1Fortinet-制造業(yè)整體安全解決方案2020/1/14目

錄1.

概論2.

制造型企業(yè)的典型網(wǎng)絡(luò)組成與安全分析3.

先進(jìn)制造業(yè)的安全解決方案4.

Why

Fortinet

–

Fortinet核心競(jìng)爭(zhēng)力?概述概述?

第四次工業(yè)革命/工業(yè)制造2025簡(jiǎn)介?

先進(jìn)制造業(yè)的數(shù)字化轉(zhuǎn)型趨勢(shì)?

數(shù)字化轉(zhuǎn)型下的制造業(yè)的安全挑戰(zhàn)概述4第四次工業(yè)革命à網(wǎng)絡(luò)化、數(shù)字化、智能化5將制造企業(yè)的所有信息技術(shù)整合進(jìn)數(shù)字空間，

它徹底改變了企業(yè)的運(yùn)營(yíng)的運(yùn)行模式，以及

如何將產(chǎn)品價(jià)值傳遞給客戶的方式[DigitalTransformation]6數(shù)字化轉(zhuǎn)型數(shù)字化轉(zhuǎn)型，業(yè)務(wù)越來(lái)越開(kāi)放和交互

能力，信息安全風(fēng)險(xiǎn)的暴露面正逐步

增加。人工智能、機(jī)器學(xué)習(xí)、沉浸體驗(yàn)、數(shù)字

化平臺(tái)等新技術(shù)應(yīng)用，引入了新的安全

機(jī)遇與風(fēng)險(xiǎn)。OWASPTOP

10“黑灰產(chǎn)”人員數(shù)量眾多，外部威

脅更加智能，攻防不對(duì)，滲透攻擊

成果顯著。數(shù)字化轉(zhuǎn)型-安全建設(shè)面臨的新挑戰(zhàn)業(yè)務(wù)層面技術(shù)層面外部威脅層面Gartner發(fā)布的新興科技技術(shù)成熟度曲線IDC數(shù)字化轉(zhuǎn)型分析預(yù)測(cè)報(bào)告7震網(wǎng)（2010）伊朗核設(shè)施可能被破壞，

導(dǎo)致核計(jì)劃推遲Swift系統(tǒng)被侵（2016）黑客攻入多國(guó)央行及商業(yè)銀行，

偷走超過(guò)1億美元開(kāi)房記錄（2013）如家、漢庭等2000萬(wàn)條記錄12306（2014）撞庫(kù)導(dǎo)致13萬(wàn)帳號(hào)泄漏Shadow

Brokers（2016）公開(kāi)出售美國(guó)國(guó)家安全局（NSA）

下屬“方程式”組織的攻擊工具WannaCry變種病毒（2018）TSMC

臺(tái)積電工廠停產(chǎn)WannaCry勒索軟件（2017）150萬(wàn)國(guó)家23萬(wàn)臺(tái)電腦受攻擊華住（2018）身份證、手機(jī)號(hào)、賬

號(hào)、開(kāi)房記等共5億條極光APT（2010）Google部分及Gmail帳號(hào)被盜韓國(guó)銀行（2013）多家銀行業(yè)務(wù)癱瘓

近4天才恢復(fù)社保系統(tǒng)（2015）某省市、5000萬(wàn)條參

保人信息外泄希拉里郵件門(mén)（2016）影響美國(guó)總統(tǒng)大選源代碼（2012）賽門(mén)鐵克VMWare全球企業(yè)層出不窮的安全事件網(wǎng)易（2015）疑似5億帳號(hào)泄漏Sony（2014）未上映電影拷貝棱鏡門(mén)（2013）8August27th,2014Majorcyberattack

hits

Norwegianoil

industryMorethan50Norwegianoilandenergypanieshavebeenhacked

by

unknown

attackers,

accordingto

government

securityauthorities.State-ownedStatoil,Norway'slargestpetropany,appearstobethe

maintargetof

what's

described

asthe

country'sbiggesteverhackattack.January

1st,2015ACyberattack

HasCausedConfirmed

Physical

DamageHackershadstruckanunnamedsteelmillinGermany.They

did

so

by

manipulating

and

disrupting

control

systemstosuch

a

degreethatablastfurnacecouldnotbeproperlyshutdown,

resulting

in“massive”—though

unspecified—damage.December23rd,2015Iranian

HackersClaimCyberAttackon

NewYork

DamAn

IranianhacktivistgrouphasclaimedresponsibilityforacyberattackthatgaveitaccesstothecontrolsystemforadaminthesuburbsofNewYork—anintrusionthatoneofficialsaidmaybe"justthetipoftheiceberg”

.September23th,2010Stuxnetworm'targetedhigh-valueIranian

assets’StuxnetwasfirstdetectedinJunebyasecurityfirmbasedinBelarus,but

may

have

beencirculatingsince

2009.Unlike

mostviruses,

thewormtargetssystemsthataretraditionallynotconnectedtotheinternetforsecurityreasons.

InsteaditinfectsWindowsmachines

viaUSBkeys-monlyusedtomovefilesaround-infectedwithmalware.

工業(yè)系統(tǒng)上的網(wǎng)絡(luò)安全事件頻發(fā)9[SecurityTransformation]10將數(shù)字空間和數(shù)字科技的所有領(lǐng)域整合進(jìn)一個(gè)安全體系，這個(gè)安全體系能夠提供連續(xù)、可信的業(yè)務(wù)保障與運(yùn)行安全轉(zhuǎn)型防火墻防病毒入侵防御終端安全主機(jī)安全Web安全梳理業(yè)務(wù)流程了解系統(tǒng)協(xié)同確立數(shù)據(jù)權(quán)限梳理資產(chǎn)和數(shù)據(jù)流確定用戶權(quán)限確定權(quán)責(zé)關(guān)系獨(dú)立式安全防御的失效112010年的“極光行動(dòng)”攻擊讓Google進(jìn)行了

全面網(wǎng)絡(luò)安全轉(zhuǎn)型，

BeyondCorp是Google的

零信任網(wǎng)絡(luò)安全的模型。梳理業(yè)務(wù)流程“企業(yè)的傳統(tǒng)安全信任區(qū)域已經(jīng)不再有效”BeyondCorp實(shí)際上是拋棄了對(duì)本地內(nèi)網(wǎng)的信任，

進(jìn)而提出了一個(gè)新的方案，

而不再單一基于傳統(tǒng)網(wǎng)絡(luò)邊界構(gòu)筑安全體系的傳統(tǒng)做法。零信任網(wǎng)絡(luò)設(shè)計(jì)

–GoogleBeyondCorp12自2017年起，Gartner提出了自適應(yīng)模型的完善版本CARTA

（ContinuousAdaptive

RiskandTrust

Assessment)

，其強(qiáng)調(diào)了風(fēng)險(xiǎn)和信任的辯證關(guān)系，核心概念：

“訪問(wèn)，就是從信任的角度去進(jìn)行訪問(wèn)控制；保護(hù)

，就是從風(fēng)險(xiǎn)的角

度去進(jìn)行防御”CARTA強(qiáng)調(diào)動(dòng)態(tài)的信任和防護(hù)，無(wú)論在網(wǎng)絡(luò)什么位置，都

需要進(jìn)行基于對(duì)象的安全檢測(cè)和身份鑒別Gartner提出CARTA

-持續(xù)動(dòng)態(tài)檢測(cè)威脅與風(fēng)險(xiǎn)CARtA=

持續(xù)自適應(yīng)風(fēng)險(xiǎn)和信任評(píng)估CARtA13（1）數(shù)字化轉(zhuǎn)型帶來(lái)的數(shù)字風(fēng)險(xiǎn)：到2020年,60%+的企業(yè)面臨的最大安全風(fēng)險(xiǎn)是數(shù)字安全風(fēng)險(xiǎn)管理問(wèn)題（2）基礎(chǔ)設(shè)施改造：云／SDN／NFV／無(wú)服務(wù)

