CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội


Fortigate với vai trò Firewall + Link Balancer, tại sao không?

05/07/2023
Bookmark Tin tức

Với mô hình kết nối Internet truyền thống, chúng ta thường có các thành phần như sau nếu hệ thống cần Link Balancer :

Mô hình này, có các nhược điểm như sau:

Phức tạp: Người quản trị sẽ phải thiết lập các cấu hình trên cả 2 thiết bị là Router/Link Balancer và Firewall. Các cấu hình này, đòi hỏi phải có các thiết lập để cả 2 thiết bị làm việc với nhau, bao gồm việc phát sinh thêm các lớp mạng kết nối, Route, các cấu hình NAT, các rule truy cập của Firewall…Và đương nhiên việc vận hành, giám sát các thiết bị này cũng phải thực hiện trên cả 2 thiết bị độc lập với nhau. Chưa kể đến nếu có nhu cầu đầu tư HA, thì phải đầu tư cho cả 2 thiết bị này, mô hình kết nối sẽ trở nên phức tạp một cách không cần thiết.

Không hiệu quả: Router hay Link Balancer là thiết bị Layer 3, trong khi đó Firewall cũng là thiết bị Layer 3, khi dữ liệu người dùng kết nối ra Internet, hoặc kết nối từ bên ngoài Internet vào trong hệ thống sẽ đi qua 2 HOP Layer 3 này, việc này ít nhiều sẽ không tối ưu được tốc độ xử lý trong hệ thống mạng, khi kết nối đến mỗi thiết bị, nó sẽ tiêu tốn một quá trình xử lý lặp lại ở các tác vụ ở tầng Network, ít nhiều sẽ ảnh hưởng đến tốc độ truy cập của người dùng. Bên cạnh đó, quản trị là một thành phần quan trọng đi theo mỗi thiết bị, việc quản trị các tính năng liên quan về Network và Security sẽ phải thực hiện ở 2 giao diện khác nhau, sẽ gây không ít khó khăn cho công tác triển khai, vận hành và xử lý sự cố của hệ thống, hoặc hệ thống sẽ phải cần thêm 1 hệ quản trị tập trung của các hệ này (như hình vẽ), thì đó lại là câu chuyện tốn kém.

Chi phí đầu tư: việc đầu tư 2 thiết bị chắc chắn sẽ tốn kém và không hiệu quả bằng việc đầu tư 1 thiết bị, đó là chưa kể đến nhu cầu HA dự phòng, các chi phí đi kèm như License duy trì hằng năm, chi phí cho hệ quản trị tập trung các hệ này, các chi phí triển khai, nhân sự quản trị…là các vấn đề phải xem xét.

Mô hình kết nối Internet truyền thống tồn tại nhiều vấn đề như thế, nhưng, việc chuyển đổi sang một mô hình thay thế với kiến trúc hợp nhất giữa Firewall và Router/Link Balancer vẫn còn gặp nhiều tâm lý e ngại từ phía người dùng, vậy đó là những quan điểm nào?

  1. Năng lực xử lý Network của một thiết bị Firewall so với Router/Link Balancer chuyên dụng?

Đối với FortiGate, việc phát triển từ kiến trúc ASIC đã đem lại rất nhiều lợi thế: một phân hệ chip chuyên xử lý các tính năng Network: NP – Network Processor (thế hệ thứ 7) và một phân hệ chip chuyên xử lý các tính năng Security: CP – Content Processor (thế hệ thứ 9). Việc phân hệ vai trò xử lý các lưu lượng mạng một cách song song với CPU đảm bảo các thành phần Chip sẽ xử lý đúng vai trò của mình, và phát huy hiệu quả cao nhất, nên hiệu năng chung của thiết bị FortiGate đáp ứng cho cả hai vai trò cùng lúc là Network và Security là không thể nghi ngờ.

Bằng chứng cho thấy việc FortiGate luôn đáp ứng ở mức cao nhất các thông số về Networking ở các dòng Firewall mới hiện nay như dòng F Series.

