次世代ファイアウォール向け FortiOS® 5.2 ネットワークセキュリティオペレーティングシステム FortiOSは、セキュリティを強化した専用オペレーティングシステムで、フォーティネットのすべての FortiGateプラットフォームの基盤となっています。FortiOS 5.2ソフトウェアは、フォーティネット独自のFortiASICプロセッサによるハードウェアアクセラレーションに対応し、1台のデバイスでセキュリティとネットワークの総合的なサービスの提供を実現します。トップレベルのセキュリティを提供するネットワーク保護ソリューション企業組織は、ネットワーク環境とその利用パターンの変化、そして脅威の高度化が進む今日多くの課題に直面しています。優れた機能をと操作性を備えたFortiOS次世代ファイアウォールモジュールは、実績ある高度なセキュリティを提供しこのような課題を解決します。また、管理者はネットワークや脅威のステータスをリアルタイムで詳細に確認することが可能で、迅速に有効な対策を行うことができます。長期にわたり活用可能なセキュリティゲートウェイ重要なデジタルアセットを安全に保護する優れたセキュリティ機能 • セキュリティとアクセス制御設定の統合により、極めて優れた管理機能を提供 • エンタープライズレベルの高度な要求に対応する堅牢なセキュリティ機能 • 複数の認証オプションによりユーザーとデバイスの強力な管理が可能 FortiOSのアーキテクチャは機能の拡張が可能で、複雑なライセンスやハードウェアモジュールを追加することなく容易にセキュリティモジュールを有効にすることが可能です。また、セキュリティ機能の一元的な管理、相関的なログとレポート機能も提供され、管理者はこの柔軟なプラットフォームの優れたメリットを享受することができます。このようなFortiOSの優れた特長により、価値ある高レベルの保護が可能になると同時に、TCOとセキュリティシステムの複雑さを大幅に低減できるようになります。主な機能と特長次世代ファイアウォールの堅牢なファイアウォール、IPS、アプリケーション制御、アイデンティ先進機能ティの識別と制御などの機能を提供し、今日の深刻な脅威に対する保護とネットワークアクセスの制御を実現します。強力なコンテキスト情報によるすべての機能を1つのコンソールから管理できるため、複雑さが軽ネットワークアクティビティの減されコストが削減されます。ユーザーとデバイスの一貫した管理可視化が可能です。 FortiCare FortiGuard Worldwide Support Threat Research & Response support.fortinet.com www.fortiguard.com www.fortinet.co.jp 機能と特長 FortiOSのWebベースのGUI — FortiViewおよびアプリケーション制御設定ウインドウ第三者機関の厳しい標準に適合する高度なセキュリティ FortiOSを実行するFortiGate製品は、業界規格の認定数で競合製品を圧倒しており、高品質で確かな機能を提供するとともにクラストップレベルの比類ない保護を実現します。優れた操作性企業のセキュリティにおける最大の弱点として頻繁に挙げられるのは、管理者による設定ミスです。優れた操作性を提供するFortiOSは、運用コストを低減する同時に、その直感的で使いやすいWebベースのUIによってITスタッフの作業負荷や設定ミスを軽減します。一元化された直感的な管理機能により、一貫性のあるポリシーの作成と実施が可能になるだけでなく、導入および構成も容易になります。詳細なネットワークアクティビティの可視化 FortiOSによってトラフィックの可視性が大きく向上すると同時に、ユーザー、デバイス、アプリケーション、および機密データに対する詳細な制御が可能になります。また、ダッシュボードウィジェットや情報のドリルダウンが可能なビューアーを使用することで、リアルタイムのネットワークアクティビティと脅威の状況をすばやく表示し、把握することができます。デバイスの種類や帯域幅の使用量などの関連するコンテキスト情報が総合的に提供されます。広範なネットワークサポート FortiOSは、ネットワーク設計における数多くの要件に対応していると同時に、他のネットワークデバイスとの相互運用も可能です。さまざまなルーティングプロトコル、マルチキャストプロトコル、ネットワークの耐障 2 害性を高めるプロトコルがサポートされています。管理者は、VLAN、 VLANトランク、ポートアグリゲーション、ワンアーム型構成のスニファーモード用のインタフェースを構成することも可能です。