制造企業(yè)SD-WAN工業(yè)專網(wǎng)安全解決方案

某發(fā)動(dòng)機(jī)制造企業(yè)SD-WAN工業(yè)專網(wǎng)安全解決方案

低成本易管理的云、網(wǎng)和安全一體化解決方案

引言：中國移動(dòng)通信集團(tuán)公司政企客戶分公司（簡稱政企分公司），前身為中國移動(dòng)總部集團(tuán)客戶部，成立于2012年8月，是中國移動(dòng)通信集團(tuán)公司下屬經(jīng)營集團(tuán)客戶市場的專業(yè)化分公司。集團(tuán)客戶市場是當(dāng)今全球信息通信行業(yè)發(fā)展的重要藍(lán)海。截至2014年1月，中國移動(dòng)集團(tuán)客戶數(shù)已超過320萬家，覆蓋了全國逾40%的法人和產(chǎn)業(yè)活動(dòng)單位，集團(tuán)成員達(dá)2.3億戶，集團(tuán)客戶的整體收入已超過中國移動(dòng)整體收入的40%。開展集團(tuán)客戶市場的專業(yè)化運(yùn)營，已經(jīng)成為推動(dòng)我國信息化事業(yè)持續(xù)健康發(fā)展的必然趨勢。按照中國移動(dòng)的整體戰(zhàn)略部署，政企分公司主要提供面向政府、大型企業(yè)等重要集團(tuán)客戶的銷售和端到端服務(wù)；負(fù)責(zé)面向全國的集團(tuán)客戶產(chǎn)品整合和產(chǎn)品推廣；統(tǒng)籌各方資源，組織協(xié)調(diào)跨省跨國業(yè)務(wù)的支撐和調(diào)度。政企分公司將依托于中國移動(dòng)在網(wǎng)絡(luò)、客戶、渠道、業(yè)務(wù)和產(chǎn)業(yè)鏈等方面的整體優(yōu)勢，緊密圍繞“移動(dòng)改變生活”的發(fā)展愿景，持續(xù)地提升面向各行各業(yè)的信息服務(wù)份額，做質(zhì)量更好、服務(wù)更優(yōu)、創(chuàng)新更強(qiáng)、價(jià)值更高、管理更有效的運(yùn)

|工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

2|工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

營商和現(xiàn)代服務(wù)企業(yè)。

一、項(xiàng)目概況

1.項(xiàng)目背景

隨著近幾年工業(yè)互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的工業(yè)網(wǎng)絡(luò)正在向扁平化、IP化演進(jìn)，越來越多的工廠內(nèi)設(shè)備接入工業(yè)專網(wǎng)，并通過互聯(lián)網(wǎng)進(jìn)行跨區(qū)域數(shù)據(jù)傳輸。同時(shí)企業(yè)上云已經(jīng)成為共識，通過結(jié)合公有云與私有云，打造企業(yè)混合云成為未來一段時(shí)間內(nèi)的大趨勢。因此工業(yè)企業(yè)各機(jī)構(gòu)、廠區(qū)以及云數(shù)據(jù)中心間面臨不同于以往的網(wǎng)絡(luò)互聯(lián)和網(wǎng)絡(luò)安全挑戰(zhàn)。傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)使用復(fù)雜、技術(shù)要求高，不能滿足工業(yè)企業(yè)對網(wǎng)絡(luò)的便捷有效管理需求。同時(shí)為保證網(wǎng)絡(luò)安全，需要在網(wǎng)關(guān)處堆疊多種不同類型的安全設(shè)備，不但組網(wǎng)復(fù)雜，管理維護(hù)難度大，也自然造成設(shè)備采購和運(yùn)維成本高。工業(yè)企業(yè)亟需一套成本較低且易于管理的云、網(wǎng)及安全一體化解決方案。2.項(xiàng)目簡介

