飛塔:多維度打造持續立體安全防御體系
責編:admin |2014-06-17 15:20:52 在云計算、大數據、移動互聯網等新概念尚未興起的年代里,如果在網絡安全領域提及Fortinet(飛塔),那么“UTM霸主”幾乎就是其代名詞。而隨著這些新概念逐步轉化為新趨勢,整個ICT產業都在發生著深刻變革——用戶需求的變化、網絡安全技術的變化等等,無不推動著安全廠商的轉型。還好,憑借積極聆聽一線客戶的需求與堅持不懈的推陳出新,如今的Fortinet早已完成轉型,并以一個面向全領域的安全解決方案與服務提供商的身份,繼續領跑整個網絡安全市場!
近日,Fortinet2014網絡安全解決方案巡展正式啟動。在巡展(北京站)現場,Fortinet不僅與客戶、合作伙伴分享了其過往的優異成績,同時還帶來了眾多創新成果,包括Fortinet ATP(高級威脅安全防御)安全框架,FortiASIC NP6芯片(強悍的性能新引擎);FortiSandbox(APT防御利器),FortiSIEM管理平臺(主動安全管理),以及有著中小企業“瑞士軍刀”之稱的Connect&Secure一體化方案等。
“專注、穩健、出新”是對Fortinet過往幾年最好的總結。自2009年上市,Fortinet始終保持著每年20-25%的穩健增長,這對于一家IT廠商來說,是非常不容易的!而取得這樣的成績,在Fortinet中國區總經理Kevin Li看來,主要得益于Fortinet對于網絡安全的專注,以及堅持不懈的推陳出新。Kevin Li詳細介紹到:“Fortinet專注于聆聽來自一線客戶和代理商的聲音,并為此組建了專門的團隊,可以說,今天Fortinet所推出安全產品和解決方案,均是由用戶和市場的需求創造;而在出新方面,Fortinet更是以月為單位不斷地推陳出新,以更好地用戶的新需求。此外,Fortinet非常重視中國市場,在整個研發團隊中華人研發人員的比例不斷提升,這也使得Fortinet的產品更好地滿足了中國市場的需求。”
“挑戰”第三方測試 證明自己
根據IDC的市場調研報告,在過去的5個季度中,Fortinet始終位居全球安全市場的三甲,而在三甲(包括思科、Check Point)中,也僅有Fortinet依然保持著高速增長。為何Fortinet的產品和解決方案如此受到用戶的青睞?Kevin Li解釋到:“首先,Fortinet是一個可以提供全方位安全技術能力的公司——既擁有獨立硬件技術,又擁有各種安全特征庫、云數據的廠商,且幾乎不采用第三方的技術;其次,Fortinet非常樂于參加第三方的技術測試與認證,包括NSS Labs、VB100、ICSA Labs、FIPS 140、DoD UC APL、AV Comparative等等,Fortinet在這些測試中均取得了不俗的成績,這表明無論在哪個安全流派(網絡防火墻,IPS,NGFW,UTM等等)領域,Fortinet的產品都能提供最好的保護,而這也是Fortinet受到客戶青睞的原因。”
堅強的后盾:FortiGuard
對于一家網絡安全廠商來說,擁有完善的安全威脅數據(特征)庫是其提供可靠安全防護的基本保證,而FortiGuard(云安全網絡)正是Fortinet產品和解決方案的堅強后盾。據Kevin Li介紹,FortiGuard一分鐘可攔截50000封垃圾郵件,攔截47000個惡意網站訪問請求…,同時平均每周更新6千6百萬垃圾郵件庫樣本,19萬個病毒樣本特征庫,60萬個URL鏈接…,而目前該特征庫的容量已經高達70個TB。
與時俱進的Fortinet安全框架
今天,100G高速網絡已經投入應用,SDN熱潮也已席卷整個網絡領域,因此企業的核心網絡必須基于高新能防火墻進行重構;與此同時,云計算的普及、IPv6的演進,也需要更快的邊界防火墻的加入;而APT(高級持續性威脅)的流行,更加需要高級威脅防御的幫助;此外,安全體系越來越龐大、復雜,可視化、自動化、降低管理開銷、提高安全效率等,均已成為企業的迫切需求。為此,Fortinet ATP(高級威脅安全防御)框架應運而生。
據Fortinet中國區首席技術顧問譚杰介紹,Fortinet ATP通過5個方面提升安全防護效果,包括通過訪問控制(高性能防火墻、雙因子認證、漏洞管理)縮小受攻擊面;通過web過濾、IPS、應用控制等威脅防御方法,檢測并阻止已知威脅;通過0day攻擊檢測(沙盒、用戶信譽評估、僵尸網絡報告),鑒別未知安全威脅;通過FortiGuard應急響應,驗證、抑制最新型的威脅;以及通過全天候監視(報表、SIEM/日志管理等),實現安全防護能力評估、審計和改進。而縱觀整個ATP框架,高性能防火墻,沙盒和日志管理等成為了必不可少的元素。
早在UTM時代,全面的安全防護與高性能吞吐不可兼得就已成為讓業界頭疼的難題。面對業界僅靠提升通用CPU性能的做法,Fortinet認識到,即使CPU性能再強大,也難以將兩者兼得。于是,Fortinet另辟蹊徑——在通用CPU的基礎上,引入了專門的網絡處理器ASIC NP芯片和內容處理器ASIC CP芯片,分擔了通用CPU的壓力,真正實現了全面安全防護與高性能吞吐的兼得,并進一步降低了產品的成本。
