iT邦幫忙

2

防火牆更換的選擇

如題,我是公司的總務,目前我們公司內使用眾至都覺得還不錯,軟硬體也都穩定。
公司不大,約40人,礙於硬體合約即將到期,廠商有提出可以更換防火牆成Fortinet。

但我認為價錢是有點貴..且眾至設備也還很正常,有需要更換成Fortinet嗎?
還是廠商想騙我錢/images/emoticon/emoticon06.gif
或是有沒有使用過的大大們可以分享Fortinet哪裡強大呢?

P.S:目前使用UR-940,廠商建議FG-81E

感謝大大無私的回覆/images/emoticon/emoticon41.gif

看更多先前的討論...收起先前的討論...
zyman2008 iT邦大師 7 級 ‧ 2021-03-21 10:54:19 檢舉
Fortigate功能確實強大, 但要拔得出石中劍, 也需要有亞瑟王.
Foritigate目前最新的硬體為F系列. 但不知道台灣是否已經導入80F系列, 還是還在主推舊的80E系列.

如果自己或提供防火牆服務的SI, 對產品應用不熟悉. 如果使用起來穩定(不會動不動就當機或無故重開機), 換甚麼都差不多的.

你的Internet電路頻寬(下載/上傳)是多少 ?
需要所有安全防護(URL過濾, 應用程式過濾, 防毒, IPS, ...)都開嗎 ?
Email server 是在雲端還是內網 ?
需要防護相關月報表 ?
那個廠商是一直推80E 不是F...原來這是舊的喔..
目前是100/100光纖
不會到需要全開,防毒部分會比較需要
Mail server在內網
需要防護ERP的報表
zyman2008 iT邦大師 7 級 ‧ 2021-03-21 16:07:14 檢舉
如果選擇FOrtinet, 以官網規格資訊下列硬體效能比較 FortiGate 80F > 60F > 80E
NGFW效能: 80F:1Gbps / 60F:1Gbps / 80E:360Mbps
Threat Protection效能: 80F: 900Mbps / 60F: 700Mbps / 80E: 250Mbps

3年內電路有計畫昇到 300M以上就選80F系列, 不然60F系列就夠了.
要有內建報表儲存空間的型號為81F or 61F.
依你的需求UTM授權買 Unified Threat Protection 就夠了. (須每年續約)
補覺鳴詩 iT邦研究生 1 級 ‧ 2021-03-21 21:06:03 檢舉
單純怕故障就找別人簽 MA ,不然就買新的 眾至 設備
眾至用得好好的,除非你自己認為他有不足的地方
不然換 Fortigate 一個對自己而言不熟悉的產品,個人覺得要先好好考慮
網路上有 VM 可以自己先試看看
2
雷伊
iT邦高手 1 級 ‧ 2021-03-22 11:29:38
最佳解答

原來是經費問題啊!
要是我會上網拍買台過期的UR-940(約NT5000元)做備援
1.兩台的韌體更新到最新版
韌體下載:
http://www.sharetech.com.tw/zh-tw/support-n-service/tech-support/firmware-download/1/1/4
2.導出原機的config檔
3.導入中古機的config檔
4.中古UR-940鎖在原機下方
5.定期交換兩台設備的線路
6.防火牆規則若有變動兩台都要改
7.若會設定HA當然要設
請參考官方文件第5頁,的確有支援此功能
https://www.sharetech.com.tw/images/Datasheet/UTM/UR_940_201612.pdf

40人的公司用這台還能撐很久,就算其中一台故障再上網買都還來的及
直到買不到備品為止,在來考慮買新的防火牆

結論:總預算僅花費5000元+運費60元=5060元。
在貴司無IT人員的情況下,你甚麼都要找廠商來,所以5060元的預算是指有IT的情況,你找廠商仍然會另外跟你索取設定費+車馬費,合理的收費落在5000元至10000元。

2
echochio
iT邦高手 1 級 ‧ 2021-03-21 10:55:48

那廠商為啥不推 palo alto
同樣道理 眾至設備 正常為啥不繼續用 ?
一般來說 40 個人不大, 但網路斷了超麻煩
預算夠 就買新的設備,
預算不夠一半價位可買 RouterOS 功能還比Forti強, 但是你要會設定沒廠商可問
FG-81E 足夠的, 記得問將來要續保, 價格如何?
FG-81E 相當穩定用個三五年沒問題, 眾至UR-940還可拿來當備品
正常 Fortinet 可以借測, 可與廠商要求, 有沒有強大, 自己測最準
也可多找幾家廠商 palo alto 也可借測
Dell SonicWALL 也可借測
很多都可借測
如防火牆規則常常變動買Forti 準沒錯, 因好設定
以MIS 來說沒事最好, 裝上去更本就忘了它
現在設備都相當穩定.... 結論是 預算決定的

echochio
眾至設備是因為可能之後會停產..如果硬體設備損壞,維修上好像會有問題,所以廠商一直建議我們換掉,然後一直不續簽硬體保固合約,可是那台目前都好好的沒事@@

還是如果真的壞掉我可以送去非原廠修呢?

