今日頭條
官方微信
官方抖音
資訊頻道1 項目背景介紹
愛達·魔都號(Adora Magic City)是中國首艘國產大型郵輪,也是愛達郵輪旗下首艘國產大型郵輪,全長323.6米,總噸位為13.55萬總噸,有24層樓高,2125間客房,最多可載乘客5246人。愛達·魔都號的通信組網由5G、WiFi和通信衛星、星鏈形成天地一體組網,在5G信號能夠覆蓋到的近海海域,郵輪上的乘客能享受到5G和WiFi6的自由切換,對于愛達·魔都號來說,5G、Wifi 6、衛星等天地一體組網形成的多種網絡形式,再加上辦公、管理和訪客等多“張”網絡共存,也帶來了安全隔離與控制、網絡負載均衡、安全防護和可視化、運維管理、威脅應對等多種需求。
2 項目目標與原則
愛達·魔都號(Adora Magic City)是中國首艘國產大型郵輪,它的成功投運標志著這標志著我國成為可同時建造航空母艦、大型液化天然氣運輸船、大型郵輪的國家,集齊造船業“三顆明珠”,而游客的滿意度是成功的關鍵,從現有的運營中的郵輪滿意度調查中,郵輪網絡訪問體驗一直是投訴的重災區。所以構建一套安全的、智能的、可應對多種場景需求的網絡尤為重要。
3 項目實施與應用
在充分考慮了郵輪上網絡安全建設挑戰和需求的基礎上愛達·魔都號采用了Fortinet基于專用芯片的高性能FortiGate防火墻構建核心安全集群交換系統,提供網絡安全防御以及優秀的安全性能,確保網絡連續、安全、可靠地運行。采用 Fortinet 專用安全處理器 (SPU) 的硬件架構設計,能夠提供業界最佳的威脅防護性能和超低延遲,為 SSL 加密流量提供行業領先的安全性能和威脅保護。
首先,郵輪多網共存的現狀需要靈活、有效的隔離和策略控制。FortiGate無縫集成 7 層高級網絡安全功能及虛擬域 (VDOM) ,可提供多種場景的靈活部署。郵輪可以通過在FortiGate上啟用VDOM實現訪客網、辦公網、海事網、管理網業務的隔離,為不同業務應用個性化的安全策略,實現了一套系統多網絡防護。同時,通過VDOM虛擬集群技術將關鍵流量和互聯網流量置于不同節點,實現了FortiGate集群節點的冗余和負載,最大化的資源利用。
第二,針對郵輪多種場景網絡分配,以及國際化的網絡“漫游”現狀,FortiGate集成SD-WAN實現多鏈路負載。FortiGate是原生的網絡融合安全的產品,集成豐富的SD-WAN能力,不但通過全球唯一的SD-WAN 專用芯片在實現高性能、大規模的網絡轉發的同時,通過專用的內容處理芯片實現精準、高效的安全防護過濾和管控。
本方案通過FortiGate可以實現對應用和流量的精準識別、管控,針對訪客互聯網應用、船上數據中心業務、陸上數據中心應用、云上應用、海事應用等應用類型,以及在近海區域的5G、遠海區域的衛星鏈路、海事專線等多種鏈路場景,方案都能夠在精準識別和監測的基礎上,根據線路質量、流量占用、業務優先級等各種指標來優化整個網絡的帶寬分配。從而達到精準分配流量、精準管控應用、優先保障核心業務、提升關鍵應用用戶使用體驗,實現整個網絡帶寬資源的最佳利用,降低網絡帶寬的投入。
第三,數字化、全球化等特點也要求郵輪具備健壯的安全防護能力。安全則是FortiGate的基因,其提供豐富高效的安全防護。作為下一代防火墻,FortiGate將多種威脅防御功能集成到由專用安全處理單元 (SPU) 提供支持的單個高性能網絡安全設備中,極大的降低網絡復雜性并最大限度地提高投資回報率,集成的AV、IPS、應用控制、Web過濾、DNS過濾、反垃圾郵件、DLP、Web應用防護、沙箱集成等安全能力,為訪客互聯網訪問和郵輪本地應用提供全面的安全防護和深度應用控制。
同時,依托專用安全芯片的高性能處理能力,FortiGate確保豐富的安全功能無損落地。FortiGate具有業界最高的 SSL 檢測性能,包括帶增強密碼算法的最TLS 1.3 標準,可對流量解密并自動阻斷威脅,應對隱藏在加密流量中的威脅毫不妥協。
第四,相比有限的傳統網絡,數字化時代郵輪需要集中管理和自動化運維中心平臺,實現有效的網絡和安全管理。尤其對于長期遨游在海洋之上的郵輪來說,更要通過集中和自動化平臺實現安全威脅的及時感知和自動化應對。
在本項目中FortiManager和FortiAnalyzer就是這樣的集中管理和運維中心平臺,通過和FortiGate集成構建Fortinet Security Fabric,實現NOC-SOC工作流,安全 (SOC) 工作流和運營 (NOC) 工作流之間可自動交換數據,因此形成了一個完整的工作流,通過集成 FortiAnalyzer 可獲得高級數據可視化和分析功能,從而提升可見性,幫助運維人員快速掌握情況、識別威脅并簡化托管設備的快速配置和安全保護。
4 效益分析
方案中,Fortinet通過一套安全系統Fortinet Security Fabric實現了郵輪多網絡的融合隔離控制,替代了原來需要3套安全系統的高成本方案,且部署、管理更為簡便,極大降低了實施復雜度和建設成本。
Fortinet集中管理和運維平臺提供了對IT資產的有效控制和可見性,簡化了郵輪的網絡和安全管理,為IT團隊節省資源和時間,滿足郵輪精細化訪問控制需求,通過自動化的劇本特性,將原來的需要幾天、幾個月的事件發現和處理時間降低到了短短幾秒鐘,將IT人員從枯燥的日志分析和風險應對中解放出來。
通過靈活易用的SD-WAN郵輪也實現了基于應用的SLA智能選路靈活性,為工作人員、旅客提供極致的網絡訪問體驗,將傳統的秒級冗余鏈路切換變為現在的基于應用質量的毫秒級切換,同時將傳統的鏈路備份變為多鏈路負載,充分利用了帶寬資源,節約了50%以上的帶寬成本。
而FortiGate NGFW優異的安全能力滿足郵輪網絡嚴苛的安全防護需求,保障安全合規,為郵輪的順利運轉帶來了不可估量的效益。
北京市公安局海淀分局備案號:11010802023656號