Taller de Secure SD-WAN

Fortinet Secure SD-WAN 4D
Definir, Diseñar, Desplegar, Demo
Cristian Ulrich
Ingeniero Sr, de Desarrollo de Negocios
para Telcos y Proveedores de Servicios
en America Latina
culrich@fortinet.com
Nov, 2022
Agenda
Definir requisitos y componentes para soluciones SD-

1 WAN seguras
2 Diseño y dimensionamiento de la solucion de Fortinet
3 Despliegue y Demo
4 Herramientas adicionales
© Fortinet Inc. All Rights Reserved. 2

Definir requisitos y
componentes
La WAN tradicional afecta la productividad del usuario
• Creando obstáculos para las innovaciones digitales
Principales desafíos
IaaS
DC1 DC2
• Mala experiencia del

usuario
• Alto costo de enlaces
WAN
Office SaaS
• Operaciones complejas
SaaS Home
Fuerza de trabajo híbrida y falta de infraestructura

moderna

Las tendencias de transformación de la red
IP-Based Application Driven
Reactive Predictive Analytics
Manual Automated Operations
Work from Office Work From Anywhere

Soluciones SD-WAN seguras
Cuales son las metas?
✓ Conectar usuarios a aplicaciones
Internet
✓ Conectar aplicaciones a aplicaciones
SaaS
✓ Conectar usuarios con usuarios
Public Cloud
Applications
✓ Funciones de seguridad integradas
¡Hemos estado persiguiendo estos

mismos objetivos desde la invención
de la red!
HQ Branch
Datacenter Office

La Visión de Fortinet
Network Security
Operations Operations
Security-Driven Cloud
Networking Security
Access &
Endpoint
Security
FortiGuard
Threat
Ofrecer protección Intelligence
empresarial y mejorar
la experiencia de
usuario en cualquier Secure
Networking
Open
Ecosystem
perímetro
Network Security

Consolidación de proveedores de productos puntuales
Gartner Cybersecurity MESH Architecture (CMSA)
Cybersecurity Point Products Cybersecurity Platform Approach
SIEM / SIEM /
SOAR SOAR
DLP EASM DLP EASM
IAM CASB IAM CASB
XDR EMAIL XDR EMAIL
EPP EPP
SIEM WAF WAF
EDR EDR
ZTNA CWP ZTNA CWP
NAC vFW NAC vFW
LAN SWG LAN SWG

NGFW NGFW
20 Vendors 4-6 Platforms

La red impulsada por la seguridad
La próxima era de convergencia de redes y seguridad
Cloud
ASIC/Appliance
Seguridad flexible, en cualquier lugar y en

cualquier momento
La red impulsada por la Seguridad de Fortinet
Único proveedor que proporciona seguridad certificada consistente en todos los perimetros
FortiGate VM
Public /
Private
Cloud
Secure WLAN/LAN Secure SD-WAN

WAN
Edge Cloud
LAN Edge WAN Edge Secure Access Service Edge
Edge
Data Center
FortiAP FortiGate Edge
FortiGate HW
FortiSwitch FEX (LTE) FortiGate VM

Transformación digital para la sucursal MPLS Overlay
Internet Overlay
empresarial Internet
LAN
Multi-Cloud
Internet
Branch Office
Private Cloud
Provisioning Threat SIEM & Fabric

Server Intelligence Analytics Management
Center
Branch Office
MPLS
• WAN Path Controller • Next Generation Firewall (NGFW)

• Application Awareness • Multi-Transport Support
• Zero Touch Deployment • Centralized Management
• Device Consolidation • Single-Pane-of-Glass Monitoring
• Improved WAN Link Performance • Identity-Based Policy
• Dynamic Application Distribution • Service Level Agreements (WAN Metrics)
• WAN Optimization • Traffic Shaping & Policing

Internet Overlay
Sitios corporativos con banda ancha redundante Internet

LAN
Dos proveedores de servicios de Internet, Acceso directo a Internet

Multi-Cloud
ISP1 Internet
Private Cloud
Branch Office

Center
• WAN Path • Next Generation

Controller Firewall (NGFW)
• Application • Multi-Transport
Awareness Support
ISP2 Internet
• Zero Touch • Centralized
Deployment Management Branch Office
• Device • Single-Pane-of-Glass
Consolidation Monitoring
• Improved WAN Link • Identity-Based Policy
Performance • Service Level
• Dynamic Agreements (WAN
Application Metrics)
Distribution • Traffic Shaping &
• WAN Optimization Policing

Conectividad redundante por red Movil Internet Overlay
Internet
LAN
Banda ancha con acceso directo a Internet LTE

