FortiOS
Das Betriebssystem FortiOS 4.3
Zu den wichtigsten neuen Features des Firmware Upgrades zählen Application Control, Data Leakage Prevention (DLP), WAN-Optimierung und SSL-Inspection. Die Kombination dieser Features hilft Kunden, ihre Netzwerke gegen bösartigen, die Bandbreite beeinträchtigenden Datenverkehr abzusichern und "sauberen" Datenverkehr zu beschleunigen.
Application Control erkennt Datenverkehr applikationsnah und nicht erst am Port oder über das Protokoll. Damit lassen sich die Sicherheitsrichtlinien für mehr als 1.000 Applikationen einhalten. Zudem wird die Kontrolle über Applikationen erleichtert, die trotz vertrauenswürdiger Ports und Protokolle keine Standard-Ports, Port-Hopping oder Tunneling verwenden.
Data Leakage Prevention hilft bei Identifizierung und Schutz vertraulicher Informationen außerhalb der Netzwerkgrenzen, ist auf jede Applikation anwendbar und greift auch bei verschlüsseltem Datenverkehr. Data Leakage Prevention kann so konfiguriert werden, das Kontrollpfade für Daten und Dateien eingerichtet und damit gesetzliche Richtlinien eingehalten werden.
WAN-Optimierung beschleunigt den WAN-Zugriff auf Applikationen und stellt zugleich die Multi-Threat-Security sicher. Der Service sorgt für mehr Performance, Produktivität und Einsparungen bei Datenübertragungsmengen, Bandbreitenbedarf, Serverressourcen und Netzwerkkosten. Der Einsatz der WAN-Optimierung setzt FortiGate-Modelle mit lokalem Speicher voraus.
SSL-Inspection verbessert den Schutz und die Richtlinienkontrolle für verschlüsselten Datenverkehr. Dabei werden verdeckte Kommunikationsdaten überprüft, der Schutz für Web- und Applikationsserver erhöht und der Einblick in den Netzwerkverkehr verbessert.
Mit Hilfe von Virtual Domains werden aus einem einzelnen FortiGate-Gerät mehrere eigenständige Einheiten. Dadurch wird ein einzelnes FortiGate-Gerät flexibel genug, um innerhalb einer Organisation abteilungsübergreifend oder auch organisationsübergreifend zur Verfügung zu stehen. Zudem kann es somit auch als Basis für den Managed Security Service eines entsprechenden Dienstleisters fungieren.
VDOMs bieten separate Security-Domains, mit denen der Einsatz separater Zonen, Benutzerauthentifizierungen, Firewall-Richtlinien, Routings und VPN-Konfigurationen möglich wird. Der Einsatz von VDOMs erleichtert zudem die Administration komplexer Konfigurationen, da sich die Administratoren nicht mehr um so viele Routen und Firewall-Richtlinien zugleich kümmern müssen.
FortiOS 4.3 New Features (Auszug):
- UI Enhancement
- Improves visibility of both real time and historical network status
- Simplifies configuration of large and complex deployments
- Consolidates and simplifies reporting
- Improved Hardware Support
- Flow-based UTM support
- Native wireless controller support
- Expanded Security Offerings
- Stronger authentication including native support for 2FA and 802.1x
- Port Forward SSL VPN
- Extends Wireless Controller feature support to FortiAP-220A and FortiAP-220B
- Distributed ARRP (automatic radio resource provisioning)
- WiFi Enterprise Authentication Support
- Captive Portal for Wifi Authentication
- Rogue AP Detection & Reporting
- Rogue AP Suppression
- Flow-based DLP
- Flow-based Web Content Filtering
- IPv6 Firewall Offload Feature on ASM-CE4, ADM-XE2 and ADM-FB8 modules
- FMC-XG2 Module
- One-arm IPS on XLR
- FortiASIC Traffic Offload Improvements
- Sub-second Failover for NP4 Ports
- Extension of SP Acceleration Supports Offloading of Interface-based IPS
Technische Beschreibung
Virtual Domains teilen die jeweilige FortiGate in mehrere eigenständige Einheiten auf. Damit steht die Einheit mehreren Organisationen zur Verfügung. Jede VDOM besitzt dabei ihr eigenes Routing und eigene Firewall-Richtlinien. Jede Schnittstelle, egal ob physisch oder virtuell, gehört dabei exklusiv zu einer virtuellen Domain. Dadurch wird die Administration einfacher, denn der Administrator sieht immer nur diejenigen Schnittstellen, Routingtabellen und Firewalls der VDOM, die er gerade konfiguriert.
Eine Anwendungsmöglichkeit besteht darin, eine einzelne FortiGate für das Routing und die Absicherung der Netzwerke mehrerer Organisationen zu nutzen. Jede Organisation besitzt dabei ihre eigenen Netzwerk-Schnittstellen (physisch oder virtuell), Routings und Regeln zur Absicherung des Netzwerks. Standardmäßig ist eine Kommunikation zwischen verschiedenen Organisationen nur möglich, wenn beide den Zugriff auf ein externes Netzwerk zulassen, wie z.B. das Internet. Wenn einPaket in eine Virtual Domain einläuft, bleibt es auf diese Virtual Domain beschränkt.
Pro Domain können Firewall-Richtlinien nur für Verbindungen zwischen VLAN-Hilfsschnittstellen oder für Zonen innerhalb der virtuellen Domain festgelegt werden. Das Paket überquert dabei niemals die virtuellen Domaingrenzen.
Mit Inter-VDOM-Routing kann der Traffic zwischen den VDOMs fließen, ohne dabei über eine physische Schnittstelle die FortiGate verlassen zu müssen und über eine andere physischeSchnittstelle zurückzukehren.
Mit diesem Feature wird auch interne Vernetzugnsgrad zwischen den VDOMs festgelegt. Das reicht von nur zwei VDOMs mit beschränkter Interaktion bis hin zur vollständigen Vernetzung aller VDOMs. Der gesamte Traffic zwischen den VDOMs läuft dabei, wie alle Verbindungen über externe Schnittstellen, über eine Firewall.
Standardmäßig unterstützt FortiGate bis zu 10 VDOMs pro Gerät in beliebiger Kombination mit NAT/Route und transparenten Nodes. Für die FortiGate-Modelle 3000 und höher ist ein Lizenzschlüssel erhältlich, mit dem das Maximum auf 25, 50, 100, 250 oder 500 VDOMs erhöht werden kann.
