Fortinet的FortiGate安全防护系统是领先市场的产品,其整合了完整的功能、简易的操作、经济的价格与高性能的表现。通过防火墙的安全防护,FortiGate系统得以迅速地识别与防御各种攻击,例如SoBig与Netsky等。此外Fortinet的产品极具扩充性,可依不同规模的网络作选择,其中的安全功能包括了状态检测防火墙、VPN、防病毒、IPS、Web过滤、反垃圾邮件与流量控制等。Fortinet的FortiManager与FortiAnalyzer提供集中管理系统,可同时管理上千台FortiGate系统,并且可以产生报表供内部审计与事件关联性对比。
Fortinet的防火墙特点如下:
采用ASIC加速硬件与专用安全操作系统
提供应用层的安全
虚拟安全域(Virtual security domains)与安全区域(security zones)
高可用性
安全区域(security zones)与基于策略的(policy-based)设定
VoIP 网关
动态路由协议(Dynamic routing protocols): RIP, OSPF, BGP
详细的记录与报表
产品型号 产品描述
FG-50B 3 口(10/100)以太网口、2 口WAN口、 50Mbps吞吐量、25000个并发会话数、20个VPN通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。
FG-60U 7口(10/100)以太网口、 70Mbps吞吐量、50000个并发会话数、40个VPN通道数、500条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-100A 2个WAN口,2个DMZ口,4口(10/100)以太网口、100Mbps吞吐量、200K个并发会话数、80个VPN通道数、1000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-200A 2个WAN口,2个DMZ口,4口(10/100)以太网口、 150Mbps吞吐量、400K个并发会话数、100个VPN通道数、2000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。双网口可做负载平衡。
FG-300A 4口(10/100)以太网口、2个1000M以太网口, 400Mbps吞吐量、400K个并发会话数、1500个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、内嵌日志
FG-400A 4口(10/100)以太网口、2个1000M以太网口,400Mbps吞吐量、400K个并发会话数、2000个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志
FG-500A 8口(10/100)以太网口、2个1000M以太网口,500Mbps吞吐量、400K个并发会话数、2000个VPN通道数、5000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志
FG-800 4口(10/100/1000)以太网口、4个(10/100)用户可定义端口、 600Mbps吞吐量、400000个并发会话数、2000个VPN通道数、20000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘
FG-800F 4口1000M以太网口、4个1000光纤口、1Gbps吞吐量、400K个并发会话数、3000个VPN通道数、200M吞吐量、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、
FG-1000 4口(10/100)以太网口、2个1000base-T口、 1Gbps吞吐量、600000个并发会话数、3000个VPN通道数、30000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。支持VLAN、流量控制、高可用的冗余备份、内嵌日志、20G硬盘
FG-1000A 4个10/100M端口,2个1000M端口,每秒连接数600000新建连接数,并发连接数15000并发连接数
FG-3000 3口(10/100)以太网口、2个1000base-SX口、1个1000base-T口、 2.25Gbps吞吐量、975000个并发会话数、5000个VPN通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘
FG-3600 1口(10/100)以太网口、4个1000base-SX口、2个1000base-T口、 4Gbps吞吐量、1M个并发会话数、5000个VPN通道数、50000条策略数、支持内容过滤、入侵检测、病毒蠕虫扫描。内嵌日志、20G硬盘
FortiGate-500 病毒防火墙是多个区域的安全解决方案。本系统可以将企业的网络划分成不同的独立区域,在每个区域内都可以定义所属的安全策略。FortiGate-500 病毒防火墙具有12个可定义的网络接口,1U高,实现比其它系统更为经济、高密度、低成本的安全解决方案。
本系统有12个10/100M以太网接口,和多个安全区的功能,部署最为灵活。
本系统能够实现屡获殊荣的各个网络安全功能,包括网络病毒防护、防火墙、VPN和入侵检测/阻断等。
FortiGate-500A 并发会话数400000新建会话数10000,处理能力600M/3DES处理能力150M,3000个VPN通道
FortiGate-500A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全、富有弹性的安全防护体系。FortiGate-500A系统平台具有两个 10/100/1000通讯接口,为企业扩展到千兆环境提供了便利。并提供 4个用户可以定义的 10/100通讯接口,支持冗余的WAN接口,高可用性和多个安全区域等等。网络管理员可以针对所属的区域制定完善的安全策略和网络流量控制。此外,本系统还有4个交换接口,方便用户使用。
特别适合企业级的网络架构,提供高速的传输率,高性能和低成本的安全解决方案。
具有6个10/100M的网络接口和4个10/100M交换接口,满足未来灵活部署的需要。
FortiGate-800 并发400000新建10000,1000M/200,3000VPN
FortiGate-800 病毒防火墙为大型企业提供了高性能、高安全性、灵活的网络安全系统。FortiGate-800可作为高效率的病毒和内容过滤的网关;或者作为企业网络的防火墙,实现所属网络的完全内容防护,包括入侵检测/防御和vpn 等功能。FortiGate-800系统具有四个10/100/1000网络接口,4个用户定义的10/100接口,实现细粒度的多区域的安全,网络管理员可以把他的网络划分为多个区域,在区域之间创建策略。
具有4个10/100/1000 以太网络接口,为企业升级到千兆网络提供了便利。
是大型企业的理想解决方案,实现性能高、部署灵活、可细粒度控制网络流量等特点。
FortiGate-1000A 病毒防火墙是一个能够达到千兆吞吐量的高性能解决方案,
可以满足大型企业对可靠性的需求。可选的FortiGate-1000AFA2装备有采用
了FortiAccel技术的2个接口,可以大幅度提高小包的处理能力。FortiGate-1
000A产品可以很容易部署于现有网络,可以作为病毒和内容层的过滤,也可
以作为一个全面的解决方案。对HA的支持和热插拔电源,确保了关键业务的
不间断运行。
FGT-1000A 有10个10/100/1000M 的三速Base-T接口
FGT-1000AFA2 有10个三速接口和2个可拔插的小包线速接口,是VoIP用
户的理想选择。
FortiGate; 企业级系列产品包括 FortiGate-400、400A、500、500A和800,能够满足普通企业的对性能、可用性和可靠性的需求。它们和其他型号产品一样具有所有主要功能,比如集成的防病毒、防火墙、VPN、IPS和流量整形等功能。企业级产品的吞吐量最大可以达到1Gbps,具有高可用性(会话级别切换),多个安全区等功能,因此说它们是企业的关键应用的最佳选择。
FortiGate-400 并发会话数400000,新建会话数10000,处理能力500M,3DES处理能力140M,1500个VPN通道
2 GE and 4 10/100 以太接口
FortiGate-400 病毒防火墙为企业级的网络安全设备。能够即时监测病毒与蠕虫、过滤网络数据包内容,并提供高效能之防火墙、VPN、和流量监控等功能。FortiGate-400病毒防火墙具备所谓的高可用性(HA)和故障恢复功能,完全可以满足企业的关键业务的安全需求。
本产品为中型企业提供全方位的网络防护的最佳解决方案。
多重安全区的管理可以实现完了国分段的功能,网络管理者可以针对所属安全区的子网络制定完善的安全策略和网络流量控制。
FortiGate-400A 病毒防火墙为日益扩大的企业用户提供了高性能、高安全的,部署灵活的安全防护体系。FortiGate-400A的系统平台具有2个10/100/1000通讯接口,为扩展到千兆环境预留了空间,4个可用户定义的10/100通讯接口,可以实现冗余的WAN接入。本系统具有高可用性与多个安全区管理的功能,网络管理者可以针对所属的区域定制完善的安全策略和网络流量控制。
