1    項(xiàng)目背景介紹

愛(ài)達(dá)·魔都號(hào)（Adora Magic City）是中國(guó)首艘國(guó)產(chǎn)大型郵輪,也是愛(ài)達(dá)郵輪旗下首艘國(guó)產(chǎn)大型郵輪，全長(zhǎng)323.6米，總噸位為13.55萬(wàn)總噸，有24層樓高，2125間客房，最多可載乘客5246人。愛(ài)達(dá)·魔都號(hào)的通信組網(wǎng)由5G、WiFi和通信衛(wèi)星、星鏈形成天地一體組網(wǎng)，在5G信號(hào)能夠覆蓋到的近海海域，郵輪上的乘客能享受到5G和WiFi6的自由切換，對(duì)于愛(ài)達(dá)·魔都號(hào)來(lái)說(shuō)，5G、Wifi 6、衛(wèi)星等天地一體組網(wǎng)形成的多種網(wǎng)絡(luò)形式，再加上辦公、管理和訪客等多“張”網(wǎng)絡(luò)共存，也帶來(lái)了安全隔離與控制、網(wǎng)絡(luò)負(fù)載均衡、安全防護(hù)和可視化、運(yùn)維管理、威脅應(yīng)對(duì)等多種需求。

2    項(xiàng)目目標(biāo)與原則

愛(ài)達(dá)·魔都號(hào)（Adora Magic City）是中國(guó)首艘國(guó)產(chǎn)大型郵輪，它的成功投運(yùn)標(biāo)志著這標(biāo)志著我國(guó)成為可同時(shí)建造航空母艦、大型液化天然氣運(yùn)輸船、大型郵輪的國(guó)家，集齊造船業(yè)“三顆明珠”，而游客的滿(mǎn)意度是成功的關(guān)鍵，從現(xiàn)有的運(yùn)營(yíng)中的郵輪滿(mǎn)意度調(diào)查中，郵輪網(wǎng)絡(luò)訪問(wèn)體驗(yàn)一直是投訴的重災(zāi)區(qū)。所以構(gòu)建一套安全的、智能的、可應(yīng)對(duì)多種場(chǎng)景需求的網(wǎng)絡(luò)尤為重要。

3    項(xiàng)目實(shí)施與應(yīng)用

在充分考慮了郵輪上網(wǎng)絡(luò)安全建設(shè)挑戰(zhàn)和需求的基礎(chǔ)上愛(ài)達(dá)·魔都號(hào)采用了Fortinet基于專(zhuān)用芯片的高性能FortiGate防火墻構(gòu)建核心安全集群交換系統(tǒng)，提供網(wǎng)絡(luò)安全防御以及優(yōu)秀的安全性能，確保網(wǎng)絡(luò)連續(xù)、安全、可靠地運(yùn)行。采用 Fortinet 專(zhuān)用安全處理器 (SPU) 的硬件架構(gòu)設(shè)計(jì)，能夠提供業(yè)界最佳的威脅防護(hù)性能和超低延遲，為 SSL 加密流量提供行業(yè)領(lǐng)先的安全性能和威脅保護(hù)。

首先，郵輪多網(wǎng)共存的現(xiàn)狀需要靈活、有效的隔離和策略控制。FortiGate無(wú)縫集成 7 層高級(jí)網(wǎng)絡(luò)安全功能及虛擬域 (VDOM) ，可提供多種場(chǎng)景的靈活部署。郵輪可以通過(guò)在FortiGate上啟用VDOM實(shí)現(xiàn)訪客網(wǎng)、辦公網(wǎng)、海事網(wǎng)、管理網(wǎng)業(yè)務(wù)的隔離，為不同業(yè)務(wù)應(yīng)用個(gè)性化的安全策略，實(shí)現(xiàn)了一套系統(tǒng)多網(wǎng)絡(luò)防護(hù)。同時(shí)，通過(guò)VDOM虛擬集群技術(shù)將關(guān)鍵流量和互聯(lián)網(wǎng)流量置于不同節(jié)點(diǎn)，實(shí)現(xiàn)了FortiGate集群節(jié)點(diǎn)的冗余和負(fù)載，最大化的資源利用。

第二，針對(duì)郵輪多種場(chǎng)景網(wǎng)絡(luò)分配，以及國(guó)際化的網(wǎng)絡(luò)“漫游”現(xiàn)狀，F(xiàn)ortiGate集成SD-WAN實(shí)現(xiàn)多鏈路負(fù)載。FortiGate是原生的網(wǎng)絡(luò)融合安全的產(chǎn)品，集成豐富的SD-WAN能力，不但通過(guò)全球唯一的SD-WAN 專(zhuān)用芯片在實(shí)現(xiàn)高性能、大規(guī)模的網(wǎng)絡(luò)轉(zhuǎn)發(fā)的同時(shí)，通過(guò)專(zhuān)用的內(nèi)容處理芯片實(shí)現(xiàn)精準(zhǔn)、高效的安全防護(hù)過(guò)濾和管控。

