Professional Documents
Culture Documents
Remote SaaS
DMZ Remote HQ
Campu Data
s Center
Private
Branch
Data Cloud
Center Public
Cloud
2020 以前
With 7.0
用戶身份認證 遠端存取接入
Application Access 設備驗證 用戶身份認證 應用程式存取 設備驗證
雲端應用
NGFW
(FortiGate)
資料中心
使用者 VPN閘道
客戶端 (FortiGate)
(FortiClient)
Public/私有雲 SaaS 應用
缺乏與公司內網一般的 Internet
安全保護措施
WFH使用者的安全隱患
資料中心
不好的使用者體驗 Thin Edge Off-Net Device
/ Corporate
分點辦公室 WFH
Off-Net 使用者
• 持續的檢視
• 用戶與設備的認證與檢測 – 持續不中斷的進行 ✓
• 嚴格的管制
• 細緻的網路區域存取控制
• 針對所有的應用程式、數據與資源的存取控制
• 基於需求或用戶角色授予最低的訪問權限
• 已遭受入侵
• 攻擊者可能是從內網或外網進行入侵
• 要將 ”信任區網“ 當作是一個不存在的觀念
安全可視性 自我保護
預先的安全控制 快速修復
端點安全
強軔性
VPN ZTNA
雲端
Access Proxy
Client NGFW Client
雲端
登入時一次性的檢查 持續的可信任性檢查
基於網段的存取 可針對指定應用提供存取
傳統的防火牆控制策略 跟使用者狀態有關的控制策略
防毒,應用識別 ,
4 預防性安全控制
Web 過濾單點登錄
Zero-day, 進階威脅
3 自我保護/進階持續威脅
防護和減緩
Fabric 遙感
2 安全可視性/Fabric 代理 終端合規
弱掃/緩解/
ACCESS
DENIED
風險評估 訪客存取
設備識別 受限制的內部存取
身份識別 無限制的存取
Internet
Access Denied
Engineering
Segment ENGINEERING INTRANET
Finance
FortiGate
FortiClient Segment FINANCE INTRANET
EMS
Critical
Vulnerability
FortiAuthenticato
r EMS
FortiToken
Campus
Data Center
Branch
Cloud
User FortiClient
Home FortiOS
SaaS
Travel
Public
Cloud
Campus
Private
Cloud
Branch
持續檢查用戶的身份、設備的
不論用戶的位址 狀態,確保存取的安全性 不需擔憂應用系統的位置
Global
Internet
SAML
ZTNA 資料庫 1
使用者 群組 應用 私有雲
FortiClient
with ZTNA
agent
公有雲
Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 23
ZTNA 的多種應用方式
基於公司外網的應用程式存取控制 (off-network)
SAML
ZTNA 資料庫
公有雲
Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 24
ZTNA 的多種應用方式
基於雲端應用程式存取控制 (off-network)
Global
Internet
SAML
Public-Cloud
1 FTGT VM FortiAuthenticat Active Directory
2 Automatic Tunnel or SaaS
(HTTPS/SSH) when 3 5
off-network
私有雲
ZTNA 資料庫
FortiClient
with ZTNA
agent 使用者 群組 應用
Out-of-band mgmt
FortiClient
EMS
© Fortinet Inc. All Rights Reserved. 25
WFH 使用者安全防護
對於 WFH 的使用者提供的雲端安全防護
INTERNET
效果
• 透過輕量的 Agent 為居家/行動
辦公的使用者提供完整的安全
• 對於雲端應用存取提供使用者更
流暢的體驗 Off-Net 使用者
• 對於遠端辦公使用者提供進階威
協防護
• 透過雲端訂閱服務機制提供與企
業內網同等級的防火牆與其它安
全功能的保護 Off-Net 使用者
Off-Net 使用者
SASE
Zscaler Private Access (ZPA) Prisma Access Netskope Private Access Netskope Private Access
Identity
Cisco Duo Beyond BeyondCorp Enterprise Azure AD Application Proxy Okta Cloud Identity
Legacy VPN
AnyConnect Remote User Secure Access Global Protect Pulse SDP
• 隱藏的系統應用程式/系統…