FortiDDoS データシート - PDF Free Download

200B 400B 800B 1000B 1200B DDoS(Distributed Denial of Service) 攻撃は依然として IT セキュリティに対する最大の脅威となっており重要なオンラインサービスを停止させることを目的としてあらゆる面で巧妙化が進んでいます 1 つの問題がある特定のテクノロジーと結びつくことなくこれほどまでに活発で広範囲に及んだことは一度もありません政治的ハッカーやサイバーテロリストがお客様のネットワークへのアクセスを阻止するために悪用できるツール群はほぼ無限に存在すると言っても過言ではありません巧妙化した DDoS 攻撃はレイヤー 4 の帯域幅占有型攻撃だけでなくレイヤー 7 の DNS サービスも標的にするようになっており規模がはるかに小さいこれらの攻撃をクラウドベースの減災対策で検知するのは困難ですこのような攻撃に対抗するためには攻撃のレベルと同様にダイナミックで広範囲なソリューションが必要ですフォーティネットの攻撃ミティゲーション ( 減災 ) アプライアンスはビヘイビアベースの攻撃検知メソッドと SPU(Security Processing Unit) を使用した 100% ハードウェアベースの検知と減災によって今日の市場でもっとも高速な最先端の DDoS 攻撃の減災を実現します DDoS DDoS 対策において 100% SPU のアプローチを採用する唯一の企業であるフォーティネットの製品では CPU または CPU / ASIC ハイブリッドシステムのようなパフォーマンスの低下が発生することはありません独自の SPU-TP2 プロセッサはレイヤー 3 4 および 7 のインバウンドとアウトバウンドの両方のトラフィックのインスペクションが可能であるため高速の検知 / 減災と業界トップレベルの比類ない低レイテンシを実現します主にシグネチャベースのマッチングに依存している競合製品に対しては脅威を特定するためにヒューリスティック / ビヘイビアベースの方式を 100% 使用しますでは攻撃パターンを特定するためのシグネチャを事前に定義する必要はなく超並列コンピューティングアーキテクチャを使用することで攻撃を受けていない平常時のアクティビティのベースライン ( 基準 ) を数十万ものパラメータから作成しそのベースラインに照らしてトラフィックを監視します攻撃が始まるとはそのビヘイビアを異常と判断して即座に減災策を実行します 100% ハードウェアベースのレイヤー 3 4 および7のDDoS 攻撃の特定と減災 100% ビヘイビアベースのDDoS 攻撃検知 IPアドレスもMACアドレスもデータパスにないため攻撃者からは完全に不可視はレイヤー 3のルーティングデバイスでも終端デバイスでもありません高度なDNS DDoS 減災機能をほとんどのモデルで利用可能オープンシグナリングによりオンプレミス / クラウドの両方に対応するハイブリッド減災機能を利用可能継続的な脅威評価機能により誤検知を最小限に抑制シングルパスアーキテクチャによって数十万ものパラメータを同時に監視 : 超並列コンピューティングMSSPポータルから顧客向けの再販が可能 FortiCare Worldwide Support support.fortinet.com DATA SHEET

ではシグネチャファイルの更新を待つ必要がないため既知の攻撃だけでなくゼロデイ攻撃からも保護されますは他のソリューションと異なる独自の攻撃減災を行います他の DDoS 攻撃減災プライアンスでは一度攻撃が始まるとその脅威が 100% ブロックされその送信先 IP へのトラフィックの速度が制限されるため善良なトラフィックの速度制限による悪影響も受けることになりますあるイベントが誤検知された場合すべてのトラフィックが影響を受けるため管理者による手動での介入が必要になりますこれに対しはまず通常のトラフィックを監視し送信元追跡 ( トラッキング ) を使用して問題を引き起こしている最大 600 万の送信元 IP アドレスを検知するというより精度の高い脅威検出アプローチを採用していますは有害な送信元 IP アドレスをブロックしユーザーの設定した間隔で攻撃を再評価しますこのような有害な送信元 IP アドレスからの攻撃が再評価サイクルにわたって継続する場合ブロック期間が攻撃終息まで延長されます送信先 IP が速度制限されることはほとんどなく有効な送信元 IP は常に許可されますは帯域幅占有型攻撃レイヤー 7 アプリケーション攻撃 DNS 攻撃そして SSL / HTTPS 接続攻撃などのあらゆる DDoS 攻撃に対する防御機能を提供します使い古された手口から最新のアプリケーションレイヤーの攻撃に至るまでは万全の対策でお客様を脅威から保護します古いタイプでありながら今もなお猛威をふるい続けていますもっともシンプルなタイプの攻撃の場合は ISP によって阻止されますが最近ではより複雑なアプリケーションレベルの攻撃を隠ぺいする目的で使用されることが増えていますの送信元追跡 ( トラッキング ) は問題を引き起こしている送信元 IP