بررسی فایروال Fortinet FortiGate FG-60F؛ یک گیتوی قدرتمند و بیصدا
- طراحی بدون فن: این فایروال در یک بدنه رومیزی و کاملاً بیصدا (بدون فن) طراحی شده که برای محیطهای اداری ایدهآل است.
- سختافزار اختصاصی: استفاده از پردازنده سفارشی FortiSOC4 و چیپستهای Broadcom برای پردازش سریعتر شبکه.
- پورتهای متنوع: دارای ۱۰ پورت شبکه شامل WAN، DMZ، FortiLink و پورتهای داخلی (LAN).
- عملکرد عالی: توان عملیاتی (Throughput) این مدل در پردازشهای پایه شبکه، حدود ۲۹ تا ۳۵ درصد سریعتر از مدل FG-40F است.
چند هفته پیش، بررسی فایروال Fortinet FortiGate FG-40F را منتشر کردیم. همزمان با آن، در حال تست مستقیم مدل FortiGate FG-60F نیز بودیم. جای تعجب ندارد که این دو دستگاه از بسیاری جهات شبیه به هم هستند. اما از آنجایی که بسیاری از افراد داخل این تجهیزات را ندیدهاند، تصمیم گرفتیم یکی از آنها را باز کنیم تا قطعات داخلیاش را به شما نشان دهیم. سپس آن را روشن کرده و با استفاده از ابزار تست Keysight CyPerf، بارهای کاری سنگینی را روی این گیتوی اجرا کردیم. نتایجی که به دست آمد بسیار منطقی و قابلتأمل بود.
نگاهی به سختافزار بیرونی؛ پورتها و اتصالات
فایروال FG-60F نیز مانند برادر کوچکترش (FG-40F) دارای یک بدنه سفید و رومیزی است که نیازی به فن خنککننده ندارد.
در پنل جلویی، علاوه بر لوگو و چراغهای وضعیت روشن بودن دستگاه، یک نشانگر LED برای وضعیت HA (دسترسپذیری بالا) نیز وجود دارد. همچنین چراغهای وضعیت پورتهای شبکه در همین قسمت قرار گرفتهاند.
وقتی دستگاه را برمیگردانیم، متوجه یک طراحی خاص میشویم: پورتهای شبکه و چراغهای وضعیت آنها در دو سمت مخالف قرار دارند. برخی از کاربران این طراحی را دوست دارند و برخی نه.
در سمت چپ پنل پشتی، دکمه ریست و ورودی برق DC قرار دارد. یکی از ویژگیهای خوب محصولات فورتینت (و سونیکوال) این است که ورودی برق ۱۲ ولت آنها دارای یک گیره قفلشونده است تا کابل به طور تصادفی جدا نشود.
در کنار آن، یک پورت USB و یک پورت کنسول (Console) تعبیه شده است. جالب است بدانید در طول تست، یکی از آپدیتهای فرمور ما دچار مشکل شد و مجبور شدیم برای توقف بوت و ریکاوری دستگاه، از همین پورت کنسول استفاده کنیم.
در ادامه، در مجموع ۱۰ پورت اترنت (شبکه) داریم. این پورتها شامل دو پورت WAN، یک پورت DMZ، دو پورت اختصاصی FortiLink و پنج پورت LAN میشوند. البته شما میتوانید کاربرد پورتها را در نرمافزار تغییر دهید، اما این برچسبگذاری کار را برای شروع راحتتر میکند.
در دو طرف بدنه دریچههای تهویه هوا قرار دارد و زیر دستگاه پایههای لاستیکی برای قرارگیری روی میز تعبیه شده است. همچنین یک درگاه قفل امنیتی (Kensington Lock) نیز وجود دارد که برای دستگاهی در این ابعاد که در لبه شبکه سازمان (Edge) قرار میگیرد، جهت جلوگیری از سرقت فیزیکی ضروری است.
بررسی سختافزار داخلی؛ پردازنده اختصاصی FortiSOC4
با باز کردن قاب دستگاه، یک برد سفارشی بسیار تمیز را مشاهده میکنیم.
در نگاه اول دو هیتسینک (خنککننده آلومینیومی) بزرگ جلب توجه میکنند. زیر هیتسینک اول، پردازنده FortiSOC4 قرار دارد. شرکت فورتینت پردازندههای اختصاصی (ASIC) خود را میسازد تا سرعت پردازش شبکه را به شدت بالا ببرد.
زیر هیتسینک دوم نیز یک قطعه جالب پنهان شده است: چیپست Broadcom PHY. دلیل جالب بودن این قطعه این است که مدل FG-40F از چیپستهای برند Marvell استفاده میکرد.
باتری بایوس دستگاه نیز در سمت دیگر (پشت) مدار چاپی قرار گرفته است.