本产品具有2个千兆以太网接口和4个可用户定义的10/100个接口,可以满足中型企业的扩展性要求。
可以作为高性能的病毒和内容过滤的网关;或者作为企业网络的防火墙,提供所属的网络的全面的内容防护功能,其包括入侵检测和防御与vpn等功能。
中小型企业系列产品/适合于家庭办公室和中小企业的 FortiGate; 安全平台
FortiGate–50B、60系列、100A、200A 和 300A 病毒防火墙是功能强大,多
合一的网络安全解决方案。本系列的产品适合于小型办公室、家庭办公室、
中小企业、分公司办公室等等客户。产品管理界面简单易操作,为客户降
低了使用成本和超额的价值。 本产品具有多种安全功能 – 包括防病毒、防
火墙、VPN、入侵检测/防御、内容过滤和流量控制等。现在我们的企业客户
能够在不降低网络性能和不增加成本的基础上,享受网络安全服务。 FortiG
ate的安装向导可以帮助客户经过简单的几步,几分钟内就可以完成安装和运
转。设备的吞吐量从30Mbps到200Mbps。FortiGate-50B、60 系列、100A、
200A 和 300A 能够保护企业的网络,使其免受网络的攻击与威胁。
FortiGate-50B 5 10/100 ,并发25000新建2000,50M/48,20VPN
FortiGate-50B 可以满足小型办公室/家庭办公(SOHO)应用需求。安装向导使得安装部署简便易行,几分钟内就可以让FortiGate-50B运行起来。FortiGate-50B 功能全面,可以抵御混合攻击,适合于10个以内人员的远程办公和小公司的使用。
对与远程办公室、零售店面、远程办公和企业应用来说是非常理想的。
可以在基于网络的病毒、Web和邮件的内容过滤、VPN、防火墙、网络入侵与防护、流量整形等方面,立体构成网络防御体系。
FortiGate-60/60M 支持双WAN接入,实现冗余 7 10/100 ,并发50000新建2000,70M/20,50VPN
的Internet连接。FortiGate-60M还支持模拟modem,实现线路的备份。
采用了硬件加速、基于ASIC加速,实现极高的性能和稳定性
对于需要防火墙、防病毒、VPN和入侵检测与防御等多种安全的功能的企业来说是非常理想。
FortiGate-60 ADSL 7 10/100 ,并发50000新建2000,70M/20,50VPN
FortiGate-60 ADSL 集成了ADSL modem。它支持多种ADSL标准,包括ANSI T1.413 issue 2, ITU G.dmt and ITU G.lite, 以及Annex A。
在外地办公室和远程办公通过ADSL连接到总部这种环境下,该产品提供了一个完整的安全解决方案
所集成的4个交换接口减少了额外的交换机和HUB的需求,节省了资源和管理成本
FortiWifi-60 是第一款为无线环境提供一体化安全解决方案的产品,它是中小企业、零售连锁店、远程办公的最佳选择。
支持802.11a/b/g无线和有线接入,这样可以对无线和有线接入都部署防病毒、防火墙、VPN、内容过滤、入侵检测与阻断等网络安全服务
对WLAN可以实现IPSEC加密VPN和WEP,实现了无线接入的安全体系
FortiWifi-60AM 集成了一个模拟Modem,用作线路备份
FortiGate-100A 8 10/100 ,并发200000新建4000,100M/40,80VPN
FortiGate-100A 是小公司的理想的选择。支持双WAN连接,可以实现Internet接入冗余,集成的4个交换接口,可以替代一个交换机或HUB。
双 DMZ接口,方便服务器的部署
双WAN接口实现了多ISP的冗余、负载均衡
FortiGate-200A 8 10/100 ,并发400000新建4000,150M/70,200VPN
FortiGate-200A 适用于中小型企业。FortiGate-200A支持双WAN连接,可以实现冗余的Internet接入,集成的4个交换接口,可以替代一个交换机或HUB。
中小型企业和组织的高性能的、实时的解决方案
四个可路由的10/100接口和4个内部交换接口
FortiGate-224B 是Fortinet将立体多层安全防护与网络登陆集成在一起的首款产品。FortiGate-224B实现的端口级别的访问控制,是将2层交换设备与传统的FortiOS技术集成在一起的产品。它是全面的有效的局域网的安全解决方案。
将网络安全策略部署于接口级别上,强化了网络安全体系。FortiGate-224B是针对入侵攻击、病毒、蠕虫、拒绝服务攻击、间谍软件。
把安全体系与网络交换功能整合在一起,降低了部署的复杂性。
自动地响应和自我修复性隔离,降低了网络管理的运行成本。
