FortiDDoS データシート

Transcription

1 200B 400B 800B 1000B 1200B DDoS(Distributed Denial of Service) 攻撃は 依然として IT セキュリティに対する最大の脅威となっており 重要なオンラインサービスを停止させることを目的としてあらゆる面で巧妙化が進んでいます 1 つの問題が ある特定のテクノロジーと結びつくことなくこれほどまでに活発で広範囲に及んだことは一度もありません 政治的ハッカーやサイバーテロリストが お客様のネットワークへのアクセスを阻止するために悪用できるツール群は ほぼ無限に存在すると言っても過言ではありません 巧妙化した DDoS 攻撃は レイヤー 4 の帯域幅占有型攻撃だけでなく レイヤー 7 の DNS サービスも標的にするようになっており 規模がはるかに小さいこれらの攻撃をクラウドベースの減災対策で検知するのは困難です このような攻撃に対抗するためには 攻撃のレベルと同様にダイナミックで広範囲なソリューションが必要です フォーティネットの 攻撃ミティゲーション ( 減災 ) アプライアンスは ビヘイビアベースの攻撃検知メソッドと SPU(Security Processing Unit) を使用した 100% ハードウェアベースの検知と減災によって 今日の市場でもっとも高速な最先端の DDoS 攻撃の減災を実現します DDoS DDoS 対策において 100% SPU のアプローチを採用する唯一の企業であるフォーティネットの製品では CPU または CPU / ASIC ハイブリッドシステムのようなパフォーマンスの低下が発生することはありません 独自の SPU-TP2 プロセッサはレイヤー 3 4 および 7 のインバウンドとアウトバウンドの両方のトラフィックのインスペクションが可能であるため 高速の検知 / 減災と 業界トップレベルの比類ない低レイテンシを実現します 主にシグネチャベースのマッチングに依存している競合製品に対して は脅威を特定するためにヒューリスティック / ビヘイビアベースの方式を 100% 使用します では 攻撃パターンを特定するためのシグネチャを事前に定義する必要はなく 超並列コンピューティングアーキテクチャを使用することで 攻撃を受けていない平常時のアクティビティのベースライン ( 基準 ) を数十万ものパラメータから作成し そのベースラインに照らしてトラフィックを監視します 攻撃が始まると はそのビヘイビアを異常と判断して即座に減災策を実行します 100% ハードウェアベースのレイヤー 3 4 および7のDDoS 攻撃の特定と減災 100% ビヘイビアベースのDDoS 攻撃検知 IPアドレスもMACアドレスもデータパスにないため 攻撃者からは完全に不可視 はレイヤー 3のルーティングデバイスでも終端デバイスでもありません 高度なDNS DDoS 減災機能をほとんどのモデルで利用可能 オープンシグナリングにより オンプレミス / クラウドの両方に対応するハイブリッド減災機能を利用可能 継続的な脅威評価機能により 誤検知 を最小限に抑制 シングルパスアーキテクチャによって数十万ものパラメータを同時に監視 : 超並列コンピューティングMSSPポータルから顧客向けの再販が可能 FortiCare Worldwide Support support.fortinet.com DATA SHEET

