FIREWALL: Cihaz ile internet çıkışı ve internetten geliş ile ilgili tüm izinler ayarlanabilir.
VPN : dışarıdan (mesela evden internete başlanarak) iç networke şifeli bir network kanalı ile ulaşılabilir.
IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılar için izin verilebilir veya yasaklanabilir.
P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalarını (Kazaa, Skype, bitTorrent, eDonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple engelleyebilir.
TRAFFIC SHAPING: işle ilgili uygulamalara ağda öncelik verilerek, Messenger gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılabilir.
Antivirus: Gelen ve giden mail eklentilerini, tüm ftp ve http trafiğini (web tabanlı mailler dahil) web performansını düşürmeden tarar. Antivirus getaway gelen virus ve wormları networke girmeden önce kestiğinden zarar verebilecek durumları önceden önlemiş olur. Fortinetin dünya çapındaki antivirus ekibi çıkan virusleri en hızlı şekilde takip eder ve müşterilerine gerçek zamanlı update imkanı sunar. Bu sayede belirli zaman peryotları ile değil virus çıktığı anda update yapılmış olur.
Firewall:Güçlü içerik denetleme firewallu belgelenmiş, maximum performanslı ve ölçülebilir bir ürün sunar. Policy bazlı kural yazma ile tek bir kuralda birçok kontrol saglar. Tek bir kuralda kaynağı, hedefi ve kullandğı servisi belirtilmiş paket nat, traffic shaping, loglama Autentication (Active directory, local, lap, radius) ve protection profile uygulanabilir. Protection profile sayesinde kurala uyan paketlere antivirüs taraması, antispam taraması, wel fitering, ips/ids ve im/p2p kontrolu yapılabilir.
Intrusion Detection:Uyarı tabanlı 1300 den fazla bilinen saldırı barındıran özelleştirilebilir veritabana sahiptir.Fortigate host tabanlı antivirus programlarından kaçan saldırıları durdurur. Antivirus güncellemelerinde olduğu gibi saldırı imzaları güncellemeleri de fortiprotect update network ile gerçekleştirilir. Bu sayede yeni saldırı çıkar çıkmaz update yapılır güncellem süresinin dolması beklenmez.
VPN:Günümüzün en populer ve güvenli VPN türlerini destekler. Ipsec, PPTP, L2TP, based ve SSL VPN esnek bir şekilde yapılmaktadır. VPN ’i 2 lokasyonumuz arasında yapabildiğimiz gibi dışardan dial-up kullanıcılarıda güvenli bir şekilde VPN yapabilmektedir. Gelen VPN paketlerin protection profile uygulama bildiğinden, ips, antivirus, proxy serverlarımızı kullanacak olanlar için url fintering gibi denetlemeler uygulanarak tam koruma sağlanmış olunur.
AntiSpam:Blaclist website ve domain tabanlı, kelime taraması (her kullanıcı için ayrı configure edilebilirlik) ve dinamik puanlama sistemi ile güçlü ve doğru sonuç alınmaktadır.
Traffic Shaping:Traffic Shaping ile network trafiği, paket sınıfı, kuyruk disiplini vs kriterlere göre kısıtlama yapılabilir. Böylece kendi iş önceliğimize göre trafiği şekillendirebiliriz. Ftp ve web hızını düşürüp SQL bağlantılarının performansı garanti altına alınabilir. Bunu policy bazlı yapabildiğimizden ZAMAN ve kişi bazında düzenleme yapılabilir.
Web Filtering:15 milyondan fazla domain ve milyarlarca web sayfası ile url filitrelemek tam bir kontrol sağlar. 56 kategoride filitreleme imkanı sunmaktadır. Ayrıca kelime ve blac-list oluşturma imkanımızla da filitreleme yapılabilir.
Hight Availability:Birden fazla cihaz bir arada çalıştırılarak hem yük paylaşımı hem yedekleme sağlanabilmektedir. Bir cihazın devre dışı kalması durumda diğer cihaz 3 sn gibi bir sürede Hiçbir oturumu kaybetmeden devreye girmektedir.