本項(xiàng)目將中國移動(dòng)的SD-WAN產(chǎn)品用于某發(fā)動(dòng)機(jī)制造企業(yè)的工廠外網(wǎng)絡(luò)建設(shè)中，利SDNNFV技術(shù)，通過位于云端的集中管理平臺(tái)解決運(yùn)維管理難題，通過多功能一體化的安全網(wǎng)關(guān)降低設(shè)備采購成本。該發(fā)動(dòng)機(jī)制造企業(yè)所面臨的具體問題如下：1、企業(yè)總部廠區(qū)目前在進(jìn)行智慧工廠改造，廠區(qū)內(nèi)生產(chǎn)設(shè)備逐步聯(lián)入企業(yè)內(nèi)網(wǎng)并將數(shù)據(jù)上傳MES系統(tǒng)，一些敏感設(shè)備數(shù)據(jù)存在跨區(qū)域傳輸需要。企業(yè)現(xiàn)有的跨區(qū)域傳輸手段是租用運(yùn)營商的傳輸專線，因此沒有建設(shè)接入互聯(lián)網(wǎng)所必須的防火墻、入侵保護(hù)等安全防護(hù)措施，難以實(shí)現(xiàn)工廠內(nèi)網(wǎng)與工廠外網(wǎng)的隔離，也就無法保證生產(chǎn)運(yùn)營數(shù)據(jù)的安全存儲(chǔ)和防止關(guān)鍵數(shù)據(jù)外泄。目前企業(yè)需要運(yùn)用上述的安全措施在總部廠區(qū)，工程研究院和歐洲研發(fā)中心之間組建跨區(qū)域的工廠外網(wǎng)專網(wǎng)。2、企業(yè)在智慧工廠改造過程中，組建企業(yè)內(nèi)部私有云平臺(tái)，將關(guān)鍵生產(chǎn)系統(tǒng)部署于私有云上，同時(shí)部分企業(yè)應(yīng)用部署于公有云，但企業(yè)缺乏組建安全的混合云網(wǎng)絡(luò)的手段。

|某發(fā)動(dòng)機(jī)企業(yè)SD-WAN工業(yè)專網(wǎng)組網(wǎng)示意圖工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

|某發(fā)動(dòng)機(jī)企業(yè)SD-WAN工業(yè)專網(wǎng)組網(wǎng)示意圖工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

3、企業(yè)管理人員缺乏統(tǒng)一的管理平臺(tái)對網(wǎng)絡(luò)和節(jié)點(diǎn)進(jìn)行集中管控，無法及時(shí)對網(wǎng)絡(luò)異常狀態(tài)進(jìn)行有效處理，無法對設(shè)備進(jìn)行遠(yuǎn)程管理維護(hù)。3.項(xiàng)目目標(biāo)

本項(xiàng)目即著眼于通過一套SD-WAN方案，解決上述該發(fā)動(dòng)機(jī)制造企業(yè)所面臨的網(wǎng)絡(luò)和安全問題。

二、項(xiàng)目實(shí)施概況

1.項(xiàng)目總體架構(gòu)

該發(fā)動(dòng)機(jī)制造企業(yè)通過部署基于SDN/NFV技術(shù)的SD-WAN網(wǎng)絡(luò)實(shí)現(xiàn)工廠外網(wǎng)專網(wǎng)的組建，并保證專網(wǎng)安全。SD-WAN網(wǎng)絡(luò)由集中管理平臺(tái)與安全網(wǎng)關(guān)組成，集中管理平臺(tái)在中國移動(dòng)的公有云端進(jìn)行部署，可對整個(gè)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理；安全網(wǎng)關(guān)部署于企業(yè)內(nèi)部，通過虛擬化的方式靈活承載網(wǎng)絡(luò)功能，來提供企業(yè)工業(yè)專網(wǎng)所需的各種網(wǎng)絡(luò)安全特性，同時(shí)安全網(wǎng)關(guān)支持通過TD-LTE網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。該企業(yè)的SD-WAN工業(yè)專網(wǎng)解決方案如下圖所示：

圖1

|項(xiàng)目主要內(nèi)容網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)安全混合云安全組網(wǎng)工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

4|項(xiàng)目主要內(nèi)容網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)安全混合云安全組網(wǎng)工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集2.

（1）在該企業(yè)總部廠區(qū)與工程研究院之間各部署一臺(tái)安全網(wǎng)關(guān)，通過安全網(wǎng)關(guān)在兩點(diǎn)間部署主備兩條數(shù)據(jù)鏈路進(jìn)行數(shù)據(jù)傳輸，主用鏈路為一條點(diǎn)對點(diǎn)數(shù)據(jù)專線，該鏈路為企業(yè)專用，與Internet物理隔離。備用鏈路為使用安全網(wǎng)關(guān)建立的一條加密的IPSecVPN隧道，通過TD-LTE無線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?；贗PSec的加密功能，可以保證數(shù)據(jù)的端到端安全傳輸。安全網(wǎng)關(guān)支持TD-LTE通信功能，在不額外增加物理鏈路的情況下，快速完成備用鏈路的部署。在主鏈路故障時(shí)，業(yè)務(wù)會(huì)自動(dòng)切換至TD-LTE鏈路。在該企業(yè)的歐洲研發(fā)中心中部署安全網(wǎng)關(guān)，并與總部廠區(qū)基于Internet建立加密的跨國IPSecVPN隧道，在原有互聯(lián)網(wǎng)數(shù)據(jù)傳輸基礎(chǔ)上保證數(shù)據(jù)的傳輸安全。