器計(jì)算等技術(shù)的應(yīng)用使得業(yè)務(wù)模型更復(fù)雜（3）認(rèn)知計(jì)算和智能安全分析：到2020年，高

級(jí)安全分析將嵌入至少75%的安全產(chǎn)品中（4）融合式安全：到2020年，可協(xié)同的集成安

全模式將因行業(yè)的需求而得到越來(lái)越多的采用（5）以對(duì)象為中心的安全和行為：

到2020年，以對(duì)象為中心的安全將在用戶和實(shí)體行為分析方

某省市場(chǎng)需求（6）安全自動(dòng)化：從2017年開(kāi)始，安全自動(dòng)化

成為提升安全效率的重要力量（7）向安全響應(yīng)和預(yù)防轉(zhuǎn)移：企業(yè)安全策略重點(diǎn)由預(yù)防轉(zhuǎn)向檢測(cè)與響應(yīng)Gartner對(duì)全球網(wǎng)絡(luò)安全行業(yè)發(fā)展趨勢(shì)分析-

2018年14Gartner對(duì)企業(yè)安全支出的數(shù)據(jù)

-

2018年數(shù)據(jù)安全網(wǎng)絡(luò)安全應(yīng)用安全安全協(xié)同為企業(yè)的重點(diǎn)投資方向，超過(guò)65%的企業(yè)持續(xù)增加在這三方面的投入15物流社交媒體企業(yè)數(shù)字化價(jià)值鏈脆弱點(diǎn)設(shè)備威脅第三方威脅第三方威脅數(shù)據(jù)盜取或者毀損設(shè)備威脅設(shè)備威脅網(wǎng)站威脅云威脅DDoS

攻擊未知威脅身份盜取威脅未知威脅未知威脅未知威脅未知威脅IP

盜取IP

盜取高級(jí)

NOC某著名企業(yè)商務(wù)合作伙伴數(shù)據(jù)分析數(shù)據(jù)中心合作伙伴電子商務(wù)工廠用戶總部分支物流云16攻擊路徑和攻擊平面步驟一：攻擊和滲透IT系統(tǒng):

IT系

統(tǒng)復(fù)雜而脆弱，設(shè)計(jì)不合理，代

碼漏洞，配置錯(cuò)誤，未進(jìn)行合理

的身份認(rèn)證等問(wèn)題步驟二：內(nèi)網(wǎng)橫向某著名企業(yè)感染更多主機(jī):

內(nèi)網(wǎng)安全域未有效劃分和

隔離，無(wú)法阻擋內(nèi)網(wǎng)橫向某著名企業(yè)步驟三：外聯(lián)黑客并準(zhǔn)備破壞:缺乏對(duì)從內(nèi)而外的非法訪問(wèn)行為

的檢測(cè)。步驟四：開(kāi)始竊取并破壞:缺乏

對(duì)整個(gè)網(wǎng)絡(luò)的異常檢測(cè)和阻擋功

能風(fēng)扇閥門(mén)電機(jī)17實(shí)際上暗流涌動(dòng)……安全防御需要持續(xù)不斷地監(jiān)視資產(chǎn)對(duì)象、協(xié)同分析一切異常，才有可能發(fā)現(xiàn)潛藏的持續(xù)性攻擊（APT）打造真正有效的安全防御體系根據(jù)特征、規(guī)則、閾值……產(chǎn)生的減少碎片安全防御，重塑主動(dòng)的安全體系及能力建設(shè)安全體系的核心日志、告警，永遠(yuǎn)只是冰山一角，

獨(dú)立的安全防御無(wú)法協(xié)同視角18快速

響應(yīng)檢測(cè)未知威脅保護(hù)各攻擊平面中

已知威脅?Internet入口

–

NGFW?內(nèi)網(wǎng)威脅

–

ISFW?數(shù)據(jù)中心

–

DDoS+

DCFW

+DCIPS+

Mail

+Web

+

負(fù)載均衡持續(xù)循環(huán)?端點(diǎn)安全

+

沙盒?郵件安全網(wǎng)關(guān)

+

沙盒?NGFW

+

WAF

+

沙盒

?NoC/SoC

體系建立?無(wú)線網(wǎng)

-

無(wú)線安全?分支機(jī)構(gòu)

–

安全的SD-WAN?工業(yè)場(chǎng)所

–

IoT與智能制造安全數(shù)字化安全體系設(shè)計(jì)檢測(cè)和發(fā)現(xiàn)攻擊平面可信度

評(píng)估?網(wǎng)絡(luò)安全現(xiàn)狀分析報(bào)告?失陷和脆弱資產(chǎn)報(bào)告?安全等級(jí)評(píng)估?安全體系有效性評(píng)估?主動(dòng)發(fā)現(xiàn)威脅?主動(dòng)服務(wù)19制造業(yè)典型網(wǎng)絡(luò)組成及安全分析IT網(wǎng)絡(luò)?

辦公網(wǎng).?

OA辦公網(wǎng)絡(luò).?

分布式銷(xiāo)售互聯(lián)網(wǎng)絡(luò)?

SSL某著名企業(yè)辦公網(wǎng)絡(luò)?

研發(fā)網(wǎng)?IDC數(shù)據(jù)中心?

電商網(wǎng)生產(chǎn)網(wǎng)（OT）?

OT網(wǎng)絡(luò).?

生產(chǎn)基地互聯(lián)網(wǎng)絡(luò)制造業(yè)典型網(wǎng)絡(luò)組成與安全分析21現(xiàn)在，OT

是….

與公司IT網(wǎng)互聯(lián).

采用通用Internet協(xié)議.

運(yùn)行在由從IT發(fā)端的通用硬件上.

運(yùn)行在主流IT操作系統(tǒng)上.

原來(lái)越多的通過(guò)標(biāo)準(zhǔn)WiFi協(xié)議連接從前，OT

是….

與IT隔離.

運(yùn)行專(zhuān)有控制協(xié)議.

運(yùn)行在專(zhuān)有硬件上.

運(yùn)行在專(zhuān)有的嵌入式操作系統(tǒng)上.

由銅纜或者雙絞線連接IT與OT的融合22推薦的安全措施.

安全域劃分與加密通訊.

訪問(wèn)控制（設(shè)備，用戶，應(yīng)用，

協(xié)議）.

安全的無(wú)線網(wǎng)接入.

漏洞與補(bǔ)丁管理系統(tǒng).

基于行為的分析與追蹤(UEBA)現(xiàn)在OT

是

….

與公司IT網(wǎng)互聯(lián).

采用通用Internet協(xié)議.

運(yùn)行在由從IT發(fā)端的通用硬件上.

運(yùn)行在主流IT操作系統(tǒng)上.

越來(lái)越多的通過(guò)標(biāo)準(zhǔn)WiFi協(xié)議連接以前完全隔離和各自專(zhuān)用的兩者現(xiàn)在緊密的連接在了一起IT與OT的融合23>

構(gòu)網(wǎng)兩極化：網(wǎng)絡(luò)較為開(kāi)放，OT/IT網(wǎng)絡(luò)共用同一網(wǎng)絡(luò)設(shè)備互聯(lián)；或OT/IT網(wǎng)絡(luò)物理隔離；>

缺少網(wǎng)絡(luò)安全設(shè)備有效地針對(duì)OT/IT網(wǎng)進(jìn)行安全區(qū)域劃分和進(jìn)行安全運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控；>

OT網(wǎng)接入設(shè)備以有線/無(wú)線方式接入，網(wǎng)絡(luò)安全設(shè)備部署沒(méi)涉及“最后一公里”的安全體系聯(lián)動(dòng)防御；>

缺乏主動(dòng)阻止外部惡意攻擊和發(fā)現(xiàn)與阻擋高級(jí)可持續(xù)性攻擊的能力，

OT迅間網(wǎng)癱瘓；>

OT網(wǎng)設(shè)備接入缺乏必要身份或資產(chǎn)識(shí)別，定位安全威脅與取證過(guò)程低效；>

OT網(wǎng)服務(wù)器存在安全和管理風(fēng)險(xiǎn)點(diǎn)：因歷史原因，OT網(wǎng)系統(tǒng)、版本等老舊、漏洞多等安全問(wèn)題；>

