Post view

insoler社群網站升級到100M/100M,卻因為防火牆校能不足只剩33M

之前有發表過這篇新聞,我們將會把光纖網路從舊的16M/8M一口氣升級到100M/100M!Laughing

insoler社群的光纖網路將升級100M/100M

然而,等到中華電信安裝好100M/100M的光纖網路以後,就真的能跑出100M/100M的效能嗎?Think讓我們來實際測試看看,結果好像還滿不錯,雖然達不到「理論上的100M/100M」數值,但至少也有95M/81M的速度!只不過這是把MacBook Pro電腦直接連接在「光纖集線器」上面,使用「1000M速度的網路」測試出來的結果:

如果是改用「100M」網路線的話,校能會更降低許多嗎?幸好答案是不會降低太多,但似乎會略低一點點。Laughing

但如果把MacBook Pro連接到目前BNW的「雙層防火牆」的內部網路上,再來測試的話,只會跑出33M/25M這種成績了!Shock Horror

顯然我們使用的老舊「防火牆」的校能太差,需要更換「最大防火牆處理能力 : 100 Mbps」以上的防火牆,甚至最好是「最大防火牆處理能力 : 300 Mbps」!因為通常標示「最大防火牆處理能力」就表示是在「沒有過濾檢查」的條件下測試出來的結果,如果增加了一堆防火牆的檢查過濾規則,效能肯定會下降許多,因此需要選購「最大防火牆處理能力 : 300 Mbps」以上的防火牆,實際上比較能跑出真正100M/100M的傳輸效率!Laugh Hand

因為「雙層防火牆」的關係,每一道都會減損一些效能,因此如果直接連接在第一層訪火牆上,會不會好一些?答案當然是肯定的!雖然把MacBook Pro直接「連接在ZyWALL 70的DMZ」網路埠上面,但似乎也沒有好太多!Sigh

前面有提到「增加了一堆防火牆的檢查過濾規則,效能肯定會下降許多」,因此關掉防火牆管理界面的「Firewall」檢查過濾功能,當成普通的「IP分享器」的話,頂多也只能跑出47M/34M的效能。因此這台ZyWALL 70防火牆的最大能力,大約只能應付「50M」光纖網路。Sigh

為了提升防火牆檢查過濾效能,我訂購了一款性能更好的防火牆,但因為防火牆還沒有完全設定好,因此暫時連接在「第二層防火牆」底下。也因此就算是「ZyWALL 70 + FortiGate 110C」仍舊只能跑出43M/32M的「下載/上傳」的速率!因為整個校能都被老舊的「ZyWALL 70」拖垮了!Sigh

這台「FortiGate 110C」防火牆的效能高達「最大防火牆處理能力 : 500 Mbps」就算升級到最新的系統版本FortiOS 5.2.15,再加上一大堆的檢查過濾條件,應該也只會降低到400Mbps〜200Mbps左右,不太可能會低於100Mbps,因此絕對能滿足現在的「100M/100M」或是將來的「200M/200M」的光纖世代的速率。Laughing

最大防火牆處理能力 : 500 Mbps
最大IPSec VPN 處理能力 : 100 Mbps
最大防毒處理能力 : 65 Mbps
最大 IPS 處理能力 : 200 Mbps
提供介面數 : 2個Copper GigE 10/100/1000 Base-T、8個10/100 Base-T

幸好我們不需要防毒,所以開啟防火牆內藏的防毒功能的話,反而會受到「最大防毒處理能力 : 65 Mbps」的影響,最多也只能跑出65M的速率,這當然不是我們想要的速度。

我需要花更多時間研究「FortiGate 110C」防火牆的命令列指令,因為全部的IPv6都必須使用SSH指令才能設定,無法在網頁介面上設定IPv6、DHCP6!因此等到「FortiGate 110C」防火牆正確設定完成,就會替換淘汰有點老舊的ZyWALL 70防火牆,當做備用防火牆暫時先擱置不使用。

如果萬一「FortiGate 110C」防火牆當機、故障、燒毀等,就可以緊急換上ZyWALL 70防火牆替代一下。畢竟過於老舊的ZyWALL 70效能太差,已經無法滿足現在100M/100M光纖網路的速率需求。


新款中小型UTM機種 FortiGate-110C正式上市

經濟景氣不佳,企業在採購資安產品時也格外精打細算,因此廠商紛紛推出「俗擱大碗」的高成本效益產品,用更低的價位提供更高的規格來吸引買氣。日前Fortinet針對中小企業及遠端辦公室推出最新的UTM(整合式威脅管理)網路防火牆安全設備FortiGate-110C,相較於市面上的同級產品,價格/效能比相當優越,堪稱中小型用戶的超值選擇。

