Fortinet应用交付解决方案.pptx

1、Fortinet 应用交付整体解决方案Fortinet 中国郭海山,Fortinet现状,安全领导厂商,全球第三大安全供应商,UTM魔力象限图“领导者”-自2009年,高端 FortiGate-5000 & 3000,FortiMail,FortiWeb,FortiDB,FortiScan,FortiSwitch,FortiBridge,FortiAuthenticator,FortiClient,FortiDDoS,Ascenlink,FortiDNS,FortiCache,FortiVoice,FortiAnalyzer,FortiManager,FortiCamera,从云到端的整体安全

2、方案,中端 FortiGate-1000 100,桌面式 FortiGate/FortiWiFi-90 20,FortiAP,FortiToken,FortiADC,FortiSandbox,FortiCloud,FortiDirector,如何实现应用的快速、稳定交付？,Web 服务器,联通资源及用户,电信资源及用户,Mail 服务器,办公网,防火墙,单点故障,服务器单点故障 链路单点故障 中心单点故障,应用快速交付,扩展带宽 南北互联问题 就近访问 SSL卸载/加速 压缩 缓存 TCP连接复用 QoS,Application Servers,Fortinet 应用交付整体解决方案 之 应用

3、交付场景分析,Internet,单台服务器，单条Internet链路 处理性能瓶颈 单点故障,一般应用交付问题:服务器资源耗竭单点故障,应用交付场景分析,Internet,优化较差的文件传输 过量的带宽资源消耗 延时增大 用户满意度差,一般应用交付问题:服务器资源耗竭,应用交付场景分析,Internet,大量内容重复交付 一是严重消耗服务器资源 二是严重消耗带宽资源,一般应用交付问题:网络资源耗竭,应用交付场景分析,Internet,基于地理位置的数据中心访问导致质量较差的应用交付,一般应用交付问题:访问速度,应用交付场景分析,Internet,数据中心或者ISP链路故障导致应用不可达,一般应

4、用交付问题:数据中心不可达,应用交付场景分析,Fortinet 应用交付整体解决方案,服务器负载均衡,安全,链路负载均衡/全局负载均衡,应用交付网络,ADC Server LB SSL Offloading Compression Cache,Firewall/VPN Antivirus/malware IPS/IP Reputation WAF,WAN Optimization GSLB Link Load Balancing,FortiADC,FortiGate FortiGuard FortiAnalyzer FortiManager FortiWeb,FortiADC (LLB/GSL

5、B) FortiDirector (GSLB) AscenLink (LLB/Tunnel Routing),Application Delivery Controllers 适用于移动应用，云应用及企业级应用-from anywhere-to-anywhere 可用性优化，用户体验优化，性能优化，可扩展性优化,应用交付实现功能,Application Servers,Fortinet 应用交付整体解决方案 之 服务器负载均衡,服务器负载均衡,Application Availability,通过多种方式分发连接到服务器群组,保持终端用户和服务器之间的会话持续性 所有来自相同客户端的连接被路由

6、到相同的服务器,实时服务器健康检查,流量控制,确保关键应用的带宽需求 为关键应用划分专用通道 为时间敏感应用提升优先级，如VoIP和视频会议应用,基于 IP,接口和服务进行 QoS管理,Server C capacity,Server B capacity,Server A capacity,Application Availability,SSL 优势 用以保障在Internet上数据传输之安全，利用数据加密(Encryption) 技术，可确保数据在网络上之传输过程中不会被截取及窃听,SSL 劣势 所有传输内容均采用加密算法处理 非对称加密 对称加密 加解密过程对服务器资源消耗严重,非对成

7、加密采用1024位的密钥进行加解密，大约每秒钟400次非对称加解密 就能导致CPU占用率100%。 对称加密通常采用128位，最高256位加密的加解密也会导致服务器CPU占 用率居高不下，同样的服务器SSL流量大约能达到150Mbps,SSL 卸载,Application Acceleration,SSL 卸载,Application Acceleration,HTTP 压缩,Content-Rich Applications(Javascript, CSS, etc.),Gzip,Compressed,Gzip,Application Acceleration,TCP 连接复用,Applic

