一直在统一威胁管理(UTM)解决方案处于优势地位的美国Fortinet(飞塔)公司,近日该公司副总裁兼CTO谢华携四大类、十项全新产品来华。期间,作为飞塔公司技术队伍的领导者,谢华畅谈了网络信息安全技术的发展趋势和飞塔公司的技术优势。
谢华先生同时也表示,Fortinet目前在中国市场的发展表现,与其在世界网络安全领域的地位还不相称,在未来的几年里,Fortinet将不断加大对中国市场的投入,现在在中国已经有近200人的研发力量,包括病毒的反应、以及移动通信的研发都是在中国做的,确保在中国区研发出来的最尖端技术能够立刻进入中国市场,保持研发和销售的同步,相信这将是一个完美的结合。
谢华此次带来的飞塔安全新品包括FortiOS v4.0,FortiWeb-1000B,FortiDB-400B,FortiDB-1000B和FortiDB-2000B五项新产品;也包括08年第四季度公布的新一代旗舰产品FortiGate-620B以及四款FortiGate安全平台上的新模块,包括傍路自动保护模块 ASM-CX4和ASM-FX2,高级安全处理模块ADM-XE2和ASM-CE4。
FortiOS版本升级到 V4.0
FortiOS是Fortinet公司开发的UTM专用安全操作系统,为用户提供多层次安全防御技术,包括防火墙、防病毒、IPS、IPSec/SSL VPN、Web内容过滤、反垃圾邮件、IM/P2P控制等多种安全功能。
即将发布的FortiOS V4.0是FortiOS的最新版本,在原有版本的基础上新增了大量安全特性,使Fortinet用户能够得到更加细致的安全保护。主要更新包括:
·网络应用控制 – 识别多种网络应用特征,根据单位管理制度限制用户的上网行为,如聊天(QQ、MSN、Skype)、P2P下载(BT、电驴、迅雷)、网络视频(PPStream)等。
·广域网加速 – 通过协议压缩、数据缩减、Web缓存等方式为用户提供广域网加速,提高网络性能。
·防信息泄漏 – 通过多种手段对网络内容进行过滤,防止用户通过Web、Email、文件传输、聊天等方式泄漏机密信息。
·网络访问隔离 – 定位病毒、攻击或信息泄漏来源并将其隔离,防止安全威胁行为继续发生。
·终端检测 – 检查用户终端的安全环境,包括操作系统版本、补丁、个人安全软件状态等,提升终端安全防御等级。
·管理界面定制化 – 用户可定制FortiOS管理界面,使之更加符合用户的使用习惯,更加友好易用。
·现有功能改进 – 防火墙、IPS、VPN、流量控制、反垃圾邮件、WIFI等现有安全特性的增强,提升功能及性能。
FortiGate-620B其高密度的端口能力和性能得益于其高效的NP2芯片技术,大大提升了产品的性能和性价比。16个全线速千兆端口,提供了最小的数据延迟和最大能力的数据转发。FortiGate-620B特点如下:
- * 防火墙吞吐量为16 Gbps, VPN吞吐量为12 Gbps;
- * 支持20个10/10/1000以太网接口,在该级别产品中具有最高的接口密度, 而且在
- * 该级别任何产品中每接口价格最低;
- * 20个接口中的16个接口是经过FortiASIC网络处理器加速的,可以达到小包线速处理;
- * 支持AMC扩展接口,可以再增加4个SFP线速防火墙接口,或者增加AMC硬盘驱动器;
- * 采用FortiASIC内容处理加速IPS和防病毒应用层的处理。
当前,千兆网络环境越来越普及,且语音、视频、在线游戏等网络应用大量使用小包(例如,数据包大小为64字节),而大量的小包会对安全设备造成极大的性能压力。
来自于内网的网络威胁(如蠕虫病毒、木马、内部人员攻击等)所占比例越来越大,已经超过来自于外部的威胁。传统的外网-内网-DMZ结构已经无法满足当前的安全需求,用户需要划分更多的网络安全区域,来保护关键的服务器或业务系统。例如使用安全设备将不同的部门(市场、财务、研发等)进行隔离。
现有的高性能防火墙通常存在价格昂贵、体积大、重量高、发热高、能耗高等缺点,难以普及。
Fortinet公司新品FortiGate 620B是一款高性能、高端口密度的安全产品,成功解决了上述问题。FortiGate 620B主要的特点及优势如下:
完整的安全功能 – FortiGate 620B与FortiGate UTM产品系列中的其它型号相同,支持防火墙、防病毒、IPS、VPN、Web内容过滤、反垃圾邮件、IM/P2P控制等多种安全功能,为用户提供从网络层到应用层的全面安全保护;
