Sie sind auf Seite 1von 48

Productguide

Real Time Network Protection


03|2012

Next Generation Firewalling


UTM-Appliances
E-Mail Security
Web Application und Web Server Security
Cloud Security
Virtualisierung und Security

powered by
Inhalt
Das ist Fortinet . . . . . . . . . . . . . . . . . . . . . . . . . . . 04 FortiGate IPv6 Security . . . . . . . . . . . . . . . . . . . . . . 25
Das Konzept . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 05 FortiWiFi Voice-80C . . . . . . . . . . . . . . . . . . . . . . . . . 26
FortiGate Produktfamilie . . . . . . . . . . . . . . . . . . . . 06 WLAN Access Points FortiAP . . . . . . . . . . . . . . . . 27
Fortinet für KMU und Mittelstand . . . . . . . . . . . 07 FortiToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Fortinet in Enterprise-Umgebungen . . . . . . . . 08 FortiAuthenticator . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Fortinet für Carrier . . . . . . . . . . . . . . . . . . . . . . . . . . 09 FortiClient . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

FortiGate E-Mail Security


FortiGate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 FortiMail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
FortiGate Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
FortiGate VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Zentrales Management & Reporting
FortiGate IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 FortiAnalyzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
FortiGate Applikationskontrolle . . . . . . . . . . . . . 15 FortiManager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
FortiGate Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . 16 FortiScan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FortiGate WebFiltering . . . . . . . . . . . . . . . . . . . . . . 17
FortiGate Wireless LAN . . . . . . . . . . . . . . . . . . . . . . 18 Web Application Security
FortiGate VoIP und SIP Security . . . . . . . . . . . . . 19 FortiWeb . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
FortiGate und Virtualisierung . . . . . . . . . . . . . . . .20 FortiDB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
FortiGate 2-Faktor-Authentifizierung FortiBalancer
und FortiToken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
FortiGate Data Leakage Prevention . . . . . . . . . 22 Virtual Security
FortiGate WAN-Optimierung . . . . . . . . . . . . . . . . . . Fortinet Virtual Appliances . . . . . . . . . . . . . . . . . . 41
FortiGate Anti Spam . . . . . . . . . . . . . . . . . . . . . . . . 23
FortiGate SSL-Inspection Zubehör
FortiGate Bandbreiten-Management FortiSwitch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
FortiGate Layer 2 und Layer 3 Routing . . . . . . 24 FortiBridge
FortiGate Netzwerkzugriffskontrolle (NAC), PoE-Power Injector
FortiGate Schwachstellen-Management FortiFon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

44
2
Das ist Fortinet
Historie
Fortinet wurde im Jahre 2000 von Ken und Michael Xie Prozesse und garantieren so Security in Echtzeit.
gegründet - mit der Vision, Echtzeit-Sicherheitslösun- Alle FortiGate Appliances basieren auf dem leistungs-
gen für Netzwerke zu entwickeln. Bereits 2002 wurden fähigen und spezialisierten Security-Betriebssystem
die ersten Produkte der bis heute überaus erfolgreichen FortiOS, einer Fortinet-eigenen Entwicklung. Dieses Be-
FortiGate-Serie auf den Markt gebracht. Heute betreut triebssystem ist modular und somit kontinuierlich und
Fortinet weltweit weit über 100.000 Kunden mit ca. 1.500 im Rahmen normaler Software-Updates erweiterbar.
Mitarbeitern und ca. 8.000 Vertriebspartnern. Fortinet Neben den FortiGate Appliances bietet Fortinet auch
wird von führenden Marktanalysten wie Gartner als Un- E-Mail-AntiSpam/AntiVirus-Lösungen (FortiMail),
ternehmen mit dem höchstem Potenzial angesehen und Endpoint-Security (FortiClient), voll integriertes zen-
kann sich seit vielen Jahren als Nr. 1 im UTM-Security- tralisiertes Management, Erfassung und Reporting
Markt bezeichnen (Quelle: IDC). (FortiManager und FortiAnalyzer). FortiDB ist für die Daten-
banksicherheit verantwortlich und mit FortiWeb werden
Portfolio Webapplikationen und Webserver effizient geschützt. Mit
Fortinet entwickelt Multi - Threat - Sicherheitssysteme FortiAuthenticator besteht die Möglichkeit der zentralen
für Unternehmen aller Größenordnungen, Rechenzen­ 2-Faktor-Authentifizierung, FortiScan bietet Vulnerability
trumsbetreiber, Carrier und Service-Provider. Die Lösun- und Patch Management und unterstützt Unternehmen
gen beinhalten Sicherheits-Module wie Firewall, VPN beim Erfüllen von Compliancevorgaben.
(IPsec und SSL), Antivirus, Intrusion Prevention, URL-Filter, FortiBalancer und FortiCache optimieren die Lastvertei-
Applikationskontrolle, Bandbreitenmanagement, Data lung über Webserver und in Content Delivery Netzwerken
Loss Prevention, WAN-Optimierung, Anti-Spyware, Anti- (CDN). Flexible und hochsichere WLAN-Umgebungen
Spam uvm. Mit dieser Kombination aus verschiedenen können mit den Thin Access Points FortiAP und den in die
Engines, die äußerst flexibel in beliebiger Kombina­tion, FortiGate Serie integrierten WLAN-Controllern realisiert
einzeln oder auch virtualisiert implementiert werden werden. FortiGuard Subscription Dienste werden von
kann, schützen die Appliances vor bekannten Bedrohun- einem weltweit operierenden Team aus Security-Spezia-
gen ebenso wie vor bisher nicht analysierten, versteck- listen entwickelt und aktualisiert und gewährleisten, dass
ten Angriffen. Speziell entwickelte ASICs (anwendungs- Updates als Reaktion auf aktuelle und künftige Sicher-
spezifische Prozessoren) beschleunigen gezielt einzelne heitsbedrohungen in Echtzeit zur Verfügung stehen.

Ken Xie, Grüder und CEO von Fortinet

www.fortinet.com
3
Das Konzept
Die Flexibilität der verschiedenen Fortinet-Lösungen ration mit vielen auf umfangreiche Rollouts abgestimm-
und der ausschließliche Fokus auf IT-Sicherheit ermög- ten Tools. Das Schaubild verdeutlicht die unterschiedli-
lichen Unternehmen aller Größenordnungen die Im- chen Einsatzmöglichkeiten, die von hochkomplexen
plementierung durchgängiger, höchst leistungsfähiger Rechenzentren mit oder ohne Managed Services über
und kostenoptimierter Security-Infrastrukturen. Ende-zu- kleine und große Unternehmens-Filialen, Home-Office-
Ende-Security wird mit Fortinet-Produkte unkompliziert Absicherung, Mobile Security bis hin zu Remote-Access-
und kostengünstig realisierbar - in einzelnen, überschau- Lösungen, Mail-Absicherung und Schutz von Web-An-
baren Projekt-Etappen, oder durch eine vollständige Mig- wendungen reichen, um nur einige wenige zu nennen.

44
4
FortiGate Produktfamilie

Integration in Security-Gesamtkonzept
nur ein Management
nur eine GUI

UTM und Virtual Security für alle FG 5140


Unternehmensgrößen identische
Technologie auf allen FortiGates

FG 5050

FG 5020

FG 3950B

FG3140B
Performance, Ports

FG 3040B

Telco |
MSSP FG1240B
DataCenter

FG1000C

FG 600C

FG 300C
Enterprise

FG 200B

FG 100D

Mittelstand
SME FG 80C

FG 60C

FG 40C

SMB |
SOHO FG 20C

Unternehmensgröße

www.fortinet.com
5
Fortinet für KMU und Mittelstand
Netzwerkbedrohungen unterscheiden nicht nach Un- runter Antivirus, Firewall, VPN, Intrusion Prevention, Web-
ternehmensgröße. Filialen und kleinere Firmen sind den filter, Antispam, Antispyware und Traffic Shaping. Die ein-
gleichen Risiken ausgesetzt wie große Unternehmen. fach zu implementierenden und leicht zu verwaltenden
KMUs fordern allerdings schlüsselfertige Sicherheitslö- Systeme sind hervorragend für KMUs und Filialen ge-
sungen, die keine allzu hohen Kosten verursachen, aber eignet und bieten im Rahmen einer modernen Securi-
trotzdem umfassenden Schutz bieten. Fortinet hält hier ty-Plattform außergewöhnliche Flexibilität und hervor-
marktführende Unified-Threat-Management-Appliances ragenden Schutz bei einem sehr guten Preis-Leistungs-
bereit, die alle notwendigen Sicherheitsfunktionen für verhältnis. Zahlreiche Filialen, KMUs und SOHOs weltweit
den Schutz eines Unternehmens zusammenführen – da- setzen Fortinet FortiGate-Systeme ein.

FortiGate 60C
Firewall/Antivirus/Antispam

FortiWiFi
Sicheres WLAN
Antivirus / Antispam

FortiGate 60C
Multi-Threat Security Firewall/
Intrusion Protection/
Web Filtering

44
6
Fortinet in Enterprise-Umgebungen
Große Unternehmen sehen sich zunehmend komplexen
Bedrohungen ausgesetzt. Die ständig wachsende Zahl Fortinet FortiGate-Systeme bieten Unternehmen
von heterogenen Endgeräten, der rasante Anstieg der im auf Enterprise-Level die folgenden Vorteile:
Unternehmen eingesetzten Anwendungen, Virtualisie- führende, von den ICSA-Labs zertifizierte Funktiona-
rung und Cloud Computing, die Nutzung von privaten lität für Unternehmensnetze jeder Größe, gleich ob
Endgeräten im Unternehmen (bring your own device / drahtgebunden oder drahtlos, in Kombination mit
Multi-Gigabit-Durchsatz für Antivirus-Gateways, IPS,
BYOD), Social Media, Streaming Applikationen, Konsoli-
VPN und Firewalls uvm.
dierungsbestrebungen und Kostendruck, die Bereitstel- transparenter Funktionsmodus, der die Fortinet-Sicher-
lung von Services von überall und zu jeder Zeit, gesetz- heitstechnik nahtlos mit existierenden Security-
liche oder Branchen-spezifische Auflagen - dies sind nur Produkten im Unternehmen zusammenarbeiten lässt
einige der Themen, die Security in Unternehmen zu einer eine Auswahl führender Sicherheitsfeatures für Netz-
täglich komplexer werdenden Herausforderung machen. werke, beschleunigt durch FortiASICs und durch
die zum Patent angemeldete CPRL-Technologie
FortiGate Appliances bieten einen konsolidierten,
ein skalierbares Sicherheitssystem, verwaltet über
Kosten optimierten und zugleich höchst leistungsfä- ein einheitliches Management-Interface für Unter­
higen Lösungsansatz. Die Integration verschiedenster nehmen jeder Größe
Security-Module, eine durchgängige Produktpalette für User-unabhängiges Lizenzierungsmodell
das zentrale Rechenzentrum bis hin zum Home Office FortiGuard Subscription Services für Applikations­
und den mobilen Anwender, zentrales Management kontrolle, Antivirus, IPS, Web-Filter, Schwachstellen-
auch für viele 1000 Systeme, eine einheitliche Benutzer- mangement und Antispam bieten Updates in Echtzeit
und den branchenweit besten Netzwerkschutz
führung sowie gleicher Funktionsumfang auf allen Platt-
formen sind nur einige der Besonderheiten, die diese
Produktlinie zu bevorzugten Sicherheitslösung zahl­reicher Die Kernvorteile der Fortinet Security Solution Suite:
weltweit agierende Konzerne gemacht hat. So verlassen 
Ultra-Hochleistungs-ATCA-Plattformen für Zuver­
sich große Carrier, Service Provider, Rechenzentrums- lässigkeit, Skalierbarkeit und anwenderfreundliches
Betreiber und ein Großteil der Fortune500-Unternehmen Management

Modulare Softwarearchitektur, die eine schnelle
auf Fortinet-Sicherheit.
Ergänzung und Aktualisierung der Sicherheitsfunktio-
nen erlaubt – immer passend zu den aktuellen Sicher-
heitsanforderungen

Umfassende Security-Subscription-Services – einzelne
Dienste lassen sich abonnieren

Leistungsfähige Management- und Analyse-Applian-
Secured Corporate Network
ces für zentrale Steuerung und umfassende Reports
Secured Corporate Network

VOIP

DMZ
DNS, Email,
Gateway, Web,
VOIP Server

FortiGate VOIP
Chassis

High Security
Server Farm

www.fortinet.com
7
Fortinet für Carrier
Sicherheit für Pre-IMS- und IMS-Infrastrukturen

Revolution der Services – Evolution der Video und Mobile Content, Sicherheitsrisiken in der
Netzwerke Mobilfunkkommunikation, sowie Security-as-a-Ser-
Carrier mit drahtlosen und drahtgebundenen Diens- vice - und erleichtert Carriern und Service Providern die
ten erleben ein explosives Umsatzwachstum auf der Einführung Cloud-basierter Security Services.
Basis von IP-gestützten Services wie Breitband-Access, Mit FortiCarrier können Kunden bei den Investitions-
Multimedia Messaging, Voice over IP (VoIP), Video Servi- und Betriebskosten für die Sicherheit ihrer Netzwerke
ces und kombinierten Multimedia-Diensten. Der Wett- sparen und zudem das Geschäftsmodell der Mana-
bewerbsdruck ist enorm. Es geht dabei um Kundenbin- ged Security Services einführen. Die aktuellen Modelle
dung, die Kontrolle über die Wertschöpfungskette und FortiCarrier-3810A und FortiCarrier-5001A-DW integrie-
darum, Kapitalbindung und operative Ausgaben zu ren das Betriebssystem FortiCarrier 4.0, das mit spezifi-
begrenzen. Um die aktuellen Chancen und Herausfor- schen Funktionen auf den Bedarf von Service Providern
derungen optimal zu adressieren, richten die Carrier zugeschnitten ist.
IP-gestützte Netzwerke und Applikation-Service-Netze Dynamische Security-Profile sorgen für die automatische
ein. Für den wirtschaftlichen Erfolg dieser Bemühungen Zuweisung von Security-Richtlinien für einzelne Benut-
ist es unbedingt notwendig, dazu das passende Risiko- zer, so dass Service Provider den manuellen Konfigura-
management einzuführen. tionsaufwand für die unterschiedlichen Security-Richt-
linien ihrer Kunden reduzieren und Betriebskosten sen-
Fortinet Security Solution Suite ken können. Ein wichtiger Vorteil, da Managed Security
Es ist eine extrem komplexe Aufgabe, IP-Infrastruktu- Services die Managementkomplexität erhöhen kön-
ren zu sichern. Sicherheitsbedrohungen sind nicht sta- nen. Mit Session Initiation Protocol (SIP) Security schützt
tisch. Erfolgreicher Schutz setzt eine lückenlose Samm- Fortinet Sprachanrufe, die im Zuge der Konvergenz von
lung von Werkzeugen voraus, mit der sich bekannte Be- Sprachnetzen und IP-Netzen über das Internet laufen.
drohungen ausschalten und unbekannte Cyber-Angriffe FortiOS Carrier enthält eine SIP-Firewall, die sich naht-
bekämpfen lassen. Die Tools müssen außerdem revi­ los in den Fortinet Intrusion Prevention Service inte-
sionssichere Informationen in Echtzeit liefern und in griert und Sprachinfrastrukturen gegen lückenhaften
der Lage sein, für zukünftige Herausforderungen zu Datenverkehr und bösartige Bedrohungen absichert.
skalieren und sich weiter zu entwickeln. Fortinet stellt Mobile Security ist in FortiOS Carrier mit gleich drei Fea-
eine komplette Suite an Sicherheitslösungen für Carri- tures abgedeckt: Antivirus und Antispam für Multimedia
er zur Verfügung. Die Produkte basieren auf netzwerk- Messaging Service (MMS), Filtern von Handyinhalten zur
und anwendungsorientierten ASIC-Security-Echtzeit- Durchsetzung von Nutzungsrichtlinien sowie eine GPRS
Engines, die durch Software-Module für spezifische Tunneling Protocol-Firewall mit 3GPP-Kompatibilität.
Schutzanforderungen ergänzt werden. FortiCarrier kon- In Kombination schützen diese Features die Infrastruk-
solidiert auf einer Plattform neun Sicherheitsfunktio- tur des Mobilfunkanbieters ebenso wie die Endgeräte.
nen und ist derzeit das einzige, vollständig virtualisier- Die FortiOS Carrier Software ist kostenlos, sofern für die
te Angebot. Mit FortiGate adressiert der Marktführer betriebene Hardware ein laufender FortiCare-Support-
für Unified Threat Management die Sicherheits­aspekte Vertrag besteht.
dreier Trends - Netzkonvergenz bei Daten, Sprache,

44
8
END-TO-END SECURITY
Unübertroffene Performance und umfangreicher Schutz

FortiGate
Die schnellste
Firewall der Welt
Next Generation Firewalling (NGFW) und
Unified Threat Management (UTM)

www.fortinet.com
9
FortiGateSerie
FortiGate
Fortinet bietet mit der Produktfamilie „FortiGate“ eine Bedrohungsszenarien richten sich nicht nach Unterneh-
ganze Palette von mehrfach ausgezeichneten Applian- mensgrößen, und so bieten alle FortiGate Appliances
ces für den Schutz von Netzwerken und Applikationen. nahezu denselben Funktionsumfang und dieselbe Bedie-
Die FortiGate Systeme schützen Daten zuverlässig und nung per grafischer Oberfläche oder CLI (command line
in Echtzeit vor Netzwerk- und Content-basierenden Be- Interface). Die User-unabhängige Lizenzierung aller Mo-
drohungen. Hier spielen die von Fortinet entwickelten dule vereinfacht das Netzwerk-Design, ermöglicht Kos-
ASIC Prozessoren eine entscheidende Rolle, die die viel­ tentransparenz und den flexiblen Einsatz der Produkte.
fältigen Dienste und Sicherheitsfunktionen der FortiGate-
Appliances enorm beschleunigen. Somit lassen sich
Bedrohungen durch Viren, Würmer, Exploits, Spywa-
Auch kleinere Unternehmen profitieren so von
re oder neuartigen sog. Blended Threats, also Kombi- Fortinets Erfahrung aus Großprojekten und können
nationen aus den genannten Angriffsmustern, effektiv so bei sehr gutem Preis-Leistungsverhältnis mit ei-
bekämpfen - und das in Echtzeit! nem hervorragenden Schutz bei außergewöhnli-
cher Flexibilität Ihre Netzwerke und Daten absi-
Weitere Funktionen wie umfangreiche und komforta­ chern. FortiGate Funktionen:
ble Applikationskontrolle, URL-Filter, IPSec- und SSL-VPN,
Firewall
Bandbreitenmanagement, WLAN-Controller, integrierte
VPN
2-Faktor-Authentifizierung und selbstverständlich eine
IPS/IDP
marktführende Firewall sind fest integrierter Bestandteil Applikationskontrolle
aller FortiGate Appliances. AntiVirus
WLAN Controller
URL-Filter
Schwachstellenmanagement
Network Access Control (NAC)
2-Faktor-Authentifizierung
Virtualisierung
Voice over IP
IPv6-Security
Data Leakage Protection
Bandbreitenmanagement
Layer2&3-Routing
WAN-Optimierung
SSL Inspection

