Fortinet Secure SD-WAN Solution Architecture

Giải pháp SD-WAN của Fortinet bao gồm nhiều thành phần có thể kể đến như:
Fortimanager, Fortianalyzer, Fortideploy, FortiGate,….

Hình 2.3: Giới thiệu về SD-WAN của Fortinet

SD-WAN của Fortinet cung cấp cho các doanh nghiệp tính năng như: Multi-Transport,
Transport Overlay, ZTP, Security Services, Multi-Cloud Application Steering, … Về SD-WAN
của Fortinet ta có thể chia thành 3 mặt phẳng chính như sau: Management Plane, Control Plane,
Data Plane.
 Hình 2.4 : Các thành phần kiến trúc SD-WAN của Fortinet
Management Plane
Khi nhắc đến mặt phẳng quản lí có các công cụ nổi bật như: Fortimanager, FortiAnalyzer,
FortiDeploy. Fortimanager cung cấp quản lý tập trung và điều phối các thiết bị WAN Edge. Một
doanh nghiệp có thể triển khai Fortimanager theo dạng on-premises, private cloud hoặc public
cloud. Fortimanager vẫn duy trì khả năng kết nối với từng thiết bị FortiGate, giám sát hiệu suất
các SLA và đưa ra cái nhìn tổng quan về các kết nối. Nó cũng cung cấp template cho cấu hình
chính sách bảo mật, cấu hình chính sách SD-WAN và định nghĩa hiệu suất các SLA.
Các quản trị viên khi triển khai SD-WAN chỉ cần FortiManager kiểm soát toàn bộ việc triển
khai của họ. Với tính linh hoạt để hỗ trợ các API và các kết nối bảo mật, FortiManager tích hợp
liền mạch vào quy trình làm việc lớn hơn trong bất kỳ tổ chức nào.
Fortimanager cũng là một phần quan trọng trong việc Zero-Touch Deployment (ZTD). Bằng
cách thêm khóa ZTD vào một đơn đặt hàng, các tổ chức đăng ký các thiết bị trên hệ thống
FortiDeploy dưới dạng các thiết bị ZTD. Sau đó, khách hàng xác định một địa chỉ IP có thể định
tuyến cho FortiManager trong hệ thống FortiDeploy. Khi một thiết bị mới chỉ đơn giản được cắm
vào nguồn điện và được kết nối với Internet thông qua Ethernet, FortiGate sẽ tự động kết nối,
nhận địa chỉ IP từ FortiManager và ngay lập tức yêu cầu kết nối với FortiManager.

Hình 2.5: Qúa trình xử lí zero-touch deployment của Fortinet.

Khi các thiết bị được nhận thực, Fortimanager sẽ đẩy các template vào từng thiết bị, cấu
hình đầy đủ chúng cho chức năng bảo mật và SD-WAN tại chi nhánh.
Control Plane, Data Plane
Control Plane, Data Plane đều được tích hợp trong FortiGate, một thiết bị chạy trên hệ điều
hành FortiOS, là thành phần cơ bản của giải pháp SD-WAN của Fortinet. Nó có thể hoạt động
độc lập và cung cấp đầy đủ chức năng bao gồm NGFW, các tính năng bảo mật nâng cao và khả
năng SD-WAN. FortiGate dễ dàng hợp nhất các giải pháp WAN Edge vào một thiết bị toàn diện.
FortiGate cũng cung cấp hỗ trợ giao thức định tuyến (ví dụ: RIP, BGP, OSPF, v.v.) và ghép nối
VPN như spoke hoặc hub, cho phép tối ưu hóa WAN thông qua tối ưu hóa giao thức, byte và bộ
nhớ đệm và thậm chí hoạt động như một bộ điều khiển lớp truy cập. Ngoài ra, FortiGate hỗ trợ
ưu tiên gói để đảm bảo các ứng dụng quan trọng được ưu tiên trong thời gian tắc nghẽn.
Giải pháp SD-WAN của FortiGate phần lớn bao gồm các giao diện underlay và overlay
được tổng hợp thành một liên kết WAN ảo duy nhất

Hình 11: Các giao diện SD-WAN (Overlay và Underlay)

