防火墙型号(启明星辰防火墙型号)

防火墙型号6000y

华为防火墙下拖100台用以下型号好：

1、华为USG6600防火墙：支持高性能安全公网接入，适用于大型企业和数据中心等场景。

2、华为USG9500防火墙：支持高性能、高可靠性、高扩展性的多重安全防护策略和功能，更适用于大型企业、**组织和金融机构等场景。

3、华为NGFW防火墙：支持全面的网络安全保护和高速的网络访问，适用于大中型企业、**组织和金融机构等场景。

启明星辰防火墙型号

FC-统一威胁保护（UTP）（IPS、高级恶意软件保护、应用程序控制、网络和视频过滤、反垃圾邮件服务、和FortiCarePremium技术服务：24*7*365针对需要全天候、一小时响应关键问题、下一个工作日响应非关键问题的设备，等。）

中端型号：FortiGate900G；FortiGate600F；FortiGate400F；FortiGate200F

下一代防火墙（NGFW）功能，适用于部署在校园或企业分支机构级别。通过芯片系统加速和业界领先的技术保护您免受网络威胁，在一个简单、经济且易于部署的解决方案中提供安全的SD-WAN。飞塔的安全驱动，网络化方法为新一代安全提供了紧密的网络集成。

FortiCareTechnicalSupport帮助成千上万的企业充分利用其对Fortinet产品和服务的投资。FortiCareTechnicalSupportService是针对每台设备的支持服务，它让客户可以联系1,400多名专家，以确保其Fortinet功能的有效运营和维护。提供24x7全球技术支持和灵活的附加选项，包括增强的服务水平协议(SLA)和高级硬件更换（通过200多个国内仓库）。

FortiGate是唯一一款为混合式部署防火墙（HybridMeshFirewall）提供统一管理的下一代防火墙(NGFW)。

采用定制ASIC架构，提供行业领先的大规模威胁防护和解密。同时还通过SD-WAN、交换和无线以及5G等集成功能提供安全网络。将您的安全和网络点解决方案融合到一个易于使用、由统一操作系统FortiOS驱动的集中管理控制台中，使IT管理变得易如反掌。

路由&访问控制：跨各种配置的强制策略，包括支持数千用户、网络、策略、应用程序的复杂多区域配置。

需求：多个区域分支，办公室提供安全的*域网和广域网（MPLS/PP2P）连接服务而建立的。必须向用户部门提供安全的互联网服务。

“Fortinet使我们能够发展业务，并响应公司设定的现代化目标。到2024年底，我们希望与Fortinet实现100%的端到端基础设施。”凭借集中、安全驱动的网络方法和通过FortiGate下一代防火墙的互联网流量，实现了可扩展、安全的网络连接，还实现了对互联网流量的更大控制和管理。

使用方案：FortiSwitch以太网交换机、FortiGate下一代防火墙（NGFW）和FortinetSecureSD-WAN（软件定义的广域网）解决方案。

防火墙型号怎么查看

混迹网络行业10余年，现为世界50强金融科技公司网络专家。分享计算机网络知识，让学习变得更有趣，让网络变得更简单。

大家好，我是Fox。

图解过网络设备、二层交换机、三层交换机、防火墙、WiFi，已经把我们常见的设备介绍了一遍，知道这些设备是干什么的。但是单单一款设备，都有很多种品牌、很多个型号。真要买设备时，估计各种各样的设备，会看得眼花缭乱、雾里看花。下面我们介绍下如何进行设备选型，选到最适合自己的网络设备。

网络产品有路由器、交换机、防火墙、无线AP等，选择产品类型时，要考虑网络中是否需要？是否需要一台进行路由选择的路由器？是否需要核心交换机？是否需要负责安全控制的防火墙？这些设备在网络中如何配置？

产品类型：

路由器

二层交换机

三层交换机

防火墙

无线AP

负载均衡

带宽控制

代理

......

