Podręcznik wdrażania infrastrukturalnego bezpiecznego …...Po włączeniu Virtual Cell to sieć,...

PRZEWODNIK WDROŻENIA

Podręcznik wdrażania infrastrukturalnego bezpiecznego dostępu Rozwiązanie bezpiecznej bezprzewodowej sieci LAN zarządzanej na miejscu

2

PRZEWODNIK WDROŻENIA: ROZWIĄZANIE DO ZABEZPIECZANIA SIECI BEZPRZEWODOWYCH LAN ZARZĄDZANYCH W SIEDZIBIE FIRMY

Informacje ogólneDuże przedsiębiorstwa i sieci kampusowe wymagają rozwiązań sieci WLAN, które można dobrze skalować aż do uzyskania wdrożeń o dużym zagęszczeniu i które są łatwe w zarządzaniu oraz płynnie integrują się z istniejącą strukturą zabezpieczeń sieciowych.

Rosnące w tempie 76% rok do roku użycie aplikacji mobilnych sprawia, że duże przedsiębiorstwa nieustannie napotykają na wyzwania związane z wydajnością i skalowaniem oraz są narażone na nowe zagrożenia wynikające z korzystania z aplikacji i urządzeń, które nigdy wcześniej się w sieciach nie pojawiały.

Infrastrukturalne rozwiązanie bezpiecznego dostępu firmy Fortinet wykorzystuje unikalny system zarządzania kanałami, który ułatwia wdrażanie i skalowanie oraz oferuje wiele atrakcyjnych funkcji podnoszących jakość usług świadczonych użytkownikom. Zapewnia również pełny zakres usług zabezpieczeń, które udostępniają dodatkowe sposoby ochrony w nieustannie zmieniającym się środowisku zagrożeń.

Inny sposób zarządzania wykorzystaniem pasma pozwala tej unikalnej architekturze pokonać przeszkody w implementacji wynikające z interferencji, które często występują w dużych obiektach, takich jak centra kongresowe, stadiony, magazyny czy kampusy szpitalne i uniwersyteckie. Znaczne uproszczenie procesu początkowego wdrażania pomaga mniejszym organizacjom, jak szkoły podstawowe i ponadpodstawowe, które często cierpią na niedobór pracowników, wdrażać bezpieczne, skalowalne bezprzewodowe sieci LAN o wiele łatwiej niż rozwiązania konkurencyjne.

Fortinet Secure Access ArchitectureOferowane przez firmę Fortinet rozwiązanie Secure Access Architecture daje firmom dowolnego rozmiaru i z każdej branży możliwość wyboru topologii i sposobu zarządzania siecią, które najlepiej odpowiadają ich strukturze sieciowej i organizacyjnej. Niezależnie od wybranej opcji mogą one także korzystać z tych samych światowej klasy zabezpieczeń przed cyberatakami.

Infrastrukturalny bezpieczny dostępInfrastrukturalne rozwiązanie bezpiecznego dostępu firmy Fortinet upraszcza wdrożenie i skalowanie oraz charakteryzuje się większą jakością usług świadczonych klientom w środowiskach o dużym zagęszczeniu oraz intensywnie korzystających z łączności głosowej lub wideo. Zapewnia również kompleksowy zestaw usług zabezpieczeń warstwy aplikacji, które pozwalają firmom uzupełnić posiadane struktury zabezpieczeń o najnowszą ochronę przed nieustannie zmieniającymi się zagrożeniami.

3


Czasy, gdy wszędzie stosowano te same rozwiązania sieci Wi-Fi, już się skończyły. Organizacje różnych rozmiarów i z różnych branż korzystają z tych sieci na najróżniejsze sposoby. To, co będzie dobrze działało w małym sklepiku rodzinnym, niekoniecznie się sprawdzi w sieci szpitalnej czy uniwersyteckiej — i na odwrót. W rezultacie powstały różne architektury i topologie, które wciąż zachowują pełną zgodność operacyjną z tysiącami istniejących różnych urządzeń certyfikowanych do stosowania w sieciach Wi-Fi.

Dostawcy rozwiązań sieci WLAN różnicują swoje produkty w czterech aspektach: rozwiązania oparte na kontrolerach lub działające bez nich, zarządzane na miejscu lub w chmurze, korzystające z wielokomórkowego lub jednokomórkowego zarządzania kanałami oraz w końcu z zintegrowaną lub osobną ochroną aplikacji. Okazuje się, że niektóre z rozwiązań technicznych rzeczywiście nadają się do pewnych zastosowań lepiej od innych.

Dlatego właśnie firma Fortinet zainwestowała nie w jedno, lecz w trzy oddzielne i zupełnie różne rozwiązania sieci WLAN, każde wyposażone w światowej klasy zabezpieczenia Fortinet przed cyberatakami.

Infrastrukturalne rozwiązanie bezpiecznego dostępu Fortinet jest jednym z trzech oferowanych rozwiązań sieci WLAN, które powstały, by zapewnić przedsiębiorstwom pełną swobodę wyboru modelu wdrażania bez obniżania poziomu zabezpieczeń.

Infrastrukturalne rozwiązanie bezpiecznego dostępuW odróżnieniu od zintegrowanego rozwiązania bezpiecznego dostępu firmy Fortinet, rozwiązanie infrastrukturalne, które najlepiej nadaje się do wdrożeń w dużych przedsiębiorstwach i na kampusach, składa się z najlepszych w swojej klasie komponentów do przełączania, sieci WLAN (wcześniej Meru Networks) i zabezpieczeń przed cyberatakami.

Komponenty sieci WLAN zapewniają wysoko wydajną sieć Wi-Fi zarządzaną na miejscu, która obejmuje szeroki zakres punktów dostępowych 802.11n i 802.11ac, podczas gdy funkcje ochrony dostępu udostępnia urządzenie FortiGate obejmujące kompleksowy zestaw usług zabezpieczeń oraz funkcje precyzyjnej kontroli aplikacji.

Swoją wyjątkowość infrastrukturalne rozwiązanie sieci WLAN zawdzięcza unikalnej architekturze zarządzania jednokanałowego o nazwie Virtual Cell, która upraszcza wdrożenie i skalowanie oraz charakteryzuje się większą niezawodnością i jakością usług świadczonych klientom w porównaniu z innymi systemami sieci bezprzewodowych.

Virtual Cell minimalizuje złożony i czasochłonny proces planowania kanałów, który w przypadku większych sieci może zająć nawet kilka miesięcy, dzięki unikalnemu modelowi wdrożenia jednokanałowego, który pozwala uniknąć problemów związanych z interferencjami innych kanałów. W przypadku rozwiązania Virtual Cell wszystkie interfejsy radiowe działają na jednym kanale, zapewniając warstwę zasięgu w całym obiekcie, i w każdym miejscu są widoczne dla klientów jako jeden punkt dostępowy.

