FortiGate-91G ارتقای سطح امنیتی و کارایی شبکههای لبه سازمانی
در دنیای امروز که مرزهای شبکه در حال محو شدن هستند و کارمندان به صورت گسترده دورکاری میکنند، تامین امنیت در نقطه اتصال اصلی شبکه تنها یک لایه دفاعی نیست، بلکه ستون فقرات عملکرد و پایداری کسبوکار به شمار میآید. به عنوان یک معمار ارشد شبکه، میدانم که دستگاههای نسل جدید باید بتوانند حجم عظیمی از ترافیک رمزگذاریشده را با سرعت پردازش کرده و مجموعهای از قابلیتهای امنیتی را بدون افت محسوس در کارایی به کاربران ارائه دهند. FortiGate-91G، نه تنها جانشین مدلهای قبلی همطراز سری F شده است، بلکه یک جهش عملکردی محسوب میشود که به شکل اختصاصی برای سازمانهای کوچک تا متوسط و شعب در حال توسعه طراحی شده است. این فایروال یکپارچهساز تهدید (UTM) و فایروال نسل بعدی در یک شاسی کوچک، برای اجرای استراتژیهای پیچیده مانند شبکه گسترده نرمافزار-محور (Secure SD-WAN) و دسترسی به شبکه با اعتماد صفر (Zero Trust Network Access) در مقیاس کوچکتر اما با توان عملیاتی بزرگتر توسعه داده شده است.
معماری زیرساختی و فناوریهای شتابدهنده سختافزاری
تفاوت اساسی FortiGate-91G و برتری آن نسبت به سایر راهکارهای امنیتی در کلاس خود، در استفاده از معماری اختصاصی سیستم روی تراشه فورتینت (SoC) سرنام System-on-a-Chip Fortinet نهفته است. در مدل 91G، شاهد بهینهسازی و استفاده از دو تراشه اصلی هستیم که وظایف شبکه و امنیت را به صورت موازی و سختافزاری شتابدهی میکنند. این رویکرد، مشکل “گلوگاه نرمافزاری” را که در فایروالهای مبتنی بر پردازندههای عمومی رایج است، از بین میبرد.
- پردازنده شبکه (NP7): این تراشه مسئول انجام وظایف شبکهای با سرعت بالا و تاخیر کم است. NP7 شتابدهی سختافزاری را برای بازرسی سنتی، هدایت ترافیک و مسیریابی و مهمتر از همه، تونلهای VPN با عملکرد بالا فراهم میکند. در زمینه SD-WAN، پردازنده NP7 مسیریابی مبتنی بر کارایی را شتاب میدهد و تضمین میکند که بستههای حساس به تاخیر، بدون دخالت پردازنده اصلی به سرعت ارسال شوند.
- پردازنده محتوا (CP9): قلب امنیتی FortiGate-91G محسوب میشود. وظیفه اصلی آن، تخلیه بار پردازشی عملیاتهای سنگین امنیتی از پردازندهی مرکزی است. این رویکرد شامل شتابدهی رمزگذاری و رمزگشایی ترافیک SSL/TLS، شتابدهی به موتورهای تشخیص نفوذ و الگوریتمهای آنتیویروس است. حضور CP9 تضمین میکند که فعالسازی بازرسی عمیق بستهها، عملکرد کلی دستگاه را دچار اختلال نکند، که یک معیار اساسی برای شبکههای با پهنای باند بالا است.
- حافظه یکپارچه (Integrated Storage): برخلاف بسیاری از مدلهای مشابه که به حافظه خارجی وابسته هستند، مدل FortiGate-91G و به طور کلی مدلهای سری 91 دارای یک حافظه SSD داخلی هستند. این حافظه داخلی برای ذخیرهسازی لاگها (Logs)، گزارشگیری محلی (Local Reporting) و بهخصوص برای ذخیره دادههای مربوط به تحلیل سندباکس در محیطهای کوچک بسیار حیاتی است و نیاز به سرورهای لاگبرداری مجزا را کاهش میدهد.
شاخصهای عملکرد فنی و توان عملیاتی واقعی
از منظر یک معمار، اعداد خام توان عملیاتی تنها بخشی از ماجرا هستند؛ آنچه اهمیت دارد، عملکرد با فعال بودن تمام قابلیتهای امنیتی است که فورتینت آن را NGFW Throughput مینامد. مشخصات فنی FortiGate-91G، این فایروال را در بخش میانرده توانمند ساخته است. توان عملیاتی NGFW این محصول حدود ۱.۲ تا ۱.۳ گیگابیت بر ثانیه است. این رقم تضمین میکند یک لینک اینترنت گیگابیتی سازمان میتواند با امنیت کامل و فعال بودن کنترل برنامه و فیلترینگ وب پردازش شود، بدون اینکه فایروال گلوگاه شود. ویژگی کلیدی بعدی، بازرسی SSL/TLS با کارایی بالا است. با توجه به اینکه اغلب ترافیک امروزی رمزگذاری شده است، توانایی دستگاه در رمزگشایی، بازرسی و رمزگذاری مجدد ترافیک با سرعت بالا بسیار مهم است. 91G میتواند این کار را با سرعتی حدود ۱.۱ گیگابیت بر ثانیه انجام دهد، که در این کلاس دستگاهی رقمی قابل توجه است. شکل زیر نمای فیزیکی این فایروال را نشان میدهد.
