偷窥盗摄国产一区二区三区_欧美亚洲日韩国产制服丝袜诱惑_99资源在线观看_动漫精品无码一区二区_国产女人高潮大片_在线中文字幕亚洲日韩伦理_自拍三级综合少妇_日本二区免费一片黄2019_亚洲91精品无码_成人高清视频免费

廣域網(wǎng)安全優(yōu)化解決方案

客戶需求

網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,廣域網(wǎng)在我們的工作中息息相關(guān),無論是各行業(yè)專網(wǎng)骨干,從國家部委到省、市、縣四級縱向延伸覆蓋,還是一般企業(yè)跨地域的分支與總部互聯(lián)互通,都離不開廣域網(wǎng)互聯(lián)。在廣域網(wǎng)互聯(lián)組網(wǎng)中,通過采用專線或VPN進(jìn)行連接組網(wǎng),隨著廣域網(wǎng)上各種應(yīng)用業(yè)務(wù)量和復(fù)雜度不斷提升,從以前的單一業(yè)務(wù)逐漸轉(zhuǎn)換為多業(yè)務(wù),網(wǎng)絡(luò)數(shù)據(jù)的傳輸也從傳統(tǒng)的簡單數(shù)據(jù),到現(xiàn)在即時(shí)通訊、視頻會議等,對廣域網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)性安全性要求越來越高。

廣域網(wǎng)分支機(jī)構(gòu)處作為覆蓋各區(qū)域市場活動的主體,其業(yè)務(wù)承載的種類比較多樣化,同時(shí)每種業(yè)務(wù)有其自身的特點(diǎn)及對網(wǎng)絡(luò)的要求,歸結(jié)起來主要有如下幾種:

(1)生產(chǎn)業(yè)務(wù)系統(tǒng)的訪問

支撐分支機(jī)構(gòu)正常運(yùn)轉(zhuǎn)的核心應(yīng)用,如OA辦公系統(tǒng)、財(cái)務(wù)系統(tǒng)、ERP企業(yè)資源系統(tǒng)、CRM客戶關(guān)系管理系統(tǒng)等。應(yīng)用數(shù)據(jù)多以小包通信,且應(yīng)用往往需要分支機(jī)構(gòu)和總部服務(wù)器之間進(jìn)行多次的交互,如數(shù)據(jù)庫的查詢,數(shù)據(jù)錄入提交等行為。網(wǎng)絡(luò)的延遲對于分支機(jī)構(gòu)的應(yīng)用體驗(yàn)有最直接的影響。

(2)即時(shí)通信業(yè)務(wù)

該類應(yīng)用盡管對企業(yè)的生產(chǎn)業(yè)務(wù)沒有直接的關(guān)聯(lián),但是對于企業(yè)分支機(jī)構(gòu)和總部的溝通效率有非常重要的影響,利用這些工具可以有效提升企業(yè)分支機(jī)構(gòu)和總部的工作協(xié)同。常見的即時(shí)通信包括VoIP會議電話、Video視頻會議、QQ/MSN等即時(shí)聊天工具、網(wǎng)絡(luò)會議等。其數(shù)據(jù)傳輸以雙向交互為主,報(bào)文的長度不確定,大包小包都混合存在,對于網(wǎng)絡(luò)帶寬和延時(shí)都有較高的要求。

(3)文件傳輸業(yè)務(wù)

主要包括分支機(jī)構(gòu)的文件共享、總部數(shù)據(jù)的遠(yuǎn)程緩存、數(shù)據(jù)同步(數(shù)據(jù)庫同步、災(zāi)難備份)等應(yīng)用場景。數(shù)據(jù)傳輸以單方向?yàn)橹?,大多?shù)情況下都是從企業(yè)總部數(shù)據(jù)中心到分支機(jī)構(gòu),鏈路中傳輸?shù)囊源髷?shù)據(jù)包為主,單次傳輸容量達(dá)到幾十兆甚至上百G等。在這種情況下,廣域網(wǎng)的鏈路帶寬將直接影響用戶的傳輸結(jié)果,大容量、長時(shí)間、多頻次的數(shù)據(jù)下載將嚴(yán)重影響廣域網(wǎng)的帶寬利用。

(4)互聯(lián)網(wǎng)訪問業(yè)務(wù)

