Real Time Network Protection - Productguide 03|2013 - VISTEC Internet Service GmbH
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Productguide Real Time Network Protection 03|2013 Next Generation Firewalling UTM-Appliances E-Mail Security Web Application und Web Server Security Cloud Security Virtualisierung und Security
Inhalt
Das ist Fortinet . . . . . . . . . . . . . . . . . . . . . . . . . . . 03 Em ail Security
Das Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 04 FortiMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
FortiGate Produktfamilie . . . . . . . . . . . . . . . . . . . . 05
Fortinet für KMU und Mittelstand . . . . . . . . . . . 06 Zentrales Management & Reporting
Fortinet in Enterprise-Umgebungen . . . . . . . . 07 FortiAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Fortinet für Carrier . . . . . . . . . . . . . . . . . . . . . . . . . . 08 FortiCloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FortiScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FortiGate FortiManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
FortiGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
FortiGate Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Application Security
FortiGate VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 FortiWeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
FortiGate IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 FortiDB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
FortiGate Applikationskontrolle . . . . . . . . . . . . . 14 FortiDDoS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
FortiGate Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . 15 FortiDNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
FortiGate WebFiltering . . . . . . . . . . . . . . . . . . . . . . 16
FortiGate Wireless LAN . . . . . . . . . . . . . . . . . . . . . . 17 Acceleration Services
FortiGate BYOD (Bring Your Own Device) . . . .18 FortiBalancer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
FortiGateClient Reputation . . . . . . . . . . . . . . . . . 18 FortiCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
FortiGate und Virtualisierung . . . . . . . . . . . . . . . .18
FortiGate 2-Faktor-Authentifizierung Virtual Security
und FortiToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Fortinet Virtual Appliances . . . . . . . . . . . . . . . . . . 47
FortiGate Data Loss Prevention . . . . . . . . . . . . . 21
FortiGate WAN-Optimierung . . . . . . . . . . . . . . . . 21 Zubehör
FortiGate Anti Spam . . . . . . . . . . . . . . . . . . . . . . . . 22 FortiSwitch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
FortiGate SSL-Inspection . . . . . . . . . . . . . . . . . . . . 22 FortiFon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
FortiGate Bandbreiten-Management . . . . . . . . 22 FortiBridge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
FortiGate Layer 2 und Layer 3 Routing . . . . . . 23 PoE-Power Injector . . . . . . . . . . . . . . . . . . . . . . . . . 50
FortiGate Netzwerkzugriffskontrolle (NAC), . . 23
FortiGate Schwachstellen-Management . . . . 23 Fortinet Produktmatrix . . . . . . . . . . . . . . . 51-53
FortiGate VoIP und SIP Security . . . . . . . . . . . . . 24
FortiGate IPv6 Security . . . . . . . . . . . . . . . . . . . . . . 25
FortiWiFi Voice-80C . . . . . . . . . . . . . . . . . . . . . . . . . 26
WLAN Access Points FortiAP . . . . . . . . . . . . . . . . 27
FortiToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
FortiAuthenticator FortiAuthenticator . . . . . . . 30
FortiClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
44
2
Das ist Fortinet
Historie
Fortinet wurde im Jahre 2000 von Ken und Michael Xie Prozesse und garantieren so Security in Echtzeit.
gegründet - mit der Vision, Echtzeit-Sicherheitslösun- Alle FortiGate Appliances basieren auf dem leistungs-
gen für Netzwerke zu entwickeln. Bereits 2002 wurden fähigen und spezialisierten Security-Betriebssystem
die ersten Produkte der bis heute überaus erfolgreichen FortiOS, einer Fortinet-eigenen Entwicklung. Dieses Be-
FortiGate-Serie auf den Markt gebracht. Heute betreut triebssystem ist modular und somit kontinuierlich und
Fortinet weltweit weit über 100.000 Kunden mit ca. 1.500 im Rahmen normaler Software-Updates erweiterbar.
Mitarbeitern und ca. 8.000 Vertriebspartnern. Fortinet Neben den FortiGate Appliances bietet Fortinet auch
wird von führenden Marktanalysten wie Gartner als Un- E-Mail-AntiSpam/AntiVirus-Lösungen (FortiMail),
ternehmen mit dem höchstem Potenzial angesehen und Endpoint-Security (FortiClient), voll integriertes zen-
kann sich seit vielen Jahren als Nr. 1 im UTM-Security- tralisiertes Management, Erfassung und Reporting
Markt bezeichnen (Quelle: IDC). (FortiManager und FortiAnalyzer). FortiDB ist für die Daten-
banksicherheit verantwortlich und mit FortiWeb werden
Portfolio Webapplikationen und Webserver effizient geschützt. Mit
Fortinet entwickelt Multi - Threat - Sicherheitssysteme FortiAuthenticator besteht die Möglichkeit der zentralen
für Unternehmen aller Größenordnungen, Rechenzen 2-Faktor-Authentifizierung, FortiScan bietet Vulnerability
trumsbetreiber, Carrier und Service-Provider. Die Lösun- und Patch Management und unterstützt Unternehmen
gen beinhalten Sicherheits-Module wie Firewall, VPN beim Erfüllen von Compliancevorgaben.
(IPsec und SSL), Antivirus, Intrusion Prevention, URL-Filter, FortiBalancer und FortiCache optimieren die Lastvertei-
Applikationskontrolle, Bandbreitenmanagement, Data lung über Webserver und in Content Delivery Netzwerken
Loss Prevention, WAN-Optimierung, Anti-Spyware, Anti- (CDN). Flexible und hochsichere WLAN-Umgebungen
Spam uvm. Mit dieser Kombination aus verschiedenen können mit den Thin Access Points FortiAP und den in die
Engines, die äußerst flexibel in beliebiger Kombination, FortiGate Serie integrierten WLAN-Controllern realisiert
einzeln oder auch virtualisiert implementiert werden werden. FortiGuard Subscription Dienste werden von
kann, schützen die Appliances vor bekannten Bedrohun- einem weltweit operierenden Team aus Security-Spezia-
gen ebenso wie vor bisher nicht analysierten, versteck- listen entwickelt und aktualisiert und gewährleisten, dass
ten Angriffen. Speziell entwickelte ASICs (anwendungs- Updates als Reaktion auf aktuelle und künftige Sicher-
spezifische Prozessoren) beschleunigen gezielt einzelne heitsbedrohungen in Echtzeit zur Verfügung stehen.
Ken Xie, Gründer und CEO von Fortinet
www.fortinet.com
3
Das Konzept
Die Flexibilität der verschiedenen Fortinet-Lösungen ration mit vielen auf umfangreiche Rollouts abgestimm-
und der ausschließliche Fokus auf IT-Sicherheit ermög- ten Tools. Das Schaubild verdeutlicht die unterschiedli-
lichen Unternehmen aller Größenordnungen die Im- chen Einsatzmöglichkeiten, die von hochkomplexen
plementierung durchgängiger, höchst leistungsfähiger Rechenzentren mit oder ohne Managed Services über
und kostenoptimierter Security-Infrastrukturen. Ende-zu- kleine und große Unternehmens-Filialen, Home-Office-
Ende-Security wird mit Fortinet-Produkte unkompliziert Absicherung, Mobile Security bis hin zu Remote-Access-
und kostengünstig realisierbar - in einzelnen, überschau- Lösungen, Mail-Absicherung und Schutz von Web-An-
baren Projekt-Etappen, oder durch eine vollständige Mig- wendungen reichen, um nur einige wenige zu nennen.
