فایروال

فایروال‌های فورتی‌گیت شرکت فورتی‌نت به چه مدل‌هایی تقسیم می‌شوند؟

نویسنده: author-avatar
0

شرکت فورتی‌نت با یک شعار مهم و بزرگ پا به عرصه ظهور نهاد، که ارائه امنیت جامع، یکپارچه و فراگیر با عملکرد بالا برای زیرساخت‌های فناوری اطلاعات است. این شرکت امنیت شبکه و زیرساخت را از طریق ارائه محصولات رده بالا به بهترین شکل تضمین می‌کند و اجازه می‌دهد سازمان‌ها بر مبنای بستری که Security fabric نام دارد، همراه با سیستم عامل یکپارچه و پردازنده‌های امنیتی اختصاصی و هوش تهدید به دقیق‌ترین شکل ممکن بر زیرساخت‌ها نظارت داشته باشند و بتوانند به ساده‌ترین شکل محصولات سخت‌افزاری را مدیریت کنند. با این‌حال، مهم است که بدانیم، فایروال‌های فورتی‌گیت این شرکت، به سه گروه مشخص طبقه‌بندی می‌شوند که در ادامه به معرفی آن‌ها خواهیم پرداخت.

فایروال‌های فورتی‌گیت سطح پایه (Entry-Level)

فایروال‌های فورتی‌گیت سطح پایه (Entry-Level) از تجهیزات کلیدی و حیاتی هستند که نقش مهمی در پیاده‌سازی شبکه‌های امنیت‌محور بازی می‌کنند. این مدل‌ها که به طور خاص در گروه محصولات سوهو قرار می‌گیرند برای محافظت از دفاتر شعب، کسب‌وکارهای کوچک تا متوسط (SMBs) طراحی شده‌اند و یک راهکار فایروال نسل بعدی و شبکه گسترده نرم‌افزار محور ایمن (Secure SD-WAN) را در قالب یک دستگاه مقرون‌به‌صرفه، جمع‌وجور و با قابلیت استقرار آسان ارائه می‌دهند. قلب تپنده این دستگاه‌ها، معماری سیستم روی تراشه (SoC) فورتی‌نت است. در بسیاری از مدل‌های نسل F و G، از پردازنده امنیتی SPU نسل SoC4 یا بالاتر استفاده شده است که عملکردی فراتر از پردازنده‌های متداول در اجرای وظایف امنیتی ارائه می‌دهد. از ویژگی‌های سخت‌افزاری فایروال‌های این رده به موارد زیر باید اشاره کرد:

  • شتاب‌دهی سخت‌افزاری: پردازنده‌های اختصاصی، عملکردهای امنیتی حیاتی مانند بازرسی بسته‌ها، رمزگشایی و بازرسی SSL/TLS، و همچنین VPN IPsec و SD-WAN را به صورت سخت‌افزاری شتاب‌دهی می‌کنند. این امر باعث می‌شود با فعال کردن قابلیت‌های امنیتی پیشرفته مانند IPS و آنتی‌ویروس کاهش عملکرد (Throughput Degradation) به حداقل برسد.
  • عملکرد NGFW: فایروال‌های این گروه، تنها یک فایروال ساده نیستند، بلکه قابلیت‌های NGFW را در خود جای داده است. این قابلیت‌ها شامل سیستم پیشگیری از نفوذ، کنترل برنامه، فیلتر وب و آنتی‌ویروس است. همچنین، توان عملیاتی برای محافظت در برابر تهدیدات (Threat Protection) در این مدل‌ها معمولا از چندصد مگابیت بر ثانیه تا حدود یک گیگابیت بر ثانیه متغیر است و برای پوشش ترافیک اینترنت پرسرعت یک شعبه کوچک کاملا مناسب هستند.
  • بازرسی SSL/TLS: به دلیل افزایش روزافزون ترافیک رمزنگاری‌شده (HTTPS)، توانایی بازرسی SSL/TLS یک معیار حیاتی است. مدل‌های سطح پایه فورتی‌گیت می‌توانند این وظیفه پرمصرف محاسباتی را با استفاده از SPU با سرعت بالایی انجام دهند، که تضمین می‌کند تهدیدات پنهان‌شده در ترافیک رمزنگاری‌شده نیز شناسایی و مسدود شوند.

