Chiphell - 分享与交流用户体验

标题: 上手飞塔FortiGate-30E,试水企业级防火墙做家用路由(已补充虚拟专网实测) [打印本页]
作者: leonqin    时间: 2024-2-4 15:31
标题: 上手飞塔FortiGate-30E,试水企业级防火墙做家用路由(已补充虚拟专网实测)
本帖最后由 leonqin 于 2024-2-5 10:39 编辑

生命不息,折腾不休~
最近反复折腾网络设备,路由、交换机、光猫,虽然相比论坛里各种大咖来说,我都是小打小闹,不过也是有点耗时耗力的,尤其折腾路由为了不影响家里上网,经常得到家里人都睡了半夜来弄。。 。但还是喜欢折腾啊,有钱有有钱的折腾,没钱有没钱的折腾。这不,我又去小黄鱼淘了个不错的好货,FortiGate-30E,FortiNet的企业防火墙,上一代的桌面机型里最低端的一款。瞧瞧下边这个外观,至少是蛮小巧的,也不难看,放家里当桌面路由器是可以的。

巴掌大,宽度210mm,和我现在的主路由TP R5408PEF-AC是基本一致,和我的新交换机SE2109也一样。
(, 下载次数: 156)

飞塔产品经典的红白配色,看起来就感觉和安全、防火相关。
(, 下载次数: 155)

1个千兆WAN口,4个千兆LAN口,1个Console调试口。这样的配置坛友们显然是瞧不上的了,连个2.5G都没得,SFP+也没有。。本来就是五六年前的产品嘛,在当时还是可以的,放到今天自然是落伍。不过,我家电信宽带500M,上行60M,这个做路由倒也没有瓶颈就是。
(, 下载次数: 172)

正面是这样的,各种接口和指示灯,都是黄绿色的,设计上中规中矩,毕竟是低端型号。
(, 下载次数: 159)

灯的亮度有点高,要放在家里电视柜上,估计得弄个遮光的胶来贴一下才行,之前我的H3C交换机也是这样,要不晚上有点刺眼。
(, 下载次数: 178)

入手这个之前和卖家(一个网络技术大咖)聊了好久,相谈甚欢,得到很多指点。后来为了保险起见,还京东买了根Console调试线,以防修改IP后没法访问之类的情况下得console连接去设置。
(, 下载次数: 174)
(, 下载次数: 161)
这条console线也有价值,之前没有玩过这样的,刚才也接起来试了,可以serial方式登录,但之前要先安装线的驱动,CH340C芯片的,否则win11不认。

接下来说一下这个正主儿的路由功能。
首先,这是一个防火墙,正职是防火墙和其他安全防护,然后兼做路由器。所以呢,安全相关的功能很多,很全,路由功能呢,实际上也不差,也算很全,该有的都有,包括VLAN等,但也导致设置相对复杂,功能菜单太多太深,不经过一番预研,上来就当普通路由器用,估计够呛。不过,如果仅仅只是拨号上网,还是简单的。

先看下管理界面的样子。这是我最最喜欢的部分,仪表板 dashboard。这些动态图表,都是当前仪表板上的一个个“微件”,是可以自行调整大小、添加和删除的。目前我这个是放上了系统信息、CPU占用率、内存占用率、会话数、带宽、Top目标字节等一些我认为比较值得关注的实时图表。还可以添加更多的微件,抑或增加多一个仪表板。就这一点来说,系统状态信息和实时数据的显示之全面丰富,目前的消费级路由器,估计没几个能做到吧。相比之下TP的路由器真的太阳春了,整个主界面看不到啥信息,而且还没动态图。

(, 下载次数: 159)
(, 下载次数: 160)

回到路由器本身的功能,拨号上网,到网络-接口里设置一下wan口即可,我现在因为是在公司,随便扯了工位上接出来的线接到wan口,所以用的DHCP模式。回到家里得改成pppoe,输入宽带账号密码就可以连接了。这些图形化操作,都可以直接ssh或者console连接后用命令行来做,命令行输入提交后,页面上刷新就能看到变化。这个系列产品都是这样,命令行操作实际上是主要的,图形化界面只是方便用户而已,甚至,在图形化界面上,所有功能都可以点击左上角的命令行icon来打开命令行窗口直接敲,逼格满满啊。

这是目前的wan和lan口情况。lan的4个口已经默认设置了硬件交换和DHCP,DHCP的网关是会跟随lan口的IP地址变化的。不知道是这个版本默认就有这个lan的硬件交换,还是说是卖家在发货前帮弄的。有了这个设置,我笔记本连上其中一个lan口,就可以上网了。之前看官方的一些文档和案例,还需要自己创建静态路由和NAT,现在感觉没那么啰嗦。
(, 下载次数: 154)

这是wan的DHCP设置。下班回家后晚点可以接上光猫改成pppoe了。
(, 下载次数: 164)

再简单看一下其他的功能,例如我最常用的端口映射(转发),飞塔这边叫做虚拟IP(VIP)。创建也简单,选择入口port,目标IP,端口之类就行。但还没试过是否这样就OK,今晚就知道了。
(, 下载次数: 169)

V PN功能,这个应该是飞塔防火墙的卖点之一,非常丰富的V PN模式和特性支持。PPTP、L2TP这种常见的自不必说,还支持SSL V PN,web的,client的,以及其他的。在官方文档和案例里,光是V PN这部分就有很长的章节内容,够学习和折腾很久了。最近我是喜欢用L2TP来访问家里的设备,不必搞一堆端口转发了,安全性也高。完善的V PN功能,也是我买这台飞塔的初衷之一。
(, 下载次数: 154)

