Fortigate что это такое
Первоначальная настройка и возможности UTM-устройств FortiGate для малых предприятий
На сегодняшний день, среди множества мировых корпоративных информационных систем нельзя не отметить рост количества все более усложняющихся сетевых атак, увеличение разнообразия сетевых устройств и способов доступа к информационным ресурсам предприятий, а также количества приложений в их среде.
В зависимости от масштабов предприятий разделён и подход к защите от таких угроз, если крупные компании уделяют более пристальное внимание вопросам обеспечения сетевой безопасности своих ресурсов, то все большее количество угроз направлено на организации малого и среднего бизнеса. Предприятия этого сегмента — Small Office-Home Office (SOHO) могут не располагать обширной инфраструктурой, способной противостоять современным смешанным атакам, а филиалам/удаленным офисам крупных компаний (Remote Office/Branch Office, ROBO) не всегда хватает собственной квалификации для противостояния таким угрозам безопасности.
Поэтому использование нескольких узконаправленных решений (обычно разных производителей) на периметре сети малых предприятий было бы нецелесообразным в плане времени и расходов на их содержание, внедрение и администрирование.
В помощь стали выходцы из пакетных межсетевых экранов (которых уже давно стало недостаточно) — устройства сетевой безопасности UTM и межсетевые экраны нового поколения NGFW. Они играют ключевую роль на современном рынке сетевой безопасности, поскольку сочетают в себе по принципу «всё в одном» множество сервисов защиты от различных сетевых атак, одновременно имея способность к быстрому развёртыванию, лёгкому масштабированию и адаптации под нужды предприятий.
В этой статье мы рассмотрим возможности UTM-устройств FortiGate от Fortinet, а также опишем базовую их настройку на примере модели в небольшом форм-факторе — FortiGate-40С, идеально подходящей для небольших офисов с численностью до 25-30 пользователей. Устройства FortiGate-40C предлагают объединенное решение сетевой безопасности включая: межсетевой экран, контроль приложений, IPS, антивирус, защиту от вредоносного ПО, антиспам, VPN, веб-фильтрацию и предотвращение утечки данных.
Разница между подходом с несколькими узконаправленными решениями и при использовании UTM FortiGate схематически изображена ниже:
Весь сегмент SOHO/ROBO, с учётом ещё одной аббревиатуры — SMB (Small & Medium Business), позиционируется производителем как:
— до 100 пользователей расположенных в центральном офисе;
— 5-25 удалённых пользователей, требующих VPN-доступа;
— Доступ к ресурсам по Ethernet и WiFi;
— Необходимость во внедрении, как минимум, антивирусной защиты и веб-фильтрации;
— Частичная занятость IT-сотрудника;
— Фиксированный бюджет на IT-безопасность.
Вся линейка устройств FortiGate для SMB/SOHO/ROBO-сегмента бизнеса достаточно обширная и способна обеспечить выбор индивидуального решения под конкретные нужды и масштаб компании. Разновидностей одной модели может быть несколько – и со встроенной WiFi-точкой, и c PoE-портами, с оптическими SFP, с ADSL на борту, только посмотрите:
Помимо названного, добавьте к уже описанным возможностям ещё такие:
— встроенный беспроводный контроллер (модель 40С и выше) для управления «тонкими» точками доступа FortiAP;
— использование одновременно для оказания услуг нескольким клиентам, благодаря поддержке технологии VDOM (виртуальный домен) в моделях от 60С и выше;
— резервирование и обеспечение отказоустойчивости/кластеризации (режимы Active-Active, Active-Passive);
— функционал балансировки нагрузки (от 60С и выше);
— IPSec и SSL VPN, поддержка PPTP, L2TP;
— статическая, динамическая маршрутизация RIP, OSPF, BGP, PIM;
— поддержка USB 3G-модемов;
— поддержка IPv6, VLAN, VoIP (SIP ALG);
— шейпинг трафика;
— оптимизация WAN-трафика;
— инспектирование SSL-трафика;
— идентификация пользователей и их репутация;
— аутентификация пользователей и интеграция с Active Directory с помощью Fortinet Single-Sign On;
— защита от DoS-атак;
— встроенное логирование событий;
Ко всему прочему, существуют возможности организации централизованного управления устройствами FortiGate с помощью устройства FortiManager, проведения анализа событий безопасности с применением FortiAnalyzer и проверки состояния защищённости сети посредством FortiScan.
