某發(fā)動(dòng)機(jī)制造企業(yè)SD-WAN工業(yè)專網(wǎng)安全解決方案 低成本易管理的云、網(wǎng)和安全一體化解決方案
引言:
中國移動(dòng)通信集團(tuán)公司政企客戶分公司(簡稱政企分公司),前身為中國移動(dòng)總部集團(tuán)客戶部,成立于2012年8月,是中國移動(dòng)通信集團(tuán)公司下屬經(jīng)營集團(tuán)客戶市場(chǎng)的專業(yè)化分公司。
集團(tuán)客戶市場(chǎng)是當(dāng)今全球信息通信行業(yè)發(fā)展的重要藍(lán)海。截至2014年1月,中國移動(dòng)集團(tuán)客戶數(shù)已超過320萬家,覆蓋了全國逾40%的法人和產(chǎn)業(yè)活動(dòng)單位,集團(tuán)成員達(dá)2.3億戶,集團(tuán)客戶的整體收入已超過中國移動(dòng)整體收入的40%。開展集團(tuán)客戶市場(chǎng)的專業(yè)化運(yùn)營,已經(jīng)成為推動(dòng)我國信息化事業(yè)持續(xù)健康發(fā)展的必然趨勢(shì)。
按照中國移動(dòng)的整體戰(zhàn)略部署,政企分公司主要提供面向政府、大型企業(yè)等重要集團(tuán)客戶的銷售和端到端服務(wù);負(fù)責(zé)面向全國的集團(tuán)客戶產(chǎn)品整合和產(chǎn)品推廣;統(tǒng)籌各方資源,組織協(xié)調(diào)跨省跨國業(yè)務(wù)的支撐和調(diào)度。
政企分公司將依托于中國移動(dòng)在網(wǎng)絡(luò)、客戶、渠道、業(yè)務(wù)和產(chǎn)業(yè)鏈等方面的整體優(yōu)勢(shì),緊密圍繞“移動(dòng)改變生活”的發(fā)展愿景,持續(xù)地提升面向各行各業(yè)的信息服務(wù)份額,做質(zhì)量更好、服務(wù)更優(yōu)、創(chuàng)新更強(qiáng)、價(jià)值更高、管理更有效的運(yùn)營商和現(xiàn)代服務(wù)企業(yè)。
一、 項(xiàng)目概況
1. 項(xiàng)目背景
隨著近幾年工業(yè)互聯(lián)網(wǎng)的發(fā)展,傳統(tǒng)的工業(yè)網(wǎng)絡(luò)正在向扁平化、IP化演進(jìn),越來越多的工廠內(nèi)設(shè)備接入工業(yè)專網(wǎng),并通過互聯(lián)網(wǎng)進(jìn)行跨區(qū)域數(shù)據(jù)傳輸。同時(shí)企業(yè)上云已經(jīng)成為共識(shí),通過結(jié)合公有云與私有云,打造企業(yè)混合云成為未來一段時(shí)間內(nèi)的大趨勢(shì)。因此工業(yè)企業(yè)各機(jī)構(gòu)、廠區(qū)以及云數(shù)據(jù)中心間面臨不同于以往的網(wǎng)絡(luò)互聯(lián)和網(wǎng)絡(luò)安全挑戰(zhàn)。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)使用復(fù)雜、技術(shù)要求高,不能滿足工業(yè)企業(yè)對(duì)網(wǎng)絡(luò)的便捷有效管理需求。同時(shí)為保證網(wǎng)絡(luò)安全,需要在網(wǎng)關(guān)處堆疊多種不同類型的安全設(shè)備,不但組網(wǎng)復(fù)雜,管理維護(hù)難度大,也自然造成設(shè)備采購和運(yùn)維成本高。工業(yè)企業(yè)亟需一套成本較低且易于管理的云、網(wǎng)及安全一體化解決方案。
2. 項(xiàng)目簡介
本項(xiàng)目將中國移動(dòng)的SD-WAN產(chǎn)品用于某發(fā)動(dòng)機(jī)制造企業(yè)的工廠外網(wǎng)絡(luò)建設(shè)中,利用SDN與NFV技術(shù),通過位于云端的集中管理平臺(tái)解決運(yùn)維管理難題,通過多功能一體化的安全網(wǎng)關(guān)降低設(shè)備采購成本。該發(fā)動(dòng)機(jī)制造企業(yè)所面臨的具體問題如下:
1、 企業(yè)總部廠區(qū)目前在進(jìn)行智慧工廠改造,廠區(qū)內(nèi)生產(chǎn)設(shè)備逐步聯(lián)入企業(yè)內(nèi)網(wǎng)并將數(shù)據(jù)上傳至MES系統(tǒng),一些敏感設(shè)備數(shù)據(jù)存在跨區(qū)域傳輸需要。企業(yè)現(xiàn)有的跨區(qū)域傳輸手段是租用運(yùn)營商的傳輸專線,因此沒有建設(shè)接入互聯(lián)網(wǎng)所必須的防火墻、入侵保護(hù)等安全防護(hù)措施,難以實(shí)現(xiàn)工廠內(nèi)網(wǎng)與工廠外網(wǎng)的隔離,也就無法保證生產(chǎn)運(yùn)營數(shù)據(jù)的安全存儲(chǔ)和防止關(guān)鍵數(shù)據(jù)外泄。目前企業(yè)需要運(yùn)用上述的安全措施在總部廠區(qū),工程研究院和歐洲研發(fā)中心之間組建跨區(qū)域的工廠外網(wǎng)專網(wǎng)。
