解决方案
Solutions to the Problem
基于SDN安全服务链的校园网络安全建设方案
2021-10-10 18:02:20
-
<p style="text-align:justify;text-justify:inter-ideograph"><strong><span style="font-family: 楷体;color: rgb(91, 155, 213);font-size: 14px">校园网络安全建设</span></strong><strong><span style="font-family: 楷体;color: rgb(91, 155, 213);font-size: 14px">背景:</span></strong></p><p style="text-indent: 36px"><span style=";font-family:楷体;font-size:12px"><span style="font-family:楷体">随着互联网的广泛应用,在我国大部分地区,校园网络建设正如火如荼。随着校园网使用的深入,校园网的安全管理问题也日益突出。</span> 校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动.</span></p><p><span style=";font-family:楷体;font-size:12px"> </span></p><p style="text-align:justify;text-justify:inter-ideograph"><strong><span style="font-family: 楷体;color: rgb(91, 155, 213);font-size: 14px">目前现状:</span></strong></p><p style="margin-left: 38px;line-height: 150%"><span style="font-family:Calibri;color:rgb(51,51,51);font-size:12px">1、 </span><span style=";font-family:楷体;font-size:12px"><span style="font-family:楷体">串行方案稳定性有待提升:网络串行和旁路部署的安全设备这种架构不能满足各种安全设备灵活部署的需求;</span> </span></p><p style="margin-left: 38px;line-height: 150%"><span style=";font-family:楷体;font-size:12px"><span style="font-family:楷体"><br/></span></span></p><p style="margin-left: 38px;line-height: 150%"><span style="font-family:Calibri;color:rgb(51,51,51);font-size:12px">2、 </span><span style=";font-family:楷体;font-size:12px">安全与网络异构、缺乏快速定位网安故障手段:不同产品不熟悉彼此产品,经常出现互相推诿的现象导致需要很长才能时间进行故障定位。业务需较长时间方可恢复,因此急需一个能兼容网络和安全并进行快速故障定位手段方案。</span></p><p style="margin-left: 38px;line-height: 150%"><span style=";font-family:楷体;font-size:12px"><br/></span></p><p style="margin-left: 38px;line-height: 150%"><span style="font-family:Calibri;color:rgb(51,51,51);font-size:12px">3、 </span><span style=";font-family:楷体;font-size:12px">安全应急无法快速响应</span><span style=";font-family:楷体;font-size:12px"><span style="font-family:楷体">:当出现安全事故时,没有任何快速有效的解决方案,往往采用</span>“拔插网线/关闭接口”的手动干预的处理方法,无法灵活、快速的进行响应。</span></p><p style="margin-left: 38px;line-height: 150%"><span style=";font-family:楷体;font-size:12px"><br/></span></p><p style="margin-left: 38px;line-height: 150%"><span style="font-family:Calibri;color:rgb(51,51,51);font-size:12px">4、 </span><span style=";font-family:楷体;font-size:12px">网络割接维护困难</span><span style=";font-family:楷体;font-size:12px">:</span><span style=";font-family:楷体;font-size:12px">现网涉及的安全设备种类多、数量多、品牌多、组网复杂,扩容升级难开展,导致网络难管理、难运维。</span></p><p style="margin-left: 38px;line-height: 150%"><span style=";font-family:楷体;font-size:12px"><br/></span></p><p style="margin-left: 38px;line-height: 150%"><span style="font-family:Calibri;color:rgb(51,51,51);font-size:12px">5、 </span><span style=";font-family:楷体;font-size:12px">建设维护费用投入过高</span></p><p style="margin-left: 38px;line-height: 150%"><span style=";font-family:楷体;font-size:12px"><br/></span></p><p style="text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;color: rgb(91, 155, 213);font-size: 14px">SDN安全服务链</span></strong><strong><span style="font-family: 楷体;line-height: 150%;color: rgb(91, 155, 213);font-size: 14px">校园网络</span></strong><strong><span style="font-family: 楷体;line-height: 150%;color: rgb(91, 155, 213);font-size: 14px"><span style="font-family:楷体">解决方案</span>:</span></strong></p><p style="text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;color: rgb(91, 155, 213);font-size: 14px"><br/></span></strong></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(1)变串为并,提升整体网络安全可靠性:</span></strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px"> <span style="font-family:楷体">通过安全服务链改造,可将原本串行部署的安全服务设备改成旁路部署。