1    项目背景介绍

爱达·魔都号（Adora Magic City）是中国首艘国产大型邮轮,也是爱达邮轮旗下首艘国产大型邮轮，全长323.6米，总吨位为13.55万总吨，有24层楼高，2125间客房，最多可载乘客5246人。爱达·魔都号的通信组网由5G、WiFi和通信卫星、星链形成天地一体组网，在5G信号能够覆盖到的近海海域，邮轮上的乘客能享受到5G和WiFi6的自由切换，对于爱达·魔都号来说，5G、Wifi 6、卫星等天地一体组网形成的多种网络形式，再加上办公、管理和访客等多“张”网络共存，也带来了安全隔离与控制、网络负载均衡、安全防护和可视化、运维管理、威胁应对等多种需求。

2    项目目标与原则

爱达·魔都号（Adora Magic City）是中国首艘国产大型邮轮，它的成功投运标志着这标志着我国成为可同时建造航空母舰、大型液化天然气运输船、大型邮轮的国家，集齐造船业“三颗明珠”，而游客的满意度是成功的关键，从现有的运营中的邮轮满意度调查中，邮轮网络访问体验一直是投诉的重灾区。所以构建一套安全的、智能的、可应对多种场景需求的网络尤为重要。

3    项目实施与应用

在充分考虑了邮轮上网络安全建设挑战和需求的基础上爱达·魔都号采用了Fortinet基于专用芯片的高性能FortiGate防火墙构建核心安全集群交换系统，提供网络安全防御以及优秀的安全性能，确保网络连续、安全、可靠地运行。采用 Fortinet 专用安全处理器 (SPU) 的硬件架构设计，能够提供业界最佳的威胁防护性能和超低延迟，为 SSL 加密流量提供行业领先的安全性能和威胁保护。

首先，邮轮多网共存的现状需要灵活、有效的隔离和策略控制。FortiGate无缝集成 7 层高级网络安全功能及虚拟域 (VDOM) ，可提供多种场景的灵活部署。邮轮可以通过在FortiGate上启用VDOM实现访客网、办公网、海事网、管理网业务的隔离，为不同业务应用个性化的安全策略，实现了一套系统多网络防护。同时，通过VDOM虚拟集群技术将关键流量和互联网流量置于不同节点，实现了FortiGate集群节点的冗余和负载，最大化的资源利用。

第二，针对邮轮多种场景网络分配，以及国际化的网络“漫游”现状，FortiGate集成SD-WAN实现多链路负载。FortiGate是原生的网络融合安全的产品，集成丰富的SD-WAN能力，不但通过全球唯一的SD-WAN 专用芯片在实现高性能、大规模的网络转发的同时，通过专用的内容处理芯片实现精准、高效的安全防护过滤和管控。

本方案通过FortiGate可以实现对应用和流量的精准识别、管控，针对访客互联网应用、船上数据中心业务、陆上数据中心应用、云上应用、海事应用等应用类型，以及在近海区域的5G、远海区域的卫星链路、海事专线等多种链路场景，方案都能够在精准识别和监测的基础上，根据线路质量、流量占用、业务优先级等各种指标来优化整个网络的带宽分配。从而达到精准分配流量、精准管控应用、优先保障核心业务、提升关键应用用户使用体验，实现整个网络带宽资源的最佳利用，降低网络带宽的投入。

第三，数字化、全球化等特点也要求邮轮具备健壮的安全防护能力。安全则是FortiGate的基因，其提供丰富高效的安全防护。作为下一代防火墙，FortiGate将多种威胁防御功能集成到由专用安全处理单元 (SPU) 提供支持的单个高性能网络安全设备中，极大的降低网络复杂性并最大限度地提高投资回报率，集成的AV、IPS、应用控制、Web过滤、DNS过滤、反垃圾邮件、DLP、Web应用防护、沙箱集成等安全能力，为访客互联网访问和邮轮本地应用提供全面的安全防护和深度应用控制。

同时，依托专用安全芯片的高性能处理能力，FortiGate确保丰富的安全功能无损落地。FortiGate具有业界最高的 SSL 检测性能，包括带增强密码算法的最TLS 1.3 标准，可对流量解密并自动阻断威胁，应对隐藏在加密流量中的威胁毫不妥协。

第四，相比有限的传统网络，数字化时代邮轮需要集中管理和自动化运维中心平台，实现有效的网络和安全管理。尤其对于长期遨游在海洋之上的邮轮来说，更要通过集中和自动化平台实现安全威胁的及时感知和自动化应对。

在本项目中FortiManager和FortiAnalyzer就是这样的集中管理和运维中心平台，通过和FortiGate集成构建Fortinet Security Fabric，实现NOC-SOC工作流，安全 (SOC) 工作流和运营 (NOC) 工作流之间可自动交换数据，因此形成了一个完整的工作流，通过集成 FortiAnalyzer 可获得高级数据可视化和分析功能，从而提升可见性，帮助运维人员快速掌握情况、识别威胁并简化托管设备的快速配置和安全保护。

4    效益分析

方案中，Fortinet通过一套安全系统Fortinet Security Fabric实现了邮轮多网络的融合隔离控制，替代了原来需要3套安全系统的高成本方案，且部署、管理更为简便，极大降低了实施复杂度和建设成本。

Fortinet集中管理和运维平台提供了对IT资产的有效控制和可见性，简化了邮轮的网络和安全管理，为IT团队节省资源和时间，满足邮轮精细化访问控制需求，通过自动化的剧本特性，将原来的需要几天、几个月的事件发现和处理时间降低到了短短几秒钟，将IT人员从枯燥的日志分析和风险应对中解放出来。

通过灵活易用的SD-WAN邮轮也实现了基于应用的SLA智能选路灵活性，为工作人员、旅客提供极致的网络访问体验，将传统的秒级冗余链路切换变为现在的基于应用质量的毫秒级切换，同时将传统的链路备份变为多链路负载，充分利用了带宽资源，节约了50%以上的带宽成本。

而FortiGate NGFW优异的安全能力满足邮轮网络严苛的安全防护需求，保障安全合规，为邮轮的顺利运转带来了不可估量的效益。