アドレスをブロックすると同時に善良なトラフィックを通過させることができますこの独自の優れた処理機能によって必要な保護が提供されるだけでなく誤検知の影響で善良なクライアントトラフィックを遮断してしまう可能性が最小限に抑制されます 7 これは急速に増加している DDoS 攻撃ですこの攻撃はサービス内またはサーバー内の脆弱性を悪用してリソースを使い尽くし利用できない状態にしますこれらのタイプの攻撃はほとんどの場合に ISP のレイヤー 3 と 4 の減災機能を回避してネットワークに直接侵入しますレイヤー 7 攻撃はサービスレベルでの異変を引き起こしますはこのような異変を検知し減災対策を実行します SSL 通常マルウェアのインジェクションを目的とする単一セッションの DoS 攻撃です SSL DDoS 攻撃の頻度は多くありませんこれはマルチソース SSL 攻撃ではより多くの攻撃者リソースが必要になるほか攻撃者のサーバーやボットの送信元 IP が明らかになり永続的なブロックが可能になるためですは新規接続数接続 / 送信元 SNI ホストフラッド攻撃低速接続一意の送信元の数など暗号化されていないパラメータからの挙動の変化によって SSL ベースの DDoS 攻撃を認識しますファイアウォールや Web アプリケーションファイアウォールの外側に SSL 証明書を置いて DDoS 減災デバイスでセッションを終端させる方法ではアプライアンスに攻撃ポイントが存在することになるため賢明なセキュリティ対策とはいえませんフォーティネットが推奨する FortiGate と FortiWeb を含む完全なセキュリティファブリックではインフラストラクチャのあらゆるレベルの攻撃からの保護が可能です DNS あらゆるタイプの DNS サーバーを DDoS 攻撃の直接的な標的または足掛かりとして攻撃します DNS サーバーをホスティングしている大企業や通信キャリアは DNS サーバーによるクエリと応答の処理に関する弱点を悪用する DDoS 攻撃の危険にさらされていますは DNS トラフィックを 100% 検証し DNS サーバーに対する DNS 反射 / 応答フラッド NXDOMAIN クエリフラッドランダムサブドメインフラッド DNS ヘッダーアノマリなどあらゆるタイプの DDoS 攻撃から DNS サーバーを保護する DDoS 減災プラットフォームですは FortiGuard ドメインレピュテーションサービスをサポートしているため既知の不正ドメインから DNS サーバーやクライアントを保護します DNS 向けの高度な保護機能はのほとんどのモデルで利用できます IoT Mirai をはじめとするこれらの脅威ではマルチベクトル GRE 攻撃ランダムサブドメイン攻撃 DNS 反射攻撃 UDP および TCP のステート攻撃が可能であり IPv4 アドレス空間全体をスプーフィングします小規模パケットフラッド攻撃は多くの DDoS デバイスのリアルタイム防御機能に過剰な負荷をかけることで完全な検証を阻止します DNS 検知技術がない場合ランダムサブドメイン攻撃は通常のクエリトラフィックであるかのように見えますが DNS サーバーのリソースは枯渇状態に追い込まれますは先進のハードウェアアーキテクチャと膨大な数のパラメータの監視機能を活用することによって進化するこれらの攻撃からの保護を可能にしています / DDoS は受信トラフィック用の帯域幅を占有するあらゆる DDoS 攻撃を減災することができますが大規模攻撃では受信リンクが飽和状態になる可能性がありますは Verisign OpenHybrid DDoS Protection Service および Baffin Bay Networks OpenFSP とのパートナーシップによって攻撃がアップストリームリソース輻輳の脅威となる状況においてもクラス最高レベルのハイブリッド CPE / クラウド DDoS 減災対策を選択することができますの攻撃シグナリング API は一般公開されており文書化されていますはクラウドプロバイダからの無害な受信 GRE トラフィックのインスペクションによって継続的なレポートと完全な脅威の減災を保証しますまたエンタープライズデータセンターに設置されているオンプレミスのアプライアンスはフォーティネットのクラウドシグナリングテクノロジーを活用することでサービスプロバイダが導入している大容量のモデルとの連携も可能で ISP が Flowspec スクリプトを使って攻撃トラフィックを迂回しブラックホール化することもできます 2 www.fortinet.co.jp