别的再看一下,可以支持和开启的功能还有很多,如下图。
(, 下载次数: 168)

特别说一下,这台机器,成色很新,至少9成新。但怎么也是好几年前的型号了,出厂已久,所以适配的license早已过期了,因此有些安全防护功能就不能用了,但绝大多数功能,最主要的路由功能,防火墙功能,V PN这些,完全不受license的影响。而且这台是没有注册绑定过的,所以我刚刚已经注册到官方的FortiCloud平台去了,可以在线远程管理(和TP的商云平台类似),还能下载官方APP来管理。但这些我还没试,毕竟刚刚到手几个小时,仅仅开机连线测试了基本功能而已。

更进一步的使用体验,例如很重要很关键的,对于家用路由器来说,宽带拨号性能,网速等这些。从卖家在产品页面写的详细描述来说,他做了很充分的测试,这台FG-30E,完全能应付千兆以内的宽带,最大可以跑到900M左右的速率,下载能到88MB/S。这基本上也满足我目前家里电信500M宽带的要求吧,暂时没打算升级千兆,虽然我内网环境已经是2.5G了,但外网500M对我来说够用。等今晚把宽带上网性能这部分测试一下后,再上来补充。

分割线:2024.2.5 补充实际网速测试以及端口转发等设置使用体验~
——————————————————————————————


晚上好不容易等家人看完电视(看极空间里存放的片子)后,开始折腾防火墙当路由了。因为白天已经在公司做好了基本的设置,LAN的IP,DHCP等,因此换下原来的TP路由很简单,就是拔下几根网线,插好防火墙的电源等两三分钟时间。如下图。
(, 下载次数: 185)

红白色调和其他设备的灰黑为主,确实有点不搭,但也无所谓。
(, 下载次数: 164)

因为我所有的其他设备都是接在2.5G交换机上,因此路由的线接好后,就立马WIFI连上去登录管理界面,把WAN口的设置改为PPPoE,输入宽带账号和密码,确定后就拨号成功,能上网了。基本算是无缝切换。只可惜我前两天刚刚买了一根短光纤,把TP交换机和TP路由通过光口直连了,协商速率是2.5G,现在就只能是1G了。

接下来第一步就是各种测试网速了。我选择了几个测试方式:中国科大测试、广东电信宽带测速、信通院的全球网测APP测速、还有TP的商云APP测速。再加上迅雷实际下载测试。

中科大的这个测试实际很不稳,浮动很大,仅供有限参考。
(, 下载次数: 162)

广东电信宽带的测速,还可以,比speedtest的好。
(, 下载次数: 173)

信通院的全球网测,也算不错。
(, 下载次数: 167)

然后是迅雷下载实测。
(, 下载次数: 169)

TP的商云APP网速测试就不放上来了,结果差不多。

综上,对于500M的宽带来说,飞塔FG-30E在PPPoE方面是称职的,速度没有问题,和我之前的几个路由都差不多,都能榨干运营商给的余量,实际到600+以上的带宽,上行也还维持原样,能到60+。在迅雷下载过程中,防火墙的CPU占用率就上去了,达到了平均30-40%这样子,和卖家的测试结论差不多。但迅雷下载时我切换过去操作防火墙管理页面,没什么卡顿,所以影响不大。总的来说,仅就拨号上网而言,这个防火墙表现达到预期了。

下面顺便说一下我很关心的端口映射(转发)功能,也很快弄出来了,但实际比我预料的要复杂一些。要完成一个端口映射,不仅仅需要创建一个虚拟IP,而且还要创建一个相应的IPV4策略,使防火墙放行这个转发,并且策略中要选择好转发使用到的服务,例如HTTP、HTTPS、TCP等,否则转发是会被防火墙挡住的。如下图。
(, 下载次数: 156)
(, 下载次数: 152)

至于其他的如V  PN等,时间关系,就往后再逐个慢慢琢磨上手吧。


分割线:2024.2.5 继续补充 V  P  N功能实际体验
——————————————————————————————

长话短说,买这个防火墙很大一个因素就是看中它的V  P  N功能,很丰富,很完善。所以今天特地尝试了一下。
首先是创建了L2TP服务器,按照官方文档来的,但是创建好后,远端windows机器的**连接没法连上,排查了一下没找到问题,就先跳过,反正FortiGate支持N多种V  P  N模式的,先不管这个。

然后再尝试SSL V  P  N,先搞最简单的WEB门户模式。也就是设置一个SSL V  P  N 的WEB门户,用户从这个门户网页使用设置好的账号和密码登录,并使用门户网页上的快捷链接打开访问内网的各种资源,这些链接当然也是在SSL V  P  N设置那儿添加的。SSL V  P  N门户如下图。要求有公网IP或者DDNS,然后通过自己设置的端口来打开页面。

(, 下载次数: 161)

可以看到上边有好几个快捷链接,都是我自己设置的。下边是打开了防火墙管理页面。不得不说,这个WEB方式的SSL V  P  N真的非常方便,比之前我常用的DDNS+端口转发真的更实用更安全,至少不用暴露那么多端口在外网了。也比L2TP连接方便一些,至少不用先去拨号**吧。

(, 下载次数: 167)

但目前也碰到一些问题。有些内网的资源是没法打开的,例如可以创建RDP链接,但是打开就说连接已关闭,还有像portainer、code server这两个,页面就是打不开,加载不出来,不知道是什么问题,还得研究。

