисов и портов • Обнаружение атаки любого размера • Аппаратное решение • Нельзя полагаться только на ISP • Автоматическая реакция
  • 11. 11 Варианты защиты от DDoS Брандмауэр/IPS Комплексное устройство с функционалом межсетевого экрана, системы защиты от вторжений и предотвращения ДДоС За: • Единое устройство • Простота управления Против: • Низкий уровень обнаружения атак на уровне приложений • Потенциально лицензируемый функционал • Снижение производительности Выделенное устройство Устройство устанавливаемое в ЦОД для обнаружения и смягчения ДДоС атак на 3, 4 и 7 уровни За: • Предсказуемые затраты • Расширенная защита на 7 уровне Против: • Необходимость управления дополнительным устройством • Может быть подвержено волюметрическим атакам • Может потребоваться обновление сигнатур Провайдер DDoS защиты Сервис в виде управляемой подписки с отдельными услугами по обнаружению и смягчению последствий За: • Простота подписки • Простота внедрения Против: • Дорогостоящие излишки • Непредсказуемые расходы • Ограничена гибкость
  • 12. 12 Поведенческий анализ и система основанная на уровнях  Отсутствие сигнатур  Поскольку FortiDDoS использует анализ поведения пользователей и систему уровней, он обеспечивает модель обеспечения безопасности для защиты от тех атак, которые злоумышленники еще даже не придумали. Шлюз защиты от вторжений работает в режиме 24/7, автоматически защищая ваши сетевые сервисы и полосу пропускания без участия администратора
  • 13. 13 Основные характеристики и преимущества 100% поведенческий анализ FortiDDoS не полагается на сигнатуры, требующие постоянных обновления для защиты от самых последних и актуальных угроз, тем самым обеспечивая защиту от уже известных и еще не известных атак «нулевого дня» 100% аппаратное решение Процессор FortiASIC-TP2 обеспечивает двунаправленное обнаружение и смягчение DDoS атак на 3, 4 и 7 уровни Непрерывная оценка атак Сводит к минимуму риск «ложных срабатываний» обнаружения переоценивая атаку, чтобы убедиться, что «легитимный» трафик не блокируется Устойчив к перегрузкам Высокая пропускная способность и работа на скорости линии не позволяет перегрузить FortiDDoS и подвергнуть его DDoS атаке Автоматическое обучение После минимальной начальной настройки, FortiDDoS автоматические построит нормальные профили трафика и поведения ресурсов экономя ваше время и ресурсы Защита от атак Понимая модели поведения, FortiDDoS может обнаружить любую DDoS атаку, начиная от простой волюметрической до сложной атаки на 7 уровне на основе SSL без необходимости расшифровывать трафик
  • 14. 14 Как это работает • Обнаружение производится в «железе» • Смягчение происходит «inline» Обнаружение и смягчение атак Virtual Partitioning Geo-Location ACL Protocol Anomaly Prevention Packet Flood Mitigation Stateful Inspection Out of State Filtering Granular Layer 3 and 4 Filtering Application Layer Filtering Algorithmic Filtering Heuristic Filtering Bogon Filtering AttackTrafficТрафикатаки Легитимныйтрафик
  • 16. 16 Многоуровневая защита от DDoS  Выделенное устройство не может защитить «канал» сам по себе  Используется совместно с DDoS защитой поставщика услуг Интернет, ЦОД защищены от волюметрических атак 3/4 уровня и более мелких атак на 7 уровень Layer 3/4 Layer 7 Good Traffic Поставщик услуг Интернет FortiDDoS ЦОД Волюметрическая защита Провайдер предлагает защиту от волюметрических атак на 3/4 уровне и может экранировать их чтобы минимизировать перегрузку канала к центру обработки данных Защита приложений FortiDDoS обнаруживает и смягчает более мелкие атаки на 7 уровне, которые пропустил провайдер к центру обработки данных и может обнаруживать небольшие атаки 3/4 уровня, которые не смог обнаружить провайдер DDoS Attacks
