FortiDDoS データシート

FortiDDoS

FortiDDoS 200B、400B、800B、1000B、1200B

政治的ハッカーやサイバーテロリストが、お客様のネットワークへの アクセスを阻止するために悪用できるツール群は、ほぼ無限に存在す ると言っても過言ではありません。巧妙化したDDoS攻撃は、レイヤー 4の帯域幅占有型攻撃だけでなく、レイヤー7のDNSサービスも標的に するようになっており、規模がはるかに小さいこれらの攻撃をクラウ ドベースの減災対策で検知するのは困難です。 このような攻撃に対抗するためには、攻撃のレベルと同様にダイナ ミックで広範囲なソリューションが必要です。フォーティネットの FortiDDoS攻撃ミティゲーション（減災）アプライアンスは、ビヘイビ アベースの攻撃検知メソッドとSPU（Security Processing Unit）を使 用した100%ハードウェアベースの検知と減災によって、今日の市場で もっとも高速な最先端のDDoS攻撃の減災を実現します。

独自の優れたアプローチによる DDoS 攻撃減災

DDoS対策において100% SPUのアプローチを採用する唯一の企業で あるフォーティネットの製品では、CPUまたはCPU / ASICハイブリッ ドシステムのようなパフォーマンスの低下が発生することはありませ ん。独自のSPU-TP2プロセッサはレイヤー3、4および7のインバウンド とアウトバウンドの両方のトラフィックのインスペクションが可能で あるため、高速の検知 / 減災と、業界トップレベルの比類ない低レイテ ンシを実現します。 主にシグネチャベースのマッチングに依存している競合製品に対し て、FortiDDoSは脅威を特定するためにヒューリスティック / ビヘイビ アベースの方式を100%使用します。FortiDDoSでは、攻撃パターンを 特定するためのシグネチャを事前に定義する必要はなく、超並列コン ピューティングアーキテクチャを使用することで、攻撃を受けていな い平常時のアクティビティのベースライン（基準）を数十万ものパラ メータから作成し、そのベースラインに照らしてトラフィックを監視 します。攻撃が始まると、FortiDDoSはそのビヘイビアを異常と判断し て即座に減災策を実行します。

ハイライト

§ 100%ハードウェアベースのレイヤー3、4 および7のDDoS攻撃の特定と減災 § 100%ビヘイビアベースのDDoS攻撃検知 § IPアドレスもMACアドレスもデータパス にないため、攻撃者からは完全に不可視 FortiDDoSはレイヤー3のルーティングデバ イスでも終端デバイスでもありません § 高度なDNS DDoS減災機能をほとんどのモ デルで利用可能 § オープンシグナリングにより、オンプレミス / クラウドの両方に対応するハイブリッド減災 機能を利用可能 § 継続的な脅威評価機能により、「誤検知」 を最小限に抑制 § シングルパスアーキテクチャによって数 十万ものパラメータを同時に監視：超並列 コンピューティングMSSPポータルから顧客 向けの再販が可能 FortiCare Worldwide Support support.fortinet.com

