Fortinet Tìm hiểu kiến trúc của NGFW và các thành phần cốt lõi

Tổng quan: FortiGate trong hệ sinh thái Fortinet​

• FortiGate NGFW không chỉ là firewall đơn lẻ: nó là hạt nhân (core) của kiến trúc bảo mật rộng hơn — FortiOS + Fortinet Security Fabric.
• Với FortiOS + Security Fabric, FortiGate có thể tích hợp cùng nhiều thành phần bảo mật khác (ví dụ VPN, IPS, anti-malware, logging/analytics, SD-WAN, switch, WiFi AP, etc.) để cung cấp “mạng theo hướng bảo mật” (security-driven network).
• FortiGate có thể triển khai ở nhiều môi trường: văn phòng nhỏ, chi nhánh, campus, trung tâm dữ liệu on-premises, hoặc cloud/hybrid.

Như vậy, FortiGate NGFW phù hợp với cả mạng doanh nghiệp nhỏ lẫn hạ tầng lớn — điều này làm nó rất linh hoạt, nhưng cũng đòi hỏi người quản trị hiểu rõ kiến trúc bên trong và cách cấu hình.

---

Thành phần lõi & kiến trúc nội bộ của FortiGate

• Kiến trúc phần cứng — ASIC & chế độ xử lý song song​

Một điểm nổi bật giúp FortiGate hiệu năng cao ngay cả khi bật nhiều tính năng mạnh (IPS, SSL inspection, VPN) là việc sử dụng phần cứng chuyên biệt: ASIC / SoC / chip xử lý riêng cho từng nhiệm vụ.

Cụ thể:

• Network Processor (NP): xử lý các chức năng mạng lớp 2–4 — routing, NAT, xử lý packet nhanh, VPN.
  
  
• Content Processor (CP): phụ trách deep-packet inspection (DPI), IPS, antivirus, kiểm tra nội dung, SSL/SSH inspection
  
  
• System-on-Chip (SoC): trên các thiết bị nhỏ/branch-level FortiGate, Fortinet có thể tích hợp nhiều chức năng vào một chip — để vừa tiết kiệm chi phí, vừa đảm bảo hiệu năng tương ứng với quy mô

Nhờ kiến trúc “parallel path processing architecture” (xử lý song song), FortiGate NGFW vẫn giữ được hiệu suất cao ở các lớp L4–L7 ngay cả khi bật kiểm tra payload, SSL, IPS, ứng dụng.

Điều này rất quan trọng trong môi trường doanh nghiệp có lưu lượng lớn, nhiều kết nối VPN/SSL — không bị bottleneck CPU khi dùng phần mềm đơn thuần.

---

• Hệ điều hành & khung chính sách: FortiOS + VDOM​

• FortiOS là hệ điều hành chạy trên FortiGate, cung cấp toàn bộ chức năng bảo mật: firewall, VPN, IPS, SSL inspection, application control, content filtering, logging.

• VDOM (Virtual Domain) — tính năng rất quan trọng để phân chia firewall thành nhiều “vùng ảo” độc lập với chính sách riêng: phù hợp cho multi-tenant, chia tách traffic (ví dụ: business traffic vs management), hoặc cho môi trường phức tạp.

• Firewall Policy + Security Profiles: chính sách firewall (who/what/where) kết hợp với các “security profile” (IPS, AV, web-filtering, SSL inspection…) để quyết định traffic được phép, bị chặn hay kiểm tra thêm.

Ngoài ra, FortiGate còn hỗ trợ logging, quarantining (khi phát hiện malware/event), và các chức năng bảo mật nâng cao — giúp phân tích, phản ứng sự cố (forensics, incident response).