互联网接入区解决方案

各大金融机构普通存在互联网安全接入的需求。来自外网的流量会首先经过互联网接入区，才会转发给内网业务区的业务系统。

互联网接入区的位置非常重要。一方面，它是对外提供服务的关键性门户，会直接影响业务稳定性；另一方面，它是外网可以访问的区域，安全敏感性很高。

现有架构问题

原有主流的互联网接入区架构如上图所示，存在以下主要问题：

• 可扩展性差： 基于传统硬件设备，集群化能力弱，难以水平扩容
• 业务连续性难以保障： 串行架构，SSL和WAF易成为处理卡点
• 运维复杂、排障困难： 多层设备耦合性强，定位问题困难
• 可观测、可管理能力不足： 流量无法可视化呈现，缺乏流量精细化管理手段

新一代互联网安全接入架构

新一代互联网安全接入架构如上图所示。系统主要由3个资源池构成：

• 网络负载资源池：基于瑛菲网络研发的瑛菲智能流量管理平台软件（转发引擎基于BFE开源软件）
• SSL加速资源池：基于具备加解密功能的硬件加速卡。目前已对接先安科技和渔翁信息研发的硬件加速卡
• WAF资源池：基于支持BWI(BFE WAF Interface)的WAF防火墙软件。目前已对接长亭科技、绿盟科技、安恒信息的WAF防火墙软件

相比原有架构，新一代互联网安全接入架构具有以下突出优点：

• 主要基于软件实现，可实现弹性扩缩容
• 由网络负载资源池远程调用SSL加速资源池和WAF资源池，支持安全编排的精细配置
• 在网络负载节点上有所有的调用日志信息，出现问题后可以快速定位
• 在SSL加速节点或WAF节点出现问题时，可动态自动摘除，实现故障自愈