Бесплатный вебинар  Все о FortiGate от А до Я Смотреть

Полное руководство о FortiGate

Written by Артем Тюрин

Ознакомьтесь с подробным описанием фаервола нового поколения FortiGate от Fortinet и протестируйте в вашей инфраструктуре

Untitled%20design%20(17)
6 Free Blog Post Templates

Save time creating blog posts with these free templates.

Get it Now

 

Защищать сеть компании от атак становится сложнее с каждым годом:

  1. Усложняется инфраструктура сетей, появляются новые сервисы и технологии. Пользователей и их действия в сети приходится больше контролировать
  2. Меняется количество и структура кибератак, поэтому необходимо постоянно обновлять методы поиска и устранения уязвимостей

Угрозы компании растут как снаружи сети, так и внутри неё. Поэтому, производители решений по ИБ постоянно модернизируют продукты и выпускают на рынок новые. В статье рассмотрим межсетевой экран FortiGate от компании Fortinet.


Что такое NGFW FortiGate

FortiGate компании Fortinet — межсетевой экран нового поколения, по-английски Next Generation Firewall (NGFW). Он становится ядром информационной безопасности компании и включает в себя большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д. 

В 00-х годах подход к ИБ был фрагментарным. Новые технологии рождали новые уязвимости в сетях и кибератаки, которые их эксплуатировали. 

Происходила вирусная эпидемия в мире — рос рынок антивирусов. Под DDoS-атаками отключались крупные сайты — проектировались новые средства защиты от DDoS.

Информационная безопасность компании выстраивалась по такому же принципу — каждую проблему чинили собственным инструментом, чаще всего от разных разработчиков. Антивирусы, маршрутизаторы, VPN-клиенты, спам-фильтры, фаерволы и прокси-серверы устанавливались и интегрировались в инфраструктуру по-отдельности. 

У данного подхода «каждой проблеме — свое решение» несколько минусов:

  1. каждый сервис ИБ требовал настройки и обслуживания;
  2. инфраструктуру было сложно обновить и модернизировать целиком;
  3. информация об инцидентах ИБ хранилась отдельно каждым сервисом. Данные не визуализировались, и чтобы их вытащить требовалось читать логи.
    Появились системы SIEM, которые решают проблему и собирают информацию по ИБ с разных источников, но они стали еще одним единичным решением.

Чтобы решить эти проблемы, производители сетевых устройств стали интегрировать всё больше сервисов внутрь продуктов. Так появились универсальные устройства сетевой безопасности, по-английски Unified Threat Management (UTM).

В их основу лег фаервол, так как через него проходит весь трафик компании. Центральный процессор обрабатывал трафик последовательно, и первые образцы UTM не справлялись с одновременной маршрутизацией и функциями безопасности. Их пропускная способность падала меньше 10% от заявленной производителем и при росте нагрузке функции безопасности просто отключались.

Различия между UTM и NGFW

Развитие UTM достаточно банально: разработчики убрали узкие места в производительности и спроектировали одновременную работу большого количества функций ИБ. Так появились решения NGFW.

До сих пор нет четкого ответа в различиях между UTM и NGFW. Маркетологи компаний заявляют, что это разные продукты с четко прописанной областью применения: UTM подходят для малого и среднего бизнеса, NGFW — для больших компаний. 

Предлагаю сравнить функции двух решений: SG Series UTM от Sophos и FortiGate NGFW от Fortinet.

 

UTM: Sophos SG Series


Essential Firewall
Network Firewall, NAT, Native Windows Remote Access


Network Protection
IPSec/SSL, ATP, VPN, IPS, DoS Protection


Web Protection
URL Filtering, Application Control, Dual Engine Antivirus


Email Protection
Anti-spam, Email Encryption and DLP, Dual Engine Antivirus


Wireless Protection
Wireless Controller, Multi-SSID Support, Captive Portal


Webserver Protection
Web Application Firewall, Reverse Proxy, Antivirus


Sandstorm Protection
Cloud-based Sandboxing

NGFW: Fortinet FortiGate


Network Security
Firewall
Routing/NAT

IPSec/SSL
VPN
IPS & DoS

Web Filtering
Application Control
Antivirus
Anti-Malware

Email Filtering

Wireless Controller
SD-WAN
Explicit Proxy
L2/Switching

Policy & Control
Device Identification
Policy Modes
SSL Inspection

 

 

Разные названия в датащитах и одинаковые функции в реальности. Если функция безопасности не указана напрямую, она предоставляется по подписке через облачные сервисы производителя в рамках единой инфраструктуры.

