FortiGate – не просто файрвол, а сетевой комплекс, обеспечивающий безопасность. Он стоит на входе в корпоративную сеть и решает сразу несколько задач. Одни компании берут его ради VPN. Другие – для защиты от атак. При этом многие не знают и половину возможностей этого межсетевого экрана нового поколения. Поэтому нужно разобрать его ключевые функции, такие как VPN, IPS, веб-фильтрацию и контроль приложений. Без технического жаргона – только суть и практика.
Что такое FortiGate и почему ему доверяют
FortiGate – линейка устройств от компании Fortinet. Это производитель с оборотом более 5 млрд долларов в год, один из лидеров рынка сетевой безопасности.
FortiGate комплектуются собственным процессором SPU (Security Processing Unit). Он обрабатывает трафик аппаратно, не нагружает CPU. Поэтому FortiGate не «тормозит» сеть даже при одновременной активации нескольких функций защиты.
Поэтому такие устройства используют банки, ритейл, промышленные предприятия и государственные структуры. Среди российских клиентов есть крупные телеком-операторы и финансовые холдинги. Но и малый бизнес использует FortiGate.
VPN: зашифрованный туннель между офисами и сотрудниками
VPN (Virtual Private Network) – технология, которая создает зашифрованный канал связи поверх обычного Интернета. Это можно сравнить с трубой внутри реки. Снаружи – открытая вода, в которой может плавать кто угодно. Внутри трубы – только данные определенного пользователя, и никто не видит, что по ней передается.
Зачем это нужно бизнесу
Есть 2 основных сценария использования VPN на FortiGate:
- Site-to-Site VPN – соединение двух или нескольких офисов. Сотрудники московского и питерского офиса работают в одной сети, как будто сидят в одном здании.
- Remote Access VPN (SSL-VPN / IPSec VPN) – подключение удаленных сотрудников. Человек из дома входит в корпоративную сеть через зашифрованный канал.
Это делает организацию обмена данными более гибкой.
Что использует FortiGate
FortiGate поддерживает 2 протокола:
- IPSec VPN – быстрый и надежный. Используется для организации постоянных соединений между офисами. Поддерживает скорость до 10 Гбит/с на топовых моделях.
- SSL-VPN – удобен для сотрудников, которые работают на удаленке. Этот протокол работает через браузер или клиент FortiClient. Он не требует выполнения сложных настроек на стороне пользователя.
Но есть важный момент. С 2023 года Fortinet настоятельно рекомендует переходить с SSL-VPN на IPSec VPN с IKEv2. Это связано с обнаружением уязвимостями в SSL-VPN, которые эксплуатировались хакерами. Поэтому при настройке FortiGate стоит уточнить у администратора, какой протокол используется.
IPS: система предотвращения вторжений
IPS (Intrusion Prevention System) отслеживает подозрительное поведение в сети. Файрвол проверяет, кому разрешен вход. IPS смотрит, что входящий делает внутри.
Как это работает
Трафик проходит через FortiGate. IPS анализирует каждый пакет данных и сравнивает его с базой из более чем 19 000 сигнатур угроз (по данным Fortinet на 2024 год). Если видит совпадение с известной атакой, то блокирует активность.
IPS выявляет и блокирует следующие виды атак:
- Эксплойты уязвимостей – попытки использовать баги в программах (Apache, Windows, OpenSSL).
- Сканирование портов – разведка сети перед атакой.
- DoS-атаки – попытки перегрузить сервер запросами.
- SQL-инъекции и XSS – атаки на веб-приложения.
- Botnet-трафик – когда зараженный компьютер в сети получает команды с сервера злоумышленника.
IPS работает в двух режимах:
- Detection mode – IPS замечает угрозу и пишет в лог, но не блокирует. Этот режим используется на этапе настройки, чтобы понять, что происходит в сети.
- Prevention mode — IPS блокирует угрозу в реальном времени. Это уже «боевой» режим.
Но нужно помнить, что IPS не заменяет антивирус, так как он работает на конечном устройстве и проверяет файлы. IPS действует на уровне сети и анализирует трафик. Это разные уровни защиты, которые дополняют друг друга.
Веб-фильтрация: контроль действий сотрудников
Веб-фильтрация (Web Filtering) – функция, которая блокирует доступ к нежелательным или опасным сайтам.
FortiGate использует облачный сервис FortiGuard. Это база данных, которая включает более чем 2 млрд URL, разбитых по 90 категориям. Они, в свою очередь, делятся на несколько групп:
- Безопасность: фишинговые сайты, сайты с малварью, командные серверы ботнетов.
- Продуктивность: социальные сети, стриминг, онлайн-игры.
- Юридические риски: торрент-трекеры, сайты с нелегальным контентом.
- Корпоративная политика: любые категории по усмотрению администратора.
Администратор настраивает политику под требования компании. Например, бухгалтерам закрывается доступ к соцсетям, но они могут просматривать информацию на профильных сервисах. Маркетологам открывается доступ к рекламным кабинетам, но закрываются торрент-сайты.
Защита от фишинга
Эксперты по информационной безопасности утверждают, что большинство утечек данных начинается с фишинговой атаки. Сотрудник получает письмо, переходит по ссылке на поддельный сайт, вводит пароль. После этого данные скомпрометированы.
Веб-фильтрация FortiGate проверяет ссылку до того, как браузер ее откроет. Если сайт есть в базе фишинговых ресурсов, то страница не загрузится. Пользователь увидит предупреждение.
HTTPS-инспекция
Большинство сайтов сегодня работают по протоколу HTTPS. Поэтому трафик зашифрован. Чтобы фильтровать его содержимое, FortiGate использует SSL-инспекцию. Она расшифровывает трафик, проверяет и снова шифрует. Но для этого нужна установка сертификата FortiGate на устройства пользователей. Иначе веб-фильтрация будет работать только по домену, а не по содержимому страницы.
Контроль приложений
Контроль приложений (Application Control) – функция, которая распознает и управляет приложениями в сети, независимо от порта и протокола. Это важно, так как многие программы маскируются под обычный HTTP/HTTPS-трафик. Файрвол по порту 443 не отличит рабочую почту от Telegram или TikTok.
Как FortiGate распознает приложения
Для распознавания приложения используется технология Deep Packet Inspection (DPI). Устройство анализирует содержимое пакетов, поведение трафика, характерные подписи. База приложений FortiGuard содержит более 9 000 приложений и постоянно обновляется.
FortiGate видит:
- мессенджеры (Telegram, WhatsApp, Signal, Teams);
- видеоконференции (Zoom, Google Meet, Webex);
- файлообменники (Dropbox, OneDrive, Google Drive);
- стриминг (YouTube, Netflix, Twitch);
- торрент-клиенты;
- игровые платформы (Steam, Epic Games);
- SaaS-приложения (Salesforce, Jira, Bitrix24).
Это позволяет эффективно отслеживать действия работников.
Что можно делать с распознанным трафиком
Предусмотрено 3 сценария действий:
- Разрешить – трафик проходит без ограничений.
- Мониторить – трафик проходит, но фиксируется в логах. Это нужно и важно для аудита.
- Заблокировать – соединение разрывается.
Дополнительно осуществляется шейпинг трафика. Например, видеоконференции получают приоритет, а другие приложения ограничиваются до 1 Мбит/с. Это называется Quality of Service (QoS).
FortiGate – профессиональный инструмент с широкими возможностями. VPN закрывает вопрос безопасной передачи данных. IPS останавливает атаки в реальном времени. Веб-фильтрация отрезает доступ к опасным и нежелательным ресурсам. Контроль приложений делает видимым и позволяет управлять происходящим в сети.
Поэтому ошибкой будет купить устройство и включить только VPN. Но часто остальные функции либо не настраиваются, либо оставляют в режиме по умолчанию. В результате компания платит за полноценный фаервол, а использует 20% его возможностей.
Но и правильная настройка – не разовая работа. Это процесс, который требует регулярного обновления политик, анализа логов, реакции на новые угрозы. Только при таком подходе можно использовать функции FortiGate на 100%.