關於防火牆 FortGate 60C 連外網速度無法到300M 的問題

firewall 硬體防火牆

jasonr 2021-12-06 15:47:30 ‧ 2495 瀏覽

分享至

請問各位前輩:
公司日前將中華電信外網從100M 升級到 300M
但是用網頁測速一直無法到 300M (約100M上下)
從中華電信小烏龜直拉測試可以到 300M，
但是從防火牆 FortGate 60C 拉出來測試，就是無法到 300M。
查一下FortGate 60C 的規格，有一項是IPS throughput : 135Mbps
不知道是否是此規格因素?

請問 IPS 可以透過網頁設定關掉嗎?有可以是哪個位置?

不同的OS IPS是否規格也不一樣?
FG-60C OS4 PDF 連結:

FG-60C OS5 PDF 連結:

竹本立里 iT邦好手 1 級 ‧ 2021-12-06 16:07:53 檢舉

https://ithelp.ithome.com.tw/questions/10190152

harrytsai iT邦新手 1 級 ‧ 2021-12-07 15:41:01 檢舉

想問一下你是直接接在forti的後面,還是有串hub?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2021-12-06 16:20:51

樓主：真心苦勸您，FG-60C已經是骨董級了
網上有不少二手的Fortigate
便宜，效能又還好
如果自己家裡能搞搞，還算堪用
公司就千萬別貪便宜了

話說回來
FG-60C (不帶wifi)要記得解開softswitch
不然會被那個internal(或LAN)的效能拖垮
如果沒啟用IPS就跟IPS沒啥關係
通常這種過保機器不會有應用層的資安功能
OS基本少不了有漏洞
在考慮看看吧

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

jasonr iT邦新手 3 級 ‧ 2021-12-06 17:01:36 檢舉

請問 IPS 是可以關掉測試嗎?
謝謝

mytiny iT邦超人 1 級 ‧ 2021-12-06 17:31:41 檢舉

在防火政策裡，沒有開啟IPS就不會有作用
請貼防火牆政策上來看

ommjki iT邦新手 3 級 ‧ 2021-12-07 06:54:36 檢舉

小弟也跟jasonr大一樣遇到相同的問題一直找不到原因
看了mytiny大的回答才知道原來是softswitch的問題
請教mytiny大要如何解開Fortigate的softswitch
小弟目前使用60D OS是6.0.13

jasonr iT邦新手 3 級 ‧ 2021-12-07 14:53:48 檢舉

mytiny 大大:
相關防火牆政策如下:(其中不太清楚 [啟用 NAT]的意義?)

mytiny iT邦超人 1 級 ‧ 2021-12-07 15:40:09 檢舉

jasonr大大
根據截圖policy中UTM均未啟用
因此防毒與IPS都不會作用，不影響效能
另外，NAT為上網時政策須啟用
NAT意函請自行上網搜尋資料

ommjki大大
首先要刪掉所有路由、防火牆政策、位置物件與DHCP等等
然後去CLI下命令
config system virtual-switch
purge
end
再重新設防火牆
(評估看看是不是重新買一台比較實在)

cmwang iT邦大師 1 級 ‧ 2021-12-07 21:24:00 檢舉

Forti有WLAN的機型會把LAN和WLAN兜成一個L2的softswitch,優點是LAN/WLAN可以在同一個subnet,缺點是會讓fastpath失效,只能靠其貧弱的CPU硬幹所以跑不快,解法是先把WAN的IP設好,而且要先讓管理者能由WAN登入(不然等一下就糗了),接著就是在Interface中把softswitch刪掉(Web UI中的名稱好像是Lan或是Internal,在此如果沒先把WAN設好,softswitch被刪掉後就沒有IP可以連了,所以前面才說會很糗),然後就可以分別對LAN和WLAN設定IP了,請參考鵝之前的討論....

登入發表回應