2 ではシグネチャファイルの更新を待つ必要がないため 既知の攻撃だけでなく ゼロデイ 攻撃からも保護されます は 他のソリューションと異なる独自の攻撃減災を行います 他の DDoS 攻撃減災プライアンスでは 一度攻撃が始まるとその脅威が 100% ブロックされ その送信先 IP へのトラフィックの速度が制限されるため 善良な トラフィックの速度制限による悪影響も受けることになります あるイベントが 誤検知 された場合 すべてのトラフィックが影響を受けるため 管理者による手動での介入が必要になります これに対し はまず通常のトラフィックを監視し 送信元追跡 ( トラッキング ) を使用して 問題を引き起こしている最大 600 万の送信元 IP アドレスを検知するという より精度の高い脅威検出アプローチを採用しています は 有害な送信元 IP アドレスをブロックし ユーザーの設定した間隔で攻撃を再評価します このような有害な送信元 IP アドレスからの攻撃が再評価サイクルにわたって継続する場合 ブロック期間が攻撃終息まで延長されます 送信先 IP が速度制限されることはほとんどなく 有効な送信元 IP は常に許可されます は 帯域幅占有型攻撃 レイヤー 7 アプリケーション攻撃 DNS 攻撃 そして SSL / HTTPS 接続攻撃などのあらゆる DDoS 攻撃に対する防御機能を提供します 使い古された手口から最新のアプリケーションレイヤーの攻撃に至るまで は万全の対策でお客様を脅威から保護します 古いタイプでありながら 今もなお猛威をふるい続けています もっともシンプルなタイプの攻撃の場合は ISP によって阻止されますが 最近ではより複雑なアプリケーションレベルの攻撃を隠ぺいする目的で使用されることが増えています の送信元追跡 ( トラッキング ) は 問題を引き起こしている送信元 IP アドレスをブロックすると同時に 善良な トラフィックを通過させることができます この 独自の優れた処理機能によって 必要な保護が提供されるだけでなく 誤検知 の影響で 善良な クライアントトラフィックを遮断してしまう可能性が最小限に抑制されます 7 これは急速に増加している DDoS 攻撃です この攻撃は サービス内またはサーバー内の脆弱性を悪用してリソースを使い尽くし 利用できない状態にします これらのタイプの攻撃は ほとんどの場合に ISP のレイヤー 3 と 4 の減災機能を回避して ネットワークに直接侵入します レイヤー 7 攻撃は サービスレベルでの異変を引き起こします は このような異変を検知し 減災対策を実行します SSL 通常 マルウェアのインジェクションを目的とする単一セッションの DoS 攻撃です SSL DDoS 攻撃の頻度は多くありません これは マルチソース SSL 攻撃ではより多くの攻撃者リソースが必要になるほか 攻撃者のサーバーやボットの送信元 IP が明らかになり 永続的なブロックが可能になるためです は 新規接続数 接続 / 送信元 SNI ホストフラッド攻撃 低速接続 一意の送信元の数など 暗号化されていないパラメータからの挙動の変化によって SSL ベースの DDoS 攻撃を認識します ファイアウォールや Web アプリケーションファイアウォールの外側に SSL 証明書を置いて DDoS 減災デバイスでセッションを終端させる方法では アプライアンスに攻撃ポイントが存在することになるため 賢明なセキュリティ対策とはいえません フォーティネットが推奨する FortiGate と FortiWeb を含む完全なセキュリティファブリックでは インフラストラクチャのあらゆるレベルの攻撃からの保護が可能です DNS あらゆるタイプの DNS サーバーを DDoS 攻撃の直接的な標的または足掛かりとして攻撃します DNS サーバーをホスティングしている大企業や通信キャリアは DNS サーバーによるクエリと応答の処理に関する弱点を悪用する DDoS 攻撃の危険にさらされています は DNS トラフィックを 100% 検証し DNS サーバーに対する DNS 反射 / 応答フラッド NXDOMAIN クエリフラッド ランダムサブドメインフラッド DNS ヘッダーアノマリなど あらゆるタイプの DDoS 攻撃から DNS サーバーを保護する DDoS 減災プラットフォームです は FortiGuard ドメインレピュテーションサービスをサポートしているため 既知の不正ドメインから DNS サーバーやクライアントを保護します DNS 向けの高度な保護機能は のほとんどのモデルで利用できます IoT Mirai をはじめとするこれらの脅威では マルチベクトル GRE 攻撃 ランダムサブドメイン攻撃 DNS 反射攻撃 UDP および TCP のステート攻撃が可能であり IPv4 アドレス空間全体をスプーフィングします 小規模パケットフラッド攻撃は 多くの DDoS デバイスのリアルタイム防御機能に過剰な負荷をかけることで 完全な検証を阻止します DNS 検知技術がない場合 ランダムサブドメイン攻撃は通常のクエリトラフィックであるかのように見えますが DNS サーバーのリソースは枯渇状態に追い込まれます は 先進のハードウェアアーキテクチャと膨大な数のパラメータの監視機能を活用することによって 進化するこれらの攻撃からの保護を可能にしています / DDoS は 受信トラフィック用の帯域幅を占有するあらゆる DDoS 攻撃を減災することができますが 大規模攻撃では受信リンクが飽和状態になる可能性があります は Verisign OpenHybrid DDoS Protection Service および Baffin Bay Networks OpenFSP とのパートナーシップによって 攻撃がアップストリームリソース輻輳の脅威となる状況においても クラス最高レベルのハイブリッド CPE / クラウド DDoS 減災対策を選択することができます の攻撃シグナリング API は一般公開されており 文書化されています は クラウドプロバイダからの無害な受信 GRE トラフィックのインスペクションによって 継続的なレポートと完全な脅威の減災を保証します また エンタープライズデータセンターに設置されているオンプレミスの アプライアンスは フォーティネットのクラウドシグナリングテクノロジーを活用することでサービスプロバイダが導入している大容量の モデルとの連携も可能で ISP が Flowspec スクリプトを使って攻撃トラフィックを迂回し ブラックホール化することもできます 2