8、ation Acceleration,可将来自于客户端的上万数量级的TCP 连接请求连接复用或者整合为较低的连接请求数量，从而减轻真实服务器的重复数据处理，加速处理性能,A B C D,E F,K L,G,H I J,A B C D E F,G H I J K L,内容寻址,Application Aware Intelligence,高效能应用服务器群组管理,内容重写,Application Aware Intelligence,隐藏敏感Web服务器信息 将内部的、不可路由的内容对外发布,对请求和响应传输进行内容重写,更进一步的访问控制 防DDoS攻击 2012年，90%以上的电子商务网站都

9、受到过DDoS的攻击 其中有三分之一的网站的网络受到较大影响 DNS安全 缓存投毒、域名劫持 中间人攻击、DNS FLOOD攻击 SSL加密内容检测,安全,Security,The last stand,Application Servers,安全,Security,阻挡到服务器的非正常访问 阻挡SYN flood 攻击,FortiADC 功能综述,App,Web,应用基础架构,DB,Internet,FortiADC,L4-L7 服务器健康检查,L4-L7 服务器负载均衡,会话保持,压缩,链路负载,全局负载,SSL加速,安全,内容交换,报表,Cache,Web应用：Sharepoint, L

10、YNC, IIS and Apache Client/Server应用：DNS, FTP, RADIUS, SMTPS, IMAPS, POP3 Broswer/Server应用：OA 系统等 流应用：VoIP, VOD, Video Conference, RTSP, MMS and SIP Mail：Microsoft Exchange,FortiADC应用支持,FortiADC行业需求分析,金融：银行，证券 教育：高校，教育局，考试院 政府：公安，税务，海关 运营商：联通，电信，移动，广电 企业：石油，电力，钢铁，铁路 IDC：世纪互联，万网 网站：电子商务，门户网站，APP 网站,业务

11、：证券交易系统，行情查询系统 Web网上交易系统 Web信息发布系统 邮件系统,证券行业,需求：交易、行情系统的高可用性 交易、行情系统的数据响应能力 会话保持 高扩展性 安全,联系部门：技术信息部 运营部,FortiADC竞争对手,国际竞争对手 F5 ，Radware ，A10 ，Array ，Ctrix Barracuda ，Kemp ，PioLink 国内竞争对手 深信服，迪普，启明星辰，太一星辰，神州数码，天融信，信安世纪， 班固，东华合创,L4-L7 服务器健康检查,L4-L7 服务器负载均衡,会话保持,压缩,链路负载,全局负载,FortiADC,SSL加速,安全,内容交换,Fort

12、iADC 竞争优势,ICMP, HTTP, HTTPS, TCP, TCP Echo, DNS and RADIUS,Persistent IP, Hash Header, Rewrite Cookie, Embedded Cookie, Hash IP, Hash Query, Insert Cookie, Radius Attribute, Hash IP Port, Persistent Cookie, Hash Cookie,All in One,Fortinet , 全球第三安全厂商,报表,FortiManager集中管理 FortiAnalyzer 集中报表，深度数据挖掘,基于硬件

13、压缩,Cache,稳定性：Since 1999,FortiCare 全球服务中心,Fortinet 应用交付整体解决方案 之 链路负载均衡,链路负载均衡,ISP 1,ISP 2,ISP 3,Application Availability,容 错 避免单点故障 H/A 高可靠性配置方式 自动WAN链路健康检测 广域网链路整合 带宽捆绑以缓解瓶颈的问题 最大可以支持50 条WAN链路绑定 完善的负载均衡算法,Internet,ISP 1,ISP 2,Idle,Overloading,链路负载均衡扩展带宽，容错,解决不同ISP互访速度过慢 例:电信、联通、移动等资源互访 应用于 AutoRouti

14、ng / Multihoming 解决对外访问速度过慢 解决对内访问速度过慢 支持算法 静态 内置联通、电信、教育网、移动等IP库 通过IP列表匹配选择路径 动态 基于线路负载（Load）及线路相应时间（RTT）计算出最快响应路径 算法组合方式 静态 动态 先静态后动态 先动态后静态,链路负载均衡最佳路由（Optimum Route）,支持多种链路类型 (DSL, 专线等) 最大支持 50 条WAN链路接入 保证Internet访问的不中断 多种负载均衡算法 最佳路径检测完美解决中国南北互联问题,FortiGate,AscenLink,FortiSwitch,DMZ,链路负载均衡自动路由（Ou

15、tbound Load Balance）,Internet,ISP1,Router,ISP2,Internet Client,Router, ?,使用Public Local DNS存在问题： 1、Public DNS 没有检测WAN链路健康机制 2、不支持多链路负载均衡功能 3、不能解决南北互联问题,链路负载均衡智能DNS（MultiHoming）,Internet,TEL,Router,CNC,Internet Client (e.g. home user),Router,AscenLink 智能DNS服务器 1、Full DNS 服务器 ISP1 A ISP2 A 2.2

