ĐIỂM NỔI BẬT TÍNH NĂNG ĐIỂM NỔI BẬT ƯU ĐIỂM CỦA FORTINET Hiển thị Trình xem chi tiết và cấu trúc liên kết tương tác minh họa trạng thái theo thời gian thực và lịch sử mối đe dọa và việc sử dụng mạng v.
ĐIỂM NỔI BẬT TÍNH NĂNG Hiển thị ĐIỂM NỔI BẬT - Trình xem chi tiết cấu trúc liên kết tương tác minh họa trạng thái theo thời gian thực lịch sử mối đe dọa việc sử dụng mạng với thơng tin ngữ cảnh tồn diện - Chế độ xem liệu tổng hợp cung cấp thiết bị kết cấu Tự động hóa - Quy trình tự động hóa dựa hướng dẫn thực hành động thích hợp dựa trình kích hoạt xác định, thông qua Kết cấu bảo mật Fortinet - Tự động cách ly máy chủ bị xâm phạm FortiClient qua EMS kết nối qua FortiSwitch FortiAP - MỚI: Thiết bị Fabric để kích hoạt Quy tắc tự động hóa - Giao diện với FortiAuthenticator nhiều hệ thống quản lý danh tính bên ngồi để hỗ trợ quy trình xác thực người dùng - Các phương thức thu nhận danh tính đăng nhập lần phạm vi rộng, bao gồm Windows AD, máy chủ đầu cuối, cổng truy cập dịch vụ thư - Tích hợp máy chủ token để quản lý token vật lý di động để sử dụng với yêu cầu xác thực FortiOS khác truy cập VPN quản trị FortiGate MỚI: Khung ZTNA (Truy cập mạng không tin cậy) cải tiến cho điểm cuối di động - Kiểm tra cấu hình hệ thống định kỳ thiết bị kết cấu cách sử dụng danh sách kiểm tra xác định trước để hiển thị cập nhật trạng thái bảo mật; liệu lưu giữ để tạo biểu đồ xu hướng lịch sử - Kiểm tra thiết lập theo yêu cầu tuân thủ PCI - Xếp hạng đánh giá bảo mật so sánh với thiết bị ngang hàng - Kiểm tra tệp cục (dành cho kiểu máy có nhớ) NAC Định mức tuân thủ bảo mật Bảo vệ mối đe dọa nâng cao (ATP) ƯU ĐIỂM CỦA FORTINET - Biện pháp khắc phục cú nhấp chuột cung cấp khả bảo vệ xác nhanh chóng chống lại mối đe dọa lạm dụng - Hệ thống chấm điểm mối đe dọa nhất, tương quan mối đe dọa có trọng số với người dùng cụ thể để ưu tiên điều tra - Chế độ xem toàn kết cấu mở rộng khả hiển thị vượt xa thực thể bảo mật đơn lẻ, cho phép tổ chức nhanh chóng phát cố giải chúng - Giảm khả gặp rủi ro thay quy trình bảo mật thủ cơng tự động hóa để giúp giải thách thức tổ chức ngân sách thiếu hụt nhân lành nghề - FortiOS tích hợp với nhiều dịch vụ AAA để hỗ trợ người dùng kiểm soát truy cập từ nhiều điểm truy cập khác nhau, mang đến cho người dùng trải nghiệm đơn giản hóa thực bảo mật cao - Dễ dàng triển khai xác thực hai yếu tố cho quyền truy cập người dùng quản trị viên với chi phí thấp - Đơn giản hóa việc thực thi bảo mật người dùng di động cách dễ dàng phân phối cập nhật hồ sơ bảo mật khách hàng phù hợp với bảo vệ gateway - Tự động kiểm tra tuân thủ, giúp giải phóng tài nguyên quản trị - Nhanh chóng xác minh trạng thái tình trạng thiết lập thiết bị kết nối bạn Fabric xác định lỗ hổng có khả khiến bạn gặp rủi ro cao - Được hỗ trợ dịch vụ nghiên cứu AV kiểm chứng xác - Nhận biện pháp khắc phục động (tổng kiểm tra tệp độc hại URL) Các cập nhật sở liệu báo cáo phân tích chi tiết từ giải pháp phân tích tệp bên ngồi Fortinet (FortiSandbox) - Chế độ xem lỗ hổng điểm cuối trình bày chi tiết khách hàng dễ bị tổn thương xếp hạng - Tích hợp dịch vụ IOC hiển thị liệu phát IOC từ FortiAnalyzer lên FortiView đồ cấu trúc liên kết Giám sát - Giám sát thời gian thực - Bảng điều khiển NOC - Thông báo đẩy IOS qua ứng dụng FortiExplorer thực ngành - Khả áp dụng khung ATP mạnh mẽ tiếp cận người dùng di động văn phòng chi nhánh, phát ngăn chặn công nâng cao vượt qua hệ thống phịng thủ truyền thống cách kiểm tra tệp từ nhiều vectơ khác nhau, bao gồm tệp mã hóa - Dễ dàng xác định máy chủ dễ bị tổn thương fabric - Quản trị viên dễ dàng xác định máy chủ đáng ngờ nhanh chóng tự động cách ly chúng - Chế độ xem bảng điều khiển NOC cho phép bạn xem thơng tin quan trọng nhiệm vụ Các tiện ích tương tác truy sâu giúp tránh vào điểm dừng trình điều tra, giúp trình phân tích diễn nhanh chóng sn sẻ Chính sách kiểm sốt TÍNH NĂNG Chế độ sách Nhận