至于别的V  P  N 模式,隧道模式等,再慢慢继续琢磨学习。


作者: blanksign    时间: 2024-2-4 15:36
这个电源接口是有点另类。
作者: summerq    时间: 2024-2-4 15:45
blanksign 发表于 2024-2-4 15:36
这个电源接口是有点另类。

这电源接口其实还很有讲究。首先防呆,其次有卡隼不会拉掉…
作者: leonqin    时间: 2024-2-4 15:45
blanksign 发表于 2024-2-4 15:36
这个电源接口是有点另类。

哥们眼尖啊,这个电源接口确实是很让人无语,也导致了闲鱼上飞塔各机型很多都是不带电源卖的,要电源另加好几十元,电源单独卖更贵。。
作者: dcl2009    时间: 2024-2-4 15:52
家用的话,可以试试panabit免费版,用了十几年了,更新很频繁
作者: diskerjtr    时间: 2024-2-4 15:52
建议升级到6.4或者7.0  sdwan功能更好用。注册后更新下IDB数据库 sdwan规则可以根据大陆地理位置进行分流。
作者: 建议柠檬    时间: 2024-2-4 15:55
一直在找飞塔那个EC3539还是LC5518的防火墙。。。。
作者: hp5152688    时间: 2024-2-4 15:59
可以PM一下卖家吗?也想搞一台这种正儿八经的企业级玩玩
作者: blanksign    时间: 2024-2-4 16:10
summerq 发表于 2024-2-4 15:45
这电源接口其实还很有讲究。首先防呆,其次有卡隼不会拉掉…

防呆吗???DC头标准内正外负。这很好找到合适的DC头。这玩意,你废了就真的废了。除非动手能力可以,魔改。
作者: blanksign    时间: 2024-2-4 16:11
leonqin 发表于 2024-2-4 15:45
哥们眼尖啊,这个电源接口确实是很让人无语,也导致了闲鱼上飞塔各机型很多都是不带电源卖的,要电源另加 ...

这种不带电源的,我多数都不会考虑。除非容易找到合适的电源。
作者: leonqin    时间: 2024-2-4 16:14
diskerjtr 发表于 2024-2-4 15:52
建议升级到6.4或者7.0  sdwan功能更好用。注册后更新下IDB数据库 sdwan规则可以根据大陆地理位置进行分流。 ...

根据卖家的说法,FG-30E只能最高升级到6.2.15了,50E也是这样,只有60E和更高的可以升级到7.2,我刚刚去FortiCloud看了,从公司访问过去实在太慢,半天打不开firmware下载页面。之前也问过别的卖家,也说30E最多升级到6.2。
作者: leonqin    时间: 2024-2-4 16:17
blanksign 发表于 2024-2-4 16:11
这种不带电源的,我多数都不会考虑。除非容易找到合适的电源。

我这个是原配电源的,还提供一大堆学习资料,被我各种问题轰炸两天都很及时答复,明显够诚意,不像别家电源都不带还更贵,并且那些还“不包技术”。
作者: leonqin    时间: 2024-2-4 16:19
hp5152688 发表于 2024-2-4 15:59
可以PM一下卖家吗?也想搞一台这种正儿八经的企业级玩玩

已PM,请查收。
作者: leonqin    时间: 2024-2-4 16:20
dcl2009 发表于 2024-2-4 15:52
家用的话,可以试试panabit免费版,用了十几年了,更新很频繁

我是想找个成品的防火墙兼路由啊,看来看去就飞塔30E这个最合适,尺寸够小,功能够用,价格够低。
作者: hp5152688    时间: 2024-2-4 16:25
blanksign 发表于 2024-2-4 16:10
防呆吗???DC头标准内正外负。这很好找到合适的DC头。这玩意,你废了就真的废了。除非动手能力可以,魔 ...

就正负两极,12V的,随便找个电源接两根线就行,
原装电源还拖着一大一小的两坨东西
作者: wxsk    时间: 2024-2-4 16:25
飞塔是很有意思的设备,cpu是买的通用芯片(低级arm,高级x86),配上自己设计研发的硬件(做NAT,防火墙策略加速)加速芯片,卖的其实是防火墙软件服务,授权过期不续的话只有基本NAT和**功能,其他功能全废,
作者: dcl2009    时间: 2024-2-4 16:29
leonqin 发表于 2024-2-4 16:20
我是想找个成品的防火墙兼路由啊,看来看去就飞塔30E这个最合适,尺寸够小,功能够用,价格够低。 ...

有授权挺好,好像授权不便宜
作者: leonqin    时间: 2024-2-4 16:30
wxsk 发表于 2024-2-4 16:25
飞塔是很有意思的设备,cpu是买的通用芯片(低级arm,高级x86),配上自己设计研发的硬件(做NAT,防火墙策 ...