  • 17. 17 MID-RANGE FortiDDoS B-Серия FortiDDoS-400B • 8x GE LAN/8x GE WAN • 4.0 Gbps full duplex • 1 M Connections • 100 K/sec setup/teardown • 1x FortiASIC-TP2 FortiDDoS-800B • 8x GE LAN/8x GE WAN • 8.0 Gbps full duplex • 2 M Connections • 200 K/sec setup/teardown • 2x FortiASIC-TP2 FortiDDoS-1000B • 8x 10GE LAN/8x 10GE WAN • 12.0 Gbps full duplex • 3 M Connections • 300 K/sec setup/teardown • 3x FortiASIC-TP2 FortiDDoS-2000B • 8x 10GE LAN/8x 10GE WAN • 4x 10GE LAN/WAN bypass • 24.0 Gbps full duplex • 6 M Connections • 600 K/sec setup/teardown • 6x FortiASIC-TP2 Целевые сегменты/вертикали • Финансовый сектор • Государственный сектор • Датацентры • Провайдеры веб-хостинга FortiDDoS-200B • 4x GE LAN/4x GE WAN • 2.0 Gbps full duplex • 1 M Connections • 100 K/sec setup/teardown • 1x FortiASIC-TP2
  • 18. 18 Преимущества FortiDDoS  Производительность » До 10 раз лучше в определении и защите от атак в сравнении с Radware и Arbor » Неизменная производительность за счет ASIC (отсутствует падение производительности как в устройствах на базе стандартных процессоров)  Низкая стоимость владения для частной защиты от DDoS » До 50% меньше стоимость владения в сравнении с Radware и Arbor (аппаратные решения). » Модель с фиксированными затратами дешевле и предсказуема по сравнению облачными решениями защиты от DDoS корпоративного уровня  Низкий уровень ложных срабатываний » Решение на базе поведенческого анализа не блокирует легитимный трафик из-за ошибочного определения атаки » Постоянное изучения трафика позволяет максимально быстро исправить ошибку ложного срабатывания  Всегда в актуальном состоянии » Отсутствие сигнатур означает, что устройству не нужно ждать пока угроза будет определена и для нее напишут сигнатуру » Устраняет атаки «нулевого дня»  Устройство защищено от DDoS на него » Пропускная способность на скорости линии минимизирует риск перегрузки устройства, большая часть трафика проходит » Возможность DDoS атаки на FortiDDoS исключена, поскольку трафик проходит только через ASIC
  • 19. 19 Преимущества FortiDDoS Производительность Низкая стоимость владения для частной защиты от DDoS Низкий уровень ложных срабатываний Всегда в актуальном состоянии Устройство защищено от DDoS на него
  • 21. 21 Что такое WAF?  Защищает web приложения от атак, например: » SQL Injection » Cross Site Scripting » Layer 7 DoS/DDoS attacks » Cookie/schema poisoning  Защита от атак на уязвимости в приложениях  Понимает/изучает «нормальное» поведение и защищает от аномалий » URL parameters, HTTP methods, session IDs, cookies, schema, etc.  Умеет быстро подстраиваться под новые угрозы Может ли Firewall или IPS делать это?  Firewall защищает от network-based атак  IPS обнаруживает только уже известные проблемы FortiWeb WAF Web Application Servers SQL Injection, XSS… INTERNET
  • 22. 22 WAF – задачи/трудности  Защита приложений от уязвимостей в коде  Соответствие PCI Compliance (5.5 and 6.6)  Защита от OWASP Top 10 Application Vulnerabilities  Публикация приложений  Защита сайта от изменений Где востребован?  Любая компания работающая с пластиковыми картами и /или должна соответствовать требованиям PCI  Компании работающие с конфиденциальной информацией  Mission-critical бизнес приложения Где наиболее востребован?  Хостинговые компании  E-commerce/online сервисы  Retail, Food Service, Hospitality  Финансовый сектор
  • 23. 23 FortiWeb – Web Application Firewalls  4 модели – от 100 Mbps до 4 Gbps HTTP  До 6x GE и модели с 2x 10GE SFP+ портами  Встроенный сканер уязвимостей и антивирус  Аппаратные и VM исполнения (VMware, Hyper-V и AWS)  Автоматическое behavior-based сканирование  Возможность автообучения и настройки  L7 DDoS защита  FortiGuard antivirus/IP reputation  Transparent, reverse и non-inline варианты внедрения  Central Management/ADOM  Продвинутая отчетность реального времени  SSL offloading/compression  SSO/Authentication  Layer 7 load balancing  Рекомендовано NSS Complete WAF Solution for PCI DSS Compliance