По производительности текущие решения UTM и NGFW используют схожий принцип: одновременная обработка трафика на нескольких сопроцессорах. 

Еще одним различием между UTM и NGFW называют возможность NGFW создавать правила для приложений: Skype, Word и т. д. Поскольку UTM-решения традиционно появились раньше некоторые из них создают правила маршрутизации на более низких уровнях модели OSI.

Поэтому для организации ИБ в сети можно выбирать решение по характеристикам конкретной модели, не обращая внимания на названия UTM и NGFW.

 

Сценарии перехода на FortiGate

FortiGate — флагманский продукт Fortinet и позиционируется как enterprise-решение для больших компаний со сложной инфраструктурой. В 2016 он приносил 75% выручки, или в цифрах финансового отчета Fortinet за 2019 год $460 млрд. 

Тем не менее, линейка моделей FortiGate охватывает как коробочные решения для дата-центров, так и low-end сегмент для небольших компаний на 20–30 устройств. 

 

image12

FortiGate 4400F — гипермасштабируемый МЭ для ЦОД и сетей 5G. Поддержка тысяч устройств

 

image13

FortiGate 601E — модель бизнес-класса для сетей в 50–100 устройств

 

Таким образом, FortiGate решает задачи как малого, так и большого бизнеса. Рассмотрим самые частые сценарии применения.

 

Упрощение структуры сети

FortiGate объединяет в себе большинство служб и сервисов ИБ, которые по-отдельности требуют управления через разные интерфейсы. Инциденты по ИБ попадают в единое информационное поле, и среди всех событий алгоритмы выделяют связанные друг с другом. 

Например сотрудник компании стал чаще задерживаться на работе вечером. Одно это событие ни о чем не говорит. Но если система безопасности увидит, что он пытался скопировать данные на флешку и вечером использует личные мессенджеры с рабочего компьютера  — это повод для проверки специалиста по ИБ.

Информация о проблемах и угрозах ИБ будет доступна администратору сети или специалисту по ИБ сразу после обнаружения. У специалистов становится больше времени среагировать и свести к минимуму ущерб для компании.

image15

Единое решение FortiGate в одном месте собирает аналитику, управление сервисами ИБ и настройку сети.

Безопасный доступ к облаку

Если компания использует мощности Microsoft Azure, Amazon AWS или других облачных сервисов, FortiGate шифрует трафик между внутренней сетью предприятия и облаками с помощью SSL/TLS.

Помимо этого фаервол будет использовать необходимые сервисы ИБ:

  • находить вторжения и нейтрализовать атаки ботнетов и хакеров (IPS);
  • управлять доступом и личными удостоверениями сотрудников (АА);
  • защищать инфраструктуру компании на уровне ОС и web-приложений (web-application firewall).

Для самых распространенных облаков, компания Fortinet разработала комплексные решения информационной безопасности, на основе Security Fabric и FortiWeb Cloud.

Так чувствительные данные и внутренняя структура сети компании становятся дважды защищенными: облачный сервис использует собственные механизмы ИБ, а компании — систему безопасности Fortinet.

image6

Реализация безопасной облачной инфраструктуры на Google Cloud с помощью FortiGate

Улучшение видимости сети и комплексный анализ инцидентов ИБ

Видимость сети будет выше, потому что трафик проходит через FortiGate, а другие сетевые устройства интегрируются с ним напрямую. Wi-Fi точки доступа будут защищены как и остальная сеть, поскольку подключены и управляются FortiGate. 

Инциденты доступны из интерфейсе FortiGate и с помощью отдельного сервиса FortiAnalyzer для больших сетей с сотнями устройств.

image3

При использовании устройств FortiGate фрагментация сети не снижает ее видимость и не замедляет реакцию на инциденты. Можно быстро реагировать и поддерживать безопасность сети с сотнями офисов по всему миру.