也没有功能全废吧。。我看主要的功能都有啊,不能用的就是一些IPS,web过滤,应用控制之类的,家用都可以不在意的。家用来说,路由拨号、端口映射、V PN等等这些能正常使用就可以了。
作者: l0stc0mpass    时间: 2024-2-4 16:31
我们公司用的就是飞塔的。要是不玩什么硬件NAT等等的还是可以的(不是人家安全设备应该关心的重点),企业级的功能很多,虚拟IP/ACL/代理什么的都很好,但也偶有BUG更新下系统就行。相比设备本身价格而言维保很贵,而且如果断了想续的话要补钱。
作者: leonqin    时间: 2024-2-4 16:32
dcl2009 发表于 2024-2-4 16:29
有授权挺好,好像授权不便宜

授权早就过期了,还有授权的哪里会这么便宜。自家玩玩,路由功能OK就行,不计较太多。
作者: l0stc0mpass    时间: 2024-2-4 16:37
leonqin 发表于 2024-2-4 16:14
根据卖家的说法,FG-30E只能最高升级到6.2.15了,50E也是这样,只有60E和更高的可以升级到7.2,我刚刚去F ...

firmware没有授权下不了。反正前俩年是这样的,只能有授权的人下载好了给你。
作者: lanq98    时间: 2024-2-4 16:37
造型确实够小巧,忍不住去查了查相关资料
作者: leonqin    时间: 2024-2-4 16:42
l0stc0mpass 发表于 2024-2-4 16:37
firmware没有授权下不了。反正前俩年是这样的,只能有授权的人下载好了给你。 ...

主要是想看看最高能选择到哪个版本的,下载就算了,要不小黄鱼上大把卖固件和VM的呢。
作者: tankren    时间: 2024-2-4 16:49
固件 license什么的不好弄,家用不合适,就玩个新鲜
作者: leonqin    时间: 2024-2-4 16:50
远程到家里电脑上FortiCloud看了一下,确实只能最高升级到6.2.15了,没辙。。。

(, 下载次数: 161)
作者: leonqin    时间: 2024-2-4 16:51
tankren 发表于 2024-2-4 16:49
固件 license什么的不好弄,家用不合适,就玩个新鲜

用得稳,能跑满我500M宽带,那就可以用久一点,确实就玩个新鲜,反正就是折腾。
作者: 错过了吗    时间: 2024-2-4 16:55
麻烦pm一下卖家,感谢
作者: gzpony    时间: 2024-2-4 17:03
之前入手过60D,到手后发现和家用的路由比,难配置许多。
后来跑了命令,发现到手的60D的硬件配置和网上查的有差距,问卖家,卖家没有正面回应,就退货了。
也想着以后有机会继续搞一个新的一点的,比如60E这样的,版本可以升到7.4。但暂时没空折腾这个,等着。
作者: sunrace    时间: 2024-2-4 17:05
玩玩没啥,最后楼主可能还是会更换掉的,小弟之前一直用Juniper的产品,黄鱼上比飞塔更便宜,稳定性是足够的,但现实家宽中的网络环境确实没有太大的便利性,唯一方便是‘策略路由’回公司真是方便稳定好用,其他的功能用不上,去年换了一台ROS 5009养老。
作者: gzpony    时间: 2024-2-4 17:07
leonqin 发表于 2024-2-4 16:17
我这个是原配电源的,还提供一大堆学习资料,被我各种问题轰炸两天都很及时答复,明显够诚意,不像别家电 ...

是不是某鱼上面某“火星”开头的ID?
我是退掉之前的60D后,慢慢逛发现这个ID卖很多飞塔,而且看起来比较专业。以后再入手的话可能选他。
作者: leonqin    时间: 2024-2-4 17:15
gzpony 发表于 2024-2-4 17:03
之前入手过60D,到手后发现和家用的路由比,难配置许多。
后来跑了命令,发现到手的60D的硬件配置和网上查 ...

是的,就算和TP的企业AC路由器相比起来,配置也复杂得多。但普通拨号上网和端口映射这些倒不是太麻烦。60D有点老旧了,60E确实是可以玩玩,规格上比30E强多了,从吞吐量来看应该是可以满足千兆以上宽带的,但玩的人实在太少,网上都找不到多少案例和用户评论。
作者: leonqin    时间: 2024-2-4 17:17
gzpony 发表于 2024-2-4 17:07
是不是某鱼上面某“火星”开头的ID?
我是退掉之前的60D后,慢慢逛发现这个ID卖很多飞塔,而且看起来比较 ...

是的,就是他。整个黄鱼平台就他在产品描述和技术咨询上做得最好了,别家的很多连技术都不懂,有些一问三不知的。
作者: leonqin    时间: 2024-2-4 17:19
sunrace 发表于 2024-2-4 17:05
玩玩没啥,最后楼主可能还是会更换掉的,小弟之前一直用Juniper的产品,黄鱼上比飞塔更便宜,稳定性是足够 ...

会换掉的,折腾不休嘛。我看中的是MTK那个MT7988的SOC的软路由,就是现在香蕉派BPI-R4那个开发板子,可惜就是还没什么牌子的成品,开发板太贵还得自己折腾,没时间精力。等好的成品路由出来再说。
作者: gzpony    时间: 2024-2-4 17:23
leonqin 发表于 2024-2-4 17:15
是的,就算和TP的企业AC路由器相比起来,配置也复杂得多。但普通拨号上网和端口映射这些倒不是太麻烦。60 ...

另外我还有想用开源 opnsense的。因为opnsense有不少都可以在线更新,会不会比不能更新的飞塔更合适?
之前在软路由的虚拟机装过opnsense,取代了openwrt。不过后来opnsense日志太多,把虚拟机的SSD撑爆了,就暂停用它。以后有空再折腾。
作者: kevinho86    时间: 2024-2-4 17:26
gzpony 发表于 2024-2-4 17:23
另外我还有想用开源 opnsense的。因为opnsense有不少都可以在线更新,会不会比不能更新的飞塔更合适?
之 ...

