Fortinet网络安全解决方案

1、Fortinet网络安全处理方案Fortinet 中国SE王涛第1页Fortinet企业介绍第2页Fortinet企业概况安全领导厂商全球第三大安全供给商亚太区第一大专业安全供给商UTM魔力象限图“领导者”-自企业成立：10月IPO：11月NASDAQ：FTNT总部：Sunnyvale, California财年销量：$615M产品公布：5月已销售设备数量：130万用户数量：17万专利：143项（108项审核中）第3页GartnerUTM魔力象限图安全领导厂商Gartner 企业防火墙魔力象限图全球安全产品销量排名RankCompanyMarket Share (%)1Cisco16.872C

2、heck Point12.6136.354Juniper 6.055McAfee5.146PAN4.987Blue Coat4.918Dell2.809Others40.29Total100.0第4页极高行业认可度第5页世界500强Top 10中9家全球10大金融机构中9家全球10大电信运行商中7家众多蓝筹用户第6页国内用户（1）运行商中国移动中国联通中国电信华数集团江苏广电湖北广电深圳广电辽宁广电金融中国建设银行中国民生银行北京银行中国人保天安保险中信集团海通证券招商证券第7页国内用户（2）能源中国石化中国石油国电南方企业三峡集团湖南石化长庆油田重庆电力湖北电力山西电力四川电力企业中国国际航

3、空企业中国远洋集团海尔TCL腾讯网新浪网携程唯品会三峡集团首都机场第8页国内用户（3）零售及商业机构华联超市苏宁电器国美电器家乐福百胜集团迪卡侬雅诗兰黛中原地产教育北京大学清华大学北京师范大学北京科技大学国防大学南京航空航天大学中山大学第9页Fortinet安全架构及处理方案第10页 推荐 产品访问控制防火墙双因子认证漏洞管理威胁防御 Web过滤IPS、应用控制 恶意软件深度流检测 僵尸网络防御0day攻击检测沙盒用户信誉评定僵尸网络汇报全天候监视报表SIEM/日志管理FortiGuard威胁研究安全军情观察应急响应FortiGuard服务 设备隔离 FortiGuard更新缩小受攻击面检测并

4、阻止威胁FortiGate FortiSandbox FortiAuthenticator FortiAnalyzer FortiManager判别最新安全事件评定、审计改进验证抑制Fortinet ATP（高级威胁防御）框架第11页应用服务器Web服务器数据库服务器邮件服务器FortiDBFortiWebFortiDDoSFortiMailFortiADC/Coyote PointFortiSwitchFortiAPFortiGateFortiWiFiFortiClientFortiSandBoxFortiAuthenticatorFortiSIEMFortiManagerFortiDNSF

5、ortiTokenFortiExtenderFortiDirectorFortiCloudFortiRecorderFortiCamFortiVoice/ FortiGateVoiceFortifone0day防御用户认证日志分析集中管理拨号VPN3G/4G WANWiFi安全WiFi安全安防监控IP PBXWeb应用防火墙服务器负载邮件安全安全网关FortiCache终端安全强认证数据中心安全管理中心总部移动办公分支机构全局负载安全管理云AscenlinkLAN-LAN VPN链路负载DNS安全安全缓存安全交换L3-L7 D/DOS数据库安全从云到端完整安全体系第12页关键产品 FortiG

6、ate安全网关第13页FortiGate产品特点第14页深度整合立体安全防御 有机结合安全方案一次处理，效率高高性价比易于布署、管理、维护单点安全布署，集成度低屡次处理，效率低成本高布署、管理、维护困难第15页处理性能高服务响应快安全功效全FortiOS操作系统多重威胁安全FortiASIC专用安全芯片FortiASIC 网络处理器（NP）FortiGuard订购服务FortiCare客户支持FIREWALLAPPLICATIONCONTROLANTISPAMVPNWEB FILTERINGDLPWANOPTIMIZATIONANTIVIRUS/ANTISPYWAREIPSWebsecurit

7、yEmailsecurityAnti-malwareFortiASIC 片上系统（SoC）FortiASIC 内容处理器（CP）技术优势遥遥领先第16页FortiGate优势一- 最全方面安全防御能力第17页WiFi/交换安全用户信誉系统BYOD管控终端安全云沙箱防火墙VPNIPS/DPI防病毒内容过滤应用/流量控制僵尸网络防御DLP漏洞评定IPv6WAN优化最全方位安全保护单一设备实现多重安全防御第18页安全网关功效对比第三方提供自主研发不支持第19页多层次防御APT（高级连续性威胁）FortiGuard ATP (高级威胁防御) 服务流扫描代理扫描防病毒特征库设备内部沙箱僵尸网络黑名单云沙