在新建网络时，可以根据组网中的产品类型去选择对应的产品。当现网中需要替换某些网络设备时，也可以选择相同类型的设备。如果性能足够，可以使用三层交换机或防火墙替代路由器。三层交换机替换二层交换机也是可以的。选择安全设备时，某些防火墙有基于内容的安全控制功能，可以考虑统一使用防火墙来替代独立的防病毒设备、URL过滤设备、IDS/IPS设备等，达到降低成本的目的。

确定了产品类型，就要根据需要的功能，选出具体的设备型号。一般会考虑下面这些方面。

WAN侧和LAN侧接口数量是否满足需求。RJ-45的10/100/1000BASE-T或SFP的1000BASE-SX这种，接口类型和接口速率是否满足要求。

使用VLAN或虚拟路由器时，子接口（逻辑接口）的数量是否满足需求。

使用IEEE802.1ad等汇聚接口时，汇聚后的带宽是否满足需求。

吞吐率（传输速率）是否足够。

使用ASIC或FPGA等硬件处理的范围和使用CPU软件处理的范围是多少，根据这些信息处理那些流量能够得到高性能，处理哪些流量得不到高性能。

在进行内容扫描时，能扫描多大容量的文件。

如果同时运行多个功能，设备CPU使用率和内存占用率是否跑满。

支持哪些协议，有哪些独立功能。

网络功能。

管理功能。

报告功能。

替换设备时，使用现有、相同厂商的设备，并且运行相同操作系统的设备更容易迁移。

产品能够现场维护还是需要寄回原厂。

支持售后服务的时间。

路由器这类网络设备，都会有转发报文的操作，报文离开始发地，向目的地传输的过程中，总会有延迟（delay）产生。

在网络中传输声音和视频等实时流量时，需要收集各个路由器之间延迟的参数，必须减少端到端（endtoend）的网络延迟作为整个网络设计的重要目标。

ITU-T推荐的G.114把延迟定义三个类型。

延迟的种类。

端到端延迟（endtoenddelay）：报文从发送源发出后，到达目的地所需的时间。报文在中途经过的网络设备数量越多，这个值就越大。

处理延迟（processingdelay）：从报文进入设备入接口，到进入出接口的队列的时间，一般只有几微秒。

分片延迟（packetizationdelay）：数据分成多个部分传输，在进行编码、压缩、封装等操作的时间，一般在几十毫秒。

队列延迟（queuingdelay）：报文在出接口队列停留的时间。在QoS控制时，优先级低的报文在队列总停留的时间长，也就是延迟大，一般在几毫秒。

串行延迟（serializationdelay）：报文在接口发送时，进行电气、光、电磁波等信号转换的时间，具体数值通过“报文尺寸÷带宽”公式计算。速率越高的接口，串行延迟越低。64字节的报文使用64kbit/s带宽进行传输时，串行过程时间是8毫秒。

传播延迟（propagationdelay）：信号通过线缆或无线电波等介质传输，到达下一个设备的时间，依赖介质的传输速度。光纤一般1km的距离需要6微秒。

网络设备从收到数据后，到再次发送数据的延迟时间叫做时延（latency）。时延越小，说明设备处理报文的能力越强。时延相当于“处理延迟+队列延迟+串行延迟”的时间。

吞吐率测试的结构中，从测试仪发送的报文经过路由器后，再返回测试的时间，测试仪器叫做时延。网络设备的时延一般在几微秒。

报文发送时，是有一定时间间隔的。这个时间间隔在实际传输中，变长或变短的现象叫做抖动（jitter）。比如：发送源每隔5毫秒发送报文，接收方收到的实际时间间隔却是4、3、6、5、7毫秒这种不停变化的结果。VoIP和流媒体应用程序能够通过缓存来缓解部分抖动，但抖动过大就会导致声音、画面突然中断。在进行实时双向流媒体视频会议时，推荐延迟在150毫秒以内，抖动在35毫秒以内的网络环境。对比单向视屏流媒体，由于应用程序接收缓存，能够处理部分延迟和抖动，因此允许双向10倍以上的网络延迟时间。

发送源发送的报文，到达目的地后，目的地生成响应报文，返回发送源，直到发送源接收到响应报文的这个过程的时间叫做往返时间（RTT，RoundTripTime）。往返时间是通过ping命令发送ICMPEchoRequest消息，再收到ICMPEchoReply消息来检查，单位是毫秒。

如果互联网发生延迟过长的问题，需要通过QoS设备或者路由器的QoS功能对报文转发进行优先级控制，保障实时性高的应用程序优先转发，尽可能减少队列延迟。

网络设备的性能可以通过测试仪器进行统计测试。产品目录里，会有bit/s和pps等参数，有些厂商还会说明是在怎样的测试环境下得到的这个数值。

测试对象叫做DUT（DeviceUnderTest）。测试仪器在发送端口（Tx）逐步增加发送到路由器的报文数量，然后在接收端口（Rx）测试DUT返回的报文数量。当到达DUT的性能极限时，DUT上就会发生丢包的现象，测试仪器接收的报文数就会减少。