记得OPN的日志可以改为Memory,不会写SSD的
作者: gzpony    时间: 2024-2-4 17:28
kevinho86 发表于 2024-2-4 17:26
记得OPN的日志可以改为Memory,不会写SSD的

谢谢,下次再折腾的时候就懂了。
作者: tonightmare    时间: 2024-2-4 17:31
是不是需要买2台啊?两端都设置后才能远程 V P N 登录?还是只要1端有就可以?
作者: xu089757    时间: 2024-2-4 17:40
飞塔全家桶用户路过……好奇30E如果跑pppoe是否能跑满千兆
作者: leonqin    时间: 2024-2-4 17:43
tonightmare 发表于 2024-2-4 17:31
是不是需要买2台啊?两端都设置后才能远程 V P N 登录?还是只要1端有就可以? ...

不需要两台啊,对于PPTP,L2TP这样的V  PN来说,远端操作系统例如Windows上可以创建V PN连接来连吧,至少TP家的路由是这样的。而且飞塔支持很多中V  PN方式,远端还能仅WEB登录,或者安装client来登录连接。
作者: leonqin    时间: 2024-2-4 17:45
xu089757 发表于 2024-2-4 17:40
飞塔全家桶用户路过……好奇30E如果跑pppoe是否能跑满千兆

我家没千兆,只有500M,今晚可以测试一下30E在PPPOE方面是否能和我的另外几个路由打个平手吧,能的话就值得赞了。
作者: wxsk    时间: 2024-2-4 17:53
leonqin 发表于 2024-2-4 16:30
也没有功能全废吧。。我看主要的功能都有啊,不能用的就是一些IPS,web过滤,应用控制之类的,家用都可以 ...

那些不能用的才是飞塔的核心功能和卖点,NAT和VxN是个路由网关都有
作者: nn1122    时间: 2024-2-4 17:54
这个硬件一般来说确实已经落伍了,迷你x86PC上虚拟一个opnsense多好,2.5G/10G吞吐能力也OK
作者: kevinho86    时间: 2024-2-4 17:54
gzpony 发表于 2024-2-4 17:28
谢谢,下次再折腾的时候就懂了。

之前用过OPN/pfsense,Cisco及现用的RB5009,日志都能设为Memory记录,不会写SSD的。
不过要留意,既然是Memory,那就重启后就没有重启前的日志了
作者: leonqin    时间: 2024-2-4 17:59
nn1122 发表于 2024-2-4 17:54
这个硬件一般来说确实已经落伍了,迷你x86PC上虚拟一个opnsense多好,2.5G/10G吞吐能力也OK ...

对这种玩法不感兴趣,我的ESXi上跑着一大堆虚拟机,连ROS都曾经跑过,但路由来说,我只搞硬的,或者至少是物理机的软路由。
作者: 啵妞妞    时间: 2024-2-4 18:04
在m01上看很多台湾的大佬玩过  功能丰富,硬件克客制定制化,firewall加速功能比较全  唯一的短板就是pppoe offload  不过楼主只有500M带宽,应该问题不大,CPU硬扛也下来了
作者: leonqin    时间: 2024-2-4 18:06
啵妞妞 发表于 2024-2-4 18:04
在m01上看很多台湾的大佬玩过  功能丰富,硬件克客制定制化,firewall加速功能比较全  唯一的短板就是pppoe ...

是的啊,我对宽带速度要求不高的,500M完全够用了,我最关心的场景就是外网通过公网IP和DDNS随时访问家里一堆各种设备和VM,现在还开始玩V  PN,所以才搞了飞塔这个来折腾一下。
作者: nn1122    时间: 2024-2-4 22:16
leonqin 发表于 2024-2-4 17:59
对这种玩法不感兴趣,我的ESXi上跑着一大堆虚拟机,连ROS都曾经跑过,但路由来说,我只搞硬的,或者至少 ...

我都把单位esxi上的业务虚拟机全放在opnsense上后面好几年了,做透明模式防火墙,这就是不花钱的好玩法
作者: leonqin    时间: 2024-2-4 23:03
nn1122 发表于 2024-2-4 22:16
我都把单位esxi上的业务虚拟机全放在opnsense上后面好几年了,做透明模式防火墙,这就是不花钱的好玩法 ...

如此?那我也去了解一下这个,不过目前先把FortiGate玩熟再说啦。。
作者: pdvc    时间: 2024-2-5 07:52
看迅雷这CPU占用,pppoe和NAT应该都是CPU跑的,高级功能没授权也不能用,那这和N100那些软路由有什么区别么,就UI好看点?😂
作者: 声色茶马    时间: 2024-2-5 08:04
别的不说,就这UI,TP、中兴赶紧学着点儿。
作者: leonqin    时间: 2024-2-5 08:27
pdvc 发表于 2024-2-5 07:52
看迅雷这CPU占用,pppoe和NAT应该都是CPU跑的,高级功能没授权也不能用,那这和N100那些软路由有什么区别么 ...

颜值就是正义,哈哈。UI其实没有UBNT的好看,但够好了,最重要的是UI能动态呈现各种不同的实时统计数据,这点是我喜欢的。市面上的软路由都是OP,顶多换换主题,实质上千篇一律,早就看腻了。
作者: kkfnaidon    时间: 2024-2-5 09:49
防火墙的话到手有没有默认策略啊?还是全部都得手动配置?
作者: xu089757    时间: 2024-2-5 10:17
pdvc 发表于 2024-2-5 07:52
看迅雷这CPU占用,pppoe和NAT应该都是CPU跑的,高级功能没授权也不能用,那这和N100那些软路由有什么区别么 ...

