Fortigate 防火牆與SSL VPN 比較



贊助商連結


thx
2012-02-24, 12:22 PM
http://www.oikos.com.tw/upload_pic/1028_11266.JPG
上圖是以前天價到死的 fortigate 200A 以前一台要 20萬
剛好朋友公司要清 我自己需求是二台 (我中國朋友多 一堆人跟我要VPN )
又無聊想要測HA 反正四位數一台 所以就如圖堆了幾台

Fortigate ,Juniper (Netscreen) ,SonicWall 相比
Foriigate 算功能最多的跟好設定..
就算早期機器. 還是保持最新軟體相容性. 大家都可享受最新功能
並且授權也不嚴格,直接升級就可 這點算是其最物美價廉特色

Fortigate 200A 規格在此
http://www.fortinet.com.tw/products/fortigate/200A.html

直接辦中華電信的資安艦隊80C (大概會花上NT 3萬 ) session 數 10萬個
網拍上的fortigate 50 ,60 或是一般 Vigor 2xxx ,3xxx  約在幾萬個
200A連線數可達 40萬個, VPN Tunnel 200 個

DMZ port 也可設為 Wan port , 所以可以做 4 WAN Router .
但是 10/100M port限制 所以效果普通

Fortigate 開啟各種防毒,等功能.資源會被吃 Session 數會降低 
這點要注意一下

但是200A 是早期高檔機種.拿去應付百人以下環境 絕對是綽綽有餘.

像Fortigate 比起國內的 Billxxxxx 跟Vixxr
強的是SSL VPN跟防火牆
SSL VPN 國產只支持 Windows Client .
fortigate在 OS X ,Linux 都有SSL VPN client

Fortigate 弱項

1.在 IP shaping, QOS 不好用

2.網站UTM 要搭配 FortiAnalyzer (價格有點小貴)

3.PPTP VPN 在fortios 4 下要用指令設, 並且只能設一組pptp group

4.在mobile client ssl vpn 功能不完整 (雖然大家都弱)

我原本以為Android 版下可以做 SSH tunnel VPN
結果發現是不完整功能


FortiClient Lite for Android does not support IPsec VPN and SSL VPN tunnel mode. IPsec VPN and SSL VPN tunnel mode support requires the root access to the device and currently is only available to some hardware vendors who grant FortiClient root access in their devices' OS kernel.


至於IOS 這種就更慘了 要支持tunnel SSL VPN 一定要Jailbreak
有人看過企業上應用產品還要自己先hack產品 ?


目前支持 ssl vpn tunnel in android 設備都很天價 比如說
http://www.androidpit.com/en/android/market/apps/app/com.sonicwall.netextender/NetExtender-Technology-Preview

https://market.android.com/details?id=com.f5.edge.client_root&feature=search_result#?t=W251bGwsMSwxLDEsImNvbS5mNS5lZGdlLmNsaWVudF9yb290Il0.

或是Juniper
http://itunes.apple.com/us/app/junos-pulse/id381348546?mt=8

為何想盡辦法想要有支持 Mobile device SSL VPN
如果常常旅遊在外 遇到各種網路應用環境 包含電信營運商
有個 443 或80 Vpn是很重要的

像我之前要用openvpn 打洞 設定 client 端跟router 都有點麻煩

http://www.jejer.net/2009/12/%E5%9C%A8android%E4%B8%8A%E7%94%A8tunneldroidopenvpn%E5%AE%9E%E7%8E%B0cmwap%E5%AE%8C%E7%BE%8E%E7%A9%BF%E8%B6%8A/

一些細部的firewall 測試 請參考
http://forum.icst.org.tw/phpbb/viewforum.php?f=9

贊助商連結


valsilychen
2012-03-11, 10:40 PM
手邊也有兩台fortigate 60b,雖然常聽到有人說fortinet的產品好看不好用,我是覺得它的c/p值算是不錯的,fortios的多數功能幾乎都對所有機型開放,包含SSL VPN,還沒有人數限制。當然,沒有限制是指軟體授權,現實面來說,限制是來自硬體,低階機種硬體太弱,服務跑越多,使用者越多,效能也會跟者下降。所以還是得量力而為。

網拍上二手的60b/60/50,幾千塊一台就可以玩SSL VPN,個人使用還是很夠的。

traffic shaping 真的很難用,之前為了這個特別找了一台microtik rb750g來跑inline/transparent QoS

UTM運作應該單機就可以進行,fortianalyzer應該是用在報表收集和分析上的硬體

我所找到的幾篇關於fortigate SSLVPN建置的有用文章,分享一下
SSL VPN for Dummies like me (SSLVPN基本建置 (http://support.fortinet.com/forum/tm.asp?m=44296&appid=&p=&mpage=1&key=&language=&tmode=&smode=&s=&cookieCheck=239129051#44296)
SSL-VPN for iPad (http://support.fortinet.com/forum/tm.asp?m=70611&appid=&p=&mpage=1&key=iphone&language=single&tmode=&smode=&s=#70785)
Android L2TP/IPSec VPN to Fortigate Firewall Endpoint (http://network-security-software.biz/software/android-l2tpipsec-vpn-to-fortigate-firewall-endpoint.html)
蘇老碎碎念(目前因為不明原因暫時連不上,上頭有site to site ipsec,和SSL VPN基本建置教學) (http://www.askasu.idv.tw)

ipad那篇討論標題是SSL VPN,但最終結論是得用ipsec
android也是得使用ipsec

SSL VPN在行動裝置上就如您說的,大概暫時無解,沒魚蝦也好,至少目前ipsec還是可以湊合著用一下。

目前我的60b上頭的SSL VPN同時可以提供split tunneling和non-split tunneling的服務,前者自己用來存取家中的各項服務,後者專門讓親朋好友打洞過水。
同時也以site to site與公司的另一台60b,及花蓮親戚家中的vigor 2600g骨董機連結,算是相當滿意。

rushoun
2012-03-14, 01:24 PM
thx每次發文都是讓人驚嚇的內容,又多知道一些事了,感謝!