Document 7187356

Download Report

Transcript Document 7187356

Fortinet Product
Overview
January 2005
Fortinet Company Overview

Fondée en 2000 par Ken Xie
Fondateur et CEO de NetScreen (NASDAQ: NSCN)



550 employees; Siège a Sunnyvale, Californie
Dirigée par une équipe de visionnaires expérimentés
Ken Xie, Michael Xie, Joe Wells, MIT team



550 employees; Siège a Sunnyvale, Californie
Bureau dans tous les USA, EMEA et Asia
Belgium, France, Germany, Italy, Sweden, UK

Tokyo, Seoul, Beijing, Shanghai, Hong Kong, Taipei, Singapore, KL, etc.


Premier créateur dans la monde de solution Antivirus sur base ASIC
Ceci afin d’adresser la demande de protection en temps-reel

Plus de 80,000 Fortigate vendus dans la monde


Revenue multiplier par 10 en 1 an (2002 - 2003)
Croissance la plus importante dans l’histoire du IT

Fortinet Confidential
CONFIDENTIAL
La Vision
•
Les produits de Fortinet couvrent toutes les briques de la sécurités du contenu,
ceci afin d’éviter ou de diminuer les problématiques d’attaques multiples. Ceci grâce
au Fortigate, la seule solution Multi gigabit pour les accès internet des opérateurs
télécoms et pour toutes les grandes entreprises, sans oublier de protéger les accès
de l’utilisateur nomades.
•
Le management des solutions de sécurités Fortinet est effectué par une autre
gamme d’Appliances nommées le Fortimanager. Fortimanager est une solution
complète pour facilement déployer, administré et contrôlé vos solutions Fortigate.
•
Fortinet, développe et vends des produits Reseaux industriel, avec un très haut
niveau de performance, ceci en intégrant les solutions Firewall, Vpn, antivirus, et
Intrusion Protection.
•
Ceci toujours dans une problématique, afin d’offrir une meilleur protection contre
les attaques multiples.
Fortinet Confidential
Pourquoi Fortinet ?
• Une grande experience dans la marché de sécurité
– 2,200+ clients grands comptes
– 80,000 produits vendus
– 4 certification ICSA (FW, AV, VPN, IPS)
– EAL 4 en instance (4+ aussi en instance)
– FIPS 140-2 en Septembre 2004
– Fournir un accroissement du service, en réduisant les coûts
d’infrastructure et de déploiement, les solutions type Hardware Fortinet,
se prête complètement à la fourniture de service additionnel, sans rajouter
continuellement des nouvelles plateformes pour manager et superviser
ces services.
– Fortinet à plus de 20 boitiers, qui permette de sélectionner le bon service
à fournir, aussi bien pour des clients type PME – PMI, pour les MSSP, les
opérateurs en bien évidemment les très grandes entreprises.
– Fortinet à été récompensé pour sa technologie, par une série de Awards
du monde de la presse IT.
Fortinet Confidential
IDC Reports Fortinet’s UTM Market
Leadership!
New!
Unified Threat Management (UTM) Security
Appliance Market = unification of firewall and
gateway anti-virus into a single platform
 Fortinet ranked #1
• UTM market revenue started at $85 million in 2003 -- over
the next 3 years, UTM appliance sales will exceed that of
standard firewall/VPNs
• Firewall/VPN segment – baseline $1.5 billion revenue in 2003
• 2003 revenue of 17% annualized growth rate for combined UTM
and stand-alone Firewall/VPN category, $3.45 billion by 2008
Fortinet Confidential
UTM Products Will Overtake Standalone
VPN/Firewalls by 2008
“The UTM market is being created because it is quickly catching on with
customers and vendors. UTM incorporates firewall, intrusion detection
and prevention, and AV in one high-performance appliance.” -- IDC, 2004
Worldwide Threat Management Security Appliances Forecast, 2004-2008 ($M)
2003
2004
2005
2006
2007
2008
2003
Share
(%)
CAGR
(%)
Firewall/VPN
$1,479.1
$1,667.7
$1,791.6
$1,804.4
$1,623.5
$1,462.3
93.4%
-0.2%
42.4%
UTM Security
Appliance
$104.9
$225.0
$517.5
$828.0
$1,324.8
$1,987.2
6.6%
80.1%
57.6%
$1,584.0
$1,892.7
$ 2,309.1
$2,632.4
$2,948.3
$3,449.5
Total TM
Security
Appliance
Fortinet Confidential
16.8%
2008
Share
(%)
IDC UTM Leadership Over Point Solutions
“Fortinet, with the only ASIC based AV accelerated UTM appliances, led
this UTM market in 2003, with $30.9 million in revenue and a 29.5% share
of the worldwide market.” -- IDC, 2004
WW Unified Threat Management Appliance Revenue by Vendor, 2003 ($M)
Vendor
Fortinet (#1)
Revenue
Units
Revenue Share
Average Vendor Revenue
30.9
21496
29.5%
$ 1,437.48
Symantec
24.0
13790
22.9%
$ 1,740.39
Secure Computing
22.8
5050
21.7%
$ 4514.81
ServGate
12.0
11743
11.4%
$ 1,021.89
Netscreen (acquired by
Juniper)
5.2
6601
5.9%
$
eSoft
4.0
3162
3.8%
$ 1,265.00
Pyramid Computer
1.3
509
1.2%
$ 2,554.03
Others
4.7
3680
4.5%
$ 1,227.12
104.9
66031
100.0%
$ 1,588.84
Total
Fortinet
Confidential
Source:
IDC,
2004
787.76
FortiGate Product Family
FortiGate Product Family
SOHO
Branch Office
Medium Enterprise
Service Provider/Telco
Large Enterprise
FortiGate-5000
Same Feature Set Throughout
FortiGate-3600
FortiGate-3000
THROUGHPUT
Redundant PS, VDom
FortiGate-1000
Gigabit Eth
FortiGate 800
FortiGate 500A
Gigabit perf
High port density
FortiGate-400A
FortiGate-300A
FortiGate-200A
Integrated Logging
FortiGate-100A
FortiGate-60 / FortiWifi
FortiGate-50A
Fortinet Confidential
High Availability, VLAN support
Fortinet Product Family
FortiGate Product Family
SOHO
Branch Office
Medium Enterprise
Large Enterprise
New!