DUT不发生丢包而持续的传输能力指标叫做NDR（non-droprate），产品目录中一般叫做最大吞吐率。

RFC2544中定义了网络设备吞吐率的测试方法，推荐了测试时使用的数据帧大小。比如在以太网环境中，推荐使用64、128、256、512、1024、1280、1518字节大小的数据帧进行测试。

测试路由器时，测试仪器经常模拟互联网实际通信流量、叫做IMIX（InternetMix）的各种数据帧组合来进行测试。

测试仪器通过生成二层至七层的各种报文，能够模拟百万台客户端连接的网络环境。通过测试仪器的测试，能够明确网络设备的最大吞吐率、最大在线会话数等各项性能指标数据。

最大吞吐率，单位Mbit/s，是指连续处理长度为1518字节的数据帧的吞吐率。1518字节中，去掉18字节的帧头部，剩下1500字节的IP报文。再去掉20字节的IP头部，剩下1480字节是IP数据有效载荷，最终处理的就是这1480字节。

路由器处理不是以字节为单位，而是以报文（数据帧）为单位进行转发。因此，路由器1秒内能处理多少个报文的指标pps的最大值，加上1518字节数得到的数值，就是路由器的最大吞吐率。

产品性能会根据IP数据内容的不同而发生变化，对比TCP，使用UDP这种头部简单的报文进行测试时，能够得到更好的吞吐率数值。

二层交换机和三层交换机的数据帧转发是通过ASIC完成，因此产品目录里的交换容量和交换能力，可以人为是这个设备的实际性能指标。

交换容量，又叫做背板容量，是交换机内部数据传输的带宽容量。当流量高于交换机容量时，交换机就会由于缓存不足或内部带宽不够而无法处理，导致数据帧丢失、丢包率上升等现象。

除了bit/s表示交换机的容量外，pps（包每秒）也能用来表示交换机的交换能力，即单位时间内能够处理的数据帧数目。

交换机通过查看数据帧头部，先确认目的MAC地址，并校验数据帧尾部是否异常，最后查看访问控制列表是否有匹配项，如果有匹配项，就对数据帧进行过滤或转发处理。随着数据帧数目增加，交换机处理的数量也随之增大，路由器也是这样。所以，处理流量的bit/s相同，数据帧越小，处理的工作量越大，系统负载也随之变大。

以太网数据帧最小是64字节，加上前导码和SFD（帧头定界符）的8字节，数据帧之间的IFG（数据帧间隔）12字节，一共84字节，也就是说，交换机在转发一个数据帧时，需要处理672bit的数据。

理论的最大线路速度，也叫做线速。对于1000Mbit/s的以太网而言，线速是1000000000bit/s÷672bit=1488000pps，也就是1.488Mbit/s。万兆以太网的线速是14880000pps（14.88Mbit/s）。

交换机是由多个接口组成。如果一台交换机有24个10/100/1000BASE-T的接口，那么就有24×1.488Mbit/s=35.712Mpps的交换能力。如果交换容量小于这个值，就会发生阻塞，导致所有的接口无法达到理论的最大线速。

实际上，在交换机上传输的大多是TCP或UDP的应用程序数据。在UDP中，对实时性要求高的报文，一般长度在100~300字节之间才能进行通信。而在TCP中，有窗口尺寸等带宽控制，实际的速率往往达不到理论线速水平。

二层交换机使用MAC表管理MAC地址，三层交换机还会使用三层表来管理IP地址。如果表项超出了容纳的数量，那么设备就无法正常转发处理，造成丢包的结果。在对设备性能进行测试时，要对报文的地址数量进行限制，限制在MAC表支持的范围内。

广播风暴（broadcaststorm）是多个交换机连接成回环，数据帧不停的来回转发的现象。这种现象会造成网络带宽、交换机资源的过度消耗，最终导致整个网络的瘫痪。使用生成树功能，可以避免这个问题。生成树通过NDP端口的关闭来解决网络的回环问题。另外，遇到DoS攻击、操作系统出现bug或NIC出现故障导致生成树无法正常工作时，同样也会产生广播风暴。

这时，可以使用交换机的广播风暴控制（storm-control）功能来避免这个现象。广播风暴控制功能的原理是在端口监控数据帧，如果数据帧的数量超过了预定的上限值，就会把超过上限值的部分丢弃。数据帧上限值使用pps为单位，能够分别对单播、多播、广播进行定义和配置。

