Não defendendo o linux ou qualquer um, e sim para tentar deixar um pouco mais claro.
Praticamente todos UTM roda um SO dentro dele o qual é responsável por uma boa parte da sua capacidade e desempenho,
Comparar a troca de um linux com iptable com um UTM e como querer comparar Laranja com maça, iptables é uma função realizada por um UTM.
Agora se vc quer segurança uma solução baseada em BSD é muito melhor ( lembrando BSD e baseado em unix e não linux).
No caso da solução Fortinet, e obvio que um equipamento e um software configurado projetado para uma operação especifica seja melhor que uma solução genérica.
MAS DEIXANDO BEM CLARO Fortinet usa um S.O. Chamado de FORTIOS o qual não é um Linux mesmo é um desentende del baseado nele usa seu núcleo ou kernel, antes que falem que não e tudo mais alguns especialistas a empresas da Fortinet foi processada por quebra GPL por usa linux e não divulgar isso ou pior falar que não tem nada de linux.
DAR o Mérito da qualidade e eficiência do equipamento e valido mais não por desmérito de outro como o Linux, que compõe o próprio equipamento.
USe um linux com interface web fica bonitinho, configure e recopile um kernel especifico para o que vc quer com as devidas ferramentas de IPS e tudo mais como bem lembrado hoje um sistema de segurança não é mais controla porta (Qual quer SO faz mais que isso, lembrando um SO trabalha da camada 2 a 7 tranquilamente),
lembrando não instale ele naque PC velho montado com nao sei que peças o qual não foi feito para isso, placa de rede com buffer baixo, isso torna o sistema ruim

Novamente só para deixar um pouco mais claro e nao tirar os mérito e nao comparar laranja com maça.

Para quem quiser pode ver o termo de violação no link abaixo, lembrando a GPL é umas das maiores certificação que existe
http://gpl-violations.org/news/20050414-fortinet-injunction.html

abracos

Experimente e vera.

Estou numa empresa que utiliza o UTM Fortinet, e com isso, estou querendo estudar um pouco esse produto. Entao lhe pergunto se voce tem material de configuração e afins, livro, alguma coisa que de para estudar essa ferramenta. ex_mar@hotmail.com

Sds

Também vim parar no seu Blog por acaso, sou analista de segurança e trabalho com várias soluções para este segmento. Sou certificado Fortinet e trabalho com implantações do produto. A solução é muito boa e está crescendo bastante no Brasil, parabéns pela aquisição e pelo modo de pensar na comparação Linux x UTM. Boa sorte e sucesso!

Abs,
Celso

Tive também este tipo de problema, você de colocar uma regra no seu Fortigate de Wan to Wan, permetindo a Internet. Ou configurar o gateway de saida da sua conexão VPN para sua internet local.

Eduardo

Tenho certeza que isto é possivel fazer, ampos falam IPSec, Server to server, Você habilitou a regra no Firewall? Policy!

Eduardo

Obrigada.

Este aquivo VPL esta toda configuração necessaria, criptografada, no entando, você ira precisar do FortiClient e importa este arquivo, assim você conseguirar ver toda configuração, menos a senha.

Abraços
Eduardo

Tenho o mesmo pensamento…. Obrigado pelo comentário.

Eduardo

Assim como o colega Patrick Duglay, também vim parar no seu blog por acaso… E parabenizo-o pela página.

Sou profissional de informática há 24 anos, e já implantei e administrei várias soluções de redes — inclusive segurança: ISS, Cisco, SonicWall, Barracuda, FortiGate, Astaro, CheckPoint, Juniper… além de soluções UTM em software, baseadas em Linux: Endian (também disponível em Appliance), Untangle, ClarkConnect, SecurePoint (também em Appliance) dentre outras — além, é claro, do nosso amigo ISA Server… E, por fim, sim!, eu já usei IPTables/Netfilter…

Depois de toda essa experiência tenho a dizer que os firewalls modernos não podem, simplesmente, abrir ou fechar portas. Não basta configurar comandos do tipo “iptables -A FORWARD -p tcp –dport PORTA-X -i eth1 -j DROP”… Isso, hoje, é pouco, face às ameaças cibernéticas! Como o colega Patrick afirmou o IPTables é filtro de pacotes; isto é, firewall de camada 3. Hoje os firewalls têm que suportar análises na Camada de Aplicação, de modo a verificar e filtrar o que estiver passando pelas portas abertas, e prevenir possíveis “exploitations” nos servidores. Ou seja, não basta abrir portas — há que se saber o que está passando por elas! Há que se ter IDS, IPS e (o novo conceito de) ADS – Anomaly-based Intrusion Detection System, um sistema baseado em heurísticas e/ou regras, que detecta comportamento anômalo no sistema ou na rede…

O equipamento que você adquiriu é um UTM. E UTM (Unified Threat Management – ou “gerenciamento unificado de ameaças”) é, como o nome já sugere,uma solução que unifica várias tecnologias de segurança, em conjunto com tecnologias de roteamento, gerenciamento de conexões, monitoramento de tráfego, análise de pacotes, e outras funções — incluindo suporte aos protocolo VoIP, e, claro, acessos VPN. Mas no horizonte já surge um NOVO conceito de segurança, o XTM (eXtensible Threat Management), que vem a ser uma evolução do UTM, com novas “features” necessárias à gerência de segurança/conexões de redes.

Recomendo que você leia o seguinte artigo sobre um teste feito com UTM’s em 2007 (incluindo o FortiGate; no caso, o modelo 3600A), e os resultados obtidos. Acesse: http://www.networkworld.com/reviews/2007/111207-utm-firewall-test.html

Que fique bastante claro que eu não tenho NADA contra o Linux! Mas como profissional de redes e segurança, considero que o IPTables, sozinho (sem a companhia de outras soluções mais eficientes, principalmente de Camada 7), não é mais sinônimo de segurança. E convido você a conhecer outras soluções UTM baseadas em Linux. Elas também têm interface simplificada de configuração e administração, e são gratuitas. Eu sei que, já que você fez o investimento no FortiGate, obviamente não vai trocá-lo por essas soluções, mas vale como conhecimento e curiosidade…

Sucesso e abraços.

Abraços

Hoje, executamos vários outros serviços que essas soluções fechadas não oferecem, ou seja, temos toda a flexibilidade que uma distribuição Linux comum oferece, além de um maior entendimento das ferramentas utilizadas, já que todo o desenvolvimento e configuração foram feitos por nós, e a vantagem de não precisar pagar nenhuma taxa de licença/manutenção.

Sem contar que tivemos a oportunidade impar de aprimorar bastante nossos conhecimentos na plataforma Linux e em seus serviços, o que não aconteceria se ainda estivéssemos utilizando o BRmultiaccess.

Não sou contra a utilização de soluções fechadas, em alguns casos acho até interessante, mas isso poda bastante a criatividade e o aprendizado do administrador da rede.

Ah! O FortiGate, assim como o BRmultiaccess, é executado sobre o Linux, ou seja, é uma distribuição Linux dedicada. Acho muito provável que deva utilizar as mesmas ferramentas livres que temos disponíveis em uma distribuição comum: iptables, squid, postfix, sendmail, apache, snort, openVpn, PHP, MySQL etc.