16、.2.1 基于最优路进检测回应A记录 2、容错 不响应断路A记录 确保应用不间断对外发布, ?,链路负载均衡智能DNS（MultiHoming）,捆绑多运营商链路 捆绑多类型链路(DSL, PON, TDM) 捆绑不同带宽链路 最多支持到 50 WAN链路,链路负载均衡MultiHoming（Inbound Load Balance）,IP Division, China Xtera Communications, Inc. Proprietary,传输速率性能低下 网速过低往往成为瓶颈 仅依靠扩充专线提升传输性能 只建立单一连线时 没有容错机制 连线中断后需重新建立VPN,Internet,

17、ISP 1,ISP 2,VPN initialize,Established,Established,2M,3M,链路负载均衡隧道路由（Tunnel Routing）,传统带到点应用（IPSec VPN，视频会议等）Internet传输存在问题,IP Division, China Xtera Communications, Inc. Proprietary,在VPN加入负载均衡和容错机制 将多条链路整合成更大带宽的虚拟链路 提升VPN传输性能 建立持续不中断的VPN连线,Internet,ISP 1,ISP 2,ISP 3,ISP 4,AscenLink Tunnel Group,1,2,3

18、,4,5,6,1,2,3,4,5,6,3M,2M,链路负载均衡隧道路由（Tunnel Routing）,IP Division, China Xtera Communications, Inc. Proprietary,总公司,北京分公司,PPPoE ADSL,PPPoE ADSL,Fixed IP Lease Line,PPPoE ADSL,PPPoE ADSL,Internet,突破IpSec VPN单条链路链路建立隧道的局限 在多链路建立VPN隧道,支持动态IP建立隧道，分支机构可以通过 多条ADSL接入扩展可用带宽,多隧道链路负载均衡，保证内网数据传输的不间断,支持加密功能，确保敏感数

19、据公网传输的私密性,链路负载均衡隧道路由（Tunnel Routing）,VPN,DATA CENTER,Branch,VPN 特性：单会话/单链路 无法实现多链路隧道扩展，带宽效率不佳,IPsec VPN,IPsec VPN,FortiGate,FortiSwitch,FortiGate,FortiSwitch,链路负载均衡隧道路由应用场景,Servers,DATA CENTER,Branch,TUNNEL ROUTING,IPsec VPN,AscenLink,AscenLink,VPN over Tunnel Routing AscenLink 基于多链路建立多隧道 可以与普通数据共享多

20、Internet链路进行数据传输 VPN 可以配置较高优先级或者保证带宽 N:N-1 冗余，断路自动恢复,链路负载均衡隧道路由应用场景,IP Division, China Xtera Communications, Inc. Proprietary,策略式带宽管理 依据Layer 3与Layer 4通讯协议 保证带宽与限制带宽 优先权设定 可以时间(Schedule)管理,链路负载均衡QoS带宽管理,IP Division, China Xtera Communications, Inc. Proprietary,访问控管列表 (ACL) 支持DMZ 支持Layer 7通讯协议 IM (Sk

21、ype / MSN / Yahoo Messenger / ICQ / QQ) P2P (eDonkey / Bitorrent / Gnutella / WINNY) VoIP (SIP / H323),链路负载均衡防火墙安全功能,实时检测每个IP地址连接数量 并发连接Top N排名 病毒源/攻击源定位 限制每一个IP地址在同一时间点内的连接数量，对病毒/攻击进行预防，抑制,INTERNET,VIRUS !,链路负载均衡连接限制,链路负载均衡Report报表,链路负载均衡AscenLink主要功能,链路健康检查,链路负载均衡,最佳路径，最快路径选取,隧道路由,服务器负载均衡,外置报表,安全（

22、防火墙，连接限制）,智能DNS -MultiHoming,多链路聚合,AscenLink 竞争对手,国际竞争对手 F5 ，Radware ，A10 ，Array 国内竞争对手 深信服,AscenLink,AscenLink 竞争优势,支持多种Internet接入：xDAL 等,最佳路径检测算法，完美解决南北互联问题 静态ISP 地址库，动态检测 静+动 组合算法,隧道路由，实现VPN、视频会议等点到点应用的多隧道扩展传输,LinkReport 外置报表，自定义报表,MultiHoming-Smart DNS Full DNS Server 支持MX，TXT，Dname 等记录,稳定性：Sinc

