что такое vdom fortigate

Split-task VDOM mode

In split-task VDOM mode, the FortiGate has two VDOMs: the management VDOM (root) and the traffic VDOM (FGtraffic).

The management VDOM is used to manage the FortiGate, and cannot be used to process traffic.

The following GUI sections are available when in the management VDOM:

The traffic VDOM provides separate security policies, and is used to process all network traffic.

The following GUI sections are available when in the traffic VDOM:

(SSO/Identity connectors only) l FortiView l Interface configuration l Packet capture

Split-task VDOM mode is not available on all FortiGate models. The Fortinet Security Fabric supports split-task VDOM mode.

Enable split-task VDOM mode

Split-task VDOM mode can be enabled in the GUI or CLI. Enabling it does not require a reboot, but does log you out of the FortiGate.

When split-task VDOM mode is enabled, all current management configuration is assigned to the root VDOM, and all non-management settings, such as firewall policies and security profiles, are deleted.

To enable split-task VDOM mode in the GUI:

To enable split-task VDOM mode with the CLI:

config system global set vdom-mode split-vdom

Assign interfaces to a VDOM

An interface can only be assigned to one of the VDOMs. When split-task VDOM mode is enabled, all interfaces are assigned to the root VDOM. To use an interface in a policy, it must first be assigned to the traffic VDOM.

An interface cannot be moved if it is referenced in an existing configuration.

To assign an interface to a VDOM in the GUI:

To assign an interface to a VDOM using the CLI:

config global config system interface edit

Create per-VDOM administrators

Per-VDOM administrators can be created that can access only the management or traffic VDOM. These administrators must use either the prof_admin administrator profile, or a custom profile.

A per-VDOM administrator can only access the FortiGate through a network interface that is assigned to the VDOM that they are assigned to. The interface must also be configured to allow management access. They can also connect to the FortiGate using the console port.

To assign an administrator to multiple VDOMs, they must be created at the global level. When creating an administrator at the VDOM level, the super_admin administrator profile cannot be used.

To create a per-VDOM administrator in the GUI:

To create a per-VDOM administrator using the CLI:

config global config system admin edit set vdom set password

Multi VDOM mode

In multi VDOM mode, the FortiGate can have multiple VDOMs that function as independent units. One VDOM is used to manage global settings.

Multi VDOM mode isn’t available on all FortiGate models. The Fortinet Security Fabric does not support multi VDOM mode.

There are three main configuration types in multi VDOM mode:

Independent VDOMs:

Multiple, completely separate VDOMs are created. Any VDOM can be the management VDOM, as long as it has Internet access. There are no inter-VDOM links, and each VDOM is independently managed.

Management VDOM:

A management VDOM is located between the other VDOMs and the Internet, and the other VDOMs connect to the management VDOM with inter-VDOM links. The management VDOM has complete control over Internet access, including the types of traffic that are allowed in both directions. This can improve security, as there is only one point of ingress and egress.

There is no communication between the other VDOMs.

Meshed VDOMs:

VDOMs can communicate with inter-VDOM links. In full-mesh configurations, all the VDOMs are interconnected. In partial-mesh configurations, only some of the VDOMs are interconnected.

In this configuration, proper security must be achieved by using firewall policies and ensuring secure account access for administrators and users.

Multi VDOM configuration examples

The following examples show how to configure per-VDOM settings, such as operation mode, routing, and security policies, in a network that includes the following VDOMs:

l VDOM-A: allows the internal network to access the Internet. l VDOM-B: allows external connections to an FTP server. l root: the management VDOM.

You can use VDOMs in either NAT or transparent mode on the same FortiGate. By default, VDOMs operate in NAT mode.

For both examples, multi VDOM mode must be enabled, and VDOM-A and VDOM-B must be created.

Enable multi VDOM mode

Multi VDOM mode can be enabled in the GUI or CLI. Enabling it does not require a reboot, but does log you out of the device. The current configuration is assigned to the root VDOM.

To enable multi VDOM mode in the GUI:

To enable multi VDOM mode with the CLI:

config system global set vdom-mode multi-vdom

Create the VDOMs

To create the VDOMs in the GUI:

To create the VDOMs with the CLI:

config vdom edit next

NAT mode

In this example, both VDOM-A and VDOM-B use NAT mode. A VDOM link is created that allows users on the internal network to access the FTP server.

