功能简介
网络服务与支持
内建DHCP,NTP,DNS服务器以及DNS代理
FortiGuard NTP,DDNS和DNS服务
接口模式:Sniffer,loopback,VLAN(802.1Q),软件交换(vSwitch)
静态和策略路由
ECMP的WAN负载均衡和冗余
动态路由协议:RIPv1和v2,OSPF v2和v3,ISIS,BGP4
多播流量:稀疏模式与密集模式,PIM支持
内容路由:WCCP和ICAP
显示代理支持
IPv6支持:基于IPv6的管理,IPv6路由协议,IPv6隧道,防火墙和NGFW的IPv6流量,NAT64,IPv6 IPSec VPN
用户和设备认证控制
本地用户数据库
远程用户认证服务支持:LDAP,Radius和TACACS
单点登录:Windows AD, Novell eDirectory,FortiClient,Citrix和终点服务器代理,Radius(账号消息),用户接入(802.1x,portal)认证
PKI和认证:X.509认证,SCEP支持,认证登陆请求(CSR)创建,认证到期自动更新,OCSP支持
双因子认证:第三方支持,整合令牌服务器与物理令牌,软件令牌及短信息
设备认证:设备和OS指纹,自动分类,清单管理
用户和基于设备的策略
防火墙
操作模式:NAT/路由和透明(桥)
会话助手&ALG:dcerpc, dns-tcp, dns-udp, ftp, H.245 I, H.245 0, H.323,MGCP, MMS, PMAP, PPTP, RAS, RSH, SIP, TFTP, TNS (Oracle)
VoIP流量支持:SIP/H.323 /SCCP NAT traversal, RTP pin holing
协议类型支持:SCTP, TCP, UDP, ICMP, IP
分块或全局策略管理显示
策略对象:预定义,自定义,对象分组、标签和克隆
地址对象:子网,IP,IP范围 ,地理IP,FQDN
NAT配置:基于每条策略,集中NAT表
NAT支持:NAT64, NAT46, 静态NAT, 动态NAT, PAT, Full Cone NAT, STUN
流量整形和QoS:共享策略整形,per-IP整形,最大带宽与带宽保证,每IP最大并发连接数,流量优先级,服务类型(TOS)和服务区分(DiffServ)支持
VPN
IPSec VPN:
-远程对端支持 : IPSEC兼容拨号客户端,对端支持静态IP/动态DNS
- 认证方式: 认证, 预共享密钥
- IPSec Phase1模式:积极的和Main(ID保护)模式
- 对端接受选项 : 任何ID, 特定ID, 在拨号用户组中的ID
- 支持IKEv1, IKEv2 (RFC 4306)
- IKE 模式配置支持(作为服务器或客户端), DHCP over IPSEC
- Phase 1/Phase 2 建议加密: DES, 3DES, AES128. AES192, AES256
- Phase 1/Phase 2 建议认证: MD5, SHA1, SHA256, SHA384, SHA512
- Phase 1/Phase 2 Diffie-Hellman 组支持: 1, 2, 5, 14
- XAuth 支持,作为客户端和服务器模式
- XAuth 作为拨号用户: 服务器类型选项(PAP, CHAP, Auto), NAT Traversal 选项
- 可配置的IKE 加密密钥过期时间, NAT traversal 激活频率
更多信息请访问 Fortinet 中国官方网站:www.fortinet.com.cn
- 离线对端检测
- 重播检测
- 自动密钥保持激活Phase 2 SA
IPSEC VPN 部署模式: 网关到网关, hub-and-spoke, 全网状,冗余隧道, VPN termination 在透明模式
IPSEC VPN 配置选项: 基于路由或基于策略
定制化SSL VPN portal: 颜色主题, 布局, 书签, 连接工具, 客户端下载
SSL VPN域支持: 允许与用户组(URL路径,设计)相关的多个自定义的SSL VPN登录
单点登录书签:重用以前登录或预定义的凭据访问资源
个人书签管理:允许管理员查看和维护远程客户端书签
SSL portal并发用户数限制
每个用户选择一个时间登录:防止并发登录使用相同的用户名
SSL VPN Web模式: 对于只配备一个网络web和支持的Web应用程序等等的轻远程客户端 ,如:
- HTTP/HTTPS Proxy, FTP, Telnet, SMB/CIFS, SSH. VNC, RDP, Citrix
SSL VPN的隧道模式:对于运行各种客户端和服务器的远程计算机应用,SSL VPN客户端支持MAC OSX,Linux的,Windows Vista和64位 Windows操作系统
SSL VPN的端口转发模式:使用一个Java applet,监听本地端口用户的计算机。当它接收到来自客户端应用程序的数据,则端口转发模块进行加密,并将数据发送到SSL VPN设备,然后将流量转发到应用服务器
在SSL隧道模式连接之前进行主机完整性检查和操作系统检查(仅适用于Windows终端)
Per portal的MAC主机检查
在SSL VPN会话结束前缓存清理选项
虚拟桌面选项,从客户端计算机的桌面环境隔离的SSL VPN会话
VPN监控:查看和管理当前的IPSEC和SSL VPN连接的详细信息
其他VPN支持:L2TP客户端和服务器模式,L2TP over IPSEC,
PPTP, GRE over IPEC
IPS
