目 录
第1章 互联网企业广域组网新挑战与新思路
1.1.对互联网企业的理解
1.2.组网新挑战
1.2.1.业务激增
1.2.2.跨区域访问
1.2.3.业务云化
1.3.需求分析
1.4.山石网科互联网企业安全SD-WAN应运而生
第2章 山石网科互联网企业安全SD-WAN解决方案介绍
2.1.方案架构设计
2.2.山石网科互联网企业安全SD-WAN核心价值
2.2.1.零配置开局,快速组网
2.2.2.按需编排,灵活组网
2.2.3.统一监控告警,实现运维闭环
2.2.4.可视化大屏,整网信息一目了然
2.2.5.应用灵活选路,合理分配链路
2.2.6.负载均衡及链路切换,链路质量保证
2.2.7.山石网科服务在身旁
2.2.8.业界认可,实力强
第3章 山石网科互联网企业安全SD-WAN解决方案--应用场景
3.1.跨区域分支与总部对接类应用场景
3.2.全国门店类应用场景
3.3.云平台对接类应用场景
第1章 互联网企业广域组网新挑战与新思路
1.1.对互联网企业的理解
对互联网企业的理解:主要以信息化、互联网技术开展业务和运营的企业。
如传统互联网门户搜索、电子商务、社交、视频、游戏等通过互联网获得客户、进行交易、在线支付、提供服务;互联网技术延伸,包括新零售、人工智能和大数据、物联网云平台等高科技企业;以及在产业互联网背景下转型的企业。
互联网行业的本质:以信息化为代表的互联网应用带来效率、资源配置和生产力的提高。
近年来,随着企业数字化转型的进程不断加快,企业业务逐渐智能化和云化,用户量不断激增,在实现企业降本增效的同时进一步推动了互联网企业的良性健康发展,但企业体量规模的迅猛扩张也给WAN组网带来了诸多挑战。
1.2.组网新挑战
1.2.1.业务激增
互联网企业业务的快速增长使得传统WAN组网专线成本高、应用体验差、运维管理难、安全隐患大的问题日益凸显。
专线成本高:企业业务扩展使得组网规模扩大,越来越多的分支需要与总部实现安全稳定互联,所需专线或MPLS VPN的需求就会增多,而传统专线线路价格昂贵,使企业需要花费更多资金进行组网互联。
应用体验差:传统VPN实现的组网受制于互联网环境,随着业务的不断增多,容易造成链路拥塞,关键业务无法保证;此外,由于传统VPN无法智能选路,线路不能灵活故障切换,导致业务连续性较差,极大地影响了企业业务和使用体验。
运维管理难:无论是专线还是VPN组网,都需要专业运维人员进行部署和配置,组网部署周期普遍较长,误操作也无法避免。一旦出现链路故障,由于缺失图形化管理和实时监控,给日常运维管理与问题定位带来挑战。
安全问题多:传统的广域网分支出口并没有L2-L7层的安全能力,内网威胁横向和纵向传播都无法进行有效的监测与阻断,远程处置更是遥不可及,这给广域网的安全埋下了安全隐患。
1.2.2.跨区域访问
随着国家一带一路战略的实施以及企业自身业务的发展,越来越多的互联网企业走出国门,走向世界,企业跨区域、跨境实现互联互通的需求越来越多,而传统组网成本高、体验差的问题也同样阻碍了跨国企业的业务发展。
互联网企业采用专线组网来实现跨境传输,不仅价格昂贵而且开通时间漫长,随着后续业务的不断扩大,更多的分支需要专线互联,相应的开支也会陡然上升,高效组网更是难以实现。
互联网企业采用传统VPN组网来实现跨境传输,冗杂的组网配置使得部署效率低下,同时由于互联网不稳定性的原因,传统VPN对链路没有优化能力,可靠性和稳定性无法保证。
1.2.3.业务云化
互联网企业数字化转型使业务云化速度不断加快,但同时也带来了诸多复杂问题。
