FortiGate: полный обзор [2021] >

Блог Инфратех

fortigate
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

FortiGate: полный обзор [2021]

Автор: Артём Тюрин

В количестве устройств безопасности на рынке легко запутаться. Мы выбрали один из лучших NGFW по Гартнеру, тестам NSS Labs и сертифицированный ФСТЭК и используем в наших проектах.

В статье — полная информация о межсетевом экране нового поколения FortiGate от компании Fortinet.

Untitled%20design%20(17)
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

Защищать сеть компании от атак становится сложнее с каждым годом:

  1. Усложняется инфраструктура сетей, появляются новые сервисы и технологии. Пользователей и их действия в сети приходится больше контролировать
  2. Меняется количество и структура кибератак, поэтому необходимо постоянно обновлять методы поиска и устранения уязвимостей

Угрозы компании растут как снаружи сети, так и внутри неё. Поэтому, производители решений по ИБ постоянно модернизируют продукты и выпускают на рынок новые. В статье рассмотрим межсетевой экран FortiGate от компании Fortinet.

  1. Что такое NGFW FortiGate
  2. Различия между UTM и NGFW
  3. 4 сценария перехода на FortiGate
  4. Кому не обойтись без NGFW
  5. Fortinet — лидер рынка NGFW и UTM
  6. 5 причин перейти на FortiGate
  7. Сервисы безопасности FortiGate
  8. Варианты поставки FortiGate
  9. Варианты работы FortiGate в сети
  10. Отказоустойчивый кластер на FortiGate
  11. Лицензия и цены
  12. Модельный ряд

Что такое NGFW FortiGate

FortiGate от компании Fortinet — межсетевой экран нового поколения, по-английски — Next Generation Firewall (NGFW). Он становится ядром информационной безопасности компании и включает в себя большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д.

В 2000-х годах подход к ИБ был фрагментарным. Новые технологии рождали новые уязвимости в сетях и кибератаки, которые их эксплуатировали. Происходила вирусная эпидемия в мире — рос рынок антивирусов. Под DDoS-атаками отключались крупные сайты — проектировались новые средства защиты от DDoS.

Информационная безопасность компании выстраивалась по такому же принципу: каждую проблему чинили собственным инструментом, чаще всего от разных разработчиков. Антивирусы, маршрутизаторы, VPN-клиенты, спам-фильтры, фаерволы и прокси-серверы устанавливались и интегрировались
в инфраструктуру по отдельности.

У подхода «каждой проблеме — свое решение» несколько минусов:

  1. каждый сервис ИБ требовал настройки и обслуживания;
  2. инфраструктуру было сложно обновить и модернизировать целиком;
  3. информация об инцидентах ИБ хранилась каждым сервисом отдельно. Данные не визуализировались, и, чтобы их вытащить, требовалось читать логи. Появились системы SIEM, которые решают проблему и собирают информацию по ИБ с разных источников, но они стали еще одним единичным решением.

Чтобы решить эти проблемы, производители сетевых устройств стали интегрировать всё больше сервисов внутрь продуктов. Так появились универсальные устройства сетевой безопасности, по-английски — Unified Threat Management (UTM).

В их основу лег фаервол, так как через него проходит весь трафик компании. Центральный процессор обрабатывал трафик последовательно, и первые образцы UTM не справлялись с одновременной маршрутизацией и функциями безопасности. Их пропускная способность падала меньше 10 % от заявленной производителем, и при росте нагрузке функции безопасности просто отключались.

Различия между UTM и NGFW

Развитие UTM достаточно банально: разработчики убрали узкие места в производительности и спроектировали одновременную работу большого количества функций ИБ. Так появились решения NGFW.

До сих пор нет четкого ответа о различиях между UTM и NGFW. Маркетологи компаний заявляют, что это разные продукты с четко прописанной областью применения: UTM подходит для малого и среднего бизнеса, NGFW — для больших компаний.

Предлагаю сравнить функции двух решений: SG Series UTM от Sophos и FortiGate NGFW от Fortinet.

