FortiGate-1240B突破了中型企业级别的Firewall/VPN性价比记录,设备提供的最佳性能包括了40 Gbps防火墙吞吐量和16 Gbps IPSecVPN吞吐量——相对于竞争者同级产品的相应指标,FortiGate-1240B分别实现了性能400%和800%的提高。
▲图1FortiGate1240B防火墙
▲图2FortiGate1240B防火墙接口界面
FortiGate-1240B设备平台是在FortiGate-310B和FortiGate-620B之后,飞塔开发推出的适合中型企业系列应用的FortiGate新成员。该款产品继续表现出了Fortinet(飞塔)公司优秀的技术,在同级别产品中,具有最高的接口密度和最佳的性价比。在关键指标上,FortiGate-1240B设备提供的最佳性能包括了40Gbps防火墙吞吐量和16 GbpsIPSec VPN吞吐量——相对于竞争者同级产品的相应指标,FortiGate-1240B分别实现了性能400%和800%的提高。
产品设计
FortiOS4.0创造安全新概念
FortiGate-1240B采用的是最新的FortiOS4.0增强版系统。FortiOS4.0作为FortiGate的核心,是以安全、性能和可靠为目标开发的。该专用系统采用了强大的FortiASIC芯片提高安全性和性能。FortiOS可以实现多种安全功能,如防火墙、VPN、入侵检测与防御、反恶意软件、反垃圾邮件、web过滤、应用控制、数据防泄漏和终端系统控制。
硬件加速体系和高端口密度
FortiGate 1240B采用FortiASIC网络处理器,能够实现如交换机的线速数据处理,为网络安全行业树立了一个标杆。该系统具有40个接口,其中38个接口采用网络处理器加速的功能,可以达到基于防火墙策略的数据包线速处理。它不仅仅采用了网络层的FortiASIC,而且还采用内容层的FortiASIC,能够对入侵检测、防病毒等应用层的安全处理进行加速。它还支持AMC和FSM(Fortinet Storage Module)标准的扩展插槽,可以增加接口数量,也可以提高存储硬盘的容量。接口数量多的好处在于,企业组织可以将用户、网络划分成多个安全域,实现多个安全域之间的安全访问。
技术参数示意图
产品测试数据
设备性能与其具体配置和网络环境相关。本次测试,防火墙吞吐量是FortiGate在NAT模式下,以64、512和1518字节的UDP数据里测出的。VPN是以512字节UDP数据包,加密算法为AES-256+SHA1时测出。防病毒是根据带附件32KbyteHTTP流量测试出的。IPS是按照NSS的标准以44K HTTP文件测出。
在以上情境下,FortiGate1240B测试的数据表现相当出色。
防火墙吞吐量方面,以64字节UDP、512字节UDP、1518字节UDP进行测试,FortiGate1240B
相关数据均能达到100%。防病毒吞吐量方面,在代理模式、流扫描模式两种情况下展开测试,数据分别达到900Mbps和1.5Gbps。此外,测试中FortiGate1240B的IPS吞吐量可实现5Gbps,VPN吞吐量在AES-256+SHA-1表现为16Gbps(加AMC为18.5Gbps)。
在并发数据上,FortiGate1240B也有良好表现。并发会话数能够达到2M,新建会话数为100000,并发SSLVPN用户数(推荐最大)为1500。
在与国际同规格主流产品比较中,FortiGate-1240B的防火墙吞吐量为40 Gbps,远远拉开了国际主流产品同规格的平均值。新建会话/秒为100K,而国际同规格主流产品的平均数值是80K。
▲FortiGate1240B同国际主流厂商同规格产品数据比较
(国际主流厂商产品数据来源于IDC和其他第三方机构)
测试功能表现
在整个测试过程中,FortiGate1240B让我们体验到了其强大的功能。
基于飞塔独有的硬件加速技术,FortiGate1240B支持高达40Gbps防火墙吞吐量和16GbpsVPN吞吐量,1.5Gbps的IPS和AV吞吐量,使之不会成为网络的瓶颈。
由于具备高端口密度,多个接口可将网络分成多个内网安全网段。同时,AMC和FSM(Fortinet Storage Module)标准的扩展插槽,可以随时增加接口数量和本地化存储数据,以便更多安全域的设置。
除了设备的安全属性之外,FortiGate1240B同时能够提供流量整形和优先级、数据中心流量优化、命令行管理界面、FortiGuard日志分析和集中管理服务等多类职能。
▲图3、FortiGate1240B管理界面
测试中我们看到,企业网络安全领域的多种功能包括防火墙、防病毒网关、Web过滤、入侵检测和防御等在FortiGate1240B这个单一设备上完全得以实现。站在用户角度,FortiGate1240B在提高企业安全防御能力的同时,大大降低了企业安全部署的整体成本,是一款称得上优秀的产品。
小结
FortiGate1240B具有强大的防火墙和VPN功能。很多大中型企业都有分公司、办事处和移动办公用户。
FortiGate1240B为这类企业提供了全面的、安全的互联解决方案——IPSECVPN支持接口和通道两种类型,主和被动两种模式,可以实现在VPN通道上部署防火墙策略、防病毒和IPS等全面的安全解决方案。OSPFoverIPSEC可以实现IPSEC通道与专线,两条IPSEC通道之间互为备份,自动切换。而移动用户则可以使用FortiClient这样的IPSEC客户端方式连入公司,实现家庭和远程办公,也可以采用SSLVPN这样的基于浏览器的免客户端方式连接到公司的内网。
直觉上,FortiGate1240B产品尺寸略大,这是这款设备唯一美中不足的地方。