44
10
FortiGate Firewall
Das Herzstück der Appliance tät von Fortinets Security-Zonen und mandantenfähi-
Die branchenführenden FortiGate gen Virtual Domains bieten eine perfekte Plattform, auf
Security Systeme bieten unerreichte der ein verwalteter Security-Dienst entwickelt werden
integrierte Security-Ressourcen, Be- kann. In Verbindung mit dem zentralisierten Manage-
nutzerfreundlichkeit und ein optimales Preis-Leistungs­ ment von Fortinets FortiManager und dem zentralisier-
verhältnis. Zusammen mit der Stateful-Inspection ten Reporting Server von Fortinets FortiAnalyzer können
Firewall verwendet das FortiGate System eine Vielzahl an MSSPs ihre Instandhaltungs- und Bereitstellungs­kosten
integrierten Sicherheitsmechanismen, um vor aktuellen deutlich reduzieren. Eine einzige Benutzeroberfläche
und komplexen Angriffen, wie Stuxnet und Duqu ­effektiv für die ebenfalls mandantenfähige Verwaltung, Analyse,
zu schützen. Konfiguration und die unkomplizierte Implementierung
Das Herzstück aller FortiGate Modelle ist die schnells- von Tausenden von FortiGate Systemen tragen weiter zur
te Firewall der Welt (Quelle: Breaking Point, 01/2012). Kostensenkung bei.
Firewall-Regelwerke kontrollieren sämtliche Daten,
die eine FortiGate Appliance zu passieren versuchen - Remote Access in Filialen und Home Offices
zwischen FortiGate-Interfaces, Zonen oder VLAN-­ Durch höchst einfache Konfiguration, Installations-
Subinterfaces. Solche Regelwerke enthalten Anweisun- Wizzards, umfangreichen RollOut-Support und Kon-
gen, ob und wie einzelne Verbindungen akzeptiert oder vertierungstools sind Fortinet-Appliances ideal für klei-
Pakete weitergeleitet werden. Bei Eintreffen einer Ver- ne Niederlassungen, Filialisten und Home-Office-Um-
bindungsanfrage werden z.B. Quell- und Zieladresse und gebungen geeignet. Auch der Austausch von Geräten
der Dienst (Port Nummer) analysiert, um die anwendba- in derartigen Umgebungen wird durch einfachste Instal-
ren Firewall-Regeln zu identifizieren. Dabei können u.U. lation per gesichertem USB-Stick gewährleistet.
viele verschiedene Instruktionen zur Anwendung kom-
men - neben obligatorischen Anweisungen wie dem
Akzeptieren oder Verwerfen von Datenpaketen können
FortiGate Firewall Highlights
optionale Instruktionen wie Loggen, Zuweisung von
Bandbreite oder Authentifizierung greifen. Sämtliche ICSA Labs Certified (Enterprise Firewall)
Identity/Application-Based Policy
anderen Sicherheitsmodule (z.B. AntiVirus, IPS, Applika-
IPv6 Support (NAT / Transparent mode)
tionskontrolle, URL-Filter usw.) werden abhängig von Granulare Per-Policy Protection Profile
diesem zentralen Firewall-Regelwerk gesteuert. NAT, PAT, Transparent (Bridge)
Routing Mode (RIP, OSPF, BGP, Multicast)
Managed Firewall Service
Weitere Features
Managed Security Service Provider (MSSPs) konzent-
rieren sich vermehrt auf Fortinets branchenführende Policy-Based NAT
FortiGate Security Systeme, um eine effiziente und kos- Virtual Domains (NAT/Transparent mode)
VLAN Tagging (802.1Q)
tengünstige Bereitstellung von integrierten Security-
Group-based Authentication & Scheduling
Diensten für Kunden anbieten zu können. Die Flexibili- SIP/H.323 /SCCP NAT Traversal
WINS Support
Explicit Proxy Support (Citrix/TS etc.)
VoIP Security (SIP Firewall / RTP Pinholing)
Vulnerability Management

www.fortinet.com
11
FortiGate VPN
Virtual Private Networks (VPN) ermögli- eine sichere Verbindung etabliert wird. Fortinet unter-
chen die sichere, verschlüsselte Verbin- stützt in höchst komfortabler Weise beide Standards und
dung zu privaten Unternehmensnetz- eine Vielzahl von Optionen zur individuellen Konfigurati-
werken und -resourcen. So kann z.B. ein on und Administration. Auf FortiGate-Systemen können
Anwender von seinem Home Office oder von unterwegs IPsec und SSL-VPN-Verbindungen auch gleichzeitig zum
per VPN mittels einer verschlüsselten Verbindung auf das Einsatz kommen.
zentrale Netzwerk zugreifen. VPN-Verbindungen kön-
nen nicht von unauthorisierten Dritten ausgelesen oder VPN Services für MSSPs
manipuliert werden und ein Zugriff auf sensible Infor- Mit Fortinet können MSSPs einen hochsicheren VPN-Dienst
mationen wird so verhindert. Fortinet bietet VPN-Optio- bereitstellen, indem sie die integrierte VPN-Engine mit den
nen sowohl mittels seiner FortiGate-Appliances als auch übrigen UTM-Modulen verknüpfen. So kann ein- und aus-
über die in die FortiClient integrierte Funktionalität. Mit- gehender Traffic in Echtzeit auf Malware untersucht und erst
tels zweier FortiGates können auf diese Weise auch viele dann freigegeben werden, um die Verbreitung von Schad-
verschiedene Standorte sicher über ein VPN miteinander software innerhalb eines Unternehmens-VPN zu verhin-
verbunden werden. dern. Ein weiteres Plus ist, dass Fortinets flexible VPN Archi-
tektur die Interoperabilität mit allen standardbasierenden
Hub-and-Spoke VPN für Unternehmen IPSec VPN Gateways zulässt. Unabhängig vom VPN Device,
Hub-and-Spoke VPN Konfigurationen ermöglichen, dass das der Kunde verwendet, gewährleistet das zentral imple-
mehrere Fernstandorte miteinander verbunden werden mentierte FortiGate System Malware-freien VPN Traffic.
können, ohne dass dabei spezielle Verbindungen für je-
den Standort notwendig sind. Eine ideale Anwendung
für diese Konzeption ist, den VoIP-Traffic über VPNs zu
FortiGate VPN Highlights
transportieren, um so die Gebühren für Ferngespräche
zu verringern. Fortinets Bandbreiten-Management-Funk- ICSA Labs Certified (IPSec/SSL-TLS)
PPTP, IPSec, and L2TP + IPSec Support
tionen ermöglichen, dass VoIP-Traffic Priorität auch bei ei-
SSL-VPN Concentrator (incl. iPhone client support)
ner VPN-Verbindung erhält. DES, 3DES, and AES Encryption Support
Automatische IPSec Konfiguration
SSL oder IPsec? Hub and Spoke VPN Support
In den vergangen Jahren haben sich zwei Standards für
verschlüsselte Verbindungen etabliert: IPsec VPNs und
Weitere Features
SSL VPNs. Während IPsec VPNs primär in sog. site-2-site- SHA-1/MD5 Authentifizierung
Verbindungen und zentral gemanagten mobilen Endge- PPTP, L2TP, VPN Client Pass Through
räten zum Einsatz kommen, haben sich SSL-VPNs vorwie- IKE Certificate Authentifizierung (v1 & v2)
IPSec NAT Traversal
gend in sog. clientless Umgebungen etabliert. IPsec VPN
Dead Peer Detection
bietet sich an für klassische Layer3-basierende Anwen- RSA SecurID Support
dungen, bei denen eine verschlüsselte Verbindung zwi- SSL Single Sign-On Bookmarks
schen zwei Geräten aufgebaut wird. SSL 2-Faktor Authentifizierung
SSL VPN bietet Vorzüge im Bereich der Web-Anwendun- LDAP Gruppen Authentifizierung (SSL)
gen, bei denen zwischen Web-Server und Web-Browser

Webfiltering
IPS

Application
Control
VPN
Firewall
Antivirus
WAN
Acceleration

Antispam

44
12
FortiGate IPS
Intrusion Prevention Systeme (IPS) bie- High Performance DoS-Prevention
ten Schutz gegen bekannte und zukünf- für Service Provider
tige Bedrohungen auf Netzwerkebe- Der speziell entwickelte SP2-ASIC von Fortinet, der in aus-
ne. Zusätzlich zur Signatur-basierenden gewählten FortiGate-Modellen integriert ist, stellt zusätz-
Erkennung wird eine Anomalie-basierende Erkennung liche Beschleunigung der IPS-Funktionalität direkt am In-
durchgeführt. Das System generiert einen Alarm, wenn terface zur Verfügung. Dies gewährleistet insbesondere
Daten einem speziellen Profil eines Angriffsverhaltens bei Denial-of-Service-Angriffen eine effiziente Abwehr,
entsprechen. Dieses Verhalten wird dann analysiert, um ohne die Performance der zentralen Security-Module
die Evolution von Bedrohungen zu erkennen und neue und damit der gesamten Appliance zu beeinträchtigen.
Signaturen entwickeln zu können, die dann wiederum In modularen FortiGate-Appliances können zu diesem
Bestandteil der FortiGuard Services werden. Zweck sog. Security Processing Module nachgerüstet
werden, die mit dem neuen SP2-Chip ausgestattet sind.
Implementierung von IPS So kann (bei Bedarf auch erst im Nachhinein) die IPS-Per-
Das in die FortiGate-Appliances integrierte Hochleis- formance einer Appliance signifikant gesteigert werden.
tungs-IPS-Modul kann entweder als Standalone-De-
vice oder als Bestandteil einer Multifunktions-Firewall One-Armed IDS (Sniffer)
(UTM) agieren - und dies sowohl am Netzwerk-Perime- Als Ergänzung ist es möglich, sog. Sniffer-Policies zu er-
ter (Übergang zwischen internem und externem Netz- stellen, mit denen eine FortiGate als „one-armed“ Intrusi-
werk) als auch im internen Netz. So können sowohl pro- on Detection System fungiert. Dabei wird der Datenver-
tokoll- oder anwendungsbasierende Angriffe von außen kehr auf Übereinstimmungen mit bereits konfigurierten
als auch die Ausbreitung von derartigen Schädlingen im IPS-Sensoren und Applikations-Listen untersucht. Bei ei-
internen Netzwerk (die z.B. über mobile Endgeräte oder nem Treffer wird dieser gelogged und die eingehenden
Datenträger ins Unternehmen gelangt sind) erkannt und Daten abgewiesen. Auf diese Weise ist es möglich, den
verhindert werden. Datenverkehr zu untersuchen oder die einzelnen Daten-
pakete zu verarbeiten.
IPS für die Zentrale und Niederlassungen
Fortinets flexible Architektur und skalierbare Produkt-
reihe berücksichtigt Implementierungen im zentralen
FortiGate IPS Highlights
Netzwerkbereich zum Schutz vor externen und internen
Angriffen ebenso wie die Absicherung von Niederlassun- ICSA Labs Certified (NIPS)
Schutz vor über 3000 Threats
gen jeder Größenordnung. Dies wird durch die identi-
Protokoll Anomalie Support
sche IPS-Funktionalität auf allen FortiGate-Appliances er- Support kundenspezifischer Signaturen
reicht. In Verbindung mit FortiManger und FortiAnalyzer Automatische IPS Database Updates
können so größte und hochkomplexe VPN-Infrastruktu- IPv6 Support
ren flexibel, einfach und kostengünstig - und auch man- Skalierbar von Home Office bis Multi-Gigabit Rechen-
dantenfähig - realisiert werden. zentrum IPS

www.fortinet.com
13
FortiGate Applikationskontrolle
Die Vielfalt von Applikationen nimmt kationen ein Teil der Funktionalität eingeschränkt wer-
kontinuierlich und zum Teil sogar dras- den, z.B. die Nutzung von Facebook bei gleichzeitigem
tisch zu - verstärkt durch den Trend, dass Unterbinden von Facebook Chat, oder das Nutzen von
Enterprise-Applikationen zunehmend in Google.Docs, aber das Unterbinden von Google.Talk.
Richtung Web-Plattformen migrieren und Web 2.0 mit Applikations-Kontrolle ergänzt somit die Funktionalität
einer Vielzahl von einfachen und vielfach privat genutz- von Firewall- und IPS-Mechanismen um eine granulare
ten Anwendungen (Webmail, Instant Messaging, Social Steuerung von Anwendungen und Protokollen.
Media wie Twitter und Facebook usw.) den Administra- Die maximale Nutzbarkeit von Applikationen wird so bei
toren das Leben erschwert. Daraus ergeben sich neue minimalem Risiko erzielt. Derartige Regeln zur Nutzung
Herausforderungen für die IT-Sicherheit, da vielen dieser können bis auf Anwenderebene und selbstverständlich
Anwendungen neue Sicherheitslücken innewohnen, die auch geräte- oder abteilungsbezogen erstellt werden.
herkömmliche Abwehr-maßnahmen umgehen können.
Desweiteren stehen IT-Verantwortliche vor dem Prob- Integration als Mehrwert
lem, die Produktivität der Mitarbeiter trotz derartiger oft Es ist wichtig, Applikations-Kontrolle nicht als isolierten
zeitintensiver Applikationen (Chat, Games usw.) zu erhal- Bestandteil der IT-Sicherheit zu verstehen, denn dies
ten und die Zuverlässigkeit der Infrastruktur zu bewah- führt zu einem reaktiven Ansatz der Security-Strategie.
ren, obwohl diese Anwendungen oft eine sehr hohe Vielmehr ergänzt es sinnvoll die vorhandenen Abwehr-
Bandbreite benötigen (Video/Audio-Downloads oder mechanismen wie z.B. Firewall, VPN, AntiVirus, IPS und
-Streaming). Zunehmend spielt auch die Einhaltung von Web Filter und idealerweise integriert es sich in diese.
Compliance-Regularien eine Rolle, die weitere Anforde- Unternehmen leiden zunehmend an der – nicht nur in
rungen an IT-Abteilungen stellt. IT-Security-Umgebungen – häufig anzutreffenden viel zu
heterogen gewachsenen Struktur, die auf sog. Point-So-
Arbeitsweise lutions, also Nischen-Lösungen basieren. Diese integrie-
Applikationskontrolle stellt ein Werkzeug zur Verfügung, ren sich nur bedingt oder gar nicht, sind aufgrund der
das Administratoren in die Lage versetzt, gezielt auf ein- Vielfalt schwierig in der Administration - und erhöhen
zelne Applikationen einzuwirken - auch dann, wenn die- oft unbemerkt die Betriebskosten eines Unternehmens
se Non-Standard Ports verwenden oder erlaubte Proto- in beträchtlicher Weise. Als unangenehmen Nebenef-
kolle als Tunnel nutzen. Als Teil einer Multi-Layer-Security fekt beeinflussen solche oft seriell in einen Datenstrom
Architektur ermöglicht Applikationskontrolle eine granu- eingebrachten Lösungen auch die Gesamt-Performance
lare Steuerung des Anwendungsverhalten und beein- des Netzwerks negativ, da durch diese Vorgehenswei-
flusst so im positiven Sinne die Bandbreite, Performance, se Pakete oft mehrfach analysiert werden – oder im
Stabilität und Zuverlässigkeit sowie die Compliance der schlimmsten Fall sogar Paketinformationen für eine sinn-
IT-Infrastruktur. volle Analyse gar nicht mehr zur Verfügung stehen.

