随需而动 微隔离理念下的Fortinet LAN统一安全方案

门前大桥下

　　随着数字世界的不断发展，攻击面将继续呈指数级扩大。即使我们转向混合办公模式，企业内网仍然是数据和通信的中心。在管理LAN边缘时，企业面临着许多挑战。微隔离(微分段)是一种基于意图(业务需要)的网络分段理念，其能够构建LAN高级七层安全保护，让威胁无机可乘。

　　Fortinet华东区技术负责人卜婵敏分享了Fortinet LAN方案以“微分段”、“安全驱动网络”、“AI赋能”等理念与优势，实现动态威胁识别与响应，构建统一LAN安全防线。

　　安全形式严峻LAN迎多方面挑战

　　在管理LAN边缘时，企业面临着许多挑战：保持不同配置同步、获得整个网络的可见性、管理不同权限的访问、应对高总拥有成本 (TCO)等。与此同时，LAN安全形势也愈加严峻，网络钓鱼、勒索软件、病毒木马等各种攻击日益猖獗。

　　许多LAN解决方案缺乏原生的、足够的安全性，尤其传统网络架构侧重于南北向安全防护，对东西向流量的管控长久以来止步于VLAN等初级层面。而不当的LAN附加安全方案不但增加了企业支出，也为其带来了管理的复杂性，由此还会引发配置漂移等不良后果，甚至给网络犯罪分子可乘之机。

　　FortiLink让网络融合安全一气呵成

　　作为“安全驱动网络”理念的首倡者，Fortinet LAN方案集成了网络和安全性，可帮助组织 IT 降低运营复杂性，并通过人工智能提高网络可见性和提供决策依据，帮助企业解决常见的网络问题，实现可控的网络安全访问。在 LAN 领域，无论是园区还是分支机构、数据中心，Fortinet 客户都可以利用 AI/ML 和简化的 NAC 解决方案，在核心和边缘获得性能更高、更安全的 LAN。

　　FortiGate和FortiSwitch交换机、FortiAP是Fortinet LAN方案的核心设备。FortiLink技术则是将三者融合、联系起来的纽带。通过FortiLink技术，Fortinet防火墙与交换机、AP自动建立管理联动，保持网络或安全配置版本变化能够在全网同步，还能将下一代防火墙(NGFW) 功能和检测扩展到内网，并通过自动化的设备识别实现全面LAN可视化。

　　卜婵敏指出，随着网络中移动设备、可穿戴设备、物联网设备的激增，查看和控制所有联网设备的能力变得比以往任何时候都更加重要。如果无法快速识别这些设备，对其提供保护也就无从谈起。这时强大的NAC解决方案必不可少。Fortinet NAC作为Fortinet LAN方案的关键能力，既突破了传统NAC对802.1x的依赖，无论有线还是无线网络都很容易实施，又易于维护。

　　Fortinet LAN 微分段成就最佳内网隔离

　　网络设备种类和数量激增也让威胁的横向移动更加猖獗，这让只注重南北向安全防护的传统架构力不从心。“内网隔离”不能停留在端口级别，如何实现端点级、应用级、进程级等高级七层安全保护，已经成为当下很多企业LAN网络安全的刚需。微分段(微隔离)是近年来随着零信任安全演进变得热门的安全理念，相比传统网络通过VLAN等低级协议隔离，其能够实现容器、进程、业务负载各种层面的细粒度隔离和管控。

　　Fortinet LAN方案能够实现七层隔离安全保护。方案中，世界上部署最广泛的下一代防火墙 FortiGate NGFW配合FortiSwitch交换机、FortiAP形成的ISFW(内网隔防火墙)解决方案，能够实现“控制区”的自由创建，将原本扁平的LAN网络划分成不同部门、不同业务线等类型的区隔子网。

　　卜婵敏表示，不同于VLAN等技术手段，ISFW能够继承FortiGate下一代防火墙的很多安全功能，使其能够通过更多检查点、应用识别管控、恶意软件检测等手段，以及用户身份、业务逻辑、设备标识等高级别的授权技术，解决扁平LAN网络问题，防止威胁内部横向移动，通过高级安全检查实现应用程序、端点设备、电子邮件等各种层面和形式的安全防护。

　　动态防御、以变应变AI赋能LAN安全

　　安全瞬息万变，静态防御不足以应变。整合AI、动态防御、以变应变、全面阻击威胁是Fortinet应对攻击和威胁变化的着力点。在LAN安全领域，AI赋能FortiGuard威胁情报，实现动态威胁识别与响应，能够构建统一LAN安全防线。

　　不仅如此，Fortinet借助AI在整个攻击面和网络杀伤链上实现自动化和增强：增强SOC有效性，优化操作流程，使威胁无机可乘;通过集中、集成和自动化的解决方案，降低运营复杂性，减少风险;通过比威胁传播本身更快响应来加强安全态势。

　　SPU硬核实力让安全与网络性能兼得

　　安全与网络性能如何兼得?是IT领域长久的话题。Fortinet依靠自研ASIC安全处理单元(SPU)这一硬核实力来实现安全与网络性能的兼得。业内唯一ASIC安全芯片(SPU)，可提供业界最大规模安全应用的可扩展性，同时为用户提供更佳的LAN网络性能使用体验。

　　FortiOS让LAN安全无处不达

　　如果说FortiLink是连接防火墙和交换机、AP，让网络融合安全的纽带，那么FortiOS就是支撑起网络与安全、让安全无处不达的基石。因为Fortinet实现了网络与安全设备(交换机、AP、防火墙)、虚拟机与容器化环境等各种平台共用一套FortiOS系统，让多点安全和网络产品、方案能够有机结合与协同，降低管理和运营复杂度。

　　资料来源于网络，详情请点击：

Fortinet ZTNA安全访问（https://www.fortinet.com/cn/solutions/enterprise-midsize-business/network-access/application-access）

FortiClient 终端防御软件（https://www.fortinet.com/cn/products/endpoint-security/forticlient）