Fortinet Product

Overview
January 2005

Fortinet Company Overview

Fonde en 2000 par Ken Xie

Fondateur et CEO de NetScreen (NASDAQ: NSCN)

550 employees; Sige a Sunnyvale, Californie

Dirige par une quipe de visionnaires expriments
Ken Xie, Michael Xie, Joe Wells, MIT team

550 employees; Sige a Sunnyvale, Californie

Bureau dans tous les USA, EMEA et Asia

Belgium, France, Germany, Italy, Sweden, UK

Tokyo, Seoul, Beijing, Shanghai, Hong Kong, Taipei, Singapore, KL, etc .

Premier crateur dans la monde de solution Antivirus sur base ASIC

Ceci afin dadresser la demande de protection en temps-reel

Plus de 80,000 Fortigate vendus dans la monde

Revenue multiplier par 10 en 1 an (2002 - 2003)

Croissance la plus importante dans lhistoire du IT

CONFIDENTIAL

La Vision

Les produits de Fortinet couvrent toutes les briques de la scurits du contenu,

ceci afin dviter ou de diminuer les problmatiques dattaques multiples. Ceci
grce au Fortigate, la seule solution Multi gigabit pour les accs internet des
oprateurs tlcoms et pour toutes les grandes entreprises, sans oublier de
protger les accs de lutilisateur nomades.

Le management des solutions de scurits Fortinet est effectu par une autre
gamme dAppliances nommes le Fortimanager. Fortimanager est une solution
complte pour facilement dployer, administr et contrl vos solutions Fortigate.

Fortinet, dveloppe et vends des produits Reseaux industriel, avec un trs haut
niveau de performance, ceci en intgrant les solutions Firewall, Vpn, antivirus, et
Intrusion Protection.

Ceci toujours dans une problmatique, afin doffrir une meilleur protection contre
les attaques multiples.

Pourquoi Fortinet ?

Une grande experience dans la march de scurit

2,200+ clients grands comptes
80,000 produits vendus
4 certification ICSA (FW, AV, VPN, IPS)
EAL 4 en instance (4+ aussi en instance)
FIPS 140-2 en Septembre 2004
Fournir un accroissement du service, en rduisant les cots dinfrastructure et
de dploiement, les solutions type Hardware Fortinet, se prte compltement
la fourniture de service additionnel, sans rajouter continuellement des
nouvelles plateformes pour manager et superviser ces services.
Fortinet plus de 20 boitiers, qui permette de slectionner le bon service
fournir, aussi bien pour des clients type PME PMI, pour les MSSP, les
oprateurs en bien videmment les trs grandes entreprises.
Fortinet t rcompens pour sa technologie, par une srie de Awards du
monde de la presse IT.

IDC Reports Fortinets UTM Market

Leadership!
New!

Unified Threat Management (UTM) Security

Appliance Market = unification of firewall and
gateway anti-virus into a single platform
Fortinet ranked #1

UTM market revenue started at $85 million in 2003 -- over

the next 3 years, UTM appliance sales will exceed that of
standard firewall/VPNs

Firewall/VPN segment baseline $1.5 billion revenue in 2003

2003 revenue of 17% annualized growth rate for combined UTM

and stand-alone Firewall/VPN category, $3.45 billion by 2008

UTM Products Will Overtake Standalone

VPN/Firewalls by 2008
The UTM market is being created because it is quickly catching on with
customers and vendors. UTM incorporates firewall, intrusion detection
and prevention, and AV in one high-performance appliance. -- IDC, 2004
Worldwide Threat Management Security Appliances Forecast, 2004-2008 ($M)

Firewall/VPN
UTM Security
Appliance
Total TM
Security
Appliance

2003

2004

2005

2006

2007

2008

2003
Share
(%)

CAGR
(%)

$1,479.1

$1,667.
7

$1,791.6

$1,804.4

$1,623.5

$1,462.3

93.4%

-0.2%

42.4%

$104.9

$225.0

$517.5

$828.0

$1,324.8

$1,987.2

6.6%

80.1%

57.6%

$1,584.0

$1,892.
7

$ 2,309.1

$2,632.4

$2,948.3

$3,449.5

16.8%

2008
Share
(%)

IDC UTM Leadership Over Point Solutions

Fortinet, with the only ASIC based AV accelerated UTM appliances, led
this UTM market in 2003, with $30.9 million in revenue and a 29.5% share
of the worldwide market. -- IDC, 2004
WW Unified Threat Management Appliance Revenue by Vendor, 2003 ($M)
Vendor
Fortinet (#1)

Revenue

Units

Revenue Share

Average Vendor Revenue

30.9

21496

29.5%

$ 1,437.48

Symantec

24.0

13790

22.9%

$ 1,740.39

Secure Computing

22.8

5050

21.7%

$ 4514.81

ServGate

12.0

11743

11.4%

$ 1,021.89

Netscreen (acquired by
Juniper)

