網路連線非一直滿速使用
如是現有設備,試了再說(跑不動CPU RAM會告訴你)
如有顧慮,應升級到80F

Threat Protection
是指威脅防護的部分
開啟防毒功能之後能處理的效能
以你兩條300M同時下載的狀況 是可以跑到600M
但是網路的實際高峰值不會那麼高
大多是算個平均值 不超過Threat Protection或ips
但是網管人在硬體效能不足的狀況就要自己想辦法去調偵測哪些流量

比方說windows update或youtube流量很安全了，那為何要偵測
把正常流量放行不偵測才不會浪費防火牆效能

推樓上Threat Protection Throughput = 250Mbps，如果不足就要再買大一點的model，只是兩條300M同時跑全滿的機率是比較低，有預算考量可以買接近600Mbps即可，沒有預算限制當然是優規比較好~

Throughput 是 250Mbps，是不是2條進來的流量超過250Mbps的部份就無法監控?!

你這問題就真有趣

那如果你SERVER上傅是1G, 你家下載是50M, 那你是不是不能到那SERVER去下載東西?
當然不是, 只是你要花多點時間而已

假設你有一ISP A是100M, 另一ISP B是150M

在同一秒上都達到高用量, 在那一秒是沒問題的

假設你有一ISP A是200M, 另一ISP B是150M

在同一秒上都達到高用量, 在那一秒也是沒問題的
理論只有最250M能被處理, 下一秒再來搞那100M
好了, 而那第一秒上這250如何分到A跟B上呢?

我理解是各自125
理由是這一句網上隨便都能抓但又不太準確的學術解釋:
This is the volume of traffic that can pass through the firewall at any one time.
在最下面我也有一個實際的應用來回應這學術解釋

那先來回到那理論
在第一秒: A 是 200-125 = 75 , B 是 150 - 125 = 25
在第二秒: A 是 75-125 = -50 , B 是 25 - 125 = -100

即是說, 這FIREWALL要2秒時間來處理你這 350M 的流量. 因為它是250Mbps. 那自然多加一秒了.

很合理吧!?

好了, 再來

ISP A是1000M, 另一ISP B是350M

在第一秒: A 是 1000-125 = 875 , B 是 350 - 125 = 225
在第二秒: A 是 875-125 = 750 , B 是 225 - 125 = 100
在第三秒: A 是 750-125 -25 = 600 , B 是 100 - 125 = -25
(多出來25M空間就可以回到A上去了, 所以A的處理速度多25了~)

在第四秒: A 是 600-250 = 350 ....
在第五秒: A 是 350-250 .....

好, 問題又來了

你知道FORTIGATE的VM板本 "可能" 預設只用第一粒CPU嗎?
我假設你ESXI實際是分配了4個COREs給VM FORTIGATE
再假設這VM FIREWALL THROUGHPUT是理論上有10G
再再假設FORTIGATE上又有10個1G口

情況又如何呢?

10G / 4Core = 2.5Gbps per Core
理論上一個CORE是帶來2.5Gbps TP

但因為現在是只有一個CORE在用, 所以其實只有2.5G來給10個1G用在那一秒

再來你又知道其實我們可以把VM FORTIGATE INTERFACE分配到指定的CPU CORE上嗎?

問題又來了, 剛剛說是1CORE有2.5G, 10個1G口

那1個1G口是又只能配上1個CPU嗎? 如果是, 那就有喵了
那喵的1CORE最理想是只給兩個口用, 多出來的0.5G就是多出來了
你再分配多一個1G口到這CORE上, 那一秒那第三口也只有0.5G, 見鬼了!?

很高興的是, 1個口是其實又能配上多個CPU的, 所以飛塔真是猛猛Der

https://community.fortinet.com/t5/FortiGate/Technical-Note-Optimize-FortiGate-VM-performance-by-configuring/ta-p/198504

而這裡CPU配置部份也解釋了上面為何我理解是"各自125"而不是"每個口都有250"

好了少年, 你那FORTI是官方機器, 以上優化已經有了, 就不必勞神了
選擇FIREWALL, TP比WAN LINK快是建議的原則
但如果你的人生秒數比較多, 當然也可以等一等

好了, 以上都是我在胡說八道. 來等大神說明

型錄有說明清楚：
Threat Protection performance is measured with Firewall, IPS, Application Control and Malware Protection enabled.

設備處理速度在於設備本身 SPU SoC3 晶片整合機構整體效能
同時處理防火牆政策、IPS、程式控制及防毒情況下
所以Threat Protection最大處理效能在 250 Mbps
跟線路頻寬沒有直接關係
主要跟設備處理能量有關
FG-81E原廠定位在Entry-level
原本能量就處理不高

很多人總是把"功能全開"就會效能不足來批評設備
殊不知外國人算是比較老實，各項數據都有明碼標示
這台81E防火牆Throughput在4G
但如果用在Threat Protection就是250 Mbps
所以說設備採購前要想清楚"用途"是什麼
採購之後才不會覺得效能不足

至於不明就理的人批評說效能灌水
實在不知要如何讓不懂科技的人能明白事理
如果防火牆分不清SPI或DPI
至少該知道防毒與入侵偵測及應用程式控制處理起來不是一回事
是要怎麼可能讓設備處理起來進入跟出來一樣效能
必定會是不同效能才是常理
如果搞同質效能只有可能是軟體式由記憶體同時分配給CPU不同核心處理
軟體式與晶片式防火牆在功能上或許難分伯仲
但效能上就有實質差異
不然也不會某台現在改推有加速晶片了