在云计算、大数据、移动互联网等新概念尚未兴起的年代里，如果在网络安全领域提及Fortinet（飞塔），那么“UTM霸主”几乎就是其代名词。而随着这些新概念逐步转化为新趋势，整个ICT产业都在发生着深刻变革——用户需求的变化、网络安全技术的变化等等，无不推动着安全厂商的转型。还好，凭借积极聆听一线客户的需求与坚持不懈的推陈出新，如今的Fortinet早已完成转型，并以一个面向全领域的安全解决方案与服务提供商的身份，继续领跑整个网络安全市场！

 

　　近日，Fortinet2014网络安全解决方案巡展正式启动。在巡展（北京站）现场，Fortinet不仅与客户、合作伙伴分享了其过往的优异成绩，同时还带来了众多创新成果，包括Fortinet ATP（高级威胁安全防御）安全框架，FortiASIC NP6芯片（强悍的性能新引擎）；FortiSandbox（APT防御利器），FortiSIEM管理平台（主动安全管理），以及有着中小企业“瑞士军刀”之称的Connect&Secure一体化方案等。

 

　　“专注、稳健、出新”是对Fortinet过往几年最好的总结。自2009年上市，Fortinet始终保持着每年20-25%的稳健增长，这对于一家IT厂商来说，是非常不容易的！而取得这样的成绩，在Fortinet中国区总经理Kevin Li看来，主要得益于Fortinet对于网络安全的专注，以及坚持不懈的推陈出新。Kevin Li详细介绍到：“Fortinet专注于聆听来自一线客户和代理商的声音，并为此组建了专门的团队，可以说，今天Fortinet所推出安全产品和解决方案，均是由用户和市场的需求创造；而在出新方面，Fortinet更是以月为单位不断地推陈出新，以更好地用户的新需求。此外，Fortinet非常重视中国市场，在整个研发团队中华人研发人员的比例不断提升，这也使得Fortinet的产品更好地满足了中国市场的需求。”

 

　　“挑战”第三方测试 证明自己

 

　　根据IDC的市场调研报告，在过去的5个季度中，Fortinet始终位居全球安全市场的三甲，而在三甲（包括思科、Check Point）中，也仅有Fortinet依然保持着高速增长。为何Fortinet的产品和解决方案如此受到用户的青睐？Kevin Li解释到：“首先，Fortinet是一个可以提供全方位安全技术能力的公司——既拥有独立硬件技术，又拥有各种安全特征库、云数据的厂商，且几乎不采用第三方的技术；其次，Fortinet非常乐于参加第三方的技术测试与认证，包括NSS Labs、VB100、ICSA Labs、FIPS 140、DoD UC APL、AV Comparative等等，Fortinet在这些测试中均取得了不俗的成绩，这表明无论在哪个安全流派（网络防火墙，IPS，NGFW，UTM等等）领域，Fortinet的产品都能提供最好的保护，而这也是Fortinet受到客户青睐的原因。”

 

　　坚强的后盾：FortiGuard

 

　　对于一家网络安全厂商来说，拥有完善的安全威胁数据（特征）库是其提供可靠安全防护的基本保证，而FortiGuard（云安全网络）正是Fortinet产品和解决方案的坚强后盾。据Kevin Li介绍，FortiGuard一分钟可拦截50000封垃圾邮件，拦截47000个恶意网站访问请求…，同时平均每周更新6千6百万垃圾邮件库样本，19万个病毒样本特征库，60万个URL链接…，而目前该特征库的容量已经高达70个TB。

 

　　与时俱进的Fortinet安全框架

 

　　今天，100G高速网络已经投入应用，SDN热潮也已席卷整个网络领域，因此企业的核心网络必须基于高新能防火墙进行重构；与此同时，云计算的普及、IPv6的演进，也需要更快的边界防火墙的加入；而APT（高级持续性威胁）的流行，更加需要高级威胁防御的帮助；此外，安全体系越来越庞大、复杂，可视化、自动化、降低管理开销、提高安全效率等，均已成为企业的迫切需求。为此，Fortinet ATP（高级威胁安全防御）框架应运而生。

 

　　据Fortinet中国区首席技术顾问谭杰介绍，Fortinet ATP通过5个方面提升安全防护效果，包括通过访问控制（高性能防火墙、双因子认证、漏洞管理）缩小受攻击面；通过web过滤、IPS、应用控制等威胁防御方法，检测并阻止已知威胁；通过0day攻击检测（沙盒、用户信誉评估、僵尸网络报告），鉴别未知安全威胁；通过FortiGuard应急响应，验证、抑制最新型的威胁；以及通过全天候监视（报表、SIEM/日志管理等），实现安全防护能力评估、审计和改进。而纵观整个ATP框架，高性能防火墙，沙盒和日志管理等成为了必不可少的元素。

 

　　早在UTM时代，全面的安全防护与高性能吞吐不可兼得就已成为让业界头疼的难题。面对业界仅靠提升通用CPU性能的做法，Fortinet认识到，即使CPU性能再强大，也难以将两者兼得。于是，Fortinet另辟蹊径——在通用CPU的基础上，引入了专门的网络处理器ASIC NP芯片和内容处理器ASIC CP芯片，分担了通用CPU的压力，真正实现了全面安全防护与高性能吞吐的兼得，并进一步降低了产品的成本。

 

　　在本次巡展上，Fortinet带来的是第6代ASIC NP芯片——NP6，其相比上一代芯片（NP4），不仅性能提升了2倍（吞吐量可达40Gbps），而且实现了IPv6性能和IPv4性能完全一致；此外，其还支持QoS，并改善了新建会话性能。而相比通用CPU（例如Xeon E6-2640 v2），NP6的吞吐量表现是其5倍，延迟仅为其三十分之一，功耗仅为其十分之一，价格也仅有其几分之一；而在包转发率方面，NP6的优势则更加明显（NP6单芯片可达50Mpps）。

