présentation fortinet 2015 - orditechevents.orditech.be/wp-content/uploads/2015/09/fortinet.pdf ·...
TRANSCRIPT
Présentation Fortinet 2015
mardi 29 septembre 2015
Blaton Pieter-Jan
Ingénieur Avant-Vente
2
Nouveau Slogan
FortiGate
4
L’approche Fortinet
Boîtier temps réel tout en 1
Performances élevées grace aux ASICs
Cout de possession réduit
Facile à intégrer / maintenir
4
Solutions autonomes et hétérogènes
Mix appliances / softs
Cout de possesion élévé
Difficile à intégrer / maintenir
Architecture FortinetArchitecture traditionnelle
5
• Les ASICs accélèrent les traitements
réseau et sécurité
• Plusieurs ASICs (CP, NP, SoC) dédiés
par fonction
• Technologie propriétaire et éprouvée
• OS temps réel propriétaire
• Conçu pour la sécurité et la performance
• Optimisé pour les appliances FortiGate
• OS mature : 5.0.12 et 5.2.3
FortiASIC
La technologie FortiGate
5
FortiOS
7
FortiGate: Une Architecture Intégrée
Purpose-Built Hardware
Specialized OS
FirewallFully Integrated
Security & Networking
Technologies
Hardened Platform
High Performance
Real-Time Protection
Traffic ShapingVPN
SSL Insp
DLP WAN Opt
FortiGuard™ Updates
WLAN Load BalancingVoIP HA
Support and Services FortiCare™ FortiGuard Labs
AV IPS AntispamWeb Filter App Ctrl VM
• Purpose-built to deliver overlapping, complementary security
• Provides both flexibility & defense-in-depth capabilities
9
Services, Licenses & Subscriptions
FortiGuard AV Subscription• Botnet IP reputation DB
• FortiCloud Sandbox Service
• Proxy & Flow based AV signatures
FortiGuard Web Filter Subscription• DNS Based Web Categories Filtering
• Proxy & Flow based Web Categories DB
FortiGuard NGFW Subscription• IPS Signature Updates
• Application Control Signature Updates
FortiGuard Anti-spam Subscription• Anti-spam Services
FortiGuard FortiSandbox Cloud Service• ATP : moteur AV, Code Emulator, Cloud query et Virtual
OS sandbox
10
La gamme FortiGate par segments
* May be available as hardware variants
MSSP
Carrier
Data Center /
Cloud / SDN
Enterprise
(Branch)
(Branch)
(Campus)
(Campus)
Distributed
Enterprise
SMB
Model30-90
Series
100- 200
Series
300-800
Series
1000
Series
3000
Series
5000
Series
VM
Series
Product RangeEntry Level
(2 Digits)
Mid Range
(3 digits)
High End
(4 digits)
Virtual &
Cloud
*Key Hardware
FeaturesPoE, WiFi
PoE, High
Density GE
High Density
GE
High Density
GE, 10 GE
10 GE,
40 GE, 100 GE
H/W
Dependent
11
FortiGate en résumé
Appliance de sécurité prête à l’emploi
Hautes performances grâce aux ASICs
embarqués
Solution la plus complète du marché
Licensing très simple et illimité
Gamme de boîtiers très large
− De la TPE aux opérateurs
11
1212
Le parefeu classique sait il contrer les menaces?Les applications ont changé
• N’ouvrir qu’une porte ne suffit plus !
− HTTP : une seule porte (80/tcp) mais plusieurs applications
− Une application web : plusieurs sous applications
• Fermer une porte ne suffit plus !
− Skype !
− Certaines applications sont indispensables
• Le canal SSL permet de contourner le contrôle applicatifMessagerie Instantanée
•Tchat
•Communication Vidéo
•Échange de fichier
RHhttp://www.facebook.com
Proxy SSL
Tunnel SSL (HTTPS)
http://www.facebook.com
Utilisateur
HTTP
Je bloque
Facebook...
Mais je ne
vois rien...
13
Bilan des comportements actuelsLes utilisateurs font plus ou moins ce qu’ils veulent
13
Web browser
HTTP
Web + plugin
HTTP
Flash,
applications
proxy, P2P,
tunnel
Source IPSOS 2011
71%
25%4%
Consommation de la Bande Passante
Vidéo Audio Jeux et réseaux sociaux
• Les activités extra-
professionnelles consomment
énormément de BP
− Certains évènements épuisent
les ressources (Coupe du
monde de football, funérailles
de M. Jackson)
− Baisse de la productivité
− Sécurité des systèmes
menacée
− Couts inutiles en Bande
Passante
TOP 10 applications
1414
Le parefeu classique contrôle t-il l’accès au réseau?Les rôles clients-serveurs ont changé
Où est la plus grande
densité des serveurs ?
