Обзор Fortinet FortiGate-60C


Обзор Fortinet FortiGate-60C

Компания Fortinet - производитель многофункциональных устройств сетевой безопасности и унифицированного управления угрозами (UTM – Unified Thread Management).  Флагманской линейкой компании Fortinet являются устройства комплексной безопасности FortiGate. Они обеспечивают высокую производительность и качественный уровень защиты, одновременно упрощая управление сетевой инфраструктурой предприятия.

Сертификат AM Test Lab

Номер сертификата: 94

Дата выдачи: 07.11.2011

Срок действия: 07.11.2016

Реестр сертифицированных продуктов »

Компания Fortinet предлагает широкий модельный ряд устройств, подходящих для самых различных инсталляций, начиная с серии FortiGate-30 для небольших предприятий и офисов и, заканчивая серией FortiGate-5000, предназначенной для больших предприятий и провайдеров. Для обеспечения комплексной и высокопроизводительной защиты сети платформы FortiGate объединяют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Помимо UTM-решений Fortinet предлагает широкий спектр специализированных решений для обеспечения информационной безопасности, таких как: защита электронной почты (FortiMail), защита баз данных (FortiDB), защита конечных точек (FortiClient), защита web-серверов (FortiWeb) и др.

 

 

1. Введение

2. Функциональные возможности

3. Первичная настройка

4. Углубленная настройка и эксплуатация

5. Интеграция

6. Тестирование

7. Российский рынок

8. Выводы

 

 

Введение

13 июля 2010 года компания Fortinet анонсировала новую архитектуру своих UTM-решений –Fortinet System-on-a-Chip (FS1), одновременно с этим представив UTM-устройство, созданное на основе данной архитектуры – устройство FortiGate-60C.

Архитектура System-on-a-Chip представляет собой сочетание традиционного многоядерного процессора со специализированными сопроцессорами FortiASIC CP и FortiASIC NP(собственная разработка компании Fortinet), предназначенными для ускорения обработки и проверки сетевого трафика.

В результате заказчики (компании различного масштаба) получают компактное и бесшумное устройство с низким энергопотреблением и тепловыделением, производительностью до 1 Гбит/с (в режиме межсетевого экрана) и низкой стоимостью.

 

Функциональные возможности

UTM-устройство FortiGate является одной из младших моделей в линейке FortiGate, но в то же время предоставляет полное функциональное наполнение, доступное в более старших моделях:

  • Межсетевое экранирование;
  • Обнаружение и предотвращение вторжений (IPS);
  • IPSec и SSL VPN;
  • Защита от вредоносных программ (Антивирус);
  • Антиспам;
  • Web-фильтрация;
  • Контроль приложений;
  • WAN-оптимизация;
  • Балансировка нагрузки;
  • Маршрутизация/коммутация;
  • Сканер уязвимостей

Устройство FortiGate-60C имеет следующие интерфейсы:

  • 5 х LAN10/100/1000;
  • 2 х WAN10/100/1000;
  • 1 х DMZ 10/100/1000;
  • 1 хUSB;
  • 1 х ExpressCard;
  • 1 консольный порт (RJ-45);
  • 1 интерфейс для подключения к компьютеру с помощью USB-кабеля.

Производительность:

  • Пропускная способность в режиме МЭ (UDP-пакеты 1518 и 512 байт): 1 Гбит/с;
  • Пропускная способность IPS: 60 Мбит/с;
  • Пропускная способность потокового антивируса: 35 Мбит/с;
  • Пропускная способность IPSecVPN: 70 Мбит/с;
  • Пропускная способность SSLVPN: 15 Мбит/с.

Другие характеристики:

  • вес устройства: 860 г.;
  • потребляемая мощность: 15,7 Вт;
  • тепловыделение: 53,6 BTU;
  • габариты (ВхШхГ): 3,66 х 21,59 х 14,76 см.

