FortiGate NGFW打造安全、高效、智慧的邊界安全樞紐

備受期待的“FortiOS安全無處不達”系列直播講座已於上週正式開講。Fortinet北亞區首席技術顧問譚傑，在第一講中詳解了FortiGate下一代防火牆（NGFW）如何為企業構建安全、高效、智慧的邊界安全樞紐，助力企業數字化轉型。當前企業數字化轉型加速，網路邊界逐漸模糊，威脅已經無處不在，多種安全產品的運維複雜性又讓管理人員無所適從，而更多安全功能的簡單疊加導致的網路效能降低更讓企業進退兩難。

轉變帶來企業邊界安全挑戰

Gartner資料顯示，當前企業數字化業務轉型正在加速，60%管理決策層選擇透過數字業務轉型來提高運營績效。同時 ，越來越多的企業從傳統架構轉移到混合架構，51%的企業都在使用多雲架構。此外，網路威脅也在不斷上升，勒索軟體攻擊在過去一年增加了11倍。

譚傑表示，在這些明顯的因素推動下，企業安全正在發生著巨大的轉變。首先就是OT與IT融合加速、隨時隨地辦公（WFA）、多雲模式普及等企業數字化轉型趨勢，使得“網路邊界”逐漸模糊，威脅已經無處不在，企業邊界已經不是“內網和外網”這種簡單的二元劃分。

這種轉變不但讓傳統防火牆等產品形同虛設，也對過去多品牌、多型號安全產品之間的孤立作戰模式提出了嚴峻挑戰。不僅如此，從使用者視角來看，繁雜的安全產品不但帶來了操作複雜性，而隨著威脅的演進不斷疊加安全功能的思路，也為其帶來了嚴重的網路效能、安全效能等損耗。

因此，在這種新的形勢下，企業邊界安全的需求也發生了質的改變。首先，安全產品和方案能夠減輕已知和未知的威脅，不僅限於零日漏洞、勒索軟體等。其次，能夠消除多點產品、管理控制檯、支援的複雜性。同時，安全防禦應儘量減少對網路效能的影響。

需求不妥協 安全驅動網路

Fortinet相信，網路安全網格架構（CSMA）無疑是這些相互依存和加強的趨勢中的關鍵，有助於提供一個通用的整合式安全架構和態勢來保證所有企業辦公網路、移動辦公場景、資料中心和雲端資產等各種新形式下的安全。CSMA旨在構建一套跨數字基礎設施實現安全解決方案協作互聯的生態系統，其主要目標是將安全防護覆蓋至網路的任意邊緣。

雖然Gartner首次在業內提出“網路安全網格架構（CSMA）”這一解決方案，併為此奠定了理論和實踐基礎。但其實早在多年前，Fortinet已為企業部署了同樣的網格架構，這就是廣受市場青睞的Fortinet Security Fabric安全架構。從這個角度來看，CSMA實際早已被市場所廣泛採納。Fortinet Security Fabric這一CSMA方案部署的典範早已走在市場前端。

實現網路和安全的全面融合，是成功打造CSMA策略和方案的先決條件。Fortinet將此理念稱為安全驅動型網路。企業組織無需在網路效能及卓越安全性二者之間做出任何妥協。CSMA應能保護任意網路上的使用者、裝置和資料安全，無論其穿梭在任意網路邊緣。除了安全驅動型網路之外，零信任網路訪問、自適應雲安全和開放架構也是CSMA設計中的基本構建要素。

安全、高效、智慧的邊界安全樞紐

譚傑進一步指出，防火牆是構建CSMA方案的核心，為所有網路邊緣提供更高階別的安全防護和更深層次的內容檢測，以實現實時、高效的威脅檢測和響應。任何CSMA方案的構建都必須圍繞下一代防火牆、身份驗證和訪問管理、網路，以及整合管理、分析和響應工具。所有這些解決方案均應支援適用於資料中心、雲端、分支機構和遠端服務的不同版本。此外，至為關鍵的是，隨著企業防護需求的不斷擴充套件，還應能夠適應擴充套件其他工具，裝置和應用程式。

 防護能力是下一代防火牆的核心功能。FortiGate防火牆提供上下文感知，使整個企業網路具有強化的安全態勢。同時，FortiGate透過獲得網路部署的全面可見性，能夠發現和管控物聯網/OT/使用者，透過應用正確的網路接入策略，防止已知和未知的威脅，及時阻斷網路攻擊。此外，它還支援零信任網路訪問(ZTNA)，透過高階檢測、網路分割和在整個網路中應用一致的策略，持續使用者身份驗證，將攻擊面最小化。

透過自動化操作簡化安全態勢。網路管理者們面臨著在不斷擴張的網路中適應和擴大規模的壓力，透過Fabric Management Center (FMC)控制FortiGate防火牆，它們可以簡化整個網路的防火牆和策略管理，從單個控制檯自動更新所有網路保護裝置，這為管理者提供了更大的網路和威脅可見性和更全面的安全控制。

安全與網路效能需要兼得。在不影響吞吐量或網路正常執行時間的情況下，FortiGate防火牆能夠整合提供IPS、SSL檢查、應用程式可見性、Web過濾、反惡意軟體等服務，所有這些都是由FortiGate安全處理器(SPU)的效能增強創新實現，因此，對於FortiGate來說網路效能與安全效能可以兼得。

一體兩翼FortiGate下一代防火牆

譚傑認為，對於FortiGate下一代防火牆來說，能夠擁有如此出色的安全和網路能力，離不開三大關鍵：FortiOS作業系統、FortiGuard威脅情報服務、FortiSPU安全處理器。一體(FortiOS)兩翼(FortiGuard、 FortiSPU)的FortiGate下一代防火牆能夠成為安全神經中樞，幫助使用者打造安全、高效、智慧的網路邊界安全體系，加速數字化轉型。

其中FortiOS是業界最具有開放性的作業系統，使SD-WAN、SD-Branch、零信任網路訪問(ZTNA)等安全特性驅動我們的安全驅動網路願景。FortiGuard雲服務 為Security Fabric產品組合中的每一個產品提供行業領先的威脅保護和情報，防止已知和未知的威脅，如零日和勒索軟體。FortiSPU是Fortinet自研的系列ASIC安全晶片，是FortiGate等 產品效能的有力保障。

最新推出的FortiOS 7.2為網路和安全領域賦予全新定義，進一步強勢賦能Security Fabric安全平臺屢獲殊榮的功能及服務，助力廣大使用者及合作伙伴在當今風起雲湧的數字化市場破浪乘風，奮勇爭先。現在及可預見的未來將是混合網路主宰的時代。唯有以安全為核心，混合網路才能行穩致遠，更快速、更具規模地適應網路環境的不斷演進，安全守護所有邊緣環境。

精彩預告

7月20日，FortiOS Everywhere系列講座第二講《深入淺出內網安全治理》，將由Fortinet華東區技術負責人卜嬋敏為大家分享FortiGate協同FortiAP、FortiSwitch和FortiAnalyzer等，打造智慧、安全、高效LAN，敬請期待！

資料來源：

1.      Gartner: Top Priorities for IT: Leadership Vision for 2021-ebook

2.      ESG: 2021 Technology Spending Intentions Survey

3.      FortiGuard Threat Landscape Report, August 2021