Non…Seulement
10% des serveurs
sont ici
90% des serveurs
sont hébergés par
les postes clients
Serveur
Emule
15
Pourquoi ne pas bloquer les flux avec l’IPS?Les solutions classiques restent incomplètes
15
L’IPS ne suffit pas à répondre à tous les besoins
» Identifier les utilisateurs et contrôler les flux
» Contrôler le contenu des informations véhiculées par les applications
autorisées
» Prioriser les flux par applications (gestion de la BP, wan optimisation…)
IP.A
IP.B
IP.C
B
C
A
IP.S
IP.S
IP.S
Seul le chef
(A) passera...
Mais qui est
le chef ?
S
Je tolère
Twitter...
Utilisateur
Adresse IP
Application
161616
Actions des nouveaux parefeuxLe parefeu doit faire ce pour quoi il a été conçu
1. Identifier les applications sans notion de ports,
d’IP, de protocole ou de chiffrement
2. Identifier les utilisateurs puis et les relier à ces
applications
3. Contrôler le contenu véhiculé en temps réel et
le sécuriser4. Visualiser les applications et toutes leurs
fonctionnalités5. Gérer les ressources par application (QOS,
traffic shaping) et accélérer les flux grâce à
l’ASIC
17
NEW!!! Fortiview
New Dashboard increase visibility
Selection can be real time or historical (depends the model)
Gives network admin statistical information based on source,
destination, application
Drill down to give more granular filtering capabilities.
17
1818
Fortiview (Sources)
1919
Fortiview (Application)
2020
Fortiview Web Sites
2222
Fortiview Threads
23
FortiView – Example Use Case
1
Is there anyone abusing the Internet
Access with P2P applications ?
2
3
3 easy steps to locate the answer» Select “Threats” view
» Search for “Threat Type” = P2P
» Choose “Source”
2424
New Session table Lookup
25
Fortiview (Cloud Application)
What V5.2 offers:
Deeper visibility to popular online
applications
» Cloud-based file storage and video
sites
» Logins to popular apps/sites
» Via web browsers
Info extracted includes
» (upload/download) filenames
» video titles played,
» user ID when login is detected
Visibility:
» On “Cloud Applications” Viewer
» “Application Control” Logs
25
26
Fortiview (Cloud Application)
26
272727
Magic Quadrant for Unified Threat Management
Magic Quadrant for Enterprise Firewall
L E A D E R S H I P I N C O N T E S T E
282828
Next Generation Intrusion Prevention System Test
Report
L E A D E R S H I P I N C O N T E S T E
29
Wireless
30
FortiAP Product Matrix
3x3:3Resiliency and
VersatilityD
ual R
adio
Dual B
and
2x2:2Performance
Sin
gle
Radio
1x1:1
Value
Remote Outdoor Indoor
FAP-221/223C
FAP-222B
FAP-320B
FAP-112D
FAP-112B
FAP-28C
FAP-14C
FAP-11C
FAP-320C
802.11ac
FAP-222C
FAP-25D
FAP-21D
FAP-224D
802.11ac
802.11acFAP-321C
802.11ac
FAP-221/223B
FAP-210B
FAP-24D
31
Token
32
Supports Strong Authentication• IPSEC VPN
• SSL VPN
• Administrative Login
• Captive Web Portal
• 802.1x Authentication
• Web Application Access
• SSO
Authentication Platforms• FortiGate (FOS4.3 and later)
• FortiAuthenticator (FAC 1.4 and later)
Secure Seed Delivery Options• Online Via FortiGuard
• Encrypted file on CD (FTK-200S)
• In-house Seed Provisioning Tool (special order)
Introducing FortiToken
Oath Compliant Time Based Hardware One Time Password
Token
38
FortiClient
39
Multifunctional Host Security• Flexibility in deployment
• Fully integrated features, reduce needs for
multiple client solutions
End Point Control• Enforce compliance and security policies on
mobile hosts
Centralized Logging and Reporting• Via FortiGate for enterprise requirements
Introducing FortiClient
Comprehensive end-point protection & security
enforcement
40
FortiClient V5.2
New in 4.0 MR3Windows Mac OSX iOS Android
IPSec VPN -
SSL VPN Web Mode Only
2FA
Anti-Virus - -
Web Filtering
WAN Optimization - - -
Registered for Central Management
Config Provisioning
Logging (to FMGR/FAZ) - -
Windows AD SSO Agent - -
Application Firewall - -
Vulnerability Scanning &
Reporting - -
Custom Install - -
41
FortiSandbox / Cloud
42
Advanced Threat Protection• Inspection multi-niveaux : Code Emulator,
moteur AV, Cloud query et Virtual OS sandbox
• Analyse de différents types de fichiers sur de
multiples protocoles, y compris encapsulés
dans SSL
Flexible Operation Modes• Analyze des fichiers reçus via le
FortiGate/FortiMail, le mode sniffer ou upload
manuelle de fichier.
• Peut recuperer des fichiers de FortiGates
distants
Monitoring and Reporting• Rapports d’analyse détaillés, monitoring et
alerting temps rééel
Introducing FortiSandbox
File Submission
Malicious
Analysis
output
Latest AV Signature Update
2
3
4
Centralized File Analysis1
?
Solution Advanced Threat Protection faite pour identifier et
bloquer les attaques ciblées, sophisitiquées
Q & A