Fortinet应用交付解决方案

Fortinet

应用交付整体解决方案

Fortinet中国

郭海山Fortinet现状安全领导厂商全球第三大安全供应商UTM魔力象限图“领导者”-自2009年公司成立：2000年10月IPO：2009年11月NASDAQ：FTNT总部：Sunnyvale,California2012财年销量：$534M2013年Q3销量：$155M产品发布：2002年5月已销售设备数量：130万用户数量：17万专利：143项（108项审核中）高端FortiGate-5000&3000FortiMail

FortiWebFortiDBFortiScanFortiSwitchFortiBridgeFortiAuthenticatorFortiClientFortiDDoSAscenlinkFortiDNSFortiCacheFortiVoiceFortiAnalyzerFortiManager

FortiCamera从云到端的整体安全方案中端FortiGate-1000~100桌面式FortiGate/FortiWiFi-90~20FortiAPFortiTokenFortiADCFortiSandboxFortiCloudFortiDirector如何实现应用的快速、稳定交付？Web

服务器联通资源及用户电信资源及用户Mail服务器办公网防火墙单点故障服务器单点故障链路单点故障中心单点故障应用快速交付扩展带宽南北互联问题就近访问SSL卸载/加速压缩缓存TCP连接复用QoSApplicationServersFortinet应用交付整体解决方案之应用交付场景分析Internet单台服务器，单条Internet链路处理性能瓶颈单点故障一般应用交付问题:

服务器资源耗竭

单点故障应用交付场景分析Internet优化较差的文件传输过量的带宽资源消耗延时增大用户满意度差一般应用交付问题:

服务器资源耗竭应用交付场景分析Internet大量内容重复交付一是严重消耗服务器资源二是严重消耗带宽资源一般应用交付问题:

网络资源耗竭应用交付场景分析Internet基于地理位置的数据中心访问导致质量较差的应用交付一般应用交付问题:

访问速度应用交付场景分析Internet数据中心或者ISP链路故障导致应用不可达一般应用交付问题:

数据中心不可达应用交付场景分析Fortinet应用交付整体解决方案服务器负载均衡安全链路负载均衡/全局负载均衡应用交付网络ADCServerLBSSLOffloadingCompressionCacheFirewall/VPNAntivirus/malwareIPS/IPReputationWAFWANOptimizationGSLBLinkLoadBalancingFortiADCFortiGateFortiGuardFortiAnalyzerFortiManagerFortiWebFortiADC(LLB/GSLB)FortiDirector(GSLB)AscenLink(LLB/TunnelRouting)应用可用性4到7层负载均衡技术应用层级别会话保持全局负载均衡链路负载均衡QualityofService(QoS)IPv6支持应用加速TCP优化/连接复用SSL卸载及加速压缩

智能应用识别Content

matchingcontentrewritingURLrewriting安全IPv4&IPv6firewallACL规则SYNFlood保护ApplicationDeliveryControllers适用于移动应用，云应用及企业级应用--fromanywhere-to-anywhere可用性优化，用户体验优化，性能优化，可扩展性优化应用交付实现功能ApplicationServersFortinet应用交付整体解决方案之服务器负载均衡服务器负载均衡ApplicationAvailability负载均衡算法轮循，最小链接数，最快响应会话保持算法PersistentIP,HashHeader,RewriteCookie,EmbeddedCookie,HashIP,HashQuery,InsertCookie,RadiusAttribute,HashIPPort,PersistentCookie,HashCookie健康检查算法ICMP,HTTP,HTTPS,TCP,TCPEcho,DNSandRADIUS检测间隔配置，重试次数配置通过多种方式分发连接到服务器群组保持终端用户和服务器之间的会话持续性所有来自相同客户端的连接被路由到相同的服务器实时服务器健康检查流量控制QoS可基于每个源和目的进行定义支持TypeofService(TOS)&DifferentiatedServices(DiffServ)连接限制可基于每个接口/源IP/目的IP/服务等进行连接数量限制确保关键应用的带宽需求为关键应用划分专用通道为时间敏感应用提升优先级，如VoIP和视频会议应用基于IP,接口和服务进行QoS管理ServerCcapacityServerBcapacityServerAcapacityApplicationAvailabilitySSL优势

