--- --- # Fortinet В этой статье мы постараемся рассказать про FortiGate 60E и то как мы его настраивали. **Глобальная задача:** В организации возникла потребность заменить StoneGate FireWall на Fortigate FireWall. **Причина** в том, что закончилась лицензия ФСТЭК на StoneGate и, как следствие, использование данного оборудования в государственном учереждении не представляется возможным. Но прежде чем перейти к делу, необходимо понимать с чем имеешь дело. Поэтому в данной статье мы рассмотрим: * Что такое FireWall * Что такое IDS IPS * Имеющееся оборудование * StoneGate <ХХХ> * FortiGate 60E * Реализация поставленной задачи ## Что такое FireWall ![](https://i.imgur.com/2Lz5o3q.png) FireWall (сетевой экран, брандмауэр) -- это программный, или как в нашем случае программно-аппаратный элемент компьютерной сети, осуществляющий контроль и в некоторых случаях фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. ![](https://i.imgur.com/2do0mAe.png) В целом все межсетевые экраны можно классифицировать так: * **host-based FireWall** -- защищает только ту машину на которую установлен. * **network FireWall** -- защищает все сеть (зачастую является шлюзом для этой сети). * **PC-based** -- экран основанный на обычном компьютере. * **Дистрибутивы** -- полноценое ПО, зачастую являющееся производной от другого дистрибутива *(например freeBSD)*. Устанавливается самостоятельно на выбранное вами железо. * **Appliances** -- готовая машина, с заранее подобранным производителем железом и предустановленным ПО. * **ASIC** *(application-specific integrated circuit)* -- специальные машины основной функционал firewall-а происходит на аппаратном уровне. ## Что такое IDS IPS **IDS** *(Intrusion Detection System)* -- Система обнаружения вторжений. **IPS** *(Intrusion Prevention System)* -- система предотвращения атак. ![](https://i.imgur.com/C6bADzl.png) IDS - это пассивное устройство, которое наблюдает за пакетами данных, проходящих по сети, сравнивая их с шаблонами сигнатур и подает сигнал тревоги при обнаружении подозрительной активности. Напротив, IPS - это активное устройство, работающее во встроенном режиме и предотвращающее атаки, блокируя его. Основное отличие состоит в том, что брандмауэр выполняет такие действия, как блокирование и фильтрация трафика, в то время как IPS / IDS обнаруживает и предупреждает системного администратора или предотвращает атаку в соответствии с конфигурацией. ## Имеющиеся оборудование. Их плюсы и минусы ### StoneGate FireWall StoneGate Firewall -- межсетевой экран, который представляет собой комплес аппаратно-программных средств и дистрибутивов программного обеспечения, производимых компанией Stonesoft Corporation. Эти устройства зарекомендовали себя на рынке, как надежные и функцианальные межсетевые экраны. Они применяются во многих крупных оргнизациях. Например: Swisscom Mobile, si.Mobile, FastWeb, Feta, Orange. Кроме того, среди известных заказчиков можно отметить министерства обороны США и большинства Западных стран. **Плюсы:** * Скорость более 100 Гб/с; * Полная кластеризация и балансировка между ними. До 16 устройств в одном логическом кластере; * Отказоустойчивые системы экранирования/мониторинга/управления; * Интеллектуальный анализ трафика (MultiLayer Inspection + HTTP Inspection + UTM); * Поддержка QoS (rate-limit, priority), в том числе внутри VPN; * Централизованное управление и мониторинг; * Удаленные безопасные обновления; * PKI (встроенный CA); * Возможность проведения аудита, а также возможность смотреть на различные рода инциденты; **Минусы:**: * Высокая стоимость * Не прошло контроль ФСТЭК (Федеральная служба по техническому и экспортному контролю). ### Fortigate FireWall ![](https://i.imgur.com/Dht1Nnm.png) **Fortigate FireWall** - межсетевый экран от компании Fortinet являющимся одним из лучших в своем классе устройством для обеспечения сетевой безопасности. FireWall от Fortinet объединяют современные функции безопасности и сетевые службы в компактном и доступном решении, обеспечивающем защиту от кибератак. Эти межсетевые экраны оснащены специализированным процессором безопасности с однокристальной системой (SOC) и обеспечивают лучшую в отрасли защиту от угроз, функции IPsec VPN и высокую производительность проверки SSL. Благодаря встроенным возможностям SD-WAN филиалы предприятий могут выполнять динамическое распределение трафика по нескольким расположениям для обеспечения облачной и цифровой трансформации. Это помогает повысить производительность и отказаться от дорогостоящих каналов MPLS, предоставив приложениям SaaS прямой доступ к Интернету. **Плюсы:** * Отказоусточивость; * Возможность объединения в кластер; * Комплексная и эффективная защита в компактном форм-факторе настольной системы; * Централизованное облачное управление и развертывание в автоматическом режиме; * Встроенные возможности SD-WAN для внедрения облачных технологий и снижения затрат на сеть WAN; * Лучшая в отрасли защита от угроз, функции IPsec VPN и высокая производительность проверки SSL; **Чем фортигейт отличается от решений которые представлены на рынке, в чем ключевой подход?