需求背景
广域网主要用于大型连锁企业或者跨地域的分支与总部互联互通,通常以专线或VPN连接,随着网络技术的不断发展,网络支撑平台从单一业务逐渐转换为多业务,网络数据传输从传统的简单数据,到现在的语音通话、即时通话、视频会议以及其他应用,企业对网络传输的实时性要求越来越高。
专线因为隔离和独享特点,安全性和稳定性方面有天然的优势,但是建设成本始终居高不下,而且随着VPN技术的日趋成熟,其明显的价格优势和兼顾安全的特性,逐渐成为主流或者专线的备份方案。
但是,现有的VPN广域网方案还是存在以下难题,一直困扰着用户:
流量控制:接入的分支越来越多,流量越来越大,增大了总部出口VPN网关的压力;
带宽保证:不断增加的互联网应用与VPN业务出现带宽争用的问题;
安全风险:由于接入了互联网,总部与分支局域网面临安全风险;
配置复杂:VPN网关、流控网关、安全网关等多种产品的串形部署,使总部与分支的网络出口结构变得越来越复杂;
难于运维管理:IT维护人员有限,众多分支机构接入网关设备难于管理。
H3C新一代广域网安全解决方案全面地考虑了广域网的安全问题和性能问题,通过部署防火墙、IPS、ACG、负载均衡、管理中心等安全产品组成了立体的安全防御和性能优化体系,确保了广域网的高安全和高性能。
总部安全设计
总部包含了广域网业务的核心数据,安全级别最高,所以在总部的广域网出口采用高性能、高可靠性的安全设备实现安全防护和性能保护。另外,对于大型广域网的总部,H3C可以提供高端超万兆的多业务安全网关M9000,以满足大型广域网总部对安全业务的高性能需求。
分支安全设计
相对总部而言,分支机构的流量相对较小,但地域分布广、网点多,要求安全易部署、易管理,所以在广域网的分支网点,采用H3C高端下一代防火墙F50X0、F10X0等功能综合的安全产品,在确保获得专业安全业务的同时,又能满足分支业务对性能的需求。
安全管理设计
在总部部署H3C的安全管理平台SSM(安全业务管理中心),实现广域网全网安全威胁统一监控和安全策略统一管理,降低运维管理难度,实时了解整网安全态势。
2.1高可靠性
网络可靠:专线接入,并进行VPN备份。
设备可靠:网络及安全设备提供电信级可靠性,支持主要硬件模块冗余备份和热插拔;另外设备支持H3C自有的IRF技术,支持N:1虚拟化,多台设备虚拟化成一个节点,简化配置便于管理,虚拟设备互为备份,出现故障自动切换,保证高可靠性。
2.2高安全性
网络安全:专线接入,保证数据安全,VPN链路备份
设备安全:H3C M9000系列多业务安全网关、下一代防火墙系列产品,支持丰富的安全特性,包括防火墙、入侵检测防御、负载均衡、应用控制等,有效防护来自网络的ddos攻击、木马病毒拦截、限制P2P、视频带宽滥用等问题,实现2-7层的安全防护。
2.3统一简化管理
H3C网络和安全设备,支持管理中心统一管理,策略统一、整网事件综合分析联动,安全事件、安全态势在同一平台集中展示,并通过虚拟化技术进一步降低管理和配置复杂度;
另外针对广域网设备种类繁多、配置复杂、难于管理的现状,H3C提出安全运营中心解决方案,将网络设备、安全设备、服务器/终端、应用等IT资源集中在同一个平台进行监控,
平台负责从分散的网络节点收集日志、事件统一分析,持续分析网络安全趋势、攻击预警及溯源,结合安全大数据分析,有效识别、预防APT攻击,实现未知风险防御。
实现高可靠、高安全性的广域网互联
原有设备全部保留,无须替换, 采用业界通用成熟协议,充分保证与多方厂商设备对接、互通
支持插卡和虚拟化,性能弹性扩展
统一管理,大幅降低网络、设备运维难度的同时有效掌握安全趋势降低安全风险
广域网解决方案
管理平台:天机/iMC/安全业务管理中心SSM
安全产品:H3C SecPath M9000多业务安全网关、H3C SecPath F50X0/F10X0系列下一代防火墙、H3C SecPath SecBlade系列安全插卡
随着SDN技术的日趋成熟,该技术使控制平面与转发平面分离,并基于全局路由算法,全局路径统一计算,通过链路自动调整实现资源合理调度,有效提升带宽利用率,并加快业务部署速度。
结合虚拟化技术,未来广域网安全将以安全能力中心的形式提供安全服务,SDN构建的overlay网络可以根据不同的业务安全需求,按需将特定流量引入安全能力中心进行清洗,实现软件定义安全和基于业务的个性化安全服务。
以上就是大型企业广域网优化方案分享的介绍。如果你还有其他问题,欢迎进行咨询探讨,希望Vecloud的专业的解决方案,可以解决你目前遇到的问题。Vecloud提供全球主机托管、服务器租用、MPLS专线、SD-WAN等方面的专业服务,资源覆盖全球。欢迎咨询。