Mobiler
Außendiest
Management/
Analyse
Niederlassung Home Office
Niederlassung
Mobile PDAs
Datenbank
Internetcafe
In
In
Web-Server FortiGate
FortiScan
DNS-Server FortiWeb
Corporate
Network FortiMail
44
4
FortiGate Produktfamilie
Integration in Security-Gesamtkonzept
nur ein Management
nur eine GUI
FG 5140
UTM und Virtual Security für alle
Unternehmensgrößen identische
Technologie auf allen FortiGates
FG 5050
FG 5020
FG 3950B
FG 3600C
FG 3240C
Performance, Ports
FG3140B
FG 3040B
Telco
MSSP
DataCenter FG1240B
FG1000C
FG 800C
FG 600C
Enterprise FG 300C
FG 200B
FG 100D
Mittelstand
SME FG 80C
FG 60D
FG 60C
FG 40C
SMB
SOHO FG 20C
Unternehmensgröße
www.fortinet.com
5
Fortinet für KMU und Mittelstand
Netzwerkbedrohungen unterscheiden nicht nach Un- – darunter Antivirus, Firewall, VPN, Intrusion Prevention,
ternehmensgröße. Filialen und kleinere Firmen sind den Webfilter, Antispam, Antispyware und Traffic Shaping.
gleichen Risiken ausgesetzt wie große Unternehmen. Die einfach zu implementierenden und leicht zu verwal-
KMU fordern allerdings schlüsselfertige Sicherheitslö- tenden Systeme sind hervorragend für KMU und Filialen
sungen, die keine allzu hohen Kosten verursachen, aber geeignet und bieten im Rahmen einer modernen Secu-
trotzdem umfassenden Schutz bieten. Fortinet hält hier rity-Plattform außergewöhnliche Flexibilität und hervor-
marktführende Unified-Threat-Management-Applian- ragenden Schutz bei einem sehr guten Preis-Leistungs-
ces bereit, die alle notwendigen Sicherheitsfunktionen verhältnis. Zahlreiche Filialen, KMU und SOHOs weltweit
für den Schutz eines Unternehmens zusammenführen setzen Fortinet FortiGate-Systeme ein.
FortiGate 60C
Firewall/Antivirus/Antispam
FortiWiFi
Sicheres WLAN
Antivirus/Antispam
FortiGate 60C
Multi-Threat Security Firewall/
Intrusion Protection/
Web Filtering
44
6
Fortinet in Enterprise-Umgebungen
Große Unternehmen sehen sich zunehmend komplexen
Bedrohungen ausgesetzt. Die ständig wachsende Zahl Fortinet FortiGate-Systeme bieten Unternehmen
von heterogenen Endgeräten, der rasante Anstieg der im auf Enterprise-Level die folgenden Vorteile:
Unternehmen eingesetzten Anwendungen, Virtualisie- führende, von den ICSA-Labs zertifizierte Funktiona-
rung und Cloud Computing, die Nutzung von privaten lität für Unternehmensnetze jeder Größe, gleich ob
Endgeräten im Unternehmen (bring your own device / drahtgebunden oder drahtlos, in Kombination mit
Multi-Gigabit-Durchsatz für Antivirus-Gateways, IPS,
BYOD), Social Media, Streaming Applikationen, Konsoli-
VPN und Firewalls uvm.
dierungsbestrebungen und Kostendruck, die Bereitstel- transparenter Funktionsmodus, der die Fortinet-Sicher-
lung von Services von überall und zu jeder Zeit, gesetz- heitstechnik nahtlos mit existierenden Security-
liche oder branchenspezifische Auflagen - dies sind nur Produkten im Unternehmen zusammenarbeiten lässt
einige der Themen, die Security in Unternehmen zu einer eine Auswahl führender Sicherheitsfeatures für Netz-
täglich komplexer werdenden Herausforderung machen. werke, beschleunigt durch FortiASICs und durch
die zum Patent angemeldete CPRL-Technologie
FortiGate Appliances bieten einen konsolidierten,
ein skalierbares Sicherheitssystem, verwaltet über
Kosten optimierten und zugleich höchst leistungsfä- ein einheitliches Management-Interface für Unter
higen Lösungsansatz. Die Integration verschiedenster nehmen jeder Größe
Security-Module, eine durchgängige Produktpalette für User-unabhängiges Lizenzierungsmodell
das zentrale Rechenzentrum bis hin zum Home Office FortiGuard Subscription Services für Applikations
und den mobilen Anwender, zentrales Management kontrolle, Antivirus, IPS, Web-Filter, Schwachstellen-
auch für viele 1000 Systeme, eine einheitliche Benutzer- mangement und Antispam bieten Updates in Echtzeit
und den branchenweit besten Netzwerkschutz
führung sowie gleicher Funktionsumfang auf allen Platt-
formen sind nur einige der Besonderheiten, die diese
Produktlinie zu bevorzugten Sicherheitslösung zahl - Die Kernvorteile der Fortinet Security Solution Suite:
reicher weltweit agierende Konzerne gemacht hat. So
Ultra-Hochleistungs-ATCA-Plattformen für Zuver
verlassen sich große Carrier, Service Provider, Rechen lässigkeit, Skalierbarkeit und anwenderfreundliches
zentrumsbetreiber und ein Großteil der Fortune500- Management
Modulare Softwarearchitektur, die eine schnelle
Unternehmen auf Fortinet-Sicherheit.
Ergänzung und Aktualisierung der Sicherheitsfunktio-
nen erlaubt – immer passend zu den aktuellen Sicher-
heitsanforderungen
Umfassende Security-Subscription-Services – einzelne
Dienste lassen sich abonnieren
Leistungsfähige Management- und Analyse-Applian-
Secured Corporate Network
ces für zentrale Steuerung und umfassende Reports
Secured Corporate Network
VoIP
DMZ
DNS, Email,
Gateway, Web,
VoIP Server
FortiGate VoIP
Chassis
High Security
Server Farm
www.fortinet.com
7
Fortinet für Carrier
Sicherheit für Pre-IMS- und IMS-Infrastrukturen
Revolution der Services – Evolution der Video und Mobile Content, Sicherheitsrisiken in der
Netzwerke Mobilfunkkommunikation, sowie Security-as-a-Ser-
Carrier mit drahtlosen und drahtgebundenen Diens- vice - und erleichtert Carriern und Service Providern die
ten erleben ein explosives Umsatzwachstum auf der Einführung Cloud-basierter Security Services.
Basis von IP-gestützten Services wie Breitband-Access, Mit FortiCarrier können Kunden bei den Investitions-
Multimedia Messaging, Voice over IP (VoIP), Video Servi- und Betriebskosten für die Sicherheit ihrer Netzwerke
ces und kombinierten Multimedia-Diensten. Der Wett- sparen und zudem das Geschäftsmodell der Mana-
bewerbsdruck ist enorm. Es geht dabei um Kundenbin- ged Security Services einführen. Die aktuellen Modelle
dung, die Kontrolle über die Wertschöpfungskette und FortiCarrier-3810A und FortiCarrier-5001A-DW integrie-
darum, Kapitalbindung und operative Ausgaben zu ren das Betriebssystem FortiCarrier 4.0, das mit spezifi-
begrenzen. Um die aktuellen Chancen und Herausfor- schen Funktionen auf den Bedarf von Service Providern
derungen optimal zu adressieren, richten die Carrier zugeschnitten ist.
