客戶案例:如何選擇合適的FortiGate防火牆

作者: /
辦公室Fortigate 網路升級

第一節:執行摘要與建議

1.1. 專案目標概述

本報告旨在為貴公司提供一份詳盡的技術分析與採購建議,核心目標是從 Fortinet 的 FortiGate FG-60F 與 FG-80F 兩款次世代防火牆中,選擇最適合的型號以汰換現役的 FG-100E。此次升級不僅是硬體汰換,更重要的是作為建構全新網路架構的核心,該架構將網路切分為五個獨立的虛擬區域網路(VLAN),分別為:管理(MGMT)、伺服器群(ServerFarm)、辦公(OA)、監控(Surveillance)及訪客(Guest Farm),以達成強化內部安全、提升管理效率及優化網路效能的策略目標。

1.2. 分析摘要

本報告深入剖析了現有設備的效能瓶頸,並對兩款候選型號進行了基於規格、效能、安全性及總體擁有成本(TCO)的全面比較。分析過程涵蓋了以下關鍵領域:

  • 效能模型分析: 透過對貴公司現有及未來工作負載(包含辦公室日常運作、伺服器群東西向流量及監控系統流量)的量化評估,本報告確認了兩款候選型號在啟用完整安全防護功能(UTP)下的真實處理能力,遠超過當前及可預見未來的需求。
  • 安全架構審視: 報告規劃了一套基於「零信任」與「最低權限」原則的 VLAN 間防火牆策略,確保在實現網路分段的同時,能對關鍵的內部流量(East-West Traffic)進行深度檢測,有效防堵潛在的內部威脅橫向移動。
  • 總體擁有成本(TCO)分析: 綜合考量硬體採購成本與後續三年期的 Unified Threat Protection (UTP) 安全授權費用,本報告揭示了兩款選項之間顯著的投資差異,為您的預算決策提供了堅實的數據基礎。

1.3. 最終建議

經過全面而嚴謹的評估,本報告提出以下明確建議:

主要建議:FortiGate FG-60F

考量到貴公司當前的網路規模(10餘人、30餘台裝置)與未來三至五年的可預見成長,FortiGate FG-60F 是最具成本效益且效能綽綽有餘的最佳選擇。它不僅在關鍵的「威脅防護吞吐量」指標上,相較於您現役的 FG-100E 提供了近三倍的效能躍升,其連接埠數量與整體處理能力也完全能滿足規劃中的五個 VLAN 架構。選擇 FG-60F 意味著您能以最優化的投資,獲得符合甚至超越當前需求的次世代安全防護能力。

條件性建議:FortiGate FG-80F

FortiGate FG-80F 是一款效能更強大的設備,但其成本也顯著較高。僅在滿足以下特定條件時,才建議考慮將其作為升級選項:

  1. 明確的光纖部署計畫: 如果貴公司在未來 12-24 個月內有明確計畫採用光纖作為防火牆與核心交換器(TP-Link Omada 系統)之間的主幹鏈路,FG-80F 內建的 SFP 連接埠將提供原生支援。
  2. 可預期的快速擴張: 如果公司有確切的擴張藍圖,預計在三年內使用者與設備數量將翻倍成長,或計畫導入超高速(Multi-Gigabit)網際網路服務,那麼 FG-80F 提供的額外效能餘裕將成為一項合理的長期投資。
  3. 預算充足: 升級至 FG-80F 的總體擁有成本遠高於 FG-60F,需確保此一級距的預算已獲批准。

若上述條件非當務之急,FG-60F 依然是現階段最明智、最符合經濟效益的決策。

第二節:現役設備 FG-100E 效能基準分析

在評估升級選項之前,必須先對現役的 FortiGate FG-100E 建立一個客觀的效能基準。這不僅有助於理解升級的必要性,更能凸顯新一代設備在架構上的根本優勢。

2.1. 架構概述:SPU SoC3 世代

FortiGate FG-100E 是基於 Fortinet SPU SoC3 (System-on-a-Chip) 整合型安全處理器 架構的產品 1。在其推出的時代,這是一款功能強大的中階企業防火牆。SPU (Security Processing Unit) 的設計宗旨在於將部分安全功能硬體化,以加速處理。然而,SoC3 世代的技術,與當前最新的 SoC4 世代相比,其對於複雜安全運算(如入侵防禦系統 IPS、應用程式控管 App Control)的加速效率已存在明顯的代際差距。這意味著,當啟用多層次深度封包檢測時,其效能會顯著下降,這正是此次升級所要解決的核心問題。

2.2. 關鍵效能指標

為了建立一個清晰的比較基準,以下是 FortiGate FG-100E 的官方規格數據:

指標 (Metric)FortiGate FG-100E 效能值備註
處理器架構SPU SoC3舊世代整合型安全處理器 3
防火牆吞吐量7.4 Gbps衡量基本封包轉發能力,未啟用安全功能 5
威脅防護吞吐量250 Mbps啟用 IPS、防毒、應用程式控管後,最關鍵的真實世界效能指標 6
NGFW 吞吐量360 Mbps啟用防火牆、IPS、應用程式控管 6
IPS 吞吐量500 Mbps僅啟用入侵防禦系統 6
SSL-VPN 吞吐量250 Mbps遠端使用者連線效能 1
並發連線數 (TCP)2,000,000設備能同時處理的連線數量 5
每秒新建連線數 (TCP)30,000設備處理新連線請求的速度 5
網路介面20x GE RJ45, 2x GE SFP (共享)提供豐富的連接埠選項 5

資料來源:1

2.3. 效能代際差距的深層意涵

許多使用者在評估防火牆時,會直觀地認為「100系列」必定優於「60系列」或「80系列」。然而,在 Fortinet 的產品線中,決定真實安全效能的並非僅是型號數字的大小,而是其內核的 處理器世代

