這一篇的標題雖然在Fortigate-90G/91G
不過實際要談的是Fortigate-120G/121G
以及SP5(SoC5)晶片用途與效能
其中Fortigate-120G/121G具備機架配件
而10G光纖SFP+增到4個，1G接口有16+8個
同時也具備redundant power
在原廠屬性上屬於企業或校園級入門款
與Fortigate-90G/91G小型款有所區隔

現在蠻多MIS忽略了處理加密封包的重要性
再次作了相關的性能比較如下
預估120G價格約較90G高30%-40%，僅200F的5-6折

根據以上的數據性能比較結果
除再次證明G系列較F系列有更優異的表現之外
會發現這四款在CPU與記憶體上差異不大
都是ARM的8核心與8G的RAM(僅200F是Xeon® CPU D-1627)
因此差異就在晶片架構，看過下圖便一目了然

由於在實際網路運作上的經驗
接近八九成的網際網路通訊幾乎都是加密封包
如https,ssl,IMAP,pop3s,smtps或tunnel vpn等等
如果防火牆未處理此類加密封包
則不論防毒防入侵等安全防護都是無效的
所以請檢視防火牆是否有開啟deep scan功能

緣上，如果處理加密封包都交由CPU運作
就會出現所謂功能全開則效能低落的UTM現象
所以必須交由不同晶片專門處理，說明如下

網路處理器 NP：專為超大網路規模設計
Networking Processing在網路層執行會減慢CPU的功能而改採晶片加速
如IPv4/IPv6,及unicast, multicast
此外，NP提高了 IPsec與SSL封包加解密、VXLAN和位址轉換速度，
同時提供硬體記錄和防火牆策略實施

內容處理器 CP：專為防護而設計
Content Processor專為防護而設計，CP可作為CPU協同處理器使用，
負責資源密集型的安全功能，如應用程式識別、IPS/AV(掃描、特徵關聯等）
CP還執行模式比對加速、快速檢查即時流量以進行應用程式識別，
以便CPU執行其他重要任務，將不致影響防火牆效能體驗。

第五代7納米芯片：安全處理器 SP5 (SoC5)
SP5(SoC5)是一組完全整合的安全功能，包括第7層防火牆，
整合在快速且符合成本效益的晶片上，以加速網路與安全的融合，
FortiSP5同時具有特定於應用程序的設計和嵌入式多核處理器,可提供：
1.與領先的標準CPU相比，防火牆性能提高了17倍
2.下一代防火牆(NGFW)性能提高了3.5倍：它可以處理更高水平的交通檢查以檢測和阻止威脅
3.加密速度提高了32倍：以保護敏感數據並防護VPN內容安全
4.提升2.5 Gbps的SSL深度檢查：提供檢查惡意軟件的加密流量所需的處理能力,而不致出現性能不彰
5.安全引導OT：僅允許啟動已批准的OS,從而保護關鍵基礎架構免受惡意篡改
6.提升DDoS至晶片處理防護護：阻止分佈式拒絕服務(DDoS)攻擊
7.晶片加速VXLAN/GRE處理封裝：為分佈式網絡(SD-Branch)啟用安全的互連
8.晶片加速QoS：增強用戶對敏感應用程序(例如視頻會議)的專用QoS體驗

目前為止，僅見Fortigate有專門針對晶片做說明
特別是有標註處理各種SSL Inspection相關的效能
其他品牌多以第七層處理數據草草模糊帶過
這對於近來綁架病毒威脅多採用加密通訊躲過防護
並沒有起到對用戶明瞭風險的幫助
反而讓大家忽略防火牆已失去效能的警惕
希望藉此文章提醒MIS重視防火牆處理加密流量的重要

註：以上產品資訊均來自Fortinet官網

..................................................................................
前一篇(一)：新品Fortigate-90G/120G擊倒自家產品效能探討(一)