Fortinet Entry-Level Sizing Guide

Modell Firewall
Durchsatz		 Threat
Protection		 NGFW
Durchsatz		 SSL
Inspection		 IPSec VPN IP SEC Client VPN Festplatte FortiAPs
(Tunnel)		 FortiAPs
(Gesamt)		 WiFi
FG-30G/FG-31GG 4 Gbps 500 Mbps 570 Mbps 400 Mbps 3.5 Gbps 250 40 GB SSD 8 16 WiFi 6
FG-40F 5.0 Gbps 600 Mbps 800 Mbps 310 Mbps 4.4 Gbps 250 - 8 16 WiFi 5
FG-50G/FG-51G 5.0 Gbps 1.100 Mbps 1.250 Mbps 1.300 Mbps 4.5 Gbps 250 64 GB SSD 8 16 WiFi 6
FG-60F/FG-61F 10.0 Gbps 700 Mbps 1.0 Gbps 630 Mbps 6.5 Gbps 500 128 GB SSD 32 64 WiFi 5
FG-70F/FG-71F 10.0 Gbps 800 Mbps 1.0 Gbps 700 Mbps 6.1 Gbps 500 128 GB SSD 32 64 -
FG-70G/FG-71G 10.0 Gbps 1.300 Mbps 1.5 Gbps 1.400 Mbps 7.1 Gbps 500 64 GB SSD 48 96 WiFi 6
FG-80F/FG-81F 10.0 Gbps 900 Mbps 1.0 Gbps 715 Mbps 6.5 Gbps 2500 128 GB SSD 48 96 -
FG-90G/FG-91G 28.0 Gbps 2.200 Mbps 2.5 Gbps 2.5 Gbps 25 Gbps 2500 120 GB SSD 64 128 -


Firewall Use-Cases

Edge Firewall

Eine Edge Firewall ist der klassiche Use-Case. Hierbei sitzt die Firewall am Übergangspunkt zwischen dem Unternehmensnetzwerk und dem Internet. Dabei ist die meiste Sicherheit gefragt, da hier der Angriffspunkt für Cyber-Kriminelle ist. Bei einer Edge Firewall sind insbesondere die Werte des Next-Generation-Firewall-Durchsatz (NGFW) relevant. Der NGFW-Durchsatz errechnet sich aus einer Kombination von aktiviertem Firewall-, und IPS-Schutz, sowie Application-Control. Soll auch SSL-verschlüsselter Netzwerkverkehr analysiert werden, ist ebenfalls der SSL-Inspection-Durchsatz* wichtig.

Segmentation Firewall

Eine Segmentation Firewall wird bei größeren Unternehmen im internen Netzwerk platziert um Netzwerkbereiche physikalisch zu trennen. Der wichtigste Wert demnach der Firewall-Durchsatz. Zusätzlich interessant sind auch IPS- und SSL-Inspection-Durchsatz*.

VPN Gateway Firewall

Eine VPN Gateway Firewall dient als Gateway für VPN-Verbindungen zwischen weiteren Standorten (Site-to-Site) oder anderen Endpunkten (Client-to-Site) außerhalb des physikalischen Firmengeländes. Letztere sind für die Anbindung von Home-Office Endpunkten wichtig. Standorte oder Endgeräte werden über das IPSec Protokoll verbunden.

WLAN-Controller

Eine FortiGate kann nicht nur als Firewall eingesetzt werden, sondern auch als WLAN-Controller für Fortinet WLAN-Access-Points. Hierfür ist keine extra Lizenzierung notwendig. Die Access-Points können sowohl im Bridge-, als auch im Tunnel-Modus betrieben werden. Im Bridge-Modus sind die WLAN-Endgeräte im selben Subnetz wie das kabelgebundene Netzwerk. Im Tunnel-Modus erhalten die drahtlosen Endgeräte ein eigenes Subnetz und sind logisch vom Netzwerk getrennt.

Secure Web Gateway

Wenn Sie lokal einen Server betreiben, welcher über das Internet erreichbar sein muss, sollte dieser nicht nur in einer DMZ stehen, sondern auch besonders gegen Angriffe geschützt werden. Während eine FortiGate nicht den vollen Funktionsumfang einer dedizierten Web-Application-Firewall wie einer FortiWeb bieten kann, so können Sie Server dennoch gegen herkömmliche Angriffe wie SQL Injections schützen. Wichtig ist hierbei, dass jeglicher Netzwerkverkehr, also auch verschlüsselter, analysiert werden kann.

*Bei einer SSL Deep-Packet-Inspection handelt es sich im Grunde genommen um eine gewollte Man-in-the-Middle Attacke bei der die Verschlüsselung aufgebrochen wird. Netzwerkverkehr wird auf der FortiGate entschlüsselt, analysiert und dann wieder verschlüsselt an das Ziel gesendet. Achten Sie darauf, dass hierbei alle gesetzlichen Rahmenbedingungen erfüllt werden, die den Einsatz einer solchen invasiven Methoden im Unternehmensnetzwerk erlaubt. Konsultieren Sie hierzu, falls notwendig, einen Anwalt.