Multi-Cloud
Branch Office
Internet
Private Cloud

Center

• Application Awareness • Multi-Transport Support
• Improved WAN Link • Identity-Based Policy
Performance • Service Level Agreements (WAN
• Dynamic Application Metrics)
Distribution • Traffic Shaping & Policing
• WAN Optimization

MPLS Overlay
SD-WAN con túneles dinámicos ADVPN Internet Overlay
Internet
LAN
Multi-Cloud
Private Cloud
Internet
Center Branch Office
ADVPN
Shortcut
MPLS

• Application Awareness • Multi-Transport Support Branch Office
• Improved WAN Link Performance • Identity-Based Policy
• Dynamic Application Distribution • Service Level
© Agreements
Fortinet Inc. (WAN Metrics)
All Rights Reserved. 14
• WAN Optimization • Traffic Shaping & Policing
Componentes de la solucion SDWAN
SD-Branch Segura administrada
FortiAnalyzer
1. CPE SD-WAN Logging & Analytics
FortiManager Multi-tenant w/ ADOMs
FortiGate Management Plane
SD-WAN, Routing, Security, WiFi Controller, and Multi-tenant w/ ADOMs
LAN switch controller in the same platform.
World’s only ASIC Accelerated FortiPortal
SD-WAN. +5K Apps recognition Customer Self Service Portal
Multi-tenant aggregate
FortiCare visibility and control
Tech Support, Reliable Assistance,
Global Support Centers, App updated
Signatures
FortiGuard
Enterprise class security
services across the kill chain (Industry-leading
Threat Intelligence)
3. Dispositivos de acceso
LAN
FortiAP
Large portfolio of access points including WiFi6
capability
FortiSwitch
Large portfolio of LAN switches to extend the reach of
the FortiGate
2. Plataforma Centralizada
Diseño y dimensionamiento
de la solución SD-WAN
segura
Elementos Principales
CPE de Perimetro
FortiGuard
✓ Dispositivo Fortigate totalmente

funcional implementado en las
Advanced
Stateful Firewall instalaciones del cliente
NETWORKING
Routing
SSL Inspection
✓ Amplia selección de opciones de
SECURITY
WAN
Remediation
conectividad, la mejor para cada sitio
QoS VPN ✓ Inteligencia distribuida
Web Filtering
Fortigate ✓ Mediciones de salud
SD-WAN
✓ Protocolos dinámicos
SD-Branch
AntiMalware
✓ Desarrollado por FortiGuard
IPS

¿Qué hay dentro de un FortiGate? SPUs
Procesadores específicos
Network Processor Content Processor System on a Chip

(NP) (CP) (SoC)
• Proposito especifico • Proposito especifico • chip Integrado
• Firewall & crypto offloading • UTM & crypto offloading • CPU, NP and CP
• Implementa funcione simples • Funciones complejas y de
recursos intensivos
• Vinculado a interfaces
• No vinculado a interfaces

Evolución de los procesadores de seguridad de Fortinet
6 7 9
2 4 7
1 4
2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016.. 2019 2020

Introduciendo el primer ASIC para SD-WAN
Habilitación de la transformación digital para el perímetro WAN empresarial
SD-WAN Ultra Rapido La major seguridad de

su clase
Enrutamiento de aplicaciones más
rápido de la industria para Habilita la mejor SD-WAN
operaciones de negocios certificada y seguridad con alto
eficientes rendimiento
Simple de usar Habilitado para SD-

Branch
La mejor experiencia de usuario Extensión de seguridad acelerada
con WAN acelerada y con a la capa de acceso para permitir
capacidad de respuesta la transformación de SD-Branch

Portafolio de alto rendimiento impulsado por SD-WAN ASIC
01 Oct 2019
FGT 60F
Integrando SD-WAN
03 July 2020
FGT 80F
Múltiples factores de forma,
05
con el NGFW mas incluidas las interfaces de
vendido de la industria bypass
Apr 2019 Feb 2020 Oct 2020

FGT 100F FGT 40F FGT 200F
Primer ASIC de la Opciones de despliegue Ideal para grandes
industria para
SD-WAN 02 flexibles para SMB
04 despliegues globales.
Múltiples variantes
para cada
implementación Built-in LTE Built-in Wireless Built-in POE Built-in Bypass

