广域网

广域网安全优化解决方案

客户需求

网络技术的飞速发展，广域网在我们的工作中息息相关，无论是各行业专网骨干，从国家部委到省、市、县四级纵向延伸覆盖，还是一般企业跨地域的分支与总部互联互通，都离不开广域网互联。在广域网互联组网中，通过采用专线或VPN进行连接组网，随着广域网上各种应用业务量和复杂度不断提升，从以前的单一业务逐渐转换为多业务，网络数据的传输也从传统的简单数据，到现在即时通讯、视频会议等，对广域网络传输的实时性安全性要求越来越高。

广域网分支机构处作为覆盖各区域市场活动的主体，其业务承载的种类比较多样化,同时每种业务有其自身的特点及对网络的要求，归结起来主要有如下几种：

（1）生产业务系统的访问

支撑分支机构正常运转的核心应用，如OA办公系统、财务系统、ERP企业资源系统、CRM客户关系管理系统等。应用数据多以小包通信，且应用往往需要分支机构和总部服务器之间进行多次的交互，如数据库的查询，数据录入提交等行为。网络的延迟对于分支机构的应用体验有最直接的影响。

（2）即时通信业务

该类应用尽管对企业的生产业务没有直接的关联，但是对于企业分支机构和总部的沟通效率有非常重要的影响，利用这些工具可以有效提升企业分支机构和总部的工作协同。常见的即时通信包括VoIP会议电话、Video视频会议、QQ/MSN等即时聊天工具、网络会议等。其数据传输以双向交互为主，报文的长度不确定，大包小包都混合存在，对于网络带宽和延时都有较高的要求。

（3）文件传输业务

主要包括分支机构的文件共享、总部数据的远程缓存、数据同步（数据库同步、灾难备份）等应用场景。数据传输以单方向为主，大多数情况下都是从企业总部数据中心到分支机构，链路中传输的以大数据包为主，单次传输容量达到几十兆甚至上百G等。在这种情况下，广域网的链路带宽将直接影响用户的传输结果，大容量、长时间、多频次的数据下载将严重影响广域网的带宽利用。

（4）互联网访问业务

对于部分需要通过总部进行互联网访问的远程分支而言，基于HTTP的web浏览业务和部分P2P类下载业务也是其组成部分之一。由于该业务的优先级相对较低，即时带宽不足或者链路时延稍大也是可以接受的。对于该类型业务最重要的，要防范工作时间大量与工作无关业务滥用带宽。

主要难题

可以看出，现阶段的广域网质量相比与期望相比仍然有较大的差距，总结起来主要存在以下几个方面：

（1）时延太高、体验差

对于C/S模式下的企业应用，客户端和服务器之间的一次操作需要进行多次的协议握手交互，直接导致分支机构的响应缓慢甚至不响应，这是现阶段广域网面临的核心问题。从业务流程、数据传输通路进行广域网传输环境的优化势在必行。

（2）带宽利用率低，部署、维护成本高

面对需要进行大数据量传输、或者是频繁进行数据下载传输的应用（如文件服务器），部署大容量的异地服务器，用来充当本地的数据缓存，实现对大量常用应用的本地存取，避免占用广域链路的资源，是一种相对有效的手段，但除了需要较大的成本投资外，对这些设备的日常维护管理也需要专项投入。

（3）关键业务带宽保证效果不佳

网络承载internet类互联网应用的时候，带宽抢占的现象会非常严重。尽管通过扩充带宽的方式，或者是利用路由器的ACL/QoS技术能够实现简单的带宽管理，但是由于路由器本身对于业务的识别能力有限，单纯依靠ACL无法准确区分业务种类，且在业务带宽占用情况发生变化时，预先配置的ACL也无法实现自动的策略调整。因此关键业务访问效果也不尽人意。

（4）安全风险加剧

广域网接入方式灵活，数据访问灵活，加之目前互联网的安全趋势，这给广域组网的安全设计、规划、实施都提出了巨大的挑战。分支接入的安全如何有效控制、总部接入数据的安全如何保障，如何防范安全威胁在广域网上快速扩散，这将都是广域网安全优化重点考虑的问题。

解决方案

总部包含了广域网业务的核心数据中心，安全要求级别最高，所以在总部的广域网出口采用功能专一的安全设备实现专业安全防护和性能保护。

◆　在总部部署Cedar NGFW负责VPN及安全管控，部署Cedar ADC负责入站/出站调度、广域网数据优化等。

◆　在各分支机构部署Cedar NGFW负责与总部对接VPN通道、出向流量调度等。

■分支机构安全优化技术

在分机机构有限的链路带宽资源下，面对广域网分支机构承载多种业务类型，实现对广域网分支业务的精细化识别和带宽管理，是广域网分支机构Cedar NGFW的关键功能之一，也是最为直观的功能，分支机构Cedar NGFW重点安全优化技术如下：