  • 24. 24 FortiWeb Virtual Appliances Enterprise grade virtual WAF  Внедрение WAFs без дополнительного железа  Быстрое развертывание в виртуальной среде  Эффективное использование ресурсов без потери функционала WAF  VMware ESX / ESXi / 4.0 / 4.1 / 5.0 / 5.1 / 5.5, Microsoft Hyper-V, Citrix XenServer 6.2, Open Source Xen 4.2, AWS (BYOL/On-Demand) Technical Specifications FortiWeb VM01 FortiWeb VM02 FortiWeb VM04 FortiWeb VM08 vCPU Support (Max) 1 2 4 8 Memory Support (Max) Unlimited Unlimited Unlimited Unlimited Network Interface Support (Max) 4 4 4 4 Storage Support (Min / Max) 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB 40 GB / 1TB
  • 25. 25 FortiWeb – защита на всех уровнях ATTACKS/THREATS APPLICATION IP REPUTATION DDOS PROTECTION PROTOCOL VALIDATION ATTACK SIGNATURES ANTIVIRUS/DLP BEHAVIORAL VALIDATION CORRELATION BOTNETS, MALICIOUS HOSTS, ANONYMOUS PROXIES, DDOS SOURCES APPLICATION LEVEL DDOS ATTACKS IMPROPER HTTP RFC KNOWN APPLICATION ATTACK TYPES VIRUSES, MALWARE, LOSS OF DATA UNKNOWN APPLICATION ATTACKS
  • 26. 26     Автоматическая настройка и защита  Основной функционал » Авто-обучение » Профилирование трафика » Моделирование приложений на базе профиля трафика » Понимание реального поведения  Преимущества » Нет изменений в приложении » Действия при аномалиях трафика » Защита от неизвестных уязвимостей и zero-day атак
  • 27. 27  Функционал » Сканирование всех элементов приложения » Гранулярная настройка » Расписание » Отчет с рекомендациями » Обновления с FortiGuard  Преимущества » Автоматизация отчетности об уязвимостях » Дополняет WAF для соответствия требованиям PCI DSS Сканирование уязвимостей
  • 28. 28 Преимущества FortiWeb  Защищает приложения с автоматическим профилированием и сканером аномалий  Соответствует PCI Compliance (5.5 и 6.6) с обнаружением и защитой приложений базирующихся на поведенческом анализе  Защищает от OWASP Top 10 Application Vulnerabilities  Определяет уязвимые места приложений используя сканер уязвимостей  Публикация приложений с поддержкой Single Sign On/Authentication  Восстановление поврежденных страниц с Anti-Defacement Protection  Блокирует трафик от скомпрометированных источников с подпиской FortiGuard IP Reputation
  • 30. 31 Что такое ADC?  Развертывание приложения на несколько серверов  На один или несколько ЦОД  Обеспечивает доступность и надежность (аварийное восстановление)  Увеличивает эффективность серверов с «умными» мониторингом/проверкой доступности  Увеличивает производительность приложений и уменьшает задержку  Продвинутое управление трафиком » L7 content-based routing » SSL offloading » Content caching » HTTP compression Application Servers INTERNET
  • 31. 32 ADC – задачи/трудности  Доступность/масштабируемость приложений » Поддержка роста количества пользователей » Поддержка возрастания SSL трафика » Минимальная задержка  Непрерывность сервиса и аварийное восстановление  Уменьшение стоимости доставки приложения » Улучшение использования серверных ресурсов » Уменьшение администрирования приложений » Минимизация потери прибыли во время простоев/аварий Где востребован?  Предприятия с сетевыми приложениями  Приложения где нужны несколько серверов или ЦОД Где наиболее востребован?  Электронная коммерция  Онлайн сервисы  Финансовые сервисы  Образование  Хостинговые компании
  • 32. 33 FortiADC – Application Delivery Controller  Аппаратные и виртуальные варианты  Пропускная способность от 1.0 до 50 Гбит/с  Модели с до 8х 10GE SFP+ портами  Полный функционал без дополнительных лицензий Наилучшее соотношение производительность/цена для любых задач  L4 и L7 load balancing  Продвинутые L7 content rewriting и routing  GSLB  Полная поддержка IPv6 и 6in4 Tunneling  Несколько вариантов High Availability failover  SSL offloading  Gzip HTTP compression  Quality of Service  Link Load Balancing  CLI и простой GUI  Caching  Firewall и защита от DoS