Comparando con el resto de la Industria
FortiGate Security Palo Alto

Industry Checkpoint Cisco Meraki Sophos SonicWall
Specification 60F (SOC4 Compute Networks
Average SG-1550 MX67 XG125 TZ400
ASIC) Rating1 PA-220
Firewall 10Gbps 2.05Gbps 5x 0.5Gbps 1Gbps 0.45Gbps 7 Gbps 1.3 Gbps
IPsec VPN 6.5Gbps 0.8Gbps 8x 0.1Gbps 1.3Gbps 0.2Gbps 1.5 Gbps 900 Mbps
IPsec GW to GW
tunnels
200 537 - - - 50 - 20
Threat
prevention
0.70Gbps 0.38Gbps 2x 0.15Gbps 0.45Gbps 0.3Gbps 400 Mbps 600 Mbps
SSL Inspection
0.75Gbps 0.14Gbps 5x 0.065Gbps - - 170 Mbps 180 Mbps
Concurrent
Sessions
700,000 80,000 9x 64,000 500,000 - - 125,000
Connections per
second
35,000 8,000 4x 4,200 14,000 NA - 6,000
1. Security Compute Rating: Benchmark (performance multiplier) that compares FortiGate NGFW performance vs the industry average of competing products across various categories that fall within the same price band

SD-WAN segura para todos los tamaños de sucursales
Ancho de banda WAN sin restricciones y aprovisionamiento Zero Touch
Remote Office / Home Small Branch Medium Branch
FortiGate / FortiWiFi 40F Series FortiGate / FortiWiFi 80F Series

FortiGate / FortiWiFi 60F Series
3G/4G, WiFi Storage, WiFi Storage, Bypass, WiFi

WAN VPN Throughput 4.4 Gbps WAN VPN Throughput 6.5 Gbps WAN VPN Throughput 7.5 Gbps
Application Control Throughput: 990 Mbps Application Control Throughput: 1.8 Gbps Application Control Throughput: 1.8 Gbps
Large Branch Very Large Branch Private and Public Cloud
FortiGate 100F Series FortiGate 200F Series FortiGate VM
Storage Storage
WAN VPN Throughput 11.5 Gbps WAN VPN Throughput 13 Gbps
Application Control Throughput: 2.2 Gbps Application Control Throughput: 13 Gbps

Elementos Principales Fortigate totalmente
HUBs funcional
MSSP VDOM A VDOM B

Premises
Customer
Premises
Customer A Customer B Customer A Customer B
Customer A Customer B
Opcion 1: Opcion 2: Opcion 3:

✓ Desplegado en premisas del ✓ Desplegado en premisas del ✓ Desplegado en premisas del cliente
MSSP MSSP ✓ Diseño comun en ambiente
✓ Multitenant (VDOM por Cliente) ✓ Dedicado por cliente, tipicamente empresarial
FGT-VM
Modelos para Hub / HQ de SD-WAN Seguro
Con una interfaz de usuario y flujos de trabajo coherentes independientemente del modelo
Mid-Range Appliance High-End Appliance High-End Chassis

FGT 100 – 600 Series FGT 1000 – 6000 Series FGT 7000 Series
100F & 200F
SOC Based
CPU CPU
CPU
400F & 600F

Network Processor CPU CPU
Content Processor Nx Nx Nx
Blades
Network Processor CPU Content Processor

SD-WAN, una funcionalidad intrinseca de FortiOS
Policy Engine Automation Engine Logging & Reporting Monitoring & HA Orchestration API Connectors
WAN Interface
Controller
4G/5G
Security
Identity
LAN & Device Controllers
WiFi
Web San SSL
Authentication AV IPS Botnet URL IoT OT IPAM
security Inspection
Token DSL
SAML Content Processor Accelerated
Switch
Networking
WAN Path
Controller
Network
Security
Endpoint
Firewall Segmentation VPN SSL VPN DDoS CAPWAP Switching
Routing CGNAT Proxy
(VXLAN)
SD-WAN
NAC Network Processor Accelerated Network Processor Accelerated
Abstraction layer
NP + CP
Licenciamiento para FortiGate
Appliance Virtual
SD-WAN no requiere licencia ni subscripcion Machine
Cloud
1 2 3
Hardware or Base License FortiCare (Support) FortiGuard Subscription
HW Based FortiCare (1,3,5 year) À la carte features
Advanced
Web and Security
Malware IPS
Permanent FortiCare (1,3,5 year) Video Filter
Protection
Rating
Virtual
Subscription
Included with the Security Bundles
subscription
Cloud Based Included in PAYG Model ATP UTP Enterprise

Subscripciones de Seguridad para FortiOS
FortiConverter Service ●
FortiGuard IoT Detection Service ●
FortiGuard Industrial Service ●
FortiGuard Security Rating Service ●
FortiGuard Anti-Spam Service ● ●

FortiGuard Web & Video1 Filtering Service ● ●
FortiGuard Advanced Malware Protection (AMP) - Antivirus, Mobile
Malware, Botnet, CDR, Virus Outbreak Protection and FortiSandbox ● ● ●
Cloud Service
FortiGuard IPS Service ● ● ●
FortiCare (incl. FortiGuard App Control Service) ● ● ●
FortiCare (incl. Internet Service DB, Client ID DB, IP Geography DB) 24x7 24x7 24x7
Advanced
Unified Threat Enterprise
Bundles Threat
Protection Protection
Protection
1, Available when running FortiOS 7.0

Elementos Principales FortiManager + FortiAnalyzer
Fabric Management Center
ADOM A ADOM B
ADOM A ADOM B
MSSP Premises
or Public Cloud
Customer A Customer B Customer A Customer B Customer A Customer B
Option 1: Option 2: Option 3:

✓ Desplegado en premisas del MSSP ✓ Desplegado en premisas del MSSP ✓ Desplegado en premisas del
✓ Multitenant (ADOM por Cliente) ✓ Multitenant (ADOM por Cliente) MSSP o en nube publica
✓ Cliente con acceso a su ADOM ✓ Cliente con acceso a FortiPortal o a Portal ✓ Dedicado por Cliente
de autogestion desarrollado in-house
FortiManager
Herramienta de administración centralizada para cualquier tamaño de

proyecto, desde unos pocos hasta miles de dispositivos
Fácil configuración centralizada,

aprovisionamiento basado en políticas,
administración de actualizaciones y
monitoreo de red de extremo a extremo
Segregar la administración de grandes

implementaciones con ADOM
Panel único que gestiona más que solo

los firewalls
Soporte de scripts y automatización con

API JSON/XML con sistemas externos

Licenciamiento para FortiManager
Appliance Virtual Hosted Cloud
Machine
1 HW or Licensed Resource
2
FortiCare (Support)
(Device / VDOM)
HW Based
FortiCare (1,3,5 year)
Permanent
Virtual
Subscription VM Resources Subscription

(Includes FortiCare)
Cloud Based Per-FortiGate Subscription


FortiAnalyzer
Machine
Registro, informes y análisis desde múltiples dispositivos Fortinet
Búsqueda centralizada e informes
Vistas históricas y en tiempo real de la

actividad de la red
Escanea los logs de seguridad

utilizando la inteligencia de FortiGuard
IOC para la detección de Amenazas
Persistentes Avanzadas
Gestión de eventos ligera
Integración perfecta con el Security

Fabric

Licenciamiento para FortiAnalyzer
Machine
1 HW or Licensed Resource
2
FortiCare (Support)
(GB/Day and GB Storage)
HW Based
FortiCare (1,3,5 year)
Permanent
Virtual
Subscription VM Resources Subscription

Cloud Based Per-FortiGate Subscription


Topologia SD-WAN/ADVPN Basica
Bloque de arquitectura principal – Hub-and-Spoke
• El Hub actúa como un concetrador de túneles

IPSEC para los spokes, con un túnel del tipo
dialup o dinámico independiente para cada
conexión underlay
• Los Spokes establecen peering de IBGPcon el
Hub, publicando sus redes y prefijos locales.
• El Hub actua como Route Reflector de

BGP, redistribuyendo los prefijos a todo el
resto de los Spokes
• El Hub facilita la operacion de los tuneles
dinamicos ADVPN

Flujos de Trafico
Trafico Corporativo con ADVPN
• El trafico corporativo entre sitios utiliza las

rutas IBGP como soporte, pero aplica
reglas de SD-WAN para seleccionar el
major camino
• ADVPN crea de forma dinamica y bajo

demanda los tuneles entre sitios remotos
(Spoke-to-Spoke shortcuts) para la
comunicacion directa.

Flujos de Trafico
Acceso Directo a Internet (DIA)
• A menudo, esta es la opción preferida

para acceder a Internet (incluyendo
SaaS): el tráfico sale a Internet
directamente desde el Spoke.
• La seguridad se aplica directamente en

el Spoke, sin compromisos y sin
necesidad de hacer backhaul del tráfico
en cualquier lugar.
• Se pueden usar uno o más enlaces

underlay, dependiendo de la
conectividad disponible en cada sitio

Flujos de Trafico
Acceso Remoto Internet (RIA), DIA + RIA Hybrid
• En algunos casos, es posible que se desee

realizar backhaul del tráfico de Internet a
través del Hub.
• También es común combinar DIA + RIA

•

Extendiendo el diseño SD-WAN/ADVPN
Doble Hub
• El bloque de construcción básico casi

siempre se expande a la versión Dual-Hub.
• Cada Hub define sus propios overlays.
• Los Spokes establecen la interconexión

IBGP con cada Hub
• Ambos Hubs actúan independientemente

como route’reflectors de BGP
• Los Hubs actuan como Primario/Backup

para ADVPN

Extendiendo el diseño SD-WAN/ADVPN
Multiple Regiones
• A medida que crece el número de sitios, puede ser razonable definir varias regiones.
• Cada región es un bloque independiente Hub-and-Spoke (como se describio hasta ahora)
• Las regiones están interconectadas por túneles Hub-to-Hub con EBGP para el intercambio de rutas
• Opcionalmente, se puede habilitar ADVPN interregional, lo que permite accesos directos entre spokes de diferentes
regiones
INET
MPLS

Consideraciones de Diseño adicionales: HA
Modelos para Alta Disponibilidad con SD-WAN
Standard Router Direct Hardware SW VRRP

Internet MPLS Internet MPLS
Internet MPLS Internet MPLS Internet
Optional
FortiExtender
▪ Config & Sessions synced ▪ Dynamic routing

▪ FortiGate & Links fail requirement
▪ FortiGate redundancy ▪ FortiGate redundancy
combined ▪ FortiGate & Links fail
▪ Config & Sessions synced ▪ Config & Sessions synced combined
▪ Greater complexity to
▪ Upstream switch ▪ Upstream L2 switch troubleshooting ▪ Config synced from
requirement elimination FortiManager
FGCP – FortiGate Clustering Protocol

Consideraciones para el Dimensionamiento
Tres pilares a tener en cuenta en nuestro dimensionamiento y diseño
Business Cloud Adoption Network

Application Simplification

Preguntas para perfilamiento de clientes
Experiencia en aplicaciones de Negocio
• Cuántas aplicaciones de negocio tiene su empresa?

• Cuáles son las aplicaciones críticas para su empresa?
• Cómo afecta a su negocio si alguna de sus aplicaciones críticas falla o la conectividad se
degrada?
• Cómo es la experiencia de los usuarios de las sucursales al conectarse a la red?
• Qué porcentaje del tráfico corresponde a VoIP / Audio / Video?
Objetivo: Mejorar la experiencia de las aplicaciones de Negocio

Adopción eficiente de la nube
• Cómo describiría el estado de la adopción de la nube en su empresa?

• Cuánto tiempo lleva utilizando aplicaciones en la nube?
• Cuántas aplicaciones están alojadas en una nube pública?
• Qué tan pronto cree que su empresa habrá completado su adopción de la nube?
• Cuántos tipos de nube pública alojan sus aplicaciones?
• Qué aplicaciones críticas están alojadas en una nube pública?
• Qué porcentaje del tráfico corresponde a aplicaciones Cloud?
• Cómo se protege el tráfico a las nubes públicas?
Objetivo: Acceso óptimo a ambientes multicloud

Simplificación de la red
• Cuántos sitios tiene su empresa u organizacion?
• Tiene una red de Alta Disponibilidad?
• Qué tipo de conectividad tiene desde las sedes: MPLS, Internet dedicado, Internet, 3/4G?
• Cuánto BW usa?
• Cuántos usuarios hay por sitio tiene?
• Que tipo de interfaces necesita?
• Cuánto BW utilizado no proviene de aplicaciones de la empresa?
• Qué porcentaje de BW utilizado es tráfico cifrado SSL?
• Qué aplicación o herramienta le permite tener visibilidad del tráfico y el estado de su red WAN?
• Qué aplicación o herramienta le permite tener visibilidad de la seguridad de su red WAN?
• Qué aplicación o herramienta le permite tener visibilidad de su red LAN?
• Objetivo: Reducción de la complejidad y automatización de operaciones WAN

Qué preguntar para clientes avanzados?
• Perfil de tráfico Cuanta más información tenga, más

• Tipo de aplicaciones preciso será el dimensionamiento.
• Distribucion
• Carga de trafico
• Throughput
• CPS
• Usuarios
• Internos, externos, remotos
• Servers
• Funcionalidades Requiredas
• SSL Inspection
• Logging
• Cantidad y tipo de Interfaces?
It is advisable to use a questionnaire to

collect as much information as possible.
Variables importantes para el Sizing de Fortigate
Funcionalidades Sesiones Sesiones por

Throughput de seguridad Concurrentes Segundo(CPS)
• Referencia de cuántos • Features UTM no • Valor que identifica el • Una medida relacionada
bytes de información se acelerados por el NP o número de sesiones que con cuántas sesiones
pueden procesar en un CP. el dispositivo es capaz nuevas se pueden
segundo. de mantener establecer en un
segundo.
El throughput no es el único valor para dimensionar una solución

Demistificando el sizing
✓ Throughput es lo más importante al dimensionar una solución NGFW.

✓ Falso. El throughput no suele ser un factor limitante.
✓ El ancho de banda es un factor fundamental a conocer.

Falso. Sirve como una referencia simple; No suele ser un factor limitante.

Demistificando el sizing
✓ Necesito saber el número de "nuevas conexiones por segundo" y "conexiones

simultáneas" para hacer un dimensionamiento preciso
✓ IDEALMENTE, eso sí, con estos dos datos específicos + Ancho de banda
podemos hacer un dimensionamiento preciso
✓ Es muy importante conocer el número de usuarios en la red.

