搜索
楼主: BE_HC
收起左侧

[讨论] FortiGate及FortiSandbox简单介绍

  [复制链接]
Miostartos
发表于 2019-2-1 19:30:01 | 显示全部楼层
BE_HC 发表于 2019-2-1 17:07
FortiClient现在让我的感觉就一扫描器。。

然后飞塔和铁壳py成功惹(火星一下)

新闻刚出就看到了
(刚好跑去看铁壳博客
liumailong
发表于 2019-2-1 20:21:37 | 显示全部楼层
IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。


只是家用怕是价格会上天。
BE_HC
 楼主| 发表于 2019-2-1 21:04:17 | 显示全部楼层
liumailong 发表于 2019-2-1 20:21
IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。


我猜你大概想说的是Norton Core一类的,没记错趋势也有类似的东西

QQ截图20190201210316.png
liumailong
发表于 2019-2-2 16:25:05 | 显示全部楼层
本帖最后由 liumailong 于 2019-2-2 16:30 编辑
BE_HC 发表于 2019-2-1 21:04
我猜你大概想说的是Norton Core一类的,没记错趋势也有类似的东西

铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件,效率和效果都不行。


我理想中的 内网或者说家庭 安防是分四级

网关:提供传统防火墙,链接控制、加密流量扫描、及其它审计。
安全服务器:提供文件深入分析,及其他服务。
终端:就是内网的各个设备,主要是搞内部程序权限控制、执行策略。
安全管理中心:管理其他安全模块、分发策略

网关
主要是对流量进行扫描以识别特征,对实时性要求很高。
性能可用专用硬件解决,加密流量可用中间人证书。
专用硬件:正则引擎、哈希引擎、加密引擎。
这些都很成熟,就看价格了。

安全服务器
主要是为内网设备提供文件扫描服务。
由于文件扫描分析非常消耗性能,传统杀软漏报主要原因就是这个。
使用专用高性能服务器后,启发呀、沙盘呀,什么都来一遍。
这样漏报的概率就很低了。
对于家庭用户,由于扫描量不大,可以提供其他服务,比如文件备份什么的。


终端
做好内控就行,多数设备其实不需要安全软件。
由于PC的复杂性,装个轻量级的安全软件就行了。
该软件主要是执行管理中心的策略。

安全管理中心
主要是管理其他设备,提供报告
唯一能访问其他安全组件的设备。
其实智能的制定策略,提供报告也是很消耗性能的。
特别是在未来必然要引入AI技术。
最好是专用设备,家庭用户可安装在安全服用器上。

另外基于可控性及最小攻击面原则。
全部安全组件最好不要有外部连接。
只有专门且唯一的组件,可以连接安全服务商。



这是我几年前的设想了
飞塔估计就是走的这条路。
BE_HC
 楼主| 发表于 2019-2-2 17:25:49 | 显示全部楼层
本帖最后由 BE_HC 于 2019-2-2 17:26 编辑
liumailong 发表于 2019-2-2 16:25
铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件,效率和效果都不行。



网络安全 --> FortiGate专用处理器概念好久之前就有了

QQ截图20190202170852.png




高级威胁保护 --> FortiSandbox
沙盒2014年就已经提出(Gartner的10大安全技术)
QQ截图20190202171339.png



端点防护 --> Symantec Endpoint Protection
FC一直不怎么样,扫描器的话还是不错的
然鹅飞塔和铁壳搞一起了,那么...



管理和分析 --> FortiManager

自动化批量维护和配置策略而且还有日记



统一的概念从传统防火墙开始被抛弃的时候就已经有了
飞塔现在搞得是Security Fabric

QQ截图20190202171137.png
liumailong
发表于 2019-2-2 19:48:10 | 显示全部楼层
BE_HC 发表于 2019-2-2 17:25
网络安全 --> FortiGate专用处理器概念好久之前就有了

楼主,来这一套要多少刀。
让咱这无产阶级开开眼。
BE_HC
 楼主| 发表于 2019-2-2 19:53:03 | 显示全部楼层
liumailong 发表于 2019-2-2 19:48
楼主,来这一套要多少刀。
让咱这无产阶级开开眼。

这种东西本来就不是为家用设计的,像Norton Core那种就是为家用设计的;而且Norton Core可不是传统防火墙惹,多少也是个UTM,人家铁壳的IPS特征和反病毒可是甩飞塔好几条街的
liumailong
发表于 2019-2-2 20:00:59 | 显示全部楼层
BE_HC 发表于 2019-2-2 19:53
这种东西本来就不是为家用设计的,像Norton Core那种就是为家用设计的;而且Norton Core可不是传统防火墙 ...

这东西一个加密链接就废了。
现在免费Web证书大行其道,光这就判了死刑。

哪怕没加密,没硬件加速帮助,铁壳的特征码在强也来不及扫。
BE_HC
 楼主| 发表于 2019-2-2 20:15:02 | 显示全部楼层
本帖最后由 BE_HC 于 2019-2-2 20:23 编辑
liumailong 发表于 2019-2-2 20:00
这东西一个加密链接就废了。
现在免费Web证书大行其道,光这就判了死刑。

Norton Core可以扫加密流量的说,别忘记铁壳还做SSL惹

硬件也是强大,堆到1G RAM惹
怎么说跟飞塔60D以下的性能应该差不多,而且防护功能默认全开
在amazon看到的评测说下载在防护全开的时候大概100Mbps~70Mbps左右

下图是FG-60D,全开的话。。惨不忍睹
QQ截图20190202202229.png
QQ截图20190202201347.png

liumailong
发表于 2019-2-2 20:33:45 | 显示全部楼层
本帖最后由 liumailong 于 2019-2-2 22:11 编辑
BE_HC 发表于 2019-2-2 20:15
Norton Core可以扫加密流量的说,别忘记铁壳还做SSL惹

硬件也是强大,堆到1G RAM惹

我看这东西的测评时没说Https问题呀。
如果扫描了加密连接,那证书问题怎么解决?
难道铁壳给每个Norton Core 都签发了中间人证书吗?

性能问题你可能没搞清楚。
瓶颈不是在内存,而是在SoC上。
在硬件NAT加速的帮助下,不启用任何其他功能。
跑满有线加Wifi CPU占用基本都要过 30%了
如果启用一些最简单的防火墙功能,硬件NAT就会失效。
这时连流量都跑不满了,更别说搞扫描了。
双核骁龙只是个WiFi芯片,毕竟不是专业防火墙芯片。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-7-17 19:26 , Processed in 0.040277 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表