  • 33. 34 FortiADC Virtual Appliances Виртуальный ADC корпоративного класса  Внедрение ADС без дополнительных устройств  Быстрое развертывание в виртуальной среде  Поддержка Technical Specification s FortiADC VM01 FortiADC VM02 FortiADC VM04 FortiADC VM08 vCPU Support (Max) 1 2 4 8 Memory Support (Max) 2GB 4GB 8GB 16GB Network Interface Support 10 10 10 10 Storage Support (Min / Max) 50MB / 1TB 50MB / 1TB 50MB / 1TB 50MB / 1TB
  • 34. 35 Server Load Balancing  Проблема » Добавление серверов для увеличения производительности » Обеспечение доступности  Решение » Health checking » Маршрутизация только к доступным » Маршрутизация к более производительным  Результат » 25% увеличение производительности » Уменьшение потребности в серверах 10.1.0.2 10.1.0.3 10.1.0.1 INTERNET
  • 35. 36 Secure Application Traffic Offloading  Проблема » SSL уменьшает производительность серверов » Мощность ограничена 100 TPS  Решение » SSL offloading на ADC » Увеличение до десятков тыс .TPS » HTTP к серверам » HTTPS к клиентам  Результат » 100 кратное увеличение производительности » Уменьшение количества серверов 10.1.0.2 10.1.0.3 10.1.0.1 INTERNET
  • 36. 37 Аварийное восстановление  Проблема » Покрытие нескольких ЦОД » Отказоустойчивость  Решение » GSLB smart routing » DNS-based » Автоматическое срабатывание  Результат » Доступность во время аварий » Незаметно для пользователя » Автоматическое восстановление INTERNET Datacenter 2 Datacenter 1
  • 37. 38 FortiADC - преимущества  Масштабирование приложений с Server Load Balancing  Улучшение производительности с SSL Offloading/Acceleration  Аварийное восстановление/покрытие нескольких ЦОД с Global Server Load Balancing  Приоритизация трафика с Quality of Service (QoS)  Отказоустойчивость и оптимизация WAN с Link Load Balancing
  • 39. 41 Анатомия FortiGate Features & Capabilities  Available by default, no requirement for hidden charges and software upgrades Firewall VPN IPS App. Ctrl AntiVirus Web Filter AntiSpam DLP NAC Vuln Mgmt Traffic Shaping WAN opt. HA: A-A, A-P, Virtual cluster, weighted IPv6 FW + UTM Routing Protocols Wireless Controller Server LB
  • 41. 43 Сравнение функционала Feature FortiGate FortiDDOS FortiWeb FortiADC Hardware DOS/DDOS protection + + HW syn-proxy, DOS sensor +++ 100% ASIC based Software DOS/DDOS protection + IPS + syn proxy (syn cookie), L7 rate limiting, learning + syn proxy (syn cookie), SSL Acceleration Hardware + CP8 platforms + + L4 load-balacing + + +++ L7 load-balancing + +++ Web Application Firewall +++ IP reputation filtering + + + + Virtualisation up to 500 VDOM 8 SPP up to 64 ADOM up to 25 VDOM
  • 43. 45
  • 44. 46
  • 45. Паливода Александр opali@muk.ua Системный инженер МУК Спасибо за внимание! Fortinet@muk.ua

Editor's Notes

  1. What is a web application firewall? At its most basic, a WAF is a hardware or virtual device that is deployed in a data center that is used to protect web-based applications from attacks that exploit code-based or layer 7 vulnerabilities. At the core of every WAF is a behavior-based engine that learns, monitors and reacts. Once deployed, the WAF automatically learns application traffic patterns, field entries, URLs and other core application elements to build “normal” behavior profiles. It then monitors application traffic and usage against these profiles. It then reacts when an activity steps outside the profile boundaries, usually this means blocking traffic from the offending user. As WAFs are behavior-based, they’re not locked in to pre-defined signatures and they’re adaptive to zero-day threats. WAFs can use signatures, and most do to automatically stop attacks on known exploits to cut down on processing overhead. Many also use IP reputation services to block IP addresses that are known to be threats. A WAF can do many other things too, such as scanning an application for vulnerabilities, load balance applications, publish applications, and provide secure traffic offloading. However, it’s main job is to protect applications from malicious behaviors at the code-level for either custom or off-the-shelf applications. Many of you may be wondering if a firewall with intrusion prevention can do this just as well. An IPS is a great service to protect against known attacks, however it relies on signatures and can’t detect encrypted attacks. If complete protection against zero-day and SSL-encrypted attacks is needed, a WAF is the only solution available today.
