Next-Generation Firewall от FortiGate: обзор функций и подключение сервиса

Для защиты инфраструктуры от угроз часто используют межсетевые экраны. Они могут быть как программными, так и аппаратными. Типичный межсетевой экран представляет собой фильтр сетевого трафика, который на основе IP-адресов, портов источника и назначения, а также политик безопасности определяет, пропустить сетевой пакет дальше или нет. С развитием технологий появились комплексные решения, которые объединяют в себе множество функций для защиты на разных уровнях сетевой модели OSI. К ним относится и Next-Generation Firewall (NGFW).

Компания Fortinet имеет в своей линейке NGFW FortiGate, которые Selectel предоставляет в аренду.

FortiGate, помимо основных функций межсетевых экранов, включает и другие функции защиты, такие как:

• фильтрация пакетов, 
• поддержка IPsec и SSL VPN, 
• мониторинг сети.

Они позволяют:

• выявлять вредоносное ПО и атаки, 
• проводить SSL-инспекцию, 
• контролировать файлы и приложения, 
• фильтровать электронную почту и защищать от спама, 
• предотвращать вторжения, 
• балансировать нагрузку, 
• мониторить сетевой трафик,
• обеспечивать отказоустойчивость и др.

Такое комплексное решение позволяет значительно упростить сетевую архитектуру.

Базовые возможности FortiGate

У межсетевых экранов FortiGate базовый функционал, необходимый для защиты сети, предоставляется сразу и не требует дополнительных затрат, кроме приобретения самого устройства. В случае Selectel это услуги аренды устройства в дата-центре. Количество пользователей, подключений, пропускная способность ограничены только производительностью устройства, а не политикой лицензирования.

В основной функционал FortiGate входит множество сетевых функций, функций безопасности и аналитики, а именно:

• маршрутизация;
• настройка сетевых интерфейсов, в том числе физических портов;
• гибкая настройка политик для фильтрации трафика;
• Traffic Shaping;
• поддержка IPv6;
• VPN (IPSec, SSL, PPTP, L2TP);
• мониторинг, в том числе отправка логов на удаленные устройства, например, FortiAnalyzer;
• балансировка нагрузки; 
• системные настройки (настройка администраторов и пользователей, загрузка сертификатов, управление устройствами);
• отказоустойчивый кластер (high availability кластер из нескольких FortiGate); 
• создание виртуальных доменов (VDOM);
• Antivirus и IPS с возможностью создания собственных сигнатур, но без возможности получать обновления;
• Web Filtering без возможности обновления и использования категорий фильтров от FortiGuard для веб-контента, который может быть заблокирован в зависимости от его содержания;
• Antispam без возможности обновления;
• Application Control без возможности обновления списка приложений;
• SSL-инспекция.

Состояние сервисов (наличие лицензий и номер версии последнего обновления) можно посмотреть на самом FortiGate, перейдя в раздел System → FortiGuard. Ниже показано состояние межсетевого экрана без активированных лицензий. С помощью команды в CLI можно получить аналогичный результат, а также узнать о попытках обновления, например:

# diag autoupdate versions

AV Engine
---------
Version: 6.00154
Contract Expiry Date: Wed Sep 23 2020
Last Updated using manual update on Fri Aug 21 16:29:00 2020
Last Update Attempt: Wed Apr  7 11:56:31 2021
Result: Unauthorized

Virus Definitions
---------
Version: 1.00000
Contract Expiry Date: Wed Sep 23 2020
Last Updated using manual update on Mon Apr  9 18:07:00 2018
Last Update Attempt: Wed Apr  7 12:06:09 2021
Result: Unauthorized

Mobile Malware Definitions
---------
Version: 0.00000
Contract Expiry Date: Wed Sep 23 2020
Last Updated using manual update on Mon Jan  1 00:00:00 2001
Last Update Attempt: Wed Apr  7 12:06:09 2021
Result: Unauthorized

IPS Attack Engine
---------
Version: 6.00071
Contract Expiry Date: Wed Sep 23 2020
Last Updated using manual update on Thu Feb  4 03:33:00 2021
Last Update Attempt: Wed Apr  7 11:56:31 2021
Result: Unauthorized
...

