NGFW解决方案

内部网络微分段

业务典型问题

•  数据中心和办公网内网流量大，业务可靠性要求极高，X86架构防火墙难以满足高性能转发要求
•  传统防火墙单会话处理能力低，易造成CPU负载过高，影响业务稳定
•  威胁通常隐藏在加密流量中，TLS/SSL加解密极大耗费CPU性能
•  IPv6的演进，需要完整的IPv6功能支持
• 仅4层（网络和传输）或仅7层（应用）安全防护过于片面，无法灵活应对数据中心的复杂网络和应用策略控制要求

 

解决思路

• 部署行业领先的高性能架构防火墙
• 评估TLS/SSL加解密性能
• 评估IPv6和动态路由协议功能丰富度
• 评估4/7层安全策略灵活控制能力

 

方案特点

• ASIC架构超低延迟超大容量内网隔离防火墙，集成专用硬件加速芯片（专利）
• 硬件加速 – 网络加速芯片：微秒级数据包转发，高吞吐率，适配数据中心大规模东西向流量转发场景
• 硬件加速 – 内容加速芯片：TLS/SSL加解密、IPS检测等高性能内容处理能力，高效率卸载CPU负载
• 端到端网络分段，可通过VXLAN和L4防火墙进行物理和虚拟网络微分段
• 全面丰富的IPv6和动态路由协议功能
• 基于IP、服务、应用等维度灵活选择4层防火墙策略或者
• AI/ML驱动，领先的高级威胁防御能力，防止风险横向扩散
• 集成沙箱和NDR等方案实现高效率未知威胁防御

 

方案产品

FortiGate

 

 

 

上网统一安全管控（边界防火墙）

业务典型问题

• 数字化转型快速推进，网络威胁数量不断增加，攻击面广泛，攻击来源复杂，企业面临的安全威胁日益严峻
• 企业员工缺少IT专业技能，信息安全风险意识薄弱，难以识别信息安全威胁
• 企业规模扩张，老旧的防火墙在安全性和性能方面都不足以应对业务发展
• 网络应用访问量增大，类型增多，企业需要对员工的网络访问进行合规审计
• 数据中心业务多，访问量大，访问频率高，对安全设备的可靠性、稳定性以及性能要求非常高

 

解决思路

•  企业边界采用高级威胁防御方案
•  选择高性能高可靠产品
•  基于源、目的、应用等多维度进行审计

 

方案特点

•  高效防护，领先的IPS、恶意软件防御、应用控制、URL&DNS过滤
•  快速响应的威胁情报服务，安全和应用特征库高频率动态更新
•  集成沙箱和NDR等方案实现高效率未知威胁防御
•  高性能硬件芯片加速，有效卸载CPU负载，保障大规模部署的高可靠性
•  网络加速芯片保障数据包微秒级低延迟高速转发
•  丰富的动态路由协议支持
•  

方案产品

•  FortiGate
•  FortiManager & FortiAnalyzer

 

统一威胁防护

•  入侵防御
•  恶意软件防御
•  应用控制
•  URL&DNS过滤

 

 

SD-WAN解决方案——出海及分支总部互联

业务典型问题

•  多链路出口的带宽分配不合理：传统路由选择方式易导致某些链路带宽占用率高，其余链路又相对空闲，资源利用效率低
•  线路成本高：专线负担过重，需要不断提升专线带宽，线路持续投入成本过高
•  故障恢复慢：链路发生故障时，切换速度慢，业务恢复等待时间长，影响正常的生产业务
•  边界安全防护需要额外的安全设备，导致网络部署复杂，设备和运维成本升高

 

解决思路

•  采用基于业务应用动态分流的WAN方案
•  根据链路质量，动态调整出口链路选择
•  流量控制防止突发流量占满带宽资源
•  简化部署，出口网络和安全设备合一

 

方案特点

•  根据Internet地址分类和应用特征进行分流，可以更高效利用带宽资源，保障关键应用的QoS
•  Internet地址库包含1500+类Internet服务的IP地址以及服务端口，实时动态更新
•  应用特征库包含24类4000+个应用特征，实时动态更新
•  通过网络丢包率、延迟、抖动等指标，综合判断链路质量，根据链路质量动态调整网络流量，保障关键应用QoS
•  基于源、目的地址和应用类型进行流量整形并提供关键业务的带宽保障
•  网络边界设备同时也是NGFW设备，可通过增加安全服务使用IPS、防病毒、反垃圾、应用控制和Web过滤等功能，网络和安全方案合一，显著降低部署和运维成本
•  集中的配置管理以及日志收集和分析，提供网络访问的统计报表，帮助企业有效分析网络流量

 

方案产品

•  FortiGate
•  FortiAnalyzer

 

