這次我們測試的FortiGate 200B,是一臺同時搭載防火牆、防毒、DLP、VPN,甚至還能整合WiFi無線網路的UTM設備。200B為FortiGate產品線中的中階入門款,可對應至1000人內的企業環境。同時,原廠也提供支援乙太網路供電技術(PoE)的200B-POE型號。

在網路埠方面,非常特別的是,200B提供了10/100 Mbps埠及GbE埠各8個,因為可作為交換器使用,所以設備本身才提供這麼多網路埠。而從官方所提供的數據來看,這臺設備可提供5Gbps的防火牆吞吐量,最大連線數則為50萬個,設備出廠時搭載的作業系統為FortiOS 4.0 MR3。

200B同時具備IPsec及SSL各2種VPN,在效能方面,IPsec在Site-to-Site和Client-to-Site模式下均能提供2,000個通道。而在SSL VPN的功能方面,200B則提供了網頁型式的反向代理及全通道2種方式。

ASIC晶片可加速小封包傳送

雖然200B為中階入門款,但在處理器規格上有別於該產品線的低階設備,因為低階設備並不具備FortiASIC的專屬晶片。FortiASIC晶片依照使用性質,共分為CP(Content Processor)、NP(Network Processor)與SP(Security Processor)三種,而200B上則搭載了CP與NP,它們能夠加速防火牆、VPN及加解密的效能。

而在設定方面,有交換器及獨立介面2種模式可以選擇,預設為交換器模式。在交換器模式中,所有的10/100 Mbps埠為對內的LAN埠,並且具備交換器功能,各埠能夠互相溝通;而GbE埠則為WAN埠。較特別的是,8個GbE埠中有4個能透過NP2晶片,針對64byte容量的小封包進行加速。同時,管理者也能選擇獨立介面模式,分別對各網路埠設定功能。

由於200B目前並無內建硬碟,但在設備面板的右側則預留1個磁碟槽,管理者可另外購買Fortinet Storage Modules(FSM)儲存模組,以便保留記錄檔並輸出成報表。FSM為一臺64GB的SSD硬碟,它除了能儲存設備本身的資料外,亦能夠提供WAN端加速及本地端的網頁快取功能。

在設定方面,管理者能透過網頁控制臺操作200B外,這裡也有命令列控制介面,讓管理者能夠直接在瀏覽器上執行系統指令,不需額外透過Console線連接。控制臺的語系除了常見英、日文外,也提供正體中文,讓對於英文不熟悉的使用者,也能夠快速上手。

能夠識別並防禦應用層的網路攻擊

在防護方面,200B出廠時就提供了多種功能,但須注意的是,防毒、IPS、網頁過濾及防垃圾信這4項需搭配資料庫使用的功能,買來時雖能夠正常使用,但若未同時購買金鑰,則無法更新。

200B在設定各項防護功能前,需先設定防火牆物件,像是位址、服務、流量塑型,這些都能夠依照個別需求去調整,接下來可將物件套用至其他防護功能的設定上。

其中,較特別的是位址物件。在FortiOS 4.0 MR3後,它除了提供網段、IP位址、網域名稱外,還提供了「地理位置」的選項。例如:管理者要阻擋來自中國網段的存取或攻擊的話,可以在防護功能中套用具有「China」位址的物件,就可阻擋來自該國的攻擊。

FortiOS 4.0 MR3以後,FortiGate在防護功能方面還具備識別L7連線的能力。以IPS功能來說,管理者能夠選擇偵測網路節點的作業系統、網路協定、應用程式等選項,來針對各種不同形式的流量執行特徵碼比對或封鎖。而在應用程式選項,200B也提供了資料庫、P2P、IM等軟體類別供辨識。

200B同時也提供DoS防禦及防毒功能。像DoS功能,設備就內建14種異常流量狀態,管理者僅需選擇及啟用,並設定對應行為即可,設定上非常容易。

至於200B的閘道防毒功能,除了能以傳統的Proxy方式攔截外,還提供了Flow-based模式。它是一種雲端功能,在運作上與傳統的掃毒方式不同,不須將檔案完全比對病毒碼,而是掃描封包的前端字元,如此就能提高掃毒效能,但Flow-based功能要使用,同樣需購買IPS及防毒模組的金鑰。

針對防止資料外洩,內建5種設定供管理者使用

200B還具備DLP功能,它本身提供內容歸檔、信用卡號碼、大型檔案等5種內建設定,管理者可直接選用並修改內容。若要自行設定,在DLP的過濾器中,可以選擇文件指紋、檔案類型、正規表示式、進階規則等條件來過濾檔案,並能設定記錄、封鎖等對應行為。

自訂過濾器時,DLP過濾依據中的進階規則很容易使用,因為它針對電子郵件、IM軟體、HTTP和FTP,提供了18種選項,像是過濾所有IM軟體行為,或僅針對電子郵件中的信用卡號碼進行封鎖,管理者只需要選擇類型即可套用。

能夠整合並管理自家的無線基地臺設備

200B除了是一臺UTM外,同時也能管理無線網路,並提供記錄功能。在FortiOS 4.0以後,200B就具備管理多臺FortiAP的功能,FortiAP是Fortinet本身推出的一款精簡型無線基地臺設備(Thin AP)。而預定於6月推出的FortiOS 5.0,將會加強無線網路部分的應用,除了能夠辨識連接的端點設備外,還支援Mesh Network的架構。

透過WiFi控制器功能,200B能將QoS、防毒、防垃圾信等功能套用在無線網路上。而在WiFi設定方面,管理者可以設定SSID的安全模式、加密模式等選項,並能透過FortiAP來偵測內部網路中存在的非法AP。

記錄方面,我們測試的200B僅提供事件、流量、UTM與弱點掃描共4種記錄資料,供管理者查詢。而若需要將資料匯出成報表,則可額外購買FSM模組,或搭配自家的FortiAnalyzer設備產生報表給主管。

若加裝FSM模組,系統所產生出的報表欄位及種類較少;若使用FortiAnalyzer,則需在200B上設定FortiAnalyzer的IP位址,而產生的報表則能依照需求自訂欄位輸出,但需額外架設FortiAnalyzer設備。

 

資料外洩防護內建5種過濾選項

在DLP功能中,FortiGate根據不同的情境提供了內容歸檔、信用卡號碼等5種選項,讓管理者自行套用。

 

入侵防禦偵測新增應用層選項

在入侵防禦方面,管理者在設定偵測器時,除了能選擇作業系統、網路協定外,新版的FortiOS還可針對特定程式的連線進行阻擋。

 

提供位址物件,快速設定IP範圍

位址物件中,以往管理者若要針對特定國家的網段進行封鎖,則需自行輸入。而新增的地理位置選項,管理者僅需選擇國家即可。

 


產品資訊 建議售價●551,280元(未稅)原廠●Fortinet 網址●www.fortinet.com 電話●聯達資訊 (02) 6606-8189 防火牆Throughput●5Gbps 同時最大連線數●50萬個 網路介面●10/100 Mbps埠×8,GbE埠×8,USB埠×2 網路功能●防火牆、防毒防垃圾信、WiFi控制器功能、IPS、DLP、IPsec/SSL VPN等
 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】


Advertisement

更多 iThome相關內容