This configuration requires the following steps:

Configure VDOM-A

VDOM-A allows connections from devices on the internal network to the Internet. WAN 1 and port 1 are assigned to this VDOM.

The per-VDOM configuration for VDOM-A includes the following:

All procedures in this section require you to connect to VDOM-A, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-A config firewall address edit internal-network set associated-interface port1 set subnet 192.168.10.0 255.255.255.0

To add a default route in the GUI:

To add a default route with the CLI:

config vdom edit VDOM-A config router static

set gateway 172.20.201.7 set device wan1

To add the security policy in the GUI:

To add the security policy with the CLI:

config vdom edit VDOM-A config firewall policy edit 0 set name VDOM-A-Internet set srcintf port1 set dstintf wan1 set srcaddr internal-network

set dstaddr all set action accept set schedule always set service ALL set nat enable

Configure VDOM-B

VDOM-B allows external connections to reach an internal FTP server. WAN 2 and port 2 are assigned to this VDOM.

The per-VDOM configuration for VDOM-B includes the following:

All procedures in this section require you to connect to VDOM-B, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-B config firewall address edit FTP-server set associated-interface port2 set subnet 192.168.20.10 255.255.255.255

To add the virtual IP address in the GUI:

To add the virtual IP address with the CLI:

config firewall vip edit FTP-server-VIP set extip 172.25.177.42 set extintf wan2 set mappedip 192.168.20.10

To add a default route in the GUI:

To add a default route with the CLI:

edit VDOM-B config router static edit 0

set device wan2 set gateway 172.20.10.10

To add the security policy in the GUI:

To add the security policy with the CLI:

config vdom edit VDOM-B config firewall policy edit 0 set name Access-server set srcintf wan2 set dstintf port2 set srcaddr all set dstaddr FTP-server-VIP set action accept set schedule always set service FTP set nat enable

Configure the VDOM link

The VDOM link allows connections from VDOM-A to VDOM-B. This allows users on the internal network to access the FTP server through the FortiGate.

The configuration for the VDOM link includes the following:

All procedures in this section require you to connect to the global VDOM using a global administrator account.

To add the VDOM link in the GUI:

To add the VDOM link with the CLI:

config global config system vdom-link edit vlink end

config system interface edit VDOM-link0

set vdom VDOM-A set ip 0.0.0.0 0.0.0.0

next edit VDOM-link1

set vdom VDOM-B set ip 0.0.0.0 0.0.0.0

To add the firewall address on VDOM-A in the GUI:

To add the firewall addresses on VDOM-A with the CLI:

config firewall address

set associated-interface VDOM-link0 set allow-routing enable set subnet 192.168.20.10 255.255.255.255

To add the static route on VDOM-A in the GUI:

To add the static route on VDOM-A with the CLI:

edit VDOM-A config router static

set device VDOM-link0 set dstaddr FTP-server

To add the security policy on VDOM-A in the GUI:

To add the security policy on VDOM-A with the CLI:

edit VDOM-A config firewall policy

set name Access-FTP-server set srcintf port1 set dstintf VDOM-link0 set srcaddr internal-network set dstaddr FTP-server set action accept set schedule always set service FTP

To add the firewall address on VDOM-B in the GUI:

To add the firewall addresses on VDOM-B with the CLI:

config firewall address

set associated-interface VDOM-link1 set allow-routing enable set subnet 192.168.10.0 255.255.255.0

To add the static route on VDOM-B in the GUI:

To add the static route on VDOM-B with the CLI:

edit VDOM-B config router static

set device VDOM-link1

set dstaddr internal-network

To add the security policy on VDOM-B in the GUI:

To add the security policy on VDOM-B with the CLI:

edit VDOM-B config firewall policy

set name Internal-server-access set srcintf VDOM-link1 set dstintf port2 set srcaddr internal-network set dstaddr FTP-server set action accept set schedule always set service FTP

NAT and transparent mode

In this example, VDOM-A uses NAT mode and VDOM-B uses transparent mode.

