FortiGate 100F/200F-ты трафик бойынша таңдау: IPS, SSL тексеру, VPN және тестілеу
FortiGate 100F/200F-тың нақты трафигіне арналған практикалық есеп: IPS, SSL тексеруді және VPN-ді қалай ескеру керек және енгізуге дейін қандай тесттер жүргізу қажет.

Мәселе: нақты периметрге 100F немесе 200F таңдау
Даташиттегі цифрлар пайдалы, бірақ олар «идеал шарттардағы максимумды» көрсетеді. Нақты периметрде трафик теңшелмеген: көп қысқа сессиялар, «ауыр» қосымшалар және қосылған IPS, сүзгілеу, TLS/SSL тексеру мен VPN болады. Сондықтан FortiGate 100F/200F-ты сайлау нақты өлшемдер мен қосылатын функцияларды ескере отырып жүргізілуі тиіс. Әйтпесе «паспорт бойынша» модель сатып алып, пиктерде қиындыққа тап болуыңыз мүмкін.
Маңыздысы — неге сипаттамаларда әртүрлі мәндер көрсетіледі: Firewall throughput, IPS, Threat Protection, SSL inspection. Бұл төрт жолмен бір нәрсені өлшеу емес, әртүрлі жұмыс режимдері. Қарапайым маршрутизация мен ережелер бойынша сүзгілеу терең өңдеуді аз талап етеді. IPS пен Threat Protection пакеттер мен сессияларды анализдеуді қосады. SSL inspection қосымша шифрді ашып, қайта шифрлап, ресурстарды жиі ең көп қолданады. VPN криптографияны қосып, жалпы гигабиттен бұрын шифрлауға ушығуы мүмкін.
Шектеуші фактор әдетте бір ғана параметр емес, бірнеше факторлардың үйлесімі: IPS/SSL inspection кезінде CPU/ASIC жүктемесі, көп бірдей уақытта ашылған сессиялардың жадыны тұтынуы, көп VPN-пайдаланушылар мен туннельдердегі шифрлаудың өнімділігі, сондай-ақ физикалық интерфейстер мен олардың жүктемесі (мысалы, бірнеше желілер агрегатталған кезде).
Бизнес недосайзды Mbps жетіспеу ретінде емес, мынадай көріністер арқылы көреді:
- шоғыр уақыттарда веб-сервистер мен корпоративті қосымшаларда айтарлықтай кешігулер
- VPN үзілістері мен «жылжымалы» жылдамдық жайлы шағымдар
- инспекция қосылғанда беттердің ашылу уақытының ұзаруы
- сессия кестелерінің толуынан байланысты қате қосылыстар
- қауіпсіздік саясаттары бойынша мәжбүрлі компромистер (тексеру жылдамдық үшін өшіріледі)
100F пен 200F арасындағы таңдаудың мақсаты қарапайым: қажетті функцияларды пик пен өсімді ескере отырып қамтамасыз ету, қорғанысты өнімділік үшін әлсіретпеу.
Есептеу алдында қандай трафик деректерін жинау керек
Нақты FortiGate 100F/200F sizing даташиттен емес, периметрден өтетін нақты трафикті өлшеуден басталады. Мықтысы — неше гигабит ғана емес, ол трафик қандай, қашан пайда болатыны және қай функцияларды қосатыныңызды түсіну.
Бастапқыда дерек көздерін анықтаңыз. Оңай нұсқа — қазіргі FW немесе роутердегі статистика (WAN-интерфейстер, VPN, негізгі ережелер). Мұндай құрылғы жоқ немесе деректер толық емес болса, қысқа мерзімді өлшеу үшін коммутатордағы портты зеркальдау (SPAN) пайдалы. Ұзақ мерзім үшін NetFlow/sFlow роутерде немесе L3-коммутаторда жақсы. Екі дерек көзі болғаны жақсы: бірі жалпы картинаны береді, екіншісі пиктерді растауға көмектеседі.