Vorteile zu herkömmlichen Methoden


Eine herkömmliche Firewall kontrolliert den Datenstrom
FortiGate Applikationskontrolle Highlights
basierend auf Port- bzw. Service-Kontrollmechanismen.
Applikations-Kontrolle setzt auf dynamische Untersu- Erkennung und Kontrolle von über 1400 Applikationen
Traffic-Shaping (pro Applikation)
chung der Daten und ermöglicht überdies die Anwen-
Facebook Applikations- und Kategorie-Kontrolle
dung weiterer Kontrollen, wie etwa Bandbreitenvergabe Erkennung und Kontrolle einzelnen
pro Applikation oder Zeitfenster bzw. -konten für deren Anwendungs-Services
Nutzung. Weiterhin kann sogar innerhalb von Appli- Einrichtung von Zeitfenstern oder -Konten pro User
Kombination mit anderen integrierten UTM-Modulen
(z.B. AV, IPS, URL-Filter, DLP usw.)
Kontrolle weitverbreiteter Anwendungen
unabhängig von Port oder Protokoll:
Facebook, KaZaa, ICQ, Gnutella, BitTorrent,
MySpace, WinNY, Skype, Edonkey

44
14
FortiGate AntiVirus
Das Antivirus-Modul vereint eine AntiVirus Techniken
Reihe von Features, die verhindern, dass Abhängig vom erforderlichen Schutzniveau können un-
ungewollte oder potenziell gefährliche terschiedliche Instanzen aktiviert werden, die eingehen-
Dateien in das Netzwerk gelangen. Diese de Daten auf Malware untersuchen. Dabei wird unter-
Features arbeiten auf unterschiedliche Weise, wie schieden zwischen Pattern Scan, Grayware Scan und ei-
etwa das Prüfen der Dateigröße, des Namens, des ner heuristischen Analyse. Während die ersten beiden
Dateityps, oder des Vorhandenseins eines Virus oder Verfahren auf bekannte Virus-Definitionen untersuchen,
einer Grayware Signatur. Dabei haben alle Antivirus- ist es möglich, mit Letzterer auch Mutationen bekannter
Mechanismen gleichzeitig Zugriff auf den Datenver- Viren oder gänzlich neue Viren-Signaturen zu erkennen.
kehr, wodurch sichergestellt ist, dass viele Operationen
nahezu gleichzeitig erfolgen können. Dies erhöht die Echtzeit Updates
Performance der Antivirus-Engine erheblich. Die Effizienz einer Antivirus-Lösung wird nicht nur an
ihrem Durchsatz oder an der Erkennungsrate, sondern
Proxy oder Flow-Based Antivirus auch an der Geschwindigkeit, in der Signatur-Updates
Zusätzlich zu drei Proxy basierenden Antivirus-Daten- eintreffen, gemessen. Über das FortiGuard Distribution
banken beinhaltet FortiOS außerdem eine hoch perfor- Network (FDN) werden diese Informationen kontinuier-
mante flow-basierende Antivirus-Option. Diese flow- lich aktualisiert und in Echtzeit bereitgestellt. Dieser Vor-
basierende Option ermöglicht es, Dateien jeder Größe zu gang erfolgt automatisch und erfordert keinen Eingriff
scannen, ohne die Performance merklich zu beeinträch- des Administrators. Im Vergleich rangiert Fortinet konti-
tigen. Überdies ist es möglich komprimierte Dateien zu nuierlich unter den Top5 AntiVirus-Anbietern.
analysieren um auch versteckte Threats zu erkennen.
Durch die Flexibilität, zwischen den Antivirus-Engines
wählen zu können, ist es möglich, die ideale Ausgewo-
FortiGate AntiVirus Highlights
genheit zwischen Performance und Security individuell
an die Umgebung anzupassen. ICSA Labs Certified (Gateway Antivirus)
Incl. Antispyware und Worm Prevention
Protokolle: HTTP/HTTPS SMTP/SMTPS, POP3/POP3S
High Peformance AntiVirus IMAP/IMAPS, FTP, viele IM Protokolle
Fortinets optimierte Anti-Virus-Technologie verwendet Flow-Based Antivirus Scanning Modus
eine Kombination aus Signatur- und heuristischen De- Automatische “Push” Content Updates
tektionsmodulen und bietet so vielschichtigen Echtzeit- File Quarantäne Support
schutz gegen zahlreiche Angriffsformen. Extrem hohe IPv6 Support
System-Performance wird durch die Verwendung des
integrierten FortiASIC Content-Prozessors (CP) zusammen Weitere Features
mit Fortinets patentierter Technologie, bekannt unter der skalierbare Performance und ASIC-beschleunigt
Bezeichnung CPRL oder Content Pattern Recognition Lan- Prüfung von VPN (IPSec und SSL) Content
guage, erreicht, die dem beschleunigten Scannen von Vi- bi-direktionales Content Filtering
rusdateien und der Heuristik/Anomalie-Erkennung dienen. komprimierter Dateiformat-Support: tar, gzip, rar, lzh,
iha, cab, arj, zip, bzip2, upx, msc, fsg, und aspack
zentralisiertes Management und Reporting für Tausen-
de von FortiGate-Systemen
Implementierung in Transparent, NAT und Route-Modus
AV-Datenbanken: Standard, Extended, Extreme, Flow

www.fortinet.com
15
FortiGate WebFiltering
Unerlaubtes Internet-Surfen und die nischen Kongress verabschiedet wurde, um Problemen
Verwendung von webbasierenden An- hinsichtlich des Zugangs auf das Internet und andere
wendungen resultieren häufig in Pro- Informationen in Schulen und Bibliotheken entgegen­
duktivitätsverlust, hoher Netzwerklast, zusteuern.
Infizierung mit Malware und Datenverlusten. Web Filte-
ring kontrolliert den Zugriff auf webbasierende Anwen-
dungen wie Instant Messaging, Peer-to-Peer File Sha- Anwendungsbereiche
ring und Streaming-Applikationen. Gleichzeitig werden
Phishing Sites und Blended Threats blockiert. Überdies Steigerung der Produktivität
Erhöhung der verfügbaren Bandbreite
können Botnet Befehle und Fast Flux File Downloads
Verhinderung von Datenverlust oder Veröffentlichung
blockiert werden. Flow basierende Web Filtering Optio- von vertraulichen Informationen über Chat-Seiten,
nen sind ebenfalls verfügbar. nicht erlaubte und nicht kontrollierte Web-Mail Systeme,
Instant Messaging und Peer-2-Peer File Sharing
Arbeitsweise Reduzierung der Bedrohung durch schädliche Webseiten
Das Fortinet WebFilter-Modul besteht aus drei interagie- (Phishing, Pharming, Malware, Spyware, Grayware,
Streaming Media uvm.)
renden Komponenten: dem URL-Filter, dem Web Con-
Einhaltung rechtlicher Bestimmungen (z.B. Copyright)
tent Filter und dem FortiGuard Webfilter Service. Der URL- beim Download von Datei
Filter verwendet URLs und URL Patterns, um Web­seiten
zu blockieren. Der Web Content Filter blockiert Web- FortiGate WebFilter Highlights
seiten, die bestimmte Wörter oder Patterns enthalten, 76 Content Kategorien
die individuell spezifiziert werden können. Fortinets über 2 Milliarden Web Seiten kategorisiert
FortiGuard Web Filtering Service reguliert und bietet HTTP/HTTPS Filtering
wertvolle Einsicht in alle Internetaktivitäten und ermög- Kundenspezifisches Black/White-Listing
licht es dem Kunden so, neue gesetzliche oder interne Web Filtering Time-Based Quota
Bestimmungen und Vorschriften einzuhalten. Weitere Features
URL/Keyword/Phrase Block
Jugendschutz
URL/Category Exempt blockiert Java Applets, Cookies,
Fortinet ist ein Mitglied der Internet Watch Foundati- Active X
on in Großbritannien, eine Organisation, die potenziell MIME Content Header Filtering
illegalen Online-Content bekämpft und den Zugang zu IPv6 Support
sexuellem Kindesmissbrauch verhindert. Fortinets Web Flow-based Web Filtering
Filtering Lösungen sind darüber hinaus CIPA-zertifi-
ziert. Das Children‘s Internet Protection Act (CIPA) ist ein
US-Bundesgesetz, das im Dezember 2000 vom amerika-

44
16
FortiGate Wireless LAN
FortiGate Security Systeme bieten eine Return on Investment
umfassende Reihe an Funktionen, mit Da jede FortiGate Appliance (ab FG50x) ab FortiOS 4.1.
denen die höchsten Anforderungen über diese Wireless-Controller Funktionalität verfügt,
bei der Implementierung von Wireless können bereits bestehende Gateways durch ein einfa-
LANs erfüllt werden. FortiGate Systeme können in Ver- ches Betriebssystem-Update um dieses Feature erwei-
bindung mit Wireless Access Points (FortiAP) implemen- tert werden – die Anschaffung einer zusätzlichen Platt-
tiert und dazu verwendet werden, Content-basierte Be- form mit einer eigenen Administrations-Oberfläche ent-
drohungen aus E-Mail- und Internet-Traffic, wie Viren, fällt. Durch die hohe Performance und große Reichweite
Würmer, Intrusionen, unangemessenen Internet Con- der neuen FortiAP-Serie ist der Aufbau einer hochsiche-
tent, in Echtzeit zu ermitteln und zu eliminieren, ohne ren und leistungsstarken WLAN-Infrastruktur einfach und
dabei die Performance des Netzwerkes zu beeinträch- kostengünstig möglich. In vielen Anwendungsszenarien
tigen. Neben der Bereitstellung von anwendungsbezo- erübrigt sich unter Umständen sogar das Installieren ei-
genem Schutz bieten die FortiGate Systeme umfassende ner Verkabelung bis zum Arbeitsplatz, da die Durchsatz-
netzwerk­bezogene Dienste, wie Firewall, VPN, Intrusion raten der WLAN-Lösung vielfach äquivalent hoch sind.
Detection und Bandbreitenmanagement, welche einen
vollständigen Netzwerkschutz-Service mittels spezieller,
leicht zu verwaltender Plattformen bieten. Insbesonde-
FortiGate WLAN Highlights
re VPN Verschlüsselungs-, Anwender-Authentifizierungs-
und Dateiverzeichnis - Integrations - Leistungsmerkmale Integrierter WLAN-Controller
der FortiGate Systeme ermöglichen eine Eindämmung Bereitstellung von kundenspezifischen Captive Portals
für sichere Anmeldung (auch in Verbindung mit
von Sicherheitslücken von WLAN-Produkten der jetzigen
FortiToken) und User-basierende Authentisierung
Generation und bieten eine vollständige Nachrüstung gegen lokale Datenbank
für jede WLAN-Implementierung. integriertes öffentliches Zertifikat zur WPA-Enterprise
Authentifizierung
Integrierter WLAN Controller Distributed Automatic Radio Resource Provisioning
Die neue Serie von Fortinet eigenen Thin Access Points (DARRP)
MAC-Address Whitelisting
(FortiAP) in Verbindung mit einer Vielzahl von Wire­
automatische Profilzuweisung
less Controllern (FortiGate Appliances ab FortiOS 4.1.) Gastzugang-Management via „Receptionist-GUI“
bietet High-Performance Netzwerkzugänge mit inte­
grierter Content-Security. Durch die Kombination eines Weitere Features
Wireless Controllers mit einer FortiGate Plattform (grö- Erkennung, Reporting und Unterdrückung von nicht
ßer als Modell FG30B) wird das Sicherheitsniveau des erlaubten Access Points (sog. Rogue APs)
kabelgebundenen LANs automatisch auf die WLAN- granulare Endpoint-Kontrolle
Umgebung übertragen. Der gesamte WLAN-Traffic Standard-Reports, die für Audits nutzbar sind
wird so identitäts-basierend über die UTM-Engines der 802.11n Support (parallel zu a/b/g)
basierend auf 2x2 Multiple-In/Multiple-Out (MIMO)
FortiGate Appliance geleitet und dort entsprechend
Technologie
analysiert, und es werden nur authorisierte Verbindun- Volle Integration in das umfangreiche UTM-
gen zugelassen. Durch diese Integration ist es möglich, Feature-Set einer FortiGate-Appliance
von einer einzigen Konsole aus den Netzwerkzugang zu Applikations- und/oder User-abhängiges
überwachen, Regelwerke einfach und schnell upzudaten Bandbreitenmanagement
und den Datenverkehr und die Einhaltung von Compli- Spannungsversorgung des FortiAP über das LAN-
Kabel (POE-Funktion, nur bei FortiAP 210-Serie)
ance-Regeln kontinuierlich zu überwachen.
Indoor- und Outdoor-Access Points verfügbar

www.fortinet.com
17
FortiGate VoIP und SIP Security
Aufgrund der zunehmenden Imple- Schutz von Unified Communication und NGN/
mentierung von VoIP stehen sowohl IMS Netzwerken
Unternehmen als auch Service Provi- Ab FortiOS 4.2. bieten FortiGate Appliances eine Vielzahl
der vor der Herausforderung, Telefo- von Carrier-grade Schutzmechanismen für SIP-Daten. Ei-
niedienste hochverfügbar und in der gewohnten „ana- nige sind im Folgenden aufgeführt:
logen“ Qualität bereitstellen zu müssen. Ist es bei vielen
Standardanwendungen unproblematisch, wenn deren Deep SIP Message Inspection analysiert die Header Syn-
Antwortzeiten im Millisekunden- oder sogar Sekunden- tax für SIP und SDP. Bei Erkennung von Syntax-Verletzun-
bereich variieren, ist dies bei Sprache völlig inakzepta- gen können entsprechende Gegenmaßnahmen konfi-
bel, da dies zu einer deutlich spürbaren Qualitätsminde- guriert werden, u.a. Automatische SIP-Antwort-Nachrich-
rung (=Unverständlichkeit) führt. Quality of Service (QoS) ten, um den SIP-Server zu entlasten. Die Methodik bietet
für VoIP ist damit eine der großen Herausforderungen. u.a. Schutz vor weitverbreiteten SIP Fuzzing Angriffen.
Ein Aspekt von QoS ist aber auch die generelle Verfüg-
barkeit – welche durch die Nutzung von IP-basierender SIP Message Rate Begrenzung erlaubt die Begrenzung
Infrastruktur den dort seit langem bekannten Sicher- der Anzahl von SIP Nachrichten pro SIP Request Metho-
heitsbedrohungen ausgesetzt und damit gefährdet ist. dik. So können DoS-Angriffe auf SIP-Server verhindert
Daher ist es wichtig, bereits vorhandene IT-Security-Infra­ werden.
struktur dahingehend zu prüfen, ob sie sich auch zum
Schutz von VoIP-Diensten eignet – und ggf. entsprechen- RTP Pin-Holing RTP Pin-Holing leitet nur solche RTP/RTCP
de Erweiterungen oder sogar einen Ersatz zu planen. Pakete weiter, die mit der individuellen Session Beschrei-
Ein sicherheitsrelevanter Aspekt bei VoIP-Diensten ist bung des zugeordneten SIP-Dialogs konform sind. Nach
die Tatsache, dass während eines VoIP-Telefonats Ports Beendigung eines SIP-Dialogs schließt die FortiGate die
dynamisch geöffnet und geschlossen werden – dies wird sog. Pin-Hole automatisch. RTP/RTCP Pin-Holing wird von
von vielen Standard-Firewalls nicht unterstützt, weshalb FortiASICs unterstützt, so dass eine größtmögliche Durch-
für VoIP oft ein großer Port-Bereich standardmäßig geöff- satzrate bei äußerst geringem Jitter erzielt wird.
net ist (um diesen Dienst überhaupt nutzen zu können)
und somit Angreifern das leichte Eindringen ins Unter- Stateful SIP Dialog Tracking FortiOS analysiert SIP Nach-
nehmensnetz ermöglicht. richten und schützt so vor ungewollten oder unerlaub-
Die Fortinet VoIP Firewall erkennt anhand des überprüf- ten SIP Paketen, die nicht dem zugeordneten SIP-Dialog
ten Datenverkehrs, welche Ports für den Sprachverkehr entsprechen. So ist es z.B. möglich, schadhafte SIP BYE
dynamisch geöffnet werden sollen und wann sie wieder Nachrichten zu erkennen und zu blockieren, die nicht in
geschlossen werden müssen. Dieser dynamische Prozess den Kontext des entsprechenden SIP Dialogs passen.
unterstützt auch NAT (auf IP, SIP, SDP und RTP).
Viele Kunden arbeiten inzwischen mit Fortinets
FortiGate Systemen, um Video-, Daten- und Voice-Traffic
FortiGate VoIP Security Highlights
vor weitverbreiteten Echtzeit-Traffic-Problemen zu schüt-
zen, darunter: Session Hijacking, Server-Imitation, Nach- SIP Header Conformance Check (Prüfung einer SIP
Nachricht auf Unregelmäßigkeiten)
richten-Modifizierungen, Sitzungsabbrüche und Deni-
RTP PIN-Holing
al-of-Service Angriffen (DoS). Ein weiterer Vorteil von SIP Message Rate Limitation (per Methode)
FortiGate-Lösungen für Videokonferenzen ist, dass die SIP NAT
bereitgestellte Sicherheit für die Endanwender transpa- IP Address Speicherung
rent bleibt. Es besteht keine Notwendigkeit, Änderungen Multiple RTP
in den Video-Systemen vorzunehmen.
Weitere Features
Endpoint Support
SIP Hosted NAT Traversal
SIP HA Failover
Deep SIP Message Inspection (Syntax Check einer SIP
Nachricht)
Stateful SIP dialog tracking
Stateful SCTP Firewall
Hochverfügbarkeits-Funktionen (HA)
Geographische Redundanz
Umfassendes Logging und Reporting

44
18
FortiGate und Virtualisierung
Die Konsolidierung unterschiedlicher IT- Security-Dienste flexiblen Konfigurations-Optionen reduziert der Ein-
auf einer einzigen Hardware-Plattform kann durch deren satz von VDOMs auch den Platz- und Strombedarf.
Virtualisierung optimal ergänzt werden. So lassen sich So können z.B. mit einer einzigen FG600C bis zu 10
Kosten senken, die sonst aufgrund von hohem Platzbe- kleinere FortiGates (z.B. FG50B oder FG60C) ersetzt
darf, aufwändiger Wartung und Bedienung, komplizier- werden - ein deutlicher Platzvorteil und bis zu 18.000
ter Verwaltung von Service-Verträgen, Stromverbrauch kWh Stromersparnis pro Jahr.
und mangelhafter Flexibilität entstehen. Darüber hinaus
benötigen immer mehr Unternehmen heterogene Secu- Höchste Flexibilität
rity-Dienste für einzelne Teile ihrer Infrastruktur, also un- VDOMS ermöglichen nicht nur individuelle Security-
terschiedliche Funktionen für verschiedene Abteilungen. Service-Konfigurationen innerhalb von Unternehmen
oder für MSSPs. Sie bieten weitere Vorteile, wie z.B. die
Virtuelle Domänen (VDOMs) optimierte Lastverteilung innerhalb eines Clusters, in
Mit der standardisierten und integrierten Virtualisierungs­ dem auf einem Cluster-Member z.B. die Firewall im
funktion – sogenannten virtuellen Domänen (VDOMs) Primary- und die AV-Engine im StandBy-Modus aus-
– können sämtliche Funktionen einer FortiGate Ap- geführt wird - und im anderen Cluster-Member ent-
pliance auch als virtuelle Einheit abgebildet wer- sprechend umgekehrt. So wird die Performance beider
den. Daraus ergibt sich die Möglichkeit, dass einzelne Appliances optimal genutzt und trotzdem eine Hoch­
Abteilungen oder Kunden mehrere oder auch nur verfügbarkeit gewährleistet. Ebenso kann auf diese
bestimmte Funktionen wie Firewall, AV- oder IPS-Dienste Weise ein Cluster entsprechend skaliert werden, ohne
nutzen können. Die Verwaltung läuft dabei auf ein und dass Geräte ausgetauscht werden müssten.
derselben Appliance. Bei allen Modellen bis zur 600er
Serie sind 10 VDOMs möglich und ab Werk ohne zusätz- Mandantenfähige Security Services
liche Kosten vorhanden. Ab der 1000er Serie sind mit In Verbindung mit FortiManager und FortiAnalyzer
zusätzlichen Lizenzen weitere VDOMs pro FortiGate können extrem flexible Management- und Reporting-
möglich, in den 5000er Chassis-Systemen sind sogar Funktionen mandantenfähig abgebildet und ent­weder
bis zu 250 VDOMs realisierbar. Neben vielen äußerst durch den Kunden, die Abteilung oder den Dienstleis-
ter verwaltet werden. Sowohl FortiManager als auch
Flexible Port-Zuweisung FortiAnalyzer stellen diese Funktionalitäten, sog. Admi-
nistrative Domains (ADOMs), standardmäßig bereit, eine
VDOM 3
Erweiterung ist hier nicht erforderlich.
Inter-VDOM
Link
MSSPs können auf diese Weise sehr einfach und
kostengünstig maßgeschneiderte Security Services an-
VDOM 2
Inter-VDOM
Link bieten. Dabei kann jede einzelne VDOM individuell und
völlig unabhängig mit dem vollen Funktionsumfang
VDOM 1
einer FortiGate konfiguriert werden. Änderungen sind
ebenso einfach und schnell - und vor allem ohne Unter-
brechung der Services möglich. Ebenso kann eine Inter-
VDOM-Kommunikation etabliert werden, wenn dies aus
Kundensicht oder für administrative Zwecke erforderlich
sein sollte.
Vielseitige Einsatzgebiete

