公司簡介 代理產品 活動快訊 eDM電子報 聯絡我們
Products|ArborExtremeF5networksFortinetGigamonN-PartnerNutanixRiverbedSymantec
活動訊息
內網安全白皮書免費下載
產品型錄
Fortinet 新世代資安平台
FortiGate-100D
FortiGate-200D
FortiGate-300D
FortiGate-600D
FortiGate-800D
FortiGate-1200D
FortiGate-1500D
FortiGate-3000D
FortiGateRugged-60D
FortiGateRugged-90D
FortiSandbox
FortiWAN
FortiWeb
FortiAP Indoor
FortiAP Outdoor
FortiAP Remote
解決方案
Fortinet 安全織網
ATP 進階威脅防護架構解決方案
保護企業網路安全的新方法:內網安全防火牆
安全存取架構解決方案:具完整安全防護機制的企業網路存取系統
整合式安全存取部署:安全就地管理無線區域網路解決方案
ATP 進階威脅防護購買者指南
進階威脅防護方案-沙盒技術
IDC成熟度報告系列網路安全成熟度的五個階段
2016 年無線網路安全調查
FortiGate 新世代資安平台 5.4版
新聞中心
2017/2/6 Fortinet推出FortiOS 5.6強化安全織網架構 為基於意圖的網路安全奠定基礎
2016/12/5 Fortinet預測2017為網路安全引爆年
2016/11/21 Fortinet Security 361°資安防禦明燈
2016/9/29 IDC研究資料再次確認Fortinet為網路安全市場的領導者
2016/6/20 Fortinet提出10大原則
2016/6/13 Fortinet宣佈收購AccelOps
2016/5/4 Fortinet公佈Security Fabric網安架構
2016/3/28 Fortinet NGFW獲NSS Labs推薦
2016/2/26 Fortinet 推出最新FortiOS 5.4
2016/2/22 FortiOS 5.4能部署內網隔離和安全存取機制
2016/1/18 逸盈科技正式成為 Fortinet 公司臺灣授權代理商

 

Fortinet專頁

www.fortinet.com 台灣

 

 

Fortinet內網安全防火牆 ( ISFW, Internal Segmentation Firewall )

進化中的持續威脅,不只來自Internet而已

手持行動裝置的普及,甚至是現在時興的物聯網( Internet of Things)裝置,都能輕易跨越閘道防火牆的控管直接進入內部網路,甚至已經成為駭客的跳板裝置而不自知,從而在內部網路中秘密竊取資料或發動攻擊,這些都是IT部門應積極思考補救與強化的重點!當攻擊在內部網路悄悄進行時,閘道防火牆是完全無從得知的,原因顯而易見,因為流量是在內網之間流竄,未曾經過對外的閘道設備,所以許多威脅攻擊能成功,都是因為內網間暢通無阻的環境,因而產生的後遺症!

挑戰:為什麼僅依賴周邊防線的時代已經過去

  1. 威脅的次數、複雜性及衝擊度與日俱增。在今天的環境中,企業網路的存取點持續成倍增加。行動力技術、智慧型裝置和雲端都意味著不斷擴大的攻擊面,也表示能夠進入網路的複雜威脅將會越來越多。
  2. 內部網路是個扁平、開放式的結構。為了提升靈活性及應變力,網路已趨向扁平化及更開放的結構發展。大多數內部網路中採用的是基本的安全配置,並只限於虛擬局域網路和第 4 層存取清單。因此,一旦越過安全防線之後,駭客便能輕易擴散,並對憑證、資源及數據資料予取予求。內部網路如缺乏安全基礎設施,也會大大限制企業對可疑的流量行為與資料流的可見度,進而減低其偵測出安全漏洞的能力。
  3. 單憑虛擬局域網路(VLAN)分隔策略是不夠的。以往,內部網路分隔策略利用部署 VLAN 的方式進行,其中 VLAN 的內部通信透過路由功能執行。VLAN 分隔可將一個簡單威脅的擴散範圍局限於同一 VLAN 內的成員。但是,較複雜的威脅仍能輕易在 VLAN 之間散佈,因為路由器並不是安全設備,也沒有能有效識別及阻擋威脅所需的安全服務及認知。VLAN 分隔模式的擴充能力也極有限,最高只能支援至 4K VLAN,而這將會限縮現今可能包含數千部伺服器及虛擬機器的企業環境所需要的微分隔層級。

