FortiGate-1240B突破了中型企業(yè)級別的Firewall/VPN性價(jià)比記錄，設(shè)備提供的最佳性能包括了40 Gbps防火墻吞吐量和16 Gbps IPSecVPN吞吐量——相對于競爭者同級產(chǎn)品的相應(yīng)指標(biāo)，F(xiàn)ortiGate-1240B分別實(shí)現(xiàn)了性能400%和800%的提高。

▲圖1FortiGate1240B防火墻

▲圖2FortiGate1240B防火墻接口界面

FortiGate-1240B設(shè)備平臺(tái)是在FortiGate-310B和FortiGate-620B之后，飛塔開發(fā)推出的適合中型企業(yè)系列應(yīng)用的FortiGate新成員。該款產(chǎn)品繼續(xù)表現(xiàn)出了Fortinet(飛塔)公司優(yōu)秀的技術(shù)，在同級別產(chǎn)品中，具有最高的接口密度和最佳的性價(jià)比。在關(guān)鍵指標(biāo)上，F(xiàn)ortiGate-1240B設(shè)備提供的最佳性能包括了40Gbps防火墻吞吐量和16 GbpsIPSec VPN吞吐量——相對于競爭者同級產(chǎn)品的相應(yīng)指標(biāo)，F(xiàn)ortiGate-1240B分別實(shí)現(xiàn)了性能400%和800%的提高。

產(chǎn)品設(shè)計(jì)

FortiOS4.0創(chuàng)造安全新概念

FortiGate-1240B采用的是最新的FortiOS4.0增強(qiáng)版系統(tǒng)。FortiOS4.0作為FortiGate的核心，是以安全、性能和可靠為目標(biāo)開發(fā)的。該專用系統(tǒng)采用了強(qiáng)大的FortiASIC芯片提高安全性和性能。FortiOS可以實(shí)現(xiàn)多種安全功能，如防火墻、VPN、入侵檢測與防御、反惡意軟件、反垃圾郵件、web過濾、應(yīng)用控制、數(shù)據(jù)防泄漏和終端系統(tǒng)控制。

硬件加速體系和高端口密度

FortiGate 1240B采用FortiASIC網(wǎng)絡(luò)處理器，能夠?qū)崿F(xiàn)如交換機(jī)的線速數(shù)據(jù)處理，為網(wǎng)絡(luò)安全行業(yè)樹立了一個(gè)標(biāo)桿。該系統(tǒng)具有40個(gè)接口，其中38個(gè)接口采用網(wǎng)絡(luò)處理器加速的功能，可以達(dá)到基于防火墻策略的數(shù)據(jù)包線速處理。它不僅僅采用了網(wǎng)絡(luò)層的FortiASIC，而且還采用內(nèi)容層的FortiASIC，能夠?qū)θ肭謾z測、防病毒等應(yīng)用層的安全處理進(jìn)行加速。它還支持AMC和FSM(Fortinet Storage Module)標(biāo)準(zhǔn)的擴(kuò)展插槽，可以增加接口數(shù)量，也可以提高存儲(chǔ)硬盤的容量。接口數(shù)量多的好處在于，企業(yè)組織可以將用戶、網(wǎng)絡(luò)劃分成多個(gè)安全域，實(shí)現(xiàn)多個(gè)安全域之間的安全訪問。

技術(shù)參數(shù)示意圖

產(chǎn)品測試數(shù)據(jù)

設(shè)備性能與其具體配置和網(wǎng)絡(luò)環(huán)境相關(guān)。本次測試，防火墻吞吐量是FortiGate在NAT模式下，以64、512和1518字節(jié)的UDP數(shù)據(jù)里測出的。VPN是以512字節(jié)UDP數(shù)據(jù)包，加密算法為AES-256+SHA1時(shí)測出。防病毒是根據(jù)帶附件32KbyteHTTP流量測試出的。IPS是按照NSS的標(biāo)準(zhǔn)以44K HTTP文件測出。

在以上情境下，F(xiàn)ortiGate1240B測試的數(shù)據(jù)表現(xiàn)相當(dāng)出色。

防火墻吞吐量方面，以64字節(jié)UDP、512字節(jié)UDP、1518字節(jié)UDP進(jìn)行測試，F(xiàn)ortiGate1240B