對于部分需要通過總部進(jìn)行互聯(lián)網(wǎng)訪問的遠(yuǎn)程分支而言,基于HTTP的web瀏覽業(yè)務(wù)和部分P2P類下載業(yè)務(wù)也是其組成部分之一。由于該業(yè)務(wù)的優(yōu)先級相對較低,即時(shí)帶寬不足或者鏈路時(shí)延稍大也是可以接受的。對于該類型業(yè)務(wù)最重要的,要防范工作時(shí)間大量與工作無關(guān)業(yè)務(wù)濫用帶寬。

主要難題

可以看出,現(xiàn)階段的廣域網(wǎng)質(zhì)量相比與期望相比仍然有較大的差距,總結(jié)起來主要存在以下幾個(gè)方面:

(1)時(shí)延太高、體驗(yàn)差

對于C/S模式下的企業(yè)應(yīng)用,客戶端和服務(wù)器之間的一次操作需要進(jìn)行多次的協(xié)議握手交互,直接導(dǎo)致分支機(jī)構(gòu)的響應(yīng)緩慢甚至不響應(yīng),這是現(xiàn)階段廣域網(wǎng)面臨的核心問題。從業(yè)務(wù)流程、數(shù)據(jù)傳輸通路進(jìn)行廣域網(wǎng)傳輸環(huán)境的優(yōu)化勢在必行。

(2)帶寬利用率低,部署、維護(hù)成本高

面對需要進(jìn)行大數(shù)據(jù)量傳輸、或者是頻繁進(jìn)行數(shù)據(jù)下載傳輸?shù)膽?yīng)用(如文件服務(wù)器),部署大容量的異地服務(wù)器,用來充當(dāng)本地的數(shù)據(jù)緩存,實(shí)現(xiàn)對大量常用應(yīng)用的本地存取,避免占用廣域鏈路的資源,是一種相對有效的手段,但除了需要較大的成本投資外,對這些設(shè)備的日常維護(hù)管理也需要專項(xiàng)投入。

(3)關(guān)鍵業(yè)務(wù)帶寬保證效果不佳

網(wǎng)絡(luò)承載internet類互聯(lián)網(wǎng)應(yīng)用的時(shí)候,帶寬搶占的現(xiàn)象會非常嚴(yán)重。盡管通過擴(kuò)充帶寬的方式,或者是利用路由器的ACL/QoS技術(shù)能夠?qū)崿F(xiàn)簡單的帶寬管理,但是由于路由器本身對于業(yè)務(wù)的識別能力有限,單純依靠ACL無法準(zhǔn)確區(qū)分業(yè)務(wù)種類,且在業(yè)務(wù)帶寬占用情況發(fā)生變化時(shí),預(yù)先配置的ACL也無法實(shí)現(xiàn)自動的策略調(diào)整。因此關(guān)鍵業(yè)務(wù)訪問效果也不盡人意。

(4)安全風(fēng)險(xiǎn)加劇

廣域網(wǎng)接入方式靈活,數(shù)據(jù)訪問靈活,加之目前互聯(lián)網(wǎng)的安全趨勢,這給廣域組網(wǎng)的安全設(shè)計(jì)、規(guī)劃、實(shí)施都提出了巨大的挑戰(zhàn)。分支接入的安全如何有效控制、總部接入數(shù)據(jù)的安全如何保障,如何防范安全威脅在廣域網(wǎng)上快速擴(kuò)散,這將都是廣域網(wǎng)安全優(yōu)化重點(diǎn)考慮的問題。

解決方案

總部包含了廣域網(wǎng)業(yè)務(wù)的核心數(shù)據(jù)中心,安全要求級別最高,所以在總部的廣域網(wǎng)出口采用功能專一的安全設(shè)備實(shí)現(xiàn)專業(yè)安全防護(hù)和性能保護(hù)。

◆ 在總部部署Cedar NGFW負(fù)責(zé)VPN及安全管控,部署Cedar ADC負(fù)責(zé)入站/出站調(diào)度、廣域網(wǎng)數(shù)據(jù)優(yōu)化等。

◆ 在各分支機(jī)構(gòu)部署Cedar NGFW負(fù)責(zé)與總部對接VPN通道、出向流量調(diào)度等。

■分支機(jī)構(gòu)安全優(yōu)化技術(shù)