100% 100% DDoS DNS / は最新の脅威情報の更新が必要なシグネチャファイルに依存しないためお客様は既知の攻撃だけでなく未知のゼロデイ攻撃からも保護されます独自の SPU-TP2 トランザクションプロセッサによって 100% のパケットインスペクションとレイヤー 3 4 および 7 の DDoS 攻撃の双方向の検知と減災が行われ業界トップレベルのパフォーマンスを実現します善良なトラフィックを遮断してしまうことがないように攻撃の再評価をおこない誤検知のリスクを最小限に抑制しますはすべての DNS トラフィックを 100% 検査することで幅広い DNS に対する帯域幅占有型攻撃アプリケーション攻撃そしてアノマリ攻撃からの保護を実現しますでは最小限の設定を行うだけで平常時のトラフィックとリソースのビヘイビアのプロファイルが自動的に作成されるため時間や労力を節約し IT 管理リソースを有効活用できるようになります Open API によってサードパーティのクラウド DDoS 減災サービスプロバイダとの統合が可能となり柔軟な導入配備オプションおよび大規模な DDoS 攻撃からの保護が提供されます予測型のビヘイビアベース分析ヒューリスティック分析詳細なパケットインスペクション継続したアダプティブ ( 適応型 ) レートリミット特定の攻撃ベクトルに対応するステートフルモニタリング 100% のパケットインスペクション単一 IP サブネットに対する IPv4 / IPv6 の完全サポート MAC や IP アドレスがデータパスに含まれず攻撃者には完全に不可視トラフィック統計情報の連続学習に基づくシステム推奨アダプティブ ( 適応型 ) しきい値推定ダイナミックフィルタリングアクティブ検証アノマリ識別プロトコル分析ホワイトリストブラックリスト追跡 ( トラッキング ) 対象外サブネットステートアノマリ識別ステルス攻撃フィルタリングローカルアドレスアンチスプーフィング (BCP-38) 送信元追跡 ( トラッキング ) 正当な IP アドレスマッチング ( アンチスプーフィング ) ヘッダーおよび同時接続数に基づいて検知された Proxy-IP に対する厳格な処理 100% L3 / L4 / L7 HTTP / DN 3 プロトコルフラッド攻撃 (256 すべて ) フラグメントフラッド攻撃ソースフラッド攻撃 GRE インスペクション 4 TCP ポート (65k すべて ) UDP ポート (65k すべて ) UDP ゲームポート ICMP タイプ / コード (65k すべて ) SYN 接続フラッド攻撃 SYN フラッド攻撃毎秒の RST / FIN / ACK アウトオブステートフラッド接続攻撃ソースレート別のフラッド (6M ソース ) ゾンビフラッド攻撃低速接続攻撃 TCP ステート違反フラッド攻撃 7 HTTP URL HTTP METHOD フラッド攻撃 (8 つの METHOD すべて ) ユーザーエージェントフラッド攻撃リファラーフラッド攻撃クッキーフラッド攻撃ホストフラッド攻撃 SYN クッキー ACK クッキー SYN フラッド再送信 DNS フラッド再送信 / TC=1 正当な IP の評価 / マッチング送信元追跡 ( トラッキング ) 送信元レートリミットアグレッシブエージング L3 L7 IP レピュテーションドメインレピュテーションパケット長 / プロトコル / ポートジオロケーション IP / サブネットのブラックリスト / ホワイトリストお客様による IPv4 ブラックリストのバルクアップロードお客様によるドメインブラックリストのバルクアップロード BCP38 送信元アドレスの評価 / ローカルアドレスアンチスプーフィング機能拡張プロトコルフラグメント DNS フラグメント L4 ポート ICMP タイプ / コード DNS RR ACL HTTP METHOD URL リファラーユーザーエージェント Flowspec スクリプト生成 DNS DNS ヘッダーによるアノマリ防止 DNS クエリ応答マッチングソース毎の DNS クエリ / MX / ALL / ZT / フラグメントフラッド攻撃 3

DNS クエリ送信元の評価予期しない DNS クエリ一方的な DNS 応答フラッド攻撃フラッド攻撃状態の DNS 応答キャッシュ DNS クエリ TTL チェック DNS 固有 ACL ドメインレピュテーションのサブスクリプションフィルタリング / エクスポート可能な攻撃ログ以下を要約表示するグラフおよびログ機能 : 攻撃上位リスト / 攻撃者上位リスト ACL がブロックしたトラフィック上位リスト攻撃されたサブネット / IP アドレス上位リスト攻撃されたプロトコル上位リスト攻撃された TCP / UDP ポート上位リスト攻撃された ICMP タイプ / コード上位リスト攻撃された URL HTTP ホストリファラークッキーユーザーエージェント上位リスト攻撃された DNS サーバー上位リスト攻撃された DNS アノマリ上位リスト SPP 統計情報 :Mbps / pps とドロップ数の監視サブネット統計情報 :Mbps / pps トラフィック監視カスタムオンデマンドスケジュール指定攻撃しきい値指定のレポート数千の内蔵レポート用グラフをリアルタイムとフォレンジック分析に利用可能 SNMP v2 / v3 メールアラートレポートオープン ESTful API FortiAnalyzer FortiSIEM サードパーティの Syslog サポートログインの監査証跡構成の監査証跡 SSL 管理用 GUI CLI オープン ESTful API マルチテナント MSSP ポータル Flowspec スクリプトの生成現在の攻撃に関するアラートオープンクラウド減災シグナリング SPP 4 4 www.fortinet.co.jp

