fortiddos...fortiddos 2 ハイライト fortiddos...
TRANSCRIPT
DATA SHEET
FortiDDoSFortiDDoS 200B、400B、800B、1000B、1200B
政治的ハッカーやサイバーテロリストが、お客様のネットワークへのアクセスを阻止するために悪用できるツール群は、ほぼ無限に存在すると言っても過言ではありません。巧妙化したDDoS攻撃は、レイヤー4の帯域幅占有型攻撃だけでなく、レイヤー7のDNSサービスも標的にするようになっており、規模がはるかに小さいこれらの攻撃をクラウドベースの減災対策で検知するのは困難です。
このような攻撃に対抗するためには、攻撃のレベルと同様にダイナミックで広範囲なソリューションが必要です。フォーティネットのFortiDDoS攻撃ミティゲーション(減災)アプライアンスは、ビヘイビアベースの攻撃検知メソッドとSPU(Security Processing Unit)を使用した100%ハードウェアベースの検知と減災によって、今日の市場でもっとも高速な最先端のDDoS攻撃の減災を実現します。
独自の優れたアプローチによる DDoS攻撃減災DDoS対策において100% SPUのアプローチを採用する唯一の企業であるフォーティネットの製品では、CPUまたはCPU / ASICハイブリッドシステムのようなパフォーマンスの低下が発生することはありません。独自のSPU-TP2プロセッサはレイヤー3、4および7のインバウンドとアウトバウンドの両方のトラフィックのインスペクションが可能であるため、高速の検知 / 減災と、業界トップレベルの比類ない低レイテンシを実現します。
主にシグネチャベースのマッチングに依存している競合製品に対して、FortiDDoSは脅威を特定するためにヒューリスティック / ビヘイビアベースの方式を100%使用します。FortiDDoSでは、攻撃パターンを特定するためのシグネチャを事前に定義する必要はなく、超並列コンピューティングアーキテクチャを使用することで、攻撃を受けていない平常時のアクティビティのベースライン(基準)を数十万ものパラメータから作成し、そのベースラインに照らしてトラフィックを監視します。攻撃が始まると、FortiDDoSはそのビヘイビアを異常と判断して即座に減災策を実行します。
ハイライト
§ 100%ハードウェアベースのレイヤー3、4
および7のDDoS攻撃の特定と減災
§ 100%ビヘイビアベースのDDoS攻撃検知
§ IPアドレスもMACアドレスもデータパスにないため、攻撃者からは完全に不可視FortiDDoSはレイヤー3のルーティングデバイスでも終端デバイスでもありません
§ 高度なDNS DDoS減災機能をほとんどのモデルで利用可能
§ オープンシグナリングにより、オンプレミス /
クラウドの両方に対応するハイブリッド減災機能を利用可能
§ 継続的な脅威評価機能により、「誤検知」を最小限に抑制
§ シングルパスアーキテクチャによって数十万ものパラメータを同時に監視:超並列コンピューティングMSSPポータルから顧客向けの再販が可能
FortiCare Worldwide
Support
support.fortinet.com
DDoS(Distributed Denial of Service)攻撃は、依然として ITセキュリティに対する最大の脅威となっており、重要なオンラインサービスを停止させることを目的としてあらゆる面で巧妙化が進んでいます。1つの
問題が、ある特定のテクノロジーと結びつくことなくこれほどまでに活発で広範囲に及んだことは一度もありません。
FortiDDoS
2 www.fortinet.co.jp
ハイライト
FortiDDoSではシグネチャファイルの更新を待つ必要がないため、既知の攻撃だけでなく「ゼロデイ」攻撃からも保護されます。FortiDDoSは、他のソリューションと異なる独自の攻撃減災を行います。他の DDoS攻撃減災プライアンスでは、一度攻撃が始まるとその脅威が 100%ブロックされ、その送信先 IPへのトラフィックの速度が制限されるため、「善良な」トラフィックの速度制限による悪影響も受けることになります。あるイベントが「誤検知」された場合、すべてのトラフィックが影響を受けるため、管理者による手動での介入が必要になります。これに対し、FortiDDoS