Приступая к настройке FortiGate, в нашем случае – модели 40С, для начала опишем способы конфигурирования устройства. Их, как и функций, также немало:
1. Доступен удобный веб-интерфейс, позволяющий настроить большинство требуемых функций по обеспечению сетевой безопасности.
Сам же веб-интерфейс покажем вам немного позже.
2. Управление из командной строки (CLI) по протоколам TELNET, SSH или же через консольный порт (с использованием нуль-модемного кабеля, который подключается к COM-порту) пригодится нам для более тонкой настройки и настройки некоторых функций, доступных только таким способом, так как в веб-интерфейсе их нет.
3. Управление FortiGate установленной на ПК программой FortiExplorer, с помощью USB-подключения через кабель из комплекта. Не нужно даже настраивать сетевую карту для менеджмента и подключаться чем-либо другим к устройству. Способ очень удобен для первичной настройки, так как в ПО FortiExplorer при USB-подключении дублируется функционал и веб-интерфейса, и CLI, а также присутствует мастер настройки Setup Wizard.
Ну и централизованное управление с FortiManager никто не отменял, но без первичной настройки FortiGate это невозможно.
Мы же остановимся на последнем варианте, и запустим FortiExplorer, предварительно подсоединив и включив питание устройства. Когда полностью загрузится устройство и автоматически установятся драйвера на него, мы увидим следующее:
Попробуем настроить с помощью мастера Setup Wizard. Выбираем его слева и видим первую страницу – учётные данные
Стандартные учётные данные — логин: «admin», пароль отсутствует. Вводим, и нажимаем Next.
Первым делом у нас предложение удалённого управления с FortiManager – отдельной линейки Fortinet по централизованному управлению и удалённой настройке устройств FortiGate, FortiWiFi и FortiCarrier:
В зависимости от требований, есть ли место FortiManager’у в инфраструктуре Вашей сети и нужно ли отдать бразды правления в его руки – выбираем «Enable Central Management» и вводим IP или имя, где расположен наш менеджер централизованного управления. Теперь следующий шаг – Next.
Видим предложение сменить дефолтный пароль, вводим два раза желаемый и нажимаем Next. Далее будет экран смены часового пояса, дабы не засорять «эфир» нотариально незаверенными скриншотами – пропустим шаг, т.к. тут проблем быть не должно.
А вот дальше интересно, нам дают возможность выбрать топологию подключения к Интернет один или два провайдера мы будем использовать, с резервированием подключения через 3G/4G-модем или нет.
Одна голова хорошо, а две лучше – настраиваем два провайдера, один – проводной статический, второй — резерв 3G/4G.
На выбор к Ethernet-провайдеру нас DHCP — если провайдер выдаёт адрес автоматически, Static IP – нужно ввести вручную и PPPoE – тут нужен только логин и пароль доступа:
Аналогичные настройки и для второго внешнего интерфейса «Secondary WAN», если бы мы выбрали пункт «Dual Ethernet».
В нашем же случае, следующий шаг – это подключение 3G/4G-модема. Надо ввести номер телефона, логин и пароль провайдера.
Очередное нажатие Next и после попадаем на выбор метода балансировки трафика между провайдерами. Здесь на выбор:
— Round Robin – настройки не требует. Балансировка осуществляется «по кругу», сначала 1-й доступный линк, потом, 2-й…последний N-й, и обратно с 1-го;
— Weighted Load Balance – назначается такой параметр, как «вес» (weight) для каждого равнозначного дефолтного маршрута к провайдеру, на основе которого трафик и его сессии распределяются в процентном соотношении динамически в зависимости от величины (веса) маршрута. Значение по умолчанию – 50% / 50%.
— Spillover – иными словами «переброс». Сессии распределяются таким образом, что на основе показателя пропускной способности (Threshold), до его достижения используется высший маршрут к провайдеру из таблицы маршрутизации, а при достижении Threshold на этом интерфейсе – следующий маршрут, к соответствующему провайдеру.