8、箱应用控制 僵尸网络检测恶意URL分类FortiGuardFortiSandboxFortiGuard Anti-MalwareFortiGuard Botnet Blacklist第20页多样灵活安全功效组合Features/Presets NGFWNGFW+ SWGNGFW+ATPNGFW (Extend)UTM安全*FW/VPNIPS应用控制代理Web 过滤反病毒沙盒认证Email 过滤数据防泄漏终端控制漏洞扫描第21页灵活布署，优势覆盖多个领域IPS防火墙NGFW在NSS防火墙、IPS、下一代防火墙SVM中均处于推荐象限第22页FortiGate优势二- 无与伦比性能第23页专用ASI

9、C结构超高性能GbpsMbpsFortiASIC-NPFortiASIC-CP多核CPU多核CPU防火墙VPN应用安全策略会话第24页独有硬件加速技术状态检测流式检验代理式扫描IPv6SP3NP4CP7NP ASIC芯片为IPv4 & IPv6 流量提供硬件级加速NP6CP ASIC芯片为UTM功效提供硬件级加速CP8第25页改变游戏规则ASIC芯片处理器 Intel Xeon E6 2640V2 FortiASIC NP 4FortiASIC NP 6价格$功耗95W10 W9 W防火墙吞吐量8 Gbps20 Gbps40 Gbps延迟100 s3 s3 s包转发率（IPv4）-50M pp

10、s包转发率（IPv6）30M pps50M ppsNP6CPUNP4第26页无与伦比性能优势高吞吐（64字节小包万兆线速转发），无需考虑大小包百分比。低延迟（小于8us），尤其适合延迟敏感型应用。可控度高（会话、流量由不一样硬件处理，在云计算环境高负载网络中不会相互影响，实际网络性能与标称值一致）。可靠性高（CPU负载低，设备稳定性强）。绿色环境保护（低功耗，占用空间小）。第27页FortiGate优势三- 连续安全响应第28页覆盖全球FortiGuard安全云防病毒入侵防御数据库安全Web过滤反垃圾邮件Web应用安全应用控制漏洞评定僵尸网络IP地理信息设备识别FortiCloud云管理第29

11、页63,000垃圾邮件14,000恶意文件190,000网络入侵34,000恶意网站140,000僵尸网络17 MillionWeb分类查询5,500应用程序特征92 Terabytes威胁样本15,500入侵防御规则250 Million网站被分为78类143发觉0day攻击97攻击特征更新8,000小时研究550,000病毒特征更新50 Million垃圾邮件规则更新740,000URL分类更新全天候为用户安全保驾护航Q2Y14第30页FortiGate产品线第31页完善产品线覆盖每个细分市场MSSP运行商数据中心/云计算大型企业(Branch) (Branch) (Branch) (Ca

12、mpus)(Campus)分支机构中小企业型号30-90 Series100Series200Series300-800Series1000Series3000Series5000Series产品范围入门级中端高端*关键硬件特征PoE, Switch, WiFiPoE, High Density GEHigh Density GEHigh Density GE, 10 GE10 GE, 40 GE100GEChassis & Blades第32页FortiGate低端系列适合SOHO及小型分支机构高性能、功效丰富主要优势高速防火墙和 IPSec VPN 性能高速应用控制加速 IPS/AV 性能

13、板载存放器，用于 WAN 优化、当地汇报和归档一些型号集成 WiFi 功效FG/FWF-30D SeriesFG/FWF-60D SeriesFG-100D SeriesFG/FWF-90D Series第33页FortiGate低端系列一览表FGT-30DFGT-60DFGT-90DFGT-100D/140D防火墙(1518/512/64 byte UDP)800 / 800 / 800 Mbps1.5 /1.5 /1.5 Gbps3.5 /3.5 /3.5 Gbps2500 / 1000 / 200 Mbps并发会话数200,000500,0001.5 Mil3 Mil每秒新建会话数3,5

14、004,0004,00022,000IPSec VPN350 Mbps1 Gbps1 Gbps450 MbpsIPS (HTTP)150 Mbps200 Mbps275 Mbps950 Mbps反病毒 (Proxy/Flow)30 / 40 Mbps35 / 50 Mbps35 / 65 Mbps300 / 700 Mbps接口5 x GE RJ4510 x GE RJ4516 x GE RJ4520/40 x GE RJ45,2 x GE SFP存放器-32GB32GB其它型号WiFi, PoEWiFi, PoEWiFi, PoELENC, high port density, T1 por