3 100% 100% DDoS DNS / は 最新の脅威情報の更新が必要なシグネチャファイルに依存しないため お客様は既知の攻撃だけでなく未知の ゼロデイ 攻撃からも保護されます 独自の SPU-TP2 トランザクションプロセッサによって 100% のパケットインスペクションと レイヤー 3 4 および 7 の DDoS 攻撃の双方向の検知と減災が行われ 業界トップレベルのパフォーマンスを実現します 善良な トラフィックを遮断してしまうことがないように攻撃の再評価をおこない 誤検知 のリスクを最小限に抑制します は すべての DNS トラフィックを 100% 検査することで幅広い DNS に対する帯域幅占有型攻撃 アプリケーション攻撃そしてアノマリ攻撃からの保護を実現します では 最小限の設定を行うだけで平常時のトラフィックとリソースのビヘイビアのプロファイルが自動的に作成されるため 時間や労力を節約し IT 管理リソースを有効活用できるようになります Open API によってサードパーティのクラウド DDoS 減災サービスプロバイダとの統合が可能となり 柔軟な導入配備オプションおよび大規模な DDoS 攻撃からの保護が提供されます 予測型のビヘイビアベース分析 ヒューリスティック分析 詳細なパケットインスペクション 継続したアダプティブ ( 適応型 ) レートリミット 特定の攻撃ベクトルに対応するステートフルモニタリング 100% のパケットインスペクション 単一 IP サブネットに対する IPv4 / IPv6 の完全サポート MAC や IP アドレスがデータパスに含まれず 攻撃者には完全に不可視 トラフィック統計情報の連続学習に基づくシステム推奨 アダプティブ ( 適応型 ) しきい値推定 ダイナミックフィルタリング アクティブ検証 アノマリ識別 プロトコル分析 ホワイトリスト ブラックリスト 追跡 ( トラッキング ) 対象外サブネット ステートアノマリ識別 ステルス攻撃フィルタリング ローカルアドレスアンチスプーフィング (BCP-38) 送信元追跡 ( トラッキング ) 正当な IP アドレスマッチング ( アンチスプーフィング ) ヘッダーおよび同時接続数に基づいて検知された Proxy-IP に対する厳格な処理 100% L3 / L4 / L7 HTTP / DN 3 プロトコルフラッド攻撃 (256 すべて ) フラグメントフラッド攻撃 ソースフラッド攻撃 GRE インスペクション 4 TCP ポート (65k すべて ) UDP ポート (65k すべて ) UDP ゲームポート ICMP タイプ / コード (65k すべて ) SYN 接続フラッド攻撃 SYN フラッド攻撃 毎秒の RST / FIN / ACK アウトオブステートフラッド接続攻撃 ソースレート別のフラッド (6M ソース ) ゾンビフラッド攻撃 低速接続攻撃 TCP ステート違反フラッド攻撃 7 HTTP URL HTTP METHOD フラッド攻撃 (8 つの METHOD すべて ) ユーザーエージェントフラッド攻撃 リファラーフラッド攻撃 クッキーフラッド攻撃 ホストフラッド攻撃 SYN クッキー ACK クッキー SYN フラッド再送信 DNS フラッド再送信 / TC=1 正当な IP の評価 / マッチング 送信元追跡 ( トラッキング ) 送信元レートリミット アグレッシブエージング L3 L7 IP レピュテーション ドメインレピュテーション パケット長 / プロトコル / ポート ジオロケーション IP / サブネットのブラックリスト / ホワイトリスト お客様による IPv4 ブラックリストのバルクアップロード お客様によるドメインブラックリストのバルクアップロード BCP38 送信元アドレスの評価 / ローカルアドレスアンチスプーフィング機能拡張 プロトコル フラグメント DNS フラグメント L4 ポート ICMP タイプ / コード DNS RR ACL HTTP METHOD URL リファラー ユーザーエージェント Flowspec スクリプト生成 DNS DNS ヘッダーによるアノマリ防止 DNS クエリ応答マッチング ソース毎の DNS クエリ / MX / ALL / ZT / フラグメントフラッド攻撃 3