SLA

•  动态应用分流，提升WAN链路利用效率
•  通过专线或者基于Internet的VPN连接企业异地网络
•  秒级故障切换：实时探测各链路质量（包括WAN和VPN隧道）

 

 

 

SD-Branch解决方案

分布式企业

业务典型问题

•  企业有多个分支，缺乏一致性的网络部署增加部署和运维成本
•  分支的安全能力不一致，存在业务风险隐患

 

解决思路

•  LAN和WAN网络整体规划整体部署
•  统一LAN和WAN网络的管控

 

方案特点

•  LAN侧有线和无线接入，以及SD-WAN由一套方案实现，防火墙、交换机和AP有机整合
•  标准架构，可复制性强，可快速进行新建分支的网络部署
•  各分支以及总部的NGFW安全能力一致
•  统一管理统一运维，在可视化界面内企业各分支的网络运行状况一目了然
•  

方案产品

•  FortiGate
•  FortiSwitch
•  FortiAP

 

 

 

有线&无线安全接入

业务典型问题

•  仅VLAN间隔离
•  LAN侧威胁横向扩散风险大
•  BYOD增多，威胁风险增大

 

解决思路

•  将隔离能力下沉至精细化的终端粒度
•  统一接入认证
•  统一有线无线管理
•  内网东西向流量进行IPS和防病毒保护

 

方案特点

•  将 NGFW 的特性扩展到LAN，实现内网的细粒度安全防护，防止威胁横向扩散
•  包括基本的NAC特性，降低不合规终端接入网络的安全风险
•  通过FortiLink实现敏捷的部署与管理，灵活的架构，根据需求改变弹性扩展
•  无需额外的控制器，使用防火墙即可实现对交换和AP的统一管理，降低部署和运维的复杂性

 

方案产品

•  FortiGate
•  FortiSwitch
•  FortiAP

 

 

VLAN内东西向流量隔离

通过FortiLink技术，FortiSwitch交换机和FortiAP无线的流量可以通过隧道模式进入防火

墙进行策略控制和清洗后转发至本地，实现东西向隔离

 

零信任ZTNA解决方案

远程办公

业务典型问题

• 传统的网络“边界”变得模糊，尤其在分布式或混合云的办公和应用模式下，威胁来源非常复杂，传统基于网络边界的“信任”安全模型无法满足安全要求
• 传统一次认证静态访问权限策略的准入模式，仅能实现被动的安全防御
• 终端环境处于动态变化的状态，单一的认证不能满足安全保护目的

解决思路

• 默认所有访问请求不被信任，主动防御
• 以身份、应用、资源综合判断访问权限
• 持续评估，动态控制访问权限

 

方案特点

•  以终端类型、漏洞检测、进程合规、用户身份等多角度综合判断设备信任标签
•  细粒度应用控制，对资源访问实现最小化的权限管控
•  持续进行设备权限检查，对每一次访问进行信任判断和访问控制决策与执行
•  用户和终端在网内和网外访问保持高度一致的安全性控制
•  在“零信任”基础上，对允许的访问流量进行NGFW高级威胁防御

 

方案产品

•  FortiGate
•  FortiClient & EMS
•  FortiAuthenticator
•  FortiToken

 

 

 

零信任

•  内外网访问一致性
•  设备、用户、应用综合检查，细粒度控制
•  持续评估信任合规

 

远程办公（VPN）

业务典型问题

•  远程办公员工终端以不同的方式接入互联网，远程接入内网的质量不可靠
•  终端类型多种多样，保证高兼容性的一致接入体验难度大
•  员工缺少IT技能，难以自行配置客户端，管理员工作量过大
•  内网接入接口暴露于公网，安全风险大

 

解决思路

•  客户端就近接入，优选高质量接入点
•  客户端集中管理，集中进行配置下发
•  双因子认证防止密码泄露或撞库攻击
•  进行终端合规性检测

 

方案特点

•  VPN接入服务点多点部署（硬件或云），利用GSLB（DNS）方式实现自动的就近接入或者手动选择就近的服务接入点
•  使用集中管理平台对客户端配置进行统一管理，并监控客户端状态
•  兼容Windows和MAC等多种操作系统，并支持手机端的接入
•  可对接企业认证系统（Radius、LDAP、SAML等），并使用动态Token或TLS证书实现双因子认证
•  VPN接入服务点提供NGFW（IPS、防病毒等）安全保护

 

方案产品

•  FortiGate
•  FortiClient & EMS
•  FortiAuthenticator
•  FortiToken

 

 

 

一致的安全服务

•  终端合规性&认证
•  入侵防御（IPS）
•  恶意软件防护（Anti-Malware）
•  应用控制