防火墻

一、網絡服務與支持
內建 DHCP,NTP,DNS 服務器以及 DNS 代理。Guard NTP,DDNS 和 DNS 服務。
接口模式 ：Sniffer,loopback,VLAN （802.1Q），軟件交換（vSwitch）。靜態和策略路由ECMP 的 WAN 負載均衡和冗余。
動態路由協議：RIPv1 和 v2，OSPF v2 和 v3，ISIS，BGP4。
多播流量：稀疏模式與密集模式，PIM 支持。
內容路由：WCCP 和 ICAP。顯示代理支持。
IPv6 支持：基于 IPv6 的管理，IPv6 路由協議，IPv6 隧道，防火墻和 NGFW 的 IPv6 流量，NAT64，IPv6 IPSec VPN。

二、用戶和設備認證控制
本地用戶數據庫
遠程用戶認證服務支持：LDAP,Radius 和 TACACS+。
單點登錄：Windows AD, Novell eDirectory，Client，Citrix 和終點服務器代理， Radius（賬號消息），用戶接入（802.1x，portal）認證。
PKI 和認證：X.509 認證，SCEP 支持，認證登陸請求（CSR）創建，認證到期自動更新，OCSP 支持。
雙因子認證：第三方支持，整合令牌服務器與物理令牌，軟件令牌及短信息。
設備認證：設備和 OS 指紋，自動分類，清單管理用戶和基于設備的策略。

三、防火墻
操作模式：NAT/路由和透明（橋）。
會話助手&ALG：dcerpc, dns-tcp, dns-udp, ftp, H.245 I,H.245 0, H.323,MGCP, MMS, PMAP, PPTP, RAS, RSH, SIP,TFTP, TNS (Oracle)。
VoIP 流量支持：SIP/H.323 /SCCP NAT traversal, RTP pinholing。
協議類型支持：SCTP, TCP, UDP, ICMP, IP。
分塊或全局策略管理顯示
策略對象：預定義，自定義，對象分組、標簽和克隆。
地址對象：子網，IP，IP 范圍，地理 IP，FQDN。
NAT 配置：基于每條策略，集中 NAT 表。
NAT 支持：NAT64, NAT46, 靜態 NAT, 動態 NAT, PAT, FullCone NAT, STUN。
流量整形和 QoS：共享策略整形，per-IP 整形，最大帶寬與帶寬保證，每 IP 最大并發連接數，流量優級，服務類型（TOS）和服務區分（DiffServ）支持。

四、VPN
IPSec VPN：
-遠程對端支持：IPSEC 兼容撥號客戶端，對端支持靜態 IP/動態DNS
-認證方式：認證, 預共享密鑰
- IPSec Phase1 模式：積極的和 Main（ID 保護）模式
-對端接受選項：任何 ID, 特定 ID, 在撥號用戶組中的 ID
-支持 IKEv1, IKEv2 (RFC 4306)
- IKE 模式配置支持(作為服務器或客戶端), DHCP over IPSEC
- Phase 1/Phase 2 建議加密: DES, 3DES, AES128. AES192,AES256
- Phase 1/Phase 2 建議認證: MD5, SHA1, SHA256, SHA384,SHA512
- Phase 1/Phase 2 Diffie-Hellman 組支持: 1, 2, 5, 14
- XAuth 支持，作為客戶端和服務器模式
- XAuth 作為撥號用戶: 服務器類型選項(PAP, CHAP, Auto),NAT Traversal 選項
- 可配置的 IKE 加密密鑰過期時間, NAT traversal 激活頻率
- 離線對端檢測
- 重播檢測
- 自動密鑰保持激活 Phase 2 SA
IPSEC VPN 部署模式：網關到網關, hub-and-spoke, 全網狀,冗余隧道, VPN termination 在透明模式
IPSEC VPN 配置選項：基于路由或基于策略
定制化 SSL VPN portal：顏色主題, 布局, 書簽, 連接工具, 客戶端下載
SSL VPN 域支持：允許與用戶組（URL 路徑，設計）相關的多個自定義的 SSL VPN 登錄
單點登錄書簽：重用以前登錄或預定義的憑據訪問資源
個人書簽管理：允許管理員查看和維護遠程客戶端書簽
SSL portal 并發用戶數限制
每個用戶選擇一個時間登錄：防止并發登錄使用相同的用戶名
SSL VPN Web 模式：對于只配備一個網絡瀏覽器和支持的 Web應用程序等等的輕遠程客戶端，如:- HTTP/HTTPS Proxy, FTP, Telnet, SMB/CIFS, SSH. VNC, RDP,Citrix
SSL VPN 的隧道模式：對于運行各種客戶端和服務器的遠程計算機應用，SSL VPN 客戶端支持 MAC OSX， Linux 的，Windows Vista 和 64 位 Windows 操作系統
SSL VPN 的端口轉發模式：使用一個 Java applet，監聽本地端口用戶的計算機。當它接收到來自客戶端應用程序的數據，則端口轉發模塊進行加密，并將數據發送到 SSL VPN 設備，然后將流量轉發到應用服務器。在 SSL 隧道模式連接之前進行主機完整性檢查和操作系統檢查（僅適用于 Windows 終端）Per portal 的 MAC 主機檢查在 SSL VPN 會話結束前緩存清理選項。

