UTM Fortinet 飞塔 FortiGate-620B导购-网络安全专区

UTM Fortinet 飞塔 FortiGate-620B导购

作者：董柱编辑：赵继诚 2010-03-01 09:56 来源：IT168�

　　随着企业网络规模的庞大与复杂，网络威胁严重化趋势也日益凸显，企业用户对全面安全应对机制的需求也更为迫切。间谍软件、病毒和垃圾邮件等安全攻击的盛行,促使网络用户对安全产品的需求也更加广泛和深入，依靠单一防火墙防范各种攻击已成为历史。

　　统一威胁管理(UTM)是一款网关型硬件设备，各种应用数据均要经过它的检查、处理，因此，网络数据的处理能力非常重要。另外，如果统一威胁管理(UTM)在基本防火墙应用的基础上，再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块，处理能力会有明显下降。FortiGat企业级UTM系列产品包括 FortiGate-620B、310B、110C、200A、224B、300A、400A、500A和800，能够满足普通企业的对性能、可用性和可靠性的需求。它们和其他型号产品一样具有所有主要功能，比如集成的防病毒、防火墙、VPN、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps，具有高可用性(会话级别切换)，多个安全区等功能，因此说它们是企业的关键应用的非常好的选择。

　　企业级部署拓扑图

　　其一，统一威胁管理(UTM)是一款网关型硬件设备，各种应用数据均要经过它的检查、处理，因此，网络数据的处理能力非常重要。其二，如果统一威胁管理(UTM)在基本防火墙应用的基础上，再开启那些非常占用资源的协议分析、病毒查杀、入侵检测等应用模块，处理能力会有明显下降。也许有人会说，想要提高性能，你少开几个安全模块不就行了吗?但是，我们认为用户花钱购买UTM产品无非就是希望以较少的成本，换取更多的安全服务以及更好的统一管理方式。一旦为了保证网络应用性能，而被迫关闭很多安全防护模块，那么UTM产品和单一功能的安全产品相比，优势又在何处呢?

　　对于UTM这种新兴的网络安全产品，目前业界还缺乏足够规范的测试与评价标准。由于各个厂家对UTM概念理解的不同，也造成了UTM功能方面的差异。考察百兆级UTM产品在一个人数规模在100～500人之间的中小型企业的综合防护能力。切记不要片面追求某项测试指标的高低，应该全面考虑各种因素。

　　目前市面上的UTM产品，全功能开启后，防火墙有50%--90%的性能损失。这并不令人感到意外。小企业的UTM产品，防火墙性能80M，开网关防毒15M，开IPS也是15M，两个同时开变成12M。这种产品面对的就是100人的小办公环境，这些办公室往往是2M的企业ADSL，或是几条AD线路，最多也就是10M专线，最大投资希望在2万元之内搞定所有安全功能。

　　目前UTM的市场主要定位还是企业，很少有运营商使用。因此从市场上看，UTM还是一些企业的办公机构的用户群。因此UTM的核心在于一个产品只要能够满足用户的应用环境就可以了。百兆的UTM产品，如果火墙能够达到200M，开网关防毒后处理能力达到60M，开IPS也同样的话，完全能满足300人以内的企业用户。这种规模的企业即便是申请专线，外加上备份用的AD，总带宽往往也不超过30M。即使开启UTM的所有功能，处理能力也是够用的;但这类规模的企业一般到投资是有严格的控制，不般来说总投资不超过5万元。

　　目前，比较务实的厂商一般会选择更好的硬件来达到相应级别的过滤指标，如百兆产品也会使用伪千兆的网卡，以保证内网的高速数据包转发;并使用运算性能好的处理器，以增加内容过滤的处理能力;并对数据流进行综合检查，防止串行检查以提高处理速度，并利用多核处理器来实现并行处理，以减少时延。

　　面对UTM设备不可避免的性能损失，以及不同规模、不同需求的用户，哪些UTM才是适合的?哪些方案才是可行的?对此，有必要从国内的实际情况进行评估与比较，以便找到适合自身特点的安全产品。单一功能的安全防护设备虽然专业性强，但是往往需要多台设备配合组网，协调性、可维护性、投入成本往往不尽如人意。特别是在不同供应厂商之间出现扯皮的现象时，不利于分析网络故障的原因。而一款优秀的UTM产品往往具备基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理等特点，其整合化的优势变得非常明显。

　　但我们还要计算3年总拥有成本。首先要了解各个模块的收费情况，目前许多UTM产品，反病毒模块、反垃圾模块、VPN模块、IPS模块、内容过滤模块是单独收费的，当然也有部分厂商提供许多免费模块;第二要了解其授权模式，目前业内有两种授权模式，一种是基于每设备收费，不限制用户数;另一种是基于用户数收费，这样企业在发展过程中，可能还需要额外的费用;最后要了解其服务收费方式，一般来说UTM的服务更重要，在购买后能提供什么样的规则升级服务，及产品售后服务。一般来说是按年进行收费，多数还会一次性购买多年服务会享受一定的折扣。通过总成本，与获得到的功能与性能综合比较，以决定选择合适自己的产品。

　　大型企业综合安全产品FortiGate-620B

　　FortiGate-620B 是一款新的大型企业综合安全产品，她基于飞塔(Fortinet)公司最新的ASIC和NP芯片技术，提供多达20个10/100/1000M以太网接口，其中16个是网络安全加速接口，支持64字节小包1000Mbps线速转发。整机性能高达16Gbps(扩展AMC，达20Gbps)的防火墙吞吐量、12Gbps(扩展AMC，达15Gbps)的IPSec VPN吞吐量。在同价位产品中，每接口或每Mbps价格最低。

　　防火墙吞吐量性能比较

　　防火墙吞吐量是基于平均大小为512字节的UDP数据包

　　IPSec VPN 吞吐量性能比较

　　每Mbps 防火墙性能价格比

　　每个安全接口价格比

　　编者按

　　FortiGate新推出的旗舰产品和FortiGate-310B的高密度的端口能力和性能得益于其高效的NP2芯片技术，特别是FortiGate-620B，提供了非常好的性能和最优的性价比。具有16个全线速千兆端口，提供了最小的数据延迟和最大能力的数据转发。

　　推荐经销商

　　联强国际http://www.synnex.com.cn/juniper/partners.html

关注我们