This configuration requires the following steps:

Configure VDOM-A

VDOM-A allows connections from devices on the internal network to the Internet. WAN 1 and port 1 are assigned to this VDOM.

The per-VDOM configuration for VDOM-A includes the following:

All procedures in this section require you to connect to VDOM-A, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-A config firewall address edit internal-network set associated-interface port1 set subnet 192.168.10.0 255.255.255.0

To add a default route in the GUI:

To add a default route with the CLI:

edit VDOM-A config router static

set gateway 172.20.201.7 set device wan1

To add the security policy in the GUI:

To add the security policy with the CLI:

edit VDOM-A config firewall policy

set name VDOM-A-Internet set srcintf port1 set dstintf wan1 set srcaddr internal-network set dstaddr all set action accept set schedule always set service ALL set nat enable

Configure VDOM-B

VDOM-B allows external connections to reach an internal FTP server. WAN 2 and port 2 are assigned to this VDOM.

The per-VDOM configuration for VDOM-B includes the following:

All procedures in this section require you to connect to VDOM-B, either using a global or per-VDOM administrator account.

To add the firewall addresses in the GUI:

To add the firewall addresses with the CLI:

config vdom edit VDOM-B config firewall address edit FTP-server set associated-interface port2 set subnet 172.25.177.42 255.255.255.255

To add a default route in the GUI:

To add a default route with the CLI:

config vdom edit VDOM-B config router static

edit 0 set gateway 172.20.10.10

To add the security policy in the GUI:

To add the security policy with the CLI:

edit VDOM-B config firewall policy

set name Access-server set srcintf wan2 set dstintf port2 set srcaddr all set dstaddr FTP-server-VIP set action accept set schedule always set service FTP

Share this:

Having trouble configuring your Fortinet hardware or have some questions you need answered? Check Out The Fortinet Guru Youtube Channel! Want someone else to deal with it for you? Get some consulting from Fortinet GURU!

Don’t Forget To visit the YouTube Channel for the latest Fortinet Training Videos and Question / Answer sessions!
— FortinetGuru YouTube Channel
— FortiSwitch Training Videos

Leave a Reply Cancel reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Источник

Блог Инфратех

FortiGate: полный обзор [2021]

В количестве устройств безопасности на рынке легко запутаться. Мы выбрали один из лучших NGFW по Гартнеру, тестам NSS Labs и сертифицированный ФСТЭК и используем в наших проектах.

В статье — полная информация о межсетевом экране нового поколения FortiGate от компании Fortinet.

Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Защищать сеть компании от атак становится сложнее с каждым годом:

Угрозы компании растут как снаружи сети, так и внутри неё. Поэтому, производители решений по ИБ постоянно модернизируют продукты и выпускают на рынок новые. В статье рассмотрим межсетевой экран FortiGate от компании Fortinet.

Что такое NGFW FortiGate

FortiGate от компании Fortinet — межсетевой экран нового поколения, по-английски — Next Generation Firewall (NGFW). Он становится ядром информационной безопасности компании и включает в себя большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д.

В 2000-х годах подход к ИБ был фрагментарным. Новые технологии рождали новые уязвимости в сетях и кибератаки, которые их эксплуатировали. Происходила вирусная эпидемия в мире — рос рынок антивирусов. Под DDoS-атаками отключались крупные сайты — проектировались новые средства защиты от DDoS.

Информационная безопасность компании выстраивалась по такому же принципу: каждую проблему чинили собственным инструментом, чаще всего от разных разработчиков. Антивирусы, маршрутизаторы, VPN-клиенты, спам-фильтры, фаерволы и прокси-серверы устанавливались и интегрировались
в инфраструктуру по отдельности.

У подхода «каждой проблеме — свое решение» несколько минусов:

Чтобы решить эти проблемы, производители сетевых устройств стали интегрировать всё больше сервисов внутрь продуктов. Так появились универсальные устройства сетевой безопасности, по-английски — Unified Threat Management (UTM).

В их основу лег фаервол, так как через него проходит весь трафик компании. Центральный процессор обрабатывал трафик последовательно, и первые образцы UTM не справлялись с одновременной маршрутизацией и функциями безопасности. Их пропускная способность падала меньше 10 % от заявленной производителем, и при росте нагрузке функции безопасности просто отключались.