Szybkie wdrażanie i skalowanie

Virtual Cell znacznie upraszcza wdrażanie, ponieważ pozwala zrezygnować z analiz obiektów w przypadku dodawania, przenoszenia czy zmieniania elementów. Ogranicza ponadto czasochłonne, ciągłe manipulowanie przy planowaniu kanałów, które w przypadku innej rozwijającej się bezprzewodowej sieci LAN byłoby konieczne.

Aby rozszerzyć zasięg lub przyrostowo zwiększyć pojemność w jednym konkretnym obszarze — na przykład rozszerzyć zasięg na parking — nie trzeba przeprowadzać analizy obiektu, przenosić innych punktów dostępowych ani zmieniać ustawień kanałów i zasilania. Wystarczy tylko dodać punkty dostępowe tam, gdzie są fizycznie potrzebne.

Skalowanie pojemności, które zazwyczaj wymaga kłopotliwego przeprojektowywania całej sieci, nie sprawia żadnego problemu dzięki metodzie warstwowego rozmieszczania kanałów, która nie powoduje przerw w działaniu.

Rysunek 1: Model wdrożenia architektury Virtual Cell firmy Fortinet

Rysunek 2: Skalowanie pojemności za pomocą warstwowego rozmieszczania kanałów w całym obiekcie

Jeśli zachodzi konieczność dużego zwiększenia pojemności, można wdrożyć wiele komórek Virtual Cell — każda korzystająca z innego kanału — w tym samym obszarze zasięgu, dodając dodatkowy zestaw punktów dostępowych. Takie warstwowe rozmieszczenie tych komórek można zastosować zarówno na małym obszarze, jak i w całym obiekcie.

Poza tym nowe komórki Virtual Cell można dołączać w dogodnym dla siebie tempie. Umieszczenie nowej komórki Virtual Cell obok innych nie wymaga wprowadzania żadnych zmian w aktualnie wdrożonych,

dlatego też stabilność i wydajność istniejącego środowiska nie jest

nigdy zagrożona podczas takich operacji.

Virtual Cell 1USŁUGI O ZNACZENIU KRYTYCZNYM

20 MHz 11n/ac

Virtual Cell 2UCZNIOWIE/GOŚCIE

20 MHz 11n/ac

Virtual Cell 3NAUCZYCIELE/PRACOWNICY

40 MHz 11n/ac

Virtual Cell 4NADZÓR WIDEO

80 MHz 11ac

4


Rysunek 3: Nadmiarowość kontrolera N+1 i na poziomie łącza

Izolowanie ruchu i usługi VIP

Warstwowe rozmieszczanie kanałów może też posłużyć do fizycznego rozdzielania ruchu korporacyjnego o znaczeniu krytycznym od ruchu generowanego przez gości. Pozwala także przydzielać większą pojemność sieci wybranym grupom użytkowników, na przykład kadrze kierowniczej, albo aplikacjom o znaczeniu krytycznym, na przykład obsługujących VoIP, teleobecność czy mobilne punkty sprzedaży.

Szpitale mogą na przykład za jego pomocą całkowicie izolować częstotliwość radiową aplikacji o znaczeniu krytycznym, takich jak VoIP, pulsometry, śledzenie lokalizacji czy pełniących funkcje kliniczne. Pozwala to na przydzielanie kluczowym usługom wydzielonego zakresu najczystszych kanałów niezagrożonych spowolnieniem jak inne kanały i zapewnienie im wysokiej jakości obsługi (QoS).

Duże miejsca publiczne i szkoły zazwyczaj oddzielają usługi głosowe i ważne zasoby dotyczące obiektów, takie jak systemy automatyzacji budynków i ochrony. Jeśli nie w codziennej pracy, to w sytuacjach awaryjnych pracownicy takich obiektów potrzebują stuprocentowo niezawodnego dostępu do usług głosowych i systemów adresów publicznych bez ryzyka zakłóceń przez ruch o mniejszym znaczeniu.

Bardziej niezawodne połączenia

Główną zaletą rozwiązania Virtual Cell jest błyskawiczna obsługa roamingu bez interwencji użytkownika, która znacznie wpływa na jakość i niezawodność usług działających w czasie rzeczywistym, jak VoIP i systemy wideokonferencyjne. Wszystko dzięki temu, że to Virtual Cell kontroluje przełączanie się klientów między punktami dostępowymi.

W tradycyjnych, wielokanałowych architekturach sieci WLAN klienty bezustannie sondują w poszukiwaniu punktów dostępowych, do których mogą się przełączyć, gdy osłabnie siła sygnału aktualnie używanego przez nie punktu. Powoduje to niepotrzebne obciążenie sieci i zajmowanie przepustowości przez wiele żądań sondowania wysyłanych przez wszystkie klienty, a także umożliwia klientom podejmowanie niewłaściwych decyzji dotyczących roamingu, opartych tylko na sile sygnału, bez uwzględniania obciążenia punktu dostępowych, z którym zamierzają się połączyć.

Po włączeniu Virtual Cell to sieć, a nie klient, decyduje, kiedy klient powinien przełączyć się do którego punktu, by uzyskać jak najlepszą jakość sygnału. Taka technika sterowania roamingiem przez sieć, która odzwierciedla sposób działania roamingu w sieciach komórkowych, pozwala w pełni uwzględnić obciążenie punktów dostępowych i inne kryteria oraz gwarantuje wszystkim klientom najlepsze z dostępnych połączeń w każdym momencie. Rozwiązuje także typowe problemy, eliminując na przykład tak zwane sticky clients, co jeszcze bardziej ogranicza niepotrzebne sondowanie i retransmisje.

Roaming pod kontrolą sieci przebiega niemal natychmiast (3 ms w porównaniu z 100 ms), co zwiększa niezawodność połączeń głosowych i innych typów treści przesyłanych w czasie rzeczywistym. Gwarantuje dzięki temu nieprzerwaną łączność tysiącom kibiców biegnących do bufetu w przerwie meczu czy uczestnikom konferencji przechodzącym z jednej sali do innej, którzy nie muszą na ten czas przerywać tego, co robili na swoich urządzeniach.

Takie podejście umożliwia także równoważenie obciążenia punktów dostępowych w czasie rzeczywistym na podstawie rzeczywistego natężenia ruchu, a nie prostego algorytmu round-robin opartego na liczbie stacji. W przypadku zmiany obciążenia pozwala niezauważalnie i bez opóźnień przełączyć dowolnego klienta do innego punktu.

Lepsze wykorzystanie czasu komunikacji

System wykorzystuje także zaawansowany mechanizm kontrolowania ruchu do sterowania czasem komunikacji stacji, tak by każdy klient otrzymywał sprawiedliwy przydział czasu, co zapobiega blokowaniu zasobów przez najwolniejsze lub najszybsze urządzenia. Stosuje on także dynamiczne algorytmy eliminowania konfliktów, które obejmują dostosowywanie parametrów WMM na bieżąco w celu skracania konfliktów w punktach dostępowych, na podstawie liczby elementów aktualnie pozostających w konflikcie. Zmniejsza to liczbę kolizji i poprawia całościowe wykorzystanie medium transmisyjnego w przypadku wzrostu liczby elementów w konflikcie.