Далее, в обоих случаях, и при «Dual Ethernet», и при «Ethernet with 3G/4G Backup» мы закончим с внешними интерфейсами и попадём в пункт настройки интерфейса внутреннего – «LAN Settings», где нам будет предложено ввести адрес и маску интерфейса, а также настроить при необходимости DHCP-сервер с определённым диапазоном адресов для автоматического их назначения сетевым устройствам этого интерфейса.
После очередного нажатия Next, нам светит другой подраздел «Security» и его первое предложение в виде настройки расписания (Schedule) доступа к Интернет.
Здесь всё предельно понятно – Always Coca-Cola означает всегда/повсеместно/круглосуточно, а «Restrict access to specified schedule» – даёт свободу выбора режима расписания, кроме Always, но ограничивает доступ пользователям по дням недели (всем или будним) и по времени.
В следующем меню «Internet Access Policy» скопом пошли все функции безопасности и тумблер «Вкл./Выкл.» для трансляции адресов NAT.
Unified Threat Management, само название говорит, что функции унифицированного управления угрозами скоро начнут действовать на страже периметра нашей локальной сети.
— Enable Virus Detection & Removal (Email, Web Browsing, etc) – не что иное, как антивирус, защита вредоносного и шпионящего ПО.
— Block Exploits and Intrusions in the network – долой эксплоиты и вторжения, гласит нам IPS, система предотвращения указанных.
— Filter SPAM and malicious (Phishing) Emails – фильтрация спама и прочей вредоносной почты заодно с «грозой угроз» UTM.
Filter User Activities – менее страшный по названию, но не менее «секьюрный» остальных по предназначению. Следит за каждым из вас!
— Block Malicious Web Content – вот она, наша веб-фильтрация по категориям, помогающая не допустить нежелательных посещений вредоносных сайтов;
— Monitor Applications Usage and Block Unproductive Applications — контроль используемых приложений тоже тут как тут и готов заблокировать из них, как минимум, снижающие продуктивность офисных работников.
Предпоследнее из быстрых и лёгких настроек в лице виртуальных серверов (Virtual Server), праздник нам приносит в виде защиты серверов, находящихся внутри корпоративной сети и обеспечения доступа к их ресурсам при подключении на внешний адрес нашего FortiGate. Поможет и для публикации веб-ресурсов, таких, например, как OWA/Sharepoint, ActiveSync, Lync и многих прочих.
Через мастер таких серверов можно настроить пять и транслировать их порты доступа извне внутрь.
Венец творения (не побоимся этого слова) Мастера Настройки и всея Руси — это удалённый доступ пользователей по VPN. На выбор нам IPSec и SSL VPN, где можно сразу завести в локальную базу трёх пользователей для аутентификации по логину/паролю, ключ PSK (Pre-shared Key) для IPSec SSL или до пяти закладок SSL VPN Bookmarks для доступа к нужным серверам из веб-портала SSL.
Мастер «Setup Wizard» FortiGate, прощаясь с вами, выведет для вашего же удобства статистический итог «Summary» где можно сверить только что проделанные настройки и вернуться, пока не поздно.
Наблюдаем опять же приятное глазу «Device configuration completed», а это именно то, чего мы добивались.
Теперь из веб-интерфейса мы сможем проверить что сам настроил нам Wizard, и для доступа, в левой колонке FortiExplorer’a можем выбрать «Web-Based Manager» или сразу подключиться к внутреннему интерфейсу и зайти на настроенный нами адрес в разделе «LAN Settings» Wizard’a.
«Из коробки» устройство имеет адрес 192.168.1.99/24, который у нас, оговорюсь, не менялся. Подключаться к FortiGate-40C, поскольку он имеет аппаратный свитч (Internal) можно в любой из его Internal-интерфейсов (1-5), как показано ниже:
После подключения, если это делалось с ПК, нужно проверить, выдал ли нам адрес встроенный DHCP-сервер. Результат должен быть примерно такой:
Итак, если всё ОК, в браузере вводим, https:// 192.168.1.99, принимаем сертификат, логинимся и видим стартовую страницу:
После просмотра рисунка, надо отметить, что политики применяются по принципу «сверху-вниз». Первая подошедшая – применяется к такому типу трафика и, в зависимости от действия, разрешает или запрещает прохождение трафика. А чтобы увидеть очерёдность отработки политик, нужно сменить режим просмотра с Section View на Global View и получится вот что:
Обратите также внимание на колонки AV, WebFilter, EmailFilter, Aplication Control и IPS. Для каждой из созданных политик применены стандартные (default) профили защиты функций безопасности антивируса, веб-фильтрации, антиспама, контроля приложений и IPS.