UTM: Sophos SG Series

  • Essential Firewall
    Network Firewall, NAT, Native
    Windows Remote Access
  • Network Protection
    IPSec/SSL, ATP, VPN, IPS, DoS Protection
  • Web Protection
    URL Filtering, Application Control, Dual Engine Antivirus
  • Email Protection
    Antispam, Email Encryption and DLP, Dual Engine Antivirus
  • Wireless Protection
    Wireless Controller, Multi-SSID Support, Captive Portal
  • Webserver Protection
    Web Application Firewall, Reverse Proxy, Antivirus
  • Sandstorm Protection
    Cloud-based Sandboxing

NGFW: Fortinet FortiGate

  • Network Security
    Firewall
    Routing/NAT
  • IPSec/SSL
    VPN
    IPS & DoS
  • Web Filtering
    Application Control
    Antivirus
    Anti-Malware
  • Email Filtering
  • Wireless Controller
    SD-WAN
    Explicit Proxy
    L2/Switching
  • Policy & Control
    Device Identification
    Policy Modes
    SSL Inspection

Разные названия в даташитах и одинаковые функции в реальности. Если функция безопасности не указана напрямую, она предоставляется по подписке через облачные сервисы производителя в рамках единой инфраструктуры.

По производительности текущие решения UTM и NGFW используют схожий принцип: одновременная обработка трафика на нескольких сопроцессорах.

Еще одним различием между UTM и NGFW называют возможность NGFW создавать правила для приложений: Skype, Word и т. д. Поскольку UTM-решения появились раньше, некоторые из них создают правила маршрутизации на более низких уровнях модели OSI.

Поэтому для организации ИБ в сети можно выбирать решение по характеристикам конкретной модели, не обращая внимания на названия UTM и NGFW.

4 сценария перехода на FortiGate

  1. Упрощение структуры сети
  2. Шифрование трафика до облаков
  3. Повышение прозрачности и сквозная аналитика инцидентов ИБ
  4. Уменьшение поверхности атаки

FortiGate — флагманский продукт Fortinet, и позиционируется он как enterprise-решение для больших компаний со сложной инфраструктурой. В 2016 году он приносил 75 % выручки, или в цифрах финансового отчета Fortinet за 2019 год — $460 млрд.

Тем не менее линейка моделей FortiGate охватывает как коробочные решения для дата-центров, так и low-end-сегмент для небольших компаний на 20–30 устройств.

image10-1

FortiGate 4400F — гипермасштабируемый МЭ для ЦОД и сетей 5G.
Поддержка тысяч устройств

image11-1

FortiGate 601E — модель бизнес-класса для сетей в 50–100 устройств

Таким образом, FortiGate решает задачи как малого, так и большого бизнеса. Рассмотрим самые частые сценарии применения.

1. Упрощение структуры сети

FortiGate объединяет в себе большинство служб и сервисов ИБ, которые по отдельности требуют управления через разные интерфейсы. Инциденты по ИБ попадают в единое информационное поле, и среди всех событий алгоритмы выделяют связанные друг с другом.

Например, сотрудник компании стал чаще задерживаться на работе вечером. Одно это событие ни о чём не говорит. Но если система безопасности увидит, что он пытался скопировать данные на флешку и вечером использует личные мессенджеры с рабочего компьютера, то это повод для проверки специалиста по ИБ.

Информация о проблемах и угрозах ИБ будет доступна администратору сети или специалисту по ИБ сразу после обнаружения. У специалистов становится больше времени среагировать и свести к минимуму ущерб для компании.

image14-1

Единое решение FortiGate в одном месте собирает аналитику,
управление сервисами ИБ и настройку сети.

2. Шифрование трафика до облаков

Если компания использует мощности Microsoft Azure, Amazon AWS или других облачных сервисов, FortiGate шифрует трафик между внутренней сетью предприятия и облаками с помощью SSL/TLS.

