Forti FW 算是相當簡單的 .

有基本程度的人都能上手 . 再不行也不知道該說啥 .

為什去跪？？？
是發生什事？

DDoS的攻擊有兩種模式,一種是攻擊你的主機系統, 這種的有解 , 但另外一種的就只能夠靠ISP幫忙!!

DDoS的另一種攻擊就是消耗貴公司的出口頻寬 , 它不是攻擊主機 ,而是攻擊頻寬 , 所以常見
的方式,就是送出UDP封包到貴公司所屬的IP , 由於是UDP的封包 ,故source ip可以造假
所以這也是最難以防範的攻擊!!

而遇到這種類型的攻擊,ISP通常也難以下手 , 只能夠消極防禦 !!

不過,後者的攻擊也與小說中的七傷拳 原理類似 , 所以要傷敵,要先傷己,再加上跳板主機不好找
所以能發動者也是很少的 !!

會嗎@@
光是穿透 NAT ROUTE等模式就一堆人看不懂
更遑論還要搞VDOM選PORT之類的
然後看是要設定需你IP還是要設定在位址那邊
然後再去設定規則

除非像IP分享器那麼簡單 不然這種東西對大多數人上手難度都算比較高

商業機密 無法回答 . 我不想被原廠追出來幹 . 請見諒 .

有興趣就去問原廠SE會比較快

基本上會用IP分享器就會用forti .

當然你提到的 NAT / ROUTE 部分 . 只要有基本網路概念應該都能懂 .

其實Cisco Router 要拿來硬做成FW也行 . 連早期26都能拿來硬幹. 但CLI下的多就是了.

不像 Forti or NetScreen 這種Web UI 好上手 .

用習慣Forti or Netscreen 會用不習慣 Cisco ASA . 因為整個設計就不一樣 .

所以基本上我不賣ASA . 寧願賣Web UI FW .

我記得Cisco PIX是ASA的前一代 , 相信觀念上大概也會承襲PIX的運作觀念...
之前PIX的觀念就是,所有的介面要轉送封包,都必須做NAT

不管是由內到外,或者由外到內,甚至DMZ都要轉NAT 才能夠正常通訊...

所以,這也難怪fortigate 熟的人轉Cisco 會不適應...

最近有沒有改就不清楚了,至少不要每個interface都要做NAT , 把packet forwarding
預設給Enable不是很好嗎? 這樣就與fortigate 一樣了 , 人家要推Cisco也會方便許多!!

我只能說看User 習慣哪種介面 . 這種東西包含連HA的設計觀念都不同 .

ASA算非主流的設計 ( 早期 ? )

Forti 這東西就當他是基本FW用就可以 . 其他都不要想 . 開越多功能風險越大 . 常會讓人有意想不到的狀況

且現在FW的市場早已不是這兩種FW的天下 .

若非有IPV6或者是IPS需求 . 只單純用FW功能的話 . Juniper SSG/ISG會好很多 .

但它到2015就要停產 . 這種要校能有效能.要穩定有穩定 . 算非常可惜的產品 .

我想吐槽一下最近Fortinet發行v5.0版的f/w....
從5.0去upgrade到5.0P1..
如果在5.0調用BYOD策略或著User Identity策略...
升級到5.0P1後..
結果是災難性的開始.....
他竟然在每個子驗證的rule給我放一個deny全部的預設rule...

而且還改不掉, 鎖死的...
如果在同一個介面流向有多個policy...
就悲劇了(已經做一個global的deny policy, 為啥還要再放??....)...
不過, v5.0當作是自個兒玩玩就算了(還是要跟官方抱怨一下.. )..
我其實不太喜歡他們工程師有時(自以為??)改f/w放奇奇怪怪的東西...

v5.0版之後大量使用AJAX的東西...
瀏覽器的性能要注意...

還有它的AP+AC的無線網路性能很爛(目前還有一些bug(討人厭的?)...)..
我已經跟官方的工程師抱怨好幾次了......
得到的回答雖然也差不多, 嘛..
我相信他們也是一直在改善...
大概吧.....
另外, 官方forum回兩次後, 就從此不理我有關討論無線網路性能的thread了......

另外他的endpoint control, 個人覺得功能實在有待加強(v5.0版更要加強..)..
我覺得很弱(弱智??).....