Интеграция на FortiGate в корпоративна среда
Внедряване на Fortigate 300D + Fortianalyzer 200D в организация с основен офис с 4 сегмента на вътрешната мрежата = 4 VLAN. VPN свързаност между главният офис и 30 отдалечени офис локации, които са снабдени с рутери Cisco за поддържане на VPN тунела.
Изходната конфигурация включва
- Два интернет доставчика основен и резервен
- Основен Cisco рутер отговарящ за VPN свързанността на офисите и рутиране на VLAN-ите от вътрешната мрежа.
- Уеб услуги достъпвани от клиенти към сървъри в локлната мрежа
- Приложения достъпвани от офисите през VPN свързаност
Проблемни мрежови аспекти
*Контрол на трафика.
Това води до забавяне на всички критични за бизнеса операции лежащи върху интернет трафик. Много влошена използваемост на всички облачни услуги. Бавна работа на услуги предоставяни за клиенти на организацията използващи уеб сървърите достъпни през препълвания пренос на интернет свързаността.
Затруднения в работата на отдалечените офиси използващи VPN тунели за вътрешнофирмено приложение. Труден контрол на трафика за използваните уеб услуги и приложения. Потребители имат свобода да използват не лимитирано корпоративната интернет свързаност.
Наблюдава се прекомерна употреба на социални мрежи и мултимедиа. Потребителите могат да използват приложения без да има рестрикции върху трафика. Липсата на приоритет за критичните за бизнеса трафик.
*Сигурността е силно компрометирана
Възможните места за атака от интернет са много. Честа вирусна заплаха от прикачени в електронна поща файлове. Потребителски устройства често се заразяват със зловреден софтуер. Потребителите са много уязвими на фишинг атаки.
Потребителите могат да внесат външни устройства, с които да компрометират сигурността. Услуги на сървъри във вътрешната мрежа на организацията обслужващи клиентски заявки са оставени без филтриране на трафика към тях от интернет.
Успешна атака с ransomware носеща поражения върху един от сегментите на вътрешната мрежа. Невъзможност за следене на трафика и запис на използваните от потребителите ресурси. Няма наблюдение върху мрежата и трафика преминаващ през нея, това възпрепятства администраторите да могат да вземат правилните мерки за защита.
Невъзможно е проследяването на генерирания трафик от потребителите и анализ за наличието на заплаха ули други действия с негативни последствия върху организацията. Не е възможно изследване на трафика за предишен период и прилагането на адекватно Филтриране.
Постигнати резултати
*Контрол в използването на трафика
Лимитиране употребата на маловажен за организацията трафик, с цел запазване на висока продуктивност за интернет базираните услуги. Висока скорост на използваните облачни услуги. Блокиране на уеб страници с неуместни за употреба на работното място съдържание. Приоритизиране на трафик предназначен за услуги използвани от клиенти на организацията.
Използването на социални мрежи и мултимедия е ограничено до желаните нива. Лимитиране употребата на уеб трафик и приложения според корпоративната политика. Запис на логове с използването на ресурси от потребителите. Запис на логове при опит за нарушаване на установените политики за използване на корпоративната интернет свързаност.
Приоритизиране на трафик необходим за вътрешнофирмено приложение.
*Сигурността
Инспекция на всичкия трафик влизащ, излизащ или циркулиращ в локалната мрежа. Запис на логове касаещи сигурността. Запис на логовете за 14 дни назад. Автоматична седмична статистика за слабости в сигурността използването на ресури. Прилагане на механизми за инспекция на трафика спиране на зловреден такъв.
Защита на сървъри във вътрешната мрежа и инспекция на трафика към и от тях. Защитаване на уеб сървъри предоставящи клиентски уеб приложения локирани във вътрешната мрежа. Защитаване и прилагане на политики за сигурност на трафик преминаващ през fortigate 300D предназначен за VPN сървър в локалната мрежа на Централен Офис.
Премахване на прикачени файлове от елетронната поща с застрашително съдържание. Лимитиране на административния достъп до FortiGate 300D. Пълна видимост върху цялата мрежа и нейната употреба. Отдалечена свързаност за мобилни устройствоа или компютъри до ресурсите на организацията, използващи FortiGate 300D като VPN сървър.