** Большинство вендоров межсетевого экранирования использовали из покон веков классический подход, по сути их firewall представлял специализированный компьютер у которого была общая память и к нему подключен ряд сетевых интерфейсов.То есть в таком подходе происходит только программная обработка трафика. А вот подход fortinate в этом плане отличается. Для обработки трафика используется разные процессоры. Использование content processor (ASIC) межсетевым экраном необходима для сброса нагрузки с главного процессора, тем самым быть более производительным. Fortinate производит свои собственные asicи, поэтому они отличаются от микросхем других производителей. Они не «жестко» зафиксированы на своей конфигурации, а Fortinet с каждым обновлением FortiOS может улучшать их. ## Реализация задачи После анализа стало понятно, что для реализации глобальной задачи необходимо выполнить следующие этапы: 1. Объединение двух устройств в кластер 2. Настройка интрейфесов на Fortigate 3. Создание виртуальных сетей (VLAN) на одном из интрефейсе 4. Добавление статичских маршрутов 5. Настройка сервисов 6. Тестирование Перейдем к настроки ### Объединение двух устройств в кластер Первое что необходимо сделать, это обединить пару устройств в кластер, и в дальнейшем производить настройку именно его. Это делается для обеспечения отказоустойчивости. ![](https://i.imgur.com/AtV8LZQ.png) Для настройки кластера необходимо выполнить следующие: 1) Перейти к настройке одного из устройств 2) Перейти в раздел System > HA 3) Затем в настройках кластера указать: ``` Mode Active-Passive Device priority 200 Group name Moscow_cluster а так же галочками указать порты соеденяющие кластер. ``` ![](https://i.imgur.com/AqMh8b3.png) 4) Дождаться синхронизации двух устройств. По итогу должно получиться подобная картина: ![](https://i.imgur.com/qYheeFo.png) ### Настройка интрейфесов на Fortigate Для настройки интерфесов необходимо перейти в раздел Network > Interfaces > create new interface ![](https://i.imgur.com/JhEN0g3.png) При найстроке указываем сам интерфейс, его тип, его адрес. Для создания виртуальных сетей (VLAN) на одном из интрефейсов, просто в типе указываем VLAN. ### Создание зон Теперь когда все (физические и виртуальные) интерфейсы созданы и настроены, для более удобной конфигурации группы интерфейсов объединяются в логические группы (или зоны). Для этого необходимо перейти в раздел Network > Interfaces > create new zone ![](https://i.imgur.com/sCERuNr.png) Здесь указываем имя зоны, и отмечаем интерфейсы, входящие в эту зону. ### Добавление статичских маршрутов Добавить маршруты так же можно через web интрефейс, но так как у нас есть txt файл со всеми маршрутами, вида: ``` Gateway < GW-ipaddrss > NetworkName network NetworkName network NetworkName network Gateway < GW-ipaddrss > NetworkName network NetworkName network ... ``` Для удобства напишем python скрипт, и добавим маршрту через терминал: ```python f = open('route.conf', 'w') print('config router static', file=f) index = 2 weight = 10 intefaces = { '***.***.***.***': 'internal1', # Вместо * стоял необходимый ip address '***.***.***.***': 'internal2', '***.***.***.***': 'VLAN 4.32', } with open('route.txt', 'r') as file: data = list(map(str.strip, file.readlines())) for row in data: if row == '': continue if 'GW ' in row: gateway = row[3:] continue print(f'edit {index}', file=f) description, ip = row.split() print(f'set dst {ip}', file=f) print(f'set gateway {gateway}', file=f) print(f'set weight {weight}', file=f) print(f'set device {intefaces[gateway]}', file=f) print(f'set comment {description}', file=f) print('next', file=f) index += 1 print('end', file=f) f.close() ``` Данный скрипт генерирует конфиг файл, содержание которого достаточно вставить в терминал при подключению по ssh. ### Добавление политик Теперь самое главное, что бы зоны могли общаться между собой необходимо напистаь соответсвующие политики. Для этого переходим в раздео Pollicy & Objects > IPv4 Pollicy и выбираем create new policy. Здесь разрешаем переход от одной зоны. ![](https://i.imgur.com/nlnKI2s.png) Так же здесь можно добавить фильтрация трафика по любому из параметров указанному на скриншоте выше. <!-- # Настройка сервисов ФСТЭК система havel ability ![](https://i.imgur.com/YVai03X.png) ![](https://i.imgur.com/xyq2MS7.png) --> --- Основная цель -> Оптимизация сети + Безопасность * разобраться с пакетными фильтрами * описать плюсы перепрошивки стонгейта * показать прирост показателей при переходе с linux на freeBSD (stonegate) * глубокое понимание вещей, про которые говорим * Произвести исследовательскую деятельность, связанную с наглядным примером того, как произошло оптимизация сети