在分機(jī)機(jī)構(gòu)有限的鏈路帶寬資源下,面對廣域網(wǎng)分支機(jī)構(gòu)承載多種業(yè)務(wù)類型,實(shí)現(xiàn)對廣域網(wǎng)分支業(yè)務(wù)的精細(xì)化識別和帶寬管理,是廣域網(wǎng)分支機(jī)構(gòu)Cedar NGFW的關(guān)鍵功能之一,也是最為直觀的功能,分支機(jī)構(gòu)Cedar NGFW重點(diǎn)安全優(yōu)化技術(shù)如下:

(1)VPN功能,當(dāng)專線故障時(shí),VPN通道能及時(shí)接替專線的職能,確保分機(jī)機(jī)構(gòu)與總部業(yè)務(wù)的互通性。

(2)識別分支機(jī)構(gòu)關(guān)鍵業(yè)務(wù)類型,并為關(guān)鍵業(yè)務(wù)提供帶寬質(zhì)量保證服務(wù)。

(3)發(fā)現(xiàn)分支機(jī)構(gòu)與工作無關(guān)業(yè)務(wù),實(shí)現(xiàn)對這些垃圾流量的及時(shí)清理、控制,避免在工作時(shí)間對帶寬的濫用。

(4)對于工作非關(guān)鍵一般性業(yè)務(wù),基于時(shí)間段、帶寬、用戶群組靈活定義帶寬保證策略。

■總部安全優(yōu)化技術(shù)

■入站流量調(diào)度

智能DNS功能是解決入站流量調(diào)度方面的問題,首先將對發(fā)部業(yè)務(wù)的域名解析功能指向齊杉科技Cedar ADC設(shè)備,由Cedar ADC設(shè)備來進(jìn)行域名A記錄的解析。舉個(gè)例子來說,當(dāng)用戶遠(yuǎn)程通過域名訪問對外發(fā)布業(yè)務(wù)系統(tǒng)時(shí),逐步通過用戶的本地DNS服務(wù)器、根DNS服務(wù)器,最終由Cedar ADC設(shè)備來進(jìn)行域名的A記錄解析。然后Cedar ADC設(shè)備就會通過智能DNS模塊進(jìn)行發(fā)起訪問用戶的運(yùn)營商歸屬分析,給網(wǎng)用戶返回對應(yīng)的運(yùn)營商訪問地址,同時(shí)實(shí)現(xiàn)多條線路冗余,讓用戶得到最佳的訪問IP地址,提高訪問效率,詳細(xì)實(shí)現(xiàn)如下:

◆ 用戶通過Cedar ADC訪問后臺業(yè)務(wù)服務(wù)器。

◆ 用戶請求到達(dá)設(shè)備的路徑有多條,設(shè)備的每個(gè)外網(wǎng)接口分別對應(yīng)著不同運(yùn)營商的鏈路。

◆ 用戶訪問域名時(shí),設(shè)備對域名進(jìn)行智能DNS解析,通過將域名解析為所屬的運(yùn)營商IP地址,返回給用戶訪問同屬性運(yùn)營商的IP地址,通過智能DNS技術(shù)讓所屬不同運(yùn)營商網(wǎng)絡(luò)的外網(wǎng)用戶能通過相對應(yīng)的路徑完成業(yè)務(wù)請求的功能。

■出站流量調(diào)度

出口鏈路調(diào)度對應(yīng)的功能是解決出站流量調(diào)度方面的問題。主要是由總部用戶和服務(wù)器主動發(fā)起的對公網(wǎng)的訪問,當(dāng)這部分流量到達(dá)Cedar ADC設(shè)備時(shí),Cedar ADC設(shè)備會通過預(yù)先設(shè)定的好策略判斷每條鏈路的健康狀況、響應(yīng)時(shí)延,并決定將流量調(diào)度到哪條鏈路,然后數(shù)據(jù)包的源地址轉(zhuǎn)換成對應(yīng)運(yùn)營商的公網(wǎng)地址,再將該數(shù)據(jù)包發(fā)出,響應(yīng)數(shù)據(jù)包返回到設(shè)備時(shí),設(shè)備將目的地址進(jìn)行轉(zhuǎn)換之后將數(shù)據(jù)包發(fā)給內(nèi)部的用戶或服務(wù)器。

■透明DNS代理

DNS透明代理實(shí)現(xiàn)方式,即內(nèi)網(wǎng)用戶在對外網(wǎng)的域名進(jìn)行訪問時(shí),Cedar ADC設(shè)備針對DNS流量進(jìn)行劫持后,再通過Cedar ADC設(shè)備配合調(diào)度算法進(jìn)行DNS解析調(diào)度,將域名解析成對應(yīng)的對應(yīng)運(yùn)營商的服務(wù)器地址,以實(shí)現(xiàn)達(dá)到最優(yōu)訪問速度。

