教育行業(yè)解決方案介紹課件

教育行業(yè)解決方案介紹2019-8-16議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹12342感謝你的欣賞2019-8-16高校A校園網(wǎng)安全現(xiàn)狀學(xué)生進(jìn)行Internet訪問時(shí)帶入大量病毒、木馬、蠕蟲、間諜軟件（通過瀏覽網(wǎng)頁、Email、聊天、下載等多種方式）大量蠕蟲病毒在校園網(wǎng)各區(qū)域之間泛濫，形成DDoS攻擊，導(dǎo)致網(wǎng)絡(luò)擁塞，主機(jī)性能低下校園網(wǎng)內(nèi)服務(wù)器面臨各種網(wǎng)絡(luò)攻擊和入侵學(xué)生訪問Internet上的不良內(nèi)容（如反動(dòng)、色情的內(nèi)容等）垃圾郵件降低效率，占用網(wǎng)絡(luò)資源3感謝你的欣賞2019-8-16防火墻無法實(shí)現(xiàn)多層次安全防御

/downloads/GettysburgFourscoreandBADCONTENT

ourforefathersbrou

ghtforthuponthiscontinentanewnation,

nliberty,anddedicatedtothepropositionthatall包頭(源,目的,數(shù)據(jù)類型等)包負(fù)載(內(nèi)容)數(shù)據(jù)包OKOKOK不掃描OK狀態(tài)檢測(cè)防火墻只檢查包頭–就好像只檢查信封，而不看信里的內(nèi)容傳統(tǒng)防火墻弱點(diǎn)如下：沒有深度包檢測(cè)來發(fā)現(xiàn)惡意代碼每包的轉(zhuǎn)發(fā)方式，不能進(jìn)行包重組惡意程序可以通過信任端口建立隧道穿過去傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊4感謝你的欣賞2019-8-16完全內(nèi)容檢測(cè)機(jī)制完全內(nèi)容檢測(cè)1.重新組裝數(shù)據(jù)包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBADCONTENTanewliberty,anddedicatedtothepropositionthatall…

!!

!!BADCONTENTBADCONTENTNASTYTHINGSNASTIERTHINGS不良內(nèi)容病毒/攻擊特征

/downloads/GettysburgFourscoreandBADCONTENT

ourforefathersbrou

ghtforthuponthiscontinentanewnation,

nliberty,anddedicatedtothepropositionthatall2.完整比較攻擊特征庫和蠕蟲樣本庫5感謝你的欣賞2019-8-16多產(chǎn)品方案的局限性真實(shí)的缺點(diǎn)需要部署不能相互通訊的多種產(chǎn)品提高了網(wǎng)絡(luò)的復(fù)雜性和操作成本不是最佳的安全部署方法假設(shè)的優(yōu)勢(shì)全面的安全對(duì)個(gè)人攻擊能夠迅速地反應(yīng)VPNIPSUsersServersFirewallAntivirusAntispamURLFilters6感謝你的欣賞2019-8-16Fortinet的解決之道VPNIPSUsersServersFirewallAntivirusAntispamURLFiltersFortinet優(yōu)勢(shì)全面的安全最大化地減少了攻擊導(dǎo)致的宕機(jī)時(shí)間減少了廠商和設(shè)備的數(shù)量簡(jiǎn)化了安全管理相應(yīng)的安全報(bào)警、日志和報(bào)表提高檢測(cè)能力7感謝你的欣賞2019-8-16FortiGate在高校A的部署8感謝你的欣賞2019-8-16防火墻-安全區(qū)域之間的訪問控制9感謝你的欣賞2019-8-16IPS與防病毒的結(jié)合通過IPS方式阻擋蠕蟲病毒在校園網(wǎng)內(nèi)的傳播，保護(hù)骨干網(wǎng)的安全10感謝你的欣賞2019-8-16在Internet出口過濾不良網(wǎng)頁內(nèi)容FortiGuard動(dòng)態(tài)過濾76個(gè)類別超過2850萬個(gè)網(wǎng)站數(shù)十億個(gè)網(wǎng)頁實(shí)時(shí)更新數(shù)據(jù)庫URL過濾黑白名單關(guān)鍵字過濾支持多種語言安全過濾ActiveXJavaAppletCookies11感謝你的欣賞2019-8-16反垃圾郵件使用FortiGate或FortiMail保護(hù)郵件服務(wù)器、過濾垃圾郵件降低感染病毒及網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)減少帶寬占用、降低服務(wù)器負(fù)載提高學(xué)習(xí)工作效率防止學(xué)校公網(wǎng)IP被其它郵件服務(wù)商列入黑名單12感謝你的欣賞2019-8-16各項(xiàng)UTM功能均實(shí)時(shí)更新特征庫Source:FortiGuard?SubscriptionServiceWeb內(nèi)容過濾76個(gè)以上有害或危險(xiǎn)的類別