Opcje wysokiej dostępności

Infrastrukturalne rozwiązanie bezpiecznego dostępu oferuje różne sposoby zwiększania dostępności. Obsługa nadmiarowości aktywne–aktywne lub aktywne–pasywne na poziomie łącza pozwala na łączenie kontrolerów z co najmniej dwoma przełącznikami sieciowymi przez porty GbE lub 10GbE, w zależności od wybranego kontrolera.

RADIUS

FortiWLC HA

Aplikacje

System zarządzania

siecią

Warstwa kontroli (główna)

Warstwa kontroli (dodatkowa)

5


Nadmiarowość kontrolerów N+1 umożliwia zastępowanie klastrów obejmujących do pięciu aktywnych kontrolerów jednym zapasowym kontrolerem w gotowości. Zmiany w konfiguracji kontrolera są synchronizowane między kontrolerami głównymi a podrzędnymi, dzięki czemu można mieć pewność, że w decydującym momencie kontroler zapasowy będzie mieć ważną, bezpieczną konfigurację.

Także punkty dostępowe można skonfigurować nadmiarowo. Jeśli ich główny kontroler stanie się niedostępny, będą mogły automatycznie przełączyć się na kontroler zapasowy za pomocą nazwy hosta

określonej w DNS lub adresu IP zapewnianego przez opcję 43 DCHP.

Wydajne zarządzanie tożsamościami

Fortinet Connect to oparte na tożsamości rozwiązanie służące do podłączania nowych urządzeń, które ułatwia działom informatycznym dzielenie użytkowników i urządzeń klienckich na segmenty na podstawie unikalnych potrzeb biznesowych i związanych z koniecznością zapewnienia zgodności z przepisami. Zapewnia ono bezpieczny dostęp oparty na rolach oraz możliwość precyzyjnego zarządzania zasadami według typu użytkownika i urządzenia, pory dnia i innych kryteriów. Fortinet Connect pozwala pracownikom działów informatycznych konfigurować unikalne profile dostępu dla poszczególnych osób i grup w organizacji (np. dla pracowników wydziałów, studentów i gości albo dla lekarzy, pielęgniarek, administratorów i personelu szpitala) za pomocą oddzielnych identyfikatorów SSID ze specjalnymi opcjami uwierzytelniania.

Fortinet Connect obsługuje wiele typów portali uwierzytelniania gości i pracowników, co umożliwia samoobsługową obsługę administracyjną gości i podłączanie urządzeń prywatnych przy użyciu wielu różnych sposobów uwierzytelniania, w tym logowania się przez media społecznościowe czy uwierzytelniania w sieci 802.1x i dwuetapowego. Poza tym jest zgodny z usługami katalogowymi RADIUS, LDAP, Active Directory i innymi. Fortinet Connect udostępnia również interfejs API, który zapewnia integrację z platformami obsługi administracyjnej innych firm, takimi jak używane w hotelach systemy rejestracji gości czy uniwersyteckie systemy rejestracji studentów.

Samoobsługowe podłączanie urządzeń prywatnych

Czy nam to się podoba czy nie, korzystanie z urządzeń prywatnych do celów służbowych stało się standardem prawie w każdej branży, a w czasach gdy około 30% użytkowników zmienia smartfony co roku, zadania związane z podłączaniem nowych urządzeń nigdy się nie kończą. Wykonywanie ich ręcznie po prostu jest nieefektywne i może szybko wykończyć pracowników działu informatycznego.

Jeszcze większe wyzwanie stanowi wprowadzanie do sieci nowych urządzeń na wyższych uczelniach — nie chodzi tam tylko bowiem o podłączanie smartfonów i tabletów, lecz także o konsole do gier, drukarki i inne urządzenia. Niektóre z nich działają bezobsługowo, co tylko komplikuje sprawę. Z podobnymi problemami zmagają się placówki opieki zdrowotnej, które z kolei korzystają z najróżniejszych opatentowanych systemów operacyjnych instalowanych na sprzęcie medycznym.

Rozwiązaniem jest oczywiście samoobsługowy system, który umożliwia identyfikację wszystkich użytkowników i ich uwierzytelnianie

w zaufanym źródle sieciowym (np. w katalogu Active Directory) z wykorzystaniem profili zdefiniowanych przez dział informatyczny, które pomagają obsługiwać rożne typy użytkowników i mobilne systemy operacyjne. System musi także obsługiwać użytkowników korzystających z różnych typów urządzeń (np. firmowego laptopa i prywatnego tabletu), z których każde wymaga innego profilu bezpieczeństwa, oraz użytkowników korzystających z kilku urządzeń jednocześnie. Sieć musi więc być w stanie rozpoznawać nie tylko samych użytkowników, lecz także wszystkie pary obejmujące użytkownika i urządzenie.

Rozwiązanie Fortinet Connect zarządza wdrażaniem urządzeń prywatnych przy minimalnym angażowaniu pracowników działu IT. Zapewnia dostęp oparty na tożsamości, ustalanie wzorców i rejestrowanie urządzeń oraz zarządzanie zasadami obowiązującymi na używanych przez użytkowników firmowych i prywatnych urządzeniach wszystkich typów. Pozwala na samoobsługową obsługę administracyjną urządzeń klienckich jednym kliknięciem w celu zapewnienia bezpiecznej łączności 802.1x. Użytkownicy muszą tylko otworzyć internetowy portal obsługi administracyjnej, podać dane uwierzytelniające (nazwę i hasło), a odpowiedni profil usługi zostanie utworzony automatycznie.

Łatwe zarządzanie dostępem dla gości

Korzystanie z urządzeń prywatnych do celów służbowych i zarządzanie dostępem gości idą ręka w rękę. W przypadku większości gości wystarcza zazwyczaj umieszczenie ich na identyfikatorze SSID gościa, który daje tylko dostęp do Internetu. Pewne ich grupy jednak, jak audytorzy czy osoby pracujące na kontraktach, wymagają krótkotrwałego, ograniczonego dostępu do zasobów firmowych.

Fortinet Connect pozwala „sponsorom” korporacyjnym na tworzenie tymczasowych kont dla gości w bezpieczny i kontrolowany sposób. Umożliwia to zapewnienie gościom dostępu do sieci, który można ograniczać według lokalizacji, pory dnia i innych kryteriów oraz który wygasa automatycznie po upływie ustalonego z góry czasu. Istnieją również możliwości samodzielnej rejestracji gości w celu uzyskania jeszcze bardziej ograniczonego dostępu do zasobów sieciowych (np. drukarek) poza samym dostępem do Internetu.

Ograniczanie multicastów Bonjour

W środowiskach, w których występuje dużo fanów urządzeń firmy Apple — na przykład w sieciach wyższych uczelni — często mogą występować problemy z technologią Bonjour tej firmy, która może wykończyć sieć tysiącami niepotrzebnych pakietów multicastowych przesyłanych, gdy studenci łączą się w akademikach ze swoimi Apple TV i bezprzewodowymi drukarkami.

Ogłoszenia multicastowe mogą być małe, ale rozprzestrzeniają się wszędzie i wpływają na wszystkich. Aplikacja Personal Bonjour firmy Fortinet pozwala przezwyciężyć te trudności, utrzymując wewnętrzną tabelę usług dla urządzeń korzystających z Bonjour. Pośredniczy ona w procesie wykrywania przez przekształcanie sond i ogłoszeń multicastowych w ruch unicastowy. Takie podejście całkowicie neutralizuje szkodliwe efekty rozprzestrzeniania się funkcji AirPlay i AirPrint w akademikach, obcinając ruch związany z technologią Bonjour do ponad 1% jego oryginalnej wielkości.

6


Punkty dostępowe Fortinet Access PointFortinet oferuje szeroki zakres wysoko wydajnych punktów dostę- powych 802.11n i 802.11ac do wdrażania wewnątrz i na zewnątrz budynków. Większość modeli wewnętrznych jest wyposażonych w wewnętrzne lub zewnętrzne anteny wielokierunkowe, które można w razie potrzeby wymieniać lub aktualizować do anten kierunkowych o dużym zysku.

Funkcje automatycznej obsługi administracyjnej zasobów radiowych i bezobsługowego wdrażania pozwalają szybko zaimplementować punkty dostępowe Fortinet Access Point nawet w biurach zdalnych pozbawionych kontrolera na miejscu. Wszystkie funkcje korporacyjne, jak szybki roaming, obsługa sieci kratowych i przełączania, skanowanie pasma, dostęp dla gości, wykrywanie fałszywych punktów dostępowych, WMM i QoS są obsługiwane standardowo, bez konieczności kupowania drogich licencji dodatkowych.

Rysunek 4: Zewnętrzny i wewnętrzny model punktu dostępowego Fortinet

Obsługa PoE 802.11af: w celu zapewnienia obsługi łączności z istniejącą strukturą przełączników oraz obniżenia kosztów usuwania i wymian nasze infrastrukturalne punkty dostępowe zostały zaprojektowane z myślą o niskim poborze energii. Wszystkie jedno- i dwuradiowe modele wewnętrzne działają w pełnej szybkości przy zasilaniu za pomocą zasilaczy PoE zgodnych ze standardem 802.3af lub portów przełączników (o mocy 12,9 W), dzięki czemu nie trzeba aktualizować przełączników sieci LAN pod kątem obsługi technologii PoE+ (IEEE 802.3at).

Wdrażanie bez interwencji użytkownika: punkty dostępowe Fortinet wystarczy tylko podłączyć. Wyszukują one kontrolery główne i łączą się z nimi całkowicie automatycznie, korzystając z kilku wydajnych mechanizmów wykrywania. Wykrywanie kontrolerów odbywa się przez połączone sieci warstwy 2 lub 3, co niezwykle ułatwia osobom, które nie są specjalistami w dziedzinie informatyki, szybkie fizyczne instalowanie punktu dostępowego w dowolnej lokalizacji, w tym w domu czy odległych biurach. Gdy punkt dostępowy wykryje kontroler, ustanawia tunel w warstwie 2 lub 3 na potrzeby kontrolowania zarządzania, automatycznie pobiera najnowsze oprogramowanie i przypisany profil zabezpieczeń oraz natychmiast zaczyna działać.

Analizowanie pasma: każde urządzenie radiowe można skonfigurować tak, by okresowo skanowało pasmo pod kątem interferencji, fałszywych punktów dostępowych itd. w tle, gdy jest bezczynne. Komponenty radiowe punktów dostępowych AP832 i PSM3X można też przeznaczyć do działania w trybie czujnika. W odróżnieniu od większości innych rozwiązań sieci WLAN, punkty dostępowe Fortinet mogą skanować pasmo w tle nawet podczas obsługiwania wielu równoległych połączeń głosowych. W przypadku trzyradiowego modelu PSM3X Fortinet dwa radia mogą być używane na potrzeby dostępu klientów, a trzecie można ustawić jako wydzielony czujnik pasma.

Oferowane przez Fortinet rozwiązanie Spectrum Manager pozwala wykrywać i klasyfikować interferencje bezprzewodowe pochodzące z sieci Wi-Fi i innych źródeł, na przykład z kuchenek mikrofalowych, urządzeń Bluetooth czy sieci Wi-Fi sąsiadów. System ten nawet szacuje wpływ zakłócającego źródła na wykorzystanie kanału. Informując aktywnie o interferencjach w sieci Wi-Fi, Spectrum Manager pozwala podejmować czynności zmierzające do wyeliminowania problemów przez usunięcie, wyregulowanie czy obejście zewnętrznych źródeł interferencji w celu zagwarantowania optymalnej dostępności pasma i wysokiej jakości usługi.

Wykrywanie włamań do sieci bezprzewodowych i fałszywych punktów dostępowych: Aby uniemożliwić klientom łączenie się z siecią przez nieautoryzowane punkty dostępowe, można ustawić nadajniki radiowe tak, by skanowały sieć w poszukiwaniu punktów fałszywych i łagodziły pochodzący z nich ruch kliencki. Te funkcje ustawia się globalnie, za pomocą kontrolera zarządzającego listą dozwolonych i zabronionych identyfikatorów SSID sieci WLAN oraz koordynującego zestaw punktów dostępowych (mitygujących), które wkraczają do działania w przypadku wykrycia punktu fałszywego. Ochrona przed fałszywymi punktami dostępowymi uniemożliwia stacjom łączenie się z takimi punktami lub próbowanie uzyskiwania dostępu do sieci za ich pośrednictwem. Dostosowywany moduł oprogramowania bezprzewodowego systemu ochrony przed włamaniami (wireless intrusion prevention system, WIPS) jest wyposażony w podstawowy zestaw sygnatur odpowiadających popularnym typom ataków na sieci bezprzewodowe, jak honeypot, man-in-the-middle itp. Z kolei moduł menedżera zgodności z normami PCI kontroluje i weryfikuje poziom bezpieczeństwa sieci, gwarantując zgodność ze standardami PCI.

Silne uwierzytelnianie i szyfrowanie: jak można się spodziewać, wszystkie punkty dostępowe Fortinet obsługują pełen zakres korporacyjnych typów uwierzytelniania, w tym WPA2-802.1X i szyfrowanie oparte na standardach, jak AES czy TKIP. Rozszerzone uwierzytelnianie użytkowników za pomocą serwerów RADIUS chronią protokoły EAP-MD5, EAP-TLS, EAP-TTLS i PEAP.