15、t, PoE第34页FortiGate中端系列适合中型企业和大型企业分支机构安全设备高性能多功效安全更高性价比和同级别更高接口密度主要优势高速防火墙和 IPSec VPN 性能高速应用控制加速 IPS/AV 性能板载存放器，用于 WAN 优化、当地汇报和归档*FGT-200B requires optional HDDFGT-800CFGT-1000CFGT-200DSeriesFGT-1500DFGT-300DFGT-500D第35页FortiGate中端系列一览表（1U）FGT-200DFGT-240DFGT-280D-POE*FGT-300DFGT-500DFG-800C防火墙(1518

16、/512/64 字节 UDP)3 / 3 / 3 Gbps4 / 4 / 4 Gbps4 / 4 / 4 Gbps8 / 8 / 8Gbps16 / 16 / 16 Gbps20 / 20 / 20 Gbps并发会话数3.2 Mil 3.2 Mil3.2 Mil6 Mil6 Mil7 Mil每秒新建会话数77,00077,00077,000200,000280,000190,000IPSec VPN1.3 Gbps1.3 Gbps1.3 Gbps7 Gbps14 Gbps8 GbpsIPS (HTTP)1.7 Mbps2.1 Gbps2.1 Gbps2.8 Gbps4.7 Gbps6 Gbps

17、反病毒 (Proxy/Flow)600 / 1,100 Mbps600 / 1,100 Mbps600 / 1,100 Mbps1.4 / 2.5 Gbps1.7 / 3.4 Gbps1.7 / 2.1 Gbps接口18 x GE RJ45,2 x GE SFP42 x GE RJ45,2 x GE SFP86 x GE RJ45,4 x GE SFP6 x GE RJ45, 4 x GE SFP10 x GE RJ45, 8 x GE SFP2 x 10GE SFP+,14 x GE RJ45,8 x Shared port pairs, 2 x bypass Pairs存放器16 GB32

18、 GB64 GB120 GB120 GB64 GB其它型号-*FGT-280D-POE高度为2U第36页FortiGate中端系列一览表（2U）FG-1000CFG-1500D防火墙(1518/512/64 字节 UDP)20 / 20 / 20 Gbps80 / 80 / 55 Gbps并发会话数7 Mil12 Mil每秒新建会话数190,000250,000IPSec VPN8 Gbps50 GbpsIPS (HTTP)6 Gbps11 Gbps反病毒 (Proxy/Flow)1.7 / 2.1 Gbps4.3 / 13 Gbps接口2 x 10GE SFP+,14 x GE RJ45,8

19、 x Shared port pairs, 2 x bypass Pairs8x 10GE SPF+,16x GE SFP, 18x GE RJ45存放器128 GB240 GB其它型号DC-第37页FortiGate-1500D竞争分析性能最高，性价比最正确第38页FortiGate高端系列-3000适合大型企业和服务提供商安全设备FG-3950B适合传统高带宽网络、虚拟化或云架构网络理想安全产品更加好性价比和同级别更高密度接口主要优势保护下一代网络丰富功效，包含集成IPS、应用控制、基于用户策略和终端策略控制板载存放器用于WAN优化、当地汇报和归档支持FortiManager 和 Fort

20、iAnalyzer ，简化管理、汇报和分析数千台Fortinet 设备FG-3240CFG-3600CFG-3700D第39页FortiGate-3000系列一览表FG-3240CFG-3600CFG-3700DFG-3950B防火墙(1518/512/64 字节 UDP)40 / 40 /40 Gbps60 / 60 /60 Gbps160 / 160 /110 Gbps20-120 / 20-120 / 20-120 Gbps并发会话数10 Mil28 Mil44 Mil20 Mil每秒新建会话数200,000235,000500,000250,000 300,000*IPSec VPN1

21、7 Gbps25 Gbps100 Gbps8 50.5 GbpsIPS (HTTP)8 Gbps14 Gbps23 Gbps20 Gbps反病毒 (Proxy/Flow)2.6 / 9 Gbps5.8 / 18 Gbps7.5 / 18 Gbps4 / 15 Gbps接口12 x 10GE SFP+16 x GE SFP, 2 x GE RJ4512 x 10GE SFP+16 x GE SFP, 2 x GE RJ454 x 40GE QSFP+, 20 x 10-GE SFP+ /GE SFP Slots, 8 x ultra-low latency 10 GE SFP+ slots,2