企業(yè)內(nèi)部用戶訪問外網(wǎng)域名時(shí),設(shè)備對域名進(jìn)行解析,并保證解析的服務(wù)器地址所屬的運(yùn)營商類型,與當(dāng)前連接外網(wǎng)的鏈路所屬的運(yùn)營商類型相同。同時(shí)確保在內(nèi)網(wǎng)與外網(wǎng)連接的鏈路發(fā)生切換時(shí),內(nèi)網(wǎng)的客戶端仍能以最優(yōu)速度訪問外網(wǎng)。

■TCP連接優(yōu)化

Cedar ADC的TCP優(yōu)化主要通過TCP連接復(fù)用和TCP長連接技術(shù)。主要針對諸如ERP類的應(yīng)用,當(dāng)遠(yuǎn)程客戶端在從總部服務(wù)器獲取相關(guān)頁面時(shí),客戶端和服務(wù)器之間存在多次的小包信息交互,使得一個(gè)應(yīng)用的時(shí)延增加數(shù)十倍甚至上百倍。通過TCP連接復(fù)用技術(shù),能有效的將多次消息請求并合并成單條TCP消息與server進(jìn)行交互,通過與server建立長連接,避免頻繁的連接請求消耗業(yè)務(wù)服務(wù)器的性能,影響應(yīng)用的交互效率,從而提升TCP連接的效率,改善分支機(jī)構(gòu)客戶端用戶的應(yīng)用體驗(yàn)。

■數(shù)據(jù)壓縮技術(shù)

廣域網(wǎng)的數(shù)據(jù)壓縮可創(chuàng)造更大的吞吐率,更快的性能以及更大的網(wǎng)絡(luò)容量。為了有效減少廣域網(wǎng)的數(shù)據(jù)傳輸數(shù)量,Cedar ADC通過數(shù)據(jù)壓縮算法對數(shù)據(jù)進(jìn)行有效壓縮,減少在廣域網(wǎng)上傳輸?shù)男畔⒘?,從而提升總部與分機(jī)機(jī)構(gòu)數(shù)據(jù)的傳輸效率。

■數(shù)據(jù)壓縮技術(shù)

數(shù)據(jù)緩存技術(shù)也是提高廣域網(wǎng)性能的最有效的方法之一,尤其是對遠(yuǎn)程分支需要頻繁訪問總部的數(shù)據(jù)內(nèi)容,效果更加明顯。當(dāng)分支用戶通過總部Cedar ADC訪問過總部數(shù)據(jù)文件后,Cedar ADC將對該數(shù)據(jù)內(nèi)容進(jìn)行高速緩存,這樣一旦其他分支的用戶也需要訪問該總部數(shù)據(jù)文件,Cedar ADC將直接將該文件進(jìn)行廣域傳輸,以減少服務(wù)器頻繁進(jìn)行數(shù)據(jù)交互的壓力,間接的提升了服務(wù)器對其他應(yīng)用的響應(yīng)速度,縮短了交付時(shí)延。

■SSL加速術(shù)

在分支機(jī)構(gòu)的遠(yuǎn)程訪問過程中,隨著Browser/Server模式的盛行,很多關(guān)鍵應(yīng)用開始基于B/S的SSL/TLS加密模式的遠(yuǎn)程安全接入解決方案,經(jīng)過SSL/TLS加密的數(shù)據(jù)在廣域網(wǎng)傳輸將會更加安全可靠。但是在這種情況下,Cedar ADC設(shè)備能很好的對這種HTTPS加密流量的內(nèi)容識別和優(yōu)化處理,采取SSL proxy代理技術(shù),客戶端和Cedar ADC設(shè)備之間建立SSL的會話連接(加密),Cedar ADC與服務(wù)器之間建立另一個(gè)連接會話連接(明文),在這種方式下,可以確保客戶端的訪問請求安全、高效的接入到總部的應(yīng)用服務(wù)器。

■方案總結(jié)

相信隨著廣域網(wǎng)建設(shè)的逐步深入,基于廣域網(wǎng)的安全優(yōu)化解決方案必將成為整體解決方案的重要組成部分,有效提升廣域網(wǎng)承載的多種業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量,促進(jìn)廣域網(wǎng)與分支機(jī)構(gòu)信息化的建設(shè)。