5.2

6601

5.9%

eSoft

4.0

3162

3.8%

$ 1,265.00

Pyramid Computer

1.3

509

1.2%

$ 2,554.03

Others

4.7

3680

4.5%

$ 1,227.12

104.9

66031

100.0%

$ 1,588.84

Total
Source: IDC, 2004

787.76

FortiGate Product Family

FortiGate Product Family
SOHO

Branch Office

Medium Enterprise

Service Provider/Telco

Large Enterprise

FortiGate-5000

Same Feature Set Throughout

FortiGate-3600

FortiGate-3000

THROUGHPUT

Redundant PS, VDom

FortiGate-1000

Gigabit Eth

FortiGate 800
FortiGate 500A

Gigabit perf

High port density

FortiGate-400A
FortiGate-300A
FortiGate-200A

Integrated Logging

FortiGate-100A
FortiGate-60 / FortiWifi
FortiGate-50A
Fortinet Confidential

High Availability, VLAN support

Fortinet Product Family

FortiGate Product Family
SOHO

Branch Office

Medium Enterprise

New!

Large Enterprise

FortiMail-2000

FortiMail-400

Capacity

FortiReporter

FortiLog-800

FortiLog-400
FortiLog-100

FortiManager-3000
FortiManager-400A

FortiClient

Fortinet Confidential

Service Provider/Telco

Fortinet Delivers UTM Solutions for the

Managed Security Service Provider

Fortinet Delivers UTM Solutions for the

Enterprise

Fortinet Delivers UTM Solutions for the

Small & Medium Business

Fonctionnalits

Fonctionnalits FortiGate

Pare-feu

VPNs

Services de protection des flux rseau:

Services disponibles:
Antivirus
Filtrage Web
Antispam
IPS

Activation des services:

Cration dun profil
Mis en service par
rgle pare-feu

Dfnition de profils distincts en

fonction des services activs

Activation des services par rgle pare-feu

Activation de diffrents profils

de protection en fonction des
rgles pare-feu

Protection diffrencie en fonction des

groupes utilisateurs

Slection des
communauts
utilisateurs

Protection diffrencie en fonction des

groupes utilisateurs

Association de groupes
utilisateurs des profils de
protection spcifique

Caractristiques Antivirus

Seule plate-forme ASIC antivirus certifie ICSA

Mthode de recherche antivirus

Signatures
Analyse Macro
Heuristique (fichiers excutable PE)

Efficacit de recherche
Recherche contextuelle Consultation des sections appropries de la
base de connaissance, relativement la nature des donnes analyses

Haute performance
Seule solution dantivirus de flux acclr par ASIC pour un traitement
temps rel
Analyse des protocoles temps rel comme HTTP sans dlai notable
Performances ingales ce jour: 5x 10x fois suprieures aux solutions
logicielles traditionnelles

La problmatique des antivirus HTTP

Plus de 25%+ des

contaminations sont ralises
par le Web
Tlchargement Web
Courriel web
Etc.

Les solutions logicielles sont

trop lentes pour lanalyse du
trafic Web

Seule une solution ASIC peut

apporter la puissance de
traitement requise

Caractristiques Antivirus

Trois services:

Dtection des virus

Filtrage des noms et des tailles de fichiers

Mise en quarantaine des fichiers contamins

Protocoles supports

Courriel: SMTP, POP3, IMAP

Trafic Web: HTTP (contenu, tlchargement, courriel web)

Trafic FTP

Support de ports non standard (SMTP, POP3, IMAP, HTTP)

Couverture complte de tous les virus actifs (standard WildList)

Dont les virus polymorphiques

Service transparent pour les utilisateurs finaux

Aucune configuration des postes de travail (pas de configuration proxy !)

Signatures paramtrables sur les courriels sortants

Messages de remplacement paramtrables

Message de remplacement

Activation par rgle pare-feu

Le filtrage
antivirus sactive
au choix sur rgle
pare-feu

Analyse slective
sur les flux
risque

Granularit de
configuration

Optimisation des
ressources

Elment
diffrenciateur
par rapport aux
solutions
traditionnelles

De lintrt dune analyse slective par

rgle pare-feu

Serveur Web
Internet

Analyse
antivirus

Proxy Cache
AV mode transparent
Pare-feu

Client

Intranet

Pas danalyse
antivirus

Profil de protection contrle antivirus

Contrle Grayware

Caractristiques Antivirus

Journalisation des vnements antivirus

Envoi un administrateur dune alerte par courriel quand un

virus est dtect

Mise jour dynamique du moteur et de la base de connaissance

partir du rseau de distribution FortiProtect (FDN)
Mise jour automatique (tlchargement automatique par SSL,
programmation horaire paramtrable)
Mise jour ponctuelle initie par le FortiGate sur rception dune alerte
FDN
Rduit les fentres de vulnrabilit
Message UDP envoy par le FDN sur le port 9443

Analyse antivirus des fux VPNs

Support jusqu 12 niveaux de compressions (ex: compression

LZH)

Mise jour antivirus

Caractristiques du filtrage Web

Activation du service en fonction des rgles pare-feu

Possibilit dappliquer des contrles diffrencis par groupe
utilisateurs

Filtrage des scripts (Java, ActiveX, Cookies)