22、x GE RJ452 x 10GE SFP+4 x GE SFP, 2 x GE RJ45 (base)存放器64 GB128 GB960 GB256 GB其它型号DC, LENCDC-DC, LENC第40页FortiGate-3700D竞争分析同级别产品中，最高性能，同时拥有最好性价比FortiGate3700DCheck Point 21700 Cisco ASA 5585-SSP40 (FW & IPS) Juniper SRX 3600Palo Alto PA 5060 防火墙吞吐量性价比Gbps$/Mbps第41页FortiGate-5000系列 T级防火墙适合巨大型企业和服务提供

23、商安全设备机框式平台提供最大性能，可靠性和灵活性，适合高速网络服务提供商、大型企业和电信运行商网络。业内最快机框式防火墙灵活性使复杂、多租户云网络安全即服务和基础设施即服务环境安全保护。主要特点：支持100GE/40GE/10GE等高速接口高达1Tbps防火墙吞吐量ATCA结构运行商级性能、可靠性、扩展性机框支持6或14块 FortiGate-5000 系列板卡FG-5144C第42页性能和灵活性50605144C插槽数614最大防火墙吞吐量 *240 Gbps1.12 Tbps最大 IPS 吞吐量 *56.4 GbpsTBD最大并发会话数120 MTBD最大每秒新建会话数1.41 MTBD5

24、000 系列机框标准 ATCA 系统全冗余 热插拔板卡，电源和风扇 第43页负载均衡与虚拟化 市场上最灵活基于机框处理方案 维护简单 热插拔部件 支持全硬件冗余 支持框内或框外HA配置安全板卡网络板卡5000 系列板卡集群服务分组虚拟化衡量线性流量处理能力，与外部设备交互运行。允许 FortiGate 不一样集群组在同一机框内共存FortiGate 板卡有利于实现虚拟化安全部件 第44页Fortinet安全处理方案一览第45页FortiClientFortiAPFortiSwitchFortiRAPFortiGateFortiAnalyzerFortiManagerFortiAuthentic

25、atorFortiGuardFortiToken以FortiGate为关键整体处理方案第46页云计算/数据中心防火墙第47页1. 网络基础架构保护FortiGate防火墙 & IPSFortiDDoS防御DoS攻击FortiGate-VMFortiGate 5000FortiDDoS第48页高性能数据中心防火墙需求防火墙特征边界安全关键安全安全域划分安全更新高速接口高密度10G接口40GE连接能力100GE连接能力高性能100G以上防火墙吞吐量(IPv4/IPv6)极低延迟4000万以上并发会话25万以上新建会话30G以上IPSec性能紧凑机身节能减排节约空间灵活HA选项云架构多租户API支持

26、 与云管理平台集成第三方生态系统SDNNSX 性能硬件管理运行安全第49页FortiGate-3700D超级数据中心防火墙产品亮点:高速接口 4个40GE高密度28个10GE SFP+，最大500个VFW搭载4颗NP6芯片，提供出众IPv4/IPv6 防火墙性能和VPN性能超高性能搭载2颗NP6芯片，提供出众IPv4/IPv6 防火墙性能和VPN性能CP8芯片提供高性能NGFW和ATP3U紧凑机身，仅870WFG-3700D防火墙吞吐量：160Gbps (IPv4/IPv6)并发会话：4400万每秒新建会话：50万第50页FortiGate-1500D高速数据中心防火墙/万兆企业NGFW防火墙

27、吞吐量：80Gbps (IPv4/IPv6)NGFW性能：11Gbps并发会话：1200万每秒新建会话：25万产品亮点:超高端口密度30个GE SFP，8个10GE SFP+超高性能搭载2颗NP6芯片，提供出众IPv4/IPv6 防火墙性能和VPN性能CP8芯片提供高性能NGFW和ATPFortiOS v5.2，极强可视化安全2U紧凑机身，双电源支持，仅406WFG-1500D第51页2. 应用安全防御FortiWebWeb安全FortiDB数据库安全FortiMail邮件安全第52页3. 各种虚拟化布署方案 适应云计算架构硬件虚拟化 数据中心边界软件虚拟化 数据中心内部区域ServerSer