FortiMail-2000
FortiMail-400
Capacity
FortiReporter
FortiLog-800
FortiLog-400
FortiLog-100
FortiManager-3000
FortiManager-400A
FortiClient
Fortinet Confidential
Service Provider/Telco
Fortinet Delivers UTM Solutions for the
Managed Security Service Provider
Fortinet Confidential
Fortinet Delivers UTM Solutions for the
Enterprise
Fortinet Confidential
Fortinet Delivers UTM Solutions for the
Small & Medium Business
Fortinet Confidential
Fonctionnalités
Fonctionnalités FortiGate
•
•
Pare-feu
VPNs
•
Services de protection des flux réseau:
– Services disponibles:
•
•
•
•
Antivirus
Filtrage Web
Antispam
IPS
– Activation des services:
• Création d’un profil
• Mis en service par
règle pare-feu
Fortinet Confidential
Défnition de profils distincts en
fonction des services activés
Activation des services par règle pare-feu
Activation de différents profils
de protection en fonction des
règles pare-feu
Fortinet Confidential
Protection différenciée en fonction des
groupes utilisateurs
Sélection des
communautés
utilisateurs
Fortinet Confidential
Protection différenciée en fonction des
groupes utilisateurs
Association de groupes
utilisateurs à des profils de
protection spécifique
Fortinet Confidential
Caractéristiques Antivirus
•
•
Seule plate-forme ASIC antivirus certifiée ICSA
Méthode de recherche antivirus
– Signatures
– Analyse Macro
– Heuristique (fichiers exécutable PE)
•
Efficacité de recherche
– Recherche contextuelle – Consultation des sections appropriées de la
base de connaissance, relativement à la nature des données analysées
•
Haute performance
– Seule solution d’antivirus de flux accéléré par ASIC pour un traitement
temps réel
– Analyse des protocoles temps réel comme HTTP sans délai notable
– Performances inégalées à ce jour: 5x à 10x fois supérieures aux solutions
logicielles traditionnelles
Fortinet Confidential
La problématique des antivirus HTTP
• Plus de 25%+ des
contaminations sont réalisées
par le Web
– Téléchargement Web
– Courriel web
– Etc.
• Les solutions logicielles sont
trop lentes pour l’analyse du
trafic Web
• Seule une solution ASIC peut
apporter la puissance de
traitement requise
Fortinet Confidential
Caractéristiques Antivirus
•
Trois services:
–
–
–
•
Protocoles supportés
–
–
–
–
•
Courriel: SMTP, POP3, IMAP
Trafic Web: HTTP (contenu, téléchargement, courriel web)
Trafic FTP
Support de ports non standard (SMTP, POP3, IMAP, HTTP)
Couverture complète de tous les virus actifs (standard WildList)
–
•
Détection des virus
Filtrage des noms et des tailles de fichiers
Mise en quarantaine des fichiers contaminés
Dont les virus polymorphiques
Service transparent pour les utilisateurs finaux
–
Aucune configuration des postes de travail (pas de configuration proxy !)
•
Signatures paramétrables sur les courriels sortants
•
Messages de remplacement paramétrables
Fortinet Confidential
Message de remplacement
Fortinet Confidential
Activation par règle pare-feu
•
Le filtrage
antivirus s’active
au choix sur règle
pare-feu
–
–
•
Optimisation des
ressources
–
Fortinet Confidential
Analyse sélective
sur les flux à
risque
Granularité de
configuration
Elément
différenciateur
par rapport aux
solutions
traditionnelles
De l’intérêt d’une analyse sélective par
règle pare-feu
Serveur Web
Internet
Analyse
antivirus
Proxy Cache
AV mode transparent
Pare-feu
Client
Intranet
Fortinet Confidential
Pas d’analyse
antivirus
Profil de protection – contrôle antivirus
Fortinet Confidential
Contrôle Grayware
Fortinet Confidential
Caractéristiques Antivirus
•
•
•
Journalisation des événements antivirus
Envoi à un administrateur d’une alerte par courriel quand un
virus est détecté
Mise à jour dynamique du moteur et de la base de connaissance
à partir du réseau de distribution FortiProtect (FDN)
– Mise à jour automatique (téléchargement automatique par SSL,
programmation horaire paramétrable)
– Mise à jour ponctuelle initiée par le FortiGate sur réception d’une alerte
FDN
• Réduit les fenêtres de vulnérabilité
• Message UDP envoyé par le FDN sur le port 9443
•
Analyse antivirus des fux VPNs
•
Support jusqu’à 12 niveaux de compressions (ex: compression
LZH)
Fortinet Confidential
Mise à jour antivirus
Fortinet Confidential
Caractéristiques du filtrage Web
• Activation du service en fonction des règles pare-feu
– Possibilité d’appliquer des contrôles différenciés par groupe
utilisateurs
• Filtrage des scripts (Java, ActiveX, Cookies)
• Fitlrage statique
– Listes noires / blanches
– Contenu mots & phrases interdits
– Filtrage d’URLs
– Import possible de la configuration par fichier texte
• Filtrage dynamique
– FortiGuard (service Fortinet )
