深信服BDN网络架构方案

深信服BDN网络架构方案深信服科技陆辉建当前IT架构的困扰总部员工LAN&WLAN移动接入员工Mobile/3G分部的员工专线&VPN外部客户InternetIDC托管内部业务数据中心合作伙伴或供应商对外发布数据中心备份数据中心总部员工移动接入员工分部的员工外部客户IDC托管内部业务数据中心合作伙伴对外发布数据中心备份数据中心私有云公有云终端iPadiPhoneAndroidPlayBook……随时随地便捷接入业务应用快速部署？？？？业务带来的IT架构变化•缺乏：以业务流程视角审视IT服务的交付过程连通VPN冗余架构设计服务器负载均衡设备管理终端杀毒Web安全•补丁式建设新的问题又会出现传统网络建设的弊端业务应用互联网数据中心接入网络终端瘦终端智能终端用户内部员工合作伙伴外部客户互联网专线VPN移动互联网局域网终端多样操作复杂环境风险跨平台迁移链路复杂质量不稳带宽有限数据仿冒单点故障负载过大非法入侵运维复杂业务交付网络：端到端的IT服务传送用户终端业务交付SANGFOR网络接入业务交付SANGFOR数据中心业务交付SANGFOR胖终端企业数据中心公有云私有云IT服务交付模型演进公有云企业数据中心私有云可靠保证用户对业务99.999%的可达性高效保证在各种网络、终端环境下，高效的将业务交付给用户弹性能够适应业务不同阶段对网络系统的要求安全提供端到端的安全通道规避各种威胁、风险智能业务感知良好用户体验BDN业务交付网络全新的BDN（业务交付网络）架构数据报文智能业务感知网络应用内容IP端口状态流内容类型用户属性动作类型应用协议应用状态应用威胁状态检测IPSecVPN抗DDoS灰度威胁检测应用交互协议识别恶意代码识别SSL卸载7层流量分析应用性能监控HTTP内容调度/缓存恶意网站内容检测360°内容识别主从应用账号绑定加密流量识别内容级cache技术基础：智能业务感知安全高效弹性数据中心1数据中心2线路2数据中心网络链路终端线路1业务高可用模型：多维度冗余架构服务器1服务器2链路高可用：链路故障、跨运营商服务器高可用：单点故障、负载过大多中心高可用：多中心容灾、用户最佳体验业务的高可用性该如何建设网络链路终端线路1链路负载均衡选择最优路径合理利用带宽数据中心线路3线路2中断最佳链路延迟较大多链路负载链路的高可用性建设网络链路终端线路1虚拟服务：统一的资源服务接口调度策略：针对不同业务类型提供L4-L7多种策略健康探测：实时感知服务器健康和性能状态数据中心线路3线路2服务器负载多链路负载宕机负载高正常WebIP1WebIP2WebIP3统一资源调配我要访问谁？服务器的高可用性建设网络链路终端ISP1多中心动态切换：全业务实时监测健康最佳用户体验：动态最优路径选择ISP2数据中心1数据中心2服务器负载服务器负载1、访问2、重定向3、成功全局负载链路负载全局负载链路负载ISP1ISP2多数据中心高可用性建设可靠高效弹性网络链路用户线路业务安全模型端到端的安全防护端到端的业务隔离终端业务1业务2数据中心身份鉴别权限控制防止入侵终端状态链路安全ACNGAFVSPEasyConnSSLVPNNGAF业务的安全性该如何建设SSL组合认证用户名密码硬件特征码短信认证USBKEY认证动态令牌CA认证LDAPRADIUS确保接入身份的唯一性身份认证：多种安全认证方式防止越权访问通过将用户身份与应用系统账号一一对应绑定，加强应用系统安全，防止越权访问权限控制：精细化+防止越权深信服NGAF蠕虫/病毒恶意代码堵住每种入侵的源头防止攻击/入侵：NGAF全面防护关键业务系统，如何控制机密数据外泄？