VDOM
FortiGate Virtual Security Highlights
Reduzierung von Platz, Kosten und Stromverbrauch
Verfügbar auch auf kleinen FortiGate Modellen
VDOM Maximale Flexibilität durch beliebige Kombination
von virtuellen Diensten auf einer Appliance
Kunde Individuelle Managed Services in Organisationen oder
Kostenstelle für MSSPs
Abteilungen
Mandantenfähigkeit
Skalierbarkeit
Erweiterbarkeit (ab 1000er Serie)
Large Scale Security Services

www.fortinet.com
19
FortiGate 2-Faktor-Authentifizierung und FortiToken
Bei der Authentifizierung handelt es entweder auf einem Computer oder auf einer FortiGate
sich um die Bestätigung der Identi- Appliance installiert ist, um sich selbst gegenüber ande-
tät von Personen oder Instanzen. Im ren Geräten innerhalb des Netzwerks zu authentifizieren.
Zusammenhang mit Unternehmens- Wenn sich nun eine Instanz im Netzwerk mittels eines
netzwerken müssen die Identitäten von Nutzern oder Zertifikates authentifiziert, kann die andere Instanz prü-
Computern definiert und kontrolliert werden, um si- fen, ob dieses Zertifikat von der CA ausgegeben wurde.
cherzustellen, dass nur autorisierte Instanzen Zugriff auf Die Identifizierung ist daher so vertrauenswürdig, wie die
das Netzwerk erlangen können. Fortinet-Systeme unter- CA, die das Zertifikat ausgegeben hat. Zum Schutz ge-
stützen Netzwerk Zugangskontrolle (NAC) und können gen modifizierte oder missbräuchlich genutzte Zertifika-
so Firewall-Regeln und VPN-Dienste einzelnen Usern te ist es möglich, diese von der CA zurückrufen zu lassen.
dediziert zuweisen.
Eine FortiGate-Appliance unterstützt drei unter- 2-Faktor Authentifizierung
schiedliche Authentifizierung-Methoden: Passwort- Optional und zur Erhöhung der Sicherheit kann ein User
Authentifizierung für Personen, Zertifikat-basierende aufgefordert werden, zusätzlich zu bekannten Infor-
Authentifizierung für Host-Computer oder Endpoints, mationen (Usernamen und Passwort) einen speziellen
sowie 2-Faktor-Authentifizierung für zusätzliche Sicher- Besitz (FortiToken oder Zertifikate) zu dokumentieren.
heit über normale Passwörter hinaus. Bei einem FortiToken handelt es sich um einen Code
Generator, der für die Authentifizierung einen einma-
Lokale Passwortauthentifizierung ligen Code generiert. Wenn dieses Feature aktiviert ist,
Die einfachste Möglichkeit der Authentifizierung ba- muss der Anwender zusätzlich zu Username und Pass-
siert auf User-Accounts, die bereits lokal auf einer wort diesen Code eingeben. Die FortiGate Appliance
FortiGate-Appliance gespeichert sind. Über die Möglich- verifiziert dann den Code des FortiToken in Kombination
keit, einen User-Account vorübergehend abzuschalten, mit Usernamen und Passwort. Diese Form der Authenti-
ist es möglich, den Netzwerkzugang zu unterbinden, fizierung kann z.B. für den Aufbau einer VPN-Verbindung,
ohne den Account zu löschen. Lokale User-Accounts für den Administration-Zugang oder die Nutzung eines
sind eine gute Methode für kleinere FortiGate-Installati- WLAN-Portals verwendet werden.
onen. Sobald mehrere FortiGate Appliances zum Einsatz Als weitere Optionen für diese Art der Authentifizie-
kommen, die mit denselben Accounts arbeiten, ist die rung stehen der Versand einer E-Mail oder einer SMS an
Verwendung externer Authentifizierungsserver empfeh- den sich anmeldenden User zur Verfügung. In diesem
lenswert, um die Account-Verwaltung und -Konfigura­ Fall müssen die darin enthaltenen Codes zusätzlich zur
tion zu vereinfachen. Anmeldung eingegeben werden.

Server-basierende
Passwortauthentifizierung FortiGate Authentifizierung Highlights
Die Nutzung von externen LDAP, RADIUS oder TACACS+
Authentifizierungs-Servern ist immer dann wünschens- Flexible Auswahl unterschiedlicher
Authentifizierungsmethoden
wert, wenn mehrere FortiGate Appliances dieselben
Integrierte CA
Anwender authentifizieren müssen, oder wenn eine Integrierter Authentifizierungs-Server
FortiGate in ein Netzwerk integriert wird, das bereits 2-Faktor-Authentifizierung mittels FortiToken, E-Mail
einen Authentifizierungsserver beinhaltet. oder SMS
LDAP, RADIUS und TACAS+ Support
Single Sign On mittels FSAE X.509 Support
„Single (user) Sign On“ bedeutet, dass sich Anwender Weitere Features
nur einmal anmelden müssen, um auf unterschiedliche
Netzwerkressourcen zugreifen zu können. Die Fortinet Windows Active Directory und NTLM und Novel eDi-
rectory Support
Server Authentication Extension (FSAE) bietet Single Sign
Fortinet Single Sign On
On Möglichkeiten für: Fortinet OneTimePasswort Software für Smartphones
Microsoft Windows Netzwerke mit Active Directory
 Identity Based Policies
oder NTLM Authentifizierung Dynamische User-Profile
Novell Netzwerken mit eDirectory
 Lokale Datenbank
Zertifikat basierende Authentifizierung
 Xauth over RADIUS für IPSEC VPN
RSA SecurID Support
Ein RSA X.509 Server Zertifikat ist eine kleine Datei, die
LDAP Group Support
von einer Certificate Authority (CA) ausgegeben wird, die

44
20
FortiGate Data Leakage Prevention
Der ungewollte oder mit kriminel- Ausdrücken erfolgen. Zum Beispiel kann durch vorein-
ler Energie gezielte Versand sensibler gestellte Vettern der Versand oder Empfang von Kredit-
Daten erzeugt nicht nur hohe Kosten, kartennummern erkannt, gemeldet und/oder blockiert
sondern kann auch das Image eines Un- werden.
ternehmens stark beschädigen. Data Leak Prevention
(oder DLP) bezeichnet ein System oder eine Software,
die zuvor definierte vertrauliche Daten identifiziert, mo-
FortiGate Data Loss Prevention (DLP) Highlights
nitort und deren unerwünschten Versand verhindert. Die
in FortiOS integrierten DLP Features beinhalten Finger Identifizierung und Kontrolle von sensiblen Daten
„in Bewegung“
Printing von Dokumenten oder deren Quellen, verschie-
Integrierte Pattern Datenbank
dene Inspektionsmodi, erweitertes Pattern Matching so- RegEx-based Matching Engine für
wie Datenarchivierung. Nahezu sämtliche Inhalte kön- kundenspezifische Pattern
nen analysiert werden, darunter auch HTTP, HTTPS, FTP, Konfigurierbare Aktionen (block/log)
FTPS, E-Mail (POP3, POP3S, IMAP, IMPS, SMTP, SMPTPS), Kundenspezifische Pattern
NNTP und Instant Messaging (AIM, ICQ, MSN und Yahoo!) Support von IM, HTTP/ HTTPS uvm.
unterstützt viele populäre File Typen
Protokolle. Hierbei können Textvergleiche ebenso wie er-
Internationaler Zeichensatz wird unterstützt
weitertes Pattern Matching mittels Wildcards oder Perl- Document Fingerprinting
Flow-Based DLP Scanning Mode

FortiGate WAN-Optimierung
Bedingt durch die Zentralisierung von rung, verbesserte Server-Ressourcen und geringere Netz-
Applikationen oder Serverfarmen eben- werkkosten. Mit Protokolloptimierung, Byte Caching,
so wie die verstärkte Nutzung von Cloud Web & File Caching sowie SSL-Beschleunigung stehen
Services rückt das Thema Bandbreite auf verschiedene Tools bereits, die die benötigte Bandbreite
WAN-Verbindungen verstärkt in den Mittelpunkt. Häufig drastisch - um bis zu 80% - reduzieren können.
sind gerade kleinere Niederlassungen nicht mit hoher
Bandbreite angebunden. Applikationen, die ursprünglich
für die Nutzung in lokalen Netzwerken entwickelt wur- FortiGate WAN Optimierung Highlights
den, werden in die Cloud verschoben und verursachen Bi-Directional / Gateway to Client/Gateway
nun eine drastische Zunahme des Datenverkehrs auf den Integriertes Caching und Protokoll Optimierung
WAN-Verbindungen. Anwendungen wie Windows File Beschleunigt CIFS/ FTP/ MAPI/ HTTP/ HTTPS/
Sharing (CIFS), E-Mail (MAPI) und viele andere Applikatio- Generic TCP
nen erreichen auf diese Weise bei weitem nicht mehr die Erfordert FortiGate mit SSD oder Festplatte
Performance, die sie in lokalen Netzwerken auszeichnen.
Das Ergebnis sind häufig Produktivitätsverlust, kostspieli-
ge Netzwerk-Upgrades, teurere WAN-Verbindungen und WAN
Optmization WAN
eine höhere Belastung des IT-Personals. Optmization Server Network
Client
Die FortiOS WAN-Optimierung beschleunigt den WAN- Tunnel
Zugriff auf Applikationen und sorgt gleichzeitig für die
Sicherheit der Verbindungen. Der Service sorgt für mehr
Performance, Produktivität und Bandbreiten-Reduzie-

WAN
Optmization WAN
Client

Client Network

www.fortinet.com
21
FortiGate Anti Spam
Fortinet Anti Spam Technologie bie-
tet umfangreiche Möglichkeiten Spam FortiGate AntiSpam Highlights
Mails zu erkennen, zu taggen, zu qua- SMTP/SMTPS, POP3/POP3S, IMAP/IMAPS Support
rantänisieren oder zu blockieren. In glei- Real-Time Blacklist/Open Relay Database Server
cher Weise werden schadhafte Mail-Anhänge zuverläs- MIME Header Check
sig erkannt, um Angriffe von SpamBots und kompromit- Keyword/Phrase Filtering
IP Address Blacklist/Exempt List
tierten Systemen abzuwehren. FortiGate und FortiWifi
Automatic Real-Time Updates From FortiGuard
Plattformen ebenso wie die FortiClient Security Suite Network
bieten integrierte AntiSpam Funktionalität als Teil ihrer
Multi Layer Schutzmechanismen. Diese werden durch
kontinuierliche FortiGuard Update Services aktualisiert.

FortiGate SSL-Inspection
Verbindungen zwischen Webapplika­ti- Eine FortiGate Appliance ist in der Lage, eine SSL Verbin-
onen und Web-Browsern bedienen sich dung zu terminieren, die Daten zu entschlüsseln, zu ana-
häufig der SSL Verschlüsselung. Dies er- lysieren und anschließend eine gesicherte SSL Verbin-
höht die Sicherheit der Datenübertra- dung zum Client aufzubauen. So ist gewährleistet, dass
gung, verhindert jedoch, dass die Security Module eine sowohl eintreffende als auch ausgehende Daten den Si-
Analyse der eintreffenden Daten vornehmen können. cherheitsansprüchen des Unternehmens genügen.

FortiGate Bandbreiten-Management
Viele Anwendungen wie E-Mail, Video- (QoS) gewährleistet werden.
und Audio-Streaming, Voice over IP, Insbesondere in Verbindung mit der integrierten Ap-
FTP und die zunehmende Nutzung von plikationskontrolle und den sog. Identity Based Policies
Webapplikationen in der Cloud lassen (userspezifische Regelwerke) ist es möglich, die Nutzung
den Bandbreitebedarf extrem in die Höhe schnellen. In von Anwendungen sehr filigran zu kontrollieren.
Spitzenzeiten genügt dann die zur Verfügung stehende
Bandbreite nicht mehr, um alle Anwendungen adäquat
zu bedienen. Die Folge sind drastische Leistungseinbrü-
FortiGate Bandbreiten-Management Highlights
che oder sogar der Abbruch von Verbindungen. Insbe-
sondere bei Sprachübertragung sind jedoch derartige Policy-based Bandbreiten-Management
Application-based und Per-IP Bandbreiten-
Aussetzer nicht akzeptabel.
Management
Die in FortiOS integrierten Mechanismen bieten vielfäl- Differentiated Services (DiffServ) Support
tige Optionen, Anwendungen zu privatisieren, ihnen Garantierte/ Maximale/ Priorisierte Bandbreite
Bandbreite zu garantieren oder diese zu limitieren. So Bandbreiten-Management Shaping via Accounting
kann für einzelne Applikationen einen Quality of Service oder Quoten

44
22
FortiGate Layer 2 und Layer 3 Routing
Jede FortiGate Appliance verfügt über
eine leistungsfähige Routing Engine. FortiGate Routing Highlights
Damit sind sowohl statische wie auch Multiple WAN Link Support
dynamische Routing Konzepte realisier- PPPoE Support
bar. Mittels dieser Optionen ist z.B. Load Balancing, re- DHCP Client/Server
gelabhängiges Routing, oder Routing im transparenten Policy-Based Routing
Dynamisches Routing für IPv4 (RIP, OSPF, IS-IS, BGP &
Modus möglich. Es werden die gängigen Routingproto-
Multicast Protocols)
kolle wie z.B. RIP, BGP oder OSPF unterstützt. Insbesonde- Dynamisches Routing für IPv6 (RIP, OSPF, & BGP)
re in komplexen VPN Umgebungen ist eine leistungsfähi- Multi-Zone Support
ge Routing Engine zwingend erforderlich.
Weitere Features
Routing zwischen Zonen
Routing zwischen Virtual LANs (VLANs)
Multi-Link Aggregation (802.3ad)
IPv6 Support (Firewall, DNS, Transparent Mode,
SIP,Dynamic Routing, Admin Access, Management)
VRRP und Link Failure Control
sFlow Client

FortiGate Netzwerkzugriffskontrolle (NAC)


Die häufigen Veränderungen in Unter- Ebenso wird geprüft, ob zwingend erforderliche Anwen-
nehmensnetzwerken - bedingt durch dungen auf dem Endgerät verfügbar sind. Endpoints, die
Umzüge, den Wechsel von Endgeräten diese Prüfung nicht bestehen, werden entweder auf eine
und die Nutzung von Mobile Devices Website umgeleitet, wo ggf. die erforderliche Software
- machen es erforderlich, dass eine Zugriffskontrolle er- heruntergeladen werden kann, oder sie werden in Qua-
folgt. Dabei wird geprüft, ob auf dem Endgerät definier- rantäne gestellt. Via SNMP kann die FortiGate auch mit ei-
bare Sicherheits- und andere Anwendungen installiert nem Switch kommunizieren und diesen veranlassen, den
sind. Zum Beispiel kann festgestellt werden, ob auf dem zugehörigen Port zu deaktivieren.
Endgerät ein FortiClient in seiner aktuellsten Version läuft.