 

Уменьшение поверхности атаки

Злоумышленнику легче атаковать сеть, если ее внутренняя структура однородна: каждому отделу и серверу назначены единые права и сегмент.

FortiGate поддерживает микросегментацию сети, т. е. устройства объединяются в кластеры по функциям бизнеса. Каждому сегменту устанавливаются собственные права доступа и он становится изолированным. Невозможно получить доступ к другому сегменту, если это специально не разрешено правилами фаервола.

При такой реализации возможные точки входа в сеть, как например гостевой Wi-Fi, обладают ограниченными правами. Это затрудняет реализацию атаки на критические важные компоненты сети.

image17

Защита сети с помощью микросегментации на NGFW

 

Соответствие требованиям регуляторов

Если для деятельности вашего бизнеса нужна лицензия регуляторов, FortiGate соответствует требованиям всех основных регламентов:

  • PCI DSS; 
  • PII;
  • HIPPA;
  • GDPR.

В России FortiGate лицензирован ФСТЭК по технической защите конфиденциальной информации:

№ сертификата: 4222

Дата внесения в реестр: 11.02.2020

Действует до: 11.02.2025

Наименование средства: программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS версии 6.X

 

Соответствует требованиям документов: 

  • Требования к МЭ, 
  • Профиль защиты МЭ (А четвертого класса защиты. ИТ.МЭ.А4.ПЗ),
  • Профиль защиты МЭ (Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ),
  • Требования к СОВ, 
  • Профили защиты СОВ (сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ)

Этот сертификат дает возможность использовать FortiGate в сетях госучреждений до 1-го класса защиты включительно и при защите персональных данных до 1-го класса включительно.

Кому сеть на NGFW полезнее всего

Традиционно, решения NGFW ориентированы на большие корпорации с тысячами сотрудников, десятками серверов и веб-приложений и терабайтами конфиденциальной информации. 

Однако, в силу своих возможностей и сервиса FortiGate подходит для решения задач разных бизнесов. Разберем какой бизнес получает наибольшую выгоду от использования NGFW.

Ритейл

Каждая точка продаж — это отдельная инфраструктура, которая интегрирована в сеть предприятия и поэтому должна соответствовать требованиям информационной безопасности компании.

Специфика ритейла накладывает ограничения для классических решений ИБ, но идеально подходит для устройств NGFW:

  • количество «филиалов» компании от 10 до 1000, их быстрый рост;
  • подключение разнопланового оборудования в сеть: электронные кассы, камеры наблюдения, складские системы, сканеры и датчики посещений;
  • экономические или физические препятствия для технического обслуживания: невозможно закрепить за каждой точкой продаж своего ИТ-специалиста, или точки территориально труднодоступны.
    Например, заправочные станции в условиях пустыни или крайнего севера.

Каждое устройство FortiGate интегрируется в единую сеть, админ управляет филиалами удаленно из главного офиса по технологии SD-WAN, шифрование и анализ трафика защищает все уровни сети.

FortiGate поддерживает нескольких каналов связи и автоматически балансирует трафик через них. Например, продуктовый магазин в деревне не имеет кабельного доступа к интернету, или оборудование провайдера нестабильно и коннект постоянно обрывается.

Такую точку можно подключить к сети через LTE и дублировать спутниковой связью. Спутниковый интернет дорогой, поэтому балансировщик использует его только при отключении основного канала. 

Логистические компании со складскими помещениями

Wi-Fi точки в складских помещениях подключаются напрямую к FortiGate. Модели поддерживают подключение от 2-х до 12 Wi-Fi адаптеров.

FortiGate обработает трафик с Wi-FI и защитит внутреннюю сеть от несанкционированного доступа.

Разработчики приложений

Компании, которые разрабатывают приложения, и разворачивает back-end на собственных или облачных серверах, FortiGate поможет с помощью анализа трафика на уровне приложений и защищенной работы с облаками.

Компании с ИТ-отделом 2–5 человек

Если количество чувствительных к утечкам данных невелико, то отдел по ИБ не нужен. Чаще всего главный администратор в одиночку настраивает, обслуживает и защищает сеть компании.