DDoS（Distributed Denial of Service）攻撃は、依然として IT セキュリティに対する最大の脅威となっており、

重要なオンラインサービスを停止させることを目的としてあらゆる面で巧妙化が進んでいます。1 つの

問題が、ある特定のテクノロジーと結びつくことなくこれほどまでに活発で広範囲に及んだことは一度も

ありません。

ハイライト

FortiDDoS ではシグネチャファイルの更新を待つ必要がないた め、既知の攻撃だけでなく「ゼロデイ」攻撃からも保護されます。 FortiDDoS は、他のソリューションと異なる独自の攻撃減災を行 います。他の DDoS 攻撃減災プライアンスでは、一度攻撃が始ま るとその脅威が 100% ブロックされ、その送信先 IP へのトラフィッ クの速度が制限されるため、「善良な」トラフィックの速度制限に よる悪影響も受けることになります。あるイベントが「誤検知」 された場合、すべてのトラフィックが影響を受けるため、管理者 による手動での介入が必要になります。これに対し、FortiDDoS はまず通常のトラフィックを監視し、送信元追跡（トラッキング） を使用して、問題を引き起こしている最大 600 万の送信元 IP アド レスを検知するという、より精度の高い脅威検出アプローチを採 用しています。 FortiDDoS は、有害な送信元 IP アドレスをブロックし、ユーザー の設定した間隔で攻撃を再評価します。このような有害な送信元 IP アドレスからの攻撃が再評価サイクルにわたって継続する場合、 ブロック期間が攻撃終息まで延長されます。送信先 IP が速度制限 されることはほとんどなく、有効な送信元 IP は常に許可されます。

柔軟な防御メカニズム

FortiDDoS は、帯域幅占有型攻撃、レイヤー 7 アプリケーション 攻撃、DNS 攻撃、そして SSL / HTTPS 接続攻撃などのあらゆる DDoS 攻撃に対する防御機能を提供します。使い古された手口か ら最新のアプリケーションレイヤーの攻撃に至るまで、FortiDDoS は万全の対策でお客様を脅威から保護します。 帯域幅占有型攻撃： 古いタイプでありながら、今もなお猛威をふ るい続けています。もっともシンプルなタイプの攻撃の場合は ISP によって阻止されますが、最近ではより複雑なアプリケーション レベルの攻撃を隠ぺいする目的で使用されることが増えています。 FortiDDoS の送信元追跡（トラッキング）は、問題を引き起こし ている送信元 IP アドレスをブロックすると同時に、「善良な」ト ラフィックを通過させることができます。この FortiDDoS 独自の 優れた処理機能によって、必要な保護が提供されるだけでなく、「誤 検知」の影響で「善良な」クライアントトラフィックを遮断して しまう可能性が最小限に抑制されます。 レイヤー 7 を標的にした攻撃： これは急速に増加している DDoS 攻撃です。この攻撃は、サービス内またはサーバー内の脆弱性を 悪用してリソースを使い尽くし、利用できない状態にします。こ れらのタイプの攻撃は、ほとんどの場合に ISP のレイヤー 3 と 4 の減災機能を回避して、ネットワークに直接侵入します。レイヤー 7 攻撃は、サービスレベルでの異変を引き起こします。FortiDDoS は、このような異変を検知し、減災対策を実行します。 SSL 接続攻撃： 通常、マルウェアのインジェクションを目的とす る単一セッションの DoS 攻撃です。SSL DDoS 攻撃の頻度は多く ありません。これは、マルチソース SSL 攻撃ではより多くの攻撃 者リソースが必要になるほか、攻撃者のサーバーやボットの送信 元 IP が明らかになり、永続的なブロックが可能になるためです。 FortiDDoS は、新規接続数、接続 / 送信元、SNI ホストフラッド攻撃、 低速接続、一意の送信元の数など、暗号化されていないパラメータ からの挙動の変化によって、SSL ベースの DDoS 攻撃を認識します。 ファイアウォールや Web アプリケーションファイアウォールの外 側に SSL 証明書を置いて、DDoS 減災デバイスでセッションを終 端させる方法では、アプライアンスに攻撃ポイントが存在するこ とになるため、賢明なセキュリティ対策とはいえません。フォー ティネットが推奨する、FortiGate と FortiWeb を含む完全なセキュ リティ ファブリックでは、インフラストラクチャのあらゆるレベ ルの攻撃からの保護が可能です。 DNS 接続攻撃： あらゆるタイプの DNS サーバーを、DDoS 攻撃 の直接的な標的または足掛かりとして攻撃します。DNS サーバー をホスティングしている大企業や通信キャリアは、DNS サーバー によるクエリと応答の処理に関する弱点を悪用する DDoS 攻撃の 危険にさらされています。FortiDDoS は、DNS トラフィックを 100% 検証し DNS サーバーに対する DNS 反射 / 応答フラッド、 NXDOMAIN、クエリフラッド、ランダムサブドメインフラッド、 DNS ヘッダーアノマリなど、あらゆるタイプの DDoS 攻撃か ら DNS サーバーを保護する DDoS 減災プラットフォームです。 FortiDDoS は、FortiGuard ドメインレピュテーションサービスを サポートしているため、既知の不正ドメインから DNS サーバー やクライアントを保護します。DNS 向けの高度な保護機能は、 FortiDDoS のほとんどのモデルで利用できます。 IoT ベースのボットネット： Mirai をはじめとするこれらの脅威で は、マルチベクトル GRE 攻撃、ランダムサブドメイン攻撃、DNS 反射攻撃、UDP および TCP のステート攻撃が可能であり、IPv4 アドレス空間全体をスプーフィングします。小規模パケットフラッ ド攻撃は、多くの DDoS デバイスのリアルタイム防御機能に過剰 な負荷をかけることで、完全な検証を阻止します。DNS 検知技術 がない場合、ランダムサブドメイン攻撃は通常のクエリトラフィッ クであるかのように見えますが、DNS サーバーのリソースは枯渇 状態に追い込まれます。FortiDDoS は、先進のハードウェアアー キテクチャと膨大な数のパラメータの監視機能を活用することに よって、進化するこれらの攻撃からの保護を可能にしています。

