Семь бед — один Fortinet

Семь бед — один Fortinet

Как решать прикладные задачи безопасности с помощью продуктов Fortinet

Данная статья служит напоминанием о том, что с помощью решений по безопасности можно реализовать не только комплексные задачи по соответствию стандартам, внедрению СУИБ и т.д., а также и задачи прикладного характера, с которыми каждый день сталкиваются ИТ-службы компаний любого размера. Далее будет рассмотрено несколько рядовых задач, которые можно решить с помощью оборудования Fortinet.

  • 1. Необходимо подключение к интернет-провайдеру

Решение: выбрать и купить маршрутизатор.

Устройство FortiGate поддерживает статическую, динамическую маршрутизацию (RIP, OSPF, BGP), маршрутизацию по требованию (policy based routing), а также маршрутизацию multicast трафика.

Семь бед — один Fortinet

В маршрутизаторе FortiGate поддерживаются развитые функции преобразования адресов (динамический и статический NAT, policy-based NAT, SIP/Н.323 NAT traversal), также есть функции балансировки нагрузки между несколькими серверами.

  • 2. Сотрудники тратят много времени в течение рабочего дня на посещение социальных сетей, развлекательных сайтов и т.д.

Решение: ограничить доступ в рабочее время к ресурсам, не связанным с работой.

Функционал веб-фильтрации FortiGate позволяет не только создавать черные и белые списки сайтов, но и разграничивать доступ к сайтам по категориям, которые динамически обновляются через подписку FortiGuard. На данный момент существует 78 категорий сайтов, распределенных между шестью основными группами.

Семь бед — один Fortinet


Можно создавать различные политики для разных групп пользователей (маркетинг, финансы, ИТ и т.д.), ограничить доступ к сайтам, загружающим канал, к потенциально вредоносным сайтам и прокси-серверам. Здесь можно посмотреть, в какую категорию попадает тот или иной сайт, или подать заявку на категоризацию/изменение категории.

  • 3. Интернет-канал постоянно загружен, что негативно влияет на бизнес-процессы

Решение: определить приложения, которые загружают интернет-канал и ограничить их использование.

C помощью FortiGate можно проанализировать, какие приложения в сети занимают больше всего интернет канала:

Семь бед — один Fortinet

По результатам анализа следует заблокировать или ограничить работу не критичных для бизнеса приложений для различных пользователей и групп пользователей.

Как и веб-сайты, приложения разделены по категориям, что позволяет администратору блокировать все приложения определенного типа, например Instant Messengers, Peer-to-Peer, File Sharing, Streaming Media, Proxy, VoIP и т.д. На данный момент FortiGate умеет определять и блокировать 2858 различных приложений, и этот список постоянно растет.

  • 4. Пользователи, посещая опасные веб-сайты, инфицируют свой ПК и потом все остальные в сети

Решение: внедрить шлюзовой антивирус

Функционал антивируса на FortiGate позволяет в режиме реального времени проверять веб-трафик, FТP, электронную почту (SMTP, РОР3, IMAP), протоколы обмена мгновенными сообщениями (ICQ, AIM, MSN, Yahoo), протокол передачи новостей (NNTP) на наличие вирусов.

Семь бед — один Fortinet

Антивирусные сигнатуры обновляются автоматически с серверов Fortinet (существует PUSH механизм оповещения о выходе новых сигнатур). Есть механизм эвристического анализа (обнаружение неизвестных вирусов).

  • 5. Пользователи умышленно или по недоразумению могут отправить в интернет конфиденциальные документы

Решение: внедрить шлюзовой DLP (Data Leak Prevention)

Устройства FortiGate оснащены DLP-модулем, предотвращающим утечку конфиденциальных документов через электронную почту, веб-почту, сервисы обмена мгновенными сообщениями (IM), загрузку их на FTP-сервисы.

Семь бед — один Fortinet
Все инциденты DLP могут быть заархивированы с помощью FortiAnalyzer для дальнейшего аудита.

  • 6. На рабочий почтовый ящик приходит очень много спама (по статистике из 22 рабочих дней, 1 день тратится на отбор полезных писем в спаме)

Решение: внедрить антиспам систему

Устройство FortiGate обеспечивает базовый функционал защиты почты, основанный на репутационной фильтрации. Для глубокого анализа входящих писем рекомендуется внедрение специализированного решения FortiMail. Кроме расширенной фильтрации FortiMail обеспечивает шифрование писем (методы push и pull), архивацию и настраиваемые пользовательские карантины.

