客户(项目)背景
中国建设银行江苏省分行全省因特网集中安全控管项目主要是规划和建设江苏省分行全省Internet网络,安全集中控管平台建立在已有的安全区域内的非军事区以及其他相关区域,实现所有以往的二级分行和南京地区城区型支行的上网业务统一经企业网从该平台统一出口。
客户需求
客户面临的问题
江苏建行因特网出口通过两个ISP链路连接到互联网,如果内部网络同时使用两个ISP提供的地址,一部分内部用户(A组)使用ISP1提供的地址,另一部分内部用户(B组)使用ISP2提供的地址。
Outbound的流量处理的问题
首先,因为对于两个ISP流量的选择是静态指定,所以两个ISP无法实现动态的负载均衡,可能造成某条链路超负荷而另外一条链路却非常空闲的问题。
其次,当ISP1的链路中断时,A组的用户将无法动态选择ISP2链路,从而无法接入Internet,造成业务中断。
另外,在今天各个ISP互连互通存在一定问题的条件下,可能造成用户无法选择最优的链路实现互联网访问,造成互联网访问延时大,服务质量差,投诉增多的问题。
Inbound流量处理的问题
如果建行内网有部分服务器需要对外提供Web服务,那么如果指定使用ISP1的地址,则ISP2的链路无法用于流入的流量,因为Internet上只有ISP1是流入该网络的唯一路径。如果只使用一个ISP的地址,则ISP链路中断时,用户将无法访问该服务器。如果在DNS服务器上注册两个ISP提供的地址,则DNS服务器的宕机同样会导致网络服务的中断。
用户的管理和控制的问题
江苏建行各个地市分行的互联网访问都将集中到该平台之上,这样集中的管理对于用户的访问控制,安全管理带来很大挑战。任何分行的任何一个结点都可能对于整个省行的业务造成影响甚至引发故障,建行利用安全代理网关的技术实现对于用户的管理和控制。作为安全代理网关本身的部署以及性能和扩展也成为一个至关重要的问题。
客户需求分析
多链路智能管理
江苏建行需要采用链路负载均衡的解决方案来避免Internet接入中断所造成的损失。在这里所提及的“链路负载均衡”通常指同时使用不同ISP提供的多条Internet接入链路。由于链路负载均衡解决方案能够提供更好的可用性和性能,它正在被越来越多的企业所采用。可用性的提高来自于多条链路的使用,而性能提高则是因为同时使用多条链路增加了带宽。
链路负载均衡方案能够提高企业网络的可用性和性能以及安全性。
内容安全代理网关的合理部署
江苏建行内网使用内容安全代理网关作为企业内部访问互联网的代理(http、https、socks、ftp、及流媒体),同时也作为缓存和访问控制服务器,能够管理和控制内部对互联网的访问。
建行内网建设中需要合理的部署该代理网关设备以实现:
Radware解决方案
网络拓扑
江苏建行全省因特网集中安全控管项目网络物理架构如下图所示:
方案描述
链路负载均衡解决方案
江苏建行集中互联网出口通过两条ISP链路连接Internet,全省各地市分行用户集中到省行通过统一的出口进行外网访问,同时对于外网访问内部的服务器也都统一有省行出口对外提供服务。
江苏建行在省行出口部署两台Radware公司Linkproof来实现多个ISP的全链路健康检查,Outbound和Inbound负载均衡功能,保证建行整个网络连接的高稳定性和性能,同时两台LinkProof冗余备份,当主机发生故障宕机时,备机可以瞬时接管所有业务,保证用户的不间断访问。
内网安全代理网关部署解决方案
在建行的内网区,在两台核心交换机上分别单臂连接了两台Radware的CID和BlueCoat的安全代理网关,两台CID工作在Actvive-Backup冗余模式,为两台代理网关提供负载均衡服务。全省各地市分行的用户通过代理网关进行互联网访问服务,CID截取用户的访问请求,将特定的请求流量转发到代理网关进行处理。CID通过有效的健康检查,避免代理网关的单点故障,多种负载均衡算法提供了整个代理网关的最优性能和最便捷的升级扩展方案,为建行的整个内网安全提供了有效保障。
功能描述
链路负载均衡
LP在流量管理方面,主要实现以下功能:
代理网关负载均衡
CID实现代理网关负载均衡的主要功能:
针对邮件系统,CID可以提供以下几个方面的优化服务:
特别需要强调的是,Content Inspection Director 与所有类型的内容检查和防病毒设备完全兼容。
Radware解决方案的优势
LinkProof的链路负载均衡解决方案具有以下功能和优点:
CID的内容安全代理网关负载均衡方案的优点:
部署了CID后,整个代理网关系统性能上将得到成倍地提高,主要表现在:
