FortiDDoS DDoS 攻撃ミティゲーション(緩和)アプライアンス 絶え間なく変化し続ける DDoS 攻撃 DDoS(Distributed Denial of Service)攻撃は、依然としてITセキュリティに対する最大の脅威と なっており、重要なオンライン サービスを停止させることを目的としてあらゆる面で巧妙化が進んでい ます。1つの問題が、ある特定のテクノロジーと結びつくことなくこれほどまでに活発で広範囲に及んだ ことは一度もありません。政治的ハッカーやサイバーテロリストが、お客様のネットワークへのアクセスを 阻止するために悪用できるツール群は、 ほぼ無限に存在すると言っても過言ではありません。巧妙化した エンタープライズ データセンターに最適な 先進のDDoS対策 ソリューション DDoS攻撃はレイヤー7アプリケーション サービスを標的にしており、そのサイズは非常に小さいため、 従来のISPベースの緩和対策では攻撃を検知することはほぼ不可能です。 このような攻撃に対抗するためには、攻撃のレベルと同様にダイナミックで広範囲なソリューションが必 要です。フォーティネットのFortiDDoS攻撃ミティゲーション (緩和) アプライアンスは、 ビヘイビアベー スの攻撃検知メソッドと100% ASICベースのプロセッサを採用しており、 今日の市場でもっとも高速な 最先端のDDoS攻撃の緩和を実現します。 独自の優れたアプローチによる DDoS 攻撃緩和 DDoS対策において100% ASICベースのアプローチを採用する唯一の企業であるフォーティネット の製品は、CPUまたはCPU/ASICハイブリッド システムのようなオーバーヘッドやリスクを生じること がありません。独自のFortiASIC-TP2トランザクション プロセッサによって、DDoS攻撃の検知と緩和 の両方が実行されます。また、FortiASIC-TP2プロセッサはレイヤー3、4および7のすべてのトラフィッ クのタイプを処理することが可能で、攻撃の検知と対策パフォーマンスが向上し業界トップレベルの比類 ない低レイテンシを実現します。 主にシグネチャベースのマッチングに依存している競合製品に対して、FortiDDoSは脅威を特定するた めにヒューリスティック/ビヘイビアベースの方式を100%使用します。FortiDDoSは、事前定義した シグネチャを使用して攻撃パターンを特定する代わりに、攻撃を受けていない平常時のアクティビティの ベースライン(基準)を作成し、そのベースラインに照らしてトラフィックを監視します。攻撃が始まると、 FortiDDoSはそのビヘイビアをアノマリと判断して即座に緩和策を実行します。FortiDDoSはシグネ チャ ファイルの更新を待つ必要がなく、 お客様は既知の攻撃だけでなく未知の「ゼロデイ」攻撃からも保 護されます。 また、 FortiDDoSは他のソリューションと異なる独自の攻撃緩和を行います。他のDDoS攻撃緩和アプラ イアンスでは、 一度攻撃が始まるとその脅威が終了するまでその攻撃は100%ブロックされます。 このた め、あるイベントが誤って特定のシグネチャとマッチしていると 「誤検知」された場合、 管理者による手動で の対応が行われるまですべてのトラフィックが遮断されてしまうことになります。 これに対し、 FortiDDoS はまず通常のトラフィックを監視し、 レピュテーション ペナルティのスコアによる評価システムを利用して、 「善良な」IPアドレスと問題を引き起こしている他のIPアドレスとを分類評価することで、 より精度の高い • 100%ハードウェア ベースのレイヤー 3、4および7のDDoSプロテクション 対策により、迅速な攻撃の特定と緩和を 実現 • DDoSに対するビヘイビアベースの保護 機能により、 シグネチャ ファイルがなくて もあらゆる脅威に対応可能 • 双方向の攻撃緩和を実現する最大24 Gbpsの全二重スループット • 1台のアプライアンスで攻撃者IPのビヘ イビア評価、地理的位置に基づくACL、そ してスロー クライアント アタック対策を すべて提供し、 レイヤー3、4および7に 対するDDoS攻撃の完全な保護を実現 • 業界トップレベルの50マイクロ秒未満 の超低レイテンシ • 継続的な脅威評価機能により、 「誤検知」 リスクを最小限に抑制 • バイパス機能を備えた最大16x 10G SFP+ファイバー インタフェースによる 先進の接続性 • 導入展開と管理の容易な直感的なGUI および総合的なレポート/分析ツール 脅威検出アプローチを実現しています。 FortiCare FortiGuard Worldwide 24x7 Support Threat Research & Response support.fortinet.com www.fortiguard.com www.fortinet.co.jp FortiDDoSは、有害なIPアドレスからの攻撃をブロックし、ユーザーの設定 ISPによって阻止されますが、最近ではより複雑なアプリケーションレベルの したサイクルで攻撃の評価を繰り返します (デフォルトでは15秒ごと)。