「甘い」暗号化されたVPNトラフィックまたはアイスクリームを「保護」する方法

会社「ラスンカ」の創設の歴史は、ドネプロペトロフスク郊外の小さな工場で、普通のアイスクリーム-ワッフルカップとアイスキャンディーのアイスクリームの生産から1997年1月に始まりました。 現在、ウクライナの大手アイスクリームメーカーです。



会社「Lasunka」には、「White Birch」、「Weasel」、「Lasunka」などのいくつかのブランドがあり、主な生産はアイスクリームです。 Lasunkaの開発戦略によれば、主な投資はインフラストラクチャの開発と高い品質基準の維持に向けられています。



現在、同社には26の取引所があり、会社は拡大する予定です。 生産はテルノポルとキロヴォグラードにあり、本社はドネプロペトロフスクにあります。 このような企業のITインフラストラクチャは複雑であり、企業のオフィス間で安全に情報を交換する必要があります。



今年の初めに、フォーティネットゲートウェイが企業にインストールされ始めたため、このソリューションがクライアントでどのように機能するかを調べることにしました。



実際、エンタープライズのチーフITスペシャリストに機器の操作に関するフィードバックを求める必要があります、とEugeneのTM“ Lasunka”のITディレクターは言います。



UPD：



-すべてのビジネス情報は、本社のドネプロペトロフスクにあります。 リモートオフィスのほとんどの従業員はターミナルサーバーを介して作業するため、安定した作業チャネルが必要です。 当社のインターネットチャネルは、100Mbit / sの速度で構築されています。 さらに、セントラルオフィスには2つのチャネルがあります。1つのチャネルの速度は1ギガビット/秒、2番目のバックアップは100メガビット/秒で、誤動作の場合、自動的に切り替わり、通信の問題を回避します。



1つのベンダーのゲートウェイがあり、うまく機能していましたが、内部VPNトラフィックの負荷が増加するとハングし始め、40 Mbit / sの成長上限に達しました（少なくとも130 Mbit / sの速度がベンダーのWebサイトで宣言されました）-そしてそれだけです、さらに-まさか、この速度を見逃し始めました。



最初はあまり望んでいませんでしたが、 Smartnetパートナーはフォーティネットの機器を試すようにアドバイスしました。ディストリビューターのおかげで、テスト用の機器を提供してくれました。すべてのディストリビューターがテスト用の機器を提供するわけではありませんでした。 現在、このソリューションは、（FortiNetが約束するように）100 Mbit / sのVPNトラフィックを明確かつ確実に保持します。





このようなFortiGate 60Cゲートウェイ、およびセキュア接続（VPN接続）を構築するためのFortiGateファミリの他のゲートウェイモデルは、企業の各営業所にあります。



最初に、暗号化されたトラフィック用に複数のゲートウェイをインストールして、それがどのように機能するかを確認しました。現在、この機器は各オフィスにあります。 私たちの地域オフィスと生産は、ターミナルセッションからのデータが送信される安全なチャネルを介してメインオフィスに接続されています。もちろん、ビジネスプロセスの継続性は接続に依存するため、接続が中断されないことが非常に重要です。 -本番環境での作業は夜に止まりません。 そして、夜間にゲートウェイがフリーズした場合、誰もがこれに不満を持っています。まず、私の管理者:)、彼らは緊急に通信を回復する必要があります。 フォーティネットでは、このような問題はありません。



ITインフラストラクチャの暗号化されたVPNトラフィックと音声トラフィックは約90％を占めています。 一度に最大400のターミナルセッションが可能です。チャネルに問題はありません。







-ネットワークでサードパーティの干渉が発生する頻度はどれくらいですか？



私たちは定期的にDDoS攻撃、メールサーバーに対するスパム攻撃、その他の攻撃、競合他社、またはスポーツの利益のためにネットワークに侵入しようとする誰かを攻撃しています。フォーティネットゲートウェイはこれを非常にうまく行うことができます。



メインオフィスには別のベンダーのメインルーターもありますが、フォーティネットに交換する予定です。 そして、すぐに別の国にある企業の新しく開設された支社にネットワークをセットアップし、そこにフォーティネットのゲートウェイも設置します。



