首先从客户的角度上说,UTM是趋势,起码是用户所希望的趋势,即使客户是安全方面已经领先其他领域很多的移动、电信,管理安全的人也是不堪其苦,一个安全管理员要管理N多的安全设备,工作量大,效率低,即使已经建立了SOC,也要10几个人7×24小时轮班,当然UTM不会让这些工作消失,但是工作量会大大降低。
 企业采购网络安全产品的原则是投入要比不投入带来的损失小,这是一个最起码的原则。UTM本来就是针对中小企业,这里说的中心企业不单指人数和网络流量,中小企事业有这么几个重要的问题:资金比较紧张,网络环境不大,没有专业的网络安全网管,有些企业根本没有自己的邮件服务器之类的一些设备,如果采购专业的防火墙、网关防毒、IPS/IDS×××、带宽管理等产品不仅资金投入大,要想全部用起来,就连网管都要增加,这确实加重了企业的负担。
 对于那些全国各地都有分支机构,人数上万的企业有自己的专业网络安全管理员的企业来说,专门采购单一功能的设备是比较好的选择,毕竟功能单一,出错的机会也会下一些,对公司业务的影响可以降到最小,坏掉一个,不用影响到其它的业务。
 作为中小企业, UTM产品,集各种功能于一身,能够基本满足用户的需求用户可以根据自己的实际情况开启相应的功能配置合适的策略,而且可以减小公司网络维护的工作量
 对于UTM设备而言,性能无疑是大家最担心的话题,没错,UTM设备中由于集成了许多安全防护功能模块,必然使得其性能会受到影响,其中,以AV对性能影响为甚,Fortinet的ASIC芯片对AV的加速其实也是很有限的,毕竟AV需要设备对数据包进行拆包、组包、重组等极其耗费CPU资源的操作;开启AV,性能基本上下降至少50%;安全模块功能都打开,严重情况下可能会下降90%。但我认为关键还是看你怎么用,防火墙设备很多用户也都是把功能分散使用,UTM设备同样可以这样用,当然,必须注意的是不是所有的环境都适合使用UTM的设备的,起码电信,移动骨干网就根本没法放!建议还是主要使用在百兆网络环境中,而且UTM设备的性能,不同的配置方法,差别十万八千里。是否开启应用层的功能,对设备的性能是决定性的。
 对低端小企业而言,一方面小企业信息系统应用单一,同时,企业内部信息技术人员相对缺乏,Fortinet的确是个不错的选择。
 FG目前的主要市场还是在SMB,优势在于功能全,管理简单,中文界面,运行稳定。不少用户就冲它能封QQ、BT,所以就买单,呵呵,可能专业人士要嗤之以鼻,但对普通用户来说就是一个亮点。能解决问题的就是最好的。至于说性能,在腾x一个项目中作过测试,型号是3000,对比的有NOKIA 1260,NS 500,PIX等等,结果是中等,比想象的好。有些朋友提到开AV后性能下降,当前最好的防病毒网关又能作到多少M/s?
 总的来说,UTM设备我认为是个好东西,网关处部署可以大大提高安全效率,但是应用的环境限制很大,流量大小,流量的种类,应用的种类,具体的安全需求,配置的技巧等等很多因素都会影响他的部署和效果,所以虽然是个黑盒子,看起来很简单,但是要把它用好还是很不简单的。
 
Fortigate和国产防火墙的比较
 
天融信所有产品线设备都是X86架构,目前ASIC+NP实际上没有的,这个可以打开机箱察看,仍然只有一块CPU芯片。天融信现在出的新品翻修率很高。清华得实和方正方御所采用的是基于PC架构,当连接数量较多、数据流量较大时,CPU占用率会很高,此时可能会出现速度变慢乃至死机现象的发生。清华得实和北大方御采用的是通用的基于UNIX的操作系统,其漏洞较大。国内大部分防火墙相当于一台PC+防火墙管理软件,这就是通称的黑匣子,当然也有例外的,易尚就是采用专用的操作系统,不过他是OEM飞塔,现在已经被取消了。
 