オンプレミス / クラウドに対応する

ハイブリッドな DDoS 減災機能

FortiDDoS は、受信トラフィック用の帯域幅を占有するあらゆる DDoS 攻撃を減災することができますが、大規模攻撃では受信リン クが飽和状態になる可能性があります。FortiDDoS は、Verisign OpenHybrid DDoS Protection Service および Baffin Bay Networks OpenFSP とのパートナーシップによって、攻撃がアップストリー ムリソース輻輳の脅威となる状況においても、クラス最高レベル のハイブリッド CPE / クラウド DDoS 減災対策を選択することが できます。FortiDDoS の攻撃シグナリング API は一般公開されて おり、文書化されています。FortiDDoS は、クラウドプロバイダ からの無害な受信 GRE トラフィックのインスペクションによっ て、継続的なレポートと完全な脅威の減災を保証します。また、 エンタープライズデータセンターに設置されているオンプレミス の FortiDDoS アプライアンスは、フォーティネットのクラウドシ グナリングテクノロジーを活用することでサービスプロバイダが 導入している大容量の FortiDDoS モデルとの連携も可能で、ISP が Flowspec スクリプトを使って攻撃トラフィックを迂回し、ブ ラックホール化することもできます。

100%ビヘイビアベースの 攻撃検知 FortiDDoSは、最新の脅威情報の更新が必要なシグネチャ ファイルに依存しないため、お客様は既知の攻撃だけでなく未知の「ゼロデイ」攻撃からも保護されます。 100%ハードウェアベースの DDoS保護 独自のSPU-TP2トランザクションプロセッサによって、100%のパケットインスペクション と、レイヤー3、4および7のDDoS攻撃の双方向の検知と減災が行われ、業界トップレベル のパフォーマンスを実現します。 攻撃の継続的な評価機能 「善良な」トラフィックを遮断してしまうことがないように攻撃の再評価をおこない、 「誤検知」のリスクを最小限に抑制します。 DNS向けの高度な保護機能 FortiDDoSは、すべてのDNSトラフィックを100%検査することで幅広いDNSに対する帯域 幅占有型攻撃、アプリケーション攻撃そしてアノマリ攻撃からの保護を実現します。 自動学習プロセス FortiDDoSでは、最小限の設定を行うだけで平常時のトラフィックとリソースのビヘイビア のプロファイルが自動的に作成されるため、時間や労力を節約しIT管理リソースを有効活用 できるようになります。 オンプレミス / クラウドの