如果没有回环状态，广播帧只会转发到广播域内的所有终端。相反，如果网络存在回环，广播帧会永远在回环内循环转发，导致数据帧数量越来越多，最终整个网络的带宽被广播帧消耗殆尽。

路由器性能是用单位时间内的转发能力来表示，也可以使用吞吐率（throughput）表示。单位bit/s（比特每秒）来表示吞吐率，也会使用pps（报文每秒）来表示吞吐率。

pps性能相同的路由器，转发的报文越大，路由器的bit/s值就越高。比如，处理能力是100pps的路由器，处理64字节（512bit）报文时，速率是51.2kbit/s，但在处理1500字节（12000bit）的报文时，速率达到1.2Mbit/s。

防火墙使用会话表管理会话，以会话为单位进行流量的控制。会话表记录的表项数目，表明了防火墙能处理的同时在线会话数量。

小型的桌面防火墙一般能够支持几万个会话，电信运营商使用的防火墙能够同时管理数百万个会话。

通过安全策略的UDP报文或TCP报文到达防火墙时，防火墙会生成对应的会话信息。如果在一定时间内，这个会话没有流量的话，就把会话删除，这个时间段叫做会话生存时间。

会话信息被删除后，这个会话相关的报文到达防火墙时，防火墙需要重新生成会话信息。如果是UDP报文，只需要再次生成会话信息即可，但如果是TCP报文，除了SYN报文外，其余报文都会丢弃。如果SYN之外的报文遭到防火墙拒绝，就需要客户端的应用程序重新发起流程，跟服务器进行3次握手，重新建立TCP连接。

会话生存时间，可以根据不同的协议设置不同的值。一般TCP的会话生存时间是1小时，UDP和其它IP协议的会话生存时间是30秒。

如果生存时间过长，或者没有生存时间，TCP没有收到FIN或RST，连接会一致保持开放，而UDP会话不会结束，会话信息一直保留。

由于会话信息表中的会话表项的数量有限，如果长时间不清除，会让表项数量到达上限值。当会话表项数量达到上限值后，不能新建会话，造成无法通信的后果。

路由器性能一般使用bit/s和pps这两个单位描述。防火墙的话，还要增加每秒能建立的会话数（newsessionpersecond）这个参数指标。这个指标表示在1秒内能够完成多少次会话建立。1个完整的会话建立过程包括：监控TCP连接的3次握手，握手正常就生成会话信息，将会话信息记录到会话表等操作。如果数值不满足网络需求，就会造成网络中新会话信息无法建立。用户使用过程中，就会觉得这个网络的响应速度非常慢。

防火墙或安全设备都会支持站到站IPsec-VPN、远程接入IPsec-VPN或SSL-VPN功能。有些产品还支持用户通信的SSL（HTTPS）解密功能。

执行加密或解密的操作，和使用明文通信对比，系统的负载会增加，导致性能下降。虽然使用ASIC芯片完成加密，不会带来性能下降问题，但几乎所有的设备都是采用CPU的软件处理方式。因此，当通信流量增大时，性能还是会大幅的下降。

实际环境中，CSMA/CA和无线电波的干扰、距离的远近导致无线电波的强弱不同等原因，AP是达不到理论支持的最大吞吐率。

IEEE802.11的无线AP使用CSMA/CA通信。

CSMA中CS用来执行载波侦听，当遇到其它终端正在发送数据帧时，这个终端停止发送并等待，直到其它终端发送完毕。MA是指多址接入，即多个终端共享1个传输媒介。CA是冲突避免，遇到其它设备正在发送数据，那么就等待设备发送完成后，再等待一段随机时间，才继续发送数据。通过这个机制可以错开多个节点同时发送数据帧，有效降低冲突发生的可能性。

由于有线网络能够通过电气噪音及时检测冲突的发生，而无线网络无法迅速有效的检测冲突，只能采用CSMA/CA的机制来避免冲突的发生。

收到数据帧后的AP需要返回ACK数据帧，当发送方接收到ACK数据帧后，表示整个通信过程结束。但无线信号不好时，接收方没有收到数据帧，就不会发送ACK数据帧，这时发送方会重发数据帧。另一方面，当接收方顺利收到数据帧，并返回ACK数据帧，但是发送方却没有收到ACK数据帧时，接收方也会再次发送ACK数据帧。终端和AP之间的距离和无线信号的状态会影响数据重发的概率。