Основной недостаток базового функционала — в том, что нет возможности использовать полный набор фильтров, «черных списков», правил и сигнатур, а уже имеющиеся нельзя обновить.

Компания Fortinet поддерживает актуальными и полными базы сигнатур вредоносов и атак, которые создает и разрабатывает научно-исследовательская лаборатория FortiGuard Labs. Она использует платформу для аналитики на основе искусственного интеллекта и алгоритмов машинного обучения, которая принимает и обрабатывает в среднем 100 миллиардов событий каждый день.

Если в сети возникает новая угроза, то в течение часа обновляются устройств Fortinet по всему миру. Обновления включают следующие данные:

• список вредоносных хэшей/URL/IP/доменов (каждые 15 минут);
• базы антивирусных сигнатур (раз в 60 минут);
• уязвимости «нулевого дня» для песочницы (раз в 15 минут);
• сигнатуры IPS (каждые 42 часа).

Данная система позволяет ежедневно предоставлять более одного миллиарда обновлений безопасности, чтобы системы с устройствами Fortinet были защищены от новых и старых угроз.

Fortinet позволяет расширить базовый функционал межсетевых экранов и воспользоваться результатами работы FortiGuard Labs, предоставляя постоянные обновления сигнатур и «черных списков», а также поддержку от вендора. Расширение функционала и постоянное обновление FortiGate обеспечивается дополнительной услугой — FortiGuard Security Services, через заказ дополнительных сервисов (лицензий). Лицензии предоставляются по системе подписок — FortiGuard Security Subscriptions. Благодаря такой системе можно выбирать функции и добавлять их своему устройству.

По подписке можно приобрести:

• FortiCare — техническая поддержка вендора;
• Subscription Service — отдельная дополнительная функция;
• FortiGuard Subscription Bundle — пакет сервисов, включая техническую поддержку.

После подключения сервисов они будут отображаться аналогично тому, как представлено на рисунке ниже. Дополнительных действий для их активации не требуется, нужно лишь включить отображение необходимых функций в System → Feature Visibility.

После начала действия подписки можно настроить предустановленные профили безопасности. Например, антивируса, как показано ниже. Также вы можете создать собственный профиль для проверки определенных протоколов, удаления вирусов, использования «песочницы» (требуется подключить сервис FortiCloud или аппаратное устройство FortiSandbox) для анализа подозрительных файлов. Есть возможность добавления профиля в политику межсетевого экрана.

Другие функции безопасности можно увидеть в разделе Security Profiles веб-интерфейса. Наличие некоторых функций также зависит от версии прошивки FortiOS.

Такие подписки позволяют оптимизировать затраты на создание и развитие системы защиты, наращивая функционал вместе с ростом инфраструктуры и зрелости бизнеса.

Использование подписок упрощает эксплуатацию системы, так как они не усложняют сетевую архитектуру добавлением отдельных устройств и позволяют управлять всеми функциями в рамках одного интерфейса. Кроме того, обращение к базам сигнатур происходит в реальном времени, а их автообновление происходит гораздо быстрее, чем в проектах с открытым исходным кодом.

Дополнительные сервисы и наборы

Техническая поддержка FortiCare

Данный сервис позволяет оставлять запросы вендору, а также обновлять версию прошивки FortiGate. В состав FortiCare входит гарантийная замена оборудования.

По времени обращений и качеству различают следующие виды поддержки:

• 24×7: круглосуточная поддержка 7 дней в неделю, которая не зависит от часового пояса и режима работы специалистов Fortinet
• ASE: аналогичная круглосуточная поддержка, но обслуживание производится с участием инженеров. На уровне ASE заявкам присваивается более высокий статус, что ускоряет их обработку и решение проблем.

