Network Security: Fortigate (Fortinet)

FortiGuard
  • Vdom – виртуальные домены – разделение одного физического firewall на несколько логических
  • Несколько месяцев наблюдали за кибер-шпионами, обалдеть.
Among these attacks, we identified a campaign operated by Moses Staff, a geopolitical motivated threat actor group believed to be sponsored by the Iranian government. After tracking this campaign for the last several months, we found that the group has been using a custom multicomponent toolset for the purpose of conducting espionage against its victims.
Fortigate
  • В Fortinet TAC работает CCIE & Network automation чел 😀
    mostafa_katary (@KataryMostafa). CCIE R&S and Network automation enthusiast
    Best Regards,
    Mostafa Katary
    Fortinet EMEA TAC Engineer
  • Сервисы безопасности Fortigate (DPI, IPS, Firewall), так же как и у Checkpoint/Cisco, мапятся в ACL, а не включаются глобально на устройстве
  • Explicit deny у Fortigate в конце списка ACL
  • Есть возможность балансировки трафика, напр. трафик на один внешний IP разбалансировать на несколько серых внутренних IP с возможностью health check и выбором метода балансировки трафика.
  • Есть встроенные кастомизируемын мониторинги как в GUI, так и в CLI (напр. CPU, memory, session rate, sessions, bandwidth)
  • Если в ситуации, когда вы забыли пароль или вам надо получить доступ к устройству FortiGate без имеющегося пароля, вы можете подключиться по консольному кабелю и ввести строку bcpb + серийный номер устройства. Например: bcpbFGT50C3G20xxxxxx.
  • Management: поддержка опроса по snmp, настройка доступа по определенным протоколам к определенным management адресам

 

 

asic/fpga

Fortigate любит ASIC/FPGA, но они не являются панацеей от всех performance проблем.

FortiASIC NPU6 имеет производительность в 40 Gbps и 10 млн. сессий. С двумя NPU6 Fortigate 1500D достигает производительность firewall в 80 gbps. Распределение по NPU на основе портов – порты биндятся к выделенным под них NPU. Поэтому для получения максимальных значений производительности нужно нагружать оба NPU, передавая нагрузочный трафик по нескольким контурам. К примеру, при тестировании firewall only performance весь трафик обрабатывается NPU и не попадает на обработку системного процессора (он в idle). При тестировании же с включенным для нагрузочного трафика IPS NPU не может выполнить offload всего трафика и системный процессор (его ядра), как следствие отсутствия offload, загружается.

 

Leave a Reply