Me han asignado desarrollar una solución para un cliente, y me gustaría usar Fortinet.
Nuestro modelo de entrega de servicios está diseñado para bancos y cooperativas de crédito; utilizamos DIA y SD-WAN para enrutar el tráfico de las sucursales hacia nuestros centros de datos y, dentro de ellos, les proporcionamos acceso a los servicios bancarios principales. El circuito hacia nuestros centros de datos tiene un total de 1G y la SD-WAN usa una solución Viptela heredada que está limitada a unos 240 M agregados. Después de enrutar entre sucursales y con los servicios bancarios principales, proporcionamos acceso a internet directamente desde los centros de datos, siendo el ingreso el punto de estrangulamiento: un SD-WAN compartido de 1 G y/o 240 M.
Dado que son bancos, sus políticas de uso aceptable (AUP) son bastante rígidas y el ancho de banda es adecuado para ellos. Como resultado, creo que el 100F en HA funcionará para el centro de datos primario, con un 90G en el centro de datos de respaldo (los centros de datos fallan completamente mediante BGP).
Me siento cómodo con esa selección de hardware, con una sola preocupación: usuarios de VPN de acceso remoto. El banco para el que estamos desarrollando una solución tiene 482 usuarios de VPN, y el año pasado, 430 de ellos se conectaron en algún momento. El 100F tiene un máximo de 500 usuarios.
Nunca he trabajado con un 'Gate que se sobrecargue de esta manera, y no sé qué esperar. ¿Cuál sería el impacto cerca de la capacidad? También sé que esto prácticamente no deja espacio para crecer en la base de usuarios de acceso remoto, pero si recuerdo bien, el siguiente paso es con un 600F, que es una solución mucho más cara.
¿WWr/FortinetD?
Gracias de antemano por cualquier orientación o experiencia anecdótica.
Te puedo decir que el siguiente paso no es hasta un 600F. Hay un 200F que sería el paso lógico más adecuado.
Estás llegando a los límites y estos límites siempre están en un entorno de laboratorio. No quiere decir que el 100F no pueda manejarlo, pero no deja mucho espacio para crecimiento, así que optaría por 200F en HA.
Eso depende del modo de VPN, si estás hablando de 500 usuarios máximos, supongo que es VPN SSL.
Debes tener en cuenta que la VPN SSL no se descarga, por lo que el impacto en la CPU será mayor.
Si solo usas el FortiGate 100F como puerta de enlace VPN, debería ser suficiente, aunque 482 no deja mucho espacio para crecer. Incluso como puerta de enlace independiente, optaría por un 400/401F (el 200F tiene el mismo límite de 500 túneles).
Si es una arquitectura compartida (borde de internet + VPN + otros usos), ve directamente a un 400F como mínimo. Ten en cuenta que los valores que ves en la hoja de datos y que parecen reales, no se prueban en combinación con otros casos de uso, y probablemente encontrarás que el límite inferior en un FortiGate con múltiples funciones.
Es mejor optar por un 400/401F, ya que podrás escalar.
Este es un post interesante. Estamos considerando integrar 1300 usuarios SSLVPN en el modelo 600E.
Casi el mismo entorno bancario. No tenemos tantos usuarios de VPN, pero en el pico de COVID, tuvimos que actualizar de un 100E a un 400E debido a los máximos de CPU por VPN y tráfico de sucursales. Suena a que el tuyo está más disperso, ya que todo fluía a través del gateway para los registros. El 400E es un poco excesivo para nosotros, pero no queríamos tener esos problemas muy dolorosos cuando el firewall entra en modo de conservación en un día ocupado. Además, si creas políticas con el gateway SSL, eso solo aumentará la carga de trabajo. He estado en un entorno bancario durante 4 años y puedo decir que si presentas el costo adicional como espacio para crecimiento y adquisiciones sin costos adicionales de infraestructura, normalmente aprueban rápidamente. También, cuanto más perfiles de seguridad puedas aplicar al tráfico, mejor para las auditorías. Por lo tanto, querría tener suficiente potencia para cubrir eso en el futuro.
Tienes razón - estaba pensando en el recuento de usuarios VPN principalmente porque el 100F es adecuado para mis necesidades de ancho de banda. El 200F tiene el mismo límite de usuario de 500. Malinterpreté la matriz y no me di cuenta de que el 400/401 es una opción. Eso podría ser el camino a seguir.
Gracias a todos por sus respuestas, esta es la orientación que necesitaba. La respuesta de u/chapel316 y la de ustedes me han reorientado. Estoy muy contento, porque discutiremos esto con el cliente el lunes y mi recomendación inicial, con esta información, nos habría puesto en una mala situación. Este banco es uno de nuestros clientes con más activos y necesitan una solución que funcione tal cual, sin inconvenientes en el futuro.
Será el dispositivo de borde de internet para ellos, incluyendo acceso VPN SSL a sus recursos corporativos. Tras leer esto y actualizar mi visión de la matriz de productos, no hay razón para no proponer el 400/401F en HA como el centro de datos primario, y un 400F en el centro de datos de respaldo. El primario es un centro de datos de nivel 4, así que en un mundo ideal, el de respaldo nunca verá tráfico.