dạng thiết bị Kiểm tra SSL ĐIỂM NỔI BẬT - Quản lý sách dễ sử dụng với tùy chọn Chế độ xem Phần Toàn cảnh - Các chế độ dựa sách NGFW - Chính sách IPv4 IPv6 hợp - Nhận dạng loại thiết bị khác có mạng - Đối tượng nguồn sách địa MAC - Dịch vụ bảo mật IoT cho phép FortiGates truy vấn máy chủ FortiGuard để biết thêm thông tin thiết bị - Kiểm tra hiệu lưu lượng mã hóa SSL với nhiều biện pháp kiểm soát bảo mật khác nhau, chẳng hạn AV lọc nội dung - Kiểm tra SSL hiệu suất cao với xử lý nội dung - Cơ sở liệu trang web có uy tín để miễn trừ ƯU ĐIỂM CỦA FORTINET - Thiết lập sách linh hoạt với hệ thống kiểm soát khác hỗ trợ tổ chức triển khai bảo mật mạng hiệu phù hợp với mạng họ ĐIỂM NỔI BẬT - Tường lửa hiệu suất cao thiết ƯU ĐIỂM CỦA FORTINET - Thiết bị tường lửa hàng đầu - Trao quyền cho tổ chức bổ sung bảo mật quan trọng cho môi trường BYOD ngày cách xác định thiết bị cá nhân - Xác định chặn mối đe dọa ẩn lưu lượng mã hóa mà khơng ảnh hưởng đáng kể đến hiệu suất Bảo mật TÍNH NĂNG Tường lửa VPN bị SPU hỗ trợ - Triển khai sách bảo mật sử dụng kết hợp đối tượng nguồn, IP, người dùng và/hoặc thiết bị - Cách ly người dùng/kẻ công tự động thủ công - Chỉ dẫn FortiClient đăng ký để lưu trữ vùng cách ly - Các tính cấp doanh nghiệp toàn diện dành cho nhiều kiểu thiết lập VPN khác - Thủ thuật VPN SSL Ipsec VPN - Bộ điều khiển đám mây hỗ trợ cấu trúc liên kết Full Mesh, Hub & Spoke với tùy chọn ADVPN ngành với tỷ lệ hiệu suất chi phí vượt trội - Hiệu suất FortiGate VPN cho phép tổ chức thiết lập quyền riêng tư liệu liên lạc an toàn nhiều mạng máy chủ cách tận dụng xử lý bảo mật tùy chỉnh (SPU) để tăng tốc mã hóa giải mã lưu lượng mạng THƠNG SỐ KỸ THUẬT Bảo mật fabric TÍCH HỢP HỆ THỐNG Ghi nhật ký bảo mật Fabric: - Đồng hóa ghi nhật ký vào cấu hình FortiAnalyzer FortiGate - Trao đổi liệu (thông tin cấu trúc liên kết thẻ nội dung thiết bị) với FortiAnalyzer Hệ sinh thái công nghệ bao gồm đối tác hàng đầu thị trường Tường lửa Quản lý Rủi ro Mạng, SDN Ảo hóa, Quản lý Sự kiện Thơng tin Bảo mật (SIEM), Tích hợp Hệ thống, Thử nghiệm Đào tạo, Khơng dây Tích hợp riêng với FortiSandbox, FortiSandbox Cloud, FortiMail, FortiNAC, FortiMail Cloud, FortiProxy, FortiAI, FortiDeceptor, FortiTester FortiWeb TRUNG TÂM CUNG CẤP VÀ QUẢN LÝ Hỗ trợ quản lý trung tâm: FortiManager, dịch vụ lưu trữ FortiCloud, API dịch vụ web Triển khai nhanh chóng: Cài đặt trình hướng dẫn, tự động cài đặt USB, thực thi tập lệnh cục từ xa TÍCH HỢP ĐÁM MÂY VÀ SDN Tích hợp thơng qua trình kết nối với: - Đám mây cơng cộng: AWS, MS Azure, GCP, OCI, AliCloud IBM Cloud - SDN riêng: Kubernetes, VMware ESXi NSX, OpenStack, Cisco ACI, Nuage Networks Nutanix Prism Xem trước API: xem tất yêu cầu API REST sử dụng trang GUI cụ thể HIỂN THỊ Trình hiển thị đồ họa tương tác cho người dùng, thiết bị, mạng hoạt động bảo mật (FortiView): - Một loạt giao diện điều khiển GUI hiển thị trạng thái lịch sử quan điểm khác nhau, chẳng hạn “nguồn”, “đích”, “ứng dụng” “mối đe dọa”, v.v - Mối đe dọa đồ VPN - Tùy chọn xem liệu: Bảng, biểu đồ bong bóng đồ giới có - Thống kê thơng tin hệ thống thiết bị FABRIC kết nối - Chỉ báo phiên tăng tốc - Tra cứu WHOIS cho địa IP cơng cộng FortiView bảng nhật ký Trình xem cấu trúc liên kết vật lý logic minh họa: - Vị trí máy chủ mạng kết cấu bảo mật - Truy cập cú nhấp chuột để kiểm tra, cấm IP truy cập thông tin theo ngữ cảnh chi tiết máy chủ - Kết nối thực thể cấu trúc bảo mật - Thông tin liên quan đến SD-WAN sử dụng liên kết Chế độ xem liệu tổng hợp với FortiGate xi dịng Bảo mật Fabric - trình bày FortiView, đồ cấu trúc liên kết hình TỰ ĐỘNG HĨA Xác định tự động hóa Cấu trúc bảo mật cách sử dụng thiết lập “Nếu-thì” đơn giản: - Trình kích hoạt: Phát máy chủ bị xâm phạm, trạng thái hệ thống, thay đổi cấu hình, trình xử lý kiện FortiAnalyzer, Webhook lịch trình - Hành động: Tập lệnh CLI, email, iOS, MS Teams thông báo