2. Tính năng trên thiết bị chuyên dụng Link Balancer sẽ tốt hơn thiết bị Firewall tích hợp?

Một thiết bị Link Balancer chuyên dụng, sẽ cần tối thiểu các tính năng sau đây:

  • Các tính năng định tuyến
  • Các tính năng cân bằng tải đường truyền, theo nhiều thuật toán đáp ứng nhu cầu cầu của người dùng: Round Robin, Weighted, Maximum Bandwidth (Bonding), SLA…
  • Các tính năng Policy Base Routing
  • Các tính năng QoS
  • Các tính năng giám sát, Report cho việc sử dụng đường truyền

Khái niệm SD-WAN của Fortinet không chỉ gói gọn trong các giải pháp chỉ dành cho kết nối giữa các Site, nó bao gồm các tính năng dành cho kết nối Internet. Đối với FortiGate từ FortiOS 6.2, hầu như đã hoàn chỉnh các tính năng SD-WAN (OS hiện tại là 7.4), là thế hệ mới trong việc quản trị các kết nối WAN bằng nhiều công nghệ hiện đại, trong đó, tính riêng cho việc phục vụ kết nối Internet, có thể kể đến các cải tiến quan trọng, mà một số giải pháp Link Balancer vẫn chưa làm tốt :

  • Đầy đủ các tính năng định tuyến của một thiết bị Router chuyên dụng, từ Static đến Dynamic
  • Hỗ trợ các thuật toán cân bằng tải dựa trên chất lượng của đường truyền, xét theo các chỉ số: Packet loss, Latency, Jitter để cho phép lựa chọn đường kết nối tốt nhất đến các Destination chỉ định.
  • Phân luồng traffic kết nối dựa trên Ứng dụng: bằng cách sử dụng bộ tính năng Apps Control có sẵn, FortiGate cho phép phân luồng trực tiếp các ứng dụng theo từng đường truyền cụ thể, là lợi thế rất lớn khi so sánh với Policy Base Route truyền thống chỉ dựa trên các đối tượng IP/Port.
  • Đầy đủ các cơ chế QoS cho Ứng dụng
  • SD-WAN rules: hoạt động song song với Firewall Policy, giúp tối ưu hóa việc quản trị tất cả các kết nối SD-WAN trên thiết bị FortiGate, với cơ chế đơn giản, dễ sử dụng.
  • Giao diện Dashboard giám sát tập trung tất cả các thành phần của mạng WAN, thống kê chi tiết các tình trạng sử dụng đường truyền, hỗ trợ các tính năng Report, giúp tối ưu hóa công tác vận hành và bảo trì kết nối Internet của hệ thống.

3. Chi phí đầu tư?

Số lượng thiết bị đầu tư được giảm xuống!

Bên cạnh đó, FortiGate không tính các chi phí License liên quan đến hệ SD-WAN nói chung, hay các thành phần tính năng phục vụ Internet Load Balancing, do đó, chi phí là một lợi thế đối với Fortinet khi người dùng quan tâm đến giải pháp này.

Tóm lại, các lợi ích khi người dùng thực hiện chuyển đổi từ mô hình Internet truyền thống sang SD-WAN trên FortiGate:

Đơn giản: hệ thống chỉ cần 1 thiết bị Gateway duy nhất là FortiGate, đảm bảo 3 vai trò: NGFW, Link Balancer (SD-WAN) và Report/Quản lý cho tất cả kết nối Internet.

Linh hoạt: giảm thiểu tối đa số HOP mạng ở Gateway, đơn giản trong khâu thiết kế, triển khai và quản trị. Hệ thống quản lý là điểm giá trị nhất ở đây, mọi thứ được tích hợp sẵn, không cần phải đầu tư thêm.

Tối ưu chi phí: từ số lượng thiết bị phải đầu tư, License duy trì cho đến nhân lực quản trị được giảm thiểu một cách tối đa, mạng lại hiệu quả đầu tư cao hơn so với mô hình truyền thống.

*Một lợi thế nữa của Fortinet đối với giải pháp này, là việc Fortinet là một trong số ít các Vendor trên thị trường đứng đầu trên các bảng đánh giá hằng năm của Gartner ở cả 2 mảng Network Firewall và SD-WAN trong nhiều năm liền:

Kết luận

Hiện tại Datech là nhà cung cấp các sản phẩm chính hãng của FORTINET tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị bảo mật với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

  • Địa chỉ:Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội
  • Điện thoại: 02432012368
  • Hotline: 098 115 6699
  • Email: info@datech.vn
  • Website: https://datech.vn