FortiGate Schwachstellen-Management
Mittels der in die meisten FortiGate Ap- Für eine Schwachstellen-Analyse werden zunächst die zu
pliance integrierten Schwachstellen- scannenden Assets definiert bzw. automatisch erkannt.
Management Option ist es möglich, Anschließend kann basierend auf einer umfangreichen
Server und Workstations im Netzwerk Sammlung von Schwachstellen-Tests ein Netzwerk-
auf Schwachstellen zu scannen. Dieses Gens können au- Scan durchgeführt werden. Dabei sind auch kunden-
tomatisch oder manuell erfolgen. Die Ergebnisse sind spezifische Analysen möglich. Die Ergebnisse können im
sowohl über die Benutzeroberfläche der FortiGate als Detail oder nach Kategorie, Priorität, in Abhängigkeit
auch über einen ins Netzwerk integrierten FortiAnalyzer vom Betriebssystem oder nach individuellen Kriterien
darstellbar. Dabei kann ein FortiAnalyzer die Ergebnisse zusammengefasst dargestellt werden.
vieler FortiGates sammeln und korrelieren.

www.fortinet.com
23
FortiGate® Multi-Threat Security
Firewall · VPN ®
· Antivirus · Intrusion Prevention · Antispam · Web Filtering · Traffic Shaping
FortiGate Multi-Threat Security
Firewall • VPN • Antivirus • Intrusion Prevention • Antispam • Web Filtering • Traffic Shaping
MSSP AND LARGE ENTERPRISE SYSTEMS
Product (Chassis) Firewall IPSec VPN Concurrent New Ses- Antivirus Intrusion Prevention Number of Network Interfaces Chassis Slots Power Recommended Max
Throughput Throughput Sessions sions / Sec Throughput Throughput VDOMs / Max # of Source # of Blades Fabric
(512 Byte) (Flow) Blades Blades
FortiGate-5140/5140B Up to 480 Gbps Up to 204 Gbps Up to 132 M Up to 1152 K Up to 26.4 Gbps Up to 60 Gbps Up to 6000 See modules below 14 / 14 DC / AC 12 2
Chassis

FortiGate-5060 Chassis Up to 240 Gbps Up to 102 Gbps Up to 66 M Up to 576 K Up to 13.2 Gbps Up to 30 Gbps Up to 3000 See modules below 6/6 DC / AC 6 2

FortiGate-5050 Chassis Up to 110 Gbps Up to 42.5 Gbps Up to 10 M Up to 250 K Up to 11 Gbps Up to 20 Gbps Up to 2500 See modules below 5/5 DC / AC 5 2

FortiGate-5020 Chassis Up to 44 Gbps Up to 17 Gbps Up to 4 M Up to 100 K Up to 4.4 Gbps Up to 8 Gbps Up to 1000 See modules below 2/2 AC 2 0

FortiGate-5001B 40 Gbps 17 Gbps 11 M 96 K 2.2 Gbps 5 Gbps Up to 500 8 10GbE SFP+ and 2 10/100/100 Port with 64GB local storage

FortiGate-5001A-SW / DW 2 Gbps 800 Mbps 2M 50 K 1.5 Gbps 3.5 Gbps Up to 250 2 GbE 10/100/1000 port and Double- or Single-Width AMC slot. Supports 10GbE
(with AMC) (13 / 22 Gbps) (7 / 8.5 Gbps) modules.
FortiGate-5005FA2 5 Gbps 800 Mbps 1.2 M 30 K 300 Mbps (Proxy) 3 Gbps [UDP] Up to 250 6 GbE SFP ports and 2 FortiASIC-accelerated SFP ports

FortiGate-5001SX and 4 Gbps 600 Mbps 1.2 M 20 K 250 Mbps (Proxy) 2 Gbps [UDP] Up to 250 5001SX: 4-GbE SFP, 4-GbE 10/100/1000
FortiGate-5001FA2 5001FA2: 2 GbE SFP, 4 GbE 10/100/1000, and 2 FortiASIC-accelerated SFP ports
FortiSwitch-5203B FortiSwitch-5203B, FortiSwitch-5003B and FortiSwtich-5003A delivers high availability 10GbE switching for FortiGate-5140B, FortiSwitch-5203B : 10-10GbE SFP+, 1-GbE 10/100/100 (Mgnt)
FortiSwitch-5003B -5140 and -5060 chassis. FortiSwitch-5203B supports UTM function, which can be used as a standalone FortiGate module. FortiSwitch-5003B : 10-10GbE SFP+, 1-GbE 10/100/100 (Mgnt)
FortiSwitch-5003A Each FortiGate-5001A requires a 10GbE Rear Transition Module (RTM) for switching across the backplane fabric. FortiSwitch-5003A : 9-10GbE SFP+, 2-GbE 10/100/100 (Mgmt)
Switch Fabric Blades RTM-XB2 or RTM-XD2: 10 GbE Rear Transition Module for FG-5000 Series

ENTERPRISE APPLIANCES
Product Firewall IPSec VPN Concurrent New Ses- Antivirus Intrusion GbE SFP SFP+ Bypass Modular Ex- Base Sys- Hot-Swappable VDOMs
Throughput Throughput Sessions sions / Sec Throughput Prevention Interface Interface (10GbE) Interface pansion Slots tem Storage Power (Max)
(512 Byte) (Flow) Throughput Interface (Pairs) Supplies
FortiGate-3950B (with FMC) 20 Gbps 8 Gbps 20 M 250 K (15 Gbps) (20 Gbps) 2 4 2 (12) 0 5 FMC 256 GB Yes Up to 500
(120 Gbps) (50.5 Gbps) (102) (104)
FortiGate-3810A 7 Gbps 1 Gbps 2M 40 K 500 Mbps 4 Gbps 8 2 (26) 0 (8) 0 2 SW and 2 0 Yes Up to 250
(with AMC) (55 Gbps) (23 Gbps) [UDP] DW AMC
FortiGate-3140B 55 Gbps 22 Gbps 10 M 200 K 4.6 Gbps 7 Gbps 2 10 10 0 4 FSM 64 GB Yes Up to 250

FortiGate-3040B 40 Gbps 17 Gbps 10 M 200 K 4 Gbps 6 Gbps 2 10 8 0 4 FSM 64 GB Yes Up to 250

FortiGate-1240B 40 Gbps 16 Gbps 5M 120 K 1.6 Gbps 5 Gbps 16 24 0 0 1 SW AMC and 64 GB Yes Up to 100
(with AMC) (44 Gbps) (18.5 Gbps) 6 FSM

FortiGate-1000C 20 Gbps 8 Gbps 7M 190 K 2.1 Gbps 3.6 Gbps 12+8 (Share) 8 (Share) 2 2 No 128 GB Yes Up to 100

FortiGate-620B / 620B-DC 16 Gbps 12 Gbps 1M 25 K 750 Mbps 2.5 Gbps 20 (24) 0 0 0 1 SW AMC 0 Opt. Ext. PS 10
(with AMC) (20 Gbps) (15 Gbps)
FortiGate-600C 16 Gbps 8 Gbps 3M 70 K 1.3 Gbps 2.9 Gbps 16+4 (Share) 4 (Share) 0 2 No 64 GB Yes Opt 10

FortiGate-310B / 310B-DC 8 Gbps 6 Gbps 600 K 20 K 350 Mbps 800 Mbps 10 0 0 0 1 SW AMC 1 x 64 GB Yes Opt. (310B) 10
FortiGate-311B (with AMC) (12 Gbps) (9 Gbps) 2 FSM (311B) (311B) Yes (311B)
FortiGate-300C 8 Gbps 4.5 Gbps 1M 35 K 550 Mbps 1.2 Gbps 10 0 0 0 No 32 GB Opt. Ext. PS 10

FortiGate-200B / 200B-POE 5 Gbps 2.5 Gbps 500 K 15 K 200 Mbps 650 Mbps 8 FE & 8 GbE 0 0 0 1 FSM 0 No 10

SMB/ROBO/SOHO APPLIANCES
Product Firewall IPSec VPN Concurrent New Ses- Antivirus Intrusion Switch/LAN WAN Wireless Other Interfaces VDOMs
Throughput Throughput Sessions sions / Sec Throughput Prevention Interfaces Interfaces Interfaces (Max)
(512 Byte) (Flow) Throughput
FortiGate-110C / 111C 500 Mbps 100 Mbps 400 K 10 K 160 Mbps 450 Mbps 8 FE 2 GbE No USB, COM, 64 GB SSD (111C) 10
FortiGate Voice-80C 500 Mbps 100 Mbps 400 K 10 K 65 Mbps (Proxy) 350 Mbps 8 FE 2 GbE No 4 FXO, Concurrent Calls: 20 10

FortiWiFi Voice-80CS 500 Mbps 100 Mbps 400 K 10 K 65 Mbps (Proxy) 350 Mbps 6 FE 2 GbE 802.11 a/b/g/n 1 FE DMZ, Concurrent Calls: 20 10

FortiGate-80C / 80CM 700 Mbps 140 Mbps 1.2 M 12 K 190 Mbps 350 Mbps 6 & 1 FE 2 GbE FW-80CM/ 81CM ExpressCard Slot, Modem (80/81CM), Internal 10
FortiWiFi-80CM DMZ WiFi a/b/g/n Storage - 8 GB

FortiGate-60C 1 Gbps 70 Mbps 80 K 3K 35 Mbps 100 Mbps 5 GbE & 1 FE 2 FE / 2 FW-60C & 60CM ExpressCard Slot, 8 GB storage, 1 USB-A and 1 10
FortiWiFi-60C / 60CM DMZ GbE (60CM) a/b/g/n USB-B port. Modem & 1 GbE DMZ (FWF-60CM)
FortiGate-50B / 51B 50 Mbps 48 Mbps 25 K 2K 19 Mbps (Proxy) 50 Mbps 3 FE 2 FE FW-50B WiFi b/g POE-Powered (FortiWiFi), USB, COM, 32GB SSD 10
FortiWiFi-50B (51B)

FortiGate/WiFi-40C 200 Mbps 60 Mbps 40 K 2K 40 Mbps 40 Mbps 5 GbE 2 GbE FW-40C WiFi a/b/g/n 1 USB-A Client, 1 USB-B Server and COM 10

FortiGate/WiFi-30B 30 Mbps 5 Mbps 5K 1K 5 Mbps (Proxy) 10 Mbps 3 / 4 FE 1 FE FW-30B WiFi b/g USB, COM 0

FortiGate/WiFi-20C 20 Mbps 20 Mbps 10 K 1K 20 Mbps 20 Mbps 4 GbE 1 GbE FW-20C WiFi a/b/g/n 1 USB-A Client and 1 USB-B Server 0

Expansion Modules
Advanced Mezzanine Card (AMC) Modules [Double-Width (DW) Modules:] • ADM-XD4: 4-port 10GbE FortiASIC Module • ADM-XB2: 2-port 10GbE FortiASIC Module • ADM-XE2: 2-port 10GbE Security Processing Module • ADM-FB8: 8-port GbE FortiASIC Module
• ADM-FE8: 8-port GbE Security Processing Module
[Single-Width (SW) Modules:] • ASM-FB4: 4-port GbE FortiASIC Module • ASM-CE4: 4-port GbE Security Processing Module • ASM-S08: 80 GB Hard Disk Storage Module • ASM-CX4: 4-port GbE TX By-Pass Module
• ASM-FX2: 2-port GbE SX By-Pass Module

Fortinet Mezzanine Card (FMC) Modules • FMC-XD2: 2-port 10GbE Firewall Module • FMC-XG2: 2-port 10GbE IPS Module • FMC-C20: 20-port 1GbE Firewall Module with RJ45 interface • FMC-F20: 20-port 1GbE Firewall Module with SFP interface

This document is provided as a convenient comparison of Fortinet products and services. The datasheet for any product or service can be Antivirus performance is measured based on HTTP traffic. IPS performance is measured base on NSS like test methodology with 44K Byte HTTP packets, unless noted otherwise.
found on www.fortinet.com should be consulted for the most updated specifications. Actual performance may vary depends on network traffic and environment.

44
24
Managing&&Analyzing
Managing Analyzing •· Secure
SecureMessaging
Messaging· Database & Web
• Database Security
& Web · Endpoint Security Software · Security and Support Services
Security
• Endpoint Security Software • Security and Support Services
MANAGEMENT, ANALYSIS, & REPORTING APPLIANCES
PRODUCT 10/100/1000 10/100 Base System Administration Administrative Web Portal Local Hosted Hardware Form Factor Network FortiClient High Availabil- Redundant
Ethernet Ethernet Storage Capacity Domain / Max Web Portals Users (Max) Security Content Devices (Max) Devices ity Support Power
FortiManager-5001A 2 0 80 GB 100 / 200 100 4,000 AV, IPS, VM, WF, AS ATCA Blade 4,000 100,000 Yes Yes
FortiManager-3000C 4 0 2 TB 200 / 500 100 4,000 AV, IPS, VM, WF, AS Rack Mount (2-RU) 5,000 120,000 Yes Yes
FortiManager-1000C 4 0 1 TB 50 / 100 50 500 AV, IPS, VM, WF, AS Rack Mount (1-RU) 800 25,000 Yes No
FortiManager-400B 4 0 500 GB 10 / 50 - - AV, IPS, VM Rack Mount (1-RU) 200 10,000 Yes No
FortiManager-100C 2 1 1 TB 10 / 10 - - AV, IPS, VM Desktop 20 2,500 Yes No
PRODUCT 10/100/1000 10/100 Base System Network De- FortiClient Centralized Number of Hard RAID Storage Data Receive Log Perf. Recommended Redundant
Ethernet Ethernet Storage Capacity vices (Max) Agents (Max) Quarantine Drives Management Rate (Logs / Sec) Device Power
FortiAnalyzer-4000B 2 and 2 SFP 0 6 TB 2,000 No Restriction Yes 6 (Plus 18 Optional) 0, 1, 5, 6, 10, 50, 60 24 Mbps Up to 6,000 All Models Yes
FortiAnalyzer-2000B 6 0 2 TB 2,000 No Restriction Yes 2 (Plus 4 Optional) 0, 1, 5, 10, 50 12 Mbps Up to 3,000 All Models Yes
FortiAnalyzer-1000C 4 0 1 TB 2,000 No Restriction Yes 1 (Plus 3 Optional) Opt - 0, 1, 10 4 Mbps Up to 1,000 All Models No
FortiAnalyzer-400B 4 0 500 GB 200 2000 Yes 1 (Plus 1 Optional) Opt - 0, 1 2 Mbps Up to 500 All Models No
FortiAnalyzer-100C 2 1 1 TB 100 100 Yes 1 N/A 800 Kbps Up to 200 All Models No
SECURE MESSAGING APPLIANCES
PRODUCT 10/100/1000 10/100 Base System RAID Storage Email Domains Policies (Do- Server Mode Hardware Form Factor Profiles (Do- Email Routing Antispam Redundant
Ethernet Ethernet Storage Capacity Management main/Sys) Mailboxes main / Sys) (Mgs / Hr) (Mgs / Hr) Power
FortiMail-5002B 3 0 146 GB N/A 10,000 1,500 / 7,500 3,000 ATCA Blade 50 / 600 2.3 Million 2.2 Million Yes
FortiMail-3000C 4 and 2 SFP 0 2 x 1 TB 0, 1, 5, 10, 50 5,000 1,500 / 7,500 3,000 Rack Mount (2-RU) 50 / 600 2.0 Million 1.8 Million Yes
FortiMail-2000B 6 0 2 x 1 TB 0, 1, 5, 10, 50 5,000 1,500 / 7,500 3,000 Rack Mount (2-RU) 50 / 600 1.5 Million 1.3 Million Yes
FortiMail-400B 4 0 500 GB Opt - 0,1 500 600 / 3,000 1,000 Rack Mount (1-RU) 50 / 200 300,000 280,000 No
FortiMail-100C 2 1 1 TB N/A 50 60 / 300 200 Desktop 50 / 60 90,000 85,000 No
DATABASE and WEB SECURITY APPLIANCES
PRODUCT 10/100/1000 # Database Base System Total Storage Redundant Database Support / Asset Agent Licenses Repository Database
Ethernet Instances Storage Capacity Capacity Power Support
FortiDB-2000B 4 60 1 TB 6 TB (Opt) Yes
DB2 UDB V8, DB2 UDB V9; Microsoft SQL Server 2000, Microsoft SQL Server 2005; Or- Apache Derby 10.x, DB2 UDB
FortiDB-1000C 4 30 1 TB 2 TB (Opt) No acle 8.1.6, Oracle 8.1.7.4, Oracle 9.2.0.x, Oracle 10.2.0.x, Oracle 11.1.0.x; Sybase ASE v9, Microsoft SQL Server 2005,
12.5.4, Sybase ASE 15.0.2 Oracle 10gR2, PostgreSQL 8.3
FortiDB-400B 4 10 500 GB 1 TB (Opt) No
PRODUCT 10/100/1000 Throughput Base System Total Storage Redundant Max HTTP Unmatched Protection for Web Applications Features
Ethernet (HTTP) Storage Capacity Capacity Power Trans / sec
FortiWeb-4000C 6 & 2 SX By-Pass 2 Gbps 2 TB 6 TB (Opt) Yes 70,000 • ICSA WAF certified • Web Application Firewall - Secures web applications
• WAF and integrated scanner aid in PCI 6.6 Compliance to help customers meet compliance requirements
FortiWeb-3000C (FSX) 6 (& 2 SX By-Pass) 1 Gbps 2 TB 6 TB (Opt) Yes 40,000 • Network and Application layer DoS protection • Web Vulnerability Scanner - Scans, analyzes and
FortiWeb-1000C 4 500 Mbps 1 TB 1 TB No 27,000 • User behaviour Analysis detects web application vulnerabilities
• Geo IP Analytics • Application Delivery - Assures availability and acceler-
FortiWeb-400C 4 100 Mbps 1 TB 1 TB No 10,000 • Protection against OWASP Top 10 ates performance of critical web applications

SWITCHING PLATFORMS
PRODUCT 10/100/1000 10 GbE Throughput PoE Ports PoE Power MAC Address VLAN Supported Link Agg Group Size Total Link Agg Layer 2 / Layer Switch Type Redundant
Ethernet Ports Budget Storage Groups 3 Swtich Power
FortiSwitch-548B 0 48 (SFP+) 960 Gbps 0 N/A 128,000 3965 Up to 8 ports 8 Layer 2 Managed Yes
FortiSwitch-248B-DPS 48 4 (SFP+) 176 Gbps 0 N/A 32,000 3965 Up to 8 ports 8 Layer 2 Managed Yes
FortiSwitch-80-PoE 8 0 2 Gbps 4 - 802.3af 62 W 2,000 N/A N/A N/A Layer 2 Unmanaged No
ENDPOINT SECURITY SOFTWARE
PRODUCT Personal IPSec VPN Antivirus & WAN Intrusion Email FortiManager Web Content Filtering Supported Platforms
Firewall AntiSpyware Optimization Prevention Antispam Management
FortiClient Premium Yes Yes Yes Yes Yes Yes Yes Yes Various Windows OSes. Mac OS X (VPN and Two factor authentication only.)

