FortiGate 60Dの実力は?

導入の顛末は別の方で書いてあるのでこちらではFortiGateの純粋な性能について書いてみようかと思います。

FWとしての性能は?

FortiGateのウリの一つに専用ASICによる高速処理というのがあります(60Dクラスだとほとんど載ってませんが)。
実際にはどんなもんでしょうか? 試してみました。
テスト環境としては以下の状態でテストしました。
  • IPoEのIPv6回線
  • FortiGate:トランスペアレントモード(透過FW)
  • IIJmioのIPv6スピードテスト
なるべく間に変なものがはいらない形で計測してみました。
計測した結果は263Mbps。なかなかに速いです。
これが現在の回線状態の限界なのか分からないので参考までにVyOS(ブリッジFW)で比較してみました。こちらは大体100Mbps前後。
ルーティング速度が自慢のVyOS(ブリッジですが)と較べて倍以上出ています。
スペック上では1.5GBまでいけるという話なのでこれが現在の回線限界なのでしょう。
流石に専用チップは速いです。

UTMにすると?

一方でFortiGateはUTMとしても有名です。
こちらの機能をガッツリONにしてみたらどうなるでしょうか。
その結果は40Mbps。UTMは多種多様なパターンで解析しながら作業するので負荷の殆どがプログラム、つまりソフトウェア部分になります。
中の解析にソフトで処理する必要がある上に重たい解析をしているのでこの速度は納得です。色んな脅威をリアルタイムで排除している上に、後でどんな状況で使用していたか分析出来るのも魅力です。
ただ折角の専用ハードがほとんど生かせないというのも残念な点になります。
これらもどこまでやるかになるでしょうね。

IPv4の方でもテスト

FWのみ
FW+UTM
こちらは以下の条件です。
  • NAT/ルーターモード
  • DS-Lite経由のIPv4
  • Ooklaの筑波サーバー(softether)
こちらも大体同じ傾向です。やはりUTM入れるとガッツリ不安定になります。
UTMによるパフォーマンス低下はポリシーによって選択できます。
例えば以下のようなケースを設定できます。

  • PCなどの高速かつクライアントで対策できるような有線LAN環境
    →FWのみ
  • モバイル端末でWi-Fi接続、しかもiPhoneなどの非力デバイス
    →FW + UTM

さらにNAT64もこういったポリシーに組み込めるので、アップルの進めている環境にも合致します。モバイル端末はIPv6自動構成だけで管理出来るとうれしいですね。

余談ですが、DS-LiteではNAT処理をISPがやってくれるのでこちらでNATする必要がありません。これはNAT64でも同じことでこちらではIPv6→IPv4変換だけで済みます。
複数のセグメントだろうと何だろうと全部トンネルに送ればOK。
お陰でかなり軽いです。素晴らしい。

結局FortiGateは買いなの?

UTMとして考えた場合はいい選択肢だと思います。特に企業では。
個人では保守含めた価格が高いので年間何万円も払うのは難しいでしょう。
またコスト以外でも問題があります。一番の問題は設定です。
ネットワーク知識の他にUTMの知識が要求されます。
例えばIPS(侵入検知)などをしたいとしても、対応するサーバーがWindowかLinuxか、どのサービスを動かしているかで選ぶ項目が変わります。この場合はサーバーの知識も必要になります。
何も考えず全部OKにしようものなら重くて使い物になりません。
そういうフルカスタマイズ出来るのが魅力であるし、それ故の厳しさもあると言えます。

逆に割り切ってUTMなんか要らん!! と高速なFW(ルーター)として見たらどうか。
この場合はコスパが問題になります。ハード単体が高い。
もし今回のように中古で安く手に入るのであれば、契約が切れていても基本機能はそのまま使えます。
なので家庭用の高速ルーターとして考えると十分アリかも。
この場合、専用ASICを頼りにする戦略なので、なるべく新しいASICが載っているものを選ぶ方がいいでしょう。
型番の後ろのアルファベットが大きいほど新しく、現在最新はEです。
このあたりの資料は本家にいっぱいありますので参考になるかと。

設定次第で両極端になる癖の強く難解な製品ですが、モノとしてはしっかりしている歯ごたえのある製品でした。

コメント

このブログの人気の投稿

カスタムメイド3D2用プラグインを作りました

VyOS 1.1.1とSoftEther VPN Serverで自宅VPN最速設定

プロバイダをオープンサーキットからIIJへ変更