Различия между UTM и NGFW

Развитие UTM достаточно банально: разработчики убрали узкие места в производительности и спроектировали одновременную работу большого количества функций ИБ. Так появились решения NGFW.

До сих пор нет четкого ответа о различиях между UTM и NGFW. Маркетологи компаний заявляют, что это разные продукты с четко прописанной областью применения: UTM подходит для малого и среднего бизнеса, NGFW — для больших компаний.

Предлагаю сравнить функции двух решений: SG Series UTM от Sophos и FortiGate NGFW от Fortinet.

UTM: Sophos SG Series

NGFW: Fortinet FortiGate

Разные названия в даташитах и одинаковые функции в реальности. Если функция безопасности не указана напрямую, она предоставляется по подписке через облачные сервисы производителя в рамках единой инфраструктуры.

По производительности текущие решения UTM и NGFW используют схожий принцип: одновременная обработка трафика на нескольких сопроцессорах.

Еще одним различием между UTM и NGFW называют возможность NGFW создавать правила для приложений: Skype, Word и т. д. Поскольку UTM-решения появились раньше, некоторые из них создают правила маршрутизации на более низких уровнях модели OSI.

Поэтому для организации ИБ в сети можно выбирать решение по характеристикам конкретной модели, не обращая внимания на названия UTM и NGFW.

4 сценария перехода на FortiGate

Тем не менее линейка моделей FortiGate охватывает как коробочные решения для дата-центров, так и low-end-сегмент для небольших компаний на 20–30 устройств.

FortiGate 4400F — гипермасштабируемый МЭ для ЦОД и сетей 5G.
Поддержка тысяч устройств

FortiGate 601E — модель бизнес-класса для сетей в 50–100 устройств

Таким образом, FortiGate решает задачи как малого, так и большого бизнеса. Рассмотрим самые частые сценарии применения.

1. Упрощение структуры сети

FortiGate объединяет в себе большинство служб и сервисов ИБ, которые по отдельности требуют управления через разные интерфейсы. Инциденты по ИБ попадают в единое информационное поле, и среди всех событий алгоритмы выделяют связанные друг с другом.

Например, сотрудник компании стал чаще задерживаться на работе вечером. Одно это событие ни о чём не говорит. Но если система безопасности увидит, что он пытался скопировать данные на флешку и вечером использует личные мессенджеры с рабочего компьютера, то это повод для проверки специалиста по ИБ.

Информация о проблемах и угрозах ИБ будет доступна администратору сети или специалисту по ИБ сразу после обнаружения. У специалистов становится больше времени среагировать и свести к минимуму ущерб для компании.

Единое решение FortiGate в одном месте собирает аналитику,
управление сервисами ИБ и настройку сети.

2. Шифрование трафика до облаков

Если компания использует мощности Microsoft Azure, Amazon AWS или других облачных сервисов, FortiGate шифрует трафик между внутренней сетью предприятия и облаками с помощью SSL/TLS.

Помимо этого, фаервол будет использовать необходимые сервисы ИБ:

Для самых распространенных облаков компания Fortinet разработала комплексные решения информационной безопасности на основе Security Fabric и FortiWeb Cloud.

Так чувствительные данные и внутренняя структура сети компании становятся дважды защищенными: облачный сервис использует собственные механизмы ИБ, а компании — систему безопасности Fortinet.

Реализация безопасной облачной инфраструктуры
на Google Cloud с помощью FortiGate

3. Повышение прозрачности сети и сквозная аналитика инцидентов ИБ

Видимость сети будет выше, потому что трафик проходит через FortiGate, а другие сетевые устройства интегрируются с ним напрямую. Wi-Fi-точки доступа будут защищены, как и остальная сеть, поскольку подключены и управляются FortiGate.

Инциденты доступны из интерфейса FortiGate и с помощью отдельного сервиса FortiAnalyzer для больших сетей с сотнями устройств.

При использовании устройств FortiGate фрагментация сети не снижает ее видимость и не замедляет реакцию на инциденты. Можно быстро реагировать и поддерживать безопасность сети с сотнями офисов по всему миру

4. Уменьшение поверхности атаки

Злоумышленнику легче атаковать сеть, если ее внутренняя структура однородна: каждому отделу и серверу назначены единые права и сегмент.