Tryby przełączania i tunelowania: w konfiguracji domyślnej identyfikatory SSID kierują cały ruch do kontrolera sieci bezprzewodowej. Można je jednak skonfigurować też tak, by przełączały ruch bezpośrednio do sieci lokalnej.

Istnieje wiele przypadków, w których kierowanie ruchu przez kontroler nie jest pożądane. Przykładowo, w zdalnych oddziałach firm dysponujących lokalnymi serwerami i drukarkami, ale bez kontrolera lokalnego, lepiej jest przełączać ruch lokalnie. Pozwala to uniknąć opóźnień i strat przepustowości spowodowanych przesyłaniem ruchu w kółko przez sieć WAN.

Dw

urad

iow

eJe

dnor

adio

we

Zewnętrzne Wewnętrzne

7


Zarówno przełączane, jak i tunelowane identyfikatory SSID mogą istnieć jednocześnie na tym samym radiu. Komunikacja VoIP może na przykład być obsługiwana przez firmowy identyfikator SSID, który jest tunelowany ze zdalnego biura, podczas gdy lokalnie jest przełączany inny identyfikator SSID na potrzeby usług danych.

Kompleksowa ochrona przed cyberatakami W przypadku tego rozwiązania kompleksowa ochrona i precyzyjna kontrola aplikacji są zapewniane przez oparty na współpracy system zabezpieczeń sieciowych i nagradzaną platformę ochrony przed cyberatakami FortiGate firmy Fortinet, która obejmuje pełen zestaw usług zabezpieczeń.

Przedsiębiorstwa, które wolą infrastrukturalne rozwiązanie bezpiecznego dostępu Fortinet od rozwiązania zintegrowanego, najprawdopodobniej chcą skorzystać z najlepszych w swojej klasie rozwiązań sieci Wi-Fi, przełączników i zabezpieczeń oraz dysponują już odpowiednią strukturą zabezpieczeń sieciowych, którą mogą wykorzystać do ochrony ruchu bezprzewodowego. Dlatego też korzystanie z rozwiązania FortiGate do całościowej ochrony przed zagrożeniami sieci przewodowych i bezprzewodowych jest o wiele korzystniejsze od używania wielu produktów punktowych, ponieważ ułatwia zarządzanie i gwarantuje doskonałą wydajność.

Podczas gdy infrastruktura sieci WLAN zapewnia możliwości niezwykle wydajnego i elastycznego korzystania z pasma, FortiGate gwarantuje maksymalną kontrolę użytkowników, urządzeń i aplikacji, ułatwia administrowanie zaawansowanymi zasadami zabezpieczeń oraz zapewnia kompleksową ochronę przed zagrożeniami.

FortiGate łączy funkcje ponad siedmiu różnych urządzeń zabezpieczających, w tym zapory, bramy sieci VPN, systemu ochrony przed włamaniami do sieci, ochrony przed utratą danych, oprogramowania chroniącego przed złośliwym kodem, kategoryzacji i filtrowania stron WWW oraz kontroli aplikacji, na jednej, wysoko wydajnej platformie.

Rysunek 5: Skonsolidowana platforma zabezpieczeń FortiGate

Po zainstalowaniu w sieci urządzenia FortiGate można selektywnie stosować funkcje zabezpieczeń do różnych grup użytkowników w celu priorytetyzowania aplikacji, kontrolowania przepustowości i wykrywania wszystkich rodzajów zagrożeń — od włamań do sieci bezprzewodowej po złośliwy kod.

Wydajna architektura urządzenia, wykorzystująca układy ASIC, umożliwia stosowanie do ruchu dowolnej liczby różnych zasad bezpieczeństwa w jednym przebiegu. Poprawia to wydajność i minimalizuje opóźnienia związane z przesyłaniem danych przez wiele jednofunkcyjnych urządzeń zabezpieczających.

Główne cechy rozwiązania FortiGate

Licencja FortiOS do urządzeń FortiGate wszystkich rozmiarów standardowo pozwala na korzystanie z wszystkich poniższych funkcji ochrony i nie tylko. Nie trzeba kupować dodatkowych licencji ani wnosić dodatkowych opłat, by móc używać zapory, systemu ochrony przed włamaniami, kontroli aplikacji czy innych zabezpieczeń.

Zapora: FortiGate jest jedną z najszybszych platform zapory w branży. Jego flagowe modele przewyższają pod względem wydajności rozwiązania wszystkich konkurentów.

Brama sieci VPN: nie trzeba wdrażać oddzielnego urządzenia sieci VPN ani akceleratora sieci WAN do zarządzania w siedzibach lub oddziałach firm. FortiGate obejmuje wbudowane wysoko wydajne usługi VPN SSL i IPSec. Fortinet zapewnia również bezpłatnego klienta sieci VPN do zdalnego dostępu na komputery stacjonarne, tablety i smartfony działające pod kontrolą wszystkich głównych systemów operacyjnych.

System ochrony przed włamaniami (IPS): system ochrony przed włamaniami (IPS) firmy Fortinet chroni sieć przed znanymi i nieznanymi zagrożeniami, blokując ataki wykorzystujące luki w zabezpieczeniach sieci i systemów. System IPS można włączyć na każdej platformie FortiGate na brzegu sieci lub w jej rdzeniu, aby zabezpieczyć aplikacje biznesowe o znaczeniu krytycznym przed atakami zewnętrznymi i wewnętrznymi.

Ochrona przed utratą danych: za pomocą FortiGate można także chronić poufność informacji i zapobiegać ich wyciekom. Do blokowania nieautoryzowanego przesyłania danych poufnych lub podlegających regulacjom przez granicę firmy służy zaawansowana technika dopasowywania do wzorca.

Oprogramowanie chroniące przed złośliwym kodem: dzięki połączeniu wspomaganej sprzętowo szczegółowej weryfikacji pakietów w warstwie 7 oraz ogromnej biblioteki sygnatur złośliwego kodu i programów wykorzystujących luki w zabezpieczeniach FortiGate zapewnia ochronę przed wirusami, botnetami, exploitami internetowymi, trojanami i innym złośliwym oprogramowaniem w czasie rzeczywistym. Regularne aktualizacje od FortiGuard Labs gwarantują natychmiastową ochronę przed nowo wykrytymi lukami w zabezpieczeniach typu „zero-day”.

Firewall

VPN

Application Control

IPS

DLP

Anti-Malware

WAN Acceleration

Web Filtering

FortiGate

IPS

Kontrola aplikacji

Kategoryzacja i filtrowanie stron WWW

Akceleracja WAN

Oprogramowanie chroniące przed złośliwym kodem

Ochrona przed utratą danych

Zapora

VPN

8


Kategoryzacja i filtrowanie stron WWW: FortiGate może blokować dostęp do wszystkich znanych szkodliwych stron internetowych, które mogą służyć do wyłudzania informacji (ataki typu phishing i pharming) lub rozpowszechniać złośliwy kod, bądź dowolnych innych stron wskazanych przez użytkownika. Poza ograniczeniem narażenia na kontakt ze złośliwym oprogramowaniem za pomocą tej funkcji można także kontrolować dostęp do treści z ograniczeniami wiekowymi w szkołach albo blokować możliwość wyświetlania materiałów kontrowersyjnych w miejscach publicznych.