Все эти профили настраиваемые и могут быть изменены в разделе веб-интерфейса меню Security Profiles в веб-интерфейсе.
Профиль антивируса:
Профиль веб-фильтрации:
Сенсор контроля приложений:
Сенсор системы предотвращения вторжений IPS:
Профиль Email-фильтрации:
Сенсор модуля предотвращения утечки данных DLP:
VoIP-профиль:
Страница настройки уровней репутации клиентов:
Наличие же самих профилей в абсолютно правильно созданных политиках при старте устройства после автоматического Мастера настройки символизирует лишь о его (Мастера) адекватности и заботе производителя о безопасности пользователей UTM FortiGate практически «из коробки».
Подводя итоги, хочется лишь отметить, что забота-то не совсем бесплатная: и за устройство и за единую (в сегменте SMB/SOHO/ROBO устройств) подписку к нему на обновление актуальных сигнатур многочисленных функций защиты от угроз придётся отдавать свои кровные.
Но как же без НО:
Если защита и забота вполне оправдана низкой ценой на рынке, плюс высоким статусом Fortinet в качестве пятилетнего лидера UTM-устройств в квадрате Гартнера (Gartner), высокой надёжностью и производительностью, широкой линейкой продукции под любые масштабы предприятий. Это всё не говоря уже о быстроте и лёгкости настройки, в чём мы вместе смогли убедиться в данной статье.
Знакомство с новой моделью FortiGate-90D от Fortinet
Мы продолжаем серию публикаций на тему обеспечения комплексной защиты сети с помощью устройств унифицированного управления угрозами, они же UTM-устройства. В данной статье, мы познакомимся со свежей моделью FortiGate-90D от Fortinet.
Производитель, удерживая свои позиции на рынке, стремится соответствовать нынешним тенденциям увеличения пропускной способности, а также количества сетевых устройств и пользователей корпоративных сетей предприятий, а самое главное – стремительно растущем количестве угроз сетевой безопасности. И это всё происходит на фоне активного внедрения BYOD и облачных технологий.
Объект нашего рассмотрения сегодня — FortiGate-90D, обладает «из коробки» множеством функций, присущих современным UTM-устройствам, как говорится, включая, но не ограничиваясь перечисленными ниже:
— Маршрутизатор (статическая, динамическая маршрутизация RIP, OSPF, BGP, PIM);
— Межсетевой экран;
— Система предотвращения вторжений (IPS);
— Антивирус и Антиспам;
— Контроль приложений;
— Встроенный беспроводный контроллер;
— Web/контент-фильтрация;
— Режим отказоустойчивости/кластеризации;
— Поддержка: IPv6, VLAN;
— VPN IPSec и SSL, VPN-концентратор;
— Шейпинг трафика;
— Оптимизация WAN-трафика;
— Инспектирование SSL-трафика;
— Предотвращение утечки данных (DLP);
— Балансировка нагрузки на сервера;
— Разделение на виртуальные устройства (домены) (VDOM);
— Контроль конечных точек;
— Аутентификация пользователей в LDAP, RADIUS, TACACS+, Single Sign-On в Active Directory и eDirectory
В дополнение к функциональности, хотелось бы сказать о позиционировании модели FortiGate-90D. В линейке она находится практически на стыке между SMB-сектором и начальным Enterprise. В общем, за счёт своей новизны (линейка «D» — новейшая у производителя) и усовершенствованной технологии Fortinet System on a Chip (SoC) второй генерации – SoC2, обеспечивающей ускорение обработки трафика, VPN и UTM-функций за счёт собственной разработки процессоров FortiASIC, модель однозначно станет конкурентоспособной в сочетании цена/габариты/производительность. В общем и целом, это скорее всего заранее подготовленная замена модели FortiGate-80С.
А по производительности и ТТХ в целом, к вашему вниманию будет любопытная таблица:
Если сравнить с моделями предыдущей линейки «С» — SoC2, как видим, обладает повышенной пропускной способностью межсетевого экрана и его количество одновременных/конкурентных сессий, увеличилась и скорость IPsec VPN, чего уж говорить о количестве интерфейсов, коих тут гигабитных в сумме аж 16 (кому-то и свитч не пригодится :). Между прочим, разделение на WAN и LAN-интерфейсы у FortiGate весьма условное, так как всего несколько начальных моделей не поддерживают разбиение встроенного свитча на отдельные интерфейсы и «пересобирание» их обратно в свитч, например, с меньшим количеством портов. 15 WAN в режиме DHCP, статического адреса или PPPoE и один LAN-интерфейс – это как «Восемь пирогов и одна свечка» у Карлсона, но вполне реально.
По отличиям же от ниже и вышестоящих моделей, здесь есть матрица функций актуальной версии операционной системы FortiOS, где из плюсов присутствуют: генерирование базовых локальных отчётов «из коробки» (без помощи FortiAnalyzer), логирование на диск включено по умолчанию и присутствует в веб-интерфейсе (у низших моделей – есть, но через командную строку CLI), разгрузка SSL, оптимизация WAN-трафика в веб-интерфейсе. Из минусов — отсутствие поддержки Link Aggregation (начинается с модели 100D и выше), возможность настройки защиты от DoS только через CLI и отсутствие поддержки криптоалгоритмов ARIA-SEED для IPSec.
Закончив подробное описание, мы вместо картинок из «даташитов» побалуем читателей живыми фотографиями, остановившись по теме статьи, главным образом на распаковке нашей новой модельки.
Итак, приступим, требуется нам ни много, ни мало, а предварительно заготовить коробку с FortiGate-90D, поставляемую производителем в изначальном виде.
Открыв её, видим комплект поставки:
Здесь находятся:
— Устройство FortiGate-90D – 1 шт.;
— Блок питания с трёхпалым разъёмом (12В, 3А на выходе) – 1 шт.;
— Шнур питания с «евро»-розеткой к блоку питания – 1 шт.;
— Сетевой патч-корд UTP Cat5e с разъёмами RJ-45 – 1 шт.;
— USB-шнур с разъёмами miniUSB-to-USB для настройки через ПК (через FortiExplorer);
— Резиновые прокладки-подставки для нижней части при настольном размещении – 4 шт.;
— «Mounting kit» в виде пары саморезов для крепления на стену и пары дюбелей –по 2 шт.;
— QuickStart Guide – краткий мануал на английском языке по комплектности, подключению и настройке устройства.
Вот как выглядит комплект поставки изъятым из коробки: 
Само устройство рассмотрим отдельно и поближе. Передняя панель «к осмотру»:
Здесь видим слева направо:
— Разъём консольного подключения (Console);
— Лампы индикации: PWR (питание), STA (статус), ALARM (авария), HA (high-availability, он же кластерный режим, если такой настроен).
Далее следует индикация портов интерфейсов – WAN1, WAN2 и LAN 1-14.
Задняя часть выглядит следующим образом: 
Тут слева направо расположены:
— DC +12V (разъём питания);
— USB MGMT (miniUSB для конфигурирования);
— разъём для клеммы заземления (над USB MGMT);
— USB 1-2 (стандартные USB для 3G/4G модемов или флеш-накопителей, а также для настройки через iPhone/iPad с помощью FortiExplorer для iOS);
— Интерфейсы – WAN1, WAN2 и LAN 1-14 с разъёмами RJ-45.
Отметим скромные габариты устройства, они составляют ШхДхВ: 233х223х44 в милиметрах и x 9.17×8.78х1.72 в дюймах, что соответствует примерно половинке размера юнита 19” серверной стойки.
Из остального, можно отметить также наличие вентиляционных отверстий на верхней крышке устройства.
В недрах обширной линейки FortiGate существует версия такого же устройства со встроенной WiFi-точкой доступа (двухдиапазонный модуль 2,4/5ГГц 802.11a/b/g/n (2х2 MIMO)), именуемого FortiWiFi-90D.
Подводя итоги, считаем должным ещё раз подчеркнуть, что модель получилась удачной по сочетанию своих скоростных характеристик с габаритами, а также ценой не намного превышающей уровень уже «бывалого» собрата FortiGate-80С, но отличающейся большим количеством портов, интерфейсов и возможностей. А заявленные показатели производительности уж точно метят в самый что ни на есть Enterprise-сегмент.