2、 企業(yè)在智慧工廠改造過程中,組建企業(yè)內(nèi)部私有云平臺(tái),將關(guān)鍵生產(chǎn)系統(tǒng)部署于私有云上,同時(shí)部分企業(yè)應(yīng)用部署于公有云,但企業(yè)缺乏組建安全的混合云網(wǎng)絡(luò)的手段。
3、 企業(yè)管理人員缺乏統(tǒng)一的管理平臺(tái)對(duì)網(wǎng)絡(luò)和節(jié)點(diǎn)進(jìn)行集中管控,無法及時(shí)對(duì)網(wǎng)絡(luò)異常狀態(tài)進(jìn)行有效處理,無法對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理維護(hù)。
3. 項(xiàng)目目標(biāo)
本項(xiàng)目即著眼于通過一套SD-WAN方案,解決上述該發(fā)動(dòng)機(jī)制造企業(yè)所面臨的網(wǎng)絡(luò)和安全問題。
二、項(xiàng)目實(shí)施概況
1. 項(xiàng)目總體架構(gòu)
該發(fā)動(dòng)機(jī)制造企業(yè)通過部署基于SDN/NFV技術(shù)的SD-WAN網(wǎng)絡(luò)實(shí)現(xiàn)工廠外網(wǎng)專網(wǎng)的組建,并保證專網(wǎng)安全。SD-WAN網(wǎng)絡(luò)由集中管理平臺(tái)與安全網(wǎng)關(guān)組成,集中管理平臺(tái)在中國移動(dòng)的公有云端進(jìn)行部署,可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理;安全網(wǎng)關(guān)部署于企業(yè)內(nèi)部,通過虛擬化的方式靈活承載網(wǎng)絡(luò)功能,來提供企業(yè)工業(yè)專網(wǎng)所需的各種網(wǎng)絡(luò)安全特性,同時(shí)安全網(wǎng)關(guān)支持通過TD-LTE網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。
該企業(yè)的SD-WAN工業(yè)專網(wǎng)解決方案如下圖所示:
圖1 某發(fā)動(dòng)機(jī)企業(yè)SD-WAN工業(yè)專網(wǎng)組網(wǎng)示意圖
2. 項(xiàng)目主要內(nèi)容
(1)網(wǎng)絡(luò)互聯(lián)
在該企業(yè)總部廠區(qū)與工程研究院之間各部署一臺(tái)安全網(wǎng)關(guān),通過安全網(wǎng)關(guān)在兩點(diǎn)間部署主備兩條數(shù)據(jù)鏈路進(jìn)行數(shù)據(jù)傳輸,主用鏈路為一條點(diǎn)對(duì)點(diǎn)數(shù)據(jù)專線,該鏈路為企業(yè)專用,與Internet物理隔離。備用鏈路為使用安全網(wǎng)關(guān)建立的一條加密的IPSec VPN隧道,通過TD-LTE無線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。基于IPSec的加密功能,可以保證數(shù)據(jù)的端到端安全傳輸。安全網(wǎng)關(guān)支持TD-LTE通信功能,在不額外增加物理鏈路的情況下,快速完成備用鏈路的部署。在主鏈路故障時(shí),業(yè)務(wù)會(huì)自動(dòng)切換至TD-LTE鏈路。
在該企業(yè)的歐洲研發(fā)中心中部署安全網(wǎng)關(guān),并與總部廠區(qū)基于Internet建立加密的跨國IPSec VPN隧道,在原有互聯(lián)網(wǎng)數(shù)據(jù)傳輸基礎(chǔ)上保證數(shù)據(jù)的傳輸安全。
(2)網(wǎng)絡(luò)安全
安全網(wǎng)關(guān)采用通用硬件架構(gòu),以虛擬化的方式構(gòu)建網(wǎng)絡(luò)功能。該企業(yè)通過安全網(wǎng)關(guān)的狀態(tài)化防火墻功能,根據(jù)流量上下文對(duì)流量進(jìn)行管理和控制,并對(duì)防火墻安全區(qū)域和安全等級(jí)進(jìn)行劃分。
安全網(wǎng)關(guān)支持L3~L4的防攻擊功能,防DoS/DDoS攻擊功能,支持防端口掃描功能,防止其它設(shè)備或者應(yīng)用的惡意端口掃描。安全網(wǎng)關(guān)能實(shí)現(xiàn)主動(dòng)入侵防御功能,通過本功能,防火墻可以識(shí)別并阻止L7的異常流量和攻擊,提高網(wǎng)絡(luò)可靠性。
安全網(wǎng)關(guān)支持防病毒功能,可以檢測(cè)壓縮包內(nèi)的文件,并提供病毒阻斷功能,防止帶毒文件被下載到本地。支持對(duì)HTTP、POP3、SMTP、IMAP和FTP協(xié)議報(bào)文中的木馬、病毒、廣告程序、蠕蟲和其他惡意程序的檢測(cè)和阻擋;支持對(duì)ZIP或者RAR數(shù)據(jù)包的內(nèi)容掃描功能,可以智能跳過指定大小的壓縮包或者帶密碼的壓縮包;檢測(cè)到病毒之后,發(fā)送告警信息至平臺(tái)。