运维管理复杂:互联网企业的办公网、数据中心、公有云、私有云由于都是不同的IT环境,各自出口的网关设备不尽相同,因此混合环境组网适配性差且接口不统一,因此难以实现一体化运维管理。此外跨云环境接入开发成本高,需要网元高度适配。
业务保障困难:业务上云,对关键业务的稳定性要求更高,而传统专线对业务不感知,无法获知应用的状态,当遭遇突发流量链路拥塞或质量劣化的时候,往往会造成关键业务体验无法保障。
公网不安全:用户通过公网访问部署在云端的业务应用,安全性差,可靠性低,数据传输不安全,使得企业不放心将核心业务部署在云上,严重阻碍了企业的数字化转型升级。
1.3.需求分析
面对互联网企业广域组网的诸多挑战,总结出新型WAN组网需要具备以下四大特性:
-
降低线路成本
通过让普通链路达到专线的网络质量,让用户以互联网的成本,享受专线的品质,实现线路的成本下降。
-
提升业务效率
快速实现WAN网络的部署和扩容,提升组网效率;灵活的带宽分配和智能选路功能提升业务访问体验,保证业务稳定性和连续性。
-
全网可视可控
WAN全网设备需要能够被统一纳管,并对设备和链路状态进行可视化的实时监控和告警,帮助运维人员提高运维效率。
-
满足安全合规
不管是企业数据中心还是云环境,WAN组网中的总部与分支设备都应该具备全面的L2-L7层的安全防护能力,保证企业数据的传输安全。
1.4.山石网科互联网企业安全SD-WAN
应运而生
基于这些新型WAN组网的特性需求,山石网科互联网企业安全SD-WAN应运而生。
SD-WAN,即软件定义广域网络,是将SDN技术应用到广域网场景中所形成的一种服务或方案。这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务,旨在帮助用户降低广域网的开支和提高网络连接灵活性。
山石网科互联网安全SD-WAN方案通过一套可视化的SDN控制器(一般部署于总部),将所有广域网关设备与之互联,对设备进行统一管理和控制,从而实现广域网的控制平面和转发平面分离。所有的设备配置、隧道建立、状态监控等操作都可以通过控制器完成而无需登录每台设备进行操作,这样便能灵活便捷地使用网络资源,高效组建、运营和运维整个广域网。
采用山石网科互联网安全SD-WAN组建广域网可以很好的实现企业降本增效。通过综合性统计,可以大幅降低线路成本,较传统MPLS广域网专线降低70%以上;其次应用性能显著提升:与传统广域网相比,链路性能提升50%以上;此外可快速实现业务响应:开通分支与总部的连接仅需分钟级别,支撑业务快速发展;最后,管理效率也提升明显:可视化运维使管理员对链路状态一目了然,高效实现故障定位。
第2章 山石网科互联网企业安全SD-WAN解决方案介绍
2.1.方案架构设计
山石网科互联网企业安全SD-WAN解决方案由山石网科安全管理平台HSM作为SD-WAN控制器,以山石网科全系列防火墙及山石云·界(虚拟化防火墙)作为CPE/vCPE,覆盖总部数据中心、互联网企业分支、中型网点、小型门店、私有云、公有云等多种场景,为用户构建全场景、易运维、高安全、高稳定的SD-WAN解决方案。
方案整体采用山石网科HSM作为SD-WAN控制器,对所有区域的出口网关设备(CPE)进行统一管理及配置下发。其Underlay网络采用互联网、专线、3G/4G等多种链路,链路选择灵活;Overlay网络通过SD-WAN控制器进行可视化的配置与隧道建立,实现数据通信。
方案具备部署简单、运维高效、业务保障、安全合规等四方面的核心价值,再结合清晰、简洁、可视化的控制平台,为用户提供了全生命周期式的SD-WAN解决方案。
2.2.山石网科互联网企业安全SD-WAN
核心价值
2.2.1.零配置开局,快速组网
