业务挑战
为了应对内外部的竞争与挑战,各大成品油零售企业都在主动或被动的进行转型,自动化、智能化将成为不可避免的发展趋势,企业在实现加油站智能组网的过程中,面临着许多的挑战:
1.专线组网成本高
当前采用租用运营商专线的方式连接至总部运营中心,每年需要支付高昂的线路租用费用。
2.缺乏统一管理手段
由于采用专线接入的方式,网络的相关设置都被固定在运营商提供的设备上,企业无法自主进行管理,也无法进行网络的统一调整,给业务带来诸多不便。
3.应急备份线路问题
为了应对极端情况下网络中断的情况,需要具备通过4G来做应急网络备份的能力。
4.设备安全接入问题
随着加油站业务的不断丰富,接入到网络中的终端类型越来越多,现有设备没有安全接入的管控能力,无法对终端做安全准入管理、威胁检测和应用管控。
5.网络质量可视化需求
网络流量和带宽利用率情况不可见,无法根据业务实际需求来做互联带宽的管理和规划,也很难对网络进行精细化运维,无法在满足常规故障定位和处理的基础上,做到对网络中业务的进行高中低优先级分配。
解决方案
奇安信加油站智能安全组网解决方案基于SDN技术及网络功能虚拟化技术设计,能够实现全自动组网、业务保障、终端授信接入、数据加密传输、全面安全防护、统一智能运维。方案支持MPLS VPN专线接入、互联网接入、4G/5G无线接入等多种接入方式,可在分支机构至总部、数据中心、公有云平台按需建立虚拟专用网络,有效进行用户和业务的安全隔离,防止业务数据在传送过程中被窃取或篡改。
方案包括安全网络管控平台(简称“管控平台”)和安全网络路由网关(简称“安全网关”)两部分。其中,安全网络管控平台由奇安信提供SaaS化服务,负责对安全网关的设备、网络连接、安全功能以及接入的终端和用户进行集中化、可视化的统一控制和管理。
设计方案拓扑如下
1.以总部/分支机构为基础进行安全网关部署,采用SaaS化安全管控平台,对总部/分支机构部署的安全网关进行统一的集中管控,运维管理人员只通过管控平台就可以远程管理和配置安全网关设备,而不需要在各分支机构安排网络管理人员进行现场运维。
2.总部部署2台安全网关互为主备,通过带安全防护、全程加密的传输方式与分支机构的安全网关自动组建虚拟专用网络。
3.每个加油站部署一台安全网关,安全网关支持4G网络,用于加油站的网络接入及提供安全防护功能。
4.为提升线路可靠性,增加4G线路作为应急备份网络,让不方便安装有线线路的加油站也可采用4G接入,确保业务能够顺利开展。
5.在管控平台上设置业务转发线路选择优先级,设置有线线路为主线路,4G为备份线路。
6.数据链路加密支持标准国际算法和国密算法,确保业务数据在传输链路上的安全。
客户价值
加油站智能安全组网解决方案不仅通过先进的SD-WAN技术解决了组网与业务可靠性问题,还实现了组网与安全的融合以及组网策略与安全策略的敏捷协同。通过SaaS化管控平台,客户可以快速、安全、便捷的掌握全网网络质量状态分析、业务传输状态分析、威胁风险状态,并可通过网络、用户、业务多个维度定位安全风险,在保障自动组网、业务可靠、安全隔离的基础上,侦察、定位、处置异常行为,将“内生安全”能力从局域网延伸至广域网,实现全网的组网、安全、运营三同步。
方案优势
1. 自主安全组网
方案采用PrivateEX增强隔离技术为客户按需组建网络,在总部和加油站之间建立业务隔离的安全加密连接,保证业务数据传送的安全性及私密性。基于SDP的身份认证和终端准入技术,对接入网络的人和终端进行鉴别,受信任后绑定访问策略,控制访问范围,实现边界凭“证”入内,保障网络安全。
2. 零配置快部署
方案支持通过无线上线、邮件上线、部署向导上线、批量上线、4G上线的方式自动注册安全网关,并可从管控平台获取网络配置和安全策略配置,实现分钟级上线,极大缩短了设备上线时间,降低了加油站开通业务的复杂度,节省了运维实施成本。
3. 广域出口整合
方案支持Internet、4G、MPLS、MSTP等多种广域(WAN)出口的统一整合,当其中一个广域网出口出现故障时,可以切换到其他正常的广域网出口,保证业务持续服务不受影响。而且,方案支持相同运营商、相同网络介质的优先互联,实现多出口资源的高效整合和业务互联体验。
4. 智能路径优选
方案支持遥测技术,通过管控平台监测整个企业广域网的端到端服务质量,采用WKSP技术,支持基于跳数、时延、带宽、丢包率等多维度的智能选路,实现基于应用的路径优选和质量保证。基于对业务及应用的深度感知,根据用户设定的业务及应用的优先级、当前线路可用带宽、当前线路探测质量,按需进行多路径调度及带宽资源保障。
5. 可视集中管控
方案提供可视化集中管控能力,支持对全网安全网关的自动化运维、网络编排、安全编排、业务管理、威胁管理、安全能力按需定制等,支持全网网络状态、业务数据及网络质量的集中管理和展示,支持一键跳转安全网关管理界面。
6. 全面安全防护
方案支持多种类型的安全防护,如漏洞防护、抗 DDoS 防护、 病毒防护以及上网URL过滤策略防护等。同时通过数据加密传输、身份统一认证、权限集中管控、威胁深度识别的体系化安全保障,是一个能提供全面安全防护能力的组网方案。
7. 威胁情报加持
方案具备基于“TI INSIDE”引擎驱动的威胁情报能力,可以精准检测出多种勒索病毒、挖矿木马、APT攻击工具等,定位到网络中的失陷主机并进行一键处置。通过管控平台与威胁情报中心的协同联动,最新威胁情报可以迅速由管控平台推送至全网所有安全网关上,升级全网安全网关的检测能力。