  2. Even with solid application design and regular maintenance, a web-based application is still inherently a weak point for data breaches. Older applications present even more of a challenge as they require more and more work to plug security holes in the code or may not have security patches available for its software platform. The very likely threat of a data breach should be reason enough to install a WAF, however most organizations that are actively pursuing WAF solutions are those that must meet the Payment Card Industry Data Security Standards, also known as PCI DSS. Any organization that stores and transmits credit card information must be PCI compliant in order to use any of the major credit card networks such as VISA, MasterCard and American Express. In order to be completely PCI compliant, an organization must protect their applications from the OWASP Top 10 as part of the PCI DSS 6.0 requirements. I won’t get too much into OWASP, but it’s a non-profit organization that is dedicated to web application security that Fortinet is a member of. Their top 10 list for 2013 is the latest and includes things like cross-site scripting, the ability for an attacker to embed malicious code returned to a user, and SQL Injection, the ability to hijack form fields to execute SQL commands directly to databases. PCI DSS 5.5 is a simple provision that states that systems must be protected by antivirus software. WAFs also can do other things as we mentioned earlier. Outside of application protection, they’re an easy way to publish web-based applications and are the best line of defense to protect against website defacement. So, who needs a WAF? Generally any organization that manages credit card payments due to PCI compliance and organizations that need to ensure their applications are secure to protect sensitive data and proprietary information. In red, the verticals or segments that need it most generally are MSPs and hosting companies, any company that deals in e-commerce or operates online services, retail, food service, hospitality, financial services and healthcare.
  3. Fortinet offers a complete line of web application firewalls under the FortiWeb brand. First introduced in 2009, FortiWeb has matured into a recognized value and performance leader in WAFs as recognized in the 2014 NSS WAF Security Value Map achieving a “recommended” rating. FortiWeb offers 4 models with throughputs ranging from 100 Mbps up to 4 Gbps. Depending on the model, it also includes the latest in high-speed connectivity with up to 2 10-gigabit SFP+ ports. Unlike other competitors, FortiWeb is the only WAF that includes a built-in vulnerability scanner and antivirus for complete PCI DSS 5.5 and 6.6 compliance out of the box. Like all WAFs in the market, FortiWeb provides automatic behavior-based scanning with auto-setup and learning modes. In addition, FortiWeb also offers additional features like layer 7 DDoS protection, IP Reputation, central management with administrative domains, SSL offloading, Single-sign-on and authentication for application publishing, and layer 7 load balancing. FortiWeb is also very flexible when it comes to deployment options with transparent, reverse and non-inline deployment modes. FortiWeb is available as a hardware or virtual appliance and supports Amazon Web Services, with the option to bring-your-own license or it can be purchased “on-demand” through the AWS marketplace. Please note that we strive to maintain the accuracy and timeliness of these training deck pages. However, please be sure to check Fortinet.com for the latest models and features.
