新一代NGFW——FortiGate-3140B精解

随着NGFW的推出，人们一直对着这个同时具有许多安全功能的新一代防火墙产品有着似曾相识的感觉。毕竟在此之前，UTM也是一款有着众多安全功能的防火墙产品。于是乎，人们便开始为NGFW与UTM的差异进行长期的争辩，甚至不少人认为两者根本是同样的产品。但随着UTM领导者Fortinet也推出了NGFW产品，同时也被列入SANS 2012 NGFW安全价值图的评比行列中，似乎也为NGFW终将成为传统防火墙的正宗接班人定了案。

  飞塔中国首席技术顾问－谭杰

Fortinet所推出的第一款NGFW是FortiGate-3140B，其为一款拥有优越效能、部署弹性，并锁定大型企业的整合式安全设备。在FortiGate-3140B硬件上，该设备配备FortiASIC处理器、超高埠密度，以及来自FortiOS5.0操作系统所支援的整合式安全功能。拜FortiASIC处理器及最新一代通用型CPU的采用之赐，亦使得该设备在防火墙传输速率上，最高达到58Gbps的效能表现。如此一来，才能确保重大安全功能能跟得上网络其他各面向的脚步。FortiGate-3140B并配备10GbE以太网口，因而能为高频宽应用提供良好的安全防护。同时每台设备皆包含支援SFP+、SFP及RJ-45连线等系统配件，因而能符合最极致的弹性要求。

Fortinet新一代NGFW－FortiGate3140B

FortiGate-3140B配备最新FortiASIC网路处理器NP4及内容处理器CP7，这类专用型、高效能处理器采用专属数位引擎，可加速资源导向之安全服务。FortiASIC-NP4可在线地与防火墙及VPN功能协同工作，因而能提供针对任何大小封包的线速防火墙效能、VPN加速、异常式入侵防护、总和检查码卸载(Checksum Offload)、封包重组、流量调控及优先顺序伫列等功能。

至于FortiASIC- CP7则直接在封包流量之外运作，而能提供包括加解密卸载，以及特征式内容检测加速在内的高速密码运算及内容检测服务。此外，3140B NGFW采用FortiASIC安全处理器(SP)芯片，同时FortiASIC-SP2并提供额外入侵防护系统及针对最严苛环境之防火墙加速。

在操作系统方面，3140B的FortiOS 5.0，可说是FortiGate多重安全威胁防护平台的基础，并宣称该操作系统重新定义了网络安全。FortiOS内建了琳琅满目极其多样的各类安全服务，包括防火墙、IPSec/SSL VPN、支援AD、RADIUS/LDAP等目录服务的使用者身分认证选项、资料中心最佳化（包括Web服务器快取、TCP多工、Https卸载等）、防毒／反间谍软体、Web过滤、应用控管、高可用性、WAN最佳化、虚拟网域、无线控制器、流量调控、IPS、DLP、垃圾邮件过滤、端点法规遵循及控管等功能。其中Web过滤机支援多达76种不同类型，至于应用控管则可辨识并控管超过1,800种应用软件，而IPS则可防护超过3,000种安全威胁。

该机内建之防火墙机制，藉由状态式检查与各类型安全功能，包括应用控制、防病毒、IPS、Web过滤、VPN等安全功能，以及极端威胁资料库、弱点管理及流量检测的相整合，进而提供全面性的内容及网络防护。至于IPS功能，除了特征码式威胁侦测外，并提供异常式侦测机制，该机制可对任何经攻击行为设定档相比对之封包发出警示。同时Fortinet安全威胁研发小组会进行可疑行为分析、最新安全威胁之确认及分类，同时产生出可供FortiGuard服务提供更新特征码。

FortiGate 3140B NGFW部署环境示意图

透过该产品提供的应用控制机制，可对运行在整个网络上数以千计的应用软件，可在无关采用什么网络口及通讯协定的状况下进行安全策略的定义与执行。对于传统防火墙看起都没什么差异的Web流量，Fortinet应用控制能对此连同流量调控功能及流量式检测选项，而提供更精细应用控制能力。

另外，透过SSL加密流量检测机制，便可保护端点用户、Web及应用服务器免于加密隐形安全威胁的危害。该机制会检测并拦截加密流量，并在其路由至终端目的地之前便进行安全检测。该机制特别适用于用户端导向之SSL封包检测，例如使用者连线至云端CRM网站，抑或连进Web或应用服务器时会进行加密封包的安检。总之，该机制会将适当使用者策略套用在加密Web内容上，进而杜绝恶意威胁对各类Web服务器的侵害。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友