91G دارای پورتهای فیزیکی متعدد گیگابیتی است که انعطافپذیری لازم برای تقسیم شبکه به مناطق امنیتی مختلف مانند DMZ، LAN و WAN را فراهم میآورد. این آرایش پورت، مدیریت ترافیک داخلی و خارجی را برای سیاستهای دقیق کنترل دسترسی آسان میکند. همچنین، طراحی بدون فن در بسیاری از پیکربندیهای 91G، نه تنها نویز عملیاتی را حذف میکند که برای دفاتر کوچک مهم است، بلکه پایداری حرارتی و دوام دستگاه را در محیطهایی که امکانات خنککننده محدود است، افزایش میدهد. جدول زیر مشخصات فنی فایروال فوق را نشان میدهد.
| طبقهبندی | ویژگی | مشخصات فنی |
| سختافزار | 10/5/2.5/GE RJ45 or 10GE/GE SFP+ Shared | 2 |
| GE RJ45 Internal Ports | 8 | |
| USB / Console Ports (RJ45) | 1 / 1 | |
| Internal Storage | 1 x 120 GB SSD | |
| Additional Hardware | Trusted Platform Module (TPM), BLE | |
| عملکرد سیستمی | Firewall Throughput (1518 / 512 / 64 byte UDP) | 28 / 28 / 27.9 Gbps |
| Firewall Latency (64 byte UDP) | 3.23 μs | |
| Firewall Throughput (Packets Per Second) | 41.85 Mpps | |
| Concurrent Sessions (TCP) | 1.5 Million | |
| New Sessions/Second (TCP) | 124,000 | |
| Firewall Policies | 5,000 | |
| توان عملیاتی امنیتی | IPS Throughput | 4.5 Gbps |
| NGFW Throughput | 2.5 Gbps | |
| Threat Protection Throughput | 2.2 Gbps | |
| Application Control Throughput (HTTP 64K) | 6.7 Gbps | |
| CAPWAP Throughput (HTTP 64K) | 23.6 Gbps | |
| VPN & SSL | IPsec VPN Throughput (512 byte) | 25 Gbps |
| Gateway-to-Gateway IPsec VPN Tunnels | 200 | |
| Client-to-Gateway IPsec VPN Tunnels | 2,500 | |
| SSL-VPN Throughput | 1.4 Gbps | |
| SSL Inspection Throughput (IPS, avg. HTTPS) | 2.6 Gbps | |
| SSL Inspection CPS / Concurrent Sessions | 1,400 / 300,000 | |
| ظرفیت و مدیریت | Virtual Domains (Default / Maximum) | 10 / 10 |
| Max FortiSwitches Supported | 24 | |
| Max FortiAPs (Total / Tunnel Mode) | 96 / 48 | |
| High Availability Configurations | Active-Active, Active-Passive, Clustering | |
| فیزیکی و مصرف برق | Dimensions (Height x Width x Length) | 1.65 x 8.5 x 7.0 in (42 x 216 x 178 mm) |
| Weight | 2.47 lbs (1.12 kg) | |
| Power Consumption (Average / Max) | 22.4 W / 23.5 W | |
| Heat Dissipation | 80.1 BTU/hr | |
| Operating Temperature | 32°–104°F (0°–40°C) | |
| Compliance & Certifications | FCC, ICES, CE, RCM, VCCI, BSMI, UL/cUL, CB |
سناریوهای استقرار و کاربردهای استراتژیک
FortiGate-91G محصولی چندمنظوره است که در بسیاری از معماریهای کلیدی شبکه به خوبی جا افتاده و قابلیتهای مورد نیاز یک معمار شبکه را ارائه میدهد. از سناریوهای مهم در این زمینه به موارد زیر باید اشاره کرد:
- تقویت امنیت شعب در معماری SD-WAN: در این سناریو، 91G به عنوان یک دستگاه امنیتی پیشرو (Security First) در شعب کوچک یا متوسط نصب میشود. این دستگاه میتواند کیفیت لینکهای WAN را به صورت لحظهای نظارت کند، ترافیک را به صورت هوشمند بر اساس SLA هدایت نماید و همزمان یک لایه امنیتی کامل را اعمال کند. تونلهای VPN با شتاب NP7 به صورت دائمی بین شعبه و مرکز داده برقرار میشوند و امنیت ارتباطات را تضمین میکنند.