APPLICATION DELIVERY CONTROLLER PLATFORMS WEB CACHING & TWO FACTOR AUTH. PLATFORM
PRODUCT 10/100/1000 Throughput SSL Throughput Layer 7 RPS SSL TPS Connections Redundant Power PRODUCT 10/100/1000 Throughput RAID Storage Base System
Ethernet Ethernet Storage
FortiBalancer-2000 12 & 4 SFP 10 Gbps 5 Gbps 1.15 Million 22,500 8 Millions Yes FortiCache-3000C 4 & 2 SFP 500 Mbps 0, 1, 5, 10, 50 6 x 1 TB
FortiBalancer-1000 8 & 2 SFP 4 Gbps 1.6 Gbps 230,000 13,500 4 Millions No FortiAuthentica- 4 2000 users - 1 TB
FortiBalancer-400 4 2 Gbps 1 Gbps 140,000 7,500 1 Millions No tor-1000C

FORTIGUARD SECURITY SUBSCRIPTION SERVICES INTEGRATED WIRELESS SECURITY AND ACCESS SOLUTIONS
Product AV IPS AS WF VM AC DB AV = Antivirus Product Freq - Radio 1 Freq - Radio 2 Ethernet Port # of SSIDs POE
IPS = Intrusion Preven-
FortiGate Yes Yes Yes Yes Yes Yes No FortiAP-222B 802.11 a/n 802.11 b/g/n 1x 14 - client, 2 - Yes (802.3
tion
10/100/1000 monitoring at - 30W)
AS = Antispam
FortiAnalyzer No No No No Yes No No WF = Web Filtering FortiAP-221B 802.11 b/g/n or a/n 802.11 b/g/n 1x 14 - client, 2 - Yes
VM = Vulnerability (Selectable) 10/100/1000 monitoring (802.3 af)
FortiClient Yes No Yes Yes No Yes No Management (including FortiAP-220B 802.11 b/g/n or a/n 802.11 b/g/n 1x 14 - client, 2 - Yes
Compliance Benchmark- (Selectable) 10/100/1000 monitoring (802.3 af)
ing)
FortiDB No No No No No No Yes AC = Application control FortiAP-210B 802.11 b/g/n or a/n - 1x 7 - client, 1 - Yes
DB = Database Security (Selectable) 10/100/100 monitoring (802.3 af)
FortiMail Yes No Yes No No No No FortiToken Two-Factor Authentication
FortiScan No No No No Yes No No FortiToken-200 OTP (One Time Password) hardware token. Long battery life, perpetual license and simple deployment.
Copyright© 2012 Fortinet, Inc. All rights reserved. Fortinet®, FortiGate®, and FortiGuard®, are registered trademarks of Fortinet, Inc., and other Fortinet names herein may also be trademarks of Fortinet. All other product or company names may be trademarks of their respective owners. Performance metrics contained herein
were attained in internal lab tests under ideal conditions, and performance may vary. Network variables, different network environments and other conditions may affect performance results. Nothing herein represents any binding commitment by Fortinet, and Fortinet disclaims all warranties, whether express or implied,
except to the extent Fortinet enters a binding written contract, signed by Fortinet’s General Counsel, with a purchaser that expressly warrants that the identified product will perform according to the performance metrics herein. For absolute clarity, any such warranty will be limited to performance in the same ideal conditions
as in Fortinet’s internal lab tests. Fortinet disclaims in full any guarantees. Fortinet reserves the right to change, modify, transfer, or otherwise revise this publication without notice, and the most current version of the publication shall be applicable. BRO103-R33-201202

www.fortinet.com
25
FortiGate IPv6 Security
Seit der Vergabe der letzten IPv4-Adresse in 2010 ge- IPv6 Tunneldienste bergen ein hohes Risiko unbemerkt
winnt IPv6 zunehmend an Bedeutung auch in kleineren Daten an bestehenden Sicherheitslösungen vorbei zu
Unternehmen. Haben Carrier und einige größere Unter- schleusen. Malware kann zum Beispiel unbemerkt IPv6
nehmen bereits eine vollständige oder partielle Umstel- auf einem Host aktivieren, einen IPv6 Tunneldienst star-
lung durchgeführt, wird durch die Einführung neuer Ser- ten und diesen Pfad nach außen öffnen. Ein klassisches
vices, die künftig nur noch via IPv6-Adressierung erreich- Beispiel ist hier Teredo. Damit ließe sich nicht einfach nur
bar sein werden, der Druck hinsichtlich einer Migration IPv6 durch eine bestehende IPv4 NAT Firewall tunneln,
von IPv4 nach IPv6 zunehmend ansteigen. sondern die IPv6 Adresse dieses Hosts wäre auch grund-
IPv6 bietet viele Features, die über Jahre bei IPv4 vermisst sätzlich von außen erreichbar.
wurden: Limitierung bei der Anzahl der verfügbaren Ad-
ressen, faire Verteilung von Adressen, integrierte Quality IPv6 Security
of Service (QoS) Funktionen, bessere Multimedia-Unter- Es wird offensichtlich, dass klassische, IPv4-basieren-
stützung und verbessertes Handling von fragmentier- de Schutzmechanismen in IPv6 oder gemischten Um-
ten Daten. IPv6 verfügt über 128-Bit-Adressen (IPv4: 32- gebungen keinen ausreichenden Schutz mehr bieten
Bit) und eliminiert dadurch voraussichtlich die Notwen- können. Ebenfalls liegt auf der Hand, dass ein reines
digkeit von NAT, da pro Person weltweit ca. 1 Milliarde „IPv6-ready“-Zertifikat genau in Augenschein genom-
IP-Adressen zur Verfügung stehen. men werden muss: Nicht jede einzelne Security-Instanz
in einer UTM- oder NGFW-Appliance ist automatisch da-
IPv4 und IPv6 - gemischte Welten mit erfasst; vielmehr gilt es, die einzelnen Module auf ihre
Durch die sich über mehrere Jahre erstreckende Umstel- IPv6-Fähigkeit zu prüfen.
lungsphase werden IT-Infrastruktur-Komponenten über Durch seine jahrelange enge Kooperation mit Carriern
lange Sicht beide Welten - also IPv4 und IPv6 - unterstüt- und Service Providern, die im Bereich IPv6 zu den sog.
zen müssen. Dies stellt viele der vorhandenen Kompo- „Early Adoptern“ gehören und deren Infrastrutkur bereits
nenten, insbesondere Routing- und Security-Instanzen, in großen Teilen IPv6-fähig ist, hat Fortinet umfangrei-
vor große Herausforderungen. Bei der Umstellung und che Erfahrungen in diesem Segment sammeln können.
Migration auf IPv6 stellt sich daher die Frage zum richti- Darauf ist es auch zurückzuführen, dass FortiGate-Lö-
gen Umgang mit Malware. IPv6 bietet Malware Autoren sungen bereits heute eine Vielzahl von IPv6-Security
mehr Möglichkeiten, Ihren Schadcode stärker zu verbrei- Features bieten und bedenkenlos in eine zu migrieren-
ten, als mit IPv4. Ein trivialer Grund sind die IPv6 Stacks, de Umgebung integriert werden können - bzw. eine
mit denen es wenig Praxiserfahrung gibt. Den IPv4 Stacks Migration bei bereits vorhandenen FortiGate-Appliances
liegen Dekaden an Erfahrung zugrunde, und trotzdem in puncto Security problemlos sind.
finden sich in diesen immer noch diverse Schwachstel-
len. IPv6 Stacks in Betriebssystemen oder in Programmen
gehen weitgehend jungfräulich in den harten Internet- FortiGate IPv6-Security Highlights
Alltag. Bereits heute gibt es schon über hundert bekann-
Statisches und dynamisches Routing (RIPv6, BGP4+,
te Schwachstellen in diversen IPv6 Protokollstacks und
and OSPFv3)
Implementierungen. DNS
Network Interface Addressing
IPv6 Malware Routing access lists und Prefix Lists
Fast alle IPv4 basierten Exploits sind auch IPv6 fähig. Das IPv6 tunnel over IPv4, IPv4 tunnel over IPv6
bedeutet, dass Virenschreiber im ersten Schritt nichts Security Policies
Authentifizierung
oder nur wenig anpassen müssen, damit ein Exploit auch
IPv6 fähig ist. Sie können jedoch zusätzliche Mechanis- Weitere Features
men von IPv6 nutzen, um sich noch stärker, noch unbe-
IPv6 over SCTP
merkter und damit effzienter zu verbreiten. Ähnliches gilt
Packet und Network Sniffing
für einen Wurm. „I Love You“ nutzt Email zur Weiterver- IPsec VPN
teilung, hier ist keine Anpassung notwendig. Wohinge- SSL VPNs
gen „Conficker“ sich selbsttätig über eine Schwachstelle UTM Security
in Windows über IPv4 verbreitet, aber über eine Anpas- NAT/Route und Transparent Mode
sung auch IPv6 tauglich gemacht werden kann. Hacker- Logging und Reporting
SNMP
tools für IPv6 sind bereits seit Jahren im Umlauf.
Virtual IPs und Gruppen
IPv6 spezifisches Troubleshooting wie z.B. „ping6“

44
26
FortiGate Voice
FortiWiFi Voice-80C
All-in-One: UTM-Security und Telefonanlage

Integriertes Business Gateway AntiSpam – so beeinträchtigt die FortiWiFi Voice-80C in


Die FortiWiFi Voice-80C ist eine multifunktionale Multi- keiner Weise die Performance der Netzwerk-Infrastruktur.
Layer Security-Plattform, die kleine und mittlere Unter- Die integrierte WLAN-Option ermöglicht überdies die
nehmens-Standorte mit einer nahezu vollständigen IT- flexible Anbindung mobiler Endgeräte über Funkverbin-
Infrastruktur ausstattet. Sie kombiniert die Funktionalität dungen. Durch die Integration in die Security-Engines ist
einer umfassenden Mutli-Threat Appliance mit der eines auf diese Weise auch die Sicherheit in diesem sonst sehr
VoIP-Gateways, einer Telefonanlage, eines Routers sowie unsicheren Infrastrukturbereich gewährleistet.
der eines Switches in einem einzigen Gerät. Sämtliche
Funktionen werden über eine einzige Benutzeroberflä- Zertifizierungen
che administriert, wodurch eine hohe Benutzerfreund- Die vier ICSA-Labs zertifizierten Inspection-Technologien
lichkeit und hohe Effizienz erreicht werden. Damit wird stellen sicher, dass Anwender höchste Sicherheit erhal-
die FortiWiFi Voice-80C den Anforderungen der Unter- ten und geltende Compliance-Regeln wie etwas PCI DSS
nehmen gerecht, mehr Funktionalität und Sicherheit mit eingehalten werden. ICSA Labs bietet allgemein aner-
geringem Kostenaufwand zu erzielen. kannte und unabhängige Zertifizierungen für End-User
und Großunternehmen.
Umfassender Schutz vor Angriffen
Die FortiWiFi Voice-80C bietet umfassenden Schutz ge- Integrierte Telefonanlage
gen alle Arten von Angriffen, insbesondere den neue- Die VoIP-basierende integrierte Telefonanlage bietet alle
ren Ausprägungen wie z.B. Blended Threats, einer Kom- Funktionen, die in einer typischen Büroumgebung erfor-
bination aus unterschiedlichen „klassischen“ Bedrohun- derlich sind. Es können bis zu 50 Rufnummern verwal-
gen. Erreicht wird dieses hohe Sicherheitsniveau durch tet und bis zu 20 Anrufe parallel geführt werden. Konfe-
Fortinets außergewöhnlich umfassendes Security-Tech- renzschaltungen, Anrufweiterleitungen und ein flexibler
nologiespektrum. Anrufbeantworter sind nur einige der vielen möglichen
Optionen. Als Endgeräte können die von Fortinet an-
Flexibilität gebotenen SIP-Phones FortiFone-100 oder andere han-
Die acht Ports der FortiWiFi Voice-80C erlauben das delsübliche SIP-Endgeräte oder -SoftClients zum Einsatz
flexible Einrichten verschiedener Sicherheits-Zonen für kommen. Die Anbindung der FortiWiFi Voice-80C an eine
verschiedene Abteilungen, Anwender, Geräte oder Zu- zentrale VoIP-TK erfolgt via SIP-Trunk, alternativ ist über
gangsmethoden. Der integrierte FortiASIC Content Pro- einen separat erforderlichen Adapter die Anbindung an
zessor sorgt für die nötige Performance bei rechen­ einen lokalen Telefonanbieter möglich.
intensiven Security-Checks, wie etwa bei AntiVirus oder

www.fortinet.com
27
WLAN Access Points FortiAP
Sichere WLAN InfraStruktur
Fortinet ist bekannt für Sicherheitslösungen, die umfas- Zu den weiteren Eigenschaften dieser
senden und höchsten Schutz sowohl für kabelgebun- Produktlinie gehören:
dene wie kabellose (Wireless) Netzwerke bieten. Die Erkennung und Reporting von nicht erlaubten
neue Serie von Thin Access Points in Verbindung mit ei- Access Points (sog. Rogue APs)
ner Vielzahl von Wireless Controllern in jeder FortiGate granulare Endpoint-Kontrolle
Standard-Reports, die für Audits nutzbar sind
Appliance bietet High-Performance Netzwerkzugänge
802.11n Support (parallel zu a/b/g) basierend auf 2x2
mit integrierter Content-Security. Durch die Kombination Multiple-In/Multiple-Out (MIMO) Technologie
eines Wireless Controllers mit einer FortiGate Plattform Einrichtung kundenspezifischer Captive Portals
(größer als Modell FG50x) wird das Sicherheitsniveau (LogIn-Seiten) mit 2-Faktor (Token) Support
des kabelgebundenen LANs automatisch auf die WLAN- Volle Integration in das umfangreiche
Umgebung übertragen. Der gesamte WLAN-Traffic UTM-Feature-Set einer FortiGate-Appliance
Spannungsversorgung des FortiAP über das
wird so identitätsbasierend über die UTM-Engines der
LAN-Kabel möglich (PoE)
FortiGate Appliance geleitet und dort entsprechend Automatic Radio Resource Provisioning (ARRP)
analysiert, und es werden nur authorisierte Verbindun- für optimierten Durchsatz
gen zugelassen. Durch diese Integration ist es möglich, Receptionist GUI für die Vergabe von WLAN Vouchers
von einer einzigen Konsole aus den Netzwerkzugang zu (ab FOS 4.3. special built)
überwachen, Regelwerke einfach und schnell upzuda- Integration in FortiManager und FortiAnalyzer
für zentrales Management und Reporting
ten und den Datenverkehr und die Einhaltung von Com-
FortiPlanner Software für einfache Planung
pliance-Regeln kontinuierlich zu überwachen. Da jede
von WLAN-Infrastrukturen
FortiGate Appliance (größer als Modell FG50x) ab
FortiOS 4.1. über diese Wireless-Controller Funktionalität FortiAP Highlights
verfügt, können bereits bestehende Gateways durch ein Kostengünstige Indoor- und Outdoor Lösungen
einfaches Betriebssystem-Update um dieses Feature erwei- Zentrales Management über FortiGate oder
tert werden – die Anschaffung einer zusätzlichen Plattform FortiWiFi WLAN-Controller
mit einer eigenen Administrations-Oberfläche entfällt. Rogue-Access Point Erkennung und Unterdrückung
Durch die hohe Performance und große Reichweite der Gleichzeitiges Security-Monitoring und
Client-Services-Bereitstellung
neuen FortiAP-Serie ist der Aufbau einer hochsicheren
Receptionist GUI
und leistungsstarken WLAN-Infrastruktur einfach und Fast Roaming
kostengünstig möglich. In vielen Anwendungsszenarien
erübrigt sich unter Umständen sogar das Installieren ei- Weitere Features
ner Verkabelung bis zum Arbeitsplatz, da die Durchsatz- PCI DSS Compliance Support
raten der WLAN-Lösung vielfach äquivalent hoch sind. Layer 7 (Application) Qualtiy of Service Optionen
Die Thin WLAN Access Point Serie FortiAP umfasst Mo- PoE-fähig
delle für jeden Anwendungsbereich, sowohl Indoor als ARRP Support
auch Outdoor. Integration in FortiManager und FortiAnalyzer

FortiAP Produktfamilie

44
28
FortiToken
Einmal-Passwort für starke Integration mit FortiAuthenticator
Authentifizierung In Verbindung mit dem FortiAuthenticator kann die
Mit dem FortiToken 200 können Unternehmen leistungs- Nutzung des FortiTokens sehr einfach auf komplexere
fähige aber dennoch preiswerte und starke 2-Faktor- FortiGate-Umgebungen sowie auf 3rd-Party-Systeme
Authentifizierung einführen. Dabei handelt es sich um erweitert werden.
Einmal-Passwort-Token (auch One-Time-Passwort/OTP), Nähere Informationen finden sich im separaten Kapitel
mit dem Unternehmenszugänge gesichert werden kön- zum FortiAuthenticator in dieser Broschüre.
nen, die bisher auf schwache 1-Faktor-Authentifizie-
rung (z.B. statische Passwörter) ausgelegt sind. Mit dem Standards und AAA Server Kompatibilität
FortiToken können Administratoren sowohl mobile als Das FortiToken ist kompatibel mit herkömmlichen loka-
auch unternehmensinterne Anwender in ein erweitertes len und Remote-Access-Servern inklusive Active Direc-
Sicherheitskonzept einbeziehen. Dabei ist das FortiToken tory, LDAP und RADIUS. Die FortiGate verwaltet somit
Teil der umfangreichen Produktstrategie zur Multi-Faktor- gleichzeitig sowohl die Backend-Kommunikation mit
Authentifizierung, mit der sichergestellt wird, dass nur diesen Servern als auch die 2-Faktor-Authentifizierung
noch authorisierte Personen Zugang zu unternehmens- mit dem Anwender. In Kombination mit einer FortiGate
kritischen Daten erhalten. entspricht das FortiToken dem OATH Standard.

Nutzen der vorhandenen Widerstandsfähiges Design


Fortinet-Appliances Das FortiToken wird in einem manipulationssicheren
Jede FortiGate-Appliance bietet ab FortiOS 4.3. die Mög- Gehäuse ausgeliefert und der veränderungsresistente
lichkeit der 2-Faktor-Authentifizierung. Ein externer und interne Speicher verhindert Manipulationen am dyna­
nicht selten kostenintensiver Server sowie kostspielige mischen Passwort-Generator.
Token mit Jahreslizenzen können so entfallen. Die zeitba-
sierenden FortiToken bieten starke Authentifizierung für
IPsec VPN, SSL VPN, WLAN Captive Portals und FortiGate
FortiToken Highlights
Administrator Login. Dabei ist das Token ständig mit der
FortiGate zeitsynchronisiert. geringe Anschaffungskosten
lebenslange Lizenz
skalierbar
FortiGuard Schlüsselmanagement Nutzung vorhandener FortiGate-Systeme
Das FortiGuard Center sorgt für ein sicheres und kom- als Authentifizierung-Server
fortables Schlüsselmanagement. Nach Registrierung der vereinfachtes Management durch zentrale
Token-S/N an der FortiGate verteilt das FortiGuard Token-Verwaltung in FortiGuard
Security Center die zugehörigen Schlüssel über eine Integration in FortiClient
robustes Gehäuse
Cloud-Basierende sichere Infrastruktur an die jeweiligen
Manipulationsicher
FortiGates. Wenn es eine identitätsbasierende Regel
erfordert, ist eine FortiGate so in der Lage, das 6-stelli-
ge Token-Passwort gegen seine eigene Datenbank zu
verifizieren.