Kontrola aplikacji: dzięki sygnaturom ponad 4000 aplikacji FortiGate zapewnia niezrównaną kontrolę nad priorytetami aplikacji i możliwości zarządzania przepustowością. Rozróżnia przy tym poszczególne aplikacje, a nie tylko ogólne klasy priorytetów Wi-Fi. Pozwala to inaczej traktować aplikacje YouTube, HD YouTube, Netflix, Facebook, LinkedIn, SIP i Skype. Daje to przewagę ruchowi o znaczeniu krytycznym nad aplikacjami o niskim priorytecie.

Oto bardziej szczegółowa lista funkcji systemu FortiOS: nn Advanced Threat Protection

nn Analiza reputacji klienta

nn Widoczność kontekstowa

nn Rozszerzone jednokrotne logowanie

nn Integracja ze środowiskiem typu sandbox

nn Zasady zabezpieczeń dotyczące konkretnych urządzeń

nn Bezpieczny dostęp gości

nn Zapora klasy korporacyjnej

nn Funkcje IPSec i SSL VPN

nn Inspekcja ruchu szyfrowanego wg protokołu SSL

nn Antywirus/ochrona przed oprogramowaniem szpiegującym

nn Filtrowanie antyspamowe

nn System ochrony przed włamaniami (IPS)

nn Ochrona przed utratą danych (DLP)

nn Opcje inspekcji na podstawie przepływu

nn Kategoryzacja i filtrowanie stron WWW

nn Kontrola aplikacji

nn Kontrola dostępu do sieci (NAC)

nn Zarządzanie podatnościami

nn Monitorowanie, rejestrowanie i raportowanie

nn Optymalizacja sieci WAN

nn Kontroler bezprzewodowy

nn Zabezpieczenia usługi VoIP

nn Centralne zarządzanie

nn Domeny wirtualne

nn Wysoka dostępność

nn Usługi routingu w warstwie 2/3

Ochrona przed zagrożeniami typu „zero-day”: zabezpieczenia FortiGate są zawsze aktualne dzięki częstym aktualizacjom automatycznym przesyłanym przez FortiGuard Labs — zespół, który bada najnowsze ataki, by zapewniać sieci natychmiastową ochronę przed nowo wykrytymi zagrożeniami.

Segmentacja wewnętrzna W ostatniej dekadzie panował trend do spłaszczania sieci korporacyjnych. Kiedy jednak cyberataki stały się bardziej zaawansowane, ostatnio udokumentowane przypadki wykorzystania luk w zabezpieczeniach pokazały, że po złamaniu zabezpieczeń na brzegu sieci hakerzy mogą bardzo szybko siać w niej spustoszenie.

Dlatego też nowym standardem ochrony przed wysoko wyspecjalizowanymi atakami, którym uda się przedostać przez zabezpieczenia brzegowe, jest stosowanie wielu warstw obrony. Wyraźna segmentacja wewnętrzna, obejmująca zasady ustanowione w zaporach między użytkownikami i zasobami, ogranicza ruch, udostępnia dzienniki i pomaga przerwać łańcuch infekcji.

Zapory programowe opracowane pod kątem wdrażania na brzegach sieci są jednak zbyt wolne. Fortinet jest pierwszym dostawcą, który wprowadził na rynek wspomaganą sprzętowo zaporę do wewnętrznej segmentacji o wydajności pozwalającej obsłużyć wielogigabitowe częstotliwości poziome.

Typowe scenariusze wdrożeniaZarówno kontrolery sieci WLAN Fortinet, jak i urządzenia zabezpieczające FortiGate są dostępne we wszystkich rozmiarach, dzięki czemu nadają się zarówno do wdrożeń w małych biurach, jak i wielkich przedsiębiorstwach i na kampusach. Pozwala to korzystać ze scentralizowanych lub rozproszonych zabezpieczeń i zapewnia kontrolę dostępu.

Skalowanie architektury Virtual Cell polega głównie na odpowiednim zwiększaniu zagęszczenia punktów dostępowych i warstwowym rozmieszczaniu kanałów. Istnieje przy tym kilka ogólnych wskazówek dotyczących zagęszczenia punktów dostępowych oraz tego, kiedy i w jaki sposób należy dokładać dodatkowe komórki Virtual Cell.

Zasada główna mówi, że komórki Virtual Cell należy układać warstwowo w tym samym miejscu co pozostałe, zarówno poziomo, jak i pionowo. W wielopiętrowym budynku będą się one na przykład znajdować na wszystkich piętrach. Obszar zasięgu każdej komórki Virtual Cell jest ograniczony tylko wybranym kontrolerem i zagęszczeniem. Urządzenia mogą przechodzić pomiędzy różnymi kontrolerami, praktycznie eliminując ograniczenia granic i rozmiaru poszczególnych komórek Virtual Cell. Przełączanie się między komórkami Virtual Cell przebiega jednak wolniej niż poruszanie się w obrębie zasięgu jednej takiej komórki, należy więc minimalizować granice między poszczególnymi komórkami Virtual Cell.

9


Rysunek 6: Wiele warstw kanałów Virtual Cell można wdrożyć w całym przedsiębiorstwie

W dużych obiektach poziomych, takich jak stadiony, centra kongresowe i wystawowe, a nawet hurtownie, obowiązują te same zasady stosowania naturalnych barier fizycznych jako preferowanych granic między poszczególnymi grupami komórek Virtual Cell.

Rysunek 7: 14 punktów dostępowych zapewniających jedną komórkę Virtual Cell o częstotliwości 2,4 GHz i jedną o częstotliwości 5 GHz

W tym przykładzie w celu dołożenia warstw komórek Virtual Cell umieszczane są dodatkowe punkty dostępowe mniej więcej tych samym miejscach co ich zestaw podstawowy (najlepiej w odległości kilku stóp od siebie) oraz wybierane są dwa nowe kanały działania. Nie należy zwiększać pojemności w paśmie 2,4 GHz, ponieważ 2,4 GHz służy obecnie do obsługi jedynie bazowych usług, więc oba będą działać w paśmie 5 GHz.

Zagęszczenie punktów dostępowych: należy dążyć do tego, by w każdym miejscu klient zawsze wyłapywał sygnał co najmniej dwóch punktów dostępowych, a najlepiej trzech. Podczas układania drugiej warstwy kanału Virtual Cell punkty dostępowe warto umieścić na różnych piętrach, tak by klienty mogły się z nimi łączyć z różnych stron, z dołu i z góry.