終端電腦/工控機(jī)：因歷史原因，設(shè)備系統(tǒng)存在非標(biāo)準(zhǔn)化，造成管理雜亂、漏洞多等安全問(wèn)題；>

終端電腦/工控機(jī)：缺乏定期病毒查殺習(xí)慣與機(jī)制；感染主機(jī)處理不及時(shí)，存在安全隱患；>

某著名企業(yè)設(shè)備接入缺乏管理和制度，容終端病毒感染與傳播；>

安全教育意識(shí)不足；沒(méi)形成網(wǎng)絡(luò)安全規(guī)范，指引日常安全操作；國(guó)內(nèi)制造業(yè)生產(chǎn)網(wǎng)（OT)普遍現(xiàn)狀24然而，安全最佳實(shí)踐和建議卻是：1.制定備份和恢復(fù)計(jì)劃；2.使用多層次深度防御；3.持續(xù)保持軟件更新并及時(shí)打補(bǔ)丁4.使用應(yīng)用程序白名單；5.將您的網(wǎng)絡(luò)分段到不同的安全區(qū)域中;6.建立并實(shí)施權(quán)限分配和特權(quán)管理；7.建立并強(qiáng)制實(shí)施BYOD安全策略；8.用戶教育；9.

固件更新機(jī)制；10.定期的安全評(píng)估；25先進(jìn)制造型企業(yè)安全解決方案先進(jìn)制造型企業(yè)安全解決方案解決方案組成?1.解決方案基礎(chǔ)：Intent-basedsegmentation(基于業(yè)務(wù)意圖的安全分區(qū))

、研發(fā)紅區(qū)隔離?2.某著名企業(yè)辦公網(wǎng)絡(luò)及安全解決方案(涵蓋企業(yè)統(tǒng)一身份認(rèn)證平臺(tái)建設(shè))?3.分布式機(jī)構(gòu)互聯(lián)方案(最具優(yōu)勢(shì)的VPN網(wǎng)絡(luò))?4.數(shù)據(jù)中心安全(物理與云中心/電商平臺(tái))?5.APT防護(hù)(企業(yè)工單系統(tǒng)WAF...企業(yè)反垃圾郵件...0day攻擊)?6.OT安全解決方案與最佳實(shí)踐?7.解決方案構(gòu)件間的融合--Security

Fabric&SIEM集成27Intent-basedsegmentation

(基于業(yè)務(wù)意圖的安全分區(qū))l

通過(guò)劃分VLAN隔離不同的部門(mén)的終端的部署l

避免不同VLAN間的不當(dāng)配置造成的影響l

跨VLAN的控制需要開(kāi)啟三層交換機(jī)ACL，不實(shí)用

且耗性能l

最原始的安全分區(qū)VLAN

10安全分區(qū)的層次1

–MacroSegmentation（宏分區(qū)）SalesFinanceEngineeringGuestWireless

Corp.WirelessVPNVLAN2029安全分區(qū)的層次

2

–FirewallSegmentation（防火墻分區(qū)）SalesFinanceEngineeringGuestWireless實(shí)現(xiàn)對(duì)不同VLAN間的流量檢測(cè)與訪問(wèn)控制對(duì)NGFW的性能及穩(wěn)定性要求很高以安全為核心進(jìn)行組網(wǎng)VLAN終結(jié)在防火墻上l

l

l

lCorp.Wireless

VPNVLAN

10VLAN20NGFWNGFW30East-WestConnectorSaaSCloudBroker

APIIaaS

云Management安全分區(qū)的層次

3

–MicroSegment（微分段）虛擬化

私有云

管理SDN-Orchestration

IntegrationHypervisorHypervisor

平臺(tái)North-South按需Proxy

CASBReportingFlowAPINGFWWAF31APTlNGFW與安全交換機(jī)的聯(lián)合組網(wǎng)l實(shí)現(xiàn)有線/無(wú)線接入的完全控制l端到端的控制，自動(dòng)化安全工作流安全分區(qū)的層次

4

–

AccessLayer

fullcontrolFortiSwitchPOE□

數(shù)據(jù)

控制

□

管理FortiGateNGFW/UTM/SD-WAN有線

+無(wú)線LANControllerAccess

PointsAccess

Points安全32l實(shí)現(xiàn)SSL加密流量的全監(jiān)控lNano隔離（進(jìn)程級(jí)的監(jiān)控與隔離）l自動(dòng)化編排l基于意圖/業(yè)務(wù)發(fā)展進(jìn)行分區(qū)隔離安全分區(qū)的層次

5

–

？？？33不斷進(jìn)化的復(fù)雜攻擊無(wú)法隔離持續(xù)增長(zhǎng)的(75%1)加密流

量有限的可視化&控制50%+的工作負(fù)載遷移到多

云增加的攻擊面軟件定義數(shù)據(jù)中心缺乏7層安全(L7)工業(yè)驅(qū)動(dòng)

&

企業(yè)面臨的挑戰(zhàn)需要高級(jí)(L7)且高的安全效能來(lái)應(yīng)對(duì)挑戰(zhàn)1.“NSS

Predicts75%ofWebTrafficWill

Be

Encryptedby2019,”

NSS

Labs,

November9,

2016.34使用哪些高級(jí)安全技術(shù)?業(yè)務(wù)驅(qū)動(dòng)?

風(fēng)險(xiǎn)移除

?合規(guī)?

可信應(yīng)用的完整性?可操作性基于意圖的安全分區(qū)信任如何建立??

工作負(fù)載

(micro)?

端口/設(shè)備

(macro)?

進(jìn)程(nano)?

應(yīng)用?

端點(diǎn)持續(xù)的信任評(píng)估基于意圖的安全分區(qū)的應(yīng)用?

網(wǎng)絡(luò)?

身份?

業(yè)務(wù)邏輯(Tagging)

?

編排(FabricConnectors)部署?

分支?

園區(qū)?

數(shù)據(jù)中心

?

多云在哪里分區(qū)?35可以應(yīng)用哪些高級(jí)安全技術(shù)?業(yè)務(wù)邏輯

(Tagging)什么地方需要分區(qū)?網(wǎng)絡(luò)

&基礎(chǔ)設(shè)施編排(FabricConnectors)Intent-Based

Segmentation

根據(jù)業(yè)務(wù)成效把IT資產(chǎn)進(jìn)行分段隔離，使用自適應(yīng)信任機(jī)制，應(yīng)用高性能的高級(jí)安全技術(shù)提升安全態(tài)勢(shì)，

移除威脅，

滿足合規(guī)和運(yùn)營(yíng)效率要求Intent-Based

分區(qū)的細(xì)節(jié)持續(xù)的信任評(píng)估信任關(guān)系如何建立?Policy&

AccessApplication

ProcessEndpoint網(wǎng)絡(luò)地址Macro身份Micro36把業(yè)務(wù)意圖轉(zhuǎn)換成使用場(chǎng)景和客戶收益意圖

手段

收益Multiple-costeffectiveenforcementpoints1.