Fortigate和netscreen的比较
 
fortinet和netscreen的防火墙我感觉都不错,如果需要的是一款纯硬件防火墙,那么就只有这两款目前是符合要求的,sonicwall也好,nokia(就是checkpoint)也好,还是卡巴斯基也好,从真正意义上来说,都是不符合纯硬件防火墙的技术指标的,fortinet的产品叫fortigate,netscreen的防火墙就叫netscreen,这两款防火墙有一个共同的技术特点,就是同样使用了基于asic芯片的处理技术,大部分的数据处理是由asic芯片来承担的,而不是传统意义上的cpu了。
话说回来,如果单纯的追求防火墙的技术性能指标,那么绝对绝对是非netscreen莫属,但是有一个问题,netscreen的idp还没有从真正意义上与其防火墙融合到一起去,也就是netscreen的idp还不能真正的走出传统的旁听模式,直接应用到在线(on line)模式下,真正的问题是在于正是因为没有asic芯片的技术基础,netscreen的idp才没法真正应用到对性能指标要求更苛刻的在下模式下的;回过头来看看fortinet的产品fortigate,这款产品在防火墙的性能指标上,并不见得比netscreen突出,有些甚至是没法跟netscreen相抗衡的,但是在防火墙的综合应用上来说,它提供了多种功能模块,其中就包括了ids/idp功能,这些功能是基于asic的技术来提供支持的,所以,在很大程度上,它比netscreen的idp其性价比是要胜出的,而在防火墙对新增会话的处理方面,我们有一个很头疼的问题就是,如果内部主机中标,使劲的发包,防火墙往往是处理不过来的,最明显的特点就是,比方说内部有设备中了冲击波,那么我前面的状态检测的防火墙的会话队列将会在极短的时间内排满,反而对正常的进出请求无法提供响应,这样,也就给大家造成一个直观的感觉——防火墙死了,其实,很多情况下,我们可以看一下netscreen的状态,它的session是满的,但是,防火墙并没有死掉,如果我们重启一下,那么防火墙在短时间内又是可以正常工作的,但是一旦其队列再次充满,那么,又会重复上述的情景,而要解决这样的状况,我一直期待着能够提供在线的idp(不是ids),在请求到达我防火墙之前,就能够及时地将那些非正常的请求给屏蔽掉,这样,将在很大程度上缓解网络设备的压力,尤其是防火墙的压力,而目前,netscreen是能够提供这样的方案的,只不过这一方案的实现需要netscreen 防火墙和netscreen idp二者结合起来使用才行,这样的直接效果就是费效比很不理想,同样,fortinet公司也提供了他们的方案,他们将idp和防火墙直接整合到一起,作为一个all in one的设备来出售,而且在价格上基本上是按照防火墙的价格来出售的(idp的单台采购的价格在业内是比防火墙要高的),这样的费效比是有点让人咂舌的。
 
 
FG连通×××后无法ping通的检测方法
  如果用FG做通×××,而且确实也可以ping到×××另一端的IP,但出现telnet到FG上就无法ping到另一端的IP,尝试使用FG后面的源地址来ping

FGT-602906519644 # execute ping-options

data-size       integer value to specify datagram size in bytes
df-bit         set DF bit in IP header <yes | no>
pattern       hex format of pattern, e.g. 00ffaabb
repeat-count     integer value to specify how many times to repeat ping
source         auto | <source interface ip>
timeout       integer value to specify timeout in seconds
tos           IP type-of-service option
ttl           integer value to specify time-to-live
validate-reply   validate reply data <yes | no>
view-settings   view the current settings for ping option

FGT-602906519644 # execute ping-options source

FGT-602906519644 # execute ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=255 time=23.7 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=255 time=21.8 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=255 time=20.9 ms
64 bytes from 192.168.0.1: icmp_seq=3 ttl=255 time=20.9 ms
64 bytes from 192.168.0.1: icmp_seq=4 ttl=255 time=21.1 ms

--- 192.168.0.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 20.9/21.6/23.7 ms
 
 FG做透明模式后,不能升级AV和IPS的原因
1、首先确定服务有没有过期?
2、然后查看一下FG的管理ip能否上网(可以通过telnet来ping一下看看)?有无受到限制?
3、DNS设置没有?
4、在FortiGuard中心的连接状态是否是绿色?这里显示是红色,那说明没有连到fortinet中心
5、点立即升级后,能否生效?
服务没有过期,管理ip可以连到internet和dns设置好,定期升级应该没问题的
如果如果定期升级不能解决,就用强制升级或者推送升级
1、推送式升级,
勾选“允许服务器推送式升级”,并在“使用强制推动升级IP地址”里填入当前路由器的静态IP,端口9443。
 