ngăn xếp, chức đám mây công cộng, lệnh gọi API/webhook Tự động cách ly máy chủ từ xa lớp truy cập FortiAP và/hoặc FortiSwitch FortiClient qua EMS KIỂM SOÁT TRUY CẬP MẠNG (NAC) Cơ sở liệu người dùng cục hỗ trợ dịch vụ xác thực người dùng từ xa: LDAP, Radius TACACS+, tích hợp người dùng FortiClient FortiNAC địa xác thực hai yếu tố Đăng nhập lần: Tích hợp với Windows AD, Microsoft Exchange Server, Novell eDirectory, FortiClient, Citrix Terminal Server Agent, Radius (thơng báo kế tốn), POP3/POP3S, xác thực quyền truy cập người dùng (802.1x, captive portal) Hỗ trợ SAML SSO mạng kết cấu cho phép quản trị viên di chuyển thiết bị kết cấu mà không cần đăng nhập lại PKI chứng chỉ: Chứng X.509, hỗ trợ SCEP, tạo Yêu cầu ký chứng (CSR), tự động gia hạn chứng trước hết hạn, hỗ trợ OCSP Máy chủ mã thông báo tích hợp cung cấp quản lý mã thơng báo vật lý, SMS Mật dùng lần (OTP) ZTNA Framework: FortiClient EMS sử dụng quy tắc gắn thẻ không tin cậy để tự động gắn thẻ điểm cuối quản lý dựa thuộc tính khác phát FortiClient Các thẻ đồng hóa dạng đối tượng địa động FortiGate NAC tích hợp Khơng dây điều khiển thiết bị chuyển mạch: - Hỗ trợ cấu hình NAC tích hợp máy khách vào VLAN mặc định, sách NAC khớp với máy khách dựa thuộc tính thiết bị, nhóm người dùng thẻ ZTNA, sau định máy khách cho VLAN cụ thể ĐỊNH MỨC TUÂN THỦ VÀ BẢO MẬT Chạy loạt kiểm tra tuân thủ cấu hình hệ thống theo yêu cầu PCI Xếp hạng cấu trúc bảo mật: kiểm tra thành phần cấu trúc dựa phương pháp hay nhất, cung cấp kết đề xuất, sau cho phép người dùng dễ dàng áp dụng biện pháp khắc phục cho số mục Quản lý việc tuân thủ thiết bị mạng thông qua kiểm soát truy cập động với thẻ hệ thống quản lý khách hàng bên cung cấp BẢO VỆ MỐI ĐE DỌA NÂNG CAO (ATP) Hiển thị danh sách máy chủ dễ bị tổn thương lỗ hổng chúng thông qua phép đo từ xa với FortiClient Hiển thị danh sách máy chủ bị xâm nhập thông qua thông tin FortiAnalyzer cung cấp Tích hợp phân tích tệp chỗ dựa đám mây bên (OS sandbox): - Gửi tệp (có tùy chọn để chọn loại tệp) - Nhận báo cáo phân tích tệp - Nhận cập nhật chữ ký động từ hệ thống phân tích tệp (kiểm tra tệp DB URL độc hại) Hỗ trợ danh sách chặn bên cho tên miền, URL lọc web, địa IP malware độc hại BỘ ĐIỀU KHIỂN KHÔNG DÂY Quản lý cung cấp cài đặt cho điểm truy cập cục từ xa Xác thực SSID: - WPA2-Cá nhân, WPA2-Doanh nghiệp - WPA3 (SAE, chuyển tiếp SAE, Doanh nghiệp - Mở Hỗ trợ cổng bị khóa tích hợp bên ngồi, 802.1x, khóa chia sẻ trước Giới hạn ứng dụng khách, lọc MAC, vơ hiệu hóa quảng bá, chặn lưu lượng truy cập nội cách ly máy chủ SSID Nhiều PSK cho WPA Cá nhân Chỉ định VLAN người dùng động: - với thuộc tính RADIUS - với VLAN Pooling (Cân tải Round-Robin/Hash) Cân thời gian: cải thiện hiệu suất mạng tổng thể cách quản lý lưu lượng liên kết xuống tới máy khách khác với thời gian phát sóng cân Bảo mật kênh liệu CAPWAP: tùy chọn DTLS IPsec VPN Bảo mật WiFi: Chặn AP giả mạo, IDS không dây, theo dõi chặn SSID lừa đảo Công cụ khắc phục cố WiFi, phân tích phổ đồ vị trí Thơng tin đăng nhập mở rộng khu vực để giúp khắc phục cố WiFi: - liên kết, xác thực, DHCP DNS Hỗ trợ cấu trúc liên kết không dây: Chuyển vùng nhanh, cân tải AP, Lưới không dây bắc cầu Đánh dấu WiFi QoS WMM: trì đánh dấu QoS WiFi Đa phương tiện (WMM) gói cách dịch chúng sang giá trị DSCP chuyển tiếp ngược dòng (Chỉ dành cho AP 802.11ac-W2) Hỗ trợ Hoạt động đa băng tần linh hoạt (MBO) Liên minh Wi-Fi: cho phép sử dụng tốt tài nguyên mạng Wi-Fi định chuyển vùng cải thiện hiệu suất tổng thể Chuyển đổi dự phịng có kiểm sốt điều khiển không dây BỘ ĐIỀU KHIỂN THIẾT BỊ CHUYỂN MẠCH Mở rộng kiểm soát truy cập bảo mật cho thiết bị có dây cách quản lý thiết bị chuyển mạch Fortinet (FortSwitch) thông qua giao tiếp giống CAPWAP gọi FortiLink Tự động cung cấp firmware chuyển đổi ủy quyền Chuyển đổi cấu trúc liên kết: - đơn / xếp chồng đơn vị chuyển đổi - FortiGate chế độ HA