FortiGate поддерживает микросегментацию сети, т. е. устройства объединяются в кластеры по функциям бизнеса. Каждому сегменту устанавливаются собственные права доступа, и он становится изолированным. Невозможно получить доступ к другому сегменту, если это специально не разрешено правилами фаервола.

При такой реализации возможные точки входа в сеть, например гостевой Wi-Fi, обладают ограниченными правами. Это затрудняет реализацию атаки на критически важные компоненты сети.

Защита сети с помощью микросегментации на NGFW

Кому не обойтись без NGFW

Традиционно решения NGFW ориентированы на большие корпорации с тысячами сотрудников, десятками серверов и веб-приложений и терабайтами конфиденциальной информации.

Однако в силу своих возможностей и сервиса FortiGate подходит для решения задач разных бизнесов. Разберем, какой бизнес получает наибольшую выгоду от использования NGFW.

Ритейл

Каждая точка продаж — это отдельная инфраструктура, которая интегрирована в сеть предприятия и поэтому должна соответствовать требованиям информационной безопасности компании.

Специфика ритейла накладывает ограничения для классических решений ИБ, но идеально подходит для устройств NGFW:

Каждое устройство FortiGate интегрируется в единую сеть: админ управляет филиалами удаленно из главного офиса по технологии SD-WAN, шифрование и анализ трафика защищает все уровни сети.

FortiGate поддерживает нескольких каналов связи и автоматически балансирует трафик через них. Например, продуктовый магазин в деревне не имеет кабельного доступа в интернет или оборудование провайдера нестабильно и коннект постоянно обрывается.

Такую точку можно подключить к сети через LTE и дублировать спутниковой связью. Спутниковый интернет дорогой, поэтому балансировщик использует его только при отключении основного канала.

Логистические компании со складами

Wi-Fi-точки в складских помещениях подключаются напрямую к FortiGate. Модели поддерживают подключение от 2 до 12 Wi-Fi-адаптеров.

FortiGate обработает трафик с Wi-FI и защитит внутреннюю сеть от несанкционированного доступа.

Разработчики приложений

Компаниям, которые разрабатывают приложения, разворачивают back-end на собственных или облачных серверах, FortiGate поможет анализом трафика на уровне приложений и защищенной работы с облаками.

Компании с ИТ-отделом 2–5 человек

Если количество чувствительных к утечкам данных невелико, то отдел по ИБ не нужен. Чаще всего главный администратор в одиночку настраивает, обслуживает и защищает сеть компании.

При этом в сеть могут быть подключены несколько сотен устройств, и, если установить NGFW, ими станет легче управлять: уменьшатся затраты на ИТ-службу и снизится стоимость владения сетевых устройств, а безопасность вырастет.

Fortinet — лидер рынка NGFW по Гартнеру

Исследовательская и консалтинговая компания Gartner приводит подробные обзоры рынка ИБ-решений в ежегодных отчетах. Самый популярный способ визуализации — магический квадрант Гартнера. С его помощью сравнивают участников рынка, их текущее положение и перспективы роста.

В 2019 году лидерами квадранта Гартнера на рынке NGFW-решений были 4 компании:

Решение FortiGate от Fortinet заняло вторую строчку рейтинга, на первой традиционно находится компания Palo Alto, которая и создала идею NGFW.

Магический квадрант Гартнера для рынка Enterprise Firewall за 2019 год. Если упростить, по вертикали отражены маркетинговые и финансовые показатели компании, а по горизонтали — уровень технологий и стратегия их развития

5 причин перейти на FortiGate

1. Сопроцессоры ASIC

Мощности одного процессора не хватает для обработки трафика и применения к нему функций безопасности. Его дешифровка, проверка на наличие вирусных сигнатур и дальнейшая обработка невозможны с текущими объемами.

Поэтому решения NGFW используют специализированные чипы для ускорения самых популярных операций: IPsec, DPI, SSL, антивирусной проверки и других.

FortiGate использует чипы Application Specific Integrated Circuit — ASIC. Это собственная разработка компании, и применяется в устройствах FortiGate в двух вариантах:

SoC (System-on-a-Chip Processor) используется в младших моделях линейки FortiGate и обрабатывает трафик
до 1 Гбит/с в режиме Threat Protection c включенными функциями безопасности.