این در حالی است که ویژگی SD-WAN ایمن یکی از مزیت‌های کلیدی فورتی‌گیت‌های سطح پایه است. این قابلیت به سازمان‌های کوچک اجازه می‌دهد از چندین اتصال WAN همچون اینترنت ثابت، فیبر نوری یا 4G/5G از طریق دانگل USB برای ایجاد یک شبکه گسترده انعطاف‌پذیر و کارآمد استفاده کنند. این در حالی است که محصولات این گروه دستگاه می‌توانند عملکرد و کیفیت هر لینک WAN شامل تاخیر و از دست دادن بسته‌ها را به صورت لحظه‌ای ارزیابی کرده و ترافیک را به صورت هوشمند بر اساس قوانین تعیین شده هدایت کند برای مثال، ترافیک حساس به تاخیر مانند ویپ را به بهترین لینک ارسال کنند. علاوه بر این، مجهز به قابلیت دیگری هستند که (Direct Internet Access) نام دارد. این قابلیت به شعب اجازه می‌دهد تا ترافیک ابری خود را مستقیما به اینترنت ارسال کنند (بدون نیاز به تونل زدن به مرکز داده اصلی)، در حالی که لایه امنیتی فورتی‌گیت از آن‌ها محافظت می‌کند. این امر باعث کاهش هزینه، تاخیر و افزایش بهره‌وری برنامه‌های مبتنی بر ابر می‌شود.

بسیاری از این مدل‌ها مانند 40F و 60F در ابعاد کوچک و به صورت بدون فن طراحی شده‌اند که برای محیط‌های کوچک که نویز یک عامل مهم است، ایده‌آل هستند. این دستگاه‌ها معمولا دارای چندین پورت اترنت گیگابیتی هستند که شامل طیف گسترده‌ای از پورت‌های رایج به همراه پورت‌های FortiLink هستند. پورت‌های FortiLink امکان مدیریت متمرکز سوئیچ‌های فورتی‌سوییچ (FortiSwitch) و اکسس‌پوینت‌های فورتی‌‌اکسس‌پوینت را فراهم می‌کنند. برخی مدل‌ها مانند 60F دارای اکسس پوینت‌های داخلی هستند که امنیت و اتصال بی‌سیم را در یک دستگاه واحد ترکیب می‌کند.

آشنایی با چند مدل کلیدی رده Entry-Level

مدل‌های فورتی‌گیت سطح پایه برای سناریوهای مختلفی طراحی شده‌اند که در ادامه به دو نمونه پرکاربرد اشاره می‌شود:

  • FortiGate 40F: یک گزینه ایده‌آل برای مصارف خانگی، کسب‌وکارها یا خرده‌فروشی‌های کوچک است. به طور معمول، توان عملیاتی فایروال تا 5 گیگابیت بر ثانیه و توان عملیاتی محافظت در برابر تهدیدات (Threat Protection) در حدود 600 مگابیت بر ثانیه (Mbps) است. این مدل‌ها به دلیل اندازه کوچک و مصرف انرژی پایین محبوبیت زیادی دارند.
  • FortiGate 60F: گزینه‌ای استاندارد برای دفاتر شعب کوچک تا متوسط و SMBها که به عملکرد بالاتر نیاز دارند. عملکرد فایروال تا 10 گیگابیت بر ثانیه و توان عملیاتی محافظت در برابر تهدیدات در حدود 700 مگابیت بر ثانیه را ارائه می‌دهد. این مدل اغلب دارای پورت‌های بیشتری نسبت به 40F است و می‌تواند تعداد بیشتری از جلسات همزمان (Concurrent Sessions) و کاربران را پشتیبانی کند.

این فایروال‌ها با استفاده از سیستم عامل FortiOS که در تمام محصولات فورتی‌گیت مشترک است، به کسب‌وکارهای کوچک امکان می‌دهند تا امنیت در سطح سازمانی را با قابلیت دید یکپارچه) و مدیریت آسان از طریق پلتفرم Fortinet Security Fabric پیاده‌سازی کنند.

فایروال‌های فورتی‌گیت سطح متوسط (Mid-Range)

فایروال‌های فورتی‌گیت سطح متوسط برای پاسخگویی به نیازهای شرکت‌های متوسط، دفاتر مرکزی و مراکز داده کوچک یا پردیس‌ها طراحی شده‌اند. این دستگاه‌ها یک برتری قابل توجه نسبت به مدل‌های سطح پایه دارند و با تمرکز بر توان عملیاتی بالا، پورت‌های سریع‌تر، ظرفیت بیشتر و ویژگی‌های سازمانی ساخته شده‌اند. تفاوت اصلی مدل‌های Mid-Range در توان خام محاسباتی و قابلیت‌های شتاب‌دهی سخت‌افزاری آن‌ها نهفته است. در حالی که مدل‌های پایه از SPU SoC برای یکپارچه‌سازی وظایف استفاده می‌کنند، مدل‌های Mid-Range مانند سری F اغلب از پردازنده‌های امنیتی مجزا (Dedicated Security Processors) یا SPU-NP و SPU-CP برای تفکیک وظایف و بهینه‌سازی عملکرد استفاده می‌کنند. پردازنده NP ترافیک شبکه با حجم بالا را مدیریت می‌کند و شتاب‌دهی سخت‌افزاری را برای عملکردهایی مانند Firewall Policy Checking، IPsec VPN و SD-WAN فراهم می‌سازد.

