城域网用户清静增值计划
典范用户
城域网政企专线用户:政府、企业、事业单位,�,,租用电信运营商提供的城域网专线接入效劳,�,,包括互联网专线和集团专线。�。�。上述用户许多属于古板用户,�,,即用户IT基础设施照旧物理机情形,�,,没有完全实现云化情形,�,,也有部分用户属于云化情形。�。�。
用户痛点
电信运营商只提供宽带接入基础效劳,�,,而政企客户在清静方面投入缺乏。�。�。接纳古板的以物理硬件为主的清静解决计划,�,,保存以下问题:
l 需要用户自行购置、安排、维护,�,,建设和运维本钱高�;�;;�;
l 需要对用户网络的物理拓扑举行大幅调解,�,,割接事情量大且时间长,�,,影响营业运行�;�;;�;
l 硬件清静装备无法在多个用户之间举行资源共享。�。�。
此时,�,,许多政企用户为了降低建设和运维本钱,�,,同时能够获得专业的清静效劳,�,,倾向于购置第三方清静增值效劳,�,,对营业系统举行清静防护,�,,例如安排WAF对网站系统的入站流量举行防护,�,,安排抗DDOS装备对入站流量举行洗濯,�,,安排上网行为治理对出站流量举行控制。�。�。
建设目的
在城域网安排(可以在运营商IDC机房内安排)一套与用户营业系统完全解耦、相互自力的清静资源池系统,�,,通过引流设置,�,,将用户收支站流量牵引至清静资源池系统内部,�,,同时凭证用户订购的清静效劳在清静资源池内建设清静效劳链,�,,提供清静效劳。�。�。
解决计划
引流设计
如上图所示,�,,为城域网引流计划设计图。�。�。
BAS路由器上设置用户接口,�,,使用户流量进入VPN隧道。�。�。
在营业路由器SR(VPN中PE)设置接口绑定VPN,�,,并建设BGP历程,�,,使营业路由器SR与汇聚交流机完成BGP对等体的建设。�。�。
在汇聚交流机(VPN中CE)中设置战略路由,�,,将BGP引流流量路由至清静资源池的SDN交流机。�。�。
清静资源池下发SDN效劳链,�,,通过流量中的IP信息识别用户,�,,并将其指导至对应的清静效劳,�,,完成防护。�。�。
计划安排
以WEB清静防护为例,�,,说明计划安排方法:
购置了WEB清静防护的用户,�,,将其流量指导至清静资源池内对应用户的WAF虚拟化实例,�,,完成防护,�,,有用抵御SQL注入、跨站、挂马、恶意扫描等常见Web攻击,�,,支持敏感信息防泄露、网页防改动、应用层DDoS防护等功效,�,,最大限度的包管网站运行清静。�。�。
京公网安备11010802024551号