今日頭條
官方微信
官方抖音
資訊頻道1 項目背景介紹
愛達(dá)·魔都號(Adora Magic City)是中國首艘國產(chǎn)大型郵輪,也是愛達(dá)郵輪旗下首艘國產(chǎn)大型郵輪,全長323.6米,總噸位為13.55萬總噸,有24層樓高,2125間客房,最多可載乘客5246人。愛達(dá)·魔都號的通信組網(wǎng)由5G、WiFi和通信衛(wèi)星、星鏈形成天地一體組網(wǎng),在5G信號能夠覆蓋到的近海海域,郵輪上的乘客能享受到5G和WiFi6的自由切換,對于愛達(dá)·魔都號來說,5G、Wifi 6、衛(wèi)星等天地一體組網(wǎng)形成的多種網(wǎng)絡(luò)形式,再加上辦公、管理和訪客等多“張”網(wǎng)絡(luò)共存,也帶來了安全隔離與控制、網(wǎng)絡(luò)負(fù)載均衡、安全防護(hù)和可視化、運維管理、威脅應(yīng)對等多種需求。
2 項目目標(biāo)與原則
愛達(dá)·魔都號(Adora Magic City)是中國首艘國產(chǎn)大型郵輪,它的成功投運標(biāo)志著這標(biāo)志著我國成為可同時建造航空母艦、大型液化天然氣運輸船、大型郵輪的國家,集齊造船業(yè)“三顆明珠”,而游客的滿意度是成功的關(guān)鍵,從現(xiàn)有的運營中的郵輪滿意度調(diào)查中,郵輪網(wǎng)絡(luò)訪問體驗一直是投訴的重災(zāi)區(qū)。所以構(gòu)建一套安全的、智能的、可應(yīng)對多種場景需求的網(wǎng)絡(luò)尤為重要。
3 項目實施與應(yīng)用
在充分考慮了郵輪上網(wǎng)絡(luò)安全建設(shè)挑戰(zhàn)和需求的基礎(chǔ)上愛達(dá)·魔都號采用了Fortinet基于專用芯片的高性能FortiGate防火墻構(gòu)建核心安全集群交換系統(tǒng),提供網(wǎng)絡(luò)安全防御以及優(yōu)秀的安全性能,確保網(wǎng)絡(luò)連續(xù)、安全、可靠地運行。采用 Fortinet 專用安全處理器 (SPU) 的硬件架構(gòu)設(shè)計,能夠提供業(yè)界最佳的威脅防護(hù)性能和超低延遲,為 SSL 加密流量提供行業(yè)領(lǐng)先的安全性能和威脅保護(hù)。
首先,郵輪多網(wǎng)共存的現(xiàn)狀需要靈活、有效的隔離和策略控制。FortiGate無縫集成 7 層高級網(wǎng)絡(luò)安全功能及虛擬域 (VDOM) ,可提供多種場景的靈活部署。郵輪可以通過在FortiGate上啟用VDOM實現(xiàn)訪客網(wǎng)、辦公網(wǎng)、海事網(wǎng)、管理網(wǎng)業(yè)務(wù)的隔離,為不同業(yè)務(wù)應(yīng)用個性化的安全策略,實現(xiàn)了一套系統(tǒng)多網(wǎng)絡(luò)防護(hù)。同時,通過VDOM虛擬集群技術(shù)將關(guān)鍵流量和互聯(lián)網(wǎng)流量置于不同節(jié)點,實現(xiàn)了FortiGate集群節(jié)點的冗余和負(fù)載,最大化的資源利用。
第二,針對郵輪多種場景網(wǎng)絡(luò)分配,以及國際化的網(wǎng)絡(luò)“漫游”現(xiàn)狀,F(xiàn)ortiGate集成SD-WAN實現(xiàn)多鏈路負(fù)載。FortiGate是原生的網(wǎng)絡(luò)融合安全的產(chǎn)品,集成豐富的SD-WAN能力,不但通過全球唯一的SD-WAN 專用芯片在實現(xiàn)高性能、大規(guī)模的網(wǎng)絡(luò)轉(zhuǎn)發(fā)的同時,通過專用的內(nèi)容處理芯片實現(xiàn)精準(zhǔn)、高效的安全防護(hù)過濾和管控。