Fitlrage statique
Listes noires / blanches
Contenu mots & phrases interdits
Filtrage dURLs
Import possible de la configuration par fichier texte

Filtrage dynamique
FortiGuard (service Fortinet )
Filtrage bas sur des catgories 56 categories

Activation des contrles Web

Activation
sur rgle
pare-feu
Analyse
web
slective

Optimisation
des
ressources

Filtrage
diffrenci
en fonctions
des groupes
utilisateurs

Filtrage Web dynamique FortiGuard

Configuration du
filtrage Web statique
Configuration du
filtrage Web
dynamique
Activation des
catgories 56
catgories
disponibles

Filtrage Web dynamique FortiGuard

Consultation de rapports
sur les sites web filtrs en
fonction des profils

Require un disque dur

local

Tableau et camemberts

Statistiques sur les pages

Autorises ou bloques

Pour chaque catgorie de

filtrage

Soumission de nouvelles
pages web eou demande
de rvaluation dune page
web

Dynamic web filtering FortiGuard

Site Web cible

4a
Internet

3b

3a

2
4b

5
Serveur FortiGuard
1. User requests a URL.
2. If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).
3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Serveurs (3b).
4. When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.
5. If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable blocked message is sent to the
requestor.

Intranet
1

Client Web

Filtrage Web statique

Dfinition de listes
noires / blanches
statiques

Recherche de mots
clefs et filtrage de
dURLs

Les configurations de
blocs dURLs et de
mots clefs peut se fair
epar importation de
fichier texte

Caractristiques IPS

Certifi ICSA

Haute performance
Acclaration hardware (ASIC)
Permet une dtection en temps rel

Base de connaissance sur 1 400 attaques

Mise jour automatique du moteur IPS et de la base de

connaissance
Through the FortiProtect Distribution Network

Paramtrage dune alerte courriel sur dtection dattaque

Les alertes sont filtres pour viter la gnration de trop nombreuses
alertes redondantes pour une mme attaque

Configuration simplissime

Cot sans comune mesure compare aux solutions

traditionnelles

Caractristiques IPS

Possibilit de dfinir ses propres signatures

Import possible de signatures SNORT

Intgration du moteur IPS

Le moteur IPS:
Intervient de lanalyse des paquets par le module de routage, le module parefeur et le module de rassemblage applicatif
Coordonne son activit avec le FortiASIC pour rapidement intercepter le trafic
et vrifier les attaques contre la base de signature

Caractristiques IPS

Toute attaque dtecte peut tre instantanment bloque

Filtrage automatique des attaques sans intervention humaine:

Exemple: Sasser

Dtection et prvention temps rel grce une connexion spcifique vers du moteur
IPS vers le module firewall

Caractristiques IPS

Diffrentes stratgies sont disponibles pour bloquer les attaques

Seuils de dtection de comportements anormaux paramtrables
Arrt des attaques avec au choix :
Suppression des paquets, rinitialisation des sessionss, etc.
Attaques dtectes par anomalie de comportement

Attaques identifies par signature

Profil de protection Contrle IPS

Activation des
dtections et
prventions
dattaque au niveau
des profils de
protection

Activation IPS sur rgle pare-feu

Lanalyse IPS
sactive au choix sur
rgle pare-feu

Analyse des seuls

flux risque

Granularit de
configuration

Lutilisation des
ressources est
optimise

Par exemple, activation du service de prvention

dintrusion sur le trafic entrant et sortant dun tunnel VPN

Elments
diffrentiateur par
rapport aux
solutions
traditionnelles qui
se limitent aux
VLANs et interfaces

Antispam Multiples dfenses

Contrle de la source
Par adresses IP
Listes statiques
Listes dynamiques
(RBL)
Helo DNS lookup

Contrle du contenu
Characteristiques
Spam
Mots / phrases clefs

Par adresses courriel

contrle de la source

contrle du contenu

Spammer

Destinataire

Antispam Scenarios

Internet

Local SMTP Serveur

Remote SMTP Serveur

Internet

Pop3 / IMAP

Pop3 / IMAP Serveur

Scenario 1 SMTP (tag ou rejet)

Le FortiGate analyse le trafic courriel entre deux MTA

Les SPAMs peuvent alors te supprims ou tagu avant avant quils ne soient reus
sur le serveur de messagerie

Scenario 2 IMAP/POP3 (tag)

Le FortiGate analyse des courriels qui ont dj t trait par le MTA local

Si le courriel est considr comme un SPAM, il peut tre tagu

Activation des services antispam par profil

de protection

Filtrage source Adresses mail

Vrification de ladresse
mail source en fonction de
listes statiques dfinies
localement

Liste noire:
Action = Spam

Liste blanche
Action = Clear

Les listes peuvent tre

importes par fichier texte

Filtrage source Serveur SMTP

Helo DNS lookup

Sur rception dune commange SMTP HELO

Ladresse IP correspondant au nom de domaine annonc par la commande HELO

est vrifi contre ladresse IP relle du serveur qui se connecte

Filtrage des serveurs SMTP se connectant par listes dadresses statiques

Listes noires et listes blanches dadresses IP

Les listes peuvent tre importes par fichier texte

Filtrage source Serveur SMTP

Filtrage dynamique des adresses IP des serveurs SMTP entrant

Vrification en ligne des adresses par interrogation de serveurs Real-time
DNS Blacklists accessibles sur Internet
Support des requtes DNSBL
Filtrage des sources de SPAMs indirectes (open relays, open proxies), sources
de SPAMs directes, dial-up users, etc.