این قابلیت اجازه می‌دهد توان عملیاتی فایروال در این رده به چندین ده گیگابیت بر ثانیه برسد. همچنین، پردازنده CP وظایف پرهزینه‌تری مانند بازرسی عمیق SSL/TLS، بازرسی بسته‌ها و رمزنگاری/رمزگشایی را با سرعت بیشتری انجام می‌دهد و تضمین می‌کند فعال‌سازی قابلیت‌های NGFW باعث کاهش شدید سرعت نمی‌شود. این رده از فایروال‌ها برای پشتیبانی از هزاران کاربر طراحی شده‌اند و توانایی مدیریت میلیون‌ها جلسه همزمان (Concurrent Sessions) و ده‌ها هزار اتصال جدید در ثانیه را دارند، که برای شبکه‌های پر ترافیک حیاتی است. مدل‌های سطح متوسط علاوه بر ارائه کامل ویژگی‌های NGFW، امکانات زیر را نیز ارائه می‌دهند:

  • بازرسی SSL/TLS با کارایی بالا: با توجه به اینکه بیش از 90 درصد ترافیک وب رمزنگاری شده است، عملکرد SSL Inspection بسیار مهم است. مدل‌های Mid-Range می‌توانند حجم بالاتری از این ترافیک را با کمترین تاخیر پردازش کنند.
  • SD-WAN ایمن پیشرفته: قابلیت‌های SD-WAN در این رده فراتر از هدایت مسیر ساده است. آن‌ها پشتیبانی از برنامه‌های کاربردی پیشرفته، بهینه‌سازی WAN، و نظارت بر کیفیت خدمات (SLA Monitoring) دقیق‌تر را برای تضمین تجربه کاربری بهینه فراهم می‌کنند.
  • پشتیبانی از دسترس‌پذیری بالا: این دستگاه‌ها به طور استاندارد برای استقرار در حالت خوشه‌بندی با دسترسی بالا طراحی شده‌اند. این موضوع شامل پشتیبانی از پاورهای دوگانه و افزونگی سخت‌افزاری است که برای محیط‌های با نیازمندهای‌های حیاتی ضروری است.
  • Virtual Domains: این مدل‌ها از قابلیت VDOM پشتیبانی می‌کنند که امکان پیاده‌سازی استراتژی مجازی‌سازی فایروال را فراهم می‌کند. این ویژگی برای شرکت‌هایی که نیاز به جداسازی شبکه‌های مختلف (مانند شبکه مهمان، شبکه تولید و شبکه توسعه) دارند، بسیار ارزشمند است.

برخلاف مدل‌های سطح پایه که به پورت‌های اترنت گیگابیتی محدود می‌شوند، مدل‌های Mid-Range به طور معمول ویژگی‌های اتصال‌پذیری پیشرفته‌ای را ارائه می‌دهند:

  • پورت‌های +10GE SFP: این دستگاه‌ها اغلب مجهز به چندین پورت 10 گیگابیت اترنت هستند. این امر به آن‌ها اجازه می‌دهد تا به ستون فقرات (Core) شبکه سازمانی یا لینک‌های WAN با سرعت بسیار بالا متصل شوند.
  • ذخیره‌سازی داخلی (Onboard Storage): برخی از مدل‌های Mid-Range مانند مدل‌های F-Series با پسوند 1) دارای SSD داخلی هستند که برای ثبت لاگ‌های محلی با ظرفیت بالا و پشتیبانی از ویژگی‌هایی مانند FortiAnalyzer Cloud Logging استفاده می‌شوند و نیاز به یک FortiAnalyzer جداگانه را کاهش می‌دهند.

