芯航科技-全球智能连接服务商

客户背景

大规模保险业集团

D公司是经中国银保监会批准，注册资本数百亿元人民币规模的中大型保险公司，业务种类涵盖人寿、资管、财险及信托等。相对于传统金融，新金融对应的经济背景是“工业4.0”的智能化，对应的生产要素是信息与数据。线上化电商、社交、服务、媒体，这种新的金融业态促使D公司的IT架构必须要支持更加多元化的边缘场景，同时符合安全、可控、高可用性的要求。D公司现有保险经纪人超过数千人，网点多、分布广且大量以办公室以外的场所为主，需要保障业务安全性和流畅的业务体验。这样的业务体系既难以通过昂贵专线体系组网，也不能完全通过开放的纯互联网架构运行符合安全金融业务流程，同时要解决内外部系统对接，运维管理复杂，人力成本高等问题。

行业洞察

Industry insight

边界安全

新金融的边缘场景通常为开放的互联网环境，甚至是信号不稳定的移动互联网接入，要保障安全且流畅的体验，企业通常会考虑引入安全边界作为前端设施加密和用户的“最后一公里”，流量进入边界后即进行鉴权、判别等安全策略处置，并随着控制平面的策略动态更新。（这实际上已经具备零信任网络的部署基础）

极简交付

销售终端的渠道广泛且类型众多，是新金融的又一特征。新金融在网点级别的基础架构差异较大，网关类型、链路类型、业务需求都有差异，引入SD-WAN的概念可以通过零配置部署开局（Zero-touch-provisioning），业务自动化下发，对链路和业务实现自助式管理，丰富的故障诊断和巡检工具，来解决海量分支的开局难题。

链路负载分配

传统金融业务的生产网络专线承载的业务较少，负载低、流量平稳，为防止流量突发带宽预留较大，但平时的带宽利用率通常很低，而另一方面企业上网出口的业务种类从多，应用类型复杂，常会因超负荷产生阻塞现象。对链路的容量进行聚合管理，重新分配负载是SD-WAN创新实践的又一重要特性，企业可以收缩专线的带宽比重，增加互联网出口。通过SDWAN uCPE测线路的时延、抖动、丢包等QoS参数，确保当其中一条专线出现拥塞/故障时，进行流量调度，将应用秒级切换至另一条专线上进行传输。

广域网优化加速

由于传统专线的费用昂贵、部署缓慢、维护复杂，新金融海量的非核心网点不建议采用专线组线，取而代之的是以互联网为承载，部署广域网加速功能，对流量进行压缩、去重、协议优化等达到接近专线级别的Qos传输效能。但传统的广域网优化设备是独立部署的设备，在SD-WAN的引入广域网优化是个默认的软件功能，客户通常无须额外的投资即可获得流量优化加速的效果。

方案技术设计要点

Key points of technical design

支持基于应用的业务识别

对网络的流量应用类型进行识别，根据业务属性再定义（制定标签规则），根据业务策略进行编排调度。通过部署URL过滤、IPS检测、防火墙等安全策略，保障核心的关键业务优先，为非关键的业务提供智能选路和流量策略，保障业务质量和体验。

零配置交付

在服务开通交付前，进行站点查勘、资料汇总到线上客户网管，生成总体的配置方案与策略。白盒设备到现场后，只要简单的接驳网线等操作，对应的站点配置将从业务编排器下发到对应的白盒设备上，实现站点开通（On board），无须专业人员到客户现场进行配置。

安全接入服务边缘（SASE）

在分支机构级别的站点上开放VPN Server功能，通过集中化的远程配置，在Internet网络上实现IPSec隧道与分布在办公室以外的用户终端建立安全可靠的传输隧道。当站点的业务量升级时，方案可以进一步优化扩充，在对应的分支机构站点上部署安全Web网关（SWG），云访问安全代理（CASB）和基于云的防火墙等NFV产品来支持复杂业务的访问需求。

uCPE服务链

在不增加分支机构站点的硬件投资前提下，在uCPE的位置上按软件订阅的模式提供NFV（网络功能虚拟化）形式的下一代防火墙、VPN Server、IPS/IDS（集成威胁情报订阅）及广域网优化功能。

方案拓扑图

Topology

“作为主要的技术解决方案提供商，芯航科技为我们高效地解决了传统业务系统的效能问题，解开了保险业务上的技术束缚。”

Prescott，IT团队负责人