飞塔:多维度打造持续立体安全防御体系

  在云计算、大数据、移动互联网等新概念尚未兴起的年代里,如果在网络安全领域提及Fortinet(飞塔),那么“UTM霸主”几乎就是其代名词。而随着这些新概念逐步转化为新趋势,整个ICT产业都在发生着深刻变革——用户需求的变化、网络安全技术的变化等等,无不推动着安全厂商的转型。还好,凭借积极聆听一线客户的需求与坚持不懈的推陈出新,如今的Fortinet早已完成转型,并以一个面向全领域的安全解决方案与服务提供商的身份,继续领跑整个网络安全市场!
 
  近日,Fortinet2014网络安全解决方案巡展正式启动。在巡展(北京站)现场,Fortinet不仅与客户、合作伙伴分享了其过往的优异成绩,同时还带来了众多创新成果,包括Fortinet ATP(高级威胁安全防御)安全框架,FortiASIC NP6芯片(强悍的性能新引擎);FortiSandbox(APT防御利器),FortiSIEM管理平台(主动安全管理),以及有着中小企业“瑞士军刀”之称的Connect&Secure一体化方案等。
 
  “专注、稳健、出新”是对Fortinet过往几年最好的总结。自2009年上市,Fortinet始终保持着每年20-25%的稳健增长,这对于一家IT厂商来说,是非常不容易的!而取得这样的成绩,在Fortinet中国区总经理Kevin Li看来,主要得益于Fortinet对于网络安全的专注,以及坚持不懈的推陈出新。Kevin Li详细介绍到:“Fortinet专注于聆听来自一线客户和代理商的声音,并为此组建了专门的团队,可以说,今天Fortinet所推出安全产品和解决方案,均是由用户和市场的需求创造;而在出新方面,Fortinet更是以月为单位不断地推陈出新,以更好地用户的新需求。此外,Fortinet非常重视中国市场,在整个研发团队中华人研发人员的比例不断提升,这也使得Fortinet的产品更好地满足了中国市场的需求。”
 
  “挑战”第三方测试 证明自己
 
  根据IDC的市场调研报告,在过去的5个季度中,Fortinet始终位居全球安全市场的三甲,而在三甲(包括思科、Check Point)中,也仅有Fortinet依然保持着高速增长。为何Fortinet的产品和解决方案如此受到用户的青睐?Kevin Li解释到:“首先,Fortinet是一个可以提供全方位安全技术能力的公司——既拥有独立硬件技术,又拥有各种安全特征库、云数据的厂商,且几乎不采用第三方的技术;其次,Fortinet非常乐于参加第三方的技术测试与认证,包括NSS Labs、VB100、ICSA Labs、FIPS 140、DoD UC APL、AV Comparative等等,Fortinet在这些测试中均取得了不俗的成绩,这表明无论在哪个安全流派(网络防火墙,IPS,NGFW,UTM等等)领域,Fortinet的产品都能提供最好的保护,而这也是Fortinet受到客户青睐的原因。”
 
  坚强的后盾:FortiGuard
 
  对于一家网络安全厂商来说,拥有完善的安全威胁数据(特征)库是其提供可靠安全防护的基本保证,而FortiGuard(云安全网络)正是Fortinet产品和解决方案的坚强后盾。据Kevin Li介绍,FortiGuard一分钟可拦截50000封垃圾邮件,拦截47000个恶意网站访问请求…,同时平均每周更新6千6百万垃圾邮件库样本,19万个病毒样本特征库,60万个URL链接…,而目前该特征库的容量已经高达70个TB。
 
  与时俱进的Fortinet安全框架
 
  今天,100G高速网络已经投入应用,SDN热潮也已席卷整个网络领域,因此企业的核心网络必须基于高新能防火墙进行重构;与此同时,云计算的普及、IPv6的演进,也需要更快的边界防火墙的加入;而APT(高级持续性威胁)的流行,更加需要高级威胁防御的帮助;此外,安全体系越来越庞大、复杂,可视化、自动化、降低管理开销、提高安全效率等,均已成为企业的迫切需求。为此,Fortinet ATP(高级威胁安全防御)框架应运而生。
 
  据Fortinet中国区首席技术顾问谭杰介绍,Fortinet ATP通过5个方面提升安全防护效果,包括通过访问控制(高性能防火墙、双因子认证、漏洞管理)缩小受攻击面;通过web过滤、IPS、应用控制等威胁防御方法,检测并阻止已知威胁;通过0day攻击检测(沙盒、用户信誉评估、僵尸网络报告),鉴别未知安全威胁;通过FortiGuard应急响应,验证、抑制最新型的威胁;以及通过全天候监视(报表、SIEM/日志管理等),实现安全防护能力评估、审计和改进。而纵观整个ATP框架,高性能防火墙,沙盒和日志管理等成为了必不可少的元素。
 
  早在UTM时代,全面的安全防护与高性能吞吐不可兼得就已成为让业界头疼的难题。面对业界仅靠提升通用CPU性能的做法,Fortinet认识到,即使CPU性能再强大,也难以将两者兼得。于是,Fortinet另辟蹊径——在通用CPU的基础上,引入了专门的网络处理器ASIC NP芯片和内容处理器ASIC CP芯片,分担了通用CPU的压力,真正实现了全面安全防护与高性能吞吐的兼得,并进一步降低了产品的成本。
 
  在本次巡展上,Fortinet带来的是第6代ASIC NP芯片——NP6,其相比上一代芯片(NP4),不仅性能提升了2倍(吞吐量可达40Gbps),而且实现了IPv6性能和IPv4性能完全一致;此外,其还支持QoS,并改善了新建会话性能。而相比通用CPU(例如Xeon E6-2640 v2),NP6的吞吐量表现是其5倍,延迟仅为其三十分之一,功耗仅为其十分之一,价格也仅有其几分之一;而在包转发率方面,NP6的优势则更加明显(NP6单芯片可达50Mpps)。
 
