Fortinet High-Range Sizing Guide

Modell Firewall
Durchsatz		 Threat
Protection		 NGFW
Durchsatz		 SSL
Inspection		 IPSec VPN IP SEC Client VPN Festplatte FortiAPs
(Tunnel)		 FortiAPs
(Gesamt)		 WiFi
FG-1000F / FG-1001F 198 Gbps 13.000 Mbps 15.000 Mbps 10.000 Mbps 55.000 Mbps 100.000 2X 480 GB SSD 2048 4096 -
FG-1100E / FG-1101E  80 Gbps 7.110 Mbps 9.800 Mbps 10.000 Mbps 48.000 Mbps 100.000 2X 480 GB SSD 2048 4096 -
FG-1800F / FG-1801F 198 Gbps 15.000 Mbps 17.000 Mbps 12.000 Mbps 50.000
Mbps		 100.000 2X 960 GB SSD 2048 4096 -
FG-2200E / FG-2201E 158 Gbps 11.000 Mbps 13.500 Mbps 17.000 Mbps 98 Gbps 100.000 2X 1 TB SSD 2048 4096 -
FG-2500E  150 Gbps 5.400 Mbps 9.000 Mbps 9.400 Mbps 95 Gbps 100.000 1X 480 GB SSD 2048 4096 -
FG-2600F / FG-2601F 198 Gbps 25.000 Mbps 27.000 Mbps 16.000 Mbps 55 Gbps 100.000 2x 960GB SSD 2048 4096 -
FG-3000F / FG-3000F 397 Gbps 33.000 Mbps 34.000 Mbps 11.000 Mbps 105 Gbps 200.000 2x 960 GB SSD 2048 4096 -
FG-3200F / FG-3201F 387 Gbps 45.000 Mbps 47.000 Mbps 29.000 Mbps 105 Gbps 200.000 2x 1 TB SSD 2048 4096 -
FG-3300E/
FG-3301E		 160 Gbps 17.000 Mbps 23.000 Mbps 21.000 Mbps 98 Gbps 200.000 2X 1 TB SSD 2048 4096 -
FG-3700F/
FG-3701F		 589 Gbps 75.000 Mbps 80.000 Mbps 55.000 Mbps 160 Gbps 200.000 2X 1.92 TB SSD 2048 4096 -
FG-4200F/
FG-4201F		 800 Gbps 45.000 Mbps 47.000 Mbps 55.000 Mbps 210 Gbps 200.000 2X 1.92 TB SSD 4096 8192 -
FG-4400F/
FG-4401		 1.15 Tbps 75.000 Mbps 82.000 Mbps 86.000 Mbps 310 Gbps 200.000 2X 1.92 TB SSD 4096 8192 -
FG-4800F/
FG-4801F		 3.1 Tbps 75.000 Mbps 77.000 Mbps 63.000 Mbps 800 Gbps 200.000 2X 1.92 GB SSD 4096 8192 -

Firewall Use-Cases

Edge Firewall

Eine Edge Firewall ist der klassiche Use-Case. Hierbei sitzt die Firewall am Übergangspunkt zwischen dem Unternehmensnetzwerk und dem Internet. Dabei ist die meiste Sicherheit gefragt, da hier der Angriffspunkt für Cyber-Kriminelle ist. Bei einer Edge Firewall sind insbesondere die Werte des Next-Generation-Firewall-Durchsatz (NGFW) relevant. Der NGFW-Durchsatz errechnet sich aus einer Kombination von aktiviertem Firewall-, und IPS-Schutz, sowie Application-Control. Soll auch SSL-verschlüsselter Netzwerkverkehr analysiert werden, ist ebenfalls der SSL-Inspection-Durchsatz* wichtig.

Segmentation Firewall

Eine Segmentation Firewall wird bei größeren Unternehmen im internen Netzwerk platziert um Netzwerkbereiche physikalisch zu trennen. Der wichtigste Wert demnach der Firewall-Durchsatz. Zusätzlich interessant sind auch IPS- und SSL-Inspection-Durchsatz*.

VPN Gateway Firewall

Eine VPN Gateway Firewall dient als Gateway für VPN-Verbindungen zwischen weiteren Standorten (Site-to-Site) oder anderen Endpunkten (Client-to-Site) außerhalb des physikalischen Firmengeländes. Letztere sind für die Anbindung von Home-Office Endpunkten wichtig. Standorte oder Endgeräte werden über das IPSec Protokoll verbunden.

WLAN-Controller

Eine FortiGate kann nicht nur als Firewall eingesetzt werden, sondern auch als WLAN-Controller für Fortinet WLAN-Access-Points. Hierfür ist keine extra Lizenzierung notwendig. Die Access-Points können sowohl im Bridge-, als auch im Tunnel-Modus betrieben werden. Im Bridge-Modus sind die WLAN-Endgeräte im selben Subnetz wie das kabelgebundene Netzwerk. Im Tunnel-Modus erhalten die drahtlosen Endgeräte ein eigenes Subnetz und sind logisch vom Netzwerk getrennt.

Secure Web Gateway

Wenn Sie lokal einen Server betreiben, welcher über das Internet erreichbar sein muss, sollte dieser nicht nur in einer DMZ stehen, sondern auch besonders gegen Angriffe geschützt werden. Während eine FortiGate nicht den vollen Funktionsumfang einer dedizierten Web-Application-Firewall wie einer FortiWeb bieten kann, so können Sie Server dennoch gegen herkommliche Angriffe wie SQL Injections schützen. Wichtig ist hierbei, dass jeglicher Netzwerkverkehr, also auch verschlüsselter, analysiert werden kann.

*Bei einer SSL Deep-Packet-Inspection handelt es sich im Grunde genommen um eine gewollte Man-in-the-Middle Attacke bei der die Verschlüsselung aufgebrochen wird. Netzwerkverkehr wird auf der FortiGate entschlüsselt, analysiert und dann wieder verschlüsselt an das Ziel gesendet. Achten Sie darauf, dass hierbei alle gesetzlichen Rahmenbedingungen erfüllt werden, die den Einsatz einer solchen invasiven Methoden im Unternehmensnetzwerk erlaubt. Konsultieren Sie hierzu, falls notwendig, einen Anwalt.