При этом, в сеть могут быть подключены нескольких сотен устройств и если установить NGFW — ими станет легче управлять, уменьшатся затраты на ИТ-службу и стоимость владения сетевых устройств, а безопасность вырастет.

Преимущества FortiGate и положение на рынке

Подробные обзоры рынка ИБ-решений приводит исследовательская и консалтинговая компания Gartner в ежегодных отчетах.

Самый популярный способ визуализации — магический квадрант Гартнера. С его помощью сравнивают участников рынка, их текущее положение на рынке и возможности роста.

В 2019 году лидерами квадранта Гартнера на рынке NGFW-решений были 4 компании:

    1. Palo Alto Networks
    2. Fortinet
    3. Check Point
    4. Cisco

Решение FortiGate от Fortinet заняло вторую строчку рейтинга, на первой традиционно находится компания Palo Alto, которая и создала идею NGFW. 

image11

Магический квадрант Гартнера для рынка Enterprise Firewall за 2019 год. Если упростить, по-вертикали отражены маркетинговые и финансовые показатели компании, а по-горизонтали уровень технологий и стратегия их развития.

 

Сопроцессоры ASIC 

Мощности одного процессора не хватает для обработки трафика и применения к нему функций безопасности. Его дешифровка, проверка на наличие вирусных сигнатур и дальнейшая обработка невозможна с текущими объемами.

Поэтому решения NGFW используют специализированные чипы для ускорения самых популярных операций: IPsec, DPI, SSL, антивирусной проверки и других. 

FortiGate использует чипы Application Specific Integrated Circuit — ASIC. Это собственная разработка компании и применяется в устройствах FortiGate в двух вариантах:

  • как отдельные чипы серий NP (network processors) и CP (content processors)
  • как единый чип SoC (System-on-a-Chip Processor)
    image9

     

    SoC (System-on-a-Chip Processor) используется в младших моделях линейки FortiGate и обрабатывает трафик до 1 Гбит/с в режиме Threat Protection c включенными функциями безопасности.
    На едином кристалле размещены CP, NP и RISC-based CPU процессоры. Такая компоновка увеличивает скорость обработки трафика за счет его передачи внутри кристалла, а также упрощает архитектуру платы и устройства.

     

    Младшие модели FortiGate на SoC защищают на 7-м уровне модели OSI, как и старшие. В 2019 году вышло четвертое поколение процессоров SoC: техпроцесс 28 нм, поддержка памяти DDR4, внутрь интегрированы CP9 и NP6.
    Режим FortiGate 60F Среднее по индустрии Шкала Security Compute Rating
    Брандмауэр (Гбит/с) 10 0.65 15×
    IPsec VPN (Гбит/с) 6.5 0.38 17×
    Защита трафика (Гбит/с) 0.7 0.18
    Проверка SSL (Гбит/с) 0.75 0.065 11×
    Параллельные сеансы 700 000 15 000 47×

    Сравнение пропускной способности FortiGate 60F на SoC4, с NGFW-экранами других производителей low-end сегмента. Характеристики взяты из официальных документов. Security Compute Rating показывает прирост производительности по сравнению со средним значением пропускной способности по сегменту NGFW.

    100F — самая мощная модель FortiGate на SoC-процессоре. 

    Firewall IPS NGFW Threat Protection Параллельные сеансы CPS
    20 Гбит/с 2,6 Гбит/с 1,6 Гбит/с 1 Гбит/с 1 500 000 56 000

    Технические характеристики FortiGate 100F в различных режимах обработки трафика

    image4

     

    NP (network processors) обрабатывают Ipv4, Ipv6, unicast и multicast. На них также ложится расшифровка IPsec, завершение VXLAN и преобразование адресов.
    В UTM эти функции нагружают CPU и снижают пропускную способность устройства. В 2020 году вышел обновленный процессор NP7. Помимо основных функций безопасности, он записывает события по ИБ самостоятельно и поддерживает политики безопасности на аппаратном уровне.