معرفی چند مدل کلیدی در رده Mid-Range

رده میانی میزبانی، شامل طیف گسترده و متنوعی از مدل‌ها است که سه مورد از آن‌ها به شرح زیر است:

  • FortiGate 100F / 101F: ایده‌آل برای سازمان‌های متوسط یا دفاتر شعب است که به نیازمند پهنای باند 1 گیگابیت بر ثانیه هستند، به طوری که فایروال توان عملیاتی برای محافظت در برابر تهدیدات و پشتیبانی از لینک‌های 10 گیگابیت را نیز داشته باشد. این مدل اغلب به عنوان نقطه شروع رده Mid-Range در نظر گرفته می‌شود. مدل 101F دارای ذخیره‌سازی داخلی است. به طور معمول، توان عملیاتی محافظت در برابر تهدیدات در حدود 1 گیگابیت بر ثانیه و توان عملیاتی SSL Inspection در حدود 1 گیگابیت بر ثانیه است.
  • FortiGate 200F / 201F: برای شرکت‌های متوسط تا بزرگ‌تر که به توان عملیاتی و ظرفیت جلسه بسیار بالاتری نیاز دارند. به بیان دقیق‌تر مناسب برای محیط‌هایی که به پردازش سنگین داده و تعداد زیادی از کاربران همزمان نیاز دارند. توان عملیاتی محافظت در برابر تهدیدات 3 گیگابیت بر ثانیه، توان عملیاتی فایروال برابر با 27 گیگابیت بر ثانیه و توان عملیاتی SSL Inspection در حدود 4 گیگابیت بر ثانیه است. همچنین دارای پورت‌های +10GE SFP بیشتری است.
  • FortiGate 400F / 401F: برای سازمان‌های با حجم ترافیک بالا، استقرار در مرکز داده‌های کوچک یا لایه مرزی شبکه‌های سازمانی بسیار بزرگ. این مدل‌ها نزدیک به مرز رده Mid-Range و High-End قرار می‌گیرند. توان عملیاتی محافظت در برابر تهدیدات آن‌ها به 9 گیگابیت بر ثانیه و توان عملیاتی SSL Inspection به 8 گیگابیت بر ثانیه می‌رسد که نشان‌دهنده توانایی مدیریت محیط‌های بسیار پرتقاضا است.

این دستگاه‌ها، با استفاده از FortiOS و متصل به Fortinet Security Fabric، یک پلتفرم امنیتی یکپارچه و مقیاس‌پذیر را فراهم می‌کنند که از رشد کسب‌وکارها پشتیبانی می‌کند.

فایروال‌های فورتی‌گیت سطح بالا (High-End)

فایروال‌های فورتی‌گیت سطح بالا اوج توان پردازشی و قابلیت‌های امنیتی شرکت فورتی‌نت را ارائه می‌کنند. این دستگاه‌ها به طور خاص برای محافظت از مراکز داده بزرگ، ارائه‌دهندگان خدمات، شبکه‌های مخابراتی و محیط‌های ابری با حجم ترافیک فوق‌العاده بالا طراحی شده‌اند. هدف اصلی این رده، ارائه توان عملیاتی در مقیاس ترابیت بر ثانیه، تاخیر بسیار کم و قابلیت انعطاف‌پذیری و تراکم پورت بالا است. برخلاف مدل‌های سطح متوسط که از پردازنده‌های NP و CP مجزا استفاده می‌کنند، مدل‌های High-End از چندین تراشه SPU اختصاصی برای دستیابی به توان عملیاتی در مقیاس عظیم استفاده می‌کنند. در بسیاری از مدل‌های نسل E و F رده بالا، از پردازنده شبکه NP7 استفاده می‌شود.

این تراشه، نسل هفتم از پردازنده‌های سفارشی فورتی‌نت است و به طور خاص برای مدیریت ترافیک با سرعت 40 گیگابیت بر ثانیه و 100 گیگابیت بر ثانیه طراحی شده است. NP7 می‌تواند میلیون‌ها پالیسی امنیتی را با تاخیر در مقیاس نانوثانیه پردازش کند. این امر برای محیط‌هایی که کوچک‌ترین تاخیر می‌تواند عملکرد برنامه‌های کاربردی حیاتی (مانند معاملات مالی یا خدمات مخابراتی) را مختل کند، بسیار حیاتی است. همچنین، پردازنده‌های CP9/CP10 به صورت اختصاصی برای شتاب‌دهی به وظایف امنیتی سنگین مانند بازرسی بسته‌های عمیق، رمزگشایی SSL/TLS با حجم بالا، و عملیات رمزنگاری IPsec طراحی شده‌اند. این تفکیک وظایف تضمین می‌کند افزایش ترافیک رمزنگاری‌شده، عملکرد NGFW را در ترافیک چند-ترابیت بر ثانیه تحت ‌تاثیر قرار ندهد. مدل‌های سطح بالا مانند سری 5000 و 7000 از طراحی شاسی خاصی استفاده می‌کنند. این شاسی‌ها شامل چندین تیغه پردازشی و تیغه سوئیچینگ هستند که امکان مقیاس‌پذیری عمودی و ارتقای بدون وقفه را فراهم می‌کنند.

