客戶需求分析
隨著企業(yè)規(guī)模的擴大以及應(yīng)用系統(tǒng)的增多,原有的系統(tǒng)體驗越來越不能滿足需求,主要暴露的問題有以下幾點:
(1)各大運營商之間的互聯(lián)互通一直存在巨大延遲�,分布在全國各地的最終用戶無法享受到持續(xù)穩(wěn)定、高效流暢的應(yīng)用訪問體驗�����。
(2)當在多鏈路的環(huán)境下時���,由于傳統(tǒng)設(shè)備自身不會主動去探測域名記錄的可用性和負載情況�����,因此無法為最終用戶端選擇解析響應(yīng)
最快的可用站點IP���。
(3)如今互聯(lián)網(wǎng)流量的復雜性,搶占資源厲害的非關(guān)鍵應(yīng)用占用大量的帶寬資源���,導致企業(yè)內(nèi)部用戶對外訪問的關(guān)鍵業(yè)務(wù)得不到有效
的保障�,嚴重影響到用戶的體驗����。
(4)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全多采用SSL加密方式傳輸�,僅靠服務(wù)器自身的性能來做SSL的加解密操作��,當業(yè)務(wù)產(chǎn)生大并發(fā)訪問時�,能明顯
的感覺到服務(wù)器處理加解密數(shù)據(jù)時會影響到業(yè)務(wù)的訪問體驗。
(5)VPN設(shè)備一直采用主備方式工作���,備機的資源大部分時間處于閑置狀態(tài)�����,未充利用�����,而主機長期處于負荷狀態(tài)����,主備機的資源調(diào)
度未能得到合理的分配����,在業(yè)務(wù)高峰期將影響到訪問體驗。
解決方案
通過在多個運營商線路入口部署應(yīng)用交付設(shè)備��,提高企業(yè)信息化服務(wù)水平和用戶滿意度��,齊杉科技企業(yè)互聯(lián)網(wǎng)出口安全解決方案具
體如下:
◆ 在企業(yè)互聯(lián)網(wǎng)出口部署齊杉Cedar ADC產(chǎn)品,負責多家運營商線路的接入�����,主要解決出站(企業(yè)內(nèi)部用戶和服務(wù)器主動訪問互聯(lián)網(wǎng)
的流量)和入站(分支機構(gòu)或其它主動對發(fā)部業(yè)務(wù)的訪問)的流量調(diào)度問題�,負責VPN業(yè)務(wù)雙機工作(雙機互備)流量調(diào)度;
◆ 在Cedar ADC之下部署齊杉Cedar NGFW產(chǎn)品���,主要過濾來自互聯(lián)網(wǎng)的威脅,為企業(yè)分支機構(gòu)提供VPN服務(wù)等�;
■入站流量調(diào)度
智能DNS功能是解決入站流量調(diào)度方面的問題,首先將對外發(fā)部業(yè)務(wù)的域名解析功能指向齊杉科技Cedar ADC設(shè)備�,由Cedar ADC
設(shè)備來進行域名A記錄的解析。舉個例子來說����,當外網(wǎng)用戶遠程通過域名訪問對外發(fā)布業(yè)務(wù)系統(tǒng)時,逐步通過外網(wǎng)用戶的本地DNS服務(wù)器�����、
根DNS服務(wù)器�����,最終由Cedar ADC設(shè)備來進行域名的A記錄解析。然后Cedar ADC設(shè)備就會通過智能DNS模塊進行發(fā)起訪問外網(wǎng)用戶的運
營商歸屬分析����,給外網(wǎng)用戶返回對應(yīng)的運營商訪問地址,同時實現(xiàn)多條線路冗余����,讓外網(wǎng)用戶得到最佳的訪問IP地址,提高訪問效率��,
詳細實現(xiàn)如下:
◆ 外網(wǎng)用戶通過Cedar ADC訪問后臺業(yè)務(wù)服務(wù)器���。
◆ 外網(wǎng)用戶請求到達設(shè)備的路徑有多條���,設(shè)備的每個外網(wǎng)接口分別對應(yīng)著不同運營商的鏈路。
◆ 外網(wǎng)用戶訪問域名時��,設(shè)備對域名進行智能DNS解析��,通過將域名解析為所屬的運營商IP地址��,返回給外網(wǎng)用戶訪問同屬性運營商
的IP地址��,通過智能DNS技術(shù)讓所屬不同運營商網(wǎng)絡(luò)的外網(wǎng)用戶能通過相對應(yīng)的路徑完成業(yè)務(wù)請求的功能。
■VPN流量調(diào)度
由Cedar NGFW承載企業(yè)的VPN業(yè)務(wù)����,實現(xiàn)各地的分支機構(gòu)通過VPN與總部進行內(nèi)部安全通信。前端通過Cedar ADC設(shè)備結(jié)合智能
DNS功能進行入站鏈路的選擇���,再根據(jù)ADC上配置的算法(輪詢�����、加權(quán)輪詢等)將VPN請求調(diào)度到后端其中一臺NGFW上����,由NGFW與遠
端建立VPN隧道��,進行數(shù)據(jù)通訊�����。Cedar ADC對于已建立VPN隧道的后續(xù)數(shù)據(jù)�����,通過會話保持方式��,確保在會話超時前���,使終由固定的
一臺NGFW提供服務(wù)��,保證VPN通道的穩(wěn)定����。若后端其中一臺NGFW服務(wù)中斷時��,在ADC上能時實檢測到VPN服務(wù)池成員的健康狀況���,及
時隔離無法正常提供VPN服務(wù)的設(shè)備���,將業(yè)務(wù)調(diào)度到正常的設(shè)備上,保障業(yè)務(wù)的高可靠��。
■出站流量調(diào)度
出口鏈路調(diào)度對應(yīng)的功能是解決出站流量調(diào)度方面的問題���。主要是由企業(yè)內(nèi)部用戶和服務(wù)器主動發(fā)起的對公網(wǎng)的訪問����,當這部分流
量到達Cedar ADC設(shè)備時��,Cedar ADC設(shè)備會通過預先設(shè)定的好策略判斷每條鏈路的健康狀況、響應(yīng)時延�����,并決定將流量調(diào)度到哪條鏈
路�,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對應(yīng)運營商的公網(wǎng)地址,再將該數(shù)據(jù)包發(fā)出�,響應(yīng)數(shù)據(jù)包返回到設(shè)備時,設(shè)備將目的地址進行轉(zhuǎn)換之后
將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務(wù)器��。
■DNS透明代理
DNS透明代理實現(xiàn)方式�,即內(nèi)網(wǎng)用戶在對外網(wǎng)的域名進行訪問時,Cedar ADC設(shè)備針對DNS流量進行劫持后���,再通過Cedar ADC設(shè)備
配合調(diào)度算法進行DNS解析調(diào)度���,將域名解析成對應(yīng)的對應(yīng)運營商的服務(wù)器地址�,以實現(xiàn)達到最優(yōu)訪問速度。
企業(yè)內(nèi)部用戶訪問外網(wǎng)域名時����,設(shè)備對域名進行解析,并保證解析的服務(wù)器地址所屬的運營商類型���,與當前連接外網(wǎng)的鏈路所屬的
運營商類型相同��。同時確保在內(nèi)網(wǎng)與外網(wǎng)連接的鏈路發(fā)生切換時�,內(nèi)網(wǎng)的客戶端仍能以最優(yōu)速度訪問外網(wǎng)。
通過Cedar NGFW設(shè)備開啟VPN功能和安全過濾功能�,允許、拒絕����、重定向通過防火墻的數(shù)據(jù)量,提供對內(nèi)部和外部網(wǎng)絡(luò)之間服務(wù)訪
問的控制和審計���,包括基于用戶和協(xié)議的策略定義���、URL過濾、協(xié)議識別等特性���。Cedar NGFW根據(jù)網(wǎng)絡(luò)中配置的安全規(guī)則策略��,有選擇
的在不同網(wǎng)絡(luò)間發(fā)送信息流����,默認安全規(guī)則策略拒絕所有入站和出站的信息流�����,僅授權(quán)的管理員具有改變安全規(guī)則策略的權(quán)限。典型的
包過濾策略由源地址���、目的地址�、傳輸層協(xié)議��、源端口����、目的端口、應(yīng)用協(xié)議決定�,并以數(shù)據(jù)包達到或者離開接口為基準。從而過濾外
部網(wǎng)絡(luò)發(fā)起的非法主動訪問請求����。
客戶價值
◆ 高性能。Cedar智能多核硬件架構(gòu)結(jié)合完全自主知識產(chǎn)權(quán)的COS操作系統(tǒng)�,輕松滿足百G性能下的低時延業(yè)務(wù)處理。
◆ 高可靠�。通過豐富的運營商線路檢測方法���,任一運營商線路故障時����,用戶上網(wǎng)流量無感知的切換調(diào)度,真正滿足網(wǎng)絡(luò)7*24的高可靠�����。
◆ 大大提升滿意度�����。高效的故障自愈能力����,政務(wù)在為公眾提供優(yōu)質(zhì)服務(wù)的同時,也改善著自身在互聯(lián)網(wǎng)上獲取信息的體驗��。
