FortiGate防火牆在台灣的市占率是相當高的的品牌,相信在很多公司及家用場合都可以看見該品牌的出現,小編也在好幾個案例中接觸過,因此今天要來跟大家分享一下,當有機會選購該品牌的防火牆設備時,應該要考慮一下那些規格。
一、需求釐清
(1)、網路頻寬量
這部份會直接影響到設備型號的選定,當需求的傳輸頻寬很大時,設備效能的選擇通常也會跟著提高。
(2)、使用的網路介面、及網路孔數
是使用RJ45或是SFP甚至是SFP+的介面
(3)、預計使用者人數
使用人數會影響到設備所能處理的總Sessions連線數
(4)、是否有要使用「防毒」、「網頁過濾」、「應用軟體控制」、「入侵偵測」、「郵件過濾」等功能
除了授權選購的問題外,這些功能均比較耗硬體資源,因此如果有這方面的需求時,挑選設備型號時要注意不要選的太剛好,建議至少比需求多個1.3~1.5倍的效能,作為規格挑選的依據
(5)、是否有要使用到VPN的功能
如果有,那就得注意一下VPN的處理效能規格
(6)、是否有要使用FortiGate的資安鐵三角的情境
每一款FortiGate防火牆能管理的無線AP及Switch數量均不同,如果有要做大型規劃時得特別注意一下所能管理的數量。
二、原廠設備規格
FortiGate原廠有提供產品矩陣表(Product Matrix)方便使用者挑選機種
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf
三、模擬挑選情境
(1)、家用使用情境
頻寬需求為光世代100M/40M,有架設NAS希望在家外時可以連線回NAS存取檔案,網路使用者為5人,沒有「防毒過濾」或「AP、Switch整合管理」需求,網路孔介面需求為3孔RJ45。
透過產品矩陣表(Product Matrix)可以得到以下資訊
[FortiGate FG-60E]規格為:
介面規格:10孔 1G的RJ45介面
防火牆處理效能 3 Gbps
IPSec VPN處理效能:2 Gbps
SSL VPN處理效能:150 Mbps
SSL VPN最多連線人數:200人
最大連線數:1300,000
[FortiGate FG-40F]規格為:
介面規格:5孔 1G的RJ45介面
防火牆處理效能 5 Gbps
IPSec VPN處理效能:4.4 Gbps
SSL VPN處理效能:490 Mbps
SSL VPN最多連線人數:200人
最大連線數:700,000
透過原廠產品生命週期資訊得知「FG-60E」、「FG-40F」均沒有EOS的問題。
https://ailog.tw/lifelog/2020/12/27/fortigate-product-life-cycle/
依據原廠規則得知以下兩種機種規格,且均滿足情境需求,如果讓小編選的話,會推薦60E,原因為60E為上一代的機種,價格比較優惠一點。
(2)、公司使用情境
頻寬需求為1路多機型6個固定IP 光世代1G/600M,需要有2孔10G的SFP+網路介面,有架設網站對外提供服務,有「防毒過濾」、「入侵偵測」及「60台AP、20台Switch整合管理」、「IPSec VPN」、「SSL VPN」、「設備HA」使用需求,網路使用人數預估300人且持續成長中。
透過產品矩陣表(Product Matrix)可以得到以下資訊
[FortiGate FG-100F]規格為:
介面規格:2孔 10G的SFP+介面、18孔 1G RJ45介面、8孔 1G SFP介面
防火牆處理效能 10 Gbps(最低)
IPSec VPN處理效能:11.5 Gbps
SSL VPN處理效能:1 Gbps
SSL VPN最多連線人數:500人
最大連線數:1500,000
入侵偵測效能:2.6 Gbps
可管理AP數量:128台
可管理Switch數量:32台
NGFW Throughput效能:1.6 Gbps
[FortiGate FG-200F]規格為:
介面規格:4孔 10G的SFP+介面、18孔 1G RJ45介面、8孔 1G SFP介面
防火牆處理效能 11 Gbps(最低)
IPSec VPN處理效能:13 Gbps
SSL VPN處理效能:2 Gbps
SSL VPN最多連線人數:500人
最大連線數:3000,000
入侵偵測效能:5 Gbps
可管理AP數量:256台
可管理Switch數量:64台
NGFW Throughput效能:3.5 Gbps
從規格得知這個級距裡,具有10G SFP+網路介面的只有FG-100F及FG-200F,因此從這兩個產品來進行挑選。
透過原廠產品生命週期資訊得知「FG-100F」、「FG-200F」均沒有EOS的問題。
https://ailog.tw/lifelog/2020/12/27/fortigate-product-life-cycle/
在這個範例裡面,小編會比較推薦使用FG-100F這型號,原因為該機種均已符合需求,雖然在10G孔數比FG-200F少了一半,但由於要施作HA架構,因此同一時間會有兩台設備在線上運作,可以避免掉10G的SFTP+壞掉一孔而無法運作的狀況,且選用 FG-100F在一次採購兩台的情境下,成本壓力會比FG-200F來的小,在3年過後如果有更新的代次出版,可以透過汰換設備來取代原機升級的考量而去拉高規則的評估。
以上均是小編憑空想像的情境,當然實際的狀況肯定會比這些評估還複雜,因此只是希望透過一些模擬情境讓大家了解應該要注意那些產品規格。