این رده به معنای واقعی کلمه برای بهبود عملکرد در هر بعد ساخته شده است. توان عملیاتی فایروال می‌تواند به چند ترابیت بر ثانیه برسد، که برای فیلتر کردن ترافیک مرزی بزرگ‌ترین ارائه‌دهندگان خدمات اینترنتی یا شرکت‌های بزرگ مناسب است. همچنین، فایروال‌های این رده از تعداد زیادی پورت با سرعت بالا، از جمله 40، 100 و 200 گیگابیت بر ثانیه پشتیبانی می‌کنند تا بتوانند به ستون فقرات شبکه با سرعت فوق‌العاده بالا متصل شوند. همچنین، این فایروال‌ها می‌توانند ده‌ها میلیون جلسه همزمان و صدها هزار اتصال جدید در ثانیه را مدیریت کنند. این قابلیت برای محیط‌هایی با ترافیک شدید مانند مراکز داده که از طیف گسترده‌ای از سرورها پشتیبانی می‌کنند، ضروری است. در نهایت، قابلیت SD-WAN در این رده برای مدیریت صدها یا هزاران تونل VPN و WAN از طریق یک دستگاه، با شتاب‌دهی سخت‌افزاری IPsec و قابلیت‌های پیشرفته هدایت مسیر (Routing) ارائه می‌شود. مدل‌های High-End ویژگی‌های اضافی را ارائه می‌دهند که آن‌ها را از رده‌های پایین‌تر متمایز می‌کند:

  • تراکم VDOM بسیار بالا: این دستگاه‌ها می‌توانند صدها VDOM را مدیریت کنند. این ویژگی برای ارائه‌دهندگان خدمات که نیاز به میزبانی امنیتی برای چندین مشتری مجزا دارند یا برای سازمان‌های بسیار بزرگ با نیاز به بخش‌بندی گسترده شبکه بسیار حیاتی است.
  • پشتیبانی از پروتکل‌های مسیریابی پیشرفته: این فایروال‌ها به طور کامل از پروتکل‌های مسیریابی دینامیک مانند BGP، IS-IS، OSPF و غیره پشتیبانی می‌کنند تا بتوانند به طور کامل در شبکه‌های پیچیده و چند لایه‌ای ادغام شوند.
  • مدیریت ترافیک متمرکز (Centralized Traffic Management): این دستگاه‌ها به عنوان نقاط تجمیع ترافیک (Aggregation Points) در لبه شبکه یا لایه Core عمل می‌کنند.

چند مدل کلیدی رده High-End

در این سطح نیز شاهد عرضه محصولات قدرتمند و متنوعی هستیم که برخی از آن‌ها به شرح زیر هستند:

  • FortiGate 1800F / 2200F: فایروال‌های رده سازمانی با این دو مدل شروع می‌شوند و ایده‌آل برای مراکز داده متوسط، لبه‌های شبکه‌های بزرگ سازمانی و ارائه‌دهندگان خدمات هستند. توان عملیاتی محافظت در برابر تهدیدات در مقیاس چندین گیگابیت بر ثانیه (1800F حدود 19 گیگابیت بر ثانیه) و پشتیبانی از پورت‌های 10 و 40 گیگابیت است.
  • FortiGate 3000F / 4200F / 4400F: برای ارائه‌دهندگان خدمات و سازمان‌های بسیار بزرگ که به توان عملیاتی بالای 100 گیگابیت بر ثانیه و ظرفیت جلسه در مقیاس ده‌ها میلیون نیاز دارند، مناسب هستند. این مدل‌ها به طور گسترده از پردازنده NP7 برای شتاب‌دهی چندین پورت 40 و 100 استفاده می‌کنند و عملکرد NGFW را در مقیاس چند ده گیگابیت بر ثانیه ارائه می‌دهند.
  • FortiGate 7000 Series (Chassis): این مدل‌ها برای شبکه‌های مخابراتی و مراکز داده ابری بزرگ طراحی شده‌اند. این سری‌ها با معماری شاسی و چند تیغه، عملکردی در مقیاس ترابیت بر ثانیه ارائه می‌دهند تا بتوانند به دفع حملات سطح بالا بپردازند.

این محصولات نیز، با استفاده از سیستم عامل FortiOS و پشتیبانی از Fortinet Security Fabric، امکان ایجاد مرزهای امنیتی یکپارچه و مقیاس‌پذیر برای پیچیده‌ترین و پرتقاضاترین محیط‌های فناوری اطلاعات را فراهم می‌کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *