SFC智能流量编排解决方案打破了传统出口网络安全设备串联的模式,将安全设备串联的架构升级为物理旁挂、逻辑串联的部署方式。业务流量和物理拓扑解耦,所有出入向流量通过智能流量编排系统统一按需引流和编排,有效地解决了传统出口网络存在的单点故障、扩展性差、运维复杂等问题。
方案背景
扩展性差
新增安全设备需要考虑和上下游设备对接,出口带宽受限于最低性能设备,无法弹性灵活扩展
性能瓶颈
串联链路设备需依次处理所有流量,不区分感兴趣流,客户无法按需流量调度,容易产生性能瓶颈
单点故障
随着安全设备的增加,网络单点故障严重,冗余方案越来越复杂,传统高可用解决方案已经力不从心
运维复杂
进行割接替换,扩容升级等变更业务时,需要中断链路并调整上下游设置匹配,牵一发而动全身
难以利旧
高性能的新设备替换低性能的旧设备,旧设备难以继续发挥价值只能淘汰,不能二次利用
镜像负担
等保2.0背景下旁路分析和审计设备不断扩增,流量镜像和ACL匹配需求旺盛,核心交换机不堪重负
SFC解决之道
资源池化
SFC通过改串为旁、资源池化的方式,简化了出口网络架构。安全设备新增和扩容时,管理员无需再考虑上下游设备运行模式以及端口数量、速率、配置等,让安全设备即插即用。
流量编排
SFC支持L2-L4流特征匹配感兴趣流,通过OpenFlow流表进行灵活的流量编排,对特定流量提供定制化的服务功能链,同时释放了安全设备处理无关流量的性能消耗,降低整体出口网络的转发时延。
健康检查
双设备冗余部署可轻松应对链路级、设备级故障,通过接口Up/Down检查、ICMP/ARP检查、流量差值检查等多维度方式对安全资源池内安全设备进行周期性健康检查。
极简运维
得益于资源池化和健康检查机制,设备上下线、扩容、升级等变更操作无需管理员去机房插拔线,且不会断网。此外,SFC提供简洁易懂的图形化操作界面,支持告警通知和安全资源流量统计。
智能负载
旧设备可接入安全资源池并配合精细的引流策略,充分利用其带宽价值,或者与其他安全设备跨品牌组成逻辑上的高可用集群,通过为旧设备配置更低的权重实现不等价的流量负载均衡。
流表镜像
SFC通过OpenFlow二级流表实现基于策略的流量镜像,性能上优于传统交换机的端口镜像,且可灵活选择一对多、多对一或多对多模式,卸载核心交换机处理流量镜像的性能负担。
应用场景
众多关键业务要求网络高持续性
企业中运行各种关键业务系统,如ERP、CRM系统、OA系统、各种Web内容发布系统等,而保证这些关键业务的连续性需要高可靠的网络环境。随着安全节点的增加,不断串接接入网络出口,故障点也随之增加。SFC通过改串为旁的部署模式、全面丰富的健康监测机制以及完善的故障切换逻辑,保障了网络的超高可靠。
业务流量大、需要经常扩容变更
随着信息化进程越来越深入,企业中网络流量与日俱增。为保证各业务系统及内网用户免受网络中的各种威胁攻击,边界安全设备需定期升级与迭代,传统网络架构中每次设备升级或POC测试均需投入大量人力做割接前规划以及割接后保障。SFC方案通过SDN对流量进行灵活编排,可实现安全设备即插即用,大大降低了CAPEX。
不同业务对安全需求不同
某些安全节点只针对特定流量进行防护,如WAF只对HTTP/HTTPS流量进行处理;某些流量来自专线,对安全防护等级要求相对较低;某些业务对时延更为敏感,不需对双向流量均进行安全防护。对于此类问题,SFC方案可对不同业务流量进行定制化编排,在满足正常安全防护的前提下,减轻安全设备的性能消耗、降低网络时延。
大型私有云场景
在一些大型的私有云数据中心中,不同的租户拥有不同的安全策略和安全权限,传统的网络安全架构通常通过在数据中心出口部署安全设备,同时在各生产生产区域部署安全服务器。这种架构不但无法实现安全服务细粒度划分,且安全设备利用率不能达到最高。SFC方案可同时支持对物理安全节点的流量调度和虚拟安全节点的流量调度,满足大型私有云场景对安全服务的灵活分配与划分。
