UTM產品說明 101年10月29日 南區分公司企業客戶處 林珍裕

Agenda 產品說明 服務簡介 附錄-UTM功能介紹

UTM硬體設備-50B 原生高效能UTM硬體加速晶片ASIC 。 全球同步即時自動更新病毒特徵碼、防禦零時差。 全系統繁體中文操作介面及內容，簡單易懂好操作。 易於集中控管及完整內容式報表稽核記錄。 提供強大防駭、防火牆、網頁過濾、VPN、防垃圾信、應用程式控管及資訊洩漏等大型企業級資安防 護。 內建USB介面支援多家電信業 者3G/3.5G無線網卡提高部署彈性。 雙WAN界面，內建10個虛擬UTM分割(Virtual Domain) 。 規格 防火牆效能 VPN (IPSec) 效能 防毒效能 入侵防禦效能 FG-50B 50Mbps 48Mbps 19Mbps 30Mbps 最大同時 連線數 防火牆 政策數 乙太網路 交換埠 DMZ埠 WAN 介面數 其他介面 25,000 2,000 3 0(可將WAN埠設定為DMZ埠) 2 USB

ExpressCard/ USB埠支援3.5G網卡 UTM硬體設備-80C 原生高效能UTM硬體加速晶片ASIC(CP6)。 全球同步即時自動更新病毒特徵碼、防禦零時差。 全系統繁體中文操作介面及內容，簡單易懂好操作。 易於集中控管及完整內容式報表稽核記錄。 提供強大防駭、防火牆、網頁過濾、VPN、防垃圾信、應用程式控管及資訊洩漏等大型企業級資安防護。 內建Express卡槽及USB介面支援多家電信業者3G/3.5G無線網卡提高部署彈性。 雙WAN界面，DMZ界面，能讓網管人員切分內部使用者的信任區域，和公共使用者的非信任區，內建10個虛擬UTM分割(Virtual Domain) 。 規格 防火牆效能 VPN (IPSec) 效能 防毒效能 入侵防禦效能 FG-80C 350Mbps 80Mbps 90Mbps 100Mbps 最大同時 連線數 防火牆 政策數 乙太網路 交換埠 DMZ埠 WAN 介面數 其他介面 100,000 2,000 6 1 2 ExpressCard/ USB埠支援3.5G網卡

USB埠支援3.5G網卡/FSM Storage Bay UTM硬體設備-200B 原生高效能UTM硬體加速晶片ASIC(CP6)。 原生高效能UTM硬體加速晶片ASIC(NP2) 全球同步即時自動更新病毒特徵碼、防禦零時差。 全系統繁體中文操作介面及內容，簡單易懂好操作。 易於集中控管及完整內容式報表稽核記錄。 提供強大防駭、防火牆、網頁過濾、VPN、防垃圾信、應用程式控管及資訊洩漏等大型企業級資安防護。 內建USB介面支援多家電信業者3G/3.5G無線網卡提高部署彈性。 提供4 x 10/100/1000 FortiASIC-accelerated port(NP2), 4 x 10/100/1000, 8 x 10/100 port，能讓網管人員切分內部使用者的信任區域，和公共使用者的非信任區，內建10個虛擬UTM分割(Virtual Domain) 。 規格 防火牆效能 VPN (IPSec) 效能 防毒效能 入侵防禦效能 FG-200B 5Gbps 2.5Gbps 200Mbps 650Mbps 最大同時 連線數 防火牆 政策數 乙太網路 交換埠 10/100/1000埠 10/100/1000埠(NP2) 其他介面 500,000 6,000 8 4 USB埠支援3.5G網卡/FSM Storage Bay

UTM硬體設備 New! Fortinet FG-50B Fortinet FG-80C Fortinet FG-200B 50Mb/s 機種功能比較 Fortinet FG-50B Fortinet FG-80C Fortinet FG-200B 防火牆效能 (512 byte UDP packets) 50Mb/s 350Mb/s 5Gb/s 防病毒效能 (Flow-based) 19Mb/s 90Mb/s 200Mb/s IPS效能 30Mb/s 100Mb/s 650Mb/s IPSec VPN效能 48Mb/s 80Mb/s 2.5Gb/s SSL VPN效能 15Mb/s 110Mb/s Dedicated IPSec VPN Tunnels (Client-to-Gateway) 20 300 2,000 Concurrent SSL VPN Users (Recommended Max) 60 200 防火牆最大並發連線數 25,000 100,000 500,000 防火牆每秒新建連線數 5,000 15,000 UTM功能 Yes(3年授權) 6