Существует также модель FortiWiFi-60C, включающая в себя точку доступа Wi-Fi, и FortiWiFi-60CXADSL-Aс интерфейсом ADSL2+.

 

Первичная настройка

По сравнению с предыдущим поколением продуктов FortiGate, в модели FortiGate-60C добавлена возможность первоначальной настройки устройства через USB-кабель. Для этого производитель разработал программное обеспечение FortiExplorer (в настоящий момент доступна для ОС семейства Windows и MacOS). Установка непосредственно FortiExplorer является тривиальной и осуществляется парой кликов мышью. Далее необходимо подключить устройство FortiGate с помощью USB-кабеля, обнаружить новое устройство «Fortinet FortiGate device»,и можно приступать к настройке.

 

Рисунок 1. Первичная настройка FortiGate-60C

Обзор Fortinet FortiGate-60C

 

FortiExplorer предлагает доступ к трем инструментам для конфигурирования:

  • стандартный веб-интерфейс (Web);
  • интерфейс командной строки (CLI);
  • мастер настройки (Setup Wizard).

Если первые два интерфейса (Web и CLI) являются стандартными для всех устройств FortiGate и в повседневной работе доступны по протоколам https и ssh (соответственно), то SetupWizard является новым инструментом для упрощения первоначальной настройки.

Для доступа к SetupWizard необходимо ввести имя администратора и пароль (аналогично доступу к другим интерфейсам управления).

 

Рисунок 2. Аутентификация администратора для доступа к FortiGate-60C SetupWizard

Обзор Fortinet FortiGate-60C

 

После этого мы попадаем в привычный пошаговый интерфейс настройки.

 

Рисунок 3. Интерфейс пошаговой настройки FortiGate-60C

Обзор Fortinet FortiGate-60C

 

Шаг 1. Меняем пароль администратора

 

Рисунок 4. Смена стандартных аутентификационных данных администратора управления

Обзор Fortinet FortiGate-60C

 

Шаг 2. Выбираем временную зону

 

Рисунок 5. Выбор часового пояса при установке FortiGate-60C

Обзор Fortinet FortiGate-60C

 

Шаг 4. Выбираем способ подключения к сети. Доступно 4 варианта:

  • Single Ethernet;
  • 3G modem only (3G модем в модели FortiGate-60Cможно подключить через порт ExpressCard или USB);
  • Dual Ethernet (позволяет обеспечить подключение с резервированием каналов от разных провайдеров, использую 2 WAN-интерфейса на устройстве);
  • Ethernet with 3G Backup (основной канал Ethernet, подключение 3G используется в качестве резервного).

 

Рисунок 6. Выбор сетевого интерфейса для WAN

Обзор Fortinet FortiGate-60C

 

Шаг 5. Выбираем тип подключения. Доступно 3 варианта:

  • DHCP;
  • Static IP (указывается ip-адрес, маска сети, ip-адрес шлюза по-умолчанию и ip-адрес dns-сервера);
  • PPPoE (указывается имя пользователя PPPoEи пароль).

 

Рисунок 7. Выбор типа подключения к Интернет

Обзор Fortinet FortiGate-60C

 

Шаг 6. Указываем параметры внутреннего LAN-интерфейса (ip-адрес и маску сети), включаем при необходимости встроенный DHCP-сервер.

 

Рисунок 8. Настройка параметров внутреннего LAN-интерфейса

Обзор Fortinet FortiGate-60C

 

Шаг 7. При необходимости ограничиваем время доступа в Интернет (к примеру – только в рабочее время).

 

Рисунок 9. Настройка ограничения доступа в Интернет

Обзор Fortinet FortiGate-60C

 

Шаг 8. При необходимости публикуем внутренний сервер для доступа извне через интерфейс WAN1  (указываем внешний порт,ip-адрес и порт внутреннего сервера). В нашем примере все обращения на порт 80 публичного ip-адреса будут транслироваться на внутренний веб-сервер 192.168.1.200.