Помимо этого, фаервол будет использовать необходимые сервисы ИБ:

  • находить вторжения и нейтрализовать атаки ботнетов и хакеров (IPS);
  • управлять доступом и личными удостоверениями сотрудников (АА);
  • защищать инфраструктуру компании на уровне ОС и web-приложений (web-application firewall).

Для самых распространенных облаков компания Fortinet разработала комплексные решения информационной безопасности на основе Security Fabric и FortiWeb Cloud.

Так чувствительные данные и внутренняя структура сети компании становятся дважды защищенными: облачный сервис использует собственные механизмы ИБ, а компании — систему безопасности Fortinet.

image5-1-1

Реализация безопасной облачной инфраструктуры
на Google Cloud с помощью FortiGate

3. Повышение прозрачности сети и сквозная аналитика инцидентов ИБ

Видимость сети будет выше, потому что трафик проходит через FortiGate, а другие сетевые устройства интегрируются с ним напрямую. Wi-Fi-точки доступа будут защищены, как и остальная сеть, поскольку подключены и управляются FortiGate.

Инциденты доступны из интерфейса FortiGate и с помощью отдельного сервиса FortiAnalyzer для больших сетей с сотнями устройств.

image3-1-1

При использовании устройств FortiGate фрагментация сети не снижает ее видимость и не замедляет реакцию на инциденты. Можно быстро реагировать и поддерживать безопасность сети с сотнями офисов по всему миру

4. Уменьшение поверхности атаки

Злоумышленнику легче атаковать сеть, если ее внутренняя структура однородна: каждому отделу и серверу назначены единые права и сегмент.

FortiGate поддерживает микросегментацию сети, т. е. устройства объединяются в кластеры по функциям бизнеса. Каждому сегменту устанавливаются собственные права доступа, и он становится изолированным. Невозможно получить доступ к другому сегменту, если это специально не разрешено правилами фаервола.

При такой реализации возможные точки входа в сеть, например гостевой Wi-Fi, обладают ограниченными правами. Это затрудняет реализацию атаки на критически важные компоненты сети.

image16-1

Защита сети с помощью микросегментации на NGFW

Кому не обойтись без NGFW

  • Ритейл
  • Логистические компании со складами
  • Разработчики приложений
  • Компании с ИТ-отделом 2–5 человек

Традиционно решения NGFW ориентированы на большие корпорации с тысячами сотрудников, десятками серверов и веб-приложений и терабайтами конфиденциальной информации.

Однако в силу своих возможностей и сервиса FortiGate подходит для решения задач разных бизнесов. Разберем, какой бизнес получает наибольшую выгоду от использования NGFW.

Ритейл

Каждая точка продаж — это отдельная инфраструктура, которая интегрирована в сеть предприятия и поэтому должна соответствовать требованиям информационной безопасности компании.

Специфика ритейла накладывает ограничения для классических решений ИБ, но идеально подходит для устройств NGFW:

  • количество филиалов компании — от 10 до 1000, их быстрый рост;
  • подключение разнопланового оборудования в сеть: электронные кассы, камеры наблюдения, складские системы, сканеры и датчики посещений;
  • экономические или физические препятствия для технического обслуживания: невозможно закрепить за каждой точкой продаж своего ИТ-специалиста, или же точки территориально труднодоступны.
    Например, заправочные станции в условиях пустыни или крайнего севера.

Каждое устройство FortiGate интегрируется в единую сеть: админ управляет филиалами удаленно из главного офиса по технологии SD-WAN, шифрование и анализ трафика защищает все уровни сети.

FortiGate поддерживает нескольких каналов связи и автоматически балансирует трафик через них. Например, продуктовый магазин в деревне не имеет кабельного доступа в интернет или оборудование провайдера нестабильно и коннект постоянно обрывается.

Такую точку можно подключить к сети через LTE и дублировать спутниковой связью. Спутниковый интернет дорогой, поэтому балансировщик использует его только при отключении основного канала.

Логистические компании со складами

Wi-Fi-точки в складских помещениях подключаются напрямую к FortiGate. Модели поддерживают подключение от 2 до 12 Wi-Fi-адаптеров.