Жинау барысында бір мән емес, бірнеше интервал жинаңыз. Орташа мән фонды түсіндіру үшін пайдалы, бірақ модель таңдау үшін 95-процентиль және жұмыс уақытындағы қысқа пиктер маңызды. Түнгі терезелерді: бэкаптар, жаңарту, синхрондау және репликацияны бөлек белгілеп қойыңыз.
Одан кейін ағымдарды мақсатқа қарай бөлшектеңіз. Бірдей көлемдегі трафик құрылғыға әр түрлі әсер етуі мүмкін — мысалы, SSL inspection-мен веб пен филиалдық туннельдер. Бастапқы картина үшін әдетте мына топтар жеткілікті: интернет (web/SaaS/пошта/мессенджер/видеобайланыс), филиалдар арасы (site-to-site VPN), бұлт (IaaS/PaaS, резервті орындар, RDP), техникалық терезелер (жаңартулар мен бэкап), кіретін жарияланымдар және қашықтықтан жұмыс.
FortiGate 100F/200F сайлауын 6 ай ішінде ескеру үшін емес, 12–18 айға жоспарлаңыз: пайдаланушылар санының өсуі, жаңа филиалдар, бұлтқа көшу, VDI енгізу, EDR/NDR, шифрланған трафиктің үлесінің ұлғаюы.
Сондай-ақ критикалық қосымшалар тізімін және олардың кешігу мен жоғалтуға сезімталдығын жазып қойыңыз. Бухгалтерия мен ERP кешігуге салыстырмалы төзімді болуы мүмкін, ал дауыстық байланыс, видеоконференциялар мен виртуалды жұмыс үстелдері мәселені дереу көрсетеді. Бұл қосымшалар кейінгі жүктеме сынақтары мен қабылдау критерийлерінің негізі болады.
Жылдам бағалау: функциялар, порттар және өсімге сыйымдылық
Терең санауға кіріспестен бұрын қарапайым FortiGate 100F/200F бағалауы пайдалы. Ол құрылғының рөлі, қосылатын функциялар және физикалық қосылым бойынша жаман таңбаларды тез анықтайды.
Алдымен рөлді анықтаңыз. Егер ол тек интернет-периметр болса, есептеу қарапайым. Ал егер ішкі сегменттер бойынша сүзгілеу жоспарланса (офис, серверлік, DMZ, филиалдар), жүктеме «берекесіз» болады: ережелер, сессиялар және трафик бағыты көбейеді.
Содан кейін функциялар матрицасын жинап, не үнемі қосылатынын және ненің тек бөлікте болатынын белгілеңіз. Бұл маңызды, өйткені SSL inspection пен IPS әдетте негізгі firewall мен NAT-тан әлдеқайда көп өнімділік талап етеді.
Алғашқы жуықтау үшін жеткілікті: IPS (профильдің қатаңдығы), антивирус/антибот веб пен пошта үшін, web filter (барлығына немесе таңдап), SSL inspection (толық немесе таңдамалы), VPN (site-to-site және қашықтағы пайдаланушылар).
Содан кейін екі жақтағы пиктік жылдамдықты бағалаңыз. «Шарт бойынша канал» емес, нақты пик (мысалы, 600 Мбит/с download және 200 Мбит/с upload). 20–30% өсім және «нашар күндерге» (жаңартулар, бэкап) резерв қосыңыз. Егер кейбір функциялар таңдамалы түрде қосылса, тексерілетін трафиктің үлесін бағалаңыз.
Интерфейстер мен топологияны тексеріңіз: 10G аплинк қажет пе, LACP керек пе, резервтеу үшін қанша физикалық желі, HA жұп қолданасыз ба. Кейде модель есептеу жағынан жараса да интерфейстерге байланысты шектеледі.
Мысал: ұйымда 1G интернет, пик 700 Мбит/с, бірақ толық SSL inspection тек қызметкерлер веб-трафигінің 40%-ына қажет, VPN — бірнеше филиал мен 100 қашықтағы пайдаланушыға арналған. Алдымен әр түрлі функциялары бар бірнеше ағымды ескерген жөн.