IP-gestützte Netzwerke und Applikation-Service-Netze Dynamische Security-Profile sorgen für die automatische
ein. Für den wirtschaftlichen Erfolg dieser Bemühungen Zuweisung von Security-Richtlinien für einzelne Benut-
ist es unbedingt notwendig, dazu das passende Risiko- zer, so dass Service Provider den manuellen Konfigura-
management einzuführen. tionsaufwand für die unterschiedlichen Security-Richt-
linien ihrer Kunden reduzieren und Betriebskosten sen-
Fortinet Security Solution Suite ken können. Ein wichtiger Vorteil, da Managed Security
Es ist eine extrem komplexe Aufgabe, IP-Infrastruktu- Services die Managementkomplexität erhöhen kön-
ren zu sichern. Sicherheitsbedrohungen sind nicht sta- nen. Mit Session Initiation Protocol (SIP) Security schützt
tisch. Erfolgreicher Schutz setzt eine lückenlose Samm- Fortinet Sprachanrufe, die im Zuge der Konvergenz von
lung von Werkzeugen voraus, mit der sich bekannte Be- Sprachnetzen und IP-Netzen über das Internet laufen.
drohungen ausschalten und unbekannte Cyber-Angriffe FortiOS Carrier enthält eine SIP-Firewall, die sich naht-
bekämpfen lassen. Die Tools müssen außerdem revi los in den Fortinet Intrusion Prevention Service inte-
sionssichere Informationen in Echtzeit liefern und in griert und Sprachinfrastrukturen gegen lückenhaften
der Lage sein, für zukünftige Herausforderungen zu Datenverkehr und bösartige Bedrohungen absichert.
skalieren und sich weiter zu entwickeln. Fortinet stellt Mobile Security ist in FortiOS Carrier mit gleich drei Fea-
eine komplette Suite an Sicherheitslösungen für Carri- tures abgedeckt: Antivirus und Antispam für Multimedia
er zur Verfügung. Die Produkte basieren auf netzwerk- Messaging Service (MMS), Filtern von Handyinhalten zur
und anwendungsorientierten ASIC-Security-Echtzeit- Durchsetzung von Nutzungsrichtlinien sowie eine GPRS
Engines, die durch Software-Module für spezifische Tunneling Protocol-Firewall mit 3GPP-Kompatibilität.
Schutzanforderungen ergänzt werden. FortiCarrier kon- In Kombination schützen diese Features die Infrastruk-
solidiert auf einer Plattform neun Sicherheitsfunktio- tur des Mobilfunkanbieters ebenso wie die Endgeräte.
nen und ist derzeit das einzige, vollständig virtualisier- Die FortiOS Carrier Software ist kostenlos, sofern für die
te Angebot. Mit FortiGate adressiert der Marktführer betriebene Hardware ein laufender FortiCare-Support-
für Unified Threat Management die Sicherheitsaspekte Vertrag besteht.
dreier Trends - Netzkonvergenz bei Daten, Sprache,
44
8
END-TO-END SECURITY
Unübertroffene Performance und umfangreicher Schutz
FortiGate
Die schnellste
Firewall der Welt
Next Generation Firewalling (NGFW) und
Unified Threat Management (UTM)
www.fortinet.com
9
FortiGate Serie
FortiGate
Fortinet bietet mit der Produktfamilie „FortiGate“ eine
ganze Palette von mehrfach ausgezeichneten Applian- Auch kleinere Unternehmen profitieren so von
ces für den Schutz von Netzwerken und Applikationen.
Fortinets Erfahrung aus Großprojekten und können
so bei sehr gutem Preis-Leistungsverhältnis mit ei-
Die FortiGate Systeme schützen Daten zuverlässig und nem hervorragenden Schutz bei außergewöhnli-
in Echtzeit vor Netzwerk- und Content-basierenden Be- cher Flexibilität Ihre Netzwerke und Daten absi-
drohungen. Hier spielen die von Fortinet entwickelten chern. FortiGate Funktionen:
ASIC Prozessoren eine entscheidende Rolle, die die viel Endgeräte- und Betriebssystem-Erkennung
fältigen Dienste und Sicherheitsfunktionen der FortiGate- Client Reputation
Appliances enorm beschleunigen. Somit lassen sich Identity Centric Policies
Bedrohungen durch Viren, Würmer, Exploits, Spywa- Firewall
VPN
re oder neuartigen sog. Blended Threats, also Kombi-
IPS/IDP
nationen aus den genannten Angriffsmustern, effektiv Applikationskontrolle
bekämpfen - und das in Echtzeit! AntiVirus (Proxy-, Flow- und Cloud-based)
Weitere Funktionen wie umfangreiche und komforta WLAN Controller
ble Applikationskontrolle, URL-Filter, IPSec- und SSL-VPN, URL-Filter
Bandbreitenmanagement, WLAN-Controller, integrierte Schwachstellenmanagement
Network Access Control (NAC)
2-Faktor-Authentifizierung und selbstverständlich eine
2-Faktor-Authentifizierung
marktführende Firewall sind fest integrierter Bestandteil 10 virtuelle Instanzen „onboard“
aller FortiGate Appliances. Voice over IP
IPv6-Security
Bedrohungsszenarien richten sich nicht nach Unterneh- Data Leakage Protection
mensgrößen, und so bieten alle FortiGate Appliances Bandbreitenmanagement
Layer2&3-Routing
nahezu denselben Funktionsumfang und dieselbe Bedie-
WAN-Optimierung
nung per grafischer Oberfläche oder CLI (command line SSL Inspection
Interface). Die User-unabhängige Lizenzierung aller Mo- umfangreiches Reporting
dule vereinfacht das Netzwerk-Design, ermöglicht Kos- Switch-Controller
tentransparenz und den flexiblen Einsatz der Produkte. umfangreicher IPv6-Support
44
10FortiGate Firewall
Das Herzstück der Appliance tät von Fortinets Security-Zonen und mandantenfähi-
Die branchenführenden FortiGate gen Virtual Domains bieten eine perfekte Plattform, auf
Security Systeme bieten unerreichte der ein verwalteter Security-Dienst entwickelt werden
integrierte Security-Ressourcen, Be- kann. In Verbindung mit dem zentralisierten Manage-
nutzerfreundlichkeit und ein optimales Preis-Leistungs ment von Fortinets FortiManager und dem zentralisier-
verhältnis. Zusammen mit der Stateful-Inspection ten Reporting Server von Fortinets FortiAnalyzer können
Firewall verwendet das FortiGate System eine Vielzahl an MSSPs ihre Instandhaltungs- und Bereitstellungskosten
integrierten Sicherheitsmechanismen, um vor aktuellen deutlich reduzieren. Eine einzige Benutzeroberfläche
und komplexen Angriffen, wie Stuxnet und Duqu effektiv für die ebenfalls mandantenfähige Verwaltung, Analyse,
zu schützen. Konfiguration und die unkomplizierte Implementierung
Das Herzstück aller FortiGate Modelle ist die schnells- von Tausenden von FortiGate Systemen tragen weiter zur
te Firewall der Welt (Quelle: Breaking Point, 01/2012). Kostensenkung bei.
Firewall-Regelwerke kontrollieren sämtliche Daten,
die eine FortiGate Appliance zu passieren versuchen - Remote Access in Filialen und Home Offices
zwischen FortiGate-Interfaces, Zonen oder VLAN- Durch höchst einfache Konfiguration, Installations-
Subinterfaces. Solche Regelwerke enthalten Anweisun- Wizzards, umfangreichen RollOut-Support und Kon-
gen, ob und wie einzelne Verbindungen akzeptiert oder vertierungstools sind Fortinet-Appliances ideal für klei-
Pakete weitergeleitet werden. Bei Eintreffen einer Ver- ne Niederlassungen, Filialisten und Home-Office-Um-
bindungsanfrage werden z.B. Quell- und Zieladresse und gebungen geeignet. Auch der Austausch von Geräten
der Dienst (Port Nummer) analysiert, um die anwendba- in derartigen Umgebungen wird durch einfachste Instal-
ren Firewall-Regeln zu identifizieren. Dabei können u.U. lation per gesichertem USB-Stick gewährleistet.
viele verschiedene Instruktionen zur Anwendung kom-
men - neben obligatorischen Anweisungen wie dem
Akzeptieren oder Verwerfen von Datenpaketen können
FortiGate Firewall Highlights
optionale Instruktionen wie Loggen, Zuweisung von
Bandbreite oder Authentifizierung greifen. Sämtliche EAL4+ und ICSA-Labs Certified (Enterprise Firewall)
Identity/Application-Based Policy
anderen Sicherheitsmodule (z.B. AntiVirus, IPS, Applika-
IPv6 Support (NAT / Transparent mode)
tionskontrolle, URL-Filter usw.) werden abhängig von Granulare Per-Policy Protection Profile
diesem zentralen Firewall-Regelwerk gesteuert. NAT, PAT, Transparent (Bridge)
Routing Mode (RIP, OSPF, BGP, Multicast)
Managed Firewall Service
Weitere Features
Managed Security Service Provider (MSSPs) konzent-
rieren sich vermehrt auf Fortinets branchenführende Policy-Based NAT
FortiGate Security Systeme, um eine effiziente und kos- Virtual Domains (NAT/Transparent mode)
VLAN Tagging (802.1Q)
tengünstige Bereitstellung von integrierten Security-
Group-based Authentication & Scheduling
Diensten für Kunden anbieten zu können. Die Flexibili- SIP/H.323 /SCCP NAT Traversal
WINS Support
Explicit Proxy Support (Citrix/TS etc.)