200B 400B 800B LAN Copper GbE 4 8 8 WAN Copper GbE 4 8 8 LAN SFP GbE 4 8 8 WAN SFP GbE 4 8 8 LAN SFP+ 10 GbE / SFP GbE WAN SFP+ 10 GbE / SFP GbE LAN LC 850 nm 10 GbE WAN LC 850 nm 10 GbE 1x 480 GB SSD 1x 480 GB SSD 1x 480 GB SSD 1 U アプライアンス 1 U アプライアンス 1 U アプライアンス単一 ( ホットスワップ対応外部冗長電源オプション ) 単一 ( ホットスワップ対応外部冗長電源オプション ) 単一 ( ホットスワップ対応外部冗長電源オプション ) 3 Gbps 6 Gbps 12 Gbps 4 M pps 8 M pps 16 M pps / 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 2 秒未満 2 秒未満 2 秒未満 DNS v4.2.0 DNS 1 M 2 M 4 M AC 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz DC 156 W 156 W 174 W 260 W 260 W 285 W AC 110 V / 5.29 A 120 V / 2.2 A 110 V / 5.29 A 120 V / 2.2 A 110 V / 5.29 A 120 V / 2.2 A DC 887 BTU/h / 936 kjoules/h 887 BTU/h / 936 kjoules/h 972 BTU/h / 1026 kjoules/h 0 ~ 40 0 ~ 40 0 ~ 40-25 ~ 70-25 ~ 70-25 ~ 70 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) FCC Class A Part 15 UL / CB / cul C-Tick VCCI CE x x 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm 7.8 kg 7.8 kg 7.8 kg 200B 400B 800B 5

1000B 1200B LAN Copper GbE WAN Copper GbE LAN SFP GbE WAN SFP GbE LAN SFP+ 10 GbE / SFP GbE 8 8 WAN SFP+ 10 GbE / SFP GbE 8 8 LAN LC 850 nm 10 GbE 2 WAN LC 850 nm 10 GbE 2 1x 480 GB SSD 1x 480 GB SSD 2 U アプライアンス 2 U アプライアンスホットスワップ対応冗長電源ホットスワップ対応冗長電源 18 Gbps 36 Gbps 24 M pps 48 M pps / 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 2 秒未満 2 秒未満 DNS v4.2.0 DNS 6 M 12 M AC 100 ~ 240 V AC 50 ~ 60 Hz 100 ~ 240 V AC 50 ~ 60 Hz DC 40.5 ~ 57 V DC 253 W 311 W 422 W 575 W AC 110 V / 10.0 A 120 V / 5.0 A 110 V / 10.0 A 120 V / 5.0 A DC 24 A BTU/h / kjoules/h 1440 / 1420 1962 / 2070 0 ~ 40 0 ~ 40-25 ~ 70-25 ~ 70 5 ~ 95%( 結露しないこと ) 5 ~ 95%( 結露しないこと ) FCC Class A Part 15 UL / CB / cul C-Tick VCCI CE x x 88 x 438 x 560 mm 88 x 438 x 560 mm 16.2 kg 16.2 kg 1000B 1200B 106-0032 東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階 www.fortinet.co.jp/contact Copyright 2018 Fortinet, Inc. All rights reserved. この文書のいかなる部分もいかなる方法によっても複製または電子媒体に複写することを禁じますこの文書に記載されている仕様は予告なしに変更されることがありますこの文書に含まれている情報の正確性および信頼性には万全を期しておりますが Fortinet, Inc. はいかなる利用についても一切の責任を負わないものとします Fortinet FortiGate FortiCare および FortiGuard は Fortinet, Inc. の登録商標ですその他記載されているフォーティネット製品はフォーティネットの商標ですその他の製品または社名は各社の商標です DS-FDDoS-R23-201805-R1