用以保障在Internet上数据传输之安全，利用数据加密(Encryption)

技术，可确保数据在网络上之传输过程中不会被截取及窃听SSL劣势

所有传输内容均采用加密算法处理

非对称加密

对称加密

加解密过程对服务器资源消耗严重

非对成加密采用1024位的密钥进行加解密，大约每秒钟400次非对称加解密

就能导致CPU占用率100%。

对称加密通常采用128位，最高256位加密的加解密也会导致服务器CPU占

用率居高不下，同样的服务器SSL流量大约能达到150Mbps

SSL卸载ApplicationAccelerationSSL卸载ApplicationAcceleration高性能SSL加速，减轻服务器负担性能加速，提升性能基于硬件芯片处理轻松与现有应用整合全证书管理证书导入/导出/备份高级证书验证及废除能力http://https://HTTP压缩提升性能减少响应时间及应用延时可将带宽需求压缩3-6倍减少应用交付的投入成本应用广泛基于Gzip工业标准支持所有的浏览器类型尤其适用于文本类型应用FortiADC标配模块，无需额外硬件需求Content-RichApplications

(Javascript,CSS,etc.)GzipCompressedGzipApplicationAccelerationTCP连接复用ApplicationAcceleration可将来自于客户端的上万数量级的TCP连接请求连接复用或者整合为较低的连接请求数量，从而减轻真实服务器的重复数据处理，加速处理性能TCP连接复用可以减少到Servers的连接请求达100倍

减少50%服务器处理请求提升响应时间达5倍ABCDEFKLGHIJABCDEFGHIJKL内容寻址ApplicationAwareIntelligence内容交换支持L4和L7路由能力基于HTTPHost,RequestURL,Referer,SourceIP进行负载均衡支持正规则表达式Conditiontable支持复杂寻址需求高效能应用服务器群组管理/xyz/abc内容重写ApplicationAwareIntelligence内容重写重写请求与响应信息RewriteHeader,Redirect,或者发送403Forbidden正规则表达式支持Conditiontable支持复杂的内容重写需求隐藏敏感Web服务器信息将内部的、不可路由的内容对外发布对请求和响应传输进行内容重写/buy.asp/buy.aspww/owa更进一步的访问控制防DDoS攻击

2012年，90%以上的电子商务网站都受到过DDoS的攻击

其中有三分之一的网站的网络受到较大影响DNS安全缓存投毒、域名劫持

中间人攻击、DNSFLOOD攻击SSL加密内容检测安全SecurityThe

last

standApplicationServers安全Security防火墙IPv4和IPv6访问控制列表连接限制策略

SNATDoS

防护SYNCookie防护

阻挡到服务器的非正常访问阻挡SYNflood攻击FortiADC功能综述AppWeb应用基础架构DBInternetFortiADCL4-L7服务器健康检查L4-L7服务器负载均衡会话保持压缩链路负载全局负载SSL加速安全内容交换报表CacheWeb应用：Sharepoint,LYNC,IISandApache\Client/Server应用：DNS,FTP,RADIUS,SMTPS,IMAPS,POP3Broswer/Server应用：OA系统等流应用：VoIP,VOD,VideoConference,RTSP,MMSandSIPMail：MicrosoftExchangeFortiADC应用支持FortiADC行业需求分析金融：银行，证券教育：高校，教育局，考试院政府：公安，税务，海关运营商：联通，电信，移动，广电企业：石油，电力，钢铁，铁路IDC：世纪互联，万网网站：电子商务，门户网站，APP网站业务：证券交易系统，行情查询系统Web网上交易系统Web信息发布系统