Өлшенген трафик бойынша қадамдық әдіс
Өлшеу нүктесін болашақ периметрге ең жақын жерден бастаңыз: интернет аплингі, провайдермен шекара, сыртқа шығатын ядро. Онда нақты пиктер көрінуі тиіс, «ыңғайлы» коммутатордан алынған орташа статистика емес.
Содан базаны инспекциясыз алып, «таза» желі жүктемесі мен сессияларды анықтаңыз. Мінімум жазып алу керек:
- пиктік жылдамдық және 95-процентиль (кіріспе және шығыс жеке)
- PPS (секундаға пакеттер) пикте
- жаңа сессиялар/секунда
- бір уақытта ашық сессиялар
- пакеттер өлшемінің таралуы (мүмкін болса)
Одан кейін трафикті бағыттар мен қосымшалар бойынша бөліңіз. Әдетте қарапайым топтар жеткілікті: пайдаланушылар — интернет, кіріс жарияланымдар, филиалдық алмасу, бұлт, видеосервистер, пошта, жаңартулар. Мақсат — қай жерде көп қысқа сессия, қай жерде ұзақ поток және қай жерде пиктер болатынын түсіну.
Енді TLS/SSL тексеруден өтетін трафик үлесін бағалаңыз. Барлық HTTPS-ты ашып тексеру мәні болмауы мүмкін: кейбір сайттар саясат бойынша ерекшелікке алынуы тиіс, кейбір қосымшалар дәл бапталмаса жұмысын жоғалтуы мүмкін. Мысалы, егер веб-трафиктің 40%-ын тексеруді жоспарласаңыз, осы бөлік CPU/crypto жүктемесінің негізгі кандидаты болады.
Содан соң IPS пен басқа профильдер қабылдайтын трафик үлесін бағалаңыз (AV, web filter, application control). Жиі практика: пайдаланушы интернетіне толық профильді қосады, ал резервтік бэкап пен үлкен жүктеулерге жеңіл саясат қояды.
Нәтижеде 100F/200F үміткерлерін таңдап, тесттерге болжамдар құрыңыз: модель PPS-ті ұстайды ма, сіздің сайттар жиынтығында SSL inspection қанша береді, таңертеңгі жұмыс басталуда жаңа сессияларға шыдау бар ма.
IPS: жүктемені қалай бағалау және профильді дұрыс таңдау
Sizing-тағы қате көбінесе «жағыдайда IPS-ты қосамыз» деген сөйлемнен басталады. IPS нақты саясатта жұмыс істейді: қандай профиль таңдалды, қандай сигнатуралар белсендірілген, сенімді сервистерге ерекшеліктер бар ма, әр сегмент үшін қаншалықты қатал өңдеу қажет — осы бәрі маңызды.
FortiGate 100F/200F sizing үшін «гигабит»тан гөрі трафиктің пакет пен сессия бойынша сипаты маңызды. Екі 500 Мбит/с арна әр түрлі мінез көрсете алады: біреуі ұзақ потоктардан (видео, бэкап), екіншісі қысқа сұраулардан (веб, API) тұруы мүмкін. IPS екіншісін қиын сезінеді.
Ресурстарға бірінші қарайтын метрикаларға назар аударыңыз:
- PPS (пакеттер/сек), әсіресе пиктерде
- New sessions/sec (жаңа сессиялар жылдамдығы)
- бір уақытта ашық сессиялар
- кішкентай пакеттер мен қысқа қосылулардың үлесі
- трафиктің саясаттар бойынша таралуы (қайда IPS қосылған)
Егер ішкі сегменттерді (East-West) сүзгілегеніңіз болса, оларды да бағалаңыз. Фаервол VLAN/сегменттер арасында «кететін түйінге» айналған сайын ішкі трафик сыртқы периметрден артық болуы мүмкін — бұл PPS пен new sessions/sec-ті ұлғайтады.
Профильдерді бір және сол трафикте тестілеу пайдалы: базалық (сигнатура минимум), ұсынылған (balanced), қатаң (барлық тексерулер). Мысалы, филиалда пилотта: күндіз базалық, кешке ұсынылған, кейде қатаң профиль қосып, кешігуді, CPU, PPS және қабылданбаған пакеттер санын салыстыру.