解決方案:Fortinet 內網安全防火牆

為了幫助克服上述挑戰,企業可以在內網中的重要位置點部署一種新型態的防火牆 - 內網安全防火牆,其解決方案可提供一個擁有多項獨特優點的額外安全層,用於輔助現有的邊界防護機制。
優點一:透過政策主導的隔離方式將關鍵資源 / 資產的存取控制在盡可能接近用戶的位置
優點二:建立安全屏障,透過具備進階安全機制的實體隔離方式,遏阻及限制內部網路中不受控制的威脅擴散與駭客活動
優點三:將威脅的潛在損害限縮在周邊以內
優點四:提高威脅的可見度,並提升發現及修補安全漏洞的能力
優點五:強化企業的整體安全態勢

威脅的可見度及隔離

Fortinet 的內網安全防火牆可提供由內至外的智慧型、自適應威脅防禦,以縮短漏洞空窗期及降低損害。Fortinet 的內網安全防火牆可利用網路隔離、可操作的安全及完整的登記與審核措施來緩解威脅並保護重要的資產及資料。 從 FortiView 之類的可見度組件到應用控制(ApplicationControl)之類的安全控制,以及FortiGuard 經驗證的威脅情報,企業可以隨時提高對整個網路中任何動態的感知度

Fortinet 的內網安全防火牆可提供涵蓋整個內部網路的更強大可見度,與現有的次世代防火牆邊緣部署相輔相成。當駭客從網路內部一個被入侵的主機擴散至其它主機,試圖尋找有價值的資產及資料時,Fortinet 的內網安全防火牆解決方案可將內部網路區隔分段,以限制駭客與惡意程式碼的側向移動及散播。這種交互運作的方式可為整個攻擊面帶來無懈可擊的全面安全性,抵禦端對端跨越全網路的一致威脅態勢。

為何 Fortinet 內網安全防火牆 (ISFW) 是最佳的選擇

為了彌補閘道端設備的不足,應該針對內部的重要部門、無線網路服務及伺服器主機群,佈署內網安全防火牆(Internal Segmentation Firewall),這樣一來,將能大幅提昇您的內網安全防護達到與閘道端一樣的水平。

由於內部網路使用上與管理上的需求特性,在選擇內網防火牆時,應該評估下列幾項重點:

  • 資安防護能力強
  • 足夠的網路連接埠與超高的處理效能
  • 極低的網路延遲(Latency)

唯有全部滿足上述需求,才能滿足提昇與強化內網安全防護的能力,同時不會成為效能上的瓶頸!

FortiGate新世代資安平台,透過全新升級的FortiOS與FortiASIC晶片,將已經十分完善的資安平台,再推升至前所未有的卓越境界,FortiGate新世代資安平台具備以下幾項特點:

  • 驚人的FW處理效能:24Gbps ~ 150Gbps。
  • 非常低的網路延遲:3 μs ~ 5 μs。
  • 超高密度的網路連接埠:多達20埠以上。
  • 威脅防護能力獲得NSS Labs與ICSA Labs多次指名推薦。

Fortinet 內網安全防火牆解決方案的優點

輕鬆部署
利用預設的虛擬線路模式,能夠將 Fortinet 內網安全防火牆迅速部署至現有的環境,同時不會造成過多的干擾。這意味著 IT 人員可以在最小的設定要求下輕鬆完成部署,而無需重新設計現有的網路。

線速級性能
Fortinet 內網安全防火牆擁有高達數千兆位的運作速度,可提供深度的封包/連線檢測而不會拖慢內網速度。我們的內網安全防火牆可發揮極高的性能,以滿足內部東西向流量的需求

即時的安全防護
Fortinet 的內網安全防火牆可提供全方位的進階安全服務(IPS、應用可見度、防病毒、防垃圾郵件、整合沙箱功能以提供進階威脅防護),促進內部網路內的政策執行。即時的可見度與安全防護是限制惡意程式在網路內部散佈的關鍵條件。

 

Fortinet 沙盒技術為企業組織
提供免於進階攻擊威脅 ( APT )

為何需要沙盒技術的防護?

企業組織遭到進階持續性威脅攻擊 ( APT攻擊 ) 的新聞事件層出不窮,引發熱烈討論對抗APT攻擊的最新法寶 就是沙盒技術。為什麼呢?為什麼要靠沙盒技術?沙盒解決方案如何補強您現有的多層資安防護機制呢?

