fortigate что это такое

Веб-прокси

Одна из старейших и наиболее используемых функций TMG для предоставления доступа пользователей к Интернет без дополнительной аутентификации.
В FortiGate есть функция «Explicit web proxy» для передачи через прокси сессий по HTTP (HTTPS) и FTP, плюс поддержка авто-конфигурации с помощью PAC-файла.
Также, благодаря полностью интегрированной в FortiGate функции Single Sign-On (SSO), доступна возможность взаимодействовать с контроллером домена (Active Directory, Novell eDirectory) и контролировать доступ аутентифицированных пользователей, применяя к определённым группам домена необходимые права и возможности.
В дополнение к этому, в такие политики безопасности могут быть включены функции антивирусной защиты, предотвращения вторжения, веб-фильтрация и контроль приложений.

Включение веб-прокси осуществляется на требуемом(-ых) интерфейсе(-ах) («port1» на верхнем рисунке) и созданием разрешающей политики (на рисунке снизу):

Внедрение же Single Sign-On может быть осуществлено несколькими способами:

1. Используя специальную программу-агент на контроллере домена (DC Agent)
DC Agent – программный компонент в виде отдельной службы слежения за входами в систему пользователей, устанавливаемый на контроллере домена. Он взаимодействует с FortiGate не напрямую, а через коллектор-агент (Collector Agent).
Collector Agent инсталлируется на любом сервере или, опять же, на контроллере домена. Агент получает информацию о входах в систему пользователей и обменивается ею с FortiGate. Количество установленных агентов может быть больше одного для отказоустойчивости.

2. Опрос Collector Agent’а
Такой метод также предусматривает установку дополнительного софта в виде Collector Agent, но на контроллере домена службу DC Agent устанавливать не придётся. Collector Agent можно установить в любом месте сети (желательно на каком-то из Windows-серверов) и тогда он сможет опрашивать контроллер домена о событиях аутентификации пользователей («логонах»). Механизмы опроса осуществляются с помощью Windows NetAPI или Security event log.

3. Опрос напрямую с FortGate
Начиная с FortiOS версии 5, механизм опроса логонов с контроллера домена был полностью встроен в FortGate. При этом, для опроса используется только Security event log, а сам метод использования позиционируется как для небольших сетевых инфраструктур, там где нет возможности установить Collector Agent на периметре сети.
Правда, при этом, не стоит забывать, что FortGate если и избавит Вас от лишних хлопот с установкой софта — то возьмёт нагрузку по хранению в памяти структуры домена и опроса логонов пользователей на себя.

4. NTLM-аутентификация
Использование аутентификации по NTLM, требует для обмена с FortGate установленного Collector Agent на периметре сети. При запросе URL-адреса в браузере пользователя, FortGate запросит его доменные учётные данные (логин/пароль), получит их через браузер, сверит у Collector Agent принадлежность пользователя к группам домена и предоставит доступ к ресурсам согласно своей групповой политики безопасности.

5. Терминальные сервера
Пользователи, которые получают доступ к корпоративным ресурсам через терминальные сервера Microsoft или Citrix, имеют вместо собственного IP-адреса один общий адрес или пул. Для применения к таким пользователям политик безопасности посредством SSO, у Fortinet есть очередной программный компонент – Terminal Server Agent (TS Agent), устанавливаемый на самом терминальном сервере. Он выделяет заданный диапазон портов на каждого пользователя и обменивается этой информацией с Collector Agent, который, в свою очередь знает о принадлежности пользователя к доменным группам, а каким группам дать какой набор ресурсов и какую применить политику – знает FortiGate. Выглядит агент так:

В довершение описания реализации SSO хотелось бы также отметить, что производитель стремится к усовершенствованию функциональности даже в самых младших моделях UTM. В подтверждение этому, в 2012 году был анонсирован выход кардинально переработанной версии ОС FortiOS 5, из числа усовершенствований которой была и поддержка Terminal Server Agent, и более корректной работы SSO в целом, с его вышеописанным изобилием вариаций применения и вспомогательного софта.
Хоть поверьте, хоть проверьте, а взяв последние версии софта: Collector Agent, DC Agent, TS Agent в сочетании с FortiGate на версии FortiOS 5.0.4 и выше – всё будет работать как часы. А если будет интересно постичь тайности SSO и погрузиться в детали – будем про него «песать исчо», т.к. эта тема заслуживает отдельной статьи.