VoIP Security (SIP Firewall / RTP Pinholing)
Vulnerability Management
www.fortinet.com
11FortiGate VPN
Virtual Private Networks (VPN) ermögli- eine sichere Verbindung etabliert wird. Fortinet unter-
chen die sichere, verschlüsselte Verbin- stützt in höchst komfortabler Weise beide Standards und
dung zu privaten Unternehmensnetz- eine Vielzahl von Optionen zur individuellen Konfigurati-
werken und -resourcen. So kann z.B. ein on und Administration. Auf FortiGate-Systemen können
Anwender von seinem Home Office oder von unterwegs IPsec und SSL-VPN-Verbindungen auch gleichzeitig zum
per VPN mittels einer verschlüsselten Verbindung auf das Einsatz kommen.
zentrale Netzwerk zugreifen. VPN-Verbindungen kön-
nen nicht von unauthorisierten Dritten ausgelesen oder VPN Services für MSSPs
manipuliert werden und ein Zugriff auf sensible Infor- Mit Fortinet können MSSPs einen hochsicheren VPN-Dienst
mationen wird so verhindert. Fortinet bietet VPN-Optio- bereitstellen, indem sie die integrierte VPN-Engine mit den
nen sowohl mittels seiner FortiGate-Appliances als auch übrigen UTM-Modulen verknüpfen. So kann ein- und aus-
über die in die FortiClient integrierte Funktionalität. Mit- gehender Traffic in Echtzeit auf Malware untersucht und erst
tels zweier FortiGates können auf diese Weise auch viele dann freigegeben werden, um die Verbreitung von Schad-
verschiedene Standorte sicher über ein VPN miteinander software innerhalb eines Unternehmens-VPN zu verhin-
verbunden werden. dern. Ein weiteres Plus ist, dass Fortinets flexible VPN Archi-
tektur die Interoperabilität mit allen standardbasierenden
Hub-and-Spoke VPN für Unternehmen IPSec VPN Gateways zulässt. Unabhängig vom VPN Device,
Hub-and-Spoke VPN Konfigurationen ermöglichen, dass das der Kunde verwendet, gewährleistet das zentral imple-
mehrere Fernstandorte miteinander verbunden werden mentierte FortiGate System Malware-freien VPN Traffic.
können, ohne dass dabei spezielle Verbindungen für je-
den Standort notwendig sind. Eine ideale Anwendung
für diese Konzeption ist, den VoIP-Traffic über VPNs zu
FortiGate VPN Highlights
transportieren, um so die Gebühren für Ferngespräche
zu verringern. Fortinets Bandbreiten-Management-Funk- ICSA Labs Certified (IPSec/SSL-TLS)
PPTP, IPSec, and L2TP + IPSec Support
tionen ermöglichen, dass VoIP-Traffic Priorität auch bei ei-
SSL-VPN Concentrator (incl. iPhone client support)
ner VPN-Verbindung erhält. DES, 3DES, and AES Encryption Support
Automatische IPSec Konfiguration
SSL oder IPsec? Hub and Spoke VPN Support
In den vergangen Jahren haben sich zwei Standards für
verschlüsselte Verbindungen etabliert: IPsec VPNs und
Weitere Features
SSL VPNs. Während IPsec VPNs primär in sog. site-2-site- SHA-1/MD5 Authentifizierung
Verbindungen und zentral gemanagten mobilen Endge- PPTP, L2TP, VPN Client Pass Through
räten zum Einsatz kommen, haben sich SSL-VPNs vorwie- IKE Certificate Authentifizierung (v1 & v2)
IPSec NAT Traversal
gend in sog. clientless Umgebungen etabliert. IPsec VPN
Dead Peer Detection
bietet sich an für klassische Layer3-basierende Anwen- RSA SecurID Support
dungen, bei denen eine verschlüsselte Verbindung zwi- SSL Single Sign-On Bookmarks
schen zwei Geräten aufgebaut wird. SSL 2-Faktor Authentifizierung
SSL VPN bietet Vorzüge im Bereich der Web-Anwendun- LDAP Gruppen Authentifizierung (SSL)
gen, bei denen zwischen Web-Server und Web-Browser
Webfiltering
IPS
Application
Control
VPN
Firewall
Antivirus
WAN
Acceleration
Antispam
44
12FortiGate IPS
Intrusion Prevention Systeme (IPS) bie- on Detection System fungiert. Dabei wird der Datenver-
ten Schutz gegen bekannte und zukünf- kehr auf Übereinstimmungen mit bereits konfigurierten
tige Bedrohungen auf Netzwerkebe- IPS-Sensoren und Applikationslisten untersucht. Bei ei-
ne. Zusätzlich zur Signatur-basierenden nem Treffer wird dieser gelogged und die eingehenden
Erkennung wird eine Anomalie-basierende Erkennung Daten abgewiesen. Auf diese Weise ist es möglich, den
durchgeführt. Das System generiert einen Alarm, wenn Datenverkehr zu untersuchen oder die einzelnen Daten-
Daten einem speziellen Profil eines Angriffsverhaltens pakete zu verarbeiten.
entsprechen. Dieses Verhalten wird dann analysiert, um
die Evolution von Bedrohungen zu erkennen und neue FortiGate (D)DoS Abwehr
Signaturen entwickeln zu können, die dann wiederum Typische Firewall-Systeme sind in der Lage, DoS und DDoS
Bestandteil der FortiGuard Services werden. Angriffe zu erkennen und - sofern diese nur eine geringe
Bandbreite belegen - auch abzuwehren. Dabei wird je-
Implementierung von IPS doch die CPU des Firewall-Systems belastet, da jedes an-
Das in die FortiGate-Appliances integrierte Hochleistungs- greifende Paket mithilfe einer Firewallregel bearbeitet wer-
IPS-Modul kann entweder als Standalone-Device oder als den muss. Fortinet bietet in seinen FortiGate-Systemen ein
Bestandteil einer Multifunktions-Firewall (UTM) agieren - mehrstufiges Abwehrmodell, welches die vorhandenen
und sowohl am Netzwerk-Perimeter (Übergang zwischen Ressourcen der Appliance deutlich entlastet.
internem und externem Netzwerk) als auch im internen
Netz. So können sowohl protokoll- oder anwendungs- DoS Sensor
basierende Angriffe von außen als auch die Ausbreitung Mithilfe eines sogenannten DoS Sensors können DoS An-
von derartigen Schädlingen im internen Netzwerk (die z.B. griffe bereits erkannt werden, bevor klassische Firewallre-
über mobile Endgeräte oder Datenträger ins Unterneh- geln greifen. Der DoS-Sensor, der zwölf verschiedene Ty-
men gelangt sind) erkannt und verhindert werden. pen von Netzwerk-Anomalien erkennen kann, unterschei-
det zwischen angreifenden und erlaubten Daten. Erlaubte
IPS für die Zentrale und Niederlassungen Daten werden an das Regelwerk der Firewall übergeben,
Fortinets flexible Architektur und skalierbare Produkt- Pakete die als DoS Angriff gewertet werden, werden ent-
reihe berücksichtigt Implementierungen im zentralen sprechend der im DoS Sensor hinterlegten Konfiguration
Netzwerkbereich zum Schutz vor externen und internen behandelt. Nachgeschaltete Intelligenz in einem FortiGa-
Angriffen ebenso wie die Absicherung von Niederlassun- te-System, wie etwa die IPS Engine, bieten darüber hinaus
gen jeder Größenordnung. Dies wird durch die identi- weitere Intelligenz zu Erkennung von DoS- und DDoS-An-
sche IPS-Funktionalität auf allen FortiGate-Appliances er- griffen auf höheren Netzwerkschichten.