Risk

Mitigation3.TrustedApplicationIntegrity自適應(yīng)的訪問(wèn)控制可信的應(yīng)用訪問(wèn)4.Operational

Efficiency2.Achievepliance有效掌控攻擊向量全面滿足監(jiān)管要求實(shí)現(xiàn)某個(gè)合規(guī)要求減小攻擊平面分布式實(shí)施37Use

CasesSegmentationAppliedTrust

Level

邊界安全Macro網(wǎng)絡(luò)地址

減小攻擊面Micro,

macro身份

&

網(wǎng)絡(luò)

實(shí)現(xiàn)了某個(gè)合規(guī)Micro,

Endpoint身份

&

業(yè)務(wù)邏輯唱

信任的應(yīng)用完整性Micro,

macro,application身份,

網(wǎng)絡(luò)

&業(yè)務(wù)邏輯

安全的物理訪問(wèn)GPS(Geo-IP)

LocationBadged-inStatus○

TieredCloud

AccessDynamicCloudworkloadMeteredCloud

Usage

&

Identity基于意圖的微分段用例38微分段網(wǎng)絡(luò)架構(gòu)客戶用例微分段網(wǎng)絡(luò)架構(gòu)FinanceEngineeringGuestWirelessCorp.WirelessVPNSales40OutsideNGFWNGFWInsideFinanceEngineeringGuestWirelesslSSL

Inspection

l

IPSl

Antivirusl

ApplicationControll

WebContent

FilterlData

Loss

PreventionlSecure

EmailGatewaylDenialofService

Protectionl

WebApplication

FirewalllCloudAccessSecurity

Brokerl

AdvancedThreat

ProtectionlEndpoint

Protection?在Internet邊界啟用所有的

安全檢測(cè)

扁平的網(wǎng)絡(luò)沒(méi)有安全

可視化嚴(yán)重受限

妥協(xié)的風(fēng)險(xiǎn)非常高lNetworkAddressl

UserIdentitylBusiness

LogiclFabric

Connectorsl

Applicationsl

Device

Identity用例

–

邊界安全?保護(hù)業(yè)務(wù)免受外部攻擊?保護(hù)用戶免受來(lái)自Internet

的威脅?讓用戶保持生產(chǎn)率Corp.Wireless

VPNSales

Solution

Problem建立信任關(guān)系高級(jí)安全41OutsideNGFWNGFWInsideISFWZone

1-AZone

1-BlSSL

Inspection

l

IPSl

Antivirusl

ApplicationControllWebContent

FilterlData

Loss

PreventionlSecure

EmailGatewaylDenialofService

Protectionl

WebApplication

FirewalllCloudAccessSecurity

Brokerl

AdvancedThreat

ProtectionlEndpoint

Protection用例–

減少攻擊平面?更多的安全控制點(diǎn)?創(chuàng)建密閉區(qū)域?檢測(cè)SSL流量?檢測(cè)應(yīng)用程序?檢測(cè)0-Day惡意軟件?保護(hù)關(guān)鍵資產(chǎn)lNetworkAddressl

UserIdentitylBusiness

LogiclFabric

Connectorsl

Applicationsl

Device

Identity?扁平的網(wǎng)絡(luò)?沒(méi)有的可視化?沒(méi)有的安全性

AdvancedSecurityFinanceEngineeringGuestWirelessCorp.Wireless

VPNSales

Solution

ProblemEstablishingTrustZone2-AZone2-BISFW42OutsideInsideFinanceEngineeringGuestWirelessCorp.WirelessVPNSaleslSSL

Inspection

l

IPSl

Antivirusl

ApplicationControllWebContent

FilterlData

Loss

PreventionlSecure

EmailGatewaylDenialofService

Protectionl

WebApplication

FirewalllCloudAccessSecurity

Brokerl

AdvancedThreat

ProtectionlEndpoint

Protection?

Establishtrustwith

sources

insideandoutsidethe

network?使用共享安全情報(bào)的解決方

案保護(hù)應(yīng)用程序?利用可覆蓋某著名企業(yè)設(shè)備和云使

用場(chǎng)景的安全性?檢查SSL以確保受信任的業(yè)

務(wù)流量?在內(nèi)網(wǎng)訪問(wèn)源與外部網(wǎng)絡(luò)間

建立信任用例

–受信的應(yīng)用程序完整性lNetworkAddressl

UserIdentitylBusiness

LogiclFabric

Connectorsl

ApplicationslDevice

Identity?必須保護(hù)關(guān)鍵業(yè)務(wù)應(yīng)用程序?應(yīng)用程序的多樣化?來(lái)自于各種地域的用戶

AdvancedSecurity

Solution

ProblemEstablishingTrustNGFW

NGFW

ISFWISFW43InsideISFWFinanceEngineeringGuestWirelessCorp.WirelessVPNSaleslSSL

Inspection

l

IPSl

Antivirusl

ApplicationControllWebContent

FilterlData

Loss

PreventionlSecure

EmailGatewayl

DenialofServiceProtectionl

WebApplication

FirewalllCloudAccessSecurity

Brokerl

AdvancedThreat

ProtectionlEndpoint

Protection?多個(gè)執(zhí)行點(diǎn)位置?針對(duì)特定需求的端點(diǎn)覆蓋?物聯(lián)網(wǎng)的網(wǎng)絡(luò)覆蓋

?

可視化?保持關(guān)鍵系統(tǒng)的運(yùn)行l(wèi)NetworkAddressl

UserIdentitylBusiness

LogiclFabric

Connectorsl

ApplicationslDevice

Identity用例

–

滿足合規(guī)?強(qiáng)制受監(jiān)管的訪問(wèn)?未遵循規(guī)范的網(wǎng)絡(luò)邊界?

關(guān)鍵合規(guī)政策

AdvancedSecurity

Solution

ProblemEstablishingTrustOutsideNGFWNGFWISFW44啟用基于意圖的網(wǎng)絡(luò)微分段全新FortiGate

E系列NGFW實(shí)現(xiàn)高性能和高級(jí)

安全性FortiGate3600E

SeriesNext-Generation

Firewall30

GbpsThreatProtection40

GbpsNGFWFortiGate3400E

SeriesNext-Generation

Firewall23

GbpsThreatProtection44

GbpsIPSDeploy

New

High-EndFortiGatesto:?

通過(guò)產(chǎn)品整合降低復(fù)雜性和成本?

檢測(cè)并修復(fù)SSL加密流中的惡意軟

件?

使用IPS保護(hù)未修補(bǔ)的擊的

系統(tǒng)?

通過(guò)高性能自動(dòng)威脅防護(hù)降低風(fēng)險(xiǎn)新品

FortiGate高端下一代防火墻Best

Price/Perf.SSLforIncreasedVisibilityConsolidate&Maximize

ROIHigh-performanceThreat

Protection34

GbpsSSLInspect.30

GbpsSSLInspect.55

GbpsIPS34

GbpsNGFW46FortiGate600E

SeriesNext-Generation

Firewall7

GbpsThreatProtection9.5GbpsNGFWFortiGate400E

SeriesNext-Generation

Firewall5

GbpsThreatProtection7.8GbpsIPSDeploy

New

Mid-rangeFortiGatesto:?

通過(guò)高性價(jià)比的執(zhí)行點(diǎn)，提高運(yùn)作

效率?

檢測(cè)并修復(fù)SSL加密流中的惡意軟

件?

使用IPS保護(hù)合規(guī)性應(yīng)用程序?

通過(guò)高性能自動(dòng)威脅防護(hù)降低風(fēng)險(xiǎn)新品

FortiGate中端下一代防火墻Best

Price/Perf.SSLforIncreasedVisibilityCost-effectivedistributedenforcementHigh-performanceThreat

Protection4.8GbpsSSLInspect.8

GbpsSSLInspect.10

GbpsIPS6

GbpsNGFW47新的FortiGates

E系列（FG-400E/

FG-600E/3400E/3600E）由SPU提供支持，提供

高性能，高級(jí)安全性，支持端到端基于意圖的微分段FortiGate高端E系列和基于意

圖的微分段，幫助企業(yè)降低成

本，復(fù)雜性和風(fēng)險(xiǎn)，

實(shí)現(xiàn)強(qiáng)大

的安全架構(gòu)基于意圖的微分段關(guān)鍵要點(diǎn)降低風(fēng)險(xiǎn)，實(shí)現(xiàn)合規(guī)性，改善

安全狀況并提高運(yùn)營(yíng)效率Fortinet

SPU48研發(fā)紅區(qū)隔離數(shù)據(jù)中心···生產(chǎn)服務(wù)區(qū)···Internet接入?yún)^(qū)外包服務(wù)商區(qū)

（黃區(qū)/綠區(qū)）···園區(qū)網(wǎng)接入?yún)^(qū)外聯(lián)網(wǎng)接入?yún)^(qū)