相關(guān)數(shù)據(jù)均能達(dá)到100%。防病毒吞吐量方面，在代理模式、流掃描模式兩種情況下展開測試，數(shù)據(jù)分別達(dá)到900Mbps和1.5Gbps。此外，測試中FortiGate1240B的IPS吞吐量可實(shí)現(xiàn)5Gbps，VPN吞吐量在AES-256+SHA-1表現(xiàn)為16Gbps(加AMC為18.5Gbps)。

在并發(fā)數(shù)據(jù)上，F(xiàn)ortiGate1240B也有良好表現(xiàn)。并發(fā)會(huì)話數(shù)能夠達(dá)到2M，新建會(huì)話數(shù)為100000，并發(fā)SSLVPN用戶數(shù)(推薦最大)為1500。

在與國際同規(guī)格主流產(chǎn)品比較中，F(xiàn)ortiGate-1240B的防火墻吞吐量為40 Gbps，遠(yuǎn)遠(yuǎn)拉開了國際主流產(chǎn)品同規(guī)格的平均值。新建會(huì)話/秒為100K，而國際同規(guī)格主流產(chǎn)品的平均數(shù)值是80K。

▲FortiGate1240B同國際主流廠商同規(guī)格產(chǎn)品數(shù)據(jù)比較

(國際主流廠商產(chǎn)品數(shù)據(jù)來源于IDC和其他第三方機(jī)構(gòu))

測試功能表現(xiàn)

在整個(gè)測試過程中，F(xiàn)ortiGate1240B讓我們體驗(yàn)到了其強(qiáng)大的功能。

基于飛塔獨(dú)有的硬件加速技術(shù)，F(xiàn)ortiGate1240B支持高達(dá)40Gbps防火墻吞吐量和16GbpsVPN吞吐量，1.5Gbps的IPS和AV吞吐量，使之不會(huì)成為網(wǎng)絡(luò)的瓶頸。

由于具備高端口密度，多個(gè)接口可將網(wǎng)絡(luò)分成多個(gè)內(nèi)網(wǎng)安全網(wǎng)段。同時(shí)，AMC和FSM(Fortinet Storage Module)標(biāo)準(zhǔn)的擴(kuò)展插槽，可以隨時(shí)增加接口數(shù)量和本地化存儲(chǔ)數(shù)據(jù)，以便更多安全域的設(shè)置。

除了設(shè)備的安全屬性之外，F(xiàn)ortiGate1240B同時(shí)能夠提供流量整形和優(yōu)先級、數(shù)據(jù)中心流量優(yōu)化、命令行管理界面、FortiGuard日志分析和集中管理服務(wù)等多類職能。

 ▲圖3、FortiGate1240B管理界面

測試中我們看到，企業(yè)網(wǎng)絡(luò)安全領(lǐng)域的多種功能包括防火墻、防病毒網(wǎng)關(guān)、Web過濾、入侵檢測和防御等在FortiGate1240B這個(gè)單一設(shè)備上完全得以實(shí)現(xiàn)。站在用戶角度，F(xiàn)ortiGate1240B在提高企業(yè)安全防御能力的同時(shí)，大大降低了企業(yè)安全部署的整體成本，是一款稱得上優(yōu)秀的產(chǎn)品。

小結(jié)

FortiGate1240B具有強(qiáng)大的防火墻和VPN功能。很多大中型企業(yè)都有分公司、辦事處和移動(dòng)辦公用戶。

FortiGate1240B為這類企業(yè)提供了全面的、安全的互聯(lián)解決方案——IPSECVPN支持接口和通道兩種類型，主和被動(dòng)兩種模式，可以實(shí)現(xiàn)在VPN通道上部署防火墻策略、防病毒和IPS等全面的安全解決方案。OSPFoverIPSEC可以實(shí)現(xiàn)IPSEC通道與專線，兩條IPSEC通道之間互為備份，自動(dòng)切換。而移動(dòng)用戶則可以使用FortiClient這樣的IPSEC客戶端方式連入公司，實(shí)現(xiàn)家庭和遠(yuǎn)程辦公，也可以采用SSLVPN這樣的基于瀏覽器的免客戶端方式連接到公司的內(nèi)網(wǎng)。

直覺上，F(xiàn)ortiGate1240B產(chǎn)品尺寸略大，這是這款設(shè)備唯一美中不足的地方。