飞塔的高级功能没有授权也基本都能用,是最适合捡垃圾的防火墙……
应用控制,防病毒,IPS全部功能可以使用。Web过滤中的“基于FortiGuard分类的过滤器”无法使用,Web过滤其他功能可以使用。DNS过滤器中的“Redirect botnet C&C requests to Block Portal”与 “FortiGuard Category Based Filter”功能无法使用,DNS过滤器其他功能可以使用。
作者: leonqin    时间: 2024-2-5 10:20
kkfnaidon 发表于 2024-2-5 09:49
防火墙的话到手有没有默认策略啊?还是全部都得手动配置?

有默认策略的,就是wan->lan全拒绝,哈哈,你要搞端口转发,就得自己增加一个专门的放开通过的策略,其实也很简单,和windows防火墙的设置类似的。
作者: leonqin    时间: 2024-2-5 10:21
xu089757 发表于 2024-2-5 10:17
飞塔的高级功能没有授权也基本都能用,是最适合捡垃圾的防火墙……
应用控制,防病毒,IPS全部功能可以使 ...


哥们专家哦~

确实是,我从昨天开始折腾,已经开始搞一些V  P N方面的尝试,没看到哪个功能不能用的,能点开能设置的就能用。那些什么过滤之类的,和普通家用场景不太相关,因此基本可以忽略了。
作者: tasagapro    时间: 2024-2-5 10:26
不错的 就是不知道值不支持动态dhcp-pd名称引入路由
作者: xu089757    时间: 2024-2-5 13:28
leonqin 发表于 2024-2-5 10:21
哥们专家哦~

确实是,我从昨天开始折腾,已经开始搞一些V  P N方面的尝试,没看到哪个功能不能用的,能 ...

我也才玩没多久,下面那段是复制网上的。
飞塔没授权的唯一问题,就是固件特征库什么的只能离线更新。自己玩的话还是能接受的
作者: Satan023    时间: 2024-2-5 14:01
之前了解过 ips特征库什么的你找卖家 让他给你下载 然后手动更新;我以前想买来着,后来升千兆飞塔的要跑慢千兆要买很贵的设备就放弃了。
这个VIP的概念和我公司的juniper SSG520差不多逻辑,添加服务条目、VIP和策略
(, 下载次数: 86)
作者: xu089757    时间: 2024-2-5 14:10
Satan023 发表于 2024-2-5 14:01
之前了解过 ips特征库什么的你找卖家 让他给你下载 然后手动更新;我以前想买来着,后来升千兆飞塔的要跑慢 ...

所以我现在pppoe交给br5009在跑,fortigate只跑固定ip
作者: NiuS    时间: 2024-2-5 14:11
家用FortiGate 60E的支持

飞塔是一家很厉害的公司,针对中小企业的100以下型号的防火墙很适合家用,功能齐全,可玩性强,关键是前一代产品小黄鱼价格很好。我最看中的是SSL **功能简单易用稳定性好。

没有授权实际上影响也不大,NGFW的功能也能用,就是得定期下载各种库(小黄鱼或者有账号的)

如果只是单纯的追求PPPoE性能,楼上说的Panabit就可以,好多拿它运营小区宽带
作者: Satan023    时间: 2024-2-5 14:13
dcl2009 发表于 2024-2-4 15:52
家用的话,可以试试panabit免费版,用了十几年了,更新很频繁

这个免费版是不是要撞到虚拟机里面?可以免费更新ips库什么的吗
作者: pdvc    时间: 2024-2-5 14:30
NiuS 发表于 2024-2-5 14:11
家用FortiGate 60E的支持

飞塔是一家很厉害的公司,针对中小企业的100以下型号的防火墙很适合家用,功能齐 ...

防火墙这块国内用天融信和深信服的多起来了。
作者: NiuS    时间: 2024-2-5 14:44
Satan023 发表于 2024-2-5 14:01
之前了解过 ips特征库什么的你找卖家 让他给你下载 然后手动更新;我以前想买来着,后来升千兆飞塔的要跑慢 ...

因为飞塔公司创始人另一家公司就是Netscreen,被Juniper收购了
作者: dcl2009    时间: 2024-2-5 14:57
Satan023 发表于 2024-2-5 14:13
这个免费版是不是要撞到虚拟机里面?可以免费更新ips库什么的吗

是的,特征库更新速度还可以,每个月更新一次,免费版有256个子网IP的限制
作者: qq775812376    时间: 2024-2-5 17:30
leonqin 发表于 2024-2-4 15:45
哥们眼尖啊,这个电源接口确实是很让人无语,也导致了闲鱼上飞塔各机型很多都是不带电源卖的,要电源另加 ...