IPS жүктелгенде CPU-да IPS/scan өсімі, кезектер мен drop-тар, latency ұлғаюы, сессия таймауттары және қосымшалар деңгейінде симптомдар пайда болады. Егер мұндай белгілер тек «қатаң» профильде болса, көп жағдайда барлық трафикке қатаң профиль қоймай, нақты бағыттарда қосу және сенімді ағындарға ерекшелік беру жеткілікті.
SSL тексеру: өнімділік қайда азаяды және оны қалай ескеру
SSL inspection — жай ғана HTTPS-ты көру емес. Құрылғы арада тұрып: сертификатты ауыстырады, ағымды шифрдан ашады, оны AV/IPS/DLP/URL арқылы тексереді, қайта шифрлап жібереді. Ресурстар үшін ең қымбат бөліктер — шифрлау операциялары және вебке тән көп қысқа сессияларды өңдеу. Сондықтан FortiGate 100F/200F sizing-та SSL inspection жиі негізгі шектеуші болады, тіпті ашылмай тұрғанда канал «жұмсақ» болса да.
Режим мен ережелерді таңдап, «бәрін қосуға» бармаңыз
Практикалық түрде кемінде үш тәсілді бөлу керек: certificate inspection (сертификатты тексеру, ашпау), full inspection (толық ашып тексеру) және категория/домен бойынша ерекшеліктер. Certificate inspection көру мүмкіндігін береді және өнімділікке аз әсер етеді. Full inspection максималды бақылауды береді, бірақ ерекшеліктерді мұқият баптауды талап етеді.
Технологиялық түрде төлем және мемлекеттік сервистерді, медициналық порталдарды (саясат пен құпиялылық себептерімен), ОС жаңартулары мен ірі вендорлардың трафигін (жоғары өткізу, төмен пайдалы нәтиже, жалған срабатывания қаупі), видеостриминг пен CDN-тарды (жоғары өткізу, төмен құнды ақпарат) расшифровкадан шығару қисынды. Сондай-ақ certificate pinning қолданатын қосымшалар үшін ерекшеліктер қажет.
TLS үлесін қалай бағалап, тар шекті анықтау
Алдымен шығыс трафиктің қанша бөлігі TLS арқылы екенін және пикте жаңа сессиялардың қаншасын құрайтынын өлшеңіз. Клиенттердің түрін бөліп қараңыз: браузерлер, агенттік қосымшалар (EDR, пошта, бэкап), мобильді құрылғылар, қонақ Wi‑Fi. Олардың сертификат алмастыруға сезімталдығы және сессиялық сипаты әртүрлі.
SSL inspection «жіберіп алады» немесе тым қатаң ба деген алғашқы белгілер: вебте кешігулердің өсуі, кейбір қосымшаларда сертификат қателері, жүктеу жылдамдығының тұрақсыздығы, пайдаланушылардың «кейбір сайттар сирек ашылады» деген шағымдары. Мұндай белгілер жаңа TLS-сессиялардың пиктері және CPU/crypto жүктемесімен корреляцияланғанын тексеріңіз.
VPN: пайдаланушылар, туннельдер және шифрлауды есептеу
VPN жиі күтпеген жерден өнімділікті «жеп» қояды: маңыздысы — тіркелгі саны емес, солардың қаншасы бір уақытта белсенді, шифрлау түрі және пакет профильдері. FortiGate 100F/200F sizing үшін дереу сценарийлерді бөліңіз: site-to-site (филиалдар, бұлт, серіктестер), remote access (қызметкерлер, мердігерлер) және қоспа режим (екеуі бір уақытта пикте).
Есептеуді нақты фактілерге сүйеніп жасаңыз: қанша туннель бір уақытта ашық және шынайы қанша адам деректер жіберіп тұрғаны, тек тізімдегі сан емес. Мысалы, 300 тіркелгі VPN-де бірдей 300 белсендіге тең емес — пикте әдетте 60–120 белсенді болады және дәл осы сан шекті анықтайды.