На едином кристалле размещены CP, NP и RISC-based CPU-процессоры. Такая компоновка увеличивает скорость обработки трафика за счет его передачи внутри кристалла, а также упрощает архитектуру платы и устройства.

Младшие модели FortiGate на SoC защищают на 7-м уровне модели OSI, как и старшие. В 2019 году вышло четвертое поколение процессоров SoC: техпроцесс — 28 нм, поддержка памяти DDR4, внутрь интегрированы CP9 и NP6.

Сравнение пропускной способности FortiGate 60F на SoC4 с NGFW-экранами других производителей low-end-сегмента. Характеристики взяты из официальных документов. Security Compute Rating показывает прирост производительности по сравнению со средним значением пропускной способности по сегменту NGFW

100F — самая мощная модель FortiGate на SoC-процессоре.

Технические характеристики FortiGate 100F в различных режимах обработки трафика

NP (network processors)
обрабатывают Ipv4, Ipv6, unicast и multicast. На них также ложится расшифровка IPsec, завершение VXLAN и преобразование адресов.

В UTM эти функции нагружают CPU и снижают пропускную способность устройства. В 2020 году вышел обновленный процессор NP7.

Помимо основных функций безопасности, он записывает события по ИБ самостоятельно и поддерживает политики безопасности на аппаратном уровне.

На NP7 выпущен FortiGate 4400F с пропускной способностью 1.2 Тбит/с в режиме фаервола и поддержкой 600 млн параллельных подключений.

Сравнение FortiGate 1800 F на чипе NP7 с возможностями NGFW других производителей

CP (content processors) отвечает за ресурсоемкие функции безопасности, такие как расшифровка SSL/TLS, IPS и антивирус.

Последнее поколение чипов CP9 появилось в 2018 году. В тестах NSS Labs за 2019 год участвовал FortiGate с сопроцессором CP9.

В режиме инспекции SSL на HTTPS-трафике FortiGate 500Е показал снижение пропускной способности на 8 %.

Производительность упала на 49, 75 и 78 % на устройствах Cisco, PAN и Palo Alto соответственно.

Чипы ASIC производит и разрабатывает Fortinet, они не добавляют цену бренда к стоимости конечного устройства, как это происходит с чипами Intel и Broadcom у других производителей NGFW. Это значит, что вы получите более мощное устройство с потенциалом к масштабированию за меньшие деньги.

2. Лицензия ФСТЭК

В России FortiGate лицензирован ФСТЭК по технической защите конфиденциальной информации. Этот сертификат дает возможность использовать FortiGate в сетях госучреждений до 1-го класса защиты включительно и при защите персональных данных до 1-го класса включительно.

Соответствует требованиям документов:

Если для деятельности вашего бизнеса нужна лицензия не только ФСТЭК, FortiGate соответствует требованиям всех основных регламентов:

3. Исследовательская лаборатория FortiGuard Labs

FortiGate использует решения и сигнатурные базы угроз, которые создает и разрабатывает научно-исследовательская лаборатория при Fortinet.

Ежедневно лаборатория обрабатывает 100 млрд сигналов об угрозах с устройств Fortinet по всему миру. Вместе с искусственным интеллектом и алгоритмами машинного обучения эта информация превращается в сигнатуры и правила безопасности, которые получают устройства Fortinet.

FortiGuard Labs работает совместно с другими объединениями по ИБ и международными государственными службами, которые занимаются информационной безопасностью.

Если новая угроза возникает в одном месте сети, в течении часа обновляются устройства безопасности Fortinet по всему миру:

Таким образом, сеть на устройствах Fortinet будет защищена как от старых, так и от самых новых киберугроз.

4. Фабрика безопасности Fortinet

FortiGate — ядро информационной безопасности компании. С усложнением задач безопасности защиту можно усилить с помощью других устройств и сервисов Fortinet.

Экосистему информационной безопасности Fortinet называют SECURITY FABRIC, или Фабрикой безопасности. Идея фабрики заключается в использовании решений по ИБ от одного вендора с полной интеграцией и управлением из единого центра.

