备受期待的“FortiOS安全无处不达”系列直播讲座已于上周正式开讲。Fortinet北亚区首席技术顾问谭杰，在第一讲中详解了FortiGate下一代防火墙（NGFW）如何为企业构建安全、高效、智能的边界安全枢纽，助力企业数字化转型。当前企业数字化转型加速，网络边界逐渐模糊，威胁已经无处不在，多种安全产品的运维复杂性又让管理人员无所适从，而更多安全功能的简单叠加导致的网络性能降低更让企业进退两难。

转变带来企业边界安全挑战

Gartner数据显示，当前企业数字化业务转型正在加速，60%¹管理决策层选择通过数字业务转型来提高运营绩效。同时 ，越来越多的企业从传统架构转移到混合架构，51%²的企业都在使用多云架构。此外，网络威胁也在不断上升，勒索软件攻击在过去一年增加了11倍³。

谭杰表示，在这些明显的因素推动下，企业安全正在发生着巨大的转变。首先就是OT与IT融合加速、随时随地办公（WFA）、多云模式普及等企业数字化转型趋势，使得“网络边界”逐渐模糊，威胁已经无处不在，企业边界已经不是“内网和外网”这种简单的二元划分。

这种转变不但让传统防火墙等产品形同虚设，也对过去多品牌、多型号安全产品之间的孤立作战模式提出了严峻挑战。不仅如此，从用户视角来看，繁杂的安全产品不但带来了操作复杂性，而随着威胁的演进不断叠加安全功能的思路，也为其带来了严重的网络性能、安全效能等损耗。

因此，在这种新的形势下，企业边界安全的需求也发生了质的改变。首先，安全产品和方案能够减轻已知和未知的威胁，不仅限于零日漏洞、勒索软件等。其次，能够消除多点产品、管理控制台、支持的复杂性。同时，安全防御应尽量减少对网络性能的影响。

需求不妥协 安全驱动网络

Fortinet相信，网络安全网格架构（CSMA）无疑是这些相互依存和加强的趋势中的关键，有助于提供一个通用的集成式安全架构和态势来保证所有企业办公网络、移动办公场景、数据中心和云端资产等各种新形式下的安全。CSMA旨在构建一套跨数字基础设施实现安全解决方案协作互联的生态系统，其主要目标是将安全防护覆盖至网络的任意边缘。

虽然Gartner首次在业内提出“网络安全网格架构（CSMA）”这一解决方案，并为此奠定了理论和实践基础。但其实早在多年前，Fortinet已为企业部署了同样的网格架构，这就是广受市场青睐的Fortinet Security Fabric安全架构。从这个角度来看，CSMA实际早已被市场所广泛采纳。Fortinet Security Fabric这一CSMA方案部署的典范早已走在市场前端。

实现网络和安全的全面融合，是成功打造CSMA策略和方案的先决条件。Fortinet将此理念称为安全驱动型网络。企业组织无需在网络性能及卓越安全性二者之间做出任何妥协。CSMA应能保护任意网络上的用户、设备和数据安全，无论其穿梭在任意网络边缘。除了安全驱动型网络之外，零信任网络访问、自适应云安全和开放架构也是CSMA设计中的基本构建要素。

安全、高效、智能的边界安全枢纽

谭杰进一步指出，防火墙是构建CSMA方案的核心，为所有网络边缘提供更高级别的安全防护和更深层次的内容检测，以实现实时、高效的威胁检测和响应。任何CSMA方案的构建都必须围绕下一代防火墙、身份验证和访问管理、网络，以及集成管理、分析和响应工具。所有这些解决方案均应支持适用于数据中心、云端、分支机构和远程服务的不同版本。此外，至为关键的是，随着企业防护需求的不断扩展，还应能够适应扩展其他工具，设备和应用程序。

防护能力是下一代防火墙的核心功能。FortiGate防火墙提供上下文感知，使整个企业网络具有强化的安全态势。同时，FortiGate通过获得网络部署的全面可见性，能够发现和管控物联网/OT/用户，通过应用正确的网络接入策略，防止已知和未知的威胁，及时阻断网络攻击。此外，它还支持零信任网络访问(ZTNA)，通过高级检测、网络分割和在整个网络中应用一致的策略，持续用户身份验证，将攻击面最小化。

通过自动化操作简化安全态势。网络管理者们面临着在不断扩张的网络中适应和扩大规模的压力，通过Fabric Management Center (FMC)控制FortiGate防火墙，它们可以简化整个网络的防火墙和策略管理，从单个控制台自动更新所有网络保护设备，这为管理者提供了更大的网络和威胁可见性和更全面的安全控制。

安全与网络性能需要兼得。在不影响吞吐量或网络正常运行时间的情况下，FortiGate防火墙能够整合提供IPS、SSL检查、应用程序可见性、Web过滤、反恶意软件等服务，所有这些都是由FortiGate安全处理器(SPU)的性能增强创新实现，因此，对于FortiGate来说网络性能与安全效能可以兼得。

一体两翼FortiGate下一代防火墙

谭杰认为，对于FortiGate下一代防火墙来说，能够拥有如此出色的安全和网络能力，离不开三大关键：FortiOS操作系统、FortiGuard威胁情报服务、FortiSPU安全处理器。一体(FortiOS)两翼(FortiGuard、 FortiSPU)的FortiGate下一代防火墙能够成为安全神经中枢，帮助用户打造安全、高效、智能的网络边界安全体系，加速数字化转型。

其中FortiOS是业界最具有开放性的操作系统，使SD-WAN、SD-Branch、零信任网络访问(ZTNA)等安全特性驱动我们的安全驱动网络愿景。FortiGuard云服务 为Security Fabric产品组合中的每一个产品提供行业领先的威胁保护和情报，防止已知和未知的威胁，如零日和勒索软件。FortiSPU是Fortinet自研的系列ASIC安全芯片，是FortiGate等 产品性能的有力保障。

最新推出的FortiOS 7.2为网络和安全领域赋予全新定义，进一步强势赋能Security Fabric安全平台屡获殊荣的功能及服务，助力广大用户及合作伙伴在当今风起云涌的数字化市场破浪乘风，奋勇争先。现在及可预见的未来将是混合网络主宰的时代。唯有以安全为核心，混合网络才能行稳致远，更快速、更具规模地适应网络环境的不断演进，安全守护所有边缘环境。

精彩预告

7月20日，FortiOS Everywhere系列讲座第二讲《深入浅出内网安全治理》，将由Fortinet华东区技术负责人卜婵敏为大家分享FortiGate协同FortiAP、FortiSwitch和FortiAnalyzer等，打造智能、安全、高效LAN，敬请期待！

数据来源：

1. Gartner: Top Priorities for IT: Leadership Vision for 2021-ebook
2. ESG: 2021 Technology Spending Intentions Survey
3. FortiGuard Threat Landscape Report, August 2021