FortiToken

www.fortinet.com
29
FortiAuthenticator
Zentraler AAA-Server zur Vereinfachung von Authentifizierungs-Prozessen ent-
Der FortiAuthenticator dient als zentrale Instanz für das wickelt. Dies schließt die Integration in bereits vorhande-
User Identity Management. Es werden 2-Faktor-Au- ne Authentifizierungs-Datenbanken ebenso ein, wie die
thentifizierung, Identitäts-Verifikation und Netzwerk- reibungslose Token-Initialisierung. Eine weitere Arbeits-
zugriffskontrolle (NAC) unterstützt. Durch den Support erleichterung bietet das Self-Service-Portal, über welches
von LDAP und RADIUS und die Integration des Fortinet Anwender ihre Zugangsdaten anfordern können, wenn
Single Sign On Features der FortiGate Serie in Active sie ihr Token verloren oder vergessen haben.
Directory stehen umfangreiche Funktionen zur Zugriffs-
kontrolle der Anwender zur Verfügung. Fortinet Singles Sign On (FSSO)
FortiAuthenticator ermöglicht die zentrale Zugriffssteue- Fortinet Singles Sign On (FSSO) steigert die Benutzer-
rung auf FortiGate und 3rd Party Systeme, VPN-Zugänge freundlichkeit, indem es die Anzahl der erforderlichen
und Webseiten. LogIns deutlich reduziert. Die Integration von FSSO in
Active Directory ermöglicht die Konfiguration und Nut-
Zwei Faktor Authentifizierung zung von Identitätsbasierenden Regelwerken, um Netz-
Der FortiAuthenticator erweitert die 2-Faktor-Authen- werk- und Datenzugriff in Abhängigkeit von Gruppenzu-
tifizierung mittels Token auf Umgebungen mit vielen gehörigkeiten festzulegen.
verteilten FortiGate Appliance und 3rd Party Lösungen,
die RADIUS oder LDAP Authentifizierung unterstützen.
Die im FortiAuthenticator gespeicherten Informationen
FortiAuthenticator Highlights
zur Benutzeridentität in Verbindung mit den Authenti-
fizierungs-Informationen des FortiToken stellen sicher, zentrales Management von Nutzerinformationen
Vereinfachung von Authentifizierung-Prozess
dass nur autorisierte Anwender Zugang zu sensiblen
zusätzliche Flexibilität für FortiToken Anwendungen
Unternehmensdaten erlangen. Neben zusätzlicher erhöhte Sicherheit durch 2-Faktor-Authentifizierung
Sicherheit unterstützt diese Vorgehensweise Unterneh- 3rd Party Integration via RADIUS und LDAP
men bei der Einhaltung von Compliance-Vorgaben oder
anderen Regularien. Weitere Features
FortiGate identitätsbasierende Regelwerke Integration
Vereinfachtes Management und Benutzer- in Active Directory
freundlichkeit erweitertes Fortinet Single Sing On (FSSO)
durch die Bereitstellung sämtlicher erforderlicher Diens- Self-Provisioning Portal
te sowie die Speicherung aller Benutzerdaten auf einem lokales webbasierendes Management-Interface
einzigen System, werden die Kosten für sichere Nutzer- Command Line Management-Interface (CLI)
zentrales Management, Analyse und Report via
Authentifizierung deutlich gesenkt. Der FortiAuthenticator
FortiManager und FortiAnalyzer
ist in wenigen Minuten betriebsbereit und wurde speziell

44
30
FortiClient
Endpoint Security
Personal Computer (PCs), Desktops und Laptops ermög-
lichen den Anwendern den Zugang zu Unternehmens-
applikationen und vertraulichen Daten – vom internen
Netzwerk ebenso wie von unterwegs. Während sich die
Produktivität verbessert, erhöht der Zugriff von außen
gleichzeitig das Sicherheitsrisiko für die interne Netz­
werkinfrastruktur. Die Rechner sind sogenannten „Blen-
ded Threats“ ausgesetzt, also Angriffen, die sich gleichzei-
tig verschiedener Mechanismen bedienen, wie z.B. Viren,
Trojaner, Würmer, Spyware, Keylogger, Botnetzen, Spam
und Internet-Attacken. Während Netzwerk-Sicherheits-
architekturen verschiedene Segmente voneinander iso-
lieren, können sich PCs, die sich innerhalb eines Subnet-
zes befinden, durchaus gegenseitig infizieren. Anwender
verstoßen oft unabsichtlich gegen die Sicherheitsricht- FortiClient Versionen:
linien, in dem sie tragbare Speichermedien (USB Sticks, FortiClient Premium bietet die volle Bandbreite des
MP3-Player, Kameras, mobile Festplatten) einsetzen, Fortinet-Schutzes für PCs, Laptops, SmartPhones und
nicht darauf achten, ob ihr Virenschutz auf dem aktuel- PDAs selbst dann, wenn diese in unsicheren öffent-
len Stand ist oder sogar die Personal Firewall ausschalten. lichen Netzen verwendet werden. Diese umfangrei-
Anwender, die auf Webseiten mit unangemessenen oder che, modulare Sicherheitslösung schützt Desktops ge-
schädlichen Inhalten zugreifen, gefährden die Integri- gen Viren, Trojaner, Würmer und weitere Bedrohungen.
tät des Netzwerks, beeinflussen die Produktivität nega- FortiClient ist eine Client-basierte Software-Lösung, de-
tiv, verursachen Sicherheitsrisiken und lösen unter Um- ren Feature-Set VPN (IPSec und SSL), AntiVirus/AntiSpy-
ständen rechtliche Auseinandersetzungen aus. Während ware, Personal Firewall, Web Filtering, IPS/IDS, Applikati-
Sicherheitstechnologien, wie z.B. AntiVirus Software, onskontrolle, WAN Optimierung, Data Leakage Protec-
einen bestimmten Angriffspunkt schützen und somit nur tion, Endpoint-Audit und AntiSpam umfasst. Alle Module
für bestimmte Angriffsarten zur Verfügung stehen, versa- sind einzeln installierbar, um einen kundenspezifischen
gen diese Methoden bei „Blended Threats“ und sind auch Einsatz sowie die Kombination mit bereits vorhande-
nicht in der Lage, Zugangsrichtlinien umzusetzen. nen Sicherheitslösungen zu ermöglichen. Dank der
FortiGuard Security Services verfügt FortiClient stets
Modulare Installation über die neuesten Updates zum Schutz vor aktuel-
FortiClient erlaubt eine modulare Installation, um Kon- len und künftigen Bedrohungen. In Verbindung mit
flikte mit anderen Sicherheitslösungen zu vermeiden. FortiManager sind viele zehntausend Clients zentral
Bereits getätigte Investitionen bleiben erhalten und administrierbar. Die Lizenzierung erfolgt pro User.
werden um zusätzliche Funktionalitäten ergänzt.
FortiClient bietet einen reduzierten Funktionum­
fang,
um eine einfache und kostengünstige Anbindung von
Clients über SSL oder IPsec VPNs in Kombination mit
FortiClient Highlights
WAN-Optimierung und Applikationskontrolle zu ermög-
Integrierter VPN-Client (SSL und IPsec) lichen. Die Lizenzierung erfolgt einmalig (ohne weite-
WAN-Optimierung
re Folgekosten) pro Gateway (ein Cluster zählt als zwei
Applikationskontrolle
Einmal-Lizenz pro Gateway Gateways), an dem sich der Client anmelden muss.
(nur für Endpoint-Control und WAN-Optimierung) Jedes Gateway bietet bis zu zehn kostenlose Verbindun-
gen, wobei jede Art von Verbindung einzeln gezählt wird
FortiClient Premium Highlights (SSL oder IPsec).

Alle Features des FortiClients, Personal Firewall,


Antivirus-Modul, Anti Spyware Modul, IPS-Modul, FortiClient Lite bietet ein Antivirus-Modul, einen SSL-
Webfilter-Modul, DLP-Modul, Endpoint-Audit, bzw. IPsec-Client sowie einfache Jugendschutz-Funktio-
AntiSpam-Modul, Lizenzierung pro User, nalität. Dieser Client ist kostenlos.
Zentrales Management mit FortiManager

www.fortinet.com
31
Email Security
Effektiver Schutz vor E-Mail-Viren und SPAM

FortiMail
Eine der schnellsten und
leistungsfähigsten Appliance-
Serien für Messaging-Security
User-unabhängige Lizenzierung, High-Speed, granulare
Konfiguration, Schutz auch vor ausgehendem SPAM,
3 Betriebsmodi, auch als Mail-Server verwendbar

44
32
FortiMail

FortiMail
Email Security abhängig von Nutzer (Sender) oder Mailinhalten (Wörter-
FortiMail Appliances und virtuelle Appliances bieten bücher) Mails verschlüsselt versendet werden. Dabei ist
leistungsfähigen und umfangreichen Schutz für E-Mail- es nicht notwendig, dass auf Seiten des Senders oder des
Dienste in Unternehmen jeder Größenordnung - von Empfänger zusätzliche Client-Software installiert wird.
KMU über Carrier, Service Provider bis hin zu sehr großen Unternehmen können also kostenlos und ohne weiteren
Enterprise-Unternehmen. Fortinets jahrelange Erfahrung Administrationsaufwand sensible E-Mail-Kommunika­tion
im Schutz von Netzwerken gegen Spam, Malware und verschlüsseln und damit deutlich sicherer übertragen.
andere message-basierende Angriffe spiegelt sich auch Durch die sog. Identity Based Encryption werden Mails
in dieser Lösung wider. abhängig von Nutzergruppe, Nutzer oder spezifischen in
der Mail enthaltenen Wörtern verschlüsselt.
Sicherer Schutz von Mail-Systemen
FortiMail schützt E-Mail-Systeme davor, selbst zum Mal-
ware Verteiler zu werden. Durch ihre bidirektionale Archi-
FortiMail Highlights
tektur schützen FortiMail Systeme Netzwerke vor einge-
henden Spam-Nachrichten und Malware, bevor diese im Multiple Email Domain Support
High Availability (HA) Support
Unternehmen Schaden anrichten können. Gleichzeitig
SMTP Mail Gateway für bestehende Email Server
wird verhindert, dass schadhafte ausgehende E-Mails von Integriertes Policy-Based Email Routing und Queue
anderen externen Gateways zu einem Blacklisting des Management
Unternehmens führen. Insbesondere letztere Eigenschaft Outbound Mail Relay für verbesserte Mail Security
ist für Service Provider essenziell und höchst geschäfts- Granular Layered Detection Policies für Spam, Viren,
kritisch. FortiMail Appliances bieten High-Performance Adressen, IP Adressen oder Domains
Per User Antivirus und Antispam Scanning mittels
E-Mail Routing und Security durch die Verwendung von
LDAP Attributen auf Per Policy (Domain) Basis
mehreren höchst genauen Anti Spam Filtern. In Verbin-
dung mit Fortinets marktführenden Antivirus & Anti Spy-
Weitere Features
ware Modulen wird höchste Sicherheit garantiert.
LDAP-Based Email Routing
Quarantined Message Access mit WebMail and POP3
Verschiedene Betriebsmodi
Tägliche Quarantäne Berichte
Verschiedene Anwendungsszenarien ermöglichen zu- Policy-Based Archiving von Inbound und Outbound
sätzliche Flexibilität beim Einsatz der Appliance. Diese Nachrichten mit Backup Support für Remote Storage
kann sowohl im Gateway Modus, im Transparent Modus Mail Queue Support für verzögerte, und
sowie im Server Modus betrieben werden. unzustellbare Emails
SMTP Authentication Support via LDAP, RADIUS,
POP3 or IMAP
Einfaches Lizenzmodell
Per User Automatic White List
Das User-unabhängige Lizenzmodell garantiert niedri-
SNMP Support
ge Anschaffungs- und Betriebskosten und ermöglicht so Local Sender Reputation
eine transparente Planung. Dynamic DNS (DDNS)
Greylist Database Persistence
FortiMail Identiy based Encryption (nutzer- Sender Policy Framework (SPF)
abhängige Mail-Verschlüsselung) DomainKeys
DomainKeys Identified Mail (DKIM)
Eine neue Funktionalität wertet die erfolgreiche und leis-
Fragmented Message Blocking
tungsfähige Mail-Security-Appliance FortiMail noch wei- Integration in FortiManager & FortiAnalyzer
ter auf. Seit dem Release 4.2 der FortiMail-Familie können uvm.

www.fortinet.com
33
Zentrales Management & Reporting
Völlige Kontrolle über das Unternehmens-Netzwerk

FortiManager &
FortiAnalyzer
Zentrales Management
& Reporting
Für Unternehmen mit Filialstruktur ebenso wichtig wie für
Managed Security Service Provider: Zentralisierte Kontrolle,
Analyse, Administration, Konfiguration und Reportings.

44
34
FortiAnalyzer
Zentralisiertes Reporting Schwachstellenmanagement
Die FortiAnalyzer-Produktfamilie bietet Echtzeit-Netz- Die FortiAnalyzer-Systeme bieten sehr umfangreiche
werk-Logging-, Analyse- und Reporting-Funktionen in Scan-Möglichkeiten, die es erlauben, sämtliche Endgerä-
Form einer Appliance, die auf sichere Weise Log-Daten te in einem Netzwerk zu erkennen und zu priorisieren,
von Fortinet-Geräten und auch von Produkten anderer Schwachstellen zu katalogisieren, Ports zu erstellen und
Hersteller zusammenführen. Sämtliche Informationen Listen mit Handlungsempfehlungen auszugeben. Unter-
über Traffic, Events, Viren, Angriffe, Web-Inhalte und E- nehmen, die PCI DSS Compliance nachweisen müssen,
Mail-Daten können archiviert und ausgewertet werden. können auf voreingestellte Schwachstellen-Scans und
Zusätzlich können geographisch und chronologisch ver- -Reports zurückgreifen.
teilte Securitydaten zentral gesammelt, korreliert und
analysiert werden.
FortiAnalyzer Highlights
Umfangreiches Reporting Log Analyse & Reporting
Eine umfassende Auswahl an Standardberichten ge- Über 300 voreingestellte Reports
hört ebenso zum Lieferumfang, wie die Möglichkeit, Kundenspezifisches Reporting
beliebige benutzerdefinierte Reports zu generieren. Mandantenfähigkeit
FortiAnalyzer bietet außerdem erweiterte Sicherheits- NetzwerkAnalyse
zentrale Quarantäne
management-Funktionen wie die Archivierung von
Quarantäne-Dateien, Ereignis-Korrelation, Vulnerability
DLP Archivierung
Assessments, Traffic-Analyse und die Archivierung von Forensische Analsye
E-Mail-, Webzugriffs-, Instant-Messaging- und Datei­ Real-Time-Log-Viewer
transfer-Inhalten. Schwachstellen- und Compliance-Management
Auf diese Weise können sich Unternehmen jeder Graphisches Reporting
Größenordnung einen einfachen und konsolidierten Granulare Informationen über das Netzwerk
3rd-Party Integration
Überblick über Ihre Security-Situation verschaffen.
Integration in FortiManager
Durch eine Vielzahl von voreingestellten und kunden- Uvm.
spezifischen Reports werden Unternehmen ebenfalls bei
ihren Compliance-Bestrebungen unterstützt.

FortiAnalyzer

www.fortinet.com
35
FortiManager
FortiManager
Zentralisiertes Management von Fortinet- Lokales Security Content Hosting
secured Netzwerken Die Optionen, Security Updates lokal bereitzustellen,
FortiManager-Appliances stellen eine Vielzahl von not- bietet Administratoren bessere Kontrollmöglichkeiten
wendigen und hilfreichen Tools zur Verfügung, mit de- über Updates und reduziert und verbessert Antwort-
nen eine Fortinet-basierende Sicherheits-Infrastruktur zeiten für Rating Datenbanken. So können Antivirus-,
optimal und effektiv administriert und kontrolliert wer- Intrusion Prevention-, Schwachstellenmanagement-, Web
den kann. So sind die Verwaltung, das RollOut, Updates Filtering - und Anti Spam-Updates lokal zur Verfügung
oder die zentrale Konfiguration von bis zu vielen tausend gestellt werden.
Fortinet-Appliances und FortiClients einfach, übersicht-
lich und kostengünstig realisierbar. FortiManager-Appli- Vereinheitlichtes Managementmodell
ances reduzieren drastisch Verwaltungskosten und ver- Ein optimierter und einheitlicher WorkFlow ermög-
einfachen Prozesse. Die Erkennung von Geräten, dass licht die einfache Konfiguration mehrerer verschiedener
Gruppen-Management, Auditing-Möglichkeiten sowie Management-Komponenten via ADOM. Dazu stehen
umfangreiche Funktionen, mittels derer komplexe VPN- Objekte und dynamische Objekte, Import-und VPN-Wi-
Umgebungen verwaltet werden können, sind nur eini- zards, VDOM-Synchronisation, Geräte-Übersichten und
ge wenige der zahlreichen Features dieser Appliance- GUI-basierende Skripte zur Verfügung.
Serie. In Verbindung mit den FortiAnalyzer-Lösungen für
Logging und Reporting stehen äußerst leistungsfähi- FortiManager XML API
ge zentrale Management-Instanzen für jede Unterneh- Die FortiManager XML API ist eine Web-Service-Schnitt-
mensgröße zur Verfügung. stelle, die der Automatisierung von Managementprozes-
sen dient. Kunden einer privaten oder öffentlichen Cloud
Mandantenfähigkeit können so z.B. in ein Provisioning-System integriert wer-
Da die FortiManager-Appliance-Serie auf bis zu mehre- den. Außerdem können FortiGate-Systeme über ein
re tausend Geräte und Clients skaliert, stehen integrier- Web-Service-Interface konfiguriert werden.
te mandantenfähige Management-Domänen zur Verfü-
gung. Diese sog. ADOMs (Adminitrative Domains) bieten
maximale Flexibilität bei der Verwaltung von unterneh-
FortiManager Highlights
mensinternen Abteilungen, unabhängigen Unterneh-
mensbereichen oder für das Management vieler tausend zentrales Update-und Konfiguration-Management
Support von vielen tausend Geräten und Clients
verschiedener Kunden. Durch zusätzliche und optiona-
hierarchische Objektdatenbank
le globale ADOMs sind weitere zentrale Administration- automatisiertes Provisioning
Features verfügbar die gleichermaßen für große Unter- Rollen-basierte Administration
nehmen wie für Service Provider hochinteressant sind. Web-Portal SDK

Hierarchische Objektdatenbank Weitere Features


Die Erstellung von Templates zur Gerätekonfiguration er- XML API
möglichen das schnelle Einbinden und Konfigurieren ei- Integration mit FortiAnalyzer
ner Fortinet Appliance. Jede DOM verfügt über eine ge- automatische Geräteerkennung
zentrales Management komplexer VPN-Netzwerke
meinsame Objektdatenbank, auf die alle Geräte und Po-
Netzwerk-und Security-Monitorring
licies zugreifen können. So sind identische oder ähnliche Support von FortiGate, FortiClient, FortiMail,
Konfigurationen innerhalb einer Gruppe sehr einfach zu FortiSwitch, FortiAuthenticator und FortiAnalyzer
erstellen. Mittels der optionalen Global Policy AddOns Lösungen
können übergreifende Regelwerke und globale Daten-
banken, die für alle FortiOS im System zur Verfügung ste-
hen, erstellt werden.

