严格地讲，这次Fortinet（飞塔）送测的FortiGate 3000并不仅是一款传统意义上的IPS产品，而是集防火墙、IPSec VPN、内容过滤、流量控制以及入侵阻断功能于一体的千兆安全网关。FortiGate 3000采用标准的2U机架式专用机箱，机身采用黑色与银灰色的色彩搭配，给人以稳重、可靠的感觉。

FortiGate 3000具备冗余电源支持，而且自带的高可用性端口，保证了在不间断运行的情况下透明地进行灾难恢复。FortiGate 3000前面板具有LCD屏和简单的控制按键，可以在没有外部控制台的情况下为其提供简单的管理配置参数。此外，FortiGate 3000提供了3个10/100M Base－TX接口、1个千兆铜芯接口和2个光纤千兆接口，保证了与用户各种网络环境无缝连接。

FortiGate 3000管理方式多样，不但支持Console口管理，而且可以通过提供的6个以太网网络接口，使用HTTPS远程管理登录或SSH远程管理。FortiGate 3000提供了细粒度的安全管理，支持独立的安全区域和映射到VLAN的策略，实时地自动更新攻击数据库；而且可以针对每种攻击提供8种响应方式。此外，Fortinet公司的实时响应服务器还提供了持续的攻击库更新，以保护用户网络不受病毒、蠕虫、木马及其他攻击。

为了较好地考量FortiGate 3000的攻击识别能力，我们采用了BLADE公司（www.bladesoftware.net）的IDS/IPS攻击测试软件——IDS Informer，IDS Informer拥有600多种攻击类型，运行每一种攻击只需轻轻一点，几秒钟就可以完成；而且它产生的攻击均是无害的网络流量，真实的网络设备不会造成影响。有了这个测试利器，我们的攻击识别测试进行得非常顺利。FortiGate 3000在全IPS策略下，攻击识别率达到了80%，结果令人满意。

作为一款工作在串行模式下的产品，FortiGate 3000对用户正常网络流量的影响也是值得注意的指标。为此，我们采用的思博伦通信公司的SmartBits 600B高性能测试仪对FortiGate 3000加载IPS规则前后进行了大、中、小包（1518、512、64字节）的吞吐量对比测试。通过对比测试，我们发现FortiGate 3000在添加IPS规则前后对正常流量的影响不大，甚至对1518字节大包流量没有影响。

亮点：

FortiGate 3000在整个测试过程中，表现非常稳定，顺利地通过了各项测试。此外，FortiGate 3000采用了专门的ASIC芯片加速内容过滤进程，有效地避免了高层协议报文重组分析而造成的网络瓶颈。

（计算机世界报 2005年05月23日 第19期 D9）