FortiGate及FortiSandbox简单介绍

显示全部楼层 · 发表于 2019-2-1 19:30:01

BE_HC 发表于 2019-2-1 17:07
FortiClient现在让我的感觉就一扫描器。。

然后飞塔和铁壳py成功惹（火星一下）

新闻刚出就看到了
（刚好跑去看铁壳博客

显示全部楼层 · 发表于 2019-2-1 20:21:37

IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。

只是家用怕是价格会上天。

显示全部楼层 · 发表于 2019-2-1 21:04:17

liumailong 发表于 2019-2-1 20:21
IPv6 后家庭环境更加复杂。
确实需要这类统一安全管理了。

我猜你大概想说的是Norton Core一类的，没记错趋势也有类似的东西

显示全部楼层 · 发表于 2019-2-2 16:25:05

本帖最后由 liumailong 于 2019-2-2 16:30 编辑

BE_HC 发表于 2019-2-1 21:04
我猜你大概想说的是Norton Core一类的，没记错趋势也有类似的东西

铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件，效率和效果都不行。

我理想中的内网或者说家庭安防是分四级

网关：提供传统防火墙，链接控制、加密流量扫描、及其它审计。
安全服务器：提供文件深入分析，及其他服务。
终端：就是内网的各个设备，主要是搞内部程序权限控制、执行策略。
安全管理中心：管理其他安全模块、分发策略

网关
主要是对流量进行扫描以识别特征，对实时性要求很高。
性能可用专用硬件解决，加密流量可用中间人证书。
专用硬件：正则引擎、哈希引擎、加密引擎。
这些都很成熟，就看价格了。

安全服务器
主要是为内网设备提供文件扫描服务。
由于文件扫描分析非常消耗性能，传统杀软漏报主要原因就是这个。
使用专用高性能服务器后，启发呀、沙盘呀，什么都来一遍。
这样漏报的概率就很低了。
对于家庭用户，由于扫描量不大，可以提供其他服务，比如文件备份什么的。

终端
做好内控就行，多数设备其实不需要安全软件。
由于PC的复杂性，装个轻量级的安全软件就行了。
该软件主要是执行管理中心的策略。

安全管理中心
主要是管理其他设备，提供报告
唯一能访问其他安全组件的设备。
其实智能的制定策略，提供报告也是很消耗性能的。
特别是在未来必然要引入AI技术。
最好是专用设备，家庭用户可安装在安全服用器上。

另外基于可控性及最小攻击面原则。
全部安全组件最好不要有外部连接。
只有专门且唯一的组件，可以连接安全服务商。

这是我几年前的设想了
飞塔估计就是走的这条路。

显示全部楼层 · 发表于 2019-2-2 17:25:49

本帖最后由 BE_HC 于 2019-2-2 17:26 编辑

liumailong 发表于 2019-2-2 16:25
铁壳的这玩意看过介绍就是个传统的防火墙。
没用专有软硬件，效率和效果都不行。

网络安全 --> FortiGate专用处理器概念好久之前就有了

高级威胁保护 --> FortiSandbox
沙盒2014年就已经提出(Gartner的10大安全技术)

端点防护 --> Symantec Endpoint Protection
FC一直不怎么样,扫描器的话还是不错的
然鹅飞塔和铁壳搞一起了,那么...

管理和分析 --> FortiManager

自动化批量维护和配置策略而且还有日记

统一的概念从传统防火墙开始被抛弃的时候就已经有了
飞塔现在搞得是Security Fabric

显示全部楼层 · 发表于 2019-2-2 19:48:10

BE_HC 发表于 2019-2-2 17:25
网络安全 --> FortiGate专用处理器概念好久之前就有了

楼主，来这一套要多少刀。
让咱这无产阶级开开眼。

显示全部楼层 · 发表于 2019-2-2 19:53:03

liumailong 发表于 2019-2-2 19:48
楼主，来这一套要多少刀。
让咱这无产阶级开开眼。

这种东西本来就不是为家用设计的，像Norton Core那种就是为家用设计的；而且Norton Core可不是传统防火墙惹，多少也是个UTM，人家铁壳的IPS特征和反病毒可是甩飞塔好几条街的

显示全部楼层 · 发表于 2019-2-2 20:00:59

BE_HC 发表于 2019-2-2 19:53
这种东西本来就不是为家用设计的，像Norton Core那种就是为家用设计的；而且Norton Core可不是传统防火墙 ...

这东西一个加密链接就废了。
现在免费Web证书大行其道，光这就判了死刑。

哪怕没加密，没硬件加速帮助，铁壳的特征码在强也来不及扫。

显示全部楼层 · 发表于 2019-2-2 20:15:02

本帖最后由 BE_HC 于 2019-2-2 20:23 编辑

liumailong 发表于 2019-2-2 20:00
这东西一个加密链接就废了。
现在免费Web证书大行其道，光这就判了死刑。

Norton Core可以扫加密流量的说，别忘记铁壳还做SSL惹

硬件也是强大，堆到1G RAM惹
怎么说跟飞塔60D以下的性能应该差不多，而且防护功能默认全开

在amazon看到的评测说下载在防护全开的时候大概100Mbps~70Mbps左右

下图是FG-60D，全开的话。。惨不忍睹

显示全部楼层 · 发表于 2019-2-2 20:33:45

本帖最后由 liumailong 于 2019-2-2 22:11 编辑

BE_HC 发表于 2019-2-2 20:15
Norton Core可以扫加密流量的说，别忘记铁壳还做SSL惹

硬件也是强大，堆到1G RAM惹

我看这东西的测评时没说Https问题呀。
如果扫描了加密连接，那证书问题怎么解决？
难道铁壳给每个Norton Core 都签发了中间人证书吗？

性能问题你可能没搞清楚。
瓶颈不是在内存，而是在SoC上。
在硬件NAT加速的帮助下，不启用任何其他功能。
跑满有线加Wifi CPU占用基本都要过 30%了
如果启用一些最简单的防火墙功能，硬件NAT就会失效。
这时连流量都跑不满了，更别说搞扫描了。
双核骁龙只是个WiFi芯片，毕竟不是专业防火墙芯片。

[讨论] FortiGate及FortiSandbox简单介绍

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源