然后在路由器上映射9443端口到防火墙管理IP的9443端口上
视情况再增加几个影射端口,2.8版本和3.0版本端口略有不同,详见《FG自身发起的一些端口》这篇文章。
2、强制服务器地址升级(有时针对双线路效果不错的,因为双线路有时会出现路由表错误)
服务器地址如下,填入即可
65.39.139.61
65.39.139.195
65.39.139.28
65.39.139.31
211.134.188.188
128.242.109.134
80.85.75.9
217.26.196.35
209.87.224.152
211.156.49.65
注:推动式升级是指由Fortiguard中心会在自己升级后自动发送一个请求到每个开通这个选项的Fortigate产品上去,接受到后,那些Fortigate设备就会开始连接到服务器上去升级。
 
 
 

Fortigate不能同时使用两条ADSL线路的问题

    FG60以上的型号,当使用两条ADSL线路时,会出现只能拨通一条,无法实现两条同时拨通的情况,这是异步路由的缘故,需在命令行下设置。
 
2.8版本:
config system global
set asymroute enable
end
 
3.0版本:
config system setting
set asymroute enable
end
 
 
 

Fortigate如何做IP和MAC地址的绑定

FG2.8-489版本的WEB页面中虽然有IPMAC地址绑定,但不能生效,只能在命令行下做,OS版本2.80-489到最新的3.0-318版本都按这种方式做。
 
一、开启端口的绑定功能
 
Fortigate-100A #config system interface
        edit internal           (注意此处的internal是指要做绑定的端口即内网口,如果是300A这里就需要改成prot1-6])
        set ipmac enable
        end
可以用show system interface internal查一下此端口的ipmac是否已经启用
(注:FG当开启绑定功能后,没有做IPMAC地址绑定的电脑将无法上网。)
 
二、定义ipmac绑定的规则
 
Fortigate-100A # get firewall ipmacbinding setting
        bindthroughfw       : disable
        bindtofw            : disable
 
Fortigate-100A # config firewall ipmacbinding setting
 
(setting)#
(setting)# set bindthroughfw enable
(setting)# end
 
如果要求禁止少数,允许大多数,在这里选择undefinedhost allow,这样就可以只把那些要禁止的MAC输入绑定表里,减少手动输入的工作量。
 
(setting)# set undefinedhost allow  (没有定义在ipmac绑定表的IP允许通过)
(setting)# end
 
接下来查看一下有没有开
Fortigate-100A # get firewall ipmacbinding setting
bindthroughfw      : enable (符合ipmac绑定表的IP是否允许通过防火墙)
bindtofw           : disable(符合ipmac绑定表的IP是否禁止通过防火墙,如果这一项选择enable,那绑定后更改IP的电脑ping不通防火墙的内网网关)
undefinedhost       : block (没有定义在ipmac绑定表的IP是允许还是禁止?默认是block
 
继续,下面就进入做每台电脑的绑定步骤了。
 
三、定义对应的IPmac对应表
 
>config firewall ipmacbinding table
>    edit 1
>        set ip 192.168.1.8
>        set mac 00:40:d0:57:78:13
>        set name ipmac1
>        set status enable
>    next
 
>    edit 2
>        set ip 192.168.1.9
>        set mac 00:58:d0:48:14:15
>        set name ipmac2
>        set status enable
>    next
> 
>    ……
>end
这样便绑定完毕
(注:一个MAC地址可以绑定多个IP
 
如果要删除某条绑定,
>config firewall ipmacbinding table
>delete 1   (此处的1为绑定表里的序号)
>end
但删除之后这一台仍不能上网,必须取消绑定功能
>config firewall ipmacbinding setting
>set bindthroughfw disable
>end
> 
 
可以用下面的命令查看想绑定的IPMAC有没有列在表里面
>show firewall ipmacbinding table
 
最后根据具体情况,在WEB页面里定义地址组和阻挡策略。
 
 

“Fortigate已经达到了连接的限制……”的解释

FortiGate has reached connection limit..message 
 
This above message may be displayed on the Alert Message Console GUI. It is similar to the The system has entered conserve mode Event log message.
这条消息也许是显示在面板的警告消息控制台上,它与"系统进入保护模式" 事件日志消息是相似。
 
