Comments 7
Аж в глазах зарябило от количества подпродуктов с одинаковым префиксом :)
Спасибо за отличные статьи!
А итоговое сравнение вендоров с уточнением слабых и сильных сторон будет?
А итоговое сравнение вендоров с уточнением слабых и сильных сторон будет?
добрый день,
есть еще один тип развертывания Fortigate — в режиме Router/NAT, в разрыв действующего продакшна.
вопрос по appliance Fortigate-VM на гипервизоре ESXI- поддерживается или планируется ли:
функционал по подключению проброшенного (PCI Ethernet passthrough) физического сетевого интерфейса PNIC с bare-metal сервера напрямую в виртуальную машину, в обход Vswitch?
Данный метод позволит подключать виртуальный Fortigate-VM (в режиме Router/NAT) как аппаратный девайс физически витой парой куда угодно (свитч, роутер, фаервол).
Судя по документации конкурентов это умеет PaloAlto-VM и Forcepoint:
https://www.websense.com/content/support/library/web/hosted/getting_started/install_vm.aspx
есть еще один тип развертывания Fortigate — в режиме Router/NAT, в разрыв действующего продакшна.
вопрос по appliance Fortigate-VM на гипервизоре ESXI- поддерживается или планируется ли:
функционал по подключению проброшенного (PCI Ethernet passthrough) физического сетевого интерфейса PNIC с bare-metal сервера напрямую в виртуальную машину, в обход Vswitch?
Данный метод позволит подключать виртуальный Fortigate-VM (в режиме Router/NAT) как аппаратный девайс физически витой парой куда угодно (свитч, роутер, фаервол).
Судя по документации конкурентов это умеет PaloAlto-VM и Forcepoint:
https://www.websense.com/content/support/library/web/hosted/getting_started/install_vm.aspx
К сожалению не владею подобной информацией. Думаю стоит задать это вопрос вендору (направил). А в чем преимущество данного метода? За всю практику не встречал проблем при использовании vSwitch. Никто же не мешает взять отдельный сервер под FG, накатить туда esxi и использовать практически как аппаратный девайс.
частный случай: есть сервер с ESXI, в котором есть 2 свободных сетевых интерфейса PNIC3,4,
другие 2 сетевых интерфейса (management PNIC1,2) подключены к продакшн-агрегационному свитчу.
L2/L3 агрегационный свитч подключен по L3 к продакшн-UTM_фаерволу(роутинг в WAN к провайдеру).
Агрегационный свитч не имеет технологию зеркалирования портов в TAP-SPAN-Mirror.
На сервере с ESXI крутятся десятки Windows/Linux серверов в разных VLAN на standard Vswitch.
Access-свитчи по L2 подключены к агрегационному свитчу.
Endpoint-workstation (pc/laptop) подключены к access-свитчам.
В данном случае, при топологии подключения Fortigate-VM (в режиме Router/NAT) через Vswitch к продакшн-агрегационному свитчу — нельзя проверить работу NGFW Fortigate-VM для текущего продакшна парка виртуальных серверов на ESXI и физических ПК, можно лишь проверить новые ПК в новом (песочном) VLAN. Т.е. сделать honeypot со старой WindowsXP/7 (без обновлений, антивирусов, брэндмаэуров) — в таком режиме проверим что пропустил старый UTM и как это задетектил новый Fortigate-VM.
При топологии подключения Fortigate-VM (в режиме Transparent) через Vswitch были коллизии, связанные с Promiscuous mode Vswitch, BlockGuestBPDU=1 ESXI; STP & BPDU protection агрегационного свитча. В данном режиме можно проверить работу NGFW Fortigate-VM только для текущего продакшна парка виртуальных серверов, но не для действующих ПК\ноутов.
Но, если Fortigate-VM на ESXI умеет работать с проброшенными PCI Ethernet в обход Vswitch, то подключив его напрямую в старый UTM-фаервол в обход агрегационного свитча — можно было сделать полноценный анализ безопасности всего действующего продакшна (сервера + рабочие станции).
ps: Бюджет на новый сервер не выделяют :(
другие 2 сетевых интерфейса (management PNIC1,2) подключены к продакшн-агрегационному свитчу.
L2/L3 агрегационный свитч подключен по L3 к продакшн-UTM_фаерволу(роутинг в WAN к провайдеру).
Агрегационный свитч не имеет технологию зеркалирования портов в TAP-SPAN-Mirror.
На сервере с ESXI крутятся десятки Windows/Linux серверов в разных VLAN на standard Vswitch.
Access-свитчи по L2 подключены к агрегационному свитчу.
Endpoint-workstation (pc/laptop) подключены к access-свитчам.
В данном случае, при топологии подключения Fortigate-VM (в режиме Router/NAT) через Vswitch к продакшн-агрегационному свитчу — нельзя проверить работу NGFW Fortigate-VM для текущего продакшна парка виртуальных серверов на ESXI и физических ПК, можно лишь проверить новые ПК в новом (песочном) VLAN. Т.е. сделать honeypot со старой WindowsXP/7 (без обновлений, антивирусов, брэндмаэуров) — в таком режиме проверим что пропустил старый UTM и как это задетектил новый Fortigate-VM.
При топологии подключения Fortigate-VM (в режиме Transparent) через Vswitch были коллизии, связанные с Promiscuous mode Vswitch, BlockGuestBPDU=1 ESXI; STP & BPDU protection агрегационного свитча. В данном режиме можно проверить работу NGFW Fortigate-VM только для текущего продакшна парка виртуальных серверов, но не для действующих ПК\ноутов.
Но, если Fortigate-VM на ESXI умеет работать с проброшенными PCI Ethernet в обход Vswitch, то подключив его напрямую в старый UTM-фаервол в обход агрегационного свитча — можно было сделать полноценный анализ безопасности всего действующего продакшна (сервера + рабочие станции).
ps: Бюджет на новый сервер не выделяют :(
Sign up to leave a comment.
Бесплатный аудит безопасности сети с помощью Fortinet. Часть 1