沙盒技術能夠洞見風險,探索問題。

我們居住的世界並非只有黑與白,也不是所有事物僅善與惡。網路使用的程式碼有好有壞,有些夾帶了惡意程式碼,另外還存在許多未知的程式碼。為防止自家組織受到惡意程式碼的攻擊,您可能使用多道資安技術,也可能使用了某些技術來辨識非惡意程式碼。然而,您的組織跟其他多數組織一樣,仍然面臨著極大的未知風險。

沙盒技術解決方案如何強化現有的多層資安防護機制?

讓我們透過網路攻擊的循環及保護組織的過程,了解資安技術如何發揮功能?

第一步:駭客開始勘查目標對象,發出一封精心設計的電子郵件,裡頭通常夾帶著一個惡意連結(或檔案)。這封電郵進到目標對象的信箱後,反垃圾信件/反網路釣魚的軟體就會把它阻擋下來。萬一軟體阻擋失敗,電郵就會流向駭客的目標對象,等待目標對象點選電郵內夾帶之惡意連結。

第二步:一旦目標對象點開了連結,資料就會流向某個網站進而建立通訊,此時,網頁過濾器就會阻擋該流量。可是如果過濾器沒有發揮功能,該惡意網站就會開始攻擊目標對象的組織。

第三步:通常這些惡意網站會對目標發起漏洞攻擊,接著駭入系統,此時,入侵防禦系統 ( IPS ) 會啟動阻擋這些攻擊。一旦阻擋失效,這些惡意網站和組織內部系統之間就會建立起惡意隧道連線,進而向組織內部系統發送惡意軟體。

第四步:當這些惡意軟體試圖入侵時,理想狀況是防惡意軟體會保護您的系統,但如果防惡意軟體沒有發揮功能,駭客就會透過系統的漏洞送出執行程式碼。

第五步:惡意程式碼進入系統開始運作後,就會想辦法存取憑證,接著橫向移動,針對組織內部的機敏資訊進行搜尋、收集、使用。惡意程式碼的任務就是要將這些資料傳送到外部的命令與控制伺服器,要阻撓惡意程式碼成功執行任務,企業組織就得靠應用控制、I P 黑名單技術、僵屍網路 ( Botnet ) 及其他的防護機制,如果這些防護技術無法阻撓惡意程式碼,您的資料就會外洩!

雖然垃圾郵件過濾、網頁內容過濾、防毒軟體、應用控制與I P 黑名單技術等都是必要的防護機制,但還是無法擋下當前最複雜精密的攻擊。這些防護機制僅能透過已知的攻擊指標 ( 就算數目很多 ) 來辨識攻擊,像是:特徵值、探測技術或黑名單方式等。

然而新型態的攻擊會隨時出現,也可能經過偽裝再以隧道連線、甚至加密或其他方式入侵,這時就會出現重大的危機。如果您將沙盒技術納入於防護機制中,就可多一層資安防護,即便今天出現了新型的惡意程式碼,有了沙盒技術就不擔心;沙盒技術會將惡意程式碼引入沙盒,讓惡意程式碼無所遁形。

何謂沙盒技術?

沙盒透過模擬建置出終端使用者的執行環境,使用者可以在這個安全隔離的環境下執行程式碼,並根據程式碼所執行的活動而非其屬性來進行觀察與分級。使用者可將隱藏的惡意軟體困在沙盒裡,開啟執行檔、開放密閉的網路流量等等。使用者並可在沙盒的安全環境下執行、觀察惡意程式碼的運作,例如:執行檔案/磁碟的存取行為、網路連線、微軟註冊機/系統組態變更等。為了分析惡意軟體,沙盒會模擬不同的操作系統與技術,執行多個程式碼評估程序,執行的先後順序則是根據惡意軟體在不同組態下的活躍程度來排定,進而加速辨識惡意程式碼。

透過沙盒技術,搭配下一代防火牆 ( NGFW )、統一威脅管理 ( UTM )、電子郵件安全閘道方案及端點防護平台等威脅防護機制的執行能力,將使得偵測能力更上層樓。以 Fortinet 為例,其解決方包含網路進出點與企業內部檢測點,能夠主動地事先過濾流量,盡可能先行阻攔 ( 已確定或高度可疑的流量 ),將未知或不確定的流量送至沙盒進一步審查,並排定執行的先後順序。此搭配方式能夠讓每種產品盡其所長,以此為例,經由其他技術先行把關之後,沙盒就不需耗時處理流量與威脅。