山石网科SD-WAN解决方案采用专线、互联网、3G/4G等多种链路接入方式,实现低成本的互联网链路与专线链路的混合接入。通过U盘进行CPE初始化配置,实现分支机构节点设备快速部署,大幅度缩减分支节点开局时间成本,将传统上线时间缩短80%以上,保障业务快速上线。
方案通过向导型用户界面建立VPN网络,批量导入节点信息,自动化建立VPN配置,为管理人员提供极简化工作方式,降低误操作风险,减少组网运维操作,提升运维效率。
2.2.2.按需编排,灵活组网
方案可根据企业实际业务场景灵活进行组网,支持星型拓扑、Mesh拓扑、双Hub拓扑,并可以对退出组网的设备进行配置回收。
星型组网满足传统总部-分支网络架构,构建总部与分支之间的互联广域网,覆盖70%的应用场景。
Mesh组网实现分支之间的高效互联,分支互访无需通过总部即可实现直连通信。
双Hub组网简化总部与分支之间的链路及负载,避免总部单点故障;分支就近接入Hub节点,提升链路质量;多路径切换提高网络可靠性与稳定性。
2.2.3.统一监控告警,实现运维闭环
当构建完企业的SD-WAN广域网之后,运维人员就需要高效的对整网进行精细智能化的运维管控,实时了解当前整网设备的运行情况和链路状态,第一时间发现问题,做出高效运维决策。山石网科SD-WAN 控制平台提供了清晰、简洁、友好的操作界面,界面首页直观展示整网设备状态以及地图分布情况,呈现链路告警数量、详细信息、告警排名以及流量排名,让运维人员全局把控整网运行态势。
2.2.4.可视化大屏,整网信息一目了然
SD-WAN全景化大屏展示功能,将整网链路数据状态清晰展示,设备及链路情况一目了然,帮助运维人员实时监控广域网设备地理分布、运行健康状态、实时告警信息和链路流量情况,大大提升了广域网运维的效率。
2.2.5.应用灵活选路,合理分配链路
山石网科互联网安全SD-WAN解决方案支持应用精准识别及灵活控制,采用深度应用识别技术,可根据协议特征、行为特征及关联分析等准确识别数千种网络应用,其中包括600余种移动应用,300余种云应用。可采用应用识别能力,基于应用策略路由,实现应用引流,保证链路合理分配。例如,企业的核心关键应用(如ERP,OA,CRM等)可通过高质量链路传输,而非实时性应用(如邮件、视频会议、文档管理等)流量可以在其他链路上传输。通过智能选路功能进行应用分流,企业可以平滑实现从WAN向SD-WAN技术的应用过渡。
2.2.6.负载均衡及链路切换,链路质量保证
山石网科动态负载均衡技术采用自适应创新链路选择控制算法,可实时主动探测链路的连通状况、延迟情况及抖动,形成智能闭环,以便根据当前时刻的链路状况做出最优选路。同时SD-WAN网关支持链路聚合、ECMP、ISP路由、DNS域名引流、智能DNS等多种负载均衡算法,可全面解决链路利用率不均衡、单点故障、链路资源浪费等问题,保障业务的稳定性。
链路负载均衡:能够智能分析不同链路的负载状态、带宽状态等信息,并依据管理员的策略,将负载更合理地在不同链路上分配,提升链路的利用率。
智能链路切换:当出口单条链路故障时,安全网关迅速监测到这一情况,并将链路上的负载均衡快速引流到其他正常链路上,从而保障了用户访问的连续性。
2.2.7.山石网科服务在身旁
山石网科始终坚持以用户为中心,为客户提供有温度、响应快、质量优的售后服务。周到的售后服务和快速的响应能力,能够保证我们的客户在售后阶段享受最贴心的技术支持,感受山石网科36.7℃服务温度。
-
专业化
山石网科在内部通过对人员、技术、流程的关注提升整体服务的专业性。
人员:山石网科技术人员具备多年网络领域工作经验,不仅具备丰富的山石网科设备服务经验,同时也具备相关同企业设备服务经验和认证,确保能从更全面的角度快速解决客户问题。