Real-time DNS blacklists

Outgoing SMTP Serveur
2
1
3

Internet

Email Sender

Recipient
SMTP
Serveur

Email Recipient

DNS-based
database
(ORDB, RBL, etc.)

1. A sender delivers an email to an outgoing SMTP mailServeur

2. The outgoing SMTP Serveur establishes a connection to the recipients mailServeur,
and attempts to deliver the email.
3. The FortiGate unit queries DNS-based databases to see if the outgoing mail Serveur
is listed. The database Serveur responds to the FortiGate, and tells it whether your
outgoing mailServeur is listed as a potential source of spams.
4. If it is listed, the FortiGate:
- may choose to reject the SMTP connection and tells it that it is not allowed to
deliver the mail. The sender receives a "Mailer Daemon", telling that the email
could not be delivered.
- Or it may add a tag to the email, so that the recipient can easily filter SPAM
emails.

Filtrage du contenu En-ttes MIME

Vrification de toute portion des en-ttes MIME en

fonctions de valeurs pr-dfinies

Les champs des en-ttes peuvent tre lists et leurs

contenus vrifis selon les valeurs paramtres dans la
liste
Vrification de malformations spcifiques aux SPAMs

Filtrage du contenu Mots clefs

Par exemple:
viagra = /v.?[il;1'!\|].?[a@0].?[gq].?r.?[a@0]/i

Recherche de phrases ou mots-clefs

Expression rgulire ou wildcard

Dans le corps et/ou len-tte

Liste blanche et liste noire

Importation possible des listes par

fichier texte

Caractristiques Pare-feu

Inspection statefu cerifie ICSA

Haute performance

Many-to-one (PAT)

Jusque 4 Gbps (FG3600)

Mode rout ou transparent

(pont)

Many-to-many NAT
H.323/SIP NAT Traversal

En mode transparent: connexion

derrire une premire ligne de
routeur ou pare-feu

Authentification des
utlisateurs
Base de donnes locale
Support Radius

Les contrle stateful

sappliquent au trafic des
tunnels VPN
Les services AV, IPS, SPAM,
Web sappliquent en option aux
rgles pare-feu

Policy-based NAT

Support LDAP
Support SecureID

Table de correspondance
IP/MAC

Configuration des rgles

Configuration des rgles

Visualisation des sessions actives

Filtres pour la visualisaton des sessions

Qualit de Service

Trafic shaping
Bufferisation des donnes pour une rgulation du trafic selon les limites
paramtres
Les paquets dpassant les limites fixes sont mise en mmoire pour un
traitement ultrieur
Tente dviter les pertes de paquets en ajoutant ventuellement un dlai
aux transmissions
Utilisation de techniques de filtrage par panier de jeton pour garantir ou
limiter la bande passante

Files dattente
Bufferisation des paquets en file dattente
Filtes dattente haute / moyenne /basse priorit
En cas de congestion, les paquets de haute priorit sont traits en priorit

DiffServ
Marquage des champs DSCP

Qualit de service par rgle pare-feu

La qualit de
service
sapplique au
choix sur rgle
pare-feu
Granularit de
configuration

La bande
passante est
contrle

Support des VLANs 802.1Q

A partir du FortiGate 60

Interfaces logiques multiples par interface physique

Support des VLANs sur tout port physique
Support des trunks VLANs

Support du recouvrement dadresses IP par VLAN

Les VLANs son traits comme des interfaces au niveau

des polices pare-feu
Configuration antivirus par VLAN
Configuration IPS par VLAN
Configuration du filtrage Web et SPAM par VLAN
Contrle des polices pare-feu et de la qualit de service par VLAN

Support des VLANs 802.1Q

VLANs apparaissent comme des sous-interfaces

VLAN en mode transparent ou rout

Mode rout
Routage entre les sousinterfaces logiques (VLANs)

10

30
40

20

Trunk interface

Trunk interface

ModeTransparent
Les paquets sont ponts entre les VLANs.
Dans le cas dune insertion sur un trunk,
le FortiGate revient un pare-feu par
VLAN

30

30
40
Trunk interface

40
Trunk interface

Routage

Support de RIP v1 and RIP v2

Support de OSPF

Routage statique Routage en fonction de la destination

Routes can be arranged in the routing table from specific to more general
Des passerelles multiples pour chaque route statique (accessibles sur des
interfaces distinctes)
Dtection du status des passerelles par ping
Bascule automatique sur les liens secondaires sur le route vers la passerelle
primaire nest plus disponible