安全網(wǎng)關(guān)通過DPI檢測(cè)流量類型,對(duì)生產(chǎn)辦公類數(shù)據(jù)精細(xì)化管理,并優(yōu)先保障關(guān)鍵流量的傳輸。
(3)混合云安全組網(wǎng)
在該企業(yè)的公有云和私有云的虛擬機(jī)上分別云化部署安全網(wǎng)關(guān),并通過網(wǎng)關(guān)支持的VxLAN功能,打通公有云和私有云間的大二層網(wǎng)絡(luò),同時(shí)使用網(wǎng)關(guān)的安全功能保證混合云網(wǎng)絡(luò)安全。
(4)網(wǎng)絡(luò)管理
該企業(yè)網(wǎng)關(guān)人員通過集中管理平臺(tái)對(duì)全網(wǎng)設(shè)備、網(wǎng)絡(luò)功能、業(yè)務(wù)流量和安全態(tài)勢(shì)進(jìn)行統(tǒng)一管理,可視化管理方式使網(wǎng)絡(luò)管理便捷高效。
三、下一步實(shí)施計(jì)劃
下一步計(jì)劃在該企業(yè)擴(kuò)展SD-WAN的部署規(guī)模,使工業(yè)專網(wǎng)逐步覆蓋企業(yè)所有廠區(qū)、辦公區(qū)、服務(wù)網(wǎng)點(diǎn)等分支機(jī)構(gòu)。
四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果
1. 項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)
技術(shù)創(chuàng)新點(diǎn):
(1)本項(xiàng)目中使用了基于SDN和NFV技術(shù)的SD-WAN安全網(wǎng)關(guān),網(wǎng)關(guān)集網(wǎng)絡(luò)與安全功能于一體,大大降低了企業(yè)組建安全的工業(yè)專網(wǎng)所需的網(wǎng)元數(shù)量,簡化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并降低硬件采購成本。
(2)通過部署于中國移動(dòng)公有云端的集中管理平臺(tái)對(duì)企業(yè)工業(yè)專網(wǎng)進(jìn)行統(tǒng)一管理,一套平臺(tái)即可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)狀態(tài)和安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)控,并為企業(yè)節(jié)省了部署網(wǎng)管服務(wù)器的投資,同時(shí)可視化的操作方式大大降低了對(duì)網(wǎng)管人員的技術(shù)要求。
(3)通過云化部署網(wǎng)關(guān)軟件,非常便捷的打通了企業(yè)云、網(wǎng)連接,同時(shí)利用網(wǎng)關(guān)的安全功能充分保障云安全。
商業(yè)模式創(chuàng)新點(diǎn):
(1)融合網(wǎng)絡(luò)與安全的一體化解決方案。
(2)以服務(wù)的形式向客戶提供安全可靠的工廠外網(wǎng)絡(luò),客戶通過月租費(fèi)的形式支付費(fèi)用,降低一次性投資。
可復(fù)制推廣性:
本項(xiàng)目可面向工業(yè)行業(yè)內(nèi)的所有企業(yè),在工廠外網(wǎng)絡(luò)的聯(lián)網(wǎng)和安全領(lǐng)域進(jìn)行復(fù)制推廣。
2. 實(shí)施效果
本項(xiàng)目實(shí)施后完全達(dá)到了預(yù)期目標(biāo),解決了前述該發(fā)動(dòng)機(jī)制造企業(yè)面臨的三個(gè)主要網(wǎng)絡(luò)和安全痛點(diǎn)。根據(jù)測(cè)算,本項(xiàng)目共幫助企業(yè)減少了50%的網(wǎng)絡(luò)和安全設(shè)備投資,降低了70%的運(yùn)維成本。
聲明
本報(bào)告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點(diǎn)、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報(bào)告所有材料或內(nèi)容的知識(shí)產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護(hù)。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報(bào)告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報(bào)告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場(chǎng)合使用報(bào)告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責(zé)任。
AII微信公眾號(hào)
AII頭條號(hào)