reicht. In Verbindung mit FortiManger und FortiAnalyzer
können so größte und hochkomplexe VPN-Infrastruktu- Hardware basierte DoS-Abwehr
ren flexibel, einfach und kostengünstig - und auch man- Mithilfe der Fortinet ASICs SP2 oder SP3, die in einigen
dantenfähig - realisiert werden. größeren FortiGate Appliances sowie Erweiterungsmo-
dulen integriert sind, kann mittels der dort vorhandenen
High Performance DoS-Prevention Proxyfunktionalität eine TCP SYN Flood Attacke erkannt
für Service Provider und abgewehrt werden, ohne die restliche Appliance-
Der speziell entwickelte SP2-ASIC von Fortinet, der in aus- Architektur nennenswert zu belasten. Durch die im SP3
gewählten FortiGate-Modellen integriert ist, stellt zusätz- integrierten Load Balancer Funktionen ist es sogar mög-
liche Beschleunigung der IPS-Funktionalität direkt am In- lich, hochperformante DDoS Abwehr parallel zur ebenso
terface zur Verfügung. Dies gewährleistet insbesondere leistungsfähigen IPS-Funktionalität zu betreiben, indem
bei Denial-of-Service-Angriffen eine effiziente Abwehr, die Daten entsprechend auf weitere interne Module bzw.
ohne die Performance der zentralen Security-Module Prozessoren (ASICs) verteilt werden
und damit der gesamten Appliance zu beeinträchtigen.
In modularen FortiGate-Appliances können zu diesem
FortiGate IPS Highlights
Zweck sog. Security Processing Module nachgerüstet
werden, die mit dem neuen SP2-Chip ausgestattet sind. ICSA Labs Certified (NIPS)
Schutz vor über 3000 Threats
So kann (bei Bedarf auch erst im Nachhinein) die IPS-Per-
Protokoll Anomalie Support
formance einer Appliance signifikant gesteigert werden. Support kundenspezifischer Signaturen
Automatische IPS Database Updates
One-Armed IDS (Sniffer) IPv6 Support
Als Ergänzung ist es möglich, sog. Sniffer-Policies zu er- Skalierbar von Home Office bis Multi-Gigabit Rechen-
stellen, mit denen eine FortiGate als „one-armed“ Intrusi- zentrum IPS
www.fortinet.com
13FortiGate Applikationskontrolle
Die Vielfalt von Applikationen nimmt kationen ein Teil der Funktionalität eingeschränkt wer-
kontinuierlich und zum Teil sogar dras- den, z.B. die Nutzung von Facebook bei gleichzeitigem
tisch zu - verstärkt durch den Trend, dass Unterbinden von Facebook Chat, oder das Nutzen von
Enterprise-Applikationen zunehmend in Google.Docs, aber das Unterbinden von Google.Talk.
Richtung Web-Plattformen migrieren und Web 2.0 mit Applikations-Kontrolle ergänzt somit die Funktionalität
einer Vielzahl von einfachen und vielfach privat genutz- von Firewall- und IPS-Mechanismen um eine granulare
ten Anwendungen (Webmail, Instant Messaging, Social Steuerung von Anwendungen und Protokollen.
Media wie Twitter und Facebook usw.) den Administra- Die maximale Nutzbarkeit von Applikationen wird so bei
toren das Leben erschwert. Daraus ergeben sich neue minimalem Risiko erzielt. Derartige Regeln zur Nutzung
Herausforderungen für die IT-Sicherheit, da vielen dieser können bis auf Anwenderebene und selbstverständlich
Anwendungen neue Sicherheitslücken innewohnen, die auch geräte- oder abteilungsbezogen erstellt werden.
herkömmliche Abwehr-maßnahmen umgehen können.
Desweiteren stehen IT-Verantwortliche vor dem Prob- Integration als Mehrwert
lem, die Produktivität der Mitarbeiter trotz derartiger oft Es ist wichtig, Applikations-Kontrolle nicht als isolierten
zeitintensiver Applikationen (Chat, Games usw.) zu erhal- Bestandteil der IT-Sicherheit zu verstehen, denn dies
ten und die Zuverlässigkeit der Infrastruktur zu bewah- führt zu einem reaktiven Ansatz der Security-Strategie.
ren, obwohl diese Anwendungen oft eine sehr hohe Vielmehr ergänzt es sinnvoll die vorhandenen Abwehr-
Bandbreite benötigen (Video/Audio-Downloads oder mechanismen wie z.B. Firewall, VPN, AntiVirus, IPS und
-Streaming). Zunehmend spielt auch die Einhaltung von Web Filter und idealerweise integriert es sich in diese.
Compliance-Regularien eine Rolle, die weitere Anforde- Unternehmen leiden zunehmend an der – nicht nur in
rungen an IT-Abteilungen stellt. IT-Security-Umgebungen – häufig anzutreffenden viel zu
heterogen gewachsenen Struktur, die auf sog. Point-So-
Arbeitsweise lutions, also Nischen-Lösungen basieren. Diese integrie-
Applikationskontrolle stellt ein Werkzeug zur Verfügung, ren sich nur bedingt oder gar nicht, sind aufgrund der
das Administratoren in die Lage versetzt, gezielt auf ein- Vielfalt schwierig in der Administration - und erhöhen
zelne Applikationen einzuwirken - auch dann, wenn die- oft unbemerkt die Betriebskosten eines Unternehmens
se Non-Standard Ports verwenden oder erlaubte Proto- in beträchtlicher Weise. Als unangenehmen Nebenef-
kolle als Tunnel nutzen. Als Teil einer Multi-Layer-Security fekt beeinflussen solche oft seriell in einen Datenstrom
Architektur ermöglicht Applikationskontrolle eine granu- eingebrachten Lösungen auch die Gesamt-Performance
lare Steuerung des Anwendungsverhalten und beein- des Netzwerks negativ, da durch diese Vorgehenswei-
flusst so im positiven Sinne die Bandbreite, Performance, se Pakete oft mehrfach analysiert werden – oder im
Stabilität und Zuverlässigkeit sowie die Compliance der schlimmsten Fall sogar Paketinformationen für eine sinn-
IT-Infrastruktur. volle Analyse gar nicht mehr zur Verfügung stehen.
Vorteile zu herkömmlichen Methoden
Eine herkömmliche Firewall kontrolliert den Datenstrom
FortiGate Applikationskontrolle Highlights
basierend auf Port- bzw. Service-Kontrollmechanismen.
Applikations-Kontrolle setzt auf dynamische Untersu- Erkennung und Kontrolle von über 2000 Applikationen
Traffic-Shaping (pro Applikation)
chung der Daten und ermöglicht überdies die Anwen-
Facebook Applikations- und Kategorie-Kontrolle
dung weiterer Kontrollen, wie etwa Bandbreitenvergabe Erkennung und Kontrolle einzelnen
pro Applikation oder Zeitfenster bzw. -konten für deren Anwendungs-Services
Nutzung. Weiterhin kann sogar innerhalb von Appli- Einrichtung von Zeitfenstern oder -Konten pro User
Kombination mit anderen integrierten UTM-Modulen
(z.B. AV, IPS, URL-Filter, DLP usw.)