邮件系统证券行业需求：交易、行情系统的高可用性

交易、行情系统的数据响应能力

会话保持

高扩展性

安全联系部门：技术信息部

运营部FortiADC竞争对手国际竞争对手F5，Radware，A10，Array，CtrixBarracuda，Kemp，PioLink国内竞争对手深信服，迪普，启明星辰，太一星辰，神州数码，天融信，信安世纪，班固，东华合创L4-L7服务器健康检查L4-L7服务器负载均衡会话保持压缩链路负载全局负载FortiADCSSL加速安全内容交换FortiADC竞争优势ICMP,HTTP,HTTPS,TCP,TCPEcho,DNSandRADIUSPersistentIP,HashHeader,RewriteCookie,EmbeddedCookie,HashIP,HashQuery,InsertCookie,RadiusAttribute,HashIPPort,PersistentCookie,HashCookieAll

in

OneFortinet

,全球第三安全厂商报表FortiManager集中管理FortiAnalyzer集中报表，深度数据挖掘基于硬件压缩Cache稳定性：Since

1999FortiCare全球服务中心Fortinet应用交付整体解决方案之链路负载均衡链路负载均衡特征实现多链路绑定，扩展可用带宽最大支持50条wan链路接入，用于带宽的扩展及链路冗余通过多目的进行链路健康检查基于最佳ISPs进行数据传输，解决中国联通、电信、移动之间互访速度慢的问题Smart

DNS功能，实现多链路域名解析隧道路由，实现VPN等点到点应用多链路扩展传输ISP1ISP2ISP3ApplicationAvailability容错避免单点故障H/A高可靠性配置方式自动WAN链路健康检测广域网链路整合带宽捆绑以缓解瓶颈的问题最大可以支持50条WAN链路绑定完善的负载均衡算法InternetISP1ISP2IdleOverloading✕ISPDown链路负载均衡—扩展带宽，容错解决不同ISP互访速度过慢例:电信、联通、移动等资源互访应用于AutoRouting/Multihoming解决对外访问速度过慢解决对内访问速度过慢支持算法静态内置联通、电信、教育网、移动等IP库通过IP列表匹配选择路径动态基于线路负载（Load）及线路相应时间（RTT）

计算出最快响应路径算法组合方式静态动态先静态后动态先动态后静态链路负载均衡—最佳路由（OptimumRoute）

支持多种链路类型

(DSL,专线等)最大支持

50条WAN链路接入保证Internet访问的不中断多种负载均衡算法最佳路径检测完美解决中国南北互联问题FortiGateAscenLinkFortiSwitchDMZ链路负载均衡—自动路由（OutboundLoadBalance）

InternetISP1RouterISP2InternetClientRoutermail.abc.comwww.abc.com

??LocalDNSServerv1DNSServerv2ARecord

3ARecord

45使用PublicLocalDNS存在问题：1、PublicDNS没有检测WAN链路健康机制2、不支持多链路负载均衡功能3、不能解决南北互联问题链路负载均衡—智能DNS（MultiHoming）

InternetTELRouterCNCInternetClient(e.g.homeuser)RouterAscenLink智能DNS服务器1、Full

DNS服务器

www.abc.comISP1A

ISP2A

基于最优路进检测回应A记录2、容错

不响应断路A记录

确保应用不间断对外发布wwwl.abc.com1LocalDNSServer??2345链路负载均衡—智能DNS（MultiHoming）

捆绑多运营商链路捆绑多类型链路(DSL,PON,TDM)捆绑不同带宽链路最多支持到

50WAN链路链路负载均衡—MultiHoming（Inbound

Load

Balance）

IPDivision,China

XteraCommunications,Inc.Proprietary传输速率性能低下网速过低往往成为瓶颈仅依靠扩充专线提升传输性能只建立单一连线时没有容错机制连线中断后需重新建立VPNInternetISP1ISP2VPNinitializeEstablishedEstablished2M✕3M链路负载均衡—隧道路由（Tunnel

Routing）

传统带到点应用（IPSec

VPN，视频会议等）Internet传输存在问题IPDivision,China

XteraCommunications,Inc.Proprietary在VPN加入负载均衡和容错机制将多条链路整合成更大带宽的虚拟链路提升VPN传输性能建立持续不中断的VPN连线InternetISP1ISP2ISP3ISP4✕AscenLinkTunnelGroup1234561122231526241234563M2M链路负载均衡—隧道路由（Tunnel