VSP：虚拟安全平台，针对重要应用防止数据在终端上遭泄露操作控制：无法本地保存、外设拷贝打印、局域网传输等方式将受保护应用数据外泄网络链路用户终端数据中心线路1默认桌面虚拟安全平台VPN加密隧道明文传输一般应用关键应用端到端业务隔离：VSP可靠安全弹性网络链路用户终端数据中心移动互联网服务器负载大响应慢用户操作繁琐链路质量成为传输瓶颈高效的业务交付---双向端到端的过程，是动态的过程专线用户体验到底如何？业务效率该如何保障TCP卸载（Off-load）HTTP卸载/压缩SSL内容加密卸载L4-7服务器负载均衡0%100%服务更多用户缩短响应时间节省带宽提高可用性服务资源应用时延WebServersApplicationServersDatabaseServers应用交付服务器性能优化•链路优化：提升链路质量•数据优化：提升带宽吞吐•应用优化：提升访问速度•流量管理：保证关键业务高延时、高丢包ABCDABCEEEDACCDABCDEDCBCDEDCAABCCCEDAADCEB消除冗余数据传输广域网优化四步走图片视频文字URL•屏蔽与工作无关网络内容，封堵带宽滥用•提供工作效率规范上网行为提升工作效率•相同资源（图片、视频等）从SG缓存中提取•节省成本，留存带宽流量削减30%用户速度明显提升业务资讯网站娱乐八卦网站数据上网优化提供统一的业务接入门户：就近选路、智能备份简化登录操作：SingleSign-On单点登录，提供一站式服务功能：统一域名，就近接入，智能热备价值：简化接入流程，提升可靠性云APP1APP2数据中心AAPP1APP2数据中心BAPP1APP2统一接入门户单点登录，无需二次认证，提高效率简化终端操作用户喜好分析ISP、操作系统、浏览器、时间分布从终端用户的体验角度出发系统、区域、页面URL、页面加载时间性能自动关联分析RTT、丢包率、HTTP错误、页面大小、元素应用性能管理用户体验感知服务器性能优化广域网优化上网优化终端操作优化应用体验感知高效的业务交付四部曲可靠安全高效业务规划业务开展业务发展易部署易管理易扩展业务发展阶段弹性架构如何让IT架构适应业务不断发展网络链路用户终端数据中心线路1EasyConn传统CS应用移动智能终端远程应用发布：不用重新开发应用系统将各种CS架构的传统应用快速推送到智能终端降低带宽要求，提升传输速度SSLVPN易部署：跨平台应用快速部署流量分析设备管理应用性能监控减轻故障排除的工作量，实现业务的快速恢复保障重要业务稳定高可用深层洞悉运筹帷幄了然于胸WebTierAppTierDBTierDNSADNTP应用性能管理易管理：智能业务性能监控通过SC集中管理平台，降低运维成本，提升工作效率WOC/VPNADEasyConnSSLVPNNGAF审计报表统一流量报表统一风险报表行为审计报表商业智能分析设备管理设备监控授权管理操作日志策略管理VPN策略上网行为管理安全防护策略带宽策略优化策略SG/AC易管理：集中管理平台•按需部署设备•降低投资成本•避免初期投资高，与业务发展保持同步=2.7倍+易部署：非对称集群业务应用用户SC集中管理平台•99.999%的应用高可用•服务器资源恢复80%•防止机密泄露风险•加快故障响应速度NGAF基础防护应用管控应用防护灰度识别全局AD智能报表全局负载多链路AD链路负载动态探测SSL多态认证主从绑定虚拟门户非对称集群服务器ADL4-L7负载TCP复用SSL卸载压缩卸载内容缓存APM故障预警应用监控数据中心业务交付互联网应用终端业务交付•部署时间缩短50~70%•工作效率提升30~60%•规避法规风险Easyconn多平台兼容单点登录远程应用发布VSP终端检测多种认证安全桌面隔离•带宽节约2~5倍•应用提速3~7倍•高性价比、灵活的接入方式IPSecVPN国密算法链路加速WOC协议优化带宽保障冗余消除链路优化AC/SG应用管控内容缓存上网安全行为审计局域网/广域网业务交付端到端业务交付网络