– Filtrage basé sur des catégories – 56 categories
Fortinet Confidential
Activation des contrôles Web
•
Activation
sur règle
pare-feu
– Analyse
web
sélective
•
•
Fortinet Confidential
Optimisation
des
ressources
Filtrage
différencié
en fonctions
des groupes
utilisateurs
Filtrage Web dynamique – FortiGuard
Configuration du
filtrage Web statique
Configuration du
filtrage Web
dynamique
Activation des
catégories – 56
catégories
disponibles
Fortinet Confidential
Filtrage Web dynamique – FortiGuard
•
Consultation de rapports
sur les sites web filtrés en
fonction des profils
–
–
•
Statistiques sur les pages
–
–
•
Fortinet Confidential
Requière un disque dur local
Tableau et camemberts
Autorisées ou bloquées
Pour chaque catégorie de
filtrage
Soumission de nouvelles
pages web eou demande
de réévaluation d’une page
web
Dynamic web filtering – FortiGuard
Site Web cible
4a
Internet
3b
3a
2
4b
5
Serveur FortiGuard
1. User requests a URL.
2. If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).
3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Serveurs (3b).
4. When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.
5. If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable “blocked” message is sent to the
requestor.
Fortinet Confidential
Intranet
1
Client Web
Filtrage Web statique
•
•
•
Fortinet Confidential
Définition de listes
noires / blanches
statiques
Recherche de mots
clefs et filtrage de
d’URLs
Les configurations de
blocs d’URLs et de
mots clefs peut se fair
epar importation de
fichier texte
Caractéristiques IPS
•
•
Certifié ICSA
Haute performance
– Accélaration hardware (ASIC)
– Permet une détection en temps réel
•
•
Base de connaissance sur 1 400 attaques
Mise à jour automatique du moteur IPS et de la base de
connaissance
– Through the FortiProtect Distribution Network
•
Paramétrage d’une alerte courriel sur détection d’attaque
– Les alertes sont filtrées pour éviter la génération de trop nombreuses
alertes redondantes pour une même attaque
•
•
Configuration simplissime
Coût sans comune mesure comparée aux solutions
traditionnelles
Fortinet Confidential
Caractéristiques IPS
•
•
Possibilité de définir ses propres signatures
Import possible de signatures SNORT
Fortinet Confidential
Intégration du moteur IPS
•
Le moteur IPS:
– Intervient de l’analyse des paquets par le module de routage, le module parefeur et le module de réassemblage applicatif
– Coordonne son activité avec le FortiASIC pour rapidement intercepter le trafic
et vérifier les attaques contre la base de signature
Fortinet Confidential
Caractéristiques IPS
•
Toute attaque détectée peut être instantanément bloquée
–
Filtrage automatique des attaques sans intervention humaine:
•
–
Exemple: Sasser
Détection et prévention temps réel grâce à une connexion spécifique vers du moteur
IPS vers le module firewall
Fortinet Confidential
Caractéristiques IPS
•
Différentes stratégies sont disponibles pour bloquer les attaques
– Seuils de détection de comportements anormaux paramétrables
– Arrêt des attaques avec au choix :
• Suppression des paquets, réinitialisation des sessionss, etc.
Attaques détectées par anomalie de comportement
Attaques identifiées par signature
Fortinet Confidential
Profil de protection – Contrôle IPS
•
Activation des
détections et
préventions
d’attaque au niveau
des profils de
protection
Fortinet Confidential
Activation IPS sur règle pare-feu
•
L’analyse IPS
s’active au choix sur
règle pare-feu
–
–
•
L’utilisation des
ressources est
optimisée
–
Par exemple, activation du service de prévention
d’intrusion sur le trafic entrant et sortant d’un tunnel VPN
Fortinet Confidential
Analyse des seuls
flux à risque
Granularité de
configuration
Eléments
différentiateur par
rapport aux
solutions
traditionnelles qui
se limitent aux
VLANs et interfaces
Antispam – Multiples défenses
Contrôle de la source
• Par adresses IP
– Listes statiques
– Listes dynamiques
(RBL)
– Helo DNS lookup
Contrôle du contenu
• Characteristiques
Spam
• Mots / phrases clefs
• Par adresses courriel
Fortinet Confidential
contrôle de la source
contrôle du contenu
Spammer
Destinataire
Antispam – Scenarios
Internet
Local SMTP Serveur
Remote SMTP Serveur
Internet
Pop3 / IMAP
Pop3 / IMAP Serveur
•
Scenario 1 – SMTP (tag ou rejet)
–
–
•
Le FortiGate analyse le trafic courriel entre deux MTA
Les SPAMs peuvent alors ête supprimés ou tagué avant avant qu’ils ne soient reçus
sur le serveur de messagerie
Scenario 2 – IMAP/POP3 (tag)
–
–
Le FortiGate analyse des courriels qui ont déjà été traité par le MTA local
Si le courriel est considéré comme un SPAM, il peut être tagué
Fortinet Confidential
Activation des services antispam par profil
de protection
Fortinet Confidential
Filtrage source – Adresses mail
•
Vérification de l’adresse
mail source en fonction de
listes statiques définies
localement
–
–
•
Fortinet Confidential
Liste noire:
Action = Spam
Liste blanche
Action = Clear
Les listes peuvent être
importées par fichier texte
Filtrage source – Serveur SMTP
•
Helo DNS lookup
–
–
•
Sur réception d’une commange SMTP HELO
L’adresse IP correspondant au nom de domaine annoncé par la commande HELO
est vérifié contre l’adresse IP réelle du serveur qui se connecte
Filtrage des serveurs SMTP se connectant par listes d’adresses
statiques
–
–
Listes noires et listes blanches d’adresses IP
Les listes peuvent être importées par fichier texte
Fortinet Confidential
Filtrage source – Serveur SMTP
•
Filtrage dynamique des adresses IP des serveurs SMTP entrant
– Vérification en ligne des adresses par interrogation de serveurs “Real-time
DNS Blacklists” accessibles sur Internet
• Support des requêtes DNSBL
• Filtrage des sources de SPAMs indirectes (open relays, open proxies), sources
de SPAMs directes, dial-up users, etc.