Есептеу үшін не қажет
Бастапқыда бес кіріс шамасын алыңыз, оларды өлшеу оңай:
- VPN бойынша пиктік жалпы өткізу қабілеті (екі жақта), remote access пен site-to-site бөлек
- бір уақытта қосылған пайдаланушылар мен бір уақытта ашық туннельдер саны
- VPN ішіндегі трафик түрі (RDP, VoIP, файл, VDI): кішкентай пакеттер «ауыр» болады
- шифрлар мен режимдер (мысалы, AES-256 vs AES-128, IKEv2), қатаң саясат қажет пе
- өсімге резерв: жаңа филиалдар, мердігерлер, маусымдық пиктер
Шифрлар мен саясаттар CPU/ASIC жүктемесіне тікелей әсер етеді. Кең спектрдегі ауыр шифрлар мен жиі қайта қосылыстар (тұрақсыз байланыстар) жоспарланса, Mbps қоса өсуімен қатар сессия саны мен туннель орнату жылдамдығына да резерв қою керек.
Тесттерде нені өлшеу қажет
Енгізуден бұрын қағаздағы «максимумды» емес, нақты жүктеме кезінде қалай әрекет ететінін тексеріңіз:
- VPN бойынша нақты пиктік өткізу қабілеті және кішкене пакеттерде мінезі
- туннель орнату уақыты және қайта қосылу табыстылығы
- тұрақтылық: ұзақ жүктеме кезінде үзілістер жоқ па (1–2 сағат)
- кешігулер мен джиттер маңызды сервис үшін (дауыстық байланыс, VDI)
- CPU/жад жүктемесі және сессия кестелерінің өсуі
Практикалық сценарий: дүйсенбі таңертең 5 жаңа филиал қосылып, 80 қашықтан пайдаланушы белсенді болғанда туннельдер тез ашылмай, дауыстық байланыс нашарласа, модельде резерв жоқ немесе шифрлау тым ауыр болуы мүмкін.
Енгізуден бұрын өнімділік тестілеу жоспары
Жүктеме тест жоспары — «рекорд үшін» емес, таңдалған модель сіздің трафик профильіңізді ұстай ала ма екенін растау үшін қажет. Бұл FortiGate 100F/200F sizing кезінде IPS, SSL inspection немесе VPN қай жерде тарылып қалатынын анықтауға көмектеседі.
Минималды стенд және салыстыру ережелері
Қарапайым стенд жеткілікті, бірақ оның қайталанатын болуы маңызды. Әдетте трафик генераторы (немесе екі сервер түрі), тест клиенттер жиынтығы және «интернет» пен «LAN» үштен екі сегменті жеткілікті. Егер бірнеше провайдер болса, арналарды ауыстыру мүмкіндігі болсын.
Бастамас бұрын конфигурацияны бекітіңіз: FortiOS нұсқасы, қосылған профильдер мен саясаттар, шифр жиынтығы, лог деңгейі, қосылған UTM функциялары. Тесті барысында «біраз өзгерткенде» нәтижелер сәйкес болмай қалады.
Сценарийлер мен жүктемелер жиынтығы
Сценарийлерді қарапайымнан күрделіге қарай өткізіңіз, әр функцияның әсерін көру үшін:
- негізгі firewall — IPS және SSL жоқ
- firewall + IPS (нақты жоспарланған профиль)
- firewall + SSL inspection (өнімдегіше болатын ерекшеліктермен)
- VPN (IPsec/SSL) пайдаланушылар/туннельдер саны шынайы деңгейде
- "бәрі бірге" бір конфигурацияда
Тек орташа throughput емес, пиктердегі мінезін өлшеңіз. Қысқа жарылыстар (мысалы, резервтік қосу басталуы), аралас трафик (web, файл, DNS, жаңартулар) және ұзақ сессиялар (RDP, үлкен жүктеулер) қосыңыз. Жиі қате — бір потокпен тест жасап, жақсы көрсеткіштерге қуану; шынайы аралас трафик кезінде нәтиже төмендейді.
Тоқталысқа төзімділікті де тексеріңіз: құрылғы қайта жүктелсе, арна үзіліп қалса, провайдер ауысқанда не болады; егер HA жоспарланса — рөлдерді ауыстыру және сессияларды сақтау қажет пе, соны тексеріңіз.
Мысал: офисте 250 қызметкер бар және таңертең жаңартулар жүреді — 15 минуттық тестпен орташа мәннің 2–3 есе шарықтауына дейін созып, сонымен бірге 30–50 белсенді VPN-пайдаланушымен және қосылған IPS-пен тексеріңіз. Сол кезде кешігулер ұстап тұра ма, жаңа қосылымдар қателеспей ме — бәрі көрінеді.
Метрикалар мен қабылдау критерийлері: жететінін қалай түсінуге болады
Sizing «көзбен» емес, алдын ала келісілген цифрлар бойынша қорытынды беруі тиіс. Тестілеу нәтижелері модель жеткілікті ме деген жауап беру үшін критерийлер болғаны маңызды.
Тестілеу кезінде не жазып алу керек
Жүктеме мен пайдаланушы әрекеттерін бір уақытта өлшеңіз. Міндетті минимум:
- құрылғы бойынша және үдерістер бойынша CPU (IPS, SSL көрсеткіштері)
- жад және оның динамикасы (баяу өсім жоқ па)
- сессиялар: ағымдағы және пик мәндері, жаңа сессиялар жылдамдығы
- жоғалған пакеттер мен drop-тар, retransmits, интерфейс қателері
- кешігулер: орташа мен 95-процентиль негізгі бағыттар үшін
Қосымша маңызды — критикалық қосымшаларға арналған өткізу және кешігу өлшемдері. Жалпы throughput әдемі болуы мүмкін, бірақ пайдаланушылар VoIP немесе SSL inspection кезінде беттерді жүктеу баяулауы себепті наразылық білдіруі мүмкін.
Қабылдау критерийлері: қарапайым және тексерілетін
Критерийлерді «ішінде» және «деградациясыз» деп формулалап алу пайдалы. Практикалық жиын:
- пикте CPU мақсатты профильде 70–80%-дан жоғары болмауы (IPS + SSL + VPN), 100%-ға дейінгі «пилалар» болмауы
- пакеттер жоғалмайды (немесе алдын ала келісілген максимум, мысалы пикте 0,1% дейін)
- кешігу тұрақты: сессиялар өскенде және VPN қайта қосылғанда күрт секіріс жоқ
- VPN үзіліссіз жұмыс істеуі: қайта қосылулар, DPD, клиенттің желіні алмастыруы туннельді бұзбауы
- нәтижелер қайталанатын болуы: екі іске қосу ұқсас сандар береді
Әртүрлі режимдерді салыстыру пайдалы: негізгі саясат, ерекшеліктермен саясат (мысалы, кей бағыттарға SSL-ды қоспау), «қатаң» IPS профиль. Айырма қауіпсіздік үшін қанша ресурстық төленетінін көрсетеді.
Қысқа есепте 5 жол қалдырыңыз: функциялар профилі, пик трафик пен сессиялар, ең нашар метрикалар (CPU, потерялар, кешігу), не дереу продқа енгізілетіні және не кейінге қалдырылатыны. Мысалы: «SSL inspection офистік интернетке қосылады, ал видеоконференциялар үшін ерекшелік қоямыз, себебі пик кезінде кешігулер екі есеге өседі».
Sizing және жүктеме тесттеріндегі жиі қателіктер
Ең жиі тапсырма — бір даташит мәніне қарап модель таңдау. "Firewall throughput" көп жағдайды түсіндірмейді, егер сізде көптеген кішкентай пакеттер, қысқа сессиялар, IPS және TLS тексеру болса.
