常常發現有許多Fortigate的使用者，將防火牆當IP分享器用，可惜了許多免費又好用的功能，不免替大家心疼起來，一直想找個時間來分享自己知道的一些實際應用(不談技術設定)，以下共計列出八項，供大家參考，細節設定或許可在”IT幫幫忙”提問，另外深入研究。

以下八項都無需花錢購買UTM授權即可以使用

1. 設備辨識
2. SSLVPN
3. SDWAN
4. 應用程式控制
5. 雲端識別
6. 交換器控制器
7. 無線網路控制器
8. 訪客系統

一、設備辨識：又稱BYOD (Bring Your Own Device)
這個功能主要在網路第二層做識別設備之用，在OS5.2.x就已經非常好用，通常因為可以將設備的MAC地址直接收集，從而可以定義名稱及群組，直接放入防火牆的政策來做管理之用，舉例來說，當記錄全公司設備後，防火牆自然可以讓不是公司的設備接入網路，從而進行准入控制，這樣就可以避免私接設備。
這裡舉幾個不同的應用實例：

1. 有許多的學校使用無線網路需要頻繁的輸入帳號密碼，有時忘記又要重設，不然要另外花錢買帳號密碼的管理系統，確實讓資訊組老師很頭大，如此採用FortiAP，就可以將接入學校的無線設備，按不同的SSID做老師設備與教具(如iPad)的分類並給予權限管理，只要登記一次以後，下次自動驗證，不需要每次重複輸帳號及密碼，非常易於管理及實際使用。
2. 當功能延伸到FortiSwitch之後，有線網路設備也可以做同樣的設備管控方式，只要將設備拿去IT部門登記以後，方能存取公司網路，即使在自己電腦私接小米無線，也無法讓自己手機偷偷接入公司網路
3. 目前釋出的OS 6.4.x，還支援NoC的自動化准入控制功能，經由設備MAC、廠牌、帳號身分等等，接入及自動分派Vlan等作用，會直接套用到防火牆政策

二、SSL-VPN：虛擬私人網路(Fortigate免費且無人數限制)
有許多其他的防火牆廠牌，SSL-VPN的使用人數是有限制的，同時還需要另外收費計算，就別說還有一些專屬的SSLVPN設備了，如果擔心帳號密碼的安全性不夠，還可以跟OTP(一次性密碼)結合，
以下是一些參考的應用場合：

1. 替代伺服器對外，大符降低資安風險，也就不需要將server直接開對應網際網路的端口了
2. 當台資企業的網路跳板，許多大陸台商要看的資訊可經由此方式跳板，只要設定得當，都是可以跳回台灣再前往Internet，只是網速比較難說
3. 防疫辦公室，可多人同時登入，在下在FG-100D有經驗百人以上同時登入作業，在高一點的機種有同時300人左右同時作業的紀錄，而防火牆可以同時正常運作。

三、SD-WAN：軟體定義聯外網路
如果在OS6.0以前，該功能會非常難用，通常要控制多條對外線路的使用，非得使用政策路由，但一旦使用 Route Policy，就會破壞原來靜態路由的規則性，卡東卡西讓IT人員吃足苦頭，但現在對外連線只要使用SDWAN以後就沒有這種煩惱，把流量指去哪條線，就去哪條線，根本不用設路由，非常的好使用。
更進化的使用，以前政策路由只能用IP，遇到應用程式網路走向就傻眼，更別說是雲端服務(如：office365)，根本沒有固定的IP位置，現在這些Fortigate都會提供，而且全部都是免費的功能，
所以應用舉例如下：

1. 如果連外線路有A,B,C三條，自然可以分配上網走A,郵件走B，迅雷BT下載走C，也可以郵件走A，老闆單獨走B，然後剩餘任何服務走A,及C負載平衡，看需要怎麼配就怎麼配，很直覺而好用
2. 如果有好幾個辦公室那就更棒了，以前只能用VPN串聯，然後分公司(外點)還要用政策路由在設備上做設定，現在可以把原本一條上網的線路分成兩條(IPsecVPN跟聯外)，然後又合併到SDWAN裡面，做分配不同的使用，比如全部的流量都要回總公司，以便集中控管(總部買UTM就好)，其他保全、安控或網路電話可以直接出網，達到分流管控的目的，總公司可以因為流量的集中，在帳號身分集資安全線等控管上統一管理，不用分別各辦公室各自管理，可說是省時省力又省錢還方便管理。這就是所謂的SD-Branch
3. 當線路使用專線、MPLS、VPN線路等等，線路費用十分昂貴，透過網路架構的設計與調整，可以改採交便宜的線路取代，或者做更好流量的分配，精密的將流量分配在不同的線路之上

四、應用程式控制：
Fortigate的應用程式控制是很早就具備的功能，只是以前是需要付費才能不斷更新辨識Application的Database，同時這個資料庫費用是合併在IPS資料庫的費用中，到了FortiOS 6.0，Fortigate可以直接開啟NGFW模式，在此情況下，可以持續自動更新應用程式資料庫，以作為辨識Application之用。

1. 至於對於封鎖遊戲是否靠應用程式就足夠，恐怕對一些網頁遊戲還是不足的，仍然需要配合網頁過濾功能。
2. 特別要注意QUIC的封鎖，對於DNS辨識及網頁過濾效果會很有用，至於QUIC是什麼，請再自行上網查詢用途。OS 6.4.x目前對QUIC的使用還有一點小狀況，我想是為了對應HTTP/3的使用，大家可以再留意一下。

