互联网出口安全解决方案
客户需求分析

随着企业规模的扩大以及应用系统的增多,原有的系统体验越来越不能满足需求,主要暴露的问题有以下几点:

(1)各大运营商之间的互联互通一直存在巨大延迟,分布在全国各地的最终用户无法享受到持续稳定、高效流畅的应用访问体验。

(2)当在多链路的环境下时,由于传统设备自身不会主动去探测域名记录的可用性和负载情况,因此无法为最终用户端选择解析响应 最快的可用站点IP。

(3)如今互联网流量的复杂性,抢占资源厉害的非关键应用占用大量的带宽资源,导致企业内部用户对外访问的关键业务得不到有效 的保障,严重影响到用户的体验。

(4)业务系统的数据安全多采用SSL加密方式传输,仅靠服务器自身的性能来做SSL的加解密操作,当业务产生大并发访问时,能明显 的感觉到服务器处理加解密数据时会影响到业务的访问体验。

(5)VPN设备一直采用主备方式工作,备机的资源大部分时间处于闲置状态,未充利用,而主机长期处于负荷状态,主备机的资源调 度未能得到合理的分配,在业务高峰期将影响到访问体验。

解决方案

通过在多个运营商线路入口部署应用交付设备,提高企业信息化服务水平和用户满意度,齐杉科技企业互联网出口安全解决方案具 体如下:

◆ 在企业互联网出口部署齐杉Cedar ADC产品,负责多家运营商线路的接入,主要解决出站(企业内部用户和服务器主动访问互联网 的流量)和入站(分支机构或其它主动对发部业务的访问)的流量调度问题,负责VPN业务双机工作(双机互备)流量调度;

◆ 在Cedar ADC之下部署齐杉Cedar NGFW产品,主要过滤来自互联网的威胁,为企业分支机构提供VPN服务等;

■入站流量调度

智能DNS功能是解决入站流量调度方面的问题,首先将对外发部业务的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC 设备来进行域名A记录的解析。举个例子来说,当外网用户远程通过域名访问对外发布业务系统时,逐步通过外网用户的本地DNS服务器、 根DNS服务器,最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行发起访问外网用户的运 营商归属分析,给外网用户返回对应的运营商访问地址,同时实现多条线路冗余,让外网用户得到最佳的访问IP地址,提高访问效率, 详细实现如下:

◆ 外网用户通过Cedar ADC访问后台业务服务器。

◆ 外网用户请求到达设备的路径有多条,设备的每个外网接口分别对应着不同运营商的链路。

◆ 外网用户访问域名时,设备对域名进行智能DNS解析,通过将域名解析为所属的运营商IP地址,返回给外网用户访问同属性运营商 的IP地址,通过智能DNS技术让所属不同运营商网络的外网用户能通过相对应的路径完成业务请求的功能。

■VPN流量调度

由Cedar NGFW承载企业的VPN业务,实现各地的分支机构通过VPN与总部进行内部安全通信。前端通过Cedar ADC设备结合智能 DNS功能进行入站链路的选择,再根据ADC上配置的算法(轮询、加权轮询等)将VPN请求调度到后端其中一台NGFW上,由NGFW与远 端建立VPN隧道,进行数据通讯。Cedar ADC对于已建立VPN隧道的后续数据,通过会话保持方式,确保在会话超时前,使终由固定的 一台NGFW提供服务,保证VPN通道的稳定。若后端其中一台NGFW服务中断时,在ADC上能时实检测到VPN服务池成员的健康状况,及 时隔离无法正常提供VPN服务的设备,将业务调度到正常的设备上,保障业务的高可靠。

■出站流量调度

出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由企业内部用户和服务器主动发起的对公网的访问,当这部分流 量到达Cedar ADC设备时,Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延,并决定将流量调度到哪条链 路,然后数据包的源地址转换成对应运营商的公网地址,再将该数据包发出,响应数据包返回到设备时,设备将目的地址进行转换之后 将数据包发给内部的用户或服务器。

■DNS透明代理

DNS透明代理实现方式,即内网用户在对外网的域名进行访问时,Cedar ADC设备针对DNS流量进行劫持后,再通过Cedar ADC设备 配合调度算法进行DNS解析调度,将域名解析成对应的对应运营商的服务器地址,以实现达到最优访问速度。

企业内部用户访问外网域名时,设备对域名进行解析,并保证解析的服务器地址所属的运营商类型,与当前连接外网的链路所属的 运营商类型相同。同时确保在内网与外网连接的链路发生切换时,内网的客户端仍能以最优速度访问外网。

通过Cedar NGFW设备开启VPN功能和安全过滤功能,允许、拒绝、重定向通过防火墙的数据量,提供对内部和外部网络之间服务访 问的控制和审计,包括基于用户和协议的策略定义、URL过滤、协议识别等特性。Cedar NGFW根据网络中配置的安全规则策略,有选择 的在不同网络间发送信息流,默认安全规则策略拒绝所有入站和出站的信息流,仅授权的管理员具有改变安全规则策略的权限。典型的 包过滤策略由源地址、目的地址、传输层协议、源端口、目的端口、应用协议决定,并以数据包达到或者离开接口为基准。从而过滤外 部网络发起的非法主动访问请求。

客户价值

◆ 高性能。Cedar智能多核硬件架构结合完全自主知识产权的COS操作系统,轻松满足百G性能下的低时延业务处理。

◆ 高可靠。通过丰富的运营商线路检测方法,任一运营商线路故障时,用户上网流量无感知的切换调度,真正满足网络7*24的高可靠。

◆ 大大提升满意度。高效的故障自愈能力,政务在为公众提供优质服务的同时,也改善着自身在互联网上获取信息的体验。