はまず通常のトラフィックを監視し、送信元追跡(トラッキング)を使用して、問題を引き起こしている最大 600万の送信元 IPアドレスを検知するという、より精度の高い脅威検出アプローチを採用しています。
FortiDDoSは、有害な送信元 IPアドレスをブロックし、ユーザーの設定した間隔で攻撃を再評価します。このような有害な送信元IPアドレスからの攻撃が再評価サイクルにわたって継続する場合、ブロック期間が攻撃終息まで延長されます。送信先 IPが速度制限されることはほとんどなく、有効な送信元 IPは常に許可されます。
柔軟な防御メカニズムFortiDDoSは、帯域幅占有型攻撃、レイヤー 7アプリケーション攻撃、DNS攻撃、そして SSL / HTTPS接続攻撃などのあらゆるDDoS攻撃に対する防御機能を提供します。使い古された手口から最新のアプリケーションレイヤーの攻撃に至るまで、FortiDDoS
は万全の対策でお客様を脅威から保護します。
帯域幅占有型攻撃: 古いタイプでありながら、今もなお猛威をふるい続けています。もっともシンプルなタイプの攻撃の場合は ISP
によって阻止されますが、最近ではより複雑なアプリケーションレベルの攻撃を隠ぺいする目的で使用されることが増えています。FortiDDoSの送信元追跡(トラッキング)は、問題を引き起こしている送信元 IPアドレスをブロックすると同時に、「善良な」トラフィックを通過させることができます。この FortiDDoS独自の優れた処理機能によって、必要な保護が提供されるだけでなく、「誤検知」の影響で「善良な」クライアントトラフィックを遮断してしまう可能性が最小限に抑制されます。
レイヤー 7を標的にした攻撃: これは急速に増加している DDoS
攻撃です。この攻撃は、サービス内またはサーバー内の脆弱性を悪用してリソースを使い尽くし、利用できない状態にします。これらのタイプの攻撃は、ほとんどの場合に ISPのレイヤー 3と 4
の減災機能を回避して、ネットワークに直接侵入します。レイヤー7攻撃は、サービスレベルでの異変を引き起こします。FortiDDoS
は、このような異変を検知し、減災対策を実行します。
SSL接続攻撃: 通常、マルウェアのインジェクションを目的とする単一セッションの DoS攻撃です。SSL DDoS攻撃の頻度は多くありません。これは、マルチソース SSL攻撃ではより多くの攻撃者リソースが必要になるほか、攻撃者のサーバーやボットの送信元 IPが明らかになり、永続的なブロックが可能になるためです。FortiDDoSは、新規接続数、接続 / 送信元、SNIホストフラッド攻撃、低速接続、一意の送信元の数など、暗号化されていないパラメータからの挙動の変化によって、SSLベースのDDoS攻撃を認識します。
ファイアウォールやWebアプリケーションファイアウォールの外側に SSL証明書を置いて、DDoS減災デバイスでセッションを終端させる方法では、アプライアンスに攻撃ポイントが存在することになるため、賢明なセキュリティ対策とはいえません。フォーティネットが推奨する、FortiGateと FortiWebを含む完全なセキュリティ ファブリックでは、インフラストラクチャのあらゆるレベルの攻撃からの保護が可能です。
DNS接続攻撃: あらゆるタイプの DNSサーバーを、DDoS攻撃の直接的な標的または足掛かりとして攻撃します。DNSサーバーをホスティングしている大企業や通信キャリアは、DNSサーバーによるクエリと応答の処理に関する弱点を悪用する DDoS攻撃の危険にさらされています。FortiDDoSは、DNSトラフィックを100%検証し DNSサーバーに対する DNS反射 / 応答フラッド、 NXDOMAIN、クエリフラッド、ランダムサブドメインフラッド、 DNSヘッダーアノマリなど、あらゆるタイプの DDoS攻撃から DNSサーバーを保護する DDoS減災プラットフォームです。FortiDDoSは、FortiGuardドメインレピュテーションサービスをサポートしているため、既知の不正ドメインから DNSサーバーやクライアントを保護します。DNS向けの高度な保護機能は、FortiDDoSのほとんどのモデルで利用できます。