FortiGate-300A 4 10/100.2 G ,并发400000新建10000,400M/120,1500VPN
FortiGate-300A 病毒防火墙的性能、灵活性和安全足以满足中小规模的网络的需求。FortiGate-300A平台具有两个10/100/1000 三速以太网接口,适合于千兆网络和要升级到千兆网络的环境。
和市场上其它产品来比,其性能、价格、功能都值得称道
有两个千兆接口和四个用户可定义的10/100接口
公司总部设在美国加州Sunnyvale,在北美、欧洲、亚洲地区都设有客户支持、开发和销售办公室, 以支持客户持续不断的成功。Fortinet通过世界各地的渠道合作伙伴网络来销售产品系统和预订服务。
飞塔防火墙创建
Fortinet由Ken Xie(谢青)在2000年创建,Ken Xie曾经是NetScreen公司(后为Juniper公司以35 亿多美元并购)有远见的创始人、总裁和CEO。 Fortinet由一支强大的、在网络和安全领域富有丰富经验的管理团队领导。 处于领先地位的Fortinet,作为一家私有网络安全公司得到工业界资深的风险基金投资超过一亿美元。
如何配置 FortiGate 双出口 2009-12-04 17:22:03 来源 :未知 作者 :FortiNet 【大 中 小】 如何配置 FortiGate双出口 1.适用范围 所有的 FortiGate设备。 2. 概述 本文描述的是 FortiGate 在具有不只一个出口时的典型配置及相关考虑。 从链路备份及负载均衡 2 个不同的角度来考虑, FortiGate 双出口配置方案可以 被分为以下三种: 情 况 是否具有链路备份 是否具有负载均衡 1 Yes No 2 No Yes 3 Yes Yes 下面我们将详细说明一下以上三种不同配置的 FortiGate 的区别。所有的 三种配置案例下,都需要添加相关的防火墙策略以达到相关功能。 3. 情况一,双链路具有链路备份功能但没有负载均衡功能 定义,所谓具有链路备份功能但没有负载均衡功能指只有当其中一个出口已 经无法出网的时候才
硬件防火墙的功能-防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
在具体应用防火墙技术时,还要考虑到两个方面:
一是防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。
总之,防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
(1)设置网卡IP地址为192.168.1.234,子网掩码为255.255.255.0,网关为192.168.1.1。
(2)设置DNS为61.177.7.1。
(3)Linux防火墙设置,禁用SELinux,启用防火墙,信任WWW、FTP、SSH、SMTP端口。
(4)设置防火墙,使能信任TCP协议的POP3端口。
防火墙技术防火墙种类
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个"传统"的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通 过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。 在实际工作中,应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件,使用时工作量大,效率不如网络级防火墙。 应用级网关有较好的访问控制,是目前最安全的防火墙技术,但实现困难,而且有的应用级网关缺乏"透明度"。在实际使用中,用户在受信任的网络上通过防火墙访问Internet时,经常会发现存在延迟并且必须进行多次登录(Login)才能访问Internet或Intranet。
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网 络的结构和运行状态便"暴露"在外来用户面前,这就引入了代理服务的概念,即防火墙内外计算机系统应用层的"链接"由两个终止于代理服务的"链接"来实现,这就成功地实现了防火墙内外计算机系统的隔离。同时,代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件(如工作站)来承担。
该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点,但是不同于一个应用级网 关的是,它并不打破客户机/服务器模式来分析应用层的数据,它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。