Fortinet Confidential
Real-time DNS blacklists
Outgoing SMTP Serveur
2
1
Internet
3
Email Sender
4
Recipient
SMTP
Serveur
Email Recipient
Fortinet Confidential
DNS-based
database
(ORDB, RBL, etc.)
1. A sender delivers an email to an outgoing SMTP mailServeur
2. The outgoing SMTP Serveur establishes a connection to the recipients mailServeur,
and attempts to deliver the email.
3. The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur
is listed. The database Serveur responds to the FortiGate, and tells it whether your
outgoing mailServeur is listed as a potential source of spams.
4. If it is listed, the FortiGate:
- may choose to reject the SMTP connection and tells it that it is not allowed to
deliver the mail. The sender receives a "Mailer Daemon", telling that the email
could not be delivered.
- Or it may add a tag to the email, so that the recipient can easily filter SPAM
emails.
Filtrage du contenu – En-têtes MIME
• Vérification de toute portion des en-têtes MIME en
fonctions de valeurs pré-définies
• Les champs des en-têtes peuvent être listés et leurs
contenus vérifiés selon les valeurs paramétrées dans la
liste
– Vérification de malformations spécifiques aux SPAMs
Fortinet Confidential
Filtrage du contenu – Mots clefs
Par exemple:
viagra = /v.?[iíl;1'!\|].?[a@àâä²å0].?[gq].?r.?[a@àâäå0]/i
•
•
•
Recherche de phrases ou mots-clefs
Dans le corps et/ou l’en-tête
Liste blanche et liste noire
Fortinet Confidential
•
•
Expression régulière ou wildcard
Importation possible des listes par
fichier texte
Caractéristiques Pare-feu
•
•
Inspection statefu cerifiée ICSA
Haute performance
•
– Many-to-one (PAT)
– Jusque 4 Gbps (FG3600)
•
Mode routé ou transparent
(ponté)
– En mode transparent: connexion
derrière une première ligne de
routeur ou pare-feu
•
•
Les contrôle stateful
s’appliquent au trafic des
tunnels VPN
Les services AV, IPS, SPAM,
Web s’appliquent en option aux
règles pare-feu
Fortinet Confidential
Policy-based NAT
– Many-to-many NAT
– H.323/SIP NAT Traversal
•
Authentification des
utlisateurs
– Base de données locale
– Support Radius
– Support LDAP
– Support SecureID
•
Table de correspondance
IP/MAC
Configuration des règles
Fortinet Confidential
Configuration des règles
Fortinet Confidential
Visualisation des sessions actives
Filtres pour la visualisaton des sessions
Fortinet Confidential
Qualité de Service
•
Trafic shaping
– Bufferisation des données pour une régulation du trafic selon les limites
paramétrées
– Les paquets dépassant les limites fixées sont mise en mémoire pour un
traitement ultérieur
– Tente d’éviter les pertes de paquets en ajoutant éventuellement un délai
aux transmissions
– Utilisation de techniques de filtrage par panier de jeton pour garantir ou
limiter la bande passante
•
Files d’attente
– Bufferisation des paquets en file d’attente
– Filtes d’attente haute / moyenne /basse priorité
– En cas de congestion, les paquets de haute priorité sont traités en priorité
•
DiffServ
– Marquage des champs DSCP
Fortinet Confidential
Qualité de service par règle pare-feu
•
La qualité de
service
s’applique au
choix sur règle
pare-feu
– Granularité de
configuration
•
Fortinet Confidential
La bande
passante est
contrôlée
Support des VLANs 802.1Q
• A partir du FortiGate 60
• Interfaces logiques multiples par interface physique
– Support des VLANs sur tout port physique
– Support des trunks VLANs
• Support du recouvrement d’adresses IP par VLAN
• Les VLANs son traités comme des interfaces au niveau
des polices pare-feu
– Configuration antivirus par VLAN
– Configuration IPS par VLAN
– Configuration du filtrage Web et SPAM par VLAN
– Contrôle des polices pare-feu et de la qualité de service par VLAN
Fortinet Confidential
Support des VLANs 802.1Q
VLANs apparaissent comme des sous-interfaces
Fortinet Confidential
VLAN en mode transparent ou routé
Mode routé
Routage entre les sousinterfaces logiques (VLANs)
10
30
40
20
Trunk interface
Trunk interface
ModeTransparent
Les paquets sont pontés entre les VLANs.
