网络智能流量编排技术方案.docx

? ? ? ? ? ? ? 网络智能流量编排技术方案 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?  目 录 TOC \o 1-3 \h \z \u 网络智能流量编排技术方案 1 一、背景 3 二、传统互联网区架构 3 三、传统架构存在的问题 5 四、智能网络流量编排方案 7 4.1 互联网接入区流量编排 7 4.1.1?互联网接入区流量编排架构 7 4.1.2?流量编排服务链与安全策略 9 4.1.3?安全资源高可用及弹性扩展 10 4.1.4?双模安全部署架构 11 4.2 SDN网络流量编排 11 4.2.1?SDN网络流量编排架构 11 4.2.2?南北向和东西向服务链 13 4.3 民生银行智能流量编排 13 五、小结 14  【导读】由于现有安全工具部署与网络架构紧耦合，导致安全工具部署很难进行弹性、无缝和平滑地扩缩容和有效利用，面对不断增加的安全工具部署需求及流量爆炸式增长带来的安全监控挑战，现有部署架构已不能满足和适应新增工具部署需求，如何打破现有架构的约束，为安全监控提供更多弹性和灵活性，满足个性化、差异化、全面可视的安全监控和检测需求成为了互联网网络运维需要重点思考的问题。本文从互联网架构转型入手，以期通过网络智能流量编排解决上述问题。 一、背景 近几年，随着5G、物联网、人工智能、大数据等新技术的兴起，金融行业应用也在进行深刻的数字化转型，同时虚拟化、云、容器等技术的大力发展和推广，促使金融业网络架构向软件定义、自动化、弹性扩展方向发展。伴随着新技术、新业务的发展，新的安全威胁不断涌现，来自外部和内部的信息安全风险不断增加，对金融系统的安全性提出了更高的要求。基于此金融同业正在积极推动以应用为中心构建零信任架构，增强对个性化的安全防护，借助AI、大数据分析以及全面的安全生态体系，简化复杂的传统的安全模型，加速传统安全架构转型。 为了应对日益严重的IT风险，构建零信任架构，各种监测、防御、扫描、分析等安全产品相继添加进入生产网络，与现有传统的防火墙等安全产品一起形成纵深防御的网络安全体系。另外，受疫情的影响，金融服务模式线上化程度越来越高，基于SSL、国密等加密模式的远程银行、移动办公、在线学习、远程运维等业务迅猛发展，互联网流量出现了成倍甚至数倍的增长，给金融行业互联网生产网络和安全平台带来巨大压力。 由于现有安全工具部署与网络架构紧耦合，导致安全工具部署很难进行弹性、无缝和平滑地扩缩容和有效利用，面对不断增加的安全工具部署需求及流量爆炸式增长带来的安全监控挑战，现有部署架构已不能满足和适应新增工具部署需求，如何打破现有架构的约束，为安全监控提供更多弹性和灵活性，满足个性化、差异化、全面可视的安全监控和检测需求成为了互联网网络运维需要重点思考的问题。本文从互联网架构转型入手，以期通过网络智能流量编排解决上述问题。 二、传统互联网区架构 图-1：典型的金融互联网架构图 如上图所示，金融行业互联网网络同城一般采用双中心接入架构，网络区域上由互联网接入区、互联网前置区、互联网后台区组成。 互联网接入区 对外对接公网互联网，主要实现与公网互联网专线互联，并实现公网与内网地址的转换功能。互联网接入区基于不同的业务功能一般分为办公互联网业务专线接入及生产互联网业务专线接入。 互联网前置区 主要部署互联网应用前置服务器，并通过网络实现前置入访和出访的负载均衡及加解密功能。互联网前置区通常会基于不同的业务功能或为满足监管隔离要求采用横向扩展的方式分为办公互联网前置区、生产互联网前置区、电商互联网前置区、海外数据中心前置区、托管云前置区、子公司互联网前置区等。 互联网后台区 主要部署互联网应用及数据库服务器，对外对接互联网前置区，对内对接后台其它业务区域。 基于业务访问需求，互联网前置需要直接对互联网暴露服务提供给不同渠道的用户访问，是安全防御的重中之重。为有效阻断来自互联网的DDOS、扫描、CC、渗透、病毒等安全攻击，有效保护前置和内网安全，通常会在互联网接入区和前置区串接或旁路部署各类安全设备，如抗DDos、应用层防火墙、IDS/IPS、APT、防病毒墙、WebSense网关、SSL加解密、WAF等，搭建相应的监测和安全可视化平台，结合传统的防火墙等构建串接+旁路的纵深防御安全体系。 图-2：互联网区纵深防御网络安全串接和旁路架构示意图 如上图所示，安全设备通常参照网络防火墙和负载均衡等四七层设备部署模式进行部署，为确保业务流量按既定路径进行转发，同时基于架构的可靠性和冗余考虑，业务流量通常只由主设备来负责处理，其它设备为热备。当新增区域时，安全设备参照现有区域部署模式进行横向扩展。 三、传