五、雲端識別：(此為在下自己的說法)
其實這原本是要在SD-WAN功能中做說明的，但是SD-WAN已經太多用途要說了，所以單獨列一項來敘述。常使用Fortigate訂防火牆政策的朋友都知道，如果政策的目的地走向，是要去某個固定位置都還好處理，就怕是某種應用服務(多個服務端口)，但其實有了應用服務控制也算好解決，但萬一是要去那種雲端主機，或類似那種CDN服務的雲端位置，那就很不好搞了。可能要在網上查一堆IP要設定，比如說針對Office365的使用，就會很麻煩。
目前在Fortigate的政策中，可以發現當選擇目的地時，右側選項已經可以選用網際網路服務，裡面約1千500多項，即使是Naver-Line都可以選用，猜想是跟隨OS版本免費更新的，大家可以活化公司的防火牆政策。

六、交換器控制器：僅限於控制自己品牌的交換機FortiSwitch
很多人不知道Fortinet有出產Switch，也很多人沒想到它是產品生命週期終身保固，大概更多人不知道即使是10G介面的光模組核心交換器，也採同樣的保固機制，光這一點就TCO太值了。
然後很多技術人員開始犯渾了，拿了某C牌的觀念就硬往上套，其實也不是不行啦，就是實在太可惜了點，因為Fortigate明明就有交換器控制器，用它，可以所有FortiSwitch不用先設IP，只管接網線就好，不管光或電口，只要插對接口，網路就會通，拓譜圖就會自動幫你畫好，還會告訴你是哪個接口連到哪個接口，連付費的網管軟體都沒有的功能，Switch Controller免費不用太可惜了。
接著更神奇的事就來了，如果自己定義好切的網段用途，可以直接在交換器畫面上選接口去指派，派在哪一台哪個口隨便，高興就好，然後配合上網火牆的政策設定，網段之間可以做防毒及IPS，所以內網資安隔離防護就完成了。
如果再高興點，配合前面講的設備辨識(免費)，還可控制設備那些可以接入網路，直接就達成現在最夯的零信任網路控制。忘了說，進步到OS6.4.x，設備一接到網口就可以自動把它派到預定好的網段VLAN，功能叫Fortiswitch NoC Policy。

七、無線網路控制器：僅限於控制自己品牌的AP
還有人不知道Fortinet有出產ThinAP，也很多人沒想到它是產品生命週期終身保固，也不知道它有支援Remote AP功能，而且還不用授權費。簡單的說吧，就是只要買FortiAP的硬體費用就好，其他雜七雜八功能授權等費用，全免。
在下使用的經驗，發現網路建置會非常容易，隨插即用，不用太費腦子。不需要考慮通道模式，網路流量要進還是不進controller，也不需要考慮橋接模式，switch上要不要設VLAN，基本上就是在公司內網，插上就能用，然後按需求派SSID來分使用者。如果是在家用，告訴基地台controller在哪裡，然後插上就會跟在辦公室一樣使用，連拿到的IP都一樣，很神奇吧！
Fortinet是一間美商資安公司，產品很重視效能，當然更重視資安，身分認證可以支援多種方式及系統，包括前述所說的設備辨識，相信有人會把帳密交給旁人代登，但很少人會把手機交給他人使用，怕不夠嚴謹就加一層OTP吧。
由於各個SSID都有不同的分類與用途，感覺用起來就好像交換機切VLAN一樣，沒錯，可以跟Fortiswitch有類似的用法哦。至於訪客，下一段會說到。

八、訪客系統：免費使用
什麼時候要用訪客系統，最早是在推廣FortiAP的年代，發現很多公司常常只用在會議室，接了一台FatAP(就是無線路由器)，資安觀念好一點的，這個訪客還給獨立的防火牆上的網段與公司隔開，糟一點的就跟公司網路泡一起，大概連總經理電腦都連的到。然後客戶如果到產線參觀，或到總經理室聊天，就得要靠自己的4G，在台灣，4G越來越便宜，可是在國外來台參訪，4G漫遊的費用可是很驚人的。
話說回來，給誰用還事小，主要是有時候無線網路是要安全，使用只是暫時的，總不要開個帳號一直放在上面，所以Fortigate訪客系統可以做到以下兩點，A，可以讓前台(櫃台)開帳號及密碼，但是使用幾小時就停用。B，也可以建好帳號，不管用不用，到某日某時就會停止。相信很多MIS都沒找到在哪開啟訪客系統，以及要如何使用，這些以後再另開專題討論好了。

結語：
其實越寫到後面發現想說的越多，還給自己挖了不少坑，但是字數實在太多，猜想很多人看多(廢話)就沒興趣，這樣就失去在下想分享的心願了。這篇文章其實很早以前就想寫，但思緒雜沓，手邊工作也多，鐵人賽是不可能參加了，更別說其實並沒有網路硬體基礎建設的主題，雖然真的很多人常發問也佔很大比例。
在下無意想講一些技術說明，向來關注的是如何發揮產品的運用，花經費並不可怕，可怕的是買的設備連三成的功力都沒有發揮，高科技淪落到搬盒子是何等的悲哀，不能創造功能，至少發揮功能吧！期待與大家共勉！

.........................................................................................................................

2023.12.22 FortiGate新品效能大躍進，
請參閱新品Fortigate-90G/91G擊倒自家產品效能探討