防火墙

一、网络服务与支持
内建 DHCP,NTP,DNS 服务器以及 DNS 代理。Guard NTP,DDNS 和 DNS 服务。
接口模式 ：Sniffer,loopback,VLAN （802.1Q），软件交换（vSwitch）。静态和策略路由ECMP 的 WAN 负载均衡和冗余。
动态路由协议：RIPv1 和 v2，OSPF v2 和 v3，ISIS，BGP4。
多播流量：稀疏模式与密集模式，PIM 支持。
内容路由：WCCP 和 ICAP。显示代理支持。
IPv6 支持：基于 IPv6 的管理，IPv6 路由协议，IPv6 隧道，防火墙和 NGFW 的 IPv6 流量，NAT64，IPv6 IPSec VPN。

二、用户和设备认证控制
本地用户数据库
远程用户认证服务支持：LDAP,Radius 和 TACACS+。
单点登录：Windows AD, Novell eDirectory，Client，Citrix 和终点服务器代理， Radius（账号消息），用户接入（802.1x，portal）认证。
PKI 和认证：X.509 认证，SCEP 支持，认证登陆请求（CSR）创建，认证到期自动更新，OCSP 支持。
双因子认证：第三方支持，整合令牌服务器与物理令牌，软件令牌及短信息。
设备认证：设备和 OS 指纹，自动分类，清单管理用户和基于设备的策略。

三、防火墙
操作模式：NAT/路由和透明（桥）。
会话助手&ALG：dcerpc, dns-tcp, dns-udp, ftp, H.245 I,H.245 0, H.323,MGCP, MMS, PMAP, PPTP, RAS, RSH, SIP,TFTP, TNS (Oracle)。
VoIP 流量支持：SIP/H.323 /SCCP NAT traversal, RTP pinholing。
协议类型支持：SCTP, TCP, UDP, ICMP, IP。
分块或全局策略管理显示
策略对象：预定义，自定义，对象分组、标签和克隆。
地址对象：子网，IP，IP 范围，地理 IP，FQDN。
NAT 配置：基于每条策略，集中 NAT 表。
NAT 支持：NAT64, NAT46, 静态 NAT, 动态 NAT, PAT, FullCone NAT, STUN。
流量整形和 QoS：共享策略整形，per-IP 整形，最大带宽与带宽保证，每 IP 最大并发连接数，流量优级，服务类型（TOS）和服务区分（DiffServ）支持。

四、VPN
IPSec VPN：
-远程对端支持：IPSEC 兼容拨号客户端，对端支持静态 IP/动态DNS
-认证方式：认证, 预共享密钥
- IPSec Phase1 模式：积极的和 Main（ID 保护）模式
-对端接受选项：任何 ID, 特定 ID, 在拨号用户组中的 ID
-支持 IKEv1, IKEv2 (RFC 4306)
- IKE 模式配置支持(作为服务器或客户端), DHCP over IPSEC
- Phase 1/Phase 2 建议加密: DES, 3DES, AES128. AES192,AES256
- Phase 1/Phase 2 建议认证: MD5, SHA1, SHA256, SHA384,SHA512
- Phase 1/Phase 2 Diffie-Hellman 组支持: 1, 2, 5, 14
- XAuth 支持，作为客户端和服务器模式
- XAuth 作为拨号用户: 服务器类型选项(PAP, CHAP, Auto),NAT Traversal 选项
- 可配置的 IKE 加密密钥过期时间, NAT traversal 激活频率
- 离线对端检测
- 重播检测
- 自动密钥保持激活 Phase 2 SA
IPSEC VPN 部署模式：网关到网关, hub-and-spoke, 全网状,冗余隧道, VPN termination 在透明模式
IPSEC VPN 配置选项：基于路由或基于策略
定制化 SSL VPN portal：颜色主题, 布局, 书签, 连接工具, 客户端下载
SSL VPN 域支持：允许与用户组（URL 路径，设计）相关的多个自定义的 SSL VPN 登录
单点登录书签：重用以前登录或预定义的凭据访问资源
个人书签管理：允许管理员查看和维护远程客户端书签
SSL portal 并发用户数限制
每个用户选择一个时间登录：防止并发登录使用相同的用户名
SSL VPN Web 模式：对于只配备一个网络浏览器和支持的 Web应用程序等等的轻远程客户端，如:- HTTP/HTTPS Proxy, FTP, Telnet, SMB/CIFS, SSH. VNC, RDP,Citrix
SSL VPN 的隧道模式：对于运行各种客户端和服务器的远程计算机应用，SSL VPN 客户端支持 MAC OSX， Linux 的，Windows Vista 和 64 位 Windows 操作系统
SSL VPN 的端口转发模式：使用一个 Java applet，监听本地端口用户的计算机。当它接收到来自客户端应用程序的数据，则端口转发模块进行加密，并将数据发送到 SSL VPN 设备，然后将流量转发到应用服务器。在 SSL 隧道模式连接之前进行主机完整性检查和操作系统检查（仅适用于 Windows 终端）Per portal 的 MAC 主机检查在 SSL VPN 会话结束前缓存清理选项。

虚拟桌面选项，从客户端计算机的桌面环境隔离的 SSL VPN 会话。
VPN 监控：查看和管理当前的 IPSEC 和 SSL VPN 连接的详细信息。
其他 VPN 支持：L2TP 客户端和服务器模式，L2TP over IPSEC,PPTP, GRE over IPEC。

五、IPS
IPS 引擎：7,000+最新的签名，协议异常检测，自定义签名，手动，自动拉或推签名更新，整合云端威胁特征库
IPS 动作：默认，监控，阻断，重置，或检疫（攻击者 IP，攻击者 IP 和目标 IP，入向流量接口）与到期时间
过滤选项：严重程度，对象，操作系统，应用程序和/或协议

数据包日志记录选项
从指定的 IPS 特征对 IP 的豁免
IPv4 和 IPv6 的基于速率的 DoS 保护（适用于大部分机型）与阈值针对 TCP SYN 洪水的设置，TCP / UDP/ SCTP 端口扫描，ICMP 扫描，TCP / UDP/SCTP/ ICMP 会话洪水（源/目标）
IDS sniffer 模式
支持 IPS bypass

六、应用控制
检测超过 3000 种应用在下列 19 个分类中：
Botnet, 协作, Email, 文件共享, 游戏, 普通 internet, IM, 网络服务,P2P, 代理, 远程访问, 社交媒体，存储备份, 更新, 视频/音频,VoIP, 产业, 特殊的, Web (其他)
支持提交自定义应用签名

高级的即时通信应用于 Facebook 控制
过滤选项：类别，流行度，技术，风险，供应商和/或协议
动作：阻断，重置会话，只监控，应用控制流量整形

七、威胁防护
全球 IP 信誉数据库提供僵尸网络服务器 IP 阻断本地反病毒数据库
流扫描反病毒：支持的协议- HTTP/HTTPS, SMTP/SMTPS,POP3/POP3S,IMAP/IMAPS, MAPI, FTP/SFTP, SMB, ICQ, YM,NNTP。
代理模式反病毒：
- 协议支持： HTTP/HTTPS, STMP/SMTPS, POP3/POP3S,IMAP/IMAPS, MAPI,FTP/SFTP, ICQ, YM, NNTP
-外部云沙盒（文件分析）支持
-文件提交黑名单和白名单
-文件检查
-启发式扫描选项
Web 过滤检查模式支持：基于代理，基于流和 DNS，基于 URL、 Web 内容和 MIME 头的手动定义 Web 过滤，基于云的实时分类数据库进行动态 Web 过滤：超过 2 亿 5 千万URL，被分为 78 个类别。
安全搜索增强：透明插入安全搜索参数查询，支持 Google，Yahoo！，Bing&Yandex，可定义的 YouTube 教育过滤。
基于代理的 Web 过滤还支持如下附加功能：
-过滤 Java Applet, ActiveX 和/或 cookie
-阻断 HTTP post
-记录搜索关键词
-基于 URL 的图片速率
-基于速率阻断 HTTP 重定向
-对某些类别可由于隐私原因豁免扫描加密连接
-基于类别的 Web 浏览配额
Web 过滤本地分类和分类打分重写
Web过滤配置重写：允许管理员暂时分配不同的配置给用户/用户组/IP
代理规避预防：代理网站类别拦截，速度由域名和 IP 网址地址块从高速缓存和翻译网站重定向，代理规避应用阻塞（应用控制），代理行为阻断（IPS）
DLP 信息过滤：
-协议支持：HTTP-POST, SMTP, POP3, IMAP, MAPI, NNTP
-动作：只记录，阻断，检查用户/IP/接口
-预定义过滤器：信用卡号，社交安全 ID
DLP 文件过滤：
-协议支持：HTTP-POST, HTTP=-GET,SMTP, POP3, IMAP,MAPI, FTP, NNTP
-文件选项：大小，文件类型，水印，内容，是否被加密
DLP 水印：允许通过 FortiGate 设备和过滤器，包含一个文件企业标识（文本字符串）和灵敏度等级（严重，私人和警告）隐藏水印。支持 Windows 和 Linux 的免费水印工具。
DLP 指纹：从截获的文件生成一个校验和指纹，并在指纹数据库中进行对比
DLP 归档：记录 email, FTP, IM, NNTP, 和 web 流量中的全部内容

八、终端控制
通过客户端软件管理网络设备：
-状态检查：强制客户端软件安装和所需的设置
-客户端配置监控：根据设备类型/组和/或用户/用户组推送并更新如 VPN 和 Web 过滤配置
-“离线”安全强化：当不受网关安全保护时，自动激活安全配置

-允许客户端激活日志部署
-客户端软件支持：Windows，OS X，iOS，Android

九、高可靠性
HA 模式：主被，双主，虚拟集群，VRRP
冗余心跳接口
HA 保留管理接口
故障转移：
-端口，本地和远程链路监控
-状态故障切换
-亚秒级故障切换
-故障检测通知
部署选项：
-全网状 HA
-地理分布式 HA
独立模式会话同步

十、管理、 监控和诊断
管理接入 ：通过 Web 浏览器的 HTTPS， SSH， telnet ，console
Web UI 管理语言支持：英语，西班牙语，法语，葡萄牙语，日语，简体中文，繁体中文，韩语
集中管理支持：Manager, Cloud 服务, web 服务 API
系统集成：SNMP, sFlow, syslog, 合作伙伴
快速部署：USB 自动安装，本地和远程脚本执行动态，实时面板状态显示和监控插件

十一、日志和报告
日志支持 ：本地内存和存储空间，多 syslog 服务器，多Analyzer，WebTrends 服务器，Cloud 托管服务，可靠的日志记录，使用 TCP 选项（RFC3195），加密日志记录，日志整合到Analyzer，批量日志上传。

流量细节日志：转发，违规会话，本地流量，无效包。
整合事件记录：系统和管理员行为审计，路由和网络，VPN，用户认证，WiFi 相关事件。
流量摘要日志格式化选项。
IP 和服务端口名决定选项。

十二、认证
ICSA 防火墙, SSL VPN, IPSEc VPN, AV 和 IPS 认证
IPv6 Ready

十三、技术参数

	FG-30E	FG-60E	FG-100D	FG-300D	FG-600D
接口	5x GE RJ45	10x GE RJ45	20x GE RJ45	6x GE RJ45 4xGE SFP	10x GE RJ45 8xGE SFP
防火墙吞吐量(1518/512/64 字节 UDP 数据包)	0.95 Gbps	3 Gbps	2.5 Gbps	8 Gbps	36 Gbps
防火墙延迟(64 字节 UDP 数据包)	130 μs	3 μs	37 μs	3 μs	3 μs
防火墙吞吐量(每秒数据包)	4.5 Mbps	4.5 Mbps	4.5 Mbps	4.5 Mbps	4.5 Mbps
并发会话数(TCP)	90万	130万	300万	600万	550万
每秒新建连接数(TCP)	1,500	30,000	22,000	200,000	270,000
防火墙策略数	5000	5000	10,000	10,000	10,000
IPSec VPN 吞吐量 (512 字节数据包)	75 Mbps	2 Gbps	450 Mbps	7 Gbps	20 Gbps
网关到网关IPSec VPN 隧道数	20	200	2,000	2,000	2,000
客户端到网关IPSec VPN 隧道数	250	500	5,000	10,000	10,000
SSL-VPN吞吐量	35 Mbps	150 Mbps	300 Mbps	350 Mbps	2.2 Gbps
并发SSL VPN 用户数 (推荐最大)	80	100	300	500	5,000
IPS吞吐量 (HTTP)	600 Mbps	1400 Mbps	950 Mbps	2.8 Gbps	7 Gbps
虚拟域	5	10	10	10	10
最多管理AP	2	10	64/32	512/256	1024/512
最多支持Token	20	100	1000	1000	1000
最多注册Client	200	200	600	600	2,000
HA	主主/主备/集群	主主/主备/集群	主主/主备/集群	主主/主备/集群	主主/主备/集群
外观	桌面型	桌面型	机架 1 RU	机架 1 RU	机架 1 RU
电源	单AC电源	单AC电源	单AC电源	单AC电源	单AC电源