iT邦幫忙

0

購買防火牆請益

niki 2018-10-04 12:51:083052 瀏覽

近日公司需採購新的防火牆, 原本已決定要用fortinet, 找了兩間廠商, 一間提議80E, 另一間提議100E, 價格差了5萬左右, 比較了一下, 基本差別是80E沒有 1)高效能UTM硬體加速晶片 2)結合FortiGuard全球即時防護網; 想請教有用fortinet80E的板友, 沒有加速晶片真的會很慢嗎? 沒有連上FortiGuard就沒法阻斷Botnet入侵嗎?

公司用100M寬頻, 30台常用電腦, 5台AP, 蠻多時候會有客人到訪會使用到WIFI, 但逗留時間不長; VPN連線數80E的也夠用.

想請教大家應該要選那一款model才比較好呢? 謝謝。

看更多先前的討論...收起先前的討論...
shinyyork iT邦新手 4 級 ‧ 2018-10-04 13:37:01 檢舉
直接叫廠商來做POC~試驗不就知道了!
我們剛換81E...但我們是用價錢決定型號(包含每年的維護費用)>"<
niki iT邦新手 4 級 ‧ 2018-10-04 15:36:09 檢舉
michaelwan大的公司大概多少人呢?
平均大概上線數在40左右. 但人數不是我們評估的點. 使用者行為與允許的服務對我們來說比較重要.
niki iT邦新手 4 級 ‧ 2018-10-04 16:56:30 檢舉
可以請教michaelwan大的FortiOS是什麼版本嗎? fortiview是否只能查收到1h內的log?
v5.6.4 build1575, 是1H, 但不是應該從Log&Report來看嗎?(目前設14天)
runan5678 iT邦新手 1 級 ‧ 2018-10-04 22:56:39 檢舉
1. 不同廠商同設備會因為經銷制度的問題造成報價高低,文中雖然是兩個不同規格的設備但終究還是回到同一廠商
2. POC的話建議mytiny所提到的5,6,7項花點時間驗證測試,遇到的問題也可反饋給廠商,做為廠商技術支援的評估
3.Log的部份其實好處理,也可以將此問題拋回給廠商詢問解決方式

1 個回答

1
mytiny
iT邦大師 1 級 ‧ 2018-10-04 15:23:28
最佳解答

樓主所述的問題裡面有很多"不確定性因素"
略舉說明如下:
1.價格差5萬(如果一個有含FortiGuard,一個沒含,這樣價差很奇怪)
2.80E/81E,100E/101E都是不一樣的設備,Fortiview會有很大差別
3.型號60-100設備都有SoC3加速晶片,效能多少官網都有寫
4.所謂30台"常用"電腦,真正有聯網設備(有線加無線)有多少
5.將設備定位於何?是外網防護,還是要連內網資安服務也要做
6.單純做防火牆? 還是要做網路管理中心(資安鐵三角)
7.預期使用那些功能? 廠商要提供何種等級服務?
8.未來會不會須要網路使用量/人數及功能擴充?

其實以上在下所列舉事項,不僅是給樓主
同時更是給各位網友先進參考
採購資安設備時,請多多全方位考量,特別是567項

樓主其實心中已有答案,只是想要大家贊同罷了
型錄(81E101E)有數據資料,可以評估參考
有先進建議PoC,很好,別只是為測試而測試
但請先看看這一篇防火牆驗收問題
希望對大家都有些幫助

niki iT邦新手 4 級 ‧ 2018-10-04 16:33:55 檢舉

謝謝Mytiny大! 我會再好好研究一下. 因為廠商沒有空機, PoC還能做嗎?

1.價格差5萬(如果一個有含FortiGuard,一個沒含,這樣價差很奇怪)
因為廠商不同, 所以我會再請同一廠商再報價

2.80E/81E,100E/101E都是不一樣的設備,Fortiview會有很大差別
我會再請廠商說明fortiview的差別, 謝謝提醒!

3.型號60-100設備都有SoC3加速晶片,效能多少官網都有寫
我看了型錄都沒有加速晶片的詳細資訊...會再問廠商!

4.所謂30台"常用"電腦,真正有聯網設備(有線加無線)有多少
30台電腦+30台手機, 有些人有兩台以上的電腦/手機, 所以真正聯網設備大概80台.

5.將設備定位於何?是外網防護,還是要連內網資安服務也要做
外網防護為主

6.單純做防火牆? 還是要做網路管理中心(資安鐵三角)
因為不是用forti的AP跟switch, 可以在 FortiGate 介面上就能封鎖問題主機 IP或 MAC就好了

7.預期使用那些功能? 廠商要提供何種等級服務?
基本防火牆功能, NAT, VPN 還有IPS. 廠商會提供設置跟安裝的服務.

8.未來會不會須要網路使用量/人數及功能擴充?
暫時沒有使用量/人數擴充的考量.

謝謝Mytiny大! 再請指教!

mytiny iT邦大師 1 級 ‧ 2018-10-05 10:05:10 檢舉

樓主可在型錄第3頁左下角,看到SPU SoC3的說明
https://ithelp.ithome.com.tw/upload/images/20181005/200838570oVfI14rSn.jpg
https://ithelp.ithome.com.tw/upload/images/20181005/20083857xQFkqGNcQD.jpg
因為需求有IPS,可見有需要第七層(內容層)的防護
購買FortiGuard成為必需的選項
事實上,近年來只做外網防護已不足以解決資安問題
很多資安事件都出於內網的橫向擴散感染
內網的可識別性變得非常重要,可識別才能可控制
建議樓主評估資安設備應該考慮更多周延一些
Fortinet的資安鐵三角在這方面做得不錯
在今年還有"除舊布E"方案,價格會更為優惠
只是需要SI專案替客戶申請
看來SI沒有為樓主做更詳盡的說明,有些可惜

官網上的資料可以看出設備的效能
同時將81E分類Entry-Level,101E分類Mid-Range
在下實在不方便直接說到底哪一款適合樓主
其實,只將Fortigate定位在防火牆是非常可惜
這個設備作為網路及資安的管理中心會非常物超所值
應當請SI給樓主做深入的說明才是
至於PoC,空機也可以置入暫時的AV/IPS資料庫
做效能測試應當不是問題,SI定能提供PoC才是

niki iT邦新手 4 級 ‧ 2018-10-05 11:24:06 檢舉

謝謝Mytiny大,
廠商只有傳給我型錄然後再請我有不明白的地方去問他們, 所以我都有點無從入手, 幸好有板友們的提醒, 我會再請廠商把fortiview, IPS, 內網的資安 等功能作進一步的說明 =)
也感謝Mytiny大說 "只將Fortigate定位在防火牆是非常可惜
這個設備作為網路及資安的管理中心會非常物超所值" 感覺比廠商說的話更有推薦力 XDD

我要發表回答

立即登入回答