Giải pháp SD-WAN của Fortinet bao gồm nhiều thành phần có thể kể đến như: Fortimanager, Fortianalyzer, Fortideploy, FortiGate,….
Hình 2.3: Giới thiệu về SD-WAN của Fortinet
SD-WAN của Fortinet cung cấp cho các doanh nghiệp tính năng như: Multi-Transport, Transport Overlay, ZTP, Security Services, Multi-Cloud Application Steering, … Về SD-WAN của Fortinet ta có thể chia thành 3 mặt phẳng chính như sau: Management Plane, Control Plane, Data Plane. Hình 2.4 : Các thành phần kiến trúc SD-WAN của Fortinet Management Plane Khi nhắc đến mặt phẳng quản lí có các công cụ nổi bật như: Fortimanager, FortiAnalyzer, FortiDeploy. Fortimanager cung cấp quản lý tập trung và điều phối các thiết bị WAN Edge. Một doanh nghiệp có thể triển khai Fortimanager theo dạng on-premises, private cloud hoặc public cloud. Fortimanager vẫn duy trì khả năng kết nối với từng thiết bị FortiGate, giám sát hiệu suất các SLA và đưa ra cái nhìn tổng quan về các kết nối. Nó cũng cung cấp template cho cấu hình chính sách bảo mật, cấu hình chính sách SD-WAN và định nghĩa hiệu suất các SLA. Các quản trị viên khi triển khai SD-WAN chỉ cần FortiManager kiểm soát toàn bộ việc triển khai của họ. Với tính linh hoạt để hỗ trợ các API và các kết nối bảo mật, FortiManager tích hợp liền mạch vào quy trình làm việc lớn hơn trong bất kỳ tổ chức nào. Fortimanager cũng là một phần quan trọng trong việc Zero-Touch Deployment (ZTD). Bằng cách thêm khóa ZTD vào một đơn đặt hàng, các tổ chức đăng ký các thiết bị trên hệ thống FortiDeploy dưới dạng các thiết bị ZTD. Sau đó, khách hàng xác định một địa chỉ IP có thể định tuyến cho FortiManager trong hệ thống FortiDeploy. Khi một thiết bị mới chỉ đơn giản được cắm vào nguồn điện và được kết nối với Internet thông qua Ethernet, FortiGate sẽ tự động kết nối, nhận địa chỉ IP từ FortiManager và ngay lập tức yêu cầu kết nối với FortiManager.
Hình 2.5: Qúa trình xử lí zero-touch deployment của Fortinet.
Khi các thiết bị được nhận thực, Fortimanager sẽ đẩy các template vào từng thiết bị, cấu hình đầy đủ chúng cho chức năng bảo mật và SD-WAN tại chi nhánh. Control Plane, Data Plane Control Plane, Data Plane đều được tích hợp trong FortiGate, một thiết bị chạy trên hệ điều hành FortiOS, là thành phần cơ bản của giải pháp SD-WAN của Fortinet. Nó có thể hoạt động độc lập và cung cấp đầy đủ chức năng bao gồm NGFW, các tính năng bảo mật nâng cao và khả năng SD-WAN. FortiGate dễ dàng hợp nhất các giải pháp WAN Edge vào một thiết bị toàn diện. FortiGate cũng cung cấp hỗ trợ giao thức định tuyến (ví dụ: RIP, BGP, OSPF, v.v.) và ghép nối VPN như spoke hoặc hub, cho phép tối ưu hóa WAN thông qua tối ưu hóa giao thức, byte và bộ nhớ đệm và thậm chí hoạt động như một bộ điều khiển lớp truy cập. Ngoài ra, FortiGate hỗ trợ ưu tiên gói để đảm bảo các ứng dụng quan trọng được ưu tiên trong thời gian tắc nghẽn. Giải pháp SD-WAN của FortiGate phần lớn bao gồm các giao diện underlay và overlay được tổng hợp thành một liên kết WAN ảo duy nhất
Hình 11: Các giao diện SD-WAN (Overlay và Underlay)
Trong Hình 11, có bốn giao diện duy nhất được xác định trên chi nhánh FortiGate. Về mặt vật lý, có hai kết nối (WAN1 và WAN2) với một mạng MPLS và một nhà cung cấp băng thông rộng (Broadband Provider). Tuy nhiên, ta có thể thấy có thêm sự xuất hiện của hai giao diện overlay IPSEC, một đường hầm trên mỗi underlay vật lý. Do đó bốn giao diện này đều được tổng hợp thành một liên kết WAN ảo của FortiGate. Chúng ta có thể chọn cấu hình các đường dẫn chính/phụ hoặc thậm chí tổng hợp nhiều đường dẫn để tăng băng thông. FortiGate hỗ trợ nhiều kết nối cho các đường hầm và kiến trúc IPSEC, từ hub and spoke, partial mesh, full mesh. Hình 13 cho thấy một kiến trúc VPN hub and spoke. Hình 2.6: Kiến trúc Hub and Spoke Trong kiến trúc này, kết nối giữa các site thông qua trung tâm (Hub). Tuy nhiên, với WAN Edge mỗi site chi nhánh này sẽ nhận được truy cập Internet trực tiếp, cho phép SD-WAN tối ưu hóa lựa chọn đường dẫn, đảm bảo hiệu suất ứng dụng và tính khả dụng, cho dù ứng dụng nằm trong trung tâm dữ liệu của công ty hoặc trong môi trường đa đám mây . Partial mesh, full mesh cung cấp cho các site chi nhánh kết nối trực tiếp với nhau. FortiGate bao gồm auto- discovery VPN (ADVPN) để tự động VPN giữa các site Spoke với sự hỗ trợ của site Hub. Mặc dù khả năng này thường yêu cầu sử dụng các giao thức định tuyến, nhưng các Spoke có thể học các tuyến đường với nhau, thiết bị FortiGate với vai trò Hub duy trì một bản ghi mạng cho mỗi Spoke và có thể kết nối các tuyến đường trong khi tạo điều kiện cho kết nối trực tiếp giữa hai site Spoke. SD-WAN của Fortinet còn có khả năng NGFW tích hợp. Các kiến trúc giải pháp khác (ví dụ: giảm tải cho các bên thứ ba, đường hầm lên đám mây, v.v.) là khả thi, nhưng SD-WAN chủ yếu là về điều khiển và tối ưu hóa WAN Edge. Do đó, nó thực hiện càng nhiều quyền kiểm soát ở WAN Edge mà không phát sinh thêm chi phí thì FortiGate đáp ứng và vượt quá cả hai yêu cầu này.