さらに、1秒未満の高性能フェイルオーバー機能や仮想クラスタなど、堅牢な高可用性およびクラスタオプションを追加することもできます。高度なトラフィック処理 FortiOSでは、基本的なアクセス制御を超える強力なセキュリティを設定することが可能です。許可されたトラフィックを分析することで、 FortiGateはポリシーベースのルーティングやトラフィックシェーピングなどの高度なポリシーを適用することができます。FortiGateのほとんどのモデルはWebキャッシングに対応しており、ユーザーエクスペリエンスが改善されると同時に帯域幅の使用量が低減されます。統合アクセスセキュリティ FortiOSは、さまざまなタイプのネットワークを網羅する一貫したポリシーを適用することができ、今日の複雑な環境におけるポリシーの適用と管理が簡素化されます。また、無線LANコントローラ機能によって無線ネットワークでも同じレベルの高度な保護が可能になるほか、オフィスから離れた環境のモバイルユーザー向けのセキュリティのプロビジョニングと適用を可能にするエンドポイントコントローラ機能も備えています。機能と特長アイデンティティベースのセキュリティ FortiOSは、LDAP、RADIUS、TACACS+などのローカルおよびリモート認証サービスをサポートしており、ユーザーを識別してアクセスポリシーとセキュリティプロファイルを適用することが可能です。アイデンティティベースのセキュリティ実装が簡素化され、シングルサインオン機能によるシームレスなユーザー承認が実現します。また、 FortiOSはターミナルサービスのユーザーや無線環境でのログイン認証情報をキャプチャすることが可能で、ユーザーに追加の情報入力を要求することなくポリシーやプロファイルを自動的に適用することができます。高度なアプリケーション制御今日のWeb 2.0やクラウドの環境においては、アプリケーションを識別し適切なセキュリティを適用することが大変重要です。FortiOSは、 3,000を超えるアプリケーションの識別と段階的な制御が可能で、暗号化されたチャンネル上のアプリケーションにも対応しています。また、従来のファイアウォールを容易に回避する巧妙なボットネットのアクティビティの緩和対策も提供されます。高度な侵入防止対策フォーティネットの次世代IPSテクノロジーは、アプリケーションレイヤーにおける回避能力の高い巧妙な攻撃からネットワークを保護します。コンテキスト情報とビヘイビアに基づく分析により、未知のゼロデイ攻撃による被害から重要なデジタルアセットやサービスを保護します。 4,000を超える脅威のデータベースを活用したFortiGuard侵入防止サービスでは、ネットワークレベルのステルス型脅威に対する最新の保護対策が常時お客様に提供されます。強力で拡張性の高い管理機能 FortiManagerは、拠点の分散する企業組織に実装された千台規模の FortiGateの容易なプロビジョニングと管理を実現します。高度なポリシーの実装およびワークフローのプロビジョニングが可能となり、コンプライアンスや運用要件を確実に遵守できるようになります。 FortiAnalyzerでは、詳細な構成の監査証跡を社外に保存して、安全に保管することができます。またFortiOSは、フォーティネットの技術提携パートナーとの連携によりネットワーク管理システムやSIEMなどのサードパーティ製ソリューションとの統合も可能です。世界トップレベルのテクニカルサポートと豊富なドキュメントの提供 FortiCareサポートサービスは、全てのフォーティネット製品とサービスに対して包括的なグローバルサポートを提供します。フォーティネットのセキュリティ製品を安心してお使いいただくため、FortiCareでは製品が常に最適な状態で機能し、企業内のユーザー、アプリケーション、およびデータを24時間確実に保護できるように、充実したサービスを提供します。 FortiGate - 高性能ネットワークセキュリティプラットフォーム • ASICによるパフォーマンスアクセラレーション専用設計のFortiGateハードウェアは、もっとも要件の厳しいネットワーク環境においても比類ない価格性能比を提供します。 FortiASICプロセッサを装備しているため、セキュリティソリューションがネットワークのボトルネックになることはありません。 • 高速で柔軟な接続性 FortiGate製品ラインナップは、統合WAN インタフェースや3G/4G USB無線ブロードバンド、データセンター向けの高速40G インタフェースなど、今日のさまざまなネットワーク環境に対応する幅広いインタフェースを備えています。 • 豊富な製品ラインナップ FortiGateは、リモート環境の支社オフィス向けのデスクトップ製品から中小規模の企業向けのミッドレンジ製品、サービスプロバイダーやデータセンター向けのハイエンドプラットフォームまで、豊富なラインナップをそろえています。 3 主な機能と特長ネットワークサービスとサポート一般的なサードパーティ製デバイスによる終端を構成するIPSEC構成ウィザード DHCP、NTP、DNSサーバー、DNSプロキシ（一部モデルを除く）内蔵 IPSEC VPN導入モード：ゲートウェイツーゲートウェイ、ハブ&スポーク、フルメッシュ、冗長トンネル、トランスペアレントモードにおけるVPN終端 FortiGuard NTP、DDNSおよびDNSサービスインタフェースモード：スニファー、ポート集約、ループバック、VLAN（802.1Qおよびトランキング）、仮想ハードウェア、ソフトウェアおよびVLANスイッチ（一部モデルを除く）静的ルーティングおよびポリシーベースのルーティングハイブリッドWANサポート： TWAMPを使用した監視によるリンクのヘルスチェック対応のロードバランシングと冗長性 IPSEC VPN構成オプション：ルートベースまたはポリシーベースカスタマイズ可能なSSL VPNポータル：カラーのテーマ、レイアウト、ブックマーク、接続ツール、クライアントダウンロードサポートするSSL VPNアドレス体系：ユーザーグループに関連付けられた複数のカスタム SSL VPNログインが可能（URLパス、デザイン） USB 3G/4G無線WANモデムをサポートシングルサインオンブックマーク：以前のログインまたは事前定義された認証情報を再利用し、リソースへアクセス可能動的ルーティングプロトコル： - RIPv1およびv2、OSPF v2およびv3、ISIS、BGP4 パーソナルブックマークの管理：管理者がリモートクライアントのブックマークを参照および維持可能マルチキャストトラフィック：スパースモードおよびデンスモード、PIM対応 SSLポータルの同時ユーザー数制限コンテンツのルーティング：WCCPおよびICAP ユーザー別のワンタイムログインオプション：同じユーザー名を使用する同時ログインを禁止ポリシーまたはアプリケーション別のトラフィックシェーピングおよびQoS：共有ポリシーによるシェーピング、Per-IPシェーピング、最大/保証帯域幅、IP毎の最大同時接続、トラフィックの優先付け、Type of Service（TOS）およびDifferentiated Services（DiffServ）をサポート SSL VPN Webモード：Webブラウザのみを装備するシンリモートクライアント向け。次のアプリケーションをサポート： - HTTP/HTTPSプロキシ、FTP、Telnet、SMB/CIFS、SSH、VNC、RDP、 Citrix IPv6のサポート： IPv6経由の管理、IPv6ルーティングプロトコル、IPv6トンネリング、IPv6 トラフィック向けファイアウォールとUTM、NAT46、NAT64、IPv6 IPSEC VPN ユーザーおよびデバイスのアイデンティティ制御ローカルのユーザーデータベースサポートするリモートユーザー認証サービス：LDAP、RadiusおよびTACACS+ シングルサインオン：Windows AD、 Novell eDirectory、FortiClient、Citrixおよびターミナルサーバーエージェント、Radius（アカウンティングメッセージ）、POP3/POP3S、ユーザーアクセス（802.1x、キャプティブポータル）による認証 PKIおよび証明書： X.509証明書、SCEPサポート、署名要求（CSR）作成、証明書の失効前自動更新、OCSPサポート二要素認証：サードパーティ製品をサポート、物理、SMSおよびソフトウェアトークン対応のトークンサーバーを統合デバイスの識別：デバイスおよびOSのフィンガープリント、自動分類、インベントリ管理ユーザー/デバイス別のポリシーファイアウォール SSL VPNトンネルモード：幅広いクライアント/サーバーアプリケーションを実行するリモートコンピュータ向け。SSL VPNクライアントはMAC OSX、Linux、Windows Vista および64-bitのWindowsオペレーティングシステムをサポート SSL VPNポートフォワーディングモード：ユーザーのコンピュータのローカルポートで接続を待受けするJavaアプレットを使用。