FortiGate обработает трафик с Wi-FI и защитит внутреннюю сеть от несанкционированного доступа.

Разработчики приложений

Компаниям, которые разрабатывают приложения, разворачивают back-end на собственных или облачных серверах, FortiGate поможет анализом трафика на уровне приложений и защищенной работы с облаками.

Компании с ИТ-отделом 2–5 человек

Если количество чувствительных к утечкам данных невелико, то отдел по ИБ не нужен. Чаще всего главный администратор в одиночку настраивает, обслуживает и защищает сеть компании.

При этом в сеть могут быть подключены несколько сотен устройств, и, если установить NGFW, ими станет легче управлять: уменьшатся затраты на ИТ-службу и снизится стоимость владения сетевых устройств, а безопасность вырастет.

Fortinet — лидер рынка NGFW по Гартнеру

Исследовательская и консалтинговая компания Gartner приводит подробные обзоры рынка ИБ-решений в ежегодных отчетах. Самый популярный способ визуализации — магический квадрант Гартнера. С его помощью сравнивают участников рынка, их текущее положение и перспективы роста.

В 2019 году лидерами квадранта Гартнера на рынке NGFW-решений были 4 компании:

  • Fortinet
  • Palo Alto Networks
  • Check Point
  • Cisco

Решение FortiGate от Fortinet заняло вторую строчку рейтинга, на первой традиционно находится компания Palo Alto, которая и создала идею NGFW.

image12-1

Магический квадрант Гартнера для рынка Enterprise Firewall за 2019 год. Если упростить, по вертикали отражены маркетинговые и финансовые показатели компании, а по горизонтали — уровень технологий и стратегия их развития

5 причин перейти на FortiGate

  1. Сопроцессоры ASIC
  2. Лицензия ФСТЭК
  3. Исследовательская лаборатория FortiGuard Labs
  4. Фабрика безопасности Fortinet
  5. Технология виртуальных доменов VDOMs

1. Сопроцессоры ASIC

Мощности одного процессора не хватает для обработки трафика и применения к нему функций безопасности. Его дешифровка, проверка на наличие вирусных сигнатур и дальнейшая обработка невозможны с текущими объемами.

Поэтому решения NGFW используют специализированные чипы для ускорения самых популярных операций: IPsec, DPI, SSL, антивирусной проверки и других.

FortiGate использует чипы Application Specific Integrated Circuit — ASIC. Это собственная разработка компании, и применяется в устройствах FortiGate в двух вариантах:

  1. как отдельные чипы серий NP (network processors) и CP (content processors);
  2. как единый SoC (System-on-a-Chip Processor).

image8-1-1

SoC (System-on-a-Chip Processor) используется в младших моделях линейки FortiGate и обрабатывает трафик
до 1 Гбит/с в режиме Threat Protection c включенными функциями безопасности.

На едином кристалле размещены CP, NP и RISC-based CPU-процессоры. Такая компоновка увеличивает скорость обработки трафика за счет его передачи внутри кристалла, а также упрощает архитектуру платы и устройства.

Младшие модели FortiGate на SoC защищают на 7-м уровне модели OSI, как и старшие. В 2019 году вышло четвертое поколение процессоров SoC: техпроцесс — 28 нм, поддержка памяти DDR4, внутрь интегрированы CP9 и NP6.

Режим FortiGate 60F Среднее
по индустрии
Шкала Security Compute Rating
Брандмауэр (Гбит/с) 10 0.65 15×
IPsec VPN (Гбит/с) 6.5 0.38 17×
Защита трафика (Гбит/с) 0.7 0.18
Проверка SSL (Гбит/с) 0.75 0.065 11×
Параллельные сеансы 700 000 15 000 47×
Сравнение пропускной способности FortiGate 60F на SoC4 с NGFW-экранами других производителей low-end-сегмента. Характеристики взяты из официальных документов. Security Compute Rating показывает прирост производительности по сравнению со средним значением пропускной способности по сегменту NGFW

100F — самая мощная модель FortiGate на SoC-процессоре.

