1    項目背景介紹

愛(ài)達·魔都號（Adora Magic City）是中國首艘國產(chǎn)大型郵輪,也是愛(ài)達郵輪旗下首艘國產(chǎn)大型郵輪，全長(cháng)323.6米，總噸位為13.55萬(wàn)總噸，有24層樓高，2125間客房，最多可載乘客5246人。愛(ài)達·魔都號的通信組網(wǎng)由5G、WiFi和通信衛星、星鏈形成天地一體組網(wǎng)，在5G信號能夠覆蓋到的近海海域，郵輪上的乘客能享受到5G和WiFi6的自由切換，對于愛(ài)達·魔都號來(lái)說(shuō)，5G、Wifi 6、衛星等天地一體組網(wǎng)形成的多種網(wǎng)絡(luò )形式，再加上辦公、管理和訪(fǎng)客等多“張”網(wǎng)絡(luò )共存，也帶來(lái)了安全隔離與控制、網(wǎng)絡(luò )負載均衡、安全防護和可視化、運維管理、威脅應對等多種需求。

2    項目目標與原則

愛(ài)達·魔都號（Adora Magic City）是中國首艘國產(chǎn)大型郵輪，它的成功投運標志著(zhù)這標志著(zhù)我國成為可同時(shí)建造航空母艦、大型液化天然氣運輸船、大型郵輪的國家，集齊造船業(yè)“三顆明珠”，而游客的滿(mǎn)意度是成功的關(guān)鍵，從現有的運營(yíng)中的郵輪滿(mǎn)意度調查中，郵輪網(wǎng)絡(luò )訪(fǎng)問(wèn)體驗一直是投訴的重災區。所以構建一套安全的、智能的、可應對多種場(chǎng)景需求的網(wǎng)絡(luò )尤為重要。

3    項目實(shí)施與應用

在充分考慮了郵輪上網(wǎng)絡(luò )安全建設挑戰和需求的基礎上愛(ài)達·魔都號采用了Fortinet基于專(zhuān)用芯片的高性能FortiGate防火墻構建核心安全集群交換系統，提供網(wǎng)絡(luò )安全防御以及優(yōu)秀的安全性能，確保網(wǎng)絡(luò )連續、安全、可靠地運行。采用 Fortinet 專(zhuān)用安全處理器 (SPU) 的硬件架構設計，能夠提供業(yè)界最佳的威脅防護性能和超低延遲，為 SSL 加密流量提供行業(yè)領(lǐng)先的安全性能和威脅保護。

首先，郵輪多網(wǎng)共存的現狀需要靈活、有效的隔離和策略控制。FortiGate無(wú)縫集成 7 層高級網(wǎng)絡(luò )安全功能及虛擬域 (VDOM) ，可提供多種場(chǎng)景的靈活部署。郵輪可以通過(guò)在FortiGate上啟用VDOM實(shí)現訪(fǎng)客網(wǎng)、辦公網(wǎng)、海事網(wǎng)、管理網(wǎng)業(yè)務(wù)的隔離，為不同業(yè)務(wù)應用個(gè)性化的安全策略，實(shí)現了一套系統多網(wǎng)絡(luò )防護。同時(shí)，通過(guò)VDOM虛擬集群技術(shù)將關(guān)鍵流量和互聯(lián)網(wǎng)流量置于不同節點(diǎn)，實(shí)現了FortiGate集群節點(diǎn)的冗余和負載，最大化的資源利用。

第二，針對郵輪多種場(chǎng)景網(wǎng)絡(luò )分配，以及國際化的網(wǎng)絡(luò )“漫游”現狀，FortiGate集成SD-WAN實(shí)現多鏈路負載。FortiGate是原生的網(wǎng)絡(luò )融合安全的產(chǎn)品，集成豐富的SD-WAN能力，不但通過(guò)全球唯一的SD-WAN 專(zhuān)用芯片在實(shí)現高性能、大規模的網(wǎng)絡(luò )轉發(fā)的同時(shí)，通過(guò)專(zhuān)用的內容處理芯片實(shí)現精準、高效的安全防護過(guò)濾和管控。

