作者: s84292 時間: 2026-5-13 19:41 標題: 有咩公司firewall router 推薦
本帖最後由 s84292 於 2026-5-13 11:55 編輯
一直用開fortinet已經用左6年
FortiGate 80F 買左兩次(續三年約貴過買一部新連三年kit)
一直都相安無事,仲有3個月到期
想話升級可以支持到雙2.5gbps sd-wan , 但見到120g個價錢...
我覺得太貴(由機連三年全套防護18k變6x k,剩係隻router)
有冇咩好推薦?
Netgate 6100 pfSense+ 買唔買得過?
其實冇咩特別要求,做到普通監控、基本企業防火牆轉發dmz區+ips+av掃瞄,vpn都唔需要
電腦/手機/ipad 大約就500-600
最好有10g sfp+ 同10gbps/2.5gbps rj45, 而且自由轉指派wan同lan就最好
作者: raywan 時間: 2026-5-13 23:11
本帖最後由 raywan 於 2026-5-13 15:12 編輯
一直用開fortinet已經用左6年
FortiGate 80F 買左兩次(續三年約貴過買一部新連三年kit)
一直都相安無事,仲 ...
s84292 發表於 2026-5-13 11:41
如果你考慮得netgate,不如淘工控機,再比錢買subscription仲好過,成本效益再多幾十倍,netgate hardware唔係好勁,主要係普通atom cpu+coreboot (BIOS),但係親生仔一定會tune到最好比用家,相反淘工控機,大把好既hardware選擇,鐘意咩spec就用咩spec,用到好先比錢join subscription都得,唔比錢又得,用devloper version
Fortinet本人就唔多鐘意,呢幾年成日都有重大事故,成日比祖國hacker攻擊,反觀,pfsense/opnsense就好少聽過出事
pfsense + opnsense + ddwrt用家路過
keywords cwwk,工控機
作者: hithand 時間: 2026-5-13 23:18
回覆 1# s84292
80F轉90G已經快左, 唔使120G咁貴
via HKEPC IR 5.1.14 - iOS(5.1.1F)
作者: s84292 時間: 2026-5-13 23:25
本帖最後由 s84292 於 2026-5-13 15:34 編輯
如果你考慮得netgate,不如淘工控機,再比錢買subscription仲好過,成本效益再多幾十倍,netgate hardw ...
raywan 發表於 2026-5-13 15:11
公司野,我唔會考慮淘寶
有保養比較重要,萬一有人搞下一手都可以跟
同工控機難免lan 同sfp+方面會可能比較多小毛病同network bug, 我好多唔同牌子的dac 同switch要駁
到時有問題要自己搞好花時間, 買成套有人跟
Fortinet我除左價錢之外,我其實冇意見
SD WAN 好好用,介面同報告都好詳細,佢個network website db更新得好密好齊,分類又齊又多,非常的方便
vpn 果d 好穩定好容易set
因為我平時連政府平台,政府都係Fortinet vpn,我反而方便d 少裝個認證app
穩定性又高,雖然真係有時有0 day bug,但佢地更新都好快半day就有緊急更新,而且是自動更新
但越加越貴,依家公司要節衣縮食,實在沒辦法
作者: s84292 時間: 2026-5-13 23:27
本帖最後由 s84292 於 2026-5-13 15:35 編輯
回覆 s84292
80F轉90G已經快左, 唔使120G咁貴
via HKEPC IR 5.1.14 - iOS(5.1.1F)
hithand 發表於 2026-5-13 15:18
90G唔夠快,兩條2.5G 會拉唔到,總共加埋最多2.2Gbps
fortinet 佢fw鎖得好精確,佢spec寫幾多就幾多,唔會突的,我隻80f拉爆1gb佢cpu都唔過20%
相反我另外個隻unifi udm pro, 1.5gbps cpu已經爆90% (不過應該因為冇硬件加速)
作者: raywan 時間: 2026-5-13 23:59
公司野,我唔會考慮淘寶
有保養比較重要,萬一有人搞下一手都可以跟
同工控機難免lan 同sfp+方面會可能比 ...
s84292 發表於 2026-5-13 15:25
你不如考慮下opnsense hardware firewall,opnsense update/bug fix好過pfsense好多,firewall功能同pfsense一樣,opnsense community比pfsense大,support比較好
仲有opnsense hardware選擇多過pfsense,pfsense近年主力推佢自己O個套TNSR,hardware來來去去都係個5部hardware firewall,反觀opnsense hardware多好多選擇,3rd party hardware support仲好過netgate
https://shop.opnsense.com/
作者: s84292 時間: 2026-5-14 08:08
本帖最後由 s84292 於 2026-5-14 00:52 編輯
你不如考慮下opnsense hardware firewall,opnsense update/bug fix好過pfsense好多,firewall功能同pfsens ...
raywan 發表於 2026-5-13 15:59
opnsense我睇緊,opensense官方出個隻香港冇見到有代理
O字牌子D port 唔齊
買隻Minisforum MS-01 WorkStation裝opnsense 唔知有冇搞頭
2個SFP+ 同2個2.5GBPS 岩岩夠
12600H+裝條16GB RAM+256GB SSD 應該點都夠
不過唔知opnsense會唔會因為大細核出BUG
但傳統UTM FIREWALL 始終可以保養簽3-6年仲有上門,好難取捨
一係買多部做備援,到時壞左買部新
不過冇玩過opnsense,可能要搵部VM 試下,
驚唔識搞IP POOL 個類(我16個WAN IP中有12個IP比幾百部機SHARE做出口IP,系統自己配對)
https://i.shgcdn.com/17d22188-7c ... /-/quality/lighter/
作者: fakeman 時間: 2026-5-14 09:13
如果你考慮得netgate,不如淘工控機,再比錢買subscription仲好過,成本效益再多幾十倍,netgate hardw ...