小的才疏學淺,還沒看過什麼是RouterOS 我會再做功課的,
palo alto跟Dell SonicWALL 小的也真的不熟><

echochio iT邦高手 1 級 ‧ 2021-03-21 12:41:54 檢舉

Forti 熟的就用吧.....
借測是很重要的
沒用過的也可借測多看看多比較
自己習慣上手也很重要

1
CyberSerge
iT邦好手 1 級 ‧ 2021-03-22 03:12:36

防火牆更換,價錢是一個考量,效能是考量,功能也是考量,還有一個考量是會不會用?是否自己能上手?否則買了一個功能強大的設備卻無法發揮功能,也是擺著浪費錢。安全防護(URL過濾, 應用程式過濾, 防毒, IPS等等,還要考慮是否能檢測https流量。

Palo, Fotinet, Sonicwall, Check Point等等都有廠商管道可以商量借測或DEMO, 不妨都看看試試再做決定。

1
chuway
iT邦新手 5 級 ‧ 2021-03-22 09:29:48

40人而已,940夠再用3年
記得把設備設定備份出來,機器掛了就不需重新找設定
機房有冷氣下,眾至的機器故障率不高,有問題直接撥0800,不需工程師到場下,不論由無MA,都能獲得協助

2
japhenchen
iT邦大師 1 級 ‧ 2021-03-22 09:55:25

我們也是用眾至,但型號UR930,十年了,效能真的.......跟不上時代,已經開了一筆預算申請案,更換目前在岡山廠跟永康總辦的設備,目前是電信業者的Forti的租賃方案佔優勢,就等他們來評估遷移的所有事宜(岡山跟永康之間採取IPSec Tunnel多子網段串連)
https://ithelp.ithome.com.tw/upload/images/20210322/201179544kpoPwWwrB.jpg

這種防火牆設備的更新,我一定會裝傻到底,就連預算我也不會插手,免得程式設計師還要兼網路管理,先加我薪再說

3
sd3388
iT邦新手 5 級 ‧ 2021-03-22 18:53:39

現在來給建議是不是有點多餘?
不過還是來講講我的看法好了

說真的,防火牆各家都有各家的優點
只是如果不先自己問清楚需要的是什麼
叫來廠商也說不清楚設備到底能幫公司什麼
這樣根本就是在打混仗,非常非常非常不應該
一個網路與資安的時代
你手機都 3G > 4G > 5G 每一兩年都換一換了
搞個上世紀舊東西是想要防新資安威脅
不知道你是天真還是鄉愿

因為版主是總務,不是專業技術,就算了
所以如果廠商騙錢騙得有道理
我也很願意讓他多騙一點
只要對公司還有些幫助,給公司新的觀念
不要讓網路資安還停留在上一世紀就好
現在網路攻擊都是內部、內網
誰還從外面打大門呀? 暈死
內網PC跟Server之間沒有防護
網路會有資安是想騙誰?
居然還有說防火牆最好沒事,裝上去根本就忘了它
你當是衛X棉嗎?
防火牆要天天看內容層的紀錄
沒有這樣做,就是失職失職失職

做IT人員的,被人看不起、薪水沒有價值
看來真是咎由自取,不能怪別人
天天拿著上世紀的路由觀念在搞網路
怎不問問這二十年難道網路技術都沒改變嗎?
網路資安攻擊與防護都沒進化嗎?
外商Fortigate及其他C牌P牌早就進步不知到哪裡去了
我們還停在上世紀,這樣不如買IP分享器
一次買3個,壞了就馬上換一台
豈不是最便宜

雷伊 iT邦高手 1 級 ‧ 2021-03-23 10:53:05 檢舉

任你更新更強的防火牆,只要你有開虛擬IP轉Port還不是得屎。
AWS夠大了吧!上面一堆主機在攻擊全世界的主機,我有開台測試VM Linux,想訪問22 Port每天都有幾萬筆,攻擊模式還是跟上世紀一樣,先探勘在攻擊,進不來就癱瘓你。
防火牆的等級取決你想保護的資料等級!

mytiny iT邦大師 1 級 ‧ 2021-03-23 18:40:32 檢舉

看到衛X棉,真是笑倒了 XXXD
雷伊大:攻擊模式早就變了,真的
駭客用傳統手法,通常只是障眼法而已

2
yesongow
iT邦大師 1 級 ‧ 2021-03-23 10:03:13

光是(眾至)下載firmware的機制,就已經贏了Fortinet FortiGate 100公里了!
你還有啥好選的呢?

當然,自己也得要主動下載firmware檔案備份,

不然像是(友旺abocom)停止相關產品後,回頭想下載,都不可能了!

mytiny iT邦大師 1 級 ‧ 2021-03-23 18:50:11 檢舉

防火牆各人各有喜好倒是無可厚非
但是以下載firmware的機制來論斷優劣倒是前所未聞
全球有各式驗證評估機制如 NSS,FIPS 140-2,ICSA,Virus Bulletin
yesongow大大,可以去看下面網址,這些騙不了人
https://www.fortinet.com/corporate/about-us/product-certifications

我要發表回答

立即登入回答