Strażnik+ łączy funkcjonalności systemów typu IPAM (IP Address Management – zarządzanie adresacją sieci), NAC (Network Access Control – kontrola dostępów sieciowych) oraz wykrywania i zapobiegania nieautoryzowanym połączeniom do sieci wewnętrznej poprzez dostarczenie implementacji i zasilania protokołu RADIUS oraz głęboką integrację z urządzeniami FortiGate i infrastruktury sieciowej. System jest zarządzany z poziomu interfejsu webowego.
Głównymi celami systemu są:
Zabezpieczenie sieci przed nieautoryzowanymi urządzeniami (802.1X).
Uproszczenie nadawania uprawnień do sieci pracownikom i grupom pracowników.
Organizacja pracy zdalnej dzięki połączeniom SSL-VPN.
Ujednolicenie konfiguracji zabezpieczeń i logowania dla wszystkich dostępów.
Centralizacja adresacji sieci i nadawania uprawnień między oddziałami.
Ułatwienie wprowadzenia i kontroli infrastruktury do pracy zdalnej.
FG-40F, FG-40F-3G4G, FG-60E, FG-60E-DSL, FG-60E-DSLJ, FG-60E-POE, FG-60F, FG-61E, FG-80E, FG-80E-POE, FG-80F, FG-80F-BP, FG-81E, FG-81E-POE, FG-81F, FG-81F-POE, FG-90E, FG-91E, FG-100E, FG-100EF, FG-100F, FG-101E, FG-101F, FG-140E, FG-140E-POE, FG-80F-POE, FG-200E, FG-200F, FG-61F.
System pozwala na przypisywanie użytkownikom dostępów do fragmentów sieci indywidualnie i grupowo.
Dostępy sieciowe są przypisywane do danego użytkownika (pracownika), a nie do danego stanowiska, dzięki czemu niezależnie na którym dozwolonym stanowisku użytkownik zaloguje się do sieci, zawsze zostaną mu przypisane tylko jego własne dostępy.
Dostępy do sieci mogą być nadawane per-użytkownik i per-grupa, upraszczając zarządzanie dostępami dla średnich i dużych ilości pracowników. System pozwala też na tworzenie dostępów tymczasowych – dostępów, które wygasają po upływie wskazanego przez administratora czasu.
Wszystkie dostępy nadawane w systemie Strażnik+ są automatycznie tworzone także dla połączeń SSL-VPN. Dzięki temu każdy pracownik z udostępnionymi połączeniami VPN może uzyskać dostęp do tych samych elementów sieci wewnętrznej, jakie są dostępne z komputera w jednostce bez dodatkowej konfiguracji, z zachowaniem najwyższych standardów bezpieczeństwa sieci.
Strażnik+ na bieżąco pobiera informacje z urządzeń infrastruktury sieciowej (przełączniki, urządzenia FortiGate) za pomocą udostępnionych API i SNMP, skanując w poszukiwaniu nieautoryzowanych urządzeń i ataków na sieć. Wszystkie wykryte próby połączenia są zgłaszane administratorowi sieci drogą mailową oraz w interfejsie webowym systemu.
Dzięki funkcjonalności zarządzania adresacją związanej z zarządzaniem oddziałami, rezerwacje adresów IP dla urządzeń w oddziałach i w centrali są automatycznie nadawane na poziomie interfejsu webowego Strażnik+ bez konieczności ich ręcznego nadawania.
Dzięki izolacji jednostek, przypadku przejęcia urządzenia w sieci z zasobami na jednostce, nie ma możliwości dostępu do newralgicznych zasobów np. w centrali. Ponadto zapasowa konfiguracja jednostek, w przypadku utraty połączenia z siecią sprawia, że pracownicy już uwierzytelnieni przez podsystem NAC mogą kontynuować pracę w obrębie sieci lokalnej.
Wszystkie zmiany wprowadzane w systemie Strażnik+ przez administratorów mogą mieć ustawione wymagania co do ilości wymaganych podpisów, rangi na 10-stopniowej skali uprawnień administratorów składających podpisy, a także tego czy wymagają zgody superadministratora na wprowadzenie zmian.
Uwierzytelnianie dwuskładnikowe (2FA) chroni konta pracowników przed włamaniem nawet po wykradnięciu hasła. Po włączeniu 2FA, użytkownik do zalogowania będzie musiał podać swoją nazwę użytkownika oraz hasło, a także 6-cyfrowy kod generowany w aplikacji na telefon lub tokenie. W celu osiągnięcia najwyższego standardu bezpieczeństwa sieci, wspierane jest również uwierzytelnianie kluczami bezpieczeństwa FIDO2.
Strażnik+ ułatwia prowadzenie spisu gości oraz nadawanie gościom ograniczonych czasowo dostępów sieciowych. Dzięki modułowi zarządzania gośćmi, uprawniony pracownik może wygenerować dane do logowania, którymi gość potwierdza swoją obecność w systemie. Możliwe jest również włączenie trybu samorejestracji, dzięki czemu nigdy nie będzie wymagana interwencja pracownika. Wszystkie dane gości mogą również zostać zanonimizowane lub wymazane zgodnie z RODO.