在本次巡展上,Fortinet帶來的是第6代ASIC NP芯片——NP6,其相比上一代芯片(NP4),不僅性能提升了2倍(吞吐量可達40Gbps),而且實現了IPv6性能和IPv4性能完全一致;此外,其還支持QoS,并改善了新建會話性能。而相比通用CPU(例如Xeon E6-2640 v2),NP6的吞吐量表現是其5倍,延遲僅為其三十分之一,功耗僅為其十分之一,價格也僅有其幾分之一;而在包轉發率方面,NP6的優勢則更加明顯(NP6單芯片可達50Mpps)。
基于NP6芯片,Fortinet打造了超級數據中心級防火墻FortiGate-3700D(吞吐量達160Gbps,并發會話4400萬,每秒新建會話達50萬)和萬兆企業邊界NGFW FortiGate-1500D(吞吐量達80Gbps,NGFW性能為11Gbps,并發會話1200完,每秒新建會話達25萬)。
極限測試 滿足實際場景需求
數據中心防火墻經過全球測試解決方案提供商 Perfect Storm 測試儀表 不論是52萬的新建速率、160Gbps防火墻吞吐量、4000萬并發會話均達到標稱值,而且在模擬企業網流量的混合流量場景中也達到了超過150Gbps的吞吐量。
在實際場景中,不可能在沒有基礎流量的情況下產生新建連接請求。用戶在選擇防火墻設備的時候,應該注意考慮在已有背景流的情況下,該設備還能達到多少新建連接。試想一下,您運營著一個數據中心,而里面又承載著若干電商,電商這種場景就是會突發很多新生請求,尤其是在搞活動促銷的時候,比如整點秒殺活動。
而當眾多客戶同時發起搶單的新建請求,一定是建立在已有流量之上的。因此,在75%的背景流的情況下(對于3700D來說也就是120G流量),發起新建連接,最終可以看到在126Gbps的流量下,FortiGate3700D還能夠承受49萬的新建連接速率,前面說了,這臺設備的新建連接速率是50萬每秒。
為了進一步印證極限測試主題,Fortinet測試了打滿并發的情況下的吞吐量,從圖中可以看出,吞吐量達到了155G以上。而此時的被測試設備CPU占用率只有不到10%。
有這樣的結果,也是由于Fortinet多芯片架構帶來的。由于在會話新建之后,會話保持階段,流量全都交由Fortinet自研的ASIC芯片進行處理了,所以能夠有效分擔CPU的工作量。
對于很多ISP,比如運營商,二級運營商來說,經常會有極高的并發連接數,比如P2P。Fortinet這款設備在會話維持階段的流量處理都是由ASIC芯片做的,所以產生的流量大小并不會影響設備性能。而且芯片還會持續給流量進行加速。
由此可見,FortiGate不僅是同級別產品中性能最佳的防火墻,同時也擁有最好的性價比!
今天,APT(高級持續性威脅)攻擊已經成為令整個安全業界頭疼的問題,其特征未知、隱蔽性強,持續時間長等特點,令傳統的安全防護解決方案幾乎全部失效。而沙盒(模擬一個虛擬用戶環境)是目前阻擊APT的最有效方法之一,其針對APT攻擊的兩大特點,分別通過行為識別,打破其隱蔽性;通過快速發現安全隱患(將其隔離,修補漏洞),打破其持續性鏈條。
基于沙盒理念,Fortinet推出了FortiSandbox,其可提供強大的主動檢測和防御功能,以及可操作的威脅洞察和簡單整合部署等等。而據譚杰介紹,其還實現了與FortiGuard的聯動,可將發現的未知威脅的特征碼上傳給云端,從而快速提升FortiGate產品的防御能力。可以說,FortiSandbox的推出,實現了針對APT的多層主動威脅防護。此外,特別值得一提的是, FortiSandbox-3000D已通過NSS Labs測試驗證,并在威脅檢測系統(BDS)2014測試中獲得了“推薦”評級。
FortiSIEM:將安全體系融為一體
擁有了高性能的產品和高級安全防護技術,那么如何讓其發揮最大的作用和效果呢?此時就需要FortiSIEM的幫助了。FortiSIEM具備六大特性:資產管理整合,統一日志采集,主動安全防御,安全關聯分析,工作流管理,安全態勢感知。其將助力網絡管理員快速發現并管理新資產;同時大幅減少需要其關注的安全事件數量,從而減輕其工作負擔。此外,FortiSIEM還可通過安全事件與掃描結果的交叉驗證,以及不同到苗期掃描結果之間的交叉驗證,提高威脅識別的準確性;而通過按需掃描,還可減輕對業務的影響,提高效率。總而言之,有了FortiSIEM,網絡管理員就可全面掌控安全態勢,并將安全體系融為一體!
針對中小企業打造Connect&Secure一體化方案
剛剛提到的幾款新產品,對于中小企業來說或許有些“高大上”的感覺。其實,Fortinet非常重視中小企業市場(Fortinet入門級產品占比達41%),因此特別打造了面向中小企業的Connect%Secure一體化方案。其不僅解決了企業網絡及安全部署結構復雜的難題,同時提供了物美價廉、極易管理的安全體系,并提供了出色的擴展能力。
FortiGate 140D-POE作為Connect&Secure一體化方案的核心,不僅提供了高密度的接口,集成了接入與交換功能, 同時支持POE供電。此外,其集成了最新的Forti OS 5.2系統,使其具備了鏈路負載均衡,可視化管理等多種高級功能,而且在新版本系統中集成了高級威脅防御框架,內置虛擬FortiSandbox沙箱;再憑借人性化的管控界面,進一步降低了網管員的工作量。
安全構架需要多維驅動
在Fortinet看來,一個完善的安全構架,需要多維度驅動——既要具備高性能,又要有深度(能夠防御最新、最強的安全威脅),同時還要有很好的的管理手段,并且簡單易用。而此次基于多個創新成果而打造的全新Fortinet持續立體安全防御體系,正是對這一完善安全構架的最好詮釋!