深信服分支云解决方案Word格式文档下载.docx
《深信服分支云解决方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《深信服分支云解决方案Word格式文档下载.docx(15页珍藏版)》请在冰点文库上搜索。
2.3.4下一代防火墙3
2.3.5上网行为管理3
2.3.6核心业务高可用4
第3章方案价值1
3.1实现分支零IT1
3.1.1分支零IT、设备即插即用1
3.1.2灵活部署、按需扩容1
3.1.3简化分支IT基础架构2
3.2实现总部管理更敏捷2
3.2.1集中管理、简化运维2
3.2.2分支智能监控3
3.2.3分支智能告警3
3.2.4智能报表分析3
3.3降低分支建设成本4
3.4降低分支运维成本4
第4章客户案例介绍1
4.1完美集团1
4.2申万期货1
第1章概述—需求分析
XX企业在全球(全国)部署众多分公司、办事处、营业网点等分支机构,随着云计算业务发展和用户对网络访问的迫切要求,将所有分支机构的上网流量通过总部统一出口接入Internet的方式已经越来越少,逐步走向“hybrid-WAN”方式。
即,分支机构各自拥有独立的Internet出口,同时通过专线或者VPN访问总部业务,WAN的网络结构越来越复杂。
与此同时,不少企业分支机构仍保留本地业务,如何保证业务可靠性运行?
“分布上网”改善了分支机构员工上网的速度和上网体验,但随之而来安全、集中管理、运维要求也变得迫切起来。
由于不受控的互联网访问行为给组织带来了诸多问题,所以越来越多务实的管理者考虑在Internet出口处部署上网行为管理设备。
但对于“分布上网”的分支机构而言,如何解决分支架构复杂、分支建设成本高昂、无法统一运维才是IT建设的重中之重。
分支机构IT新建或者改造存在几个主要矛盾,主要包括如下:
深信服科技针对大型组织机构在目前网络中出现的问题,提出全网部署aBos一体机网关设备来改变客户的网络现状,另外提供了BBC(BranchBusinessCenter)分支业务中心,即集中管理平台解决方案。
它通过集成多方位的管理和运维手段,彻底解决了大型组织机构面临的部署、管理、监控、升级以及日志报表方面的问题。
第2章解决方案
2.1解决方案介绍
深信服基于广域网优化及超融合技术推出“分支云”解决方案,充分考虑到总部组网可视化管理、分支快速组网问题。
深信服分支云解决方案,包括云端部署BBC集中管理平台,全网运维可视化、智能监控分支、远程接入分支、配置下发、丰富的报表分析,实现总部管理更敏捷。
分支部署aBos一体机,融合安全+优化+服务器功能,在分支上线后,分支管理员点击BBC集中管理平台下发邮件链接即可实现集中管理,所有配置可通过BBC进行下发,实现了分支零IT维护。
2.2整体方案设计
XXXX目前的网络状况是这样的,公司在全国拥有多个分支机构,各个分支机构通过独立的网络出口访问Internet,同时分支通过专线/VPN访问总部业务。
总部希望通过集中管理平台实现全网可视化运维,智能管理分支网络设备,统一的策略配置和下发,保证公司整个网络的健康运行。
同时希望实现查看分支员工上网行为日志、安全日志、网络告警日志等。
整体方案设计如下:
部署说明:
在总部内网单臂部署BBC(BranchBusinessCenter)分支业务中心,可对分支aBos一体机集中管理,降低分支运维难度。
多个分支机构网关部署aBos一体机,大型分支可以多台集群部署,满足分支网络可靠性需求。
分支机构aBos一体机对上网行为审计和流量控制,同时可以实现分支业务安全防护,提升分支访问总部体验性。
2.3方案亮点功能
2.3.1BBC集中管理
●●分支机构设备上线,分支设备自动加载总部云端管理平台策略配置,无需复杂配置即可上线运行。
●●建设后期设备升级、业务升级只需要从总部DATADC或者云端进行下载升级包,即可按照任务时间进行相关升级工作。