 

　　基于NP6芯片，Fortinet打造了超级数据中心级防火墙FortiGate-3700D（吞吐量达160Gbps，并发会话4400万，每秒新建会话达50万）和万兆企业边界NGFW FortiGate-1500D(吞吐量达80Gbps，NGFW性能为11Gbps，并发会话1200完，每秒新建会话达25万)。

 

　　极限测试 满足实际场景需求

 

　　数据中心防火墙经过全球测试解决方案提供商 Perfect Storm 测试仪表 不论是52万的新建速率、160Gbps防火墙吞吐量、4000万并发会话均达到标称值，而且在模拟企业网流量的混合流量场景中也达到了超过150Gbps的吞吐量。

 

　　在实际场景中，不可能在没有基础流量的情况下产生新建连接请求。用户在选择防火墙设备的时候，应该注意考虑在已有背景流的情况下，该设备还能达到多少新建连接。试想一下，您运营着一个数据中心，而里面又承载着若干电商，电商这种场景就是会突发很多新生请求，尤其是在搞活动促销的时候，比如整点秒杀活动。

 

　　而当众多客户同时发起抢单的新建请求，一定是建立在已有流量之上的。因此，在75%的背景流的情况下（对于3700D来说也就是120G流量），发起新建连接，最终可以看到在126Gbps的流量下，FortiGate3700D还能够承受49万的新建连接速率，前面说了，这台设备的新建连接速率是50万每秒。

 

　　为了进一步印证极限测试主题，Fortinet测试了打满并发的情况下的吞吐量，从图中可以看出，吞吐量达到了155G以上。而此时的被测试设备CPU占用率只有不到10%。

 

　　有这样的结果，也是由于Fortinet多芯片架构带来的。由于在会话新建之后，会话保持阶段，流量全都交由Fortinet自研的ASIC芯片进行处理了，所以能够有效分担CPU的工作量。

 

　　对于很多ISP，比如运营商，二级运营商来说，经常会有极高的并发连接数，比如P2P。Fortinet这款设备在会话维持阶段的流量处理都是由ASIC芯片做的，所以产生的流量大小并不会影响设备性能。而且芯片还会持续给流量进行加速。

 

　　由此可见，FortiGate不仅是同级别产品中性能最佳的防火墙，同时也拥有最好的性价比！

 

　　今天，APT（高级持续性威胁）攻击已经成为令整个安全业界头疼的问题，其特征未知、隐蔽性强，持续时间长等特点，令传统的安全防护解决方案几乎全部失效。而沙盒（模拟一个虚拟用户环境）是目前阻击APT的最有效方法之一，其针对APT攻击的两大特点，分别通过行为识别，打破其隐蔽性；通过快速发现安全隐患（将其隔离，修补漏洞），打破其持续性链条。

 

　　基于沙盒理念，Fortinet推出了FortiSandbox，其可提供强大的主动检测和防御功能，以及可操作的威胁洞察和简单整合部署等等。而据谭杰介绍，其还实现了与FortiGuard的联动，可将发现的未知威胁的特征码上传给云端，从而快速提升FortiGate产品的防御能力。可以说，FortiSandbox的推出，实现了针对APT的多层主动威胁防护。此外，特别值得一提的是， FortiSandbox-3000D已通过NSS Labs测试验证，并在威胁检测系统（BDS）2014测试中获得了“推荐”评级。

 

　　FortiSIEM：将安全体系融为一体

 

　　拥有了高性能的产品和高级安全防护技术，那么如何让其发挥最大的作用和效果呢？此时就需要FortiSIEM的帮助了。FortiSIEM具备六大特性：资产管理整合，统一日志采集，主动安全防御，安全关联分析，工作流管理，安全态势感知。其将助力网络管理员快速发现并管理新资产；同时大幅减少需要其关注的安全事件数量，从而减轻其工作负担。此外，FortiSIEM还可通过安全事件与扫描结果的交叉验证，以及不同到苗期扫描结果之间的交叉验证，提高威胁识别的准确性；而通过按需扫描，还可减轻对业务的影响，提高效率。总而言之，有了FortiSIEM，网络管理员就可全面掌控安全态势，并将安全体系融为一体！

 

　　针对中小企业打造Connect&Secure一体化方案

 

　　刚刚提到的几款新产品，对于中小企业来说或许有些“高大上”的感觉。其实，Fortinet非常重视中小企业市场（Fortinet入门级产品占比达41%），因此特别打造了面向中小企业的Connect%Secure一体化方案。其不仅解决了企业网络及安全部署结构复杂的难题，同时提供了物美价廉、极易管理的安全体系，并提供了出色的扩展能力。

 

　　FortiGate 140D-POE作为Connect&Secure一体化方案的核心，不仅提供了高密度的接口，集成了接入与交换功能， 同时支持POE供电。此外，其集成了最新的Forti OS 5.2系统，使其具备了链路负载均衡，可视化管理等多种高级功能，而且在新版本系统中集成了高级威胁防御框架，内置虚拟FortiSandbox沙箱；再凭借人性化的管控界面，进一步降低了网管员的工作量。

 

　　安全构架需要多维驱动

 

　　在Fortinet看来，一个完善的安全构架，需要多维度驱动——既要具备高性能，又要有深度（能够防御最新、最强的安全威胁），同时还要有很好的的管理手段，并且简单易用。而此次基于多个创新成果而打造的全新Fortinet持续立体安全防御体系，正是对这一完善安全构架的最好诠释！