LAN和WAN网络整体规划整体部署

SD-Branch解决方案（分布式企业）

业务典型问题

企业有多个分支，缺乏一致性的网络部署增加部署和运维成本

分支的安全能力不一致，存在业务风险隐患

解决思路

LAN和WAN网络整体规划整体部署

统一LAN和WAN网络的管控

方案特点

LAN侧有线和无线接入，以及SD-WAN由一套方案实现，防火墙、交换机和AP有机整合

标准架构，可复制性强，可快速进行新建分支的网络部署

各分支以及总部的NGFW安全能力一致

统一管理统一运维，在可视化界面内企业各分支的网络运行状况一目了然

方案产品

FortiGate

FortiSwitch

FortiAP

有线&无线安全接入

业务典型问题

仅VLAN间隔离

LAN侧威胁横向扩散风险大

BYOD增多，威胁风险增大

解决思路

将隔离能力下沉至精细化的终端粒度

统一接入认证

统一有线无线管理

内网东西向流量进行IPS和防病毒保护

方案特点

将 NGFW的特性扩展到LAN，实现内网的细粒度安全防护，防止威胁横向扩散

包括基本的NAC特性，降低不合规终端接入网络的安全风险

通过FortiLink实现敏捷的部署与管理，灵活的架构，根据需求改变弹性扩展

无需额外的控制器，使用防火墙即可实现对交换和AP的统一管理，降低部署和运维的复杂性

方案产品

FortiGate

FortiSwitch

FortiAP

VLAN内东西向流量隔离

❑ 通过FortiLink技术，FortiSwitch交换机和FortiAP无线的流量可以通过隧道模式进入防火

墙进行策略控制和清洗后转发至本地，实现东西向隔离

零信任ZTNA解决方案——远程办公

业务典型问题

传统的网络“边界”变得模糊，尤其在分布式或混合云的办公和应用模式下，

威胁来源非常复杂，传统基于网络边界的“信任”安全模型无法满足安全要求

传统一次认证静态访问权限策略的准入模式，仅能实现被动的安全防御

终端环境处于动态变化的状态，单一的认证不能满足安全保护目的

解决思路

默认所有访问请求不被信任，主动防御

以身份、应用、资源综合判断访问权限

持续评估，动态控制访问权限

方案特点

以终端类型、漏洞检测、进程合规、用户身份等多角度综合判断设备信任标签

细粒度应用控制，对资源访问实现最小化的权限管控

持续进行设备权限检查，对每一次访问进行信任判断和访问控制决策与执行

用户和终端在网内和网外访问保持高度一致的安全性控制

在“零信任”基础上，对允许的访问流量进行NGFW高级威胁防御

方案产品

FortiGate

FortiClient & EMS

FortiAuthenticator

FortiToken

零信任

❑ 内外网访问一致性

❑ 设备、用户、应用综合检查，细粒度控制

❑ 持续评估信任合规

远程办公（VPN）

业务典型问题

远程办公员工终端以不同的方式接入互联网，远程接入内网的质量不可靠

终端类型多种多样，保证高兼容性的一致接入体验难度大

员工缺少IT技能，难以自行配置客户端，管理员工作量过大

内网接入接口暴露于公网，安全风险大

解决思路

客户端就近接入，优选高质量接入点

客户端集中管理，集中进行配置下发

双因子认证防止密码泄露或撞库攻击

进行终端合规性检测

方案特点

VPN接入服务点多点部署（硬件或云），利用GSLB（DNS）方式实现自动的就近接入或者手动选择就近的服务接入点

使用集中管理平台对客户端配置进行统一管理，并监控客户端状态

兼容Windows和MAC等多种操作系统，并支持手机端的接入

可对接企业认证系统（Radius、LDAP、SAML等），并使用动态Token或TLS证书实现双因子认证

VPN接入服务点提供NGFW（IPS、防病毒等）安全保护

方案产品

FortiGate

FortiClient & EMS

FortiAuthenticator

FortiToken

一致的安全服务

❑ 终端合规性&认证

❑ 入侵防御（IPS）

❑ 恶意软件防护（Anti-Malware）

❑ 应用控制