新品Fortigate-90G/120G击倒自家产品效能探讨(二)

这一篇的标题虽然在Fortigate-90G/91G
不过实际要谈的是Fortigate-120G/121G
以及SP5(SoC5)晶片用途与效能
其中Fortigate-120G/121G具备机架配件
而10G光纤SFP+增到4个，1G接口有16+8个
同时也具备redundant power
在原厂属性上属于企业或校园级入门款
与Fortigate-90G/91G小型款有所区隔

现在蛮多MIS忽略了处理加密封包的重要性
再次作了相关的性能比较如下
预估120G价格约较90G高30%-40%，仅200F的5-6折

根据以上的数据性能比较结果
除再次证明G系列较F系列有更优异的表现之外
会发现这四款在CPU与记忆体上差异不大
都是ARM的8核心与8G的RAM(仅200F是Xeon® CPU D-1627)
因此差异就在晶片架构，看过下图便一目了然

由于在实际网路运作上的经验
接近八九成的网际网路通讯几乎都是加密封包
如https,ssl,IMAP,pop3s,smtps或tunnel vpn等等
如果防火墙未处理此类加密封包
则不论防毒防入侵等安全防护都是无效的
所以请检视防火墙是否有开启deep scan功能

缘上，如果处理加密封包都交由CPU运作
就会出现所谓功能全开则效能低落的UTM现象
所以必须交由不同晶片专门处理，说明如下

网路处理器 NP：专为超大网路规模设计
Networking Processing在网路层执行会减慢CPU的功能而改採晶片加速
如IPv4/IPv6,及unicast, multicast
此外，NP提高了 IPsec与SSL封包加解密、VXLAN和位址转换速度，
同时提供硬体记录和防火墙策略实施

内容处理器 CP：专为防护而设计
Content Processor专为防护而设计，CP可作为CPU协同处理器使用，
负责资源密集型的安全功能，如应用程式识别、IPS/AV(扫描、特徵关联等）
CP还执行模式比对加速、快速检查即时流量以进行应用程式识别，
以便CPU执行其他重要任务，将不致影响防火墙效能体验。

第五代7纳米芯片：安全处理器 SP5 (SoC5)
SP5(SoC5)是一组完全整合的安全功能，包括第7层防火墙，
整合在快速且符合成本效益的晶片上，以加速网路与安全的融合，
FortiSP5同时具有特定于应用程序的设计和嵌入式多核处理器,可提供：
1.与领先的标準CPU相比，防火墙性能提高了17倍
2.下一代防火墙(NGFW)性能提高了3.5倍：它可以处理更高水平的交通检查以检测和阻止威胁
3.加密速度提高了32倍：以保护敏感数据并防护VPN内容安全
4.提升2.5 Gbps的SSL深度检查：提供检查恶意软件的加密流量所需的处理能力,而不致出现性能不彰
5.安全引导OT：仅允许启动已批准的OS,从而保护关键基础架构免受恶意篡改
6.提升DDoS至晶片处理防护护：阻止分布式拒绝服务(DDoS)攻击
7.晶片加速VXLAN/GRE处理封装：为分布式网络(SD-Branch)启用安全的互连
8.晶片加速QoS：增强用户对敏感应用程序(例如视频会议)的专用QoS体验

目前为止，仅见Fortigate有专门针对晶片做说明
特别是有标注处理各种SSL Inspection相关的效能
其他品牌多以第七层处理数据草草模糊带过
这对于近来绑架病毒威胁多採用加密通讯躲过防护
并没有起到对用户明了风险的帮助
反而让大家忽略防火墙已失去效能的警惕
希望藉此文章提醒MIS重视防火墙处理加密流量的重要

注：以上产品资讯均来自Fortinet官网

..................................................................................
前一篇(一)：新品Fortigate-90G/120G击倒自家产品效能探讨(一)