一、网络服务与支持
内建 DHCP,NTP,DNS 服务器以及 DNS 代理。Guard NTP,DDNS 和 DNS 服务。
接口模式 :Sniffer,loopback,VLAN (802.1Q),软件交换(vSwitch)。静态和策略路由ECMP 的 WAN 负载均衡和冗余。
动态路由协议:RIPv1 和 v2,OSPF v2 和 v3,ISIS,BGP4。
多播流量:稀疏模式与密集模式,PIM 支持。
内容路由:WCCP 和 ICAP。显示代理支持。
IPv6 支持:基于 IPv6 的管理,IPv6 路由协议,IPv6 隧道,防火墙和 NGFW 的 IPv6 流量,NAT64,IPv6 IPSec VPN。
二、用户和设备认证控制
本地用户数据库
远程用户认证服务支持:LDAP,Radius 和 TACACS+。
单点登录:Windows
AD, Novell eDirectory,Client,Citrix 和终点服务器代理, Radius(账号消息),用户接入(802.1x,portal)认证。
PKI 和认证:X.509 认证,SCEP 支持,认证登陆请求(CSR)创建,认证到期自动更新,OCSP 支持。
双因子认证:第三方支持,整合令牌服务器与物理令牌,软件令牌及短信息。
设备认证:设备和 OS 指纹,自动分类,清单管理用户和基于设备的策略。
三、防火墙
操作模式:NAT/路由和透明(桥)。
会话助手&ALG:dcerpc, dns-tcp, dns-udp, ftp, H.245 I,H.245 0, H.323,MGCP, MMS,
PMAP, PPTP, RAS, RSH, SIP,TFTP, TNS (Oracle)。
VoIP 流量支持:SIP/H.323 /SCCP NAT traversal, RTP pinholing。
协议类型支持:SCTP,
TCP, UDP, ICMP, IP。
分块或全局策略管理显示
策略对象:预定义,自定义,对象分组、 标签和克隆。
地址对象:子网,IP,IP 范围 ,地理 IP,FQDN。
NAT 配置:基于每条策略,集中 NAT 表。
NAT 支持:NAT64, NAT46, 静态 NAT, 动态 NAT, PAT, FullCone NAT, STUN。
流量整形和 QoS:共享策略整形,per-IP 整形,最大带宽与带宽保证,每 IP 最大并发连接数,流量优级,服务类型(TOS)和服务区分(DiffServ)支持。
四、VPN
IPSec VPN:
-远程对端支持:IPSEC 兼容拨号客户端,对端支持静态 IP/动态DNS
-认证方式:认证, 预共享密钥
- IPSec Phase1 模式:积极的和 Main(ID 保护)模式
-对端接受选项:任何 ID, 特定 ID, 在拨号用户组中的 ID
-支持 IKEv1, IKEv2 (RFC 4306)
- IKE 模式配置支持(作为服务器或客户端), DHCP
over IPSEC
- Phase 1/Phase 2 建议加密: DES, 3DES,
AES128. AES192,AES256
- Phase 1/Phase 2 建议认证: MD5, SHA1,
SHA256, SHA384,SHA512
- Phase 1/Phase 2 Diffie-Hellman 组支持: 1, 2, 5, 14
- XAuth 支持,作为客户端和服务器模式
- XAuth 作为拨号用户: 服务器类型选项(PAP, CHAP,
Auto),NAT Traversal 选项
- 可配置的 IKE 加密密钥过期时间, NAT
traversal 激活频率
- 离线对端检测
- 重播检测
- 自动密钥保持激活 Phase 2 SA
IPSEC VPN 部署模式:网关到网关,
hub-and-spoke, 全网状,冗余隧道, VPN
termination 在透明模式
IPSEC VPN 配置选项:基于路由或基于策略
定制化 SSL VPN
portal:颜色主题, 布局, 书签, 连接工具, 客户端下载
SSL VPN 域支持:允许与用户组(URL 路径,设计)相关的多个自定义的 SSL VPN 登录
单点登录书签:重用以前登录或预定义的凭据访问资源
个人书签管理:允许管理员查看和维护远程客户端书签
SSL portal 并发用户数限制
每个用户选择一个时间登录:防止并发登录使用相同的用户名
SSL VPN Web 模式:对于只配备一个网络浏览器和支持的 Web应用程序等等的轻远程客户端 ,如:- HTTP/HTTPS Proxy, FTP, Telnet,
SMB/CIFS, SSH. VNC, RDP,Citrix
SSL VPN 的隧道模式:对于运行各种客户端和服务器的远程计算机应用,SSL VPN 客户端支持 MAC OSX, Linux 的,Windows