（2）安全網(wǎng)關(guān)采用通用硬件架構(gòu)，以虛擬化的方式構(gòu)建網(wǎng)絡(luò)功能。該企業(yè)通過安全網(wǎng)關(guān)的狀態(tài)化防火墻功能，根據(jù)流量上下文對流量進(jìn)行管理和控制,并對防火墻安全區(qū)域和安全等級進(jìn)行劃分。安全網(wǎng)關(guān)支持L3~L4的防攻擊功能，防DoS/DDoS攻擊功能，支持防端口掃描功能，防止其它設(shè)備或者應(yīng)用的惡意端口掃描。安全網(wǎng)關(guān)能實(shí)現(xiàn)主動(dòng)入侵防御功能，通過本功能，防火墻可以識別并阻止L7的異常流量和攻擊，提高網(wǎng)絡(luò)可靠性。安全網(wǎng)關(guān)支持防病毒功能，可以檢測壓縮包內(nèi)的文件，并提供病毒阻斷功能，防止帶毒文件被下載到本地。支持對HTTP、POP3、SMTP、IMAP和FTP協(xié)議報(bào)文中的木馬、病毒、廣告程序、蠕蟲和其他惡意程序的檢測和阻擋；支持對ZIP或者RAR數(shù)據(jù)包的內(nèi)容掃描功能，可以智能跳過指定大小的壓縮包或者帶密碼的壓縮包；檢測到病毒之后，發(fā)送告警信息至平臺(tái)。安全網(wǎng)關(guān)通過DPI檢測流量類型，對生產(chǎn)辦公類數(shù)據(jù)精細(xì)化管理，并優(yōu)先保障關(guān)鍵流量的傳輸。

（3）在該企業(yè)的公有云和私有云的虛擬機(jī)上分別云化部署安全網(wǎng)關(guān)，并通過網(wǎng)

|網(wǎng)絡(luò)管理本項(xiàng)目中使用了基于SDN和NFV技術(shù)的SD-WAN安全網(wǎng)關(guān)，網(wǎng)關(guān)|網(wǎng)絡(luò)管理本項(xiàng)目中使用了基于SDN和NFV技術(shù)的SD-WAN安全網(wǎng)關(guān)，網(wǎng)關(guān)通過部署于中國移動(dòng)公有云端的集中管理平臺(tái)對企業(yè)工業(yè)專網(wǎng)進(jìn)行統(tǒng)通過云化部署網(wǎng)關(guān)軟件，非常便捷的打通了企業(yè)云、網(wǎng)連接，同時(shí)利融合網(wǎng)絡(luò)與安全的一體化解決方案。以服務(wù)的形式向客戶提供安全可靠的工廠外網(wǎng)絡(luò)，客戶通過月租費(fèi)的工業(yè)互聯(lián)網(wǎng)先進(jìn)應(yīng)用案例集

關(guān)支持的VxLAN功能，打通公有云和私有云間的大二層網(wǎng)絡(luò)，同時(shí)使用網(wǎng)關(guān)的安全功能保證混合云網(wǎng)絡(luò)安全。

（4）該企業(yè)網(wǎng)關(guān)人員通過集中管理平臺(tái)對全網(wǎng)設(shè)備、網(wǎng)絡(luò)功能、業(yè)務(wù)流量和安全態(tài)勢進(jìn)行統(tǒng)一管理，可視化管理方式使網(wǎng)絡(luò)管理便捷高效。

三、下一步實(shí)施計(jì)劃

下一步計(jì)劃在該企業(yè)擴(kuò)展SD-WAN的部署規(guī)模，使工業(yè)專網(wǎng)逐步覆蓋企業(yè)所有廠區(qū)、辦公區(qū)、服務(wù)網(wǎng)點(diǎn)等分支機(jī)構(gòu)。

四、項(xiàng)目創(chuàng)新點(diǎn)和實(shí)施效果

1.項(xiàng)目先進(jìn)性及創(chuàng)新點(diǎn)

技術(shù)創(chuàng)新點(diǎn)：

（1）集網(wǎng)絡(luò)與安全功能于一體，大大降低了企業(yè)組建安全的工業(yè)專網(wǎng)所需的網(wǎng)元數(shù)量，簡化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，并降低硬件采購成本。

（2）一管理，一套平臺(tái)即可實(shí)現(xiàn)對網(wǎng)絡(luò)狀態(tài)和安全態(tài)勢的實(shí)時(shí)監(jiān)控，并為企業(yè)節(jié)省了部署網(wǎng)管服務(wù)器的投資，同時(shí)可視化的操作方式大大降低了對網(wǎng)管人員的技術(shù)要求。

（3）用網(wǎng)關(guān)的安全功能充分保障云安全。商業(yè)模式創(chuàng)新點(diǎn)：

（1）

（2）形式支付費(fèi)用，降低一次性投資。可復(fù)制推廣性：

|全文完工業(yè)互