随着数字经济时代的来临，企业传统网络的架构繁杂、管理困难等问题日益凸显。面对这些难题，企业数据中心网络架构正逐步由传统的三层架构向SDN架构迁移。SDN技术通过将网络设备的控制面与数据面进行分离的方式，实现了对数据中心网络流量的统一调度与管控，但在解决网络安全防护架构的随需调度、快速响应等问题时，SDN的相关能力仍显不足：

　　安全架构难定义，部署运维难度大：传统网络安全架构中，安全设备的部署方式严重依赖网络拓扑，而传统网络安全设备与SDN控制器普遍存在对接难度大、实施成本高等问题，无法借助SDN技术真正实现安全架构与网络拓扑的解耦。

　　安全资源难调度，设备状态难感知：传统网络安全架构中，安全设备普遍采用串联方式部署，多个安全域之间无法有效共享安全资源，设备重复投入大、升级扩容成本高。SDN技术虽能够用于构建安全资源池，但其严格要求池内安全设备均须支持SDN相关协议，安全设备升级改造成本大;同时，SDN控制器通常无法对安全设备的服务状态进行监控，无法持续保障安全检测服务的可用性与有效性。

　　防护路径难定义，安全管理成本高：传统网络架构中网络流量路径与设备部署架构一致，通过SDN技术仅能够实现对二、三层流量的定义，无法满足企业对四、七层应用流量进行分类检测的安全需求，难以实现高级别的安全防护。

　　加密流量难识别，防护能力易破防：传统网络架构与SDN架构下，针对网络中的加密流量，或者不处理、或者由安全设备自行解密后再处理，在安全防护粒度与安全处理性能间难以平衡。

　　信安世纪针对以上难题，基于信安流量编排设备推出了安全流量编排解决方案，通过改变传统安全设备的部署方式，重塑安全架构，打造网络安全资源池，实现了设备与流量的统一调度，有效提升企业防护能力：

　　将传统网络安全防护架构“由串改并”：流量编排设备以旁路方式部署到安全接入区，通过与各类安全设备互联，形成并行网络架构，逻辑网络拓扑由流量编排设备统一定义。

　　复用存量设备，构建安全资源池：流量编排设备通过流量识别与负载分发的技术，将同类网络安全设备构建为网络安全资源池，资源池内安全设备多品牌、零改造，统一由流量编排设备进行流量分发与调度。同时，流量编排设备可对安全设备的健康状态、负载状态进行实时监控，自动屏蔽故障节点，充分保障安全服务可用性。

　　自定义安全应用防护路径：流量编排设备可根据应用类型、防护等级、业务需求等定义由“不同安全设备”、“不同防护顺序”组成的安全服务链，进而实现精细化、高性能的网络安全防护体验。

　　动态处理加密流量：流量编排设备支持“入链解密，出链加密”的处理机制，能够根据安全策略，将密文流量解密后转发到相应安全设备进行检查，将过滤后的流量加密后转发至目标网络，从而在充分发挥安全设备防护能力的同时，保障网络流量全路径的机密性。

　　信安世纪安全流量编排解决方案具备以下特性

　　特性一：架构解耦，即插即用

　　改变了安全设备在网络中的部署方式，将安全架构和网络架构解耦，流量编排设备支持即插即用，用户可根据需要灵活部署，满足快速迭代、灵活变更需求。

　　特性二：资源池化，弹性扩容

　　可将传统安全资源进行池化布局，实现在原有网络环境基础上的“就地部署、弹性扩展”。

　　特性三：灵活定义，按需调整

　　通过编排策略调整的方式，即可轻松改变流量分检路径，无需调整物理链路，根据业务需求提供差异化安全服务。

　　特性四：密文可检，实时监控

　　为安全设备提供高性能的SSL加解密服务，大幅提升安全设备处理效率;同时，提供监控看板，实时掌握网络安全设备流量处理情况。

　　信安世纪安全流量编排解方案从实际业务角度出发，重塑企业安全架构，满足了个性化、差异化的安全流量编排需求，提升企业安全防护能力。未来，我们将持续优化多场景网络安全解决方案，为企业用户的数字化转型保驾护航。