この 攻撃を隠ぺいする目的で使用されることが増えています。このようなタイプ ような有害なIPアドレスからの攻撃が評価を繰り返す中で継続したものであ の脅威へのもっとも容易な対応策は、攻撃が終了するまで単純にすべてのト るとわかれば、その評価は悪くなっていき、ユーザーが設定したしきい値に ラフィックをブロックしてしまうことです。FortiDDoSは、内蔵のIPレピュ 達するとブラックリストに追加されます。 テーション評価システムを活用し、問題を引き起こしているIPアドレスからの トラフィックを抑制すると同時に、 「善良な」 トラフィックを通過させることが 容易な設定と管理 できます。このFortiDDoS独自の優れた処理機能によって、必要な保護が FortiDDoSの自動学習ツールでは、1時間未満の短時間でご利用のアプリ 提供されるだけでなく、 「誤検知」の影響で善良なクライアント トラフィック ケーションのトラフィック パターンの完全なベースラインを作成することが を遮断してしまう可能性が最小限に抑制されます。 できます。ベースラインの作成が完了したら、 しきい値を設定しますが、 シン プルにデフォルト設定を使用することもできます。このような簡単な準備を 行うだけで、FortiDDoSはあらゆるDDoS攻撃からの保護を自動的に開始 します。お客様は、膨大な数の設定に長時間を費やすことや、 シグネチャの アップデートを気に掛ける必要もありません。 レイヤー7を標的にした攻撃: これは急速に増加しているDDoS攻撃です。 この攻撃は、 サービス内の脆弱性を悪用してサービスのリソースを使い尽く し、利用できない状態にします。このタイプの攻撃は、通常は帯域幅占有型 攻撃に組み入れられていますが、個別に実行することも可能です。この攻撃 は、サービスを停止させるために必要とする帯域幅が非常に少ないため攻 FortiDDoSが備える総合的なレポート機能とダッシュボードにより、お客様 撃の検知が難しく、通常はISPを通過して直接お客様のネットワークに到達 はサービスに対する攻撃や脅威を容易に検証することが可能になります。必 してしまいます。規模の大小を問わず、 レイヤー7を標的にしたすべての攻 要に応じてレポート機能を実行することや、 定期的にレポートが配信されるよ 撃は、 サービス レベルでの異変を引き起こします。FortiDDoSは、 ビヘイビ うにスケジュールを設定することもできます。また、 ダッシュボードでは使い ア分析エンジンを活用してこのような異変を検知し、緩和対策を実行しま やすいシングル ページにレイアウトされたスクリーン上に攻撃の動向が分 す。 かりやすく表示されるため、容易に状況を把握することが可能です。一般的 なステータス レポート、あるいは攻 撃に関する詳 細な分 析を問わず、 FortiDDoSは特定のイベントや期間におけるサービス レベルへの攻撃お よび実行された攻撃を緩和する対策に関して、詳細な情報を提供します。 SSL接続攻撃:この攻撃は、SSLによる暗号化通信を悪用して攻撃パケット の中身を隠ぺいします。さらに、SSL暗号化が利用されることは多くの場合、 攻撃対象のリソースを枯渇させるために必要な攻撃者側のリソースははる かに少ないことを意味します。シグネチャベースのソリューションのほとんど は、 トラフィックを復号して既知の攻撃プロファイルとのマッチングを行わな 柔軟な防御メカニズム FortiDDoSは、帯域幅占有型攻撃、 レイヤー7アプリケーション攻撃、そして SSL/HTTPS接続攻撃などのあらゆるDDoS攻撃に対する防御機能を提 供します。使い古された手口から最新のサービス レベルの攻撃に至るまで、 FortiDDoSは万全の対策でお客様を脅威から保護します。 帯域幅占有型攻撃: DDoS攻撃の中でもっとも古いタイプで、今日まで猛威 ければなりません。これに対し、FortiDDoSのようなビヘイビア分析型シス テムの場合、攻撃によってビヘイビアに変化が起こるため暗号の復号プロセ スを経ることなくこのような攻撃を検知することが可能です。このようなビ ヘイビアの変化を、通常時の正常なビヘイビアと比較することで、そういっ たリソースの消費の変化を把握することが可能になります。関係するリソー スが攻撃されると、FortiDDoSは迅速に緩和策を実行し攻撃に対応します。 をふるい続けています。もっともシンプルなタイプの攻撃の場合、通常は 主な機能と特長 100%ビヘイビアベースの攻撃検知 FortiDDoSは、最新の脅威情報の更新が必要なシグネチャ ファイルに依存しないため、お客様は既知の 攻撃だけでなく未知の「ゼロデイ」攻撃からも保護されます。 100%ハードウェア ベースのDDoS保護 独自のFortiASIC-TP2トランザクション プロセッサによって、 レイヤー2、3および7のDDoS攻撃の 双方向の検知と緩和が行われ、業界トップ レベルのパフォーマンスを実現します。 