Fortinet資安鐵三角案例 基礎篇
客戶需求:
• 多條對外線路(Internet)需整合進單一設備。
• 無線網路漫遊機制的建立。
• 內部網路需要微分割。
• 來賓網路(Guest)需獨立。
• 預算有限,資安不打折。
建議架構如下:
圖 1 建議架構
Fortinet 資安鐵三角方案可滿足客戶需求,方案特點如下:
• 出口防火牆採用 HA 高可用度架構以提升服務可用度。
• 整合出口及對外線路、服務、VPN 及內部有線與無線服務於單一平台防火牆,提供可視性及簡化維運管理。
• 內部網路微分割,隔離不同部門、Server Farm、VPN、Guest 網段。
• WiFi SSID 進行統一規劃提供漫遊服務。
• Guest 服務只能存取 Internet。
• 使用 LACP 提高頻寬與備援接取能力。
Fortinet 資安鐵三角的效益:
圖 2 Fortinet 資安鐵三角
• 簡化管理
整合防火牆(FortiGate), 交換器(FortiSwitch)以及無線基地台(FortiAP) 在統一的接入介面管理。
FortiGate 就是 AP 及 Switch 的 Controller。
• 整合內、外網的安全
讓 FortiSwitch 及 FortiAP 成為 FortiGate的邏輯延伸, 在每一個終端設備的前面, 進行內網的資安管控。
• 及時控管
網路拓樸及流量監控可視化。
針對發生資安問題的設備可以手動/自動做 Layer 2隔離。
• 阻隔同網段的流量,防止橫向感染
一鍵開啟”block intra-vlan traffic”阻隔同網段流量,可讓同網段使用者不能互通,防
止橫向感染。
圖 3 阻隔同網段的流量
圖 4 一鍵開啟”block intra-vlan traffic”阻隔同網段流量
• 節省成本
擴充方便而且 FortiSwitch 與 FortiAP 不需要額外的授權成本。