Vista 和 64 位 Windows 操作系统
SSL VPN 的端口转发模式:使用一个 Java applet,监听本地端口用户的计算机。当它接收到来自客户端应用程序的数据,则端口转发模块进行加密,并将数据发送到 SSL VPN 设备,然后将流量转发到应用服务器。在 SSL 隧道模式连接之前进行主机完整性检查和操作系统检查(仅适用于 Windows 终端)Per portal 的 MAC 主机检查在 SSL VPN 会话结束前缓存清理选项。
虚拟桌面选项,从客户端计算机的桌面环境隔离的 SSL VPN 会话。
VPN 监控:查看和管理当前的 IPSEC 和 SSL
VPN 连接的详细信息。
其他 VPN 支持:L2TP 客户端和服务器模式,L2TP over IPSEC,PPTP, GRE
over IPEC。
五、IPS
IPS 引擎:7,000+最新的签名,协议异常检测,自定义签名,手动,自动拉或推签名更新,整合云端威胁特征库
IPS 动作:默认,监控,阻断,重置,或检疫(攻击者 IP,攻击者 IP 和目标 IP,入向流量接口)与到期时间
过滤选项:严重程度,对象,操作系统,应用程序和/或协议
数据包日志记录选项
从指定的 IPS 特征对 IP 的豁免
IPv4 和 IPv6 的基于速率的 DoS 保护(适用于大部分机型)与阈值针对 TCP SYN 洪水的设置,TCP / UDP/ SCTP 端口扫描,ICMP 扫描,TCP / UDP/SCTP/ ICMP 会话洪水(源/目标)
IDS sniffer 模式
支持 IPS bypass
六、应用控制
检测超过 3000 种应用在下列 19 个分类中:
Botnet, 协作, Email, 文件共享, 游戏, 普通 internet, IM, 网络服务,P2P, 代理, 远程访问, 社交媒体,存储备份, 更新, 视频/音频,VoIP, 产业, 特殊的, Web
(其他)
支持提交自定义应用签名
高级的即时通信应用于 Facebook 控制
过滤选项:类别,流行度,技术,风险,供应商和/或协议
动作:阻断,重置会话,只 监控,应用控制流量整形
七、威胁防护
全球 IP 信誉数据库提供僵尸网络服务器 IP 阻断本地反病毒数据库
流扫描反病毒:支持的协议-
HTTP/HTTPS, SMTP/SMTPS,POP3/POP3S,IMAP/IMAPS, MAPI, FTP/SFTP, SMB, ICQ, YM,NNTP。
代理模式反病毒:
- 协 议 支 持 : HTTP/HTTPS, STMP/SMTPS, POP3/POP3S,IMAP/IMAPS,
MAPI,FTP/SFTP, ICQ, YM, NNTP
-外部云沙盒(文件分析)支持
-文件提交黑名单和 白名单
-文件检查
-启发式扫描选项
Web 过滤检查模式支持:基于代理,基于流 和 DNS,基于 URL、 Web 内容和 MIME 头的 手动定义 Web 过滤,基于云的实时分类数据库进行动态 Web 过滤:超过 2 亿 5 千万URL,被分为 78 个类别。
安全搜索增强:透明插入安全搜索参数查询,支持 Google,Yahoo!,Bing&Yandex,可定义的 YouTube 教育过滤。
基于代理的 Web 过滤还支持如下附加功能:
-过滤 Java Applet, ActiveX 和/或 cookie
-阻断 HTTP post
-记录搜索关键词
-基于 URL 的图片速率
-基于速率阻断 HTTP 重定向
-对某些类别可由于隐私原因豁免扫描加密连接
-基于类别的 Web 浏览配额
Web 过滤本地分类和分类打分重写
Web过滤配置重写:允许管理员 暂时分配不同的配置给用户/用户组/IP
代理规避预防:代理网站类别拦截,速度由域名和 IP 网址地址块从高速缓存和翻译网站重定向,代理规避应用阻塞(应用控制),代理行为阻断(IPS)
DLP 信息过滤 :
-协议支持:HTTP-POST, SMTP, POP3, IMAP, MAPI, NNTP
-动作:只记录,阻断,检查用户/IP/接口
-预定义过滤器:信用卡号,社交安全 ID
DLP 文件过滤:
-协议支持:HTTP-POST, HTTP=-GET,SMTP, POP3, IMAP,MAPI, FTP,
NNTP
-文件选项:大小,文件类型,水印,内容,是否被加密
DLP 水印:允许通过 FortiGate 设备和过滤器,包含一个文件企业标识(文本字符串)和灵敏度等级(严重,私人和警告)隐藏水印。支持 Windows 和 Linux 的免费水印工具。
DLP 指纹:从截获的文件生成一个校验和指纹,并在指纹数据库中进行对比
DLP 归档:记录 email, FTP, IM, NNTP, 和 web 流量中的全部内容