私たちがフォーティネットの前に持っていた機器について悪いことを言いたくはありません。これらの解決策は良いですが、私たちはそれらから成長しました。 また、フォーティネットでは、差し迫ったインフラストラクチャの問題を解決するだけでなく、将来に向けて非常に優れた供給を提供しています。



はい、公平に言えば、フォーティネットの機器はより高価であると言わなければなりませんが、この場合は非常に有益な投資です。 通信はITの品質に依存するため、ITインフラストラクチャを節約することはできないと考えています。今日のあらゆるビジネスでは、高品質で安全な通信がすべてです。







すでに言ったように、持っていた機器が不足していたので、来年何かを変更する必要がないように、トラフィックのためにチャネル帯域幅が不足するのを待たずに決定しました5年間、または10年間で十分な代替となる長期的なソリューションを探すために、将来関連する可能性のあるすべてのパラメーターに対して、マージンのあるソリューション-フォーティネットを選択しました



実際、私たちのIT部門の前では、新しいタスクが常に提示されています。 そして、ITスペシャリストとして、私たちのビジネスから1年か2年で私たちにどんな新しいタスクが来るのかを推測できます（私はここで17年間ITディレクターとして働いてきました）-それがすべての準備ができている理由です:) そして、フォーティネットを中央オフィスで提供すれば、すべてを非常に適切に供給できると信じています。まず、ネットワークを拡大し、企業を拡大します。



また、テスト段階では、フォーティネットと同じ価格帯で、別のネットワークベンダーの機器を使用したことにも注意してください。 はい、それは利点がありますが、私たちはフォーティネットがはるかに好きで、エンタープライズネットワークにはるかによく統合し、パフォーマンスの面では機能性と生産性の面で競合他社をしのぎます。



何が起こったのか、今何が起こっているのかを比較すると フォーティネットは幅広い設定に非常に満足しており、すべてのトラフィックフローを非常に柔軟かつ正確に設定できる設定ブランチが多数あります。 他の機器、つまりフォーティネットでは構成できないものは簡単です。 つまり、フォーティネットはITインフラストラクチャのトラフィックにモノリシックにアプローチするのではなく、企業のトラフィックは非常に大きく異なる可能性があることを理解しており、自分で設定できる独自の個別の設定が必要なすべてについて、私が言えることは非常に便利です！



結果によると、速度の向上とチャネルの安定性が得られました。 現在、生産企業をフォーティネットに移管しています。すでにキロボフラドを移管しており、テルノポルとドネプロペトロフスクを計画しています。 現在、すべての新しい部門で、すぐにフォーティネットのソリューションのネットワークを構築し、さらにそれを行う予定です。



多くのトラフィック、重い負荷、チャネル予約が必要な製造企業-フォーティネットは優れたソリューションであり、非常に満足しています！



他の企業と同様に、Webコンテンツのセキュリティと制限に関する質問が常にあります。ネットワークでは、すべてのブランチからのすべてのトラフィックがセントラルオフィスでラップされ、制限はすでにここで設定されています。FortiGateは非常に役立ち、フィルタリング設定も非常に柔軟です。 httpsトラフィック、トレントネットワークなどに自由に対応します。



FortiGateの設定の柔軟性はLinuxと比較できます。テクニカルサポートサービスは多くのタスクを処理でき、ルーターへのフルアクセスを提供する必要がないため、管理も注目に値します。特定の設定セクションで十分であり、FortiNetもこれに対応します。



あなたはまだたくさん話をすることができますが、試してみる方が良いです！

一言で言えば-アイスクリームは保護されています:)

---

ハードウェア技術情報







FortiGateは、包括的なネットワークセキュリティアプライアンスです。 L2 / L3ルーター、ファイアウォール、VPNコンセントレーター、ウイルス対策、スパム対策フィルター、Web /コンテンツフィルター、侵入検知システム（IPS）の機能、および追加のユーザー認証、仮想化、フォールトトレランスソリューションが含まれています。



ルーティング -デバイスは、静的、動的ルーティング（RIP、OSPF、BGP）、オンデマンドルーティング（ポリシーベースルーティング）、およびマルチキャストトラフィックのルーティングをサポートします。