Комплексная инфобезопасность: блиц-обзор линейки Fortinet
Привет! Ниже будет ликбез по одной конкретной линейке оборудования, позволяющий понять, что это, зачем нужно (и нужно ли) и какие задачи при этом решаются (общая защита ИКТ-инфраструктуры, реализация блокировок, соответствие ФЗ о ПД).
Итак, на сегодняшний день компоненты защиты обычно выглядят как настоящий «зоопарк»:
Это потоковый антивирус, файрвол, антиспам и антидидос, а также системы обнаружения вторжений и т. п., стоящие на входе в ваш дата-центр. Фортинет (как и ряд других производителей) объединяет эти устройства в одну железку, плюс пересматривает концепцию защиты в принципе. Они уже 7 лет лидируют по Гартнеру в сегменте UTM (FW + IPS + VPN + Application Control + WebFiltering + Antispam + Antivirus и другие функции).
Их идея в том, что периметр находится не на границе с публичным Интернетом. Если раньше защитное железо ставили на выходе, то эти парни считают, что надо ставить устройства ближе к локальной сети — работать с WLAN и в дата-центре прямо между машинами. Естественно, это требует совершенно других потоковых мощностей, но, с другой стороны, даёт и пару огромных плюсов.
Решаемые задачи
Решения Фортинет — это полный комплекс для защиты сетевой инфраструктуры, встроенный в одну-единственную железку.
Вот области применения:
— Общая защита сети, внутреннего сегмента и клиентов оператора от сетевых, контентных угроз и угроз прикладного уровня.
— Фильтрация запросов в Интернет, в т. ч. для выполнения требований федеральных законов и постановлений правительства по блокировке.
— Избавление от «зоопарка» подсистем.
— Защита ПД (ФЗ-152) в соответствии с нормами РФ.
— Интеграция системы обнаружения и предотвращения направленных атак.
— Защита АСУТП.
Архитектурные возможности
«Ядро» решения представляет собой программно-аппаратный комплекс со множеством сетевых портов. У него есть три типа процессоров: для обработки трафика (сетевые процессоры), управляющие и контент-процессоры. Управляющие процессоры распределяют задачи межу сетевыми и контент-процессорами, балансируют и вообще выполняют системные задачи. У больших железок несколько процессоров, поэтому задачи довольно ровно распараллеливаются. На уровне сетевых процессоров сессия каждый раз тоже распределяется по сетевым сопроцессорам. Все «фишки» типа email-фильтрации, песочницы и прочего лежат на контент-процессорах. Если использовать железку как обычный NGFW, она близка к заявленным синтетическим результатам. Если начать нагружать правилами (в особенности сложными, вроде «не давать сотрудникам разглашать на форуме конфиденциальную информацию»), то контент-процессоры будут предсказуемо жрать мощность.
Подход к безопасности системный: все события сети собираются, коррелируются и рассматриваются как цепочка взаимодействий. Например, одна из самых интересных практических задач — запрет торрентов в банках — делается на базе решений Фортинета очень быстро и очень смешно.
История такая: у нас был один банк, в котором хитрые пользователи качали торренты. Сначала они использовали свою стандартную прокси-механику, но проблем было несколько. Начиная от необходимости разбирать SSL (что не очень-то реально) и заканчивая тем, что у особо ушлых тот же TCP over DNS никаким прокси не брался. А в банк время от времени приходили письма от американских правообладателей (мол, чего же вы, гады, творите, это был наш фильм).
Через год туда поставили UTM и настроили в качестве теста NGFW блокировку торрент-сессий. FortiGate умеет блокировть трафик P2P-клиентов, устанавливая взаимосвязи между поведением пользователей и последующими харкатерными признаками P2P. Вот тут, например, есть про то, как решить этот вопрос для компании раз и навсегда. Кстати, отрабатывается и ещё один традиционный способ обхода прокси и классических решений по контролю пользователей — Translate.Google, лучший анонимайзер.