●●BBC集中管理平台实时监控多家分支网络问题、硬件问题、安全问题、流量问题等告警,实现集团整网运维监控,降低运维难度。
2.3.2安全快速VPN组网
●●aBos一体机设备可基于ADSL等互联网线路实现VPN网络,实现分支机构到总部的安全、快速通道。
通过标准IPSecVPN,采用标准加密算法加密,防止核心数据泄漏。
●●提供SSLVPN移动接入服务,分支员工可以实现安全的移动办公环境,同时SSL
VPN技术包含国密加密算法SM1\SM2\SM3\SM4等满足国密要求。
2.3.3
广域网优化
●●aBOS集成了广域网(WAN)优化解决方案,以更低的成本加快在最佳网络上传输分支机构的所有用户流量,可以进一步简化分支机构的网络基础设施。
无法集中处理的服务在一体机设备上作为虚拟机(VM)运行。
2.3.4下一代防火墙
●●实时对分支机构部署交易业务以及网站,需要对业务主机、业务系统进行安全保护。
2.3.5
上网行为管理
●●对上网行为进行认证、管控、审计,定位分支机构带宽滥用问题,及时封堵不文明上网行为,且出现问题可以回溯问题定位风险。
●●对分支上网行为进行流量控制,保证核心业务的访问体验下,提高工作效率。
2.3.6核心业务高可用
●●aBos一体机服务器虚拟化功能满足分支机构部署文件服务器、办公OA、ERP、BBS
等服务器需求。
●●提供虚拟机的HA、快照等功能,保证虚拟机能够故障迁移,降低业务停机的可能性。
●●提供高可靠的分布式存储,支持热备盘及数据盘热插拔方式,保证分支机构数据的可靠的存储,同时降低分支存储成本投入。
第3章方案价值
3.1实现分支零IT
3.1.1分支零IT、设备即插即用
传统分支组网互联分为三步走:
分支设备调试上线、分支设备连接集中管理平台、分支设备和总部进行IPSECVPN互联,其配置过程往往需要管理人员耗费较大精力,增加分支上线周期。
在深信服分支云解决方案中,深信服创新式的实现分支管理员点邮件链接即可节省与BBC管理互联步骤。
该方案使得分支快速上线、满足企业快速增长的需求,实现分支零IT管理目标。
3.1.2灵活部署、按需扩容
深信服aBos一体机,用户可按需激活license使用虚拟上网行为管理(vAC)、虚拟应用层防火墙(vAF)、虚拟广域网优化(vWOC)、虚拟SSLVPN(vSSLVPN)等资源服务。
3.1.3简化分支IT基础架构
深信服aBos一体机仅需一台服务器就可以解决安全防护、上网行为管理、新建销售办公系统等问题,简化了分支机构采购及部署多台不同功能、品牌设备的流程,实现分支IT架构简化。
3.2实现总部管理更敏捷
3.2.1集中管理、简化运维
总部BBC集中管理平台智能监控集团多家分支机构aBos一体机,地图展示各分支接入物理设备、虚拟网络设备、虚拟机情况。
提供远程接入分支进行集中管理,实现分支配置策略下发、智能升级、故障定位、安全告警等。
3.2.2分支智能监控
BBC集中管理平台提供分支物理设备、虚拟网络设备、虚拟机的智能监控,从网络、业务维度进行分支监控,提高日常分支管理效率。
3.2.3分支智能告警
BBC集中管理平台提供分支机构网络告警、离线告警、授权告警、硬件告警、安全告警五大维度监控,为总部管理人员智能化、自动化的管理复杂的分支机构IT。
3.2.4智能报表分析
BBC集中管理平台拥有智能的报表功能,提供集团多家分支网络问题分析报表,管理员可以从日志报表中看到全网安全状况,同时能够简化运维、帮助决策。
BBC报表提供分支资源利用率、分支带宽利用率、告警问题汇总、分支告警排行、分支告警数量、
分支离线时长等进行WEB界面展示,提供管理员工作效率。
3.3降低分支建设成本
采用深信服分支云解决方案能够降低分支建设成本体现在两个方面。
(1)分支设备一机多能,提供广域网优化、IPSECVPN、上网行为管理功能,同时可替换网关路由,以更低的投资成本获取更高的回报,提升网络带宽价值。