ハイブリッドなサポート Open APIによってサードパーティのクラウドDDoS減災サービスプロバイダとの統合が可能 となり、柔軟な導入配備オプションおよび大規模なDDoS攻撃からの保護が提供されます。

主な機能と特長

FortiDDoS の主な機能

パケットインスペクション

テクノロジー

§ 予測型のビヘイビアベース分析 § ヒューリスティック分析 § 詳細なパケットインスペクション § 継続したアダプティブ（適応型） レートリミット § 特定の攻撃ベクトルに対応する ステートフルモニタリング § 100% のパケットインスペクション § 単一IP サブネットに対する IPv4 / IPv6 の完全サポート § MAC や IP アドレスがデータパスに 含まれず、攻撃者には完全に不可視

ビヘイビアのしきい値管理

§ トラフィック統計情報の連続学習に 基づくシステム推奨 § アダプティブ（適応型）しきい値推定

複合検証プロセス

§ ダイナミックフィルタリング § アクティブ検証 § アノマリ識別 § プロトコル分析 § ホワイトリスト、ブラックリスト、 追跡（トラッキング）対象外サブネット § ステートアノマリ識別 § ステルス攻撃フィルタリング § ローカルアドレスアンチスプーフィング （BCP-38） § 送信元追跡（トラッキング） § 正当なIP アドレスマッチング （アンチスプーフィング） § ヘッダーおよび同時接続数に基づいて検 知された Proxy-IP に対する厳格な処理

100% のアノマリインスペクション

§ L3 / L4 / L7 HTTP / DN

レイヤー 3 フラッド攻撃減災

§ プロトコルフラッド攻撃（256 すべて） § フラグメントフラッド攻撃 § ソースフラッド攻撃 § GRE インスペクション

レイヤー 4 フラッド攻撃減災

§ TCP ポート（65k すべて） § UDP ポート（65k すべて） § UDP ゲームポート § ICMP タイプ / コード（65k すべて） § SYN、接続フラッド攻撃 § SYN フラッド攻撃 § 毎秒のRST / FIN / ACK アウトオブ ステートフラッド接続攻撃 § ソースレート別のフラッド（6M ソース） § ゾンビフラッド攻撃 § 低速接続攻撃 § TCP ステート違反フラッド攻撃

レイヤー 7 フラッド攻撃減災

§ HTTP URL § HTTP METHOD フラッド攻撃 （8 つの METHOD すべて） § ユーザーエージェントフラッド攻撃 § リファラーフラッド攻撃 § クッキーフラッド攻撃 § ホストフラッド攻撃

フラッド攻撃防止メカニズム

§ SYN クッキー、ACK クッキー、 SYN フラッド再送信、 DNS フラッド再送信 / TC=1 § 正当なIP の評価 / マッチング § 送信元追跡（トラッキング） § 送信元レートリミット § アグレッシブエージング

L3 ∼ L7 アクセス制御リスト

§ IP レピュテーション § ドメインレピュテーション § パケット長 / プロトコル / ポート § ジオロケーション § IP / サブネットのブラックリスト / ホワイトリスト § お客様によるIPv4 ブラックリストの バルクアップロード § お客様によるドメインブラックリストの バルクアップロード § BCP38 送信元アドレスの評価 / ローカル アドレスアンチスプーフィング機能拡張 § プロトコル、フラグメント、DNS フラグ メント、L4 ポート、ICMP タイプ / コード § DNS RR ACL § HTTP METHOD、URL、リファラー、 ユーザーエージェント § Flowspec スクリプト生成

DNS 攻撃減災

§ DNS ヘッダーによるアノマリ防止 § DNS クエリ応答マッチング § ソース毎のDNS クエリ / MX / ALL / ZT / フラグメントフラッド攻撃

FortiDDoS の主な機能

§ DNS クエリ送信元の評価 § 予期しないDNS クエリ § 一方的なDNS 応答フラッド攻撃 § フラッド攻撃状態のDNS 応答キャッシュ § DNS クエリ TTL チェック § DNS 固有 ACL § ドメインレピュテーションの サブスクリプション

