О компании
С недавних пор мы начали предлагать клиентам новую модель фаерволов для аренды. Вместо обычных для нас Cisco ASA 5512 и Cisco ASA 5508-X мы предлагаем Fortinet FortiGate FG-100D.
Первая реакция большинства клиентов на это предложение: «Зачем вместо Cisco вы предлагаете нам китайский Noname?!». Честно говоря, первоначально продукт был очень неоднозначно воспринят и внутри компании. Но опыт эксплуатации таких фаерволов показал, что это решение действительно стоит как минимум того, чтобы его попробовать использовать. Из последних отзывов клиентов: «We’d like to replace our existing firewalls with new Fortigate appliances from Fortinet. Our experience has shown that Fortigate appliances are much more stable and predictable under high loads.»
Компания Fortinet была основана в 2000 году в Калифорнии. Основатель компании Fortinet так же основал в 2004 году компанию Netscreen, которая была позже куплена компанией Juniper, после чего в линейке продуктов Juniper появились фаерволы Juniper SRX. Сейчас компания Fortinet насчитывает более 4500 сотрудников по всему миру, годовая выручка компании (на 2016 год) составляла более 1.2 млрд долларов.
Основной продукт компании — это фаерволы FortiGate. Чем выше номер модели FG — тем производительнее фаервол. Ключевая особенность этих фаерволов, по уверениям изготовителя — аппаратная часть платформы во всех решениях. На МСЭ (межсетевой экран) обработкой трафика занимается data-plane, где установлен аппаратный ASIC, а control plane — CPU — занимается только конфигурированием этого ASIC.
В 2017 году Gartner в своем регулярном обзоре поставил Fortinet среди лидеров в «магическом квадранте» для Enterprise Firewalls.
В 2017 году продукт FortiGate получил сертификат ФСТЭК, который доказывает правомочность использования фаерволов FortiGate в системах, деятельность которых связана как с персональными данными (ПДн) по ФЗ-152, так и с хранением и обработкой гостайны.
Предлагаемая модель
Предлагаемый нами МСЭ FG-100D по своим характеристикам примерно соответствует Cisco ASA 5508-X, а в чём-то и превосходит.
Изготовитель заявляет производительность фаервола в 2.5 Гбит/сек и до 2 миллионов одновременных сессий. Как и Cisco ASA 5508-X, в FG-100D только один блок питания. Для создания надежной сетевой инфраструктуры рекомендуется использовать два фаервола в так называемой HA-конфигурации (high availability).
Рекомендуется отдельно обратить внимание инженеров на то, чтобы они подключили фаерволы не в один блок розеток (PDU), а в разные от разных вводов электричества.
FG-100D предлагает большое количество разнообразных портов. Есть выделенные порты WAN для подключения к интернету, есть отдельные порты LAN для подключения локальной сети, есть отдельный порт DMZ (часто используется для подключения коммутатора с серверами в корпоративных инсталляциях). Для создания HA-конфигурации есть выделенные два порта 1000Base-T.
Настройка и работа
В отличие от Cisco ASA, где большинство работ по настройке, диагностике и обслуживанию МСЭ производится с использованием специального программного обеспечения ADSM, МСЭ Fortinet предлагают развитый web-интерфейс. Для пользователей МСЭ есть замечательный ресурс. Наверное, единственный недостаток данного ресурса для русскоязычных пользователей в том, что практически вся документация приведена на английском языке.
cookbook.fortinet.com
Если вы только начинаете знакомство с МСЭ Fortinet, то есть отдельный
раздел Getting started. Большинство статей по настройке, диагностике и обслуживанию МСЭ написаны доступным языком с понятными иллюстрациями.
Есть отдельная ресурс, посвященная работе МСЭ в режиме HA. В ней описывается первоначальная настройка кластера фаерволов.
cookbook.fortinet.com/high-availability-two-fortigates/
Дальнейшая настройка кластера описана в отдельной статье в документации.
docs.fortinet.com/fortigate/admin-guides#
Операционная система
В отличие от многих конкурентов, Fortinet пока что сохраняет простоту в нумерации и выборе версии операционной системы для своих фаерволов. Есть даже специальный
документ, который описывает нюансы перехода от одной ОС к другой.
Последняя версия FortiOS 5.6 вышла в мае 2017 года. Кроме исправления недочётов, пользователи получили громадное количество новых возможностей МСЭ. Отдельно производителем упоминаются улучшения в прозрачности отслеживания сессий внутри фаервола.
Это действительно удобный инструмент, значительно улучшающий возможности диагностики сложных проблем, затрагивающих как сетевую часть, так и части, связанные со сложной логикой приложений на пользовательских серверах.
Заключение
Фаерволы Fortinet значительно повышают уровень диагностирования проблем как в сетевой части, так и в части, связанной со взаимодействием приложений на серверах.
Мы предлагаем опробовать новую модель фаерволов Fortinet FortiGate FG-100D, являющихся более стабильными и предсказуемыми при высоких нагрузках.
Полезные ссылки:
Знакомство с МСЭ Fortinet
Работа МСЭ в режиме HA
Настройка кластера
Нюансы перехода от одной ОС к другой при выборе фаерволов