- پیادهسازی Zero Trust Network Access: سازمانها به سرعت در حال حرکت از VPNهای سنتی به سمت ZTNA هستند. FortiGate-91G به عنوان دروازه اصلی ZTNA عمل میکند. این بدان معنا است که به جای اعطای دسترسی به کل شبکه به کاربر VPN، دستگاه دسترسی را بر اساس هویت کاربر و وضعیت امنیتی دستگاه ارزیابی کرده و به صورت بسیار محدود دسترسی به منابع لازم را اعطا میکند.
- امنیت ابری هیبریدی (Hybrid Cloud Security): برای سازمانهایی که از سرویسهای SaaS یا IaaS در ابر عمومی استفاده میکنند، 91G به عنوان لنگرگاه امنیتی عمل کرده و ترافیک بین دفتر محلی و ابر را بازرسی میکند. این کار اطمینان میدهد که سیاستهای امنیتی سازمانی (Governance) به منابع ابری نیز گسترش یابد.
- پلتفرم امنیتی یکپارچه (Security Fabric): فایروال FortiGate-91G با قابلیت ادغام کامل در اکوسیستم بزرگتر فابریک فورتینت، امکان دید کلی و مدیریت متمرکز از طریق FortiManager را فراهم میسازد. این امر به معمار شبکه اجازه میدهد که پالیسیهای امنیتی را به صورت خودکار و یکنواخت بر روی دهها دستگاه فورتیگیت در مکانهای مختلف اعمال کند.
مقایسه و تحلیل رقابتی با فایروالهای همرده
در تحلیل نهایی، باید FortiGate-91G را با رقبای مستقیمش در فضای NGFW برای SMBs مقایسه کنیم، مدلهایی مثل Cisco Firepower 1010 و نمونههای مشابه مقایسه کنیم.
Cisco Firepower از منظر IPS عملکرد بسیار قوی دارد که توسط امضاهای قوی Talos پشتیبانی میشود. با این حال، FortiGate-91G در شاخصهای توان عملیاتی کلی (Overall Throughput)، بهویژه با فعال بودن IPS و قابلیتهای SD-WAN، برتری قابل توجهی را به دلیل شتابدهندههای سختافزاری خود ارائه میدهد. همچنین، فورتیگیت انعطافپذیری و عمق بیشتری را در مدیریت SD-WAN و ZTNA فراهم میکند. در نقطهای دیگر، Check Point 1530 در بخش مدیریت، سادگی و قابلیتهای امنیتی سنتی قوی است و از فناوریهای پیشگیری از تهدید بسیار پیشرفتهای بهره میبرد. با این حال، 91G به طور مکرر در تستهای شخص ثالث از نظر نسبت قیمت به عملکرد و توان عملیاتی رمزگشایی SSL از رقیب خود پیشی میگیرد. به طور معمول، Check Point در صورت فعال بودن همه لایههای امنیتی، افت عملکرد بیشتری را ارائه میدهد و به همین دلیل در این زمینه تفاوت عملکردی قابل توجهی دارد.
در حالی که هر سه دستگاه ابزارهای امنیتی عالی هستند، FortiGate-91G با امکان ذخیرهسازی داخلی، سادگی استقرار Secure SD-WAN و ادغام کامل در Fortinet Security Fabric، یک راهحل جامعتر و آیندهنگرانه را برای سازمانهای در حال رشد ارائه میدهد. این تجمیع قابلیتها باعث میشود که FortiGate-91G ارزش بالاتری را در سبد محصولات شبکه برای معماران به ارمغان بیاورد.
کلام آخر
در نهایت، تصمیمگیری برای انتخاب یک فایروال در این کلاس قدرت، به سادگی مقایسه قیمت نیست، بلکه یک تصمیم استراتژیک در مورد آینده امنیت شبکه است. FortiGate-91G با ترکیب نوآورانه پردازندههای NP7 و CP9، حافظه داخلی SSD و قابلیتهای امنیتی یکپارچه (NGFW، SD-WAN، ZTNA)، به عنوان یک دستگاه پیشرو در امنیت لبه برای محیطهای SMB مطرح میشود. این فایروال نه تنها امنیت شبکه شما را در برابر تهدیدات کنونی تقویت میکند، بلکه با فراهم آوردن زیرساخت لازم برای پذیرش معماریهای پیچیده آینده مانند ZTNA، شبکه شما را در برابر چالشهای پیشبینینشده در سالهای آتی، مقاوم میسازد.
حمیدرضا تائبی