今天小编分享的互联网经验:全球首艘5G邮轮,爱达·魔都号如何实现多网络融合隔离控制?,欢迎阅读。
图片来源 @视觉中国
七天六夜航程 1119 海里,从上海至韩国济州、日本长崎和福冈,国产首艘大型邮轮爱达 · 魔都号于日前首航返沪。
作为全球首艘 5G 邮轮,爱达 · 魔都号顺利首航背后也有着诸多 " 科技与狠活 "。单就网络场景来说,为了给乘客提供极致的上网体验,爱达 · 魔都号部署了 5G、Wi-Fi 6、卫星等天地一体组网形成的多种网络形式。不过,再加上办公、管理和访客等多 " 张 " 网络,爱达 · 魔都号面临安全隔离与控制、网络负载均衡、安全防护和可视化、运维管理、威胁应对等多种挑战。
如何应对多网络场景下的这些挑战,建立一个安全、高性能的网络环境,是爱达 · 魔都号这艘国产大邮轮面临的重要课题之一。
场景痛点:远离陆地、多网络覆盖下的复杂性挑战
随着人们生活经济水平的提高,邮轮已经成为很多家庭、个人或部門旅行的一种选择,网络对于旅客而言也已经成为一种 " 刚需 "。但邮轮作为一种特殊的旅游与交通方式,由于运行中大部分时间远离陆地,很难享受到陆上构建的 4G、5G 等网络基础设施服务。同时,又由于邮轮会在全球各地巡游,即便是进港或临近陆地也面临国际化的巨大网络差异。
以爱达 · 魔都号首航为例,其首航跨越了中国、韩国、日本三个国家、多个城市。这一背景下,要想进行多种网络的覆盖和服务,相比其他的交通方式存在较大的挑战。如果想要搭载 5G 网络,给旅客提供更快、更高质量、更多选择的网络," 爱达 · 魔都号 " 面临的多网络管理挑战更大。
综合来看,5G 邮轮相对而言需要对更多的网络媒介进行管理与分配,使得旅客以及邮轮自身的办公、运营等都能得到最佳的网络体验。同时,还要对多张网络进行有效安全隔离与控制。
此外,在数字化发展讯猛的今天,即便是全球首艘 5G 邮轮,也需要考虚到未来的扩展以及更新,这就要求网络和安全需要预留网络和安全性能、功能的扩展性。
方案成果:一套系统实现多网络融合隔离控制
在充分考虑了邮轮上网络安全建设挑战和需求的基础上,爱达 · 魔都号采用了 Fortinet 基于自研专用芯片的高性能 FortiGate 防火墙,构建核心安全集群交换系统,确保网络连续、安全、可靠地运行;同时,采用 Fortinet 专用安全处理( SPU) 的硬體架构设计,提供威胁防护性能和超低延迟体验。
具体实践上,由于邮轮多网共存的现状需要灵活、有效的隔离和策略控制,FortiGate 无缝集成7 层高级网络安全功能及虚拟網域(VDOM),可提供多种场景的灵活部署。邮轮可以通过在 FortiGate 上启用 VDOM 实现访客网、办公网、海事网、管理网业务的隔离,为不同业务应用个性化的安全策略,实现了一套系统多网络防护。同时,通过 VDOM 虚拟集群技术将关键流量和互联网流量置于不同节点,实现了 FortiGate 集群节点的冗余和最大化的资源利用。
针对邮轮多种场景网络分配,以及国际化的网络 " 漫游 " 现状,FortiGate 集成 SD-WAN 实现多链路负载。FortiGate 是原生的网络融合安全产品,集成丰富的 SD-WAN 能力,通过全球唯一 SD-WAN 专用芯片在实现高性能、大规模的网络转发,也通过专用内容处理芯片实现精准、高效安全防护过滤和管控。
FortiGate 也可以实现对应用和流量的精准识别、管控,针对访客互联网应用、船上数据中心业务、陆上数据中心应用、云上应用、海事应用等应用类型,以及在近海区網域的 5G、远海区網域的卫星链路、海事专线等多种链路场景,FortiGate 都能够在精准识别和监测的基础上,根据线路质量、流量占用、业务优先级等各种指标来优化整个网终的带宽分配。从而达到精准分配流量、精准管控应用、优先保障核心业务、提升关键应用用户使用体验,实现整个网络带宽资源的最佳利用,降低网络带宽的投入。
数字化、全球化等特点也要求邮轮具备健壮的安全防护能力。安全则是 FortiGate 的基因,其提供丰富高效的安全防护。作为下一代防火墙,FortiGate 将多种威胁防御功能集成到由专用安全处理单元 SPU 提供支持的单个高性能网络安全设备中,极大的降低网络复杂性并最大限度地提高投资回报率,集成的 AV、IPS、应用控制、Web 过滤、DNS 过滤、反垃圾邮件、DLP、Web 应用防护、沙箱集成等安全能力,为访客互联网访问和邮轮本地应用提供全面的安全防护和深度应用控制。
相比有限的传统网络,数字化时代邮轮需要集中管理和自动化运维中心平台,实现有效的网络和安全管理。尤其对于长期邀游在海洋之上的邮轮来说,更要通过集中和自动化平台实现安全威助的及时感知和自动化应对。
以爱达 · 魔都号邮轮为例,FortiManager 和 FortiAnalyzer 就是集中管理和运维中心平台,通过和 FortiGate 集成构建 Fortinet Security Fabric,实现 NOC-SOC 工作流,安全 ( SOC ) 工作流和运营 ( NOC ) 工作流之间可自动交换数据,因此形成了完整的工作流,通过集成 FortiAnalyzer 可获得高级数据可视化和分析功能,从而提升可见性,帮助运维人员快速掌握情况、识别威胁并简化托管设备的快速配置和安全保护。
方案中,Fortinet 通过一套安全系统 Fortinet Security Fabric 实现了邮轮多网络的融合隔离控制,降低了实施复杂度和建设成本。同时,Fortinet 集中管理和运维平台提供了对 IT 资产的有效控制和可见性,满足邮轮精细化访问控制需求。而 FortiGate NGFW 的安全能力满足邮轮网络严苛的安全防护需求,保障安全合规。此外,Fortinet 一体化运维平台和自动化能力简化了邮轮的网络和安全管理,为 IT 团队节省资源和时间。通过灵活易用的 SD-WAN 邮轮也实现了基于应用的 SLA 智能选路灵活性,为工作人员、旅客提供极致的网络访问体验,降低线路资源成本。