（供應(yīng)商/服務(wù)商直連）廣域網(wǎng)接入?yún)^(qū)

（分支機(jī)構(gòu)）網(wǎng)絡(luò)核心研發(fā)安全區(qū)零信任的細(xì)顆粒安全域劃分與設(shè)計(jì)研發(fā)安全區(qū)上網(wǎng)區(qū)服務(wù)器組3服務(wù)器組4服務(wù)器組1服務(wù)器組2服務(wù)器組1服務(wù)器組2服務(wù)器組3服務(wù)器組4員

工訪

客50安全域類(lèi)型區(qū)域描述虛擬邊界定義紅區(qū)重要生產(chǎn)系統(tǒng)，需要通過(guò)獨(dú)立的物理硬件進(jìn)行部署,實(shí)現(xiàn)完全的訪問(wèn)控制（防火墻，入侵檢測(cè)，防病毒，沙盒），

提供最高級(jí)別的安全防護(hù)多重安全技術(shù)隔離黃區(qū)自有研發(fā)安全區(qū)及外包研發(fā)安全區(qū)中的相應(yīng)次高安全區(qū)域，可根據(jù)情況采用獨(dú)立或共享的網(wǎng)絡(luò)及安全基礎(chǔ)架構(gòu)設(shè)施；

黃區(qū)需要通過(guò)虛擬桌面的方式進(jìn)行訪問(wèn)；防火墻、IPS隔離

虛擬桌面訪問(wèn)綠區(qū)主要為安全等級(jí)較低的業(yè)務(wù)系統(tǒng)提供部署，物理資源可采用共享架構(gòu)，安全防護(hù)措施亦可共享防火墻隔離藍(lán)區(qū)主要為用戶接入?yún)^(qū)域，部署面向外網(wǎng)的前置服務(wù)器，安全等級(jí)最低，需要進(jìn)行有效的安全防護(hù)防火墻隔離安全域劃分與設(shè)計(jì)51安全域及邊界定義區(qū)域及安全控制需求安全域類(lèi)型區(qū)域名稱(chēng)可訪問(wèn)區(qū)域安全管控需求紅區(qū)數(shù)據(jù)中心生產(chǎn)區(qū)域.

區(qū)域隔離.

嚴(yán)格安全策略.

白名單原則，僅

必要訪問(wèn).

嚴(yán)格安全策略.

網(wǎng)絡(luò)準(zhǔn)入控制.

用戶身份可識(shí)別，權(quán)限可控制.

有完善的訪問(wèn)審批流程.

惡意代碼、網(wǎng)絡(luò)攻擊及高級(jí)威脅防護(hù).

整體數(shù)據(jù)安全可視黃區(qū)自有研發(fā)安全區(qū).

白名單原則，僅必

要訪問(wèn).

嚴(yán)格身份權(quán)限訪問(wèn)

.

嚴(yán)格的文件和網(wǎng)絡(luò)行為審查.

黃區(qū)之間進(jìn)行訪

問(wèn)控制和安全隔

離.

跨區(qū)訪問(wèn)采用白

名單制.

邊界安全隔離.

上網(wǎng)權(quán)限控制.

僵尸網(wǎng)絡(luò)，木馬檢測(cè)

.

單向同步數(shù)據(jù).

用戶身份可識(shí)別，權(quán)限可控制.

惡意代碼、網(wǎng)絡(luò)攻擊及高級(jí)威脅防護(hù).

網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測(cè).

網(wǎng)絡(luò)準(zhǔn)入控制外包研發(fā)安全區(qū)綠區(qū)廣域網(wǎng)接入?yún)^(qū).

白名單原則，僅必要訪問(wèn).

嚴(yán)格安全策略.

嚴(yán)格身份權(quán)限訪問(wèn).

綠區(qū)之前進(jìn)行訪問(wèn)控制和安全隔離.

邊界安全隔離.

上網(wǎng)權(quán)限控制.

單向同步數(shù)據(jù).上網(wǎng)用戶身份可識(shí)別，權(quán)限可控制.惡意代碼、網(wǎng)絡(luò)攻擊及高級(jí)威脅防護(hù).

網(wǎng)絡(luò)行為管理（員工，外包）

上網(wǎng)區(qū)藍(lán)區(qū)Internet接入?yún)^(qū).

提供有限的訪問(wèn).

單向同步數(shù)據(jù).面向互聯(lián)網(wǎng)的訪問(wèn)體系（DDOS/APT/WAF）.

高級(jí)威脅防護(hù)（APT）外聯(lián)網(wǎng)接入?yún)^(qū)訪客區(qū)安全域劃分與設(shè)計(jì)52外包服務(wù)商區(qū)

（黃區(qū)/綠區(qū)）···Internet接入?yún)^(qū)網(wǎng)絡(luò)核心ISFW2研發(fā)安全區(qū)生產(chǎn)服務(wù)區(qū)···NGFW:

防火墻，IPS，防

病毒，應(yīng)用程序控制，URL控制，僵尸網(wǎng)絡(luò)，

IP

信譽(yù)，流量控制外聯(lián)網(wǎng)接入?yún)^(qū)

（供應(yīng)商/服務(wù)商直連）廣域網(wǎng)接入?yún)^(qū)

（分支機(jī)構(gòu)）服務(wù)服務(wù)服務(wù)服務(wù)器組器組器組器組1234客戶端客戶端客戶端客戶端防病毒防病毒防病毒防病毒ISFW1:

防火墻，IPS,

防

病毒，身份認(rèn)證，網(wǎng)絡(luò)準(zhǔn)入，

沙盒聯(lián)動(dòng)ISFW2:

防火墻，IPS，身

份認(rèn)證客戶端防病毒：不同操作

系統(tǒng)，支持沙盒聯(lián)動(dòng)沙盒：自動(dòng)聯(lián)動(dòng)，自動(dòng)掃描共享文件夾上網(wǎng)區(qū)安全域劃分與設(shè)計(jì)ISFW3:

防火墻，IPS服務(wù)器組3服務(wù)器組4服務(wù)器組1服務(wù)器組2NGFW員

工訪

客···ISFW1客戶端

防病毒客戶端

防病毒客戶端

防病毒客戶端

防病毒ISFW1ISFW1ISFW2ISFW1ISFW1ISFW1

ISFW1研發(fā)安全區(qū)園區(qū)網(wǎng)

接入?yún)^(qū)沙盒W2

數(shù)據(jù)中心ISFW1ISFW2ISFW3ISF53某著名企業(yè)辦公網(wǎng)絡(luò)及安全解決方案>

提升企業(yè)工作效率，實(shí)現(xiàn)隨時(shí)隨地接入企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)；>

業(yè)務(wù)從本地?cái)?shù)據(jù)中心逐步往云遷移的過(guò)程中，有效提升云數(shù)據(jù)中心的訪問(wèn)安全性；>

提升訪問(wèn)紅區(qū)網(wǎng)絡(luò)的安全性，SSLVPN加密連接的同時(shí)，確保接入終端的安全合規(guī)；>

SSLVPN提供了更安全的第三方運(yùn)維服務(wù)商和外聯(lián)單位人員的接入方式。某著名企業(yè)辦公網(wǎng)絡(luò)的必要性55?滿足全國(guó)性、全球性的大規(guī)模部署?性能與容量能隨業(yè)務(wù)發(fā)展彈性擴(kuò)展?滿足靈活的、

大規(guī)模的用戶的用戶賬號(hào)管理（FortiAuthenticator）LDAP/Radius集成/雙因子認(rèn)證?細(xì)粒度的權(quán)限控制

?

安全性?

客戶端定制、分發(fā)、

升級(jí)?