虛擬桌面選項，從客戶端計算機的桌面環境隔離的 SSL VPN 會話。
VPN 監控：查看和管理當前的 IPSEC 和 SSL VPN 連接的詳細信息。
其他 VPN 支持：L2TP 客戶端和服務器模式，L2TP over IPSEC,PPTP, GRE over IPEC。

五、IPS
IPS 引擎：7,000+最新的簽名，協議異常檢測，自定義簽名，手動，自動拉或推簽名更新，整合云端威脅特征庫
IPS 動作：默認，監控，阻斷，重置，或檢疫（攻擊者 IP，攻擊者 IP 和目標 IP，入向流量接口）與到期時間
過濾選項：嚴重程度，對象，操作系統，應用程序和/或協議

數據包日志記錄選項
從指定的 IPS 特征對 IP 的豁免
IPv4 和 IPv6 的基于速率的 DoS 保護（適用于大部分機型）與閾值針對 TCP SYN 洪水的設置，TCP / UDP/ SCTP 端口掃描，ICMP 掃描，TCP / UDP/SCTP/ ICMP 會話洪水（源/目標）
IDS sniffer 模式
支持 IPS bypass

六、應用控制
檢測超過 3000 種應用在下列 19 個分類中：
Botnet, 協作, Email, 文件共享, 游戲, 普通 internet, IM, 網絡服務,P2P, 代理, 遠程訪問, 社交媒體，存儲備份, 更新, 視頻/音頻,VoIP, 產業, 特殊的, Web (其他)
支持提交自定義應用簽名

高級的即時通信應用于 Facebook 控制
過濾選項：類別，流行度，技術，風險，供應商和/或協議
動作：阻斷，重置會話，只監控，應用控制流量整形

七、威脅防護
全球 IP 信譽數據庫提供僵尸網絡服務器 IP 阻斷本地反病毒數據庫
流掃描反病毒：支持的協議- HTTP/HTTPS, SMTP/SMTPS,POP3/POP3S,IMAP/IMAPS, MAPI, FTP/SFTP, SMB, ICQ, YM,NNTP。
代理模式反病毒：
- 協議支持： HTTP/HTTPS, STMP/SMTPS, POP3/POP3S,IMAP/IMAPS, MAPI,FTP/SFTP, ICQ, YM, NNTP
-外部云沙盒（文件分析）支持
-文件提交黑名單和白名單
-文件檢查
-啟發式掃描選項
Web 過濾檢查模式支持：基于代理，基于流和 DNS，基于 URL、 Web 內容和 MIME 頭的手動定義 Web 過濾，基于云的實時分類數據庫進行動態 Web 過濾：超過 2 億 5 千萬URL，被分為 78 個類別。
安全搜索增強：透明插入安全搜索參數查詢，支持 Google，Yahoo！，Bing&Yandex，可定義的 YouTube 教育過濾。
基于代理的 Web 過濾還支持如下附加功能：
-過濾 Java Applet, ActiveX 和/或 cookie
-阻斷 HTTP post
-記錄搜索關鍵詞
-基于 URL 的圖片速率
-基于速率阻斷 HTTP 重定向
-對某些類別可由于隱私原因豁免掃描加密連接
-基于類別的 Web 瀏覽配額
Web 過濾本地分類和分類打分重寫
Web過濾配置重寫：允許管理員暫時分配不同的配置給用戶/用戶組/IP
代理規避預防：代理網站類別攔截，速度由域名和 IP 網址地址塊從高速緩存和翻譯網站重定向，代理規避應用阻塞（應用控制），代理行為阻斷（IPS）
DLP 信息過濾：
-協議支持：HTTP-POST, SMTP, POP3, IMAP, MAPI, NNTP
-動作：只記錄，阻斷，檢查用戶/IP/接口
-預定義過濾器：信用卡號，社交安全 ID
DLP 文件過濾：
-協議支持：HTTP-POST, HTTP=-GET,SMTP, POP3, IMAP,MAPI, FTP, NNTP
-文件選項：大小，文件類型，水印，內容，是否被加密
DLP 水印：允許通過 FortiGate 設備和過濾器，包含一個文件企業標識（文本字符串）和靈敏度等級（嚴重，私人和警告）隱藏水印。支持 Windows 和 Linux 的免費水印工具。
DLP 指紋：從截獲的文件生成一個校驗和指紋，并在指紋數據庫中進行對比
DLP 歸檔：記錄 email, FTP, IM, NNTP, 和 web 流量中的全部內容