在实际环境中，重发数据的概率大概在20%左右。

通过使用频谱分析仪进行的现场勘查工作，能够确认无线网络区域的无线信号干涉情况，反射波段、外部无线电波带来的影响以及噪音带来的影响，能够部署和配置最佳AP。

一般现场勘查，可以按照下面的步骤来完成。

1、准备办公场所的平面图。

2、测试从相邻AP发出的无线电波，了解当前位置无线电波的情况。

3、通过模拟来确定AP的数量、无线电波强波和使用的频道，并标记到办公场所的平面图上。

4、根据模拟结果，对配置的AP进行临时配置并进行验证。

5、完成配置后，对AP是否能够覆盖所有区域进行最终确认。

交换机的下行端口用来连接终端，大部分接入交换机都是1G的下行端口。目前个人电脑都有1G的网络接口，但如果交换机是100M接口，那么自适应功能就会让链路速度变成100Mbit/s，这时下行链路就可能成为网络瓶颈。

大部分交换机都采用2个或4个万兆上行端口。两个上行端口，可以同时连接两台汇聚交换机或核心交换机组成冗余组网结构。四个上行端口构成两组通道，以两倍的吞吐率和上层交换机组成冗余网络结构。

下行端口数量，根据客户端或打印机等终端数量决定的。

大规模的网络中，需要接入交换机、汇聚交换机、核心交换机这种分层组网结构。

汇聚交换机的下行链路一般使用10G网络接口和接入交换机的上行链路进行连接。在三层组网结构中，汇聚交换机的上行链路要和核心交换机的下行链路连接，而在二层组网中，接入交换机的上行链路要和核心交换机的下行链路连接，也有使用40Gbit/s和100Gbit/s网络接口连接的。

如果接入互联网，往往是路由器和防火墙容易成为网络瓶颈。如果*域网的通信多，交换机就可能成为最大的网络瓶颈。如果预算有限，可以选择吞吐量满足最低需求的交换机。

汇聚交换机和核心交换机的端口数量，要根据接入交换机和终端数量来设计。框式交换机能够通过增加线卡模块来满足端口增加的需求。

路由器的接口数量是依据连接的网段数量来选择。在以太网中，使用的物理接口数量只要满足最低限度就可以了，可以通过添加二层交换机来增加接口数量，也可以使用VLAN的子接口来缓解接口不足的问题。

在互联网网关配置防火墙时，至少要准备两个端口，即连接互联网的上行端口和连接内网的下行端口，最常用也是最传统的防火墙组网方式。

现在为了保障内网的安全，会把防火墙部署在内网，同时配置RJ-45、SFP/SFP+等接口，提供8~24个网络端口。

互操作性表示网络中不同类型的网络设备互相连接后，也能正常通信的情况。由于网络设备通常实现了相同的RFC或IEEE等标准或协议，因此不同厂商设备之间，可以说具有互联性。但另一方面，厂家独自实现了一些未标准化的功能，这类功能是无法在所有设备上运行的。

当需要引入多个不同厂商生产的网络设备进行组网时，就要考虑设备的互操作性，并作为选择设备的一项重要依据。像访问控制列表或病毒扫描等能够在网络设备内部处理，无需和网络上其它设备连接的功能，就不用考虑互操作性。

包含网络设备的电气产品和计算机系统等，通常使用MTBF（平均故障间隔时间）来计算出现故障的概率。这个参数以小时（hour）为单位，可以使用下面的公式计算。

MTBF=运行时间/故障次数

在实际运用中，MTBF还能使用预测法或推测法计算出来。推测法之一，是数据计量法。通过记录多个样本数据，观察在相对较短的时间内有多少台设备发生了故障，推算出MTBF值。比如：同时启用一万台相同的设备，运行100个小时，这个期间出现5台设备故障，就可以计算MTBF值：1万台×100小时÷5次故障=20万小时。

故障率可以通过MTBF的倒数计算得出。

故障率=1/MTBF

MTTR（平均修复时间）是指系统发生故障后，到修复完毕花费的平均时间。

系统的运行概率可以通过下面公式计算得出。

正常运行概率=MTBF/（MTBF+MTTR）

简单说，就是MTBF值越大，而MTTR值越小，系统可用性更高。

当然，完整的进行设备选型，首先要收集预算、需求、网络现状和未来可扩容等，再进行有针对性的设备选型，甚至可以有几套设备选型方案，逐步细化和分解，并结合设备采购流程，最终敲定设备采购清单。如果有钱的金主，买最好的设备，毕竟一分钱一分货。如果预算有限，就要选高性价比的，适合自己的才是最好的。

end