1 方案介紹
需求背景
廣域網主要用於大型連鎖企業或者跨地域的分支與總部互聯互通��
,通常以專線或VPN連接�
,隨著網絡技術的不斷發展��
,網絡支撐平台從單一業務逐漸轉換為多業務��
,網絡數據傳輸從傳統的簡單數據�
,到現在的語音通話��
、即時通話��
、視頻會議以及其他應用��
,企業對網絡傳輸的實時性要求越來越高��
。專線因為隔離和獨享特點��
,安全性和穩定性方麵有天然的優勢��
,但是建設成本始終居高不下��
,而且隨著VPN技術的日趨成熟��
,其明顯的價格優勢和兼顧安全的特性��
,逐漸成為主流或者專線的備份方案�
。
但是�
,現有的VPN廣域網方案還是存在以下難題��
,一直困擾著用戶��
:
■ 流量控製��
:接入的分支越來越多��
,流量越來越大��
,增大了總部出口VPN網關的壓力��
;
■ 帶寬保證��
:不斷增加的互聯網應用與VPN業務出現帶寬爭用的問題��
;
■ 安全風險��
:由於接入了互聯網�
,總部與分支局域網麵臨安全風險��
;
■ 配置複雜��
: VPN網關��
、流控網關��
、安全網關等多種產品的串形部署�
,使總部與分支的網絡出口結構變得越來越複雜��
;
■ 難於運維管理��
: IT維護人員有限��
,眾多分支機構接入網關設備難於管理��
。
H3C新一代廣域網安全解決方案全麵地考慮了廣域網的安全問題和性能問題��
,通過部署防火牆��
、IPS��
、ACG��
、負載均衡��
、管理中心等安全產品組成了立體的安全防禦和性能優化體係��
,確保了廣域網的高安全和高性能��
。
總部安全設計
總部包含了廣域網業務的核心數據��
,安全級別最高�
,所以在總部的廣域網出口采用高性能��
、高可靠性的安全設備實現安全防護和性能保護��
。另外��
,對於大型廣域網的總部��,H3C可以提供高端超萬兆的多業務安全網關M9000��
,以滿足大型廣域網總部對安全業務的高性能需求�
。
分支安全設計
相對總部而言��
,分支機構的流量相對較小��
,但地域分布廣��
、網點多��
,要求安全易部署��
、易管理��
,所以在廣域網的分支網點��
,采用H3C高端下一代防火牆F50X0�
、F10X0等功能綜合的安全產品��
,在確保獲得專業安全業務的同時��
,又能滿足分支業務對性能的需求��
。
安全管理設計
在總部部署H3C的安全管理平台SSM(安全業務管理中心)��
,實現廣域網全網安全威脅統一監控和安全策略統一管理��
,降低運維管理難度�
,實時了解整網安全態勢��
。
2 方案優勢
2.1高可靠性
網絡可靠��
:專線接入��
,並進行VPN備份��
。
設備可靠��
:網絡及安全設備提供電信級可靠性��
,支持主要硬件模塊冗餘備份和熱插拔��
;另外設備支持H3C自有的IRF技術��
,支持N:1虛擬化��
,多台設備虛擬化成一個節點��
,簡化配置便於管理�
,虛擬設備互為備份��
,出現故障自動切換�
,保證高可靠性��
。
2.2高安全性
網絡安全��
:專線接入��
,保證數據安全��
,VPN鏈路備份
設備安全��
:H3C M9000係列多業務安全網關��
、下一代防火牆係列產品��
,支持豐富的安全特性��
,包括防火牆��
、入侵檢測防禦��
、負載均衡��
、應用控製等�
,有效防護來自網絡的DDOS攻擊��
、木馬病毒攔截�
、限製P2P��
、視頻帶寬濫用等問題��
,實現2-7層的安全防護��
。
2.3統一簡化管理
H3C網絡和安全設備�
,支持管理中心統一管理��
,策略統一��
、整網事件綜合分析聯動��
,安全事件�
、安全態勢在同一平台集中展示��
,並通過虛擬化技術進一步降低管理和配置複雜度��
;另外針對廣域網設備種類繁多��
、配置複雜��、難於管理的現狀�
,H3C提出安全運營中心解決方案�
,將網絡設備��
、安全設備��
、服務器/終端�
、應用等IT資源集中在同一個平台進行監控��
,平台負責從分散的網絡節點收集日誌��
、事件統一分析��
,持續分析網絡安全趨勢��
、攻擊預警及溯源��
,結合安全大數據分析��
,有效識別��
、預防APT攻擊�
,實現未知風險防禦��
。
3 客戶價值
實現高可靠��
、高安全性的廣域網互聯
原有設備全部保留��
,無須替換, 采用業界通用成熟協議��
,充分保證與多方廠商設備對接��
、互通
支持插卡和虛擬化��
,性能彈性擴展
統一管理��
,大幅降低網絡��
、設備運維難度的同時有效掌握安全趨勢降低安全風險
4 典型組網
廣域網解決方案
5 核心產品
管理平台��
:天機/iMC/安全業務管理中心SSM
安全產品��
:H3C SecPath M9000多業務安全網關��
、H3C SecPath F50X0/F10X0係列下一代防火牆��
、H3C SecPath SecBlade係列安全插卡
6 典型客戶
7 未來展望
隨著SDN技術的日趨成熟��
,該技術使控製平麵與轉發平麵分離��
,並基於全局路由算法��
,全局路徑統一計算��
,通過鏈路自動調整實現資源合理調度��
,有效提升帶寬利用率��
,並加快業務部署速度��
。結合虛擬化技術�
,未來廣域網安全將以安全能力中心的形式提供安全服務��
,SDN構建的overlay網絡可以根據不同的業務安全需求��
,按需將特定流量引入安全能力中心進行清洗��
,實現軟件定義安全和基於業務的個性化安全服務��
。
