城域网用户安全增值方案
发布时间 2019-01-25城域网用户安全增值方案
典型用户
城域网政企专线用户:政府、企业、事业单位,租用电信运营商提供的城域网专线接入服务,包括互联网专线和集团专线。上述用户很多属于传统用户,即用户IT基础设施还是物理机环境,没有完全实现云化环境,也有部分用户属于云化环境。
用户痛点
电信运营商只提供宽带接入基础服务,而政企客户在安全方面投入不足。采用传统的以物理硬件为主的安全解决方案,存在以下问题:
l 需要用户自行购买、部署、维护,建设和运维成本高;
l 需要对用户网络的物理拓扑进行大幅调整,割接工作量大且时间长,影响业务运行;
l 硬件安全设备无法在多个用户之间进行资源共享。
此时,很多政企用户为了降低建设和运维成本,同时能够得到专业的安全服务,倾向于购买第三方安全增值服务,对业务系统进行安全防护,例如部署WAF对网站系统的入站流量进行防护,部署抗DDOS设备对入站流量进行清洗,部署上网行为管理对出站流量进行控制。
建设目标
在城域网部署(可以在运营商IDC机房内部署)一套与用户业务系统完全解耦、相互独立的安全资源池系统,通过引流配置,将用户进出站流量牵引至安全资源池系统内部,同时根据用户订购的安全服务在安全资源池内创建安全服务链,提供安全服务。
解决方案
引流设计
如上图所示,为城域网引流方案设计图。
BAS路由器上配置用户接口,使用户流量进入VPN隧道。
在业务路由器SR(VPN中PE)配置接口绑定VPN,并创建BGP进程,使业务路由器SR与汇聚交换机完成BGP对等体的建立。
在汇聚交换机(VPN中CE)中配置策略路由,将BGP引流流量路由至安全资源池的SDN交换机。
安全资源池下发SDN服务链,通过流量中的IP信息识别用户,并将其引导至对应的安全服务,完成防护。
方案部署
以WEB安全防护为例,说明方案部署方式:
购买了WEB安全防护的用户,将其流量引导至安全资源池内对应用户的WAF虚拟化实例,完成防护,有效抵御SQL注入、跨站、挂马、恶意扫描等常见Web攻击,支持敏感信息防泄露、网页防篡改、应用层DDoS防护等功能,最大限度的保障网站运行安全。
京公网安备11010802024551号