Firewall IPS NGFW Threat Protection Параллельные сеансы CPS
20 Гбит/с 2,6 Гбит/с 1,6 Гбит/с 1 Гбит/с 1 500 000 56 000
Технические характеристики FortiGate 100F в различных режимах обработки трафика

image17-1

NP (network processors)
обрабатывают Ipv4, Ipv6, unicast и multicast. На них также ложится расшифровка IPsec, завершение VXLAN и преобразование адресов.

В UTM эти функции нагружают CPU и снижают пропускную способность устройства. В 2020 году вышел обновленный процессор NP7.

Помимо основных функций безопасности, он записывает события по ИБ самостоятельно и поддерживает политики безопасности на аппаратном уровне.

На NP7 выпущен FortiGate 4400F с пропускной способностью 1.2 Тбит/с в режиме фаервола и поддержкой 600 млн параллельных подключений.

Режим FortiGate
1800F
Сренее по индустрии Шкала Security Compute Rating
Брандмауэр (Гбит/с) 200 15 15×
IPsec VPN (Гбит/с) 75 4.3 17×
CPS 500 000 114 000
Параллельные сеансы 30 млн 2,73 млн 11×
Сравнение FortiGate 1800 F на чипе NP7 с возможностями NGFW других производителей

image2-1

CP (content processors) отвечает за ресурсоемкие функции безопасности, такие как расшифровка SSL/TLS, IPS и антивирус.

Последнее поколение чипов CP9 появилось в 2018 году. В тестах NSS Labs за 2019 год участвовал FortiGate с сопроцессором CP9.

В режиме инспекции SSL на HTTPS-трафике FortiGate 500Е показал снижение пропускной способности на 8 %.

Производительность упала на 49, 75 и 78 % на устройствах Cisco, PAN и Palo Alto соответственно.

Чипы ASIC производит и разрабатывает Fortinet, они не добавляют цену бренда к стоимости конечного устройства, как это происходит с чипами Intel и Broadcom у других производителей NGFW. Это значит, что вы получите более мощное устройство с потенциалом к масштабированию за меньшие деньги.

2. Лицензия ФСТЭК

В России FortiGate лицензирован ФСТЭК по технической защите конфиденциальной информации. Этот сертификат дает возможность использовать FortiGate в сетях госучреждений до 1-го класса защиты включительно и при защите персональных данных до 1-го класса включительно.

  • № сертификата: 4222
  • Дата внесения в реестр: 11.02.2020
  • Действует до: 11.02.2025
  • Наименование средства: программно-аппаратный комплекс FortiGate, функционирующий под управлением операционной системы FortiOS версии 6.X

Соответствует требованиям документов: 

  • требования к МЭ;
  • профиль защиты МЭ (А четвертого класса защиты. ИТ.МЭ.А4.ПЗ);
  • профиль защиты МЭ (Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ);
  • требования к СОВ;
  • профили защиты СОВ (сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ).

Если для деятельности вашего бизнеса нужна лицензия не только ФСТЭК, FortiGate соответствует требованиям всех основных регламентов:

  • PCI DSS;
  • PII;
  • HIPPA
  • GDPR

3. Исследовательская лаборатория FortiGuard Labs

FortiGate использует решения и сигнатурные базы угроз, которые создает и разрабатывает научно-исследовательская лаборатория при Fortinet.

Ежедневно лаборатория обрабатывает 100 млрд сигналов об угрозах с устройств Fortinet по всему миру. Вместе с искусственным интеллектом и алгоритмами машинного обучения эта информация превращается в сигнатуры и правила безопасности, которые получают устройства Fortinet.

FortiGuard Labs работает совместно с другими объединениями по ИБ и международными государственными службами, которые занимаются информационной безопасностью.

Если новая угроза возникает в одном месте сети, в течении часа обновляются устройства безопасности Fortinet по всему миру:

  • список вредоносных хэшей/URL/IP/доменов обновляется каждые 15 минут;
  • базы антивирусных сигнатур обновляются раз в 60 минут;
  • уязвимости «нулевого дня» для песочницы обновляются раз в 15 минут;
  • подписи IPS обновляются каждые 42 часа.

