次世代防火牆-產品篇-Fortinet


隨著NGFW的推出，人們一直對著這個同時內建許多安全功能的新一代防火牆產品有著似曾相識的感覺。畢竟在此之前，UTM也是一款有著眾多安全功能的防火牆產品。於是乎，人們便開始為NGFW與UTM的差異進行長期的爭辯，甚至不少人認為兩者根本是同樣的產品。但隨著UTM大廠Fortinet也推出了NGFW產品，同時也被列入SANS 2012 NGFW安全價值圖的評比行列中，似乎也為NGFW終將成為傳統防火牆的正宗接班人定了案。

Fortinet所推出的第一款NGFW是FortiGate-3140B，其為一款擁有優越效能、部署彈性，並鎖定大型企業的整合式安全設備。在硬體上，該機配備FortiASIC處理器、超高埠密度，以及來自FortiOS作業系統所支援的整合式安全功能。拜FortiASIC處理器及最新一代通用型CPU的採用之賜，益使得該機在防火牆傳輸速率上，最高達到58Gbps的效能表現。如此一來，才能確保重大安全功能能跟得上網路其他各面向的腳步。

3140B並配備10GbE乙太網路埠，因而能為高頻寬應用提供良好的安全防護。同時每個平皆包含支援SFP+、SFP及RJ-45連線等系統埠，因而能符合最極致的彈性要求。

FortiGate-3140B配備最新FortiASIC網路處理器NP4及內容處理器CP7，這類專用型、高效能處理器採用專屬數位引擎，可加速資源導向之安全服務。FortiASIC-NP4可在線地與防火牆及VPN功能協同運作，因而能提供針對任何大小封包的線速防火牆效能、VPN加速、異常式入侵防護、總和檢查碼卸載(Checksum Offload)、封包重組、流量調控及優先順序佇列等功能。

至於FortiASIC- CP7則直接在封包流量之外運作，而能提供包括加解密卸載，以及特徵式內容檢測加速在內的高速密碼運算及內容檢測服務。此外，3140B NGFW並內建客製化FortiASIC安全處理器(SP)晶片，同時FortiASIC-SP2並提供額外入侵防護系統及針對最嚴苛環境之防火牆加速機制。

在作業系統方面，3140B內建FortiOS 4.0，可說是FortiGate多重安全威脅防護平台的基礎，並宣稱該作業系統重新定義了網路安全。FortiOS內建了琳琅滿目極其多樣的各類安全服務，包括防火牆、IPSec/SSL VPN、支援AD、RADIUS/LDAP等目錄服務的使用者身分認證選項、資料中心最佳化（包括Web伺服器快取、TCP多工、Https卸載等）、防毒／反間諜軟體、Web過濾、應用控管、高可用性(包括Active-Active、Active-Paasive、Stateful Failover、Link Failover及伺服器負載平衡)、WAN最佳化、虛擬網域、無線控制器、流量調控、IPS、DLP、垃圾郵件過濾、端點法規遵循及控管等功能。其中Web過濾機支援多達76種不同類型，至於應用控管則可辨識並控管超過1,800種應用軟體，而IPS則可防護超過3,000種安全威脅。

該機內建之防火牆機制，藉由狀態式檢查與各類型安全功能，包括應用控管、防毒、IPS、Web過濾、VPN等安全功能，以及極端威脅資料庫、弱點管理及流量檢測的相整合，進而提供全面性的內容及網路防護。至於IPS功能，除了特徵碼式威脅偵測外，並提供異常式偵測機制，該機制可對任何經攻擊行為設定檔相比對之封包發出警示。同時Fortinet安全威脅研發小組會進行可疑行為分析、最新安全威脅之確認及分類，同時產生出可供FortiGuard服務提供更新的全新特徵碼。




▲ FortiGate 3140B NGFW部署環境示意圖。



透過該機所提供的應用控管機制，可對運行在整個網路上數以千計的應用軟體，可在無關採用什麼網路埠及通訊協定的狀況下進行安全政策的定義與執行。對於傳統防火牆看起都沒什麼差異的Web流量，Fortinet應用控管能對此連同流量調控功能及流量式檢測選項，而提供更精細應用控管能力。

另外，透過SSL加密流量檢測機制，便可保護端點用戶、Web及應用服務器免於加密隱形安全威脅的危害。該機制會檢測並攔截加密流量，並在其路由至終端目的地之前便進行安全檢測。該機制特別適用於用戶端導向之SSL封包檢測，例如使用者連線至雲端CRM網站，抑或連進Web或應用伺服器時會進行加密封包的安檢。總之，該機制會將適當使用者政策套用在加密Web內容上，進而杜絕惡意威脅對各類Web伺服器的侵害。
次世代防火牆--背景篇
次世代防火牆--採購篇
次世代防火牆-產品篇-Check Point
次世代防火牆-產品篇-Dell SonicWall
次世代防火牆-產品篇-Fortinet
次世代防火牆-產品篇-Palo Alto
次世代防火牆-產品篇-SourceFire
次世代防火牆--番外篇-Citrix NetScaler