  基于NP6芯片,Fortinet打造了超级数据中心级防火墙FortiGate-3700D(吞吐量达160Gbps,并发会话4400万,每秒新建会话达50万)和万兆企业边界NGFW FortiGate-1500D(吞吐量达80Gbps,NGFW性能为11Gbps,并发会话1200完,每秒新建会话达25万)。
 
  极限测试 满足实际场景需求
 
  数据中心防火墙经过全球测试解决方案提供商 Perfect Storm 测试仪表 不论是52万的新建速率、160Gbps防火墙吞吐量、4000万并发会话均达到标称值,而且在模拟企业网流量的混合流量场景中也达到了超过150Gbps的吞吐量。
 
  在实际场景中,不可能在没有基础流量的情况下产生新建连接请求。用户在选择防火墙设备的时候,应该注意考虑在已有背景流的情况下,该设备还能达到多少新建连接。试想一下,您运营着一个数据中心,而里面又承载着若干电商,电商这种场景就是会突发很多新生请求,尤其是在搞活动促销的时候,比如整点秒杀活动。
 
  而当众多客户同时发起抢单的新建请求,一定是建立在已有流量之上的。因此,在75%的背景流的情况下(对于3700D来说也就是120G流量),发起新建连接,最终可以看到在126Gbps的流量下,FortiGate3700D还能够承受49万的新建连接速率,前面说了,这台设备的新建连接速率是50万每秒。
 
  为了进一步印证极限测试主题,Fortinet测试了打满并发的情况下的吞吐量,从图中可以看出,吞吐量达到了155G以上。而此时的被测试设备CPU占用率只有不到10%。
 
  有这样的结果,也是由于Fortinet多芯片架构带来的。由于在会话新建之后,会话保持阶段,流量全都交由Fortinet自研的ASIC芯片进行处理了,所以能够有效分担CPU的工作量。
 
  对于很多ISP,比如运营商,二级运营商来说,经常会有极高的并发连接数,比如P2P。Fortinet这款设备在会话维持阶段的流量处理都是由ASIC芯片做的,所以产生的流量大小并不会影响设备性能。而且芯片还会持续给流量进行加速。
 
  由此可见,FortiGate不仅是同级别产品中性能最佳的防火墙,同时也拥有最好的性价比!
 
  今天,APT(高级持续性威胁)攻击已经成为令整个安全业界头疼的问题,其特征未知、隐蔽性强,持续时间长等特点,令传统的安全防护解决方案几乎全部失效。而沙盒(模拟一个虚拟用户环境)是目前阻击APT的最有效方法之一,其针对APT攻击的两大特点,分别通过行为识别,打破其隐蔽性;通过快速发现安全隐患(将其隔离,修补漏洞),打破其持续性链条。
 
  基于沙盒理念,Fortinet推出了FortiSandbox,其可提供强大的主动检测和防御功能,以及可操作的威胁洞察和简单整合部署等等。而据谭杰介绍,其还实现了与FortiGuard的联动,可将发现的未知威胁的特征码上传给云端,从而快速提升FortiGate产品的防御能力。可以说,FortiSandbox的推出,实现了针对APT的多层主动威胁防护。此外,特别值得一提的是, FortiSandbox-3000D已通过NSS Labs测试验证,并在威胁检测系统(BDS)2014测试中获得了“推荐”评级。
 
  FortiSIEM:将安全体系融为一体
 
  拥有了高性能的产品和高级安全防护技术,那么如何让其发挥最大的作用和效果呢?此时就需要FortiSIEM的帮助了。FortiSIEM具备六大特性:资产管理整合,统一日志采集,主动安全防御,安全关联分析,工作流管理,安全态势感知。其将助力网络管理员快速发现并管理新资产;同时大幅减少需要其关注的安全事件数量,从而减轻其工作负担。此外,FortiSIEM还可通过安全事件与扫描结果的交叉验证,以及不同到苗期扫描结果之间的交叉验证,提高威胁识别的准确性;而通过按需扫描,还可减轻对业务的影响,提高效率。总而言之,有了FortiSIEM,网络管理员就可全面掌控安全态势,并将安全体系融为一体!
 
  针对中小企业打造Connect&Secure一体化方案
 
  刚刚提到的几款新产品,对于中小企业来说或许有些“高大上”的感觉。其实,Fortinet非常重视中小企业市场(Fortinet入门级产品占比达41%),因此特别打造了面向中小企业的Connect%Secure一体化方案。其不仅解决了企业网络及安全部署结构复杂的难题,同时提供了物美价廉、极易管理的安全体系,并提供了出色的扩展能力。
 
  FortiGate 140D-POE作为Connect&Secure一体化方案的核心,不仅提供了高密度的接口,集成了接入与交换功能, 同时支持POE供电。此外,其集成了最新的Forti OS 5.2系统,使其具备了链路负载均衡,可视化管理等多种高级功能,而且在新版本系统中集成了高级威胁防御框架,内置虚拟FortiSandbox沙箱;再凭借人性化的管控界面,进一步降低了网管员的工作量。
 
  安全构架需要多维驱动
 
  在Fortinet看来,一个完善的安全构架,需要多维度驱动——既要具备高性能,又要有深度(能够防御最新、最强的安全威胁),同时还要有很好的的管理手段,并且简单易用。而此次基于多个创新成果而打造的全新Fortinet持续立体安全防御体系,正是对这一完善安全构架的最好诠释!

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:信息安全事业的成功 安全认证是关键吗?