本方案通過FortiGate可以實現(xiàn)對應(yīng)用和流量的精準(zhǔn)識別、管控,針對訪客互聯(lián)網(wǎng)應(yīng)用、船上數(shù)據(jù)中心業(yè)務(wù)、陸上數(shù)據(jù)中心應(yīng)用、云上應(yīng)用、海事應(yīng)用等應(yīng)用類型,以及在近海區(qū)域的5G、遠(yuǎn)海區(qū)域的衛(wèi)星鏈路、海事專線等多種鏈路場景,方案都能夠在精準(zhǔn)識別和監(jiān)測的基礎(chǔ)上,根據(jù)線路質(zhì)量、流量占用、業(yè)務(wù)優(yōu)先級等各種指標(biāo)來優(yōu)化整個網(wǎng)絡(luò)的帶寬分配。從而達(dá)到精準(zhǔn)分配流量、精準(zhǔn)管控應(yīng)用、優(yōu)先保障核心業(yè)務(wù)、提升關(guān)鍵應(yīng)用用戶使用體驗,實現(xiàn)整個網(wǎng)絡(luò)帶寬資源的最佳利用,降低網(wǎng)絡(luò)帶寬的投入。
第三,數(shù)字化、全球化等特點也要求郵輪具備健壯的安全防護(hù)能力。安全則是FortiGate的基因,其提供豐富高效的安全防護(hù)。作為下一代防火墻,F(xiàn)ortiGate將多種威脅防御功能集成到由專用安全處理單元 (SPU) 提供支持的單個高性能網(wǎng)絡(luò)安全設(shè)備中,極大的降低網(wǎng)絡(luò)復(fù)雜性并最大限度地提高投資回報率,集成的AV、IPS、應(yīng)用控制、Web過濾、DNS過濾、反垃圾郵件、DLP、Web應(yīng)用防護(hù)、沙箱集成等安全能力,為訪客互聯(lián)網(wǎng)訪問和郵輪本地應(yīng)用提供全面的安全防護(hù)和深度應(yīng)用控制。
同時,依托專用安全芯片的高性能處理能力,F(xiàn)ortiGate確保豐富的安全功能無損落地。FortiGate具有業(yè)界最高的 SSL 檢測性能,包括帶增強密碼算法的最TLS 1.3 標(biāo)準(zhǔn),可對流量解密并自動阻斷威脅,應(yīng)對隱藏在加密流量中的威脅毫不妥協(xié)。
第四,相比有限的傳統(tǒng)網(wǎng)絡(luò),數(shù)字化時代郵輪需要集中管理和自動化運維中心平臺,實現(xiàn)有效的網(wǎng)絡(luò)和安全管理。尤其對于長期遨游在海洋之上的郵輪來說,更要通過集中和自動化平臺實現(xiàn)安全威脅的及時感知和自動化應(yīng)對。
在本項目中FortiManager和FortiAnalyzer就是這樣的集中管理和運維中心平臺,通過和FortiGate集成構(gòu)建Fortinet Security Fabric,實現(xiàn)NOC-SOC工作流,安全 (SOC) 工作流和運營 (NOC) 工作流之間可自動交換數(shù)據(jù),因此形成了一個完整的工作流,通過集成 FortiAnalyzer 可獲得高級數(shù)據(jù)可視化和分析功能,從而提升可見性,幫助運維人員快速掌握情況、識別威脅并簡化托管設(shè)備的快速配置和安全保護(hù)。
4 效益分析
方案中,F(xiàn)ortinet通過一套安全系統(tǒng)Fortinet Security Fabric實現(xiàn)了郵輪多網(wǎng)絡(luò)的融合隔離控制,替代了原來需要3套安全系統(tǒng)的高成本方案,且部署、管理更為簡便,極大降低了實施復(fù)雜度和建設(shè)成本。
Fortinet集中管理和運維平臺提供了對IT資產(chǎn)的有效控制和可見性,簡化了郵輪的網(wǎng)絡(luò)和安全管理,為IT團(tuán)隊節(jié)省資源和時間,滿足郵輪精細(xì)化訪問控制需求,通過自動化的劇本特性,將原來的需要幾天、幾個月的事件發(fā)現(xiàn)和處理時間降低到了短短幾秒鐘,將IT人員從枯燥的日志分析和風(fēng)險應(yīng)對中解放出來。
通過靈活易用的SD-WAN郵輪也實現(xiàn)了基于應(yīng)用的SLA智能選路靈活性,為工作人員、旅客提供極致的網(wǎng)絡(luò)訪問體驗,將傳統(tǒng)的秒級冗余鏈路切換變?yōu)楝F(xiàn)在的基于應(yīng)用質(zhì)量的毫秒級切換,同時將傳統(tǒng)的鏈路備份變?yōu)槎噫溌坟?fù)載,充分利用了帶寬資源,節(jié)約了50%以上的帶寬成本。
而FortiGate NGFW優(yōu)異的安全能力滿足郵輪網(wǎng)絡(luò)嚴(yán)苛的安全防護(hù)需求,保障安全合規(guī),為郵輪的順利運轉(zhuǎn)帶來了不可估量的效益。
北京市公安局海淀分局備案號:11010802023656號