FG-100E 所採用的 SoC3 處理器,雖然具備一定的加速能力,但其設計更偏向於通用的網路處理。相比之下,FG-60F 與 FG-80F 所搭載的新一代 SoC4 處理器,則是針對現代網路威脅而生的專用設計 13。SoC4 內部整合了更高效的內容處理器(Content Processor)與網路處理器(Network Processor),專門用於硬體加速那些對效能影響最大的安全功能,例如 IPS 特徵碼比對、應用程式識別與 SSL 流量解密。

這種架構上的差異,直接反映在最關鍵的效能指標——**「威脅防護吞吐量 (Threat Protection Throughput)」**上。此數據代表防火牆在啟用防毒、入侵防禦、應用程式控管等多重安全服務後的綜合處理能力,最貼近真實世界的部署情境。

  • FG-100E 的威脅防護吞吐量為 250 Mbps 6
  • FG-60F 的威脅防護吞吐量為 700 Mbps 13
  • FG-80F 的威脅防護吞吐量為 900 Mbps 14

這意味著,即便您選擇的是看似「降級」的 FG-60F,您所獲得的實際安全處理效能,將是現有設備的 2.8 倍 (700/250=2.8)。若選擇 FG-80F,效能提升更高達 3.6 倍 (900/250=3.6)。因此,本次升級的本質,並非型號數字的平移,而是一次跨越世代的效能飛躍,這將是支撐您未來五年網路安全架構的堅實基礎。

第三節:候選型號比較分析:FortiGate FG-60F vs. FG-80F

在確立了升級的價值後,接下來的重點便是對兩款候選型號 FG-60F 與 FG-80F 進行細緻的比較,以找出最符合貴公司需求的選擇。

3.1. 共同的強大核心:SoC4 處理器

FG-60F 與 FG-80F 的一個核心共同點,是它們都採用了相同的 FortiASIC SOC4 處理器 13。這顆專為安全而生的晶片,賦予了兩款設備卓越的效能基礎。這意味著在許多核心的安全處理能力上,它們的表現是同級的。兩者之間的差異,主要體現在記憶體容量、介面控制器、以及由授權所區分的效能上限。理解這一點至關重要:您並非在一個「好」與一個「差」的選項間做選擇,而是在一個「極佳」與一個「更強」的選項間,根據成本與未來需求進行權衡。

3.2. 效能指標正面對決

為了提供最直觀的比較,下表將三款設備(包含現役的 FG-100E)的關鍵效能指標並列呈現。

表 3.2.1:FortiGate 效能指標綜合比較矩陣

指標 (Metric)FG-100E (現役)FG-60F (候選)FG-80F (候選)分析與重要性
處理器SPU SoC3FortiASIC SOC4FortiASIC SOC4世代性差異:SoC4 在安全處理上效率遠高於 SoC3。
防火牆吞吐量7.4 Gbps10 Gbps10 Gbps兩款候選型號在基礎轉發能力上均達 10 Gbps,遠超需求。
威脅防護吞吐量250 Mbps700 Mbps900 Mbps核心決策指標。FG-60F 提供 2.8 倍效能提升,FG-80F 提供 3.6 倍。
NGFW 吞吐量360 Mbps1 Gbps1 Gbps兩款候選型號在啟用 NGFW 功能後,效能持平且遠超 FG-100E。
IPS 吞吐量500 Mbps1.4 Gbps1.4 Gbps兩款候選型號在啟用 IPS 功能後,效能持平且遠超 FG-100E。
SSL 檢測吞吐量130 Mbps750 Mbps715 Mbps處理加密流量(如 HTTPS)的能力大幅提升,對現代網路至關重要。
SSL-VPN 吞吐量250 Mbps900 Mbps950 Mbps遠端辦公的體驗將顯著改善。
並發連線數 (TCP)2,000,000700,0001,500,000FG-60F 的 70 萬已遠超 30 餘台設備所需,FG-80F 則提供更大餘裕。
每秒新建連線數 (TCP)30,00035,00045,000兩者皆能應對高頻率的連線請求。
防火牆延遲3 µs4 µs3.23 µs微秒級的差異在實際應用中幾乎無法察覺。
GE RJ45 介面201010兩款候選型號均提供 10 個 RJ45 埠,足以應對 VLAN 規劃。
GE SFP 介面202 (共享)主要硬體差異。FG-80F 提供光纖連接能力。
最大 FortiAP 支援數64 / 3264 / 3296 / 48若未來擴展無線網路,兩者支援能力不同。
最大 FortiSwitch 支援數241616兩者在整合 FortiSwitch 上的能力相同。

資料來源:13 及所有 FG-100E 相關資料。

3.3. 介面與實體差異

  • FortiGate FG-60F: 提供 10 個 GE RJ45 連接埠。標準配置下,可規劃為 2 個 WAN 埠、1 個 DMZ 埠、2 個 FortiLink 埠(用於管理 FortiSwitch/AP)以及 5 個內部 LAN 埠 13。對於您的五個 VLAN 需求,可以將其中一個 LAN 埠作為與 TP-Link Omada 交換器的 Trunk Port,其餘埠可靈活調用,連接埠數量完全充足。
  • FortiGate FG-80F: 同樣提供 10 個 GE RJ45 連接埠,但額外增加了 2 個與 RJ45 共享的 GE SFP 連接埠 17。這意味著您可以選擇使用銅纜(RJ45)或光纖(SFP)作為其 WAN 或 LAN 連接。

3.4. SFP 連接埠的策略性價值

FG-60F 與 FG-80F 之間最顯著的硬體差異,正是後者所提供的 SFP 光纖連接埠。這一差異直接關係到您的網路基礎設施的長期規劃。

SFP 連接埠的主要用途是接入光纖模組,實現光纖網路連接。在辦公室環境中,光纖通常用於以下兩種場景:

  1. 高速主幹鏈路: 當核心交換器與防火牆位於不同的樓層或機櫃間,距離較遠時,使用光纖可以提供比銅纜更穩定、抗電磁干擾能力更強的長距離傳輸。
  2. 未來頻寬升級: 雖然目前兩款設備的 SFP 埠均為 1 Gbps,但 SFP 的存在為未來升級至更高速率(如 10 Gbps,需更換支援該速率的防火牆與交換器)提供了物理介面上的便利性。

對於貴公司目前 10 餘人的規模,以及與 TP-Link Omada 交換器之間的連接,標準的 1 Gbps 銅纜(RJ45)鏈路在未來數年內都將是完全足夠且經濟的解決方案。因此,SFP 連接埠在當下並非一項「必要」功能,而是一項「為未來投資」的選項。

結論是,選擇 FG-80F 的決策,很大程度上取決於您對光纖連接的迫切性與確定性。如果沒有立即或近期的光纖部署計畫,那麼為此支付 FG-80F 的高昂溢價,其投資回報率相對較低。

第四節:預期流量負載與效能模型分析

正確評估防火牆效能,不能僅僅依賴規格表上的最大理論值。必須結合實際應用場景,對流量類型和安全策略進行建模,才能得出有意義的結論。

4.1. 破除「防火牆吞吐量」的迷思

在防火牆規格表中,「防火牆吞吐量 (Firewall Throughput)」通常是數值最大、最引人注目的指標(例如 FG-60F/80F 的 10 Gbps)。然而,這個數值是在最理想的實驗室條件下測得的,即僅執行基本的封包轉發,不啟用任何安全檢測功能 31

在貴公司規劃的網路分段架構中,核心價值在於對 VLAN 之間的流量進行安全管控。這意味著流量不僅需要被路由,更需要被 檢測。因此,對於選型而言,唯一具有實際參考價值的指標是 「威脅防護吞吐量 (Threat Protection Throughput)」。這個數值反映了防火牆在同時啟用 IPS、防毒、應用程式控管等多重安全功能後的綜合處理能力,這才是您網路中流量所能體驗到的「真實速限」。

4.2. VLAN 間(東西向)流量分析

在網路安全領域,於內部網路各區段之間流動的流量被稱為「東西向流量 (East-West Traffic)」。在您的新架構中,任何從一個 VLAN(例如 OA 辦公網)流向另一個 VLAN(例如 ServerFarm 伺服器網)的流量,都屬於東西向流量,且必須經由 FortiGate 進行路由和處理。

這對效能的影響至關重要:

  • 若流量需被檢測: 如果您為 OA 網訪問 ServerFarm 網的策略啟用了安全配置文件(UTP Bundle),那麼這條路徑的總頻寬將受限於防火牆的威脅防護吞吐量(FG-60F 為 700 Mbps,FG-80F 為 900 Mbps)。
  • 若流量不需被檢測: 如果策略僅做簡單的允許/拒絕,不掛載任何安全配置文件,那麼這部分流量可以被 FortiGate 的硬體 ASIC 直接卸載 (offload),達到接近線速(wire-speed)的轉發效能 32

架構建議: 為了實現網路分段的初衷,強烈建議對所有涉及高價值資產的 VLAN 間流量進行安全檢測。具體而言,OA、ServerFarm 與 MGMT 三個 VLAN 之間的相互通訊,都應啟用完整的 UTP 安全檢測。因此,您應將 700 Mbps (FG-60F) 或 900 Mbps (FG-80F) 視為這些內部關鍵通訊的有效頻寬上限。

4.3. 監控系統 VLAN 流量計算

根據您的需求,監控系統包含 8 支 500 萬畫素(2592×1944)的攝影機,並採用高效的 H.265/H.265+ 影像壓縮格式。

  • 單支攝影機頻寬估算: 根據業界數據,一支 5MP 攝影機在設定為 15-20 FPS(每秒幀率)並使用 H.265 壓縮時,其碼率(bitrate)約為 2 Mbps 至 4 Mbps 34。為了確保影像品質並預留餘裕,我們採用較為保守的
    4 Mbps 進行計算。
  • 監控系統總頻寬:

    8 支攝影機×4 Mbps/支=32 Mbps

這 32 Mbps 的流量是持續不斷的,構成了您網路中一個穩定的流量來源。

4.4. 監控系統架構的效率評估

您在規劃中提出將 NVR 主機與 8 支攝影機放置在同一個「Surveillance」VLAN 中,這是一項非常明智且高效的設計決策。

其背後的運作原理如下:

  1. 流量本地化: 由於攝影機和負責錄影的 NVR 主機位於同一個 VLAN,它們屬於同一個廣播域(Broadcast Domain)。
  2. 交換層處理: 所有攝影機到 NVR 的影像串流,都將在 Layer 2(資料鏈路層)由您的 TP-Link Omada 交換器直接處理和轉發。
  3. 防火牆零負載: 這意味著高達 32 Mbps 的持續性影像流量,完全 不會 經過 FortiGate 防火牆。防火牆無需為其建立連線、分配資源、或進行任何路由與檢測。

如果採取另一種設計,例如將 NVR 放置在 ServerFarm VLAN,那麼這 32 Mbps 的流量就需要持續地「跨越」VLAN,不斷地由 FortiGate 進行路由,這將無謂地消耗防火牆的連線數表格空間與處理器資源。

您的設計將防火牆寶貴的 700/900 Mbps 威脅防護能力,完全保留給了真正需要安全檢測的商業關鍵流量(如辦公、伺服器存取),而非消耗在可信的內部影像串流上。本報告完全認同並支持此高效架構。

4.5. 綜合工作負載與效能餘裕

綜合以上分析,我們可以建立一個整體的流量模型。

表 4.5.1:預期流量模型與防火牆負載評估

VLAN 名稱主要流量類型預估峰值頻寬安全檢測等級預計防火牆負載
OA (辦公)網際網路存取、郵件、存取 NAS 檔案50 – 150 Mbps高 (完整 UTP)構成主要檢測負載
ServerFarm伺服器間通訊、NAS 檔案服務、VM 流量50 – 200 Mbps高 (完整 UTP)構成主要檢測負載
Surveillance攝影機影像串流至 NVR32 Mbps無 (流量不經防火牆)零負載
Guest Farm僅網際網路存取20 – 50 Mbps中 (網頁過濾/App控管)輕度負載
MGMT (管理)設備管理連線 (SSH/HTTPS)< 5 Mbps高 (策略嚴格)極低負載

結論: 即使在最繁忙的時刻(例如多位使用者同時進行大檔案傳輸),需要防火牆進行深度安全檢測的總流量峰值,預計也很難超過 200 Mbps。無論是 FortiGate FG-60F (700 Mbps) 還是 FG-80F (900 Mbps),其提供的威脅防護效能都具備 3倍以上 的充裕空間。這確保了即使在啟用所有安全功能的情況下,網路效能依然流暢,不會出現瓶頸。

第五節:安全架構與實施策略

選定硬體後,成功的關鍵在於正確的配置策略。本節將提供一套清晰的實施藍圖,涵蓋 FortiGate、TP-Link 交換器以及核心的防火牆策略設計。

5.1. FortiGate VLAN 與介面配置

為了將五個 VLAN 的流量匯集到 FortiGate 進行統一管理,您需要在 FortiGate 上創建對應的 VLAN 子介面 (Sub-interface)。這些子介面將依附在一個實體連接埠上,該連接埠將作為與 TP-Link Omada 交換器相連的 Trunk Port。

配置概念:

  1. 選擇一個未使用的實體連接埠(例如 internal1)。
  2. 在該實體連接埠下,創建五個 VLAN 子介面,並分別賦予它們唯一的 VLAN ID 和 IP 位址作為該 VLAN 的閘道 39

CLI 配置範例(以 OA_VLAN 為例):

config system interface
    edit “OA_VLAN”
        set vdom “root”
        set ip 192.168.10.1 255.255.255.0  // 假設 OA 網段為 192.168.10.0/24
        set allowaccess ping https ssh     // 允許從此 VLAN 管理 FortiGate
        set device-identification enable
        set role lan
        set interface “internal1”          // 依附於 internal1 實體埠
        set vlanid 10                      // 設定 VLAN ID 為 10
    next
end

您需要為 MGMT、ServerFarm、Surveillance 和 Guest Farm 重複此步驟,並分配各自的 IP 網段與 VLAN ID。

5.2. TP-Link Omada 交換器整合

為了讓 FortiGate 能夠接收並區分來自不同 VLAN 的流量,與其連接的 TP-Link Omada 交換器需要進行相應的 802.1Q VLAN 配置。核心概念是 Trunk PortAccess Port 42

配置步驟概念:

  1. Trunk Port (中繼埠) 設定:
  • 在 Omada 交換器上,將連接到 FortiGate internal1 的那個連接埠,設定為 Trunk 模式。
  • 將此 Trunk Port 設定為 所有五個 VLAN (MGMT, ServerFarm, OA, Surveillance, Guest) 的「Tagged (標記)」成員。這意味著交換器會為發往 FortiGate 的封包打上對應的 VLAN 標籤,以便 FortiGate 識別其來源 44
  1. Access Port (存取埠) 設定:
  • 對於連接終端設備(如員工電腦、伺服器)的連接埠,應設定為 Access 模式。
  • 範例: 一個連接員工電腦的埠,應設定為 OA VLAN 的「Untagged (未標記)」成員
  • 同時,必須將該埠的 PVID (Port VLAN ID) 設定為 OA VLAN 的 ID (例如 10)。這確保了從該電腦發出的、本身不帶標籤的封包,在進入交換器時會被自動歸類到 OA VLAN 42
  • 此邏輯同樣適用於伺服器、NAS、攝影機等其他設備,只需將其連接埠歸類到對應的 VLAN 即可。

5.3. VLAN 間防火牆策略設計(最低權限原則)

防火牆策略是實現網路分段安全價值的核心。所有策略都應遵循「預設拒絕,明確允許」的最低權限原則。以下是針對您場景的關鍵策略範例:

  • 策略 1 (允許辦公網存取伺服器):
  • 來源介面/VLAN: OA_VLAN
  • 目的介面/VLAN: ServerFarm_VLAN
  • 來源位址: OA_Network_Object (例如 192.168.10.0/24)
  • 目的位址: Server_Network_Object (例如 192.168.20.0/24)
  • 服務: 明確指定所需服務(例如 RDP, SMB, HTTPS),而非 ALL。
  • 動作: Accept
  • NAT: 停用 (Disable),因為這是內部路由,無需位址轉換 46
  • 安全配置文件: 啟用 (Enable),並套用包含 IPS, AntiVirus, Application Control 的 UTP Profile 47
  • 策略 2 (嚴格隔離訪客網路):
  • 來源介面/VLAN: Guest_VLAN
  • 目的介面/VLAN: OA_VLAN, ServerFarm_VLAN, MGMT_VLAN, Surveillance_VLAN (可建立一個包含所有內部 VLAN 的 Zone 或 Group)
  • 來源位址: ALL
  • 目的位址: ALL
  • 服務: ALL
  • 動作: Deny
  • 記錄違規流量: 啟用 (Enable),以便稽核。
  • 說明: 這是最重要的安全策略之一,它從根本上杜絕了訪客橫向移動到任何內部網路的可能性。
  • 策略 3 (訪客網際網路存取):
  • 來源介面/VLAN: Guest_VLAN
  • 目的介面/VLAN: WAN_Interface (您的外部網路介面)
  • 來源位址: Guest_Network_Object
  • 目的位址: ALL
  • 服務: DNS, HTTP, HTTPS
  • 動作: Accept
  • NAT: 啟用 (Enable) 48
  • 安全配置文件: 啟用 (Enable),至少套用網頁過濾 (Web Filter) 與應用程式控管 (Application Control)。
  • 策略 4 (隔離監控網路):
  • 與策略 2 類似,創建一條規則,Deny 所有從 Surveillance_VLAN 到其他任何內部 VLAN 的流量。
  • 策略 5 (允許監控設備校時):
  • 創建一條特定規則,允許 Surveillance_VLAN 的設備(NVR、攝影機)訪問外部網路的 NTP (網路時間協定) 服務,以確保時間同步。

策略邏輯參考來源:40

5.4. 安全訪客網路實施

為訪客提供安全、隔離且易於管理的 Wi-Fi 是現代企業的標準需求。在 FortiGate 架構下,您可以實現一個非常完善的訪客網路。

  1. SSID 創建與 VLAN 綁定: 在 FortiGate 的無線控制器中,創建一個專用的 SSID(例如 CompanyName_Guest),並在設定中將其直接橋接到您先前創建的 Guest_VLAN 51
  2. 強制網路門戶 (Captive Portal): 在該 SSID 的安全設定中,啟用「強制網路門戶 (Captive Portal)」功能 48。您可以選擇多種模式:
  • 免責聲明: 使用者只需閱讀並同意使用條款即可上網。
  • 本地帳號認證: 由管理員預先創建臨時的訪客帳號密碼。
  • Email 註冊: 訪客需提供 Email 地址以獲取存取權限。
    這不僅提供了一層存取控制,也增加了使用者行為的可追溯性。
  1. 安全隔離: 再次強調,策略 2 (嚴格隔離訪客網路) 是訪客網路安全的基石。務必確保該「Deny」策略的優先級高於任何可能允許跨 VLAN 通訊的規則,以防止任何形式的未授權存取。

第六節:總體擁有成本 (TCO) 與擴充性分析

一個全面的決策不僅要考慮當下的效能,還必須評估長期的財務投入與未來的擴充彈性。

6.1. 投資成本分析

以下成本分析基於公開的國際市場價格,最終報價應向台灣本地授權代理商索取。成本包含硬體設備以及為期三年的 UTP (Unified Threat Protection) 安全授權綁定包,這是實現完整安全防護所必需的。

  • FortiGate FG-60F (3年UTP綁定包):
  • 型號代碼:FG-60F-BDL-950-36
  • 預估市場價格:約 $1,200 – $1,600 美元 55
  • FortiGate FG-80F (3年UTP綁定包):
  • 型號代碼:FG-80F-BDL-950-36 (類似型號)
  • 預估市場價格:約 $3,300 – $3,500 美元 55

6.2. 非線性的成本與效能曲線

從上述價格可以看出一個關鍵現象:FG-80F 的成本遠不止比 FG-60F 稍貴。

  1. 成本增幅: FG-80F 的總體擁有成本大約是 FG-60F 的 2.2 到 2.7 倍,增幅超過 100%。
  2. 效能增幅: 在最關鍵的「威脅防護吞吐量」指標上,FG-80F (900 Mbps) 相較於 FG-60F (700 Mbps) 的效能提升約為 28.6%
  3. 資源增幅: 雖然 FG-80F 的並發連線數是 FG-60F 的兩倍多,但對於僅有 30 餘台設備的環境而言,FG-60F 的 70 萬個連線數已經是天文數字,遠遠超出實際需求。

綜合來看,選擇 FG-80F 意味著您需要支付超過一倍的溢價,來換取約 28.6% 的核心安全效能提升,以及目前可能用不到的 SFP 光纖埠。從純粹的「性價比」角度分析,FG-60F 在此應用場景中提供了壓倒性的價值優勢。FG-80F 的高昂價格,更多是為其更大的擴充潛力與介面靈活性支付的「未來保險費」。

6.3. 未來擴充性與可擴展性

  • FortiGate FG-60F: 這是一款為中小型企業「量身定做」的設備。它足以支持公司成長至 50-75 名員工的規模,並能輕鬆應對 1 Gbps 的網際網路連線 23。基於您目前的環境,FG-60F 能夠提供未來 3 到 5 年穩健可靠的服務,是一個「恰到好處 (right-sized)」的選擇。
  • FortiGate FG-80F: 這款設備提供了更長遠的擴充路徑。它能應對超過 75 名員工的環境、導入 Multi-Gigabit 等級的超高速網路,或是滿足前述的光纖主幹網部署需求。如果貴公司有非常明確且即將發生的快速擴張計畫,FG-80F 是一個「一次到位 (buy once, cry once)」的選擇,可以避免在可預見的未來進行二次升級。

第七節:最終建議與實施路線圖

7.1. 最終建議

綜合以上所有技術與財務層面的分析,本報告正式建議貴公司選擇 FortiGate FG-60F 作為汰換 FG-100E 的升級設備。

此建議基於以下關鍵理由的強力支撐:

  1. 壓倒性的性價比: FG-60F 以不到 FG-80F 一半的成本,提供了足以滿足您未來數年需求的強大效能。
  2. 跨世代的效能提升: 相較於現役的 FG-100E,FG-60F 在啟用完整安全防護下的真實處理能力提升了近 2.8 倍,這將是您新網路架構最堅實的效能保障。
  3. 完全滿足需求: 無論是連接埠數量、VLAN 支援能力、還是連線數容量,FG-60F 的規格均完全符合甚至超越了您所規劃的網路藍圖。
  4. 高效的架構匹配: 您的監控系統設計極大地降低了對防火牆的負載,使得 FG-60F 的效能餘裕更為充足。

選擇 FG-60F,是將預算投入在刀口上,最大化每一分錢投資效益的明智決策。

7.2. 高階實施路線圖

為確保升級過程平穩順利,建議遵循以下高階實施步驟:

  1. 採購階段: 聯繫台灣授權代理商,購買 FortiGate FG-60F 硬體及為期至少三年的 UTP 授權綁定包 (FG-60F-BDL-950-36)。
  2. 離線預配置: 在不影響現有網路運作的情況下,將新的 FG-60F 上電並進行離線配置。根據本報告第五節的指導,完成所有五個 VLAN 子介面、DHCP 伺服器、位址物件以及核心防火牆策略的創建。
  3. 交換器配置: 在您的 TP-Link Omada 控制器中,預先設定好與新防火牆對接的 Trunk Port 以及各 VLAN 的 Access Port。
  4. 規劃維護窗口: 選擇業務影響最小的時間(如週末或夜間),安排一個明確的維護窗口進行實體設備更換。
  5. 上線切換與測試: 在維護窗口期間,將網路線路從 FG-100E 遷移至新的 FG-60F。開機後,從每個 VLAN 中選擇一台代表性設備,逐一測試其上網連線、跨 VLAN 資源存取是否正常,並驗證訪客網路的隔離性。
  6. 正式退役: 在確認新系統穩定運行 24-48 小時後,將舊的 FG-100E 設備斷電並從機櫃中移除。

7.3. 台灣地區採購與技術支援

Fortinet 在台灣擁有完善的代理與經銷體系。為獲取正式報價與專業的技術支援服務,建議您聯繫以下一家或多家授權合作夥伴:

  • 敦陽科技股份有限公司 (STI) 58
  • 聯達資訊股份有限公司 (Unicomp) 59
  • 凌群電腦 THE SYSCOM GROUP 62
  • 力麗科技股份有限公司 59
  • 群環科技股份有限公司 59
  • 技成科技 MultiCom 63

建議向多家廠商詢價,以獲得最具競爭力的價格與服務方案。他們也能在後續的安裝、配置與維護過程中,提供必要的在地支援。

參考文章

引用的著作

  1. FortiGate 100E Series Data Sheet – UTMlab, 檢索日期:7月 23, 2025, https://utmlab.com/wp-content/uploads/2017/06/Ikaria_FortiGate_100E.pdf
  2. FortiGate 100E Series Data Sheet – Corporate Armor, 檢索日期:7月 23, 2025, https://www.corporatearmor.com/wp-content/uploads/2021/03/FortiGate_100E_Series.pdf
  3. FortiGate 100E and 101E fast path architecture – Fortinet Document Library, 檢索日期:7月 23, 2025, https://docs.fortinet.com/document/fortigate/6.4.5/hardware-acceleration/719639/fortigate-100e-and-101e-fast-path-architecture
  4. Fortinet FortiGate 100E | Overview, Specs, Details – SHI, 檢索日期:7月 23, 2025, https://www.shi.com/product/43413660/Fortinet-FortiGate-100E
  5. FG-100E-BDL-950-12 Datasheet – Router-Switch.com, 檢索日期:7月 23, 2025, https://www.router-switch.com/pdf2html/pdf/fg-100e-bdl-950-12-datasheet.pdf
  6. Fortinet FortiGate 100F vs 100E – Firewalls.com, 檢索日期:7月 23, 2025, https://www.firewalls.com/blog/fortigate-100f-vs-100e/
  7. FG-100E Datasheet, 檢索日期:7月 23, 2025, https://switch-wifi.com/wp-content/uploads/2020/07/fg-100e-datasheet.pdf
  8. Fortinet FortiGate 100E Series – AVFirewalls.com, 檢索日期:7月 23, 2025, https://www.avfirewalls.com/FortiGate-100E.asp
  9. Fortinet FortiGate 100E Firewall (End of Sale/Life) – EnBITCon GmbH, 檢索日期:7月 23, 2025, https://www.enbitcon.com/shop/fortinet/fortigate-firewall/mid-range/fortinet-fortigate-100e-firewall-end-of-sale-life-fg-100e
  10. Fortinet FG-100E FortiGate 100E 7.4 Gbps 20x 1GB RJ-45 Firewall – NetworkTigers, 檢索日期:7月 23, 2025, https://www.networktigers.com/products/fg-100e-fortinet-firewall
  11. Fortinet FortiGate 100E with Enterprise Protection (EP) Bundle, 1 year – allfirewalls, 檢索日期:7月 23, 2025, https://www.allfirewalls.de/en/Brands/Fortinet/FortiGate-Firewalls/Mid-Range-Firewalls/FG-100E-BDL-811-12-Fortinet-FortiGate-100E-with-Enterprise-Protection-EP-Bundle-1-year.html
  12. Fortinet FortiGate 100E (FG-100E) | Buy for less with consulting and support – allfirewalls, 檢索日期:7月 23, 2025, https://www.allfirewalls.de/en/Brands/Fortinet/FortiGate-Firewalls/Mid-Range-Firewalls/FG-100E-Fortinet-FortiGate-100E.html
  13. FortiGate 60F Series Data Sheet, 檢索日期:7月 23, 2025, https://25396221.fs1.hubspotusercontent-eu1.net/hubfs/25396221/Security/Fortinet/Fortinet-FortiGate-60F.pdf
  14. FortiGate FortiWiFi 80F Series Data Sheet – Firewalls.com, 檢索日期:7月 23, 2025, https://www.firewalls.com/pub/media/wysiwyg/datasheets/Fortinet/fortigate-80f-series-datasheet.pdf
  15. FG-60F-BDL-950-12 Datasheet – Router-Switch.com, 檢索日期:7月 23, 2025, https://www.router-switch.com/pdf2html/pdf/fg-60f-bdl-950-12-datasheet.pdf
  16. Fortinet FortiGate 80F Next Generation Firewall Secure SD-WAN – AVFirewalls.com, 檢索日期:7月 23, 2025, https://www.avfirewalls.com/FortiGate-80F.asp
  17. FortiGate/FortiWiFi 80F Data Sheet – Nxtoffice, 檢索日期:7月 23, 2025, https://shop.nxtoffice.nl/server/multimediaserve/3241/Fortinet-fortigate-fortiwifi-80F-series-datasheet.pdf?hash=b03f1003f64c21f7968d1cdb274063d175d1267826eb6d6fdfca19737f710eea
  18. FortiGate 60F Series Data Sheet – Firewalls.com, 檢索日期:7月 23, 2025, https://www.firewalls.com/pub/media/wysiwyg/datasheets/Fortinet/FortiGate-60F.pdf
  19. FortiGate FortiWiFi 80F Series Data Sheet – ThaiPCSupport, 檢索日期:7月 23, 2025, https://www.thaipcsupport.com/assets/images/firewall/fortigate-fortiwifi-80f-series.pdf
  20. Fortinet Fortigate F-Series Firewall Comparison, 檢索日期:7月 23, 2025, https://www.firewalls.com/comparison-f-series-fortigate
  21. Fortinet FortiGate 60F Next Generation Firewall Secure SD-WAN – AVFirewalls.com, 檢索日期:7月 23, 2025, https://www.avfirewalls.com/FortiGate-60F.asp
  22. Fortinet FortiGate-80F Hardware Plus FortiCare Premium and FortiGuard Unified Threat Protection (UTP) 3 Year – FG-80F-BDL-950-36 – Firewalls.com, 檢索日期:7月 23, 2025, https://www.firewalls.com/fortinet-fortigate-80f-hardware-plus-3-year-24×7-forticare-fortiguard-unified-threat-protection-utp.html
  23. Comparing Features and Performance: Fortinet FortiGate Firewall 60F vs – SourceIT, 檢索日期:7月 23, 2025, https://sourceit.com.sg/pages/comparing-features-and-performance-fortinet-fortigate-firewall-60f-vs-80f-vs-100f-showdown
  24. Comparing the Fortigate 40F, 60F, and 80F | BALANCED+, 檢索日期:7月 23, 2025, https://balanced.plus/choosing-your-fortigate-smb-firewall-comparison-40f-60f-80f/
  25. FG-60F Datasheet: Quick Spec | PDF | Firewall (Computing) | Transport Layer Security, 檢索日期:7月 23, 2025, https://www.scribd.com/document/570058707/fg-60f-datasheet
  26. Fortinet FortiGate-80F – UTM/UTP Bundle (Hardware + Lizenz) – EnBITCon GmbH, 檢索日期:7月 23, 2025, https://www.enbitcon.com/shop/fortinet/fortigate-firewall/entry-level/fortinet-fortigate-80f-utm-utp-bundle-hardware-lizenz-fg-80f-bdl-950-12
  27. Fortinet FortiGate 60F Datasheet – Firewalls.com, 檢索日期:7月 23, 2025, https://www.firewalls.com/fortigate60f-datasheet
  28. Fortinet FortiGate 80F Firewall with Unified Threat Protection (UTP) Bundle, 1 year (Trade-up special pricing) – allfirewalls, 檢索日期:7月 23, 2025, https://www.allfirewalls.de/en/Brands/Fortinet/FortiGate-Firewalls/Entry-Level-Firewalls/FG-80F-BDL-950-12-TU-Fortinet-FortiGate-80F-Firewall-with-Unified-Threat-Protection-UTP-Bundle-1-year-Trade-up-special-pricing.html
  29. Fortinet FortiGate Entry Level Solutions – AVFirewalls.com, 檢索日期:7月 23, 2025, https://www.avfirewalls.com/FortiGate-Entry-Level.asp
  30. FG-80F Datasheet – Router-Switch.com, 檢索日期:7月 23, 2025, https://www.router-switch.com/pdf2html/pdf/fg-80f-datasheet.pdf