 

Рисунок 10. Конфигурирование трансляции внутреннего сервера для доступа извне

Обзор Fortinet FortiGate-60C

 

Шаг 9. Добавляем удаленных пользователей IPSec VPN или SSL VPN.

 

Рисунок 11. Добавление удалённых пользователей по протоколам IPSec VPN или SSL VPN

Обзор Fortinet FortiGate-60C

 

Шаг 10. Смотрим сводные результаты настройки, сохраняем конфигурацию в файл.

 

Рисунок 12. Сводные результаты первичной настройки FortiGate-60C

Обзор Fortinet FortiGate-60C

 

Рисунок 13. Сохранение первичной настройки FortiGate-60C в файл

Обзор Fortinet FortiGate-60C

 

Безусловно, SetupWizard предлагает настроить только базовые параметры. С другой стороны, по простоте своего использования он сравним с типичными домашними маршрутизаторами, что позволяет настроить устройство даже в удаленных филиалах или небольших компаниях, где нет собственной ИТ-службы без существенных трудозатрат.

 

Углубленная настройка и эксплуатация

Общие настройки

Все основные операции по настройке и эксплуатации FortiGate осуществляются через web-интерфейс по протоколу ssh (на начальном этапе настройки это можно сделать и через FortiExplorer по USB-подключению).

Для доступа к веб-интерфейсу вводится имя администратора и пароль, который мы задали ранее в SetupWizard.

 

Рисунок 14. Аутентификация администратора для доступа к веб-интерфейсу FortiGate-60C

Обзор Fortinet FortiGate-60C

 

При входе в веб-интерфейс FortiGate выводит сообщение о наличии встроенного жесткого диска и базы данных SQL, что позволяет создавать собственные отчеты и консоли мониторинга (Dashboard).

 

Рисунок 15. Сообщение о наличии встроенного жесткого диска и базы данных SQL

Обзор Fortinet FortiGate-60C

 

В случае распределенного внедрения для этих целей, как правило, используются функциональные возможности выделенных средств управления и мониторинга (FortiManager и FortiExplorer). В случае одиночной установки FortiGate60С эти возможности будут, безусловно, полезны.

Окно веб-интерфейса FortiGate60С состоит из двух зон – слева расположены иерархические меню, разделенные по функциональным возможностям (Router, Firewall, UTM и т.п.), справа отображается основная информация и настройки соответствующего раздела.

 

Рисунок 16. Главное окно управления FortiGate60С

Обзор Fortinet FortiGate-60C

 

Первый раздел – System  Dashboard. Здесь можно увидеть набор виджетов (widgets), в которых отображается информация о системе, состоянии подписок на сервисы FortiGuard (антивирус, веб-фильтр, IPS и др), трафике, атаках, загрузке устройства и.т.п.

 

Рисунок 17. Виджет потребления системных ресурсов

Обзор Fortinet FortiGate-60C

 

Виджеты могут быть добавлены, удалены, перемещены в другое место панели. При необходимости можно создать свою панель (dashboard)с виджетами из предлагаемого набора.

 

Рисунок 18. Окно выбора виджетов мониторинга

Обзор Fortinet FortiGate-60C

 

Интересующий виджет можно открыть в новом окне для просмотра детальной информации (кнопка detach).

 

Рисунок 19. Детальная информция о сетевых подключениях

Обзор Fortinet FortiGate-60C

 

Ранее мы говорили о необходимости задать параметры FortiManager для обеспечения централизованного управления. Это можно сделать с использованием виджета Unit Operation, кликнув по рисунку FortiManager.

 

Рисунок 20. Окно виджета Unit Operation

Обзор Fortinet FortiGate-60C

 

При этом открывается раздел SystemAdmin Central Management.