✓ VERDADERO. En escenarios en los casos que no tenemos datos de "nuevas
conexiones por segundo" y "conexiones simultáneas", podemos estimarlos en
función del número de usuarios.

Malas prácticas
• Dimensionamiento de dispositivos basado en

la competencia
• Suponer que el cliente usará solo lo que
"dice" que usará
• Acepta requisitos sin sentido... ejemplo:
interfaces de red de 40 Gbps para
dispositivos que no superan los 10 Gbps de
procesamiento.
• No consideres el crecimiento
•

Problemas debidos a un mal dimensionamiento
▪ Clientes que compran un dispositivo y

se dan cuenta de que el dispositivo no
puede alcanzar el rendimiento
esperado/deseado.
▪ “La hoja de datos dice …”
▪ Comercialmente, se cotizaba de
acuerdo con el precio de la
competencia sin entender las
necesidades reales del cliente.
▪ “Precio primero…”

Ejemplo de sizing de CPE de SD-WAN
Connectivity SD-WAN Ancho de Banda (Mbps)
Sesiones
¡Dos modelos cubren
Usuarios Nuevas Sesiones por
Concurrentes
Concurrentes
Segundo 5 10 20 30 40 50 100 200 500 700 1000 la mayoría de los
Totales requisitos para las
10 500 50 40F 40F 40F 40F 40F 40F 40F 40F 60F 100F 100F sucursales..!
35 1750 175 40F 40F 40F 40F 40F 40F 40F 40F 60F 100F 100F
50 2500 250 40F 40F 40F 40F 40F 40F 40F 60F 60F 100F 100F
75 3750 375 60F 60F 60F 60F 60F 60F 60F 60F 60F 100F 100F
100 5000 500 60F 60F 60F 60F 60F 60F 60F 60F 100F 100F 100F
200 10000 1000 100F 100F 100F 100F 100F 100F 100F 100F 100F 200E 400E
300 15000 1500 100F 100F 100F 100F 100F 100F 100F 100F 200E 200E 400E
400 20000 2000 200E 200E 200E 200E 200E 200E 200E 200E 400E 400E 400E
500 25000 2500 400E 400E 400E 400E 400E 400E 400E 400E 400E 400E 400E
700 35000 3500 400E 400E 400E 400E 400E 400E 400E 400E 400E 400E 600E
900 45000 4500 600E 600E 600E 600E 600E 600E 600E 600E 600E 600E 600E
FortiGate-40F FortiGate-60F

Dimensionamiento de FortiAnalyzer – Serie HW
FAZ-150G FAZ-300G FAZ-800G FAZ-1000F FAZ-3000G FAZ-3500G FAZ-3700G

GB/Day 25 100 200 660 3,000 5,000 8,300
Analytic Sustained
500 2,000 4,000 20,000 42,000 60,000 100,000
Rate (logs/sec)
Collector
Sustained Rate 750 3,000 6,000 30,000 60,000 90,000 150,000
(logs/sec)
Max.
50 180 800 2,000 4,000 10,000 10,000
Devices/ADOMs
Max Number of
38 50 30 34 30 38 60
Days Analytics
2x GE RJ45, 2x GE RJ45, 2x GE RJ45,
2x GE RJ45 4x GE RJ45, 2x GE RJ45,
Total Interfaces 4 x RJ45 GE 2x 25GE 2x 25GE 2x 25GE
2x GE SFP 2x 10GE SFP+
SFP28 SFP28 SFP28
60x 4TB HDD
Storage capacity 2x 2 TB 2x 4 TB 4x 4 TB 8x 4TB 16x 4TB 24x 4TB + 6x 3.2TB
SSD
Yes, (RAID 0, 1, Yes, (RAID 0, 1, Yes, (RAID 0, 1, Yes, (RAID 0, 1,

RAID support Yes (0,1) Yes (0,1) Yes (0,1,5,10)
5, 6, 10, 50, 60) 5, 6, 10, 50, 60) 5, 6, 10, 50, 60) 5, 6, 10, 50, 60)

Dimensionamiento de FortiAnalyzer – VM Series
FAZ-VM-BASE FAZ-VM-GB1 FAZ-VM-GB5 FAZ-VM-GB25 FAZ-VM- FAZ-VM- FAZ-VM-