包括的なレポート機能を内蔵

§ フィルタリング / エクスポート可能な 攻撃ログ § 以下を要約表示するグラフおよび ログ機能： – 攻撃上位リスト / 攻撃者上位リスト – ACL がブロックしたトラフィック 上位リスト – 攻撃されたサブネット / IP アドレス 上位リスト – 攻撃されたプロトコル上位リスト – 攻撃された TCP / UDP ポート 上位リスト – 攻撃された ICMP タイプ / コード 上位リスト – 攻撃された URL、HTTP ホスト、 リファラー、クッキー、 ユーザーエージェント上位リスト – 攻撃された DNS サーバー上位リスト – 攻撃された DNS アノマリ上位リスト – SPP 統計情報：Mbps / pps と ドロップ数の監視 – サブネット統計情報：Mbps / pps トラフィック監視 § カスタム、オンデマンド、スケジュール 指定、攻撃しきい値指定のレポート § 数千の内蔵レポート用グラフをリアル タイムとフォレンジック分析に利用可能

イベントの一元レポート機能

§ SNMP v2 / v3 § メールアラート、レポート § オープンESTful API § FortiAnalyzer、FortiSIEM、 サードパーティの Syslog サポート

監査証跡とアクセス証跡

§ ログインの監査証跡 § 構成の監査証跡

管理

§ SSL 管理用 GUI § CLI § オープンESTful API § マルチテナントMSSP ポータル § Flowspec スクリプトの生成 § 現在の攻撃に関するアラート § オープンクラウド減災シグナリング ダッシュボード画面（ステータスとイベント） SPP統計情報：パケットモニタリング レイヤー4ヘッダーアノマリドロップ数

技術仕様

FortiDDoS 200B FortiDDoS 400B FortiDDoS 800B ハードウェア仕様

LAN インタフェース：Copper GbE、バイパス機能内蔵 4 8 8

WAN インタフェース：Copper GbE、バイパス機能内蔵 4 8 8

LAN インタフェース：SFP GbE 4 8 8

WAN インタフェース：SFP GbE 4 8 8

LAN インタフェース：SFP+ 10 GbE / SFP GbE ― ― ―

WAN インタフェース：SFP+ 10 GbE / SFP GbE ― ― ―

LAN インタフェース：LC コネクタ（850 nm、10 GbE）、バイパス機能内蔵 ― ― ― WAN インタフェース：LC コネクタ（850 nm、10 GbE）、バイパス機能内蔵 ― ― ― ストレージ 1x 480 GB SSD 1x 480 GB SSD 1x 480 GB SSD 形状 1 U アプライアンス 1 U アプライアンス 1 U アプライアンス 電源 単一（ホットスワップ対応 外部冗長電源オプション） 単一（ホットスワップ対応 外部冗長電源オプション） 単一（ホットスワップ対応 外部冗長電源オプション） システム性能 スループット（エンタープライズトラフィック混合） 3 Gbps 6 Gbps 12 Gbps パケットスループット 4 M pps 8 M pps 16 M pps レイテンシ（最大 / 通常） 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 攻撃に対する応答時間 2 秒未満 2 秒未満 2 秒未満 高度な DNS 減災（ファームウェア v4.2.0） ○ ○ ○ 秒あたりの DNS クエリ 1 M 2 M 4 M オープンハイブリッドクラウド減災サポート ○ ○ ○ 動作環境

AC 電源 100 ～ 240 V AC、50 ～ 60 Hz 100 ～ 240 V AC、50 ～ 60 Hz 100 ～ 240 V AC、50 ～ 60 Hz

DC 電源 ― ― ―

消費電力（平均） 156 W 156 W 174 W

消費電力（最大） 260 W 260 W 285 W

最大電流（AC） 110 V / 5.29 A、120 V / 2.2 A 110 V / 5.29 A、120 V / 2.2 A 110 V / 5.29 A、120 V / 2.2 A