技術(shù)支持生產(chǎn)級(jí)的SSL

VPN解決方案的要求56Fortinet生產(chǎn)級(jí)SSL

VPN

解決方案全球化靈活部署（產(chǎn)品形態(tài)：

硬件&VM）專(zhuān)用芯片加速SSL性能FortiAuthenticator專(zhuān)業(yè)的用戶管理平臺(tái)（雙因子認(rèn)證，用戶集成）VPN客戶端

FortiClient的客戶定制化海量的客戶端的分發(fā)、升級(jí)最具實(shí)力的售后技術(shù)支持57FortiAuthenticatorFortiClient分發(fā)服務(wù)器FortiClientEMS1.

Userloginto

ssl

portal

…2.Softwaredownload/updatefromServer

…生產(chǎn)級(jí)SSL

VPN系統(tǒng)組件Customized

installeruploadtoServer

…SSLGateways：

分布式SSL網(wǎng)關(guān)ConnecttoSSLGateway

portal

…FortiClient58FortiClient的Rebranding?

FortiClient的Rebranding工具實(shí)現(xiàn)對(duì)某個(gè)安裝程序進(jìn)行進(jìn)一步的定制，

包

括：üProductname：產(chǎn)品名稱(chēng)（安裝目錄名字…）üpany

name

:公司名稱(chēng)，Website

url等等ü

Feedbackemailü

程序的Logo圖片ü

程序的icon圖片ü

安裝程序的背景圖

ü

…59FortiGateSSL

VPN兩種撥入方案60助力SSL

VPN-新的SPU:ContentProcessor

9(CP9)為業(yè)界設(shè)定了一個(gè)新的性能高度

CPU

CP8CP

9CPU

的性能是基于

Intel

E5-2640V2(8Core

2Ghz)SSLVPN(Gbps)44IPS(Gbps)20SSL(千連接每秒)10013101068761預(yù)防性安全控制單點(diǎn)登錄Zero-day,

高級(jí)威脅防護(hù)

和減緩SSL&

IPSec

VPN雙因子認(rèn)證Fabric

遙感終端合規(guī)

漏掃/減緩/0無(wú)

AgentIoT結(jié)合FortiClient提供更好的端點(diǎn)控制以提高安全性高級(jí)持續(xù)威脅安全遠(yuǎn)程連接Fabric代理已注冊(cè)

威脅評(píng)分(Points)防病毒，應(yīng)用識(shí)別

，

web過(guò)濾FGT

Identity

TrafficBROADDeviceTypeMAC423162“特權(quán)濫用占所有數(shù)據(jù)的96%”VerizonDIBR2017基于角色的訪問(wèn)安全策略和資源分段允制用戶可以訪問(wèn)的資源，防止可能的特權(quán)濫用或竊取您最有價(jià)值的數(shù)據(jù)Verizon調(diào)查發(fā)現(xiàn)80%與黑客相關(guān)的數(shù)據(jù)事件都是利用弱密碼、被盜或缺乏抵抗力的憑證而取得成功。為防止數(shù)據(jù)的泄密，在準(zhǔn)予訪問(wèn)企業(yè)網(wǎng)絡(luò)資源之前，需要強(qiáng)健而靈活的工具校驗(yàn)其身份。無(wú)邊界網(wǎng)絡(luò)的遠(yuǎn)程接入新挑戰(zhàn)認(rèn)證-企業(yè)資產(chǎn)的訪問(wèn)控制過(guò)程的必需項(xiàng)；確保只有已知的和可信的用戶、設(shè)備和應(yīng)用可以訪問(wèn)，保證企業(yè)資源的安全。63.Gartner訪問(wèn)管理（AM）魔力象限（2017）訪問(wèn)管理（AM）適用于通過(guò)訪問(wèn)控制，為多個(gè)用例中的目標(biāo)應(yīng)用程序提供集中

的身份驗(yàn)證、

單點(diǎn)登錄（SSO）、

會(huì)話管理和授權(quán)。到2019年，超過(guò)80%的組織企業(yè)將使用訪問(wèn)管理軟件或服務(wù)，而今天這一比例為

55%。Gartner

AM行業(yè)前景64.

太多的供應(yīng)商已經(jīng)創(chuàng)建了非常復(fù)雜和昂貴的解決方案.

Fort

iAuthenitcator和FortiToken提供了一種強(qiáng)大的工具，以直觀的方式來(lái)解決用戶身份驗(yàn)證問(wèn)題，讓用戶和管理員可以簡(jiǎn)與操作應(yīng)用:本地交付到桌面電腦、CRM、研發(fā)、

人力資源系統(tǒng)等。設(shè)備:主要是公司發(fā)行的個(gè)人電腦，工作

站和臺(tái)式電話用戶:綁定到一個(gè)物理位置，只使用它提供的和經(jīng)過(guò)批準(zhǔn)的應(yīng)用程序建立身份認(rèn)證系統(tǒng)是企業(yè)卓有成效的安全政策的基石應(yīng)用:從云端到任何地方的任何設(shè)備設(shè)備:筆記本電腦、個(gè)人智能手機(jī)、平板電腦和物聯(lián)網(wǎng)設(shè)備。用戶:某著名企業(yè)，使用IT和非IT應(yīng)用程序。云端服務(wù)的使用繼續(xù)增加。業(yè)務(wù)環(huán)境變化提出的身份認(rèn)證需求之前的業(yè)務(wù)環(huán)境現(xiàn)在的業(yè)務(wù)環(huán)境65統(tǒng)一認(rèn)證服務(wù).

代理與無(wú)代理方式.

通過(guò)FortiClient某著名企業(yè)代

理，提供單點(diǎn)登陸的.

動(dòng)態(tài)目錄

PollingAgent.

與第三方基于Radius,Syslog和API的

集成，

實(shí)現(xiàn)RSSO.

對(duì)于云端應(yīng)用，如O365，實(shí)現(xiàn)基于WEB的

認(rèn)證與授權(quán).

集成SAML協(xié)議的身份

提供者（IdP）和服務(wù)

提供者（SP）.

RADIUS,

LDAP,802.1X,

Radius

代

理.

基于WEB的登陸小工

具.

證書(shū)管理.

FortiToken,硬件與軟件

版本選擇.

消息推送，用戶通知.

無(wú)Token,通過(guò)短信與郵

件訪客認(rèn)證自助服務(wù)門(mén)戶?

基于時(shí)間限制的賬號(hào)?

自動(dòng)刪除過(guò)期的賬號(hào)BYOD

訪問(wèn)?

證書(shū)提供Fortinet身份訪問(wèn)管理決解方案認(rèn)證與授權(quán)Web單點(diǎn)登陸

SAML2.0雙因子認(rèn)證訪客與BYOD

自助服務(wù)門(mén)戶Fortinet

單點(diǎn)登陸66Self-ServicePortal通用的單點(diǎn)認(rèn)證RSSO–第三方SSOSyslog雙因子認(rèn)證統(tǒng)一Token管理FortiToken

Mobile

推送Two

Factor通過(guò)SAML實(shí)現(xiàn)WEB單點(diǎn)登陸Chromebook,

Office365SAML證書(shū)管理自助服務(wù)門(mén)戶進(jìn)行業(yè)務(wù)開(kāi)通CertFortiAuthenticator:進(jìn)入Security

Fabric的網(wǎng)關(guān)認(rèn)證與授權(quán)基于身份的訪問(wèn)如：Allen.Z某省市場(chǎng)部Fortinet

單點(diǎn)認(rèn)證代理強(qiáng)制網(wǎng)絡(luò)門(mén)戶FSSO訪客接入服務(wù)自助注冊(cè)門(mén)戶Guest

AccessFortiClientSSOMobilityAgentKerberoswithNTLM

FallbackCap

PortalSSORESTAPIRSSORadiusAccounting

SyslogWireless

訪問(wèn)安全的網(wǎng)絡(luò)入口VPNADCollectorAgentSaaS/IaaSCloudEthernetCertificateServerGenericIDSourceFortiAuthenticatorFortiToken

MobileChromebook802.1X67FSSO 通過(guò)FortiAuthenticator進(jìn)行認(rèn)證與授權(quán)