IM/p2p:Chat araçlarının en populerleri olan aim, icq, msn ve yahoo paylaşım proğramlarında bitTorrent, eDonkey, gnutella, kazaa, skype, winNY proğramlarının logon, file transfer (dosya boyutu belirtilebilir) blok audio kontrolleri yapılabilmektedir. Ayrıca standart portlar dışında çalışan benzer proğramlar da kontrol edilebilir. Bu proğramlar aracılığı ile gelen paketler protection da belirtilen virus vb. taramalardan geçirilebilir. Yasaklanan proğramları kullanan kullanıcıların listesi gelmektedir. Bu listeden istenilen kullanıcılara izin verilebilir. Bunun terside geçerlidir
| AĞ ÖZELLİKLERİ Birden fazla internet (WAN) bağlantısı desteği PPPoE desteği DHCP Client/Server desteği Kural tabanlı önlendirme (Policy-Based Routing) Dinamik Yönlendirme (Dynamic Routing; RIP v1 & v2, OSPF, BGP, & Multicast) Çoklu Bölge desteği (Multi-Zone) Bölgeler arası yönlendirme (Route Between Zones) VLAN kar arası yönlendirme |
ANTIVIRUS/WORM TESBİT ve ENGELLEME (ICSA Sertifikalı) HTTP, SMTP, POP3, IMAP, FTP, IM ve Encrypted VPN’de virus tarayabilme Güncellemeleri oluşunca merkezden gönderme (Push Update) Karantinaya alma Dosya büyüklüğüne göre engelleme Dosya tipine göre engelleme |
| YÖNETİM Console Interface (RS-232) WebUI (HTTP/HTTPS Web Arabirimi) Telnet Multi-language Support Komut Satırı Yönetim Arabirimi (Command Line Interface) Secure Command Shell (SSH) Merkezi Yönetim Desteği (FortiManager System) |
ERİŞİM Rol Tabanlı Yönetim Farklı Yönetici yetki ve seviyeleri TFTP ve Web ile güncelleyebilme Sistem Yazılımını Fabrika ayarlarına alabilme FortiManager cihazı ile merkezden erişebilme |
| KULLANICI YETKİLENDİRME İç kullacılar Windows Active Directory (AD) Desteği External RADIUS/LDAP Database Desteği IP/MAC Address Eşleştirebilme Xauth over RADIUS for IPSEC VPN RSA SecurID |
FIREWALL (ICSA Sertifikalı) NAT, PAT, Transparent (Bridge) Routing Mode (RIP v1 & v2, OSPF, BGP, & Multicast) Policy-Based NAT Virtual Domains (NAT/Transparent mode) VLAN Tagging (802.1Q) User Group-Based Authentication SIP/H.323 NAT Traversal WINS Desteği |
| VPN (ICSA Sertifikalı) PPTP, IPSec, ve SSL Dedicated Tunnels Şifreleme (DES, 3DES, AES) SHA-1/MD5 Kimlik Doğrulama PPTP, L2TP, VPN geçiş desteği Hub ve Spoke VPN Desteği IKE Certificate Authentication IPSec NAT Traversal Dead Peer Detection RSA SecurID Support |
ANTISPAM Online Blacklist/Open Relay Database Server MIME Header Kontrolü Kelime filtreleme IP Adresi Karaliste/İzinliListe Otomatik güncelleme |
| WEB İÇERİK FILTRELEME URL/Keyword/Phrase Engelleme URL Hariç Listesi İçerik Grupları Java Applet, Cookies, ActiveX Engelleme FortiGuard Web Filteleme Desteği (56 kategori, 50 milyon web) |
LOG/İZLEME Yerel Log kayıtları Syslog/WELF sunucuya loglama imkanı Anlık ve geçmiş için grafik rapor desteği SNMP desteği Virus ve Saldırılarda email uyarma imkanı VPN Tunel İzleme FortiAnalyzer cihazı ile detaylı kayıt ve raporlar |
| DİNAMİK SALDIRI ENGELLEME SİSTEMİ (IPS/IDS) (ICSA Sertifikalı) 2000den fazla saldırıyı engelleyebilme Ayarlanabilir Dinamik Saldırı İmza Listesi Saldırı veri tabanını otomatik güncelleme Davranış tabanlı saldırı tesbiti |
YEDEKLİ CİHAZ KULLANIMI (HIGH AVAILABILITY) Active-Active, Active-Passive desteği Stateful Failover (FW and VPN) HATA tesbit ve uyarı sistemi Link durumu izleme Link failover |
| TRAFİK BİÇİMLENDİRME Kural tabanlı trafik biçimlendirme Diffserv Ayarları Guaranti/Maksimum/öncelikli hız ayarlayabilme |
INSTANT MESSENGER – ACCESS KONTROLÜ AOL-IM Yahoo MSN |
| Kaynak : fortigateturkiye.com – – ICQ | |
http://docs.fortinet.com/fortigate/admin-guides
Fortinet ürünleri üzerine yazılmış detaylı konu anlatımlarının ve açıklamalarının olduğı ve eski verisonlarınında bulunduğu dökümantasyon sitesi. GLI ve CLI dökümanları bulundurmaktadır.
Fortigate üzerine sorunlarımızız çözüm merkezi
FortiGate : Fortinet firmasının amiral ürünü oluğu , çıkış noktasında firewall görevi gören UTM cihazdır. UTM firewallın taşıdığı tüm özellikleri taşıyabilmektedir.