Kontrolle weitverbreiteter Anwendungen
unabhängig von Port oder Protokoll:
Facebook, KaZaa, ICQ, Gnutella, BitTorrent,
MySpace, WinNY, Skype, Edonkey
44
14FortiGate AntiVirus
Das Antivirus-Modul vereint eine AntiVirus Techniken
Reihe von Features, die verhindern, dass Abhängig vom erforderlichen Schutzniveau können un-
ungewollte oder potenziell gefährliche terschiedliche Instanzen aktiviert werden, die eingehen-
Dateien in das Netzwerk gelangen. Diese de Daten auf Malware untersuchen. Dabei wird unter-
Features arbeiten auf unterschiedliche Weise, wie schieden zwischen Pattern Scan, Grayware Scan und ei-
etwa das Prüfen der Dateigröße, des Namens, des ner heuristischen Analyse. Während die ersten beiden
Dateityps, oder des Vorhandenseins eines Virus oder Verfahren auf bekannte Virus-Definitionen untersuchen,
einer Grayware Signatur. Dabei haben alle Antivirus- ist es möglich, mit Letzterer auch Mutationen bekannter
Mechanismen gleichzeitig Zugriff auf den Datenver- Viren oder gänzlich neue Viren-Signaturen zu erkennen.
kehr, wodurch sichergestellt ist, dass viele Operationen
nahezu gleichzeitig erfolgen können. Dies erhöht die Echtzeit Updates
Performance der Antivirus-Engine erheblich. Die Effizienz einer Antivirus-Lösung wird nicht nur an
ihrem Durchsatz oder an der Erkennungsrate, sondern
Proxy-, Flow- oder Cloud-basierter auch an der Geschwindigkeit, in der Signatur-Updates
AntiVirus eintreffen, gemessen. Über das FortiGuard Distribution
Zusätzlich zu drei Proxy basierenden Antivirus-Daten- Network (FDN) werden diese Informationen kontinuier-
banken beinhaltet FortiOS außerdem eine hoch perfor- lich aktualisiert und in Echtzeit bereitgestellt. Dieser Vor-
mante flow-basierende Antivirus-Option. Diese ermög- gang erfolgt automatisch und erfordert keinen Eingriff
licht es, Dateien jeder Größe zu scannen, ohne die Per- des Administrators. Im Vergleich rangiert Fortinet konti-
formance merklich zu beeinträchtigen. Überdies ist es nuierlich unter den Top5 AntiVirus-Anbietern.
möglich, komprimierte Dateien zu analysieren um auch
versteckte Threats zu erkennen. Durch die Flexibilität,
zwischen den Antivirus-Engines wählen zu können, ist
FortiGate AntiVirus Highlights
es möglich, die ideale Ausgewogenheit zwischen Perfor-
mance und Security individuell an die Umgebung anzu- ICSA Labs Certified (Gateway Antivirus)
Incl. Antispyware und Worm Prevention
passen. Ab FortiOS 5 steht darüber hinaus eine Cloud-Ba-
Protokolle: HTTP/HTTPS SMTP/SMTPS, POP3/POP3S
sierte AV-Engine zur Verfügung. Diese ergänzt die zuvor IMAP/IMAPS, FTP, viele IM Protokolle
genannten Engines und bietet zusätzliches Sandboxing. Flow-Based Antivirus Scanning Modus
So können – ohne die Performance der FortiGate zu be- Automatische “Push” Content Updates
einträchtigen – Dateien in der Cloud analysiert und ihre File Quarantäne Support
Gefährlichkeit in einer sog. Sandbox geprüft werden. IPv6 Support
High Peformance AntiVirus Weitere Features
Fortinets optimierte Anti-Virus-Technologie verwendet skalierbare Performance und ASIC-beschleunigt
eine Kombination aus Signatur- und heuristischen De- Prüfung von VPN (IPSec und SSL) Content
tektionsmodulen und bietet so vielschichtigen Echtzeit- bi-direktionales Content Filtering
schutz gegen zahlreiche Angriffsformen. Extrem hohe komprimierter Dateiformat-Support: tar, gzip, rar, lzh,
iha, cab, arj, zip, bzip2, upx, msc, fsg, und aspack
System-Performance wird durch die Verwendung des
zentralisiertes Management und Reporting für Tausen-
integrierten FortiASIC Content-Prozessors (CP) zusammen de von FortiGate-Systemen
mit Fortinets patentierter Technologie, bekannt unter der Implementierung in Transparent, NAT und Route-Modus
Bezeichnung CPRL oder Content Pattern Recognition Lan- AV-Datenbanken: Standard, Extended, Extreme, Flow
guage, erreicht, die dem beschleunigten Scannen von Vi-
rusdateien und der Heuristik/Anomalie-Erkennung dienen.
www.fortinet.com
15FortiGate WebFiltering
Unerlaubtes Internet-Surfen und die nischen Kongress verabschiedet wurde, um Problemen
Verwendung von webbasierenden An- hinsichtlich des Zugangs auf das Internet und andere
wendungen resultieren häufig in Pro- Informationen in Schulen und Bibliotheken entgegen
duktivitätsverlust, hoher Netzwerklast, zusteuern.
Infizierung mit Malware und Datenverlusten. Web Filte-
ring kontrolliert den Zugriff auf webbasierende Anwen-
dungen wie Instant Messaging, Peer-to-Peer File Sha- Anwendungsbereiche
ring und Streaming-Applikationen. Gleichzeitig werden
Phishing Sites und Blended Threats blockiert. Überdies Steigerung der Produktivität
Erhöhung der verfügbaren Bandbreite
können Botnet Befehle und Fast Flux File Downloads
Verhinderung von Datenverlust oder Veröffentlichung
blockiert werden. Flow basierende Web Filtering Optio- von vertraulichen Informationen über Chat-Seiten,
nen sind ebenfalls verfügbar. nicht erlaubte und nicht kontrollierte Web-Mail Systeme,
Instant Messaging und Peer-2-Peer File Sharing
Arbeitsweise Reduzierung der Bedrohung durch schädliche Webseiten
Das Fortinet WebFilter-Modul besteht aus drei interagie- (Phishing, Pharming, Malware, Spyware, Grayware,
Streaming Media uvm.)
renden Komponenten: dem URL-Filter, dem Web Con-
Einhaltung rechtlicher Bestimmungen (z.B. Copyright)
tent Filter und dem FortiGuard Webfilter Service. Der URL- beim Download von Datei
Filter verwendet URLs und URL Patterns, um Webseiten
zu blockieren. Der Web Content Filter blockiert Web- FortiGate WebFilter Highlights
seiten, die bestimmte Wörter oder Patterns enthalten, 76 Content Kategorien
die individuell spezifiziert werden können. Fortinets über 2 Milliarden Web Seiten kategorisiert
FortiGuard Web Filtering Service reguliert und bietet HTTP/HTTPS Filtering
wertvolle Einsicht in alle Internetaktivitäten und ermög- Kundenspezifisches Black/White-Listing
licht es dem Kunden so, neue gesetzliche oder interne Web Filtering Time-Based Quota
Bestimmungen und Vorschriften einzuhalten. Weitere Features
URL/Keyword/Phrase Block
Jugendschutz
URL/Category Exempt blockiert Java Applets, Cookies,
Fortinet ist ein Mitglied der Internet Watch Foundati- Active X
on in Großbritannien, eine Organisation, die potenziell MIME Content Header Filtering
illegalen Online-Content bekämpft und den Zugang zu IPv6 Support
sexuellem Kindesmissbrauch verhindert. Fortinets Web Flow-based Web Filtering
Filtering Lösungen sind darüber hinaus CIPA-zertifi-
ziert. Das Children‘s Internet Protection Act (CIPA) ist ein
US-Bundesgesetz, das im Dezember 2000 vom amerika-
44
16FortiGate Wireless LAN
FortiGate Security Systeme bieten eine Return on Investment
umfassende Reihe an Funktionen, mit Da jede FortiGate Appliance (ab FG50x) ab FortiOS 4.1.
denen die höchsten Anforderungen über diese Wireless-Controller Funktionalität verfügt,
bei der Implementierung von Wireless können bereits bestehende Gateways durch ein einfa-
LANs erfüllt werden. FortiGate Systeme können in Ver- ches Betriebssystem-Update um dieses Feature erwei-
bindung mit Wireless Access Points (FortiAP) implemen- tert werden – die Anschaffung einer zusätzlichen Platt-
tiert und dazu verwendet werden, Content-basierte Be- form mit einer eigenen Administrations-Oberfläche ent-
drohungen aus E-Mail- und Internet-Traffic, wie Viren, fällt. Durch die hohe Performance und große Reichweite
Würmer, Intrusionen, unangemessenen Internet Con- der neuen FortiAP-Serie ist der Aufbau einer hochsiche-
tent, in Echtzeit zu ermitteln und zu eliminieren, ohne ren und leistungsstarken WLAN-Infrastruktur einfach und
dabei die Performance des Netzwerkes zu beeinträch- kostengünstig möglich. In vielen Anwendungsszenarien
tigen. Neben der Bereitstellung von anwendungsbezo- erübrigt sich unter Umständen sogar das Installieren ei-
genem Schutz bieten die FortiGate Systeme umfassende ner Verkabelung bis zum Arbeitsplatz, da die Durchsatz-
netzwerkbezogene Dienste, wie Firewall, VPN, Intrusion raten der WLAN-Lösung vielfach äquivalent hoch sind.