Fortinet代理商群環科技表示,FortiGate-110C針對中小型辦公室的需求設計,主要特色在於擁有最佳的防火牆及IPSec VPN效能與最佳的介面埠密度,在強大的綜合安全防護能力之餘,安裝維護設定卻極為簡便,可大幅降低中小企業的管理人力負擔,達到最低的整體擁有成本。
FortiGate-110C具備與所有FortiGate高階產品相同的多層式安全防護功能,能輕鬆安裝並自動下載即時更新檔,協助防禦最新的病毒、網路漏洞、蠕蟲、垃圾郵件、網釣攻擊和惡意網站,24小時不間斷的防護,在抵禦各種最新網路威脅的同時,卻幾乎不需要管理人員來維護。

雖然是小型機種,FortiGate-110C效能卻不含糊,內建的新一代FortiASIC內容處理器技術,以硬體方式透過高速ASIC晶片來處理流量,IPSec VPN效能可達100Mbps、防火牆效能可達500Mbps,對於多數中型辦公室而言相當充足。

在網路介面方面,機架式1U規格的FortiGate-110C提供了2個10/100/1000 WAN介面,以及8個10/100用戶可定義介面,可兼顧網路升級與擴充。相較於其他品牌的同級機種,其連接埠明顯較多,如此一來毋須額外購買交換器產品,即可擁有充足的彈性部署進行網路分割,能提昇網路擴充與高可用性的配置。

根據多家研究機構統計,Fortinet是全球UTM產品的領導廠商,也是業界唯一通過六種 ICSA認證(防火牆、防毒、IPSec、SSL、網路IPS和防間諜軟體)的資訊安全設備。

目前Fortinet在台灣有群環科技、中飛科技、力麗科技、肯懋科技及聯達資訊等五家代理商,此次配合FortiGate-110C全新上次,特別提供相當具有競爭力的促銷價格,還有許多額外好康優惠,在一片預算緊縮聲中預料仍可獲得不錯的市場反應。

Fortinet Fortigate 110C防火牆 提升封包處理速度 平價也能擁有高效能

針對中小企業所推出的整合式網路安全設備,雖然標榜提供防毒、防火牆、入侵偵測等功能,然而受限於封包處理速度不夠快,往往會拖累應用程式的傳送速度,最後只好採購單一功能的安全設備,來提高資料處理的速度。而Fortinet新推出的Fortigate 110C防火牆,則強化了封包傳輸速度,光是防火牆過濾封包的效能就高達500 Mbps,整體效能直逼中大型產品。

面臨來自四面八方的網路攻擊,防火牆、入侵偵測、防毒設備,都成為企業中不可或缺的資安設備,而中小企業受限於預算不足與人力有限,紛紛採用整合式安全網路產品(UTM),希望能1次解決各種網路問題,然而封包處理速度不佳的問題,卻也經常拖累既有應用程式的傳輸速度,讓許多企業傷透腦筋。

Fortinet剛推出的FortiGate-110C防火牆,其實就是1台UTM,採用了Fortinet全新設計的新一代FortiASIC晶片,徹底改變了UTM給人效能不佳的刻板印象,光是防火牆封包過濾速度,傳輸效能就高達500 Mbps,防毒與入侵偵測的效能也分別達到65Mbps、200Mbps的水準,同一時間最多可支援40萬個連線,整體效能直逼中大型企業所使用的產品。

Fortinet推出的FortiGate-110C防火牆,其實就是1台UTM,不過確徹底改變了以往UTM給人效能不佳的刻板印象。Fortinet
FortiGate-110C的黑色外觀與上一代產品差異不大,產品前方面板支援8個LAN埠、2個WAN埠、2個USB埠,不過,其LAN埠僅支援100Mbps傳輸速度,或許尚能滿足中小型企業用戶的需求,但是若能提升到GbE的規格,將會更符合多數企業的使用現狀。

相較之下,其WAN埠具備GbE規格就很令人滿意,並且提供專線備援與分散流量功能,可提升資料傳輸的穩定性,避免出現專線故障導致企業營運中斷的情形。另外提供的2個USB埠其實也是為實體專線備援設計,只要連接3.5G網卡,就能作為實體專線的備援線路,透過實體與無線備援的方式,能維持24小時對外網路連線不中斷。

Fortigate 110C防火牆擁有8個LAN埠、2個WAN埠以及2個USB埠。

Fortinet通過ICSA認證 穩定度讓人放心

FortiGate-110C防火牆具備相當多樣的功能,除了一般UTM常見的防火牆、入侵防禦、VPN、防毒之外,還加入了少見的流量管理與內容過濾功能,其中防火牆、防毒、IPSec、SSL、網路IPS和反間諜軟體,還通過ICSA組織認證,算是市面上功能與效能都相當完整的產品之一。