Переходя к части применения политик безопасности, взглянем, как это будет выглядеть на FortiGate при успешно настроенных программных компонентах SSO:

Применяемое правило для доступа конкретной группы или пользователя выглядит так:

Более разграниченные политики со множеством разных доменных групп предоставляют больше возможностей для контроля доступа пользователей к ресурсам сети.

Публикация OWA/SharePoint

Основными аспектами вопроса публикации веб-ресурсов Outlook Web Access или SharePoint являются следующие:
— Трансляция внешнего IP-адреса;
— Обмен сертификатами с пользователями извне.

Для начала нам нужно импортировать сертификат, делается это так:

В нужном меню просто выберите свой сертификат и нажмите ОК.

Далее, для настройки реверс-прокси необходимо настроить балансировку нагрузки. Создаём для этого виртуальный сервер:

Для виртуального сервера нужно определить реальный сервер:

Финальным этапом, создаём политику безопасности, где разрешаем трафик извне:

Входящий интерфейс (Incoming Interface) в таком случае будет внешний, исходный адрес (Source Address) будет «all», а адрес назначения (Destination Address) – только что созданный виртуальный сервер. В качестве сервиса, пропускаем HTTPS, т.к. обмен трафиком будет происходить только по HTTPS, а большего нам и не надо.
Как и в обычном прокси, существует возможность расширить функции безопасности, включив в политику профили:
— Антивирусной защиты;
— Системы предотвращения вторжения (IPS);
— Контроля приложений (тут мы можем ограничить или отследить, что кроме нужного приложения не используются другие);
— URL-фильтрации.

Инспектирование SSL-трафика

Ещё одна важная функция при миграции с TMG – это инспектирование SSL-трафика.
Включается так же просто как и остальные функции безопасности – преднастроенным профилем в политике.

Поскольку обмен сертификатами прозрачен для конечного пользователя внутри сети, можно использовать стандартный встроенный от вендора, а если внутренний сервер будет иметь собственный самоподписанный сертификат – можно просто включить «Allow invalid SSL Certificates», ведь они будут восприниматься как некорректные, т.к. не фигурируют в списке доверенных Certificate Authority (CA).
В разрезе публикации веб-ресурсов на FortiGate, настройка инспектирования относится лишь к публикуемому приложению и не будет касаться остального трафика, однако функция SSL-инспектирования может использоваться и для более детального контроля SSL-трафика конечных пользователей в корпоративных политиках безопасности.

Контроль приложений

Для того, чтобы задействовать функцию контроля приложений необходимо создать «сенсор» приложений. Это тот же профиль, только — в профиль 🙂
Смотрим:

В нашем случае, можно и нужно выбрать конкретное приложение, переключив тип сенсора на «Specify Applications» и методом поиска найти нужное приложение:

Система предотвращения вторжений

Для включения в политику безопасности – опять нужен сенсор для IPS:

Единственное – это то, что через веб-интерфейс нельзя создать фильтр по приложению, но это можно сделать из CLI-консоли, выполнив такие команды или скопировав их как скрипт:

После создания в CLI фильтра, в нём можно применять любые сигнатуры исключительно для IIS и Exchange.

Ещё одна «неявная» функция – это написание своей IPS-сигнатуры для блокирования доступа при попытке ввести неправильный пароль. Для создания таковой для OWA 2012 это будет выглядеть следующим образом:

Здесь параметр «—rate 3,180;» символизирует количество ложных ошибок ввода пароля (3) и время блокировки пользователя по его IP-адресу в секундах (180).

Защита от вредоносного/шпионящего ПО

Профиль антивируса выглядит так:

Как видим, помимо HTTP есть ещё другие виды трафика (SMTP, POP3, IMAP, MAPI, FTP). Нам же для публикации достаточно только HTTP(S).

Итак, собираем это всё воедино. Создаём политику для нашего реверс-прокси с публикацией, извне в корпоративную сеть, а точнее – на сервера веб-приложений, плюс включаем все настроенные профили и сенсоры, в том числе и SSL-инспектирование:

Публикация Lync

Теперь, когда мы детально рассмотрели вопрос публикации OWA/SharePoint с полным возможным набором функций безопасности, стоит отметить, что публикация Lync как веб-приложения происходит на FortiGate практически по той же схеме (трансляция адресов, обмен сертификатами, защита функциями UTM) и по тем же протоколам, за исключением появления необходимости контролировать также и трафик SIP:

Дабы учесть и такой аспект, помимо описанных возможностей, в FortiGate встроена поддержка SIP ALG (Application Level Gateway) – шлюза прикладного уровня, который обеспечивает детальное инспектирование и фильтрацию трафика SIP. Как и многие функции FortiGate, SIP ALG заслужил у производителя отдельного мануала – поэтому его детальное рассмотрение также заслуживает отдельной статьи в будущем.

Удаленный доступ пользователей и VPN-сети

Виртуальные частные сети VPN и защищённый шифрованный доступ с их помощью удалённых пользователей к корпоративным ресурсам сети или туннели между разнесенными площадками предприятий, очень широко используются уже большое количество времени, и TMG здесь не является единственным и неповторимым, обеспечивая нам данный функционал. FortiGate тоже не панацея, но искать решение для VPN на стороне зная, что и тут мы всё сможем сделать «из коробки» — это уже, простите, моветон. Да и оговорились мы ещё вначале, что решение наше полнофункциональное, поэтому обманывать не будем – а будем продолжать с миграцией всех функций TMG.
Итак, что имеем? Имеем поддержку L2TP/IPSec и IPsec VPN для т.н. «site-to-site» подключений и SSL-VPN для удалённого доступа из любой точки, что вполне подходит для «client-to-site».

Для IPsec доступно несколько вариаций, а-ля статического или же «Dialup»-подключения (имея статический адрес на одной стороне и динамический с удалённого конца туннеля), Dynamic DNS. Туннели строятся и между FortiGate’ами, и между ПК и FortiGate — с помощью дополнительного софта FortiClient. Присутствует множество аутентификаций (локальные группы пользователей, идентификаторы локального и удалённого узла, сертификаты X.509, учётные данные групп Active Directory).

SSL представлен двумя режимами – веб-портальным и туннельным. Веб-порталы предназначены для быстрого доступа к корпоративным ресурсам из веб-браузера, что особенно актуально для тонких клиентов и мобильных устройств. В таком режиме, FortiGate служит как защищённый HTTP/HTTPS шлюз, и аутентифицирует пользователей, предоставляя им затем доступ к веб-порталу, где доступны ресурсы HTTP/HTTPS, telnet, FTP, SMB/CIFS, VNC, RDP, SSH и прочие. Туннельный режим предлагает доступ любому приложению к корпоративной сети, но для этого устанавливается FortiClient или отдельная его часть — FortiClient SSL VPN application. FortiClient поддерживает многие ОС: Windows, Mac OS X, Apple iOS и Android.

Ещё один из типов дополнительной авторизации для VPN – это двухфакторная аутентификация с помощью аппаратного генератора одноразовых паролей FortiToken или софтварного FortiTokenMobile для мобильных устройств.

В общем, VPN-функционал опять же достаточно широк и во всей красе описывается на парочке сотен страниц, но, в то же время, немного потренировавшись (прямыми руками) можно легко управляться с многочисленными туннелями и веб-порталами. Напоследок, отметим также поддержку VPN-туннелей со сторонними (third-party) производителями, среди которых возможность подключения к облачному сервису Windows Azure от Microsoft, который тоже использует IPSec VPN.

Наконец, подытоживая всё вышеописанное, с уверенностью говорим, что Fortinet в лице своего флагмана – линейки UTM-устройств FortiGate может обеспечить с его покупкой очень широкий набор функциональности для построения системы комплексной сетевой безопасности предприятий любых размеров, оставляя при этом зазор для роста их численности. Нельзя обойти стороной возможность более узкопрофильно усилить защиту с помощью отдельных линеек оборудования Fortinet, таких как: FortiWeb, FortiMail, FortiBalancer, FortiToken и FortiClient, упомянутых нами в качестве перехода с Microsoft TMG, а также остальных продуктовых линеек: FortiWifi и FortiAP для построения защищённой беспроводной связи, централизованного управления FortiManager, централизованного сбора и анализа отчётности FortiAnalyzer, защиты от DDoS-атак FortiDDoS, защиты баз данных FortiDB, веб-кэширования FortiCache, кэширующего DNS-сервера FortiDNS, отдельного решения для аутентификации пользователей FortiAuthenticator, работы «в разрыв» при выходе из строя сетевых устройств FortiBridge, коммутация FortiSwitch и это ещё не конец списка…

Вопрос масштабируемости необходимо рассматривать в зависимости от требуемых функций, ранее используемых в TMG. И если уж Вам приглянулся FortiGate в одиночку или вместе с другим железом от Fortinet – то малым предприятиям (примерно до 100 пользователей) стоило бы обратить внимание на модель FortiGate-90D и ниже, а более крупным организациям – на FortiGate-100D и выше, т.к. поддержка некоторых функций (как и цена) разнится в зависимости от модели.

В завершение, от себя хотелось бы подчеркнуть, что о том, достоен ли FortiGate стать для Вас не только полнофункциональным, а ещё и незаметным и беспроблемным переходом с Microsoft TMG – решать, естественно, Вам. Как по мне — вполне реализуемо.

Источник

Первоначальная настройка и возможности UTM-устройств FortiGate для малых предприятий

На сегодняшний день, среди множества мировых корпоративных информационных систем нельзя не отметить рост количества все более усложняющихся сетевых атак, увеличение разнообразия сетевых устройств и способов доступа к информационным ресурсам предприятий, а также количества приложений в их среде.

В зависимости от масштабов предприятий разделён и подход к защите от таких угроз, если крупные компании уделяют более пристальное внимание вопросам обеспечения сетевой безопасности своих ресурсов, то все большее количество угроз направлено на организации малого и среднего бизнеса. Предприятия этого сегмента — Small Office-Home Office (SOHO) могут не располагать обширной инфраструктурой, способной противостоять современным смешанным атакам, а филиалам/удаленным офисам крупных компаний (Remote Office/Branch Office, ROBO) не всегда хватает собственной квалификации для противостояния таким угрозам безопасности.

Поэтому использование нескольких узконаправленных решений (обычно разных производителей) на периметре сети малых предприятий было бы нецелесообразным в плане времени и расходов на их содержание, внедрение и администрирование.

В помощь стали выходцы из пакетных межсетевых экранов (которых уже давно стало недостаточно) — устройства сетевой безопасности UTM и межсетевые экраны нового поколения NGFW. Они играют ключевую роль на современном рынке сетевой безопасности, поскольку сочетают в себе по принципу «всё в одном» множество сервисов защиты от различных сетевых атак, одновременно имея способность к быстрому развёртыванию, лёгкому масштабированию и адаптации под нужды предприятий.

В этой статье мы рассмотрим возможности UTM-устройств FortiGate от Fortinet, а также опишем базовую их настройку на примере модели в небольшом форм-факторе — FortiGate-40С, идеально подходящей для небольших офисов с численностью до 25-30 пользователей. Устройства FortiGate-40C предлагают объединенное решение сетевой безопасности включая: межсетевой экран, контроль приложений, IPS, антивирус, защиту от вредоносного ПО, антиспам, VPN, веб-фильтрацию и предотвращение утечки данных.

Разница между подходом с несколькими узконаправленными решениями и при использовании UTM FortiGate схематически изображена ниже:

Весь сегмент SOHO/ROBO, с учётом ещё одной аббревиатуры — SMB (Small & Medium Business), позиционируется производителем как:
— до 100 пользователей расположенных в центральном офисе;
— 5-25 удалённых пользователей, требующих VPN-доступа;
— Доступ к ресурсам по Ethernet и WiFi;
— Необходимость во внедрении, как минимум, антивирусной защиты и веб-фильтрации;
— Частичная занятость IT-сотрудника;
— Фиксированный бюджет на IT-безопасность.

Вся линейка устройств FortiGate для SMB/SOHO/ROBO-сегмента бизнеса достаточно обширная и способна обеспечить выбор индивидуального решения под конкретные нужды и масштаб компании. Разновидностей одной модели может быть несколько – и со встроенной WiFi-точкой, и c PoE-портами, с оптическими SFP, с ADSL на борту, только посмотрите:

Помимо названного, добавьте к уже описанным возможностям ещё такие:
— встроенный беспроводный контроллер (модель 40С и выше) для управления «тонкими» точками доступа FortiAP;
— использование одновременно для оказания услуг нескольким клиентам, благодаря поддержке технологии VDOM (виртуальный домен) в моделях от 60С и выше;
— резервирование и обеспечение отказоустойчивости/кластеризации (режимы Active-Active, Active-Passive);
— функционал балансировки нагрузки (от 60С и выше);
— IPSec и SSL VPN, поддержка PPTP, L2TP;
— статическая, динамическая маршрутизация RIP, OSPF, BGP, PIM;
— поддержка USB 3G-модемов;
— поддержка IPv6, VLAN, VoIP (SIP ALG);
— шейпинг трафика;
— оптимизация WAN-трафика;
— инспектирование SSL-трафика;
— идентификация пользователей и их репутация;
— аутентификация пользователей и интеграция с Active Directory с помощью Fortinet Single-Sign On;
— защита от DoS-атак;
— встроенное логирование событий;

Ко всему прочему, существуют возможности организации централизованного управления устройствами FortiGate с помощью устройства FortiManager, проведения анализа событий безопасности с применением FortiAnalyzer и проверки состояния защищённости сети посредством FortiScan.

Приступая к настройке FortiGate, в нашем случае – модели 40С, для начала опишем способы конфигурирования устройства. Их, как и функций, также немало:

1. Доступен удобный веб-интерфейс, позволяющий настроить большинство требуемых функций по обеспечению сетевой безопасности.
Сам же веб-интерфейс покажем вам немного позже.

2. Управление из командной строки (CLI) по протоколам TELNET, SSH или же через консольный порт (с использованием нуль-модемного кабеля, который подключается к COM-порту) пригодится нам для более тонкой настройки и настройки некоторых функций, доступных только таким способом, так как в веб-интерфейсе их нет.

3. Управление FortiGate установленной на ПК программой FortiExplorer, с помощью USB-подключения через кабель из комплекта. Не нужно даже настраивать сетевую карту для менеджмента и подключаться чем-либо другим к устройству. Способ очень удобен для первичной настройки, так как в ПО FortiExplorer при USB-подключении дублируется функционал и веб-интерфейса, и CLI, а также присутствует мастер настройки Setup Wizard.

Ну и централизованное управление с FortiManager никто не отменял, но без первичной настройки FortiGate это невозможно.

Мы же остановимся на последнем варианте, и запустим FortiExplorer, предварительно подсоединив и включив питание устройства. Когда полностью загрузится устройство и автоматически установятся драйвера на него, мы увидим следующее:

Попробуем настроить с помощью мастера Setup Wizard. Выбираем его слева и видим первую страницу – учётные данные

Стандартные учётные данные — логин: «admin», пароль отсутствует. Вводим, и нажимаем Next.

Первым делом у нас предложение удалённого управления с FortiManager – отдельной линейки Fortinet по централизованному управлению и удалённой настройке устройств FortiGate, FortiWiFi и FortiCarrier:

В зависимости от требований, есть ли место FortiManager’у в инфраструктуре Вашей сети и нужно ли отдать бразды правления в его руки – выбираем «Enable Central Management» и вводим IP или имя, где расположен наш менеджер централизованного управления. Теперь следующий шаг – Next.

Видим предложение сменить дефолтный пароль, вводим два раза желаемый и нажимаем Next. Далее будет экран смены часового пояса, дабы не засорять «эфир» нотариально незаверенными скриншотами – пропустим шаг, т.к. тут проблем быть не должно.
А вот дальше интересно, нам дают возможность выбрать топологию подключения к Интернет один или два провайдера мы будем использовать, с резервированием подключения через 3G/4G-модем или нет.

Одна голова хорошо, а две лучше – настраиваем два провайдера, один – проводной статический, второй — резерв 3G/4G.

На выбор к Ethernet-провайдеру нас DHCP — если провайдер выдаёт адрес автоматически, Static IP – нужно ввести вручную и PPPoE – тут нужен только логин и пароль доступа:

Аналогичные настройки и для второго внешнего интерфейса «Secondary WAN», если бы мы выбрали пункт «Dual Ethernet».

В нашем же случае, следующий шаг – это подключение 3G/4G-модема. Надо ввести номер телефона, логин и пароль провайдера.

Очередное нажатие Next и после попадаем на выбор метода балансировки трафика между провайдерами. Здесь на выбор:
— Round Robin – настройки не требует. Балансировка осуществляется «по кругу», сначала 1-й доступный линк, потом, 2-й…последний N-й, и обратно с 1-го;
— Weighted Load Balance – назначается такой параметр, как «вес» (weight) для каждого равнозначного дефолтного маршрута к провайдеру, на основе которого трафик и его сессии распределяются в процентном соотношении динамически в зависимости от величины (веса) маршрута. Значение по умолчанию – 50% / 50%.
— Spillover – иными словами «переброс». Сессии распределяются таким образом, что на основе показателя пропускной способности (Threshold), до его достижения используется высший маршрут к провайдеру из таблицы маршрутизации, а при достижении Threshold на этом интерфейсе – следующий маршрут, к соответствующему провайдеру.

Далее, в обоих случаях, и при «Dual Ethernet», и при «Ethernet with 3G/4G Backup» мы закончим с внешними интерфейсами и попадём в пункт настройки интерфейса внутреннего – «LAN Settings», где нам будет предложено ввести адрес и маску интерфейса, а также настроить при необходимости DHCP-сервер с определённым диапазоном адресов для автоматического их назначения сетевым устройствам этого интерфейса.

После очередного нажатия Next, нам светит другой подраздел «Security» и его первое предложение в виде настройки расписания (Schedule) доступа к Интернет.

Здесь всё предельно понятно – Always Coca-Cola означает всегда/повсеместно/круглосуточно, а «Restrict access to specified schedule» – даёт свободу выбора режима расписания, кроме Always, но ограничивает доступ пользователям по дням недели (всем или будним) и по времени.

В следующем меню «Internet Access Policy» скопом пошли все функции безопасности и тумблер «Вкл./Выкл.» для трансляции адресов NAT.

Unified Threat Management, само название говорит, что функции унифицированного управления угрозами скоро начнут действовать на страже периметра нашей локальной сети.
— Enable Virus Detection & Removal (Email, Web Browsing, etc) – не что иное, как антивирус, защита вредоносного и шпионящего ПО.
— Block Exploits and Intrusions in the network – долой эксплоиты и вторжения, гласит нам IPS, система предотвращения указанных.
— Filter SPAM and malicious (Phishing) Emails – фильтрация спама и прочей вредоносной почты заодно с «грозой угроз» UTM.

Filter User Activities – менее страшный по названию, но не менее «секьюрный» остальных по предназначению. Следит за каждым из вас!
— Block Malicious Web Content – вот она, наша веб-фильтрация по категориям, помогающая не допустить нежелательных посещений вредоносных сайтов;
— Monitor Applications Usage and Block Unproductive Applications — контроль используемых приложений тоже тут как тут и готов заблокировать из них, как минимум, снижающие продуктивность офисных работников.

Предпоследнее из быстрых и лёгких настроек в лице виртуальных серверов (Virtual Server), праздник нам приносит в виде защиты серверов, находящихся внутри корпоративной сети и обеспечения доступа к их ресурсам при подключении на внешний адрес нашего FortiGate. Поможет и для публикации веб-ресурсов, таких, например, как OWA/Sharepoint, ActiveSync, Lync и многих прочих.

Через мастер таких серверов можно настроить пять и транслировать их порты доступа извне внутрь.

Венец творения (не побоимся этого слова) Мастера Настройки и всея Руси — это удалённый доступ пользователей по VPN. На выбор нам IPSec и SSL VPN, где можно сразу завести в локальную базу трёх пользователей для аутентификации по логину/паролю, ключ PSK (Pre-shared Key) для IPSec SSL или до пяти закладок SSL VPN Bookmarks для доступа к нужным серверам из веб-портала SSL.

Мастер «Setup Wizard» FortiGate, прощаясь с вами, выведет для вашего же удобства статистический итог «Summary» где можно сверить только что проделанные настройки и вернуться, пока не поздно.

Наблюдаем опять же приятное глазу «Device configuration completed», а это именно то, чего мы добивались.
Теперь из веб-интерфейса мы сможем проверить что сам настроил нам Wizard, и для доступа, в левой колонке FortiExplorer’a можем выбрать «Web-Based Manager» или сразу подключиться к внутреннему интерфейсу и зайти на настроенный нами адрес в разделе «LAN Settings» Wizard’a.
«Из коробки» устройство имеет адрес 192.168.1.99/24, который у нас, оговорюсь, не менялся. Подключаться к FortiGate-40C, поскольку он имеет аппаратный свитч (Internal) можно в любой из его Internal-интерфейсов (1-5), как показано ниже:

После подключения, если это делалось с ПК, нужно проверить, выдал ли нам адрес встроенный DHCP-сервер. Результат должен быть примерно такой:

Итак, если всё ОК, в браузере вводим, https:// 192.168.1.99, принимаем сертификат, логинимся и видим стартовую страницу:

После просмотра рисунка, надо отметить, что политики применяются по принципу «сверху-вниз». Первая подошедшая – применяется к такому типу трафика и, в зависимости от действия, разрешает или запрещает прохождение трафика. А чтобы увидеть очерёдность отработки политик, нужно сменить режим просмотра с Section View на Global View и получится вот что:

Обратите также внимание на колонки AV, WebFilter, EmailFilter, Aplication Control и IPS. Для каждой из созданных политик применены стандартные (default) профили защиты функций безопасности антивируса, веб-фильтрации, антиспама, контроля приложений и IPS.
Все эти профили настраиваемые и могут быть изменены в разделе веб-интерфейса меню Security Profiles в веб-интерфейсе.

Профиль антивируса:

Профиль веб-фильтрации:

Сенсор контроля приложений:

Сенсор системы предотвращения вторжений IPS:

Профиль Email-фильтрации:

Сенсор модуля предотвращения утечки данных DLP:

VoIP-профиль:

Страница настройки уровней репутации клиентов:

Наличие же самих профилей в абсолютно правильно созданных политиках при старте устройства после автоматического Мастера настройки символизирует лишь о его (Мастера) адекватности и заботе производителя о безопасности пользователей UTM FortiGate практически «из коробки».
Подводя итоги, хочется лишь отметить, что забота-то не совсем бесплатная: и за устройство и за единую (в сегменте SMB/SOHO/ROBO устройств) подписку к нему на обновление актуальных сигнатур многочисленных функций защиты от угроз придётся отдавать свои кровные.

Но как же без НО:
Если защита и забота вполне оправдана низкой ценой на рынке, плюс высоким статусом Fortinet в качестве пятилетнего лидера UTM-устройств в квадрате Гартнера (Gartner), высокой надёжностью и производительностью, широкой линейкой продукции под любые масштабы предприятий. Это всё не говоря уже о быстроте и лёгкости настройки, в чём мы вместе смогли убедиться в данной статье.

Источник