</span></span></p><p style="text-indent: 12px; line-height: 150%; text-align: center;"><span style="font-family: 楷体;line-height: 150%;font-size: 12px"><span style="font-family:楷体"><img src="/upload/ueditor/image/20211010/6376948768107095667777907.png" title="图片3.png" alt="图片3.png"/></span></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style="font-family: 楷体;line-height: 150%;font-size: 12px"><span style="font-family:楷体"><br/></span></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(2)异构品牌服务主备,使网络更安全</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px">:安全服务设备主备功能,支持不同型号、品牌之间的安全服务设备主备。</span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(3)服务资源灵活调度,安全应急快速响应</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px">:安全服务资源可视化灵活调度,紧急情况下可一键改变服务路径。</span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">4</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">)路径动态选择,应急响应安全事件</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px">:可将一个或多个安全服务设置为关键服务。当关键服务故障被健康检测机制检测到后,会自动断开服务链的上下行端口,将所有流量切换至备份链路。</span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">5</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">)设备的无缝割接,极简运维释放人力</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px">:原有的安全服务设备串行部署在链路中,不管单点故障还是设备割接、升级,都会影响整个链路的正常运行。而采用安全服务链,安全服务设备则旁路部署在安全服务链网关上,安全服务链可根据安全设备的健康状况灵活的调整服务路径,当服务节点故障</span><span style=";font-family:楷体;line-height:150%;font-size:12px">或升级</span><span style=";font-family:楷体;line-height:150%;font-size:12px">,安全服务链会自动更新一条没有故障设备做服务节点的新安全服务路径,并发出告警,极大地提高链路的稳定性及可靠性。</span></p><p style="text-indent: 12px; line-height: 150%; text-align: center;"><span style=";font-family:楷体;line-height:150%;font-size:12px"><img src="/upload/ueditor/image/20211010/6376948773700572168634708.png" title="图片4.png" alt="图片4.png"/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">6</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">)健康检测解决串行部署单点故障问题</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px">:安全服务链网关定期向安全服务设备发送检测报文,探测安全服务设备健康状况。安全服务设备被检测为故障后,可以根据配置自动跳过该服务,在保障业务正常运行的同时并发出告警信息,可避开单点故障所带来的麻烦。</span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">7</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">)虚拟化安全保障,防护更简单</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px"><span style="font-family:楷体">:安全服务链对流量的调度并非基于传统二、三层网络传输协议,这就意味着即便是同网段下的主机,也可实现本质上的隔离。对于基于</span>OVS实现的虚拟云桌面,也可阻断同宿机下流量互访保证安全。</span></p><p style="text-indent:12px;text-autospace:ideograph-numeric;line-height:150%"><span style=";font-family:楷体;line-height:150%;font-size:12px"><br/></span></p><p style="text-indent: 12px; line-height: 150%;"><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">(</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">8</span></strong><strong><span style="font-family: 楷体;line-height: 150%;font-size: 12px">)基于TAP2.0分流,简化分流管理复杂度</span></strong><span style=";font-family:楷体;line-height:150%;font-size:12px"><span style="font-family:楷体">:</span>SFC具有流复制/聚汇/集成功能,为网络提供安全性、可视性和流量分析,并具有先进的流量管理功能,无损且经济高效地对网络流量进行监测和分析。帮助用户将不透明的数据中心流量转变为安全威胁检测,实现网络性能管理,提供可用性监控服务以及流量记录、故障排除等综合可见性。</span></p>