Отдельные сервисы

Существует множество отдельных сервисов для подписки. Рассмотрим их подробнее:

Web Security

Web & Video Filtering

– Детализированная фильтрация категорий веб- и видеоконтента для ограничения доступа к вредоносным сайтам и сайтам с неприемлемым содержимым. FortiGuard также предоставляет множество дополнительных категорий, которые доступны фильтрации веб-трафика.

– Фильтрация может также производиться по содержанию указанных шаблонов, слов и URL-адресов.

– Фильтрация видео позволяет детализировать категории даже по ID каналов YouTube.

Application Control

– Служит для разрешения, ограничения и запрета доступа к приложениям или целым категориям приложений при помощи уникальной функции отслеживания состояния запущенных пользователями приложений в режиме реального времени.

– Обеспечивает видимость и контроль над тысячами приложений, а также позволяет добавлять собственные приложения.

– Оптимизирует использование полосы пропускания в сети за счет приоритезации, отмены приоритетов или блокировки трафика в зависимости от приложения.

DNS Filtering

Фильтрация DNS по категориям для управления доступом пользователей к веб-ресурсам, используя рейтинги доменов, предоставленные FortiGuard, или создавая собственные категории и списки.

Anti-botnet

– Предотвращение загрузки вредоносного ПО и других угроз.

– Блокировка масштабных DDoS-атак.

– Защита от вредоносных источников, связанных с веб-атаками, фишингом, веб-сканированием, парсингом и прочим.

Content Security + IPS

Advanced Malware Protection

Включает в себя Antivirus, FortiSandbox Cloud, Mobile Malware, VOS, CDR, Virus Outbreak Protection.

Antivirus

– Защита в реальном времени от новейших вредоносных программ с помощью проактивных технологий, способных блокировать ранее неизвестные угрозы.

– Противостояние угрозам на уровне содержимого, проверяя и контролируя определенные протоколы (HTTP, FTP, SMTP, POP3, IMAP, IM, NNTP и др.), в том числе и защищенные (HTTPS, POP3S, SMTPS).

– Поддержка актуальности защиты благодаря ежечасным обновлениям.

Antispam

Выявление и фильтрация нежелательной почты, поступающей на корпоративные адреса. Существенно сокращает объем нежелательной почты, которая является одним из возможных каналов распространения атак и заражений. Фильтрация писем на основе списков и категорий от FortiGuard и собственных.

Innovative capabilities

Дополнительные возможности, такие как вредоносное ПО для мобильных устройств, защита учетных данных, снятие с охраны и восстановление контента, предотвращение вирусных эпидемий, предотвращение утечек информации, анализ изображений для взрослых.

Virus Outbreak Protection Service

Обеспечивает защиту в период между обновлениями антивируса. Для этого используется функция анализа в «песочнице» FortiCloud Sandbox, которая выявляет вредоносное ПО и блокирует его распространение в корпоративной сети на протяжении интервалов между обновлениями сигнатур. Операционная система в режиме реального времени инициирует поиск в базе данных глобальных угроз вендора.

Mobile malware

Снижение рисков утечки данных или повреждения, вызванного мобильным вредоносным ПО, благодаря высокоэффективной антивирусной защите.

Content Disarm & Reconstruction

— Удаляет весь подозрительный контент из файлов в режиме реального времени, создавая очищенный файл.

— Обрабатывает все входящие файлы, разбирает их и удаляет все элементы, не соответствующие политикам межсетевого экрана.

— Может укрепить стратегию защиты файлов от атак нулевого дня, заранее исключив любую возможность вредоносного содержимого в файлах.

IPS

— Анализирует трафик и выявляет аномалии в сети на основе обширной, ежедневно обновляемой базы данных.

— Выявляет подозрительные действия и обнаруживает или предотвращает их атаки на компьютерные сети до того, как они достигнут устройств. Собирает информацию и сообщает о них сетевым администраторам, инициирует меры противодействия.

— Система обеспечивает защиту от угроз «нулевого дня», продвинутых таргетированных атак, программ-вымогателей, полиморфного вредоносного ПО, DDoS-атак, которые требуют сложных механизмов обнаружения.