  4. As I mentioned earlier, FortiWeb is available as a virtual appliance. We offer 4 VM versions with support for up to 8 CPUs. The FortiWeb VMs provide the same features and functionality of the hardware-based models, however they provide the flexibility and scale to deploy them as needed without extra hardware and device management. FortiWeb VMs provide enterprise-grade WAF capabilities that dynamically expand to meet an organization’s needs for maximum resource efficiency. We offer full support of many platforms including VMware, Microsoft Hyper-V, Citrix XenServer, Open Source Xen and full support for Amazon Web Services with options for bring your own licenses, or it can be purchased on-demand through the AWS marketplace.
  5. The next few slides focus on the key features of FortiWeb. First up is its core WAF protection and automatic setup. Every WAF offers automatic protection to detect and mitigate web-based application attacks. FortiWeb is no different. Once deployed in a datacenter, FortiWeb begins to monitor all traffic and usage patterns for applications it’s assigned to. In most cases, even without any changes to the default configuration, within minutes it has enough information to begin protecting applications from threats. It learns what fields an application has, what data is “normal”, what isn’t. It learns URLs and other data sources that normal users encounter and remembers it. If an attacker starts to redirect users to strange URLs, the traffic is blocked. If a user tries to execute a SQL command through a form field. It’s blocked. All this is done transparently to the user and doesn’t require any changes or modifications to the application code itself. Although FortiWeb uses “pre-checks” like attack signatures and IP Reputation, this behavioral scanning takes it a step further to detect and block attacks where there’s no signature or from a new IP source that hasn’t yet been identified. Only a WAF can do this for applications as it learns, understands and knows what should be going on and what shouldn’t. If it’s not “normal”, it gets identified, flagged and in most cases, “blocked”.
  6. A WAF’s core job is to protect your applications by patching security holes from attackers. Vulnerability scanning finds the holes so they can be patched in advance. FortiWeb’s built-in vulnerability scanning can be run regularly or as needed to look at all application elements to ensure they aren’t susceptible to attacks like cross site scripting, SQL Injection or source disclosures. Once complete, it provides a detailed report of all issues so they can be addressed. Even though FortiWeb continues to protect against these problems, it’s better to fix the known issues so FortiWeb can get on with protecting against new threats that crop up. For customers that need to meet PCI compliance, a vulnerability scanner is required for standard 6.6. Only FortiWeb offers vulnerability scanning on the same platform. Other manufacturers require separate software or appliances for vulnerability scanning.
  7. FortiWeb provides enterprise-class web application protection and additional features that make applications secure and easy to manage. At its core, FortiWeb is a WAF with full behavior-based usage profiling and anomaly scanning to protect custom and off-the-shelf applications from known and unknown, zero-day weaknesses. If PCI Compliance is the goal, FortiWeb delivers complete coverage of both PCI DSS 5.5 and 6.6 by covering the OWASP top 10 application vulnerabilities, vulnerability scanning and offers antivirus protection with FortiGuard. A WAF protects applications when they are running. A vulnerability scanner looks for problems in advance so they can be addressed. FortiWeb includes a vulnerability scanner that can be run regularly or as needed to uncover application security threats. FortiWeb’s single-sign on and authentication provide an easy way to publish web applications. It supports any application, including Microsoft applications such as Outlook Web Access. Web-defacement is a problem faced by any organization with an online presence. Should an attacker modify a website, FortiWeb will detect the problem and automatically restore it to the correct version. FortiWeb relies on Fortinet’s industry-leading FortiGuard Labs for things like antivirus, antimalware, attack signatures and IP reputation. All of these assist FortiWeb in detecting known attack types and sources like botnets or attacker IP addresses.