基于FortiAuthenticator規(guī)則，賦予Fortigate中的角色

FSSOFSSOGenericIDSource802.1X統(tǒng)一認(rèn)證服務(wù)用戶角色指定訪問(wèn)級(jí)別和啟用FortiGuard服務(wù)認(rèn)證與授權(quán)Two

Factor68Fortinet

單點(diǎn)登陸活動(dòng)目錄

/Exchange

PollingKerberos

后向支持NTLM

認(rèn)證活動(dòng)目錄DC

Polling

代理通過(guò)FortiClient

提供某著名企業(yè)性代理

能力

建立身份在有效的安全策

略中很重要，但是讓用戶

在同一會(huì)話中執(zhí)行多個(gè)登

錄可能會(huì)使人感到沮喪并

產(chǎn)生反作用。

一旦在FortiAuthenticator某著名企業(yè)

立了用戶標(biāo)識(shí)，

就可以向

其他網(wǎng)絡(luò)資源授予訪問(wèn)權(quán)

限，而不需要額外的登錄通用的單點(diǎn)登陸Radius

單點(diǎn)登陸

-

RSSOSyslogRest

APIHTML

自助注冊(cè)門(mén)戶SAML2.0

集成認(rèn)證作為服務(wù)提供者（SP）和身

份提供者（IdP)沒(méi)有額外的自助注冊(cè)門(mén)戶單點(diǎn)登陸ChromeBook69

無(wú)論哪個(gè)行業(yè)的企業(yè)都希望讓他們部分的業(yè)務(wù)搬到云端上

隨著云服務(wù)的流行，

擴(kuò)展身份訪問(wèn)控制和管理的需求變得更加迫切。

FortiAuthenticatorSAML2.0集成了服務(wù)（SP)和身份提供者(IdP)，實(shí)現(xiàn)基于企業(yè)創(chuàng)建的身份信息單點(diǎn)登陸到云端應(yīng)用資源1.

用戶通過(guò)瀏覽器訪問(wèn)portal.office進(jìn)行登陸認(rèn)證，訪問(wèn)資源

2.

頁(yè)面自動(dòng)重定向到FortiAuthenticator的登陸頁(yè)面3.

用戶輸入憑證，成功認(rèn)證后將被容相關(guān)資源。注：在這個(gè)例子中，F(xiàn)ortiAuthenticator作為IdP創(chuàng)建SAML的斷點(diǎn)，發(fā)布到Office365云端認(rèn)證，

作為SAML

身份提供者和服務(wù)提供者ChromeBookw/FortiClient3

2170?6或

8

數(shù)字密碼,

30

或

60

秒刷新一次?免費(fèi)安裝，支持其他TOTP&HOTP令牌?支持二維碼服務(wù)開(kāi)通?從FortiAuthenticator獲得PIN碼，加強(qiáng)保護(hù)?

FIPS-140合規(guī)選項(xiàng)?可編程種子選項(xiàng)71?生物醫(yī)學(xué)解鎖，進(jìn)行智能手機(jī)準(zhǔn)入；認(rèn)證

可以增加這兩方面的安全性，如：指紋解鎖或人臉識(shí)別。（這基于某著名企業(yè)設(shè)備的支持

程度）?6或

8

數(shù)字密碼,

30

或

60

秒刷新一次更強(qiáng)的認(rèn)證方式可以容用戶使用FortiToken

軟件版本?友好的推送通知，良好的用戶體現(xiàn)FortiToken

硬件版本?硬件版本適用于任何場(chǎng)景雙因子認(rèn)證

-

有效結(jié)合SSLVPN方案FortiAuthenticator需求提供

第二個(gè)因子的驗(yàn)證，憑證有

軟件版的FortiToken提供。用戶被智能電話推送告知，在這實(shí)例上，通過(guò)指紋解鎖

進(jìn)入智能電話，獲取OTP密鑰用戶認(rèn)證與授權(quán)過(guò)程會(huì)在FortiAuthenticator的Log

數(shù)據(jù)庫(kù)上呈現(xiàn)。同時(shí)，可

以使用Fortinet單點(diǎn)登錄。雙因數(shù)認(rèn)證

授予訪問(wèn)

用戶方式日志更強(qiáng)的認(rèn)證方式可以容用戶使用實(shí)例:

增強(qiáng)的云端服務(wù)認(rèn)證用戶輸入用戶名與密碼，

把認(rèn)證請(qǐng)求發(fā)送到由FortiAuthenticator提供

的認(rèn)證服務(wù)OTP密鑰發(fā)送回FortiAuthenticator,用戶

獲得訪問(wèn)應(yīng)用的權(quán)限WEB認(rèn)證門(mén)戶72BYOD任意攜帶非公司發(fā)行的設(shè)備，如手機(jī)和平板電腦。設(shè)備注冊(cè)X.509證書(shū)部署和管理Guest創(chuàng)建臨時(shí)SSLVPN訪問(wèn)帳戶有效時(shí)長(zhǎng)、訪問(wèn)策略自動(dòng)綁定至用戶組接待員注冊(cè)選項(xiàng)友好的用戶登陸界面，允和管理員提供來(lái)賓賬號(hào)管理、BYOD設(shè)備和證書(shū)部署自助服務(wù)門(mén)戶

–為外部人員提供安全的臨時(shí)SSLVPN接入73分布式機(jī)構(gòu)互聯(lián)方案-SDBranch新型制造業(yè)分支的安全挑戰(zhàn)?

基于商業(yè)利益APT攻擊日益流行?

基于0day漏洞的勒索軟件不斷進(jìn)化迭代?

分布式網(wǎng)絡(luò)系統(tǒng)存在著攻擊面廣、管控難的特點(diǎn)?

企業(yè)通常沒(méi)有足夠的安全技術(shù)工程師?

分布式網(wǎng)絡(luò)系統(tǒng)通常要兼顧性能、

穩(wěn)定性、彈性擴(kuò)展、安全性等眾多維度的要

求?

新型分支機(jī)構(gòu)的網(wǎng)絡(luò)彈性擴(kuò)展、業(yè)務(wù)要求的便利性、安全控制的細(xì)粒度這三者

同時(shí)滿足的挑戰(zhàn)性非常大75制造業(yè)分布式機(jī)構(gòu)方案目標(biāo)?

高效組網(wǎng)ü方案標(biāo)準(zhǔn)化：每個(gè)分支機(jī)構(gòu)產(chǎn)品組合標(biāo)準(zhǔn)化，開(kāi)箱即用ü實(shí)施標(biāo)準(zhǔn)化：分支實(shí)施標(biāo)準(zhǔn)化方案，Zero-touch部署，簡(jiǎn)便快捷ü彈性擴(kuò)展：標(biāo)準(zhǔn)化的產(chǎn)品方案+標(biāo)準(zhǔn)化的實(shí)施，實(shí)現(xiàn)滿足快速開(kāi)店的彈性ü生產(chǎn)級(jí)VPN：高效且穩(wěn)定的VPN組網(wǎng)ü控制平面的高穩(wěn)定性：VPN

、路由、策略分發(fā)、集中式監(jiān)控ü生產(chǎn)數(shù)據(jù)平面高吞吐：芯片級(jí)轉(zhuǎn)發(fā)性能76制造業(yè)分布式機(jī)構(gòu)互聯(lián)方案目標(biāo).細(xì)粒度的安全管理ü覆蓋所有攻擊面：涵蓋接入、網(wǎng)關(guān)、應(yīng)用層、

云應(yīng)用安全ü統(tǒng)一無(wú)線、有線的安全管控（UniAccess

control）：一致的安全策

略ü把安全控制前移到接入端77制造業(yè)分布式機(jī)構(gòu)互聯(lián)方案目標(biāo)?建立自動(dòng)化的防御體系，實(shí)現(xiàn)：ü威脅情報(bào)的自動(dòng)化同步ü威脅識(shí)別、攔截、清除的自動(dòng)化

üSecurityRating的自動(dòng)化78FortinetSD-Branch解決方案軟件定義分支機(jī)構(gòu)網(wǎng)絡(luò)79SD-BranchFortiSwitch什么是SD-Branch？安全SD-WAN到SD-Branch

的擴(kuò)展SD-WAN

((

)

/SD-WANSecureSD-WANSD-BranchSD-BranchFortiAP80Purpose-BuiltSecurity

Processor集中式管理和分析ZeroTouch

部署FortiGate集成了最好的

NGFW和

SD-WANWAN優(yōu)化安全SD-WANWAN路徑控

制器應(yīng)用識(shí)別和

控制Threat

IntelligenceCloudSandboxAntiMalwareWebFilteringFortiOS路由IPS81完整NGFWSECURITY某省市場(chǎng)領(lǐng)軍.