Dans le cas d’une insertion sur un trunk, le
FortiGate revient à un pare-feu par VLAN
30
30
40
Trunk interface
Fortinet Confidential
40
Trunk interface
Routage
•
•
Support de RIP v1 and RIP v2
Support de OSPF
•
Routage statique – Routage en fonction de la destination
– Routes can be arranged in the routing table from specific to more general
– Des passerelles multiples pour chaque route statique (accessibles sur des
interfaces distinctes)
• Détection du status des passerelles par ping
• Bascule automatique sur les liens secondaires sur le route vers la passerelle
primaire n’est plus disponible
– Peut être utilisé pour une redondance de fournisseurs d’accès Internet
ISP1
Internet
Intranet
ISP2
Fortinet Confidential
Routage « policy-based »
•
Outre les adresses destination, le routage statique peut prendre
en compte:
– Les adresses sources
– Les protocoles et les ports applicatifs
•
Les routes “policy-based” sont examinées en premier
•
Peut être utilisé pour utiliser simultanément plusieurs accès
Internet (partage de charge statique)
Trafic temps
réel (HTTP)
ISP1
Internet
Intranet
ISP2
Fortinet Confidential
Autre
trafic
Routage « policy-based »
Fortinet Confidential
Caractéristiques VPN
•
•
IPSec VPN certifié ICSA
Protocoles supporté :
– IPsec, PPTP
•
•
VPN NAT traversal
Dead peer detection (DPD)
•
Authentification:
– L2TP/Passthrough of IPSec and
PPTP
•
– Support des certificats X.509
Chiffrement matériel (ASIC) :
– DES, 3DES, and AES
•
– Support de Xauth
Les flux entrant et sortant des
tunnels:
– Peuvent être contrôlés par les
règles pare-feu
– Peuvent bénéficier tous les services
de protection FortiGate:
• Antivirus, IPS, filtrage Web et SPAM
Fortinet Confidential
– Support de LDAP, RADIUS
•
•
Interopérabilité VPN avec la
acteurs majeurs
Support des architectures
“hub and spoke”
Redondance de tunnels VPN
• Jusque 3 passerelles redondantes peuvent être
configurées pour chaque tunnel VPN
• La disponibilité d’une passerelle VPN est détectée par
implémentation de DPD
• Peut être utilisé pour définir des tunnels redondants dans
une architecture d’accès Internet redondants:
ISP1
Internet
ISP2
Fortinet Confidential
IPSec – Phase 1 (site à site)
}
Fortinet Confidential
Adresse IP ou nom DDNS (dans le
cas où l’adresse IP de la
passerelle est dynamique)
IPSec – Phase 2 (site à site)
Jusque 3 passerelles redondantes
Fortinet Confidential
Règle pare-feu des VPNs (site to site)
L’adresse source des paquets
sortant d’un tunnel VPN est
translaté avec l’adresse de
l’interface vers lequel il est émis
Fortinet Confidential
IPSec – Phase 1 (Clients IPSec)
IKE en mode agressif
pour les clients qui
n’ont pas une adresse
IP fixe
Authentification
utilisateur
Fortinet Confidential
VPN setup – Phase 2 (Dial users)
DHCP sur IPSec pour une adresse IP
privée dynamique
Fortinet Confidential
FortiClientTM Secure Connect
•
Le logiciel FortiClient inclut:
– Un client VPN IPSec (phase 1)
– Une protection antivirus (phase 2)
• Mise à jour automatique du moteur et de la base de connaissance par par le
réseau de distribution FDN (FortiProtect Distribution Network )
– Un pare-feu client (phase 2)
• Trois zones
– zone de confiance, Internet, zone bloquée
• Contrôle des applications
– Blocage d’applications qui tentent d’accéder à des ressources réseau
• Vérification des applications
– Calcul de checksum
• Activation / désactivation du voisinage réseau
• Granularité des règles pare-feu (phase 3)
– par utilisateur, par localisation
• Programmation horaire (phase 3)
Fortinet Confidential
FortiClient Secure Connect
Fortinet Confidential
Configuration VPN du FortiClient
Attribution d’une adresse
IP dynamique par DHCP
Fortinet Confidential
Configuration antivirus du FortiClient
Fortinet Confidential
Journalisation FortiClient
Fortinet Confidential
Haute-disponibilité – Caractéristiques
• A partir du FortiGate-60
• Supporté en mode transparent et en mode routé
• Supporte les modes actif-passif et actif-actif
– Le mode actif-passif fournit un secours en cas de panne
d’interface ou de panne FortiGate de façon transparente aux
utilisateurs:
• Bascule en moins de 3 seconde
• Reprise des sessions en cours (synchronisation des sessions parefeu et IPSec)
• Journalisation de l’événement et alerte courriel et/ou SNMP
– Le mode actif-actif fournit en outre:
• Un partage de charge des sessions pare-feu
• Un partage de charge antivirus entre les boîtiers d’un même cluster
Fortinet Confidential
Haute-disponibilité – Architecture
Cluster FortiGate :
• Secours automatique et
transparent
• Répartition de charge
Internet
Fortinet Confidential
Lien HA
• Interface quelconque
• Non dédié
• Peut être redondant
Intranet
Haute-disponibilité – Caractéristiques
• Les « hearbeats HA »
– Servent à:
• Synchroniser les sessions pare-feu et IPSec
• Synchroniser les configurations du cluster
• Rapporter les statuts de fonctionnement (disponibilité des interfaces,
etc.)