  31. Understanding Firewall Throughput: An Analysis – Tufin, 檢索日期:7月 23, 2025, https://www.tufin.com/blog/understanding-firewall-throughput-analysis
  32. Solved: Inter Vlan Routing on a Fortigate – Fortinet Community, 檢索日期:7月 23, 2025, https://community.fortinet.com/t5/Support-Forum/Inter-Vlan-Routing-on-a-Fortigate/td-p/223556
  33. Fortigate Routing Performance : r/fortinet – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/fortinet/comments/6mcw0k/fortigate_routing_performance/
  34. Understanding Bitrate, Frame Rate, and Resolution in Security Cameras – Montavue, 檢索日期:7月 23, 2025, https://montavue.com/blogs/news/understanding-bitrate-frame-rate-and-resolution-in-security-cameras
  35. IC Realtime – Recommended Resolution/Bit Rate/Frame Rate – Reference Guide, 檢索日期:7月 23, 2025, https://knowledge.ic.plus/ic-realtime-resolution/bit-rate/frame-rate-reference-guide
  36. IP Camera Bitrate and Compression: Not All Same Resolution Cameras Have the Same Resolution Video – SCW cameras, 檢索日期:7月 23, 2025, https://www.getscw.com/knowledge-base/camera-bitrate-compression
  37. Bit rate question : r/Hikvision – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/Hikvision/comments/1cp3cz4/bit_rate_question/
  38. What is a 5MP Security Camera? Everything You Need to Know – Eufy, 檢索日期:7月 23, 2025, https://www.eufy.com/blogs/security-camera/5mp-security-camera
  39. How to configure FortiGate for VLANs and Inter-VLAN Routing. – YouTube, 檢索日期:7月 23, 2025, https://www.youtube.com/watch?v=4cQBk9dGb_Y&pp=0gcJCfcAhR29_xXO
  40. VLAN | FortiGate / FortiOS 7.6.1 – Fortinet Document Library, 檢索日期:7月 23, 2025, https://docs.fortinet.com/document/fortigate/7.6.1/administration-guide/402940/vlans
  41. Configure Inter-VLAN Routing – Fortinet Community – the Fortinet …, 檢索日期:7月 23, 2025, https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-Inter-VLAN-Routing/ta-p/275524
  42. How to configure 802.1Q VLAN on TP-Link Easy Smart/Unmanaged …, 檢索日期:7月 23, 2025, https://www.tp-link.com/us/support/faq/788/
  43. TP-Link Switch VLAN Setup – Tagged vs Untagged Ports – YouTube, 檢索日期:7月 23, 2025, https://m.youtube.com/watch?v=4JNptgMWUi0&pp=ygUMI3RwbGlua184NDBu
  44. CREATE WIFI OMADA NETWORK WITH FORTIGATE FIREWALL : r/TPLink_Omada – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/TPLink_Omada/comments/1i5x6gc/create_wifi_omada_network_with_fortigate_firewall/
  45. SG3428X VLANs and Routing : r/TPLink_Omada – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/TPLink_Omada/comments/1fczt67/sg3428x_vlans_and_routing/
  46. How to Do Internal Segmentation with a FortiGate | Mirazon, 檢索日期:7月 23, 2025, https://www.mirazon.com/internal-segmentation-fortigate/
  47. Best practice FireWall Rules vLan & LAN : r/opnsense – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/opnsense/comments/stfm8k/best_practice_firewall_rules_vlan_lan/
  48. How to Set Up a Secure Guest WiFi Portal with FortiGate and FortiAP – Thessog, 檢索日期:7月 23, 2025, https://thessog.com/how-to-set-up-a-secure-guest-wifi-portal-with-fortigate-and-fortiap
  49. Solved: Segmenting our Network – the Fortinet Community!, 檢索日期:7月 23, 2025, https://community.fortinet.com/t5/Support-Forum/Segmenting-our-Network/td-p/286420
  50. Fortigate: Best Practice for VLANs and Firewall Policy? : r/fortinet – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/fortinet/comments/109fsg9/fortigate_best_practice_for_vlans_and_firewall/
  51. Guest WiFi accounts | FortiGate / FortiOS 5.4.0 – Fortinet Document Library, 檢索日期:7月 23, 2025, https://docs.fortinet.com/document/fortigate/5.4.0/cookbook/92595/guest-wifi-accounts
  52. Authenticating guest WiFi users | FortiAP / FortiWiFi 7.6.3 – Fortinet Document Library, 檢索日期:7月 23, 2025, https://docs.fortinet.com/document/fortiap/7.6.3/fortiwifi-and-fortiap-configuration-guide/857241/authenticating-guest-wifi-users
  53. Configuring a captive portal | Fortinet GURU, 檢索日期:7月 23, 2025, https://www.fortinetguru.com/2016/07/configuring-a-captive-portal/
  54. Guest User Management | FortiAP / FortiWiFi 7.0.0 – Fortinet Document Library, 檢索日期:7月 23, 2025, https://docs.fortinet.com/document/fortiap/7.0.0/campus-wlan-architecture-guide/20799/guest-user-management
  55. Fortigate 60F vs 80F vs 100F : r/fortinet – Reddit, 檢索日期:7月 23, 2025, https://www.reddit.com/r/fortinet/comments/1bgk13z/fortigate_60f_vs_80f_vs_100f/
  56. Fortinet FortiGate 60F – security appliance – with 3 years 24×7 FortiCare and FortiGuard Unified (UTM) Protection – FG-60F-BDL-950-36 – Firewalls & VPN – CDW, 檢索日期:7月 23, 2025, https://www.cdw.com/product/fortinet-fortigate-60f-security-appliance-with-3-years-24×7-forticare-a/5827190
  57. Fortinet FortiGate 80F – security appliance – with 3 years 24×7 FortiCare and FortiGuard Unified (UTM) Protection – FG-80F-BDL-950-36 – Firewalls & VPN – CDW, 檢索日期:7月 23, 2025, https://www.cdw.com/product/fortinet-fortigate-80f-security-appliance-with-3-years-24×7-forticare-a/6191064
  58. Fortinet – 敦陽科技股份有限公司, 檢索日期:7月 23, 2025, https://www.sti.com.tw/fortinet
  59. 代理商資訊– Fortinet Taiwan, 檢索日期:7月 23, 2025, https://m.fortinet.com.tw/agent-info/
  60. Fortinet – Unicomp 聯達資訊股份有限公司, 檢索日期:7月 23, 2025, https://www.unicomp.com.tw/category-list.php?num=312
  61. Unicomp 聯達資訊股份有限公司, 檢索日期:7月 23, 2025, https://www.unicomp.com.tw/
  62. 代理產品 – 凌群電腦THE SYSCOM GROUP, 檢索日期:7月 23, 2025, https://www.syscom.com.tw/Products_Agent_Detail.aspx?id=53
  63. Fortinet – 技成科技MultiCom, 檢索日期:7月 23, 2025, https://www.mcsi.com.tw/product/fortinet/

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

返回頂端