Wybór kanału: architektura Virtual Cell została zaprojektowana pod kątem eliminowania interferencji z własnego kanału i z kanałów sąsiednich, ale istnieją źródła interferencji, nad którymi nie mamy kontroli, takie jak inne sieci czy źródła inne niż Wi-Fi, na przykład kuchenki mikrofalowe, radary itp. Dlatego też dla każdej komórki Virtual Cell należy zawsze szukać najczystszego dostępnego kanału.

Klienty starszego typu: chociaż uwzględnianie czasu komunikacji zapobiega blokowaniu kanałów przez wolniejsze klienty, wysyłają one sygnały z mniejszą częstotliwością, które mogą docierać dalej, uniemożliwiając większej liczbie klientów odnalezienie czystego kanału i przeprowadzenie transmisji. Warto izolować klienty starszego typu w przeznaczonych dla nich kanałach i wyłączyć te wolniejsze częstotliwości w innych komórkach Virtual Cell.

Przełączanie się między komórkami Virtual Cell: przełączanie się między komórkami Virtual Cell przebiega tak samo jak przełączanie się między punktami dostępowymi w tradycyjnej sieci wielokomórkowej. Wymaga ponownego powiązania z siecią i nie jest optymalne. Najlepiej jest więc ograniczyć do minimum liczbę miejsc, w których klienty znajdują się na granicy komórek Virtual Cell. W budynku trzypiętrowym na przykład jedna komórka Virtual Cell może zapewniać zasięg na parterze i pierwszym piętrze, a druga — na drugim i trzecim piętrze. Dzięki temu klienty muszą się przełączać tylko w przypadku przechodzenia między piętrem drugim a trzecim. Można też użyć takich funkcji, jak Roaming Across Controller, które ograniczają trudności ponownego podłączenia do sieci na granicach Virtual Cell.

Równoważenie obciążenia dzięki warstwowemu rozmieszczeniu kanałów: podczas rozmieszczania punktów dostępowych należy umieszczać je w odległości 17–25 cm od siebie — na tyle daleko, by można było zminimalizować interferencje pasm bocznych lub sąsiednich kanałów, i na tyle blisko, by utrzymać wyrównaną moc sygnału. Dysponując dwoma kanałami w każdym paśmie, można zapewnić równoważenie obciążenia i nadmiarowość w obu pasmach.

Pełna moc: wiele wdrożeń ma na celu zastąpienie starzejących się sieci WLAN. Jako że Virtual Cell pozwala na działanie nadajników radiowych punktów dostępowych z pełną mocą, po przeprowadzeniu wymiany jeden do jednego często okazuje się, że uzyskano więcej punktów dostępowych, niż w rzeczywistości jest potrzebnych. Dzieje się tak zwłaszcza w przypadkach, gdy stare sieci WLAN były już mocno zagęszczone. Zamiast tego pojemność można skalować, umieszczając połowę punktów dostępowych w każdej z dwóch różnych komórek Virtual Cell pokrywających ten sam obszar.

3 KANAŁ2 KANAŁ1 KANAŁ

10


Elastyczność i właściwe określanie rozmiaru wdrożenia są ważne — ktoś może woleć rozproszony model zabezpieczeń zamiast scentralizowanego, ktoś inny może mieć centrum danych. Infrastrukturalne rozwiązanie bezpiecznego dostępu obsługuje wiele opcji wdrożenia, dzięki czemu pozwala zaspokoić potrzeby firm o różnych preferencjach. Poniżej przedstawiono kilka popularnych scenariuszy wdrożeń. Aby uprościć przekaz, za każdym razem, gdy jest mowa o FortiGate jako komponencie ochrony, oznacza to preferowane urządzenia zabezpieczające.

Wdrożenie bramy zabezpieczeń w przedsiębiorstwieKorzysta z platformy FortiGate do ochrony brzegu sieci dostarczanej z kontrolera FortiWLC średniej wielkości. W tym modelu wdrożenia identyfikatory SSID są mapowane na różne sieci VLAN w urządzeniu FortiGate i podlegają kontroli bezpieczeństwa. FortiGate zapewnia ochronę przed zagrożeniami sieciowymi z Internetu i urządzeń bezprzewodowych.

Rysunek 8: Wdrożenie bramy na brzegu przedsiębiorstwa

Wdrożenie na kampusie lub w głównej siedzibie przedsiębiorstwa W celu uzyskania wdrożenia o bardzo dużym zagęszczeniu kontrolery infrastrukturalnej sieci bezprzewodowej są rozmieszczone w całym kampusie na warstwie dostępowej. Poprawia to skalowanie pojemności w gęstych sieciach, zwłaszcza w przypadku przechodzenia na sieć 802.11ac, oraz rozprzestrzenia obciążenie przetwarzania sieci WLAN.

Ruch w punkcie dostępowym jest tunelowany do najbliższego kontrolera i może mieć dwa połączenia z siecią umożliwiające awaryjne przełączanie na drugi kontroler. Para średniej wielkości urządzeń FortiGate zapewnia bezpieczne połączenie z podstawą sieci kampusowej oraz wewnętrzną segmentację.

Rysunek 9: Wdrożenie na kampusie lub w głównej siedzibie przedsiębiorstwa

Wdrożenie w oddziale przedsiębiorstwaZalecamy użycie podstawowego kontrolera FortiWLC wraz z podstawową wersją urządzenia FortiGate w celu zapewnienia kompleksowej ochrony przed zagrożeniami, jeśli w firmie jeszcze nie są stosowane żadne urządzenia zabezpieczające.

W tym wdrożeniu identyfikatory SSID są mapowane na sieci VLAN w urządzeniu FortiGate w celu egzekwowania zasad i kontrolowania całego ruchu pod kątem bezpieczeństwa, bez względu na jego przeznaczenie. Rozproszenie zabezpieczeń w oddziałach firm zwiększa wydajność, ogranicza wąskie gardła zabezpieczeń w firmie oraz chroni cały ruch u jego źródła. Aby zmniejszyć ilość ruchu przesyłanego przez sieć WAN do głównej siedziby firmy lub centrum danych, zainstalowane na miejscu urządzenie FortiGate pozwala na przekazywanie do tych miejsc tylko ruchu korporacyjnego — pozostały ruch jest kontrolowany lokalnie, zanim zostanie przekazany bezpośrednio do Internetu.

Piętro 2

Piętro 2

Piętro 1

Piętro 1

Parter

Parter

Warstwa kontroli

Warstwa kontroli

Internet

Podstawa

11


Wdrożenie w małym oddziale firmyKoszt wdrożenia FortiGate w małych oddziałach firm i biurach domowych może być zaporowy. Mimo to zapewnienie bezpiecznego ruchu internetowego jest konieczne. W takim przypadku infrastrukturalne punkty dostępowe można zainstalować bez kontrolera lokalnego, co umożliwia tunelowanie ruchu innego niż lokalny z powrotem do głównej siedziby lub centrum danych przedsiębiorstwa, gdzie znajdują się kontrolery. Ruch jest następnie przekazywany do centralnego urządzenia FortiGate lub innych urządzeń zabezpieczających w celu jego przetworzenia pod kątem bezpieczeństwa przed przekazaniem do Internetu i odwrotnie.