Таким образом, сеть на устройствах Fortinet будет защищена как от старых, так и от самых новых киберугроз.

4. Фабрика безопасности Fortinet

FortiGate — ядро информационной безопасности компании. С усложнением задач безопасности защиту можно усилить с помощью других устройств и сервисов Fortinet.

Экосистему информационной безопасности Fortinet называют SECURITY FABRIC, или Фабрикой безопасности. Идея фабрики заключается в использовании решений по ИБ от одного вендора с полной интеграцией и управлением из единого центра.

Если взять точки доступа от Fortinet и подключить их непосредственно к FortiGate, получится защищенная Wi-Fi-сеть. Точками можно управлять через интерфейс FortiGate и там же анализировать трафик с устройств, подключенных к Wi-Fi.

image15-1

Экосистема Фабрики безопасности от облаков до endpoint-защиты.

Фабрика безопасности собирает информацию об инцидентах безопасности со всех устройств Fortinet. ИИ обрабатывает их и превращает в конкретные правила безопасности и сигнатуры для устройств, входящих в фабрику.

Если FortiWeb заблокирует запрос с подозрительного адреса и такая ситуация повторится на нескольких устройствах, то этот адрес попадает в черный список для всех устройств Fortinet, в том числе экраны NGFW с включенным Application Firewall.

Сервисы технологических партнеров Fortinet обмениваются данными об угрозах с устройствами фабрики безопасности по API.

5. Технология виртуальных доменов VDOMs

Технология VDOMs создает на базе одного физического устройства FortiGate несколько виртуальных. Разделение полезно при обслуживании нескольких офисов или компаний на уровне провайдера или повышения отказоустойчивости сети.

image7-1

Создание изолированных VDOM для обработки трафика двух компаний на одном FortiGate. Отдельный домен для администратора устройства

Если объединить два физических устройства FortiGate в кластер, то повышается отказоустойчивость сети.

С технологией VDOM такой кластер можно организовать виртуально. От физических повреждений или отключений электричества он не защитит, однако спасет от атак и сбоев в конфигурации.

image13-1

В конфигурации виртуального отказоустойчивого кластера root VDOM обрабатывает внутренний сетевой трафик, а Engineering VDOM — инженерный сетевой трафик

Доступ к технологии VDOМ предоставляется по подписке.

Сервисы безопасности FortiGate

Антивирус, определение IP/доменов ботнетов, защита мобильных устройств. Определяет шпионское ПО, защищает от вирусов и других атак с помощью анализа содержимого трафика.

Веб-фильтр. Отслеживание, контроль и блокировка доступа к вредоносным веб-сайтам.

Облачная песочница. Файлы с нестандартным поведением анализируются алгоритмами в облаке, отделенном от сетей компании. Это позволяет обнаруживать еще неизвестные атаки с помощью шаблонов поведения и предотвращать вирусные эпидемии.

Защита от вирусных эпидемий. Защищает от неизвестных угроз, которые появились между обновлениями антивирусных сигнатур.

Список скомпрометированных угроз. Постоянное пополнение списка угроз ИБ на всех устройствах FortiGate.

Служба оценки безопасности. Оценка и тестирование инфраструктуры ИБ компании и выдача рекомендаций по ее улучшению.

Служба интернета вещей (IoT). Автоматически обнаруживает подключенные к сети компании IoT-устройства и применяет к ним политики безопасности.

Служба промышленной безопасности. Защищает сеть и фильтрует трафик на уровне промышленных сред, протоколов и оборудования.

Служба IPS. Обновления в реальном времени от FortiGuard Labs для противодействия сложным многокомпонентным угрозам.

Антиспам. Фильтрация спама на периметре сети.

Служба тестирования проникновений. Служба имитирует сценарии проникновения реальных злоумышленников и находит уязвимые места в инфраструктуре компании.

