Fortinet网络安全平台
2025年02月07日 08:30 黑龙江
在IT与OT融合的网络安全系列中我们已经介绍了「资产识别与可视化|构建IT与OT融合网络安全的开局」与「网络分段与微隔离|OT网络安全*有效架构及其关键实践」,在这样的实践部署之后,自然而然将进入下一个阶段,如何对接入网络的用户、设备、应用程序分配访问的权限与资源,零信任原则成为“解题思路”。Fortinet 基于零信任原则OT网络策略“**信任,始终验证”的安全方法,为接入网络及网络内的设备、用户、终端、云和 IT/OT 基础设施提供全面保护。
以零信任原则,Fortinet监控及控制对数字资产以及网络的接入与访问解决方案包含如下关键组件:
FortiGate
FortiGate防火墙通过深度数据包检测(DPI)实现对用户、设备和应用的严格访问控制策略。
FortiAuthenticator
FortiAuthenticator通过统一身份验证,确保每个用户的身份经过强验证,支持单点登录(SSO)、多因子认证(MFA)等功能,有效防止凭据滥用。
FortiToken与FortiClient
FortiToken 提供双因素身份验证,使用带有推送通知的***密码 (OTP) 应用程序或基于硬件时间的 OTP 令牌。FortiToken通过动态密码生成增强访问安全性,FortiClient作为终端管理软件,为每台终端设备提供零信任网络访问(ZTNA),确保其仅能访问授权资源。
FortiPAM
FortiPAM专注于特权账户管理,通过监控和记录管理员操作,防止关键系统被恶意操控。
“谁”在连接网络:
验证接入网络的用户身份
当用户进行网络连接时,FortiAuthenticator 会验证其身份。它简化并集中了用户身份信息的管理和存储,同时对每个区域和管道的访问进行精细控制。它还与 Active Directory、RADIUS、LDAP、802.1x 无线身份验证、证书管理和单点登录 (SSO) 集成。
FortiAuthenticator与 FortiToken 兼容并为其提供补充。FortiToken 是一种基于软件和硬件的令牌技术,用于双因素身份验证和安全访问,可实现与多个 FortiGate 网络安全设备和第三方设备的身份验证。FortiToken 要求用户拥有适当的软件或硬件令牌,而不仅仅是正确的用户名和密码。
FortiAuthenticator 以 Fortinet 单点登录 (SSO) 为基础,增加了更广泛的用户识别方法和更高的可扩展性。FortiAuthenticator识别用户、查询、访问第三方系统的权限,并将这些信息传达给 FortiGate 设备,以便它们可以实施基于身份的策略。
Fortinet SSO 通过提供对 Fortinet 连接网络的安全身份和基于角色的访问,节省时间并提高工作效率。通过与现有 Active Directory 或 LDAP 身份验证系统集成,Fortinet SSO 可实现企业范围内基于用户身份的安全性,而不会妨碍用户或增加网络管理员的工作量。
“是什么”在连接网络:
验证接入网络的设备与所访问的应用
Fortinet 零信任网络访问 (ZTNA) 框架可以安全地将用户连接到应用程序,无论用户位于何处,也无论应用程序托管在何处。FortiGate与 FortiClient、FortiPAM 可协同实现零信任网络接入控制。与 FortiPAM 结合,FortiClient 可建立应用程序身份并向 FortiGate 确认是否应授予这些应用程序访问权限以及授予哪些用户。
ZTNA确保了到OT网络接入与访问路径与通道的安全,FortiPAM是在OT系统内部对关键资产有特权访问的账户做严格的控制与监控。FortiPAM 可与对多个运行FortiClient终端的可扩展和集中管理对的FortiClient EMS集成,为每个会话启用持续的零信任端点验证,同时可确保只有经过授权和验证的设备才能访问关键 OT 资产。
图片
ZTNA IAM:用户&设备的认证
图片
在FortiAuthenticatoru人证平台
添加IoT终端设备账号
图片
通过认证的loT终端设备被划分到不同VLAN
图片
ZTNA-用户认证
图片
FortiAuthenticator + FortiToken
+ SAML 完成双因子认证SSO
左右滑动查看更多
Fortinet 零信任OT网络接入及访问控制方案组件角色及与其他组件的协同
FortiGate
核心控制器和策略执行中心
- 作为网络的主要控制器,负责分析用户和设备的身份、行为和上下文。
- 执行细粒度的零信任访问控制策略,包括基于用户、设备、应用程序和地理位置的访问限制。
-集成SSL检查、威胁检测和分段隔离功能,确保流量经过验证后才允许进入目标资源。
与其他组件协同
- 与FortiAuthenticator结合验证用户身份。
- 接收FortiPAM的访问请求授权指令,并根据ZTNA策略管理访问权限。
- 通过FortiToken验证多因素身份(MFA)。
场景举例