Javaアプレットがクライアントアプリケーションからデータを受信すると、ポートフォワードモジュールがデータを暗号化してSSL VPNデバイスに送信し、続いてアプリケーションサーバーにトラフィックをフォワードします。 SSLトンネルモードの接続前のホスト整合性チェックおよびOSチェック（Windowsターミナル向け）ポータル毎のMACホストチェック SSL VPNセッション終了直前のキャッシュクリアオプションクライアントコンピュータのデスクトップ環境からSSL VPNセッションを分離する仮想デスクトップオプション VPNモニタリング：IPSECおよびSSL VPN接続の詳細表示と管理が可能サポートするその他のVPN： L2TPクライアント（一部のモデル）およびサーバーモード、 L2TP over IPSEC、PPTP、GRE over IPEC IPS スケジュール：ワンタイム、繰り返し IPSエンジン： 7,000以上の最新シグネチャ、プロトコルアノマリ型検知、レートベース検知、カスタムシグネチャ、マニュアルまたは自動のプル/プッシュ式シグネチャアップデート、脅威エンサイクロペディアの統合セッションヘルパーおよびALG： dcerpc、dns-tcp、dns-udp、ftp、H.245 I、H.245 0、 H.323、MGCP、MMS、PMAP、PPTP、RAS、RSH、SIP、TFTP、TNS （Oracle） IPSアクション：有効期限付きのデフォルト、監視、ブロック、リセットまたは隔離（攻撃者の IP、攻撃者のIPおよび被害者のIP、侵入インタフェース）動作モード：NAT/ルートおよびトレンスペアレント（ブリッジ） VoIPトラフィックのサポート：SIP/H.323 /SCCP NATトラバーサル、 RTPピンホーリングフィルターベースの選択：深刻度、標的、OS、アプリケーションおよび/またはプロトコルサポートするプロトコル：SCTP、TCP、UDP、ICMP、IP パケットのログ記録オプションセクション別/グローバルのポリシー管理ビュー指定したIPSシグネチャからのIP除外ポリシーオブジェクト：事前定義済、独自作成、オブジェクトのグループ化、タグ付け、色分け IPv4およびIPv6のTCP Synフラッド、TCP/UDP/SCTPポートスキャン、ICMPスィープ、TCP/UDP/SCTP/ICMPセッションフラッド（送信元/送信先）に対するしきい値設定が可能なレートベースDOS検知（一部モデルを除く）アドレスオブジェクト：サブネット、IP、IPレンジ、GeoIP（地域）、FQDN NAT構成：ポリシーベース別および中央のNATテーブルサポートするNAT：NAT64、 NAT46、静的NAT、動的NAT、 PAT、フルコーンNAT、 STUN トラフィックシェーピングおよびQoS：共有ポリシーによるシェーピング、Per-IPシェーピング、最大/保証帯域幅、IP毎の最大同時接続、トラフィックの優先付け、Type of Service （TOS）およびDifferentiated Services（DiffServ）をサポート VPN IPSEC VPN： - サポートするリモートピア： IPSEC準拠ダイヤルアップクライアント、静的IP/ダイナミックDNSのピア - 認証メソッド：証明書、事前共有キー - IPSECフェーズ1モード：アグレッシブモードおよびメイン（ID保護）モード - ピア受入れオプション：すべてのID、特定のID、ダイヤルアップユーザーグループのID - IKEv1、IKEv2（RFC 4306）をサポート - IKEモードの構成をサポート（サーバーまたはクライアントとして）、DHCP over IPSEC - フェーズ1/フェーズ2プロポーザル暗号化： DES、3DES、AES128、AES192、 AES256 - フェーズ1/フェーズ2プロポーザル認証： MD5、SHA1、SHA256、SHA384、 SHA512 - サポートするフェーズ1/フェーズ2 Diffie-Hellman Group番号：1、2、5、14 - クライアントまたはサーバーモードでXAuthをサポート - ダイヤルアップユーザー向けXAuth：サーバータイプオプション（PAP、CHAP、 Auto）、NATトラバーサルオプション - IKE暗号キー有効期限、NATトラバーサルのキープアライブ頻度を設定可能 - デッドピアディテクション（DPD） - リプレイ検知 - フェーズ2 SA向けのAutoKeyキープアライブ IDSスニファーモードバイパスインタフェース（一部モデル）およびFortiBridgeを使用するアクティブバイパス機能アプリケーション制御 18のカテゴリの3,000以上のアプリケーションを検知：ボットネット、コラボレーション、Eメール、ファイル共有、ゲーム、一般向けアプリケーション、ネットワークサービス、P2P、プロキシ、リモートアクセス、ソーシャルメディア、ストレージバックアップ、アップデート、ビデオ/オーディオ、VoIP、産業アプリケーション、特殊アプリケーション、Web（その他）独自のアプリケーションシグネチャをサポート SPDYプロトコルを使用するトラフィックの検知をサポート詳細なアプリケーションの可視化：ログイン名、ファイル/ビデオのアクティビティおよび情報フィルターベースの選択：カテゴリ、評判、テクノロジー、リスク、ベンダーおよび/またはプロトコルによるアクション：ブロック、セッションのリセット、監視のみ、アプリケーション制御、トラフィックシェーピング SSHインスペクション脅威保護 IPS、アプリケーション制御、アンチウイルス、WebフィルタリングおよびDLP向けのSSL暗号化されたトラフィックの検査オプショングローバルIPレピュテーションデータベースを活用するボットネットサーバーのIPブロックウイルス対策データベースタイプの選択（一部のモデル） 4 主な機能と特長フローベースのウイルス対策：サポートするプロトコル - HTTP/HTTPS、SMTP/ SMTPS、 POP3/POP3S、 IMAP/IMAPS、 MAPI、 FTP/SFTP、 SMB、 ICQ、 YM、 NNTP プロキシベースのウイルス対策： - サポートするプロトコル： HTTP/HTTPS、STMP/SMTPS、POP3/POP3S、IMAP/ IMAPS、MAPI、FTP/SFTP、ICQ、YM、NNTP - 外部のクラウドベースのファイル分析（OS非依存のサンドボックス）をサポート - ファイル送信によるブラックリストおよびホワイトリスト作成 - ファイルの隔離（ローカルストレージが必要） - ヒューリスティックスキャンオプションサポートするWebフィルタリング検査モード：プロキシベース、フローベースおよびDNS 独自に定義したURL、WebコンテンツおよびMIMEヘッダーによるWebフィルタリングクラウドベースのリアルタイム分類データベースによる動的Webフィルタリング： 78のカテゴリに評価分類された、70の言語の2億5千件以上のURLデータベースセーフサーチの適用：クエリに対して透過的にセーフサーチパラメータを挿入します。 Google、Yahoo!、BingおよびYandex、教育機関向けに定義可能なYouTubeフィルタをサポートプロキシベースのWebフィルタリングのその他の機能： - Javaアプレット、ActiveXおよび/またはクッキーのフィルタリング - HTTP POST攻撃のブロック - 検索キーワードのログ記録 - URL別の画像評価 - 評価に基づくHTTPリダイレクトのブロック - プライバシー保護の目的で、特定のカテゴリの暗号化された接続をスキャン対象から除外 - カテゴリ別のWebブラウジングクォータ設定 Webフィルタリングのローカルカテゴリおよびカテゴリ評価リストの上書き Webフィルタリングプロファイルの上書き：管理者が特定のユーザー/ユーザーグループ/ IPに対して異なるプロファイルを一時的に割り当て可能プロキシ回避の禁止：プロキシサイトのカテゴリのブロック、ドメインおよびIPアドレスによるURL評価、キャッシュおよび翻訳サイトからのリダイレクトのブロック、プロキシ回避アプリケーションのブロック（アプリケーション制御）、プロキシビヘイビアのブロック（IPS） DLPメッセージフィルタ： - サポートするプロトコル：HTTP-POST、 SMTP、 POP3、 IMAP、 MAPI、 NNTP - アクション：ログ記録のみ、ブロック、ユーザー/IP/インタフェースの隔離 - 事前定義済フィルタ：クレジットカード番号、ソーシャルセキュリティID番号 DLPファイルフィルタ： - サポートするプロトコル： HTTP-POST、 HTTP=-GET、 SMTP、 POP3、 IMAP、 MAPI、 FTP、 NNTP - フィルタオプション：サイズ、ファイルタイプ、ウォーターマーク、コンテンツ、暗号化の有無 DLPウォーターマーキング： FortiGateを通過し、ウォーターマーク内に隠された企業識別子（テキスト文字列）および重要度レベル（クリティカル、プライベートおよび警告）を含んでいるファイルのフィルタリングが可能。