IoTベースのボットネット: Miraiをはじめとするこれらの脅威では、マルチベクトル GRE攻撃、ランダムサブドメイン攻撃、DNS
反射攻撃、UDPおよび TCPのステート攻撃が可能であり、IPv4
アドレス空間全体をスプーフィングします。小規模パケットフラッド攻撃は、多くの DDoSデバイスのリアルタイム防御機能に過剰な負荷をかけることで、完全な検証を阻止します。DNS検知技術がない場合、ランダムサブドメイン攻撃は通常のクエリトラフィックであるかのように見えますが、DNSサーバーのリソースは枯渇状態に追い込まれます。FortiDDoSは、先進のハードウェアアーキテクチャと膨大な数のパラメータの監視機能を活用することによって、進化するこれらの攻撃からの保護を可能にしています。
オンプレミス / クラウドに対応する ハイブリッドな DDoS減災機能FortiDDoSは、受信トラフィック用の帯域幅を占有するあらゆるDDoS攻撃を減災することができますが、大規模攻撃では受信リンクが飽和状態になる可能性があります。FortiDDoSは、Verisign
OpenHybrid DDoS Protection Serviceおよび Baffin Bay Networks
OpenFSPとのパートナーシップによって、攻撃がアップストリームリソース輻輳の脅威となる状況においても、クラス最高レベルのハイブリッド CPE / クラウド DDoS減災対策を選択することができます。FortiDDoSの攻撃シグナリング APIは一般公開されており、文書化されています。FortiDDoSは、クラウドプロバイダからの無害な受信 GREトラフィックのインスペクションによって、継続的なレポートと完全な脅威の減災を保証します。また、エンタープライズデータセンターに設置されているオンプレミスの FortiDDoSアプライアンスは、フォーティネットのクラウドシグナリングテクノロジーを活用することでサービスプロバイダが導入している大容量の FortiDDoSモデルとの連携も可能で、ISP
が Flowspecスクリプトを使って攻撃トラフィックを迂回し、ブラックホール化することもできます。
FortiDDoS
3
100%ビヘイビアベースの 攻撃検知
FortiDDoSは、最新の脅威情報の更新が必要なシグネチャ ファイルに依存しないため、お客様は既知の攻撃だけでなく未知の「ゼロデイ」攻撃からも保護されます。
100%ハードウェアベースの DDoS保護
独自のSPU-TP2トランザクションプロセッサによって、100%のパケットインスペクションと、レイヤー3、4および7のDDoS攻撃の双方向の検知と減災が行われ、業界トップレベルのパフォーマンスを実現します。
攻撃の継続的な評価機能 「善良な」トラフィックを遮断してしまうことがないように攻撃の再評価をおこない、「誤検知」のリスクを最小限に抑制します。
DNS向けの高度な保護機能 FortiDDoSは、すべてのDNSトラフィックを100%検査することで幅広いDNSに対する帯域幅占有型攻撃、アプリケーション攻撃そしてアノマリ攻撃からの保護を実現します。
自動学習プロセス FortiDDoSでは、最小限の設定を行うだけで平常時のトラフィックとリソースのビヘイビアのプロファイルが自動的に作成されるため、時間や労力を節約しIT管理リソースを有効活用できるようになります。
オンプレミス / クラウドの ハイブリッドなサポート
Open APIによってサードパーティのクラウドDDoS減災サービスプロバイダとの統合が可能 となり、柔軟な導入配備オプションおよび大規模なDDoS攻撃からの保護が提供されます。
主な機能と特長
FortiDDoSの主な機能
