教育安全解決方案-防御多種安全威脅課件

議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹12341感謝你的觀(guān)看2019年9月11議程教育安全解決方案（1）—防御多種安全威脅教育安全解決高校A校園網(wǎng)安全現(xiàn)狀學(xué)生進(jìn)行Internet訪(fǎng)問(wèn)時(shí)帶入大量病毒、木馬、蠕蟲(chóng)、間諜軟件（通過(guò)瀏覽網(wǎng)頁(yè)、Email、聊天、下載等多種方式）大量蠕蟲(chóng)病毒在校園網(wǎng)各區(qū)域之間泛濫，形成DDoS攻擊，導(dǎo)致網(wǎng)絡(luò)擁塞，主機(jī)性能低下校園網(wǎng)內(nèi)服務(wù)器面臨各種網(wǎng)絡(luò)攻擊和入侵學(xué)生訪(fǎng)問(wèn)Internet上的不良內(nèi)容（如反動(dòng)、色情的內(nèi)容等）垃圾郵件降低效率，占用網(wǎng)絡(luò)資源2感謝你的觀(guān)看2019年9月11高校A校園網(wǎng)安全現(xiàn)狀學(xué)生進(jìn)行Internet訪(fǎng)問(wèn)時(shí)帶入大量病防火墻無(wú)法實(shí)現(xiàn)多層次安全防御

/downloads/GettysburgFourscoreandBADCONTENT

ourforefathersbrou

ghtforthuponthiscontinentanewnation,

nliberty,anddedicatedtothepropositionthatall包頭(源,目的,數(shù)據(jù)類(lèi)型等)包負(fù)載(內(nèi)容)數(shù)據(jù)包OKOKOK不掃描OK狀態(tài)檢測(cè)防火墻只檢查包頭–就好像只檢查信封，而不看信里的內(nèi)容傳統(tǒng)防火墻弱點(diǎn)如下：沒(méi)有深度包檢測(cè)來(lái)發(fā)現(xiàn)惡意代碼每包的轉(zhuǎn)發(fā)方式，不能進(jìn)行包重組惡意程序可以通過(guò)信任端口建立隧道穿過(guò)去傳統(tǒng)的部署方法僅僅是網(wǎng)絡(luò)邊緣，不能防御內(nèi)部攻擊3感謝你的觀(guān)看2019年9月11防火墻無(wú)法實(shí)現(xiàn)多層次安全防御http://www.free完全內(nèi)容檢測(cè)機(jī)制完全內(nèi)容檢測(cè)1.重新組裝數(shù)據(jù)包FourscoreandsevenyearsagoourforefathersbroughtforthuponthisBADCONTENTanewliberty,anddedicatedtothepropositionthatall…

!!

!!BADCONTENTBADCONTENTNASTYTHINGSNASTIERTHINGS不良內(nèi)容病毒/攻擊特征

/downloads/GettysburgFourscoreandBADCONTENT

ourforefathersbrou

ghtforthuponthiscontinentanewnation,

nliberty,anddedicatedtothepropositionthatall2.完整比較攻擊特征庫(kù)和蠕蟲(chóng)樣本庫(kù)4感謝你的觀(guān)看2019年9月11完全內(nèi)容檢測(cè)機(jī)制完全內(nèi)容檢測(cè)1.重新組裝數(shù)據(jù)包Fours多產(chǎn)品方案的局限性真實(shí)的缺點(diǎn)需要部署不能相互通訊的多種產(chǎn)品提高了網(wǎng)絡(luò)的復(fù)雜性和操作成本不是最佳的安全部署方法假設(shè)的優(yōu)勢(shì)全面的安全對(duì)個(gè)人攻擊能夠迅速地反應(yīng)VPNIPSUsersServersFirewallAntivirusAntispamURLFilters5感謝你的觀(guān)看2019年9月11多產(chǎn)品方案的局限性真實(shí)的缺點(diǎn)假設(shè)的優(yōu)勢(shì)VPNIPSUsersFortinet的解決之道VPNIPSUsersServersFirewallAntivirusAntispamURLFiltersFortinet優(yōu)勢(shì)全面的安全最大化地減少了攻擊導(dǎo)致的宕機(jī)時(shí)間減少了廠(chǎng)商和設(shè)備的數(shù)量簡(jiǎn)化了安全管理相應(yīng)的安全報(bào)警、日志和報(bào)表提高檢測(cè)能力6感謝你的觀(guān)看2019年9月11Fortinet的解決之道VPNIPSUsersServerFortiGate在高校A的部署7感謝你的觀(guān)看2019年9月11FortiGate在高校A的部署7感謝你的觀(guān)看2019年9月防火墻-安全區(qū)域之間的訪(fǎng)問(wèn)控制8感謝你的觀(guān)看2019年9月11防火墻-安全區(qū)域之間的訪(fǎng)問(wèn)控制8感謝你的觀(guān)看2019年9IPS與防病毒的結(jié)合通過(guò)IPS方式阻擋蠕蟲(chóng)病毒在校園網(wǎng)內(nèi)的傳播，保護(hù)骨干網(wǎng)的安全9感謝你的觀(guān)看2019年9月11IPS與防病毒的結(jié)合通過(guò)IPS方式阻擋蠕蟲(chóng)病毒在校園網(wǎng)內(nèi)的傳在Internet出口過(guò)濾不良網(wǎng)頁(yè)內(nèi)容FortiGuard動(dòng)態(tài)過(guò)濾76個(gè)類(lèi)別超過(guò)2850萬(wàn)個(gè)網(wǎng)站數(shù)十億個(gè)網(wǎng)頁(yè)實(shí)時(shí)更新數(shù)據(jù)庫(kù)URL過(guò)濾黑白名單關(guān)鍵字過(guò)濾支持多種語(yǔ)言安全過(guò)濾ActiveXJavaAppletCookies10感謝你的觀(guān)看2019年9月11在Internet出口過(guò)濾不良網(wǎng)頁(yè)內(nèi)容FortiGuard動(dòng)反垃圾郵件使用FortiGate或FortiMail保護(hù)郵件服務(wù)器、過(guò)濾垃圾郵件降低感染病毒及網(wǎng)絡(luò)欺詐的風(fēng)險(xiǎn)減少帶寬占用、降低服務(wù)器負(fù)載提高學(xué)習(xí)工作效率防止學(xué)校公網(wǎng)IP被其它郵件服務(wù)商列入黑名單11感謝你的觀(guān)看2019年9月11反垃圾郵件使用FortiGate或FortiMail保護(hù)郵件各項(xiàng)UTM功能均實(shí)時(shí)更新特征庫(kù)Source:FortiGuard?SubscriptionServiceWeb內(nèi)容過(guò)濾76個(gè)以上有害或危險(xiǎn)的類(lèi)別

業(yè)界最佳的精度和覆蓋率!反垃圾郵件

超過(guò)97.4%的垃圾郵件捕獲率

低于0.18%的誤報(bào)率SLA響應(yīng)時(shí)間<2hrs.24x7全球威脅響應(yīng)實(shí)驗(yàn)室防病毒(包括防間諜軟件)入侵防御系統(tǒng)(IPS)12感謝你的觀(guān)看2019年9月11各項(xiàng)UTM功能均實(shí)時(shí)更新特征庫(kù)Source:FortiGu高校A部署FortiGate產(chǎn)品的效果病毒數(shù)量大幅度減少，校園網(wǎng)因病毒泛濫而陷入癱瘓的情況不再發(fā)生。校園網(wǎng)各區(qū)域（骨干網(wǎng)、網(wǎng)絡(luò)中心、各院系、圖書(shū)館、學(xué)生宿舍等）之間通過(guò)防火墻、防病毒、IPS等功能實(shí)現(xiàn)了有效隔離，某個(gè)學(xué)院或宿舍樓的病毒或攻擊不會(huì)擴(kuò)散到校園網(wǎng)的其它區(qū)域。服務(wù)器被內(nèi)外網(wǎng)入侵的危險(xiǎn)性降至最低限度。學(xué)生無(wú)法訪(fǎng)問(wèn)不被允許的網(wǎng)站。垃圾郵件數(shù)量減少了95%以上，郵件服務(wù)器的負(fù)載得以減輕。防病毒、IPS、Web過(guò)濾、反垃圾郵件功能自動(dòng)在線(xiàn)更新，新的安全威脅在第一時(shí)間即可防御。13感謝你的觀(guān)看2019年9月11高校A部署FortiGate產(chǎn)品的效果病毒數(shù)量大幅度減少，校議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹123414感謝你的觀(guān)看2019年9月11議程教育安全解決方案（1）—防御多種安全威脅教育安全解決高校B網(wǎng)絡(luò)現(xiàn)狀及需求高校B擁有教職工、學(xué)生共數(shù)萬(wàn)人，且是數(shù)十所高校的CERNET接入節(jié)點(diǎn)，粗略估計(jì)有30萬(wàn)以上用戶(hù)使用高校B的CERNET出口。根據(jù)網(wǎng)管軟件的監(jiān)控結(jié)果，出口實(shí)時(shí)網(wǎng)絡(luò)進(jìn)出流量超過(guò)2Gbps，并發(fā)會(huì)話(huà)數(shù)超過(guò)100萬(wàn)。之前使用的防火墻不堪重負(fù)，對(duì)于網(wǎng)絡(luò)訪(fǎng)問(wèn)產(chǎn)生較高延遲，影響了網(wǎng)絡(luò)服務(wù)質(zhì)量。丟包現(xiàn)象也時(shí)有發(fā)生，嚴(yán)重時(shí)還會(huì)導(dǎo)致網(wǎng)絡(luò)中斷。由于高校B網(wǎng)絡(luò)出口的重要性，因此對(duì)網(wǎng)關(guān)防火墻的可靠性要求也非常高。15感謝你的觀(guān)看2019年9月11高校B網(wǎng)絡(luò)現(xiàn)狀及需求高校B擁有教職工、學(xué)生共數(shù)萬(wàn)人，且是數(shù)十FortiGate在高校B的部署16感謝你的觀(guān)看2019年9月11FortiGate在高校B的部署16感謝你的觀(guān)看2019年9獨(dú)特的雙ASIC芯片加速FortiASIC-CP

(內(nèi)容處理器)特征匹配防病毒IPS內(nèi)容過(guò)濾加密解密VPN協(xié)商密鑰維護(hù)FortiASIC-NP

(網(wǎng)絡(luò)處理器)高速包轉(zhuǎn)發(fā)線(xiàn)速防火墻IPSecVPNNAT防DoS攻擊流量整形17感謝你的觀(guān)看2019年9月11獨(dú)特的雙ASIC芯片加速FortiASIC-CP

(內(nèi)容處部分產(chǎn)品性能測(cè)試結(jié)果-吞吐量NAT模式，UDP防火墻雙向吞吐量（單位：Mbps）18感謝你的觀(guān)看2019年9月11部分產(chǎn)品性能測(cè)試結(jié)果-吞吐量NAT模式，UDP防火墻雙向高校B部署FortiGate產(chǎn)品的效果FortiGate3000及5000系列在高達(dá)數(shù)Gbps的網(wǎng)絡(luò)流量，百萬(wàn)級(jí)并發(fā)會(huì)話(huà)的情況下，仍能實(shí)現(xiàn)各種大小包的線(xiàn)速轉(zhuǎn)發(fā)，網(wǎng)絡(luò)延遲保持在微秒級(jí)別。防火墻不再成為高校BCERNET出口的性能瓶頸。FortiGate自身的可靠性設(shè)計(jì)（專(zhuān)用ASIC、NP芯片及專(zhuān)用安全操作系統(tǒng)，冗余電源風(fēng)扇），配合優(yōu)秀的HA保護(hù)機(jī)制，為高校B的網(wǎng)絡(luò)運(yùn)行提供365×24的全天候保障。部署3年多以來(lái)，設(shè)備一直穩(wěn)定運(yùn)行，從未發(fā)生網(wǎng)絡(luò)中斷故障。19感謝你的觀(guān)看2019年9月11高校B部署FortiGate產(chǎn)品的效果FortiGate3議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹123420感謝你的觀(guān)看2019年9月11議程教育安全解決方案（1）—防御多種安全威脅教育安全解決高校C網(wǎng)絡(luò)現(xiàn)狀及需求高校C具有一萬(wàn)多在校學(xué)生，加上教職工及家屬，學(xué)院網(wǎng)絡(luò)用戶(hù)總數(shù)上萬(wàn)人。學(xué)校共有3個(gè)網(wǎng)絡(luò)出口：電信、網(wǎng)通、教育網(wǎng)出口。其中教育網(wǎng)出口的國(guó)際流量是按流量大小計(jì)費(fèi)的，所以對(duì)教育網(wǎng)的國(guó)際流量很敏感，要求出國(guó)流量全部走電信或網(wǎng)通出口。同時(shí)要求電信及網(wǎng)通出口進(jìn)行流量?jī)?yōu)化，實(shí)現(xiàn)鏈路冗余及負(fù)載分擔(dān)。流量的管理：校園網(wǎng)用戶(hù)數(shù)量眾多，應(yīng)用五花八門(mén)，流量組成很復(fù)雜，下載和P2P（BT、電驢等）、P2SP（迅雷等）類(lèi)的流量占據(jù)了大部分的帶寬，需要實(shí)現(xiàn)對(duì)帶寬的控制。該學(xué)校是一個(gè)管理相對(duì)松散的機(jī)構(gòu)，網(wǎng)絡(luò)中心對(duì)各院系部門(mén)沒(méi)有很強(qiáng)的約束力，只能對(duì)各種非正常訪(fǎng)問(wèn)和網(wǎng)絡(luò)濫用進(jìn)行記錄分析，呈交給上級(jí)主管部門(mén)。因此要求能對(duì)網(wǎng)絡(luò)故障、異常要能迅速定位并形成可讀性強(qiáng)的報(bào)表。21感謝你的觀(guān)看2019年9月11高校C網(wǎng)絡(luò)現(xiàn)狀及需求高校C具有一萬(wàn)多在校學(xué)生，加上教職工及家Fortinet產(chǎn)品在高校C的應(yīng)用22感謝你的觀(guān)看2019年9月11Fortinet產(chǎn)品在高校C的應(yīng)用22感謝你的觀(guān)看2019年多鏈路管理利用靜態(tài)路由實(shí)現(xiàn)分流，訪(fǎng)問(wèn)教育網(wǎng)內(nèi)資源時(shí)使用教育網(wǎng)鏈路，訪(fǎng)問(wèn)其它國(guó)內(nèi)及所有國(guó)外資源使用電信或網(wǎng)通出口?？梢酝ㄟ^(guò)靜態(tài)路由、策略路由、等值路由等多種方式實(shí)現(xiàn)電信和網(wǎng)通出口的鏈路負(fù)載分擔(dān)，實(shí)現(xiàn)帶寬最優(yōu)化分配。利用端口檢測(cè)、ping服務(wù)器檢測(cè)等方式探測(cè)鏈路健康狀況，如果電信、網(wǎng)通中的任意一個(gè)出口發(fā)生故障，都可以自動(dòng)迅速將流量切換到另一條鏈路。出于費(fèi)用角度考慮，教育網(wǎng)鏈路不參與出口冗余設(shè)計(jì)。注：FortiGate還支持RIP、OSPF、BGP等動(dòng)態(tài)路由協(xié)議，并支持IPv6網(wǎng)絡(luò)，可以很好的融入各種各種校園網(wǎng)環(huán)境。23感謝你的觀(guān)看2019年9月11多鏈路管理利用靜態(tài)路由實(shí)現(xiàn)分流，訪(fǎng)問(wèn)教育網(wǎng)內(nèi)資源時(shí)使用教育網(wǎng)帶寬管理雖然高校C的出口資源比較豐富（3個(gè)Internet出口，總出口帶寬超過(guò)1G），但由于上網(wǎng)人數(shù)眾多，因此網(wǎng)絡(luò)資源仍然比較緊張。需要進(jìn)行優(yōu)化管理。首先，利用FortiGate的P2P管理及IPS功能，對(duì)公共上網(wǎng)區(qū)（如各教學(xué)樓、圖書(shū)館等）禁用P2P、迅雷等下載工具，保證網(wǎng)絡(luò)訪(fǎng)問(wèn)速度。24感謝你的觀(guān)看2019年9月11帶寬管理雖然高校C的出口資源比較豐富（3個(gè)Internet出帶寬管理宿舍樓、家屬樓內(nèi)用戶(hù)均為付費(fèi)用戶(hù)，不能簡(jiǎn)單的禁止所有P2P、P2SP等下載行為，因此采用帶寬限制、會(huì)話(huà)數(shù)限制等方式降低P2P、P2SP等行為對(duì)網(wǎng)絡(luò)資源的占用。25感謝你的觀(guān)看2019年9月11帶寬管理宿舍樓、家屬樓內(nèi)用戶(hù)均為付費(fèi)用戶(hù)，不能簡(jiǎn)單的禁止所有異常行為管理及網(wǎng)絡(luò)監(jiān)控利用FortiGate的會(huì)話(huà)管理功能，可以很容易的掌握全網(wǎng)的會(huì)話(huà)情況，并可列出實(shí)時(shí)IP地址會(huì)話(huà)排名，幫助及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常（如蠕蟲(chóng)病毒、DoS攻擊、超常的P2P行為等）。并可直接中止會(huì)話(huà)。26感謝你的觀(guān)看2019年9月11異常行為管理及網(wǎng)絡(luò)監(jiān)控利用FortiGate的會(huì)話(huà)管理功能，用戶(hù)管理及訪(fǎng)問(wèn)記錄教師、學(xué)生等上網(wǎng)均需要進(jìn)行身份認(rèn)證，F(xiàn)ortiGate支持Radius、LDAP、WindowsAD、TACACS+等多種認(rèn)證協(xié)議，直接使用高校C原有的LDAP認(rèn)證服務(wù)器，無(wú)需重新建立用戶(hù)數(shù)據(jù)庫(kù)。使用FortiAnalyzer日志審計(jì)設(shè)備，將病毒、入侵、不良內(nèi)容、垃圾郵件、P2P下載等行為進(jìn)行記錄，并保留足夠長(zhǎng)的時(shí)間（如2個(gè)月）。用戶(hù)訪(fǎng)問(wèn)行為也可進(jìn)行記錄，并將IP地址與用戶(hù)名、用戶(hù)組相對(duì)應(yīng)。27感謝你的觀(guān)看2019年9月11用戶(hù)管理及訪(fǎng)問(wèn)記錄教師、學(xué)生等上網(wǎng)均需要進(jìn)行身份認(rèn)證，F(xiàn)or網(wǎng)絡(luò)訪(fǎng)問(wèn)報(bào)表利用FortiAnalyzer記錄日志，并產(chǎn)生各種報(bào)表（超過(guò)300種），直觀(guān)反映網(wǎng)絡(luò)中的各種事件。如協(xié)議分布流量排名病毒、攻擊、不良內(nèi)容、垃圾郵件統(tǒng)計(jì)等28感謝你的觀(guān)看2019年9月11網(wǎng)絡(luò)訪(fǎng)問(wèn)報(bào)表利用FortiAnalyzer記錄日志，并產(chǎn)生各議程教育安全解決方案（1）—防御多種安全威脅教育安全解決方案（2）—高性能及高可靠性教育安全解決方案（3）—有效的管理Fortinet公司介紹123429感謝你的觀(guān)看2019年9月11議程教育安全解決方案（1）—防御多種安全威脅教育安全解決Fortinet公司概況第一個(gè)基于ASIC技術(shù)的多層安全平臺(tái)提供