23、e 2000,FortiCare 全球服务中心,链路健康检查,链路负载均衡,最佳路径，最快路径选取,隧道路由,服务器负载均衡,外置报表,安全（防火墙，连接限制）,智能DNS -MultiHoming,多链路聚合,并发连接限制 & 并发连接数Top N排名,Fortinet 应用交付整体解决方案 之 全局负载均衡,需求分析 随着组织的规模扩大，用户全体和组织机构分布全国乃至全球，这一过程中组织 对信息 化应用系统的依赖性越来越强，如何保障关键业务系统可以7*24不间断稳定、快速运行， 成为组织信息化建设的重中之重！,应用环境 CDN 跨区域运营商 生产/灾备中心 云计算,全局负载均衡,Appli

24、cation Availability,全局负载均衡,Application Availability,无需复杂的BGP网络设置，即可实现多地域数据中心就近访问，异地灾备.,全局负载均衡,美国数据中心,欧洲数据中心,Application Availability,Fortinet所有 FortiADC 系列产品均支持全局负载均衡功能 GSLB FortiDirector 基于云技术实现全局负载均衡GSLB,Hosted Server,FortiADC,SingleServer,3rd Party ADC,基于云技术全局负载均衡 IaaS架构，按需付费 提供多种负载均衡算法，实现多地域数据中心

25、负载均衡 支持任何协议的DNS路由寻址，设置简单 高级健康检查算法， customizable rules based routing 与FortiADC进行整合，,FortiDirector,全局负载均衡,全局负载均衡,统计（数据挖掘）,雷达（性能检测）,健康检查,FortiDirector,FortiDirector 竞争对手,国际竞争对手 CloudFare 国内竞争对手 安全宝 + DNSPod 网站宝（360） DNS.LA,FortiDirector 竞争优势-负载算法,组合负载均衡算法,By 运营商 By 自定义IP群组 By 区域 By 时间（固定/周期）,FortiDirec

26、tor 竞争优势-报表,FortiDirector 竞争优势-雷达,应用交付产品线,DATA CENTER,SMB,FortiADC VMs 01 1.0 Gbps 02 2.1 Gbps 04 5.0 Gbps 08 8.0 Gbps (actual speeds are hardware dependent),Fortinets ADC Products,FortiADC-400E Hardware SSL 8 GbE 8.0 Gbps,Products Include: Global Server Load Balancing Link Load Balancing QoS (Forti

27、ADC D only) Firewall Compression Caching Virtual Domains (FortiADC D only) Automation (FortiADC E only),FortiADC-600E Hardware SSL 8 GbE/2 SFP-10 12.0 Gbps,FortiADC-1500D Hardware SSL Dual power/fans 8 GbE/4 SFP-10 20.0 Gbps,FortiADC-200D 4 GbE 2.7 Gbps,FortiADC-300E 6 GbE 4.8 Gbps,FortiADC-1000E Ha

28、rdware SSL Dual power/fans 8 GbE/2 SFP-10 15.0 Gbps,FortiADC-2000D Hardware SSL Dual power/fans 16 GbE/4 SFP-10 30.0 Gbps,FortiADC-4000D Hardware SSL Dual power/fans 16 GbE/8 SFP-10 50.0 Gbps,AscenLink 产品系列,相同平台不同型号可以基于License Key进行升级，无需硬件变动,AscenLink 产品系列-SKU,FortiDirector 产品系列,案例分享,Government Barc

29、elona AirportBeijing Municipal commission of urban planning 16th Asian Games Taiwan Electric Power Company Aviation Safety Technology CAAC Academy Port of Cadiz La Armada Espaola (Spanish Navy) Industry Hon Hai Precision Industry (Foxconn) ToshibaQuanta Computer Bridgestone TiresPrinceton Technology

30、 China National Chemical Corp Beijing Sinopec LOreal(China)Co., Ltd Shenzhen Airlines NEC (China) CO.,LTDToyota Finance Bank of Taiwan First Securities Daiwa Securities Esun Bank,Education Center of Communication of Ministry of Education of the P.R.C AIEP, Chile SIFT(Shanghai Institute Of Foreign Trade) Collegi Sant Pere ChanelChina Oil Chemical Party School EDUCAEDUShanghai Lixin University o