Routing）

IPDivision,China

XteraCommunications,Inc.Proprietary总公司北京分公司PPPoEADSLPPPoEADSLDHCPADSL伦敦分公司PPPoEADSLFixedIPLeaseLinePPPoEADSLPPPoEADSLInternetTunnelGroup企业内网连线突破IpSecVPN单条链路链路建立隧道的局限在多链路建立VPN隧道支持动态IP建立隧道，分支机构可以通过多条ADSL接入扩展可用带宽多隧道链路负载均衡，保证内网数据传输的不间断支持加密功能，确保敏感数据公网传输的私密性链路负载均衡—隧道路由（Tunnel

Routing）

VPNDATACENTERBranchVPN特性：单会话/单链路无法实现多链路隧道扩展，带宽效率不佳IPsecVPNIPsecVPNFortiGateFortiSwitchFortiGateFortiSwitch链路负载均衡—隧道路由应用场景

ServersDATACENTERBranchTUNNELROUTINGIPsecVPNAscenLinkAscenLinkVPNoverTunnelRoutingAscenLink基于多链路建立多隧道可以与普通数据共享多Internet链路进行数据传输VPN可以配置较高优先级或者保证带宽N:N-1冗余，断路自动恢复链路负载均衡—隧道路由应用场景

IPDivision,China

XteraCommunications,Inc.Proprietary策略式带宽管理依据Layer3与Layer4通讯协议保证带宽与限制带宽优先权设定可以时间(Schedule)管理P2P&YouTube1~3MERP&Oracle10~100kVoIP&VideoConf.5~20kVoIP&VideoConf.300~500kERP&Oracle1~2MP2P&YouTube10~50k链路负载均衡—QoS带宽管理

IPDivision,China

XteraCommunications,Inc.Proprietary访问控管列表

(ACL)支持DMZ支持Layer7通讯协议IM(Skype/MSN/YahooMessenger/ICQ/QQ)P2P(eDonkey/Bitorrent/Gnutella/WINNY)VoIP(SIP/H323)InternetLANDMZ✕AccessDeny链路负载均衡—防火墙安全功能

实时检测每个IP地址连接数量并发连接Top

N排名病毒源/攻击源定位限制每一个IP地址在同一时间点内的连接数量，对病毒/攻击进行预防，抑制INTERNETdetect!VIRUS!!链路负载均衡—连接限制

链路负载均衡—Report报表链路负载均衡—AscenLink主要功能链路健康检查链路负载均衡最佳路径，最快路径选取隧道路由服务器负载均衡外置报表安全（防火墙，连接限制）智能DNS

-MultiHoming多链路聚合AscenLink

竞争对手国际竞争对手F5，Radware，A10，Array国内竞争对手深信服AscenLinkAscenLink竞争优势支持多种Internet接入：xDAL等最佳路径检测算法，完美解决南北互联问题静态ISP地址库，动态检测静+动组合算法隧道路由，实现VPN、视频会议等点到点应用的多隧道扩展传输LinkReport外置报表，自定义报表MultiHoming---Smart

DNSFull

DNS

Server支持MX，TXT，Dname等记录稳定性：Since

2000FortiCare全球服务中心链路健康检查链路负载均衡最佳路径，最快路径选取隧道路由服务器负载均衡外置报表安全（防火墙，连接限制）智能DNS

-MultiHoming多链路聚合并发连接限制&并发连接数Top

N排名Fortinet应用交付整体解决方案之全局负载均衡

需求分析

随着组织的规模扩大，用户全体和组织机构分布全国乃至全球，这一过程中组织

对信息

化应用系统的依赖性越来越强，如何保障关键业务系统可以7*24不间断稳定、快速运行，

成为组织信息化建设的重中之重！

应用环境

CDN

跨区域运营商

生产/灾备中心

云计算全局负载均衡ApplicationAvailability全局负载均衡ApplicationAvailability无需复杂的BGP网络设置，即可实现多地域数据中心就近访问，异地灾备.全局负载均衡跨地域多中心负载均衡多地域、多运营商数据中心负载均衡基于最快响应进行各个中心的数据分发多数据中心冗余备份高性能及扩展能力增加数据发送能力就近访问增加性能，减小延时增加应用响应时间