有圆头转pin的头子卖
作者: diskerjtr    时间: 2024-2-5 20:58
pdvc 发表于 2024-2-5 14:30
防火墙这块国内用天融信和深信服的多起来了。

完全没有可比性,而且深信服有的时候比飞塔还贵。
功能上飞塔吊打国产
作者: 再也不对喷    时间: 2024-2-5 21:13
dcl2009 发表于 2024-2-4 15:52
家用的话,可以试试panabit免费版,用了十几年了,更新很频繁

之前论坛有一个从事panabit的,是不是大佬你
作者: cctv180    时间: 2024-2-5 21:48
summerq 发表于 2024-2-4 15:45
这电源接口其实还很有讲究。首先防呆,其次有卡隼不会拉掉…

哈哈哈,X宝搜5557端子 黑 有惊喜哈。他们的做法太好了,都是标准件方便控制成本。
作者: nn1122    时间: 2024-2-5 22:04
diskerjtr 发表于 2024-2-5 20:58
完全没有可比性,而且深信服有的时候比飞塔还贵。
功能上飞塔吊打国产

但是飞塔等国外品牌如今在国内完全没有市场,机关企事业单位百分百只会采购深信服安恒天融信奇安信等国产,并且国产防火墙是整套产品体系包括EDR,日志审计,堡垒机等,符合等保要求,还有贵的不是设备本身,而是三年过后的授权续期续保
作者: 若许    时间: 2024-2-5 22:10
可以PM一下卖家吗?也想搞一台这种正儿八经的企业级玩玩
作者: diskerjtr    时间: 2024-2-5 22:23
本帖最后由 diskerjtr 于 2024-2-5 22:26 编辑
nn1122 发表于 2024-2-5 22:04
但是飞塔等国外品牌如今在国内完全没有市场,机关企事业单位百分百只会采购深信服安恒天融信奇安信等国产 ...


那是国企 金融 企事业单位有政策保护,玩信创。你去外企和互联网企业看看?
哪个不是飞塔和PA。。。 很多单位买了等保设备都是吃灰交保护费而已。
说到续保就深信服那维保费用都比飞塔还高了。
不是国内政策红利保护,国产安全厂商早饿死了,就这样的环境国内安全都在大规模裁员。
产品没有竞争力就是不行
作者: jwlili    时间: 2024-2-5 23:19
这个看起来和以前单位用的迈普有点类似,就是要各种策略和安全域,否则端口映射都不通。
作者: leonqin    时间: 2024-2-5 23:27
diskerjtr 发表于 2024-2-5 22:23
那是国企 金融 企事业单位有政策保护,玩信创。你去外企和互联网企业看看?
哪个不是飞塔和PA。。。 很多 ...

信创和安可确实是催生了千亿级别的大市场,现在政府采购项目,合同金额达到一定级别,三级等保就是必须了。你说他水分太大嘛不假,但也是实实在在了提高信息安全的方方面面。不让用非国产品牌,从国家战略层面来看,是可以理解的。
作者: leonqin    时间: 2024-2-5 23:27
若许 发表于 2024-2-5 22:10
可以PM一下卖家吗?也想搞一台这种正儿八经的企业级玩玩

已PM,请查收。
作者: HarBey    时间: 2024-2-5 23:49
本帖最后由 HarBey 于 2024-2-5 23:59 编辑

这个防火墙性能确实不高,建议是100/101F系列比较好,顺带一提,某Rui捷S3100/S3600防火墙是飞塔老版本换皮,还更便宜
作者: m1ngh    时间: 2024-2-5 23:56
咦,难得看到有玩这个的,我现在家用的60E-POE,带思科AP.

作者: leonqin    时间: 2024-2-5 23:59
HarBey 发表于 2024-2-5 23:49
这个防火墙性能确实不高,建议是100/101F系列比较好,顺带一提,某Rui捷S3100E防火墙是飞塔这个老版本换皮 ...

看了一下RJ S3100E,从外观构造上,应该是飞塔FG-60E的换皮,不知道系统是否也是FortiOS改了一下?对于垃圾佬家用场景来说,100和F系列就别想了,太贵太大,完全没必要的。
作者: m1ngh    时间: 2024-2-6 00:00
我后面又买了一台600D用
作者: HarBey    时间: 2024-2-6 00:03
leonqin 发表于 2024-2-5 23:59
看了一下RJ S3100E,从外观构造上,应该是飞塔FG-60E的换皮,不知道系统是否也是FortiOS改了一下?对于垃 ...

系统是旧FortiOS的**定制版本,命令行都一样的
作者: leonqin    时间: 2024-2-6 00:12
m1ngh 发表于 2024-2-6 00:00
我后面又买了一台600D用

感觉玩60E的人多一些?尤其是POE版本的,在知乎上看到一个哥们也是用60E POE的。不纠结千兆以上带宽的话,确实飞塔这几个型号是可以满足家用上网和安全防护要求的。600D应该得上机架了吧。
作者: leonqin    时间: 2024-2-6 00:13
HarBey 发表于 2024-2-6 00:03
系统是旧FortiOS的**定制版本,命令行都一样的

这简直就是FortiOS换了个主题。。,会不会RJ也有类似的产品实施官方一本通?
作者: HarBey    时间: 2024-2-6 00:19
leonqin 发表于 2024-2-6 00:13
这简直就是FortiOS换了个主题。。,会不会RJ也有类似的产品实施官方一本通? ...

有的https://www.ruijie.com.cn/fw/wd/40446/
作者: xu089757    时间: 2024-2-6 01:13
leonqin 发表于 2024-2-6 00:13
这简直就是FortiOS换了个主题。。,会不会RJ也有类似的产品实施官方一本通? ...

看网上有人对比过,可能这就是信创国产化吧
作者: xu089757    时间: 2024-2-6 01:14
HarBey 发表于 2024-2-5 23:49
这个防火墙性能确实不高,建议是100/101F系列比较好,顺带一提,某Rui捷S3100/S3600防火墙是飞塔老版本换皮 ...