パケットインスペクション テクノロジー § 予測型のビヘイビアベース分析 § ヒューリスティック分析 § 詳細なパケットインスペクション § 継続したアダプティブ(適応型) レートリミット
§ 特定の攻撃ベクトルに対応する
ステートフルモニタリング § 100%のパケットインスペクション § 単一 IPサブネットに対する
IPv4 / IPv6の完全サポート § MACや IPアドレスがデータパスに
含まれず、攻撃者には完全に不可視
ビヘイビアのしきい値管理 § トラフィック統計情報の連続学習に
基づくシステム推奨 § アダプティブ(適応型)しきい値推定
複合検証プロセス § ダイナミックフィルタリング § アクティブ検証 § アノマリ識別 § プロトコル分析 § ホワイトリスト、ブラックリスト、 追跡(トラッキング)対象外サブネット
§ ステートアノマリ識別 § ステルス攻撃フィルタリング § ローカルアドレスアンチスプーフィング(BCP-38)
§ 送信元追跡(トラッキング) § 正当な IPアドレスマッチング
(アンチスプーフィング)
§ ヘッダーおよび同時接続数に基づいて検知された Proxy-IPに対する厳格な処理
100%のアノマリインスペクション § L3 / L4 / L7 HTTP / DN
レイヤー 3フラッド攻撃減災 § プロトコルフラッド攻撃(256すべて) § フラグメントフラッド攻撃 § ソースフラッド攻撃 § GREインスペクション
レイヤー 4フラッド攻撃減災 § TCPポート(65kすべて) § UDPポート(65kすべて) § UDPゲームポート § ICMPタイプ / コード(65kすべて) § SYN、接続フラッド攻撃 § SYNフラッド攻撃 § 毎秒の RST / FIN / ACKアウトオブ
ステートフラッド接続攻撃 § ソースレート別のフラッド(6Mソース) § ゾンビフラッド攻撃 § 低速接続攻撃 § TCPステート違反フラッド攻撃
レイヤー 7フラッド攻撃減災 § HTTP URL
§ HTTP METHODフラッド攻撃
(8つの METHODすべて) § ユーザーエージェントフラッド攻撃 § リファラーフラッド攻撃 § クッキーフラッド攻撃 § ホストフラッド攻撃
フラッド攻撃防止メカニズム § SYNクッキー、ACKクッキー、
SYNフラッド再送信、 DNSフラッド再送信 / TC=1
§ 正当な IPの評価 / マッチング § 送信元追跡(トラッキング) § 送信元レートリミット § アグレッシブエージング
L3 ~ L7アクセス制御リスト § IPレピュテーション § ドメインレピュテーション § パケット長 / プロトコル / ポート § ジオロケーション § IP / サブネットのブラックリスト /
ホワイトリスト § お客様による IPv4ブラックリストの
バルクアップロード § お客様によるドメインブラックリストのバルクアップロード
§ BCP38送信元アドレスの評価 / ローカルアドレスアンチスプーフィング機能拡張
§ プロトコル、フラグメント、DNSフラグ
メント、L4ポート、ICMPタイプ / コード § DNS RR ACL
§ HTTP METHOD、URL、リファラー、 ユーザーエージェント
§ Flowspecスクリプト生成
DNS攻撃減災 § DNSヘッダーによるアノマリ防止 § DNSクエリ応答マッチング § ソース毎のDNSクエリ / MX / ALL / ZT /
フラグメントフラッド攻撃
FortiDDoS
4 www.fortinet.co.jp
FortiDDoSの主な機能
§ DNSクエリ送信元の評価 § 予期しない DNSクエリ § 一方的な DNS応答フラッド攻撃 § フラッド攻撃状態のDNS応答キャッシュ § DNSクエリ TTLチェック § DNS固有 ACL
§ ドメインレピュテーションの
サブスクリプション
包括的なレポート機能を内蔵 § フィルタリング / エクスポート可能な
攻撃ログ § 以下を要約表示するグラフおよび
ログ機能: – 攻撃上位リスト / 攻撃者上位リスト – ACLがブロックしたトラフィック
