戴尔服务器 - 戴尔储存 - 数据中心解决方案

重庆戴尔服务器授权经销商_重庆服务器总代理

捷拓商贸有限公司
网站首页 > 新闻中心 > 业界动态

SDN基于软件部署网络安全方案

任何企业的发展都离不开网络,企业系统中存在的重大漏洞一旦被人利用,就可以给企业带来不可挽回的巨大损失,在“互联网+”时代下,信息安全已经成为企业发展的命脉


这给网络和安全团队带来了巨大的挑战,因为它们需要设计并维护一个高性能、高可靠性且永不中断的网络。然而性能与安全性往往是一种博弈,互相牵制与冲突,这确实是一个棘手的难题。


在传统方案中,一般将网络分割为受信任与不受信任两个区域,并在DMZ环境中(两个区域之间)部署安全和网络监控设备。通过内嵌的方式,安全设备会遍历所有区域里的每个数据包,评估信任度从而进行积极安全防御。


DMZ环境传统部署方法

安全设备按如下图顺序内嵌于生产节点之间:


SDN基于软件部署网络安全方案-1.jpg

安全设备内嵌示意图


这种传统部署方式有如下难题:

l特定设备故障会波及所有终端节点的网络连接。

l数据中心流量生产端口(通常10G以上)受限于低带宽的设备,从而速度下降。

l流量发送没有针对性,因为发送到所有设备,而造成多余浪费。

l修改设备配置需要维护时间,同时影响网络连接。

l一台设备故障就会引发一系列设备的切换,其中隐藏风险。

l办公网到数据中心的出口部分、语音、数据、视频流量需要拆分,目前只能通过多台硬件设备方式实现。


SDN数字化时代新方案

软件式定义方案 - BMF + 开放网络交换机

捷拓小编今天为你介绍的这套方案中,选择采用BMF (Big Tap Monitoring Fabric)软件与戴尔EMC开放网络交换机,可以部署一套基于软件定义网络安全的解决方案


体系结构如下:

1、群集,由BMF控制器组成的群集(硬件设备HA),可进行集中式管理,完成配置、监控、故障排除。

2、Switch Light OS,ONIE部署,运行在交互机上。

3、开放式以太网交换机,开放式网络安装环境(ONIE),用于自动安装第三方网络操作系统。

采用SDN部署方案,安全设备不再通过串行的方式,如下图,改成了旁路的连接方式:


SDN基于软件部署网络安全方案-2.jpg

SDN部署方案示意图


SDN部署方案的优点

SDN部署方案支持在多台同一类安全设备之间实现负载均衡,能够解决采用传统式方案DMZ中面临的问题,具备如下优势。


1. 分离安全和网络基础架构管理

让网络管理员与安全管理员可以在部署中轻松管理分析设备,角色分离,进行了更精准的职责划分。


2. 设备利用率高、负载均衡

SDN方案支持多个设备的链合以管理进出DMZ的流量,实现多个低带宽设备之间的流量负载均衡。管理员还可以选择性的将必要流量分送到安全设备。


SDN基于软件部署网络安全方案-3.jpg

3. 高可靠性结构设计支持HA部署

生产网络高可用性,不受信任的流量通过SDN交换机进入网络,接受检查,通过后再进入收信人内部网络。从而提高了交换机冗余、链路冗余、控制器冗余以及安全设备冗余


安全设备冗余,SDN支持安全设备“故障时打开,故障时关闭“”的部署模式。也就是说,如果一个安全设备出现故障,SDN交换机会使生产链路的故障端口停止运行,并将生产流量强制定向到所有安全设备正常运行的另一台交换机。

Powered by MetInfo 5.3.18 ©2008-2018 www.MetInfo.cn