David 发表于:14年07月29日 15:15 [来稿] DOIT.com.cn
近日,网络安全领导厂商Fortinet中国区发布了最新一款高性能的NGFW 1500D。该款防火墙产品是D系列FortiGate的中高端产品,应用于园区边界以及大型企业与MSSP,提供同价位产品5倍的性能的同时更强的“下一代”安全防御能力。
FortiGate-1500D 搭载了最新发布的FortiOS 5.2操作系统;提供更强的“下一代”安全防御能力着重体现在以下几个方面:
1. 可与NSS DBS(违规检测系统)推荐级FortiSandbox沙盒产品集成联动,形成了APT防御的框架。沙盒技术是如今防御APT(高级持续性威胁)的主流手段,FortiSandbox沙盒产品提供了可模拟网络对象的环境,并对其进行行为以及生命周期分析,根据可疑程度进行标注,及时更正与更新系统。NSS Labs 威胁检测系统测试中,FortiSand-3000D中获得了高达99%的违规检测能力,以及1400万的并发吞吐,荣获推荐级产品。FortiSandbox与FortiGate的联动,无疑是用户网络中APT防御体系的构建中“尖端”的武器。
2. 深层的应用控制。应用成为网络流量中的主要构成,对应用的深层控制能力,是下一代安全防御能力的体现。 FortiOS 5.2版本中出厂自带云存储服务,同时可根据应用的用户与账户以及账户类型、以及颗粒化的文件传输控制,从而对应用的行为具有更深的洞察力。
3. 深层流式反恶意软件:新增基于深层数据流的高级反恶意软件引擎,比传统特征文件对比和启发式扫描更强大。高速数据流分析和广泛的主动侦测技术,包括脱壳还原和行为模拟。
除此之外,搭载了FortiOS 5.2的FortiGate-1500D,在易用性方面亦做了大力的提升,例如策略表控制允许对象在策略表之间进行拖拽、丢掉服务与配置等操作;以及FortiView基于用户设备、应用程序、网站和威胁显示,包括危急程度和深入逐层检视(drill down),进一步的加速了配置管理与威胁响应速度,使网络的可视化程度更清晰。
FortiGate-1500D
同时,FortiGate-1500D,如同其他D系中高端新品一样,升级了FortiASIC NP网络处理与CP内容处理器分别至第六与第八代 (NP6与CP8),每一次FortiASIC硬件加速的升级,都意味着在性能上相比上一代提升了一倍。NP6相比上一代NP4加速的优势,主要体现在新建会话率与设备接口转发性能提升,而CP8处理器用于多功能防火墙的七层功能(DPI等)安全加速,比如IPS、应用识别等。籍由此,2U的FortiGate-1500D可提供80G的防火墙吞吐,具有1200万并发会话, 25万每秒新建会话能力,以及11Gbps的IPS吞吐。
那么,落在用户层面与应用场景,最主要的性能考量除了防火墙吞吐量外,实际场景的处理能力也很重要。比如在实际场景中,不可能在没有基础流量的情况下产生新建连接请求。因此防火墙在已有大量背景流量的情况下,还能达到很高的新建连接速率,就证明了设备能够具备很高的实际场景处理能力。FortiGate采用了通用CPU搭配自研ASIC芯片的多芯片分布式处理架构, 这样的好处是高性能(尤其是小包吞吐、包转发率和延迟等网络设备关键指标),低功耗。而结果就是让FortiGate的性能与安全功能不会相互妥协。
FortiGate-1500D的部署不仅可作为NGFW,对于小型数据中心,也是理想的选择。FortiGate-1500D在2014年NSS 数据中心防火墙测试中同样获得了“推荐级”产品。