Trong Hình 11, có bốn giao diện duy nhất được xác định trên chi nhánh FortiGate. Về mặt
vật lý, có hai kết nối (WAN1 và WAN2) với một mạng MPLS và một nhà cung cấp băng thông
rộng (Broadband Provider). Tuy nhiên, ta có thể thấy có thêm sự xuất hiện của hai giao diện
overlay IPSEC, một đường hầm trên mỗi underlay vật lý. Do đó bốn giao diện này đều được
tổng hợp thành một liên kết WAN ảo của FortiGate. Chúng ta có thể chọn cấu hình các đường
dẫn chính/phụ hoặc thậm chí tổng hợp nhiều đường dẫn để tăng băng thông.
FortiGate hỗ trợ nhiều kết nối cho các đường hầm và kiến trúc IPSEC, từ hub and spoke,
partial mesh, full mesh. Hình 13 cho thấy một kiến trúc VPN hub and spoke.
 Hình 2.6: Kiến trúc Hub and Spoke
Trong kiến trúc này, kết nối giữa các site thông qua trung tâm (Hub). Tuy nhiên, với WAN
Edge mỗi site chi nhánh này sẽ nhận được truy cập Internet trực tiếp, cho phép SD-WAN tối ưu
hóa lựa chọn đường dẫn, đảm bảo hiệu suất ứng dụng và tính khả dụng, cho dù ứng dụng nằm
trong trung tâm dữ liệu của công ty hoặc trong môi trường đa đám mây . Partial mesh, full
mesh cung cấp cho các site chi nhánh kết nối trực tiếp với nhau. FortiGate bao gồm auto-
discovery VPN (ADVPN) để tự động VPN giữa các site Spoke với sự hỗ trợ của site Hub. Mặc
dù khả năng này thường yêu cầu sử dụng các giao thức định tuyến, nhưng các Spoke có thể học
các tuyến đường với nhau, thiết bị FortiGate với vai trò Hub duy trì một bản ghi mạng cho mỗi
Spoke và có thể kết nối các tuyến đường trong khi tạo điều kiện cho kết nối trực tiếp giữa hai site
Spoke.
SD-WAN của Fortinet còn có khả năng NGFW tích hợp. Các kiến trúc giải pháp khác (ví
dụ: giảm tải cho các bên thứ ba, đường hầm lên đám mây, v.v.) là khả thi, nhưng SD-WAN chủ
yếu là về điều khiển và tối ưu hóa WAN Edge. Do đó, nó thực hiện càng nhiều quyền kiểm soát
ở WAN Edge mà không phát sinh thêm chi phí thì FortiGate đáp ứng và vượt quá cả hai yêu cầu
này.

Hình 2.6: Các tích hợp NGFW cho FortiGate

Giá trị tốt nhất được cung cấp trong mỗi thiết bị FortiGate là SOC3. Các bộ xử lý bảo mật
được xây dựng có mục đích tăng cường hiệu suất và khả năng mở rộng để cho phép thiết bị bảo
mật mạng nhanh nhất. Bộ xử lý bảo mật Fortinet phát triển các chức năng quét nội dung và xử lý
gói. Với khả năng trên cho phép các doanh nghiệp chạy nhiều ứng dụng bảo mật mà không bị
suy giảm hiệu suất. Nếu không bị suy giảm hiệu suất, một doanh nghiệp sẽ sử dụng đồng thời
SD-WAN và bảo mật nâng cao trên cùng một thiết bị và với cùng một chi phí.
 Hình 2.7: Xử lý đường dẫn song song FortiGate
Các bộ xử lý bảo mật trong Hình 2.7 được sử dụng để tăng thông lượng từ 1 Gbps đến 1
Tbps — không phụ thuộc vào kích thước gói. Kiến trúc xử lý đường dẫn song song Fortinet tối
ưu hóa tài nguyên phần cứng và phần mềm có sẵn trong luồng dữ liệu để mang lại độ trễ cực
thấp và thông lượng tối đa. FortiGate là một giải pháp bảo mật SD-WAN toàn diện cung cấp khả
năng bảo mật và kiểm soát đường dẫn WAN ở nhánh.
Chính sách tường lửa là một khả năng được thiết lập tốt để cung cấp chính sách bảo mật chi
tiết dựa trên danh tính. Đối với việc triển khai SD-WAN, chính sách bảo mật FortiGate được đơn
giản hóa. Thay vì cung cấp quy tắc cho các thành viên trong liên kết WAN ảo riêng lẻ, người ta
chỉ cần xác định giao diện SD-WAN trong chính sách. Chính sách này sẽ áp dụng cho tất cả các
thành viên trong giao diện, giúp các doanh nghiệp dễ dàng kết hợp SD-WAN và khả năng bảo
mật trong một giao diện, cho dù là FortiGate hay Fortimanager. Điều này cung cấp nhận thưc và
kiểm soát truy cập, cùng với một cơ chế để giới thiệu các tính năng bảo mật nâng cao ở WAN
Edge.
Mặc dù kiểm soát ứng dụng là cần thiết trong SD-WAN, nhưng nó cũng đóng một vai trò
trong bảo mật. Ví dụ: một số tổ chức có thể cho phép tải xuống các tệp từ các kho lưu trữ đám
mây như Dropbox. Tuy nhiên, cùng một tổ chức này có thể không cho phép người dùng tải các
tệp lên các kho lưu trữ tương tự. Trong trường hợp đó, các tổ chức cần kết hợp kiểm tra SSL,
kiểm soát ứng dụng và các tính năng chính sách bảo mật cho giao diện SD-WAN.
Nếu không kiểm tra SSL, bất kỳ thiết bị nào cũng sẽ không có khả năng xác định hoạt động
của phiên. Nếu không có kiểm soát ứng dụng, thiết bị Edge sẽ không thể nhanh chóng xác định
ứng dụng, do đó phân bổ phiên cho các quy tắc tiếp theo. Ngay cả khi các doanh nghiệp có thể
xác định hoạt động của ứng dụng và người dùng, họ không thể giới thiệu chính sách bảo mật dựa
trên danh tính mà không cần cơ sở quy tắc tường lửa. Các tính năng kết hợp này cho phép không
chỉ kiểm soát đường dẫn WAN chính xác mà còn giới thiệu các tính năng bảo mật tiên tiến, bao
gồm IPS, chống phần mềm độc hại và lọc URL.