ファイアウォール -トラフィックフローの方向に応じて、ネットワーク上の各ユーザーに対して個別に柔軟に構成できるポリシーに基づきます。



ユーザー認証 -デバイスは、ネットワークサービスを提供する前にユーザー認証機能をサポートします。 ローカルユーザーベース、LDAP、RADIUS、TACACS +プロトコルを介した外部認証システムとの相互作用がサポートされています。 ユーザー認証サーバーのインフラストラクチャ（Windows Active DirectoryドメインコントローラーやNovell eDirectoryなど）で、Fortinetシングルサインオンテクノロジーを使用すると、FortiGateはネットワークやインターネットの企業リソースにアクセスするときに1回限りのユーザー認証を実行できます（たとえば、アプリケーションサーバー、インターネットリソースへのアクセス制御など）。



VPNハブ -IPSec（サイト間、ハブアンドスポーク、ダイヤルアップクライアント）、SSL（Webポータルモード、トンネルモード）、PPTP、L2TPプロトコルを使用して、ネットワークロケーション間の安全な接続を確立できます。 暗号化アルゴリズムDES、3DES、AESがサポートされています。



ウイルス対策 、マルウェア対策、スパイウェア対策ソフトウェア-ウイルスや悪意のあるコードをリアルタイムでスキャンできます。Webトラフィック（HTTP、HTTPS）、FTP、電子メール（SMTP、POP3、IMAP）、インスタントメッセージングプロトコル（ICQ、AIM） 、MSN、Yahooなど）、P2P、ニュース転送プロトコル（NNTP）など、ほとんどすべての一般的な圧縮ファイル形式をサポートしています。 アンチウイルス署名は、フォーティネットサーバーから自動的に更新されます（新しい署名がリリースされたときに通知するためのプッシュメカニズムがあります）。 ヒューリスティック分析（未知のウイルスの検索）のメカニズムがあります。



スパム対策 *-電子メール（SMTP、POP3、IMAP）でスパムを確認します。 電子通信のさまざまなパラメーター、IPアドレスのホワイト/ブラックシート、送信者/受信者の電子メールアドレスの効果的なテスト。 情報漏洩防止（禁止フレーズのリスト）。 Fortinet Global Reputation Databaseでの送信者評価の検証。 通信の署名分析。



Intrusion Prevention System（IPS）は、FortiGuard Intrusion Prevention Serviceに基づく侵入検知および防止システムです。 署名トラフィック分析、トラフィック異常の追跡と分析、独自の署名の作成、署名がまだ作成されていない新しい侵入の検出、署名データベースの自動更新。



WEB /コンテンツフィルター *-企業ユーザーによるインターネットの使用（FortiGuard Web FilteringサービスWebサイトのグローバルデータベース分類と評判​​を使用したWebサイト分析）、WEBトラフィックのヘッダーとコンテンツのチェック、Javaアプレット、ActiveXコンポーネント、Cookieの管理。



アプリケーション制御 -FortiGateには、Web 2.0およびパーソナルアプリケーション（Webメール、インスタントメッセージング（IM）プログラム、無料のVoIP通話、P2P、ブラウザーツールバー、ファイル共有、さまざまなソーシャルメディアリソース）、転送プロトコルを制御する機能がありますVoices over IP（H.323、SIP、SCCP）。 FortiGateアプリケーション識別データベースには現在、18のカテゴリに1,500を超えるアプリケーションおよびプロトコルのシグネチャが含まれています。



トラフィックシェーピング -デバイスにはトラフィックフロー制御の機能があります（保証/制限/帯域幅優先）。



NATおよび負荷分散-高度なアドレス変換機能（動的および静的NAT、ポリシーベースNAT、SIP / H.323 NAT-Traversal）をサポートし、複数のサーバー間に負荷分散機能もあります。



保護プロファイル -ネットワーク上のトラフィックまたはユーザーの種類ごとに、セキュリティサービスのセットを個人的に割り当てる（有効にする）ことができます。



VDOM （仮想ドメイン）-デバイスの仮想化。 個別の管理、セキュリティポリシー、ルーティングテーブルを備えた複数の仮想デバイスを作成します。 10個のVDOMライセンスが基本配信でアクティブ化され、ライセンスの数を拡張できます。



HA （高可用性）-ネットワークの復元力を高めるための2つのデバイス間のコラボレーションモード。 アクティブ/アクティブ、アクティブ/パッシブ、VRRPモードがサポートされています。