攻撃の継続的な評価機能 「善良な」 トラフィックを遮断してしまうことがないように攻撃の再評価をおこない、 「誤検知」のリスクを 最小限に抑制します。 ラインレート性能 FortiDDoSは、持続的な攻撃を受けて回線帯域の利用率が100%の状況になっても、 トラフィック量に 圧倒されてDDoS攻撃に屈することは決してありません。 自動学習プロセス FortiDDoSでは、 最小限の設定を行うだけで平常時のトラフィックとリソースのビヘイビアのプロファイルが 自動的に作成されるため、時間や労力を節約しIT管理リソースを有効活用できるようになります。 多様な攻撃に対する保護 FortiDDoSは、 トラフィックのビヘイビアを把握することによって、従来の帯域幅占有型攻撃から巧妙な レイヤー7 SSL接続攻撃まであらゆるDDoS攻撃を、 トラフィックを復号することなく検知することが できます。 2 特長 パケット インスペクション テクノロジー レイヤー 4 フラッド攻撃緩和 • TCPポート (すべて) • 詳細なパケット インスペクション • UDPポート (すべて) • ステートフル インスペクション • ICMP TCP/コード (すべて) • 継続したアダプティブ (適応型) レートリミット • コネクション フラッド攻撃 • ヒューリスティック分析 • SYNフラッド攻撃 • 予測型のビヘイビアベース分析 • 過剰SYN/ソース/秒 • 過剰コネクション確立/秒 複合検証プロセス • ダイナミック フィルタリング • アクティブ検証 • アノマリ識別 • ゾンビ フラッド攻撃 • ソース フラッドごとの過剰コネクション • ホワイトリスト、 ブラックリスト、 追跡(トラッキング)対象外サブネット ション • TCPステート違反フラッド攻撃 レイヤー 7 フラッド攻撃対策 • 命令コード フラッド攻撃 • HTTP URL取得フラッド攻撃 • ステルス攻撃フィルタリング • ユーザーエージェント フラッド攻撃 • ダークアドレススキャンの防止 • リファラー フラッド攻撃 • 送信元アドレスの追跡(トラッキング) • クッキー フラッド攻撃 • 正当なIPアドレス マッチング • ホスト フラッド攻撃 • 関連URLアクセス • 必須HTTPヘッダー パラメーター フラッド攻撃防止メカニズム • SYNクッキー、ACKクッキー、SYN再送 • 接続制限 • アグレッシブ エージング • シーケンシャルHTTPアクセス • 送信元ごとのSIP Invite • 同一URL/秒 • 同一ユーザーエージェント/ホスト/リファラー /クッキー/秒 • 同一ユーザーエージェント、ホスト、 クッキー、 リファラー/秒 • アンチスプーフィング チェック • 関連URLヒューリスティックス 統計レポート機能 • 攻撃上位リスト • 攻撃されたサブネット上位リスト • 攻撃されたプロトコル上位リスト • 攻撃されたTCPポート上位リスト • 攻撃されたUDPポート上位リスト • 攻撃されたICMPタイプ/コード上位リスト • 攻撃されたURL上位リスト • 攻撃されたHTTPホスト上位リスト • 攻撃されたHTTPリファラー上位リスト • 攻撃されたHTTPクッキー上位リスト • 攻撃されたHTTPユーザーエージェント 上位リスト • 送信元ごとのSIP Register • 送信元ごとのSIP Concurrent Invite 管理機能 • SSL対応GUI管理画面 • 正当なIPアドレス マッチング • 送信元レートリミット • プロトコル パケット/秒 • 攻撃者上位リスト • ステート アノマリ識別 (アンチスプーフィング) • フラグメント パケット/秒 • デスティネーション フラッドごとの過剰コネク • プロトコル分析 • レートリミット • パケット/ポート/秒 IP レピュテーション分析 • 送信元追跡(トラッキング) • 動的IPレピュテーション分析 • きめ細かいレートリミット • IPレピュテーション データベースの更新 • CLI • RESTful API イベントの一元レポート機能 レイヤー 3 フラッド攻撃緩和 • プロトコル フラッド攻撃 ビヘイビアのモニタリングの メトリック • GUI • SNMP • Eメール • フラグメント フラッド攻撃 • パケット/ソース/秒 • ソース フラッド攻撃 • SYNパケット/秒 • デスティネーション フラッド攻撃 • コネクション確立/秒 • ダークアドレス スキャン • SYNパケット/ソース/秒 • デスティネーションごとの過剰なTCP接続 • コネクション/秒 • ジオロケーション アクセス コントロール • ログイン証跡 • 同時コネクション/ソース • 設定変更証跡 ポリシー(ACP) • MRTG、Cactiサポート 監査証跡とアクセス証跡 • 同時コネクション/デスティネーション 3 ダッシュボード画面 (ステータスとイベント) ポート統計情報: パケットモニタリング ドロップの集計情報 4 技術仕様 FortiDDoS-200B