八、終端控制
通過客戶端軟件管理網絡設備：
-狀態檢查：強制客戶端軟件安裝和所需的設置
-客戶端配置監控：根據設備類型/組和/或用戶/用戶組推送并更新如 VPN 和 Web 過濾配置
-“離線”安全強化：當不受網關安全保護時，自動激活安全配置

-允許客戶端激活日志部署
-客戶端軟件支持：Windows，OS X，iOS，Android

九、高可靠性
HA 模式：主被，雙主，虛擬集群，VRRP
冗余心跳接口
HA 保留管理接口
故障轉移：
-端口，本地和遠程鏈路監控
-狀態故障切換
-亞秒級故障切換
-故障檢測通知
部署選項：
-全網狀 HA
-地理分布式 HA
獨立模式會話同步

十、管理、 監控和診斷
管理接入 ：通過 Web 瀏覽器的 HTTPS， SSH， telnet ，console
Web UI 管理語言支持：英語，西班牙語，法語，葡萄牙語，日語，簡體中文，繁體中文，韓語
集中管理支持：Manager, Cloud 服務, web 服務 API
系統集成：SNMP, sFlow, syslog, 合作伙伴
快速部署：USB 自動安裝，本地和遠程腳本執行動態，實時面板狀態顯示和監控插件

十一、日志和報告
日志支持 ：本地內存和存儲空間，多 syslog 服務器，多Analyzer，WebTrends 服務器，Cloud 托管服務，可靠的日志記錄，使用 TCP 選項（RFC3195），加密日志記錄，日志整合到Analyzer，批量日志上傳。

流量細節日志：轉發，違規會話，本地流量，無效包。
整合事件記錄：系統和管理員行為審計，路由和網絡，VPN，用戶認證，WiFi 相關事件。
流量摘要日志格式化選項。
IP 和服務端口名決定選項。

十二、認證
ICSA 防火墻, SSL VPN, IPSEc VPN, AV 和 IPS 認證
IPv6 Ready

十三、技術參數

	FG-30E	FG-60E	FG-100D	FG-300D	FG-600D
接口	5x GE RJ45	10x GE RJ45	20x GE RJ45	6x GE RJ45 4xGE SFP	10x GE RJ45 8xGE SFP
防火墻吞吐量(1518/512/64 字節 UDP 數據包)	0.95 Gbps	3 Gbps	2.5 Gbps	8 Gbps	36 Gbps
防火墻延遲(64 字節 UDP 數據包)	130 μs	3 μs	37 μs	3 μs	3 μs
防火墻吞吐量(每秒數據包)	4.5 Mbps	4.5 Mbps	4.5 Mbps	4.5 Mbps	4.5 Mbps
并發會話數(TCP)	90萬	130萬	300萬	600萬	550萬
每秒新建連接數(TCP)	1,500	30,000	22,000	200,000	270,000
防火墻策略數	5000	5000	10,000	10,000	10,000
IPSec VPN 吞吐量 (512 字節數據包)	75 Mbps	2 Gbps	450 Mbps	7 Gbps	20 Gbps
網關到網關IPSec VPN 隧道數	20	200	2,000	2,000	2,000
客戶端到網關IPSec VPN 隧道數	250	500	5,000	10,000	10,000
SSL-VPN吞吐量	35 Mbps	150 Mbps	300 Mbps	350 Mbps	2.2 Gbps
并發SSL VPN 用戶數 (推薦最大)	80	100	300	500	5,000
IPS吞吐量 (HTTP)	600 Mbps	1400 Mbps	950 Mbps	2.8 Gbps	7 Gbps
虛擬域	5	10	10	10	10
最多管理AP	2	10	64/32	512/256	1024/512
最多支持Token	20	100	1000	1000	1000
最多注冊Client	200	200	600	600	2,000
HA	主主/主備/集群	主主/主備/集群	主主/主備/集群	主主/主備/集群	主主/主備/集群
外觀	桌面型	桌面型	機架 1 RU	機架 1 RU	機架 1 RU
電源	單AC電源	單AC電源	單AC電源	單AC電源	單AC電源