 

Рисунок 21. Окно настройки Central Management

Обзор Fortinet FortiGate-60C

 

Для настройки кластера достаточно подключить второе устройство к свободному порту и указать данный порт в качестве интерфейса контроля состояния (heart beat interface) в разделе SystemConfigHA.

 

Рисунок 22. Подключение устройства к свободному порту для создания кластера

Обзор Fortinet FortiGate-60C

 

В разделе System так же можно настроить параметры встроенного DNS-сервера, PROXY-сервера, DHCP-сервера и другие общесистемные и сетевые параметры. Отдельно стоит отметить возможность гибкого разграничения прав доступа администраторов к веб-консоли FortiGate. К каждому разделу веб-консоли может быть предоставлен доступ уровня «Read Only» или «Read-Write».

 

Рисунок 23. Окно настройки параметров встроенных сетевых интерфейсов

Обзор Fortinet FortiGate-60C

 

Маршрутизатор

В разделе Router представлены настройки маршрутизации: статической и динамической (RIP, OSPF, BGP, Multicast).

 

Рисунок 24. Интерфейс настройки типа маршрутизации

Обзор Fortinet FortiGate-60C

 

Межсетевой экран и управление трафиком

В разделе Firewall могут быть настроены следующие параметры: политики межсетевого экранирования, правила трансляции адресов, политики Traffic Shaper, параметры балансировки нагрузки и ряд других.

 

Рисунок 25. Настройка межсетевого экрана FortiGate-60C

Обзор Fortinet FortiGate-60C

 

Все политики, настраиваемые в FortiGate (антивирусная фильтрация, антиспам, защита от DoS-атак, веб-фильтрация, DLP, TrafficShaper, контроль приложений и др.) привязываются к правилам межсетевого экрана. К примеру, для исходящего трафика можно обеспечить веб-фильтрацию и включить функционал DLP, а для входящего – атак (в т.ч. DOS-атак) и антивирусную фильтрацию трафика.

Существенной особенностью FortiGate является возможность работы в прозрачном режиме («сетевой мост»). Таким образом, FortiGate может быть внедрен без внесения изменений в инфраструктуру предприятия.

 

Рисунок 26. Интерфейс настроек политик фильтрации межсетевого экрана

Обзор Fortinet FortiGate-60C

 

Для удобства настройки есть возможность создавать именованные группы ip-адресов и сервисов.

Защита от сетевых угроз

Основной функционал защиты от сетевых угроз настраивается в разделе UTM.

 

Рисунок 27. Настройка параметров антивирусной защиты

Обзор Fortinet FortiGate-60C

 

Здесь представлены настройки следующих политик:

  • антивирусная фильтрация;
  • защита от атак, в том числе – DoS-атак;
  • веб-фильтрация;
  • email-фильтрация;
  • защита от утечек информации;
  • контроль приложений;
  • контроль VoIP.

Антивирусная защита

В профиле антивирусной защиты имеется возможность настроить, какие прикладные протоколы необходимо контролировать (HTTP, FTP, SMTP, IM и др.). Причем FortiGate может контролировать в том числе и защищенные протоколы (HTTPS, POP3S, SMTPS). Зараженные или подозрительные файлы могут помещаться в карантин на диск FortiGate или централизованно на FortiAnalyzer.

 

Рисунок 28. Интерфейс настроек антивирусной проверки

Обзор Fortinet FortiGate-60C

 

Отдельно могут быть настроены шаблоны файлов, которые сканируются при передаче по сети.

 

Рисунок 29. Указание типов файлов, подлежащих антивирусной проверке

Обзор Fortinet FortiGate-60C

 

При попытке загрузки зараженного файла пользователь получает предупреждение и загрузка блокируется.

 

Рисунок 30. Результат работы антивирусной проверки на примере EICAR

Обзор Fortinet FortiGate-60C

 

При настройке карантина заблокированный фал может быть доступен в разделе Log&ReportArchiveAccess Quarantine.

 

Рисунок 31. Пример помещения инфицированного объекта в карантин

Обзор Fortinet FortiGate-60C

 

Система предотвращения вторжений (IPS)

Функционал обнаружения и предотвращения вторжений включает в себя механизмы сигнатурного обнаружения вторжений.

 

Рисунок 32. Интерфейс настроек системы предотвращения вторжений

Обзор Fortinet FortiGate-60C

 

и защиты от DoS-атак.

 

Рисунок 33. Парметры настроек системы предотвращения вторжений

Обзор Fortinet FortiGate-60C

 

Систему защиты от атак можно настроить для обнаружения атак в заданных протоколах, для определенных ОС и приложений, что позволяет избежать излишней нагрузки на FortiGate и снизить количество ложных срабатываний. При обнаружения атаки ip-адрес атакующего, атакуемого сервера или интерфейс, через который идет атака, могут быть отключены на заданное время.

Нужно заметить, что FortiGate может работать и как классические IDS, то есть один из портов может быть использован для подключения к SPAN-порту коммутатора и пассивного мониторинга сетевого трафика для обнаружения атак.

Веб-фильтрация

Веб-фильтрация в FortiGate позволяет использовать встроенные категории (76 категорий и более 2 млрд. веб-сайтов  через сервис FortiGuard), а также создавать свои собственные категории фильтрации. Кроме этого, возможна фильтрация передаваемого контента на обнаружение определенных шаблонов (поддерживается кириллица) в передаваемых данных.

Если вы не хотите блокировать полностью какие-то категории, но хотите ограничить время их использования, – доступна функция указания времени, в течение которого пользователю будет доступна для просмотра та или иная категория сайтов. Также можно настроить запись в журнал доступа к выбранным категориям веб-сайтов. Отдельно могут быть настроены правила для видео-контента, изображений, активного содержимого (ActiveX, Java) и т.п.

 

Рисунок 34. Интерфейс настроек параметров веб-фильтрации

Обзор Fortinet FortiGate-60C

 

При доступе к запрещенному сайту  пользователь получает оповещение.

Для встроенных категорий:

 

Рисунок 35. Пример веб-страницы, заблокированной согласно политикам веб-фильтра

Обзор Fortinet FortiGate-60C

 

Для собственных категорий:

 

Рисунок 36. Пример веб-страницы, заблокированной согласно политикам веб-фильтра по категориям

Обзор Fortinet FortiGate-60C

 

Email-фильтрация

Функциональные возможности email-фильтрации (антиспам) позволяют создавать собственные списки email, ip-адресов, ключевых слов или просто воспользоваться базами сервиса FortiGuard для защиты электронной почты от вирусов и спама. Контролироваться могут все основные почтовые протоколы, включая защищенные с помощью SSL.

 

Рисунок 37. Интерфейс настроек параметров фильтрации электронной почты (антиспам)

Обзор Fortinet FortiGate-60C

 

Защита от утечек

FortiGate не следует рассматривать как полноценное DLP-решение. Тем не менее, в данном решении присутствуют функциональные возможности, которые позволяют снизить риски утечки (в первую очередь, непреднамеренной утечки конфиденциальной информации). Функциональность DLP-решений в FortiGate позволяет контролировать электронную почту, HTTP (S), FTP, NNTP, службы мгновенных сообщений.

Для каждого сервиса представлен свой набор настроек. Рассмотрим на примере HTTP.

 

Рисунок 38. Интерфейс настроек параметров защиты от утечек информации на примере HTTP

Обзор Fortinet FortiGate-60C

 

Для данного протокола предлагается возможность контролировать запросы GET, POST (как для HTTP, так и для HTTPS) и ряд параметров передаваемых данных:

  • наличие заданных регулярными выражениями (или шаблонами) сочетаний в теле запроса, URL, заголовке, cookie, имени хоста, имени файла;
  • размер файла;
  • бинарный шаблон файла (в формате Base 64);
  • группа пользователя (на основе настроек FortiGate, в том числе, группы из LDAP-каталогов);
  • применение шифрования к передаваемому файлу.

При попытке нарушения политики безопасности запрос может быть заблокирован, а передаваемые данные помещены в карантин для дальнейшего анализа.

Контроль приложений

Данная функциональная возможность является одним из признаков этапов развития межсетевых экранов и напрямую связана с тем, что веб-сервисы предлагают полноценные приложения, работа с которыми ведется по протоколу HTTP(S). Примеров тому масса: и популярные социальные сети, которые предлагают как просмотр информации, так и общение, и массу встроенных приложений; сервисы офисных приложений (например, GoogleApps); традиционные почтовые сервисы; средства ведения заметок и обмена файлами (DropBox, Evernote) и т.п. Кроме этого необходим контроль и за приложениями P2P, сервисами обмена сообщений, видео-сервисы и т.п.

В настоящее время в базе FortiGuard Application Control, используемой в устройствах FortiGate(http://www.fortiguard.com/applicationcontrol/appcontrol.html) насчитывается более 1000 приложений, включая и российские (например, сервисы ВКонтакте).

 

Рисунок 39. Интерфейс параметров контроля приложений

Обзор Fortinet FortiGate-60C

 

Использование избранных приложений (категорий приложений) может блокироваться или контролироваться.

 

Рисунок 40. Указание индивидуальных настроек для контроля приложений

Обзор Fortinet FortiGate-60C

 

VPN

FortiGate позволяет создавать как IPSec VPN-туннели, так и SSL VPN (варианты: создание туннеля или защищенный доступ к порталу). Таким образом, есть возможность создания как VPN-сети для распределенной компании, так и удаленного доступа сотрудников с различных мобильных устройств (ноутбуки, Android-коммуникаторы, iPhone/iPad). Примечательно, что, к примеру, клиенты для iOS и Android предлагаются бесплатно в AppleStore и GoogleMarket.

Форма портала и отображаемая информация настраивается для отдельных пользователей или групп пользователей. При этом существует возможность разместить ссылки на приложения, использующие поддерживаемые протоколы (SMB/CIFS, FTP, HTTP(S), Telnet, SSH, VNC, RDP, Ping).

 

Рисунок 41. Интерфейс настроек параметров VPN-подключения

Обзор Fortinet FortiGate-60C

 

Для обеспечения безопасности доступа с неконтролируемых устройств используется технология Virtual Desktop.

 

Рисунок 42. Интерфейс настроек параметров вирутального рабочего стола

Обзор Fortinet FortiGate-60C

 

Внешний вид портала настраивается с помощью виджетов, которые могут содержать: ссылки на приложения, средство доступа к произвольному адресу, информация о сессии, средство установления туннеля SSL VPN. Что немаловажно, портал поддерживает русскую локализацию.

 

Рисунок 43. Портал статистики FortiGate-60C

Обзор Fortinet FortiGate-60C

 

Пользователи

FortiGate позволяет создавать собственных пользователей или использовать LDAP каталоги для аутентификации и создания политик на основе имени пользователя. Для аутентификации поддерживаются серверы TACACS+ и RADIUS.

 

Рисунок 44. Интерфейс управления учетными записями пользователей

Обзор Fortinet FortiGate-60C

 

Для обеспечения Single Sign-On в инфраструктуре Active Directory Fortinet предлагает технологию FSAE, при которой данные об ip-адресах и пользователях сопоставляются на основании данных в журнале Windows.

Для обеспечения усиленной аутентификации могут быть использованы средства генерации одноразовых паролей(OTP) FortiToken. При этом в роли OTP-сервера выступает сам FortiGate, то есть отсутствует необходимость развертывания дополнительной инфраструктуры.

WAN-оптимизация и кэширование

FortiGate позволяет обеспечить оптимизацию трафика как между двумя устройствами FortiGate, так и между клиентом FortiClient (программный продукт). и FortiGate. Поддерживаются технологии кэширование байтов, веб-кэширование, оптимизация протоколов и др. Таким образом, обеспечивается оптимизация трафика протоколов CIFS, FTP, HTTP, MAPI и произвольных потоков TCP (в том числе, ускорение обработки SSL-трафика).

 

Рисунок 45. Интерфейс настроек параметров WAN-оптимизации Fortigate-60C

Обзор Fortinet FortiGate-60C

 

Безопасность конечных устройств

FortiGate поддерживает технологию NAC и позволяет контролировать политики безопасности на рабочих станциях и серверах, подключающихся к сети, с помощью ПО FortiClient. При этом может контролироваться наличие антивируса и персонального межсетевого экрана, запущенные и установленные приложения. Устройства, не прошедшие проверку, помещаются в карантинный сегмент.

 

Рисунок 46. Интерфейс контроля политик безопасности

Обзор Fortinet FortiGate-60C

 

FortiGate имеет встроенный сканер уязвимостей, позволяющий проводить сканирование сетевых узлов на предмет наличия в них уязвимостей.

 

Журналы и отчеты

Модель FortiGate-60C, имеет встроенный жесткий диск, что позволяет ей хранить журналы событий, базу карантина и копии трафика, а так же формировать отчеты на основе собранной информации. Существует возможность настройки оповещений по электронной почте.

При генерации отчетом может использоваться логотип компании вместо стандартного логотипа Fortinet. Могут быть настроены десятки графических отчетов, как по запросу, так и по расписанию.

 

Рисунок 47. Построение отчетов работы Forigate-60C

Обзор Fortinet FortiGate-60C

 

Интеграция

Компания Fortinet предлагает ряд решений, которые позволяют создать единую, централизованно управляемую систему сетевой защиты. В дополнение к FortiGate для распределенных компаний предлагаются решения FortiManager для централизованного управления и FortiAnalyzer для централизованного контроля событий ИБ.

Кроме того, продукты FortiGate совместимы и со сторонними решениями. В частности, VPN-туннели могут быть организованы со шлюзами Cisco, Junipier и другими.

Fortinet придерживается отраслевых стандартов, в том числе для протоколов динамической маршрутизации (OSPG, BGP) и др.

 

Тестирование

Для тестирования производительности использовался стенд, включающий 2 ноутбука с гигабитными сетевыми интерфейсами, подключенные напрямую к Fortigate-60C.

Тестирование проводилось как для трафика между внутренними интерфейсами, так и для трафика между внутренним интерфейсом и интерфейсом WAN. При тестировании использовалось ПО netperf и netCPS, так же осуществлялась передача больших объемов информации. На Fortigate-60C были включены только правила межсетевого экранирования.

Согласно заявленным характеристикам, FortiGate-60C способен обрабатывать одновременно максимум 80 000 соединений. Для тестирования устойчивости устройства к нагрузкам при передаче трафика заявленное число сессий в секунду было многократно превышено (генерировалось несколько миллионов сессий одновременно). По результатам теста отмечено совершенно естественное существенное снижение пропускной способности (до 20 Мбит/с), что объясняется высокой нагрузкой. При этом устройство продолжило функционировать и передавать трафик, а также было доступно для администрирования.

Тестирование с помощью netperf и передачи файлов показало значения, близкие к заявленным:

  • Для соединения между локальными гигабитными интерфейсами – практически на уровне скорости интерфейса (850-950 Мбит/с);
  • Для соединения между локальным интерфейсом и интерфейсом WAN – практически на уровне скорости WAN-интерфейса (90-95 Мбит/с).

При этом загрузка CPU на Fortigate-60C была порядка 50-60%.