IPv6-製品はIPv6をサポートします。



VLAN -802.1q VLANがサポートされています。



3G-デバイスは、USBフォームファクターの外部3GまたはCDMAモデムで動作します。



管理と監視は、FortiManagerデバイスを使用して、WEBインターフェイス、CLI（ssh、telnet）、コンソール、および集中管理を通じて実行できます。 複数の管理者のロール管理、アクセス権の差別化、仮想デバイスの管理のためのVDOMの使用が提供されます。 デバイスはsyslog、SNMPをサポートし、イベントを電子メールで報告できます。 ネットワークイベントの収集、ロギング、レポートは、FortiAnalyzerと密接に統合されています。

ハードウェアの実行に加えて、FortiGateプラットフォームは仮想アプリケーション-FortiGate-VMとして提供されます。 FortiGate Virtual Appliancesは、VMwareソリューション上に構築された仮想インフラストラクチャを保護するように設計されています。 FortiGate-VMには、従来のFortiGateデバイス用のセキュリティ機能の完全なセットが含まれています。



FortiGate-VMラインアップは、次のデバイスで構成されています。

プロパティ	FortiGate-VM00	FortiGate-VM01	FortiGate-VM02	FortiGate-VM04	FortiGate-VM08
サポートされているハイパーバイザー	VMware ESXi / ESX v3.5 / v4.0 / v4.1 / v5.0、 Citrix XenServer v5.6 SP2 / v6.0、オープンソースXen v3.4.3 / v4.1、 Hyper-V、KVMプラットフォーム
サポートされているWirthの数。 プロセッサー（最大）	1	1	2	4	8
サポートされるネットワークインターフェイスの数（最小/最大）（10 GbE、1 GbE）	2/10	2/10	2/10	2/10	2/10
必要なメモリ量（最小/最大）	512/512 Mb	512/1024 Mb	512/3072 Mb	512/4096 Mb	512/12288 Mb
必要なハードディスク容量（最小/最大）	30/2048 GB	30/2048 GB	30/2048 GB	30/2048 GB	30/2048 GB
マックス ITU帯域幅、Mbps	500	1000	1600	2000年	4000 2
IPSスループット、Mbps	200	400	600	800	1000
IPsecスループット（AES256 + SHA1）、Mbps	100	125	150	175	200
ウイルス対策、Mbps	100	200	350	500	600
同時セッションの最大数	50万	100万	250万	350万	800万
新しいセッションの数/秒	1万	2万	25000	75000	10万
FortiAP番号	32	256	512	512	1024
仮想ドメイン（デフォルト/最大）	1/1	10/10	10/25	10/50	10/250

注：サポートされるユーザーの数は無制限で、ハードウェアプラットフォームのみに依存します。

実際のパフォーマンスは、トラフィックの負荷とシステム構成に依存します。

1各FortiGate仮想アプライアンスの最大可能vRAMを備えたESXi v4.1アップデート1を実行しているDell PowerEdge R715サーバープラットフォーム（AMD Opteron Processor 6128 CPU 2 GHz、4物理1 GBeインターフェイス-2 in / 2 out）でテストされたパフォーマンス測定値。

2 Dell M910プラットフォームでテスト済み（Intel XeonプロセッサE7-4830 CPU 2.13 GHz、2つの物理10 GBeインターフェイス）。

---

ウクライナ 、 アルメニア 、 ジョージア 、 カザフスタン 、 アゼルバイジャン 、 キルギスタン 、 タジキスタン 、 トルクメニスタン 、 ウズベキスタン 、 CIS諸国でのフォーティネットソリューションの配布。



このフォーティネットソリューションのインテグレーターはSmartnet （Fortinet Platinum Partner）でした



MUK-Service-あらゆる種類のIT修理：保証、非保証修理、スペアパーツの販売、契約サービス

---

コメント内のホリバーのUPD。 クライアントは彼の個人的な経験を共有します。明らかな理由で、彼はネットワークがどのように組織されているかについてすべてを話すことができないのはなぜですか？ 次回は間違いなくハッキングされますか？ コメントレビューは、クライアントの言葉にできるだけ近い形で記述されます。必要に応じて記録を提供できます。 出版物が広告として認識されたことを後悔しているが、そのような考えはなかった。