تجربه نرمافزاری و رابط کاربری FortiOS
تجربه نرمافزاری این مدل تقریباً مشابه FG-40F است. آیپی پیشفرض فورتینت 192.168.1.99 است و نام کاربری admin بدون رمز عبور تعریف شده است که در همان ورود اول، سیستم شما را مجبور به تعیین یک رمز عبور جدید میکند.
ما وارد داشبورد FortiOS 7.6.6 شدیم. رابط کاربری بسیار روان است و راهاندازی بخشهای مختلف با استفاده از ویزاردها (Wizards) به راحتی انجام میشود. در بالای صفحه نیز یک نمای گرافیکی از وضعیت اتصال پورتها قرار دارد.
در بخش امنیت، فورتینت همیشه یکی از قدرتمندترین گزینهها بوده است. با تهیه لایسنس، شما به سیستم جلوگیری از نفوذ (IPS) با یک لیست عالی از امضاهای امنیتی (Signatures) دسترسی خواهید داشت.
بخشهایی مانند آنتیویروس، فیلتر وب، و بازرسی SSL/SSH نیز وجود دارند. وقتی با ابزار CyPerf ترافیک شبیهسازیشده مخرب را به سمت فایروال فرستادیم، لیست لاگهای ترافیک مسدودشده (Blocked Traffic) در داشبورد به زیبایی به نمایش درآمد.
تست عملکرد و کارایی امنیتی
برای تست این دستگاه، ما از ابزار پیشرفته Keysight CyPerf استفاده کردیم. سیستم تست ما توانایی تولید بیش از ۲ ترابیت بر ثانیه (2Tbps) ترافیک را دارد. بنابراین استفاده از آن برای تست یک گیتوی ۱ گیگابیت بر ثانیهای، بیشتر از حد نیاز است اما دقت بالایی به ما میدهد!
توان عملیاتی پایه فایروال (Throughput)
به عنوان یک فایروال پایه (بدون روشن بودن ویژگیهای سنگین امنیتی)، مدل FG-60F توانست ۲۹ تا ۳۵ درصد توان عملیاتی بالاتری نسبت به FG-40F ثبت کند. راستش را بخواهید، برای مسیریابی پایه در سرعت ۱ گیگابیت، هر دو دستگاه بیش از نیاز بسیاری از شرکتهای کوچک و متوسط قدرت دارند.
بررسی پلهایِ قابلیتهای امنیتی
ما به مرور قابلیتهای امنیتی را روشن کردیم تا ببینیم عملکرد دستگاه چقدر افت میکند. در بخش IPS، مدل 60F حدود ۴۹ درصد سریعتر بود و در پروفایل NGFW (شامل IPS و کنترل برنامهها) این برتری حدود ۳۸ درصد بود.
اما داستان جالب اینجا بود: زمانی که ویژگی آنتیویروس جریانمحور (Flow-mode Antivirus) و محافظت در برابر تهدیدات را روشن کردیم، عملکرد هر دو فایروال تقریباً با هم برابر شد! به نظر میرسد موتور اسکن محتوا (Content-Scan) در هر دو پردازنده سقف سرعت مشابهی دارد.
نرخ مسدودسازی حملات
با روشن بودن تمام ویژگیهای امنیتی (فول UTM)، مدل FG-60F توانست ۱۰۰ درصد از حملات شبیهسازیشده در پروفایل ما را با موفقیت مسدود کند که عملکردی بینقص است.
میزان مصرف برق و سروصدا
فورتینت یک آداپتور برق ۱۲ ولت برای این دستگاه در نظر گرفته است. خبر خوب این است که مصرف برق این فایروال به شدت پایین است.
- در حالت آماده به کار (Idle): حدود ۵.۶ وات
- در حالت استفاده معمولی با اتصال پورتها: حدود ۶.۰ تا ۱۰.۲ وات
- حداکثر مصرف: ۱۲.۵ وات
این مصرف بسیار کم باعث شده تا دستگاه نیازی به فن خنککننده نداشته باشد و کاملاً بیصدا (Silent) کار کند.
تحلیل اختصاصی آلفاتک: آیا خرید FG-60F منطقی است؟
اخیراً اخبار زیادی درباره آسیبپذیریهای امنیتی تجهیزات فورتینت منتشر شده است. اما باید به یاد داشت که گستردگی بیش از حد این دستگاهها در جهان، باعث میشود هر خبر کوچکی به تیتر اول رسانهها تبدیل شود.
با مقایسه این دستگاه با مدل ارزانتر FG-40F، پیشنهاد ما این است که مدل FG-60F را انتخاب کنید. با اینکه پس از روشن کردن آنتیویروس، قدرت هر دو مدل تقریباً برابر میشود، اما مدل 60F تعداد پورتهای بسیار بیشتری را در اختیار شما میگذارد که انعطافپذیری شبکه را بالا میبرد. این دستگاه یک راهکار امنیتی فوقالعاده ساکت، کممصرف و قدرتمند برای شعبات، ادارات و سازمانهای متوسط است که خیال شما را از بابت مسیریابی و امنیت پایه راحت میکند.