Функциональное тестирование

Функционально тестирование проводилось на стенде, включающем 2 ноутбука, подключенные к локальным интерфейсам, и 1 сервера, подключенного к WAN-интерфейсу. Один из ноутбуков использовался в роли «нарушителя», со второго осуществлялась проверка связи с атакуемым сервером и контроль событий на Fortigate-60C. Так же был организован доступ в сеть Интернет. Проверялся функционал обнаружения вторжений и антивирусной фильтрации, обе функции были включены одновременно.

На сервере была установлена ОС Windows 2003 с сервисом IIS. На ноутбуках была установлена ОС Windows 7.

Проверка антивирусной фильтрации проводилась на примере образца EICAR, который скачивался с внешнего веб-сайта в нескольких форматах (исходный формат - «com», с измененным расширением – «txt» и в архиве – «zip»). Во всех случаях образец был успешно обнаружен, а скачивания заблокировано. Файлы были помещены в карантин для дальнейшего анализа (была включена соответствующая настройка).

Проверка функционала обнаружения вторжений проводилась с помощью ПО Metasploit с настройками по-умолчанию (сканирование атакуемого сервера и последующий запуск эксплойтов). В результате проверки:

  • были обнаружены факты сканирования;
  • были обнаружены попытки атак с помощью эксплойтов;
  • в режиме блокировки атаки были заблокированы (в консоли Metasploit были зафиксированы соответствующие сообщения), адрес атакуемого так же был заблокирован на заданное в настройках время (при включении блокирования ip-адреса);
  • связь с сервером при этом не прерывалась;

 

Российский рынок

Аппаратный межсетевой экран FortiGate-60C является первым продуктом Fortinet, для которого в России организовано сертифицированное производство (МЭ 4го класса). Представительство Fortinet в России планирует в ближайшем будущем расширять перечень сертифицированных решений для удовлетворения  потребностей заказчиков в области сертифицированных решений для защиты персональных данных и конфиденциальной информации.

На сегодняшний день в УЦ «Информзащита» действуют аккредитованные курсы по продуктам Fortinet.

 

Выводы

В этой статье описывается далеко не весь функционал устройства FortiGate-60C. Тем не менее, в данном обзоре описаны и показаны основные функции FortiGate-60C.

Плюсы:

  • безусловно, один из главных плюсов – полностью специализированное решение (операционная система FortiOS, сетевые сопроцессоры FortiASIC собственной разработки, многочисленные патенты), что для конечного потребителя выражается в высокой производительности и высокой эксплуатационных характеристиках (размеры, вес, тепловыделение, энергопотребление);
  • собственный исследовательский центр FortiGuard;
  • цена и политика лицензирования: устройство + базовая поддержка (гарантия на оборудование, обновление ОС, запросы в службу поддержки) + лицензии на нужный функционал (относится к подпискам на обновления баз FortiGuard: IPS, антивируси др). Таким образом, можно легко нарастить функционал или отказаться от ненужного. В России сейчас при покупке FortiGate предоставляется гарантия на год и 90 дней использования подписками FortiGuard бесплатно;
  • упрощенная процедура настройки с помощью FortiExplorer;
  • широкий функционал, одно устройство способно решить весь комплекс задач обеспечения безопасного сетевого взаимодействия ,включая даже такие, как балансировка нагрузки и WAN-оптимизация;
  • в России есть представительство, которое занимается локализацией решения, в том числе, сертификацией;
  • есть русскоязычная техническая поддержка и русскоязычные курсы;

Минусы:

  • в настоящий момент сертифицировано только одно устройство и отсутствует сертификат ФСБ России на СКЗИ (т.е. отсутствует сертифицированный VPN), ожидается продолжение работы в этом направлении от представительства в России;
  • отсутствие русификации интерфейса, относится в основном к отчетам, которые могут быть интересны топ-менеджерам;

Сертифицированные вариант FortiGate-60C можно рекомендовать малым и средним государственным и коммерческим организациям, компаниям с распределенной сетевой структурой (для удалённых офисов и филиалов), которым необходима комплексная защита сети.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.