Peut tre utilis pour une redondance de fournisseurs daccs Internet

ISP1

Internet

Intranet

ISP2

Routage policy-based

Outre les adresses destination, le routage statique peut prendre

en compte:
Les adresses sources
Les protocoles et les ports applicatifs

Les routes policy-based sont examines en premier

Peut tre utilis pour utiliser simultanment plusieurs accs

Internet (partage de charge statique)
Trafic temps
rel (HTTP)
ISP1

Internet

Intranet

ISP2

Autre
trafic

Routage policy-based

Caractristiques VPN

IPSec VPN certifi ICSA

VPN NAT traversal

Protocoles support :

Dead peer detection (DPD)

Authentification:

IPsec, PPTP
L2TP/Passthrough of IPSec and
PPTP

Chiffrement matriel (ASIC) :

DES, 3DES, and AES

Support de Xauth
Support des certificats X.509

Les flux entrant et sortant des

tunnels:
Peuvent tre contrls par les rgles
pare-feu
Peuvent bnficier tous les services
de protection FortiGate:
Antivirus, IPS, filtrage Web et SPAM

Support de LDAP, RADIUS

Interoprabilit VPN avec la

acteurs majeurs

Support des architectures

hub and spoke

Redondance de tunnels VPN

Jusque 3 passerelles redondantes peuvent tre

configures pour chaque tunnel VPN

La disponibilit dune passerelle VPN est dtecte par

implmentation de DPD

Peut tre utilis pour dfinir des tunnels redondants dans

une architecture daccs Internet redondants:
ISP1

Internet

ISP2

IPSec Phase 1 (site site)

Adresse IP ou nom DDNS (dans le

cas o ladresse IP de la
passerelle est dynamique)

IPSec Phase 2 (site site)

Jusque 3 passerelles redondantes

Rgle pare-feu des VPNs (site to site)

Ladresse source des paquets

sortant dun tunnel VPN est
translat avec ladresse de
linterface vers lequel il est mis

IPSec Phase 1 (Clients IPSec)

IKE en mode agressif

pour les clients qui
nont pas une adresse
IP fixe

Authentification
utilisateur

VPN setup Phase 2 (Dial users)

DHCP sur IPSec pour une adresse IP

prive dynamique

FortiClientTM Secure Connect

Le logiciel FortiClient inclut:

Un client VPN IPSec (phase 1)
Une protection antivirus (phase 2)
Mise jour automatique du moteur et de la base de connaissance par par le
rseau de distribution FDN (FortiProtect Distribution Network )

Un pare-feu client (phase 2)

Trois zones
zone de confiance, Internet, zone bloque

Contrle des applications

Blocage dapplications qui tentent daccder des ressources rseau

Vrification des applications

Calcul de checksum

Activation / dsactivation du voisinage rseau

Granularit des rgles pare-feu (phase 3)
par utilisateur, par localisation

Programmation horaire (phase 3)

FortiClient Secure Connect

Configuration VPN du FortiClient

Attribution dune adresse

IP dynamique par DHCP

Configuration antivirus du FortiClient

Journalisation FortiClient

Haute-disponibilit Caractristiques

A partir du FortiGate-60

Support en mode transparent et en mode rout

Supporte les modes actif-passif et actif-actif

Le mode actif-passif fournit un secours en cas de panne
dinterface ou de panne FortiGate de faon transparente aux
utilisateurs:
Bascule en moins de 3 seconde
Reprise des sessions en cours (synchronisation des sessions parefeu et IPSec)
Journalisation de lvnement et alerte courriel et/ou SNMP

Le mode actif-actif fournit en outre:

Un partage de charge des sessions pare-feu
Un partage de charge antivirus entre les botiers dun mme cluster

Haute-disponibilit Architecture
Cluster FortiGate :
Secours automatique et
transparent
Rpartition de charge

Internet

Lien HA
Interface quelconque
Non ddi
Peut tre redondant

Intranet

Haute-disponibilit Caractristiques

Les hearbeats HA
Servent :
Synchroniser les sessions pare-feu et IPSec
Synchroniser les configurations du cluster
Rapporter les statuts de fonctionnement (disponibilit des interfaces,
etc.)

Sont changs sur des liens dits HA

Redondance de liens HA:

Toute interface peut tre configure en tant que lien HA
Une interface connecte au rseau pour transmettre du trafic
utilisateur peut aussi tre configure comme lien HA
Le lien HA primaire peut tre secouru par un nombre quelconque
de lien secondaire (ordonnancement des liens daprs un niveau
de priorit)

Haute-disponibilit Configuration

Choix du mode actif-actif or

actif-passif mode
Le botier matre a la plus
haute priorit

Choix parmi 6
algorithmes de
rpartition de charge
Choix des interfaces
surveilles
Choix des liens HA
Le lien sur lequel seffectue les
changes HA a la plus grande
prioroit. Les autres liens sont en
secours

Surveillance des tats HA

Domaines virtuels (VDOMs)

Fournit de multiples pare-feux et routeurs logiques dans un seul botier FortiGate

Objets dun VDOMs:

VLANs

Les objets (services, adresses) et rgles pare-feu

Le routage

La configuration VPN

La configuration des authentifications utilisateurs (base locale, configuration RADIUS & LDAP)

Create new virtual domains

Vdom et VLANs

Pour chaque VLAN

cr, on choisit son
domaine virtuel

config system interface

edit "Customer1_VID1"
set ip 1.1.1.1 255.255.255.0
set log enable
set vdom "Customer1"
set interface "internal"
set vlanid 1

VDOM et interfaces
Visualisation des VLANs
par domaine virtuel

DHCP Caractristiques
DHCP Relay
Serveur DHCP
Multiples plages dadresses IP par interface
Exclusion dadresses

Support des rseaux sans fil

Configuration en client ou en point daccs

WEP 64 or 128

Support de IPv6
Support clef pour le march japonais
Plusieurs adresse IP par tlphone portable

Fortinet IPv6 Phase 1 (FortiOS 2.8): Coexistence

Adresses IPv6 et routage entre interfaces

Fortinet IPv6 Phase 2: Tunneling

Connexion dilots IPv6 entre rseaux IPv4

Fortinet IPv6 Phase 3: protection avance

Par exemple: antivirus IPv6

Gestion des botiers FortiGate

CLI Command-line Interface
Scurise par SSH

Web GUI
Scurise par SSL

Accs CLI scuris travers linterface

graphique

Interface graphique

Interface graphique Localisation

Interface
en 6
langues

Role-based management

Backup and restore

Backup/restore
the entire config

Backup/restore
part of the config

Backup is done in
the form of a text
file

SNMP support

SNMP v1 and v2c

MIBs

Traps
CPU usage above 90%

proprietary MIB

Memory usage above 90%

Standard RFC 1213 and

Hard disk usage above 90%

RFC 2665 MIBs

Traps

HA cluster fails
Tunnel up/down

cold start

Flooding attacks

system down

Port scan attacks

interface up/down

Virus detection

Log full

Etc.

FortiManager Caractristiques

Centralized configuration and management

Device Manager
Models
Create offline devices and configs, check differences

Policy Manager
Create Policies for multiple devices and groups
Create Profil de protections for multiple devices

Admin Manager
Role Based Administration
Supports multiple simultaneous administrators with different
authorization levels

FortiManager Caractristiques
Centralized configuration and
management
Configuration and view of FortiGate
devices
FortiGate domains management
Devices groups

Management of user accounts

FortiManager Caractristiques
Firmware update
Centralized monitoring & logging
Status, trafic, alerts, etc.
Easy centralized data storage and analysis/reporting
Sortable and filterable logs
Log database backup

Realtime Monitor
System Health, Device Status, Session Monitor, trafic Flow,
Anti-Virus, Attack, Alert Notification

FortiManager Architecture
Console 1
Console 2
FortiManager
Admin
Console(s)

FortiManager
Server
(Appliance)

RDB

Security
Domain A
FortiGate
Firewall under
mgmt

Console N

Security
Domain B

Integral RDB
included in the
FortiManager
Server appliance

FortiManager Modular design

Interface contrle model
CORBA API

Config mgmt

Network mgmt

Monitoring/Log mgmt
Security mgmt
CLI
SSH

SFTP
API

Policy mgmt

Other Mgmt modules

SNMP
API

Persistent
Storage API

FortiManager Serveur

CORBA API/North bound API

Console(s)

GUI (Java based)

based)

Platform-independent Java based

admin console(s)
Supports multiple active windows for
simultaneous multi-site monitoring

Deployed as security hardened, plug & play

appliance
Modular, flexible, scalable design
Integrated LDAP directory for
configurations & policy
Integrated RDB for central log/data store
CORBA interface for integration with
OSS/BSS

RDB LDAP

SFTP API

SNMP API

FortiOS Firmware

FG Units

CLI/SSH

Secure communication with all

FortiGate models

FortiManager System Architecture

Benefits

Multi-tier Client/Serveur architecture

Serveur software
Deployed on security-hardened appliance to eliminate installation
issues, improve system reliability & security

Corba-based interfaces
Eases integration into customer existing management systems

Secure communication between Serveur and FG units

Strong mutual authentication mitigates attacks
Strong chiffrement of communication protects from information
interception

FortiManager Device Manager

Allows to manage individual FortiGate devices
from the FortiManager Serveur
Configure online and offline devices
Import and export devices
Device configuration import using SSH

Create device templates

View device configurations
Resynch, restore, and update devices

FortiManager Device Manager

FortiManager Device Manager

Any part of the FortiGate functionalities can be configured through Device

Manager

System, Pare-feu, Users, IPS, Web filtering, Spam filtering, VPN

If changes are made to the device using the web-based manager or the CLI
rather than the FortiManager System, differences can occur between the
device and the database

Resynchronizing with the device forces the Serveur to retrieve the data from the
device

