Рынок сетевой безопасности окончательно как и СЗИ вцелом, перешел от модели «купил и забыл» к потреблению по требованию. FortiGate 100E, некогда рабочая лошадка офисов среднего размера, теперь переживает второе рождение. Благодаря партнерству с Selectel этот мощный аппаратный файрвол стал доступен как сервис. Вы больше не платите за «железо», вы платите за защищенный периметр.
Почему именно 100E не устарел
Модель FortiGate 100E построена на чипе SOC3 (System on Chip), который интегрирует специализированные процессоры: NP6Lite для ускорения сетевых операций и CP9Lite для криптографии. В отличие от программных роутеров (VyOS, pfSense), которые грузят CPU общими инструкциями, здесь вся обработка трафика идет по «быстрому пути» (fast path).
Это дает заявленные 4.4 Гбит/с на UDP 1518 байт и 7.4 Гбит/с чистого фаервола. Важный нюанс: в режиме сервиса от Selectel, вы получаете не просто «ящик», а настроенный экземпляр. Аппаратно здесь 16 портов GE RJ45 плюс два SFP-слота (медные порты 15 и 16 делят ресурс с оптикой - либо то, либо другое). Это не баг, а фича архитектуры, позволяющая экономить на лицензиях, используя SFP для магистрали, а медь - для legacy устройств.
Selctel FortiGate 100E:
Selectel предлагает FortiGate 100E в рамках концепции «Firewall-as-a-Service». Как указано в документации провайдера, в стоимость аренды входит не только стойка и питание, но и публичный IP-адрес, а так же базовая поддержка. Отличие от простого лизинга оборудования (который практикуют японские или европейские интеграторы) в том, что Selectel берет на себя апстрим и физическую целостность устройства.
Почему это выгодно? Потому что девайс был снят с производства (discontinued на CDW с июля 2023 года). Покупать EOL (End of Life) оборудование в собственность - плохая инвестиция. А арендуя его как сервис, вы получаете предсказуемый OPEX.
Провайдер берет на себя риск отказа железа. К тому же, для 100E критично наличие FortiCare 24x7. Если у вас сломается блок питания в собственной модели, вы ждете запчасти неделями. В дата-центре Selectel вам просто заменят шасси в течении часа по SLA.
FortiFlex и отмена подписки
Сервисная модель подразумевает использование механизмов лицензирования вроде FortiFlex. Fortinet официально включил серию 100E в программу гибкого лицензирования (как указано в анонсах Techzine). Это означает, что вы не покупаете «вечную» UTM подписку, которая привязывается к серийнику.
Вы покупаете FortiFlex Points - условные баллы. Когда Selectel поднимает для вас инстанс 100E, сервер списывает точки за каждый час работы активированных сервисов: IPS, Web Filtering, Antivirus, или просто за факт наличия HA-кластера. Вы можете включить «песочницу» (FortiSandbox Cloud) на время налоговой проверки, а на следующий день отключить, чтобы не платить. Технически это реализовано через API FortiManager, который синхронизирует потребление с AWS Marketplace или напрямую с биллингом Fortinet.
Честные Цифры Производительности (Без Маркетинга)
Смотрим на спецификации. Selectel в своей таблице указывает скромные 0.9 Гбит/с для угроз нового поколения (NGFW) и IPS. Это не ошибка, это реальность.
Вот как соотносятся цифры:
- Фаервол (7.4 Гбит/с): Только L3/L4 фильтрация без инспекции контента. Актуально для ядра маршрутизации.
- IPS (500 Мбит/с - 1.9 Гбит/с): Как только вы включаете поиск сигнатур, производительность падает кратно.
- SSL Инспекция (130 Мбит/с): Самое узкое место. 100E не умеет быстро расшифровывать трафик на лету без просадок.
Совет: Если вы арендуете 100E как сервис для офиса на 50 человек, никогда не включайте инспекцию HTTPS для всего трафика. Используйте политики исключения для API-вызовов и микросервисов, иначе пользователи возненавидят скорость работы.
Практические Кейсы и HA (Высокая Доступность)
В конфигурации сервиса важна пара "Master-Backup". FortiGate 100E поддерживает Active-Passive и Active-Active кластеризацию. Selectel позволяет арендовать две единицы в одном шасси или разных стойках.
Особенность 100E: тут есть выделенные порты HA1 и HA2. В сервисной модели попросите настроить их как прямые линки (без свичей между ними). Это снизит время переключения (failover) с 5 секунд до долей микросекунды, так как heartbeat пакеты не будут теряться в очередях коммутатора. Если ваш провайдер говорит "мы все сделаем через VLAN", спорьте и требуйте выделенный кабель.
Технические применения: Балансировка нагрузки и VPN
При использовании FortiGate 100E как сервиса от Selectel, вы получаете не только фаервол, но и полноценный балансировщик нагрузки с аппаратным ускорением. Это критически важно для сценариев, где несколько бэкенд-серверов должны работать за одной точкой входа.
Балансировка нагрузки на ASIC
FortiGate 100E поддерживает балансировку HTTP, HTTPS, IMAPS, POP3S, SMTPS, SSL, а так же низкоуровневых TCP/UDP протоколов. Благодаря чипу NP6Lite, операции SSL Offloading выполняются не на общем CPU, а на выделенном криптопроцессоре. Это значит, что при включении балансировки HTTPS, 100E может обрабатывать шифрование без падения производительности до нуля.