GB100 GB500 GB2000
GB/Day 1 +1 +5 +25 +100 +500 +2,000
Max.
10,000 10,000 10,000 10,000 10,000 10,000 10,000
Devices/ADOMs
Storage
500 GB * +500 GB * +3 TB * +10 TB * +24 TB * +48 TB * +100 TB *
Capacity
Network
Interface 1 / 12
(Min/Max)
vCPU (Min/Max) 4 / Unlimited
Memory Support
8 GB / Unlimited
(Min/Max)
* El límite máximo de almacenamiento se eliminó en FAZ-VM 7.2.2 y superior

Preguntas para dimensionar FortiAnalyzer
✓ Cuál es su tasa de registro promedio / pico?
✓ Cuántos usuarios concurrentes en promedio / pico?
✓ Qué funciones de seguridad (es decir, URLF, APP, IPS, AV, etc.) se utilizarán y
el porcentaje del tráfico total para cada una?
✓ Cuánto tiempo deben estar en línea los datos de registro para realizar análisis?
✓ Cuánto tiempo se deben archivar los datos de registro para el cumplimiento
normativo o para futuros análisis / auditorías forenses de seguridad?
✓ Será necesario recuperar los registros archivados y volver a ponerlos en línea
para su análisis?
✓ Se requieren informes centralizados para sus operaciones comerciales?

Despliegue & Demo
Workflow para el Despliegue de la solucion
FortiManager
Provisioning Templates
Security Zero-Touch,
System CLI SD-WAN Policy Low-Touch
… Packages
Templates Templates Templates
Model
Device Groups
Device
Templating Staging Deploying
Do per project
Do Per-Site
Reuse much!

FortiOS SD-WAN
Zero Touch Provisioning – Como funciona?
Incluir un SKU de FortiDeploy en la misma PO de Fortigate

FortiOS SD-WAN
Fortinet registra sus dispositivos en FortiCloud

FortiOS SD-WAN
Deployed
El Assign
Fortinet
device
Order
equipo FortiManager
registers
will
Provision get
the FortiGates
instalado its
your
obtendrá your
fullIP
devices
susalong devices
to registered
with
detalles in in FortiCloud
configuration devices
from
deFortiManager FortiManager
aadministración
FortiDeploy SKU
de FortiCloud
FortiManager FortiGate FortiCloud
Customer Fortinet

Kahoot y Encuesta
www.kahoot.it

Demo Topology - Underlay
Server1 Server2 AWS 10.1.0.0.0/16
HUB 1 HUB 2
172.16.64.0/24 172.16.128.0/24
FortiAnalyzer
port4 port4
port3
port2
port2
port3 port2 port1 FortiManager
Internet
EMS
Router / Netem Router / Netem
MPLS Internet
FortiAuthenticator
port2
port3
ha
port3 port5
port2 port4 port4 Internal
port4 Servers /
port3 port2
Applications
FortiSwitch
BRANCH 11
10.0.11/0/24
port4
client11 BRANCH 21
10.0.21.0/24
client21
BRANCH 12
client12 10.0.12.0/24
Demo Topology - Overlay
Server1 AWS 10.1.0.0.0/16
HUB 1
172.16.64.0/24
FortiAnalyzer
port4
port2
port2
port3 port1 FortiManager
Internet
Internet EMS
MPLS
FortiAuthenticator
port3 port2
port3
Internal
Remote Users Servers /
port2 Applications
port4
port4
BRANCH 11 BRANCH 12
10.0.11/0/24 10.0.12.0/24
client12
client11

Herramientas adicionales
¿Dónde puedo obtener información detallada sobre
Fortinet 4D para SD-WAN?
https://docs.fortinet.com/4d-resources/SD-WAN

Entendiendo el Datasheet
Firewall
+ NAT
Firewall + IPS
+ Application
Control
▪ Firewall + IPS + Application Control + Web Filter + Antivirus + Inspección de SSL

Cyber Threat Assessment (CTAP)
Descubra lo que acecha potencialmente en su red sin costo alguno
• Inversión de tiempo mínima con poca o

ninguna interrupción de performance
• Se puede ejecutar 100% de forma remota
• Orientación y recomendaciones de
expertos para mejorar su postura de
seguridad
• Experimente el valor de las tecnologías
Fortinet de primera mano
• Reciba una copia completa de su informe
de evaluación con recomendaciones
https://www.fortinet.com/ctap/

Entrenamientos de SD-WAN
Two-part training path to enable partners:

1. Sales Training (online, reseller and MSSP/carrier versions)
2. Technical NSE SD-WAN Training (online)
https://training.fortinet.com/ © Fortinet Inc. All Rights Reserved. 67

Badge of Certification
https://www.fortinet.com/lat/products/sd-wan
Recursos Calculadora SD-WAN ROI

Documentos Importantes
• Fortinet Product Matrix

Summarizes in one file most FortiGate models with their datasheet values for various functionalities and features. Updated
monthly.
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
• FortiOS Max Values Table

