30 Мая 2018
Возможности совместной работы межсетевых экранов FortiGate, коммутаторов FortiSwitch и точек доступа беспроводной сети FortiAP
Ни для кого не является секретом, что компания Fortinet является лидером в производстве и поддержке межсетевых экранов нового поколения.

Fortinet обеспечивает безопасность крупнейших корпораций, поставщиков услуг и государственных организаций по всему миру, предлагая систему безопасности, предназначенную для обеспечения всесторонней интеллектуальной защиты от постоянно появляющихся угроз.


Давайте взглянем на отчёты NSS Labs и квадранты Gartner, они говорят сами за себя:

1.jpg

2.jpg

Однако производитель выпускает не только межсетевые экраны нового поколения, но и много других продуктов таких как: FortiWEB, FortiAnalyzer, FortiMail, FortiSIEM и т.д. Описать все продукты в одной статье невозможно.
На наш взгляд интересными продуктами, обзоры которых встречаются не часто, являются коммутаторы и оборудование для построения беспроводных сетей.


Коммутаторы
На рынке представлены все возможные варианты коммутаторов FortiSwitch любой портовой ёмкости, скорости интерфейсов и функциональности. Так, есть модели с поддержкой POE/POE+
Устройства могут управляться как локально, так и централизованно, например, из интерфейса межсетевого экрана FortiGate.


Беспроводная сеть
В модельном ряде производителя присутствует огромное количество любых точек доступа и контроллеров беспроводной сети. Точки доступа с интегрированными и внешними антеннами, для работы в офисных помещениях и защищённые с расширенным диапазоном температур для работы на производстве и складских помещениях.

Беспроводная сеть может управляться с использованием выделенных контроллеров беспроводной сети, с использованием облачных сервисов, локально, а также из интерфейса FortiGate.


Данный обзор посвящён не столько техническим особенностям работы оборудования, сколько рассмотрению возможностей совместной работы межсетевых экранов FortiGate, коммутаторов FortiSwitch и точек доступа беспроводной сети FortiAP.

Причины, по которым мы решили сделать данный обзор:

1. Большой спрос на решения по организации беспроводных сетей;

2. Необходимость построения локальных сетей с надёжными высокопроизводительными коммутаторами;

3. Упрощение администрирования сетевого оборудования;

4. Повышение уровня безопасности.


Обзор подготовлен с использованием следующего оборудования:


  • Межсетевой экран FortiWiFi-60E для небольшого офиса
    Устройство оснащено 10 Гигабитными портами, а так же интегрированной точкой доступа Wifi стандарта 802.11ac с внешними антеннами/
    Функционал: Firewall, IPS, WEB filter, Application control, IPS и многое другое
    Производительность до 250 Mbit/sec в режиме NGFW (IPS+Application control)
    Форм-фактор - Desktop
  • Коммутатор второго уровня FortiSwitch-108D-POE
    Младший коммутатор в линейке с 8-ю гигабитными портами RJ45 и 2-мя Combo портами SFP/RJ45
    POE бюджет до 75W
    Устройство может быть смонтировано в 19” стойку
  • Бюджетная точка доступа беспроводной сети FortiAP-221E
    Офисное исполнение с интегрированными антеннами
    Стандарт 802.11ac Wave2
    Всё выше описанное оборудование может управляться из единого интерфейса FortiGate, что является большим преимуществом перед оборудованием многих других производителей.

Настройка
Активация контроллера коммутатора и беспроводной сети производится в меню Feature Visibility межсетевого экрана

3.jpg

После активации добавляется дополнительный раздел меню в GUI межсетевого экрана для настройки коммутатора и беспроводного оборудования

4.jpg

Управление коммутатором

Коммутаторы по умолчанию имеют локальные настройки управления

5.jpg

В GUI присутствует весь необходимый функционал

6.jpg

Для подключения коммутатора в режим управления из интерфейса FortiGate требуется изменить метод управления на Fortigate Management в меню System

7.jpg

Далее вся настройка коммутатора переходит в GUI FortiGate

Для подключения управления коммутатором в меню Network- > Interfaces требуется в настройках интерфейса к которому будет подключено устройство выбрать режим работы Dedicated to FortiSwitch.