– Sont échangés sur des liens dits « HA »
• Redondance de liens HA:
– Toute interface peut être configurée en tant que lien HA
– Une interface connectée au réseau pour transmettre du trafic
utilisateur peut aussi être configurée comme lien HA
– Le lien HA primaire peut être secouru par un nombre quelconque
de lien secondaire (ordonnancement des liens d’après un niveau
de priorité)
Fortinet Confidential
Haute-disponibilité – Configuration
Choix du mode actif-actif or
actif-passif mode
Le boîtier maître a la plus
haute priorité
Choix parmi 6
algorithmes de
répartition de charge
Choix des interfaces
surveillées
Choix des liens HA
Le lien sur lequel s’effectue les
échanges HA a la plus grande
prioroité. Les autres liens sont en
secours
Fortinet Confidential
Surveillance des états HA
Fortinet Confidential
Domaines virtuels (VDOMs)
•
•
Fournit de multiples pare-feux et routeurs logiques dans un seul boîtier FortiGate
Objets d’un VDOMs:
–
–
–
–
–
VLANs
Les objets (services, adresses) et règles pare-feu
Le routage
La configuration VPN
La configuration des authentifications utilisateurs (base locale, configuration RADIUS & LDAP)
Create new virtual domains
Fortinet Confidential
Vdom et VLANs
Pour chaque VLAN
créé, on choisit son
domaine virtuel
config system interface
edit "Customer1_VID1"
set ip 1.1.1.1 255.255.255.0
set log enable
set vdom "Customer1"
set interface "internal"
set vlanid 1
Fortinet Confidential
VDOM et interfaces
Visualisation des VLANs
par domaine virtuel
Fortinet Confidential
DHCP – Caractéristiques
• DHCP Relay
• Serveur DHCP
– Multiples plages d’adresses IP par interface
– Exclusion d’adresses
Fortinet Confidential
Support des réseaux sans fil
Configuration en client ou en point d’accès
Fortinet Confidential
WEP 64 or 128
Support de IPv6
• Support clef pour le marché japonais
• Plusieurs adresse IP par téléphone portable
• Fortinet IPv6 Phase 1 (FortiOS 2.8): Coexistence
– Adresses IPv6 et routage entre interfaces
• Fortinet IPv6 Phase 2: Tunneling
– Connexion d’ilots IPv6 entre réseaux IPv4
• Fortinet IPv6 Phase 3: protection avancée
– Par exemple: antivirus IPv6
Fortinet Confidential
Gestion des boîtiers FortiGate
• CLI – Command-line Interface
– Sécurisée par SSH
• Web GUI
– Sécurisée par SSL
Fortinet Confidential
Accès CLI sécurisé à travers l’interface
graphique
Fortinet Confidential
Interface graphique
Fortinet Confidential
Interface graphique – Localisation
• Interface
en 6
langues
Fortinet Confidential
Role-based management
Fortinet Confidential
Backup and restore
• Backup/restore
the entire config
• Backup/restore
part of the config
• Backup is done in
the form of a text
file
Fortinet Confidential
SNMP support
• SNMP v1 and v2c
• MIBs
• Traps
– CPU usage above 90%
– proprietary MIB
– Memory usage above 90%
– Standard RFC 1213 and
RFC 2665 MIBs
– Hard disk usage above 90%
• Traps
– HA cluster fails
– Tunnel up/down
– cold start
– Flooding attacks
– system down
– Port scan attacks
– interface up/down
– Virus detection
– Log full
– Etc.
Fortinet Confidential
FortiManager – Caractéristiques
• Centralized configuration and management
• Device Manager
– Models
– Create offline devices and configs, check differences
• Policy Manager
– Create Policies for multiple devices and groups
– Create Profil de protections for multiple devices
• Admin Manager
– Role Based Administration
– Supports multiple simultaneous administrators with different
authorization levels
Fortinet Confidential
FortiManager – Caractéristiques
• Centralized configuration and
management
• Configuration and view of FortiGate
devices
• FortiGate domains management
– Devices groups
• Management of user accounts
Fortinet Confidential
FortiManager – Caractéristiques
• Firmware update
• Centralized monitoring & logging
– Status, trafic, alerts, etc.