raywan 發表於 2026-5-13 23:11
果粒 ATOM 係 server grade,有 QAT support 同埋 native 10GbE
大陸工控機好多冇 BIOS update 有 D 麻煩,不過 3rd party 的話可以考慮 Protectli,佢都有 coreboot support
作者: fakeman 時間: 2026-5-14 09:16
opnsense我睇緊,opensense官方出個隻香港冇見到有代理
O字牌子D port 唔齊
買隻Minisforum MS-01 WorkS ...
s84292 發表於 2026-5-14 08:08
試吓去 eBay 果 D 搵下 Dell Edge 620/640 之類 SD-WAN 系列,特別係 640,有 10G SFP+,用 serial console 可以轉 OS(OpenWrt team 已經有人玩緊),OPNsense 一樣裝到
作者: s84292 時間: 2026-5-14 09:34
本帖最後由 s84292 於 2026-5-14 01:40 編輯
果粒 ATOM 係 server grade,有 QAT support 同埋 native 10GbE
大陸工控機好多冇 BIOS update 有 ...
fakeman 發表於 2026-5-14 01:13
Protectli睇落又幾好,有齊我要的野
又可以預裝好OPNsense 25.7
買部Vault Pro VP6630 – Intel i5 1235U (i3 1215U 好似太廢了,驚頂唔住運算量)
4個2.5Gbps 2個SFP+ 10Gbps 應該夠用
只做firewall 16GB ram 同512GB SSD 應該都超標
作者: mxmxm 時間: 2026-5-14 12:20
公司野起碼都 AMD EPYC 啦
作者: hithand 時間: 2026-5-14 14:05
回覆 5# s84292
firewall throughput 唔係咁死嘅, 要睇你行幾多policy,用咩profile(IPS/AV/SSL inspection)唔同嘅, 你睇返fortinet d product sheet, 佢有寫佢ref throughput係行咩得出黎
同你2.5g x2 行sd wan, 唔係行aggregate 唔會變5g. 同用你個計法120g都唔夠你用, 用threat protection計90g 2.2Gbps, 120g 2.8Gbps.
不過夠唔夠用真係睇需要, 或者可以問吓sales
via HKEPC IR 5.1.14 - iOS(5.1.1F)
作者: s84292 時間: 2026-5-14 15:43
本帖最後由 s84292 於 2026-5-14 07:47 編輯
回覆 s84292
firewall throughput 唔係咁死嘅, 要睇你行幾多policy,用咩profile(IPS/AV/SSL inspection) ...
hithand 發表於 2026-5-14 06:05
我行兩條獨立WAN的,唔同水同唔同WAN IP組
SD WAN Load Balancing 到5Gbps(單一連線2.5Gbps上限)
其他廠唔知,80F 佢係throughput NAT 1GBPS,我試過2 WAN 同時拉就係1Gbps,1KB都冇多
最後都係分返兩隻做
作者: hithand 時間: 2026-5-14 17:50
回覆 13# s84292
load balancing =/= link aggregation, 唔會2.5g+2.5g->5g
fortigate 個load balance係more on HA, resilience, 同一個device比較難試到>1g, 要再睇吓你個load balance set左咩mode
via HKEPC IR 5.1.14 - iOS(5.1.1F)
作者: s84292 時間: 2026-5-14 22:46
回覆 s84292
load balancing =/= link aggregation, 唔會2.5g+2.5g->5g
fortigate 個load balance係more ...
hithand 發表於 2026-5-14 09:50
我個SETTING 類似就係 IP 1-100 經WAN 1出,IP 101-200 經WAN 2出
我試左總和就係1Gbps, wan1 出950, wan2 就只有50
借左另一隻高一級的Fortinet FortiGate 100F相同setting 就去到1.6 Gbps
同佢講個NGFW Throughput相約
畢竟出得街就開晒全套防護
作者: hithand 時間: 2026-5-15 10:03
回覆 15# s84292
我叫AI整左個throughput 同著左咩嘅table, 如果真係咩都著晒80F得715Mbps, 你試到1Gbps已經快過個reference
唔同人有唔同需要, 睇要著咩功能諗夠唔夠用
[attach]2525706[/attach]
via HKEPC IR 5.1.14 - iOS(5.1.1F)
作者: raywan 時間: 2026-5-15 15:25
本帖最後由 raywan 於 2026-5-15 07:27 編輯
回覆 s84292
我叫AI整左個throughput 同著左咩嘅table, 如果真係咩都著晒80F得715Mbps, 你試到1Gbps已經 ...
hithand 發表於 2026-5-15 02:03
其實呢度有無師兄玩開firewall可以分享下non-open source firewall同fortinet/CISCO/Palo firewall,有O的咩功能係open source firewall做唔到 ?
我近呢幾年都係玩開Opnsense,來來去去都係IDS/IPS+Bad IP blocklist+DNS over QUIC,Ads filtering,已經無咩新意好玩,又想唔到咩新野可以用盡隻firewall resource,e.g 用盡32GB ram cache曬日常睇website/data,anti-virus,
作者: s84292 時間: 2026-5-20 10:55
回覆 s84292
我叫AI整左個throughput 同著左咩嘅table, 如果真係咩都著晒80F得715Mbps, 你試到1Gbps已經 ...
hithand 發表於 2026-5-15 02:03
我著左NGFW 個檔,就係岩岩好1gbps
作者: tongziv 時間: 2026-5-20 11:23
FORTI係外國野來講最平最穩定,防禦能力好既產品
唔用佢咁試下深信服囉~
Cisco難用
Palo仲貴
華為一樣難用同貴