Қателер, олар «барлығы шыдайды» деген жалған сезім береді
Проблема көбіне Gbps-қа емес, сессиялар санына, PPS пен қосылған қауіпсіздік функцияларына байланысты туындайды. Не жиі бұзып қояды:
- тек Gbps салыстырып, PPS, CPS және бір уақытта сессияларды ескермейді
- SSL inspection-ты «бәріне» қосып, TLS үлесін өлшемейді
- бір үлкен тестпен «бәрін қостық» деп шығып, кейін қандай функция өнімділікті түсіргенін анықтай алмау
- фондық жүктемені есепке алмау: жаңартулар, бэкап, EDR сканерлері, репликация
- өсімге резервсіз жоспарлау
Жүктеме тесттеріндегі қателер
Тіпті жақсы есеп бір тест арқылы бұлыңғыр болуы мүмкін. Мысалы, бір поток iPerf арқылы жоғары мән алынады, ал өндірісте мыңдаған HTTPS-сессия, көп кішкентай сұрау және бірнеше VPN-туннель бар.
Тесті пайдалы ету үшін қарапайым ережелер: алдымен IPS пен SSL жоқ негізгі базаны өлшеңіз, сосын функцияларды бір-бірден қосып айырмашылығын тіркеңіз. Нақты профильді қайталаңыз (TLS үлесі, пакет мөлшері, клиент саны, ережелер саны, логтау). Алдын ала критерийлер қойыңыз: рұқсат етілген кешігулер, потерялар, CPU жүктемесі, сессиялар өсуі. Құқық қорғау мен ірі компанияларда жүйелік интегратордың тәжірибесі пайдалы — олар нақты статистиканы жинап, оны стендте қайталауды біледі, мысалы GSE.kz командасы.
Мөлшерлеу аяқталғаннан кейінгі чеклист және келесі қадамдар
Есептеулер дайын болғанда қысқа тексеріп шығу қажет. Тіпті мұқият sizing FortiGate 100F/200F SSL үлесі, нақты IPS саясаты немесе болашақ өсімді ескермей қалса, нәтиже нашар болуы мүмкін.
Сатып алу алдында қысқа чеклист арқылы жауаптарды жазбаша бекіту пайдалы (сәйкестікті қабылдауда көмектеседі):
- жұмыс уақытындағы пик трафик және «ауыр» бағыттар (интернет, филиал, бұлт)
- периметрде қосылатын функциялар: IPS, AV, WebFilter, AppControl, логтау
- HTTPS үлесі және SSL inspection сценарийі (толық, таңдамалы, ерекшеліктер)
- VPN: түрі (IPsec/SSL), пайдаланушылар/туннельдер саны, күтілетін пиктер
- 12–24 айға өсім резерві және жоспарланған өзгерістер (VDOM, сегментация, жаңа сервистер)
Егер модель «шамамен жетеді» деген белгілер болса, көбіне 200F қараған дұрыс. Типтік сигналдар: SSL inspection-қа түсетін трафиктің үлкен үлесі, есептелген шектіге жақын тұрақты пиктер, VPN пайдаланушылар санының өсуі, қатал IPS профильдеріне көшу және егжей-тегжейлі логтау.
Енгізу алдында маңызды — паспорт емес, тесттердің тәртібі мен қабылдау критерийлері. Стендте алдын ала сценарийлерді келісіп алыңыз (таза FW, сосын бір-бірден IPS, SSL inspection, VPN, логтау қосу), шынайы трафик профилі, қабылдау метрикалары (throughput, кешігу, потерялар, CPU/RAM, session count, туннель орнату уақыты), деградация шекаралары және қайтару жоспары.
Эксплуатация үшін негізгі көрсеткіштерді мониторингке қойыңыз (CPU, sessions, drops, crypto-жүктеме), FortiOS пен сигнатураларды жаңарту кестесін жоспарлаңыз, конфигурациялардың резервтік көшірмесін алыңыз және ережелер өзгерісінің тәртібін айқын анықтаңыз.
Әдеттегі келесі қадамдар: нақты трафикте қысқа пилот, финалдық конфигурация мен құжаттаманы бекіту, содан соң жоспар бойынша енгізу. Қажет болса, GSE.kz командасы (gse.kz) трафик өлшеуде, стендтік тестілеуде, енгізуде және 24/7 қолдауда көмектесе алады.