Возможности FortiGate можно расширить с помощью подключения сервисов фабрики безопасности Fortinet. Туда входят как отдельные, так и облачные решения FortiWeb, FortiMail и др.

image9-1

Фабрика безопасности расширяется в 4 уровня защиты. Базовый уровень предоставляет один FortiGate, для остальных необходимо использовать другие продукты Fortinet. Самый максимальный уровень защиты — 360 Protection — ориентирован на управление сотнями устройств безопасности и анализа угроз в SD-WAN-сети

Варианты поставки FortiGate

FortiGate выпускается как аппаратное устройство и как виртуальная машина для установки на собственных серверах. Главное отличие: в железной версии трафик обрабатывают процессоры ASIC, виртуальная работает на процессорах сервера и производительность падает до 10х раз.

Аппаратное устройство

Такой вариант подойдет компаниям, для которых важна гарантированная производительность устройств из официальных даташитов. Для этого FortiGate обрабатывает трафик на CPU и SPU ASIC одновременно, поэтому виртуальная машина на собственных серверах окажется медленней.

Аппаратное решение подойдет компаниям, которые строят сеть на оборудовании Fortinet. Неважно, будет это SD-WAN с сотней подсетей или развитая структура Wi-Fi, виртуальной машины недостаточно. FortiGate станет ядром безопасности сети при её апгрейде, особенно если раньше компания не использовала NGFW или UTM решения.

Виртуальное исполнение

FortiGate на виртуальной машине идентичен аппаратной версии: тот же интерфейс, операционная система и функции безопасности.

Однако скорость зависит от купленной виртуальной лицензии и мощности сервера. Такой вариант подойдет и для уже настроенной инфраструктуры с большим объемом свободных серверных мощностей, и для тестового использования.

Fortinet предоставляет для своих продуктов бесплатный тестовый период продолжительностью 1–3 месяца. За это время можно настроить сеть и протестировать функции безопасности на своем трафике.

После замеров администратор перенесет готовые настройки на физическое устройство, если компания решит выбрать аппаратное решение. Интеграция нового устройства произойдет быстрее, без потери работоспособности и снижения безопасности сети.

Варианты работы FortiGate в сети

Переход компании на NGFW подразумевает серьезное изменение сетевой архитектуры, настройку и интеграцию других сетевых устройств в единую систему безопасности. Но не всегда такие сильные изменения необходимы и целесообразны.

Поэтому есть 3 сценария использования FortiGate в сети:

  1. FortiGate как ядро безопасности NAT/Route. Этот вариант подразумевает установку на периметре сети и обработку внешнего и внутреннего сетевого трафика.
  2. FortiGate как устройство безопасности Transparent/Bridge. Он устанавливается за основным маршрутизатором и выполняет функцию инспекции трафика. За маршрутизацию отвечает устройство более высокого уровня.
    Такой подход применим в хорошо спроектированных сетях или в сетях, где усиление безопасности требуется в определенном сегменте. Например, если необходимо защитить серверы с личными данными пользователей приложений.
  3. FortiGate можно настроить как сниффер и передавать трафик без задержек сквозь него. Такой вариант установки FortiGate полезен для поиска уязвимостей и узких мест ИБ компании. Инциденты ИБ будут логироваться, анализироваться и поступать в едином окне главному администратору или специалисту по ИБ.

image1-8

Варианты установки FortiGate в сети

Отказоустойчивый кластер на FortiGate

При переходе на UTM и NGFW устройства угрозой ИБ со стороны оборудования становится единая точка отказа. Если NGFW отключится или сломается, вся сеть встает с нулевой защитой.

Решением этой проблемы стало объединение нескольких устройств NGFW в кластеры безопасности. Такой кластер понадобится при:

  • потере одного из каналов связи;
  • выходе из строя одного или нескольких портов;
  • выходе из строя целого FortiGate.