Hình 2.6: Các tích hợp NGFW cho FortiGate
Giá trị tốt nhất được cung cấp trong mỗi thiết bị FortiGate là SOC3. Các bộ xử lý bảo mật được xây dựng có mục đích tăng cường hiệu suất và khả năng mở rộng để cho phép thiết bị bảo mật mạng nhanh nhất. Bộ xử lý bảo mật Fortinet phát triển các chức năng quét nội dung và xử lý gói. Với khả năng trên cho phép các doanh nghiệp chạy nhiều ứng dụng bảo mật mà không bị suy giảm hiệu suất. Nếu không bị suy giảm hiệu suất, một doanh nghiệp sẽ sử dụng đồng thời SD-WAN và bảo mật nâng cao trên cùng một thiết bị và với cùng một chi phí. Hình 2.7: Xử lý đường dẫn song song FortiGate Các bộ xử lý bảo mật trong Hình 2.7 được sử dụng để tăng thông lượng từ 1 Gbps đến 1 Tbps — không phụ thuộc vào kích thước gói. Kiến trúc xử lý đường dẫn song song Fortinet tối ưu hóa tài nguyên phần cứng và phần mềm có sẵn trong luồng dữ liệu để mang lại độ trễ cực thấp và thông lượng tối đa. FortiGate là một giải pháp bảo mật SD-WAN toàn diện cung cấp khả năng bảo mật và kiểm soát đường dẫn WAN ở nhánh. Chính sách tường lửa là một khả năng được thiết lập tốt để cung cấp chính sách bảo mật chi tiết dựa trên danh tính. Đối với việc triển khai SD-WAN, chính sách bảo mật FortiGate được đơn giản hóa. Thay vì cung cấp quy tắc cho các thành viên trong liên kết WAN ảo riêng lẻ, người ta chỉ cần xác định giao diện SD-WAN trong chính sách. Chính sách này sẽ áp dụng cho tất cả các thành viên trong giao diện, giúp các doanh nghiệp dễ dàng kết hợp SD-WAN và khả năng bảo mật trong một giao diện, cho dù là FortiGate hay Fortimanager. Điều này cung cấp nhận thưc và kiểm soát truy cập, cùng với một cơ chế để giới thiệu các tính năng bảo mật nâng cao ở WAN Edge. Mặc dù kiểm soát ứng dụng là cần thiết trong SD-WAN, nhưng nó cũng đóng một vai trò trong bảo mật. Ví dụ: một số tổ chức có thể cho phép tải xuống các tệp từ các kho lưu trữ đám mây như Dropbox. Tuy nhiên, cùng một tổ chức này có thể không cho phép người dùng tải các tệp lên các kho lưu trữ tương tự. Trong trường hợp đó, các tổ chức cần kết hợp kiểm tra SSL, kiểm soát ứng dụng và các tính năng chính sách bảo mật cho giao diện SD-WAN. Nếu không kiểm tra SSL, bất kỳ thiết bị nào cũng sẽ không có khả năng xác định hoạt động của phiên. Nếu không có kiểm soát ứng dụng, thiết bị Edge sẽ không thể nhanh chóng xác định ứng dụng, do đó phân bổ phiên cho các quy tắc tiếp theo. Ngay cả khi các doanh nghiệp có thể xác định hoạt động của ứng dụng và người dùng, họ không thể giới thiệu chính sách bảo mật dựa trên danh tính mà không cần cơ sở quy tắc tường lửa. Các tính năng kết hợp này cho phép không chỉ kiểm soát đường dẫn WAN chính xác mà còn giới thiệu các tính năng bảo mật tiên tiến, bao gồm IPS, chống phần mềm độc hại và lọc URL.