Если взять точки доступа от Fortinet и подключить их непосредственно к FortiGate, получится защищенная Wi-Fi-сеть. Точками можно управлять через интерфейс FortiGate и там же анализировать трафик с устройств, подключенных к Wi-Fi.

Экосистема Фабрики безопасности от облаков до endpoint-защиты.

Фабрика безопасности собирает информацию об инцидентах безопасности со всех устройств Fortinet. ИИ обрабатывает их и превращает в конкретные правила безопасности и сигнатуры для устройств, входящих в фабрику.

Если FortiWeb заблокирует запрос с подозрительного адреса и такая ситуация повторится на нескольких устройствах, то этот адрес попадает в черный список для всех устройств Fortinet, в том числе экраны NGFW с включенным Application Firewall.

Сервисы технологических партнеров Fortinet обмениваются данными об угрозах с устройствами фабрики безопасности по API.

5. Технология виртуальных доменов VDOMs

Технология VDOMs создает на базе одного физического устройства FortiGate несколько виртуальных. Разделение полезно при обслуживании нескольких офисов или компаний на уровне провайдера или повышения отказоустойчивости сети.

Создание изолированных VDOM для обработки трафика двух компаний на одном FortiGate. Отдельный домен для администратора устройства

Если объединить два физических устройства FortiGate в кластер, то повышается отказоустойчивость сети.

С технологией VDOM такой кластер можно организовать виртуально. От физических повреждений или отключений электричества он не защитит, однако спасет от атак и сбоев в конфигурации.

В конфигурации виртуального отказоустойчивого кластера root VDOM обрабатывает внутренний сетевой трафик, а Engineering VDOM — инженерный сетевой трафик

Доступ к технологии VDOМ предоставляется по подписке.

Сервисы безопасности FortiGate

Антивирус, определение IP/доменов ботнетов, защита мобильных устройств. Определяет шпионское ПО, защищает от вирусов и других атак с помощью анализа содержимого трафика.

Веб-фильтр. Отслеживание, контроль и блокировка доступа к вредоносным веб-сайтам.

Облачная песочница. Файлы с нестандартным поведением анализируются алгоритмами в облаке, отделенном от сетей компании. Это позволяет обнаруживать еще неизвестные атаки с помощью шаблонов поведения и предотвращать вирусные эпидемии.

Защита от вирусных эпидемий. Защищает от неизвестных угроз, которые появились между обновлениями антивирусных сигнатур.

Список скомпрометированных угроз. Постоянное пополнение списка угроз ИБ на всех устройствах FortiGate.

Служба оценки безопасности. Оценка и тестирование инфраструктуры ИБ компании и выдача рекомендаций по ее улучшению.

Служба интернета вещей (IoT). Автоматически обнаруживает подключенные к сети компании IoT-устройства и применяет к ним политики безопасности.

Служба промышленной безопасности. Защищает сеть и фильтрует трафик на уровне промышленных сред, протоколов и оборудования.

Служба IPS. Обновления в реальном времени от FortiGuard Labs для противодействия сложным многокомпонентным угрозам.

Антиспам. Фильтрация спама на периметре сети.

Служба тестирования проникновений. Служба имитирует сценарии проникновения реальных злоумышленников и находит уязвимые места в инфраструктуре компании.

Возможности FortiGate можно расширить с помощью подключения сервисов фабрики безопасности Fortinet. Туда входят как отдельные, так и облачные решения FortiWeb, FortiMail и др.

Фабрика безопасности расширяется в 4 уровня защиты. Базовый уровень предоставляет один FortiGate, для остальных необходимо использовать другие продукты Fortinet. Самый максимальный уровень защиты — 360 Protection — ориентирован на управление сотнями устройств безопасности и анализа угроз в SD-WAN-сети

Варианты поставки FortiGate

FortiGate выпускается как аппаратное устройство и как виртуальная машина для установки на собственных серверах. Главное отличие: в железной версии трафик обрабатывают процессоры ASIC, виртуальная работает на процессорах сервера и производительность падает до 10х раз.

Аппаратное устройство

Такой вариант подойдет компаниям, для которых важна гарантированная производительность устройств из официальных даташитов. Для этого FortiGate обрабатывает трафик на CPU и SPU ASIC одновременно, поэтому виртуальная машина на собственных серверах окажется медленней.