業(yè)界最佳的精度和覆蓋率!反垃圾郵件

超過97.4%的垃圾郵件捕獲率

低于0.18%的誤報(bào)率SLA響應(yīng)時(shí)間<2hrs.24x7全球威脅響應(yīng)實(shí)驗(yàn)室防病毒(包括防間諜軟件)入侵防御系統(tǒng)(IPS)13感謝你的欣賞2019-8-16高校A部署FortiGate產(chǎn)品的效果病毒數(shù)量大幅度減少，校園網(wǎng)因病毒泛濫而陷入癱瘓的情況不再發(fā)生。校園網(wǎng)各區(qū)域（骨干網(wǎng)、網(wǎng)絡(luò)中心、各院系、圖書館、學(xué)生宿舍等）之間通過防火墻、防病毒、IPS等功能實(shí)現(xiàn)了有效隔離，某個(gè)學(xué)院或宿舍樓的病毒或攻擊不會(huì)擴(kuò)散到校園網(wǎng)的其它區(qū)域。服務(wù)器被內(nèi)外網(wǎng)入侵的危險(xiǎn)性降至最低限度。學(xué)生無法訪問不被允許的網(wǎng)站。垃圾郵件數(shù)量減少了95%以上，郵件服務(wù)器的負(fù)載得以減輕。防病毒、IPS、Web過濾、反垃圾郵件功能自動(dòng)在線更新，新的安全威脅在第一時(shí)間即可防御。14感謝你的欣賞2019-8-16議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹123415感謝你的欣賞2019-8-16高校B網(wǎng)絡(luò)現(xiàn)狀及需求高校B擁有教職工、學(xué)生共數(shù)萬人，且是數(shù)十所高校的CERNET接入節(jié)點(diǎn)，粗略估計(jì)有30萬以上用戶使用高校B的CERNET出口。根據(jù)網(wǎng)管軟件的監(jiān)控結(jié)果，出口實(shí)時(shí)網(wǎng)絡(luò)進(jìn)出流量超過2Gbps，并發(fā)會(huì)話數(shù)超過100萬。之前使用的防火墻不堪重負(fù)，對(duì)于網(wǎng)絡(luò)訪問產(chǎn)生較高延遲，影響了網(wǎng)絡(luò)服務(wù)質(zhì)量。丟包現(xiàn)象也時(shí)有發(fā)生，嚴(yán)重時(shí)還會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。由于高校B網(wǎng)絡(luò)出口的重要性，因此對(duì)網(wǎng)關(guān)防火墻的可靠性要求也非常高。16感謝你的欣賞2019-8-16FortiGate在高校B的部署17感謝你的欣賞2019-8-16獨(dú)特的雙ASIC芯片加速FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線速防火墻IPSecVPNNAT防DoS攻擊流量整形18感謝你的欣賞2019-8-16部分產(chǎn)品性能測(cè)試結(jié)果-吞吐量NAT模式，UDP防火墻雙向吞吐量（單位：Mbps）型號(hào)接口645121518FGT-310BPort1-Port22000.002000.002000.00FGT-3016B-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-3600A-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-3810A-FB4Portsamc-sw1/1-amc-sw1/22000.002000.002000.00FGT-5001A-FB8amc-dw1/1-amc-dw1/22000.002000.002000.0019感謝你的欣賞2019-8-16高校B部署FortiGate產(chǎn)品的效果FortiGate3000及5000系列在高達(dá)數(shù)Gbps的網(wǎng)絡(luò)流量，百萬級(jí)并發(fā)會(huì)話的情況下，仍能實(shí)現(xiàn)各種大小包的線速轉(zhuǎn)發(fā)，網(wǎng)絡(luò)延遲保持在微秒級(jí)別。防火墻不再成為高校BCERNET出口的性能瓶頸。FortiGate自身的可靠性設(shè)計(jì)（專用ASIC、NP芯片及專用安全操作系統(tǒng)，冗余電源風(fēng)扇），配合優(yōu)秀的HA保護(hù)機(jī)制，為高校B的網(wǎng)絡(luò)運(yùn)行提供365×24的全天候保障。部署3年多以來，設(shè)備一直穩(wěn)定運(yùn)行，從未發(fā)生網(wǎng)絡(luò)中斷故障。20感謝你的欣賞2019-8-16議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹123421感謝你的欣賞2019-8-16高校C網(wǎng)絡(luò)現(xiàn)狀及需求高校C具有一萬多在校學(xué)生，加上教職工及家屬，學(xué)院網(wǎng)絡(luò)用戶總數(shù)上萬人。