本方案通過(guò)FortiGate可以實(shí)現(xiàn)對(duì)應(yīng)用和流量的精準(zhǔn)識(shí)別、管控，針對(duì)訪客互聯(lián)網(wǎng)應(yīng)用、船上數(shù)據(jù)中心業(yè)務(wù)、陸上數(shù)據(jù)中心應(yīng)用、云上應(yīng)用、海事應(yīng)用等應(yīng)用類(lèi)型，以及在近海區(qū)域的5G、遠(yuǎn)海區(qū)域的衛(wèi)星鏈路、海事專(zhuān)線(xiàn)等多種鏈路場(chǎng)景，方案都能夠在精準(zhǔn)識(shí)別和監(jiān)測(cè)的基礎(chǔ)上，根據(jù)線(xiàn)路質(zhì)量、流量占用、業(yè)務(wù)優(yōu)先級(jí)等各種指標(biāo)來(lái)優(yōu)化整個(gè)網(wǎng)絡(luò)的帶寬分配。從而達(dá)到精準(zhǔn)分配流量、精準(zhǔn)管控應(yīng)用、優(yōu)先保障核心業(yè)務(wù)、提升關(guān)鍵應(yīng)用用戶(hù)使用體驗(yàn)，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)帶寬資源的最佳利用，降低網(wǎng)絡(luò)帶寬的投入。

第三，數(shù)字化、全球化等特點(diǎn)也要求郵輪具備健壯的安全防護(hù)能力。安全則是FortiGate的基因，其提供豐富高效的安全防護(hù)。作為下一代防火墻，F(xiàn)ortiGate將多種威脅防御功能集成到由專(zhuān)用安全處理單元 (SPU) 提供支持的單個(gè)高性能網(wǎng)絡(luò)安全設(shè)備中，極大的降低網(wǎng)絡(luò)復(fù)雜性并最大限度地提高投資回報(bào)率，集成的AV、IPS、應(yīng)用控制、Web過(guò)濾、DNS過(guò)濾、反垃圾郵件、DLP、Web應(yīng)用防護(hù)、沙箱集成等安全能力，為訪客互聯(lián)網(wǎng)訪問(wèn)和郵輪本地應(yīng)用提供全面的安全防護(hù)和深度應(yīng)用控制。

同時(shí)，依托專(zhuān)用安全芯片的高性能處理能力，F(xiàn)ortiGate確保豐富的安全功能無(wú)損落地。FortiGate具有業(yè)界最高的 SSL 檢測(cè)性能，包括帶增強(qiáng)密碼算法的最TLS 1.3 標(biāo)準(zhǔn)，可對(duì)流量解密并自動(dòng)阻斷威脅，應(yīng)對(duì)隱藏在加密流量中的威脅毫不妥協(xié)。

第四，相比有限的傳統(tǒng)網(wǎng)絡(luò)，數(shù)字化時(shí)代郵輪需要集中管理和自動(dòng)化運(yùn)維中心平臺(tái)，實(shí)現(xiàn)有效的網(wǎng)絡(luò)和安全管理。尤其對(duì)于長(zhǎng)期遨游在海洋之上的郵輪來(lái)說(shuō)，更要通過(guò)集中和自動(dòng)化平臺(tái)實(shí)現(xiàn)安全威脅的及時(shí)感知和自動(dòng)化應(yīng)對(duì)。

在本項(xiàng)目中FortiManager和FortiAnalyzer就是這樣的集中管理和運(yùn)維中心平臺(tái)，通過(guò)和FortiGate集成構(gòu)建Fortinet Security Fabric，實(shí)現(xiàn)NOC-SOC工作流，安全 (SOC) 工作流和運(yùn)營(yíng) (NOC) 工作流之間可自動(dòng)交換數(shù)據(jù)，因此形成了一個(gè)完整的工作流，通過(guò)集成 FortiAnalyzer 可獲得高級(jí)數(shù)據(jù)可視化和分析功能，從而提升可見(jiàn)性，幫助運(yùn)維人員快速掌握情況、識(shí)別威脅并簡(jiǎn)化托管設(shè)備的快速配置和安全保護(hù)。

4    效益分析

方案中，F(xiàn)ortinet通過(guò)一套安全系統(tǒng)Fortinet Security Fabric實(shí)現(xiàn)了郵輪多網(wǎng)絡(luò)的融合隔離控制，替代了原來(lái)需要3套安全系統(tǒng)的高成本方案，且部署、管理更為簡(jiǎn)便，極大降低了實(shí)施復(fù)雜度和建設(shè)成本。

Fortinet集中管理和運(yùn)維平臺(tái)提供了對(duì)IT資產(chǎn)的有效控制和可見(jiàn)性，簡(jiǎn)化了郵輪的網(wǎng)絡(luò)和安全管理，為IT團(tuán)隊(duì)節(jié)省資源和時(shí)間，滿(mǎn)足郵輪精細(xì)化訪問(wèn)控制需求，通過(guò)自動(dòng)化的劇本特性，將原來(lái)的需要幾天、幾個(gè)月的事件發(fā)現(xiàn)和處理時(shí)間降低到了短短幾秒鐘，將IT人員從枯燥的日志分析和風(fēng)險(xiǎn)應(yīng)對(duì)中解放出來(lái)。

通過(guò)靈活易用的SD-WAN郵輪也實(shí)現(xiàn)了基于應(yīng)用的SLA智能選路靈活性，為工作人員、旅客提供極致的網(wǎng)絡(luò)訪問(wèn)體驗(yàn)，將傳統(tǒng)的秒級(jí)冗余鏈路切換變?yōu)楝F(xiàn)在的基于應(yīng)用質(zhì)量的毫秒級(jí)切換，同時(shí)將傳統(tǒng)的鏈路備份變?yōu)槎噫溌坟?fù)載，充分利用了帶寬資源，節(jié)約了50%以上的帶寬成本。

而FortiGate NGFW優(yōu)異的安全能力滿(mǎn)足郵輪網(wǎng)絡(luò)嚴(yán)苛的安全防護(hù)需求，保障安全合規(guī)，為郵輪的順利運(yùn)轉(zhuǎn)帶來(lái)了不可估量的效益。