無獨立DMZ Port，可設定WAN Port為DMZ用。 無獨立DMZ Port，可設定LAN Port為DMZ用 機種比較 租賃機種 Fortinet FG-50B Fortinet FG-80C Fortinet FG-200B 對外連線速率 20M/2M或以下 20M/2M以上 50M/5M以上 同時上線人數 50人以下 200人以下 防火牆 1000 人、UTM 200 人功能不打折 SSL VPN連線數 20條以下 60條以下 200條以下 網段數 3個以內 4個以內 16個以內 Gigaport 無 2*10/100/1000 WAN Ports 8*10/100/1000 Ports (包含4 *10/100/1000 NP2 Ports) Port number 2*WAN,3*LAN ports 2*WAN,1*DMZ,6*LAN ports 16*ports 架設各式網站 無獨立DMZ Port，可設定WAN Port為DMZ用。 有獨立DMZ Port 無獨立DMZ Port，可設定LAN Port為DMZ用 啟動Anti-Virus 效能佳 效能優 效能更優

Agenda 產品說明 服務簡介 附錄-UTM功能介紹

服務簡介 高效能進階防火牆(UTM)硬體設備 全功能授權 到府安裝維護 協助企業在有限的預算下，將UTM發揮最大防護功效 軟體授權效期：全功能授權，租期內永久有效 硬體保固期間：租期內永久保固 韌體是否可更新/升級：是 租期屆滿，設備歸屬客戶所有，不需歸還 全功能授權 到府安裝維護 協助企業在有限的預算下，將UTM發揮最大防護功效

IMO到府安裝維護 將設備連上客戶之內部網路並開機確認UTM硬體燈號正常(客戶需自行完成內部網路線路佈線工程，並完成內部資訊系統設定) 上線註冊UTM設備，取得UTM設備保固及病毒、入侵偵測碼更新的權限 依契約客戶需求，設定以下UTM功能: 備份UTM設備config檔 系統管理 路由設定 防火牆 使用者認證 病毒檢查 入侵防禦 網頁過濾 垃圾郵件過濾  IM，P2P&VoIP 紀錄與報表

IMO到府安裝維護 倘因設備發生故障導致線路中斷、或服務中斷，中華電信提供二十四小時故障叫修服務 服務專線為：0800-080-365 中華電信接獲客戶維修通知後，於4個工作小時內回應 約定維修日後，於8個工作小時內完成維修 設備維護時間：週一至週五，上午9：00 至下午5：00，不含國定例假日及彈性放假日

費率及優惠包裝 硬體設備 方案 設定費 月租費 期滿後服務費 Fortigate 50B 綁約二年 免收 1,529 689 綁約三年 989 Fortigate 80C 2,479 1,049 1,649 Fortigate 200B 7,949 4,990 5,165

中華電信看到了 資安完整委外服務，交給中華電信就對了！

Thank you! www.cht.com.tw

附錄-UTM功能(16項)介紹

UTM簡介 UTM：Unified Threat Management，高效能進階防火牆。 UTM包含多種安全功能整合到單一硬體設備，必須包含防火牆、VPN、IPS、防毒、防垃圾郵件、網址過濾、內容過濾等功能。 VPN Servers URL Filters Firewall Antivirus Users IPS / IDS Antispam

防火牆( FIREWALL ) Internet 應用服務商 分支辦公室 保護來自外部的危害連接：在企業內部網路及網際網路之間架設一道可管制所有封包進出，允許或禁止網路上特定之資料存取行為的緩衝界面(Gateway) 。 防火牆在企業網中的應用 應用服務商 分支辦公室 主機 系統 應用 服務器 Internet FortiGate 病毒防火牆 Hub

防毒( ANTIVIRUS ) ——病毒檢查 FortiGate平台採用創新「FortiASIC TM 內容處理晶片」，讓關鍵性網路通訊，如： Web 網站、電子郵件、檔案傳輸，甚至 VPN 流量都能在病毒、蠕蟲及惡意程式碼進入您的網路之前加以掃描清除，大大減少了網路和主機受攻擊的風險，包含： 1.病毒掃描。 2.可阻擋指定的附檔(如：.rar .exe) 。 3.可限定傳送檔案的大小做掃毒 (如：20MB以上的檔案判定不是 病毒直接pass比較不會耗資源) 。 4.可針對IP，隔離病毒寄送者。 5.可隔離判斷為病毒的檔案。 ˙防病毒 - 反惡意軟體

入侵偵測防禦 ( IPS ) Internet 直接丟棄攻擊封包 ˙ UTM結合入侵偵測與防禦的功能，輔助「防火牆」監控網路的異常活動 （如：包藏在應用層裡的惡意攻擊碼），並啟動保護機制，避免惡意連線。 ˙當發現網路異常封包或行為時，系統除傳送電子郵件警告外， 還會立即採 取必要的處置措施，如：阻斷來源IP。 ˙根據原廠提供的特徵碼判別是否為ips攻擊（包含DOS可選擇特定名稱和數 量做Block 或 Pass）。 ˙ 可以自訂ips攻擊特徵碼。 攻擊端 被攻擊端 Internet In-Line Mode IPS 直接丟棄攻擊封包