8.jpg

После перезагрузки коммутатора его изображение появляется в меню FortiGate

9.jpg

Перейдя в настройки коммутатора можно видеть статус устройства, перезагрузить его, обновить версию ПО и ряд других функций

10.jpg

Настройка виртуальных локальных сетей Vlan осуществляется из меню управления интерфейсами FortiGate

11.jpg

Привязка Vlan к портам коммутатора, управляемого через отдельное меню FortiSwitch Ports

12.jpg

Доступны расширенные параметры безопасности для портов подключённого коммутатора

13.jpg

Интерфейс управления устройствами беспроводной сети WiFi

Межсетевой экран FortiWifi обладает встроенным WiFi интерфейсом с возможностью работы поочерёдно в диапазоне 2.4 Ггц или 5 Ггц как в режиме точки доступа, так и в режиме клиента беспроводной сети.

14.jpg

Для создания беспроводной сети из интерфейса FortiGate требуется выполнить ряд настроек:

1. Создание профиля управления точками доступа. Как локальной, интегрированной в межсетевой экран, так и подключаемой к FortiGate по протоколу CAPWAP

В профиле настраиваются следующие параметры:

- Задание регуляторного домена беспроводной сети

- Управление выбором доступных радио каналов

- Настройки балансировки клиентов

- Настройки мощности радио передатчиков

- и т.д.

15.jpg

Для диапазона 5 Ггц доступны такие же настройки за исключением набора доступных радио каналов.

2. Создание профиля сети SSID состоит из двух частей:

- Задание параметров интерфейса по аналогии с меню редактирования интерфейсов FortiGate

- Настройки параметров аутентификации/авторизации

- и т.д.

16.jpg

В настройках параметров SSID так же возможен выбор работы беспроводной сети:

- Туннелирование клиентского трафика от точки доступа до FortiGate

- Выгрузка клиентского трафика локально в коммутатор к которому подключена точка

- Создание MESH сетей

17.jpg

3. Для завершения настройки беспроводной сети нужно авторизовать точки доступа в интерфейсе FortiGate и привязать профили управления и SSID

18.jpg

Через интерфейс FortiGate для авторизованных точек доступа возможны:

- Смена профиля;

- Перезагрузка;

- Обновление версии ПО;

- и т.д.

19.jpg
Одной из дополнительных настроек профиля управления точками, является привязка профиля беспроводной системы обнаружения вторжений Wireless IDS

Профиль включает в себя набор предустановленных сигнатур, которые имеют возможность тонкой донастройки.

20.jpg

Помимо GUI FortiGate, существует ряд настроек, которые доступны на сегодняшний день только через Cli межсетевого экрана. Такие как настройка протоколов 802.11r, 802.11k и т.д.


Выводы и рекомендации


Что понравилось:

1. Единый интерфейс управления всем сетевым оборудованием

2. Одна точка входа в техподдержку производителя

3. Удобное и быстрое создание любых политик безопасности

4. Отсутствие лицензирования на подключение коммутаторов и точек доступа беспроводной сети к FortiGate

К чему остались вопросы:

1. Наличие операций в ручном режиме по регистрации и обновлению ПО на коммутаторах и точках доступа беспроводной сети

2. Не самые детальные настройки параметров WiFi через интерфейс FortiGate. Часть настроек убрана в Cli.

3. Особенности траблшутинга коммутаторов. Вывод некоторых команд доступен только через Cli


Напоминаем что всё участвующее в обзоре оборудование можно взять на тест!

Задать вопрос автору статьи — e.zor@lwcom.ru