Поделиться
Какой должна быть защита сети для малого бизнеса и филиалов?
Построение системы информационной безопасности в небольшой компании сродни деятельности по протаскиванию верблюда сквозь игольное ушко, где в роли последнего выступают бюджетные ограничения. Какие решения наиболее уместны в современных условиях?Защита не только периметра
Наиболее простой способ интеграции FortiGate в сеть компании – это его подключение непосредственно за межсетевым экраном в т.н. "прозрачном" режиме. В этом случае не требуется каких бы то ни было изменений настроек маршрутизации, а сама процедура занимает не более 5 минут. При работе в данном режиме устройство не имеет сетевого адреса, и в сети его не видно (что создает дополнительные проблемы для возможных злоумышленников), в то время как устройство осуществляет эффективную фильтрацию интернет-трафика, надежно защищая сеть от внешних атак, вирусов и спама. При этом защита от спама и вирусов осуществляется в обоих направлениях - как входящего, так и исходящего трафика, - тем самым, с одной стороны, сводя к минимуму возможность компрометации почтового домена компании, а с другой, позволяя своевременно выявлять зараженные узлы внутри сети.
Однако наиболее полно возможности FortiGate проявляются при его использовании в режиме маршрутизатора. В этом случае, FortiGate будет выступать в роли защищенного ядра сети. Правила маршрутизации между различными сегментами сети, а также "внешним миром" увязываются с различными профилями защиты. Это позволяет, например, при передаче данных между различными отделами компании включить только потоковую антивирусную фильтрацию, а при работе пользователя в интернете задействовать максимальные уровни защиты.
Еще один положительный момент использования FortiGate в качестве маршрутизатора – это экономия. Для защиты сети небольшой компании его будет вполне достаточно, и больше не потребуется никакого дополнительного сетевого оборудования и серверов, кроме недорогих сетевых концентраторов. Даже самый простой FG-50B способен обслуживать сеть из 3-х физических сегментов (не считая VLAN), при этом обеспечивая 2 резервных защищенных подключения к интернету.
Для каждого из обслуживаемых сегментов FG-50B поддерживает NAT-преобразования и функционал DHCP. Также все без исключения устройства FortiGate обеспечивают выполнение политик формирования трафика (QoS), позволяющих исключить ситуации, при которых из-за одного нерадивого сотрудника, решившего скачать из интернета объемный файл, медленно работает почта у всех, включая генерального директора.
Контроль доступа пользователей
Интеграция устройства FortiGate c LDAP-совместимыми системами авторизации пользователей (такими, например, как Active Directory), а также Radius, позволяет гибко настраивать политики доступа не просто на уровне сетевых узлов, но и на уровне отдельных пользователей и групп. Это дает возможность, например, запретить "неблагонадежному" сотруднику или группе доступ в интернет, или что более важно, к определенным серверам корпоративной сети. При этом ограничения будут действовать независимо от того, с какого рабочего места пользователь попытается получить доступ.
Кроме того, в FortiGate реализованы гибкие возможности разграничения доступа и к функциям администрирования самого устройства, что удобно для разрешения пресловутых конфликтов"ИТ – ИБ", а также для решения задач удаленного управления устройствами, установленными в филиалах.
Еще одна из удобных возможностей FortiGate – это веб-фильтрация. Можно ограничить доступ пользователей (как всех сразу, так и, разумеется, выборочно) к определенным веб-ресурсам.
Преимущество перед традиционными МСЭ, где часто бывает реализована похожая возможность, в том, что можно не только формировать "черные списки" сайтов вручную (что является долгой и неблагодарной работой), но и воспользоваться готовыми категориями – например, "новостные сайты", "сайты знакомств", "сайты, содержащие материалы порнографического характера" и т. п.. (всего в настоящее время поддерживается 76 категорий).
Обслуживание на высоте
Администрирование устройства возможно как посредством удобного веб-интерфейса управления, так и непосредственно – через консольный порт. Но стоит отметить, что при отсутствии необходимости изменения политик безопасности (или топологии сети) устройства FortiGate практически не нуждаются в обслуживании.
Все необходимые обновления сигнатур вирусов и атак, выпускаемые Fortinet, устанавливаются автоматически. При этом возможна установка обновлений как по расписанию (например, во внерабочее время), так и оперативная – по мере появления обновлений в Fortinet Distribution Network (глобальной сети серверов, используемой Fortinet для рассылки обновлений, а также для предоставления сервисов антиспам и веб-фильтрации).
Возможна гибкая настройка оповещений администраторов при наступлении заданных событий – например, обнаружении вирусов, признаков атаки, и т.п.
Для усиления контроля системы информационной безопасности наряду с устройством FortiGate может использоваться устройство FortiAnalyzer. Это специализированное решение Fortinet, используемое для сбора и анализа информации о событиях безопасности. Механизмы корреляции событий, а также развитые средства аналитики и поиска делают данное устройство чрезвычайно удобным как для контроля систем безопасности в режиме реального времени, так и для "исторического" анализа инцидентов и проведения расследований.
Что есть только у Fortinet?
У UTM решений компании Fortinet есть свои особенности, корень которых лежит в используемой бизнес-модели. Во-первых – попытка предложить наилучшее соотношение цена/производительность, достигаемое за счет использования специализированных ASIC-процессоров, существенно повышающих производительность системы.
Все технологии, применяемые в оборудовании Fortinet, являются собственными разработками производителя, тогда как в большинстве решений остальных вендоров используются лицензированные компоненты сторонних фирм (как правило, модули антивируса). Подход Fortinet заметно повышает надежность и упрощает обслуживание. Кроме того, это дополнительно сказывается на производительности, т.к. в первом случае система работает как единое целое, а во втором - имеют место дополнительные издержки на перекодировку и трансляцию информации между разнородными компонентами.
Также оборудование Fortinet отличает простая и экономичная схема лицензирования, при которой стоимость лицензии определяется только тем, какие защитные функции устройства будут задействованы (например, антивирус, IPS, антиспам или веб-фильтрация), и не зависит от числа защищаемых объектов (пользователей или узлов сети).
И, наконец, последняя особенность, которую отмечает большинство пользователей, – это удобный и логичный интерфейс управления, который существенно упрощает задачи администрирования устройств Fortinet и тем самым заметно сокращает требуемое на них время.
FortiGate бесплатно
Один из лучший способов понять, насколько целесообразно приобретение того или иного оборудования – это протестировать его в реальных условиях. Компания SafeLine, официальный дистрибьютор Fortinet на территории России, предоставляет такую возможность. Более подробная информация об акции, а также о продуктах Fortinet, доступна на сайте www.safe-line.ru.
Порядок приобретения и обслуживания
Приобрести устройства Fortinet вы можете у партнеров компании SafeLine. Сервисную поддержку оборудования Fortinet на территории России оказывает компания "Информзащита".
Поделиться
Короткая ссылка