– Easy centralized data storage and analysis/reporting
– Sortable and filterable logs
– Log database backup
• Realtime Monitor
– System Health, Device Status, Session Monitor, trafic Flow,
Anti-Virus, Attack, Alert Notification
Fortinet Confidential
FortiManager – Architecture
Console 1
Console 2
Console N
FortiManager
Admin
Console(s)
FortiManager
Server
(Appliance)
RDB
Security
Domain A
FortiGate
Firewall under
mgmt
Fortinet Confidential
Security
Domain B
Integral RDB
included in the
FortiManager
Server appliance
FortiManager Modular design
Interface contrôle model
CORBA API
Console(s)
GUI (Java based)
•
•
Platform-independent Java based
admin console(s)
Supports multiple active windows for
simultaneous multi-site monitoring
CORBA API/North bound API
Config mgmt
Monitoring/Log mgmt
Security mgmt
CLI
SSH
SFTP
API
•
Network mgmt
•
•
Policy mgmt
Other Mgmt modules
SNMP
API
•
•
Persistent
Storage API
Deployed as security hardened, plug & play
appliance
Modular, flexible, scalable design
Integrated LDAP directory for
configurations & policy
Integrated RDB for central log/data store
CORBA interface for integration with
OSS/BSS
RDB LDAP
SFTP API
SNMP API
FortiOS Firmware
Fortinet Confidential
FG Units
CLI/SSH
•
Secure communication with all
FortiGate models
FortiManager™ System – Architecture
Benefits
• Multi-tier Client/Serveur architecture
– Serveur software
• Deployed on security-hardened appliance to eliminate installation
issues, improve system reliability & security
– Corba-based interfaces
• Eases integration into customer existing management systems
• Secure communication between Serveur and FG units
– Strong mutual authentication mitigates attacks
– Strong chiffrement of communication protects from information
interception
Fortinet Confidential
FortiManager – Device Manager
• Allows to manage individual FortiGate devices
from the FortiManager Serveur
• Configure online and offline devices
• Import and export devices
– Device configuration import using SSH
• Create device templates
• View device configurations
• Resynch, restore, and update devices
Fortinet Confidential
FortiManager – Device Manager
Fortinet Confidential
FortiManager – Device Manager
•
Any part of the FortiGate functionalities can be configured through
Device Manager
–
•
System, Pare-feu, Users, IPS, Web filtering, Spam filtering, VPN
If changes are made to the device using the web-based manager or the
CLI rather than the FortiManager System, differences can occur between
the device and the database
–
Resynchronizing with the device forces the Serveur to retrieve the data from the
device
Fortinet Confidential
FortiManager Policy Management
Fortinet Confidential
Antivirus highlights
•
Three services:
–
–
–
•
Supported protocols:
–
–
–
–
•
Email traffic: SMTP, POP3, IMAP
Web traffic: HTTP (content, downloads, and web mail)
FTP traffic
Support non standard ports (SMTP, POP3, IMAP, HTTP)
Full coverage of the industry standard WildList viruses
–
•
Virus detection
File and email blocking service (oversized files or pattern matching file names)
Quarantine service of infected files
Including polymorphic viruses
Transparent to end users
–
No special configuration on the client side (requires no proxy setup)
•
Customized signature to outgoing emails
•
Customized replacement messages (mail, FTP, Web)
Fortinet Confidential
Grayware control
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
 Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet Confidential
Web filtering benefits
•
Increase productivity
– Viewing unproductive and objectionable material can
reduces employee productivity
• Improve bandwidth by filtering out non-workrelated content
– mp3 files, games, pornographic material, etc.
• Exposure to inappropriate content can lead to
lawsuits
– Avoid threat of “hostile work environment”
Fortinet Confidential
Dynamic web filtering – FortiGuard
Requested Web site
4a
Internet
3b
3a
2
4b
5
FortiGuard Server
1. User requests a URL.
2. If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).
3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Servers (3b).
4. When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.
5. If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable “blocked” message is sent to the
requestor.
Fortinet Confidential
Intranet
1
Web client
Dynamic web filtering – FortiGuard
• Policies are stored and enforced by
FortiGate units
– Customers configure allow/deny policies on
FortiGate systems
– URL requests received by FortiGate unit are
forwarded to a FortiGuard server, which respond
with ratings
– FortiGate unit maintains user/group info for each
request, supports user/group-level policies
Fortinet Confidential
Static web filtering
• Static control
• Based on local
black/white lists
• Lists can be
imported from
text files
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
 IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet Confidential
Intrusion detection highlights
• ICSA certified
• High speed performance
– Asic-based IDS
– Real-time detection
• Signature database of 1,400 known hacker attacks
• Timely and automated updates of attack signatures
– Through the FortiProtect Distribution Network
• Customizable e-mail alerts
– Alerts can be filtered to avoid generation numerous, redundant
alerts from a single attack
• Very easy to configure and easy to maintain
• Dramatically lower cost than stand-alone NIDS
Fortinet Confidential
Intrusion detection highlights
•
•
•
Customizable attack list to enable and disable signatures
Possibility to import SNORT signature
Support for customer self-defined signatures
Fortinet Confidential
Integrated intrusion detection
• The IDS engine:
– Hooks into the routing and firewall modules and application layer
– Coordinates with the FortiASIC to quickly peek into traffic and check
for traffic patterns that match specified IDS signatures
Fortinet Confidential
Protection profile – Intrusion control
•
Detection methods:
– Signatures
– Anomalies
• Scanning attacks
• Flooding attacks
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
 Anti-SPAM
• VPN
• Virtual Domains
• Administration
Fortinet Confidential
Antispam – Multiple layers of defense
Source blocking
• By IP addresses
– Static lists
– Dynamic lists
(RBL, ORDB)
– FortiShield
– Reverse DNS
lookup
 By URI content
• By email addresses
Control the source
Spammer
Fortinet Confidential
Content blocking
• Spam characteristics
• Banned words
Control the content
Recipient
AntiSpam – Deployment scenarios
Internet
Local SMTP Server
Remote SMTP Server
Internet
Pop3 / IMAP
Pop3 / IMAP Server
•
Scenario 1 – SMTP (tag or discard)
–
–
–
•
FortiGate unit monitors email traffic at the MTA level
This enables blocking spam transfers before entire email is transferred.