本方案通過(guò)FortiGate可以實(shí)現對應用和流量的精準識別、管控，針對訪(fǎng)客互聯(lián)網(wǎng)應用、船上數據中心業(yè)務(wù)、陸上數據中心應用、云上應用、海事應用等應用類(lèi)型，以及在近海區域的5G、遠海區域的衛星鏈路、海事專(zhuān)線(xiàn)等多種鏈路場(chǎng)景，方案都能夠在精準識別和監測的基礎上，根據線(xiàn)路質(zhì)量、流量占用、業(yè)務(wù)優(yōu)先級等各種指標來(lái)優(yōu)化整個(gè)網(wǎng)絡(luò )的帶寬分配。從而達到精準分配流量、精準管控應用、優(yōu)先保障核心業(yè)務(wù)、提升關(guān)鍵應用用戶(hù)使用體驗，實(shí)現整個(gè)網(wǎng)絡(luò )帶寬資源的最佳利用，降低網(wǎng)絡(luò )帶寬的投入。

第三，數字化、全球化等特點(diǎn)也要求郵輪具備健壯的安全防護能力。安全則是FortiGate的基因，其提供豐富高效的安全防護。作為下一代防火墻，FortiGate將多種威脅防御功能集成到由專(zhuān)用安全處理單元 (SPU) 提供支持的單個(gè)高性能網(wǎng)絡(luò )安全設備中，極大的降低網(wǎng)絡(luò )復雜性并最大限度地提高投資回報率，集成的AV、IPS、應用控制、Web過(guò)濾、DNS過(guò)濾、反垃圾郵件、DLP、Web應用防護、沙箱集成等安全能力，為訪(fǎng)客互聯(lián)網(wǎng)訪(fǎng)問(wèn)和郵輪本地應用提供全面的安全防護和深度應用控制。

同時(shí)，依托專(zhuān)用安全芯片的高性能處理能力，FortiGate確保豐富的安全功能無(wú)損落地。FortiGate具有業(yè)界最高的 SSL 檢測性能，包括帶增強密碼算法的最TLS 1.3 標準，可對流量解密并自動(dòng)阻斷威脅，應對隱藏在加密流量中的威脅毫不妥協(xié)。

第四，相比有限的傳統網(wǎng)絡(luò )，數字化時(shí)代郵輪需要集中管理和自動(dòng)化運維中心平臺，實(shí)現有效的網(wǎng)絡(luò )和安全管理。尤其對于長(cháng)期遨游在海洋之上的郵輪來(lái)說(shuō)，更要通過(guò)集中和自動(dòng)化平臺實(shí)現安全威脅的及時(shí)感知和自動(dòng)化應對。

在本項目中FortiManager和FortiAnalyzer就是這樣的集中管理和運維中心平臺，通過(guò)和FortiGate集成構建Fortinet Security Fabric，實(shí)現NOC-SOC工作流，安全 (SOC) 工作流和運營(yíng) (NOC) 工作流之間可自動(dòng)交換數據，因此形成了一個(gè)完整的工作流，通過(guò)集成 FortiAnalyzer 可獲得高級數據可視化和分析功能，從而提升可見(jiàn)性，幫助運維人員快速掌握情況、識別威脅并簡(jiǎn)化托管設備的快速配置和安全保護。

4    效益分析

方案中，Fortinet通過(guò)一套安全系統Fortinet Security Fabric實(shí)現了郵輪多網(wǎng)絡(luò )的融合隔離控制，替代了原來(lái)需要3套安全系統的高成本方案，且部署、管理更為簡(jiǎn)便，極大降低了實(shí)施復雜度和建設成本。

Fortinet集中管理和運維平臺提供了對IT資產(chǎn)的有效控制和可見(jiàn)性，簡(jiǎn)化了郵輪的網(wǎng)絡(luò )和安全管理，為IT團隊節省資源和時(shí)間，滿(mǎn)足郵輪精細化訪(fǎng)問(wèn)控制需求，通過(guò)自動(dòng)化的劇本特性，將原來(lái)的需要幾天、幾個(gè)月的事件發(fā)現和處理時(shí)間降低到了短短幾秒鐘，將IT人員從枯燥的日志分析和風(fēng)險應對中解放出來(lái)。

通過(guò)靈活易用的SD-WAN郵輪也實(shí)現了基于應用的SLA智能選路靈活性，為工作人員、旅客提供極致的網(wǎng)絡(luò )訪(fǎng)問(wèn)體驗，將傳統的秒級冗余鏈路切換變?yōu)楝F在的基于應用質(zhì)量的毫秒級切換，同時(shí)將傳統的鏈路備份變?yōu)槎噫溌坟撦d，充分利用了帶寬資源，節約了50%以上的帶寬成本。

而FortiGate NGFW優(yōu)異的安全能力滿(mǎn)足郵輪網(wǎng)絡(luò )嚴苛的安全防護需求，保障安全合規，為郵輪的順利運轉帶來(lái)了不可估量的效益。