     

    На NP7 выпущен FortiGate 4400F, с пропускной способностью 1.2 Тбит/с в режиме фаервола и поддержкой 600 млн. параллельных подключений.
    Режим FortiGate 1800F Среднее по индустрии Шкала Security Compute Rating
    Брандмауэр (Гбит/с) 200 15 15×
    IPsec VPN (Гбит/с) 75 4.3 17×
    CPS 500 000 114 000
    Параллельные сеансы 30 млн. 2.73 млн 11×

    Сравнение FortiGate 1800F на чипе NP7 с возможностями NGFW других производителей

    image2

     

    CP (content processors) отвечает за ресурсоемкие функции безопасности, такие как расшифровка SSL/TLS, IPS и антивирус.
    Последнее поколение чипов — СP9, появилось в 2018 году. В тестах NSS Labs за 2019 год участвовал FortiGate с сопроцессором CP9.
    В режиме инспекции SSL на HTTPS-трафике FortiGate 500Е показал снижение пропускной способности на 8%. Производительность упала на 49%, 75% и 78% на устройствах Cisco, PAN и Palo Alto соответственно.

    Чипы ASIC производит и разрабатывает Fortinet, они не добавляют цену бренда к стоимости конечного устройства, как это происходит с чипами Intel и Broadcom у других производителей NGFW. Это значит, что вы получите более мощное устройство с потенциалом к масштабированию за меньшие деньги.

    Исследовательская лаборатория FortiGuard Labs

    FortiGate использует решения и сигнатурные базы угроз, которые создает и разрабатывает научно-исследовательская лаборатория при Fortinet.

    Ежедневно лаборатория обрабатывает 100 млрд. сигналов об угрозах, с устройств Fortinet по всему миру. Вместе с искусственным интеллектом и алгоритмами машинного обучения эта информация превращается в сигнатуры и правила безопасности, которые получают устройства Fortinet.

    FortiGuard Labs работает совместно с другими объединениями по ИБ и международными государственными службами, которые занимаются информационной безопасностью. 

    Если новая угроза возникает в одном месте сети, в течении часа обновляются устройства безопасности Fortinet по всему миру:

    • список вредоносных хэшей/URL/IP/доменов обновляется каждые 15 минут;
    • базы антивирусных сигнатур обновляются раз в 60 минут;
    • уязвимости «нулевого дня» для песочницы обновляются раз в 15 минут;
    • подписи IPS обновляются каждые 42 часа.

    Таким образом, сеть на устройствах Fortinet будет защищена как от старых, так и от самых новых киберугроз.

    Фабрика безопасности Fortinet

    FortiGate — ядро информационной безопасности компании. С усложнением задач безопасности, защиту можно усилить с помощью других устройств и сервисов Fortinet.

    Экосистему информационной безопасности Fortinet называет SECURITY FABRIC, или Фабрикой безопасности. Идея фабрики заключается в использовании решений по ИБ от одного вендора, с полной интеграцией и управлением из единого центра.

    Если взять точки доступа от Fortinet и подключить их непосредственно к FortiGate — получится защищенная wi-fi сеть. Точками можно управлять через интерфейс FortiGate, и там же анализировать трафик с устройств, подключенные к wi-fi. 

     

     

    image16

    Экосистема Фабрики безопасности от облаков до endpoint-защиты.

    Фабрика безопасности собирает информацию об инцидентах безопасности со всех устройств Fortinet. ИИ обрабатывает их и в превращает в конкретные правила безопасности и сигнатуры для устройств, входящих в фабрику.

    Если FortiWeb заблокирует запрос с подозрительного адреса, и такая ситуация повторится на нескольких устройствах, то этот адрес попадает в черный список для всех устройств Fortinet, в том числе экраны NGFW с включенным application firewall.

    Сервисы технологических партнеров Fortinet обмениваются данными об угрозах с устройствами фабрики безопасности по API. 

    Virtual domains (VDOMs)

    Технология VDOMs создает на базе одного физического устройства FortiGate несколько виртуальных. Разделение полезно при обслуживании нескольких офисов или компаний на уровне провайдера или повышения отказоустойчивости сети. 

    image7Создание изолированных VDOM для обработки трафика двух компаний на одном FortiGate. Отдельный домен для администратора устройства.

