SD-Branch解決方案（分布式企業）

業務典型問題

企業有多個分支，缺乏一致性的網絡部署增加部署和運維成本

分支的安全能力不一致，存在業務風險隱患

解決思路

LAN和WAN網絡整體規劃整體部署

統一LAN和WAN網絡的管控

方案特點

LAN側有線和無線接入，以及SD-WAN由一套方案實現，防火墻、交換機和AP有機整合

標準架構，可復制性強，可快速進行新建分支的網絡部署

各分支以及總部的NGFW安全能力一致

統一管理統一運維，在可視化界面內企業各分支的網絡運行狀況一目了然

方案產品

FortiGate

FortiSwitch

FortiAP

有線&無線安全接入

業務典型問題

僅VLAN間隔離

LAN側威脅橫向擴散風險大

BYOD增多，威脅風險增大

解決思路

將隔離能力下沉至精細化的終端粒度

統一接入認證

統一有線無線管理

內網東西向流量進行IPS和防病毒保護

方案特點

將 NGFW的特性擴展到LAN，實現內網的細粒度安全防護，防止威脅橫向擴散

包括基本的NAC特性，降低不合規終端接入網絡的安全風險

通過FortiLink實現敏捷的部署與管理，靈活的架構，根據需求改變彈性擴展

無需額外的控制器，使用防火墻即可實現對交換和AP的統一管理，降低部署和運維的復雜性

方案產品

FortiGate

FortiSwitch

FortiAP

VLAN內東西向流量隔離

? 通過FortiLink技術，FortiSwitch交換機和FortiAP無線的流量可以通過隧道模式進入防火

墻進行策略控制和清洗后轉發至本地，實現東西向隔離

零信任ZTNA解決方案——遠程辦公

業務典型問題

傳統的網絡“邊界”變得模糊，尤其在分布式或混合云的辦公和應用模式下，

威脅來源非常復雜，傳統基于網絡邊界的“信任”安全模型無法滿足安全要求

傳統一次認證靜態訪問權限策略的準入模式，僅能實現被動的安全防御

終端環境處于動態變化的狀態，單一的認證不能滿足安全保護目的

解決思路

默認所有訪問請求不被信任，主動防御

以身份、應用、資源綜合判斷訪問權限

持續評估，動態控制訪問權限

方案特點

以終端類型、漏洞檢測、進程合規、用戶身份等多角度綜合判斷設備信任標簽

細粒度應用控制，對資源訪問實現最小化的權限管控

持續進行設備權限檢查，對每一次訪問進行信任判斷和訪問控制決策與執行

用戶和終端在網內和網外訪問保持高度一致的安全性控制

在“零信任”基礎上，對允許的訪問流量進行NGFW高級威脅防御

方案產品

FortiGate

FortiClient & EMS

FortiAuthenticator

FortiToken

零信任

? 內外網訪問一致性

? 設備、用戶、應用綜合檢查，細粒度控制

? 持續評估信任合規

遠程辦公（VPN）

業務典型問題

遠程辦公員工終端以不同的方式接入互聯網，遠程接入內網的質量不可靠

終端類型多種多樣，保證高兼容性的一致接入體驗難度大

員工缺少IT技能，難以自行配置客戶端，管理員工作量過大

內網接入接口暴露于公網，安全風險大

解決思路

客戶端就近接入，優選高質量接入點

客戶端集中管理，集中進行配置下發

雙因子認證防止密碼泄露或撞庫攻擊

進行終端合規性檢測

方案特點

VPN接入服務點多點部署（硬件或云），利用GSLB（DNS）方式實現自動的就近接入或者手動選擇就近的服務接入點

使用集中管理平臺對客戶端配置進行統一管理，并監控客戶端狀態

兼容Windows和MAC等多種操作系統，并支持手機端的接入

可對接企業認證系統（Radius、LDAP、SAML等），并使用動態Token或TLS證書實現雙因子認證

VPN接入服務點提供NGFW（IPS、防病毒等）安全保護

方案產品

FortiGate

FortiClient & EMS

FortiAuthenticator

FortiToken

一致的安全服務

? 終端合規性&認證

? 入侵防御（IPS）

? 惡意軟件防護（Anti-Malware）

? 應用控制