Cloud Sandbox

Выявляет продвинутые угрозы, выполняя динамический анализ для идентификации ранее неизвестного вредоносного ПО. Актуальные данные, созданные «песочницей» FortiCloud Sandbox, поступают в системы профилактической проверки внутри сети для обезвреживания угрозы.

Device Security & Compliance

Security Rating Service

Позволяет разрабатывать, внедрять и поддерживать состояние безопасности сетей, выполняя аудиторские проверки и идентифицируя критические уязвимости и недостатки в конфигурации межсетевого экрана. Предоставляет рекомендации по исправлению и лучшие практики.

FortiConverter 

Позволяет удобно перенести конфигурацию при переходе на новое устройство FortiGate с определенной версией FortiOS, включая вариант перехода с настроенного стороннего брандмауэра на FortiGate.

Vulnerability Scan

— Осуществляет сканирование сетевых ресурсов на предмет слабых мест в системе безопасности по запросу или по расписанию.

— Формирует подробные отчеты о состоянии безопасности критически важных активов.

— Автоматически сканирует FortiGates на предмет соответствия требованиям.

С другими сервисами FortiGuard Labs можно также познакомиться на официальном сайте Fortinet.

Наборы сервисов

Компания Fortinet «упаковывает» отдельные сервисы в наборы – bundle.

Всего существует четыре пакета:

• Advanced Threat Protection (ATP);
• Unified Threat Protection (UTP); 
• Enterprise Protection;
• 360 Protection.

Для работы всех сервисов безопасности (Web Filtering, AV, IPS и т. д.) достаточно пакета UTP. Расширения в пакетах Enterprise и 360 в основном предназначаются для прозрачного управления сложной сетевой инфраструктурой с множеством распределенных устройств.

Подписки для FortiGate в Selectel

Доступные подписки

Подписки для FortiGate — это дополнительная услуга к межсетевому экрану в аренду, которая закрепляется за конкретным устройством. Действует 12 месяцев и оплачивается сразу. Срок подключения услуги – 21 рабочий день.

Актуальные цены подписок можно узнать следующими способами:

• на сайте Selectel;
• в панели управления при выборе Дополнительной услуги для межсетевого экрана;
• у технической поддержки, через обращение в тикете.

В случае отказа от услуги оплата за нее не возвращается, даже если прекратить пользоваться основной услугой – межсетевым экраном.

Selectel берет на себя:

• закупку лицензий от вендора; 
• активацию лицензий на официальном сайте Fortinet (оборудование, предоставляемое клиентам, уже зарегистрировано на Selectel);
• учет сроков действия подписок;
• обращения к технической поддержке вендора по вопросам от клиентов;
• предоставление файлов прошивок для обновления операционной системы FortiOS (подробнее в базе знаний).

В Selectel доступны для заказа следующие подписки в качестве дополнительной услуги для межсетевых экранов FortiGate:

Услуга	Fortinet FG-100E	Fortinet FG-500E
Advanced Threat Protection (ATP) на 1 год	—	+
Unified Threat Protection (UTP)	+	+
Enterprise Protection	+	+
IPS Service с технической поддержкой вендора на 1 год	+	+

Как заказать

Для заказа подписки необходимо:

1. Заказать межсетевой экран в панели управления в разделе Сетевые сервисы → Межсетевые экраны (подробнее в базе знаний).
2. Выбрать межсетевой экран, для которого хотите заказать подписку.
3. Перейти в подраздел Услуги.
4. Выбрать подписку, нажав «Подключить».
5. В поступившем тикете подтвердить свое согласие с условиями предоставления услуги.

По готовности поступит тикет о подключении услуги к межсетевому экрану и информация о дате окончания подписки.

Важно отметить, что услуга не является автопродлеваемой, поэтому для ее продления необходимо заблаговременно подключить аналогичную услугу. Для этого рекомендуется заказать ее через 11 месяцев. Новая подписка начнет действовать сразу после окончания предыдущей.