FortiManager Policy Management

Antivirus highlights

Three services:

Virus detection

File and email blocking service (oversized files or pattern matching file names)

Quarantine service of infected files

Supported protocols:

Email traffic: SMTP, POP3, IMAP

Web traffic: HTTP (content, downloads, and web mail)

FTP traffic

Support non standard ports (SMTP, POP3, IMAP, HTTP)

Full coverage of the industry standard WildList viruses

Including polymorphic viruses

Transparent to end users

No special configuration on the client side (requires no proxy setup)

Customized signature to outgoing emails

Customized replacement messages (mail, FTP, Web)

Grayware control

Fortinet Confidential

Agenda
Firewall Features
Antivirus Features

Web (URL) Filtering

IDS/IPS
Anti-SPAM
VPN
Virtual Domains
Administration

Web filtering benefits

Increase productivity
Viewing unproductive and objectionable material can
reduces employee productivity

Improve bandwidth by filtering out non-workrelated content

mp3 files, games, pornographic material, etc.

Exposure to inappropriate content can lead to

lawsuits
Avoid threat of hostile work environment

Dynamic web filtering FortiGuard

Requested Web site

4a
Internet

3b

3a

2
4b

5
FortiGuard Server
1. User requests a URL.
2. If the URL rating is already cached, it is compared with the policy for the user. If
the site is allowed, the page is requested (3a) and the response is retrieved (4a).
3. If the URL rating is not in the FortiGate cache, the page is requested (3a) and a
rating request is made simultaneously to a FortiGuard Servers (3b).
4. When the rating response is received (4b) it is compared with the policy while
the response from the Web site (4a) is received.
5. If the policy is to allow the page, the Web site response is passed to the
requestor (5). Otherwise, a configurable blocked message is sent to the
requestor.

Fortinet Confidential

Intranet
1

Web client

Dynamic web filtering FortiGuard

Policies are stored and enforced by
FortiGate units
Customers configure allow/deny policies on
FortiGate systems
URL requests received by FortiGate unit are
forwarded to a FortiGuard server, which respond
with ratings
FortiGate unit maintains user/group info for each
request, supports user/group-level policies

Static web filtering

Fortinet Confidential

Static control

Based on local
black/white lists

Lists can be
imported from
text files

Agenda
Firewall Features
Antivirus Features
Web (URL) Filtering

IDS/IPS
Anti-SPAM
VPN
Virtual Domains
Administration
Fortinet Confidential

Intrusion detection highlights

ICSA certified

High speed performance

Asic-based IDS
Real-time detection

Signature database of 1,400 known hacker attacks

Timely and automated updates of attack signatures

Through the FortiProtect Distribution Network

Customizable e-mail alerts

Alerts can be filtered to avoid generation numerous, redundant
alerts from a single attack

Very easy to configure and easy to maintain

Dramatically lower cost than stand-alone NIDS

Intrusion detection highlights

Customizable attack list to enable and disable signatures

Possibility to import SNORT signature

Support for customer self-defined signatures

Fortinet Confidential

Integrated intrusion detection

The IDS engine:

Hooks into the routing and firewall modules and application layer
Coordinates with the FortiASIC to quickly peek into traffic and check
for traffic patterns that match specified IDS signatures

Fortinet Confidential

Protection profile Intrusion control

Detection methods:
Signatures
Anomalies
Scanning attacks
Flooding attacks

Fortinet Confidential

Agenda
Firewall Features
Antivirus Features
Web (URL) Filtering
IDS/IPS

Anti-SPAM
VPN
Virtual Domains
Administration
Fortinet Confidential

Antispam Multiple layers of defense

Source blocking
By IP addresses
Static lists
Dynamic lists
(RBL, ORDB)
FortiShield
Reverse DNS
lookup
By URI content
By email addresses

Control the source

Spammer

Fortinet Confidential

Content blocking
Spam characteristics
Banned words

Control the content

Recipient

AntiSpam Deployment scenarios

Internet

Local SMTP Server

Remote SMTP Server

Internet

Pop3 / IMAP

Pop3 / IMAP Server

Scenario 1 SMTP (tag or discard)

FortiGate unit monitors email traffic at the MTA level

This enables blocking spam transfers before entire email is transferred.

Spam Email may be rejected or tagged

Scenario 2 IMAP/POP3 (tag)

FortiGate unit scans emails already processed by the local MTA

If considered as a SPAM, the FortiGate marks the email

Fortinet Confidential

Antispam protection highlights

Uses a wide variety of local and network tests to identify spam

signatures
Source blocking
IP address
Static lists
Dynamic database: RBL & ORDBL

Email address
FortiShield (IP Address and URI scanning)

SPA

Content blocking
MIME headers
Banned word

Once identified, the mail is:

Tagged as spam for later filtering using the user's own mail user-agent
application
Enables easy sorting by any email client

Or rejected (SMTP)

FortiShield AntiSpam Service

Fortinet managed antispam service with dual pass scan

technology

For FortiGate and FortiMail

Benefits
Greatly reduces processing overhead on email servers and antispam
gateways
Reclaims bandwidth taken by spam email
Supplements any other antispam solution
Cost effective managed solution lowers maintenance overhead of
managing static content filters