Fortinet先進威脅防護框架(ATP Framework)

進階威脅防護框架 建構完善的防護機制

Fortinet深知「APT進階持續性滲透攻擊」與「零時差攻擊」的嚴重性與複雜性,因而明確指出沒有一種「金鐘罩」能夠完全保護組織不受各種先進鎖定目標式攻擊的威脅。惡意程式的快速更新、頻繁的零時差攻擊,以及新興的規避技術都可以讓任何單一的防護方法失去效果。最有效的防禦反而是建立在緊密且可延伸的防護框架上,這種框架整合了最新的資安防護能力,以及根據最新偵測到的威脅產生具有即時資安防護能力的自動化學習機制,才能因應目標式攻擊的鎖定,讓威脅防禦能力與時俱進!

Fortinet先進威脅防護框架(ATP Framework)是同時擁有「預防、偵測、緩解」的完整網路安全防禦架構。由於知曉有太多手法是駭客得以用來入侵網路的手段,Fortinet的先進威脅防護框架結合一系列最新技術來防堵駭客入侵,無論他們的入侵方式是透過網路、E-mail、網頁應用程式或是用戶端。已知的威脅在「預防層」將被有效阻止,能夠很大比例的阻絕各種威脅。而針對未知威脅,則會透過「偵測層」來強化預防技術的不足,發現網路上任何可疑的入侵行為。一旦可疑的樣本被確認為病毒,「緩解層」就會採取進一步的應對措施。同時間,未知威脅會被納入已知威脅名單中,在下一次同樣攻擊入侵網路時,「預防層」就可以有效地即時防堵。由於這三個階層的環環相扣,又彼此間相互合作,消除了在防護框架中可能被利用的弱點,達到了最佳的安全防護架構。

Fortinet 先進威脅防護框架(ATP Framework),在2016年3月底率先取得ICSA Labs的Advanced Threat Defense認證,在連續33天的測試中,以高達99.6%的偵測能力,超越其他受測品牌,獲得ICSA Labs的肯定!!

雖然 Fortinet解決方案裡有許多專門技術,但是Fortinet之所以能夠事先阻擋惡意的進階軟體,背後最大功臣是:由FortiGuard Labs 所開發出來的密緻型模式識別語言 ( Compact Pattern Recognition Language,簡稱CPRL ),這項專利技術會對程式碼進行深層檢測。CPRL可以辨識50,000 種以上惡意程式碼的偽裝。如果程式碼使用已知的入侵技術,CPRL可以先將它找出來,不用將程式送到沙盒, 因為FortiGate就能直接辨識,沙盒 便可以把省下來的資源用於處理未知的程式碼,大幅提升沙盒技術的效能。這項技術是 FortiGate以及 FortiMa il、FortiClient等產品的重要核心要素,也由於這項技術,我們提供的解決方案常常在Virus Bulletin、AVCom paratives 等第三方測試中獲得滿分。

全自動聯防機制

APT攻擊的手法變幻莫測,往往在一日之內即可變化多種攻擊手法,為了有效遏止攻擊的持續,我們無法再透過漫長的等待,苦候各種傳統防護機制(例如:入侵偵測、防毒牆等)發佈更新的特徵碼。

Fortinet的ForitSandbox本地沙箱分析機制,能在沙箱環境中發現惡意程式後,自動產生針對該惡意程式的防護特徵碼,並能主動更新至Fortinet 先進威脅防護框架中的各種防護裝置,像是:FortiGate新世代資安防護平台、FortiWeb、FortiMail與FortiClent,讓您的資安防護真正具備零日攻擊(Zero-Day Attack)與各種未知攻擊手法的防護能力。

效益

* 避 免 進 階 攻 擊 造 成 資 料 外 洩
* 偵 測 A P T 攻 擊 偵 測 A P T 攻 擊
* 找 出 過 往 未 知 的 惡 意 軟 體
* 有 效 阻 擋 更 多 魚 叉 式 網 路釣 魚 攻 擊
* 有 效 提 升 您 的 N G F W 、 U T M 、或 者 電 子 郵 件 安 全 方 案

逸盈科技股份有限公司
網路系統整合與資安設備代理商
台北電話:(02)6636-8889   新竹電話:(03)621-5128
台中電話:(04)3606-8999   高雄電話:(07)862-8889
gigamon 逸盈科技代理N-Partner
歡迎加入逸盈粉絲團