Detection und Bandbreitenmanagement, welche einen
vollständigen Netzwerkschutz-Service mittels spezieller,
leicht zu verwaltender Plattformen bieten. Insbesonde-
FortiGate WLAN Highlights
re VPN Verschlüsselungs-, Anwender-Authentifizierungs-
und Dateiverzeichnis - Integrations - Leistungsmerkmale Integrierter WLAN-Controller
der FortiGate Systeme ermöglichen eine Eindämmung Bereitstellung von kundenspezifischen Captive Portals
für sichere Anmeldung (auch in Verbindung mit
von Sicherheitslücken von WLAN-Produkten der jetzigen
FortiToken) und User-basierende Authentisierung
Generation und bieten eine vollständige Nachrüstung gegen lokale Datenbank
für jede WLAN-Implementierung. integriertes öffentliches Zertifikat zur WPA-Enterprise
Authentifizierung
Integrierter WLAN Controller Distributed Automatic Radio Resource Provisioning
Die neue Serie von Fortinet eigenen Thin Access Points (DARRP)
MAC-Address Whitelisting
(FortiAP) in Verbindung mit einer Vielzahl von Wire
automatische Profilzuweisung
less Controllern (FortiGate Appliances ab FortiOS 4.1.) Gastzugang-Management via „Receptionist-GUI“
bietet High-Performance Netzwerkzugänge mit inte
grierter Content-Security. Durch die Kombination eines Weitere Features
Wireless Controllers mit einer FortiGate Plattform (grö- Erkennung, Reporting und Unterdrückung von nicht
ßer als Modell FG30B) wird das Sicherheitsniveau des erlaubten Access Points (sog. Rogue APs)
kabelgebundenen LANs automatisch auf die WLAN- granulare Endpoint-Kontrolle
Umgebung übertragen. Der gesamte WLAN-Traffic Standard-Reports, die für Audits nutzbar sind
wird so identitäts-basierend über die UTM-Engines der 802.11n Support (parallel zu a/b/g)
basierend auf 2x2 Multiple-In/Multiple-Out (MIMO)
FortiGate Appliance geleitet und dort entsprechend
Technologie
analysiert, und es werden nur authorisierte Verbindun- Volle Integration in das umfangreiche UTM-
gen zugelassen. Durch diese Integration ist es möglich, Feature-Set einer FortiGate-Appliance
von einer einzigen Konsole aus den Netzwerkzugang zu Applikations- und/oder User-abhängiges
überwachen, Regelwerke einfach und schnell upzudaten Bandbreitenmanagement
und den Datenverkehr und die Einhaltung von Compli- Spannungsversorgung des FortiAP über das LAN-
Kabel (POE-Funktion, nur bei FortiAP 210-Serie)
ance-Regeln kontinuierlich zu überwachen.
Indoor- und Outdoor-Access Points verfügbar
www.fortinet.com
17FortiGate BYOD (Bring Your Own Device)
Die drastische Zunahme von mobilen Endgeräten, die Ab FortiOS 5 stellen alle FortiGate-Appliances umfang-
z.T. auch Privateigentum der Nutzer sind, stellt Unterneh- reiche Funktionen für diesen Zweck bereit. So können
men vor eine Dimension an Herausforderungen: Kont- anhand spezieller Parameter die Endgeräte (Typ & Her-
rolle über Geräte, auf die augrund der Gesetzeslage kein, steller) sowie die installierten Betriebssysteme (Typ & Re-
oder nur ein stark beschränkter und vor allem reglemen- lease) erkannt werden. In Verbindung mit geographi-
tierter Zugriff möglich ist. Aber auch, wenn die Endge- scher Ortsbestimmung, User-Erkennung und -Authenti-
räte Unternehmenseigentum sind, ist eine sichere Kon- fizierung und ggf. weiterer Eckdaten (Zeit, Datenmenge,
trolle oft nur bedingt möglich (z.B. bietet das iOS der Resourcen etc.) sind so individuelle Regelwerke möglich,
Apple-Welt kaum Möglichkeiten, Security-Software zu die in Abhängigkeit dieser Rahmenparameter herange-
installieren). Hier müssen zentrale Mechanismen die de- zogen werden können.
zentrale Sicherheit schaffen.
FortiGateClient Reputation
Nicht nur in BYOD-Umgebungen, sondern in jedem Un- bie-Code, der das Endgerät zum Teil eines Botnets macht.
ternehmen ist es wichtig, frühzeitig zu erkennen, wel- Die neue FortiOS Client Reputation Funktionalität erlaubt
che User bewusst oder unbewusst die IT-Sicherheit ge- es, Usern individuelle Nutzungsprofile zuzuweisen, diese
fährden. Dies kann durch Nutzung unerlaubter Software, regelmäßig auf Abweichungen zu scannen und so eine
Surfen auf gefährlichen Webseiten oder Download von Nutzer-ScoreCard anzulegen. Diese dient wiederum als
infizierten Dateien (Bilder, PDFs, Audio, Video) erfolgen - Basis für Regelwerke, die in Abhängigkeit des User-Scores
aber auch durch die unbemerkte Infektion durch Zom- adaptiert werden können bzw. Alarme auslösen.
FortiGate und Virtualisierung
Die Konsolidierung unterschiedlicher IT- Security-Dienste bis zu 250 VDOMs realisierbar. Neben vielen äußerst
auf einer einzigen Hardware-Plattform kann durch deren flexiblen Konfigurations-Optionen reduziert der Ein-
Virtualisierung optimal ergänzt werden. So lassen sich satz von VDOMs auch den Platz- und Strombedarf.
Kosten senken, die sonst aufgrund von hohem Platzbe- So können z.B. mit einer einzigen FG600C bis zu 10
darf, aufwändiger Wartung und Bedienung, komplizier- kleinere FortiGates (z.B. FG50B oder FG60C) ersetzt
ter Verwaltung von Service-Verträgen, Stromverbrauch werden - ein deutlicher Platzvorteil und bis zu 18.000
und mangelhafter Flexibilität entstehen. Darüber hinaus kWh Stromersparnis pro Jahr.
benötigen immer mehr Unternehmen heterogene Secu-
rity-Dienste für einzelne Teile ihrer Infrastruktur, also un-
terschiedliche Funktionen für verschiedene Abteilungen.