一名员工尝试从远程设备访问公司内部CRM系统,FortiGate根据身份验证结果和ZTNA策略决定是否允许访问,并限制其访问范围。
FortiAuthenticator
身份认证与管理
- 提供集中化的用户身份验证和目录管理。
-支持与现有的LDAP/AD系统集成,统一管理用户账户。
- 验证用户凭据并生成会话令牌。
与其他组件协同
- 向FortiGate发送用户认证结果,确保只允许已验证的用户通过。
- 支持FortiToken生成的MFA代码,提升用户认证的安全性。
场景举例
一名工程师登录到企业网络,FortiAuthenticator验证其凭据,并将认证状态发送给FortiGate用于策略执行。
FortiClient
终端访问与安全管理工具
- 提供安全的终端接入功能,包括ZTNA代理和远程VPN连接。
- 实现设备健康检查(如补丁状态及修复、杀毒软件运行情况),确保仅合规设备可访问网络资源。
与其他组件协同
- 通过与FortiGate通信,报告设备的健康状况和风险级别。
- 提交认证信息至FortiAuthenticator并请求访问目标资源。
- 与FortiPAM结合,提供安全的设备登录体验。
场景举例
一名员工通过FortiClient连接到公司网络,其设备被扫描并确认符合安全策略后才允许访问企业应用。
FortiPAM
特权访问管理
- 管理和控制特权账户的访问权限,减少滥用风险。对特权账户的使用进行实时监控和审计。
- 提供紧急访问模式,确保关键时刻能快速获得授权访问。
与其他组件协同
- 通过FortiAuthenticator验证特权账户用户的身份。
- 将访问请求发送至FortiGate,由其根据ZTNA策略执行权限管理。
- 为FortiToken提供多因素验证支持,增强特权账户访问的安全性。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新 以更低的复杂性提供业内的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、**威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应,Fortinet 安全运营解决方案,早期检测和防御(EDP)解决方案,集中分析和自动化响应(CARA)解决方案
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、**威胁检测、事件分析溯源
飞塔防火墙, 飞塔防火墙官网, 飞塔信息, 防特网 fortnet,飞塔公司, 防特网 飞塔信息科技有限公司 飞塔是哪个国家的, 飞塔官网,飞塔防火墙配置手册, 飞塔防火墙配置, 飞塔sdwan, 防特网信息科技(北京)有限公司
防特网股票,防特网股票代码, 防特网怎么样, 防特网待遇, 防特网招聘,防特网信息科技(北京)有限公司上海分公司 防特网信息科技(北京)有限公司 官网
fortinet是什么公司, fortinet 防火墙, fortinet股价,飞塔防火墙, fortigate防火墙, fortinet上海办公室 fortinet防火墙配置, FORTINET待遇
方案适用机型:
机框设备:FortiGate-3500F,FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E,FortiGate 5144C
超高端设备:FortiGate 6300F/6301F/6500F/6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700D、FortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、fortigate 2200E、 fortigate 2601F、 FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D 、FortiGate 1000F、FortiGate 1001F、FG-1800F/-DC 、FG-1801F/-DC、FG-2600F、FG-2601F、FG-3000F、FG-3001F、FG-3200F 、FG-3201F 、FG-3501F、FG-3700F、FG-3701F、FG-4200F/-DC、FG-4201F/-DC、FG-4400F/-DC、FG-4401F/-DC、FG-4800F、FG-4801F、FG-4800F/-DC、FG-4801F/-DC、FG-6001F、 FG-6300F/-DC、 FG-6301F/-DC、 FG-6500F/-DC、FG-6501F/-DC、FG-7121F、 FG-7081F、FG-7081F-DC、FG-7081F-2、 FG-7081F-2-DC、 FIM-7921F、FIM-7941F、 FPM-7620
