FortiFlex 灵活授权助力某全球水处理公司高效部署云防火墙，实现敏捷安全建设

背景概述

作为一家跨美洲与欧洲运营的大型水处理企业，该公司在零售门店、仓储、制造、物流与办公室等多个环节管理着庞大的业务网络。近年来，公司并购（M&A）活动剧增，仅去年就完成 60 起收购，导致 IT 环境需快速整合、统一安全策略并提升网络可见性。

面对多区域、多业务的技术架构，公司决定逐步将原本分散在全球各地的本地数据中心业务迁移至 Microsoft Azure，以“整治、整合、优化”为核心目标，实现集中管理与架构简化。

从本地 FortiGate 到 Azure FortiGate VM 的安全迁移需求

企业原先在本地环境中长期使用 FortiGate 下一代防火墙（NGFW），其高吞吐与高性价比广受团队认可。
因此在规划云迁移时，企业决定继续在 Azure 环境部署 FortiGate VM 来保护云端业务。

但迁移前的最大挑战是：

云防火墙规格难以预估：

• 不同子公司与业务单元历史环境差异巨大

• 多个服务器整合到同一云环境

• 初期无法明确 VM 资源需求

• 一旦部署后发现规格不足，调整将耗时且影响业务

为避免后期调整，企业本来计划“大幅超配”云防火墙规格，但这将显著提高成本。

FortiFlex：解决超配问题，实现 15% 成本节约

在与合作伙伴讨论解决方案时，FortiFlex 灵活授权模式成为突破点。

FortiFlex 的优势：

• 通过“点数”按需消耗的方式灵活部署

• 可根据业务变化随时扩容或缩容

• 点数可跨 FortiGate、FortiManager、FortiAnalyzer、FortiWeb 等多种 Fortinet 产品

• 未使用点数可在有效期内自动结转

• 避免一次性购买固定规格导致的浪费

公司在迁移初期准备了可支撑最大负载的点数池，但 仅按实际消耗计费，最终实现：

➡ 云端 FortiGate 成本降低约 15%
➡ 无需提前预测 VM 规格，降低规划风险

统一安全管理与高效运维

迁移完成后，企业建立了“全球三大域”架构（美洲、欧洲、Azure），并通过以下 Fortinet 组件实现集中管理：

核心部署

• FortiGate NGFW / FortiWiFi（物理防火墙）：保护各地分支与站点

• FortiGate VM：保护 Azure 云环境

• Secure SD-WAN：为 ISP 链路负载均衡，提高访问质量

• FortiManager：集中配置管理所有防火墙

• FortiGuard UTP 统一威胁防护服务：包含 IPS、AV、网页过滤、应用控制等能力

显著收益

• 所有设备策略可在 FortiManager 中统一查看与管理

• 实现跨区域统一安全策略

• 云与本地的安全能力保持一致

• 快速适应 M&A 场景下的新业务整合

FortiFlex 赋能敏捷安全：从部署到管理全面加速

企业在持续将更多业务迁移至 Azure 的过程中仍保持高度灵活性：

1. 快速部署新防火墙

• 传统授权：采购与下发至少 一周以上

• FortiFlex：30 分钟内部即可完成部署，大幅提升灵活性

2. 快速校准防火墙规格

如果发现 VM 规格偏小，可立即用点数扩容，而无需替换许可证。

3. 有效发现 Shadow IT

某地区团队私自创建防火墙实例，因出现点数消耗而被立即发现，便于统一治理。

4. 按需创建与销毁临时环境

如测试 FortiManager 备份等场景，可以临时创建实例，测试完成即可释放点数，不浪费预算。

业务成效总结

成本与效率

• 节省 15% FortiGate VM 成本（避免超配）

• 30 分钟快速上线新防火墙

• 云迁移过程中支持频繁的并购整合需求

• 实现对 Shadow IT 的全面可见性

安全性与管理优化

• 全网统一安全策略

• 通过 Secure SD-WAN 提升链路稳定性

• Azure 上的应用安全与本地保持一致

• 提高安全测试与开发环境的搭建效率

使用的 Fortinet 解决方案

• FortiGate NGFW

• FortiGate VM

• Fortinet Secure SD-WAN

• FortiWiFi

• FortiManager

服务：

• FortiFlex 灵活授权

• FortiGuard AI-Powered Security Services（UTP Bundle）