Flexible Port-Zuweisung
Virtuelle Domänen (VDOMs)
Mit der standardisierten und integrierten Virtualisierungs
VDOM 3
funktion – sogenannten virtuellen Domänen (VDOMs) Inter-VDOM
Link
– können sämtliche Funktionen einer FortiGate Ap-
pliance auch als virtuelle Einheit abgebildet wer-
den. Daraus ergibt sich die Möglichkeit, dass einzelne Inter-VDOM
VDOM 2
Link
Abteilungen oder Kunden mehrere oder auch nur
bestimmte Funktionen wie Firewall, AV- oder IPS-Dienste
VDOM 1
nutzen können. Die Verwaltung läuft dabei auf ein und
derselben Appliance. Bei allen Modellen bis zur 600er
Serie sind 10 VDOMs möglich und ab Werk ohne zusätz-
liche Kosten vorhanden. Ab der 1000er Serie sind mit
zusätzlichen Lizenzen weitere VDOMs pro FortiGate
möglich, in den 5000er Chassis-Systemen sind sogar
44
18Vielseitige Einsatzgebiete
VDOM
Vielseitige Einsatzgebiete
VDOM
Kunde
Kostenstelle
Abteilungen
Höchste Flexibilität
VDOMS ermöglichen nicht nur individuelle Security-
Service-Konfigurationen innerhalb von Unternehmen
oder für MSSPs. Sie bieten weitere Vorteile, wie z.B. die
optimierte Lastverteilung innerhalb eines Clusters, in bieten. Dabei kann jede einzelne VDOM individuell und
dem auf einem Cluster-Member z.B. die Firewall im völlig unabhängig mit dem vollen Funktionsumfang
Primary- und die AV-Engine im StandBy-Modus aus- einer FortiGate konfiguriert werden. Änderungen sind
geführt wird - und im anderen Cluster-Member ent- ebenso einfach und schnell - und vor allem ohne Unter-
sprechend umgekehrt. So wird die Performance beider brechung der Services möglich. Ebenso kann eine Inter-
Appliances optimal genutzt und trotzdem eine Hoch VDOM-Kommunikation etabliert werden, wenn dies aus
verfügbarkeit gewährleistet. Ebenso kann auf diese Kundensicht oder für administrative Zwecke erforderlich
Weise ein Cluster entsprechend skaliert werden, ohne sein sollte.
dass Geräte ausgetauscht werden müssten.
Mandantenfähige Security Services FortiGate Virtual Security Highlights
In Verbindung mit FortiManager und FortiAnalyzer
Reduzierung von Platz, Kosten und Stromverbrauch
können extrem flexible Management- und Reporting-
Verfügbar auch auf kleinen FortiGate Modellen
Funktionen mandantenfähig abgebildet und entweder Maximale Flexibilität durch beliebige Kombination
durch den Kunden, die Abteilung oder den Dienstleis- von virtuellen Diensten auf einer Appliance
ter verwaltet werden. Sowohl FortiManager als auch Individuelle Managed Services in Organisationen oder
FortiAnalyzer stellen diese Funktionalitäten, sog. Admi- für MSSPs
nistrative Domains (ADOMs), standardmäßig bereit, eine Mandantenfähigkeit
Skalierbarkeit
Erweiterung ist hier nicht erforderlich.
Erweiterbarkeit (ab 1000er Serie)
MSSPs können auf diese Weise sehr einfach und Large Scale Security Services
kostengünstig maßgeschneiderte Security Services an-
www.fortinet.com
19FortiGate 2-Faktor-Authentifizierung und FortiToken
Bei der Authentifizierung handelt es entweder auf einem Computer oder auf einer FortiGate
sich um die Bestätigung der Identi- Appliance installiert ist, um sich selbst gegenüber ande-
tät von Personen oder Instanzen. Im ren Geräten innerhalb des Netzwerks zu authentifizieren.
Zusammenhang mit Unternehmens- Wenn sich nun eine Instanz im Netzwerk mittels eines
netzwerken müssen die Identitäten von Nutzern oder Zertifikates authentifiziert, kann die andere Instanz prü-
Computern definiert und kontrolliert werden, um si- fen, ob dieses Zertifikat von der CA ausgegeben wurde.
cherzustellen, dass nur autorisierte Instanzen Zugriff auf Die Identifizierung ist daher so vertrauenswürdig, wie die
das Netzwerk erlangen können. Fortinet-Systeme unter- CA, die das Zertifikat ausgegeben hat. Zum Schutz ge-
stützen Netzwerk Zugangskontrolle (NAC) und können gen modifizierte oder missbräuchlich genutzte Zertifika-
so Firewall-Regeln und VPN-Dienste einzelnen Usern te ist es möglich, diese von der CA zurückrufen zu lassen.
dediziert zuweisen.
Eine FortiGate-Appliance unterstützt drei unter- 2-Faktor Authentifizierung
schiedliche Authentifizierung-Methoden: Passwort- Optional und zur Erhöhung der Sicherheit kann ein User
Authentifizierung für Personen, Zertifikat-basierende aufgefordert werden, zusätzlich zu bekannten Infor-
Authentifizierung für Host-Computer oder Endpoints, mationen (Usernamen und Passwort) einen speziellen
sowie 2-Faktor-Authentifizierung für zusätzliche Sicher- Besitz (FortiToken oder Zertifikate) zu dokumentieren.
heit über normale Passwörter hinaus. Bei einem FortiToken handelt es sich um einen Code
Generator, der für die Authentifizierung einen einma-
Lokale Passwortauthentifizierung ligen Code generiert. Wenn dieses Feature aktiviert ist,
Die einfachste Möglichkeit der Authentifizierung ba- muss der Anwender zusätzlich zu Username und Pass-
siert auf User-Accounts, die bereits lokal auf einer wort diesen Code eingeben. Die FortiGate Appliance
FortiGate-Appliance gespeichert sind. Über die Möglich- verifiziert dann den Code des FortiToken in Kombination
keit, einen User-Account vorübergehend abzuschalten, mit Usernamen und Passwort. Diese Form der Authenti-
ist es möglich, den Netzwerkzugang zu unterbinden, fizierung kann z.B. für den Aufbau einer VPN-Verbindung,
ohne den Account zu löschen. Lokale User-Accounts für den Administration-Zugang oder die Nutzung eines
sind eine gute Methode für kleinere FortiGate-Installati- WLAN-Portals verwendet werden.
onen. Sobald mehrere FortiGate Appliances zum Einsatz Als weitere Optionen für diese Art der Authentifizie-
kommen, die mit denselben Accounts arbeiten, ist die rung stehen der Versand einer E-Mail oder einer SMS an
Verwendung externer Authentifizierungsserver empfeh- den sich anmeldenden User zur Verfügung. In diesem
lenswert, um die Account-Verwaltung und -Konfigura Fall müssen die darin enthaltenen Codes zusätzlich zur
tion zu vereinfachen. Anmeldung eingegeben werden.
Server-basierende
Passwortauthentifizierung FortiGate Authentifizierung Highlights
Die Nutzung von externen LDAP, RADIUS oder TACACS+
Authentifizierungs-Servern ist immer dann wünschens- Flexible Auswahl unterschiedlicher
Authentifizierungsmethoden
wert, wenn mehrere FortiGate Appliances dieselben
Integrierte CA
Anwender authentifizieren müssen, oder wenn eine Integrierter Authentifizierungs-Server
FortiGate in ein Netzwerk integriert wird, das bereits 2-Faktor-Authentifizierung mittels FortiToken, E-Mail
einen Authentifizierungsserver beinhaltet. oder SMS
LDAP, RADIUS und TACAS+ Support
Single Sign On mittels FSAE X.509 Support
„Single (user) Sign On“ bedeutet, dass sich Anwender Weitere Features
nur einmal anmelden müssen, um auf unterschiedliche
Netzwerkressourcen zugreifen zu können. Die Fortinet Windows Active Directory und NTLM und Novel eDi-
rectory Support
Server Authentication Extension (FSAE) bietet Single Sign
Fortinet Single Sign On
On Möglichkeiten für: Fortinet OneTimePasswort Software für Smartphones
Microsoft Windows Netzwerke mit Active Directory
Identity Based Policies
oder NTLM Authentifizierung Dynamische User-Profile
Novell Netzwerken mit eDirectory
Lokale Datenbank
Zertifikat basierende Authentifizierung
Xauth over RADIUS für IPSEC VPN
RSA SecurID Support
Ein RSA X.509 Server Zertifikat ist eine kleine Datei, die
LDAP Group Support
von einer Certificate Authority (CA) ausgegeben wird, die
44
20Sie können auch lesen
