接下来让我们看看Fortinet FortiGate 3950B下一代防火墙与竞争对手的比较,从中可了解到评估下一代防火墙所需要关注的点。 与下一代防火墙(NGFW)领域的其他领先供应商一样,Fortinet公司的FortiGate防火墙系列包含多种型号和类别。这个FortiGate 3950B是一款企业级NGFW产品,它包含多个扩展插槽。同时,该产品配备了该公司定制化的FortiASIC处理器,用于处理应用流量分析和过滤。
显著特性 FortiGate 3950B不像Check Point 12610那么容易配置和设置,但也不是太困难。其Web管理界面非常直观,并且在设备运行起来后,该界面很……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
接下来让我们看看Fortinet FortiGate 3950B下一代防火墙与竞争对手的比较,从中可了解到评估下一代防火墙所需要关注的点。
与下一代防火墙(NGFW)领域的其他领先供应商一样,Fortinet公司的FortiGate防火墙系列包含多种型号和类别。这个FortiGate 3950B是一款企业级NGFW产品,它包含多个扩展插槽。同时,该产品配备了该公司定制化的FortiASIC处理器,用于处理应用流量分析和过滤。
显著特性
FortiGate 3950B不像Check Point 12610那么容易配置和设置,但也不是太困难。其Web管理界面非常直观,并且在设备运行起来后,该界面很容易浏览和配置。而相比之下,命令行界面(CLI)则有些麻烦,需要一段时间来适应。与其他设备相比,该FortiGate设备有一个显著的优势,即所有变更都是实时进行,而不需要“提交”变更请求。以往变更过程常常会非常缓慢和繁琐,甚至可能造成问题,比如说如果管理员忘记提交变更。
该FortiGate设备允许创建非常简单的防火墙和VPN规则。其中VPN配置选项非常容易浏览和配置,而SSL VPN选项包括门户网站和客户端。
FortiGate的用户身份验证和用户识别功能并不像其他产品那么容易配置。该产品还支持Active Directory身份验证和集成,以及其他用户信息库,但利用用户ID和属性来创建政策规则有些麻烦。不过,在配置完成后,我们创建的规则是可行的。
特别之处
3950B具有优秀的入侵防御系统(IPS)功能,且易于配置。其规则在配置中提供了大量的细粒度化和灵活性,以及多种规则和政策选项用于检测、阻止和警报。
在测试过程中,FortiGate能够成功地识别应用程序,但只能识别少数应用程序。这些特定应用程序规则还整合了主要防火墙规则库,并易于全面管理。我们还可以为这些服务配置简单的服务质量(QoS),这个很不错。
附加功能
3950B还能够检测和限制拒绝服务(DoS)攻击,其中重点在于限速类型的规则。
该产品还能够识别IP声誉和地理位置作为政策定义的属性,但我们并没有对这些进行大规模的测试。
挑战
在测试过程中,我们注意到,3950B有几个问题。首先,日志记录和报告在选项和灵活性方面感觉有点“固定化”,并且,我们不能完全根据我们的需求来调整吞吐量,即使我们使用Fortinet的FortiAnalyzer工具。
此外,当启用大量应用层功能(例如入侵防护、URL过滤、应用监控和反恶意软件)时,该系统有着显著的性能损失,特别是当启用SSL检测时。虽然我们没有专门测试性能,但性能下降能明显看出来。
总结
Fortinet的FortiGate 3950B提供的功能包括应用检测、入侵防御、应用和内容检测等。从功能方面来看,其FortiOS平台可能是最广泛的平台,相当于一个统一威胁管理系统。然而,其配置有点复杂,且当启用多个应用级检测和过滤选项时,性能受到明显影响。总体来说,该系统提供了很多好处,当你在评估用于大中型企业的NGFW产品时,这是个不错的选择。
作者
Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。