揚贏國際有限公司


互聯網軟體服務平台 網路資安 機房監控

UTM─Fortinet FortiGate 80C

資訊安全網路整合

歡迎來電洽詢
服務專線 : 02-2915-0663

需要產品報價?

 

FortiGate 網路安全平台

www.fortinet.com.tw/products/fortigate/

 

UTM─Fortinet FortiGate 80C

 

目前已搭配FortiOS的4.0版,同時新增多種進階的網路管理、防資料外洩等功能 
 
產品資訊 建議售價●100,000元●Fortinetˉ原廠網址●www.fortinet.comˉ網路埠●GbE×2(WAN埠)、100Mbps×7、USB×2/ExpressCard×1(3G/3.5G連接埠)ˉ防火牆效能●最高350Mbpsˉ最大連線數●100,000個ˉ網路暨防護功能●防火牆、IPS、IPsec/SSL VPN、防毒、DLP,及NAC等


我們這次測試的FortiGate 80C,採用1顆600MHz的Pentium M處理器,並且搭配FortiASIC-CP(內容處理器)的專用功能晶片,處理防毒及VPN等功能的流量運算。這臺防火牆效能的官方數據為350Mbps,最大連線數則為100,000個,就規格來說,是一臺適合小型企業使用的UTM設備。 

這臺UTM的網路埠皆採固定角色的方式配置,能降低設定時的難度,而9組網路埠當中,則包含了2組GbE介面的WAN埠、1組100Mbps的DMZ埠,以及6組同樣為100Mbps的LAN埠。另外,80C本身還有2組USB埠與1個ExpressCard插槽,可以用來連接3G/3.5G網卡,做為有線網路外的備援線路。 


FortiGate 80C共具備9組RJ-45介面的網路埠,就同等級的UTM設備來說,算是相當充足。 

透過4.0系列的新版韌體,增加多種應用服務 
80C出廠時,就已經搭載4.0版本的FortiOS韌體。 

相較於3.0的舊版韌體,4.0主要是增加了Data Leak Prevention(DLP)、廣域網路加速、SSL流量掃描、應用程式控制,以及支援FortiAP管理等6項功能。而由於80C本身沒有硬碟來儲存快取資料,因此不具備廣域網路加速的功能。 

FortiOS的DLP功能,可以針對透過Mail、Web、FTP,及即時通訊等4種協定所傳送的封包,檢測是否含有機密性質的內容。而且,系統本身已經內建檢測模板,包含Visa/Master等2種信用卡卡號,以及美國、加拿大身分證字號的格式,而我們也可以根據需求,透過萬用字元、正規表示式、檔案格式,及加密與否做為條件,自行新增符合需求的模板。 


FortiOS的DLP功能,可以檢測Mail、Web、FTP,及即時通訊等4種流量,同時可以自定檢測模板。 

關於DLP的政策管理設定,我們可以在FortiGate上同時匯入多個模板,透過交叉比對的方式,提高DLP過濾資料的精確度。隨後,在設定防火牆規則時,僅需一併選取所要套用的政策檔,便能過濾透過此一流向傳輸的所有封包。 

從4.0的版本開始,FortiOS內建的掃毒引擎已能過濾透過SSL通道傳輸的加密流量,而從80C目前採用的第6代FortiASIC-CP晶片開始,FortiGate設備已能針對利用SSL通道傳輸流量的病毒掃描功能,提供運算支援。 

值得注意的是,在FortiOS最新版本4.0 MR2韌體上,除了原有的病毒資料庫外,還新增了一個Flow-based的病毒資料庫,透過它掃描檔案時,並不像傳統引擎先完整重組再執行比對病毒碼,而是區分成數個不等的區塊,然後抽取其中的部分封包做掃描。而透過這種做法,能提高設備開啟掃毒服務後的效能。 

能對於網路應用程式提供控管,是UTM的基本功能的其中一項,早期版本的FortiOS就能做到相關的支援,而新版韌體則針對這一部分加以擴充,將應用程式增加到13個類別,並且共包含70多種的軟體。 

至於支援FortiAP的管理,同樣是FortiOS新版韌體受到矚目的特色。預計今年第3季在臺灣推出的FortiAP,是一款精簡型的基地臺設備(Thin AP),而除了少數舊型號的FortiGate及FortiWiFi設備外,其餘的Fortinet UTM只要將韌體更新至FortiOS 4.0的版本後,即可做為FortiAP的控制器,可管理建置在內部網路當中的多臺FortiAP。 

除了透過UTM本身的各項機制,提供流量的安全檢測外,FortiGate對於無線網路的部份,尚具備了IPS、非法基地臺,及實體/虛擬基地臺等項目,整體來說,管理功能相當完整。 

具備IPsec及SSL等2種VPN連線機制,可搭配FortiClient做為用戶端程式 
80C具備IPsec及SSL等2種VPN連線機制,分別可提供200個通道(這裡是指Site-to-Site模式,Client-to Site模式則為300個通道),以及60個連線通道。 

而不同於多數僅具備SSL VPN基本功能的UTM設備,FortiGate的SSL VPN在功能的完整度上,並不遜於單一功能的設備。 

以80C來說,除了提供反向代理及全通道等2種常見的SSL VPN存取方式外,在連線同時,我們透過端點檢查的功能,提供類似NAC的檢測功能,確認只有安全設定符合要求的設備,才能存取內網。 

另外,這款設備也支援虛擬桌面的功能,可以在SSL VPN完成連線後,即將使用環境切換至虛擬出來的桌面環境,限制使用者僅能在限定的區域存取資料,不能隨意複製到個人端電腦,以避免機密資料的外洩。 

除了網頁型式的反向代理外,我們可使用同廠牌的FortiClient防毒軟體,做為IPsec或者是SSL VPN的用戶端程式,而對於已採用其他廠牌防毒軟體的企業來說,原廠也有提供單獨的SSL VPN用戶端程式。 

當使用者透過全通道的模式和FortiGate建立SSL VPN連線時,設備就會透過外掛在IE瀏覽器的ActiveX元件,連接到原廠網站下裝載程式,或者IT人員可從原廠網站預先下載,並且部署到個人端電腦,避免自行安裝時發生使用者無法解決的問題,造成SSL VPN無法連線。 

能採用多種方式管理事件記錄、產生報表 
報表功能方面,除了將記錄暫存於本機的記憶體,或者透過TCP的514埠,傳送到Syslog伺服器外,FortiGate還可以整合自家的FortiAnalyzer設備,同時接收來自多臺FortiGate的資料,並且集中管理。 

另外,設備也能整合原廠的FortiGuard Analysis & Management Service(FAMS)服務,將防毒、IPS等資安功能的記錄,傳送到線上的10GB空間儲存(可隨著授權不同而擴充容量),同時產生報表。 

FAMS可以免費試用90天,當我們在原廠網站申請試用後,原廠會以郵件方式寄送一組帳號,在設備網頁介面的系統維護頁面,將它填入,設備就會註冊到FAMS,並且開始傳送資料。文⊙楊啟倫