4 DNS クエリ送信元の評価 予期しない DNS クエリ 一方的な DNS 応答フラッド攻撃 フラッド攻撃状態の DNS 応答キャッシュ DNS クエリ TTL チェック DNS 固有 ACL ドメインレピュテーションのサブスクリプション フィルタリング / エクスポート可能な攻撃ログ 以下を要約表示するグラフおよびログ機能 : 攻撃上位リスト / 攻撃者上位リスト ACL がブロックしたトラフィック上位リスト 攻撃されたサブネット / IP アドレス上位リスト 攻撃されたプロトコル上位リスト 攻撃された TCP / UDP ポート上位リスト 攻撃された ICMP タイプ / コード上位リスト 攻撃された URL HTTP ホスト リファラー クッキー ユーザーエージェント上位リスト 攻撃された DNS サーバー上位リスト 攻撃された DNS アノマリ上位リスト SPP 統計情報 :Mbps / pps とドロップ数の監視 サブネット統計情報 :Mbps / pps トラフィック監視 カスタム オンデマンド スケジュール指定 攻撃しきい値指定のレポート 数千の内蔵レポート用グラフをリアルタイムとフォレンジック分析に利用可能 SNMP v2 / v3 メールアラート レポート オープン ESTful API FortiAnalyzer FortiSIEM サードパーティの Syslog サポート ログインの監査証跡 構成の監査証跡 SSL 管理用 GUI CLI オープン ESTful API マルチテナント MSSP ポータル Flowspec スクリプトの生成 現在の攻撃に関するアラート オープンクラウド減災シグナリング SPP 4 4

5 200B 400B 800B LAN Copper GbE WAN Copper GbE LAN SFP GbE WAN SFP GbE LAN SFP+ 10 GbE / SFP GbE WAN SFP+ 10 GbE / SFP GbE LAN LC 850 nm 10 GbE WAN LC 850 nm 10 GbE 1x 480 GB SSD 1x 480 GB SSD 1x 480 GB SSD 1 U アプライアンス 1 U アプライアンス 1 U アプライアンス 単一 ( ホットスワップ対応外部冗長電源オプション ) 単一 ( ホットスワップ対応外部冗長電源オプション ) 単一 ( ホットスワップ対応外部冗長電源オプション ) 3 Gbps 6 Gbps 12 Gbps 4 M pps 8 M pps 16 M pps / 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 2 秒未満 2 秒未満 2 秒未満 DNS v4.2.0 DNS 1 M 2 M 4 M AC 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz DC 156 W 156 W 174 W 260 W 260 W 285 W AC 110 V / 5.29 A 120 V / 2.2 A 110 V / 5.29 A 120 V / 2.2 A 110 V / 5.29 A 120 V / 2.2 A DC 887 BTU/h / 936 kjoules/h 887 BTU/h / 936 kjoules/h 972 BTU/h / 1026 kjoules/h 0 ~ 40 0 ~ 40 0 ~ ~ ~ ~ 70 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) FCC Class A Part 15 UL / CB / cul C-Tick VCCI CE x x 45 x 432 x mm 45 x 432 x mm 45 x 432 x mm 7.8 kg 7.8 kg 7.8 kg 200B 400B 800B 5

6 1000B 1200B LAN Copper GbE WAN Copper GbE LAN SFP GbE WAN SFP GbE LAN SFP+ 10 GbE / SFP GbE 8 8 WAN SFP+ 10 GbE / SFP GbE 8 8 LAN LC 850 nm 10 GbE 2 WAN LC 850 nm 10 GbE 2 1x 480 GB SSD 1x 480 GB SSD 2 U アプライアンス 2 U アプライアンス ホットスワップ対応冗長電源 ホットスワップ対応冗長電源 18 Gbps 36 Gbps 24 M pps 48 M pps / 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 2 秒未満 2 秒未満 DNS v4.2.0 DNS 6 M 12 M AC 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz DC 40.5 ~ 57 V DC 253 W 311 W 422 W 575 W AC 110 V / 10.0 A 120 V / 5.0 A 110 V / 10.0 A 120 V / 5.0 A DC 24 A BTU/h / kjoules/h 1440 / / ~ 40 0 ~ ~ ~ 70 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) FCC Class A Part 15 UL / CB / cul C-Tick VCCI CE x x 88 x 438 x 560 mm 88 x 438 x 560 mm 16.2 kg 16.2 kg 1000B 1200B 東京都港区六本木 Tri-Seven Roppongi 9 階 Copyright 2018 Fortinet, Inc. All rights reserved. この文書のいかなる部分も いかなる方法によっても複製 または電子媒体に複写することを禁じます この文書に記載されている仕様は 予告なしに 変更されることがあります この文書に含まれている情報の正確性および信頼性には万全を期しておりますが Fortinet, Inc. は いかなる利用についても一切の責任を負わないものとします Fortinet FortiGate FortiCare および FortiGuard は Fortinet, Inc. の登録商標です その他記載されているフォーティネット製品はフォーティネットの商標です その他の製品または社名は各社の商標です DS-FDDoS-R R1