Table with the maximum limits of each model according to the version of FortiOS that is handled.
Updated with each new version.
https://docs.fortinet.com/max-value-table
• FortiOS Release Notes

Summary with the new features, functionalities and improvements of the FortiOS version.
Updated with each new version.
http://docs.fortinet.com/fortigate/
• Fortinet User Community - FUSE

Forum where you can post questions, request and consult information about products and features of any Fortinet
platform.
Constantly Updated.
https://fusecommunity.fortinet.com/home

Documentos Importantes
• Fortinet Partner Portal

The portal contains Technical Information for Partners, as well as links to register opportunities, training, access to
the support portal, price list, among others.
Constantly Updated.
https://partnerportal.fortinet.com
• Fortinet Product Demo Center - FortiDemo

Portal where you can access each of the Fortinet solutions available with a reading user.
User: demo – Password: demo Updated with each new version.
https://www.fortinet.com/demo-center.html
• Fortinet Hardware Documents

Quick start guides for the different models of FortiGate equipment can be found on the portal.
Constantly Updated.
https://docs.fortinet.com/product/fortigate/hardware
• FortiGate Documentation Library

In the portal you will find all the documentation of the FortiGate equipment.
Constantly Updated.
https://docs.fortinet.com/fortigate

Fortinet Confidential

Taller de Secure SD-WAN

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Taller de Secure SD-WAN

Cargado por

Copyright:

Formatos disponibles

Fortinet Secure SD-WAN 4D

Definir, Diseñar, Desplegar, Demo

Definir requisitos y componentes para soluciones SD-

2 Diseño y dimensionamiento de la solucion de Fortinet

© Fortinet Inc. All Rights Reserved. 2

• Mala experiencia del

Fuerza de trabajo híbrida y falta de infraestructura

© Fortinet Inc. All Rights Reserved. 4

IP-Based Application Driven

Reactive Predictive Analytics

Manual Automated Operations

Work from Office Work From Anywhere

© Fortinet Inc. All Rights Reserved. 5

¡Hemos estado persiguiendo estos

© Fortinet Inc. All Rights Reserved. 6

Ofrecer protección Intelligence

© Fortinet Inc. All Rights Reserved. 7

Cybersecurity Point Products Cybersecurity Platform Approach

IAM CASB IAM CASB

XDR EMAIL XDR EMAIL

ZTNA CWP ZTNA CWP

NAC vFW NAC vFW

LAN SWG LAN SWG

20 Vendors 4-6 Platforms

Seguridad flexible, en cualquier lugar y en

Secure WLAN/LAN Secure SD-WAN

FortiSwitch FEX (LTE) FortiGate VM

© Fortinet Inc. All Rights Reserved. 10

Provisioning Threat SIEM & Fabric

• WAN Path Controller • Next Generation Firewall (NGFW)

© Fortinet Inc. All Rights Reserved. 11

Sitios corporativos con banda ancha redundante Internet

Dos proveedores de servicios de Internet, Acceso directo a Internet

Provisioning Threat SIEM & Fabric

• WAN Path • Next Generation

© Fortinet Inc. All Rights Reserved. 12

Banda ancha con acceso directo a Internet LTE

Provisioning Threat SIEM & Fabric

• WAN Path Controller • Next Generation Firewall (NGFW)

© Fortinet Inc. All Rights Reserved. 13

SD-WAN con túneles dinámicos ADVPN Internet Overlay

• WAN Path Controller • Next Generation Firewall (NGFW)

✓ Dispositivo Fortigate totalmente

© Fortinet Inc. All Rights Reserved. 17

Network Processor Content Processor System on a Chip

© Fortinet Inc. All Rights Reserved. 18

© Fortinet Inc. All Rights Reserved. 19

SD-WAN Ultra Rapido La major seguridad de

Simple de usar Habilitado para SD-

© Fortinet Inc. All Rights Reserved. 20

Apr 2019 Feb 2020 Oct 2020

© Fortinet Inc. All Rights Reserved. 21

FortiGate Security Palo Alto

Firewall 10Gbps 2.05Gbps 5x 0.5Gbps 1Gbps 0.45Gbps 7 Gbps 1.3 Gbps

© Fortinet Inc. All Rights Reserved. 22

Remote Office / Home Small Branch Medium Branch

FortiGate / FortiWiFi 40F Series FortiGate / FortiWiFi 80F Series

3G/4G, WiFi Storage, WiFi Storage, Bypass, WiFi

Large Branch Very Large Branch Private and Public Cloud

FortiGate 100F Series FortiGate 200F Series FortiGate VM

© Fortinet Inc. All Rights Reserved. 23

MSSP VDOM A VDOM B

Customer A Customer B Customer A Customer B

Opcion 1: Opcion 2: Opcion 3: