SD-WAN機能が統合された次世代ファイアウォール
SD-WANは直接インターネットに接続するため
各拠点ではより良いセキュリティが必要
SD-WANベンダの90%はステートフル・
ファイアウォール機能しか提供しないので、不十分
SD-WAN機能が必要となる理由
クラウド活用の推進
- 回線コストの最適化
- クラウドへの通信による既存プロキシサーバ・セキュリティ機器への影響
- 柔軟なネットワークとセキュリティの運用
[例] Office365 (Exchange) の利用
運用していたメールサーバのクラウド化
[想定される問題]
通信量やセッション数の増加
既存プロキシサーバ・セキュリティ機器への負荷
FortiGateによる課題解決
SD-WAN機能
- 複数のWAN回線をインテリジェントに負荷分散
- コスト・帯域・品質の異なる複数のWAN回線を効果的に使い分け、WANの品質とコストを最適化
- インターネット サービス データベースを使用して、クラウドサービス ベースでWAN回線を選択
- ゼロタッチ デプロイ、集中管理、ADVPNなど様々な機能も提供
- Office365等のクラウドサービスサイト情報(ポート/アドレス)をデータベース(ISDB)として配信し、サービス/経路選択に使用
ISDB方式 と シグネチャ方式
| ISDB方式 | シグネチャ方式 | |
|---|---|---|
| クラウドサービス変更時 | 〇 配信によりDBは自動更新 手動でのカスタマイズも可 |
△ シグネチャの再作成が必要となるケース有 |
| セッション開始時 | 〇 セッション開始時の1パケット目からブレイクアウト |
△ セッションの途中からブレイクアウト |
| 機器の処理負荷 | 〇 コンテンツ識別処理が不要 IP/ポート識別により容易に対応 |
× アプリケーション識別が必須 処理負荷が大きい |
| サービスカバレッジ | 〇 多くのサービスに対応 Amazon, Microsoft, Google, etc. |
△ シグネチャ生成による対応 |
FortiGateでは、いずれの方法も対応可能(Ver6.0以降)
プロキシ機能
- HTTP/HTTPS, FTP, SOCKSプロキシに対応
- ISDB, ワイルドカードFQDN, URLカテゴリなどを使用したポリシー制御が可能
- 上位プロキシへのフォーワーディングや上位プロキシの負荷分散にも対応
- NTLM認証やKerberos認証などを使用したユーザ認証も適用可能
FortiGate (セキュアSD-WAN) の優位性
脅威対策とトラフィック制御の統合を安価に実現
- 最新の脅威対策とクラウドサービスのトラフィック制御を単一プラットフォームで実現
- 専用機器導入コストと管理コストを削減
豊富な製品ラインナップ
- 要件に合わせて、豊富なラインナップから最適なモデルを選択
- 過度な投資を抑止
ISDBでのインターネットブレイクアウト
- クラウドサービスで使用されるIPアドレス・ポート情報を自動更新。
- SSLインスペクションは不要な為、エントリ機器からハイエンド機器まで幅広く利用可
様々な機能要件に対応するFortiOS
FortiOSは、プロキシ機能/無線LAN・スイッチコントローラー機能など様々な機能も持つため、SD-WAN検討時、様々な顧客要件に柔軟に対応できる