圖片來源 @視覺中國
七天六夜航程 1119 海裏,從上海至韓國濟州、日本長崎和福岡,國産首艘大型郵輪愛達 · 魔都号于日前首航返滬。
作爲全球首艘 5G 郵輪,愛達 · 魔都号順利首航背後也有着諸多 " 科技與狠活 "。單就網絡場景來說,爲了給乘客提供極緻的上網體驗,愛達 · 魔都号部署了 5G、Wi-Fi 6、衛星等天地一體組網形成的多種網絡形式。不過,再加上辦公、管理和訪客等多 " 張 " 網絡,愛達 · 魔都号面臨安全隔離與控制、網絡負載均衡、安全防護和可視化、運維管理、威脅應對等多種挑戰。
如何應對多網絡場景下的這些挑戰,建立一個安全、高性能的網絡環境,是愛達 · 魔都号這艘國産大郵輪面臨的重要課題之一。
場景痛點:遠離陸地、多網絡覆蓋下的複雜性挑戰
随着人們生活經濟水平的提高,郵輪已經成爲很多家庭、個人或單位旅行的一種選擇,網絡對于旅客而言也已經成爲一種 " 剛需 "。但郵輪作爲一種特殊的旅遊與交通方式,由于運行中大部分時間遠離陸地,很難享受到陸上構建的 4G、5G 等網絡基礎設施服務。同時,又由于郵輪會在全球各地巡遊,即便是進港或臨近陸地也面臨國際化的巨大網絡差異。
以愛達 · 魔都号首航爲例,其首航跨越了中國、韓國、日本三個國家、多個城市。這一背景下,要想進行多種網絡的覆蓋和服務,相比其他的交通方式存在較大的挑戰。如果想要搭載 5G 網絡,給旅客提供更快、更高質量、更多選擇的網絡," 愛達 · 魔都号 " 面臨的多網絡管理挑戰更大。
綜合來看,5G 郵輪相對而言需要對更多的網絡媒介進行管理與分配,使得旅客以及郵輪自身的辦公、運營等都能得到最佳的網絡體驗。同時,還要對多張網絡進行有效安全隔離與控制。
此外,在數字化發展訊猛的今天,即便是全球首艘 5G 郵輪,也需要考虛到未來的擴展以及升級,這就要求網絡和安全需要預留網絡和安全性能、功能的擴展性。
方案成果:一套系統實現多網絡融合隔離控制
在充分考慮了郵輪上網絡安全建設挑戰和需求的基礎上,愛達 · 魔都号采用了 Fortinet 基于自研專用芯片的高性能 FortiGate 防火牆,構建核心安全集群交換系統,确保網絡連續、安全、可靠地運行;同時,采用 Fortinet 專用安全處理( SPU) 的硬件架構設計,提供威脅防護性能和超低延遲體驗。
具體實踐上,由于郵輪多網共存的現狀需要靈活、有效的隔離和策略控制,FortiGate 無縫集成7 層高級網絡安全功能及虛拟域(VDOM),可提供多種場景的靈活部署。郵輪可以通過在 FortiGate 上啓用 VDOM 實現訪客網、辦公網、海事網、管理網業務的隔離,爲不同業務應用個性化的安全策略,實現了一套系統多網絡防護。同時,通過 VDOM 虛拟集群技術将關鍵流量和互聯網流量置于不同節點,實現了 FortiGate 集群節點的冗餘和最大化的資源利用。
針對郵輪多種場景網絡分配,以及國際化的網絡 " 漫遊 " 現狀,FortiGate 集成 SD-WAN 實現多鏈路負載。FortiGate 是原生的網絡融合安全産品,集成豐富的 SD-WAN 能力,通過全球唯一 SD-WAN 專用芯片在實現高性能、大規模的網絡轉發,也通過專用内容處理芯片實現精準、高效安全防護過濾和管控。
FortiGate 也可以實現對應用和流量的精準識别、管控,針對訪客互聯網應用、船上數據中心業務、陸上數據中心應用、雲上應用、海事應用等應用類型,以及在近海區域的 5G、遠海區域的衛星鏈路、海事專線等多種鏈路場景,FortiGate 都能夠在精準識别和監測的基礎上,根據線路質量、流量占用、業務優先級等各種指标來優化整個網終的帶寬分配。從而達到精準分配流量、精準管控應用、優先保障核心業務、提升關鍵應用用戶使用體驗,實現整個網絡帶寬資源的最佳利用,降低網絡帶寬的投入。
數字化、全球化等特點也要求郵輪具備健壯的安全防護能力。安全則是 FortiGate 的基因,其提供豐富高效的安全防護。作爲下一代防火牆,FortiGate 将多種威脅防禦功能集成到由專用安全處理單元 SPU 提供支持的單個高性能網絡安全設備中,極大的降低網絡複雜性并最大限度地提高投資回報率,集成的 AV、IPS、應用控制、Web 過濾、DNS 過濾、反垃圾郵件、DLP、Web 應用防護、沙箱集成等安全能力,爲訪客互聯網訪問和郵輪本地應用提供全面的安全防護和深度應用控制。
相比有限的傳統網絡,數字化時代郵輪需要集中管理和自動化運維中心平台,實現有效的網絡和安全管理。尤其對于長期邀遊在海洋之上的郵輪來說,更要通過集中和自動化平台實現安全威助的及時感知和自動化應對。
以愛達 · 魔都号郵輪爲例,FortiManager 和 FortiAnalyzer 就是集中管理和運維中心平台,通過和 FortiGate 集成構建 Fortinet Security Fabric,實現 NOC-SOC 工作流,安全 ( SOC ) 工作流和運營 ( NOC ) 工作流之間可自動交換數據,因此形成了完整的工作流,通過集成 FortiAnalyzer 可獲得高級數據可視化和分析功能,從而提升可見性,幫助運維人員快速掌握情況、識别威脅并簡化托管設備的快速配置和安全保護。
方案中,Fortinet 通過一套安全系統 Fortinet Security Fabric 實現了郵輪多網絡的融合隔離控制,降低了實施複雜度和建設成本。同時,Fortinet 集中管理和運維平台提供了對 IT 資産的有效控制和可見性,滿足郵輪精細化訪問控制需求。而 FortiGate NGFW 的安全能力滿足郵輪網絡嚴苛的安全防護需求,保障安全合規。此外,Fortinet 一體化運維平台和自動化能力簡化了郵輪的網絡和安全管理,爲 IT 團隊節省資源和時間。通過靈活易用的 SD-WAN 郵輪也實現了基于應用的 SLA 智能選路靈活性,爲工作人員、旅客提供極緻的網絡訪問體驗,降低線路資源成本。
