FortiNet推新一代極速防火牆

防火牆的作用，是作為防禦外來攻擊。如今防火牆也提供了VPN連線，控制內部用戶的行為，甚至不同終端的接入權限等不同功能。

研究機構Gartner定義「新一代防火牆」（Next Generation Firewall），必須具備入侵防禦（Intrusion prevention systems, IPS）功能，能夠偵查防禦從Web而來攻擊程式。

近年以來，業界一直討論新一代防火牆的標準。新一代防火牆幾乎必須具備IPS，包括了應用控制（App Control），能夠辨別不同應用程式。去年佔Gartner領導廠商的位置，包括了Alto Palo Networks和推出Application Control Software Blade的CheckPoint。Juniper的SRX系列也具備AppSecure功能。思科也表示ASA防火牆新版本加入類似性能。

UTM性能比新一代防火牆更廣泛

功能更廣泛的UTM防火牆，究竟可否歸類作新一代防火牆？FortiNet一向領導著UTM的市場。其實，UTM包括更廣泛功能；包含防毒、反垃圾郵件、網站過濾、甚至數據防洩（DLP）。而FortiNet的AppControl性能一向甚強，所以也被Gartner評為「執行上較佔優」的新一代防火牆技術。

近年，大部分應用採用HTTP協定的80埠位，導致防火牆須從網絡協定的應用層，來辨別和控制流經的應用。例如不少用戶利用網上的Web電郵，甚至Web介面網上遊戲；傳統防火牆難以控制。防火牆從網絡第三層的設備，變為從應用層去監察應用，幾乎已成大勢所趨。應用透過Web協定去實現，上一代的防火牆也難以控制個別用戶行為，必須結合目錄系統。例如亞太區流行的QQ應用，很易導致變成病毒入侵，卻難以按用戶來控制如何使用QQ。FortiNet很早就具備控制QQ的性能，也特別受亞太區用戶歡迎。

據FortiNet資料顯示，FortiGate防火牆可辨別超過1900種獨立應用，作不同程度的控制。新一代防火牆執行的AppControl，可按不同用戶，甚至存取的內容，來分配不同的權限，FortiNet也能結合微軟Windows的AD目錄，從AD管理分派用戶權限。近期FortiNet甚至為防火牆加入了Wi-Fi控制器性能，只要接上Access Point就能讓用戶漫遊，行為也受防火牆監視控制。如果說ortiGate的FortiOS是現今最多功能UTM作業系統，相信也絕不為過。

UTM深受中型市場歡迎，高階市場接受性仍較低。UTM防火牆一般雖有高度的整合性，問題是會否隨流量上升，性能就大打折扣。FortiNet一直強調FortiGate防火牆利用高性能ASIC芯片，擴充力甚強，也陸續推出多款高速UTM防火牆，證明速度足以應付任何環境挑戰。

5101C支援極高速IPv6吞吐量

FortiNet技術方案經理李永健表示，FortiNet宣佈推出FortiGate 3240C及刀鋒設計5101C模組式5防火牆，針對金融及服務供應商市場。3240C高度只有2RU，吞吐量卻達40Gbps，為同級防火牆速度最快。具備12個10GbE的以太網埠位，又有16個1GbE埠位，而10GbE埠位密度也為同級之冠。

「3240C已符合IPv6制式要求，備有多項身份驗證的選項。5101C則支援FortiGate 5000系列兼容ACTA標準的機箱式系統，例如5140B機箱插滿5101C刀鋒，可提供100 Gbps的IPv6防火牆吞吐量。每片5101C可支援300個虛擬領域，保護向不同客戶提供虛擬環境的服務供應商。」


針對金融市場運算保安

李永健表示，3240C和5101C針對大企業及金融市場，甚至電訊商市場；可供多租戶環境提供虛擬化防火牆。FortiNet高階防火牆的延遲性（Latency）低，反應速度可維持低於10 Microseconds，特別針對金融業的環境。Microsecond單位為百萬分之一秒的速度。他表示，同級防火牆一般只能達到約70至100 Microseconds。

金融市場交易系統一般利用FIX（Financial Information Exchange）應用協定作通訊，封包體積非常細。李永健說：「部分防火牆一旦遇上FIX協定，效能迅速下降。FortiGate防火牆處理FIX封包，反應仍可維持於10 Microseconds以下，3240C從吞吐量和反應速度，均優於同級產品。」

流動設備盛行，也導致難以執行有效保安政策，企業必須支援更多不同終端設備。

去年，FortiNet推出了FortiClient，安裝在不同的設備上，可確保其連接入企業網絡之時，遵從不同級別的限制。例如按存取的不同終端設備，甚至身份來設定權限。例如員工可利用較有彈性的IP-Sec建立VPN，而客戶或業務夥伴則以限制較大的SSL-VPN連接，更有效控制流動設備。李永健預計，隨著LTE普及，服務供應商必須安裝更高速的企業級防火牆，攻擊變化更加多端，上述產品也可應付高頻寬的流動運算環境。