某發動機制造企業SD-WAN工業專網安全解決方案 低成本易管理的云、網和安全一體化解決方案
引言:
中國移動通信集團公司政企客戶分公司(簡稱政企分公司),前身為中國移動總部集團客戶部,成立于2012年8月,是中國移動通信集團公司下屬經營集團客戶市場的專業化分公司。
集團客戶市場是當今全球信息通信行業發展的重要藍海。截至2014年1月,中國移動集團客戶數已超過320萬家,覆蓋了全國逾40%的法人和產業活動單位,集團成員達2.3億戶,集團客戶的整體收入已超過中國移動整體收入的40%。開展集團客戶市場的專業化運營,已經成為推動我國信息化事業持續健康發展的必然趨勢。
按照中國移動的整體戰略部署,政企分公司主要提供面向政府、大型企業等重要集團客戶的銷售和端到端服務;負責面向全國的集團客戶產品整合和產品推廣;統籌各方資源,組織協調跨省跨國業務的支撐和調度。
政企分公司將依托于中國移動在網絡、客戶、渠道、業務和產業鏈等方面的整體優勢,緊密圍繞“移動改變生活”的發展愿景,持續地提升面向各行各業的信息服務份額,做質量更好、服務更優、創新更強、價值更高、管理更有效的運營商和現代服務企業。
一、 項目概況
1. 項目背景
隨著近幾年工業互聯網的發展,傳統的工業網絡正在向扁平化、IP化演進,越來越多的工廠內設備接入工業專網,并通過互聯網進行跨區域數據傳輸。同時企業上云已經成為共識,通過結合公有云與私有云,打造企業混合云成為未來一段時間內的大趨勢。因此工業企業各機構、廠區以及云數據中心間面臨不同于以往的網絡互聯和網絡安全挑戰。傳統的網絡設備和網管系統使用復雜、技術要求高,不能滿足工業企業對網絡的便捷有效管理需求。同時為保證網絡安全,需要在網關處堆疊多種不同類型的安全設備,不但組網復雜,管理維護難度大,也自然造成設備采購和運維成本高。工業企業亟需一套成本較低且易于管理的云、網及安全一體化解決方案。
2. 項目簡介
本項目將中國移動的SD-WAN產品用于某發動機制造企業的工廠外網絡建設中,利用SDN與NFV技術,通過位于云端的集中管理平臺解決運維管理難題,通過多功能一體化的安全網關降低設備采購成本。該發動機制造企業所面臨的具體問題如下:
1、 企業總部廠區目前在進行智慧工廠改造,廠區內生產設備逐步聯入企業內網并將數據上傳至MES系統,一些敏感設備數據存在跨區域傳輸需要。企業現有的跨區域傳輸手段是租用運營商的傳輸專線,因此沒有建設接入互聯網所必須的防火墻、入侵保護等安全防護措施,難以實現工廠內網與工廠外網的隔離,也就無法保證生產運營數據的安全存儲和防止關鍵數據外泄。目前企業需要運用上述的安全措施在總部廠區,工程研究院和歐洲研發中心之間組建跨區域的工廠外網專網。
2、 企業在智慧工廠改造過程中,組建企業內部私有云平臺,將關鍵生產系統部署于私有云上,同時部分企業應用部署于公有云,但企業缺乏組建安全的混合云網絡的手段。
3、 企業管理人員缺乏統一的管理平臺對網絡和節點進行集中管控,無法及時對網絡異常狀態進行有效處理,無法對設備進行遠程管理維護。
3. 項目目標
本項目即著眼于通過一套SD-WAN方案,解決上述該發動機制造企業所面臨的網絡和安全問題。
二、項目實施概況
1. 項目總體架構
該發動機制造企業通過部署基于SDN/NFV技術的SD-WAN網絡實現工廠外網專網的組建,并保證專網安全。SD-WAN網絡由集中管理平臺與安全網關組成,集中管理平臺在中國移動的公有云端進行部署,可對整個網絡進行統一管理;安全網關部署于企業內部,通過虛擬化的方式靈活承載網絡功能,來提供企業工業專網所需的各種網絡安全特性,同時安全網關支持通過TD-LTE網絡進行數據傳輸。
該企業的SD-WAN工業專網解決方案如下圖所示:
圖1 某發動機企業SD-WAN工業專網組網示意圖
2. 項目主要內容
(1)網絡互聯
在該企業總部廠區與工程研究院之間各部署一臺安全網關,通過安全網關在兩點間部署主備兩條數據鏈路進行數據傳輸,主用鏈路為一條點對點數據專線,該鏈路為企業專用,與Internet物理隔離。備用鏈路為使用安全網關建立的一條加密的IPSec VPN隧道,通過TD-LTE無線網絡進行數據傳輸。基于IPSec的加密功能,可以保證數據的端到端安全傳輸。安全網關支持TD-LTE通信功能,在不額外增加物理鏈路的情況下,快速完成備用鏈路的部署。在主鏈路故障時,業務會自動切換至TD-LTE鏈路。
在該企業的歐洲研發中心中部署安全網關,并與總部廠區基于Internet建立加密的跨國IPSec VPN隧道,在原有互聯網數據傳輸基礎上保證數據的傳輸安全。
(2)網絡安全
安全網關采用通用硬件架構,以虛擬化的方式構建網絡功能。該企業通過安全網關的狀態化防火墻功能,根據流量上下文對流量進行管理和控制,并對防火墻安全區域和安全等級進行劃分。
安全網關支持L3~L4的防攻擊功能,防DoS/DDoS攻擊功能,支持防端口掃描功能,防止其它設備或者應用的惡意端口掃描。安全網關能實現主動入侵防御功能,通過本功能,防火墻可以識別并阻止L7的異常流量和攻擊,提高網絡可靠性。
安全網關支持防病毒功能,可以檢測壓縮包內的文件,并提供病毒阻斷功能,防止帶毒文件被下載到本地。支持對HTTP、POP3、SMTP、IMAP和FTP協議報文中的木馬、病毒、廣告程序、蠕蟲和其他惡意程序的檢測和阻擋;支持對ZIP或者RAR數據包的內容掃描功能,可以智能跳過指定大小的壓縮包或者帶密碼的壓縮包;檢測到病毒之后,發送告警信息至平臺。
安全網關通過DPI檢測流量類型,對生產辦公類數據精細化管理,并優先保障關鍵流量的傳輸。
(3)混合云安全組網
在該企業的公有云和私有云的虛擬機上分別云化部署安全網關,并通過網關支持的VxLAN功能,打通公有云和私有云間的大二層網絡,同時使用網關的安全功能保證混合云網絡安全。
(4)網絡管理
該企業網關人員通過集中管理平臺對全網設備、網絡功能、業務流量和安全態勢進行統一管理,可視化管理方式使網絡管理便捷高效。
三、下一步實施計劃
下一步計劃在該企業擴展SD-WAN的部署規模,使工業專網逐步覆蓋企業所有廠區、辦公區、服務網點等分支機構。
四、項目創新點和實施效果
1. 項目先進性及創新點
技術創新點:
(1)本項目中使用了基于SDN和NFV技術的SD-WAN安全網關,網關集網絡與安全功能于一體,大大降低了企業組建安全的工業專網所需的網元數量,簡化了網絡拓撲結構,并降低硬件采購成本。
(2)通過部署于中國移動公有云端的集中管理平臺對企業工業專網進行統一管理,一套平臺即可實現對網絡狀態和安全態勢的實時監控,并為企業節省了部署網管服務器的投資,同時可視化的操作方式大大降低了對網管人員的技術要求。
(3)通過云化部署網關軟件,非常便捷的打通了企業云、網連接,同時利用網關的安全功能充分保障云安全。
商業模式創新點:
(1)融合網絡與安全的一體化解決方案。
(2)以服務的形式向客戶提供安全可靠的工廠外網絡,客戶通過月租費的形式支付費用,降低一次性投資。
可復制推廣性:
本項目可面向工業行業內的所有企業,在工廠外網絡的聯網和安全領域進行復制推廣。
2. 實施效果
本項目實施后完全達到了預期目標,解決了前述該發動機制造企業面臨的三個主要網絡和安全痛點。根據測算,本項目共幫助企業減少了50%的網絡和安全設備投資,降低了70%的運維成本。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號