（1）VPN功能，当专线故障时，VPN通道能及时接替专线的职能，确保分机机构与总部业务的互通性。

（2）识别分支机构关键业务类型，并为关键业务提供带宽质量保证服务。

（3）发现分支机构与工作无关业务，实现对这些垃圾流量的及时清理、控制，避免在工作时间对带宽的滥用。

（4）对于工作非关键一般性业务，基于时间段、带宽、用户群组灵活定义带宽保证策略。

■总部安全优化技术

■入站流量调度

智能DNS功能是解决入站流量调度方面的问题，首先将对发部业务的域名解析功能指向齐杉科技Cedar ADC设备，由Cedar ADC设备来进行域名A记录的解析。举个例子来说，当用户远程通过域名访问对外发布业务系统时，逐步通过用户的本地DNS服务器、根DNS服务器，最终由Cedar ADC设备来进行域名的A记录解析。然后Cedar ADC设备就会通过智能DNS模块进行发起访问用户的运营商归属分析，给网用户返回对应的运营商访问地址，同时实现多条线路冗余，让用户得到最佳的访问IP地址，提高访问效率，详细实现如下：

◆　用户通过Cedar ADC访问后台业务服务器。

◆　用户请求到达设备的路径有多条，设备的每个外网接口分别对应着不同运营商的链路。

◆　用户访问域名时，设备对域名进行智能DNS解析，通过将域名解析为所属的运营商IP地址，返回给用户访问同属性运营商的IP地址，通过智能DNS技术让所属不同运营商网络的外网用户能通过相对应的路径完成业务请求的功能。

■出站流量调度

出口链路调度对应的功能是解决出站流量调度方面的问题。主要是由总部用户和服务器主动发起的对公网的访问，当这部分流量到达Cedar ADC设备时，Cedar ADC设备会通过预先设定的好策略判断每条链路的健康状况、响应时延，并决定将流量调度到哪条链路，然后数据包的源地址转换成对应运营商的公网地址，再将该数据包发出，响应数据包返回到设备时，设备将目的地址进行转换之后将数据包发给内部的用户或服务器。

■透明DNS代理

DNS透明代理实现方式，即内网用户在对外网的域名进行访问时，Cedar ADC设备针对DNS流量进行劫持后，再通过Cedar ADC设备配合调度算法进行DNS解析调度，将域名解析成对应的对应运营商的服务器地址，以实现达到最优访问速度。

企业内部用户访问外网域名时，设备对域名进行解析，并保证解析的服务器地址所属的运营商类型，与当前连接外网的链路所属的运营商类型相同。同时确保在内网与外网连接的链路发生切换时，内网的客户端仍能以最优速度访问外网。

■TCP连接优化

Cedar ADC的TCP优化主要通过TCP连接复用和TCP长连接技术。主要针对诸如ERP类的应用，当远程客户端在从总部服务器获取相关页面时，客户端和服务器之间存在多次的小包信息交互，使得一个应用的时延增加数十倍甚至上百倍。通过TCP连接复用技术，能有效的将多次消息请求并合并成单条TCP消息与server进行交互，通过与server建立长连接，避免频繁的连接请求消耗业务服务器的性能，影响应用的交互效率，从而提升TCP连接的效率，改善分支机构客户端用户的应用体验。

■数据压缩技术

广域网的数据压缩可创造更大的吞吐率，更快的性能以及更大的网络容量。为了有效减少广域网的数据传输数量，Cedar ADC通过数据压缩算法对数据进行有效压缩，减少在广域网上传输的信息量，从而提升总部与分机机构数据的传输效率。

■数据压缩技术

数据缓存技术也是提高广域网性能的最有效的方法之一，尤其是对远程分支需要频繁访问总部的数据内容，效果更加明显。当分支用户通过总部Cedar ADC访问过总部数据文件后，Cedar ADC将对该数据内容进行高速缓存，这样一旦其他分支的用户也需要访问该总部数据文件，Cedar ADC将直接将该文件进行广域传输，以减少服务器频繁进行数据交互的压力，间接的提升了服务器对其他应用的响应速度，缩短了交付时延。

■SSL加速术

在分支机构的远程访问过程中，随着Browser/Server模式的盛行，很多关键应用开始基于B/S的SSL/TLS加密模式的远程安全接入解决方案，经过SSL/TLS加密的数据在广域网传输将会更加安全可靠。但是在这种情况下，Cedar ADC设备能很好的对这种HTTPS加密流量的内容识别和优化处理，采取SSL proxy代理技术，客户端和Cedar ADC设备之间建立SSL的会话连接（加密），Cedar ADC与服务器之间建立另一个连接会话连接（明文），在这种方式下，可以确保客户端的访问请求安全、高效的接入到总部的应用服务器。

■方案总结

相信随着广域网建设的逐步深入，基于广域网的安全优化解决方案必将成为整体解决方案的重要组成部分，有效提升广域网承载的多种业务应用的服务质量，促进广域网与分支机构信息化的建设。