với một/xếp chồng đơn vị chuyển đổi - FortiGate chế độ HA với chuyển mạch hai tầng (Tùy chọn: có vòng truy cập) - Máy chủ hai nhà kết nối với cặp thiết bị chuyển mạch MCLAG - Đơn vị FortiGate độc lập/chế độ HA với quyền truy cập FortiSwitch hai nhà - MCLAG nhiều tầng với đơn vị FortiGate chế độ HA Cổng chuyển đổi Tính năng: - Cài đặt PoE - Chặn DHCP rình mị IGMP - STP (trạng thái, BPDU, bảo vệ gốc) - Kiểm tra LLDP, IGMP, sFlow Dynamic ARP (DAIԼ - Phản chiếu cổng Chính sách an ninh cổng: - Chế độ dựa cổng 802.1x dựa MAC - Hạn chế loại khung phép thông qua cổng IEEE 802.1Q - Hỗ trợ tính tốn RADIUS - Bỏ qua xác thực MAC - Truyền qua EAP Thực thi sách NAC: sử dụng thơng tin người dùng thiết bị phát hiện, chẳng hạn loại thiết bị OS, để đặt lưu lượng truy cập vào VLAN cụ thể áp dụng cài đặt cổng cụ thể - Các điều kiện thuộc tính thiết bị: địa MAC, nhà cung cấp phần cứng, loại thiết bị, hệ điều hành hệ thống - Điều kiện dựa người dùng - Hành động: gán cho VLAN áp dụng cài đặt cổng cụ thể Cung cấp VLAN khách, lỗi xác thực cách ly QUẢN LÝ GIAO DIỆN WAN Hỗ trợ modem USB 3G/4G không dây WAN mở rộng modem (FortiExtender) Cài đặt modem 3G/4G: - Hỗ trợ chế độ giao diện WAN độc lập dự phòng - Chế độ quay số “Luôn kết nối” “Theo yêu cầu” - Giới hạn quay số lại định cấu hình Một số biến thể phần cứng hỗ trợ modem DSL và/hoặc 3G/4G tích hợp VẬN HÀNH CẤU HÌNH Quyền truy cập quản lý: HTTPS qua trình duyệt web, SSH, telnet, console Đăng nhập quản trị viên: - Hỗ trợ chứng ACME - Thực thi sách mật FortiExplorer: - Quản lý khách hàng tảng IOS - Dễ dàng sử dụng cách sử dụng kết nối USB - Cung cấp thông báo thiết bị di động (như phần tính tự động hóa) Tính năng: Chuyển đổi hiển thị thành phần GUI Cấu hình GUI: - Quyền truy cập 'Một cú nhấp chuột' giúp nhanh chóng chuyển quản trị viên sang bảng bước - Bộ chọn đối tượng động truy vấn tìm kiếm dự đốn Hỗ trợ ngơn ngữ quản trị giao diện người dùng web: tiếng Anh, tiếng Tây Ban Nha, tiếng Pháp, tiếng Bồ Đào Nha, tiếng Nhật, Tiếng Trung giản thể, tiếng Trung phồn thể, tiếng Hàn GHI NHẬT KÝ & BÁO CÁO Hỗ trợ phương tiện ghi nhật ký: Bộ nhớ cục & lưu trữ (nếu có), nhiều máy chủ nhật ký hệ thống, nhiều máy chủ FortiAnalyzer, WebTrends, dịch vụ lưu trữ FortiCloud Nhật ký hệ thống đáng tin cậy dựa RFC 3195/RFC6587 Nhật ký mã hóa & tính tồn vẹn nhật ký với FortiAnalyzer Tải lên nhật ký hàng loạt theo lịch trình, ghi nhật ký theo thời gian thực xếp hàng cục hệ thống bên ngồi kích hoạt có sẵn Nhật ký lưu lượng truy cập chi tiết: phiên chuyển tiếp, vi phạm, lưu lượng truy cập cục bộ, gói khơng hợp lệ Nhật ký kiện toàn diện: kiểm tra hoạt động hệ thống & quản trị viên, định tuyến & kết nối mạng, VPN, xác thực người dùng, kiện liên quan đến WiFi Tùy chọn định dạng nhật ký ngắn gọn Gửi nhật ký đến máy chủ nhật ký hệ thống Định dạng kiện chung (CEF) Tùy chọn phân giải tên cổng dịch vụ IP CHẨN ĐỐN Các lệnh CLI chẩn đốn, trình theo dõi phiên chụp để khắc phục cố vấn đề phần cứng, hệ thống mạng Chính sách Trình theo dõi GUI định tuyến Trình theo dõi CLI lưu lượng gói Bộ kiểm tra phần cứng CLI GIÁM SÁT Giám sát hệ thống SNMP: - Hỗ trợ SNMP v1 v2c - Triển khai SNMP v3 bao gồm hỗ trợ truy vấn, bẫy, xác thực quyền riêng tư - SNMP bẫy cảnh báo kiện đĩa nhật ký đầy vi-rút phát Giám sát luồng traffic: - sFlow phiên - Netflow 9.0 IPFIX, mở rộng cho FortiSwitch quản lý Màn hình đồ họa: Hệ thống thời gian thực, dịch vụ mạng trình xem trạng thái người dùng Bảng điều khiển: vật dụng bố cục tùy chỉnh CHÍNH SÁCH & KIỂM SỐT CHẾ ĐỘ CHÍNH SÁCH Đối tượng sách: nhóm đối tượng xác định trước, tùy chỉnh đối tượng Đối tượng địa chỉ: mạng con, IP, dải IP, GeoIP (Địa lý), FQDN, Động (dựa thẻ nhận từ hệ thống bên ngoài) địa MAC Dịch vụ Internet Cơ sở liệu cập nhật động cung cấp danh sách đám mây phổ biến ứng dụng với thông tin quan trọng chúng sử dụng để thiết lập sách, định tuyến liên kết