Режимы SSL Offloading на 100E:
- Half mode: Клиент ↔ FortiGate шифруется, FortiGate ↔ сервер идет в открытом виде. Дает максимальную скорость (до 250 Мбит/с).
- Full mode: Оба сегмента шифруются, но с сокращенными handshake. Медленнее, но безопаснее для PCI DSS сред.
Методы распределения трафика: round-robin, weighted (с весами для разных серверов), least-session (отправляем на самый свободный сервер), least-rtt (учитываем задержку ping), first-alive (активный-пассивный режим для бэкапа).
Health Check (проверка живости): Можно настроить проверку не просто по ICMP ping, а по HTTP статусу - например, отправлять GET запрос на /index.html и искать там фразу "Selectel". Если фразы нет, сервер автоматически исключается из пула. Интервал проверки, таймаут и количество ретраев настраиваются индивидуально.
Пример конфигурации из документации Selectel: На интерфейсе wan1 с IP 172.20.120.121:3080 принимаются HTTP запросы, которые распределяются между тремя веб-серверами во внутренней сети. Важный нюанс: в политике безопасности для работы виртуального сервера обязательно должен быть выставлен режим Proxy-based, иначе балансировка не включится. NAT при этом отключается, чтобы сервера видели реальные IP клиентов через заголовок X-Forwarded-For.
VPN концентратор и удаленный доступ
Еще одно ключевое применение - организация удаленного доступа сотрудников. 100E в аренде от Selectel может выступать как VPN-концентратор для Client-to-Site подключений.
Доступные технологии:
- SSL-VPN (рекомендуется): Работает через 443 порт, не блокируется в публичных сетях.
- IPsec IKEv2: Более производительный (до 4 Гбит/с на 100E), но требует настройки на клиентах.
- L2TP over IPsec: Для старых устройств.
Режимы SSL-VPN:
- Tunnel mode (с FortiClient): Устанавливается виртуальный адаптер, весь трафик шифруется. Можно включить split tunneling - тогда через VPN идет только трафик к корпоративной сети, а интернет-трафик остается прямым. Это экономит полосу на 100E, так как не нужно гнать YouTube через свой периметр.
- Web mode (без клиента): Доступ через браузер к веб-приложениям, RDP, SSH, FTP через виджеты портала. Не требует прав администратора на компьютере пользователя.
Настройка пула адресов: Для SSL-VPN необходимо выделить пул IP (например, SSLVPN_TUNNEL_ADDR1 по умолчанию), которые будут выдаваться клиентам. В документации Selectel указано, что эти адреса должны быть из приватного диапазона, не пересекающегося с основной сетью.
Сертификаты: Встроенный самоподписанный Fortinet_Factory вызывает предупреждения у пользователей. Рекомендуется загрузить собственный сертификат (и ключ к нему) через раздел System → Certificates → Import Local Certificate. CA сертификат (который подписывал серверный) тоже нужно загрузить, иначе проверка цепочки не пройдет.
Приватное объединение серверов через глобальный роутер
Технически важный момент: как подключить ваш арендованный 100E к другим серверам в инфраструктуре Selectel. Через глобальный роутер (Global Router) можно объединить выделенные серверы из разных пулов и даже серверы из A-DC (аттестованного дата-центра).
Процедура по шагам:
- Создать тикет в поддержку Selectel на подключение FortiGate к LAN с указанием номера устройства (в формате
inneXXX) и желаемого VLAN. - Организовать приватную сеть через глобальный роутер, привязав к ней и выделенный сервер, и FortiGate.
- На самом 100E создать интерфейс типа Software Switch, добавить в него физический порт, подключенный к серверу, и назначить IP из приватной подсети (например,
192.168.100.1/24). - Прописать статический маршрут в соседний сегмент через шлюз.
Что это дает: Вы получаете L3 связность между вашим файрволом и бэкенд-серверами, при этом весь трафик между ними может инспектироваться политиками 100E. Без этого сервера были бы изолированы в разных VLAN.
Технические характеристики FortiGate 100E
Для наглядного понимания возможностей устройства в формате сервиса, ниже представлена сводная таблица производительности по различным сценариям использования.
| Сценарий использования | Показатель (Гбит/с) | Рекомендуемая нагрузка (пользователи) | Аппаратное ускорение | Тип лицензии FortiFlex |
|---|---|---|---|---|
| Firewall (L3/L4) | 7.4 | 150-200 | NP6Lite | Base |
| IPsec VPN | 4.0 | 100-150 | CP9Lite | Base |
| NGFW (IPS + AppCtrl) | 0.9 | 30-50 | частичное | UTM |
| SSL Deep Inspection | 0.13 | 10-20 | нет (CPU) | Advanced |
| Concurrent Sessions | 2 млн | - | NP6Lite | - |
Да, 100E морально устарел. В 2025-2026 годах актуальны 40F, 60F и 80F на новой архитектуре NP7. Но у 100E есть козырь - цена ошибки. В сервисной модели от Selectel это самый дешевый способ получить честный ASIC-ускорение и 2 миллиона конкурентных сессий. Это идеальный «боец» для DDoS-зачистки на периметре или для VPN-концентратора (4 Гбит/с IPSec).