Fortinet FortiGate-111C 评测

[nishat@264]

FortiGate-111C 是 Fortinet SMB 设备系列中的顶级产品，可提供一系列卓越的安全措施。它的基础是标准的 SPI 防火墙以及 IPsec 和 SSL VPN，此外还添加了入侵防御、防病毒、反恶意软件、反垃圾邮件、Web 过滤和 P2P 应用控制。

然后还有数据泄漏防护 (DLP)、Fortinet 的 FortiAP 无线 AP 的集成管理、端点保护和漏洞扫描。可选的 64GB SSD 可用于高速 Web 缓存、日志记录、DLP 存档和隔离。

成对的设备可用于实现高可用性，在站点到站点链路的两端各使用一个设备，它们可以执行 WAN 优化。111C 有八个交换式 10/100 以太网 LAN 端口和一对千兆 WAN 端口。它支持 NAT 和透明模式，我们使用后者将其置于实验室的 LAN 和互联网连接之间。冷却风扇噪音很大，因此设备需要放在机柜中。

Fortinet 引用了令人印象深刻的性能数据，入侵防御 自雇人士数据库 系统 (IPS) 吞吐量为 450Mbits/sec。我们使用实验室的 Ixia Optixia XM2 机箱（配备两个 Xcellon-Ultra NP 刀片）进行了测试，结果吞吐量稳定在近 460Mbits/sec。


Fortinet FortiGate 111C

网页界面打开后会显示一个智能仪表板，可以使用小工具进行自定义。其中包括选定接口的流量历史图表、热门应用程序和会话的表格、许可证信息、缓存使用情况和系统资源。

防火墙策略包括源、目标、计划、服务和操作，您可以为每个策略分配各种 UTM 配置文件。防病毒配置文件定义您要扫描的协议以及是否要删除或隔离感染。


Fortinet 自己的 URL 过滤数据库提供了八个主要类别和近 80 个子类别。您可以阻止或允许整个类别或子类别、激活每个条目的日志记录、应用使用配额并启用全局安全搜索功能。

应用程序控制策略使用传感器来控制选定的应用程序，Fortinet 提供了近 2,000 个可供选择的应用程序。FortiGuard 反垃圾邮件措施还通过决定扫描哪些邮件协议以及如何处理垃圾邮件的策略进行控制。

为了进行测试，我们创建了一个策略，标记可疑邮件并将其传递给我们的 Outlook 客户端。在为期三周的测试结束时，我们看到了令人印象深刻的垃圾邮件检测率，接近 99%，只有 8 个误报。

DLP 策略会扫描流量中的文件类型、文件大小、指纹、条件或表达式（例如信用卡号和社会保险号）。要使用指纹识别，请将文件上传到设备或将其指向远程位置，然后它会为每个文件生成校验和。

DLP 传感器策略只能监控和记录活动，但对于敏感文件，您可以阻止传输或隔离发现流量的用户、IP 地址或设备接口。

对于漏洞扫描，您可以使用基于 IP 地址和范围的资产定义，并且可以为每个条目分配 Windows 和 Unix 身份验证详细信息。可以对选定的定义运行手动或计划扫描，这些扫描可以在三个级别上运行：端口 80、所有常见应用程序端口或全范围。

Fortinet FortiGate 111C