多外點架構Fortinet Secure SD-WAN 應用
客戶需求:
• MPLS VPN & Internet IPSec VPN 互為備援:
既有外點intranet架構為點到點專線,使用 serial interface V.35 界面,集中出口到 HQ 上 Internet 及 access 內部系統。希望改為 MPLS VPN 及 Internet (IPSec VPN) 互為備援及當地下車 access Internet。
• 以 Application 為base 的 policy routing給於不同的出口路由
• 單一管理入口介面集中管理
• 報表分析系統
建議架構
為滿足客戶需求建議使用 Fortinet Secure SD-WAN NGFW Solution,架構如下:
圖 1 Fortinet Secure SD-WAN NGFW Solution 架構
• HQ 使用 Fortinet Secure SD-WAN NGFW 採 HA 高可用度架構,經由 MPLS VPN 與 Internet 均建立 IPSec VPN1 & 2 Hub-Spoke提高加密安全性。
• 各外點的 Fortinet Secure SD-WAN NGFW 與 HQ 之Fortinet Secure SD-WAN NGFW經由 MPLS VPN 與 Internet 均建立 IPSec VPN1 & 2 提高加密安全性與路備援機制。
• 可抵禦當今的威脅Securing Against Today’s Threats。
• 具應用程序優先級處理功能Application Prioritization。
• 提供廣域網路路徑/頻寬智能化利用能力Intelligent WAN utilization。
圖 2 FortiGate SD-WAN Enabled NGFW
• 按Application 規劃路由及備援政策,如下表:
表 1 Application路由及備援政策規畫表
• 單一控制台集中管理 FortiManager
集中管理可以幫助多據點型的企業極大地減少網路風險暴露與網路中斷與錯誤發生的機會。提供客戶輕鬆部署、集中管理、支援自動化,並提供以業務為導向的建置策略。Fortinet 的管理工具 FortiManager 可以支援更大的部署,最多可支援100,000 個FortiGate 設備,比如:SD-WAN 與NGFW,企業級的配置與可套用模板權限等特色,可以幫助網路工程師與營運高層輕鬆完成設置,大幅減少人為錯誤。
• 報告與分析 FortiAnalyzer
對廣域網路連接的可用性、效能SLA、運作時應用程式流量,以及歷史統計資料的加强分析等功能,讓網管團隊能够快速排除並解决網路問題。Fortinet 安全織網為應用程式可見性與網路性能提供高階的遙測技術,能夠實現更快的分辨率與減少IT 技術求援的數量。Ondemand SD-WAN 報告可提供對威脅狀況、信任級別與資產存取進行進一步了解,這些都是合規性的強制要求。這些特色包括SD-WAN 頻寬監控報告與數據集;透過數據集、圖表與報告及可客制的SLA警報,可進行服務水平協議(SLA) 日誌與歷史監控;以及應用程式使用報告與指示板,這些需求均有賴於 FotiAnalyzer 來提供。
效益:
Fortinet Secure SD-WAN 解決方案滿足當今企業的五個核心要素。
• 不只適用於多據點機構
SD-WAN 最適合用在支持複雜的多據點機構的部署,並幫助機構組織減少對分支路由器和其他傳統網路技術的依賴。SDWAN 解決方案不只可用於分支據點的網路建置,還能擴充其效能至各地辦公室與遠距工作,尤其是具有內建LTE 設備(用在持續連線)以及分佈式雲端的使用,並可透過更深度的整合支援雲接入,進而更有效支援SaaS 服務。
• 直覺式的管理與零接觸部署
這兩特色通常能讓組織在幾分鐘內就快速設定好大規模的佈署,並且提供語音、視訊與SaaS 等協作應用程式最佳效能,甚至對遠離公司數據中心的遠端使用者也有相同的效能。直覺式的管理流程,讓最複雜的網路能經由虛擬網路(VPN) 而實現自動化。
• 能設定關鍵應用程式優先排序,啟動能自我修復能力
對於繁重的遠距工作來說,光有連接效能是不夠的。解決方案需能夠辨識廣泛的應用程式來滿足所有的使用環境,而先進的自我修復與自動化將為任何用戶在任何環境上提供一致的用戶體驗。須特別注意的是,業界裏有許多SD-WAN 解決方案僅提供特定的網路用戶做服務,並非所有的網路系統都支援,這些應在佈署前先知道,以避免投資浪費。
• 整合安全
SD-WAN 與Secure SD-WAN 的最大區別在於,單純的SD-WAN 會讓網路惡意攻擊有機可趁,Secure SD-WAN 是結合安全與網路的解決方案,而覆蓋式的安全解決方案不能適應在動態的網路環境中;真正的安全是需要嵌入到每個SD-WAN設備中,好讓各用戶、分支機構和數據中心等各據點用戶能夠擁有一致套用的安全與標準。Secure SD-WAN 是將網路、連線與安全性緊密相連整合的SD-WAN,其設計能有效降低網路基礎架構的散亂與差異。
• 全面的分析和報告
一個Secure SD-WAN 解決方案需能夠幫助組織輕鬆獲得網路相關的效能報告,不只可即時取得,歷史統計也可輕鬆查到,而進階分析與加強的合規功能更是不可獲缺,網管人員能夠透過單一控制台和豐富的SD-WAN 分析,可以幫助微調設定業務與安全原則,提高使用體驗。