    Если объединить два физических устройства FortiGate в кластер, то повышается отказоустойчивость сети.  

    С технологией VDOM такой кластер можно организовать виртуально. От физических повреждений или отключений электричества он не защитит, однако спасет от атак и сбоев в конфигурации.

    image14В конфигурации виртуального отказоустойчивого кластера root VDOM обрабатывает внутренний сетевой трафик, а Engineering VDOM — инженерный сетевой трафик.

    Доступ к технологии VDOМ предоставляется по подписке. 

    Сервисы безопасности FortiGate

    Антивирус, определение IP/доменов ботнетов, защита мобильных устройств. Определяет шпионское ПО, защищает от вирусов и других атак с помощью анализа содержимого трафика.

    Веб-фильтр. Отслеживание, контроль и блокировка доступа к вредоносным веб-сайтам.

    Облачная песочница. Файлы с нестандартным поведением анализируются алгоритмами в облаке, отдельном от сетей компании. Это позволяет обнаруживать еще неизвестные атаки с помощью шаблонов поведения, и предотвращать вирусные эпидемии. 

    Защита от вирусных эпидемий. Защищает от неизвестных угроз, которые появились между обновлениями антивирусных сигнатур.

    Список скомпрометированных угроз. Постоянное пополнение списка угроз ИБ на всех устройствах FortiGate.

    Служба оценки безопасности. Оценка и тестирование инфраструктуры ИБ компании и выдача рекомендаций по ее улучшению.

    Служба Интернета-вещей (IoT). Автоматически обнаруживает подключенные к сети компании IoT-устройства и применяет к ним политики безопасности.

    Служба промышленной безопасности. Защищает сеть и фильтрует трафик на уровне промышленных сред, протоколов и оборудования.

    Служба IPS. Обновления в реальном времени от FortiGuard Labs для противодействия сложным многокомпонентным угрозам.

    Антиспам. Фильтрация спама на периметре сети.

    Служба тестирования проникновений. Служба имитирует сценарии проникновения реальных злоумышленников и находит уязвимые места в инфраструктуре компании.

    Возможности FortiGate можно расширить с помощью подключения сервисов Фабрики Безопасности Fortinet. Туда входят как отдельные так и облачные решения FortiWeb, FortiMail и др.

     

    image10

    Фабрика безопасности расширяется в 4 уровня защиты. Базовый уровень предоставляет один FortiGate, для остальных необходимо использовать другие продукты Fortinet. Самый максимальный уровень защиты 360 Protection ориентирован на управление сотнями устройств безопасности и анализа угроз в SD-WAN сети.

    Варианты развертывания FortiGate

    FortiGate выпускается как аппаратное устройство и как виртуальная машина для установки на собственных серверах.

    Аппаратное устройство

    Такой вариант подойдет компаниям, для которых важна гарантированная производительность устройств из официальных датащитов. Для этого FortiGate обрабатывает трафик на CPU и SPU  одновременно, поэтому виртуальная машина на собственных серверах окажется медленней. 

    Аппаратное решение подойдет компаниям, которые строят сеть на оборудовании Fortinet. Неважно будет это SD-WAN с сотней подсетей или развитая структура Wi-Fi, виртуальной машины будет недостаточно. FortiGate станет ядром безопасности сети при её апгрейде, особенно если раньше компания не использовала NGFW или UTM решения.

    Виртуальное исполнение

    FortiGate на виртуальной машине идентичен аппаратной версии: тот же интерфейс, операционная система и функции безопасности.

    Однако, скорость зависит от купленной виртуальной лицензии и мощности сервера. Такой вариант подойдет для уже настроенной инфраструктуры с большим объемом свободных серверных мощностей и для тестового использования.

    Fortinet для своих продуктов даёт бесплатный тестовый период в течении 1–3 месяцев. За это время можно настроить сеть и протестировать функции безопасности на своем трафике. 

    После замеров администратор перенесет готовые настройки на физическое устройство, если компания решит выбрать аппаратное решение. Интеграция нового устройства произойдет быстрее, без потери работоспособности и снижения безопасности сети.