網頁過濾( Web filter ) Internet 的網頁過濾政策 過濾HTTP&HTTPS網路流量，保護企 ˙針對HTTP&HTTPS資料， 加入傳統 的網頁過濾政策 過濾HTTP&HTTPS網路流量，保護企 業內部使用者連入有害的網站取得不 當內容/惡意程式 ，也可以針對網頁內 容關鍵字和URL做Block。 Internet 1.使用者對HTTP & HTTPS伺服器發起 一個連線 2.FortiGate攔截連線 3.網頁過濾政策套用在加密或非加密資料 流中 Corporate LAN

垃圾郵件過濾 ( Anti-spam ) UTM(Applicattion controul) 針對IM & P2P 軟體做黑白名單的設定 UTM可以識別並過濾郵件地址 ，透過定義過濾郵件的內容，來保護惡意E-MAIL及附件的攻擊。

網路電話支援 ( VoIP) Internet VoIP（Voice over IP）即是透過IP網路傳輸語音資料的技術，也就是一般所謂的「網路電話」。 UTM針對外部通過的流量，可辨識VoIP封包，允許其通過。一旦通話結束，節點便會自動關閉，以達到最安全的網路防護。 FortiGate VoIP

NAT / 路由模式設定 Internet ˙ 支援靜態路由與多種動態路由 （如：RIP、OSPF、 BGP 、 Multicast Routing），提供多樣 化的路由交換能力。 ˙支援網路位址轉換（NAT）— — 支援多臺內部主機共用同一公有 IP，以提供網際網路服務的共享， 可節省公有IP的使用，並進階保護 網路安全。 internal network DMZ network Mail Server Web Server Internet

QoS頻寬管理( Layer7-based) Internet 網路頻寬就如同一條交通大馬路，馬路會分汽機車專用道、人行道等以保證行車順暢與安全。網路也是一樣，透過全新一代UTM防火牆可以藉由拆解比對封包特徵，對組織內正常業務進行分流，保障應有頻寬使用順暢，並限制非業務行為流量，讓網路不塞車。 Wan1 Wan2 保證頻寬 限制頻寬

Internet QoS P2P限制頻寬 上傳總頻寬480K 現今P2P軟體愈來愈猖獗氾濫，一般傳統的防火牆無法管控。但透過 Layer 7 Application辨識技術可監控1,100多種P2P，並且有效限制下載娛樂性檔案所耗用的頻寬與惡意流量，讓公司停止不斷升級頻寬的惡夢。 其他服務頻寬280K P2P可用頻寬200K P2P可用頻寬 其他服務可用頻寬 高P2P用戶 低P2P用戶 一般用戶

QoS頻寬管理 IP-based Internet 針對各個使用者的IP，設定可允許使用的上下傳頻寬。 Wan1 Wan2 高階主管 (10.16.22.XXX) 其他同仁 (10.16.33.XXX)

Internet WAN1 IM控管 IM（即時通訊軟體）為目前資訊傳遞重要的管道之一，也是資料外洩最嚴重的管道。透過全新的UTM可讓公司內部人員分群組化，依照不同部門設定不同的資安政策與使用權限。讓IM使用起來無後顧之憂。 業務部 內勤人員 倉管人員

3G備援 3G Network FG-50B / FG-80C提供企業透過USB埠連接3G網路卡。企業可採用3G網路作為網路備援方案，當固接線路發生網路異常中斷連線時，可立即啟動3G無線網路備援機制，以確保企業營運不受網路障礙影響而中斷，使網路服務更加可靠。 Internet USB 3G Dongle

IPSEC VPN 網際網路 總部 分支 IPSEC-VPN tunnel LAN1 LAN2 分公司與總公司間的網路安全連線，可透過兩臺UTM的對接，建立安全通道 (IPSec VPN)，提供分公司的員工們快速且安全的資料存取服務（如：存取總公司的Mail Server、FTP）。

SSL VPN LAN1 LAN2 SSL-VPN Tunnel SSL-VPN Tunnel SSL-VPN Tunnel Internet 遠端使用者於家庭 遠端使用者於機場或旅館 合作夥伴及客戶 針對外出業務、合作夥伴、行動通勤的員工們可透過瀏覽器，直接和企業內部進行SSL VPN連線，並且透過UTM設備上的防毒機制，保護分公司、合作夥伴，以及公司總部之間的通訊，彼此可安全存取企業內部的共享資源。

IPSEC VPN ＆ SSL VPN 總公司 SSL VPN IPsec VPN 子公司 SSL VPN 分公司

記錄與報表 流量等進行全面的記錄。 的、攻擊方式等，並提供參考網址，可以直接訪問Fortinet相應網站尋求最 佳解決方案。 ˙UTM擁有日誌功能，可以對管理事件、病毒、攻擊、Web過濾、反垃圾郵件、 流量等進行全面的記錄。 ˙所有的病毒、攻擊等行為都會記錄在日誌當中，含：時間、攻擊源、攻擊目 的、攻擊方式等，並提供參考網址，可以直接訪問Fortinet相應網站尋求最 佳解決方案。 ˙也可儲存在FortiGate memory、外部的 FortiAnalyzer 或syslog並透過 E-mail發送Alert訊息。