最大電流（DC） ― ― ―

放熱 887 BTU/h / 936 kjoules/h 887 BTU/h / 936 kjoules/h 972 BTU/h / 1026 kjoules/h

動作温度 0 ～ 40 ℃ 0 ～ 40 ℃ 0 ～ 40 ℃

保管温度 -25 ～ 70 ℃ -25 ～ 70 ℃ -25 ～ 70 ℃

湿度 5 ～ 95%（結露しないこと） 5 ～ 95%（結露しないこと） 5 ～ 95%（結露しないこと） 準拠規格

準拠規格 FCC Class A Part 15、UL / CB / cUL、C-Tick、VCCI、CE サイズ

高さ x 幅 x 奥行 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm 45 x 432 x 414.5 mm

重量 7.8 kg 7.8 kg 7.8 kg

FortiDDoS 200B FortiDDoS 400B

Copyright© 2018 Fortinet, Inc. All rights reserved. この文書のいかなる部分も、いかなる方法によっても複製、または電子媒体に複写することを禁じます。この文書に記載されている仕様は、予告なしに 〒106-0032 東京都港区六本木 7-7-7　　 Tri-Seven Roppongi 9 階 www.fortinet.co.jp/contact

技術仕様

FortiDDoS 1000B FortiDDoS 1200B ハードウェア仕様

LAN インタフェース：Copper GbE、バイパス機能内蔵 ― ―

WAN インタフェース：Copper GbE、バイパス機能内蔵 ― ―

LAN インタフェース：SFP GbE ― ―

WAN インタフェース：SFP GbE ― ―

LAN インタフェース：SFP+ 10 GbE / SFP GbE 8 8

WAN インタフェース：SFP+ 10 GbE / SFP GbE 8 8

LAN インタフェース：LC コネクタ（850 nm、10 GbE）、バイパス機能内蔵 ― 2 WAN インタフェース：LC コネクタ（850 nm、10 GbE）、バイパス機能内蔵 ― 2 ストレージ 1x 480 GB SSD 1x 480 GB SSD 形状 2 U アプライアンス 2 U アプライアンス 電源 ホットスワップ対応冗長電源 ホットスワップ対応冗長電源 システム性能 スループット（エンタープライズトラフィック混合） 18 Gbps 36 Gbps パケットスループット 24 M pps 48 M pps レイテンシ（最大 / 標準） 50 µs 未満 / 10 µs 未満 50 µs 未満 / 10 µs 未満 DDoS 攻撃に対する応答時間 2 秒未満 2 秒未満 高度な DNS 減災（ファームウェア v4.2.0） ○ ○ 秒あたりの DNS クエリ 6 M 12 M オープンハイブリッドクラウド減災サポート ○ ○ 動作環境 AC 電源 100 ～ 240 V AC、50 ～ 60 Hz 100 ～ 240 V AC、50 ～ 60 Hz DC 電源 40.5 ～ 57 V DC ― 消費電力（平均） 253 W 311 W 消費電力（最大） 422 W 575 W

最大電流（AC） 110 V / 10.0 A、120 V / 5.0 A 110 V / 10.0 A、120 V / 5.0 A

最大電流（DC） 24 A ― 放熱（BTU/h） / （kjoules/h） 1440 / 1420 1962 / 2070 動作温度 0 ～ 40 ℃ 0 ～ 40 ℃ 保管温度 -25 ～ 70 ℃ -25 ～ 70 ℃ 湿度 5 ～ 95%（結露しないこと） 5 ～ 95%（結露しないこと） 準拠規格

準拠規格 FCC Class A Part 15、UL / CB / cUL、C-Tick、VCCI、CE サイズ

高さ x 幅 x 奥行 88 x 438 x 560 mm 88 x 438 x 560 mm

重量 16.2 kg 16.2 kg