500E也不错,也能上万兆
作者: HarBey    时间: 2024-2-6 01:17
xu089757 发表于 2024-2-6 01:13
看网上有人对比过,可能这就是信创国产化吧

信创跟套壳不一样,信创的产品至少得是国产比如交换芯片用盛科,CPU用飞腾这种
作者: leonqin    时间: 2024-2-6 01:49
xu089757 发表于 2024-2-6 01:14
500E也不错,也能上万兆

可惜是机架式的,对于家用来说太大,而且价格绝对上天。
作者: nn1122    时间: 2024-2-6 08:24
diskerjtr 发表于 2024-2-5 22:23
那是国企 金融 企事业单位有政策保护,玩信创。你去外企和互联网企业看看?
哪个不是飞塔和PA。。。 很多 ...

不要把国产防火墙说得那么差,这几年的HW攻防演练足以证明国产防火墙系列产品能对于实战是非常OK的,我用过深信服和安恒的都很不错
作者: lzbnet    时间: 2024-2-6 09:33
求PM卖家ID
作者: diskerjtr    时间: 2024-2-6 09:33
leonqin 发表于 2024-2-6 00:12
感觉玩60E的人多一些?尤其是POE版本的,在知乎上看到一个哥们也是用60E POE的。不纠结千兆以上带宽的话 ...

家用最好是40F,最新90G性能是非常强的
作者: xu089757    时间: 2024-2-6 09:39
leonqin 发表于 2024-2-6 01:49
可惜是机架式的,对于家用来说太大,而且价格绝对上天。

目前问到的二手价格,比100f友好,就是功耗高一点。
作者: diskerjtr    时间: 2024-2-6 09:41
nn1122 发表于 2024-2-6 08:24
不要把国产防火墙说得那么差,这几年的HW攻防演练足以证明国产防火墙系列产品能对于实战是非常OK的,我用 ...

实际就是那么差,深信服、安恒厂商测试7层上了ips ssl卸载策略性能直降60%
国产防火墙基本都是x86算,没有ASIC加速。
飞塔的优势在于他的sdwan
PA的优势在于他的7层全性能
国产目前用下来比较突出的只有山石还行
或者上面说的**和飞塔合作的oem产物,版本就6.0
作者: pdvc    时间: 2024-2-6 09:54
diskerjtr 发表于 2024-2-5 20:58
完全没有可比性,而且深信服有的时候比飞塔还贵。
功能上飞塔吊打国产

价格另说,功能上没有什么吊打一说……
作者: nn1122    时间: 2024-2-6 10:03
diskerjtr 发表于 2024-2-6 09:41
实际就是那么差,深信服、安恒厂商测试7层上了ips ssl卸载策略性能直降60%
国产防火墙基本都是x86算,没 ...

深信服类似于核式交换机大小的防火墙我拆开过,是arm架构的处理器,是去年的事情,你是不是观念上落伍了,国产安全设备发展得很快的,主要是有几部法律很到位
作者: leonqin    时间: 2024-2-6 10:09
diskerjtr 发表于 2024-2-6 09:33
家用最好是40F,最新90G性能是非常强的

40F我也在看,但价格太高了吧。。仅从家用略带折腾的角度来说,这个成本不太能接受,更别说G系列了。而且FortiGate这些桌面机型最大的遗憾就是至今为止都没有SFP+的WAN和LAN,家用的话就被限制在千兆以内了。
作者: autobotsop    时间: 2024-2-6 10:10
给公司安全防护选型 年前上了一套飞塔201F 和 飞塔SASE配合着用 订阅服务么看看就好 全上就是天价
作者: leonqin    时间: 2024-2-6 10:13
lzbnet 发表于 2024-2-6 09:33
求PM卖家ID

已PM,请查收。
作者: diskerjtr    时间: 2024-2-6 10:17
nn1122 发表于 2024-2-6 10:03
深信服类似于核式交换机大小的防火墙我拆开过,是arm架构的处理器,是去年的事情,你是不是观念上落伍了 ...

你可以看看最新的sangforOS 里面的重要dpdk关联的是cpu。。。
深信服的af 数据转发平面全靠x86,这个所有防火墙都一样
飞塔用的是自己芯片做ssl解密
PA用的是老黄的DPU做AI
国产近几年一直在原地踏步

国产arm那就是信创产物和panabit小盒子一样
作者: autobotsop    时间: 2024-2-6 10:17
l0stc0mpass 发表于 2024-2-4 16:31
我们公司用的就是飞塔的。要是不玩什么硬件NAT等等的还是可以的(不是人家安全设备应该关心的重点),企业 ...

企业级产品都是需要补缴维保费用 所以现在企业用SASE越来越多 减少对硬件投入本身也是摆脱安全网络厂家维保枷锁
作者: diskerjtr    时间: 2024-2-6 10:18
leonqin 发表于 2024-2-6 10:09
40F我也在看,但价格太高了吧。。仅从家用略带折腾的角度来说,这个成本不太能接受,更别说G系列了。而且 ...

90G 桌面型号有双sfp+口 刚上价格肯定虚高
但是整体价格比PA已经便宜多了,主要市面上没有竞品。
要便宜可以买个panabit的小盒子
作者: diskerjtr    时间: 2024-2-6 10:22
leonqin 发表于 2024-2-5 23:59
看了一下RJ S3100E,从外观构造上,应该是飞塔FG-60E的换皮,不知道系统是否也是FortiOS改了一下?对于垃 ...

**的oem系列就是飞塔,几乎没有任何更改甚至连SSL**客户端都通用。
只是低版本的fortiOS 最高6.0 飞塔已经7.4了



欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/) Powered by Discuz! X3.5