高性能及端口密度 – FortiGate 620B基于Fortinet公司最新的ASIC和NP芯片技术,提供多达20个10/100/1000M以太网接口,其中16个是网络安全加速接口,支持64字节小包1000Mbps线速转发。整机性能高达16Gbps的防火墙吞吐量、12Gbps的IPSec VPN吞吐量。
可扩展性 – FortiGate 620B支持AMC扩展,通过增加AMC模块还可提供额外的4个1000M SFP接口(支持单多模光纤和铜缆接口),以及4Gbps防火墙和3Gbps IPSec VPN吞吐量。
高性价比 – FortiGate 620B提供了极高的性能和端口密度,在同级别产品中,每接口或每Mbps价格最低。
体积小、能耗低 – 得益于Fortinet公司先进的ASIC和NP芯片技术,FortiGate 620B虽然可提供最高达20Gbps的防火墙性能和24个1000M接口,却只是1U标准机架式设备,体积小巧。相应地,重量、能耗、发热等指标在同类产品中也很有优势。
Fortinet发布4款新的AMC模块,用于提升FortiGate UTM安全网关的接口数量、功能或性能。新发布的AMC模块包括:
1、 安全处理模块(SPM)—— ADM-XE2和ASM-CE4
- ·ADM-XE2和ASM-CE4应用Fortinet公司新的SPM安全加速技术,能够大幅度提升防火墙、IPS(入侵防御系统)和组播(multicast)安全处理能力。
- ·其中ADM-XE2提供2个10G XFP接口,支持10Gbps防火墙线速转发,高性能IPS和组播处理;
- ·ASM-CE4提供4个10/100/1000M铜缆接口,支持4Gbps防火墙线速转发,高性能IPS和组播处理。
- ·ADM-XE2和ASM-CE4非常适合高性能的防火墙、IPS、语音、视频及其它组播应用环境。
2、 自动旁路(bypass)模块 —— ASM-CX4和ASM-FX2
ASM-CX4和ASM-FX2模块分别提供4个10/100/1000M铜缆接口和2个1000M多模光纤接口,支持自动旁路(bypass)功能。当发生断电或系统故障时,ASM-CX4和ASM-FX2会自动将网络流量旁路,不会导致网络业务中断,可为用户提供高网络可靠性。
Web应用流量目前约占所有网络流量的30%,大部分的网络威胁也来自于Web应用。“Web威胁”就是利用Internet,对Web服务执行各种恶意活动,如身份窃取、私密信息窃取、带宽资源占用等。流行的Web威胁包括跨站脚本(XSS)、SQL注入、恶意文件执行、信息泄漏、用户伪装等。
目前基于Web的威胁已超过Email,成为当前网络中的最大安全威胁。面对Web威胁的快速增长,传统的安全防护技术对Web威胁越来越感到无能为力。
FortiWeb 1000B是一款专门防御Web威胁的安全设备,提供Web应用防火墙、Web入侵防御、参数验证、会话管理、XML防火墙/IPS/加速、站点流强制等安全功能,为Web服务器提供更加细致的安全保护。
由于数据库存放了大量敏感有价值的信息,其正迅速成为网络罪犯的下一个重大目标,因此越来越需要一款功能强大的工具可以检测以及帮助防止数据遭到破坏。这对一些商业企业尤其重要,如要求遵守支付卡行业数据安全标准(PCI-DSS)来保护客户的个人和信用卡资料的零售业。
FortiDB是Fortinet公司推出的专门用于数据漏洞评估(VA)的安全系列产品。它可以通过监测密码漏洞、存储权限和配置设置来保护数据库的安全。
FortiDB设备为数据库应用安全提供了一个自动、成本有效的集中式解决方案,并为各种共同的法规遵从要求做出评估和提供补救建议。通过发现一些可供开放使用的数据库弱点,FortiDB设备帮助防止专有和个人数据被看似合法的用户盗走。FortiDB用于发现漏洞、提醒系统管理员潜在的威胁以及提供补救建议。
FortiDB支持异构环境,包括Oracle、DB2、Sybase和SQL服务器。FortiDB现有3个型号产品,可支持多达10-60个并行数据库的漏洞评估。
FortiDB的主要优势包括:
- · 自动化安全评估,通过寻找漏洞和减少数据库管理员(DBA)的工作量,以及在数据库管理人员休假或者离职时限制资料泄露。
- · 大量数据库非常好的实践政策和现行政策更新,以满足最新的数据库威胁和法律/行业要求。
- · 可以扫描大量数据,每台设备可支持10-60个数据库
- · 推行“职责分离”以便基于角色的管理(例如:系统管理员、安全管理员、政策经理等),这是重要的法规遵循要求。