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 501E 、FortiGate 400E 、FortiGate 300E、fg-200f-bdl-811-60, FortiGate 200E 、FortiGate 100E 、FortiGate 401E 、FortiGate 601E、FG-900G、 FG-901G、FG-600F 、FG-601F、FG-100F 、FG-101F、FG-200F 、FG-201F、FG-400F 、FG-401F
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged,ice-61850,ice-61850-3,fortigate-40F,fortigate-60F,fortigate 61F,**威胁防御订阅服务授权。FortiGate-100D(已停产,无法续服务,可做VPN)FortiGate-100F, FWF-40F, FWF-61F、 FWF-60F,FG-70F、FG-71F、fortigate rugged 30d rugged 35D,rugged 60D,ruggded 90D,FG-80F, FG-80F-POE, FG-80F-Bypass, FG-81F, FG-81F-POE, FG-80F-DSL, FWF-81F-2R-POE, FWF-81F-2R-3G4G-POE, FWF-80F/81F-2R, and FWF-80F/81F-2R-3G4G-DSL 、
FortiGate 60E FG-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口)。 管理的 FortiAP **数量(总计/隧道)30/10
FortiGate 60E-POE FG-60E-POE 10个 GE RJ45 接口(包括8个 PoE/PoE+ 接, 2个广域网接口) 。 管理的 FortiAP **数量(总计/隧道)30/10
FortiWiFi 60E FWF-60E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口), 无线(802.11a/b/g/n/ac)。 管理的FortiAP**数量(总计/隧道)30/10
FortiGate 61E FG-61E 10个 GE RJ45 接口(包括7个内部接口, 2个广域网接口, 1个 DMZ 接口),128 GB SSD 板载存储。 管理的FortiAP**数量(总计/隧道)30/10
管理的 FortiAP **数量(总计/隧道) 30/1
fortiswitch 工控安全交换机,FGR-30D,FGR-35d, fgr-60d, fgr-90d,
FORTianalyzer 日志与报告分析产品型号:faz-150G, faz-300F,faz-800F,faz-1000F,faz-3000G,faz-3500G,faz-3700F,
fortimanager集中管理平台产品型号:faz-200G,fax-300F,faz-1000F,fax-3000G,faz-3500G,faz-3700F,
FDC-1000F,fdc-vm
网络准入控制:fnc-ca-500c, fnc-ca-600c,fnc-ca-700c,fnc-r-650c,fnc-m-550c,
交换机switch:FS-108F-FPOE
fortiAP 无线接入点。
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR,FortiTrust,fortigate fabric, fortiap,fortiswitch,fortisandbox,fortiai,fortideceptor,fortinac,fortisoar,fortisandbox,fortisiem
终端防御软件 FortiClient, FortiEDR端点检测和响应解决方案的威胁阻断率
安全管理解决方案 FortiClient EMS
服务区域:
四川 飞塔 Fortinet:成都 防特网飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、广元防特网 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
成都科汇科技有限公司( 一站式 安全解决方案 服务商 )
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )
场景举例
数据库管理员需要访问核心数据库服务器,FortiPAM验证其权限并将请求传递给FortiGate进行进一步控制,同时实时记录其操作行为。
Fortinet基于零信任的网络接入与访问控制解决方案中各个组件在Fortinet Security Fabric框架内无缝协作,减少复杂性和管理成本;提供了从身份验证到终端设备检查,再到特权访问管理,全面的安全保护。支持大规模部署,满足中小企业到大型企业的需求,兼具灵活性与易用性,并可通过统一平台和无额外许可费用的策略,降低总拥有成本。