Explanation:
The antivirus engine was low on memory for the duration of time shown. Depending on model and configuration, content can be blocked or pass unscanned under these conditions.
说明:
在显示的时间期间,防病毒引擎所占的内存被降低。根据型号和配置, 在这些情况下,内容可能被阻拦或通过并且不被扫描。
 
The system has entered conserve mode log message explanation
"系统进入保护模式" 日志信息说明
 
The FortiGate antivirus system operates in one of two modes, depending on the units available memory. If the free memory is greater than 30% of the total memory then the system is in non-conserve mode. If the free memory drops to less than 20% of the total memory, then the system enters conserve mode. When the free memory once again reaches 30% or greater of the total memory, the system returns to non-conserve mode.
根据可利用内存的单位,FortiGate防病毒系统运行在二种方式的其中一个中。如果空闲内存大于总内存容量的30%,这时系统是非保护模式。如果空闲内存下降到少于总内存容量的20%, 系统会进入保护模式。当空闲内存再次到达总内存容量的30% 或更多,系统返回非保护模式。
 
Antivirus functionality and performance is impacted when the unit enters conserve mode. For more information, see the Fortinet Knowledge Center article "Antivirus failopen and optimization".
当单位进入保护模式后,防病毒功能和表现会受影响。更多信息, 参见Fortinet 知识中心文章"防病毒failopen和优化"
 
A Fortigate unit that continuously and frequently enters conserve mode may be under scaled for the type of network flows that are being scanned by it. You can do the following to alleviate the problem:
Fortigate 设备连续和频繁地进入保护模式,也许被称为一种网络流量类型而被它扫描。您能做以下减轻问题:
 
·  disable logging to memory (Log&Report > Log Config > Log Setting).
不要记录到内存(日志和报告>日志配置>日志设置)
·  disable certain protocols (HTTP, FTP, SMTP, POP, IMAP) from being antivirus scanned (Firewall > Protection Profile).
从被防病毒扫描(防火墙>保护内容表)中关掉可靠的协议 (HTTP FTP SMTP POP, IMAP)
·  reduce the ‘Oversize Threshold Configuration’ memory settings for each respective protocol (Anti-Virus > Config > Config).
减少‘超出阀值配置’内存设置为每个各自协议(防病毒>设置>设置)
·  disable the DHCP server if it is not necessary (System > DHCP > Service and System > DHCP > Server).
如果DHCP服务器不是必要的话就关闭(系统>DHCP>服务和系统>DHCP>服务器)
·  disable DNS Forwarding if it is not necessary (System > Network > DNS).
如果DNS转发不是必要的话就关闭 (系统>网络>DNS)
·  disable all IPS Signatures and Anomaly detections, if IPS is not being used.  This can be done in a single operation by issuing the CLI command : diag ips global all status disable .  If IPS is being used, disable all Signatures/Anomalies that are not relevant or required in your network environment (IPS > Signature and IPS > Anomaly).
如果IPS 不被使用,关闭所有的IPS特征和异常侦查。这可以由CLI 指令发出一个简单的操作来实现:diag ips global all status disable . 如果IPS 被使用, 关掉那些在您的网络环境里不重要或必需的特征/异常(入侵防护>特征和入侵防护>异常)。
 
·  replace the Fortigate unit with a model that has more memory. See the Fortinet Knowledge Center article "Maximum oversize threshold" for memory sizes per Fortigate model.
用有更大内存容量的型号替换Fortigate 设备。参见Fortinet 知识中心文章"最大超出阀值" 关于每个Fortigate型号的内存大小
Note: You will have to reboot the FortiGate unit after having disabled the various features and services, in order to free up the memory.
: 为了释放内存,在禁用了各种各样的特点和服务以后您必须重新启动FortiGate设备。
See also the Fortinet Knowledge Center article "How to Achieve Maximum Performance with a FortiGate Antivirus Firewall" for other related information. Although this document states that it is for v2.50, it can also be applied to v2.80.
同样参见Fortinet知识中心文章"怎么让FortiGate防病毒防火墙达到最大性能" 和其它相关信息。虽然这个文件是为v2.50阐明, 它也可以应用于v2.80