廣域網(wǎng)

1 方案介紹

需求背景

廣域網(wǎng)主要用于大型連鎖企業(yè)或者跨地域的分支與總部互聯(lián)互通，通常以專(zhuān)線(xiàn)或VPN連接，隨著(zhù)網(wǎng)絡(luò )技術(shù)的不斷發(fā)展，網(wǎng)絡(luò )支撐平臺從單一業(yè)務(wù)逐漸轉換為多業(yè)務(wù)，

網(wǎng)絡(luò )數據傳輸從傳統的簡(jiǎn)單數據，到現在的語(yǔ)音通話(huà)、即時(shí)通話(huà)、視頻會(huì )議以及其他應用，企業(yè)對網(wǎng)絡(luò )傳輸的實(shí)時(shí)性要求越來(lái)越高。

專(zhuān)線(xiàn)因為隔離和獨享特點(diǎn)，安全性和穩定性方面有天然的優(yōu)勢，但是建設成本始終居高不下，而且隨著(zhù)VPN技術(shù)的日趨成熟，其明顯的價(jià)格優(yōu)勢和兼顧安全的特性，逐漸成為主流或者專(zhuān)線(xiàn)的備份方案。

但是，現有的VPN廣域網(wǎng)方案還是存在以下難題，一直困擾著(zhù)用戶(hù)：

■ 流量控制：接入的分支越來(lái)越多，流量越來(lái)越大，增大了總部出口VPN網(wǎng)關(guān)的壓力；

■ 帶寬保證：不斷增加的互聯(lián)網(wǎng)應用與VPN業(yè)務(wù)出現帶寬爭用的問(wèn)題；

■ 安全風(fēng)險：由于接入了互聯(lián)網(wǎng)，總部與分支局域網(wǎng)面臨安全風(fēng)險；

■ 配置復雜： VPN網(wǎng)關(guān)、流控網(wǎng)關(guān)、安全網(wǎng)關(guān)等多種產(chǎn)品的串形部署，使總部與分支的網(wǎng)絡(luò )出口結構變得越來(lái)越復雜；

■ 難于運維管理： IT維護人員有限，眾多分支機構接入網(wǎng)關(guān)設備難于管理。

H3C新一代廣域網(wǎng)安全解決方案全面地考慮了廣域網(wǎng)的安全問(wèn)題和性能問(wèn)題，通過(guò)部署防火墻、IPS、ACG、負載均衡、管理中心等安全產(chǎn)品組成了立體的安全防御和性能優(yōu)化體系，確保了廣域網(wǎng)的高安全和高性能。

總部安全設計

總部包含了廣域網(wǎng)業(yè)務(wù)的核心數據，安全級別最高，所以在總部的廣域網(wǎng)出口采用高性能、高可靠性的安全設備實(shí)現安全防護和性能保護。

另外，對于大型廣域網(wǎng)的總部，H3C可以提供高端超萬(wàn)兆的多業(yè)務(wù)安全網(wǎng)關(guān)M9000，以滿(mǎn)足大型廣域網(wǎng)總部對安全業(yè)務(wù)的高性能需求。

分支安全設計

相對總部而言，分支機構的流量相對較小，但地域分布廣、網(wǎng)點(diǎn)多，要求安全易部署、易管理，所以在廣域網(wǎng)的分支網(wǎng)點(diǎn)，采用H3C高端下一代防火墻F50X0、F10X0等功能綜合的安全產(chǎn)品，在確保獲得專(zhuān)業(yè)安全業(yè)務(wù)的同時(shí)，又能滿(mǎn)足分支業(yè)務(wù)對性能的需求。

安全管理設計

在總部部署H3C的安全管理平臺SSM（安全業(yè)務(wù)管理中心），實(shí)現廣域網(wǎng)全網(wǎng)安全威脅統一監控和安全策略統一管理，降低運維管理難度，實(shí)時(shí)了解整網(wǎng)安全態(tài)勢。