上位リスト – 攻撃されたサブネット / IPアドレス
上位リスト
– 攻撃されたプロトコル上位リスト – 攻撃された TCP / UDPポート
上位リスト – 攻撃された ICMPタイプ / コード
上位リスト – 攻撃された URL、HTTPホスト、
リファラー、クッキー、 ユーザーエージェント上位リスト
– 攻撃された DNSサーバー上位リスト – 攻撃された DNSアノマリ上位リスト – SPP統計情報:Mbps / ppsと
ドロップ数の監視 – サブネット統計情報:Mbps / pps
トラフィック監視 § カスタム、オンデマンド、スケジュール指定、攻撃しきい値指定のレポート
§ 数千の内蔵レポート用グラフをリアル
タイムとフォレンジック分析に利用可能
イベントの一元レポート機能 § SNMP v2 / v3
§ メールアラート、レポート § オープン ESTful API
§ FortiAnalyzer、FortiSIEM、 サードパーティの Syslogサポート
監査証跡とアクセス証跡 § ログインの監査証跡 § 構成の監査証跡
管理 § SSL管理用 GUI
§ CLI
§ オープン ESTful API
§ マルチテナント MSSPポータル § Flowspecスクリプトの生成 § 現在の攻撃に関するアラート § オープンクラウド減災シグナリング
ダッシュボード画面(ステータスとイベント)
SPP統計情報:パケットモニタリング
レイヤー4ヘッダーアノマリドロップ数
FortiDDoS
5
技術仕様
FortiDDoS 200B FortiDDoS 400B FortiDDoS 800B
ハードウェア仕様
LANインタフェース:Copper GbE、バイパス機能内蔵 4 8 8
WANインタフェース:Copper GbE、バイパス機能内蔵 4 8 8
LANインタフェース:SFP GbE 4 8 8
WANインタフェース:SFP GbE 4 8 8
LANインタフェース:SFP+ 10 GbE / SFP GbE ― ― ―
WANインタフェース:SFP+ 10 GbE / SFP GbE ― ― ―
LANインタフェース:LCコネクタ(850 nm、10 GbE)、バイパス機能内蔵 ― ― ―
WANインタフェース:LCコネクタ(850 nm、10 GbE)、バイパス機能内蔵 ― ― ―
ストレージ 1x 480 GB SSD 1x 480 GB SSD 1x 480 GB SSD
形状 1 U アプライアンス 1 U アプライアンス 1 U アプライアンス
電源 単一(ホットスワップ対応 外部冗長電源オプション)
単一(ホットスワップ対応 外部冗長電源オプション)
単一(ホットスワップ対応 外部冗長電源オプション)
システム性能
スループット(エンタープライズトラフィック混合) 3 Gbps 6 Gbps 12 Gbps
パケットスループット 4 M pps 8 M pps 16 M pps
レイテンシ(最大 / 通常) 50 µs未満 / 10 µs未満 50 µs未満 / 10 µs未満 50 µs未満 / 10 µs未満
DDoS攻撃に対する応答時間 2 秒未満 2 秒未満 2 秒未満
高度な DNS減災(ファームウェア v4.2.0) ○ ○ ○
秒あたりの DNSクエリ 1 M 2 M 4 M
オープンハイブリッドクラウド減災サポート ○ ○ ○
動作環境
AC電源 100 ~ 240 V AC、50 ~ 60 Hz 100 ~ 240 V AC、50 ~ 60 Hz 100 ~ 240 V AC、50 ~ 60 Hz
DC電源 ― ― ―
消費電力(平均) 156 W 156 W 174 W
消費電力(最大) 260 W 260 W 285 W
最大電流(AC) 110 V / 5.29 A、120 V / 2.2 A 110 V / 5.29 A、120 V / 2.2 A 110 V / 5.29 A、120 V / 2.2 A
最大電流(DC) ― ― ―
放熱 887 BTU/h / 936 kjoules/h 887 BTU/h / 936 kjoules/h 972 BTU/h / 1026 kjoules/h