FortiManager : Büyük yapılı netwokrlerde , birden fazla fortinet cihazını yönetimini sağlıyan cihazdır , bu cihaz üzerinden , Konfig yapılmasından , polciylerin uygulanmasına kadar bir çok özellikleri barındır , Ayrıca fortigate cihazları için internet üzerinden yaptığımız updateleri manager üzerinden yapmamız sağlıyor.
FortiAnalyzer : Fortigate tarafınadan oluşan trafik utm loglarını analiz edilip gelişmiş olarak raporlama sunan cihazdır.
Fortimail : Fortigate üzeirnde bulunan mail sec özelliklerinini barındıran bu konuda çok geşmişmiş özellikleride sunan cihazdır , Ayrıca mail server olarakya yapılandırılabilir.
FortiDB : Database güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.
FortiWeb : Web güvenliği üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.
FortiBalancer : Loadbalancing üzerine üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.
Fortiscan : Güvenlik tarafması ve zafiyet tarafaması gibi yine fortigate ile birlikte gelen özellikler üzerine yoğunlaştırılmış ve bu konuda çok kullanılmamakla birlikte ileri düzeyde çözümler sunan üründür.
Forticache : Dns ve Web cache üzerine hizmet sunan ve bu konuda geliştirilmiş bir üründür.
FortiSwitch : Swicth görevi gören bu konuda hizmet sunan cihazıır , POE ürünleride mevcuttur.
FortiClient : Fortonetyazılımdıır, Bu Cientlara fortinet ürünlerimiz üzerinden bir takım yönetimlerin sağladığı ve antivirüs , ant,spam Vpn gibi hizmetleride gören bir yazılımdır , Ücretsiz bir yazılımdır ,
FortiDNS : Fortigate üzerinde kullanılan DNS özellliği üzerine yoğunlaştırılmış ve dns servisi üzerine hizmet veren sunucu görevi örmektedir.
FortiAP : Klasik ap özelliği görmektedir , sadece fortigate üzerindeki forti ap controller panelinden yönetilir. AP sadece fortigate yapılarda kulalnılabilir , tek başına forti apler kullanılamaz. Çalışması için ethernet takıp ip alınması yeterlidir. Ondan sonra otomatik olarak controllera ( fortigate ) gelmektedir.
Aşağıdaki örnek huawei Ar 158 konfiği ile bir hauwei cihazın g.SHDSL Devre üzerinde nasıl sonlandırılacağını görebiliriz.
WAn : 172.16.20.40/30 20.42 benim taraf 20.41 getway
Lokal ip : 192.168.50.0/24
ve Loop : 192.168.80.24/32
sy sysname NEK_Mardin_AR158_RT # http server enable # drop illegal-mac alarm # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user nek password cipher nek123 local-user nek privilege level 15 local-user nek service-type telnet http # interface Vlanif1 ip address 192.168.50.1 255.255.255.0 # interface Virtual-Ethernet0/0/1 ip address 172.16.20.42 255.255.255.252 # interface Atm0/0/0 pvc 0/35 map bridge Virtual-Ethernet0/0/1 shdsl annex b # interface LoopBack0 ip address 192.168.80.24 55.255.255.255 # ip route-static 0.0.0.0 0.0.0.0 172.16.20.41 # user-interface con 0 authentication-mode password set authentication password cipher nek user-interface vty 0 4 authentication-mode aaa user privilege level 15 # Return Save Y
Aşağıdaki Kod bloğu ile cisco 3g routerlar özel bir APN’E dahil edilerek ip alması sağlanacaktır ,
cellular 0/0/0 gsm profile create 1 nEkvpn chap test test ipv4
Yukarıdaki komut bizim için önemli çünkü bu komut ile ile APNimizi kullanıcı adı ve şifremizi belirtiyoruz , Ben burda
APN : nEkvpn
K.Adı : test
şifre :test olacak şekilde bir yapılandırma yaptım .
cellular 0/0/0 gsm profile create 1 nEkvpn chap test test ipv4 conf t chat-script gsm "" "AT!SCACT=1,1" TIMEOUT 60 "OK" controller Cellular 0/0 interface Cellular0/0/0 no ip address ip virtual-reassembly in encapsulation slip load-interval 60 dialer in-band dialer pool-member 1 dialer idle-timeout 0 async mode interactive ! interface Cellular0/0/1 no ip address encapsulation slip ! interface Dialer1 ip address negotiated ip virtual-reassembly in encapsulation ppp dialer pool 1 dialer idle-timeout 0 dialer string gsm dialer persistent dialer watch-group 1 dialer-group 1 ppp chap refuse ppp pap refuse no cdp enable shutdown line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line 0/0/0 0/0/1 script dialer gsm no exec line vty 0 4 login local transport input all
BUuşekilde konfiğin çalıştığı test edilmiştir ,