Spam Email may be rejected or tagged
Scenario 2 – IMAP/POP3 (tag)
–
–
FortiGate unit scans emails already processed by the local MTA
If considered as a SPAM, the FortiGate marks the email
Fortinet Confidential
Antispam protection highlights
•
Uses a wide variety of local and network tests to identify spam
signatures
– Source blocking
• IP address
– Static lists
– Dynamic database: RBL & ORDBL
• Email address
• FortiShield (IP Address and URI scanning)
– Content blocking
• MIME headers
• Banned word
•
Once identified, the mail is:
– Tagged as spam for later filtering using the user's own mail user-agent
application
• Enables easy sorting by any email client
– Or rejected (SMTP)
Fortinet Confidential
FortiShield AntiSpam Service
• Fortinet managed antispam service with “dual pass” scan
technology
• For FortiGate and FortiMail
• Benefits
– Greatly reduces processing overhead on email servers and antispam
gateways
– Reclaims bandwidth taken by spam email
– Supplements any other antispam solution
– Cost effective managed solution lowers maintenance overhead of
managing static content filters
Fortinet Confidential
FortiShield Overview – Phase 1
• Spammer IP Check
SMTP
Server
1. SMTP
session
requested
2. Extract Server
Source IP Address
4. Receive Result
(Cache for future
use)
5. Session
terminated
if Spam
FortiGate
or
FortiMail
FortiShield
AntiSpam
Service
Fortinet Confidential
3. Check
Source IP
with
Database
FortiMail
or
SMTP Email Server
Clients
FortiShield Overview – Phase 2
• Email Content Screening
SMTP
Server
1. Email
message
transmitted
Email
Hi there,
how are you?
<Spam>
2. Email content
inspected for
URI content
4. FortiShield
result received
and cached
3. FortiShield
scans spam
URI content
FortiGate
or
FortiMail
Email
Hi there,
how are you?
<Spam>
FortiShield
AntiSpam
Service
Fortinet Confidential
5. Spam filtered or
tagged and distributed
based on policy
FortiMail
or
SMTP Email Server
Clients
FortiShield Service Controls
•
FortiShield provides a Web Service to allow:
– Search for known spammer
– Report new spammer
– Request to be removed from Spammer List
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
 VPN
• Virtual Domains
• Administration
Fortinet Confidential
VPN Highlights
•
ICSA-certified IPSec VPN
•
VPN NAT traversal
•
Supported protocols:
•
Dead peer detection (DPD)
•
Dial-up monitor/Remote VPN
client
•
Authentication:
– IPsec, PPTP
– L2TP/Passthrough of IPSec and
PPTP
•
Hardware encryption:
– Support for Xauth over Radius
– DES, 3DES, and AES
•
•
IPSec VPN traffic controlled by
firewall policies
VPN tunnels decrypted and
routed through firewall and AV
scanning
Fortinet Confidential
– x.509 Certificate auth
– LDAP for user authentication
•
Interoperability with major
VPN vendor
•
Hub and Spoke architecture
support
VPN benefits
• VPN tunnels cannot be used to carry threats into
customer networks
– Scans encrypted VPN tunnels for worms and viruses
• Prevents home office and telecommuters from tunneling viruses and
worms back to HQ
– Applies firewall policies to VPN tunnels
– Applies intrusion protection to VPN tunnels (IDS and IPS)
– No other VPN vendor can do this
• Greatly reduced installation and integration headaches
– Trying to do what FortiGate systems do using separate products
is a nightmare!
Fortinet Confidential
VPN redundancy
• Up to 3 redundant VPN gateway can be defined
for each VPN tunnel
• VPN gateway availability is checked using DPD
• Can be used to setup redundant tunnels with
redundant ISPs:
ISP1
Internet
ISP2
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
 Virtual Domains
• Administration
Fortinet Confidential
Virtual domains
•
Provides multiple logical firewalls and routers in a single FortiGate unit
•
VDOM objects:
–
–
–
–
–
VLANs
Firewall objects and policies
Routing setup
VPN setup
User setup (local database, LDAP, RADIUS)
Create new virtual domains
Fortinet Confidential
Vdom and VLANs
Select the Virtual
Domain for which
you create a VLAN
config system interface
edit "Customer1_VID1"
set ip 1.1.1.1 255.255.255.0
set log enable
set vdom "Customer1"
set interface "internal"
set vlanid 1
Fortinet Confidential
VDOM and interfaces
View VLANs on a per Virtual
Domain basis
Fortinet Confidential
Agenda
• Firewall Features
• Antivirus Features
• Web (URL) Filtering
• IDS/IPS
• Anti-SPAM
• VPN
• Virtual Domains
 Administration
Fortinet Confidential
Roles-based Administration (RBA)
• Granular administration access:
–Device status
–Users
–Log and report
–Security Policy
–Device configuration
–Administrator
• Assignable permissions
– Not accessible
– Read only
– Read / write
Fortinet Confidential
Administrators and Access Rights
• Ability to create function-specific
administrators
Lock-down administration
Host system
Fortinet Confidential
FortiGate standalone management
• CLI – Command-line Interface
– Security through SSH
• Web GUI
– Security through SSL
Fortinet Confidential
CLI accessed from Telnet/SSH/GUI
Fortinet Confidential
Backup and restore
• Backup/restore
the entire config
• Backup/restore
part of the config
• Backup is done in
the form of a text
file
Fortinet Confidential
SNMP support
• SNMP v1 and v2c
• MIBs
• Traps
– CPU usage above 90%
– proprietary MIB
– Memory usage above 90%
– Standard RFC 1213 and
RFC 2665 MIBs
– Hard disk usage above 90%
• Traps
– HA cluster fails
– Tunnel up/down
– cold start
– Flooding attacks
– system down
– Port scan attacks
– interface up/down
– Virus detection
– Log full
– Etc.
Fortinet Confidential
?