增加用户满意度美国数据中心欧洲数据中心ApplicationAvailabilityFortinet所有FortiADC系列产品均支持全局负载均衡功能GSLBFortiDirector基于云技术实现全局负载均衡GSLBHostedServerFortiADCSingle

Server3rdPartyADC基于云技术全局负载均衡IaaS架构，按需付费

提供多种负载均衡算法，实现多地域数据中心负载均衡支持任何协议的DNS路由寻址，设置简单高级健康检查算法，customizablerulesbasedrouting与FortiADC进行整合，FortiDirector全局负载均衡

全局负载均衡统计（数据挖掘）雷达（性能检测）健康检查FortiDirectorFortiDirector竞争对手国际竞争对手CloudFare国内竞争对手安全宝

+

DNSPod网站宝（360）DNS.LAFortiDirector竞争优势---负载算法组合负载均衡算法By运营商By自定义IP群组By区域By时间（固定/周期）FortiDirector竞争优势---报表深度数据挖掘FortiDirector竞争优势---雷达策略调整依据应用交付产品线DATACENTERSMBFortiADCVMs

01–1.0Gbps02–2.1Gbps04–5.0Gbps08–8.0Gbps

(actualspeedsarehardwaredependent)Fortinet’sADCProductsFortiADC-400EHardwareSSL8GbE8.0GbpsProductsInclude:

GlobalServerLoadBalancingLinkLoadBalancingQoS(FortiADCDonly)FirewallCompressionCachingVirtualDomains(FortiADCDonly)Automation(FortiADCEonly)FortiADC-600EHardwareSSL8GbE/2SFP-1012.0GbpsFortiADC-1500DHardwareSSLDualpower/fans8GbE/4SFP-1020.0GbpsFortiADC-200D4GbE2.7GbpsFortiADC-300E6GbE4.8GbpsFortiADC-1000EHardwareSSLDualpower/fans8GbE/2SFP-1015.0GbpsFortiADC-2000DHardwareSSLDualpower/fans16GbE/4SFP-1030.0GbpsFortiADC-4000DHardwareSSLDualpower/fans16GbE/8SFP-1050.0GbpsAL-700AL-5000AL-600060Mb/s100Mb/s200Mb/s500Mb/s1000Mb/s2000Mb/s3000Mb/sAscenLink产品系列相同平台不同型号可以基于License

Key进行升级，无需硬件变动AscenLink产品系列---SKU

设备SKU描述

FortiDirector

FC1-10-FDR01-121-02-12upto100,000redirectspermonth

FC2-10-FDR01-121-02-12upto10,000,000redirectspermonth

FC3-10-FDR01-121-02-12upto500,000,000redirectspermonth

FC4-10-FDR01-121-02-12upto2,000,000,000redirectspermonth

FC5-10-FDR01-121-02-12upto10,000,000,000redirectspermonthFortiDirector

产品系列案例分享GovernmentBarcelonaAirport

BeijingMunicipalcommissionofurbanplanning16thAsianGamesTaiwanElectricPowerCompanyAviationSafetyTechnologyCAACAcademyPortofCadizLaArmadaEspañola(SpanishNavy)IndustryHonHaiPrecisionIndustry(Foxconn)Toshiba

QuantaComputerBridgestoneTires

PrincetonTechnologyChinaNationalChemicalCorpBeijingSinopecL'Oreal(China)Co.,LtdShenzhenAirlinesNEC(China)CO.,LTD

ToyotaFinanceBankofTaiwanFirstSecuritiesDaiwaSecuritiesEsunBankEducationCenterofCommunicationofMinistryofEduca