Rysunek 10: Wdrożenie w dużym oddziale firmy

Rysunek 11: Tryby przełączania i tunelowania punktu dostępowego Fortinet

Internet

Warstwa kontroliDuży oddział firmy

Centrala lub centrum danych

Duży oddział firmy

Internet

Mały oddział firmy

Centrala lub centrum danych

Mały oddział firmy

Warstwa kontroli

Przełączanie lokalne


Copyright © 2016 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet®, FortiGate®, FortiCare®, FortiGuard® oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, faktyczna wydajność może być zatem inna. Na wartość parametrów wydajności mogą mieć wpływ zmienne sieciowe, różnorodne środowiska sieciowe i inne uwarunkowania. Żadne ze stwierdzeń zawartych w tym dokumencie nie stanowi wiążącego zobowiązania ze strony Fortinet, a Fortinet odrzuca wszelkie wyraźne lub dorozumiane gwarancje i rękojmie, z wyjątkiem gwarancji udzielonych przez Fortinet na mocy wiążącej umowy z kupującym podpisanej przez głównego radcę prawnego Fortinet, w której Fortinet zagwarantuje, że określony produkt będzie działać zgodnie z wyraźnie wymienionymi w takim dokumencie parametrami wydajności, a w takim przypadku wyłącznie określone parametry wydajności wyraźnie wskazane w takiej wiążącej umowie pisemnej będą wiązać Fortinet. Wszelka tego typu gwarancja będzie dotyczyć wyłącznie wydajności uzyskiwanej w takich samych warunkach idealnych, w jakich Fortinet przeprowadza wewnętrzne testy laboratoryjne. Fortinet w całości odrzuca wszelkie wyraźne lub dorozumiane przyrzeczenia, oświadczenia i gwarancje związane z tym dokumentem. Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia lub innego korygowania niniejszej publikacji bez powiadomienia (zastosowanie ma najnowsza wersja publikacji).

4 maja 2016 r.

Powiązane produkty i usługiFortiSwitch

Przełączniki bezpiecznego dostępu FortiSwitch integrują się bezpośrednio z platformą FortiGate, co pozwala na administrowanie przełącznikami i zarządzanie zabezpieczeniami portu dostępu w jednym panelu. 24- i 48-portowe modele o dużym zagęszczeniu obsługujące PoE 802.11at mogą zasilać wszystko — od punktów dostępowych po urządzenia VoIP i kamery przemysłowe.

Fortinet Center

Fortinet Center jest platformą aplikacji sieciowych, która umożliwia zarządzanie tymi aplikacjami we wspólnym panelu dostępnym po jednokrotnym zalogowaniu. Obejmuje wstępnie zainstalowane rozwiązania Fortinet Network Manager, Service Assurance Manager i Spectrum Manager oraz jest dostępny w postaci urządzenia SA2000 lub do pobrania jako aplikacja VMware.

FortiGuard

FortiGate i wszystkie pozostałe produkty zabezpieczeń firmy Fortinet są opatrzone etykietą Secured by FortiGuard, co oznacza, że nieustannie otrzymują aktualizacje sygnatur programów wykorzystujących luki w zabezpieczeniach, wirusów i aplikacji w celu zapewniania natychmiastowej ochrony przed atakami typu „zero-day”. FortiGuard Labs to zespół ponad 200 badaczy zagrożeń, którzy nieustannie badają najnowsze ataki i szukają sposobów ich neutralizowania. Zapewniają dzięki temu regularne aktualizacje zabezpieczeń, które są pobierane do produktów Fortinet w ramach usługi subskrypcji FortiGuard. Pozwala to chronić sieci klientów przed nowymi i pojawiającymi się zagrożeniami.

Podsumowanie infrastrukturalnego rozwiązania bezpiecznego dostępuWraz z niesłabnącym wzrostem zapotrzebowania na przepustowość oraz liczby i rodzaju urządzeń bezprzewodowych podłączanych do sieci duże miejsca publiczne — jak centra kongresowe, stadiony, hurtownie oraz kampusy uniwersyteckie i szpitalne — często napotykają na istotne problemy związane z wdrażaniem i skalowaniem. Wiele z nich można bezpośrednio przypisać złożoności planowania kanałów w sieciach o dużym zagęszczeniu, opartych na tradycyjnych rozwiązaniach sieci WLAN.

Tymczasem coraz powszechniejsze używanie urządzeń prywatnych do celów służbowych sprawia, że ryzyko złamania zabezpieczeń sieci korporacyjnych jest ciągle wysokie, a zagrożenia, na jakie są one narażone, są coraz bardziej zaawansowane i nieustępliwe. Coraz bardziej zaawansowane cyberataki odkrywają poza tym luki w zabezpieczeniach nadmiernie płaskich sieci, co wskazuje na konieczność znalezienia nowego modelu działania — wykorzystującego segmentację wewnętrzną w celu przerwania łańcucha infekcji. Dlatego też duże przedsiębiorstwa muszą jeszcze raz przeanalizować i ocenić swoje całościowe zabezpieczenia warstwy aplikacji.

Oferowane przez Fortinet infrastrukturalne rozwiązanie bezpiecznego dostępu jest naprawdę unikalne w branży sieci bezprzewodowych. Umożliwia stosowanie zupełnie innego podejścia do zarządzania kanałami w celu maksymalnego wykorzystania dostępnego pasma. Nie tylko poprawia to wydajność na użytkownika i ogólną, lecz także upraszcza wdrażanie i skalowanie sieci. Rozwiązanie zapewnia również pełny zakres nagradzanych usług ochrony, które pozwalają firmom uzupełnić istniejące struktury zabezpieczeń o dodatkową ochronę przed rozwijającymi się zagrożeniami.

SIEDZIBA GŁÓWNAFortinet Inc.899 Kifer RoadSunnyvale, CA 94086Stany ZjednoczoneTel.: +1 408 235 7700www.fortinet.com/sales

BIURO SPRZEDAŻY — REGION EMEA905 rue Albert Einstein Valbonne 06560, Alpes-Maritimes, Francja Tel. +33 4 8987 0500

BIURO SPRZEDAŻY — REGION APAC300 Beach Road 20-01The ConcourseSingapur 199555Tel.: +65 6513 3730

BIURO SPRZEDAŻY — AMERYKA ŁACIŃSKAPaseo de la Reforma 412 piso 16Col. JuarezC.P. 06600 México D.F.Tel.: 011-52-(55) 5524-8428

Polskaul. Złota 59/6FBudynek Lumen II (6 piętro)00-120 WarszawaPolska

Podręcznik wdrażania infrastrukturalnego bezpiecznego …...Po włączeniu Virtual Cell to sieć,...

Documents

Transcript of Podręcznik wdrażania infrastrukturalnego bezpiecznego …...Po włączeniu Virtual Cell to sieć,...