IPS引擎:7,000 最新的签名,协议异常检测,自定义签名,手动,自动拉或推签名更新,整合云端威胁特征库
IPS动作:默认,监控,阻断,重置,或检疫(攻击者IP,攻击者IP和目标IP,入向流量接口)与到期时间
过滤选项:严重程度,对象,操作系统,应用程序和/或协议
数据包日志记录选项
从指定的IPS特征对 IP的豁免
IPv4和IPv6的基于速率的DoS保护(适用于大部分机型)与阈值针对TCP SYN洪水的设置,TCP / UDP/ SCTP端口扫描,ICMP扫描,TCP / UDP/SCTP/ ICMP会话洪水(源/目标)
IDS sniffer模式
支持IPS bypass
应用控制
检测超过3000种应用在下列19个分类中:
Botnet, 协作, Email, 文件共享, 游戏, 普通internet, IM, 网络服务,P2P, 代理, 远程访问, 社交媒体,存储备份, 更新, 视频/音频, VoIP, 产业, 特殊的, Web (其他)
支持提交自定义应用签名
高级的即时通信应用于Facebook控制
过滤选项:类别,流行度,技术,风险,供应商和/或协议
动作:阻断,重置会话,只 监控,应用控制流量整形
威胁防护
全球IP信誉数据库提供僵尸网络服务器IP阻断
本地反病毒数据库
流扫描反病毒:支持的协议- HTTP/HTTPS, SMTP/SMTPS, POP3/POP3S,IMAP/IMAPS, MAPI, FTP/SFTP, SMB, ICQ, YM, NNTP
代理模式反病毒:
更多信息请访问 Fortinet 中国官方网站:www.fortinet.com.cn
-协议支持:HTTP/HTTPS, STMP/SMTPS, POP3/POP3S, IMAP/IMAPS, MAPI,
FTP/SFTP, ICQ, YM, NNTP
-外部云沙盒(文件分析)支持
-文件提交黑名单和 白名单
-文件检查
-启发式扫描选项
Web过滤检查模式支持:基于代理,基于流 和DNS
基于URL、Web内容和MIME头的 手动定义 Web过滤
基于云的实时分类数据库进行动态Web过滤:超过2亿5千万URL,被分为78个类别,70种语言
安全搜索增强:透明插入安全搜索参数查询,支持Google,Yahoo!,Bing&Yandex,可定义的YouTube 教育过滤
基于代理的Web过滤还支持如下附加功能:
-过滤Java Applet, ActiveX 和/或cookie
-阻断 HTTP post
-记录搜索关键词
-基于URL的图片速率
-基于速率阻断HTTP重定向
-对某些类别可由于隐私原因豁免扫描加密连接
-基于类别的Web浏览配额
Web过滤本地分类和分类打分重写
Web过滤配置重写:允许管理员 暂时分配不同的配置给用户/用户组/IP
代理规避预防:代理网站类别拦截,速度由域名和IP网址地址块从高速缓存和翻译网站重定向,代理规避应用阻塞(应用控制),代理行为阻断(IPS)
DLP信息过滤 :
-协议支持:HTTP-POST, SMTP, POP3, IMAP, MAPI, NNTP
-动作:只记录,阻断,检查用户/IP/接口
-预定义过滤器:信用卡号,社交安全ID
DLP文件过滤:
-协议支持:HTTP-POST, HTTP=-GET,SMTP, POP3, IMAP, MAPI, FTP, NNTP
-文件选项:大小,文件类型,水印,内容,是否被加密
DLP水印:允许通过FortiGate设备和过滤器,包含一个文件
企业标识(文本字符串)和灵敏度等级(严重,私人和警告)
隐藏水印。支持Windows和Linux的免费水印工具。
DLP指纹:从截获的文件生成一个校验和指纹,并在指纹数据库中进行对比
DLP 归档:记录email, FTP, IM, NNTP, 和 web 流量中的全部内容
终端控制
通过客户端软件管理网络设备:
-状态检查:强制客户端软件安装和所需的设置
-客户端配置监控:根据设备类型/组和/或用户/用户组推送并更新如VPN和Web过滤配置
-“离线”安全强化 :当不受网关安全保护时,自动激活安全配置
-允许客户端激活日志部署
客户端软件支持:Windows,OS X,iOS,Android
高可靠性
HA模式:主被,双主,虚拟集群,VRRP
冗余心跳接口
HA保留管理接口
故障转移:
-端口,本地和远程链路监控
-状态故障切换
-亚秒级故障切换
-故障检测通知
部署选项:
-全网状HA
更多信息请访问 Fortinet 中国官方网站:www.fortinet.com.cn
-地理分布式HA
独立模式会话同步
管理、监控和诊断
管理接入:通过Web的HTTPS,SSH,telnet,console
Web UI管理语言支持:英语,西班牙语,法语,葡萄牙语,
日语,简体中文,繁体中文,韩语
集中管理支持:FortiManager, FortiCloud服务, web 服务API
系统集成:SNMP, sFlow, syslog, 合作伙伴
快速部署:USB自动安装,本地和远程脚本执行
动态,实时面板状态显示和监控插件
日志和报告
日志支持:多syslog服务器,多FortiAnalyzer,WebTrends服务器,FortiCloud托管服务
日志记录,使用TCP选项(RFC3195)
加密日志记录,日志整合到FortiAnalyzer
批量日志上传
流量细节日志:转发,违规会话,本地流量,无效包
整合事件记录:系统和管理员行为审计,路由和网络,VPN,用户认证,WiFi相关事件
流量摘要日志格式化选项
IP和服务端口名决定选项
认证
ICSA 防火墙, SSL VPN, IPSEc VPN, AV 和IPS 认证
IPv6 Ready