    Отказоустойчивый кластер на FortiGate

    При переходе на UTM и NGFW устройства угрозой ИБ со стороны оборудования становится единая точка отказа. Если NGFW отключится или сломается, вся сеть встает с нулевой защитой.

    Решением этой проблемы стало объединение нескольких устройств NGFW в кластеры безопасности. Такой кластер понадобится при:

    1. потере одного из каналов связи;
    2. выходе из строя одного или нескольких портов;
    3. выходе из строя целого FortiGate.

    Кластер создается штатными средствами операционной системы FortiOS.

    image8-1

    Схема подключения двух FortiGate в отказоустойчивый кластер

    Варианты работы FortiGate в сети

    Переход компании на NGFW подразумевает серьезное изменение сетевой архитектуры, настройку и интеграцию других сетевых устройств в единую систему безопасности. Но не всегда такие сильные изменения необходимы и целесообразны.

    Поэтому есть 3 сценария использования FortiGate в сети:

    1. FortiGate как ядро безопасности NAT/Route. Этот вариант подразумевает установку на периметре сети и обработку внешнего и внутреннего сетевого трафика. 
    2. FortiGate как устройство безопасности Transparent/Bridge. Он устанавливается за основным маршрутизатором и выполняет функцию инспекции трафика. За маршрутизацию отвечает устройство более высокого уровня.

    1. Такой подход применим в хорошо спроектированных сетях, или в сетях, где усиление безопасности требуется в определенном сегменте. Например, защитить сервера с личными данными пользователей приложений. 
    2. FortiGate можно настроить как сниффер и передавать трафик без задержек сквозь него. Такой вариант установки FortiGate полезен для поиска уязвимостей и узких мест ИБ компании. Инциденты ИБ будут логироваться, анализироваться и поступать в едином окне главному администратору или специалисту по ИБ.
      image1

      Варианты установки FortiGate в сети

      Лицензия и ценообразование FortiGate

      Недостаточно купить физическое решение FortiGate и быть защищенным на 100%. Антивирус, DPI, антиспам и другие сервисы безопасности, а также обновление и замена ПО доступны только при покупке дополнительных лицензий.

      Цена владения FortiGate складывается из 3-х компонент:

      1. Цена аппаратной версии устройства
      2. Цена поддержки FortiCare
      3. Цена дополнительных расширений

      Все подписки и условия использования FortiGate в нашем материале: Лицензия и ценообразование FortiGate.

      Модельный ряд FortiGate

      Компания Fortinet одинаково защищает как большие корпорации с тысячами устройств, так и стартапы на 10 человек. Для этого FortiGate выпускается в разных вариантах исполнения: от low-end сегмента «десктопных» версий до отдельных шкафов ЦОДов. 

      Младшие модели работают на чипах SoC, не требуют установки в серверной и серьезного охлаждения — поставить можно куда угодно.

      Большие профессиональные модели обрабатывают трафик на новых чипах Asic SP9 и NP7, занимают до 6 слотов в серверном шкафу и собираются из модулей как конструктор. 

      Подробный обзор всех линеек FortiGate в статье: Модельный ряд FortiGate

      Заключение

      FortiGate закрывает потребности компании по информационной безопасности и используется как ядро сети для расширения и модернизации.

      Вместе с другими решениями Fortinet, включенными в собственную экосистему компании — Фабрику безопасности, FortiGate подойдет как микро-компаниям на 10–20 человек, так и огромных корпорациях с сотнями филиалов и тысячами сетевых устройств.

 


Рисунок 3. Продукты серии FortiManager

Источник: https://www.anti-malware.ru/reviews/UTM_FortiGate
2. Беспроводные устройства безопасности FortiWiFi.

Источник: https://www.anti-malware.ru/reviews/UTM_FortiGate
Продукты серии FortiGate

Источник: https://www.anti-malware.ru/reviews/UTM_FortiGate
Продукты серии FortiGate

Источник: https://www.anti-malware.ru/reviews/UTM_FortiGate
2. Беспроводные устройства безопасности FortiWiFi.

Источник: https://www.anti-malware.ru/reviews/UTM_FortiGate