WindowsおよびLinux向けの無償ウォーターマーキングツールをサポート DLPフィンガープリンティング：捕捉されたファイルからチェックサムフィンガープリントを生成し、フィンガープリントデータベースと比較します。 DLPアーカイビング： Eメール、FTP、IM、NNTPおよびWebトラフィックのコンテンツすべてを記録エンドポイント制御クライアントソフトウェア経由でネットワークデバイスを管理： - セキュリティ状態のチェック：クライアントソフトウェアのインストールと要求された設定の適用 - クライアント構成のプロビジョニング：デバイスの種類/グループおよび/またはユーザー /ユーザーグループに応じてVPNやWebフィルタリング設定などのクライアント構成をプッシュし、更新 - “Off-net” セキュリティポリシーの適用：セキュリティゲートウェイで保護されていない状態を検知し、セキュリティ設定のプロビジョニングを有効化 - クライアントのアクティビティのログ記録の実装が可能高可用性高可用性モード：アクティブ/アクティブ、アクティブ/パッシブ、仮想クラスタ、VRRP、 FortiGate-5000シリーズのクラスタリング冗長ハートビートインタフェース HA用予約済管理インタフェースフェイルオーバー： - ポート、ローカルおよびリモートのリンクモニタリング - ステートフルフェイルオーバー - 1秒未満の即時フェイルオーバー - 障害検知の通知導入オプション： - リンクアグリゲーションによるHA - フルメッシュ接続によるHA - 地理的な分散によるHA スタンドアロンのセッション同期管理、監視および診断管理用アクセス：Webブラウザ経由のHTTPS、SSH、telnet、コンソールサポートする管理用Web UI言語：英語、スペイン語、フランス語、ポルトガル語、日本語、簡体字中国語、繁体字中国語、韓国語一元管理サポート：FortiManager、FortiCloudホストサービス、WebサービスAPI システム統合：SNMP、sFlow、syslog、連携パートナー迅速な導入展開：インストールウィザード、USB自動インストール、ローカルおよびリモート環境でのスクリプト実行ダッシュボードの動的なリアルタイムのステータス表示およびドリルイン監視ウィジェットログおよびレポートサポートするログ用設備：ローカルメモリおよびストレージ（利用可能な場合）、複数台の syslogサーバー、FortiAnalyzer、WebTrendsサーバー、FortiCloudホステッドサービス TCPオプション（RFC 3195）を使用した信頼性の高いログ記録 FortiAnalyzerを利用するログの暗号化とログの整合性ログのバッチアップロードのスケジュール化詳細なトラフィックログ：フォワードされたトラフィック、侵害されたセッション、ローカルトラフィック、無効なパケット総合的なイベントログ：システムおよび管理者のアクティビティ監査、ルーティングおよびネットワーク、VPN、ユーザー認証、無線LAN関連イベントトラフィックログの要約オプション IPおよびサービスポート名の解決オプション規格・認定 ICSA Firewall、SSL VPN、IPSEC VPN、AVおよびIPS認定 FIPS 140-2認証（FIPSモードでの運用時） USGv6 IPv6認証 Common Criteria EAL-4（一部のモデル）注： FortiOS V5.2.1以降の機能を紹介しており、機能または認定はすべてのモデルに該当しない場合があります。クライアントソフトウェアのサポートOS：Windows、MacOS X、iOS、Android 〒106-0032 東京都港区六本木 7-18-18　住友不動産六本木通ビル 8 階 www.fortinet.co.jp/contact Copyright© 2014 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに変更されることがあります。この文書に含まれている情報の正確性および信頼性には万全を期しておりますが、Fortinet, Inc. は、いかなる利用についても一切の責任を負わないものとします。 Fortinet®、FortiGate®、および FortiGuard® は Fortinet, Inc. の登録商標です。その他記載されているフォーティネット製品はフォーティネットの商標です。その他の製品または社名は各社の商標です。 DS-FOS-NGFW-R2-201412-R1