Глубокая интеграция в дата-центр
Итак, чтобы обрабатывать весь поток внутри дата-центра, первое, что требуется, это железки с куда более высокой производительностью, чем обычные «стоящие на выходе». Заявленные синтетические характеристики их железа просто огромные. Естественно, тут есть нюанс именно про синтетику (будет ниже), и не один.
В целом для инфраструктуры используется распределённый подход к безопасности. На каждый узел (точнее, конечную машину) ставится клиент. Клиенты обрабатывают данные и передают события на основной сервер с UTM, который обрабатывает трафик. Подозрительные объекты с клиентских машин автоматом уходят в песочницу, клиенты сами интегрируются с тем же антиспамом (сами ходят по ссылкам, сами отдают вложения антивирусу и в песочницу и так далее) — в общем, делают всё то, что должны делать в идеале.
Типы защиты, дальше мы будем говорить в основном про левый вариант архитектуры
Пока главное — Фортинет быстро перемалывает хорошие потоки. Например, UDP «размалывается» на скоростях 52 Гб/с на mid-range вполне штатно, тогда как ближайшие аналоги — это такие же коробочки примерно в тех же ценах, только работающие на 2 Гб/с.
Вторая особенность — у этого производителя есть вообще всё для защиты. То есть они закрывают всё и сразу, если вам нужно. Вот их полный набор решений:
Всё своё: антивирус, VPN, решение по защите баз данных, свои точки доступа, маршрутизаторы, свитчи
У них есть даже свои телефонные шлюзы. Из последнего — очень удачным оказалось то, что у них к их железкам можно прикручивать собственные внешние 3G/LTE экстендеры. Собственно, один файерволл Fortigate может являться контроллером точек доступа, и уже к нему идет модуль внешней антенны, который определяется как обычный интерфейс.
Раньше в банках при падении основного канала резервом часто в удалённых регионах был «свисток» одного из операторов — с соответствующими танцами с бубном по интеграции в безопасность или же конкретно проседающим уровнем защиты на время перемены канала (без входной фильтрации, например). А здесь всё в одной коробке, и не надо заморачиваться совместимостью. Это тоже плюс, потому что, например, на маленькие филиалы сейчас все берут Хуавей (где раньше была Циска), а не всё работает точно так, как должно бы (разница реализаций даёт о себе знать).
Кому нужно
В первую очередь линейку Фортинет смотрят либо компании, на которые регулярно идут атаки, либо различные операторы трафика, например, решения этой группы развёрнуты у Амазона и у LTE-операторов для очистки трафика. Вообще же «зоопарк» внедрений вот такой:
Плюс ещё 50 операторов связи от Verizon и T-Mobile до China Telecom и Vodafone.
Несмотря на этих «монстров», больше трети продаж Fortinet за 2015 год — это SMB и low-end железо. Малому и среднему бизнесу это тоже интересно за счёт того, что куча разного железа, такого как роутеры, NGFW, WLC и прочее, теперь может быть на одной железке. Имеет смысл брать тем, кто открывает новые филиалы, например.
Вот их аналоги по Гартнеру:
Отличия «на пальцах» от аналогов в том, что Фортинет даёт в целом высокий стандарт по рынку в плане защиты канала, только лицензируется на устройство и позволяет распределять мощность как угодно. При подключении новых функций у всех этих решений падает производительность, у Фортинета при использовании дополнительных функций поведение более предсказуемое за счёт оптимизации нагрузки аппаратными сопроцессорами.
Чем выгодно
Фортинет предлагает достаточно выгодные по стоимости решения по сравнению с аналогичным оборудованием других производителей. Для крупного бизнеса главная «точка» сравнения — цена за единицу трафика, для малого и среднего — функциональность. У других вендоров часто такой же набор фич требует очень дорогой железки.
Подводные камни
Резюме
Это железо верхнего сегмента, которое окупается за счёт лучшей стоимости владения на больших инфраструктурах. У него предсказуемая производительность (в сравнении с конкурентами), есть широкая поддержка виртуальных инфраструктур (ESXi, Xen, KVM, Hyper-V, а также облачные Azure и AWS), большое количество поддерживаемых гипервизоров, куча разных типов защит. Однако отмечу: при определении бюджета или настройке правил нужны обязательные тесты до внедрения.
30 марта у нас состоится вебинар по теме обеспечения информационной безопасности на базе решений Fortinet. Кому интересно — подключайтесь.