FortiShield Overview Phase 1

Spammer IP Check
SMTP
1.1.SMTP
session
session
requeste
SMTP requeste
Server
dd

Session
5.5.Session
terminate
terminate
d if Spam
d if Spam

FortiShield
AntiSpam
Service

Extract
2.2.Extract
Server
Server
Source
Source IPIP
Address
Address

Receive
4.4.Receive
Result
Result
(Cachefor
for
(Cache
future
use)
future use)

FortiGate
or
FortiMail

Check
3.3.Check
Source
Source
with
IPIPwith
Databas
Databas
e
e

FortiMail
or
SMTP Email Server

Clients

FortiShield Overview Phase 2

Email Content Screening
Email
1.1.Email
message
message
transmitte
SMTP transmitte
Server
dd

Email
Hi there,
how are you?
<Spam>

FortiShield
3.3.FortiShield
scans
spam
scans spam
URIcontent
content
URI

FortiGate
or
FortiMail

Email

Email
2.2.Email
content
content
inspected for
inspected for
URIcontent
content
URI
FortiShield
4.4.FortiShield
result
result
receivedand
and
received
cached
cached

Hi there,
how are you?
<Spam>

FortiShield
AntiSpam
Service

Spamfiltered
filteredor
or
5.5.Spam
taggedand
and
tagged
distributedbased
based
distributed
on
policy
on policy

FortiMail
or
SMTP Email Server

Clients

FortiShield Service Controls

FortiShield provides a Web Service to allow:

Search for known spammer
Report new spammer
Request to be removed from Spammer List

Agenda
Firewall Features
Antivirus Features
Web (URL) Filtering
IDS/IPS
Anti-SPAM

VPN
Virtual Domains
Administration

VPN Highlights

ICSA-certified IPSec VPN

VPN NAT traversal

Supported protocols:

Dead peer detection (DPD)

Dial-up monitor/Remote VPN

client

Authentication:

IPsec, PPTP
L2TP/Passthrough of IPSec and
PPTP

Hardware encryption:

Support for Xauth over Radius

DES, 3DES, and AES

IPSec VPN traffic controlled by

firewall policies
VPN tunnels decrypted and
routed through firewall and AV
scanning

x.509 Certificate auth

LDAP for user authentication

Interoperability with major

VPN vendor

Hub and Spoke architecture

support

VPN benefits

VPN tunnels cannot be used to carry threats into

customer networks
Scans encrypted VPN tunnels for worms and viruses
Prevents home office and telecommuters from tunneling viruses and
worms back to HQ

Applies firewall policies to VPN tunnels

Applies intrusion protection to VPN tunnels (IDS and IPS)
No other VPN vendor can do this

Greatly reduced installation and integration headaches

Trying to do what FortiGate systems do using separate products
is a nightmare!

VPN redundancy
Up to 3 redundant VPN gateway can be defined
for each VPN tunnel
VPN gateway availability is checked using DPD
Can be used to setup redundant tunnels with
redundant ISPs:
ISP1

Internet

ISP2

Agenda
Firewall Features
Antivirus Features
Web (URL) Filtering
IDS/IPS
Anti-SPAM
VPN

Virtual Domains
Administration

Virtual domains

Provides multiple logical firewalls and routers in a single FortiGate unit

VDOM objects:

VLANs

Firewall objects and policies

Routing setup

VPN setup

User setup (local database, LDAP, RADIUS)

Create new virtual domains

Vdom and VLANs

Select the Virtual

Domain for which
you create a VLAN

config system interface

edit "Customer1_VID1"
set ip 1.1.1.1 255.255.255.0
set log enable
set vdom "Customer1"
set interface "internal"
set vlanid 1

VDOM and interfaces

View VLANs on a per Virtual
Domain basis

Agenda
Firewall Features
Antivirus Features
Web (URL) Filtering
IDS/IPS
Anti-SPAM
VPN
Virtual Domains

Administration

Roles-based Administration (RBA)

Granular administration access:
Device status

Users

Log and report

Security Policy

Device configuration

Administrator

Assignable permissions
Not accessible
Read only
Read / write

Administrators and Access Rights

Ability to create function-specific
administrators

Lock-downadministration
administration
Lock-down
Host
system
Host system

FortiGate standalone management

CLI Command-line Interface
Security through SSH

Web GUI
Security through SSL

CLI accessed from Telnet/SSH/GUI

Backup and restore

Backup/restore
the entire config

Backup/restore
part of the config

Backup is done in
the form of a text
file

SNMP support

SNMP v1 and v2c

MIBs

Traps
CPU usage above 90%

proprietary MIB

Memory usage above 90%

Standard RFC 1213 and

Hard disk usage above 90%

RFC 2665 MIBs

Traps

HA cluster fails
Tunnel up/down

cold start

Flooding attacks

system down

Port scan attacks

interface up/down

Virus detection

Log full

Etc.