一、核心功能分类矩阵
| 功能大类 | 具体子功能 | 是否基础自带 | 是否需额外授权 |
|---|---|---|---|
| 基础防火墙 | 状态检测防火墙、路由/透明/混合模式、静态路由、策略路由、IPv4/IPv6、SNAT/DNAT/双向NAT、接口安全域划分 | 是 | 否 |
| 接入VPN | IPsec站点到站点、IPsec远程接入、SSL VPN、L2TP、GRE隧道 | 是 | SSL VPN用户数需授权 |
| 应用控制 | 全网应用识别、应用策略管控、流量封堵/限流、协议管控 | 是 | 需应用控制授权 |
| 安全防护 | 入侵防御IPS、漏洞攻击拦截、僵尸网络/挖矿流量防护 | 否 | 需IPS特征库授权 |
| 内容安全 | 网页URL过滤、HTTPS解密审计、恶意域名拦截 | 否 | 需Web过滤授权 |
| 威胁防护 | 防病毒、反勒索、文件过滤、邮件安全防护 | 否 | 需防病毒授权 |
| 认证准入 | 本地账号、LDAP/Radius/AD域认证、8002.1X、双因素认证 | 是 | 双因素高级功能需授权 |
| 运维管理 | 本地Web/CLI、FortiManager集中管理、日志本地存储 | 是 | 对接FortiAnalyzer日志集中需订阅 |
| 虚拟化特性 | KVM标准镜像、VirtIO网卡/磁盘、虚拟机克隆、热迁移 | 是 | 否 |
| 性能加速 | SR-IOV网卡直通、DPDK报文加速、vNP虚拟化卸载 | 是 | 高吞吐性能许可需扩容授权 |
| 高可用HA | FGCP集群、会话同步、主备故障自动切换 | 是 | 否 |
| 安全Fabric | 与FortiClient、FortiSwitch、FortiAP全网联动 | 是 | 终端联动需FortiClient授权 |
| 合规审计 | 等保2.0合规模板、流量审计、行为日志、报表 | 是 | 高级合规报表需安全订阅包 |
二、授权订阅包对应关系
- 基础版:基础防火墙、路由NAT、IPsec VPN、HA、KVM虚拟化底层能力
- UTM全包订阅:防病毒+IPS+Web过滤+应用控制+域名安全,中小企业常用一站式授权
- 高级订阅:高级威胁防护、沙箱检测、云端威胁情报、零信任访问、合规高级报表
- 容量类授权:SSL VPN并发用户数、防火墙吞吐带宽配额、虚拟节点扩容授权
三、KVM部署硬件资源最低/推荐配置
| 规格项 | 最低配置 | 企业推荐配置 |
|---|---|---|
| vCPU | 2核 | 4核~8核(开启IPS/AV建议8核起) |
| 内存 | 4GB | 8GB~16GB |
| 磁盘 | 20GB 精简置备 | 60GB+ 高性能SSD(日志留存) |
| 网卡 | VirtIO 千兆 | 多口千兆/万兆、支持SR-IOV直通 |
| 系统环境 | CentOS7/8、Ubuntu KVM | 标准x86_64服务器、开启虚拟化Intel VT-x/AMD-V |
四、FGT-KVM独有优势(区别硬件FGT)
- 无硬件机箱限制,可随KVM虚拟机快速克隆、迁移、扩容
- 支持SR-IOV/DPDK加速,性能接近物理防火墙
- 适合私有云、虚拟化数据中心、分支机构极简部署,节省硬件采购成本
- 完全兼容FortiOS全部命令和策略,配置可和物理防火墙一键迁移