FortiDDoS-400B FortiDDoS-800B FortiDDoS-1000B FortiDDoS-2000B LANインタフェース Copper GE、バイパス機能内蔵 4 8 8 – – WANインタフェース Copper GE、バイパス機能内蔵 4 8 8 – – LANインタフェース(ファイバー)GE 4 8 8 – – WANインタフェース(ファイバー)GE 4 8 8 – – LANインタフェース SFP+(10 Gbps) – – – 8 8 WANインタフェース SFP+(10 Gbps) – – – 8 8 LANインタフェース SFP+(10 Gbps)、バイパス機能内蔵 – – – – 2 ハードウェア仕様 – – – – 2 ストレージ WANインタフェース SFP+(10 Gbps)、バイパス機能内蔵 1 x 480 GB SSD 1 x 480 GB SSD 1 x 480 GB SSD 1 x 480 GB SSD 1 x 480 GB SSD 形状 1U アプライアンス 1U アプライアンス 1U アプライアンス 2U アプライアンス 2U アプライアンス システム性能 スループット (全二重) 2 Gbps 4 Gbps 8 Gbps 12 Gbps 24 Gbps 同時接続数 1M 1M 2M 3M 6M 同時処理ソース数 1M 1M 2M 3M 6M 100 K/秒 100 K/秒 200 K/秒 300 K/秒 600 K/秒 50 マイクロ秒未満 50 マイクロ秒未満 50 マイクロ秒未満 50 マイクロ秒未満 50 マイクロ秒未満 2 秒未満 2 秒未満 2 秒未満 2 秒未満 2 秒未満 45 x 432 x 414.5 45 x 432 x 414.5 45 x 432 x 414.5 88 x 438 x 560 88 x 438 x 560 7.8 kg 7.8 kg 8.2 kg 16.2 kg 17.6 kg 100 - 240 V AC, 50 – 60 Hz 100 - 240 V AC, 50 – 60 Hz 100 - 240 V AC, 50 – 60 Hz 100 - 240 V AC, 50 – 60 Hz 100 - 240 V AC, 50 – 60 Hz 消費電力(平均) 156 W 156 W 174 W 253 W 311 W 消費電力(最大) 260 W 260 W 285 W 422 W 575 W 110 V/5.29 A, 120 V/2.2 A 110 V/5.29 A, 120 V/2.2 A 110 V/5.29 A, 120 V/2.2 A 110 V/10.0 A, 120 V/5.0 A 110 V/10.0 A, 120 V/5.0 A 1,962 BTU/h セッション セットアップ/ティアダウン レイテンシ DDoS攻撃に対する応答時間 サイズ 高さ x 幅 x 奥行(mm) 重量 動作環境 AC電源 電流(最大) 放熱 887 BTU/h 887 BTU/h 972 BTU/h 1,440 BTU/h 動作温度 0 ~ 40 ℃ 0 ~ 40 ℃ 0 ~ 40 ℃ 0 ~ 40 ℃ 0 ~ 40 ℃ 保管温度 -25 ~ 70 ℃ -25 ~ 70 ℃ -25 ~ 70 ℃ -25 ~ 70 ℃ -25 ~ 70 ℃ 5 ~ 95% (結露しないこと) 5 ~ 95% (結露しないこと) 5 ~ 95% (結露しないこと) 5 ~ 95% (結露しないこと) 5 ~ 95% (結露しないこと) FCC Class A Part 15, UL/CB/cUL, C-Tick, VCCI, CE FCC Class A Part 15, UL/CB/cUL, C-Tick, VCCI, CE FCC Class A Part 15, UL/CB/cUL, C-Tick, VCCI, CE FCC Class A Part 15, UL/CB/cUL, C-Tick, VCCI, CE FCC Class A Part 15, UL/CB/cUL, C-Tick, VCCI, CE 湿度 準拠規格 準拠規格 FortiDDoS-200B FortiDDoS-800B FortiDDoS-400B FortiDDoS-1000B FortiDDoS-2000B 〒106-0032 東京都港区六本木 7-18-18 住友不動産六本木通ビル 8 階 www.fortinet.co.jp/contact Copyright© 2014 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告な しに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。 Fortinet®、FortiGate®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。 DS-FDD-R9-201411-R1
© Copyright 2024 ExpyDoc