“既融入了安全性 ， 又融入了有线、无线的接入以及广域网的接入 ， 同时还要保障整体方案的高效 。 通过高性能硬件系统打通网络瓶颈的同时 ， 还可以保障方案在云上进行扩展和交付的能力 。 ”Fortinet售前工程师韩晔通过寥寥数语定义了SD-Branch解决方案所需要具备的所有特质 ， 他表示：Fortinet的愿景就是帮助用户搭建一个这样通过安全驱动网络的解决方案 ， 这一方案就是Fortinet 安全SD-Branch企业安全组网解决方案 。 在Fortinet SD-Branch解决方案里 ， 其核心就在于通过防火墙这样的设备来提供统一的操作界面 ， 在防火墙上不但要统一的管理 ， 还要进行统一的安全方面的控制 ， 对内部的用户实现一个安全策略的统一管理 ， 对于有线、无线的接入也要纳管在防火墙当中 。 防火墙作为一个核心设备 ， 可以对整个安全、接入进行统一的管理 。
作为网络和安全领域的领军者 ， Fortinet在近期公布的Gartner魔力象限中 ， 在安全、广域网接入SD-WAN以及有线无线用户接入三大领域中Fortinet都进入了对应的Gartner魔力象限 ， 并在网络防火墙和SD-WAN及广域网边界架构魔力象限中处于领导者象限 。 同时在Gartner发布的关键能力报告中 ， Fortinet在小型分支广域网的使用、安全敏感型的广域网使用以及远程用户接入的场景中位居第一 。
作为一个一站式的解决方案 ， Fortinet SD-Branch在防火墙端实现了安全与SD-WAN广域网接入问题 。 对于内网用户 ， 通过扩展FortiSwitch即可以实现内网有线用户的接入 。 而对于无线用户再扩展FortiAP就可以实现内网无线用户的接入 。 即通过一个防火墙 ， Fortinet便实现了有线与无线统一接入以及安全与运维管理的三大功能 。 同时SD-WAN将作为FortiGate硬件的自带的功能模块 ， 无需额外的费用 ， 极大地降低了企业用户的成本 。 将SD-WAN集成到FortiGate NGFW之上 ， FortiGate可以不断地探测多条链路的质量 ， 从而实现关键业务与优质链路之间的良好对接 。
有线管理模块下 ， 将FortiGate设置在出口与交换机相连后 ， 用户可以直观的看到交换机所有的接口连接状态 ， 这也就实现了无需登录交换机 ， 直接在防火墙上对交换机的VLAN、Trunk 、链路聚合等参数进行配置 。 而无线管理模块 ， 在用户拿到FortiAP之后插在FortiSwitch交换机的POE供电接口上 ， 防火墙就能够自动接管所有的FortiAP的管理 ， 所以FortiGate防火墙也可以完成AC无线控制器的功能 。
常规的防火墙方案一般只能实现南北向流量的过滤 ， 而对于东西向流量的过滤毫无办法 。 而在FortinetSD-Branch的解决方案里 ， 如果使用了FortiGate+FortiSwitch+FortiAP这种方式 ， 无论是在有线还是无线的环境中 ， FortiGate都将可以实现非常细粒度的全方位流量安全 。
在硬件架构方面 ， Fortinet自研的ASIC主要由两块芯片构成 ， 其中NP负责高效的网络层数据包转发 ， 而CP负责数据包的IPS、防病毒等处理 。 通过这种硬件架构方式 ， 即便开了多任务 ， 网络又有大流量的情况下 ， FortiGate也能保持一个高速稳定的运行 。 同时 ， 当需要使用IPsec 或SSL VPN的时候 ， Forti ASIC NP和CP的芯片也负责加解密操作的处理 。
在演讲中 ， 韩晔还重点介绍了Fortinet SD-Branch所能提供的零接触部署功能 。 即在分布式企业进行面临大量分支开通时 ， 通过云模式完成预部署；无需让专业的IT人员前往分支进行网络设置 ， 就能够开通其网络业务 。
此外 ， 如果企业用户需要更加丰富的功能 ， 在Fortinet SD-Branch解决方案中也可以进行功能扩展 。 例如在最新的FortiOS7.0版本中 ， Fortinet已经集成了网络准入控制（NAC）功能 ， 能够满足一般基础的准入需求 。 而对于更加高级、负复杂化的准入需求 ， 也可以将FortiAuthenticator与FortiToken结合 ， 以动态口令的方式实现最安全的双因素认证 。 同时 ， 在全新的FortiOS7.0版本中 ， Fortinet还新增了零信任网络访问功能 。