行业背景

随着云网络的发展,分支网络的不断延伸,物联网设备的增加,云网端一体化布局已经成为许多企业的信息化基础架构,全境化的安全服务是保障业务稳定性和连续性的必要条件。从网络演进的角度分析,企业面临四个方面的变化:
• 经济环境波动,企业大型化、连锁化,覆盖范围广,延伸三、四线城市
• IT架构升级,企业IT上云成为必然,混合IT架构、多云架构、云迁移
• 终端、用户、应用间连接越来越复杂,网络管理和合规审查难度越来越大
• 安全服务的边界从端、局域网络延伸到广域网络、延伸到云平台
利用SD-WAN技术可以更高效的组建园区网、分支机构、物联网、数据中心和云之间的通讯网络,安全特性被视为SD-WAN的重要组成部分,在设计保护广域网业务流量方案时,SD-WAN的集成安全能力更优于传统单点部署的防护方式,所以安全SD-WAN将是企业混合IT架构下的首选安全组网解决方案。

客户需求

接入统一管理
分支机构网络需提供快速部署、即时开通的能力,能够结合现网Radius服务器对所有分支机构的有线及无线用户接入实行统一接入认证管理。
策略统一管理
边界网络设备具备高级安全防护能力,实现园区网、分支机构接入网、数据中心网、云网络等各计算机网络边界处的安全策略集中下发、统一管理。
运维统一管理
广域网组网设备具备集中管理和控制能力,分支机构免IT运维,实现远程集中运维、一键巡检,降低运营成本。

解决方案

奇安信网神安全 SD-WAN 以网络即服务(NaaS)和安全即服务(SaaS)的方式,为多分支机构、数据中心互联、混合云等场景的用户提供广域安全组网方案。 不仅解决网络运维成本高、广域组网复杂等网络问题,同时针对广域网及内网数 据日益严重的安全风险,提供“云-网-端”一体的端到端安全防护能力。通过灵活便捷、按需定制的网络连接,弹性部署的安全能力,数据驱动的网络及安全策略决策支持,让网络更安全,让安全更智能。


奇安信网神安全SD-WAN 由两部分组成,奇安信网神安全网络路由网关和奇安信网神安全网络管控平台。奇安信网神安全网络路由网关(以下简称安全网关) 部署在企业总部、数据中心或者分支机构,为企业的总部与分支、数据中心与分支、分支与分支之间的互联提供组网和安全防护功能。奇安信网神安全网络管控平台(以下简称管控平台)集中部署在企业总部或者数据中心,负责对奇安信网神安全网络路由网关的网关设备、网络连接、安全功能以及接入的终端和用户进行集中化、可视化的统一控制和管理。
奇安信网神安全SD-WAN是在客户现有物理网络之上基于SDN技术以及VPN技术组建一张overlay的虚拟专用网,实现全自动安全组网、业务数据安全传输、业务质量保障和统一智能运维。


全自动组建加密虚拟专用网保障通讯安全
安全SD-WAN实现了全自动组建加密虚拟专用网的能力,管理员只需关心业务访问策略的配置,由管控平台下发业务访问策略时,会自动基于业务访问策略实现自动组建基于该业务的虚拟专用网。
隔离不同业务,保障数据安全
安全SD-WAN采用PrivateEX增强隔离技术为客户按需组建虚拟网络,在中心节点到分支机构之间建立基于业务隔离的安全连接,并可支持国际算法以及国家商密算法的加密数据传送,并满足等级保护要求。
安全网关支持漏洞防护、攻击防护、病毒防护以及URL过滤策略防护等多种类型的防护能力。同时通过数据加密传输、终端准入认证、权限集中管控、威胁深度识别的体系化安全保障,提供全面的数据安全防护。
服务质量保障
管控平台支持遥测技术,通过监测整个广域网的端到端服务质量,基于WKSP技术支持基于跳数、时延、带宽等多维度的智能选路,实现基于应用的路径优选和质量保证。
安全网关支持通过Internet、4G、MPLS、MSTP等多种广域出口的方式与其它安全网关互联,当其中一个广域网出口出现故障时,可以切换到其他正常的广域网出口,保证数据传送服务不受影响,为访问业务提供服务质量保障。
智能简化运维
管控平台提供可视化集中管控能力,支持对全网安全网关的全局视图展示、设备的状态采集和告警、网络质量的监测、网络编排及安全编排的集中管理、全网安全威胁的统计展示等,支持全网自动化安全控制策略的实时下发和执行。
安全网关零配置部署,实现分钟级上线,极大缩短了设备上线时间,降低了开通业务的复杂度,实现小型分支机构免IT运维,重点分支机构的高效率运维,节省运维及实施成本。

客户价值

• 全网边界安全保障,接入认证授权,降低网络风险
• 分支机构上线轻量快速,本地免IT运维,运营成本降低
• 数据传输网络服务质量提高,运营工作效率提升
• 安全策略全网统一规划、统一下发,安全管理能力提升。
• 通讯加密、数据加密,满足等级保护要求
• 实现自动化运维,网络状态、业务数据及网络质量集中管理和展示

应用场景

场景一:多分支企业IT系统上云场景。


该场景适用于存在如下需求的客户:
• 企业IT系统从数据中心迁移到公有云
• 总部和分支机构需访问云上业务系统
• 原有专线网络部分迁移或全部迁移到互联网
为客户提供的核心功能包括:
• 云上vCPE按需部署上线
• 云IT业务的访问保障
• 网络隔离和数据加密
• 基于业务的安全边界防护
• 统一管控可视运维

场景二:政府监管数据回传场景。

该场景适用于如下需求:
• 环境监测、城市安防、工业企业等需要进行大量数据、视频采集并集中处理
• 对数据有防泄漏、防篡改等安全要求
• 对网络设备有远程集中管理需求
为客户提供的核心功能包括:
• 安全网关零配置上线
• 广域多出口整合
• 网络隔离和数据加密
• 采集设备的安全边界防护
• 统一管控可视运维