(2)分支aBOS一体机和总部网关设备(可部署深信服WOC设备)IPSECVPN对接,替换传统专线,同时进行广域网优化,实现链路优化、流量削减,实现组网带宽整形,降低分支组网带宽拥挤,以较低成本保证核心业务的快速访问。
3.4降低分支运维成本
深信服分支云解决方案解决了传统分支建设问题,如总部无法实现可视化的运维及分支多设备的管理。
分支无需分配专门的IT管理人员,分支通过点击邮件链接方式即可实现分支上线运行及纳入集中管控。
总部BBC集中管理平台提供分支的状态、分支安全
问题等多维度告警,降低总部管理的难度,可视化的全网设备运行情况,提高总部管理工作的效率。
第4章客户案例介绍
4.1完美集团
基于分公司现有网络状况,完美集团采购深信服10台aBOS-1000分支一体机部署在分公司出口,具备业务上线速度快、安全性强、业务扩展性高的一站式分支机构解决方案。
分支机构部署aBOS实现VPN组网快速搭建,且集中式管理为分支IT减负,让IT建设走到业务发展的前端。
4.2申万期货
【应用背景】
申银万国期货有限公司系申银万国证券股份有限公司的控股子公司。
公司注册资本金7.76亿元,在证券控股期货公司中资本金规模位列前茅。
商品期货经纪业务、金融期货经纪业务资格,是上海期货交易所、大连商品交易所、郑州商品交易所的会员及中国金融期货交易所交易结算会员。
随着申万期货的业务范围不断扩张,申万期货准备在全国各地部署20余家轻型营业部,加快现有业务的发展;
为了保障营业部高效、稳定的运行,轻型营业部在快速安全接入、网络安全、数据安全以及安全审计变得尤为重要。
同时广域网的运维和管理的要求也在不断的提升,从网络安全、应用安全、数据优化到业务数据安全的要求都在不断的提高。
【需求分析】
广域网确保了总部和轻型营业部之间的互联互通,但是,随着广域网上各种应用的业务量和复杂度不断提升,其安全及性能问题变得越来越突出,主要问题包括:
集中管理:
轻型营业部无专门IT人员,需要总部进行统一配置策略下发。
可以总部远程接入故障排查,定位问题;
同时实现所有分支网络状态监控。
IPSECVPN组网:
如何实现多分支快速组网,并在组网的基础下减小运维成本,线路能达到专线的效果?
访问控制:
如何实现各轻型营业部和总部IDC业务、各轻型营业部之间的访问控
制?
安全威胁:
分支机构的安全级别低、安全管理松散,容易引入蠕虫、木马、病毒、黑客等,如何防范这些安全威胁在广域网上快速扩散?
带宽保障:
非关键业务或垃圾流量占用了有限的广域网带宽资源,造成广域网拥塞,如何保证数据流在广域网中按业务的重要程度进行不同优先级的调度?
安全审计:
按照公安部“82号令”要求,避免员工、客户乱发言论,是否能做到
有依据可查?
【深信服解决方案】
在每个营业部网关部署1台aBos一体机,总部数据中心和IDC数据中心之间部署广域网优化设备,同时在总部数据中心单臂部署BBC集中管理平台。
实现分支与总部之间的快速安全的加速VPN组网,同时实现分支到数据中心链路互备。
整体IT网络架构如下图:
VPN组网:
深信服分支一体机aBos开启IPSECVPN模块可以实现总部与轻型营业部的安全、快速组网。
数据优化:
深信服分支一体机aBos开启WOC模块可以实现对广域网上的数据进行压缩、缓存,避免冗余数据在广域网上传输。
可以实现对线路丢包做优化,避免因为线路丢包问题导致传输缓慢。
深信服分支一体机aBos开启流控功能模块,在资源有限的广域网实现核心业务的可用性保障,基于应用的流量控制实现核心业务,如OA、ERP、视频会议等系统的可靠带宽保障。
深信服分支一体机aBos开启审计功能模块可以实现对员工的上网记录进行审计,做到有异常言论有依据可查。
通过总部部署的BBC集中管理平台,可以实现对aBos一体机AC、WOC
模块进行集中管理,方便内部运维管理。
升级会员 