Аппаратное решение подойдет компаниям, которые строят сеть на оборудовании Fortinet. Неважно, будет это SD-WAN с сотней подсетей или развитая структура Wi-Fi, виртуальной машины недостаточно. FortiGate станет ядром безопасности сети при её апгрейде, особенно если раньше компания не использовала NGFW или UTM решения.

Виртуальное исполнение

FortiGate на виртуальной машине идентичен аппаратной версии: тот же интерфейс, операционная система и функции безопасности.

Однако скорость зависит от купленной виртуальной лицензии и мощности сервера. Такой вариант подойдет и для уже настроенной инфраструктуры с большим объемом свободных серверных мощностей, и для тестового использования.

Fortinet предоставляет для своих продуктов бесплатный тестовый период продолжительностью 1–3 месяца. За это время можно настроить сеть и протестировать функции безопасности на своем трафике.

После замеров администратор перенесет готовые настройки на физическое устройство, если компания решит выбрать аппаратное решение. Интеграция нового устройства произойдет быстрее, без потери работоспособности и снижения безопасности сети.

Варианты работы FortiGate в сети

Переход компании на NGFW подразумевает серьезное изменение сетевой архитектуры, настройку и интеграцию других сетевых устройств в единую систему безопасности. Но не всегда такие сильные изменения необходимы и целесообразны.

Поэтому есть 3 сценария использования FortiGate в сети:

Варианты установки FortiGate в сети

Отказоустойчивый кластер на FortiGate

При переходе на UTM и NGFW устройства угрозой ИБ со стороны оборудования становится единая точка отказа. Если NGFW отключится или сломается, вся сеть встает с нулевой защитой.

Решением этой проблемы стало объединение нескольких устройств NGFW в кластеры безопасности. Такой кластер понадобится при:

Кластер создается штатными средствами операционной системы FortiOS, для его создания потребуется:

Схема подключения двух FortiGate в отказоустойчивый кластер

Отказоустойчивый кластер работает в двух режимах:

Можно настроить наиболее важные параметры для выбора мастер ноды. Например uptime, статус интерфейсов и т. д.

Подробную настройку кластера смотрите в руководстве от Fortinet: Administration Guide | FortiGate. Актуально для FortiOS 6.4.2.

Лицензия и цены

Недостаточно купить физическое решение FortiGate и быть защищенным на 100 %. Антивирус, DPI, антиспам и другие сервисы безопасности, а также обновление и замена ПО доступны только при покупке дополнительных лицензий.

Цена владения FortiGate складывается из 3-х компонентов:

Все подписки и условия использования FortiGate — в нашем материале Лицензия и ценообразование FortiGate.

Модельный ряд FortiGate

Компания Fortinet одинаково защищает как большие корпорации с тысячами устройств, так и стартапы на 10 человек. Для этого FortiGate выпускается в разных вариантах исполнения: от low-end-сегмента десктопных версий до отдельных шкафов ЦОДов.

Всего Fortinet выделяет пять линеек моделей:

Все модели различаются количеством сетевых интерфейсов и пропускной способностью в различных режимах работы. На пропускную способность влияет тип сопроцессора ASIC, который обрабатывает трафик.

Младшие модели работают на SoC, не требуют установки в серверной и серьезного охлаждения — поставить можно куда угодно.

Большие профессиональные модели обрабатывают трафик на новых чипах ASIC SP9 и NP7, занимают до 6 слотов в серверном шкафу и собираются из модулей как конструктор.

Для сравнения мы выбрали из каждой линейки по одной модели и свели характеристики в единую таблицу:

Подробный обзор всех линеек FortiGate — в статье «модельный ряд FortiGate».

Заключение

FortiGate закрывает потребности компании по информационной безопасности и используется как ядро сети для расширения и модернизации.

Вместе с другими решениями Fortinet, включенными в собственную экосистему компании — фабрику безопасности, FortiGate подойдет как микрокомпаниям на 10–20 человек, так и огромным корпорациям с сотнями филиалов и тысячами сетевых устройств.

Источник

• ← что делать если соседи распускают сплетни
• что делать если сильный зуд чешется молочница →