學(xué)校共有3個(gè)網(wǎng)絡(luò)出口：電信、網(wǎng)通、教育網(wǎng)出口。其中教育網(wǎng)出口的國(guó)際流量是按流量大小計(jì)費(fèi)的，所以對(duì)教育網(wǎng)的國(guó)際流量很敏感，要求出國(guó)流量全部走電信或網(wǎng)通出口。同時(shí)要求電信及網(wǎng)通出口進(jìn)行流量?jī)?yōu)化，實(shí)現(xiàn)鏈路冗余及負(fù)載分擔(dān)。流量的管理：校園網(wǎng)用戶數(shù)量眾多，應(yīng)用五花八門，流量組成很復(fù)雜，下載和P2P（BT、電驢等）、P2SP（迅雷等）類的流量占據(jù)了大部分的帶寬，需要實(shí)現(xiàn)對(duì)帶寬的控制。該學(xué)校是一個(gè)管理相對(duì)松散的機(jī)構(gòu)，網(wǎng)絡(luò)中心對(duì)各院系部門沒有很強(qiáng)的約束力，只能對(duì)各種非正常訪問和網(wǎng)絡(luò)濫用進(jìn)行記錄分析，呈交給上級(jí)主管部門。因此要求能對(duì)網(wǎng)絡(luò)故障、異常要能迅速定位并形成可讀性強(qiáng)的報(bào)表。22感謝你的欣賞2019-8-16Fortinet產(chǎn)品在高校C的應(yīng)用23感謝你的欣賞2019-8-16多鏈路管理利用靜態(tài)路由實(shí)現(xiàn)分流，訪問教育網(wǎng)內(nèi)資源時(shí)使用教育網(wǎng)鏈路，訪問其它國(guó)內(nèi)及所有國(guó)外資源使用電信或網(wǎng)通出口?？梢酝ㄟ^靜態(tài)路由、策略路由、等值路由等多種方式實(shí)現(xiàn)電信和網(wǎng)通出口的鏈路負(fù)載分擔(dān)，實(shí)現(xiàn)帶寬最優(yōu)化分配。利用端口檢測(cè)、ping服務(wù)器檢測(cè)等方式探測(cè)鏈路健康狀況，如果電信、網(wǎng)通中的任意一個(gè)出口發(fā)生故障，都可以自動(dòng)迅速將流量切換到另一條鏈路。出于費(fèi)用角度考慮，教育網(wǎng)鏈路不參與出口冗余設(shè)計(jì)。注：FortiGate還支持RIP、OSPF、BGP等動(dòng)態(tài)路由協(xié)議，并支持IPv6網(wǎng)絡(luò)，可以很好的融入各種各種校園網(wǎng)環(huán)境。24感謝你的欣賞2019-8-16帶寬管理雖然高校C的出口資源比較豐富（3個(gè)Internet出口，總出口帶寬超過1G），但由于上網(wǎng)人數(shù)眾多，因此網(wǎng)絡(luò)資源仍然比較緊張。需要進(jìn)行優(yōu)化管理。首先，利用FortiGate的P2P管理及IPS功能，對(duì)公共上網(wǎng)區(qū)（如各教學(xué)樓、圖書館等）禁用P2P、迅雷等下載工具，保證網(wǎng)絡(luò)訪問速度。25感謝你的欣賞2019-8-16帶寬管理宿舍樓、家屬樓內(nèi)用戶均為付費(fèi)用戶，不能簡(jiǎn)單的禁止所有P2P、P2SP等下載行為，因此采用帶寬限制、會(huì)話數(shù)限制等方式降低P2P、P2SP等行為對(duì)網(wǎng)絡(luò)資源的占用。26感謝你的欣賞2019-8-16異常行為管理及網(wǎng)絡(luò)監(jiān)控利用FortiGate的會(huì)話管理功能，可以很容易的掌握全網(wǎng)的會(huì)話情況，并可列出實(shí)時(shí)IP地址會(huì)話排名，幫助及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常（如蠕蟲病毒、DoS攻擊、超常的P2P行為等）。并可直接中止會(huì)話。27感謝你的欣賞2019-8-16用戶管理及訪問記錄教師、學(xué)生等上網(wǎng)均需要進(jìn)行身份認(rèn)證，F(xiàn)ortiGate支持Radius、LDAP、WindowsAD、TACACS+等多種認(rèn)證協(xié)議，直接使用高校C原有的LDAP認(rèn)證服務(wù)器，無需重新建立用戶數(shù)據(jù)庫。使用FortiAnalyzer日志審計(jì)設(shè)備，將病毒、入侵、不良內(nèi)容、垃圾郵件、P2P下載等行為進(jìn)行記錄，并保留足夠長(zhǎng)的時(shí)間（如2個(gè)月）。用戶訪問行為也可進(jìn)行記錄，并將IP地址與用戶名、用戶組相對(duì)應(yīng)。28感謝你的欣賞2019-8-16網(wǎng)絡(luò)訪問報(bào)表利用FortiAnalyzer記錄日志，并產(chǎn)生各種報(bào)表（超過300種），直觀反映網(wǎng)絡(luò)中的各種事件。如協(xié)議分布流量排名病毒、攻擊、不良內(nèi)容、垃圾郵件統(tǒng)計(jì)等29感謝你的欣賞2019-8-16議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fort