Кластер создается штатными средствами операционной системы FortiOS, для его создания потребуется:

  1. FortiGate 2–4 устройства или виртуальных машин. Все они должны быть одной модели, одной версии FortiOS и функционировать в одинаковом режиме
  2. Heartbeat линк (минимум 1, лучше — несколько)
  3. Подключить порты для трафика в L2-домен

image6-1

Схема подключения двух FortiGate в отказоустойчивый кластер

Отказоустойчивый кластер работает в двух режимах:

  • Active-Passive. Трафик обрабатывает только мастер-нода, остальные устройства выступают бэкапом.
  • Active-Active. Все ноды кластера обрабатывают трафик, поэтому производительность растет, но нелинейно. При подключении 4-х устройств FortiGate скорость не вырастет в 4 раза, потому что весь трафик сначала будет поступать на мастер-ноду, и уже она будет принимать решение, какое устройство его обработает.

Можно настроить наиболее важные параметры для выбора мастер ноды. Например uptime, статус интерфейсов и т. д.

Подробную настройку кластера смотрите в руководстве от Fortinet: Administration Guide | FortiGate. Актуально для FortiOS 6.4.2.

Лицензия и цены

Недостаточно купить физическое решение FortiGate и быть защищенным на 100 %. Антивирус, DPI, антиспам и другие сервисы безопасности, а также обновление и замена ПО доступны только при покупке дополнительных лицензий.

Цена владения FortiGate складывается из 3-х компонентов:

  1. Цена аппаратной версии устройства.
  2. Цена поддержки FortiCare.
  3. Цена дополнительных расширений.

Все подписки и условия использования FortiGate — в нашем материале Лицензия и ценообразование FortiGate.

Модельный ряд FortiGate

Компания Fortinet одинаково защищает как большие корпорации с тысячами устройств, так и стартапы на 10 человек. Для этого FortiGate выпускается в разных вариантах исполнения: от low-end-сегмента десктопных версий до отдельных шкафов ЦОДов.

Всего Fortinet выделяет пять линеек моделей:

  1. Начальный уровень. Номера 30 — 80 E/F, всего 7 устройств;
  2. Бизнес-уровень. Номера 100 — 900 Е/F/D, всего 9 устройств;
  3. Профессиональный уровень. Номера 1000 — 4400 Е/F/D, всего 20 устройств;
  4. Топ-уровень и модели на базе корпусов. Номера 6300 — 7060 Е/F, всего 6 устройств;
  5. Серия для промышленных устройств Rugged. Номера 30 — 90D, всего 5 устройств.

Все модели различаются количеством сетевых интерфейсов и пропускной способностью в различных режимах работы. На пропускную способность влияет тип сопроцессора ASIC, который обрабатывает трафик.

Младшие модели работают на SoC, не требуют установки в серверной и серьезного охлаждения — поставить можно куда угодно.

Большие профессиональные модели обрабатывают трафик на новых чипах ASIC SP9 и NP7, занимают до 6 слотов в серверном шкафу и собираются из модулей как конструктор.

Для сравнения мы выбрали из каждой линейки по одной модели и свели характеристики в единую таблицу:

  FirewallГбит/с IPSГбит/с NGFWГбит/с Threat ProtectionГбит/с Параллельные сеансымлн CPSтыс/с
60F 10 1,4 1 0,7 0,7 35
600E 36 10 9,5 7 8 450
3400E 240 44 34 23 50 460
6500F 239 170 150 100 200 3 000
Rugged 90D 2 350 370 280 2,5 20

Подробный обзор всех линеек FortiGate — в статье «модельный ряд FortiGate».

Заключение

FortiGate закрывает потребности компании по информационной безопасности и используется как ядро сети для расширения и модернизации.

Вместе с другими решениями Fortinet, включенными в собственную экосистему компании — фабрику безопасности, FortiGate подойдет как микрокомпаниям на 10–20 человек, так и огромным корпорациям с сотнями филиалов и тысячами сетевых устройств.

fortigate
Бесплатный вебинар все о FortiGate от А до Я

Всего за 35 минут вы получите понимание подходит ли вам Next Generation Firewall FortiGate

Узнать больше

Topics:   Обзор