企業防火牆─Fortinet

Fortinet創立於2000年10月，在2002年7月進入臺灣市場，品牌知名度並不高，產品卻迅速在全球普及，創辦人謝青是關鍵之一。

謝青曾是NetScreen的創立者之一，有了NetScreen的經驗，Fortinet又網羅安全相關領域的人才（Symantec、Lucent），希望研發出符合未來趨勢的硬體平臺，所以當各家廠商在喊整合型硬體裝置時，Fortinet早已經完成這個目標，推出整合防火牆、VPN、防毒、入侵偵測、入侵預防、反垃圾郵件、內容過濾及頻寬控管的FortiGate，其中防火牆、VPN、防毒和入侵偵測等4項功能已經獲得ICSA的認證。ASIC架構整合所有安全需求

談到整合型裝置，就要知道封包的處理流程，FortiGate首先會比對攻擊特徵，阻擋惡意封包和DoS攻擊，接下來過濾進行防火牆政策（狀態檢測）、VPN（IPSec、L2TP、PPTP）、通訊協定處理、檔案內容掃描，最後會執行頻寬管理。

要執行這麼多流程，幾乎所有的廠商都是採用通用伺服器架構，但Fortinet打破這項規矩，是唯一使用ASIC架構的硬體裝置，也就是說，上述的流程都是由「FortiAsic」處理，包括檢查封包外層、確認是來自可信任的來源（防火牆）、編/解碼並鑑定VPN封包、重組封包、偵測是否為網路攻擊或被禁止的物件（入侵偵測）及計算封包數量並權衡流量（頻寬管理）等。

使用ASIC晶片設計防火牆和VPN並不難，但要用ASIC作為閘道防毒牆和內容過濾就沒那麼容易。

防毒廠商總是儘可能的收集所有病毒，並研發出相對的病毒碼，但大多數的病毒早已絕跡，比對過多的病毒碼只是在浪費時間，在超高速乙太網路（Gigabit Ethernet）的閘道環境下，只要延遲2秒就必須佔用256MB的記憶體，所以Fortinet認為「多」並不一定好，好的閘道防毒牆必須能夠處理封包的表頭，同時辨證應用層的資料流是何種封包，然後重組封包內容，並載入適當的病毒碼即時比對，FortiGate的封包處理引擎與特徵掃描引擎，就是用來完成上述的過程。FortiGate能夠掃描HTTP、SMTP、POPS、IMAP及VPN通道，企業可選購線上自動更新病毒碼。依據需求挑選合適的產品

與其他硬體防火牆相比，FortiGate能以差不多的價格，提供更多的功能。目前FortiGate總共有12款產品，有專為SOHO及小型企業所設計的50、60、100，中小企業專用的200、300，中大型企業適用的400、500、800、1000，以及為大型企業和ISP設計的3000、3600和4000。無論企業的規模如何，同樣都會遭受駭客攻擊，同樣會有病毒、入侵及垃圾郵件等安全問題，所以FortiGate各款產品的功能大同小異，越高階的產品，其可用性（HA）和備援能力也越好，企業可依據效能和網路介面挑選合適的產品。

針對SOHO及小型企業的FortiGate 50、60及100有10人及不限制人數等2種授權方式，其他產品都是不限制人數。另外，與其他產品相同，FortiGate只提供基本的防火牆模組，企業可依需求選購其他應用模組，已經建置內容過濾設備的企業，建議選購IDS和IPS模組。

Fortinet 同時提供 FortiManager管理軟體，能集中控管建置在不同地點的設備，軟體更新或升級都可透過FortiManager監控。Forti-Reporter是FortiGate專屬的報表工具，可依據防火牆/IDS/IPS/防毒等功能，產生各種統計報表和圖形分析，協助管理人員制定安全政策。文⊙陳世煌