cấu hình cân tải Chế độ sách NGFW: thiết lập sách với ứng dụng URL làm đối tượng Thông báo người dùng: thơng báo thay tùy chỉnh cho trang bị chặn tệp đính kèm Cách ly người dùng: - Được gán thủ công với thời lượng vĩnh viễn tùy chỉnh - Tự động kích hoạt cấu hình tự động hóa NHẬN DẠNG THIẾT BỊ Nhận dạng thiết bị: Dịch vụ DB truy vấn dựa đám mây, lấy dấu vân tay thiết bị hệ điều hành, tự động phân loại, quản lý tồn kho Thiết bị cho khả hiển thị Bộ điều khiển chuyển mạch LLDP-MED Phát giọng nói KIỂM TRA SSL Kiểm tra tùy chọn lưu lượng mã hóa SSL cho IPS, kiểm sốt ứng dụng, chống vi-rút, lọc web, DLP Sao chép SSL MITM Tùy chọn Phương thức kiểm tra SSL: Kiểm tra chứng SSL kiểm tra SSL đầy đủ Miễn kiểm tra SSL theo sở liệu trang web tin cậy, danh mục web và/hoặc địa sách BẢO MẬT CHỐNG PHẦN MỀM ĐỘC HẠI Chặn IP máy chủ Botnet với sở liệu danh tiếng IP toàn cầu Lựa chọn loại sở liệu chống vi-rút tùy thuộc vào mạng nhu cầu bảo mật Truy vấn sở liệu phòng chống bùng phát vi-rút: sử dụng tổng kiểm tra thời gian thực sở liệu mối đe dọa phát trước có chữ ký AV Tùy chọn giải giáp tái thiết nội dung: - AV Engine xóa tất nội dung hoạt động thời gian thực trước chuyển cho người dùng - Chuyển tiếp tệp gốc sang sandbox để phân tích thêm, cách ly loại bỏ Phát phần mềm độc hại dựa AI: mô-đun FortiGuard AV đào tạo để chống lại nhiều mẫu malware để xác định tính tệp tạo nên malware Các giao thức loại tệp kiểm tra AV: - Hỗ trợ HTTP, FTP, IMAP, POP3, SMTP, NNTP, MAPI, CIFS SSH - Quét lưu lượng mã hóa kiểm tra SSL - Các tệp lưu trữ bảo vệ mật - Grayware malware thiết bị di động Tùy chọn coi tệp thực thi Windows tệp đính kèm email vi-rút Kiểm tra tệp (yêu cầu lưu trữ cục bộ) cấm máy chủ bị nhiễm IPS VÀ DOS Công cụ IPS: 11.000 chữ ký cập nhật, phát giao thức bất thường, dựa tỷ lệ phát hiện, chữ ký tùy chỉnh, thủ công, tự động kéo cập nhật chữ ký đẩy, tích hợp bách khoa tồn thư mối đe dọa Hành động IPS: Mặc định, theo dõi, chặn, đặt lại cách ly IP kẻ công với thời gian hết hạn Lựa chọn dựa lọc: Mức độ nghiêm trọng, mục tiêu, OS, ứng dụng và/hoặc giao thức Tùy chọn ghi nhật ký gói (Các) IP miễn trừ khỏi chữ ký IPS định Bảo vệ DOS dựa tỷ lệ IPv4 IPv6 (có sẵn hầu hết kiểu máy) với ngưỡng cài đặt chống tràn TCP Syn, quét cổng TCP/UDP/SCTP, quét ICMP, TCP/UDP/SCTP/Ngập phiên ICMP (nguồn/đích) Chế độ nghe trộm IDS BẢO VỆ DNS Bộ lọc DNS: Lọc danh mục web dựa DNS bảo vệ mạng botnet - Hỗ trợ dịch DNS, danh sách chặn bên lọc tên miền tĩnh ĐIỀU KHIỂN ỨNG DỤNG Phát hàng nghìn ứng dụng 18 danh mục: Kinh doanh, CNTT tảng đám mây, Cộng tác, Email, Trị chơi, Sở thích chung, Di động, Dịch vụ mạng, P2P, Proxy, Truy cập từ xa, Truyền thông xã hội, Lưu trữ/Sao lưu, Cập nhật, Video/Âm thanh, VoIP, Web Trò chuyện Công nghiệp Hỗ trợ chữ ký ứng dụng tùy chỉnh Hỗ trợ nhiều tham số số chữ ký Hỗ trợ phát lưu lượng sử dụng giao thức HTTP/2 chặn lưu lượng QUIC để trình duyệt tự động chuyển HTTP/2 + TLS 1.2 Ghi đè dựa lọc theo: hành vi, danh mục, mức độ phổ biến, công nghệ, rủi ro, nhà cung cấp và/hoặc giao thức Hành động: Cho phép, chặn, đặt lại phiên (chỉ CLI), giám sát cách ly kẻ công Kiểm tra thực thi cổng: chặn ứng dụng phát cổng không mặc định Thực thi giao thức: đặt dịch vụ mạng thành cổng xác định Một vi phạm thiết lập để chặn Kiểm tra SSH Kiểm soát sâu ứng dụng dịch vụ đám mây công cộng phổ biến, chẳng hạn SalesForce, Google Docs Dropbox LỌC WEB & VIDEO Hỗ trợ chế độ kiểm tra lọc web: Dựa proxy, dựa luồng DNS Lọc web xác định thủ công dựa URL, nội dung web tiêu đề MIME Lọc web động với sở liệu phân loại thời gian thực dựa đám mây: - Hơn 250 triệu URL xếp vào 78 danh mục, 70 ngôn ngữ Bộ lọc dựa danh mục định cấu hình trước: "G", 'PG-13", "R" tùy chỉnh Thực thi Tìm kiếm An tồn: chèn thơng số Tìm kiếm An tồn vào truy vấn cách rõ ràng Hỗ trợ Google, Yahoo!, Bing Yandex, Bộ lọc Giáo dục YouTube xác định Ngăn chặn tránh proxy: Chặn danh mục trang web proxy, xếp hạng URL theo tên miền & địa IP, chặn chuyển hướng từ đệm trang dịch thuật, chặn ứng dụng tránh proxy (kiểm soát ứng dụng), chặn hành vi proxy (IPS) Lọc web danh mục cục & ghi đè danh mục định mức Ghi đè cấu hình lọc web: Cho phép quản trị viên tạm thời định cấu hình khác cho người dùng/nhóm người dùng/IP Hỗ trợ nhiều danh sách đen bên Chỉ hạn chế quyền truy cập vào Tài khoản doanh nghiệp Google Danh sách đen chứng URL: hữu ích để chặn giao tiếp botnet dựa SSL Các tính bổ sung cung cấp tính lọc web dựa proxy: - Lọc Java Applet, ActiveX và/hoặc cookie - Chặn đăng HTTP - Đăng nhập từ khóa tìm kiếm - Chặn chuyển hướng HTTP theo xếp hạng - Miễn quét kết nối mã hóa số danh mục định để bảo mật - Hạn ngạch duyệt web theo danh mục Lọc video: - Lọc video động với sở liệu phân loại thời gian thực dựa đám mây - Lọc video YouTube theo ID kênh - Thực thi cài đặt "Hạn chế truy cập YouTube" "Truy cập Vimeo" TƯỜNG LỬA Chế độ hoạt động: NAT/tuyến đường suốt (cầu nối) Lịch trình: lần, định kỳ Trình trợ giúp phiên ALG: DCE/RPC, DNS-TCP, DNS-UDP, FTP, H.245 I, H.245 0, H.323, MGCP, MMS, PMAP, PPTP, RAS, RSH, SIP, TFTP, TNS (Oracle) Hỗ trợ lưu lượng VoIP: SIP/H.323/SCCP NAT traversal, RTP pin holing Loại giao thức hỗ trợ: SCTP, TCP, UDP, ICMP, IP Chính sách dựa người dùng thiết bị Quản lý sách: Phần chế độ xem quản lý sách tồn cầu Bảng sách IPv4 IPv6 hợp VPN Cổng SSL VPN tùy chỉnh: chủ đề màu sắc, bố cục, dấu trang, công cụ kết nối, khách tải xuống Hỗ trợ lĩnh vực SSL VPN: cho phép nhiều thông tin đăng nhập SSL VPN tùy chỉnh liên kết với nhóm người dùng (đường dẫn URL, thiết kế) Dấu trang đăng nhập lần: sử dụng lại thông tin đăng nhập trước thơng tin đăng nhập xác định trước để truy cập tài nguyên Quản lý dấu trang cá nhân: cho phép quản trị viên xem trì dấu trang khách hàng từ xa Giới hạn người dùng đồng thời cổng SSL Tùy chọn đăng nhập lần cho người dùng: Ngăn chặn đăng nhập đồng thời tên người dùng Chế độ web SSL VPN: Dành cho máy khách từ xa trang bị trình duyệt web hỗ trợ ứng dụng web, chẳng hạn HTTP/HTTPS Proxy, FTP, Telnet, SMB/CIFS, SSH VNC, RDP, Citrix Chế độ đường hầm SSL VPN: dành cho máy tính từ xa chạy nhiều ứng dụng máy khách máy chủ, máy khách SSL VPN hỗ trợ MAC OSX, Linux, Windows Vista với hệ điều hành Windows 64 bit Chế độ chuyển tiếp cổng SSL VPN: sử dụng Java Applet cổng cục máy tính người dùng Khi nhận liệu từ ứng dụng khách, mơ-đun chuyển tiếp cổng mã hóa gửi liệu đến thiết bị SSL VPN, sau thiết bị chuyển tiếp lưu lượng truy cập đến máy chủ ứng dụng Kiểm tra tính tồn vẹn máy chủ kiểm tra hệ điều hành (chỉ dành cho thiết bị đầu cuối windows) trước kết nối chế độ đường hầm SSL Kiểm tra máy chủ MAC cổng Tùy chọn làm đệm trước phiên SSL VPN kết thúc VPN IPsec: - Hỗ trợ ngang hàng từ xa: máy khách quay số tuân thủ IPsec, ngang hàng với IP tĩnh/DNS động - Phương thức xác thực: Chứng chỉ, khóa chia sẻ trước - Chế độ IPsec Giai đoạn 1: Chế độ tích cực (bảo vệ ID) - Tùy chọn chấp nhận ngang hàng: Bất kỳ ID nào, ID cụ thể, ID nhóm người dùng quay số - Hỗ trợ IKEv1, IKEv2 (RFC 4306) - Hỗ trợ cấu hình chế độ IKE (như máy chủ máy khách), DHCP qua IPsec - Cổng IKE cấu hình - Mã hóa đề xuất Giai đoạn 1/Giai đoạn 2: DES, 3DES, AES128 AES192, AES256, ARIA128, ARIA192, ARIA256, HẠT GIỐNG - Xác thực đề xuất Giai đoạn 1/Giai đoạn 2: MD5, SHA1, SHA256, SHA384, SHA512 - Giai đoạn 1/Giai đoạn nhóm Diffie-Hellman hỗ trợ: 1, 2, 5, 14 đến 21, 27 đến 32 - Hỗ trợ Suite-B: GCM128 GCM256 - Hỗ trợ ChaCha20/Poly1305 PRF: SHA1, SHA256, SHA384 SHA512 - Hỗ trợ XAuth chế độ máy khách máy chủ - XAuth cho người dùng quay số: Tùy chọn loại máy chủ (PAP, CHAP, Tự động), tùy chọn NAT Traversal - Hết hạn khóa mã hóa IKE định cấu hình, tần suất lưu giữ truyền tải NAT - Phân mảnh IP trước/sau đóng gói IPsec - Phát ngang hàng chết - Phát lại - Autokey giữ nguyên cho Giai đoạn SA Hỗ trợ FQDN cho cổng từ xa Trình hướng dẫn cấu hình IPsec để chấm dứt với thiết bị phổ biến bên thứ ba Đường hầm IPsec Aggregate: thiết lập dự phòng cân tải lưu lượng - thuật tốn cân tải gói: theo địa IP, thông tin L4 (trọng số) - round-robin Bộ điều khiển lớp phủ VPN/VPN lần nhấp hỗ trợ đám mây: dễ dàng định cấu hình - VPN trung tâm nói (với tùy chọn ADVPN) - Lưới VPN (có tùy chọn ADVPN) - Tích hợp cấu hình SD-WAN - Hỗ trợ kết nối VPN Khách tới cổng hub Các chế độ triển khai IPsec VPN: Gateway-to-gateway, hub-and-spoke, full mesh, backuptunnel, kết thúc VPN chế độ suốt Tùy chọn cấu hình IPsec VPN: Dựa tuyến dựa sách Tự động khám phá VPN (ADVPN): Tự động thiết lập đường hầm trực tiếp (được gọi lối tắt) điểm kiến trúc Hub Spoke truyền thống - Sử dụng UDP cho điểm sau NAT Giám sát VPN: Xem quản lý chi tiết kết nối IPsec SSL VPN Hỗ trợ VPN khác: Máy khách L2TP (trên kiểu chọn) chế độ máy chủ, L2TP qua IPsec, PPTP, GRE IPEC LỌC EMAIL Hỗ trợ giao thức thư: IMAP(S), POP3(S) SMTP(S) Truy vấn sở liệu chống thư rác: kiểm tra địa IP, kiểm tra URL tổng kiểm tra email Lọc thư rác cục bộ: Tra cứu DNS HELO, trả lại kiểm tra DNS email Danh sách đen/trắng MẠNG ĐỊNH TUYẾN / NAT Định tuyến tĩnh sách Các giao thức định tuyến động: RIPv1 v2, OSPF v2 v3, ISIS, BGP4 Định tuyến nội dung: WCCP ICAP Cấu hình NAT: Bảng NAT trung tâm dựa sách Hỗ trợ NAT: NAT64, NAT46, NAT tĩnh, NAT động, PAT, NAT hình nón đầy đủ, STUN Lưu lượng phát đa hướng: chế độ thưa thớt dày đặc, hỗ trợ PIM L2 / CHUYỂN ĐỔI Các chế độ giao diện lớp 2: Cổng tổng hợp, loopback, VLAN (802.1Q Trunking), phần cứng ảo, phần mềm chuyển mạch VLAN Hỗ trợ EMAC-VLAN: cho phép thêm nhiều địa Lớp (hoặc địa MAC Ethernet) vào giao diện vật lý Hỗ trợ VXLAN: - interVTEP (Điểm cuối đường hầm VXLAN) - Hỗ trợ nhiều IP từ xa, IP từ xa IPv4 unicast, IPv6 unicast, IPv4 multicast, IPv6 phát đa hướng Cặp dây ảo: - Chỉ xử lý lưu lượng giao diện định phân đoạn mạng - Khả dụng Chế độ suốt NAT/tuyến đường - Tùy chọn triển khai thiết lập VLAN ký tự đại diện KIỂM TRA NGOẠI TUYẾN Chế độ nghe trộm: Dành riêng giao diện tất lưu lượng truy cập vào giao diện xử lý trình nghe Kiểm tra bảo mật ngoại tuyến: AV, Lọc web, Kiểm soát ứng dụng, IPS Chống thư rác SD WAN Các thuật tốn cân tải WAN (có trọng số) theo: khối lượng, phiên, IP nguồn-đích, IP nguồn hiệu ứng lan truyền Liên kết WAN kiểm tra SLA: - Đầu dò Ping HTTP - Giám sát tiêu chí bao gồm độ trễ, jitter gói - Khoảng thời gian kiểm tra định cấu hình, ngưỡng lỗi - Dịch vụ giám sát băng thơng SD-WAN dựa đám mây Đo lường tình trạng mạng WAN thụ động: xác định phép đo kiểm tra tình trạng cách sử dụng thơng tin phiên ghi lại sách tường lửa Trí thơng minh đa hướng sử dụng quy tắc xác định bởi: - Địa nguồn và/hoặc nhóm người dùng - Địa đích và/hoặc lựa chọn 3.000 ứng dụng - lựa chọn đường dẫn sử dụng tiêu chí chất lượng liên kết cụ thể SLA xác định Định hình lưu lượng QoS sách ứng dụng: Định hình sách chia sẻ, định hình cho IP, định hình lưu lượng dựa giao diện, băng thông tối đa đảm bảo, kết nối đồng thời tối đa IP, ưu tiên lưu lượng, Loại dịch vụ (TOS), Dịch vụ khác biệt (DiffServ) Forward Error Correction (FEC) để hỗ trợ VPN Sao chép gói tin: - Các gói chép liên kết tốt khác vùng SD-WAN loại bỏ trùng lặp FortiGate đích - Có thể kích hoạt quy tắc SD-WAN, nguồn, đích thơng số dịch vụ - Hỗ trợ qua đường hầm IPsec quay số tổng hợp Tùy chọn thiết lập cấu hình định hình lưu lượng cách xác định tỷ lệ phần trăm băng thông giao diện cho lưu lượng phân loại sau liên kết với giao diện Chính sách định hình lưu lượng: Chỉ định cấu hình hình dạng lưu lượng truy cập theo sách phù hợp dựa nguồn, đích, dịch vụ, ứng dụng, danh mục ứng dụng và/hoặc danh mục URL DSCP hỗ trợ: - DSCP phù hợp với quy tắc SD-WAN - Gắn thẻ DSCP gói chuyển tiếp dựa ứng dụng xác định Cấu trúc liên kết tối ưu hóa mạng WAN nội tuyến ngoại tuyến, ngang hàng hỗ trợ khách hàng từ xa Tùy chọn Chế độ suốt: giữ địa nguồn ban đầu gói, để máy chủ dường nhận lưu lượng truy cập trực tiếp từ máy khách Các kỹ thuật tối ưu hóa mạng WAN: Tối ưu hóa giao thức nhớ đệm byte Các giao thức tối ưu hóa mạng WAN hỗ trợ: CIFS, FTP, HTTP(S), MAPI, TCP Tùy chọn Đường hầm an toàn: Sử dụng SSL AES-128bit-CBC để mã hóa lưu lượng đường hầm tối ưu hóa mạng WAN Tùy chọn chia sẻ đường hầm: Nhiều phiên tối ưu hóa WAN chia sẻ đường hầm Bộ nhớ đệm web: Bộ nhớ đệm đối tượng giúp tăng tốc ứng dụng web máy chủ web cách giảm mức sử dụng băng thông, tải máy chủ độ trễ cảm nhận Hỗ trợ nhớ đệm Các trang web HTTP 1.0 HTTP 1.1 Giảm tải SSL với nhớ đệm Web: - Chế độ đầy đủ: thực giải mã mã hóa lưu lượng HTTPS - Chế độ nửa: thực hành động mã hóa giải mã Tùy chọn miễn trừ số trang web định khỏi nhớ đệm web mẫu URL Hỗ trợ tùy chọn cấu hình nhớ đệm web nâng cao: - Ln xác thực lại, Kích thước đối tượng đệm tối đa, thời lượng phản hồi phủ định, hệ số mới, tối đa/tối thiểu/mặc định TTL, FQDN proxy, độ dài tin nhắn/yêu cầu HTTP tối đa, tùy chọn bỏ qua, đệm đối tượng hết hạn, xác nhận lại prama-no-cache Tối ưu hóa mạng WAN giám sát đệm web PROXY RÕ RÀNG Web & FTP proxy rõ ràng: ủy quyền FTP, HTTP HTTPS nhiều giao diện Tự động cấu hình proxy (PAC): Cung cấp cấu hình proxy tự động cho proxy web người dùng rõ ràng Xâu chuỗi proxy: Chuyển tiếp proxy web để chuyển hướng phiên proxy web sang proxy máy chủ khác Giám sát máy chủ chuyển tiếp proxy web kiểm tra sức khỏe Khả phản ánh IP Cân tải cho proxy chuyển tiếp chuỗi proxy Xác thực proxy web rõ ràng: xác thực dựa IP xác thực theo phiên Proxy web minh bạch Hỗ trợ xác thực người dùng SAML IPV6 Hỗ trợ IPv6: Quản lý qua IPv6, giao thức định tuyến IPv6, đường hầm IPv6, tường lửa UTM cho lưu lượng IPv6, NAT46, NAT64, IPv6 IPsec VPN Hỗ trợ IPv6 SD WAN: Màn hình liên kết Ping6, đối tượng đích nguồn IPv6 Hỗ trợ đầy đủ lưu lượng IPv6 máy khách không dây SSID từ chế độ đường hầm cầu cục TÍNH KHẢ DỤNG CAO Các chế độ khả dụng cao: Chủ động-thụ động, tích cực-tích cực, cụm ảo, VRRP, FG 5000 phân cụm hàng loạt Giao diện nhịp tim dự phòng Giao diện quản lý dành riêng HA Chuyển đổi dự phòng: - Giám sát cổng, liên kết cục từ xa - Chuyển đổi dự phòng trạng thái - Chuyển đổi dự phịng thứ hai - Thơng báo phát lỗi - Khi mức sử dụng nhớ vượt ngưỡng khoảng thời gian cụ thể Tùy chọn triển khai: - HA với tập hợp liên kết - HA toàn lưới - HA phân tán mặt địa lý Đồng hóa phiên độc lập - Hỗ trợ kiểm tra bảo mật lưu lượng truy cập bất đối xứng, phiên TCP, UDP, ICMP phiên NAT - Đồng hóa cấu hình FortiGate tương tự DỊCH VỤ MẠNG THIẾT YẾU Tích hợp DHCP, NTP, Máy chủ DNS proxy DNS Dịch vụ FortiGuard NTP, DDNS DNS HỖ TRỢ NỀN TẢNG THIẾT BỊ VẬT LÝ (+SPU) Tích hợp với thành phần SPU để tăng tốc xử lý lưu lượng HỆ THỐNG ẢO Hệ thống ảo (Miền ảo FortiOS) chia đơn vị FortiGate thành hai nhiều phiên ảo FortiOS hoạt động riêng biệt quản lý độc lập Quản lý giới hạn tài nguyên hệ thống ảo định cấu hình, chẳng hạn tối đa/'phiên hoạt động' đảm bảo quota đĩa đăng nhập Các chế độ hoạt động VDOM: NAT/Route Trong suốt Chia VDOM: Các VDOM riêng biệt cho quản lý đường dẫn liệu Định tuyến chuyển tiếp ảo (VRF): - Khả rò rỉ định tuyến VRF xác định cục (VRF-lite) - Hỗ trợ tĩnh, OSPF, IBGP EBGP ... lưu lượng mạng THƠNG SỐ KỸ THUẬT Bảo mật fabric TÍCH HỢP HỆ THỐNG Ghi nhật ký bảo mật Fabric: - Đồng hóa ghi nhật ký vào cấu hình FortiAnalyzer FortiGate - Trao đổi liệu (thông tin cấu trúc liên... thị danh sách máy chủ dễ bị tổn thương lỗ hổng chúng thông qua phép đo từ xa với FortiClient Hiển thị danh sách máy chủ bị xâm nhập thông qua thông tin FortiAnalyzer cung cấp Tích hợp phân tích... Hỗ trợ chế độ giao diện WAN độc lập dự phịng - Chế độ quay số “Ln kết nối” “Theo yêu cầu” - Giới hạn quay số lại định cấu hình Một số biến thể phần cứng hỗ trợ modem DSL và/hoặc 3G/4G tích hợp