  8. On the last slide I showed you the results of the NSS Lab’s comparison. For most customers, third party testing is the best way to compare WAFs or any product for that matter. In addition to the performance validations from NSS, FortiWeb stands out from the competition for other reasons too. There are many companies that provide WAF appliances. Fortinet provides an enterprise focused product line that competes against the larger players like Imperva, F5 and Citrix. Barracuda is mentioned often, however most organizations realize that although it performs well, Barracuda is not known for enterprise support and experience. I won’t go through the chart in detail, however I’ll call out that FortiWeb offers competitive throughputs, very high security effectiveness and a very low TCO at $2.77 per protected megabit per second of throughput. When it comes to vulnerability scanning and antivirus, FortiWeb is the only appliance that includes them where others offer them as separate products or services.
  9. What is a application delivery controller? At its most basic, an ADC is a hardware or virtual appliance that is deployed in a data center that is used to expand applications across multiple servers. These servers can be in the same data center, or in multiple ones anywhere on the globe. ADCs offer tools to check on server and application availability and will automatically route users to the best performing resources, or in the case of outages and disasters, to servers that are online and available. By actively monitoring servers and traffic, the application infrastructure is optimized for increased use of server and network resources, in many cases improving performance up to 25% which can save money by squeezing more out of existing infrastructure elements. These core features are called server load balancing and once implemented in a data center, applications perform better, are more reliable and users see dramatic increases in responsiveness. Sometimes an ADC is referred to simply as a server load balancer, or just load balancer. Earlier models were called load balancers, however in the last 10 years many application performance enhancements have been included and the name has evolved to an application delivery controller. These new features include advanced layer 7 application traffic routing, SSL offloading to improve secure traffic performance, content caching and compression of HTTP application traffic.
  10. There are 3 primary reasons why an organization needs an ADC. Availability, continuity, and every business needs to reduce costs. Starting with availability, applications need to scale and be responsive to user demand to provide 100% uptime. If an application isn’t there when a user wants to buy a product online, that’s lost revenue to the organization or can drive up costs by forcing a user to call instead of using a low cost fulfillment channel. Continuity is critical for applications. IT professionals demand redundancy and security. Applications need to survive outages and be protected against the latest security threats. Finally, cost reduction. Every organization needs to do more with less and that means getting the most from of their infrastructure investments and reducing IT management costs. So, who needs an ADC? These challenges cut across almost every organization, big or small, if they host their own applications and where web-based applications are core to the business model. In red, the verticals or segments that need it most are e-commerce, online services, financial services, education, healthcare, MSPs and hosting companies.
  11. Fortinet offers a complete line of hardware and virtual application delivery controllers under the FortiADC brand with L4 throughputs ranging from 1 Gbps to 50 Gbps. Depending on the model, it also includes the latest in high-speed connectivity with up to 8 10-gigabit SFP+ ports. Unlike other competitors, FortiADC offers the features that customers need like global server load balancing, link load balancing and quality of service without the need to buy additional options. Like all ADCs in the market, FortiADC provides layer 4 and 7 server load balancing and advanced content-based routing. All models offer SSL offloading with hardware ASICs included on midrange to higher end models. FortiADC offers class leading performance for almost any application environment from small-to-medium businesses to large-scale data centers. Please note that we strive to maintain accuracy and timeliness of these training deck pages. However, please be sure to check Fortinet.com for the latest models and features.
  12. As I mentioned earlier, FortiADC is available as a virtual appliance. We offer 4 VM versions with support for up to 8 CPUs. The FortiADC VMs provide the same features and functionality of the hardware-based models, however they provide the flexibility and scale to deploy them as needed without extra hardware and device management. FortiADC VMs provide enterprise-grade ADC capabilities that dynamically expand to meet an organization’s needs with maximum resource efficiency. FortiADCs currently support the VMware ESXi and ESX hypervisors. For more information on FortiADC VM requirements, please see the FortiADC D series datasheet.