以防火牆功能為例除,除了具備500 Mbps傳輸效能、40萬個連線,還提供4,000條防火牆規則,可滿足不同行業的營運所需。

不光是防火牆功能,Fortinet也在防毒功能方面下了不少功夫。有鑑於一般UTM所提供的病毒掃描功能往往不夠完備,不但攔截病毒的能力薄弱,封包處理的速度也不夠快,反而容易成為駭客攻擊的漏洞,因此,FortiGate-110C特別內建通過ICSA認證的防毒模組,搭配反間諜軟體的功能,能夠有效攔截大多數的病毒、蠕蟲,配合線上更新病毒碼的服務,整體防護能力堪稱完善。

許多UTM產品都有提供垃圾郵件過濾的功能,FortiGate-110C也不例外,除了利用關鍵字過濾垃圾郵件,也可搭配黑、白名單的方式過濾郵件來源位址,讓垃圾郵件的篩選更為精準,減少垃圾郵件夾帶木馬、惡意程式,不但可以降低員工電腦中毒的機率,還能減少頻寬的浪費。

擁有1500VPN通道 滿足跨國企業需求

根據1項統計結果指出,色情網站向來是散播病毒的主要來源,也是木馬程式入侵企業的最佳管道,許多駭客都在色情網站或偽裝網站上安裝了各式各樣的攻擊軟體,也讓許多企業防不勝防。所以,Fortinet也加強了FortiGate-110C在入侵偵測方面的能力,不但可以阻擋Port Scan、ICMP land、IP Spoofing、ICMP Death等常見的入侵手法,也能偵測後門程式(Backdoor)攻擊等模式,還可針對使用頻率較高的通訊協定,如HTTP/HTTPS /FTP/VPN/SMTP/POP3等,進行完整掃描,讓駭客與病毒入侵的可能性降到最低。

除了被動式的防堵機制外,FortiGate-110C也具備完整的網頁內容過濾功能,能主動隔絕有問題的網站,透過URL、Keyword、Phrase Block、URL exempt List等方式,阻擋員工讀取惡意網頁,還能過濾可能隱藏在網頁中的不安全內容,讓員工上網瀏覽的過程更為安全。不光如此,該產品提供的網頁分類功能也很實用,能將網站內容歸類成76種類別,搭配企業內Windows AD帳號的設定,依照部門或個人提供不同的存取權限。

高達1,500個VPN通道讓FortiGate-110C的應用範圍不再侷限於中小企業,位於全球各分據點的員工,都能藉此隨時連回公司內部存取各種資源。產品本身支援PPTP、L2TP、SSL、IPSec等通訊協定,能夠搭配多種認證伺服器,如LDAP、CA、Xauth、RSA等,企業幾乎無須調整網路架構就可以使用,而且還提供AES、DES、3DES等資料加密技術,萬一不幸發生資料被竊的情形,也能確保資料的安全。

具備高可靠度設計 打造24小時運作環境

先前曾提到FortiGate-110C配備2個WAN埠,不僅具專線備援的功能,同時還加入流量管理機制。許多MIS都曾面臨次重要的應用程式,如IM、HTTP的流量過大,導致ERP、電子郵件等重要應用程式傳輸速度過慢的問題。透過流量管理功能,可針對不同應用程式設定優先權,以及保證頻寬、最高可用頻寬等等,讓重要的應用程式能夠享有足夠的頻寬,以維持企業正常營運。

由於一般UTM很少見到高可用性(High Availability;HA)的設計,因而讓中小企業的網路常處於高度不穩定的狀態,如今FortiGate-110C則提供了HA功能,可將2台產品組成Active-Passive、Active-Active模式,即使企業未來營運規模擴大,只需要再添購1台FortiGate-110C,就能建立完善的網路環境,已符合24小時營運不中斷的需求。

FortiGate-110C提供Web操作介面,網路管理人員可以輕易掌握產品的運作狀況,不過UTM產品都得經過細部調整,才能滿足各企業的不同需求,所以在正式上線使用前,還是得花些時間分析企業網路的使用行為,才能讓產品徹底發揮既有的效能。


FortiGate-110C最大的問題是「建議售價:237025元」!高達23萬元的防火牆,就算是「針對中小企業所推出的整合式網路安全設備」還是太貴了一些。特別是對於「奈米社群網站」的insoler來說,更是天價!

蘇言霖 2012/10/19 1 3890
Comments
Order by: 
Per page:
 
  •  ayaka: 
     
    我觉得双层没必要,第一层攻破后,就能端口转发了,完全没有设计时的意义
     
     2012/10/19 
    1 point
     
Rate
0 votes
Post info
蘇言霖
「超級懶貓級」社群網站站長
2012/10/19 (2822 days ago)
Actions