Семь бед — один Fortinet

Головна Огляди Семь бед — один Fortinet

18.07.2013

Огляди

Данная статья служит напоминанием о том, что с помощью решений по безопасности можно реализовать не только комплексные задачи по соответствию стандартам, внедрению СУИБ и т.д., а также и задачи прикладного характера, с которыми каждый день сталкиваются ИТ-службы компаний любого размера

1. Необходимо подключение к интернет-провайдеру

Решение: выбрать и купить маршрутизатор

Устройство FortiGate поддерживает статическую, динамическую маршрутизацию (RIP, OSPF, BGP), маршрутизацию по требованию (policy based routing), а также маршрутизацию multicast трафика.

В маршрутизаторе FortiGate поддерживаются развитые функции преобразования адресов (динамический и статический NAT, policy-based NAT, SIP/Н.323 NAT traversal), также есть функции балансировки нагрузки между несколькими серверами.

2. Сотрудники тратят много времени в течение рабочего дня на посещение социальных сетей, развлекательных сайтов и т.д.

Решение: ограничить доступ в рабочее время к ресурсам, не связанным с работой

Функционал веб-фильтрации FortiGate позволяет не только создавать черные и белые списки сайтов, но и разграничивать доступ к сайтам по категориям, которые динамически обновляются через подписку FortiGuard. На данный момент существует 78 категорий сайтов, распределенных между шестью основными группами.

Можно создавать различные политики для разных групп пользователей (маркетинг, финансы, ИТ и т.д.), ограничить доступ к сайтам, загружающим канал, к потенциально вредоносным сайтам и прокси-серверам. Здесь можно посмотреть, в какую категорию попадает тот или иной сайт, или подать заявку на категоризацию/изменение категории.

3. Интернет-канал постоянно загружен, что негативно влияет на бизнес-процессы

Решение: определить приложения, которые загружают интернет-канал и ограничить их использование

C помощью FortiGate можно проанализировать, какие приложения в сети занимают больше всего интернет-канала:

По результатам анализа следует заблокировать или ограничить работу не критичных для бизнеса приложений для различных пользователей и групп пользователей.

Как и веб-сайты, приложения разделены по категориям, что позволяет администратору блокировать все приложения определенного типа, например Instant Messengers, Peer-to-Peer, File Sharing, Streaming Media, Proxy, VoIP и т.д. На данный момент FortiGate умеет определять и блокировать 2858 различных приложений, и этот список постоянно растет.

4. Пользователи, посещая опасные веб-сайты, инфицируют свой ПК и потом все остальные в сети

Решение: внедрить шлюзовой антивирус

Функционал антивируса на FortiGate позволяет в режиме реального времени проверять веб-трафик, FТP, электронную почту (SMTP, РОР3, IMAP), протоколы обмена мгновенными сообщениями (ICQ, AIM, MSN, Yahoo), протокол передачи новостей (NNTP) на наличие вирусов.

Антивирусные сигнатуры обновляются автоматически с серверов Fortinet (существует PUSH механизм оповещения о выходе новых сигнатур). Есть механизм эвристического анализа (обнаружение неизвестных вирусов).

5. Пользователи умышленно или по недоразумению могут отправить в интернет конфиденциальные документы

Решение: внедрить шлюзовой DLP (Data Leak Prevention)

Устройства FortiGate оснащены DLP-модулем, предотвращающим утечку конфиденциальных документов через электронную почту, веб-почту, сервисы обмена мгновенными сообщениями (IM), загрузку их на FTP-сервисы.

Все инциденты DLP могут быть заархивированы с помощью FortiAnalyzer для дальнейшего аудита.

6. На рабочий почтовый ящик приходит очень много спама

(по статистике из 22 рабочих дней, 1 день тратится на отбор полезных писем в спаме)

Решение: внедрить антиспам систему

Устройство FortiGate обеспечивает базовый функционал защиты почты, основанный на репутационной фильтрации. Для глубокого анализа входящих писем рекомендуется внедрение специализированного решения FortiMail. Кроме расширенной фильтрации FortiMail обеспечивает шифрование писем (методы push и pull), архивацию и настраиваемые пользовательские карантины.

Качество антиспам системы от Fortinet регулярно подтверждается специализированными аналитиками.

7. В компании открылся новый филиал, нужно организовать связь с центральным офисом

Решение: организовать защищенное VPN соединение между филиалом и центральным офисом

VPN-концентратор FortiGate позволяет строить виртуальные частные сети с использованием протоколов IPSec (LAN-to-LAN, Remote access), SSL (web mode, tunnel mode), РРТР, L2TP. Поддерживаются алгоритмы шифрования DES, 3DES, AES.

Для организации защищенного канала связи между центральным офисом и филиалом рекомендуется поставить в каждом из офисов устройство FortiGate и настроить между ними IPSec туннель.

8. В компании есть сотрудники, которым необходимо иметь доступ к корпоративным ресурсам из любой точки мира

Решение: организовать безопасный удаленный доступ, применить двухфакторную аутентификацию

Для предоставления безопасного доступа удаленным сотрудникам к внутренним корпоративным ресурсам можно использовать функционал SSL или IPSec VPN устройств FortiGate.

Для дополнительной защиты рекомендуется использовать двухфакторную аутентификацию с использованием токенов FortiToken.

9. Необходимо организовать Wi-Fi в офисе

Решение: выбрать точки доступа и контроллер

Точки доступа FortiAP + контроллер FortiGate являются отличным и доступным решением для построения беспроводной сети в офисе.

Точки доступа FortiAP поддерживают стандарты 802.11a/b/g/n. Контроллеры FortiGate позволяют централизованно управлять работой излучателей, назначением каналов и мощностью передачи точек доступа FortiAP.

10. Корпоративный сайт или сайт для работы с клиентами (веб портал, интернет- магазин) периодически не работает

Решение:

а) внедрить решение для мониторинга активности сайта
б) при каждом обновлении сайта сканировать уязвимости и исправлять их
в) внедрить брендмауер для защиты веб-приложений

Специализированное решение для защиты веб-приложений FortiWeb отслеживает все запросы к сайтам, отделяя легитимные запросы пользователей от хакерских атак.

FortiWeb также обеспечивает высокую доступность приложений, балансируя нагрузку на веб-сервера.

11. Компания и ее ресурсы периодически подвергаются атакам

Решение: внедрить систему защиты от DoS и DDoS атак

Применение политик DoS защиты на устройстве FortiGate позволяет обеспечить доступность веб-сервера даже в тот момент, когда он подвергается атаке.

Для защиты от DDoS атак в комбинации с FortiGate рекомендуется применять специализированное решение FortiDDoS. Данное решение формирует модель легитимного трафика и отсекает все аномальные сессии на входе сети.