八、终端控制
通过客户端软件管理网络设备:
-状态检查:强制客户端软件安装和所需的设置
-客户端配置监控:根据设备类型/组和/或用户/用户组推送并更新如 VPN 和 Web 过滤配置
-“离线”安全强化 :当不受网关安全保护时,自动激活安全配置
-允许客户端激活日志部署
-客户端软件支持:Windows,OS X,iOS,Android
九、高可靠性
HA 模式:主被,双主,虚拟集群,VRRP
冗余心跳接口
HA 保留管理接口
故障转移:
-端口,本地和远程链路监控
-状态故障切换
-亚秒级故障切换
-故障检测通知
部署选项:
-全网状 HA
-地理分布式 HA
独立模式会话同步
十、管理、 监控和诊断
管理接入 :通过 Web 浏 览器的 HTTPS, SSH, telnet ,console
Web UI 管理语言支持:英语,西班牙语,法语,葡萄牙语,日语,简体中文,繁体中文,韩语
集中管理支持:Manager,
Cloud 服务, web 服务 API
系统集成:SNMP,
sFlow, syslog, 合作伙伴
快速部署:USB 自动安装,本地和远程脚本执行动态,实时面板状态显示和监控插件
十一、日志和报告
日志支持 :本地内存和存储空间,多 syslog 服务器,多Analyzer,WebTrends 服务器,Cloud 托管服务,可靠的日志记录,使用 TCP 选项(RFC3195),加密日志记录,日志整合到Analyzer,批量日志上传。
流量细节日志:转发,违规会话,本地流量,无效包。
整合事件记录:系统和管理员行为审计,路由和网络,VPN,用户认证,WiFi 相关事件。
流量摘要日志格式化选项。
IP 和服务端口名决定选项。
十二、认证
ICSA 防火墙, SSL VPN, IPSEc VPN, AV 和 IPS 认证
IPv6 Ready
十三、技术参数
|
FG-30E |
FG-60E |
FG-100D |
FG-300D |
FG-600D |
接口 |
5x GE RJ45 |
10x GE RJ45 |
20x GE RJ45 |
6x GE RJ45 4xGE SFP |
10x GE RJ45 8xGE SFP |
防火墙吞吐量(1518/512/64 字节 UDP 数据包) |
0.95 Gbps |
3 Gbps |
2.5 Gbps |
8 Gbps |
36 Gbps |
防火墙延迟(64 字节 UDP 数据包) |
130 μs |
3 μs |
37 μs |
3 μs |
3 μs |
防火墙吞吐量(每秒数据包) |
4.5 Mbps |
4.5 Mbps |
4.5 Mbps |
4.5 Mbps |
4.5 Mbps |
并发会话数(TCP) |
90万 |
130万 |
300万 |
600万 |
550万 |
每秒新建连接数(TCP) |
1,500 |
30,000 |
22,000 |
200,000 |
270,000 |
防火墙策略数 |
5000 |
5000 |
10,000 |
10,000 |
10,000 |
IPSec VPN 吞吐量 (512 字节数据包) |
75 Mbps |
2 Gbps |
450 Mbps |
7 Gbps |
20 Gbps |
网关到网关IPSec VPN 隧道数 |
20 |
200 |
2,000 |
2,000 |
2,000 |
客户端到网关IPSec VPN 隧道数 |
250 |
500 |
5,000 |
10,000 |
10,000 |
SSL-VPN吞吐量 |
35 Mbps |
150 Mbps |
300 Mbps |
350 Mbps |
2.2 Gbps |
并发SSL VPN 用户数 (推荐最大) |
80 |
100 |
300 |
500 |
5,000 |
IPS吞吐量 (HTTP) |
600 Mbps |
1400 Mbps |
950 Mbps |
2.8 Gbps |
7 Gbps |
虚拟域 |
5 |
10 |
10 |
10 |
10 |
最多管理AP |
2 |
10 |
64/32 |
512/256 |
1024/512 |
最多支持Token |
20 |
100 |
1000 |
1000 |
1000 |
最多注册Client |
200 |
200 |
600 |
600 |
2,000 |
HA |
主主/主备/集群 |
主主/主备/集群 |
主主/主备/集群 |
主主/主备/集群 |
主主/主备/集群 |
外观 |
桌面型 |
桌面型 |
机架 1 RU |
机架 1 RU |
机架 1 RU |
电源 |
单AC电源 |
单AC电源 |
单AC电源 |
单AC电源 |
单AC电源 |