44
36
FortiScan

FortiScan
Vulnerability Management

Die Appliance FortiScan bietet nicht nur Vulnerabili- Während auf Netzwerk-Ebene der FortiAnalyzer die
ty und Patch-Management auf Client- und Netzwerk­ Analyseprozesse übernimmt, wird das Vulnerability Ma-
ebene, sondern unterstützt Unternehmen auch beim nagement auf Endgeräten über einen eigenen Client
Erfüllen von Compliance Vorgaben. Mit einer Speicher- realisiert. Erkennung, Gerätepriorisierung und Scanning
kapazität von zwei Terrabyte und bis zu 2.000 pro Ein- erfolgen auf Grundlage frei definierbarer Profile. Der an-
heit unterstützten Endgeräten richtet sich diese Lösung schließende Patch-Prozess wird um sofort anwendbare
insbesondere an mittelgroße Unternehmen. Jedoch Korrekturmaßnahmen ergänzt. Netzwerk- und Security-
können dank einfacher Skalierbarkeit unbegrenzt vie- Verantwortliche könnten Patches nicht nur installieren
le Endgeräte in den Scan-Prozess einbezogen werden. und verwalten, sondern auch Konfigurationen ändern
Das Vulnerability Management läuft als transparen- und das Risiko zu schwacher Einstellungen senken, etwa
ter Hintergrund-Prozess und erkennt Sicherheitslücken durch Deaktivieren einer Applikation oder Ablehnen
sowie Regelverstöße im gesamten Netzwerk, also auch einer Netzwerkanfrage.
auf Hosts und Servern.

www.fortinet.com
37
WEB APPLICATION SECURITY
Schutz und Beschleunigung von Web Applikationen und Web Servern

FortiWeb
Web Application
Security
Effektiver Schutz von Web-Anwendungen wie
Portalen und Shops, Load Balancing und
Beschleunigung von Transaktionen

44
38
FortiWeb
Web Application Firewall

FortiWeb gen Byte Code erzeugt werden können, da XML rekur-


Web Application sive Strukturen erlaubt. Mit einem simplen Eingriff ist so
Servers z.B. eine Endlosschleife „programmierbar“, die denselben
Effekt erzeugt, wie ein „normaler“ DoS Angriff, für den
i.d.R. mehrere tausend Systeme manipuliert und fremd-
gesteuert werden müssten.

Sicherheit mit FortiWeb


Die FortiWeb-Produktfamilie repräsentiert eine solche in-
FortiWeb
tegrierte Web-Security Appliance-Serie. Mit unterschied-
lichen Leistungsdaten aber einheitlichem Feature-Set
adressiert sie Unternehmen aller Größenordnungen,
Application Service Provider (ASPs) und SaaS-Anbieter.
Web-Anwendungen und Sicherheit FortiWeb stellt neben den Modulen Web Application
Web-Anwendungen nutzt nahezu jeder wie selbstver- Firewall, XML Firewall und Web Traffic Optimizer auch ein
ständlich – und es ist ebenso selbstverständlich, dass sie Applikations-basierendes Load Balancing sowie einen
auch funktionieren. War in der Vergangenheit oft nur die leistungsfähigen Schwachstellenscanner bereit. Mit der
Rede von E-Mail-Portalen, CRM-Portalen und ähnlichem Möglichkeit des Auto-Learning ist es überdies möglich,
– also reinen Business-Anwendungen für Mitarbeiter – den Traffic zu Web Anwendungen regelmäßig zu analy-
so haben wir es inzwischen im Alltag eines jeden Inter- sieren und entsprechende Security Profile automatisiert
netnutzers damit zu tun. Sogenannte Provisionig-Portale zu erstellen – ohne Eingriff in die vorhandene Netzwerk­
werden für alle Lebensbereiche selbstverständlich. Das infrastruktur oder die zu schützende Applikation. Ein Po-
Programmieren von Web-Anwendungen ist in der Regel licy Wizzard sowie voreingestellte Regelwerke erleich-
fokussiert auf eine bestimmte Funktionalität und auf eine tern den Einsatz und die Inbetriebnahme der FortiWeb
möglichst schnelle Verfügbarkeit, sowie geringe Kosten. Appliances ebenso wie die verschiedenen Anwendungs-
Das Einbinden der notwendigen Sicherheits-Algorith- szenarien als Transparent Inspection, Reverse oder True
men erfordert einen mit zunehmender Komplexität der Transparent Proxy, sowie Offline.
Anwendung immens steigenden Programmieraufwand
– und erzeugt damit Kosten sowie eine Verzögerung der
Auslieferung. Gleiches gilt für die ständigen Updates der
Anwendung, die nur noch selten statisch und unverän-
FortiWeb Highlights
dert bleibt. Security in eine Web-Applikation einzubin-
den stellt somit nicht nur eine große Herausforderung ICSA WAF zertifiziert
DoS Schutz auf Netzwerk und Application Layer
dar - es wird in den meisten Fällen schlicht vernachlässigt
User Verhaltens-Analyse
oder nur oberflächlich umgesetzt. User-unabhängige Lizenzierung
Geo-IP Analyse
Web Services und „normale“ Firewalls Schutz gegen OWASP Top10
Eine normale Firewall – auch wenn sie über IPS und Ap- Schwachstellen-Management von
plikationskontrolle verfügt – ist nicht in der Lage, Web- Web-Applikationen
Service-basierende Angriffe zu erkennen und abzuweh- Weitere Features
ren. Web Services – also die den Web-Applikationen zu-
grundeliegenden Funktionen (die oft von mehreren Beschleunigung kritischer Web-Anwendungen
Unterstützung bei PCI DSS 6.6 Compliance
Anwendungen gleichzeitig genutzt werden) – bedie-
Anforderungen
nen sich einer eigenen Beschreibungssprache (WSDL) flexible Einsatzmöglichkeiten durch Inline,
und eines eigenen Protokolls (SOAP). Sowohl WSDL als Transparent- oder Reverse-Proxy und Offline Sniffer
auch SOAP beinhalten keinerlei Security-Mechanismen, schnelles Setup durch Auto-Learn Security Profiling,
beschreiben bzw. übertragen aber alle Parameter eines Policy Wizzard und voreingestellte Policies
Web-Dienstes transparent. Es liegt auf der Hand, dass An- Anti Web Defacement
Data Leak Prevention
griffe in Form von z.B. Manipulationen des Services sehr
Application Load Balancing
leicht möglich sind. Ein Beispiel hierfür sind sog. XDoS- SSL Offloading
Attacken, die auf nur einem einzigen System mit weni- Data Compression

www.fortinet.com
39
FortiDB
Datenbank Security

Den erhöhten Schutzbedarf im Datenbankbereich deckt duktfamilie schützt vor externem und internem Diebstahl
Fortinet mit einer neuen Reihe von Security-Appliances von firmeneigenen und persönlichen Daten und erkennt
ab, die speziell für das Vulnerability-Assessment in Daten- auch Zugriffe scheinbar legitimierter Nutzer. Allen Pro-
banken konzipiert ist. Die FortiDB ist eine automatisierte dukten gemeinsam sind die drei Feature-Sets 24x7-Über-
und zentralisierte Sicherheitslösung, die Datenbankap­ wachung der Datenbankaktivität, Datenbank-Audits und
plikationen stabilisiert, indem sie potenzielle Angriffs- Vulnerability Assessment. Letzteres sorgt für zusätzliche
punkte - etwa Schwachstellen in Passwörtern, Zugriffs- Sicherheit von Datenbanken, indem Schwachstellen in
berechtigungen und Konfigurationen - aufdeckt. Dabei Passwörtern, Zugangsberechtigungen, fehlende Sicher-
setzt die Appliance Warnungen an den Systemadminis- heits-Updates und falsche oder mangelhafte Konfigura-
trator ab und bietet Korrekturhilfen an. Die FortiDB-Pro- tionseinstellungen aufgedeckt werden.

FortiBalancer
Application Level Load Balancing

Die Parameter Verfügbarkeit, Performance und Reak­


tionszeit von (Web-)Anwendungen haben nicht nur zu- Die FortiBalancer-Serie bietet folgende Funktionen:
nehmend starken Einfluss auf die Akzeptanz der Nut- umfangreiche Layer 2-7 Load Balancing
zer, sondern bestimmen immer häufiger auch den wirt- Möglichkeiten
schaftlichen Erfolg von ganzen Unternehmensbereichen. Advanced Content Routing
Geschäftskritische Anwendungen wie Portale, Shops, Global Server Load Balancing
CRM- oder ERP-Systeme usw. müssen daher gut und SSL Offloading & Acceleration
High Performance Caching
schnell funktionieren, um ihrem Zweck gerecht werden
TCP Acceleration
zu können. Häufig werden aber die eingangs genann- IPv6 Support
ten Parameter durch schlechte Programmierung der
Web-Inhalte, falsch dimensionierte und somit überlaste- Weitere Features
te (Web-)Server, oder unflexible Leitungsnutzung nega- Dynamic Compression
tiv beeinflusst. Abhilfe schaffen hier sogenannte Applica- eine Vielzahl von Methoden zur Stabilisierung
tion LoadBalancing Systeme, die die Last intelligent auf von Anwendungen
die verfügbaren Server verteilen, Web-Inhalte optimieren flexible „Gesundheits-Checks“ für Anwendungen
und lokal oder sogar dezentral zwischenspeichern und Unterstützung von transparentem und Proxy-Betrieb
„One-Arm“ und „Two-Arm“ Konfigurationen
weitere optimierende Funktionen übernehmen können.
höchste Performance und optimal Skalierbarkeit
Die neue Serie der FortiBalancer optimiert die Verfügbar- umfangreiche Managementoptionen
keit, das Anwendungsverhalten, die Performance sowie
die Skalierbarkeit von sowohl mobilen und Cloud- als
auch von Enterprise-Anwendungen. Das Design dieser
Produktlinie wurde auf eine schnelle, intelligente und si-
chere Beschleunigung von bandbreitenlastigen und in-
tensiv genutzten Enterprise-Anwendungen sowie Traf-
fic-Optimierung abgestimmt. Diese Lösungen eignen
Database
sich ideal für traditionelle wie virtualisierte Rechenzent-
ren und Cloud-Infrastrukturen in Unternehmen aller Grö-
ßenordnungen. Application Servers

Web Servers

FortiBalancer

FortiGate

44
40
Virtual Security
Virtualisierung von Security und Schutz virtueller Systeme

VDOMs und
Fortinet VM
Virtual Security
Virtualisierung von Security-Funktionen auf jeder FortiGate
(VDOM), Mandantenfähiges Management & Reporting (ADOM)
und Security Appliances für VMware und XEN

www.fortinet.com
41
Fortinet Virtual Appliances
Security Lösungen für virtualisierte Umgebungen- sog. Vir- und FortiAnalyzer sind als virtualisierte Lösungen verfüg-
tual Appliances - erlauben nun auch die Integration der bar und integrieren sich so in ein schlüssiges Konzept.
bekannten und umfangreichen Fortinet-Security Lösun-
gen in kritische, virtualisierte Infrastrukturen. Darüber hi-
naus ermöglichen Sie die kurzfristige Bereitstellung von
Folgende Fortinet-Lösungen sind bereits als virtu-
Security-Diensten wann und wo auch immer sie benötigt elle Systeme verfügbar:
werden. Da Unternehmen inzwischen selten eine reine
FortiGate (NGFW/UTM-Appliance)
hardware-basierende oder reine virtuelle Infrastruktur be- FortiAnalyzer VM(Analyse & Reporting Tool)
treiben, ist es sinnvoll, bedarfsabhängig beide Lösungen FortiManager (Management & Konfiguration)
zu integrieren. In Kombination mit den höchst leistungs- FortiWeb VM (Web Appliaction & XML-Firewall)
fähigen Fortinet-Appliances können Unternehmen somit FortiMailVM (Mail-Security AV/AS Lösung)
einen Mix aus Soft- und Hardware-basierender Security In- FortiScanVM
frastruktur implementieren.
Fortinet bietet bereits seit 2004 virtualisierte Security-Lö-
sungen an, die heute von vielen Service-Providern und Lösungen für MSSPs
Großkonzernen genutzt werden, um flexibel und mandan- Durch ein speziell beim FortiAnalyzer adaptiertes neues
tenfähig komplexe Sicherheits-Dienste anbieten zu kön- und additives Lizenzmodell können nun individuelle Secu-
nen. Mit der FortinetVM Serie erweitert Fortinet dieses An- rity-Services seitens eines Managed Security Service Provi-
gebot für VMware und XEN Plattformen und ermöglicht ders einfach und mit planbaren Kosten bereitgestellt wer-
noch weiterreichende Flexibilität. So können Unterneh- den. So kann die gesamte Infrastruktur - oder Teile dersel-
men eine verteilte Infrastruktur sowohl hardware-basie- ben - auf virtuellen Systemen abgebildet werden. Bereits
rend als auch virtualisiert nutzen und zentral mit nur einer vorhandene Plattformen können so optimal genutzt und
Management-Instanz administrieren. Auch FortiManager die benötigten Services bedarfsgerecht skaliert werden.

FortiGate Virtual Appliances deployed


inside the virtual infrastructure

44
42
Zubehör
Top Rack Switching, Bypass Switches und mehr

Zubehör
FortiSwitch,
FortiBridge,
PowerInjector
FortiFon

www.fortinet.com
43
FortiSwitch

FortiSwitch
Gigabit Ethernet Switches FortiSwitch-324B-PoE
Fortinet’s FortiSwitch Gigabit Ethernet Switch Fami- Der FortiSwitch-324B-PoE ist ein leistungsfähiger Switch
lie mit 10 Gigabit Ethernet Uplinks bietet hohe Perfor- mit einer hohen Portdichte speziell für Umgebungen,
mance und Skalierbarkeit zu einem günstigen Preis. Die in denen viele PoE-fähige Endgeräte (WLAN-Access
FortiSwitch Plattform ist für High-Performance Compu- Points und/oder VoIP-Telefone, IP-Kameras oder andere
ting (HPC) entwickelt worden und bietet dabei Einsatz- IP-basierende Gebäudetechnik) zum Einsatz kommen.
möglichkeiten für jede Umgebung - von Small Office bis
hin zum Data Center. Die den FortiSwitches zugrundelie-
gende Technologie wurde zudem auch in alle HighEnd
FortiGate-Systeme integriert.

FortiSwitch-548B
Der FortiSwitch-548B ist ein High-End 10G-Ethernet FortiSwitch-80-POE
Switch für Top-Rack Anwendungen. Mit seinen 960 Gbps Der FortiSwitch-80-POE ist ein Power over Ethernet
Durchsatz und 48x 10GbE-Ports eignet er sich für Umge- Switch, der auf vier der acht Gigabit Ethernet Ports 15.4W
bungen mit extrem hohen Anforderungen an hohe Per- zur Verfügung stellt und sowohl für den Einsatz im Enter-
formance und kurze Latenzzeiten, wie z.B. In großen Ser- prise, als auch für Small Office Umgebungen geeignet ist.
ver-Farmen, E-Trading, Finance, Simulationen oder Multi- Typische Einsatzszenarien sind der Anschluss von IP Te-
Media-Streaming. lefonen (wie die FortiFone Produktfamilie), Thin Access
Points (wie die FortiAP Produktfamilie) oder IP Kameras,
FortiSwitch-248B ohne eine zusätzliche PoE Quelle installieren zu müssen.
Der FortiSwitch-248B ist ein high-performance 10/100/
1000 Ethernet Switch mit 4 dual-speed 1/10 SFP+ Glas-
faser Uplink Ports, der bis zu 40 GB/s Datendurchsatz
FortiSwitch Highlights
bietet. Dieser Switch ist sowohl für den Einsatz im Data
Center sowie als High Performance Zugangsswitch im Hohe Performance*
10GbE-Uplinks*
Edge geeignet, da dieser Full-Wire Speed auf Layer-2
10GbE High-Densitiy Switch*
Ebene bietet. Durch die hohe Portdichte und die Dual- Niedrige Latenzzeiten*
Speed SFP+ Ports ist dieser Switch auch für zukünftige SFP-Support für unterschiedliche Kabeltypen (Kupfer/
Anforderung ausgelegt. Glasfaser)*
PoE-Support*
Redundantes PowerSupply*
Integration in FortiManager*
Bestes Preis-/Leistungsverhältnis*
*modellabhängig

44
44
FortiFon
VoIP Telefone

FortiFon bezeichnet eine Serie von VoIPTelefonen, die


sich ideal mit der Security & VoIP-Appliance FortiGate
Voice 80C kombinieren lassen.

FortiBridge
Datenbank Security 

FailOver-Schutz für FortiGate Appliances, die Inline ge-


nutzt werden. Überbrückt die Verbindung ohne Unter-
brechung bei System- oder Stromausfall.

PoE-Power Injector
Spannungsversorgung für PoE-Geräte

Der PoE-Power Injector ermöglicht die Spannungsversor-


gung von PoE-fähigen Endgeräten wie den FortiAP WLAN
Access Points oder FortiFon VoIP-Telefonen auch an Forti-
Gate Appliances oder Switches ohne PoE-Support.

www.fortinet.com
45
44
46
www.fortinet.com
47
primeLine Solutions GmbH

Dornenbreite 18a
32549 Bad Oeynhausen
Germany
T: +49 5731 8694-400
F: +49 5731 8694-413
E: vertrieb@primeline.org
www.primeline-solutions.de

powered by