Laajamittainen Fortinetin palomuurien käyttöönotto
Tele, Ville (2022)
Diplomityö
Tele, Ville
2022
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2022100561137
https://urn.fi/URN:NBN:fi-fe2022100561137
Tiivistelmä
Tässä työssä tutkitaan eri tapoja konfiguroida ja käyttöönottaa suuri määrä Fortinetin palomuureja mahdollisimman helposti ja nopeasti. Normaalisti palomuurit esikonfiguroidaan ennen asennusta. Esikonfiguroinnin jälkeen laitteet lähetetään asennettaviksi asiakkaalle. Tämän jälkeen asentaja suorittaa asennuksen loppuun tarvittaessa konfiguroijan avustuksella.
Uusia tapoja käyttäen on mahdollista vähentää esiasennuksen tarvetta esimerkiksi fyysisen laitepääsyn osalta, jolloin ennakkon valmsiteltu konfiguraatio voidaan hakea asennuksen yhteydessä pilvestä. Parhaimmillaan tämä mahdollistaa asennuksen jopa ilman asentajaa, jos asiakkaalla on mahdollisuus liittää laite verkkoon.
FortiGaten Zero-Touch Provisioning toimi testeissä hyvin, ja mahdollisti nopean ja tehokkaan asennuksen verrattuna klassiseen tapaan suoriutua konfiguroinnista ja asennuksesta. Rajoitteina tässä toimi IP-osoitteen saanti operaattorilta DHCP:llä, sillä ilman sitä laite ei osaa yhdistää automaattisesti itseään internettiin, ja hakea omaa konfiguraatiotaan pilvestä. Lisäksi laitteen konfiguraation toimivuutta ei voida varmistaa, sillä se ajetaan palomuuriin vasta asennushetkellä. Tästä muodostuvaa riskiä voidaan kuitenkin hallita erilaisia pohjia hyödyntämällä.
Uusia tapoja käyttäen on mahdollista vähentää esiasennuksen tarvetta esimerkiksi fyysisen laitepääsyn osalta, jolloin ennakkon valmsiteltu konfiguraatio voidaan hakea asennuksen yhteydessä pilvestä. Parhaimmillaan tämä mahdollistaa asennuksen jopa ilman asentajaa, jos asiakkaalla on mahdollisuus liittää laite verkkoon.
FortiGaten Zero-Touch Provisioning toimi testeissä hyvin, ja mahdollisti nopean ja tehokkaan asennuksen verrattuna klassiseen tapaan suoriutua konfiguroinnista ja asennuksesta. Rajoitteina tässä toimi IP-osoitteen saanti operaattorilta DHCP:llä, sillä ilman sitä laite ei osaa yhdistää automaattisesti itseään internettiin, ja hakea omaa konfiguraatiotaan pilvestä. Lisäksi laitteen konfiguraation toimivuutta ei voida varmistaa, sillä se ajetaan palomuuriin vasta asennushetkellä. Tästä muodostuvaa riskiä voidaan kuitenkin hallita erilaisia pohjia hyödyntämällä.