28、vers / DMZDesktops / Private虚拟化数据中心DMZ/Private Zone硬件虚拟化软件虚拟化安全考量风险可视控制合规第53页硬件虚拟化 客户1区域 客户2区域 客户1区域 客户1区域 客户2区域 客户1区域 客户1区域 客户2区域 客户1区域Web 业务区邮件业务区通用业务区超级管理员根系统虚拟安全区域客户1虚拟安全区域客户2虚拟安全区域客户2VLAN trunk VLAN trunk超级管理员根系统虚拟安全区域客户1虚拟安全区域客户2虚拟安全区域客户2VLAN trunk VLAN trunkWeb 业务安全策略通用 业务安全策略 客户1区域 客户2区域 客户1

29、区域 客户2区域多层虚拟化 防火墙网关第54页软件虚拟化55管理控制台服务管理接口VMWeb ServerVMVM应用ServerVMVMVM应用ServerVMVMVM虚拟化安全防御 攻击者第55页软件虚拟化 FortiGate-VM 统一威胁管理 FortiManager-VM 集中管理 FortiAnalyzer-VM 日志与汇报 FortiWeb-VM Web应用安全 FortiMail-VM 邮件安全 FortiAuthenticator-VM 用户认证管理第56页硬件设备云中虚拟机统一管理平台 - FortiManagerFortiManager第57页方案优势完整覆盖网络层、系统

30、层、内容层、应用层Web、数据库、邮件基于ASIC加速，无与伦比安全性能高性价比，低功耗绿色安全完善虚拟化安全虚拟安全设备VM虚拟机第58页案例（1）- 运行商/金融/互联网云平台第59页案例（2） - 亚马逊AWS云服务全球最大公有云平台亚马逊为整个AWS平台提供安全保护硬件设备HypervisorAWS用户需要保护他们自己域中安全客户OS运行应用AWS用户部分安全必须也要布署在云中用户能够选取AWS marketplace中提供各种Fortinet安全虚拟机第60页企业边界安全第61页网络边界安全保护第62页2-7层全方面安全防御防火墙用户认证设备识别与管理IPS/DPI应用控制流量管理防

31、病毒Web内容过滤反垃圾邮件防数据泄漏（DLP）第63页适合用于各类用户网络运行商金融企业互联网能源零售医疗教育政府第64页案例（1）- 某高校校园网第65页案例（2）- 某银行OA网第66页中小企业一体化安全第67页经典网络及安全布署结构 - 复杂WAN 路由器防火墙VPNWAN 优化WiFi交换机认证若干安全设备Web过滤反病毒防火墙VPN路由器InternetWiFi交换机广域网加速认证第68页Fortinet一体化处理方案物美价廉、极易管理安全体系将全部安全功效整合到一台设备中基于中小企业/分布式企业网络需求而设计满足用户对更多交换接口，无线接入，无线局域网控制，POE供电等等需求We

32、b过滤防病毒防火墙WAN优化InternetFortiGate- UTM路由应用控制交换机无线瘦AP3G/4G接入第69页FortiToken认证令牌外网FortiGate安全网关 路由 交换无线控制器 POEFortiAnalyzer日志报表系统FortiAuthenticator统一认证中心FortiAPFortiAPFortiAP无线瘦AP有线内网VLAN 100技术部销售部VLAN 300VLAN 200DMZ经典应用 瘦AP+AC集中管理第70页FortiGate-140D-POE（安全网关+AC）性能防火墙 (1518/512/64)2500 / 1000 / 200 Mbps I

33、PS950 Mbps防火墙延迟37 s防病毒 (代理 / 流) 300 / 700 Mbps并发会话3 Mil虚拟域 (默认 / 最大) 10 / 10每秒新建会话22,000FortiAP数量 (总数/当地桥接)64 / 32防火墙策略10,000FortiToken数量1,000IPSec VPN450 MbpsIPSec VPN隧道 5,000SSL-VPN 300 MbpsSSL-VPN并发用户30040 x GE RJ45 其中16个接口支持PoE（-POE型号）2 x GE SFP第71页FortiGate-280D(-POE)性能防火墙 (1518/512/64)4 / 4 /

34、4 GbpsIPS1.7 Gbps防火墙延迟2 s防病毒 (代理 / 流) 600/1100 Mbps并发会话1.4 M虚拟域 (默认 / 最大) 10/10每秒新建会话77 KFortiAP数量 (总数/当地桥接)64 / 32防火墙策略10,000FortiToken数量1,000IPSec VPN1.3 GbpsIPSec VPN隧道 5,000SSL-VPN 400 MbpsSSL-VPN并发用户3002x GE RJ45 WAN 86x GE RJ45 交换4x GE SFP32x GE POE第72页FortiAP产品线一览3x3:3Dual RadioDual Band 2x2:2Single Ra