Ни для кого ни секрет, что Fortinet - один из лидеров в производстве и поддержке UTM-решений (Unified Threat Management - универсальный шлюз безопасности). Взгляните на отчёты NSS Labs и квадранты Gartner - вы увидите лидирующие позиции и высокие показатели решений Fortinet.
Ниже представлена наглядная информация:
Безусловно, производитель выпускает не только UTM-устройства, но и множество других продуктов, таких как FortiWEB, FortiAnalyzer, FortiMail, FortiSIEM и т.д. Мы понимаем, что описать все решения в одной статье невозможно, поэтому представим для вас описание тех, чьи обзоры встречаются редко. К таким решениям, по нашему мнению, относятся коммутаторы и оборудование для построения беспроводных сетей.
Коммутаторы
На рынке коммутаторов представлены разные варианты моделей FortiSwitch любой портовой ёмкости, скорости интерфейсов и функциональности. Устройства могут управляться как локально, так и централизованно, например, из интерфейса межсетевого экрана FortiGate.
Беспроводная сеть
В модельном ряде производителя присутствует огромное количество разнообразных точек доступа и контроллеров беспроводной сети. Например, точки доступа с интегрированными или внешними антеннами для работы в офисных помещениях, а также защищённые точки доступа с широким диапазоном температур для работы на производстве и складских помещениях.
Беспроводная сеть может управляться с использованием выделенных контроллеров беспроводной сети, облачных сервисов, локально или из интерфейса FortiGate.
Цель обзора
Данный обзор посвящён не столько техническим особенностям работы оборудования, сколько его настройке и рассмотрению возможностей совместной работы межсетевых экранов FortiGate, коммутаторов FortiSwitch и точек доступа беспроводной сети FortiAP.
Причины, по которым мы решили сделать данный обзор:
· Большой спрос на решения по организации беспроводных сетей
· Необходимость построения локальных сетей с надёжными высокопроизводительными коммутаторами.
· Упрощение администрирования сетевого оборудования
· Повышение уровня безопасности
Оборудование
Обзор подготовлен с использованием следующего оборудования Fortinet:
1) Межсетевой экран FortiWiFi-60E для небольшого офиса
Устройство оснащено 10-гигабитными портами и интегрированной точкой доступа WiFi стандарта 802.11ac с внешними антеннами.
Технические характеристики: Firewall, IPS, WEB filter, Application control, IPS и др.
Производительность: до 250 Мбит/с в режиме NGFW (IPS + Application Control)
Форм-фактор: Desktop
2) Коммутатор второго уровня FortiSwitch 108D-POE
Младший коммутатор в линейке с 8-гигабитными портами RJ45 и 2 Combo портами SFP/RJ45
Бюджет мощности PoE: до 75W
Устройство может быть смонтировано в 19″ стойку
3) Бюджетная точка доступа беспроводной сети FortiAP-221E
Офисное исполнение с интегрированными антеннами
Стандарт 802.11ac Wave2
N.B. Одно из преимуществ решений Fortinet – единый интерфейс управления. Всё участвующее в обзоре оборудование может централизованно управляться в интерфейсе FortiGate.
Настройка оборудования
Активация контроллера коммутатора и беспроводной сети производится в меню межсетевого экрана - Feature Visibility.
После активации в GUI (графический интерфейс пользователя) межсетевого экрана для настройки коммутатора и беспроводного оборудования добавляется дополнительный раздел меню – WiFi & Switch Controller.
Управление коммутатором
По умолчанию коммутаторы имеют локальные настройки управления.
В GUI присутствует весь необходимый функционал.
Чтобы подключить коммутатор в режим управления из интерфейса FortiGate, необходимо в меню System изменить метод управления (Management Mode) на Fortigate Remote Management.
Далее вся настройка коммутатора переходит в GUI FortiGate
Чтобы подключить управление коммутатором в меню Network -> Interfaces, требуется в настройках интерфейса, к которому будет подключено устройство, выбрать режим работы Dedicated to FortiSwitch.
Далее перезагрузить – и изображение коммутатора появляется в меню FortiGate.
В настройках коммутатора можно видеть статус устройства, перезагружать его, обновлять версию ПО и осуществлять ряд других функций.
Настройка виртуальных локальных сетей Vlan осуществляется из меню управления интерфейсами FortiGate.
Привязка Vlan к портам коммутатора, управляемого через отдельное меню FortiSwitch Ports.
Доступны расширенные параметры безопасности для портов подключённого коммутатора.
Интерфейс управления устройствами беспроводной сети WiFi
Межсетевой экран FortiWifi обладает встроенным WiFi интерфейсом с возможностью работы поочерёдно в диапазоне 2.4 Ггц или 5 Ггц как в режиме точки доступа, так и в режиме клиента беспроводной сети.
Для создания беспроводной сети из интерфейса FortiGate требуется выполнить ряд настроек:
1. Создание профиля управления точками доступа (как локальной сети, интегрированной в межсетевой экран, так и подключаемой к FortiGate по протоколу CAPWAP).
В профиле настраиваются следующие параметры:
- Задание регуляторного домена беспроводной сети
- Управление выбором доступных радиоканалов
- Настройка балансировки клиентов
- Настройка мощности радиопередатчиков
Для диапазона 5 ГГц доступны такие же настройки, кроме набора доступных радиоканалов.
1. Создание профиля сети SSID. Оно состоит из двух частей:
- Задание параметров интерфейса (по аналогии с меню редактирования интерфейсов FortiGate)
- Настройка параметров аутентификации/авторизации
В настройках параметров SSID так же возможен выбор работы беспроводной сети:
- Туннелирование клиентского трафика от точки доступа до FortiGate
- Выгрузка клиентского трафика локально в коммутатор, к которому подключена точка
- Создание MESH сетей
3. Для завершения настройки беспроводной сети нужно авторизовать точки доступа в интерфейсе FortiGate и привязать профили управления и SSID.
Через интерфейс FortiGate для авторизованных точек доступа возможно:
- Смена профиля
- Перезагрузка
- Обновление версии ПО
Одной из дополнительных настроек профиля управления точками является привязка профиля к беспроводной системе обнаружения вторжений Wireless IDS. Профиль включает в себя набор предустановленных сигнатур, которые имеют возможность тонкой донастройки.
Помимо GUI FortiGate, существует ряд настроек, которые доступны на сегодняшний день только через Cli межсетевого экрана, это, например, настройка протоколов 802.11r, 802.11k и др.
Выводы и рекомендации
Что понравилось:
1. Единый интерфейс управления всем сетевым оборудованием
2. Одна точка входа в техподдержку производителя
3. Удобное и быстрое создание любых политик безопасности
4. Отсутствие лицензирования на подключение коммутаторов и точек доступа беспроводной сети к FortiGate
К чему остались вопросы:
1. Наличие операций в ручном режиме по регистрации и обновлению ПО на коммутаторах и точках доступа беспроводной сети
2. Не самые детальные настройки параметров Wi-Fi через интерфейс FortiGate. Часть настроек убрана в Cli.
3. Особенности траблшутинга коммутаторов. Вывод некоторых команд доступен только через Cli
Все оборудование, участвовавшее в обзоре, можно взять на тест. Для этого свяжитесь с нами любым удобным для вас способом.
Если у вас есть вопросы к автору текста, напишите ему: e.zor@lwcom.ru