2 方案優(yōu)勢

2.1高可靠性

網(wǎng)絡(luò )可靠：專(zhuān)線(xiàn)接入，并進(jìn)行VPN備份。

設備可靠：網(wǎng)絡(luò )及安全設備提供電信級可靠性，支持主要硬件模塊冗余備份和熱插拔；另外設備支持H3C自有的IRF技術(shù)，支持N:1虛擬化，多臺設備虛擬化成一個(gè)節點(diǎn)，簡(jiǎn)化配置便于管理，虛擬設備互為備份，出現故障自動(dòng)切換，保證高可靠性。

2.2高安全性

網(wǎng)絡(luò )安全：專(zhuān)線(xiàn)接入，保證數據安全，VPN鏈路備份

設備安全：H3C M9000系列多業(yè)務(wù)安全網(wǎng)關(guān)、下一代防火墻系列產(chǎn)品，支持豐富的安全特性，包括防火墻、入侵檢測防御、負載均衡、應用控制等，有效防護來(lái)自網(wǎng)絡(luò )的DDOS攻擊、木馬病毒攔截、限制P2P、視頻帶寬濫用等問(wèn)題，實(shí)現2-7層的安全防護。

2.3統一簡(jiǎn)化管理

H3C網(wǎng)絡(luò )和安全設備，支持管理中心統一管理，策略統一、整網(wǎng)事件綜合分析聯(lián)動(dòng)，安全事件、安全態(tài)勢在同一平臺集中展示，并通過(guò)虛擬化技術(shù)進(jìn)一步降低管理和配置復雜度；另外針對廣域網(wǎng)設備種類(lèi)繁多、配置復雜、難于管理的現狀，H3C提出安全運營(yíng)中心解決方案，將網(wǎng)絡(luò )設備、安全設備、服務(wù)器/終端、應用等IT資源集中在同一個(gè)平臺進(jìn)行監控，平臺負責從分散的網(wǎng)絡(luò )節點(diǎn)收集日志、事件統一分析，持續分析網(wǎng)絡(luò )安全趨勢、攻擊預警及溯源，結合安全大數據分析，有效識別、預防APT攻擊，實(shí)現未知風(fēng)險防御。

3 客戶(hù)價(jià)值

 實(shí)現高可靠、高安全性的廣域網(wǎng)互聯(lián)

 原有設備全部保留，無(wú)須替換, 采用業(yè)界通用成熟協(xié)議，充分保證與多方廠(chǎng)商設備對接、互通

 支持插卡和虛擬化，性能彈性擴展

 統一管理，大幅降低網(wǎng)絡(luò )、設備運維難度的同時(shí)有效掌握安全趨勢降低安全風(fēng)險

4 典型組網(wǎng)

廣域網(wǎng)解決方案

5 核心產(chǎn)品

管理平臺：天機/iMC/安全業(yè)務(wù)管理中心SSM

安全產(chǎn)品：H3C SecPath M9000多業(yè)務(wù)安全網(wǎng)關(guān)、H3C SecPath F50X0/F10X0系列下一代防火墻、H3C SecPath SecBlade系列安全插卡

6 典型客戶(hù)

7 未來(lái)展望

隨著(zhù)SDN技術(shù)的日趨成熟，該技術(shù)使控制平面與轉發(fā)平面分離，并基于全局路由算法，全局路徑統一計算，通過(guò)鏈路自動(dòng)調整實(shí)現資源合理調度，有效提升帶寬利用率，并加快業(yè)務(wù)部署速度。

結合虛擬化技術(shù)，未來(lái)廣域網(wǎng)安全將以安全能力中心的形式提供安全服務(wù)，SDN構建的overlay網(wǎng)絡(luò )可以根據不同的業(yè)務(wù)安全需求，按需將特定流量引入安全能力中心進(jìn)行清洗，實(shí)現軟件定義安全和基于業(yè)務(wù)的個(gè)性化安全服務(wù)。