Approche de Fortinet sur le SD-WANdans un firewall Fortigate
Qu’est-ce que le SD-WAN du firewall fortinet ?
Les solutions SD-WAN d’aujourd’hui doivent pouvoir répondre à différents critères :
- Un remplacement souple des routeurs WAN traditionnels
- Équilibrer dynamiquement le trafic sur plusieurs connexions WAN, en fonction des applications (agnostique de transport)
- Réduire la complexité associée aux déploiements WAN traditionnels et hybrides
- Sécuriser la connectivité Interne / protéger son réseau
Fortinet Secure SD-WAN intègre les meilleures capacités WAN et de sécurité dans une unique solution.
Fortinet Secure SD-WAN fournit des performances robustes sur la gestion des menaces avancées avec un TCO faible tout en offrant une visibilité transparente et des contrôles qui s’étendent jusqu’au bord du réseau, une protection avancée jusqu’aux applications et disposant d’une solution automatique pour le choix du meilleur chemin en fonction des contrats de niveau de service définis par l’entreprise.
La solution Fortinet Secure SD-WAN s’appuie sur les Firewalls Next-Generation FortiGate.
Cela permet de répondre à l’ensemble des besoins SD-WAN et sécurité avancée :
La solution de firewall Fortinet permet d’assurer une priorisation et classification des applications :
- Visibilité sur plus de 3000 applications mises à jour régulièrement et automatiquement dans la base du firewall ;
- Database spécifique pour les applications Cloud avec une mise à jour dynamique des IP et des ports ;
- Classification dès les premiers paquets pour assigner efficacement des applications à un lien WAN spécifique.
Les composants à mettre en œuvre
La solution Fortinet s’appuie sur la mise en place des composants suivants :
- Création d’une interface SD-WAN ;
- Création des contrats de niveau de service (Service Level Agreement – SLA) ;
- Création des règles SD-WAN afin de pouvoir associer une préférence / dé-préférence sur un lien avec des contrats de niveau de service pour assurer une bascule en cas de non-respect de ces contrats ;
- Choix des méthodes de distribution du trafic sur les règles SD-WAN.
Point important : vérifier la bonne santé du SD-WAN
Pour qu’une répartition de charge soit efficace, il convient de s’assurer que toutes les interfaces qui composent le SD-WAN soient en bonne santé. Il est possible de créer des sondes de mesures pour vérifier l’état de santé des interfaces. Il est ainsi possible de mesurer la perte de paquet, la latence ou même la variation de la latence (gigue).
Les tests de santé peuvent être effectués sur plusieurs serveurs (adresse IP, FQDN) en s’appuyant sur les protocoles PING, HTTP, TCP ECHO, UDP ECHO et TWAMP. Ces tests peuvent être impliqués sur une ou plusieurs interfaces du lien SD-WAN.
Ainsi une interface peut être isolée des autres, de ce fait la solution SD-WAN réoriente les nouvelles sessions vers les interfaces en bonne santé. La mesure est continue. Si l’interface précédemment isolée est de nouveau en bonne santé, l’algorithme la reprendra en compte pour répartir les sessions.
La mise en place des règles SD-WAN permettent de d’appliquer des politiques de préférence ou dé-préférence des flux au regard des liens utilisés dans l’interface SD-WAN selon la source, des utilisateurs, la destination (IP, FQDN, Application).
Les critères de sortie s’effectuent selon les points suivants :
- La qualité du lien définie par les tests de santé sur les interfaces ;
- La qualité de service du lien définie par des SLA.
Ainsi, il est possible de configurer des mesures de qualité différentes pour différents services avec les valeurs récupérées par les tests de santé (par exemple : SIP est sensible à la gigue tandis que les flux de streaming sont sensibles à la latence).
Besoin de plus d’infos sur le SD-WAN et le firewall Fortigate ?