技术:山石网科通过建设CTI、CRM系统建立以客户为中心的服务管理平台,在客户申请服务时能快速的了解客户网络的情况和历史Case记录,从而提高问题处理的效率及确保客户服务SLA的实现。
流程:山石网科采用业界最佳实践和服务管理方法论对各项服务交付制定标准的流程,确保服务质量的统一性、可量度性。
-
全天候服务
山石网科服务团队深刻的了解到客户对服务的需求以及企业的特性,向客户提供一年365天、一天24小时的全天候、不间断服务,确保客户在任何时刻都能方便、快捷的得到服务。
-
快速响应
客户的业务越来越依赖于网络的可用性,网络的不可用往往带来直接或者间接的业务损失,而网络安全是网络可用性的重要保障。山石网科通过远程实时响应、快速现场响应、快速备件响应最大可能的减低客户业务的中断,提升客户购买山石网科产品的ROI。
-
高效性
山石网科产品均为基于自主知识产权开发,售后服务团队能得到研发团队的大力支持。这使得山石网科具备在故障定位、根因分析、故障排除、业务恢复等各个支持环节实现高效率、高质量工作的能力。
-
全周期
山石网科借鉴管理学中的PDCA理论,对客户提供全生命周期的服务。通过安全方案规划服务、现场安装服务、现场故障解决服务、设备健康检查服务、安全运营优化服务,不断跟踪、评估和提升客户设备的使用效果,确保客户在使用山石网科设备整个生命周期的投资保护。
2.2.8.业界认可,实力强
从市场认可来看,山石网科SD-WAN解决方案于2020年1月通过了中国通信标准化协会SD-WAN Ready评测认证,方案在自动化部署、链路质量监测、智能应用识别、动态路由、策略匹配以及可视化运维管理等SD-WAN方案能力上受到协会专家的一致认可。这充分表明了山石网科SD-WAN解决方案不仅能够为客户提供资源丰富的一站式SD-WAN服务,而且能够加快实现SD-WAN服务标准的步伐,积极推动SD-WAN生态建设和产业创新。
山石网科持续的技术创新与优质产品服务,持续得到国内外市场认可,已经八年获得Gartner《网络安全技术成熟度曲线报告》推荐,成为报告中全球仅有的8家、国内仅有的2家网络防火墙代表性厂商之一;连续八年入选国际权威分析机构Gartner的“网络防火墙类魔力象限”,并在2021年实现了从“利基者”到“远见者”的闪亮进阶。
山石网科还是国家网络安全的中坚力量,公司是中国网络安全产业联盟、中国计算机学会计算机安全专业委员会、中国网络空间安全协会等国内主流的网络安全组织会员单位,体现出山石网科作为国内主要的网络安全厂商在网络安全领域扮演者关键角色,占据着重要地位。
第3章 山石网科互联网企业安全SD-WAN解决方案--应用场景
3.1.跨区域分支与总部对接类应用场景
中大型互联网企业多分支跨区域应用场景下,总部与分支交互数据敏感,存在VPN、防火墙、审计等安全诉求,同时越来越多的企业考虑统一互联网出口以保证访问流量安全可控。通过部署SD-WAN解决方案,提供以总部为核心的安全管理机制,可充分保证数据传输安全。
3.2.全国门店类应用场景
新零售、连锁企业、门店类等小型分支众多但规模较小。每个分支与总部之间用VPN互连,需要分支IT具备快速上线能力。同时由于小型分支通常没有专业IT人员,因此该类企业对简化运维有很强的管理诉求。可通过部署SD-WAN方案,提供高效的分支上线与运维能力。
3.3.云平台对接类应用场景
OA、邮件、CRM等越来越多的内网办公业务上云,分支通过互联网访问部署在云端的业务应用,而传统专线网络不适应复杂的云内环境;此外,数据中心与云之间,云与云之间的互联需求愈发增多,这些都对云环境访问质量、数据传输安全、易运维提出了更高的挑战。