動作温度 0 ~ 40 ℃ 0 ~ 40 ℃ 0 ~ 40 ℃
保管温度 -25 ~ 70 ℃ -25 ~ 70 ℃ -25 ~ 70 ℃
湿度 5 ~ 95%(結露しないこと) 5 ~ 95%(結露しないこと) 5 ~ 95%(結露しないこと)
準拠規格
準拠規格 FCC Class A Part 15、UL / CB / cUL、C-Tick、VCCI、CE
サイズ
高さ x 幅 x 奥行 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm
重量 7.8 kg 7.8 kg 7.8 kg
FortiDDoS 200B FortiDDoS 400B
FortiDDoS 800B
Copyright© 2018 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。Fortinet®、FortiGate®、FortiCare®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。
〒106-0032東京都港区六本木 7-7-7 Tri-Seven Roppongi 9 階www.fortinet.co.jp/contact
DS-FDDoS-R23-201805-R1
FortiDDoS
技術仕様
FortiDDoS 1000B FortiDDoS 1200B
ハードウェア仕様
LANインタフェース:Copper GbE、バイパス機能内蔵 ― ―
WANインタフェース:Copper GbE、バイパス機能内蔵 ― ―
LANインタフェース:SFP GbE ― ―
WANインタフェース:SFP GbE ― ―
LANインタフェース:SFP+ 10 GbE / SFP GbE 8 8
WANインタフェース:SFP+ 10 GbE / SFP GbE 8 8
LANインタフェース:LCコネクタ(850 nm、10 GbE)、バイパス機能内蔵 ― 2
WANインタフェース:LCコネクタ(850 nm、10 GbE)、バイパス機能内蔵 ― 2
ストレージ 1x 480 GB SSD 1x 480 GB SSD
形状 2 U アプライアンス 2 U アプライアンス
電源 ホットスワップ対応冗長電源 ホットスワップ対応冗長電源
システム性能
スループット(エンタープライズトラフィック混合) 18 Gbps 36 Gbps
パケットスループット 24 M pps 48 M pps
レイテンシ(最大 / 標準) 50 µs未満 / 10 µs未満 50 µs未満 / 10 µs未満
DDoS攻撃に対する応答時間 2 秒未満 2 秒未満
高度な DNS減災(ファームウェア v4.2.0) ○ ○
秒あたりの DNSクエリ 6 M 12 M
オープンハイブリッドクラウド減災サポート ○ ○
動作環境
AC電源 100 ~ 240 V AC、50 ~ 60 Hz 100 ~ 240 V AC、50 ~ 60 Hz
DC電源 40.5 ~ 57 V DC ―
消費電力(平均) 253 W 311 W
消費電力(最大) 422 W 575 W
最大電流(AC) 110 V / 10.0 A、120 V / 5.0 A 110 V / 10.0 A、120 V / 5.0 A
最大電流(DC) 24 A ―
放熱(BTU/h) / (kjoules/h) 1440 / 1420 1962 / 2070
動作温度 0 ~ 40 ℃ 0 ~ 40 ℃
保管温度 -25 ~ 70 ℃ -25 ~ 70 ℃
湿度 5 ~ 95%(結露しないこと) 5 ~ 95%(結露しないこと)
準拠規格
準拠規格 FCC Class A Part 15、UL / CB / cUL、C-Tick、VCCI、CE
サイズ
高さ x 幅 x 奥行 88 x 438 x 560 mm 88 x 438 x 560 mm
重量 16.2 kg 16.2 kg
FortiDDoS 1000B FortiDDoS 1200B