Семь бед — один Fortinet

Качество антиспам системы от Fortinet регулярно подтверждается специализированными аналитиками.

  • 7. В компании открылся новый филиал, нужно организовать связь с центральным офисом

Решение: организовать защищенное VPN соединение между филиалом и центральным офисом 

VPN-концентратор FortiGate позволяет строить виртуальные частные сети с использованием протоколов IPSec (LAN-to-LAN, Remote access), SSL (web mode, tunnel mode), РРТР, L2TP. Поддерживаются алгоритмы шифрования DES, 3DES, AES.

Семь бед — один Fortinet

Для организации защищенного канала связи между центральным офисом и филиалом рекомендуется поставить в каждом из офисов устройство FortiGate и настроить между ними IPSec туннель.

  • 8. В компании есть сотрудники, которым необходимо иметь доступ к корпоративным ресурсам из любой точки мира

Решение: организовать безопасный удаленный доступ, применить двухфакторную аутентификацию

Для предоставления безопасного доступа удаленным сотрудникам к внутренним корпоративным ресурсам можно использовать функционал SSL или IPSec VPN устройств FortiGate.

Семь бед — один Fortinet

Для дополнительной защиты рекомендуется использовать двухфакторную аутентификацию с использованием токенов FortiToken.Семь бед — один Fortinet

  • 9. Необходимо организовать Wi-Fi в офисе

Решение: выбрать точки доступа и контроллер 

Точки доступа FortiAP + контроллер FortiGate являются отличным и доступным решением для построения беспроводной сети в офисе.

Семь бед — один Fortinet

Точки доступа FortiAP поддерживают стандарты 802.11a/b/g/n. Контроллеры FortiGate позволяют централизованно управлять работой излучателей, назначением каналов и мощностью передачи точек доступа FortiAP.

  • 10. Корпоративный сайт или сайт для работы с клиентами (веб портал, интернет- магазин) периодически не работает

Решение:

а) внедрить решение для мониторинга активности сайта

б) при каждом обновлении сайта сканировать уязвимости и исправлять их

в) внедрить брендмауер для защиты веб-приложений 

Специализированное решение для защиты веб-приложений FortiWeb отслеживает все запросы к сайтам, отделяя легитимные запросы пользователей от хакерских атак.

Семь бед — один Fortinet

FortiWeb также обеспечивает высокую доступность приложений, балансируя нагрузку на веб-сервера.

  • 11. Компания и ее ресурсы периодически подвергаются атакам

Решение: внедрить систему защиты от DoS и DDoS атак

Применение политик DoS защиты на устройстве FortiGate позволяет обеспечить доступность веб-сервера даже в тот момент, когда он подвергается атаке.

Семь бед — один Fortinet

Для защиты от DDoS атак в комбинации с FortiGate рекомендуется применять специализированное решение FortiDDoS. Данное решение формирует модель легитимного трафика и отсекает все аномальные сессии на входе сети.

Семь бед — один Fortinet

И это лишь небольшая часть задач, которые можно реализовать с помощью оборудования Fortinet.

Система Orphus
comments powered by Disqus
  • vits
    Challenge accepted :) Кстати не вижу ничего плохого в пылесосе с доп. функциями, если цена его при этом возрастает процентов на 20%. Зависимость тут примерно такая: 10 девайсов по $100 VS 1 за $500
  • AMX50B
    Было бы неплохо составить сравнение "1 х Fortinet" VS "список оборудования и софта для создания аналогичного функционала" и сравнить в каких-нибудь околорозничных ценах. Разумеется, сравнение должно быть соизмеримо, в том плане, что например под маршрутизатором из первого пункта не выбирать циску за 150к, а тыщебаксовый сервак + какой-нибудь полуопенсорсный софтик. Пылесос, который умеет, кроме свой основной функции, очищать и увлажнять воздух, производить глубокую чистку ковра, делать вакуумную упаковку вещей, но стоящий при этом 3000$ - лично мне не нужен, я лучше возьму 5 специализированных девайсов для этих целей, стоимостью 50-100$ каждый.
 
Top