  13. Next lets look at a few of the key technologies offered by FortiADC, starting with server load balancing. The server load balancer is a device that is put in front of servers that manages traffic to and from users. Provided with a single IP address at the front, users access that one address and the server load balancer directs traffic to the servers on other IP addresses associated with that application. Servers are actively monitored for connections, utilization, and even if they’re on or off using health checking. If a server has too much traffic or is down, users are directed to other servers until that server returns to normal or is back in service. Depending on the capacity of the server load balancer, new servers can seamlessly be added to increase capacity to handle even millions of users. If an organization is relying on an older technology like DNS round robin where the DNS blindly routes traffic to the next sequential server, with server load balancing they can achieve up to a 25% increase in server performance.
  14. The processing of secure SSL traffic can quickly consume server resources and can slow them down 50% or even more. Servers also don’t have the capacity to manage more than a few hundred secure transactions per second. This creates a huge performance hit on the application and response times for end users. By offloading SSL encryption and decryption from the servers to the ADC, the servers get back to serving unencrypted applications and the ADC maintains security to the end users. An ADC can offer software or hardware-accelerated solutions that can handle 10s of thousands of transactions compared to only a few hundred on a single server.
  15. When an organization only has one datacenter, it’s susceptible to outages. IT managers need redundancy not just for servers or ADC hardware failures, they need to make sure their applications are unaffected by bigger service outages or disasters. Global Server Load Balancing, or GSLB, links two or more ADCs to provide routing of traffic between datacenters. Based on DNS routing, traffic will automatically be sent to a different datacenter should the primary one go down. It can also be used to improve application response times by routing users to the closest data center.
  16. FortiADC provides enterprise-class application delivery and additional features that make applications reliable, responsive and easy to manage. First and foremost, FortiADC is a server load balancer that allows applications to scale reliably across multiple servers in a data center. Persistence ensures user connections are routed back to the correct server for seamless and transparent continuity of applications. SSL offloading relieves servers from the CPU intensive tasks of decryption and encryption of secure application traffic. HTTP Compression can boost content-rich application performance by up to 5 times by reducing text-heavy things like CSS and HTML. Content-based routing sends traffic to specific servers based on business rules by traffic type. Global server load balancing provides disaster recovery by spanning applications across multiple data centers. Content rewriting minimizes user confusion and masks backend server configurations by simplifying URLs. Quality of Service can be used to prioritize traffic by type to minimize disruptions to applications that are sensitive to latency. Finally, Link load balancing provides ISP redundancy and increases application bandwidth.
  17. FortiADCs’ main advantage in the marketplace is price to performance. FortiADCs offer a complete lineup of application delivery solutions to meet the needs of almost every segment with price points that provide the lowest TCO per gigabit of L4 throughput. The ADC market is broken out into three primary segments, small, mid-size and enterprise. FortiADC covers all of these markets, however has many more solutions targeted at the upper-mid-size and enterprise markets. In the SMB market, you’ll run into smaller players like Kemp and Barracuda that offer solutions that top out in the mid-market with throughputs of 8 to 10 Gbps. The key players in the enterprise space are F5, the industry leader and Citrix. FortiADCs can’t quite compete with all the higher-throughput options of these competitors, however we do quite well and are the most cost effective solution when it comes to speeds of less than 50 Gbps. FortiADC stands out for a few key reasons. Starting with total cost of ownership, in general FortiADCs are about 30% of the TCO of F5 and Citrix. Fortinet includes everything a customer needs without having to buy option after option to get a solution. That includes GSLB, Link Load Balancing and SSL offloading. We also don’t want you to forget about FortiCare. Our support is just as good as F5 and Citrix, and is much better than smaller players like Barracuda and Kemp, especially when it comes to enterprise solutions.