Инфраструктурные решения
FortiSwitch Управление сетью и безопасность в одном - ICORE

FortiSwitch: Управление сетью и безопасность в одном

FortiSwitch — это Ethernet-коммутатор компании Fortinet. Его можно подключить к FortiGate и получить:

  • удобное управление;
  • автоматические настройки безопасности.

Администратор управляет FortiSwitch через интерфейс FortiGate из одного окна. Даже если устройства находятся в разных филиалах компании. Подключение, авторизация и настройка нового коммутатора происходит в несколько кликов.

FortiSwitch автоматически копирует настройки безопасности FortiGate и работает на L3-уровне модели OSI. Если в сети нет FortiGate, FortiSwitch работает изолированно с ограниченным функционалом, только на уровне L2.

Устройства взаимодействуют по проприетарному протоколу FortiLink. Он позволяет проверять трафик с любых конечных устройств: телефонов, компьютеров, терминалов оплаты и так далее.

FortiSwitch подойдёт тем, кто хочет:

  • безопасно масштабировать сеть с FortiGate;
  • автоматически развернуть новый филиал;
  • сменить вендора и перейти на Fortinet.

Компания, у которой уже есть FortiGate, может безопасно масштабировать сеть с помощью FortiSwitch. Например, это понадобится при росте числа офисных сотрудников.

Быстро развернуть новый филиал можно, купив FortiGate и FortiSwitch. Администратор запустит и настроит оборудование удалённо из головного офиса.

Для компании, которая хочет сменить вендора и перейти на Fortinet, единовременная замена всего оборудования может оказаться слишком дорогой. Пока старые коммутаторы работают, мы рекомендуем начать миграцию на Fortinet с покупки FortiGate. А по мере выхода из строя коммутаторов заменять их на FortiSwitch.

Функции безопасности

FortiSwitch поддерживает несколько десятков различных функций, отвечающих за безопасность. Например:

  • настройка политик доступа;
  • блокировка портов;
  • блокировка трафика от пользователей;
  • защита от образования петель в сети.

Настройка политик доступа. FortiSwitch повышает безопасность конечных устройств: определяет их принадлежность к группе пользователей, проверяет теги трафика или запрашивает аутентификацию через сервер RADIUS.

Среди функций, связанных с политиками доступа, наиболее интересна Access VLANs. Она запрещает устройствам в одной VLAN обмен данными. Это повышает безопасность сети, так как весь трафик принудительно проходит через FortiGate.

Администратор может вручную разрешить прямую передачу данных между устройствами.

Блокировка портов. В FortiSwitch часть портов можно зарезервировать для подключения пользовательских устройств. Если к такому порту случайно подключат другой коммутатор, FortiSwitch заблокирует передачу трафика.

Блокировка трафика от пользователей. FortiSwitch считает безопасными портами только те, к которым подключены серверы, коммутаторы и NGFW. Если к порту подключён компьютер или телефон, трафик от него обязательно попадёт на FortiGate. При обнаружении угрозы, FortiSwitch остановит передачу трафика и заблокирует порт.

Защита от образования петель в сети. FortiSwitch периодически отправляет с заданного порта в сеть служебные пакеты. Если в сети есть петля, коммутатор получит пакет обратно. Для разрыва петли FortiSwitch заблокирует порт, с которого был передан пакет.

Режимы работы

FortiSwitch работает в двух режимах:

  • интегрированном;
  • изолированном.

Режимы отличаются способом управления и настройки, а также доступными функциями.

Интегрированный режим используют, когда в сети есть FortiGate. Весь проходящий через FortiSwitch трафик обрабатывается на FortiGate.

Это важно для компаний, в которых сотрудники подключаются к корпоративной сети с собственных устройств. Если FortiGate обнаружит угрозу, он автоматически заблокирует скомпрометированное устройство.

FortiSwitch интегрируется в сеть автоматически. Это удобно, когда нужно быстро запустить оборудование в нескольких удалённых филиалах. Администратор сети работает только в интерфейсе FortiGate, без физического доступа к коммутаторам.

Для автоматической интеграции нужно включить функции управления коммутаторами и авторизации FortiSwitch в настройках FortiGate. Затем физически подключить коммутаторы к портам NGFW — это может сделать любой сотрудник удалённого филиала.

В интегрированном режиме не нужно докупать лицензию для FortiSwitch. Максимальное количество коммутаторов в сети определяется лицензией FortiGate: от 8 до 256 коммутаторов.

Изолированный режим нужен в сетях, где нет устройств FortiGate. На изолированном FortiSwitch работают не все функции. Например, нельзя автоматически настроить политики безопасности, их нужно прописывать вручную.

Набор доступных без интеграции функций зависит от модели FortiSwitch. Определить, какие функции поддерживает конкретная модель, поможет таблица в руководстве по администрированию.

Если в сети несколько изолированных FortiSwitch удобно управлять ими централизованно через FortiSwitch Cloud — веб-интерфейс, доступный на сайте Fortinet. В нем администратор может в одном окне настраивать отдельные коммутаторы, даже если их несколько десятков.

Для FortiSwitch в изолированном режиме необходима лицензия. Она оплачивается на 1 год для каждого устройства отдельно.

Модели

Fortinet предлагает 44 модели FortiSwitch с разным числом портов и коммутационной способностью. Можно подобрать подходящее устройство для стартапа с 10 сотрудниками, компании с тысячами пользовательских устройств или для эксплуатации в суровых условиях.

Все модели FortiSwitch делятся на семейства:

  • для офисов и корпоративных сетей;
  • для центров обработки данных;
  • для установки в производственных помещениях и на улице.

Заключение

FortiSwitch как самостоятельное устройство не имеют значительных преимуществ перед коммутаторами других производителей. Но если FortiSwitch интегрирован с FortiGate, весь его функционал используется в полной мере. Поэтому мы рекомендуем применять FortiSwitch именно как часть фабрики безопасности Fortinet.

Преимущества FortiSwitch в составе Fortinet Security Fabric:

  • Простое масштабирование. Каждый FortiSwitch становится логической частью FortiGate;
  • Быстрая интеграция. Коммутаторы подключаются в автоматическом режиме, даже если в филиале нет сетевого администратора;
  • Централизованное управление. Всеми устройствами можно управлять из одного окна;
  • Низкая совокупная стоимость. Для интегрированных коммутаторов не требуется лицензия, не нужны администраторы в филиалах.

Источник:
https://blog.infra-tech.ru/fortiswitch-review/

Авторы:
Марина Сухова