SSL

檢測(cè).

基于業(yè)務(wù)意圖的安全分段簡(jiǎn)潔NOC型SOC集中式管理/控制FortiManagerFortiGate靈活3G/4G

BroadbandFortinet

Secure

SD-WAN

概貌SD-WAN.

識(shí)別3000+

應(yīng)用.

自動(dòng)化WAN

鏈路控制.

SaaS

應(yīng)用的

SLANETWORKING.

自動(dòng)化VPN部署.

動(dòng)態(tài)路由.

無(wú)線/交換

集成控制ZeroTouch

部署單一管理平面82Internet安全

SD-WAN部署SaaSMulti-CloudInternetMPLSData-CenterSD

WANBranch83InternetMulti-CloudSaaSData

CenterFortinetSecureSD-Branch

提供安全訪問(wèn)Simplified

ManagementLowerTCOIntegratedSecurityInternetMPLSSD

WANFortiLinkFortiSwitchFortiAPFortiAP84ConsolidationofBranchServiceswithSD-WAN單一管理平面管理LAN和WAN的安全?

Fortinet

istheonlyvendorto

integratewiredandwirelessmanagementdirectly

intoan

industryleadingfirewall.?

No

licenses

requiredto

manage

accessthrough

FortiOS.

SD-

BranchFortiSwitchFortiAPFortiGate

SDWANWANSecurity

Routing

SD-WANLAN85FAC1FAZ1IDC-AFAC2FAZ2IDC-B分支FortiAPFortiSwitch-PoEOfficeWiFiGuestWiFiRJ45接入整體拓?fù)涫疽鈭DFor

tiGateIPSecVPNIPSecVPNFortiSwitch-PoE86組網(wǎng)描述.FortiGate

NGFW建設(shè)高性能VPN網(wǎng)絡(luò)，實(shí)現(xiàn)控制平面.FortiGate

NGFW芯片級(jí)的轉(zhuǎn)發(fā)，實(shí)現(xiàn)分支機(jī)構(gòu)的高效Internet訪問(wèn).內(nèi)網(wǎng)采用FortiSwitch接入有線節(jié)點(diǎn)（終端、服務(wù)器、商超智能設(shè)備）.FortiAP接入FortiSwitch的PoE接口，以分離式SSID分別接入業(yè)務(wù)無(wú)線終端與訪客終端.

總部的FortiGate充當(dāng)FortiAP的控制器，分支FortiAP的流量采用本地轉(zhuǎn)發(fā)模式.

總部部署FortiManager實(shí)現(xiàn)統(tǒng)一配置平面，配置FortiAnalyzer作為統(tǒng)一的日志存儲(chǔ)與安全報(bào)表中心87FortiGate與FortiSwitch的聯(lián)合組網(wǎng)?

組網(wǎng)模式üFortiGate作為L(zhǎng)AN

ControllerüFortiSwitch作為FortiGate接口的延伸üFortiGate借由FortiSwitch實(shí)現(xiàn)接入層的安全監(jiān)測(cè)FortiSwitchPOE□

數(shù)據(jù)

控制□

管理88FortiGateNGFW/UTM/SD-WAN有線

+無(wú)線LANControllerAccess

PointsAccess

Points安全FortiGate與FortiSwitch的聯(lián)合組網(wǎng)89FortiGate采用FortiLink協(xié)議管理FortiSwitch?

FortiLink是防火墻和被管理的交換機(jī)之間的通訊協(xié)議?

Fortinet的私有協(xié)議,FGT基于FortiLink來(lái)管理FSW?

FortiLink

鏈路承載了FSW和FGT之間的通訊報(bào)文以及用戶業(yè)務(wù)數(shù)據(jù)報(bào)文

FortiLink

+CAPWAP+業(yè)務(wù)流量FortiLinkFSWFGTSTAPoEFAP90rack1rack2rack3FortiLink組網(wǎng)的擴(kuò)展性-企業(yè)級(jí)組網(wǎng)架構(gòu)

MCLAG

MCLAG

使用MCLAG協(xié)議實(shí)現(xiàn)多層彈性組網(wǎng)MCLAGMCLAGMCLAGMCLAGMCLAGMCLAGMCLAGMCLAG9192FortiLink組網(wǎng)的擴(kuò)展性-企業(yè)級(jí)組網(wǎng)架構(gòu)FortiGate&FortiSwitch聯(lián)合組

網(wǎng)的安全功效安全功效：

全攻擊面的可視化設(shè)備識(shí)別-每端口的設(shè)備可視化?

在FortiSwitch界面上顯示MAC地址?

可獲取所接入設(shè)備的完整信息95FortiView

–物理和邏輯拓?fù)淇梢暬?顯示FortiSwitch/FortiAP所接入的所有設(shè)備96設(shè)備發(fā)現(xiàn)

–

LLDP-MED從FortiGate上部署

LLDP-MED策略?

好處:

自動(dòng)對(duì)接入的設(shè)備(如IP

電話)指定網(wǎng)絡(luò)配置

(VLAN,802.1p和DSCP

值)?

無(wú)線人工配置?

針對(duì)語(yǔ)音流量設(shè)置QoS?

在FortiGate上配置好策略，然后下發(fā)給FortiSwitchLLDP-MED:VoiceVLAN802.1pDSCPdata97包含F(xiàn)ortiSwitch的Security

Fabric的應(yīng)用識(shí)別涵蓋VPN、有線接入、

無(wú)線接入、應(yīng)用層、

云應(yīng)用的可視化98從接入（有線/無(wú)線）開(kāi)始的

安全控制Accesscontrolfromaccess

point802.1x

認(rèn)證對(duì)每個(gè)交換端口接入的認(rèn)證.

安全態(tài)勢(shì)感知.

用戶身份可視化由此可實(shí)現(xiàn)：.

基于用戶身份的防火墻策略.

基于設(shè)備的策略.

動(dòng)態(tài)VLAN

分配100?被感染的終端無(wú)法影響同一網(wǎng)段

的其他用戶?

最細(xì)膩的安全訪問(wèn)控制:?

任意兩臺(tái)主機(jī)之間?

終端之間只能通過(guò)防火墻互訪VLAN

微分段阻斷統(tǒng)一VLAN間的訪問(wèn)fortilinkFGTvlan100vlan100vlan100Host

1Host2Host

3101Port

Level:configportsedit

"port2"setdhcp-snooping

trustednextendVLAN

level:configsystem

interfaceedit

"guest-vlan3999"setswitch-controller-dhcp-snoopingenablenextendDHCP

Snooping?DHCP

untrusted/trusted?

阻斷/跟蹤/允口到網(wǎng)絡(luò)的

DHCP

offers?

識(shí)別阻斷惡意

DHCP服務(wù)器?

port:

untrusted

bydefault?

vlan:disabled

by

default?

Insertoption

82

(optional)102S224EPTF18000118

(30)#

showconfig

switchvlanedit

30setdhcp-snooping

enablesetarp-inspection

enablenextendS224EPTF18000118

(port10)#set

arp-inspection-trusttrustedTrustedDAI

interface.untrustedUntrustedDAI

interface.動(dòng)態(tài)ARP

檢測(cè).

防止IP欺騙.

基于DHCP

snooping表的IP-MAC綁定103S224EPTF18000118#

show

switchacl

ingressconfigswitch

acl

ingressedit

1config

actionset

cos-queue

7set

countenable